YD/T 1628-2007
基本信息
标准号: YD/T 1628-2007
中文名称:以太网交换机设备安全测试方法
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:739603
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1628-2007.Security test mothods for ethemet switching eqiupment.
1范围
YD/T 1628规定了二层以太网交换机的安全测试内容及测试方法。
YD/T 1628适用于二层以太网交换机。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YDT 1627-2007以太网交换机设备安全技术要求
3定义
下列定义适用于本标准。
●访问控制(Access Control)
防止未经授权使用资源。
●授权(Authorization)
授予权限,包括根据访问权进行访问的权限。
●安全审计(Security Audit)
对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统控制与现行策略和操作程序保持一致、 探测违背安全性的行为,并介绍控制、策略和程序中所显示的任何变化。
●数字签名(Digital Signature)
附在数据单元后面的数据或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的来源和完整性,保护数据不被伪造,并保证数据的不可否认性。
●安全机制(Security Mechanism)
实现安全服务的过程。
●拒绝服务(Denial of Service)
阻止授权访问资源或延迟时间敏感操作。
1范围
YD/T 1628规定了二层以太网交换机的安全测试内容及测试方法。
YD/T 1628适用于二层以太网交换机。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YDT 1627-2007以太网交换机设备安全技术要求
3定义
下列定义适用于本标准。
●访问控制(Access Control)
防止未经授权使用资源。
●授权(Authorization)
授予权限,包括根据访问权进行访问的权限。
●安全审计(Security Audit)
对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统控制与现行策略和操作程序保持一致、 探测违背安全性的行为,并介绍控制、策略和程序中所显示的任何变化。
●数字签名(Digital Signature)
附在数据单元后面的数据或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的来源和完整性,保护数据不被伪造,并保证数据的不可否认性。
●安全机制(Security Mechanism)
实现安全服务的过程。
●拒绝服务(Denial of Service)
阻止授权访问资源或延迟时间敏感操作。
标准图片预览
标准内容
ICS 33 040 40
中华人民共和国通信行业标准
YD/T 1628-2007
以太网交换机设备安全测试方法Security test mothods for ethernet switching eqiupment2007-04-16发布
2007-10-01实施
中华人民共和国信息产业部发布前言·
规范性引用文件
3术语和定义
缩略语·
测试环境
数据平面安全测试
6.1 DoS攻击...
流量控制
802.3ad链路聚合·
MAC地址数目限制
MAC地址绑定功能
6.8端口镜像,
广播风暴抑制·
控制平面安全测试.
7.1VLAN安全测试
7.2STP/RSTP功能测试
7.3 IGMP Snooping 功能测试-
7.4 DHCP Snooping功能测试
8管理平面安全测试·
用户访问控制·
Telnet-
8.3Wcb管理功能测试
SNMPv3-
安全审计
KAONTKAca-
YD/T 1629-2007
YD/T 1628-2007
本标准是“以太网交按机设备”系列标准之一:本系列标准的结构和名称预计如下:以太网交换机技术要求(修订YD/T1099-2001千兆比以太网交换机设备技术L.YD/T1099-2005
要求)
2. YD/T 1141-2005
以太网交换机测试方法(修订YD/T1141-2001千兆比以太网交换机测试方法)3.YD/T1287-2003
具有路中功能的以太网交换机测试方法4,YD/T 1255-2003
5. YD/T 1627-2007
6. YD/T 1628-2007
7. YD/T 1629-2007
8. YD/T 1630-2007
