YDT 1439-2023路由器设备安全测试方法 核心路由器（基于IPv4）

ICS33.040

CCSM33

YD

中华人民共和国通信行业标准

YD/T1439—XXXX

代替YD/T1439-2006

路由器设备安全测试方法核心路由器（基

于IPv4）

Routersecuritytestmethods—Corerouter（IPv4）

（报批稿）

XXXX-XX-XX发布XXXX-XX-XX实施

中华人民共和国工业和信息化部发布

XX/T1439—XXXX

前言

本标准是《支持IPv4的路由器》系列标准之一，该系列标准的结构和名称如下：

——YD/T1096《路由器设备技术要求边缘路由器》

——YD/T1098《路由器设备测试方法边缘路由器》

——YD/T1097《路由器设备技术要求核心路由器》

——YD/T1156《路由器设备测试方法核心路由器》

——YD/T1358《路由器设备安全技术要求——中低端路由器(基于IPv4)》

——YD/T1440《路由器设备安全测试方法——中低端路由器（基于IPv4）》

——YD/T1359《路由器设备安全技术要求——核心路由器(基于IPv4)》

——YD/T1439《路由器设备安全测试方法——核心路由器（基于IPv4）》

本标准与YD/T1359《路由器设备安全技术要求——核心路由器（基于IPv4）》配套使用。

与本系列标准相关的标准还有《支持IPv6的路由器》系列标准，该系列标准的结构和名称如下：

——YD/T1452《IPv6网络设备技术要求边缘路由器》

——YD/T1453《IPv6网络设备测试方法边缘路由器》

——YD/T1454《IPv6网络设备技术要求核心路由器》

——YD/T1455《IPv6网络设备测试方法核心路由器》

本标准编制依据GB/T1.1-2020给出的规则起草。

本标准代替YD/T1439-2006《路由器设备安全测试方法——核心路由器（基于IPv4）》，本标准

与YD/T1439-2006相比主要技术变化如下：

——修改了标准名称，按照目前的描述规则改称核心路由器；

——根据以下主要技术变化修改缩略语、测试环境内容；

——数据转发平面安全测试中增加分片报文攻击防御、基于MPLS的ACL测试、远程检测和流量清

洗和SDN测试方法；

——路由/控制平面安全测试中增加路由安全、控制面常见攻击防御、网络协议服务开关和攻击溯

源功能测试方法；

——管理平面安全测试中增加FTP安全性测试方法；

——其他编辑性修改。

随着技术的发展，还将制定后续的相关标准。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准由中国通信标准化协会提出并归口。

本标准主要起草单位：中国信息通信研究院、华为技术有限公司、深圳信息通信研究院。

本标准主要起草人：田辉、杨华儒、贺丽娟、葛裴。

本标准于2006年05月首次发布，本次为第一次修订。

II

XX/T1439—XXXX

路由器设备安全测试方法核心路由器（基于IPv4）

1范围

本文件规定了核心路由器涉及网络与信息安全方面的测试内容，包括数据转发平面安全测试、路由

/控制平面安全测试和管理平面安全测试。

本文件适用于基于IPv4的核心路由器设备。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的

修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究

是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

YD/T1359-2005路由器设备安全技术要求——核心路由器（基于IPv4）

YD/T1467-2006IP安全协议（IPSec）测试方法

IETFRFC3412简单网管协议(SNMP)的消息处理和发送

IETFRFC3413简单网管协议(SNMP)应用

IETFRFC3414简单网管协议版本3(SNMPv3)中基于用户的安全模型(USM)

IETFRFC4251安全外壳协议(SSH)协议框架

IETFRFC4253安全外壳协议(SSH)传输层协议

IETFRFC4252安全外壳协议(SSH)认证协议

IETFRFC4254安全外壳协议(SSH)连接协议

3术语、定义和缩略语

3.1术语和定义

下列术语和定义适用于本文件。

3.1.1

全局ACLGlobalACL

一种ACL配置方式，在设备全局模式下进行ACL配置，且该ACL条目在设备所有接口上生效。

3.2缩略语

下列缩略语适用于本文件。

ACL访问控制列表AccessControlList

BGP边界网关协议BorderGatewayProtocol

1

XX/T1439—XXXX

BMPBGP监控协议BGPMonitoringProtocol

CAR承诺接入速率CommittedAccessRate

CE用户边界设备CustomerEdge

DUT被测设备DeviceUnderTest

FTP文件传输协议FileTransferProtocol

GTSM通用跳数检测机制GeneralizedTTLSecurityMechanism

ICMP网络控制报文协议InternetControlMessagePortocol

IP因特网协议InternetProtocol

IPSecIP安全机制IPSecurity

ISIS中间系统到中间系统协议IntermediateSystemtoIntermediateSystemProtocol

LDP标记分发协议LabelDistributionProtocol

MAC媒介访问控制MediaAccessControl

MD5报文摘要5MessageDigest5

MPLS多协议标记交换Multi-ProtocolLabelSwitch

MTU最大传输单元MaximalTransmissionUnit

NAPT网络地址端口翻译NetworkAddress/PortTranslation

NAT网络地址翻译NetworkAddressTranslation

OSPF开放最短路径优先协议OpenShortestPathFirst

PAT端口地址翻译PortAddressTranslation

PE网络边界设备ProviderEdge

RIP路由信息协议RouteInformationProtocol

RPKI互联网码号资源公钥基础设施ResourcePublicKeyInfrastructure

SDN软件定义网络SoftwareDefinedNetwork

SNMP简单网络管理协议SimpleNetworkManagementProtocol

SSH安全外壳程序协议SecureShell

TCP传输控制协议TransportControlProtocol

TTL存活时间TimetoLive

UDP用户数据报协议UserDataProtocol

2

XX/T1439—XXXX

URPF单播逆向路径转发UnicastReversePathForwarding

VPN虚拟专用网VirtualPrivateNetwork

4测试环境

测试环境1如图1所示。

图1测试环境1

测试环境2如图2所示。

图2测试环境2

测试环境3如图3所示。

图3测试环境3

测试环境4如图4所示。

3

XX/T1439—XXXX

图4测试环境4

测试环境5如图5所示。

图5测试环境5

测试环境6如图6所示。

图6测试环境6

测试环境7如图7所示。

4

XX/T1439—XXXX

图7测试环境7

测试环境8如图8所示。

图8测试环境8

测试环境9如图9所示。

图9测试环境9

测试环境10如图10所示。

5

XX/T1439—XXXX

图10测试环境10

测试环境11如图11所示。

图11测试环境11

以上各图中测试仪表与DUT间均采用同种接口相连。

5数据转发平面安全测试

6

XX/T1439—XXXX

核心路由器数据转发平面的安全测试主要包括IPSec协议测试、常见网络攻击的抵抗能力测试、

URPF功能测试、流量控制功能测试、访问控制列表（ACL）测试、远程检测和流量清洗、网络地址翻

译（NAT）测试以及SDN测试。

5.1IPSec协议测试

IPSec协议测试内容参见YD/T1476-2006《IP安全协议（IPSec）测试方法》

5.2常见网络攻击抵抗能力测试

测试编号：1

测试项目：抗大流量攻击能力测试

测试目的：检验DUT处理大流量数据的能力

测试配置：测试环境1

测试过程：

1.按测试环境连接设备；

2.从测试仪表端口A向测试仪表端口B以线速发送数据包；

3.DUT启用动态路由协议协议，从测试仪表端口A向DUT建立协议邻居关系。

4.停止步骤2中数据包的发送；

5.从测试仪表端口A向DUT的环回地址以线速发送数据包；

6.从测试仪表端口A向DUT建立协议邻居关系。

预期结果：

1.在步骤3和6中，测试仪表与DUT间应能正常建立协议邻居关系，不受端口上流量的影响

判定原则：

应符合预期结果要求，否则为不合格

测试编号：2

测试项目：畸形包处理能力测试

测试目的：检验DUT处理畸形数据包的能力

测试配置：测试环境1

测试过程：

1.按测试环境连接设备；

2.从测试仪表端口A向测试仪表端口B发送小于接口速率的背景流量；

3.由仪表端口A以端口剩余带宽速率向DUT1端口发送报文长度（包括IP包头）大于65535字节的

ICMPECHORequest报文（PingofDeath攻击仿真报文）；

4.停止步骤3中报文的发送，由仪表端口A向DUT环回地址发送多个Offset字段重叠的IP报文

（Teardrop攻击仿真报文）；

5.停止步骤4中报文的发送，由仪表端口A向仪表端口B发送链路层错误（如以太网的FCS错误帧）

报文；

6.停止步骤5中报文的发送，由仪表端口A向仪表端口B发送长度小于64字节（以太网链路）的超

短帧（Runt）；

7.停止步骤6中报文的发送，由仪表端口A向仪表端口B发送长度大于链路MTU的超长帧（Giant）。

8.停止步骤7中报文的发送，在DUT上启用OSPF路由协议，并由仪表端口A与DUT建立OSPF

邻居关系，由仪表端口A向DUT发送错误的OSPFUpdate（如带有错误RouterID）报文，

7

XX/T1439—XXXX

预期结果：

1.在步骤3中，攻击报文应被丢弃，记录攻击对背景流量的影响；

2.在步骤4中，攻击报文应被丢弃，记录攻击对背景流量的影响；

3.在步骤5中，错误帧应被丢弃，并在错误日志中有相应记录，记录攻击对背景流量的影响；

4.在步骤6中，超短帧应被丢弃，并提供统计数据，记录攻击对背景流量的影响；

5.在步骤7中，超长帧应被丢弃，并提供统计数据，记录攻击对背景流量的影响；

6.在步骤8中，应不接受错误的Update报文。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：3

测试项目：PingFlood攻击处理能力测试（可选）

测试目的：检验DUT处理PingFlood攻击的能力

测试配置：测试环境2

测试过程：

1.按测试环境连接设备；

2.仪表端口B与DUT建立OSPF邻居关系，并向DUT通告到网络2的路由；

3.从测试仪表端口A向网络2中的某个IP地址以小于端口速率的流量发送背景流量，并验证仪表端

口B上流量能够正常接收；

4.从测试仪表端口C向DUT环回地址以端口线速发送ICMPECHORequest数据包；

5.停止步骤4中流量的发送，从测试仪表端口C向网络2中的某个IP地址以端口线速发送ICMP

ECHORequest数据包；

预期结果：

1.在步骤4中，DUT应对超量ICMP报文进行丢弃或限速，记录攻击对背景流量的影响；

2.在步骤5中，DUT应对超量ICMP报文进行丢弃或限速，记录攻击对背景流量的影响。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：4

