您当前的位置：首页 > GB/T 46240.2-2025 IPv6网络设备安全技术要求和测试方法第2部分：交换机 > 下载地址1

GB/T 46240.2-2025 IPv6网络设备安全技术要求和测试方法第2部分：交换机

名称：GB/T 46240.2-2025 IPv6网络设备安全技术要求和测试方法第2部分：交换机 - 下载地址1
下载地址：[下载地址1]
提取码：
浏览次数：3

下载帮助：

发表评论

加入收藏夹

错误报告

新闻评论（共有 0 条评论）

资料介绍

　　ICS 33. 040.40 CCS M 32

　　中华人民共和国国家标准

　　GB/T 46240.2—2025

　　IPv6 网络设备安全技术要求和测试方法

　　第 2 部分:交换机

　　Security requirementsand testing methodsofIPv6 network equipment—

　　Part2:Switch

　　2025-08-29发布 2025-12-01实施

　　国家市场监督管理总局国家标准化管理委员会

　　发

　　布

　　GB/T 46240.2—2025

　　前言 Ⅴ

　　引言 Ⅵ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 缩略语 1

　　5 通则 2

　　6 安全技术要求 3

　　6. 1 数据平面安全 3

　　6. 1. 1 标识和鉴别 3

　　6. 1. 2 可信信道 3

　　6. 1. 3 系统访问 3

　　6. 1. 4 资源分配 3

　　6. 1. 4. 1 抗大流量攻击能力 3

　　6. 1. 4. 2 抗畸形包能力 4

　　6. 1. 4. 3 ND非法报文攻击防护 4

　　6. 1. 4. 4 IPv6地址欺骗防护 4

　　6. 1. 4. 5 组播报文抑制 4

　　6. 1. 5 安全审计 4

　　6. 1. 5. 1 攻击溯源功能 4

　　6. 1. 5. 2 采样功能 4

　　6. 1. 6 系统功能保护 5

　　6. 1. 7 安全管理 5

　　6. 2 控制平面安全 5

　　6. 2. 1 标识和鉴别 5

　　6. 2. 1. 1 路由认证 5

　　6. 2. 1. 2 ND报文鉴别功能 5

　　6. 2. 1. 3 智能无损存储网络认证 5

　　6. 2. 1. 4 跨设备链路聚合认证 5

　　6. 2. 1. 5 OpenFlow 认证 5

　　6. 2. 2 可信信道 5

　　6. 2. 3 系统访问 6

　　6. 2. 4 资源分配 6

　　Ⅰ

　　GB/T 46240.2—2025

　　6. 2. 4. 1 MAC地址学习限制 6

　　6. 2. 4. 2 关闭 ICMPv6功能 6

　　6. 2. 4. 3 关闭 Hop-by-Hop选项功能 6

　　6. 2. 5 安全审计 6

　　6. 2. 6 系统功能保护 6

　　6. 2. 7 安全管理 6

　　6. 3 管理平面安全 6

　　6. 3. 1 标识和鉴别 6

　　6. 3. 2 可信信道 6

　　6. 3. 3 系统访问 7

　　6. 3. 3. 1 访问控制安全 7

　　6. 3. 3. 2 串口访问 7

　　6. 3. 3. 3 SSH 访问 7

　　6. 3. 3. 4 SNMP访问 7

　　6. 3. 3. 5 Web访问 7

　　6. 3. 4 资源分配 7

　　6. 3. 5 安全审计 8

　　6. 3. 6 系统功能保护 8

　　6. 3. 7 安全管理 8

　　6. 3. 7. 1 分级分权管理 8

　　6. 3. 7. 2 不安全配置检查 8

　　6. 3. 7. 3 数字证书管理 8

　　6. 3. 7. 4 密码要求 8

　　7 测试方法 8

　　7. 1 测试环境 8

　　7. 2 数据平面安全测试 10

　　7. 2. 1 标识和鉴别 10

　　7. 2. 1. 1 802. 1X接入认证功能 10

　　7. 2. 1. 2 MAC接入认证功能 11

　　7. 2. 1. 3 MAC地址漂移检测功能 11

　　7. 2. 2 可信信道 11

　　7. 2. 3 系统访问 11

　　7. 2. 4 资源分配 12

　　7. 2. 4. 1 抗大流量攻击能力 12

　　7. 2. 4. 2 抗畸形包能力 13

　　7. 2. 4. 3 ND非法报文攻击防护 15

　　7. 2. 4. 4 IPv6地址欺骗防护 15

　　Ⅱ

　　GB/T 46240.2—2025

　　7. 2. 4. 5 组播报文抑制 16

　　7. 2. 5 安全审计 16

　　7. 2. 5. 1 攻击溯源功能 16

　　7. 2. 5. 2 采样功能 16

　　7. 2. 6 系统功能保护 16

　　7. 2. 7 安全管理 17

　　7. 3 控制平面安全测试 17

　　7. 3. 1 标识和鉴别 17

　　7. 3. 1. 1 路由认证 17

　　7. 3. 1. 2 ND报文鉴别功能 18

　　7. 3. 1. 3 智能无损存储网络认证 19

　　7. 3. 1. 4 跨设备链路聚合认证 20

　　7. 3. 1. 5 OpenFlow 认证 20

　　7. 3. 2 可信信道 20

　　7. 3. 2. 1 RIPng支持 IPsec功能 20

　　7. 3. 2. 2 OSPFv3支持 IPsec功能 21

　　7. 3. 2. 3 BGP4+支持 TLS功能 21

　　7. 3. 3 系统访问 21

　　7. 3. 3. 1 BGP4+入向路由过滤功能 21

　　7. 3. 3. 2 BGP4+出向路由过滤功能 21

　　7. 3. 3. 3 基于 BGP4+属性的路由过滤功能 22

　　7. 3. 3. 4 路由重分布中的路由过滤功能 22

　　7. 3. 4 资源分配 22

　　7. 3. 4. 1 MAC地址学习限制 22

　　7. 3. 4. 2 关闭 ICMPv6功能 23

　　7. 3. 4. 3 关闭 Hop-by-Hop选项功能 23

　　7. 3. 5 安全审计 23

　　7. 3. 6 系统功能保护 23

　　7. 3. 7 安全管理 24

　　7. 4 管理平面安全测试 24

　　7. 4. 1 标识和鉴别 24

　　7. 4. 2 可信信道 24

　　7. 4. 2. 1 SSH 24

　　7. 4. 2. 2 TLS 24

　　7. 4. 3 系统访问 25

　　7. 4. 3. 1 访问控制安全 25

　　7. 4. 3. 2 串口访问 25

　　Ⅲ

　　GB/T 46240.2—2025

　　7. 4. 3. 3 SSH 访问 25

　　7. 4. 3. 4 SNMP访问 26

　　7. 4. 3. 5 Web访问 26

　　7. 4. 4 资源分配 26

　　7. 4. 4. 1 管理平面协议防范异常报文攻击 26

　　7. 4. 4. 2 管理平面协议防范拒绝服务攻击 27

　　7. 4. 5 安全审计 27

　　7. 4. 6 系统功能保护 27

　　7. 4. 6. 1 敏感数据加密保存 27

　　7. 4. 6. 2 安全启动功能 27

　　7. 4. 6. 3 预装软件启动及更新安全 28

　　7. 4. 7 安全管理 28

　　7. 4. 7. 1 分级分权管理 28

　　7. 4. 7. 2 不安全配置检查 28

　　7. 4. 7. 3 数字证书管理 28

　　参考文献 29

　　Ⅳ

　　GB/T 46240.2—2025

　　前言

　　本文件按照 GB/T 1. 1—2020《标准化工作导则第 1部分 :标准化文件的结构和起草规则》的规定起草。

　　本文件是 GB/T 46240《IPv6网络设备安全技术要求和测试方法》的第 2 部分。GB/T 46240 已经发布了以下部分 :

