CN109347790B - 一种电力mpls vpn网络的安全攻击测试系统及测试方法 - Google Patents

一种电力mpls vpn网络的安全攻击测试系统及测试方法 Download PDF

Info

Publication number
CN109347790B
CN109347790B CN201811000301.9A CN201811000301A CN109347790B CN 109347790 B CN109347790 B CN 109347790B CN 201811000301 A CN201811000301 A CN 201811000301A CN 109347790 B CN109347790 B CN 109347790B
Authority
CN
China
Prior art keywords
vpn
mpls
attack
tester
test
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811000301.9A
Other languages
English (en)
Other versions
CN109347790A (zh
Inventor
胡婷
李芹
黄鑫
何晓阳
仇勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
NARI Group Corp
State Grid Electric Power Research Institute
Original Assignee
State Grid Corp of China SGCC
NARI Group Corp
State Grid Electric Power Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, NARI Group Corp, State Grid Electric Power Research Institute filed Critical State Grid Corp of China SGCC
Priority to CN201811000301.9A priority Critical patent/CN109347790B/zh
Publication of CN109347790A publication Critical patent/CN109347790A/zh
Application granted granted Critical
Publication of CN109347790B publication Critical patent/CN109347790B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种电力MPLS VPN网络的安全攻击测试方法,包括MPLS VPN安全攻击组网配置、攻击策略配置和攻击策略验证;MPLS VPN安全攻击组网配置包括数据加密和数据透传两种组网方式;攻击策略配置包括转发面流量攻击、控制面信令攻击及整机异常报文攻击;攻击策略验证包括VPN业务流量监测和VPN业务路由监测。本发明采用基于电力MPLS VPN组网架构,结合转发面流量攻击、控制面信令攻击及整机异常报文攻击,分析策略验证步骤的VPN业务流量和VPN业务路由的状态,确定电力MPLS VPN系统不同VPN业务的逻辑隔离安全性;该方法可对电力系统的VPN安全性进行有效评估。

Description

一种电力MPLS VPN网络的安全攻击测试系统及测试方法
技术领域
本发明涉及一种实验室数据通信领域的测试技术,具体涉及一种电力MPLS VPN网络的安全攻击测试系统及测试方法。
背景技术
MPLS VPN是一种基于MPLS技术的IP VPN,同时结合了IP网络和ATM网络的优点,在网络路由和交换设备上应用MPLS技术,通过标记交换实现IP虚拟专用网络,简单高效。
目前,越来越多的企业开始使用MPLS VPN技术来组建自己的VPN专线网络。随着电力系统网络通信技术的发展,电力调度数据网、配网数据传输网的业务需求范围和区域逐渐扩展,需要安全可靠的VPN专线网络支撑。MPLS VPN作为最基础的通信VPN专线技术,在电力数据通信网中被广泛部署。
MPLS VPN使用BGP协议扩展技术,将用户的IPv4地址映射为唯一的VPN-IPv4NRLI,通过扩展的BGP属性,PE路由器可控制不同VPN路由的路径转发,并通过独立的VPN转发表项来实现网络中不同VPN业务的逻辑隔离。目前的电力系统MPLS测试方法主要是针对MPLS VPN的业务功能、性能规格进行验证。但网络系统在伪造流量和协议的攻击下,是否能够保证VPN业务的安全可靠隔离,目前还没有一套系统完整的测试验证方法。
发明内容
目的:为了克服现有技术中存在的不足,本发明提供一种电力MPLS VPN网络的安全攻击测试系统及测试方法,在数据加密和数据透传两种组网环境下,分别验证转发面流量攻击、控制面信令攻击及整机异常报文攻击三种攻击策略对电力系统VPN逻辑隔离安全可靠性的影响,测试过程简洁,并且对于测试仪器的资源容量和性能要求不高。
技术方案:为解决上述技术问题,本发明采用的技术方案为:
一种电力MPLS VPN网络的安全攻击测试系统,包括MPLS VPN安全攻击组网环境,所述MPLS VPN安全攻击组网环境由以下设备搭建而成,具体包括配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4,设备之间通过100M/1000M线路接口连接拓扑,提供测试基础物理环境;
所述核心路由器RT1、接入路由器RT4为主测节点,RT1连接测试仪的TC-port3、TC-port4接口,RT4连接测试仪的TC-port1、TC-port2接口;测试仪的TC-port1至TC-port4四个接口分别模拟调度数据网实时VPN CE侧业务和非实时VPN CE侧业务;配网主站和配网子站间为真实配网VPN CE侧业务。
进一步地,所述核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4支持三层MPLS VPN功能,并在公网侧互连接口配置MP-iBGP邻居协议;主测节点RT1、RT4在私网侧接口上分别配置三个VPN实例,分别是VPN-P、VPN-RT、VPN-NRT,所述三个VPN实例的Router Target属性分别为不同的值,且不同VPN实例的Router Target属性参数不存在交集。
进一步地,所述MPLS VPN安全攻击组网环境内的加密网关,分别设置数据加密和数据透传两种工作方式。
一种电力MPLS VPN网络的安全攻击测试方法,根据所述的测试系统搭建MPLS VPN安全攻击组网环境,所述测试方法还包括攻击策略配置和攻击策略验证;所述攻击策略配置包括在已搭建的MPLS VPN组网拓扑中构建转发面流量攻击报文、控制面信令攻击报文和整机异常攻击报文;所述攻击策略验证为通过观察实时、非实时、配网VPN业务流量和VPN路由信息,得出电力VPN业务逻辑隔离的安全性结果。
进一步地,具体包括如下步骤,
a) 组建电力MPLS VPN网络安全攻击测试的物理拓扑,包括两台主测节点设备和八台辅助测试节点设备,具体为配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4,通过100M/1000M线路接口连接拓扑;
b) 主测节点RT1、RT4设备配置三个VPN实例,分别是VPN-P、VPN-RT、VPN-NRT;RT1、RT4接口Ⅰ下连配网业务,绑定VPN-P实例;RT1、RT4接口Ⅱ分别下连测试仪TC-Port1、TC-Port3模拟的实时VPN业务,绑定VPN-RT实例;RT1、RT4接口Ⅲ分别下连测试仪TC-Port2、TC-Port4模拟的非实时VPN业务,绑定VPN-RT实例;
c) 节点RT1、RT2、RT3、RT4配置本地loopback接口及IP地址;节点RT1分别与RT2、RT3直连接口建立OSPF邻居,RT2分别与RT1、RT3、RT4直连接口建立OSPF邻居,RT3分别与RT1、RT2直连接口建立OSPF邻居,RT4与RT2直连接口建立OSPF邻居;在RT1、RT2、RT3、RT4OSPF邻居下通告本地loopback接口地址,等待OSPF邻居UP后,在设备上查看OSPF路由表信息,观察是否有到其他三台路由器loopback接口地址的路由;
d) 节点RT1、RT2、RT3、RT4设备全局使能MPLS标签转发功能,同时在互连公网侧接口下使能LDP协议,通过loopback接口两两建立MPLS-iBGP邻居,并在BGP配置下导入所有私网路由;
e) 检查节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态、标签及路由信息;
f) 配网主站和配网子站建立通信连接,配置配网VPN业务;测试仪TC-Port1构建调度数据网实时VPN业务,业务流量的目的IP为测试仪TC-Port3口IP;测试仪TC-Port2构建调度数据网非实时VPN业务,业务流量的目的IP为测试仪TC-Port4口IP;测试仪TC-Port3构建调度数据网实时VPN业务,业务流量的目的IP为测试仪TC-Port1口IP;测试仪TC-Port4构建调度数据网非实时VPN业务,业务流量的目的IP为测试仪TC-Port2口IP;
g) 检查测试仪、配网主站、配网子站上VPN-RT、VPN-NRT及VPN-P业务的连通性和跨VPN业务的隔离性;
h) 在节点RT1、RT4公网侧接口Ⅳ配置端口镜像,捕获真实的MPLS业务流量及信令报文,构造不同类型的转发面流量攻击报文和控制面信令攻击报文;其中,所述转发面流量攻击报文包括MPLS业务流量回放报文和MPLS业务流量伪造报文;所述控制面信令攻击报文为MPLS信令伪造报文;
i) 停止测试仪、配网的正常VPN业务流量,在RT1、RT4的任意空配置接口下,灌入MPLS业务流量回放报文,观察测试仪接口、配网主站、配网子站是否有回放的VPN业务流量进入,根据业务查询结果确定是否结束测试;
j) 在RT1、RT4的任意空配置接口下,灌入MPLS业务流量伪造报文,观察测试仪、配网主站、配网子站是否有伪造的VPN业务流量进入,根据业务查询结果确定是否结束测试;
k) 开启测试仪、配网的正常VPN业务流量,在RT1、RT2、RT3、RT4的公网侧接口下,灌入MPLS信令伪造报文;观察RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态是否出现震荡或断链;检查BGP VPNV4路由信息是否因此受到影响而出现下一跳被篡改;查看测试仪、配网侧的不同VPN业务流量是否逻辑穿透,根据业务查询结果确定是否结束测试;
l) 在RT1、RT2、RT3、RT4的公网侧接口下,灌入整机异常攻击报文;观察RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态是否出现震荡或断链;查看测试仪、配网侧的不同VPN业务流量是否逻辑穿透,根据业务查询结果确定是否结束测试。
进一步地,步骤h)中,对捕获到的MPLS业务流量进行配置,选择性修改标签值、五元组、数据内容,构造不同类型的MPLS业务流量伪造报文;所述五元组包括源IP、目的IP、源端口、目的端口和协议号。
进一步地,步骤h)中,对捕获到的MPLS信令报文进行配置,选择性修改BGP信令中的UPDATE路由更新报文Router Distinguish、MP Reach NLRI IPv4 prefix字段的值,构造不同类型的MPLS信令伪造报文。
进一步地,所述整机异常攻击报文包括畸形攻击报文和泛洪攻击报文。
进一步地,所述畸形攻击报文包括以下三种类型:1)带有攻击目的的IP报文,使得目标系统在处理这样的IP报文时出错、崩溃;2)用来干扰正常网络连接或探测网络结构的正常报文,给目标系统带来损失;3)大量无用报文,占用设备资源,造成拒绝服务供给。
进一步地,所述泛洪攻击是指在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息。
进一步地,步骤i)中,若测试仪接口TC-Port1至TC-Port4、配网主站、配网子站均无回放的VPN业务流量进入,测试继续;否则,则测试失败,结束测试。
进一步地,步骤j)中,若测试仪接口TC-Port1至TC-Port4、配网主站、配网子站均无伪造的VPN业务流量进入,测试继续;否则,则测试失败,结束测试。
进一步地,步骤k)中,若节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态保持UP,BGP VPNV4路由信息与攻击前一致,下一跳不变,测试仪、配网侧的不同VPN业务(VPN-P、VPN-RT、VPN-NRT)流量隔离,测试继续;否则,测试失败,结束测试。
进一步地,步骤l)中,若节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态保持UP,测试仪、配网侧的不同VPN业务(VPN-P、VPN-RT、VPN-NRT)流量隔离,测试成功,结束测试;否则,测试失败,结束测试。
有益效果:本发明提供的电力MPLS VPN网络的安全攻击测试系统及测试方法,通过实验室验证,可准确鉴证电力MPLS VPN网络的安全可靠性,是一种有效的检验方法,填补了目前相关项目测试方法缺乏的现状。该测试方法通过转发面流量攻击、控制面信令攻击及整机异常报文攻击三种攻击策略,可验证电力MPLS网络数据加密及透传模式下三层VPN逻辑隔离的安全性。
附图说明
图1为本发明的测试系统一个实施例的业务拓扑连接示意图;
图2为本发明的测试方法一个实施例的逻辑功能结构示意图;
图3为本发明的测试方法一个实施例的流程图。
具体实施方式
下面结合附图对本发明作更进一步的说明。
一种电力MPLS VPN网络的安全攻击测试系统,包括MPLS VPN安全攻击组网环境,所述MPLS VPN安全攻击组网环境由以下设备搭建而成,具体包括配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4,设备之间通过100M/1000M线路接口连接拓扑,提供测试基础物理环境,如图1所示。
所述核心路由器RT1、接入路由器RT4为主测节点,RT1连接测试仪的TC-port3、TC-port4接口,RT4连接测试仪的TC-port1、TC-port2接口;测试仪的TC-port1至TC-port4四个接口分别模拟调度数据网实时VPN CE侧业务和非实时VPN CE侧业务;配网主站和配网子站间为真实配网VPN CE侧业务。
所述核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4支持三层MPLS VPN功能,并在公网侧互连接口配置MP-iBGP邻居协议;主测节点RT1、RT4在私网侧接口上分别配置三个VPN实例,分别是VPN-P、VPN-RT、VPN-NRT,所述三个VPN实例的Router Target属性分别为不同的值,且不同VPN实例的Router Target属性参数不存在交集。
所述MPLS VPN安全攻击组网环境内的加密网关,分别设置数据加密和数据透传两种工作方式。
一种电力MPLS VPN网络的安全攻击测试方法,根据前述测试系统搭建MPLS VPN安全攻击组网环境,所述测试方法还包括攻击策略配置和攻击策略验证,如图2所示;所述攻击策略配置包括在已搭建的MPLS VPN组网拓扑中构建转发面流量攻击报文、控制面信令攻击报文和整机异常攻击报文;所述攻击策略验证为通过观察实时、非实时、配网VPN业务流量和VPN路由信息,得出电力VPN业务逻辑隔离的安全性结果。
一种电力MPLS VPN网络的安全攻击测试方法,具体包括如下步骤,流程如图3所示:
a) 组建电力MPLS VPN网络安全攻击测试的物理拓扑,包括两台主测节点设备和八台辅助测试节点设备,具体为配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4,通过100M/1000M线路接口连接拓扑;
b) 主测节点RT1、RT4设备配置三个VPN实例,分别是VPN-P、VPN-RT、VPN-NRT;RT1、RT4接口Ⅰ下连配网业务,绑定VPN-P实例;RT1、RT4接口Ⅱ分别下连测试仪TC-Port1、TC-Port3模拟的实时VPN业务,绑定VPN-RT实例;RT1、RT4接口Ⅲ分别下连测试仪TC-Port2、TC-Port4模拟的非实时VPN业务,绑定VPN-RT实例;
c) 节点RT1、RT2、RT3、RT4配置本地loopback接口及IP地址;节点RT1分别与RT2、RT3直连接口建立OSPF邻居,RT2分别与RT1、RT3、RT4直连接口建立OSPF邻居,RT3分别与RT1、RT2直连接口建立OSPF邻居,RT4与RT2直连接口建立OSPF邻居;在RT1、RT2、RT3、RT4OSPF邻居下通告本地loopback接口地址,等待OSPF邻居UP后,在设备上查看OSPF路由表信息,观察是否有到其他三台路由器loopback接口地址的路由;
d) 节点RT1、RT2、RT3、RT4设备全局使能MPLS标签转发功能,同时在互连公网侧接口下使能LDP协议,通过loopback接口两两建立MPLS-iBGP邻居,并在BGP配置下导入所有私网路由;
e) 检查节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态、标签及路由信息;
f) 配网主站和配网子站建立通信连接,配置配网VPN业务;测试仪TC-Port1构建调度数据网实时VPN业务,业务流量的目的IP为测试仪TC-Port3口IP;测试仪TC-Port2构建调度数据网非实时VPN业务,业务流量的目的IP为测试仪TC-Port4口IP;测试仪TC-Port3构建调度数据网实时VPN业务,业务流量的目的IP为测试仪TC-Port1口IP;测试仪TC-Port4构建调度数据网非实时VPN业务,业务流量的目的IP为测试仪TC-Port2口IP;
g) 检查测试仪、配网主站、配网子站上VPN-RT、VPN-NRT及VPN-P业务的连通性和跨VPN业务的隔离性;
h) 在节点RT1、RT4公网侧接口Ⅳ配置端口镜像,捕获真实的MPLS业务流量及信令报文,构造不同类型的转发面流量攻击报文和控制面信令攻击报文;其中,所述转发面流量攻击报文包括MPLS业务流量回放报文和MPLS业务流量伪造报文;所述控制面信令攻击报文为MPLS信令伪造报文;
所述MPLS业务流量回放报文是指节点RT1、RT4公网侧接口Ⅳ镜像的业务流量。
具体地,对捕获到的MPLS业务流量进行配置,选择性修改标签值、五元组、数据内容,构造不同类型的MPLS业务流量伪造报文;所述五元组包括源IP、目的IP、源端口、目的端口和协议号。
对捕获到的MPLS信令报文进行配置,选择性修改BGP信令中的UPDATE路由更新报文Router Distinguish、MP Reach NLRI IPv4 prefix字段的值,构造不同类型的MPLS信令伪造报文。
i) 停止测试仪、配网的正常VPN业务流量,在RT1、RT4的任意空配置接口下,灌入MPLS业务流量回放报文,观察测试仪接口、配网主站、配网子站是否有回放的VPN业务流量进入,所述VPN业务流量即MPLS流量标签弹出后的IPv4业务流量;若测试仪接口TC-Port1至TC-Port4、配网主站、配网子站均无伪造的VPN业务流量进入,测试继续;否则,则测试失败,结束测试。
j) 在RT1、RT4的任意空配置接口下,灌入MPLS业务流量伪造报文,观察测试仪、配网主站、配网子站是否有伪造的VPN业务流量进入;若测试仪接口TC-Port1至TC-Port4、配网主站、配网子站均无伪造的VPN业务流量进入,测试继续;否则,则测试失败,结束测试。
k) 开启测试仪、配网的正常VPN业务流量,在RT1、RT2、RT3、RT4的公网侧接口下,灌入MPLS信令伪造报文;观察RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态是否出现震荡或断链;检查BGP VPNV4路由信息是否因此受到影响而出现下一跳被篡改;查看测试仪、配网侧的不同VPN业务流量是否逻辑穿透;若节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态保持UP,BGP VPNV4路由信息与攻击前一致,下一跳不变,测试仪、配网侧的不同VPN业务(VPN-P、VPN-RT、VPN-NRT)流量隔离,测试继续;否则,测试失败,结束测试。
l) 在RT1、RT2、RT3、RT4的公网侧接口下,灌入整机异常攻击报文;所述整机异常攻击报文包括畸形攻击报文和泛洪攻击报文。
所述畸形攻击报文包括以下三种类型:1)带有攻击目的的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时出错、崩溃;2)用来干扰正常网络连接或探测网络结构的正常报文,如ICMP报文、特殊类型的IP option报文,给目标系统带来损失;3)大量无用报文,占用设备资源,造成拒绝服务供给,如UDP fraggle、LAND 攻击等。
泛洪攻击是指在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,如TCP flood攻击、UDP flood攻击、HTTP flood攻击、ICMP flood攻击等。
观察RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态是否出现震荡或断链;查看测试仪、配网侧的不同VPN业务流量是否逻辑穿透;若节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态保持UP,测试仪、配网侧的不同VPN业务(VPN-P、VPN-RT、VPN-NRT)流量隔离,测试成功,结束测试;否则,测试失败,结束测试。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (13)

