《IPv6试点测试报告V3.0.doc》由会员分享,可在线阅读,更多相关《IPv6试点测试报告V3.0.doc(26页珍藏版)》请在三一办公上搜索。
1、IPv6试点测试方案(2011.10)目 录1项目背景信息22 测试目的33 测试准备33.1 现网网络拓扑结构33.2 相关设备配置准备44 测试项目54.1 IPv6基础协议测试54.1.1 ND协议DAD功能测试54.1.2 ND协议SLAAC功能测试64.2 IPv6路由功能测试84.2.1 静态路由有效性84.2.2 OSPFv3路由协议有效性94.2.3 ISISv6路由协议有效性104.2.4 策略路由有效性124.3 IPv6过渡功能测试134.3.1 6PE隧道有效性134.4 IPv6接入功能测试144.4.1 双栈PPPoE接入有效性144.4.2 双栈静态接入有效性16
2、4.4.3 双栈DHCP接入有效性164.5 安全功能测试184.5.1 IPv4到IPv6过渡双栈功能测试194.5.2 IPv6 域间包过滤功能测试204.5.3SYN Flood攻击防御功能测试214.5.4SYN-ACK Flood攻击防御功能测试224.5.5UDP Flood攻击防御功能测试234.5.6ICMP Flood攻击防御功能测试244.5.7DNS Flood攻击防御功能测试244.5.8混合攻击防御功能测试254.6 其他安全功能测试261 项目背景信息由于历史的原因,中国在IPv4的发展中处于后进的状态,在国际上发言权不多,导致在IP地址的供需上严重失衡。截止200
3、2年8月,拥有13亿人口的中国,只有大约2502万个IP地址,B类地址不足200个,A类地址一个都没有(数据来源:来自ARIN 和APNIC互联网地址分配机构APNIC(亚洲/大洋州),ARIN(北美/南美)。不言而喻,中国应该是全球最需要IP地址的国家之一。同时,中国作为一个互联网和移动通信大国,理应要在下一代互联网标准和资源分配中力争更大的发言权。对中国而言,IPv6的发展将给我们带来巨大机遇。作为互联网和移动通信大国,基于IPv6的互联网将在我国从基础设施、服务与应用、媒体与内容、设备制造等层面形成新的巨大产业,拉动经济的发展。从全局观点看,IPv6也许是比3G更为重要的一次机遇。为推动
4、国内IPv6研究和产业的发展,原国家计委于2002年6月启动了“关于下一代互联网中日IPv6合作项目”,并正在研究和推动与欧洲在IPv6方面的合作。2003年发展改革委会同有关部门组织进行中国下一代互联网战略研究,并准备安排“中国下一代互联网示范工程CNGI”大型项目。 在这个面临IPV6的时代的大背景下,绵阳移动积极响应集团号召,考虑针对CMNET相关业务进行IPv6试点。本次试点基于使用数通设备组建的联合实验室平台进行,试点内容主要着眼于Pv6和IPv4之间的转换技术进行探索试验。2 测试目的通过搭建IPv6城域网实验网络,对双栈过渡方式进行测试,完善技术方案,总结在商业环境中的应用建议,
5、为后续IPv6商用奠定基础.具体研究内容包括:(1) 制定绵阳IPv6实验网络方案,完成移动集团公司IPv6接入规范技术建议研究;(2) 搭建试验基础网络,测试评估IPv6/IPv4地址规划,路由规划,双栈网络管理,用户认证方案,安全部署等.(3) 能够解决搭建网络测试环境中现有IPv6的基本的网络攻击。3 测试准备3.1 现网网络拓扑结构绵阳移动现网拓扑图测试执行时间与地点2011年10月14日-10月22日, 绵阳移动园艺机房,绵阳移动高水机房华为公司测试执行人成都代表处 网络产品部曾念波 技术服务部朱嘉移动公司测试督导人绵阳移动传输数据中心冯杰注:本次测试在现网拓扑结构基础上选择部分设备
6、以及新增设备共同进行。3.2 相关设备配置准备设备类型设备型号设备版本数量业务板卡板卡型号板卡用途BRAS(被测对象)ME60(带基本配置)配LNS LicenseV100R006升级至V600R0022BSUF-21母卡ME0MBSUF2120插入子卡10*GE(o)子卡ME0M0EAGFE20下行接入10*GE(o)子卡ME0M0EAGFE20上接CRRouter(配合设备)NE40E(带基本配置)V100R006升级至V600R0012LPUF-21母卡CR52-LPUF-21插入子卡10*GE(o)子卡CR52EAGFE0下接BRASLSW(配合设备)S3328C-EI-24SV100
