MODBUS TCP の設定

blank.gifMODBUS TCP について

blank.gifMODBUS TCP サーバとしてのスイッチの設定

blank.gifMODBUS TCP 情報の表示

MODBUS TCP について

インテリジェント電子機器(IED)、分散型コントローラ、変電所ルータ、Cisco IP 電話、シスコ ワイヤレス アクセス ポイント、その他のネットワークデバイス(たとえば冗長 変電所スイッチ)などのデバイスにスイッチを接続するときは、イーサネットネットワーク上で Modicon Communication Bus(MODBUS)TCP を使用します。

MODBUS は、スイッチ(サーバ)と MODBUS クライアントソフトウェア(クライアント)を実行しているネットワーク内のデバイス間でクライアント/サーバ通信を実現するシリアル通信プロトコルです。MODBUS を使用して、遠隔監視制御・情報取得(SCADA)システムのリモート端末ユニット(RTU)にコンピュータを接続できます。

クライアントは、IED、または MODBUS TCP を実行しているデバイスをリモートで設定および管理するヒューマン マシン インターフェイス(HMI)アプリケーションとすることができます。スイッチはサーバとして機能します。

スイッチは、MODBUS TCP アプリケーション データ ユニット(ADU)で要求または応答メッセージをカプセル化します。クライアントは、スイッチの TCP ポートにメッセージを送信します。デフォルトのポート番号は 502 です。

blank.gifMODBUS とセキュリティ

blank.gif複数の要求メッセージ

MODBUS とセキュリティ

ファイアウォールまたはその他のセキュリティサービスが有効になっている場合、スイッチの TCP ポートがブロックされることがあり、その場合スイッチとクライアントが通信できません。

ファイアウォールおよびその他のセキュリティサービスが無効になっている場合、スイッチでサービス妨害攻撃が発生する可能性があります。

blank.gifサービス妨害攻撃を防止し、特定のクライアントがスイッチ(サーバ)にメッセージを送信できるようにするには、送信元 IP アドレス 10.1.1.n からのトラフィックのみを許可する、この標準アクセスコントロールリスト(ACL)を使用できます。

interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 1 in
!
access-list 1 permit 10.1.1.0 0.0.0.255
 

blank.gifQuality of Service(QoS)を設定して、MODBUS TCP トラフィックのレート制限を設定するには、次のようにします。

interface FastEthernet0/1
ip address 10.1.1.1 255.255.255.0
ip access-group 1 in
rate-limit input access-group 101 8000 8000 8000 conform-action transmit exceed-action drop
!
access-list 101 permit tcp 10.1.1.0 0.0.0.255 any eq 502
 

複数の要求メッセージ

スイッチは、クライアントから複数の要求メッセージを受信し、それらに同時に応答することができます。

クライアント接続の数は 1 ~ 5 の間で設定できます。デフォルトは 1 です。

MODBUS TCP サーバとしてのスイッチの設定

blank.gifデフォルト

blank.gifスイッチでの MODBUS TCP の有効化

デフォルト

スイッチは MODBUS TCP サーバとして設定されていません。

TCP スイッチポート番号は 502 です。

同時接続要求の数は 1 です。

スイッチでの MODBUS TCP の有効化

特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

1.blank.gif

configure terminal

グローバル コンフィギュレーション モードを開始します。

2.blank.gif

scada modbus tcp server

スイッチ上で MODBUS TCP をイネーブルにします。

3.blank.gif

scada modbus tcp server port tcp-port-number

(任意)クライアントがメッセージを送信する TCP ポートを設定します。 tcp-port-number に指定できる範囲は 1 ~ 65535 です。デフォルトは 502 です。

4.blank.gif

scada modbus tcp server connection connection-requests

(任意)スイッチに送信される同時接続要求の数を設定します。 connection-requests に指定できる範囲は 1 ~ 5 です。デフォルトは 1 です。

5.blank.gif

end

特権 EXEC モードに戻ります。

6.blank.gif

show scada modbus tcp server

サーバ情報と統計情報を表示します。

7.blank.gif

copy running-config startup config

(任意)コンフィギュレーション ファイルに設定を保存します。

スイッチで MODBUS を無効にしてデフォルト設定に戻すには、 no scada modbus tcp server グローバル コンフィギュレーション コマンドを入力します。

サーバおよびクライアントの統計情報を消去するには、 clear scada modbus tcp server statistics 特権 EXEC コマンドを入力します。

スイッチで MODBUS TCP を有効にすると、次の警告が表示されます。

WARNING: Starting Modbus TCP server is a security risk.
Please understand the security issues involved before
proceeding further. Do you still want to start the
server? [yes/no]:

MODBUS TCP を使用しているときにセキュリティを追加するには、特定のクライアントからのトラフィックを許可するように ACL を設定するか、または QoS を設定してトラフィックをレート制限します。

MODBUS TCP 情報の表示

 

コマンド
目的

show scada modbus tcp server

サーバ情報と統計情報を表示します。

show scada modbus tcp server connections

クライアント情報と統計情報を表示します。