博物館網(wǎng)絡(luò)系統(tǒng)改造的探索與實(shí)踐

李涵

摘 要：安徽博物院老館園區(qū)網(wǎng)絡(luò)系統(tǒng)設(shè)施建設(shè)于2005年，由于后期缺乏有效的設(shè)備維護(hù)與升級(jí)，導(dǎo)致使用的網(wǎng)絡(luò)設(shè)備設(shè)施存在老化嚴(yán)重情況，作為博物館信息化的基礎(chǔ)設(shè)施已無(wú)法保障各種信息化系統(tǒng)的穩(wěn)定運(yùn)行。

關(guān)鍵詞：博物館;機(jī)房建設(shè);網(wǎng)絡(luò)規(guī)劃;無(wú)線WLAN;網(wǎng)絡(luò)安全

安徽博物院分為新館、老館兩座建筑。老館現(xiàn)有網(wǎng)絡(luò)系統(tǒng)建成于2005年，目前已完全不能滿足博物院信息化發(fā)展要求。2018年啟動(dòng)對(duì)安徽博物院老館園區(qū)網(wǎng)絡(luò)系統(tǒng)更新改造。升級(jí)改造后，保證了老館園區(qū)各個(gè)組成部分能夠高效協(xié)同的穩(wěn)定運(yùn)行，滿足未來(lái)5～10年的信息化發(fā)展需求。本次園區(qū)網(wǎng)絡(luò)系統(tǒng)改造項(xiàng)目建設(shè)主要包括老館的機(jī)房遷移、園區(qū)網(wǎng)絡(luò)線路升級(jí)改造、樓宇無(wú)線WIFI系統(tǒng)建立、老館網(wǎng)絡(luò)安全系統(tǒng)升級(jí)。

1 機(jī)房遷移改造

老館網(wǎng)絡(luò)機(jī)房位置在辦公樓一樓，改造后的模塊化網(wǎng)絡(luò)機(jī)房在空間上分為主機(jī)房、電池間及控制室。此次改造了機(jī)房配電系統(tǒng)、恒溫恒濕系統(tǒng)、動(dòng)環(huán)監(jiān)控系統(tǒng)、安防監(jiān)控系統(tǒng)、機(jī)房消防系統(tǒng)。主機(jī)房、電池間及控制室均鋪設(shè)防靜電地板及金屬微孔吊頂，墻面采用彩鋼板進(jìn)行鋪設(shè)，供電回路在機(jī)房市電配電柜進(jìn)行切換，經(jīng)過(guò)UPS電源后進(jìn)入U(xiǎn)PS配電柜，每個(gè)機(jī)柜通過(guò)UPS配電柜引出單獨(dú)供電線路到機(jī)柜的PDU。市電供電要求采用交流50Hz，380V強(qiáng)電供給，接地系統(tǒng)采用TN-S方式，即零線與地線完全分開(kāi)。在發(fā)生電力中斷時(shí)IT設(shè)備由UPS電源后備供電，保障機(jī)房設(shè)備的正常運(yùn)轉(zhuǎn)。另外考慮到老館園區(qū)很多特殊區(qū)域每晚斷電的要求，所以園區(qū)所有弱電匯聚點(diǎn)也都采取和網(wǎng)絡(luò)機(jī)房IT設(shè)備相同的方式進(jìn)行供電。

2 園區(qū)網(wǎng)絡(luò)升級(jí)改造

根據(jù)安徽博物院老館園區(qū)網(wǎng)絡(luò)系統(tǒng)（下文簡(jiǎn)稱老館網(wǎng)絡(luò)系統(tǒng)）的規(guī)模，網(wǎng)絡(luò)體系結(jié)構(gòu)和網(wǎng)絡(luò)所采用的協(xié)議以及網(wǎng)絡(luò)的擴(kuò)展升級(jí)管理等綜合考慮，設(shè)計(jì)出老館網(wǎng)絡(luò)簡(jiǎn)化拓?fù)涫疽鈭D（圖1）。

2.1 老館園區(qū)網(wǎng)絡(luò)設(shè)計(jì)

