IPv6试点测试报告V3.0

1、ipv6 试点测试方案2021-9-30第 1 页, 共 28 页ipv6试点测试方案(2011.10)目 录1 项目背景信息 .22 测试目的.33 测试准备.33.1 现网网络拓扑结构 .33.2 相关设备配置准备 .44 测试项目.54.1 ipv6基础协议测试 .54.1.1 nd协议dad功能测试.54.1.2 nd协议slaac功能测试.64.2 ipv6路由功能测试 .84.2.1 静态路由有效性.84.2.2 ospfv3路由协议有效性.94.2.3 isisv6路由协议有效性.104.2.4 策略路由有效性.124.3 ipv6过渡功能测试 .134.3.1 6pe隧道有效性

2、.13ipv6 试点测试方案2021-9-30第 2 页, 共 28 页4.4 ipv6接入功能测试 .144.4.1 双栈pppoe接入有效性.144.4.2 双栈静态接入有效性.164.4.3 双栈dhcp接入有效性.164.5 安全功能测试 .184.5.1 ipv4到ipv6过渡双栈功能测试.194.5.2 ipv6 域间包过滤功能测试.204.5.3syn flood攻击防御功能测试.214.5.4syn-ack flood攻击防御功能测试.224.5.5udp flood攻击防御功能测试.234.5.6icmp flood攻击防御功能测试.244.5.7dns flood攻击防御功

3、能测试.244.5.8混合攻击防御功能测试.254.6 其他安全功能测试 .26ipv6 试点测试方案2021-9-30第 3 页, 共 28 页1 项目背景信息由于历史的原因，中国在ipv4的发展中处于后进的状态，在国际上发言权不多，导致在ip地址的供需上严重失衡。截止2002年8月，拥有13亿人口的中国，只有大约2502万个ip地址，b类地址不足200个，a类地址一个都没有（数据来源：来自arin 和apnic互联网地址分配机构apnic（亚洲/大洋州），arin（北美/南美）。不言而喻，中国应该是全球最需要ip地址的国家之一。同时，中国作为一个互联网和移动通信大国，理应要在下一代互联网标

4、准和资源分配中力争更大的发言权。对中国而言，ipv6的发展将给我们带来巨大机遇。作为互联网和移动通信大国，基于ipv6的互联网将在我国从基础设施、服务与应用、媒体与内容、设备制造等层面形成新的巨大产业，拉动经济的发展。从全局观点看，ipv6也许是比3g更为重要的一次机遇。为推动国内ipv6研究和产业的发展，原国家计委于2002年6月启动了“关于下一代互联网中日ipv6合作项目”，并正在研究和推动与欧洲在ipv6方面的合作。2003年发展改革委会同有关部门组织进行中国下一代互联网战略研究，并准备安排“中国下一代互联网示范工程cngi”大型项目。 在这个面临ipv6的时代的大背景下，绵阳移动积极响

5、应集团号召，考虑针对cmnet相关业务进行ipv6试点。本次试点基于使用数通设备组建的联合实验室平台进行，试点内容主要着眼于pv6和ipv4之间的转换技术进行探索试验。2 测试目的通过搭建ipv6城域网实验网络,对双栈过渡方式进行测试,完善技术方案,总结在商业环境中的应用建议,为后续ipv6商用奠定基础.具体研究内容包括:ipv6 试点测试方案2021-9-30第 4 页, 共 28 页(1) 制定绵阳ipv6实验网络方案,完成移动集团公司ipv6接入规范技术建议研究;(2) 搭建试验基础网络,测试评估ipv6/ipv4地址规划,路由规划,双栈网络管理,用户认证方案,安全部署等.(3) 能够解

6、决搭建网络测试环境中现有ipv6的基本的网络攻击。3 测试准备3.1 现网网络拓扑结构绵阳移动现网拓扑图测试执行时间与地点2011年10月14日-10月22日, 绵阳移动园艺机房，绵阳移动高水机房华为公司测试执行人成都代表处 网络产品部曾念波 技术服务部朱嘉移动公司测试督导人绵阳移动传输数据中心冯杰注：本次测试在现网拓扑结构基础上选择部分设备以及新增设备共同进行。ipv6 试点测试方案2021-9-30第 5 页, 共 28 页3.2 相关设备配置准备设备类型设备型号设备版本数量业务板卡板卡型号板卡用途bsuf-21母卡me0mbsuf2120插入子卡10*ge(o)子卡me0m0eagfe2

