GB/T 46240.1-2025 IPv6网络设备安全技术要求和测试方法 第1部分：路由器

　　ICS 33. 040.40 CCS M 32

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 46240. 1—2025

　　IPv6 网络设备安全技术要求和测试方法

　　第 1 部分:路由器

　　Security requirementsand testing methodsofIPv6 network equipment—

　　Part1:Router

　　2025-08-29发布 2025-12-01实施

　　国家市场监督管理总局国家标准化管理委员会

　　

　　发

　　

　　布

　　GB/T 46240. 1—2025

　　目 次

　　前言 Ⅲ

　　引言 Ⅳ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 缩略语 1

　　5 通则 3

　　6 安全技术要求 3

　　6. 1 数据平面安全 3

　　6. 1. 1 标识和鉴别 3

　　6. 1. 2 可信信道 4

　　6. 1. 3 系统访问 4

　　6. 1. 4 资源分配 4

　　6. 1. 5 安全审计 5

　　6. 1. 6 系统功能保护 5

　　6. 1. 7 安全管理 5

　　6. 2 控制平面安全 5

　　6. 2. 1 标识和鉴别 5

　　6. 2. 2 可信通道 6

　　6. 2. 3 系统访问 6

　　6. 2. 4 资源分配 6

　　6. 2. 5 安全审计 7

　　6. 2. 6 系统功能保护 7

　　6. 2. 7 安全管理 7

　　6. 3 管理平面安全 7

　　6. 3. 1 标识和鉴别 7

　　6. 3. 2 可信信道 7

　　6. 3. 3 系统访问 7

　　6. 3. 4 资源分配 8

　　6. 3. 5 安全审计 8

　　6. 3. 6 系统功能保护 8

　　6. 3. 7 安全管理 8

　　7 测试方法 8

　　Ⅰ

　　GB/T 46240. 1—2025

　　7. 1 测试环境 8

　　7. 2 数据平面安全测试 10

　　7. 2. 1 标识和鉴别 10

　　7. 2. 2 可信信道 12

　　7. 2. 3 系统访问 13

　　7. 2. 4 资源分配 13

　　7. 2. 5 安全审计 18

　　7. 2. 6 系统功能保护 18

　　7. 2. 7 安全管理 19

　　7. 3 控制平面安全测试 19

　　7. 3. 1 标识和鉴别 19

　　7. 3. 2 可信信道 22

　　7. 3. 3 系统访问 23

　　7. 3. 4 资源分配 24

　　7. 3. 5 安全审计 24

　　7. 3. 6 系统功能保护 25

　　7. 3. 7 安全管理 25

　　7. 4 管理平面安全测试 25

　　7. 4. 1 标识和鉴别 25

　　7. 4. 2 可信信道 25

　　7. 4. 3 系统访问 26

　　7. 4. 4 资源分配 27

　　7. 4. 5 安全审计 28

　　7. 4. 6 系统功能保护 28

　　7. 4. 7 安全管理 28

　　参考文献 30

　　Ⅱ

　　GB/T 46240. 1—2025

　　前 言

　　本文件按照 GB/T 1. 1—2020《标准化工作导则 第 1部分 :标准化文件的结构和起草规则》的规定起草 。

　　本文件是 GB/T 46240《IPv6网络设备安全技术要求和测试方法》的第 1 部分 。GB/T 46240 已经发布了以下部分 :

　　— 第 1部分 :路由器 ;

　　— 第 2部分 :交换机 。

　　请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别专利的责任 。

　　本文件由中华人民共和国工业和信息化部提出 。

　　本文件由全国通信标准化技术委员会(SAC/TC485)归 口 。

　　本文件起草单位 : 中国信息通信研究院 、华为技术有限公司 、中国联合网络通信集团有限公司 、国家计算机网络应急技术处理协调中心 、金砖国家未来网络研究院(中国 · 深圳) 、国家电网有限公司信息通信分公司 、赛尔网络有限公司 、国家石油天然气管网集团有限公司 、中讯邮电咨询设计院有限公司 、新华三技术有限公司 、北京信而泰科技股份有限公司 、中兴通讯股份有限公司 、国家工业信息安全发展研究中心 、中国福利会国际和平妇幼保健院 、山石网科通信技术股份有限公司 。

　　本文件主要起草人 :马科 、高 静 、陈 云 柯 、胡 俊 理 、傅 瑜 、王 翠 翠 、王 文 磊 、周 罗 红 、尹 重 霖 、曹 津 平 、王岩 、瞿洁武 、王力 、李长连 、王东博 、汪小勇 、李利平 、周继华 、李敏 、陈昌杰 、王莉娜 、王业 。

　　Ⅲ

　　GB/T 46240. 1—2025

　　引 言

　　根据《关于加快推进互联网协议第六版 (IPv6)规模部署和应用工作的通知》,为加快解决网络设备 IPv6安全方面的缺失 ,推动 IPv6规模部署和应用创新成果标准化 ,我国制定了一系列 IPv6应用标准 。其中 ,GB/T 46240《IPv6网络设备安全技术要求和测试方法》是为规范和指导我国 IPv6规模部署的顺利推进而制定的标准 ,拟由两个部分构成 。

　　— 第 1部分 :路由器 。 目的在于提出并规范路由器 IPv6安全开发和应用 。

　　— 第 2部分 :交换机 。 目的在于提出并规范交换机 IPv6安全开发和应用 。

　　Ⅳ

　　GB/T 46240. 1—2025

　　IPv6 网络设备安全技术要求和测试方法

　　第 1 部分:路由器

　　1 范围

　　本文件规定了支持 IPv6能力的路由器的安全架构 , 以及数据平面 、控制平面 、管理平面的安全技术要求和测试方法 。

　　本文件适用于支持 IPv6能力的路由器设备的设计 、开发和测试 。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中 , 注 日期的引用文件 ,仅该日期对应的版本适用于本文件 ;不注日期的引用文件 ,其最新版本(包括所有的修改单) 适用于本文件 。

　　GB/T 25069 信息安全技术 术语

　　GB/T 41269—2022 网络关键设备安全技术要求 路由器设备

　　3 术语和定义

　　GB/T 25069界定的以及下列术语和定义适用于本文件 。

　　3. 1

　　路由器 router

　　用来建立和控制不同网络间数据流的网络设备 。

　　注 : 路由器基于路由协议机制和算法来选择路径或路由以实现建立和控制网络间的数据流 , 网络自身能够基于不同的网络协议 。

　　[来源 :GB/T 41269—2022,3. 1,有修改]

　　4 缩略语

　　下列缩略语适用于本文件 。

　　ACL:访问控制列表(Access Control List)

　　AH :认证头(Authentication Header)

　　AS: 自治系统(Autonomous System)

　　BGP:边界网关协议(Border Gateway Protocol)

　　BGP4+ :IPv6边界网关协议(Border Gateway Protocolfor IPv6)

　　CGA:加密生成地址(Cryptographically Generated Address)

　　CLI:命令行接 口 (Command-Line Interface)

　　CPU : 中央处理器(CentralProcessing Unit)

　　DAD:重复地址探测(Duplicate Address Detection)

　　DDoS:分布式拒绝服务(Distributed Denialof Service)

　　1

　　GB/T 46240. 1—2025

　　DoS:拒绝服务(Denialof Service)

