1880人阅读
日常应用（104）
网络安全（17）
关键字无故相同锐捷客户端共享上网
& &随着校园网的普及,越来越多的大学生电脑的持有率也有所增加,一般而言,会通过各种方式连接上internet网,实现信息的共享和查阅.那么,今天我就简单的对我所在的学校的上网方式做个解析,供大家参考,有什么不足的地方还望批评指正,谢谢!
& &对于我所在的学校A(为避免不必要的麻烦,我就不将其全称写出,望理解),在硬件方面,接入层,应该为每层楼分配几台接入交换机,布置双绞线缆到我们的宿舍,每个宿舍墙上一个信息接入点,楼层做汇聚之后,连线到学校NIC,学校通过租用光纤实现internet的外联.在软件方面每个上网用户安装锐捷认证客户端,静态分配ip,输入用户名和密钥后拨号认证,并且服务器能实现静态mac绑定.(我猜测内网应该有一台AAA服务器).
& & 这就出现一个局面,一个宿舍6个用户,每个用户需要持有一个合法帐户,每月缴纳40元RMB,那么一个宿舍整体要缴纳240元/月!这个就显得太贵了!!为此我们想尝试通过共享的方式实现上网.那么总结我们所采用的方法!(局域网拓扑简介:一台8口宽带路由器,采用星形布线结构,学校所给静态ip地址网段172.16.0.0/16)
一、尝试路由器拨号,宿舍用户划分私网,利用路由器nat实现internet共享.
& & 因为服务器那端在我们首次拨号时静态绑定我们的MAC,所以在路由器上修改mac地址为其中一个合法用户的主机mac地址,在路由器广域网接口采用pppoe拨号模式,输入合法帐户名和密码,进行尝试,点击连接,等待连接(等待的十五分钟期间,拨号频繁尝试,频繁掉线).
& & 小结:我们已经不能简单的通过路由器进行拨号认证,猜测,锐捷客户端在拨号时应该采用其算法进行数据加密,而路由器没有该加密机制,造成拨号传输数据在对端识别后不合法!所以无法认证成功!
二、局域网内pcA认证,路由器广域网接口采用静态ip地址分配为该pcA的合法ip地址和mac.
& & 首先将外网线缆和pcA线缆连接在路由器的局域网接口,在pcA上拨号,认证成功,然后将路由器的广域网接口的ip地址配置为pcA的ip地址,mac地址配置为pcA的macA,将外网线缆连接到广域网接口,那么对于pcA的ip地址采用所分配的局域网段192.168.1.0/24中的ip址,internet测试,可以上网,其他连接到该局域网的用户也能实现共享上网(他们的网关指向路由器的局域网接口ip而非pcA),但是过了几分钟后掉线,猜测是服务器有周期认证功能,pcA改为局域网ip地址后无法周期应答认证.
& & 改良+：将动作的第二步pcA的ip地址改为局域网的ip地址去掉,保持合法的ip地址,只不过将网关指向局域网的路由器接口即192.168.1.1/24
,重新认证,结果失败,分析后猜测,可能数据包在回的方向上到达不了pcA,因为路由器wan接口和pcA的ip地址和mac地址一样,路由器收到数据包之后,拆二层,看ip,发现该ip是自己接口的ip,不会在执行查路由表动作(即使在路由器上配置主机静态路由,应该也不行[未测试]),将数据包递交到路由器上层处理,上层不识别,认证失败.
三、单网卡共享模式。
& & 将广域网线缆连接到路由器局域网接口,将pcA网卡改为合法学校分配的ip地址,登陆认证,成功后,在tcp/ip属性的高级选项中,配置第二地址为局域网的ip地址,其他用户也改为该网段,网关指向pcA,所有用户连接到路由器局域网接口,pcB上做测试,可以上网,但是过了几分钟之后,弹出系统消息，“请不要为其他用户代理。。”猜测,锐捷软件有周期识别本机网卡信息,发现有两个逻辑网卡活跃,弹出警告!所以不能有多个活跃网卡同时存在!
