CNSIPAM测试方案资料.docVIP

CNS网络核心服务自动化开通平台系统 IPAM测试方案 迪讯信息技术有限公司  目 录 3 （一） 测试目的 3 （二） 网络测试拓扑结构 4 （三） 测试前题条件 4 二、 系统测试流程 6 （一） 系统测试流程 6 三、 基本DHCPv4功能测试 8 （一） DHCPv4地址分配 8 （二） 接入终端指纹类型审计 10 11 （四） DHCPv4的IP/MAC批量绑定功能 12 （五） IP地址分配历史审计 14 地址分组 16 四、 DHCPv4数据导入/导出功能测试 18 （一） DHCPv4子网导入 18 外部导入 19 4数据导出 20 联动DHCP SNOOPING及DAI 23 （一） CNS-APP联动DHCP SNOOPING功能 23 CNS-APP联动DHCP SNOOPING+DAI功能 24 29 （一） 未授权用户的地址分配 29 用户授权操作 32 后台全局授权 32 Web Guest Portal临时授权 35 用户授权的效果 37 解除授权操作 39 手工解除全局授权 39 自动解除授权 39 解除授权的效果 41 43 （一） IPv4地址核查功能 43 1． 能否”未知/不匹配/待清除”状态 43 （二） IP地址调和功能 45 能否 “未知”状态 46 （三） IP地址调和记录审计 47 （四） 设备端口/MAC扫描功能 48 49 八、 自动化脚本配置任务测试 51 （一） 配置脚本任务的定制 51 配置脚本任务的运行 52 55 测试准备 测试目的 随着信息化的建设步伐，内网应用系统也越来越多，几乎所有内网业务全部转向IP网络，目前，在终端方面，lP地址管理较为IP地址冲突、私设非法DHCP和ARP病毒 缺乏统一的审计 访客IP地址动态接入控制 IP IPv6地址分配技术迁移问题 由于IP地址是网络能够保持高效运行的关键。如果IP地管理不当，网络很容易出现IP地址冲突，影响网络正常业务的开展。即使网络管理员知道有人设置了错误的IP地址，也无法定位使用非法IP的终端设备；同时网络管理员通过对IP地址合法性的确认，保证接入网络系统的设备都是合法，防止非法设备的接入而造成。 测试前题条件 满足本次测试的测试前提条件：网络配置正常，链路通畅。 下面是在网络设备（路由器/交换机）需要进行的配置改动： 配置 相关命令 作用 DHCP中继功能 conf term(config)# interface vlan10 /* 进入vlan配置(config-if)# ip helper-address cns-app-ip 跨VLAN支持 DHCP Snooping功能 IP dhcp snooping /打开dhcp snooping开关 IP dhcp snooping verify mac-address /打开dhcp源mac检查的功能 IP dhcp snooping trust /将端口设置成为trust口，默认为UNTRUST口 防止伪DHCP DAI功能 在配置DAI功能之前先配置dhcp snooping IP ARP inspection /启用全局DAI功能 ip arp inspection vlan vlan-id /启用指定VLAN的DAI功能 Ip arp inspection trust /设置端口的信任状态为信任状态 防止手工私设IP SNMP接口 config terminal 进入全局配置状态Cdp run 启用CDPsnmp-server community ro 配置本路由器的只读字串为snmp-server community public rw 配置本路由器的读写字串为 网络二层/三层网络发现引擎 系统测试流程 为了达到本次测试预期的效果，结合客户网络中所存在的实际管理需求。双方通过多次讨论和研究，拟定如下系统测试流程，对各个功能点进行逐一验证测试。 系统测试流程 序号 测试目的 测试操作 测试结论 1 阻止/告警非法修改IP地址 a）开启交换机的DHCP Snooping功能，DAI（Dynamic ARP Inspection ）功能 b）开启CNS-APP系统的DHCP服务 a）配置IP地址调和核查策略（网络发现范围、SNMP参数等） b）使用CNS-APP系统的IP调和功能进行地址核对 c）调和三种核查结果（不匹配、未知、待清楚） 2 MAC接入授权/解除 a）在授权接入控制界面，为访客进行临时授权（可指定授权周期） b）已授权的MAC地址将会获取合法IP地址 a）启用Portal界面，输入相关信息进行访客授权（授权周期为一天） b）已授权的MAC地址将会获取合法IP地址