注:本文所涉及的“任何设备”,指在学生正常活动的区域内使用的设备。
一、山东大学威海校区校园网ipv4认证原理
1、认证系统介绍
山大威海校区内的校园网认证页面地址均为http://192.168.75.252/,使用的是srun software深澜软件开发的收费系统。校区内任意设备首次接入校园网,会弹出该认证页面,手动打开其他任意网页也均会被重定向到该页面,除非经过认证之后才能正常使用。
校区的所有设备接入校园网的方式有两种,一种是通过宿舍、教室、办公室等预留的网口有线接入/无线路由无线接入,另一种是通过学校安装的无线路由器接入(如下图)。准确的说,这种设备功能是无线AP——WirelessAccessPoint,与路由器(router)有很大的区别
2、ipv4+mac地址+学号 认证系统的工作原理
虽然说这是一套标准的认证收费系统,然而在校区内,学校并没有收费,仅保留了接入认证的功能。
该认证系统的目的:在校区的正常活动范围内使用校园网的任何一台设备,均需要通过学号认证,无论教工还是学生。某些特殊区域受其他系统管理,如机房,店铺,办公室等。这样可以保证校外人员的设备无法随便接入校园网。
(1)IPv4地址分配
任何一台设备在接入校园网以后,上层网络通过dhcp服务器直接分配给该设备一个子网ipv4地址。
上面是学5号楼一层的ip情况。
左图是手机接入宿舍里的无线AP后,校园网分配的ip地址,是172打头的局域网。(局域网段有三个,分别是10.0.0.0/8 172.16.0.0/12 192.168.0.0/16)该网段有16位掩码,可为6万台以上设备分配ip。 经http://myip.ipip.net/测试为联通网络。
右图是通过有线连接宿舍的预留网口获取的ip地址,是5号楼1层网络机房分配的地址。该网段是10开头的局域网,使用了17位的子网掩码。由本机ip 10.152.127.254可推出网络号第17位是二进制0。同样经myip.ipip.net测试为移动运营商。
校园网接入的上层运营商可能会变化,受路由表的影响。也就是说,校园网使用的是教育网cernet,而在访问教育网以外的ip时,在校区的出口节点就会转到其他ISP的网络中去。比如,我用宿舍内的有线网访问我的阿里云服务器,会转入联通的骨干网AS4837(AS,autonomous system,自治系统),再转入其他AS网络中,最终转发到目的ip。
(2)ipv4+mac+学号认证机制
ipv4地址的分配,是在全天24小时进行的。当设备有了ipv4地址以后,设备会弹窗跳转到认证地址192.168.75.252。如果没有弹窗,那么所有网页会被重定向到该页面。
首先,认证系统会对发来的数据包分析,判断该mac地址是否已经登记在了某个学号的无感知认证列表中。
注意,这里的mac地址可能会经过路由器转换。经过路由器转换后,路由器下层的子网设备mac地址都会被替换成路由器中设置的mac地址。
如果该mac地址没有记录,那就记录到无感知认证系统中,并把收到的数据包ip地址登记为在线。如果该mac地址有记录,说明之前已经认证过了。那就判断该ip地址是否过期,如果过期那就重新分配,并把过期的ip地址清除掉;如果没有过期,那就把该ip加入在线列表。
一个学号最多只可以同时在线3个ip。当已经记录了3个ip之后,就不能再添加ip了。此时,只能使用已经经过无感知认证的mac地址,登录该页面,下线几个ip地址才能添加新的ip。
(3)客户端认证流程
客户端的认证一般有两种情况,一种是直接通过无线网连接校园网的无线AP;另一种是通过路由器有线接入网口,包括宿舍预留的有线网网口,校园网sdu_net无线AP下面的网口。
先说第一种,直接通过无线网连接sdu_net。这样连接的设备,校园网会分配独立的ip,然后记录该设备的mac地址。所有这样直接连接sdu_net的设备,都得各自认证各自的mac地址。每一天晚上,所有账户的在线ip都会强制下线,第二天重新分配ip地址,重新认证。
然后是第二种,通过路由器有线连接上层网口。路由器本身可以被分配ip地址,也有自己的mac地址。每一天,最先连接这个路由器的设备,无论是有线还是无线,会跳转到认证页面。使用某个学号认证之后,这台路由器就被认证在线了,之后该路由器下的所有子网设备,发送的数据包,经过该路由器之后,源ip地址和mac地址会被转换成该路由器的ip地址和mac地址。从网络层来看,相当于这个路由器在代替子网的设备发送数据包。子网中不同ip的设备的不同数据包,会转换成路由器的ip+一个随机端口。这也就是nat服务器的工作原理。
认证之后,连接该路由器的所有设备都不用再进行认证即可直接上网。
二、校园网ipv6地址分配原理,还有限制认证的机制
ps:根据已有的信息,这个限制在5,6号楼都有,其他宿舍,专业和年级不了解是否有限制。
1、IPv6技术的介绍
(1)ipv6引入
