1.
引言
近年来随着“工业4.0”、“工业互联网”等概念的提出,自动化与信息化深度融合,工业以太网成为工业网络的最佳解决方案。可靠、稳定和安全的工业以太网是保障工业企业正常生产业务开展的基础。但因配置、接线、设备故障等种种问题带来的网络风暴,严重影响生产业务正常开展,成为工业现场最让业主头疼的网络问题。威努特深耕工业领域多年,对工业安全及工业网络有着深入了解,本文结合工业网络特点以及威努特工业交换机产品特性,介绍工业网络如何防范网络风暴。
2.
什么是网络风暴
由于网络拓扑的设计、连接,通道质量问题,设备故障,网络攻击或其它原因导致广播(含未知多播、未知单播)报文在网络内泛洪,几乎占满网络带宽,导致网络性能下降,甚至网络瘫痪,这就是网络风暴。
3.
工业现场网络风暴产生的原因
3.1 环网配置问题
在工业领域为保证网络高可靠性,网络架构基本都采用工业环网设计,保障任一网络节点故障时整体网络可快速自愈。
常见工业环网协议配置时,每个环网中选取一台交换机作为唯一的主站(主节点),其它交换机作为从站(传输节点)。主站交换机判断环网是否成环,并控制从站交换机更新拓扑;从站交换机检测自身环端口状态,链路中断时通知主站。
主站交换机通过主端口发送环网探测报文,次端口收到环网探测报文,此时环网闭合,主站交换机次端口阻塞数据报文转发,业务数据流在逻辑上是链状拓扑。
环状态正常时网络拓扑
当环网配置错误时,环网协议无法正常工作,使网络形成环路,单个广播数据包进入形成环路的千兆环网,极短时间复制占满环网带宽,将导致网络瘫痪,甚至接入终端死机等。
单个广播包在环路中极短时间复制占满带宽
如环网中未配置主站,网络连接成环后无任何阻塞端口,形成环路,导致网络风暴产生。
如环网内一台或多台交换机漏配从站,导致环协议无法转发,主站交换机从端口在指定周期内未收到环网探测报文,将从端口由阻塞状态改为转发状态,形成环路,使网络风暴产生。
3.2 接线错误问题
3.2.1 交换机端口自环
使用1根网线或1对光纤将1台交换机的2个端口连接,交换机自身形成环路,如2个端口在相同VLAN且无任何防护配置,将导致网络风暴。
交换机自环接线示意图
某些工业现场因施工不规范,管理松懈,人员网络技能和素质较差,在检修、故障排查时,偶尔发生交换机端口自环的情况。
某煤矿现场管理松懈,交换机随意放置,同时未对线缆打标签,仅用胶带简单标记。运维人员A使用笔记本电脑通过长网线连接交换机进行运维操作后,未及时将网线从交换机上拔下,将网线另外一端随意放在地上便离场了。后运维人员B在现场发现地上有网线未连接交换机,因现场接线极其杂乱,同时也未打标签,认为其他人忘记把线接回交换机,便将网线另外一端也连接到了同一交换机。
网络风暴产生后,井上、井下业务全部中断,运维人员采取了井上环网、井下环网分别断环操作,风暴仍未消失,后把各交换机陆续断电操作,才定位到因该交换机接线自环导致网络风暴。
某煤矿现场照片
3.2.2 光纤连接错误
通信产品光口分为单纤光口和双纤光口,因双纤光口相比单纤光口稳定性强,所以工业现场多采用双纤光口工业以太网交换机。双纤光口交换机需收发成对接线,即交换机A光口1的TX端与交换机B光口1的RX端连接,交换机A光口1的RX端与交换机B光口1的TX端连接,这样2台交换机的光口才能正常进行收发工作。
工业现场一般采用多芯主缆通过ODF架完成成端,使用跳纤连接主缆不同纤芯建立交换机之间的通信,由于主缆纤芯较多,容易出现人为接线错误问题。
某轨道交通项目通过工业交换机组建光纤环网,交换机B和交换机D安装在同一机柜,临近车站交换机通过主缆到ODF架,连接跳纤与此机柜2台交换机组环网。
3.3 通道质量问题
介绍工业现场因常见通道质量问题引发网络风暴之前,我们先来了解一下以太网数据帧FCS(帧检验序列)。
FCS(帧检验序列)是以太网数据帧尾部4字节的序列,在数据打包完毕后运用CRC校验算法给出FCS检验序列,组成新的数据帧发给接收端,接收端按照CRC校验算法重新运算一次FCS检验序列,这个过程叫做CRC校验。如果两次CRC校验给出的FCS检验序列结果不一样,那么说明数据帧传输过程中出现了错误,就丢弃这个数据帧。
网线水晶头制作工艺差、网线虚接、网线受到电磁干扰、光缆衰耗过大、光纤熔接质量差、光纤头接被污染等通道质量问题容易形成大量CRC错误数据帧。当通道质量问题严重,会导致环网探测报文连续产生CRC错误被丢弃,主站从端口由阻塞变为转发状态,形成环路,从而导致网络风暴产生。
通道异常导致环网探测报文被连续丢弃,形成环路
风电、光伏、轨道交通、石化管线、油田、煤炭和冶金等行业因现场环境恶略,易出现通道质量问题,导致网络风暴产生。
3.4 设备故障
3.4.1 交换机设备故障
工业现场环境恶劣,如外部供电不稳、高温、高湿度、强振动和强电磁干扰等,如采用的交换机相关防护能力较弱,易出现设备故障。尤其电力、轨道交通、冶金等电磁干扰强的行业,交换机受到静电、浪涌、电快瞬变脉冲群等电磁干扰时,易造成设备死机、数据丢包或端口频繁up/down,导致环网协议无法正常工作或无法被正常转发,引发网络风暴。
交换机CPU异常
在工业现场由于外部供电不稳定,强电磁干扰或被大量不符合封装规则的数据包冲击时,易造成交换机CPU异常。
环网协议报文通过交换机CPU进行处理,如交换机CPU异常无法正常处理环网协议报文,使环网协议无法正常工作,将导致环路,产生网络风暴。
交换机通信异常
在工业现场由于环境潮湿,交换机电路板受潮短路,或因高温、强振动和强电磁干扰使部分元器件损坏,可能造成交换机数据转发丢包或端口频繁up/down等通信异常情况。
当交换机频繁数据丢包或端口频繁up/down,使环网协议无法被正常转发或环网不停切换,将导致环网偶尔出现环路,引发网络风暴。
3.4.2 终端网卡异常
当终端网卡异常不停向交换机发送大量的广播(或未知单播、未知多播)数据包,使大量无用的数据包占用环网带宽,最终导致网络风暴。
3.5 网络病毒与恶意攻击
当网络中某计算机或服务器感染蠕虫病毒时(如Funlove、震荡波、RPC等病毒),通过网络传播,占用大量网络带宽,引起网络堵塞,导致网络风暴。
一些攻击者利用网络剪刀手、终结者、执法官等软件进行恶意ARP攻击,向网络中发送大量ARP报文,使网络带宽被大量占用,终端CPU利用率上升无法响应正常请求,导致网络风暴。
消耗网络带宽的DDoS攻击也是目前流行的攻击手段,傀儡机向网络发送大量的UDP、ICMP等洪水攻击恶意数据流,充塞受害系统的网络带宽,使网络带宽被消耗殆尽,业务系统无法正常工作,最终导致网络风暴。
4.