老館網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)從管理方便及今后的服務(wù)器虛擬化角度出發(fā)采用二級(jí)星型拓?fù)浣Y(jié)構(gòu)（大二層結(jié)構(gòu)）。博物館作為公共文化服務(wù)機(jī)構(gòu)，網(wǎng)絡(luò)系統(tǒng)會(huì)有大量的音頻、視頻及圖像數(shù)字傳輸，所以要求老館網(wǎng)絡(luò)系統(tǒng)需要具有“萬(wàn)兆骨干，千兆到桌面”的高性能，并與新館使用的網(wǎng)絡(luò)設(shè)備做到無(wú)縫連接與統(tǒng)一管理。在設(shè)計(jì)時(shí)，根據(jù)綜合布線規(guī)范規(guī)定的“水平布線的距離不能超過(guò)90米，而鏈路總長(zhǎng)度不能超過(guò)100米”的原則，結(jié)合老館的實(shí)際情況，按照線纜長(zhǎng)度最長(zhǎng)90米在園區(qū)內(nèi)除網(wǎng)絡(luò)機(jī)房外共設(shè)立11個(gè)弱電匯聚點(diǎn)，并在室外布設(shè)管線鋪設(shè)線纜。

2.2 核心層網(wǎng)絡(luò)設(shè)計(jì)

在核心層采用兩臺(tái)多任務(wù)萬(wàn)兆交換機(jī)。兩臺(tái)萬(wàn)兆核心交換機(jī)通過(guò)虛擬化技術(shù)將兩臺(tái)交換機(jī)邏輯上虛擬成一臺(tái)交換機(jī)，這樣即使其中一臺(tái)交換機(jī)出現(xiàn)故障，也不會(huì)影響整個(gè)老館網(wǎng)絡(luò)核心層的正常運(yùn)行。兩臺(tái)交換機(jī)邏輯上虛擬成一臺(tái)交換機(jī)時(shí)的性能帶寬也會(huì)是兩臺(tái)交換機(jī)性能的總和。

2.3 接入層網(wǎng)絡(luò)設(shè)計(jì)

老館網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)時(shí)采用二級(jí)星型拓?fù)浣Y(jié)構(gòu)（大二層結(jié)構(gòu)）設(shè)計(jì)，接入層既要完成與核心層的萬(wàn)兆數(shù)據(jù)交換，也要承擔(dān)到每一個(gè)信息點(diǎn)之間的千兆數(shù)據(jù)交換，這給接入層的交換設(shè)備帶來(lái)了巨大的壓力。所以接入層交換機(jī)全部使用可以進(jìn)行網(wǎng)絡(luò)管理的萬(wàn)兆三層交換機(jī)，并且所有的核心層和接入層之間全部使用萬(wàn)兆光纖進(jìn)行雙歸鏈路設(shè)計(jì)，在增強(qiáng)設(shè)備性能的同時(shí)確保骨干網(wǎng)具有極高可靠性，滿足了老館員工的日常工作和學(xué)術(shù)研究需要及觀眾參觀需求。

2.4 虛擬局域網(wǎng)（VLAN）設(shè)計(jì)

老館網(wǎng)絡(luò)系統(tǒng)將局域網(wǎng)設(shè)備從邏輯上劃分成多個(gè)網(wǎng)段，實(shí)現(xiàn)了虛擬工作組的數(shù)據(jù)交換，把在物理位置上分離的網(wǎng)絡(luò)設(shè)備在邏輯上劃分成同一個(gè)廣播域，在網(wǎng)絡(luò)結(jié)構(gòu)上做出了一個(gè)邏輯層次的劃分。這樣既可以方便后期維護(hù)管理，又有效地控制了網(wǎng)絡(luò)風(fēng)暴的發(fā)生。

2.5 老館與新館網(wǎng)絡(luò)系統(tǒng)連接

安徽博物院包括新、老兩個(gè)館區(qū)，新館和老館的信息系統(tǒng)在信息與數(shù)據(jù)上必須要依托網(wǎng)絡(luò)系統(tǒng)進(jìn)行交互，需要保證線路傳輸?shù)姆€(wěn)定性以及數(shù)據(jù)的保密性，所以選擇電信MSTP專線線路對(duì)新館和老館的網(wǎng)絡(luò)系統(tǒng)進(jìn)行連接。

3 樓宇WLAN無(wú)線網(wǎng)絡(luò)建立設(shè)計(jì)

