1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Нарезка сети АСУТП на VLAN

RS-485, ProfiBUS, 4-20 mA, Wi-Fi, GSM и так далее

Модератор: Глоб.модераторы

Ответить

Автор темы
ZETs
здесь недавно
здесь недавно
Сообщения: 55
Зарегистрирован: 14 июл 2020, 04:29
Имя: Евгений
Страна: Россия
город/регион: Чита
Благодарил (а): 14 раз

Нарезка сети АСУТП на VLAN

Сообщение ZETs »

Здравствуйте!
Сеть АСУТП на предприятии выросла до приличных размеров и IP адреса из пула в скором времени закончатся. В сети имеются АРМ, преобразователи, PLC и т.д.
Принято решение разбить сеть на 4-е производственных участка со своим пулом адресов. Разграничить сети VLANом.
Но есть одно но....

АРМ инженера АСУТП может быть в пуле адресов например 192.168.1.х а PLC в пуле 192.168.4.х.
На коммутаторах доступ АРМ ко всем подсетям во всех VLANах настроить не проблема.
PLC поддерживают только прямое подключение из той же подсети.
Для связи с PLC в настройках сетевой карты, параметрах IP. необходимо указывать дополнительные подсети 4. шт., для корректной работы и чтоб постоянно не перебивать IP на АРМ.

Подскажите у кого был подобный опыт:
1. как делили сеть АСУТП?
2. как организовывали подключение к PLC из другой подсети?
Возможно есть более простые варианты.

Sokolov_Dmitry
не первый раз у нас
не первый раз у нас
Сообщения: 324
Зарегистрирован: 31 окт 2017, 16:45
Имя: Дмитрий
Страна: Россия
город/регион: Калининград
Благодарил (а): 9 раз
Поблагодарили: 84 раза

Нарезка сети АСУТП на VLAN

Сообщение Sokolov_Dmitry »


I_m
не первый раз у нас
не первый раз у нас
Сообщения: 396
Зарегистрирован: 28 сен 2022, 15:26
Имя: Андрей
Благодарил (а): 12 раз
Поблагодарили: 54 раза

Нарезка сети АСУТП на VLAN

Сообщение I_m »

У нас в конторе подсетей на порядок (без шуток) больше, чем 4. По-разному разделены. Где через VLAN, где через VPN. Соединение тоже по по всякому - можно и через маршрутизаторы в подсетях. А можно и как выше Дмитрий Соколов указал. Если это для конкретного хоста.

Отправлено спустя 2 минуты 8 секунд:
ZETs писал(а): 22 июл 2023, 09:05 PLC поддерживают только прямое подключение из той же подсети.
Сомневаюсь. Что, в настройках PLC даже шлюз по-умолчанию нельзя указать?

Автор темы
ZETs
здесь недавно
здесь недавно
Сообщения: 55
Зарегистрирован: 14 июл 2020, 04:29
Имя: Евгений
Страна: Россия
город/регион: Чита
Благодарил (а): 14 раз

Нарезка сети АСУТП на VLAN

Сообщение ZETs »

Sokolov_Dmitry писал(а): 22 июл 2023, 09:27 viewtopic.php?p=140549#p140549
Мы так и сделали, но я сомневался в правильности подобного способа. Спасибо что помогли избавиться от последних сомнений. ))
I_m писал(а): 22 июл 2023, 13:35 Сомневаюсь. Что, в настройках PLC даже шлюз по-умолчанию нельзя указать?
Шлюз установили. но не помогло. при подключение выскакивает ошибка, так как разные сети.
На ПК назначили IP 192.168.1.10 а PLC назначили IP 192.168.4.11.

Завтра попробую поиграться со шлюзами.
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Нарезка сети АСУТП на VLAN

Сообщение Serex »

VPN в помощь. Главное чтобы сетевые устройства нужные были.
VLAN - это просто про топологию разделения сетей в отрыве от физических устройств.
Но тема больше про IT. Промышленные устройства с VPN боюсь сильно дороги будут.

I_m
не первый раз у нас
не первый раз у нас
Сообщения: 396
Зарегистрирован: 28 сен 2022, 15:26
Имя: Андрей
Благодарил (а): 12 раз
Поблагодарили: 54 раза

Нарезка сети АСУТП на VLAN

Сообщение I_m »

Serex писал(а): 22 июл 2023, 21:17 VLAN - это просто про топологию разделения сетей в отрыве от физических устройств.
А можно расшифровать? Как это - "в отрыве от физических устройств"?

