实验室ipv6配置异常

版主好，我们学校实验室有教育网网线接入，ipv6连接顺畅。实验室局域网组成如下：
主机有双网卡，一个卡口接外网网线，另一个卡口接交换机，主机通过客户端认证上网，从机直接连接交换机其余端口。在主机认证成功后，从机也可以上网。
我的第一个问题是：这样的连接方式下，主机和从机是什么关系，我看网上其他局域网连接方法很多都要用路由器，为什么这里不用？有没有更好的连接方法？


下面是主机的ipcong /all 情况


C:\Documents and Settings\Administrator>ipconfig /all

Windows IP Configuration

        Host Name . . . . . . . . . . . . : sme
        Primary Dns Suffix  . . . . . . . :
        Node Type . . . . . . . . . . . . : Mixed
        IP Routing Enabled. . . . . . . . : Yes
        WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter 本地连接 5:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : D-Link DGE-530T Gigabit Ethernet
pter (rev.B)
        Physical Address. . . . . . . . . : 1C-AF-F7-6F-E0-FB
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.0.1
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        IP Address. . . . . . . . . . . . : 2002:d21b:910:4:d0f8:a4bf:887e:a
        IP Address. . . . . . . . . . . . : 2002:d21b:910:4:1eaf:f7ff:fe6f:e
        IP Address. . . . . . . . . . . . : fec0::4:1eaf:f7ff:fe6f:e0fb%2
        IP Address. . . . . . . . . . . . : fe80::1eaf:f7ff:fe6f:e0fb%4
        Default Gateway . . . . . . . . . :
        DNS Servers . . . . . . . . . . . : 114.114.114.114
                                            8.8.8.8
                                            fec0:0:0:ffff::1%2
                                            fec0:0:0:ffff::2%2
                                            fec0:0:0:ffff::3%2

Ethernet adapter 本地连接:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : VIA Compatable Fast Ethernet Ada

        Physical Address. . . . . . . . . : 00-13-D4-70-B4-80
        Dhcp Enabled. . . . . . . . . . . : Yes
        Autoconfiguration Enabled . . . . : Yes
        IP Address. . . . . . . . . . . . : 210.27.9.16
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        IP Address. . . . . . . . . . . . : 2001:250:1006:3009:a8ec:9922:3c3
c6
        IP Address. . . . . . . . . . . . : 2001:250:1006:3009:213:d4ff:fe70
0
        IP Address. . . . . . . . . . . . : fe80::213:d4ff:fe70:b480%5
        Default Gateway . . . . . . . . . : 210.27.9.254
                                            fe80::214:a8ff:fe0b:f63f%5
        DHCP Server . . . . . . . . . . . : 202.117.127.4
        DNS Servers . . . . . . . . . . . : 114.114.114.114
                                            8.8.8.8
                                            fec0:0:0:ffff::1%2
                                            fec0:0:0:ffff::2%2
                                            fec0:0:0:ffff::3%2
        Lease Obtained. . . . . . . . . . : 2014年8月18日 11:05:30
        Lease Expires . . . . . . . . . . : 2014年8月25日 11:05:30

Tunnel adapter Teredo Tunneling Pseudo-Interface:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interfac
        Physical Address. . . . . . . . . : FF-FF-FF-FF-FF-FF-FF-FF
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : fe80::ffff:ffff:fffd%6
        Default Gateway . . . . . . . . . :
        NetBIOS over Tcpip. . . . . . . . : Disabled

Tunnel adapter 6to4 Tunneling Pseudo-Interface:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : 6to4 Tunneling Pseudo-Interface
        Physical Address. . . . . . . . . : D2-1B-09-10
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 2002:d21b:910::d21b:910
        Default Gateway . . . . . . . . . : 2002:c058:6301::c058:6301
        DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%2
                                            fec0:0:0:ffff::2%2
                                            fec0:0:0:ffff::3%2
        NetBIOS over Tcpip. . . . . . . . : Disabled

Tunnel adapter Automatic Tunneling Pseudo-Interface:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Automatic Tunneling Pseudo-Inter

