ModbusTcp协议的Java Socket

模拟了直接发送Socket套接字（上位机）跟Modbus Slave软件（下位机）进行通信，代码如下：

        Socket socket = new Socket("192.1.1.4",9600);

        InputStream is=socket.getInputStream();

        OutputStream os=socket.getOutputStream();

        byte[] sendInfo = new byte[] { 0x00, 0x07, 0x00, 0x00, 0x00, 0x06, 0x01, 0x03,0x00, 0x00, 0x00, 0x08 };  //发送给Modbus Slave软件的消息

        os.write(sendInfo);

        os.flush();

        byte[] bs = new byte[32];   

        is.read(bs);

        printHexString(bs);  //输出十六进制

软件当中Alias从0到9的值如下：

程序取到的结果如下：000700000013010310 0457 08AE 0D05 115C 15B3 1A0A 1E61 22B8 00000000000000

在解释结果之前，先给出ModbusTcp的报文格式。

ModbusTcp报文主要是由三部分组成，如下图所示：

其中，MBAP报文头一般为7个字节，我在这里以上封邮件的例子来做解释：

        byte[] sendInfo = new byte[] { 0x00, 0x07, 0x00, 0x00, 0x00, 0x06, 0x01, 0x03,0x00, 0x00, 0x00, 0x08 }; 

从byte数组的第1个元素开始到第七个元素，分别是：0007|0000|0006|01

        1）0007：事务处理标识符，用于将请求与未来响应之间建立联系（服务器端应答时候复制该值）；

        2）0000：协议标识，其中 0 代表Modbus协议，1代表UNI-TE协议（服务器端应答时候复制该值）；

        3）0006：长度，计算其后续所有字节数（服务器端应答时候该字节重新生成，并取返回指令的相同逻辑值）；

        4）01：单元标识符，在MODBUS或MODBUS+串行链路子网中对设备进行寻址时，这个域是用于路由的目的（服务器端应答时候复制该值）。

因此，我们可以得知服务器端应答时候，其返回的MBAP报文头为：

        0007 | 0000 | 0013 | 01

接下来是功能码（占用一个字节）。Modbus有一大堆的功能码，但常用的命令一般有01，02，03，04等几个

        1）01：读取线圈状态，Modbus对应的地址为00001开始；

        2）02：读取输入状态，Modbus对应的地址为10001开始；

        3）03：读保持寄存器，Modbus对应的地址为40001开始；

        4）04：输入寄存器，Modbus对应的地址为30001开始。

最后便是数据了。数据段的长度是根据功能码类型来对应的，因此这里我们仍然用sendInfo这个例子：

        该例子的功能码为03，说明读取的是保持寄存器。在功能码后面的 0000 为读取的起始地址，0008 为读取的数量，因此该指令可以理解为：

        读取保持寄存器当中，从0000地址开始（也就是Modbus的40001地址）依次读取八个数据（即16个字节）

根据模拟器的截图，从保持寄存器的0起始地址开始，依次有以上的数据，因此服务器端应答的内容如下：

        0007|0000|0013|01|03|10 0457 08AE 0D05 115C 15B3 1A0A 1E61 22B8

        其中MBAP报文头的内容在上面已有说明，这里就说下从单元标识符往后的内容：

        1）03：功能码，跟请求的功能码一致；

        2）10：字节计数，就是后续的字节数（同时也是请求指令当中读取数量的double）；

        3）之后的便是存放的数据了，以十六进制给出，一个数据占两个字节。