1、ICS 3304040M 32 Y口中华人民共和国通信行业标准YD厂r 2041-2009IPv6网络设备安全测试方法宽带网络接入服务器Security test specification of I Pv6 network deviceBrOadband network access server2009-12-11发布 2010-01-01实施中华人民共和国工业和信息化部发布目 次YD门。2041-2009前言II1范围-12规范性引用文件13缩略语14测试环境配置25数据平面安全测试351 mSec功能352 L2TP功能-353常见攻击防护454 URPF功能855 ACL功能1056
2、流量控制功能1557会话及应用监测功能186控制平面安全测试2161用户安全管理功能2162路由协议安全2563路由过滤功能3164 TCPIP协议安全3365 VPN功能-3566 GTSM功能-367管理平面安全测试3771端口镜像功能3772访问控制功能3873 SSH安全访问功能4074 SNMPv3协议安全4475用户口令安全4876安全审计功能4977基于采样的流信息输出功能50参考文献54YD-r 2041-2009珏刖 置本标准是“6网络设备安全”系列标准之一,该系列标准预计的结构和名称如下:1YD厂r 2041-2009 IPv6网络设备安全技术要求宽带网络接入服务器2YDf
3、F 19052009 IPv6N络设备安全测试方法一宽带网络接入服务器本标准与YDfr 19052009 IPv6M络设备安全技术要求宽带网络接入服务器配套使用。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院。本标准主要起草人:杨剑锋。IPv6网络设备安全测试方法宽带网络接入服务器YD,1-2041-20091范围本标准规定了支持IPv6的宽带网络接入服务器涉及安全相关测试的内容,包括数据平面、控制平面和管理平面的安全测试。本标准适用于支持IPv6的宽带网络接入服务器。本标准中出现的所有未特指的宽带网络接入服务器、接入服务器、设备等均指IPv6宽带网络接入服务器
4、。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YDT 12652003 网络接入服务器(NAS)测试方法一宽带网络接入服务器YDT 1467-2006 IP安全协议(口sec)测试方法3缩略语下列缩略语适用于本标准。ACL Access Control ListBGP Border Gateway ProtocolBGP4+ BGP version 4 PlusDUT D
5、evice Under 1色stF1P File Transfer ProtocoIGTSM Generalized T几Security MechanismHnP HyperText Transfer ProtocolICMP Intemet Control Message ProtocolICMPv6 ICMP version 6口 Internet ProtocolIPv6 Internet Protocol version 6IPSec IP SecurityIS-IS Intermediate System to Intermediate SystemISISv6 ISIS vers
6、ion 6L2TP Layer 2 Tunneling ProtocolL2VPN Layer 2 VPN访问控制列表边界网关协议支持IPv6的BGP协议版本4被测设备文件传输协议通用1TrL安全机制超文本传输协议互联网控制报文协议IcMP协议版本6互联网协议互联网协议版本6口安全机制中间系统一中间系统IS-IS协议版本6二层隧道协议二层VPNL3VPN Layer 3 VPN 三层VPNMAC MediaAccess Control 媒质访问控制MD5 Message Digest version 5 报文摘要版本5NAS NetworkAccess Server 网络接入服务器ND Nei
