如2台交换机不同光口的TX端与RX端连接,将导致单纤环路,交换机MAC表异常,产生网络风暴。
交换机不同光口收发端错误连接示意图
3.3通道质量问题
介绍工业现场因常见通道质量问题引发网络风暴之前,我们先来了解一下以太网数据帧FCS(帧检验序列)。
FCS(帧检验序列)是以太网数据帧尾部4字节的序列,在数据打包完毕后运用CRC校验算法给出FCS检验序列,组成新的数据帧发给接收端,接收端按照CRC校验算法重新运算一次FCS检验序列,这个过程叫做CRC校验。如果两次CRC校验给出的FCS检验序列结果不一样,那么说明数据帧传输过程中出现了错误,就丢弃这个数据帧。
以太网数据帧结构
网线水晶头制作工艺差、网线虚接、网线受到电磁干扰、光缆衰耗过大、光纤熔接质量差、光纤头接被污染等通道质量问题容易形成大量CRC错误数据帧。当通道质量问题严重,会导致环网探测报文连续产生CRC错误被丢弃,主站从端口由阻塞变为转发状态,形成环路,从而导致网络风暴产生。
3.4设备故障
在工业现场由于外部供电不稳定,强电磁干扰或被大量不符合封装规则的数据包冲击时,易造成交换机CPU异常。
环网协议报文通过交换机CPU进行处理,如交换机CPU异常无法正常处理环网协议报文,使环网协议无法正常工作,将导致环路,产生网络风暴。
在工业现场由于环境潮湿,交换机电路板受潮短路,或因高温、强振动和强电磁干扰使部分元器件损坏,可能造成交换机数据转发丢包或端口频繁up/down等通信异常情况。
当交换机频繁数据丢包或端口频繁up/down,使环网协议无法被正常转发或环网不停切换,将导致环网偶尔出现环路,引发网络风暴。
3.5网络病毒与恶意攻击
4.
工业现场网络风暴的特点及危害
4.1网络风暴波及范围广,直接影响生产任务,造成经济损失
4.2可能造成控制设备死机等故障,以致生产秩序不能快速恢复正常
4.3工业领域网络风暴故障溯源难
5.
网络风暴如何防范
为避免网络风暴给工业用户造成严重危害,应采用具备多种防范功能的工业交换机产品,并设计合理方案和管理制度。威努特协助工业客户制定合理网络方案和科学管理制度,且威努特工业交换机具备良好工业级软硬件防护设计,针对工业现场网络风暴产生的原因,开发了丰富、专业的网络风暴防护功能,帮助用户防范网络风暴。
5.1防止环路问题引起网络风暴
开启环路保护功能,探测到环网中存在环路,自动shutdown端口断开环路
开启环路保护功能,交换机不同端口自环,自动shutdown端口断开自环
5.2防止单纤问题、通道质量问题或设备健康性问题等引起网络风暴
开启链路状态检测功能,自动隔离故障设备,避免交换机CPU异常导致网络风暴
工业交换机支持DoS攻击防护功能,交换机开启全局DoS防攻击配置,用户配置相应子功能后,交换机会丢弃DoS攻击报文,从而保证网络带宽不被风暴型DoS攻击报文消耗殆尽,业务系统不受影响。
5.4防范异常流量冲击,保障风暴时业务数据正常转发
5.5设计合理方案及管理制度
针对工业现场网络风暴的分析,在设计、构建和管理工业网络时,要充分考虑网络风暴给工业网络带来的问题及影响,可从以下方面进行设计:
分层设计网络(如接入层、汇聚层、核心层三层设计),利用路由器或三层交换机把大网分为不同的子网,把网络风暴危害控制在某一个小的子网内。
子网内按承载的业务系统合理规划VLAN,通过VLAN将不同种类业务隔离在不同广播域,实现子网内广播风暴隔离,降低网络风暴影响范围。
在组网时选用质量好,功能强,具备多种网络风暴防护功能的工业交换机。
按照网络工程规范施工。线缆要贴好标签,标明编号,标签书写清晰、端正、正确;网线选用五类以上双绞线,水晶头规范压接;光纤避免挤压或大角度弯曲,光纤熔接后使用光纤测试仪测试合格后再正常使用等等,避免人为失误导致端口自环、光纤连接错误,或通道施工质量问题等引发网络风暴。
工业网络中所有主机上安装工控主机卫士等终端安全防护软件,阻止蠕虫病毒在工业主机上的感染、执行和扩散。网络边界部署防毒墙等有效阻止病毒大范围扩散。
很多行业如风电、轨道交通、煤炭、综合管廊和石化管线等,距离广阔,环境恶劣,不方便集中运维,这就需要建立一套科学、严格的管理制度,控制病毒的入侵,预防人为原因造成的网络环路:
b)集中管控:针对中、大规模或场站分散工业网络,运用网管系统等集中管控,运维人员需熟悉网管系统操作流程及告警处置方法,发现网络风暴后,可通过网管系统快速定位,及时处置;
c)定期检查:结合网管系统和人工巡检等方式,应定期检查工业网络设备状态、设备健康情况和网络通道质量等,巡检中发现的隐患问题及时整改,提前预防因设备故障、通道质量问题等导致网络风暴;
d)专项应急预案及演练:成立应急小组,并制定网络风暴专项应急预案,定期与不定期组织网络风暴防护演练。演练要具有针对性和实际性,做好演练方案策划,演练结束要及时对演练进行评价,总结经验,改进网络风暴专项应急预案。