1、ICS 3304040M 32 Y口中华人民共和国通信行业标准IPv6网络设备安全测试方法具有路由功能的以太网交换机Pv6 network equipment security testing methodsEthemet switch with routing capability2009-12-11发布 2010-Ol-01实施中华人民共和国工业和信息化部发布目 次、Dn 2043-2009前言l 范围2规范性引用文件3术语、定义和缩略语31术语和定义32缩略语4测试环境5数据转发平面安全测试51 IPsec协议测试52常见网络攻击抵抗能力测试5-3 Ul冲F功能测试(可选)54访问控制列
2、表55流量控制功能测试6控制平面安全测试61路由协议安全测试62 TCPIP协议安全测试”63 MAC地址数量限制64 MAC地址绑定功能。65路由过滤功能测试。7管理平面安全测试71端口镜像。72访问控制安全测试。73 SNMPv3功能测试74安全审计功能测试。吖qq心qq吗咱叩”甜MM拍拍卯砣弘前 言YD厂r 2043-2009本标准是“IPv6网络设备安全”系列标准之一,该系列标准预计的结构及名称如下:1YDT 1905-2009 IPv6网络设备安全技术要求宽带网络接入服务器2YDT 2041-2009 IPv6网络设备安全测试方法一宽带网络接入服务器3YDT 2042-2009Pv6
3、网络设备安全技术要求具有路由功能的以太网交换机4YDT2043-2009 IPv6网络设备安全测试方法一具有路由功能的以太网交换机YDT 20422009 IPv6网络设备安全技术要求具有路由功能的以太网交换机是本标准的技术依据,使用过程中需与其配套使用。本标准由中国通信标准协会提出并归口。本标准起草单位:工业和信息化部电信研究院、华为技术有限公司。本标准主要起草人:马军锋、蒋胜、郭大勇、赵世卓。IIIPv6网络设备安全测试方法具有路由功能的以太网交换机1范围本标准规定了对具有IPv6路由功能的以太网交换机设备进行安全功能和协议安全测试的方法。本标准适用于支持Pv6协议并具有路由功能的以太网交
4、换机设备。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YDT 1467-2006口安全协议(IPSec)测试方法3术语、定义和缩略语31术语和定义下列术语和定义适用于本标准。311具有IPv6路由功能的以太网交换机ethernet switch with IPv6 routing capability支持IPv6协议、具有第三层路由功能的P数据包交换机。除实现数据帧转发功
5、能外,能根据收到的数据包中网络层地址以及交换机内部维护的路由表决定输出端口以及下一跳交换机地址或主机地址并且重写链路层数据包头。路由表可以通过静态配置方式维护,也可以动态维护来反映当前的网络拓扑。具有路由功能的以太网交换机通常通过与其它类似设备路由器交换路由信息来完成路由表的动态维护。312被测实现IUT实际开放系统中将要进行一致性测试的那部分。它应该是一个或多个相关OSI协议的实现。32缩略语下列缩略语适用于本标准。Access ConUol ListBorder Gateway ProtocolCommittedAccess Rate,Device Under 1bstIntemet Co
6、ntrol Messages Protocol version 6Interact ProtoclIntcrnct Protocol Security访问控制列表边界网关路由协议承诺访问速率被测设备网间控制报文协议版本6网际互连协议版本6互联网安全LPRTm6舰鼢嗽哪一蹦YD厂r2043-2009IsIS Intermediate SystemIntermediateSystem 中间系统中间系统MAC MediaAccessCon901 媒体控制访问MD5 Me宴sage-DigestAlgorithm version 5 消息摘要算法5Mm Management Information B
7、ase 管理信息库MPLS Multi-ProtocolLabel Switch 多协议标记交换OSPFv3 Open ShortestPathFirst version 3 最短路径优先版本三RFC RequestForComments 请求注解PdPng RoutingInformationProtocolNextGeneration 下一代路由信息协议SNMP SimpleNetworkManagementProtocol 简单网络管理协议SSH Secure SheR 安全外壳TCP TransmissionCondorProtocol 传输控制冉议URPF u血解tReversePa
8、thForwarding 单播逆向路径转发UDP UserDatagramProtocol 用户数据报协议VLAN VmamlLocalAreaNetwork 虚拟局域阿4测试环境测试环境1,如图l所示测试环境2,如图2所示图1测试环境1钡4试环境3,如图3所示圉2删试环境2圃橱图3测试环境3当测试环境4,如图4所示4试环境5,如图5所示圜啮圜“。8I*8蚺图5测试环境55数据转发平面安全测试5 1 IPsec协议测试IPSec协议测试内容按YDfr 1467-2006的规定。5 2常见网络攻击抵抗能力测试YDT 2043-2009测试编号:1测试项目:抗大流量攻击能力测试测试目的:检验DUT
9、处理大流量数据的能力测试配置:测试环境l测试过程:l按测试环境连接设备;2从测试仪表端口A向测试仪表端口B以接口吞吐量发送数据包;3 DUT开启动态路由协议,从测试仪表端口A向DUT建立OSPFv3邻居关系i4停止步骤2中数据包的发送:5从测试仪表端口A向DUT的环回地址以线速发送数据包6从测试仪表端口A向DUT建立协议邻居关系预期结果:在步骤3和6中,测试仪表与DUT问应能正常建立协议邻居关系,不受端口上流量的影响YD厂r 20432009判定原则:应符合预期结果要求,否则为不合格测试编号:2测试项目:畸形包处理能力测试测试目的:检验DUT处理畸形数据包的能力测试配置:测试环境1测试过程:1
10、按测试环境连接设备;2从测试仪表端口A向测试仪表端口B发送小于接口吞吐量的背景流量;3由仪表端口A以端口吞吐量剩余带宽速率向DUT端口发送报文长度(包括m包头)大于65535字节的ICMPv6ECHORequest报文(Ping ofDeath攻击仿真报文);4停止步骤3中报文的发送,由仪表端口A向DUT环回地址发送多个Offset字段重叠的P报文(Teardrop攻击仿真报文);5停止步骤4中报文的发送,由仪表端口A向仪表端口B发送链路层错误(如以太网的FCS错误帧)报文;6停止步骤5中报文的发送,由仪表端口A向仪表端口B发送长度小于“字节(以太网链路)的超短帧(Runt);7停止步骤6中报
11、文的发送,由仪表端口A向仪表端口B发送长度大于链路MTU的超长帧(Giant)预期结果:1在步骤3中,攻击报文应被丢弃,记录攻击对背景流量的影响:2在步骤4中,攻击报文应被丢弃记录攻击对背景流量的影响;3在步骤5中,错误帧应被丢弃,并在错误日志中有相应记录,记录攻击对背景流量的影响;4在步骤6中,超短帧应被丢弃,并提供统计数据,记录攻击对背景流量的影响;5在步骤7中,超长帧应被丢弃,并提供统计数据,记录攻击对背景流量的影响判定原则:应符合预期结果要求,否则为不合格4YD厂r 20432009测试编号:3测试项目:Ping Flood攻击处理能力测试测试目的:检验DUT处理PingFlood攻击
12、的能力测试配置:测试环境2测试过程:1按测试环境连接设备;2仪表端口B与DUT建立OSPFv3邻居关系,并向DUT通告到网络2的路由:3从测试仪表端口A向网络2中的某个m地址以小于端口吞吐量的流量发送背景流量,并验证仪表端口B上流量能够正常接收;4从测试仪表端口C向DUT环回地址以端13吞吐量发送ICMPv6ECHORequest数据包;5停止步骤4中流量的发送,从测试仪表端口C向网络2中的某个口地址以端口吞吐量发送ICMPv6ECHO Request数据包预期结果:1在步骤4中,DUT应对超量ICMPv6报文进行丢弃或限速,记录攻击对背景流量的影响;2在步骤5中,DUT应对超量ICMPv6报
13、文进行丢弃或限速,记录攻击对背景流量的影响判定原则:应符合预期结果要求,否则为不合格测试编号:4测试项目:SYN Flood攻击处理能力测试测试目的:检验DUT处理SYNFlood攻击的能力测试配置:测试环境2测试过程:1按测试环境连接设备:2仪表端口A和B分别与DUT建立OSPFv3邻居关系,并向DUT通告到网络1和网络2的路由;3从测试仪表端口A向网络2中的某个m地址以小于端口吞吐量的流量发送背景流量,并验证仪表端口B上流量能够正常接收;4从测试仪表端口c向网络2中的某个P地址以端口端口吞吐量剩余带宽发送TCPSYN数据包,数据包源地址为网络1中的某个地址;5停止步骤4中流量的发送,从测试
14、仪表端口c向DUT的环回地址上已开放的端口以端口吞吐量剩余带宽发送TCP SYN数据包,数据包源地址为网络1中的某个地址;6停止步骤5中流量的发送,在DUT设备上配置限速策略,当流量超过门限时,丢弃过载的流量;7从测试仪表端口C向网络2中的某个口地址以超过限速门限的速率发送满足策略的TCPSYN数据包,数据包源地址为网络l中的某个地址预期结果:1在步骤4和5中,DUT应对过量TCP$YN报文进行丢弃或进行降低优先级的排队处理,记录攻击对背景流量的影响:2在步骤7中,DUT应对过量TCPSYN报文进行丢弃,记录攻击对背景流量的影响判定原则:1DUT可以对过量TCP SYN报文进行丢弃或进行降低优
15、先级的排队处理,背景流的流量和时延应不会受到严重影响;2DUT对满足限速策略的流量进行限速处理,背景流的流量和时延应不会受到严重影响553 URPF功能测试(可选)测试编号:5测试项目:严格URPF功能测试测试目的:检验DuT实现严格URPF功能测试配置:测试环境2测试过程:1按测试环境连接设备;2仪表端口A和B分别与DuT建立OSPFv3邻居关系,并向DUT通告到网络1和网络2的路由,并发送流量验证路由的有效性,在DUT上为地址X:X:X:X:054配置到测试仪表端口C的静态路由;3在DUT上启用严格URPF=4从仪表端口A向仪表端口B发送数据包,数据包源地址为网络l中的地址;5停止步骤4中
16、数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为ci6停止步骤5中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为Y:Y:Y:Y:l(在路由器路由表中不存在到该地址的路由)预期结果:1在步骤4中,仪表端口B应可以收到测试数据包;2在步骤5和6中,仪表端口B不能收到测试数据包判定原则:应符合预期结果要求,否则为不合格测试编号:6测试项目t松散URPF功能测试测试目的;检验DUT实现松散URPF功能测试配置:测试环境2测试过程;1按测试环境连接设备;2仪表端口A和B分别与DUT建立OSPFv3邻居关系,并向DUT通告到网络1和网络2的路由,并发送流量验证路由的有效性
17、,在DUT上为地址X:X:X:X:064配置到测试仪表端口C的静态路由;3在DUT上启用松散URPF;4从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址;5停止步骤4中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为x:X:x:x:1;6停止步骤5中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为Y:Y:Y:Y:1(在路由器路由表中不存在到该地址的路由)预期结果:1在步骤4和5中,仪表端口B应可以收到测试数据包;2在步骤6中,仪表端口B不能收到测试数据包判定原则;应符合预期结果要求,否则为不合格6YD厂r 20432009测试编号:7测试项目:基
18、于ACL的URPF功能测试测试目的:检验DUT实现基于ACL的URPF功能测试配置:测试环境2测试过程:1按测试环境连接设备;2仪表端口A和B分别与DUT建立OSPFv3邻居关系,并向DUT通告到网络1和网络2的路由,并发送流量验证路由的有效性,在DUT上为X:X:X:X:064地址配置到测试仪表端口C的静态路由;3在DUT上启用基于ACL的URPF,并配置ACL条目拒绝源地址为X:X:X:X:b64的数据包;4从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址;5停止步骤4中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为x:x:x:x:a:6停止步骤5中数据流
19、的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为x:x:x:x:b:7停止步骤6中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为Y:Y:YY:b(在路由器路由表中不存在到该地址的路由)预期结果:1在步骤4和5中,仪表端口B应可以收到测试数据包;2在步骤6和7中,仪表端口B不能收到测试数据包判定原则:应符合预期结果要求,否则为不合格54访问控制列表测试编号:8测试项目:基于源地址的ACL测试测试目的:检验DUT是否实现基于源地址的ACL测试配置:测试环境1测试过程:1按测试环境连接设备:2在DUT上配置基于源地址的ACL(拒绝)条目:3从仪表端口A向仪表端口B发送符合
20、过滤条件的口包;4从仪表端r7 A向仪表端口B发送不符合过滤条件的P包预期结果:1在步骤3中,仪表端口B没有收到数据包;2在步骤4中。仪表端口B可以收到数据包判定原则:应符合预期结果要求,否则为不合格7YD厂r 20432009测试编号:9测试项目:基于目的地址的ACL测试测试目的:检验DUT是否实现基于目的地址的ACL测试配置:测试环境I测试过程:I按测试环境连接设备;2在DUT上配置基于目的地址的ACL(拒绝)条目;3从仪表端口A向仪表端口B发送符合过滤条件的礤包;4从仪表端口A向仪表端口B发送不符合过滤条件的P包预期结果:I在步骤3中,仪表端口B没有收到数据包:2在步骤4中仪表端口B可以
21、收到数据包判定原则:应符合预期结果要求,否则为不合格测试编号z 10测试项目:基于协议的ACL测试测试目的t检验DUT是否实现基于协议地址的ACL测试配置:测试环境l测试过程:1按测试环境连接设备;2在DUT上配置基于协议类型的ACL(拒绝)条目;3从仪表端口A向仪表端口B发送符合过滤条件的P包;4从仪表端口A向仪表端口B发送不符合过滤条件的m包预期结果:I在步骤3中,仪表端口B没有收到数据包;2在步骤4中,仪表端口B可以收到数据包判定原则:应符合预期结果要求,否则为不合格8YD厂r 20432009测试编号:11测试项目:基于源端口的ACL测试测试目的:检验DUT是否实现基于源端口的ACL测
22、试配置:测试环境1测试过程:1按测试环境连接设备:2在DUT上配置基于源端口的ACL(拒绝)条目;3从仪表端口A向仪表端口B发送符合过滤条件的P包;4从仪表端口A向仪表端口B发送不符合过滤条件的口包预期结果:1在步骤3中,仪表端口B没有收到数据包;2在步骤4中,仪表端口B可以收到数据包判定原则:应符合预期结果要求,否则为不合格测试编号:12测试项目:基于目的端口的ACL测试测试目的:检验DUT是否实现基于目的端口的ACL测试配置:测试环境1 ,测试过程:1按测试环境连接设备;2在DUT上配置基于目的端口的ACL(拒绝)条目;3从仪表端口A向仪表端口B发送符合过滤条件的口包:4从仪表端口A向仪表
23、端口B发送不符合过滤条件的口包预期结果:1在步骤3中,仪表端口B没有收到数据包;2在步骤4中,仪表端口B可以收到数据包判定原则:应符合预期结果要求,否则为不合格9YD厂r 204争_2009测试编号z 13测试项目:基于五元组的ACL测试测试目的:检验DUT是否实现基于五元组(源地址、目的地址、源端口、目的端口、协议类型)的ACL测试配置:测试环境I测试过程:1按测试环境连接设备;2在DUT上配置基于五元组的ACL(拒绝)条目;3从仪表端口A向仪表端口B发送符合过滤条件的P包;4从仪表端口A向仪表端口B发送不符合过滤条件的P包预期结果tI在步骤3中,仪表端口B没有收到数据包;2在步骤4中,仪表
24、端口B可以收到数据包判定原则:应符合预期结果要求,否则为不合格测试编号:14测试项目:基于源MAC地址的ACL测试测试目的:检验DUT是否实现基于源MAC地址的ACL测试配置:测试环境I测试过程t1按测试环境连接设备(互联接口采用以太网接口);2在DUT上配置基于源MAC地址的ACL条目,拒绝源MAC地址非特定地址的数据包;3从仪表端口A向仪表端口B发送P包,源MAC地址不是DUT配置的特定MAC地址;4从仪表端口A向仪表端口B发送口包,源MAC地址是DUT配置的特定MAC地址预期结果;1步骤3中,仪表端口B没有收到数据包;2步骤4中,仪表端口B可以收到数据包判定原则:应符合预期结果要求,否则
25、为不合格10YD厂r 20432009测试编号:15测试项目:配置ACL情况下的性能测试测试目的:检验DUT在配置ACL情况下的性能测试配置:测试环境2测试过程:1按测试环境连接设备;2仪表端口A和B分别与DUT建立OSPFv3邻居关系,并通告到网络l和网络2的路由;3在DUT接口1上配置1000(暂定)条相互无关联的ACL(拒绝)条目;4从仪表端口A向仪表端口B发送不符合过滤条件的疋包,数据包源地址为网络1中的疋地址(变化),进行性能测试预期结果:配置ACL后应不会对DUT的转发造成影响判定原则:吞吐量和时延不应受到影响55流量控制功能测试测试编号:16测试项目:流量限速(CAR)功能测试测
26、试目的:检验DUT的流量限速功能测试配置:测试环境1测试过程:1按测试环境连接设备;2在DUT上为接口1配置流量限速,限制速率为M,M小于1接口速率;3由仪表接口A向仪表接口B以接口速率发送P数据流预期结果:在步骤3中,仪表端口B可以收到数据流,数据流速率为M(误差小于10)判定原则:应符合预期结果要求否则为不合格YD厂r 2043_2009测试编号:17测试项目:流分类功能测试(基于口五元组的流分类)测试目的:检验DUT基于口五元组(源口地址、目的口地址、协议类型、源端口号、目的端口号)进行流分类的功能测试配置:测试环境1测试过程:1按测试环境连接设备;2在DUT上分别为疋五元组配置流分类策
27、略,并对命中的数据流采用流量限制,限制速率为J】lf,肘小于接口速率;3仪表接口A向仪表接口B以接口速率发送符合分类策略的数据流;4停止上一步中数据流的发送,从仪表接口A向仪表接口B以接口速率发送不符合分类策略的数据流预期结果z1步骤3中,仪表端口B可以收到数据流,数据流速率为|llf(误差小于10);2步骤4中,仪表端口B可以收到数据流,数据流速率为接口速率判定原则:应符合预期结果要求,否则为不合格测试编号t 18测试项目;流分类功能测试(基于源MAC地址)(可选)测试目的:检验DUT基于源MAC地址进行流分类的功能测试配置:测试环境l测试过程:1按测试环境连接设备;2在DUT上配置基于源M
28、AC地址的流分类策略,并对命中的数据流采用流量限制,限制速率为M,肼小于接口速率:3仪表接口A向仪表接口B以接口速率发送符合分类策略的数据流;4停止上一步中数据流的发送,从仪表接口A向仪表接口B以接口速率发送不符合分类策略的数据流预期结果:1步骤3中,仪表端El B可以收到数据流,数据流速率为M(误差小于10);2步骤4中仪表端口B可以收到数据流,数据流速率为接口速率判定原则:应符合预期结果要求,否则为不合格YD厂r 20432009测试编号:19测试项目:流量整形功能测试测试目的:检验DUT的流量整形功能测试配置:测试环境1测试过程;1按测试环境连接设备;2在DLrr上为接口2配置流量整形,
29、限制速率为jlf,肘小于2接口速率l3由仪表接口A向仪衰接口B以接口速率发送m数据流预期结果:在步骤3中,仪表端口B可以收到数据流,数据流速率为Jlf(误差小于10)判定原lO,应符合预期结果要求,否则为不合格6控制平面安全测试61路由协议安全测试测试编号z 20测试项目:相邻路由器间AH认证功能测试目的:验证DUT能够实现通过AH认证头对Ripng交互路由信息完整性和机密性的保护测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTl和D1r12上启用RIPng路由协议;3在DUTl和DLrr2上配置传输模式的All对Ripng协议报文进行保护预期结果:在步骤3中,DUTI和DUT2
30、正常建立Ripng邻接关系,并且实现传输模式的AH保护判定原则:应符合预期结果要求,否则为不合格13YD厂r 204争_2009测试编号:21测试项目:相邻路由器间ESP认证功能测试目的:验证DUT能够实现通过ESP安全载荷对Ripng交互路由信息完整性和机密性的保护测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTI和DUT2上启用RIPng路由协议;3在DUTl和DUT2上配置传输模式的ESP对Ripng协议报文进行保护;4在DUTl和DUT2上配置隧道模式的ESP对Ripng协议报文进行保护预期结果:1在步骤3中,DUTI和DUT2正常建立Ripng邻接关系,并且实现传输模式
31、的ESP保护;2在步骤4中,DUTl和DUT2正常建立Ripng邻接关系,并且实现隧道模式的ESP保护判定原则:应符合预期结果要求,否则为不合格612 OSPFv3路由协议安全测试测试编号:22测试项目:相邻路由器间基于链路的AH认证功能测试目的:验证DUT能够实现OSPFv3邻居间基于链路的AH认证功能测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTl和DUT2上启用OSPFv3路由协议;3在接口A和B上配置传输模式的AH对OSPFv3协议报文进行保护;4在接口A和B上配置隧道模式的AH对OSPFv3协议报文进行保护(可选)预期结果:1在步骤3中,DUTl和DUT2正常建立OS
32、PFv3邻居关系,并实现传输模式的AH保护:2在步骤4中,DUTl和DUT2正常建立OSPFv3邻居关系,并实现隧道模式的AH保护判定原则t应符合预期结果要求,否则为不合格14YD厂r 20432009测试编号:23测试项目:相邻路由器间基于链路的ESP认证功能测试目的:验证DUT能够实现OSPFv3邻居间基于链路的ESP认证功能测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTI和DUT2上启用OSPFv3路由协议;3在接口A和B上配置传输模式的ESP对OSPFv3协议报文进行保护;4在接El A和B上配置隧道模式的ESP对OSPFv3协议报文进行保护(可选)预期结果:I在步骤3
33、中,DUTl和DUT2正常建立OSPFv3邻居关系,并实现传输模式的ESP保护;2在步骤4中,DUTl和DUT2正常建立OSPFv3邻居关系,并实现隧道模式的ESP保护判定原则:应符合预期结果要求,否则为不合格测试编号:24测试项目:相邻路由器间基于路由域的AH认证功能测试目的:验证DUT能够实现OSPFv3邻居间基于路由域的AH认证功能测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTl和DUT2上启用OsPFv3路由协议;3在DUTl和DUT2上配置基于路由域的传输模式AH认证,实现对OSPFv3协议报文保护;4在DUTl和DUT2上配置基于路由域的隧道模式AH认证,实现对OS
34、PFv3协议报文保护(可选)预期结果:1在步骤3中,DUTl和DUT2正常建立OSPFv3邻居关系,并实现传输模式的AH保护;2在步骤4中,DUTl和DUT2正常建立OSPFv3邻居关系,并实现隧道模式的AH保护判定原则:应符合预期结果要求,否则为不合格YD厂r 2043_2009测试编号:25测试项目:相邻路由器间基于路由域的ESP认证功能测试目的:验证DUT能够实现OSPFv3邻居间基于路由域的ESP认证功能测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTl和DU2上启用OSPFv3路由协议;3在DUTl和DUT2上配置基于路由域的传输模式ESP认证,实现对OSPFv3协议报
35、文保护:4在DUTl和DUT2上配置基于路由域的隧道模式ESP认证,实现对OSPFv3协议报文保护(可选)预期结果:1在步骤3中,DUTl和D T2正常建立OSPFv3邻居关系,并实现传输模式的AH保护;2在步骤4中,DUTl和DLrl2正常建立OSPFv3邻居关系,并实现隧道模式的AH保护判定原则:应符合预期结果要求,否则为不合格613 ISISv6路由协议安全测试(可选)测试编号;26测试项目:IS-ISv6协议接口level1的明文验证测试目的:检验DUT实现IS-ISv6协议接口level一1的明文验证测试配置:测试环境3测试过程:I按测试环境连接设备:2在DUTl和DUT2上启用IS
36、-ISv6路由协议,在接口A和B问建立level1邻按关系,并分别配置明文验证;3在DUTl和DUT2上配置相同的密码;4在DUTl和DLrI2上配置不同的密码预期结果:1在步骤3中。DUTl和DLrl2可以正常建立ISISv6 level-l邻接关系;2在步骤4中,DUTl和DUT2无法正常建立ISIS_6 level1邻接关系判定原则:应符合预期结果要求,否则为不合格 、16YD厂r 20432009测试编号:27测试项目:ISISv6协议接口level一1的MD5密文验证测试目的:检验DUT实现ISISv6协议接口level1的MD5密文验证测试配置:测试环境3测试过程:1按测试环境连接
37、设备;2在DUTl和DUT2上启用ISISv6路由协议,在接口A和B间建立level1邻接关系,并分别配置MD5密文验证;3在DuTl和DUT2上配置相同的密码;4在DUTI和DUT2上配置不同的密码预期结果:1在步骤3中,DUTl和DUT2可以正常建立ISISv6level1邻接关系;2在步骤4中,DUTl和DUT2无法正常建立ISISv6 level-1邻接关系判定原则:应符合预期结果要求,否则为不合格测试编号:28测试项目:ISISv6协议接口level2的明文验证测试目的:检验DUT实现IS-ISv6协议接口level2的明文验证测试配置:测试环境3测试过程:1按测试环境连接设备;2在
38、DUTI和DUT2上启用ISISv6路由协议,在接口A和B间建立level2邻接关系,并分别配置明文验证;3在DUTl和DUT2上配置相同的密码;4在DUTl和DITI2上配置不同的密码预期结果:1在步骤3中,DUTl和DUT2可以正常建立ISISv6level2邻接关系;2在步骤4中,DUTI和DUT2无法正常建立ISISv6 level2邻接关系判定原则:应符合预期结果要求,否则为不合格17YD厂r 2043_2009测试编号:29测试项目:ISISv6协议接口level-2的MD5密文验证测试目的:检验DUT实现ISISv6协议接121level2的MD5密文验证测试配置:测试环境3测试
39、过程:1按测试环境连接设备;2在DUTl和DUT2上启用ISISv6路由协议,在接口A和B间建立level2邻接关系,并分别配置MD5密文验证:3在DUTl和DUT2上配置相同的密码;4在DUTl和DIYr2上配置不同的密码预期结果:1在步骤3中,DUTl和DUT2可以正常建立ISISv6 level2邻接关系;2在步骤4中,DUTl和DUT2无法正常建立ISISv6 level2邻接关系判定原则z应符合预期结果要求,否则为不合格测试编号:30测试项目:ISISv6协议区域中的明文验证测试目的;检验DUT实现ISISv6协议区域明文验证测试配置:测试环境3测试过程:1按测试环境连接设备;2在D
40、UTl和DUT2上启用IS-ISv6路由协议,并分别配置区域明文验证,在接口A和B间建立level一1邻接关系:3在DUTl和DUT2上配置相同的密码;4在DUTl和DUT2上配置不同的密码预期结果:1在步骤3中,DUTl和DUT2可以正常建立ISISv6level1邻接关系:2在步骤4中,DUTl和DUT2无法正常建立ISISv6 levelI邻接关系判定原则:应符合预期结果要求,否则为不合格18YD厅2043-2009测试编号:3l测试项目:IS。ISv6协议区域中的MD5密文验证测试目的:检验DUT实现IS-ISv6协议区域MD5密文验证测试配置:测试环境3测试过程:1按测试环境连接设备
