注：本文所涉及的“任何設(shè)備”，指在學(xué)生正?；顒?dòng)的區(qū)域內(nèi)使用的設(shè)備。

一、山東大學(xué)威海校區(qū)校園網(wǎng)ipv4認(rèn)證原理

1、認(rèn)證系統(tǒng)介紹

?山大威海校區(qū)內(nèi)的校園網(wǎng)認(rèn)證頁(yè)面地址均為http://192.168.75.252/，使用的是srun software深瀾軟件開(kāi)發(fā)的收費(fèi)系統(tǒng)。校區(qū)內(nèi)任意設(shè)備首次接入校園網(wǎng)，會(huì)彈出該認(rèn)證頁(yè)面，手動(dòng)打開(kāi)其他任意網(wǎng)頁(yè)也均會(huì)被重定向到該頁(yè)面，除非經(jīng)過(guò)認(rèn)證之后才能正常使用。

校區(qū)的所有設(shè)備接入校園網(wǎng)的方式有兩種，一種是通過(guò)宿舍、教室、辦公室等預(yù)留的網(wǎng)口有線接入/無(wú)線路由無(wú)線接入，另一種是通過(guò)學(xué)校安裝的無(wú)線路由器接入（如下圖）。準(zhǔn)確的說(shuō)，這種設(shè)備功能是無(wú)線AP——WirelessAccessPoint，與路由器（router）有很大的區(qū)別

?2、ipv4+mac地址+學(xué)號(hào) 認(rèn)證系統(tǒng)的工作原理

雖然說(shuō)這是一套標(biāo)準(zhǔn)的認(rèn)證收費(fèi)系統(tǒng)，然而在校區(qū)內(nèi)，學(xué)校并沒(méi)有收費(fèi)，僅保留了接入認(rèn)證的功能。

該認(rèn)證系統(tǒng)的目的：在校區(qū)的正?；顒?dòng)范圍內(nèi)使用校園網(wǎng)的任何一臺(tái)設(shè)備，均需要通過(guò)學(xué)號(hào)認(rèn)證，無(wú)論教工還是學(xué)生。某些特殊區(qū)域受其他系統(tǒng)管理，如機(jī)房，店鋪，辦公室等。這樣可以保證校外人員的設(shè)備無(wú)法隨便接入校園網(wǎng)。

（1）IPv4地址分配

任何一臺(tái)設(shè)備在接入校園網(wǎng)以后，上層網(wǎng)絡(luò)通過(guò)dhcp服務(wù)器直接分配給該設(shè)備一個(gè)子網(wǎng)ipv4地址。

上面是學(xué)5號(hào)樓一層的ip情況。

左圖是手機(jī)接入宿舍里的無(wú)線AP后，校園網(wǎng)分配的ip地址，是172打頭的局域網(wǎng)。（局域網(wǎng)段有三個(gè)，分別是10.0.0.0/8 ?172.16.0.0/12 ?192.168.0.0/16）該網(wǎng)段有16位掩碼，可為6萬(wàn)臺(tái)以上設(shè)備分配ip。?經(jīng)http://myip.ipip.net/測(cè)試為聯(lián)通網(wǎng)絡(luò)。?

右圖是通過(guò)有線連接宿舍的預(yù)留網(wǎng)口獲取的ip地址，是5號(hào)樓1層網(wǎng)絡(luò)機(jī)房分配的地址。該網(wǎng)段是10開(kāi)頭的局域網(wǎng)，使用了17位的子網(wǎng)掩碼。由本機(jī)ip 10.152.127.254可推出網(wǎng)絡(luò)號(hào)第17位是二進(jìn)制0。同樣經(jīng)myip.ipip.net測(cè)試為移動(dòng)運(yùn)營(yíng)商。

?校園網(wǎng)接入的上層運(yùn)營(yíng)商可能會(huì)變化，受路由表的影響。也就是說(shuō)，校園網(wǎng)使用的是教育網(wǎng)cernet，而在訪問(wèn)教育網(wǎng)以外的ip時(shí)，在校區(qū)的出口節(jié)點(diǎn)就會(huì)轉(zhuǎn)到其他ISP的網(wǎng)絡(luò)中去。比如，我用宿舍內(nèi)的有線網(wǎng)訪問(wèn)我的阿里云服務(wù)器，會(huì)轉(zhuǎn)入聯(lián)通的骨干網(wǎng)AS4837（AS，autonomous system，自治系統(tǒng)），再轉(zhuǎn)入其他AS網(wǎng)絡(luò)中，最終轉(zhuǎn)發(fā)到目的ip。

