YD T 2045-2009 IPv6网络设备安全测试方法-核心路由器.pdf

1、ICS 3304040M 32 Y口中华人民共和国通信行业标准I Pv6网络设备安全测试方法核心路由器Security test methods of IPv6 network equipments-core router2009-12-11发布 2010-Ol-Ol实施中华人民共和国工业和信息化部发布前1234567目 次YDr 2045-2009言“范I蜀规范性引用文件缩略语测试环境数据转发平面安全测试51概述52 IPSec协议测试53常见网络攻击抵抗能力测试54 URPF功能测试55访问控制列表(ACL)测试56流量控制功能测试“路由，控制平面安全测试”61概述”62路由协议安全测试-

2、63 TCPIP协议安全测试64 MPL$VPN安全测试“65路由过滤功能测试管理平面安全测试“7I概述“72端口镜像“73访问控制安全测试”74 SNMPv3功能测试75安全审计功能测试“1q吧0吗0噜c、唱巧抖西均狰砷玢弭=薯=黑焉焉篙篇篡=一|月|J 菁YD厂r 2045-2009本标准是路由器设备安全系列标准之一，本系列的标准结构和名称预计如下：1YDT 13582005路由器设备安全技术要求中低端路由器(基于IPv4)2YDT 13592005路由器设备安全技术要求高端路由器(基于IPv4)3YDT 1439-2005路由器设备安全测试方法高端路由器(基于IPv4)4YDFr 144

3、02005路由器设备安全测试方法中低端路由器(基于IPv4)5YDT 19072009 IPv6网络设备安全技术要求边缘路由器6YDT 19062009 IPv6网络设备安全技术要求核心路由器7YDT 20442009 IPv6网络设备安全测试方法一边缘路由器8YDT 20452009 IPv6网络设备安全测试方法一核心路由器本标准需与YDT 19062009口v6网络设备安全技术要求核心路由器配套使用。与本系列标准相关的标准还有“支持IPv6的路由器设备”系列标准，该系列的标准结构和名称如下IYDT 14522006 IPv6网络设备技术要求支持g：v6的边缘路由器2YDT 1453-200

4、6 IPv6网络设备测试方法支持IPv6的边缘路由器3YD厂r 14542006 IPv6网络设备技术要求支持IPv6的核心路由器4YDT 14552006 IPv6网络设备测试方法支持IPv6的核心路由器本标准由中国通信标准化协会提出并归口。本标准主要起草单位：工业和信息化部电信研究院。本标准主要起草人：赵锋、马军锋、高巍、马科。Pv6网络设备安全测试方法核心路由器1范围本标准规定了基于mv6的核心路由器涉及网络及信息安全方面的测试内容，包括数据转发平面安全测试、路由，控制平面安全测试和管理平面安全测试。本标准适用于基于v6的核心路由器设备。本标准中所有对路由器的安全规定均特指对支持IPv6

5、的核心路由器的规定。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。YDfr 13582005 路由器设备安全技术要求中低端路由器(基于IPv4)YDT 14672006 IP安全协议(IPSec)测试方法3缩略语下列缩略语适用于本标准。ACL Aces Control List 访问控制列表BGP Border Gateway Protocol 边界网关协议CAR Comm

6、it Access Rate 承诺接入速率CE Customer Edge 用户边界设备DUT Device Under Test 被测设备ICMPv6 Intemet Control Message Protocol Version 6 网络控制报文协议版本6IPv6 Interact Protocol Version 6 互联网协议版本6IPSec IP Security IP安全协议IS-IS Intermediate SystemtoIntermediateSystemProtocol 中间系统到中间系统协议MPLS MultiProtocol Label Switch 多协议标记交换

7、OSPF Open Shortest Path First 开放最短路径优先协议PE Provider Edge 网络边界设备RIPng Route Information Protocol next generation 下一代路由信息协议SSH Secure Shell 安全外壳TCP Transmission Control Protocol 传输控制协议UDP User Datagram Protocol 用户数据报协议URPF Unicast Reverse Path Forwarding 单播逆向路径转发YDFF 2045-2009VPN Vir【ual Private Netwo

