西门子PLC S7- 300的模型：

模块分别为

1.电源模块（PS），供电专用
2.CPU模块（CPU），负责处理信息
3.通信模块（IM）
4.数字量输入模块（DI）
5.数字量输出模块（DO）
6.模拟量输入模块（AI）
7.模拟量输出模块（AO）

一、S7协议结构

S7Comm（S7 Communication）是西门子专有的协议，是西门子S7通讯协议簇里的一种。
S7协议的TCP/IP实现依赖于面向块的ISO传输服务。S7协议被封装在TPKT和ISO-COTP协议中，这使得PDU（协议数据单元）能够通过TCP传送。它用于PLC编程，在PLC之间交换数据，从SCADA（监控和数据采集）系统访问PLC数据以及诊断目的。

S7Comm以太网协议基于OSI模型：

第1-4层会由计算机自己完成（底层驱动程序）；
第5层TPKT，应用层数据传输协议，介于TCP和COTP协议之间。这是一个传输服务协议，主要用来在COTP和TCP之间建立桥梁；
第6层COTP，COTP 是 OSI 7层协议定义的位于TCP之上的协议。COTP 以“Packet”为基本单位来传输数据，这样接收方会得到与发送方具有相同边界的数据；
第7层，S7 communication，这一层和用户数据相关，对PLC数据的读取报文在这里完成。
在具体的报文中，TPKT的作用是包含用户协议（5~7层）的数据长度（字节数）；COTP的作用是定义了数据传输的基本单位（在S7Comm中 PDU TYPE：DT data）。

S7Comm协议OSI模型：

二、TPKT协议

通过TCP的传输服务。介于TCP和COTP之间。属于传输服务类的协议，功能为在COTP和TCP之间建立桥梁，其内容包含了上层协议数据包的长度。一般与COTP一起发送，当作Header段。

其中，TPKT的结构为：

Version：[1 byte] 版本信息。

Reserved：[1 byte]保留 (值为0x00)。

 

Length：[ 2 bytes] TPKT、COTP、S7三层协议的总长度，也就是TCP的payload的长度。

三、COTP协议

COTP是OSI 7层协议定义的位于TCP之上的协议。COTP以Packet为基本单位来传输数据，这样接收方会得到与发送方具有相同边界的数据。

COTP协议分为两种形态，分别是COTP连接包（COTP Connection Packet）和COTP功能包（COTP Fuction Packet）。

3.1 COTP连接包

COTP连接包（COTP Connection Packet）也就是S7Comm的握手包，如下图所示：

其中， COTP连接包的头结构为：

0 (Unsigned integer, 1 byte): Length，COTP后续数据的长度（注意：长度不包含length的长度），一般为17 bytes。

1 (Unsigned integer, 1 byte): PDU typ，协议数据单元类型有：

0x01: ED Expedited Data，加急数据
0x02: EA Expedited Data Acknowledgement，加急数据确认
0x04: UD，用户数据
0x05: RJ Reject，拒绝
0x06: AK Data Acknowledgement，数据确认
0x07: ER TPDU Error，TPDU错误
0x08: DR Disconnect Request，断开请求
0x0C: DC Disconnect Confirm，断开确认
0x0d: CC Connect Confirm，连接确认
0x0e: CR Connect Request，连接请求
0x0f: DT Data，数据传输

连接请求包：

 

连接确认包：

3.2 COTP功能包

COTP功能包的头结构为：

0 (Unsigned integer, 1 byte): Length，COTP后续数据的长度（注意：长度不包含length的长度），一般为2 bytes。

1 (Unsigned integer, 1 byte): PDU type，类型有：

0x01: ED Expedited Data，加急数据
0x02: EA Expedited Data Acknowledgement，加急数据确认
0x04: UD，用户数据
0x05: RJ Reject，拒绝
0x06: AK Data Acknowledgement，数据确认
0x07: ER TPDU Error，TPDU错误
0x08: DR Disconnect Request，断开请求
0x0c: DC Disconnect Confirm，断开确认
0x0d: CC Connect Confirm，连接确认
0x0e: CR Connect Request，连接请求
0x0f: DT Data，数据传输

四、S7Comm协议

S7Comm数据作为COTP数据包的有效载荷，第一个字节总是0x32作为协议标识符。
S7Comm协议包含三部分：

• Header
• Parameter
• Data

4.1头(Header)

S7Comm Header的格式为：

Protocol ID： [1 byte]协议常量，始终设置为0x32
Message Type： [1 byte]消息的一般类型（有时称为ROSCTR类型），消息的其余部分在很大程度上取决于Message Type和功能代码。

其中最重要的字段就是ROSCTR，它决定了后续参数的结构.
在响应数据包中，还有可能存在错误信息。

4.2 作业请求(Job)和确认数据响应(Ack_Data)

4.2.1建立通信(Setup communication [0xF0])

建立通信在每个会话开始时被发送，然后可以交换任何其他消息。它用于协商ACK队列的大小和最大PDU长度，双方声明它们的支持值。ACK队列的长度决定了可以同时启动而不需要确认的并行作业的数量。PDU和队列长度字段都是大端。
字段：

Function Code：功能代码，通信设置为0xf0
Reserverd：保留字段，默认为0x00
Max AmQ Caller：Ack队列的大小（主叫）
Max AmQ Callee：Ack队列的大小（被叫）
PDU length： PDU长度。

JOB

Ack_Data

其协商结果为：ACK队列的大小为1；最大PDU长度为240。

4.2.2 读取值(Read Var [0x04])

4.2.2.1 当PDU为JOB时

S7 comm结构如下：

Parameter字段是Item count：

1、Variable specification：确定项目结构的主要类型，通常为0x12，代表变量规范；
2、Length of following address specification：本Item其余部分的长度
3、Syntax Ids of variable specification：确定寻址模式和其余项目结构的格式；
4、Transport sizes in item data：确定变量的类型和长度；
5、Request data length：请求的数据长度
6、DB number，DB模块的编号，如果访问的不是DB区域，此处为0x0000；
7、 Area：区域类型。
8、Address：地址。

4.2.2.2 当PDU为Ack_Data时

S7 comm结构如下：

其Parameter只有function、item count两个字段。
下面是Data

Return code：1 byte，返回代码；
Transport size：1 byte，数据的传输尺寸；
Length：2 bytes，数据的长度；
Data：数据；
Fill byte：填充字节。

上图的响应包如下：

 4.2.3 写入值（Write Var [0x05]）

S7comm的结构（写入值的作业请求）：

由此，Data的结构为：

Return code：返回代码，这里是未定义，所以为Reserved（0x00）；
Transport size：确定变量的类型和长度：
Length：2 bytes，写入值的数据长度；
Data：1byte，写入的值；
Fill byte：填充字节，如果数据的长度不足Length的话，则填充；

 

S7comm的结构（写入值的确认数据响应）

说明向地址为0x000008的Flags（M）写入0x00成功！