（2）ipv4+mac+學(xué)號(hào)認(rèn)證機(jī)制

ipv4地址的分配，是在全天24小時(shí)進(jìn)行的。當(dāng)設(shè)備有了ipv4地址以后，設(shè)備會(huì)彈窗跳轉(zhuǎn)到認(rèn)證地址192.168.75.252。如果沒(méi)有彈窗，那么所有網(wǎng)頁(yè)會(huì)被重定向到該頁(yè)面。

?首先，認(rèn)證系統(tǒng)會(huì)對(duì)發(fā)來(lái)的數(shù)據(jù)包分析，判斷該mac地址是否已經(jīng)登記在了某個(gè)學(xué)號(hào)的無(wú)感知認(rèn)證列表中。

注意，這里的mac地址可能會(huì)經(jīng)過(guò)路由器轉(zhuǎn)換。經(jīng)過(guò)路由器轉(zhuǎn)換后，路由器下層的子網(wǎng)設(shè)備mac地址都會(huì)被替換成路由器中設(shè)置的mac地址。

?

如果該mac地址沒(méi)有記錄，那就記錄到無(wú)感知認(rèn)證系統(tǒng)中，并把收到的數(shù)據(jù)包ip地址登記為在線。如果該mac地址有記錄，說(shuō)明之前已經(jīng)認(rèn)證過(guò)了。那就判斷該ip地址是否過(guò)期，如果過(guò)期那就重新分配，并把過(guò)期的ip地址清除掉；如果沒(méi)有過(guò)期，那就把該ip加入在線列表。

一個(gè)學(xué)號(hào)最多只可以同時(shí)在線3個(gè)ip。當(dāng)已經(jīng)記錄了3個(gè)ip之后，就不能再添加ip了。此時(shí)，只能使用已經(jīng)經(jīng)過(guò)無(wú)感知認(rèn)證的mac地址，登錄該頁(yè)面，下線幾個(gè)ip地址才能添加新的ip。

（3）客戶端認(rèn)證流程

客戶端的認(rèn)證一般有兩種情況，一種是直接通過(guò)無(wú)線網(wǎng)連接校園網(wǎng)的無(wú)線AP；另一種是通過(guò)路由器有線接入網(wǎng)口，包括宿舍預(yù)留的有線網(wǎng)網(wǎng)口，校園網(wǎng)sdu_net無(wú)線AP下面的網(wǎng)口。

先說(shuō)第一種，直接通過(guò)無(wú)線網(wǎng)連接sdu_net。這樣連接的設(shè)備，校園網(wǎng)會(huì)分配獨(dú)立的ip，然后記錄該設(shè)備的mac地址。所有這樣直接連接sdu_net的設(shè)備，都得各自認(rèn)證各自的mac地址。每一天晚上，所有賬戶的在線ip都會(huì)強(qiáng)制下線，第二天重新分配ip地址，重新認(rèn)證。

然后是第二種，通過(guò)路由器有線連接上層網(wǎng)口。路由器本身可以被分配ip地址，也有自己的mac地址。每一天，最先連接這個(gè)路由器的設(shè)備，無(wú)論是有線還是無(wú)線，會(huì)跳轉(zhuǎn)到認(rèn)證頁(yè)面。使用某個(gè)學(xué)號(hào)認(rèn)證之后，這臺(tái)路由器就被認(rèn)證在線了，之后該路由器下的所有子網(wǎng)設(shè)備，發(fā)送的數(shù)據(jù)包，經(jīng)過(guò)該路由器之后，源ip地址和mac地址會(huì)被轉(zhuǎn)換成該路由器的ip地址和mac地址。從網(wǎng)絡(luò)層來(lái)看，相當(dāng)于這個(gè)路由器在代替子網(wǎng)的設(shè)備發(fā)送數(shù)據(jù)包。子網(wǎng)中不同ip的設(shè)備的不同數(shù)據(jù)包，會(huì)轉(zhuǎn)換成路由器的ip+一個(gè)隨機(jī)端口。這也就是nat服務(wù)器的工作原理。

