Kaspersky Industrial CyberSecurity for Networks 中使用地址空间的示例

地址空间（AS）使得 Kaspersky Industrial CyberSecurity for Networks 能够在具有相同地址的设备用于不同网段的情况下进行操作。本文提供了在不同网段中复制设备地址时为以下选项使用地址空间的示例：

IP 地址重复
MAC 地址重复
MAC 地址的重复和使用相同范围的 IP 地址

用于复制设备 IP 地址的地址空间

本例考察了一家拥有 16 个工业现场的公司，这些现场有多组 PLC。每个工业站点使用相同范围的 IP 地址：10.4.0.0/16、10.5.0.0/16、10.8.0.0/16、10.9.0.0/16。这意味着不同站点的设备可能具有相同的 IP 地址。

工业站点的网段与主要企业网络完全隔离。每个段包含可操作 PLC、工程工作站和执行应用程序站功能的计算机（以下简称“应用程序站”计算机）。一个网段通过应用程序站计算机与主企业网络集成。这台计算机在主企业网络上有一个具有唯一 IP 地址的专用网络接口。

为了确保 Kaspersky Industrial CyberSecurity for Networks 在该配置中正常运行，必须为每个工业站点段添加以下对象：

段内流量接收监控点
从应用程序站计算机接收流量的监控点
包含一个规则的地址空间

例如，您可以为第一个段添加具有以下名称的对象：

MPoint_1-1
MPoint_1-2
Site_1

下表描述了每个段的地址空间设置。

AS 用于具有相同 IP 地址的段

AS 名称	数据源	OSI 模型层	VLAN ID	IP 地址
Site_1	监控点： MPoint_1-1 MPoint_1-2	网络 (L3)	任意或未使用	10.4.0.0/16 10.5.0.0/16 10.8.0.0/16 10.9.0.0/16
Site_2	监控点： MPoint_2-1 MPoint_2-2	网络 (L3)	任意或未使用	10.4.0.0/16 10.5.0.0/16 10.8.0.0/16 10.9.0.0/16
Site_3	监控点： MPoint_3-1 MPoint_3-2	网络 (L3)	任意或未使用	10.4.0.0/16 10.5.0.0/16 10.8.0.0/16 10.9.0.0/16
...
Site_16	监控点： MPoint_16-1 MPoint_16-2	网络 (L3)	任意或未使用	10.4.0.0/16 10.5.0.0/16 10.8.0.0/16 10.9.0.0/16

用于复制设备 MAC 地址的地址空间

此示例检查使用 VLAN 技术的工业网络。该网络具有用于工业站点的两个专用段，通过 ID VLAN 3910 和 3915 进行区分。网段包含具有手动分配的 MAC 地址的设备（设备及其软件支持此功能）。这意味着不同网段中的设备可能具有相同的 MAC 地址。

为了确保 Kaspersky Industrial CyberSecurity for Networks 在这种配置中正常运行，必须为每个段添加一个地址空间。例如，可以将名称“Site_1”和“Site_2”分配给地址空间。地址空间每个可以包含一个规则。

下表描述了每个段的地址空间设置。

具有相同 MAC 寻址的段的 AS

AS 名称	数据源	OSI 模型层	VLAN ID	IP 地址
Site_1	监控点：任意	数据链路 (L2)	3910	任意
Site_2	监控点：任意	数据链路 (L2)	3915	任意

AS 名称

数据源

OSI 模型层

VLAN ID

IP 地址

Site_1

监控点：

任意

数据链路 (L2)

3910

任意

Site_2

监控点：

任意

数据链路 (L2)

3915

任意

用于复制具有相同 IP 地址范围的设备的 MAC 地址的地址空间

此示例检查使用 VLAN 技术的工业网络。该网络具有用于工业站点的两个专用段，通过 ID VLAN 3910 和 3915 进行区分。网段包含具有手动分配的 MAC 地址的设备（设备及其软件支持此功能）。每个段中的 IP 地址都在相同的地址范围内：140.80.0.0/16。这意味着不同网段中的设备可以具有相同的 MAC 地址和/或相同的 IP 地址。

下表描述了每个段的地址空间设置。

AS，用于具有相同 MAC 地址和相同 IP 地址范围的段

AS 名称	数据源	OSI 模型层	VLAN ID	IP 地址
Site_1	监控点：任意	数据链路和网络 (L2 和 L3)	3910	140.80.0.0/16
Site_2	监控点：任意	数据链路和网络 (L2 和 L3)	3915	140.80.0.0/16

AS 名称

数据源

OSI 模型层

VLAN ID

IP 地址

Site_1

监控点：

任意

数据链路和网络 (L2 和 L3)

3910

140.80.0.0/16

Site_2

监控点：

任意

数据链路和网络 (L2 和 L3)

3915

140.80.0.0/16

页首