新聞及活動

 

作者：Jonas Gesch
職稱：Field Application Engineer

 

前言

在操作技術（OT）網路中，通訊通常必須具備高度的可靠性與安全性，以確保系統正常運作並避免停機。因此，尤其是在安全關鍵型網路中，保護乙太網路通訊免受可能中斷連線的外部影響，並確保機密資料不被可信任網路之外的裝置存取，是極其重要的。

 

近年來，Industry 4.0 推動了對資料可用性的更高需求，以便即時監控與分析系統。為了滿足此需求，工業應用逐漸朝向 IT 與 OT 網路融合的方向發展。將這兩個歷史上彼此分離的網路連結起來，使 IT 軟體能夠直接從工廠現場設備（如機器設備）取得資料，但同時也讓這些設備暴露於許多原本未曾設計用來應對的新型網路威脅之中。 另一個潛在風險則來自 OT 網路內部，例如意外連接故障裝置可能導致通訊中斷，或惡意人士取得未受保護的交換器埠存取權後，進行有針對性的攻擊以攔截機密資料。

 

圖 1：關鍵設備可能面臨的風險

那麼，要如何降低網路中最重要關鍵設備的風險呢？ 最有效的方式，就是 限制與關鍵設備之間的連線. 在Layer 2網路中，預設情況下，同一個廣播域（Broadcast Domain）內的所有裝置都可以彼此交換資料。透過限制哪些裝置可以向關鍵設備傳送資料，或從關鍵設備接收資料，將資料流控制在可信任的網路範圍內，可以大幅降低攻擊面（Attack Surface）。 這在一定程度上可以透過 VLAN 達成。VLAN 能將網路劃分為多個 VLAN 網域，使資料只能在同一 VLAN 內的裝置間交換。然而，VLAN 的設定往往很快就會變得複雜，並且需要對網路中的每一台裝置進行周密規劃、文件化管理與持續維護。

 

Port Isolation 的優勢

相較於 VLAN, Port Isolation 提供了一種更簡單的方法，用於限制乙太網路交換器各個埠之間的進站（Ingress）或出站（Egress）資料流。Port Isolation 也可以搭配 VLAN 一起使用，進一步限制同一 VLAN 內裝置之間的通訊。由於設定簡單且效果明確，Port Isolation 成為強化網路安全的重要工具，可透過限制通訊僅發生於可信任連線之間來提升安全性。

 

在 OT 網路中，Port Isolation 可限制不必要的裝置對裝置通訊，降低橫向移動（Lateral Movement）與惡意程式擴散的風險。它可確保 HMI（人機介面）、工程工作站以及供應商設備，只能存取指定的控制器，隔離安全性有限的舊型系統，並透過防止非預期流量或即時控制干擾，維持系統安全性與可用性。

 

Port Isolation 的主要目的，是 讓資料封包僅被轉送到預定接收的埠口。. 這不僅能提升網路安全，還具備以下優點:

• 最低的設定與維運負擔
• 可直接在乙太網交換器中實現
• 透過限制通訊來強化安全性
• 保護關鍵設備，同時保留可信任連線的存取能力
• 防止裝置之間直接通訊
• 無需額外設定 VLAN
• 對非管理型、舊型或第三方設備同樣有效
• 不受 IP 位址與通訊協定影響

 

Port Isolation 的運作方式

Port Isolation 是一項在乙太網路交換器上執行的功能，運作於 OSI model 的第 2 層（資料連結層）。其核心機制是控制交換器各埠之間的通訊是否允許轉送或阻擋。當兩個埠之間的連線被阻擋時，這兩個埠就被視為彼此「隔離（Isolated）」。有些廠商僅允許設定一個上行埠（Uplink Port），該埠可以與交換器上的所有下行埠（Downlink Ports）通訊。而所有下行埠之間的流量則被隔離，因此它們只能透過上行埠進行通訊。這種橫向隔離方式通常也被稱為 Private VLAN ，非常適合像飯店訪客網路這類應用情境，因為客戶設備不應該彼此直接通訊。

 

Volktek Corporation 提供更進階版本的 Port Isolation，可針對交換器任意兩個埠進行個別隔離設定，提供更高的設定彈性與更符合特定網路需求的應用方式。 因此，以下內容將以此進階 Port Isolation 實作方式為說明基礎。如圖 2 所示範例：

