【YD通讯标准】 接入网设备安全测试方法无源光网络(PON)设备

ICS 33.040.50
中华人民共和国通信行业标准
YD/T2051-2009
接入网设备安全测试方法
无源光网络（PON）设备
Test methods of security for access network equipment-Passiveopticalnetwork(PON)
2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部发布前言
1范围
2规范性引用文件
3缩略·
4用户平面安全功能测试·
4.1数据加密功能
4.2一层隔离功能
4.3帧过滤功能
4.4纽播/广播/DLF报文风暴抑制功能..4.5协议报文限速功能
4.6MAC地址控制功能·
4.7防止 MAC 地址欺骗功能
4.8P地址绑定功能·
4.9VLAN和VLANStacking功能
4.10RTP报文过滤功能·
4.11上联接口链路聚集功能
4.J2上联口快速生成树（RSTP）功能4.13端口镜像功能
4.14用户环网检测功能：
5控制平面安企功能测试·
ONU 认证·
5.2用户端口识别与定位功能
5.3非法协议报文过滤功能·
5.4防DoS收击功能
5.5ARP代理功能（可选）
5.6心跳机制-
5.7SIP协议的注册认证功能（可选）6管理平面安全功能测试.
6.1口令安全检查机制测试
6.2SNMP管理访间安企测试
6.3Telnet管理访问安全测试（可选）6.4本地Console管理访问安企测试6.5WEB管埋访问安企测试（可选）次
-TKAONIKACa
YD/T 2051-2009
YD/T 2051-2009
安全策略管理功能测试·
角色管理功能测试
6.8账号管理功能测试
6.9用户登录管理测试
6.10在线用户管理功能测试
6.11日志管理功能测试
设备可靠性要求测试
7.1主控板主备倒换
7.2电源主备倒换功能
7.3环境监控功能
本标准是接入网设备安企系列标准之一，该标准系列的名称和结构如下：1）YD/T2046-2009接入网安全技术要求-—xDSL用户端设备2）YD/T2047-2009接入网设备安全测试方法—xDSL用户端设备3）YD/T2048-2009接入网安全技术要求一—DSL接入复用器（DSLAM）设备YD/T2051-2009
4）YD/T2049-2009接入网设备安全测试方法—DSL接入复用器（DSLAM）设备5）YD/T2050-2009接入网安全技术要求：一—光源光网络（PON）设备6）YD/T2051-2009接入网设备安全测试方法~无源光网络（PON）设备7）YD/T1910-2009接入网安全技术要求一-综合接入系统8）接入网设备安全测试方法—综合接入系统本标准与YD/T2050-2009《接入网安全技术要求——无源光网络（PON）设备》配套使用：在本标准的制定过程中注意了与下列标准协调一致：1.YD/T1475-2006接入网技术要求—一基于以太网的无源光网络（EPON）2.YD/T1531-2006接入网设备测试方法—基于以太网方式的无源光网络（EPON）3.YD/T1771-2008接入网技术要求——EPON系统通性4.YD/T1805-2008接入网设备测试方法——-EPON系统与通性5.YD/T1949.1-2009接入网技术要求一一吉比特的无源光网络（GPON）第1部分：总体要求6.YD/T1949-2009接入网设备测试方法——吉比特的无源光网络（GPON）本标准由中国通信标准化协会提出并归口。本标准起草单位：工业和信息化部电信研究院、中兴通讯股份有限公司、华为技术有限公司、上海贝尔阿尔卡特股份有限公司、国家计算机网络应急技术处理协调中心。本标准主要起草人：陈洁、程面、刘谦、赵苹、数立、党梅梅、葛坚、李云清、陆洋、张博山、牛乐宏、姚亦峰。
ikAoNKAca
1范围
接入网设备安全测试方法
无源光网络（PON）设备
YD/T 2051-2009
本标准规定了PON设备（包括EPON设备和GPON设备）用户平面安全功能、控制平面安全功能、管理平面安全功能和设备可靠性等功能的测方法。本标准适用于公众电信网环境下的PON设备：专用电信网也可参照使用。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标推。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。接入网设备测试方法—基汀以太网方式的无源光网络（EPON）YD/T 1531-2006
YD/T 1771-2008
IEEE802.1ag
IEEE 802.1D
IEEE 802.1Q
EEE 802.1X
1EEE 802.3
3缩略语
接入网技术要求——EPON 系统互通性局域网和城域网一虚拟桥接局域网增补件5：连接故障管理局域网和城域网MAC桥
局域网和城域网一虚拟桥接局域网局域网和城域网一基于端口的网络接入控制信息技术一系统间通信利信息交换一局域网和城域网特定要求一第3部分：CSMA/CD接入方式和物理层规范
下列缩略语用于本标准。
C-VLAN
Address Resolution Protocol
Broadhand Network Gateway
Bridge Protocol Data Unit
Broadband Remote Access ServerConnectivity Fault ManageinentCustomer VLAN
Destination Address
Dynamic Host Configuration ProtocolDestinatiun Lookup Failure
Denial of Service
地址解析协议
宽带网络网关
网桥协议数据单元
宽带远程接入服务器
连接故障管
客产VLAN
月的地址
动态主机配置协议
日的地址查找失败
报绝服务
YD/T 2051-2009
Extensible Authentication ProtocolEthernet in the First Mile
Ethernet Passive Optical NetworkFrame Check Sequence
Generic Attribute Registration ProtocolGARP Multicast Registration ProtocolGigabit-CapablePassive Optical NetworkGARP VLAN Rcgistration Prctoco!Home Gateway Unit
HyperText Transfer Protoco
Internet Control Message Protocotinternet Group Management ProtocolInternet Protocol over EthernetLink Aggregation Control ProtocolMedium Access Control
Multi-Dwelling Unit
Multi-point control protocolOperations, Auministration ind MaintenanceOptical Line Terminal
Optical Network Urit
Protocol Data Unit
Passive Oplical Nelwork
Point to Point Prolocol over EthemelRapid Spanning Tree ProtocolReal-timeTransport Protocol
Service VLAN Identifer
Session Initiation Protocol
Simple Network Management ProtocolTransmission Control ProtocolUser Datagram Protocol
User Network Interface
Virtual Local Area Network
Voice over IP
-KAONIKACa-
扩展认证协议
第一千米的以太网
基于以太网方式的无源光网络
顿校验序列
通用属性注册办议
GARP组播注册协议
吉比特无源光网络
GARP虚拟局域网注册协议
家庭网关单元
超文本传输协议
互联网控制信总协议
互联网组管理协议
以太网上的互联网协议
链路氵.聚控制协设
媒质访问控制
多在户单元
多点控制协议
操作管理继护
光线路终端
光树络单元
协议数据单元
无源光网络
以太网上传送点到点协议
快速生成树协议
实时传输协议
业务VLAN标识
会话初始协议