隨著各種移動(dòng)網(wǎng)絡(luò)設(shè)備的廣泛使用，在老館網(wǎng)絡(luò)系統(tǒng)改造中包含了對(duì)園區(qū)樓宇WLAN無(wú)線網(wǎng)絡(luò)建立，需要按照?qǐng)@區(qū)內(nèi)樓宇全覆蓋原則進(jìn)行設(shè)計(jì)。從業(yè)務(wù)應(yīng)用上考慮滿足觀眾的移動(dòng)網(wǎng)絡(luò)接入需要，同時(shí)也要滿足館內(nèi)工作人員辦公與研究的移動(dòng)網(wǎng)絡(luò)接入需求。在設(shè)備部署方式上采用瘦AP（無(wú)線接入點(diǎn)）+AC（接入控制器）部署模式。在網(wǎng)絡(luò)拓?fù)洳渴鸱绞缴喜捎枚?jí)星型拓?fù)浣Y(jié)構(gòu)（大二層結(jié)構(gòu)），在弱電匯聚點(diǎn)內(nèi)部署三層可進(jìn)行網(wǎng)絡(luò)管理的POE交換機(jī)以便連接AP設(shè)備提供設(shè)備供電;在與核心層的連接上使用萬(wàn)兆光纖進(jìn)行雙歸鏈路和核心層進(jìn)行連接，同時(shí)在核心層旁路部署無(wú)線網(wǎng)絡(luò)管理設(shè)備作為AC使用，充分發(fā)揮設(shè)備功能、性能優(yōu)勢(shì)，提供高質(zhì)量、高可靠性的WLAN無(wú)線網(wǎng)絡(luò)。在無(wú)線終端的接入管理上，根據(jù)“使用前先認(rèn)證”的規(guī)定，提供微信認(rèn)證方式對(duì)接入WLAN無(wú)線網(wǎng)絡(luò)的設(shè)備進(jìn)行認(rèn)證使用。

4 老館網(wǎng)絡(luò)安全系統(tǒng)升級(jí)

在進(jìn)行升級(jí)改造前，在外網(wǎng)出口方面，原有的防火墻無(wú)法防護(hù)DDOS等新型網(wǎng)絡(luò)攻擊方式。在內(nèi)網(wǎng)安全方面，計(jì)算機(jī)病毒易在內(nèi)部網(wǎng)絡(luò)傳播，同時(shí)因?yàn)榫W(wǎng)絡(luò)拓?fù)浯嬖诓缓侠硇裕装l(fā)生ARP欺騙、廣播風(fēng)暴及泛洪攻擊，對(duì)博物館工作人員及觀眾造成影響。同時(shí)內(nèi)部網(wǎng)絡(luò)用戶上網(wǎng)行為沒(méi)有有效監(jiān)控管理，容易形成內(nèi)部網(wǎng)絡(luò)的安全隱患。而在漏洞掃描和入侵監(jiān)測(cè)方面也缺少相應(yīng)的檢測(cè)手段，不能及時(shí)掌握內(nèi)網(wǎng)中存在的高危漏洞以及是否有被入侵的事件發(fā)生。在安全審計(jì)方面，沒(méi)有對(duì)應(yīng)的日志采集與留存手段，一旦發(fā)生黑客入侵、網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄密等事件，不能及時(shí)提供相關(guān)的事件追溯數(shù)據(jù)給公安等相關(guān)部門(mén)，一旦出現(xiàn)因個(gè)人原因?qū)е碌南到y(tǒng)故障、重大事件，不能準(zhǔn)確定位相關(guān)責(zé)任人。