　　DUT:被测设备(Device Under Test)

　　ESP:封装安全载荷(Encapsulation Secure Payload)

　　EVPN: 以太网虚拟专用网络(EthernetVirtualPrivate Network)

　　FlowSpec:流量规范(Flow Specification)

　　HMAC:散列消息验证码(Hashed Message Authentication Code)

　　ICMPv6:互联网控制管理协议版本 6(InternetControlManagementProtocolversion6)

　　IKE:互联网密钥交换(InternetKey Exchange)

　　IPsec:互联网协议安全(InternetProtocol security)

　　IPv6:互联网协议版本 6(InternetProtocolversion6)

　　IS-IS: 中间系统到中间系统(Intermediate System to Intermediate System)

　　LAND:局域网拒绝服务(LocalArea Network Denial)

　　MAC:媒体访问控制(Media Access Control)

　　MD5:消息摘要版本 5(Message Digestversion5)

　　MPLS:多协议标记交换(Multi-Protocol LabelSwitching)

　　NA:邻居通告(Neighbor Advertisement)

　　ND:邻居发现(NeighborDiscovery)

　　NS:邻居请求(Neighbor Solicitation)

　　NUD:邻居不可达探测(Neighbor UnreachabilityDetection)

　　OSPFv3:开放最短路径优先版本 3(Open ShortestPath Firstversion3)

　　PIMv6:协议无关多播(ProtocolIndependentMulticastversion6)

　　RA:路由器通告(Router Advertisement)

　　RIPng:下一代路由信息协议(Routing Information Protocolnextgeneration)

　　ROA:路由来源授权(Route Origination Authorization)

　　RPKI:资源公钥基础设施(Resource Public Key Infrastructure)

　　RS:路由器请求(Router Solicitation)

　　RSA:RSA算法(Rivest,Shamir and Adleman algorithm)

　　SHA:安全散列算法(Secure Hash Algorithm)

　　SID:段 ID(SegmentID)

　　SLLA:源链路层地址(Source Link-Layer Address)

　　SNMP:简单网络管理协议(Simple Network ManagementProtocol)

　　SRH :段路由扩展头(SegmentRouting Header)

　　SRv6:基于 IPv6转发平面的段路由(SegmentRouting IPv6)

　　SSH :安全外壳(Secure Shell)

　　TCP:传输控制协议(Transmission ControlProtocol)

　　TLLA: 目标链路层地址(TargetLink-Layer Address)

　　TLS:传输层安全(TransportLayer Security)

　　URPF:单播反向路径转发(Unicase Reverse Path Forwarding)

　　VLAN:虚拟局域网(Virtual LocalArea Network)

　　2

　　GB/T 46240. 1—2025

　　5 通则

　　路由器是 IPv6网络中重要的网络设备 ,负责 IPv6数据报文的转发功能 。在网络中此类设备容易遭受到来自网络和 其 他 方 面 的 威 胁 , 这 些 安 全 威 胁 利 用 设 备 的 脆 弱 性 对 设 备 进 行 攻 击 , 设 备 被 攻 击后 , 网络的性能和正常运行会受到很大的影响 ,甚至造成拒绝正常用户访问服务 。

　　支持 IPv6功能的路由器功能在逻辑上划分为三个功能平面 :

　　a) 数据平面 :主要指为用户访问和使用网络而提供的功能 ,如数据转发等 ;

　　b) 控制平面 :主要包括路由协议等与建立会话连接 、控制转发路径等有关的功能 ;

　　c) 管理平面 :主要包含针对设备的访问 、配置和管理等功能 。

　　为了抵御网络攻击 ,路由器应提供一定的安全功能 ,安全功能包含如下内容 :

　　a) 标识和鉴别 :确认实体的身份及其真实性 ;

　　b) 可信信道 : 同其他实体之间建立可信信道保证用户数据安全 ;

　　c) 系统访问 :管理和控制连接会话的建立 ;

　　d) 资源分配 :对系统资源的使用进行控制 ,不准许过量占用系统资源造成拒绝服务 ;

　　e) 安全审计 :提供日志等审计记录 ,这些记录用来分析安全威胁活动和对策 ;

　　f) 系统功能保护 :对系统关键功能及其所需要的重要数据的保护 ;

　　g) 安全管理 :对安全功能的管理能力 。

　　路由器安全框架如图 1所示 。

　　图 1 路由器安全框架

　　6 安全技术要求

　　6. 1 数据平面安全

　　6. 1. 1 标识和鉴别

　　6. 1. 1. 1 SRv6 报文鉴别功能

　　路由器宜支持 SRv6报文鉴别功能 ,安全要求如下 :

　　a) SRv6域内 SID空间统一分配 ,不将 SRv6域内的 SID地址暴露到 SRv6域外 ;

　　3

　　GB/T 46240. 1—2025

　　b) SRv6源节点对流量进行过滤 ,丢弃源地址或目的地址是 SRv6域内的 SID地址的报文 ;

　　c) 跨 SRv6域采用 BindingSID机制时 ,SRv6源节点仅允许目的地址是 BindingSID的报文通过 ;

　　d) 支持 HMACTLV 防止 SRH 的关键信息被篡改 。

　　6. 1. 1.2 DHCPv6 Snooping功能

　　路由器宜支持 DHCPv6Snooping功能 ,对用户流量的 IPv6地址 、MAC地址等进行校验 , 防止非法流量 。

　　6. 1.2 可信信道

　　路由器宜支持 IPsec,在 IP层提供数据机密性 、数据源认证 、数据完整性和抗重放等安全服务 , 由AH、ESP和 IKE等协议组成 。

　　6. 1.3 系统访问

　　访问控制列表是基于 IPv6数 据 包 头(如 MAC地 址 、IPv6地 址 、协 议 和 端 口 等) 指 定 的 安 全 规 则表 ,对进出路由器的 IPv6数据报文与这些规则进行匹配 ,执行处理动作 。

　　路由器支持访问控制列表 ,安全要求如下 :

　　a) 应支持基于源 IPv6地址 、目的 IPv6地址 、协议类型 、源端口号 、目的端口号的访问控制列表 ;

　　b) 宜支持基于源 MAC地址的访问控制列表 ;

　　c) 基于访问控制列表应支持配置处理动作 :允许或者禁止 ;

　　d) 宜支持在指定时间有效的访问控制列表 ;

　　e) 应支持对报文匹配情况进行统计 。

　　6. 1.4 资源分配

　　6. 1.4. 1 抗大流量攻击能力

　　路由器应具有端口 线 速 转 发 的 能 力 , 对 于 超 过 端 口 处 理 能 力 的 IPv6流 量 采 用 按 比 例 丢 弃 的 策略 , 同时应支持基于 VLAN ID、MAC地址 、IPv6地址等字段对转发流量进行流量限制 , 以具备防范流经路由器的大流量攻击的能力 。

　　路由器应支持过滤和丢弃策略 ,支持按优先级处理和带宽保证功能 , 同时宜支持将必要的信息(如IPv6报文类型 、IPv6源地址以及攻击时间等)记录到安全日志中 , 以具备防范针对路由器本身的大流量攻击的能力 。

　　6. 1.4.2 抗畸形包能力

　　攻击者通过向 目标系统发送有缺陷的 IPv6报文 ,使得目标系统在处理这样的 IPv6包时会出现崩溃 ,给目标系统带来损失 。

　　路由器应支持处理 IPv6报文目的地址为其自身的各种类型畸形包 ,包括不限于 :

　　a) 超长包(包长大于 65 535 bytes) ;

　　b) 超短包(包长小于 64bytes) ;

　　c) 链路层错误包 ,例如数据包源 MAC是组播 MAC;

　　d) 网络层错误包 ,例如数据包源和目的 IPv6地址相同 ;

　　e) 应用层错误包 ,例如 BGP4+协议报文 Type字段为全 F;

　　f) LAND攻击报文 ;

　　g) TCP标志位非法攻击报文 ;

　　4

　　GB/T 46240. 1—2025

　　h) Smurf攻击报文 。

　　对于上述 IPv6畸形报文应采取丢弃策略 , 防止影响设备的正常功能 。

　　6. 1.4.3 ND 非法报文攻击防护

　　路由器应支持对 ND非法报文(NS/NA/RS/RA/Redirect)做如下处理 :

　　a) 分片报文丢弃 ;

　　b) 非分片报文且未命中本机路由的丢弃 。

　　6. 1.4.4 IPv6 地址欺骗防护

　　针对网络中 IPv6源地址欺骗报文 ,路由器宜支持 URPF技术来过滤这类报文 ,不应让其在网络中传播 。URPF技术包括 URPF严格模式 、URPF松散模式和基于邻居的 URPF功能 。

　　6. 1.4.5 组播报文抑制

　　路由器在 MPLS/SRv6网络中宜支持 NS组播抑制功能(代答或者组播变单播) ,抑制 NS报文洪泛 ,减轻网络压力 ,保证用户业务的正常运行 。

　　6. 1.4.6 BGP IPv6 FlowSpec

　　路由器宜支持 BGP IPv6FlowSpec,根据通告的 BGP IPv6 FlowSpec路由来获取流量过滤规则并应用到设备的数据平面 ,对占用带宽资源或对服务器攻击的流量进行过滤与控制 ,从而减轻 DDoS攻击的影响 。

　　6. 1.5 安全审计

　　6. 1.5. 1 攻击溯源功能

　　路由器应支持攻击溯源功能 ,采样攻击报文分析生成攻击溯源事件日志或告警 , 内容包括攻击报文的源 MAC地址或者源 IPv6地址等信息 。

　　6. 1.5.2 采样功能

　　路由器宜支持基于流的采样功能 ,利用采样对路由器转发的 IPv6数据报文进行监测 ,作为一种安全监测手段了解业务运行状况 ,如采样监测具有特定目的地址的 IPv6报文 ,分析其对关键服务器的访问流量 ,发现可能的安全隐患 。

　　6. 1.6 系统功能保护

　　路由器应支持对数据平面的敏感数据(如认证凭据)加密保存 ,在用户界面显示的内容中不应出现敏感数据的明文 ,如 :CLI、日志 、告警 、提示信息等 。

　　6. 1.7 安全管理

　　路由器应支持仅高等级权限用户能对数据平面的安全功能进行管理 。

　　6.2 控制平面安全

　　6.2. 1 标识和鉴别

　　6.2. 1. 1 路由认证

　　路由器通过路由协议来传递路由信息 ,计算到达目的网络的最佳路径 , 因此应确保路由信息的完整

　　5

　　GB/T 46240. 1—2025

　　性和可用性 , 同时对路由通告者进行身份认证 , 以免攻击者通过仿冒路由对等体发布不正确或者是不一致的路由信息 ,导致网络服务不可达 。安全要求如下 :

　　a) OSPFv3应支持使用安全算法进行协议报文认证 ;

　　b) IS-ISv6应支持使用安全算法进行协议报文认证 ;

　　c) BGP4+应支持使用安全算法进行协议报文认证 ;

　　d) 宜支持对路由进行路由起源认证 ROA来保证 BGP 的安全性 ;

　　e) 开启不安全算法时宜支持提示安全风险 。

　　6.2. 1.2 ND 报文鉴别功能

　　ND攻击主要 存 在 NS/NA 欺 骗 、DAD 攻 击 、NUD 失 败 等 , 为 应 对 上 述 安 全 威 胁 , 路 由 器 宜 支 持ND 的 CGA地址和 CGA选项 、RSA选项 ,用来验证 ND消息的发送者的合法性和报文的完整性 ,使用Timestamp和 Nonce选项用来防止重放攻击 。

　　路由器应支持丢弃从相邻节点收到的所有 Hop Limit域值小于 255 的 ND报文 。

　　路由器宜支持校验 NS、RS和 RA报文中源 MAC和 SLLA 中的 MAC一致性 ,宜支持校验 NA 报文中源 MAC和 TLLA 中的 MAC一致性 。

　　6.2.2 可信通道

　　可信信道安全要求如下 :

　　a) RIPng应支持 IPsec实现交互实体的鉴别和交互信息的安全 ;

　　b) OSPFv3宜支持 IPsec实现交互实体的鉴别和交互信息的安全 ;

　　c) BGP4+宜支持 TLS实现交互实体的鉴别和交互信息的安全 ;

　　d) PIMv6宜支持 IPsec实现交互实体的鉴别和交互信息的安全 。

　　6.2.3 系统访问

　　路由器应支持路由策略和路由过滤功能 ,实现 IPv6路由协议对路由信息的发布和接收时 , 只发布某些指定的路由信息 ,只接收符合某些条件的路由信息 。应支持按 IPv6地址 、自治系统路径 、团体属性等进行过滤 。

　　6.2.4 资源分配

　　6.2.4. 1 关闭 ICMPv6 功能

　　ICMPv6主要用于网络操作和故障排除 ,但也可能被利用于攻击网络 , 因此路由器应支持关闭相关功能 ,包括如下 :

　　a) Type1: 目的地不可达 ;

　　b) Type2:分组过大 ;

　　c) Type3:超时 ;

　　d) Type4:参数错误 ;

　　e) Type130/131/132:组播监听者消息 ;

　　f) Type133/134:路由器请求/通告消息 ;

　　g) Type137:重定向消息 。

　　6.2.4.2 关闭 Hop-by-Hop选项功能

　　路由器宜支持关闭 IPv6扩展头 Hop-by-Hop选项功能 。

　　6

　　GB/T 46240. 1—2025

　　6.2.5 安全审计

　　路由器应支持对接口状态变化 、IPv6路由表项数量超限等事件进行日志记录 。

　　6.2.6 系统功能保护

　　路由器应支持对控制平面的敏感数据(如认证凭据)加密保存 ,在用户界面显示的内容中不应出现敏感数据的明文 ,如 :CLI、日志 、告警 、提示信息等 。

　　6.2.7 安全管理

　　路由器应支持仅高等级权限用户能对控制平面的安全功能进行管理 。

　　6.3 管理平面安全

　　6.3. 1 标识和鉴别

　　路由器标识和鉴别要求应符合 GB/T 41269—2022中 5. 7 的规定 。

　　6.3.2 可信信道

　　可信信道安全要求如下 :

　　a) 路由器应支持 SSH ,保证与管理系统(管理用户)间数据传输安全 ;

