西門子通信協(xié)議S7COMM

1、西門子通信協(xié)議S7C0MM首先，這里所說的S7Comm協(xié)議只是西門子S7通訊協(xié)議簇里的一種，以0 x32開始的報(bào)文結(jié)構(gòu)。1、S7Comm協(xié)議結(jié)構(gòu)：借助WireShark抓包，可以看到，S7Comm以太網(wǎng)協(xié)議基于OSI模型：OSIlayerProtocol7ApplicationLayerS7communication6PresentationLayerS7communication(COTP)5SessionLayerS7communication(TPKT)4TransportLayerISO-on-TCP(RFC1006)3NetworkLayerIP2DataLinkLayerEther

2、net1PhysicalLayerEthernet其中，第14層會(huì)由計(jì)算機(jī)自己完成(底層驅(qū)動(dòng)程序)；關(guān)于這些神馬的定義，大家可以上網(wǎng)查一下；第5層TPKT，應(yīng)用程數(shù)據(jù)傳輸協(xié)議，介于TCP和COTP協(xié)議之間；這是一個(gè)傳輸服務(wù)協(xié)議，主要用來(lái)在COTP和TCP之間建立橋梁；TPKTisanencapsulationprotocol.ItcarriestheOSIpacketinitsownpacketsdatapayloadandthenpassestheresultingstructuretoTCP,fromthenon,thepacketisprocessedasaTCP/IPpacket.Th

3、eOSIprogramspassingdatatoTPKTareunawarethattheirdatawillbecarriedoverTCP/IPbecauseTPKTemulatestheOSIprotocolTransportServiceAccessPoint(TSAP).第6層COTP，按照維基百科的解釋，COTP是OSI7層協(xié)議定義的位于TCP之上的協(xié)議。COTP以“Packet為基本單位來(lái)傳輸數(shù)據(jù)，這樣接收方會(huì)得到與發(fā)送方具有相同邊界的數(shù)據(jù)；第7層，S7communication，這一層和用戶數(shù)據(jù)相關(guān)，對(duì)PLC數(shù)據(jù)的讀取報(bào)文在這里完成；剛看到TPKT和COPT也許會(huì)很迷惑，其實(shí)

4、在具體的報(bào)文中，TPKT的作用是包含用戶協(xié)議(57層)的數(shù)據(jù)長(zhǎng)度(字節(jié)數(shù))；COTP的作用是定義了數(shù)據(jù)傳輸?shù)幕締挝?在S7Comm中PDUTYPE:DTdata)；S7Comm與標(biāo)準(zhǔn)TCP/IP比較：S7Comm是一個(gè)7層協(xié)議；TCP/IP是四層協(xié)議，用戶數(shù)據(jù)在第四層TCP層完成；計(jì)算機(jī)與PLC進(jìn)行通訊，可以連接102端口，這是西門子開放的一個(gè)通訊端口；2、第七層S7communication協(xié)議S7communication包含三部分：1-Header；2-Parameter；3-Data。根據(jù)實(shí)現(xiàn)的功能不同，S7communication協(xié)議的結(jié)構(gòu)會(huì)有所不同；例如，請(qǐng)求數(shù)據(jù)報(bào)文只包含前兩

5、部分；Header*01(1byte):protocolId:0 x32;*02a(1byte):ROSCTR:Job(01);*02b(2byte):redundancyidentification(reserved):0 x0000;*2c(2byte):protocoldataunitreference;itsincreasedbyrequestevent;*2d(2byte):parameterlength-thetotallength(bytes)ofparameterpart;*2e(2byte):datalength;讀取PLC內(nèi)部數(shù)據(jù)，此處為0000;對(duì)于其他功能，例如：讀取C

6、PU的型號(hào)，此處為Data部分的數(shù)據(jù)長(zhǎng)度；Parameter(讀取數(shù)據(jù))*3(1byte):functioncode:ReadVar(0 x04)；writeVar(0 x05);*4(1byte):itemcount;*5(1byte):variablespecification:0 x12;*6(1byte):lengthoffollowingaddressspecification-is712lengthinbyte;*7(1byte):syntaxId:S7ANY(0 x10);*8(1byte):transportsize:BYTE(2);*9(2byte):requesteddat

7、alength;*10(2byte):DBnumber;如果訪問的不是DB區(qū)域，此處為0000;*11(1byte):Area:0 x84=datablock(DB);0X82=outputs(Q);0 x81=inputs(I);0 x83=Flags(M);0 x1d=S7timers(T);0 x1c=S7counters(C);*12(3byte):address-startaddressfromzerobit*5*12構(gòu)成了一個(gè)基本的數(shù)據(jù)請(qǐng)求單元Item,對(duì)多個(gè)不同地址區(qū)域的數(shù)據(jù)請(qǐng)求，就是有多個(gè)Item構(gòu)成的Parameter部分的數(shù)據(jù)結(jié)構(gòu)可以總結(jié)為：Functioncode+Ite

8、mcount+Item1+Item2.ItemnData任何數(shù)據(jù)。3、S7Comm以太網(wǎng)通訊過程（以1500PLC為例）計(jì)算機(jī)與1500PLC進(jìn)行S7Comm以太網(wǎng)通訊，需經(jīng)過三個(gè)過程：握手”當(dāng)PC與PLC通過Socket建立鏈接時(shí)，會(huì)進(jìn)行三次握手”，這是標(biāo)準(zhǔn)的TCP連接方式；這個(gè)過程會(huì)有Socket自動(dòng)完成；通訊請(qǐng)求在握手”之后，并不能馬上進(jìn)行數(shù)據(jù)交換，還需要通訊請(qǐng)求”過程。這個(gè)過程包含兩次報(bào)文交換：1PC發(fā)送COTP報(bào)文給PLC;在COTP報(bào)文中包含連接請(qǐng)求和“destinationTSAP-”明確CPU的機(jī)架號(hào)和槽號(hào)；PLC反饋COTP報(bào)文，包含連接確認(rèn)”；這樣PLC就清楚了需要和那個(gè)CPU來(lái)進(jìn)行數(shù)據(jù)通訊；2PC發(fā)送S7Comm報(bào)文給P