7、ghbor Discovery 邻居发现OSPF Open Shortest Path First 最短路径优先OSPFv3 OSPF version 3 OSPF协议版本3PPP Point-to-Point Protocol 点到点协议RIP Route Information Protocol 路由信息协议RIPng Routing Information Protocol,Next Generation下一代路由信息协议SMTP SimpleMessageTransferProtocol 简单邮件传输协议SNMP Simple Network Management Protocol 简
8、单网管协议sdPv3 SNMP version 3 SNMP协议版本3SSH Secure SheU 安全外壳程序SSHvl SSH version 1 SSH版本1SSHv2 SSH version 2 SSH版本2TCP Transmission Control Protocol 传输控制协议UDP User Datagram Protocol 用户数据报协议uRPF UnicastReversePathForwarding 单播反向路径转发VLAN Ymual Local Area Networks 虚拟局域网VPN Xrtrtual Private Network 虚拟专用网4测试环境
9、配置测试环境1如图1所示。2测试环境2如图2所示。图1测试环境配置1测试环境3如图3所示。图2测试环境配置2测试环境4如图4所示。图3测试环境配置3里卜丌D垦里 UT厂丽卅一一广一测试环境5如图5所示。测试环境6如图6所示。图4测试环境配置4图5测试环境配置5r丽i、。 。r丽鬲、:杀江叵h匝卜也璐测试环境7如图7所示。固6测试环境配置65数据平面安全测试图7测试环境配置751 IPSec功能PSec相关安全功能测试见YDfr 14672006。52 L2TP功能L2TP相关安全功能测试见YDT 1265-2003。YDT 20412009YD,r 2041200953常见攻击防护测试编号:1
10、测试项目:抗大流量冲击测试测试类别:必选测试配置:测试配置图1测试步骤:1)按测试环境配置连接设备;2)在仪表A、B间以线速发送数据包:3)DUT的1端口启用路由协议,仪表A通告路由信息:4)停止步骤2)中数据包的发送;5)仪表以线速向DUT的环回地址发送数据包;6)仪表A通告路由信息预期结果:在步骤3)、6)中,DUT能正确处理和更新路由信息,控制平面和管理平面功能不受背景流量影响判定原则:应完全符合预期结果,否则判定不合格I测试编号:2I测试项目:畸形包处理功能测试测试类别:必选测试配置:测试配置图1测试步骤:1)按测试环境配置连接设备:2)在仪表A、B间以小于吞吐量的速率发送数据包;3)
11、由仪表A向仪表B发送链路层错误(如Aligment错误帧、FCS错误帧、CRC错误帧)报文;4)停止步骤3)中报文的发送,由仪表A向仪表B发送帧间隔低于最小规范值的报文(Dribble);5)停止步骤4)中报文的发送,由仪表A向仪表B发送超长帧(Giant);6)停止步骤5)中报文的发送,由仪表A向仪表B发送超短帧(Runt)预期结果:1)在步骤3)、5)、6)中,错误帧应被丢弃,DUT在日志中有相应记录,记录错误帧对背景流量的影响;2)在步骤4)中,错误帧被丢弃或仪表B接收到被更正的报文,DUT在日志中有相应记录判定原则:应完全符合预期结果,否则判定不合格4YD,T 2041-2009测试编
12、号:3测试项目:ICMP Flood攻击防护功能测试测试类别:必选测试配置:测试配置图2测试步骤:1)按测试环境连接设备;2)仪表A和B分别与DUT的1、2端口启用路由协议,并向DUT通告到网络a和网络b的路由;3)从仪表A向网络b中的某个口地址以小于端口吞吐量的流量发送背景流量,并验证仪表B能够正常接收;4)从仪表C向DUT环回地址以线速发送ICMPv6攻击数据包及分片包(类型为EchoRequestFlood);5)停止步骤4)中流量的发送,从仪表C向DUT环回地址以端口吞吐量发送ICMPv6Flood攻击数据包(类型包括目的不可达、包过大、超时、参数错误等);6)停止步骤5)中流量的发送
