1、ICS 3304040M 32 Y口中华人民共和国通信行业标准YDFF 2044-2009IPv6网络设备安全测试方法边缘路由器Security test methods for I Pv6 network equipments-edge router2009-12-11发布 20lO-Ol-Ol实施中华人民共和国工业和信息化部发布前1234567目 次言范围规范性引用文件缩略语测试环境数据转发平面安全测试51概j苤一52 IPSec协议测试53常见网络攻击抵抗能力测试一54 URPF功能测试一55访问控制列表(ACL)测试一56流量控制功能测试路由,控制平面安全测试61概j盎62路由协议安全
2、测试63 TCPIP协议安全测试”64 MPLS VPN安全测试”65路由过滤功能测试管理平面安全测试71概述72端口镜像73访问控制安全测试74 SNMPv3功能测试75安全审计功能测试YDl2044-2009mqqq心qqq叫叼峭坫他墙掩M笱卯卯船弛箝|一一|一一一一|一|刖 舌YDT 2044-2009本标准是“路由器设备安全”系列标准之一,本系列的标准结构和名称预计如下:1YDtT 13582005路由器设备安全技术要求中低端路由器(基于IPv4)2YDT 13592005路由器设备安全技术要求高端路由器(基于IPv4)3YDtT 1439-2005路由器设备安全测试方法高端路由器(基
3、于IPv4)4YDT 1440-2005路由器设备安全测试方法中低端路由器(基于IPv4)5YDT 19072009 IPv6网络设备安全技术要求边缘路由器6YDT 19062009 IPv6网络设备安全技术要求核心路由器7YDT 2044-2009 IPv6网络设备安全测试方法边缘路由器8YI)T 2045-2009 IPv6网络设备安全测试方法一核心路由器本标准需与YDT 19072009(IPv6网络设备安全技术要求边缘路由器配套使用。与本系列标准相关的标准还有“支持1Pv6的路由器设备”系列标准,该系列的标准结构和名称如下:1YDT 1452-2006 IPv6网络设备技术要求支持IP
4、v6的边缘路由器2YD厂r 14532006 IPv6网络设备测试方法支持IPv6的边缘路由器3YDT 14542006 IPv6网络设备技术要求支持IPv6的核心路由器4YDFr 14552006 IPv6网络设备测试方法支持IPv6的核心路由器本标准由中国通信标准化协会提出并归口。本标准主要起草单位:工业和信息化部电信研究院。本标准主要起草人:赵锋、马军锋、高巍、马科。IIIPv6网络设备安全测试方法边缘路由器YD1204420091范围本标准规定了基于IPv6的边缘路由器涉及网络及信息安全方面的测试内容,包括数据转发平面安全测试、路由,控制平面安全测试和管理平面安全测试。本标准适用于基于
5、IPv6的边缘路由器设备。本标准中所有对路由器的安全规定均特指对支持IPv6的边缘路由器的规定。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YDT 13582005 路由器设备安全技术要求中低端路由器(基于IPv4)YDT 1467-2006 IP安全协议(IPSee)测试方法3缩略语下列缩略语适用于本标准。ACL Access Control List 访问控制列表BG
6、P Border Gateway Protocol 边界网关协议CAR Commit Access Rate 承诺接入速率CE Customer Edge 用户边界设备DUT Device Under Test 被测设备ICMPv6 Intemet Control Message Protocol Version 6 网络控制报文协议版本6IPv6 Internet Protocol Version 6 互联网协议版本6IPSec IP Security IP安全协议ISIS Intermediate SystemtoIntermediate SystemProtocol 中间系统到中间系统协
