【YD通讯标准】 接入网设备安全测试方法 DSL 接入复用器(DSLAM)设备

ICS 33.040.50
中华人民共和国通信行业标准
YD/T2049-2009
接入网设备安全测试方法
DSL接入复用器（DSLAMD）设备
Test method of security for access network equipmentDigital subscriber line access multiplexer2009-12-11 发布
2010-01-01 实施
中华人民共和国工业和信息化部发布前言
1范围
2规范性引用文件
3缩略语
4用户平面安全功能测试
5控制平面安全功能测试
6管理平面安全功能测试
7其他安全功能测试.
附录A（资料性附录）安全相关性能测试方法次
YTKAONYKAca-
YD/T 2049-2009
本标准是接入网安全系列标准之一，该系列标准预计结构及名称如下：1：YD/T2046—2009接入网安全技术要求——xDSL用户端设备2.YD/T2047-2009接入网设备安全测试方法—xDSL用户端设备3．YD/T2048-2009接入网安全技术要求——DSL接入复用器（DSLAM）设备YD/T2049-2009
4.YD/T2049-2009接入网设备安全测试方法—DSL接入复用器（DSLAM）设备5.YD/T2050-2009接入网安全技术要求——无源光网络（PON）设备6.YD/T2051-2009接入网设备安全测试方法—无源光网络（PON）设备7.YD/T1910-2009接入网安全技术要求——综合接入系统8.接入网设备安全测试方法综合接入系统本标准与YD/T2048—2009接入网安全技术要求——DSL接入复用器（DSLAM）设备》配套使用。在本标推的制定过程中保持了与下列标推的协调统一\！1.YD/T1323-2004接入网技术要求一一不对称数字用户线（ADSL）2.YD/T1239-2002接入网技术要求——甚高速数字用户线（VDSL）3.YD/T1055一2005接入网设备测试方法带话音分离器的不对称数字用户线（ADSL）4.YDT1530一2006接入网技术要求一一频谱扩展的第二代不对称数字用户线（ADSL2+5.YD/T1706—2007接入网技术要求——数字用户线（DSL）承载宽带业务6.YD/T1996-2009接入网技术要求——第二代甚高速数字用户线（VDSL2）本标准附录A为资料性附录。
本标准由中国通信标准化协会提出并归口。本标准起草单位：工业和信息化部电信研究院、上海贝尔股份有限公司。本标准主要起草人：程强、李云洁、陈洁、葛坚、姚亦峰。I
1范围
接入网设备安全测试方法
-DSL接入复用器（DSLAM）设备
YD/T 2049-2009
本标准规定了数字用户线接入复用设备（DSLAM）用户平面安全功能测试方法、控制平面安全功能测试方法、管理平面安全功能测试方法和其它安全功能的测试方法。本标准适用于公众电信网的局端数字用户线接入复用器设备，对于放置在远端的DSL接入复用设备可以参考使用。专用电信网也可参考使用。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。YD/T1808-2008接入网设备测试方法一一第二代及频谱扩展的第二代不对称数字用户线(ADSL2/2+)
YD/T 1706-2007
3缩略语
接入网技术要求一—数字用户线（DSL）承载宽带业务下列缩略语适用于本标准。
Access Control List
Asymmetric Digital Subscriber LineAddress Resolution Protocol
BroadbandNetworkGateway