测试项目：SYNFlood攻击处理能力测试

测试目的：检验DUT处理SYNFlood攻击的能力

测试配置：测试环境2

测试过程：

1.按测试环境连接设备；

2.仪表端口A和B分别与DUT建立OSPF邻居关系，并向DUT通告到网络1和网络2的路由；

3.从测试仪表端口A向网络2中的某个IP地址以小于端口速率的流量发送背景流量，并验证仪表端

口B上流量能够正常接收；

4.从测试仪表端口C向网络2中的某个IP地址以端口剩余带宽发送TCPSYN数据包，数据包源地

址为网络1中的某个地址；

5.停止步骤4中流量的发送，从测试仪表端口C向DUT的环回地址上已开放的端口以端口剩余带宽

发送TCPSYN数据包，数据包源地址为网络1中的某个地址。

预期结果：

8

XX/T1439—XXXX

1.在步骤4和5中，DUT应对过量TCPSYN报文进行丢弃或进行降低优先级的排队处理，记录攻击对背

景流量的影响；

判定原则：

DUT可以对过量TCPSYN报文进行丢弃或进行降低优先级的排队处理，背景流的流量和时延应不会受

到严重影响。

测试编号：5

测试项目：Smurf攻击处理能力测试

测试目的：检验DUT处理Smurf攻击的能力

测试配置：测试环境2

测试过程：

1.按测试环境连接设备；

2.仪表端口A和B分别与DUT建立OSPF邻居关系，并向DUT通告到网络1和网络2的路由；

3.从测试仪表端口A向网络2中的某个IP地址以小于端口速率的流量发送背景流量，并验证仪表端

口B上流量能够正常接收；

4.从测试仪表端口C向网络1中的某个IP地址以端口线速发送ICMPECHORequest数据包，数据包

源地址为网络2的有限广播地址；

5.停止步骤4中流量的发送，从测试仪表端口C向DUT的环回地址以端口线速发送ICMPECHO

Request数据包，数据包源地址为网络2的有限广播地址；

6.停止步骤5中流量的发送，从测试仪表端口C向网络1以端口线速发送ICMPECHORequest数据

包，数据包源地址为网络2中的某个IP地址，目的地址为网络1的有限广播地址。

预期结果：

1．步骤4到6中，DUT应对ICMP报文进行丢弃，记录攻击对背景流量的影响；

判定原则：

应符合预期结果要求，否则为不合格

测试编号：6

测试项目：分片报文攻击防御

测试目的：检验DUT处理分片报文攻击的能力

测试配置：测试环境2

测试过程：

1.按测试环境连接设备，配置相应IP地址；

2.DUT使能报文分片处理，配置端口1MTU为9000字节，端口2为默认1500字节

3.DUT使能OSPF协议，端口3跟测试仪C端口建立OSPF邻居，从测试仪表端口C向设备发送1000

条OSPF路由；

4.从测试仪表端口A向端口B发送1G大小流量，二层帧长为9000字节的流量，从测试仪表端口

A向端口C基于OSPF路由构造背景流量，流量大小为5G，二层帧长为512字节；

5.在测试仪表端口B抓包，查看报文分片情况；

6.从测试仪表端口B构造格式正确的IPv4trace超大报文（报文分片），其中源IP为测试仪表端口B

的IPv4地址，目的地址为DUT的环回口IPv4地址，TTL为1，UDP的payload长度为1452，UDP

的checksum正确。从测试仪端口B发送大量的IPv4trace超大报文。

预期结果：

9

XX/T1439—XXXX

1．在步骤4中，大报文流量应被设备正常分片转发，且所有流量均无丢包，DUT进行大量报文分片时，

不影响OSPF协议；

2．在步骤6中，业务流量不受影响，OSPF协议不受影响，DUT的CPU利用率无明显提升。

判定原则：

应符合预期结果要求，否则为不合格

5.3URPF功能测试

测试编号：7

测试项目：严格URPF功能测试

测试目的：检验DUT实现严格URPF功能

测试配置：测试环境2

测试过程：

1.按测试环境连接设备；

2.仪表端口A和B分别与DUT建立OSPF邻居关系，并向DUT通告到网络1和网络2的路由，并

发送流量验证路由的有效性，在DUT上为地址A.A.A.0/24配置到测试仪表端口A的静态路由；

3.在DUT上启用严格URPF；

4.从仪表端口A向仪表端口B发送数据包，数据包源地址为网络1中的地址；

5.停止步骤4中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为A.A.A.X；

6.停止步骤5中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为B.B.B.B

（在路由器路由表中不存在到该地址的路由）。

预期结果：

1.在步骤4中，仪表端口B应可以收到测试数据包；

2.在步骤5和6中，仪表端口B不能收到测试数据包。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：8