7、议MPLS MultiProtocol Label SwiSh 多协议标记交换OSPF Open Shortest Path First 开放最短路径优先协议PE Provider Edge 网络边界设备RIPng Route Information Protocol next generation 下一代路由信息协议SSH Secure Shell 安全外壳TCP Transmission Control Protocol 传输控制协议UDP User Datagram Protocol 用户数据报协议URPF Unicast Reverse Path Forwarding 单播逆向路径转发
8、VPNnualPrivateNetwork4测试环境测试环境1如图l所示测试环境2如图2所示图1测试环境虚拟专用网测试环境3如图3所示测试环境4如图4所示图2测试环境2固-圆圈3测试环境3图4测试环境4胃YD厂r2044-2009圜日女mb#垦售属埔L售蚕卜一YDT 2044-200953常见网络攻击抵抗能力测试测试编号:1测试项目:抗大流量攻击能力测试测试目的:检验DUT处理大流量数据的能力测试配置:测试环境1测试过程:1按测试环境连接设备:2从测试仪表端口A向测试仪表端口B以接口吞吐量发送数据包;3DUT开启OSPFv3动态路由协议,从测试仪表端口A向DUT建立OSPF邻居关系;4停止步骤
9、2中数据包的发送;5从测试仪表端口A向DUT的环回地址以线速发送数据包;6从测试仪表端口A向DUT建立协议邻居关系预期结果:在步骤3和6中,测试仪表与DUT间应能正常建立协议邻居关系,不受端口上流量的影响判定原则:应符合预期结果要求,否则为不合格测试编号:2测试项目:畸形包处理能力测试测试目的:检验DUT处理畸形数据包的能力测试配置:测试环境1测试过程:1按测试环境连接设备;2从测试仪表端口A向测试仪表端口B发送小于接口吞吐量的背景流量;3由仪表端口A向仪表端口B发送链路层错误(如以太网的FCS错误帧)报文;4停止步骤3中报文的发送,由仪表端口A向仪表端口B发送长度小于64字节(以太网链路)的
10、超短帧(Runt):5停止步骤4中报文的发送,由仪表端口A向仪表端口B发送长度大于链路MTU的超长帧;6停止步骤5中报文的发送,在DUT上启用OSPFv3路由协议,并由仪表端口A与DUT建立OSPF邻居关系,由仪表端口A向DUT发送错误的OSPFUpdate(如带有错误RouterID)报文预期结果:1在步骤3中,错误帧应被丢弃,并在错误日志中有相应记录;2在步骤4中,超短帧应被丢弃,并提供统计数据;3在步骤5中,超长帧应被丢弃,并提供统计数据;4在步骤6中,应不接收错误的Update报文判定原则:应符合预期结果要求,否则为不合格4YD厂r 2044-2009测试编号:3测试项目:Ping F
11、lood攻击处理能力测试测试目的:检验DUT处理HngFlood攻击的能力测试配置:测试环境2测试过程:1按测试环境连接设备;2仪表端口B与DUT建立OSPF邻居关系,并向DUT通告到网络2的路由;3从测试仪表端口A向网络2中的某个IPv6地址以小于端口吞吐量的流量发送背景流量,并验证仪表端口B上流量能够正常接收:4从测试仪表端口C向DUT环回地址以端口吞吐量发送ICMPECHORequest数据包;5停止步骤4中流量的发送,从测试仪表端口C向网络2中的某个m地址以端口吞吐量发送ICMPECHO Request数据包预期结果:1在步骤4中,DUT应对超量ICMP报文进行丢弃或限速;2在步骤5中
12、,DUT应对超量ICMP报文进行丢弃或限速判定原则;应符合预期结果要求,否则为不合格测试编号:4测试项目:TCP标记Flood攻击防护功能测试测试目的:检验DUT处理TCP标记Flood攻击的能力测试配置:测试环境2测试步骤:1按测试环境连接设备;2仪表端口A和B分别与DUT的1、2端口启用路由协议,并向DUT通告到网络1和网络2的路由;3从仪表端口A向网络2中的某个P地址以小于端口吞吐量的流量发送背景流量,并验证仪表端口B能够正常接收:4从仪表端口C向DUT环回地址以线速发送TCP标记攻击数据包及分片包(类型包括SYN、ACK、CWR、ECE、FIN、URG Flood):5停止步骤4中流量