13、,从仪表B向DUT端口2的链路本地地址以端口吞吐量发送ICMPv6攻击数据包(类型同步骤5),源地址为网络b中的某个口地址预期结果:在步骤4)、5)、6)中,攻击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:应完全符合预期结果,否则判定不合格测试编号:4测试项目:ICMP Spoof攻击防护功能测试测试类别:必选测试配置:测试配置图2测试步骤:1)按测试环境连接设备;2)仪表A和B分别与DUT的1、2端口启用路由协议,并向DUT通告到网络a和网络b的路由;3)从仪表A向网络b中的某个D地址以小于端口吞吐量的流量发送背景流量,并验证仪表B能够正常接收;4)从仪表C向DU
14、T环回地址以端口吞吐量发送ICMPv6攻击数据包(类型包括目的不可达、包过大、超时、参数错误等),源地址为网络a中的某个口地址;5)停止步骤4)中流量的发送,从仪表B向DUT端口2的链路本地地址以端口吞吐量发送ICMPv6攻击数据包(类型同步骤4),源地址为网络a中的某个口地址:6)停止步骤5)中流量的发送,从仪表A向网络b中的某个口地址以端口吞吐量剩余带宽发送ICMPv6攻击数据包(类型为EchoRequestFlood),源地址为网络a的组播地址;7)停止步骤6)中流量的发送,从仪表A向网络b中的某个口地址以端口吞吐量剩余带宽发送ICMPv6攻击数据包(类型同步骤6),源地址为DUT环回地
15、址预期结果:在步骤4)、5)、6)、7)、中,攻击报文应被丢弃,DUT在日志中有相应记录,背景流量不受影响判定原则:应完全符合预期结果,否则判定不合格5YDT 2041-2009测试编号:5测试项目:TCP标记Flood攻击防护功能测试测试类别:必选测试配置:测试配置图2测试步骤:1)按测试环境连接设备:2)仪表A和B分别与DUT的1、2端口启用路由协议,并向DUT通告到网络a和网络b的路由:3)从仪表A向网络b中的某个口地址以小于端口吞吐量的流量发送背景流量,并验证仪表B能够正常接收;4)从仪表C向DUT环回地址以线速发送TCP标记攻击数据包及分片包(类型包括SYN、ACK、CWR、ECE、
16、FIN、UP,G Flood):5)停止步骤4)中流量的发送,从仪表c向DUT环回地址以线速发送TCP标记攻击数据包及分片包(类型为Erroneous Flags Flood);6)停止步骤5)中流量的发送,从仪表B向DUT端口2的链路本地地址以端口吞吐量发送TCP标记攻击数据包及分片包(类型同步骤4),源地址为网络b中的某个P地址预期结果:在步骤4)、5)、6)中,攻击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:应完全符合预期结果,否则判定不合格测试编号:6测试项目:TCP状态Flood防护功能测试测试类别:必选测试配置:测试配置图2测试步骤:1)按测试环境连接设
17、备:2)仪表A和B分别与DUT的1、2端口启用路由协议,并向DUT通告到网络a和网络b的路由;3)从仪表A向网络b中的某个地址以小于端口吞吐量的流量发送背景流量,并验证仪表B能够正常接收;4)从仪表C向DUT环回地址以线速发送TCP状态攻击数据包及分片包(类型State Flood):5)停止步骤4)中流量的发送,从仪表C向DUT环回地址以端口吞吐量发送TCP状态攻击数据包及分片包(Flood类型包括SYN+ACK、SYN+FIN、SYN+RST、FIN+ACK、PSH+ACK等);6)停lE步骤5)中流量的发送,从仪表B向DUT端口2的链路本地地址以端口吞吐量发送TCP状态攻击数据包及分片包
18、(类型同步骤5),源地址为网络b中的某个口地址预期结果:在步骤4)、5)、6)中,攻击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:应完全符合预期结果,否则判定不合格6YDT 2041-2009测试编号:7测试项目:TCP Spoof攻击防护功能测试测试类别:必选测试配置:测试配置图2测试步骤:1)按测试环境连接设备;2)仪表A和B分别与DUT的1、2端口启用路由协议,并向DUT通告到网络a和网络b的路由;3)从仪表A向网络b中的某个口地址以小于端口吞吐量的流量发送背景流量,并验证仪表B能够正常接收;4)从仪表C向DUT环回地址以端口吞吐量发送TCP标记攻击数据包及分
19、片包(类型包括SYN、ACK、CWR、ECE、FIN、URGRood),源地址为网络a中的某个P地址;5)停止步骤4)中流量的发送,从仪表B向DUT端口2的链路本地地址以端口吞吐量发送TCP攻击数据包及分片包(类型同步骤4),源地址为网络a中的某个地址;6)停止步骤5)中流量的发送,从仪表A向网络b中的某个p地址以端口吞吐量剩余带宽发送TCP攻击数据包(类型同步骤4),源地址为网络a的组播地址;7)停止步骤6)中流量的发送,从仪表A向网络b中的某个p地址以端口吞吐量剩余带宽发送TCP攻击数据包(类型同步骤4),源地址为DUT环回地址等预期结果:在步骤4)、5)、6)、7)中,攻击报文应被丢弃,
20、DUT在日志中有相应记录,背景流量不受影响判定原则:应完全符合预期结果,否则判定不合格测试编号:8测试项目:UDPFlood攻击防护功能测试测试类别:必选测试配置:测试配置图2测试步骤:1)按测试环境连接设备:2)仪表A和B分别与DUT的1、2端口启用路由协议,并向DUT通告到网络a和网络b的路由;3)从仪表A向网络b中的某个P地址以小于端口吞吐量的流量发送背景流量,并验证仪表B能够正常接收:4)从仪表c向DUT环回地址以线速发送UDP Flood攻击数据包及分片包(类型包括Echo、Chargen等):5)停止步骤5)中流量的发送,从仪表B向DUT端口2的链路本地地址以端口吞吐量发送UDPF
21、lood攻击数据包及分片包(类型同步骤4),源地址为网络b中的某个口地址预期结果:在步骤4)、5)中,攻击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:应完全符合预期结果,否则判定不合格7YD厂r 2041-2009测试编号:9测试项目:UDP Spoof攻击防护功能测试测试类别:必选测试配置:测试配置图2测试步骤:1)按测试环境连接设备;2)仪表A和B分别与DUT的1、2端口启用路由协议,并向DuT通告到网络a和网络b的路由;3)从仪表A向网络b中的某个口地址以小于端口吞吐量的流量发送背景流量,并验证仪表B能够正常接收;4)从仪表C向DUT环回地址以端口吞吐量发送U
22、DP Spoof攻击数据包及分片包(类型包括Echo和Chargen等),源地址为网络a中的某个口地址;5)停止步骤4)中流量的发送,从仪表B向DUT端口2的链路本地地址以端口吞吐量发送UDPSpoof攻击数据包及分片包(类型同步骤4),源地址为网络b中的某个口地址;6)停止步骤5)中流量的发送,从仪表A向网络b中的某个地址以端口吞吐量剩余带宽发送UDPSpoof攻击数据包(类型同步骤4),源地址为网络a的组播地址:7)停止步骤6)中流量的发送,从仪表A向网络b中的某个p地址以端口吞吐量剩余带宽发送UDPSpoof攻击数据包(类型同步骤4),源地址为DUT环回地址等预期结果:在步骤4)、5)、
23、6)、7)中,攻击报文应被丢弃,DUT在日志中有相应记录,背景流量不受影响判定原则:应完全符合预期结果,否则判定不合格54 URPF功能测试编号:lO测试项目:严格的URPF功能测试测试类别:必选测试配置:测试配置图2测试步骤:1)按测试环境连接设备;2)仪表A和B与DUT的1、2端口启用路由协议,并向DUT通告到网络a和网络b的路由,并发送流量验证路由的有效性;3)在DUT上配置端口3到网络c的静态路由,启用严格的URPF;4)从仪表端口A向仪表端口B发送数据包,数据包源地址为网络a中的地址;5)停止步骤4)中数据流的发送,从仪表A向仪表B发送数据包,数据包源地址为网络c中的地址;6)停止步