具有路由功能的以太网交换机技术要求以太网交换机设备安全技术要求以太网交换机设备安全测试方法具有路由功能的以太网交换机设备安全技术要求具有路由功能的以太网交换机设备安全测试方法其中,《以太网交换机设备安全技术要求》是本标准的技术依据,同时本标准也是YD/T1141-2005《以太网交换机测试方法》的配套标准。本标谁由中国通信标推化协会提出并归口。本标准起草单位:信息产业部电信研究院本标准参加单位:中兴通讯般份有限公司华为技术有限公司
国家计算机网络应急技术处理协调中心武汉邮电科学研究院
北京通和实益电信科学技术研究所有限公司本标准主要起草人:梁冰周开波韩闭肖雳黄萌罗鉴陈建业1范围
以太网交换机设备安全测试方法本标准规定了二层以太网交换机的安全测试内容及测试方法。本标准适用于二层以太网交换机。2规范性引用文件
-YKAOrKAca
YD/T 1628-2007
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本,凡是不注日期的引用文件,其最新版本适用于本标准。YD/T1627-2007
3定义
下列定义适用于本标准。
以太网交换机设备安全技术要求-访问控制(Access Control)
防止未经授权使用资源。
·授权(Authorization)
授予权限,包括根据访问权进行访问的权限。,安全审计(Security Audit)
对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统控制与现行策略利操作程序保持一致、探测违背安全性的行为,并介绍控制、策略和程序中所显示的任何变化。·数字签名(DigitalSignature)附在数据单元后面的数据或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的来源和完整性,保护数据不被伪造,并保证数据的不可否认性。·安全机制(SecurityMechanism)实现安全服务的过程。
拒绝服务(Denial of Service)阻止授权访问资源或延迟时间藏感操作,4缩略语
下列缩略语适用于本标准。
Triple Data Encryption StandardAccess Control List
Advanced Bncryption StandardCommitted Access Rate
Cipher Block Chaining
三重数据加密标准
访问控制列表
先进加密标准
承诺接入速率
密码块链
YD/T 1628-2007
SNMPv1
SNMPv2c
SNMPv3
Denial of Service
Digital Signature Standard
Device Under Test
Hashed Message Authentication CodeInternet Control Messages ProtocolInternet Key Exchange
Internet Prctocol
IP Security
Internmediate System to Intermnediate SystemMedia Access Control
Message Digest version 5
Multi-Protocol Label SwitchingNetwork Address Translation
Network Address Port TranslationNetwork Time Protocol
Point-to-Point Protocol
Rivest, Shamir and Adleman AlgorithmSecurity Hash Algorithm
Secure Hash Algorithm 1
Simple Network Management PratocolSNMP version1
SNMP version2c
SNMP version3
Secure Shell
Secure Shell version 1
Sccure Shell version 2
Transmission Control ProtocolUser Datagram Protocol
Unicase Reverse Path ForwardingVirtual Private Network
拒绝服务
数字签名标准
被测设备
散列消息认证码
因特网控制报文协议
因特网密钥交换
因特网协议
IP安全机制
中间系统到中间系统
媒介访问控制
消息摘要版本5
多协议标记交换
网络地址转换
网络地址端口转换
网络时间协议
点到点协议
RSA算法
安全散列算法
安全散列算法版本1
简单网络管理协议
SNMP 版本1
SNMP 版本2c
SNMP 版本
安全外壳
SSH版本1
SSH 版本2
传输控制协议
用户数据报协设
单播反向路径转发
虚拟专用网
5测试环境Www.bzxZ.net
测试环境如图1-图8所示。
仿真网络!
协议分析独
A测试仪表E
测试环境1
测读役表!
