今年9月，協(xié)會發(fā)布了《商場ICT基礎設施運維與業(yè)務系統(tǒng)運維指南》。

在零售行業(yè)深度數字化的浪潮下，商場早已不只是商品買賣的場所，而是升級為融合沉浸體驗、智慧服務與數據決策的綜合零售空間。而支撐這場變革的，是以 ICT（信息與通信技術）為核心的基礎設施：它貫穿企業(yè)運營的各個環(huán)節(jié)，交織成一張高度復雜、彼此協(xié)同的技術生態(tài)網。

為構建標準化、體系化的運維框架，中國百貨商業(yè)協(xié)會攜手零售企業(yè)和行業(yè)專家，起草本指南，以“安全為基、流程為綱、全棧覆蓋”為核心思路，整合運維安全通用策略與管理流程，覆蓋從網絡、服務器、安全設備到終端、IoT、公有云等軟硬件基礎設施，以及數據庫、應用軟件、業(yè)務系統(tǒng)的全軟件鏈條，旨在為商場 ICT 運維提供可落地的操作規(guī)范，實現 “故障可預防、問題可追溯、風險可管控” 的目標，最終保障商場數字化運營的穩(wěn)定性、安全性與高效性。

指南的起草單位和人員包括：

因指南內容較多，協(xié)會將通過公眾號對指南內容進行連載。今天為第一部分“商場網絡系統(tǒng)運維指南”。

今天為第一部分“商場網絡系統(tǒng)運維指南”，在指南全文中，為第3部分，前兩部分為通用策略和通用流程。

3 網絡系統(tǒng)運維

核心目標： 構建并維護一個穩(wěn)定、高效、安全、可擴展的網絡基礎設施，為零售連鎖企業(yè)的門店運營、線上電商、供應鏈管理、辦公協(xié)同、顧客服務等業(yè)務提供可靠、高性能的連接，保障業(yè)務連續(xù)性，保護數據安全與用戶隱私，并實現高效的集中管理與運維。

3.1  資產生命周期管理

3.1.1 運維期間資產采購與入庫

需求分析與規(guī)劃：根據業(yè)務需求預測和系統(tǒng)擴容計劃，明確網絡設備的采購需求，包括性能指標、容量需求、擴展性要求等。

供應商評估與選擇：評估供應商的資質、產品質量、售后服務及安全保障能力，選擇信譽良好、符合安全標準的供應商。

采購與驗收：依據采購合同與技術指標進行驗收，檢查硬件設備外觀、配置參數，測試軟件系統(tǒng)功能、兼容性與安全性。

資產標簽與登記：為每臺網絡設備粘貼物理標簽，并在資產管理系統(tǒng)中詳細登記資產信息，包括型號、序列號、位置、用途、IP地址、配置詳情、維保狀態(tài)等。

3.1.2 配置基線

標準化配置模板：基于安全基線和最佳實踐，為不同類型設備，如核心交換機、門店接入交換機、防火墻、無線控制器等，創(chuàng)建標準配置模板，包括OS版本、管理安全、VLAN劃分、端口安全、基礎路由/ACL等。使用腳本、運維系統(tǒng)等自動化工具批量部署。

安全加固基線：更改默認憑證、關閉不必要服務，如HTTP管理、啟用管理加密SSH/HTTPS、配置訪問控制列表ACL、禁用未用端口。

3.1.3 在役運營與維護

資產與拓撲登記：在CMDB和網管系統(tǒng)準確記錄設備信息，如型號、序列號、IP/MAC、位置、用途、配置備份等、邏輯與物理的網絡拓撲圖、IP地址規(guī)劃。日常執(zhí)行重點指標監(jiān)控、配置備份、性能優(yōu)化、漏洞修復。同時定期進行配置審計和健康檢查。

