CNS - IPAM 测试方案

1、CNS网络核心服务自动化开通平台系统网络核心服务自动化开通平台系统IPAM测试方案测试方案迪讯信息技术有限公司 IPAM测试方案第 1 页目目 录录一、一、 测试准备测试准备.3（一） 测试目的.3（二） 网络测试拓扑结构.4（三） 测试前题条件.4二、二、 系统测试流程系统测试流程.6（一） 系统测试流程.6三、三、 基本基本DHCPV4功能测试功能测试.8（一） DHCPV4地址分配.8（二） 接入终端指纹类型审计.10（三） DHCPV4的IP/MAC绑定功能.11（四） DHCPV4的IP/MAC批量绑定功能.12（五） IP地址分配历史审计 .14（六） IP地址分组管理.16四、四

2、、 DHCPV4数据导入数据导入/导出功能测试导出功能测试.18（一） DHCPV4子网数据导入.18（二） 外部数据导入.19（三） DHCPV4数据导出.20五、五、 联动交换机联动交换机DHCP SNOOPING及及DAI测试测试.23（一） CNS-APP联动DHCP SNOOPING功能.23（二） CNS-APP联动DHCP SNOOPING+DAI功能.24六、六、 网络边界准入和访客授权测试网络边界准入和访客授权测试 .29（一） 未授权用户的地址分配.29（二） 用户授权操作.321 后台全局授权.322 Web Guest Portal临时授权.35 IPAM测试方案第 2

3、 页3 用户授权的效果.37（三） 解除授权操作.391 手工解除全局授权.392 自动解除授权.393 解除授权的效果.41七、七、 IP地址调和功能测试地址调和功能测试.43（一） IPV4地址核查功能.431 能否核查”未知/不匹配/待清除”状态.43（二） IP地址调和功能.451 能否调和 “未知/不匹配/待清除”状态.46（三） IP地址调和记录审计 .47（四） 设备端口/MAC扫描功能.48（五） 查看终端设备FQDN名称.49八、八、 自动化脚本配置任务测试自动化脚本配置任务测试.51（一） 配置脚本任务的定制.51（二） 配置脚本任务的运行.52九、九、 测试预期分析测试预

4、期分析.55 IPAM测试方案第 3 页1、测试准备测试准备（1）测试目的测试目的随着信息化的建设步伐，内网应用系统也越来越多，几乎所有内网业务全部转向IP网络，目前，在终端IP地址管理方面，仍然是以以手工管理的方式居多，通过Excel表格进行管理，同时在相应的上网行为设备进行IP/MAC地址登记，进行内外网控制。部分单位的办公网段会采用传统的DHCP进行地址分配，lP地址管理审计较为繁琐。通过对现有地址管理方式和手段的简要分析，目前的管理风险主要体现以下几个方面。手工管理IP地址和维护复杂度高预防IP地址冲突、私设非法DHCP和ARP病毒缺乏统一全面的IP地址跟踪审计分析访客IP地址动态接入

5、授权控制IP地址回收与重复利用问题交换机配置巡检、备份与恢复IPv6地址分配技术迁移问题由于IP地址是信息化网络能够保持高效运行的关键。如果IP地管理不当，网络很容易出现IP地址冲突，影响网络正常业务的开展。即使网络管理员知道有人设置了错误的IP地址，也无法定位使用非法IP的终端设备；同时网络管理员通过对IP地址合法性的确认，保证接入网络系统的设备都是合法，防止因为非法设备的接入而造成运营的损耗。本次测试的目的是通过对上述问题的解决，进行相关技术难点的验证性测试，探讨如何打造安全、可控、强化的IP地址自动化管理平台，实现实名制的IP地址管理审计。 IPAM测试方案第 4 页（2）网络测试拓扑结