7、0下行接入bras(被测对象)me60(带基本配置)配lns licensev100r006升级至v600r002210*ge(o)子卡me0m0eagfe20上接crlpuf-21母卡cr52-lpuf-21插入子卡router(配合设备)ne40e(带基本配置)v100r006升级至v600r001210*ge(o)子卡cr52eagfe0下接braslsw(配合设备)s3328c-ei-24sv100r005224*ge(o)接口以太网汇聚pc(配合设备)hp elitebook6930p(便携)windows7(原配os)2模拟双栈客户端与服务器端4 测试项目4.1 ipv6 基础协议

8、测试4.1.1 nd 协议 dad 功能测试测试目的重复地址检测(dad)功能验证测试组网测试过程(1)在设备和pc相连的接口上使能ipv6，把相同的ipv6地址（如2001:1/64）配置到直接互联的被测设备端口;(2)手动配置互连接口的link-local地址，将两端地址配置一致(3)显示被测接口的接口状态，检查接口信息及log信息等ipv6 试点测试方案2021-9-30第 6 页, 共 28 页预期结果后配置ipv6地址的一端,显示地址重复(后配置的link-local地址,在接口下显示地址冲突)测试结果与预期结果一致测试结论重复地址检测(dad)功能验证通过测试备注相关测试配置如下：

9、【ne40e配置1】：interface eth-trunk2 description to-scmiy-cmims-ce01-hwne40e-eth-trunk2-2*ge ipv6 enable ip address 98 52 ipv6 address 2011:1400:2/56【ne40e配置2】：interface eth-trunk2 description to-scmiy-cmims-ce02-hwne40e-eth-trunk2-2*ge ipv6 enable ip address 97 255

10、.255.255.252 ipv6 address 2011:1400:2/56 结果显示附件：测试人员绵阳移动：冯杰 华为公司：朱嘉4.1.2 nd 协议 slaac 功能测试测试目的测试被测设备的无状态地址自动配置功能ipv6 试点测试方案2021-9-30第 7 页, 共 28 页测试组网测试过程(1)被测设备接口启用ipv6，并采用nd方式为终端下发前缀；(2)终端通过交换机接入网络设备，检查终端是否正确获得ipv6前缀，并能否ping通被测设备；抓包记录终端设备与网络设备之间的协议交互过程预期结果终端能够正常获取ipv6前缀并能正确生成地址,且能够正常能够ping通网关设备测试结果与

11、预期结果一致测试结论被测设备的无状态地址自动配置功能成功测试备注相关测试配置如下：【me60】：ipv6 #ipv6 prefix ipv6test local prefix 2010:/56#ipv6 pool ipv6test bas local prefix ipv6test#aaa#domain ipv6test authentication-scheme default0 accounting-scheme default0 ipv6-pool ipv6test #ipv6 试点测试方案2021-9-30第 8 页, 共 28 页#interface gigabitethernet1

12、.4003 undo shutdown# interface eth-trunk 1.4003 ipv6 enable ipv6 address auto link-local user-vlan 4002bas # access-type layer2-subscriber default-domain authentication ipv6test authentication-method-ipv6 bind结果显示附件：测试人员绵阳移动：冯杰 华为公司：朱嘉4.2 ipv6 路由功能测试4.2.1 静态路由有效性测试目的(1)ipv6地址使用的有效性;(2)ipv6静态路由的有效性ip

13、v6 试点测试方案2021-9-30第 9 页, 共 28 页测试组网测试过程(1)双栈节点使能ipv6,配置各互联链路两端ipv6地址;(2)配置各节点ipv6静态路由并指定ipv6缺省路由,配置原则是pe节点(bras)的ipv6缺省路由指向最近的p节点(城域cr),2个p节点缺省路由互相指向对端;(3)查看各节点配置ipv6地址的端口状态和各节点ipv6路由表;(4)各节点间互相进行ipv6 ping测试.预期结果各节点ipv6地址可以互相ping通,测试结果与预期结果一致测试结论(1)ipv6地址使用有效;(2)ipv6静态路由有效测试备注测试人员绵阳移动：冯杰 华为公司：朱嘉4.2.

