IPv6试点测试报告V3.0

1、ipv6试点测试方案 (2011.10) 目 录 1 项目背景信息 .2 2 测试目的.3 3 测试准备.3 3.1 现网网络拓扑结构 .3 3.2 相关设备配置准备 .4 4 测试项目.5 4.1 ipv6基础协议测试 .5 4.1.1 nd协议dad功能测试.5 4.1.2 nd协议slaac功能测试.6 4.2 ipv6路由功能测试 .8 4.2.1 静态路由有效性.8 4.2.2 ospfv3路由协议有效性.9 4.2.3 isisv6路由协议有效性.10 4.2.4 策略路由有效性.12 4.3 ipv6过渡功能测试 .13 4.3.1 6pe隧道有效性.13 4.4 ipv6接入功

2、能测试 .14 4.4.1 双栈pppoe接入有效性.14 4.4.2 双栈静态接入有效性.16 4.4.3 双栈dhcp接入有效性.16 4.5 安全功能测试 .18 4.5.1 ipv4到ipv6过渡双栈功能测试.19 4.5.2 ipv6 域间包过滤功能测试.20 4.5.3syn flood攻击防御功能测试.21 4.5.4syn-ack flood攻击防御功能测试.22 4.5.5udp flood攻击防御功能测试.23 4.5.6icmp flood攻击防御功能测试.24 4.5.7dns flood攻击防御功能测试.24 4.5.8混合攻击防御功能测试.25 4.6 其他安全功能

3、测试 .26 1 项目背景信息 由于历史的原因，中国在ipv4的发展中处于后进的状态，在国际上发言权不多，导致在 ip地址的供需上严重失衡。截止2002年8月，拥有13亿人口的中国，只有大约2502万个ip 地址，b类地址不足200个，a类地址一个都没有（数据来源：来自arin 和apnic互联网 地址分配机构apnic（亚洲/大洋州），arin（北美/南美）。不言而喻，中国应 该是全球最需要ip地址的国家之一。同时，中国作为一个互联网和移动通信大国，理应要 在下一代互联网标准和资源分配中力争更大的发言权。 对中国而言，ipv6的发展将给我们带来巨大机遇。作为互联网和移动通信大国，基于 ipv

4、6的互联网将在我国从基础设施、服务与应用、媒体与内容、设备制造等层面形成新的 巨大产业，拉动经济的发展。从全局观点看，ipv6也许是比3g更为重要的一次机遇。 为推动国内ipv6研究和产业的发展，原国家计委于2002年6月启动了“关于下一代互联 网中日ipv6合作项目”，并正在研究和推动与欧洲在ipv6方面的合作。2003年发展改革委 会同有关部门组织进行中国下一代互联网战略研究，并准备安排“中国下一代互联网示范 工程cngi”大型项目。 在这个面临ipv6的时代的大背景下，绵阳移动积极响应集团号召，考虑针对cmnet相 关业务进行ipv6试点。本次试点基于使用数通设备组建的联合实验室平台进行

5、，试点内容 主要着眼于pv6和ipv4之间的转换技术进行探索试验。 2 测试目的 通过搭建ipv6城域网实验网络,对双栈过渡方式进行测试,完善技术方案,总结在商业环 境中的应用建议,为后续ipv6商用奠定基础.具体研究内容包括: (1) 制定绵阳ipv6实验网络方案,完成移动集团公司ipv6接入规范技术建议研究; (2) 搭建试验基础网络,测试评估ipv6/ipv4地址规划,路由规划,双栈网络管理,用户认证方案, 安全部署等. (3) 能够解决搭建网络测试环境中现有ipv6的基本的网络攻击。 3 测试准备 3.1 现网网络拓扑结构 绵阳移动现网拓扑图 测试执行时间与地点2011年10月14日-