1.一种电力MPLS VPN网络的安全攻击测试方法,其特征在于:包括如下步骤,
a) 组建电力MPLS VPN网络安全攻击测试的物理拓扑,包括两台主测节点设备和八台辅助测试节点设备,具体为配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4,通过100M/1000M线路接口连接拓扑;
b) 主测节点RT1、RT4设备配置三个VPN实例,分别是VPN-P、VPN-RT、VPN-NRT;RT1、RT4接口Ⅰ下连配网业务,绑定VPN-P实例;RT1、RT4接口Ⅱ分别下连测试仪TC-Port1、TC-Port3模拟的实时VPN业务,绑定VPN-RT实例;RT1、RT4接口Ⅲ分别下连测试仪TC-Port2、TC-Port4模拟的非实时VPN业务,绑定VPN-RT实例;
c) 节点RT1、RT2、RT3、RT4配置本地loopback接口及IP地址;节点RT1分别与RT2、RT3直连接口建立OSPF邻居,RT2分别与RT1、RT3、RT4直连接口建立OSPF邻居,RT3分别与RT1、RT2直连接口建立OSPF邻居,RT4与RT2直连接口建立OSPF邻居;在RT1、RT2、RT3、RT4 OSPF邻居下通告本地loopback接口地址,等待OSPF邻居UP后,在设备上查看OSPF路由表信息,观察是否有到其他三台路由器loopback接口地址的路由;
d) 节点RT1、RT2、RT3、RT4设备全局使能MPLS标签转发功能,同时在互连公网侧接口下使能LDP协议,通过loopback接口两两建立MPLS-iBGP邻居,并在BGP配置下导入所有私网路由;
e) 检查节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态、标签及路由信息;
f) 配网主站和配网子站建立通信连接,配置配网VPN业务;测试仪TC-Port1构建调度数据网实时VPN业务,业务流量的目的IP为测试仪TC-Port3口IP;测试仪TC-Port2构建调度数据网非实时VPN业务,业务流量的目的IP为测试仪TC-Port4口IP;测试仪TC-Port3构建调度数据网实时VPN业务,业务流量的目的IP为测试仪TC-Port1口IP;测试仪TC-Port4构建调度数据网非实时VPN业务,业务流量的目的IP为测试仪TC-Port2口IP;
g) 检查测试仪、配网主站、配网子站上VPN-RT、VPN-NRT及VPN-P业务的连通性和跨VPN业务的隔离性;
h) 在节点RT1、RT4公网侧接口Ⅳ配置端口镜像,捕获真实的MPLS业务流量及信令报文,构造不同类型的转发面流量攻击报文和控制面信令攻击报文;其中,所述转发面流量攻击报文包括MPLS业务流量回放报文和MPLS业务流量伪造报文;所述控制面信令攻击报文为MPLS信令伪造报文;
i) 停止测试仪、配网的正常VPN业务流量,在RT1、RT4的任意空配置接口下,灌入MPLS业务流量回放报文,观察测试仪接口、配网主站、配网子站是否有回放的VPN业务流量进入,根据业务查询结果确定是否结束测试;
j) 在RT1、RT4的任意空配置接口下,灌入MPLS业务流量伪造报文,观察测试仪、配网主站、配网子站是否有伪造的VPN业务流量进入,根据业务查询结果确定是否结束测试;
k) 开启测试仪、配网的正常VPN业务流量,在RT1、RT2、RT3、RT4的公网侧接口下,灌入MPLS信令伪造报文;观察RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态是否出现震荡或断链;检查BGP VPNV4路由信息是否因此受到影响而出现下一跳被篡改;查看测试仪、配网侧的不同VPN业务流量是否逻辑穿透,根据业务查询结果确定是否结束测试;
l) 在RT1、RT2、RT3、RT4的公网侧接口下,灌入整机异常攻击报文;观察RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态是否出现震荡或断链;查看测试仪、配网侧的不同VPN业务流量是否逻辑穿透,根据业务查询结果确定是否结束测试。
2.根据权利要求1所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:步骤h)中,对捕获到的MPLS业务流量进行配置,选择性修改标签值、五元组、数据内容,构造不同类型的MPLS业务流量伪造报文;所述五元组包括源IP、目的IP、源端口、目的端口和协议号。
3.根据权利要求1所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:步骤h)中,对捕获到的MPLS信令报文进行配置,选择性修改BGP信令中的UPDATE路由更新报文Router Distinguish、MP Reach NLRI IPv4 prefix字段的值,构造不同类型的MPLS信令伪造报文。