14、2 ospfv3 路由协议有效性测试目的(1)测试ospfv3的基本功能;(2)测试ospfv3的stub和nssa区域特性;(3)测试cost、preference属性;(4)测试最大等价路由条数;(5)测试引入外部路由和路由过滤;(6)测试ospfv3安全特性;(7)测试ospfv3 gr.ipv6 试点测试方案2021-9-30第 10 页, 共 28 页测试组网测试过程(1)双栈节点使能ipv6,配置各互联链路两端ipv6地址;(2)配置各节点启动ospfv3,并在接口上使能ospfv3,配置cr节点为area0;(3)配置me60节点为stub area,设置default-cost

15、,查看其ospfv3路由表和ipv6路由表;(4)配置me60节点为nssa area,在me60节点将ipv6 静态路由引入ospfv3,通过ipv6-prefix过滤器配置路由过滤策略,允许发布2011:/64地址,禁止发布2012:/64地址.查看各节点学习到该段ipv6 静态路由是否正确;(5)配置me60节点为area0,me60节点配置最大负载均衡2,查看该节点ospfv3路由表(6)在me60节点引入直连路由,并过滤部分引入的路由.查看各节点学习到的引入路由;(7)配置me60节点为area2并作区域认证,配置为area3并 接口认证.在口令一致和不一致情况下查看ospfv3 p

16、eer建立情况;(8)重启个别节点ospfv3进程,查看该节点ospfv3 peer和ospfv3路由表.然后再全局使能ospfv3 gr,重启个别节点查看该节点ospfv3 peer和ipv6 fib表,预期结果(1)各节点ipv6地址可以互相ping通;(2)stub area可以学习到缺省路由,缺省路由cost为配置的default-cost;(3)nssa area可以学习到缺省路由,并能将引入的外部路由发布出去;(4)me60节点上行流量正常(5)各节点(除stub area和nssa area场景)可以学习到引入的外部路由;(6)配置验证的area和接口,口令一致的情况下才能建立o

17、spfv3 peer;(7)使能ospfv3 gr之前,重启高水me60 ospfv3进程,ospfv3 peer断开,ipv6 fib表路由丢失;使能ospfv3 gr后重启高水me60 ospfv3进程,ospfv3 peer断开,ipv6 fib表项不受影响.测试结果与预期结果一致ipv6 试点测试方案2021-9-30第 11 页, 共 28 页测试结论除配置验证的area和接口,口令一致的情况下才能建立ospfv3 peer因目前设备版本原因以外，其余测试满足ospf v3的各项功能测试备注测试人员绵阳移动：冯杰 华为公司：朱嘉4.2.3 isisv6 路由协议有效性测试目的(1)测

18、试isis的ipv6基本功能;(2)测试level1、level2和level-1-2;(3)测试level1和level2之间路由渗透;(4)测试引入外部ipv6路由;(5)测试ipv6路由过滤.测试组网测试过程(1)双栈节点使能ipv6,配置各互联链路两端ipv6地址;(2)各节点使能is-is路由协议,配置进程号,网络实体名,level,并在接口下使能is-is进程;(3)配置cr节点为level-2,me60节点为level-1-2,另一me60节点为level-1,查看各节点isisv6路由表和ipv6路由表;(4)配置cr节点发布level-2 ipv6缺省路由,并配置缺省cost