Customer Premise Equipnient
Customer VLAN IDentifier
Dynamic Host Config ProtocolDestinationLookupFailure
Denial of Service
Digital Subscriber Line
Digital Subscriber Line Access MuliplexerHyper Text Transfer ProtocolHypertext Transfer Protocol aver Secure Socket LayerIntemet Group Management ProtocolIntermet Protocol
Media Access Control
YTKAOKAa
访问控制列表
不对称数字用户线
地址解析协议
宽带网络网关
客户驻地设备
客户VLAN标识
动态主机配置协议
目的查找失败
拒绝服务
数字用户线
数字用户线接入复用器
超文本传输协议
安全套接字层上的HTTP
因特网组管理协议
互联网协议
媒质访间控制
YD/T 2049-2009
Persaonal Computer
Rapid Spaning Tree Protocol
Simple Netwark Management Protoco!Secure Shell
Secure Socket Layer
Service VWD
Transport Layer Security
User Datagran Protocol
VLAN ID
Virtual Local Area Network
Any of tihe various types of Digital Subscriber Lines (DSL)4用户平面安全功能测试
4.1 二层隔离功能
4.1.1 测试目的
个人电脑
快速生成树协议
简单网络管理协议
安全ShellbZxz.net
安全套接字层
业务VLAN标识
传送层安全
用户数据报协议
VLAN标识
虚拟局域网
指代任何类型的DSL
DSLAM设备应对用户侧的所有DSL端口之间提供二层隔离的功能，即同一DSLAM设备下的不同DSL端口上的用户不应通过DSLAM设备上的二层桥接功能直接互通。4.1.2测试配置
测试配置如图1所示。
分析仪1
分折仪 2
4.1.3测试步骤
图 1 二层隔离功能测试配置
（1）如图1所示，任选DSLAM两个用户端口，配置两个桥接模式的CPE设备：网络
分析仪3
(2）配置两个CPE用户流量为无VLAN标签方式，网络侧为N:1VLAN模式，设定S-VD的值为X (0（3）发送地址学习顿：
（4）网络分析仪1与网络分析仪3互发以太网广播与单播报文：（5）网络分析仪2与网络分析仪3互发以太网广播与单播报文：（6）网络分析仪1和网络分析仪2互发以太网广播与单播报文。4.1.4预期结果
（1）在步骤（4）中，网络分析仪1和3应可以互通，且网络分析仪2不应收到除来自网络分析仪3的广播报文的任何报文。
YD/T 2049-2009
（2）在步骤（5）中，网络分析仪2和3应可以互通：且网络分析仪1不应收到除来自网络分析仪3的广播报文的任何报文。
（3）在步骤（6）中，网络分析仪1和2不应有任何流量互通。4.2VLAN功能
见YD/T1808-2008接入网设备测试方法-一-第二代及频谱扩展的第二代不对称数字用户线ADSL2/ADSL2+ 10.2。
4.3恢过滤功能
4.3.1测试目的
DSLAM应能根据MAC源地址和/或目的地址设置过滤条目。对于预定义和保留地址的MAC顿（见表1)，DSLAM缺省应过滤掉，不进行转发，但设备可以提供改变缺省行为的配置选项。爽1对预定义和保留地址的MAC輕处理日的MAC地址
01-80-C2-00-00-00
01-80-C2-00-00-01
01-80-C2-00-00-02
01-80-C2-00-00-03
01-80-C2-00-00-04
01-80-C2-00-00-0F
01-80-C2-00-00-10
01-80-C2-00-00-20
01-80-C2-00-00-21
01-80-C2-00-00-22
01-80-C2-00-00-2F
01 -80-C2-xx-xx-xy
桥组地址(BPDUs)
慢速协议 (LACP, EFM OAM PDUs)EAP over LANs
所有 LAN 的桥管理地址
保留GARP应用地址
缺省行为
Forward
Forward
可选配置
建议DSLAM支持基于MAC目的地址、MAC源地址，MAC协议类型、P目的地址、IP源地址的部分和全部的过滤规则功能。
DSLAM应可配置为过滤从用户端口发出目的地址为组播地址的UDP数据流。4.3.2测试配置
测试配置如图1所示。
4.3.3测试步骤
（1）按照图1建立组网连接，配置DSLAM和CPE1，使网络分析仪1和网络分析仪3之间能正常收发数据流：
(2）设置DSLAM过滤MAC源和/或目的地址规则：（3）网络分析仪1向网络分析仪3发送MAC源和/或目的地址为被过滤MAC源和/或目的地址的测试顿；
（4）取消之前的配置，网络分析仪1向网络分析仪3发送MAC目的地址为表1的地址的测试帧；（5）配骨DSLAM，将DSLAM中的MAC帧的处理方式由“缺省行为”改变为“可选配置”：(6）网络分析仪1向网络分析仪3发送MAC目的地址为表1中的地址的测试帧：(7）取消之前的配置，设置DSLAM基于MAC目的地址、MAC源地址、MAC协议类型、IP目的地址、3
YTKAOKAa
YD/T 2049-2009
IP源地址的部分和全部过滤规则进行过滤：（8）网络分析仪1向网络分析仪3发送符合步骤（7）中设置的规则的MAC，以及违反符合步骤（7）中设置的规则的MAC慎的两条流；（9）设置DSLAM过滤从用户端口发出组播UDP流：（10）网络分析仪2向网络分析仪3发送目的MAC和P地址为组播地址的UDP数据流。4.3.4预期结果
（1）在步骤（3）中，网络分析仪3不能收到测试顿；（2）在步骤（4）中，DSLAM对测试顿的处理应符合表1中的缺省行为；（3）在步骤（6）中，DSLAM对测试顿的处理应符台表1中的可选配置；（4）在步骤（8）中，网络分析仪3不能收到测试顿；（5）在步骤（10）中，网络分析仪3不能收到测试恢。4.4MAC地址控制功能
4.4.1测试目的
DSLAM应当可以配置并限制从每个用户端口学习到的源MAC地址的数量。DSLAM应能防止用户盗用BNG（例如接入服务器或业务路由器）端口的MAC地址。DSLAM应可以拒绝向存在MAC地址重复的用户提供业务。4.4.2测试配置
测试配置如图1所示。
4.4.3测试步骤
（1）按照图1建立组网连接：
（2）设置DSLAM从每个用户端口学习到的源MAC地址数量；（3）网络分析仪1连续发送具有不同源MAC地址的测试帧，其中源MAC地址数目大TDSLAM预设值；
（4）查看DSLAMMAC地址表中学习到的源MAC地址数目以及对超过源MAC数量限定的流是否丢弃；
(5）在DSLAM 中配置 BNG的 MAC 地址：（6）配置网络分析仪2发送源MAC地址为BNG的MAC地址的测试帧：(7）清除DSLAM中的MAC地址表：【8）配罩网络分析仪1和2先后便用相同的源MAC地址A发送测试概：(9）网络分析仪3向地址A发送以太网报文。4.4.4预期结果
（1）在步骤（4）中，DSLAM学习到的MAC地址数量应等于配置的数量限值，且对于超出的流应进行丢弃：
（2）在步骤（6）中，网络分析仪3应无法收到网络分析仪2发送的流；（3）在步骤（9）中，网络分析仪1可以收到网络分析仪3发送的报文，网络分析仪2不应收到。4.5广播/组播/DLF速率抑制
4.5.1测试目的
YD/T2049-2009
DSLAM应具备对MAC目的地址为广播或组播地址的报文以及未知单播（DLF）报文进行速率限制的功能，在上行方问应默认开启此功能。DSLAM应支持基于全局的抑制方式，建议支持基于VLAN和端口的抑制方式。4.5,2测试配置
测试配置如图1所示。
4.5.3测试步骤
全局抑制方式的测试步骤见步骤（2）至步骤（6)，基于VLAN抑制方式的测试步骤见步骤（7）至步骤（9)，于端口抑制方式的测试步骤见步骤（10）至步骤（12)。（1）按照图1建立组网连接：
（2）网络分析仪1和2间网络分析仪3发送协设特定的厂播/组播包和DLF报文：（3）网络分析仪3向网络分析仪1和2发送协议特定的广播/组播包和DLF报文：（4）通过网管控制台配置DSAM金局抑制对应的广播/组播包和DLF报文的速率：（5）网络分析仪1和2向网络分析仪3发送广播/组播包和DLF报文，发送速率选择大于配置的抑制速率，小丁CPE与DSLAM间的DSL链路速率；（6）网络分析仪3向网络分析仪1和2发送广播/组播包和DLF报文，发送速率选择大于配置的抑制速率，小TCPE与DSLAM间的DSL链路速率：（7）配置DSLAM取消全局抑制广播/组播包的策略，配置DSLAM抑制VLANⅡD=1O的广播/组播包和DLF报文，并且DSLAM的上联口和CPE的用户端口为trunk模式：（8）网络分析仪1和2向网络分析仪3发送两条广播/组播包流，一条VLANID=10，另一条配置为其它已知VLAN，发送速率选择大于配置的抑制速率，小于CPE与DSLAM间的DSL链路速率：（9）网络分析仪3向网络分析仪1和2发送两条广播/组播包流，一条VLAND=10，另一条配置为其它已知VLAN，发送速率选择大于配置的抑制速率，小于CPE与DSLAM间的DSL链路速率；O）配置DSLAM取滑基十VLAN抑制广播/组播包的策略，配置DSLAM抑制与CPE1连接的端口的广播/组播包和DLF报文：
（11）网络分析仪1和2向网络分析仪3发送广播/组播包和DLF报文，发送速率选择大于配置的抑制速率，小于CPE与DSLAM间的DSL链路速率：（12）网络分析仪3向网络分析仪1和2发送广播/组播包和DLF报文，发送速率选择大于配置的抑制速率，小于CPE与DSLAM间的DSL链路速率。4.5.4预期结果
（1）在步骤（2）和步骤（3）中，双向都能收到全部的广播/组播包；（2）在步骤（5）和步骤（6）中，双向收到的广播/组播包应符合预先设置的抑制策略；（3）对于支持基于VLAN抑制方式的DSLAM设备，在步骤（8）和步骤（9）中，VLANID=10的广播/组播流应符合预先设置的抑制策略，其它VLAN的广播/组播包和DLF报文应全部收到。（4）对丁支持基丁端口抑制方式的DSLAM设备，在步骤（11）和步骤（12）中，CPE2上下行方向的广播/组播流应全部被DSLAM设备转发，CPE1.上下行方向的广播/纽播流应符合预先设置的抑制策略。4.6静态绑定功能
4.6.1测试目的
YTKANYKAca
YD/T2049-2009
DSLAM应支持基于静态配置用户IP地址与DSL端口或VLAN的绑定功能。被绑定的地址仪限于该端口使用，且该端口不能使用任间非绑定的地址，4.6.2测试配置
测试配置如图1所示。
4.6.3测试步骤
