YD/T 2049-2009
基本信息
标准号: YD/T 2049-2009
中文名称:接入网设备安全测试方法——DSL接入复用器(DSLAM)设备
标准类别:通信行业标准(YD)
标准状态:现行
发布日期:2009-12-11
实施日期:2010-01-01
出版语种:简体中文
下载格式:.rar .pdf
下载大小:7611290
标准分类号
关联标准
出版信息
出版社:中国标准出版社
标准价格:0.0 元
出版日期:2010-01-01
相关单位信息
发布部门:工业和信息化部
标准简介
YD/T 2049-2009 接入网设备安全测试方法——DSL接入复用器(DSLAM)设备 YD/T2049-2009 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
ICS33.040.50
中华人民共和国通信行业标准
YD/T 2049-2009
接入网设备安全测试方法
DSL接入复用器(DSLAM)设备
Test method of security for access network equipmentDigitalsubscriberlineaccessmultiplexer2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部发布前言·
规范性引用文件
3缩略语
4用户平面安全功能测试·
5控制平面安全功能测试.
6管理平面安全功能测试.
7其他安全功能测试
附录A(资料性附录)安全相关性能测试方法次
YD/T2049-2009
··17
本标准是接入网安全系列标准之一,该系列标准预计结构及名称如下:1.YD/T2046-2009接入网安全技术要求——xDSL用户端设备2.YD/T2047-2009接入网设备安全测试方法—xDSL用户端设备3.YD/T2048-2009接入网安全技术要求——DSL接入复用器(DSLAM)设备YD/T2049-2009
9接入网设备安全测试方法DSL接入复用器(DSLAM)设备4.YD/T2049~2009
5.YD/T2050-2009接入网安全技术要求—无源光网络(PON)设备6.YD/T2051~2009接入网设备安全测试方法—无源光网络(PON)设备7.YD/T1910-2009接入网安全技术要求——综合接入系统8.接入网设备安全测试方法一综合接入系统本标准与YD/T2048-2009《接入网安全技术要求-DSL接入复用器(DSLAM)设备》配套使用。在本标准的制定过程中保持了与下列标准的协调统:1.YD/T1323-2004接入网技术要求一一不对称数字用户线(ADSL)2.YD/T1239-2002接入网技术要求——甚高速数字用户线(VDSL)3.YD/T1055-2005
5接入网设备测试方法一一带话音分离器的不对称数字用户线(ADSL)4.YD/T1530-2006接入网技术要求一一频谱扩展的第二代不对称数字用户线(ADSL2+)5.YD/T1706-2007接入网技术要求一数字用户线(DSL)承载宽带业务6.YD/T1996-2009
9接入网技术要求一一第二代甚高速数字用户线(VDSL2)本标准附录A为资料性附录。
本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、上海贝尔股份有限公司。本标准主要起草人:程强、李云洁、陈洁、葛坚、姚亦峰。H
1范围
接入网设备安全测试方法
DSL接入复用器(DSLAM)设备
YD/T2049-2009
本标准规定了数字用户线接入复用设备(DSLAM)用户平面安全功能测试方法、控制平面安全功能测试方法、管理平面安全功能测试方法和其它安全功能的测试方法。本标准适用于公众电信网的局端数字用户线接入复用器设备,对于放置在远端的DSL接入复用设备可以参考使用。专用电信网也可参考使用。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T1808-2008
YD/T1706-2007
3缩略语
法一一第二代及频谱扩展的第二代不对称数字用户线接入网设备测试方法
(ADSL2/2+)
接入网技术要求一一数字用户线(DSL)承载宽带业务下列缩略语适用于本标准。
Access Control List
AsymmetricDigitalSubscriberLineAddress Resolution Protocol
Broadband Network Gateway
CustomerPremiseEquipment
Customer VLAN IDentifier
DynamicHostConfigProtocol
Destination LookupFailure
Denial of Service
Digital SubscriberLine
Digital SubscriberLineAccess MultiplexerHyperText Transfer Protocol
HypertextTransferProtocoloverSecureSocketLayerInternetGroupManagementProtocolInternet Protocol
MediaAccessControl
访问控制列表
不对称数字用户线
地址解析协议
宽带网络网关
客户驻地设备
客户VLAN标识
动态主机配置协议
目的查找失败
拒绝服务
数字用户线
数字用户线接入复用器
超文本传输协议
安全套接字层上的HTTP
