園區網絡管理的挑戰

效率低下：? 企業入駐、搬遷、變更網絡需求？傳統模式依賴人工逐臺設備配置，耗時耗力，響應慢。

管理分散：? 有線網手動運維，無線網企業自建，網絡碎片化，策略難統一，安全隱患叢生。

風險難控：? 有限的運維人力面對分散的管理界面和復雜配置，錯誤率高，安全邊界模糊，風險不可控。

擴展困難：? 面對未來5-8年園區發展和租戶增長，傳統架構擴容升級成本高、周期長。

云化園區網：面向未來的多租戶解決方案

將數據中心級的先進理念（Spine/Leaf架構、全三層、云架構、超堆疊、云漫游）引入園區，打造新一代云化園區網絡，專為多租戶、高要求場景設計，核心解決資源隔離、安全保障、自動化運維三大關鍵挑戰，助力園區管理者實現。

分鐘級開通，網隨人動

• 高速互聯底座：? 每棟樓宇部署高性能Spine/Leaf架構，提供10G/25G骨干，承載海量租戶業務、物聯網及服務器互聯。
• 無線極致體驗：? 分布式網關實現“超大漫游域”，跨樓棟移動業務不中斷，策略自動跟隨，安全與便利兼得。
• 一鍵業務開通：? 基于云原生管理平臺Asteria Campus Controller (ACC)，?上千租戶網絡業務分鐘級一鍵開通，徹底告別手工配置，大幅提升服務響應速度與租戶滿意度。

多租戶無憂

我們通過 BGP EVPN 為不同企業租戶構建獨立的虛擬網絡，支持靈活的業務擴展，同時輔以端口隔離、ACL隔離和AP嚴格轉發確保該機制正常運行。

BGP EVPN（Border Gateway Protocol Ethernet Virtual Private Network）是一種結合了 BGP 協議 和 EVPN 技術 的標準化解決方案，主要用于構建大規模、高性能的 二層（L2）和三層（L3）虛擬化網絡，廣泛應用于數據中心、云服務、多租戶園區網絡等場景。其核心目標是通過控制平面優化，實現 高效的 MAC/IP 地址學習、靈活的多租戶隔離 和 網絡虛擬化。

• 端口隔離：? 強制所有流量進行三層路由轉發，杜絕二層廣播風暴與私接風險。
• ACL隔離：? 精細控制不同業務VLAN（租戶子網）間的訪問權限，實現租戶間業務互訪的靈活管控。
• AP嚴格轉發：? AP僅作接入點，所有業務流量強制回傳至交換機進行安全策略檢查與轉發，堵住無線側安全漏洞。

訪問準入和用戶權限控制

園區多租戶網絡在訪問準入控制主要考慮三個關鍵點：

• 接入終端的合法性檢查
• 用戶身份信息檢查
• 劃分不同用戶的訪問權限

我們使用 Portal認證+動態VLAN 的方式來實現以上能力：所有用戶接入網絡時都需要通過 Portal 認證來得到資源訪問授權，PacketFence 認證管理平臺既是 Portal 服務器，也兼顧RADIUS服務器相關功能。

該平臺存儲了企業租戶、終端信息和授權 VLAN 的映射關系，由此我們可通過動態VLAN 機制根據上線用戶終端的信息自動為其劃分 VLAN，并控制網絡訪問權限。

一個典型的無線終端上線認證流程大致如此：

• 當用戶連接到 AP，會得到一個未授權 VLAN 下的 IP 地址，使之可以訪問與認證相關的網絡資源；
• AP 作為無線接入認證控制點會將用戶終端的 HTTP 報文重定向到 Portal 服務器，采用RADIUS協議交互認證信息，完成認證和授權；
• 此時，AP 會強制終端下線重連，重新獲取一個授權企業 VLAN 下的 IP 地址，從而能夠正常訪問網絡資源。

更安全、方便的MAC優先Portal認證

完成初次認證后，RADIUS 服務器已記錄到合法終端的MAC地址，當該終端再次接入網絡，服務器會優先以 MAC 地址匹配已有記錄去完成認證，而無需用戶重復進行 Portal 認證流程。

此外，MAC 優先的 Portal 認證還會結合終端廠商型號信息驗證、漫游異常檢測等方式觸發系統告警，及時向管理員提示仿冒接入風險。

開放 API 與第三方租戶管理系統集成

對于已有租戶管理系統或其他上層管理平臺的園區改造升級類項目，從認證系統到更底層的園區網絡設備我們都可提供豐富的 API 供二次開發集成調用。

極簡可視化運維

上千租戶業務分鐘級開通：作為云園區的配套組件，ACC 控制器為園區多租戶場景提供一套簡潔易用的自動化配置流程，最多支持為 2K 企業租戶一鍵同步開通業務。

• 有線無線集中式管理：網絡中網關、交換機、無線 AP 等設備統一被 ACC 納管。ACC 為管理員提供豐富的統一運維功能，支持對單臺/批量設備的配置進行增刪改查。
• 設備的 CPU、內存、各硬件狀態、IP地址、整機/單接口流量、鏈路狀態、接口狀態、 PoE 狀態等信息可視化。支持查看全網任意設備的實時狀態信息，將所有在線設備的監控數據進行全量計算，最終以綜合健康值全局呈現。

• 統計和指紋識別：自動收集終端指紋信息，識別終端設備類型、系統信息、在線狀態、信號質量等信息，同時記錄每個終端的上網行為和流量統計信息。
• 終端流量回溯：支持查看終端從上線到下線整個過程中的連接狀態、信號質量、協商速率、信噪比、所連接AP的位置等信息，便于運維人員查看當前無線用戶的上網情況，加速問題定位排障。