基于微分段与组标记的安全校园网的设计.pdf

软件开发

基于微分段与组标记的安全校园网的设计

段红秀，汤铭

（南京传媒学院，江苏南京，210000）

基金项目：教育部高等教育司2021年产学合作协同育人项目，项目编号：202101335033。

摘要：校园网络覆盖校园办公楼栋、学生宿舍和公共场所等，接入包括有线和无线两种形式，给学校教学、科研、管理、服务等各项活动

提供了极大便利。本设计方案使用微分段与组标记技术为多角色的校园网络提供一种安全解决方案。该方案通过建立可信任的网络设备域

来建立安全网络，可以对任何时间、任何地点、任何人员（教师、学生、职工等角色）进行基于身份的访问控制，保护他们的网络和服

务，还可以有效监测学生上网行为。

关键词：安全组标记；微分段；安全访问；控制策略

0引言行。如图1中需要有专门用于LAN连接的安全策略服务器，

用于WLAN接入的安全策略服务器，和使用VPN访问的安

传统校园网络覆盖校园办公区域、教学区域、学生宿舍

全策略服务器等。这种解决方案无法提供和管理一致性访问

和公共场所等，接入方式包括有线和无线接入，给学校科研、

策略，另外访问需经过不同机制的认证和控制筛选，用户的

教学、管理、服务等各项活动提供了极大便利，成为学校重

访问效率较低。

要的信息基础设施、互联网研究平台和人才培养基地，为学

校发展及专业建设提供了重要支撑。1国内外研究现状

随着互联网应用的全面普及和向局域网的渗透，现在公随着校园网络建设的加快,当前校园网络安全工作越来

用网络与专用网络边界已变得日益模糊。无边界网络的开放越重要,校园网用户的管理和网络设备的运维逐渐朝着高效

网络带来了网络上新的安全需求，使用校园网的角色众多，化、智能化、精细化的方向发展。随着校园网用户的增多，

教师、学生、辅导员、职工、临时用户等都需要访问校园网络，校园网规模不断扩大，日常运维中常见以下问题：①需要获

访问设备多样，台式机、笔记本电脑、电话、无线访问点和取用户类型、接入位置、接入方式等信息，以便对网络流量

打印机也需要对用户进行控制访问。在现有的安全解决方案进行设置和优化；②网络设备在运行中出现在线用户不一

中，定义不同区域的策略授权需要根据各个独立区域特性进致问题；③校园网账号开放移动端和PC端登录，用户账号

存在外借情况；④辅导员老师

多种类型用户

需要根据学生近期网络使用情

多种类型况，