YD_T 2874-2015LTE无线网络安全网关测试方法.pdf

ICS 33.040M 15YD中华人民共和国通信行业标准YD/T2874-2015LTE无线网络安全网关测试方法Testing methods for security gateway in LTE network2015-07-14发布2015-10-01实施中华人民共和国工业和信息化部发布 YD/T 287420155.3.3IKEv2基本功能测试测试项目IKEv2基本功能测试测试内容SeGW支持IKEv2功能测试准备1.SeGW、eNodeB和服务器工作正常；2.SeGW、eNodeB和服务器之间可正常通信测试步骤1.eNodeB连接SeGW建立IKEVI的隧道2.配置流录和时间重协商参数，观察重协商功能是否正常：3.配置DPD参数，观察隧道异常时，dpd功能是否生效；4.配置PFS参数，检查协商时是否受影响；5.配置reauth参数，观察重认证功能是否正常预期结果以上功能完全按照RFC标准实现，满足功能离求5.3.4IPSec加密算法测试项目IPSec加密算法测试内容验证IPSec能够选择正确的加密算法（含非对称加密算法、对称加密算法和哈希算法)测试准备1.SeGW、eNodeB和服务器工作正常；2.SeGW、eNodeB和服务器之闻可正常通信测试步骤1.配置ipsec相关配置，遮历所支持的加密算法：2.查看enodeb和SeGW在如上情况下，是否能够正常协商预期结果隧道协商成功，业务正常转发5.3.5多级证书IPSec协商测试项目多级证书IPSec协商测试内容验证支持多级证书的IPsec协商测试准备1.SeGW、eNodeB和服务器工作正常；2.SeGW、eNodeB和服务器之间可正常通信测试步聚1.SeGW和enodeb通过CA服务器下载二级以上证书（最多四级)；2.配置ipscc相关策路，将证书绑定到ipsec策略中；3.流量触发enodeb和SeGW建立隧道，观察隧道是否正常建立预期结果隧道协商成功，业务正常转发 YD/T2874-20155.3.6反向路由注入功能测试测试项目反向路由注入功能测试测试内容测试IPSec隧道生成后，生成反向路由，引入动态路由协议测试准备1.SeGW、eNodeB和服务器工作正常；2.SeGW、cNodeB和服务器之间可正常通信1.SeGW使能ipsec反向路由注入功能；2.Enodeb，SeGW配置ipsec相关参数；3.流量发隧道建立；4.查看是否生成反向路由，将反向路由分别引入OSPF和BGP中，查看对端设备是否可以通过动态路由协议学习到此路由预期结果隧道协商成功后，反向路由生成，通过动态路由发布正带5.3.7IKE协商报文的DSCP修改测试项目IKE协商报文修改DSCP测试内容测试IKE协商报文可以根据配置进行修改测试准备1.SeGW、eNodeB和服务器工作正常：2.SeGW、eNodeB和服务器之闻可正常通信。测试步骤1.配置SeGW上的IPSec相关配置，并配置IKEDSCP值；2.触发enodeb和SeGW建立隧道：3.抓取IKE协商报文，查看协商报文DSCP值是否和配置一致预期结果IKE协商报文的DSCP值跟配置一致5.3.8多IPSec策略协商隧道测试项目多IPSec策略协商隧道测试内容测试当配置多IPSec策略时，隧道协商功能；测试准备1.SeGW、eNodeB和服务器工作正常；2.SeGW、eNodeB和服务器之间可正常通信测试步骤1.SeGW配置多个ipsec proposal应用于policy中；2.cnodeb的ipsec proposal命中SeGW的最后一个选项；3.触发enodeb和SeGW建立ipscc隧道预期结果IPSec隧道可以正常建立，业务转发正常00 YD/T 287420155.3.9IPSec隧道协商失败原因查看测试项目IPSec隧道协离失败原因查看测试内容测试IPSec隧道协商失败原因查看测试准备1.SeGW、eNodeB和服务器工作正常；2.ScGW、cNodeB和服务器之闻可正常通信测试步1.SeGW和enodeb之间除psk配置不同外，其他参数均正确：2.cnodeb和SeGW触发协商：3.使用查看命令查看隧道协商失败原因预期结果可以看到对应enodebIP协商失败原因5.3.10IPSec容灾测试测试项目IPSec容灾测试测试内容测试网络异常的情况下，IPSec对业务的影响测试准备1.SeGW为双机设备、eNodeB和服务器工作正常：2.SeGW、eNodeB和服务器之间可正常通信测试步骤1.两台SeGW组建双机环境，配置相关IPSec配置：2.enodeb与SeGW公共隧道IP建立ipsec隧道：3.业务正常转发下，down掉防火墙上下行链路，查看业务是否受影响预期结果可以看到流量切换到备SeGW设备上，业务