【YD通讯标准】 具有路由功能的以太网交换机设备安全测试方法

ICS 33 040 40
中华人民共和国通信行业标准
YD/T 1630-2007
有路由功能的以太网交换机设备安全测试方法
Testing Methods for Ethernet SwitchingDevices Security with Routing Capability2007-04-16发布
2007-10-01实施
中华人民共科和国信息产业部发布前
规范性用文件
缩略语
测试环境
数据平面安全测试
Dos 攻击·
流量控制
802.3ad链路聚合
6.9 MAC 地址数月限制-
MAC地址绑定功能-
7控制平面安会测试
BGPv4-
IS-IS-
RIPy2-
TCP/UDP
7.8VPN安全测试…
7.9路由过滤
7.10 STP/RSTP 功能测试-
7.11 IGMP Snooping功能测试
7.12DHCP Snooping 功能测试...8管理平面安全测试
端口镜像
用户访问控制·
HYKADNYKAca
YD/T 1630-2007
YD/T 1630-2007
SNMPv3
安全审计
YD/T 1630-2007
本标准是“以太网交换机设备”系列标推之一，本系列标推预计的结构和名称如下：1.YD/T1099-2005以太网交换机技代要求（修订YD/T1099-2001《千兆比以太网交换机设备技术要求》）
2.YD/T 1141-2005以太网交换机测试方法（修订YTD/T1141-200I千兆比以太网交换机测试方法)
3．YD/T1255-2003具有路出功能的以太网交换机技术要求4.YD/T1287-2003具有路出功能的以太网交换机测试方法5．YD/T1627-20017以太网交换机设备安金技术要求6．YD/T1628-2007以太网交换机设备安全测试方法7．YD/T1629-2007其有路由功能的以太网交换机设备安全技术要求8，YD/T1630-2007具有路由功能的以太网交换机设备安全测试方法其中YD/T1629-2007《具有路由功能的以太网交换机设备安全技术要求》是本标准的依据，本标准同时也是YD/T1287-2003《真有路由功能的以太网交换机测试方法》的配套标准。本标由中国通信标准化协会提出并归口。本标准起草单位：信息产业部电信研究院本标准参加单位：中兴通讯股份有限公司华为技术有限公司
国家计算机网络应急技术处理协调中心武汉邮电科学研究院
北京通和实益电信科学技术研究所有限公司本标主要起草人：樂冰　周开波韩韧　肖雳董　萌罗鉴陈建业in
YYKAONYKAca
1范围
YD/T 1630-2007
翼有路由功能的以太网交换机设备安全测试方法本标准规定了支持IPVv4协议的其有路由功能的以太网交换机的安全测试内容及测试方法。本标准适用于变持Pv4协议的具有路由功能的以太网交换机。规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注自期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注月期的引用文件，其最新版本适用于本标准。YD/T 1467-2006
YD/T 1629-2007
3定义
下列定义适用于本标准。
IP安全协议（IPSec）测试存法
具有路由功能的以太网交换机设备安全技术要求·访问控制（Accesscontrol）
防止未经授权使用资源。
授权【Authorization】
授予权限，包括根据访问权进行访问的权限。?安全审计【Security audit】
对系统的记录及活动独立的复查与检查，以便检测系统控制是否充分，确保系统控制与现行策略和操作程序保持一致、探测违背安全性的行为，并介绍控制、策略和程序中所显示的任何变化。·数字签名「Digital signature】附在数据单元后面的数据，或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的来源和完整性，保护数据不被伪造，并保证数据的不可否认性。·安全机制（Securitymechanism）实现安全服务的过程。
·拒绝服务【Denialofservice】止授权访问资源或延迟时间敏感操作。4缩略语
下列缩略语适用于本标准
triple Data Encryption StandardAccess Contral List
Advanced Encryption StandardBorder Gateway Protocol
三重数据加密标准
访间控制列表
先进加密标准
边界网关协议
YD/T 1630-2007
SNMPy1
SNMPv2c
SNMPv3
Border Gateway Protocol version 4Committed Access Rate
Cipher Block Chaining
Denial of Service
Digital Signature Standard
Device Under Test
External Gateway Protocol
Hashed Message Authentication Code Internet Contral Messages ProtocolIntemal Gateway Protocol
Intenet Key Exchange
Internet Protocol
IP Security
Internediate System to Intermediate SystemMedia Access Control
Message Digest version 5
Multi-Protocol Label SwitchingNetwork Address Translation
Network Address Port TranslationNetwork Time Protocol
Open Shottest Path First
Routing Inforrmation ProtocolRouting Inforination Protocol version 2Poini-tu-Point Protacol
Rivest, Shamir and Adlenan AlgorithmSecurity Hash Algorithm
Secure Hash Aigorithrn 1
Simple Network Management ProtocolSNMP version