测试项目：松散URPF功能测试

测试目的：检验DUT实现松散URPF功能

测试配置：测试环境2

测试过程：

1.按测试环境连接设备；

2.仪表端口A和B分别与DUT建立OSPF邻居关系，并向DUT通告到网络1和网络2的路由，并

发送流量验证路由的有效性，在DUT上为地址A.A.A.0/24配置到测试仪表端口C的静态路由；

3.在DUT上启用松散URPF；

4.从仪表端口A向仪表端口B发送数据包，数据包源地址为网络1中的地址；

5.停止步骤4中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为A.A.A.X；

6.停止步骤5中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为B.B.B.B

（在路由器路由表中不存在到该地址的路由）。

预期结果：

1.在步骤4和5中，仪表端口B应可以收到测试数据包；

2.在步骤6中，仪表端口B不能收到测试数据包。

10

XX/T1439—XXXX

判定原则：

应符合预期结果要求，否则为不合格

测试编号：9

测试项目：基于ACL的URPF功能测试

测试目的：检验DUT实现基于ACL的URPF功能

测试配置：测试环境2

测试过程：

1.按测试环境连接设备；

2.仪表端口A和B分别与DUT建立OSPF邻居关系，并向DUT通告到网络1和网络2的路由，并

发送流量验证路由的有效性，在DUT上为地址A.A.A.0/24配置到测试仪表端口C的静态路由；

3.在DUT上启用基于ACL的URPF，并配置ACL条目拒绝源地址为A.A.A.Y的数据包；

4.从仪表端口A向仪表端口B发送数据包，数据包源地址为网络1中的地址；

5.停止步骤4中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为A.A.A.X；

6.停止步骤5中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为A.A.A.Y；

7.停止步骤6中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为B.B.B.B

（在路由器路由表中不存在到该地址的路由）。

预期结果：

1．在步骤4和5中，仪表端口B应可以收到测试数据包；

2．在步骤6和7中，仪表端口B不能收到测试数据包。

判定原则：

应符合预期结果要求，否则为不合格

5.4流量控制功能测试

测试编号：10

测试项目：流量限速（CAR）功能测试

测试目的：检验DUT的流量限速功能

测试配置：测试环境1

测试过程：

1.按测试环境连接设备；

2.在DUT上为接口1配置流量限速，限制速率为M，M小于1接口速率；

3.由仪表接口A向仪表接口B以接口速率发送IP数据流。

预期结果：

1．在步骤3中，仪表端口B可以收到数据流，数据流速率为M（误差小于10％）。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：11

测试项目：流分类功能测试（基于IP五元组的流分类）

测试目的：检验DUT基于IP五元组（源IP地址、目的IP地址、协议类型、源端口号、目的端口号）

进行流分类的功能

测试配置：测试环境1

11

XX/T1439—XXXX

测试过程：

1.按测试环境连接设备；

2.在DUT上分别为IP五元组配置流分类策略，并对命中的数据流采用流量限制，限制速率为M，M

小于接口速率；

3.仪表接口A向仪表接口B以接口速率发送符合分类策略的数据流；

4.停止上一步中数据流的发送，从仪表接口A向仪表接口B以接口速率发送不符合分类策略的数据

流。

预期结果：

1．步骤3中，仪表端口B可以收到数据流，数据流速率为M（误差小于10％）；

2．步骤4中，仪表端口B可以收到数据流，数据流速率为接口速率。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：12

测试项目：流分类功能测试（基于源MAC地址）（可选）

测试目的：检验DUT基于源MAC地址进行流分类的功能

测试配置：测试环境1

测试过程：

1.按测试环境连接设备；

2.在DUT上配置基于源MAC地址的流分类策略，并对命中的数据流采用流量限制，限制速率为M，

M小于接口速率；

3.仪表接口A向仪表接口B以接口速率发送符合分类策略的数据流；

4.停止上一步中数据流的发送，从仪表接口A向仪表接口B以接口速率发送不符合分类策略的数据

流。

预期结果：

1．步骤3中，仪表端口B可以收到数据流，数据流速率为M（误差小于10％）；

2．步骤4中，仪表端口B可以收到数据流，数据流速率为接口速率。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：13

