清华大学校园网使用简介

2019年9月清华大学信息化技术中心https://usereg.
tsinghua.
edu.
cn/http://its.
tsinghua.
edu.
cn/its@tsinghua.
edu.
cn62784859、62771940现在的校园网主干5网络独立,物理分离,对称结构边界网络1+1双路全冗余备份汇接有线、办公无线、宿舍无线、支撑系统流量计费与审计,认证准出【正撤销中】阻断未经批准的0~1024、8000~8100、3389(远程桌面)、9100(网络打印)端口服务支撑系统双机全冗余接入:DHCP、DNS、AAA等等有线网主干网5结点7核心,双路对称,10G互联100G上联7核心同时完成接入用户的准入控制办公无线网4核心100G主干,控制器集中多10G接入宿舍无线网紫荆和南区分区组网每区双机虚拟,内置控制器,双10G上联教育网计费中国电信教育网v6计费左出口右出口左边界右边界李兆基主楼图书馆左图书馆右胜因院紫荆左紫荆右服务支撑系统李兆基主楼图书馆紫荆地区16#地区胜因院无线控制器出口边界网办公无线主干宿舍无线主干无线控制器有线主干认证认证sslvpn5个核心结点分布李兆基大楼核心胜因院核心主楼核心图书馆核心紫荆核心有线网办公局域网各单位自建、自管,二级单位设网管IPv4/v6双栈DHCP接入二层接入的办公局域网、学生宿舍、家属住宅DHCPv6分发用户终端IP(多数安卓不支持),不支持DHCPv6-PD三层接入单位需自有设备支持IPv6自动支持域名后缀tsinghua.
edu.
cn下的IPv6ISATAP隧道全面实施准入认证《中华人民共和国网络安全法》第三章第24条规定2003年开始在紫荆公寓部署2006年教工住宅网按准入模式建设2019年4月全网实施完毕局域网内部不受影响同一主干端口下同一VLAN中网络邻居应用不受影响同一主干端口下网关IP相同的设备间互访不受影响网络打印机不受影响无需登录即可跨网段(如无线到有线)直接打印校园网主干PortalAAADHCPDNSCERNET楼汇聚接入交换机准入控制位置准入认证基于BRAS的IPoE和Portal技术IPv4/v6双栈DHCP准入认证IPv4/v6同时使用DHCPv4/v6获取地址【多数Android系统不支持DHCPv6】IPv4/v6双栈,均须认证,认证成功后才能上网IPv4/v6联动认证成功后,依据MAC,v4/v6同时打开,仅适用于二层接入用户准入/准出联动入网认证成功后,打开出校访问.
【旧的准出网关(net)系统正在撤销中】4个步骤正确获得/设置IP地址自动完成预认证(完成DHCP或对外发包)完成登录(4种方式),使用网络完成注销(退出登录),避免被蹭网/冒用获取地址静态地址由单位网管向信息化中心批量申请,对本单位用户分配用户向本单位网管申请私自指定动态地址将不能出本地局域网动态地址办公有线网:166.
111.
*.
*、101.
6.
*.
*宿舍与住宅:59.
66.
*.
*私有路由器:192.
168.
*.
*拿地址失败:169.
254.
*.
*必须有正确的DNS"自动获取"时由DHCP系统自动下发IPv4:166.
111.
8.
28~29,IPv6:2402:F000:1:801::8:28~29手工设置时至少有一个在白名单中166.
111.
8.
28,166.
111.
8.
29,少量常用开放公共域名服务器没有正确的地址和DNS,网络不会通检查配置参数C>ipconfig/allDHCP获取1天租约1小时租约DHCP服务器可与网关相同正确DNS开放了少量常用公共DNSMAC地址办公网:166.
111、101.
6宿舍:59.
66有自动IPv6ISATAP预认证用户触发,系统自动完成,用户无感知二层接入动态IP用户:由开机或拔插网线后会自动发起的DHCP请求触发获取正确IP意味着预认证成功其他用户:由系统向外网发送的IP分组触发(包括ping)绝大多数系统均会主动大量发送对外请求成功后赋予用户预测略IP-MAC-VLAN-Port捆绑Ping166.
