Нарезка сети АСУТП на VLAN

[ZETs]

Здравствуйте!
Сеть АСУТП на предприятии выросла до приличных размеров и IP адреса из пула в скором времени закончатся. В сети имеются АРМ, преобразователи, PLC и т.д.
Принято решение разбить сеть на 4-е производственных участка со своим пулом адресов. Разграничить сети VLANом.
Но есть одно но....

АРМ инженера АСУТП может быть в пуле адресов например 192.168.1.х а PLC в пуле 192.168.4.х.
На коммутаторах доступ АРМ ко всем подсетям во всех VLANах настроить не проблема.
PLC поддерживают только прямое подключение из той же подсети.
Для связи с PLC в настройках сетевой карты, параметрах IP. необходимо указывать дополнительные подсети 4. шт., для корректной работы и чтоб постоянно не перебивать IP на АРМ.

Подскажите у кого был подобный опыт:
1. как делили сеть АСУТП?
2. как организовывали подключение к PLC из другой подсети?
Возможно есть более простые варианты.

[Sokolov_Dmitry]

viewtopic.php?p=140549#p140549

[I_m]

У нас в конторе подсетей на порядок (без шуток) больше, чем 4. По-разному разделены. Где через VLAN, где через VPN. Соединение тоже по по всякому - можно и через маршрутизаторы в подсетях. А можно и как выше Дмитрий Соколов указал. Если это для конкретного хоста.

Отправлено спустя 2 минуты 8 секунд:

PLC поддерживают только прямое подключение из той же подсети.

Сомневаюсь. Что, в настройках PLC даже шлюз по-умолчанию нельзя указать?

[ZETs]

viewtopic.php?p=140549#p140549

Мы так и сделали, но я сомневался в правильности подобного способа. Спасибо что помогли избавиться от последних сомнений. ))

Сомневаюсь. Что, в настройках PLC даже шлюз по-умолчанию нельзя указать?

Шлюз установили. но не помогло. при подключение выскакивает ошибка, так как разные сети.
На ПК назначили IP 192.168.1.10 а PLC назначили IP 192.168.4.11.

Завтра попробую поиграться со шлюзами.

[Serex]

VPN в помощь. Главное чтобы сетевые устройства нужные были.
VLAN - это просто про топологию разделения сетей в отрыве от физических устройств.
Но тема больше про IT. Промышленные устройства с VPN боюсь сильно дороги будут.

[I_m]

VLAN - это просто про топологию разделения сетей в отрыве от физических устройств.

А можно расшифровать? Как это - "в отрыве от физических устройств"?

Зачем ему внутри локалки VPN? Вполне себе VLAN подойдут. В принципе, адресное пространство IP можно и ручками побить, безо всяких VLAN. Вот только адреса придётся вручную раздавать.

Промышленные устройства с VPN боюсь сильно дороги будут.

Это какие устройства в виду имеются? ПЛК, что ли? А зачем там ВПН? Не понимаю. Я вообще с некоторым изумлением смотрю на производителей, пытающихся засунуть межсетевые экраны в ПЛК. ОВЕН тому в пример.

[ZETs]

Зачем ему внутри локалки VPN? Вполне себе VLAN подойдут. В принципе, адресное пространство IP можно и ручками побить, безо всяких VLAN. Вот только адреса придётся вручную раздавать.

Совершенно верно. VLAN вполне подойдут. VPN не нужен вообще.
IP спокойно ручками пропишем.

Для связи с ПЛК из других подсетей в настройках сетевой карты АРМ прописали дополнительные сети и всё..

[Serex]

А можно расшифровать? Как это - "в отрыве от физических устройств"?

Ну когда локалку строят по физ.устройствам, например на не "управляемых свитчах", то строго один свитч принадлежит конкретной локалке. Внутри VLAN каждый порт свитча может быть настроен на свою локалку. Несколько таких свитчей могут образовать отдельную локалку из двух портов в разных свитчах и какие там кабели между свитчами уже не имеет значения.

Для связи с ПЛК из других подсетей в настройках сетевой карты АРМ прописали дополнительные сети и всё..

Я не понял, как вы на одном адаптере в компьютере собираетесь приписывать дополнительные сети. Но вижу, вы что знаете что вам делать.

IP спокойно ручками пропишем.

Есть команда:
netsh interface ipv4
Суете ее в батник, батник на рабочий стол и меняете за 3 секунды.
Ручками прописывать можно только 1 раз, максимум два

[I_m]

Ну когда локалку строят по физ.устройствам, например на не "управляемых свитчах", то строго один свитч принадлежит конкретной локалке.

Это не VLAN. Даже не port based.

Я не понял, как вы на одном адаптере в компьютере собираетесь приписывать дополнительные сети.

Скорее, имелось в виду дополнительные адреса из других сетей.

[ZETs]

Ручками прописывать можно только 1 раз, максимум два

IP контроллеров, преобразователей и т.д. пришлось перебивать вручную.

Скорее, имелось в виду дополнительные адреса из других сетей.

Верно. АРМ инженера АСУТП.