• 埠 1～3 可彼此自由通訊
• 埠 4 只能與埠 1 交換資料，並與其他埠隔
• 埠 5 只能將資料傳送至埠 3，但不能接收資料
• 埠 6 只能接收來自埠 3 的資料，但不能傳送資料
• 埠 7～10 與所有其他埠完全隔離，因此未被使用

圖 2：乙太網交換器上的 Port Isolation 範例

設定方式

透過 Web GUI 設定 Port Isolation 是相當直覺且簡單的，只需幾個步驟即可完成。 以下以 Volktek Web GUI 為例進行說明。如圖 3 所示，可針對單一埠或一組埠同時進行設定。這些埠收到的封包，將會被轉送到下方所選擇的所有輸出埠（Egress Ports） 。 若選擇 Port 0 表示封包也會被轉送至交換器 CPU，這是進行交換器管理存取及使用 SNMP 等功能所必須的。這也代表可以透過 Port Isolation 限制交換器管理存取僅來自特定埠，而不需要修改管理 VLAN 設定。

注意：至少必須保留一個埠啟用 Port 0 作為 Egress Port，否則將失去透過乙太網介面對交換器的管理存取權限。

 

圖 3：Port Isolation 設定介面

設定完成後，結果會以圖 4 所示的矩陣方式呈現。 回到圖 1 的範例，表格顯示：

• 埠 1～3 收到的封包會彼此轉送、同時也會轉送至交換器 CPU
• 埠 3 另外還會將封包轉送至埠 6
• 埠 4 與埠 1 雙向通訊
• 埠 5 僅能將封包轉送至埠 3

 

圖 4：Port Isolation 設定結果

 

常見問題（FAQ）

Q1. 什麼是 Port Isolation？
A：Port Isolation 是乙太網交換器的 Layer 2 功能，可限制埠與埠之間的資料轉送，只允許傳送到明確授權的埠。

Q2. Port Isolation 解決工業網路中的什麼問題？
A：它可保護關鍵設備，防止未預期或未授權的裝置間通訊，降低遭入侵、故障或誤接裝置影響 OT 網路關鍵系統的風險。

Q3. Port Isolation 與 VLAN 有何不同？
A：VLAN 將裝置分隔到不同廣播域，但同一 VLAN 內裝置仍可自由通訊。Port Isolation 則可限制個別埠之間的通訊，即使它們位於同一 VLAN 中。

Q4. Port Isolation 可以與 VLAN 一起使用嗎？
A: 可以。Port Isolation 可在 VLAN 內部使用，以進一步限制因營運需求而必須共用同一 VLAN 的裝置之間的通訊。

Q5. Port Isolation 常見應用場景有哪些？
A: 常見應用包括保護安全關鍵設備、隔離工廠現場設備、保護訪客或臨時連線，以及限制 IT/OT 融合網路中的橫向移動。

Q6. Port Isolation 可以限制交換器管理存取嗎？
A: 可以。透過控制流量是否轉送到交換器 CPU（通常稱為 Port 0），即可限制管理存取僅限特定實體埠。

Q7. Port Isolation 可以防範惡意程式或勒索軟體嗎？
A: Port Isolation 本身不會偵測惡意程式，但可限制橫向移動，降低惡意軟體在同一交換器上的裝置間擴散能力。

Q8. Port Isolation 會影響網路效能或延遲嗎？
A: 不會。Port Isolation 是由交換器硬體直接執行，不會額外增加延遲或降低吞吐量。

 

關於 Volktek

Volktek Corporation 是一家來自台灣的工業乙太網路解決方案製造商，擁有超過 30 年的產業經驗，服務涵蓋工業自動化、建築管理系統、海事、交通運輸、能源及關鍵基礎設施等應用領域。

 

Volktek 專注於提供可靠、安全且易於部署的網路產品，確保其設備在嚴苛工業環境中依然能穩定運作。透過內部自主設計、製造與品質控管，Volktek 為全球客戶提供完整產品生命週期支援，從系統設計、部署到長期運作與技術支援。其產品組合著重於高耐用性、長期供貨能力以及實用的安全功能，協助客戶打造具備韌性且面向未來的 OT 網路。