園區(qū)網絡管理的挑戰(zhàn)

效率低下：? 企業(yè)入駐、搬遷、變更網絡需求？傳統(tǒng)模式依賴人工逐臺設備配置，耗時耗力，響應慢。

管理分散：? 有線網手動運維，無線網企業(yè)自建，網絡碎片化，策略難統(tǒng)一，安全隱患叢生。

風險難控：? 有限的運維人力面對分散的管理界面和復雜配置，錯誤率高，安全邊界模糊，風險不可控。

擴展困難：? 面對未來5-8年園區(qū)發(fā)展和租戶增長，傳統(tǒng)架構擴容升級成本高、周期長。

云化園區(qū)網：面向未來的多租戶解決方案

將數(shù)據(jù)中心級的先進理念（Spine/Leaf架構、全三層、云架構、超堆疊、云漫游）引入園區(qū)，打造新一代云化園區(qū)網絡，專為多租戶、高要求場景設計，核心解決資源隔離、安全保障、自動化運維三大關鍵挑戰(zhàn)，助力園區(qū)管理者實現(xiàn)。

分鐘級開通，網隨人動

• 高速互聯(lián)底座：? 每棟樓宇部署高性能Spine/Leaf架構，提供10G/25G骨干，承載海量租戶業(yè)務、物聯(lián)網及服務器互聯(lián)。
• 無線極致體驗：? 分布式網關實現(xiàn)“超大漫游域”，跨樓棟移動業(yè)務不中斷，策略自動跟隨，安全與便利兼得。
• 一鍵業(yè)務開通：? 基于云原生管理平臺Asteria Campus Controller (ACC)，?上千租戶網絡業(yè)務分鐘級一鍵開通，徹底告別手工配置，大幅提升服務響應速度與租戶滿意度。

多租戶無憂

我們通過 BGP EVPN 為不同企業(yè)租戶構建獨立的虛擬網絡，支持靈活的業(yè)務擴展，同時輔以端口隔離、ACL隔離和AP嚴格轉發(fā)確保該機制正常運行。

BGP EVPN（Border Gateway Protocol Ethernet Virtual Private Network）是一種結合了 BGP 協(xié)議 和 EVPN 技術 的標準化解決方案，主要用于構建大規(guī)模、高性能的 二層（L2）和三層（L3）虛擬化網絡，廣泛應用于數(shù)據(jù)中心、云服務、多租戶園區(qū)網絡等場景。其核心目標是通過控制平面優(yōu)化，實現(xiàn) 高效的 MAC/IP 地址學習、靈活的多租戶隔離 和 網絡虛擬化。

• 端口隔離：? 強制所有流量進行三層路由轉發(fā)，杜絕二層廣播風暴與私接風險。
• ACL隔離：? 精細控制不同業(yè)務VLAN（租戶子網）間的訪問權限，實現(xiàn)租戶間業(yè)務互訪的靈活管控。
• AP嚴格轉發(fā)：? AP僅作接入點，所有業(yè)務流量強制回傳至交換機進行安全策略檢查與轉發(fā)，堵住無線側安全漏洞。

訪問準入和用戶權限控制

園區(qū)多租戶網絡在訪問準入控制主要考慮三個關鍵點：

• 接入終端的合法性檢查
• 用戶身份信息檢查
• 劃分不同用戶的訪問權限

我們使用 Portal認證+動態(tài)VLAN 的方式來實現(xiàn)以上能力：所有用戶接入網絡時都需要通過 Portal 認證來得到資源訪問授權，PacketFence 認證管理平臺既是 Portal 服務器，也兼顧RADIUS服務器相關功能。

該平臺存儲了企業(yè)租戶、終端信息和授權 VLAN 的映射關系，由此我們可通過動態(tài)VLAN 機制根據(jù)上線用戶終端的信息自動為其劃分 VLAN，并控制網絡訪問權限。

一個典型的無線終端上線認證流程大致如此：

• 當用戶連接到 AP，會得到一個未授權 VLAN 下的 IP 地址，使之可以訪問與認證相關的網絡資源；
• AP 作為無線接入認證控制點會將用戶終端的 HTTP 報文重定向到 Portal 服務器，采用RADIUS協(xié)議交互認證信息，完成認證和授權；
• 此時，AP 會強制終端下線重連，重新獲取一個授權企業(yè) VLAN 下的 IP 地址，從而能夠正常訪問網絡資源。

更安全、方便的MAC優(yōu)先Portal認證

完成初次認證后，RADIUS 服務器已記錄到合法終端的MAC地址，當該終端再次接入網絡，服務器會優(yōu)先以 MAC 地址匹配已有記錄去完成認證，而無需用戶重復進行 Portal 認證流程。

此外，MAC 優(yōu)先的 Portal 認證還會結合終端廠商型號信息驗證、漫游異常檢測等方式觸發(fā)系統(tǒng)告警，及時向管理員提示仿冒接入風險。

開放 API 與第三方租戶管理系統(tǒng)集成

對于已有租戶管理系統(tǒng)或其他上層管理平臺的園區(qū)改造升級類項目，從認證系統(tǒng)到更底層的園區(qū)網絡設備我們都可提供豐富的 API 供二次開發(fā)集成調用。

極簡可視化運維

上千租戶業(yè)務分鐘級開通：作為云園區(qū)的配套組件，ACC 控制器為園區(qū)多租戶場景提供一套簡潔易用的自動化配置流程，最多支持為 2K 企業(yè)租戶一鍵同步開通業(yè)務。

• 有線無線集中式管理：網絡中網關、交換機、無線 AP 等設備統(tǒng)一被 ACC 納管。ACC 為管理員提供豐富的統(tǒng)一運維功能，支持對單臺/批量設備的配置進行增刪改查。
• 設備的 CPU、內存、各硬件狀態(tài)、IP地址、整機/單接口流量、鏈路狀態(tài)、接口狀態(tài)、 PoE 狀態(tài)等信息可視化。支持查看全網任意設備的實時狀態(tài)信息，將所有在線設備的監(jiān)控數(shù)據(jù)進行全量計算，最終以綜合健康值全局呈現(xiàn)。

• 統(tǒng)計和指紋識別：自動收集終端指紋信息，識別終端設備類型、系統(tǒng)信息、在線狀態(tài)、信號質量等信息，同時記錄每個終端的上網行為和流量統(tǒng)計信息。
• 終端流量回溯：支持查看終端從上線到下線整個過程中的連接狀態(tài)、信號質量、協(xié)商速率、信噪比、所連接AP的位置等信息，便于運維人員查看當前無線用戶的上網情況，加速問題定位排障。