（1）配置DSLAM静态分配IP地址192.168.0.10绑定到CPE1的用户端口（2）网络分析仪1和网络分析仪2向网络分析仪3发送源IP地址是192.168.0.10的数据流；（3）网络分析仪3向网络分析仪1和网络分析仪2发送目的P地址是192.168.0.10的数据流，（4）网络分析仪1向网络分析仪3发送源IP地址是192.168.0.11的数据流；（5）网络分析仪3向网络分析仪1发送目的IP地址是192.168.0.11的数据流：(6）取消之前的绑定策略，配置DSLAM建立VLAN1(VLAN ID-10）和VLAN2（VLAN ID-20)静态分配IP地址段192.168.0.0/24绑定到VLAN1，并将DSLAM的.上联口，CPE1加入到VLAN1，DSLAM的上联口和CPE2的用户端口加入到VLAN2；（7）网络分析仪1向网络分析仪3发送源P地址是192.168.0.10的数据流；（8）网络分析仪2向网络分析仪3发送源P地址是192.168.0.10的数据流：（9）网络分析仪1向网络分析仪3发送源P地址是192.168.1.10的数据流；（10）DSLAM修改CPE1的VLAN，将其从VLANI中删除，接入到VLAN2；（11）网络分析仪1向网络分析仪3发送源IP地址是192.168.0.10的数据流。4.6.4预期结果
（1）在步骤（2）中，网络分析仪3仅能收到网络分析仪1发送的数据流（2）在步骤（3）中，网络分析仪1能收到数据流，网络分析仪2不能收到数据流；（3）在步骤（4）中，网络分析仪3不能收到数据流；（4）在步骤（5）中，网络分析仪1不能收到数据流，（5）在步骤（7）中，网络分析仪3能收到VLANID=10的数据流：（6）在步骤（8）中，网络分析仪3不能收到网分析仪2发出的数据流；（7）在步骤（9）中，网络分析仪3不能收到网络分析仪1发出的数据流：（8）在步骤（11）中，网络分析仪3不能收到网络分析仪1发出的数据流。4.7动态绑定功能（可选）
4.7.1测试目的
DSLAM可选支持跟踪DHCP中的P地址分配过程进行端口，MAC地址和IP地址的动态绑定功能。被绑定的地址仅能限于该端口使用，且该端口不能使用在何非绑定的地址。4.7.2测试配直
测试配置如图1所示。
4.7.3测试步骤
（1）在DSLAM配置CPE1和CPE2线路的动态P地址绑定功能：（2）网络分析仪3仿真DHCP服务器功能，配置地址池10.10.10.2~10.10.10.254，网关地址为10.10.10.1，更新时间为36008
（3）网络分析仪3配置端口地址为10.10.10.1#YD/T2049-2009
(4）网络分析仪1仿真DHCP客户端发起DHCP请求过程，获得分配地址10.10.10.A:（5）网络分析仪2仿真DHCP客户端发起DHCP请求过程，获得分配地址10.10.10.B；（6）网络分析仪1利用地址10.10.10.A与网络分析仪3互发P数据流：（7）网络分析仪2利用地址10.10.10.B与网络分析仪3互发P数据流：（8）配置网络分析仪1端口地址为10.10.10.B；（9）配置网络分析仪2端口地址为10.10.10.C，其中2（1）在步骤（6）中，网络分析仪1和3的IP数据流应可互相可达：（2）在步骤（7）中，网络分析仪2和3的P数据流应可互相可达：（3）在步骤（10）中，网络分析仪1和3的IP数据流应互相不可达：（4）在步骤（11）中，网络分析仪2和3的TP数据流应互相不可达：（5）在步骤（14）中，网络分析仪2和3的IP数据流应互相可达。4.8上联口链路聚集功能测试
见YD/T1808-2008《接入网设备测试方法-一第二代及频谱扩展的第二代不对称数字用户线(ADSL2/2+)) 10.6.3。
4.9上联口快速生成树(RSTP)功能测试见YD/T1808-2008《接入网设备测试方法一一第二代及频谱扩展的第二代不对称数字用户线(ADSL2/2+)) 10.6.2.