Зачем ему внутри локалки VPN? Вполне себе VLAN подойдут. В принципе, адресное пространство IP можно и ручками побить, безо всяких VLAN. Вот только адреса придётся вручную раздавать.
Serex писал(а): 22 июл 2023, 21:17 Промышленные устройства с VPN боюсь сильно дороги будут.
Это какие устройства в виду имеются? ПЛК, что ли? А зачем там ВПН? Не понимаю. Я вообще с некоторым изумлением смотрю на производителей, пытающихся засунуть межсетевые экраны в ПЛК. ОВЕН тому в пример.

Автор темы
ZETs
здесь недавно
здесь недавно
Сообщения: 55
Зарегистрирован: 14 июл 2020, 04:29
Имя: Евгений
Страна: Россия
город/регион: Чита
Благодарил (а): 14 раз

Нарезка сети АСУТП на VLAN

Сообщение ZETs »

I_m писал(а): 23 июл 2023, 09:01 Зачем ему внутри локалки VPN? Вполне себе VLAN подойдут. В принципе, адресное пространство IP можно и ручками побить, безо всяких VLAN. Вот только адреса придётся вручную раздавать.
Совершенно верно. VLAN вполне подойдут. VPN не нужен вообще.
IP спокойно ручками пропишем.

Для связи с ПЛК из других подсетей в настройках сетевой карты АРМ прописали дополнительные сети и всё..
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Нарезка сети АСУТП на VLAN

Сообщение Serex »

I_m писал(а): 23 июл 2023, 09:01 А можно расшифровать? Как это - "в отрыве от физических устройств"?
Ну когда локалку строят по физ.устройствам, например на не "управляемых свитчах", то строго один свитч принадлежит конкретной локалке. Внутри VLAN каждый порт свитча может быть настроен на свою локалку. Несколько таких свитчей могут образовать отдельную локалку из двух портов в разных свитчах и какие там кабели между свитчами уже не имеет значения.
ZETs писал(а): 23 июл 2023, 11:35 Для связи с ПЛК из других подсетей в настройках сетевой карты АРМ прописали дополнительные сети и всё..
Я не понял, как вы на одном адаптере в компьютере собираетесь приписывать дополнительные сети. Но вижу, вы что знаете что вам делать.
ZETs писал(а): 23 июл 2023, 11:35 IP спокойно ручками пропишем.
Есть команда:
netsh interface ipv4
Суете ее в батник, батник на рабочий стол и меняете за 3 секунды.
Ручками прописывать можно только 1 раз, максимум два :ext_dont_ment:

I_m
не первый раз у нас
не первый раз у нас
Сообщения: 396
Зарегистрирован: 28 сен 2022, 15:26
Имя: Андрей
Благодарил (а): 12 раз
Поблагодарили: 54 раза

Нарезка сети АСУТП на VLAN

Сообщение I_m »

Serex писал(а): 23 июл 2023, 21:03 Ну когда локалку строят по физ.устройствам, например на не "управляемых свитчах", то строго один свитч принадлежит конкретной локалке.
Это не VLAN. Даже не port based.
Serex писал(а): 23 июл 2023, 21:03 Я не понял, как вы на одном адаптере в компьютере собираетесь приписывать дополнительные сети.
Скорее, имелось в виду дополнительные адреса из других сетей.

Автор темы
ZETs
здесь недавно
здесь недавно
Сообщения: 55
Зарегистрирован: 14 июл 2020, 04:29
Имя: Евгений
Страна: Россия
город/регион: Чита
Благодарил (а): 14 раз

Нарезка сети АСУТП на VLAN

Сообщение ZETs »

Serex писал(а): 23 июл 2023, 21:03 Ручками прописывать можно только 1 раз, максимум два :ext_dont_ment:
IP контроллеров, преобразователей и т.д. пришлось перебивать вручную.

I_m писал(а): 24 июл 2023, 08:08 Скорее, имелось в виду дополнительные адреса из других сетей.
Верно. АРМ инженера АСУТП.