& &改良+：因为学校分配的地址网段为172.16.0.0/16网段,范围大,尝试将其他5个pc用户的ip地址改为该网段的ip地址,pcA依然采用合法ip地址,关掉第二地址,其他用户ip网关指向pcA,尝试连接,测试结果,在pcA上弹出警告,”请不要为其他用户代理上网…”,猜测锐捷软件能够识别进网卡流量,如果目标mac是自己,目标ip是自己的数据包为合法ip包,而目标mac是自己而目标ip不是自己的数据保,那么弹出警告,不允许代理.
& &改良++：将局域网段的pc的ip地址和mac地址都改为和pcA的合法ip地址和mac地址一致,欺骗无故arp,使其认为网络上没有和自己ip地址一致的主机,外网线缆和内网线缆都插入路由器局域网接口,pcA拨号,其他用户也可以实现上网,同时锐捷软件没有弹出警告,对于局域网的所有pc逻辑上为一台pc,但是会出现丢包现象,分析:宽带路由器的接口应该为典型的单臂路由结构,路由模块有两个接口,一个广域网接口,一个局域网接口,其中局域网接口下联一台6口交换机,现在该交换机上连接5个用户和一个外网线缆,交换机有mac地址学习功能,而此时5个用户的ip和mac一致,所以会造成交换机mac地址不稳定,抖动的现象很频繁,所以会造成数据包的丢失现象!!设想,采用hub可能会好一些,应该不会出现丢包的情况,因为其工作在物理层,只是简单的数据copy到所有接口!
四、双网卡破解上网.
& & 最后隔壁宿舍的一个小伙子,我们敬称为”赖总”,破解锐捷认证软件部分关键字段,实现双网卡共享,现在我们网络结构就是采用这种方式即,pcA外网网卡拨号,pcA内网网卡做我们的代理,破解了锐捷周期检验主机多个活跃网卡的动作,经过测试我们都能上网,而且网络很稳定,但是对于pcA的硬件要求可能要高点,所以采用这种方法时,代理服务器要选好!!
：经过昨天一晚上的折腾,自己也收获了不上,从理论到实践的应用,得到了很好的结合,虽然在写这篇文章的时候,受自己局限性,可能上述分析有错误的地方,但是自己还是由衷的感到高兴有很大的满足感,很感谢51CTO上的一位朋友的肯定,谢谢您的赏识,看来生活之中需要赞美,可能不经意的赞美能帮助别人很多!哦,小人物和大人物之间的斗争一直在上演,草根阶层的无奈,精英阶层的无耻,是时局图的真实写照,最后借用我所信奉的一句话作为结尾”有技术,没约束”!
