8021x需求分析书.docxVIP

技 术 文 件名称：802.1X需求分析书版本：V1.0日期：2016.08.08作者：李勇前修改记录版本编号修改日期修改人员修改原因修改内容V1.02016.08.08 李勇前初始编写初始编写目录一、简介41.1：目的41.2：范围41.3：专有名词解释4二、总体概述52.1：软件概述52.2：软件功能62.3：外部依赖9三、功能需求93.1：控制端口阻塞93.2：报文交互103.2.1: 中继模式103.2.2: 终结模式113.3：对外api接口123.3.1：dot1x (enable | disable)123.3.2：dot1x authtype ge 1-8 (eap | chap)123.3.3：dot1x port-control ge 1-8 (uncontrol | auth)123.3.4：dot1x server A.B.C.D auth-port 1024-65535 acct-port133.3.5：show dot1x cfg133.3.6：dot1x set debug 03.7：dot1x secretKey USER-PASSWORD133.3.8：show dot1x debug133.3.9：dot1x guest-vlan NUM /* 暂不支持 */133.3.10：dot1x auth (init | detach) /* 用户无需关注 */13四、性能需求144.1：不影响其它模块144.2：不占用用户带宽14五、质量需求145.1：可维护性145.2：可测试性145.3：可移植性14六、其它需求15七、参考资料清单15一、简介1.1：目的本文件为802.1X协议的需求分析书，旨在分析、描述802.1X协议，明确需要实现的功能，为后续软件开发奠定基础。1.2：范围本文从软件的角度描述协议的需求，后续完成的软件，将运行于公司OLT产品。1.3：专有名词解释IEEE:Institute of Electrical and Electronics EngineersAAA:Authentication、Authorization、Accounting 认证、授权、计费RADIUS:Remote Authentication Dial In User Service，远程用户拨号认证系统EAP:Extensible Authentication ProtocolEAPoL:EAP Over LANMD5:Message Digest Algorithm MD5，消息摘要算法第五版二、总体概述2.1：软件概述IEEE?802?协议定义的局域网不提供接入认证，一般来说，只要用户接入局域网就可以访问网络上的设备或资源。但是对于如电信接入、写字楼?局域网以及移动办公等应用场合，网络管理者希望能对用户设备的接入进行控制和配置，为此产生了基于端口或用户的网络接入控制需求。?802.1x协议作为局域网端口的接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。802.1x 协议是一种基于端口的网络接入控制协议，“基于端口的网络接入控制”是指在局域网接入设备的端口这一级，对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。下图中，两台PC为客户端，其上安装802.1X软件；Device为设备端，一般为交换机；Server为认证服务器端，一般位于远程位置，可通过网络与设备端通信。初始化时，两台PC的业务报文会被设备端丢弃处理；只有认证通过后才会正常转发。客户端是请求接入局域网的用户终端设备，它由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。设备端是局域网中控制客户端接入的网络设备，位于客户端和认证服务器之间，为客户端提供接入局域网的端口（物理端口或逻辑端口），并通过与服务器的交互来对所连接的客户端进行认证。认证服务器用于对客户端进行认证、授权和计费，通常为RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性，并将验证结果通知给设备端，由设备端决定是否允许客户端接入。在一些规模较小的网络环境中，认证服务器的角色也可以由设备端来代替，即由设备端对客户端进行本地认证、授权和计费。与PPPoE相比，802.1X有一定的优势：其可不需要BRAS设备，组网成本低；Radius Server可采用分布式部署，不会出现高并发时，认证不上和带宽性能瓶颈；业务报文没有额外的封装，不会增加网络负担；在认证通过前，用