41、;2在DUTl和DUT2上启用ISISv6路由协议,并分别配置区域MD5密文验证,在接口A和B间建立level1邻接关系:3在DUTl和DUT2上配置相同的密码;4在DUTl和DUT2上配置不同的密码预期结果:1在步骤3中,DUTl和DUT2可以正常建立ISISv6 level-1邻接关系;2在步骤4中,DUTl和DUT2无法正常建立ISISv6 level1邻接关系判定原则:应符合预期结果要求,否则为不合格测试编号:32测试项目;ISISv6协议区域问的明文验证测试目的:检验DUT实现ISISv6协议区域间明文验证测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTI和DUT2上启
42、用ISISv6路由协议,DUTl属于level1,DUIR属于level2,并分别配置区域问明文验证,在接口A和B间建立level12邻接关系;3在DUTl和DUT2上配置相同的密码;4在DUTl和DUT2上配置不同的密码预期结果:1在步骤3中,DUTl和DUT2可以正常建立ISISv6 level-l2邻接关系;2在步骤4中,DUTl和DUT2无法正常建立ISISv6 level-l2邻接关系判定原则:应符合预期结果要求,否则为不合格19YDT 204争电009测试编号:33测试项目:ISISv6协议区域间的明文验证测试目的:检验DUT实现ISISv6协议区域间MD5密文验证测试配置:测试环
43、境3测试过程:1按测试环境连接设备;2在DUTI和DUT2上启用IS-ISv6路由协议,DUTI属于level-I,DUT2属于level-2,并分别配置区域间MD5密文验证,在接口A和B间建立level-I2邻接关系;3在DUTI和DIFF2上配置相同的密码;4在DUTl和DI兀2上配置不同的密码预期结果:I在步骤3中,DUTI和DUT2可以正常建立IS-ISv6level-I2邻接关系;2在步骤4中,DUTI和DUT2无法正常建立IS-ISv6 level-I2邻接关系判定原则。应符合预期结果要求,否则为不合格614 BGP4+路由协议安全测试测试编号:34测试项目:IBGP的MD5密文验
44、证测试目的:检验DUT实现IBGP协议的MD5密文验证功能测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTI和DUT2上启用BGPv4+路由协议,在接口A和B间建立邻接关系,且属于同一个AS,并分别配置MD5密文验证;3在DUTI和DLrr2上配置相同的密码:4在DUTl和D町T2上配置不同的密码预期结果:1在步骤3中,DUTI和DUT2可以正常建立BGP4+邻接关系:2在步骤4中,DUTI和DUT2无法正常建立BGP4+邻接关系判定原则:应符合预期结果要求,否则为不合格20测试编号:35测试项目:EBGP的MD5密文验证测试目的:检验DUT实现EBGP协议的MD5密文验证功能测
45、试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTl和DLrr2上启用BGPv4+路由协议,在接口A和B间建立邻接关系,且属于不同的AS,并分别配置MD5密文验证;3在DUTI和DUT2上配置相同的密码;4在DUTl和DUr2上配置不同的密码预期结果:1在步骤3中,DUTI和DUT2可以正常建立BGP4+邻接关系;2在步骤4中,DLrrl和DLrr2无法正常建立BGP4+邻接关系判定原则:应符合预期结果要求,否则为不合格62 TCPIP协议安全测试621 IPv6协议安全测试测试编号:36测试项目:过滤带有Type0路由头选项的IPv6报文测试目的:检验DUT可以过滤带有Type0路由头选项的IPv6报文测试配置:测试环境1测试过程:1按测试环境连接设备;2在从仪表A接口向DUT接口发送带有耐pc0路由头选项的IPv6报文预期结果:在步骤2中,DUT过滤发送的带有Type0路由头选项的报文判定原则:应符合预期结果要求,否则为不合格21YDll204争_2009测试编号:37测试项目:过滤包长小于1280字节,非最后一个分