网络准入控制系统软件上线运行测试报告

文件编号： 项目编号： 文件版次： V1.0.1 编写人/日期： 审核人/日期： 批准人/日期： 文档变更记录 序号 修改条款 修改说明 页号 修改人/日期 批准人/日期 备注 1 6、8 深度完善，适合用户需求 /2007-4-16 注：对本文档 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 增加、删除或修改均需填写此变更记录，详细记载变更信息，以保证其可追溯性。 目 录 21.引言 21.1系统概述 21.2文档概述 22.引用文档 23.相关定义 44.测试环境 55.测试概要 66.测试内容 66.1基本功能测试 126.2兼容性测试 146.3安全性测试 146.4压力测试 166.5应急预案测试 177.综合评论 188.附录 18附录一、EdpXclt进程资源占用信息采集表 19附录二、802.1X认证客户端与办公环境兼容性测试 21附录三、简单交换机802.1x协议基本配置方法 1.引言 1.1系统概述 用户网络准入控制系统使用802.1x协议从交换机端口对认证客户端进行入网控制，并通过对终端主机的安全检查策略，进行计算机安全健康状况检查，确保入网计算机的安全性和可控性，系统建设主要目标如下： 1、实时认证：终端计算机每登陆一次网络，均需要经过交换机、radius服务器的认证。 2、精确控制：精确实现对终端计算机的认证控制，任何未经认证的计算机无法进入工作区网络。 3、强制安装：确保网络中每台计算机强制安装安全客户端程序进行安全管理，包括对当前已注册客户端认为或其他情况（如重新安装操作系统）导致客户端的非正常卸载，对漏安装或未来新增计算机的客户端注册情况提供了保障，也可保证注册率。 4、授权入网：可对非注册客户端进行入网控制，防止非授权计算机入网。 5、系统加固：对当前客户端系统进行加固，主要为补丁，杀毒软件及用户名密码权限功能。 1.2文档概述 本文档主要用于记录测试系统时所用到的测试方法、测试时间、测试数据、测试结果和测试人，详细记录了系统在测试中所产生的各类错误；最后通过对测试结果系统、全面的 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 对所测试的软件进行评估，以便在今后的工作中对该系统进行改进。 2.引用文档 《网络准入系统白皮书》 《网络准入控制系统实施方案》 《统使用手册》 3.相关定义 802.1x协议认证：IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 。802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略；802.1X是基于端口的认证策略；802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。 802.1X认证体系结构：Supplicant System——客户端(PC主机/网络设备等)、Authenticator System——认证系统（主要是交换机）、Authentication Server System——认证服务器（radius服务器）。 管理器标识：是指管理器的标记，当服务器迁移时需要设置与之相同的管理器标识，客户端只与有该标识的管理器进行相应数据交换等工作。 信任：系统管理员通过整体策略进行“信任”操作，也可通过单击选择此项进行设备信任操作，被信任机器无论是否注册，未阻断操作对信任的计算机为无效状态。 保护：系统管理员通过“保护”操作对客户端机器进行设置，将交换机、路由器等不需要注册IP地址单独划分出来，并对MAC以及IP地址不进行绑定；建议将重要的服务器和其它网络相关设备不进行注册，并设置为保护状态，用来保证其运行的稳定性。 阻断：系统管理员在应用整体“阻断”策略操作外，可对其中任意一台客户端机器通过此项操作进行单独内部网络阻断。（该网段需有已注册且工作正常的客户端） 机构代码：标志机构代码编号的数字，用于多级级联构架网络中上级和各下级之间的机构编号。 自定义组：为进行任务规则应用、任务执行而设置的网络客户端编组，可自行组合，适用不同管理策略。 数据重整：类似于刷新功能，提供对数据库中数据的重新整理，每隔一段时间对系统数据库进行重整。 4.测试环境 环境一：硬件环境 系统名称 数量 说明 USC-NAC服务器：即策略服务器（VRVEDP-SERVER），配置如下，PentiumⅢ 800 以上CPU，1G以上内存, 硬盘80G，10/100BaseTX网络接口。Windows2000/2003 server（ServicePack4.0）操作系统、IE6.0、SQLserver2000或2005。 1台 管理客户端Agent支持：Windows 95、Windows98、Windows Me、Windows 2000 Professional、Windows 2000 Server、Windows 2000 Advance Server、Windows XP、Windows XP Server、Windows Vista等。 