111.
8.
86通166.
111.
8.
86是usereg.
tsinghua.
edu,cn的IP地址可以访问http://usereg.
tsinghua.
edu.
cn【不是https,必须有可用的DNS】可以校内跨子网使用打印机【放开了TCP/UDP9100、515、631】可以进行用户登录登录方式操作方法位置过程适用对象效果浏览器(Portal)使用浏览器http【不是https】方式访问白名单网站输入用户名/密码,选择是否出校本机交互智能手机、计算机类智能终端一次有效客户端运行客户端输入用户名/密码选择是否自动运行、保存密码、是否出校本机自动、手动、交互计算机类智能终端一次有效代认证登录自服务网站https://usereg.
tsinghua.
edu.
cn/选"准入代认证"输入IP、密码、选择校内还是校外访问第三方交互任意一次有效预注册网管登录管理网站useradm.
tsinghua.
edu.
cn选择IP类型并分给对应用户账号、填写系统信息系统周期性(每15分钟)自动加载第三方自动任意持续有效只有预认证成功后才能进行登录操作,必须有白名单中的DNS才可能成登录功登录是独立操作,和真实的网站访问无关白名单浏览器http【不能https】访问可以触发用户连网认证的网址IPv4info.
tsinghua.
edu.
cn、3.
3.
3.
3、166.
111.
*.
*和101.
6.
*.
*的任意地址新浪、搜狗、百度、搜狐、网易、腾讯、qq导航、360导航、好123、凤凰、人民网、央视建设银行、招商银行、农业银行、交通银行、淘宝、京东、天猫、亚马逊、中关村在线爱奇艺、优酷、豆瓣、知乎、学堂在线、微软、APPLE、github、360、CSDN等IPv6[333::3]、清华电视墙北邮人、六维空间、上海大学、北邮电视墙、腾讯、微软可用DNS166.
111.
8.
28,166.
111.
8.
29,少量常用开放公共域名服务器电信114、Google、IBM、微软、阿里云、腾讯、百度、北京电信、北京联通、OpenDNS注销上网结束时必须的操作步骤避免被别人蹭网,产生费用损失或者额外的安全责任避免"偷跑流量"、巨额"不明流量"导致扣费避免妨碍后续用户的正常使用三层接入风险最大,二层接入动态IP的用户风险最小主动操作点击认证成功页或图形客户端的"断开连接"按钮已丢失认证成功页的,可访问http://auth.
tsinghua.
edu.
cn/,获得认证成功页登录https://usereg.
tsinghua.
edu.
cn/,点击"准入在线",选择需要注销的IP,点"下线"被动下线DHCP租约到期:二层接入DHCP用户有效,IPv4/v6不联动无流量超时:3小时出流量不足1k,IPv4/v6不联动二层接入静态IP需要更换设备(MAC)时,需要保持4小时无流量,以使系统删除对应预认证IP被分配:基本有效,有遗漏无线网采用802.
11ac技术,5GWiFi向下兼容双频802.
11n、802.
11a/b/g802.
1x、Portal认证瘦AP架构,集中式转发:AP到控制器建连接隧道,用户网关在无线网核心路由器上主要影响因素同频干扰:共享频谱空间,大量用户自接小无线路由器无序密集放置,频率互扰严重,极大恶化网络质量空间方位:信号在空间中的传播与具体的反射、阻挡环境和距离等密切相关,两相邻位置可能截然不同位置移动:终端初始关联AP后移动到其它AP的服务范围使用,但连接质量尚未差到导致中断重连终端特性:往往是问题的主要方面,劣质终端不仅本机使用性差,还会拖累整颗AP、拉低其上所有人的体验5GHz优先:系统开启了5G引导,使用户优先使用质量较优的5G频段可见官方连接Tsinghua-无线网使用说明:清华校园无线网在线用户使用说明Tsinghua-Secure:IPv4/v6双栈,IPv4DHCP、IPv6RA,802.
