[发明专利]一种电力MPLS VPN网络的安全攻击测试系统及测试方法

权利要求书

1.一种电力MPLS VPN网络的安全攻击测试方法，其特征在于：包括如下步骤，

a) 组建电力MPLS VPN网络安全攻击测试的物理拓扑，包括两台主测节点设备和八台辅助测试节点设备，具体为配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4，通过100M/1000M线路接口连接拓扑；

b) 主测节点RT1、RT4设备配置三个VPN实例，分别是VPN-P、VPN-RT、VPN-NRT；RT1、RT4接口Ⅰ下连配网业务，绑定VPN-P实例；RT1、RT4接口Ⅱ分别下连测试仪TC-Port1、TC-Port3模拟的实时VPN业务，绑定VPN-RT实例；RT1、RT4接口Ⅲ分别下连测试仪TC-Port2、TC-Port4模拟的非实时VPN业务，绑定VPN-RT实例；

c) 节点RT1、RT2、RT3、RT4配置本地loopback接口及IP地址；节点RT1分别与RT2、RT3直连接口建立OSPF邻居，RT2分别与RT1、RT3、RT4直连接口建立OSPF邻居，RT3分别与RT1、RT2直连接口建立OSPF邻居，RT4与RT2直连接口建立OSPF邻居；在RT1、RT2、RT3、RT4 OSPF邻居下通告本地loopback接口地址，等待OSPF邻居UP后，在设备上查看OSPF路由表信息，观察是否有到其他三台路由器loopback接口地址的路由；

d) 节点RT1、RT2、RT3、RT4设备全局使能MPLS标签转发功能，同时在互连公网侧接口下使能LDP协议，通过loopback接口两两建立MPLS-iBGP邻居，并在BGP配置下导入所有私网路由；

e) 检查节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态、标签及路由信息；

f) 配网主站和配网子站建立通信连接，配置配网VPN业务；测试仪TC-Port1构建调度数据网实时VPN业务，业务流量的目的IP为测试仪TC-Port3口IP；测试仪TC-Port2构建调度数据网非实时VPN业务，业务流量的目的IP为测试仪TC-Port4口IP；测试仪TC-Port3构建调度数据网实时VPN业务，业务流量的目的IP为测试仪TC-Port1口IP；测试仪TC-Port4构建调度数据网非实时VPN业务，业务流量的目的IP为测试仪TC-Port2口IP；

g) 检查测试仪、配网主站、配网子站上VPN-RT、VPN-NRT及VPN-P业务的连通性和跨VPN业务的隔离性；

h) 在节点RT1、RT4公网侧接口Ⅳ配置端口镜像，捕获真实的MPLS业务流量及信令报文，构造不同类型的转发面流量攻击报文和控制面信令攻击报文；其中，所述转发面流量攻击报文包括MPLS业务流量回放报文和MPLS业务流量伪造报文；所述控制面信令攻击报文为MPLS信令伪造报文；

i) 停止测试仪、配网的正常VPN业务流量，在RT1、RT4的任意空配置接口下，灌入MPLS业务流量回放报文，观察测试仪接口、配网主站、配网子站是否有回放的VPN业务流量进入，根据业务查询结果确定是否结束测试；

j) 在RT1、RT4的任意空配置接口下，灌入MPLS业务流量伪造报文，观察测试仪、配网主站、配网子站是否有伪造的VPN业务流量进入，根据业务查询结果确定是否结束测试；

k) 开启测试仪、配网的正常VPN业务流量，在RT1、RT2、RT3、RT4的公网侧接口下，灌入MPLS信令伪造报文；观察RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态是否出现震荡或断链；检查BGP VPNV4路由信息是否因此受到影响而出现下一跳被篡改；查看测试仪、配网侧的不同VPN业务流量是否逻辑穿透，根据业务查询结果确定是否结束测试；

l) 在RT1、RT2、RT3、RT4的公网侧接口下，灌入整机异常攻击报文；观察RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态是否出现震荡或断链；查看测试仪、配网侧的不同VPN业务流量是否逻辑穿透，根据业务查询结果确定是否结束测试。

2.根据权利要求1所述的电力MPLS VPN网络的安全攻击测试方法，其特征在于：步骤h)中，对捕获到的MPLS业务流量进行配置，选择性修改标签值、五元组、数据内容，构造不同类型的MPLS业务流量伪造报文；所述五元组包括源IP、目的IP、源端口、目的端口和协议号。