如何测试PON系统的安全功能？

如何测试PON系统的安全功能？

PON系统的安全功能测试主要包括ONU与PON接口的绑定、用户接入线路标识功能、广播分组/多播分组抑制、过滤功能、MAC学习数限制、防BPDU/ARP/ICMP攻击等功能。使用的仪表为数据网络分析仪。

（1）ONU与PON接口的绑定功能测试。如图1所示配置测试系统，启用ONU与PON接口绑定功能，即ONU只能在特定PON接口下完成注册并开通业务，不能在其他PON接口下完成注册并开通业务。将ONU分别接入到该PON接口和其他PON接口，观察ONU能否在相应PON口上注册以及业务是否正常。

（2）用户接入线路标识功能测试。宽带接入网中需要通过用户接入的宽带接入服务器（BRAS）或业务路由器（SR）的物理端口和用户接入线路（端口）来唯一地标识宽带用户接入线路（端口）。接入线路标识功能测试的对象是OLT和MDU，测试配置如图6-8所示。BRAS内置的DHCP服务器，通过网管配置启用OLT和ONU的DHCP Option82功能，使用数据网络分析软件发起DHCP请求，在BRAS上通过数据网络分析仪捕获并分析DHCP报文，检查Option82的格式是否符合标准。

图1　用户接入线路标识测试配置

（3）广播/多播分组抑制功能测试。如图6-6所示配置测试系统。设置OLT对某个ONU进行上行广播/多播分组抑制，使用数据网络分析仪向该ONU发送一定流量的上行广播/多播分组，利用数据网络分析仪观察OLT的广播/多播分组抑制功能是否生效，抑制效果是否符合要求。

MDU、MTU的广播/多播分组抑制功能测试方法类似OLT。

（4）过滤功能测试。如图6-6所示配置测试系统，以源MAC地址过滤功能为例。设置ONU对特定源MAC地址的业务流允许通过。使用数据网络分析仪向该ONU的用户侧端口发送包括该源MAC地址业务流在内的多个业务流，利用数据网络分析仪观察在OLT的上联口上接收到的业务流是否仅包括所设置的源MAC地址业务流，而无其他不同源MAC地址的业务流。

（5）ONU的MAC地址学习数限制测试。配置测试系统，配置ONU的MAC地址最大学习数量，利用数据网络分析仪向该ONU发送大于限制数量的MAC地址各不相同的业务流，利用数据网络分析仪观察在OLT的上联口上接收到的上行流量中的源MAC地址数量是否符合所设置的MAC地址学习数限制。

ONU支持MAC地址学习数限制，且限制通过的源MAC地址数量与所设置的值一致。

（6）防ICMP/BPDU/ARP攻击测试。测试配置如图2所示。在仪表端口B和端口C各向被测设备以线速发送正常业务。从测试仪的端口A以线速先后向设备网管地址发送ARP请求的广播帧、ICMP请求帧、BPDU报文，对被测设备进行攻击。查看OLT设备CPU使用率以及正常业务的收发情况。

图2　防攻击测试系统配置