深受锐捷的毒害！！
你们学校还没有做到最变态的一步，他要是在服务器端开启了锐捷拨号客户端的MD5检测，根本就没有办法共享！！根据你所述的你们学校是没有这样做！！我觉得校园网就是这样，尤其是锐捷，似乎没有对每个ip做限速，一个人用是那个速度，一个寝室共享每个人的速度几乎没有变化！！
1.锐捷采用的认证方式是802.1x，但是锐捷公司又在这个基础上开发了自己的认证协议，他在你们学校里面架设的有认证服务器，服务器端可以完成ip+mac的绑定，即在你第一次用学校分给你的地址认证上网时，这个绑定就完成了，他没有采用pppoe协议，故你用pppoe拨号一定拨不通。
2.锐捷的认证采用的是周期性的认证，好像是五分钟吧。而且他的客户端会检查你的电脑是否有双网卡，是否安装有路由软件，是否安装有代理软件，甚至检测你一款网卡上是否绑定了多个ip，一旦检测出来，就自动断网。检测也是周期性进行！
3.你可以把你局域网中的电脑全部改为合法的ip和mac，然后连在集线器上，一台机器拨号就可以啦，其它就可以上网。一定是集线器，不能是交换机，你上面也说了，交换机会造成数据丢包，表现就是你局域网内的用户qq经常掉线，基于集线器和交换机的工作原理不同，集线器不会出现这样的情况。但是，如果你们学校采用的锐捷认证客户端版本过高，这个方法照样行不通！
4.其实对于校园网锐捷的共享上网，网上有高人已经发布了破解过的客户端，他们也是破坏了锐捷周期性检测路由，代理，单网卡多ip，以及双网卡的检测周期，造成锐捷不会自检。网上有相应的教程通过修改802.1x这个文件来实现。利用这个你就可以做你想做的一切共享上网的事情了，单网卡就可以很好和很稳定的满足你们一群人上网了。同时还有个最大的好处就是，你可以在利用虚拟机学习技术的同时还可以上网了，不用再出现原来该死的弹出窗口了，呵呵。
5.如果你的编程能力很好，你可以以更高效更节能的方式利用路由器拨号共享上网。网上你可以找到，有人在linux下编写的锐捷客户端，而且代码好像是开放的，你可以修改路由的固件将它集成进去，最后将修改的固件刷进路由。当然这个对个人要求很高，有人要是做出来了，一定有很多人膜拜他吧 。
看到在校的学生深受锐捷的毒害，让我这个刚刚离校的毕业生也会回想起在校的很多事情，感慨一下，还是学生好啊，有一个安静的学习和学技术的氛围！！哎，自己当年怎么就不知道珍惜呢~~~
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：415419次
积分：5027
积分：5027
排名：第4183名
原创：27篇
转载：357篇
评论：75条
(1)(3)(4)(13)(24)(3)(23)(1)(1)(3)(1)(3)(9)(24)(1)(6)(2)(2)(31)(1)(7)(1)(6)(3)(1)(2)(10)(11)(33)(4)(3)(4)(1)(24)(11)(6)(9)(14)(3)(1)(6)(58)(7)(18)(5)(2)(3)(5)(1)(2)校园网共享
北京千橡网景科技发展有限公司：
文网文[号··京公网安备号·甲测资字·文化部监督电子邮箱：wlwh@·
文明办网文明上网举报电话： 举报邮箱：admin1@&&&&&&&&&&&&&&&&【信息公开】
&&&&您目前的位置：
如何正确规范地使用无线路由器上校园网
&&点击数:21466&
　　现在手机笔记本电脑盛行使用无线网络，所以很多师生在宿舍/办公室增设无线路由器，为办公和生活带来便利，但是路由器不经过规范的配置直接连上校园网，很容易给他人或者自己的网络带来干扰。
　　这种干扰主要是因为路由器没有正确设置或正确连接，造成路由器里的DHCP服务器功能很容易影响到同楼栋的其他用户，导致他们一直去获取你这个路由器的IP地址，从而无法上网。
　　如何正确连接和设置路由器，请看下面教程：
　　1.首先我们正解连接好路由器（如下图路由器的WAN用来接到墙上的校园网接口，LAN口是用来接你的电脑的，千万不要接反了）