RADIUS服务器： (Intel Pentium4,内存RAM 3G以上，硬盘80G以上，DVD光驱) 2台 分别作为主从RADIUS服务器，一台安装IAS Radius服务用于主Radius验证服务器，一台同时安装IAS Radius服务用于Radius验证备用服务器（硬盘200 G以上）。 重定向服务器： (Intel Pentium4,内存RAM 2G以上，硬盘40G以上) 1台 安装Cc客户端下载程序及重定向服务程序，部署在访客区域实施重定向下载服务，并配置DHCP服务功能。 网络接入设备，需要支持802.1x认证和Guest VLAN划分 3-4台 CEMS使用的华3交换机。 HUB集线器 若干 基于MAC的认证测试. 环境二：网络环境 对所有交换机增加一个VLAN指定为GUEST VLAN，并在所有端口上开启802.1x认证，更改端口认证方式为PORDBASD(基于端口的方式用于GUEST VLAN的跳转)指定该VLAN作为GUEST VLAN（访客VLAN）。 对于集联HUB的端口则使用基于MAC的认证方式(默认为基于MAC的认证方式,否则接入HUB的客户端有一台认证通过该端口将放开其他接入该HUB的客户端)，802.1x认证交换机基本配置见附录二。 服务器位置：确保交换机同Radius服务器的通讯正常（UDP1812）,Cc内网管理系统服务器所处逻辑位置须能PING通所有通过802.1x认证的客户端计算机，Radius服务器须能PING通所有交换机的管理IP。AUTOGATE服务器所连接交换机端口应划分到GUEST VLAN内。 5.测试概要 测试内容 进度安排 测试内容 测试目的 执行情况 基本功能测试（01） 功能内容，功能检验，功能冗余、遗漏功能 主要是验证功能是否符合需求，包括原定功能的检验、是否有冗余功能、遗漏功能 兼容性测试（02） 同环境和主机系统的兼容性 验证在各种环境是否稳定 安全性测试（03） 未授权用户对系统进行攻击或恶意破坏 系统在受到攻击和破坏时仍能保证数据的安全 性能测试（04） 系统各方面的性能 对系统进行压力测试 测试人员： 请测试人员填写。 6.测试内容 测试前，请阅读《Cc内网安全管理及补丁分发系统使用手册》。 6.1基本功能测试 测试终端接入环境描述： 测试功能项 测试步骤 预期结果 测试结果 备注 802.1接入认证 交换机802.1X端口认证启用 配置交换机，对计算机所连接的端口进行802.1X启用端口配置，手动配置计算机IP地址，在计算机上安装注册客户端。 认证通过，计算机自动转入工作网络。 VLAN认证自动跳转 将未注册计算机连接到已开启802.1X的交换机端口，计算机将进入GUEST VLAN。然后打开IE输入任意域名（如WWW.BAIDU.COM）来访问重定向注册页面，注册客户端。 客户端未注册前将进入GUEST VLAN，注册完成后自动通过认证进入正常工作区VLAN。（注册将提示为“缺省注册成功”） DHCP环境认证 在GUEST VLAN中架设DHCP服务器，使用DHCP方式获得IP地址的计算机在未安装客户端之前将获得该VLAN内DHCP服务器分配的IP地址，然后使用IE浏览任意域名如www.baidu.com等将被重定向至注册页面进行注册。 客户端将在GUEST VLAN获得IP地址（当前GUEST VLAN内获得为100.100.0.0网段IP地址），注册完成并通过认证后将获得内网IP地址。 单用户名密码认证 将802.1X认证策略中的密码认证方式选择为单用户密码认证，然后观察客户端在重新启动计算机后是否自动进行认证。 可自动完成认证，右下脚托盘图表为绿色并提示认证用户名。 安检失败处理等是否正常 在管理平台中进入接入管理-补丁与杀毒软件安全策略，勾选杀毒软件检测，以及限制网络访问选项；未运行杀毒软件执行的URL地址正确填写（当前为http://）。限制网络后允许访问的地址任意填写（当前为）。 如未安装或运行杀毒软件，将给出提示，并弹出的IE框及限制访问允许IP地址以为的其他地址。 VPN接入管理 客户端能否正常注册 将802.1X认证策略中的密码认证方式选择为多用户密码认证，然后观察客户端在重新启动计算机后是否自动弹出认证窗口，弹出后输入指定认证帐户名及密码。 完成认证后，右下脚托盘图表为绿色并提示认证用户名。 客户端-服务器通讯状况 将未注册计算机连接到已开启802.1x的交换机端口，计算机将进入GUEST VLAN。然后打开IE输入任意域名来访问从定向注册页面，注册客户端。 客户端未注册前将进入GUEST VLAN，注册完成后自动通过认证进入正常工作区VLAN。（注册将提示为“缺省注册成功”。） 4种安全策略能否正常运行 在管理平台中进入接入管理-补丁与杀毒软件安全策略，勾选杀毒软件检测，以及限制网络访问选项；未运行杀毒软件执行的URL地址正确填写（当前为http://限制网络后允许访问的地址任意填写（当前）。 