因特网组管理协议
互联网协议
媒质访问控制
YD/T2049-2009
Personal Computer
RapidSpanningTreeProtocol
SimpleNetworkManagementProtocolSecure Shell
Secure Socket Layer
ServiceVD
Transport Layer Security
UserDatagram Protocol
Virtual Local Area Network
AnyofthevarioustypesofDigital SubscriberLines (DSL)4用户平面安全功能测试
4.1二层隔离功能
4.1.1测试目的
个人电脑
快速生成树协议
简单网络管理协议
安全Shell
安全套接字层
业务VLAN标识
传送层安全
用户数据报协议
VLAN标识
虚拟局域网
指代任何类型的DSL
DSLAM设备应对用户侧的所有DSL端口之间提供二层隔离的功能,即同一DSLAM设备下的不同DSL端口上的用户不应通过DSLAM设备上的二层桥接功能直接互通。4.1.2测试配置
测试配置如图1所示。
分析仪1
分析仪2
4.1.3测试步骤
端口1
常口2
二层隔离功能测试配置
(1)如图1所示,任选DSLAM两个用户端口,配置两个桥接模式的CPE设备;网络
分析仪3
(2)配置两个CPE用户流量为无VLAN标签方式,网络侧为N:1VLAN模式,设定S-VID的值为X (0(3)发送地址学习帧;
(4)网络分析仪1与网络分析仪3互发以太网广播与单播报文;(5)网络分析仪2与网络分析仪3互发以太网广播与单播报文;(6)网络分析仪1和网络分析仪2互发以太网广播与单播报文。4.1.4预期结果
(1)在步骤(4)中,网络分析仪1和3应可以互通,且网络分析仪2不应收到除来自网络分析仪3的广播报文的任何报文。
YD/T2049-2009
(2)在步骤(5)中,网络分析仪2和3应可以互通,且网络分析仪1不应收到除来自网络分析仪3的广播报文的任何报文。
(3)在步骤(6)中,网络分析仪1和2不应有任何流量互通。4.2VLAN功能
见YD/T1808-2008《接入网设备测试方法一一第二代及频谱扩展的第二代不对称数字用户线ADSL2/ADSL2+》10.2。
4.3顿过滤功能
4.3.1测试目的
DSLAM应能根据MAC源地址和/或目的地址设置过滤条目。对于预定义和保留地址的MAC顿(见表1),DSLAM缺省应过滤掉,不进行转发,但设备可以提供改变缺省行为的配置选项。表1对预定义和保留地址的MAC顿处理目的MAC地址
01-80-C2-00-00-00
01-80-C2-00-00-01
01-80-C2-00-00-02
01-80-C2-00-00-03
01-80-C2-00-00-04
01-80-C2-00-00-0F
01-80-C2-00-00-10
01-80-C2-00-00-20
01-80-C2-00-00-21
01-80-C2-00-00-22
01-80-C2-00-00-2F
01-80-C2-xx-xx-xy
桥组地址(BPDUs)
慢速协议(LACP,EFMOAMPDUs)
EAPover LANs
所有LAN的桥管理地址
保留GARP应用地址
缺省行为
Forward
Forward
可选配置
建议DSLAM支持基于MAC目的地址、MAC源地址、MAC协议类型、IP目的地址、IP源地址的部分和全部的过滤规则功能。
DSLAM应可配置为过滤从用户端口发出目的地址为组播地址的UDP数据流。4.3.2测试配置
测试配置如图1所示。
4.3.3测试步骤
(1)按照图1建立组网连接,配置DSLAM和CPE1,使网络分析仪1和网络分析仪3之间能正常收发数据流;
(2)设置DSLAM过滤MAC源和/或目的地址规则:(3)网络分析仪1向网络分析仪3发送MAC源和/或目的地址为被过滤MAC源和/或目的地址的测试帧;
(4)取消之前的配置,网络分析仪1向网络分析仪3发送MAC目的地址为表1的地址的测试帧;(5)配置DSLAM,将DSLAM中的MAC顿的处理方式由“缺省行为”改变为“可选配置”(6)网络分析仪1向网络分析仪3发送MAC目的地址为表1中的地址的测试顿;(7)取消之前的配置,设置DSLAM基于MAC目的地址、MAC源地址、MAC协议类型、IP目的地址、3
YD/T2049-2009
IP源地址的部分和全部过滤规则进行过滤;(8)网络分析仪1向网络分析仪3发送符合步骤(7)中设置的规则的MAC顿,以及违反符合步骤(7)中设置的规则的MAC顿的两条流;(9)设置DSLAM过滤从用户端口发出组播UDP流;(1O)网络分析仪2向网络分析仪3发送目的MAC和IP地址为组播地址的UDP数据流4.3.4预期结果
(1)在步骤(3)中,网络分析仪3不能收到测试顿;(2)在步骤(4)中,DSLAM对测试帧的处理应符合表1中的缺省行为;(3)在步骤(6)中,DSLAM对测试顿的处理应符合表1中的可选配置;(4)在步骤(8)中,网络分析仪3不能收到测试顿;(5)在步骤(10)中,网络分析仪3不能收到测试顿。4.4MAC地址控制功能
4.4.1测试目的
DSLAM应当可以配置并限制从每个用户端口学习到的源MAC地址的数量。DSLAM应能防止用户盗用BNG(例如接入服务器或业务路由器)端口的MAC地址。DSLAM应可以拒绝向存在MAC地址重复的用户提供业务。4.4.2测试配置
测试配置如图1所示。
4.4.3测试步骤
(1)按照图1建立组网连接;
