YD/T 2047-2009
基本信息
标准号: YD/T 2047-2009
中文名称:接入网设备安全测试方法 —— xDSL 用户端设备
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2047-2009.Test method of security for access network equipment 一一 xDSL CPE.
1范围
YD/T 2047规定了xDSL用户端设备用户平面安全功能的测试方法、控制平面安全功能的测试方法、管理平面安全功能测试方法和可靠性测试方法。
YD/T 2047适用于公众电信网的xDSL用户端设备,专用电信网也可参考使用。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1082-2000接入网设备过电压过电流防护及基本环境适应性技术条件
IEEE 802.1D媒体访问控制网桥
EEE 802.1Q虚拟桥接局域网
IEEE 802.1X基于端口的网络接入控制
IEEE 802.1ag连接性故障管理
IEEE 802.3CSMACD存取方法和物理层规范
3缩略语
下列缩略语适用于本标准。
ARP Address Resolution Protocol 地址解析协议
CPE Customer Premises Equipment 用户驻地设备
DHCP Dynamic Host Config Protocol 动态主机配置协议
4用户平面安全功能测试
以下图中xDSL用户端设备均简写为CPE。
4.1帧过滤功能
4.1.1测试目的
按照YDT 2046-2009《接入网安全技术要求 —— xDSL 用户端设备》的规定,类型1、类型2、类型3和类型4的xDSL用户端设备应支持对NETBEUI、BPDU、 GVRP、GMRP等MAC帧(见表1)进行过滤,可选支持针对MAC源地址和/或目的地址设置过滤条目。
1范围
YD/T 2047规定了xDSL用户端设备用户平面安全功能的测试方法、控制平面安全功能的测试方法、管理平面安全功能测试方法和可靠性测试方法。
YD/T 2047适用于公众电信网的xDSL用户端设备,专用电信网也可参考使用。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1082-2000接入网设备过电压过电流防护及基本环境适应性技术条件
IEEE 802.1D媒体访问控制网桥
EEE 802.1Q虚拟桥接局域网
IEEE 802.1X基于端口的网络接入控制
IEEE 802.1ag连接性故障管理
IEEE 802.3CSMACD存取方法和物理层规范
3缩略语
下列缩略语适用于本标准。
ARP Address Resolution Protocol 地址解析协议
CPE Customer Premises Equipment 用户驻地设备
DHCP Dynamic Host Config Protocol 动态主机配置协议
4用户平面安全功能测试
以下图中xDSL用户端设备均简写为CPE。
4.1帧过滤功能
4.1.1测试目的
按照YDT 2046-2009《接入网安全技术要求 —— xDSL 用户端设备》的规定,类型1、类型2、类型3和类型4的xDSL用户端设备应支持对NETBEUI、BPDU、 GVRP、GMRP等MAC帧(见表1)进行过滤,可选支持针对MAC源地址和/或目的地址设置过滤条目。
标准图片预览
标准内容
ICS33.040.50
中华人民共和国通信行业标准
YD/T 2047-2009
接入网设备安全测试方法
xDSL用户端设备
Test method of security for access network equipment-XDSL CPE
2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部发布言
范围…
2规范性引用文件·
3缩略语·
4用户平面安全功能测试…
5控制平面安全功能测试…
6管理平面安全功能测试
过压、过流保护功能测试··
TKAONIKAca
YD/T 2047-2009
YD/T2047-2009
本标准是接入网安全系列标准之一,该系列标准预计结构及名称如下:1.YD/T2046-2009接入网安全技术要求----xDSL用户端设备2.YD/T2047-2009接入网设备安全测试方法xDSL用户端设备3.YD/T2048一2009接入网安全技术要求——DSL接入复用器(DSLAM)设备4.YD/T2049-2009接入网设备安企测试方法-DSL接入复用器(DSLAM)设备5.YD/T2050-2009接入网安全技术要求—无源光网络(PON)设备6.YD/T2051-2009接入网设备安全测试方法无源光网络(PON)设备7.YD/T1910-2009接入网安全技术要求—一综合接入系统8.接入网设备安全测试方法一综合接入系统本标推与YD/T2046-2009接入网安全技术要求”配套使用。本标由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院,中兴通讯股份有限公司、华为技术有限公司、上海贝尔阿尔卡特股份有限公司、国家计算机网络应急技术处理协调中心。本标雅主要起草人:葛坚、敖立、刘谦、党梅梅、程强、赵苹、陈洁、李云洁、陆洋、袁立权、刘卫岗、朱建华。
1范围
接入网设备安全测试方法
YD/T 2047-2009
一XDSL用户端设备
