ICS33.040.40 CCSM32 中华人民共和国国家标准 GB/T46240.2—2025 IPv6网络设备安全技术要求和测试方法 第2部分:交换机 SecurityrequirementsandtestingmethodsofIPv6networkequipment— Part2:Switch 2025-08-29发布 2025-12-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅴ ………………………………………………………………………………………………………… 引言 Ⅵ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 1 …………………………………………………………………………………………………… 5 通则 2 ……………………………………………………………………………………………………… 6 安全技术要求 3 …………………………………………………………………………………………… 6.1 数据平面安全 3 ……………………………………………………………………………………… 6.1.1 标识和鉴别 3 …………………………………………………………………………………… 6.1.2 可信信道 3 ……………………………………………………………………………………… 6.1.3 系统访问 3 ……………………………………………………………………………………… 6.1.4 资源分配 3 ……………………………………………………………………………………… 6.1.4.1 抗大流量攻击能力 3 ………………………………………………………………………… 6.1.4.2 抗畸形包能力 4 ……………………………………………………………………………… 6.1.4.3 ND非法报文攻击防护 4 …………………………………………………………………… 6.1.4.4 IPv6地址欺骗防护 4 ……………………………………………………………………… 6.1.4.5 组播报文抑制 4 ……………………………………………………………………………… 6.1.5 安全审计 4 ……………………………………………………………………………………… 6.1.5.1 攻击溯源功能 4 ……………………………………………………………………………… 6.1.5.2 采样功能 4 …………………………………………………………………………………… 6.1.6 系统功能保护 5 ………………………………………………………………………………… 6.1.7 安全管理 5 ……………………………………………………………………………………… 6.2 控制平面安全 5 ……………………………………………………………………………………… 6.2.1 标识和鉴别 5 …………………………………………………………………………………… 6.2.1.1 路由认证 5 …………………………………………………………………………………… 6.2.1.2 ND报文鉴别功能 5 ………………………………………………………………………… 6.2.1.3 智能无损存储网络认证 5 …………………………………………………………………… 6.2.1.4 跨设备链路聚合认证 5 ……………………………………………………………………… 6.2.1.5 OpenFlow认证 5 …………………………………………………………………………… 6.2.2 可信信道 5 ……………………………………………………………………………………… 6.2.3 系统访问 6 ……………………………………………………………………………………… 6.2.4 资源分配 6 ……………………………………………………………………………………… ⅠGB/T46240.2—2025 6.2.4.1 MAC地址学习限制 6 ……………………………………………………………………… 6.2.4.2 关闭ICMPv6功能 6 ………………………………………………………………………… 6.2.4.3 关闭Hop-by-Hop选项功能 6 ……………………………………………………………… 6.2.5 安全审计 6 ……………………………………………………………………………………… 6.2.6 系统功能保护 6 ………………………………………………………………………………… 6.2.7 安全管理 6 ……………………………………………………………………………………… 6.3 管理平面安全 6 ……………………………………………………………………………………… 6.3.1 标识和鉴别 6 …………………………………………………………………………………… 6.3.2 可信信道 6 ……………………………………………………………………………………… 6.3.3 系统访问 7 ……………………………………………………………………………………… 6.3.3.1 访问控制安全 7 ……………………………………………………………………………… 6.3.3.2 串口访问 7 …………………………………………………………………………………… 6.3.3.3 SSH访问 7 ………………………………………………………………………………… 6.3.3.4 SNMP访问 7 ……………………………………………………………………………… 6.3.3.5 Web访问 7 ………………………………………………………………………………… 6.3.4 资源分配 7 ……………………………………………………………………………………… 6.3.5 安全审计 8 ……………………………………………………………………………………… 6.3.6 系统功能保护 8 ………………………………………………………………………………… 6.3.7 安全管理 8 ……………………………………………………………………………………… 6.3.7.1 分级分权管理 8 ……………………………………………………………………………… 6.3.7.2 不安全配置检查 8 …………………………………………………………………………… 6.3.7.3 数字证书管理 8 ……………………………………………………………………………… 6.3.7.4 密码要求 8 …………………………………………………………………………………… 7 测试方法 8 ………………………………………………………………………………………………… 7.1 测试环境 8 …………………………………………………………………………………………… 7.2 数据平面安全测试 10 ………………………………………………………………………………… 7.2.1 标识和鉴别 10 …………………………………………………………………………………… 7.2.1.1 802.1X接入认证功能 10 …………………………………………………………………… 7.2.1.2 MAC接入认证功能 11 ……………………………………………………………………… 7.2.1.3 MAC地址漂移检测功能 11 ………………………………………………………………… 7.2.2 可信信道 11 ……………………………………………………………………………………… 7.2.3 系统访问 11 ……………………………………………………………………………………… 7.2.4 资源分配 12 ……………………………………………………………………………………… 7.2.4.1 抗大流量攻击能力 12 ……………………………………………………………………… 7.2.4.2 抗畸形包能力 13 …………………………………………………………………………… 7.2.4.3 ND非法报文攻击防护 15 ………………………………………………………………… 7.2.4.4 IPv6地址欺骗防护 15 ……………………………………………………………………… ⅡGB/T46240.2—2025 7.2.4.5 组播报文抑制 16 …………………………………………………………………………… 7.2.5 安全审计 16 ……………………………………………………………………………………… 7.2.5.1 攻击溯源功能 16 …………………………………………………………………………… 7.2.5.2 采样功能 16 ………………………………………………………………………………… 7.2.6 系统功能保护 16 ………………………………………………………………………………… 7.2.7 安全管理 17