测试项目：流量整形功能测试

测试目的：检验DUT的流量整形功能

测试配置：测试环境1

测试过程：

1.按测试环境连接设备；

2.在DUT上为接口2配置流量整形，限制速率为M，M小于2接口速率；

3.由仪表接口A向仪表接口B以接口速率发送IP数据流。

预期结果：

1．在步骤3中，仪表端口B可以收到数据流，数据流速率为M（误差小于10％）。

判定原则：

应符合预期结果要求，否则为不合格

12

XX/T1439—XXXX

5.5访问控制列表（ACL）测试

测试编号：14

测试项目：基于源地址的ACL测试

测试目的：检验DUT是否实现基于源地址的ACL

测试配置：测试环境1

测试过程：

1.按测试环境连接设备；

2.在DUT上配置基于源地址的ACL（拒绝）条目；

3.从仪表端口A向仪表端口B发送符合过滤条件的IP包；

4.从仪表端口A向仪表端口B发送不符合过滤条件的IP包。

预期结果：

1．在步骤3中，仪表端口B没有收到数据包；

2．在步骤4中，仪表端口B可以收到数据包。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：15

测试项目：基于目的地址的ACL测试

测试目的：检验DUT是否实现基于目的地址的ACL

测试配置：测试环境1

测试过程：

1.按测试环境连接设备；

2.在DUT上配置基于目的地址的ACL（拒绝）条目；

3.从仪表端口A向仪表端口B发送符合过滤条件的IP包；

4.从仪表端口A向仪表端口B发送不符合过滤条件的IP包。

预期结果：

1．在步骤3中，仪表端口B没有收到数据包；

2．在步骤4中，仪表端口B可以收到数据包。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：16

测试项目：基于协议的ACL测试

测试目的：检验DUT是否实现基于协议类型的ACL

测试配置：测试环境1

测试过程：

1.按测试环境连接设备；

2.在DUT上配置基于协议类型的ACL（拒绝）条目；

3.从仪表端口A向仪表端口B发送符合过滤条件的IP包；

4.从仪表端口A向仪表端口B发送不符合过滤条件的IP包。

预期结果：

13

XX/T1439—XXXX

1．在步骤3中，仪表端口B没有收到数据包；

2．在步骤4中，仪表端口B可以收到数据包。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：17

测试项目：基于源端口的ACL测试

测试目的：检验DUT是否实现基于源端口的ACL

测试配置：测试环境1

测试过程：

1.按测试环境连接设备；

2.在DUT上配置基于源端口的ACL（拒绝）条目；

3.从仪表端口A向仪表端口B发送符合过滤条件的IP包；

4.从仪表端口A向仪表端口B发送不符合过滤条件的IP包。

预期结果：

1．在步骤3中，仪表端口B没有收到数据包；

2．在步骤4中，仪表端口B可以收到数据包。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：18

测试项目：基于目的端口的ACL测试

测试目的：检验DUT是否实现基于目的端口的ACL

测试配置：测试环境1

测试过程：

1.按测试环境连接设备；

2.在DUT上配置基于目的端口的ACL（拒绝）条目；

3.从仪表端口A向仪表端口B发送符合过滤条件的IP包；

4.从仪表端口A向仪表端口B发送不符合过滤条件的IP包。

预期结果：

1．在步骤3中，仪表端口B没有收到数据包；

2．在步骤4中，仪表端口B可以收到数据包。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：19

测试项目：基于五元组的ACL测试

测试目的：检验DUT是否实现基于五元组（源地址、目的地址、源端口、目的端口、协议类型）的ACL

测试配置：测试环境1

测试过程：

1.按测试环境连接设备；

2.在DUT上配置基于五元组的ACL（拒绝）条目；

14

XX/T1439—XXXX

3.从仪表端口A向仪表端口B发送符合过滤条件的IP包；

4.从仪表端口A向仪表端口B发送不符合过滤条件的IP包。

预期结果：

1．在步骤3中，仪表端口B没有收到数据包；

2．在步骤4中，仪表端口B可以收到数据包。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：20

测试项目：全局ACL测试

测试目的：检验DUT是否实现全局ACL

测试配置：测试环境1

测试过程：

1.按测试环境连接设备；

2.在DUT上配置全局ACL（拒绝）条目（全局ACL的解释）；

3.从仪表端口A向仪表端口B发送符合过滤条件的IP包；

4.从仪表端口B向仪表端口A发送符合过滤条件的IP包。

预期结果：

1．在步骤3中，仪表端口B没有收到数据包；

2．在步骤4中，仪表端口A没有收到数据包。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：21

测试项目：接口ACL测试

测试目的：检验DUT是否实现接口ACL

测试配置：测试环境1

测试过程：

1.按测试环境连接设备；

2.在DUT接口1上配置ACL（拒绝）条目；

3.从仪表端口A向仪表端口B发送符合过滤条件的IP包；

4.从仪表端口B向仪表端口A发送符合过滤条件的IP包。

预期结果：

1．在步骤3中，仪表端口B没有收到数据包；

2．在步骤4中，仪表端口A可以收到数据包。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：22

测试项目：配置ACL情况下的性能测试

测试目的：检验DUT在配置ACL情况下的性能

测试配置：测试环境2

15

XX/T1439—XXXX

测试过程：

1.按测试环境连接设备；

2.仪表端口A和B分别与DUT建立OSPF邻居关系，并通告到网络1和网络2的路由；

3.在DUT接口1上配置DUT的ACL规格50%容量相互无关联的ACL（拒绝）条目；

4.从仪表端口A向仪表端口B发送不符合过滤条件的IP包，数据包源地址为网络1中的IP地址（变

化），进行性能测试。

预期结果：

1．配置ACL后应不会对DUT的转发造成严重影响。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：23

