博物館網絡系統改造的探索與實踐

李涵

摘 要：安徽博物院老館園區網絡系統設施建設于2005年，由于后期缺乏有效的設備維護與升級，導致使用的網絡設備設施存在老化嚴重情況，作為博物館信息化的基礎設施已無法保障各種信息化系統的穩定運行。

關鍵詞：博物館;機房建設;網絡規劃;無線WLAN;網絡安全

安徽博物院分為新館、老館兩座建筑。老館現有網絡系統建成于2005年，目前已完全不能滿足博物院信息化發展要求。2018年啟動對安徽博物院老館園區網絡系統更新改造。升級改造后，保證了老館園區各個組成部分能夠高效協同的穩定運行，滿足未來5～10年的信息化發展需求。本次園區網絡系統改造項目建設主要包括老館的機房遷移、園區網絡線路升級改造、樓宇無線WIFI系統建立、老館網絡安全系統升級。

1 機房遷移改造

老館網絡機房位置在辦公樓一樓，改造后的模塊化網絡機房在空間上分為主機房、電池間及控制室。此次改造了機房配電系統、恒溫恒濕系統、動環監控系統、安防監控系統、機房消防系統。主機房、電池間及控制室均鋪設防靜電地板及金屬微孔吊頂，墻面采用彩鋼板進行鋪設，供電回路在機房市電配電柜進行切換，經過UPS電源后進入UPS配電柜，每個機柜通過UPS配電柜引出單獨供電線路到機柜的PDU。市電供電要求采用交流50Hz，380V強電供給，接地系統采用TN-S方式，即零線與地線完全分開。在發生電力中斷時IT設備由UPS電源后備供電，保障機房設備的正常運轉。另外考慮到老館園區很多特殊區域每晚斷電的要求，所以園區所有弱電匯聚點也都采取和網絡機房IT設備相同的方式進行供電。

2 園區網絡升級改造

根據安徽博物院老館園區網絡系統（下文簡稱老館網絡系統）的規模，網絡體系結構和網絡所采用的協議以及網絡的擴展升級管理等綜合考慮，設計出老館網絡簡化拓撲示意圖（圖1）。

2.1 老館園區網絡設計

老館網絡系統設計從管理方便及今后的服務器虛擬化角度出發采用二級星型拓撲結構（大二層結構）。博物館作為公共文化服務機構，網絡系統會有大量的音頻、視頻及圖像數字傳輸，所以要求老館網絡系統需要具有“萬兆骨干，千兆到桌面”的高性能，并與新館使用的網絡設備做到無縫連接與統一管理。在設計時，根據綜合布線規范規定的“水平布線的距離不能超過90米，而鏈路總長度不能超過100米”的原則，結合老館的實際情況，按照線纜長度最長90米在園區內除網絡機房外共設立11個弱電匯聚點，并在室外布設管線鋪設線纜。

2.2 核心層網絡設計

在核心層采用兩臺多任務萬兆交換機。兩臺萬兆核心交換機通過虛擬化技術將兩臺交換機邏輯上虛擬成一臺交換機，這樣即使其中一臺交換機出現故障，也不會影響整個老館網絡核心層的正常運行。兩臺交換機邏輯上虛擬成一臺交換機時的性能帶寬也會是兩臺交換機性能的總和。

2.3 接入層網絡設計

老館網絡系統設計時采用二級星型拓撲結構（大二層結構）設計，接入層既要完成與核心層的萬兆數據交換，也要承擔到每一個信息點之間的千兆數據交換，這給接入層的交換設備帶來了巨大的壓力。所以接入層交換機全部使用可以進行網絡管理的萬兆三層交換機，并且所有的核心層和接入層之間全部使用萬兆光纖進行雙歸鏈路設計，在增強設備性能的同時確保骨干網具有極高可靠性，滿足了老館員工的日常工作和學術研究需要及觀眾參觀需求。

2.4 虛擬局域網（VLAN）設計

老館網絡系統將局域網設備從邏輯上劃分成多個網段，實現了虛擬工作組的數據交換，把在物理位置上分離的網絡設備在邏輯上劃分成同一個廣播域，在網絡結構上做出了一個邏輯層次的劃分。這樣既可以方便后期維護管理，又有效地控制了網絡風暴的發生。

2.5 老館與新館網絡系統連接

安徽博物院包括新、老兩個館區，新館和老館的信息系統在信息與數據上必須要依托網絡系統進行交互，需要保證線路傳輸的穩定性以及數據的保密性，所以選擇電信MSTP專線線路對新館和老館的網絡系統進行連接。