(2)设置DSLAM从每个用户端口学习到的源MAC地址数量:(3)网络分析仪1连续发送具有不同源MAC地址的测试顿,其中源MAC地址数目大于DSLAM预设值;
(4)查看DSLAMMAC地址表中学习到的源MAC地址数目以及对超过源MAC数量限定的流是否丢弃;
(5)在DSLAM中配置BNG的MAC地址;(6)配置网络分析仪2发送源MAC地址为BNG的MAC地址的测试顿;(7)清除DSLAM中的MAC地址表;(8)配置网络分析仪1和2先后使用相同的源MAC地址A发送测试顿;(9)网络分析仪3向地址A发送以太网报文。4.4.4预期结果
(1)在步骤(4)中,DSLAM学习到的MAC地址数量应等于配置的数量限值,且对于超出的流应进行丢弃;
(2)在步骤(6)中,网络分析仪3应无法收到网络分析仪2发送的流;(3)在步骤(9)中,网络分析仪1可以收到网络分析仪3发送的报文,网络分析仪2不应收到。4.5广播/组播/DLF速率抑制
4.5.1测试目的
YD/T2049-2009
DSLAM应具备对MAC目的地址为广播或组播地址的报文以及未知单播(DLF)报文进行速率限制的功能,在上行方向应默认开启此功能。DSLAM应支持基于全局的抑制方式,建议支持基于VLAN和端口的抑制方式。4.5.2测试配置
测试配置如图1所示。
4.5.3测试步骤
全局抑制方式的测试步骤见步骤(2)至步骤(6),基于VLAN抑制方式的测试步骤见步骤(7)至步骤(9),基于端口抑制方式的测试步骤见步骤(10)至步骤(12)。(1)按照图1建立组网连接;
(2)网络分析仪1和2向网络分析仪3发送协议特定的广播/组播包和DLF报文;(3)网络分析仪3向网络分析仪1和2发送协议特定的广播/组播包和DLF报文;(4)通过网管控制台配置DSLAM全局抑制对应的广播/组播包和DLF报文的速率;(5)网络分析仪1和2向网络分析仪3发送广播/组播包和DLF报文,发送速率选择大于配置的抑制速率,小于CPE与DSLAM间的DSL链路速率;(6)网络分析仪3向网络分析仪1和2发送广播/组播包和DLF报文,发送速率选择大于配置的抑制速率,小于CPE与DSLAM间的DSL链路速率;(7)配置DSLAM取消全局抑制广播/组播包的策略,配置DSLAM抑制VLANID=1O的广播/组播包和DLF报文,并且DSLAM的上联口和CPE的用户端口为trunk模式;(8)网络分析仪1和2向网络分析仪3发送两条广播/组播包流,一条VLAND=10,另一条配置为其它已知VLAN,发送速率选择大于配置的抑制速率,小于CPE与DSLAM间的DSL链路速率;(9)网络分析仪3向网络分析仪1和2发送两条广播/组播包流,一条VLAND=10,另一条配置为其它已知VLAN,发送速率选择大于配置的抑制速率,小于CPE与DSLAM间的DSL链路速率;(10O)配置DSLAM取消基于VLAN抑制广播/组播包的策略,配置DSLAM抑制与CPE1连接的端口的广播/组播包和DLF报文;
(11)网络分析仪1和2向网络分析仪3发送广播/组播包和DLF报文,发送速率选择大于配置的抑制速率,小于CPE与DSLAM间的DSL链路速率;(12)网络分析仪3向网络分析仪1和2发送广播/组播包和DLF报文,发送速率选择大于配置的抑制速率,小于CPE与DSLAM间的DSL链路速率。4.5.4预期结果
(1)在步骤(2)和步骤(3)中,双向都能收到全部的广播/组播包;(2)在步骤(5)和步骤(6)中,双向收到的广播/组播包应符合预先设置的抑制策略;(3)对于支持基于VLAN抑制方式的DSLAM设备,在步骤(8)和步骤(9)中,VLAND=10的广播/组播流应符合预先设置的抑制策略,其它VLAN的广播/组播包和DLF报文应全部收到。(4)对于支持基于端口抑制方式的DSLAM设备,在步骤(11)和步骤(12)中,CPE2上下行方向的广播/组播流应全部被DSLAM设备转发,CPE1上下行方向的广播/组播流应符合预先设置的抑制策略。4.6静态绑定功能
4.6.1测试目的
YD/T2049-2009
DSLAM应支持基于静态配置用户IP地址与DSL端口或VLAN的绑定功能。被绑定的地址仅限于该端口使用,且该端口不能使用任何非绑定的地址。4.6.2测试配置
测试配置如图1所示。
4.6.3测试步骤
(1)配置DSLAM静态分配IP地址192.168.0.10绑定到CPE1的用户端口;(2)网络分析仪1和网络分析仪2向网络分析仪3发送源IP地址是192.168.0.10的数据流:(3)网络分析仪3向网络分析仪1和网络分析仪2发送目的IP地址是192.168.0.10的数据流;(4)网络分析仪1向网络分析仪3发送源IP地址是192.168.0.11的数据流:(5)网络分析仪3向网络分析仪1发送目的IP地址是192.168.0.11的数据流;(6)取消之前的绑定策略,配置DSLAM建立VLAN1(VLANID=10)和VLAN2(VLANID=20)静态分配IP地址段192.168.0.0/24绑定到VLAN1,并将DSLAM的上联口、CPE1加入到VLAN1,DSLAM的上联口和CPE2的用户端口加入到VLAN2;(7)网络分析仪1向网络分析仪3发送源IP地址是192.168.0.10的数据流;(8)网络分析仪2向网络分析仪3发送源IP地址是192.168.0.10的数据流;(9)网络分析仪1向网络分析仪3发送源IP地址是192.168.1.10的数据流;(10)DSLAM修改CPE1的VLAN,将其从VLAN1中删除,接入到VLAN2;(11)网络分析仪1向网络分析仪3发送源P地址是192.168.0.10的数据流。4.6.4预期结果
