YDT 2041-2009 IPv6 网络设备安全测试方法-宽带网络接入服务器

1、ICS 33.040.40 M32 YD 中华人民共和国通信行业标准 YD!T 2041-2009 IPv6网络设备安全测试方法 宽带网络接入服务器 Security test specification of IPv6 network device 一一一Broadbandnetwork access server 2009-12-11发布 2010-01-01实施 中华人民共和国工业和信息化部发布 yorr 2041-2009 目次 前言.咀 1 范围 2 规范性引用文件 3 缩略语 4 测试环境配置.2 5 数据平面安全测试3 5.1 IPSec功能.3 5.2 L2TP功能3 5.3

2、常见攻击防护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 5.4 URPF功能. . .8 5.5 ACL功能.10 5.6 流量控制功能.15 5.7 会话及应用监测功能.18 6 控制平面安全测试.21 6.1 用户安全管理功能.21 6.2 路由协议安全.25 6.3 路由过滤功能. . 31 6.4 TCPIIP协议安全.33 6.5 VPN功能.35 6.6 GTSM功能.36 7 管理平面安全测试.37 7.1 端口镜像功能.37 7.2 访问控制功能.38 7.3 SSH安全访问功能.40 7.4 SNMP

3、v3协议安全.44 7.5 用户口令安全.48 7.6 安全审计功能.49 7.7 基于采样的流信息输出功能.50 参考文献.54 w w w . b z f x w . c o m yorr 2041-2009 H 目IJJ=I 本标准是IPv6网络设备安全系列标准之一，该系列标准预计的结构和名称如下z 1.四厅拟1-29IPv6网络设备安全技术要求一一宽带网络接入服务器 2. YD厅1905-2009IPv6网络设备安全测试方法一一宽带网络接入服务器 本标准与YD厅1905-29IPv6网络设备安全技术要求一一宽带网络接入服务器配套使用。 本标准由中国通信标准化协会提出井归口。 本标准起草

4、单位z工业和信息化部电信研究院。 本标准主要起草人z杨剑锋。 w w w . b z f x w . c o m 1 范围 IPv6网络设备安全测试方法 -一宽带网络接入服务器 yorr 2041-2009 本标准规定了支持E峭的宽带网络接入服务器涉及安全相关测试的内容，包括数据平面、控制平面 和管理平面的安全测试。 本标准适用于支持IPv6的宽带网络接入服务器。 本标准中出现的所有未特指的宽带网络接入服务器、接入服务器、设备等均指1Pv6宽带网络接入服 务器。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的 修改单(不包括勘误的内容

5、)或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 YD厅1265-2003 YDfT 1467-2006 网络接入服务器(NAS)测试方法一一宽带网络接入服务器 E安全协议(IPSec)测试方法 3 缩略语 下列缩略语适用于本标准。 ACL Access Contr01 List 访问控制列表 BGP Border Gateway Protoc01 边界网关协议 BGP4+ BGP version 4 P1us 支持1Pv6的BGP协议版本4 DUT Device Under Test 被测设备

6、FfP Fi1e Transfer Protoc01 文件传输协议 GTSM Generalized TTL Security Mech缸llsm通用TTL安全机制 HTTP HyperText Transfer Protoc01 超文本传输协议 1CMP Intemet Contr01 Message 阶otoc01互联网控制报文协议 1CMPv6 1C岛1Pversion6 1CMP协议版本6 E Intemet 阶ot01互联网协议 IPv6 Intemet Prot01 version 6 互联网协议版本6 IPSec IP Security E安全机制 1S-1S Intermedi

7、ate System to Intermediate System 中间系统-中间系统 1S-1Sv6 1S-1S version 6 1S-1S协议版本6 L2TP Layer 2 Tunneling Protoc01 二层隧道协议 L2VPN Layer2 VPN 二层VPN w w w . b z f x w . c o m YDrr 2041-2009 L3VPN Layer3 VPN 二层VPN MAC Media Access Control 媒质访问控制 MD5 Message Digest version 5 报文摘要版本5 NAS Network Access Server

8、网络接入服务器 ND Neighbor Discovery 邻居发现 OSPF Open Shortest Path First 最短路径优先 OSPFv3 OSPF version 3 OSPF协议版本3 PPP Point-tcPoint Protocol 点到点协议 RIP Route In岛nnationProt倪。l路由信息协议 RIPng Rou由19Infonnation Prot01， Next Generation 下一代路由信息协议 SMTP Simple Message Transfer Prot01 简单邮件传输协议 SN岛。Simple Network Managem

9、ent Protocol 简单网管协议 SNMPv3 SNMP version 3 SNMP协议版本3 SSH Sec町eShell 安全外壳程序 SSHvl SSH version 1 SSH版本1 SSHv2 SSH version 2 SSH版本2 TCP Transmission Control Prot01 传输控制协议 UDP User Datagram Prot，以;01用户数据报协议 URPF Unicast Reverse Path Forwarding 单播反向路径转发 VLAN Vrrtua1La1 Area Networks 虚拟局域网 VPN Vrrtua1 Priv

