YDT 4534-2023软件定义广域网络（SD-WAN）测试方法

ICS01.040.35YD

CCSL78

中华人民共和国通信行业标准

YD/TXXXXX—XXXX

软件定义广域网络（SD-WAN）测试方法

AssessmentMethodofSoftwire-DefinedWideAreaNetwork（SD-WAN）

（报批稿）

XXXX-XX-XX发布XXXX-XX-XX实施

中华人民共和国工业和信息化部发布

YD/TXXXXX—XXXX

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

内容起草。

本标准是软件定义广域网络SD-WAN技术系列标准之一，该系列标准的结构和名称如下：

——《2019-1277T-YD_软件定义广域网（SD-WAN）总体技术要求》

——《2020-0171T-YD_软件定义广域网络（SD-WAN）关键技术指标体系》

——《2020-0172T-YD_软件定义广域网络（SD-WAN）测试方法》

——《2020-0175T-YD_软件定义广域网络（SD-WAN）增值业务技术要求敏捷运维》

——《2020-0173T-YD_软件定义广域网络（SD-WAN）增值业务技术要求安全服务》

——《2020-0174T-YD_软件定义广域网络（SD-WAN）增值业务技术要求广域网加速》

——《2020-0572T-YD_软件定义广域网络（SD-WAN）控制器北向接口技术要求》

——《2020-0573T-YD_软件定义广域网络（SD-WAN）控制器南向接口数据模型规范》

本文件由中国通信标准化协会提出并归口。

本文件起草单位：中国信息通信研究院深圳信息通信研究院中国电信股份有限公司奇安信科技

集团股份有限公司中国移动通信集团有限公司华为技术有限公司芯航科技有限公司安徽电信规划

设计有限责任公司

本文件主要起草人：穆琙博柴瑶琳毕立波宋平党小东韩淑君徐洪磊王巍史凡樊俊诚刘

菁王茜程伟强杨锋韩瑞波王瑞雪杨洋黄炜李志文王跃、张宏亮王超冯志芳刘飞

III

YD/TXXXXX—XXXX

软件定义广域网络（SD-WAN）测试方法

1范围

本文件规定了软件定义广域网络（SD-WAN）的关键技术测试方法，包括SD-WAN服务的关键技术

测试方法SD-WAN整体解决方案的关键技术测试方法SD-WAN边缘设备的关键技术测试方法、SD-

WAN网关设备的关键技术测试方法、SD-WAN控制器的关键技术测试方法、SD-WAN编排器的关键技

术测试方法。

本文件适用于SD-WAN服务提供商、SD-WAN解决方案提供商、SD-WAN基础设施生产企业等。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

YD/T1466-2006IP安全协议（IPSec）技术要求

IETFRFC7426软件定义网络：层次和体系架构术语（Software-DefinedNetworking(SDN):

LayersandArchitectureTerminology）

MEF70SD-WAN服务属性和服务定义（SD-WANServiceAttritubesandServices）

3术语定义和缩略语

3.1术语和定义

下列术语和定义适用于本文件。

3.1.1

软件定义广域网softwaredefinedwideareanetwork

通过软件编程实现对网络设备的管理，实现广域网组网。

3.1.2

软件定义广域网服务softwaredefinedwideareanetworkservice

是软件定义网络（SDN）技术应用到广域网（WAN）场景中的一种通信服务，提供SD-WAN服务

的服务商在通过自己的网络或其他网络运营商提供的Underlay连接服务（包括以太网服务、IP服务、L1

连接服务、互联网接入服务等）基础上集成SD-WAN整体解决方案能力为用户提供可直接使用的基础通

信服务和增值服务。

3.1.3

软件定义广域网解决方案softwaredefinedwideareanetworksolutions

1

是指包括SD-WAN编排器、SD-WAN控制器、SD-WAN设备一套可整体部署的网络解决方案，不包

括网络资源。

3.1.4

客户端设备customerpremisesequipment

是IPoverlay隧道的端点，SD-WANEdge的设备形态可以是物理硬件CPE或者NFV化的软件形态CPE。

3.1.5

零接触部署zerotouchprovisioning

无需用户干预或服务提供商现场操作，可自行完成用户端设备（(EDGE)）的上线、配置、维护。

3.2缩略语

下列缩略语适用于本文件：

AAA高级应用程序体系结构AdvancedApplicationArchitecture

ACL访问控制列表AccessControlLists

APP应用程序Application

AV应用程序漏洞ApplicationVulnerability

BGP边界网关协议BorderGatewayProtocol

DDOS分布式拒绝服务攻击Distributeddenialofserviceattack

DynamicHostConfiguration

DHCP动态主机配置协议

Protocol

DTLS数据包传输层安全性协议DatagramTransportLayerSecurity

EBGP外部边界网关协议ExternalBorderGatewayProtocol

Email电子邮件ElectronicMail

FTP文件传输协议FileTransferProtocol

full-mesh全网状full-mesh

GRE通用路由封裝GenericRoutingEncapsulation

HTTP超文本传输协议HyperTextTransferProtocol

HyperTextTransferProtocolover

HTTPs超文本传输安全协议

SecureSocketLayer

hub-spoke星形拓扑hub-spoke

IBGP内部边界网关协议InternalBorderGatewayProtocol

2

YD/TXXXXX—XXXX

InternetControlMessageProtocol

ICMPFlood控制报文协议洪水攻击

Flood

IDS入侵检测系统IntrusionDetectionSystems

IM即时信息InstantMessaging

Internet互联网Internet

IP网际互联协议InternetProtocol

IPS网际网络安全协议InternetProtocolSecurity

IPSec互联网安全协议InternetProtocolSecurity

IPv4网际协议第4版InternetProtocolVersion4

IPv6网际协议第6版InternetProtocolVersion6

KVM内核虚拟机KernelVirtualMachine

KVM内核内建的虚拟机Kernel-basedVirtualMachine

L2TP第二层隧道协议Layer2TunnelingProtocol

L2VPN2层虚拟专用网络Layer2VirtualPrivateNetwork

L3VPN3层虚拟专用网络Layer3VirtualPrivateNetwork

MAC媒体介入控制层MediaAccessControl

MPLS多协议标签交换Multi-ProtocolLabelSwitching

NAT网络地址转换NetworkAddressTranslation

TheNetworkConfiguration

NETCONF配置管理协议

Protocol

NGFW下一代防火墙Next-GenerationFirewall

OA办公自动化OfficeAutomatio

OSPF开放式最短路径优先OpenShortestPathFirs

Overlay用户层Overlay

3

P2P对等计算机网络Peer-to-peernetworking

Payload有效负载Payload

PEC向前纠错编码技术Forwarderrorcorrection

PingofDeath拒绝服务攻击PingofDeath

POC包令校正ProofofConcept

POP3邮件协议版本3PostOfficeProtocol-Version3

QoS服务质量QualityofService

RestfulAPI表现层状态转化RepresentationalStateTransfer

RTSP实时流传输协议RealTimeStreamingProtocol

SIP会话初始化协议SessionInitiationProtocol

SLA服务级别协议ServiceLevelAgreement

SM2/SM4/SM9国密算法SM2/SM4/SM9

SMB服务器信息块ServerMessageBlock

SMTP简单邮件传输协议SimpleMailTransferProtocol

SimpleNetworkManagement

SNMP简单网络管理协议

Protocol

SSL安全套接层SecureSocketsLayer

SynchronizeSequenceNumbers

SYNFlood同步序列编号洪水攻击

Flood

TCP传输控制协议TransmissionControlProtocol

Telnet远程终端协议TelecommunicationsNetwork

TLS传输层安全性协议TransportLayerSecurity

UDP用户数据报协议UserDatagramProtocol

Underlay基础架构层Underlay

URL统一资源定位系统uniformresourcelocator

UTW最终测试网站UltimateTestWebsite

4

YD/TXXXXX—XXXX

VLAN虚拟局域网VLAN

虚拟化网络功能

VNFVirtualNetworkFunction

VOIP基于IP的语音传输VoiceOverInternetProtocol

VPN虚拟专用网络VirtualPrivateNetwork

VirtualExtensibleLocalArea

Vxlan虚拟扩展局域网

Network

WAN广域网WideAreaNetwork

ExtensibleMessagingandPresence

XMPP可扩展消息与存在协议

Protocol

YANG数据建模语言YetAnotherNextGeneration

4测试环境配置

4.1测试环境组网配置

SD-WAN测试方法体系包括SD-WAN服务测试方法、SD-WAN解决方案测试方法、SD-WAN设备方

法。SD-WAN测试环境如图1所示。该环境由SD-WAN编排器、SD-WAN控制器、SD-WAN网关设备、

SD-WAN边缘设备组成、广域网传输线路组成。SD-WAN解决方案测试环境图如图2所示。SD-WAN边

缘设备测试环境图如图3所示。SD-WAN网关测试图如图4所示。

边缘边缘

测试仪SD-WAN服务提供商测试仪

设备设备

试仪

图1SD-WAN服务测试环境图

5

图2SD-WAN解决方案测试环境图

图3SD-WAN边缘设备测试环境图

图4SD-WAN网关测试环境图

6

YD/TXXXXX—XXXX

4.2测试工具要求

本测试方法涉及的测试工具包括：

——测试流量仪表，主要用于仿真终端设备，首发模拟广域网传输流量；

——损伤仿真仪表，主要用于仿真链路损伤，可以设置丢包率、时延、时延抖动等参数；

——安全测试仪表，主要用于模拟攻击DDos、SYNFlood、ICMPFlood等攻击。

4.3测试流量模型

本测试方法设计的测试流量模型包括：

——测试流量模型1

测试仪模拟的2-3层I流量，用来作为测试流量，包括TCP协议、UDP协议、BFD协议等流量。

——测试流量模型2

测试仪模拟4-7层应用流量，包括视频业务、语音业务、文本业务等应用流量。

5服务能力

5.1基本服务能力测试

5.1.1服务快速开通能力

测试目的

测试支持在Underlay资源充分满足条件下可分钟级别开通对应的服务。

(开通服务详细定义:服务,LAN到LAN服务,LAN到Internet等)