经过测试,校园网已经支持分配教育网ipv6地址。ipv6地址的获取和不同的操作系统有关,目前,win10/11系统支持slaac和dhcpv6获取ipv6地址,而ios、linux、mac os 均不支持dhcpv6功能。校园网中,sdu_net是slaac方式分发ipv6地址,而宿舍内的有线网是dhcpv6的方式。
在宿舍的测试结果支持以上结论。宿舍内的win10/win11 pc连接sdu_net和有线网,都可以获取到ipv6地址,ios设备和android设备两个网络都不能获取。mac os设备连接sdu_net可以获得ipv6地址,而有线网不能获取。
关于ipv6的分配机制,下面两篇文章讲的非常详细。
为了让后面出现的关于ipv6的一些概念容易理解,下面简单介绍一下ipv6。
关于ipv6的基础知识,相信大家已经在计网的教材中有所了解。比如,一共128位比特位,记法是冒号16进制,一共8个段,每段4个16进制数字。如:aaaa:bbbb:cccc:dddd:1111:2222:3333:4444。还有就是ipv6号称可以让世界上每一粒沙子都可以有一个地址。
ipv6的厉害之处不仅仅在于地址空间的广泛,更在于在划分子网的功能上实现了创新。使用ipv6协议,路由器不需要使用nat地址转换,拿到上层的网络前缀之后,直接在原有的地址中继续往下分即可。
(2)系统中可以获取的ipv6 地址
此外还有一个ipv6网关地址。这个一般是和ipv6 dns服务器同时获取的,这里没获取上。
(3)各个地址的作用和分配方式:
本地链接ipv6地址:系统自动生成,结合本机mac地址+伪随机生成,可以在局域网中唯一标识某一个设备。用该地址作为目标地址/源地址,路由器不会转发数据包,因此只能在同一个路由器范围内使用。
ipv6地址:就是全球唯一的公网地址。可以手动设置,但大多数是由上级分配。ipv6地址分配的方式有两种,一种叫做DHCPv6,另一种是slaac,Stateless address autoconfiguration无状态地址自动配置。
两者的区别简单来说就是,DHCPv6和DHCP类似,在路由器处开启一个服务器,来维护子网段的设备和相应的ip地址。而slaac没有管理,由子网段的设备向邻居设备和路由器相互发送特定的数据包(rs,ra)来请求和分发地址,同时他们还要自己检测地址是否有冲突。
注意,DHCPv6获取ip地址也是通过RA,RS包来通信的。可以参照上面的流程图。
ipv6 dns服务器地址 + ipv6 网关:可以通过DHCPv6或者stateless DHCPv6两种方式获取。这个和ip地址的获取是分别管理的。
一台部署了ipv6协议的设备,其工作流程都可以由下面这个图解释。(看不懂也不要紧,和它的关系不大)
2、山威校区ipv6分配机制
学校内的ipv6分配机制是比较特殊的,是DHCP+mac地址生成ipv6地址。
经过测试,在宿舍内用一台win11的pc,使用同一个wlan网卡,连接sdu_net和路由器桥接机房的无线网,获取到的ipv6地址是一样的。而同一台电脑,在宿舍和教室连接sdu_net得到的ipv6地址,却是不一样的。推测是上层子网的前缀不同。
同时,学校内的教育网ipv6没有开启前缀授权,即获取到ipv6地址的路由器,继续划分子网,再通过DHCPv6或者slaac往下分配的ipv6地址,上层是不认可的。
因此,所有设备的ipv6地址均由校园网的路由器统一管理,一个mac地址的接口(wlan,以太网)在一定范围内只能获取到同样的ipv6地址。
3、校园网ipv6和限制认证的关系
经过测试,绕过晚上校园网限制认证的方法就是:使用有ipv6地址的设备,在限制认证之后,访问认证界面并进行认证,能正常登记,不会弹窗。认证系统中会记录下现在的ipv4地址。此台设备经过登记之后,后面即使关闭ipv6的功能,到认证界面注销登录并再次认证,仍然可以再次登录。
但是如果到自助服务中下线刚刚认证的设备和mac地址,那么再认证就不会成功,提示“没有合适的控制策略”。
4、校园网获取ipv6地址并绕过认证限制的具体方法
如果需要在晚上绕过认证限制,那么就需要让设备获取到ipv6地址。由于校园无线网sdu_net断电之后就不工作了,因此只能通过宿舍的预留网口来实现。剩下的工作就是路由器的设置问题了。
不同的路由器固件的设置方法不同,我以宿舍的一台tl-war1200l企业级路由器为例来介绍。
(1)第一种模式是把路由器当成一个ipv6节点。
正常打开路由器的ipv6功能,获取ipv6的方式是dhcpv6,这样可以直接获取到ipv6的地址和网关地址。这样设置以后,晚上0点之后,任何一台设备连接该路由器,再进入认证页面,都可以认证成功,不再受认证限制,正常上网。
根据ipv6的网络特点,校园网的ipv6没有开启前缀授权,因此在此路由器子网范围内的所有主机,均无法获得ipv6地址。整个子网的所有数据包仍在使用ipv4进行nat转换。只是利用路由器的mac地址获得一个ipv6地址,并且绕过认证限制。