本标准规定了xDSL用户端设备用户平面安全功能的测试方法、控制平面安全功能的测试方法、管理平面安全功能测试方法和可靠性测试方法。本标准适用于公众电信网的xDSL用户端设备,专用电信网也可参考使用。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用丁本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 1082-2000
IEEE 802.1D
IEEE802.1Q
EEE 802.1X
IEEE802.1ag
TEFE 802.3
缩略语
接入网设备过电压过电流防护及基本环境适应性技术条件媒体访间控制网桥
虚拟桥接局域网
基于端口的网络接入控制
连接性故障管理
CSMA/CD存取方法和物理层规范
下列缩略语适用于本标准。
Address Resolution Protocol
Customer Premises Equipment
Dynamic Host Config ProtocolDe-Militarized Zone
Digital Subscriber Line AccessMulbplexerHyperText Transfer Protocol
Inlernet Group Management ProtocolInternet Protocol
Media Access Control
Network Address Translation
Public Switched Telephone NetworkSimple Network Manageinent ProtocolSecure Shell
Secure Socket Layer
Transmission Cantrol ProtocolTTKAONIKAca
地址解析协议
用户驻地设备
动态主机配置协议
非管理区
数字用户线接入复用器
超文本传输协议
因特网组管理协议
互联网协议
媒质访问控制
网络地址转换
公用电话交换网
简单网络管理协议
安全Shell
安全套接字层
传输控制协议
YD/T2047-2009
Uniforn / Universal Resource LocatorVoice over IP
Virtual Priyate Network
Virtual Local Area Network
Wide Area Network
4用户平面安全功能测试
以下图中xDSL用户端设备均简写为CPE。4.1颠过滤功能
4.1.1 测试目的
按照YD/T2046-2009《接入网安全技术要求统一资源定位符
IP语音
虚拟专网
虚拟局域网
广域网
xDSL用户端设备》的规定,类型1、类型2、类型3和类型4的xDSL用户端设备应支持对NETBEUI、BPDU、GVRP、GMRP等MAC帧(见表1)进行过滤可选支持针对MAC源地址和/或目的地址设置过滤条目。表1预定义和保留地址的MAC顿赖处理甘的MAC 地址
01-80-C2-00-00-00
01-80-C2-00-00-01
01-80-C2-00-00-02
01-80-C2-00-00-03
01-80-C2-00-00-04
01-80-C2-00-00-0F
01-80-C2-00-00-10
01-80-C2-00-00-20
01-80-C2-00-00-21
01-80-C2-00-00-22
01-80-C2-00-00-2F
01-80-C2-xx-xx-xy
测试配置
桥组地址(BPDUs)
慢速协设
(LACP, EFM OAM PDUs)
EAP over LANs
所有 LAN 的桥管理地址
保留 GARP 应用地址
分析仪1
分析仪2
4.1.3测试步骤
缺省行为
Forward
可选配置
Forward
图 1 顿过滤功能测试配盘
引用标准
IEEE 802.ID, Table 7-9
TEEE802.3
IEEE 802.3, Table 43B-1
TEEE 802.1X,Table 7-2
IEEE 802.1D, Table 7-9
IEEE 802.1D, Table 7-10
IEEE 802.1D, Table 12-1
IEEE 802.1Q, Table 11-1
IEEE 802.1D, Table 12-1
IEEE 802.1ag-D6, Table 8-9
分析仪3
(1)按照图1建立组网连接,关闭DSLAM顺过滤功能,配置CPE1,使网络分析仪1和网络分析仪3之问能正常收发数据流:
(2)设置CPE1过滤MAC源和/或目的地址规则:YD/T 2047-2009
(3)网络分析仪1向网络分析仪3发送MAC源和/或目的地址为被过滤MAC源和/或目的地址的测试(4)取消之前的配置,网络分析仪1向网络分析仪3发送MAC目的地址为表1的地址的測试顿:(5)如果CPE支持可选配置,配置CPE1,将CPE1中的MAC顿的处理方式由“缺省行为”改变为“可选配置
(6)网络分析仪1向网络分析仪3发送MAC目的地址为表1中的地址的测试恢。4.1.4预期结果
(1)步骤(3)中,网络分析仪3不能收到测试顿(2)步骤(4)中,CPE1对测试顿的处理应符合表1中的缺省行为:(3)步骤(6)中,CPE1对测试顿的处理应符合表1中的可选配置。4.2MAC地址表深度控制功能
4.2.1测试目的
类型1、类型2、类型3和类型4的xDSL用户端设备应当可以配置并限制学习到的源MAC地址的数量。4.2.2测试配置
如图1所示。
4.2.3测试步骤
(1)按照图1建立组网连接:
(2)设置CPE从端口学习到的源MAC地址数量,数值小于DSLAM设置的每端口MAC地址学习数量限制
(3)网络分析仪1连续发送具有不同源MAC地址的测试顿,其中源MAC地址数自大于CPE预设值;
