【YD通讯标准】 接入网设备安全测试方法——综合接入系统

ICS 33.040.50
中华人民共和国通信行业标准
YD/T 2096-2010
接入网设备安全测试方法
综合接入系统
Test method of security of multi-service access node (MSAN)2010-12-29 发布
2011-01-01 实施
中华人民共和国工业和信息化部发布前言·
1范围
2规范性引用文件
3缩略语
用户平面安全测试方法
二层隔离
广播/纽播/DLF抑制·
静态绑定策略…
动态绑定策略（可选）
MAC地址防资用·
MAC地址表保护.
顿过滤
非法组播源控制·
用户侧环网检测
综合接入设备上联口安全相关功能·VLAN.
4.12RTP报文过滤功能
控制平面安金测试方法·
用户端凹识剥与定位功能
防DoS攻击-
ARP代理
DHCP下行广播桢处理
IGMPSnooping功能·
可控组播
注职认证
心跳机制
双妇属·
拥塞处理
6管理平面安全测试方法
6.1 设备管理方式.
网管系统的安全管埋功能
网管系统的日志功能
7可靠性要求
TYKAONYKACa
YD/T 2096-2010
YD/T2096~2010
主备倒换
7.2环境监控-·
7.3线路故障诊断
8电气安全测试方法
本标准是接入网安全系列标准之一，该系列标准预计结构及名称如下：1）接入网安全技术要求一xDSL用户端设备2）接入网设备安全测试方法一xDSL用广端设备3）接入网安全技术要求一数字用产线接入复用器（DSLAM）设备4）接入网设备交全测试方法-数字用广线接入复用器（DSLAM）设备5）接入网安全技术要求一一无源光网络（PON）设备6）接入网设备安金测试方法一一无源光网络（PON）设备7）接入网安全技术要求一—综合接入系统8）接入网设备安全測试方法一综合接入系统。本标准与《接入网设备安全测试方法一综合接入系统》配套使用。在本标准的制定过程中注意了与以下标准的协调统一！—YD/T1418-2008接入网技术要求一综合接入系统》；—YD/T1772-2008&接入网设备测试方法一综合接入系统》。本标准由中国通信标推化协会提出并归口。YD/T2096-201D
本标准起草单位：工业和信息化部电信研究院、华为技术有限公司、中兴通讯股份有限公司、上海贝尔股份有限公司。
本标主要起草人：李云沽、刘谦、立、党梅梅、程强、赵苹、陈洁，葛坚、陆洋、刘卫岗、张博山、鲁林丽。
YKAONYKACa
1范围
接入网设备安全测试方法一综合接入系统YD/T 2096-2010
本标准规定了综合接入系统（MSAN）的用户平面安全、控制平面安全、管理平面安全、设备可靠性和电气安全的测试方法。
本标准适用于公众电信网的综合接入设备，专用电信网也可参考使用。2规范性引用文件
下列文件归的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内穿）或修订版均不适用下本标准。然而，敲励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的号用文件。其最新版本适用于本标准YD/T 965-1998
YD/T 1082-2000
YD/T 1244-2002
YD/T 1808-2008
IEEE 802.1ad
TEEE802.1ag
TEEE 802.1D
TEEE 802.1Q
EEE 802.1X
JETF RFC1157
IETF RFC1901
3缩略语
电信终端设备的安全要求和试验方法接入网设务过电压过电流防护及基本坏境适应性技术案件数字用户线（xDSL）设备电磁兼容性要求利测量方法接入网设备洲试方法-第一代及频谱扩展的第二代不对称数用户线(ADSL2/2+)
亚务提供者桥
连通性故障管理
媒体访问控制网桥
虚拟桥接局域网
基于端口的网络接入控制
CSMA/CD存取方法和物理层规范
简单网络管理协设（(SNMPv1)
基于团体名的SNMPv2
下列缩咯语适用于本标准。
Access Control List
Asymmetric Digital Subscriber LineAddress Resolutiun Protocol
Broadband Network Gateway
