VPN测试用例-IPsec完整版

VPN测试用例-IPsec文档版本历史文档版本号编辑时间编者备注适用性说明参考文档适用版本功能说明：支持ESP和AH封装协议；支持隧道模式和传输模式；支持SitetoSite、RemoteAccess两种VPN组网形式；支持预共享密钥和X.509数字证书两种身份认证形式；支持通过IKE自动完成IPSec安全联盟协商；支持DES、3DES、AES128/192/256等多种加密算法；支持MD5、SHA-1等多种哈希验证算法；支持可以基于固定IP地址建立IPSec隧道，支持通过域名方式建立IPSec隧道；支持IPSec报文的UDP封装模式，以保证IPSec能够穿越NAT；支持断线诊断DPD协议；工作机制：1）关键词：IPsec（IPSecurity）:是IETF制定的三层隧道加密协议，它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AH（AuthenticationHeader，认证头）、ESP（EncapsulatingSecurityPayload，封装安全载荷）、IKE（InternetKeyExchange，因特网密钥交换）和用于网络认证及加密的一些算法等。AH协议：可以同时提供数据完整性确认、数据来源确认、防重放等安全特性；AH常用摘要算法（单向Hash函数）MD5和SHA1实现该特性。ESP协议：提可以同时提供数据完整性确认、数据加密、防重放等安全特性；ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用MD5或SHA1来实现数据完整性。ESP保护的是IP包的载荷，不包括IP头部，所以ESP和NAT是不冲突的。SA（安全联盟）:是两个IPsec实体（主机或者网关）之间经过协商建立起来的一种协定，包括采用的协议、算法、加密等。SA是构成IPsec的基础。而建立SA需要2个阶段：第一阶段，协商创建一个通信信道（ISAKMPSA），并对该信道进行认证，为双方进一步的IKE通信提供机密性、数据完整性以及数据源认证服务；第二阶段，使用已建立的ISAKMPSA建立IPsecSA。IKE（因特网密钥交换）:为IPsec提供了自动协商交换密钥、建立SA的服务，能够简化IPsec的使用和管理。IKE是通过一系列数据的交换，最终计算出双方共享的密钥，并且即使第三者截获了双方用于计算密钥的所有交换数据，也不足以计算出真正的密钥。通过IKE建立隧道又分为两种模式：主模式（main）和野蛮模式（aggrmode，也叫快速模式）应用场景：在IPsec中，主要有两种应用场景，分别为LAN-to-LAN和Remote（远程连接）。其中LAN-to-LAN需要隧道两端各有一个网关来进行连接，而Remote则是其中一端为PC端，通过IPsec软件来连接VPN。2）工作拓扑图：3）工作过程：（1）加封装过程：A.Router1将从入接口接收到的IP明文送到转发模块进行处理B.转发模块依据路由查询结果，将IP明文发送到IPsec虚拟隧道接口进行加封装：原始IP报文被封装在一个新的IP报文中，新IP头中的源地址和目的地址分别为隧道接口的源地址和目的地址。C.IPsec虚拟隧道接口完成对IP明文的加封装处理后，将IP密文送到转发模块进行处理；D.转发模块进行第二次路由查询后，将IP密文通过隧道接口的实际物理接口转发出去。（2）解封装过程：A.Router将从入接口接收到的IP密文送到转发模块进行处理；B.转发模块识别到此IP密文的目的地为本设备的隧道接口地址且IP协议号为AH或ESP时，会将IP密文送到相应的IPsec虚拟隧道接口进行解封装：将IP密文的外层IP头去掉，对内层IP报文进行解密处理。C.IPsec虚拟隧道接口完成对IP密文的解封装处理之后，将IP明文重新送回转发模块处理；D.转发模块进行第二次路由查询后，将IP明文从隧道的实际物理接口转发出去。4）IPsec报文格式及发送：（1）报文格式：（2）报文发送网络拓扑图：隧道模式：传输模式：测试用例：1）LAN-to-LAN应用场景：服务端和客户端都有安全网关编号测试标题前置条件执行步骤预期结果实际结果测试结论IP地址格式验证能正常进入网关配置界面其它各项参数配置正确1.在本地地址栏输入正确的IP地址格式：40，点击保存2.在本地地址栏输入错误的IP地址格式：192.168.78，点击保存3.对对端地址、本地子网和远程子网进行如上的配置并保存步骤1：保存成功步骤2：保存失败，提示地址格式错误步骤3：分别同步骤1和步骤2所对应的结果交换模式验证1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.客户端和服务端都设置main交换模式，使能IPsec2.PC1pingPC2并抓包3.客户端和服务端都设置aggrmode交换模式，使能IPsec4.PC1pingPC2并抓包步骤2：PC1可ping通PC2且第一阶段的建立通过6次报文才完成步骤4：PC1可ping通PC2，第一阶段的建立通过3次报文就完成加密算法的验证1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.