注:本文所涉及的“任何设备”,指在学生正常活动的区域内使用的设备。

一、山东大学威海校区校园网ipv4认证原理

1、认证系统介绍

山大威海校区内的校园网认证页面地址均为http://192.168.75.252/,使用的是srun software深澜软件开发的收费系统。校区内任意设备首次接入校园网,会弹出该认证页面,手动打开其他任意网页也均会被重定向到该页面,除非经过认证之后才能正常使用。

校区的所有设备接入校园网的方式有两种,一种是通过宿舍、教室、办公室等预留的网口有线接入/无线路由无线接入,另一种是通过学校安装的无线路由器接入(如下图)。准确的说,这种设备功能是无线AP——WirelessAccessPoint,与路由器(router)有很大的区别

2、ipv4+mac地址+学号 认证系统的工作原理

虽然说这是一套标准的认证收费系统,然而在校区内,学校并没有收费,仅保留了接入认证的功能。

该认证系统的目的:在校区的正常活动范围内使用校园网的任何一台设备,均需要通过学号认证,无论教工还是学生。某些特殊区域受其他系统管理,如机房,店铺,办公室等。这样可以保证校外人员的设备无法随便接入校园网

(1)IPv4地址分配

任何一台设备在接入校园网以后,上层网络通过dhcp服务器直接分配给该设备一个子网ipv4地址。

上面是学5号楼一层的ip情况。

左图是手机接入宿舍里的无线AP后,校园网分配的ip地址,是172打头的局域网。(局域网段有三个,分别是10.0.0.0/8  172.16.0.0/12  192.168.0.0/16)该网段有16位掩码,可为6万台以上设备分配ip。 经http://myip.ipip.net/测试为联通网络。

右图是通过有线连接宿舍的预留网口获取的ip地址,是5号楼1层网络机房分配的地址。该网段是10开头的局域网,使用了17位的子网掩码。由本机ip 10.152.127.254可推出网络号第17位是二进制0。同样经myip.ipip.net测试为移动运营商。

校园网接入的上层运营商可能会变化,受路由表的影响。也就是说,校园网使用的是教育网cernet,而在访问教育网以外的ip时,在校区的出口节点就会转到其他ISP的网络中去。比如,我用宿舍内的有线网访问我的阿里云服务器,会转入联通的骨干网AS4837(AS,autonomous system,自治系统),再转入其他AS网络中,最终转发到目的ip。

(2)ipv4+mac+学号认证机制

ipv4地址的分配,是在全天24小时进行的。当设备有了ipv4地址以后,设备会弹窗跳转到认证地址192.168.75.252。如果没有弹窗,那么所有网页会被重定向到该页面。

首先,认证系统会对发来的数据包分析,判断该mac地址是否已经登记在了某个学号的无感知认证列表中。

注意,这里的mac地址可能会经过路由器转换。经过路由器转换后,路由器下层的子网设备mac地址都会被替换成路由器中设置的mac地址

如果该mac地址没有记录,那就记录到无感知认证系统中,并把收到的数据包ip地址登记为在线。如果该mac地址有记录,说明之前已经认证过了。那就判断该ip地址是否过期,如果过期那就重新分配,并把过期的ip地址清除掉;如果没有过期,那就把该ip加入在线列表。

一个学号最多只可以同时在线3个ip。当已经记录了3个ip之后,就不能再添加ip了。此时,只能使用已经经过无感知认证的mac地址,登录该页面,下线几个ip地址才能添加新的ip。

(3)客户端认证流程

客户端的认证一般有两种情况,一种是直接通过无线网连接校园网的无线AP;另一种是通过路由器有线接入网口,包括宿舍预留的有线网网口,校园网sdu_net无线AP下面的网口。

先说第一种,直接通过无线网连接sdu_net。这样连接的设备,校园网会分配独立的ip,然后记录该设备的mac地址。所有这样直接连接sdu_net的设备,都得各自认证各自的mac地址。每一天晚上,所有账户的在线ip都会强制下线,第二天重新分配ip地址,重新认证。

然后是第二种,通过路由器有线连接上层网口。路由器本身可以被分配ip地址,也有自己的mac地址。每一天,最先连接这个路由器的设备,无论是有线还是无线,会跳转到认证页面。使用某个学号认证之后,这台路由器就被认证在线了,之后该路由器下的所有子网设备,发送的数据包,经过该路由器之后,源ip地址和mac地址会被转换成该路由器的ip地址和mac地址。从网络层来看,相当于这个路由器在代替子网的设备发送数据包。子网中不同ip的设备的不同数据包,会转换成路由器的ip+一个随机端口。这也就是nat服务器的工作原理。

认证之后,连接该路由器的所有设备都不用再进行认证即可直接上网。

二、校园网ipv6地址分配原理,还有限制认证的机制

ps:根据已有的信息,这个限制在5,6号楼都有,其他宿舍,专业和年级不了解是否有限制。

1、IPv6技术的介绍

(1)ipv6引入

经过测试,校园网已经支持分配教育网ipv6地址。ipv6地址的获取和不同的操作系统有关,目前,win10/11系统支持slaac和dhcpv6获取ipv6地址,而ios、linux、mac os 均不支持dhcpv6功能。校园网中,sdu_net是slaac方式分发ipv6地址,而宿舍内的有线网是dhcpv6的方式。

在宿舍的测试结果支持以上结论。宿舍内的win10/win11 pc连接sdu_net和有线网,都可以获取到ipv6地址,ios设备和android设备两个网络都不能获取。mac os设备连接sdu_net可以获得ipv6地址,而有线网不能获取。

关于ipv6的分配机制,下面两篇文章讲的非常详细。

IPv6系列-详解自动分配IPv6地址 - 知乎

为了让后面出现的关于ipv6的一些概念容易理解,下面简单介绍一下ipv6。

关于ipv6的基础知识,相信大家已经在计网的教材中有所了解。比如,一共128位比特位,记法是冒号16进制,一共8个段,每段4个16进制数字。如:aaaa:bbbb:cccc:dddd:1111:2222:3333:4444。还有就是ipv6号称可以让世界上每一粒沙子都可以有一个地址。

ipv6的厉害之处不仅仅在于地址空间的广泛,更在于在划分子网的功能上实现了创新。使用ipv6协议,路由器不需要使用nat地址转换,拿到上层的网络前缀之后,直接在原有的地址中继续往下分即可。

(2)系统中可以获取的ipv6 地址

此外还有一个ipv6网关地址。这个一般是和ipv6 dns服务器同时获取的,这里没获取上。

(3)各个地址的作用和分配方式:

本地链接ipv6地址:系统自动生成,结合本机mac地址+伪随机生成,可以在局域网中唯一标识某一个设备。用该地址作为目标地址/源地址,路由器不会转发数据包,因此只能在同一个路由器范围内使用。

ipv6地址:就是全球唯一的公网地址。可以手动设置,但大多数是由上级分配。ipv6地址分配的方式有两种,一种叫做DHCPv6,另一种是slaac,Stateless address autoconfiguration无状态地址自动配置。

两者的区别简单来说就是,DHCPv6和DHCP类似,在路由器处开启一个服务器,来维护子网段的设备和相应的ip地址。而slaac没有管理,由子网段的设备向邻居设备和路由器相互发送特定的数据包(rs,ra)来请求和分发地址,同时他们还要自己检测地址是否有冲突。

注意,DHCPv6获取ip地址也是通过RA,RS包来通信的。可以参照上面的流程图。

ipv6 dns服务器地址 + ipv6 网关:可以通过DHCPv6或者stateless DHCPv6两种方式获取。这个和ip地址的获取是分别管理的。

一台部署了ipv6协议的设备,其工作流程都可以由下面这个图解释。(看不懂也不要紧,和它的关系不大)

2、山威校区ipv6分配机制

学校内的ipv6分配机制是比较特殊的,是DHCP+mac地址生成ipv6地址。

经过测试,在宿舍内用一台win11的pc,使用同一个wlan网卡,连接sdu_net和路由器桥接机房的无线网,获取到的ipv6地址是一样的。而同一台电脑,在宿舍和教室连接sdu_net得到的ipv6地址,却是不一样的。推测是上层子网的前缀不同。

同时,学校内的教育网ipv6没有开启前缀授权,即获取到ipv6地址的路由器,继续划分子网,再通过DHCPv6或者slaac往下分配的ipv6地址,上层是不认可的。

因此,所有设备的ipv6地址均由校园网的路由器统一管理,一个mac地址的接口(wlan,以太网)在一定范围内只能获取到同样的ipv6地址。

3、校园网ipv6和限制认证的关系

经过测试,绕过晚上校园网限制认证的方法就是:使用有ipv6地址的设备,在限制认证之后,访问认证界面并进行认证,能正常登记,不会弹窗。认证系统中会记录下现在的ipv4地址。此台设备经过登记之后,后面即使关闭ipv6的功能,到认证界面注销登录并再次认证,仍然可以再次登录。

