園區(qū)網(wǎng)絡(luò)管理的挑戰(zhàn)

效率低下：? 企業(yè)入駐、搬遷、變更網(wǎng)絡(luò)需求？傳統(tǒng)模式依賴人工逐臺設(shè)備配置，耗時耗力，響應(yīng)慢。

管理分散：? 有線網(wǎng)手動運維，無線網(wǎng)企業(yè)自建，網(wǎng)絡(luò)碎片化，策略難統(tǒng)一，安全隱患叢生。

風(fēng)險難控：? 有限的運維人力面對分散的管理界面和復(fù)雜配置，錯誤率高，安全邊界模糊，風(fēng)險不可控。

擴展困難：? 面對未來5-8年園區(qū)發(fā)展和租戶增長，傳統(tǒng)架構(gòu)擴容升級成本高、周期長。

云化園區(qū)網(wǎng)：面向未來的多租戶解決方案

將數(shù)據(jù)中心級的先進(jìn)理念（Spine/Leaf架構(gòu)、全三層、云架構(gòu)、超堆疊、云漫游）引入園區(qū)，打造新一代云化園區(qū)網(wǎng)絡(luò)，專為多租戶、高要求場景設(shè)計，核心解決資源隔離、安全保障、自動化運維三大關(guān)鍵挑戰(zhàn)，助力園區(qū)管理者實現(xiàn)。

分鐘級開通，網(wǎng)隨人動

• 高速互聯(lián)底座：? 每棟樓宇部署高性能Spine/Leaf架構(gòu)，提供10G/25G骨干，承載海量租戶業(yè)務(wù)、物聯(lián)網(wǎng)及服務(wù)器互聯(lián)。
• 無線極致體驗：? 分布式網(wǎng)關(guān)實現(xiàn)“超大漫游域”，跨樓棟移動業(yè)務(wù)不中斷，策略自動跟隨，安全與便利兼得。
• 一鍵業(yè)務(wù)開通：? 基于云原生管理平臺Asteria Campus Controller (ACC)，?上千租戶網(wǎng)絡(luò)業(yè)務(wù)分鐘級一鍵開通，徹底告別手工配置，大幅提升服務(wù)響應(yīng)速度與租戶滿意度。

多租戶無憂

我們通過 BGP EVPN 為不同企業(yè)租戶構(gòu)建獨立的虛擬網(wǎng)絡(luò)，支持靈活的業(yè)務(wù)擴展，同時輔以端口隔離、ACL隔離和AP嚴(yán)格轉(zhuǎn)發(fā)確保該機制正常運行。

BGP EVPN（Border Gateway Protocol Ethernet Virtual Private Network）是一種結(jié)合了 BGP 協(xié)議 和 EVPN 技術(shù) 的標(biāo)準(zhǔn)化解決方案，主要用于構(gòu)建大規(guī)模、高性能的 二層（L2）和三層（L3）虛擬化網(wǎng)絡(luò)，廣泛應(yīng)用于數(shù)據(jù)中心、云服務(wù)、多租戶園區(qū)網(wǎng)絡(luò)等場景。其核心目標(biāo)是通過控制平面優(yōu)化，實現(xiàn) 高效的 MAC/IP 地址學(xué)習(xí)、靈活的多租戶隔離 和 網(wǎng)絡(luò)虛擬化。

• 端口隔離：? 強制所有流量進(jìn)行三層路由轉(zhuǎn)發(fā)，杜絕二層廣播風(fēng)暴與私接風(fēng)險。
• ACL隔離：? 精細(xì)控制不同業(yè)務(wù)VLAN（租戶子網(wǎng)）間的訪問權(quán)限，實現(xiàn)租戶間業(yè)務(wù)互訪的靈活管控。
• AP嚴(yán)格轉(zhuǎn)發(fā)：? AP僅作接入點，所有業(yè)務(wù)流量強制回傳至交換機進(jìn)行安全策略檢查與轉(zhuǎn)發(fā)，堵住無線側(cè)安全漏洞。