将两端的第一阶段加密算法都采用DES加密，使能IPsec，让PC1pingPC22.将两端的第一阶段加密算法都采用3DES加密，使能IPsec，让PC1pingPC23.将两端的第一阶段加密算法都采用AES128加密，使能IPsec，让PC1pingPC24.将两端的第一阶段加密算法都采用AES192加密，使能IPsec，让PC1pingPC25.将两端的第一阶段加密算法都采用AES256加密，使能IPsec，让PC1pingPC26.第二阶段采用ESP协议后，对加密算法同样进行如上的操作验证步骤1：PC1可ping通PC2步骤2：PC1可ping通PC2步骤3：PC1可ping通PC2步骤4：PC1可ping通PC2步骤5：PC1可ping通PC2步骤6：PC1可ping通PC2验证算法的验证1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问1.将两端的第一阶段验证算法都采用MD5，使能IPsec，让PC1pingPC22.将两端的第一阶段验证算法都采用SHA1，使能IPsec，让PC1pingPC23.第二阶段采用AH协议后，对验证算法同样进行如上的操作验证4..第二阶段采用ESP协议后，对验证算法同样进行如上的操作验证步骤1：PC1可ping通PC2步骤2：PC1可ping通PC2步骤3：PC1可ping通PC2步骤4：PC1可ping通PC2协议类型的验证1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.将两端的协议类型都采用ESP协议，使能IPsec，PC1pingPC22.将两端的协议类型都采用AH协议，使能IPsec，PC1pingPC2步骤1：PC1可ping通PC2步骤2：PC1可ping通PC2本端子网验证1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.在客户端设置本地子网为子网掩码为282.在客户端在连接PC3后再连接上PC4，让PC4pingPC23.断开PC3的连接，重连PC4，使能IPsec，让PC4pingPC2步骤2：PC4无法ping通PC2步骤3：PC4可以ping通PC2对端子网验证1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.在本端端设置正确的对端子网为子网掩码为282.设置正确的本端子网范围3.PC1pingPC24.在本端设置与对端不相符的对端子网，子网掩码为285.PC1pingPC2步骤3：PC1可ping通PC2步骤5:步骤1不可ping通PC2子网超出范围（包括超出LAN口子网范围以及网段与LAN口网段不一致）1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.在客户端设置网关IP为40,LAN口IP为，地址池为0-002.设置本地子网为，子网掩码为28，使能IPsec，让PC1pingPC23.设置本地子网为，子网掩码55，使能IPsec，让PC1pingPC24.对远程子网进行同样的操作。步骤2：PC1无法ping通PC2步骤3：PC1无法ping通PC2步骤4：PC1无法ping通PC2两端交换模式不一致1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.一端设置交换模式为main，另一端设置交换模式为aggrmode，使能IPsec2.查看连接两节状态并让PC1pingPC2步骤2：可以联通，但是PC1无法ping通PC2两端交换方向都设置相同1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1到PC2网络连接正常，可正常访问4.封装模式选择Tunnel1.将两端交换方向都设置成Receive，使能IPsec2.让PC1pingPC23.将两端交换方向都设置成Send，使能IPsec4.让PC1pingPC2步骤2：PC1无法ping通PC2步骤4：PC1无法ping通PC2共享密钥不一致1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.将一端的密钥设置为12345，另一端的密钥设置成54321，使能IPsec2.让PC1pingPC2步骤2：PC1无法ping通PC2加密算法不一致1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.在第一阶段中，一端将加密算法依次设置为DES/3DES/AES128/AES192/AES2562.在另一端依次设置与之不同的加密算法3.让PC1pingPC24.对第二阶段的加密算法进行的测试步骤3：PC1全都可以ping通PC2步骤4：PC1全都无可以ping通PC2验证算法不一致1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.