        Physical Address. . . . . . . . . : D2-1B-09-10
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : fe80::5efe:210.27.9.16%2
        Default Gateway . . . . . . . . . :
        DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%2
                                            fec0:0:0:ffff::2%2
                                            fec0:0:0:ffff::3%2
        NetBIOS over Tcpip. . . . . . . . : Disabled

Tunnel adapter Automatic Tunneling Pseudo-Interface:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Automatic Tunneling Pseudo-Inter

        Physical Address. . . . . . . . . : C0-A8-00-01
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : fe80::5efe:192.168.0.1%2
        Default Gateway . . . . . . . . . :
        DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%2
                                            fec0:0:0:ffff::2%2
                                            fec0:0:0:ffff::3%2
        NetBIOS over Tcpip. . . . . . . . : Disabled

C:\Documents and Settings\Administrator>netsh interface ipv6 show rout
正在查询活动状态...

发行     类型      Met   前缀                     索引  网关/接口名
-------  --------  ----  ------------------------  ---  --------------------
yes      手动        1101  ::/0                        3  2002:c058:6301::c0
301
yes      手动           1  fec0:0:0:4::/64             4  本地连接 5
yes      手动        1001  2002::/16                   3  6to4 Tunneling Pse
Interface
no       Autoconf     8  2001:250:1006:3009::/64     5  本地连接
no       Autoconf   256  ::/0                        5  fe80::214:a8ff:fe0b:

yes      手动           1  2002:d21b:910:4::/64        4  本地连接 5


C:\Documents and Settings\Administrator>Teredo Tunneling Pseudo-Interface

其中 "本地连接5" 是连接交换机的那块网卡， "本地连接" 是连外网的网卡。
主机PING网关能ping通


2.正常情况下，主机有2001开头的IPV6地址，可以上6维，上 http://www.kame.net/乌龟会动。但是从机分配到的是2002开头的IPV6地址，上不了6维，但可以看其他IPV6网站，我在从机上用goagent代理上网，但是开乌龟网站乌龟不会动。



下面是我的从机的ipconfig 命令显示

C:\Users\Brick>ipconfig /all

Windows IP 配置

   主机名  . . . . . . . . . . . . . : Su-PC
   主 DNS 后缀 . . . . . . . . . . . :
   节点类型  . . . . . . . . . . . . : 混合
   IP 路由已启用 . . . . . . . . . . : 否
   WINS 代理已启用 . . . . . . . . . : 否
   DNS 后缀搜索列表  . . . . . . . . : mshome.net

以太网适配器 本地连接:

   连接特定的 DNS 后缀 . . . . . . . : mshome.net
   描述. . . . . . . . . . . . . . . : 基于 Marvell Yukon 88E8057 PCI-E 的通用千
兆以太网控制器
   物理地址. . . . . . . . . . . . . : 44-37-E6-35-9D-A3
   DHCP 已启用 . . . . . . . . . . . : 是
   自动配置已启用. . . . . . . . . . : 是
   IPv6 地址 . . . . . . . . . . . . : 2002:d21b:910:4:4926:73c9:63cf:a849(首选)

   本地站点的 IPv6 地址. . . . . . . : fec0::4:4926:73c9:63cf:a849%1(首选)
   本地链接 IPv6 地址. . . . . . . . : fe80::4926:73c9:63cf:a849%11(首选)
   IPv4 地址 . . . . . . . . . . . . : 192.168.0.71(首选)
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   获得租约的时间  . . . . . . . . . : 2014-08-18 14:02:34
   租约过期的时间  . . . . . . . . . : 2014-08-25 15:17:35
   默认网关. . . . . . . . . . . . . : fe80::1eaf:f7ff:fe6f:e0fb%11
                                       192.168.0.1
   DHCP 服务器 . . . . . . . . . . . : 192.168.0.1
   DNS 服务器  . . . . . . . . . . . : 2620:0:ccc::2
                                       114.114.114.114
                                       61.134.1.4
   TCPIP 上的 NetBIOS  . . . . . . . : 已启用

