李涵

摘 要：安徽博物院老館園區(qū)網(wǎng)絡系統(tǒng)設施建設于2005年，由于后期缺乏有效的設備維護與升級，導致使用的網(wǎng)絡設備設施存在老化嚴重情況，作為博物館信息化的基礎設施已無法保障各種信息化系統(tǒng)的穩(wěn)定運行。

關鍵詞：博物館;機房建設;網(wǎng)絡規(guī)劃;無線WLAN;網(wǎng)絡安全

安徽博物院分為新館、老館兩座建筑。老館現(xiàn)有網(wǎng)絡系統(tǒng)建成于2005年，目前已完全不能滿足博物院信息化發(fā)展要求。2018年啟動對安徽博物院老館園區(qū)網(wǎng)絡系統(tǒng)更新改造。升級改造后，保證了老館園區(qū)各個組成部分能夠高效協(xié)同的穩(wěn)定運行，滿足未來5～10年的信息化發(fā)展需求。本次園區(qū)網(wǎng)絡系統(tǒng)改造項目建設主要包括老館的機房遷移、園區(qū)網(wǎng)絡線路升級改造、樓宇無線WIFI系統(tǒng)建立、老館網(wǎng)絡安全系統(tǒng)升級。

1 機房遷移改造

老館網(wǎng)絡機房位置在辦公樓一樓，改造后的模塊化網(wǎng)絡機房在空間上分為主機房、電池間及控制室。此次改造了機房配電系統(tǒng)、恒溫恒濕系統(tǒng)、動環(huán)監(jiān)控系統(tǒng)、安防監(jiān)控系統(tǒng)、機房消防系統(tǒng)。主機房、電池間及控制室均鋪設防靜電地板及金屬微孔吊頂，墻面采用彩鋼板進行鋪設，供電回路在機房市電配電柜進行切換，經(jīng)過UPS電源后進入UPS配電柜，每個機柜通過UPS配電柜引出單獨供電線路到機柜的PDU。市電供電要求采用交流50Hz，380V強電供給，接地系統(tǒng)采用TN-S方式，即零線與地線完全分開。在發(fā)生電力中斷時IT設備由UPS電源后備供電，保障機房設備的正常運轉。另外考慮到老館園區(qū)很多特殊區(qū)域每晚斷電的要求，所以園區(qū)所有弱電匯聚點也都采取和網(wǎng)絡機房IT設備相同的方式進行供電。

2 園區(qū)網(wǎng)絡升級改造

根據(jù)安徽博物院老館園區(qū)網(wǎng)絡系統(tǒng)（下文簡稱老館網(wǎng)絡系統(tǒng)）的規(guī)模，網(wǎng)絡體系結構和網(wǎng)絡所采用的協(xié)議以及網(wǎng)絡的擴展升級管理等綜合考慮，設計出老館網(wǎng)絡簡化拓撲示意圖（圖1）。

2.1 老館園區(qū)網(wǎng)絡設計

老館網(wǎng)絡系統(tǒng)設計從管理方便及今后的服務器虛擬化角度出發(fā)采用二級星型拓撲結構（大二層結構）。博物館作為公共文化服務機構，網(wǎng)絡系統(tǒng)會有大量的音頻、視頻及圖像數(shù)字傳輸，所以要求老館網(wǎng)絡系統(tǒng)需要具有“萬兆骨干，千兆到桌面”的高性能，并與新館使用的網(wǎng)絡設備做到無縫連接與統(tǒng)一管理。在設計時，根據(jù)綜合布線規(guī)范規(guī)定的“水平布線的距離不能超過90米，而鏈路總長度不能超過100米”的原則，結合老館的實際情況，按照線纜長度最長90米在園區(qū)內(nèi)除網(wǎng)絡機房外共設立11個弱電匯聚點，并在室外布設管線鋪設線纜。

2.2 核心層網(wǎng)絡設計

在核心層采用兩臺多任務萬兆交換機。兩臺萬兆核心交換機通過虛擬化技術將兩臺交換機邏輯上虛擬成一臺交換機，這樣即使其中一臺交換機出現(xiàn)故障，也不會影響整個老館網(wǎng)絡核心層的正常運行。兩臺交換機邏輯上虛擬成一臺交換機時的性能帶寬也會是兩臺交換機性能的總和。

