- 您的位置:
- 标准下载网 >>
- 标准分类 >>
- 通信行业标准(YD) >>
- YD/T 2043-2009 IPv6网络设备安全测试方法——具有路由功能的以太网交换机
【通信行业标准(YD)】 IPv6网络设备安全测试方法——具有路由功能的以太网交换机
本网站 发布时间:
2024-09-10 00:55:41
- YD/T2043-2009
- 现行
标准号:
YD/T 2043-2009
标准名称:
IPv6网络设备安全测试方法——具有路由功能的以太网交换机
标准类别:
通信行业标准(YD)
标准状态:
现行-
发布日期:
2009-12-11 -
实施日期:
2010-01-01 出版语种:
简体中文下载格式:
.rar .pdf下载大小:
9.74 MB
标准内容部分标准内容:
ICS33.040.40
中华人民共和国通信行业标准
YD/T 2043-2009
IPv6网络设备安全测试方法
具有路由功能的以太网交换机
IPv6 network equipment security testing methods-Ethernet switch with routing capability2009-12-11 发布
2010-01-01实施
中华人民共和国工业和信息化部?发 布前言
1范围
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义
3.2缩略语·
4测试环境...·
5数据转发平面安全测试
5.1IPsec协议测试·
5.2常见网络攻击抵抗能力测试
5.3URPF功能测试(可选)
访问控制列表
5.5流量控制功能测试
6控制平面安全测试….
路由协议安全测试
TCP/P协议安全测试
6.3MAC地址数量限制
MAC地址绑定功能·
路由过滤功能测试
7管理平面安全测试
端口镜像·
访问控制安全测试
7.3SNMPv3功能测试
7.4安全审计功能测试
YD/T 2043-2009
YD/T2043-2009
本标准是“IPv6网络设备安全”系列标准之一,该系列标准预计的结构及名称如下:1.YD/T1905-2009IPv6网络设备安全技术要求—宽带网络接入服务器2.YD/T2041-2009IPv6网络设备安全测试方法一宽带网络接入服务器3.YD/T2042-2009IPv6网络设备安全技术要求一—具有路由功能的以太网交换机4.YD/T2043-2009Pv6网络设备安全测试方法—具有路由功能的以太网交换机YD/T2042-2009IPv6网络设备安全技术要求—一具有路由功能的以太网交换机是本标准的技术依据,使用过程中需与其配套使用。本标准由中国通信标准协会提出并归口。本标准起草单位:工业和信息化部电信研究院、华为技术有限公司。本标准主要起草人:马军锋、蒋胜、郭大勇、赵世卓。1范围
IPv6网络设备安全测试方法
一具有路由功能的以太网交换机YD/T 2043-2009
本标准规定了对具有IPv6路由功能的以太网交换机设备进行安全功能和协议安全测试的方法。本标准适用于支持IPv6协议并具有路由功能的以太网交换机设备。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。5IP安全协议(IPSec)测试方法YD/T1467-2006
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。3.1.1
具有IPv6路由功能的以太网交换机ethernetswitchwithIPv6routingcapability支持IPv6协议、具有第三层路由功能的P数据包交换机。除实现数据顿转发功能外,能根据收到的数据包中网络层地址以及交换机内部维护的路由表决定输出端口以及下一跳交换机地址或主机地址并且重写链路层数据包头。
路由表可以通过静态配置方式维护,也可以动态维护来反映当前的网络拓扑。具有路由功能的以太网交换机通常通过与其它类似设备/路由器交换路由信息来完成路由表的动态维护。3.1.2
被测实现IUT
实际开放系统中将要进行一致性测试的那部分,它应该是一个或多个相关OSI协议的实现。3.2缩略语
下列缩略语适用于本标准。
ICMPv6
Access Control List
Border Gateway Protocol
Committed Access Rate
