【儀表網(wǎng) 行業(yè)科普】與許多網(wǎng)絡(luò)技術(shù)一樣，虛擬局域網(wǎng)已經(jīng)進(jìn)入工業(yè)設(shè)施。它通過(guò)滿足網(wǎng)絡(luò)管理員對(duì)流量管理和安全的雙重需求，正成為一種關(guān)鍵工具。
 

　　自20世紀(jì)90年代后期起以來(lái)，虛擬局域網(wǎng)(VLAN)一直是現(xiàn)代網(wǎng)絡(luò)策略的重要組成部分。在VLAN技術(shù)出現(xiàn)之前，若需對(duì)流量進(jìn)行劃分和隔離，網(wǎng)絡(luò)工程師必須創(chuàng)建多個(gè)物理上獨(dú)立的局域網(wǎng)。
 

　　VLAN允許工程師在數(shù)據(jù)鏈路層將終端設(shè)備分組到不同網(wǎng)段，將單個(gè)物理局域網(wǎng)劃分為多個(gè)邏輯或虛擬局域網(wǎng)，每個(gè)局域網(wǎng)擁有獨(dú)立的廣播域。這種方式不僅將廣播消息限制在特定設(shè)備范圍內(nèi)，還實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)訪問(wèn)權(quán)限的精細(xì)化控制。
 

　　如今，VLAN已廣泛用于中大型商業(yè)網(wǎng)絡(luò)，可有效緩解流量擁堵、提升網(wǎng)絡(luò)安全性，并簡(jiǎn)化網(wǎng)絡(luò)的配置、管理與擴(kuò)展。與許多網(wǎng)絡(luò)技術(shù)一樣， VLAN已應(yīng)用于工業(yè)設(shè)施領(lǐng)域。在工業(yè)場(chǎng)景中，VLAN通過(guò)滿足網(wǎng)絡(luò)管理員對(duì)流量管理和安全防護(hù)的雙重要求，正成為一種重要工具。
 

　　什么是虛擬局域網(wǎng)？
 

　　簡(jiǎn)而言之，VLAN是在物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施中創(chuàng)建的、相互隔離的虛擬網(wǎng)絡(luò)。每個(gè)VLAN都像一個(gè)獨(dú)立運(yùn)行的網(wǎng)絡(luò)，擁有自己的規(guī)則、安全策略、網(wǎng)絡(luò)資源和廣播域。根據(jù)部門、功能或安全需求等因素，設(shè)備被劃分到不同的VLAN中。
 

　　為便于理解，以一家小型制造公司為例。該公司將其單一的物理局域網(wǎng)劃分為三個(gè)相互隔離的VLAN網(wǎng)絡(luò)，分別用于生產(chǎn)、銷售和財(cái)務(wù)部門。為簡(jiǎn)化起見(jiàn)，我們假設(shè)每個(gè)部門各有2臺(tái)網(wǎng)絡(luò)設(shè)備，這些設(shè)備均連接至公司配置的12個(gè)端口且支持VLAN功能的管理型交換機(jī)。
 

　　VLAN的實(shí)施方式多樣，具體取決于運(yùn)營(yíng)需求。最常用的是基于端口的VLAN，通過(guò)設(shè)備與交換機(jī)的物理端口連接進(jìn)行分組；基于MAC地址的VLAN則根據(jù)設(shè)備MAC地址劃分網(wǎng)絡(luò)，以提供更高的靈活性；而基于協(xié)議的VLAN雖較少使用，但支持按網(wǎng)絡(luò)協(xié)議細(xì)分流量，可實(shí)現(xiàn)更精準(zhǔn)的流量管理。
 

