【YD通讯标准】 IPv6 网络设备安全测试方法 —— 具有路由功能的以太网交换机

IC33.040.40
中华人民共和国通信行业标准
YD/T 2043-2009
IPv6网络设备安全测试方法
-具有路由功能的以太网交换机
IPv6 network equipment security testing methods-Ethernet switchwithrouting capability2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部发布前言
1范围·
2规范性引用文件
3术语、定义和缩略语··
3.1术语和定义
3.2缩略语·
试环境·
数据转发平面安全测试
5.1[Psec 协议测试
5.2常见网络攻出抵抗能力测试
5.3URPF功能测试（可选）
5.4访问控制列表
5.5流量控制功能测试
6控制平面安全测试·
6.1路由协议安全测试
6.2TCP/IP 协议安全测试
6.3MAC地址数量限制
6.4MAC地址绑定功能.
路由过滤功能测试
管理平面安全测试·
7.1端口镜像·
访问控制安全测试
SNMPv3功能测试
安全中计功能测试·
IKAONIKAa
YD/T 2043-2009
YD/T2043-2009
本标准是“IPv6网络设备安全”系列标准之一，该系列标准预计的结构及名称如下：1．YD/T1905-2009IPv6网络设备安全技术要求——宽带网络接入服务器2.YD/T2041-2009IPv6网络设备安金测试方法宽带网络接入服务器3.YD/T2042-2009IPv6网络设备安全技术要求——具有路出功能的以太网交换机4.YD/T2043-2009IPv6网络设备安全测试方法具有路由功能的以太网交换机YD/T2042-2009IPv6网络设备安全技术要求一-具有路由功能的以太网交换机是本标准的技术依据，使用过程中需与其配套使用。本标准由中国通信标准协会提出并归口。本标准起草单位：工业和信息化部电信研究院、华为技术有限公司。本标准主要起草人：马军锋、蒋胜、郭大勇、赵世卓。EI
1范围
IPv6网络设备安全测试方法
一具有路由功能的以太网交换机YD/T 2043-2009
本标准规定了对具有IPv6路由功能的以太网交换机设备进行安全功能和协议安全测试的方法。本标准适用于支持Pv6协议并具有路由功能的以太网交换机设备。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用丁本标准。YD/T1467-2006IP安全协议（IPSec）测试方法3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。3.1.1
具有IPv6路由功能的以太网交换机ethernetswitchwithIPv6routingcapability支持IPv6协议、具有第兰层路由功能的P数据包交换机。除实现数据顿转发功能外，能根据收到的数据包中网络层地址以及交换机内部维护的路由表决定输出端口以及下一跳交换机地址或主机地址并口重写链路层数据包头。
路由表可以通过静态配置方式维护，也可以动态维护来反映当前的网络拓扑。具有路由功能的以太网交换机通常通过与其它类似设备/路由器交换路出信息来完成路由表的动态维护，3.1.2
被测实现 IUT
实际开放系统中将要进行一致性测试的那部分，它应该是一个或多个相关OSI协议的实现。3.2缩略语
下列缩略语适用于本标准。
ICMPv6
Access Control List
Border Gateway Protocol
Committed Access Rate
Device Under Test
InternetConlrolMessagesProtocolversion6Internet Protocl
Internet Protocol Security
IKAONIKAa-
访问控制列表
边界网关路由协议
承诺访问速率
被测设备
网问控制报文协议版本6
网际互连协议版本6
互联网安全
YD/T 2043-2009
4测试环境
Intermediate System-Intermediate SystemMedia Access Control
Message-Digest Algorithm version 5Management Informatiou Base
Multi-Protocol Label Switch
Open Shortest Path First version 3Request For Comments
Routing Information Protocol Next GenerationSimple Network Management ProtocolSecure Shell
Transmission Control ProtocolUnicast Reverse Path ForwardingUser Datagran Protocol
Virtual Local Area Network
测试环境1，如图1所示。
测试仪表
图1测试环境1
测试环境2，如图2所示。
测试仪长端
试收表端口A
测试环境3，如图3所示。
图2测试环境2
图3测试环境3
中间系统一中问系统
媒体控制访问
消息摘要算法5
管理信息库
多协议标记交换
最短路径优先版本三
请求注解
下一代路出信息协议
简单网络管理协议
安全外壳
传输控制协议
单播逆向路径转发
用户数据报协议
虚拟局域网
读仪表蜡1B
测试环境4，如图4所示。
测试坏境5，如图5所示。
5数据转发平面安全测试
5.11Psec协议测试
认证服务器
图4测试环境4
日志服务器
图5测试环境5
IPSec协议测试内容按YD/T1467-2006的规定，5.2常见网络攻击抵抗能力测试
测试编号：1
测试项目：抗大流量攻击能力测试测试月的：检验DUT处理大流虚数据的能力测试配置：测试环境1
测试过程：
1.．按测试环境连接设备：
2．从测试仪表端口A向测试仪表端口B以接口吞吐量发送数据包；3.DUT开启动态路由协议，从测试仪表端口A向DUT建立OSPFv3邻居关系：4．停止步骤2中数据包的发送：5．从测试仪表端口A向DUT的环回地址以线速发送数据包：6.从测试仪表端口A向DUT建立协议邻居关系预期结果：
YD/T2043-2009
在步骤3和6中，测试仪表与DUT问应能正常建立协议邻居关系，不受端口上流量的影响-IKANIKAa
YD/T2043-2009
判定原则：
应符合预期结果要求，否则为不合格测试编号：2
测试项目：畸形包处理能力测试测试目的：检验DUT处理畸形数据包的能力测试配置：测试环境1
测试过程：
1．按测试环境连接设备；
2．从测试仪表端口A向测试仪表端口B发送小于接口吞吐量的背景流量：3.由仪表端口A以端口吞吐量剩余带宽速率向DUT端口发送报文长度（包括P包头）人于65535字节的ICMPv6ECHORequest报文（PingofDcath攻击仿真报文）；4.停止步骤3中报文的发送，由仪表端口A向DUT环回地址发送多个Offset字段量叠的IP报文（Teardrop攻击仿真报文）；
5.停止步骤4中报文的发送，由仪表端口A向仪表端口B发送链路层错误（如以太网的FCS错误）报文：
6.停止步骤5中报文的发送，由仪表端口A向仪表端口B发送长度小于64字节（以太网链路）的超短懒（Runt）
7.停止步骤6中报文的发送，由仪表端口A向仪表端口B发送长度大于链路MTU的超长帧（Giant)预期结果：
1．在步骤3中，攻击报文应被丢弃，记录攻击对背景流量的影响；2，在步骤4中，攻击报文应被丢弃，记录攻击对背景流量的影响：3．在步骤5中，错误顿应被丢弃，并在错误目志中有相应记录，记录攻击对背景流量的影响；4，在步骤6中，超短帧应被丢弃，并提供统计数据，记录攻击对背景流量的影响；5。在步骤7中，超长顿应被丢弃，并提供统计数据，记录攻击对背景流量的影响判定原则：
应符合预期结果要求，否测为不合格测试编号：3
测试项目：PingFlood攻击处理能力测试测试日的：检验DUT处理PingFlood攻击的能力测试配置：测试环境2
测试过程：
1．按测试坏境连接设备；
YD/T 2043-2009
2．仪表端口B与DUT建立OSPFv3邻居关系，并向DUT通告到网络2的路由：3.从测试仪表端口A向网络2中的某个IP地址以小于端口吞吐量的流量发送背景流量，并验证仪表端口B上流量能够正常接收；