　　拿网线把LAN口和电脑接上后，电脑的IP地址一般设成自动获取IP就可以了，如果不行设置成和路由器同个网段的IP，比如路由器IP地址是192.168.1.1（路由器IP默认写在背后，翻过来看一下吧），我们电脑的IP就192.168.1.2~254在这个范围任取一个，如192.168.1.10
　　2.做完第一步，我们就可以在浏览器输入路由器IP地址：
　　3.连接上路由器会提示你输入用户名和密码：
　　4.输入用户名和密码，来到路由器配置页面：
　　很多品牌的配置页面不一定是这样子的，下面以TP－Link为例介绍。进入操作界面后，你会在左边看到一个设置向导，点击进入（一般的都是自动弹出来的）
　　5.点击下一步，进入上网方式设置，我们可以看到有三种上网方式的选择，校园网请选择&动态IP&。
　　6.然后下一步后进入到的是无线设置，我们可以看到信道、模式、安全选项、SSID等等，一般SSID就是一个名字，你可以随便填，然后模式大多用11bgn。无线安全选项我们要选择wpa-psk/wpa2-psk，这样安全，密码请设置一个复杂的8位数以上的密码，免得轻意让人家破解而蹭网。最后设置完保存，重启路由器就可以了。
　　7.补充：很多新手不知道电脑的IP地址怎么设置，其实很简单，两三步骤就可以了，首先要找出你的本地连接。
　　XP操作系统的电脑本地连接就在桌面的右下角，那两台小电脑的图标。或者是右键点击网上邻居，打开属性，本地连接就出现了
　　Windows7的本地连接藏得比较深：右键点击桌面右下角的无线网络图标/或者是一台小电脑的图标&打开网络和共享中心&在左侧找到更改适配器设置&本地连接
　　电脑的IP地址就在本地连接里面配置：
　　双击本地连接&打开属性&internet协议（TCP/IP）【windows7要选版本4】&IP设置栏
Copyright&厦门大学嘉庚学院 since 2004,All Rights Reserved
传真:；电话:；E-mail:；招生热线:；招聘热线:
通信地址：福建漳州招商局经济技术开发区厦门大学漳州校区；邮政编码：363105
本站域名：(教育网)、(公网)和(手机网)，建议使用IE5.5以上浏览器访问本站您当前的位置：
关于宿舍区有线校园网认证方式变更计划的通知
来源：网络中心 | 发布日期：
2016年10月份，我校宿舍区有线校园网将逐步过渡到&PPPoE拨号&认证上网，同时取消现有的网页认证，请同学们提前熟悉&PPPoE拨号&的设置及使用方法，并进行测试使用。
目前，现有网络环境已经全面支持&PPPoE拨号&认证方式。
&PPPoE拨号&基本使用场景介绍如下：
提前说明：在以下&PPPoE拨号&所有的使用场景中，上网账号既可以是&学号/校园网账号密码&（使用校园网线路），也可以是&学号@telecom/校园网账号密码&（使用电信线路，需要提前绑定电信账号后方可使用）。
场景一：宿舍里只有一个人使用有线网络
如果宿舍只有一个人使用有线网络，直接使用网线将电脑连接到墙面网络接口，设置&PPPoE拨号&连接，拨号上网即可。
场景二：宿舍里多人使用有线网络，使用小交换机扩展接口
用网线将墙面网络接口与小交换机任一接口相连，小交换机的其他接口接各自的电脑，每台电脑设置&PPPoE拨号&，使用各自的上网账号拨号上网即可。
场景三：宿舍里多人使用有线网络，通过路由器共享账号
用网线将墙面网络接口与路由器的WAN接口相连，登陆路由器管理页面进行设置，下面以常见的TP-Link路由器为例：
用网线将电脑与路由器的任一LAN接口相连，打开浏览器，输入无线路由器的管理地址：192.168.1.1（路由器背面铭牌上有说明，不同厂家的路由器产品可能会不同），出现路由器管理页面登录提示后，输入用户名和密码（默认都是admin，如果不对，请参照路由器的说明书恢复出厂设置后再继续配置）。
在打开的配置中心点击设置向导，然后点击下一步。
接着选择PPPoE上网方式，点击下一步后输入你的校园网账号和密码。点击下一步。
如果路由器具备无线功能，建议设置无线路由器的访问密码，这样能防止别人盗用你的网络资源。
最后设置完成后，需要重启路由器使设置生效，就可以使用路由器上网了。
（备注：路由器共享账号可以降低用网费用，但同时也会带来用网风险，所有与此账号相关的上网行为都将由账号所有人承担，请同学们慎重使用！）}