(4)查看网络分析仪 3收到的源MAC地址数目以及对超过源MAC数量限定的流是否丢弃。4.2.4预期结果
在步骤(4)中,学习到的MAC地址数量应等于记置的数量限值,且对于超出的流应进行丢弃。4.3NAT穿越功能测试
4.3.1测试目的
类型2、类型3和类型4的xDSL用户端设备支持并且实现NAT/NAPT功能时,应支持对IPSec、L2TP和PPTP等VPN协议的透传,可选提供基于IPSec的VPNClient功能。4.3.2测试配靠
如图1所示。
4.3.3测试步骤
(1)如图组网连接,配置CPE上的NAT/NAPT功能:(2)配置协议分析仪1和协议分析仪2发送VPN协议报文:(3)配置协议分析仪3发送VPN协议报文。4.3.4预期结果
(1)在步骤(2)中,协议分析仪3可以收到协议分析仪1和2发送的报文:3
TTKAONIKAca
YD/T 2047-2009
(2)在步骤(3)中,协议分析仪1和2可以收到协议分析仪3发送的报文。4.4广播顿速率抑制
4.4.1测试目的
类型2、类型3和类型4的xDSL用户端设备应对协议特定的广播/多播包(例如DHCP、ARP、IGMP等)进行抑制。应具备对其他二层广播报文进行速率限制的功能。4.4.2测试配置
如图1所示。
4.4.3测试步骤
(1)按照图1建立组网连接,关闭DSLAM速率限制功能:(2)网络分析仪1和2向网络分析仪3发送协议特定的广播/多播包:(3)网络分析仪3向网络分析仪1和2发送协议特定的广播/多播包;(4)配實PE全局抑制对应的产播/多播包的速率:(5)网络分析仪1和2向网络分析仪3全速发送广播/多播包:(6)网络分析仪3向网络分析仪1和2金速发送广播/多播包。4.4.4预期结果
(1)步骤(2)和步骤(3)中,双向都能收到全部的广播/多播包:(2)步骤(5)和步骤(6)中,双向收到的广播/多播包应符合预先设置的抑制策略。4.5ASTP、STP协设功能测试
4.5.1测试目的
类型2、类型3和类型4的xDSL用户端设备应支持RSTP协议,RSTP协议要求见IEEE802.1D媒体访问控制网桥》。可选支持STP协议。4.5.2测试配置
图2RSTP测试配置
4.5.3测试步骤
(1)按照图2配置测试系统
(2)激活CPE端口的RSTP功能,在控制台查看所有端口的状态:(3)断开另外一条转发状态的链路,在控制台查看端口状态:(4)恢复原来的连接,在控制台查看所有端口的状态。4.5.4预期结果
(1)在步骤(2)中,可以看到一个端口处TBlock状态,另外一个端口处于Forward状态,(2)在步骤(3)中,可以查看到端口立即从Bluck状态变成Forward状态。(3)在步骤(4)中,在原来的连接恢复后,所有端口的状态恢复为原来的状态。4.6防火墙等级设定功能测试
4.6.1测试目的
类型3和类型4的xDSL用户端设备应支持防火墙等级设置。4.6.2测试配置
如图1所示。免费标准bzxz.net
4.6.3 测试步骤
(1)连接如图,登录CPE,配置其防火墙设置:(2)检查防火墙的配置。
4.6.4预期结果
YD/T 2047-2009
步骤(2中)xDSL用户端设备应支持防火墙高、中、低等级设置,每个安全等级的内容可以修改。可选在本地Web界面配置防火墙的等级,分为高、中、低三级。4.7报文丢弃功能测试
4.7.1测试目的
类型3和类型4的xDSL月户端设备应支持丢弃以下类型的报文:。源与日的地址相同的报文:
。源地址为广播的报文:
争非法碎片IP报文。
4.7.2测试配置
如图1所示。
4.7.3测试步骤
(1)协设分析议1和2向协议分析仪3发送源与自的地址相同的报支:(2)协议分析仪1和2向协议分析仪3发送源地址为广播的报文:(3)协议分析仪1和2向协议分析仪3发送非法碎片P报文。4.7.4预期结果
(1)在步骤1)中,协议分析仪3收不到协议分析仪1和2发送的报文:(2)在步骤2)中,协议分析仪3收不到协议分析仪1和2发送的报文:(3)在步骤3)中,协议分析仪3收不到协议分析仪1和2发送的报文。4.8防火墙过滤功能测试
4.8.1测试目的
类型3和类型4xDSL设备应具备防火墙过滤功能。4.8.2测试配置
如图1所示。
4.8.3测试步骤
(1)测试环境连接如图1所示,配置xDSL户端设备的防火墙规测:(2)网络分析仪1和2发送报文,根据源、目的P地址及子网掩码配置防火墙规则;(3)检查网络分析仪3收到的报文:(4)网络分析仪1和2发送报文,根据源、目的MAC地址配置防火墙规则;(5)检查网络分析仪3收到的报文;5
TTKAONIKAca
YD/T 2047-2009
(6)网络分析仪1和2发送P报文,根据P源端口及范围段、目的端口及范围段配置防火墙规则(7)检查网络分析仪3收到的报文;(8)网络分析仪1和2发送IP报文,根据Ethertype配置防火墙规则:(9)检查网络分析仪3收到的报文;(10)网络分析仪1和2发送P报文,根据以太网包的传输层协议类型进行报文过滤,要求有IPaE/PPPoE/ARP的选项;
(11)检查网络分析议3收到的报文:(12)网络分析仪1和2发送IP报文:根据IP包的传输层协议类型进行报文过滤,要求有TCP/UDP/ICMP/TCP+UDP/ANY的选项:(13)检查网络分析仪3收到的报文。4.B.4预期结果
(1)步骤(3)中,网络分析仪3收到的报文符合防火墙的配置规则:(2)步骤(5)中,网络分析仪3收到的报文符合防火墙的配置规则:(3)步骤(7)中,网络分析仪3收到的报文符合防火墙的配置规则:(4)步骤(9)中,网络分析仪3收到的报文符合防火墙的配置规则;(5)步骤(13)中,网络分析仪3收到的报文符合防火墙的配置规则。4.9防攻击功能测试