测试项目：基于源MAC地址的ACL测试（可选）

测试目的：检验DUT是否实现基于源MAC地址的ACL

测试配置：测试环境1

测试过程：

1.按测试环境连接设备；

2.在DUT上配置基于源MAC地址的ACL条目，拒绝源MAC地址非特定地址的数据包；

3.从仪表端口A向仪表端口B发送IP包，源MAC地址不是DUT配置的特定MAC地址；

4.从仪表端口A向仪表端口B发送IP包，源MAC地址是DUT配置的特定MAC地址。

预期结果：

1．在步骤3中，仪表端口B没有收到数据包；

2．在步骤4中，仪表端口B可以收到数据包。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：24

测试项目：基于MPLS的ACL测试（可选）

测试目的：检验DUT是否实现基于MPLS的ACL

测试配置：测试环境1

测试过程：

1.按测试环境连接设备；

2.DUT跟测试仪端口A、B建立OSPF和LDP邻居；

3.在DUT上配置基于MPLS的ACL条目，配置基于MPLS报文的Exp值、Label值、TTL值数据

包（拒绝条目）；

4.从仪表端口A向仪表端口B发送符合过滤条件的数据包；

5.从仪表端口A向仪表端口B发送不符合过滤条件的数据包。

预期结果：

1．在步骤3中，仪表端口B没有收到数据包；

2．在步骤4中，仪表端口B可以收到数据包。

判定原则：

应符合预期结果要求，否则为不合格

16

XX/T1439—XXXX

5.6远程检测和流量清洗

测试编号：25

测试项目：远程检测和流量清洗测试

测试目的：检验DUT支持通过BGPFlowspec进行远程检测和流量清洗功能

测试配置：测试环境7

测试过程：

1.按测试环境连接设备，配置相应IP地址；

2.DUT1为Flowspec客户端，DUT2为Flowspec控制器，配置DUT1和DUT2建立IBGP；

3.在测试仪表A、B端口之间构造3条流量：第1条流为正常业务UDP流，源IP地址为测试仪A接

口地址，目的IP为测试仪端口B接口地址，目的端口为80；第2条流模拟ICMPFlood攻击，源

IP地址为测试仪A接口地址，目的IP为测试仪端口B接口地址；第3条流模拟TCPSynFlood攻

击，源IP地址为测试仪A接口地址，目的IP为测试仪端口B接口地址，目的端口为80；

4.发送步骤3流量，在测试仪端口B处观察流量接收情况；

5.配置DUT1和DUT2使能BGPFlowspec功能，在DUT2上配置流量信息，通告DUT1对步骤3中

的ICMPFlood攻击流量进行丢弃；

6.再次发送步骤3流量，在测试仪端口B处观察流量接收情况；

7.在DUT2上配置流量信息，通告DUT1将步骤3中的TCPSynFlood流量进行限速为1M；

8.再次发送步骤3流量，在测试仪端口B处观察流量接收情况；

9.在DUT2上配置流量信息，通告DUT1将步骤3中第1条正常业务流重定向到测试仪端口C；

10.再次发送步骤3流量，观察流量收发情况。

预期结果：

1．在步骤4中测试仪表B端口应可以正常收到所有流量；

2．在步骤6中测试仪表B端口处应收不到ICMPFlood攻击流量，正常业务流量无影响；

3．在步骤8中测试仪表B端口处应收不到ICMPFlood攻击流量，TCPSynFlood攻击流量被限速为1M，

正常业务流量无影响；

4．在步骤10中测试仪表C端口应可以收到重定向的正常业务流量。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：26

测试项目：Netconf测试

测试目的：检验DUT的Netconf功能

测试配置：测试环境6

测试过程：

1.按测试环境连接设备；

2.DUT配置NetconfoverSSH；

3.PC上使用客户端下发相关XML脚本；

4.配置通过Netconf方式对DUT下发攻击流的控制策略，匹配规则分别为匹配源IP，源端口和目的

端口，动作分别为对流量进行限速，丢弃和重定向；

5.测试仪端口A发送流量给端口B，流特征与步骤4中配置的匹配规则对应，在测试仪上查看流量

的收发包情况。

预期结果：

17

XX/T1439—XXXX

1．在步骤3中，DUT支持Netconf下发配置保存/配置回滚/配置Tunnel口/IPAddress配置；

2．在步骤5中，测试仪上流量收发包情况与测试步骤4中的动作一一对应。

判定原则：

应符合预期结果要求，否则为不合格

5.7网络地址翻译（NAT）测试

测试编号：27

测试项目：静态NAT测试（可选）

测试目的：检验DUT的静态NAT功能

测试配置：测试环境1

测试过程：

1．按测试环境连接设备；

2．在DUT上为仪表接口A上的IP地址配置静态NAT；

3．由仪表接口A向仪表接口B发送不同源地址的数据包，在仪表接口B上验证进行NAT后的数据包源地

址。

预期结果：

1.在步骤3中，仪表端口B可以收到数据包，且数据包源地址符合配置的NAT策略。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：28

