【通信行业标准(YD)】 接入网设备安全技术要求——无源光网络（PON）设备

ICS33.040.50
中华人民共和国通信行业标准
YD/T 2051-2009
接入网设备安全测试方法
无源光网络（PON）设备
Test methods of security for access network equipment-Passiveoptical network(PON)2009-12-11 发布
2010-01-01实施
中华人民共和国工业和信息化部发布前
范围·
2规范性引用文件
缩略语.
4用户平面安全功能测试
数据加密功能
二层隔离功能·
顿过滤功能
组播/广播/DLF报文风暴抑制功能·4.4
协议报文限速功能·
MAC地址控制功能·
防止MAC地址欺骗功能
IP地址绑定功能·
VLAN和VLANStacking功能·
4.10RTP报文过滤功能·
4.11上联接口链路聚集功能：
上联口快速生成树（RSTP）功能4.13
端口镜像功能·
用户环网检测功能
5控制平面安全功能测试..·免费标准bzxz.net
ONU认证：
5.2用户端口识别与定位功能·
非法协议报文过滤功能·
5.4防DoS攻击功能..
5.5ARP代理功能（可选）
5.6心跳机制
5.7SIP协议的注册认证功能（可选）管理平面安全功能测试·
6.1口令安全检查机制测试
6.2SNMP管理访问安全测试·
6.3Telnet管理访问安全测试（可选）….6.4本地Console管理访问安全测试6.5WEB管理访问安全测试（可选）：次
YD/T2051-2009
YD/T2051-2009
6.6安全策略管理功能测试.
6.7角色管理功能测试
6.8账号管理功能测试…
6.9用户登录管理测试
6.10在线用户管理功能测试
6.11日志管理功能测试
设备可靠性要求测试
7.1主控板主备倒换
7.2电源主备倒换功能
环境监控功能
本标准是接入网设备安全系列标准之一，该标准系列的名称和结构如下：1）YD/T2046-2009接入网安全技术要求——xDSL用户端设备2）YD/T2047-2009接入网设备安全测试方法--xDSL用户端设备3）YD/T2048-2009接入网安全技术要求——DSL接入复用器（DSLAM）设备YD/T2051-2009
4）YD/T2049-2009接入网设备安全测试方法—DSL接入复用器（DSLAM）设备5）YD/T2050-2009接入网安全技术要求——无源光网络（PON）设备6）YD/T2051-2009
接入网设备安全测试方法无源光网络（PON）设备7）YD/T1910-2009接入网安全技术要求-——综合接入系统8）接入网设备安全测试方法一综合接入系统本标准与YD/T2050-2009《接入网安全技术要求—无源光网络（PON）设备》配套使用。在本标准的制定过程中注意了与下列标准协调一致：1.YD/T1475-2006接入网技术要求——基于以太网的无源光网络（EPON）2.YD/T1531-2006接入网设备测试方法—基于以太网方式的无源光网络（EPON）3.YD/T1771-2008接入网技术要求—EPON系统互通性4.YD/T1805-2008接入网设备测试方法——EPON系统互通性5.YD/T1949.1-2009接入网技术要求一一吉比特的无源光网络（GPON）第1部分：总体要求6.YD/T1949-2009接入网设备测试方法一吉比特的无源光网络（GPON）本标准由中国通信标准化协会提出并归口。本标准起草单位：工业和信息化部电信研究院、中兴通讯股份有限公司、华为技术有限公司、上海贝尔阿尔卡特股份有限公司、国家计算机网络应急技术处理协调中心。本标准主要起草人：陈洁、程强、刘谦、赵苹、敖立、党梅梅、葛坚、李云洁、陆洋、张博山、牛乐宏、姚亦峰。
1范围
接入网设备安全测试方法
无源光网络（PON）设备
YD/T2051-2009
本标准规定了PON设备（包括EPON设备和GPON设备）用户平面安全功能、控制平面安全功能、管理平面安全功能和设备可靠性等功能的测试方法。本标准适用于公众电信网环境下的PON设备，专用电信网也可参照使用。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。YD/T1531-2006
YD/T1771-2008
IEEE802.1ag
IEEE802.1D
IEEE802.1Q
IEEE802.1X
IEEE802.3
3缩略语
接入网设备测试方法一一基于以太网方式的无源光网络（EPON）接入网技术要求—EPON系统互通性局域网和城域网一虚拟桥接局域网增补件5：连接故障管理局域网和城域网一MAC桥
局域网和城域网一虚拟桥接局域网局域网和城域网一基于端口的网络接入控制信息技术一系统间通信和信息交换一局域网和城域网特定要求一第3部分：CSMA/CD接入方式和物理层规范
