直播时间：2019年9月25日（周三）19:30-20:30

主讲专家：李晓炜

课程回看：

http://www.ad.siemens.com.cn/service/elearning/Course/2434.html

直播答疑汇总：

Q1:西门子针对VPN是否有整套的解决方案?

A1:西门子针对VPN技术的话，我们刚才在胶片的内容里也给大家介绍了，针对不同应用场合提供了不同的，支持不同VPN类型及VPN应用、工业现场环境的路由器设备，其中有像SCALANCE S/SC系列防火墙设备，SCALANCE M874可以提供这种移动网络的接入。还有SIMATIC PLC 系列的一些CP通讯卡也可以支持VPN。但是这些方案的话，因为我们今天课程时间有限，没办法一一 的在这里给大家做一个详细的介绍，那如果大家对这部分内容感兴趣的话，可以在课程的开始看到我们有一个小型自动化取证训练营的课程，在这个课程之中，有一部分是专门针对西门子远程解决方案的一个综合介绍。如果大家感兴趣的话，那我这里也是给做一个广告了，大家可以在相应的课程里去看一下。

Q2:SINEMA RC是否需要公网固定IP?

A2:SINEMA RC服务器是一个VPN的服务器，VPN的服务器那就需要它必须在公网上是可达的，而在公网上可达对于它来说必须要有公网的IP,当然这个公网IP可以是固定的，也可以是动态的，但是必须是要有internet的公网IP。
关于SINEMA RC的管理分组设置，可以在西门子的技术支持网站，下载相应的文档，查看详细的步骤。在里面专门是有分组，有分组的功能，那不同的设备分配到不同的组里边，然后组成员之间以及组织间是由什么样的权限，我们都是可以做的。建议大家可以下载详细的入门文档，看一下详细的配置。

Q3:像TEAM VIEWER以及花生壳这样的第三方软件通过什么样的方式远程访问？

A3:就具体的使用方案来说的话，我建议还是问一些第三方。
这个我们不好给出准确答案，但是我猜吧，很可能在他们的云的云服务器平台上会布置有公网IP。我们可以跟云平台做一个VPN的隧道，透过云平台来实现一个数据的中转，但是详细的方案确实我们也不太清楚，建议跟第三方去咨询一下。

Q4:西门子可以通过实现VPN直接访问传动设备，而不是访问工程师站吗？

A4:我们通过VPN建立隧道之后，两边相当于一个局域网，那我们就可以通过局域网来访问到远程的，不管说是驱动设备，还是说其他的设备，跟设备类型是没有关系的。所以说当然是可以的。通过VPN，不光是可以实现对PLC,也可以实现对驱动的直接的操作，只要基于IP的访问都是可以的。

Q5:VPN是优先使用哪种协议？是否是IPsec？

A5:IPsec现在对于3层VPN的来说运用的比较多的一个解决方案，那西门子有专门针对IPsec VPN的设备，可以支持IPsec服务器或者客户端。

但是说，IPsec是不是优先使用的，这个是不一定的，这完全取决于你现场的网络环境和你的网络设备，来决定到底使用哪种VPN协议。每种VPN 协议都有各自的特点，这方面建议大家可以在网络论坛上多看看。

Q6:是否必须需要拥有公网IP才能实现远程通讯？

A6::首先是这样的，我们在公网上传输数据，那必须要有公网IP。有公网IP才能在Internet上直接去识别，所以我们在做VPN连接的时候，它采用的是客户端——服务器的一个关系：客户端发起连接，服务器被动响应。所以作为被动响应的这个角色来说，它需要在Internet上是可达的，所以说对于服务器侧这个设备必须要有公IP地址。

Q7:怎什么识别VPN是3层的还是2层的？

A7:其实是这样的，就是本身在VPN规范制定下就已经区分好2层VPN和3层VPN。3层VPN就像我们刚才所介绍的GRE、IPsec，本身协议上就是一个3层的服务。而像LTP、SSTP这种VPN，他就是一个2层的二封装模式，所以支持2层的同传。所以从协议本身就已经决定它是2层还是3层。对于我们说的话，我们只要知道我们选择的设备是支持什么样的VPN类型，也就可以知道他到底是2层的，也就是能实现的服务是2层的还是三层的。