8、rk4测试环境测试环境l如图1所示测试环境2如图2所示凰1测试环境虚拟专用网测试环境3如图3所示测试环境4如图4所示酋2测试环境2厨蔼图3测试环境3图4测试环境4测试环境5如图5所示测试环境6如图6所示图5试环境5YDFF 2045-2009目6测试环境6图l至图6中测试仪表与DLFr间均采用同种接口相连。5数据转发平面安全测试51概述核心路由器数据转发平面的安全0试主要包括口sec扔议测试、对常见网络攻击的抵抗能力测试、访问控制列表功能测试等。5 2 IPSec协议测试口sec协议测试内容见YD，r 1467-2006IP安全办议(IPSec)测试方法。58常见网络攻击抵抗能力测试测试编号；

9、1测试项目：抗大流量攻击能力测试测试目的：检验DUT处理大流量数据的能力测试配置：测试环境1测试过程：I按测试环境连接设备；2从测试仪表端口A向测试仪表端口B以接口吞吐量发送数据包：3DUT开启OSPFv3动态路由协议，从测试仪表端13 A向DUT建立OSPF邻居关系；4停止步骤2中数据包的发送；5从测试仪表端口A向DUT的环回地址以线速发送数据包：6从测试仪表端口A向DUT建立协议邻居关系预期结果：在步骤3和6中，测试仪表与DUT间应能正常建立协议邻居关系，不受端口上流量的影响判定原则：应符合预期结果要求，否则为不合格测试编号：2测试项目：畸形包处理能力测试测试目的：检验DUT处理畸形数据包

10、的能力测试配置：测试环境1测试过程：1按测试环境连接设备；2从测试仪表端口A向测试仪表端口B发送小于接口吞吐量的背景流量；3由仪表端口A向仪表端口B发送链路层错误(如以太网的FCS错误帧)报文：4停止步骤3中报文的发送，由仪表端口A向仪表端口B发送长度小于“字节(以太网链路)的超短帧(Runt)；5停止步骤4中报文的发送，由仪表端口A向仪表端口B发送长度大于链路MTU的超长帧；6停止步骤5中报文的发送，在DUT上启用OSPFv3路由协议，并由仪表端口A与DUT建立OSPF邻居关系，由仪表端口A向DUT发送错误的OSPF Update(如带有错误Router ID)报文预期结果：1在步骤3中，错

11、误帧应被丢弃，并在错误日志中有相应记录；2在步骤4中，超短帧应被丢弃，并提供统计数据；3在步骤5中，超长帧应被丢弃，并提供统计数据；4在步骤6中，应不接收错误的Update报文判定原则：应符合预期结果要求，否则为不合格4YD，r 2045吨009测试编号：3测试项目：Ping Flood攻击处理能力测试测试目的：检验DUT处理PingFlood攻击的能力测试配置：测试环境2测试过程：1按测试环境连接设备；2仪表端口B与DUT建立OSPF邻居关系，并向DUT通告到网络2的路由；3从测试仪表端口A向网络2中的某个IPv6地址以小于端口吞吐量的流量发送背景流量，并验证仪表端口B上流量能够正常接收；4

12、从测试仪表端口C向DUT环回地址以端口吞吐量发送ICMPECHORequest数据包：5停止步骤4中流量的发送，从测试仪表端口C向网络2中的某个坤地址以端口吞吐量发送ICMPECHO Request数据包预期结果：1在步骤4中，DUT应对超量ICMP报文进行丢弃或限速；2在步骤5中，DUT应对超量ICMP报文进行丢弃或限速判定原则：应符合预期结果要求，否则为不合格测试编号：4测试项目：TCP标记Flood攻击防护功能测试测试目的：检验DUT处理TCP标记Flood攻击的能力测试配置：测试环境2测试步骤：1按测试环境连接设备；2仪表端口A和B分别与DUT的1、2端口启用路由协议，并向DUT通告到