6、构网络测试拓扑结构本次测试环境的网络拓扑如下图所示：（3）测试前题条件测试前题条件满足本次测试的测试前提条件：网络配置正常，链路通畅。 下面是在网络设备（路由器/交换机）需要进行的配置改动：配置配置相关命令相关命令作用作用DHCP中继功能conf term(config)# interface vlan10 /* 进入vlan配置(config-if)# ip helper-address cns-app-ip跨VLAN支持DHCP Snooping功能IP dhcp snooping /打开dhcp snooping开关IP dhcp snooping verify mac-address

7、/打开dhcp源mac检查的功能防止伪DHCP IPAM测试方案第 5 页IP dhcp snooping trust /将端口设置成为trust口，默认为UNTRUST口DAI功能在配置DAI功能之前先配置dhcp snoopingIP ARP inspection /启用全局DAI功能ip arp inspection vlan vlan-id /启用指定VLAN的DAI功能Ip arp inspection trust /设置端口的信任状态为信任状态 防止手工私设IPSNMP接口config terminal 进入全局配置状态Cdp run 启用CDPsnmp-server commun

8、ity public ro 配置本路由器的只读字串为publicsnmp-server community public rw 配置本路由器的读写字串为public网络二层/三层网络发现引擎 IPAM测试方案第 6 页2、系统测试流程系统测试流程为了达到本次测试预期的效果，结合客户网络中所存在的实际管理需求。双方通过多次讨论和研究，拟定如下系统测试流程，对各个功能点进行逐一验证测试。（1）系统测试流程系统测试流程序号序号测试目的测试目的测试操作流程测试操作流程测试结论测试结论a）开启交换机的DHCP Snooping功能，DAI（Dynamic ARP Inspection ）功能b）开启CN

9、S-APP系统的DHCP服务1阻止/告警非法修改IP地址a）配置IP地址调和核查策略（网络发现范围、SNMP参数等）b）使用CNS-APP系统的IP调和功能进行地址核对c）调和三种核查结果（不匹配、未知、待清楚）a）在授权接入控制界面，为访客进行临时授权（可指定授权周期）b）已授权的MAC地址将会获取合法IP地址a）启用Portal界面，输入相关信息进行访客授权（授权周期为一天）b）已授权的MAC地址将会获取合法IP地址2非法MAC接入授权/解除a）启动 定时任务清除功能b）00:30 会对当天到期的访客进行解除授权a）配置相关子网/DHCP地址池参数b）配置相关DHCP客户端/服务端参数c）

10、部署DHCP服务d）查看地址分配的实时状态，已分配/未分配/回收/地址分配时间/续租时间等3人员/IP/MAC实名制动态分配及实名地址推送a）DHCP固定地址分配，进行IP/MAC地址绑定b）系统部署后查看地址分配情况a）逐一配置网络设备的SNMP配置参数b）通过CNS-APP的设备信息查看进行设备数据导入4设备/IP/MAC资产集中统计管理a）外部Excel数据导入b）使用IP地址调和功能导入数据 IPAM测试方案第 7 页c）交换机连接端口数据导入d）通过DHCP协议进行IP/MAC数据实时采集a）交换机端口端口扫描功能b）IP地址调和，二层端口发现功能a）创建部门类别标识b）关联已使用的

11、IP地址5交换机自动化备份/恢复a）自定义配置脚本模板b）给配置模板定义周期任务c）备份交换机的running-config至SCP服务器d）使用设备配置脚本运行show running-config命令，保存运行结果至本地a）IP/MAC/端口地址分配历史审计功能6IP/MAC地址分配变更审计a）IP地址调和（IP/MAC/端口）变更审计功能7DHCPv6支持a）DHCPv6子网、地址池、相关DHCPv6参数b）DHCPv6 DUID固定地址绑定c）DHCPv6地址实名制分配8数据定制导出a）可以定制数据列，进行子网、IP地址、MAC列表等数据导出b）可以定制数据列，进行网络设备、脚本列表等