测试项目：动态NAT测试（可选）

测试目的：检验DUT的动态NAT功能

测试配置：测试环境1

测试过程：

1．按测试环境连接设备；

2．在DUT上配置动态NAT地址池；

3．由仪表接口A向仪表接口B发送不同源地址的数据包，在仪表接口B上验证进行NAT后的数据包源地

址。

预期结果：

1.在步骤3中，仪表端口B可以收到数据包，且数据包源地址为NAT地址池中的地址，符合配置的NAT

策略。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：29

测试项目：端口地址翻译（PAT）测试（可选）

测试目的：检验DUT的PAT功能

测试配置：测试环境1

测试过程：

1．按测试环境连接设备；

2．在DUT上配置PAT，出口为同一个IP地址；

18

XX/T1439—XXXX

3．由仪表接口A向仪表接口B发送不同源地址的UDP数据包，在仪表接口B上验证进行NAT后的数

据包源地址。

预期结果：

1.在步骤3中，仪表端口B可以收到数据包，数据包源地址相同，但具有不同的源端口，符合所配置

的PAT策略。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：30

测试项目：网络地址/端口翻译（NAPT）测试（可选）

测试目的：检验DUT的NAPT功能

测试配置：测试环境1

测试过程：

1．按测试环境连接设备；

2．在DUT上配置动态地址池，并配置端口地址翻译（PAT）；

3．由仪表接口A向仪表接口B发送不同源地址的UDP数据包，在仪表接口B上验证进行NAPT后的

数据包源地址。

预期结果：

1．在步骤3中，仪表端口B可以收到数据包，数据包源地址为动态地址池中的地址，且具有不同的源端

口，符合所配置的NAPT策略。

判定原则：

应符合预期结果要求，否则为不合格

测试编号：31

测试项目：地址映射测试（可选）

测试目的：检验DUT的地址映射功能

测试配置：测试环境1

测试过程：

1．按测试环境连接设备；

2．在DUT上配置地址映射功能，将访问DUT接口1地址，TCP/UDP端口X的数据包映射至仪表接

口B，TCP/UDP端口Y；

3．由仪表接口A向DUT接口1发送不同目的端口（X，X+1）的数据包。

预期结果：

1．在步骤3中，仪表接口B可以收到数据包，数据包的目的地址为仪表接口B地址，目的端口为Y，流

量与仪表接口A所发送的目的端口为X的数据包相等。

判定原则：

应符合预期结果要求，否则为不合格

5.8SDN测试

测试编号：32

测试项目：SDN南向接口安全测试

测试目的：被测设备和SDN控制器的南向接口应该支持严格的认证和安全加密机制，防止核心路由器

19

XX/T1439—XXXX

错误受控或者信息泄露

测试配置：测试环境8

测试过程：

1.按测试环境连接设备，配置相应IP地址；

2.被测设备配置NetconfoverSSH服务器功能。配置用户名和密码；

3.被测设备配置镜像功能，在被测设备跟SDN控制器南向接口间做双向镜像；

4.SDN控制器通过错误的用户名和密码发起NetconfoverSSH连接；

5.SDN控制器通过正常的用户名和密码发起NetconfoverSSH连接；

6.通过SDN控制器下发流表操作。

预期结果：

1.在步骤4中，无法建立NetconfoverSSH连接；

2.在步骤5中，能建立NetconfoverSSH连接，镜像抓包查看建立连接报文被加密；

3.在步骤6中，建立NetconfoverSSH连接后能正确下发流表操作。

判定原则：

应符合预期结果要求，否则为不合格

6路由/控制平面安全测试

核心路由器路由/控制平面安全测试主要包括路由协议的安全测试、控制面常见攻击防御、TCP/IP

协议安全测试、MPLSVPN安全测试、路由过滤功能测试和攻击溯源功能测试。

6.1路由协议安全测试

6.1.1OSPFv2路由协议安全测试

测试编号：33

测试项目：相邻路由器之间链路的明文验证

测试目的：检验DUT实现OSPF邻居间链路的明文验证功能

测试配置：测试环境3

测试过程：

1．按测试环境连接设备；

2．在DUT1和DUT2上启用O