(一)ModbusTCP協(xié)議分析
ModbusTCP與ModbusUDP的報文格式是一樣的,它們之間的區(qū)別其實就是TCP與UDP的區(qū)別,因此下面就針對ModbusTCP的協(xié)議進行分析,ModbusTCP與ModbusRtu(ModbusASCII)之間的區(qū)別如下圖:
從上圖可以看出,ModbusTCP在Modbus串行通信的基礎上,去除了校驗(由于TCP本身就帶有校驗和)和設備地址(ModbusTCP弱化了設備地址,用IP地址來取代),再加上MBAP報文頭(占7 bytes),下面針對MBAP進行分析說明:(下表可左右滑動)
域 | 長度 | 說明 | 客戶機 | 服務器 |
---|---|---|---|---|
事務處理標識符 | 2字節(jié) | Modbus請求/響應事務處理的標識 | 客戶機啟動 | 復制響應 |
協(xié)議標識符 | 2字節(jié) | 0=Modbus協(xié)議 | 客戶機啟動 | 復制響應 |
長度 | 2字節(jié) | 長度之后的字節(jié)總數(shù) | 客戶機啟動 | 服務器啟動 |
單元標識符 | 1字節(jié) | 串行鏈路或其它總線的從站識別 | 客戶端啟動 | 復制響應 |
下面針對具體報文進行分析,Modbus協(xié)議在以太網(wǎng)鏈路上的報文格式如下所示:(下表可左右滑動)
事務處理標識符 | 協(xié)議標識符 | 長度 | 單元標識符 | 功能碼 | 數(shù)據(jù) |
---|---|---|---|---|---|
2 bytes | 2 bytes | 2 bytes | 1 byte | 1 byte | N bytes |
有了以上理論基礎之后,下面針對各個功能碼進行詳細分析:
(二)讀取輸出線圈
發(fā)送報文格式如下:
發(fā)送報文含義:讀取服務器1號從站輸出線圈,起始地址為0x13=19,對應地址為00020,線圈數(shù)量為0x1B=27,即讀取1號從站輸出線圈,地址從00020-00046,共27個線圈的狀態(tài)值。
這里值得注意一下,協(xié)議中的起始地址指的是索引,后面的地址指的是具體地址,對于任意一個存儲區(qū),索引都是從0開始的,但是對應的具體地址,與存儲區(qū)是相關的,比如輸出線圈,0對應00001;輸入線圈,0對應10001;輸入寄存器,0對應30001;保持寄存器,0對應40001。
返回報文格式如下:
返回報文含義:返回服務器1號從站輸出線圈00020-00046,共27個線圈的狀態(tài)值,返回字節(jié)數(shù)為4個,分別為CD 6B B2 05。
CD=1100 1101 對應 00020-00027
6B=0110 1011 對應 00028-00035
B2=1011 0010 對應 00036-00043
05=0000 0101 對應 00044-00046
(三)讀取輸入線圈
發(fā)送報文格式如下:
發(fā)送報文含義:讀取服務器1號從站輸入線圈,起始地址為0xC4=196,對應地址為10197,線圈數(shù)量為0x1D=29,即讀取1號從站輸入線圈,地址從10197-10225,共29個線圈的狀態(tài)值。
返回報文格式如下:
返回報文含義:返回服務器1號從站輸入線圈10197-10225,共29個線圈的狀態(tài)值,返回字節(jié)數(shù)為4個,分別為CD 6B B2 05。
CD=1100 1101 對應 10197-10204
6B=0110 1011 對應 10205-10212
B2=1011 0010 對應 10213-10220
05=0000 0101 對應 10221-10225
(四)讀取保持寄存器
發(fā)送報文格式如下:
發(fā)送報文含義:讀取服務器1號從站保持寄存器,起始地址為0x6B=107,對應地址為40108,寄存器數(shù)量為0x02=2,即讀取1號從站保持寄存器,地址從40108-40109,共2個寄存器的數(shù)值。
返回報文格式如下:
返回報文含義:返回服務器1號從站保持寄存器40108-40109,共2個寄存器的數(shù)值,返回字節(jié)數(shù)為4個,分別為02 2B 01 06,40108對應數(shù)值為0x022B,40109對應數(shù)值為0x0106。
(五)讀取輸入寄存器
發(fā)送報文格式如下:
發(fā)送報文含義:讀取服務器1號從站輸入寄存器,起始地址為0x6B=107,對應地址為30108,寄存器數(shù)量為0x02=2,即讀取1號從站保持寄存器,地址從30108-30109,共2個寄存器的數(shù)值。
返回報文格式如下:
返回報文含義:返回服務器1號從站輸入寄存器30108-30109,共2個寄存器的數(shù)值,返回字節(jié)數(shù)為4個,分別為02 2B 01 06,30108對應數(shù)值為0x022B,30109對應數(shù)值為0x0106。
(六)預置單線圈
發(fā)送報文格式如下:
發(fā)送報文含義:預置服務器1號從站單個線圈的值,線圈地址為0x00AC=172,對應地址為00173,斷通標志0xFF00表示置位,0x000表示復位,即置位1號從站輸出線圈00173。
返回報文格式如下:
返回報文含義:預置單輸出線圈原報文返回。
(七)預置單寄存器
發(fā)送報文格式如下:
發(fā)送報文含義:預置服務器1號從站單個保持寄存器的值,寄存器地址為0x0087=135,對應地址為40136,寫入值為0x039E,即預置1號從站保持寄存器40136值為0x039E。
返回報文格式如下:
返回報文含義:預置單保持寄存器原報文返回。
(八)預置多線圈
發(fā)送報文格式如下:
發(fā)送報文含義:預置服務器1號從站多個線圈的值,線圈地址為0x0013=19,對應地址為00020,線圈數(shù)為0x0A=10,寫入值為0xCD00,即預置1號從站線圈00020-00027=0xCD=1100 1101,00028-00029=0x00=0000 0000。
返回報文格式如下:
返回報文含義:預置多輸出線圈返回報文是在原報文基礎上除去字節(jié)數(shù)及具體字節(jié)后返回。
(九)預置多寄存器
發(fā)送報文格式如下:
發(fā)送報文含義:預置服務器1號從站多個寄存器的值,寄存器地址為0x0087=135,起始地址為40136,寄存器數(shù)量為0x02=2,結束地址為40137,寫入值為0xCD00和0x0A10,即預置1號從站寄存器40136=0x0105,40137=0x0A10。
返回報文格式如下:
返回報文含義:預置多保持寄存器返回報文是在原報文基礎上除去字節(jié)數(shù)及具體字節(jié)后返回。
文章來自電力微機保護網(wǎng)