测试步骤

测试步骤如下：

——按照图1测试环境配置要求开展测试；

——在Underlay资源充分满足条件下用户在SD-WAN边缘设备1订购对应的基础网络通信服务；

——从控制器验证查看SD-WAN边缘设备1网络通信服务是否开通成功；

——测试服务快速开通应对用户订购服务到服务生效所用的时间进行评估。

5.1.2服务业务弹性测试

测试目的

测试基础网络连接拓扑选择能力和增值服务订购能力。

测试步骤

测试步骤如下：

——按照图1测试环境配置要求开展测试；

——在服务产品界面上支持选择网络连接拓扑模型Hub-Spoke/Full-mesh等；

——在服务产品界面上支持增加分支机构的带宽；

——在流量仪表上查看该分支机构增加带宽服务前后网络传输速度；

7

——在服务产品界面上开通分支机构的广域网加速功能等；

——在服务产品界面上查看服务状态，验证广域网加速用于业务传输的优化能力。

5.1.3服务可管理性测试

测试目的

测试通过图形界面来监测服务资源、划分用户权限、创建服务、删除服务、暂停服务、停止服

务等操作。

测试步骤

测试步骤如下：

——按照图1测试环境配置要求开展测试；

——通过服务产品界面可设置用户等级权限为普通用户；

——登录服务产品可视化界面可查看整个网络性能和各个分支站点网络性能的监测；

——在服务产品界面上新增分支机构对应的网络服务等；

——开通服务后，分支机构成功访问其它分支结构和Internet；

——在服务产品可视化界面上暂停分支站点的网络带宽服务，观测该站点的网络服务停止；

——在服务产品界面上变更网络服务带宽参数等，检测到网络带宽发生变化；

——在服务产品界面上注销分支机构得网络服务，分支机构无法访问其他分支机构和Internet。

5.2可靠性（高可用性）测试

5.2.1控制器可靠性

测试目的

测试目的如下：

——测试控制器支持主备模式或集群模式；

——测试控制器故障转移时间、网络重新配置时间。

测试步骤

测试步骤如下：

——按照图1测试环境配置要求开展测试；

——配置控制器冗余备份功能，使主控制器停止工作，观测并记录端侧的流量仪表流量平均转发速

率和丢包情况，计算故障转移时间；

——在备用控制器下给边缘设备下发配置，测试配置生效。

5.2.2网关设备可靠性

测试目的

测试目的如下：

——测试网关设备支持主备模式或集群模式；

——测试网关设备故障转移时间。

测试步骤

测试步骤如下：

——按照图1测试环境配置要求开展测试；

——配置网关设备冗余备份功能，下电主网关设备；

——观测并记录端侧的流量仪表流量平均转发速率和丢包情况，计算故障转移时间。

8

YD/TXXXXX—XXXX

5.2.3关键传输链路可靠性

测试目的

测试关键传输链路断开后，端到端通信不受影响。

测试步骤

测试步骤如下：

——按照图1测试环境配置要求开展测试；

——两个端侧的流量仪表采用流量模型1相互发送流量；

——在服务提供商网络拓扑中断开其中一条关键传输链路；

——可观测到端侧的流量仪表流量平均转发速率和丢包情况。

5.3安全监测与防护测试

5.3.1通信安全性测试

测试目的

测试目的如下：

——测试支持按照不同安全级别来划分网络安全域；

——CPE与CTL之间的控制层面通信安全要求：CPE与CTL通信前的身份鉴别；

——CPE与CPE之间的传输层面通信安全要求：CPE加入网络前的身份鉴别、CPE间相互通信前

的身份鉴别、CPE的基本防火墙能力和抗DDoS能力。

测试步骤

测试步骤如下：

——按照图1测试环境配置要求开展测试；

——测试从低级别访问高级别网络区域，如从Internet访问内部业务系统；

——边缘设备和控制器中间的通信进行身份鉴别；

——端侧对内部网络进行DDoS攻击，查看攻击情况。

5.3.2数据安全性测试

测试目的

测试目的如下：

——测试支持关键数据实时多副本备份机制；

——测试数据加密算法支持国密算法SM2/SM4/SM9或业界公认算法AES256。

测试步骤

测试步骤如下：

——按照图1测试环境配置要求开展测试；

——删除服务提供商的用户账户数据信息；

9

——可在备份数据区域恢复出相关用户账户数据信息；

——通过服务产品可视化界面配置数据加密算法为国密算法；

——通过端侧PC机向互联网发起HTTP报文请求；

——在服务网络的网关设备抓包查看流量报文Payload字段加密功能；

——数据安全性测试应对数据的加密功能进行验证。

5.3.3用户安全性测试

测试目的

测试目的如下：

——测试支持多重用户身份认证机制和用户权限集中管控；

