Podstawowa konfiguracja modułu Scalance W788-1PRO 1. Połczenie z modułem oraz przypisanie adresu IP. Pierwszym krokiem w konfiguracji modułu Scalance W788-1PRO jest przypisanie adresu IP, poniewa fabrycznie jest on wyzerowany. Konfiguracj przeprowadzimy za pomoc narzdzia SIMATIC STEP 7. Łczymy si z modułem przez łcze Ethernet owe. Naley pamita o ustawieniu adresu IP oraz maski podsieci karty sieciowej naszej stacji PC, np.: 192.168.0.100; 255.255.255.0
Uruchamiamy narzdzie STEP 7 i tworzymy nowy projekt. Przechodzimy do menu Options i wybieramy Set PG/PC Interface Wybieramy interfejs sieci Ethernet naszej stacji PC z protokołem TCP/IP.
Konfiguracj modułu moemy przeprowadzi równie za pomoc połczenia bezprzewodowego; w takim przypadku konfigurujemy i wybieramy interfejs bezprzewodowy, a nastpnie łczymy si z modułem (SSID: Siemens Wireless Network). Przechodzimy do menu PLC i wybieramy Edit Ethernet Node. Nastpnie klikamy na przycisk Browse w polu Ethernet node. Narzdzie wyszukuje dostpne w sieci urzdzenia. W przegldarce powinien pojawi si nasz moduł, który rozpoznamy po adresie MAC oraz adresie IP 0.0.0.0. Zatwierdzamy wybór.
W polu Set IP configuration wybieramy Use IP parameters i wpisujemy adres oraz mask z zakresu naszej podsieci, np.: 192.168.0.10; 255.255.255.0 Zaznaczamy pole Gateway -> Do not use router. Chcc zatwierdzi konfiguracj IP, klikamy na Assign IP Configuration. W polu Assign device name wpisujemy dowoln nazw naszego modułu, np. AP1, i zatwierdzamy przyciskiem Assign Name. Opuszczamy okno konfiguracyjne klikajc na Close, koczymy prac z programem STEP 7. W ten sposób skonfigurowalimy nasz moduł do komunikacji w sieci Ethernet, co pozwala nam na dalsz konfiguracj z wykorzystaniem przegldarki internetowej. Tak sam konfiguracj moemy take przeprowadzi równie za dostarczanego przez producenta narzdzia Primary Setup Tool (PST), które znajdziemy na dołczonej do urzdzenia płycie CD.
2. Konfiguracja modułu z wykorzystaniem kreatora. W przegldarce internetowej wpisujemy adres IP, który przypisalimy naszemu modułowi. Pojawia si okno logowania. Domylnie User name oraz Password ustawione s na wartoci: Admin, admin lub User, user. Ze wzgldów bezpieczestwa po pierwszym logowaniu wartoci te naley zmieni!
Po zalogowaniu przechodzimy do menu Wizards. Producent zadbał o specjalne kreatory podstawowych ustawie, od których zaczynamy konfiguracj modułu.
Wybieramy zakładk Basic i pojawia si przed nami okno ustawie IP. Widzimy, e moduł posiada przypisany przez nas adres i mask, uprzednio wybierajc opcj Specified IP address. Jeeli posiadamy w naszej sieci Server DHCP, który automatycznie przydziela adresy IP wszystkim stacjom w tej sieci, moemy wybra opcj DHCP server.
W nastpnym oknie widzimy nadan wczeniej przez nas urzdzeniu nazw, któr moemy zmieni. Nastpne okno to wybór kodu kraju, w którym znajduje si nasz moduł. Dziki temu automatycznie ustawiane s wartoci m.in. mocy wyjciowej czy zakresów czstotliwoci, obowizujce w danym kraju.