如未安装或运行杀毒软件，将给出提示，并弹出的IE框及限制访问允许IP地址以为的其他地址。 违规外联监控 拨号、ADSL、双网卡、无线、代理等方式支持种类 对下发违规外联策略的客户端使用以上几种方式进行外联测试即可。 客户端将正确根据策略中制定的处理方式进行处理。 非法连接互联网检测报警处置方式（同时连接内外网、仅在外网） 在违规外联策略中制定： 1． 采用外网探测方法： 外网地址1和2分别填写域名如www.baidu.com等。 外网特征字串填写中文关键词如百度等。 2．IE代理检测及禁用全部勾选 3．内外网同时连接和只连接外网处理由管理员选择处理方式及填写提示信息。 正确对同时连接和只连接外网的用户给予相应提示和处理。 用户密码策略 用户系统弱口令检测 新建用户，设置密码为空。 如用户不及时按要求更改，每次电脑开机时，接受到提示信息。检测内容准确。 口令复杂性设置 设置用户密码复杂性，必须在8位以上，设置后，更改用户密码，如不能满足要求，不能更改密码。 如密码复杂性不能达到系统要求，更改密码时会接收到提示。 帐户锁定设置 设置帐户锁定阀值为3次。 设置帐户锁定时间为2分钟。 成功锁定。 屏保设置 在客户端设置屏保在恢复时不需要输入密码。重新启动系统后，从服务器端设置启用屏幕保护功能，规定时间为3分钟，要求在恢复时输入密码。 成功设置，在恢复是要求输入密码。 用户权限策略 用户权限改变 新建用户test，并反复修改权限。 接收到用户test权限发生改变提示信息，系统重新启动后，成功接收到提示信息。 用户组权限改变 新建用户组test，并反复修改权限。 接收到用户组test权限发生改变提示信息，系统重新启动后，成功接收到提示信息 系统用户（组）增加 新建用户test，新建用户组test。 接收到系统用户组增加提示信息 系统用户（组）减少 删除用户test，删除用户组test。 接收到系统用户组减少提示信息，系统重新启动后，成功接收到提示信息 补丁与杀毒软件策略 1、 杀毒软件安装检测（kill 瑞星） 将杀毒软件卸载后，下发检测策略，重新启动后系统提示未按安装杀毒软件。 接收到系统提示未安装杀毒软件信息 2、 杀毒软件未运行提示（重定向强制安装） 将杀毒软件卸载后，打开网页，或重新启动电脑时，会自动弹出下载杀毒软件界面。 打开网页时，系统会将网址重定向到下载界面。 3、 未安装杀毒软件限制网络访问 在策略中设置未安装杀毒软件情况下，阻断联网，但允许对服务器进行访问。 接收到策略后，终端计算机无法与外界进行联网，可以与服务器进行通信。 日志查询 1、 违规外联（按照参数执行） 使用本机进行外联测试 查询本机上报到服务器的信息，上报时间、内容准确。 2、 密码&权限（按照参数执行） 使用本机进行测试 查询本机上报到服务器的信息，上报时间、内容准确。 6.2兼容性测试 测试终端接入环境描述： 测试功能项 测试步骤 预期结果 测试结果 备注 操作系统兼容性 Windows2000、Windows2003、WindowsXP、Windows VISTA 将以上策略下发到不同操作系统的主机时，检测计算机运行、使用状况。 系统运行正常，日志查询时，信息准确。 应用环境兼容性 见附录 见附录 见附录 HUB集线器兼容 测试HUB集线器连接终端基于MAC地址认证的可用性 将H3C交换机测试连接HUB的端口认证模式改为基于MAC的认证，然后将注册并下发802.1x认证策略的计算机和未注册的计算机逐个接入HUB。 已注册计算机将自动完成认证接入内网，未注册计算机在未完成认证之前将无法接入内网。 WINDOWS自验证 测试WINDOWS自带的验证功能是否冲突 启用WINDOWS自带认证功能（打开本地连接属性-验证-勾选802.1x认证，选择加密为MD5），然后注册客户端。 注册成功后，待EDPXCLT进程启用后，打开本地连接属性-验证，看勾选是否被自动取消。 6.3安全性测试 测试终端接入环境描述： 测试功能项 测试步骤 预期结果 测试结果 备注 备用RADIUS服务器 备用RADIUS服务器同主RADIUS服务器的快速切换 当前主RADIUS服务器为备份服务器。测试只许将主服务器网络断开或停掉internet验证服务即可，然后使用客户端进行认证。 认证客户端可正常完成认证，时长不会超过5-15秒。到备份服务器上打开事件查看器对系统日志查看，可从日志的时间以及内容中认证的客户端的MAC地址判断是否为测试机的认证事件日志，如匹配则表示备份服务器正常运行。 6.4压力测试 测试终端接入环境描述： 测试功能项 测试步骤 预期结果 测试结果 备注 主机资源占用 测试802.1X认证策略起用后，终端主机系统资源占用情况（见表-1） 分别对802.1X认证通过的主机启用安检策略，并记录，观察5-10台主机的EdpXclt.exe 进程的cup、内存占用情况，并按 表格 关于规范使用各类表格的通知入职表格免费下载关于主播时间做一个表格详细英语字母大小写表格下载简历表格模板下载 要求记录。 