(1)在步骤(2)中,网络分析仪3仅能收到网络分析仪1发送的数据流;(2)在步骤(3)中,网络分析仪1能收到数据流,网络分析仪2不能收到数据流;(3)在步骤(4)中,网络分析仪3不能收到数据流;(4)在步骤(5)中,网络分析仪1不能收到数据流:(5)在步骤(7)中,网络分析仪3能收到VLANID=10的数据流:(6)在步骤(8)中,网络分析仪3不能收到网络分析仪2发出的数据流;(7)在步骤(9)中,网络分析仪3不能收到网络分析仪1发出的数据流;(8)在步骤(11)中,网络分析仪3不能收到网络分析仪1发出的数据流。4.7动态绑定功能(可选)
4.7.1测试目的
DSLAM可选支持跟踪DHCP中的IP地址分配过程进行端口、MAC地址和IP地址的动态绑定功能。被绑定的地址仅能限于该端口使用,且该端口不能使用任何非绑定的地址。4.7.2测试配置
测试配置如图1所示。
4.7.3测试步骤
(1)在DSLAM配置CPE1和CPE2线路的动态P地址绑定功能:(2)网络分析仪3仿真DHCP服务器功能,配置地址池10.10.10.2~10.10.10.254,网关地址为10.10.10.1,更新时间为3600s;6
(3)网络分析仪3配置端口地址为10.10.10.1;YD/T2049-2009
(4)网络分析仪1仿真DHCP客户端发起DHCP请求过程,获得分配地址10.10.10.A;(5)网络分析仪2仿真DHCP客户端发起DHCP请求过程,获得分配地址10.10.10.B;(6)网络分析仪1利用地址10.10.10.A与网络分析仪3互发P数据流;(7)网络分析仪2利用地址10.10.10.B与网络分析仪3互发IP数据流;(8)配置网络分析仪1端口地址为10.10.10.B;(9)配置网络分析仪2端口地址为10.10.10.C,其中2(1)在步骤(6)中,网络分析仪1和3的IP数据流应可互相可达;(2)在步骤(7)中,网络分析仪2和3的IP数据流应可互相可达;(3)在步骤(10)中,网络分析仪1和3的IP数据流应互相不可达;(4)在步骤(11)中,网络分析仪2和3的IP数据流应互相不可达;(5)在步骤(14)中,网络分析仪2和3的IP数据流应互相可达。4.8上联口链路聚集功能测试
见YD/T1808-2008《接入网设备测试方法--一第二代及频谱扩展的第二代不对称数字用户线(ADSL2/2+)》10.6.3。
4.9上联口快速生成树(RSTP)功能测试见YD/T1808-2008《接入网设备测试方法一一第二代及频谱扩展的第二代不对称数字用户线(ADSL2/2+)》10.6.2。
4.10端口镜像功能(可选)
4.10.1测试目的
DSLAM设备建议支持对特定的物理端口或逻辑端口(PVC或VLAN)的流镜像功能。4.10.2测试配置
测试配置如图2所示。
端口1
分析仪1
4.10.3测试步骤
端口2
图2端口镜像功能测试配量
分析仪3
分析仪2下载标准就来标准下载网
(1)如图2连接测试环境,配置DSLAM上联端口1为镜像源端口,上联端口2为镜像目的端口,镜像端口1双方向的流;
(2)网络分析仪1和网络分析仪3互发广播与组播和单播以太网顿。7
YD/T2049-2009
4.10.4预期结果
在步骤(2)中,网络分析仪1和3应可正常通信,网络分析仪2应可以收到网络分析仪1和网络分析仪3发出的顿。
4.11协议报文限速
4.11.1测试目的
DSLAM设备应支持对每用户端口发送的特定协议报文(例如,DHCP、IGMP、ICMP等)进行限速处理。
4.11.2测试配置
测试配置如图1所示。
4.11.3测试步骤
(1)在DSLAM中开启对特定协议报文的限速功能,设定每端口的限制速率X;(2)配置网络分析仪1分别发送类型为DHCPDiscover、IGMPReport(v1、v2)和PING的流,速率Y (Y>X)。
4.11.4预期结果
网络分析仪3接收到的网络分析仪1发送的各种协议流的速率均小于等于X。4.12用户环网检测
4.12.1测试目的
DSLAM设备应支持对用户侧端口是否成环的检测,防止环网形成。4.12.2测试配置
测试配置如图3所示。
网络分析仪2
4.12.3测试步骤
图3用户环网检测功能测试配置
网络分析仪1
(1)按照图3建立组网连接,其中虚线部分不进行连接,并开启DSLAM的用户环网检测功能;(2)网络分析仪1分别与CPE1、CPE2和CPE3相连,确认3个CPE都能和DSLAM正常收发包;(3)将CPE2的用户端口用交叉网线连接成环,网络分析仪1与CPE1相连,并与网络分析仪2之间发送双向数据流;
(4)将CPE2的用户端口环解除,将CPE2的用户端口与CPE3的用户端口用交叉网线相连;(5)网络分析仪1与CPE1相连,并与网络分析仪2之间发送双向数据流。4.12.4预期结果
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 2049-2009
接入网设备安全测试方法
DSL接入复用器(DSLAM)设备
Test method of security for access network equipmentDigitalsubscriberlineaccessmultiplexer2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部发布前言·
规范性引用文件
3缩略语
4用户平面安全功能测试·
5控制平面安全功能测试.