Q8:西门子有关于使用4G的网络传输案例和设备吗？

A8:西门子有支持4G的路由器是M876-4，但是我们知道对于移动设备在国内使用需要3C认证和入网许可证的，但是M876-4这个模块没有3C认证，因此在国内是买不到的。所以一般如果客户考虑使用4G的方案，暂时西门子在国内是没有相应的设备，我们可以考虑第三方的4G路由器。

Q9:基于VPN的远程访问都是安全可靠的吗？

A9:通过VPN我们对于在公网上传递的数据有相应的加密处理，并且有相应的认证，那这一定程度上肯定是可以保证安全的。

但是从技术上来说，天外有天，人外有人，谁也不能说是绝对保证安全，只能是说在当前的技术上，这已经是一种比较好的手段。

Q10：SINEMA RC使用上会不会出现地域限制，比如跨国应用？

A10:首先从技术上来说，SCANMER RC使用的是OPEN VPN，OPEN VPN封装的时候采用的是TCP IP或者是UDP IP，而且它没有特殊的标识或者端口号能被这个网络运营商去识别，所以相对来说是比较安全的，它不像IPsec，IPsec来说有专门的报文头，然后还有专门的端口号，所以运营服务商比较容易去识别它，这样的话，如果比较容易识别就容易被禁止或者被限制。

Q11:SINEMA RC的虚拟IP 在工厂私网也有怎么办？

A11:虚拟IP只存在于SINEMA RC的网络里边，也就是说以中心的SINEMA RC服务器为中心，和远程各个远程节点之间，这个虚拟网络之间存在这个私有IP的概念，一旦访问的数据包到达了远程设备，远程设备会把这个虚拟IP再翻译成它实际的IP，这样，当这个实际的IP地址到达工厂的私网以后，其实IP已经是翻译回去的那个IP地址，所以不存在虚拟IP和工厂私网IP有冲突的情况。

Q12:利用VPN能在Internet上传送ProfiNet数据吗？

A12:profinet通讯基于以太网的2层和3层，如果我们建立一个2层的VPN，那从技术上的话，透过Internet也能实现profinet，但是需要一系列复杂的设置，从可用性来说的话，profinet我们的定义是工业现场总线，工业现场总线，所以对于实时性要求是比较高的，那就算技术上能实现跨internet?实现profinet，当前技术下由于运营服务商网络带宽和稳定性的不确定性，通过VPN的延迟是比较大的而且不确定的，那就算技术手段上能实现，实际的刷新时间也要设置的非常大，这么来说也就丧失了对实时性的保证，没有实际的意义。

技术角度的话，我们可以通过一些设置确实可以实现，但是从应用来说不具有可用性。

Q13:支持除了西门子以外的PLC连接吗？跨国访问是否可以？

A13:从VPN技术来说的话，对于两侧的终端设备其实是透明的，也就是说对于VPN隧道一旦建立之后，两端的设备是西门子的还是不是西门子的，其实无所谓，如果用3层的VPN，只要基于IP的应用，不管你是PLC、驱动或者PC都是可以通过的，没有问题。

Q14:RC在使用上会不会出现地域限制，比如跨国应用？

A14:SINEMA RC的授权最大点数是1024，他是支持授权叠加的，那所以对于我们的客户来说，如果说你1024点不够了，你再买一个1024点或者再买一个其他点数的授权把它导到SINEMA RC的服务器里边，授权是可以叠加的。

Q15:有网友说通过VPN远程调试会有大概两秒钟左右的延时？

A15:我觉得是这样的，毕竟VPN通讯是透过Internet。很多的中间环节都是经过的运营服务商的网络，运营服务商的网络状况是如何，经过的路由器跳数是多少，包括现场VPN的设备的转发是如何，带宽是如何，都可能造成一定的延时，所以总的来说，我觉得之前网友说大概延迟两秒钟，我觉得这个还可以了，所以我觉得我们大家不要觉得通过VPN远程访问就可以跟现场是完全一样的，那毕竟中间要经过复杂的网络，所以这个延时的话势必是会有的。

Q16:VPN的选型？

A16:我建议大家可以跟西门子的销售多联系一下，西门子针对VPN也是有全套的解决方案，如果代理商不能提供有效的方案，建议大家直接联系下西门子的销售。

欢迎大家继续盖楼讨论