12、数据导出c）可以定制数据列，进行相关报表的数据导出导出配置脚本运行后的结果文件9高级DHCP功能a） DHCP匹配类、DHCP厂商参数、DHCP自定义参数b） BYOD DHCP系统指纹识别，识别安卓、苹果、平板、XP等系统 IPAM测试方案第 8 页3、基本基本 DHCPv4 功能测试功能测试CNS-APP系统提供增强型IPv4 DHCP plus服务。本系统的DHCPv4服务支持全部相关RFC文档。并支持自定义参数。CNS-APP系统是分别存储IP地址和MAC地址的实体，两者直接是通过数据关联进行IP/MAC地址的关联显示。所以在系统如果删除了IP地址，并不代表这个IP地址所对应的MAC地

13、址也被删除，因为这两个是单独的存储实体。在系统中，一个IP地址最多只能对应一个MAC地址。对于MAC地址可以对应多个IP地址（如移动办公，地址回收后重新分配新地址或者交换某个端口对应多个IP地址） 。系统中可以区分IP地址的状态，通过不同的地址图标可以轻松容易的进行标识：（1）DHCPv4 地址分配地址分配测试目的：系统是否支持DHCPv4地址分配/回收，实现实名制地址分配测试拓扑：无法使用的IP地址空闲、未使用的IP地址状态为“静态地址”，代表这个地址被占用状态为“DHCP绑定地址”DHCP已经分配地址，此IP正在使用DHCP已经回收地址，此IP已经回收 IPAM测试方案第 9 页测试过程：

14、1、其它网络设备工作正常且通信正常；CNS-APP与服务器区连接，且通信正常。2、正确配置IPv4网络。3、在新增的网络里添加了地址池，4、正确配置网络级别DHCPv4服务器端参数和客户端参数。5、点击系统部署时，勾选启动IPv4网络服务。6、系统部署成功。7、客户端动态获取IP地址，相对应IP地址池里显示绿色正在使用状态。测试要求：DHCP服务能成功分配/回收IP地址，实现透明DHCP地址分配。过程图例过程图例:正常分配/回收IP地址。 IPAM测试方案第 10 页（2）接入终端指纹类型审计接入终端指纹类型审计测试目的：系统是否支持DHCPv4接入终端指纹类型审计测试拓扑： IPAM测试方案

15、第 11 页测试过程：1、其它网络设备工作正常且通信正常；CNS-APP与服务器区连接，且通信正常。2、正确配置IPv4网络。3、在系统管理中点击“系统参数配置”勾选“接入终端指纹类型审计”。4、点击系统部署，勾选启动IPv4网络服务。5、系统部署成功。6、客户端动态获取IP地址，相对应IP地址列表里会显示出该终端设备的操作系统。测试要求：系统支持DHCPv4接入终端指纹类型审计。过程图例过程图例:终端指纹类型。（3）DHCPv4 的的 IP/MAC 绑定功能绑定功能测试目的：系统是否支持DHCP绑定功能，实现固定地址分配 IPAM测试方案第 12 页测试拓扑：测试过程：1.其它分系统设备工作

16、正常且通信正常；2.本分系统CNS-APP与服务器区连接，且通信通信。3.在CNS-APP系统DHCPv4子网地址列表中点击静态IPv4地址或是未使用过的IPv4地址进行绑定和信息的备注。4.绑定成功后图标显示黄色状态。测试要求：系统支持DHCP绑定地址（固定地址）分配过程图例过程图例:正常绑定IP地址。（4）DHCPv4 的的 IP/MAC 批量绑定功能批量绑定功能测试目的：系统是否支持DHCP批量绑定功能，实现固定地址分配测试拓扑： IPAM测试方案第 13 页测试过程：1.其它分系统设备工作正常且通信正常；2.本分系统CNS-APP与服务器区连接，且通信通信。3.在CNS-APP系统DH