19、.查看其它节点是否学习到指向p节点的ipv6缺省路由及ipv6缺省路由cost;(5)配置cr节点引入直连ipv6路由,查看各节点是否学习到该节点引入的直连路由;(6)配置me60节点上将level-2的ipv6路由引入level-1,并配置路由过滤,查看另一me60节点是否学习到level-2路由.预期结果(1)各节点可以ipv6 ping通;(2)各节点可以学习到cr节点发布的缺省路由;(3)各节点可以学习到cr节点引入的直连路由;(4)me60节点可学到另一me60节点引入到level-1的level-2路由,配置路由过滤生效.ipv6 试点测试方案2021-9-30第 12 页, 共

20、28 页测试结果与预期结果一致测试结论满足isisv6的各项功能测试备注相关测试配置如下：【ne40e-1】：isis 1 is-level level-2 network-entity 11.1111.1111.1111.00 # ipv6 enable topology ipv6 ipv6 default-route-advertise always ipv6 import-route direct tag 100 #interface eth-truank 2 undo shutdown ipv6 enable ip address ipv6

21、 address 2010:1:1:1/56 isis ipv6 enable 1b：【ne40e-1】：isis 1 is-level level-2 network-entity 22.2222.2222.2222.00 # ipv6 enable topology ipv6 ipv6 import-route isis level-2 into level-1 filter-policy route-policy policy #ipv6 试点测试方案2021-9-30第 13 页, 共 28 页interface eth-truank 2 undo shutdown ipv6 enab

22、le ip address ipv6 address 2010:1:1:2/56 isis ipv6 enable 1#测试人员绵阳移动：冯杰 华为公司：朱嘉4.2.4 策略路由有效性测试目的(1)aclv6有效性;(2)策略路由有效性测试组网测试过程(1)me60和另一me60节点作为pe使能ipv6,并配置互联链路的ipv6地址;(2)测试pc使能ipv6并配置ipv6地址;(3)在测试用pc和2台pe之间使能ospfv3路由协议 ,查看me60的ipv6路由表，并ping ipv6测试pc的地址1和地址2地址。(4)在me60上配置策略路由,

23、配置策略路由拒绝来自另一me60的流量预期结果(1)配置策略路由前,me60和另一me60可ping ipv6通测试用地址;(2)配置策略路由后, me60可ping ipv6通测试用自身测试pc地址,但无法ping ipv6通l另一me60测试地址,，反之亦然。测试结果与预期结果一致测试结论(1)aclv6有效;(2)策略路由有效测试备注ipv6 试点测试方案2021-9-30第 14 页, 共 28 页测试人员绵阳移动：冯杰 华为公司：朱嘉4.3 ipv6 过渡功能测试4.3.1 6pe 隧道有效性测试目的(1)测试6pe隧道的有效性;(2)测试6pe隧道和ospfv3路由协议结合的有效性

24、测试组网测试过程(1)园艺me60和高水me60节点作为pe使能ipv6,并配置互联链路的ipv6地址;(2)园艺me60,高水me60节点和cr(a),cr(b)节点间使能isis路由协议并使能mpls;(3)各双栈pe节点和ipv4 p节点建立mpls ibgp ipv4peer,两个p节点作rr;(4)2台测试用ce节点分别园艺me60,高水me60节点间运行ospfv3路由协议;(5)园艺me60,高水me60节点分别启动6pe功能,将ospfv3路由引入bgp ipv6路由表.预期结果园艺me60和高水me60之间建立6pe隧道,并且可以互相学习到对方ipv6的路由测试结果与预期结果

25、一致测试结论(1)测试6pe隧道的有效;(2)测试6pe隧道和ospfv3路由协议结合有效测试备注测试人员绵阳移动：冯杰 华为公司：朱嘉ipv6 试点测试方案2021-9-30第 15 页, 共 28 页4.4 ipv6 接入功能测试4.4.1 双栈 pppoe 接入有效性测试目的双栈pppoe上线的有效性测试组网测试过程(1)全局使能ipv6,配置ipv6节点互联链路的ipv6地址及相应的ipv6路由设置;(2)高水me60节点配置静态用户上线,包含地址池,认证域,上线端口,静态地址绑定,win7服务器采用不认证不计费方式静态双栈地址上线,win7服务器开启web和ftp服务;(3)园艺me