简单网络管理协议
传输控制协议
用户数据报协议
用户网络接口
虚拟局域网
P电话
4用户平面安全功能测试
4.1数据加密功能
4.1.1测试目的
YD/T 2051-2009
PON设备在下行方向应支持对用户单播数据进行加密，以保证用户数据的安全性。EPON设备应采用三重搅动方法对用门数据进行保护，GPON设备采用的加密算法应符合国家相关规定。4.1.2测试配置
本测试项以EPON系统数据加密功能为例，GPON系统数据加密功能测试可参考使用。EPON系统数据加密功能测试配置见图1。数期网络分析仪
2:N分路器
EPON协议分拆收
图1EPON数据加密功能测试配查
4.1.3测试步骤
本测试项以EPON系统数据加密功能为例，GPON系统数据加密功能测试可参考使用。（1）按图1配置测试系统：
（2）设置OLT与ONU之间PON接口处于明文（ClearText）状态：（3）启动EPON协议分析仪，捕捉PON接口双向MPCP报文、数据报文、OAM报文：（4）通过网管配置OLT启动针对该ONU的三重搅动加密功能：（5）用数据网络分析仪发送从OLT到ONU的单播以太网数据流，用EPON协议分析仪观察PON接口上的以太网数据报文是否被搅动、密钥是否定期更新、以太网顿中Preamble的Enc字节的密钒同步是否正确，同时观察数据网络分析仪从ONU的UNI口输出的下行以太网业务报文是否被正确的解搅动。4.1.4预期结果
（1）步骤（3），在三重搅动功能关闭情况下，ONU的PON接门处接收到的下行以太网恢前导码的第五个子节搅动信息标识字段（Enc）的值应为“0x55”；（2）步骤（5）中，在三重搅动功能打开情况下，ONU的PON接口处接收到的下行以太网顿前导码中第五个字节搅动信息标识宁段（Enc）的值应该在0x56和0x57之间定期轮换（轮换周期为密钥更新周期）：（3）步骤（5）F，三重搅动的范闹为DAMAC到FCS，搅动的报文类型包括数据帖、OAM帧：（4）步骤（5）中，密钥更新过程中包括新密钊请求恢（new_key_request）、新密钒通知帧（new_churning_key）两种扩展的OAM报文，其格式应符合YD/T1771-2008《接入网技术要求——EPON系统互通性》的规定，密钥更新过程符合图2所示流程。3
YD/T 2051-2009
Churtl with kdy 0
4.2二层隔离功能
4.2.1OLT的二层隔离功能
4.2.1.1测试自的
new_key_request
New_chuming_key_(key 0)
Cipher tex r(key 0)
New_kcy_roguest
New_chuming_key_(key 1
图2EPON系统中的密钥更新流程
dechurn with key 0
OLT应支持各ONU之问的二层隔离，即同一OLT设备上同一和不同PON接口下的务ONU之问均不应通过OLT设备上的二层桥接功能直接互通。4.2.1.2测试配置
测试配置见图3。
分析仪1
4.2.1.3测试步骤
（1）按图3配置测试系统：
内分路器
图3OLT二层隔离功能测试配置
-IKANIKACa
分析仪2
分新3
分断仪4
YD/T 2051-2009
(2）配置 3个 ONU 的用户流量为无 VLAN 标签方式，网络侧为 N:1 VLAN模式，S-VD=X（0（3）网络分析仪1、2、3、4分别发送地址学习顿；（4）网络分析仪1与网络分析仪2互发以太网广播与单播报文：（5）网络分析仪1与网络分析仪3五发以太网广播与单播报文；（6）网络分析仪1利1网络分析仪4互发以太网广播与单播报文：（7）网络分析仪2、3、4互发以太网广播与单播报文。4.2.1.4预期结果
（1）在步骤（4）41，网络分析仪1和2应可以互通，且网络分析仪3、4不能收到来自网络分析仪2的任何报文。
（2）在步骤（5）中，网络分析仪1和3应可以互通，且网络分析仪2、4不能收到来自网络分析仪3的任何报文。
（3）在步骤（6）中，网络分析仪1和4应可以互通，且网络分析仪2、3不能收到来自网络分析仪4的任何报文。
（4）在步骤（7）中，网络分析仪2、3、4之间不应有任何流量互通。4.2.2MDU类型的ONU的二层隔离功能4.2.2.1测试目的
MDU类型的ONU应支持各用户物理端口之问的二层隔离，即各用户物理端口之问不应通过ONU上的二层桥接功能直接互通。
