我有一个独立的网络,目前由 13 台带有 PLC 的机器组成,这些机器连接到一个房间内的三个非托管 TL-SG105S 交换机。
这个想法是将一台笔记本电脑连接到一个交换机,然后能够通过以太网连接到房间周围的其他十三台机器,下载程序更新、获取备份等,而无需将笔记本电脑带到房间里。这个网络所需的吞吐量可能非常慢,偶尔会有几 kB 的数据。
每台机器都有一个以太网设备,不需要与机器外部的任何东西(即 PLC)进行通信,因此我将 PLC 内的以太网设备放在不同的子网 192.168.10.XX,而不是 192.168.0.XX。
不幸的是,我发现虽然 PLC 有两个以太网端口,但这些端口完全透明,并且内部设备也在与房间内的其他机器进行通信,从而导致各种问题。
我不确定最好的解决方案;我认为某种 IP 过滤将是最好的解决方案,如果每个交换机(我相当确定这些交换机无法做到这一点)仅转发来自 192.168.0.XX 子网的请求,这将解决问题,但有没有更好的方法?
如果这样更好的话,找到有问题的设备的 MAC 地址对我来说是不是相当简单?
我可以(我怀疑我必须)购买不同的设备,但我不确定我应该寻找什么规格。
这个网络根本不会与外界相连,所以从这个角度来看不存在安全风险。
非常感谢您的帮助!
编辑:这里有一个图表,使其更清楚(假设有三个开关和十三个 PLC):
问题是设备 A 可以(并且正在)与 PLC B 和 PLC C 通信,设备 B 也是如此,等等。
我知道这不是一个很好的设置,但就数据流量而言,它似乎是最简单和最便宜的。
(哦,用户设备只有一张网卡,因此可以与 PLC 联网,也可以与互联网联网,但不能同时与两者联网)
我忘了补充,网络上的所有东西都有静态 IP。
如果您无法阻止 PLC 将不需要的流量桥接到交换机,那么您对这些非管理型交换机就无能为力。
大多数管理型交换机至少提供以下几种方式中的一种来过滤不需要的流量,包括
真正的答案是网络分离。
在 PLC 中放入另一个 NIC,并使用该 NIC 与设备通信。
如果您不想分离,那就不要分离 - 并将其作为具有唯一地址的一个子网进行威胁。