4.9.1测试目的
类型3和类型4的xDSL月广端设备应支持防DoS攻山功能,对收到的数据包进行解析,并判断是否为DoS攻击,对于DoS攻击的报文进行防DoS攻出处理。4.9.2测试配置
分析议2
分析仅1
4.9.3测试步骤
图3防攻击功能测试配置
(1)按图3连接测试环境,配置CPE1的防攻山策略:二三层
交换机
(2)配置网络分析仪1和网络分析仪2互发一定速率的单播以太网顺:附络安全
(3)网络安全分析仪以CPEIWAN口管理地址A.B.C.D为目标行DoS攻测试,DoS攻出的类型包猛: Ping of Death, SYN Flooding、 ARPFlooding- Spoofing、LAND、 Smurf.(4)网络安全分析仪停止DaS攻击。4.9.4预期结果
(1)在步(3)中,网络分析仪1和网络分析仪2之问正常的单播以太网数据业务流不会中断,攻击过程中,设备不能死机;
(2)步骤(4)中,网络分析仪1和网络分析仪2之间正常的单播以太网数据正常转发,无丢包,停止攻击后,设备能恢复正常工作。6
4.10防端口扫描功能
4.10.1测试目的
类型3和类型4的xDSL用户端设备应支持防端口扫描功能,4.10.2测试配置
如图3所示。
4.10.3测试步骤
YD/T 2047-2009
(1)连接如图3所示,关闭DLSLAM的防端口扫描功能,开肩CPE的防端口扫描功能:(2)网络安全分析仪对CPE的WAN口进行扫描:(3)查看网络分析仪1和网络分析2收到拍报文。4.10.4预期结果
步骤(3)中,CPF不应响应扫描。4.11基于用户账号的防火墙配置功能测试(可选)4.11.1测试目的
类型3和类型4的DSL用户端设备可选支持用户账号与防火墙策略的绑定。不同用户账号可以凸动片用对应的防火墙策略。
4.11.2测试配置
如图1所示。
4.11.3测试步骤
(1)测试环境连接如图1所示,配置用户账-号USER1及USER2,CPE1配置防火墙策略1及策略2,USER1绑定策略1,USER2绑定策略2(2)协议分析仪1使用USER1向协议分析仪3发送-定策略的报文:(3)协议分析仪1使用USER2向协议分析仪3发送-定策略的报文。4.11.4预期结果
(1)步骤(2)1,协设分析仪3收到的报文符合策略1的配置(2)步骤(3)中,协议分析仪3收到的报文符合策略2的配置。4.12MAC地址可控功能
4.12.测试目的
类型3和类型4的xDSL用户端设备应当可以配置并限制学习到的源MAC地址的数量。地址表深度不小J-256.
4.12.2测试配置
如图1所示。
4.12.3测试步骤
见4.2.3。
4.12.4预期结果
见4.2.4。
4.13 DMZ 功能
4.13.1 测试目的
TTKAONIKAca
YD/T 2047-2009
类型3的xDSL用户端设备应支持DMZ功能。4.13.2测试配置
4.13.3测试步骤
图 4 DMZ 功能测试配量
LP网络
(I)测试环境连接如图4所示,CPE正常连接网络,开启PC1的Web服务:(2)开启CPE的DMZ功能,指定为PC1(3)PC2使用CPE的LP地址访问PC1的Web服务。4.13.4预期结果
步骤(3)中,PC2可以正常访问PC1的Web服务,4.14URL访问控制功能
4.14.1测试且的
xDSL用户端设备应支持设置黑白名单,实现URL访问控制功能。黑白名单应支持与账号绑定。4.14.2测试配置
如图4所示。
4.143测试步骤
(1)測试环境连接如图4所示,CPE正常连接网络:(2)开启黑名单,将URL1添加至黑名单:(3)PC1访间URL1和URL2;
(+)关闭黑名单,开启白名单,将URLI添加至白名单:(5)PC1访问URLI和URL2。
4.14.4预期结果
(1)步骤(3)中,PC1不能浏览URL1,可以浏览URL2:(2)步骤(4)中,PC1可以浏览URL1,不能浏览URL24.15逃生动能测试(可选)
4.15.1测试目的
淡型4的xDSL月户端设备可选支持VoP业务的LP网络故障逃生、断巴逃生功能,即当IP网络故障或CPE密电时,能够切换到PSTN线路,4.15.2测试配量
软交长
图5 迷生功能别试配量
4.15.3测试步骤
YD/T2047-2009
(1)测试环境连接如图5所示,在CPE上配置逃生功能,关闭DSLAM的逃生功能,默认情况下DSLAM为软交换下用户,用户拨打电话:(2)断开DSLAM与软交换的连接,用户拨打电话。4.15.4预期结果
(1)步骤(1)中,用户可正常拨打电话:(2)步骤(2)中,用户可正常拨打电话。5控制平面安全功能测试
5.1GMPSnooping代理功能
5.1.1测试目的
类型3和类型4的xDSL用户端设备应支持IGMPSnooping代理功能。多端口的xDSL用户端设备应支持IGMPSnooping功能。5.1.2测试配置
如图1所示。
5.1.3测试步骤
(1)按图1连接测试环境,开启xDSL中的IGMPSnooping代理功能,关闭DSLAM的IGMPSnooping代理功能;
(2)配置网络分析仪3仿真组播路由器功能,配置组播频道239.1.1.1,并周期性发送IGMPQucry消息;
(3)增加节日239.1.1.1,并将分析仪1和2用户加入观看权限;(4)网络分析仪1发送IGMPreport报文申请加入239.1.1.1的节日组:(5)网络分析仪2发送IGMPreport报文申请加入239.1.1.1的节H组:(6)网络分析仪1发送IGMIPleave报文申请离开239.1.1.1的节目组:(7)网络分析仪2发送IGMPleave报文申请离开239.1.1.1的节日组。5.1.4预期结果
(1)在步骤(4)中,网络分析仪3应收到CPE发出的IGMPreport报文请求239.1.1.1的节目,网络分析仪1应收到该节目流,查源P地址:(2)在步骤(5)中,网络分析仪3不应收到DSLAM发出的请求239.1.1.1的节目,网络分析仪2应收到该节目流:
(3)在步骤(6)中,网络分析仪3不应收到IGMPleave报文,网络分析仪1收到的节目流应停止:(4)在步骤(7)中,网络分析仪3应收到CPE发出的IGMPleave报文,网络分析仪2收到的节目流应停止。
5.2非法组播源控制功能
5.2.1测试目的
类型3和类型4的xDSL用户端设备应防止用户做源的组播。可以禁正用户端口发出的IGMPQuery和组播数据报文。
5.2.2测试配舌
TTKAONIKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 2047-2009
接入网设备安全测试方法
xDSL用户端设备
Test method of security for access network equipment-XDSL CPE
2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部发布言
范围…
2规范性引用文件·
3缩略语·
4用户平面安全功能测试…
5控制平面安全功能测试…
6管理平面安全功能测试
过压、过流保护功能测试··
TKAONIKAca
YD/T 2047-2009
YD/T2047-2009
本标准是接入网安全系列标准之一,该系列标准预计结构及名称如下:1.YD/T2046-2009接入网安全技术要求----xDSL用户端设备2.YD/T2047-2009接入网设备安全测试方法xDSL用户端设备3.YD/T2048一2009接入网安全技术要求——DSL接入复用器(DSLAM)设备4.YD/T2049-2009接入网设备安企测试方法-DSL接入复用器(DSLAM)设备5.YD/T2050-2009接入网安全技术要求—无源光网络(PON)设备6.YD/T2051-2009接入网设备安全测试方法无源光网络(PON)设备7.YD/T1910-2009接入网安全技术要求—一综合接入系统8.接入网设备安全测试方法一综合接入系统本标推与YD/T2046-2009接入网安全技术要求”配套使用。本标由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院,中兴通讯股份有限公司、华为技术有限公司、上海贝尔阿尔卡特股份有限公司、国家计算机网络应急技术处理协调中心。本标雅主要起草人:葛坚、敖立、刘谦、党梅梅、程强、赵苹、陈洁、李云洁、陆洋、袁立权、刘卫岗、朱建华。
1范围
接入网设备安全测试方法
YD/T 2047-2009
一XDSL用户端设备
本标准规定了xDSL用户端设备用户平面安全功能的测试方法、控制平面安全功能的测试方法、管理平面安全功能测试方法和可靠性测试方法。本标准适用于公众电信网的xDSL用户端设备,专用电信网也可参考使用。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用丁本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 1082-2000
IEEE 802.1D
IEEE802.1Q
EEE 802.1X
IEEE802.1ag
TEFE 802.3
缩略语
接入网设备过电压过电流防护及基本环境适应性技术条件媒体访间控制网桥
虚拟桥接局域网
基于端口的网络接入控制
连接性故障管理
CSMA/CD存取方法和物理层规范
下列缩略语适用于本标准。
Address Resolution Protocol
Customer Premises Equipment
Dynamic Host Config ProtocolDe-Militarized Zone
Digital Subscriber Line AccessMulbplexerHyperText Transfer Protocol
Inlernet Group Management ProtocolInternet Protocol
Media Access Control
Network Address Translation
Public Switched Telephone NetworkSimple Network Manageinent ProtocolSecure Shell
Secure Socket Layer
Transmission Cantrol ProtocolTTKAONIKAca
地址解析协议
用户驻地设备
动态主机配置协议
非管理区
数字用户线接入复用器
超文本传输协议
因特网组管理协议
互联网协议
媒质访问控制
网络地址转换
公用电话交换网
简单网络管理协议
安全Shell
安全套接字层
传输控制协议
YD/T2047-2009
Uniforn / Universal Resource LocatorVoice over IP
Virtual Priyate Network
Virtual Local Area Network
Wide Area Network
4用户平面安全功能测试
以下图中xDSL用户端设备均简写为CPE。4.1颠过滤功能
4.1.1 测试目的
按照YD/T2046-2009《接入网安全技术要求统一资源定位符
IP语音
虚拟专网
虚拟局域网
广域网
xDSL用户端设备》的规定,类型1、类型2、类型3和类型4的xDSL用户端设备应支持对NETBEUI、BPDU、GVRP、GMRP等MAC帧(见表1)进行过滤可选支持针对MAC源地址和/或目的地址设置过滤条目。表1预定义和保留地址的MAC顿赖处理甘的MAC 地址
01-80-C2-00-00-00
01-80-C2-00-00-01
01-80-C2-00-00-02
01-80-C2-00-00-03
01-80-C2-00-00-04
01-80-C2-00-00-0F
01-80-C2-00-00-10
01-80-C2-00-00-20
01-80-C2-00-00-21
01-80-C2-00-00-22
01-80-C2-00-00-2F
01-80-C2-xx-xx-xy
测试配置
桥组地址(BPDUs)
慢速协设
(LACP, EFM OAM PDUs)
EAP over LANs
所有 LAN 的桥管理地址
保留 GARP 应用地址
分析仪1
分析仪2
4.1.3测试步骤
缺省行为
Forward
可选配置
Forward
图 1 顿过滤功能测试配盘
引用标准
IEEE 802.ID, Table 7-9
TEEE802.3
IEEE 802.3, Table 43B-1
TEEE 802.1X,Table 7-2
IEEE 802.1D, Table 7-9
IEEE 802.1D, Table 7-10
IEEE 802.1D, Table 12-1
IEEE 802.1Q, Table 11-1
IEEE 802.1D, Table 12-1
IEEE 802.1ag-D6, Table 8-9
分析仪3
(1)按照图1建立组网连接,关闭DSLAM顺过滤功能,配置CPE1,使网络分析仪1和网络分析仪3之问能正常收发数据流:
(2)设置CPE1过滤MAC源和/或目的地址规则:YD/T 2047-2009
(3)网络分析仪1向网络分析仪3发送MAC源和/或目的地址为被过滤MAC源和/或目的地址的测试(4)取消之前的配置,网络分析仪1向网络分析仪3发送MAC目的地址为表1的地址的測试顿:(5)如果CPE支持可选配置,配置CPE1,将CPE1中的MAC顿的处理方式由“缺省行为”改变为“可选配置
(6)网络分析仪1向网络分析仪3发送MAC目的地址为表1中的地址的测试恢。4.1.4预期结果
(1)步骤(3)中,网络分析仪3不能收到测试顿(2)步骤(4)中,CPE1对测试顿的处理应符合表1中的缺省行为:(3)步骤(6)中,CPE1对测试顿的处理应符合表1中的可选配置。4.2MAC地址表深度控制功能
4.2.1测试目的
类型1、类型2、类型3和类型4的xDSL用户端设备应当可以配置并限制学习到的源MAC地址的数量。4.2.2测试配置
如图1所示。
4.2.3测试步骤
(1)按照图1建立组网连接:
(2)设置CPE从端口学习到的源MAC地址数量,数值小于DSLAM设置的每端口MAC地址学习数量限制
(3)网络分析仪1连续发送具有不同源MAC地址的测试顿,其中源MAC地址数自大于CPE预设值;
(4)查看网络分析仪 3收到的源MAC地址数目以及对超过源MAC数量限定的流是否丢弃。4.2.4预期结果
在步骤(4)中,学习到的MAC地址数量应等于记置的数量限值,且对于超出的流应进行丢弃。4.3NAT穿越功能测试
4.3.1测试目的
类型2、类型3和类型4的xDSL用户端设备支持并且实现NAT/NAPT功能时,应支持对IPSec、L2TP和PPTP等VPN协议的透传,可选提供基于IPSec的VPNClient功能。4.3.2测试配靠
如图1所示。
4.3.3测试步骤
(1)如图组网连接,配置CPE上的NAT/NAPT功能:(2)配置协议分析仪1和协议分析仪2发送VPN协议报文:(3)配置协议分析仪3发送VPN协议报文。4.3.4预期结果
(1)在步骤(2)中,协议分析仪3可以收到协议分析仪1和2发送的报文:3
TTKAONIKAca
YD/T 2047-2009
(2)在步骤(3)中,协议分析仪1和2可以收到协议分析仪3发送的报文。4.4广播顿速率抑制
4.4.1测试目的
类型2、类型3和类型4的xDSL用户端设备应对协议特定的广播/多播包(例如DHCP、ARP、IGMP等)进行抑制。应具备对其他二层广播报文进行速率限制的功能。4.4.2测试配置
如图1所示。
4.4.3测试步骤
(1)按照图1建立组网连接,关闭DSLAM速率限制功能:(2)网络分析仪1和2向网络分析仪3发送协议特定的广播/多播包:(3)网络分析仪3向网络分析仪1和2发送协议特定的广播/多播包;(4)配實PE全局抑制对应的产播/多播包的速率:(5)网络分析仪1和2向网络分析仪3全速发送广播/多播包:(6)网络分析仪3向网络分析仪1和2金速发送广播/多播包。4.4.4预期结果
(1)步骤(2)和步骤(3)中,双向都能收到全部的广播/多播包:(2)步骤(5)和步骤(6)中,双向收到的广播/多播包应符合预先设置的抑制策略。4.5ASTP、STP协设功能测试
4.5.1测试目的
类型2、类型3和类型4的xDSL用户端设备应支持RSTP协议,RSTP协议要求见IEEE802.1D媒体访问控制网桥》。可选支持STP协议。4.5.2测试配置
图2RSTP测试配置
4.5.3测试步骤
(1)按照图2配置测试系统
(2)激活CPE端口的RSTP功能,在控制台查看所有端口的状态:(3)断开另外一条转发状态的链路,在控制台查看端口状态:(4)恢复原来的连接,在控制台查看所有端口的状态。4.5.4预期结果
(1)在步骤(2)中,可以看到一个端口处TBlock状态,另外一个端口处于Forward状态,(2)在步骤(3)中,可以查看到端口立即从Bluck状态变成Forward状态。(3)在步骤(4)中,在原来的连接恢复后,所有端口的状态恢复为原来的状态。4.6防火墙等级设定功能测试
4.6.1测试目的
类型3和类型4的xDSL用户端设备应支持防火墙等级设置。4.6.2测试配置
如图1所示。免费标准bzxz.net
4.6.3 测试步骤
(1)连接如图,登录CPE,配置其防火墙设置:(2)检查防火墙的配置。
4.6.4预期结果
YD/T 2047-2009
步骤(2中)xDSL用户端设备应支持防火墙高、中、低等级设置,每个安全等级的内容可以修改。可选在本地Web界面配置防火墙的等级,分为高、中、低三级。4.7报文丢弃功能测试
4.7.1测试目的
类型3和类型4的xDSL月户端设备应支持丢弃以下类型的报文:。源与日的地址相同的报文:
。源地址为广播的报文:
争非法碎片IP报文。
4.7.2测试配置
如图1所示。
4.7.3测试步骤
(1)协设分析议1和2向协议分析仪3发送源与自的地址相同的报支:(2)协议分析仪1和2向协议分析仪3发送源地址为广播的报文:(3)协议分析仪1和2向协议分析仪3发送非法碎片P报文。4.7.4预期结果
(1)在步骤1)中,协议分析仪3收不到协议分析仪1和2发送的报文:(2)在步骤2)中,协议分析仪3收不到协议分析仪1和2发送的报文:(3)在步骤3)中,协议分析仪3收不到协议分析仪1和2发送的报文。4.8防火墙过滤功能测试
4.8.1测试目的
类型3和类型4xDSL设备应具备防火墙过滤功能。4.8.2测试配置
如图1所示。
4.8.3测试步骤
(1)测试环境连接如图1所示,配置xDSL户端设备的防火墙规测:(2)网络分析仪1和2发送报文,根据源、目的P地址及子网掩码配置防火墙规则;(3)检查网络分析仪3收到的报文:(4)网络分析仪1和2发送报文,根据源、目的MAC地址配置防火墙规则;(5)检查网络分析仪3收到的报文;5
TTKAONIKAca
YD/T 2047-2009
(6)网络分析仪1和2发送P报文,根据P源端口及范围段、目的端口及范围段配置防火墙规则(7)检查网络分析仪3收到的报文;(8)网络分析仪1和2发送IP报文,根据Ethertype配置防火墙规则:(9)检查网络分析仪3收到的报文;(10)网络分析仪1和2发送P报文,根据以太网包的传输层协议类型进行报文过滤,要求有IPaE/PPPoE/ARP的选项;
(11)检查网络分析议3收到的报文:(12)网络分析仪1和2发送IP报文:根据IP包的传输层协议类型进行报文过滤,要求有TCP/UDP/ICMP/TCP+UDP/ANY的选项:(13)检查网络分析仪3收到的报文。4.B.4预期结果
(1)步骤(3)中,网络分析仪3收到的报文符合防火墙的配置规则:(2)步骤(5)中,网络分析仪3收到的报文符合防火墙的配置规则:(3)步骤(7)中,网络分析仪3收到的报文符合防火墙的配置规则:(4)步骤(9)中,网络分析仪3收到的报文符合防火墙的配置规则;(5)步骤(13)中,网络分析仪3收到的报文符合防火墙的配置规则。4.9防攻击功能测试
4.9.1测试目的
类型3和类型4的xDSL月广端设备应支持防DoS攻山功能,对收到的数据包进行解析,并判断是否为DoS攻击,对于DoS攻击的报文进行防DoS攻出处理。4.9.2测试配置
分析议2
分析仅1
4.9.3测试步骤
图3防攻击功能测试配置
(1)按图3连接测试环境,配置CPE1的防攻山策略:二三层
交换机
(2)配置网络分析仪1和网络分析仪2互发一定速率的单播以太网顺:附络安全
(3)网络安全分析仪以CPEIWAN口管理地址A.B.C.D为目标行DoS攻测试,DoS攻出的类型包猛: Ping of Death, SYN Flooding、 ARPFlooding- Spoofing、LAND、 Smurf.(4)网络安全分析仪停止DaS攻击。4.9.4预期结果
(1)在步(3)中,网络分析仪1和网络分析仪2之问正常的单播以太网数据业务流不会中断,攻击过程中,设备不能死机;
(2)步骤(4)中,网络分析仪1和网络分析仪2之间正常的单播以太网数据正常转发,无丢包,停止攻击后,设备能恢复正常工作。6
4.10防端口扫描功能
4.10.1测试目的
类型3和类型4的xDSL用户端设备应支持防端口扫描功能,4.10.2测试配置
如图3所示。
4.10.3测试步骤
YD/T 2047-2009
(1)连接如图3所示,关闭DLSLAM的防端口扫描功能,开肩CPE的防端口扫描功能:(2)网络安全分析仪对CPE的WAN口进行扫描:(3)查看网络分析仪1和网络分析2收到拍报文。4.10.4预期结果
步骤(3)中,CPF不应响应扫描。4.11基于用户账号的防火墙配置功能测试(可选)4.11.1测试目的
类型3和类型4的DSL用户端设备可选支持用户账号与防火墙策略的绑定。不同用户账号可以凸动片用对应的防火墙策略。
4.11.2测试配置
如图1所示。
4.11.3测试步骤
(1)测试环境连接如图1所示,配置用户账-号USER1及USER2,CPE1配置防火墙策略1及策略2,USER1绑定策略1,USER2绑定策略2(2)协议分析仪1使用USER1向协议分析仪3发送-定策略的报文:(3)协议分析仪1使用USER2向协议分析仪3发送-定策略的报文。4.11.4预期结果
(1)步骤(2)1,协设分析仪3收到的报文符合策略1的配置(2)步骤(3)中,协议分析仪3收到的报文符合策略2的配置。4.12MAC地址可控功能
4.12.测试目的
类型3和类型4的xDSL用户端设备应当可以配置并限制学习到的源MAC地址的数量。地址表深度不小J-256.
4.12.2测试配置
如图1所示。
4.12.3测试步骤
见4.2.3。
4.12.4预期结果
见4.2.4。
4.13 DMZ 功能
4.13.1 测试目的
TTKAONIKAca
YD/T 2047-2009
类型3的xDSL用户端设备应支持DMZ功能。4.13.2测试配置
4.13.3测试步骤
图 4 DMZ 功能测试配量
LP网络
(I)测试环境连接如图4所示,CPE正常连接网络,开启PC1的Web服务:(2)开启CPE的DMZ功能,指定为PC1(3)PC2使用CPE的LP地址访问PC1的Web服务。4.13.4预期结果
步骤(3)中,PC2可以正常访问PC1的Web服务,4.14URL访问控制功能
4.14.1测试且的
xDSL用户端设备应支持设置黑白名单,实现URL访问控制功能。黑白名单应支持与账号绑定。4.14.2测试配置
如图4所示。
4.143测试步骤
(1)測试环境连接如图4所示,CPE正常连接网络:(2)开启黑名单,将URL1添加至黑名单:(3)PC1访间URL1和URL2;
(+)关闭黑名单,开启白名单,将URLI添加至白名单:(5)PC1访问URLI和URL2。
4.14.4预期结果
(1)步骤(3)中,PC1不能浏览URL1,可以浏览URL2:(2)步骤(4)中,PC1可以浏览URL1,不能浏览URL24.15逃生动能测试(可选)
4.15.1测试目的
淡型4的xDSL月户端设备可选支持VoP业务的LP网络故障逃生、断巴逃生功能,即当IP网络故障或CPE密电时,能够切换到PSTN线路,4.15.2测试配量
软交长
图5 迷生功能别试配量
4.15.3测试步骤
YD/T2047-2009
(1)测试环境连接如图5所示,在CPE上配置逃生功能,关闭DSLAM的逃生功能,默认情况下DSLAM为软交换下用户,用户拨打电话:(2)断开DSLAM与软交换的连接,用户拨打电话。4.15.4预期结果
(1)步骤(1)中,用户可正常拨打电话:(2)步骤(2)中,用户可正常拨打电话。5控制平面安全功能测试
5.1GMPSnooping代理功能
5.1.1测试目的
类型3和类型4的xDSL用户端设备应支持IGMPSnooping代理功能。多端口的xDSL用户端设备应支持IGMPSnooping功能。5.1.2测试配置
如图1所示。
5.1.3测试步骤
(1)按图1连接测试环境,开启xDSL中的IGMPSnooping代理功能,关闭DSLAM的IGMPSnooping代理功能;
(2)配置网络分析仪3仿真组播路由器功能,配置组播频道239.1.1.1,并周期性发送IGMPQucry消息;
(3)增加节日239.1.1.1,并将分析仪1和2用户加入观看权限;(4)网络分析仪1发送IGMPreport报文申请加入239.1.1.1的节日组:(5)网络分析仪2发送IGMPreport报文申请加入239.1.1.1的节H组:(6)网络分析仪1发送IGMIPleave报文申请离开239.1.1.1的节目组:(7)网络分析仪2发送IGMPleave报文申请离开239.1.1.1的节日组。5.1.4预期结果
(1)在步骤(4)中,网络分析仪3应收到CPE发出的IGMPreport报文请求239.1.1.1的节目,网络分析仪1应收到该节目流,查源P地址:(2)在步骤(5)中,网络分析仪3不应收到DSLAM发出的请求239.1.1.1的节目,网络分析仪2应收到该节目流:
(3)在步骤(6)中,网络分析仪3不应收到IGMPleave报文,网络分析仪1收到的节目流应停止:(4)在步骤(7)中,网络分析仪3应收到CPE发出的IGMPleave报文,网络分析仪2收到的节目流应停止。
5.2非法组播源控制功能
5.2.1测试目的
类型3和类型4的xDSL用户端设备应防止用户做源的组播。可以禁正用户端口发出的IGMPQuery和组播数据报文。
5.2.2测试配舌
TTKAONIKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。