高校校园网下电脑IP是不是公网IP

突然想到一个问题，那就是高校校园网中的IP地址是不是公网IP，如果不是公网IP那么就是使用net后的共享IP，还或者是部分人用公网IP然后另一部分人使用net后的共享IP？？？

=====================================

给出自己画的一个高校校园的网络拓扑图：

上面的两个图就是我对校园网或者说是城域网的一些拓扑结构的观点，总的来说就是以区域做划分并分配给一个区段的独立IP地址，然后再把这些区段的IP再次划分成更小的区段给到楼宇或者小区，比如上面第二个图中就说把一小段的独立IP分配给一个楼宇。在楼宇中我们可以设置一个路由网关来做net转换，也就是用来将独立的IP转为一段共享IP，然后把这段共享IP以vlan的方式分给三层交换机，然后三层交换机通过二层交换机实现扩口的方式来连接到终端的个人用户。

这所以要分析上面的这个拓扑图就是要回答校园网中到底是如何使用独立IP的。我们知道独立IP才是真正在互联网上使用的，而共享IP（net转换的）只能在局域网使用，而出了局域网也是要转换为独立IP的。一个独立IP可以建立几万个tcp会话（一个ip地址的端口数可以有几万个），一个vlan里面我们通常设置254个共享ip，我们假设一个终端电脑保持100个tcp连接，那么也就是说一个独立IP可以保证几个vlan的正常运行。但是考虑到共享IP本身就难以同时被占用（dhcp的回收），并且每个终端的tcp连接数也不见得都有100个，所以一个独立IP是可以被net转换为十几个甚至几十个有245个共享ip的vlan网段的。知道了这一点我们就可以回忆一下大学时代在宿舍连接局域网打魔兽争霸的时候，那时候开局域网建房连隔壁的宿舍同学也可以直接加进来的，这也就说明这两个宿舍是在一个vlan里面的，因为局域网魔兽争霸建房就是局域网的广播机制实现的。

在十几年前，高校一般都是不在校园网络中使用net转换的，同时也禁止学生私自使用net转换路由器的，主要就是net转换后可以实现扩大接入终端数量的目的，但是上层的网络设备如交换机等往往是性能难以支撑的，而学生大量在宿舍使用net转换路由器是很可能使整个网络通信质量下降甚至是严重影响，当然即使到了今天也是名义上禁止的。但是以前的校园网都是在网络的非教育网出口上使用net转换，因为在营运商那里买的ip段往往是不够的，比如一个高校里面有10000个学生，也有10000个教育网的独立IP，但是只有100个营运商的独立IP，如果有的路由是要走营运商出口的，那么我们需要使用net转换来实现ip扩充的，但是对于教育网的IP地址往往是可以做到每各终端都有一个独立IP的。但是这些年可能是由于学校招生扩招吧，慢慢的net转换也开始用到了楼宇层面了，比如在宿舍中电脑ip都是192.168开头的，也就是上面画的第二张图中的那种。

知道了上面的这个原理，我们也就是知道了为什么在学校里在一个宿舍使用ip查询时出现的IP地址和你去对面屋插上网线后查询ip的结果是一样的，就如同下面这样的：

如果你再高校中访问互联网，而想换个公网IP的情况下你不能去换隔壁宿舍，你可能需要换楼层甚至换楼上网，此时再查询公网IP才会发现有变化，不然你就会神奇的发现你在隔壁宿舍上网查询的公网IP和本宿舍查询时的是一样的诡异事情。

再说一个曾经的校园网神奇软件：

十多年前自己读大学时就比较喜欢用这个软件，那时候整个校园网里面终端电脑上的IP都是公网IP，虽然由于有防火墙和dhcp的原因无法建立网站啥的，但是不同楼宇之间都可以使用这个飞鸽软件来传递文件的，但是在现在的这个校园网情况下就很难再使用这个软件了。现在的校园网里面给终端分配的ip往往都是共享的私有IP，是无法再用这个软件的，因为即使是三层交换机做vlan连接也都是楼内做的，你可以用飞鸽和同楼的用户传递文件但是难以做到楼宇之间用户传递文件，因为现在的校园网设计往往都是楼的网关做一个net地址转换，而两个在不同的net转换路由器后的主机时不能通过飞鸽通信的，当然这样不绝对，如果是把net转换发展了更高一层也是可以实现飞鸽的楼宇间通信的，不过这个不太现实，因为这样设计的网络拓扑的造价也是比较高的，而且很浪费。

不过一些比较豪的大学还是可以做到每个终端一个独立IP的，如清华大学：

http://ip.t086.com/place/2

其实有独立IP的一个好处就是写爬虫的话完全可以就地取材，每一个端口就是一个公网IP，而在那种共享IP的环境下基本所有IP都是共用一个公网IP就没法搞了。

=====================================

在网上找到了一个相关回答，分享在这里，虽然不是很准确但也是可以作为参考：

https://www.zdaye.com/daili/ip/4191.html

------------------------------------

山大网管会，四年网管不邀自来。所说的情况均为4年前的~
主要看前面没有满意的答案，于是开本子，怒答此题目。

1.不用怀疑，一般稍有名气一点的大学都用的是公网IP，包括学生宿舍，学校链接的是CERNET， 好像是这个名字，其实就是IP地址几个大学分，稍好点的985，211基本上地址都是够用的。基本可以做到，DHCP分配，不用的地址2小时回收，登陆再发放。
2.国际的互联网组织对于大学是很照顾的，毕竟好歹也是科研机构。国外不少大学独享一个B类地址，用不完也不给别人，尤其是美资本主义国家啊 ^_^
3.不少大学的Fellow在网络组织中有说话权重，所以各种资源自然也往这边倾斜。

