ICS 33.040 M14 YD 中华人民共和国 通信行业标准 YD/T 1617T—2015 公众无线局域网接入方式下源地址验证测 试方法 Test method for wlan equipments supporting source address validation 点击此处添加与国际标准一致性程度的标识 （报批稿） xxxx - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业信息化部 发 布 I目 次 前言 .................................................................................. II 1　范围 ................................................................................ 1 2　规范性引用文件 ...................................................................... 1 3　术语、定义和缩略语 .................................................................. 1 3.1　术语和定义 ...................................................................... 1 3.2　缩略语 .......................................................................... 1 4　公众无线局域网接入方式下源地址验证测试方法 .......................................... 2 4.1　测试公众无线局域网接入方式下的 SAVI机制 ......................................... 2 4.2　公众无线局域网接入方式下 SAVI现网部署情况 ....................................... 3 4.3　基于SAVI的真实用户 ID系统 ...................................................... 3 4.4　基于SAVI的IPv6身份认证系统 .................................................... 4 II前 言 本标准按照 GB/T1. 1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位： 中国互联网络信息中心，清华大学 本标准主要起草人： 李洪涛，傅瑜，毕军，胡虹雨1公众无线局域 网接入方式下源地址验证测试方法 1　范围 本标准规定了公众无线局域网接入方式下，源地址验证方案功能的测试方法。 本标准适用于以太网交换机设备或集成了内容交换功能的网络设备的源地址验证功能的研制开发 、 技术引进和测试。 2　术语、定义 和缩略语 2.1　术语和定义 下列术语和 定义适用于本文件。 2.1.1　 源地址验证 source address validation 在IP报文路由寻址过程中，对其携带的源地址的有效性进行验证。 2.1.2　 源地址验证 改进 source address validation improvement 在主机接入交换机 /路由器下执行的源地址验证技术，将不允许主机假冒任意非合法分配或配置的 地址。 2.2　缩略语 下列缩略语适用于本文件。 AP Access Point 接入点 AC Access Controller 接入控制器 DHCP Dynamic Host Configuration Protocol 动态主机配置协议 NDP Neighbor Discovery Protocol 邻居发现协议 SLAAC Stateless Address Autoconfiguration 无状态地址自动配置 3　公众无线局域 网接入方式下源地址验证测试方法 3.1　测试公众无 线局域网接入方式 下的SAVI机制 测试拓扑如 下图1所示，包括两台主机 、两台接入点 （Access Point，AP）、一台接入控制器 （Access Controller ，AC）、一台网关设备及一台 DHCPv6服务器。 DHCPv6服务器所分配的地址前缀为 2001:DA8:FF3A:C8EC::/64 。 2 图1 公众无线局域网接入方式下 SAVI机制测试拓扑图 测试内容如下： 测试项目 1 测试无线场景下的 SAVI机制 预置条件 主机 1和主机 2均连接至 AP1 测试步骤 1. 主机 1获取 IPv6地址 a，检查 AC上是否为其建立了绑定； 2. 检测主机 1是否可以使用地址 a与主机 2通信； 3. 令主机 1向主机 2发送伪造源地址的报文； 4. 移动主机 1，使其连接至 AP2，检测主机 1是否可以使用地址 a与主机 2 通信； 5. 令主机 1向主机 2发送伪造源地址的报文。 预期结果 步骤 1中， AC为主机 1的地址 a 建立了绑定； 步骤 2中，主机 1以a为源地址可以 Ping通主机 2； 步骤 3中，主机 2 收不到该伪造源地址的报文； 步骤 4中，主机 1以a为源地址可以 Ping通主机 2； 步骤 5中，主机 2 收不到该伪造源地址的报文。 3.2　公众无线局域 网接入方式下 SAVI现网部署情况 测试项目 2 查看无线 SAVI的现网部署 测试步骤 访问 SAVI网管，查看无线 SAVI的现网部署情况。 预期结果 无线 SAVI已在现网部署。 33.3　基于SAVI的真实用户 ID系统 测试拓扑如 下图2所示，包括两台主机 、两台接入点 （Access Point，AP）、一台接入控制器 （Access Controller ，AC）、一台网关设备及一台 DHCPv6服务器。 DHCPv6服务器运行 Dibbler服务器端，地址为 2001:DA8:FF3A:C8ED::10/64 ，所分配的地址前缀为 2001:DA8:FF3A:C8ED::/64 。 图2：基于SAVI的真实用户 ID系统测试拓扑图 测试内容如下： 测试编号 3 基于 SAVI的真实用户 ID系统 测试项目 测试 SAVI与真实用户 ID系统协同工作的场景 预置条件 主机 1连接至 AP1 测试步骤 1. 主机 1通过运行 Dibbler客户端获取嵌入真实 ID的IPv6地址 a，检查 AC上是否为其建立了绑定； 2. 检测主机 1是否可以使用地址 a与DHCPv6 服务器通信； 3. 令主机 1向DHCPv6 服务器发送伪造源地址的报文； 4. 移动主机 1，使其连接至 AP2，检测主机 1是否可以使用地址 a与 DHCPv6 服务器通信； 5. 令主机 1向DHCPv6 服务器发送伪造源地址的报文。 预期结果 步骤 1中， AC为主机 1的地址 a建立了绑定； 步骤 2中，主机 1以a为源地址可以 Ping通DHCPv6 服务器； 步骤 3中， DHCPv6 服务器收不到该伪造源地址的报文； 步骤 4中，主机 1以a为源地址可以 Ping通DHCPv6 服务器； 步骤 5中， DHCPv6 服务器收不到该伪造源地址的报文。 43.4　基于SAVI的IPv6身份认证系统 测试拓扑如 下图3所示，包括两台主机 、两台接入点 （Access Point，AP）、一台接入控制器 （Access Controller ，AC）、一台网关设备、一台 DHCPv6服务器、一台 Portal服务器及一台 AAA服务器， DHCPv6 服务器所分配的地址前缀为 2001:DA8:FF3A:C8EC::/64 。 图3：基于 SAVI的IPv6身份认证系统测试拓扑图 测试内容如下： 测试编号 4 基于 SAVI的IPv6身份认证系统 测试项目 测试 SAVI与IPv6身份认证系统协同工作的场景 预置条件 系统开启用户身份认证功能， 主机 1与主机 2均连接至 AP1 测试步骤 1. 主机 1获取 IPv6地址 a，检查 AC上是否为其建立了绑定； 2. 检测主机 1是否可以使用地址 a访问网络； 3. 令主机 1向主机 2发送伪造源地址的报文； 4. 通过身份认证， 检测主机 1是否可以使用地址 a访问网络； 5. 令主机 1向主机 2发送伪造源地址的报文； 6. 退出身份认证， 检测主机 1是否可以使用地址 a访问网络； 预期结