YD T 3817-2021 以太网接入方式下源地址验证测试方法 SLAAC场景.pdf

资源描述

1、ICS 33.040.20 M19 YD 中华人民共和国通信行业标准 YD/T 以太网接入方式下源地址验证测试方法 SLAAC 场景 Test method for equipments supporting source address validation in SLAAC 点击此处添加与国际标准一致性程度的标识（报批稿） XXXX - XX - XX 发布 XXXX - XX - XX 实施中华人民共和国工业信息化部发布 I 目次前言 .II 1 范围 .1 2 术语、定义和缩略语 .1 2.1 术语和定义 .1 2.2 缩略语 .2 3 系统功能

2、测试拓扑 .2 4 SLAAC 场景测试方法 .2 4.1.1 SLAAC 下对主机移动的支持（同一交换机下跨端口移动） .2 4.1.2 SLAAC 下对主机移动的支持（跨交换机移动） .3 4.1.3 SLAAC 下对拓扑变化的支持（交换机上连端口同一交换机下移动） .4 4.1.4 SLAAC 下对拓扑变化的支持（交换机上连端口移动至另一交换机） .5 4.1.5 SLAAC 下对交换机重启的支持 .6 4.1.6 SLAAC 下只支持 DHCP 功能的主机获取地址情况 .7 4.1.7 SLAAC 下和现有地址冲突时绑定建立情况（同一交换机下） .7 4.1.8 SLAAC 下和现有地

3、址冲突时绑定建立情况（跨交换机） .8 4.1.9 SLAAC 下静态地址绑定情况 .8 II 前言本标准按照 GB/T1.1-2009 给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国互联网络信息中心，清华大学本标准主要起草人：曾宇，耿光刚，傅瑜，毕军，王之梁 1 以太网接入方式下源地址验证测试方法 SLAAC 场景 1 范围本标准规定了以太网交换机接入方式下， SLAAC场景的源地址验证方案功能的测试方法。本标准适用于以太网交换机设备或集成了内容交换功能的网络设备的

4、源地址验证功能的研制开发、技术引进和测试。 2 术语、定义和缩略语 2.1 术语和定义下列术语和定义适用于本文件。 2.1.1 源地址验证 source address validation 在 IP报文路由寻址过程中，对其携带的源地址的有效性进行验证。 2.1.2 源地址验证改进 source address validation improvement 在主机接入交换机 /路由器下执行的源地址验证技术，将不允许主机假冒任意非合法分配或配置的地址。 2.2 缩略语下列缩略语适用于本文件。 DHCP Dynamic Host Configuration Protocol 动态主机配置

5、协议 ND Neighbor Discovery 邻居发现协议 SLAAC Stateless Address Autoconfiguration 无状态地址自动配置 3 系统功能测试拓扑系统功能测试拓扑图如图 1所示： 2 图 1：系统功能测试拓扑图其中 Host1 和 Host5 的操作系统为 windows vista， Host2 的操作系统为 windows xp， Host3 的操作系统为 Linux， Host4 的操作系统为 windows 7， Attacker 为安装有测试脚本的模拟主机。 4 SLAAC 场景测试方法 4.1.1 SLAAC 下对主机移动的支持（同一

6、交换机下跨端口移动）测试项目 1. SLAAC 下对主机移动的支持（同一交换机下跨端口移动）测试步骤 1. 在交换机 1 的 11 和 12 端口启用源地址检查功能； 2. 主机 1 连接至交换机 1 的 11 端口，通过 SLAAC 获取到 IPv6 地址 a，检查交换机 1 上是否为其建立了绑定； 3. 检测主机 1 是否可以使用地址 a 连接至网络； 4. 将主机 1 的网线从交换机 1 的端口 11 上拔下，检查交换机 1 上的地址绑定情况； 5. 将主机 1 的网线插到交换机 1 的端口 12 上，检查交换机 1 上的地址绑定情况； 6. 检测主机 1 是否可以使

7、用地址 a 连接至网络。 Host 1 Vlan 1 Attacke r 1 Vlan 1 Attacke r 2 Vlan 1 CPS - Switch 1 Non - SAVI Switch 3 DHCPv 6 Server Host 2 Vlan 1 CPS - Switch 2 Host 5 Vlan 1 Attacke r 3 Vlan 2 Converge Switch Lay 3 Switch Host 3 Vlan 1 Host 4 Vlan 1 3 7. 可选主机 2/3/4 替换主机 1 进行以上步骤预期结果步骤 1 中，交换机 1 在端口 11 和端口 12 上开启