7、R005224*GE(o)接口以太网汇聚PC(配合设备)HP EliteBook6930P(便携)Windows7(原配OS)2模拟双栈客户端与服务器端4 测试项目4.1 IPv6基础协议测试4.1.1 ND协议DAD功能测试测试目的重复地址检测(DAD)功能验证测试组网测试过程(1)在设备和PC相连的接口上使能IPV6,把相同的IPv6地址(如2001:1/64)配置到直接互联的被测设备端口;(2)手动配置互连接口的link-local地址,将两端地址配置一致(3)显示被测接口的接口状态,检查接口信息及log信息等预期结果后配置IPv6地址的一端,显示地址重复(后配置的link-local地
8、址,在接口下显示地址冲突)测试结果与预期结果一致测试结论重复地址检测(DAD)功能验证通过测试备注相关测试配置如下:【NE40E配置1】:interface Eth-Trunk2 description TO-SCMIY-CMIMS-CE01-HWNE40E-Eth-trunk2-2*GE ipv6 enable ip address 218.200.162.198 255.255.255.252 ipv6 address 2011:1400:2/56【NE40E配置2】:interface Eth-Trunk2 description TO-SCMIY-CMIMS-CE02-HWNE40E-
9、Eth-trunk2-2*GE ipv6 enable ip address 218.200.162.197 255.255.255.252 ipv6 address 2011:1400:2/56 结果显示附件:测试人员绵阳移动:冯杰 华为公司:朱嘉4.1.2 ND协议SLAAC功能测试测试目的测试被测设备的无状态地址自动配置功能测试组网测试过程(1)被测设备接口启用IPv6,并采用ND方式为终端下发前缀;(2)终端通过交换机接入网络设备,检查终端是否正确获得IPv6前缀,并能否ping通被测设备;抓包记录终端设备与网络设备之间的协议交互过程预期结果终端能够正常获取IPV6前缀并能正确生成地址
10、,且能够正常能够ping通网关设备测试结果与预期结果一致测试结论被测设备的无状态地址自动配置功能成功测试备注相关测试配置如下:【ME60】:ipv6 #ipv6 prefix ipv6test local prefix 2010:/56#ipv6 pool ipv6test bas local prefix ipv6test#aaa#domain ipv6test authentication-scheme default0 accounting-scheme default0 ipv6-pool ipv6test #interface GigabitEthernet1.4003 undo s
11、hutdown# interface eth-trunk 1.4003 ipv6 enable ipv6 address auto link-local user-vlan 4002bas # access-type layer2-subscriber default-domain authentication ipv6test authentication-method-ipv6 bind结果显示附件:测试人员绵阳移动:冯杰 华为公司:朱嘉4.2 IPv6路由功能测试4.2.1 静态路由有效性测试目的(1)IPv6地址使用的有效性;(2)IPv6静态路由的有效性测试组网测试过程(1)双栈节点
12、使能IPv6,配置各互联链路两端IPv6地址;(2)配置各节点IPv6静态路由并指定IPv6缺省路由,配置原则是PE节点(BRAS)的IPv6缺省路由指向最近的P节点(城域CR),2个P节点缺省路由互相指向对端;(3)查看各节点配置IPv6地址的端口状态和各节点IPv6路由表;(4)各节点间互相进行IPv6 Ping测试.预期结果各节点IPv6地址可以互相Ping通,测试结果与预期结果一致测试结论(1)IPv6地址使用有效;(2)IPv6静态路由有效测试备注测试人员绵阳移动:冯杰 华为公司:朱嘉4.2.2 OSPFv3路由协议有效性测试目的(1)测试OSPFv3的基本功能;(2)测试OSPFv