下列缩略语适用于本标准。
C-VLAN
Address Resolution Protocol
Broadband Network Gateway
BridgeProtocol Data Unit
BroadbandRemoteAccessServer
ConnectivityFaultManagement
Customer VLAN
Destination Address
DynamicHostConfigurationProtocolDestination Lookup Failure
Denial of Service
地址解析协议
宽带网络网关
网桥协议数据单元
宽带远程接入服务器
连接故障管理
客户VLAN
目的地址
动态主机配置协议
目的地址查找失败
拒绝服务
YD/T 2051-2009
Extensible Authentication ProtocolEthernet intheFirstMile
Ethernet Passive Optical NetworkFrame Check Sequence
Generic Attribute Registration ProtocolGARPMulticastRegistrationProtocolGigabit-Capable Passive Optical NetworkGARP VLAN Registration ProtocolHome Gateway Unit
HyperText Transfer Protocol
Internet Control Message ProtocolInternet Group Management ProtocolInternetProtocol overEthernetLink Aggregation Control ProtocolMedium Access Control
Multi-Dwelling Unit
Multi-point control protocolOperations, Administration and MaintenanceOptical Line Terminal
Optical Network Unit
Protocol Data Unit
Passive Optical Network
Point to Point Protocol over EthernetRapid SpanningTreeProtocol
Real-timeTransport Protocol
Service VLAN Identifer
Session Initiation Protocol
SimpleNetwork Management ProtocolTransmission Control ProtocolUser Datagram Protocol
User Network Interface
Virtual Local Area Network
Voice overIP
扩展认证协议
第一千米的以太网
基于以太网方式的无源光网络
顿校验序列
通用属性注册协议
GARP组播注册协议
吉比特无源光网络
GARP虚拟局域网注册协议
家庭网关单元
超文本传输协议
互联网控制信息协议
互联网组管理协议
以太网上的互联网协议
链路汇聚控制协议
媒质访问控制
多住户单元
多点控制协议
操作管理维护
光线路终端
光网络单元
协议数据单元
无源光网络
以太网上传送点到点协议
快速生成树协议
实时传输协议
业务VLAN标识
会话初始协议
简单网络管理协议
传输控制协议
用户数据报协议
用户网络接口
虚拟局域网
IP电话
4用户平面安全功能测试
4.1数据加密功能
4.1.1测试目的
YD/T2051-2009
PON设备在下行方向应支持对用户单播数据进行加密，以保证用户数据的安全性。EPON设备应采用三重搅动方法对用户数据进行保护，GPON设备采用的加密算法应符合国家相关规定。4.1.2测试配重
本测试项以EPON系统数据加密功能为例，GPON系统数据加密功能测试可参考使用。EPON系统数据加密功能测试配置见图1。数据网络分析仪
2:N分路器
4.1.3测试步骤
EPON协议分析仪
图1EPON数据加密功能测试配重
本测试项以EPON系统数据加密功能为例，GPON系统数据加密功能测试可参考使用。（1）按图1配置测试系统：
（2）设置OLT与ONU之间PON接口处于明文（ClearText）状态；（3）启动EPON协议分析仪，捕捉PON接口的双向MPCP报文、数据报文、OAM报文；（4）通过网管配置OLT启动针对该ONU的三重搅动加密功能；（5）用数据网络分析仪发送从OLT到ONU的单播以太网数据流，用EPON协议分析仪观察PON接口上的以太网数据报文是否被搅动、密钥是否定期更新、以太网顿中Preamble的Enc字节的密钥同步是否正确，同时观察数据网络分析仪从ONU的UNI口输出的下行以太网业务报文是否被正确的解搅动。4.1.4预期结果
