今年9月，協(xié)會發(fā)布了《商場ICT基礎(chǔ)設(shè)施運維與業(yè)務(wù)系統(tǒng)運維指南》。

在零售行業(yè)深度數(shù)字化的浪潮下，商場早已不只是商品買賣的場所，而是升級為融合沉浸體驗、智慧服務(wù)與數(shù)據(jù)決策的綜合零售空間。而支撐這場變革的，是以 ICT（信息與通信技術(shù)）為核心的基礎(chǔ)設(shè)施：它貫穿企業(yè)運營的各個環(huán)節(jié)，交織成一張高度復雜、彼此協(xié)同的技術(shù)生態(tài)網(wǎng)。

為構(gòu)建標準化、體系化的運維框架，中國百貨商業(yè)協(xié)會攜手零售企業(yè)和行業(yè)專家，起草本指南，以“安全為基、流程為綱、全棧覆蓋”為核心思路，整合運維安全通用策略與管理流程，覆蓋從網(wǎng)絡(luò)、服務(wù)器、安全設(shè)備到終端、IoT、公有云等軟硬件基礎(chǔ)設(shè)施，以及數(shù)據(jù)庫、應用軟件、業(yè)務(wù)系統(tǒng)的全軟件鏈條，旨在為商場 ICT 運維提供可落地的操作規(guī)范，實現(xiàn) “故障可預防、問題可追溯、風險可管控” 的目標，最終保障商場數(shù)字化運營的穩(wěn)定性、安全性與高效性。

指南的起草單位和人員包括：

因指南內(nèi)容較多，協(xié)會將通過公眾號對指南內(nèi)容進行連載。今天為第一部分“商場網(wǎng)絡(luò)系統(tǒng)運維指南”。

今天為第一部分“商場網(wǎng)絡(luò)系統(tǒng)運維指南”，在指南全文中，為第3部分，前兩部分為通用策略和通用流程。

3 網(wǎng)絡(luò)系統(tǒng)運維

核心目標： 構(gòu)建并維護一個穩(wěn)定、高效、安全、可擴展的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，為零售連鎖企業(yè)的門店運營、線上電商、供應鏈管理、辦公協(xié)同、顧客服務(wù)等業(yè)務(wù)提供可靠、高性能的連接，保障業(yè)務(wù)連續(xù)性，保護數(shù)據(jù)安全與用戶隱私，并實現(xiàn)高效的集中管理與運維。

3.1  資產(chǎn)生命周期管理

3.1.1 運維期間資產(chǎn)采購與入庫

需求分析與規(guī)劃：根據(jù)業(yè)務(wù)需求預測和系統(tǒng)擴容計劃，明確網(wǎng)絡(luò)設(shè)備的采購需求，包括性能指標、容量需求、擴展性要求等。

供應商評估與選擇：評估供應商的資質(zhì)、產(chǎn)品質(zhì)量、售后服務(wù)及安全保障能力，選擇信譽良好、符合安全標準的供應商。

采購與驗收：依據(jù)采購合同與技術(shù)指標進行驗收，檢查硬件設(shè)備外觀、配置參數(shù)，測試軟件系統(tǒng)功能、兼容性與安全性。

資產(chǎn)標簽與登記：為每臺網(wǎng)絡(luò)設(shè)備粘貼物理標簽，并在資產(chǎn)管理系統(tǒng)中詳細登記資產(chǎn)信息，包括型號、序列號、位置、用途、IP地址、配置詳情、維保狀態(tài)等。

3.1.2 配置基線

標準化配置模板：基于安全基線和最佳實踐，為不同類型設(shè)備，如核心交換機、門店接入交換機、防火墻、無線控制器等，創(chuàng)建標準配置模板，包括OS版本、管理安全、VLAN劃分、端口安全、基礎(chǔ)路由/ACL等。使用腳本、運維系統(tǒng)等自動化工具批量部署。

安全加固基線：更改默認憑證、關(guān)閉不必要服務(wù)，如HTTP管理、啟用管理加密SSH/HTTPS、配置訪問控制列表ACL、禁用未用端口。

3.1.3 在役運營與維護

資產(chǎn)與拓撲登記：在CMDB和網(wǎng)管系統(tǒng)準確記錄設(shè)備信息，如型號、序列號、IP/MAC、位置、用途、配置備份等、邏輯與物理的網(wǎng)絡(luò)拓撲圖、IP地址規(guī)劃。日常執(zhí)行重點指標監(jiān)控、配置備份、性能優(yōu)化、漏洞修復。同時定期進行配置審計和健康檢查。