13、3的Stub和NSSA区域特性;(3)测试Cost、Preference属性;(4)测试最大等价路由条数;(5)测试引入外部路由和路由过滤;(6)测试OSPFv3安全特性;(7)测试OSPFv3 GR.测试组网测试过程(1)双栈节点使能IPv6,配置各互联链路两端IPv6地址;(2)配置各节点启动OSPFv3,并在接口上使能OSPFv3,配置CR节点为Area0;(3)配置ME60节点为STUB Area,设置Default-cost,查看其OSPFv3路由表和IPv6路由表;(4)配置ME60节点为NSSA Area,在ME60节点将IPv6 静态路由引入OSPFv3,通过IPv6-pref
14、ix过滤器配置路由过滤策略,允许发布2011:/64地址,禁止发布2012:/64地址.查看各节点学习到该段IPv6 静态路由是否正确;(5)配置ME60节点为Area0,ME60节点配置最大负载均衡2,查看该节点OSPFv3路由表(6)在ME60节点引入直连路由,并过滤部分引入的路由.查看各节点学习到的引入路由;(7)配置ME60节点为Area2并作区域认证,配置为Area3并 接口认证.在口令一致和不一致情况下查看OSPFv3 Peer建立情况;(8)重启个别节点OSPFv3进程,查看该节点OSPFv3 Peer和OSPFv3路由表.然后再全局使能OSPFv3 GR,重启个别节点查看该节点
15、OSPFv3 Peer和IPv6 FIB表,预期结果(1)各节点IPv6地址可以互相Ping通;(2)Stub Area可以学习到缺省路由,缺省路由Cost为配置的Default-Cost;(3)NSSA area可以学习到缺省路由,并能将引入的外部路由发布出去;(4)ME60节点上行流量正常(5)各节点(除Stub Area和NSSA Area场景)可以学习到引入的外部路由;(6)配置验证的Area和接口,口令一致的情况下才能建立OSPFv3 Peer;(7)使能OSPFv3 GR之前,重启高水ME60 OSPFv3进程,OSPFv3 Peer断开,IPv6 FIB表路由丢失;使能OSPFv
16、3 GR后重启高水ME60 OSPFv3进程,OSPFv3 Peer断开,IPv6 FIB表项不受影响.测试结果与预期结果一致测试结论除配置验证的Area和接口,口令一致的情况下才能建立OSPFv3 Peer因目前设备版本原因以外,其余测试满足OSPF V3的各项功能测试备注测试人员绵阳移动:冯杰 华为公司:朱嘉4.2.3 ISISv6路由协议有效性测试目的(1)测试ISIS的IPv6基本功能;(2)测试Level1、Level2和Level-1-2;(3)测试level1和level2之间路由渗透;(4)测试引入外部IPv6路由;(5)测试IPv6路由过滤.测试组网测试过程(1)双栈节点使能
17、IPv6,配置各互联链路两端IPv6地址;(2)各节点使能IS-IS路由协议,配置进程号,网络实体名,Level,并在接口下使能IS-IS进程;(3)配置CR节点为Level-2,ME60节点为Level-1-2,另一ME60节点为Level-1,查看各节点ISISv6路由表和IPv6路由表;(4)配置CR节点发布level-2 IPv6缺省路由,并配置缺省Cost.查看其它节点是否学习到指向P节点的IPv6缺省路由及IPv6缺省路由Cost;(5)配置CR节点引入直连IPv6路由,查看各节点是否学习到该节点引入的直连路由;(6)配置ME60节点上将Level-2的IPv6路由引入Level-
18、1,并配置路由过滤,查看另一ME60节点是否学习到Level-2路由.预期结果(1)各节点可以IPv6 ping通;(2)各节点可以学习到CR节点发布的缺省路由;(3)各节点可以学习到CR节点引入的直连路由;(4)ME60节点可学到另一ME60节点引入到Level-1的Level-2路由,配置路由过滤生效.测试结果与预期结果一致测试结论满足ISISV6的各项功能测试备注相关测试配置如下:【NE40E-1】:isis 1 is-level level-2 network-entity 11.1111.1111.1111.00 # ipv6 enable topology ipv6 ipv6 de