4.从测试仪表端口C向DUT环回地址以端口吞吐量发送ICMPv6ECHORequest数据包：5.停止步骤4中流量的发送，从测试仪表端口C向网络2中的某个P地址以端口吞吐量发送ICMPv6ECHORcquest数据包
预期结果：
1，在步骤4中，DUT应对超录ICMPv6报文进行丢或限速，记录攻击对背景流量的影响：2．在步骤5中，DUT应对超量ICMPv6投文进行丢弃或限速，记录攻击对背景流量的影响判定原则：
应合预期结果要求，否则为不合格测试编号：4
测试项H：SYNFlood攻击处理能力测试测试目的：检验DUT处理SYNFlood攻击的能力测试配置：测试环境2
测试过程：
1、按测试环境连接设备：
2.仪表端口A和B分别与DUT建立OSPFv3邻居关系，并向DUT通告到网络1和网络2的路由；3.从测试仪表端口A向网络2中的某个IP地址以小于端口吞叶量的流景发送背景流量，验证仪表端口B上流景能够正常接收：
4.从测试仪表端口C向网络2中的某个IP地址以端口端口吞吐量剩余带宽发送TCPSYN数据包，数据包源地址为网络1非的某个地址；5．停止步骤4中流量的发送，从测试仪表端口C向DUT的环回地址上已开放的端口以端口谷吐量剩余带宽发送TCPSYN数据包，数据包源地址为网络1中的某个地址：6．停止步骤5中流量的发送，在DUT设备上配觉限速策略，当流量超过门限时，丢弃过载的流量；7.从测试仪表端口C向网络2中的某个IP地址以超过限速门限的速率发送满足策略的TCPSYN数据包，数据包源地比为网络1中的某个地址预期结果：
1．在步骤4和5中，DUT应对过量TCPSYN报文进行丢外或进行降低优先级的排队处理，记录攻击对背景流量的影响；
2.在步骤7中，DUT应对过量TCPSYN报文进行丢弃，记录攻出对背景流量的影响判定原则：
1．DUT可以对过最TCPSYN报文进行去弃或进行降低优先级的排队处理，背景流的流量和时延应不会受到严重影响；
2DUT对满足限速策略的流最进行限速处理，背景流的流量利时延应不会受到严重影响IKAONIKAa
YD/T 2043-2009
5.3URPF功能测试（可选）
测试编号：5
测试项目：严格URPF功能测试
测试目的：检验DUT实现严格 URPF功能测试配置：测试环境2
测试过程：
1，按测试环境连接设备；
2.仪表端口A利B分别与DUT建立OSPFv3邻居关系，并间DUT通告到网络1和网络2的路由，并发送流量验证路山的有效性，在DUT上为地址X:X:X:X：:0/64配置到测试仪表端口C的静态路由：3.在DUT上启用严格URPF：
4.从仪表端口A向仪表端口B发送数据包，数据包源地址为网络1中的地址；5.停止步骤4中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为；6.停止步骤5中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为YY:Y:Y:1（在路由器路由表中不存在到该地址的路由）预期结果：
1．在步骤4中，仪表端口B应可以收到測试数据包：2、在步骤5和6中，仪表端口B不能收到测试数据判定原则：
应符合预期结果要求，否则为不合格测试编号：6
测试项目：松散URPF功能测试
测试目的：检验DUT实现松散URPF功能测试配置：测试环境2
测试过程：
1.按测试环境连接设备；
2.仪表端口A和B分别与DUT建立OSPFv3邻居关系，并向DUT通告到网络1和网络2的路由，并发送流量验证路由的有效性，在DUT上为地址X:X：X:X：0/64配置到测试仪表端口C的静态路由：3．在DUT.上启用松散URPF；
4.从仪表端口A向仪表端口B发送数据包，数据包源地址为网络1的地址；5.停止步骤4中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为X:X:X：X：：1：6.停步骤5中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为Y:Y:Y:Y：:1（在路由器路山表中不存在到该跑址的路白）预期结果：
1.在步骤4和5中，仪表端口B应可以收到测试数据包；2、在步骤6中，仪表端口B不能收到测试数据包判定原则：
应符合预期结果要求，否则为不合格6
测试编好：7
测试项目：基于ACL的URPF功能测试测试目的：检验DUT实现基于ACL的URPF功能測试配置：测试环境2
测试过程：
1．按测试环境连接设备：
YD/T2043-2009
2.仪表端口A和B分别与DUT建立OSPFv3邻居关系，并向DUT通告到网络1和网络2的路由，并发送流量验证路由的有效性，在DLT上为X:X:X:X：0/64地址配置到测试仪表端口C的静态路由；3.在DUT上启用基下ACL的URPF，配置ACL条月拒绝源地址为X:X:X:X：b/64的数据包：4，从仪表端口A向仪表端口B发送数据包，数据包源地址为网络1中的地址：5.停止步骤4中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为X:X:X:X:：a:6.停止步骤5中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为X:X:X:X：b；7、停止步骤6中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为Y:Y:Y:Yb（在路由器路白表中不存在到该地址的路由）预期结果：
1．在步骤4和5中，仪表端凹B应可以收到测试数据包；2．在步骤6和7中，仪表端口B不能收到测试数据包判定原则：
应符含预期结果要求，否则为不合格5.4访问控制列表
测试编号：8
测试项目：基丁源地址的ACL测试测试目的：检验DUT是否实现基于源地址的ACL测试配置：測试环境1
测试过程：
1：按测试环境连接设备：
2.在DUT上配置基于源地址的ACL（拒绝）条日：3.从仪表端口A向仪表端口B发送符合过滤条件的I沪包：4.从仪表端口A向仪表端口B发送不符合过滤条件的IP包预期结果：
1、在步骤3中，仪表端口B没有收到数据包：2．在步骤4中，仪表端口B可以收到数据包判定原则：www.bzxz.net
应符合预期结果要求，否则为不合格IKAONIKAa
YD/T2043-2009
测试编号：9
测试项目：基于目的地址的ACL测试测试目的：检验 DUT是否实现基于目的地址的 ACL测试配置：测试环境1
测试过程：
1、按测试环境连接设备
2.在DUT上配置基于尽的地址的ACL（拒绝）条目：3、从仪表端口A向仪表端口B发送符合过滤条件的卫P包：4.从仪表端口A向仪表端口B发送不符合过滤条件的IP包预期结果；
1．在步骤3中，仪表端口B没有收到数据包2．在步骤4中，仪表端口B可以收到数据包判定原则：
应符合预期结果要求，否则为不合格测试编号：10
测试项目：基丁协议的ACL测试
测试目的：检验DUT是否实现基于协议地址的ACL测试記置：测试环境1
测试过程：
1．按测试环境连接设备：
2.在DUT上配置基于协议类型的ACL（拒绝）条目：3.从仪表端口A向仪表端口B发送符合过滤条件的IP包；4．从仪表端口A向仪表端口B发送不符合过滤条件的IP包预期结果：
1．在步骤3中，仪表端口B没有收到数据包；2．在步骤4中，仪表端口B可以收到数据包判定原则：
应符合预期结果要求，否则为不合格测试编号：11
测试项目：基于源端口的ACL测试测试目的：检验DUT是否实现基于源端口的ACL测试配置：测试环境1
测试过程：
1、按测试环境连接设备：
2．在DUT上配置基于源端口的ACL（拆绝）条：3.从仪表端口A向仪表端口B发送符合过滤条件的IP包：4.从仪表端口A间仪表端口B发送不符合过滤条件的P包预期结果：
1、在步骤3中，仪表端口B没有收到数据包：2.在步骤4中，仪表端口B可以收到数据包判定原则：
应符合预期结果要求，否则为不合格测试编号：12
测试项目：基于日的端口的ACL测试测试口的：检验DUT是否实现基于目的端口的ACL测试配置：测试环境1
测试过程：
1。按测试环境连接设备；
2，在DUT上配置基的端口的ACL（护绝）条Ⅱ：3.从仪表端口A向仪表端口B发送符合过滤条件的IP包4.从仪表端口A向仪表端口B发送不符合过滤条件的P包预期纬果：
1．在步骤3中，仪表端口B没有收剑数据包：2、在步骤4中，仪表端口B可以收到数据包判定原则：
应衍合预期结果要求，否则为不合格-KAONIKAca
YD/T2043-2009
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。