李涵

摘 要：安徽博物院老馆园区网络系统设施建设于2005年，由于后期缺乏有效的设备维护与升级，导致使用的网络设备设施存在老化严重情况，作为博物馆信息化的基础设施已无法保障各种信息化系统的稳定运行。

关键词：博物馆;机房建设;网络规划;无线WLAN;网络安全

安徽博物院分为新馆、老馆两座建筑。老馆现有网络系统建成于2005年，目前已完全不能满足博物院信息化发展要求。2018年启动对安徽博物院老馆园区网络系统更新改造。升级改造后，保证了老馆园区各个组成部分能够高效协同的稳定运行，满足未来5～10年的信息化发展需求。本次园区网络系统改造项目建设主要包括老馆的机房迁移、园区网络线路升级改造、楼宇无线WIFI系统建立、老馆网络安全系统升级。

1 机房迁移改造

老馆网络机房位置在办公楼一楼，改造后的模块化网络机房在空间上分为主机房、电池间及控制室。此次改造了机房配电系统、恒温恒湿系统、动环监控系统、安防监控系统、机房消防系统。主机房、电池间及控制室均铺设防静电地板及金属微孔吊顶，墙面采用彩钢板进行铺设，供电回路在机房市电配电柜进行切换，经过UPS电源后进入UPS配电柜，每个机柜通过UPS配电柜引出单独供电线路到机柜的PDU。市电供电要求采用交流50Hz，380V强电供给，接地系统采用TN-S方式，即零线与地线完全分开。在发生电力中断时IT设备由UPS电源后备供电，保障机房设备的正常运转。另外考虑到老馆园区很多特殊区域每晚断电的要求，所以园区所有弱电汇聚点也都采取和网络机房IT设备相同的方式进行供电。

2 园区网络升级改造

根据安徽博物院老馆园区网络系统（下文简称老馆网络系统）的规模，网络体系结构和网络所采用的协议以及网络的扩展升级管理等综合考虑，设计出老馆网络简化拓扑示意图（图1）。

2.1 老馆园区网络设计

老馆网络系统设计从管理方便及今后的服务器虚拟化角度出发采用二级星型拓扑结构（大二层结构）。博物馆作为公共文化服务机构，网络系统会有大量的音频、视频及图像数字传输，所以要求老馆网络系统需要具有“万兆骨干，千兆到桌面”的高性能，并与新馆使用的网络设备做到无缝连接与统一管理。在设计时，根据综合布线规范规定的“水平布线的距离不能超过90米，而链路总长度不能超过100米”的原则，结合老馆的实际情况，按照线缆长度最长90米在园区内除网络机房外共设立11个弱电汇聚点，并在室外布设管线铺设线缆。

2.2 核心层网络设计

在核心层采用两台多任务万兆交换机。两台万兆核心交换机通过虚拟化技术将两台交换机逻辑上虚拟成一台交换机，这样即使其中一台交换机出现故障，也不会影响整个老馆网络核心层的正常运行。两台交换机逻辑上虚拟成一台交换机时的性能带宽也会是两台交换机性能的总和。

2.3 接入层网络设计

老馆网络系统设计时采用二级星型拓扑结构（大二层结构）设计，接入层既要完成与核心层的万兆数据交换，也要承担到每一个信息点之间的千兆数据交换，这给接入层的交换设备带来了巨大的压力。所以接入层交换机全部使用可以进行网络管理的万兆三层交换机，并且所有的核心层和接入层之间全部使用万兆光纤进行双归链路设计，在增强设备性能的同时确保骨干网具有极高可靠性，满足了老馆员工的日常工作和学术研究需要及观众参观需求。

2.4 虚拟局域网（VLAN）设计

老馆网络系统将局域网设备从逻辑上划分成多个网段，实现了虚拟工作组的数据交换，把在物理位置上分离的网络设备在逻辑上划分成同一个广播域，在网络结构上做出了一个逻辑层次的划分。这样既可以方便后期维护管理，又有效地控制了网络风暴的发生。

2.5 老馆与新馆网络系统连接

安徽博物院包括新、老两个馆区，新馆和老馆的信息系统在信息与数据上必须要依托网络系统进行交互，需要保证线路传输的稳定性以及数据的保密性，所以选择电信MSTP专线线路对新馆和老馆的网络系统进行连接。