4.根据权利要求1所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:所述整机异常攻击报文包括畸形攻击报文和泛洪攻击报文。
5.根据权利要求4所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:所述畸形攻击报文包括以下三种类型:1)带有攻击目的的IP报文,使得目标系统在处理这样的IP报文时出错、崩溃;2)用来干扰正常网络连接或探测网络结构的正常报文,给目标系统带来损失;3)大量无用报文,占用设备资源,造成拒绝服务供给。
6.根据权利要求4所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:所述泛洪攻击是指在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息。
7.根据权利要求1所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:步骤i)中,若测试仪接口TC-Port1至TC-Port4、配网主站、配网子站均无回放的VPN业务流量进入,测试继续;否则,则测试失败,结束测试。
8.根据权利要求1所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:步骤j)中,若测试仪接口TC-Port1至TC-Port4、配网主站、配网子站均无伪造的VPN业务流量进入,测试继续;否则,则测试失败,结束测试。
9.根据权利要求1所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:步骤k)中,若节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态保持UP,BGP VPNV4路由信息与攻击前一致,下一跳不变,测试仪、配网侧的不同VPN业务流量隔离,测试继续,所述VPN业务包括VPN-P、VPN-RT、VPN-NRT;否则,测试失败,结束测试。
10.根据权利要求1所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:步骤l)中,若节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态保持UP,测试仪、配网侧的不同VPN业务流量隔离,测试成功,结束测试,所述VPN业务包括VPN-P、VPN-RT、VPN-NRT;否则,测试失败,结束测试。
11.一种电力MPLS VPN网络的安全攻击测试系统,作为权利要求1所述测试方法的执行系统,其特征在于:包括MPLS VPN安全攻击组网环境,所述MPLS VPN安全攻击组网环境由以下设备搭建而成,具体包括配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4,设备之间通过100M/1000M线路接口连接拓扑,提供测试基础物理环境;
所述核心路由器RT1、接入路由器RT4为主测节点,RT1连接测试仪的TC-port3、TC-port4接口,RT4连接测试仪的TC-port1、TC-port2接口;测试仪的TC-port1至TC-port4四个接口分别模拟调度数据网实时VPN CE侧业务和非实时VPN CE侧业务;配网主站和配网子站间为真实配网VPN CE侧业务。
12.根据权利要求11所述的电力MPLS VPN网络的安全攻击测试系统,其特征在于:所述核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4支持三层MPLSVPN功能,并在公网侧互连接口配置MP-iBGP邻居协议;主测节点RT1、RT4在私网侧接口上分别配置三个VPN实例,分别是VPN-P、VPN-RT、VPN-NRT,所述三个VPN实例的Router Target属性分别为不同的值,且不同VPN实例的Router Target属性参数不存在交集。
13.根据权利要求11所述的电力MPLS VPN网络的安全攻击测试系统,其特征在于:所述MPLS VPN安全攻击组网环境内的加密网关,分别设置数据加密和数据透传两种工作方式。
CN201811000301.9A 2018-08-30 2018-08-30 一种电力mpls vpn网络的安全攻击测试系统及测试方法 Active CN109347790B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811000301.9A CN109347790B (zh) 2018-08-30 2018-08-30 一种电力mpls vpn网络的安全攻击测试系统及测试方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811000301.9A CN109347790B (zh) 2018-08-30 2018-08-30 一种电力mpls vpn网络的安全攻击测试系统及测试方法

