MatrikonOPC是工控协议OPC的模拟器，可以用来进行OPC协议的模拟测试。在使用该模拟器测试防火墙OPC防护时发现一个问题，opc动态端口连接使用了与135端口不一样的IP地址，导致动态端口连接报文没有经过防火墙。

　　测试环境如图：

　　从本地PC远程登陆OPCServer 192.168.250.148开启MatrikonOPC Server for Simulation：

　　从本地PC远程登录OPCClient 192.168.250.139开启MatrikonOPC Explorer，使用8::148连接OPCServer：

　　OPC的动态端口协商过程如图：

　　OPC客户端使用62125、62126作为源端口向OPC服务器的135端口发起多条连接，连接成功后服务器分配新的端口54323，并通过ISystemActivator接口的方法RemoteCreateInstance的应答报文返回给客户端，之后客户端使用62127作为源端口向服务器的54323端口发起新的连接用来后面的真正数据传输。

　　然而防火墙上发现只有8::139/62125-62126到8::148/135端口的流，没有动态端口的连接建立，tcpdump也没有抓取到报文，在OPCClient的8::139和OPCServer的8::148上用wireshark抓包也只有135端口上的报文，而没有动态端口的报文。

　　本场景中抓包对ISystemActivator RemoteCreateInstance response分析如下：

　　其中含有192.168.250.148/54323和8::148/54323信息，本场景中OPC客户端使用了192.168.250.148/54323与OPC服务器建立连接，该连接没有经过防火墙，并且在OPCClient的192.168.250.139和OPCServer的192.168.250.148上抓包发现新端口的报文。

　　所以，组网测试时为了避免该问题，OPCServer和OPCClient的管理口不在同一网段即可避免该问题。