2.3 接入層網(wǎng)絡設計

老館網(wǎng)絡系統(tǒng)設計時采用二級星型拓撲結構（大二層結構）設計，接入層既要完成與核心層的萬兆數(shù)據(jù)交換，也要承擔到每一個信息點之間的千兆數(shù)據(jù)交換，這給接入層的交換設備帶來了巨大的壓力。所以接入層交換機全部使用可以進行網(wǎng)絡管理的萬兆三層交換機，并且所有的核心層和接入層之間全部使用萬兆光纖進行雙歸鏈路設計，在增強設備性能的同時確保骨干網(wǎng)具有極高可靠性，滿足了老館員工的日常工作和學術研究需要及觀眾參觀需求。

2.4 虛擬局域網(wǎng)（VLAN）設計

老館網(wǎng)絡系統(tǒng)將局域網(wǎng)設備從邏輯上劃分成多個網(wǎng)段，實現(xiàn)了虛擬工作組的數(shù)據(jù)交換，把在物理位置上分離的網(wǎng)絡設備在邏輯上劃分成同一個廣播域，在網(wǎng)絡結構上做出了一個邏輯層次的劃分。這樣既可以方便后期維護管理，又有效地控制了網(wǎng)絡風暴的發(fā)生。

2.5 老館與新館網(wǎng)絡系統(tǒng)連接

安徽博物院包括新、老兩個館區(qū)，新館和老館的信息系統(tǒng)在信息與數(shù)據(jù)上必須要依托網(wǎng)絡系統(tǒng)進行交互，需要保證線路傳輸?shù)姆€(wěn)定性以及數(shù)據(jù)的保密性，所以選擇電信MSTP專線線路對新館和老館的網(wǎng)絡系統(tǒng)進行連接。

3 樓宇WLAN無線網(wǎng)絡建立設計

隨著各種移動網(wǎng)絡設備的廣泛使用，在老館網(wǎng)絡系統(tǒng)改造中包含了對園區(qū)樓宇WLAN無線網(wǎng)絡建立，需要按照園區(qū)內(nèi)樓宇全覆蓋原則進行設計。從業(yè)務應用上考慮滿足觀眾的移動網(wǎng)絡接入需要，同時也要滿足館內(nèi)工作人員辦公與研究的移動網(wǎng)絡接入需求。在設備部署方式上采用瘦AP（無線接入點）+AC（接入控制器）部署模式。在網(wǎng)絡拓撲部署方式上采用二級星型拓撲結構（大二層結構），在弱電匯聚點內(nèi)部署三層可進行網(wǎng)絡管理的POE交換機以便連接AP設備提供設備供電;在與核心層的連接上使用萬兆光纖進行雙歸鏈路和核心層進行連接，同時在核心層旁路部署無線網(wǎng)絡管理設備作為AC使用，充分發(fā)揮設備功能、性能優(yōu)勢，提供高質量、高可靠性的WLAN無線網(wǎng)絡。在無線終端的接入管理上，根據(jù)“使用前先認證”的規(guī)定，提供微信認證方式對接入WLAN無線網(wǎng)絡的設備進行認證使用。

4 老館網(wǎng)絡安全系統(tǒng)升級

在進行升級改造前，在外網(wǎng)出口方面，原有的防火墻無法防護DDOS等新型網(wǎng)絡攻擊方式。在內(nèi)網(wǎng)安全方面，計算機病毒易在內(nèi)部網(wǎng)絡傳播，同時因為網(wǎng)絡拓撲存在不合理性，易發(fā)生ARP欺騙、廣播風暴及泛洪攻擊，對博物館工作人員及觀眾造成影響。同時內(nèi)部網(wǎng)絡用戶上網(wǎng)行為沒有有效監(jiān)控管理，容易形成內(nèi)部網(wǎng)絡的安全隱患。而在漏洞掃描和入侵監(jiān)測方面也缺少相應的檢測手段，不能及時掌握內(nèi)網(wǎng)中存在的高危漏洞以及是否有被入侵的事件發(fā)生。在安全審計方面，沒有對應的日志采集與留存手段，一旦發(fā)生黑客入侵、網(wǎng)絡攻擊、數(shù)據(jù)泄密等事件，不能及時提供相關的事件追溯數(shù)據(jù)給公安等相關部門，一旦出現(xiàn)因個人原因導致的系統(tǒng)故障、重大事件，不能準確定位相關責任人。

