网络准入控制系统软件上线运行测试报告

文档变更记录

注：对本文档内容增加、删除或修改均需填写此变更记录，详细记载变更信息，以保证其可追溯性。

目录

1.引言 (2)

1.1系统概述 (2)

1.2文档概述 (2)

2.引用文档 (2)

3.相关定义 (2)

4.测试环境 (4)

5.测试概要 (5)

6.测试内容 (6)

6.1基本功能测试 (6)

6.2兼容性测试 (12)

6.3安全性测试 (13)

6.4压力测试 (14)

6.5应急预案测试 (15)

7.综合评论 (17)

8.附录 (18)

附录一、E DP X CLT进程资源占用信息采集表 (18)

附录二、802.1X认证客户端与办公环境兼容性测试 (19)

附录三、简单交换机802.1X协议基本配置方法 (21)

上线测试报告1.引言

1.1系统概述

用户网络准入控制系统使用802.1x协议从交换机端口对认证客户端进行入

网控制，并通过对终端主机的安全检查策略，进行计算机安全健康状况检查，确

保入网计算机的安全性和可控性，系统建设主要目标如下：

1、实时认证：终端计算机每登陆一次网络，均需要经过交换机、radius服

务器的认证。

2、精确控制：精确实现对终端计算机的认证控制，任何未经认证的计算机

无法进入工作区网络。

3、强制安装：确保网络中每台计算机强制安装安全客户端程序进行安全管理，包括对当前已注册客户端认为或其他情况（如重新安装操作系统）导致客户

端的非正常卸载，对漏安装或未来新增计算机的客户端注册情况提供了保障，也

可保证注册率。

4、授权入网：可对非注册客户端进行入网控制，防止非授权计算机入网。

5、系统加固：对当前客户端系统进行加固，主要为补丁，杀毒软件及用户

名密码权限功能。

1.2文档概述

本文档主要用于记录测试系统时所用到的测试方法、测试时间、测试数据、测试结果和测试人，详细记录了系统在测试中所产生的各类错误；最后通过对测

试结果系统、全面的分析对所测试的软件进行评估，以便在今后的工作中对该系

统进行改进。

2.引用文档

《网络准入系统白皮书》

《网络准入控制系统实施方案》

《统使用手册》

3.相关定义

802.1x协议认证：IEEE为了解决基于端口的接入控制（Port-Based Access

Control）而定义的一个标准。802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略；802.1X是基于端口的认证策略；802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。

802.1X认证体系结构：Supplicant System——客户端(PC主机/网络设备等)、Authenticator System——认证系统（主要是交换机）、Authentication Server System——认证服务器（radius服务器）。

管理器标识：是指管理器的标记，当服务器迁移时需要设置与之相同的管理器标识，客户端只与有该标识的管理器进行相应数据交换等工作。

信任：系统管理员通过整体策略进行“信任”操作，也可通过单击选择此项进行设备信任操作，被信任机器无论是否注册，未阻断操作对信任的计算机为无效状态。

保护：系统管理员通过“保护”操作对客户端机器进行设置，将交换机、路由器等不需要注册IP地址单独划分出来，并对MAC以及IP地址不进行绑定；建议将重要的服务器和其它网络相关设备不进行注册，并设置为保护状态，用来保证其运行的稳定性。

阻断：系统管理员在应用整体“阻断”策略操作外，可对其中任意一台客户端机器通过此项操作进行单独内部网络阻断。（该网段需有已注册且工作正常的客户端）

机构代码：标志机构代码编号的数字，用于多级级联构架网络中上级和各下级之间的机构编号。

自定义组：为进行任务规则应用、任务执行而设置的网络客户端编组，可自行组合，适用不同管理策略。

数据重整：类似于刷新功能，提供对数据库中数据的重新整理，每隔一段时间对系统数据库进行重整。

4.测试环境

环境一：硬件环境

对所有交换机增加一个VLAN指定为GUEST VLAN，并在所有端口上开启802.1x认证，更改端口认证方式为PORDBASD(基于端口的方式用于GUEST VLAN 的跳转)指定该VLAN作为GUEST VLAN（访客VLAN）。

对于集联HUB的端口则使用基于MAC的认证方式(默认为基于MAC的认证方式,否则接入HUB的客户端有一台认证通过该端口将放开其他接入该HUB的客户端)，802.1x认证交换机基本配置见附录二。

服务器位置：确保交换机同Radius服务器的通讯正常（UDP1812）,Cc内网管理系统服务器所处逻辑位置须能PING通所有通过802.1x认证的客户端计算

机，Radius服务器须能PING通所有交换机的管理IP。AUTOGATE服务器所连接交换机端口应划分到GUEST VLAN内。

测试人员：

请测试人员填写。

上线测试报告

6.测试内容

测试前，请阅读《Cc内网安全管理及补丁分发系统使用手册》。

6.1基本功能测试

7