关于校园网结构的思考与探索

关于校园网连接问题

应该很多高校都会寝室宽带有限制，需要进行认证，导致无法自己组建局域网，连接路由器进行快乐的玩耍，这一次我对某校的校园网进行比较深刻的解析，从认证方式，连接现象，网络动作的变化进行观察，让大家了解校园网与运营商宽带互联网之间的关系。

声明

• 本文章不代表或特指某高校，请各位不要对号入座。
• 本文章只用于技术讨论与研究。
• 本文章所用的图片只是例子，仅供参考。

网络拓扑图

根据我在这个校区的网络观察，可以推测出学校基本网络结构图：

所以，我们要想一起快乐的创建局域网，就不能直接使用寝室网线接口，而要通过认证，就是要通过网络认证服务器的认证，进行操作。

网络认证服务器的认证算法与流程

直连寝室网线接口，根据我直接发现的以下情况，推测出认证服务器认证流程

• 可以直接访问学校官网、教务系统等网站，不管你有没有通过认证。
• 校园网认证用户需要绑定运营商宽带账号密码。
• 未认证时，浏览器访问百度等互联网网站会直接被校园网认证设备进行重定向。
• 认证上网有时间限制，如周一到周四晚上23:30会强制下线，并且在某个时段不能进行认证。

所以结论如下

• 需要有数据库来储存相关数据与设置
• 需要有防火墙规则或重定向规则动态变化
• 校园网认证服务器需要记住认证的设备身份，如IP地址、网卡MAC地址等
• 需要网页对用户进行交互
• 需要有类似设备上线下线管理机制

经过互联网知识分析、脑补，将流程路线尽量画规范与科学，更接近实际布置。

科普：

MAC地址（英语：Media Access Control Address），直译为媒体存取控制位址，也称为局域网地址（LAN Address），MAC位址，以太网地址（Ethernet Address）或物理地址（Physical Address），它是一个用来确认网络设备位置的位址。在OSI模型中，第三层网络层负责IP地址，第二层数据链路层则负责MAC位址。MAC地址用于在网络中唯一标示一个网卡，一台设备若有一或多个网卡，则每个网卡都需要并会有一个唯一的MAC地址

流程如下

所有，通过上面的流程，可以判断一个访问互联网请求，从本地计算机发出，要经过下面的过程，才能到达互联网。

下面我假设了几种情况：

• 情况1：外部流量进入校园网不需要经过认证，校园网有本地DNS服务器，域名访问流量经过本地DNS进行判断筛选，IP地址访问经过网关或者防火墙进行判断筛选。

• 情况2：所有进出流量必须经过网关设备判断筛选，校园网有本地DNS服务器，DNS服务器无筛选功能。

• 情况3：只对进入流量进行筛选，校园网有本地DNS服务器，DNS服务器无筛选功能。

• 情况4：允许非认证设备的请求允许访问站点列表（如学校官网）与校园网认证服务器的MAC识别机制相结合的筛选系统，本地DNS服务器可有可无。

• 假设学校官网直接暴露在公网IP中
• 假设所有域名访问由互联网中的DNS服务器完成，并非本地DNS
• 假设允许访问站点列表优先级比认证服务器的MAC识别机制高
• 假设筛选系统只对返回数据进行筛选与重定向

怎样才能组建局域网？

经过我们紧密分析，可以知道，认证筛选机制系统最主要辨别我们的设备的参数为网卡的MAC地址，无论如何识别机制有多强大，我们只需要让一个设备合法的认证，使得整个设备发送的所有数据都可以正常访问，这里提出一个概念，代理设备，通过一个被认证筛选机制系统可以正常识别和通过认证的设备来共享这个设备的的互联网以供其他设备以代理设备身份访问互联网。

通过测试，连接上校园网并且通过认证可以上网的Windows设备共享的WiFi热点是可以给其他设备共享互联网的，并且不需要再认证其他设备。于是这就很方便的解决了局域网互联网源的问题。

连接寝室网线，可以使用多种结构来组建局域网

• 结构1

使用一台有WiFi功能的计算机来做代理设备，这样可以连续组建两个局域网，但是都是由无线连接，稳定性不佳

• 结构2

使用双网卡口的计算机做代理计算机，代理计算机可做服务器，有线连接，稳定性好，但是需要多一个网卡，成本高，只能创建一个局域网