工业现场网络风暴的特点及危害
4.1 网络风暴波及范围广,直接影响生产任务,造成经济损失
电力、轨道交通、石油化工、市政、煤炭等行业为国家关键基础设施。如工业网络设计不合理,全网共用一个广播域,同时网络风暴防护措施不到位,任意位置网络风暴将导致整个生产网瘫痪或设备故障,不能正常进行生产任务,将造成严重经济损失,对重要社会功能产生严重影响。
如电力行业发生网络风暴,导致突然中断供电,可能发生危及人身安全的事故;使工业生产中的关键设备遭到难以修复的损坏,以致生产秩序长期不能恢复正常,造成国民经济的重大损失;使市政生活的重要部门发生混乱等。如轨道交通行业发生网络风暴,可能造成列车调度及运行瘫痪或灾难性事故,直接影响人民的正常出行或人身安全等,造成的损失不可估量。
4.2 可能造成控制设备死机等故障,以致生产秩序不能快速恢复正常
发生网络风暴时,大量广播数据包冲击工业现场PLC、DCS等,造成设备CPU利用率提高,某些控制设备因自身防护能力不足,经过短时的网络风暴冲击便出现死机或难以修复的损坏,风暴消失后,需手动重启或设备维修才能恢复正常工作。如设备故障发生在轨道交通、石化管线、电力配网等场站分布距离远的行业,运维人员需长时间才能到达现场,故障无法迅速恢复,影响行业系统正常运行,对企业和社会造成重大影响和损失。
4.3 工业领域网络风暴故障溯源难
4.3.1 距离远
风电、电力配网、石化管线、轨道交通等行业场站分布距离远,进行现场风暴排查时需花费大量时间在路上,无法快速定位网络风暴原因。
4.3.2 不易到达
煤炭井下、综合管廊、水利等行业环境特殊,不易快速到达,给网络风暴故障排查造成困难。
4.3.3 排查时间有限
电力、轨道交通等行业在故障排查前需向调度部门申请,调度部门批准后才能按施工内容、时间等执行,并在施工结束后,申请结束施工状态。由于行业特殊性,往往批准单次故障排查的时间有限,需申请多个施工点才能完成问题定位。
5.
网络风暴如何防范
为避免网络风暴给工业用户造成严重危害,应采用具备多种防范功能的工业交换机产品,并设计合理方案和管理制度。威努特协助工业客户制定合理网络方案和科学管理制度,且威努特工业交换机具备良好工业级软硬件防护设计,针对工业现场网络风暴产生的原因,开发了丰富、专业的网络风暴防护功能,帮助用户防范网络风暴。
5.1 防止环路问题引起网络风暴
威努特工业交换机支持环路保护功能能够有效避免因环路问题导致的网络风暴。
启用环路保护功能的交换机端口周期性(可手动设置时间间隔)发送环路探测报文,如该交换机任意端口收到环路探测报文,说明网络中有环路存在,交换机shutdown发送环路探测报文端口,WBE页面显示环路信息,并向网管软件、统一安全管理平台等发送告警。
指定周期(可手动设置时间间隔)后该端口自动打开,重新发送环路探测报文,如环路问题解决,该端口正常转发业务数据;如环路问题仍未解决,该端口重新关闭。
当环网配置或接线错误等,导致网络成环,环路保护功能可自动关闭端口,避免网络风暴产生。
当网络中有多个环网,核心或汇聚交换机开启环路护功能可自动隔离产生网络风暴环网,避免网络风暴扩散至其它环网。
5.2 防止单纤问题、通道质量问题或设备健康性问题等引起网络风暴
威努特工业交换机支持链路状态检测协议,交换机周期性在每个活动接口上发送 hello 包,邻居交换机收到hello包后,回复echo包。当交换机在一定时间内没有收到echo包,则认为与邻居间的链路或邻居CPU出现问题。为避免单纤异常、光纤接线错误、交换机CPU异常或其它原因导致数据通信异常或网络风暴等,交换机会自动shutdown该端口。
5.3 防止风暴型DoS攻击引起网络风暴
