【通信行业标准(YD)】 接入网设备安全测试方法——xDSL用户端设备

ICS33.040.50
中华人民共和国通信行业标准
YD/T 2047-2009
接入网设备安全测试方法
xDSL用户端设备
Test method of security for access network equipmentxDSLCPE
2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部　发布前
范围·免费标准下载网bzxz
规范性引用文件·
缩略语
用户平面安全功能测试·
控制平面安全功能测试
管理平面安全功能测试.
过压、过流保护功能测试.
YD/T2047-2009
YD/T2047-2009
本标准是接入网安全系列标准之一，该系列标准预计结构及名称如下：1.YD/T2046-2009
2.YD/T2047-2009
3.YD/T2048-2009
4.YD/T2049-2009
5.YD/T2050-2009
6.YD/T2051-2009
接入网安全技术要求--xDSL用户端设备接入网设备安全测试方法—xDSL用户端设备接入网安全技术要求一DSL接入复用器（DSLAM）设备接入网设备安全测试方法DSL接入复用器（DSLAM）设备接入网安全技术要求—无源光网络（PON）设备接入网设备安全测试方法一无源光网络（PON）设备7.YD/T1910-2009接入网安全技术要求——综合接入系统8.接入网设备安全测试方法综合接入系统本标准与YD/T2046-2009《接入网安全技术要求》配套使用。本标准由中国通信标准化协会提出并归口。本标准起草单位：工业和信息化部电信研究院、中兴通讯股份有限公司、华为技术有限公司、上海贝尔阿尔卡特股份有限公司、国家计算机网络应急技术处理协调中心。本标准主要起草人：葛坚、敖立、刘谦、党梅梅、程强、赵苹、陈洁、李云洁、陆洋、
袁立权、刘卫岗、朱建华。
1范围
YD/T2047-2009
接入网设备安全测试方法一一xDSL用户端设备本标准规定了xDSL用户端设备用户平面安全功能的测试方法、控制平面安全功能的测试方法、管理平面安全功能测试方法和可靠性测试方法。本标准适用于公众电信网的xDSL用户端设备，专用电信网也可参考使用。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。YD/T1082-2000
IEEE802.1D
IEEE802.1Q
IEEE802.1X
IEEE802.1ag
IEEE802.3
3缩略语
接入网设备过电压过电流防护及基本环境适应性技术条件媒体访问控制网桥
虚拟桥接局域网
基于端口的网络接入控制
连接性故障管理
CSMA/CD存取方法和物理层规范
下列缩略语适用于本标准。
AddressResolutionProtocol
CustomerPremisesEquipment
DynamicHostConfigProtocol
De-Militarized Zone
DigitalSubscriberLineAccessMultiplexerHyperText TransferProtocol
InternetGroupManagement ProtocolInternet Protocol
Media Access Control
Network Address Translation
PublicSwitchedTelephoneNetworkSimpleNetworkManagementProtocolSecureShell
Secure Socket Layer
TransmissionControlProtocol
地址解析协议
用户驻地设备
动态主机配置协议
非管理区
数字用户线接入复用器
超文本传输协议
因特网组管理协议
互联网协议
媒质访问控制
网络地址转换
公用电话交换网
简单网络管理协议
安全Shell
安全套接字层
传输控制协议
YD/T2047-2009
Uniform/UniversalResourceLocatorVoiceoverIP
Virtual Private Network
VirtualLocalAreaNetwork
Wide Area Network
用户平面安全功能测试
以下图中xDSL用户端设备均简写为CPE。4.1过滤功能
4.1.1测试目的