C:\Users\Brick>netsh interface ipv6 show rout

发布    类型     跃点数 前缀                     索引 网关/接口名称
------- -------- ---    ------------------------ --- ------------------------
否        手动        4096  ::/0                       11  fe80::1eaf:f7ff:fe6f:
e0fb
否        手动        256  ::1/128                     1  Loopback Pseudo-Interf
ace 1
否        手动        4096  2002::/16                  11  fe80::1eaf:f7ff:fe6f:
e0fb
否        手动        8    2002:d21b:910:4::/64       11  本地连接
否        手动        256  2002:d21b:910:4:4926:73c9:63cf:a849/128   11  本地连
接
否        手动        256  fe80::/64                  11  本地连接
否        手动        256  fe80::4926:73c9:63cf:a849/128   11  本地连接
否        手动        8    fec0:0:0:4::/64            11  本地连接
否        手动        256  fec0::4:4926:73c9:63cf:a849/128   11  本地连接
否        手动        256  ff00::/8                    1  Loopback Pseudo-Interf
ace 1
否        手动        256  ff00::/8                   11  本地连接


C:\Users\Brick>


从机ping各个网站也能ping通。
但是，我的从机ping局域网内其他从机时有些能通，有些不通，ping 192.168.0.1 一直ping不通，这又是什么原因？。
我的第二个问题是：
从机应该是通过6to4连上ipv6的，能不能重新配置，让从机也像主机一样具有2001开头的ipv6地址？
这几个问题我已经纠结了很久了，希望各位大神能帮我解答。我手头上有路由器，需要的话可以连上去。

主机类似路由器的功能吧，是个windows2003的系统吧？它直接给下面的PC做NAT共享上网，功能就是类似路由器和NAT设备吧，至于V6的连接部分，单从上面还看不出来。

如果需要重新配置网络，尤其是v6部分希望从机也能获取2001开头的地址，建议找本地网管确认，主要是你的v4地址有限，从机上网必须做v4的NAT，而v6地址如何分配无法从现有信息看出来。

另外，不是只加个路由器就能解决一次，需要路由器同时支持v4和v6，以及支持v4的nat，v6的地址分配或RA/dhcpv6，甚至其他的根据组网需要的功能，这个不能一二句话就说清楚。

满天星 发表于 2014-8-18 18:07
主机类似路由器的功能吧，是个windows2003的系统吧？它直接给下面的PC做NAT共享上网，功能就是类似路由器和 ...

你好，谢谢你的回答。
那么，我应该找网管确认什么事情呢？我们这边的实验室好像都是一样的配置。
其实，一开始我们实验室这边主机是没有开通ipv6协议的，宿舍那边有。后来我抱着试一试的心态给主机安装了ipv6协议，竟然发现可以上六维了。从机这边也跟着分到了2002开头的ipv6.
另外，我们主机是计流量上网，一旦超流量就会断外网。可我发现，从机使用goagent代理之后，即使主机超流量不能上外网了，我们从机仍然可以通过goagent代理上网，就算把从机的ipv4协议取消了也可以。而且，有流量的情况下，我们从机用goagent 代理时，从机地址变成了美国ip,而且浏览网页，上youtube看视频不耗费ipv4流量（我们有流量监控软件，ipv6不计流量）。但是，我不知道这会不会折算成主机的ipv4(主机性能低，没有装流量监控)。
但是，我的从机在看北邮的ipv6电视时它却算ipv4的流量！！只有把ipv4协议取消了看它才不会算流量。

从机的Ipv6究竟是怎么来的？

之前我们实验室是有装路由器的，但我不知道当时的连接情况是怎样，后来他们拆了路由器就连成现在的样子也能上。
你说现在看不出ipv6的情况，那需要什么信息我可以提供给你，希望你能帮我提供指导。
最后，我看百度上有人说普通路由器按某种接法也可以支持ipv6,但我不知道他们说得有没有道理，请你帮我看看。

教育网让普通路由器支持ipv6
http://wenku.baidu.com/link?url=64R1jdaSOvfo75qtR8aJeUqsdQIiVEUYqw3nW7WoFS78jnok_rwpIjhdYRku2tMnMvz5PmAsNPnjSm567ve2fR2kTo1RgMqtD-s2-v8Mz8K

路由器当交换机用实现ipv6接入(适合校园网)
http://wenku.baidu.com/link?url=LuxL2ks8PxNmOKZPaU2FASd4bAi1pz1f3rQoXdZ-NOpCQh0jJSbethqwECw3cT44jsgCOFDClza8iq-EmE0Rpvs1Z40MIzXW7l1XOi_nuaC