24、骤5)中数据流的发送,从仪表A向仪表B发送数据包,数据包源地址为路由表中不存的地址预期结果:1)在步骤4)中,仪表B应可以收到测试数据包;2)在步骤5)、6)中,仪表B不能收到测试数据包判定原则:应完全符合预期结果,否则判定不合格8、Dn 2041-2009测试编号:11测试项目:松散的URPF功能测试测试类别:必选测试配置:测试配置图2测试步骤:I)按测试环境连接设备;2)仪表A和B与DUT的1、2端口启用路由协议,并向DUT通告到网络a和网络b的路由,并发送流量验证路由的有效性;3)在DUT上配置端口3到网络c的静态路由,启用松散的URPF;4)从仪表A向仪表B发送数据包,数据包源地址为网
25、络a中的地址;5)停止步骤4)中数据流的发送,从仪表A向仪表B发送数据包,数据包源地址为网络C中的地址;6)停止步骤5)中数据流的发送,从仪表A向仪表B发送数据包,数据包源地址为路由表中不存的地址预期结果:1)在步骤4)、5)中,仪表B应可以收到测试数据包;2)在步骤6)中,仪表B不能收到测试数据包判定原则:应完全符合预期结果,否则判定不合格测试编号:12测试项目:基于ACL的URPF功能测试测试类别:必选测试配置:测试配置图3测试步骤:1)按测试环境连接设备;2)仪表A和B与DUT的1、2端口启用路由协议,并向DUT通告到网络a和网络b的路由,并发送流量验证路由的有效性;3)在DUT上配置端
26、口1到网络3的静态路由,启用基于ACL的URPF,配置ACL规则拒绝源地址为网络3中地址X的数据包:4)从仪表A向仪表B发送数据包,数据包源地址为网络a中的地址;5)停】l涉骤4)中数据流的发送,从仪表A向仪表B发送数据包,数据包源地址为网络3中地址y;6)停止步骤5)中数据流的发送,从仪表A向仪表B发送数据包,数据包源地址为网络3中地址x预期结果:1)在步骤4)、5)中,仪表B应可以收到测试数据包;2)在步骤6)中,仪表B不能收到测试数据包判定原则:应完全符合预期结果,否则判定不合格9、DR 2041-20095 5 AcL功能测试编号:13测试项目:基于目的P地址的ACL功能测试测试类别:
27、必选测试配置:测试配置图1测试步骤:1)按测试环境连接设备:2)在DUT上配置基于目的lPv6地址的ACL(拒绝)条目:3)从仪表A向仪表B发送符合过滤条件的IPv6包;4)从仪表A向仪表B发送不符合过滤条件的IPv6包预期结果:1)在步骤3)中,仪表B没有收到数据包;2)在步骤4)中,仪表B可以收到数据包判定原则:应完全符合预期结果,否则判定不合格洲试编号:14洲试项目:基于源口地址的ACL功能测试测试类别:必选测试配置:测试配置图1测试步骤:I)按测试环境连接设备;2)在DUT上配置基于源IPv6地址的ACL(拒绝)条目:3)从仪表A向仪表B发送符合过滤条件的IPv6包:4)从仪表A向仪表
28、B发送不符合过滤条件的IPv6包预期结果:1)在步骤3)中,仪表B没有收到数据包;2)在步骤4)中,仪表B可以收到数据包判定原则:应完全符合预期结果,否则判定不合格10YD厂r 20412009测试编号:15测试项目:基于协泌类型的ACL功能测试测试类别:必选测试配置:测试配置图1测试步骤:i)按测试环境连接设备:2)在DUT上配置基于协议类型的ACL(拒绝)条目;3)从仪表A向仪表B发送符合过滤条件的IPv6包:4)从仪表A向仪表B发送不符合过滤条件的IPv6包预期结果:1)在步骤3)中,仪表B没有收到数据包:2)在步骤4)中,仪表B可以收到数据包判定原则:应完全符合预期结果,否则判定不合格
29、测试编号:16测试项目:基于协议源端口的ACL功能测试测试类别:必选测试配置:测试配置图1测试步骤:1)按测试环境连接设备;2)在DUT上配置基于协议源端口的ACL(拒绝)条目;3)从仪表A向仪表B发送符合过滤条件的IPv6包:4)从仪表A向仪表B发送不符合过滤条件的IPv6包预期结果:1)在步骤3)中,仪表B没有收到数据包;2)在步骤4)中,仪表B可以收到数据包判定原则:应完全符合预期结果,否则判定不合格YD厂r 20412009测试编号:17测试项目:基于协议目的端口的ACL功能测试测试类别:必选测试配置:测试配置图1测试步骤:1)按测试环境连接设备;2)在DUT上配置基于协议目的端口的A