　　— 第 1部分 :路由器 ;

　　— 第 2部分 :交换机。

　　请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

　　本文件由中华人民共和国工业和信息化部提出。

　　本文件由全国通信标准化技术委员会(SAC/TC485)归口。

　　本文件起草单位 : 中国信息通信研究院、华为技术有限公司、国家计算机网络应急技术处理协调中心、国家石油天然气管网集团有限公司、中讯邮电咨询设计院有限公司、中兴通讯股份有限公司、国家工业信息安全发展研究中心、中国福利会国际和平妇幼保健院、山石网科通信技术股份有限公司、哈尔滨华德学院。

　　本文件主要起草人 :葛裴、夏立强、刘述、胡俊理、王文磊、瞿洁武、王力、李长连、王东博、周继华、刘子贺、陈昌杰、徐俊、吴迪。

　　Ⅴ

　　GB/T 46240.2—2025

　　引言

　　根据《关于加快推进互联网协议第六版 (IPv6)规模部署和应用工作的通知》,为加快解决网络设备 IPv6安全方面的缺失 ,推动 IPv6规模部署和应用创新成果标准化 ,我国制定了一系列 IPv6应用标准。其中 ,GB/T 46240《IPv6网络设备安全技术要求和测试方法》是为规范和指导我国 IPv6规模部署的顺利推进而制定的标准 ,拟由两个部分构成。

　　— 第 1部分 :路由器。目的在于提出并规范路由器 IPv6安全开发和应用。

　　— 第 2部分 :交换机。目的在于提出并规范交换机 IPv6安全开发和应用。

　　Ⅵ

　　GB/T 46240.2—2025

　　IPv6 网络设备安全技术要求和测试方法

　　第 2 部分:交换机

　　1 范围

　　本文件规定了支持 IPv6能力的交换机的安全架构 , 以及数据平面、控制平面、管理平面的安全技术要求 ,描述了相应的测试方法。

　　本文件适用于支持 IPv6能力的交换机设备的设计、开发和测试。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中 , 注日期的引用文件 ,仅该日期对应的版本适用于本文件 ;不注日期的引用文件 ,其最新版本(包括所有的修改单) 适用于本文件。

　　GB/T 25069 信息安全技术术语

　　GB/T 41267—2022 网络关键设备安全技术要求交换机设备

　　3 术语和定义

　　GB/T 25069界定的以及下列术语和定义适用于本文件。

　　3. 1

　　交换机 switch

　　利用内部交换机制来提供联网设备之间连通性的设备。

　　注 : 交换机中的交换机制通常在开放系统互联(OSI)参考模型的第 2层或第 3层实现。

　　[来源 :GB/T 41267—2022,3. 1]

　　4 缩略语

　　下列缩略语适用于本文件。

　　ACL:访问控制列表(Access Control List)

　　BGP4+ :IPv6边界网关协议(Border Gateway Protocolfor IPv6)

　　CGA:加密生成地址(Cryptographically Generated Address)

　　CLI:命令行接口 (Command-Line Interface)

　　CPU : 中央处理器(CentralProcessing Unit)

　　DAD:重复地址探测(Duplicate Address Detection)

　　DUT:被测设备(Device Under Test)

　　HMAC:散列消息验证码(Hashed Message Authentication Code)

　　HTTPS:超文本传输安全协议(HypertextTransferProtocolSecure)

　　ICMPv6:互联网控制管理协议版本 6(InternetControlManagementProtocolversion6)

　　IPsec:互联网协议安全(InternetProtocol security)

　　GB/T 46240.2—2025

　　IPv6:互联网协议版本 6(InternetProtocolversion6)

　　IS-IS: 中间系统到中间系统(Intermediate System to Intermediate System)

　　LAND:局域网拒绝服务(LocalArea Network Denial)

　　MAC:媒体访问控制(Media Access Control)

　　MACsec:媒体访问控制安全(Media Access Control security)

　　MD5:消息摘要版本 5(Message Digestversion5)

　　NA:邻居通告(Neighbor Advertisement)

　　ND:邻居发现(NeighborDiscovery)

　　NS:邻居请求(Neighbor Solicitation)

　　NUD:邻居不可达探测(Neighbor UnreachabilityDetection)

　　OpenFlow:开放流协议(Open FLow)

　　OSPFv3:开放最短路径优先版本 3(Open ShortestPath Firstversion3)

　　RA:路由器通告(Router Advertisement)

　　RADIUS:远程身份验证拨号用户服务(Remote Authentication Dial-In User Service)

　　RIPng:下一代路由信息协议(Routing Information Protocolnextgeneration)

　　RS:路由器请求(Router Solicitation)

　　RSA:RSA算法(Rivest,Shamir and Adleman algorithm)

　　SHA:安全散列算法(Secure Hash Algorithm)

　　SLLA:源链路层地址(Source Link-Layer Address)

　　SNMP:简单网络管理协议(Simple Network ManagementProtocol)

　　SSH :安全外壳(Secure Shell)

　　TCP:传输控制协议(Transmission ControlProtocol)

　　TLLA: 目标链路层地址(TargetLink-Layer Address)

　　TLS:传输层安全(TransportLayer Security)

　　URPF:单播反向路径转发(Unicase Reverse Path Forwarding)

　　VLAN:虚拟局域网(Virtual LocalArea Network)

　　VXLAN:虚拟可扩展的局域网 (Virtual eXtensible LocalArea Network)

　　5 通则

　　具有 IPv6功能的交换机应用在网络的各个层次 ,在网络中此类设备容易遭受到来自网络和其他方面的威胁 ,这些安全威胁利用设备的脆弱性对设备进行攻击 ,设备被攻击后 , 网络的性能和正常运行会受到很大的影响 ,甚至造成拒绝正常用户访问服务。

　　支持 IPv6功能的交换机功能在逻辑上划分为三个功能平面 :

　　a) 数据平面 :主要包括为用户访问和使用网络而提供的功能 ,如数据转发等 ;

　　b) 控制平面 :主要包括路由协议等与建立会话连接、控制转发路径等有关的功能 ;

　　c) 管理平面 :主要包含针对设备的访问、配置和管理等功能。

　　为了抵御网络攻击 ,交换机应提供一定的安全功能 ,安全功能包含如下内容 :

　　a) 标识和鉴别 :确认实体的身份及其真实性 ;

　　b) 可信信道 : 同其他实体之间建立可信信道保证用户数据安全 ;

　　c) 系统访问 :管理和控制连接会话的建立 ;

　　d) 资源分配 :对系统资源的使用进行控制 ,不准许过量占用系统资源造成拒绝服务 ;

　　e) 安全审计 :提供日志等审计记录 ,这些记录用来分析安全威胁活动和对策 ;