19、fault-route-advertise always ipv6 import-route direct tag 100 #interface Eth-TRUANK 2 undo shutdown ipv6 enable ip address 11.1.1.1 255.255.255.0 ipv6 address 2010:1:1:1/56 isis ipv6 enable 1B:【NE40E-1】:isis 1 is-level level-2 network-entity 22.2222.2222.2222.00 # ipv6 enable topology ipv6 ipv6 impo
20、rt-route isis level-2 into level-1 filter-policy route-policy POLICY #interface Eth-TRUANK 2 undo shutdown ipv6 enable ip address 11.1.1.2 255.255.255.0 ipv6 address 2010:1:1:2/56 isis ipv6 enable 1#测试人员绵阳移动:冯杰 华为公司:朱嘉4.2.4 策略路由有效性测试目的(1)ACLv6有效性;(2)策略路由有效性测试组网测试过程(1)ME60和另一ME60节点作为PE使能IPv6,并配置互联链路的
21、IPv6地址;(2)测试PC使能IPv6并配置IPv6地址;(3)在测试用PC和2台PE之间使能OSPFv3路由协议 ,查看ME60的IPv6路由表,并Ping IPv6测试PC的地址1和地址2地址。(4)在ME60上配置策略路由,配置策略路由拒绝来自另一ME60的流量预期结果(1)配置策略路由前,ME60和另一ME60可ping IPv6通测试用地址;(2)配置策略路由后, ME60可Ping IPv6通测试用自身测试PC地址,但无法ping IPv6通l另一ME60测试地址,,反之亦然。测试结果与预期结果一致测试结论(1)ACLv6有效;(2)策略路由有效测试备注测试人员绵阳移动:冯杰 华
22、为公司:朱嘉4.3 IPv6过渡功能测试4.3.1 6PE隧道有效性测试目的(1)测试6PE隧道的有效性;(2)测试6PE隧道和OSPFv3路由协议结合的有效性测试组网测试过程(1)园艺ME60和高水ME60节点作为PE使能IPv6,并配置互联链路的IPv6地址;(2)园艺ME60,高水ME60节点和CR(A),CR(B)节点间使能ISIS路由协议并使能MPLS;(3)各双栈PE节点和IPv4 P节点建立MPLS IBGP IPv4Peer,两个P节点作RR;(4)2台测试用CE节点分别园艺ME60,高水ME60节点间运行OSPFv3路由协议;(5)园艺ME60,高水ME60节点分别启动6PE
23、功能,将OSPFv3路由引入BGP IPv6路由表.预期结果园艺ME60和高水ME60之间建立6PE隧道,并且可以互相学习到对方IPv6的路由测试结果与预期结果一致测试结论(1)测试6PE隧道的有效;(2)测试6PE隧道和OSPFv3路由协议结合有效测试备注测试人员绵阳移动:冯杰 华为公司:朱嘉4.4 IPv6接入功能测试4.4.1 双栈PPPoE接入有效性测试目的双栈PPPoE上线的有效性测试组网测试过程(1)全局使能IPv6,配置IPv6节点互联链路的IPv6地址及相应的IPv6路由设置;(2)高水ME60节点配置静态用户上线,包含地址池,认证域,上线端口,静态地址绑定,WIN7服务器采用
24、不认证不计费方式静态双栈地址上线,WIN7服务器开启WEB和FTP服务;(3)园艺ME60节点配置PPPoE用户上线,配置地址池,认证模板,计费模板,认证域,BAS端口和本地帐户等信息.配置园艺ME60下挂S9312交换机透传用户VLAN;(4)在WIN7客户端上进行PPPoE双栈上线测试,上线成功后访问WIN7服务器WEB和FTP服务.预期结果用户PPPoE双栈上线成功,同时获取IPv4和IPv6地址,可以正常访问服务器WEB和FTP服务.测试结果与预期结果一致测试结论双栈PPPoE上线有效测试备注【ME60】# ipv6#interface Virtual-Template5 ppp au