(2)另外一种模式是使用桥接模式。
相当于把路由器当成一个ap来用,这样每一台连接路由器的设备都能可以直连机房的网络,并且分配一个独立的公网ipv6地址,可以同时使用ipv4和ipv6上网。然后每个设备也都能绕过认证的限制。但这样有一个问题就是android和苹果系的设备无法获取ipv6地址,0点以后还是无法获取认证。
三、宿舍双路由器组网
由于宿舍中正好有一个刷了老毛子固件的红米路由器和tplink企业级路由器,因此正好可以用它们来实现ipv6组网。
企业级的路由器不支持ipv4的桥接,只有ipv6桥接。而老毛子的固件支持ap模式,也就是ipv4和ipv6都桥接。所以就用老毛子固件的路由器有线连接宿舍的网口,做一个无线ap,或者叫做无线交换机。然后再用tplink有线连接老毛子,做下层子网的nat服务器。
这样,连接老毛子无线网的设备,在全天任何时候都可以通过上网认证,相当于直连机房。并且还可以获取到公网ipv6地址。但是只支持自带dhcpv6功能的设备,目前测试只有win10/11可以,安卓、苹果手机、苹果电脑、ps4/5、psv、switch都不行。
而tplink的无线网,所有系统的设备也都可以全天连接上网,并且每天只用一个账号认证一次即可,后续设备都不用再认证。同时tplink路由器可以获取到ipv6地址,但也没有任何用,因为没有前缀授权,下层子网是获取不到ipv6地址的。
这样,宿舍的的路由器总共可以支持6台pc有线直连机房的千兆网络,两个wifi可以全天通过上网认证,一个wifi可以获取到公网ipv6地址(只要设备支持)。有了公网ip的加持,再买一个域名,本地做一个ddns,那么就可以搭建本地服务器了,其他设备可以使用ipv6网络进行全球直连。
另外,附注一下,当win10/win11能获取到ipv6公网ip以后,访问网页会默认ipv6优先,连dns也会默认走ipv6。所以最好是改一下设置,让windows系统默认ipv4优先。下面是修改的方法。
在ipv6环境下优先使用ipv4:_ipv6 访问优先_Janus_V的博客-CSDN博客
最后,附一张itdog网站ping本机ipv6的连通性测试结果图。虽然没什么用,也算是给最近对ipv6网络的学习画一个句号吧。
原文链接:https://blog.csdn.net/zsq_csh1/article/details/129322631?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168466843816800184173244%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=168466843816800184173244&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-3-129322631-null-null.blog_rank_default&utm_term=NAS%E3%80%81%E7%BE%A4%E6%99%96%E3%80%81%E9%98%BF%E9%87%8C%E4%BA%91%E3%80%81%E5%9F%9F%E5%90%8D%E8%A7%A3%E6%9E%90%E3%80%81%E5%86%85%E7%BD%91%E7%A9%BF%E9%80%8F%E3%80%81ipv6%E3%80%81ddns%E3%80%81%E8%BD%BB%E9%87%8F%E7%BA%A7%E4%BA%91%E6%9C%8D%E5%8A%A1%E5%99%A8%E3%80%81%E9%93%81%E5%A8%81%E9%A9%AC%E3%80%81%E5%A8%81%E8%81%94%E9%80%9A%E3%80%81DSM%E3%80%81DSM6.0%E3%80%81%E7%BE%A4%E6%99%96nas%E3%80%81%E4%BA%91%E6%9C%8D%E5%8A%A1%E5%99%A8%E3%80%81%E8%9C%97%E7%89%9B%E6%98%9F%E9%99%85%E3%80%81%E9%BB%91%E7%BE%A4%E6%99%96%E3%80%81docker%E3%80%81%E5%AE%B9%E5%99%A8%E9%95%9C%E5%83%8F%E3%80%81%E5%9F%9F%E5%90%8D%E6%B3%A8%E5%86%8C%E3%80%81%E5%AE%9D%E5%A1%94%E3%80%81%E5%8F%8D%E5%90%91%E4%BB%A3%E7%90%86%E3%80%81nginx%E3%80%81frp%E3%80%81%E5%8A%A8%E6%80%81%E5%9F%9F%E5%90%8D%E8%A7%A3%E6%9E%90