Device Under Test
InternetControlMessagesProtocol version6Internet Protocl
Internet Protocol Security
访问控制列表
边界网关路由协议bzxz.net
承诺访问速率
被测设备
网间控制报文协议版本6
网际互连协议版本6
互联网安全
YD/T2043-2009
OSPFv3
4测试环境
IntermediateSystem-IntermediateSystemMediaAccessControl
Message-DigestAlgorithmversion5ManagementInformationBase
Multi-Protocol LabelSwitch
Open Shortest Path First version 3RequestForComments
Routing Information Protocol NextGenerationSimpleNetwork ManagementProtocolSecure Shell
TransmissionControlProtocol
Unicast ReversePathForwardingUser Datagram Protocol
Virtual Local AreaNetwork
测试环境1,如图1所示。
测试仪表
测试环境1
测试环境2,如图2所示。
测试仪丧端口C
测试仪表端口A
测试环境3,如图3所示。
图2测试环境2
图3测试环境3
中间系统一中间系统
媒体控制访问
消息摘要算法5
管理信息库
多协议标记交换
最短路径优先版本三
请求注解
下一代路由信息协议
简单网络管理协议
安全外壳
传输控制协议
单播逆向路径转发
用户数据报协议
虚拟局域网
测试仪表端口B
测试环境4,如图4所示。
测试环境5,如图5所示。
5数据转发平面安全测试
5.1IPsec协议测试
认证服务器
图4测试环境4
日志服务器
测试环境5
IPSec协议测试内容按YD/T1467-2006的规定。5.2常见网络攻击抵抗能力测试
测试编号:1
测试项目:抗大流量攻击能力测试测试目的:检验DUT处理大流量数据的能力测试配置:测试环境1
测试过程:
1.按测试环境连接设备:
2.从测试仪表端口A向测试仪表端口B以接口吞吐量发送数据包;3.DUT开启动态路由协议,从测试仪表端口A向DUT建立OSPFv3邻居关系;4.停止步骤2中数据包的发送:
5.从测试仪表端口A向DUT的环回地址以线速发送数据包;6,从测试仪表端口A向DUT建立协议邻居关系预期结果:
YD/T2043-2009
在步骤3和6中,测试仪表与DUT间应能正常建立协议邻居关系,不受端口上流量的影响3
YD/T2043-2009
判定原则:
应符合预期结果要求,否则为不合格测试编号:2
测试项目:畸形包处理能力测试测试目的:检验DUT处理畸形数据包的能力测试配置:测试环境1
测试过程:
1.按测试环境连接设备;
2.从测试仪表端口A向测试仪表端口B发送小于接口吞吐量的背景流量:3.由仪表端口A以端口吞吐量剩余带宽速率向DUT端口发送报文长度(包括P包头)大于65535字节的ICMPv6ECHORequest报文(PingofDeath攻击仿真报文);4.停止步骤3中报文的发送,由仪表端口A向DUT环回地址发送多个Offset字段重叠的IP报文(Teardrop攻击仿真报文);
5.停止步骤4中报文的发送,由仪表端口A向仪表端口B发送链路层错误(如以太网的FCS错误)报文:
6.停止步骤5中报文的发送,由仪表端口A向仪表端口B发送长度小于64字节(以太网链路)的超短帧(Runt):
7.停止步骤6中报文的发送,由仪表端口A向仪表端口B发送长度大于链路MTU的超长帧(Giant)预期结果:
1.在步骤3中,攻击报文应被丢弃,记录攻击对背景流量的影响;2。在步骤4中,攻击报文应被丢弃,记录攻击对背景流量的影响;3.在步骤5中,错误帧应被丢弃,并在错误日志中有相应记录,记录攻击对背景流量的影响;4.在步骤6中,超短帧应被丢弃,并提供统计数据,记录攻击对背景流量的影响;5,在步骤7中,超长顿应被丢弃,并提供统计数据,记录攻击对背景流量的影响判定原则:
应符合预期结果要求,“否则为不合格测试编号:3
测试项目:PingFlood攻击处理能力测试测试目的:检验DUT处理PingFlood攻击的能力测试配置:测试环境2