3.1.4 升級與變更

固件/OS升級：評估必要性，制定計劃，包括測試、回滾計劃等，在維護窗口執(zhí)行。充分測試兼容性。

配置變更：所有變更，如VLAN調(diào)整、路由變更、ACL修改等，必須通過變更管理流程審批，使用標準化模板或自動化工具實施，更新文檔。

3.1.5 退役與處置

安全下線：清除配置，尤其敏感信息，斷開物理連接。

配置擦除：使用專用工具或命令徹底清除設(shè)備配置。

資產(chǎn)注銷：更新CMDB、網(wǎng)管系統(tǒng)、IP地址庫等。

合規(guī)處置：環(huán)保處理電子廢棄物。

3.2  IP地址規(guī)劃與管理

3.2.1 規(guī)劃原則

結(jié)構(gòu)化與可擴展：按區(qū)域、功能、設(shè)備類型劃分地址塊，預留增長空間。

IPv4 & IPv6 雙棧策略：推薦逐步部署IPv6雙棧。明確各網(wǎng)段、VLAN是IPv4-only、IPv6-only或Dual-stack。

聚合：設(shè)計利于路由聚合的地址塊，減小路由表，提升穩(wěn)定性。

3.2.2 IPv4 規(guī)劃

私有地址空間：主要使用RFC 1918地址，包括10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。

VLAN 編址：為每個邏輯分區(qū)，如支付、有線辦公、辦公/訪客Wi-Fi、IoT、管理、服務(wù)器等，分配獨立VLAN和IP子網(wǎng)。子網(wǎng)大小匹配設(shè)備數(shù)量，建議預留20%-30%。

關(guān)鍵設(shè)備靜態(tài)分配：核心交換機、路由器、防火墻、無線控制器、服務(wù)器使用預留的靜態(tài)IP。

動態(tài)分配：辦公PC、無線客戶端、IoT設(shè)備等使用DHCP。配置DHCP作用域、保留地址、租期，租期策略建議門店設(shè)備可較長，訪客較短。

NAT 規(guī)劃：明確公網(wǎng)地址池、NAT策略。

3.2.3 IPv6 規(guī)劃

全球單播地址GUA：從ISP或自分配獲取前綴，通常為/48或/56。

子網(wǎng)劃分：使用清晰的子網(wǎng)ID分配給各VLAN、站點。

地址分配機制：

?  SLAAC：是一種無狀態(tài)地址自動配置技術(shù)，適用于大多數(shù)PC或手機客戶端，設(shè)備根據(jù)RA消息自動生成地址。需配合RA Guard, SEND等安全措施。

保留與靜態(tài)分配：關(guān)鍵網(wǎng)絡(luò)設(shè)備、服務(wù)器使用手動配置的IPv6 GUA或ULAs。

3.2.4 管理工具

IP地址管理IPAM系統(tǒng)、功能：可用于實現(xiàn)IP資源集中管理、自動化分配、DNS、DHCP集成以及可視化，地址規(guī)模體量較大時，建議配置。

文檔：維護詳細的IPv4、v6地址規(guī)劃表，包含子網(wǎng)、VLAN、網(wǎng)關(guān)、用途、分配狀態(tài)。

3.3  網(wǎng)絡(luò)性能與可靠性管理

3.3.1 關(guān)鍵指標監(jiān)控

設(shè)備健康：CPU、內(nèi)存利用率、溫度、電源狀態(tài)等。

鏈路狀態(tài)：端口Up、Down、錯包、丟包率、流量速率、核心、上聯(lián)、門店互聯(lián)等鏈路的帶寬利用率、延遲、抖動等。

協(xié)議狀態(tài)：OSPF、BGP鄰居狀態(tài)、STP根橋、端口狀態(tài)等。

無線網(wǎng)絡(luò)：AP在線率、信道利用率、客戶端數(shù)、信號強度、漫游成功率、認證成功率等。

工具：部署集中網(wǎng)絡(luò)監(jiān)控系統(tǒng)，如Zabbix、SolarWinds或廠商配套監(jiān)控工具等，F(xiàn)low分析 (NetFlow、sFlow、IPFIX)，無線分析儀。

3.3.2 性能基線

建議建立正常流量模型基線，通過對網(wǎng)絡(luò)流量數(shù)據(jù)的收集、分析和處理，確定網(wǎng)絡(luò)在正常運行狀態(tài)下的流量特征和行為模式，能夠幫助網(wǎng)絡(luò)運維人員及時發(fā)現(xiàn)網(wǎng)絡(luò)異常，提高網(wǎng)絡(luò)故障排查和安全防護的效率，確保網(wǎng)絡(luò)持續(xù)穩(wěn)定、安全地運行。

