《网络准入控制系统软件上线运行测试报告》由会员分享,可在线阅读,更多相关《网络准入控制系统软件上线运行测试报告(24页珍藏版)》请在金锄头文库上搜索。
1、1文件编号: 项目编号: 文件版次:V1.0.1 编写人/日期:审核人/日期:批准人/日期:用户接入控制系统软件上线用户接入控制系统软件上线测试报告测试报告上线测试报告 文档变更记录文档变更记录序号修改条款修改说明页号修改人/日期批准人/日期备注16、8深度完善,适合用 户需求/2007-4-16注:对本文档内容增加、删除或修改均需填写此变更记录,详细记载变更信息,以保证其可追溯性。上线测试报告 目目 录录1.1.引言引言.2 21.1 系统概述.21.2 文档概述.22.2.引用文档引用文档.2 23.3.相关定义相关定义.2 24.4.测试环境测试环境.4 45.5.测试概要测试概要.5
2、56.6.测试内容测试内容.6 66.1 基本功能测试.66.2 兼容性测试.126.3 安全性测试.146.4 压力测试.146.5 应急预案测试.167.7.综合评论综合评论.17178.8.附录附录.1818附录一、EDPXCLT进程资源占用信息采集表.18附录二、802.1X 认证客户端与办公环境兼容性测试.19附录三、简单交换机 802.1X协议基本配置方法 .21上线测试报告 1.1.引言引言1.11.1 系统概述系统概述用户网络准入控制系统使用 802.1x 协议从交换机端口对认证客户端进行入网控制,并通过对终端主机的安全检查策略,进行计算机安全健康状况检查,确保入网计算机的安全
3、性和可控性,系统建设主要目标如下:1、实时认证:终端计算机每登陆一次网络,均需要经过交换机、radius服务器的认证。2、精确控制:精确实现对终端计算机的认证控制,任何未经认证的计算机无法进入工作区网络。3、强制安装:确保网络中每台计算机强制安装安全客户端程序进行安全管理,包括对当前已注册客户端认为或其他情况(如重新安装操作系统)导致客户端的非正常卸载,对漏安装或未来新增计算机的客户端注册情况提供了保障,也可保证注册率。4、授权入网:可对非注册客户端进行入网控制,防止非授权计算机入网。5、系统加固:对当前客户端系统进行加固,主要为补丁,杀毒软件及用户名密码权限功能。1.21.2 文档概述文档概
4、述本文档主要用于记录测试系统时所用到的测试方法、测试时间、测试数据、测试结果和测试人,详细记录了系统在测试中所产生的各类错误;最后通过对测试结果系统、全面的分析对所测试的软件进行评估,以便在今后的工作中对该系统进行改进。2.2.引用文档引用文档 网络准入系统白皮书网络准入控制系统实施方案统使用手册3.3.相关定义相关定义 802.1x 协议认证:IEEE 为了解决基于端口的接入控制(Port-Based 3Access Control)而定义的一个标准。802.1X 首先是一个认证协议,是一种对用户进行认证的方法和策略;802.1X 是基于端口的认证策略;802.1X 的认证的最终目的就是确定
5、一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭” ,此时只允许 802.1X 的认证报文 EAPOL(Extensible Authentication Protocol over LAN)通过。802.1X 认证体系结构:Supplicant System客户端(PC 主机/网络设备等)、Authenticator System认证系统(主要是交换机) 、Authentication Server System认证服务器(radius 服务器) 。管理器标识:是指管理器的标记,当服务器迁移时需要设置与之相同的管理
6、器标识,客户端只与有该标识的管理器进行相应数据交换等工作。信任:系统管理员通过整体策略进行“信任”操作,也可通过单击选择此项进行设备信任操作,被信任机器无论是否注册,未阻断操作对信任的计算机为无效状态。保护:系统管理员通过“保护”操作对客户端机器进行设置,将交换机、路由器等不需要注册 IP 地址单独划分出来,并对 MAC 以及 IP 地址不进行绑定;建议将重要的服务器和其它网络相关设备不进行注册,并设置为保护状态,用来保证其运行的稳定性。阻断:系统管理员在应用整体“阻断”策略操作外,可对其中任意一台客户端机器通过此项操作进行单独内部网络阻断。 (该网段需有已注册且工作正常的客户端)机构代码:标
