YD T 3884-2021 以太网接入方式下源地址验证测试方法 多种地址分配方式共存场景.pdf

《YD T 3884-2021 以太网接入方式下源地址验证测试方法 多种地址分配方式共存场景.pdf》由会员分享，可在线阅读，更多相关《YD T 3884-2021 以太网接入方式下源地址验证测试方法 多种地址分配方式共存场景.pdf（10页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 33.040.40 M32 YD 中华人民共和国 通信 行业标准 YD/T xxxxxxxx 以太网接入方式下源地址验证测试方法 多种地址分配方式共存场景 Test method for equipments supporting source address validation with multiple co-exist address assignment 点击此处添加与国际标准一致性程度的标识 （报批稿） xxxx - XX - XX 发布 XXXX - XX - XX 实施 中 华 人 民 共 和 国 工 业 和 信 息 化 部 发 布 I 目 次 前言 .II 1 范围

2、.1 2 术语、定义和缩略语 .1 2.1 术语和定义 .1 2.2 缩略语 .2 3 系统功能测试拓扑 .2 4 多种地址分配方式共存场景测试方法 .2 4.1 SLAAC 和 DHCPv6 下对主机移动的支持（同一交换机下跨端口移动） .2 4.2 SLAAC 和 DHCPv6 下对主机移动的支持（跨交换机移动） .3 4.3 SLAAC 和 DHCPv6 下对拓扑变化的支持（交换机上连端口同一交换机下移动） .4 4.4 SLAAC 和 DHCPv6 下对拓扑变化的支持（交换机上连端口移动至另一交换机） .5 4.5 SLAAC 和 DHCPv6 下对交换机重启的支持 .6 4.6 SL

3、AAC 和 DHCPv6 下和现有地址冲突时绑定建立情况（同一交换机下） .7 4.7 SLAAC 和 DHCPv6 和现有地址冲突时绑定建立情况（跨交换机） .8 4.8 SLAAC 和 DHCPv6 下静态地址绑定情况 .9 II 前 言 本标准按照 GB/T1.1-2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位： 中国互联网络信息中心，清华大学 本标准主要起草人： 延志伟，傅瑜，毕军，王之梁 1 以太网接入方式下源地址验证测试方法 多种地址分配方式共存场景 1 范围 本标准

4、规定了以太网交换机接入方式下 ， 多种地址分配方式共存场景的源地址验证方案功能的测试 方法。 本标准适用于以太网交换机设备或集成了内容交换功能的网络设备的源地址验证功能的研制开发 、 技术引进和测试。 2 术语、定义和缩略语 2.1 术语和定义 下列术语和定义适用于本文件。 2.1.1 源地址验证 source address validation 在 IP报文路由寻址过程中，对其携带的源地址的有效性进行验证。 2.1.2 源地址验证改进 source address validation improvement 在主机接入交换机 /路由器下执行的源地址验证技术，将不允许主机假冒任意非合法分配

5、或配置的 地址。 2.2 缩略语 下列缩略语适用于本文件。 DHCP 动态主机配置协议 Dynamic Host Configuration Protocol ND 邻居发现协议 Neighbor Discovery SLAAC 无状态地址自动配置 Stateless Address Autoconfiguration 3 系统功能测试拓扑 系统功能测试拓扑图如图 1 所示： 2 图 1：系统功能测试拓扑图 其中 Host1 和 Host5 的操作系统为 windows vista， Host2 的操作系统为 windows xp， Host3 的操 作系统为 Linux， Host4 的操作

6、系统为 windows 7， Attacker 为安装有测试脚本的模拟主机。 4 多种地址分配方式共存场景测试方法 4.1 SLAAC 和 DHCPv6 下对主机移动的支持（同一交换机下跨端口移动） 测试项目 1. SLAAC 和 DHCPv6 下对主机移动的支持（同一交换机下跨端口移动） 预置条件 同一台交换机下： 主机 1 位于交换机 1 下， 启动 CPS 交换机 1 的 DHCPv6 snooping 功能和 IPv6 ND snooping 功能。 测试步骤 1. 在交换机 1 的 11 和 12 端口启用源地址检查功能； 2. 主机 1 连接至交换机 1 的 11 端口 ， 通过

7、SLAAC 获取到 IPv6 地址 a， 通 过 DHCPv6 获取到 IPv6 地址 b， 检查交换机 1 上是否为其建立了绑定 ； 3. 检测主机 1 是否可以使用地址 a 和 b 连接至网络； 4. 将主机 1 的网线从交换机 1 的端口 11 上拔下， 检查交换机 1 上的地址 绑定情况； Host 1 Vlan 1 Attacke r 1 Vlan 1 Attacke r 2 Vlan 1 CPS - Switch 1 Non - SAVI Switch 3 DHCPv 6 Server Host 2 Vlan 1 CPS - Switch 2 Host 5 Vlan 1 Attac

8、ke r 3 Vlan 2 Converge Switch Lay 3 Switch Host 3 Vlan 1 Host 4 Vlan 1 3 5. 将主机 1 的网线插到交换机 1 的端口 12 上， 检查交换机 1 上的地址绑 定情况； 6. 检测主机 1 是否可以使用地址 a 和 b 连接至网络。 7. 可选主机 2/3/4 替换主机 1 进行以上步骤 预期结果 步骤 1 中， 交换机 1 在端口 11 和端口 12 上开启了源地址检查功能； 步骤 2 中， 交换机 1 在端口 11 上为主机 1 的地址 a 建立了绑定； 步骤 3 中， 主机 1 以 a 和 b 为源地址可以 Pin

9、g 通 DHCP 服务器； 步骤 4 中 ， 交换机 1 删除了在端口 11 上为主机 1 的地址 a 和 b 建立的绑 定； 步骤 5 中， 交换机 1 在端口 12 上为主机 1 的地址 a 和 b 建立了绑定； 步骤 6 中， 主机 1 以 a 和 b 为源地址可以 Ping 通 DHCP 服务器； 4.2 SLAAC 和 DHCPv6 下对主机移动的支持（跨交换机移动） 测试项目 2. SLAAC 和 DHCPv6 下对主机移动的支持（跨交换机移动） 预置条件 在两台交换机下 ： 主机 1 位于交换机 1 下 ， 主机 5 位于交换机 2 下 。 启动 CPS 交换机 1 和 2 的

10、DHCPv6 snooping 功能和 IPv6 ND snooping 功能。 测试步骤 1. 在交换机 1 的 12 端口、 交换机 2 的 12 端口启用源地址检查功能； 2. 主机 1 连接至交换机 1 的 12 端口 ， 通过 SLAAC 获取到 IPv6 地址 a， 通 过 DHCPv6 获取到 IPv6 地址 b， 检查交换机 1 上是否为其建立了绑定 ； 3. 检测主机 1 是否可以使用地址 a 和 b 连接至网络； 4. 将主机 1 的网线从交换机 1 的端口 12 上拔下， 检查交换机 1 上的地址 绑定情况； 5. 将主机 1 的网线插到交换机 2 的端口 12 上， 检

11、查交换机 2 上的地址绑 定情况； 6. 检测主机 1 是否可以使用地址 a 和 b 连接至网络； 7. 可选主机 2/3/4 替换主机 1 进行以上步骤。 预期结果 步骤 1 中， 交换机 1 的端口 12 和交换机 2 的端口 12 上开启了源地址检 查功能； 步骤 2 中， 交换机 1 在端口 12 上为主机 1 的地址 a 和 b 建立了绑定； 步骤 3 中， 主机 1 以 a 和 b 为源地址可以 Ping 通 DHCP 服务器； 步骤 4 中， 交换机 1 删除了在端口 12 上为主机 1 的地址 a 建立的绑定 ； 4 步骤 5 中， 交换机 2 在端口 12 上为主机 1 的地

12、址 a 和 b 建立了绑定； 步骤 6 中， 主机 1 以 a 和 b 为源地址可以 Ping 通 DHCP 服务器； 4.3 SLAAC 和 DHCPv6 下对拓扑变化的支持（交换机上连端口同一交换机下移动） 测试项目 3. SLAAC 和 DHCPv6 下对拓扑变化的支持 （交换机上连端口同一交换机下 移动） 预置条件 主机 1 位于交换机 1 下， 启动 CPS 交换机 1 的 DHCPv6 snooping 功能和 IPv6 ND snooping 功能。 测试步骤 1. 在交换机 1 的 12 端口启用源地址检查功能； 2. 主机 1 连接至交换机 1 的 12 端口 ， 通过 SL