3.1.4 升級與變更

固件/OS升級：評估必要性，制定計劃，包括測試、回滾計劃等，在維護窗口執(zhí)行。充分測試兼容性。

配置變更：所有變更，如VLAN調整、路由變更、ACL修改等，必須通過變更管理流程審批，使用標準化模板或自動化工具實施，更新文檔。

3.1.5 退役與處置

安全下線：清除配置，尤其敏感信息，斷開物理連接。

配置擦除：使用專用工具或命令徹底清除設備配置。

資產注銷：更新CMDB、網管系統(tǒng)、IP地址庫等。

合規(guī)處置：環(huán)保處理電子廢棄物。

3.2  IP地址規(guī)劃與管理

3.2.1 規(guī)劃原則

結構化與可擴展：按區(qū)域、功能、設備類型劃分地址塊，預留增長空間。

IPv4 & IPv6 雙棧策略：推薦逐步部署IPv6雙棧。明確各網段、VLAN是IPv4-only、IPv6-only或Dual-stack。

聚合：設計利于路由聚合的地址塊，減小路由表，提升穩(wěn)定性。

3.2.2 IPv4 規(guī)劃

私有地址空間：主要使用RFC 1918地址，包括10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。

VLAN 編址：為每個邏輯分區(qū)，如支付、有線辦公、辦公/訪客Wi-Fi、IoT、管理、服務器等，分配獨立VLAN和IP子網。子網大小匹配設備數量，建議預留20%-30%。

關鍵設備靜態(tài)分配：核心交換機、路由器、防火墻、無線控制器、服務器使用預留的靜態(tài)IP。

動態(tài)分配：辦公PC、無線客戶端、IoT設備等使用DHCP。配置DHCP作用域、保留地址、租期，租期策略建議門店設備可較長，訪客較短。

NAT 規(guī)劃：明確公網地址池、NAT策略。

3.2.3 IPv6 規(guī)劃

全球單播地址GUA：從ISP或自分配獲取前綴，通常為/48或/56。

子網劃分：使用清晰的子網ID分配給各VLAN、站點。

地址分配機制：

?  SLAAC：是一種無狀態(tài)地址自動配置技術，適用于大多數PC或手機客戶端，設備根據RA消息自動生成地址。需配合RA Guard, SEND等安全措施。

保留與靜態(tài)分配：關鍵網絡設備、服務器使用手動配置的IPv6 GUA或ULAs。

3.2.4 管理工具

IP地址管理IPAM系統(tǒng)、功能：可用于實現IP資源集中管理、自動化分配、DNS、DHCP集成以及可視化，地址規(guī)模體量較大時，建議配置。

文檔：維護詳細的IPv4、v6地址規(guī)劃表，包含子網、VLAN、網關、用途、分配狀態(tài)。

3.3  網絡性能與可靠性管理

3.3.1 關鍵指標監(jiān)控

設備健康：CPU、內存利用率、溫度、電源狀態(tài)等。

鏈路狀態(tài)：端口Up、Down、錯包、丟包率、流量速率、核心、上聯(lián)、門店互聯(lián)等鏈路的帶寬利用率、延遲、抖動等。

協(xié)議狀態(tài)：OSPF、BGP鄰居狀態(tài)、STP根橋、端口狀態(tài)等。

無線網絡：AP在線率、信道利用率、客戶端數、信號強度、漫游成功率、認證成功率等。

工具：部署集中網絡監(jiān)控系統(tǒng)，如Zabbix、SolarWinds或廠商配套監(jiān)控工具等，Flow分析 (NetFlow、sFlow、IPFIX)，無線分析儀。

3.3.2 性能基線

建議建立正常流量模型基線，通過對網絡流量數據的收集、分析和處理，確定網絡在正常運行狀態(tài)下的流量特征和行為模式，能夠幫助網絡運維人員及時發(fā)現網絡異常，提高網絡故障排查和安全防護的效率，確保網絡持續(xù)穩(wěn)定、安全地運行。

