YD/T 2044-2009
基本信息
标准号: YD/T 2044-2009
中文名称:IPv6 网络设备安全测试方法边缘路由器
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:2488219
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2044-2009.Security test methods for IPv6 network equipments-edge router.
1范围
YD/T 2044规定了基于IPv6的边缘路由器涉及网络及信息安全方面的测试内容,包括数据转发平面安全测试、路由/控制平面安全测试和管理平面安全测试。
YD/T 2044适用于基于IPv6的边缘路由器设备。
YD/T 2044中所有对路由器的安全规定均特指对支持IPv6的边缘路由器的规定。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1358-2005 路由器设备安全技术要求一中低端路由器(基于IPv4)
YD/T 1467-2006 IP安全协议(IPSec) 测试方法
3缩略语
下列缩略语适用于本标准。
ACL Access Control List 访问控制列表
BGP Border Gateway Protocol 边界网关协议
CAR Commit Access Rate 承诺接入速率
5数据转发平面安全测试
5.1概述
边缘路由器数据转发平面的安全测试主要包括IPSec协议测试、对常见网络攻击的抵抗能力测试、访问控制列表功能测试等。
5.2 IPSec协议测试
IPSec协议测试内容见YD/T 1467-2006《IP安全协议(IPSec)测试方法》。
1范围
YD/T 2044规定了基于IPv6的边缘路由器涉及网络及信息安全方面的测试内容,包括数据转发平面安全测试、路由/控制平面安全测试和管理平面安全测试。
YD/T 2044适用于基于IPv6的边缘路由器设备。
YD/T 2044中所有对路由器的安全规定均特指对支持IPv6的边缘路由器的规定。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1358-2005 路由器设备安全技术要求一中低端路由器(基于IPv4)
YD/T 1467-2006 IP安全协议(IPSec) 测试方法
3缩略语
下列缩略语适用于本标准。
ACL Access Control List 访问控制列表
BGP Border Gateway Protocol 边界网关协议
CAR Commit Access Rate 承诺接入速率
5数据转发平面安全测试
5.1概述
边缘路由器数据转发平面的安全测试主要包括IPSec协议测试、对常见网络攻击的抵抗能力测试、访问控制列表功能测试等。
5.2 IPSec协议测试
IPSec协议测试内容见YD/T 1467-2006《IP安全协议(IPSec)测试方法》。
标准图片预览
标准内容
ICS33.040.40
中华人民共和国通信行业标准
YD/T 2044-2009
IPV6网络设备安全测试方法
边缘路由器
Security test methods for IPv6 network equipmentsedge router2009-12-11 发布
2010-01-01实施
中华人民共和国工业和信息化部发布前
规范性引用文件·
3缩略语
4测试环境,
5数据转发平面安全测试
5.1概述
5.2 IPSec 协议测试-
5.3常见网络攻击抵抗能力测试
5.4URPF 功能测试·
访问控制列表(ACL)测试
流量控制功能测试
6路由/控制平面安企测试.·
路由协议安全测试·
6.3TCP/P协议安企测试·
MPLS VPN 安全测试.