——测试对用户Telnet行为管理和痕迹可追溯。

测试步骤

测试步骤如下：

——按照图1测试环境配置要求开展测试；

——内部用户在服务可视化产品界面上登陆账户，通过验证身份后可访问内部系统；

——外部用户在服务可视化产品界面上登陆账户，通过验证身份后不可访问内部系统可访问互联

网；

——在服务产品的权限管理功能可视化界面可以对不同内外部等不同级别用户划分用户组和权限

管理，对应用户组也可设置和绑定安全策略；

——登陆管理员账户查看所有用户日志和Telnet行为。

5.4服务质量保障测试

5.4.1测试目的

测试网关节点骨干网络的端到端可用率。

5.4.2测试步骤

测试步骤如下：

——按照图1测试环境配置要求开展测试；

——在端侧流量仪表按照流量模型2配置流量并发送到对端的流量仪表，查看相关应用流量的传

输速度，时延，丢包，抖动等数据；

——在服务网络的网关设备抓包分析实际数据和传输报文的字节比例。

5.5故障快速响应测试

5.5.1测试目的

测试控制器不同故障级别的故障处理时间。

5.5.2测试步骤

测试步骤如下：

——按照图1测试环境配置要求开展测试；

——配置控制器冗余备份功能，使主控制器停止工作，观测服务化产品其可报告重大告警；

——观测备用控制器的日志，记录其上线时间；

10

YD/TXXXXX—XXXX

——同时选择部署1个新的网关设备上线，观测其注册到控制器的时间，计算故障恢复时间，应满

足在1.5小时内恢复；

——利用安全测试仪表模拟攻击者向控制器发起DDoS攻击，观测其报告严重告警；

——服务提供商可在24小时内定位攻击者位置和处理攻击者的攻击；

——当控制器存在双主集群时，两个主控制器均具备管理和配置实际业务数据的权限；

——用户去选择部署1个新的网关设备上线申请向控制器注册，观测控制器无法回应其注册响

应，报告给用户关键告警，服务提供商可在6小时内恢复控制器正常工作；

——部署控制器的物理设备的断开其网口连接线，观测其报告一般告警，服务提供商可在72小时

内恢复网卡连接线。

5.6服务计量准确性测试

5.6.1测试目的

测试带宽服务规格和使用时长。

5.6.2测试步骤

测试步骤如下：

——按照图1测试环境配置要求开展测试；

——在服务产品可视化界面订购带宽服务；

——在端侧使用测试流量按照流量模型1配置订购最大规格的流量，观测并记录对端测测试流量

仪表收包速率数值；

——测试订购的服务规格和使用时长是否符合实际情况；

——查看近6个月的原始计费日志，相关计费应与公布的有效计费模式一致。

6解决方案能力

6.1基本方案功能测试

6.1.1自动化部署

测试目的

测试目的如下：

——测试部署完成后，边缘设备LAN侧的用户端到另一端测的边缘设备LAN侧用户端可互相访问；

——测试部署完成后，边缘设备LAN侧的用户端可访问Internet。

测试步骤

测试步骤如下：

——按照图2测试环境配置要求开展测试；

——边缘设备1通过DHCP方式完成到控制器进行注册与安全认证；

——边缘设备2通过邮件方式完成到控制器进行注册与安全认证；

——控制器下发设备配置和组网路由到相关设备以及边缘设备1、边缘设备2；

——端侧使用测试流量仪表有线接入边缘设备1的LAN侧；

11

——对端侧的测试流量仪表有线接入边缘设备2的LAN侧；

——测试流量仪表按照流量模型1互相发送流量，观测接收方流量仪表的流量接收速率符合发送

方的流量发送速率且无丢包；

——PC1接入边缘设备1的LAN侧后，可Ping通。

6.1.2负载均衡测试

测试目的

测试目的如下：

——测试根据目的IP地址、源IP地址、时间等要素的链路负载均衡；

——测试基于应用类型的流量负载均衡。

测试步骤

测试步骤如下：

——按照图2测试环境配置要求开展测试；

——在控制器上配置基于源IP负载均衡策略，配置源IP轮询分配至不同链路并下发至边缘设备1；

——在端侧测试仪表按照流量模型1配置流量，流量经边缘设备1发送到边缘设备2；

——在控制器上配置基于应用的负载均衡策略，配置不同应用分配至不同链路并下发至边缘设备1；

——在端侧测试仪表按照流量模型2配置流量，记录边缘设备1的各类应用流量转发情况；

——在控制器上配置基于时间的负载均衡策略，配置不同时间段流量分配至不同链路的策略，并下

发至边缘设备1；

——发送流量并查看结果，记录边缘设备1不同时间端的链路流量负载情况。

6.1.3链路质量监测测试

测试目的

测试方案支持实时监测网络的多链路传输质量，包括传输带宽、时延、丢包率。

测试步骤

测试步骤如下：