需要确认的问题：如果实验室所有PC直接通过交换机接入，是否能直接获取到2001开头的教育网ipv6地址？

因为你的主机是能获取到的，理论上来说应该问题不大，或者你直接找2台pc机，和主机的外网口接入同一个交换机，看是否都能获取到ipv6地址。


至于你说的流量计费方式我确实不大了解，从来没有接触或使用过这样的计费系统，抱歉了！
你说的goagent的流量和网络连接，针对这类网络协议的分析通讯连接，一般可直接通过wireshark等抓包软件抓包来分析网络数据连接信息，是最直接与清楚的方法，但是需要一定的水平和能力，你自己可以尝试或了解吧，这些东西因环境和连接而异。

另外从机的ipv6地址如果是你自己直接安装了一下ipv6协议就能用，那就可能是6to4隧道生效了，可以尝试查看、禁用、启动6to4隧道，进行操作后是否禁用或启用了ipv6网络的连接性，置顶帖的故障分析里面有6to4隧道的操作命令与办法。

如果你前面验证的二台pc和主机都能直接获取ipv6地址，那么可以按你最后发的方式来实现组网并实现v4与v6同时上网。其实并不是路由器支持ipv6了，而是压根没用路由功能，把它当交换机来用，因为交换机不区分v4或v6。

满天星 发表于 2014-8-18 23:25
需要确认的问题：如果实验室所有PC直接通过交换机接入，是否能直接获取到2001开头的教育网ipv6地址？

因为 ...

你好，我按你说的把外网网线直接插交换机，把主机和从机直接接交换机，主机可以正常认证上网，但由于我们的主机是绑定MAC地址认证上网的，从机认证不了不能上。但是在查询从机的ipconfig 命令时可以看到从机有分配到2001开头的ipv6地址，只是认证不了。
另外，之前外网网线接主机，主机再接交换机上网时，我把主机的6to4隧道关闭之后，从机就不能使用ipv6了，看来从机确实是通过主机6to4隧道才能使用ipv6.
那么，从机用6to4隧道上Ipv6产生的流量究竟是算ipv6的呢还是算ipv4，网上关于6to4隧道好像没有讲到这番方面的内容。
还有，我的主机在用ipconfig 命令查询时，可以看到有两个2001开头的Ipv6地址，这又是什么原因呢（在第一个帖子里有主机的ipconfig 命令显示）
最后，现在在只有一台机子能认证上网的情况下，要让其他从机也能分到2001开头的ipv6是不是只有用能支持IPV6的路由器了？还有其他解决方法吗？
谢谢！

从机都能获取到2001开头的地址，而认证不通过，那你可以试试不认证的情况下直接访问ipv6网站，如果可以说明v6不需要验证即可使用，而v4上网才需要验证，最后你就可以按你3楼找到的方法同时接入v4和v6了。
也就是v4上网通过路由器做nat，公网地址配置在路由器上，内网地址设置为192.168.0.1的地址，关闭dhcp手工配置内网ipv4地址为192.168.0.X，网关为192.168.0.1(如果主机公网地址是手工配置而不是dhcp的，则可以不关闭dhcp)
v6就直接通过交换机自动获取2001的地址，关闭6to4即可。

6to4隧道是一种ipv6 over ipv4的隧道，因此流量是走的v4的，论坛里面有帖子介绍原理，看懂了则可明白这个道理。

有二个2001地址的问题，请参考论坛的帖子：
http://www.ipv6bbs.cn/thread-210-1-1.html

基本上大部分windows系统常用到的信息、命令都已经涉及到了

满天星 发表于 2014-8-19 10:43
从机都能获取到2001开头的地址，而认证不通过，那你可以试试不认证的情况下直接访问ipv6网站，如果可以说明 ...

