YDT - 接入网设备安全测试方法 - 综合接入系统.docx-道客多多

资源描述

1、XzxxxxxxxxxxxxxxxxxxxxxxxxxxxxgICS 33.040.50M19 YD中华人民共和国通信行业标准YD/T 接入网设备安全测试方法综合接入系统Test method of security of multi-service access node（ MSAN） (报批稿)-发布 -实施中华人民共和国工业和信息化部发布 YD/T 目次前言 .II1 范围 12 规范性引用文件 13 缩略语 14 用户平面安全测试方法 24.1 二层隔离 .24.2 广播 /组播 /DLF 抑

2、制 34.3 静态绑定策略 44.4 动态绑定策略（可选） .44.5 MAC 地址防盗用 54.6 MAC 地址表保护 54.7 帧过滤 .64.8 非法组播源控制 .74.9 用户侧环网检测 .84.10 综合接入设备上联口安全相关功能 .84.11 VLAN 104.12 RTP 报文过滤功能 105 控制平面安全测试方法 115.1 用户端口识别与定位功能 .115.2 防 DoS 攻击 135.3 ARP 代理 .135.4 DHCP 下行广

3、播帧处理 145.5 IGMP Snooping 功能 .145.6 可控组播 .155.7 注册认证 .185.8 心跳机制 .195.9 双归属 .195.10 拥塞处理 206 管理平面安全要求 216.1 设备管理方式 216.2 网管系统的安全管理功能 .246.3 网管系统的日志功能 .257 可靠性要求 .267.1 主备倒换 .267.2 环境监控 .277.3 线路故障诊断 278 电气安全要求 .27IYD/T II前言本标准是接入网安全系列标准之一，该系列标准预计结构及名称如下

4、：1) 接入网安全技术要求 xDSL用户端设备2) 接入网设备安全测试方法 xDSL用户端设备3) 接入网安全技术要求数字用户线接入复用器（ DSLAM）设备4) 接入网设备安全测试方法数字用户线接入复用器（ DSLAM）设备5) 接入网安全技术要求无源光网络（ PON）设备6) 接入网设备安全测试方法无源光网络（ PON）设备7) 接入网安全技术要求综合接入系统8) 接入网设备安全测试方

5、法综合接入系统本标准与接入网设备安全测试方法综合接入系统配套使用。在本标准的制定过程中注意了与以下标准的协调统一：YD/T 1418-2008 接入网技术要求综合接入系统 YD/T 1772-2008 接入网设备测试方法综合接入系统本标准由中国通信标准化协会提出并归口。本标准起草单位：工业和信息化部电信研究院、华为技术有限公司、中兴通讯股份有限公司、上海贝尔股份有限公司。本标准主要起草人：李云洁、刘谦、敖立、党梅梅、程强

6、、赵苹、陈洁、葛坚、陆洋、刘卫岗、张博山、鲁林丽。YD/T 5ACL ADSLARPAccess Control ListAsymmetric Digital Subscriber Line Address Resolution Protocol访问控制列表不对称数字用户线地址解析协议BNG CPEBroadband Network Gateway Customer Premises Equipment宽带网络网关用户驻地设备DELT Double-Ended Line Test 双端线路测试DHCP Dynamic Host Configuration

7、 Protocol 动态主机配置协议DLF Destination Lookup Failure 目的查找失败接入网设备安全测试方法综合接入系统1 范围本标准规定了综合接入系统 (MSAN)的用户平面安全、控制平面安全、管理平面安全、设备可靠性和电气安全的测试方法。本标准适用于公众电信网的综合接入设备，专用电信网也可参考使用。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件

8、，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。YD/T 965-1998 电信终端设备的安全要求和试验方法YD/T 1082-2000 接入网设备过电压过电流防护及基本环境适应性技术条件YD/T 1244-2002 数字用户线（ xDSL）设备电磁兼容性要求和测量方法YD/T 1808-2008 接入网设备测试方法 - 第二代及频谱扩展的第二代不对称数字