　　b) 路由器应支持 TLS,保证与 日志服务器间数据传输安全 。

　　6.3.3 系统访问

　　6.3.3. 1 访问控制安全

　　路由器访问控制安全要求应符合 GB/T 41269—2022中 5. 8 的规定 。

　　6.3.3.2 串 口访问

　　路由器支持串口访问 ,安全要求如下 :

　　a) 用户应提供用户名/口令才能进行后续的操作 ;

　　b) 用户所有的关键操作行为都应记录到 日志文件中 ;

　　c) 在设定的时间内不进行交互 ,用户应自动被退出登录 。

　　6.3.3.3 SSH 访问

　　路由器支持 SSH 访问 ,安全要求如下 :

　　a) 应支持 SSHv2版本 ,默认不使用 SSHv1. x,如开启 SSHv1. x应向用户提示安全风险 ;

　　b) SSH 服务器宜支持认证超时机制 ,在超时范围内没有通过认证应断开连接 , 限制客户端或用户在一个会话上认证尝试的次数 ;

　　c) 宜支持限定用户通过哪些 IPv6地址使用 SSH 服务对设备进行访问 ;

　　d) 宜支持限定 SSH 服务器监听在固定 IPv6地址 ;

　　e) 宜支持配置 SSH 服务端的侦听端口号 ;

　　f) 应支持安全的认证 、加密 、密钥交换等密码算法套件 ,开启不安全的认证 、加密 、密钥交换等密码算法套件宜支持提示安全风险 ;

　　g) 应支持关闭 SSH 服务 。

　　7

　　GB/T 46240. 1—2025

　　6.3.3.4 SNMP访问

　　路由器支持 SNMP访问 ,安全要求如下 :

　　a) 应支持 SNMPv3;

　　b) 可支持 SNMPv1和 SNMPv2c,但应提供禁用功能 ,并且缺省应是禁用的 ;

　　c) 应支持基于 IPv6地址对 SNMP会话进行限制 ;

　　d) SNMPv1和 SNMPv2c不应使用缺省团体名 。

　　6.3.4 资源分配

　　路由器应具备抵御管理平面协议常见攻击能力 ,包括不限于 :

　　a) 防范异常报文攻击 ;

　　b) 防范拒绝服务攻击 。

　　6.3.5 安全审计

　　路由器安全审计要求应满足 GB/T 41269—2022中 5. 9 的规定 。

　　6.3.6 系统功能保护

　　路由器应支持管理平面的敏感数据(如认证凭据)加密保存 ,在用户界面显示的内容中不应出现敏感数据的明文 ,如 :CLI、日志 、告警 、提示信息等 。

　　路由器宜支持设备启动时以硬件可信根为起点,逐级校验启动链上固件或软件的数字签名保证其完整性和真实性 ,确保启动时系统软件不被篡改 。

　　其他要求应符合 GB/T 41269—2022中 5. 4 的规定 。

　　6.3.7 安全管理

　　6.3.7. 1 分级分权管理

　　路由器应支持仅高等级权限用户能对管理平面的安全功能进行管理 。

　　6.3.7.2 不安全配置检查

　　路由器宜支持检查不安全配置的能力 ,检查系统中是否配置了不安全的密码算法或者协议 。

　　6.3.7.3 数字证书管理

　　路由器宜支持证书管理功能 , 支持证书导入/更新 、证书过期告警 、证书吊销列表的导入与更新等功能 。

　　6.3.7.4 密码要求

　　本文件凡涉及密码算法的相关内容 ,按照国家有关规定实施 。

　　7 测试方法

　　7. 1 测试环境

　　测试环境 1 如图 2所示 。

　　8

　　GB/T 46240. 1—2025

　　图 2 测试环境 1

　　测试环境 2 如图 3所示 。

　　图 3 测试环境 2

　　测试环境 3 如图 4所示 。

　　图 4 测试环境 3

　　测试环境 4如图 5所示 。

　　图 5 测试环境 4

　　9

　　GB/T 46240. 1—2025

　　测试环境 5 如图 6所示 。

　　图 6 测试环境 5

　　测试环境 6如图 7所示 。

　　图 7 测试环境 6

　　测试环境 7如图 8所示 。

　　图 8 测试环境 7

　　7.2 数据平面安全测试

　　7.2. 1 标识和鉴别

　　7.2. 1. 1 SRv6 报文鉴别功能

　　7.2. 1. 1. 1 SRv6 域内 SID分配功能

　　按照 6. 1. 1. 1 的安全要求 ,该测试项包含如下内容 。

　　10

　　GB/T 46240. 1—2025

　　a) 预置条件 :按照图 8测试环境 7搭建好测试环境 。

　　b) 测试方法 :在 DUT2和 DUT3上配置 SRv6业务形成 SRv6域 ,分配 SID,有预期结果 。

　　c) 预期 结 果 : 在 DUT2 和 DUT3上 查 询 到 SRv6域 内 分 配 的 SID, 在 DUT1上 未 查 询 到 SID信息 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2. 1. 1.2 SRv6 源节点报文过滤功能

　　按照 6. 1. 1. 1 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 8测试环境 7搭建好测试环境 。

　　b) 测试方法 :在 DUT1和 DUT2上配置 SRv6业务形成 SRv6域 ,在 DUT1上设置 ACL策略应用于接 口 1,丢弃源地址或目的地址是 SRv6域内的 SID空间地址的报文 ,从仪表接 口 A 向仪表接 口 B发送符合过滤条件的 SRv6报文 ,有预期结果 。

　　c) 预期结果 :DUT1丢弃仪表接 口 A发送的 SRv6报文 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2. 1. 1.3 跨域 SRv6 BindingSID 报文过滤功能

　　按照 6. 1. 1. 1 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 8测试环境 7搭建好测试环境 。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2之间配置 SRv6业务形成 SRv6域 ,在 DUT1上配置 SRv6BindingSID且设置 ACL策略应用于接 口 1,允许目的地址是 BindingSID的报文通过 ;

　　2) 仪表接 口 A发送目的地址是 BindingSID的 SRv6报文 ,有预期结果 1;

　　3) 仪表接 口 A发送目的地址不是 BindingSID的 SRv6报文 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1允许仪表接 口 A发送的 SRv6报文通过 ;

　　2) DUT1丢弃仪表接 口 A发送的 SRv6报文 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2. 1. 1.4 SRv6 支持 HMAC功能

　　按照 6. 1. 1. 1 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 8测试环境 7搭建好测试环境 。

　　b) 测试方法 :在 DUT1和 DUT2上配置 SRv6业务形成 SRv6域 ,并开启 HMAC功能 ,仪表 口 A发送携带 HMAC字段的 SRv6报文 ,有预期结果 。

　　c) 预期结果 :DUT1上 HMAC功能正常 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2. 1.2 DHCPv6 Snooping功能

　　按照 6. 1. 1. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 6测试环境 5搭建好测试环境 。

　　b) 测试方法 :

　　1) DUT1配 置 DHCPv6 Snooping和 DHCPv6 Relay, DUT2配 置 DHCPv6 Server, DUT1和 DUT2之间配置 IPv6功能 ,仪表接 口 A模拟 DHCPv6用户上线 ,参数为 IPv6地址 1和 MAC地址 1,有预期结果 1;

　　11

　　GB/T 46240. 1—2025

　　2) 测试仪表 口 A发送 IPv6数据包 ,参数为 IPv6地址 1 和 MAC地址 1,有预期结果 2;