版主，我昨天按你说的方法试了一下，发现没有认证的时候IPV6用不了，从机虽然能分到2001开头的地址，可怎么也打不开网页。昨天弄了一天从机都不能上网。
昨晚我又在网上搜一搜高校的校园网资料，结果在人人上发现了这篇文章，我们学校的也是用锐捷802.1x认证上的网。
全文如下：
校园近期开始对校园网认证方式进行了修改，必须使用合法帐号和密码才能登陆上网，目前只有老师有该权限而且每个帐号只能同时一个人登陆，因此很多实验室无法正确使用至少无法多人同时使用。该软件（802.1X认证技术）&硬件(H3C交换机)在一定程度上杜绝了ARP攻击，因为非法用户是无权使用网络资源的，对应连接到H3C交换机的端口是关闭的。如何组建内部局域网并共享外网访问权呢？请详细看本文：

1＃：802.1x认证技术的特点

2：802．1x协议工作机制

3＃：双网卡局域网共享上网破解方法与原理

4＃：单网卡局域网共享上网破解方法与原理

5＃：客户端替换产品——xClient V2.0 软件

【802.1x认证技术的特点】
    802.1x协议仅仅关注端口的打开与关闭，对于合法用户（根据帐号和密码）接入时，该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。认证的结果在于端口状态的改变，而不涉及通常认证技术必须考虑的IP地址协商和分配问题，是各种认证技术中最简化的实现方案。
　　802.1x认证技术的操作粒度为端口，合法用户接入端口之后，端口处于打开状态，因此其它用户（合法或非法）通过该端口时，不需认证即可接入网络。对于无线局域网接入而言，认证之后建立起来的信道（端口）被独占，不存在其它用户再次使用的问题，但是，如果802.1x认证技术用于宽带IP城域网的认证，就存在端口打开之后，其它用户（合法或非法）可自由接入和无法控制的问题。
　　接入认证通过之后，IP数据包在二层普通MAC帧上传送，认证后的数据流和没有认证的数据流完全一样，这是由于认证行为仅在用户接入的时刻进行，认证通过后不再进行合法性检查。

     每个物理端口内部又分为受控端口和非受控端口，非受控端口只负责处理认证数据包，受控端口负责处理业务数据。登陆前，用户只能通过非受控端口发送和接收认证数据包(802.1x格式)，而其他格式的数据包则无法通过受控端口;登陆后，受控端口对用户开放，接受数据的传输。实现:如果用户把自定义的数据格式代替了EAP认证报文，并按需要改动一下目标MAC，而交换机仍然把此数据包当成合格的802.1x认证包处理，但把它发给了指定的MAC。实现:认证数据包采用自己的IP(运营商分配的)骗过服务器的认证，而正常的数据通讯仍然采用真实IP



【802．1x协议工作机制】
以太网技术“连通和共享”的设计初衷使目前由以太网构成的网络系统面临着很多安全问题。IEEE 802.1X协议正是在基于这样的背景下被提出来的，成为解决局域网安全问题的一个有效手段。  
　　在802.1X协议中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。
　　1.客户端：一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。  
　　2.认证系统：在以太网系统中指认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。  
　　3.认证服务器：通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。