测试环境2
图3测试环境3
仿真网络2
服务器
【日志、认证、DHCP
图4测试环境4
协议分析仪
图5测试环境5
流量发生器
KAONTKAca-
YD/T 1628-2007
YD/T 1628-2007
协设分析仪
测试环境8
测试环境7
测试仪表
测试环境8
流基发生器
6数据平面案全测试
6.1DoS攻击
测试编号:1
测试项目:抗大流量攻击能力测试测试目的:检验DUT处理大流量数据的能力测试配置:测试环境8
测试过程:
1.按测试环境连接设备:
2.从测试仪表端口A向测试仪表端口B以线速率发送数据包:3.从测试仪表端口C向DUT的管理地址以线速率发送数据包预期结果:
在步骤3中,DUT应能正常转发数据包,不受端口C.上流量的影响判定原则:
应符合预期结果要求,否则为不合格测试编号:2
测试项目:畸形包处理能力测试测试目的:检验DUT处理畸形数据包的能力测试配置:测试环境8
测试过程:
1.按测试环境连接设备:
2.从测试仪表端口A向测试仪表端口B发送小于端口速率的背景流量:-YKAONrKAca
YD/T1628-2007
3.由测试仪表端口C以端口速率向DUT管理地址发送报文长度包括IP包头大于65535字节的ICMPEchoRequest报文(PingofDeath攻击仿真报文);4.停止步骤3中报文的发送,由测试仪表端口C向DUT管理地址发送多个Offset字段重叠的IP报文(Teardrop攻击仿真抵文):
5.停止步骤4中报文的发送,由测试仪表端口A向仪表端口B发送链路层错误(如以太网的FCS错误帧)报文;
6.停止步骤5中报文的发送,由测试仪表端口A向仪表端口B发送长度小于64字节(以太网链路)的超短顿(Runt);
7.停止步骤6中报文的发送,由测试仪表端口A向测试仪表端口B发送长度大于链路MTU的超长顿(Giant)
预期结果:
1.在步骤3中,攻击报文应被丢弃,记录攻击对背景流量的影响;2.在步骤4中,攻击报文应被丢弃,记录攻击刘背景流量的影响;3.在步骤5中,错误帧应被丢弃,记录攻击对背景流量的影响;4、在步骥6中,超短帧应被丢弃,并提供统计数,记录攻击对背景流量的影响;5.在步骤7中,超长帧应被丢弃,并提供统计数据,记录攻击对背景流量的影响判定原则:
应符合预期结果要求,否则为不合格YD/T 1628-2007
测试编号:3
测试项目:PingFlood攻击处理能力测试测试目的:检验 DUT 处理 Fing Flood 攻击的能力测试配置:測试坏境8
测试过程:
1.按测试环境连接设备:
2.从测试仪表端口A向端口B以端口速率发送流量,并验证测试仪表端口B上流量能够正常接收:3.从测试仪表端口C向DUT管理地址以端口线速率发送ICMPEchoRequest数据包预期结果:
在步骤3中,DUT应对超量ICMP报文进行丢弃或限速,记录攻击对其他端口流量的影响判定原则:
应符合预期结果要求,否则为不合格测试编号:4
测试项目:SYNFlood攻击处理能力测试测试自的:检验DUT处理SYNFlood攻击的能力测试配置:测试环境2
测试过程:
1.按测试环境连接设备:
2.从测试仪表端口A向端口B以端口速率的发送流量,并验证测试仪表端口B上流量能够正常接收;3.从测试仪表端口C向DUT管理地址发送TCPSYN数据包预期结果:
在步骤3中,DUT应对过量TCP SYN报文进行丢弃或降低优先级的排以处理,记录攻击对其他端口流量的影响
判定原则:
DUT可以对过量TCPSYN报文进行丢弃或降低优先级的排队处理,其他端口流量和时延应不会受到严重影响
测试编号:5
测试项目:Smurf 攻击处理能力测试测试目的:检验DUT处理Smuf政击的能力测试配置:测试环境2
测试过程:
1.按测试环境连接设备:
2.从测试仪表端口A向端口B以端口速率发送流量,端口B上流量能够正常接收:3、从测试仪表端口C向DUT管理地址以端口线速率发送ICMPEchoRequest数据包预期结果:
在步骤 3 中,DUT 对 ICMP报文进行丢弃,记录政击对其他端口流量的影响判定原则:
应符合预期结果要求,否则为不合格6.2ACL
测试编号:6
测试项目:基于源MAC 地址的ACL测试测试目的:检验DUT是否实现基于源MAC地址的ACIL测试配置:测试环境1
测试过程:
1按测试环境连接设备(互联接口采用以太网接口)-YKAOrKAca
YD/T 1628-2007
2.在DUT上配置基于源MAC地址的ACL条目,拒绝源MAC地址非特定地址的数据包;3.从测试仪表端门A 向仪表端口B发送数据包,源MAC地址不是DUT配置的特定MAC地址:4.从测试仪表端口A向仪表端口B发送数据包,源MAC地址是DUT配置的特定MAC地址预期结果:
1.在步骤3中,测试仪表端口B没有收到数据包:2.在步骤4中,测试仪表端口B可以收到数据包判定原列:
应符合预期结果要求,否则为不合格YD/T1628-2007
测试编号:7
测试项目:基于目的MAC地址的ACL测试测试目的:检验 DUT 是否实现基于日的 MAC 地址的 ACL测试配置:测试环境1
测试过程:
1.按测试环境连接设备(互联接采用以太网接口):2.在DUT上配置基于目的MAC地址的ACL条,拒绝目的MAC地址非特定地址的数据包;3.从测试仪表端口A向仪表端口B发送数据包,日的MAC地址不是DUT配置的特定MAC地址:4.从测试仪表端口A向仪表端口B发送数据包,日的MAC地址是DUT配置的特定MAC地址预期结果:
1.在步骤3中,测试仪表端口B没有收到数据包:2.在步骤4中,测试仪表端口B可以收到数据包判定原则:
应符合预期结果要求,否则为不合格测试编号:8
测试项目:全局ACL测试
测试目的:检验DUT是否实现全局ACL测试配置:测试环境1
测试过程:
1.按测试环境连接设备:
2在DUT上配置全局ACL(拍绝)条回:3.从测试仪表端口A向测试仪表端口B发送符合过滤条件的数据包:4.从测试仪表端口B向测试仪表端口A发送符合过滤条件的数据包预期结果:
1.在步骤3中,测试仪表端口B没有收到数据包;2、在步骤4中,测试仪表端口A没有收到数据包判定原则:
应符合预期结果要求,否则为不合格8
测试编号:9
测试项月:接口ACL测试
测试目的:检验DUT是否实现接口ACL测试配置:测试环境1
测试过程:
1.按测试环境连接设备:
2.在DUT接口1上配置ACL(拒绝)条日:3.从测试仪表端口A向测试仪表端口B发送符合过滤条件的数据包;4.从测试仪表端口B向测试仪表端口A发送符合过滤条件的数据包预期结果:
1.在步骤3中,测试仪表端口B没有收到数据包;2.在步骤4中,测试仪表端口A可以收到数据包判定原则:
应符合预期结果要求,否则为不合格测试编号:10
测试项目:配置ACL情况下的性能测试测试目的:检验DUT在配置ACL情况下的性能测试配置:测试环境2
测试过程:
1.按测试环境连接设备:
2.按照DUT声期值的80%在接口1上配置相互无关联的ACI.(拒绝)条月:-YKAorKAca
YD/T 1628-2007
3.从测试仪表端口A向测试仪表端口B发送不符合过滤条件的数据包,进行性能测试预期结果:
配置ACL后应不会对DUT的转发造成严重影响判定原则:
应符合预期结果要求,否则为不合格
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1628-2007
以太网交换机设备安全测试方法Security test mothods for ethernet switching eqiupment2007-04-16发布
2007-10-01实施
中华人民共和国信息产业部发布前言·
规范性引用文件
3术语和定义
缩略语·
测试环境
数据平面安全测试
6.1 DoS攻击...
流量控制
802.3ad链路聚合·
MAC地址数目限制
MAC地址绑定功能
6.8端口镜像,
广播风暴抑制·
控制平面安全测试.