13、AAC 获取到 IPv6 地址 a， 通 过 DHCPv6 获取到 IPv6 地址 b， 检查交换机 1 上是否为其建立了绑定 ； 3. 检测主机 1 是否可以使用地址 a 和 b 连接至网络； 4. 将交换机 1 的上连网线从汇聚交换机的当前端口上拔下 ， 检查交换机 1 上的地址绑定情况； 5. 将交换机 1 的上连网线插到汇聚交换机的另一端口上 ， 检查交换机 1 上 的地址绑定情况； 6. 检测主机 1 是否可以使用地址 a 和 b 连接至网络； 7. 可选主机 2/3/4 替换主机 1 进行以上步骤。 预期结果 步骤 1 中， 交换机 1 的端口 12 上开启了源地址检查功能； 步骤

14、 2 中， 交换机 1 在端口 12 上为主机 1 的地址 a 和 b 建立了绑定； 步骤 3 中， 主机 1 以 a 和 b 为源地址可以 Ping 通 DHCP 服务器； 步骤 4 中， 交换机 1 保留了在端口 12 上为主机 1 的地址 a 建立的绑定 ； 步骤 5 中， 交换机 1 保留了在端口 12 上为主机 1 的地址 a 建立的绑定 ； 步骤 6 中， 主机 1 以 a 和 b 为源地址可以 Ping 通 DHCP 服务器； 4.4 SLAAC 和 DHCPv6 下对拓扑变化的支持（交换机上连端口移动至另一交换机） 测试项目 4. SLAAC 和 DHCPv6 下对拓扑变化的支

15、持 （交换机上连端口移动至另一交 换机） 预置条件 主机 1 位于交换机 1 下， 启动 CPS 交换机 1 的 DHCPv6 snooping 功能和 5 IPv6 ND snooping 功能。 测试步骤 1. 在交换机 1 的 12 端口启用源地址检查功能； 2. 主机 1 连接至交换机 1 的 12 端口 ， 通过 SLAAC 获取到 IPv6 地址 a， 通 过 DHCPv6 获取到 IPv6 地址 b， 检查交换机 1 上是否为其建立了绑定 ； 3. 检测主机 1 是否可以使用地址 a 和 b 连接至网络； 4. 将交换机 1 的上连网线从汇聚交换机的当前端口上拔下 ， 检查交换机

16、 1 上的地址绑定情况； 5. 将交换机 1 的上连网线插到交换机 2 的未启用源地址检查功能的端口 上， 检查交换机 1 上的地址绑定情况； 6. 检测主机 1 是否可以使用地址 a 和 b 连接至网络； 7. 可选主机 2/3/4 替换主机 1 进行以上步骤。 预期结果 步骤 1 中， 交换机 1 的端口 12 上开启了源地址检查功能； 步骤 2 中， 交换机 1 在端口 12 上为主机 1 的地址 a 和 b 建立了绑定； 步骤 3 中， 主机 1 以 a 和 b 为源地址可以 Ping 通 DHCP 服务器； 步骤 4 中 ， 交换机 1 保留了在端口 12 上为主机 1 的地址 a

17、和 b 建立的绑 定； 步骤 5 中 ， 交换机 1 保留了在端口 12 上为主机 1 的地址 a 和 b 建立的绑 定； 步骤 6 中， 主机 1 以 a 和 b 为源地址可以 Ping 通 DHCP 服务器； 4.5 SLAAC 和 DHCPv6 下对交换机重启的支持 测试项目 5. SLAAC 和 DHCPv6 下对交换机重启的支持 预置条件 主机 1 位于交换机 1 下， 启动 CPS 交换机 1 的 DHCPv6 snooping 功能 和 IPv6 ND snooping 功能。 测试步骤 1. 在交换机 1 的 12 端口启用源地址检查功能； 2. 主机 1 连接至交换机 1 的