25、thentication-mode pap#ip pool ipv4test bas local gateway 1.1.1.1 255.255.255.0 section 0 1.1.1.2 1.1.1.10#ipv6 prefix ipv6test local prefix 2010:/56#ipv6 pool ipv6test bas local prefix ipv6test#aaa #domain test _pppoe authentication-scheme default0 accounting-scheme default0 ip-pool ipv4test ipv6-po
26、ol ipv6test#interface eth-trunk 1.4003pppoe-server bind Virtual-Template 5ipv6 enable ipv6 address auto link-local user-vlan 4002 bas # access-type layer2-subscriber default-domain authentication test _pppoe#测试人员绵阳移动:冯杰 华为公司:朱嘉4.4.2 双栈静态接入有效性测试目的双栈静态上线的有效性测试组网测试过程(1)全局使能IPv6,配置IPv6节点互联链路的IPv6地址及相应的I
27、Pv6路由设置;(2)高水ME60节点配置静态用户上线,包含地址池,认证域,上线端口,静态地址绑定,WIN7服务器采用不认证不计费方式静态双栈地址上线,WIN7服务器开启WEB和FTP服务;(3)园艺ME60节点配置静态用户上线,配置地址池,认证模板,计费模板,认证域,BAS端口和本地帐户等信息.配置园艺ME60下挂S9312交换机透传用户VLAN;(4)在WIN7客户端上进行静态双栈上线测试,上线成功后访问WIN7服务器WEB和FTP服务.预期结果用户静态IPv4和IPv6地址双栈上线成功,可以正常访问服务器WEB和FTP服务.测试结果该测试版本需要在V6R3C05版本才支持测试结论该测试版
28、本需要在V6R3C05版本才支持测试备注后续计划测试完成测试人员绵阳移动:冯杰 华为公司:朱嘉4.4.3 双栈DHCP接入有效性测试目的双栈DHCP上线的有效性测试组网测试过程(1)全局使能IPv6,配置IPv6节点互联链路的IPv6地址及相应的IPv6路由设置;(2)高水ME60节点配置静态用户上线,包含地址池,认证域,上线端口,静态地址绑定,WIN7服务器采用不认证不计费方式静态双栈地址上线,WIN7服务器开启WEB和FTP服务;(3)园艺ME60节点配置DHCP双栈用户上线,配置地址池,认证模板,计费模板,认证域,BAS端口和本地帐户等信息.配置园艺ME60下挂S9312交换机透传用户V
29、LAN;(4)WIN7客户端自动获取双栈地址上线测试,上线成功后访问WIN7服务器WEB和FTP服务.预期结果用户DHCP地址双栈上线成功,同时获得IPv4和IPv6地址,可以正常访问服务器WEB和FTP服务.测试结果与预期结果一致测试结论双栈DHCP上线的有效测试备注【ME60】 ipv6# dhcpv6 duid llt#ip pool ipv4test bas local gateway 1.1.1.1 255.255.255.0 section 0 1.1.1.2 3.3.3.10#ipv6 prefix ipv4test local prefix 2010:/56#ipv6 pool
30、 ipv6test bas local prefix ipv6test#aaa #domain test_dhcp authentication-scheme default0 accounting-scheme default0 ip-pool ipv4test ipv6-pool ipv6test #interface eth-trunk 1.4003 undo shutdown ipv6 enable ipv6 address auto link-local ipv6 nd autoconfig managed-address-flag ipv6 nd autoconfig other-