（1）步骤（3）中，在三重搅动功能关闭情况下，ONU的PON接口处接收到的下行以太网顿前导码的第五个字节搅动信息标识字段（Enc）的值应为“0x55”；（2）步骤（5）中，在三重搅动功能打开情况下，ONU的PON接口处接收到的下行以太网顿前导码中第五个字节搅动信息标识字段（Enc）的值应该在0x56和0x57之间定期轮换（轮换周期为密钥更新周期）；（3）步骤（5）中，三重搅动的范围为DAMAC到FCS，搅动的报文类型包括数据顿、OAM顿；（4）步骤（5）中，密钥更新过程中包括新密钥请求顿（new_key_request）、新密钥通知顿（new_churning_key）两种扩展的OAM报文，其格式应符合YD/T1771-2008《接入网技术要求—EPON系统互通性》的规定，密钥更新过程符合图2所示流程。3
YD/T2051-2009
4.2二层隔离功能
Churn with kdy 0
4.2.1OLT的二层隔离功能
4.2.1.1测试目的
new_key_request
New_churning_key_(key 0)
Cipher text(key 0)
New_key_request
New_churning_key_(key1)
图2EPON系统中的密钥更新流程
dechurn with key 0
OLT应支持各ONU之间的二层隔离，即同一OLT设备上同一和不同PON接口下的各ONU之间均不应通过OLT设备上的二层桥接功能直接互通。4.2.1.2测试配置
测试配置见图3。
兄分路器
分析仪1
4.2.1.3测试步骤
（1）按图3配置测试系统；
分路器
图3OLT二层隔离功能测试配重
分析仪2
分析仪3
分析仪4
YD/T2051-2009
(2）配置3个ONU的用户流量为无VLAN标签方式，网络侧为N:1VLAN模式，S-VID=X（0（3）网络分析仪1、2、3、4分别发送地址学习顿；（4）网络分析仪1与网络分析仪2互发以太网广播与单播报文；（5）网络分析仪1与网络分析仪3互发以太网广播与单播报文；（6）网络分析仪1和网络分析仪4互发以太网广播与单播报文；（7）网络分析仪2、3、4互发以太网广播与单播报文。4.2.1.4预期结果
（1）在步骤（4）中，网络分析仪1和2应可以互通，且网络分析仪3、4不能收到来自网络分析仪2的任何报文。
（2）在步骤（5）中，网络分析仪1和3应可以互通，且网络分析仪2、4不能收到来自网络分析仪3的任何报文。
（3）在步骤（6）中，网络分析仪1和4应可以互通，且网络分析仪2、3不能收到来自网络分析仪4的任何报文。
（4）在步骤（7）中，网络分析仪2、3、4之间不应有任何流量互通。4.2.2MDU类型的ONU的二层隔离功能4.2.2.1测试目的
MDU类型的ONU应支持各用户物理端口之间的二层隔离，即各用户物理端口之间不应通过ONU上的二层桥接功能直接互通。
4.2.2.2测试配置
测试配置见图4。
光分路
分析仪1
4.2.2.3测试步骤
（1）按图4配置测试系统；
图4MDU类型的ONU的二层隔离功能测试配重网络
分析仪2
分析仪3
（2）配置ONU上的2个用户流量为无VLAN标签方式，ONU配置这2个用户为N:1VLAN模式，S-VID=X（0（3）网络分析仪1、2、3分别发送地址学习顿：（4）网络分析仪1与网络分析仪2互发以太网广播与单播报文；（5）网络分析仪1与网络分析仪3互发以太网广播与单播报文；（6）网络分析仪2、3互发以太网广播与单播报文。4.2.2.4预期结果
（1）在步骤（4）中，网络分析仪1和2应可以互通，且网络分析仪3不能收到来自网络分析仪2的任何报文。
YD/T2051-2009
（2）在步骤（5）中，网络分析仪1和3应可以互通，且网络分析仪2不能收到来自网络分析仪3的任何报文。
（3）在步骤（6）中，网络分析仪2、3之间不应有任何流量互通。4.3顿过滤功能
4.3.1OLT的顿过滤功能
4.3.1.1测试目的
OLT应支持根据以太网封装协议、源/目的MAC地址、源/目的IP地址和TCP/UDP端口号对上、下行以太网数据帧进行过滤。
OLT应能过滤来自用户的目的地址为组播地址的数据流（至少包括UDP报文）缺省状态下，OLT应支持过滤表1规定的预定义和保留地址的MAC顿，但OLT可以提供改变缺省行为的配置选项。
表1预定义和保留MAC地址
MAC地址
01-80-C2-00-00-00
01-80-C2-00-00-01
01-80-C2-00-00-02
01-80-C2-00-00-03
01-80-C2-00-00-04 -
01-80-C2-00-00-0F