18、 12 端口， 通过 SLAAC 获取到 IPv6 地址 a， 通 过 DHCPv6 获取到 IPv6 地址 b， 检查交换机 1 上是否为其建立了绑定； 3. 检测主机 1 是否可以使用地址 a 和 b 连接至网络； 4. 保存交换机 1 的当前配置， 重启交换机 1； 5. 交换机 1 重启完成后检查交换机 1 上的地址绑定情况； 6. 检测主机 1 是否可以使用地址 a 和 b 连接至网络； 6 7. 可选主机 2/3/4 替换主机 1 进行以上步骤。 预期结果 步骤 1 可以用申请到的地址上网； 步骤 2 可以用申请到的地址上网； 步骤 3 可以用申请到的地址上网； 步骤 4 可以用申

19、请到的地址上网； 步骤 5 主机 1 假冒 B1 不能上网； 步骤 6 主机 1 假冒 B2 不能上网； 4.6 SLAAC 和 DHCPv6 下和现有地址冲突时绑定建立情况（同一交换机下） 测试项目 6. SLAAC 和 DHCPv6 下和现有地址冲突时绑定建立情况（同一交换机下 ） 预置条件 同一台交换机下： 主机 1 位于交换机 1 下， 主机 4 位于交换机 1 下， 启动 SAVI 交换机 1 的 DHCPv6 snooping 功能和 IPv6 ND snooping 功能。 测试步骤 1. 主机 1 做 ND 过程，设 获得一个 ND 地址 A1； 2. 主机 4 做 ND 过程

20、，设 获得一个 ND 地址 B1； 3. 主机 1 获取 一个 DHCPv6 地址 A2； 4. 主机 4 获取 一个 DHCPv6 地址 B2； 5. 主机 1 假冒 B1； 6. 主机 1 假冒 B2； 预期结果 步骤 1 中， 交换机 1 的端口 12 上开启了源地址检查功能； 步骤 2 中， 交换机 1 在端口 12 上为主机 1 的地址 a 建立了绑定； 步骤 3 中， 主机 1 以 a 和 b 为源地址可以 Ping 通 DHCP 服务器； 步骤 5 中， 交换机 1 建立了在端口 12 上为主机 1 的地址 a 建立的绑定 ； 步骤 6 中， 主机 1 以 a 和 b 为源地址可

21、以 Ping 通 DHCP 服务器； 4.7 SLAAC 和 DHCPv6 和现有地址冲突时绑定建立情况（跨交换机） 测试项目 7. SLAAC 和 DHCPv6 和现有地址冲突时绑定建立情况（跨交换机） 预置条件 在两台交换机下： 主机 1 位于交换机 1 下， 主机 5 位于交换机 2 下。 启动 SAVI 交换机 1 和 2 的 DHCPv6 snooping 功能和 IPv6 ND snooping 功能。 测试步骤 1. 将主机 1 接入交换机 1，分别获取； 7 2. 主机 5 做 ND 过程，设 获得一个 ND 地址 B1； 3. 主机 1 获取 一个 DHCPv6 地址 A2；

22、 4. 主机 5 获取 一个 DHCPv6 地址 B2； 5. 主机 1 假冒 B1； 6. 主机 1 假冒 B2； 预期结果 1) 步骤 1 可以用申请到的地址上网； 2) 步骤 2 可以用申请到的地址上网； 3) 步骤 3 可以用申请到的地址上网； 4) 步骤 4 可以用申请到的地址上网； 5) 步骤 5 主机 1 假冒 B1 不能上网； 6) 步骤 6 主机 1 假冒 B2 不能上网。 4.8 SLAAC 和 DHCPv6 下静态地址绑定情况 测试项目 8. SLAAC 和 DHCPv6 下 静态地址绑定情况 预置条件 测试步骤 1. 在交换机的 A 端口 开启源地址检查功能 ； 2. 启动 CPS 交换机 1 的 IPv6 ND snooping 和 DHCPv6 snooping； 3. 将主机 1 连接到交换机 1 的 A 端口， 手工为主机 1 添加地址 2001:3； 4. 在交换机上使用 ACL 手工建立 A 端口与地址 2001:3 的绑定 5. 显示手工建立的绑定； 6. 检验该地址是否可以通讯； 预期结果 第 5 步绑定表中能够显示出主机 1 绑定的地址 。 第 6 步 主机 1 应能以 2001:3 为源地址 ping 通路由器 。 _