17、CPv4子网地址列表中批量选择静态IPv4地址或已经动态回收的IP地址，点击”配置”按钮。4.绑定成功后图标显示黄色状态。测试要求：系统支持DHCP批量绑定地址（固定地址）分配过程图例过程图例:批量绑定IP地址。 IPAM测试方案第 14 页（5）IP 地址分配历史审计地址分配历史审计测试目的： CNS-APP提供DHCP服务时，能否对地址分配动作进行历史审计测试拓扑： IPAM测试方案第 15 页测试过程：1、其它分系统设备工作正常且通信正常；本分系统CNS-APP与参试交换机连接，且通信正常；2、开启CNS-APP系统的DHCP服务，并确保本系统能够正常提供DHCP服务。终端通过浏览器访问

18、CNS-APP服务器。3、系统管理中，点击“系统参数配置”；“地址历史审计参数”一栏中，勾选“IP地址分配历史审计”项后，点击“更改”按钮保存配置并另配置生效；4、查看系统事件通知或地址变更审计页面。5、根据系统设定，IP地址分配历史审计功能会记录以下状态的动作。 1 - 动态分配 2 - 动态回收测试要求：实现地址分配的历史记录审计，记录分配/回收地址的全过程过程图例过程图例:正常显示地址历史分配记录。 IPAM测试方案第 16 页（6）IP 地址分组管理地址分组管理测试目的：系统是否支持IP地址分组管理测试拓扑：测试过程：1.其它分系统设备工作正常且通信正常；2.本分系统CNS-APP与服

19、务器区连接，且通信通信。3.在CNS-APP系统“配置参数管理”中点击“部门类别管理”创建部门。4.在IPv4地址列表选择要进行分组的IP地址，点击“归类”。测试要求：系统支持IP地址分组管理过程图例过程图例: IPAM测试方案第 17 页 IPAM测试方案第 18 页4、DHCPv4 数据导入数据导入/导出功能测试导出功能测试（1）DHCPv4 子网数据导入子网数据导入测试目的：系统是否支持DHCPv4子网数据的导入测试拓扑：测试过程：1、其它分系统设备工作正常且通信正常；2、本分系统CNS-APP与服务器区连接，且通信通信。3、按导入模板格式要求编辑DHCPv4子网列表。4、在CNS-AP

20、P系统DHCPv4子网地址列表中点击“导入”5、选择要导入的IPv4子网模板。测试要求：系统支持DHCPv4子网数据的导入过程图例过程图例: IPAM测试方案第 19 页（2）外部数据导入外部数据导入测试目的：系统是否支持DHCPv4外部数据的导入测试拓扑：测试过程：1、其它分系统设备工作正常且通信正常； IPAM测试方案第 20 页2、本分系统CNS-APP与服务器区连接，且通信通信。3、按导入模板格式要求编辑DHCPv4外部数据列表。4、在CNS-APP系统“IP地址调和”点击 “外部数据导入”5、选择要导入的IPv4外部数据模板。测试要求：系统支持DHCPv4外部数据的导入过程图例过程图

21、例:外部数据导入。（3）DHCPv4 数据导出数据导出测试目的：系统是否支持DHCPv4数据的导出测试拓扑： IPAM测试方案第 21 页测试过程：1、其它分系统设备工作正常且通信正常；2、本分系统CNS-APP与服务器区连接，且通信通信。3、在CNS-APP系统中以列表出现的数据均支持以Excel格式“导出”。4、选择要导出的数据。测试要求：系统支持DHCPv4数据的导出过程图例过程图例: IPAM测试方案第 22 页 IPAM测试方案第 23 页5、联动交换机联动交换机 DHCP SNOOPING 及及 DAI 测试测试CNS-APP产品更好的和DHCP SNOOPING+DAI进行联动，

