避免在您的机器上使用非托管交换机的 5 大理由

我知道，我知道——这是一个多年来一直被讨论的话题。然而，机器制造商、OEM 甚至最终用户继续将非管理型交换机置于管理型交换机显然是更好选择的应用中。使用管理型交换机有助于确保您的机器发挥最佳性能、拥有最长的正常运行时间并且不会对您的客户构成安全风险。

对于许多机器制造商和原始设备制造商来说，成本是他们机器设计和组件选择的主要驱动因素。因此，许多供应商仍在其设备上使用廉价的非托管交换机。

使用非管理型交换机来处理 IACS（工业自动化控制系统）流量有许多缺点和风险：

缺点 #1 – 非托管交换机上的开放端口存在安全风险

想象一下其他供应商的承包商或不知情的员工将他们的 PC 连接到非托管交换机上的开放端口，传播病毒并对 IACS 和网络造成严重破坏。管理型交换机具有端口安全功能，能够禁用端口并防止未经授权的访问。您如何反对这种简单有效的安全预防措施？

缺点 #2 – 没有弹性 =停机时间更长

管理型交换机的另一个重要特性是冗余。冗余通过为流量提供备用数据路径，在连接或电缆出现故障时提供保护网络的能力。标准协议可防止环路并建立冗余链接作为备份，以保持集成系统可用。这最终可以防止代价高昂的停机时间，任何用户都可以欣赏。

缺点 #3 – 非托管交换机无法优先处理流量

托管交换机使您能够优先考虑局域网 (LAN) 流量，以确保最重要的信息通过，而非托管交换机仅允许以太网设备相互通信，例如 PC 或网络打印机。托管交换机的一项名为“服务质量”的功能允许您通过为关键流量分配更高的优先级来确定网络流量的优先级。这有助于确保您机器上关键控制功能的网络性能保持一致。

简而言之，这可以防止其他网络流量导致您的机器出现故障——这可能导致用户停机、服务部门致电服务以及用户对您机器性能的不良看法。

缺点 #4 – 非托管交换机无法分割网络流量

虚拟局域网或 VLAN 是在计算机网络中分区和隔离的域。 VLAN 允许交换机在逻辑上将设备分组在一起，以隔离这些组之间的流量，即使其他流量通过同一物理交换机。

网络流量的分段和隔离有助于减少关键区域的不必要流量。例如，您可以对机器组之间的流量进行分段，以便关键控制信息可以在机器之间无延迟地流动，而不会被其他流量所阻碍。这可以实现更好的网络性能，并在许多情况下提供额外的安全级别。

缺点 #5 – 非托管交换机用于监控网络活动或性能的工具有限或没有工具

管理型交换机使用简单网络管理协议或 SNMP 等协议来监控网络上的设备。 SNMP 查询可以确定网络的健康状况或特定设备的状态。通过以易于理解的格式显示这些数据，用户甚至可以远程监控网络性能并快速检测和修复网络问题。

管理型交换机还允许端口镜像。这会复制交换机网络流量并将其转发到同一交换机上的单个端口以进行分析。然后，您可以在监控端口上使用网络分析器，通过检查其他端口或网段上的流量来排除网络问题。这使您可以在不停止机器服务的情况下解决问题，从而最大限度地延长用户的正常运行时间。

底线

对于最终用户而言，在他们的工厂中具有一定的网络可见性和控制权是非常重要的，并且他们愿意为此付费。托管交换机功能可以让机器制造商将他们的机器与竞争对手区分开来，获得更高的溢价，并最终降低用户的总拥有成本。

我认为托管交换机的增量成本差异甚至远小于单个停机事件！

如果仍然认为完全托管交换机的成本过高，那么像 Cisco IE1000 这样的“轻管理”交换机可能是一个不错的选择。轻管理交换机可以以合理的价格提供全管理交换机功能的子集。如果您的组织中没有 IT 支持或不熟悉命令行界面等 IT 工具，轻管理交换机也可以轻松配置和调试。因此，可以轻松地在您的机器架构中集成一个轻管理的交换机。

在您的机器上安装管理型交换机……这是一个“可管理的” 增量成本！

准备好了解更多了吗？