6、10月22日, 绵阳移动园艺机房，绵阳移动高水机房 华为公司测试执行人成都代表处 网络产品部曾念波 技术服务部朱嘉 移动公司测试督导人绵阳移动传输数据中心冯杰 注：本次测试在现网拓扑结构基础上选择部分设备以及新增设备共同进行。 3.2 相关设备配置准备 设备类型设备型号设备版本数量业务板卡板卡型号板卡用途 bsuf-21母卡 me0mbsuf2120 插入子卡 10*ge(o)子卡 me0m0eagfe20 下行接入 bras (被测对象) me60 (带基本配置) 配lns license v100r006 升级至 v600r002 2 10*ge(o)子卡 me0m0eagfe20 上接c

7、r lpuf-21母卡 cr52-lpuf-21 插入子卡 router (配合设备) ne40e (带基本配置) v100r006 升级至 v600r001 2 10*ge(o)子卡 cr52eagfe0 下接bras lsw (配合设备) s3328c-ei-24sv100r0052 24*ge(o)接口 以太网汇聚 pc (配合设备) hp elitebook 6930p(便携) windows7 (原配os) 2 模拟双栈客户端 与服务器端 4 测试项目 4.1 ipv6 基础协议测试 4.1.1 nd 协议 dad 功能测试 测试目的重复地址检测(dad)功能验证 测试组网 测试过程

8、 (1)在设备和pc相连的接口上使能ipv6，把相同的ipv6地址（如2001:1/64）配置到直接互 联的被测设备端口; (2)手动配置互连接口的link-local地址，将两端地址配置一致 (3)显示被测接口的接口状态，检查接口信息及log信息等 预期结果后配置ipv6地址的一端,显示地址重复(后配置的link-local地址,在接口下显示地址冲突) 测试结果与预期结果一致 测试结论重复地址检测(dad)功能验证通过 测试备注 相关测试配置如下： 【ne40e配置1】： interface eth-trunk2 description to-scmiy-cmims-ce01-hwne40e

9、-eth-trunk2-2*ge ipv6 enable ip address 98 52 ipv6 address 2011:1400:2/56 【ne40e配置2】： interface eth-trunk2 description to-scmiy-cmims-ce02-hwne40e-eth-trunk2-2*ge ipv6 enable ip address 97 52 ipv6 address 2011:1400:2/56 结果显示附件： 测试人员绵阳移动：冯杰 华为公司：朱嘉

10、4.1.2 nd 协议 slaac 功能测试 测试目的测试被测设备的无状态地址自动配置功能 测试组网 测试过程(1)被测设备接口启用ipv6，并采用nd方式为终端下发前缀； (2)终端通过交换机接入网络设备，检查终端是否正确获得ipv6前缀，并能否ping通被测设备； 抓包记录终端设备与网络设备之间的协议交互过程 预期结果终端能够正常获取ipv6前缀并能正确生成地址,且能够正常能够ping通网关设备 测试结果与预期结果一致 测试结论被测设备的无状态地址自动配置功能成功 测试备注 相关测试配置如下： 【me60】： ipv6 # ipv6 prefix ipv6test local prefix

11、 2010:/56 # ipv6 pool ipv6test bas local prefix ipv6test # aaa # domain ipv6test authentication-scheme default0 accounting-scheme default0 ipv6-pool ipv6test # # interface gigabitethernet1.4003 undo shutdown # interface eth-trunk 1.4003 ipv6 enable ipv6 address auto link-local user-vlan 4002 bas # a

12、ccess-type layer2-subscriber default-domain authentication ipv6test authentication-method-ipv6 bind 结果显示附件： 测试人员绵阳移动：冯杰 华为公司：朱嘉 4.2 ipv6 路由功能测试 4.2.1 静态路由有效性 测试目的(1)ipv6地址使用的有效性;(2)ipv6静态路由的有效性 测试组网 测试过程 (1)双栈节点使能ipv6,配置各互联链路两端ipv6地址; (2)配置各节点ipv6静态路由并指定ipv6缺省路由,配置原则是pe节点(bras)的ipv6缺省路由指 向最近的p节点(城域c