　　3) 测试仪表 口 A发送 IPv6数据包 ,参数为 IPv6地址 2 和 MAC地址 2,有预期结果 3。

　　c) 预期结果 :

　　1) DUT1上查询到动态绑定表 ;

　　2) DUT1不丢弃 IPv6数据包 ,继续转发 ;

　　3) DUT1丢弃 IPv6数据包 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.2 可信信道

　　7.2.2. 1 IPsec密钥管理功能

　　按照 6. 1. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 6测试环境 5搭建好测试环境 。

　　b) 测试方法 :在 DUT1上配置 IPsec,有预期结果 。

　　c) 预期结果 :支持手工密钥管理配置或者 IKE 自动密钥管理配置 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.2.2 IPsecAH 安全协议功能

　　按照 6. 1. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 6测试环境 5搭建好测试环境 。

　　b) 测试方法 :

　　1) 在 DUT1上配置 IPsec AH 的密码算法 ,有预期结果 1;

　　2) 配置 DUT1和 DUT2建立 IPsec连接 ,分别采用 AH 传输模式和隧道模式 , 由仪表接 口A 向仪表接 口 B发 Ping包 ,有预期结果 2。

　　c) 预期结果 :

　　1) 支持配置安全算法 ,配置不安全算法时提示安全风险 ;

　　2) IPsec AH 安全协议功能正常 ,仪表接 口 B能正确回应 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.2.3 IPsecESP安全协议功能

　　按照 6. 1. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 6测试环境 5搭建好测试环境 。

　　b) 测试方法 :

　　1) 在 DUT1上配置 IPsec ESP 的密码算法 ,有预期结果 1;

　　2) 配置 DUT1和 DUT2建立 IPsec连接 ,分别采用 ESP传输模式和隧道模式 , 由仪表接 口A 向仪表接 口 B发 Ping包 ,有预期结果 2。

　　c) 预期结果 :

　　1) 支持配置安全算法 ,配置不安全算法时提示安全风险 ;

　　2) IPsec ESP安全协议功能正常 ,仪表接 口 B正确回应 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.2.4 IPsecAH 和 ESP嵌套功能

　　按照 6. 1. 2 的安全要求 ,该测试项包含如下内容 。

　　12

　　GB/T 46240. 1—2025

　　a) 预置条件 :按照图 6测试环境 5搭建好测试环境 。

　　b) 测试方法 :配置 DUT1和 DUT2建立 IPsec连接 ,配置 AH 与 ESP嵌套功能 ,分别采用传输模式和隧道模式 , 由仪表接 口 A 向仪表接 口 B发 Ping包 ,有预期结果 。

　　c) 预期结果 :IPsec AH 和 ESP嵌套功能正常 ,仪表接 口 B正确回应 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.3 系统访问

　　按照 6. 1. 3 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境 。

　　b) 测试方法 :

　　1) DUT接 口 1 与仪表接 口 A 上配置 IPv6地址,在 DUT 接 口 1 上配置 ACL规则(基于源MAC、源目的 IPv6地址 、协议类型 、源 目 的端口 、指定时间段 等) , ACL行 为 设 置 为 允 许和统计 ;

　　2) 由仪表接 口 A 向仪表接 口 B发送与 ACL规则一致的 IPv6数据包 ,有预期结果 1;

　　3) 修改 ACL行为为禁止和统计 ,有预期结果 2;

　　4) 停止步骤 2 的数据包 ,修改发送与 ACL规则不一致的 IPv6数据包 ,有预期结果 3;

　　5) 修改 ACL行为为允许和统计 ,有预期结果 4;

　　6) 设置 ACL规则生效的时间段 ,重复上述步骤 1) ~ 步骤 4) ,有预期结果 5。

　　c) 预期结果 :

　　1) 仪表接 口 B 收到数据包 ,查看 DUT上有匹配报文统计计数 ;

　　2) 仪表接 口 B未收到数据包 ,查看 DUT上有匹配报文统计计数 ;

　　3) 仪表接 口 B 收到数据包 ,查看 DUT上无匹配报文统计计数 ;

　　4) 仪表接 口 B 收到数据包 ,查看 DUT上无匹配报文统计计数 ;

　　5) 在 ACL规则生效时间段内 ,步骤 1) ~ 步骤 3)的测试结果符合预期结果 ,在 ACL规则生效时间段外 ,仪表接 口 B 收到数据包 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.4 资源分配

　　7.2.4. 1 抗大流量攻击能力

　　7.2.4. 1. 1 IPv6 转发大流量防御功能

　　按照 6. 1. 4. 1 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 7测试环境 6搭建好测试环境 。

　　b) 测试方法 :

　　1) 从仪表接 口 B 向仪表接 口 C 以设备接口线速发送数据包 ,有预期结果 1;

　　2) 停止步骤 1)的数据包 ,从仪表接 口 B 向仪表接 口 C 以 2 倍设备接口线速发送数据包 ,有预期结果 2;

　　3) 停止步骤 2) 的 数 据 包 , 在 DUT 接 口 2 上 配 置 ACL规 则(基 于 VLAN ID、MAC地 址 、 IPv6地址等) ,动作为禁止 ,从仪表接 口 B 向仪表接 口 C发送与 ACL规则一致和与 ACL规则不一致的数据包 ,有预期结果 3。

　　c) 预期结果 :

　　13

　　GB/T 46240. 1—2025

　　1) 仪表接 口 C收到数据包且无丢包 ,设备的 CPU 和内存利用率在合理范围内 ;

　　2) 仪表接 口 C收到数据包 ,数据包速率和接口线速之间的误差在合理范围内 ,设备的 CPU和内存利用率在合理范围内 ;

　　3) 仪表接 口 C未收到与 ACL规则一致的数据包 ,仪表接 口 C 收到与 ACL规则不一致的数据包 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.4. 1.2 不同端口下的 IPv6 报文上送大流量防御功能

　　按照 6. 1. 4. 1 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 7测试环境 6搭建好测试环境 。

　　b) 测试方法 :

　　1) 仪表接 口 A 和 DUT接 口 1 间建立路由协议邻居 (如 OSPFv3、IS-ISv6、BGP4+等) ,有预期结果 1;

　　2) 关闭仪表接 口 A 和 DUT 接 口 1 间建立的路由协议邻居(如 OSPFv3、IS-ISv6、BGP4+等) ,有预期结果 2;

　　3) 从仪表接 口 B 向 DUT接 口 2 发送大量攻击数据包(如 OSPFv3、IS-ISv6、BGP4+等) 报文 ,再开启步骤 2)关闭的背景业务 ,有预期结果 3。

　　c) 预期结果 :

　　1) 仪表接 口 A 和设备接 口 1 间的路由协议邻居建立 ;

　　2) 仪表接 口 A 和设备接 口 1 间的路由协议邻居中断 ;

　　3) 仪表接 口 A 和设备接 口 1 间的路由协议邻居建立 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.4. 1.3 相同协议不同邻居间的 IPv6 报文上送大流量防御功能