Custoner Premises Equipment
Double-Hnded Line Test
Dynamie Host Condiguration ProtocolDestination Lookup Failure
访问控制列表
不对称数字用户线
地址解桥协改
宽带网络网关
用户驻地设备
双端线路测试
动态主机配置协议
自的到找失败
YD/T 2096-2010
Digital Subscriber Lire
File Transfer Protocol
GenericAttributeRegistration ProtocolGARP VLAN Registration ProtocolHyperText Transfer Protocol
Internet Group Managerment ProtocolInternet Protocol
Mediurn Access Contro
Multi-Service Access Node
PPP Over Ethernet
Rapid Spanning Tree ProtocolReal-timeTranspcrt Protocol
Single-Ended Liue Test
Simple Network Managemeut ProtocolSecure Shell
User-based Security Model
Very-high-bit-rate Digital Subscriber LoopVirtual Local Area Network
4用户平面安全测试方法
4.1 二层隔离
4.1.1指标要求
在N:1VLAN模式下时，MSAN应提供对于CPE之的二居悔离。4.1.2测试配重
二层腐离测试配置如图1所示。
网络分析议1
(BNG】
4.1.3测试步驿
图 1 二层隔离测试配置示意
数字用户线
文件传输协议
通用属性注册协议
GARPVLAN注册协议
超文本传输协议
互联网组管理协议
互联网协议
媒质访问控制
综合接入系统
以太网上传送PPP协议
快速生成树协议
实时传输协议
单端线路测试
简单网络管理协议
安全Shell
基于用户的安全模型
甚高球数孚用户环路
虚拟局域网
网络分折
网举分折位
1）按照图1连接好电路，通过网配置CPEI和CPE2属于同一个VLAN，并为这两个用户各配置一条业务流；
2）配置网络协议分析仪，使得网络分析仪1和网络分析仪2能够分别Pin通网络协议分析仪3：3）网络分析仪1、2和3发送MAC地址学习报文：2
TYKAONYKAa
4）网络分析仪1与网络分析仪3互发以太网广播与单播报文；5）网络分析仪2与网络分析仪3互发以太网广播与单播报文；6）网络分折仪1和网络分析仪2互发以太网广播与单播报文。4.1.4预期结果
YD/T2096-2010
1）在步骤4）中，网络分析仪1和网络分析仪3应可以互通，且网络分析仪2不应收到除来自网络分析仪3的广播报文的任何报文
2）在步骤5）中，网络分析仪2和网络分析仪3应可以互通，且网络分析仪1不应收到除来自网络分析仪3的广挪报文的任何报文；
3）在步骤6）中，网络分析仪1和网络分析仪2不应有任何流量互通。4.2广播/组播/DLF抑制
4.2.1指标要求
MSAN应对协议特定的广播/组播包（例如DHCP、ARP，IGMP等）/DLF进行速率抑制。MSAN应支持基于全局的抑制方式，可选支持基于VLAN和端口的抑制方式。4.2.2测试配置
见图1。
4.2.3测试步骤
全局抑制方式的测试步骤见步骤2）至步骤6），基于VLAN抑制方式的测试步骤见步骤7）至步骤9），基于端口抑制方式的测试步骤见步骤10）至步骤12）。1）按照图1建立组网连接：
2）网络分析仪1和网络分析仪2向网络分析仪3发送协议特定的广播/组播/DLF包；3）网络分析仪3向网络分析仪1和网络分析仪2发送协议特定的广播/组播/DLF包；4）通过网管控制台配置MSAN全局抑制对应的广播/组播/DLF包的速率：5）网络分析仪1和网络分析仪2向网络分析仪3全速发送广播/组播/DLF包；6）网络分析仪3向网络分析仪1和网络分析仪2全速发送广播/组播/DLF包：7）配置MSAN取消全同抑制广播/组播/DLF包的策略，配置MSAN抑制VLAND=10的广播/组播/DLF包，并且MSAN的上联口和CPE的用户端口为Trunk模式8）配置CPE1的用户端口加入VLAN10，CPE2的用户端口加入VLAN20，网络分析仪1、2分别向网络分析仪3金速发送广播/纽播/DLF包：9）网络分析仪3向网络分析仪1和网络分析仪2全速发送两条广播/组播/DLF包流，一条VLAND=20，另一条VLAND=10：
