工厂里一台数控机床突然上不了班,操作屏黑着,数据也传不出来。维修师傅一查,发现这台设备所在的工控系统和公司办公网之间断了通信。这种情况在不少企业都出现过,问题往往出在两者之间的网络隔离设置上。
为啥要隔离工控系统和办公网
很多人觉得连在一起方便传数据,但工业控制系统对稳定性要求高,办公网里随便一个员工点个链接,可能就带进病毒,整个生产线就得停。所以多数正规厂子都会把工控系统单独划个网段,和办公网物理或逻辑隔离。
隔离后连不上?先看这几处
最常见的问题是工控设备无法访问服务器,或者数据采集不到。这时候别急着重启交换机,先顺着下面几个点查:
检查防火墙策略。很多单位用防火墙做单向隔离,只允许工控网往办公网发数据,反过来不通。如果配置写错了,比如端口没开、IP 写反,就会导致通信失败。可以登录防火墙后台,查看是否有被拦截的连接记录。
iptables -L -n -v | grep 192.168.10.50这条命令能查 Linux 防火墙上针对某台工控主机的规则,看看是不是被 DROP 了。如果是 Windows 防火墙,可以在“高级安全”里查入站和出站规则。
网线插错交换机也是常事
有次去现场,发现 PLC 数据传不出来,查了半天网络配置都没问题。最后发现是新来的网管把网线从隔离交换机拔下来,插到了办公网交换机上。工控设备虽然连着网,但进了错误的网段,自然没法通信。
建议给每根网线贴标签,交换机端口也做好备注。特别是使用 VLAN 做逻辑隔离的,更得记清楚哪个口属于哪个 VLAN。
双网卡配置搞混了路由
有些数据采集服务器既要连工控网,又要连办公网,装了双网卡。这时候容易出问题:两个网关都设了,默认路由冲突,数据包不知道往哪走。
正确做法是只在一个网卡上设网关,另一个不设。需要跨网段通信时,手动加静态路由。比如:
route add 192.168.10.0 mask 255.255.255.0 192.168.20.1 metric 1这条命令表示去往 192.168.10.x 网段的数据,通过网关 192.168.20.1 转发,避免走默认网关绕远路。
DNS 和 hosts 别忽视
办公网常用域名访问服务器,但工控网一般不用 DNS。如果应用试图通过域名连接后台,而工控网又没配 DNS 服务器,就会超时。
解决办法是在工控设备的 hosts 文件里手动绑定 IP 和主机名:
192.168.20.100 data-server.local这样就不依赖 DNS,也能通过名字访问服务器。
杀毒软件也可能拦通信
有台工控电脑明明网络通,端口也能 telnet 通,就是连不上数据库。最后发现是新装的杀毒软件自带网络防护,把某些 TCP 连接当成可疑行为给阻断了。
临时关闭防护模块试试,如果通了,就说明是它在作怪。记得把相关进程加入白名单,别直接关掉整个软件。
工控系统和办公网隔离不是一劳永逸的事,配置改一次,可能就得测一遍。日常多留日志,出问题时翻记录比瞎猜快得多。