该网络场景的正确配置是哪一种？

Question

我们正在开发一个工业网络，我们必须保证三个分离的局域网(LAN1，LAN2和LAN3，请看下面的图片)。

我们的客户端希望将网络分开，因此除了放置在不同局域网上的元素(PC和ADAM IO模块)之间的多个Modbus TCP/IP连接之外，不应在另两个LAN上传输来自一个LAN的数据包。

• 这有可能通过托管交换机吗？VLAN是正确的方法吗？我可以为这个modbus tcp链接配置三个VLAN和一些端口转发吗？

我们将使用来自Advantech的EKI-7656管理交换机。

保持独立的网络是我们的主要客户需求，我想通过正确的交换机配置来确保这一点。

Answer 1

我假设你的客户出于安全原因想要分居。在这种情况下，VLAN将不执行所需的分离。您可能需要的是防火墙，它将控制允许通过的内容和应该防止的内容。您提到的设备支持IP访问列表，因此您需要检查ACL是否能够满足您的过滤需求。

Answer 2

您可以使用VLAN来分隔您的3个网络，但是只有EKI-7656C交换机，这是第二层，您无法允许VLAN之间的Modbus连接。

要做到这一点，您需要一个路由器或防火墙，它将执行VLAN间路由和过滤，这是允许在3个VLAN之间的流量。

另一种方法是让modbus设备多主化，即在每个网络中都有一个单独的接口，但这需要这些设备有几个接口，因此不建议这样做(这会在一定程度上打破网络之间的隔离)。

Answer 3

请注意，单独使用VLAN并不能增强安全性。它们只是限制广播域。

如果世界只有上面的图表那么大，当然，流量总是在一个VLAN中隔离的。在现实世界中，为了有用，流量需要被路由。您必须控制VLAN与第三层设备(如第三层交换机、路由器或防火墙)之间的通信量。