按照YD/T2046-2009《接入网安全技术要求统一资源定位符
IP语音
虚拟专网
虚拟局域网
广域网
-xDSL用户端设备》的规定，类型1、类型2、类型3和类型4的xDSL用户端设备应支持对NETBEUI、BPDU、GVRP、GMRP等MAC顿（见表1）进行过滤可选支持针对MAC源地址和/或目的地址设置过滤条目。表1
预定义和保留地址的MAC赖处理
目的MAC地址
01-80-C2-00-00-00
01-80-C2-00-00-01
01-80-C2-00-00-02
01-80-C2-00-00-03
01-80-C2-00-00-04
01-80-C2-00-00-0F
01-80-C2-00-00-10
01-80-C2-00-00-20
01-80-C2-00-00-21
01-80-C2-00-00-22
01-80-C2-00-00-2F
01-80-C2-xx-xx-xy
测试配置
桥组地址(BPDUs)
慢速协议
(LACP,EFM OAM PDUs)
EAPoverLANs
所有LAN的桥管理地址
保留GARP应用地址
分析仪1
分析仪2
4.1.3测试步骤
缺省行为
Forward
可选配置
Forward
端口1
端口2
顿过滤功能测试配置
引用标准
IEEE 802.1D, Table 7-9
IEEE802.3
IEEE802.3,Table43B-1
IEEE 802.1X, Table 7-2
IEEE 802.1D, Table 7-9
IEEE 802.1D, Table 7-10
IEEE802.1D,Table12-1
IEEE 802.1Q, Table 11-1
IEEE802.1D,Table12-1
IEEE 802.1ag-D6, Table 8-9
分析仪3
（1）按照图1建立组网连接，关闭DSLAM顿过滤功能，配置CPE1，使网络分析仪1和网络分析仪3之间能正常收发数据流；
（2）设置CPE1过滤MAC源和/或目的地址规则；YD/T2047-2009
（3）网络分析仪1向网络分析仪3发送MAC源和/或目的地址为被过滤MAC源和/或目的地址的测试（4）取消之前的配置，网络分析仪1向网络分析仪3发送MAC目的地址为表1的地址的测试顿；（5）如果CPE支持可选配置，配置CPE1，将CPE1中的MAC顿的处理方式由“缺省行为”改变为“可选配置”；
（6）网络分析仪1向网络分析仪3发送MAC目的地址为表1中的地址的测试顿。4.1.4预期结果
（1）步骤（3）中，网络分析仪3不能收到测试顿；（2）步骤（4）中，CPE1对测试顿的处理应符合表1中的缺省行为；（3）步骤（6）中，CPE1对测试顿的处理应符合表1中的可选配置。4.2MAC地址表深度控制功能
4.2.1测试目的
类型1、类型2、类型3和类型4的xDSL用户端设备应当可以配置并限制学习到的源MAC地址的数量。4.2.2测试配置
如图1所示。
4.2.3测试步骤
（1）按照图1建立组网连接：
（2）设置CPE从端口学习到的源MAC地址数量，数值小于DSLAM设置的每端口MAC地址学习数量限制：
（3）网络分析仪1连续发送具有不同源MAC地址的测试顿，其中源MAC地址数目大于CPE预设值；
（4）查看网络分析仪3收到的源MAC地址数目以及对超过源MAC数量限定的流是否丢弃。4.2.4预期结果
在步骤（4）中，学习到的MAC地址数量应等于配置的数量限值，且对于超出的流应进行丢弃。4.3NAT穿越功能测试
4.3.1测试目的
类型2、类型3和类型4的xDSL用户端设备支持并且实现NAT/NAPT功能时，应支持对IPSec、L2TP和PPTP等VPN协议的透传，可选提供基于IPSec的VPNClient功能。4.3.2测试配置
如图1所示。
4.3.3测试步骤
（1）如图组网连接，配置CPE上的NAT/NAPT功能；（2）配置协议分析仪1和协议分析仪2发送VPN协议报文；（3）配置协议分析仪3发送VPN协议报文。4.3.4预期结果
（1）在步骤（2）中，协议分析仪3可以收到协议分析仪1和2发送的报文；3
YD/T2047-2009
（2）在步骤（3）中，协议分析仪1和2可以收到协议分析仪3发送的报文。4.4广播顿速率抑制
4.4.1测试目的
类型2、类型3和类型4的xDSL用户端设备应对协议特定的广播/多播包（例如DHCP、ARP、IGMP等）进行抑制。应具备对其他二层广播报文进行速率限制的功能。4.4.2测试配置