9、用户线（ ADSL2/2+）IEEE 802.1ad 业务提供者桥IEEE 802.1ag 连通性故障管理IEEE 802.1D 媒体访问控制网桥IEEE 802.1Q 虚拟桥接局域网IEEE 802.1X 基于端口的网络接入控制IEEE 802.3 CSMA/CD存取方法和物理层规范 IETF RFC1157 简单网络管理协议（ SNMP v1） IETF RFC1901 基于团体名的 SNMPv23 缩略语下列缩略语适用于本标准。YD/T 2CPE1 网络分析仪 1CPE2 网络分析仪 2DSL Digital Subscriber Line 数字用户线F

10、TP File Transfer Protocol 文件传输协议GARP Generic Attribute Registration Protocol 通用属性注册协议GVRP GARP VLAN Registration Protocol GARP VLAN注册协议HTTP HyperText Transfer Protocol 超文本传输协议IGMP Internet Group Management Protocol 互联网组管理协议IP Internet Protocol 互联网协议MAC Medium Access Control 媒质访问控制MSAN Multi-Servi

11、ce Access Node 综合接入系统PPPoE PPP Over Ethernet 以太网上传送 PPP协议RSTP Rapid Spanning Tree Protocol 快速生成树协议RTP Real-timeTransport Protocol 实时传输协议SELT Single-Ended Line Test 单端线路测试SNMP Simple Network Management Protocol 简单网络管理协议SSH Secure Shell 安全 ShellUSM User-based Security Model 基于用户的安全模型VDSL Very-h

12、igh-bit-rate Digital Subscriber Loop 甚高速数字用户环路VLAN Virtual Local Area Network 虚拟局域网4 用户平面安全测试方法4.1 二层隔离4.1.1 指标要求在 N:1 VLAN模式下时， MSAN应提供对于 CPE之间的二层隔离。4.1.2 测试配置见图1。管理单元网络分析仪3（ BNG） MSAN图 1 二层隔离测试配置图4.1.3 测试步骤1) 按照图 1连接好电路，并通过网管配置CPE1和CPE2属于同一个VLAN，并为这两个用户各配置一条业务流；2) 配置网络

13、协议分析仪，使得网络分析仪 1和网络分析仪 2能够分别 ping通网络协议分析仪 3；YD/T 33) 网络分析仪 1、 2和 3发送 MAC地址学习报文；4) 网络分析仪 1与网络分析仪 3互发以太网广播与单播报文；5) 网络分析仪 2与网络分析仪 3互发以太网广播与单播报文；6) 网络分析仪 1和网络分析仪 2互发以太网广播与单播报文。4.1.4 预期结果1) 在步骤4）中，网络分析仪

14、1和网络分析仪3应可以互通，且网络分析仪2不应收到除来自网络分析仪 3的广播报文的任何报文；2) 在步骤5）中，网络分析仪2和网络分析仪3应可以互通，且网络分析仪1不应收到除来自网络分析仪 3的广播报文的任何报文；3) 在步骤 6）中，网络分析仪 1和网络分析仪 2不应有任何流量互通。4.2 广播/组播 /DLF 抑制4.2.1 指标要求MSAN应对协议特定的广播/组播包（例如DHCP，ARP，IGMP等）/DLF进行速率抑制。MSAN应支持基于全局的抑制方

15、式，可选支持基于 VLAN和端口的抑制方式。4.2.2 测试配置见图 1。4.2.3 测试步骤全局抑制方式的测试步骤见步骤2）至步骤6），基于V LAN抑制方式的测试步骤见步骤7 ）至步骤9），基于端口抑制方式的测试步骤见步骤10）至步骤12 ）。1) 按照图 1 建立组网连接；2) 网络分析仪 1和网络分析仪 2向网络分析仪 3发送协议特定的广播 /组播 /DLF包；3) 网络分析仪 3向网络分析仪 1和网络分析仪 2发送协议特定的广播

