一次的计网实践——校园网认证原理、ipv6机制绕过认证限制、双路由器宿舍组网

注：本文所涉及的“任何设备”，指在学生正常活动的区域内使用的设备。

一、山东大学威海校区校园网ipv4认证原理

1、认证系统介绍

 山大威海校区内的校园网认证页面地址均为http://192.168.75.252/，使用的是srun software深澜软件开发的收费系统。校区内任意设备首次接入校园网，会弹出该认证页面，手动打开其他任意网页也均会被重定向到该页面，除非经过认证之后才能正常使用。

校区的所有设备接入校园网的方式有两种，一种是通过宿舍、教室、办公室等预留的网口有线接入/无线路由无线接入，另一种是通过学校安装的无线路由器接入（如下图）。准确的说，这种设备功能是无线AP——WirelessAccessPoint，与路由器（router）有很大的区别

 2、ipv4 mac地址 学号 认证系统的工作原理

虽然说这是一套标准的认证收费系统，然而在校区内，学校并没有收费，仅保留了接入认证的功能。

该认证系统的目的：在校区的正常活动范围内使用校园网的任何一台设备，均需要通过学号认证，无论教工还是学生。某些特殊区域受其他系统管理，如机房，店铺，办公室等。这样可以保证校外人员的设备无法随便接入校园网。

（1）IPv4地址分配

任何一台设备在接入校园网以后，上层网络通过dhcp服务器直接分配给该设备一个子网ipv4地址。

上面是学5号楼一层的ip情况。

左图是手机接入宿舍里的无线AP后，校园网分配的ip地址，是172打头的局域网。（局域网段有三个，分别是10.0.0.0/8  172.16.0.0/12  192.168.0.0/16）该网段有16位掩码，可为6万台以上设备分配ip。 经http://myip.ipip.net/测试为联通网络。 

右图是通过有线连接宿舍的预留网口获取的ip地址，是5号楼1层网络机房分配的地址。该网段是10开头的局域网，使用了17位的子网掩码。由本机ip 10.152.127.254可推出网络号第17位是二进制0。同样经myip.ipip.net测试为移动运营商。

 校园网接入的上层运营商可能会变化，受路由表的影响。也就是说，校园网使用的是教育网cernet，而在访问教育网以外的ip时，在校区的出口节点就会转到其他ISP的网络中去。比如，我用宿舍内的有线网访问我的阿里云服务器，会转入联通的骨干网AS4837（AS，autonomous system，自治系统），再转入其他AS网络中，最终转发到目的ip。

（2）ipv4 mac 学号认证机制

ipv4地址的分配，是在全天24小时进行的。当设备有了ipv4地址以后，设备会弹窗跳转到认证地址192.168.75.252。如果没有弹窗，那么所有网页会被重定向到该页面。

 首先，认证系统会对发来的数据包分析，判断该mac地址是否已经登记在了某个学号的无感知认证列表中。

注意，这里的mac地址可能会经过路由器转换。经过路由器转换后，路由器下层的子网设备mac地址都会被替换成路由器中设置的mac地址。

 

如果该mac地址没有记录，那就记录到无感知认证系统中，并把收到的数据包ip地址登记为在线。如果该mac地址有记录，说明之前已经认证过了。那就判断该ip地址是否过期，如果过期那就重新分配，并把过期的ip地址清除掉；如果没有过期，那就把该ip加入在线列表。

一个学号最多只可以同时在线3个ip。当已经记录了3个ip之后，就不能再添加ip了。此时，只能使用已经经过无感知认证的mac地址，登录该页面，下线几个ip地址才能添加新的ip。

（3）客户端认证流程

客户端的认证一般有两种情况，一种是直接通过无线网连接校园网的无线AP；另一种是通过路由器有线接入网口，包括宿舍预留的有线网网口，校园网sdu_net无线AP下面的网口。

先说第一种，直接通过无线网连接sdu_net。这样连接的设备，校园网会分配独立的ip，然后记录该设备的mac地址。所有这样直接连接sdu_net的设备，都得各自认证各自的mac地址。每一天晚上，所有账户的在线ip都会强制下线，第二天重新分配ip地址，重新认证。