3.3.3 容量規(guī)劃

分析帶寬趨勢，預測新店、視頻、云應用等帶寬的增長。確保關(guān)鍵鏈路利用率峰值<70%。

大促保障：提前評估并臨時擴容關(guān)鍵鏈路，尤其門店互聯(lián)網(wǎng)接入。

3.3.4 故障排查與優(yōu)化

快速定位解決中斷、性能劣化（延遲/丟包）、無線問題。

優(yōu)化路由、調(diào)整STP、優(yōu)化無線信道、功率、針對POS, 視頻會議、VoIP等關(guān)鍵業(yè)務(wù)實施QoS保障。

3.4  網(wǎng)絡(luò)安全管理

3.4.1 訪問控制

設(shè)備管理安全：強制SSHv2、HTTPS管理，限制源IP訪問，如只能通過堡壘機、管理網(wǎng)段才可對資產(chǎn)進行管理，禁用Telnet、HTTP。管理員強密碼、證書認證。

網(wǎng)絡(luò)分區(qū)隔離，可采用VLAN + ACL/Firewall方式：

端口安全：接入層啟用端口安全，如MAC綁定、學習數(shù)量限制等。

3.4.2 安全防護

無線安全：采用WPA2/WPA3-Enterprise或802.1X/Portal + RADIUS,用于員工辦公Wi-Fi。禁用WEP/WPS。訪客Wi-Fi使用獨立SSID + Portal認證方式。

IPv6 安全：部署ACLv6，啟用RA Guard, DHCPv6 Guard，監(jiān)控IPv6流量。

3.4.3 漏洞與補丁

定期掃描設(shè)備漏洞。

及時更新OS、固件安全補丁。高危漏洞應緊急處理。

3.4.4 日志與審計

集中日志管理：所有設(shè)備日志送SIEM、日志平臺。

關(guān)鍵日志：管理員操作、安全事件、狀態(tài)變更等。

留存與審計：按合規(guī)留存日志，定期審計。

3.5  廣域網(wǎng)與門店連接管理

3.5.1 連接策略

主鏈路：按需選擇光纖、高質(zhì)量寬帶。互聯(lián)方案建議采用SD-WAN。

備份鏈路：重要門店必備4G/5G備份。配置自動切換。

集中管控：利用SD-WAN控制器或網(wǎng)管統(tǒng)一管理門店CPE。

3.5.2 性能與可靠性

監(jiān)控門店鏈路狀態(tài)、性能。

可采用QoS優(yōu)化關(guān)鍵業(yè)務(wù)流量優(yōu)先級。

快速響應門店網(wǎng)絡(luò)故障。

鏈路關(guān)鍵性能指標(延遲<60ms, 抖動<20ms, 丟包率<0.5%)

3.5.3  安全

門店防火墻、CPE啟用基礎(chǔ)安全策略。

強制加密：門店到DC、云的連接使用IPSec VPN或SD-WAN加密隧道，加密標準應采用AES-256及以上，推薦采用國密SM4標準。

嚴格管理遠程訪問。

3.6  無線網(wǎng)絡(luò)管理

3.6.1 針對運維期擴容點位的規(guī)劃與部署

需求區(qū)分：員工辦公Wi-Fi vs 顧客訪客Wi-Fi。

覆蓋設(shè)計：無線現(xiàn)場勘察，根據(jù)無線覆蓋熱力圖，合理避免干擾。

標準化部署：AP型號、位置、安裝方式標準化。

3.6.2 配置與安全

員工Wi-Fi：WPA2/WPA3-Enterprise、802.1X、Portal等。

訪客Wi-Fi：獨立SSID、VLAN，Portal認證，嚴格隔離。

優(yōu)化：信道、功率規(guī)劃，Band Steering，漫游優(yōu)化。

3.6.3 監(jiān)控與優(yōu)化

監(jiān)控AP、客戶端狀態(tài)、性能，定期優(yōu)化調(diào)整。

3.7  運維工具與文檔

3.7.1 網(wǎng)絡(luò)管理系統(tǒng) (NMS)

建議部署網(wǎng)絡(luò)管理系統(tǒng)或運維管理系統(tǒng)，具備設(shè)備發(fā)現(xiàn)、監(jiān)控、告警、配置備份、拓撲管理、IP地址管理等功能。

3.7.2 關(guān)鍵運維文檔

最新網(wǎng)絡(luò)拓撲圖、機房物理連接拓撲、資產(chǎn)部署圖等

詳細IP地址規(guī)劃表

設(shè)備清單與配置備份

VLAN規(guī)劃表

相關(guān)標準操作流程 (SOP)