1x认证,推荐优先选用Tsinghua-IPv4:纯IPv4,DHCP,Portal认证【后续将撤销】Tsinghua-IPv6:纯IPv6,DHCPv6,多数安卓系统不支持,小米手机支持,Portal认证【后续将撤销】Tsinghua:IPv4/v6双栈,IPv4DHCP、IPv6RA,Portal认证【后续将改IPv6RA为DHCPv6】Tsinghua-5G:5GHz单频,其它与SSID"Tsinghua"相同【后续将撤销】Tsinghua-Visitor:IPv4/v6双栈,IPv4DHCP、IPv6RA,面向游客,Portal手机注册、不能访问校内Tsinghua-Guest:IPv4/v6双栈,IPv4DHCP、IPv6RA,面向访客、Portal手机或证件注册,校内受访人审核eduroam:IPv4/v6双栈,IPv4DHCP、IPv6RA,面向联盟成员,802.
1x认证,不能访问校内IVI、DIVI、DIVI-2:IPv6实证系统【有问题请直接联系项目组】Tsinghua-Secure推荐用户首选的主用系统802.
1x认证安全性好:可有效感知用户离线、避免被蹭网、避免用户间干扰天然支持IPv4/v6联动终端系统自身支持,有效避免了浏览器和客户端程序的系统兼容性问题可自动完成所用密码加密方式(MD4)的安全性弱于校园网现行方式(MD5)单独创建一套专用的、与现行统一身份认证系统无关的网络身份认证密码单独设置专用的加密机保证库存密码的安全性使用方法创设802.
1x专用上网认证密码登录https://usereg.
tsinghua.
edu.
cn,选择"802.
1x功能"下的"自注册及修改口令"在终端的网络列表里选取"Tsinghua-Secure"按提示输入"身份"(账号)、"密码"(802.
1x专用密码),按"连接"之后便可自动连接若不需要,如避免额外流量等,则需在配置中取消"自动连接"802.
1x专用密码与连接Tsinghua-Secure创设和修改802.
1x专用密码首次登录和连接网络修改自动连接的位置从校外访问SSLVPN仅供清华职工和学生访问校内限访资源教工使用工作证号、学生使用学号和统一认证密码登录外网上连中国电信Web书签方式只能用浏览器访问校内Web网站登录https://sslvpn.
tsinghua.
edu.
cn/后,点击Web书签中需要访问的网站Web书签可自行维护客户端方式推荐的正常使用方式.
偶尔从校外访问校内限访网站的,可用Web书签方式可像在校内一样使用校内各种限访资源访问https://sslvpn.
tsinghua.
edu.
cn/按首页提示下载并安装客户端系统负载可供1万用户同时在线,除查成绩外,其它时间负载极轻查成绩时8千用户在线持续2小时,建议错时使用4个常见问题有线网登录,浏览器不弹认证页、客户端报错禁用再启用网卡、拔插网线、重启计算机/小路由器,往往可以解决问题检查ipconfig/all,必须有正确的IP和DNS,网络才能使用ping166.
111.
8.
86,若不通则说明预认证没成功二层接入的静态IP用户需确保地址在4小时内未被别的设备使用过pingusereg.
tsinghua.
edu.
cn:若不通则说明DNS不在白名单中,请更换正确的DNS浏览器访问http://usereg.
tsinghua.
edu.
cn不通,很可能是你的浏览器异常,重启系统试试浏览器访问http://info.
tsinghua.
edu.
cn通,说明网络是已经打开的,此情况用客户端会报错无线网连接不稳、网速慢关闭再打开无线网络开关或断开再重连网络使得终端重新寻找信号最好的AP进行关联,而之前关联的AP可能因移动而变差换个使用位置、方向避开强遮挡(如墙、铁家具、金属网、书柜/架、绿植、人体等),靠近AP设备、面临反射源避开等强位置(避免在不同AP间频繁切换),避开使用人密集点无线网信号很强但是连不上你能看见AP,但AP看不见你.
或者之间信号衰减过大,或者AP周边噪声过强.