VPN测试用例-IPsec解决方案.docVIP

VPN测试用例-IPsec 文档版本历史 文档版本号 编辑时间 编者 备注 适用性说明 参考文档 适用版本 功能说明： 支持ESP和AH封装协议； 支持隧道模式和传输模式； 支持Site to Site、Remote Access两种VPN组网形式； 支持预共享密钥和X.509数字证书两种身份认证形式； 支持通过IKE自动完成IPSec安全联盟协商； 支持DES、3DES、AES128/192/256等多种加密算法； 支持MD5、SHA-1等多种哈希验证算法； 支持可以基于固定IP地址建立IPSec隧道，支持通过域名方式建立IPSec隧道； 支持IPSec报文的UDP封装模式，以保证IPSec能够穿越NAT； 支持断线诊断DPD协议； 3）工作过程： （1）加封装过程： A.Router1将从入接口接收到的IP明文送到转发模块进行处理 B.转发模块依据路由查询结果，将IP明文发送到IPsec虚拟隧道接口进行加封装：原始IP报文被封装在一个新的IP报文中，新IP头中的源地址和目的地址分别为隧道接口的源地址和目的地址。 C.IPsec虚拟隧道接口完成对IP明文的加封装处理后，将IP密文送到转发模块进行处理； D.转发模块进行第二次路由查询后，将IP密文通过隧道接口的实际物理接口转发出去。 （2）解封装过程： A.Router将从入接口接收到的IP密文送到转发模块进行处理； B.转发模块识别到此IP密文的目的地为本设备的隧道接口地址且IP协议号为AH或ESP时，会将IP密文送到相应的IPsec虚拟隧道接口进行解封装：将IP密文的外层IP头去掉，对内层IP报文进行解密处理。 C.IPsec虚拟隧道接口完成对IP密文的解封装处理之后，将IP明文重新送回转发模块处理； D.转发模块进行第二次路由查询后，将IP明文从隧道的实际物理接口转发出去。 4）IPsec报文格式及发送： （1）报文格式： （2）报文发送 网络拓扑图： 隧道模式： 传输模式： 测试用例： 1）LAN-to-LAN应用场景： 服务端和客户端都有安全网关 编号 测试标题 前置条件 执行步骤 预期结果 实际结果 测试结论 交换模式验证 1.客户端和服务端都能正常进入网关配置界面 2.其它各项参数配置正确 3.PC1端网关设为send，PC2端网关设为receive。 4.PC1到PC2网络连接正常，可正常访问 5.封装模式选择Tunnel 1.客户端和服务端都设置main交换模式，使能IPsec 2.PC1pingPC2并抓包 3.客户端和服务端都设置aggrmode交换模式，使能IPsec 4.PC1pingPC2并抓包 步骤2： PC1可ping通PC2且第一阶段的建立通过6次报文才完成 步骤4： PC1可ping通PC2，第一阶段的建立通过3次报文就完成 加密算法的验证 1.客户端和服务端都能正常进入网关配置界面 2.其它各项参数配置正确 3.PC1端网关设为send，PC2端网关设为receive。 4.PC1到PC2网络连接正常，可正常访问 5.封装模式选择Tunnel 1.将两端的第一阶段加密算法都采用DES加密，使能IPsec，让PC1pingPC2 2.将两端的第一阶段加密算法都采用3DES加密，使能IPsec，让PC1pingPC2 3.将两端的第一阶段加密算法都采用AES128加密，使能IPsec，让PC1pingPC2 4.将两端的第一阶段加密算法都采用AES192加密，使能IPsec，让PC1pingPC2 5.将两端的第一阶段加密算法都采用AES256加密，使能IPsec，让PC1pingPC2 6.第二阶段采用ESP协议后，对加密算法同样进行如上的操作验证 步骤1： PC1可ping通PC2 步骤2： PC1可ping通PC2 步骤3： PC1可ping通PC2 步骤4： PC1可ping通PC2 步骤5： PC1可ping通PC2 步骤6： PC1可ping通PC2 验证算法的验证 1.客户端和服务端都能正常进入网关配置界面 2.其它各项参数配置正确 3.PC1端网关设为send，PC2端网关设为receive。 4.PC1到PC2网络连接正常，可正常访问 1.将两端的第一阶段验证算法都采用MD5，使能IPsec，让PC1pingPC2 2.将两端的第一阶段验证算法都采用SHA1，使能IPsec，让PC1pingPC2 3.第二阶段采用AH协议后，对验证算法同样