校园网与 OSI 模型

可能是对 tcp 做了认证但是 udp 没管？微信 QQ 都是用 udp 的吧

的理解就是一 vlan 未的， vlan 的 route or firewall policy 可以允特地目的路

我也在学校发了帖子，有同学说是因为不登录的状态下是 IPV6 ，所以刷抖音、微信、QQ 甚至网易云都可以，这让我更困惑了。

@FieldFarmer 微信图片的传输应该是 tcp 吧

还有可能是因为 IPV6 ，很多学校的 IPV6 都不计费。

@bitdepth 不太懂 vlan 的意思，我得下去补补课了

@heavymetals 我看到有人这样说的，但偶尔就上不去网络。所以现在学校的 IPV6 是单栈向双栈过渡的状态吗，所以导致的一会能上网，一会上不去。

如 802.1x 只是的方式，隔也完全可以不用 vlan 方式，
通品的人能告你只是做能比好利用硬加速。
你什都不懂想明白是不可能的。

@japserjay1
@heavymetals 抱歉，刚才打错字了，应该是双栈向单栈过渡

@japserjay1 ipv6 ，那应该可以打开知乎网站的

应该是是认证前角色 和 认证后角色 的权限区分 。和整个 OSI 模型没有关系。

一般情况下认证前角色的权限是有限访问。认证后才授予完全准入权限。

这个应该是权限控制，服务器给你对应的 MAC 地址分配一个在该网络中唯一的 IP 地址，然后对 IP 进行权限控制，比如白名单仅允许某些域名和 IP 出站入站（用于认证）。基于 OpenWRT 的路由器使用 iptables 或者 Ubuntu 系统的软路由通过 UFW 就可做到类似的效果。我现在在维护的锐捷睿易和运营商的认证网关都能做到类似的功能。

至于 IPv6 的问题，我猜是你们学校应该是刚开始部署 IPv6 ，但 v6 暂时无法计费或者出于某种原因没有设置计费，而过段时间就用不了了可能是因为认证和 MAC 地址绑定，系统检测到该 MAC 地址对应设备没有进行认证超时后自动禁用该设备的全部流量。

我更倾向于是未认证状态下的部分应用走了 IPv6 才能上网的，但是由于未认证超时导致时断时续。可以看一下 IPv6 的出口是什么，如果是教育网出口那大概率是不计费且你们学校的部署存在问题，如果是运营商出口就不清楚了。

测试 IPv6 可以访问一下我的 blog （ https://lxnchan.cn ），是支持全站+CDN 全 IPv6 的；也可以访问清华 tuna 镜像站仅 IPv6 解析（ https://mirrors6.tuna.tsinghua.edu.cn ），能出来页面就是有可用的 IPv6 。

校园网接入 ipv6 了,ipv4 用了网关控制,ipv6 的懒得买就过了

@LxnChan 非常详细的解释，真的很感谢！您的网站以及清华的镜像我都测试了一下，在未认证的状态下都可以进去，但是您网站中的图片无法显示，这与 HTTPS 证书有关系吗。另外，在梯子(cl ash for win)的状态下不可以访问，关了就可以了（不知道这个话题合不合适），在我的理解中梯子应该处于 iso 模型中的会话层，代理的流量不经过网络层、传输层吧。

其实交换机以及认证设备是可以选择 ipv6 宽松模式的，即未认证情况下 ipv6 可直接放行（锐捷是这样的

未登录时 DNS 是污染的。腾讯系产品用了自己的 DNS ，不依赖网络提供的 DNS

你换一个 DNS 看看网页能不能加载出来

1 、确定一下未认证前，手机是否自动切换了数据上网而不是 WiFi
2 、如果确定是 WiFi ，目前深信服、锐捷等，可以设置白名单，允许未认证状态下指定应用 /流量通过网关

校园网是独立的教育网，据说建设 ipv6 时给了很高的带宽，所以好多学校都不限制 v6 网络，ipv4 不限制 udp 这种就很小了，我们学校据说之前只是没有限制 dns 解析流量就有人搞出个 dns 隧道越过认证，校园网这种估计应该时防火墙拦截，解析下如果是 http 请求就给个 redirect ，这个也不麻烦

@sujin190 哦哦，晓得了

@japserjay1 我当时 ping 了一下 weixin 的那几个域名，发现走的都是 IPV6