Publications (2)

Publication Number Publication Date
CN109347790A CN109347790A (zh) 2019-02-15
CN109347790B true CN109347790B (zh) 2021-04-09

Family

ID=65292017

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811000301.9A Active CN109347790B (zh) 2018-08-30 2018-08-30 一种电力mpls vpn网络的安全攻击测试系统及测试方法

Country Status (1)

Country Link
CN (1) CN109347790B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112187569B (zh) * 2020-09-14 2022-05-10 南瑞集团有限公司 一种电力ng方式的组播vpn测试系统及方法
CN114285778A (zh) * 2021-11-23 2022-04-05 南瑞集团有限公司 一种电力调度数据网组网安全测试系统及测试方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040230681A1 (en) * 2002-12-06 2004-11-18 John Strassner Apparatus and method for implementing network resources to provision a service using an information model
CN101599901B (zh) * 2009-07-15 2011-06-08 杭州华三通信技术有限公司 远程接入mpls vpn的方法、系统和网关
CN102946349B (zh) * 2012-02-23 2015-08-19 Ut斯达康通讯有限公司 一种基于OSPF协议的以太网E-Line业务链路发现方法及装置
CN104202409B (zh) * 2014-09-12 2017-09-15 成都卫士通信息产业股份有限公司 一种负载均衡的ssl vpn设备集群系统及其工作方法
CN104980317B (zh) * 2015-06-18 2018-03-02 南京南瑞集团公司 一种调度数据网设备的自动测试系统及测试方法
CN106559289A (zh) * 2016-11-28 2017-04-05 杭州迪普科技股份有限公司 Sslvpn网关的并发测试方法及装置
CN108040070A (zh) * 2017-12-29 2018-05-15 北京奇虎科技有限公司 一种网络安全测试平台及方法

Also Published As

Publication number Publication date
CN109347790A (zh) 2019-02-15

Similar Documents

Publication Publication Date Title
CN103748835B (zh) 标签交换路径的动态更新
CN101076972B (zh) 获得与基于虚拟专用lan服务(vpls)的网络相关的路径信息
CN105376154B (zh) 渐进式mac地址学习
CN105610710B (zh) 交换结构系统上部署的标准协议验证机制的方法和装置
CN104243270B (zh) 一种建立隧道的方法和装置
CN106789637B (zh) 一种跨域业务互通的路径建立方法、控制器及系统
CN107710693A (zh) 在多组标签交换路径和虚拟网络之间建立关系的方法
CN101160838A (zh) 实现层级化虚拟私有交换业务的方法及系统
CN103475583B (zh) 清除媒体接入控制转发表项的方法和设备
CN104954367A (zh) 一种互联网全向跨域DDoS攻击防护方法
CN109729019B (zh) 一种evpn组网中专线业务的限速方法及装置
US20200153834A1 (en) Method, Apparatus, and System for Collecting Access Control List
CN112769614B (zh) 一种按需vpn的自动管理方法和异构网络的互通系统
CN105227393A (zh) 一种双向转发检测方法
CN102946349A (zh) 一种基于OSPF协议的以太网E-Line业务链路发现方法及装置
CN1697408B (zh) 一种基于IPv6的虚拟专用网管理路由的方法
CN109347790B (zh) 一种电力mpls vpn网络的安全攻击测试系统及测试方法
CN107968751A (zh) 一种信息处理方法及装置
CN107040441A (zh) 跨数据中心的数据传输方法、装置及系统
CN101494574B (zh) 一种二层虚拟专用接入骨干网的性能测试系统及方法
CN105637806B (zh) 网络拓扑确定方法和装置、集中式网络状态信息存储设备
CN103200107B (zh) 一种报文的传输方法和设备
CN109788018A (zh) 跨域的业务互通方法、网络设备及存储介质
WO2016090815A1 (zh) 一种部署大容量业务时的切换控制方法及装置
US20230254244A1 (en) Path determining method and apparatus, and computer storage medium

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant