YDT 1439-2023路由器設(shè)備安全測試方法 核心路由器（基于IPv4）

ICS33.040

CCSM33

YD

中華人民共和國通信行業(yè)標(biāo)準(zhǔn)

YD/T1439—XXXX

代替YD/T1439-2006

路由器設(shè)備安全測試方法核心路由器（基

于IPv4）

Routersecuritytestmethods—Corerouter（IPv4）

（報批稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

中華人民共和國工業(yè)和信息化部發(fā)布

XX/T1439—XXXX

前言

本標(biāo)準(zhǔn)是《支持IPv4的路由器》系列標(biāo)準(zhǔn)之一，該系列標(biāo)準(zhǔn)的結(jié)構(gòu)和名稱如下：

——YD/T1096《路由器設(shè)備技術(shù)要求邊緣路由器》

——YD/T1098《路由器設(shè)備測試方法邊緣路由器》

——YD/T1097《路由器設(shè)備技術(shù)要求核心路由器》

——YD/T1156《路由器設(shè)備測試方法核心路由器》

——YD/T1358《路由器設(shè)備安全技術(shù)要求——中低端路由器(基于IPv4)》

——YD/T1440《路由器設(shè)備安全測試方法——中低端路由器（基于IPv4）》

——YD/T1359《路由器設(shè)備安全技術(shù)要求——核心路由器(基于IPv4)》

——YD/T1439《路由器設(shè)備安全測試方法——核心路由器（基于IPv4）》

本標(biāo)準(zhǔn)與YD/T1359《路由器設(shè)備安全技術(shù)要求——核心路由器（基于IPv4）》配套使用。

與本系列標(biāo)準(zhǔn)相關(guān)的標(biāo)準(zhǔn)還有《支持IPv6的路由器》系列標(biāo)準(zhǔn)，該系列標(biāo)準(zhǔn)的結(jié)構(gòu)和名稱如下：

——YD/T1452《IPv6網(wǎng)絡(luò)設(shè)備技術(shù)要求邊緣路由器》

——YD/T1453《IPv6網(wǎng)絡(luò)設(shè)備測試方法邊緣路由器》

——YD/T1454《IPv6網(wǎng)絡(luò)設(shè)備技術(shù)要求核心路由器》

——YD/T1455《IPv6網(wǎng)絡(luò)設(shè)備測試方法核心路由器》

本標(biāo)準(zhǔn)編制依據(jù)GB/T1.1-2020給出的規(guī)則起草。

本標(biāo)準(zhǔn)代替YD/T1439-2006《路由器設(shè)備安全測試方法——核心路由器（基于IPv4）》，本標(biāo)準(zhǔn)

與YD/T1439-2006相比主要技術(shù)變化如下：

——修改了標(biāo)準(zhǔn)名稱，按照目前的描述規(guī)則改稱核心路由器；

——根據(jù)以下主要技術(shù)變化修改縮略語、測試環(huán)境內(nèi)容；

——數(shù)據(jù)轉(zhuǎn)發(fā)平面安全測試中增加分片報文攻擊防御、基于MPLS的ACL測試、遠(yuǎn)程檢測和流量清

洗和SDN測試方法；

——路由/控制平面安全測試中增加路由安全、控制面常見攻擊防御、網(wǎng)絡(luò)協(xié)議服務(wù)開關(guān)和攻擊溯

源功能測試方法；

——管理平面安全測試中增加FTP安全性測試方法；

——其他編輯性修改。

隨著技術(shù)的發(fā)展，還將制定后續(xù)的相關(guān)標(biāo)準(zhǔn)。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任。

本標(biāo)準(zhǔn)由中國通信標(biāo)準(zhǔn)化協(xié)會提出并歸口。

本標(biāo)準(zhǔn)主要起草單位：中國信息通信研究院、華為技術(shù)有限公司、深圳信息通信研究院。

本標(biāo)準(zhǔn)主要起草人：田輝、楊華儒、賀麗娟、葛裴。

本標(biāo)準(zhǔn)于2006年05月首次發(fā)布，本次為第一次修訂。

II

XX/T1439—XXXX

路由器設(shè)備安全測試方法核心路由器（基于IPv4）

1范圍

本文件規(guī)定了核心路由器涉及網(wǎng)絡(luò)與信息安全方面的測試內(nèi)容，包括數(shù)據(jù)轉(zhuǎn)發(fā)平面安全測試、路由

/控制平面安全測試和管理平面安全測試。

本文件適用于基于IPv4的核心路由器設(shè)備。

2規(guī)范性引用文件

下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的

修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究

是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。

YD/T1359-2005路由器設(shè)備安全技術(shù)要求——核心路由器（基于IPv4）

YD/T1467-2006IP安全協(xié)議（IPSec）測試方法

IETFRFC3412簡單網(wǎng)管協(xié)議(SNMP)的消息處理和發(fā)送

IETFRFC3413簡單網(wǎng)管協(xié)議(SNMP)應(yīng)用

IETFRFC3414簡單網(wǎng)管協(xié)議版本3(SNMPv3)中基于用戶的安全模型(USM)

IETFRFC4251安全外殼協(xié)議(SSH)協(xié)議框架

IETFRFC4253安全外殼協(xié)議(SSH)傳輸層協(xié)議

IETFRFC4252安全外殼協(xié)議(SSH)認(rèn)證協(xié)議

IETFRFC4254安全外殼協(xié)議(SSH)連接協(xié)議

3術(shù)語、定義和縮略語

3.1術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1.1

全局ACLGlobalACL

一種ACL配置方式，在設(shè)備全局模式下進(jìn)行ACL配置，且該ACL條目在設(shè)備所有接口上生效。

3.2縮略語

下列縮略語適用于本文件。

ACL訪問控制列表AccessControlList

BGP邊界網(wǎng)關(guān)協(xié)議BorderGatewayProtocol

1

XX/T1439—XXXX

BMPBGP監(jiān)控協(xié)議BGPMonitoringProtocol

CAR承諾接入速率CommittedAccessRate

CE用戶邊界設(shè)備CustomerEdge

DUT被測設(shè)備DeviceUnderTest

FTP文件傳輸協(xié)議FileTransferProtocol

GTSM通用跳數(shù)檢測機(jī)制GeneralizedTTLSecurityMechanism

ICMP網(wǎng)絡(luò)控制報文協(xié)議InternetControlMessagePortocol

IP因特網(wǎng)協(xié)議InternetProtocol

IPSecIP安全機(jī)制IPSecurity

ISIS中間系統(tǒng)到中間系統(tǒng)協(xié)議IntermediateSystemtoIntermediateSystemProtocol

LDP標(biāo)記分發(fā)協(xié)議LabelDistributionProtocol

MAC媒介訪問控制MediaAccessControl

MD5報文摘要5MessageDigest5

MPLS多協(xié)議標(biāo)記交換Multi-ProtocolLabelSwitch

MTU最大傳輸單元MaximalTransmissionUnit

NAPT網(wǎng)絡(luò)地址端口翻譯NetworkAddress/PortTranslation

NAT網(wǎng)絡(luò)地址翻譯NetworkAddressTranslation

OSPF開放最短路徑優(yōu)先協(xié)議OpenShortestPathFirst

PAT端口地址翻譯PortAddressTranslation

PE網(wǎng)絡(luò)邊界設(shè)備ProviderEdge

RIP路由信息協(xié)議RouteInformationProtocol

RPKI互聯(lián)網(wǎng)碼號資源公鑰基礎(chǔ)設(shè)施ResourcePublicKeyInfrastructure

SDN軟件定義網(wǎng)絡(luò)SoftwareDefinedNetwork

SNMP簡單網(wǎng)絡(luò)管理協(xié)議SimpleNetworkManagementProtocol

SSH安全外殼程序協(xié)議SecureShell

TCP傳輸控制協(xié)議TransportControlProtocol

TTL存活時間TimetoLive

UDP用戶數(shù)據(jù)報協(xié)議UserDataProtocol

2

XX/T1439—XXXX

URPF單播逆向路徑轉(zhuǎn)發(fā)UnicastReversePathForwarding

VPN虛擬專用網(wǎng)VirtualPrivateNetwork

4測試環(huán)境

測試環(huán)境1如圖1所示。

圖1測試環(huán)境1

測試環(huán)境2如圖2所示。

圖2測試環(huán)境2

測試環(huán)境3如圖3所示。

圖3測試環(huán)境3

測試環(huán)境4如圖4所示。

3

XX/T1439—XXXX

圖4測試環(huán)境4

測試環(huán)境5如圖5所示。

圖5測試環(huán)境5

測試環(huán)境6如圖6所示。

圖6測試環(huán)境6

測試環(huán)境7如圖7所示。

4

XX/T1439—XXXX

圖7測試環(huán)境7

測試環(huán)境8如圖8所示。

圖8測試環(huán)境8

測試環(huán)境9如圖9所示。

圖9測試環(huán)境9

測試環(huán)境10如圖10所示。

5

XX/T1439—XXXX

圖10測試環(huán)境10

測試環(huán)境11如圖11所示。

圖11測試環(huán)境11

以上各圖中測試儀表與DUT間均采用同種接口相連。

5數(shù)據(jù)轉(zhuǎn)發(fā)平面安全測試

6

XX/T1439—XXXX

核心路由器數(shù)據(jù)轉(zhuǎn)發(fā)平面的安全測試主要包括IPSec協(xié)議測試、常見網(wǎng)絡(luò)攻擊的抵抗能力測試、

URPF功能測試、流量控制功能測試、訪問控制列表（ACL）測試、遠(yuǎn)程檢測和流量清洗、網(wǎng)絡(luò)地址翻

譯（NAT）測試以及SDN測試。

5.1IPSec協(xié)議測試

IPSec協(xié)議測試內(nèi)容參見YD/T1476-2006《IP安全協(xié)議（IPSec）測試方法》

5.2常見網(wǎng)絡(luò)攻擊抵抗能力測試

測試編號：1

測試項目：抗大流量攻擊能力測試

測試目的：檢驗DUT處理大流量數(shù)據(jù)的能力

測試配置：測試環(huán)境1

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.從測試儀表端口A向測試儀表端口B以線速發(fā)送數(shù)據(jù)包；

3.DUT啟用動態(tài)路由協(xié)議協(xié)議，從測試儀表端口A向DUT建立協(xié)議鄰居關(guān)系。

4.停止步驟2中數(shù)據(jù)包的發(fā)送；

5.從測試儀表端口A向DUT的環(huán)回地址以線速發(fā)送數(shù)據(jù)包；

6.從測試儀表端口A向DUT建立協(xié)議鄰居關(guān)系。

預(yù)期結(jié)果：

1.在步驟3和6中，測試儀表與DUT間應(yīng)能正常建立協(xié)議鄰居關(guān)系，不受端口上流量的影響

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：2

測試項目：畸形包處理能力測試

測試目的：檢驗DUT處理畸形數(shù)據(jù)包的能力

測試配置：測試環(huán)境1

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.從測試儀表端口A向測試儀表端口B發(fā)送小于接口速率的背景流量；

3.由儀表端口A以端口剩余帶寬速率向DUT1端口發(fā)送報文長度（包括IP包頭）大于65535字節(jié)的

ICMPECHORequest報文（PingofDeath攻擊仿真報文）；

4.停止步驟3中報文的發(fā)送，由儀表端口A向DUT環(huán)回地址發(fā)送多個Offset字段重疊的IP報文

（Teardrop攻擊仿真報文）；

5.停止步驟4中報文的發(fā)送，由儀表端口A向儀表端口B發(fā)送鏈路層錯誤（如以太網(wǎng)的FCS錯誤幀）

報文；

6.停止步驟5中報文的發(fā)送，由儀表端口A向儀表端口B發(fā)送長度小于64字節(jié)（以太網(wǎng)鏈路）的超

短幀（Runt）；

7.停止步驟6中報文的發(fā)送，由儀表端口A向儀表端口B發(fā)送長度大于鏈路MTU的超長幀（Giant）。

8.停止步驟7中報文的發(fā)送，在DUT上啟用OSPF路由協(xié)議，并由儀表端口A與DUT建立OSPF

鄰居關(guān)系，由儀表端口A向DUT發(fā)送錯誤的OSPFUpdate（如帶有錯誤RouterID）報文，

7

XX/T1439—XXXX

預(yù)期結(jié)果：

1.在步驟3中，攻擊報文應(yīng)被丟棄，記錄攻擊對背景流量的影響；

2.在步驟4中，攻擊報文應(yīng)被丟棄，記錄攻擊對背景流量的影響；

3.在步驟5中，錯誤幀應(yīng)被丟棄，并在錯誤日志中有相應(yīng)記錄，記錄攻擊對背景流量的影響；

4.在步驟6中，超短幀應(yīng)被丟棄，并提供統(tǒng)計數(shù)據(jù)，記錄攻擊對背景流量的影響；

5.在步驟7中，超長幀應(yīng)被丟棄，并提供統(tǒng)計數(shù)據(jù)，記錄攻擊對背景流量的影響；

6.在步驟8中，應(yīng)不接受錯誤的Update報文。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：3