但是如果到自助服务中下线刚刚认证的设备和mac地址,那么再认证就不会成功,提示“没有合适的控制策略”。

4、校园网获取ipv6地址并绕过认证限制的具体方法

如果需要在晚上绕过认证限制,那么就需要让设备获取到ipv6地址。由于校园无线网sdu_net断电之后就不工作了,因此只能通过宿舍的预留网口来实现。剩下的工作就是路由器的设置问题了。

不同的路由器固件的设置方法不同,我以宿舍的一台tl-war1200l企业级路由器为例来介绍。

(1)第一种模式是把路由器当成一个ipv6节点。

正常打开路由器的ipv6功能,获取ipv6的方式是dhcpv6,这样可以直接获取到ipv6的地址和网关地址。这样设置以后,晚上0点之后,任何一台设备连接该路由器,再进入认证页面,都可以认证成功,不再受认证限制,正常上网。

根据ipv6的网络特点,校园网的ipv6没有开启前缀授权,因此在此路由器子网范围内的所有主机,均无法获得ipv6地址。整个子网的所有数据包仍在使用ipv4进行nat转换。只是利用路由器的mac地址获得一个ipv6地址,并且绕过认证限制。

(2)另外一种模式是使用桥接模式。

相当于把路由器当成一个ap来用,这样每一台连接路由器的设备都能可以直连机房的网络,并且分配一个独立的公网ipv6地址,可以同时使用ipv4和ipv6上网。然后每个设备也都能绕过认证的限制。但这样有一个问题就是android和苹果系的设备无法获取ipv6地址,0点以后还是无法获取认证。

三、宿舍双路由器组网

由于宿舍中正好有一个刷了老毛子固件的红米路由器和tplink企业级路由器,因此正好可以用它们来实现ipv6组网。

企业级的路由器不支持ipv4的桥接,只有ipv6桥接。而老毛子的固件支持ap模式,也就是ipv4和ipv6都桥接。所以就用老毛子固件的路由器有线连接宿舍的网口,做一个无线ap,或者叫做无线交换机。然后再用tplink有线连接老毛子,做下层子网的nat服务器。

这样,连接老毛子无线网的设备,在全天任何时候都可以通过上网认证,相当于直连机房。并且还可以获取到公网ipv6地址。但是只支持自带dhcpv6功能的设备,目前测试只有win10/11可以,安卓、苹果手机、苹果电脑、ps4/5、psv、switch都不行。

而tplink的无线网,所有系统的设备也都可以全天连接上网,并且每天只用一个账号认证一次即可,后续设备都不用再认证。同时tplink路由器可以获取到ipv6地址,但也没有任何用,因为没有前缀授权,下层子网是获取不到ipv6地址的。

这样,宿舍的的路由器总共可以支持6台pc有线直连机房的千兆网络,两个wifi可以全天通过上网认证,一个wifi可以获取到公网ipv6地址(只要设备支持)。有了公网ip的加持,再买一个域名,本地做一个ddns,那么就可以搭建本地服务器了,其他设备可以使用ipv6网络进行全球直连。

另外,附注一下,当win10/win11能获取到ipv6公网ip以后,访问网页会默认ipv6优先,连dns也会默认走ipv6。所以最好是改一下设置,让windows系统默认ipv4优先。下面是修改的方法。

在ipv6环境下优先使用ipv4:_ipv6 访问优先_Janus_V的博客-CSDN博客

最后,附一张itdog网站ping本机ipv6的连通性测试结果图。虽然没什么用,也算是给最近对ipv6网络的学习画一个句号吧。

一次简单的计网实践——浅谈校园网认证原理、ipv6机制绕过认证限制、双路由器宿舍组网相关推荐

  1. 北邮计算机网络dns实验报告,北邮计网实践实验报告范文

    计算机网络技术是一门需要动手实践才能真正掌握知识的学科,多参加实践,多动手,可以学到更多知识.下面是爱汇网小编为大家整理的北邮计网实践实验报告范文,供大家阅读! 北邮计网实践实验报告范文篇1 开学第一 ...

  2. 浅谈会话劫持原理及实践

    <监视你的一举一动> ---浅谈会话劫持原理及实践 前言 通常,大家所说的入侵,都是针对一台主机,在获得管理员权限后,就很是得意:其实,真正的入侵是占领整个内部网络.针对内部网络的攻击方法 ...