習(xí)近平總書(shū)記在2016年4月19日召開(kāi)的網(wǎng)絡(luò)安全和信息化工作座談會(huì)上指出：“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)。要樹(shù)立正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。”對(duì)于老館這種大型公共場(chǎng)所，網(wǎng)絡(luò)的安全會(huì)直接影響到博物館整個(gè)信息化系統(tǒng)的安全，所以如何提供安全的網(wǎng)絡(luò)運(yùn)行環(huán)境至關(guān)重要。因此，老館網(wǎng)絡(luò)系統(tǒng)在安全上除了升級(jí)了高性能邊界防火墻將內(nèi)網(wǎng)、外網(wǎng)隔開(kāi)之外，還安裝了使用態(tài)勢(shì)感知一體技術(shù)的態(tài)勢(shì)感知設(shè)備。此設(shè)備對(duì)局域網(wǎng)內(nèi)部發(fā)生的網(wǎng)絡(luò)終端隨著時(shí)間推移發(fā)生的病毒、蠕蟲(chóng)、木馬、操作系統(tǒng)漏洞、流氓軟件進(jìn)行預(yù)警和阻斷，同時(shí)對(duì)外部互聯(lián)網(wǎng)的各種形式的惡意攻擊進(jìn)行預(yù)警，并主動(dòng)加固內(nèi)網(wǎng)防御。配合防火墻與入侵監(jiān)測(cè)系統(tǒng)、上網(wǎng)行為管理系統(tǒng)聯(lián)動(dòng)，共同構(gòu)筑起老館網(wǎng)絡(luò)安全系統(tǒng)。

5 改造后效果提升

5.1 傳輸質(zhì)量明顯提升

網(wǎng)絡(luò)改造后質(zhì)量提升主要體現(xiàn)在：一是網(wǎng)速加快。采用網(wǎng)絡(luò)測(cè)速常用的大文件傳輸測(cè)試方法，經(jīng)初步測(cè)試，桌面終端網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)傳輸速率為75～100MB/s，達(dá)到了千兆網(wǎng)絡(luò)網(wǎng)速要求（理論峰值128MB/s），遠(yuǎn)高于百兆網(wǎng)絡(luò)12.8MB/s的峰值速率。二是網(wǎng)絡(luò)穩(wěn)定性增強(qiáng)，故障影響范圍縮小。改造前，因網(wǎng)線插錯(cuò)形成網(wǎng)絡(luò)環(huán)路導(dǎo)致整棟樓甚至全院網(wǎng)絡(luò)癱瘓;改造后，同樣的問(wèn)題只影響同一交換機(jī)上連接的計(jì)算機(jī)。網(wǎng)絡(luò)改造應(yīng)用了VLAN虛擬局域網(wǎng)技術(shù)，同時(shí)科學(xué)合理地進(jìn)行了網(wǎng)絡(luò)地址分配，使網(wǎng)絡(luò)管理的方便性進(jìn)一步提高。

5.2 系統(tǒng)安全性大幅提高

使用了以態(tài)勢(shì)感知系統(tǒng)為核心的安全設(shè)備，老館網(wǎng)絡(luò)系統(tǒng)的整體安全性得到了大幅提高;改造新老機(jī)房配電系統(tǒng)，為核心設(shè)備提供UPS供電，并擴(kuò)充UPS容量，為機(jī)房與弱電匯聚點(diǎn)的用電安全提供了保證。

5.3 建立了樓宇WLAN無(wú)線網(wǎng)絡(luò)體系

建立了覆蓋整個(gè)園區(qū)樓宇的完善WLAN無(wú)線網(wǎng)絡(luò)體系，為博物館信息化建設(shè)打下了基礎(chǔ)。

6 結(jié)束語(yǔ)

博物館園區(qū)網(wǎng)絡(luò)及機(jī)房的升級(jí)改造是一項(xiàng)精確的系統(tǒng)工程，要充分考慮博物館作為公共文化服務(wù)機(jī)構(gòu)的特殊性，又要從專業(yè)技術(shù)角度考慮技術(shù)實(shí)現(xiàn)的安全可行性，細(xì)化和監(jiān)控好改造升級(jí)的每一個(gè)環(huán)節(jié)，做好具體詳細(xì)的風(fēng)險(xiǎn)預(yù)防方案與應(yīng)急計(jì)劃，才能保證升級(jí)改造的成功進(jìn)行。■

參考文獻(xiàn)

[1]王玉珍，李洪威，武旭紅.醫(yī)院網(wǎng)絡(luò)及數(shù)據(jù)中心升級(jí)改造研究[J].中國(guó)醫(yī)療設(shè)備，2018（9）.

[2]李延強(qiáng).博物館網(wǎng)絡(luò)建設(shè)及應(yīng)用——以甘肅省博物館信息化建設(shè)為例[J].甘肅科技縱橫，2016（11）.

[3]劉佳.無(wú)線網(wǎng)絡(luò)在博物館中的應(yīng)用[J].通訊世界，2016（1）.