測試項目：PingFlood攻擊處理能力測試（可選）

測試目的：檢驗DUT處理PingFlood攻擊的能力

測試配置：測試環(huán)境2

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.儀表端口B與DUT建立OSPF鄰居關(guān)系，并向DUT通告到網(wǎng)絡(luò)2的路由；

3.從測試儀表端口A向網(wǎng)絡(luò)2中的某個IP地址以小于端口速率的流量發(fā)送背景流量，并驗證儀表端

口B上流量能夠正常接收；

4.從測試儀表端口C向DUT環(huán)回地址以端口線速發(fā)送ICMPECHORequest數(shù)據(jù)包；

5.停止步驟4中流量的發(fā)送，從測試儀表端口C向網(wǎng)絡(luò)2中的某個IP地址以端口線速發(fā)送ICMP

ECHORequest數(shù)據(jù)包；

預(yù)期結(jié)果：

1.在步驟4中，DUT應(yīng)對超量ICMP報文進(jìn)行丟棄或限速，記錄攻擊對背景流量的影響；

2.在步驟5中，DUT應(yīng)對超量ICMP報文進(jìn)行丟棄或限速，記錄攻擊對背景流量的影響。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：4

測試項目：SYNFlood攻擊處理能力測試

測試目的：檢驗DUT處理SYNFlood攻擊的能力

測試配置：測試環(huán)境2

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.儀表端口A和B分別與DUT建立OSPF鄰居關(guān)系，并向DUT通告到網(wǎng)絡(luò)1和網(wǎng)絡(luò)2的路由；

3.從測試儀表端口A向網(wǎng)絡(luò)2中的某個IP地址以小于端口速率的流量發(fā)送背景流量，并驗證儀表端

口B上流量能夠正常接收；

4.從測試儀表端口C向網(wǎng)絡(luò)2中的某個IP地址以端口剩余帶寬發(fā)送TCPSYN數(shù)據(jù)包，數(shù)據(jù)包源地

址為網(wǎng)絡(luò)1中的某個地址；

5.停止步驟4中流量的發(fā)送，從測試儀表端口C向DUT的環(huán)回地址上已開放的端口以端口剩余帶寬

發(fā)送TCPSYN數(shù)據(jù)包，數(shù)據(jù)包源地址為網(wǎng)絡(luò)1中的某個地址。

預(yù)期結(jié)果：

8

XX/T1439—XXXX

1.在步驟4和5中，DUT應(yīng)對過量TCPSYN報文進(jìn)行丟棄或進(jìn)行降低優(yōu)先級的排隊處理，記錄攻擊對背

景流量的影響；

判定原則：

DUT可以對過量TCPSYN報文進(jìn)行丟棄或進(jìn)行降低優(yōu)先級的排隊處理，背景流的流量和時延應(yīng)不會受

到嚴(yán)重影響。

測試編號：5

測試項目：Smurf攻擊處理能力測試

測試目的：檢驗DUT處理Smurf攻擊的能力

測試配置：測試環(huán)境2

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.儀表端口A和B分別與DUT建立OSPF鄰居關(guān)系，并向DUT通告到網(wǎng)絡(luò)1和網(wǎng)絡(luò)2的路由；

3.從測試儀表端口A向網(wǎng)絡(luò)2中的某個IP地址以小于端口速率的流量發(fā)送背景流量，并驗證儀表端

口B上流量能夠正常接收；

4.從測試儀表端口C向網(wǎng)絡(luò)1中的某個IP地址以端口線速發(fā)送ICMPECHORequest數(shù)據(jù)包，數(shù)據(jù)包

源地址為網(wǎng)絡(luò)2的有限廣播地址；

5.停止步驟4中流量的發(fā)送，從測試儀表端口C向DUT的環(huán)回地址以端口線速發(fā)送ICMPECHO

Request數(shù)據(jù)包，數(shù)據(jù)包源地址為網(wǎng)絡(luò)2的有限廣播地址；

6.停止步驟5中流量的發(fā)送，從測試儀表端口C向網(wǎng)絡(luò)1以端口線速發(fā)送ICMPECHORequest數(shù)據(jù)

