校园网与 OSI 模型

2022-04-06 21:22:34 +08:00
 japserjay1

有个问题困扰了很久,本人不具备专业背景,不知道如何解释,希望有懂的大佬给解答一下。校园网未认证的情况下,我的设备还能进行微信、QQ 数据包的传送与接受。这让我觉得很奇怪,明明打不开网页无法刷视频,怎么还能接受微信的消息呢。这与 OSI 模型有关系吗?

1806 次点击
所在节点    问与答
21 条回复
FieldFarmer
2022-04-06 21:34:59 +08:00
可能是对 tcp 做了认证但是 udp 没管?微信 QQ 都是用 udp 的吧
bitdepth
2022-04-06 21:37:24 +08:00
簡單的理解就是一個 vlan 給未認證的,這個 vlan 的 route or firewall policy 可以允許範圍特地目標的網路
japserjay1
2022-04-06 21:40:05 +08:00
我也在学校发了帖子,有同学说是因为不登录的状态下是 IPV6 ,所以刷抖音、微信、QQ 甚至网易云都可以,这让我更困惑了。
japserjay1
2022-04-06 21:40:51 +08:00
@FieldFarmer 微信图片的传输应该是 tcp 吧
heavymetals
2022-04-06 21:41:35 +08:00
还有可能是因为 IPV6 ,很多学校的 IPV6 都不计费。
japserjay1
2022-04-06 21:42:50 +08:00
@bitdepth 不太懂 vlan 的意思,我得下去补补课了
japserjay1
2022-04-06 21:45:35 +08:00
@heavymetals 我看到有人这样说的,但偶尔就上不去网络。所以现在学校的 IPV6 是单栈向双栈过渡的状态吗,所以导致的一会能上网,一会上不去。
bitdepth
2022-04-06 21:46:40 +08:00
如 802.1x 只是認證的方式,區隔也完全可以不用 vlan 方式實現,
這個開發網通產品的人能告訴你只是這樣做能比較好利用硬體加速。
你什麼都不懂想明白這個是不可能的。
japserjay1
2022-04-06 21:47:29 +08:00
@japserjay1
@heavymetals 抱歉,刚才打错字了,应该是双栈向单栈过渡
FieldFarmer
2022-04-06 21:48:10 +08:00
@japserjay1 ipv6 ,那应该可以打开知乎网站的
mansurx
2022-04-06 21:56:38 +08:00
应该是是认证前角色 和 认证后角色 的权限区分 。和整个 OSI 模型没有关系。

一般情况下认证前角色的权限是有限访问。认证后才授予完全准入权限。
LxnChan
2022-04-06 22:25:49 +08:00
这个应该是权限控制,服务器给你对应的 MAC 地址分配一个在该网络中唯一的 IP 地址,然后对 IP 进行权限控制,比如白名单仅允许某些域名和 IP 出站入站(用于认证)。基于 OpenWRT 的路由器使用 iptables 或者 Ubuntu 系统的软路由通过 UFW 就可做到类似的效果。我现在在维护的锐捷睿易和运营商的认证网关都能做到类似的功能。

至于 IPv6 的问题,我猜是你们学校应该是刚开始部署 IPv6 ,但 v6 暂时无法计费或者出于某种原因没有设置计费,而过段时间就用不了了可能是因为认证和 MAC 地址绑定,系统检测到该 MAC 地址对应设备没有进行认证超时后自动禁用该设备的全部流量。

我更倾向于是未认证状态下的部分应用走了 IPv6 才能上网的,但是由于未认证超时导致时断时续。可以看一下 IPv6 的出口是什么,如果是教育网出口那大概率是不计费且你们学校的部署存在问题,如果是运营商出口就不清楚了。

测试 IPv6 可以访问一下我的 blog ( https://lxnchan.cn ),是支持全站+CDN 全 IPv6 的;也可以访问清华 tuna 镜像站仅 IPv6 解析( https://mirrors6.tuna.tsinghua.edu.cn ),能出来页面就是有可用的 IPv6 。
paopjian
2022-04-06 22:27:09 +08:00
校园网接入 ipv6 了,ipv4 用了网关控制,ipv6 的懒得买就过了
japserjay1
2022-04-06 22:46:29 +08:00
@LxnChan 非常详细的解释,真的很感谢!您的网站以及清华的镜像我都测试了一下,在未认证的状态下都可以进去,但是您网站中的图片无法显示,这与 HTTPS 证书有关系吗。另外,在梯子(cl ash for win)的状态下不可以访问,关了就可以了(不知道这个话题合不合适),在我的理解中梯子应该处于 iso 模型中的会话层,代理的流量不经过网络层、传输层吧。
Xiritianming
2022-04-07 01:23:48 +08:00
其实交换机以及认证设备是可以选择 ipv6 宽松模式的,即未认证情况下 ipv6 可直接放行(锐捷是这样的
ZE3kr
2022-04-07 01:46:50 +08:00
未登录时 DNS 是污染的。腾讯系产品用了自己的 DNS ,不依赖网络提供的 DNS
ZE3kr
2022-04-07 01:47:22 +08:00
你换一个 DNS 看看网页能不能加载出来
winterx
2022-04-07 08:26:26 +08:00
1 、确定一下未认证前,手机是否自动切换了数据上网而不是 WiFi
2 、如果确定是 WiFi ,目前深信服、锐捷等,可以设置白名单,允许未认证状态下指定应用 /流量通过网关
sujin190
2022-04-07 09:20:57 +08:00
校园网是独立的教育网,据说建设 ipv6 时给了很高的带宽,所以好多学校都不限制 v6 网络,ipv4 不限制 udp 这种就很小了,我们学校据说之前只是没有限制 dns 解析流量就有人搞出个 dns 隧道越过认证,校园网这种估计应该时防火墙拦截,解析下如果是 http 请求就给个 redirect ,这个也不麻烦
japserjay1
2022-04-07 09:39:47 +08:00
@sujin190 哦哦,晓得了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/845340

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX