汪貴明

(酒鋼集團(tuán)宏興鋼鐵股份有限公司檢修工程部自控作業(yè)區(qū))

摘  要  依據(jù)酒鋼光纖骨干網(wǎng)、工控局域網(wǎng)現(xiàn)場(chǎng)維護(hù)實(shí)際案例，闡述了4號(hào)高爐操作站IP地址沖突故障現(xiàn)象，故障排查的具體步驟、排查的具體方法，在工業(yè)企業(yè)兩化融合的大趨勢(shì)下，對(duì)于鋼鐵冶金企業(yè)網(wǎng)絡(luò)維護(hù)具有一定的借鑒意義。

關(guān)鍵詞  操作站：IP地址；沖突

1 引言

工業(yè)企業(yè)工業(yè)控制計(jì)算機(jī)網(wǎng)絡(luò)中，操作站通常采用固定IP地址，這些地址均嚴(yán)格登記造冊(cè)，發(fā)生地址沖突的可能性很小。在無(wú)端點(diǎn)準(zhǔn)入的局域網(wǎng)中，由于用戶(hù)擅自更改IP地址造成地址沖突的事例時(shí)有發(fā)生，解決的最直接的方法通常利用局域網(wǎng)搜索軟件，搜索出沖突主機(jī)的MAC地址即可。本文論述了如何通過(guò)可管理交換機(jī)排查IP地址的方法。

2 故障現(xiàn)象

2018年，4號(hào)高爐工控操作站操作系統(tǒng)報(bào)IP地址沖突，導(dǎo)致上位畫(huà)面通訊中斷，故障持續(xù)時(shí)間在幾分鐘之內(nèi)不等，隨著時(shí)間的推移，其它高爐也出現(xiàn)上述故障。

3 故障分析與排查

3#、4#、5#、6#高爐與二噴煤工控網(wǎng)絡(luò)采用以太網(wǎng)單獨(dú)組網(wǎng)，通過(guò)Cisco 3550實(shí)現(xiàn)不同VLAN互通。辦公信息網(wǎng)通過(guò)Cisco2950上聯(lián)骨干網(wǎng)三層交換機(jī)實(shí)現(xiàn)不同VLAN互通。初步分析在此局域網(wǎng)中存在相同IP的主機(jī)。用另外一臺(tái)計(jì)算機(jī)Ping報(bào)錯(cuò)主機(jī)的IP地址192.168.100.X,能Ping通，不丟包。斷開(kāi)報(bào)錯(cuò)主機(jī)網(wǎng)線，重復(fù)上述工作，Ping不通?？紤]存在與192.168.100.X相同IP地址的沖突主機(jī)若開(kāi)啟防火墻，則Ping不通，故障依舊未排除。二噴煤主控室網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

3.1 局域網(wǎng)掃描軟件搜索沖突主機(jī)

用局域網(wǎng)搜索軟件搜索局域網(wǎng)內(nèi)主機(jī)，能掃描出192.168.100.*網(wǎng)段內(nèi)，存在個(gè)別未知的主機(jī)。

判斷工控網(wǎng)絡(luò)與其他網(wǎng)絡(luò)混接。由于該軟件未搜索出工控網(wǎng)絡(luò)中的全部操作站和PLC,用另外一種搜索軟件搜索，發(fā)現(xiàn)192.168.100.Y未知主機(jī)，對(duì)工控局域網(wǎng)內(nèi)所有操作站和PLC的物理位置和IP地址逐一排查，但未查出該主機(jī)的物理位置。也未搜索出與192.168.100.X存在沖突的主機(jī)。

3.2  使用操作系統(tǒng)事件查看器查詢(xún)IP地址沖突事件利用“事件查看器”這個(gè)系統(tǒng)維護(hù)工具，用戶(hù)可以通過(guò)使用事件日志，收集有關(guān)硬件、軟件、系統(tǒng)問(wèn)題方面的信息，并監(jiān)視操作系統(tǒng)安全事件，將操作系統(tǒng)和其他應(yīng)用程序運(yùn)行中錯(cuò)誤事件記錄下來(lái)，便于用戶(hù)診斷和糾正可能發(fā)生的系統(tǒng)錯(cuò)誤和問(wèn)題。事件詳細(xì)信息描述：系統(tǒng)檢測(cè)到IP地址192.168.100.Z和網(wǎng)絡(luò)硬件地址00:00:00:00:XX:YY發(fā)生沖突。

此系統(tǒng)的網(wǎng)絡(luò)操作可能會(huì)突然中斷。

MAC地址00:00:00:00:XX:YY是酒鋼內(nèi)網(wǎng)本地網(wǎng)關(guān)的虛擬地址，由此分析可能存在工控局域網(wǎng)與酒鋼內(nèi)網(wǎng)連通或工控網(wǎng)絡(luò)中可能存在ARP病毒