　　GB/T 46240.2—2025

　　f) 系统功能保护 :对系统关键功能及其所需要的重要数据的保护 ;

　　g) 安全管理 :对安全功能的管理能力。

　　交换机安全框架如图 1所示。

　　图 1 交换机安全框架

　　6 安全技术要求

　　6. 1 数据平面安全

　　6. 1. 1 标识和鉴别

　　交换机宜支持 802. 1X或 MAC等认证方法来验证 IPv6用户的合法性。

　　交换机应支持 MAC地址防漂移功能 , 防止在 IPv6网络中产生环路或非法用户进行网络攻击。

　　6. 1.2 可信信道

　　交换机宜支持 MACsec,为二层流量提供安全的链路层数据发送和接收服务 ,包括数据加密、数据帧完整性检查、数据源真实性校验及重放保护。

　　6. 1.3 系统访问

　　访问控制列表是基于 IPv6数据包头(如 MAC地址、IPv6地址、协议和端口等)指定的安全规则表 ,对进出交换机的 IPv6数据报文与这些规则进行匹配 ,执行处理动作。

　　交换机支持访问控制列表 ,安全要求如下 :

　　a) 应支持基于源 IPv6地址、目的 IPv6地址、协议类型、源端口号、目的端口号的访问控制列表 ;

　　b) 宜支持基于源 MAC地址的访问控制列表 ;

　　c) 基于访问控制列表应支持配置处理动作 :允许或者禁止 ;

　　d) 宜支持在指定时间有效的访问控制列表 ;

　　e) 应支持对报文匹配情况进行统计。

　　6. 1.4 资源分配

　　6. 1.4. 1 抗大流量攻击能力

　　交换机应具有端口线速转发的能力 ,对于超过端口处理能力的 IPv6流量采用按比例丢弃的策略 ,

　　GB/T 46240.2—2025

　　同时应支持基于 VLAN ID、MAC地址、IPv6地址等字段对转发流量进行流量限制 , 以具备防范流经交换机的大流量攻击的能力。

　　交换机应支持过滤和丢弃策略 ,支持按优先级处理和带宽保证功能 , 同时宜支持将必要的信息(如IPv6报文类型、IPv6源地址以及攻击时间等)记录到安全日志中 , 以具备防范针对交换机本身的大流量攻击的能力。

　　6. 1.4.2 抗畸形包能力

　　攻击者通过向目标系统发送有缺陷的 IPv6报文 ,使得目标系统在处理这样的 IPv6包时会出现崩溃 ,给目标系统带来损失。

　　交换机应支持处理 IPv6报文目的地址为其自身的各种类型畸形包 ,包括不限于 :

　　a) 超长包(包长大于 65 535 bytes) ;

　　b) 超短包(包长小于 64bytes) ;

　　c) 链路层错误包 ,例如数据包源 MAC是组播 MAC;

　　d) 网络层错误包 ,例如数据包源和目的 IPv6地址相同 ;

　　e) 应用层错误包 ,例如 BGP4+协议报文 Type字段为全 F;

　　f) LAND攻击报文 ;

　　g) TCP标志位非法攻击报文 ;

　　h) Smurf攻击报文。

　　对于上述 IPv6畸形报文应采取丢弃策略 , 防止影响设备的正常功能。

　　6. 1.4.3 ND 非法报文攻击防护

　　交换机应支持对 ND非法报文(NS/NA/RS/RA/Redirect)做如下处理 :

　　a) 分片报文丢弃 ;

　　b) 非分片报文且未命中本机路由的丢弃。

　　6. 1.4.4 IPv6 地址欺骗防护

　　针对网络中 IPv6源地址欺骗报文 ,交换机宜支持 URPF技术来过滤这类报文 ,不应让其在网络中传播 ,URPF技术包括 URPF严格模式和 URPF松散模式。

　　6. 1.4.5 组播报文抑制

　　交换机在 VXLAN 网络中宜支持 NS组播抑制功能(代答或者组播变单播) ,抑制 NS报文洪泛 ,减轻网络压力 ,保证用户业务的正常运行。

　　6. 1.5 安全审计

　　6. 1.5. 1 攻击溯源功能

　　交换机应支持攻击溯源功能 ,采样攻击报文分析生成攻击溯源事件日志或告警 , 内容包括攻击报文的源 MAC地址或者源 IPv6地址等信息。

　　6. 1.5.2 采样功能

　　交换机宜支持基于流的采样功能 ,利用采样对交换机转发的 IPv6数据报文进行监测 ,作为一种安全监测手段了解业务运行状况 ,如采样监测具有特定目的地址的 IPv6报文 ,分析其对关键服务器的访问流量 ,发现可能的安全隐患。

　　GB/T 46240.2—2025

　　6. 1.6 系统功能保护

　　交换机应支持对数据平面的敏感数据(如认证凭据)加密保存 ,在用户界面显示的内容中不应出现敏感数据的明文 ,如 :CLI、日志、告警、提示信息等。

　　6. 1.7 安全管理

　　交换机应支持仅高等级权限用户能对数据平面的安全功能进行管理。

　　6.2 控制平面安全

　　6.2. 1 标识和鉴别

　　6.2. 1. 1 路由认证

　　交换机通过路由协议来传递路由信息 ,计算到达目的网络的最佳路径 , 因此应确保路由信息的完整性和可用性 , 同时对路由通告者进行身份认证 , 以免攻击者通过仿冒路由对等体发布不正确或者是不一致的路由信息 ,导致网络服务不可达。安全要求如下 :

　　a) OSPFv3应支持使用安全算法进行协议报文认证 ;

　　b) IS-ISv6应支持使用安全算法进行协议报文认证 ;

　　c) BGP4+应支持使用安全算法进行协议报文认证 ;

　　d) 开启不安全算法时宜支持提示安全风险。

　　6.2. 1.2 ND 报文鉴别功能

　　ND攻击主要存在 NS/NA 欺骗、DAD 攻击、NUD 失败等 , 为应对上述安全威胁 , 交换机宜支持ND 的 CGA地址和 CGA选项、RSA选项 ,用来验证 ND消息的发送者的合法性和报文的完整性 ,使用Timestamp和 Nonce选项用来防止重放攻击。

　　交换机应支持丢弃从相邻节点收到的所有 Hop Limit域值小于 255的 ND报文。

　　交换机宜支持校验 NS、RS和 RA报文中源 MAC和 SLLA 中的 MAC一致性 ,宜支持校验 NA 报文中源 MAC和 TLLA 中的 MAC一致性。

　　6.2. 1.3 智能无损存储网络认证

　　当交换机支持智能无损存储网络时 ,建立智能无损存储网络连接时应支持使用安全算法进行协议报文认证。

　　6.2. 1.4 跨设备链路聚合认证

　　当交换机支持跨设备链路聚合功能时 ,跨设备链路聚合应支持使用安全算法进行协议报文认证。

　　6.2. 1.5 OpenFlow认证

　　当交换机支持 OpenFlow 功能时 ,OpenFlow 应支持使用安全算法进行协议报文认证。

　　6.2.2 可信信道

　　可信信道安全要求如下 :

　　a) RIPng应支持 IPsec实现交互实体的鉴别和交互信息的安全 ;

　　b) OSPFv3宜支持 IPsec实现交互实体的鉴别和交互信息的安全 ;

　　c) BGP4+宜支持 TLS实现交互实体的鉴别和交互信息的安全。

　　GB/T 46240.2—2025

　　6.2.3 系统访问

　　交换机应支持路由策略和路由过滤功能 ,实现 IPv6路由协议对路由信息的发布和接收时 , 只发布某些指定的路由信息 ,只接收符合某些条件的路由信息。应支持按 IPv6地址、自治系统路径、团体属性等进行过滤。

　　6.2.4 资源分配

　　6.2.4. 1 MAC地址学习限制

　　交换机在 IPv6 网络中应支持限制设备允许学习的 MAC地址数量 ,从而控制接入用户数量 , 当超过限制数量时不再学习 MAC 地址 , 同时支持配置丢弃策略 , 防止 MAC 地址学习攻击。当不需要MAC地址学习时 ,应支持关闭 MAC地址学习功能。

　　6.2.4.2 关闭 ICMPv6 功能

　　ICMPv6主要用于网络操作和故障排除 ,但也可能被利用于攻击网络 , 因此交换机应支持关闭相关功能 ,包括如下 :

　　a) Type1: 目的地不可达 ;

　　b) Type2:分组过大 ;

　　c) Type3:超时 ;

　　d) Type4:参数错误 ;

　　e) Type130/131/132:组播监听者消息 ;

　　f) Type133/134:路由器请求/通告消息 ;

　　g) Type137:重定向消息。

　　6.2.4.3 关闭 Hop-by-Hop选项功能

　　交换机宜支持关闭 IPv6扩展头 Hop-by-Hop选项功能。

　　6.2.5 安全审计

　　交换机应支持对接口状态变化、IPv6路由表项数量超限、MAC表项数量超限等事件进行日志记录。

　　6.2.6 系统功能保护

　　交换机应支持对控制平面的敏感数据(如认证凭据)加密保存 ,在用户界面显示的内容中不应出现敏感数据的明文 ,如 :CLI、日志、告警、提示信息等。

　　6.2.7 安全管理

　　交换机应支持仅高等级权限用户能对控制平面的安全功能进行管理。

　　6.3 管理平面安全

　　6.3. 1 标识和鉴别

　　交换机标识和鉴别要求应符合 GB/T 41267—2022中 5. 7 的规定。

　　6.3.2 可信信道

　　可信信道安全要求如下 :

　　a) 交换机应支持 SSH ,保证与管理系统(管理用户)间数据传输安全 ;

　　GB/T 46240.2—2025

　　b) 交换机应支持 TLS,保证与日志服务器间数据传输安全 ;

　　c) 交换机宜支持 HTTPS,保证与 Web网管间数据传输安全。

　　6.3.3 系统访问

　　6.3.3. 1 访问控制安全

　　交换机访问控制安全要求应符合 GB/T 41267—2022中 5. 8 的规定。

　　6.3.3.2 串口访问

　　交换机支持串口访问 ,安全要求如下 :

　　a) 用户应提供用户名/口令才能进行后续的操作 ;

　　b) 用户所有的关键操作行为都应记录到日志文件中 ;

　　c) 在设定的时间内不进行交互 ,用户应自动被退出登录。

　　6.3.3.3 SSH 访问

　　交换机支持 SSH 访问 ,安全要求如下 :

　　a) 应支持 SSHv2版本 ,默认不使用 SSHv1. x,如开启 SSHv1. x应向用户提示安全风险 ;

　　b) SSH 服务器宜支持认证超时机制 ,在超时范围内没有通过认证应断开连接 , 限制客户端或用户在一个会话上认证尝试的次数 ;

　　c) 宜支持限定用户通过哪些 IPv6地址使用 SSH 服务对设备进行访问 ;

　　d) 宜支持限定 SSH 服务器监听在固定 IPv6地址 ;

　　e) 宜支持配置 SSH 服务端的侦听端口号 ;

　　f) 应支持安全的认证、加密、密钥交换等密码算法套件 ,开启不安全的认证、加密、密钥交换等密码算法套件宜支持提示安全风险 ;

　　g) 应支持关闭 SSH 服务。

　　6.3.3.4 SNMP访问

　　交换机支持 SNMP访问 ,安全要求如下 :

　　a) 应支持 SNMPv3;

　　b) 可支持 SNMPv1和 SNMPv2c,但应提供禁用功能 ,并且缺省应是禁用的 ;

　　c) 应支持基于 IPv6地址对 SNMP会话进行限制 ;

　　d) SNMPv1和 SNMPv2c不应使用缺省团体名。

　　6.3.3.5 Web访问

　　交换机支持 Web访问 ,安全要求如下 :

　　a) 用户应提供用户名/口令才能进行后续的操作 ,用户地址和操作应记入日志 ;

　　b) 应支持 TLS,默认使用 HTTPS进行访问;

　　c) 应支持限定用户通过哪些 IPv6地址使用 HTTPS对设备进行访问;

　　d) 宜支持异常报文检查,非法报文达到设定阈值断开 HTTPS连接;

　　e) 宜支持配置服务器端和客户端之间的证书双向认证功能 ,提高访问安全性 ;

　　f) 宜支持配置 Web 服务超时时间 ,无操作超时时间内 ,设备会自动登出 Web 界面 ;

　　g) 宜支持双因子认证。

　　6.3.4 资源分配

　　交换机应具备抵御管理面协议常见攻击能力 ,包括不限于 :

　　GB/T 46240.2—2025

　　a) 防范异常报文攻击 ;

　　b) 防范拒绝服务攻击。

　　6.3.5 安全审计

　　交换机安全审计要求应满足 GB/T 41267—2022中 5. 9 的规定。

　　6.3.6 系统功能保护

　　交换机应支持管理平面的敏感数据(如认证凭据)加密保存 ,在用户界面显示的内容中不应出现敏感数据的明文 ,如 :CLI、日志、告警、提示信息等。

　　交换机宜支持设备启动时以硬件可信根为起点,逐级校验启动链上固件或软件的数字签名保证其完整性和真实性 ,确保启动时系统软件不被篡改。

　　其他要求应符合 GB/T 41267—2022中 5. 4 的规定。

　　6.3.7 安全管理

　　6.3.7. 1 分级分权管理

　　交换机应支持仅高等级权限用户能对管理平面的安全功能进行管理。

　　6.3.7.2 不安全配置检查

　　交换机宜支持检查不安全配置的能力 ,检查系统中是否配置了不安全的密码算法或者协议。

　　6.3.7.3 数字证书管理

　　交换机宜支持证书管理功能 ,支持证书导入/更新、证书过期告警、证书吊销列表的导入与更新等功能。

　　6.3.7.4 密码要求

　　本文件凡涉及密码算法的相关内容 ,按照国家有关规定实施。

　　7 测试方法

　　7. 1 测试环境

　　测试环境 1 如图 2所示。

　　图 2 测试环境 1

　　GB/T 46240.2—2025

　　测试环境 2 如图 3所示。

　　图 3 测试环境 2

　　测试环境 3 如图 4所示。

　　图 4 测试环境 3

　　测试环境 4如图 5所示。

　　图 5 测试环境 4

　　测试环境 5 如图 6所示。

　　图 6 测试环境 5

　　测试环境 6如图 7所示。

　　GB/T

　　46240.2—2025

　　图 7 测试环境 6

　　测试环境 7如图 8所示。

　　图 8 测试环境 7

　　测试环境 8如图 9所示。

　　图 9 测试环境 8

　　7.2 数据平面安全测试

　　7.2. 1 标识和鉴别

　　7.2. 1. 1 802. 1X接入认证功能

　　按照 6. 1. 1 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 9测试环境 8搭建好测试环境。

　　b) 测试方法 : 在 DUT 上配置 802. 1X 认证 , RADIUS服务器添加 IPv6接入用户的用户名和密码 ,有预期结果。

　　GB/T 46240.2—2025

　　c) 预期结果 :IPv6用户在客户端上启动 802. 1X 客户端 ,输入正确的用户名和密码 ,会显示认证成功信息。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2. 1.2 MAC接入认证功能

　　按照 6. 1. 1 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 9测试环境 8搭建好测试环境。

　　b) 测试方法 :在 DUT上配置 MAC认证 ,RADIUS服务器添加 IPv6接入用户的用户名和密码 ,有预期结果。

　　c) 预期结果 :IPv6用户启动终端后 ,设备会自动获取终端的 MAC地址作为用户名和密码进行认证 ,认证成功后即可访问网络。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2. 1.3 MAC地址漂移检测功能

　　按照 6. 1. 1 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境。

　　b) 测试方法 :在 DUT上配置 MAC地址漂移检测功能 ,通过测试仪表模拟 MAC地址发生漂移 ,有预期结果。

　　c) 预期结果 :接口会 DOWN ,并且产生告警。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.2 可信信道

　　按照 6. 1. 2 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 7测试环境 6搭建好测试环境。

　　b) 测试方法 :

　　1) DUT1和 DUT2间配置 MACsec,配置 MKA密钥生成算法 ,配置 MACsec数据报文加密算法 ,有预期结果 1;

　　2) 从仪表接口 A 向测试仪 B 口发送 IPv6数据报文 ,有预期结果 2。

　　c) 预期结果 :

　　1) 支持配置 MKA密钥生成算法、MACsec数据报文加密算法 ,MKA会话协商成功 ;

　　2) 查看指定接口经过 MACsec保护的 IPv6数据报文的统计信息 ,有报文计数。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.3 系统访问

　　按照 6. 1. 3 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境。

　　b) 测试方法 :

　　1) DUT接口 1 与仪表接口 A 上配置 IPv6地址,在 DUT 接口 1 上配置 ACL规则(基于源MAC、源目的 IPv6地址、协议类型、源目的端口、指定时间段等) , ACL行为设置为允许和统计 ;

　　2) 由仪表接口 A 向仪表接口 B发送与 ACL规则一致的 IPv6数据包 ,有预期结果 1;

　　3) 修改 ACL行为为禁止和统计 ,有预期结果 2;

　　4) 停止步骤 2)的数据包 ,修改发送与 ACL规则不一致的 IPv6数据包 ,有预期结果 3;

　　GB/T 46240.2—2025

　　5) 修改 ACL行为为允许和统计 ,有预期结果 4;

　　6) 设置 ACL规则生效的时间段 ,重复上述步骤 1) ~ 步骤 4) ,有预期结果 5。

　　c) 预期结果 :

　　1) 仪表接口 B 收到数据包 ,查看 DUT上有匹配报文统计计数 ;

　　2) 仪表接口 B未收到数据包 ,查看 DUT上有匹配报文统计计数 ;

　　3) 仪表接口 B 收到数据包 ,查看 DUT上无匹配报文统计计数 ;

　　4) 仪表接口 B 收到数据包 ,查看 DUT上无匹配报文统计计数 ;

　　5) 在 ACL规则生效时间段内 ,步骤 1) ~ 步骤 3)的测试结果符合预期结果 ,在 ACL规则生效时间段外 ,仪表接口 B 收到数据包。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.4 资源分配

　　7.2.4. 1 抗大流量攻击能力

　　7.2.4. 1. 1 IPv6 转发大流量防御功能

　　按照 6. 1. 4. 1 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 7测试环境 6搭建好测试环境。

　　b) 测试方法 :

　　1) 从仪表接口 B 向仪表接口 C 以设备接口线速发送数据包 ,有预期结果 1;

　　2) 停止步骤 1)的数据包 ,从仪表接口 B 向仪表接口 C 以 2 倍设备接口线速发送数据包 ,有预期结果 2;

　　3) 停止步骤 2) 的数据包 , 在 DUT 接口 2 上配置 ACL规则(基于 VLAN ID、MAC地址、 IPv6地址等) ,动作为禁止 ,从仪表接口 B 向仪表接口 C发送与 ACL规则一致和与 ACL规则不一致的数据包 ,有预期结果 3。

　　c) 预期结果 :

　　1) 仪表接口 C收到数据包且无丢包 ,设备的 CPU 和内存利用率在合理范围内 ;

　　2) 仪表接口 C收到数据包 ,数据包速率和接口线速之间的误差在合理范围内 ,设备的 CPU和内存利用率在合理范围内 ;

　　3) 仪表接口 C未收到与 ACL规则一致的数据包 ,仪表接口 C 收到与 ACL规则不一致的数据包。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.4. 1.2 不同端口下的 IPv6 报文上送大流量防御功能

　　按照 6. 1. 4. 1 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 7测试环境 6搭建好测试环境。

　　b) 测试方法 :

　　1) 仪表接口 A 和 DUT接口 1 间建立路由协议邻居 (如 OSPFv3、IS-ISv6、BGP4+等) ,有预期结果 1;

　　2) 关闭仪表接口 A 和 DUT 接口 1 间建立的路由协议邻居(如 OSPFv3、IS-ISv6、BGP4+等) ,有预期结果 2;

　　3) 从仪表接口 B 向 DUT接口 2 发送大量攻击数据包(如 OSPFv3、IS-ISv6、BGP4+等) 报文 ,再开启步骤 2)关闭的背景业务 ,有预期结果 3。

　　GB/T 46240.2—2025

　　c) 预期结果 :

　　1) 仪表接口 A 和设备接口 1 间的路由协议邻居建立 ;

　　2) 仪表接口 A 和设备接口 1 间的路由协议邻居中断 ;

　　3) 仪表接口 A 和设备接口 1 间的路由协议邻居建立。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.4. 1.3 相同协议不同邻居间的 IPv6 报文上送大流量防御功能

　　按照 6. 1. 4. 1 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 7测试环境 6搭建好测试环境。

　　b) 测试方法 :仪表接口 A、B 和 DUT 接口 1、2 间分别建立路由协议邻居(如 OSPFv3、IS-ISv6、 BGP4+等) ,在仪表接口 B 抓取协议首包或保活报文进行重放泛洪攻击至 DUT 上 , 有预期结果。

　　c) 预期结果 :在重放攻击过程中 ,仪表接口 A 和 DUT 接口 1 之间的路由协议邻居不中断 ,安全日志中记录相关的攻击信息(如源地址以及攻击时间等) 。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.4. 1.4 常见 IPv6 报文泛洪攻击防御功能

