开放生态+极简运维：多租户园区网络的云原生管理实践

园区网络管理的挑战

效率低下：​ 企业入驻、搬迁、变更网络需求？传统模式依赖人工逐台设备配置，耗时耗力，响应慢。

管理分散：​ 有线网手动运维，无线网企业自建，网络碎片化，策略难统一，安全隐患丛生。

风险难控：​ 有限的运维人力面对分散的管理界面和复杂配置，错误率高，安全边界模糊，风险不可控。

扩展困难：​ 面对未来5-8年园区发展和租户增长，传统架构扩容升级成本高、周期长。

云化园区网：面向未来的多租户解决方案

将数据中心级的先进理念（Spine/Leaf架构、全三层、云架构、超堆叠、云漫游）引入园区，打造新一代云化园区网络，专为多租户、高要求场景设计，核心解决资源隔离、安全保障、自动化运维三大关键挑战，助力园区管理者实现。

分钟级开通，网随人动

• 高速互联底座：​ 每栋楼宇部署高性能Spine/Leaf架构，提供10G/25G骨干，承载海量租户业务、物联网及服务器互联。
• 无线极致体验：​ 分布式网关实现“超大漫游域”，跨楼栋移动业务不中断，策略自动跟随，安全与便利兼得。
• 一键业务开通：​ 基于云原生管理平台Asteria Campus Controller (ACC)，​上千租户网络业务分钟级一键开通，彻底告别手工配置，大幅提升服务响应速度与租户满意度。

多租户无忧

我们通过 BGP EVPN 为不同企业租户构建独立的虚拟网络，支持灵活的业务扩展，同时辅以端口隔离、ACL隔离和AP严格转发确保该机制正常运行。

BGP EVPN（Border Gateway Protocol Ethernet Virtual Private Network）是一种结合了 BGP 协议 和 EVPN 技术 的标准化解决方案，主要用于构建大规模、高性能的 二层（L2）和三层（L3）虚拟化网络，广泛应用于数据中心、云服务、多租户园区网络等场景。其核心目标是通过控制平面优化，实现 高效的 MAC/IP 地址学习、灵活的多租户隔离 和 网络虚拟化。

• 端口隔离：​ 强制所有流量进行三层路由转发，杜绝二层广播风暴与私接风险。
• ACL隔离：​ 精细控制不同业务VLAN（租户子网）间的访问权限，实现租户间业务互访的灵活管控。
• AP严格转发：​ AP仅作接入点，所有业务流量强制回传至交换机进行安全策略检查与转发，堵住无线侧安全漏洞。

访问准入和用户权限控制

园区多租户网络在访问准入控制主要考虑三个关键点：

• 接入终端的合法性检查
• 用户身份信息检查
• 划分不同用户的访问权限

我们使用 Portal认证+动态VLAN 的方式来实现以上能力：所有用户接入网络时都需要通过 Portal 认证来得到资源访问授权，PacketFence 认证管理平台既是 Portal 服务器，也兼顾RADIUS服务器相关功能。

该平台存储了企业租户、终端信息和授权 VLAN 的映射关系，由此我们可通过动态VLAN 机制根据上线用户终端的信息自动为其划分 VLAN，并控制网络访问权限。

一个典型的无线终端上线认证流程大致如此：

• 当用户连接到 AP，会得到一个未授权 VLAN 下的 IP 地址，使之可以访问与认证相关的网络资源；
• AP 作为无线接入认证控制点会将用户终端的 HTTP 报文重定向到 Portal 服务器，采用RADIUS协议交互认证信息，完成认证和授权；
• 此时，AP 会强制终端下线重连，重新获取一个授权企业 VLAN 下的 IP 地址，从而能够正常访问网络资源。

更安全、方便的MAC优先Portal认证

完成初次认证后，RADIUS 服务器已记录到合法终端的MAC地址，当该终端再次接入网络，服务器会优先以 MAC 地址匹配已有记录去完成认证，而无需用户重复进行 Portal 认证流程。

此外，MAC 优先的 Portal 认证还会结合终端厂商型号信息验证、漫游异常检测等方式触发系统告警，及时向管理员提示仿冒接入风险。

开放 API 与第三方租户管理系统集成

对于已有租户管理系统或其他上层管理平台的园区改造升级类项目，从认证系统到更底层的园区网络设备我们都可提供丰富的 API 供二次开发集成调用。

极简可视化运维

上千租户业务分钟级开通：作为云园区的配套组件，ACC 控制器为园区多租户场景提供一套简洁易用的自动化配置流程，最多支持为 2K 企业租户一键同步开通业务。

• 有线无线集中式管理：网络中网关、交换机、无线 AP 等设备统一被 ACC 纳管。ACC 为管理员提供丰富的统一运维功能，支持对单台/批量设备的配置进行增删改查。
• 设备的 CPU、内存、各硬件状态、IP地址、整机/单接口流量、链路状态、接口状态、 PoE 状态等信息可视化。支持查看全网任意设备的实时状态信息，将所有在线设备的监控数据进行全量计算，最终以综合健康值全局呈现。

• 统计和指纹识别：自动收集终端指纹信息，识别终端设备类型、系统信息、在线状态、信号质量等信息，同时记录每个终端的上网行为和流量统计信息。
• 终端流量回溯：支持查看终端从上线到下线整个过程中的连接状态、信号质量、协商速率、信噪比、所连接AP的位置等信息，便于运维人员查看当前无线用户的上网情况，加速问题定位排障。