如图1所示。
4.4.3测试步骤
（1）按照图1建立组网连接，关闭DSLAM速率限制功能；（2）网络分析仪1和2向网络分析仪3发送协议特定的广播/多播包；（3）网络分析仪3向网络分析仪1和2发送协议特定的广播/多播包；（4）配置CPE全局抑制对应的广播/多播包的速率；（5）网络分析仪1和2向网络分析仪3全速发送广播/多播包；（6）网络分析仪3向网络分析仪1和2全速发送广播/多播包。4.4.4预期结果
（1）步骤（2）和步骤（3）中，双向都能收到全部的广播/多播包；（2）步骤（5）和步骤（6）中，双向收到的广播/多播包应符合预先设置的抑制策略。4.5RSTP、STP协议功能测试
4.5.1测试目的
类型2、类型3和类型4的xDSL用户端设备应支持RSTP协议，RSTP协议要求见IEEE802.1D《媒体访问控制网桥》。可选支持STP协议。4.5.2测试配置
踏口A
端口B
图2RSTP测试配置
4.5.3测试步骤
（1）按照图2配置测试系统；
（2）激活CPE端口的RSTP功能，在控制台查看所有端口的状态；（3）断开另外一条转发状态的链路，在控制台查看端口状态；（4）恢复原来的连接，在控制台查看所有端口的状态。4.5.4预期结果
（1）在步骤（2）中，可以查看到一个端口处于Block状态，另外一个端口处于Forward状态，（2）在步骤（3）中，可以查看到端口立即从Block状态变成Forward状态。（3）在步骤（4）中，在原来的连接恢复后，所有端口的状态恢复为原来的状态。4.6防火墙等级设定功能测试
4.6.1测试目的
类型3和类型4的xDSL用户端设备应支持防火墙等级设置。4.6.2测试配置
如图1所示。
4.6.3测试步骤
（1）连接如图，登录CPE，配置其防火墙设置：（2）检查防火墙的配置。
4.6.4预期结果
YD/T2047-2009
步骤（2中）xDSL用户端设备应支持防火墙高、中、低等级设置，每个安全等级的内容可以修改。可选在本地Web界面配置防火墙的等级，分为高、中、低三级。4.7报文丢弃功能测试
4.7.1测试目的
类型3和类型4的xDSL用户端设备应支持丢弃以下类型的报文：.
源与目的地址相同的报文；
源地址为广播的报文；
·非法碎片IP报文。
4.7.2测试配置
如图1所示。
4.7.3测试步骤
（1）协议分析仪1和2向协议分析仪3发送源与目的地址相同的报文；（2）协议分析仪1和2向协议分析仪3发送源地址为广播的报文；（3）协议分析仪1和2向协议分析仪3发送非法碎片IP报文。4.7.4预期结果
（1）在步骤1）中，协议分析仪3收不到协议分析仪1和2发送的报文；（2）在步骤2）中，协议分析仪3收不到协议分析仪1和2发送的报文：（3）在步骤3）中，协议分析仪3收不到协议分析仪1和2发送的报文。4.8防火墙过滤功能测试
4.8.1测试目的
类型3和类型4xDSL设备应具备防火墙过滤功能。4.8.2测试配置
如图1所示。
4.8.3测试步骤
（1）测试环境连接如图1所示，配置xDSL用户端设备的防火墙规则；（2）网络分析仪1和2发送IP报文，根据源、自的IP地址及子网掩码配置防火墙规则：（3）检查网络分析仪3收到的报文；（4）网络分析仪1和2发送IP报文，根据源、目的MAC地址配置防火墙规则；（5）检查网络分析仪3收到的报文；5
YD/T2047-2009
（6）网络分析仪1和2发送IP报文，根据IP源端口及范围段、目的端口及范围段配置防火墙规则；（7）检查网络分析仪3收到的报文；（8）网络分析仪1和2发送IP报文，根据Ethertype配置防火墙规则；（9）检查网络分析仪3收到的报文：（10）网络分析仪1和2发送P报文，根据以太网包的传输层协议类型进行报文过滤，要求有IPoE/PPPoE/ARP的选项；
（11）检查网络分析仪3收到的报文；（12）网络分析仪1和2发送IP报文，根据P包的传输层协议类型进行报文过滤，要求有TCP/UDP/ICMP/TCP+UDP/ANY的选项；（13）检查网络分析仪3收到的报文。4.8.4预期结果
（1）步骤（3）中，网络分析仪3收到的报文符合防火墙的配置规则；（2）步骤（5）中，网络分析仪3收到的报文符合防火墙的配置规则；（3）步骤（7）中，网络分析仪3收到的报文符合防火墙的配置规则；（4）步骤（9）中，网络分析仪3收到的报文符合防火墙的配置规则；（5）步骤（13）中，网络分析仪3收到的报文符合防火墙的配置规则。4.9防攻击功能测试