路由过滤功能测试
7管理平面安全测试-
概述·
端口镜像·
访尚控制安全测试-
SNMPv3 功能测试
安全审计功能测试…
IKAONIKAa
YD/T 2044-2009免费标准下载网bzxz
本标准是“路由器设备安全”系列标准之一,本系列的标准结构和名称预让如下:1.YD/T1358-2005路[归器设备安全技术要求中低端路由器(基于IPv4)2.YD/I1359-2005路由器设备安全技术要求高端路出器(型于IPv4)3、YD/T1439-2005路冉器设备安测试方法高端路由器(基丁IPv4)4.YD/T1440-2005路由器设备安全测试方法牛低端路出器(基于IPv4)5.YD/T1907-2009IFv6网络设备安全技术要求——边缘路由器6.YD/T1906-2009Pv6网络设备安全技术要求——核心路由器7.YD/T2044-2009IPv6网络设备安全测试方法—边缘路由器8。YD/T2045-2009IPv6网络设备安企测试方法——核心路出器YD/T2044-2009
本标准需与YD/T1907-2009《Pv6 网络设备安全技术要求边缘路由器》配套使用。与本系列标准和关的标推还有“支持IPv6的路臼器设备”系列标准,该系列的标准结构和名称如下:1,YD/T1452-2006IPv6网络设备技术要求文持IPv6的边缘路由器2.YD/T1453-2006IPv6网络设备测试方法支持IPv6的边缘路I旧器3.YD/T1454-2006:IPv6网络设备技术要求支持IPv6的核心路由器4YD/T1455-200GIPv6网络设备测试方法支持IPv6的核心路由器本标准由中国通信标化协会提出邦归门。本标准土要起草单位:工业和信息化部电信研究院。本标准主要起草人:赵锋、冯军锋、高巍、马科。1范围
IPV6网络设备安全测试方法
-边缘路由器
YD/T 2044-2009
本标准规定了基于Pv6的边缘路由器涉及网络及信息安全方面的测诚内容,包括数据转发平面安全测试,路出/控制平面安全测试和管理平面安全测试。本标推适用丁基丁IPv6的边缘路由器设备。本标雅中所有对路由器的安全规定均特指对支持IPv6的边缘路由器的规定。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准:YD/T 1358-2005
YD/T 1467-2006
3缩略语
下列缩略语适用于本标推。
路由器设备安全技术要求—-中低端路由器(基于IPv4)IP安全协议(IPSec)测试方法
AccessControl List
Border Gateway Protocol
Commit Access Rate
Customer Edge
Device Under Test
ICMPv6 Internet Control Message Protocol Version 6IPv6
Internet Protocol Version 6
IPSecurity
Intermediale System to Intermediate System ProtocolMulti-Protocol Label Switch
Open Shortest PathFirst
Provider Edge
Route Information Protocol next generationSccure Shell
Transmission Control ProtocolUser Datagram Protocol
Unicast Reversc PathForwarding-IKANIKAa
访问控制列表
边界网关协议
搬诺接入速率
用户边界设备
被测设备
网络控制报文协议版本6
五联网协议版本6
IP安全协议
中间系统到中问系统协议
多协议标记交换
开放最短路径优先协议
网络边界设备
下--代路由信息协议
安全外光
传输控制协议
用户数据报协议
单播逆向路径转发
YD/T 2044-2009
测试环境
Virtual Private Network
测试环境1如图1所示。
测试环境2如图2所示。
网络1
测试仪装端口A
测试环境 3 如图 3 所示。
测试环境4如图4所示。
测试仗表
图1测试环境1
测试仪科罚口c
图2测试环境2
图3测试环境3
虚拟专用网
测试表端B
认证服务器
图4测试环境4
测试环境5如图5所示。
测试环境6如图6所示。
日志服务器
图 5 测试环境 5
测试仪表
图6测试环境6
图1至图6中测试仪表与DUT间均采用同种接口和连。5数据转发平面安全测试
5.1概述
YD/T2044-2009
边缘路由器数据转发平面的安全测试主要包括IPSec协议测试、对常见网络攻击的抵抗能力测试、访问控制列表功能测试等。
5.2IPSec协议测试
IPSec协议测试内容见YD/T1467-2006《P安全协议(IPSec)测试方法》。3
-IKANIKACa
YD/T 2044-2009
5.3常见网络攻击抵抗能力测试
测试编号:1
测试项日:抗大流量攻击能力测试测试目的:检验DUT处理大流量数据的能力测试配置:测试环境1
测试过程:
1:按测试环境连接设备:
2.从测试仪表端口A向测试仪表端口B以接口吞叫量发送数据包:3.DUT开启OSPFv3动态路由协议,从测试仪表端口A向DUT建立OSPF邻居关系;4.停止步骤2中数据包的发送;
5.从测试仪表端口A向DUT的环向地址以线速发送数据包:6.从测试仪表端口 A向DUT建立协议邻居关系预期结果:
在步骤3和6中,测试仪表与DUT间应能正常建立协议邻居关系,不受端口上流量的影响判定原则:
应符合预期结果要求,否则为不合格测试编号:2
测试项目:畸形包处理能力测试测试日的:检验DUT处理畸形数据包的能力测试配置:测试环境1
测试过程:
1.按测试环境连接设备;
2.从测试仪表端口A向測试仪表端口B发送小于接口吞吐量的背景流量;3.由仪表端口A向仪表端口B发送链路层错误(如以太网的FCS错误顺)报文:4.停:步骤3中报文的发送,由仪表璐口A向仪表端口B发送长度小于64字节(以太网链路)的超短帧(Runt):
5.停止步骤4中报文的发送,出仪表端口A向仪表端口B发送长度大丁链路MTU的超长顿6.停止步骤5中报文的发送,在DUT上启用OSPFv3路由协议,并由仪表端口A与DUT建立OSPF邻居关系,由仪表端口A向DUT发送错误的OSPFUpdate(如带有错误RouterID)报文预期结果:
1.在步骤3中,错误顿应被丢弃,并在错误日志中有和应记录:2.在步骤4中,超短顿应被丢弃,提供统计数据;3.在步骤5中,超长顿应被丢弃,并提供统计数据:4.在步骤6 中,应不接收错误的 Update报文判定原则:
应符合预期结果要求,否则为不合格4
测试编号:3
测试项目:PingFlood 攻击处理能力测试测试的:检验DUT处理Ping Flood攻击的能力测试配置:测试环境2
测试过程:
1:按测试环境连接设备:
2.仪表竭口B 与 DUT建立 OSPF邻居关系,并向 DUT通告到网络2的路由;YD/T 2044-2009
3.从试仪表端几A问网络2中的某个IPv6地址以小于端口吞吐量的流量发送背景流量,并验证仪表端口1上流量能够正常接收
4.从测试仪表端口 C向DUT环回地址以端口吞吐最发送ICMPECHO Request数据包:5,停止步骤 4 中流量的发送,从测试仪表端口 C 向网络2 中的某个P地址以端口吞吐量发送 ICMPECHORequcst数据包
预期结果:
1、在步骤4中,DUT应对超量ICMP报文进行丢弃或限速:2.在步骤5,DUT应对超量ICMP报文进行丢弃或限速判定原则:
应符合预期结果要求,否则为不合格测试编号:4
测试项月:TCP标记Flood攻击防护功能测试测试目的:检验 DUT处理 TCP标记Floud 攻出的能力测试配置:测试环境2
测试步骤:
1.按测试环境连接设备:
2.仪表端口 A 和 B分别与DUT的 1、2端口启用路由协议,非向 DUT通告到网络 1和网络 2的路由;3.从仪表端口A向网络2的某个地址以小」端口吞叶量的流量发送背景流量,并验证仪表端口B能够正常接收:
4.从仪表端IC向DUT环间地址以线速发送TCP标记攻击数据包及分片包(类型包括SYN、ACK,CWR、ECE、FIN、URG Hlood) ;
5.停止步骤4中流量的发送,从仪表端口C向DUT环间地址以线速发送TCP标记攻击数据包及分片包(类型为 Erroneous Flags Flood):6.停止步骤5中流量的发送,从仪表端口B向DUT端口2的链路本地地址以端口吞吐景发送TCP标记攻击数括包及分片包(类型同步骤4),源地址为网络2的某个P地址碳期结果:
在步骤4、5、G中,攻击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:
应符合预期结果要求,否则为不合格-YIKAOIKAca-
YD/T2044-2009
测试编号:5
测试项目:TCP状态 Flood 防护功能测试测试目的:检验DUT处理TCF状态Flood攻出的能力测试配置:测试坏境2
测试步骤:
1、按测试环境连接设备:
2.仪表端口A和B分别与DUT的1、2端口启用路由协议,并向DUT通告到网络1和网络2的路由:3.从仪表端口A向网络2中的某个IP地址以小丁端口吞吐量的流量发送背景流量,并验证仪表端口B能够正常接收:
4.从仪表端口C向DUT环回地址以线速发送TCP状态攻击数据包及分片包(类型StateFlood):5.停止步骤4中流量的发送,从仪表端口 C向DUT环回地址以端口吞吐量发送TCP状态攻出数据包及分片包(FIood类型包括SYN+ACK、SYN+FIN、SYN+RST、FIN+ACK、PSH+ACK等);6.停止步骤5中流量的发送,从仪表端口B问DUT端口2的链路本地地址以端口吞吐量发送TCP状态攻击数据包及分片包(类型同步骤5),源地址为网络2中的某个IP地址预期结果:
在步骤4、5、6中,攻击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则为不合格测试编号:6
测试项目:UDPFlood攻击防护功能测试减目的:检验DUT处理UDPFlood攻的能力测试配置:测试环境2
测试步骤:
1.按测试环境连接设备:
2. 仪表端口 A 和 B 分别与 DUT 的 1、2 端口启用路由协议,并间 DUT 通告到网络 1 和网络 2的路由:3.从仪表端口A向网络2中的某个P地址以小于端口吞吐量的流量发送背景流量,并验证仪表端口B能够正常接收;
4.从仪表端口C向DUT环回地址以线速发送UDPFlood攻末数据包及分片包(类型包括Echo、Chargen等);
5.停止步骤4中流量的发送,从仪表端口B向DUT端口2的链路本地地址以端口谷吐量发送UDPFIad攻击数据包及分片包(类型同步骤4),源地址为网络2中的某个IP地址预期结果:
在步骤4,5中,攻击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则为不合格6
5.4 URPF功能测试
测试编号:7
测试项目:严格URPF功能测试
测试目的:检验DUT能否实现严格URPF功能测试配置:测试环境2
测试过程:
1.按测试环境连接设备;
YD/T 2044-2009
2.仪表端口A和B分别与DUT建立OSPF邻居关系,非向DUT道告到网络1和网络2的路由,并发送流量验证路由的有效性,在DUT上为一-特定地址段配置到测试仪表端口C的静态路由:3在 DUT 上启用严格 URPF:
4:从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址;5.停比步骤4中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址处于步骤2中配置的特定地址段中;
6.停止步骤5中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为在路由器路巾表中不存在到该地址的路由预期结果:
1.在步骤4中,仪表端口B应可以收到测试数据包;2.在步骤5和6中,仪表端口B不能收到测试数据包判定原则:
应符合预期结果要求,否则为不台格测试编号:8
测试项目:松散URPF功能测试
测试国的:检验DUT能否实现松散URPF功能测试配置:测试环境2
测试过程:
1.按测试环境连接设备;
2.仪表端凹A和B分别与DUT建立OSPF邻居关系,并向DUT通告到网络1和网络2的路出,并发送流量验证路由的有效性,在DUT上为一特定地址段配置到测试仪表端口C的静态路由:3.在 DUT 上启用松散URPF;
4.从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址:5.止步骤4中数据流的发送,从仪表端口A间仪表端口B发送数据包,数据包源地址处卡步骤2中配置的特定地址段中;
6.停山步骤5中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为在路山器路由表中不存在到该地址的路中预期结果:
1.在步骤4和5中,仪表端口B应可以收到测试数据包:2.在步骤6 中,仪表端B不能收到测试数据包判定原则:
应符合预期结果要求,否则为不合格IKAONIKAa
YD/T 2044-2009
测试编号:9
测试项日:基于ACL的URPF功能测试测试目的:检验DUT能否实现基于ACL的URPF功能测试配置:测试环境2
测试过程;
1,按测试环境连接设备:
2.仪表端口A和B分别与DUT建立OSPF邻居关系,并向DUT通告到网络1和网络2的路电,并发送流量验证路由的有效性,在DUT上为一特定地址段配置到测试仪表端口C的静态路由;3.在DUT工启用基于ACL的URPF,并配置ACL条目拒绝来自步骤2中配置的特定地址段中某个地址的数据包;
4从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址:5.停止步骤4日数据流的发送,从仪表端口A间仪表端口B发送数据包,数据包源地址为步骤2中配置的特定地址段不同于步骤3中所配暨地址的一个地址:6.停止步骤5中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为步骤3中配置的地址;
7.停止步骤6中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为在路由器路电表[不存在到该地址的路由
预期结果:
1、在步骤4和5中,仪表端口B应可以收到测试数据包;2.在步骤6和7中,仪表端口B不能收到测试数据包判定原则:
应符合预期结果要求,否则为不合格5.5访问控制列表(ACL)测试
测试编号:10
测试项日:基于源地址的ACL测试测试目的:捡验DUT是否实现基丁源地址的ACL测试配置:测试环境1
测试过程:
1、按测试环境连接设备:
2.在DUT上配置基丁源地址的ACL(拒绝)条月:3.从仪表端口A向仪表端口B发送符合过滤条件的IPv6包:4.从仪表端口A向仪表端口B发送不符合过滤条件的IPv6包预期结果:
1.在步骤3,仪表端口B没有收到数据包:2.衣步骤4中,仪表端口B可以收到数据包判定原则:
应符合预期结果要求,否则为不合格测试编号:11
测试项目:基于目的地址的ACL测试测试目的:检验DUT是否实现基下月的地址的ACL测试配置:测试环境1
测试过程:
1:按测试环境连接设备:
2.在:DUT上配置基于目的地址的ACL(拒绝)条目:3.从仪表端口A向仪表端口B发送符合过滤条件的IPv6包:4.从仪表端口A向仪表端口B发送不符合过滤条件的IPv6包预期结果:
1在步骤3中,仪表端口B没有收到数据包;2.在步骤4中,仪表端口B可以收到数包判定原则:
应符合预期结果要求,否则为不合格测试编号:12
测项目:基于协议的ACL测试
测试目的:检验 DUT是否实现基丁协议地址的ACL测试配置:测试环境1
测试过程:
1.按测试环境连接设备:
2.在 DUT上配置基于协议类型的ACL(拒绝)条目:3.从仪表端口A向仪表端口B发送符合过滤条件的IPv6包;4.从仪表端口A向仪表端口B发送不符合过滤条件的IPv6包预期结果:
1.在步骤3中,仪表端口B没有收到数据包;2.在步骤4中,仪表端口B可以收到数据包判定原则:
应符合预期结果要求,否则为不合格KAONIKACa
YD/T2044-2009
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 2044-2009
IPV6网络设备安全测试方法
边缘路由器
Security test methods for IPv6 network equipmentsedge router2009-12-11 发布
2010-01-01实施
中华人民共和国工业和信息化部发布前
规范性引用文件·
3缩略语
4测试环境,
5数据转发平面安全测试
5.1概述
5.2 IPSec 协议测试-
5.3常见网络攻击抵抗能力测试
5.4URPF 功能测试·
访问控制列表(ACL)测试
流量控制功能测试
6路由/控制平面安企测试.·
路由协议安全测试·
6.3TCP/P协议安企测试·
MPLS VPN 安全测试.
路由过滤功能测试
7管理平面安全测试-
概述·
端口镜像·
访尚控制安全测试-
SNMPv3 功能测试
安全审计功能测试…
IKAONIKAa
YD/T 2044-2009免费标准下载网bzxz
本标准是“路由器设备安全”系列标准之一,本系列的标准结构和名称预让如下:1.YD/T1358-2005路[归器设备安全技术要求中低端路由器(基于IPv4)2.YD/I1359-2005路由器设备安全技术要求高端路出器(型于IPv4)3、YD/T1439-2005路冉器设备安测试方法高端路由器(基丁IPv4)4.YD/T1440-2005路由器设备安全测试方法牛低端路出器(基于IPv4)5.YD/T1907-2009IFv6网络设备安全技术要求——边缘路由器6.YD/T1906-2009Pv6网络设备安全技术要求——核心路由器7.YD/T2044-2009IPv6网络设备安全测试方法—边缘路由器8。YD/T2045-2009IPv6网络设备安企测试方法——核心路出器YD/T2044-2009
本标准需与YD/T1907-2009《Pv6 网络设备安全技术要求边缘路由器》配套使用。与本系列标准和关的标推还有“支持IPv6的路臼器设备”系列标准,该系列的标准结构和名称如下:1,YD/T1452-2006IPv6网络设备技术要求文持IPv6的边缘路由器2.YD/T1453-2006IPv6网络设备测试方法支持IPv6的边缘路I旧器3.YD/T1454-2006:IPv6网络设备技术要求支持IPv6的核心路由器4YD/T1455-200GIPv6网络设备测试方法支持IPv6的核心路由器本标准由中国通信标化协会提出邦归门。本标准土要起草单位:工业和信息化部电信研究院。本标准主要起草人:赵锋、冯军锋、高巍、马科。1范围
IPV6网络设备安全测试方法
-边缘路由器
YD/T 2044-2009
本标准规定了基于Pv6的边缘路由器涉及网络及信息安全方面的测诚内容,包括数据转发平面安全测试,路出/控制平面安全测试和管理平面安全测试。本标推适用丁基丁IPv6的边缘路由器设备。本标雅中所有对路由器的安全规定均特指对支持IPv6的边缘路由器的规定。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准:YD/T 1358-2005
YD/T 1467-2006
3缩略语
下列缩略语适用于本标推。
路由器设备安全技术要求—-中低端路由器(基于IPv4)IP安全协议(IPSec)测试方法
AccessControl List
Border Gateway Protocol
Commit Access Rate
Customer Edge
Device Under Test
ICMPv6 Internet Control Message Protocol Version 6IPv6
Internet Protocol Version 6
IPSecurity
Intermediale System to Intermediate System ProtocolMulti-Protocol Label Switch
Open Shortest PathFirst
Provider Edge
Route Information Protocol next generationSccure Shell
Transmission Control ProtocolUser Datagram Protocol
Unicast Reversc PathForwarding-IKANIKAa
访问控制列表
边界网关协议
搬诺接入速率
用户边界设备
被测设备
网络控制报文协议版本6
五联网协议版本6
IP安全协议
中间系统到中问系统协议
多协议标记交换
开放最短路径优先协议
网络边界设备
下--代路由信息协议
安全外光
传输控制协议
用户数据报协议
单播逆向路径转发
YD/T 2044-2009
测试环境
Virtual Private Network
测试环境1如图1所示。
测试环境2如图2所示。
网络1
测试仪装端口A
测试环境 3 如图 3 所示。
测试环境4如图4所示。
测试仗表
图1测试环境1
测试仪科罚口c
图2测试环境2
图3测试环境3
虚拟专用网
测试表端B
认证服务器
图4测试环境4
测试环境5如图5所示。
测试环境6如图6所示。
日志服务器
图 5 测试环境 5
测试仪表
图6测试环境6
图1至图6中测试仪表与DUT间均采用同种接口和连。5数据转发平面安全测试
5.1概述
YD/T2044-2009
边缘路由器数据转发平面的安全测试主要包括IPSec协议测试、对常见网络攻击的抵抗能力测试、访问控制列表功能测试等。
5.2IPSec协议测试
IPSec协议测试内容见YD/T1467-2006《P安全协议(IPSec)测试方法》。3
-IKANIKACa
YD/T 2044-2009
5.3常见网络攻击抵抗能力测试
测试编号:1
测试项日:抗大流量攻击能力测试测试目的:检验DUT处理大流量数据的能力测试配置:测试环境1
测试过程:
1:按测试环境连接设备:
2.从测试仪表端口A向测试仪表端口B以接口吞叫量发送数据包:3.DUT开启OSPFv3动态路由协议,从测试仪表端口A向DUT建立OSPF邻居关系;4.停止步骤2中数据包的发送;
5.从测试仪表端口A向DUT的环向地址以线速发送数据包:6.从测试仪表端口 A向DUT建立协议邻居关系预期结果:
在步骤3和6中,测试仪表与DUT间应能正常建立协议邻居关系,不受端口上流量的影响判定原则:
应符合预期结果要求,否则为不合格测试编号:2
测试项目:畸形包处理能力测试测试日的:检验DUT处理畸形数据包的能力测试配置:测试环境1
测试过程:
1.按测试环境连接设备;
2.从测试仪表端口A向測试仪表端口B发送小于接口吞吐量的背景流量;3.由仪表端口A向仪表端口B发送链路层错误(如以太网的FCS错误顺)报文:4.停:步骤3中报文的发送,由仪表璐口A向仪表端口B发送长度小于64字节(以太网链路)的超短帧(Runt):
5.停止步骤4中报文的发送,出仪表端口A向仪表端口B发送长度大丁链路MTU的超长顿6.停止步骤5中报文的发送,在DUT上启用OSPFv3路由协议,并由仪表端口A与DUT建立OSPF邻居关系,由仪表端口A向DUT发送错误的OSPFUpdate(如带有错误RouterID)报文预期结果:
1.在步骤3中,错误顿应被丢弃,并在错误日志中有和应记录:2.在步骤4中,超短顿应被丢弃,提供统计数据;3.在步骤5中,超长顿应被丢弃,并提供统计数据:4.在步骤6 中,应不接收错误的 Update报文判定原则:
应符合预期结果要求,否则为不合格4
测试编号:3
测试项目:PingFlood 攻击处理能力测试测试的:检验DUT处理Ping Flood攻击的能力测试配置:测试环境2
测试过程:
1:按测试环境连接设备:
2.仪表竭口B 与 DUT建立 OSPF邻居关系,并向 DUT通告到网络2的路由;YD/T 2044-2009
3.从试仪表端几A问网络2中的某个IPv6地址以小于端口吞吐量的流量发送背景流量,并验证仪表端口1上流量能够正常接收
4.从测试仪表端口 C向DUT环回地址以端口吞吐最发送ICMPECHO Request数据包:5,停止步骤 4 中流量的发送,从测试仪表端口 C 向网络2 中的某个P地址以端口吞吐量发送 ICMPECHORequcst数据包
预期结果:
1、在步骤4中,DUT应对超量ICMP报文进行丢弃或限速:2.在步骤5,DUT应对超量ICMP报文进行丢弃或限速判定原则:
应符合预期结果要求,否则为不合格测试编号:4
测试项月:TCP标记Flood攻击防护功能测试测试目的:检验 DUT处理 TCP标记Floud 攻出的能力测试配置:测试环境2
测试步骤:
1.按测试环境连接设备:
2.仪表端口 A 和 B分别与DUT的 1、2端口启用路由协议,非向 DUT通告到网络 1和网络 2的路由;3.从仪表端口A向网络2的某个地址以小」端口吞叶量的流量发送背景流量,并验证仪表端口B能够正常接收:
4.从仪表端IC向DUT环间地址以线速发送TCP标记攻击数据包及分片包(类型包括SYN、ACK,CWR、ECE、FIN、URG Hlood) ;
5.停止步骤4中流量的发送,从仪表端口C向DUT环间地址以线速发送TCP标记攻击数据包及分片包(类型为 Erroneous Flags Flood):6.停止步骤5中流量的发送,从仪表端口B向DUT端口2的链路本地地址以端口吞吐景发送TCP标记攻击数括包及分片包(类型同步骤4),源地址为网络2的某个P地址碳期结果:
在步骤4、5、G中,攻击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:
应符合预期结果要求,否则为不合格-YIKAOIKAca-
YD/T2044-2009
测试编号:5
测试项目:TCP状态 Flood 防护功能测试测试目的:检验DUT处理TCF状态Flood攻出的能力测试配置:测试坏境2
测试步骤:
1、按测试环境连接设备:
2.仪表端口A和B分别与DUT的1、2端口启用路由协议,并向DUT通告到网络1和网络2的路由:3.从仪表端口A向网络2中的某个IP地址以小丁端口吞吐量的流量发送背景流量,并验证仪表端口B能够正常接收:
4.从仪表端口C向DUT环回地址以线速发送TCP状态攻击数据包及分片包(类型StateFlood):5.停止步骤4中流量的发送,从仪表端口 C向DUT环回地址以端口吞吐量发送TCP状态攻出数据包及分片包(FIood类型包括SYN+ACK、SYN+FIN、SYN+RST、FIN+ACK、PSH+ACK等);6.停止步骤5中流量的发送,从仪表端口B问DUT端口2的链路本地地址以端口吞吐量发送TCP状态攻击数据包及分片包(类型同步骤5),源地址为网络2中的某个IP地址预期结果:
在步骤4、5、6中,攻击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则为不合格测试编号:6
测试项目:UDPFlood攻击防护功能测试减目的:检验DUT处理UDPFlood攻的能力测试配置:测试环境2
测试步骤:
1.按测试环境连接设备:
2. 仪表端口 A 和 B 分别与 DUT 的 1、2 端口启用路由协议,并间 DUT 通告到网络 1 和网络 2的路由:3.从仪表端口A向网络2中的某个P地址以小于端口吞吐量的流量发送背景流量,并验证仪表端口B能够正常接收;
4.从仪表端口C向DUT环回地址以线速发送UDPFlood攻末数据包及分片包(类型包括Echo、Chargen等);
5.停止步骤4中流量的发送,从仪表端口B向DUT端口2的链路本地地址以端口谷吐量发送UDPFIad攻击数据包及分片包(类型同步骤4),源地址为网络2中的某个IP地址预期结果:
在步骤4,5中,攻击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则为不合格6
5.4 URPF功能测试
测试编号:7
测试项目:严格URPF功能测试
测试目的:检验DUT能否实现严格URPF功能测试配置:测试环境2
测试过程:
1.按测试环境连接设备;
YD/T 2044-2009
2.仪表端口A和B分别与DUT建立OSPF邻居关系,非向DUT道告到网络1和网络2的路由,并发送流量验证路由的有效性,在DUT上为一-特定地址段配置到测试仪表端口C的静态路由:3在 DUT 上启用严格 URPF:
4:从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址;5.停比步骤4中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址处于步骤2中配置的特定地址段中;
6.停止步骤5中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为在路由器路巾表中不存在到该地址的路由预期结果:
1.在步骤4中,仪表端口B应可以收到测试数据包;2.在步骤5和6中,仪表端口B不能收到测试数据包判定原则:
应符合预期结果要求,否则为不台格测试编号:8
测试项目:松散URPF功能测试
测试国的:检验DUT能否实现松散URPF功能测试配置:测试环境2
测试过程:
1.按测试环境连接设备;
2.仪表端凹A和B分别与DUT建立OSPF邻居关系,并向DUT通告到网络1和网络2的路出,并发送流量验证路由的有效性,在DUT上为一特定地址段配置到测试仪表端口C的静态路由:3.在 DUT 上启用松散URPF;
4.从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址:5.止步骤4中数据流的发送,从仪表端口A间仪表端口B发送数据包,数据包源地址处卡步骤2中配置的特定地址段中;
6.停山步骤5中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为在路山器路由表中不存在到该地址的路中预期结果:
1.在步骤4和5中,仪表端口B应可以收到测试数据包:2.在步骤6 中,仪表端B不能收到测试数据包判定原则:
应符合预期结果要求,否则为不合格IKAONIKAa
YD/T 2044-2009
测试编号:9
测试项日:基于ACL的URPF功能测试测试目的:检验DUT能否实现基于ACL的URPF功能测试配置:测试环境2
测试过程;
1,按测试环境连接设备:
2.仪表端口A和B分别与DUT建立OSPF邻居关系,并向DUT通告到网络1和网络2的路电,并发送流量验证路由的有效性,在DUT上为一特定地址段配置到测试仪表端口C的静态路由;3.在DUT工启用基于ACL的URPF,并配置ACL条目拒绝来自步骤2中配置的特定地址段中某个地址的数据包;
4从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址:5.停止步骤4日数据流的发送,从仪表端口A间仪表端口B发送数据包,数据包源地址为步骤2中配置的特定地址段不同于步骤3中所配暨地址的一个地址:6.停止步骤5中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为步骤3中配置的地址;
7.停止步骤6中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为在路由器路电表[不存在到该地址的路由
预期结果:
1、在步骤4和5中,仪表端口B应可以收到测试数据包;2.在步骤6和7中,仪表端口B不能收到测试数据包判定原则:
应符合预期结果要求,否则为不合格5.5访问控制列表(ACL)测试
测试编号:10
测试项日:基于源地址的ACL测试测试目的:捡验DUT是否实现基丁源地址的ACL测试配置:测试环境1
测试过程:
1、按测试环境连接设备:
2.在DUT上配置基丁源地址的ACL(拒绝)条月:3.从仪表端口A向仪表端口B发送符合过滤条件的IPv6包:4.从仪表端口A向仪表端口B发送不符合过滤条件的IPv6包预期结果:
1.在步骤3,仪表端口B没有收到数据包:2.衣步骤4中,仪表端口B可以收到数据包判定原则:
应符合预期结果要求,否则为不合格测试编号:11
测试项目:基于目的地址的ACL测试测试目的:检验DUT是否实现基下月的地址的ACL测试配置:测试环境1
测试过程:
1:按测试环境连接设备:
2.在:DUT上配置基于目的地址的ACL(拒绝)条目:3.从仪表端口A向仪表端口B发送符合过滤条件的IPv6包:4.从仪表端口A向仪表端口B发送不符合过滤条件的IPv6包预期结果:
1在步骤3中,仪表端口B没有收到数据包;2.在步骤4中,仪表端口B可以收到数包判定原则:
应符合预期结果要求,否则为不合格测试编号:12
测项目:基于协议的ACL测试
测试目的:检验 DUT是否实现基丁协议地址的ACL测试配置:测试环境1
测试过程:
1.按测试环境连接设备:
2.在 DUT上配置基于协议类型的ACL(拒绝)条目:3.从仪表端口A向仪表端口B发送符合过滤条件的IPv6包;4.从仪表端口A向仪表端口B发送不符合过滤条件的IPv6包预期结果:
1.在步骤3中,仪表端口B没有收到数据包;2.在步骤4中,仪表端口B可以收到数据包判定原则:
应符合预期结果要求,否则为不合格KAONIKACa
YD/T2044-2009
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。