测试过程:
1.按测试环境连接设备;
2.仪表端口B与DUT建立OSPFv3邻居关系,并向DUT通告到网络2的路由:YD/T2043-2009
3.从测试仪表端口A向网络2中的某个P地址以小于端口吞吐量的流量发送背景流量,并验证仪表端口B上流量能够正常接收:
4.从测试仪表端口C向DUT环回地址以端口吞吐量发送ICMPv6ECHORequest数据包;5.停止步骤4中流量的发送,从测试仪表端口C向网络2中的某个P地址以端口吞吐量发送ICMPv6ECHORequest数据包
预期结果:
1..在步骤4中,DUT应对超量ICMPv6报文进行丢弃或限速,记录攻击对背景流量的影响;2.在步骤5中,DUT应对超量ICMPv6报文进行丢弃或限速,记录攻击对背景流量的影响判定原则:
应符合预期结果要求,否则为不合格测试编号:4
测试项目:SYNFlood攻击处理能力测试测试目的:检验DUT处理SYNFlood攻击的能力测试配置:测试环境2
测试过程:
1.按测试环境连接设备:
2.仪表端口A和B分别与DUT建立OSPFv3邻居关系,并向DUT通告到网络1和网络2的路由;3.从测试仪表端口A向网络2中的某个IP地址以小于端口吞吐量的流量发送背景流量,并验证仪表端口B上流量能够正常接收;
4.从测试仪表端口C向网络2中的某个P地址以端口端口吞吐量剩余带宽发送TCPSYN数据包,数据包源地址为网络1中的某个地址;5.停止步骤4中流量的发送,从测试仪表端口C向DUT的环回地址上已开放的端口以端口吞吐量剩余带宽发送TCPSYN数据包,数据包源地址为网络1中的某个地址;6.停止步骤5中流量的发送,在DUT设备上配置限速策略,当流量超过门限时,丢弃过载的流量;7.从测试仪表端口C向网络2中的某个IP地址以超过限速门限的速率发送满足策略的TCPSYN数据包,数据包源地址为网络1中的某个地址预期结果:
1.在步骤4和5中,DUT应对过量TCPSYN报文进行丢弃或进行降低优先级的排队处理,记录攻击对背景流量的影响;
2.在步骤7中,DUT应对过量TCPSYN报文进行丢弃,记录攻击对背景流量的影响判定原则:
1.DUT可以对过量TCPSYN报文进行丢弃或进行降低优先级的排队处理,背景流的流量和时延应不会受到严重影响;
2.DUT对满足限速策略的流量进行限速处理,背景流的流量和时延应不会受到严重影响5
YD/T2043-2009
5.3URPF功能测试(可选)
测试编号:5
测试项目:严格URPF功能测试
测试目的:检验DUT实现严格URPF功能测试配置:测试环境2
测试过程:
1.按测试环境连接设备:
2.仪表端口A和B分别与DUT建立OSPFv3邻居关系,并向DUT通告到网络1和网络2的路由,并发送流量验证路由的有效性,在DUT上为地址X:X:X:X::0/64配置到测试仪表端口C的静态路由;3.在DUT上启用严格URPF:
4.从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址:5.停止步骤4中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为c:6.停止步骤5中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为Y:Y:Y:Y::1(在路由器路由表中不存在到该地址的路由)预期结果:
1.在步骤4中,仪表端口B应可以收到测试数据包;2.在步骤5和6中,仪表端口B不能收到测试数据包判定原则:
应符合预期结果要求,否则为不合格测试编号:6
测试项目:松散URPF功能测试
测试目的:检验DUT实现松散URPF功能测试配置:测试环境2
测试过程:
1.按测试环境连接设备:
2.仪表端口A和B分别与DUT建立OSPFv3邻居关系,并向DUT通告到网络1和网络2的路由,并发送流量验证路由的有效性,在DUT上为地址X:X:X:X:0/64配置到测试仪表端口C的静态路由;3.在DUT上启用松散URPF;
4.从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址:5.停止步骤4中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为X:X:X:X::1;6.停止步骤5中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为Y:Y:Y:Y:1(在路由器路由表中不存在到该地址的路由)预期结果:
1在步骤4和5中,仪表端口B应可以收到测试数据包:2.在步骤6中,仪表端口B不能收到测试数据包判定原则:
应符合预期结果要求,否则为不合格6
测试编号:7
测试项目:基于ACL的URPF功能测试测试目的:检验DUT实现基于ACL的URPF功能测试配置:测试环境2
测试过程:
1.按测试环境连接设备:
YD/T2043-2009
2.仪表端口A和B分别与DUT建立OSPFv3邻居关系,并向DUT通告到网络1和网络2的路由,并发送流量验证路由的有效性,在DUT上为X:X:X:X:0/64地址配置到测试仪表端口C的静态路由;3在DUT上启用基于ACL的URPF,并配置ACL条目拒绝源地址为X:X:X:X:b/64的数据包4.从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址;5.停止步骤4中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为X:X:X:X:a6.停止步骤5中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为X:X:X:X:b;7.停止步骤6中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为Y:Y:Y:Y:b(在路由器路由表中不存在到该地址的路由)预期结果:
1,在步骤4和5中,仪表端口B应可以收到测试数据包;2.在步骤6和7中,仪表端口B不能收到测试数据包判定原则:
应符合预期结果要求,否则为不合格5.4访问控制列表
测试编号:8
测试项目:基于源地址的ACL测试测试目的:检验DUT是否实现基于源地址的ACL测试配置:测试环境1
测试过程:
1.按测试环境连接设备:
2.在DUT上配置基于源地址的ACL(拒绝)条目:3.从仪表端口A向仪表端口B发送符合过滤条件的P包;4.从仪表端口A向仪表端口B发送不符合过滤条件的P包预期结果:
1.在步骤3中,仪表端口B没有收到数据包:2.在步骤4中,仪表端口B可以收到数据包判定原则:
应符合预期结果要求,否则为不合格YD/T2043-2009
测试编号:9
测试项目:基于目的地址的ACL测试测试目的:检验DUT是否实现基于目的地址的ACL测试配置:测试环境1
测试过程:
1.按测试环境连接设备:
2.在DUT上配置基于目的地址的ACL(拒绝)条目;3.从仪表端口A向仪表端口B发送符合过滤条件的IP包;4.从仪表端口A向仪表端口B发送不符合过滤条件的IP包预期结果:
1.在步骤3中,仪表端口B没有收到数据包;2.在步骤4中,仪表端口B可以收到数据包判定原则:
应符合预期结果要求,否则为不合格测试编号:10
测试项目:基于协议的ACL测试
测试目的:检验DUT是否实现基于协议地址的ACL测试配置:测试环境1
测试过程:
1.按测试环境连接设备:
2.在DUT上配置基于协议类型的ACL(拒绝)条目:3.从仪表端口A向仪表端口B发送符合过滤条件的IP包:4.从仪表端口A向仪表端口B发送不符合过滤条件的P包预期结果:
1.在步骤3中,仪表端口B没有收到数据包;2.在步骤4中,仪表端口B可以收到数据包判定原则:
应符合预期结果要求,否则为不合格8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 2043-2009
IPv6网络设备安全测试方法
具有路由功能的以太网交换机
IPv6 network equipment security testing methods-Ethernet switch with routing capability2009-12-11 发布
2010-01-01实施
中华人民共和国工业和信息化部?发 布前言
1范围
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义
3.2缩略语·
4测试环境...·
5数据转发平面安全测试
5.1IPsec协议测试·
5.2常见网络攻击抵抗能力测试
5.3URPF功能测试(可选)
访问控制列表
5.5流量控制功能测试
6控制平面安全测试….