31、flag bas access-type layer2-subscriber default-domain authentication test_dhcp authentication-method-ipv6 bind authentication-method bind测试人员绵阳移动:冯杰 华为公司:朱嘉4.5 安全功能测试注意:本次涉及的安全测试,组网略有区别,具体如下:测试组网环境测试组网环境说明:在测试组网中,MSCG(ME60)网元将流量引流到E8080E上进行安全性检查,处理完后将报文回注到ME60。在ME60上通过策略路由回注正常流量到内网。内网发向外网流量保持原有路径不变。
32、4.5.1 IPv4到IPv6过渡双栈功能测试测试项目IPv4到IPv6过渡双栈功能测试测试目的过渡技术中最主要的方案是IPv4和IPv6协议栈共存,本测试在于考察清洗设备处理IPv4/IPv6数据包的能力测试组网详见组网图预置条件1. 根据网络拓扑图搭建测试环境;2. 清洗设备工作在路由模式;3. 正确配置PC和Server的IPv4和IPv6地址、缺省网关;4. Server上安装支持双栈的HTTP/FTP服务程序测试步骤正确配置PC、清洗设备、Server上的IPv4和IPv6地址1、 配置PC和Server的IPv4和IPv6缺省网关;2、在PC上分别ping server上的IPv4
33、和IPv6地址,有结果13、在PC上分别使用IPv4和IPv6的方式使用web方式访问Server上的http服务,有结果2在PC上使用IPv4和IPv6的方式使用FTP下载Server上是文件,有结果3预期结果1、使用IPv4/IPv6方式均能ping成功2、使用IPv4/IPv6方式均能访问Web页面成功3、使用IPv4/IPv6方式均能FTP下载成功测试结果 通过 o 部分通过 o 未通过 o 未测试备 注测试人员绵阳移动:冯杰 华为公司:朱嘉4.5.2 IPv6 域间包过滤功能测试测试项目IPv6域间包过滤功能测试测试目的测试设备对域间包过滤功能的支持能力测试组网详见组网图预置条件1、
34、根据网络拓扑图搭建测试环境;2、清洗设备工作在路由模式;3、正确配置清洗设备、PC和Server的IPv6地址、缺省网关。4、PC能正常访问Server。测试步骤1、设置被测设备接口的ipv6地址,将接口1和接口2加入不同的清洗设备域。2、PC和Server配置ipv6地址,通过PC访问Server,在清洗设备上配置ipv6 ACL,将规则应用到清洗设备的域间,拒绝PC对Server的ipv6流量访问。acl ipv6 number 3000 rule 0 deny ipv6 source 2000:10/128 destination 3000:10/128 rule 1 permit ip
35、v6 firewall interzone trust untrust packet-filter ipv6 3000 inbound 3、通过访问情况,验证域间包过滤规则是否生效。预期结果命中域间规则的流量不能通过。测试结果 通过 o 部分通过 o 未通过 o 未测试备 注签字确认测试人员绵阳移动:冯杰 华为公司:朱嘉1.2.3.4.4.54.5.3 SYN Flood攻击防御功能测试测试项目SYN Flood攻击防御功能测试测试组网详见组网图预置条件1、根据基本组网图完成测试组网、并运行正常。2、服务器上开启WEB服务器功能;通过客户端IE访问 WEB服务器的网页,可以正常访问。3、服务器
36、上开启FTP服务器功能,通过客户端能正常下载。测试步骤1、关闭清洗系统的IPv6 SYN Flood攻击防御功能;2、使用攻击流量测试仪对目标WEB服务器进行IPv6协议的SYN Flood攻击;3、使用客户端访问WEB服务器的网页;通过FTP下载文件,出现结果1;4、打开清洗设备的IPv6 SYN Flood攻击防御功能; ddos-zone name huaweitest zone-id 1010 ipv6 address 3000: 96 anti-ddos syn-flood source-detect 5、使用客户端重新访问WEB服务器的网页;FTP重新下载文件,出现结果2。预期结果
