我们正在开发一个工业网络,我们必须保证三个独立的 LAN(LAN1、LAN2 和 LAN3,请参见下图)。
我们的客户希望网络分离,因此来自一个 LAN 的数据包不应在其他两个 LAN 上传输,除了位于不同 LAN 上的元件(PC 和 ADAM IO 模块)之间的多个 Modbus TCP/IP 连接。
我们将使用研华的 EKI-7656 管理型交换机。
保持独立的网络是我们的主要客户要求,我想通过正确的交换机配置来确保这一点。
我假设您的客户出于安全原因想要分离。在这种情况下,VLAN 不会进行所需的分离。您可能需要的是防火墙来控制允许通过的内容和应该阻止的内容。您提到的设备支持 IP 访问列表,因此您需要检查 ACL 是否可以满足您的过滤需求。
您可以使用 VLAN 来分隔您的 3 个网络,但仅使用 EKI-7656C 交换机(仅属于第 2 层),您无法允许 VLAN 之间的 Modbus 连接
为此,您需要一个路由器或防火墙来执行 VLAN 间路由并过滤 3 个 VLAN 之间允许的流量。
另一种方法是让 modbus 设备多宿主,IE 在每个网络中都有一个单独的接口,但这需要这些设备有多个接口,不推荐(这会在某种程度上打破网络之间的隔离)。
请注意,VLAN 本身并不能增强安全性。它们只是限制广播域。
如果世界只有上图那么大,当然,流量将始终被隔离在单个 VLAN 内。在现实世界中,需要路由流量才能有用。您必须使用第 3 层感知设备(例如第 3 层交换机、路由器或防火墙)控制 VLAN 之间的流量。