工业以太网杂谈(二)(文末有彩蛋)

上一节和大家分享了WireShark对Modbus TCP/IP的解析(点击查看),本节和大家来聊一聊西门子工业以太网,谈到西门子工业以太网,我认为有些工程师还是比较混淆,会很简单的认为西门子工业以太网就是ProfiNet,其实不然,西门子工业以太网包含如下几种: 

ISO,通过MAC地址实现数据交互,常用于控制器和上位机之间的通讯。

ISO on TCP,通过IP地址实现数据交互,常用语控制器和控制器通讯,或者控制器和上位机通讯。

Profinet RT,通过IP地址+GSD文件实现数据交互,常用于控制器和IO之间的通讯。

Profinet IRT,对于对时间要求严格的场景,数据的循环刷新时间小于1ms,循环扫描周期的抖动时间不大于1us(微秒),我们推荐Profinet IRT,常用于运动控制,或者Profinet RT 10ms数据刷新周期不满足要求的场合。

本章:

主要给大家通过Wireshark来分析S7COMM工业以太网协议,也就是我们常说的S7协议。 

PLC里表现为PUT/GET,上位机表现为S7Net,C#,Python爱好者看到的是Snap7: 

图片

通过上图可以发现,关于S7协议,连接参数至少要包含如下内容:

IP地址,CPU机架号,CPU槽号,协议端口号:102

变量地址包含如下类型:

输入地址(I):

I:输入位地址,I0.0  长度:1个bit,可理解为开关量输入

IB:输入字节地址:IB0 长度:1个字节,可理解为模拟量输入

IW:输入字地址:IW0 长度:1个16位整型,可理解为模拟量输入

ID:输入双字地址:ID0 长度:1个32位双整型或者浮点型,可理解为模拟量输入

输出地址(Q):

Q:输出位地址,Q0.0  长度:1个bit,可理解为开关量输出

QB:输出字节地址:QB0 长度:1个字节,可理解为模拟量输出

QW:输出字地址:QW0 长度:1个16位整型,可理解为模拟量输出

内存地址(M):

M:内存变量位地址,M0.0  长度:1个bit

MB:内存变量字节地址:MB0 长度:1个字节

MW:内存变量字地址:MW0 长度:1个16位整型

MD:内存变量双字地址:MD0 长度:1个32位双整型或者浮点型

数据块地址(DB):

DBX:数据块中位地址       长度:1个bit

DBB:数据块中字节地址     长度:1个字节

DBW:数据块中字地址      长度:1个16位整形

DBD:数据块中双字地址     长度:1个32位整型或者32位浮点数

DBL:数据块中四字地址     长度:1个64为整形或者64位双精度浮点数

以上数据变量地址我们分为四个区域,分别对应的区域代码如下: 

输入区域(I):0x81
输出区域(Q):0x82
内存区域(M):0x83
数据块区域(DB):0x84

对于S7COMM协议的功能码包含2个,一个读取数据功能码(0x04)一个写入数据功能码(0x05)。 

所以一条完整的S7COMM协议数据单元包含有三部分:

图片

注意:如果该数据包是读请求数据包,则数据包不含有Data数据域部分,只包含Header和Parameter。

数据请求协议头(Header)由如下部分组成:

图片

注意:如果该数据包位数据响应数据包,则Header协议头多了两个错误域,分别是错误类和错误代码。

图片

Parameter(参数): 

Parameter参数由功能码和变量Item组成。 

请求数据包Parameter参数如下: 

图片

响应数据包Parameter参数如下: 

图片

常见功能码如下:

0x04:读变量

0x05:写变量

0xF0:通讯参数设置

以上我们介绍了S7COMM的基础协议规范,接下来我们用三个软件来进行仿真并用WireShark抓包,我们来将以上规范和数据包进行对应分析。

本文用到的软件如下:

1.WiSCADA 3.0 WEB工业组态软件
    用于仿真I,Q,M区域的数据读写。

2. Snap7 server
    用于提供DB区域的数据。

3.Snap7 Client
    用于仿真DB区域的数据读写。

4.Wireshark
   用于数据报抓取。

首先我们启动SNAP7 SERVER,运行S7 server的仿真软件我们部署在192.168.20.153的机器上,接下来我们启动SNAP7 Client,运行S7 Client 的仿真软件我们部署在本机,本机IP为192.168.20.124;WireShark 和 WiSCADA 3.0 均部署在192.168.20.124这台机器上; 

图片

接下来我们启动S7 Client仿真软件: 

图片

当出现Get system info OK,则说明客户端仿真软件已经成功连接到了仿真控制器。 

接下来我们分别执行如下命令:

启动Wireshark选择到网卡,开始抓取 

读取全部DB1的数据 

图片

从DB1.DBB0连续写入10个数分别是1-10 

图片

接下来我们先来看读取全部DB1的数据报文: 

图片

我们可以看到3760号报文为请求,DB1数据块信息的报文,3761号报文为3760的响应报文,3762号报文为变量读取报文,3763号为3762的响应报文;8033号报文为写入数据报文,8034号报文为8033的响应报文。

我们先来展开分析3762号报文: 