　　在具有802.1X认证功能的网络系统中，当一个用户需要对网络资源进行访问之前必须先要完成以下的认证过程。 　　
　　1.当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。  
　　2.交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。  
　　3.客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。  
　　4.认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。  
　　5.客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。  
　　6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。  
　　这里要提出的一个值得注意的地方是: 在客户端与认证服务器交换口令信息的时候，没有将口令以明文直接送到网络上进行传输，而是对口令信息进行了不可逆的加密算法处理，使在网络上传输的敏感信息有了更高的安全保障，杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。
　　在802.1X解决方案中，通常采用基于MAC地址的端口访问控制模式。采用此种模式将会带来降低用户建网成本、降低认证服务器性能要求的优点。对于此种访问控制方式，应当采用相应的手段来防止由于MAC、IP地址假冒所发生的网络安全问题。  
　　1.对于假冒MAC地址的情况  
　　当认证交换机的一个物理端口下面再级连一台接入级交换机，而该台接入交换机上的甲用户已经通过认证并正常使用网络资源，则此时在认证交换机的该物理端口中就已将甲用户终端设备的MAC地址设定为允许发送业务数据。假如同一台接入交换机下的乙用户将自己的MAC地址修改得与甲用户的MAC地址相同，则即使乙用户没有经过认证过程也能够使用网络资源了，这样就给网络安全带来了漏洞。针对此种情况，港湾网络交换机在实现了802.1X认证、授权功能的交换机上通过MAC地址+IP地址的绑定功能来阻止假冒MAC地址的用户非法访问。
　　对于动态分配IP地址的网络系统，由于非法用户无法预先获知其他用户将会分配到的IP地址，因此他即使知道某一用户的MAC地址也无法伪造IP地址，也就无法冒充合法用户访问网络资源。  
　　对于静态分配地址的方案，由于具有同一IP地址的两台终端设备必然会造成IP地址冲突，因此同时假冒MAC地址和IP地址的方法也是不可行的。  
　　当假冒者和合法用户分属于认证交换机两个不同的物理端口，则假冒者即使知道合法用户的MAC地址，而由于该MAC地址不在同一物理端口，因此，假冒者还是无法进入网络系统。  
　　2.对于假冒IP地址的情况  
　　由于802.1X采用了基于二层的认证方式，因此，当采用动态地址分配方案时，只有用户认证通过后，才能够分配到IP网络地址。  
　　对于静态地址分配策略，如果假冒了IP地址，而没有能够通过认证，也不会与正在使用该地址的合法用户发生地址冲突。  
　　如果用户能够通过认证，但假冒了其他用户的IP地址，则通过在认证交换机上采用IP地址+MAC地址绑定的方式来控制用户的访问接入。这使得假冒用户无法进行正常的业务通信，从而达到了防止IP地址被篡改、假冒的目的。  
　　3.对于用户口令失窃、扩散的处理  
　　在使用802.1X认证协议的系统中，用户口令失窃和口令扩散的情况非常多，对于这类情况，能够通过在认证服务器上限定同时接入具有同一用户名和口令认证信息的请求数量来达到控制用户接入，避免非法访问网络系统的目的。 ­



【双网卡破解方法】

原理：
多台内网电脑通过交换机与双网卡服务器电脑的内网网卡相连接，服务器把外网网卡共享，然后内网主机就可以通过双网卡服务器访问外网。
如何绕过802.1检测：
与学校交换机相连接的只有服务器主机，内网数据包交换机检测不到。所以上网工作安全稳定。

双网卡服务器设置：
把内网网卡的IP设置为192.168.0.1 子网掩码255.255.255.0 其它空就可以了
把外网网卡的IP MAC设置为绑定的值，设置一下给定的DNS，或者设置为自动获取 把外网网卡共享,通过802.1X客户端，用外网网卡拨上号，然后其它内网电脑就可以上网了

内网主机设置：
把网卡IP设置为192.168.0.2到192.168.0.254  子网掩码255.255.255.0 网关192.168.0.1 DNS 用双网卡主机获取的DNS 海大的为211.64.142.6和211.64.144.130

注意：
如果用华为的H3C802.1x客户端，是不行的。需要使用lfc的xclient，相当不错
华为客户端会检测双网卡，代理等等，而xclient不会。xclient相当优秀的一款免费共享软件。
并且目前作者一直在维护。最新版本xclient2.0有支持各种系统的版本

注意：也可以借助软件如AnyRouter(软网关) ：
http://www.onlinedown.net/soft/43145.htm   
http://www.skycn.com/soft/24924.html
http://www.crsky.com/soft/9994.html ­


【单网卡破解方法】

原理：
与双网卡服务器原理基本一样，只是把内网和外网用在一个网段而已。把内网IP和外网IP设置在一个网段内，就可以省下一个网卡。但是因为一个网卡的话是无法共享的，那么就需要装个虚拟网卡之类的东东。

物理连接：
外网网线连到个人的交换机上，然后把服务器和内网机器都连接到个人交换机上

如何绕过802.1检测：
利用服务器连上号后，服务器的IP MAC为经过认证的，可以通过认证交换机端口，而其它的内网主机则不行。其它的内网主机把ip设置与服务器在一个网段内，网关是服务器的ip就可以了。