3 樓宇WLAN無線網絡建立設計

隨著各種移動網絡設備的廣泛使用，在老館網絡系統改造中包含了對園區樓宇WLAN無線網絡建立，需要按照園區內樓宇全覆蓋原則進行設計。從業務應用上考慮滿足觀眾的移動網絡接入需要，同時也要滿足館內工作人員辦公與研究的移動網絡接入需求。在設備部署方式上采用瘦AP（無線接入點）+AC（接入控制器）部署模式。在網絡拓撲部署方式上采用二級星型拓撲結構（大二層結構），在弱電匯聚點內部署三層可進行網絡管理的POE交換機以便連接AP設備提供設備供電;在與核心層的連接上使用萬兆光纖進行雙歸鏈路和核心層進行連接，同時在核心層旁路部署無線網絡管理設備作為AC使用，充分發揮設備功能、性能優勢，提供高質量、高可靠性的WLAN無線網絡。在無線終端的接入管理上，根據“使用前先認證”的規定，提供微信認證方式對接入WLAN無線網絡的設備進行認證使用。

4 老館網絡安全系統升級

在進行升級改造前，在外網出口方面，原有的防火墻無法防護DDOS等新型網絡攻擊方式。在內網安全方面，計算機病毒易在內部網絡傳播，同時因為網絡拓撲存在不合理性，易發生ARP欺騙、廣播風暴及泛洪攻擊，對博物館工作人員及觀眾造成影響。同時內部網絡用戶上網行為沒有有效監控管理，容易形成內部網絡的安全隱患。而在漏洞掃描和入侵監測方面也缺少相應的檢測手段，不能及時掌握內網中存在的高危漏洞以及是否有被入侵的事件發生。在安全審計方面，沒有對應的日志采集與留存手段，一旦發生黑客入侵、網絡攻擊、數據泄密等事件，不能及時提供相關的事件追溯數據給公安等相關部門，一旦出現因個人原因導致的系統故障、重大事件，不能準確定位相關責任人。

習近平總書記在2016年4月19日召開的網絡安全和信息化工作座談會上指出：“安全是發展的前提，發展是安全的保障，安全和發展要同步推進。要樹立正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力?！睂τ诶橡^這種大型公共場所，網絡的安全會直接影響到博物館整個信息化系統的安全，所以如何提供安全的網絡運行環境至關重要。因此，老館網絡系統在安全上除了升級了高性能邊界防火墻將內網、外網隔開之外，還安裝了使用態勢感知一體技術的態勢感知設備。此設備對局域網內部發生的網絡終端隨著時間推移發生的病毒、蠕蟲、木馬、操作系統漏洞、流氓軟件進行預警和阻斷，同時對外部互聯網的各種形式的惡意攻擊進行預警，并主動加固內網防御。配合防火墻與入侵監測系統、上網行為管理系統聯動，共同構筑起老館網絡安全系統。

5 改造后效果提升

5.1 傳輸質量明顯提升

網絡改造后質量提升主要體現在：一是網速加快。采用網絡測速常用的大文件傳輸測試方法，經初步測試，桌面終端網絡內部網絡傳輸速率為75～100MB/s，達到了千兆網絡網速要求（理論峰值128MB/s），遠高于百兆網絡12.8MB/s的峰值速率。二是網絡穩定性增強，故障影響范圍縮小。改造前，因網線插錯形成網絡環路導致整棟樓甚至全院網絡癱瘓;改造后，同樣的問題只影響同一交換機上連接的計算機。網絡改造應用了VLAN虛擬局域網技術，同時科學合理地進行了網絡地址分配，使網絡管理的方便性進一步提高。

5.2 系統安全性大幅提高

使用了以態勢感知系統為核心的安全設備，老館網絡系統的整體安全性得到了大幅提高;改造新老機房配電系統，為核心設備提供UPS供電，并擴充UPS容量，為機房與弱電匯聚點的用電安全提供了保證。

5.3 建立了樓宇WLAN無線網絡體系

建立了覆蓋整個園區樓宇的完善WLAN無線網絡體系，為博物館信息化建設打下了基礎。

6 結束語

博物館園區網絡及機房的升級改造是一項精確的系統工程，要充分考慮博物館作為公共文化服務機構的特殊性，又要從專業技術角度考慮技術實現的安全可行性，細化和監控好改造升級的每一個環節，做好具體詳細的風險預防方案與應急計劃，才能保證升級改造的成功進行?！?/p>

參考文獻

[1]王玉珍，李洪威，武旭紅.醫院網絡及數據中心升級改造研究[J].中國醫療設備，2018（9）.

[2]李延強.博物館網絡建設及應用——以甘肅省博物館信息化建設為例[J].甘肅科技縱橫，2016（11）.

[3]劉佳.無線網絡在博物館中的應用[J].通訊世界，2016（1）.