汪貴明

(酒鋼集團宏興鋼鐵股份有限公司檢修工程部自控作業(yè)區(qū))

摘  要  依據(jù)酒鋼光纖骨干網(wǎng)、工控局域網(wǎng)現(xiàn)場維護實際案例，闡述了4號高爐操作站IP地址沖突故障現(xiàn)象，故障排查的具體步驟、排查的具體方法，在工業(yè)企業(yè)兩化融合的大趨勢下，對于鋼鐵冶金企業(yè)網(wǎng)絡維護具有一定的借鑒意義。

關鍵詞  操作站  IP地址  沖突

1  引言

工業(yè)企業(yè)工業(yè)控制計算機網(wǎng)絡中，操作站通常采用固定IP地址，這些地址均嚴格登記造冊，發(fā)生地址沖突的可能性很小。在無端點準入的局域網(wǎng)中，由于用戶擅自更改IP地址造成地址沖突的事例時有發(fā)生，解決的最直接的方法通常利用局域網(wǎng)搜索軟件，搜索出沖突主機的MAC地址即可。本文論述了如何通過可管理交換機排查IP地址的方法。

2  故障現(xiàn)象

2018年，4號高爐工控操作站操作系統(tǒng)報IP地址沖突，導致上位畫面通訊中斷，故障持續(xù)時間在幾分鐘之內(nèi)不等，隨著時間的推移，其它高爐也出現(xiàn)上述故障。

3  故障分析與排查

3#、4#、5#、6#高爐與二噴煤工控網(wǎng)絡采用以太網(wǎng)單獨組網(wǎng)，通過Cisco3550實現(xiàn)不同VLAN互通。辦公信息網(wǎng)通過Cisco2950上聯(lián)骨干網(wǎng)三層交換機實現(xiàn)不同VLAN互通。初步分析在此局域網(wǎng)中存在相同IP的主機。用另外一臺計算機Ping報錯主機的IP地址192.168.100.X,能Ping通，不丟包。斷開報錯主機網(wǎng)線，重復上述工作，Ping不通?？紤]存在與192.168.100.X相同IP地址的沖突主機若開啟防火墻，則Ping不通，故障依舊未排除。二噴煤主控室網(wǎng)絡拓撲圖如圖1所示。

3.1  局域網(wǎng)掃描軟件搜索沖突主機

用局域網(wǎng)搜索軟件搜索局域網(wǎng)內(nèi)主機，能掃描出192.168.100.*網(wǎng)段內(nèi)，存在個別未知的主機。

判斷工控網(wǎng)絡與其他網(wǎng)絡混接。由于該軟件未搜索出工控網(wǎng)絡中的全部操作站和PLC,用另外一種搜索軟件搜索，發(fā)現(xiàn)192.168.100.Y未知主機，對工控局域網(wǎng)內(nèi)所有操作站和PLC的物理位置和IP地址逐一排查，但未查出該主機的物理位置。也未搜索出與192.168.100.X存在沖突的主機。

3.2  使用操作系統(tǒng)事件查看器查詢IP地址沖突事件利用“事件查看器”這個系統(tǒng)維護工具，用戶可以通過使用事件日志，收集有關硬件、軟件、系統(tǒng)問題方面的信息，并監(jiān)視操作系統(tǒng)安全事件，將操作系統(tǒng)和其他應用程序運行中錯誤事件記錄下來，便于用戶診斷和糾正可能發(fā)生的系統(tǒng)錯誤和問題。事件詳細信息描述：系統(tǒng)檢測到IP地址192.168.100.Z和網(wǎng)絡硬件地址00:00:00:00:XX:YY發(fā)生沖突。此系統(tǒng)的網(wǎng)絡操作可能會突然中斷。

MAC地址00:00:00:00:XX:YY是酒鋼內(nèi)網(wǎng)本地網(wǎng)關的虛擬地址，由此分析可能存在工控局域網(wǎng)與酒鋼內(nèi)網(wǎng)連通或工控網(wǎng)絡中可能存在ARP病毒。

3.3  工控CISCO3550日志查看

3.3.1  查找IP地址為192.168.100.Y的主機所在的交換機端口

CISCO3550#Ping 192.168.100.Y

能Ping通，再查找該主機的MAC地址。

CISCO3550#showip arp I include 192.168.100.Y該主機的MAC地址為0080.6318.XXXX。

CISCO3550#show mac-address-table

該主機的MAC地址對應的交換機端口為fa0/1

3.3.2  查看CISCO3550鄰居

CISCO3550#showcdp neighbors

發(fā)現(xiàn)CISC03550fa0/1連接WS-C2950G-fa/17。WS-C2950G-fa/17為二噴煤酒鋼內(nèi)網(wǎng)交換機，工控交換機CISC03550與二噴煤酒鋼內(nèi)網(wǎng)交換機WS-C2950G-fa/17在一個機柜內(nèi)，排查無直連線。懷疑通過這兩個端口下聯(lián)的HUB互聯(lián)，見二噴煤主控室網(wǎng)絡拓撲圖中虛線部分。

3.3.3  查找工控交換機CISCO3550 fa0/1 和辦公網(wǎng)交換機WS-C2950Gfa/17下聯(lián)的物理位置

工控交換機CISCO3550 fa0/1、fa0/4、fa0/6、fa0/12下聯(lián)四座小高爐，fa0/7下聯(lián)二噴煤。在取得生產(chǎn)方崗位同意后，down辦公網(wǎng)交換機WS-C2950G fa/17口，4號高爐主控室辦公網(wǎng)中斷；down工控交換機Penmei3550fa0/1口，4號高爐操作站網(wǎng)絡中斷，初步判斷4號高爐工控網(wǎng)與辦公網(wǎng)連通。

3.4  查找工控交換機CISC03550fa0/1端口下可疑

MAC CISCO3550#show mac-address-table inteface f0/1Vlan100 4c:bd:8f:6d:b7:XX fa0/1    Vlan100 c8:9c:dc:57:29:XX fa0/1

3.5  在SDN控制平臺查找上述可疑主機

在SDN控制平臺中，發(fā)現(xiàn)可疑主機為視頻監(jiān)控攝像頭和辦公PC機的MAC,進一步驗證了4號高爐區(qū)域形成環(huán)路。

3.6  4號高爐主控室排查

逐一排查4號高爐主控室機柜內(nèi)收發(fā)器，并做好標識，排查工控操作臺機柜下聯(lián)大數(shù)據(jù)隔離網(wǎng)管，在辦公網(wǎng)操作臺內(nèi)辦公網(wǎng)PC上配雙IP及雙網(wǎng)關，均能ping通辦公網(wǎng)網(wǎng)關和工控網(wǎng)關，說明工控網(wǎng)絡已經(jīng)混接至辦公網(wǎng)，同時ping上述兩個網(wǎng)關并排查插拔機柜內(nèi)網(wǎng)線，當該PC機Ping不通工控網(wǎng)關時，排查成功。圖1中虛線為排查出的工控網(wǎng)與辦公網(wǎng)混接的網(wǎng)線。

4  結(jié)語

通過以上故障，要求我們在日常維護中，要做好標識，加強管理，避免工控網(wǎng)絡在沒有任何防護的情況下接入辦公網(wǎng)絡，給網(wǎng)絡安全造成威脅。

5  參考文獻

[1]  王達.Cisco/H3C交換機配置與管理完全手冊[M].中國水利水電出版社，2012.

[2]  雷震甲，吳曉葵，嚴體華.網(wǎng)絡工程師教程[M].清華大學出版社，2014.