单网卡网关服务器设置方法：
采用XP系统自带的工具即可，可能需要安装光盘里的资源文件。
DEVCON：是XP系统的一个CMD指令，用于完成CMD下的设备管理。
环回适配器：可以看作MS的内部虚拟网卡 。
连接共享：XP中提供的使局域网中电脑分享一个网络连接的功能。
操作方法：
CMD下 运行命令
devcon install "%WINDIR%\Inf\Netloop.inf" *MSLOOP
可以为系统增加一个环回适配器，并创建一个对应的 本地连接
期间可能需要放入安装光盘，提取安装文件。
然后  网上邻居---〉属性 发现除了原有的 “本地连接” 外多出一个“本地连接?”
把 新的“本地连接?”中的一个设置为共享，然后把 新的“本地连接?”都给禁用了
原先的“本地连接”设置为指定的IP MAC 或自动获取即可（注：对于802.1为了使服务器的地址不成天变，可以设置为一个网段内的IP，用xclient有个不自动分配IP的选项，连上后IP是固定的，但有IP冲突的可能性，没事，换个就可以了）

内网主机IP设置：
把IP设置为 与服务器在一个网段内的，网关设置为服务器的IP  再设置一下DNS就可以了。
工作过程：
在个人交换机中的数据帧既有服务器的，又有内网主机的，但是只有服务器的数据可以穿透认证交换机，其它的会被隔离掉。内网主机通过个人交换机连到服务器，然后服务器再通过个人交换机就可以访问外网了。因为内网的数据包不会达到认证交换机，所以不用怕内网上的IP和认证交换机上的IP一样而导致IP冲突。所以是很安全的。

注意：如有人高速下载时，服务器可能会有点点小卡

【xClient V2.0】
xClient是一款基于H3C 802.1x协议的上网客户端，它具有体积小巧、上线迅速、不易掉线的优点，是H3C iNode Client及H3C 802.1x 客户端的良好替代品。xClient可以支持动态分配IP和静态指定IP两种IP分配方式，同时可以通过自定义版本号来适应各种具体的网络环境。最新版增加了对Vista的支持。
说明：本软件依赖WinPcap，请先行安装。
主页&更新：http://www.flyx.cn/
What's New 2009/02/26
1、用VS2005重写了代码
2、支持Vista操作系统
3、修正了网卡列表与实际不对应的bug
4、暂时去掉了断线识别功能
5、更改了用户信息存储方式，不再生成xClient.dat文件
What's New 2008/10/03
1、添加了断线识别，当网线被拔出时自动断开
2、添加了自定义版本号功能
3、添加了开机自动运行功能和任务栏气球提示效果
4、添加了在程序中检查最新版本的功能
5、修正了选择网卡后无法上线的BUG
6、去掉了广告
7、制作了集成WinPcap的完整安装包，无需另行安装WinPcap软件
What's New 2008/03/27
1、提供对固定IP的支持
2、更新了部分数据包结构
3、对一些细节进行了优化
What's New 2008/02/29
1、取消了使用时间限制
What's New 2008/01/21
1、修正了释放IP的Bug
2、将关闭按钮改成了最小化，防止误操作造成的断网
3、添加了一条小广告^_^
What's New 2008/01/01
1、修正了多网卡获取IP失败的错误
What's New 2007/12/30:
1、重写了代码
2、优化了用户体验
3、修改了若干Bug ­


文章后面讲的“双网卡破解方法”好像就是我第一个帖子里说的我们实验室局域网的连接方式。然后我想尝试一下“单网卡破解方法”，可是它里面说的“内网主机与服务器在同一个网段，网关设置为服务器ip，再设置一下DNS就可以了”  假如我照它这么接，服务器获得的ip是 150.27.9.26，那我内网从机的ip 是不是设置成150.27.9.12（最后一段不一样就可以了？），从机网关设置为150.27.9.26吗？，那主机和从机的DNS该怎么设置，能不能详细点告诉我？
还有，添加环路适配器那里也不是很明白。
谢谢！

作为一个学校认可的实验室，既然认证不通过，我认为首要解决办法是直接找校园网管理中心去申请开通，而不是想着法的去破解！
因为学生宿舍采用这种机制可以理解，不过实验室这样搞就不应该了。不过绕过802.1x认证的方案，貌似在教育网学生宿舍上网很常见，我没有接触过这种环境，也不方便多发表什么。只是觉得这不是个什么好的学习方法，纯属copy别人的内容，知其然而不知其所以然。
最后如果你非得这样尝试，那么dns设置应该是和主机外网卡一致的，除非你在主机开启dns代理功能才能将dns设置为主机的ip。
环路适配器只是个虚拟网卡而已，实现一些特殊的功能。