汪貴明

(酒鋼集團宏興鋼鐵股份有限公司檢修工程部自控作業區)

摘  要  依據酒鋼光纖骨干網、工控局域網現場維護實際案例，闡述了4號高爐操作站IP地址沖突故障現象，故障排查的具體步驟、排查的具體方法，在工業企業兩化融合的大趨勢下，對于鋼鐵冶金企業網絡維護具有一定的借鑒意義。

關鍵詞  操作站  IP地址  沖突

1  引言

工業企業工業控制計算機網絡中，操作站通常采用固定IP地址，這些地址均嚴格登記造冊，發生地址沖突的可能性很小。在無端點準入的局域網中，由于用戶擅自更改IP地址造成地址沖突的事例時有發生，解決的最直接的方法通常利用局域網搜索軟件，搜索出沖突主機的MAC地址即可。本文論述了如何通過可管理交換機排查IP地址的方法。

2  故障現象

2018年，4號高爐工控操作站操作系統報IP地址沖突，導致上位畫面通訊中斷，故障持續時間在幾分鐘之內不等，隨著時間的推移，其它高爐也出現上述故障。

3  故障分析與排查

3#、4#、5#、6#高爐與二噴煤工控網絡采用以太網單獨組網，通過Cisco3550實現不同VLAN互通。辦公信息網通過Cisco2950上聯骨干網三層交換機實現不同VLAN互通。初步分析在此局域網中存在相同IP的主機。用另外一臺計算機Ping報錯主機的IP地址192.168.100.X,能Ping通，不丟包。斷開報錯主機網線，重復上述工作，Ping不通。考慮存在與192.168.100.X相同IP地址的沖突主機若開啟防火墻，則Ping不通，故障依舊未排除。二噴煤主控室網絡拓撲圖如圖1所示。

3.1  局域網掃描軟件搜索沖突主機

用局域網搜索軟件搜索局域網內主機，能掃描出192.168.100.*網段內，存在個別未知的主機。

判斷工控網絡與其他網絡混接。由于該軟件未搜索出工控網絡中的全部操作站和PLC,用另外一種搜索軟件搜索，發現192.168.100.Y未知主機，對工控局域網內所有操作站和PLC的物理位置和IP地址逐一排查，但未查出該主機的物理位置。也未搜索出與192.168.100.X存在沖突的主機。

3.2  使用操作系統事件查看器查詢IP地址沖突事件利用“事件查看器”這個系統維護工具，用戶可以通過使用事件日志，收集有關硬件、軟件、系統問題方面的信息，并監視操作系統安全事件，將操作系統和其他應用程序運行中錯誤事件記錄下來，便于用戶診斷和糾正可能發生的系統錯誤和問題。事件詳細信息描述：系統檢測到IP地址192.168.100.Z和網絡硬件地址00:00:00:00:XX:YY發生沖突。此系統的網絡操作可能會突然中斷。

MAC地址00:00:00:00:XX:YY是酒鋼內網本地網關的虛擬地址，由此分析可能存在工控局域網與酒鋼內網連通或工控網絡中可能存在ARP病毒。

3.3  工控CISCO3550日志查看

3.3.1  查找IP地址為192.168.100.Y的主機所在的交換機端口

CISCO3550#Ping 192.168.100.Y

能Ping通，再查找該主機的MAC地址。

CISCO3550#showip arp I include 192.168.100.Y該主機的MAC地址為0080.6318.XXXX。

CISCO3550#show mac-address-table

該主機的MAC地址對應的交換機端口為fa0/1

3.3.2  查看CISCO3550鄰居

CISCO3550#showcdp neighbors

發現CISC03550fa0/1連接WS-C2950G-fa/17。WS-C2950G-fa/17為二噴煤酒鋼內網交換機，工控交換機CISC03550與二噴煤酒鋼內網交換機WS-C2950G-fa/17在一個機柜內，排查無直連線。懷疑通過這兩個端口下聯的HUB互聯，見二噴煤主控室網絡拓撲圖中虛線部分。

3.3.3  查找工控交換機CISCO3550 fa0/1 和辦公網交換機WS-C2950Gfa/17下聯的物理位置

工控交換機CISCO3550 fa0/1、fa0/4、fa0/6、fa0/12下聯四座小高爐，fa0/7下聯二噴煤。在取得生產方崗位同意后，down辦公網交換機WS-C2950G fa/17口，4號高爐主控室辦公網中斷；down工控交換機Penmei3550fa0/1口，4號高爐操作站網絡中斷，初步判斷4號高爐工控網與辦公網連通。

3.4  查找工控交換機CISC03550fa0/1端口下可疑

MAC CISCO3550#show mac-address-table inteface f0/1Vlan100 4c:bd:8f:6d:b7:XX fa0/1    Vlan100 c8:9c:dc:57:29:XX fa0/1

3.5  在SDN控制平臺查找上述可疑主機

在SDN控制平臺中，發現可疑主機為視頻監控攝像頭和辦公PC機的MAC,進一步驗證了4號高爐區域形成環路。

3.6  4號高爐主控室排查

逐一排查4號高爐主控室機柜內收發器，并做好標識，排查工控操作臺機柜下聯大數據隔離網管，在辦公網操作臺內辦公網PC上配雙IP及雙網關，均能ping通辦公網網關和工控網關，說明工控網絡已經混接至辦公網，同時ping上述兩個網關并排查插拔機柜內網線，當該PC機Ping不通工控網關時，排查成功。圖1中虛線為排查出的工控網與辦公網混接的網線。

4  結語

通過以上故障，要求我們在日常維護中，要做好標識，加強管理，避免工控網絡在沒有任何防護的情況下接入辦公網絡，給網絡安全造成威脅。

5  參考文獻

[1]  王達.Cisco/H3C交換機配置與管理完全手冊[M].中國水利水電出版社，2012.

[2]  雷震甲，吳曉葵，嚴體華.網絡工程師教程[M].清華大學出版社，2014.