Tutaj mamy moliwo nadania nazwy SSID, która bdzie rozgłaszana na zewntrz jako identyfikator naszej sieci bezprzewodowej. Nazwa ta musi by unikalna, a ze wzgldów bezpieczestwa nie powinna zawiera informacji o charakterze sieci czy te jej zasobach. Maksymalna długo 32 znaki, bez polskich znaków. W tym samym oknie wybieramy tryb, w którym bdzie pracowała nasza sie bezprzewodowa, w zalenoci od podanego pasma, prdkoci transmisji czy mocy sygnału. Charakterystyk trybów pracy sieci bezprzewodowej przedstawia ponisza tabelka.
!! " " # " " " " " ( ) " *!+ ) % ), *-. &. ) ' 9)! 4 ) % ; " ) - 3 % % > )! % ' + $% " & ' " #/ / ## 0 1 23 4 51 & 26 0 57 8 8 6 : 3 : ## 0 1 23 4 51 & 26 0 57 8 8 6 : 3 : ; 7 : ## 0 1 23 4 51 & 26 # 0 57 8 8 6 ## 0 1 23 4 51 & 26 # 0 57 8 8 6 0 1 23 4 51 & 26 0 57 8 8 6 ; 7 : ; 7 : ; 7 : ; 7 : < < *" *" *" *" ) = ) ) ) ) > )! < < * * = * = * * - pasmo niedozwolone w Polsce. Uwagi: Standard 802.11h jest rozwiniciem 802.11a o mechanizmy kontroli mocy transmisji (TPC) oraz dynamicznego doboru czstotliwoci (DFS), w celu uniknicia zakłócania czstotliwoci radarowych. Urzdzenia posiadajce te mechanizmy mog pracowa z wykorzystaniem wikszych mocy. Podana maksymalna prdko transmisji odnosi si do prdkoci transmisji radiowej. Narzut protokołu powoduje, e efektywno transmisji wymiany danych pomidzy uytkownikami wynosi ok. 50%. Na prdko transmisji ma wpływ wiele czynników zewntrznych, tj.: odległo pomidzy stacjami, moc zastosowanych anten, przeszkody pomidzy stacjami czy interferencja kanałów z innymi urzdzeniami. W standardzie 802.11g niektóre urzdzenia posiadaj tryb Turbo (Super G). Pozwala on osign prdko transmisji radiowej do 108 Mbps, dziki wykorzystaniu kilku kanałów dostpnego pasma. Oczywicie chcc wykorzysta ten mechanizm, musimy posiada na naszym terenie dodatkowe wolne kanały, co staje si trudne do osignicia, jeeli mamy do czynienia z wieloma sieciami na jednym obszarze. Standard 802.11g jest zgodny w dół ze standardem 802.11b, co oznacza, e urzdzenia pracujce w tych trybach mog si komunikowa. Trzeba jednak zaznaczy, e w takim przypadku maksymalna prdko transmisji wynosi 11 Mbps. Wszelkie ustawienia mocy transmisji oraz pasm czstotliwoci konfigurowane s automatycznie, po wyborze odpowiedniego trybu.
W tym oknie konfigurujemy ustawienia dotyczce kanałów transmisji w wybranym pamie. Opcja Outdoor AP mode wybierana jest, jeeli nasz moduł pracuje na zewntrz i pozwala na automatyczny dobór mocy sygnału, ze wzgldu na restrykcje obowizujce w danym kraju. Jeeli nasz SCALANCE W pracuje na zewntrz, naley zabezpieczy go przed deszczem oraz bezporednim działaniem słoca. Zaznaczenie pola Auto channel select powoduje automatyczny i optymalny wybór kanału. Jeeli chcemy sami ustawi kanał transmisji, pole to musi by odznaczone. Aktywne pole Radio channel pozwala na indywidualny wybór kanału. Jest to opcja szczególnie przydatna, gdy mamy do czynienia z wieloma stacjami w naszej sieci, kiedy to wany jest dobór kanałów w taki sposób, aby ich pasma nie nachodziły na siebie wzajemnie. Warto w tym miejscu nadmieni, i szeroko pasma jednego kanału wynosi 22 MHz, zatem w rónych trybach mamy do dyspozycji, rón liczb czystych kanałów.