認(rèn)證之后，連接該路由器的所有設(shè)備都不用再進(jìn)行認(rèn)證即可直接上網(wǎng)。

二、校園網(wǎng)ipv6地址分配原理，還有限制認(rèn)證的機(jī)制

ps:根據(jù)已有的信息，這個(gè)限制在5,6號(hào)樓都有，其他宿舍，專業(yè)和年級(jí)不了解是否有限制。

1、IPv6技術(shù)的介紹

（1）ipv6引入

經(jīng)過(guò)測(cè)試，校園網(wǎng)已經(jīng)支持分配教育網(wǎng)ipv6地址。ipv6地址的獲取和不同的操作系統(tǒng)有關(guān)，目前，win10/11系統(tǒng)支持slaac和dhcpv6獲取ipv6地址，而ios、linux、mac os 均不支持dhcpv6功能。校園網(wǎng)中，sdu_net是slaac方式分發(fā)ipv6地址，而宿舍內(nèi)的有線網(wǎng)是dhcpv6的方式。

在宿舍的測(cè)試結(jié)果支持以上結(jié)論。宿舍內(nèi)的win10/win11 pc連接sdu_net和有線網(wǎng)，都可以獲取到ipv6地址，ios設(shè)備和android設(shè)備兩個(gè)網(wǎng)絡(luò)都不能獲取。mac os設(shè)備連接sdu_net可以獲得ipv6地址，而有線網(wǎng)不能獲取。

關(guān)于ipv6的分配機(jī)制，下面兩篇文章講的非常詳細(xì)。

IPv6系列-詳解自動(dòng)分配IPv6地址 - 知乎

為了讓后面出現(xiàn)的關(guān)于ipv6的一些概念容易理解，下面簡(jiǎn)單介紹一下ipv6。

關(guān)于ipv6的基礎(chǔ)知識(shí)，相信大家已經(jīng)在計(jì)網(wǎng)的教材中有所了解。比如，一共128位比特位，記法是冒號(hào)16進(jìn)制，一共8個(gè)段，每段4個(gè)16進(jìn)制數(shù)字。如：aaaa:bbbb:cccc:dddd:1111:2222:3333:4444。還有就是ipv6號(hào)稱可以讓世界上每一粒沙子都可以有一個(gè)地址。

ipv6的厲害之處不僅僅在于地址空間的廣泛，更在于在劃分子網(wǎng)的功能上實(shí)現(xiàn)了創(chuàng)新。使用ipv6協(xié)議，路由器不需要使用nat地址轉(zhuǎn)換，拿到上層的網(wǎng)絡(luò)前綴之后，直接在原有的地址中繼續(xù)往下分即可。

（2）系統(tǒng)中可以獲取的ipv6 地址

此外還有一個(gè)ipv6網(wǎng)關(guān)地址。這個(gè)一般是和ipv6 dns服務(wù)器同時(shí)獲取的，這里沒(méi)獲取上。

（3）各個(gè)地址的作用和分配方式：

本地鏈接ipv6地址：系統(tǒng)自動(dòng)生成，結(jié)合本機(jī)mac地址+偽隨機(jī)生成，可以在局域網(wǎng)中唯一標(biāo)識(shí)某一個(gè)設(shè)備。用該地址作為目標(biāo)地址/源地址，路由器不會(huì)轉(zhuǎn)發(fā)數(shù)據(jù)包，因此只能在同一個(gè)路由器范圍內(nèi)使用。

ipv6地址：就是全球唯一的公網(wǎng)地址。可以手動(dòng)設(shè)置，但大多數(shù)是由上級(jí)分配。ipv6地址分配的方式有兩種，一種叫做DHCPv6，另一種是slaac，Stateless address autoconfiguration無(wú)狀態(tài)地址自動(dòng)配置。

兩者的區(qū)別簡(jiǎn)單來(lái)說(shuō)就是，DHCPv6和DHCP類似，在路由器處開(kāi)啟一個(gè)服務(wù)器，來(lái)維護(hù)子網(wǎng)段的設(shè)備和相應(yīng)的ip地址。而slaac沒(méi)有管理，由子網(wǎng)段的設(shè)備向鄰居設(shè)備和路由器相互發(fā)送特定的數(shù)據(jù)包（rs，ra）來(lái)請(qǐng)求和分發(fā)地址，同時(shí)他們還要自己檢測(cè)地址是否有沖突。

