Onglet Sécurité

Présentation

Control Expert fournit des services de sécurité pour la CPU. Vous pouvez activer et désactiver ces services sur l'onglet Sécurité de Control Expert.

Accès à l'onglet Sécurité

Afficher les options de configuration de Sécurité :

Étape	Action
1	Ouvrez votre projet Control Expert.
2	Double-cliquez sur les ports Ethernet de la CPU dans le rack local (ou cliquez avec le bouton droit sur les ports Ethernet et sélectionnez Ouvrir le sous-module).
3	Sélectionnez l'onglet Sécurité dans la fenêtre Module de communication RIO/DIO pour activer ou désactiver les services Ethernet.

Services Ethernet disponibles

Vous pouvez activer/désactiver les services Ethernet suivants :

Champ		Commentaire
Appliquer la sécurité et Déverrouiller la sécurité		Reportez-vous à la description ci-dessous.
FTP		Activer ou désactiver la mise à niveau du micrologiciel (par défaut), l'accès distant aux données de la carte mémoire SD, l'accès distant au stockage des données et la gestion de la configuration des équipements à l'aide du service FDR. NOTE : Le stockage de données local reste opérationnel, mais l'accès distant au stockage de données est désactivé.
TFTP		Activer ou désactiver (par défaut) la possibilité de lire la configuration des stations RIO et la gestion de configuration des équipements à l'aide du service FDR. NOTE : Activez ce service pour utiliser les modules adaptateurs Ethernet eX80.
HTTPS		Activer ou désactiver (par défaut) le service d'accès Web.
DHCP/BOOTP		Activer ou désactiver (par défaut) l'attribution automatique des paramètres d'adressage IP. Pour DHCP, vous pouvez également activer/désactiver l'attribution automatique du masque de sous-réseau, de l'adresse IP de la passerelle et des noms de serveur DNS.
SNMP		Activer ou désactiver (par défaut) le protocole utilisé pour surveiller l'équipement.
EIP		Activer ou désactiver (par défaut) l'accès au serveur EtherNet/IP.
Contrôle d'accès		Activer (par défaut) ou désactiver l'accès Ethernet aux différents serveurs de la CPU à partir d'équipements de réseau non autorisés.
Adresses autorisées ⁽¹⁾	Sous-réseau	Oui /Non
	Adresse IP	0.0.0.0... 223.255.255.255
	Masque de sous-réseau	224.0.0.0... 255.255.255.252
	FTP	Permet d'accorder l'accès au serveur FTP de la CPU.
	TFTP	Permet d'accorder l'accès au serveur TFTP de la CPU.
	HTTPS	Permet d'accorder l'accès au serveur sécurisé HTTP de la CPU.
	Port 502	Permet d'accorder l'accès au port 502 (servant généralement à la messagerie Modbus) de la CPU.
	EIP	Permet d'accorder l'accès au serveur EtherNet/IP de la CPU.
	SNMP	Permet d'accorder l'accès à l'agent SNMP de la CPU.
¹ Définissez l'option Contrôle d'accès sur Activé pour modifier ce champ.

NOTE : pour savoir comment contrôler les protocoles FTP, TFTP, HTTP et DHCP/BOOTP à l'aide de ce bloc fonction, consultez la section ETH_PORT_CTRL.

Activer/désactiver les services Ethernet

Vous pouvez activer/désactiver les services Ethernet sur l'onglet Sécurité comme suit :

Activez ou désactivez FTP, TFTP, HTTP, EIP, SNMP et DHCP/BOOTP pour toutes les adresses IP. (Vous pouvez utiliser cette fonction uniquement hors ligne. En mode en ligne, l'écran de configuration est grisé.)

– ou –
Activez ou désactivez FTP, TFTP, HTTP, Port 502, EIP et SNMP pour chaque adresse IP autorisée. (Vous pouvez utiliser cette fonction en ligne.)

Réglez les paramètres de l'onglet Sécurité avant de télécharger l'application dans la CPU. Les paramètres par défaut (sécurité maximale) limitent les capacités de communication et l'accès aux ports.

NOTE : Schneider Electric recommande de désactiver les services non utilisés.