Wskazówki: W trybie 802.11b/g, mamy do dyspozycji 3 nienakładajce si kanały sporód 13 moliwych. Jeeli nasze stacje znajduj si na obszarze płaszczyzny, wybieramy kanały: 1, 6, 11. Jeeli stacje s rozmieszczone na rónych poziomach wzgldem siebie, uywamy 4 kanałów (rezygnujemy z szerokiego pasma na rzecz niepowtarzalnoci kanałów w ssiedztwie): 1, 4, 8, 11 lub 1, 5, 9, 13. W trybie 802.11a/h mamy do dyspozycji szersze pasma: Zakres czstotliwoci Szeroko pasma Nienakładajce si kanały 5,15 5,25 100 MHz 4 5,25 5,35 100 MHz 4 5,47 5,725 200 MHz 10 5,725 5,825 100 MHz 4 W tych trybach kreator na podstawie wczeniejszych ustawie lokalizacji, selekcjonuje dla nas odpowiednie kanały automatycznie. W trybie 802.11g Turbo nie mamy moliwoci wyboru kanałów, ze wzgldu na wbudowany mechanizm tego trybu. W Polsce dozwolone s nastpujce moce transmisji w zaleno od trybu pracy: " # $ % & ' ( ) * +,- +. / 0 $ # $ ## 0." ' % ' /.+ & 4 8? #? #.." ' % ' & 4 8 # ##? #.." ' % ' & 4 8 #? #.." ' % ' & 4 8 #? #.." ' % ' : 7 @ & 4 8? # ## 0." ' % ' : 7 @ & 4 8 # ## ## 0." ' % ' : 7 @ & 4 8 # ## 0." ' % ' : 7 @ & 4 8 # ## 0." ' % ' : 7 @ & 4 8? # ## 0." ' % ' : 7 @ & 4 8? # ## 0." ' % ' : 7 @ & 4 8? # ## ## 0." ' % ' : 7 @ & 4 8? # ## 0." ' % ' : 7 @ & 4 8 ## ## ### 0." ' % ' /.+ : 7 @ & 4 8 # # ### 0." ' % ' /.+ : 7 @ & 4 8 # # ### 0." ' % ' /.+ : 7 @ & 4 8? # ### 0." ' % ' /.+ : 7 @ & 4 8? # ### 0." ' % ' /.+ : 7 @ & 4 8 #? ## ### 0." ' % ' /.+ : 7 @ & 4 8? # ### 0." ' % ' /.+
: 7 @ & 4 8? # ### 0." ' % ' /.+ : 7 @ & 4 8?? # ### 0." ' % ' /.+ : 7 @ & 4 8?? # ### 0." ' % ' /.+ 1 2 3 $ ' 2 4 $ 0 W ostatnim oknie kreatora konfiguracji widzimy podsumowanie wprowadzonych ustawie. W celu zatwierdzenia zmian klikamy klawisz Finish. Zamiany najczciej wymagaj dodatkowo restartu sterownika.
3. Zabezpieczenie modułu z wykorzystaniem kreatora. Po wprowadzeniu podstawowej konfiguracji do modułu, konieczne jest zabezpieczenie dostpu oraz transmisji. Producent przypomina o tym przez komunikaty o stanie wykonania podstawowych ustawie konfiguracji oraz zabezpiecze. W celu przejcia do kreatora zabezpiecze wybieramy opcj Security z zakładki Wizards.
$ W pierwszym oknie dokonujemy zmiany domylnego (lub poprzednio wprowadzonego, w przypadku kolejnej konfiguracji) hasła dostpu do konfiguracji modułu. Jest to bardzo wane ze wzgldów bezpieczestwa i naley dokona tej zmiany podczas pierwszej konfiguracji sterownika. W polu Current Admin Password wpisujemy obowizujce dotychczas hasło, a w polach Password i Confirm password wpisujemy nowe hasło. Naley pamita o mocy hasła, tzn. nie powinno ono by wyrazem, który moemy znale w słowniku, najlepiej, aby był to losowy zlepek liter i cyfr.