13、r),2个p节点缺省路由互相指向对端; (3)查看各节点配置ipv6地址的端口状态和各节点ipv6路由表; (4)各节点间互相进行ipv6 ping测试. 预期结果各节点ipv6地址可以互相ping通, 测试结果与预期结果一致 测试结论(1)ipv6地址使用有效;(2)ipv6静态路由有效 测试备注 测试人员绵阳移动：冯杰 华为公司：朱嘉 4.2.2 ospfv3 路由协议有效性 测试目的 (1)测试ospfv3的基本功能;(2)测试ospfv3的stub和nssa区域特性; (3)测试cost、preference属性;(4)测试最大等价路由条数; (5)测试引入外部路由和路由过滤;(6)测

14、试ospfv3安全特性;(7)测试ospfv3 gr. 测试组网 测试过程 (1)双栈节点使能ipv6,配置各互联链路两端ipv6地址; (2)配置各节点启动ospfv3,并在接口上使能ospfv3,配置cr节点为area0; (3)配置me60节点为stub area,设置default-cost,查看其ospfv3路由表和ipv6路由表; (4)配置me60节点为nssa area,在me60节点将ipv6 静态路由引入ospfv3,通过ipv6-prefix 过滤器配置路由过滤策略,允许发布2011:/64地址,禁止发布2012:/64地址.查看各节点学习到 该段ipv6 静态路由是否正

15、确; (5)配置me60节点为area0,me60节点配置最大负载均衡2,查看该节点ospfv3路由表 (6)在me60节点引入直连路由,并过滤部分引入的路由.查看各节点学习到的引入路由; (7)配置me60节点为area2并作区域认证,配置为area3并 接口认证.在口令一致和不一致情况 下查看ospfv3 peer建立情况; (8)重启个别节点ospfv3进程,查看该节点ospfv3 peer和ospfv3路由表.然后再全局使能 ospfv3 gr,重启个别节点查看该节点ospfv3 peer和ipv6 fib表, 预期结果 (1)各节点ipv6地址可以互相ping通; (2)stub a

16、rea可以学习到缺省路由,缺省路由cost为配置的default-cost; (3)nssa area可以学习到缺省路由,并能将引入的外部路由发布出去; (4)me60节点上行流量正常 (5)各节点(除stub area和nssa area场景)可以学习到引入的外部路由; (6)配置验证的area和接口,口令一致的情况下才能建立ospfv3 peer; (7)使能ospfv3 gr之前,重启高水me60 ospfv3进程,ospfv3 peer断开,ipv6 fib表路由丢失; 使能ospfv3 gr后重启高水me60 ospfv3进程,ospfv3 peer断开,ipv6 fib表项不受影响

17、. 测试结果与预期结果一致 测试结论 除配置验证的area和接口,口令一致的情况下才能建立ospfv3 peer因目前设备版本原因以外， 其余测试满足ospf v3的各项功能 测试备注 测试人员绵阳移动：冯杰 华为公司：朱嘉 4.2.3 isisv6 路由协议有效性 测试目的 (1)测试isis的ipv6基本功能;(2)测试level1、level2和level-1-2; (3)测试level1和level2之间路由渗透;(4)测试引入外部ipv6路由;(5)测试ipv6路由过滤. 测试组网 测试过程 (1)双栈节点使能ipv6,配置各互联链路两端ipv6地址; (2)各节点使能is-is路由

18、协议,配置进程号,网络实体名,level,并在接口下使能is-is进程; (3)配置cr节点为level-2,me60节点为level-1-2,另一me60节点为level-1,查看各节点isisv6 路由表和ipv6路由表; (4)配置cr节点发布level-2 ipv6缺省路由,并配置缺省cost.查看其它节点是否学习到指向p节 点的ipv6缺省路由及ipv6缺省路由cost; (5)配置cr节点引入直连ipv6路由,查看各节点是否学习到该节点引入的直连路由; (6)配置me60节点上将level-2的ipv6路由引入level-1,并配置路由过滤,查看另一me60节点 是否学习到leve