22、对私接路由和手动更改IP地址用户，进行阻断并审计跟踪到责任人。在交换上开启DHCP SNOOPING功能后，将有效的切断伪DHCP服务器的连接，CNS服务器连接的端口开放为trust，CNS能正常的分发IP地址。在交换机上开启DAI功能后，CNS服务器连接的端口开放为trust，CNS服务器能正常的分发IP地址，在终端设备更IP、MAC或更换端口后交换机将发出告警通知。（1）CNS-APP 联动联动 DHCP SNOOPING 功能功能测试目的：在交换机上开启DHCP SNOOPING功能后，CNS-APP能否正常的分发地址测试拓扑：测试过程：1、在支持开启SNOOPING功能的交换上身上打开

23、SNOOPING。2、CNS服务器连接的端口开放为trust，其他端口为非信任端口。3、在交换机上接入一台无线路由器，并开启DHCP服务。4、使用PC动态获取IP地址。5、PC将机获取到CNS服务器分发的IP地址。测试要求：DHCP Snooping有效阻断伪DHCP服务，PC将正常获取CNS-APP分发的IP地址 IPAM测试方案第 24 页过程图例过程图例:成功阻断伪DHCP服务，PC正常获取CNS-APP分发的IP地址。（2）CNS-APP 联动联动 DHCP SNOOPING+DAI 功能功能测试目的：在交换机上开启DHCP SNOOPING+DAI 功能后，手工私设地址后，PC终端能

24、否正常通讯测试拓扑： IPAM测试方案第 25 页测试过程：1、 其它分系统设备工作正常且通信正常；本分系统CNS-APP与参试交换机连接，且通信正常。2、 在支持开启SNOOPING+DAI功能的交换上身上打开SNOOPING和DAI功能。3、 CNS服务器连接的端口开放为都开启trust，其他端口为非信任端口。4、 使用终端PC动态获取IP地址。5、 终端获取地址后手动更改PC机的IP地址、MAC地址、端口。6、 开启DHCP SNOOPING+DAI功能的交换机是否发起告警通知。7、 PC机无法进行网络通信。测试要求：启用DAI功能，可以有效防止IP地址欺骗、MAC地址克隆、手工私设IP

25、地址、手动更改IP地址，如果发生以上现象，PC将无法进行网络通信过程图例过程图例:手动更改IP地址后，PC将无法进行网络通信。 IPAM测试方案第 26 页自动获取自动获取IP地址地址自动获取自动获取IP地址，地址，ping网关网关 IPAM测试方案第 27 页手工更改手工更改IP地址后地址后手工配置手工配置IP，ping网关网关 IPAM测试方案第 28 页DAI告警报错告警报错 IPAM测试方案第 29 页6、网络边界准入和访客授权测试网络边界准入和访客授权测试CNS-APP系统支持对访客进行动态临时授权，并对已授权访客进行集中管理。授权可手动解除，也可按照计划进行自动解除。未授权用户根据

26、系统设定将获取隔离网段的IP地址，授权后可获取正常网段的地址。（1）未授权用户的地址分配未授权用户的地址分配测试目的：是否支持对未授权用户进行分配地址测试拓扑：测试过程：1、其它分系统设备工作正常且通信正常；本分系统CNS-APP与参试交换机连接，且通信正常；终端通过浏览器访问CNS-APP服务器2、在CNS-APP的DHCPv4列表中添加两个IPv4网络，例如正常网段192.168.0.0/24和隔离网段1.1.1.0/24 。3、正常网段要添加网络级别的服务器端参数和客户端参数，和地址池，在网络级别启用授权控制策略，选择允许授权用户接入。4、在隔离网段里只需在网络级别配置服务器参数，和添加

27、地址池。在网络级别启用授权控制策略，选择未授权用户接入。5、在网络级别把正常网段和隔离网段添加到相同的共享网络标识里。6、点击系统部署成功后生效。 IPAM测试方案第 30 页测试要求：对于未授权的MAC地址，系统支持对未授权用户的分配地址过程图例过程图例:未授权用户成功获取隔离网段的IP地址。 IPAM测试方案第 31 页 IPAM测试方案第 32 页（2）用户授权操作用户授权操作1后台全局授权后台全局授权测试目的：系统是否支持在后台进行全局授权操作测试拓扑：测试过程：1、其它分系统设备工作正常且通信正常；本分系统CNS-APP与服务器区连接，且通信正常2、对获取隔离网段的终端设备进行授权。