$ 4 / 4$ Konfiguracji modułu moemy dokonywa wykorzystujc trzy metody dostpu: - CLI (interfejs linii komend), poprzez protokół Telnet; - Przegldarka WEB, poprzez protokół HTML; - poprzez protokół SNMP, Naley wybra tylko te opcje, których mamy zamiar korzysta im mniej dróg dostpu do naszego modułu, tym jest on bezpieczniejszy. Ostatnia opcja pozwala na dostp do modułu tylko przez interfejs Ethernet owy, czyli innymi słowy, tylko przez kabel. Zaznaczajc t opcj uzyskujemy zabezpieczenie modułu na poziomie fizycznym. 2 ' 5 2 CLI i Telnet. CLI to zestaw komend tekstowych, dziki którym moemy dokonywa konfiguracji i diagnostyki modułu poprzez protokół Telnet. Aby połczy si z modułem w tym protokole moemy wykorzysta konsol systemow oraz polecenie telnet. W przypadku systemów Windows w menu Start->Uruchom wpisujemy: telnet adres, gdzie adres oznacza adres IP naszego modułu, np.: telnet 192.168.0.10
Konsola CLI jest take dostpna w menaderze Web. Za pomoc komend CLI moemy dokona wszystkich moliwych ustawie modułu. W wielu przypadkach jest to narzdzie, wbrew pozorom, wygodniejsze i szybsze. Zestaw komend CLI mona znale w załczniku CLI komendy.pdf. SNMP SNMP (Simple Network Management Protocol) pozwala na odczyt i zapis ustawie urzdzenia sieciowego w postaci strukturalnego obiektu MIB (Management Information Base). Protokół ten wykorzystywany jest do konfiguracji i diagnostyki urzdze sieciowych w narzdziach takich, jak Simatic STEP 7, WinCC, PST (Primary Setup Tool) dostpny wraz z modułem, MIB Browser, OPC Scout. Jeeli zamierzamy konfigurowa lub diagnozowa nasz moduł poprzez te narzdzia, naley włczy opcj SNMP. Wicej o SNMP oraz narzdziach wykorzystujcych ten protokół w załczniku IWLAN_Diag_SNMP.pdf.
$ 4 / $ Jeeli wybierzemy opcj obsługi SNMP, mamy w tym miejscu moliwo ustawienia zabezpiecze dla tego protokołu. W polu Write community string wprowadzamy klucz, zabezpieczajcy dostp przez protokół SNMP do naszego modułu (max. 63 znaki). Klucz ten naley póniej wprowadzi w konfiguracji narzdzia, poprzez które bdziemy si komunikowa z modułem. Opcja SNMpv1/v2 read only blokuje moliwo zapisu za pomoc tego protokołu.
$ 4 6 7,. Okno to pozwala nam na ustawienie zabezpiecze dla sieci bezprzewodowej. Pole SSID to identyfikator (nazwa) naszej sieci bezprzewodowej. SSID jest domylnie rozgłaszany na zewntrz, tzn. nasza sie (a właciwie jej identyfikator) jest widoczna dla wszystkich w jej zasigu. Zaznaczenie opcji Enable Suppress SSID broadcasting feature powoduje wyłczenie rozgłaszania SSID, a wic uytkownik chcc si połczy z naszym modułem musi poda SSID naszej sieci bezprzewodowej. Uzyskujemy w ten sposób dodatkowe zabezpieczenie. W opisywanym module istnieje moliwo ustawienia kilku rónych SSID dla jednego interfejsu bezprzewodowego. Opcja Enable Inter SSID communication pozwala na komunikacj pomidzy uytkownikami, którzy połczyli si z modułem za pomoc rónych SSID. Ustawienia w polu Enable Intracell comunikation, dotycz połcze pomidzy uytkownikami naszej sieci. Opcja Allowed pozwala na kady rodzaj połczenia pomidzy uytkownikami zalogowanymi do naszej sieci poprzez interfejsy WLAN i Ethernet. Opcja Intracell blocking wyłcza moliwo połczenia si uytkowników, którzy uywaj tego samego SSID.