01-80-C2-00-00-10
01-80-C2-00-00-20
01-80-C2-00-00-21
01-80-C2-00-00-22-
01-80-C2-00-00-2F
01-80-C2-xx-Xx-xy
桥组地址(BPDUs)
慢速协议(LACP,EFMOAMPDUs)
EAP over LANs
所有LAN的桥管理地址
保留GARP应用地址
缺省行为
Forward
可选配置
Forward
可选配置为None
注：在EPON系统中，EFMOAMPDU报文的缺省行为为Peer，4.3.1.2测试配置
测试配置见图5。
光分路器
分析仪1
4.3.1.3测试步骤
（1）按图5配置测试系统：
图5OLT顿过滤功能测试配重
（2）关闭ONU的顿过滤功能，开启OLT的上行帧过滤功能；（3）配置OLT对IPoE封装的顿进行过滤；ONUI
引用标准
IEEE 802.1D, Table 7-9
IEEE802.3
IEEE802.3,Table43B-1
IEEE 802.1X, Table 7-2
IEEE 802.1D, Table 7-9
IEEE802.1D,Table7-10
IEEE802.1D,Table12-1
IEEE 802.1Q, Table 11-1
IEEE 802.1D, Table 12-1
IEEE802.1ag-D6,Table 8-9
分析仪2
（4）网络分析仪2向网络分析仪1同时发送IPoE封装的顿和PPPoE封装的顿；6
（5）配置OLT对PPPoE封装的顿进行过滤；（6）网络分析仪2向网络分析仪1同时发送IPoE封装的顿和PPPoE封装的顿：（7）配置OLT对源IP地址为172.24.10.X的流进行过滤；YD/T2051-2009
（8）网络分析仪2发送源IP地址为172.24.10.X和172.24.10.Y的两条流（X≠Y）；（9）配置OLT对目的IP地址为172.24.10.X的流进行过滤：（10）网络分析仪2发送目的IP地址为172.24.10.X和172.24.10.Y的两条流（X≠Y）；（11）配置OLT对TCP源端口号为X的流进行过滤：（12）网络分析仪2发送TCP源端口号为X和Y的两条流（X≠Y）；（13）配置OLT对TCP目的端口号为X的流进行过滤；（14）网络分析仪2发送TCP目的端口号为X和Y的两条流（X≠Y）；（15）配置OLT对UDP源端口号为X的流进行过滤；（16）网络分析仪2发送UDP源端口号为X和Y的两条流（XY）；（17）配置OLT对UDP目的端口号为X的流进行过滤；（18）网络分析仪2发送UDP目的端口号为X和Y的两条流（XY）；（19）配置OLT对源MAC地址为00-00-11-11-11-X的流进行过滤；（20）网络分析仪2发送源MAC地址为00-00-11-11-11-X和00-00-11-11-11-Y（X≠Y)、目的MAC地址为网络分析仪1源MAC地址的流：（21）配置OLT对目的MAC地址为网络分析仪1源MAC地址的流进行过滤：（22）网络分析仪2发送2条流，其中一条流的目的MAC地址为网络分析仪1源MAC地址，另一条流的目的MAC地址不是网络分析仪1的源MAC地址；（23）配置网络分析仪2发送目的MAC地址为01-80-C2-00-00-XX（其中XX为00~0F，10，20~2F）的33条流，以及一条目的MAC地址为00-00-11-11-11-Y的流；（24）关闭OLT的上行顿过滤功能，开启OLT的下行顿过滤功能；（25）重复测试步骤（3）～（25），其中由网络分析仪1发送测试顿，网络分析仪2接收测试顿；（26）配置OLT过滤来自用户端口的目的地址为组播地址的UDP流；（27）配置网络分析仪2发送2条UDP流，其中一条UDP流的目的IP地址为239.x.y.z，目的MAC地址为01-00-5e-x-y-z（其中x，y，z的取值为0~255中任意数值），另外一条UDP流的目的IP地址为非组播IP地址，目的MAC地址为非组播MAC地址。4.3.1.4预期结果
（1）在步骤（4）中，网络分析仪1能接收到PPPoE封装的顿，不能收到IPoE封装的：（2）在步骤（6）中，网络分析仪1能接收到IPoE封装的顿，不能收到PPPoE封装的顿；（3）在步骤（8）中，网络分析仪1能接收到源IP地址为172.24.10.Y的流，不能收到源IP地址为172.24.10.X的流；
（4）在步骤（10）中，网络分析仪1能接收到目的IP地址为172.24.10.Y的流，不能收到目的IP地址为172.24.10.X的流；
（5）在步骤（12）中，网络分析仪1能接收到TCP源端口号为Y的流，不能收到TCP源端口号为X的流；
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。