6管理平面安全功能测试.
7其他安全功能测试
附录A(资料性附录)安全相关性能测试方法次
YD/T2049-2009
··17
本标准是接入网安全系列标准之一,该系列标准预计结构及名称如下:1.YD/T2046-2009接入网安全技术要求——xDSL用户端设备2.YD/T2047-2009接入网设备安全测试方法—xDSL用户端设备3.YD/T2048-2009接入网安全技术要求——DSL接入复用器(DSLAM)设备YD/T2049-2009
9接入网设备安全测试方法DSL接入复用器(DSLAM)设备4.YD/T2049~2009
5.YD/T2050-2009接入网安全技术要求—无源光网络(PON)设备6.YD/T2051~2009接入网设备安全测试方法—无源光网络(PON)设备7.YD/T1910-2009接入网安全技术要求——综合接入系统8.接入网设备安全测试方法一综合接入系统本标准与YD/T2048-2009《接入网安全技术要求-DSL接入复用器(DSLAM)设备》配套使用。在本标准的制定过程中保持了与下列标准的协调统:1.YD/T1323-2004接入网技术要求一一不对称数字用户线(ADSL)2.YD/T1239-2002接入网技术要求——甚高速数字用户线(VDSL)3.YD/T1055-2005
5接入网设备测试方法一一带话音分离器的不对称数字用户线(ADSL)4.YD/T1530-2006接入网技术要求一一频谱扩展的第二代不对称数字用户线(ADSL2+)5.YD/T1706-2007接入网技术要求一数字用户线(DSL)承载宽带业务6.YD/T1996-2009
9接入网技术要求一一第二代甚高速数字用户线(VDSL2)本标准附录A为资料性附录。
本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、上海贝尔股份有限公司。本标准主要起草人:程强、李云洁、陈洁、葛坚、姚亦峰。H
1范围
接入网设备安全测试方法
DSL接入复用器(DSLAM)设备
YD/T2049-2009
本标准规定了数字用户线接入复用设备(DSLAM)用户平面安全功能测试方法、控制平面安全功能测试方法、管理平面安全功能测试方法和其它安全功能的测试方法。本标准适用于公众电信网的局端数字用户线接入复用器设备,对于放置在远端的DSL接入复用设备可以参考使用。专用电信网也可参考使用。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T1808-2008
YD/T1706-2007
3缩略语
法一一第二代及频谱扩展的第二代不对称数字用户线接入网设备测试方法
(ADSL2/2+)
接入网技术要求一一数字用户线(DSL)承载宽带业务下列缩略语适用于本标准。
Access Control List
AsymmetricDigitalSubscriberLineAddress Resolution Protocol
Broadband Network Gateway
CustomerPremiseEquipment
Customer VLAN IDentifier
DynamicHostConfigProtocol
Destination LookupFailure
Denial of Service
Digital SubscriberLine
Digital SubscriberLineAccess MultiplexerHyperText Transfer Protocol
HypertextTransferProtocoloverSecureSocketLayerInternetGroupManagementProtocolInternet Protocol
MediaAccessControl
访问控制列表
不对称数字用户线
地址解析协议
宽带网络网关
客户驻地设备
客户VLAN标识
动态主机配置协议
目的查找失败
拒绝服务
数字用户线
数字用户线接入复用器
超文本传输协议
安全套接字层上的HTTP
因特网组管理协议
互联网协议
媒质访问控制
YD/T2049-2009
Personal Computer
RapidSpanningTreeProtocol
SimpleNetworkManagementProtocolSecure Shell
Secure Socket Layer
ServiceVD
Transport Layer Security
UserDatagram Protocol
Virtual Local Area Network
AnyofthevarioustypesofDigital SubscriberLines (DSL)4用户平面安全功能测试
4.1二层隔离功能
4.1.1测试目的
个人电脑
快速生成树协议
简单网络管理协议
安全Shell
安全套接字层
业务VLAN标识
传送层安全
用户数据报协议
VLAN标识
虚拟局域网
指代任何类型的DSL
DSLAM设备应对用户侧的所有DSL端口之间提供二层隔离的功能,即同一DSLAM设备下的不同DSL端口上的用户不应通过DSLAM设备上的二层桥接功能直接互通。4.1.2测试配置
测试配置如图1所示。
分析仪1
分析仪2
4.1.3测试步骤
端口1
常口2
二层隔离功能测试配置
(1)如图1所示,任选DSLAM两个用户端口,配置两个桥接模式的CPE设备;网络
分析仪3
(2)配置两个CPE用户流量为无VLAN标签方式,网络侧为N:1VLAN模式,设定S-VID的值为X (0
(4)网络分析仪1与网络分析仪3互发以太网广播与单播报文;(5)网络分析仪2与网络分析仪3互发以太网广播与单播报文;(6)网络分析仪1和网络分析仪2互发以太网广播与单播报文。4.1.4预期结果
(1)在步骤(4)中,网络分析仪1和3应可以互通,且网络分析仪2不应收到除来自网络分析仪3的广播报文的任何报文。
YD/T2049-2009
(2)在步骤(5)中,网络分析仪2和3应可以互通,且网络分析仪1不应收到除来自网络分析仪3的广播报文的任何报文。
(3)在步骤(6)中,网络分析仪1和2不应有任何流量互通。4.2VLAN功能
见YD/T1808-2008《接入网设备测试方法一一第二代及频谱扩展的第二代不对称数字用户线ADSL2/ADSL2+》10.2。
4.3顿过滤功能
4.3.1测试目的
DSLAM应能根据MAC源地址和/或目的地址设置过滤条目。对于预定义和保留地址的MAC顿(见表1),DSLAM缺省应过滤掉,不进行转发,但设备可以提供改变缺省行为的配置选项。表1对预定义和保留地址的MAC顿处理目的MAC地址
01-80-C2-00-00-00
01-80-C2-00-00-01
01-80-C2-00-00-02
01-80-C2-00-00-03
01-80-C2-00-00-04
01-80-C2-00-00-0F
01-80-C2-00-00-10
01-80-C2-00-00-20
01-80-C2-00-00-21
01-80-C2-00-00-22
01-80-C2-00-00-2F
01-80-C2-xx-xx-xy
桥组地址(BPDUs)
慢速协议(LACP,EFMOAMPDUs)
EAPover LANs
所有LAN的桥管理地址
保留GARP应用地址
缺省行为
Forward
Forward
可选配置
建议DSLAM支持基于MAC目的地址、MAC源地址、MAC协议类型、IP目的地址、IP源地址的部分和全部的过滤规则功能。
DSLAM应可配置为过滤从用户端口发出目的地址为组播地址的UDP数据流。4.3.2测试配置
测试配置如图1所示。
4.3.3测试步骤
(1)按照图1建立组网连接,配置DSLAM和CPE1,使网络分析仪1和网络分析仪3之间能正常收发数据流;
(2)设置DSLAM过滤MAC源和/或目的地址规则:(3)网络分析仪1向网络分析仪3发送MAC源和/或目的地址为被过滤MAC源和/或目的地址的测试帧;
(4)取消之前的配置,网络分析仪1向网络分析仪3发送MAC目的地址为表1的地址的测试帧;(5)配置DSLAM,将DSLAM中的MAC顿的处理方式由“缺省行为”改变为“可选配置”(6)网络分析仪1向网络分析仪3发送MAC目的地址为表1中的地址的测试顿;(7)取消之前的配置,设置DSLAM基于MAC目的地址、MAC源地址、MAC协议类型、IP目的地址、3
YD/T2049-2009
IP源地址的部分和全部过滤规则进行过滤;(8)网络分析仪1向网络分析仪3发送符合步骤(7)中设置的规则的MAC顿,以及违反符合步骤(7)中设置的规则的MAC顿的两条流;(9)设置DSLAM过滤从用户端口发出组播UDP流;(1O)网络分析仪2向网络分析仪3发送目的MAC和IP地址为组播地址的UDP数据流4.3.4预期结果
(1)在步骤(3)中,网络分析仪3不能收到测试顿;(2)在步骤(4)中,DSLAM对测试帧的处理应符合表1中的缺省行为;(3)在步骤(6)中,DSLAM对测试顿的处理应符合表1中的可选配置;(4)在步骤(8)中,网络分析仪3不能收到测试顿;(5)在步骤(10)中,网络分析仪3不能收到测试顿。4.4MAC地址控制功能
4.4.1测试目的
DSLAM应当可以配置并限制从每个用户端口学习到的源MAC地址的数量。DSLAM应能防止用户盗用BNG(例如接入服务器或业务路由器)端口的MAC地址。DSLAM应可以拒绝向存在MAC地址重复的用户提供业务。4.4.2测试配置
测试配置如图1所示。
4.4.3测试步骤
(1)按照图1建立组网连接;
(2)设置DSLAM从每个用户端口学习到的源MAC地址数量:(3)网络分析仪1连续发送具有不同源MAC地址的测试顿,其中源MAC地址数目大于DSLAM预设值;
(4)查看DSLAMMAC地址表中学习到的源MAC地址数目以及对超过源MAC数量限定的流是否丢弃;
