工厂车间部署网络准入系统，和在办公楼里部署是两回事。办公楼的网络环境相对标准，终端类型可控，运维人员就在楼上。但车间场景要复杂得多：设备类型多且杂、工业协议多、有线无线混用、有些区域环境恶劣维护困难、还经常有外来施工队带设备进进出出。

见过不少工厂在上了网络准入系统之后，实际使用效果和当初演示落差很大。问题不在于产品本身，而在于工厂场景的特殊性在一开始就没有被充分评估。以下是几个在车间部署网络准入之前最应该提前确认的条件，按重要性排列。

第一件事：车间的网络拓扑到底是怎么划分的

很多工厂 IT 和 OT 是两套班子，网络也是两套体系。IT 网络归信息部管，OT 网络归生产部管，有时候核心交换机和工业交换机之间根本没有打通。准入系统如果只覆盖了 IT 网络那一侧，OT 侧的那些设备就管不到，整个网络准入体系就会出现明显的盲区。

在规划准入方案之前，需要先把车间网络拓扑搞清楚：哪些设备在哪个网段、每个网段之间的隔离关系是什么、有没有跨网段的访问需求、核心交换机和汇聚交换机分别是什么型号是否支持准入协议。这几个问题如果说不清楚，方案设计基本上是在拍脑袋。

还有一点容易忽略：车间里经常有临时搭建的网络环境，比如新产品线调试阶段、设备搬迁期间的过渡网络，这些通常不在正式的网络拓扑图上，但又是准入系统最容易出问题的环节。

终端识别能力够不够

工厂车间的设备类型远比办公楼复杂。不只有电脑和手机，还有 PLC 控制器、工业触摸屏、扫码枪、数控设备、传感器网关、摄像头、各类检测仪器……这些设备的网络行为模式和普通办公终端完全不同，有的甚至不发 DHCP 请求，有的 MAC 地址是虚拟的或者会漂移。

准入系统对这类设备的识别能力差异很大。有的方案靠 MAC OUI 库匹配，准确率有限；有的方案可以基于 TCP/IP 协议栈特征做指纹识别，识别率高一些但需要持续更新指纹库。关键是选型的时候要把车间里的设备清单拉出来，让方案商逐个确认是否能识别、识别的依据是什么。

还有一个现实问题：车间设备更新换代的频率比办公设备慢得多，10年前的设备可能还在用，这类老旧设备往往既没有标准的网络协议实现，也没有任何准入客户端支持能力，这种情况下的处理方案必须在合同里明确。

工业协议的问题怎么处理

工厂车间里有大量的工业通信协议——Modbus、Profinet、EtherCAT、OPC UA……这些协议和以太网协议是不同层次的，简单的网络准入方案对这些协议流量是没有识别能力的。也就是说，即使上了准入系统，工业协议的通信流量依然可以自由通过。

这个问题有两面。一方面，工业协议本身有一定的隔离需求，理论上也应该纳入管控范围；另一方面，如果对工业协议处理不当，可能影响生产通信的实时性，这在工业场景里是绝对不能接受的。

所以在做准入方案规划的时候，需要和 OT 团队、生产团队一起确认：哪些工业协议流量是敏感的、哪些是允许自由通信的、是否需要做协议级别的访问控制、做了之后对通信延迟的影响是否可以接受。这些判断不是 IT 部门单独能做的。

有线网络和无线网络的覆盖边界

很多工厂车间既有有线设备也有无线设备，但两张网可能是分别管理的。WiFi 覆盖可能由另一个部门甚至另一家运营商负责，准入系统的无线准入能力未必能覆盖到这些区域。

常见的坑是：有线网络那边部署了完整的准入体系，效果很好；但车间里的移动设备、平板、手持终端走的是另一套无线网络，那套网络根本不在准入系统的管控范围内。这样就形成了两个平行的管控体系，维护成本翻倍，管理体验割裂。

在选型阶段就要明确：车间的无线接入点是谁管理、无线控制器是什么品牌型号、准入系统是否需要直接对接无线控制器、还是通过无线控制器自身的准入能力来实现。这两个路径的技术实现和维护方式完全不同。

维护窗口的问题

办公楼里做网络变更可以选在夜间或者周末，工厂车间往往没有这个条件——生产线 24 小时运转，停机窗口非常有限。如果准入系统的实施需要大量网络割接、设备重启，可能根本没有合适的维护时间。

这直接影响到方案选型：如果必须做网络割接，需要提前和排产部门协调停机窗口；如果不想做大规模割接，可以优先考虑旁挂式或者旁路镜像的部署方案，对现网的影响会小很多，但相应的管控能力也会有所限制。这两个方向各有利弊，必须在选型阶段就决定好，而不是实施到一半才发现时间窗口不够用。

另外，车间设备接入位置分散，准入策略的批量配置和后续变更工作量比办公楼大得多。策略变更的操作效率、是否支持批量操作、是否支持模板化配置，这些在选型评估时都值得重点关注。

上线后的故障响应能力

车间网络出问题的影响范围比办公楼大得多。一台设备准入异常可能导致整条产线停产，而且工厂往往没有办公楼那么完善的 IT 值班体系，有时候问题发现得晚，损失已经扩大了。

所以选准入方案的时候，除了看功能本身，还要看供应商在工厂场景有没有快速响应的能力。有的供应商支持热线响应，但工厂问题描述本身就复杂，远程诊断效率很低；有的供应商在当地有驻场团队，可以快速到场处置。这个差异在工业场景里不是小事。

还有一点：准入系统本身也是网络上的一个节点，如果它出了故障，是否会影响正常网络通信。旁路方案的好处在这里就体现出来了——即使准入系统本身宕机，现网通信不受影响。如果用的是串联方案，这一点必须在选型阶段问清楚。

说在最后

工厂车间部署网络准入系统，技术上是可以实现的，但前提是要充分理解车间场景的特殊性。把办公楼那套方案直接套到车间里，十有八九会出现各种问题。

建议在选型之前，先让 OT 团队和 IT 团队坐在一起，把上面这些问题逐一过一遍。哪些条件满足、哪些条件需要整改、哪些条件无论如何都满足不了——搞清楚这些，再去找方案商谈，效率和效果会好很多。