19、l-2路由. 预期结果 (1)各节点可以ipv6 ping通; (2)各节点可以学习到cr节点发布的缺省路由; (3)各节点可以学习到cr节点引入的直连路由; (4)me60节点可学到另一me60节点引入到level-1的level-2路由,配置路由过滤生效. 测试结果与预期结果一致 测试结论满足isisv6的各项功能 测试备注 相关测试配置如下： 【ne40e-1】： isis 1 is-level level-2 network-entity 11.1111.1111.1111.00 # ipv6 enable topology ipv6 ipv6 default-route-advert

20、ise always ipv6 import-route direct tag 100 # interface eth-truank 2 undo shutdown ipv6 enable ip address ipv6 address 2010:1:1:1/56 isis ipv6 enable 1 b： 【ne40e-1】： isis 1 is-level level-2 network-entity 22.2222.2222.2222.00 # ipv6 enable topology ipv6 ipv6 import-route isis

21、level-2 into level-1 filter-policy route-policy policy # # interface eth-truank 2 undo shutdown ipv6 enable ip address ipv6 address 2010:1:1:2/56 isis ipv6 enable 1 # 测试人员绵阳移动：冯杰 华为公司：朱嘉 4.2.4 策略路由有效性 测试目的(1)aclv6有效性;(2)策略路由有效性 测试组网 测试过程 (1)me60和另一me60节点作为pe使能ipv6,并配置互联链路的ipv6

22、地址; (2)测试pc使能ipv6并配置ipv6地址; (3)在测试用pc和2台pe之间使能ospfv3路由协议 ,查看me60的ipv6路由表，并ping ipv6测 试pc的地址1和地址2地址。 (4)在me60上配置策略路由,配置策略路由拒绝来自另一me60的流量 预期结果 (1)配置策略路由前,me60和另一me60可ping ipv6通测试用地址;(2)配置策略路由后, me60 可ping ipv6通测试用自身测试pc地址,但无法ping ipv6通l另一me60测试地址,，反之亦然。 测试结果与预期结果一致 测试结论(1)aclv6有效;(2)策略路由有效 测试备注 测试人员绵阳

23、移动：冯杰 华为公司：朱嘉 4.3 ipv6 过渡功能测试 4.3.1 6pe 隧道有效性 测试目的(1)测试6pe隧道的有效性;(2)测试6pe隧道和ospfv3路由协议结合的有效性 测试组网 测试过程 (1)园艺me60和高水me60节点作为pe使能ipv6,并配置互联链路的ipv6地址; (2)园艺me60,高水me60节点和cr(a),cr(b)节点间使能isis路由协议并使能mpls; (3)各双栈pe节点和ipv4 p节点建立mpls ibgp ipv4peer,两个p节点作rr; (4)2台测试用ce节点分别园艺me60,高水me60节点间运行ospfv3路由协议; (5)园艺m

24、e60,高水me60节点分别启动6pe功能,将ospfv3路由引入bgp ipv6路由表. 预期结果园艺me60和高水me60之间建立6pe隧道,并且可以互相学习到对方ipv6的路由 测试结果与预期结果一致 测试结论(1)测试6pe隧道的有效;(2)测试6pe隧道和ospfv3路由协议结合有效 测试备注 测试人员绵阳移动：冯杰 华为公司：朱嘉 4.4 ipv6 接入功能测试 4.4.1 双栈 pppoe 接入有效性 测试目的双栈pppoe上线的有效性 测试组网 测试过程 (1)全局使能ipv6,配置ipv6节点互联链路的ipv6地址及相应的ipv6路由设置; (2)高水me60节点配置静态用户