16、/组播 /DLF包；4) 通过网管控制台配置 MSAN全局抑制对应的广播 /组播 /DLF包的速率；5) 网络分析仪 1和网络分析仪 2向网络分析仪 3全速发送广播 /组播 /DLF包；6) 网络分析仪 3向网络分析仪 1和网络分析仪 2全速发送广播 /组播 /DLF包；7) 配置MSAN取消全局抑制广播/ 组播/DLF包的策略，配置MSAN抑制VLAN ID=10的广播/组播/DLF包，并且 MSAN的上联口和 CPE的用户端口为 trun

17、k模式；8) 配置 CPE1的用户端口加入 VLAN10， CPE2的用户端口加入 VLAN20，网络分析仪 1、 2分别向网络分析仪 3全速发送广播 /组播 /DLF包；9) 网络分析仪 3向网络分析仪 1和网络分析仪 2全速发送两条广播 /组播 /DLF包流，一条 VLAN ID=20，另一条 VLAN ID=10；10) 配置MSAN取消基于VLAN抑制广播/组播/DLF包的策略，配置MSAN抑制与CPE1连接的端口的广播 /组播 /DLF包；11) 网

18、络分析仪 1和网络分析仪 2向网络分析仪 3全速发送广播 /组播 /DLF包；12) 网络分析仪 3向网络分析仪 1和网络分析仪 2全速发送广播 /组播 /DLF包。4.2.4 预期结果1) 步骤 2）和步骤 3）中，双向都能收到全部的广播 /组播 /DLF包；2) 步骤 5）和步骤 6）中，双向收到的广播 /组播 /DLF包应符合预先设置的抑制策略；3) 对于支持基于 VLAN抑制方式的 MSAN设

19、备，在步骤 8）和步骤 9）中，网络分析仪 2发送的广播 /组播 /DLF包应全部收到，网络分析仪 1发送的广播 /组播流应符合预先设置的抑制策略；4) 对于支持基于端口抑制方式的 MSAN设备，在步骤 11）和步骤 12）中， CPE2上下行方向的广播 /组播 /DLF流应全部被 MSAN设备转发， CPE1上下行方向的广播 /组播 /DLF流应符合预先设置的抑制策略。YD/T 44.3 静

20、态绑定策略4.3.1 指标要求MSAN应支持静态配置用户 IP地址与用户端口或 VLAN的绑定功能。 IP地址绑定后，用户端口或 VLAN只能使用该 IP地址，该 IP地址也只能被该用户端口或 VLAN使用。4.3.2 测试配置见图 1。4.3.3 测试步骤静态配置用户I P地址与用户端口绑定的测试步骤见步骤 2）至步骤6），静态配置用户I P地址与V LAN绑定的测试步骤见步骤 7）至步骤 12）。1) 按照图 1 建立组网连接，配置 M

21、SAN和 CPE2，使得网络分析仪 2和网络分析仪 3能够正常通信；2) 配置 MSAN静态分配 IP地址 192.168.0.10绑定到 CPE1的用户端口；3) 网络分析仪 1和网络分析仪 2向网络分析仪 3发送源 IP地址是 192.168.0.10的数据流；4) 网络分析仪 3向网络分析仪 1和网络分析仪 2发送目的 IP地址是 192.168.0.10的数据流；5) 网络分析仪 1向网络分析仪 3发送源 IP地址

22、是 192.168.0.11的数据流；6) 网络分析仪 3向网络分析仪 1发送目的 IP地址是 192.168.0.11的数据流；7) 取消之前的绑定策略，配置M SAN建立V LAN1（V LAN ID=10）和V LAN2（V LAN ID=20），静态分配 IP地址段 192.168.0.0/24绑定到 VLAN1，并将 MSAN的上联口、 CPE1加入到 VLAN1， MSAN的上联口和 CPE2 的用户端口加入到 VLAN2；8) 网络分析仪 1向网络分析仪 3发

