【儀表網 行業科普】與許多網絡技術一樣,虛擬局域網已經進入工業設施。它通過滿足網絡管理員對流量管理和安全的雙重需求,正成為一種關鍵工具。
自20世紀90年代后期起以來,虛擬局域網(VLAN)一直是現代網絡策略的重要組成部分。在VLAN技術出現之前,若需對流量進行劃分和隔離,網絡工程師必須創建多個物理上獨立的局域網。
VLAN允許工程師在數據鏈路層將終端設備分組到不同網段,將單個物理局域網劃分為多個邏輯或虛擬局域網,每個局域網擁有獨立的廣播域。這種方式不僅將廣播消息限制在特定設備范圍內,還實現了對網絡訪問權限的精細化控制。
如今,VLAN已廣泛用于中大型商業網絡,可有效緩解流量擁堵、提升網絡安全性,并簡化網絡的配置、管理與擴展。與許多網絡技術一樣, VLAN已應用于工業設施領域。在工業場景中,VLAN通過滿足網絡管理員對流量管理和安全防護的雙重要求,正成為一種重要工具。
什么是虛擬局域網?
簡而言之,VLAN是在物理網絡基礎設施中創建的、相互隔離的虛擬網絡。每個VLAN都像一個獨立運行的網絡,擁有自己的規則、安全策略、網絡資源和廣播域。根據部門、功能或安全需求等因素,設備被劃分到不同的VLAN中。
為便于理解,以一家小型制造公司為例。該公司將其單一的物理局域網劃分為三個相互隔離的VLAN網絡,分別用于生產、銷售和財務部門。為簡化起見,我們假設每個部門各有2臺網絡設備,這些設備均連接至公司配置的12個端口且支持VLAN功能的管理型交換機。
VLAN的實施方式多樣,具體取決于運營需求。最常用的是基于端口的VLAN,通過設備與交換機的物理端口連接進行分組;基于MAC地址的VLAN則根據設備MAC地址劃分網絡,以提供更高的靈活性;而基于協議的VLAN雖較少使用,但支持按網絡協議細分流量,可實現更精準的流量管理。
在本例中,采用基于端口的VLAN實現方式:網絡管理員通過交換機管理界面來創建新的 VLAN,即 VLAN 10 用于生產部門、VLAN 20 用于銷售部門、VLAN 30 用于財務部門,并將12口交換機的端口分配至對應的VLAN。設備連接至所分配的VLAN端口后,管理員將其與相應的VLAN ID綁定。為標識VLAN流量,交換機會在IP層報頭的幀中插入VLAN標簽,每個VLAN具有唯一的12位VLAN ID(范圍:1至4095),嵌入于VLAN標簽中。
端口分為接入端口和干道端口兩種類型。主機設備通過接入端口連接網絡,接入端口通常屬于單個VLAN,正如本例中的設置。而干道端口則可以被分配給多個VLAN,用于在單一物理連接上傳輸多個VLAN的流量。為實現這一功能,網絡設備(如交換機或路由器)構建VLAN干道,這是一種能夠同時承載多個VLAN的鏈路或連接。該操作被稱為VLAN間路由,需要在路由器上為每個VLAN創建子接口,并為這些子接口分配獨立的IP地址。
隨著企業的不斷發展壯大,新的網絡段可以輕松添加至同一網絡之中,或者對舊網絡段進行重新配置,而無需擾亂整個網絡架構或追加硬件投資。VLAN使得網絡能夠迅速且經濟高效地實現擴展。
VLAN在工業控制系統中的作用
在工業控制系統中,連接數百個輸入/輸出(I/O)設備的情況十分常見。這些設備包括遠程終端單元(RTU)、可編程邏輯控制器(PLC)、傳感器、人機界面(HMI)、繼電器,以及用于應用程序、工程設計、前端處理和數據存檔的服務器等。
然而,隨著設備數量的增加,廣播消息的數量也會急劇上升,占用設備更多的處理帶寬將導致網絡擁塞并影響整體性能。在這種環境下, VLAN成為網絡管理的重要工具,能夠同時滿足流量管理和安全防護的需求:
· 工業控制系統的流量管理:工業控制系統的響應能力和運營效率直接受網絡流量管理效率的影響。通過將網絡分段,VLAN能夠有效減少不必要的廣播流量,而這些流量在工業環境中可能造成嚴重的干擾。
通過VLAN的分段管理,關鍵應用程序可以在網絡上更順暢地運行,同時減少網絡擁塞的發生。對于依賴控制指令和實時數據及時傳輸的實時控制系統,VLAN提供了為關鍵系統設置流量優先級的能力,從而確保系統的穩定運行。
· 工業控制系統的網絡安全:通過將物理網絡劃分為多個相互隔離的虛擬網絡, VLAN有助于實施網絡安全策略、規范訪問權限,并通過建立虛擬邊界將惡意活動的傳播限制在有限范圍內。
工業控制系統通常包含多個不同系統和設備,其敏感程度和安全要求各不相同。管理員可以根據每個網段的具體需求定制安全措施,在不影響網絡運營效率的前提下,提升整體安全態勢。此外,通過設置VLAN,可以根據用戶的角色和職責限制訪問權限,從而降低內部威脅或無意中對關鍵系統造成干擾的可能性。
部署VLAN的注意事項
盡管VLAN具備諸多優勢,但相較于大家更為熟悉的子網劃分或路由技術,其配置和管理工作更為復雜。在工業控制系統上實施VLAN之前,必須全面了解系統的網絡基礎設施和運行要求。
首要步驟是進行網絡評估。網絡評估的第一步是識別關鍵資產,并確定使用VLAN對其進行分段的最佳方法。通過分析網絡流量模式,可以明確哪些設備需要相互通信。為避免VLAN間路由延遲,應將實時通信設備連接到同一個VLAN。
需要注意的是,VLAN不受距離或物理位置的限制,屬于同一VLAN的設備可以分布在工業控制系統的物理網絡中,但仍能像連接到同一本地網絡交換機一樣正常運行。
在滿足所有網絡需求的同時避免過度復雜化可能是最具挑戰性的任務之一。過于復雜的VLAN配置可能增加管理和監控的難度,從而引發潛在的安全漏洞。
一旦VLAN配置完成,定期更新和檢查配置就顯得尤為重要。在工業控制系統環境中,設備的添加、現有設備的重新利用等變化,都需要對VLAN設置進行相應調整,以確保網絡的持續優化和安全。
VLAN是物理網絡基礎設施內部相互隔離的虛擬網絡,能夠獨立運行,如同一個自給自足的網絡,擁有自身的一套規則、安全策略、網絡資源以及廣播域。支持VLAN功能的管理型以太網交換機,能夠將任意規模的網絡劃分為邏輯上相互隔離的網段。這種劃分無需部署新的電纜或網絡設備,也無需將網絡節點遷移到其他地方或重新布線。
所有評論僅代表網友意見,與本站立場無關。