在工業互聯網（IIoT）里，把一個大網絡切成若干小網段，不是為了“好看”，而是要讓生產系統在“連續、實時、安全、可維護”這四個核心指標上都能達標。下面從工業現場的痛點出發，逐條說明為什么必須做網段劃分。

1. 控制廣播風暴，保證確定性時延

工業以太網里仍有大量基于廣播/多播的協議（Profinet、EtherNet/IP、CC-Link IE 等）。一個未經劃分的扁平網絡里，幾千臺設備產生的廣播報文會在 2~3 毫秒內淹沒整個二層域。可運動控制要求 1 ms 甚至 250 s 的抖動上限。通過 VLAN/子網把“控制網”“采集網”“管理網”切開后，廣播域被限制在幾十臺設備以內，時延和抖動立即可控。

2. 安全分區，實現“縱深防御”

IEC 62443、等保 2.0 都明確要求“分層分域”。

? 把 PLC、驅動器、HMI 所在的 OT 網段與 MES、ERP、Internet 所在的 IT 網段隔離；

? 在不同網段之間放置工業防火墻/網閘，只做必要的協議白名單透傳；

? 一旦辦公網被勒索軟件入侵，也無法直接掃描到 PLC，從而保護生產連續性。

3. 故障隔離，縮小爆炸半徑

現場曾出現因某條產線攝像頭環路造成廣播風暴，導致整廠 20 多條產線停機的事故。網段化后，單條產線或單個工段的問題被限制在本地 VLAN，廠級 SCADA 和其他產線不受影響，平均修復時間（MTTR）從小時級降到分鐘級。

4. 便于移動、擴容與維護

工業現場經常“加一條產線、搬一臺機器人”。如果提前按“區域+功能”規劃了網段（例如 10.1.x.x/24 給沖壓區，10.2.x.x/24 給焊接區），新增設備只需在對應網段里選地址，DHCP 池和 ACL 模板早已預置，現場工程師即插即用，不需要回總部重新做整網規劃。

5. 滿足行業合規與審計

汽車主機廠、半導體晶圓廠、電網、軌交等行業在招標時都會把“網絡必須劃分安全區并提供拓撲圖”寫進技術協議。不做網段劃分，連投標資格都沒有。

6. QoS 與多業務并行

同一根千兆光纖里既要跑實時運動控制（cycle time 250 s），又要跑 4K 視覺檢測（>100 Mbps 突發流量）。通過 VLAN+TSN（或傳統的 DSCP/QoS）把兩類流量放到不同網段，再映射到不同優先級隊列，才能確保控制數據始終搶占帶寬。

7. 地址容量與可管理性

一條整車產線就可能擁有上萬個 IP 節點（RFID、閥島、IO-Link Wireless、AGV、攝像頭、傳感器）。一個 /16 的大網段既不現實也難以運維；拆成 /24 或 /26 的小網段后，結合 DHCP Option 82 和工業 DNS，可以做到“按區域+按設備類型”自動命名和定位。

一句話總結

在工業互聯網中，網段劃分不是簡單的“網絡技巧”，而是讓 OT 系統“像 IT 一樣可管，卻又比 IT 更確定、更安全、更穩定”的基礎設施設計原則。

審核編輯 黃宇