Champs Appliquer la sécurité et Déverrouiller la sécurité

Lorsque vous cliquez sur Appliquer la sécurité (paramètre par défaut de l'onglet Sécurité ) :

Les services FTP, TFTP , HTTP, EIP, SNMP et DHCP/BOOTP sont désactivés et le Contrôle d'accès est activé.
Lorsque vous cliquez sur Déverrouiller la sécurité :

Les services FTP, TFTP, HTTP , EIP, SNMP et DHCP/BOOTP sont activés et le Contrôle d'accès est activé.

NOTE : Vous pouvez configurer chaque champ individuellement, une fois le réglage global appliqué.

Utilisation du contrôle d'accès pour les adresses autorisées

Utilisez la page Contrôle d'accès pour limiter l'accès des équipements à la CPU lorsque celle-ci assume le rôle de serveur. Une fois le contrôle d'accès activé dans la boîte de dialogue Sécurité , vous pouvez ajouter les adresses IP des équipements qui doivent communiquer avec la CPU à la liste Adresses autorisées :

Par défaut, l'adresse IP du service de scrutation d'E/S Ethernet intégré à la CPU avec le paramètre Sous-réseau défini sur Oui permet à tout équipement du sous-réseau de communiquer avec la CPU via le protocole EtherNet/IP ou Modbus TCP.
Ajoutez l'adresse IP de tout équipement client pouvant envoyer une demande au service de scrutation des E/S Ethernet intégré à la CPU, qui agit alors en tant que serveur Modbus TCP ou EtherNet/IP.
Ajoutez l'adresse IP de votre PC de maintenance pour communiquer avec le PAC par l'intermédiaire du service de scrutation des E/S Ethernet intégré à la CPU via Control Expert pour configurer et diagnostiquer votre application.

NOTE : le sous-réseau spécifié dans la colonne Adresse IP peut être le sous-réseau lui-même ou n'importe quelle adresse IP du sous-réseau. Si vous sélectionnez Oui pour un sous-réseau ne comportant pas de masque de sous-réseau, une fenêtre pop-up s'affiche et signale qu'une erreur détectée empêche la validation de l'écran.

Vous pouvez indiquer jusqu'à 127 adresses IP ou sous-réseaux autorisés.

Ajout d'équipements à la liste Adresses autorisées

Pour ajouter des équipements à la liste Adresses autorisées , procédez comme suit :

Étape	Action
1	Définissez Contrôle d'accès sur Activé.
2	Saisissez une adresse IP dans la colonne Adresse IP de la liste Adresses autorisées .
3	Saisissez l'adresse de l'équipement pour accéder au service de scrutation des E/S Ethernet intégré à la CPU à l'aide de l'une des méthodes suivantes : Ajouter une seule adresse IP : saisissez l'adresse IP de l'équipement, puis sélectionnez Non dans la colonne Sous-réseau. Ajouter un sous-réseau : saisissez une adresse de sous-réseau dans la colonne Adresse IP. Sélectionnez Oui dans la colonne Sous-réseau. Saisissez un masque de sous-réseau dans la colonne Masque de sous-réseau. NOTE : Le sous-réseau spécifié dans la colonne Adresse IP peut être le sous-réseau lui-même ou n'importe quelle adresse IP du sous-réseau. Si vous entrez un sous-réseau sans masque de sous-réseau, un message indique que l'écran ne peut pas être validé. Un point d'exclamation rouge (!) indique une erreur détectée dans la saisie. Vous ne pourrez enregistrer la configuration qu'une fois cette erreur résolue.
4	Sélectionnez une ou plusieurs des méthodes d'accès suivantes pour l'équipement ou le sous-réseau : FTP , TFTP, HTTP, Port 502, EIP, SNMP .
5	Répétez les étapes 2 à 4 pour chaque équipement ou sous-réseau supplémentaire que vous souhaitez autoriser à accéder au service de scrutation d'E/S Ethernet intégré à la CPU. NOTE : Vous pouvez saisir jusqu'à 127 adresses IP ou sous-réseaux autorisés.
6	Cliquez sur Appliquer.

Suppression d'équipements de la liste Adresses autorisées

Pour supprimer des équipements de la liste Adresses autorisées , procédez comme suit :

Étape	Action
1	Dans la liste Adresses autorisées, sélectionnez l'adresse IP de l'équipement à supprimer.
2	Cliquez sur le bouton Supprimer.
3	Cliquez sur Appliquer.