然后是第二种，通过路由器有线连接上层网口。路由器本身可以被分配ip地址，也有自己的mac地址。每一天，最先连接这个路由器的设备，无论是有线还是无线，会跳转到认证页面。使用某个学号认证之后，这台路由器就被认证在线了，之后该路由器下的所有子网设备，发送的数据包，经过该路由器之后，源ip地址和mac地址会被转换成该路由器的ip地址和mac地址。从网络层来看，相当于这个路由器在代替子网的设备发送数据包。子网中不同ip的设备的不同数据包，会转换成路由器的ip 一个随机端口。这也就是nat服务器的工作原理。

认证之后，连接该路由器的所有设备都不用再进行认证即可直接上网。

二、校园网ipv6地址分配原理，还有限制认证的机制

ps:根据已有的信息，这个限制在5,6号楼都有，其他宿舍，专业和年级不了解是否有限制。

1、IPv6技术的介绍

（1）ipv6引入

经过测试，校园网已经支持分配教育网ipv6地址。ipv6地址的获取和不同的操作系统有关，目前，win10/11系统支持slaac和dhcpv6获取ipv6地址，而ios、linux、mac os 均不支持dhcpv6功能。校园网中，sdu_net是slaac方式分发ipv6地址，而宿舍内的有线网是dhcpv6的方式。

在宿舍的测试结果支持以上结论。宿舍内的win10/win11 pc连接sdu_net和有线网，都可以获取到ipv6地址，ios设备和android设备两个网络都不能获取。mac os设备连接sdu_net可以获得ipv6地址，而有线网不能获取。

关于ipv6的分配机制，下面两篇文章讲的非常详细。

IPv6系列-详解自动分配IPv6地址 - 知乎

为了让后面出现的关于ipv6的一些概念容易理解，下面简单介绍一下ipv6。

关于ipv6的基础知识，相信大家已经在计网的教材中有所了解。比如，一共128位比特位，记法是冒号16进制，一共8个段，每段4个16进制数字。如：aaaa:bbbb:cccc:dddd:1111:2222:3333:4444。还有就是ipv6号称可以让世界上每一粒沙子都可以有一个地址。

ipv6的厉害之处不仅仅在于地址空间的广泛，更在于在划分子网的功能上实现了创新。使用ipv6协议，路由器不需要使用nat地址转换，拿到上层的网络前缀之后，直接在原有的地址中继续往下分即可。

（2）系统中可以获取的ipv6 地址

此外还有一个ipv6网关地址。这个一般是和ipv6 dns服务器同时获取的，这里没获取上。

（3）各个地址的作用和分配方式：

本地链接ipv6地址：系统自动生成，结合本机mac地址 伪随机生成，可以在局域网中唯一标识某一个设备。用该地址作为目标地址/源地址，路由器不会转发数据包，因此只能在同一个路由器范围内使用。

ipv6地址：就是全球唯一的公网地址。可以手动设置，但大多数是由上级分配。ipv6地址分配的方式有两种，一种叫做DHCPv6，另一种是slaac，Stateless address autoconfiguration无状态地址自动配置。

两者的区别简单来说就是，DHCPv6和DHCP类似，在路由器处开启一个服务器，来维护子网段的设备和相应的ip地址。而slaac没有管理，由子网段的设备向邻居设备和路由器相互发送特定的数据包（rs，ra）来请求和分发地址，同时他们还要自己检测地址是否有冲突。

注意，DHCPv6获取ip地址也是通过RA,RS包来通信的。可以参照上面的流程图。

ipv6 dns服务器地址 ipv6 网关：可以通过DHCPv6或者stateless DHCPv6两种方式获取。这个和ip地址的获取是分别管理的。

  一台部署了ipv6协议的设备，其工作流程都可以由下面这个图解释。（看不懂也不要紧，和它的关系不大）

2、山威校区ipv6分配机制

学校内的ipv6分配机制是比较特殊的，是DHCP mac地址生成ipv6地址。

经过测试，在宿舍内用一台win11的pc，使用同一个wlan网卡，连接sdu_net和路由器桥接机房的无线网，获取到的ipv6地址是一样的。而同一台电脑，在宿舍和教室连接sdu_net得到的ipv6地址，却是不一样的。推测是上层子网的前缀不同。