校园网的公网IP我有话想说：
1.一个400~ 500 人的学生公寓，大概分一个1C 类的地址，大概253个，网络号，广播地址，默认路由各一个,基本用在200左右，有不够用的多加半个C的地址，起sub接口
2.IP地址比较零散，或者分到我手里的，一两个长段的IP，其他的都是单独的1个C，或者半个C 的地址。当时我们这个小区打开4000人 ，我手上最少的时候是24个C的地址，最多是32个左右
3.以山东大学为例,边界网关启的是BGP,有公网的BGP号，各个校区之间也是BGP，私网的BGP号。分到的IP地址可以向外宣布，所以，前面说拿到公网的IP也可以独立宣布。
4.对接CERNET还好，本身CERNET内部路由表不是很多，邻居也不多，另外直连清华核心节点，默认路由也搞得定。BGP学来的路由也是零散的。
5.后来老师学生反映教育网CERNET太慢了，由从电信购买了部分带宽，但是就有问题了，我们的路由太零散，发布到电信的网里面不好做控制，而且IP经常变化，比如今天分配给你一段IP,后面要把前两年给你的IP收回去，电信觉得麻烦，要我们搞NAT.这就好玩了，公网IP做NAT转公网。但是好景不长，很快NAT就扛不住学生的大流量了。然后有折腾只能老师访问电信，到后来专门买了传说中的7层交换机，把web页面访问转到电信，其他的流量走教育网，后来，又将迅雷等软件单独分到2G流量上，各种折腾。。。。
5.5这就是前面有人说，访问电信的时候发现IP变了，就是因为电影不让我们通过BGP发布路由，干扰他们的系统。要我们做NAT电信管理最方便。
6.当年还出现过，路由发布的不好，数据包去方向走的电信，因为我们做规则嘛出去的好控制，回来的方向不受控，又走教育网，还是各种头疼。

=====================================

说下题主关于安全性的问题。
1.校园网 也是园区网 都是一个单词哈哈哈~~~，还是内部网络的一种，分别是内部网络，还是外部网络的根本在于是否在一个AS(自治域)内，所以算是内部网络的一种。
2.如果要入侵学生电脑，无需先破解各路由器/服务器，除非要针对整个学校的攻击，比如把流量倒到某个地方，比如盗几个公网的IP，开个网站啥的。一般针对学生，一般用户的攻击，直接用IP发起，不用反过来等用户连接。前面有人说的防火墙，基本不过滤学生的数据，因为学生数据太大，需要的性能太高了。防火墙只是帮学校内部的服务器，DNS等挡一挡，一般入侵高校学生的机器，要比入侵普通电信用户要稍微简单点，少了一个NAT转换。但是一般学生机器稍慢一点就重装系统了，一切都白忙活了，所以很少听说学生被入侵。
3.一般公IP比较珍贵，所以采用的是DHCP，导致经常一上线IP就变化了。而且电脑经常都关掉，稍微慢了就找师哥，学生组织重装，所以没听说被入侵怎么样的。
4.学校服务器倒是经常被入侵，来自校内校外的都不少，歪国友人也有，曾经有个服务器经常传数据到国外，查到那个学院，学院网管都不知道，网络中心这边也是因为走国际流量要收费，才发现这个IP经常传数据出去，但是具体传的啥，没细询问。
5.曾经开个小测试网站提供给远在美国和哈尔滨的同学测试，都卡的要死，估计别人入侵的时候，网络也卡的要死，也干不了什么坏事，我们当年有个梗嘛，说：

我上高中的时候，一直沉迷于网络游戏，无法自拔，自从来了山东大学，校园网的网速度让各种游戏都有很高的延迟，而且经常掉线，我的游戏伙伴们都把我给踢了，剩下孤独的我只能去看书，学习，是山大校园望拯救了我，我从此不再沉迷网络。。。。。
=======================================
时间太久了，记不清的地方请兔子帮忙指教 @王加冕

补充：回答为什么电信网访问的快：(知乎还我图！！！！)
显然电信的车道宽，而且路径短。现在问题来了，你作为开车的人，你并不知道怎么走，这时候正常的情况是：
如果，学校要是想走电信怎么走呢，把牌子改下，你就知道应该从左边走快了。
但是数据包（车）到了目的地，想要回来怎么办呢？你发现目的的桥牌只是还是按照原来的方向指的。所以你要想回来的数据包也走这条路，你得造一路的路牌。但是电信的路牌不会让你改的。
那怎么办？
但是这个时候，你的数据包出去的时候就不能说我是"山东大学"要说我是“电信的*山东大学”
这样来回都可以走电信的路径了，这就是简单解释为什么访问电信要做地址转换了。
也就是从“山东大学”转换成了“电信的山东大学”

==================================