26、60节点配置pppoe用户上线,配置地址池,认证模板,计费模板,认证域,bas端口和本地帐户等信息.配置园艺me60下挂s9312交换机透传用户vlan;(4)在win7客户端上进行pppoe双栈上线测试,上线成功后访问win7服务器web和ftp服务.预期结果用户pppoe双栈上线成功,同时获取ipv4和ipv6地址,可以正常访问服务器web和ftp服务.测试结果与预期结果一致测试结论双栈pppoe上线有效测试备注【me60】# ipv6#interface virtual-template5 ppp authentication-mode pap#ipv6 试点测试方案2021-9-30第

27、 16 页, 共 28 页ip pool ipv4test bas local gateway section 0 0#ipv6 prefix ipv6test local prefix 2010:/56#ipv6 pool ipv6test bas local prefix ipv6test#aaa #domain test _pppoe authentication-scheme default0 accounting-scheme default0 ip-pool ipv4test ipv6-pool ipv6te

28、st#interface eth-trunk 1.4003pppoe-server bind virtual-template 5ipv6 enable ipv6 address auto link-local user-vlan 4002 bas # access-type layer2-subscriber default-domain authentication test _pppoe#测试人员绵阳移动：冯杰 华为公司：朱嘉ipv6 试点测试方案2021-9-30第 17 页, 共 28 页4.4.2 双栈静态接入有效性测试目的双栈静态上线的有效性测试组网测试过程(1)全局使能ipv6

29、,配置ipv6节点互联链路的ipv6地址及相应的ipv6路由设置;(2)高水me60节点配置静态用户上线,包含地址池,认证域,上线端口,静态地址绑定,win7服务器采用不认证不计费方式静态双栈地址上线,win7服务器开启web和ftp服务;(3)园艺me60节点配置静态用户上线,配置地址池,认证模板,计费模板,认证域,bas端口和本地帐户等信息.配置园艺me60下挂s9312交换机透传用户vlan;(4)在win7客户端上进行静态双栈上线测试,上线成功后访问win7服务器web和ftp服务.预期结果用户静态ipv4和ipv6地址双栈上线成功,可以正常访问服务器web和ftp服务.测试结果该测试

30、版本需要在v6r3c05版本才支持测试结论该测试版本需要在v6r3c05版本才支持测试备注后续计划测试完成测试人员绵阳移动：冯杰 华为公司：朱嘉4.4.3 双栈 dhcp 接入有效性测试目的双栈dhcp上线的有效性ipv6 试点测试方案2021-9-30第 18 页, 共 28 页测试组网测试过程(1)全局使能ipv6,配置ipv6节点互联链路的ipv6地址及相应的ipv6路由设置;(2)高水me60节点配置静态用户上线,包含地址池,认证域,上线端口,静态地址绑定,win7服务器采用不认证不计费方式静态双栈地址上线,win7服务器开启web和ftp服务;(3)园艺me60节点配置dhcp双栈用

31、户上线,配置地址池,认证模板,计费模板,认证域,bas端口和本地帐户等信息.配置园艺me60下挂s9312交换机透传用户vlan;(4)win7客户端自动获取双栈地址上线测试,上线成功后访问win7服务器web和ftp服务.预期结果用户dhcp地址双栈上线成功,同时获得ipv4和ipv6地址,可以正常访问服务器web和ftp服务.测试结果与预期结果一致测试结论双栈dhcp上线的有效测试备注【me60】 ipv6# dhcpv6 duid llt#ip pool ipv4test bas local gateway section 0

32、0#ipv6 prefix ipv4test local prefix 2010:/56#ipv6 试点测试方案2021-9-30第 19 页, 共 28 页ipv6 pool ipv6test bas local prefix ipv6test#aaa #domain test_dhcp authentication-scheme default0 accounting-scheme default0 ip-pool ipv4test ipv6-pool ipv6test #interface eth-trunk 1.4003 undo shutdown ipv6 enable