[Andreywys]

viewtopic.php?p=140549#p140549

Плохое решение. Лучше дать в АРМ тегированный трафик и поднять vlan на компе в виде виртуальных адаптеров. Только на одном из адаптеров настроить шлюз, остальные оставить без шлюза. https://winitpro.ru/index.php/2020/03/1 ... v-windows/

Снимок экрана 2023-07-25 142436.png

[I_m]

Плохое решение

Пришёл, увидел...далее по вкусу.

Дано: локалка, внутри трафик не тегированный. Основная часть хостов находится в подсети А, меньшая - в подсети Б. У обеих имеется по роутеру. На роутер подсети А приходят несколько десятков vlan/vpn, на роутер подсети Б - ~70 ipsec vpn туннелей от сетей объектов АСУТП. Имеется хост с адресом в подсети А.

Задача: обеспечить доступ с этого хоста к сетям объектов АСУТП, т.е. к тем, которые связаны через роутер подсети Б. Максимально дёшево и быстро. На всякий случай ещё раз подчеркну - сети объектов доступны через туннели ipsec vpn. Сеть А для этого хоста основная, доступ в неё и связанные с ней трогать нельзя.

Я с удовольствием выслушаю - в чём подача тегированного трафика на на хост с созданием виртуальных адаптеров лучше простого добавления IP-адреса из адресного пространства Б (с последующей пропиской статических маршрутов на нужные сети)?

[Andreywys]

Смешивать подсети А и Б в одном неуправляемом коммутаторе - зло. Максимально дешево и быстро - не значит правильно. Правильно - подключить роутер Б в Роутер А и настроить форвардинг. Разрулить маршрутами все на роутере А.
Vlan напрямую в комп нужны для того, чтобы иметь L2 доступ в подсети с компа. Если у вас ipsec или любой vpn, то vlan до компа не нужны, достаточно на роутере разрулить все маршрутами.

[I_m]

Смешивать подсети А и Б в одном неуправляемом коммутаторе - зло.

В чём зло? Кто Вам сказал, что коммутатор неуправляемый и что он вообще один, а не десятки?

Правильно - подключить роутер Б в Роутер А и настроить форвардинг.

С чего Вы решили, что это правильно? Если на роутерах независимые подключения, для плюс ещё и с резервированием каналов?

то vlan до компа не нужны

А я и не говорил, что они вообще тут нужны.

Если у вас ipsec или любой vpn, то vlan до компа не нужны, достаточно на роутере разрулить все маршрутами.

Уё. Т.е. по-Вашему получается, что если сети В и Б соединены по ipsec vpn, то для доступа хоста из сети А к хостам сети В достаточно где-то прописать маршрут из А в В? Как интерееесно. Я с удовольствием послушаю.

[Andreywys]

В чём зло? Кто Вам сказал, что коммутатор неуправляемый и что он вообще один, а не десятки?

Если коммутаторы управляемые и еще и L3, то это тройное зло. Как он пережует broadcast он разных подсетей? Как построит таблицы маршрутизации? Если в одном физическом кабеле несколько подсетей.

Уё. Т.е. по-Вашему получается, что если сети В и Б соединены по ipsec vpn, то для доступа хоста из сети А к хостам сети В достаточно где-то прописать маршрут из А в В? Как интерееесно. Я с удовольствием послушаю.

Нужно смотреть топологию сетей. Какие ipsec поднимаются. Просто tunnel или завернуты в l2tp или GRE. Есть ли возможность в роутере В добавить маршрут в сеть А. Возможно придется использовать NAT. Вообще, нужно понимать на каком оборудовании это делать. На микроте я бы попробовал это реализовать.

[Andreywys]

Подумал немного. Можно сделать так:
1. В маршрутизаторе Б создать отдельный бридж для внутренней подсети маршрутизатора А.
2. Соединить порт внутренней подсети маршрутизатора А и выделенный порт для бриджа в маршрутизаторе Б. Настроить firewall.
3. Написать маршруты в маршрутизаторе А для подсетей ipsec маршрутизатора Б, где шлюзом будет маршрутизатор Б.
4. В маршрутизаторе Б добавить policies для ipsec вида подсеть_маршрутизатора_А - удаленная_подсеть_ipsec.
5. В удаленных маршрутизаторах добавить policies для подсети маршрутизатора А.

Но, опять же, нужно понимать всю структуру сети и какие железки используются. Возможно, где-то пересекаются подсети или еще какая-то специфика. Но, как мне кажется, сделать это для грамотного сисадмина это не составит труда.

[I_m]

Подумал немного. Можно сделать так:

Охренеть. :facepalm: Ещё с сплясать. Вприсядку. :facepalm: И оно ещё и работать не будет. Вместо выполнения ровно одного простого действия.

[Andreywys]

Охренеть. :facepalm: Ещё с сплясать. Вприсядку. :facepalm:

Я так же реагирую, когда прихожу на объект и вижу, кто в одном физическом кабеле куча подсетей, на компах куча алиасов, все вручную, без DHCP. Стоят умные коммутаторы, а там не то что ACL, сетки vlanами даже не разведены. В одном кабеле видеонаблюдение, profinet, компьютеры пользователей и т.п. Зато все просто и работает.

И оно ещё и работать не будет.

Какие ваши доказательства?