Problema
¿Se pueden configurar los puertos Ethernet integrados de la CPU M580 para operar en dos subredes IP distintas?
Línea de productos
Modicon M580
Resolución
No. Los puertos Ethernet integrados de la CPU M580 no admiten direccionamiento en subredes diferentes. La arquitectura de la CPU expone:
Puerto de Servicio (Service Port – interfaz utilizada típicamente para programación/diagnóstico; “dirección IP principal”).
Puertos de Red de Dispositivo (Device Network Ports, Puerto 2 y Puerto 3 – integrados en un switch embebido con la misma dirección IP).
La CPU mantiene una sola tabla de red y un único gateway por defecto; no realiza enrutamiento entre interfaces internas ni soporta NAT entre ellas.
¿Por qué no es posible?
Los Puertos 2/3 funcionan como un bridge/switch interno, no como interfaces L3 independientes; comparten la misma IP/MAC lógica de la CPU para tráfico IP.
El Puerto de Servicio está diseñado para acceso de ingeniería/gestión dentro de la misma red lógica; no ofrece un plano L3 separado.
Diseños alternativos soportados
Para segmentar redes o conectar dos subredes distintas desde la CPU:
a) Agregar un módulo de comunicaciones de red en el bastidor principal:
BMENOC03*1 (por ejemplo: BMENOC0301 / 0311 / 0321 según requerimientos).
La CPU se comunica con el BMENOC03x1 por el backplane; el NOC presenta otra interfaz L3 hacia la segunda subred.
Este módulo provee interfaces Ethernet independientes con dirección IP propia (otra subred), rutas y servicios separados de la CPU, permitiendo:
Conectar la red de proceso/dispositivos (E/S remotas, VSDs, HMI de planta) en una subred.
Conectar la red de ingeniería/SCADA/DMZ en otra subred con políticas de firewall adecuadas.
b) Segregación por capa 2 (VLANs) en switches gestionados externos:
Útil para aislamiento lógico dentro de la misma subred exigida por la CPU integrada.
No habilita subredes diferentes en la CPU; sólo segmenta tráfico L2.
Enrutamiento/NAT en firewall o router externo:
Mantener la CPU en una subred y publicar/trasladar servicios hacia otras subredes mediante rutas estáticas o NAT 1:1/port‑forward en el perímetro OT/IT.
Buenas prácticas
Configure una sola puerta de enlace por defecto (CPU o NOC, según topología); evite “rutas fantasma”.
Aplique firewalling entre subredes (OT/IT) y ciberseguridad IEC 62443 (listas blancas, segmentación, deshabilitar servicios no usados).
Si requiere HART/IP, Modbus/TCP, DNP3, OPC UA hacia otra red, termine estos protocolos en el BMENOC03x1 o en pasarelas dedicadas en la subred correspondiente.
Para alta disponibilidad, combine NOC con redundancia de red (RSTP/MSTP o PRP/HSR si aplica en la oferta).
Conclusión
Los puertos Ethernet integrados de la M580 deben operar en la misma subred (Service Port + Device Ports 2/3).
Para disponer de subredes diferentes desde el controlador, utilice un módulo BMENOC03*1 (o routers/firewalls externos) que provea interfaces L3 independientes y políticas de enrutamiento/seguridad acordes.