　　在本例中，采用基于端口的VLAN實(shí)現(xiàn)方式：網(wǎng)絡(luò)管理員通過(guò)交換機(jī)管理界面來(lái)創(chuàng)建新的 VLAN，即 VLAN 10 用于生產(chǎn)部門、VLAN 20 用于銷售部門、VLAN 30 用于財(cái)務(wù)部門，并將12口交換機(jī)的端口分配至對(duì)應(yīng)的VLAN。設(shè)備連接至所分配的VLAN端口后，管理員將其與相應(yīng)的VLAN ID綁定。為標(biāo)識(shí)VLAN流量，交換機(jī)會(huì)在IP層報(bào)頭的幀中插入VLAN標(biāo)簽，每個(gè)VLAN具有唯一的12位VLAN ID(范圍：1至4095)，嵌入于VLAN標(biāo)簽中。
 

　　端口分為接入端口和干道端口兩種類型。主機(jī)設(shè)備通過(guò)接入端口連接網(wǎng)絡(luò)，接入端口通常屬于單個(gè)VLAN，正如本例中的設(shè)置。而干道端口則可以被分配給多個(gè)VLAN，用于在單一物理連接上傳輸多個(gè)VLAN的流量。為實(shí)現(xiàn)這一功能，網(wǎng)絡(luò)設(shè)備(如交換機(jī)或路由器)構(gòu)建VLAN干道，這是一種能夠同時(shí)承載多個(gè)VLAN的鏈路或連接。該操作被稱為VLAN間路由，需要在路由器上為每個(gè)VLAN創(chuàng)建子接口，并為這些子接口分配獨(dú)立的IP地址。
 

　　隨著企業(yè)的不斷發(fā)展壯大，新的網(wǎng)絡(luò)段可以輕松添加至同一網(wǎng)絡(luò)之中，或者對(duì)舊網(wǎng)絡(luò)段進(jìn)行重新配置，而無(wú)需擾亂整個(gè)網(wǎng)絡(luò)架構(gòu)或追加硬件投資。VLAN使得網(wǎng)絡(luò)能夠迅速且經(jīng)濟(jì)高效地實(shí)現(xiàn)擴(kuò)展。
 

　　VLAN在工業(yè)控制系統(tǒng)中的作用
 

　　在工業(yè)控制系統(tǒng)中，連接數(shù)百個(gè)輸入/輸出(I/O)設(shè)備的情況十分常見(jiàn)。這些設(shè)備包括遠(yuǎn)程終端單元(RTU)、可編程邏輯控制器(PLC)、傳感器、人機(jī)界面(HMI)、繼電器，以及用于應(yīng)用程序、工程設(shè)計(jì)、前端處理和數(shù)據(jù)存檔的服務(wù)器等。
 

　　然而，隨著設(shè)備數(shù)量的增加，廣播消息的數(shù)量也會(huì)急劇上升，占用設(shè)備更多的處理帶寬將導(dǎo)致網(wǎng)絡(luò)擁塞并影響整體性能。在這種環(huán)境下， VLAN成為網(wǎng)絡(luò)管理的重要工具，能夠同時(shí)滿足流量管理和安全防護(hù)的需求：
 

　　· 工業(yè)控制系統(tǒng)的流量管理：工業(yè)控制系統(tǒng)的響應(yīng)能力和運(yùn)營(yíng)效率直接受網(wǎng)絡(luò)流量管理效率的影響。通過(guò)將網(wǎng)絡(luò)分段，VLAN能夠有效減少不必要的廣播流量，而這些流量在工業(yè)環(huán)境中可能造成嚴(yán)重的干擾。
 

　　通過(guò)VLAN的分段管理，關(guān)鍵應(yīng)用程序可以在網(wǎng)絡(luò)上更順暢地運(yùn)行，同時(shí)減少網(wǎng)絡(luò)擁塞的發(fā)生。對(duì)于依賴控制指令和實(shí)時(shí)數(shù)據(jù)及時(shí)傳輸?shù)膶?shí)時(shí)控制系統(tǒng)，VLAN提供了為關(guān)鍵系統(tǒng)設(shè)置流量?jī)?yōu)先級(jí)的能力，從而確保系統(tǒng)的穩(wěn)定運(yùn)行。
 