23、送源 IP地址是 192.168.0.10的数据流；9) 网络分析仪 2向网络分析仪 3发送源 IP地址是 192.168.0.10的数据流；10) 网络分析仪 1向网络分析仪 3发送源 IP地址是 192.168.1.10的数据流；11) MSAN修改 CPE1的 VLAN，将其从 VLAN1中删除，加入到 VLAN2 ；12) 网络分析仪 1向网络分析仪 3发送源 IP地址是 192.168.0.10的数据流。4.3.4 预期结果1) 步骤 3）中网

24、络分析仪 3仅能够收到网络分析仪 1发送的数据流；2) 步骤 4）中网络分析仪 1能收到数据流，网络分析仪 2不能收到数据流；3) 步骤 5）中网络分析仪 3不能收到数据流；4) 步骤 6）中网络分析仪 1不能收到数据流；5) 步骤 8）中网络分析仪 3能收到 VLAN ID=10的流；6) 步骤 9）中网络分析仪 3不能收到网络分析仪 2发出的数据流；7) 步骤 10）中网络分

25、析仪 3不能收到网络分析仪 1发出的数据流；8) 步骤 12）中网络分析仪 3不能收到网络分析仪 1发出的数据流。4.4 动态绑定策略（可选）4.4.1 指标要求MSAN可选支持跟踪 DHCP中的 IP地址分配过程进行端口、 MAC地址和 IP地址的动态绑定的功能。 IP地址绑定后，用户端口和 MAC地址只能使用该 IP地址，该 IP地址也只能被该用户端口和 MAC地址使用。4.4.2 测试配置见图

26、 1。4.4.3 测试步骤1) 配置 MSAN的动态绑定功能；2) 网络分析仪 3 仿真 DHCP 服务器功能，配置地址池 10.10.10.210.10.10.254 ，网关地址为 YD/T 510.10.10.1，更新时间为 3600s；3) 网络分析仪 3配置端口地址为 10.10.10.1；4) 网络分析仪 1仿真 DHCP客户端发起 DHCP请求过程，获得分配地址 10.10.10.A；5) 网络分析仪 2仿真 DHCP客户端发起 DHCP请

27、求过程，获得分配地址 10.10.10.B；6) 网络分析仪 1利用地址 10.10.10.A与网络分析仪 3互发 IP数据流；7) 网络分析仪 2利用地址 10.10.10.B与网络分析仪 3互发 IP数据流；8) 配置网络分析仪 1端口地址为 10.10.10.B；9) 配置网络分析仪 2端口地址为 10.10.10.C，其中 2C254且 C不等于 A或 B；10) 网络分析仪 1利用地址 10.10.10.B与网络分析仪 3互发 I

28、P数据流；11) 网络分析仪 2利用地址 10.10.10.C与网络分析仪 3互发 IP数据流；12) 网络分析仪 1和网络分析仪 2释放获得的 IP地址；13) 网络分析仪 1利用地址 10.10.10.B与网络分析仪 3互发 IP数据流；14) 网络分析仪 2利用地址 10.10.10.C与网络分析仪 3互发 IP数据流。4.4.4 预期结果1) 在步骤 6)中，网络分析仪 1和网络分析仪 3的 IP数据流应互相可达；

29、2) 在步骤 7)中，网络分析仪 2和网络分析仪 3的 IP数据流应互相可达；3) 在步骤 10)中，网络分析仪 1和网络分析仪 3的 IP数据流应互相不可达；4) 在步骤 11)中，网络分析仪 2和网络分析仪 3的 IP数据流应互相不可达；5) 在步骤 13)中，网络分析仪 1和网络分析仪 3的 IP数据流应互相可达；6) 在步骤 14)中，网络分析仪 2和网络分析仪 3的 IP数据流应互