30、CL(拒绝)条目;3)从仪表A向仪表B发送符合过滤条件的IPv6包;4)从仪表A向仪表B发送不符合过滤条件的IPv6包预期结果:1)在步骤3)中,仪表B没有收到数据包;2)在步骤4)中,仪表B可以收到数据包判定原则:应完全符合预期结果,否则判定不合格测试编号:18测试项目:基于五元组的ACL功能测试测试类别:必选测试配置:测试配置图1测试步骤:1)按测试环境连接设备;2)在DUT上配置基于五元组(源P地址、目的妒地址、协议类型、源端口、目的端口)的ACL(拒绝)条目:3)从仪表A向仪表B发送符合过滤条件的IPv6包:4)从仪表A向仪表B发送不符合过滤条件的IPv6包预期结果:I)在步骤3)中,
31、仪表端口B没有收到数据包;2)在步骤4)中,仪表端口B可以收到数据包判定原则:应完全符合预期结果,否则判定不合格12、Dn 2041-2009测试编号:19测试项目:基于源MAC地址的ACL功能测试测试类别:可选测试配置:测试配置图1测试步骤:1)按测试环境连接设备;2)在DUT上配置基于源MAC地址的ACL(拒绝)条目;3)从仪表A向仪表B发送符合过滤条件的数据包;4)从仪表A向仪表B发送不符合过滤条件的数据包预期结果:1)在步骤3)中,仪表B没有收到数据包;2)在步骤4)中,仪表B可以收到数据包判定原则:应完全符合预期结果,否则判定不合格测试编号:20测试项目:全局ACL功能测试测试类别:
32、可选测试配置:测试配置图1测试步骤:1)按测试环境连接设备;2)在DUT上配置全局ACL(拒绝)条目:3)从仪表A向仪表B发送符合过滤条件的IPv6包:4)从仪表B向仪表A发送符合过滤条件的IPv6包:5)从仪表A向仪表B发送不符合过滤条件的IPv6包预期结果:1)在步骤3)、4)中,仪表B没有收到数据包;2)在步骤5)中,仪表B可以收到数据包判定原则:应完全符合预期结果,否则判定不合格YD,T 20412009测试编号:2l测试项目:接口ACL功能测试测试类别:必选测试配置:测试配置图1测试步骤:1)按测试环境连接设备:2)在DUT上接口1配置ACL(拒绝)条目:3)从仪表A向仪表B发送符合
33、过滤条件的IPv6包;4)从仪表B向仪表A发送符合过滤条件的IPv6包预期结果:1)在步骤3)中,仪表B没有收到数据包;2)在步骤4)中,仪表A可以收到数据包判定原则:应完全符合预期结果,否则判定不合格测试编号:22测试项目:ACL下性能测试测试类别:必选测试配置:测试配置图1测试步骤:1)按测试环境连接设备:2)在DUT上配置2000条相互无关联的基于五元组(源口地址、目的地址、协议、源端口、目的端口)的ACL(拒绝)条目:3)仪表A和B与DUT的1、2端口启用路由协议,并向DUT通告到网络a和网络b的路由;4)从仪表A、B间发送双向不符合过滤条件的IPv6数据包,数据包源地址、目的地址分别
34、为网络a、网络b中随机的可变IPv6地址,进行性能测试预期结果:DUT的吞吐量、转发时延等性能没有明显劣化判定原则:ACL下性能不应低于正常转发性能的60,否则判定不合格1456流量控制功能YDT 20412009测试编号:23测试项目:流量限速功能测试测试类别:必选测试配置:测试配置图2测试步骤:1)按测试环境连接设备:2)在DUT上接1:3 1配置基于接口的入向流量限速,限制速率为M(小于接13 1的速率);3)从仪表A向仪表B以接口速率发送IPv6数据包;4)停止步骤3)中的数据流,从仪表C向仪表B以接口速率发送IPv6数据包预期结果:1)在步骤3)中,仪表端L_I B可以收到数据包,速
35、率为M,误差不超过10:2)在步骤4)中,仪表端口B可以收到数据包,速率为仪表C发送速率判定原则:应完全符合预期结果,否则判定不合格测试编号:24测试项目:基于口地址段的流最分类功能测试测试类别:必选测试配置:测试配置图1测试步骤:1)按测试环境连接设备;2)在DUT上配置基于口地址段(源地土【1-源地址段、目的地址目的地址段)的流量分类策略,对命。j的数据流配置限制速率为M(小于接Ll的速率);3)从仪表A向仪表B以接口速率发送符合限制镱略的IPv6数据包,数据包口地址(源IPv6地址和目的IPv6地址)为限制地址段内随机的可变地址;4)停止步骤3)中的数据流,从仪表A向仪表B以接】速率发送
36、不符合限制策略的IPv6数据包可!期结粜:1)企步骤3)中,仪表B可以收到数据包,速率为M,误差不超过10:2)在步骤4)中,仪表B可以收到数据包,速率为仪表A发送速率判定原则:应完t=符合预期结果,否则判定不合格YD厂r 2041-2009测试编号:25测试项目:基于协议及端口的流量分类功能测试测试类别:必选测试配置:测试配置图1测试步骤:1)按测试环境连接设备;2)在DUT上配置基于协议及端口(协议类型、源端13源端L范围、目的端口,目的端口范围)的流量分类策略,对命中的数据流配置限制速率为M(小于接口1的速率):3)从仪表A向仪表B以接口速率发送符合限制策略的IPv6数据包,数据包协议端
37、口值(源端口和目的端口)为限制端口范围内随机的可变端口值:4)停止步骤3)中的数据流,从仪表A向仪表B以接口速率发送不符合限制策略的IPv6数据包预期结果:1)在步骤3)中,仪表B可以收到数据包,速率为M,误差不超过10;2)在步骤4)中,仪表B可以收到数据包,速率为仪表A发送速率判定原则:府完全符合预期结果,否则判定不合格测试编号:26测试项目:基于五元组的流量分类功能测试测试类别:必选测试配置:测试配置图1测试步骤:1)按测试环境连接设备;2)在DUT上配置基于五元组(源IPv6地址、目的IPv6地址、协议类型、源端口、目的端口)的流量分类策略,对命中的数据流配置限制速率为M(小于接口1的
38、速率);3)从仪表A向仪表B以接口速率发送符合限制策略的1Pv6数据包;4)停止步骤3)中的数据流,从仪表A向仪表B以接口速率发送不符合限制策略的IPv6数据包预期结果:1)在步骤3)中,仪表B可以收到数据包,速率为M误筹不超过10;2)在步骤4)中,仪表B可以收到数据包,速率为仪表A发送速率判定原则:应完全符合预期结果,否则判定不合格16YD厂r 2041-2009测试编号:27测试项目:基于MAC地址的流量分类功能测试测试类别:可选测试配置:测试配置图1测试步骤:I)按测试环境连接设备;2)在DUT上配置基于源MAC地址的流量分类策略,对命中的数据流配置限制速率为M(小于接口1的速率);3
39、)从仪表A向仪表B以接口速率发送符合限制策略的数据包;4)停止步骤3)中的数据流,从仪表A向仪表B以接口速率发送不符合限制策略的数据包预期结果:1)在步骤3)中,仪表B可以收到数据包,速率为M,误差不超过10;2)在步骤4)中,仪表B可以收到数据包,速率为仪表A发送速率判定原则:应完全符合预期结果,否则判定不合格测试编号:28测试项目:基于VLAN的流量分类功能测试测试类别:必选测试配置:测试配置图1测试步骤:1)按测试环境连接设备;2)在DUT上配置基于VLAN ID的流量分类策略,对命中的数据流配置限制速率为M(小于接口1的速率):3)从仪表A向仪表B以接口速率发送符合限制策略的数据包;4
40、)停止步骤3)中的数据流,从仪表A向仪表B以接口速率发送不符合限制策略的数据包预期结果:1)在步骤3)中,仪表B可以收到数据包,速率为M,误差不超过10;2)在步骤4)中,仪表B可以收到数据包,速率为仪表A发送速率判定原则:应完全符合预期结果,否则判定不合格17YD厂r 204112009测试编号:29测试项目:流量整形功能测试测试类别:可选测试配置:测试配置图1测试步骤:1)按测试环境连接设备;2)在DUT上配置流量整形,数据流配置限制速率为M(小于接口l的速率);)从仪表A向仪表B按接口速率以连续脉冲的方式发送IPv6数据包预期结果:仪表B可以收到数据包,数据流得到整形,峰值速率为M,误差
41、不超过10判定原则:应完全符合预期结果,否则判定不合格5 7会话及应用监测功能测试编号:30翌!试项目:用户状态监测功能测试测试类别:可选测试配置:测试配置图1测试步骤:1)按测试环境连接设备;2)在DUT上启用用户状态监测功能(包括基于接口、基于VLAN等);3)仪表A、B问模拟多用户进行会话和应用访问的数据流预期结果:DUT实现TCP状态的监测,正确统计基于接口或基于VLAN相关用户的会话、数据流量等信息判定原则:应完全符合预期结果,否则判定不合格YDT 2041-2009测试编号:31测试项目:TCP状态监测功能测试测试类别:可选测试配置:测试配置图1测试步骤:1)按测试环境连接设备;2
42、)在DUT上启用TCP状态监测功能:3)仪表A、B间模拟建立TCP会话连接预期结果:DUT实现TCP状态的监测,正确统计TCP相关用户、会话、数据流量等信息判定原则:应完全符合预期结果,否则判定不合格测试编号:32测试项目:HqFP状态监测功能测试测试类别:可选测试配置:测试配置图1测试步骤:1)按测试环境连接设备;2)在DUT上启用r兀P状态监测功能;3)仪表A、B间模拟建立mIP会话连接预期结果:DUT实现HITP状态的监测,正确统计HTIP相关用户、会话、数据流量等信息判定原则:心完全符合预期结果,否则判定不合格19YD厂r 204112009测试编号:33测试项目:FrP状态监测功能测
43、试测试类别:可选测试配置:测试配置图1测试步骤:1)按测试环境连接设备;2)在DUT上启用FIP状态监测功能;3)仪表A、B间模拟建立FTP会话连接预期结果:DUT实现兀P状态的监测,正确统计FrP相关用户、会话、数据流量等信息判定原则:应完全符合预期结果,否则判定不合格测试编号:34测试项目:SMTP状态监测功能测试测试类别:可选测试配置:测试配置图1测试步骤:1)按测试环境连接设备:2)在DUT上启用SMTP状态监测功能;3)仪表A、B问模拟建立SMTP会话连接预期结果:DUT实现SMTP状态的监测,正确统计SMTP相关用户、会话、数据流量等信息判定原则:应完全符合预期结果,否则判定不合格
44、206控制平面安全测试61 用户安全管理功能YDT 2041-2009测试编号:35测试项目:8021x端口管理测试测试类别:必选测试配置:测试配置图4测试步骤:1)按测试环境连接设备;2)在DUT端口1上启用8021x,配置通过认证服务器认证;在认证服务器上配置用户相关记录:3)用户从端口1发起访问请求,使用正确的用户名和密码;4)用户从端口1发起访问请求,使用不正确的用户名或密码;5)用户从端口2发起访问请求,使用正确的用户名和密码预期结果:1)在步骤3)中,认证服务器收到DUT发送的认证信息,用户认证通过;2)在步骤4)中,认证服务器收到DUT发送的认证信息,用户认证不通过;3)在步骤5
45、)中,认证服务器未收到DUT发送的认证信息,用户认证不通过判定原则:应完全符合预期结果,否则判定不合格测试编号:36测试项目:8021x地址绑定功能测试测试类别:必选测试配置:测试配置图4测试步骤:1)按测试环境连接设备;2)在DUT上启用8021x,端口1配置MAC地址绑定(绑定用户a的MAC地址);3)用户a以匹配的MAC地址从端口1发起访问请求;4)用户a以不匹配的MAC地址从端口1发起访问请求;5)用户b以匹配的MAC地址从端口2发起访问请求预期结果:1)在步骤3)中,用户认证通过:2)在步骤4)、5)中,用户认证不通过判定原则:应完全符合预期结果,否则判定不合格21YD厂r 2041-2009测试编号:37测试项目:用户认证绑定功能测试测试类别:可选测试配置:测试配置图4测试步骤:1)按测试环境连接设备;2)在DUT上启用用户认证绑定功能,配置通过认证服务器认证(认证的绑定信息包括VLANID、MAC地址、端口号、口地址、账号等):在认证服务器上配置用户相关记录;3)模拟用户以符合绑定内容的配置发起访问请求;4)模拟用户以不符合绑定内容的配置发起访问请求预期结果:1)在步骤4)中,认证服务器收到DUT发送的认证绑定信息,用户认证通过;2)在步骤5)
