netf产品手册array ssl ag测试方案

1、目 录测试目的4测试时间4测试地点44. 参与测试. 4测试设备4测试拓扑5环境简述5测试步骤6网络连通性测试6虚拟站点功能6用户认证功能78.3.1.用户认证本地认证7用户认证LDAP 认证7用户认证AD 认证8用户认证RADIUS 认证88.3.5.用户认证认证98.3.6.用户认证客户端校验10七层三层8.4.8.5.8.6.8.7.8.8.8.9. 10. 11客户端断线重连功能11会话超时功能12门户界面定制12功能138.9.1.8.9.2.8.9.3.8.9.4.8.9.5.8.9.6.8.9.7.LDAP Group MapRADIUS Group Map. 13. 13ACL

2、角色角色角色角色. 14Role 的管理15限定日期、时间15限定用户、用户组16限定客户端源 IP168.10.客户端硬件绑定17客户端硬件认证手动客户端硬件认证自动. 17. 17客户端硬件认证MAC 地址绑定18客户端硬件认证MachineID 绑定19客户端硬件认证绑定用户19客户端硬件认证绑定用户组20客户端硬件认证限定每用户绑定的硬件数量20客户端硬件认证限定组内绑定的硬件数量21Cluster 集群21配置导入导出22管理员权限分级23管理灵活性23管理灵活性WebUI 管理23管理灵活性CLI/SSH 管理248.14.3.管理灵活性流量功能249. 测试结论251. 测试目的

3、本次测试主要是检验Array安全接入问题。接入方案是否能够解决目前用户的SSL2.测试时间测试时间：3.测试地点测试地点：4.参与测试5.测试设备产品型号系统版本网络接口功能测试公司角色6.测试拓扑7.环境简述如下硬、环境：1)Array SSL单臂模式部署2)根据用户实际环境，提供 LDAP/AD/RADIUS 等认证服务器3)内网应用服务器及内网网段测试网络说明IP 具体规划：8. 测试步骤8.1. 网络连通性测试8.2. 虚拟站点功能SSL-测试日期测试设备Array SSL型号测试目的虚拟站点测试步骤1、分别建立多个虚拟站点2、每个站点有自己独立的 IP 地址/3、每个站点的认证方式、

4、策略可以完全不同预期结果支持建立多个虚拟门户；每个虚拟门户相互独立、等同与一立的设备；SSL-01测试日期测试设备Array SSL型号测试目的网络连通性测试测试步骤1、按测试拓扑结构连接网络2、从 SSL网关上其上的各个 IP 和默认网关3、客户端是否可以通过NAT、Web ProxySSL预期结果可以正常管理和设备相应截图测试客户：厂家：8.3. 用户认证功能8.3.1. 用户认证本地认证8.3.2. 用户认证LDAP 认证SSL-测试日期测试设备Array SSL型号测试目的用户认证LDAP 认证SSL-测试日期测试设备Array SSL型号测试目的用户认证本地认证测试步骤1、选择 Lo

5、calDB 认证方式2、在上添加测试账号3、使用测试账号登陆预期结果数据库中存在的账号可以正常登陆；数据库中未存在的账号不可以登陆；相应截图测试客户：厂家：相应截图测试客户：厂家：8.3.3. 用户认证AD 认证8.3.4. 用户认证RADIUS 认证SSL-测试日期SSL-测试日期测试设备Array SSL型号测试目的用户认证AD 认证测试步骤1、选择 AD 认证方式2、在上配置 AD 的相关信息3、使用 AD 上的测试账号登陆预期结果AD 数据库中存在的账号可以正常登陆；AD 数据库中未存在的账号不可以登陆；相应截图测试客户：厂家：测试步骤1、选择 LDAP 认证方式2、在上配置LDAP

6、的相关信息3、使用 LDAP 上的测试账号登陆预期结果LDAP 数据库中存在的账号可以正常登陆；LDAP 数据库中未存在的账号不可以登陆；相应截图测试客户：厂家：8.3.5. 用户认证认证SSL-测试日期测试设备Array SSL型号测试目的用户认证认证测试步骤1、开启认证功能2、导入 Root CA 及 Sub CA预期结果合法的数字可以正常登陆；的数字不可以登陆；相应截图测试客户：厂家：测试设备Array SSL型号测试目的用户认证RADIUS 认证测试步骤1、选择 RADIUS 认证方式2、在RADIUS 上配置 AD 的相关信息3、使用 RADIUS 上的测试账号登陆预期结果RADIU

