CP通讯处理器功能概述

阅读本文大约需要4分钟

CP（Communication Processor）是将PLC或PC与工业以太网相连接，用于发送和接收数据的通讯介质，它支持PROFINET IO和OPC UA。常见的CP有与S7-300连接的CP343-1(Advance)、与S7-400连接的CP443-1(Advance)、与S7-1200连接的CP1243-1、与S7-1500连接的CP1543-1和安装于工程师站和操作员站的CP1628。

CP集成了自动跨接、自动协商、自动检测功能以及ERTEC端口，可以方便的在线性总线或环网中连接其他以太网设备，减轻CPU的通信负担。

CP支持的服务主要有：

（1）CP可用作PROFINET IO控制器或设备。

（2）支持基于ISO、ISOonTCP、TCP、UDP连接的开放式通信服务。

（3）在环型拓扑的以太网网络中，支持介质冗余协议MRP。

（4）支持Web诊断，可使用Web浏览器通过从CP连接到PG/PC的站中读出诊断数据。

（5）PLC在工业以太网中允许同时建立的连接总数是有限的，通过CP连接到网络中可以扩大连接的资源数。

近年来，工业信息安全逐渐受到了大家的重视。在自动化网络中，每个自动化单元的通信安全是整个信息安全的基础，而CP在这里不仅仅作为通信介质，并且具有许多信息安全功能。包括：

（1）防火墙功能。可进行网络状态监测，防止未经授权的访问。

（2）VPN。防止访问控制点时被窃取信息，支持多个VPN隧道。

（3）网络分段。通过CP与上层网络连接，PLC与下层自动化单元连接，实现了单元防护的作用。

（4）SNMP V3。用于安全传输网络分析信息，使其免受窃听。

（5）NAT/NAPT（Network Address Transition）。私有/公有地址间的转换，避免来自外部网络的攻击。

（6）NTPV3（Network Time Protocol）。用于时钟同步期间的安全传输。

（7）Https和Ftps。实现加密访问和安全传输。

（8）使用证书进行验证。CP支持OPCUA，可以承担OPCUA服务器和OPCUA客户端的角色，并使用证书验证CP与OPCUA通信伙伴之间的通信。

（9）写保护。可以阻止对CPU数据区的些访问。

西门子针对工业控制系统的安全威胁提供了纵深防御解决方案，它主要包括三个部分：工厂安全、网络安全、系统完整性。基于纵深防御解决方案可以实现控制系统的用户认证、网络分段、隔离区（DMZ）、远程访问（VPN）、系统冗余、病毒扫描、补丁管理、应用白名单等。

对于整个工厂网络来说，为了防止外界从不同途径进入自动化网络，采取了如图1所示的网络安全措施。

图1网络安全措施

从图中可以看出，将网络分割是一个主要的措施，这样整个系统便被划分成了一个个自动化单元，外界只能通过SCALANCE S和CP访问单元中的设备，那么所有自动化单元之间都带有防火墙功能和授权访问机制，这样就保证了整个网络系统的安全。

下图的标准控制系统防护中，通过部署SCALANCE S安全模块与CP通信处理器。即可以分离优化PLC的控制与上位通讯，又为控制单元提供了安全防护。如图2。

图2 带有防火墙和网络分段功能的自动化单元拓扑图

图中将CP1543-1、CP343-1、CP443-1置于受保护的自动化单元前面，可以对出入自动化单元的通信进行控制，只允许建立被许可的连接；并同时通过CP将网络分段，降低风险，增强网络的安全性。

对于一个PC系统，同样可以使用CP进行安全防护，如图3所示。

图3CP1628实现网络分段和防护墙功能

PC系统（如操作员站）加装CP1628可以防止自动化系统被窥探、数据篡改和意外访问。

文字编辑丨郑文

微信编辑丨老干部

责任编辑丨攻城尸 郑文

责任主编丨CI新媒体工作室