2、网络架构安全:网络分层模型、边界防护策略、VLAN划分与隔离

聊到楼宇自控系统的网络架构,我脑子里第一个蹦出来的词就是「分层」。

很多人觉得,不就是把传感器、控制器、服务器连起来嘛,能有多复杂?

嗯,这么想就危险了。我在一个大型商业综合体项目里,就见过因为网络扁平化,导致一台被感染的DDC(直接数字控制器)把整个楼控网络都拖垮的情况。那叫一个惨。

所以,咱们得把网络架构安全这件事,掰开揉碎了讲清楚。

2.1 网络分层模型:把鸡蛋放在不同的篮子里

楼宇自控系统,说白了就是三层架构:管理层、控制层、现场层。

我个人习惯,把这比作一个公司的组织架构。

  • 管理层(IT层):这是老板和经理们待的地方。服务器、工作站、Web客户端都在这里。数据量大,但实时性要求相对低。
  • 控制层(自动化层):这是中层干部。DDC、PLC、网络控制器。它们负责逻辑运算和策略下发。实时性要求高,是系统的核心大脑。
  • 现场层(I/O层):这是一线员工。传感器、执行器、变频器。它们只管干活,把物理信号变成电信号。

为什么要分这么清楚?

你想想看,如果管理层的一个病毒,能直接跑到现场层去控制风机,那后果是什么?

我在一个数据中心项目里就遇到过,运维人员为了方便,把管理层的交换机和控制层的交换机直接级联,没有做任何隔离。结果一次ARP攻击,导致所有空调控制器离线,机房温度飙升。从那以后,我再也不敢省这个分层的钱。

核心原则:不同层级之间,必须通过路由设备(三层交换机或防火墙)进行逻辑隔离。严禁直接二层互通。

2.2 边界防护策略:把好大门,看好小门

边界防护,不是只装个防火墙就完事了。你得想清楚,哪些门是开的,哪些门是关的。

楼宇自控系统常见的边界,有这么几个:

  1. IT网络与OT网络的边界:这是最重要的边界。企业办公网和楼控网之间,必须用防火墙隔开。我建议,只开放必要的端口,比如BACnet/IP的UDP 47808端口,或者Modbus TCP的502端口。其他的,一律拒绝。
  2. 互联网接入边界:现在很多楼控系统支持远程运维。这个入口非常危险。我曾经见过一个项目,远程桌面(RDP)直接暴露在公网上,密码还是admin/123456。结果被勒索病毒盯上,整个系统瘫痪了三天。
  3. 不同子系统之间的边界:比如冷源群控系统和照明系统之间。虽然都在控制层,但最好也做访问控制。防止一个子系统出问题,横向扩散到其他系统。

我的一个小技巧:在防火墙上做策略时,遵循「白名单」原则。只允许明确授权的IP和端口通过。不要图省事用「允许所有」。

2.3 VLAN划分与隔离:让广播风暴无处可逃

VLAN,虚拟局域网。说白了,就是把一个物理交换机,切成几个逻辑上独立的「小房间」。

为什么要切?

因为楼控网络里,设备太多了。几百个DDC,几千个传感器。如果不做VLAN划分,一个设备发个广播包,整个网络都能收到。这就是广播风暴的根源。

我记得有一次,一个工厂的楼控系统,一到上班时间就卡顿。查了半天,发现是某个品牌的传感器,上电时会发送大量的广播包。因为没有VLAN隔离,这些包淹没了整个控制层网络,导致DDC之间的通信延迟飙升。

VLAN划分,我一般这么干:

VLAN ID 用途 包含设备
VLAN 10 管理层网络 服务器、工作站、工程师站
VLAN 20 冷源系统控制层 冷机、水泵、冷却塔的DDC
VLAN 30 暖通空调系统控制层 空调机组、新风机的DDC
VLAN 40 照明系统控制层 照明控制器、调光模块
VLAN 50 现场I/O设备层 各类传感器、执行器

你看,这样一划分,冷源系统的广播包,就不会影响到照明系统。即使某个VLAN出了问题,其他VLAN也能正常工作。

注意:VLAN划分后,不同VLAN之间默认是不能通信的。你需要通过三层交换机或路由器,配置路由规则,让必要的流量(比如管理层访问控制层)能够通过。但一定要严格控制,只放行必要的协议和端口。

另外,我建议在接入层交换机上,启用端口安全功能。比如,限制每个端口只允许一个MAC地址通过。这样,如果有人私自接入一个集线器或者路由器,交换机就会自动阻断,防止网络拓扑被破坏。

嗯,网络架构安全这块,其实还有很多细节。比如STP(生成树协议)的配置,防止环路;DHCP Snooping,防止私设DHCP服务器。但今天咱们先把分层、边界和VLAN这三个核心点吃透。

说白了,网络架构安全,就是「隔离」二字。把不同安全等级的设备隔开,把不同功能的网络隔开。隔离做好了,90%的安全问题就解决了。