中文
产业园区是WiFi网络实名认证系统的一个典型应用场景,但和学校、酒店比起来,园区的情况更复杂,主要体现在一点:园区里住着多个独立法人的企业,每家企业的网络需求、管理权限、合规义务都不一样。把一套统一的实名认证系统铺到这样的环境里,遇到的问题比想象中要多。
多租户隔离和统一认证之间的矛盾
产业园区有一个基本需求:园区公共区域(大堂、走廊、会议中心、食堂)的WiFi要统一管理,但各个租户的办公区WiFi要相互隔离,租户A的员工不能访问租户B的内网。
这个需求对WiFi网络实名认证系统的架构提出了特殊要求:认证平台需要支持多租户模式,不同租户有独立的账号库、独立的Portal页、独立的上网策略,同时公共区域的认证是全园区统一的。大多数中小型园区上的系统没有这种设计,只有一套统一认证,所有用户都走同一个Portal页,认证成功后进入同一个网段。
这样的架构表面上能用,但有几个隐患:一是租户的访客经过公共区域认证后,理论上能访问到整个园区VLAN里的设备;二是不同租户的管理员无法在后台查看自己企业的用户认证记录,只有园区IT能看到,这对需要独立合规审计的企业来说是不够的;三是当某个租户要求定制Portal页(比如加上自己的Logo)时,系统没有多租户品牌定制能力。
真正做多租户隔离,需要认证系统支持VLAN-based认证,根据认证用户所属租户,自动将其划入对应的VLAN,同时通过策略限制跨租户通信。这个方案对网络设备和认证平台的版本要求都比较高,招商引资阶段没有考虑这个需求的园区,后期改造成本不低。
租户自主管理账号的需求
园区运营方通常只有一个小型IT团队,不可能替所有租户的员工管理账号。理想的模式是:租户自己有一个管理员账号,可以在系统里新增、删除、修改本企业员工的认证账号,而不需要每次都找园区IT。
这个需求在技术上不复杂,但很多系统的后台权限设计是扁平的,要么是超级管理员,要么是普通查看员,没有"租户级管理员"这个角色。结果是要么把超级管理员权限给了租户(不安全),要么所有操作都堆在园区IT(效率低)。
还有一个实际问题是账号导入。企业规模稍大,员工账号是批量的,逐条手动录入不现实。系统需要支持Excel或者CSV批量导入,最好还能支持从AD/LDAP同步。但这个功能的完善程度因厂商不同差异很大,有些系统支持导入但不支持同步,账号变动时还是要手动操作。
访客认证流程在园区里的特殊性
产业园区每天有大量访客——送货的、开会的、参观的、临时施工的。这些人需要上网,但又不能和内部员工走同一套认证流程。访客认证的理想方式是:前台接待扫描访客证件(或者输入手机号),系统自动生成一个有限期限的临时账号,访客使用这个账号认证,权限只能访问互联网,不能进内网,超过有效期自动失效。
这套流程在技术上是成熟的,但在实际操作里有几个摩擦点:前台接待人员的操作系统是什么(电脑、iPad、手机)?接待台有没有扫码枪?生成临时账号是发短信给访客还是打印出来?园区有几个入口,每个入口的前台都要有操作权限吗?这些细节在系统选型时往往没有讨论,到上线才发现某个入口的前台是用iPad的但系统只有PC端界面,或者短信通道没有开通导致账号发不出去。
另一个问题是施工人员的账号管理。施工队伍可能在园区里工作几个月,每天都要上网,但人员流动性很高,名单会变。如果用临时账号,每天开新账号工作量很大;如果用工期固定的账号,人员变动后旧账号还在系统里跑着,是安全隐患。最合理的方式是给施工总包单位一个批量账号管理权限,让总包自己维护人员名单,但这又回到了上面说的租户自主管理问题。
园区扩建或新区块接入的问题
很多产业园区是分期建设的,一期先上线,二期、三期陆续完工。每次新区块接入,都需要把新区域的AP和网络设备纳入现有认证体系。如果认证系统在一期上线时没有预留扩展接口,每次接入新区块都需要较大的改造工作量,有时候甚至需要升级授权(系统按AP数量或用户数量收费,扩大规模要追加费用)。
这个问题在签合同时要提前谈清楚:授权模式是并发用户数还是AP数量?未来扩展的成本是多少?硬件节点是不是支持横向扩展?如果系统架构是单节点的,并发量达到上限时只能换硬件,而不是加节点,扩展成本会很高。
与门禁系统和访客管理系统的打通
高端产业园区通常同时有门禁系统和访客管理系统(VMS)。访客来访时,在VMS里登记,生成二维码,用二维码过闸机。如果WiFi认证也能读取VMS里的访客信息,就不需要访客再次提交身份,扫一次码就完成了门禁+网络的双重认证,体验会好很多。
这种打通方案在高端园区里有落地案例,但成本不低。VMS和认证系统通常是不同供应商的产品,打通需要双方都开放接口,而且接口格式、权限模型都需要协调。如果两套系统不是同一个集成商交付的,接口联调的协调工作往往消耗大量时间。有时候最后落地的方案是一个手工的折中:前台在VMS里登记完访客后,手动在认证系统里再开一次账号。
数据主权和上云的问题
一些新型产业园区在建设时,选择了SaaS化的WiFi认证平台,认证数据和日志都存在云端。这个方案部署简单,运维成本低,但对数据主权有要求的企业(比如涉密企业、金融机构)会拒绝入驻,因为他们的员工上网记录不能存在他们不可控的云端。
WiFi网络实名认证系统的部署形式(本地服务器、私有云、公有云SaaS)需要在招商阶段就想清楚,因为这直接影响到能够引进什么类型的企业。选了纯SaaS方案的园区,后来因为要引进一家对数据合规有严格要求的企业,不得不花大量成本做架构改造,这种情况并不罕见。