7、志机构代码编号的数字,用于多级级联构架网络中上级和各下级之间的机构编号。自定义组:为进行任务规则应用、任务执行而设置的网络客户端编组,可自行组合,适用不同管理策略。数据重整:类似于刷新功能,提供对数据库中数据的重新整理,每隔一段时间对系统数据库进行重整。44.4.测试环境测试环境 环境一:硬件环境环境一:硬件环境系统名称系统名称数量数量说明说明USC-NAC 服务器:即策略服务器(VRVEDP-SERVER) ,配置如下,Pentium 800 以上 CPU,1G以上内存, 硬盘80G,10/100BaseTX 网络接口。Windows2000/2003 server(ServicePack4
8、.0)操作系统、IE6.0、SQLserver2000 或2005。1 台管理客户端 Agent 支持:Windows 95、Windows98、Windows Me、Windows 2000 Professional、Windows 2000 Server、Windows 2000 Advance Server、Windows XP、Windows XP Server、Windows Vista 等。RADIUS 服务器:(Intel Pentium4,内存 RAM 3G以上,硬盘 80G 以上,DVD 光驱)2 台分别作为主从 RADIUS 服务器,一台安装IAS Radius 服务用于主
9、 Radius 验证服务器,一台同时安装 IAS Radius 服务用于Radius 验证备用服务器(硬盘 200 G 以上) 。重定向服务器:(Intel Pentium4,内存 RAM 2G以上,硬盘 40G 以上)1 台安装 Cc 客户端下载程序及重定向服务程序,部署在访客区域实施重定向下载服务,并配置 DHCP 服务功能。网络接入设备,需要支持802.1x 认证和 Guest VLAN 划分3-4台CEMS 使用的华 3 交换机。HUB 集线器若干基于 MAC 的认证测试.环境二:网络环境环境二:网络环境对所有交换机增加一个 VLAN 指定为 GUEST VLAN,并在所有端口上开启8
10、02.1x 认证,更改端口认证方式为 PORDBASD(基于端口的方式用于 GUEST VLAN的跳转)指定该 VLAN 作为 GUEST VLAN(访客 VLAN) 。对于集联 HUB 的端口则使用基于 MAC 的认证方式(默认为基于 MAC 的认证方式,否则接入 HUB 的客户端有一台认证通过该端口将放开其他接入该 HUB 的客户5端),802.1x 认证交换机基本配置见附录二。服务器位置:确保交换机同 Radius 服务器的通讯正常(UDP1812),Cc 内网管理系统服务器所处逻辑位置须能 PING 通所有通过 802.1x 认证的客户端计算机,Radius 服务器须能 PING 通所
11、有交换机的管理 IP。AUTOGATE 服务器所连接交换机端口应划分到 GUEST VLAN 内。5.5.测试概要测试概要 测试内容测试内容 进度安排进度安排测试内容测试内容测试目的测试目的执行情执行情况况基本功能测试(01)功能内容,功能检验,功能冗余、遗漏功能主要是验证功能是否符合需求,包括原定功能的检验、是否有冗余功能、遗漏功能兼容性测试(02)同环境和主机系统的兼容性验证在各种环境是否稳定安全性测试(03)未授权用户对系统进行攻击或恶意破坏系统在受到攻击和破坏时仍能保证数据的安全性能测试(04)系统各方面的性能对系统进行压力测试测试人员:测试人员:请测试人员填写。请测试人员填写。上线测
12、试报告 6.6.测试内容测试内容 测试前,请阅读Cc 内网安全管理及补丁分发系统使用手册 。6.1 基本功能测试基本功能测试测试终端接入环境描述:测试终端接入环境描述:测试功能项测试功能项测试步骤测试步骤预期结果预期结果测试结果测试结果备注备注交换机 802.1X 端口认证启用配置交换机,对计算机所连接的端口进行 802.1X 启用端口配置,手动配置计算机 IP 地址,在计算机上安装注册客户端。认证通过,计算机自动转入工作网络。802.1 接入认证VLAN 认证自动跳转将未注册计算机连接到已开启802.1X 的交换机端口,计算机将进入 GUEST VLAN。然后打开IE 输入任意域名(如WWW.BAIDU.COM)来访问重定向注册页面,注册客户端。客户端未注册前将进入 GUEST VLAN,注册完成后自 动通过认证进入正常