同时，学校内的教育网ipv6没有开启前缀授权，即获取到ipv6地址的路由器，继续划分子网，再通过DHCPv6或者slaac往下分配的ipv6地址，上层是不认可的。

因此，所有设备的ipv6地址均由校园网的路由器统一管理，一个mac地址的接口（wlan，以太网）在一定范围内只能获取到同样的ipv6地址。

3、校园网ipv6和限制认证的关系

经过测试，绕过晚上校园网限制认证的方法就是：使用有ipv6地址的设备，在限制认证之后，访问认证界面并进行认证，能正常登记，不会弹窗。认证系统中会记录下现在的ipv4地址。此台设备经过登记之后，后面即使关闭ipv6的功能，到认证界面注销登录并再次认证，仍然可以再次登录。

但是如果到自助服务中下线刚刚认证的设备和mac地址，那么再认证就不会成功，提示“没有合适的控制策略”。

4、校园网获取ipv6地址并绕过认证限制的具体方法

如果需要在晚上绕过认证限制，那么就需要让设备获取到ipv6地址。由于校园无线网sdu_net断电之后就不工作了，因此只能通过宿舍的预留网口来实现。剩下的工作就是路由器的设置问题了。

不同的路由器固件的设置方法不同，我以宿舍的一台tl-war1200l企业级路由器为例来介绍。

（1）第一种模式是把路由器当成一个ipv6节点。

正常打开路由器的ipv6功能，获取ipv6的方式是dhcpv6，这样可以直接获取到ipv6的地址和网关地址。这样设置以后，晚上0点之后，任何一台设备连接该路由器，再进入认证页面，都可以认证成功，不再受认证限制，正常上网。

根据ipv6的网络特点，校园网的ipv6没有开启前缀授权，因此在此路由器子网范围内的所有主机，均无法获得ipv6地址。整个子网的所有数据包仍在使用ipv4进行nat转换。只是利用路由器的mac地址获得一个ipv6地址，并且绕过认证限制。

（2）另外一种模式是使用桥接模式。

相当于把路由器当成一个ap来用，这样每一台连接路由器的设备都能可以直连机房的网络，并且分配一个独立的公网ipv6地址，可以同时使用ipv4和ipv6上网。然后每个设备也都能绕过认证的限制。但这样有一个问题就是android和苹果系的设备无法获取ipv6地址，0点以后还是无法获取认证。

三、宿舍双路由器组网

由于宿舍中正好有一个刷了老毛子固件的红米路由器和tplink企业级路由器，因此正好可以用它们来实现ipv6组网。

企业级的路由器不支持ipv4的桥接，只有ipv6桥接。而老毛子的固件支持ap模式，也就是ipv4和ipv6都桥接。所以就用老毛子固件的路由器有线连接宿舍的网口，做一个无线ap，或者叫做无线交换机。然后再用tplink有线连接老毛子，做下层子网的nat服务器。

这样，连接老毛子无线网的设备，在全天任何时候都可以通过上网认证，相当于直连机房。并且还可以获取到公网ipv6地址。但是只支持自带dhcpv6功能的设备，目前测试只有win10/11可以，安卓、苹果手机、苹果电脑、ps4/5、psv、switch都不行。

而tplink的无线网，所有系统的设备也都可以全天连接上网，并且每天只用一个账号认证一次即可，后续设备都不用再认证。同时tplink路由器可以获取到ipv6地址，但也没有任何用，因为没有前缀授权，下层子网是获取不到ipv6地址的。

这样，宿舍的的路由器总共可以支持6台pc有线直连机房的千兆网络，两个wifi可以全天通过上网认证，一个wifi可以获取到公网ipv6地址（只要设备支持）。有了公网ip的加持，再买一个域名，本地做一个ddns，那么就可以搭建本地服务器了，其他设备可以使用ipv6网络进行全球直连。

另外，附注一下，当win10/win11能获取到ipv6公网ip以后，访问网页会默认ipv6优先，连dns也会默认走ipv6。所以最好是改一下设置，让windows系统默认ipv4优先。下面是修改的方法。

最后，附一张itdog网站ping本机ipv6的连通性测试结果图。虽然没什么用，也算是给最近对ipv6网络的学习画一个句号吧。

这篇好文章是转载于：学新通技术网