33、 ipv6 address auto link-local ipv6 nd autoconfig managed-address-flag ipv6 nd autoconfig other-flag bas access-type layer2-subscriber default-domain authentication test_dhcp authentication-method-ipv6 bind authentication-method bind测试人员绵阳移动：冯杰 华为公司：朱嘉4.5 安全功能测试注意：本次涉及的安全测试，组网略有区别，具体如下：测试组网环境ipv6 试点测

34、试方案2021-9-30第 20 页, 共 28 页测试组网环境说明：在测试组网中，mscg（me60）网元将流量引流到e8080e上进行安全性检查，处理完后将报文回注到me60。在me60上通过策略路由回注正常流量到内网。内网发向外网流量保持原有路径不变。4.5.1 ipv4 到 ipv6 过渡双栈功能测试测试项目ipv4到ipv6过渡双栈功能测试测试目的过渡技术中最主要的方案是ipv4和ipv6协议栈共存，本测试在于考察清洗设备处理ipv4/ipv6数据包的能力测试组网详见组网图预置条件1. 根据网络拓扑图搭建测试环境；2. 清洗设备工作在路由模式；3. 正确配置pc和server的ipv

35、4和ipv6地址、缺省网关；4. server上安装支持双栈的http/ftp服务程序ipv6 试点测试方案2021-9-30第 21 页, 共 28 页测试步骤正确配置pc、清洗设备、server上的ipv4和ipv6地址1、 配置 pc 和 server 的 ipv4 和 ipv6 缺省网关；2、在 pc 上分别 ping server 上的 ipv4 和 ipv6 地址，有结果 13、在 pc 上分别使用 ipv4 和 ipv6 的方式使用 web 方式访问 server 上的 http 服务，有结果 2在 pc 上使用 ipv4 和 ipv6 的方式使用 ftp 下载 server 上

36、是文件，有结果 3预期结果1、使用ipv4/ipv6方式均能ping成功2、使用ipv4/ipv6方式均能访问web页面成功3、使用ipv4/ipv6方式均能ftp下载成功测试结果 通过 部分通过 未通过 未测试备 注测试人员绵阳移动：冯杰 华为公司：朱嘉4.5.2 ipv6 域间包过滤功能测试测试项目ipv6域间包过滤功能测试测试目的测试设备对域间包过滤功能的支持能力测试组网详见组网图预置条件1、根据网络拓扑图搭建测试环境；2、清洗设备工作在路由模式；3、正确配置清洗设备、pc和server的ipv6地址、缺省网关。4、pc能正常访问server。ipv6 试点测试方案2021-9-30第

37、22 页, 共 28 页测试步骤1、设置被测设备接口的ipv6地址，将接口1和接口2加入不同的清洗设备域。2、pc和server配置ipv6地址，通过pc访问server，在清洗设备上配置ipv6 acl，将规则应用到清洗设备的域间，拒绝pc对server的ipv6流量访问。acl ipv6 number 3000 rule 0 deny ipv6 source 2000:10/128 destination 3000:10/128 rule 1 permit ipv6 firewall interzone trust untrust packet-filter ipv6 3000 inbou

38、nd 3、通过访问情况，验证域间包过滤规则是否生效。预期结果命中域间规则的流量不能通过。测试结果 通过 部分通过 未通过 未测试备 注签字确认测试人员绵阳移动：冯杰 华为公司：朱嘉 syn flood 攻击防御功能测试测试项目syn flood攻击防御功能测试测试组网详见组网图预置条件1、根据基本组网图完成测试组网、并运行正常。2、服务器上开启web服务器功能；通过客户端ie访问 web服务器的网页，可以正常访问。3、服务器上开启ftp服务器功能，通过客户端能正常下载。测试步骤1、关闭清洗系统的ipv6 syn flood攻击防御功能；2、使用攻击流量测试仪对目标web服务器进行ipv6协议的

39、syn flood攻击；3、使用客户端访问web服务器的网页；通过ftp下载文件，出现结果1；4、打开清洗设备的ipv6 syn flood攻击防御功能； ddos-zone name huaweitest ipv6 试点测试方案2021-9-30第 23 页, 共 28 页 zone-id 1010 ipv6 address 3000: 96 anti-ddos syn-flood source-detect 5、使用客户端重新访问web服务器的网页；ftp重新下载文件，出现结果2。预期结果结果1：此时网页应无法访问或者访问延迟很大，ftp无法下载或下载速率很低。结果2：客户端可以正常访问w