30、相可达。4.5 MAC 地址防盗用4.5.1 指标要求MSAN应能防止用户盗用 BNG的 MAC地址。 MSAN应可以拒绝向同一 VLAN中存在 MAC地址重复的用户提供业务。4.5.2 测试配置见图 1。4.5.3 测试步骤1) 按照图 1 建立组网连接；2) 通过网管控制台配置 MSAN开启 MAC地址防仿冒处理功能；3) 网络分析仪 1向网络分析仪 3发送正常源 MAC地址的测试帧；4) 网络分析仪 2向网络分析仪 3发送

31、源 MAC地址为 BNG MAC地址的测试帧。5) 配置 CPE1和 CPE2在同一个 VLAN；6) 网络分析仪 1向网络分析仪 3发送正常源 MAC地址的测试帧；7) 网络分析仪 2向网络分析仪 3发送源 MAC地址为网络分析仪 1 MAC地址的测试帧。4.5.4 预期结果1) 步骤 3）中，网络分析仪 1与网络分析仪 3能够正常通信；2) 步骤 4）中，网络分析仪 2不能获得服务，且网络分析仪 1正

32、在进行的服务不被影响；3) 步骤 6）中，网络分析仪 1与网络分析仪 3能够正常通信；4) 步骤 7）中，网络分析仪 2不能获得服务，且网络分析仪 1正在进行的服务不被影响。4.6 MAC 地址表保护4.6.1 指标要求MSAN应当可以配置并限制从每个用户端口学习到的源 MAC地址的数量。YD/T 64.6.2 测试配置见图 1。4.6.3 测试步骤1) 按照图 1 建立组网连接；2) 配置 MSAN从

33、每个用户端口学习到的源 MAC地址数量；3) 网络分析仪连续发送具有不同源MAC地址的测试帧，其中源MAC 地址数目大于M SAN预设值；4) 察看M SAN MAC地址表中学习到的源MAC地址数目，以及对超过源MAC数量限定的流是否丢弃。4.6.4 预期结果步骤 4）中， MSAN MAC地址表中学习到的源 MAC地址数目与预设值相等，源 MAC地址没有被学习到的报文被丢弃。4.7 帧过滤4.7.1 指标要求MSAN应可以针对MAC 源地址和/ 或目的地址设置过滤条目。对于预定义和保留地址的MAC

34、帧（见表 1）， MSAN缺省应过滤掉，不进行转发，但设备可以提供改变缺省行为的配置选项。 MSAN建议支持基于 MAC目的地址、 MAC源地址、 MAC协议类型、 IP目的地址、 IP源地址的部分组合和全部组合的过滤规则功能。表 1 MSAN 对预定义和保留地址的 MAC 帧处理目的 MAC 地址作用缺省行为可选配置为引用标准01-80-C2-00-00-00 桥组地址(BPDUs)Block None IEEE 802.1D,Table 7-9

35、01-80-C2-00-00-01 PAUSE Block None IEEE 802.301-80-C2-00-00-02 慢速协议 (LACP, EFM OAM PDUs)Block Peer IEEE 802.3,Table 43B-101-80-C2-00-00-03 EAP over LANs Block Peer IEEE 802.1X,Table 7-201-80-C2-00-00-0401-80-C2-00-00-0F- 保留 Block None IEEE 802.1D,Table 7-901-80-C2-00-00-10 所有 LAN 的桥管理地址Block None

36、 IEEE 802.1D,Table 7-1001-80-C2-00-00-20 GMRP Block None IEEE 802.1D,Table 12-101-80-C2-00-00-21 GVRP Block None IEEE 802.1Q,Table 11-101-80-C2-00-00-2201-80-C2-00-00-2F- 保留 GARP 应用地址Block Forward IEEE 802.1D,Table 12-101-80-C2-xx-xx-xy CFM Forward Block IEEE 802.1ag-D6,Table 8-94.7.2 测试配置见图 1。4.7