　　· 工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全：通過(guò)將物理網(wǎng)絡(luò)劃分為多個(gè)相互隔離的虛擬網(wǎng)絡(luò)， VLAN有助于實(shí)施網(wǎng)絡(luò)安全策略、規(guī)范訪問(wèn)權(quán)限，并通過(guò)建立虛擬邊界將惡意活動(dòng)的傳播限制在有限范圍內(nèi)。
 

　　工業(yè)控制系統(tǒng)通常包含多個(gè)不同系統(tǒng)和設(shè)備，其敏感程度和安全要求各不相同。管理員可以根據(jù)每個(gè)網(wǎng)段的具體需求定制安全措施，在不影響網(wǎng)絡(luò)運(yùn)營(yíng)效率的前提下，提升整體安全態(tài)勢(shì)。此外，通過(guò)設(shè)置VLAN，可以根據(jù)用戶的角色和職責(zé)限制訪問(wèn)權(quán)限，從而降低內(nèi)部威脅或無(wú)意中對(duì)關(guān)鍵系統(tǒng)造成干擾的可能性。
 

　　部署VLAN的注意事項(xiàng)
 

　　盡管VLAN具備諸多優(yōu)勢(shì)，但相較于大家更為熟悉的子網(wǎng)劃分或路由技術(shù)，其配置和管理工作更為復(fù)雜。在工業(yè)控制系統(tǒng)上實(shí)施VLAN之前，必須全面了解系統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和運(yùn)行要求。
 

　　首要步驟是進(jìn)行網(wǎng)絡(luò)評(píng)估。網(wǎng)絡(luò)評(píng)估的第一步是識(shí)別關(guān)鍵資產(chǎn)，并確定使用VLAN對(duì)其進(jìn)行分段的最佳方法。通過(guò)分析網(wǎng)絡(luò)流量模式，可以明確哪些設(shè)備需要相互通信。為避免VLAN間路由延遲，應(yīng)將實(shí)時(shí)通信設(shè)備連接到同一個(gè)VLAN。
 

　　需要注意的是，VLAN不受距離或物理位置的限制，屬于同一VLAN的設(shè)備可以分布在工業(yè)控制系統(tǒng)的物理網(wǎng)絡(luò)中，但仍能像連接到同一本地網(wǎng)絡(luò)交換機(jī)一樣正常運(yùn)行。
 

　　在滿足所有網(wǎng)絡(luò)需求的同時(shí)避免過(guò)度復(fù)雜化可能是最具挑戰(zhàn)性的任務(wù)之一。過(guò)于復(fù)雜的VLAN配置可能增加管理和監(jiān)控的難度，從而引發(fā)潛在的安全漏洞。
 

　　一旦VLAN配置完成，定期更新和檢查配置就顯得尤為重要。在工業(yè)控制系統(tǒng)環(huán)境中，設(shè)備的添加、現(xiàn)有設(shè)備的重新利用等變化，都需要對(duì)VLAN設(shè)置進(jìn)行相應(yīng)調(diào)整，以確保網(wǎng)絡(luò)的持續(xù)優(yōu)化和安全。
 

　　VLAN是物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施內(nèi)部相互隔離的虛擬網(wǎng)絡(luò)，能夠獨(dú)立運(yùn)行，如同一個(gè)自給自足的網(wǎng)絡(luò)，擁有自身的一套規(guī)則、安全策略、網(wǎng)絡(luò)資源以及廣播域。支持VLAN功能的管理型以太網(wǎng)交換機(jī)，能夠?qū)⑷我庖?guī)模的網(wǎng)絡(luò)劃分為邏輯上相互隔離的網(wǎng)段。這種劃分無(wú)需部署新的電纜或網(wǎng)絡(luò)設(shè)備，也無(wú)需將網(wǎng)絡(luò)節(jié)點(diǎn)遷移到其他地方或重新布線。