Andreywys
освоился
освоился
Сообщения: 299
Зарегистрирован: 15 сен 2016, 18:47
Имя: Андрей
Страна: Россия
город/регион: Вологда
Благодарил (а): 20 раз
Поблагодарили: 78 раз

Нарезка сети АСУТП на VLAN

Сообщение Andreywys »

Sokolov_Dmitry писал(а): 22 июл 2023, 09:27 viewtopic.php?p=140549#p140549
Плохое решение. Лучше дать в АРМ тегированный трафик и поднять vlan на компе в виде виртуальных адаптеров. Только на одном из адаптеров настроить шлюз, остальные оставить без шлюза. https://winitpro.ru/index.php/2020/03/1 ... v-windows/
Снимок экрана 2023-07-25 142436.png
У вас нет необходимых прав для просмотра вложений в этом сообщении.

I_m
не первый раз у нас
не первый раз у нас
Сообщения: 396
Зарегистрирован: 28 сен 2022, 15:26
Имя: Андрей
Благодарил (а): 12 раз
Поблагодарили: 54 раза

Нарезка сети АСУТП на VLAN

Сообщение I_m »

Andreywys писал(а): 25 июл 2023, 14:25 Плохое решение
Пришёл, увидел...далее по вкусу. :ges_clap2:

Дано: локалка, внутри трафик не тегированный. Основная часть хостов находится в подсети А, меньшая - в подсети Б. У обеих имеется по роутеру. На роутер подсети А приходят несколько десятков vlan/vpn, на роутер подсети Б - ~70 ipsec vpn туннелей от сетей объектов АСУТП. Имеется хост с адресом в подсети А.

Задача: обеспечить доступ с этого хоста к сетям объектов АСУТП, т.е. к тем, которые связаны через роутер подсети Б. Максимально дёшево и быстро. На всякий случай ещё раз подчеркну - сети объектов доступны через туннели ipsec vpn. Сеть А для этого хоста основная, доступ в неё и связанные с ней трогать нельзя.

Я с удовольствием выслушаю - в чём подача тегированного трафика на на хост с созданием виртуальных адаптеров лучше простого добавления IP-адреса из адресного пространства Б (с последующей пропиской статических маршрутов на нужные сети)?

Andreywys
освоился
освоился
Сообщения: 299
Зарегистрирован: 15 сен 2016, 18:47
Имя: Андрей
Страна: Россия
город/регион: Вологда
Благодарил (а): 20 раз
Поблагодарили: 78 раз

Нарезка сети АСУТП на VLAN

Сообщение Andreywys »

Смешивать подсети А и Б в одном неуправляемом коммутаторе - зло. Максимально дешево и быстро - не значит правильно. Правильно - подключить роутер Б в Роутер А и настроить форвардинг. Разрулить маршрутами все на роутере А.
Vlan напрямую в комп нужны для того, чтобы иметь L2 доступ в подсети с компа. Если у вас ipsec или любой vpn, то vlan до компа не нужны, достаточно на роутере разрулить все маршрутами.

I_m
не первый раз у нас
не первый раз у нас
Сообщения: 396
Зарегистрирован: 28 сен 2022, 15:26
Имя: Андрей
Благодарил (а): 12 раз
Поблагодарили: 54 раза

Нарезка сети АСУТП на VLAN

Сообщение I_m »

Andreywys писал(а): 25 июл 2023, 16:01 Смешивать подсети А и Б в одном неуправляемом коммутаторе - зло.
В чём зло? Кто Вам сказал, что коммутатор неуправляемый и что он вообще один, а не десятки?
Andreywys писал(а): 25 июл 2023, 16:01 Правильно - подключить роутер Б в Роутер А и настроить форвардинг.
С чего Вы решили, что это правильно? Если на роутерах независимые подключения, для плюс ещё и с резервированием каналов?
Andreywys писал(а): 25 июл 2023, 16:01 то vlan до компа не нужны
А я и не говорил, что они вообще тут нужны.
Andreywys писал(а): 25 июл 2023, 16:01 Если у вас ipsec или любой vpn, то vlan до компа не нужны, достаточно на роутере разрулить все маршрутами.
Уё. Т.е. по-Вашему получается, что если сети В и Б соединены по ipsec vpn, то для доступа хоста из сети А к хостам сети В достаточно где-то прописать маршрут из А в В? Как интерееесно. :o Я с удовольствием послушаю. :lol:

Andreywys
освоился
освоился
Сообщения: 299
Зарегистрирован: 15 сен 2016, 18:47
Имя: Андрей
Страна: Россия
город/регион: Вологда
Благодарил (а): 20 раз
Поблагодарили: 78 раз

Нарезка сети АСУТП на VLAN

Сообщение Andreywys »

I_m писал(а): 25 июл 2023, 16:30 В чём зло? Кто Вам сказал, что коммутатор неуправляемый и что он вообще один, а не десятки?
Если коммутаторы управляемые и еще и L3, то это тройное зло. Как он пережует broadcast он разных подсетей? Как построит таблицы маршрутизации? Если в одном физическом кабеле несколько подсетей.
I_m писал(а): 25 июл 2023, 16:30 Уё. Т.е. по-Вашему получается, что если сети В и Б соединены по ipsec vpn, то для доступа хоста из сети А к хостам сети В достаточно где-то прописать маршрут из А в В? Как интерееесно. Я с удовольствием послушаю.
Нужно смотреть топологию сетей. Какие ipsec поднимаются. Просто tunnel или завернуты в l2tp или GRE. Есть ли возможность в роутере В добавить маршрут в сеть А. Возможно придется использовать NAT. Вообще, нужно понимать на каком оборудовании это делать. На микроте я бы попробовал это реализовать.

Andreywys
освоился
освоился
Сообщения: 299
Зарегистрирован: 15 сен 2016, 18:47
Имя: Андрей
Страна: Россия
город/регион: Вологда
Благодарил (а): 20 раз
Поблагодарили: 78 раз

Нарезка сети АСУТП на VLAN

Сообщение Andreywys »

Подумал немного. Можно сделать так:
1. В маршрутизаторе Б создать отдельный бридж для внутренней подсети маршрутизатора А.
2. Соединить порт внутренней подсети маршрутизатора А и выделенный порт для бриджа в маршрутизаторе Б. Настроить firewall.
3. Написать маршруты в маршрутизаторе А для подсетей ipsec маршрутизатора Б, где шлюзом будет маршрутизатор Б.
4. В маршрутизаторе Б добавить policies для ipsec вида подсеть_маршрутизатора_А - удаленная_подсеть_ipsec.
5. В удаленных маршрутизаторах добавить policies для подсети маршрутизатора А.

Но, опять же, нужно понимать всю структуру сети и какие железки используются. Возможно, где-то пересекаются подсети или еще какая-то специфика. Но, как мне кажется, сделать это для грамотного сисадмина это не составит труда.

I_m
не первый раз у нас
не первый раз у нас
Сообщения: 396
Зарегистрирован: 28 сен 2022, 15:26
Имя: Андрей
Благодарил (а): 12 раз
Поблагодарили: 54 раза

Нарезка сети АСУТП на VLAN

Сообщение I_m »

Andreywys писал(а): 26 июл 2023, 17:13 Подумал немного. Можно сделать так:
Охренеть. :facepalm: Ещё с сплясать. Вприсядку. :facepalm: И оно ещё и работать не будет. Вместо выполнения ровно одного простого действия.

Andreywys
освоился
освоился
Сообщения: 299
Зарегистрирован: 15 сен 2016, 18:47
Имя: Андрей
Страна: Россия
город/регион: Вологда
Благодарил (а): 20 раз
Поблагодарили: 78 раз

Нарезка сети АСУТП на VLAN

Сообщение Andreywys »

I_m писал(а): 27 июл 2023, 08:07 Охренеть. :facepalm: Ещё с сплясать. Вприсядку. :facepalm:
Я так же реагирую, когда прихожу на объект и вижу, кто в одном физическом кабеле куча подсетей, на компах куча алиасов, все вручную, без DHCP. Стоят умные коммутаторы, а там не то что ACL, сетки vlanами даже не разведены. В одном кабеле видеонаблюдение, profinet, компьютеры пользователей и т.п. Зато все просто и работает.
I_m писал(а): 27 июл 2023, 08:07 И оно ещё и работать не будет.
Какие ваши доказательства?
Ответить

Вернуться в «Интерфейсы, протоколы, связь»