13、网络1和网络2的路由：3从仪表端口A向网络2中的某个P地址以小于端口吞吐量的流量发送背景流量，并验证仪表端口B能够正常接收；4从仪表端口C向DUT环回地址以线速发送TCP标记攻击数据包及分片包(类型包括SYN、ACK、CWR、ECE、F呵、URG Flood)：5停止步骤4中流量的发送，从仪表端口C向DUT环回地址以线速发送TCP标记攻击数据包及分片包(类型为Erroneous Flags Flood)；6停止步骤5中流量的发送，从仪表端口B向DUT端口2的链路本地地址以端口吞吐量发送TCP标记攻击数据包及分片包(类型同步骤4)，源地址为网络2中的某个口地址预期结果：在步骤4、5、6中，攻击报

14、文应被丢弃或限速，DUT在日志中有相应记录，背景流量不受影响判定原则：应符合预期结果要求，否则为不合格测试编号：5测试项目：TCP状态Flood防护功能测试测试目的：检验DUT处理TCP状态Flood攻击的能力测试配置：测试环境2测试步骤：1按测试环境连接设备；2仪表端口A和B分别与DUT的1、2端口启用路由协议，并向DUT通告到网络1和网络2的路由；3从仪表端口A向网络2中的某个口地址以小于端口吞吐量的流量发送背景流量，并验证仪表端口B能够正常接收；4从仪表端口c向DUT环回地址以线速发送TCP状态攻击数据包及分片包(类型State Flood)；5停止步骤4中流量的发送，从仪表端口C向DU

15、T环回地址以端口吞吐量发送TCP状态攻击数据包及分片包(Flood类型包括SYN+ACK、SYN+FIN、SYN+RST、FIN+ACK、PSH+ACK等)；6停止步骤5中流量的发送，从仪表端口B向DUT端口2的链路本地地址以端口吞吐量发送TCP状态攻击数据包及分片包(类型同步骤5)，源地址为网络2中的某个m地址预期结果：在步骤4、5、6中，攻击报文应被丢弃或限速，DUT在日志中有相应记录，背景流量不受影响判定原则：应完全符合预期结果，否则为不合格测试编号：6测试项目：UDP Flood攻击防护功能测试测试目的：检验DUT处理UDPFlood攻击的能力测试配置，测试环境2测试步骤：1按测试环境

16、连接设备；2仪表端口A和B分别与DUT的1、2端口启用路由协议，并向DUT通告到网络1和网络2的路由；3从仪表端口A向网络2中的某个口地址以小于端口吞吐量的流量发送背景流量，并验证仪表端1：3 B能够正常接收：4从仪表端121 C向DUT环回地址以线速发送UDPFlood攻击数据包及分片包(类型包括Echo、Chargen等)；5停止步骤4中流量的发送，从仪表端口B向DUT端口2的链路本地地址以端口吞吐量发送UDPFlood攻击数据包及分片包(类型同步骤4)，源地址为网络2中的某个p地址预期结果：在步骤4、5中，攻击报文应被丢弃或限速，DUT在日志中有相应记录，背景流量不受影响判定原则：应完全

17、符合预期结果，否则为不合格654 URPF功能测试YD厂r 2045-2009测试编号：7测试项目：严格URPF功能测试测试目的：检验DUT能否实现严格URPF功能测试配置：测试环境2测试过程：1按测试环境连接设备；2仪表端口A和B分别与DUT建立OSPF邻居关系，并向DEFT通告到网络1和网络2的路由，并发送流量验证路由的有效性，在DLIT上为一特定地址段配置到测试仪表端口c的静态路由；3在DuT上启用严格U】女PR4从仪表端口A向仪表端口B发送数据包，数据包源地址为网络l中的地址；5停止步骤4中数据流的发送，从仪表端El A向仪表端口B发送数据包，数据包源地址处于步骤2中配置的特定地址段中

18、：6停止步骤5中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为在路由器路由表中不存在到该地址的路由预期结果：1在步骤4中，仪表端口B应可以收到测试数据包；2在步骤5和6中，仪表端口B不能收到测试数据包判定原则：应符合预期结果要求，否则为不合格测试编号；8测试项目：松散URPF功能测试测试目的：检验DUT能否实现松散URPF功能测试配置：测试环境2测试过程；1按测试环境连接设备；2仪表端口A和B分别与DUT建立OSPF邻居关系，并向DUT通告到网络l和网络2的路由，并发送流量验证路由的有效性，在DLTT上为一特定地址段配置到测试仪表端口C的静态路由：3在DUT上启用松散URPF

