【儀表網(wǎng) 行業(yè)科普】與許多網(wǎng)絡(luò)技術(shù)一樣，虛擬局域網(wǎng)已經(jīng)進入工業(yè)設(shè)施。它通過滿足網(wǎng)絡(luò)管理員對流量管理和安全的雙重需求，正成為一種關(guān)鍵工具。
 

　　自20世紀90年代后期起以來，虛擬局域網(wǎng)(VLAN)一直是現(xiàn)代網(wǎng)絡(luò)策略的重要組成部分。在VLAN技術(shù)出現(xiàn)之前，若需對流量進行劃分和隔離，網(wǎng)絡(luò)工程師必須創(chuàng)建多個物理上獨立的局域網(wǎng)。
 

　　VLAN允許工程師在數(shù)據(jù)鏈路層將終端設(shè)備分組到不同網(wǎng)段，將單個物理局域網(wǎng)劃分為多個邏輯或虛擬局域網(wǎng)，每個局域網(wǎng)擁有獨立的廣播域。這種方式不僅將廣播消息限制在特定設(shè)備范圍內(nèi)，還實現(xiàn)了對網(wǎng)絡(luò)訪問權(quán)限的精細化控制。
 

　　如今，VLAN已廣泛用于中大型商業(yè)網(wǎng)絡(luò)，可有效緩解流量擁堵、提升網(wǎng)絡(luò)安全性，并簡化網(wǎng)絡(luò)的配置、管理與擴展。與許多網(wǎng)絡(luò)技術(shù)一樣， VLAN已應用于工業(yè)設(shè)施領(lǐng)域。在工業(yè)場景中，VLAN通過滿足網(wǎng)絡(luò)管理員對流量管理和安全防護的雙重要求，正成為一種重要工具。
 

　　什么是虛擬局域網(wǎng)？
 

　　簡而言之，VLAN是在物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施中創(chuàng)建的、相互隔離的虛擬網(wǎng)絡(luò)。每個VLAN都像一個獨立運行的網(wǎng)絡(luò)，擁有自己的規(guī)則、安全策略、網(wǎng)絡(luò)資源和廣播域。根據(jù)部門、功能或安全需求等因素，設(shè)備被劃分到不同的VLAN中。
 

　　為便于理解，以一家小型制造公司為例。該公司將其單一的物理局域網(wǎng)劃分為三個相互隔離的VLAN網(wǎng)絡(luò)，分別用于生產(chǎn)、銷售和財務部門。為簡化起見，我們假設(shè)每個部門各有2臺網(wǎng)絡(luò)設(shè)備，這些設(shè)備均連接至公司配置的12個端口且支持VLAN功能的管理型交換機。
 

　　VLAN的實施方式多樣，具體取決于運營需求。最常用的是基于端口的VLAN，通過設(shè)備與交換機的物理端口連接進行分組；基于MAC地址的VLAN則根據(jù)設(shè)備MAC地址劃分網(wǎng)絡(luò)，以提供更高的靈活性；而基于協(xié)議的VLAN雖較少使用，但支持按網(wǎng)絡(luò)協(xié)議細分流量，可實現(xiàn)更精準的流量管理。
 

　　在本例中，采用基于端口的VLAN實現(xiàn)方式：網(wǎng)絡(luò)管理員通過交換機管理界面來創(chuàng)建新的 VLAN，即 VLAN 10 用于生產(chǎn)部門、VLAN 20 用于銷售部門、VLAN 30 用于財務部門，并將12口交換機的端口分配至對應的VLAN。設(shè)備連接至所分配的VLAN端口后，管理員將其與相應的VLAN ID綁定。為標識VLAN流量，交換機會在IP層報頭的幀中插入VLAN標簽，每個VLAN具有唯一的12位VLAN ID(范圍：1至4095)，嵌入于VLAN標簽中。
 

　　端口分為接入端口和干道端口兩種類型。主機設(shè)備通過接入端口連接網(wǎng)絡(luò)，接入端口通常屬于單個VLAN，正如本例中的設(shè)置。而干道端口則可以被分配給多個VLAN，用于在單一物理連接上傳輸多個VLAN的流量。為實現(xiàn)這一功能，網(wǎng)絡(luò)設(shè)備(如交換機或路由器)構(gòu)建VLAN干道，這是一種能夠同時承載多個VLAN的鏈路或連接。該操作被稱為VLAN間路由，需要在路由器上為每個VLAN創(chuàng)建子接口，并為這些子接口分配獨立的IP地址。
 

　　隨著企業(yè)的不斷發(fā)展壯大，新的網(wǎng)絡(luò)段可以輕松添加至同一網(wǎng)絡(luò)之中，或者對舊網(wǎng)絡(luò)段進行重新配置，而無需擾亂整個網(wǎng)絡(luò)架構(gòu)或追加硬件投資。VLAN使得網(wǎng)絡(luò)能夠迅速且經(jīng)濟高效地實現(xiàn)擴展。
 