4.10端口镜像功能（可选）
4.10.1测试目的
DSLAM设备建议支持对特定的物理端口或逻辑端口（PVC或VLAN）的流镜像功能。4.10.2测试配量
测试配置图2所示。
分析仪1
4.10.3测试步腺
图 2 端口镜体功能测试配量
分析仪3
分析仅2
（1）如图2连接测试环境，配量DSLAM上联端口1为镜像源端口，上联蹦口2为镜像自的端口，镜像端口1双方向的流；
（2）网络分析仪1和网络分析仪3互发广播与组播和单播以太网顿。7
YTKAOKAa
YD/T2049-2009
4.10.4预期结果
在步骤（2）中，网络分析仪1和3应可正常通信，网络分析仪2应可以收到网络分析仪1和网络分析仪3发出的帧。
4.11协设报文限速
4.11.1测试目的
DSLAM设备应支持对每用户端口发送的特定协议报文（例如，DHCP，IGMP、ICMP等）进行限速处理。
4.11.2 测试配量
测试配置如图1所示。
4.11.3测试步骤
（1）在DSLAM中开启对特定协议报文的限速功能，设定每端口的限制速率X；（2）配置网络分析仪1分别发送类型为DHCPDiscover、IGMPReport（v1、v2）和PING的流，速率(>X)
4.11.4预期结果
网络分析仪3接收到的网络分析仪1发送的各种协议流的速率均小于等于X。4.12用户环网检测
4.12.1测试目的
DSLAM设备应支持对用户侧端口是否成环的检测，防止环网形成。4.12.2测试配置
测试配置如图3所示。
网络分析仪2
4.12.3测试步骤
图3用户环网检测功能测试配量
网络分析仪1
（1）按照图3建立组网连接，其中虚线部分不进行连接，并开启DSLAM的用户环网检测功能；(2）网络分析仪1分别与CPE1、CPE2和 CPE3相连，确认3个CPE都能和DSLAM正常收发包；（3）将CPE2的用户端口用交叉网线连接成环，网络分析仪1与 CPE1相连，并与网络分析仪2之间发送双向数据流；
(4）将CPE2的用户端口环解除，将 CPE2的用户端口与 CPE3的用户端口用交叉网线相连；(5）网络分析仪1与CPE1相连，并与网络分析仪2之间发送双向数据流。4.12.4预期结果
YD/T2049-2008
（1）在步骤（3）中，DSLAM应报告用户侧环网事件，并主动断开成环的链路，CPE1/2/3与DSLAM之间能够正常收发数据流：
（2）在步骤（5）中，DSLAM应报告用户侧环网事件，并主动断开成环的链路，CPE1/2/3与DSLAM之间能够正常收发数据流。
5控制平面安全功能测试
5.1JGMPSnaoping代理功能和可控组播功能5.1.1测试目的
DSLAM设备应支持IGMPSn00ping代理功能，该功能定义见YD/T1706-2007接入网技术要求数字用户线（DSL）承载宽带业务》3.8。DSLAM设备应支持基于用户和组播组的访问控制功能，防止非法用户获得无权限收看的内容。5.1.2测试配置
测试配置如图1所示。
5.1.3测试步骤
（1）按图1连接测试环境，开启DSLAM中的IGMP Snooping代理功能和快速离开功能；（2）配置网络分析仪3仿真组播路由器功能，配置组播频道239.1.1.1，并周期性发送IGMPQuery消息；
(3）DSLAM中增加节自239.1.1.1，并游端口1和端口2用户加入观看权限：(4) 网络分析仪 1 发送 IGMP report 报文申请加,入 239.1.1.1 的节目组：（5）网络分析仪2发送IGMPreport报文申请加入239.1.1.1的节目组：(6）网络分析仪1发送IGMPleave报文申请离开239.1.1.1的节目组；（7）网络分析仪2发送IGMPleave报文申请离开239.1.1.1的节目组；（8）DSLAM配置改变端口2的用户为禁止；(9）网络分析仪 1发送 IGMP repxrt报文申请加入239.1.1.1的节目组(10）网络分析仪 2发送IGMPrepDrt报文申请加入 239.1.1.1的节目组。5.1.4预期结果
（1）在步骤（4）中，网络分析仪3应收到DSLAM发出的IGMPrePort报文请求239.1.1.1的节目，网络分析仪1应收到该节目流；
（2）在步骤（5）中，网络分析仪3不应收到DSLAM发出的请求239.1.1.1的节目的IGMPreport报文，网络分析仪2应收到该节目流：
（3）在步骤（6）中，网络分析仪3不应收到IGMPleave报文，网络分析仪1收到的节目流应停止；（4）在步骤（7）中，网络分析仪3应收到DSLAM发出的IGMPleave报文，网络分析仪2收到的节目流应停止；
（5）在步骤（9）中，网络分析仪1应接收到该节目流：（6）在步骤（10）中，网络分析仪2不应接收到该节目流。5.2非法组播源过滤
5.2.1测试自的
DSLAM应可配置为过滤从用户端口发出的IGMP查询包。9
YKAOYKAa
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。