——按照图2测试环境配置要求开展测试；

——在方案产品可视化界面上可观察网络链路的转发时延、丢包率和传输带宽；

——配置流量损伤仪表在网络链路加入损伤：传输延迟为100ms、丢包率为2%；

——在方案产品可视化界面上可以观察到该链路路转发时延、丢包率和传输带宽；

——对比加入流量损伤后的链路传输质量的变化与损伤仪配置参数一致。

6.1.4按需组网测试

测试目的

测试步目的如下：

——测试方案的边缘设备支持按照full-mesh、hub-spokeOverlay类型拓扑组网；

——测试在控制器下发组网变更配置到边缘设备，Overlay类拓扑可由full-mesh变更为hub-spoke；

——测试在控制器下发组网变更配置到边缘设备，Overlay类拓扑可由hub-spoke变更为full-mesh。

测试步骤

12

YD/TXXXXX—XXXX

测试步骤如下：

——按照图2测试环境配置要求开展测试；

——在控制器上配置Overlay组网拓扑为full-mesh方式；

——测试流量仪表按照流量模型1配置流量，流量由边缘设备1到边缘设备2互发送；

——在控制器上配置Overlay组网拓扑由full-mesh方式变更为hub-spoke方式，边缘设备3为hub

节点，边缘设备1、边缘设备2为spoke节点；

——测试流量仪表按照流量模型1配置流量，经边缘设备1、网关设备互发送流量；

——观测到端侧流量转发数值比例符合测试Overlay拓扑变更前后类型。

6.1.5流量调度

测试目的

测试目的如下：

——测试将不同类型（地址、端口、协议）的应用，在不同的WAN口隧道上进行调度；

——测试根据设置时延、抖动、丢包率设置相应的切换阀值进行流量调度。

测试步骤

测试步骤如下：

——按照图2测试环境配置要求开展测试；

——端侧流量仪表按照流量模型2发送流量经边缘设备1发送到边缘设备2端侧；

——测试SD-WAN边缘设备1识别不同应用业务相关数据，在可视化界面上可观测到不同应用流

量的转发速率；

——在边缘设备配置UDP端口应用流量绑定Internrt链路进行转发；

——端侧流量仪表再增加一组UDP流量经边缘设备1发送到边缘设备2端侧；

——在可视化界面观测边缘设备UDP端口流量转发速率情况；

——在控制器上配置时延、抖动、丢包率的阈值来调度应用流量；

——观测应用流量转发情况与应用转发阈值设置情况一致。

6.1.6路由交换测试

测试目的

测试目的如下：

——测试网关设备支持OSPF协议转发；

——测试网关设备支持BGP协议转发；

——测试边缘设备支持BGP协议转发。

测试步骤

测试步骤如下：

——按照图2测试环境配置要求开展测试；

——在网关设备1和边缘设备2上配置OSPF协议，网关设备1与边缘设备2可建立正常的OSPF

连接；

——在网关设备1与边缘设备3之间运行IBGP协议，测试两台设备之间建立正常的BGP连接；

13

——在网关设备1与边缘设备2之间运行EBGP协议，测试两台设备之间建立正常的BGP连接；

——测试网关设备1、网关设备2、边缘设备2、边缘设备3之间分别建立正常的路由邻居，以及

可对应更新设备的BGP路由表信息。

6.1.7QoS功能测试

测试目的

测试目的如下：

——支持持优先级队列、低时延队列等队列调度；

——支持设置不同队列的最大转发带宽限制。

测试步骤

测试步骤如下：

——按照图2测试环境配置要求开展测试；

——在端侧流量仪表上，按照流量模型1配置对应流量，从边缘设备1发送流量到边缘设备3查看

对应流量数据转发情况；

——边缘设备1配置目标端口80的数据流Qos配置带宽占比为30%，测试仪发送流量，控制器查

看流量转发情况；

——边缘设备1配置Vlan100的数据流量Qos分配带宽占比为30%；测试仪发送流量，控制器查

看流量转发情况；

——边缘设备1配置SD-WAN设备1的数据流量Qos分配带宽占比为40%，测试仪发送流量，控

制器查看转发情况；

——在边缘设备1上为端口配置流量整形，限制速率为M，M<端口的速率，测试仪发送流量经边

缘设备1，控制器查看转发情况。

6.2管理运维功能测试

6.2.1测试目的

测试目的如下：

——测试通过可视化界面来实时监控网络资源、统一管理网络设备日志；

——测试通过控制器可升级网关设备和边缘设备版本。

6.2.2测试步骤

测试步骤如下：

——按照图2测试环境配置要求开展测试；

——登录方案产品可视化界面，查看整个网络性能的监测和日志信息，集中管理网络拓扑、设置用

户权限；

——断开Internet链路查看链路断开的网络告警和通知；