8、了源地址检查功能；步骤 2 中，交换机 1 在端口 11 上为主机 1 的地址 a 建立了绑定；步骤 3 中，主机 1 以 a 为源地址可以 Ping 通 DHCP 服务器；步骤 4 中，交换机 1 删除了在端口 11 上为主机 1 的地址 a 建立的绑定；步骤 5 中，交换机 1 在端口 12 上为主机 1 的地址 a 建立了绑定；步骤 6 中，主机 1 以 a 为源地址可以 Ping 通 DHCP 服务器； 4.1.2 SLAAC 下对主机移动的支持（跨交换机移动）测试项目 2. SLAAC 下对主机移动的支持（跨交换机移动）测试步骤 1. 在交换机 1 的 12

9、端口、交换机 2 的 12 端口启用源地址检查功能； 2. 主机 1 连接至交换机 1 的 12 端口，通过 SLAAC 获取到 IPv6 地址 a，检查交换机 1 上是否为其建立了绑定； 3. 检测主机 1 是否可以使用地址 a 连接至网络； 4. 将主机 1 的网线从交换机 1 的端口 12 上拔下，检查交换机 1 上的地址绑定情况； 5. 将主机 1 的网线插到交换机 2 的端口 12 上，检查交换机 2 上的地址绑定情况； 6. 检测主机 1 是否可以使用地址 a 连接至网络；可选主机 2/3/4 替换主机 1 进行以上步骤 . 预期结果步骤 1 中，交换机

10、1 的端口 12 和交换机 2 的端口 12 上开启了源地址检查功能；步骤 2 中，交换机 1 在端口 12 上为主机 1 的地址 a 建立了绑定；步骤 3 中，主机 1 以 a 为源地址可以 Ping 通 DHCP 服务器；步骤 4 中，交换机 1 删除了在端口 12 上为主机 1 的地址 a 建立的绑定；步骤 5 中，交换机 2 在端口 12 上为主机 1 的地址 a 建立了绑定；步骤 6 中，主机 1 以 a 为源地址可以 Ping 通 DHCP 服务器。 4.1.3 SLAAC 下对拓扑变化的支持（交换机上连端口同一交换机下移动）测试项目 3. SLAAC

11、下对拓扑变化的支持（交换机上连端口同一交换机下移动）测试步骤 1. 在交换机 2 的 12 端口启用源地址检查功能； 2. 主机 1 连接至交换机 2 的 12 端口，通过 SLAAC 获取到 IPv6 地址 a，检 4 查交换机 2 上是否为其建立了绑定； 3. 检测主机 1 是否可以使用地址 a 连接至网络； 4. 将交换机 2 的上连网线从汇聚交换机的当前端口上拔下，检查交换机 2 上的地址绑定情况； 5. 将交换机 2 的上连网线插到汇聚交换机的另一端口上，检查交换机 2 上的地址绑定情况； 6. 检测主机 1 是否可以使用地址 a 连接至网络； 7. 可选主机 2/

12、3/4 替换主机 1 进行以上步骤。预期结果步骤 1 中，交换机 2 的端口 12 上开启了源地址检查功能；步骤 2 中，交换机 2 在端口 12 上为主机 1 的地址 a 建立了绑定；步骤 3 中，主机 1 以 a 为源地址可以 Ping 通 DHCP 服务器；步骤 4 中，交换机 2 保留了在端口 12 上为主机 1 的地址 a 建立的绑定；步骤 5 中，交换机 2 保留了在端口 12 上为主机 1 的地址 a 建立的绑定；步骤 6 中，主机 1 以 a 为源地址可以 Ping 通 DHCP 服务器。 4.1.4 SLAAC 下对拓扑变化的支持（交换机上连端口移动

13、至另一交换机）测试项目 4. SLAAC 下对拓扑变化的支持（交换机上连端口移动至另一交换机）测试步骤 1. 在交换机 2 的 12 端口启用源地址检查功能； 2. 主机 1 连接至交换机 2 的 12 端口，通过 SLAAC 获取到 IPv6 地址 a，检查交换机 2 上是否为其建立了绑定； 3. 检测主机 1 是否可以使用地址 a 连接至网络； 4. 将交换机 2 的上连网线从汇聚交换机的当前端口上拔下，检查交换机 2 上的地址绑定情况； 5. 将交换机 2 的上连网线插到交换机 1 的未启用源地址检查功能的端口上，检查交换机 2 上的地址绑定情况； 6. 检测主机 1