路由协议安全测试
TCP/P协议安全测试
6.3MAC地址数量限制
MAC地址绑定功能·
路由过滤功能测试
7管理平面安全测试
端口镜像·
访问控制安全测试
7.3SNMPv3功能测试
7.4安全审计功能测试
YD/T 2043-2009
YD/T2043-2009
本标准是“IPv6网络设备安全”系列标准之一,该系列标准预计的结构及名称如下:1.YD/T1905-2009IPv6网络设备安全技术要求—宽带网络接入服务器2.YD/T2041-2009IPv6网络设备安全测试方法一宽带网络接入服务器3.YD/T2042-2009IPv6网络设备安全技术要求一—具有路由功能的以太网交换机4.YD/T2043-2009Pv6网络设备安全测试方法—具有路由功能的以太网交换机YD/T2042-2009IPv6网络设备安全技术要求—一具有路由功能的以太网交换机是本标准的技术依据,使用过程中需与其配套使用。本标准由中国通信标准协会提出并归口。本标准起草单位:工业和信息化部电信研究院、华为技术有限公司。本标准主要起草人:马军锋、蒋胜、郭大勇、赵世卓。1范围
IPv6网络设备安全测试方法
一具有路由功能的以太网交换机YD/T 2043-2009
本标准规定了对具有IPv6路由功能的以太网交换机设备进行安全功能和协议安全测试的方法。本标准适用于支持IPv6协议并具有路由功能的以太网交换机设备。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。5IP安全协议(IPSec)测试方法YD/T1467-2006
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。3.1.1
具有IPv6路由功能的以太网交换机ethernetswitchwithIPv6routingcapability支持IPv6协议、具有第三层路由功能的P数据包交换机。除实现数据顿转发功能外,能根据收到的数据包中网络层地址以及交换机内部维护的路由表决定输出端口以及下一跳交换机地址或主机地址并且重写链路层数据包头。
路由表可以通过静态配置方式维护,也可以动态维护来反映当前的网络拓扑。具有路由功能的以太网交换机通常通过与其它类似设备/路由器交换路由信息来完成路由表的动态维护。3.1.2
被测实现IUT
实际开放系统中将要进行一致性测试的那部分,它应该是一个或多个相关OSI协议的实现。3.2缩略语
下列缩略语适用于本标准。
ICMPv6
Access Control List
Border Gateway Protocol
Committed Access Rate
Device Under Test
InternetControlMessagesProtocol version6Internet Protocl
Internet Protocol Security
访问控制列表
边界网关路由协议bzxz.net
承诺访问速率
被测设备
网间控制报文协议版本6
网际互连协议版本6
互联网安全
YD/T2043-2009
OSPFv3
4测试环境
IntermediateSystem-IntermediateSystemMediaAccessControl
Message-DigestAlgorithmversion5ManagementInformationBase
Multi-Protocol LabelSwitch
Open Shortest Path First version 3RequestForComments
Routing Information Protocol NextGenerationSimpleNetwork ManagementProtocolSecure Shell
TransmissionControlProtocol
Unicast ReversePathForwardingUser Datagram Protocol
Virtual Local AreaNetwork
测试环境1,如图1所示。
测试仪表
测试环境1
测试环境2,如图2所示。
测试仪丧端口C
测试仪表端口A
测试环境3,如图3所示。
图2测试环境2
图3测试环境3
中间系统一中间系统
媒体控制访问
消息摘要算法5
管理信息库
多协议标记交换
最短路径优先版本三
请求注解
下一代路由信息协议
简单网络管理协议
安全外壳
传输控制协议
单播逆向路径转发
用户数据报协议
虚拟局域网
测试仪表端口B
测试环境4,如图4所示。
测试环境5,如图5所示。
5数据转发平面安全测试
5.1IPsec协议测试
认证服务器
图4测试环境4
日志服务器
测试环境5
IPSec协议测试内容按YD/T1467-2006的规定。5.2常见网络攻击抵抗能力测试
测试编号:1
测试项目:抗大流量攻击能力测试测试目的:检验DUT处理大流量数据的能力测试配置:测试环境1
测试过程:
1.按测试环境连接设备:
2.从测试仪表端口A向测试仪表端口B以接口吞吐量发送数据包;3.DUT开启动态路由协议,从测试仪表端口A向DUT建立OSPFv3邻居关系;4.停止步骤2中数据包的发送:
5.从测试仪表端口A向DUT的环回地址以线速发送数据包;6,从测试仪表端口A向DUT建立协议邻居关系预期结果:
YD/T2043-2009
在步骤3和6中,测试仪表与DUT间应能正常建立协议邻居关系,不受端口上流量的影响3
YD/T2043-2009
判定原则:
应符合预期结果要求,否则为不合格测试编号:2
测试项目:畸形包处理能力测试测试目的:检验DUT处理畸形数据包的能力测试配置:测试环境1
测试过程:
1.按测试环境连接设备;
2.从测试仪表端口A向测试仪表端口B发送小于接口吞吐量的背景流量:3.由仪表端口A以端口吞吐量剩余带宽速率向DUT端口发送报文长度(包括P包头)大于65535字节的ICMPv6ECHORequest报文(PingofDeath攻击仿真报文);4.停止步骤3中报文的发送,由仪表端口A向DUT环回地址发送多个Offset字段重叠的IP报文(Teardrop攻击仿真报文);
5.停止步骤4中报文的发送,由仪表端口A向仪表端口B发送链路层错误(如以太网的FCS错误)报文:
6.停止步骤5中报文的发送,由仪表端口A向仪表端口B发送长度小于64字节(以太网链路)的超短帧(Runt):
7.停止步骤6中报文的发送,由仪表端口A向仪表端口B发送长度大于链路MTU的超长帧(Giant)预期结果:
1.在步骤3中,攻击报文应被丢弃,记录攻击对背景流量的影响;2。在步骤4中,攻击报文应被丢弃,记录攻击对背景流量的影响;3.在步骤5中,错误帧应被丢弃,并在错误日志中有相应记录,记录攻击对背景流量的影响;4.在步骤6中,超短帧应被丢弃,并提供统计数据,记录攻击对背景流量的影响;5,在步骤7中,超长顿应被丢弃,并提供统计数据,记录攻击对背景流量的影响判定原则:
应符合预期结果要求,“否则为不合格测试编号:3
测试项目:PingFlood攻击处理能力测试测试目的:检验DUT处理PingFlood攻击的能力测试配置:测试环境2
测试过程:
1.按测试环境连接设备;
2.仪表端口B与DUT建立OSPFv3邻居关系,并向DUT通告到网络2的路由:YD/T2043-2009
3.从测试仪表端口A向网络2中的某个P地址以小于端口吞吐量的流量发送背景流量,并验证仪表端口B上流量能够正常接收:
4.从测试仪表端口C向DUT环回地址以端口吞吐量发送ICMPv6ECHORequest数据包;5.停止步骤4中流量的发送,从测试仪表端口C向网络2中的某个P地址以端口吞吐量发送ICMPv6ECHORequest数据包
预期结果:
1..在步骤4中,DUT应对超量ICMPv6报文进行丢弃或限速,记录攻击对背景流量的影响;2.在步骤5中,DUT应对超量ICMPv6报文进行丢弃或限速,记录攻击对背景流量的影响判定原则:
应符合预期结果要求,否则为不合格测试编号:4
测试项目:SYNFlood攻击处理能力测试测试目的:检验DUT处理SYNFlood攻击的能力测试配置:测试环境2
测试过程:
1.按测试环境连接设备:
2.仪表端口A和B分别与DUT建立OSPFv3邻居关系,并向DUT通告到网络1和网络2的路由;3.从测试仪表端口A向网络2中的某个IP地址以小于端口吞吐量的流量发送背景流量,并验证仪表端口B上流量能够正常接收;