37、结果1:此时网页应无法访问或者访问延迟很大,FTP无法下载或下载速率很低。结果2:客户端可以正常访问WEB页面,FTP下载正常,文件能正常打开,Server端无攻击报文透过。测试结果 通过 o 部分通过 o 未通过 o 未测试备 注测试人员绵阳移动:冯杰 华为公司:朱嘉4.5.4 SYN-ACK Flood攻击防御功能测试测试项目SYN-ACK Flood攻击防御功能测试测试组网详见组网图预置条件1、根据基本组网图完成测试组网、并运行正常。2、服务器上开启WEB服务器功能;通过客户端IE访问 WEB服务器的网页,可以正常访问。3、服务器上开启FTP服务器功能,通过客户端能正常下载。测试步骤1、
38、关闭清洗系统的IPv6 SYN-ACK Flood攻击防御功能;2、使用攻击流量测试仪对目标WEB服务器进行IPv6协议的SYN-ACK Flood攻击;3、使用客户端访问WEB服务器的网页;通过FTP下载文件,出现结果1;4、打开清洗设备的IPv6 SYN-ACK Flood攻击防御功能;ddos-zone name huaweitest zone-id 1010 ipv6 address 3000: 96 anti-ddos syn-ack-flood source-detect 5、使用客户端重新访问WEB服务器的网页;FTP重新下载文件,出现结果2。预期结果结果1:此时网页应无法访问或
39、者访问延迟很大,FTP无法下载或下载速率很低。结果2:客户端可以正常访问WEB页面,FTP下载正常,文件能正常打开,Server端没有攻击报文透过。测试结果 通过 o 部分通过 o 未通过 o 未测试备 注测试人员绵阳移动:冯杰 华为公司:朱嘉4.5.5 UDP Flood攻击防御功能测试测试项目UDP Flood攻击防御功能测试测试组网详见组网图预置条件1、根据基本组网图完成测试组网、并运行正常。2、服务器上开启WEB服务器功能;通过客户端IE访问 WEB服务器的网页,可以正常访问。3、服务器上开启FTP服务器功能,通过客户端能正常下载。测试步骤1、关闭清洗系统的IPv6 UDP Flood
40、攻击防御功能;2、使用攻击流量测试仪对目标WEB服务器进行IPv6协议的UDP Flood攻击;3、使用客户端访问WEB服务器的网页;通过FTP下载文件,出现结果1;4、打开清洗设备的IPv6 UDP Flood攻击防御功能;ddos-zone name huaweitest zone-id 1010 ipv6 address 3000: 96 anti-ddos udp-flood fingerprint-learn 5、使用客户端重新访问WEB服务器的网页;FTP重新下载文件,出现结果2。预期结果结果1:此时网页应无法访问或者访问延迟很大,FTP无法下载或下载速率很低。结果2:客户端可以正
41、常访问WEB页面,FTP下载正常,文件能正常打开,Server端没有攻击报文透过。测试结果 通过 o 部分通过 o 未通过 o 未测试备 注测试人员绵阳移动:冯杰 华为公司:朱嘉4.5.6 ICMP Flood攻击防御功能测试测试项目ICMP Flood攻击防御功能测试测试组网详见组网图预置条件1、根据基本组网图完成测试组网、并运行正常。2、服务器上开启WEB服务器功能;通过客户端IE访问 WEB服务器的网页,可以正常访问。3、服务器上开启FTP服务器功能,通过客户端能正常下载。测试步骤1、关闭清洗系统的IPv6 ICMP Flood攻击防御功能;2、使用攻击流量测试仪对目标WEB服务器进行I
42、Pv6协议的ICMP Flood攻击;3、使用客户端访问WEB服务器的网页;通过FTP下载文件,出现结果1;4、打开清洗设备的IPv6 ICMP Flood攻击防御功能; ddos-zone name huaweitest zone-id 1010 ipv6 address 3000: 96 bandwidth-limit destination-ip type icmp max-speed 10 5、使用客户端重新访问WEB服务器的网页;FTP重新下载文件,出现结果2。预期结果结果1:此时网页应无法访问或者访问延迟很大,FTP无法下载或下载速率很低。结果2:客户端可以正常访问WEB页面,FTP下载正常,文件能正常打开。测试结果 通