Opcja Ethernet blocking blokuje połczenia klientów sieci WLAN z klientami sieci Ethernet. $ 4 6 7,. W tym oknie wybieram poziom zabezpiecze, który obejmuje sposób autentyfikacji uytkowników i metod szyfrowania danych. Do wyboru mamy 5 poziomów: 1) None (Open System) W tej opcji wyłczone s wszelkie zabezpieczenia, z naszym modułem moe połczy si kady, kto jest w zasigu sieci bezprzewodowej. Poziom ten jest ustawiony domylnie i naley go jak najszybciej zmieni. W trybie tym moemy uzyska porednio szyfrowanie danych, bez autentyfikacji, przez dodatkowe ustawienie klucza w karcie Basic WLAN -> Encryption.
2) Low (Shared key) Zabezpieczenie na poziomie współdzielonego klucza. Po wybraniu tej opcji przechodzimy do okna, w którym podajemy klucz zabezpieczajcy dostp i transmisj danych. Warto klucza moe by podana w kodzie ASCII (znaki klawiatury) lub jako liczba szesnastkowa (cyfry 0-F). Jego długo moe wynosi 40, 104 lub 128 bitów (5, 13 i 16 znaków ASCII lub 10, 26 i 32 cyfry szesnastkowe). Im dłuszy klucz tym lepsze zabezpieczenie, ale i wiksze obcienie transmisji. Moemy wprowadzi 5 rónych kluczy, natomiast w danym momencie uywany bdzie ten wybrany jako Default key. Uywany klucz powinien by jak najczciej zmieniany, poniewa podsłuchanie ok. 2GB zaszyfrowanych danych pozwala na rozkodowanie klucza! Skuteczno tych zabezpiecze jest niska, aczkolwiek daje małe obcienie transmisji.
3) Medium (802.1x RADIUS) W przypadku duej liczby klientów, proces uwierzytelniania, autoryzacji oraz rejestracji dostpu do zasobów przejmuje w sieci dodatkowy serwer RADIUS (Remote Authentication Dial In User Service), bdcy rozwizaniem wchodzcym w skład standardu zabezpiecze 802.1x. Ide przedstawia rysunek obok. NAS (Network Access Server) to w naszym przypadku Access Point. Jeeli nasza sie posiada taki serwer, mamy moliwo jego wykorzystania poprzez konfiguracj naszego modułu, rónic si w zalenoci od tego w jakim trybie pracuje. W trybie Access Point podajemy adres IP oraz port serwera RADIUS. Dodatkowo musimy wpisa i potwierdzi hasło dostpu do serwera (Shared Secret max. 128 znaków). W polu Maximum retransmission podajemy liczb prób połczenia (0-5). Oprócz podstawowej konfiguracji Primary, moemy wprowadzi ustawienia awaryjne Backup, które bd wykorzystanie w przypadku niepowodzenia w pierwszym przypadku. Zaznaczenie opcji Reauthentification enabled powoduje wymuszenie ponownej autentyfikacji klienta po upływie okrelonego czasu. Jeeli wybierzemy Use server authorization lifetime, to czasem tym zarzdza serwer RADIUS, natomiast wybór Use local authorization lifetime umoliwia wprowadzenie tego czasu w sekundach (min. 60, domylnie 3600, max. 43200 12 godzin).
W trybie Client wprowadzamy nazw uytkownika oraz hasło autentyfikacji w systemie 802.1x. Na tym poziomie zabezpiecze szyfrowanie danych realizowane jest za pomoc słabego klucza WEP generowanego przez serwer RADIUS, którego właciwoci opisano wczeniej.