　　按照 6. 1. 4. 1 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 7测试环境 6搭建好测试环境 。

　　b) 测试方法 :仪表接 口 A、B 和 DUT 接 口 1、2 间分别建立路由协议邻居(如 OSPFv3、IS-ISv6、 BGP4+等) ,在仪表接 口 B 抓 取 协 议 首 包 或 保 活 报 文 进 行 重 放 泛 洪 攻 击 至 DUT 上 , 有 预 期结果 。

　　c) 预期结果 :在重放攻击过程中 ,仪表接 口 A 和 DUT 接 口 1 之间的路由协议邻居不中断 ,安全日志中记录相关的攻击信息(如源地址以及攻击时间等) 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.4. 1.4 常见 IPv6 报文泛洪攻击防御功能

　　按照 6. 1. 4. 1 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 7测试环境 6搭建好测试环境 。

　　b) 测试方法 :

　　1) 从仪表接 口 A发送 IPv6背景数据包到仪表接 口 B;

　　2) 从仪表接 口 C 向 DUT 自身 IPv6地址(例如 :环回地址 、管理接口地址)发送 ICMPv6 Re- questFlood、TCPv6SYN Flood等攻击数据包 ,攻击数据包和背景数据包总和不超过设备转发能力 ,有预期结果 。

　　c) 预期结果 :攻击对背景数据包转发无影响 ,且设备运行状态(CPU、内存 、告警等)正常 。

　　14

　　GB/T 46240. 1—2025

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.4.2 抗畸形包能力

　　7.2.4.2. 1 IPv6 报文超长超短包攻击防御功能

　　按照 6. 1. 4. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境 。

　　b) 测试方法 :DUT接 口 2 和仪表接 口 B 之间建 立 路 由 协 议 邻 居(如 OSPFv3、IS-ISv6、BGP4+等) ,从仪表 A 口向 DUT接 口 1 发送大量的超长包(包长大于 65 535 bytes) 、超短包(包长小于 64bytes)等畸形数据包 ,有预期结果 。

　　c) 预期结果 :DUT 和仪表接 口 B 的路由协议邻居不中断 ,对畸形数据包做丢弃处理 ,且设备的CPU 和内存利用率在合理范围内 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.4.2.2 IPv6 错误包攻击防御功能

　　按照 6. 1. 4. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境 。

　　b) 测试方法 :DUT接 口 2 和仪表接 口 B 之间建 立 路 由 协 议 邻 居(如 OSPFv3、IS-ISv6、BGP4+等) ,从仪表接 口 A 向 DUT接 口 1 发送大量的链路层错误包 、网络层错误包 、应用层错误包等畸形数据包 ,有预期结果 。

　　c) 预期结果 :DUT接 口 2 和仪表接 口 B 的路由协议邻居不中断 ,对畸形数据包做丢弃处理 ,且设备的 CPU 和内存利用率在合理范围内 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.4.2.3 IPv6 报文 LAND攻击防御功能

　　按照 6. 1. 4. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境 。

　　b) 测试方法 :DUT接 口 2 和仪表接 口 B 之间建 立 路 由 协 议 邻 居(如 OSPFv3、IS-ISv6、BGP4+等) ,从仪表接 口 A 向 DUT接 口 1 发送大量 TCP syn报文畸形报文 ,该报文源目的 IPv6地址均为 DUT接 口 1 的接 口 IPv6地址,有预期结果 。

　　c) 预期结果 :DUT接 口 2 和仪表接 口 B 的路由协议邻居不中断 ,对畸形数据包做丢弃处理 ,且设备的 CPU 和内存利用率在合理范围 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.4.2.4 IPv6 报文 TCP标志位非法攻击防御功能

　　按照 6. 1. 4. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境 。

　　b) 测试方法 :DUT接 口 2 和仪表接 口 B 之间建 立 路 由 协 议 邻 居(如 OSPFv3、IS-ISv6、BGP4+等) ,从仪表接 口 A 向 DUT 接 口 1 分 别 发 送 大 量 的 6 个 TCP 标 志 位(SYN/ACK/PUSH/ RST/FIN/URG)均为 1、6个 TCP标志位 (SYN/ACK/PUSH/RST/FIN/URG)均为 0、TCP标志位 SYN 和 FIN位同时为 1 的畸形数据包 ,有预期结果 。

　　c) 预期结果 :DUT接 口 2 和仪表接 口 B 的路由协议邻居不中断 ,对畸形数据包做丢弃处理 ,且设备的 CPU 和内存利用率在合理范围 。

　　15

　　GB/T 46240. 1—2025

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.4.2.5 IPv6 报文分片攻击防御功能

　　按照 6. 1. 4. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境 。

　　b) 测试方法 :DUT接 口 2 和仪表接 口 B 之间建 立 路 由 协 议 邻 居(如 OSPFv3、IS-ISv6、BGP4+等) ,从 仪 表 接 口 A 向 DUT 接 口 1 发 送 知 名 分 片 攻 击 数 据 包 (例 如 TearDrop、syndrop、 nesta、fawx、bonk、死亡之 Ping、jolt、Rose攻击 、NewTear等) ,有预期结果 。

　　c) 预期结果 :DUT接 口 2 和仪表接 口 B 的路由协议邻居不中断 ,对畸形数据包做丢弃处理 ,且设备的 CPU 和内存利用率在合理范围内 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.4.2.6 IPv6 报文 Smurf攻击防御功能

　　按照 6. 1. 4. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境 。

　　b) 测试方法 :DUT接 口 2 和仪表接 口 B 之间建 立 路 由 协 议 邻 居(如 OSPFv3、IS-ISv6、BGP4+等) ,从仪表接 口 A 向 DUT 接 口 1 发送大量的 目的地址是广播地址的 ICMPv6 echo request数据包 ,有预期结果 。

　　c) 预期结果 :DUT接 口 2 和仪表接 口 B 的路由协议邻居不中断 ,DUT 对畸形数据包做丢弃处理 ,且设备的 CPU 和内存利用率在合理范围内 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.4.3 ND 非法报文攻击防护

　　按照 6. 1. 4. 3 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境 。

　　b) 测试方法 :从仪表 A 口 向 DUT 发送大量的 ND 非法报文(NS/NA/RS/RA/Redirect的分片报文或者 NS/NA/RS/RA/Redirect的非分片报文未命中本机路由的报文) ,有预期结果 。

　　c) 预期结果 :DUT对畸形数据包做丢弃处理 ,且设备的 CPU 和内存利用率在合理范围内 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.4.4 IPv6 地址欺骗防护

　　7.2.4.4. 1 严格 URPF功能

　　按照 6. 1. 4. 4 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 7测试环境 6搭建好测试环境 。

　　b) 测试方法 :

　　1) 仪表接 口 A、B、C分别与 DUT接 口 1、2、3 口建立 BGP4+邻居关系 ,在 DUT接 口 1下启用严格 URPF;

　　2) 从仪表接 口 A 向仪表接 口 B发送数据包 ,数据包源地址为仪表接 口 A 的地址 , 目 的地址为仪表接 口 B 的地址,有预期结果 1;

　　3) 停止步骤 2)的数据包 ,从仪表接 口 A 向仪表接 口 B发送数据包 ,数据包源地址为仪表接口 C 的地址 , 目的地址为仪表接 口 B 的地址,有预期结果 2;