　　按照 6. 1. 4. 1 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 7测试环境 6搭建好测试环境。

　　b) 测试方法 :

　　1) 从仪表接口 A发送 IPv6背景数据包到仪表接口 B;

　　2) 从仪表接口 C 向 DUT 自身 IPv6地址(例如 :环回地址、管理接口地址)发送 ICMPv6 Re- questFlood、TCPv6SYN Flood等攻击数据包 ,攻击数据包和背景数据包总和不超过设备转发能力 ,有预期结果。

　　c) 预期结果 :攻击对背景数据包转发无影响 ,且设备运行状态(CPU、内存、告警等)正常。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.4.2 抗畸形包能力

　　7.2.4.2. 1 IPv6 报文超长超短包攻击防御功能

　　按照 6. 1. 4. 2 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境。

　　b) 测试方法 :DUT接口 2 和仪表接口 B 之间建立路由协议邻居(如 OSPFv3、IS-ISv6、BGP4+等) ,从仪表 A 口向 DUT接口 1 发送大量的超长包(包长大于 65 535 bytes) 、超短包(包长小于 64bytes)等畸形数据包 ,有预期结果。

　　c) 预期结果 :DUT 和仪表接口 B 的路由协议邻居不中断 ,对畸形数据包做丢弃处理 ,且设备的CPU 和内存利用率在合理范围内。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.4.2.2 IPv6 错误包攻击防御功能

　　按照 6. 1. 4. 2 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境。

　　b) 测试方法 :DUT接口 2 和仪表接口 B 之间建立路由协议邻居(如 OSPFv3、IS-ISv6、BGP4+

　　GB/T 46240.2—2025

　　等) ,从仪表接口 A 向 DUT接口 1 发送大量的链路层错误包、网络层错误包、应用层错误包等畸形数据包 ,有预期结果。

　　c) 预期结果 :DUT接口 2 和仪表接口 B 的路由协议邻居不中断 ,对畸形数据包做丢弃处理 ,且设备的 CPU 和内存利用率在合理范围内。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.4.2.3 IPv6 报文 LAND攻击防御功能

　　按照 6. 1. 4. 2 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境。

　　b) 测试方法 :DUT接口 2 和仪表接口 B 之间建立路由协议邻居(如 OSPFv3、IS-ISv6、BGP4+等) ,从仪表接口 A 向 DUT接口 1 发送大量 TCP syn报文畸形报文 ,该报文源目的 IPv6地址均为 DUT接口 1 的接口 IPv6地址,有预期结果。

　　c) 预期结果 :DUT接口 2 和仪表接口 B 的路由协议邻居不中断 ,对畸形数据包做丢弃处理 ,且设备的 CPU 和内存利用率在合理范围。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.4.2.4 IPv6 报文 TCP标志位非法攻击防御功能

　　按照 6. 1. 4. 2 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境。

　　b) 测试方法 :DUT接口 2 和仪表接口 B 之间建立路由协议邻居(如 OSPFv3、IS-ISv6、BGP4+等) ,从仪表接口 A 向 DUT 接口 1 分别发送大量的 6 个 TCP 标志位(SYN/ACK/PUSH/ RST/FIN/URG)均为 1、6个 TCP标志位 (SYN/ACK/PUSH/RST/FIN/URG)均为 0、TCP标志位 SYN 和 FIN位同时为 1 的畸形数据包 ,有预期结果。

　　c) 预期结果 :DUT接口 2 和仪表接口 B 的路由协议邻居不中断 ,对畸形数据包做丢弃处理 ,且设备的 CPU 和内存利用率在合理范围。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.4.2.5 IPv6 报文分片攻击防御功能

　　按照 6. 1. 4. 2 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境。

　　b) 测试方法 :DUT接口 2 和仪表接口 B 之间建立路由协议邻居(如 OSPFv3、IS-ISv6、BGP4+等) ,从仪表接口 A 向 DUT 接口 1 发送知名分片攻击数据包 (例如 TearDrop、syndrop、 nesta、fawx、bonk、死亡之 Ping、jolt、Rose攻击、NewTear等) ,有预期结果。

　　c) 预期结果 :DUT接口 2 和仪表接口 B 的路由协议邻居不中断 ,对畸形数据包做丢弃处理 ,且设备的 CPU 和内存利用率在合理范围内。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.4.2.6 IPv6 报文 Smurf攻击防御功能

　　按照 6. 1. 4. 2 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境。

　　b) 测试方法 :DUT接口 2 和仪表接口 B 之间建立路由协议邻居(如 OSPFv3、IS-ISv6、BGP4+等) ,从仪表接口 A 向 DUT发送大量的目的地址是广播地址的 ICMPv6 echo request数据包 ,有预期结果。

　　GB/T 46240.2—2025

　　c) 预期结果 :DUT接口 2 和仪表接口 B 的路由协议邻居不中断 ,DUT 对畸形数据包做丢弃处理 ,且设备的 CPU 和内存利用率在合理范围内。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.4.3 ND 非法报文攻击防护

　　按照 6. 1. 4. 3 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境。

　　b) 测试方法 :从仪表 A 口向 DUT 发送大量的 ND 非法报文(NS/NA/RS/RA/Redirect的分片报文或者 NS/NA/RS/RA/Redirect的非分片报文未命中本机路由的报文) ,有预期结果。

　　c) 预期结果 :DUT对畸形数据包做丢弃处理 ,且设备的 CPU 和内存利用率在合理范围内。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.4.4 IPv6 地址欺骗防护

　　7.2.4.4. 1 严格 URPF功能

　　按照 6. 1. 4. 4 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 7测试环境 6搭建好测试环境。

　　b) 测试方法 :

　　1) 仪表接口 A、B、C分别与 DUT接口 1、2、3 口建立 BGP4+邻居关系 ,在 DUT接口 1下启用严格 URPF;

　　2) 从仪表接口 A 向仪表接口 B发送数据包 ,数据包源地址为仪表接口 A 的地址 , 目的地址为仪表接口 B 的地址,有预期结果 1;

　　3) 停止步骤 2)的数据包 ,从仪表接口 A 向仪表接口 B发送数据包 ,数据包源地址为仪表接口 C 的地址 , 目的地址为仪表接口 B 的地址,有预期结果 2;

　　4) 停止步骤 3)的数据包 ,从仪表接口 A 向仪表接口 B 发送数据包 ,数据包源地址为 DUT上路由表中不存在的 IPv6地址 , 目的地址为仪表接口 B 的地址,有预期结果 2。

　　c) 预期结果 :

　　1) 仪表接口 B 收到测试数据包 ;

　　2) 仪表接口 B未收到测试数据包。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.4.4.2 松散 URPF功能

　　按照 6. 1. 4. 4 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 7测试环境 6搭建好测试环境。

　　b) 测试方法 :

　　1) 仪表接口 A、B、C分别与 DUT接口 1、2、3 口建立 BGP4+邻居关系 ,在 DUT接口 1启用松散 URPF;

　　2) 从仪表接口 A 向仪表接口 B发送数据包 ,数据包源地址为仪表接口 A 的地址 , 目的地址为仪表接口 B 的地址,有预期结果 1;

