V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
japserjay1
V2EX  ›  问与答

校园网与 OSI 模型

  •  
  •   japserjay1 · 2022-04-06 21:22:34 +08:00 · 1846 次点击
    这是一个创建于 996 天前的主题,其中的信息可能已经有所发展或是发生改变。

    有个问题困扰了很久,本人不具备专业背景,不知道如何解释,希望有懂的大佬给解答一下。校园网未认证的情况下,我的设备还能进行微信、QQ 数据包的传送与接受。这让我觉得很奇怪,明明打不开网页无法刷视频,怎么还能接受微信的消息呢。这与 OSI 模型有关系吗?

    21 条回复    2022-04-07 09:46:55 +08:00
    FieldFarmer
        1
    FieldFarmer  
       2022-04-06 21:34:59 +08:00 via Android
    可能是对 tcp 做了认证但是 udp 没管?微信 QQ 都是用 udp 的吧
    bitdepth
        2
    bitdepth  
       2022-04-06 21:37:24 +08:00
    簡單的理解就是一個 vlan 給未認證的,這個 vlan 的 route or firewall policy 可以允許範圍特地目標的網路
    japserjay1
        3
    japserjay1  
    OP
       2022-04-06 21:40:05 +08:00
    我也在学校发了帖子,有同学说是因为不登录的状态下是 IPV6 ,所以刷抖音、微信、QQ 甚至网易云都可以,这让我更困惑了。
    japserjay1
        4
    japserjay1  
    OP
       2022-04-06 21:40:51 +08:00
    @FieldFarmer 微信图片的传输应该是 tcp 吧
    heavymetals
        5
    heavymetals  
       2022-04-06 21:41:35 +08:00
    还有可能是因为 IPV6 ,很多学校的 IPV6 都不计费。
    japserjay1
        6
    japserjay1  
    OP
       2022-04-06 21:42:50 +08:00
    @bitdepth 不太懂 vlan 的意思,我得下去补补课了
    japserjay1
        7
    japserjay1  
    OP
       2022-04-06 21:45:35 +08:00
    @heavymetals 我看到有人这样说的,但偶尔就上不去网络。所以现在学校的 IPV6 是单栈向双栈过渡的状态吗,所以导致的一会能上网,一会上不去。
    bitdepth
        8
    bitdepth  
       2022-04-06 21:46:40 +08:00
    如 802.1x 只是認證的方式,區隔也完全可以不用 vlan 方式實現,
    這個開發網通產品的人能告訴你只是這樣做能比較好利用硬體加速。
    你什麼都不懂想明白這個是不可能的。
    japserjay1
        9
    japserjay1  
    OP
       2022-04-06 21:47:29 +08:00
    @japserjay1
    @heavymetals 抱歉,刚才打错字了,应该是双栈向单栈过渡
    FieldFarmer
        10
    FieldFarmer  
       2022-04-06 21:48:10 +08:00 via Android
    @japserjay1 ipv6 ,那应该可以打开知乎网站的
    mansurx
        11
    mansurx  
       2022-04-06 21:56:38 +08:00
    应该是是认证前角色 和 认证后角色 的权限区分 。和整个 OSI 模型没有关系。

    一般情况下认证前角色的权限是有限访问。认证后才授予完全准入权限。
    LxnChan
        12
    LxnChan  
       2022-04-06 22:25:49 +08:00
    这个应该是权限控制,服务器给你对应的 MAC 地址分配一个在该网络中唯一的 IP 地址,然后对 IP 进行权限控制,比如白名单仅允许某些域名和 IP 出站入站(用于认证)。基于 OpenWRT 的路由器使用 iptables 或者 Ubuntu 系统的软路由通过 UFW 就可做到类似的效果。我现在在维护的锐捷睿易和运营商的认证网关都能做到类似的功能。

    至于 IPv6 的问题,我猜是你们学校应该是刚开始部署 IPv6 ,但 v6 暂时无法计费或者出于某种原因没有设置计费,而过段时间就用不了了可能是因为认证和 MAC 地址绑定,系统检测到该 MAC 地址对应设备没有进行认证超时后自动禁用该设备的全部流量。

    我更倾向于是未认证状态下的部分应用走了 IPv6 才能上网的,但是由于未认证超时导致时断时续。可以看一下 IPv6 的出口是什么,如果是教育网出口那大概率是不计费且你们学校的部署存在问题,如果是运营商出口就不清楚了。

    测试 IPv6 可以访问一下我的 blog ( https://lxnchan.cn ),是支持全站+CDN 全 IPv6 的;也可以访问清华 tuna 镜像站仅 IPv6 解析( https://mirrors6.tuna.tsinghua.edu.cn ),能出来页面就是有可用的 IPv6 。
    paopjian
        13
    paopjian  
       2022-04-06 22:27:09 +08:00
    校园网接入 ipv6 了,ipv4 用了网关控制,ipv6 的懒得买就过了
    japserjay1
        14
    japserjay1  
    OP
       2022-04-06 22:46:29 +08:00
    @LxnChan 非常详细的解释,真的很感谢!您的网站以及清华的镜像我都测试了一下,在未认证的状态下都可以进去,但是您网站中的图片无法显示,这与 HTTPS 证书有关系吗。另外,在梯子(cl ash for win)的状态下不可以访问,关了就可以了(不知道这个话题合不合适),在我的理解中梯子应该处于 iso 模型中的会话层,代理的流量不经过网络层、传输层吧。
    Xiritianming
        15
    Xiritianming  
       2022-04-07 01:23:48 +08:00
    其实交换机以及认证设备是可以选择 ipv6 宽松模式的,即未认证情况下 ipv6 可直接放行(锐捷是这样的
    ZE3kr
        16
    ZE3kr  
       2022-04-07 01:46:50 +08:00 via iPhone
    未登录时 DNS 是污染的。腾讯系产品用了自己的 DNS ,不依赖网络提供的 DNS
    ZE3kr
        17
    ZE3kr  
       2022-04-07 01:47:22 +08:00 via iPhone
    你换一个 DNS 看看网页能不能加载出来
    winterx
        18
    winterx  
       2022-04-07 08:26:26 +08:00
    1 、确定一下未认证前,手机是否自动切换了数据上网而不是 WiFi
    2 、如果确定是 WiFi ,目前深信服、锐捷等,可以设置白名单,允许未认证状态下指定应用 /流量通过网关
    sujin190
        19
    sujin190  
       2022-04-07 09:20:57 +08:00
    校园网是独立的教育网,据说建设 ipv6 时给了很高的带宽,所以好多学校都不限制 v6 网络,ipv4 不限制 udp 这种就很小了,我们学校据说之前只是没有限制 dns 解析流量就有人搞出个 dns 隧道越过认证,校园网这种估计应该时防火墙拦截,解析下如果是 http 请求就给个 redirect ,这个也不麻烦
    japserjay1
        20
    japserjay1  
    OP
       2022-04-07 09:39:47 +08:00
    @sujin190 哦哦,晓得了
    heavymetals
        21
    heavymetals  
       2022-04-07 09:46:55 +08:00
    @japserjay1 我当时 ping 了一下 weixin 的那几个域名,发现走的都是 IPV6
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2597 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 04:54 · PVG 12:54 · LAX 20:54 · JFK 23:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.