西门子CPU1211C中央处理器西门子代理商 西门子总代理

西门子CPU1211C中央处理器西门子代理商 西门子总代理

西门子CPU1211C中央处理器西门子代理商 西门子总代理

西门子中国总公司-浔之漫智控技术（上海）有限公司经营西门子全新原装现货PLC；S7-200S7-300S7-400 S7-1200 触摸屏，变频器，6FC，6SN，S120 G120C V90V80伺服数控备件：原装进口电机（1LA7、1LG4、1LA9、1LE1），国产电机（1LG0，1LE0）大型电机（1LA8，1LA4，1PQ8）伺服电机（1PH，1PM，1FT，1FK，1FS）西门子全新原装产品‘质保一年。西门子伺服驱动器现货

西门子PLC代理商  西门子PLC模块代理商  西门子PLC通讯模块代理商  西门子PLC模拟量模块代理商 西门子PLC模块总代理商

西门子S7协议底层原理分析

前言

前面我们对ModbusRTU协议、ModbusTCP协议、欧姆龙FinsTCP协议、三菱SLMP协议都做了说明：

今天我们来分享一下关于西门子S7协议的通信分析。

西门子作为一个老牌工控企业，在中国市场拥有很高的市场占有率。如果要说起西门子的通信协议，相信大家多多少少能说出一些，比如MPI、PPI、USS、Profibus、Profinet、S7等，西门子在协议的开放性方面还是相对要封闭一些，很多协议都是不开放的。

在这里，我主要是结合Wireshark抓包工具，跟大家去分享一下，如何是一步一步抓取西门子S7通信协议底层通信报文的，希望通过我一步一步地分析，（获取资料加）让大家都能够对西门子S7协议有所了解的也学会基本的抓包操作与报文分析。

值得说明一下，西门子S7协议非开放协议，以下内容，仅供学习参考。

环境搭建

1、我们要准备要准备一个西门子的PLC，并保证PLC与PC之间的网络连接正常。PS：对于手头没有PLC的小伙伴，可以查看这篇文章：

基于S7-PLCSIMAdvanced搭建S7通信仿真环境

2、为了抓取到通信的报文，需要实现PC与PLC之间的通信，这里我采用的方式是通过KepServerV6.4来实现，后台关键词：OPC学习套装。

3、安装Wireshark抓包软件（获取资料加），后台回复关键词：Wireshark。

4、认识S7协议的网络模型。

操作步骤

1、将KepServer与PLC之间的通信连接配置好；

2、将Wireshark软件打开，并处于监控报文状态；

3、将KepServer进行连接PLC，此时Wireshark软件中会出现报文的数据，将KepServer连接停止并关闭软件，将Wireshark的监控停止（获取资料加)，以便进行后续的报文分析；