7.1VLAN安全测试
7.2STP/RSTP功能测试
7.3 IGMP Snooping 功能测试-
7.4 DHCP Snooping功能测试
8管理平面安全测试·
用户访问控制·
Telnet-
8.3Wcb管理功能测试
SNMPv3-
安全审计
KAONTKAca-
YD/T 1629-2007
YD/T 1628-2007
本标准是“以太网交按机设备”系列标准之一:本系列标准的结构和名称预计如下:以太网交换机技术要求(修订YD/T1099-2001千兆比以太网交换机设备技术L.YD/T1099-2005
要求)
2. YD/T 1141-2005
以太网交换机测试方法(修订YD/T1141-2001千兆比以太网交换机测试方法)3.YD/T1287-2003
具有路中功能的以太网交换机测试方法4,YD/T 1255-2003
5. YD/T 1627-2007
6. YD/T 1628-2007
7. YD/T 1629-2007
8. YD/T 1630-2007
具有路由功能的以太网交换机技术要求以太网交换机设备安全技术要求以太网交换机设备安全测试方法具有路由功能的以太网交换机设备安全技术要求具有路由功能的以太网交换机设备安全测试方法其中,《以太网交换机设备安全技术要求》是本标准的技术依据,同时本标准也是YD/T1141-2005《以太网交换机测试方法》的配套标准。本标谁由中国通信标推化协会提出并归口。本标准起草单位:信息产业部电信研究院本标准参加单位:中兴通讯般份有限公司华为技术有限公司
国家计算机网络应急技术处理协调中心武汉邮电科学研究院
北京通和实益电信科学技术研究所有限公司本标准主要起草人:梁冰周开波韩闭肖雳黄萌罗鉴陈建业1范围
以太网交换机设备安全测试方法本标准规定了二层以太网交换机的安全测试内容及测试方法。本标准适用于二层以太网交换机。2规范性引用文件
-YKAOrKAca
YD/T 1628-2007
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本,凡是不注日期的引用文件,其最新版本适用于本标准。YD/T1627-2007
3定义
下列定义适用于本标准。
以太网交换机设备安全技术要求-访问控制(Access Control)
防止未经授权使用资源。
·授权(Authorization)
授予权限,包括根据访问权进行访问的权限。,安全审计(Security Audit)
对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统控制与现行策略利操作程序保持一致、探测违背安全性的行为,并介绍控制、策略和程序中所显示的任何变化。·数字签名(DigitalSignature)附在数据单元后面的数据或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的来源和完整性,保护数据不被伪造,并保证数据的不可否认性。·安全机制(SecurityMechanism)实现安全服务的过程。
拒绝服务(Denial of Service)阻止授权访问资源或延迟时间藏感操作,4缩略语
下列缩略语适用于本标准。
Triple Data Encryption StandardAccess Control List
Advanced Bncryption StandardCommitted Access Rate
Cipher Block Chaining
三重数据加密标准
访问控制列表
先进加密标准
承诺接入速率
密码块链
YD/T 1628-2007
SNMPv1
SNMPv2c
SNMPv3
Denial of Service
Digital Signature Standard
Device Under Test
Hashed Message Authentication CodeInternet Control Messages ProtocolInternet Key Exchange
Internet Prctocol
IP Security
Internmediate System to Intermnediate SystemMedia Access Control
Message Digest version 5
Multi-Protocol Label SwitchingNetwork Address Translation
Network Address Port TranslationNetwork Time Protocol
Point-to-Point Protocol
Rivest, Shamir and Adleman AlgorithmSecurity Hash Algorithm
Secure Hash Algorithm 1
Simple Network Management PratocolSNMP version1
SNMP version2c
SNMP version3
Secure Shell
Secure Shell version 1
Sccure Shell version 2
Transmission Control ProtocolUser Datagram Protocol
Unicase Reverse Path ForwardingVirtual Private Network
拒绝服务
数字签名标准
被测设备
散列消息认证码
因特网控制报文协议
因特网密钥交换
因特网协议
IP安全机制
中间系统到中间系统
媒介访问控制
消息摘要版本5
多协议标记交换
网络地址转换
网络地址端口转换
网络时间协议
点到点协议
RSA算法
安全散列算法
安全散列算法版本1
简单网络管理协议
SNMP 版本1
SNMP 版本2c
SNMP 版本
安全外壳
SSH版本1
SSH 版本2
传输控制协议
用户数据报协设
单播反向路径转发
虚拟专用网
5测试环境Www.bzxZ.net
测试环境如图1-图8所示。
仿真网络!