13、的发送,从仪表端口C向DUT环回地址以线速发送TCP标记攻击数据包及分片包(类型为Erroneous Flags Flood);6停止步骤5中流量的发送,从仪表端口B向DUT端口2的链路本地地址以端口吞吐量发送TCP标记攻击数据包及分片包(类型同步骤4),源地址为网络2中的某个妒地址预期结果:在步骤4、5、6中,攻击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:应符合预期结果要求,否则为不合格5YD厂r 2044-_2009测试编号:5测试项目:TCP状态Flood防护功能测试测试目的:检验DUT处理TCP状态Flood攻击的能力测试配置:测试环境2测试步骤:1按测试
14、环境连接设备;2仪表端口A和B分别与DUT的1、2端口启用路由协议,并向DUT通告到网络1和网络2的路由;3从仪表端口A向网络2中的某个口地址以小于端口吞吐量的流量发送背景流量,并验证仪表端口B能够正常接收:4从仪表端口C向DUT环回地址以线速发送TCP状态攻击数据包及分片包(类型StateFlood);5停止步骤4中流量的发送,从仪表端口c向DUT环回地址以端口吞吐量发送TCP状态攻击数据包及分片包(Hood类型包括SYN+ACK、SYN+FIN、SYN+RST、FIN+ACK、PSH+ACK等);6停止步骤5中流量的发送,从仪表端口B向DUT端口2的链路本地地址以端口吞吐量发送TCP状态攻
15、击数据包及分片包(类型同步骤5),源地址为网络2中的某个IP地址预期结果:在步骤4、5、6中,攻击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:应完全符合预期结果,否则为不合格测试编号:6测试项目:UDP Flood攻击防护功能测试测试目的:检验DUT处理UDPFlood攻击的能力测试配置:测试环境2测试步骤:1按测试环境连接设备;2仪表端口A和B分别与DUT的1、2端口启用路由协议,并向DUT通告到网络1和网络2的路由;3从仪表端口A向网络2中的某个地址以小于端口吞吐量的流量发送背景流量,并验证仪表端口B能够正常接收;4从仪表端口C向DUT环回地址以线速发送UDPF
16、lood攻击数据包及分片包(类型包括Echo、Chargen等):5停止步骤4中流量的发送,从仪表端口B向DUT端口2的链路本地地址以端口吞吐量发送UDPFlood攻击数据包及分片包(类型同步骤4),源地址为网络2中的某个m地址预期结果:在步骤4、5中,攻击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:应完全符合预期结果,否则为不合格654 URPF功能测试YD厂r 20442009测试编号:7测试项目:严格URPF功能测试测试目的:检验DUT能否实现严格URPF功能测试配置:测试环境2测试过程:1按测试环境连接设备;2仪表端口A和B分别与DUT建立OSPF邻居关系,
17、并向DUT通告到网络1和网络2的路由,并发送流量验证路由的有效性,在DUT上为一特定地址段配置到测试仪表端口C的静态路由;3在DUT上启用严格URPF;4从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址;5停止步骤4中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址处于步骤2中配置的特定地址段中;6停止步骤5中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为在路由器路由表中不存在到该地址的路由预期结果:1在步骤4中,仪表端口B应可以收到测试数据包;2在步骤5和6中,仪表端口B不能收到测试数据包判定原则:应符合预期结果要求,否则为不合格测试编号:8测
18、试项目:松散URPF功能测试测试目的:检验DUT能否实现松散URPF功能测试配置:测试环境2测试过程:1按测试环境连接设备;2仪表端口A和B分别与DUT建立OSPF邻居关系,并向DlYr通告到网络1和网络2的路由,并发送流量验证路由的有效性,在DUT上为一特定地址段配置到测试仪表端口C的静态路由;3。在DUT上启用松散URPF;4从仪表端口A向仪表端El B发送数据包,数据包源地址为网络1中的地址;5停止步骤4中数据流的发送,从仪表端口A向仪表端口B发送数据包数据包源地址处于步骤2中配置的特定地址段中:6停止步骤5中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为在路由器路由表