注意，DHCPv6獲取ip地址也是通過(guò)RA,RS包來(lái)通信的?？梢詤⒄丈厦娴牧鞒虉D。

ipv6 dns服務(wù)器地址 + ipv6 網(wǎng)關(guān)：可以通過(guò)DHCPv6或者stateless DHCPv6兩種方式獲取。這個(gè)和ip地址的獲取是分別管理的。

??一臺(tái)部署了ipv6協(xié)議的設(shè)備，其工作流程都可以由下面這個(gè)圖解釋。（看不懂也不要緊，和它的關(guān)系不大）

2、山威校區(qū)ipv6分配機(jī)制

學(xué)校內(nèi)的ipv6分配機(jī)制是比較特殊的，是DHCP+mac地址生成ipv6地址。

經(jīng)過(guò)測(cè)試，在宿舍內(nèi)用一臺(tái)win11的pc，使用同一個(gè)wlan網(wǎng)卡，連接sdu_net和路由器橋接機(jī)房的無(wú)線網(wǎng)，獲取到的ipv6地址是一樣的。而同一臺(tái)電腦，在宿舍和教室連接sdu_net得到的ipv6地址，卻是不一樣的。推測(cè)是上層子網(wǎng)的前綴不同。

同時(shí)，學(xué)校內(nèi)的教育網(wǎng)ipv6沒(méi)有開(kāi)啟前綴授權(quán)，即獲取到ipv6地址的路由器，繼續(xù)劃分子網(wǎng)，再通過(guò)DHCPv6或者slaac往下分配的ipv6地址，上層是不認(rèn)可的。

因此，所有設(shè)備的ipv6地址均由校園網(wǎng)的路由器統(tǒng)一管理，一個(gè)mac地址的接口（wlan，以太網(wǎng)）在一定范圍內(nèi)只能獲取到同樣的ipv6地址。

3、校園網(wǎng)ipv6和限制認(rèn)證的關(guān)系

經(jīng)過(guò)測(cè)試，繞過(guò)晚上校園網(wǎng)限制認(rèn)證的方法就是：使用有ipv6地址的設(shè)備，在限制認(rèn)證之后，訪問(wèn)認(rèn)證界面并進(jìn)行認(rèn)證，能正常登記，不會(huì)彈窗。認(rèn)證系統(tǒng)中會(huì)記錄下現(xiàn)在的ipv4地址。此臺(tái)設(shè)備經(jīng)過(guò)登記之后，后面即使關(guān)閉ipv6的功能，到認(rèn)證界面注銷登錄并再次認(rèn)證，仍然可以再次登錄。

但是如果到自助服務(wù)中下線剛剛認(rèn)證的設(shè)備和mac地址，那么再認(rèn)證就不會(huì)成功，提示“沒(méi)有合適的控制策略”。

4、校園網(wǎng)獲取ipv6地址并繞過(guò)認(rèn)證限制的具體方法

如果需要在晚上繞過(guò)認(rèn)證限制，那么就需要讓設(shè)備獲取到ipv6地址。由于校園無(wú)線網(wǎng)sdu_net斷電之后就不工作了，因此只能通過(guò)宿舍的預(yù)留網(wǎng)口來(lái)實(shí)現(xiàn)。剩下的工作就是路由器的設(shè)置問(wèn)題了。

不同的路由器固件的設(shè)置方法不同，我以宿舍的一臺(tái)tl-war1200l企業(yè)級(jí)路由器為例來(lái)介紹。

（1）第一種模式是把路由器當(dāng)成一個(gè)ipv6節(jié)點(diǎn)。

正常打開(kāi)路由器的ipv6功能，獲取ipv6的方式是dhcpv6，這樣可以直接獲取到ipv6的地址和網(wǎng)關(guān)地址。這樣設(shè)置以后，晚上0點(diǎn)之后，任何一臺(tái)設(shè)備連接該路由器，再進(jìn)入認(rèn)證頁(yè)面，都可以認(rèn)證成功，不再受認(rèn)證限制，正常上網(wǎng)。

