1、ICS 33.040 M14 YD 中华人民共和国 通信 行业标准 YD/T 1617T2015 公众无线局域网接入方式下源地址验证测 试方法 Test method for wlan equipments supporting source address validation 点击此处添加与国际标准一致性程度的标识 (报批稿) xxxx - XX - XX 发布 XXXX - XX - XX 实施 中 华 人 民 共 和 国 工 业 信 息 化 部 发 布 I 目 次 前言 .II 1 范围 .1 2 规范性引用文件 .1 3 术语、定义和缩略语 .1 3.1 术语和定义 .1 3.2 缩
2、略语 .1 4 公众无线局域网接入方式下源地址验证测试方法 .2 4.1 测试公众无线局域网接入方式下的 SAVI 机制 .2 4.2 公众无线局域网接入方式下 SAVI 现网部署情况 .3 4.3 基于 SAVI 的真实用户 ID 系统 .3 4.4 基于 SAVI 的 IPv6 身份认证系统 .4 II 前 言 本标准按照 GB/T1.1-2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位: 中国互联网络信息中心,清华大学 本标准主要起草人: 李洪涛,傅瑜,毕军,胡虹雨 1 公众
3、无线局域 网接入方式下源地址验证测试方法 1 范围 本标 准 规定 了公众无线局域网接入方式下,源地址验证方案功能的测试方法。 本标准适用于以太网交换机设备或集成了内容交换功能的网络设备的源地址验证功能的研制开发 、 技术引进和测试。 2 术语、定义 和缩略语 2.1 术语和定义 下列术语和 定义适用于本文件。 2.1.1 源地址验证 source address validation 在 IP报文路由寻址过程中,对其携带的源地址的有效性进行验证。 2.1.2 源地址验证 改 进 source address validation improvement 在主机接入交换机 /路由器下执行的源地
4、址验证技术,将不允许主机假冒任意非合法分配或配置的 地址。 2.2 缩略语 下 列 缩略语 适用于本文件。 AP Access Point 接入点 AC Access Controller 接入控制器 DHCP Dynamic Host Configuration Protocol 动态主机配置协议 NDP Neighbor Discovery Protocol 邻居发现协议 SLAAC Stateless Address Autoconfiguration 无状态地址自动配置 3 公众无线局域 网接入方式下源地址验证测试方法 3.1 测试公众无 线 局域网接入方式 下的 SAVI 机制 测试
5、拓扑如 下图 1所示 , 包括两台主机 、 两台接入点 ( Access Point, AP) 、 一台接入控制器 ( Access Controller, AC)、一台网关设备及一台 DHCPv6服务器。 DHCPv6服务器所分配的地址前缀为 2001:DA8:FF3A:C8EC:/64。 2 图 1 公众无线局域网接入方式下 SAVI机制测试拓扑图 测试内容如下: 测试项目 1 测试无线场景下的 SAVI 机制 预置条件 主机 1 和 主机 2 均 连接至 AP1 测试步骤 1. 主机 1 获取 IPv6 地址 a, 检查 AC 上是否为其建立了绑定; 2. 检测主机 1 是否可以使用地址
6、 a 与主机 2 通信; 3. 令主机 1 向主机 2 发送伪造源地址的报文; 4. 移动主机 1, 使其连接至 AP2, 检测主机 1 是否可以使用地址 a 与主机 2 通信; 5. 令主机 1 向主机 2 发送伪造源地址的报文。 预期结果 步骤 1 中, AC 为主机 1 的地址 a 建立了绑定; 步骤 2 中, 主机 1 以 a 为源地址可以 Ping 通主机 2; 步骤 3 中, 主机 2 收不到该伪造源地址的报文; 步骤 4 中, 主机 1 以 a 为源地址可以 Ping 通主机 2; 步骤 5 中, 主机 2 收不到该伪造源地址的报文。 3.2 公众无线局域 网接入方式下 SAVI