19、中不存在到该地址的路由预期结果:1在步骤4和5中,仪表端口B应可以收到测试数据包;2在步骤6中,仪表端口B不能收到测试数据包判定原则:应符合预期结果要求,否则为不合格7Yo兀2044-2009测试编号:9测试项目:基于ACL的URPF功能测试测试目的:检验DUT能否实现基于ACL的URPF功能测试配置:测试环境2测试过程:1按测试环境连接设备;2仪表端口A和B分别与DUT建立OSPF邻居关系,并向DUT通告到网络1和网络2的路由,并发送流量验证路由的有效性,在DUT上为一特定地址段配置到测试仪表端口C的静态路由;3在DUT上启用基于ACL的URPF,并配置ACL条目拒绝来自步骤2中配置的特定地
20、址段中某个地址的数据包;4从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址:5停止步骤4中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为步骤2中配置的特定地址段中不同于步骤3中所配置地址的一个地址;6停止步骤5中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为步骤3中配置的地址;7停止步骤6中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为在路由器路由表中不存在到该地址的路由预期结果:1在步骤4和5中,仪表端口B应可以收到测试数据包;2在步骤6和7中,仪表端口B不能收到测试数据包判定原则:应符合预期结果要求,否则为不合格55访问
21、控制列表(ACL)测试测试编号:10测试项目:基于源地址的ACL测试测试目的:检验DUT是否实现基于源地址的ACL测试配置:测试环境1测试过程:1按测试环境连接设备;2在DUT上配置基于源地址的ACL(拒绝)条目;3从仪表端口A向仪表端口B发送符合过滤条件的IPv6包;4从仪表端口A向仪表端口B发送不符合过滤条件的Pv6包预期结果:1在步骤3中,仪表端口B没有收到数据包;2在步骤4中,仪表端口B可以收到数据包判定原则:应符合预期结果要求,否则为不合格8YD厂r 20442009测试编号:11测试项目:基于目的地址的ACL测试测试目的:检验DUT是否实现基于目的地址的ACL测试配置:测试环境1测
22、试过程:1按测试环境连接设备;2在DUT上配置基于目的地址的ACL(拒绝)条目;3从仪表端口A向仪表端口B发送符合过滤条件的IPv6包;4从仪表端口A向仪表端口B发送不符合过滤条件的IPv6包预期结果:1在步骤3中,仪表端口B没有收到数据包:2在步骤4中。仪表端口B可以收到数据包判定原则:应符合预期结果要求,否则为不合格测试编号:12测试项目:基于协议的ACL测试测试目的:检验DUT是否实现基于协议地址的ACL测试配置:测试环境1测试过程:1按测试环境连接设备;2在DUT上配置基于协议类型的ACL(拒绝)条目;3从仪表端口A向仪表端口B发送符合过滤条件的IPv6包;4从仪表端口A向仪表端口B发
23、送不符合过滤条件的IPv6包预期结果:1在步骤3中,仪表端口B没有收到数据包;2在步骤4中,仪表端口B可以收到数据包判定原则:应符合预期结果要求,否则为不合格9YD厂r 20442009测试编号:13测试项目:基于源端口的ACL测试测试目的:检验DUT是否实现基于源端口的ACL测试配置:测试环境1测试过程:1按测试环境连接设备:2在DUT上配置基于源端口的ACL(拒绝)条目:3从仪表端口A向仪表端口B发送符合过滤条件的IPv6包;4从仪表端口A向仪表端口B发送不符合过滤条件的IPv6包预期结果:1在步骤3中,仪表端口B没有收到数据包:2在步骤4中,仪表端口B可以收到数据包判定原则:应符合预期结