　　3) 停止步骤 2)的数据包 ,从仪表接口 A 向仪表接口 B发送数据包 ,数据包源地址为仪表接口 C 的地址 , 目的地址为仪表接口 B 的地址,有预期结果 1;

　　GB/T 46240.2—2025

　　c) 预期结果 :

　　1) 仪表接口 B 收到测试数据包 ;

　　2) 仪表接口 B未收到测试数据包。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.4.5 组播报文抑制

　　按照 6. 1. 4. 5 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 6测试环境 5搭建好测试环境。

　　b) 测试方法 :

　　1) DUT1和 DUT2建立 VXLAN 网络 ,仪表接口 A 和 B分别通过 BD接入 VXLAN 网络 ;

　　2) 在 DUT1开启 ND代答功能 ,在 DUT2上配置组播抑制功能 ,仪表接口 A模拟用户上线 ,仪表接口 B发送 NS组播报文到 DUT2,请求获得仪表接口 A模拟用户的 MAC地址,有预期结果。

　　c) 预期结果 :DUT2不会转发 NS报文 ,发送 NA单播报文回应给仪表接口 B。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.5 安全审计

　　7.2.5. 1 攻击溯源功能

　　按照 6. 1. 5. 1 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境。

　　b) 测试方法 :在测试上构造 IPv6攻击报文(如 TCPv6标志位非法报文) ,发送到 DUT上 ,有预期结果。

　　c) 预期结果 :查看到溯源信息 ,攻击溯源信息里面包含了攻击报文的源 IPv6地址或者源 MAC等信息。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.5.2 采样功能

　　按照 6. 1. 5. 2 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境。

　　b) 测试方法 :

　　1) DUT配置流采样功能 ,并配置相应的规则 ;

　　2) 从仪表接口 A 向仪表接口 B发送相应的流 ,有预期结果。

　　c) 预期结果 :DUT按照配置的规则采集到相应的报文。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.6 系统功能保护

　　按照 6. 1. 6 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境。

　　b) 测试方法 :识别控制平面相关的敏感数据 ,例如在 DUT1和 DUT2上配置相同认证凭据建立MACsec连接 ,有预期结果。

　　c) 预期结果 : 敏感数据(如 MACsec认证凭据) 在 CLI、日志、告警、提示信息等都没有出现明文信息。

　　GB/T 46240.2—2025

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.2.7 安全管理

　　按照 6. 1. 7 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 4测试环境 3搭建好测试环境。

　　b) 测试方法 :

　　1) 登录 DUT,分别添加不同级别的 2个用户 user1、user2,为 user1配置低等级权限 ,仅具有状态查询权限 ,为 user2配置高等级权限 ,具有涉及数据平面的重要功能如 ACL规则、非法报文防御等配置权限 ;

　　2) 分别使用 user1、user2登录 DUT,对 DUT进行状态查询、ACL规则、非法报文防御等配置或操作 ,有预期结果。

　　c) 预期结果 :user1仅支持进行状态查询操作 ,不支持涉及数据平面的重要功能如 ACL规则、非法报文防御等配置或操作 ; user2支持涉及数据平面的重要功能如 ACL规则、非法报文防御等配置或操作。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3 控制平面安全测试

　　7.3. 1 标识和鉴别

　　7.3. 1. 1 路由认证

　　7.3. 1. 1. 1 OSPFv3 支持 HMAC-SHA256认证功能

　　按照 6. 2. 1. 1 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置 OSPFv3的 HMAC-SHA256认证 ,密钥不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置 OSPFv3的 HMAC-SHA256认证 ,密钥相同 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2未建立 OSPFv3邻居关系 ;

　　2) DUT1和 DUT2建立 OSPFv3邻居关系。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3. 1. 1.2 IS-ISv6 支持 HMAC-MD5验证功能

　　按照 6. 2. 1. 1 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置 IS-ISv6的 HMAC-MD5认证 ,密钥不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置 IS-ISv6的 HMAC-MD5认证 ,密钥相同 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2都提示 HMAC-MD5认证不安全 ,未建立 IS-ISv6邻接关系 ;

　　2) DUT1和 DUT2都提示 HMAC-MD5认证不安全 ,并建立 IS-ISv6邻接关系。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　GB/T 46240.2—2025

　　7.3. 1. 1.3 IS-ISv6 支持 HMAC-SHA256认证功能

　　按照 6. 2. 1. 1 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置 IS-ISv6的 HMAC-SHA256认证 ,密钥不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置 IS-ISv6的 HMAC-SHA256认证 ,密钥相同 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2未建立 IS-ISv6邻接关系 ;

　　2) DUT1和 DUT2建立 IS-ISv6邻接关系。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3. 1. 1.4 BGP4+支持 MD5认证功能

　　按照 6. 2. 1. 1 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置 BGPv4+的 MD5认证 ,密钥不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置 BGPv4+的 MD5认证 ,密钥相同 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2都提示 MD5认证算法不安全 ,未建立 BGP4+邻接关系 ;

　　2) DUT1和 DUT2都提示 MD5认证算法不安全 ,并建立 BGP4+邻接关系。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3. 1. 1.5 BGP4+支持 HMAC-SHA256认证功能

　　按照 6. 2. 1. 1 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置 BGPv4+的 HMAC-SHA256认证 ,密钥不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置 BGPv4+的 HMAC-SHA256认证 ,密钥相同 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2未建立 BGP4+邻接关系 ;

　　2) DUT1和 DUT2建立 BGP4+邻接关系。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3. 1.2 ND 报文鉴别功能

　　7.3. 1.2. 1 ND 报文 MAC校验功能

　　按照 6. 2. 1. 2 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境。

　　b) 测试方法 :

　　1) DUT上配置 ND 的 MAC校验 ,从仪表接口 A 向 DUT 发送 NS/RA/RS报文 ,报文构造为源 MAC与 SLLA不一致且目的 IP是 DUT接口 1 的 IPv6地址,有预期结果 1;

　　2) 从仪表接口 A 向 DUT发送 NS/RA/RS报文 ,报文构造为源 MAC与 SLLA一致且目的

　　GB/T 46240.2—2025

　　IP是 DUT接口 1 的 IPv6地址,有预期结果 2;

　　3) 从仪表接口 A 向 DUT发送 NA报文 ,报文构造为源 MAC与 TLLA不一致且目的 IP是DUT接口 1 的 IPv6地址,有预期结果 3;

　　4) 从仪表接口 A 向 DUT 发送 NA 报文 ,报文构造为源 MAC与 TLLA 一致且目的 IP是DUT接口 1 的 IPv6地址,有预期结果 4。

　　c) 预期结果 :

　　1) DUT丢弃 NS/RA/RS报文 ;

　　2) DUT不丢弃 NS/RA/RS报文 ;

　　3) DUT丢弃 NA报文 ;

　　4) DUT不丢弃 NA报文。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3. 1.2.2 ND 报文时间戳/CGA/RSA选项校验功能

　　按照 6. 2. 1. 2 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境。

　　b) 测试方法 :

　　1) DUT接口 1 配置 ND报文 Timestamp校验功能 ,从仪表接口 A 向 DUT 发送 ND报文 ,有预期结果 1;