10）配置MSAN取消基丁VLAN抑制广/组播/DLF包的策略，配置MSAN抑制与CPE1连接的端口的广播/组播/DLF包：
11）网络分析仪1和网络分析仪2向网络分桁仪3全速发送广播/组播/DLF包：12）网络分析仪3向网络分析仪1和网络分析仪2全速发送广播/组播/DLF包。4.2.4预期结果
1）步骤2）和步骤3）中，双向都能收到全部的广播/组播/DLF包：2）步骤5）和步骤6）中，双向收到的广播/组播/DLF包应符合预先设置的抑制策略：YD/T2096-2010
3）对于支持基于VILAN抑制方式的MSAN设备，在步骤8）和步骤9）中，网络分析仪2发送的广播/组播/DLF包应全部收到，网络分析仪1发送的广播/组播流应符合预先设置的抑制策略：4）对于支持基于端口抑制方式的MSAN设备，在步骤11）和步骤12）中，CPE2上下行方向的广播！组播/DLF流应全部被MSAN设备转发，CPE1上下行方向的广播/组播DLF流应符合预先设置的抑制策略。4.3静态绑定策略Www.bzxZ.net
4.3.1指标要求
MSAN应支持静态配置用户IP地址与用户端口或VLAN的绑定功能。P地址绑定后，用户端口或VLAN只能使用该IP地址，该P地址也只能被该用户端口或VLAN使用。4.3.2测试配量
见图1。
4.3.3测试步骤
静态配置用户IP地址与用户端口绑定的测试步骤见步骤2）至步骤6），静态配置用户IP地址与VLAN绑定的测试步檗见步骤了）室步骤12）。1）按照图1建立组网连接，配置MSAN和CPE2，使得网络分析仪2和网络分析仪3能够正常通信：2）配置MSAN静态分配IP地址192.168.0.10绑定到CPE1的用户端口：3）网络分析仪1和网络分析仪2向网络分析仪3发送源P地址是192.168.0.10的数据流：4）网络分析仪3向网络分析仪1和网络分析仪2发送目的P地址是192.168.0.10的数据流：5）网络分析仪1向网络分析仪3发送源地址是192.168.0.11的数据流；6）网络分析仪3向网络分析仪1发送目的P地址是192,168.0.11的数据流：7）取消之前的绑定策略，配置MSAN建立VLAN1（VLANID=10）和VLAN2（VLAND=20），静分配IP地址段192.168.0.0/24绑定到VLAN1，并将MSAN的上联口、CPB1加入到VLANI，MSAN的上联口和CPE2的用户端口加入到VLAN2
8）网络分析仪1向网络分析仪3发送源P地址是192.168.0.10的数据流：9）网络分析仪2向网络分析仪3发送源IP地址是192.168.0.10的数据流；10）网络分析仪1向网络分析仪3发送源P地址是192.168.1.10的数据流：11>MSAN修改CPEI的VLAN，格其从VLAN1中删除，加入到VLAN212>网络分析仪1向网络分析议3发送源P地址是192.1G8.0.10的数据统。4.3.4预期结果
1）步骤3）中网络分析仪3仅能够收到网络分析仪1发送的数据流：2）步骤4）中网络分析仪1能收到数据流，网络分析仪2不能收到数据流：3）步骤5）中网络分析仪3不能收到数据流：4）步骤6）中网络分析仪1不能收到数据流；5）步骤8）中网络分析仪3能收到VLAND=10的流：6）步骤9）中网络分析仪3不能收到网络分析仪2发出的数据流；7）步骤10）中网络分析仪3不能收到网络分析仪1发出的数据流：8）步骤12）中网络分析仪3不能收到网络分析仪1发出的数据流。4.4动态绑定策略（可选）
4.4.1指标要求
MSAN可选支持跟踪DHCP中的IP地址分配过程进行端口，MAC地址和IP地址的动态绑定的功能。IP4
TYKAONYKAA
YD/T 2096-2010
地址绑定后，用户端口和MAC地址只能使用该IP地址，该IP地址也只能被该用户端口和MAC地坦使用。4.4.2测试配
见图1。
4.4.3测试步骤
1）配置MSAN的动态绑定功能：