　　4) 停 止 步 骤 3) 的 数 据 包 , 从 仪 表 接 口 A 向 仪 表 接 口 B 发 送 数 据 包 , 数 据 包 源 地 址 为

　　16

　　GB/T 46240. 1—2025

　　DUT上路由表中不存在的 IPv6地址 , 目的地址为仪表接 口 B 的地址,有预期结果 2。

　　c) 预期结果 :

　　1) 仪表接 口 B 收到测试数据包 ;

　　2) 仪表接 口 B未收到测试数据包 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.4.4.2 松散 URPF功能

　　按照 6. 1. 4. 4 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 7测试环境 6搭建好测试环境 。

　　b) 测试方法 :

　　1) 仪表接 口 A、B、C分别与 DUT接 口 1、2、3 口建立 BGP4+邻居关系 ,在 DUT接 口 1启用松散 URPF;

　　2) 从仪表接 口 A 向仪表接 口 B发送数据包 ,数据包源地址为仪表接 口 A 的地址 , 目 的地址为仪表接 口 B 的地址,有预期结果 1;

　　3) 停止步骤 2)的数据包 ,从仪表接 口 A 向仪表接 口 B发送数据包 ,数据包源地址为仪表接口 C 的地址 , 目的地址为仪表接 口 B 的地址,有预期结果 1;

　　4) 停 止 步 骤 3) 的 数 据 包 , 从 仪 表 接 口 A 向 仪 表 接 口 B 发 送 数 据 包 , 数 据 包 源 地 址 为DUT上路由表中不存在的 IPv6地址 , 目的地址为仪表接 口 B 的地址,有预期结果 2。

　　c) 预期结果 :

　　1) 仪表接 口 B 收到测试数据包 ;

　　2) 仪表接 口 B未收到测试数据包 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.4.4.3 基于邻居模式的 URPF功能

　　按照 6. 1. 4. 4 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 7测试环境 6搭建好测试环境 。

　　b) 测试方法 :

　　1) 仪表接 口 A、B、C分别与 DUT接 口 1、2、3 口建立 BGP4+邻居关系 ,在 DUT接 口 1下启用邻居 URPF;

　　2) 从仪表接 口 A 向仪表接 口 C发送数据包 ,数据包源地址为 A 的地址,有预期结果 1;

　　3) 停止步骤 2)中数据包的发送 ,从仪表接 口 A 向仪表接 口 C发送数据包 ,数据包源地址为B 的地址,有预期结果 2;

　　4) 停止步骤 3)中数据包的发送 ,从仪表接 口 B 向仪表接 口 C发送数据包 ,数据包源地址为B 的地址,有预期结果 1。

　　c) 预期结果 :

　　1) 仪表接 口 C 收到测试数据包 ;

　　2) 仪表接 口 C未收到测试数据包 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.4.5 组播报文抑制

　　按照 6. 1. 4. 5 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 6测试环境 5搭建好测试环境 。

　　b) 测试方法 :

　　17

　　GB/T 46240. 1—2025

　　1) DUT1 和 DUT2建 立 EVPN MPLS 网 络 , 仪 表 接 口 A 和 B 分 别 通 过 BD 接 入 EVPN MPLS网络 ;

　　2) 在 DUT1开启 ND代 答 功 能 , 在 DUT2上 配 置 组 播 抑 制 功 能 , 仪 表 接 口 A 模 拟 用 户 上线 , 仪表接 口 B发送 NS组播报文到 DUT2,请求获得仪表接 口 A 模拟用户的 MAC地址,有预期结果 。

　　c) 预期结果 :DUT2不会转发 NS报文 ,发送 NA单播报文回应给仪表接 口 B。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.4.6 BGP IPv6 FlowSpec

　　按照 6. 1. 4. 6 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 6测试环境 5搭建好测试环境 。

　　b) 测试方法 :

　　1) DUT1和 DUT2 间配置 BGP4+邻居关系 , 在 DUT1创建 BGP IPv6 Flow Specificaiton路由基于源地址的数据包过滤规则并设置动作为丢弃 ,DUT1和 DUT2间配置 BGP IPv6 Flow Specification对等体关系 ,PortB 构造源地址和过滤规则一致的 数 据 包 ,有 预 期 结果 1;

　　2) PortB构造源地址和过滤规则不一致的数据包 ,有预期结果 2。

　　c) 预期结果 :

　　1) 查看 BGP IPv6Flow Specification路由数据包匹配统计信息 ,有丢包信息 ;

　　2) 查看 BGP IPv6Flow Specification路由数据包匹配统计信息 ,无丢包信息 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.5 安全审计

　　7.2.5. 1 攻击溯源功能

　　按照 6. 1. 5. 1 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境 。

　　b) 测试方法 :在测试上构造 IPv6攻击报文(如 TCPv6标志位非法报文) ,发送到 DUT上 ,有预期结果 。

　　c) 预期结果 :查看到溯源信息 ,攻击溯源信息里面包含了攻击报文的源 IPv6地址或者源 MAC等信息 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.5.2 采样功能

　　按照 6. 1. 5. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境 。

　　b) 测试方法 :

　　1) DUT配置流采样功能 ,并配置相应的规则 ;

　　2) 从仪表接 口 A 向仪表接 口 B发送相应的流 ,有预期结果 。

　　c) 预期结果 :DUT按照配置的规则采集到相应的报文 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.6 系统功能保护

　　按照 6. 1. 6 的安全要求 ,该测试项包含如下内容 。

　　18

　　GB/T 46240. 1—2025

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境 。

　　b) 测试方法 :识别控制平面相关的敏感数据 ,例如在 DUT1和 DUT2上配置相同认证凭据建立IPsec连接 ,有预期结果 。

　　c) 预 期 结 果 : 敏 感 数 据(如 IPsec认 证 凭 据) 在 CLI、日 志 、告 警 、提 示 信 息 等 都 没 有 出 现 明 文信息 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2.7 安全管理

　　按照 6. 1. 7 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 4测试环境 3搭建好测试环境 。

　　b) 测试方法 :

　　1) 登录 DUT,分别添加不同级别的 2个用户 user1、user2,为 user1配置低等级权限 ,仅具有状态查询权限 ,为 user2配置高等级权限 ,具有涉及数据平面的重要功能如 ACL规则 、非法报文防御等配置权限 ;

　　2) 分别使用 user1、user2登录 DUT,对 DUT进行状态查询 、ACL规则 、非法报文防御等配置或操作 ,有预期结果 。

　　c) 预期结果 :user1仅支持进行状态查询操作 ,不支持涉及数据平面的重要功能如 ACL规则 、非法报文防御等配置或操作 ; user2支持涉及数据平面的重要功能如 ACL规则 、非法报文防御等配置或操作 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.3 控制平面安全测试

　　7.3. 1 标识和鉴别

　　7.3. 1. 1 路由认证

　　7.3. 1. 1. 1 OSPFv3 支持 HMAC-SHA256认证功能

　　按照 6. 2. 1. 1 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境 。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置 OSPFv3的 HMAC-SHA256认证 ,密钥不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置 OSPFv3的 HMAC-SHA256认证 ,密钥相同 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2未建立 OSPFv3邻居关系 ;

　　2) DUT1和 DUT2建立 OSPFv3邻居关系 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.3. 1. 1.2 IS-ISv6 支持 HMAC-MD5验证功能