(5)在DSLAM中配置BNG的MAC地址;(6)配置网络分析仪2发送源MAC地址为BNG的MAC地址的测试顿;(7)清除DSLAM中的MAC地址表;(8)配置网络分析仪1和2先后使用相同的源MAC地址A发送测试顿;(9)网络分析仪3向地址A发送以太网报文。4.4.4预期结果
(1)在步骤(4)中,DSLAM学习到的MAC地址数量应等于配置的数量限值,且对于超出的流应进行丢弃;
(2)在步骤(6)中,网络分析仪3应无法收到网络分析仪2发送的流;(3)在步骤(9)中,网络分析仪1可以收到网络分析仪3发送的报文,网络分析仪2不应收到。4.5广播/组播/DLF速率抑制
4.5.1测试目的
YD/T2049-2009
DSLAM应具备对MAC目的地址为广播或组播地址的报文以及未知单播(DLF)报文进行速率限制的功能,在上行方向应默认开启此功能。DSLAM应支持基于全局的抑制方式,建议支持基于VLAN和端口的抑制方式。4.5.2测试配置
测试配置如图1所示。
4.5.3测试步骤
全局抑制方式的测试步骤见步骤(2)至步骤(6),基于VLAN抑制方式的测试步骤见步骤(7)至步骤(9),基于端口抑制方式的测试步骤见步骤(10)至步骤(12)。(1)按照图1建立组网连接;
(2)网络分析仪1和2向网络分析仪3发送协议特定的广播/组播包和DLF报文;(3)网络分析仪3向网络分析仪1和2发送协议特定的广播/组播包和DLF报文;(4)通过网管控制台配置DSLAM全局抑制对应的广播/组播包和DLF报文的速率;(5)网络分析仪1和2向网络分析仪3发送广播/组播包和DLF报文,发送速率选择大于配置的抑制速率,小于CPE与DSLAM间的DSL链路速率;(6)网络分析仪3向网络分析仪1和2发送广播/组播包和DLF报文,发送速率选择大于配置的抑制速率,小于CPE与DSLAM间的DSL链路速率;(7)配置DSLAM取消全局抑制广播/组播包的策略,配置DSLAM抑制VLANID=1O的广播/组播包和DLF报文,并且DSLAM的上联口和CPE的用户端口为trunk模式;(8)网络分析仪1和2向网络分析仪3发送两条广播/组播包流,一条VLAND=10,另一条配置为其它已知VLAN,发送速率选择大于配置的抑制速率,小于CPE与DSLAM间的DSL链路速率;(9)网络分析仪3向网络分析仪1和2发送两条广播/组播包流,一条VLAND=10,另一条配置为其它已知VLAN,发送速率选择大于配置的抑制速率,小于CPE与DSLAM间的DSL链路速率;(10O)配置DSLAM取消基于VLAN抑制广播/组播包的策略,配置DSLAM抑制与CPE1连接的端口的广播/组播包和DLF报文;
(11)网络分析仪1和2向网络分析仪3发送广播/组播包和DLF报文,发送速率选择大于配置的抑制速率,小于CPE与DSLAM间的DSL链路速率;(12)网络分析仪3向网络分析仪1和2发送广播/组播包和DLF报文,发送速率选择大于配置的抑制速率,小于CPE与DSLAM间的DSL链路速率。4.5.4预期结果
(1)在步骤(2)和步骤(3)中,双向都能收到全部的广播/组播包;(2)在步骤(5)和步骤(6)中,双向收到的广播/组播包应符合预先设置的抑制策略;(3)对于支持基于VLAN抑制方式的DSLAM设备,在步骤(8)和步骤(9)中,VLAND=10的广播/组播流应符合预先设置的抑制策略,其它VLAN的广播/组播包和DLF报文应全部收到。(4)对于支持基于端口抑制方式的DSLAM设备,在步骤(11)和步骤(12)中,CPE2上下行方向的广播/组播流应全部被DSLAM设备转发,CPE1上下行方向的广播/组播流应符合预先设置的抑制策略。4.6静态绑定功能
4.6.1测试目的
YD/T2049-2009
DSLAM应支持基于静态配置用户IP地址与DSL端口或VLAN的绑定功能。被绑定的地址仅限于该端口使用,且该端口不能使用任何非绑定的地址。4.6.2测试配置
测试配置如图1所示。
4.6.3测试步骤
(1)配置DSLAM静态分配IP地址192.168.0.10绑定到CPE1的用户端口;(2)网络分析仪1和网络分析仪2向网络分析仪3发送源IP地址是192.168.0.10的数据流:(3)网络分析仪3向网络分析仪1和网络分析仪2发送目的IP地址是192.168.0.10的数据流;(4)网络分析仪1向网络分析仪3发送源IP地址是192.168.0.11的数据流:(5)网络分析仪3向网络分析仪1发送目的IP地址是192.168.0.11的数据流;(6)取消之前的绑定策略,配置DSLAM建立VLAN1(VLANID=10)和VLAN2(VLANID=20)静态分配IP地址段192.168.0.0/24绑定到VLAN1,并将DSLAM的上联口、CPE1加入到VLAN1,DSLAM的上联口和CPE2的用户端口加入到VLAN2;(7)网络分析仪1向网络分析仪3发送源IP地址是192.168.0.10的数据流;(8)网络分析仪2向网络分析仪3发送源IP地址是192.168.0.10的数据流;(9)网络分析仪1向网络分析仪3发送源IP地址是192.168.1.10的数据流;(10)DSLAM修改CPE1的VLAN,将其从VLAN1中删除,接入到VLAN2;(11)网络分析仪1向网络分析仪3发送源P地址是192.168.0.10的数据流。4.6.4预期结果