2）网络分析仪3仿真DHCP服务器功能，配置地址池10.10.10.2-10.10.10.254，网关地址为10.10.10.1，更新时间为3600s
3）网络分析仪3配置端口地址为10.10.10.1：4）网络分析仪1仿真DHCP客户端发起DHCP请求过程，获得分配地址10.10.10.A；5）网络分析仪2访真DHCP客户端发起DHCP请求过程，获得分配地址10.10.10.R6）网络分析仪1利用地址10.10.10.A与网络分析仪3互发P数据流：7）网络分析仪2利用地址10.10.10.B与网络分析仪3互发IP数据流：8）配置网络分析仪1端口地址为10.10.10.B；9）配置网络分析仪2端口地址为10.10.10.0，其中21）在步骤6）中，网络分析仪1和网络分析仪3的P数据流应五相可达；2）在步骤7）中，网络分析仪2和网络分析仪3的IP数据流应互相可达；3）在步0）中，网络分析仪1和网络分析枚3的P数据流研互相不可达：4）在步骤11），网络分析仪2和网络分析仪3的IP数据流应百相不可达：5）在步骤13）中，网络分析仪1和网络分析仪3的P数据流应互扣可达：6）在步骤14）中，网络分析仪2和网络分析仪3的IP数据流应4相可达。4.5MAC地址防盗用
4.5.1指标要求
MSAN应能防止用户盗用BNG的MAC地址。MSAN应可以拒绝向同一VLAN中存在MAC地址五复的用户提供业务。
4.5.2测试配置
见图1。
4.5.3测试步骤
1）按照图1建立组网连接：
2）通过网管控制台配置MSAN开启MAC地址防防管处理功能：3）网络分析仪1间网络分析仪3发送正常源MAC地址的测试帧；4）网络分析仪2向网络分析仪3发送源MAC地址为BNGMAC地址的测试帧。5
YD/T 2096-2010
5）配置CPE1和CPE2在同一个VLAN：6）网络分析仪1向网络分析仪3发送正常源MAC地址的测试顿：7）网络分折仪2向网络分析仪3发送源MAC地址为网络分析仪1MAC地址的测试。4.5.4预期结果
1）步骤3）中，网络分析仪1与网络分析仪3能够正常通信：2）步4）中，网络分析仪2不能获得服务，且网络分析仪1正在进行的服务不被影响3）步骤6）中，网络分析仪1与网络分析仪3能够正常通信：4）步骤7）中，网络分析仪2不能获得服务，且网络分析仪1正在进行的服务不被影响。4.6MAC地址表保护
4.6.1指标要求
MSAN成当可以配置并限制从每个用户端口学习到的源MAC地址的数量。4.6.2测试配置
见图1。
4.6.3测试步骤
1）按图1建立组网连接：
，2）配暨MSAN从每个用户端口学习到的源MAC地址数量；3）网络分析仪连续发送具有不同源MAC地址的测试懒，其中源MAC地址数目大于MSAN预设值：4）察看MSANMAC地址表中学习到的源MAC地址数目，以及对超过源MAC数量限定的流是否丢弃。4.6.4预期结果
步骤4）中，MSANMAC地址表中学习到的源MAC地址数目与预设值相等，源MAC地址没有被学习到的报文被丢弃。
4.7颠过滤
4.7.1指标要求
MSAN应可以针对MAC源地址和/或目的地址设置过滤条目。对于预定义和保留地址的MAC快（见表1），MSAN缺省应过滤掉，不进行转发，但设备可以提供改变缺省行为的配置选项。MSAN建议支持基于MAC国的地址，MAC源地址、MAC协议类型、P目的地址、P源地址的部分组合和全部组合的过滤规则功能。
表1MSAN对预定义和保留地址的MAC顿处理目的MAC 地址
01-80-C2-00-00-00
01-80-C2-00-00-01
01-80-C2-00-00-02
01-80-C2-00-00-03
01-80-C2-00-00-04 -
01-80-C2-00-00-0F
01-80-C2-00-00-10
01-80-C2-00-00-20
桥组地址（BPDUs）
慢速协议(LACP, EFM OAM PDLs)EAP over LANs
所有LAN的桥管理地址
缺省行为
TYKAONYKACa
可选配叠为
引用标准
IEFE 802.1D, Table 7-9
TEEE802.3
IEEE 802.3, Table 43B-1
EEE 802,1X, Table 7-2
IEEE 802.1D, Table 7-9
IEEE 802.1D, Tahle 7-10
