vlan 不是安全手段

VLAN本身并不能保证安全。使用 VLAN 隔离主机并通过防火墙控制它们之间的流量。

如果我们创建具有相同网络的 vlan，由于以太网数据包中的 vlan id，控制系统将无法与下游设备通信

这就是数据链路层 (L2) 中 VLAN 的用途。它将其流量与网络的其余部分分开。

在 L2 中分离主机意味着它们只能使用网络层 (L3) 进行通信，从而迫使它们使用网关/路由器。这些网关是您控制流量的地方。当然，不同 VLAN 中的主机也需要在不同的 IP 子网中才能进行路由工作。

如果您需要连续的 L2 连接，则无法使用 VLAN 分隔这些主机。Modbus 可以在 TCP/IP 之上运行，因此可以进行路由。

在您的情况下，Tofino 防火墙（或附加路由器）需要连接分离的 IP 子网。使用防火墙规则，您允许特定的、必需的连接并拒绝所有其他流量。

在交换机上，创建所需的 VLAN 并将设备端口分配为未标记。朝向防火墙，定义一个带有所有 VLAN 标记的 VLAN 中继。

在防火墙的中继接口上，创建标记 VLAN 子接口并分配 IP 子网。朝向控制系统的朝北端口使用另一个子网。

然后定义防火墙规则，例如允许特定控制系统访问定义的 Modbus 设备或子网。