25、上线,包含地址池,认证域,上线端口,静态地址绑定,win7服务器 采用不认证不计费方式静态双栈地址上线,win7服务器开启web和ftp服务; (3)园艺me60节点配置pppoe用户上线,配置地址池,认证模板,计费模板,认证域,bas端口和本 地帐户等信息.配置园艺me60下挂s9312交换机透传用户vlan; (4)在win7客户端上进行pppoe双栈上线测试,上线成功后访问win7服务器web和ftp服务. 预期结果用户pppoe双栈上线成功,同时获取ipv4和ipv6地址,可以正常访问服务器web和ftp服务. 测试结果与预期结果一致 测试结论双栈pppoe上线有效 测试备注 【me6

26、0】 # ipv6 # interface virtual-template5 ppp authentication-mode pap # ip pool ipv4test bas local gateway section 0 0 # ipv6 prefix ipv6test local prefix 2010:/56 # ipv6 pool ipv6test bas local prefix ipv6test # aaa # domain test _pppoe authentication-scheme defau

27、lt0 accounting-scheme default0 ip-pool ipv4test ipv6-pool ipv6test # interface eth-trunk 1.4003 pppoe-server bind virtual-template 5 ipv6 enable ipv6 address auto link-local user-vlan 4002 bas # access-type layer2-subscriber default-domain authentication test _pppoe # 测试人员绵阳移动：冯杰 华为公司：朱嘉 4.4.2 双栈静态接

28、入有效性 测试目的双栈静态上线的有效性 测试组网 测试过程 (1)全局使能ipv6,配置ipv6节点互联链路的ipv6地址及相应的ipv6路由设置; (2)高水me60节点配置静态用户上线,包含地址池,认证域,上线端口,静态地址绑定,win7服务器 采用不认证不计费方式静态双栈地址上线,win7服务器开启web和ftp服务; (3)园艺me60节点配置静态用户上线,配置地址池,认证模板,计费模板,认证域,bas端口和本地 帐户等信息.配置园艺me60下挂s9312交换机透传用户vlan; (4)在win7客户端上进行静态双栈上线测试,上线成功后访问win7服务器web和ftp服务. 预期结果用

29、户静态ipv4和ipv6地址双栈上线成功,可以正常访问服务器web和ftp服务. 测试结果该测试版本需要在v6r3c05版本才支持 测试结论该测试版本需要在v6r3c05版本才支持 测试备注后续计划测试完成 测试人员绵阳移动：冯杰 华为公司：朱嘉 4.4.3 双栈 dhcp 接入有效性 测试目的双栈dhcp上线的有效性 测试组网 测试过程 (1)全局使能ipv6,配置ipv6节点互联链路的ipv6地址及相应的ipv6路由设置; (2)高水me60节点配置静态用户上线,包含地址池,认证域,上线端口,静态地址绑定,win7服务器 采用不认证不计费方式静态双栈地址上线,win7服务器开启web和ft

30、p服务; (3)园艺me60节点配置dhcp双栈用户上线,配置地址池,认证模板,计费模板,认证域,bas端口和 本地帐户等信息.配置园艺me60下挂s9312交换机透传用户vlan; (4)win7客户端自动获取双栈地址上线测试,上线成功后访问win7服务器web和ftp服务. 预期结果用户dhcp地址双栈上线成功,同时获得ipv4和ipv6地址,可以正常访问服务器web和ftp服务. 测试结果与预期结果一致 测试结论双栈dhcp上线的有效 测试备注 【me60】 ipv6 # dhcpv6 duid llt # ip pool ipv4test bas local gateway 1.1.1

31、.1 section 0 0 # ipv6 prefix ipv4test local prefix 2010:/56 # ipv6 pool ipv6test bas local prefix ipv6test # aaa # domain test_dhcp authentication-scheme default0 accounting-scheme default0 ip-pool ipv4test ipv6-pool ipv6test # interface eth-trunk 1.4003 undo shutdown ip