——下电边缘设备3查看设备下电的网络告警和通知；

——登录控制器，配置本地升级策略并下发至边缘设备1；

——对网关设备1进行跨大版本的升级，观测业务流量转发情况；

——对边缘设备1进行跨大版本的平滑升级，观测业务流量转发情况。

6.3安全防护测试

6.3.1测试目的

14

YD/TXXXXX—XXXX

测试目的如下：

——支持设置防火墙安全策略；

——支持设置多重认证访问机制。

6.3.2测试步骤

测试步骤如下：

——按照图2测试环境配置要求开展测试；

——在控制器上配置统一的黑白名单防护策略并下发至边缘设备1；

——测试流量仪表模拟预定黑名单的访问，查看边缘设备的访问情况；

——测试流量仪表模拟预定白名单的访问，查看边缘设备的访问情况；

——在控制器上配置基于源IP地址的ACL条目，拒绝源IP地址非特定地址的数据包并下发策略

至边缘设备1；

——测试流量仪表按照流量模型1发送设定源IP地址的数据包经边缘设备1到边缘设备3，查看

流量转发情况；

——在控制器上配置基于源MAC地址的ACL条目，拒绝源MAC地址非特定地址的数据包并下

发策略至边缘设备1，发送流量并查看结果；

——在控制器上配置基于源端口的ACL条目，拒绝源端口非特定端口的数据包并下发策略至边缘

设备1，发送流量并查看结果。

6.4可靠性测试

6.4.1测试目的

测试目的如下：

——控制器支持管理和设备配置数据冗余备份等；

——传输链路主备模式备份传输。

6.4.2测试步骤

测试步骤如下：

——按照图2测试环境配置要求开展测试；

——SD-WAN控制器配置冗余备份策略；

——测试仪发送数据流，使主控制器停止工作；

——查看备用控制器变更为主控制器工作；

——查看相关控制器配置和设备配置均有完整备份；

——通过控制器配置网关设备的两个传输链路为主备转发模式；

——在端侧流量仪表按照流量模型1配置流量，发送流量经边缘设备1到边缘设备3；

——断开主链路流量转发，在可视化界面观测到业务流量转发不受影响。

7设备能力

7.1边缘设备能力测试

7.1.1基本功能测试

15

自动化部署测试

.1测试目的

测试目的如下：

——测试控制器将网络配置下发至边缘设备；

——测试边缘设备通过DHCP、U盘、邮件、短信进行自动化部署；

——测试边缘设备远程部署、版本检测与升级。

.2测试步骤

测试步骤如下：

——按照图3测试环境配置要求开展测试；

——边缘设备1和边缘设备2通过最小配置上电；

——控制器配置DHCP服务，边缘设备通过DHCP地址池分发的IP接入控制器，完成自动化部署；

——操作人员将配置存入U盘，通过U盘实现对边缘设备的自动化部署；

——登录可视化界面，通过点击邮件链接实现对边缘设备的自动化部署；

——登录移动端设备，通过短信方式实现对边缘设备的自动化部署；

——登陆可视化界面检测边缘设备1和边缘设备2版本型号，并进行升级；

——测试流量仪表按照流量模型1配置流量，经边缘设备1、边缘设备2，验证流量转发情况；

——测试对边缘设备进行跨地域远程部署。

动态选路测试

.1测试目的

测试目的如下：

——测试流量根据链路SLA、应用带宽、优先级、权重动态选择链路；

——测试根据动态路由协议支撑Overlay组网策略和规则。

.2测试步骤

测试步骤如下：

——按照图3测试环境配置要求开展测试；

——登录可视化界面配置基于优先级的链路选择策略，Internet链路优先于MPLS链路；

——测试流量仪表按照流量模型2配置流量，经边缘设备1、边缘设备2，查看两条链路传输情况；

——登录可视化界面配置基于链路SLA的链路选择策略，发送流量并查看结果查看流量转发情况；

——登录可视化界面配置基于应用带宽的策略选择策略，配置视频应用带宽大于MPLS链路的带

宽，小于Internet链路的带宽，语音应用带宽小于两条链路的带宽，发送流量并查看结果查看流量

转发情况；

——登录可视化界面配置基于权重的链路选择策略，配置MPLS链路权重大于Internet链路，发送

流量并查看结果查看流量转发情况；

——控制器配置Internet链路切换阈值为（单向延迟=100ms，数据包丢失率=2%）；

——在Internet链路加入损伤（单向延迟=100ms，数据包丢失率=2%），发送流量并查看结果查看

流量是否发生链路切换；

应用识别测试

.1测试目的

测试基于端口协议、负载协议、特征库识别、首包识别、深度包检测等应用识别机制。

16

YD/TXXXXX—XXXX

.2测试步骤

测试步骤如下：