24、果要求,否则为不合格测试编号:14测试项目:基于目的端口的ACL测试测试目的:检验DUT是否实现基于目的端口的ACL测试配置:测试环境1测试过程;1按测试环境连接设备;2在DUT上配置基于目的端口的ACL(拒绝)条目:3从仪表端口A向仪表端口B发送符合过滤条件的IPv6包;4从仪表端口A向仪表端口B发送不符合过滤条件的IPv6包预期结果:1在步骤3中,仪表端13 B没有收到数据包;2在步骤4中,仪表端口B可以收到数据包判定原则:应符合预期结果要求,否则为不合格10YD厂r 2044-2009测试编号:15测试项目:基于五元组的ACL测试测试目的:检验DUT是否实现基于五元组(源地址、目的地址、
25、源端口、目的端口、协议类型)的ACL测试配置:测试环境1测试过程:1按测试环境连接设备;2在DUT上配置基于五元组的ACL(拒绝)条目;3从仪表端口A向仪表端口B发送符合过滤条件的IPv6包:4从仪表端口A向仪表端口B发送不符合过滤条件的IPv6包预期结果:I在步骤3中,仪表端口B没有收到数据包;2在步骤4中,仪表端口B可以收到数据包判定原则:应符合预期结果要求,否则为不合格测试编号:16测试项目:基于源MAC地址的ACL测试(可选)测试目的:检验DUT是否实现基于源MAC地址的ACL测试配置:测试环境1测试过程:1按测试环境连接设备;2在DUT上配置基于源MAC地址的ACL条目,拒绝源MAC
26、地址非特定地址的数据包;3从仪表端口A向仪表端口B发送IPv6包,源MAC地址不是DUT配置的特定MAC地址;4从仪表端口A向仪表端口B发送IPv6包,源MAC地址是DlYr配置的特定MAC地址预期结果:1步骤3中,仪表端口B没有收到数据包;2步骤4中,仪表端口B可以收到数据包判定原则:应符合预期结果要求,否则为不合格YD厂r 2044_-2009测试编号:17测试项目:基于6包头中流量类型域的ACL测试(可选)测试目的:检验DUT是否实现基于IPv6包头中流量类型域的ACL测试配置;测试环境1测试过程:1按测试环境连接设备;2在DUT上配置基于IPv6包头中流量类型域的ACL条目,拒绝某种流
27、量类型的数据包;3从仪表端口A向仪表端口B发送IPv6包,流量类型不是DUT配置的流量类型;4从仪表端口A向仪表端口B发送IPv6包,流量类型是DUT配置的流量类型预期结果:1步骤3中,仪表端口B没有收到数据包;2步骤4中,仪表端口B可以收到数据包判定原则:应符合预期结果要求,否则为不合格测试编号:18测试项目:基于IPv6包头中流标签域的ACL测试(可选)测试目的:检验DUT是否实现基于IPv6包头中流标签域的ACL测试配置:测试环境1测试过程:1按测试环境连接设备;2在DUT上配置基于IPv6包头中流量类型域的ACL条目,拒绝带有某种流标签的数据包;3从仪表端口A向仪表端口B发送IPv6包
28、,流标签不是DUT配置的流标签;4从仪表端口A向仪表端口B发送IPv6包,流标签是DUT配置的流标签预期结果:1步骤3中,仪表端口B没有收到数据包;2步骤4中,仪表端口B可以收到数据包判定原则:应符合预期结果要求,否则为不合格12、D疆2044-2009测试编号:19测试项目:全局ACL测试(可选)测试目的:检验DUT是否实现全局ACL测试配置:测试环境1测试过程:1按测试环境连接设备:2在DUT接口上配置全局ACL(拒绝)条目;3从仪表端口A向仪表端口B发送符合过滤条件的mv6包;4从仪表端口B向仪表端口A发送符合过滤条件的IPv6包预期结果:在步骤3和4中,仪表端口B和A都没有收到数据包判
29、定原则:应符合预期结果要求,否则为不合格测试编号:20测试项目:接口ACL测试测试目的:检验DOT是否实现接口ACL测试配置:测试环境1测试过程:1按测试环境连接设备;2在DUT接口1上配置ACL(拒绝)条目;3从仪表端口A向仪表端口B发送符合过滤条件的IPv6包;4从仪表端口B向仪表端口A发送符合过滤条件的IPv6包预期结果:1在步骤3中,仪表端口B没有收到数据包:2在步骤4中,仪表端口A可以收到数据包判定原则:应符合预期结果要求,否则为不合格YD厂r 2044-2009测试编号:2l测试项目:指定时间段的ACL测试(可选)测试目的:检验DUT是否实现指定时间段的ACL测试配置:测试环境1测