在第一阶段中，在一端将验证算法设置为MD5，另一端设置为SHA1，使能IPsec2.让PC1pingPC23.对第二阶段进行同样的测试步骤2：PC1可以ping通PC2步骤3：PC1可以ping通PC2协议类型不一致1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.将一端的协议类型设置为ESP，另一端的协议类型设置为AH，使能IPsec2.让PC1pingPC2步骤2：PC1无法ping通PC2不同网关的兼容性1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.客户端采用网经网关，服务端采用SU6104，配置正确的账户信息，使能IPsec，两端分别连接PC1和PC22.PC1pingPC23.客户端采用SU6104，服务端采用IPsec，配置正确的账户信息，使能IPsec，两端分别连接PC1和PC24.PC1pingPC2步骤2：PC1可ping通PC2步骤4：PC1可ping通PC2语音数据验证1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.两端使能IPsec，是VPN联通2.PC1pingPC23.在本端网关LAN侧的电脑进行网络访问4.在本端网关LAN侧的电脑进行语音通话测试5.断开VPN连接后，进行语音数据测试步骤2：PC1ping通PC2步骤3：可正常访问因特网步骤4：语音通话正常步骤5：语音数据正常多种WAN口接入方式1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.进入服务端配置界面，选择PPPOE接入，设置正确账号密码，两端使能IPsec2.PC1pingPC23.进入服务端配置界面，选择静态IP接入，设置正确IP网管和DNS，两端使能IPsec4.PC1pingPC25.进入服务端配置界面，选择DHCP接入，设置正确账号密码，两端使能IPsec6.PC1pingPC2步骤2：PC1ping通PC2步骤4：PC1ping通PC2步骤6：PC1ping通PC2WAN口多条连接1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.进入服务端配置界面，分别配置Internet、Voip和TR69三条连接，绑定LAN1、LAN2、LAN32.PC1、PC2、PC3分别接入LAN1-LAN33.两端使能IPsec后，PC1进行网络访问，PC2进行语音测试，PC3进行上挂网管4.对客户端进行同样的测试步骤3：PC1可正常访问网络，PC2语音通话正常，PC3上挂网管成功。步骤4：同上4G上行接入VPN1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.一端端网关设为send，另一端网关设为receive。4.两个网关4G上行接入网络5.封装模式选择Tunnel1.两台网关均使能IPsec，PC1和PC2分别接入客户端和服务端LAN口2.PC1pingPC2步骤2：PC1可ping通PC2VPN联通后应用测试1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.在客户端和服务端分别搭建ftp服务器；2.在客户端访问服务端进行ftp下载3.在服务端访问客户端进行ftp下载4.客户端远程到服务端内网PC5.服务端远程到客户端内网PC步骤2：ftp下载成功步骤3：ftp下载成功步骤4：远程访问成功步骤5：远程访问成功服务端状态信息查看1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.客户端和服务端两端配置好信息参数，保存，并使能IPsec2.登录服务端web界面，查看VPN状态信息步骤2：可查看到客户端接入的网关IP及连接状态，还有连接/断开按钮重连机制验证1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.配置好两端信息后，保存并使能IPsec2.服务端断网1h后，重新联网3.联网后，PC1pingPC24.服务端重启网关，重启成功后PC1pingPC25.服务端关闭24小时候，重新上电，启动成功后PC1pingPC2步骤3：一段时间后PC1ping通PC2步骤4：一段时间后PCping通PC2步骤5：一段时间后PC1ping通PC2重启后配置信息验证1.能正常访问配置界面1.进入配置界面后，配置好正确的信息并保存2.通过web界面重启SU6104，重启成功后登录web界面查看配置信息；3.通过CLI命令重启SU6104，重启成功后，登录web界面查看配置信息；4.通过断电重启SU6104，重启成功后登陆web界面查看配置信息；步骤2：界面配置信息没发生改变步骤3：界面配置信息没发生改变步骤4：配置界面信息没发生改变频繁连接/断开服务端1.PC1到PC2网络正常，可正常访问2.