習近平總書記在2016年4月19日召開的網(wǎng)絡安全和信息化工作座談會上指出：“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進。要樹立正確的網(wǎng)絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網(wǎng)絡安全態(tài)勢，增強網(wǎng)絡安全防御能力和威懾能力。”對于老館這種大型公共場所，網(wǎng)絡的安全會直接影響到博物館整個信息化系統(tǒng)的安全，所以如何提供安全的網(wǎng)絡運行環(huán)境至關重要。因此，老館網(wǎng)絡系統(tǒng)在安全上除了升級了高性能邊界防火墻將內(nèi)網(wǎng)、外網(wǎng)隔開之外，還安裝了使用態(tài)勢感知一體技術的態(tài)勢感知設備。此設備對局域網(wǎng)內(nèi)部發(fā)生的網(wǎng)絡終端隨著時間推移發(fā)生的病毒、蠕蟲、木馬、操作系統(tǒng)漏洞、流氓軟件進行預警和阻斷，同時對外部互聯(lián)網(wǎng)的各種形式的惡意攻擊進行預警，并主動加固內(nèi)網(wǎng)防御。配合防火墻與入侵監(jiān)測系統(tǒng)、上網(wǎng)行為管理系統(tǒng)聯(lián)動，共同構筑起老館網(wǎng)絡安全系統(tǒng)。

5 改造后效果提升

5.1 傳輸質量明顯提升

網(wǎng)絡改造后質量提升主要體現(xiàn)在：一是網(wǎng)速加快。采用網(wǎng)絡測速常用的大文件傳輸測試方法，經(jīng)初步測試，桌面終端網(wǎng)絡內(nèi)部網(wǎng)絡傳輸速率為75～100MB/s，達到了千兆網(wǎng)絡網(wǎng)速要求（理論峰值128MB/s），遠高于百兆網(wǎng)絡12.8MB/s的峰值速率。二是網(wǎng)絡穩(wěn)定性增強，故障影響范圍縮小。改造前，因網(wǎng)線插錯形成網(wǎng)絡環(huán)路導致整棟樓甚至全院網(wǎng)絡癱瘓;改造后，同樣的問題只影響同一交換機上連接的計算機。網(wǎng)絡改造應用了VLAN虛擬局域網(wǎng)技術，同時科學合理地進行了網(wǎng)絡地址分配，使網(wǎng)絡管理的方便性進一步提高。

5.2 系統(tǒng)安全性大幅提高

使用了以態(tài)勢感知系統(tǒng)為核心的安全設備，老館網(wǎng)絡系統(tǒng)的整體安全性得到了大幅提高;改造新老機房配電系統(tǒng)，為核心設備提供UPS供電，并擴充UPS容量，為機房與弱電匯聚點的用電安全提供了保證。

5.3 建立了樓宇WLAN無線網(wǎng)絡體系

建立了覆蓋整個園區(qū)樓宇的完善WLAN無線網(wǎng)絡體系，為博物館信息化建設打下了基礎。

6 結束語

博物館園區(qū)網(wǎng)絡及機房的升級改造是一項精確的系統(tǒng)工程，要充分考慮博物館作為公共文化服務機構的特殊性，又要從專業(yè)技術角度考慮技術實現(xiàn)的安全可行性，細化和監(jiān)控好改造升級的每一個環(huán)節(jié)，做好具體詳細的風險預防方案與應急計劃，才能保證升級改造的成功進行?！?/p>

參考文獻

[1]王玉珍，李洪威，武旭紅.醫(yī)院網(wǎng)絡及數(shù)據(jù)中心升級改造研究[J].中國醫(yī)療設備，2018（9）.

[2]李延強.博物館網(wǎng)絡建設及應用——以甘肅省博物館信息化建設為例[J].甘肅科技縱橫，2016（11）.

[3]劉佳.無線網(wǎng)絡在博物館中的應用[J].通訊世界，2016（1）.