30、试过程:1按测试环境连接设备;2在DUT接口1上配置基于特定时间段的ACL(拒绝)条目,当前时间包含在该时间段内3从仪表端口A向仪表端口B发送符合过滤条件的IPv6包:4在DUT接口1上配置基于特定时间段的ACL(拒绝)条目,当前时间不包含在该时间段内;5从仪表端口B向仪表端口A发送符合过滤条件的IPv6包预期结果:1在步骤3中,仪表端口B没有收到数据包;2在步骤5中,仪表端口A可以收到数据包判定原则:应符合预期结果要求,否则为不合格测试编号:22测试项目:报文匹配情况的统计及日志功能测试(可选)测试目的:检验DUT是否实现对报文匹配情况的统计及日志功能测试配置;测试环境1测试过程:1按测试环
31、境连接设备;2在DUT接口1上配置ACL(拒绝)条目;3从仪表端口A向仪表端口B发送符合过滤条件的IPv6包预期结果:1在步骤3中,仪表端口B没有收到数据包;2在步骤3中,路由器应能查询到报文匹配的统计数据,同时应将该数据记入日志判定原则:应符合预期结果要求,否则为不合格14YDT 2044-2009测试编号:23测试项目:配置ACL情况下的性能测试测试目的:检验DUT在配置ACL情况下的性能测试配置:测试环境2测试过程:1按测试环境连接设备;2仪表端口A和B分别与DUT建立OSPF邻居关系,并通告到网络1和网络2的路由;3在DUT接口1上配置2000条相互无关联的ACL(拒绝)条目;4从仪表
32、端口A向仪表端口B发送不符合过滤条件的IPv6包,数据包源地址为网络1中的疋地址(变化),进行性能测试预期结果:配置ACL后应不会对DUT转发的吞吐量和时延造成严重影响判定原则:应符合预期结果要求,否则为不合格56流量控制功能测试测试编号:24测试项目:流量限速(CAR)功能测试测试目的:检验DUT的流量限速功能测试配置:测试环境1测试过程:1按测试环境连接设备;2在DUT上为接口1配置流量限速,限制速率为肘,M小于l接口速率;3由仪表接口A向仪表接口B以接口速率发送1000条口数据流预期结果:在步骤3中,仪表端口B可以收到数据流,数据流速率为jlf(误差小于10)判定原则:应符合预期结果要求
33、,否则为不合格YDT 2044-2009测试编号:25测试项目:流分类功能测试(基于IP五元组的流分类)测试目的:检验DUT基于IPv6五元组(源IPv6地址、目的IPv6地址、协议类型、源端口号、目的端口号)进行流分类的功能测试配置:测试环境1测试过程:1按测试环境连接设备;2在DUT上分别为口五元组配置流分类策略,并对命中的数据流采用流量限制,限制速率为M,M小于接口速率;3仪表接口A向仪表接口B以接口速率发送1000条符合分类策略的数据流;4停止步骤3中数据流的发送,从仪表接口A向仪表接口B以接口速率发送不符合分类策略的数据流预期结果:1步骤3中,仪表端口B可以收到数据流,数据流速率为j
34、lf(误差小于10):2步骤4中,仪表端口B可以收到数据流,数据流速率为接口速率判定原则:应符合预期结果要求,否则为不合格测试编号:26测试项目:流分类功能测试(基于IPv6包头的流标签域)(可选)测试目的:检验DUT基于IPv6包头的流标签域进行流分类的功能测试配置:测试环境1测试过程:1按测试环境连接设备;2在DUT上为IPv6包头的流标签域配置流分类策略,并对命中的数据流采用流量限制,限制速率为肘,M小于接口速率;3仪表接口A向仪表接口B以接口速率发送1000条符合分类策略的数据流:4停止步骤3中数据流的发送,从仪表接121 A向仪表接121 B以接口速率发送不符合分类策略的数据流预期结
35、果:1步骤3中,仪表端口B可以收到数据流,数据流速率为M(误差小于10);2步骤4中,仪表端口B可以收到数据流,数据流速率为接口速率判定原则:应符合预期结果要求,否则为不合格16YDT 2044-2009测试编号:27测试项目:流分类功能测试(基于源MAC地址)(可选)测试目的:检验DUT基于源MAC地址进行流分类的功能测试配置:测试环境l测试过程:1按测试环境连接设备:2在DUT上配置基于源MAC地址的流分类策略,并对命中的数据流采用流量限制,限制速率为M,】lf小于接口速率;3仪表接口A向仪表接口B以接口速率1000条发送符合分类策略的数据流;4停止步骤3中数据流的发送,从仪表接口A向仪表