3.3  工控CISCO3550日志查看

3.3.1  查找IP地址為192.168.100.Y的主機(jī)所在的交換機(jī)端口

CISCO3550#Ping 192.168.100.Y

能Ping通，再查找該主機(jī)的MAC地址。

CISC03550#showip arp I include 192.168.100.Y該主機(jī)的MAC地址為0080.6318.XXXX。

CISCO3550#show mac-address-table

該主機(jī)的MAC地址對(duì)應(yīng)的交換機(jī)端口為fa0/1

3.3.2  查看CISCO3550鄰居

CISCO3550#showcdp neighbors 發(fā)現(xiàn)CISC03550 fa0/1連接WS-C2950G-fa/17。WS-C2950G-fa/17為二噴煤酒鋼內(nèi)網(wǎng)交換機(jī)，工控交換機(jī)CISC03550與二噴煤酒鋼內(nèi)網(wǎng)交換機(jī)WS-C2950G-fa/17在一個(gè)機(jī)柜內(nèi)，排查無(wú)直連線。懷疑通過(guò)這兩個(gè)端口下聯(lián)的HUB互聯(lián)，見(jiàn)二噴煤主控室網(wǎng)絡(luò)拓?fù)鋱D中虛線部分。

3.3.3  查找工控交換機(jī)CISC03550fa0/1和辦公網(wǎng)交換機(jī)WS-C2950Gfa/17下聯(lián)的物理位置

工控交換機(jī)CISC03550 fa0/1、fa0/4、fa0/6、fa0/12下聯(lián)四座小高爐，fa0/7下聯(lián)二噴煤。在取得生產(chǎn)方崗位同意后，down辦公網(wǎng)交換機(jī)WS-C2950G fa/17口，4號(hào)高爐主控室辦公網(wǎng)中斷；down工控交換機(jī) Penmei3550 fa0/1 口，4號(hào)高爐操作站網(wǎng)絡(luò)中斷，初步判斷4號(hào)高爐工控網(wǎng)與辦公網(wǎng)連通。

3.4  查找工控交換機(jī)CISC03550fa0/1端口下可疑MAC CISCO3550#show mac-address-table inteface f0/1Vlan100 4c:bd:8f:6d:b7:XX fa0/1 Vlan100 c8:9c:dc:57:29:XX fa0/1

3.5  在SDN控制平臺(tái)查找上述可疑主機(jī)在SDN控制平臺(tái)中，發(fā)現(xiàn)可疑主機(jī)為視頻監(jiān)控攝像頭和辦公PC機(jī)的MAC,進(jìn)一步驗(yàn)證了4號(hào)高爐區(qū)域形成環(huán)路。

3.6  4號(hào)高爐主控室排查

逐一排查4號(hào)高爐主控室機(jī)柜內(nèi)收發(fā)器，并做好標(biāo)識(shí)，排查工控操作臺(tái)機(jī)柜下聯(lián)大數(shù)據(jù)隔離網(wǎng)管，在辦公網(wǎng)操作臺(tái)內(nèi)辦公網(wǎng)PC上配雙IP及雙網(wǎng)關(guān)，均能ping通辦公網(wǎng)網(wǎng)關(guān)和工控網(wǎng)關(guān)，說(shuō)明工控網(wǎng)絡(luò)已經(jīng)混接至辦公網(wǎng)，同時(shí)ping上述兩個(gè)網(wǎng)關(guān)并排查插拔機(jī)柜內(nèi)網(wǎng)線，當(dāng)該P(yáng)C機(jī)Ping不通工控網(wǎng)關(guān)時(shí)，排查成功。圖1中虛線為排查出的工控網(wǎng)與辦公網(wǎng)混接的網(wǎng)線。

4 結(jié)語(yǔ)

通過(guò)以上故障，要求我們?cè)谌粘＞S護(hù)中，要做好標(biāo)識(shí)，加強(qiáng)管理，避免工控網(wǎng)絡(luò)在沒(méi)有任何防護(hù)的情況下接入辦公網(wǎng)絡(luò)，給網(wǎng)絡(luò)安全造成威脅。

5  參考文獻(xiàn)

[1] 王達(dá).Cisco/H3C交換機(jī)配置與管理完全手冊(cè)[M].中國(guó)水利水電出版社，2012.

[2] 雷震甲，吳曉葵，嚴(yán)體華，網(wǎng)絡(luò)工程師教程[M].清華大學(xué)出版社，2014.