4.2.2.2测试配置
测试配置见图4，
分析仪1
4.2.2.3测试步骤
（1）按图4配置测试系统：
图4MDU类型的ONU的二层隔离功能测试配置网络
分折仪2
分析仪3
（2）配置ONUJ上的2个用户流量为无VLAN标笼方式，ONU靴置这2个用广为N:IVLAN模式，S-VID=X（0（3）网络分析仪1、2、3分别发送地址学习顿：（4）网络分析仪1与网络分折仪2互发以太网广播与单播报文；（5）树络分析仪1与树络分析仪3互发以太树广播与单播拟文；（6）网络分析仪2、3互发以太网产播与单播报文。4.2.2.4预期结果
（1）在步骤（4）中，网络分析仪1和2应可以互通，且网络分析仪3不能收到来白网络分析仪2的任何报文。
YD/T 2051-2009
（2）在步骤（5）中，网络分析仪1和3应可以互通，且网络分析仪2不能收到来自网络分析仪3的任何报文。
（3）在步骤（6）中，网络分析仪2、3之间不应有任何流量互通。4.3顺过滤功能
4.3.1OLT的帧过滤功能
4.3.1.1测试目的
OLT应支持根据以太网封装协议、源/目的MAC地址、源/目的IP地址和ITCP/UDP端口号对上、下行以太网数据顿进行过滤。
OLT应能过滤来白用户的目的地址为组播地址的数据流（至少包括UDP报文）缺省状态下，OLT应支持过滤表1规定的预定义和保留地址的MAC唢，但OLT可以提供改变缺省行为的配置选项。
表1预定义和保留MAC地址
MAC地址
01-80-C2-00-00-00
01-80-C2-00-00-01
01-80-C2-00-00-02
(注）
01-80-C2-00-00-03
01-80-C2-00-00-04-
01-80-C2-00-00-0Fwww.bzxz.net
01-80-C2-00-00-10
01-80-C2-00-00-20
01-80-C2-00-00-21
01-80-C2-00-00-22
01-80-C2-00-00-2F
U1-80-C2-xx-xx-xy
桥组地址(BPDUs)
慢速协议(LACr,EFMOAMPDL's)
EAP over LAN's
所有LAN的拆管里地址
保留GARP应用地址
缺省行为
Forward
可选配置
Horward
注：在EPON系统中，EFMOAMPDU报文的缺省行为为PcCT，n选配置为Nonc4.3.1.2测试配置
测试配置见图5。
分析仪1
4.3.1.3测试步骤
（1）按图5配置测试系统
图5OLT赖过滤功能测试配置
（2）关闭ONU的顿过滤功能，开启OLT的上行顿过滤功能；（3）配置OLT对IPoE封装的顿进行过滤：QNUI
引用标雅
IEEE 802.1D, Tablec 7-9
IEEE802.3
IEEE 802.3, Table 43B-1
IEEE 802.1X, Table 7-2
IFEE 802.1D, Table 7-9
JEEE 802. I D, Table 7-10
IEEE 802.1D, Table 12-1
IEEE 802.1Q, Table 11-1
IEEE 802.1D, Tablc 12-1
IEEE 802.1ag-D6, Table 8-9
分析仪2
（4）网络分析仪2向网络分析仪1同时发送IPoE封装的顿和PPPoE封装的顺；6
IKAONIKAa-
（5）配置OLT对PPPoF封装的顺进行过滤：（6）网络分析仪2向网络分析仪1同时发送IPoE封装的帧和PPPoE封装的帧；（7）配置OLT对源IP地址为172.24.10.X的流行过滤：YD/T 2051-2009
（8）网络分析仪2发送源IP地址为172.24.10.X和172.24.10.Y的两条流（X手Y）：（9）配置OLT对H的IP地址为172.24.10.X的流进行过滤：（10）网络分析仪2发送H的TP地址为172.24.10.X和172.24.10.Y的两条流（X≠Y）：（11）配置OLT对TCP源端口号为X的流进行过滤：（12）网络分析仪2发送TCP源端口号为X和Y的两条流（X≠Y）；（13）配置OLT对TCP日的端口号为X的流进行过滤；（14）网络分析仪2发送TCP目的端口号为X和Y的两条流（X≠Y）：（15）配置OLT对UDP源端口号为X的流进行过滤：（16）网络分析仪2发送UDP源端口号为X和Y的两条流（XY）；（17）配置OLT对UDP目的端口号为X的