协议分析独
A测试仪表E
测试环境1
测读役表!
测试环境2
图3测试环境3
仿真网络2
服务器
【日志、认证、DHCP
图4测试环境4
协议分析仪
图5测试环境5
流量发生器
KAONTKAca-
YD/T 1628-2007
YD/T 1628-2007
协设分析仪
测试环境8
测试环境7
测试仪表
测试环境8
流基发生器
6数据平面案全测试
6.1DoS攻击
测试编号:1
测试项目:抗大流量攻击能力测试测试目的:检验DUT处理大流量数据的能力测试配置:测试环境8
测试过程:
1.按测试环境连接设备:
2.从测试仪表端口A向测试仪表端口B以线速率发送数据包:3.从测试仪表端口C向DUT的管理地址以线速率发送数据包预期结果:
在步骤3中,DUT应能正常转发数据包,不受端口C.上流量的影响判定原则:
应符合预期结果要求,否则为不合格测试编号:2
测试项目:畸形包处理能力测试测试目的:检验DUT处理畸形数据包的能力测试配置:测试环境8
测试过程:
1.按测试环境连接设备:
2.从测试仪表端口A向测试仪表端口B发送小于端口速率的背景流量:-YKAONrKAca
YD/T1628-2007
3.由测试仪表端口C以端口速率向DUT管理地址发送报文长度包括IP包头大于65535字节的ICMPEchoRequest报文(PingofDeath攻击仿真报文);4.停止步骤3中报文的发送,由测试仪表端口C向DUT管理地址发送多个Offset字段重叠的IP报文(Teardrop攻击仿真抵文):
5.停止步骤4中报文的发送,由测试仪表端口A向仪表端口B发送链路层错误(如以太网的FCS错误帧)报文;
6.停止步骤5中报文的发送,由测试仪表端口A向仪表端口B发送长度小于64字节(以太网链路)的超短顿(Runt);
7.停止步骤6中报文的发送,由测试仪表端口A向测试仪表端口B发送长度大于链路MTU的超长顿(Giant)
预期结果:
1.在步骤3中,攻击报文应被丢弃,记录攻击对背景流量的影响;2.在步骤4中,攻击报文应被丢弃,记录攻击刘背景流量的影响;3.在步骤5中,错误帧应被丢弃,记录攻击对背景流量的影响;4、在步骥6中,超短帧应被丢弃,并提供统计数,记录攻击对背景流量的影响;5.在步骤7中,超长帧应被丢弃,并提供统计数据,记录攻击对背景流量的影响判定原则:
应符合预期结果要求,否则为不合格YD/T 1628-2007
测试编号:3
测试项目:PingFlood攻击处理能力测试测试目的:检验 DUT 处理 Fing Flood 攻击的能力测试配置:測试坏境8
测试过程:
1.按测试环境连接设备:
2.从测试仪表端口A向端口B以端口速率发送流量,并验证测试仪表端口B上流量能够正常接收:3.从测试仪表端口C向DUT管理地址以端口线速率发送ICMPEchoRequest数据包预期结果:
在步骤3中,DUT应对超量ICMP报文进行丢弃或限速,记录攻击对其他端口流量的影响判定原则:
应符合预期结果要求,否则为不合格测试编号:4
测试项目:SYNFlood攻击处理能力测试测试自的:检验DUT处理SYNFlood攻击的能力测试配置:测试环境2
测试过程:
1.按测试环境连接设备:
2.从测试仪表端口A向端口B以端口速率的发送流量,并验证测试仪表端口B上流量能够正常接收;3.从测试仪表端口C向DUT管理地址发送TCPSYN数据包预期结果:
在步骤3中,DUT应对过量TCP SYN报文进行丢弃或降低优先级的排以处理,记录攻击对其他端口流量的影响
判定原则:
DUT可以对过量TCPSYN报文进行丢弃或降低优先级的排队处理,其他端口流量和时延应不会受到严重影响
测试编号:5
测试项目:Smurf 攻击处理能力测试测试目的:检验DUT处理Smuf政击的能力测试配置:测试环境2