40、eb页面，ftp下载正常，文件能正常打开，server端无攻击报文透过。测试结果 通过 部分通过 未通过 未测试备 注测试人员绵阳移动：冯杰 华为公司：朱嘉4.5.4 syn-ack flood 攻击防御功能测试测试项目syn-ack flood攻击防御功能测试测试组网详见组网图预置条件1、根据基本组网图完成测试组网、并运行正常。2、服务器上开启web服务器功能；通过客户端ie访问 web服务器的网页，可以正常访问。3、服务器上开启ftp服务器功能，通过客户端能正常下载。测试步骤1、关闭清洗系统的ipv6 syn-ack flood攻击防御功能；2、使用攻击流量测试仪对目标web服务器进行ip

41、v6协议的syn-ack flood攻击；3、使用客户端访问web服务器的网页；通过ftp下载文件，出现结果1；4、打开清洗设备的ipv6 syn-ack flood攻击防御功能；ddos-zone name huaweitest zone-id 1010 ipv6 address 3000: 96 anti-ddos syn-ack-flood source-detect 5、使用客户端重新访问web服务器的网页；ftp重新下载文件，出现结果2。预期结果结果1：此时网页应无法访问或者访问延迟很大，ftp无法下载或下载速率很低。ipv6 试点测试方案2021-9-30第 24 页, 共 28

42、页结果2：客户端可以正常访问web页面，ftp下载正常，文件能正常打开，server端没有攻击报文透过。测试结果 通过 部分通过 未通过 未测试备 注测试人员绵阳移动：冯杰 华为公司：朱嘉4.5.5 udp flood 攻击防御功能测试测试项目udp flood攻击防御功能测试测试组网详见组网图预置条件1、根据基本组网图完成测试组网、并运行正常。2、服务器上开启web服务器功能；通过客户端ie访问 web服务器的网页，可以正常访问。3、服务器上开启ftp服务器功能，通过客户端能正常下载。测试步骤1、关闭清洗系统的ipv6 udp flood攻击防御功能；2、使用攻击流量测试仪对目标web服务器

43、进行ipv6协议的udp flood攻击；3、使用客户端访问web服务器的网页；通过ftp下载文件，出现结果1；4、打开清洗设备的ipv6 udp flood攻击防御功能；ddos-zone name huaweitest zone-id 1010 ipv6 address 3000: 96 anti-ddos udp-flood fingerprint-learn 5、使用客户端重新访问web服务器的网页；ftp重新下载文件，出现结果2。预期结果结果1：此时网页应无法访问或者访问延迟很大，ftp无法下载或下载速率很低。结果2：客户端可以正常访问web页面，ftp下载正常，文件能正常打开，se

44、rver端没有攻击报文透过。测试结果 通过 部分通过 未通过 未测试ipv6 试点测试方案2021-9-30第 25 页, 共 28 页备 注测试人员绵阳移动：冯杰 华为公司：朱嘉4.5.6 icmp flood 攻击防御功能测试测试项目icmp flood攻击防御功能测试测试组网详见组网图预置条件1、根据基本组网图完成测试组网、并运行正常。2、服务器上开启web服务器功能；通过客户端ie访问 web服务器的网页，可以正常访问。3、服务器上开启ftp服务器功能，通过客户端能正常下载。测试步骤1、关闭清洗系统的ipv6 icmp flood攻击防御功能；2、使用攻击流量测试仪对目标web服务器进行ipv6协议的icmp flood攻击；3、使用客户端访问web服务器的网页；通过ftp下载文件，出现结果1；4、打开清洗设备的ipv6 icmp flood攻击防御功能； ddos-zone name huaweitest zone-id 1010 ipv6 address 3000: 96 bandwidth-limit destination-ip type icmp max-speed 10 5、使用客户端重新访问web服务器的网页；ftp重新下载文件，出现结