10、ate Network 虚拟专用网 4 测试环境配置 测试环境1如图1所示。 固1测试环境配置1 测试环境2如图2所示。 固2测试环境配置2 测试环境3如图3所示。 2 w w w . b z f x w . c o m yorr 2041-2009 固3测试环境配置3 测试环境4如囱4所示。 圄4测试环境配置4 测试环境5如图5所示。 固5测试环境配置5 测试环境6如图6所示。 固6测试环境配置6 测试环境7如图7所示。 固7测试环境配置7 5 数据平面安全测试 5.1 IPSec功能 IPSec相关安全功能测试见四厅1467-26。 5.2 L2TP功能 L2TP相关安全功能测试见m厅12

11、65-2003. 3 w w w . b z f x w . c o m YD/T 2041-2009 5.3 常见攻击防护 测试编号1 测试项目:抗大流量冲击测试 测试类别:必选 测试配置:测试配置图1 测试步骤: 1)按测试环境配置连接设备: 2)在仪表A、B间以线速发送数据包: 3) D盯的1端口启用路由协议，仪表A通告路由信息: 的停止步骤2)中数据包的发送: 5)仪表以线速向D盯的环回地址发送数据包: 6)仪表A通告路由信息 预期结果: 在步骤3)、6)中，D盯能正确处理和更新路由信息，控制平面和管理平面功能不受背景流量影响 判定原则z 应完全符合预期结果，否则判定不合格 测试编号2

12、 测试项目:畸形包处理功能测试 测试类别:必选 测试配置z测试配置图1 测试步骤: 1)按测试环境配置连接设备: 2)在仪表A、B间以小于吞吐量的速率发送数据包: 3)由仪表A向仪表B发送链路层错误(如Aligment错误帧、FCS错误帧、CRC错误帧)报文; 的停止步骤3)中报文的发送，由仪表A向仪表B发送帧间隔低于最小规范值的报文CDribble); 5)停止步骤4)中报文的发送，由仪表A向仪表B发送超长帧CGiant); 6)停止步骤5)中报文的发送，由仪表A向仪表B发送超短帧CRunt) 预期结果: 。在步骤3)、5)、6)中，错误帧应被丢弃，D盯在日志中有相应记录，记录错误帧对背景流

13、量的影响; 2)在步骤4)中，错误帧被丢弃或仪表B接收到被更正的报文，DUT在日志中有相应记录 判定原则: 应完全符合预期结果，否则判定不合格 4 w w w . b z f x w . c o m YDrr 2041-2009 测试编号3 测试项目ICMPF100d攻击防护功能测试 测试类别:必选 测试配置z测试配置图2 测试步骤: 1)按测试环境连接设备: 2)仪表A和B分别与D盯的1、2端口启用路由协议，并向D盯通告到网络a和网络b的路由: 3)从仪表A向网络b中的某个E地址以小于端口吞吐量的流量发送背景流量，并验证仪表B能够正 常接收: 4)从仪表C向DUT环回地址以线速发送ICMPv

14、6攻击数据包及分片包(类型为EchoRequest F1ood); 5)停止步骤4)中流量的发送，从仪表C向D盯环回地址以端口吞吐量发送ICMPv6F100d攻击数据 包(类型包括目的不可达、包过大、超时、参数错误等); 6)停止步骤5)中流量的发送，从仪表B向DUT端口2的链路本地地址以端口吞吐量发送ICMPv6 攻击数据包(类型同步骤5)，源地址为网络b中的某个E地址 预期结果: 在步骤4)、5)、6)中，攻击报文应被丢弃或限速，DUT在日志中有相应记录，背景流量不受影响 判定原则: 应完全符合预期结果，否则判定不合格 测试编号4 测试项目ICMPSpoof攻击防护功能测试 测试类别:必选

15、 测试配置z测试配置图2 测试步骤: 1)按测试环境连接设备; 2)仪表A和B分别与D盯的1、2端口启用路由协议，并向D盯通告到网络a和网络b的路由: 3)从仪表A向网络b中的某个E地址以小于端口吞吐量的流量发送背景流量，并验证仪表B能够正 常接收: 的从仪表C向DUT环回地址以端口吞吐量发送ICMPv6攻击数据包(类型包括目的不可达、包过大、 超时、参数错误等)，源地址为网络a中的某个F地址: 5)停止步骤4)中流量的发送，从仪表B向D盯端口2的链路本地地址以端口吞吐量发送ICMPv6 攻击数据包(类型同步骤4)，源地址为网络a中的某个E地址: 6)停止步骤5)中流量的发送，从仪表A向网络b

16、中的某个E地址以端口吞吐量剩余带宽发送ICMPv6 攻击数据包(类型为EchoRequest F100d)，源地址为网络a的组播地址: 7)停止步骤6)中流量的发送，从仪表A向网络b中的某个E地址以端口吞吐量剩余带宽发送ICMPv6 攻击数据包(类型同步骤6)，源地址为D盯环回地址 预期结果z 在步骤的、5)、6)、7)、中，攻击报文应被丢弃，DUT在日志中有相应记录，背景流量不受影响 判定原则z 应完全符合预期结果，否则判定不合格 5 w w w . b z f x w . c o m yorr 2041-2009 测试编号5 测试项目TCP标记Flood攻击防护功能测试 测试类别:必选 测