协议分析

1、我们发现西门子的S7通信并不是简简单单的TCP通信，在TCP执行三次握手之后，还需要发送两次连接验证，在两次连接验证之后，才进行真正的数据交互。

2、三次握手过程，如下图所示：

3、S7连接第一次验证，如下图所示：

4、S7连接第二次验证，如下图所示：

5、四次挥手过程，如下图所示：

6、S7第一次验证发送报文分析：

TPKT（第五层：会话层）

该层总共占4个字节：

版本号：0x03

预留：0x00

长度：0x0016

COTP（第六层：表示层）

该层总共占用18个字节：

长度：0x11

PDU类型（CR Connect Request连接请求）：0x0E

目标引用：0x0000

源引用：0x0001

扩展格式/流控制：0x00

参数代码 TPDU-Size：0xC0

参数长度：0x01

TPDU大小：0x0A

参数代码 SRC-TASP：0xC1

参数长度：0x02

源TSAP SourceTSAP:0x0201

参数代码 DST-TASP：0xC2

参数长度：0x02

目标TSAP DestinationTSAP:0x0201

7、S7第一次验证返回报文

TPKT（第五层：会话层）

该层总共占4个字节：

版本号：0x03

预留：0x00

长度：0x0016

COTP（第六层：表示层）

该层总共占18个字节：

长度：0x11

PDU类型（CC Connect Confirm连接确认）：0x0D

目标引用：0x0001

源引用：0x0006

扩展格式/流控制：0x00

参数代码 TPDU-Size：0xC0

参数长度：0x01

TPDU大小：0x0A

参数代码 SRC-TASP：0xC1

参数长度：0x02

Source TSAP:0x0201

参数代码 DST-TASP：0xC2

参数长度：0x02

DestinationTSAP:0x0201

8、S7第二次验证发送报文

TPKT（第五层：会话层）

该层总共占4个字节：

版本号：0x03

预留：0x00

长度：0x0019

COTP（第六层：表示层）

该层总共占3个字节：

长度：0x02

PDU类型（DT Data）：0XF0

目标引用：0x80

S7Communication（第七层：应用层）

该层总用占18个字节(获取资料加），并且分两部分：

Header：

协议ID（ProtocolID）：0x32

ROSCTR：0x01

预留：0x0000

协议数据单元引用：0x037C

参数长度：0x0008

数据长度：0x0000

Parameter：

功能码：0xF0

预留：0x00

Zui大AmQ（Calling）:0x0001

Zui大AmQ（Called）:0x0001

PDU长度：0x03C0

9、S7第二次验证返回报文

TPKT（第五层：会话层）

该层总共占4个字节：

版本号：0x03

预留：0x00

长度：0x0019

COTP（第六层：表示层）

该层总共占3个字节：

长度：0x02

PDU类型（DT Data）：0XF0

目标引用：0x80

S7Communication（第七层：应用层）

该层总用占20个字节，并且分两部分：

Header：

协议ID（ProtocolID）：0x32

Ack_Data：0x03

预留：0x0000

协议数据单元引用：0x037C

参数长度：0x0008

数据长度：0x0000

错误等级：0x00

错误代码：0x00

Parameter：

功能码：0xF0

预留：0x00

Zui大AmQ（Calling）:0x0001

Zui大AmQ（Called）:0x0001

PDU长度：0x00F0

10、读取数据发送报文：读取DB1.DBX0.0开始的4个字节

TPKT（第五层：会话层）

该层总共占4个字节：

版本号：0x03

预留：0x00

长度：0x001F

COTP（第六层：表示层）

该层总共占3个字节：

长度：0x02

PDU类型（DT Data）：0XF0

目标引用：0x80

S7Communication（第七层：应用层）

该层总用占24个字节，并且分两部分：

Header：

协议ID（ProtocolID）：0x32

Ack_Data：0x01

预留：0x0000

协议数据单元引用：0x037D

参数长度：0x000E

数据长度：0x0000

Parameter：

功能码 Read Var：0x04

通信项数：0x01

通信项1：

通信项Header

变量指定：0x12

地址长度：0x0A

Syntax ID:0x10

传输数据类型 byte：0x02

通信项Param

读取长度：0x04

DB号：0x01

存储区类型 DB存储区：0x84

开始字节：0x000000

11、 读取数据返回报文

TPKT（第五层：会话层）

该层总共占4个字节：

版本号：0x03

预留：0x00

长度：0x001D

COTP（第六层：表示层）

该层总共占3个字节：

长度：0x02

PDU类型（DT Data）：0XF0

目标引用：0x80

S7Communication（第七层：应用层）

该层总用占22个字节（获取资料加），并且分两部分：

Header：

协议ID（ProtocolID）：0x32

Ack_Data：0x03

预留：0x0000

协议数据单元引用：0x037D

参数长度：0x0002

数据长度：0x0008

错误等级：0x00

错误代码：0x00

Parameter：

功能码 Read Var：0x04

通信项数：0x01

通信项1：

返回结果Success：0xFF

传输数据类型Byte/Word/DWord：0x04

长度：0x0020

数据：0x00000000

————————————————

版权声明：本文为CSDN博主「常哥说编程」的原创文章，遵循CC4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。

原文链接：https://blog.csdn.net/xiketangAndy/article/details/120370736

PLC的置位-复位触发器指令符号功能介绍实例

 关于plc置位与复位触发器指令的用法，介绍了plc的置位-复位触发器指令符号，以及置位-复位触发器指令说明表，供大家学习参考。

  plc的置位-复位触发器指令符号

  表 置位-复位触发器指令说明表