2024年3月,包头本地某知名火锅连锁品牌的IT负责人找到我,说总部在昆区阿尔丁广场,旗下46家门店分布在昆区、青山区、九原区和东河区,最近遇到三个头疼的问题:一是各门店的点餐网络慢得要命,顾客扫码点餐要等15到20秒;二是总部想统一管控门店监控,但网络架构各自为政;三是东河区两家门店最近遭遇了顾客Wi-Fi被钓鱼的事件。
这个场景在包头的连锁餐饮行业很有代表性。门店数量一多,IT管控就成了盲区,总部管不住,各店自行其是,安全事件频发。
【咨询设计】
对昆区总部和随机抽检的5家门店做了网络评估,发现三个核心问题:一各门店互联网接入各自为政(移动、联通、手机热点混用);二门店Wi-Fi与点餐系统共用同一网络,没有做VLAN隔离,高峰期点餐系统卡顿率高达40%;三门店网络设备杂乱,没有统一管理平台。
方案核心:总部部署SD-WAN控制器,各门店部署SD-WAN CPE设备,构建Overlay VPN隧道,总部统一管控。
设备选型:总部部署华为AC6685无线控制器(管理能力256个AP,支持Wi-Fi 6),搭配华为AirEngine 5760-10。门店部署华为AR1220-S SD-WAN网关(支持IPSec VPN、GRE隧道、4G LTE备份,支持BGP/OSPF动态路由,支持SD-WAN智能选路),搭配华为AP4050DN-E(商用级,IP42防护,支持MU-MIMO,5GHz最高速率1.73Gbps)。
反直觉洞察:很多连锁店老板觉得SD-WAN太贵,用蒲公英路由器做VPN就够了。实际上蒲公英路由器(单台约300元)在46家门店的规模下,配置工作量巨大,而且无法做QoS流量调度和统一策略管理。一旦东河区某家门店的网络被攻击,总部根本不知道,也无法联动处置。华为SD-WAN方案虽然单CPE成本约1800元,但控制器平台支持策略模板批量下发,46家门店的策略调整5分钟完成,整体TCO反而更低。
【施工规划】
分期推进:第一期(第1-3周)总部网络改造+昆区8家直营店;第二期(第4-8周)完成其余38家门店。每家门店施工时间窗口:门店营业结束后22:00开始,次日06:00前完成,确保第二天正常营业不受影响。
【安全补丁】
Wi-Fi安全加固:所有门店顾客Wi-Fi与点餐系统物理隔离,启用Portal认证(微信连WiFi,强制手机号+微信授权接入),认证数据由总部RADIUS服务器(华为Agile Controller-Campus)统一管理。
SD-WAN隧道安全:所有门店CPE至总部的VPN隧道使用IPSec加密(AES-256-CBC + SHA-256),预共享密钥每季度更换一次。
POS系统安全:点餐POS终端通过北信源终端安全管理系统进行应用白名单控制;禁用USB接口;POS终端与总部ERP之间使用专用VPN隧道,启用国密SM4算法加密传输。
【验收交付】
SD-WAN验收:46家门店CPE全部注册至总部控制器(注册成功率100%),SD-WAN隧道建立成功率100%,平均隧道建立时间3.2秒。模拟总部至九原区某门店主链路断开,SD-WAN备用链路在2.8秒内接管,业务无感知。
Wi-Fi性能测试:高峰期(中午12:30)46家门店同时在线设备约2300台,顾客Wi-Fi平均下行速率23Mbps,点餐系统响应时间实测1.3秒(改造前约18秒),改善幅度达93%。
【售后承诺】
不舍昼夜技术为该项目提供1年现场质保,每年提供2次全网巡检。46家门店网络集中监控平台由不舍昼夜技术代维。重要节假日(春节、国庆节、中秋节)前主动推送网络巡检通知。服务热线:17704868686,不舍昼夜,为您的连锁门店保驾护航。