37、.3 测试步骤1) 按照图 1建立组网连接，配置 MSAN和 CPE1，使网络分析仪 1和网络分析仪 3之间能正常收发数据流；2) 设置 MSAN过滤 MAC源和 /或目的地址规则；3) 网络分析仪 1向网络分析仪 3发送 MAC源和 /或目的地址为被过滤 MAC源和 /或目的地址的测试YD/T 7帧；4) 网络分析仪 1向网络分析仪 3发送 MAC源和 /或目的地址不是被过滤 MAC源和 /或目的地址的测试帧；5

38、) 取消之前的配置，网络分析仪 1向网络分析仪 3发送 MAC目的地址为表 1中的地址的测试帧；6) 配置M SAN，将对表 1 中的MAC帧的处理方式由“缺省行为”改变为“可选配置” ；7) 网络分析仪 1向网络分析仪 3发送 MAC目的地址为表 1中的地址的测试帧；8) 取消之前的配置，设置M SAN基于MAC目的地址、 MAC源地址、 MAC协议类型、 IP目的地址、IP源地址的部分组合和全部组合进行过滤；9) 网络分析仪 1向网络

39、分析仪 3发送符合步骤 8）中设置的规则的 MAC帧；10) 网络分析仪 1向网络分析仪 3发送不符合步骤 8）中设置的规则的 MAC帧。4.7.4 预期结果1) 步骤 3）中，网络分析仪 3不能收到测试帧；2) 步骤 4）中，网络分析仪 3能够收到测试帧；3) 步骤 5）中， MSAN对测试帧的处理应符合表 1中的缺省行为；4) 步骤 7）中， MSAN对测试帧的处理应符合表 1中的可选

40、配置；5) 步骤 9）中，网络分析仪 3不能收到测试帧；6) 步骤 10）中，网络分析仪 3能够收到测试帧。4.8 非法组播源控制4.8.1 指标要求为防止组播资源被盗用，MSAN应阻止从用户端口发出的IGMP查询包和组播流。MSAN应支持对网络侧合法组播源的配置和对非法组播源进行过滤的配置。4.8.2 测试配置见图2。管理单元媒体服务器 IP协议分析仪MSANCPE1 CPE2PC1 PC24.8.3 测试步骤1) 按照图 2 建立组网连接；图 2 组播测试配置2) 媒体服务器

41、配置两套节目 P1和 P2，并周期性的发送相应的 IGMP Query消息；3) 配置 MSAN的组播上行端口及 IGMP客户端的 IP地址，设置 P1为合法组播源，增加用户 PC1和PC2；4) 设置针对用户端口发送IGMP Query进行过滤；5) 设置针对用户端口发送目的地址为组播地址的数据报文进行过滤；6) 打开 IP协议分析仪；7) PC1点播组播地址合法的节目 P1； PC1停止点播；8) PC2点播组播地址合法的节目 P1； PC

42、2停止点播；9) PC1发送 IGMP Query报文；10) PC1发送组地址与 P1组地址相同的组播数据报文；YD/T 811) 停止 IP协议分析仪。12) PC1点播组播地址不合法的节目 P2； PC1停止点播；4.8.4 预期结果1) 在步骤 7）中， PC1能够正常观看节目 P1， PC2不能收到该节目流；2) 在步骤 8）中， PC2能够正常观看节目 P1；3) 在步骤 11中， IP协议分析仪应没有收到 P

43、C1在步骤 9）和 10）发出的报文。4) 在步骤 12）中， PC1不能观看节目 P2。4.9 用户侧环网检测4.9.1 指标要求MSAN可选具有用户侧环网检测功能，即当综合接入设备的单个或多个D SL端口成环时，不影响其它端口的正常工作。4.9.2 测试配置见图3。图 3 用户侧环网检测测试配置图4.9.3 测试步骤1) 按照图 3 建立组网连接，其中虚线部分不进行连接，并开启 MSAN的用户环网检测功能；2) 网络分析仪 1分别与 CPE1、 C