SNMP version2c
SNMP version3
Secure Shell
Secure Shell version 1
Secure Shell version 2
Transmission Control ProtocolUser Datagram Protocol
Unicase Reverse Path ForwardingVirtual Private Network
HYYKABNYKAca
边界网关协议版本4
承诺接入速率
密码块链
拒绝服务
数字签名标推
被测设备
外部网关协议
散列消息认证码
因特网控制报文协议
内部网关协议
因特网密钥交换
因特网协议
P安全机制
中问系统到中间系统协议
媒介访问控制
消息摘要版本5
多协议标记交换
网络地址转换
网络地址端口转换
网络时间协议
开放最短路径优先协议
路由信息协议
路由信息协议版本2
点到点协议
RSA 算法
安全散列算法
安全散列算法版本1
简单网络管理协议
SNMP 版本1
SNMP 版本2c
SNMP版本3
安全外壳
SSH 版本1
SSH 版本2
传辅控制协议
用户数据报协议
单播反向路径转发
魔拟专用网
5测试环境
测试环境如图1~8所示。
仿真网络1
协议分析
A测试仪表B
测试环境1
测试仪表
图2测试环境2
测试环境3
仿真网络2
服务器
（日志、认证、DHCP）
图4 测试环境4
协设分析径
测试环5
疏量发生器
YD/T1630-2007
YD/T 1630-2007
协议分析
图6测试环境6
测试环境7
试仪丧
测试环境8bzxZ.net
YKANYKAca
疏带发生器
6数据平面安全测试
IPSec协议测试内容参见YD/T1467-2006《P安全协议（IPSec）测试方法》6.2Dos攻击
测试编号：1
测试项目：抗大流量攻击能力测试测试目的：检验DUT处理大流量数据的能力测试配置：测试环境1
测试过程：
1．按测试环境逆接设备；
2. 设定 DUT 在 IF 层转发;
3.从测试仪表端口A向测试仪表端口B以线速率发送数据包；4.DUT启用动态路由协议，测试仪表端口A与DUT交换路由信息；5．停止步骤3中数据包的发送；6．从测试仪表端口A向DUT的环回地址以线速率发送数据包；7.测试仪表端口A与DUT交换路由信息预期结果：
YD/T 1630-2007
在步骤4和7中，测试仪表与DUT间应能正常交换路由信息，不受端口上流量的影响判定原则：
应符合预期结果要求，否则为不合格YD/T1630-2007
测试编号：2
测试项目：畸形包处理能力测试测试目的：检验DUT处理畸形数据包的能力测试配置：测试环境1
测试过程：
1、按测试环境连接设备；
2.设定DUT在P层转发：
3.从测试仪表端口A向测试仪表端口B发送小端口速率的背景流量；4.由测试仪表端口A以端口剩余带宽速率向DUT发送报文长度（包括IP包头）>65535byte的ICMPEchuRequest报文（PingofDeath攻击仿真报文）；5.停止步骤4中报文的发送，由测试仪表端口A向DUT环回地址发送多个Offset字段重叠的IP报文（Teardrop攻击仿真报文）；
6.停止步骤5中报文的发送，由测试仪表端口A向仪表端口B发送链路层错误（如以太网的FCS错误帧）报文；
7.停止步骤6中报文的发送，由测试仪表端口A向仪表端口B发送长度<64byte（以太网链路）的超短愤（Runt）：
8.停止步骤7中报文的发送，由测试仪表端口A向测试仪表端口B发送长度大于链路MTU的超长(Giant）;
9.停止步骤8中报文的发送，在DUT上启用动态路由协议，并由测试仪表端口A与DUT交换路由信息，由测试仪表端口A向DUT发送错误的路出信息更新报文预期结果：
1.在步骤4中，攻击报文应被丢弃，记录攻击对背景流量的影响：2.在步骤5中，攻击报文应被丢弃，记录攻击对背景流量的影响；3.在步骤6中，错误愤应被丢弃，记录攻击对背景流量的影响；4.在步骤7中，超短帧应被丢弃，并提供统计数据，记录攻击对背景流量的影响；5.在步骤8中，超长顺应被丢弃，并提供统计数据，记录攻击对背景流量的影响；6.在步骤9中，应不接受错误的路由信息更新报文判定原则：
应符合预期结果要求，否则为不合格YYKANYKAca
测试编号：3
测试项目：PingFlood攻击处理能力测试测试日的：捡验DUT处理PingFlood政击的能力测试配置：测试环境2
测试过程：
1．按测试环境连接设备；
2. 设定 DUT 在 IP 层转发;
3．测试仪表端凹B与 DUT交换路由信息，向DUT通告到网络2的路由：YD/T 1630-2007
4.从测试仪表端口A向网络2中的某个IP地址以小于端口速率的流量发送背景流量，并验证测试仪表端口B上流量能够正常接收；
5.从测试仪表端口C向DUT环回地址以端口线速率发送ICMPEchoRequest数据包；6.停止步骤5中流量的发送，从测试仪表端口C向网络2中的某个IP地址以端口线速率发送ICMPEchoRequest数据包
预期结果：
1.在步5中，DUT 应对超量 ICMP报文进行丢弃或限速，记录攻击对背景流量的影响；2、在步骤6中，DUT应对超量ICMP报文进行丢弃或限速，记录攻击对背景流量的影响判定原则：
庞符合预期结果要求，否则为不合格，YD/T 1630-2007
测试编号：4
测试项目：SYNFlood攻击处理能力测试测试目的：检验DUT处理SYNFlood攻击的能力测试配置：测试环境2
测试过程：
1.按测试环境连接设备：
2.设定DUT在P层转发：
3测试仪表端口A和B分别与DUT交换路由信息，向DUT通告到网络1和网络2的路由；4从测试仪表端口A向网络2中的某个IP地址以小于端口速率的流量发送背景流量，并验证测试仪表端门B上流量能够正常接收；
S.从测试仪表端口C向网络2中的某个IP地址以端口剩余带宽发送TCPSYN数据包，数据包源地址为网络1中的某个地址：
6．停止步骤5中流基的发送，从测试仪表端口C向DUT的环同地址上已开放的端口以端口剩余带宽发送TCPSYN数据包，数据包源地址为网络1中的某个地址预期结果：
在步骤5和6中，DUT应对过量TCP SYN报文进行丢弃或进行降低优先级的排队处理，记录攻击对背景流量的影响
判定原则：
DUT可以对过量TCPSYN报文进行丢弃或进行降低优先级的排队处理，背景流的流量和时延应不会受到严重影响
HYYKADNYKAca
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。