7、 现网部署情况 测试项目 2 查看无线 SAVI 的现网部署 测试步骤 访问 SAVI 网管, 查看无线 SAVI 的现网部署情况。 预期结果 无线 SAVI 已在现网部署。 3 3.3 基于 SAVI 的真实用户 ID 系统 测试拓扑如 下图 2所示 , 包括两台主机 、 两台接入点 ( Access Point, AP) 、 一台接入控制器 ( Access Controller, AC)、一台网关设备及一台 DHCPv6服务器。 DHCPv6服务器运行 Dibbler服务器端,地址为 2001:DA8:FF3A:C8ED:10/64,所分配的地址前缀为 2001:DA8:FF3A:C8E
8、D:/64。 图 2:基于 SAVI的真实用户 ID系统测试拓扑图 测试内容如下: 测试编号 3 基于 SAVI 的真实用户 ID 系统 测试项目 测试 SAVI 与 真实用户 ID 系统协同工作的场景 预置条件 主机 1 连接至 AP1 测试步骤 1. 主机 1 通过运行 Dibbler 客户端获取嵌入真实 ID 的 IPv6 地址 a, 检查 AC 上是否为其建立了绑定; 2. 检测主机 1 是否可以使用地址 a 与 DHCPv6 服务器通信; 3. 令主机 1 向 DHCPv6 服务器发送伪造源地址的报文; 4. 移动 主机 1, 使其连接至 AP2, 检测主机 1 是否可以使用地址 a
9、 与 DHCPv6 服务器通信; 5. 令主机 1 向 DHCPv6 服务器发送伪造源地址的报文。 预期结果 步骤 1 中, AC 为主机 1 的地址 a 建立了绑定; 步骤 2 中, 主机 1 以 a 为源地址可以 Ping 通 DHCPv6 服务器; 步骤 3 中, DHCPv6 服务器收不到该伪造源地址的报文; 步骤 4 中, 主机 1 以 a 为源地址可以 Ping 通 DHCPv6 服务器; 步骤 5 中, DHCPv6 服务器收不到该伪造源地址的报文。 4 3.4 基于 SAVI 的 IPv6 身份认证系统 测试拓扑如 下图 3所示 , 包括两台主机 、 两台接入点 ( Acces
10、s Point, AP) 、 一台接入控制器 ( Access Controller, AC)、一台网关设备、一台 DHCPv6服务器、一台 Portal服务器及一台 AAA服务器, DHCPv6 服务器所分配的地址前缀为 2001:DA8:FF3A:C8EC:/64。 图 3: 基于 SAVI 的 IPv6 身份认证系统测试拓扑图 测试内容如下: 测试编号 4 基于 SAVI 的 IPv6 身份认证系统 测试项目 测试 SAVI 与 IPv6 身份认证系统协同工作的场景 预置条件 系统开启用户身份认证功能, 主机 1 与主机 2 均连接至 AP1 测试步骤 1. 主机 1 获取 IPv6 地
11、址 a, 检查 AC 上是否为其建立了绑定; 2. 检测主机 1 是否可以使用地址 a 访问网络; 3. 令主机 1 向主机 2 发送伪造源地址的报文; 4. 通过身份认证, 检测主机 1 是否可以使用地址 a 访问网络; 5. 令主机 1 向主机 2 发送伪造源地址的报文; 6. 退出身份认证, 检测主机 1 是否可以使用地址 a 访问网络; 预期结果 步骤 1 中, AC 为主机 1 的地址 a 建立了绑定; 步骤 2 中, 主机 1 无法通过地址 a 访问网络,跳转到身份认证界面; 步骤 3 中, 主机 2 收不到该伪造源地址的报文; 步骤 4 中, 主机 1 可以通过地址 a 正常访问网络; 步骤 5 中, 主机 2 收不到该伪造源地址的报文; 步骤 6 中, 主机 1 无法通过地址 a 访问网络,跳转到身份认证界面; 5 _