32、v6 enable ipv6 address auto link-local ipv6 nd autoconfig managed-address-flag ipv6 nd autoconfig other-flag bas access-type layer2-subscriber default-domain authentication test_dhcp authentication-method-ipv6 bind authentication-method bind 测试人员绵阳移动：冯杰 华为公司：朱嘉 4.5 安全功能测试 注意：本次涉及的安全测试，组网略有区别，具体如下： 测

33、试组网环境 测试组网环境说明： 在测试组网中，mscg（me60）网元将流量引流到e8080e上进行安全性检查，处理完后 将报文回注到me60。在me60上通过策略路由回注正常流量到内网。内网发向外网流量保 持原有路径不变。 4.5.1 ipv4 到 ipv6 过渡双栈功能测试 测试项目ipv4到ipv6过渡双栈功能测试 测试目的过渡技术中最主要的方案是ipv4和ipv6协议栈共存，本测试在于考察清洗设备处理 ipv4/ipv6数据包的能力 测试组网 详见组网图 预置条件1. 根据网络拓扑图搭建测试环境； 2. 清洗设备工作在路由模式； 3. 正确配置pc和server的ipv4和ipv6地址

34、、缺省网关； 4. server上安装支持双栈的http/ftp服务程序 测试步骤正确配置pc、清洗设备、server上的ipv4和ipv6地址 1、 配置 pc 和 server 的 ipv4 和 ipv6 缺省网关； 2、在 pc 上分别 ping server 上的 ipv4 和 ipv6 地址，有结果 1 3、在 pc 上分别使用 ipv4 和 ipv6 的方式使用 web 方式访问 server 上的 http 服务， 有结果 2 在 pc 上使用 ipv4 和 ipv6 的方式使用 ftp 下载 server 上是文件，有结果 3 预期结果1、使用ipv4/ipv6方式均能ping

35、成功 2、使用ipv4/ipv6方式均能访问web页面成功 3、使用ipv4/ipv6方式均能ftp下载成功 测试结果 通过 部分通过 未通过 未测试 备 注 测试人员绵阳移动：冯杰 华为公司：朱嘉 4.5.2 ipv6 域间包过滤功能测试 测试项目ipv6域间包过滤功能测试 测试目的测试设备对域间包过滤功能的支持能力 测试组网详见组网图 预置条件1、根据网络拓扑图搭建测试环境； 2、清洗设备工作在路由模式； 3、正确配置清洗设备、pc和server的ipv6地址、缺省网关。 4、pc能正常访问server。 测试步骤1、设置被测设备接口的ipv6地址，将接口1和接口2加入不同的清洗设备域。

36、2、pc和server配置ipv6地址，通过pc访问server，在清洗设备上配置ipv6 acl，将 规则应用到清洗设备的域间，拒绝pc对server的ipv6流量访问。 acl ipv6 number 3000 rule 0 deny ipv6 source 2000:10/128 destination 3000:10/128 rule 1 permit ipv6 firewall interzone trust untrust packet-filter ipv6 3000 inbound 3、通过访问情况，验证域间包过滤规则是否生效。 预期结果命中域间规则的流量不能通过。 测试结果

37、通过 部分通过 未通过 未测试 备 注 签字确认 测试人员绵阳移动：冯杰 华为公司：朱嘉 syn flood 攻击防御功能测试 测试项目syn flood攻击防御功能测试 测试组网详见组网图 预置条件 1、根据基本组网图完成测试组网、并运行正常。 2、服务器上开启web服务器功能；通过客户端ie访问 web服务器的网页，可以正常访问。 3、服务器上开启ftp服务器功能，通过客户端能正常下载。 测试步骤 1、关闭清洗系统的ipv6 syn flood攻击防御功能； 2、使用攻击流量测试仪对目标web服务器进行ipv6协议的syn flood攻击； 3、使用客户端访问web服务器的网页；通过ftp