19、；4从仪表端口A向仪表端口B发送数据包，数据包源地址为网络l中的地址；5停止步骤4中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址处于步骤2中配置的特定地址段中；6停止步骤5中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为在路由器路由表中不存在到该地址的路由预期结果：1在步骤4和5中，仪表端口B应可以收到测试数据包；2在步骤6中，仪表端口B不能收到测试数据包判定原则：应符合预期结果要求，否则为不合格7YD厂r 204争电009测试编号：9测试项目：基于ACL的URPF功能测试测试目的：检验DUT能否实现基于ACL的URPF功能测试配置：测试环境2测试过程：1按

20、测试环境连接设备；2仪表端口A和B分别与DUT建立OSPF邻居关系，并向DUT通告到网络1和网络2的路由，并发送流量验证路由的有效性，在DUT上为一特定地址段配置到测试仪表端口C的静态路由；3在DUT上启用基于ACL的URPF，并配置ACL条目拒绝来自步骤2中配置的特定地址段中某个地址的数据包；4从仪表端口A向仪表端口B发送数据包，数据包源地址为网络1中的地址；5停止步骤4中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为步骤2中配置的特定地址段中不同于步骤3中所配置地址的一个地址；6停止步骤5中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为步骤3中配置的地址

21、：7停止步骤6中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为在路由器路由表中不存在到该地址的路由预期结果：1在步骤4和5中，仪表端121 B应可以收到测试数据包：2在步骤6和7中，仪表端121B不能收到测试数据包判定原则：应符合预期结果要求，否则为不合格55访问控制列裹(ACL)测试测试编号：10测试项目：基于源地址的ACL测试测试目的：检验DUT是否实现基于源地址的ACL测试配置：测试环境1测试过程：1按测试环境连接设备；2在DUT上配置基于源地址的ACL(拒绝)条目；3从仪表端口A向仪表端口B发送符合过滤条件的IPv6包；4从仪表端口A向仪表端口B发送不符合过滤条件的I

22、Pv6包预期结果：1在步骤3中，仪表端口B没有收到数据包；2在步骤4中，仪表端口B可以收到数据包判定原则：应符合预期结果要求否则为不合格YD厂r 2045-2009测试编号：11测试项目：基于目的地址的ACL测试测试目的：检验DUT是否实现基于目的地址的ACL测试配置：测试环境1测试过程：1按测试环境连接设备；2在DUT上配置基于目的地址的ACL(拒绝)条目；3从仪表端口A向仪表端口B发送符合过滤条件的IPv6包；4从仪表端口A向仪表端口B发送不符合过滤条件的IPv6包预期结果：1在步骤3中，仪表端口B没有收到数据包；2在步骤4中，仪表端口B可以收到数据包判定原则：应符合预期结果要求，否则为不

23、合格测试编号：12测试项目：基于协议的ACL测试测试目的：检验DUT是否实现基于协议地址的ACL测试配置：测试环境l测试过程：1按测试环境连接设备；2在DUT上配置基于协议类型的ACL(拒绝)条目；3从仪表端口A向仪表端口B发送符合过滤条件的I、，6包；4从仪表端口A向仪表端口B发送不符合过滤条件的IPv6包预期结果：1在步骤3中。仪表端口B没有收到数据包：2在步骤4中，仪表端口B可以收到数据包判定原则：应符合预期结果要求，否则为不合格9YD厂r 204争-2009测试编号：13测试项目：基于源端口的ACL测试测试目的：检验DUT是否实现基于源端口的ACL测试配置：测试环境l测试过程：1按测试

24、环境连接设备；2在DUT上配置基于源端口的ACL(拒绝)条目；3从仪表端口A向仪表端口B发送符合过滤条件的口v6包；4从仪表端口A向仪表端口B发送不符合过滤条件的IPv6包预期结果：1在步骤3中，仪表端口B没有收到数据包；2在步骤4中，仪表端口B可以收到数据包判定原则：应符合预期结果要求，否则为不合格测试编号：14测试项目：基于目的端口的ACL测试测试目的：检验DUT是否实现基于目的端口的ACL测试配置：测试环境1测试过程：1按测试环境连接设备：2在DUT上配置基于目的端口的ACL(拒绝)条目；3从仪表端口A向仪表端口B发送符合过滤条件的IPv6包；4从仪表端口A向仪表端口B发送不符合过滤条件

