交换机802.1x招标要求

交换机在用户准入认证、动态访问授权方面的要求

认证功能需求：

• 交换机支持IEEE 801X Authentication;

• 交换机支持MAB(MAC Authentication Bypassa)认证功能；

• 交换机支持802.1X 环境下的Web认证功能,交换机可使用内置Portal页面进行用户认证；

• 交换机支持802.1X 环境下的Web认证功能,交换机可以将认证请求通过URL重定向功能引导至外部Portal页面进行用户认证；

• 交换机支持灵活的认证配置，可配置802.1X、MAB、WEB认证方式顺序认证，在一种认证方式失败后，能够自动切换至下一认证方式；

• 交换机端口支持Multi-Host认证方式，即同一个交换机端口下接有多台主机，其中一台主机通过802.1X 认证后，其余主机能够自动获取网络访问权限；

• 交换机端口支持Mulit-authentication认证方式，即同一交换机端口下接有多台主机（或者虚拟机环境下），每台主机须独立通过802.1x认证，方能获得网络访问权限；

• 交换机端口支持Mutlti-Domain认证方式，即在同一个交换机端口下接有一个IP话机，IP话机后面再接一台PC的情况下，IP话机可以在Voice VLAN作认证，PC可以在Data Vlan作认证，且两个VLAN可采用不同的认证方式（802.1x/MAB/WEB)及EAP类型；

• 交换机支持auth-fail Vlan功能，即用户认证失败时，能够将用户分配至特定的认证失败Vlan,为用户提供有限的网络访问功用；

• 交换机可配置为802.1X客户端（supplicant)，以支持交换机设备身份认证技术，以防止私接交换机/HUB的情况;

用户授权策略强制需求：

• 交换机支持以动态VLAN分配的方式，为不同的认证用户分配不同VLAN ID，从而提供不同的网络访问权限；

• 交换机支持以动态VLAN分配的方式，为不同的认证用户分配不同VLAN Name，不同的Vlan name在不同的交换机可对应不同的Vlan ID，以使用户在跨越三层交换网络之间时仍能实现动态Vlan授权分配；

• 交换机支持动态访问控制列表（ACL）下发的方式，为不同的认证用户在交换机端口分配不同的ACL，从而提供不同的网络访问权限，且应用于交换机端口的ACL的源地址为当前通过认证主机的源地址，而不是any;

• 交换机端口支持COA（RFC3576 Change of authorization)功能，在终端用户发生状态变化时（会话超时、健康状态发生改变等），RADIUS能够动态对交换机端口触发诸如Re-auth(重新认证)、bonce(闪断)条件；

• 交换机支持针对特定用户的动态QOS策略下发功能，为不同的认证用户在交换机端口分配不同的QOS策略；

• 如交换机支持其它用户授权策略强制功能，请补充说明；

灵活的用户认证部署方案；

• 交换机在配置802.1x认证时，能够支持监控(monitor)模式，即不管用户因为何种原因导致认证失败（802.1x supplicant 配置、用户名/密码错误等），交换机可保留用户的网络访问权限，但交换机能够将认证失败原因发送至后台认证服务器，以供管理员排除故障；

• 交换机在配置802.1x认证时，能够支持低风险(Low Risk)模式，即不管用户因为何种原因导致认证失败（802.1x supplicant 配置、用户名/密码错误等），交换机可为提供有限的网络访问权限（通过预先定义好的ACL），但交换机能够将认证失败原因发送至后台认证服务器，以供管理员排除故障；

其它功能：

• 交换机在802.1X环境下，支持计费（Accounting)功能，对用户登入/登出网络提供详细的记录，以供安全审计与计费功能；

• 交换机支持基于条件的日志与Debug信息输出功能，例如可定义只输出特定交换机相关的Debug信息，以简化输出；

• 交换机端口在配置为802.1x认证时，支持网络唤醒（Wake-on-LAN)功能，网络唤醒数据包（Magic Packet)可以经由交换机唤醒PC；

• 交换机支持802.1X支持能力检测功能，可配置为在端口发送EAP探测包，以探测与交换机相连PC是否安装有合格的 802.1X客户端；