38、下载文件，出现结果1； 4、打开清洗设备的ipv6 syn flood攻击防御功能； ddos-zone name huaweitest zone-id 1010 ipv6 address 3000: 96 anti-ddos syn-flood source-detect 5、使用客户端重新访问web服务器的网页；ftp重新下载文件，出现结果2。 预期结果 结果1：此时网页应无法访问或者访问延迟很大，ftp无法下载或下载速率很低。 结果2：客户端可以正常访问web页面，ftp下载正常，文件能正常打开，server端无攻击 报文透过。 测试结果 通过 部分通过 未通过 未测试 备 注 测试人员

39、绵阳移动：冯杰 华为公司：朱嘉 4.5.4 syn-ack flood 攻击防御功能测试 测试项目syn-ack flood攻击防御功能测试 测试组网详见组网图 预置条件 1、根据基本组网图完成测试组网、并运行正常。 2、服务器上开启web服务器功能；通过客户端ie访问 web服务器的网页，可以正常访问。 3、服务器上开启ftp服务器功能，通过客户端能正常下载。 测试步骤1、关闭清洗系统的ipv6 syn-ack flood攻击防御功能； 2、使用攻击流量测试仪对目标web服务器进行ipv6协议的syn-ack flood攻击； 3、使用客户端访问web服务器的网页；通过ftp下载文件，出现结

40、果1； 4、打开清洗设备的ipv6 syn-ack flood攻击防御功能； ddos-zone name huaweitest zone-id 1010 ipv6 address 3000: 96 anti-ddos syn-ack-flood source-detect 5、使用客户端重新访问web服务器的网页；ftp重新下载文件，出现结果2。 预期结果 结果1：此时网页应无法访问或者访问延迟很大，ftp无法下载或下载速率很低。 结果2：客户端可以正常访问web页面，ftp下载正常，文件能正常打开，server端没有 攻击报文透过。 测试结果 通过 部分通过 未通过 未测试 备 注 测试人

41、员绵阳移动：冯杰 华为公司：朱嘉 4.5.5 udp flood 攻击防御功能测试 测试项目udp flood攻击防御功能测试 测试组网详见组网图 预置条件 1、根据基本组网图完成测试组网、并运行正常。 2、服务器上开启web服务器功能；通过客户端ie访问 web服务器的网页，可以正常访问。 3、服务器上开启ftp服务器功能，通过客户端能正常下载。 测试步骤 1、关闭清洗系统的ipv6 udp flood攻击防御功能； 2、使用攻击流量测试仪对目标web服务器进行ipv6协议的udp flood攻击； 3、使用客户端访问web服务器的网页；通过ftp下载文件，出现结果1； 4、打开清洗设备的i

42、pv6 udp flood攻击防御功能； ddos-zone name huaweitest zone-id 1010 ipv6 address 3000: 96 anti-ddos udp-flood fingerprint-learn 5、使用客户端重新访问web服务器的网页；ftp重新下载文件，出现结果2。 预期结果 结果1：此时网页应无法访问或者访问延迟很大，ftp无法下载或下载速率很低。 结果2：客户端可以正常访问web页面，ftp下载正常，文件能正常打开，server端没有攻 击报文透过。 测试结果 通过 部分通过 未通过 未测试 备 注 测试人员绵阳移动：冯杰 华为公司：朱嘉 4

43、.5.6 icmp flood 攻击防御功能测试 测试项目icmp flood攻击防御功能测试 测试组网详见组网图 预置条件 1、根据基本组网图完成测试组网、并运行正常。 2、服务器上开启web服务器功能；通过客户端ie访问 web服务器的网页，可以正常访问。 3、服务器上开启ftp服务器功能，通过客户端能正常下载。 测试步骤 1、关闭清洗系统的ipv6 icmp flood攻击防御功能； 2、使用攻击流量测试仪对目标web服务器进行ipv6协议的icmp flood攻击； 3、使用客户端访问web服务器的网页；通过ftp下载文件，出现结果1； 4、打开清洗设备的ipv6 icmp flood