　　2) DUT接口 1 配置 ND报文 CGA/RSA校验功能 ,从仪表接口 A 向 DUT 发送 ND 报文 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT上 ND报文接收时刻与发送时刻的差值超出接口 1 可接收的时间范围 , 则报文丢弃 ;

　　2) DUT上 ND 报文接收时验证发送方 CGA 地址不匹配或 RSA 签名校验失败 , 则报文丢弃。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3. 1.2.3 ND 报文 Nonce功能

　　按照 6. 2. 1. 2 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 6测试环境 5搭建好测试环境。

　　b) 测试方法 :DUT1和 DUT2间配置 IPv6,多次抓取 DUT 间发送的 NS报文 ,有预期结果。

　　c) 预期结果 :Nonce字段内容是不相同的随机数。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3. 1.2.4 ND 报文 Hop Limit值限制功能

　　按照 6. 2. 1. 2 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境。

　　b) 测试方法 :从仪表接口 A发送 Hop Limit值小于 255的 ND报文 ,有预期结果。

　　c) 预期结果 :DUT丢弃收到的 ND报文。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3. 1.3 智能无损存储网络认证

　　按照 6. 2. 1. 3 的安全要求 ,该测试项包含如下内容。

　　GB/T 46240.2—2025

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置智能无损存储网络 HMAC-SHA256认证 ,密钥不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置智能无损存储网络 HMAC-SHA256认证 ,密钥相同 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2智能无损存储网络连接未建立 ;

　　2) DUT1和 DUT2智能无损存储网络连接建立。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3. 1.4 跨设备链路聚合认证

　　按照 6. 2. 1. 4 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置跨设备链路聚合 HMAC-SHA256认证 , 密钥不同 , 有预期结果 1;

　　2) 在 DUT1和 DUT2上配置跨设备链路聚合 HMAC-SHA256认证 , 密钥相同 , 有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2跨设备链路聚合未建立 ;

　　2) DUT1和 DUT2跨设备链路聚合建立。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3. 1.5 OpenFlow认证

　　按照 6. 2. 1. 5 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 8测试环境 7搭建好测试环境。

　　b) 测试方法 :

　　1) 在控制器和 DUT上配置 OpenFlow HMAC-SHA256认证 ,密钥不同 ,有预期结果 1;

　　2) 在控制器和 DUT上配置 OpenFlow HMAC-SHA256认证 ,密钥相同 ,有预期结果 2。

　　c) 预期结果 :

　　1) OpenFlow 连接未建立 ;

　　2) OpenFlow 连接建立。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3.2 可信信道

　　7.3.2. 1 RIPng支持 IPsec功能

　　按照 6. 2. 2 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置 RIPng的 IPsec认证 ,认证凭据不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置 RIPng的 IPsec认证 ,认证凭据相同 ,有预期结果 2。

　　GB/T 46240.2—2025

　　c) 预期结果 :

　　1) DUT1和 DUT2未建立 RIPng邻居关系 ;

　　2) DUT1和 DUT2建立 RIPng邻居关系。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3.2.2 OSPFv3 支持 IPsec功能

　　按照 6. 2. 2 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置 OSPFv3的 IPsec认证 ,认证凭据不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置 OSPFv3的 IPsec认证 ,认证凭据相同 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2未建立 OSPFv3邻居关系 ;

　　2) DUT1和 DUT2建立 OSPFv3邻居关系。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3.2.3 BGP4+支持 TLS功能

　　按照 6. 2. 2 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境。

　　b) 测试方法 :

　　1) 在 DUT1和 DUT2上配置 BGP4+的 TLS认证 ,认证凭据不同 ,有预期结果 1;

　　2) 在 DUT1和 DUT2上配置 BGP4+的 TLS认证 ,认证凭据相同 ,有预期结果 2。

　　c) 预期结果 :

　　1) DUT1和 DUT2未建立 BGP4+邻接关系 ;

　　2) DUT1和 DUT2建立 BGP4+邻接关系。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3.3 系统访问

　　7.3.3. 1 BGP4+入向路由过滤功能

　　按照 6. 2. 3 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境。

　　b) 测试方法 :仪表接口 A 与 DUT 间建立 BGP4+邻接关系 ,在 DUT1上配置入向路由过滤 ,过滤特定前缀的路由 ,从仪表接口 A 向 DUT 发布 2 条 BGP4+路由 ,路由前缀分别为包含特定前缀及不包含该特定前缀 ,有预期结果。

　　c) 预期结果 :从 DUT上查看 BGP4+路由表 ,不包含特定前缀的路由表项无查询结果。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3.3.2 BGP4+ 出向路由过滤功能

　　按照 6. 2. 3 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 3测试环境 2搭建好测试环境。

　　b) 测试方法 :DUT1与 DUT2建立 BGP4+邻接关系并发布 2条路由 ,路由前缀分别为特定前缀及不包含该特定前缀 ,在 DUT1上配置出向路由过滤 ,过滤特定前缀的路由 ,有预期结果。

　　GB/T 46240.2—2025

　　c) 预期结果 :DUT2上只从 DUT1接收到前缀为不包含特定前缀的路由。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3.3.3 基于 BGP4+属性的路由过滤功能

　　按照 6. 2. 3 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 6测试环境 5搭建好测试环境。

　　b) 测试方法 :

　　1) 在仪表接口 A、DUT1接口 1 和 3、DUT2接口 4之间建立 BGP4+邻接关系 ,在 DUT1上配置路由发送过滤 ,允许 AS_PATH 中含有 AS2的路由通过 ,从仪表接口 A 向 DUT1发布 BGP4+路由 ,AS_PATH 分别为 AS1和 AS2,有预期结果 1;

　　2) 在仪表接口 A、DUT1接口 1 和 3、DUT2接口 4之间建立 BGP4+邻接关系 ,在 DUT1上配置路由发送过滤 ,允许团体属性中含有 X 的路由通过 , 从仪表接口 A 向 DUT1发布BGP4+路由 , 团体属性为 X 和 Y 2条路由 ,有预期结果 2。

　　c) 预期结果 :

　　1) 从 DUT1上查看 BGP4+路由表 ,存在仪表发布的 2条路由表项 ,从 DUT2上查看应只从DUT1接口收到 AS2的路由 ;

　　2) 从 DUT1上查看 BGP4+路由表 ,存在仪表发布的 2条路由表项 ,从 DUT2上查看应只从DUT1接口收到团体属性 X 的路由。

　　d) 结果判定 :实际测评结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合。

　　7.3.3.4 路由重分布中的路由过滤功能

　　按照 6. 2. 3 的安全要求 ,该测试项包含如下内容。

　　a) 预置条件 :按照图 2测试环境 1搭建好测试环境

GB/T 46248-2025 槽式太阳能集热管热损系数测试方法

下一篇: GB/T 46240.1-2025 IPv6网络设备安全技术要求和测试方法第1部分：路由器

GB/T 46240.2-2025 IPv6网络设备安全技术要求和测试方法第2部分：交换机

资料介绍

相关推荐

本栏热门下载

GB/T 46240.2-2025 IPv6网络设备安全技术要求和测试方法 第2部分：交换机

资料介绍

相关推荐

本栏热门下载

GB/T 46240.2-2025 IPv6网络设备安全技术要求和测试方法第2部分：交换机