4.9.1测试目的
类型3和类型4的xDSL用户端设备应支持防DoS攻击功能，对收到的数据包进行解析，并判断是否为DoS攻击，对于DoS攻击的报文进行防DoS攻击处理。4.9.2测试配置
分析仪2
分析仪1
4.9.3测试步骤
图3防攻击功能测试配置
（1）按图3连接测试环境，配置CPE1的防攻击策略；二层
交换机
（2）配置网络分析仪1和网络分析仪2互发一定速率的单播以太网顿网络安全
分析仪
（3）网络安全分析仪以CPE1WAN口管理地址A.B.C.D为目标进行DoS攻击测试，DoS攻击的类型包括：PingofDeath、SYNFlooding、ARPFlooding、Spoofing、LAND、Smurf、（4）网络安全分析仪停止DoS攻击。4.9.4预期结果
（1）在步骤（3）中，网络分析仪1和网络分析仪2之间正常的单播以太网数据业务流不会中断，攻击过程中，设备不能死机；
（2）步骤（4）中，网络分析仪1和网络分析仪2之间正常的单播以太网数据正常转发，无丢包，停止攻击后，设备能恢复正常工作。6
4.10防端口扫描功能
4.10.1测试目的
类型3和类型4的xDSL用户端设备应支持防端口扫描功能。4.10.2测试配置
如图3所示。
4.10.3测试步骤
YD/T2047-2009
（1）连接如图3所示，关闭DLSLAM的防端口扫描功能，开启CPE的防端口扫描功能：（2）网络安全分析仪对CPE的WAN口进行扫描；（3）查看网络分析仪1和网络分析2收到的报文。4.10.4预期结果
步骤（3）中，CPE不应响应扫描。4.11基于用户账号的防火墙配置功能测试（可选）4.11.1测试目的
类型3和类型4的xDSL用户端设备可选支持用户账号与防火墙策略的绑定。不同用户账号可以自动启用对应的防火墙策略。
4.11.2测试配置
如图1所示。
4.11.3测试步骤
（1）测试环境连接如图1所示，配置用户账号USER1及USER2，CPE1配置防火墙策略1及策略2，USER1绑定策略1，USER2绑定策略2；（2）协议分析仪1使用USER1向协议分析仪3发送一定策略的报文：（3）协议分析仪1使用USER2向协议分析仪3发送一定策略的报文。4.11.4预期结果
（1）步骤（2）中，协议分析仪3收到的报文符合策略1的配置；（2）步骤（3）中，协议分析仪3收到的报文符合策略2的配置。4.12MAC地址可控功能
4.12.1测试目的
类型3和类型4的xDSL用户端设备应当可以配置并限制学习到的源MAC地址的数量。地址表深度不小于256。
4.12.2测试配置
如图1所示。
4.12.3测试步骤
见4.2.3。
4.12.4预期结果
见4.2.4。
4.13DMZ功能
4.13.1测试目的
YD/T2047-2009
类型3的xDSL用户端设备应支持DMZ功能。4.13.2测试配置
4.13.3测试步骤
图4DMZ功能测试配置
[P网络
（1）测试环境连接如图4所示，CPE正常连接网络，开启PC1的Web服务：（2）开启CPE的DMZ功能，指定为PC1；（3）PC2使用CPE的IP地址访问PC1的Web服务。4.13.4预期结果
步骤（3）中，PC2可以正常访问PC1的Web服务。4.14URL访问控制功能
4.14.1测试目的
xDSL用户端设备应支持设置黑白名单，实现URL访问控制功能。黑白名单应支持与账号绑定。4.14.2测试配置
如图4所示。
4.14.3测试步骤
（1）测试环境连接如图4所示，CPE正常连接网络：（2）开启黑名单，将URL1添加至黑名单；（3）PC1访问URL1和URL2；
（4）关闭黑名单，开启白名单，将URL1添加至白名单；（5）PC1访间URL1和URL2。
4.14.4预期结果
（1）步骤（3）中，PC1不能浏览URL1，可以浏览URL2：（2）步骤（4）中，PC1可以浏览URL1，不能浏览URL2。4.15逃生功能测试（可选）
4.15.1测试目的
类型+的xDSL用户端设备可选支持VoIP业务的P网络故障逃生、断电逃生功能.即当IP网络故障或CPE断电时，能够切换到PSTN线路。4.15.2测试配置
软交换
图5逃生功能测试配置
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。