开源开放技术栈下的园区多租户网络方案设计

2025-05-21

现状和背景：传统的园区企业用户从电信运营商购买互联网服务，再由园区运维人员为其开通配套有线局域网业务，日常企业迁入迁出、办公区域变更等等都需要运维人员手动修改配置；无线网往往直接下放给企业自行购买设备搭建……如此不但管理分散，还容易滋生各种不可控的风险因素，在园区有限的运维人力条件下，问题将更加凸显。

园区多租户网络作为星融元新一代云化园区网的典型场景，我们依旧会把将数据中心级的 Spine/Leaf 架构，以及“全三层”、“云架构”、“超堆叠”、“云漫游”等一系列创新性的云化设计理念，有机应用于园区网络设计、建设和运营当中，提升服务水平和质量。

相较于为单一企业搭建网络基础设施，园区多租户网络在资源隔离、安全保障和自动化运维要求更高，也是本文重点关注的方面。

01 网络建设总体规划

每个楼宇作为一个部署单元，在园区局域网内提供 10G/25G 高带宽链路，用以承载大量企业租户的业务网络，也为智慧园区中物联网设备以及服务器区提供所需的网络互联能力。

有线网络采用简洁、高可靠的 Spine/Leaf 架构运行全三层网络，天然无环路，隔绝广播风暴，同时支持按需横向扩展满足未来5-8年的扩容升级需求；

无线网络则借助分布式网关设计，提供超大漫游域的无缝漫游，实现跨楼栋漫游不中断，网随人动，策略随行，兼顾安全和便利性。

云化园区网络设备

全盒式交换机（搭载面向园区网络特性增强的企业级 SONiC——AsterNOS）；智能开放网关平台（选配智能业务处理卡/AI加速卡等模块化硬件，结合开源软件组合）【深度拆解：ET2500 系列开放智能网关平台】
所有网络产品和相关组件皆遵循开放的标准和协议（OpenWiFi/OLS等），能够与第三方的产品和服务集成和互操作，支持云化部署和管理【关于OpenWiFi和OLS】

云原生的管理平台

基于 Asteria Campus Controller(ACC)，支持本地或云上部署，实现极速业务开通和有线无线一体的可视化集中运维管理。参考：【新一代园区网可视化运维实践】
基于PacketFence 的认证系统，可提供开放接口与现有/自研的租户管理系统无缝对接

02 多租户资源隔离设计

我们通过 BGP EVPN 为不同企业租户构建独立的虚拟网络，支持灵活的业务扩展，同时辅以端口隔离、ACL隔离和AP严格转发确保该机制正常运行。

BGP EVPN（Border Gateway Protocol Ethernet Virtual Private Network）是一种结合了 BGP 协议和 EVPN 技术的标准化解决方案，主要用于构建大规模、高性能的二层（L2）和三层（L3）虚拟化网络，广泛应用于数据中心、云服务、多租户园区网络等场景。其核心目标是通过控制平面优化，实现高效的 MAC/IP 地址学习、灵活的多租户隔离和网络虚拟化。