测试过程:
1.按测试环境连接设备:
2.从测试仪表端口A向端口B以端口速率发送流量,端口B上流量能够正常接收:3、从测试仪表端口C向DUT管理地址以端口线速率发送ICMPEchoRequest数据包预期结果:
在步骤 3 中,DUT 对 ICMP报文进行丢弃,记录政击对其他端口流量的影响判定原则:
应符合预期结果要求,否则为不合格6.2ACL
测试编号:6
测试项目:基于源MAC 地址的ACL测试测试目的:检验DUT是否实现基于源MAC地址的ACIL测试配置:测试环境1
测试过程:
1按测试环境连接设备(互联接口采用以太网接口)-YKAOrKAca
YD/T 1628-2007
2.在DUT上配置基于源MAC地址的ACL条目,拒绝源MAC地址非特定地址的数据包;3.从测试仪表端门A 向仪表端口B发送数据包,源MAC地址不是DUT配置的特定MAC地址:4.从测试仪表端口A向仪表端口B发送数据包,源MAC地址是DUT配置的特定MAC地址预期结果:
1.在步骤3中,测试仪表端口B没有收到数据包:2.在步骤4中,测试仪表端口B可以收到数据包判定原列:
应符合预期结果要求,否则为不合格YD/T1628-2007
测试编号:7
测试项目:基于目的MAC地址的ACL测试测试目的:检验 DUT 是否实现基于日的 MAC 地址的 ACL测试配置:测试环境1
测试过程:
1.按测试环境连接设备(互联接采用以太网接口):2.在DUT上配置基于目的MAC地址的ACL条,拒绝目的MAC地址非特定地址的数据包;3.从测试仪表端口A向仪表端口B发送数据包,日的MAC地址不是DUT配置的特定MAC地址:4.从测试仪表端口A向仪表端口B发送数据包,日的MAC地址是DUT配置的特定MAC地址预期结果:
1.在步骤3中,测试仪表端口B没有收到数据包:2.在步骤4中,测试仪表端口B可以收到数据包判定原则:
应符合预期结果要求,否则为不合格测试编号:8
测试项目:全局ACL测试
测试目的:检验DUT是否实现全局ACL测试配置:测试环境1
测试过程:
1.按测试环境连接设备:
2在DUT上配置全局ACL(拍绝)条回:3.从测试仪表端口A向测试仪表端口B发送符合过滤条件的数据包:4.从测试仪表端口B向测试仪表端口A发送符合过滤条件的数据包预期结果:
1.在步骤3中,测试仪表端口B没有收到数据包;2、在步骤4中,测试仪表端口A没有收到数据包判定原则:
应符合预期结果要求,否则为不合格8
测试编号:9
测试项月:接口ACL测试
测试目的:检验DUT是否实现接口ACL测试配置:测试环境1
测试过程:
1.按测试环境连接设备:
2.在DUT接口1上配置ACL(拒绝)条日:3.从测试仪表端口A向测试仪表端口B发送符合过滤条件的数据包;4.从测试仪表端口B向测试仪表端口A发送符合过滤条件的数据包预期结果:
1.在步骤3中,测试仪表端口B没有收到数据包;2.在步骤4中,测试仪表端口A可以收到数据包判定原则:
应符合预期结果要求,否则为不合格测试编号:10
测试项目:配置ACL情况下的性能测试测试目的:检验DUT在配置ACL情况下的性能测试配置:测试环境2
测试过程:
1.按测试环境连接设备:
2.按照DUT声期值的80%在接口1上配置相互无关联的ACI.(拒绝)条月:-YKAorKAca
YD/T 1628-2007
3.从测试仪表端口A向测试仪表端口B发送不符合过滤条件的数据包,进行性能测试预期结果:
配置ACL后应不会对DUT的转发造成严重影响判定原则:
应符合预期结果要求,否则为不合格
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。