3.3.3 容量規(guī)劃

分析帶寬趨勢，預測新店、視頻、云應用等帶寬的增長。確保關鍵鏈路利用率峰值<70%。

大促保障：提前評估并臨時擴容關鍵鏈路，尤其門店互聯(lián)網接入。

3.3.4 故障排查與優(yōu)化

快速定位解決中斷、性能劣化（延遲/丟包）、無線問題。

優(yōu)化路由、調整STP、優(yōu)化無線信道、功率、針對POS, 視頻會議、VoIP等關鍵業(yè)務實施QoS保障。

3.4  網絡安全管理

3.4.1 訪問控制

設備管理安全：強制SSHv2、HTTPS管理，限制源IP訪問，如只能通過堡壘機、管理網段才可對資產進行管理，禁用Telnet、HTTP。管理員強密碼、證書認證。

網絡分區(qū)隔離，可采用VLAN + ACL/Firewall方式：

端口安全：接入層啟用端口安全，如MAC綁定、學習數量限制等。

3.4.2 安全防護

無線安全：采用WPA2/WPA3-Enterprise或802.1X/Portal + RADIUS,用于員工辦公Wi-Fi。禁用WEP/WPS。訪客Wi-Fi使用獨立SSID + Portal認證方式。

IPv6 安全：部署ACLv6，啟用RA Guard, DHCPv6 Guard，監(jiān)控IPv6流量。

3.4.3 漏洞與補丁

定期掃描設備漏洞。

及時更新OS、固件安全補丁。高危漏洞應緊急處理。

3.4.4 日志與審計

集中日志管理：所有設備日志送SIEM、日志平臺。

關鍵日志：管理員操作、安全事件、狀態(tài)變更等。

留存與審計：按合規(guī)留存日志，定期審計。

3.5  廣域網與門店連接管理

3.5.1 連接策略

主鏈路：按需選擇光纖、高質量寬帶。互聯(lián)方案建議采用SD-WAN。

備份鏈路：重要門店必備4G/5G備份。配置自動切換。

集中管控：利用SD-WAN控制器或網管統(tǒng)一管理門店CPE。

3.5.2 性能與可靠性

監(jiān)控門店鏈路狀態(tài)、性能。

可采用QoS優(yōu)化關鍵業(yè)務流量優(yōu)先級。

快速響應門店網絡故障。

鏈路關鍵性能指標(延遲<60ms, 抖動<20ms, 丟包率<0.5%)

3.5.3  安全

門店防火墻、CPE啟用基礎安全策略。

強制加密：門店到DC、云的連接使用IPSec VPN或SD-WAN加密隧道，加密標準應采用AES-256及以上，推薦采用國密SM4標準。

嚴格管理遠程訪問。

3.6  無線網絡管理

3.6.1 針對運維期擴容點位的規(guī)劃與部署

需求區(qū)分：員工辦公Wi-Fi vs 顧客訪客Wi-Fi。

覆蓋設計：無線現場勘察，根據無線覆蓋熱力圖，合理避免干擾。

標準化部署：AP型號、位置、安裝方式標準化。

3.6.2 配置與安全

員工Wi-Fi：WPA2/WPA3-Enterprise、802.1X、Portal等。

訪客Wi-Fi：獨立SSID、VLAN，Portal認證，嚴格隔離。

優(yōu)化：信道、功率規(guī)劃，Band Steering，漫游優(yōu)化。

3.6.3 監(jiān)控與優(yōu)化

監(jiān)控AP、客戶端狀態(tài)、性能，定期優(yōu)化調整。

3.7  運維工具與文檔

3.7.1 網絡管理系統(tǒng) (NMS)

建議部署網絡管理系統(tǒng)或運維管理系統(tǒng)，具備設備發(fā)現、監(jiān)控、告警、配置備份、拓撲管理、IP地址管理等功能。

3.7.2 關鍵運維文檔

最新網絡拓撲圖、機房物理連接拓撲、資產部署圖等

詳細IP地址規(guī)劃表

設備清單與配置備份

VLAN規(guī)劃表

相關標準操作流程 (SOP)