根據(jù)ipv6的網(wǎng)絡(luò)特點(diǎn)，校園網(wǎng)的ipv6沒(méi)有開(kāi)啟前綴授權(quán)，因此在此路由器子網(wǎng)范圍內(nèi)的所有主機(jī)，均無(wú)法獲得ipv6地址。整個(gè)子網(wǎng)的所有數(shù)據(jù)包仍在使用ipv4進(jìn)行nat轉(zhuǎn)換。只是利用路由器的mac地址獲得一個(gè)ipv6地址，并且繞過(guò)認(rèn)證限制。

（2）另外一種模式是使用橋接模式。

相當(dāng)于把路由器當(dāng)成一個(gè)ap來(lái)用，這樣每一臺(tái)連接路由器的設(shè)備都能可以直連機(jī)房的網(wǎng)絡(luò)，并且分配一個(gè)獨(dú)立的公網(wǎng)ipv6地址，可以同時(shí)使用ipv4和ipv6上網(wǎng)。然后每個(gè)設(shè)備也都能繞過(guò)認(rèn)證的限制。但這樣有一個(gè)問(wèn)題就是android和蘋果系的設(shè)備無(wú)法獲取ipv6地址，0點(diǎn)以后還是無(wú)法獲取認(rèn)證。

三、宿舍雙路由器組網(wǎng)

由于宿舍中正好有一個(gè)刷了老毛子固件的紅米路由器和tplink企業(yè)級(jí)路由器，因此正好可以用它們來(lái)實(shí)現(xiàn)ipv6組網(wǎng)。

企業(yè)級(jí)的路由器不支持ipv4的橋接，只有ipv6橋接。而老毛子的固件支持ap模式，也就是ipv4和ipv6都橋接。所以就用老毛子固件的路由器有線連接宿舍的網(wǎng)口，做一個(gè)無(wú)線ap，或者叫做無(wú)線交換機(jī)。然后再用tplink有線連接老毛子，做下層子網(wǎng)的nat服務(wù)器。

這樣，連接老毛子無(wú)線網(wǎng)的設(shè)備，在全天任何時(shí)候都可以通過(guò)上網(wǎng)認(rèn)證，相當(dāng)于直連機(jī)房。并且還可以獲取到公網(wǎng)ipv6地址。但是只支持自帶dhcpv6功能的設(shè)備，目前測(cè)試只有win10/11可以，安卓、蘋果手機(jī)、蘋果電腦、ps4/5、psv、switch都不行。

而tplink的無(wú)線網(wǎng)，所有系統(tǒng)的設(shè)備也都可以全天連接上網(wǎng)，并且每天只用一個(gè)賬號(hào)認(rèn)證一次即可，后續(xù)設(shè)備都不用再認(rèn)證。同時(shí)tplink路由器可以獲取到ipv6地址，但也沒(méi)有任何用，因?yàn)闆](méi)有前綴授權(quán)，下層子網(wǎng)是獲取不到ipv6地址的。

這樣，宿舍的的路由器總共可以支持6臺(tái)pc有線直連機(jī)房的千兆網(wǎng)絡(luò)，兩個(gè)wifi可以全天通過(guò)上網(wǎng)認(rèn)證，一個(gè)wifi可以獲取到公網(wǎng)ipv6地址（只要設(shè)備支持）。有了公網(wǎng)ip的加持，再買一個(gè)域名，本地做一個(gè)ddns，那么就可以搭建本地服務(wù)器了，其他設(shè)備可以使用ipv6網(wǎng)絡(luò)進(jìn)行全球直連。

另外，附注一下，當(dāng)win10/win11能獲取到ipv6公網(wǎng)ip以后，訪問(wèn)網(wǎng)頁(yè)會(huì)默認(rèn)ipv6優(yōu)先，連dns也會(huì)默認(rèn)走ipv6。所以最好是改一下設(shè)置，讓windows系統(tǒng)默認(rèn)ipv4優(yōu)先。下面是修改的方法。

在ipv6環(huán)境下優(yōu)先使用ipv4:_ipv6 訪問(wèn)優(yōu)先_Janus_V的博客-CSDN博客

最后，附一張itdog網(wǎng)站ping本機(jī)ipv6的連通性測(cè)試結(jié)果圖。雖然沒(méi)什么用，也算是給最近對(duì)ipv6網(wǎng)絡(luò)的學(xué)習(xí)畫(huà)一個(gè)句號(hào)吧。

總結(jié)

以上是生活随笔為你收集整理的一次简单的计网实践——浅谈校园网认证原理、ipv6机制绕过认证限制、双路由器宿舍组网的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。