44、PE2和 CPE3相连，确认 3个 CPE都能和 MSAN正常收发包；3) 将 CPE2的用户端口用交叉网线连接成环，网络分析仪 1分别与 CPE1、 3相连，并与网络分析仪2之间发送双向数据流；4) 将 CPE2的用户端口环解除，将 CPE2的用户端口与 CPE3的用户端口用交叉网线相连；5) 网络分析仪 1分别与 CPE1相连，并与网络分析仪 2之间发送双向数据流。4.9.4 预期结果1) 步

45、骤 3）中， MSAN应报告用户侧环网事件，并主动断开成环的链路， CPE1、 3与 MSAN之间能够正常收发数据流；2) 步骤 5）中， MSAN应报告用户侧环网事件，并主动断开成环的链路， CPE1与 MSAN之间能够正常收发数据流。4.10 综合接入设备上联口安全相关功能4.10.1 链路聚集功能测试4.10.1.1 指标要求MSAN上联口应支持 IEEE 802.3链路聚集功能。 MSAN应支持上联端口通过链路聚合进行链路冗

46、余YD/T 9保护功能。 MSAN应支持多个上联接口通过链路聚合进行链路负载均衡功能。4.10.1.2 测试配置见图4。图 4 链路聚集功能测试配置4.10.1.3 测试步骤1) 按图4建立连接，在MSAN和支持链路聚合的交换机上配置相同的链路聚合组，并且两端的链路聚合组包含的端口数目应当一致；2) 用网线直接连接两端的 n个链路聚合端口；3) 通过 IP性能分析仪连续双向发送 IP报文保持通信状态，发送报文的 MAC地址应符

47、合负载均衡算法；4) 在 MSAN上联口侧拔掉一些网线，只保留其中一条，然后查看数据的连通性。4.10.1.4 预期结果MSAN上行支持链路聚合功能，并支持2到n个端口的链路聚合功能；多个接口同时工作时，应能看到每个接口都在收发数据包；即使只有一条网线连接，它们也能够互通。4.10.2 快速生成树 (RSTP)功能测试4.10.2.1 指标要求MSAN上联口应支持快速生成树 (RSTP)功能。4.10.2.2 测试配置见图5。网络监测仪P2 P1支持 RSTP的

48、交换机P4 P3MSAN 管理单元图 5 RSTP 测试配置4.10.2.3 测试步骤1) 按照图5建立连接，交换机的P 2端口镜像到网络监测仪端口，并在M SAN设备上启动RST P协议；2) 然后在管理单元上查看所有端口的状态；3) 断开一条转发状态的链路；4) 在管理单元上查看端口状态；5) 恢复原来的连接，然后在管理单元上查看所有端口的状态；6) 通过网络监测仪在上述过程中抓包，并分析协议报文。4.10.2.4 预期结果YD/T 101) 在步骤 2）中，可以查看到某端口处于 block状态，另外一个处于 forward状

49、态；2) 在步骤 4）中，可以查看到端口立即从 block状态变成 forward状态；3) 在步骤 5）中，所有端口的状态恢复为原来的状态；4) 步骤 6）中能看到符合 RSTP协议的协议报文。4.11 VLAN4.11.1 指标要求MSAN应能将信令、业务流、网管映射到不同 VLAN中。4.11.2 测试配置见图6。图 6 VLAN 测试配置图4.11.3 测试步骤1) 按照图 6 建立连接， MSAN注册到软交换， CPE与 MSAN之间能够正常通信；2) 配置M SAN将语音信令、语音数据、网管数据、业务流分别配置到 VLAN1、 VLAN2、 VLAN3、VLAN4；3) 启用网络监测仪捕捉 MSAN上联口的所有

展开阅读全文