4) High (WPA2-PSK) Rozwizanie bazuje na standardzie WPA2 (Wi-Fi Protected Access 2) i implementuje funkcje 802.11i. WPA2 posiada dodatkowy protokół szyfrowania CCMP oraz umoliwia szybkie przełczanie si pomidzy stacjami oraz logowanie na kilku punktach dostpowych bez standardowych procedur identyfikacji. Do szyfrowania wykorzystywane s metody: TKIP (Temporal Key Integrity Protocol) i AES (Advenced Encryption Standard). TKIP wykorzystuje algorytm RC4, a jego główna siła to zmieniajce si w czasie wartoci kluczy, automatycznie wyprowadzane od klucza głównego. TKIP przeprowadza równie korekcj uszkodzonych pakietów. AES implementuje lepszy algorytm Rijndael a i rozwija moliwoci TKIP. Wyboru metody szyfrowania dokonujemy w polu Cipher. WPA2-PSK, w odrónieniu od WPA2, nie wykorzystuje serwera RADIUS, a jedynie klucz (pass phrase), który jest przechowywany na wszystkich stacjach nalecych do sieci. Ten włanie klucz wprowadzamy do ustawie naszego modułu (min. 8 znaków).
5) Highest (WPA2-RADIUS) Ten tryb zabezpiecze posiada wszystkie wyej wymienione właciwoci, a ponadto zapewnia lepszy poziom autentyfikacji przez wykorzystanie serwera RADIUS. Ustawiamy rodzaj metody szyfrowania (TKIP lub AES) w polu Cipher oraz wprowadzamy ustawienia połczenia z serwerem RADIUS w nastpnym oknie. (tak jak opisano to we wczeniejszych punktach. Naley pamita, e stacja kliencka musi obsługiwa tryby zabezpiecze, które ustawimy w naszym module. O ile w przypadku współpracy modułów SCALANCE W nie ma tutaj adnych problemów, o tyle sytuacja moe ulec zmianie, jeeli nasza stacja jest innego producenta lub zarzdzana przez inny system operacyjny. Warto przytoczy przypadek stacji z systemem Windows. Do systemu stacji klienckiej musimy wprowadzi odpowiedni dla danej sieci uwierzytelnienia. System domylnie przyjmuje zabezpieczenia na poziomie WEP i przy próbie połczenia z sieci zabezpieczon prosi o podanie takowego klucza. Jeeli mamy inne zabezpieczenia, musi skonfigurowa je sami.
W tym celu przechodzimy do Start -> Ustawienia -> Panel sterowania -> Połczenia sieciowe, wybieram interfejs połczenia bezprzewodowego (zazwyczaj Wireless Network Connection ), otwieramy Właciwoci i przechodzimy do zakładki Sieci bezprzewodowe. Jeeli w oknie Sieci preferowane znajduje si nasz sie to klikamy Właciwoci, jeeli nie to Dodaj. Gdy dodajemy now sie, musimy poda jej SSID W karcie Uwierzytelnienia sieciowe widzimy obsługiwania standardy zabezpiecze, które musimy zgra z naszym modułem AP.
Kreatory dostpne w module SCALANCE W nie daj moliwoci wyboru wszystkich moliwych trybów. Aby uzyska pełn list trybów zabezpiecze przechodzimy do Security -> Basic WLAN. W polu Autentification type mamy pełn list trybów.
Podsumowanie wprowadzonych ustawie W tym oknie widzimy wykaz ustawie, które zostały wprowadzone. Nastpne okno kreatora informuje o zakoczeniu konfiguracji. Nacinicie klawisza Finish powoduje zapisanie konfiguracji, ale nie wprowadza wszystkich ustawie do modułu. Aby moduł zastosował now konfiguracj wymagany jest restart urzdzenia.
4. Restartowanie modułu. W celu zrestartowania modułu przechodzimy do menu System, zakładka Restart. Do dyspozycji mamy 3 opcje restartu: 1) Restart zwykły restart z zachowaniem zapisanych ustawie. 2) Restore Memory Defaults restart z przywróceniem ustawie fabrycznych za wyjtkiem: adresu IP, maski podsieci, adresu bramy sieciowej, SSID, flagi DHCP, nazwy systemu, lokalizacji systemu, kontaktów systemowych, trybu pracy, kodu kraju. 3) Restore Factory Defaults and Restart restart z przywróceniem wszystkich ustawie fabrycznych. Oprócz restartu programowego moemy wykorzysta restart poprzez chwilowe odłczenie zasilania modułu (z zachowaniem konfiguracji) lub restart za pomoc przycisku Factory Reset z tyłu urzdzenia.