　　按照 6. 2. 1. 1 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境 。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置 IS-ISv6的 HMAC-MD5认证 ,密钥不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置 IS-ISv6的 HMAC-MD5认证 ,密钥相同 ,有预期结果 2。

　　19

　　GB/T 46240. 1—2025

　　c) 预期结果 :

　　1) DUT1和 DUT2都提示 HMAC-MD5认证不安全 ,未建立 IS-ISv6邻接关系 ;

　　2) DUT1和 DUT2都提示 HMAC-MD5认证不安全 ,并建立 IS-ISv6邻接关系 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.3. 1. 1.3 IS-ISv6 支持 HMAC-SHA256认证功能

　　按照 6. 2. 1. 1 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境 。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置 IS-ISv6的 HMAC-SHA256认证 ,密钥不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置 IS-ISv6的 HMAC-SHA256认证 ,密钥相同 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2未建立 IS-ISv6邻接关系 ;

　　2) DUT1和 DUT2建立 IS-ISv6邻接关系 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.3. 1. 1.4 BGP4+支持 MD5认证功能

　　按照 6. 2. 1. 1 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境 。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置 BGPv4+的 MD5认证 ,密钥不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置 BGPv4+的 MD5认证 ,密钥相同 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2都提示 MD5认证算法不安全 ,未建立 BGP4+邻接关系 ;

　　2) DUT1和 DUT2都提示 MD5认证算法不安全 ,并建立 BGP4+邻接关系 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.3. 1. 1.5 BGP4+支持 HMAC-SHA256认证功能

　　按照 6. 2. 1. 1 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境 。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置 BGPv4+的 HMAC-SHA256认证 ,密钥不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置 BGPv4+的 HMAC-SHA256认证 ,密钥相同 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2未建立 BGP4+邻接关系 ;

　　2) DUT1和 DUT2建立 BGP4+邻接关系 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.3. 1. 1.6 BGP4+路由起源认证功能

　　按照 6. 2. 1. 1 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境 。

　　b) 测试方法 :

　　20

　　GB/T 46240. 1—2025

　　1) 在 DUT1和 DUT2间建立 EBGP4+邻居关系 ,创建和配置静态 ROA 数据库 ,有预期结果 1;

　　2) 在 DUT1配置 RPKI的路由起源 AS验证功能 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2建立 BGP4+邻接关系 ;

　　2) DUT1上 BGP4+路由起源 AS验证结果正确 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.3. 1.2 ND 报文鉴别功能

　　7.3. 1.2. 1 ND 报文 MAC校验功能

　　按照 6. 2. 1. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境 。

　　b) 测试方法 :

　　1) DUT上配置 ND 的 MAC校验 ,从仪表接 口 A 向 DUT 发送 NS/RA/RS报文 ,报文构造为源 MAC与 SLLA不一致且目的 IP是 DUT接 口 1 的 IPv6地址,有预期结果 1;

　　2) 从仪表接 口 A 向 DUT发送 NS/RA/RS报文 ,报文构造为源 MAC与 SLLA一致且 目 的IP是 DUT接 口 1 的 IPv6地址,有预期结果 2;

　　3) 从仪表接 口 A 向 DUT发送 NA报文 ,报文构造为源 MAC与 TLLA不一致且目的 IP是DUT接 口 1 的 IPv6地址,有预期结果 3;

　　4) 从仪表接 口 A 向 DUT 发送 NA 报文 ,报文构造为源 MAC与 TLLA 一致且 目 的 IP是DUT接 口 1 的 IPv6地址,有预期结果 4。

　　c) 预期结果 :

　　1) DUT丢弃 NS/RA/RS报文 ;

　　2) DUT不丢弃 NS/RA/RS报文 ;

　　3) DUT丢弃 NA报文 ;

　　4) DUT不丢弃 NA报文 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.3. 1.2.2 ND 报文时间戳/CGA/RSA选项校验功能

　　按照 6. 2. 1. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境 。

　　b) 测试方法 :

　　1) DUT接 口 1 配 置 ND 报 文 Timestamp校 验 功 能 , 从 仪 表 接 口 A 向 DUT 发 送 ND 报文 ,有预期结果 1;

　　2) DUT 接 口 1 配 置 ND 报 文 CGA/RSA 校 验 功 能 , 从 仪 表 接 口 A 向 DUT 发 送 ND 报文 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT上 ND报 文 接 收 时 刻 与 发 送 时 刻 的 差 值 超 出 接 口 1 可 接 收 的 时 间 范 围 , 则 报 文丢弃 ;

　　2) DUT上 ND 报 文 接 收 时 验 证 发 送 方 CGA 地 址 不 匹 配 或 RSA 签 名 校 验 失 败 , 则 报 文丢弃 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　21

　　GB/T 46240. 1—2025

　　7.3. 1.2.3 ND 报文 Nonce功能

　　按照 6. 2. 1. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 6测试环境 5搭建好测试环境 。

　　b) 测试方法 :DUT1和 DUT2间配置 IPv6,多次抓取 DUT 间发送的 NS报文 ,有预期结果 。

　　c) 预期结果 :Nonce字段内容是不相同的随机数 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.3. 1.2.4 ND 报文 Hop Limit值限制功能

　　按照 6. 2. 1. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境 。

　　b) 测试方法 :从仪表接 口 A发送 Hop Limit值小于 255的 ND报文 ,有预期结果 。

　　c) 预期结果 :DUT丢弃收到的 ND报文 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.3.2 可信信道

　　7.3.2. 1 RIPng支持 IPsec功能

　　按照 6. 2. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境 。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置 RIPng的 IPsec认证 ,认证凭据不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置 RIPng的 IPsec认证 ,认证凭据相同 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2未建立 RIPng邻居关系 ;

　　2) DUT1和 DUT2建立 RIPng邻居关系 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.3.2.2 OSPFv3 支持 IPsec功能

　　按照 6. 2. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境 。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置 OSPFv3的 IPsec认证 ,认证凭据不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置 OSPFv3的 IPsec认证 ,认证凭据相同 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2未建立 OSPFv3邻居关系 ;

　　2) DUT1和 DUT2建立 OSPFv3邻居关系 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.3.2.3 BGP4+支持 TLS功能

　　按照 6. 2. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境 。

　　b) 测试方法 :

　　22

　　GB/T 46240. 1—2025

　　1) 在 DUT1和 DUT2上配置 BGP4+的 TLS认证 ,认证凭据不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置 BGP4+的 TLS认证 ,认证凭据相同 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2未建立 BGP4+邻接关系 ;

　　2) DUT1和 DUT2建立 BGP4+邻接关系 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.3.2.4 PIMv6 支持 IPsec功能

　　按照 6. 2. 2 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境 。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置 PIMv6的 IPsec认证 ,认证凭据不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置 PIMv6的 IPsec认证 ,认证凭据相同 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2未建立 PIMv6表项 ;

　　2) DUT1和 DUT2建立 PIMv6表项 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.3.3 系统访问

　　7.3.3. 1 BGP4+入向路由过滤功能

　　按照 6. 2. 3 的安全要求 ,该测试项包含如下内容 。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境 。

　　b) 测试方法 :仪表接 口 A 与 DUT 间建立 BGP4+邻接关系 ,在 DUT1上配置入向路由过滤 ,过滤特定前缀的路由 ,从仪表接 口 A 向 DUT 发布 2 条 BGP4+路