流逊行过滤；（18）网络分析仪2发送UDP目的端号为X和Y的两条流（X≠Y）：（19）配置OLT对源MAC地址为00-00-11-11-11-X的流进行过滤；（20）网络分析仪2发送源MAC地址为00-00-11-11-11-X利00-00-11-11-11-Y（X≠Y)、目的MAC地址为网络分析仪1源MAC地址的流：（21）配置OI.T对口的MAC地址为网络分析仪1源MAC地址的流进行过滤（22）网络分析仪2发送2条流，其中一条流的目的MAC地址为网络分析仪1源MAC地址，另一条流的月的MAC地址不是网络分析仪I的源MAC地址：（23）配置网络分析仪2发送月的MAC地址为01-80-C2-00-00-XX（其中XX为00-0F，10，20~2F）的33条流，以及条月的MAC地址为00-00-11-11-11-Y的流：（24）关闭OLT的上行顿过滤功能，开启OLT的下行巅过滤功能：（25）重复测试步骤（3）～（25），其中由网络分析仪1发送测试恢，网络分析仪2接收测试顿；（26）配置OLT过滤来自用户端口的目的地址为组播地址的【IDP流；（27）配置网络分析仪2发送2条UDP流，其中条UDP流的H的IP地址为239.xy.z，月的MAC地址为01-00-5e-x-y-z（其中x，y，z的取值为0~255中任意数值），另外一条UDP流的日的IP地址为非播P 地址，目的MAC地i:为非组播MAC地址：4.3.1.4预期结果
（1）在步骤（4）中，网络分析仪1能接收到PPPoE封装的顺，不能收到IPoE封装的顺：（2）衣步骤（6）中，网络分析仪1能接收到IPoE封装的顺，不能收到PPPoE封装的顺：（3）在步骤（8）中，网络分析仪1能接收到源IP地斯：为172.24.10.Y的流，不能收到源1P地址为172.24.10.X的流；
（4）在步骤（10）中，网络分析仪1能接收到目的IP地址：为172.24.10.Y的流，不能收到[的P地址为172.24.10.X的流;
（5）在步骤（12）F，网络分析仪1能接收到TCP源端口号为Y的流，不能收到TCP源端口号为X的流：
YD/T 2051-2009
（6）在步骤（14）中，网络分析仪1能接收到TCP目的端口号为Y的流，不能收到TCP目的端口号X的流：
（7）在步骤（16）中，网络分析仪1能接收到UDP源端口号为Y的流，不能收到UDP源端口号为X拍流：
（8）在步骤（18）中，网络分析仪I能接收到UDP目的端口号为Y的流，不能收到UDP且的端口号为X的流：
（9）在步骤（20），网络分析仪1能接收到源MAC地址为00-00-11-11-11-Y的流，不能收到源MAC地址为00-00-11-11-11-X的流：（10）在步骤（22），网络分析仪1能接收到目的MAC地址不是网络分析仪1源MAC地址的流，不能收到日的MAC地址为网络分析仪I源MAC地址的流：（11）在步骤（23）中，网络分析仪1能接收到--条日的MAC地址为00-00-11-11-11-Y的流，不能收到目的MAC地址为01-80-C2-00-00-XX（其中XX为00-0F，10，20~2F）的流；（12）在步骤（25）1，网络分析仪2接收测试顺的情况同步骤（3）～（25）（13）在步骤（27）中，网络分析仪1能接收到日的IP地比为非组播IP地址，日的MAC地班为那组播MAC地址的UDP流，不能收到目的IP地址为239.x.y.2，日的MAC地址为01-00-5c-r-y-z（其中x，y，z的取值为0~255中任意数值）的UDP流。4.3.2ONU的顿过滤功能
4.3.2.1 测试目的
ONU应支持根据物理端[I、以太网顿封装协议、源/国的MAC地址、以太网优先级标记（P-bit）对上、下行以太网数据顺进行过滤。
缺省状态下，ONU应支持过滤表1规定的预定义利保密地址的MAC顺，但ONU可以提供改变缺省行为的配置选项。
建议ONU支持基于源/国的IP地址利TCP/UDP端凹号对数据帧进行过滤。建议ONU过滤来白用广的且的地址为组播地址的数据流（至少包括UDP报文）。4.3.2.2测试配置
测试配置见图6。
分析仪1
测试步骤
ONUJ2端凹2
图6ONU顿过滤功能测试配置
IKAONIKAa
分析仪2
分析仪3
分析议4
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。