  3. EOS入门(8)---浅谈EOS的DPOS共识机制

    EOS入门(8)---浅谈EOS的DPOS共识机制  光_武 关注 2018.03.17 14:13 字数 3873 阅读 1534评论 1喜欢 2 本文参考汤强公众号的一篇文章坐看邻国领袖打高尔夫球 ...

  4. 校园计算机网的功能,浅谈校园网的功能、建设与管理

    浅谈校园网的功能.建设与管理 浅谈校园网的功能.建设与管理 三明市第九中学 林孜成 摘要: 随着Internet大潮的到来,各所中小学也纷纷建立了校园网并接入Internet,但在建设和管理过程中,由 ...

  5. 浅谈SQL Server内部运行机制

    原文:浅谈SQL Server内部运行机制 对于已经很熟悉T-SQL的读者,或者对于较专业的DBA来说,逻辑的增删改查,或者较复杂的SQL语句,都是非常简单的,不存在任何挑战,不值得一提,那么,SQL ...

  6. 浅谈ASP.NET的内部机制(一)

    浅谈ASP.NET的内部机制(一) 前言:当一个Http请求发送给一个aspx页面时,服务器进行了哪些操作?又如何来解析这个请求?ASP.NET在接收请求后是怎么运行的,如怎么编译以及怎么样用托管的代 ...

  7. 浅谈“三层结构”原理与用意(转帖)

    浅谈"三层结构"原理与用意 序 在刚刚步入"多层结构"Web应用程序开发的时候,我阅读过几篇关于"asp.net三层结构开发"的文章.但其多 ...

  8. 浅谈Wi-Fi渗透--原理篇

    浅谈Wi-Fi渗透–原理篇 在这个手机比人多的移动时代,无线网络Wi-Fi遍布每个角落,殊不知隐藏其中的风云涌动 广义上无线网络应用类型如下,今天的文章就聚焦于 WLAN的一种无线局域网技术--Wi- ...

  9. 浅谈实时数据库系统原理及其应用

    浅谈实时数据库系统原理及其应用 孙俊彦   苏州大学计算机科学与技术学院 摘要: 现代的工程和时间关键型应用对数据库的实时性和对数据直接分析和处理的能力要求特别高,单纯的传统关系数据库已经不能满足需要 ...

最新文章

  1. MATLAB Simulink 做BP PID报错:Error :*** during flag=* call must be a real vector of length 3
  2. wxWidgets:wxRadioBox类用法
  3. 华为主题锁屏壁纸换不掉_华为手机总多出莫名的照片?那是因为这3个设置没关闭,赶紧自查...
  4. 实例16:python
  5. Vagrant (三) - 网络配置
  6. 流程代码中js报错,在javaScript或者jQuery中字符串比较没有equals()方法
  7. Docker学习总结(9)——Docker常用命令
  8. 升级系统服务器出错,win10更新失败80070002错误怎么办
  9. linux 网络内核 ko文件,编译内核模块 .ko文件缺少:mmzone.h bounds.h
  10. JS——offsetWidth与offsetLeft用法之无缝滚动
  11. 关于HAL.DLL文件丢失导致系统无法启动的问题
  12. 130242014066-王伟华-实验一
  13. android office转pdf插件,office另存为pdf插件下载
  14. 纸筒制作机器人_卡纸手工制作方法_机器人DIY制作教程图解
  15. 高考加油的c语言程序,2020祝高三高考加油的句子 高考加油一句话
  16. RandLA-Net Pytorch版本: module not found error: no module named ‘torch_points_ kernels. points_ cpu‘
  17. android立体3D效果_3D立体画,让你身临其境
  18. Excel,根据一列的子集进行筛选
  19. 【笔记】不一样的 双11 技术,阿里巴巴经济体云原生实践(上)
  20. 到客户现场进行项目开发流程

热门文章

  1. dedecms入门教程
  2. “短信轰炸”克星 ,“无感”AI立体防御完美解决方案
  3. 【English】一月英语
  4. Python || 啤酒鱼与尿布
  5. 档案数字化中OCR的运用
  6. C++访问MYSQL数据库
  7. 第一次连接服务器要求修改密码--XShell Changing password for root. (current) UNIX password
  8. 【电商】订单拆单的流程中,系统需要做哪些工作?
  9. java web课程设计(简单商城的前后端双系统,基于maven三模块开发)
  10. win10自带邮箱发件箱为空