威努特工业交换机支持DoS攻击防护功能,交换机开启全局DoS防攻击配置,用户配置相应子功能后,交换机会丢弃DoS攻击报文,从而保证网络带宽不被风暴型DoS攻击报文消耗殆尽,业务系统不受影响。
5.4 防范异常流量冲击,保障风暴时业务数据正常转发
威努特工业交换机支持端口风暴抑制功能,端口风暴抑制功能可对广播、未知多播或未知单播报文进行风暴控制,当终端网卡异常、网络病毒或ARP攻击使大量外部异常报文进入交换机端口,端口风暴抑制功能丢弃超出流量限制的广播、未知多播或未知单播报文,从而使端口接收的异常流量所占的比例降低到限定范围,保证网络业务正常转发,不受影响。
同时,如网络中因为环路等问题内部产生网络风暴,端口风暴抑制功能也可保护终端设备不被大量异常广播报文冲击,避免终端设备CPU利用率上升,甚至死机等极端情况产生。
5.5 设计合理方案及管理制度
针对工业现场网络风暴的分析,在设计、构建和管理工业网络时,要充分考虑网络风暴给工业网络带来的问题及影响,可从以下方面进行设计:
合理网络规划
分层设计网络(如接入层、汇聚层、核心层三层设计),利用路由器或三层交换机把大网分为不同的子网,把网络风暴危害控制在某一个小的子网内。
子网内按承载的业务系统合理规划VLAN,通过VLAN将不同种类业务隔离在不同广播域,实现子网内广播风暴隔离,降低网络风暴影响范围。
在组网时选用质量好,功能强,具备多种网络风暴防护功能的工业交换机。
规范施工
按照网络工程规范施工。线缆要贴好标签,标明编号,标签书写清晰、端正、正确;网线选用五类以上双绞线,水晶头规范压接;光纤避免挤压或大角度弯曲,光纤熔接后使用光纤测试仪测试合格后再正常使用等等,避免人为失误导致端口自环、光纤连接错误,或通道施工质量问题等引发网络风暴。
病毒防范
工业网络中所有主机上安装工控主机卫士等终端安全防护软件,阻止蠕虫病毒在工业主机上的感染、执行和扩散。网络边界部署防毒墙等有效阻止病毒大范围扩散。
建立科学、严格管理制度
很多行业如风电、轨道交通、煤炭、综合管廊和石化管线等,距离广阔,环境恶劣,不方便集中运维,这就需要建立一套科学、严格的管理制度,控制病毒的入侵,预防人为原因造成的网络环路:
a) 技术培训:运维人员均需参加权威机构或设备生产厂家提供的网络工程和网络安全技术培训,具备网络工程和网络安全相关知识,熟悉项目网络组网情况,设备操作、运维方法、故障处理及注意事项等,经技术培训合格后才能上岗;
b) 集中管控:针对中、大规模或场站分散工业网络,运用网管系统等集中管控,运维人员需熟悉网管系统操作流程及告警处置方法,发现网络风暴后,可通过网管系统快速定位,及时处置;
c) 定期检查:结合网管系统和人工巡检等方式,应定期检查工业网络设备状态、设备健康情况和网络通道质量等,巡检中发现的隐患问题及时整改,提前预防因设备故障、通道质量问题等导致网络风暴;
d) 专项应急预案及演练:成立应急小组,并制定网络风暴专项应急预案,定期与不定期组织网络风暴防护演练。演练要具有针对性和实际性,做好演练方案策划,演练结束要及时对演练进行评价,总结经验,改进网络风暴专项应急预案。
6.
结语
在工业领域发生网络风暴是一种极为严重的网络故障,设计合理、科学方案及管理制度是防范网络风暴的基础,同时应采用具备丰富网络风暴防护功能的工业以太网交换机,通过技术措施防范网络风暴。
威努特长期以来深耕工业领域,在工业安全领域逐步积累了领先优势,为了向工业客户提供更加全面丰富的产品和解决方案,现推出全线工业交换机产品。威努特工业交换机具备丰富的工业产品特性,致力于为工业客户解决实际应用问题。
Copyright © 2005-2021 网信安全世界版权所有