訪問準(zhǔn)入和用戶權(quán)限控制

園區(qū)多租戶網(wǎng)絡(luò)在訪問準(zhǔn)入控制主要考慮三個關(guān)鍵點：

• 接入終端的合法性檢查
• 用戶身份信息檢查
• 劃分不同用戶的訪問權(quán)限

我們使用 Portal認(rèn)證+動態(tài)VLAN 的方式來實現(xiàn)以上能力：所有用戶接入網(wǎng)絡(luò)時都需要通過 Portal 認(rèn)證來得到資源訪問授權(quán)，PacketFence 認(rèn)證管理平臺既是 Portal 服務(wù)器，也兼顧RADIUS服務(wù)器相關(guān)功能。

該平臺存儲了企業(yè)租戶、終端信息和授權(quán) VLAN 的映射關(guān)系，由此我們可通過動態(tài)VLAN 機制根據(jù)上線用戶終端的信息自動為其劃分 VLAN，并控制網(wǎng)絡(luò)訪問權(quán)限。

一個典型的無線終端上線認(rèn)證流程大致如此：

• 當(dāng)用戶連接到 AP，會得到一個未授權(quán) VLAN 下的 IP 地址，使之可以訪問與認(rèn)證相關(guān)的網(wǎng)絡(luò)資源；
• AP 作為無線接入認(rèn)證控制點會將用戶終端的 HTTP 報文重定向到 Portal 服務(wù)器，采用RADIUS協(xié)議交互認(rèn)證信息，完成認(rèn)證和授權(quán)；
• 此時，AP 會強制終端下線重連，重新獲取一個授權(quán)企業(yè) VLAN 下的 IP 地址，從而能夠正常訪問網(wǎng)絡(luò)資源。

更安全、方便的MAC優(yōu)先Portal認(rèn)證

完成初次認(rèn)證后，RADIUS 服務(wù)器已記錄到合法終端的MAC地址，當(dāng)該終端再次接入網(wǎng)絡(luò)，服務(wù)器會優(yōu)先以 MAC 地址匹配已有記錄去完成認(rèn)證，而無需用戶重復(fù)進(jìn)行 Portal 認(rèn)證流程。

此外，MAC 優(yōu)先的 Portal 認(rèn)證還會結(jié)合終端廠商型號信息驗證、漫游異常檢測等方式觸發(fā)系統(tǒng)告警，及時向管理員提示仿冒接入風(fēng)險。

開放 API 與第三方租戶管理系統(tǒng)集成

對于已有租戶管理系統(tǒng)或其他上層管理平臺的園區(qū)改造升級類項目，從認(rèn)證系統(tǒng)到更底層的園區(qū)網(wǎng)絡(luò)設(shè)備我們都可提供豐富的 API 供二次開發(fā)集成調(diào)用。

極簡可視化運維

上千租戶業(yè)務(wù)分鐘級開通：作為云園區(qū)的配套組件，ACC 控制器為園區(qū)多租戶場景提供一套簡潔易用的自動化配置流程，最多支持為 2K 企業(yè)租戶一鍵同步開通業(yè)務(wù)。

• 有線無線集中式管理：網(wǎng)絡(luò)中網(wǎng)關(guān)、交換機、無線 AP 等設(shè)備統(tǒng)一被 ACC 納管。ACC 為管理員提供豐富的統(tǒng)一運維功能，支持對單臺/批量設(shè)備的配置進(jìn)行增刪改查。
• 設(shè)備的 CPU、內(nèi)存、各硬件狀態(tài)、IP地址、整機/單接口流量、鏈路狀態(tài)、接口狀態(tài)、 PoE 狀態(tài)等信息可視化。支持查看全網(wǎng)任意設(shè)備的實時狀態(tài)信息，將所有在線設(shè)備的監(jiān)控數(shù)據(jù)進(jìn)行全量計算，最終以綜合健康值全局呈現(xiàn)。

• 統(tǒng)計和指紋識別：自動收集終端指紋信息，識別終端設(shè)備類型、系統(tǒng)信息、在線狀態(tài)、信號質(zhì)量等信息，同時記錄每個終端的上網(wǎng)行為和流量統(tǒng)計信息。
• 終端流量回溯：支持查看終端從上線到下線整個過程中的連接狀態(tài)、信號質(zhì)量、協(xié)商速率、信噪比、所連接AP的位置等信息，便于運維人員查看當(dāng)前無線用戶的上網(wǎng)情況，加速問題定位排障。