17、试配置:测试配置图2 测试步骤: 1)按测试环境连接设备: 2)仪表A和B分别与D盯的1、2端口启用路由协议，井向DUT通告到网络a和网络b的路由; 3)从仪表A向网络b中的某个E地址以小于端口吞吐量的流量发送背景流量，并验证仪表B能够正 常接收: 4)从仪表C向D盯环回地址以线速发送TCP标记攻击数据包及分片包(类型包括SYN、ACK、CWR、 ECE、FIN、URGFlood); 5)停止步骤的中流量的发送，从仪表C向D盯环回地址以线速发送TCP标记攻击数据包及分片包 (类型为ErroneousFlags Flood); 6)停止步骤5)中流量的发送，从仪表B向D盯端口2的链路本地地址以端

18、口吞吐量发送TCP标记 攻击数据包及分片包(类型同步骤4)，源地址为网络b中的某个E地址 预期结果: 在步骤的、5)、6)中，攻击报文应被丢弃或限速，D盯在日志中有相应记录，背景流量不受影响 判定原则z 应完全符合预期结果，否则判定不合格 测试编号6 测试项目TCP状态Flood防护功能测试 测试类别z必选 测试自己置z测试配置图2 测试步骤z 1)按测试环境连接设备: 2)仪表A和B分别与D盯的1，2端口启阳协议并向D盯通告到胁和阳的路由: 3)从仪表A向网络b中的某个E地址以小于端口吞吐量的流量发送背景流量，并验证仪表B能够正 常接收: 的从仪表C向D盯环回地址以线速发送TCP状态攻击数据

19、包及分片包(类型StateFlood); 5)停止步骤的中流量的发送，从仪表C向D盯环回地址以端口吞吐量发送TCP状态攻击数据包及 分片包CFlood类型包括SYN+ACK、SYN+FIN、SYN+RST、FIN+ACK、PSH+ACK等); 6)停止步骤5)中流量的发送，从仪表B向D盯端口2的链路本地地址以端口吞吐量发送TCP状态 攻击数据包及分片包(类型同步骤5)，源地址为网络b中的某个E地址 预期结果z 在步骤的、5)、6)中，攻击报文应被丢弃或限速，DUT在日志中有相应记录，背景流量不受影响 判定原则z 应完全符合预期结果，否则判定不合格 6 w w w . b z f x w . c

20、 o m yorr 2041-2009 测试编号7 测试项目TCPSpoof攻击防护功能测试 测试类别:必选 测试配置:测试配置图2 测试步骤: 1)按测试环境连接设备: 2)仪表A和B分别与DUT的1、2端口启用路由协议，并向DUT通告到网络a和网络b的路由: 3)从仪表A向网络b中的某个E地址以小于端口吞吐量的流量发送背景流量，并验证仪表B能够正 常接收: 4)从仪表C向DUT环回地址以端口吞吐量发送TCP标记攻击数据包及分片包(类型包括SYN、ACK、 CWR、ECE、F町、URGFld)，源地址为网络a中的某个E地址: 5)停止步骤4)中流量的发送，从仪表B向D盯端口2的链路本地地址以

21、端口吞吐量发送TCP攻击 数据包及分片包(类型同步骤4)，源地址为网络a中的某个E地址: 6)停止步骤5)中流量的发送，从仪表A向网络b中的某个E地址以端口吞吐量剩余带宽发送TCP 攻击数据包(类型同步骤4)，源地址为网络a的组播地址: 7)停止步骤6)中流量的发送，从仪表A向网络b中的某个E地址以端口吞吐量剩余带宽发送TCP 攻击数据包(类型同步骤4)，源地址为D盯环回地址等 预期结果: 在步骤4)、5)、6)、7)中，攻击报文应被丢弃，D盯在日志中有相应记录，背景流量不受影响 判定原则z 应完全符合预期结果，否则判定不合格 测试编号8 测试项目UDPFlood攻击防护功能测试 测试类别:必

22、选 测试配置z测试配置图2 测试步骤z 1)按测试环境连接设备: 2)仪表A和B分别与D盯的1、2端口启用路由协议，并向D盯通告到网络a和网络b的路由: 3)从仪表A向网络b中的某个E地址以小于端口吞吐量的流量发送背景流量，并验证仪表B能够正 常接收; 4)从仪表C向D盯环回地址以线速发送UDPFlood攻击数据包及分片包(类型包括Echo、Chargen 等); 5)停止步骤5)中流量的发送，从仪表B向D盯端口2的链路本地地址以端口吞吐量发送UDPFlood 攻击数据包及分片包(类型同步骤4)，源地址为网络b中的某个E地址 预期结果: 在步骤的、5)中，攻击报文应被丢弃或限速，DUT在日志中