　　VLAN在工業(yè)控制系統(tǒng)中的作用
 

　　在工業(yè)控制系統(tǒng)中，連接數(shù)百個輸入/輸出(I/O)設(shè)備的情況十分常見。這些設(shè)備包括遠程終端單元(RTU)、可編程邏輯控制器(PLC)、傳感器、人機界面(HMI)、繼電器，以及用于應用程序、工程設(shè)計、前端處理和數(shù)據(jù)存檔的服務器等。
 

　　然而，隨著設(shè)備數(shù)量的增加，廣播消息的數(shù)量也會急劇上升，占用設(shè)備更多的處理帶寬將導致網(wǎng)絡(luò)擁塞并影響整體性能。在這種環(huán)境下， VLAN成為網(wǎng)絡(luò)管理的重要工具，能夠同時滿足流量管理和安全防護的需求：
 

　　· 工業(yè)控制系統(tǒng)的流量管理：工業(yè)控制系統(tǒng)的響應能力和運營效率直接受網(wǎng)絡(luò)流量管理效率的影響。通過將網(wǎng)絡(luò)分段，VLAN能夠有效減少不必要的廣播流量，而這些流量在工業(yè)環(huán)境中可能造成嚴重的干擾。
 

　　通過VLAN的分段管理，關(guān)鍵應用程序可以在網(wǎng)絡(luò)上更順暢地運行，同時減少網(wǎng)絡(luò)擁塞的發(fā)生。對于依賴控制指令和實時數(shù)據(jù)及時傳輸?shù)膶崟r控制系統(tǒng)，VLAN提供了為關(guān)鍵系統(tǒng)設(shè)置流量優(yōu)先級的能力，從而確保系統(tǒng)的穩(wěn)定運行。
 

　　· 工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全：通過將物理網(wǎng)絡(luò)劃分為多個相互隔離的虛擬網(wǎng)絡(luò)， VLAN有助于實施網(wǎng)絡(luò)安全策略、規(guī)范訪問權(quán)限，并通過建立虛擬邊界將惡意活動的傳播限制在有限范圍內(nèi)。
 

　　工業(yè)控制系統(tǒng)通常包含多個不同系統(tǒng)和設(shè)備，其敏感程度和安全要求各不相同。管理員可以根據(jù)每個網(wǎng)段的具體需求定制安全措施，在不影響網(wǎng)絡(luò)運營效率的前提下，提升整體安全態(tài)勢。此外，通過設(shè)置VLAN，可以根據(jù)用戶的角色和職責限制訪問權(quán)限，從而降低內(nèi)部威脅或無意中對關(guān)鍵系統(tǒng)造成干擾的可能性。
 

　　部署VLAN的注意事項
 

　　盡管VLAN具備諸多優(yōu)勢，但相較于大家更為熟悉的子網(wǎng)劃分或路由技術(shù)，其配置和管理工作更為復雜。在工業(yè)控制系統(tǒng)上實施VLAN之前，必須全面了解系統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和運行要求。
 

　　首要步驟是進行網(wǎng)絡(luò)評估。網(wǎng)絡(luò)評估的第一步是識別關(guān)鍵資產(chǎn)，并確定使用VLAN對其進行分段的最佳方法。通過分析網(wǎng)絡(luò)流量模式，可以明確哪些設(shè)備需要相互通信。為避免VLAN間路由延遲，應將實時通信設(shè)備連接到同一個VLAN。
 

　　需要注意的是，VLAN不受距離或物理位置的限制，屬于同一VLAN的設(shè)備可以分布在工業(yè)控制系統(tǒng)的物理網(wǎng)絡(luò)中，但仍能像連接到同一本地網(wǎng)絡(luò)交換機一樣正常運行。
 

　　在滿足所有網(wǎng)絡(luò)需求的同時避免過度復雜化可能是最具挑戰(zhàn)性的任務之一。過于復雜的VLAN配置可能增加管理和監(jiān)控的難度，從而引發(fā)潛在的安全漏洞。
 

　　一旦VLAN配置完成，定期更新和檢查配置就顯得尤為重要。在工業(yè)控制系統(tǒng)環(huán)境中，設(shè)備的添加、現(xiàn)有設(shè)備的重新利用等變化，都需要對VLAN設(shè)置進行相應調(diào)整，以確保網(wǎng)絡(luò)的持續(xù)優(yōu)化和安全。
 

　　VLAN是物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施內(nèi)部相互隔離的虛擬網(wǎng)絡(luò)，能夠獨立運行，如同一個自給自足的網(wǎng)絡(luò)，擁有自身的一套規(guī)則、安全策略、網(wǎng)絡(luò)資源以及廣播域。支持VLAN功能的管理型以太網(wǎng)交換機，能夠?qū)⑷我庖?guī)模的網(wǎng)絡(luò)劃分為邏輯上相互隔離的網(wǎng)段。這種劃分無需部署新的電纜或網(wǎng)絡(luò)設(shè)備，也無需將網(wǎng)絡(luò)節(jié)點遷移到其他地方或重新布線。