36、接口B以接口速率发送不符合分类策略的数据流预期结果:4步骤3中,仪表端口B可以收到数据流,数据流速率为肘(误差小于10);5步骤4中,仪表端口B可以收到数据流,数据流速率为接口速率判定原则:应符合预期结果要求,否则为不合格测试编号:28测试项目:流量整形功能测试测试目的:检验DUT的流量整形功能测试配置:测试环境l测试过程:I按测试环境连接设备;2在DUT上为接口2配置流量整形,限制速率为f,Ilf小于2接口速率:3由仪表接口A向仪表接口B以接口速率发送1000条P数据流预期结果:在步骤3中,仪表端口B可以收到数据流,数据流速率为】lf(误差小于10)判定原则:应符合预期结果要求,否则为不合格
37、17YD厂r 2044_20096路由控制平面安全测试61概述边缘路由器路由,控制平面的安全测试主要包括路由协议的安全测试、TCPIP协议安全测试、VPN安全测试和路由过滤功能测试。62路由协议安全测试测试编号:29测试项目:RIPng报文的MD5加密验证测试目的:检验DI rT能否实现RIPng邻居间链路的MD5加密验证功能测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTl和DUT2上启用RIPag协议;3在路由器1、2上配置基于IPv6AH头的MD5密文认证,密码不同;4在路由器1、2上配置基于IPv6AH头的MD5密文认证,密码相同预期结果:1在步骤3中,DUTl和DUT2
38、无法正常建立RIPng邻居关系;2在步骤4中,DUTl和DUT2可以正常建立RIPng邻居关系。判定原则:应符合预期结果要求,否则为不合格622 OSPFv3路由协议安全测试测试编号:30测试项目:OSPFv3报文的MD5加密验证测试目的:检验DUT能否实现OSPFv3邻居问的MD5密文验证功能测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTl和DUT2上启用OSPFv3协议;3在路由器l、2上配置基于IPv6AH头的MD5密文认证,密码不同:4在路由器1、2上配置基于IPv6AH头的MD5密文认证,密码相同预期结果:1在步骤3中,DUTl和DUT2无法正常建立OSPFv3邻居关
39、系;2在步骤4中,DUTl和DUT2可以正常建立OSPFv3邻居关系判定原则:应符合预期结果要求,否则为不合格623 BGP4+路由协议安全测试、Dn 2044-2009测试编号:31测试项目:BGP4+报文的MD5密文验证测试目的:检验DUT能否实现BGP4+协议的MD5加密验证功能测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTl和DUT2上启用BGPv4+路由协议,在接口A和B间建立邻接关系,且属于同一个As,并分别配置MD5密文验证:3在DUTl和DOT2上配置不同的密码;4在DUTl和DUT2上配置相同的密码预期结果:1在步骤3中,DUTl和DUT2无法正常建立BGP邻
40、接关系:2在步骤4中,DUTl和DUT2可以正常建立BGP邻接关系判定原则:应符合预期结果要求,否则为不合格624 ISISv6路由协议安全测试测试编号:32测试项目:ISISv6协议接口level1的明文验证测试目的:检验DUT能否实现ISISv6协议接口level1的明文验证测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTl和DUT2上启用IS-ISv6路由协议,在接口A和B问建立level1邻接关系,并分别配置明文验证;3在DUTl和DUT2上配置相同的密码;4在DUTI和DUT2上配置不同的密码预期结果:1在步骤3中,DUTI和DUT2可以正常建立ISISv6level1
41、邻接关系;2在步骤4中,DUTl和DUT2无法正常建立ISISv6 level1邻接关系判定原则:应符合预期结果要求,否则为不合格19YD厂r 2044-2009测试编号:33测试项目:ISISv6协议接口level1的MD5密文验证测试目的:检验DUT能否实现IS-ISv6协议接口level1的MD5密文验证测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTl和DUT2上启用ISISv6路由协议,在接口A和B间建立level1邻接关系,并分别配置MD5密文验证;3在DUTl和DUT2上配置相同的密码;4在DUTl和DuT2上配置不同的密码预期结果:1在步骤3中,DUTl和DUT2