44、攻击防御功能； ddos-zone name huaweitest zone-id 1010 ipv6 address 3000: 96 bandwidth-limit destination-ip type icmp max-speed 10 5、使用客户端重新访问web服务器的网页；ftp重新下载文件，出现结果2。 预期结果 结果1：此时网页应无法访问或者访问延迟很大，ftp无法下载或下载速率很低。 结果2：客户端可以正常访问web页面，ftp下载正常，文件能正常打开。 测试结果 通过 部分通过 未通过 未测试 备 注 测试人员绵阳移动：冯杰 华为公司：朱嘉 4.5.7 dns flood

45、 攻击防御功能测试 测试项目dns query flood攻击防御功能测试 测试组网详见组网图（1） 预置条件 1、根据基本组网图完成测试组网、并运行正常。 2、服务器上开启web服务器功能；通过客户端ie访问 web服务器的网页，可以正常访问。 3、服务器上开启ftp服务器功能，通过客户端能正常下载。 测试步骤 1、关闭清洗系统的ipv6 dns query flood攻击防御功能； 2、使用攻击流量测试仪对目标web服务器进行ipv6协议的dns query flood攻击； 3、使用客户端访问web服务器的网页；通过ftp下载文件，出现结果1； 4、打开清洗设备的ipv6 dns que

46、ry flood攻击防御功能； ddos-zone name huaweitest zone-id 1010 ipv6 address 3000: 96 anti-ddos dns-request-flood source-detect 5、使用客户端重新访问web服务器的网页；ftp重新下载文件，出现结果2。 预期结果 结果1：此时网页应无法访问或者访问延迟很大，ftp无法下载或下载速率很低。 结果2：客户端可以正常访问web页面，ftp下载正常，文件能正常打开，server端没有攻 击报文透过。 测试结果 通过 部分通过 未通过 未测试 备 注 测试人员绵阳移动：冯杰 华为公司：朱嘉 4.

47、5.8 混合攻击防御功能测试 测试项目混合攻击防御功能测试 测试组网详见组网图 预置条件 1、根据基本组网图完成测试组网、并运行正常。 2、服务器上开启web服务器功能；通过客户端ie访问 web服务器的网页，可以正常访问。 3、服务器上开启ftp服务器功能，通过客户端能正常下载。 测试步骤 1、关闭清洗系统的ipv6 syn flood、ipv6 udp flood、ipv6 dns flood攻击防御功能； 2、使用攻击流量测试仪对目标web服务器进行ipv6 协议的syn flood、udp flood、dns flood攻击； 3、使用客户端访问web服务器的网页；通过ftp下载文件，

48、出现结果1； 4、打开清洗设备的ipv6 syn flood、ipv6 udp flood、ipv6 dns flood攻击防御功能； 5、使用客户端重新访问web服务器的网页；ftp重新下载文件，出现结果2。 预期结果 结果1：此时网页应无法访问或者访问延迟很大，ftp无法下载或下载速率很低。 结果2：客户端可以正常访问web页面，ftp下载正常，文件能正常打开，server端没有攻 击报文透过。 测试结果 通过 部分通过 未通过 未测试 备 注 测试人员绵阳移动：冯杰 华为公司：朱嘉 4.6 其他安全功能测试 以下功能在初步测试时发现： 序号内容备注 1 隧道：穿越防火墙及流量检测系统的问

49、题等；隧道过渡方 案中，内、外层地址的一致性检查 不支持，目前清洗设备只支持 gre内层包过滤，后续考虑 4o6、6o4穿墙隧道的内层包过 滤功能 2 dnssec 部署测试； 不支持，清洗设备后续版本考虑 支持。 then how can we translate poems? according to wangs understanding, the translation of poems is related to three aspects: a poems meaning, poetic art and language. （1）a poems meaning “socio-cultural differences are formidable enough, but the matter is made much more complex when one realizes that meaning does not consist in the meaning of words only,