25、的IPv6包预期结果：1在步骤3中，仪表端口B没有收到数据包；2在步骤4中，仪表端口B可以收到数据包判定原则：应符合预期结果要求，否则为不合格10YD12045-2009测试编号：15测试项目：基于五元组的ACL测试测试目的：检验DUT是否实现基于五元组(源地址、目的地址、源端口、目的端口、协议类型)的ACL测试配置：测试环境1测试过程：1按测试环境连接设备；2在DUT上配置基于五元组的ACL(拒绝)条目；3从仪表端口A向仪表端口B发送符合过滤条件的IPv6包；4从仪表端口A向仪表端口B发送不符合过滤条件的IPv6包预期结果：1在步骤3中，仪表端口B没有收到数据包；2在步骤4中，仪表端口B可以

26、收到数据包判定原则：应符合预期结果要求，否则为不合格测试编号：16测试项目：基于源MAC地址的ACL测试(可选)测试目的：检验DUT是否实现基于源MAC地址的ACL测试配置：测试环境1测试过程：1按测试环境连接设备；2在DUT上配置基于源MAC地址的ACL条目，拒绝源MAC地址非特定地址的数据包；3从仪表端口A向仪表端口B发送IPv6包，源MAC地址不是DUT配置的特定MAC地址；4从仪表端口A向仪表端口B发送mv6包，源MAC地址是DUT配置的特定MAC地址预期结果： 一1步骤3中，仪表端口B没有收到数据包；2步骤4中，仪表端口B可以收到数据包判定原则：应符合预期结果要求，否则为不合格YDT

27、 2045-2009测试编号：17测试项目：基于IPv6包头中流量类型域的ACL测试(可选)测试目的：检验DUT是否实现基于IPv6包头中流量类型域的ACL测试配置：测试环境1测试过程：1按测试环境连接设备；2在DUT上配置基于口v6包头中流量类型域的ACL条目，拒绝某种流量类型的数据包：3从仪表端口A向仪表端口B发送IPv6包，流量类型不是DUT配置的流量类型；4从仪表端口A向仪表端口B发送IPv6包，流量类型是DUT配置的流量类型预期结果：1步骤3中，仪表端口B没有收到数据包；2步骤4中，仪表端口B可以收到数据包判定原则：应符合预期结果要求，否则为不合格测试编号：18测试项目：基于IPv6

28、包头中流标签域的ACL测试(可选)测试目的：检验DUT是否实现基于IPv6包头中流标签域的ACL测试配置：测试环境1测试过程：1按测试环境连接设备；2在DUT上配置基于IPv6包头中流量类型域的ACL条目，拒绝带有某种流标签的数据包：3从仪表端口A向仪表端口B发送IPv6包，流标签不是DUT配置的流标签：4从仪表端口A向仪表端口B发送IPv6包流标签是DUT配置的流标签预期结果：1步骤3中，仪表端口B没有收到数据包；2步骤4中，仪表端口B可以收到数据包判定原则：应符合预期结果要求，否则为不合格12YD厂r 2045盘009测试编号：19测试项目：全局ACL测试(可选)测试目的：检验DUT是否实

29、现全局ACL测试配置：测试环境1测试过程：1按测试环境连接设备；2在DUT接口1上配置全局ACL(拒绝)条目；3从仪表端口A向仪表端口B发送符合过滤条件的IPv6包；4从仪表端口B向仪表端口A发送符合过滤条件的IPv6包预期结果：在步骤3和4中，仪表端口B没有收到数据包判定原则：应符合预期结果要求，否则为不合格测试编号：20测试项目：接口ACL测试测试目的：检验DUT是否实现接口ACL测试配置：测试环境l测试过程：1按测试环境连接设备：2在DUT接口1上配置ACL(拒绝)条目；3从仪表端口A向仪表端口B发送符合过滤条件的IPv6包；4从仪表端口B向仪表端口A发送符合过滤条件的IPv6包预期结果

30、：1在步骤3中，仪表端口B没有收到数据包；2在步骤4中，仪表端口A可以收到数据包判定原则：应符合预期结果要求，否则为不合格YD厂r 2045-2009测试编号：2l测试项目：指定时间段的AcL测试(可选)测试目的：检验DUT是否实现指定时间段的ACL测试配置：测试环境1测试过程；1按测试环境连接设备；2在DUT接口1上配置基于特定时间段的ACL(拒绝)条目，当前时间包含在该时间段内：3从仪表端口A向仪表端口B发送符合过滤条件的IPv6包；4在DUT接口1上配置基于特定时间段的ACL(拒绝)条目，当前时间不包含在该时间段内，5从仪表端口B向仪表端口A发送符合过滤条件的IPv6包预期结果：1在步骤

31、3中，仪表端口B没有收到数据包；2在步骤5中，仪表端口A可以收到数据包判定原则：应符合预期结果要求，否则为不合格测试编号：22测试项目：报文匹配情况的统计及日志功能测试(可选)测试目的：检验DUT是否实现对报文匹配情况的统计及日志功能测试配置：测试环境1测试过程：1按测试环境连接设备；2在DUT接口1上配置ACL(拒绝)条目；3从仪表端口A向仪表端口B发送符合过滤条件的IPv6包预期结果；1在步骤3中，仪表端口B没有收到数据包；2在步骤3中，路由器应能查询到报文匹配的统计数据，同时应将该数据记入日志判定原则：应符合预期结果要求，否则为不合格14YD厂r 2045-2009测试编号：23测试项目

32、：配置ACL情况下的性能测试测试目的：检验DUT在配置ACL情况下的性能测试配置：测试环境2测试过程：1按测试环境连接设备；2仪表端口A和B分别与DUT建立OSPF邻居关系，并通告到网络1和网络2的路由：3在DUT接口1上配置5000条相互无关联的ACL(拒绝)条目；4从仪表端口A向仪表端口B发送不符合过滤条件的IPv6包，数据包源地址为网络l中的m地址(变化)，进行性能测试预期结果：配置ACL后应不会对DUT转发的吞吐量和时延造成严重影响判定原则：应符合预期结果要求，否则为不合格56流量控制功能测试测试编号：24测试项目：流量限速(CAR)功能测试测试目的：检验DUT的流量限速功能测试配置：

33、测试环境l测试过程：1按测试环境连接设备；2在DUT上为接口1配置流量限速，限制速率为肘，M小于1接口速率；3由仪表接口A向仪表接口B以接口速率发送2000条口数据流预期结果：在步骤3中，仪表端口B可以收到数据流，数据流速率为M(误差小于10)判定原则：应符合预期结果要求，否则为不合格15YD厂r 2045-2009测试编号：25测试项目：流分类功能测试(基于P五元组的流分类)测试目的：检验DUT基于6五元组(源Pv6地址、目的Pv6地址、协议类型、源端口号、目的端口号)进行流分类的功能测试配置：测试环境1测试过程；1按测试环境连接设备；2在DUT上分别为P五元组配置流分类策略，并对命中的数据

34、流采用流量限制，限制速率为M，M小于接口速率；3仪表接口A向仪表接口B以接口速率发送2000条符合分类策略的数据流；4停止步骤3中数据流的发送，从仪表接口A向仪表接口B以接口速率发送不符合分类策略的数据流预期结果：1步骤3中，仪表端口B可以收到数据流，数据流速率为肘(误差小于10)；2步骤4中，仪表端口B可以收到数据流，数据流速率为接口速率判定原则：应符合预期结果要求，否则为不合格测试编号：26测试项目：流分类功能测试(基于v6包头的流标签域)(可选)测试目的：检验DUT基于v6包头的流标签域进行流分类的功能测试配置：测试环境1测试过程：1按测试环境连接设备；2在DETT上为疋v6包头的流标签