4.从测试仪表端口C向网络2中的某个P地址以端口端口吞吐量剩余带宽发送TCPSYN数据包,数据包源地址为网络1中的某个地址;5.停止步骤4中流量的发送,从测试仪表端口C向DUT的环回地址上已开放的端口以端口吞吐量剩余带宽发送TCPSYN数据包,数据包源地址为网络1中的某个地址;6.停止步骤5中流量的发送,在DUT设备上配置限速策略,当流量超过门限时,丢弃过载的流量;7.从测试仪表端口C向网络2中的某个IP地址以超过限速门限的速率发送满足策略的TCPSYN数据包,数据包源地址为网络1中的某个地址预期结果:
1.在步骤4和5中,DUT应对过量TCPSYN报文进行丢弃或进行降低优先级的排队处理,记录攻击对背景流量的影响;
2.在步骤7中,DUT应对过量TCPSYN报文进行丢弃,记录攻击对背景流量的影响判定原则:
1.DUT可以对过量TCPSYN报文进行丢弃或进行降低优先级的排队处理,背景流的流量和时延应不会受到严重影响;
2.DUT对满足限速策略的流量进行限速处理,背景流的流量和时延应不会受到严重影响5
YD/T2043-2009
5.3URPF功能测试(可选)
测试编号:5
测试项目:严格URPF功能测试
测试目的:检验DUT实现严格URPF功能测试配置:测试环境2
测试过程:
1.按测试环境连接设备:
2.仪表端口A和B分别与DUT建立OSPFv3邻居关系,并向DUT通告到网络1和网络2的路由,并发送流量验证路由的有效性,在DUT上为地址X:X:X:X::0/64配置到测试仪表端口C的静态路由;3.在DUT上启用严格URPF:
4.从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址:5.停止步骤4中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为c:6.停止步骤5中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为Y:Y:Y:Y::1(在路由器路由表中不存在到该地址的路由)预期结果:
1.在步骤4中,仪表端口B应可以收到测试数据包;2.在步骤5和6中,仪表端口B不能收到测试数据包判定原则:
应符合预期结果要求,否则为不合格测试编号:6
测试项目:松散URPF功能测试
测试目的:检验DUT实现松散URPF功能测试配置:测试环境2
测试过程:
1.按测试环境连接设备:
2.仪表端口A和B分别与DUT建立OSPFv3邻居关系,并向DUT通告到网络1和网络2的路由,并发送流量验证路由的有效性,在DUT上为地址X:X:X:X:0/64配置到测试仪表端口C的静态路由;3.在DUT上启用松散URPF;
4.从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址:5.停止步骤4中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为X:X:X:X::1;6.停止步骤5中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为Y:Y:Y:Y:1(在路由器路由表中不存在到该地址的路由)预期结果:
1在步骤4和5中,仪表端口B应可以收到测试数据包:2.在步骤6中,仪表端口B不能收到测试数据包判定原则:
应符合预期结果要求,否则为不合格6
测试编号:7
测试项目:基于ACL的URPF功能测试测试目的:检验DUT实现基于ACL的URPF功能测试配置:测试环境2
测试过程:
1.按测试环境连接设备:
YD/T2043-2009
2.仪表端口A和B分别与DUT建立OSPFv3邻居关系,并向DUT通告到网络1和网络2的路由,并发送流量验证路由的有效性,在DUT上为X:X:X:X:0/64地址配置到测试仪表端口C的静态路由;3在DUT上启用基于ACL的URPF,并配置ACL条目拒绝源地址为X:X:X:X:b/64的数据包4.从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址;5.停止步骤4中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为X:X:X:X:a6.停止步骤5中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为X:X:X:X:b;7.停止步骤6中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为Y:Y:Y:Y:b(在路由器路由表中不存在到该地址的路由)预期结果:
1,在步骤4和5中,仪表端口B应可以收到测试数据包;2.在步骤6和7中,仪表端口B不能收到测试数据包判定原则:
应符合预期结果要求,否则为不合格5.4访问控制列表
测试编号:8
测试项目:基于源地址的ACL测试测试目的:检验DUT是否实现基于源地址的ACL测试配置:测试环境1
测试过程:
1.按测试环境连接设备:
2.在DUT上配置基于源地址的ACL(拒绝)条目:3.从仪表端口A向仪表端口B发送符合过滤条件的P包;4.从仪表端口A向仪表端口B发送不符合过滤条件的P包预期结果:
1.在步骤3中,仪表端口B没有收到数据包:2.在步骤4中,仪表端口B可以收到数据包判定原则:
应符合预期结果要求,否则为不合格YD/T2043-2009
测试编号:9
测试项目:基于目的地址的ACL测试测试目的:检验DUT是否实现基于目的地址的ACL测试配置:测试环境1
测试过程:
1.按测试环境连接设备:
2.在DUT上配置基于目的地址的ACL(拒绝)条目;3.从仪表端口A向仪表端口B发送符合过滤条件的IP包;4.从仪表端口A向仪表端口B发送不符合过滤条件的IP包预期结果:
1.在步骤3中,仪表端口B没有收到数据包;2.在步骤4中,仪表端口B可以收到数据包判定原则:
应符合预期结果要求,否则为不合格测试编号:10
测试项目:基于协议的ACL测试
测试目的:检验DUT是否实现基于协议地址的ACL测试配置:测试环境1
测试过程:
1.按测试环境连接设备:
2.在DUT上配置基于协议类型的ACL(拒绝)条目:3.从仪表端口A向仪表端口B发送符合过滤条件的IP包:4.从仪表端口A向仪表端口B发送不符合过滤条件的P包预期结果:
1.在步骤3中,仪表端口B没有收到数据包;2.在步骤4中,仪表端口B可以收到数据包判定原则:
应符合预期结果要求,否则为不合格8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
标准图片预览 标准图片预览:
- 热门标准
- 通信行业标准(YD)标准计划
- DZ/T0064.29-2021 地下水质分析方法 第29部分:锂量的测定火焰发射光谱法
- YD/T1757-2008 电信网和互联网管理安全等级保护检测要求
- YD/T1786-2008 移动多媒体广播业务业务保护技术要求
- YD/T1759-2008 非核心生产单元安全防护检测要求
- YD/T1770-2008 接入网用室内外光缆
- YD/T1765-2008 通信安全防护名词术语
- YD/T1460.4-2006 通信用气吹微型光缆及光纤单元 第4部分:微型光缆
- YD/T1790-2008 移动多媒体广播业务应用层接口技术要求
- YD/T1533.2-2006 固定网多媒体消息业务技术要求 第2部分:多媒体消息业务接口
- YD/T1460.5-2006 通信用气吹微型光缆及光纤单元 第5部分:高性能光纤单元
- YD/T1533.1-2006 固定网多媒体消息业务技术要求 第1部分:多媒体消息中心(MMSC)设备
- YD/T1785-2008 移动多媒体广播业务总体技术要求
- YD/T1787-2008 移动多媒体广播业务业务指南技术要求
- YD/T1793-2008 2GHz 数字蜂窝移动通信网网络管理技术要求网元管理系统(EMS)功能
- YD/T1118.2-2001 光纤用二次被覆材料 第2部分:改性聚丙烯
请牢记:“bzxz.net”即是“标准下载”四个汉字汉语拼音首字母与国际顶级域名“.net”的组合。 ©2009 标准下载网 www.bzxz.net 本站邮件:[email protected]
网站备案号:湘ICP备2023016450号-1
网站备案号:湘ICP备2023016450号-1