28、 IPAM测试方案第 33 页 3、在CNS-APP系统的服务开通配置里点击动态授权接入控制。 4、根据接入终端获取的隔离网段IP地址或是MAC地址对终端设备进行授权。 5、添加被授权用户的信息，选择接入用户的IP地址使用期限。测试要求：系统是否支持在后台进行临时授权操作，便于对访客进行临时授权过程图例过程图例:支持在后台进行临时授权操作。 IPAM测试方案第 34 页 IPAM测试方案第 35 页2Web Guest Portal临时授权临时授权测试目的：系统是否支持在WEBPORTAL页面进行访客登记授权操作测试拓扑：测试过程：1、其它分系统设备工作正常且通信正常；本分系统CNS-APP与

29、服务器区连接，且通信正常2、对获取隔离网段的终端设备进行授权。 IPAM测试方案第 36 页 3、在CNS-APP系统的服务开通配置里点击动态授权接入控制。 4、根据接入终端获取的隔离网段IP地址或是MAC地址对终端设备进行授权。 5、添加被授权用户的信息，选择接入用户的IP地址使用期限。测试要求：系统支持在WEBPORTAL页面进行临时授权操作，便于访客登记授权过程图例过程图例:支持在WEBPORTAL页面进行临时授权操作。 IPAM测试方案第 37 页3用户授权的效果用户授权的效果测试目的：未授权用户在被授权后能否接入正常区网络测试拓扑：测试过程：1、其它分系统设备工作正常且通信正常；本分

30、系统CNS-APP 与服务器区连接，且通信正常、DHCPv4服务工作正常、访客认证功能工作正常；请确保参试终端未被本系统授权；2、参试终端向本系统申请IP地址；3、在本系统为参试终端进行授权操作； 4、参试终端重新获取IP地址后，查看新地址的所属网段。测试要求：未授权用户在被授权后能否接入正常区网络过程图例过程图例:未授权用户在被授权后可以接入正常区网络。 IPAM测试方案第 38 页 IPAM测试方案第 39 页（3）解除授权操作解除授权操作1手工解除全局授权手工解除全局授权测试目的：系统是否支持手工解除临时授权测试拓扑：测试过程：其它分系统设备工作正常且通信正常；本分系统CNS-APP与参

31、试交换机连接，且通信正常；终端通过浏览器访问CNS-APP服务器。1、 在 CNS-APP系统点击动态授权接入控制，选择要动态解除授权的终端设备的MAC地址，2、 在MAC地址列表中查看解除授权的终端设备MAC地址详细信息。测试要求：支持手工临时解除授权过程图例过程图例:支持手工临时解除授权。2自动解除授权自动解除授权测试目的：系统是否支持自动解除授权 IPAM测试方案第 40 页测试拓扑：测试过程：其它分系统设备工作正常且通信正常；本分系统CNS-APP与参试交换机连接，且通信正常；终端通过浏览器访问CNS-APP服务器。1、设备终端已经授权，并且获取到正常网段的IP地址2、在CNC-APP

32、系统里选择系统管理点击系统参数配置勾选是否自动解除3、临时授权的设备终端，在授权时间到期后会在晚上00:30自动解除授权4、授权时间到期后在动态授权接入控制列表中查看详细信息测试要求：支持自动解除临时授权，每天00:30执行解除授权任务过程图例过程图例:定时任务成功运行，自动解除临时授权。 IPAM测试方案第 41 页3解除授权的效果解除授权的效果测试目的：授权用户在被解除授权后能否接入隔离区网络测试拓扑： IPAM测试方案第 42 页测试过程：1、其它分系统设备工作正常且通信正常；本分系统CNS-APP与服务器区连接，且通信正常、DHCPv4服务工作正常、访客认证功能工作正常；请确保参试终端

33、的IP地址是由本系统分配的，并且已被本系统授权；2、在本系统为参试终端进行解除授权操作；3、参试终端重新获取IP地址后，查看新地址的所属网段。测试要求：授权用户在被解除授权后能接入隔离区网络过程图例过程图例:授权用户在被解除授权后可以接入隔离区网络。 IPAM测试方案第 43 页7、IP 地址调和功能测试地址调和功能测试IP地址调和功能通过内嵌的网络发现引擎采集获取IP-MAC-PORT三者之间的关联关系，如IP地址和MAC的关系，MAC地址与交换机端口的关系。同时，系统把定时采集获取的实时IP-MAC-PORT信息用来与以前的数据进行对比，对比分析的差异会触发差异处理方案。对网络环境中出现的

34、IP变更、IP回收、新增终端及终端IP/MAC变更等异常进行告警。不仅帮助网络管理员正常管理网络环境，还从一定程度上保护了内部网络资源，保障IP地址有效利用，极大地提高了网络管理的工作效率。（1）IPv4 地址核查功能地址核查功能1能否核查能否核查”未知未知/不匹配不匹配/待清除待清除”状态状态测试目的：能否对系统IP地址列表中没有记录的实际IP地址进行核对能否对系统IP地址列表中的记录不一致的实际IP地址进行核对能否对系统IP地址列表中有使用记录但实际网络中已不再使用而空闲的IP地址进行核对测试拓扑：测试过程：参试终端符合以下条件（未知状态未知状态）1 - 该终端的IP地址在IPv4地址核对

35、策略的地址发现范围内； IPAM测试方案第 44 页2 - 该终端的IP地址在CNS-APP系统中记录为未使用状态；3 - 在IPv4地址核对策略中指定的起始路由设备中，有该终端IP地址的ARP信息。4 - 运行IPv4地址核对策略，该策略的运行状态为“运行中”；5 - 刷新IPv4地址核对策略列表页面，待该策略的运行状态变为“未启动”后，查看该IPv4地址核对策略。系统设定，该类终端IP地址的类型被标识为“未知”。参试终端符合以下条件（不匹配状态不匹配状态）1 - 该终端的IP地址在IPv4地址核对策略的地址发现范围内；2 - 在IPv4地址核对策略中指定的起始路由设备中，有该终端IP地址的

36、ARP记录（IP、MAC等等信息的对应关系）；3 - 该终端IP地址在交换机中的ARP记录（IP、MAC等等信息的对应关系）与CNS-APP系统中记录不一致。4 - 运行IPv4地址核对策略，该策略的运行状态为“运行中”；5 - 刷新IPv4地址核对策略列表页面，待该策略的运行状态变为“未启动”后，查看该IPv4地址核对策略。系统设定，该类终端IP地址的类型被标识为“不匹配”。参试终端符合以下条件（待清除状态待清除状态）1 - 该终端的IP地址在IPv4地址核对策略的地址发现范围内；2 - 在IPv4地址核对策略中指定的起始路由设备中，有该终端IP地址的ARP记录（IP、MAC等等信息的对应关

37、系）；3 - 该终端IP地址在交换机中的ARP记录（IP、MAC等等信息的对应关系）与CNS-APP系统中记录不一致。4 - 运行IPv4地址核对策略，该策略的运行状态为“运行中”；5 - 刷新IPv4地址核对策略列表页面，待该策略的运行状态变为“未启动”后，查看该IPv4地址核对策略。系统设定，该类终端IP地址的类型被标识为“待清除”。测试要求：IP地址调和功能可以核查出以上三种状态，便于系统管理员了解、比对IP/MAC/端口的变更情况。过程图例过程图例:IP地址调和功能可以核查出以上三种状态。 IPAM测试方案第 45 页（2）IP 地址调和功能地址调和功能能够根据实际IP网络的ARP信息

38、（IP、MAC、端口等的对应关系）来更新CNS-APP系统中的数据，以保持数据的真实有效。根据地址核对结果的类型不同，调和功能将对异常信息采用不同的处理方式。 IPAM测试方案第 46 页1能否调和能否调和 “未知未知/不匹配不匹配/待清除待清除”状态状态测试目的：系统能否对类型为“未知”的异常IPv4地址信息进行调和处理系统能否对类型为“不匹配”的异常IPv4地址信息进行调和处理系统能否对类型为“待清除”的异常IPv4地址信息进行调和处理测试拓扑：测试过程：待调和的IP地址符合以下条件（未知状态未知状态）1 - 查看该IPv4地址核对策略；勾选类型为“未知”的IPv4地址，点击“调和”按钮，

39、确定。2 - 对类型为“未知”的IPv4地址进行调和操作，则该条“未知”IPv4地址的对应使用信息（IP地址、MAC地址、端口信息等）将会被添加至对应网段的IPv4地址列表，而MAC地址等信息也将被加入MAC地址列表。待调和的IP地址符合以下条件（不匹配状态不匹配状态）1 - 查看该IPv4地址核对策略；勾选类型为“不匹配”的IPv4地址，点击“调和”按钮，确定。2 - 对类型为“不匹配”的IPv4地址进行调和操作，则该条“不匹配”IPv4地址的对应使用信息（IP地址、MAC地址、端口信息等）将会被更新至对应网段的IPv4地址列表，而MAC地址等对应信息也将被更新至MAC地址列表。待调和的IP

40、地址符合以下条件（待清除状态待清除状态）1 - 查看该IPv4地址核对策略；勾选类型为“待清除”的IPv4地址，点击“调和”按钮， IPAM测试方案第 47 页确定。2 - 对类型为“待清除”的IPv4地址进行调和操作，则会自对应网段的IPv4地址列表中删除该条“不匹配”IPv4地址的所有详细信息（IP地址、MAC地址、端口信息等），而MAC地址列表中只删除MAC地址的IP地址信息，MAC地址条目将会保留。测试要求：IP地址调和功能可以调和以上三种状态，利于网络建模数据导入，地址回收，并且可以对未知IP接入、手工私设IP等现象进行告警。过程图例过程图例:IP地址调和功能可以调和以上三种状态。（

41、3）IP 地址调和记录审计地址调和记录审计测试目的：本系统IP地址调和的地址核对策略运行后，能否对核对结果进行记录和审计测试拓扑：测试过程：其它分系统设备工作正常且通信正常；本分系统CNS-APP与参试交换机连接，且通信正常，IP地址调和功能工作正常。1 - 系统管理中，点击“系统参数配置”；“地址历史审计参数”一栏中，勾选“IP地址调和记录审计”项后，点击“更改”按钮保存配置并另配置生效； IPAM测试方案第 48 页2 - 查看系统事件通知或地址变更审计页面。根据系统设定，IP地址调和记录审计功能会在执行地址核对策略后，对以下两类异常IP地址的记录进行审计 1 - 类型为“未知”的异常IP

42、地址；2 - 类型为“不匹配”的异常IP地址；测试要求：支持对核对结果进行记录和审计，记录物理网络和CNS-APP系统间地址数据的细微变更过程图例过程图例:支持对核对结果进行记录和审计。（4）设备端口设备端口/MAC 扫描功能扫描功能测试目的：系统支持基于SNMP协议的扫描，列出指定设备的端口与下联设备的MAC地址的对应关系测试拓扑： IPAM测试方案第 49 页测试过程：1 - 其它分系统设备工作正常且通信正常；本分系统CNS-APP与参试交换机连接，且通信正常；交换机开启SNMP；2 - 本分系统CNS-APP与参试交换机连接，且通信正常；交换机开启SNMP；终端通过浏览器访问CNS-APP服务器。“IP地址调和