35、域配置流分类策略，并对命中的数据流采用流量限制，限制速率为肘，f小于接口速率；3仪表接口A向仪表接口B以接口速率发送2000条符合分类策略的数据流；4停止步骤3中数据流的发送，从仪表接口A向仪表接口B以接口速率发送不符合分类策略的数据流预期结果：1步骤3中，仪表端口B可以收到数据流，数据流速率为M(误差小于lO)；2步骤4中，仪表端口B可以收到数据流，数据流速率为接口速率判定原则：应符合预期结果要求，否则为不合格16YD厂r 20452009测试编号：27测试项目：流量整形功能测试测试目的：检验DUT的流量整形功能测试配置：测试环境1测试过程：1按测试环境连接设备；2在DUT上为接口2配置流量

36、整形，限制速率为jIf，M小于2接口速率；3由仪表接口A向仪表接口B以接口速率发送2000条P数据流预期结果：在步骤3中，仪表端口B可以收到数据流，数据流速率为M(误差小于10)判定原则：应符合预期结果要求，否则为不合格6路由，空制平面安全测试61概述核心路由器路由腔制平面的安全测试主要包括路由协议的安全测试、TCPIP协议安全测试、VPN安全测试和路由过滤功能测试。62路由协议安全测试测试编号：28测试项目：RIPng报文的MD5加密验证(可选)测试目的：检验DUT能否实现RIPng邻居间链路的MD5加密验证功能测试配置：测试环境3测试过程：1按测试环境连接设备；2在DUTl和DUT2上启用

37、RIPng协议；3在路由器1、2上配置基于IPv6AH头的MD5密文认证，密码不同；4在路由器1、2上配置基于116AH头的MD5密文认证，密码相同预期结果：1在步骤3中，DUTl和DUT2无法正常建立RIPng邻居关系；2在步骤4中，DUTl和DU12可以正常建立RIPng邻居关系判定原则：应符合预期结果要求，否则为不合格17YDr 2045-2009622 oSPFv3路由协议安全测试测试编号：29测试项目：OSPFv3报文的MD5加密验证测试目的：检验DUT能否实现OSPFv3邻居间的MD5密文验证功能测试配置：测试环境3测试过程：1按测试环境连接设备：2在DUTI和DUT2上启用OSP

38、Fv3协议；3在路由器1、2上配置基于IPv6AH头的MD5密文认证，密码不同；4在路由器1、2上配置基于IPv6AH头的MD5密文认证，密码相同预期结果：1在步骤3中，DUTl和DUT2无法正常建立OSPFv3邻居关系；2在步骤4中，DUTl和DUT2可以正常建立OSPFv3邻居关系判定原Itj应符合预期结果要求，否则为不合格623 BGP4+路由协议安全测试测试编号：30测试项目：BGP4+报文的MD5密文验证测试目的；检验DUT能否实现BG阻协议的M05加密验证功能测试配置：测试环境3测试过程：1按测试环境连接设备；2在DUTl和DUT2上启用BGPv4+路由协议，在接口A和B间建立邻接

39、关系，且属于同一个AS，并分别配置MD5密文验证；3在DUTl和DUT2上配置不同的密码；4在DUTl和DUT2上配置相同的密码预期结果；1在步骤3中，DUTl和DUT2无法正常建立BGP邻接关系；2在步骤4中，DUTl和DUT2可以正常建立BGP邻接关系判定原则：应符合预期结果要求，否则为不合格624 IS-I$v6路由协议安全测试、Dn 2045-2009测试编号：31测试项目：ISISv6协议接口level-1的明文验证测试目的：检验DUT能否实现ISISv6协议接口level1的明文验证测试配置：测试环境3测试过程：1按测试环境连接设备；2在DUTl和DU12上启用ISISv6路由协议

40、在接口A和B间建立level1邻接关系，并分别配置明文验证；3在DUTl和DUT2上配置相同的密码；4在DUTl和DUT2上配置不同的密码预期结果：1在步骤3中，DUTl和DLrl2可以正常建立ISISv6 level1邻接关系；2在步骤4中，DUTI和DLrl2无法正常建立IS-ISv6 level1邻接关系判定原则：应符合预期结果要求，否则为不合格测试编号：32测试项目：ISISv6协议接口level1的MD5密文验证测试目的：检验DI rT能否实现IS-ISv6协议接口level1的MD5密文验证测试配置；测试环境3测试过程：1按测试环境连接设备；2在DUTl和DUT2上启用IS-ISv