服务端帐号信息、地址池等配置正确1.客户端联通服务器，PC1pingPC22.客户端断开服务器，PC1pingPC23.客户端进行20次连接/断开服务器后4.客户端联通服务器，PC1pingPC25.客户端断开服务器，PC1pingPC2步骤1：PC1可ping通PC2步骤2：PC1不可Ping通PC2步骤4：PC1可ping通PC2步骤5:PC1不可ping通PC2Log查看流程1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.串口联通网关，并开启SRC2.两端配置正确参数，使能IPSec3.通过log查看两端建立VPN的流程步骤3：通过log可查看到完整的IPsec连接的流程客户端状态信息显示1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.两端配置好正确的参数，使能IPsec2.登录web界面查看VPN状态信息步骤2：可查看到接入VPN的LAN口PC及IP，还有连接/断开按钮可查看到所连接到的服务端IP和连接状态，以及连接/断开按钮重连机制验证1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.配置好两端信息后，保存并使能IPsec2.客户端断网1h后，重新联网3.联网后，PC1pingPC24.客户端重启网关，重启成功后PC1pingPC25.客户关闭24小时候，重新上电，启动成功后PC1pingPC2步骤3：一段时间后PC1ping通PC2步骤4：一段时间后PCping通PC2步骤5：一段时间后PC1ping通PC2IxChariot打流测试打流测试1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.两个网关联通并且使能IPsec2.PC1和PC2通过网线直连网关，一端启用IxChariot和EndPoint作为控制端，一端开启endPoint作为服务端3.利用IxChariot进行无限制速度打流4.设置50M打流速度进行24h打流5.利用无线连接，做同样的打流测试。步骤3：可查看最大值吞吐率步骤4：24小时候打流速度无多大变化步骤5：可测出最大吞吐率且24小时打流测试中无多大变化断开后长时间ping1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.两端使能IPsec，连通两台网关后，断开服务器连接2.在客户端ping服务端，时间为1h3.查看是否出现异常4.联通服务器，创建连接后，断开客户端5.在服务端ping客户端，时间为1h，查看是否异常步骤2：无异常步骤5：无异常网关负载测试1.客户端和服务端都能正常进入网关配置界面2.其它各项参数配置正确3.PC1端网关设为send，PC2端网关设为receive。4.PC1到PC2网络连接正常，可正常访问5.封装模式选择Tunnel1.两端配置好信息后，使能Ipsec，联通两台网关2.在客户端利用Xcap模拟100台电脑，对服务端发起长时间的访问3.查看两台网关是否异常以及模拟的电脑访问是否异常步骤3：访问无异常且两台网关无任何异常Remote应用场景：服务端带安全网关，客户端PC直接访问服务器。编号测试标题前置条件执行步骤预期结果实际结果测试结论客户端验证服务端网关配置信息正确并设置为receivePC1到PC2网络正常连接，可以正常访问封装模式选择Tunnel配置正确的客户端信息，点击连接，PC1pingPC2客户端输入错误的服务器IP和子网地址及掩码，点击连接，PC1pingPC2客户端输入错误的IKE密钥，点击连接PC1pingPC2客户端设置与服务端不同的加密方式，点击连接，PC1pingPC2客户端设置与服务端不同的验证算法，点击连接，PC1pingPC2客户端设置与服务端不同的协议类型，点击连接，PC1pingPC2将服务器改为Transport模式，点击客户端连接，PC1pingPC2步骤1：PC1可以ping通PC2步骤2：PC1无法ping通PC2步骤3：PC1无法ping通PC2步骤4:PC1无法ping通PC2步骤5：PC1无法ping通PC2步骤6：PC1无法ping通PC2步骤7：PC1无法ping通PC2两端交换模式不一致1.服务器配置信息正确2.客户端各项参数配置正确3.PC1到PC2网络连接正常，可正常访问4.封装模式选择Tunnel1.客户端设置交换模式为main，服务端设置交换模式为aggrmode，使能IPsec2.让PC1pingPC23.服务端设置交换模式为main，客户端设置交换模式为aggrmode，使能IPsec4.让PC1pingPC2步骤2：PC1无法ping通PC2步骤4：PC1无法ping通PC2两端交换方向都设置相同1.服务器配置信息正确2.客户端各项参数配置正确3.PC1到PC2网络连接正常，可正常访问4.封装模式选择Tunnel1.将服务端的交换方向设置成Receive，使能IPsec2.让PC1pingPC2步骤2：PC1无法pin