——按照图1测试环境配置要求开展测试；

——登录可视化界面配置端口POP3-110、SMTP-25、NetBIOS-138、HTTP-443流量；

——测试流量仪表配置流量模型2，经边缘设备1、边缘设备2，控制器查看验证识别情况；

——登录可视化界面配置视频应用、mail应用流量首包识别特征，发送流量并查看结果；

——登录可视化界面配置办公OA流量到特征库识别；

——登录可视化界面配置深度包（DPI）检测识别机制，发送流量并查看结果；

——登录可视化界面配置负载协议（ECMP协议）应用识别机制，发送流量并查看结果。

WAN优化测试

.1测试目的

测试边缘设备改善丢包严重的链路传输数据包的效率，包括自适应前向纠错（FEC）以及包令校正

（POC）等技术、应用压缩和重复数据消除。

.2测试步骤

测试步骤如下：

——按照图1测试环境配置要求开展测试，在可视化界面上配置Overlay组网拓扑为FullMesh；

——测试流量仪表配置流量模型2，经边缘设备1、边缘设备2，控制器配置选路策略为Internet链

路，查看流量传输质量；

——在Internet链路加入（单向延迟100ms，丢包率2%）的损伤，发送流量并查看结果；

——边缘设备开启前向纠错（FEC）以及包令校正（POC）WAN优化功能发送流量并查看结果；

——SD-WAN边缘设备1开启应用压缩WAN优化技术，测试仪配置仿真文件传输经SD-WAN边

缘设备1-SD-WAN边缘设备2，控制器查看流量传输大小与边缘设备1发送数据大小进行比对；

——边缘设备开启重复数据消除WAN优化技术，测试仪配置仿真文件传输经SD-WAN边缘设备

1-SD-WAN边缘设备2，控制器查看数据传输大小进行验证是否只传输发生变化的信息。

NAT穿越

.1测试目的

测试边缘设备支持NAT-T，NAT-D负载、STUN技术，边缘设备支持与控制面、管理面进行NAT穿越互

通。

.2测试步骤

测试步骤如下：

——按照图3测试坏境配置要求开展测试，在可视化界面上配置Overlay组网拓扑为FullMesh；

——在控制器配置边缘设备1和边缘设备3Internet链路的NAT穿越功能；

——边缘设备1和边缘设备3简历隧道，隧道是否能够通信。

7.1.2安全性测试

17

URL过滤

.1测试目的

测试边缘设备自定义设置URL黑名单和白名单，网页过滤，提供HTTP和HTTPsURL过滤，恶

意URL防护。

.2测试步骤

测试步骤如下：

——按照图3测试环境配置要求开展测试；

——PC访问网:站1:/和网站2：/，查看访问情况；

——登陆控制器配置将/加入URL黑名单，发送流量；

——清除URL配置将/加入URL黑名单，发送流量并查看结果；

——清除URL配置将/加入URL黑名单，发送流量并查看结果；

——清除URL配置将/加入URL白名单，发送流量并查看结果；

——PC访问未受信任的网站，控制器查看访问情况。

防火墙策略测试

.1测试目的

测试边缘设备设置基于IPv4源/目的地址、IPv6源/目的地址、目的端口、源端口、MAC地址访问

控制策略以及静态NAT地址策略。

.2测试步骤

测试步骤如下：

——按照图3测试环境配置要求开展测试；

——测试流量仪表配置流量模型2经SD-WAN设备1、SD-WAN设备2，查看流量转发情况；

——登录可视化界面配置防火墙策略，基于源IP地址为SD-WAN设备1的流量进行阻断，发送流

量并查看结果；

——登录可视化界面配置边缘设备2IP地址为IPV6形式；

——登录可视化界面配置防火墙策略，基于目的IP地址IPv6形式的流量进行阻断，发送流量并查

看结果；

——登录可视化界面配置目的端口为80的流量进行阻断，发送流量并查看结果；

——PC发起HTTP下载流量,查看下载情况；

——登录可视化界面配置防火墙策略基于源MAC地址为PC的流量禁止通过，发送流量并查看结

果；

——登录可视化界面配置PC源地址NAT转换功能，发送流量并查看结果。

隧道加密测试

.1测试目的

测试边缘设备通过IPsec或TLS/DTLS等加密技术来保护传输中的数据、测试相关国密算法

SM2/SM4或业界公认算法AES256构建数据传输隧道。

.2测试步骤

测试步骤如下：

——按照图3测试环境配置要求开展测试；

——登录可视化界面对边缘设备下发加密配置；

18

YD/TXXXXX—XXXX

——测试流量仪表配置流量模型1，经边缘设备1、边缘设备2；

——抓包查看流量报文Payload字段，查看加密情况并支持IPsec和相关国密算法（SM1\SM2\

SM3\

SM4等）或业界公认算法