JEEE 802.1D, Table 12-1
目的MAC 地址
01-80-C2-00-00-21
01-80-C2-00-00-22 -
01-80-C2-00-00-2F
01-80-C2-xx-xx-xy
4.7.2测试配重
见图1。
4.7.9测试步骤
保留GARP应用地址
表1 (续)
缺省行为
Forward
可选配置为
Forward
YD/T 2096-2010
引用标推
TEEE 802.10, Table 11-1
EEE 802.1D,Table12-1
TEEE B02.1ag-D6, Table 8-9
1）按照图1建立组网连接，配置MSAN利1CPE1，使网络分析仪1和网络分析仪3之问能正常收发数据流2）设置MSAN过滤MAC源和/或目的地址规则：3）网络分析仪1向网络分析仪3发送MAC源和/或目的地址为被过滤MAC源和/或目的地址的测试顿：4）网络分析仪1向网络分析仪3发送MAC源和/或目的地址不是被过滤MAC源利/或目的地址的测试顿：5）取消之前的配置，网络分析仪1向网络分析仪3发送MAC目的地址为表1中的地址的测试顿：6）配置MSAN，将对表1中的MAC顿的处理方式由“缺省行为\改变为*可选配置\：7）网络分析仪1向网络分析仪3发送MAC目的地址为表1中的地址的测试慎；8）取消之前的配置，设置MSAN基于MAC目的地址、MAC源地址、MAC协议类型、IP目的地址P源地址的部分组令和全部组合进行过滤：9）网络分析仪1向网络分析仪3发送符合步骤8）中设置的规则的MA顿：10）网络分析仪1向网络分析仪3发送不符合步骤8）中设置的规则的MAC顿。4.7.4预期结果
1）步骤3）中，网络分析仪3不能收到测试尴2）步骤4）中，网络分析仪3能够收到测试顿：3）步骤5）中，MSAN对测试顿的处理应符合表1中恂缺省行为；4）步骤了）中，MSAN对测试顿的处理应符合表1中的可选配置；5）步骤9）中，网络分析仪3不能收到测试顿；6）步骤10）中，网络分析仪3能够收到测试顿。4.8非法组播源控制
4.8.1指标要求
为防止组播资源被盗用，MSAN应阻止从用户端口发出的IGMP查询包和组红播流。MSAN应支持对网络侧合法组播源的配置和对非法组播源进行过滤的配置。4.8.2测试配置
组播测试配置如图2所示。
管運单元
媒体服务器
IP协议分析议
图 2 组播测试配置
YD/T 2096-2010
4.8.3测试步驿
1）按照图2建立组网连接：
2）媒体服务器配置两套节目P1和P2，并周期性的发送相应的IGMPQuery消息：3）配置MSAN的组播上行端口及IGMP客户端的IP地址，设置P1为合法组播源，增加用户PC1和PC24）设置针对用户端口发送IGMPQuery进行过滤：5）设置针对用户端口发送目的地址为组播地址的数据报文进行过滤：6）打开LP协议分析仪：
7）PC1点播组播地址合法的节目P1，PC1停止点播：8）PC2点播组播地址合法的节目P1，PC2停止点播：9）PC1发送IGMPQuery报文：
10）PC1发送组地址与P1组地址相同的组播数据报文：11）停止P协议分析。
12）PC1点播组播地址不合法的节目P2，PC1停止点播4.8.4预期结果
1）在步骤7）中，PC1能够正常观看节耳P1，PC2不能收到该节目流2）在步骤8）中，PC2能够正常观看节目P1t3）在非骤11中，P协议分析仪应没有收到PC1在步骤9）和10）发出的报文：4）在步骤12）中，PC1不能观看节目P2。4.9用户侧环网检测
4.9.1指标要求
MSAN可选具有用户侧环网俭测功能，即当综合接入设备的单个或多个DSL端口成环时，不影响其他端口的正常工作。
4.9.2测试配置
用户侧环网检测测试配置如图3所示。管
网络分折仪2
4.9.3测试步骤
网络分析仪1
图3用户侧环网检测测试配置示意1）按照图3建立组网连接，其中虚线部分不进行连接，并开启MSAN的用户环网检测功能2）网络分析仪1分别与CPE1、CPE2和CPE3相连，确认3个CPE都能和MSAN正常收发包：3）将CPE2的用户端口用交叉网线连接成环，网络分析仪1分别与CPE1、3相连，非与网络分析仪2之间发送双向数据流：
TYKAONYKACa
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。