图片

物理层:Frame 3762,第3762号数据帧,线路上85个字节数据,从接口NPF_...获取到了85字节数据

数据链路层:源MAC地址(34:f3:9a:39:e4:96)和目的MAC地址(4e:ca:20:c4:32:bf)

网络层:IPv4,源IP地址(192.168.20.124),目的IP地址(192.168.20.153)

传输层:源端口:53094,目的端口:102(S7协议端口)序列号:39,确认号:112,长度:31

TPKT: 为上层的ISO和下层的TCP做过渡,属于传输服务协议,类似的还有我们常见的RDP远程桌面协议。(下篇讲解)

ISO8073/x.224 CPTP 面向连接的传输协议(下篇讲解)

应用层:S7 Communication

图片

我们知道3762号数据帧为读数据请求包,所以没有Data域,Header和Paramter参数如下: 

图片

协议ID:所有的S7COMM协议的起始字节均为0x32,所以该协议是0x32开始的协议。

ROSCTR:PDU类型,此字段是整个Header最重要的一部分,他决定了后面Parameter参数的结构,PDU的类型主要包含如下几种:

Job:0x01 , 主设备请求,作业请求。由Client设备发送的请求(包括读/写变量,通讯参数设置等)

ACK_DATA: 0x03,响应Job的请求,一般由Server 设备发出。

UserData:0x07 ,协议扩展,可用于读取时钟,读取控制器状态,读取DB块信息,上下载或者读取SZL。

上图ROSCTR为0x01,所以是读写变量的Job报文。

功能码 0x04:读变量

Item:DB1.DBX 0.0 Byte 462,为DB块地址;

Area:0x84说明读取的变量区域为DB块区域;

以上信息均与我们前面讲到的协议基础相对应。

这个Frame3762的含义就是:

MAC地址为34:f3:9a:39:e4:96,IP地址为192.168.20.124,向目的MAC地址为4e:ca:20:c4:32:bf,IP地址为192.168.20.153的102端口,通过S7COMM协议去读取DB1.DBX 0.0 开始的462个字节的数据请求。

接下来我们看3763号响应报文: 

图片

这个Frame3763的含义就是:

MAC地址为4e:ca:20:c4:32:bf,IP地址为192.168.20.153的102端口向目的MAC地址为34:f3:9a:39:e4:96,IP地址为192.168.20.124,响应S7COMM协议去读取DB1.DBX 0.0 开始的462个字节的报文,并返回462个字节的数据。

接下来我们看写数据报文的区别,我们展开8033号数据帧:

图片

由上图看到和3762号读数据报文不一样的地方,功能码:0x05变成了写变量,多了数据字段,所以上图报文的含义为:

MAC地址为34:f3:9a:39:e4:96,IP地址为192.168.20.124,向目的MAC地址为4e:ca:20:c4:32:bf,IP地址为192.168.20.153的102端口,通过S7COMM协议去写入DB1.DBX 0.0 开始的10个字节的数据请求。写入数据分别是01,02,03,04,05,06,07,08,09,10

对应的8034号响应报文为: 

图片

PDU类型变成了响应数据,无故障,功能码为0x05,并返回状态数据为写入成功。

以上我们分析了DB块区域(0x84)的读写报文,接下来我们来看看I,Q,M有什么区别?

我们用WiSCADA 3.0建立一个S7Net的驱动,并建立I0.0,IB0,Q0.0 QB0 M0.0和MB0的数据地址如下:

图片

S7Net连接参数我们还是设置到192.168.20.153,我们仿真S1500,所以CPU机架号和位置都设置为0,如果是S7-300,CPU位置设置为2,S7-400 CPU位置设置为3,端口号设置为102,启动WiSCADA 3.0变量仿真环境,并开启Wireshark。 

图片

Wireshark报文如下:

图片

我们来展开285号报文: 

图片

285号报文和3762号报文的主要区别为Area变为了0x81,输入地址区;因此该报文是去192.168.20.153去读取I0.0 – I0.7一个字节的数据。

286号报文:

图片

285号报文的响应报文,结果为请求的变量地址不存在;因为我们的S7服务端软件只能仿真DB区域,没有Input输入区,所以响应结果为变量不存在。 

 

文末彩蛋

文末附上287号和289号报文,大家可以评论区留言287和289的报文含义以及猜想下288和290号报文的Data字段。

图片

图片

留言+转发+进剑指工控技术群

获取文章中的西门子S7协议仿真软件

未进群的小伙伴,

请关注“剑指工控“微信公众号,

添加管理员(zjing_micky)

……

未完待续

作 者 简 介

曹俊义

工业物联网资深构建专家

工厂智能化改造践行专家

资深工业网络通讯专家

工业自动化控制系统专家

ProSoft产品顶级技术专家

图片

工业通讯领域沉浸十数年,深喑各种工业通讯协议和工业网络架构以及国内外多种主流PLC应用和操作、熟知罗克韦尔、施耐德、西门子、GE等知名品牌的冗余系统,对工业无线通讯、工业物联网、工业IT与OT的融合,有着前瞻性的独到见解和务实的实践经验。

现任伟联科技董事长。努力为中国工业信息化、数字化、智能化的深入发展做出贡献。