42、可以正常建立ISISv6 level1邻接关系:2在步骤4中,DUTl和DUT2无法正常建立ISISv6 level1邻接关系判定原则:应符合预期结果要求,否则为不合格测试编号:34测试项目:ISISv6协议接口level2的明文验证测试目的:检验DUT能否实现IS-ISv6协议接口level2的明文验证测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTl和DUT2上启用IS-ISv6路由协议,在接口A和B间建立level2邻接关系,并分别配置明文验证;3在DUTl和DUT2上配置相同的密码;4在DUTl和DUT2上配置不同的密码预期结果:1在步骤3中,DUTl和DUT2可以正常建
43、立ISISv6level2邻接关系:2在步骤4中,DUTl和DUT2无法正常建立ISISv6 level2邻接关系判定原则:应符合预期结果要求,否则为不合格YD厂r 20442009测试编号;35测试项目:ISISv6协议接口level2的MD5密文验证测试目的:检验DUT能否实现ISISv6协议接口level2的MD5密文验证测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTl和DUT2上启用IS-ISv6路由协议,在接口A和B间建立level2邻接关系,并分别配置MD5密文验证;3在DUTl和DUT2上配置相同的密码;4在DUTl和DUT2上配置不同的密码预期结果:1在步骤3中
44、,DUTl和DUT2可以正常建立ISISv6level2邻接关系;2在步骤4中,DUTI和DUT2无法正常建立ISISv6 level2邻接关系判定原则:应符合预期结果要求,否则为不合格测试编号;36测试项目:ISISv6协议区域内的明文验证测试目的:检验DUT能否实现ISISv6协议区域内明文验证测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTI和DUT2上启用IS-ISv6路由协议,并分别配置区域明文验证,在接口A和B间建立level1邻接关系;3从DUTl向DUT2通告带明文认证的路由信息;4从DUTl向DUT2通告不带明文认证的路由信息预期结果:1在步骤3中,DUT2能够
45、学习到路由信息:2在步骤4中,DUT2不能够学习到路由信息判定原则:应符合预期结果要求,否则为不合格21YDT 20442009测试编号:37测试项目:ISISv6协议区域中的MD5密文验证测试目的:检验DUT能否实现ISISv6协议区域MD5密文验证测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTl和DUT2上启用ISISv6路由协议,并分别配置区域MD5密文验证,在接口A和B间建立levelI邻接关系;3从DUTl向DUT2通告带明文认证的路由信息;4从DUTl向DUT2通告不带明文认证的路由信息预期结果;1在步骤3中,DUT2能够学习到路由信息;2在步骤4中,DUT2不能够
46、学习到路由信息判定原则:应符合预期结果要求,否则为不合格测试编号:38测试项目:IS-ISv6协议区域间的明文验证测试目的:检验DUT能否实现ISISv6协议区域间明文验证测试配置:测试环境3测试过程:1按测试环境连接设备;2在DUTI和DUT2上启用ISISv6路由协议,DUTl属于level1,DUT2属于level2,并分别配置区域间明文验证,在接口A和B间建立level12邻接关系;3从DUTl向DUT2通告带明文认证的路由信息:4从DUTl向DUT2通告不带明文认证的路由信息预期结果:1在步骤3中,DUT2能够学习到路由信息;2在步骤4中,DUT2不能够学习到路由信息判定原则:应符合预期结果要求,否则为不合格、D飘2044-2009测试编号:39测试项目:ISISv6协议区域间的明文验证测试目的:检验DUT能否实现ISISv6协议区域问MD5密文验证测试配置:测试环境3测试过程:1按测试环境连接设备:2在DUTl和DUT2上启用IS-ISv6路由协议,DUTl属于level-I。DUT2属于level2,井分别配置区域间MD5密文验证,在接口A和B间建立l