802.1x需求书探索.docxVIP

技术文件名称：802.1X需求分析书版本：V1.0日期：2016.08.08作者：李勇前修改记录版本编号修改日期修改人员修改原因修改内容V1.02016.08.08李勇前初始编写初始编写一、简介1.1：目的本文件为802.1X协议的需求分析书，旨在分析、描述802.1X协议，明确需要实现的功能，为后续软件开发奠定基础。1.2：范围本文从软件的角度描述协议的需求，后续完成的软件，将运行于公司OLT产品。1.3：专有名词解释IEEE:InstituteofElectricalandElectronicsEngineersAAA:Authentication、Authorization、Accounting认证、授权、计费RADIUS:Remote Authentication Dial In User Service，远程用户拨号认证系统EAP:Extensible Authentication ProtocolEAPoL:EAP Over LANMD5:Message Digest Algorithm MD5，消息摘要算法第五版二、总体概述2.1：软件概述IEEE?802?协议定义的局域网不提供接入认证，一般来说，只要用户接入局域网就可以访问网络上的设备或资源。但是对于如电信接入、写字楼?局域网以及移动办公等应用场合，网络管理者希望能对用户设备的接入进行控制和配置，为此产生了基于端口或用户的网络接入控制需求。?802.1x协议作为局域网端口的接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。802.1x 协议是一种基于端口的网络接入控制协议，“基于端口的网络接入控制”是指在局域网接入设备的端口这一级，对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。下图中，两台PC为客户端，其上安装802.1X软件；Device为设备端，一般为交换机；Server为认证服务器端，一般位于远程位置，可通过网络与设备端通信。初始化时，两台PC的业务报文会被设备端丢弃处理；只有认证通过后才会正常转发。客户端是请求接入局域网的用户终端设备，它由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。设备端是局域网中控制客户端接入的网络设备，位于客户端和认证服务器之间，为客户端提供接入局域网的端口（物理端口或逻辑端口），并通过与服务器的交互来对所连接的客户端进行认证。认证服务器用于对客户端进行认证、授权和计费，通常为RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性，并将验证结果通知给设备端，由设备端决定是否允许客户端接入。在一些规模较小的网络环境中，认证服务器的角色也可以由设备端来代替，即由设备端对客户端进行本地认证、授权和计费。与PPPoE相比，802.1X有一定的优势：其可不需要BRAS设备，组网成本低；Radius Server可采用分布式部署，不会出现高并发时，认证不上和带宽性能瓶颈；业务报文没有额外的封装，不会增加网络负担；在认证通过前，用户报文不能前往上联网络，提高了网络安全性。2.2：软件功能控制端口状态设备端为客户端提供接入局域网的端口被划分为两个逻辑端口：受控端口和非受控端口。????????非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，保证客户端始终能够发出或接收认证报文。?????????受控端口在授权状态下处于双向连通状态，用于传递业务报文；在非授权状态下禁止从客户端接收任何报文。EAP中继802.1X系统使用EAP（Extensible Authentication Protocol，可扩展认证协议）来实现客户端、设备端和认证服务器之间认证信息的交互。EAP是一种C/S模式的认证框架，它可以支持多种认证方法，例如MD5-Challenge、EAP-TLS、PEAP等。在客户端与设备端之间，EAP报文使用EAPOL（Extensible Authentication Protocol over LAN，局域网上的可扩展认证协议）封装格式承载于数据帧中传递。在设备端与RADIUS服务器之间，EAP报文的交互有两种处理机制：中继和终结。?该处理机制下，EAP认证过程在客户端和RADIUS服务器之间进行，RADIUS服务器作为EAP服务器来处理客户端的EAP认证请求，设备相当于一个代理，仅对EAP报文做中转，因此设备处理简单，并能够支持EAP的各种认证方法，但要求RADIUS服务器支持相应的EAP认证方法。大致认证过程如下所示。EAP终结设备对