23、有相应记录，背景流量不受影响 判定原则z 应完全符合预期结果，否则判定不合格 7 YDrr 2041-2009 测试编号9 测试项目UDPSpoof攻击防护功能测试 测试类别:必选 测试配置:测试配置图2 测试步骤z 1)按测试环境连接设备: 2)仪表A和B分别与D盯的1、2端口启用路由协议，并向D盯通告到网络a和网络b的路由: 3)从仪表A向网络b中的某个E地址以小于端口吞吐量的流量发送背景流量，并验证仪表B能够正 常接收: 4)从仪表C向D盯环回地址以端口吞吐量发送UDPSpf攻击数据包及分片包(类型包括Echo和 Chargen等)，源地址为网络a中的某个E地址: 5)停止步骤4)中流量

24、的发送，从仪表B向DUT端口2的链路本地地址以端口吞吐量发送UDPSpoof 攻击数据包及分片包(类型同步骤4)，源地址为网络b中的某个E地址: 6)停止步骤5)中流量的发送，从仪表A向网络b中的某个E地址以端口吞吐量剩余带宽发送UDP Spoof攻击数据包(类型同步骤4)，源地址为网络a的组播地址: 7)停止步骤6)中流量的发送，从仪表A向网络b中的某个E地址以端口吞吐量剩余带宽发送UDP Spoof攻击数据包(类型同步骤4)，源地址为D盯环回地址等 预期结果z 在步骤的、5)、6)、7)中，攻击报文应被丢弃，D盯在日志中有相应记录，背景流量不受影响 判定原则z 应完全符合预期结果，否则判定

25、不合格 5.4 URPF功能 测试编号10 测试项目:严格的URPF功能测试 测试类别:必选 测试配置z测试配置图2 测试步骤z 1)按测试环境连接设备: 2)仪表A和B与D盯的1、2端口启用路由协议，并向DUT通告到网络a和网络b的路由，并发送 流量验证路由的有效性: 3)在D盯上配置端口3到网络c的静态路由，启用严格的URPF; 4)从仪表端口A向仪表端口B发送数据包，数据包源地址为网络a中的地址: 5)停止步骤4)中数据流的发送，从仪表A向仪表B发送数据包，数据包源地址为网络c中的地址: 6)停止步骤5)中数据流的发送，从仪表A向仪表B发送数据包，数据包源地址为路由表中不存的 地址 预期

26、结果: 1)在步骤4)中，仪表B应可以收到测试数据包: 2)在步骤5)、6)中，仪表B不能收到测试数据包 判定原则: 应完全符合预期结果，否则判定不合格 8 YD/T 2041-2009 测试编号11 测试项曰:松散的URPF功能测试 测试类别:必选 测试配置z测试配置图2 测试步骤z 1)按测试环境连接设备: 2)仪表A和B与D盯的1、2端口启用路由协议，并向D盯通告到网络a和网络b的路由，并发送 流量验证路由的有效性: 3)在D盯上配置端口3到网络c的静态路白，启用松散的URPF; 的从仪表A向仪表B发送数据包，数据包源地址为网络a中的地址: 5)停止步骤的中数据流的发送，从仪表A向仪表B

27、发送数据包，数据包源地址为网络c中的地址: 6)停止步骤5)中数据流的发送，从仪表A向仪表B发送数据包，数据包源地址为路由表中不存的 地址 预期结果: 。在步骤的、5)中，仪表B应可以收到测试数据包; 2)在步骤6)中，仪表B不能收到测试数据包 判定原则: 应完全符合预期结果，否则判定不合格 测试编号12 测试项目:基于ACL的URPF功能测试 测试类别:必选 测试配置:测试配置图3 测试步骤: 1)按测试环境连接设各: 2)仪表A和B与D盯的1、2端口启用路由协议，并向D盯通告到网络a和网络b的路由，并发送 流量验证路由的有效性: 3)在D盯上配置端口1到网络3的静态路由，启用基于ACL的U

28、RPF，配置ACL规则拒绝源地址 为网络3中地址x的数据包: 4)从仪表A向仪表B发送数据包，数据包源地址为网络a中的地址: 5)停止步骤的中数据流的发送，从仪表A向仪表B发送数据包，数据包源地址为网络3中地址Y: 6)停止步骤5)中数据流的发送，从仪表A向仪表B发送数据包，数据包源地址为网络3中地址x 预期结果: 。在步骤的、5)中，仪表B应可以收到测试数据包: 2)在步骤6)中，仪表B不能收到测试数据包 判定原则: 应完全符合预期结果，否则判定不合格 9 YD/T 2041-2009 5.5 ACL功能 测试编号13 测试项目z基于目的E地址的ACL功能测试 测试类别:必选 测试配置z测试

29、配置图1 测试步骤: 1)按测试环境连接设备: 2)在DUT上配置基于目的IPv6地址的ACL(拒绝条目: 3)从仪表A向仪表B发送符合过滤条件的IPv6包: 4)从仪表A向仪表B发送不符合过滤条件的IPv6包 预期结果: 。在步骤3)中，仪表B没有收到数据包: 2)在步骤的中，仪表B可以收到数据包 判定原则z 应完全符合预期结果，否则判定不合格 测试编号14 测试项目:基于源E地址的ACL功能测试 测试类别:必选 测试配置:测试配置图1 测试步骤: 1)按测试环境连接设备; 2)在DUT上配置基于源IPv6地址的ACL(拒绝)条目: 3)从仪表A向仪表B发送符合过滤条件的IPv6包: 的从仪

30、表A向仪表B发送不符合过滤条件的IPv6包 预期结果z 。在步骤3)中，仪表B没有收到数据包: 2)在步骤的中，仪表B可以收到数据包 判定原则: 应完全符合预期结果，否则判定不合格 10 yorr 2041-2009 测试编号15 测试项目:基于协议类型的ACL功能测试 测试类别:必选 测试配置z测试配置图1 测试步骤: 1)按测试环境连接设备: 2)在DUT上配置基于协议类型的ACL(拒绝)条目: 3)从仪表A向仪表B发送符合过滤条件的IPv6包: 4)从仪表A向仪表B发送不符合过滤条件的IPv6包 预期结果: 1)在步骤3)中，仪表B没有收到数据包: 2)在步骤的中，仪表B可以收到数据包

31、判定原则: 应完全符合预期结果，否则判定不合格 测试编号16 测试项目:基于协议源端口的ACL功能测试 测试类别:必选 测试配置:测试配置图1 测试步骤z 1)按测试环境连接设备: 2)在D盯上配置基于协议源端口的ACL(拒绝)条目: 3)从仪表A向仪表B发送符合过滤条件的IPv6包: 的从仪表A向仪表B发送不符合过滤条件的IPv6包 预期结果: 。在步骤3)中，仪表B没有收到数据包: 2)在步骤的中，仪表B可以收到数据包 判定原则: 应完全符合预期结果，否则判定不合格 11 yorr 2041-2009 测试编号17 测试项目:基于协议目的端口的ACL功能测试 测试类别:必选 测试配置z测试

32、配置图1 测试步骤: 1)按测试环境连接设备: 2)在DUT上配置基于协议目的端口的ACL(拒绝)条目: 3)从仪表A向仪表B发送符合过滤条件的IPv6包: 4)从仪表A向仪表B发送不符合过滤条件的IPv6包 预期结果z 。在步骤3)中，仪表B没有收到数据包: 2)在步骤的中，仪表B可以收到数据包 判定原则z 应完全符合预期结果，否则判定不合格 测试编号18 测试项目z基于五元组的ACL功能测试 测试类别:必选 测试配置:测试配置图1 测试步骤: 1)按测试环境连接设备: 2)在DUT上配置基于五元组(源E地址、目的E地址、协议类型、源端口、目的端口)的ACL(拒 绝条目: 3)从仪表A向仪表

33、B发送符合过滤条件的IPv6包: 的从仪表A向仪表B发送不符合过滤条件的IPv6包 预期结果: 1)在步骤3)中，仪表端口B没有收到数据包: 2)在步骤4)中，仪表端口B可以收到数据包 判定原则: 应完全符合预期结果，否则判定不合格 12 yorr 2041-2009 测试编号19 测试项目:基于源MAC地址的ACL功能测试 测试类别:可选 测试配置:测试配置图1 测试步骤z 1)按测试环境连接设备: 2)在D盯上配置基于源MAC地址的ACL(拒绝)条目: 3)从仪表A向仪表B发送符合过滤条件的数据包: 的从仪表A向仪表B发送不符合过滤条件的数据包 预期结果: 1)在步骤3)中，仪表B没有收到

34、数据包: 2)在步骤4)中，仪表B可以收到数据包 判定原则: 应完全符合预期结果，否则判定不合格 测试编号20 测试项目:全局ACL功能测试 测试类别:可选 测试配置:测试配置图1 测试步骤: 1)按测试环境连接设备: 2)在DUT上配置全局ACL(拒绝)条目: 3)从仪表A向仪表B发送符合过滤条件的IPv6包: 的从仪表B向仪表A发送符合过滤条件的IPv6包: 5)从仪表A向仪表B发送不符合过滤条件的IPv6包 预期结果: 1)在步骤3)、4)中，仪表B没有收到数据包: 2)在步骤5)中，仪表B可以收到数据包 判定原则z 应完全符合预期结果，否则判定不合格 13 yorr 2041-2009

35、 测试编号21 测试项目:接口ACL功能测试 测试类别:必选 测试配置:测试配置图1 测试步骤: 1)按测试环境连接设备: 2)在DUT上接口1配置ACL(拒绝)条目: 3)从仪表A向仪表B发送符合过滤条件的IPv6包: 4)从仪表B向仪表A发送符合过滤条件的IPv6包 预期结果z 。在步骤3)中，仪表B没有收到数据包: 2)在步骤4)中，仪表A可以收到数据包 判定原则z 应完全符合预期结果，否则判定不合格 测试编号22 测试项目ACL下性能测试 测试类别:必选 测试配置z测试配置图1 测试步骤z 1)按测试环境连接设备: 2)在D盯上配置20条相互无关联的基于五元组(源E地址、目的E地址、协

36、议、源端口、目的 端口)的ACL(拒绝)条目: 3)仪表A和B与D盯的1、2端口启用路由协议，并向D盯通告到网络a和网络b的路由: 4)从仪表A、B间发送双向不符合过滤条件的IPv6数据包，数据包源地址、目的地址分别为网络a、 网络b中随机的可变IPv6地址，进行性能测试 预期结果: D盯的吞吐量、转发时延等性能没有明显劣化 判定原则: ACL下性能不应低于正常转发性能的60%，否则判定不合格 14 YDrr 2041-2009 5.6 流量控制功能 测试编号23 测试项目:流量限速功能测试 测试类别:必选 测试配置z测试配置图2 测试步骤z 1)按测试环境连接设备: 2)在D盯上接口1配置基

37、于接口的入向流量限速，限制速率为M(小于接口1的速率); 3)从仪表A向仪表B以接口速率发送IPv6数据包; 的停止步骤3)中的数据流，从仪表C向仪表B以接口速率发送IPv6数据包 预期结果: 1)在步骤3)中，仪表端口B可以收到数据包，速率为M，误差不超过10%; 2)在步骤的中，仪表端口B可以收到数据包，速率为仪表C发送速率 判定原则z 应完全符合预期结果，否则判定不合格 测试编号24 测试项目:基于E地址段的流量分类功能测试 测试类别:必选 测试配置:测试配置图1 测试步骤: 1)按测试环境连接设备; 2)在D盯上配置基于E地址段(源地址服地址段、目的地址/目的地址段)的流量分类策略，对

38、命 中的数据流配置限制速率为M(小于接口1的速率); 3)从仪表A向仪表B以接口速率发送符合限制策略的IPv6数据包，数据包E地址(源IPv6地址和 目的IPv6地址)为限制地址段内随机的可变地址: 4)停止步骤3)中的数据流，从仪表A向仪表B以接口速率发送不符合限制策略的IPv6数据包 预期结果: 1 )在步骤3)中，仪表B可以收到数据包，速率为M，误差不超过10%; 2)在步骤的中，仪表B可以收到数据包，速率为仪表A发送速率 判定原则: 应完全符合预期结果，否则判定不合格 15 YDrr 2041-2009 测试编号25 测试项目z基于协议及端口的流量分类功能测试 测试类别:必选 测试配置

39、:测试配置图1 测试步骤z 1)按测试环境连接设备: 2)在D盯上配置基于协议及端口(协议类型、源端口/源端口范围、目的端口/目的端口范围)的流 量分类策略，对命中的数据流配置限制速率为M(小于接口1的速率); 3)从仪表A向仪表B以接口速率发送符合限制策略的IPv6数据包，数据包协议端口值(源端口和目 的端口)为限制端口范围内随机的可变端口值: 4)停止步骤3)中的数据流，从仪表A向仪表B以接口速率发送不符合限制策略的IPv6数据包 预期结果: 。在步骤3)中，仪表B可以收到数据包，速率为M，误差不超过10%; 2)在步骤的中，仪表B可以收到数据包，速率为仪表A发送速率 判定原则z 所完全符

40、合预期结果，否则判定不合格 测试编号26 测试项目:基于五元组的流量分类功能测试 测试类别:必选 测试配置z测试配置图1 测试步骤z 1)按测试环境连接设备; 2)在DUT上配置基于五元组(源IPv6地址、目的IPv6地址、协议类型、源端口、目的端口)的流 量分类策略，对命中的数据流配置限制速率为M(小于接口1的速率); 3)从仪表A向仪表B以接口速率发送符合限制策略的IPv6数据包: 的停止步骤3)中的数据流，从仪表A向仪表B以接口速率发送不符合限制策略的IPv6数据包 预期结果: 1)在步骤3)中，仪表B可以收到数据包，速率为M，误差不超过10%; 2)在步骤4)中，仪表B可以收到数据包，

41、速率为仪表A发送速率 判定原则: 应完全符合预期结果，否则判定不合格 16 YD/T 2041-2009 测试编号27 测试项目:基于MAC地址的流量分类功能测试 测试类别:可选 测试配置z测试配置图1 测试步骤: 1)按测试环境连接设备: 2)在D盯上配置基于源MAC地址的流量分类策略，对命中的数据流配置限制速率为M(小于接口 1的速率); 3)从仪表A向仪表B以接口速率发送符合限制策略的数据包: 的停止步骤3)中的数据流，从仪表A向仪表B以接口速率发送不符合限制策略的数据包 预期结果z 1)在步骤3)中，仪表B可以收到数据包，速率为M，误差不超过10%; 2)在步骤的中，仪表B可以收到数据

42、包，速率为仪表A发送速率 判定原则: 应完全符合预期结果，否则判定不合格 测试编号28 测试项目:基于VLAN的流量分类功能测试 测试类别:必选 测试配置z测试配置图1 测试步骤z 1)按测试环境连接设备: 2)在D盯上配置基于VLANID的流量分类策略，对命中的数据流配置限制速率为M(小于接口1 的速率); 3)从仪表A向仪表B以接口速率发送符合限制策略的数据包: 的停止步骤3)中的数据流，从仪表A向仪表B以接口速率发送不符合限制策略的数据包 预期结果: 1)在步骤3)中，仪表B可以收到数据包，速率为M，误差不超过10%; 2)在步骤4)中，仪表B可以收到数据包，速率为仪表A发送速率 判定原

43、则: 应完全符合预期结果，否则判定不合格 17 YD/T 2041-2009 测试编号29 测试项目:流量整形功能测试 测试类别:可选 测试配置z测试配置图1 测试步骤: t)按测试环境连接设备: 2)在D盯上配置流量整形，数据流配置限制速率为M(小于接口1的速率); 3)从仪表A向仪表B按接口速率以连续脉冲的方式发送IPv6数据包 预期结果: 仪表B可以收到数据包，数据流得到整形，峰值速率为M，误差不超过10% 判定原则z 应完全符合预期结果，否则判定不合格 5.7 会话及应用监测功能 测试编号30 测试项目:用户状态监测功能测试 测试类别:可选 测试配置z测试配置图1 测试步骤z t)按测

44、试环境连接设备: 2)在D盯上启用用户状态监测功能(包括基于接口、基于VLAN等); 3)仪表A、B间模拟多用户进行会话和应用访问的数据流 预期结果: D盯实现TCP状态的监测，正确统计基于接口或基于VL剧相关用户的会话、数据流量等信息 判定原则z 应完全符合预期结果，否则判定不合格 18 YDrr 2041-2009 测试编号31 测试项目TCP状态监测功能测试 测试类别:可选 测试配置:测试配置图1 测试步骤: 1)按测试环境连接设备: 2)在D盯上启用TCP状态监测功能: 3)仪表A、B问模拟建立TCP会话连接 预期结果: D盯实现TCP状态的监测，正确统计TCP相关用户、会话、数据流量

45、等信息 判定原则z 应完全符合预期结果，否则判定不合格 测试编号32 测试项目HTTP状态监测功能测试 测试类别:可选 测试配置:测试配置图l 测试步骤: 1)按测试环境连接设各: 2)在D盯上启用HTTP状态监测功能: 3)仪表A、B间模拟建立H?会话连接 预期结果: D盯实现HTTP状态的监测，正确统计HTTP相关用户、会话、数据流量等信息 判定原则: j业元全符合预期结果，否则判定不合格 19 yorr 2041-2009 测试编号33 测试项目FTP状态监测功能测试 测试类别:可选 测试配置:测试配置图1 测试步骤: 1)按测试环境连接设备: 2)在D盯上启用盯?状态监测功能: 3)仪

46、表A、B间模拟建立FTP会话连接 预期结果: DUT实现盯?状态的监测，正确统计FTP相关用户、会话、数据流量等信息 判定原则: 应完全符合预期结果，否则判定不合格 测试编号34 测试项目SM四状态监测功能测试 测试类别:可选 测试配置:测试配置图1 测试步骤z 1)按测试环境连接设备: 2)在DUT上启用SMTP状态监测功能: 3)仪表A、B间模拟建立SMTP会话连接 预期结果: D盯实现SMTP状态的监测，正确统计SMTP相关用户、会话、数据流量等信息 判定原则: 应完全符合预期结果，否则判定不合格 20 YDrr 2041-2009 6 控制平面安全测试 6.1 用户安全管理功能 测试编

47、号35 测试项目802.1x端口管理测试 测试类别z必选 测试配置:测试配置图4 测试步骤z 1)按测试环境连接设备: 2)在DUT端口1上启用802.1x，配置通过认证服务器认证:在认证服务器上配置用户相关记录: 3)用户从端口1发起访问请求，使用正确的用户名和密码: 4)用户从端口1发起访问请求，使用不正确的用户名或密码: 5)用户从端口2发起访问请求，使用正确的用户名和密码 预期结果: 1)在步骤3)中，认证服务器收到D盯发送的认证信息，用户认证通过: 2)在步骤4)中，认证服务器收到D盯发送的认证信息，用户认证不通过: 3)在步骤5)中，认证服务器未收到D盯发送的认证信息，用户认证不通

48、过 判定原则: 应完全符合预期结果，否则判定不合格 测试编号36 测试项目802.1x地址绑定功能测试 测试类别:必选 测试配置:测试配置图4 测试步骤z 1)按测试环境连接设备; 2)在DUT上启用802.1x，端口1配置MAC地址绑定(绑定用户a的MAC地址); 3)用户a以匹配的MAC地址从端口1发起访问请求: 的用户a以不匹配的MAC地址从端口1发起访问请求: 5)用户b以匹配的MAC地址从端口2发起访问请求 预期结果: 1)在步骤3)中，用户认证通过: 2)在步骤的、5)中，用户认证不通过 判定原则: 应完全符合预期结果，否则判定不合格 21 YDrr 2041-2009 测试编号3

49、7 测试项目:用户认证绑定功能测试 测试类别z可选 测试配置z测试配置图4 测试步骤: 1)按测试环境连接设备; 2)在D盯上启用用户认证绑定功能，配置通过认证服务器认证(认证的绑定信息包括VLAN_ID、 MAC地址、端口号、E地址、账号等);在认证服务器上配置用户相关记录: 3)模拟用户以符合绑定内容的配置发起访问请求: 4)模拟用户以不符合绑定内容的配置发起访问请求 预期结果z 1)在步骤4)中，认证服务器收到D盯发送的认证绑定信息，用户认证通过: 2)在步骤5)中，认证服务器收到D盯发送的认证绑定信息，用户认证不通过 判定原则z 应完全符合预期结果，否则判定不合格 测试编号38 测试项

50、目ppp用户接入认证功能测试 测试类别z必选 测试配置z测试配置图4 测试步骤z 1)按测试环境连接设备: 2)在D盯上配置为ppp中继模式，ppp由认证服务器终结:在认证服务器上配置用户相关认证信息: 3)用户发起访问请求，使用正确的用户名和密码: 的用户发起访问请求，使用不正确的用户名或密码: 们在D盯上配置为ppp终结模式，配置用户相关认证信息，重复步骤3)、4) 预期结果: 1)在步骤3)中，用户认证通过: 2)在步骤4)中，用户认证不通过 判定原则: 应完全符合预期结果，否则判定不合格 22 YOfT 2041-2009 测试编号39 测试项目Web接入认证功能测试 测试类别:可选

51、测试配置:测试配置图4 测试步骤: 1)按测试环境连接设各: 2)在D盯端口1上配置WebPortal认证:在认证服务器上配置用户相关记录: 3)用户A从端口1发起访问请求，使用正确的用户名和密码: 4)用户A从端口1发起访问请求，使用不正确的用户名或密码: 5)用户B从端口2发起访问请求 预期结果z 1)在步骤3)中，用户被定向到Portal进行认证，用户认证通过: 2)在步骤的中，用户被定向到Portal进行认证，用户认证不通过: 3)在步骤5)中，用户不被定向到Portal进行认证 判定原则: 应完全符合预期结果，否则判定不合格 测试编号40 测试项目:基于用户权限的带宽控制测试 测试类

52、别:必选 测试配置:测试配置图5 测试步骤: 1)按测试环境连接设备: 2)在D盯上基于用户权限为用户设置带宽速率的限制(用户a速率上限为M、下限为N，NMft 口速率;用户b不限制); 3)仪表A模拟用户a、用户b，进行认证鉴权:仪表A模拟用户b以线速发送测试数据包: 4)仪表A模拟用户a发送测试数据包，速率为n(NnM)，用户b以端口剩余带宽发送测试数据包: 5)仪表A模拟用户a发送测试数据包，速率为m(MN) 预期结果z 在步骤3)中，接口1有N个用户成功通过认证授权:接口2有n个用户成功通过认证授权 判定原则z 应完全符合预期结果，否则判定不合格 24 YDrr 2041-2009 测

53、试编号43 测试项目z基于VLAN的用户数目限制测试 测试类别z必选 测试配置:测试配置图5 测试步骤z 1)按测试环境连接设备: 2)在D盯上配置基于VLAN的用户数目限制，对VLANx限制用户数为N; 3)仪表分别以VLANx, VLAN Y的用户发起认证鉴权请求，用户数为n(nN) 预期结果z 在步骤3)中，VLANx有N个用户成功通过认证授权VLANy有n个用户成功通过认证授权 判定原则z 应完全符合预期结果，否则判定不合格 6.2 路由协议安全 测试编号44 测试项目RIPngMD5认证 测试类别:必选 测试配置z测试配置图1 测试步骤: 1)按测试环境连接设备: 2) DUT接口1

54、启用RIPng，配置MD5认证: 3)仪表A端口通过带MD5认证的路由信息: 的仪表A端口通过不带MD5认证的路由信息 预期结果z 1)在步骤3)中，D盯能够学习到路由信息; 2)在步骤的中，D盯不能够学习到路由信息 判定原则: 应完全符合预期结果，否则判定不合格 25 YDrr 2041-2009 测试编号45 测试项目OSPFv3链路的MD5认证 测试类别:必选 测试配置z测试配置图1 测试步骤: 1)按测试环境连接设备: 2) D盯接口1启用OSPFv3，配置链路的MD5认证: 3)仪表A端口通过带MD5认证的路由信息: 4)仪表A端口通过不带MD5认证的路由信息 预期结果z 1)在步骤3)中，DUT能够学习到路由信息: 2)在步骤4)中，D盯不能够学习到路由信息 判定原则z 应完全符合预期结果，否则判定不合格 测试编号46 测试