(1)在步骤(2)中,网络分析仪3仅能收到网络分析仪1发送的数据流;(2)在步骤(3)中,网络分析仪1能收到数据流,网络分析仪2不能收到数据流;(3)在步骤(4)中,网络分析仪3不能收到数据流;(4)在步骤(5)中,网络分析仪1不能收到数据流:(5)在步骤(7)中,网络分析仪3能收到VLANID=10的数据流:(6)在步骤(8)中,网络分析仪3不能收到网络分析仪2发出的数据流;(7)在步骤(9)中,网络分析仪3不能收到网络分析仪1发出的数据流;(8)在步骤(11)中,网络分析仪3不能收到网络分析仪1发出的数据流。4.7动态绑定功能(可选)
4.7.1测试目的
DSLAM可选支持跟踪DHCP中的IP地址分配过程进行端口、MAC地址和IP地址的动态绑定功能。被绑定的地址仅能限于该端口使用,且该端口不能使用任何非绑定的地址。4.7.2测试配置
测试配置如图1所示。
4.7.3测试步骤
(1)在DSLAM配置CPE1和CPE2线路的动态P地址绑定功能:(2)网络分析仪3仿真DHCP服务器功能,配置地址池10.10.10.2~10.10.10.254,网关地址为10.10.10.1,更新时间为3600s;6
(3)网络分析仪3配置端口地址为10.10.10.1;YD/T2049-2009
(4)网络分析仪1仿真DHCP客户端发起DHCP请求过程,获得分配地址10.10.10.A;(5)网络分析仪2仿真DHCP客户端发起DHCP请求过程,获得分配地址10.10.10.B;(6)网络分析仪1利用地址10.10.10.A与网络分析仪3互发P数据流;(7)网络分析仪2利用地址10.10.10.B与网络分析仪3互发IP数据流;(8)配置网络分析仪1端口地址为10.10.10.B;(9)配置网络分析仪2端口地址为10.10.10.C,其中2
见YD/T1808-2008《接入网设备测试方法--一第二代及频谱扩展的第二代不对称数字用户线(ADSL2/2+)》10.6.3。
4.9上联口快速生成树(RSTP)功能测试见YD/T1808-2008《接入网设备测试方法一一第二代及频谱扩展的第二代不对称数字用户线(ADSL2/2+)》10.6.2。
4.10端口镜像功能(可选)
4.10.1测试目的
DSLAM设备建议支持对特定的物理端口或逻辑端口(PVC或VLAN)的流镜像功能。4.10.2测试配置
测试配置如图2所示。
端口1
分析仪1
4.10.3测试步骤
端口2
图2端口镜像功能测试配量
分析仪3
分析仪2下载标准就来标准下载网
(1)如图2连接测试环境,配置DSLAM上联端口1为镜像源端口,上联端口2为镜像目的端口,镜像端口1双方向的流;
(2)网络分析仪1和网络分析仪3互发广播与组播和单播以太网顿。7
YD/T2049-2009
4.10.4预期结果
在步骤(2)中,网络分析仪1和3应可正常通信,网络分析仪2应可以收到网络分析仪1和网络分析仪3发出的顿。
4.11协议报文限速
4.11.1测试目的
DSLAM设备应支持对每用户端口发送的特定协议报文(例如,DHCP、IGMP、ICMP等)进行限速处理。
4.11.2测试配置
测试配置如图1所示。
4.11.3测试步骤
(1)在DSLAM中开启对特定协议报文的限速功能,设定每端口的限制速率X;(2)配置网络分析仪1分别发送类型为DHCPDiscover、IGMPReport(v1、v2)和PING的流,速率Y (Y>X)。
4.11.4预期结果
网络分析仪3接收到的网络分析仪1发送的各种协议流的速率均小于等于X。4.12用户环网检测
4.12.1测试目的
DSLAM设备应支持对用户侧端口是否成环的检测,防止环网形成。4.12.2测试配置
测试配置如图3所示。
网络分析仪2
4.12.3测试步骤
图3用户环网检测功能测试配置
网络分析仪1
(1)按照图3建立组网连接,其中虚线部分不进行连接,并开启DSLAM的用户环网检测功能;(2)网络分析仪1分别与CPE1、CPE2和CPE3相连,确认3个CPE都能和DSLAM正常收发包;(3)将CPE2的用户端口用交叉网线连接成环,网络分析仪1与CPE1相连,并与网络分析仪2之间发送双向数据流;
(4)将CPE2的用户端口环解除,将CPE2的用户端口与CPE3的用户端口用交叉网线相连;(5)网络分析仪1与CPE1相连,并与网络分析仪2之间发送双向数据流。4.12.4预期结果
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。