3 楼宇WLAN无线网络建立设计

随着各种移动网络设备的广泛使用，在老馆网络系统改造中包含了对园区楼宇WLAN无线网络建立，需要按照园区内楼宇全覆盖原则进行设计。从业务应用上考虑满足观众的移动网络接入需要，同时也要满足馆内工作人员办公与研究的移动网络接入需求。在设备部署方式上采用瘦AP（无线接入点）+AC（接入控制器）部署模式。在网络拓扑部署方式上采用二级星型拓扑结构（大二层结构），在弱电汇聚点内部署三层可进行网络管理的POE交换机以便连接AP设备提供设备供电;在与核心层的连接上使用万兆光纤进行双归链路和核心层进行连接，同时在核心层旁路部署无线网络管理设备作为AC使用，充分发挥设备功能、性能优势，提供高质量、高可靠性的WLAN无线网络。在无线终端的接入管理上，根据“使用前先认证”的规定，提供微信认证方式对接入WLAN无线网络的设备进行认证使用。

4 老馆网络安全系统升级

在进行升级改造前，在外网出口方面，原有的防火墙无法防护DDOS等新型网络攻击方式。在内网安全方面，计算机病毒易在内部网络传播，同时因为网络拓扑存在不合理性，易发生ARP欺骗、广播风暴及泛洪攻击，对博物馆工作人员及观众造成影响。同时内部网络用户上网行为没有有效监控管理，容易形成内部网络的安全隐患。而在漏洞扫描和入侵监测方面也缺少相应的检测手段，不能及时掌握内网中存在的高危漏洞以及是否有被入侵的事件发生。在安全审计方面，没有对应的日志采集与留存手段，一旦发生黑客入侵、网络攻击、数据泄密等事件，不能及时提供相关的事件追溯數据给公安等相关部门，一旦出现因个人原因导致的系统故障、重大事件，不能准确定位相关责任人。

习近平总书记在2016年4月19日召开的网络安全和信息化工作座谈会上指出：“安全是发展的前提，发展是安全的保障，安全和发展要同步推进。要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。”对于老馆这种大型公共场所，网络的安全会直接影响到博物馆整个信息化系统的安全，所以如何提供安全的网络运行环境至关重要。因此，老馆网络系统在安全上除了升级了高性能边界防火墙将内网、外网隔开之外，还安装了使用态势感知一体技术的态势感知设备。此设备对局域网内部发生的网络终端随着时间推移发生的病毒、蠕虫、木马、操作系统漏洞、流氓软件进行预警和阻断，同时对外部互联网的各种形式的恶意攻击进行预警，并主动加固内网防御。配合防火墙与入侵监测系统、上网行为管理系统联动，共同构筑起老馆网络安全系统。

5 改造后效果提升

5.1 传输质量明显提升

网络改造后质量提升主要体现在：一是网速加快。采用网络测速常用的大文件传输测试方法，经初步测试，桌面终端网络内部网络传输速率为75～100MB/s，达到了千兆网络网速要求（理论峰值128MB/s），远高于百兆网络12.8MB/s的峰值速率。二是网络稳定性增强，故障影响范围缩小。改造前，因网线插错形成网络环路导致整栋楼甚至全院网络瘫痪;改造后，同样的问题只影响同一交换机上连接的计算机。网络改造应用了VLAN虚拟局域网技术，同时科学合理地进行了网络地址分配，使网络管理的方便性进一步提高。

5.2 系统安全性大幅提高

使用了以态势感知系统为核心的安全设备，老馆网络系统的整体安全性得到了大幅提高;改造新老机房配电系统，为核心设备提供UPS供电，并扩充UPS容量，为机房与弱电汇聚点的用电安全提供了保证。

5.3 建立了楼宇WLAN无线网络体系

建立了覆盖整个园区楼宇的完善WLAN无线网络体系，为博物馆信息化建设打下了基础。

6 结束语

博物馆园区网络及机房的升级改造是一项精确的系统工程，要充分考虑博物馆作为公共文化服务机构的特殊性，又要从专业技术角度考虑技术实现的安全可行性，细化和监控好改造升级的每一个环节，做好具体详细的风险预防方案与应急计划，才能保证升级改造的成功进行。■

参考文献

[1]王玉珍，李洪威，武旭红.医院网络及数据中心升级改造研究[J].中国医疗设备，2018（9）.

[2]李延强.博物馆网络建设及应用——以甘肃省博物馆信息化建设为例[J].甘肃科技纵横，2016（11）.

[3]刘佳.无线网络在博物馆中的应用[J].通讯世界，2016（1）.