7、S 数据库中存在的账号可以正常登陆；RADIUS 数据库中未存在的账号不可以登陆；相应截图测试客户：厂家：8.3.6. 用户认证客户端校验8.4. 七层SSL-测试日期测试设备Array SSL型号测试目的通过 7 层（web 方式）支持应用测试步骤1、通过 QuickLink 的方式，发布内网 web 服务器2、用户使用浏览器该 web 服务预期结果用户无需安装任何插件和就可以系统服务资源；不同cnt 种类（操作系统、浏览器 IE、Firefox、Opera、SafariChrome）都可以支持；相应截图SSL-测试日期测试设备Array SSL型号测试目的用户认证客户端校验测试步骤1、开启

8、认证功能2、导入 Root CA 及 Sub CA3、设置只允许固定 Subject 字段的才能通过认证预期结果合法字段的数字可以正常登陆；字段的数字不可以登陆；相应截图测试客户：厂家：8.5. 三层8.6.客户端断线重连功能SSL-测试日期测试设备Array SSL型号测试目的网络断开一段时间再恢复后，客户端不掉线测试步骤1、用户登陆，启动 L3 客户端，一个内网服务；2、拔掉客户端计算机的网线，60 秒以内重新插上网线；3、查看客户端的连接状态，并查看是否可以再次内网服务；预期结果网络断开一段时间再恢复后，客户端不会掉线，还可以继续内网服务SSL-测试日期测试设备Array SSL型号测试

9、目的通过 3 层方式支持应用测试步骤1、通过 L3的方式，发布内网 B/S 及 C/S 等任意服务器2、用户登陆后，这些服务器预期结果可以支持 B/S、C/S 类应用；可以支持、流、以及使用动态端口等应用；相应截图测试客户：厂家：测试客户：厂家：8.7. 会话超时功能8.8. 门户界面定制SSL-测试日期测试设备Array SSL型号测试目的门户界面定制测试步骤1、更换默认LOGO2、添加用户登陆时的欢迎消息3、更改用户登陆界面的中英文语言4、通过上传 theme 的方式自定义登陆页面风格SSL-测试日期测试设备Array SSL型号测试目的会话超时功能测试步骤1、为站点设定用户超时时间参数2

10、、用户登陆，等待一段时间不做任何操作3、查看客户端是否已经退出登陆预期结果超时的用户会话自动退出，必须重新认证相应截图测试客户：厂家：相应截图测试客户：厂家：8.9.功能8.9.1. LDAP Group Map8.9.2. RADIUS Group MapSSL-测试日期SSL-测试日期测试设备Array SSL型号测试目的LDAP Group Map测试步骤1、将 AAA 的方式选择为LDAP2、在上建立多个本地用户组3、通过 MemberOf 属性，将本地用户组和 LDAP 组进行关联4、对本地用户组进行控制5、使用不同LDAP 用户组的账号进行登陆，查看用户权限变化情况预期结果可以通过

11、组的方式，对LDAP 上的用户进行权限控制相应截图测试客户：厂家：预期结果支持自定义门户界面的 LOGO、中英文语言等信息；支持通过上传 theme 的方式自定义登陆页面风格；相应截图测试客户：厂家：8.9.3. ACLSSL-测试日期测试设备Array SSL型号测试目的ACL测试步骤1、在 LocalDB 建立多个用户账号，以及多个组2、分别对每个用户或组进行 ACL3、使用账号登陆，查看权限的变化情况预期结果可以通过的 ACL 策略，对不用的用户或用户组进行相应截图测试客户：厂家：测试设备Array SSL型号测试目的RADIUS Group Map测试步骤1、将 AAA 的方式选择为

12、RADIUS2、在上建立多个本地用户组3、通过 25 号协议，将本地用户组和 RADIUS 组进行关联4、对本地用户组进行控制5、使用不同 RADIUS 用户组的账号进行登陆，查看用户权限变化情况预期结果可以通过组的方式，对RADIUS 上的用户进行权限控制相应截图测试客户：厂家：8.9.4. 角色Role 的管理8.9.5. 角色限定日期、时间SSL-测试日期测试设备Array SSL型号测试目的可以限定每个 Role 的日期、时间等条件测试步骤1、在上建立一个角色Role，并分别设置该Role 的条件为年、月、日、时间、日期、周2、添加内网资源并与 Role 进行关联3、用户在设定的条件内

13、登陆，查看是否可以正常登陆4、用户在非设定的条件内登陆，查看是否可以正常登陆预期结果可以限定每个 Role 的年、月、日、时间、日期、周等条件相应截图SSL-测试日期测试设备Array SSL型号测试目的可以通过Role 来管理用户和资源测试步骤1、在上建立一个角色Role，并设置好 Role 的条件2、添加内网资源并与 Role 进行关联3、用户登陆，查看权限变化情况预期结果可以通过角色来对不同的用户进行相应截图测试客户：厂家：8.9.6. 角色限定用户、用户组8.9.7. 角色限定客户端源 IPSSL-测试日期测试设备Array SSL型号测试目的可以限定每个 Role 的客户端源 IP

14、等条件测试步骤1、在上建立一个角色Role，并分别设置该Role 的条件为客户端源 IP2、添加内网资源并与 Role 进行关联3、使用符合条件的客户端源 IP 登陆，查看是否可以正常登陆4、使用不符合条件的客户端源 IP 登陆，查看是否可以正常登陆预期结果可以限定每个 Role 的客户端源 IP 等条件，只有符合固定 IP 的客户端才能够登陆SSL-测试日期测试设备Array SSL型号测试目的可以限定每个 Role 的用户名、组名等条件测试步骤1、在上建立一个角色Role，并分别设置该 Role 的条件为用户名或者组名2、添加内网资源并与 Role 进行关联3、使用符合条件的用户名或者用户

15、组登陆，查看是否可以正常登陆4、使用不符合条件的用户名或者用户组登陆，查看是否可以正常登陆预期结果可以限定每个 Role 的用户名、组名等条件，只有符合条件的用户名或者用户组才能够登陆相应截图测试客户：厂家：测试客户：厂家：8.10. 客户端硬件绑定8.10.1. 客户端硬件认证手动8.10.2. 客户端硬件认证自动SSL-测试日期测试设备Array SSL型号测试目的用户硬件信息可由设备自动SSL-测试日期测试设备Array SSL型号测试目的用户硬件信息可由管理员手动测试步骤1、开启 AAA 硬件 ID 功能2、针对用户组激活硬件认证功能，并设置为手动3、用户登陆，提交硬件 ID，但在未前

16、并不能登陆4、管理员该用户的信息，用户即可登陆预期结果用户硬件信息可由管理员手动相应截图测试客户：厂家：相应截图测试客户：厂家：8.10.3. 客户端硬件认证MAC 地址绑定SSL-测试日期测试设备Array SSL型号测试目的用户与终端计算机的 mac 地址进行绑定测试步骤1、开启 AAA 硬件 ID 功能2、针对用户组激活硬件认证功能，ID 类型选择 MAC3、掉终端计算机上物理网卡以外的所有网卡后登陆，提交硬件 ID并通过4、掉终端计算机上无线网卡以外的所有网卡，查看是否可以再次登陆预期结果用户计算机的网卡中如果没有时的网卡mac，将不能够登陆相应截图测试客户：厂家：测试步骤1、开启 A

17、AA 硬件 ID 功能2、针对用户组激活硬件认证功能，并设置为自动3、用户登陆，提交硬件 ID 后，即可直接登陆4、在管理界面中查看用户信息，可以看到该用户的信息已经被过预期结果用户硬件信息可由设备自动相应截图测试客户：厂家：8.10.4. 客户端硬件认证MachineID 绑定8.10.5. 客户端硬件认证绑定用户SSL-测试日期测试设备Array SSL型号测试目的每个用户都需要独立的绑定一个硬件信息测试步骤1、开启 AAA 硬件 ID 功能2、针对用户组激活硬件认证功能3、用户 A 登陆，提交硬件信息并通过审核4、用户 B 登陆，还会需要提交硬件信息并通过审核预期结果每个用户都需要独立的

18、绑定一个硬件信息后，才能够登陆相应截图SSL-测试日期测试设备Array SSL型号测试目的用户与终端计算机的硬盘序列号、CPU 系列号、操作系统 ID 进行绑定测试步骤1、开启 AAA 硬件 ID 功能2、针对用户组激活硬件认证功能，ID 类型选择 MachineID3、用户登陆，提交硬件信息并通过审核4、换掉计算机硬盘、或者重新安装操作系统后，查看是否可以再次登陆预期结果可以与终端计算机的硬盘序列号、CPU 系列号和操作系统 ID 进行绑定，上述信息发生变化后，将不能够登陆相应截图测试客户：厂家：8.10.6. 客户端硬件认证绑定用户组8.10.7. 客户端硬件认证限定每用户绑定的硬件数量

19、SSL-测试日期测试设备Array SSL型号测试目的限定每用户绑定的硬件数量测试步骤1、开启 AAA 硬件 ID 功能2、针对用户组激活硬件认证功能，将每用户数量限制为 13、用户从一台计算机上登陆，提交硬件 ID 并通过4、使用该用户从另外一台计算机上登陆，查看是否可以登陆5、将每用户数量限制为 2，查看同一个用户是否可以从第二台计算机上登陆，以及是否可以从第三台计算机上登陆预期结果可以限定每个用户可以绑定的硬件数量SSL-测试日期测试设备Array SSL型号测试目的一个组内只要有一个用户在一台终端上进行了硬件绑定，组内其他成员都可以在该终端上登陆测试步骤1、开启 AAA 硬件 ID 功

20、能2、针对用户组激活硬件认证功能，并选择聚合功能3、用户 A 在一台计算机上登陆，提交硬件信息并通过审核4、查看用户 B 在该终端上是否还需要预期结果用户 B 无需，即可登陆相应截图测试客户：厂家：测试客户：厂家：8.10.8. 客户端硬件认证限定组内绑定的硬件数量8.11. Cluster 集群SSL-测试日期测试设备Array SSL型号测试目的Cluster 集群SSL-测试日期测试设备Array SSL型号测试目的限定用户组内绑定的硬件数量测试步骤1、开启 AAA 硬件 ID 功能2、针对用户组激活硬件认证功能，并选择聚合功能3、设置聚合的数量为 24、用户 A 从计算机 A 上登陆，

21、提交硬件 ID 并通过5、用户 A 从计算机 B 上登陆，提交硬件 ID 并通过6、查看用户 A 从计算机 C 上是否还可以提交硬件信息并登陆预期结果用户 A 不能够在计算机C 上再次提交硬件信息将聚合的数量为 3 后，用户 A 即可在计算机C 上再次提交硬件信息相应截图测试客户：厂家：相应截图测试客户：厂家：8.12. 配置导入导出SSL-测试日期测试设备Array SSL型号测试目的配置导入导出测试步骤1、将当前配置信息导出为本地文件形式2、清空当前配置，并保存，确认配置已经被清空3、导入刚刚备份的配置文件4、查看配置，是否恢复为当初保存时的状态预期结果设备可以正常保存配置，并可以将配置导入到设备中相应截图测试客户：厂家：测试步骤1、配置两台的Cluster 参数2、设置1 的优先级高，2 的优先级低，并设置为抢占模式3、确认可以正常VIP 地址， 并确认 VIP 地址落在了主机1 的接口上4、拔掉主机1 的网线，或者关闭1 设备，再次VIP，查看是否可以正常5、将1 正常开机或者连接上网线，查看是否可以正常VIP，并确认 VIP 地址落是否回到了主机1 的接口上预期结果Cluster 功能可以保证在主机出现故障时备机能够接管业务当主机恢复正常时可以直接接管备机并提供服务相应截图测试客户：厂家：8.13.管理员