41、6路由协议，在接口A和B间建立level1邻接关系，并分别配置MD5密文验证；3在DUTl和DuT2上配置相同的密码；4在DUTl和DUT2上配置不同的密码预期结果：1在步骤3中，DUTl和DUT2可以正常建立ISISv6level1邻接关系；2在步骤4中，DUTI和DUT2无法正常建立ISISv6 level-1邻接关系判定原则：应符合预期结果要求，否则为不合格19YD厂r 20452009测试编号：33测试项目：ISISv6协议接口level一2的明文验证测试目的：检验DUT能否实现ISISv6协议接口level2的明文验证测试配置：测试环境3测试过程：1按测试环境连接设备；2在DUTl和

42、DUT2上启用ISISv6路由协议，在接口A和B间建立level2邻接关系，并分别配置明文验证：3在DUTl和Dur2上配置相同的密码：4在DUTl和DuT2上配置不同的密码预期结果：1在步骤3中，DUTl和DUT2可以正常建立IS-ISv6 level一2邻接关系；2在步骤4中，DUTl和DUT2无法正常建立IS-ISv6 level2邻接关系判定原则：应符合预期结果要求，否则为不合格测试编号：34测试项目：ISISv6协议接口level-2的MD5密文验证测试目的：检验DUT能否实现ISISv6协议接口level-2的MD5密文验证测试配置：测试环境3测试过程：1按测试环境连接设备2在DU

43、Tl和DUI2上启用ISISv6路由协议，在接口A和B间建立level2邻接关系，并分别配置MD5密文验证：3在DUTI和DUT2上配置相同的密码；4在DUTl和DUT2上配置不同的密码预期结果：1在步骤3中，DUTI和DUT2可以正常建立tSISv6level2邻接关系；2在步骤4中，DUTl和DUT2无法正常建立ISISv6 level2邻接关系判定原则：应符合预期结果要求，否则为不合格YD厂r 2045-2009测试编号：35测试项目：ISISv6协议区域内的明文验证测试目的：检验DUT能否实现ISISv6协议区域内明文验证测试配置：测试环境3测试过程：1按测试环境连接设备；2在DUTl

44、和DUT2上启用ISISv6路由协议，并分别配置区域内明文验证，在接口A和B间建立level1邻接关系：3从DUTl向DUT2通告带明文认证的路由信息：4从DUTl向DUT2通告不带明文认证的路由信息预期结果：1在步骤3中，DUT2能够学习到路由信息：2在步骤4中，DUT2不能够学习到路由信息判定原则：应符合预期结果要求，否则为不合格测试编号：36测试项目：ISISv6协议区域内的MD5密文验证测试目的：检验DUT能否实现ISISv6协议区域内MD5密文验证测试配置：测试环境3测试过程：1按测试环境连接设备；2在DUTl和DUT2上启用ISISv6路由协议，并分别配置区域内MD5密文验证，在接

45、口A和B间建立level1邻接关系；3从DUTl向DUT2通告带MD5认证的路由信息；4从DUTl向DUT2通告不带MD5认证的路由信息预期结果：1在步骤3中，DUT2能够学习到路由信息；2在步骤4中，DUT2不能够学习到路由信息判定原则：应符合预期结果要求，否则为不合格21YD厂r 204争_2009测试编号：37测试项目：ISISv6协议区域间的明文验证测试目的：检验DUT能否实现ISISv6协议区域间明文验证测试配置：测试环境3测试过程：1按测试环境连接设备：2在DUTl和DUT2上启用ISISv6路由协议，DUTl属于level1，DUT2属于level2，并分别配置区域间明文验证，在接口A和B间建立level12邻接关系；3从DUTl向DUT2通告带明文认证的路由信息；4从DUTl向DUT2通告不带明文认证的路由信息预期结果：1在步骤3中，DUT2能够学习到路由信息；2在步骤4中，DUT2不能够学习到路由信息判定原则：应符合预期结果要求，否则为不合格测试编号：38测试项目：IS-ISv6协议区域间的明文验证测试目的t检验DUT能否实现ISISv6协议区域间MD5密文验证测试配置：测试环境3测试过程：1按测试环境连接设备；2在DUTl和DUT2上启用ISISv6路由协议，DUTl属于level1。DUT2属于level2，并分