资源占用几乎不影响系统运行 主机认证时间 测试终端主机启动认证按钮后，通过服务器认证的时间（windows 系列5种类操作系统）（见表-1） 在windows 系列5种类操作系统上分别观察EdpXclt.exe进程认证通过的时间。 认证时间不超过20秒 RADIUS服务器资源占用 测试日常终端主机认证RADIUS服务器资源占用情况（CPU、内存、流量） 观察100-200台以上计算机同时认证时候RADIUS服务器资源占用情况。 RADIUS服务器资源占用无异常 可以不测试 网络流量测试 测试RADIUS服务器认证流量、测试终端主机策略数据流量 观察100-200台以上计算机同时认证时候RADIUS服务器流量，以及网络认证流量。 是否对网络产生影响 可以不测试 6.5应急预案测试 测试终端接入环境描述： 测试功能项 测试步骤 预期结果 测试结果 备注 服务器瘫痪 主服务器瘫痪，立即起用备份服务器。 修改从服务器IP为主服务器地址（此时，需要快速修复原服务器）。 系统正常运行 建议备份服务器IP能够更换为原服务器IP。（此时，不能进行移动存储设备标签制作） RADIUS服务器备份切换 主RADIUS服务器瘫痪，立即起用从RADIUS服务器。 自动启用从RADIUS服务器。 客户端计算机正常进行RADIUS认证 交换机一键恢复 客户端所接交换机端口快速停止802.1X认证功能。 按给定Cc一键恢复工具操作执行。 该交换机所有端口停止802.1X认证功能，计算机直接进入工作网络 7.综合评论 请测试人员填写。 8.附录 附录一、EdpXclt进程资源占用信息采集表 设备配置 内容 启用后 策略启用情况 备注 IP： CPU 内存 认证时间 IP： CPU 内存 认证时间 IP： CPU 内存 认证时间 IP： CPU 内存 认证时间 IP： CPU 内存 认证时间 IP： CPU 内存 认证时间 IP： CPU 内存 认证时间 IP： CPU 内存 认证时间 IP： CPU 内存 认证时间 IP： CPU 内存 认证时间 IP： CPU 内存 认证时间 采集日期： 采集人： 附录二、802.1X认证客户端与办公环境兼容性测试 时间： 　 机型： 系统 　 序号 分类 评测项目 满分 得 分 测试人 1 常规 5 　 2 5 　 3 IE使用 5 　 4 5 　 5 5 　 6 阅读器 5 　 7 5 　 8 office兼容性 5 　 9 5 　 10 5 　 11 个人存储系统 5 　 12 5 　 13 5 　 14 mail邮箱 5 　 15 5 　 16 5 　 17 打印机 5 　 18 5 　 19 OE邮件 5 　 20 5 　 21 5 　 22 Outlook邮件 5 　 23 5 　 24 5 　 25 portal网站 5 　 26 5 　 27 5 　 28 5 　 29 5 　 30 远程培训 5 　 31 5 　 32 5 　 33 网络视频会议系统 5 　 34 5 　 35 客服系统 5 　 36 5 　 37 5 　 38 数字图书馆 5 　 39 5 　 40 远程移动办公系统 5 　 41 5 　 42 OA使用 5 　 43 5 　 44 5 　 45 5 　 46 5 　 47 5 　 48 5 　 49 5 　 50 5 　 51 5 　 52 5 　 53 5 　 54 5 　 55 5 　 56 5 　 57 5 　 58 5 　 59 5 　 60 5 　 61 5 　 62 5 　 63 5 　 64 5 　 65 5 　 66 5 　 67 5 　 附录三、简单交换机802.1x协议基本配置方法 一、802.1x协议起源 802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。 1、802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道） 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。 二、802.1X的认证体系分为三部分结构 Supplicant System，客户端(PC/网络设备)Authenticator System，认证系统 Authentication Server System，认证服务器 三、认证过程 1、认证通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；2、认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等； 3、认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。 四、配置 1、先配置switch到radius server的通讯 全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 用户接入控制系统软件上线 测试 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 PAGE 16