14、是否可以使用地址 a 连接至网络； 7. 可选主机 2/3/4 替换主机 1 进行以上步骤。预期结果步骤 1 中，交换机 2 的端口 12 上开启了源地址检查功能；步骤 2 中，交换机 2 在端口 12 上为主机 1 的地址 a 建立了绑定；步骤 3 中，主机 1 以 a 为源地址可以 Ping 通 DHCP 服务器；步骤 4 中，交换机 2 保留了在端口 12 上为主机 1 的地址 a 建立的绑定；步骤 5 中，交换机 2 保留了在端口 12 上为主机 1 的地址 a 建立的绑定；步骤 6 中，主机 1 以 a 为源地址可以 Ping 通 DHCP 服务器。 5

15、4.1.5 SLAAC 下对交换机重启的支持测试项目 5. SLAAC 下对交换机重启的支持测试步骤 1. 在交换机 2 的 12 端口启用源地址检查功能； 2. 主机 1 连接至交换机 2 的 12 端口，通过 SLAAC 获取到 IPv6 地址 a，检查交换机 2 上是否为其建立了绑定； 3. 检测主机 1 是否可以使用地址 a 连接至网络； 4. 保存交换机 2 的当前配置，重启交换机 2； 5. 交换机 2 重启完成后检查交换机 2 上的地址绑定情况； 6. 检测主机 1 是否可以使用地址 a 连接至网络； 7. 可选主机 2/3/4 替换主机 1 进行以上步骤。预期结

16、果步骤 1 中，交换机 2 的端口 12 上开启了源地址检查功能；步骤 2 中，交换机 2 在端口 12 上为主机 1 的地址 a 建立了绑定；步骤 3 中，主机 1 以 a 为源地址可以 Ping 通 DHCP 服务器；步骤 5 中，交换机 2 建立了在端口 12 上为主机 1 的地址 a 建立的绑定；步骤 6 中，主机 1 以 a 为源地址可以 Ping 通 DHCP 服务器。 4.1.6 SLAAC 下只支持 DHCP 功能的主机获取地址情况测试项目 6. SLAAC 下只支持 DHCP 功能的主机获取地址情况测试步骤 1. 启动 CPS 交换机 1 的 IP

17、v6 ND snooping； 2. 配置主机 1 为 DHCP 地址获取方式，将主机接入交换机； 3. 在交换机上运行命令 show ipv6 nd snooping，观察对应表项； 4. 观察主机 1 能否通过 DHCP 获得地址； 5. 检测主机 1 是否可以连接网络； 6. 可选主机 2/3/4 替换主机 1 进行以上步骤。预期结果第 3 步绑定表中不能够显示出主机 1 绑定的地址；第 4 步主机 1 不能获得地址第 5 步主机 1 无法 Ping 通 DHCP 服务器。 4.1.7 SLAAC 下和现有地址冲突时绑定建立情况（同一交换机下） 6 测试项目 7. SLAAC

18、下和现有地址冲突时绑定建立情况（同一交换机下）测试步骤 1. 启动 CPS 交换机 1 的 IPv6 ND snooping； 2. 配置主机 1 为自动生成地址方式，将主机接入交换机； 3. 在交换机上运行命令 show ipv6 nd snooping；观察对应表项； 4. 为主机 2 手动增加主机 1 获得的无状态地址；预期结果第 2 步绑定表中能够显示出主机 1 绑定的地址；第 4 无法添加地址成功。 4.1.8 SLAAC 下和现有地址冲突时绑定建立情况（跨交换机）测试项目 8. SLAAC 下和现有地址冲突时绑定建立情况（跨交换机）测试步骤 1. 启动 CPS 交换

19、机 1 的 IPv6 ND snooping； 2. 配置主机 1 为自动生成地址方式，将主机接入交换机； 3. 在交换机上运行命令 show ipv6 nd snooping；观察对应表项； 4. 为主机 5 手动增加主机 1 获得的无状态地址；预期结果第 2 步绑定表中能够显示出主机 1 绑定的地址。第 4 步无法添加地址成功。 4.1.9 SLAAC 下静态地址绑定情况测试项目 9. SLAAC 下静态地址绑定情况测试步骤 1. 在交换机的 A 端口开启源地址检查功能； 2. 启动 CPS 交换机 1 的 IPv6 ND snooping； 3. 将主机 1 连接到交换机 1 的 A 端口，手工为主机 1 添加地址 2001:3； 4. 在交换机上使用 ACL 手工建立 A 端口与地址 2001:3 的绑定 5. 显示手工建立的绑定； 6. 检验该地址是否可以通讯；预期结果第 5 步绑定表中能够显示出主机 1 绑定的地址。第 6 步主机 1 应能以 2001:3 为源地址 ping 通路由器。 _

展开阅读全文