代理和网关的各种用途

简单网络

图：简单网络

如上图所示，octoplant 服务器位于隔离网络（DMZ）中，因此无法直接访问 OT 网络中的控制器（使用网络地址转换）。

为了对两台设备进行备份，必须在 OT 网络中使用代理。这样，octoplant 服务器与代理之间的通信仍必须在防火墙中启用，但代理有两个端口，可与两台设备直接通信。

另外，也可以通过 "工业路由器 "上的端口转发来访问 PLC。不过，这种方法并非总是可行，而且需要对设备有深入的了解。

图：分布式网络

网络被划分为不同的区域。这就允许多个 UserClients 通过 CSC 网关连接到 octoplant 服务器。该网关可以绕过防火墙，并确保只允许 octoplant 的通信。

如果网络包含多个防火墙，而对每个防火墙进行（重新）配置又是一项复杂的任务，那么这种设置就非常有利。因此，一个 octoplant 服务器可以连接多个公司站点。出于安全考虑，所有通过不信任网络（如互联网）传输的通信都应通过 VPN 进行。

图：代理通过网关连接

在此网络场景中，OT 网络包含一个专用子网/子网（10.1.0.0/24）。只需要两台设备用于备份。

由于有两个“工业路由器”提供 NAT，因此可以在最后一个 NAT 网络（也就是和 octoplant 相隔最多中间站点的子网）中部署代理。有两种方法与代理建立连接：

使用网关：配置第一个路由器（“工业路由器 1”），使其将输入的连接转发到网关。网关本身会自动将所有请求转发给代理。无需配置第二个路由器。
配置第二个路由器以转发连接：与之前一样，第一个路由器（“工业路由器 1”）必须配置为转发传入连接，但这次是转发到第二个路由器。第二个路由器（“工业路由器 2”）必须配置为将传入的连接转发给代理。

在这两种情况下，代理都可以连接到 10.1.0.0/24 和 10.0.0.0/24 两个子网中的所有设备。(第二个路由器已执行 NAT 路由，并将所有请求转发到 10.0.0.0/24 网络）。

图：多个子网

要将多个站点连接到一个 octoplant 服务器，可以像以前一样建立 VPN 连接。

必须配置 OT 网络的路由器，以使其转发代理的连接。如果存在多个 OT 网络，安装一个网关可能很有用。这样一来，只需从 octoplant 服务器（远程位置）访问网关，连接就会在 OT 网络之间自动转发。也可以对网关进行配置，使其直接连接 VPN 网络，从而减轻防火墙设备的负担。