包，數(shù)據(jù)包源地址為網(wǎng)絡(luò)2中的某個IP地址，目的地址為網(wǎng)絡(luò)1的有限廣播地址。

預(yù)期結(jié)果：

1．步驟4到6中，DUT應(yīng)對ICMP報文進(jìn)行丟棄，記錄攻擊對背景流量的影響；

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：6

測試項目：分片報文攻擊防御

測試目的：檢驗DUT處理分片報文攻擊的能力

測試配置：測試環(huán)境2

測試過程：

1.按測試環(huán)境連接設(shè)備，配置相應(yīng)IP地址；

2.DUT使能報文分片處理，配置端口1MTU為9000字節(jié)，端口2為默認(rèn)1500字節(jié)

3.DUT使能OSPF協(xié)議，端口3跟測試儀C端口建立OSPF鄰居，從測試儀表端口C向設(shè)備發(fā)送1000

條OSPF路由；

4.從測試儀表端口A向端口B發(fā)送1G大小流量，二層幀長為9000字節(jié)的流量，從測試儀表端口

A向端口C基于OSPF路由構(gòu)造背景流量，流量大小為5G，二層幀長為512字節(jié)；

5.在測試儀表端口B抓包，查看報文分片情況；

6.從測試儀表端口B構(gòu)造格式正確的IPv4trace超大報文（報文分片），其中源IP為測試儀表端口B

的IPv4地址，目的地址為DUT的環(huán)回口IPv4地址，TTL為1，UDP的payload長度為1452，UDP

的checksum正確。從測試儀端口B發(fā)送大量的IPv4trace超大報文。

預(yù)期結(jié)果：

9

XX/T1439—XXXX

1．在步驟4中，大報文流量應(yīng)被設(shè)備正常分片轉(zhuǎn)發(fā)，且所有流量均無丟包，DUT進(jìn)行大量報文分片時，

不影響OSPF協(xié)議；

2．在步驟6中，業(yè)務(wù)流量不受影響，OSPF協(xié)議不受影響，DUT的CPU利用率無明顯提升。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

5.3URPF功能測試

測試編號：7

測試項目：嚴(yán)格URPF功能測試

測試目的：檢驗DUT實現(xiàn)嚴(yán)格URPF功能

測試配置：測試環(huán)境2

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.儀表端口A和B分別與DUT建立OSPF鄰居關(guān)系，并向DUT通告到網(wǎng)絡(luò)1和網(wǎng)絡(luò)2的路由，并

發(fā)送流量驗證路由的有效性，在DUT上為地址A.A.A.0/24配置到測試儀表端口A的靜態(tài)路由；

3.在DUT上啟用嚴(yán)格URPF；

4.從儀表端口A向儀表端口B發(fā)送數(shù)據(jù)包，數(shù)據(jù)包源地址為網(wǎng)絡(luò)1中的地址；

5.停止步驟4中數(shù)據(jù)流的發(fā)送，從儀表端口A向儀表端口B發(fā)送數(shù)據(jù)包，數(shù)據(jù)包源地址為A.A.A.X；

6.停止步驟5中數(shù)據(jù)流的發(fā)送，從儀表端口A向儀表端口B發(fā)送數(shù)據(jù)包，數(shù)據(jù)包源地址為B.B.B.B

（在路由器路由表中不存在到該地址的路由）。

預(yù)期結(jié)果：

1.在步驟4中，儀表端口B應(yīng)可以收到測試數(shù)據(jù)包；

2.在步驟5和6中，儀表端口B不能收到測試數(shù)據(jù)包。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：8

測試項目：松散URPF功能測試

測試目的：檢驗DUT實現(xiàn)松散URPF功能

測試配置：測試環(huán)境2

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.儀表端口A和B分別與DUT建立OSPF鄰居關(guān)系，并向DUT通告到網(wǎng)絡(luò)1和網(wǎng)絡(luò)2的路由，并

發(fā)送流量驗證路由的有效性，在DUT上為地址A.A.A.0/24配置到測試儀表端口C的靜態(tài)路由；

3.在DUT上啟用松散URPF；

4.從儀表端口A向儀表端口B發(fā)送數(shù)據(jù)包，數(shù)據(jù)包源地址為網(wǎng)絡(luò)1中的地址；

5.停止步驟4中數(shù)據(jù)流的發(fā)送，從儀表端口A向儀表端口B發(fā)送數(shù)據(jù)包，數(shù)據(jù)包源地址為A.A.A.X；

6.停止步驟5中數(shù)據(jù)流的發(fā)送，從儀表端口A向儀表端口B發(fā)送數(shù)據(jù)包，數(shù)據(jù)包源地址為B.B.B.B

（在路由器路由表中不存在到該地址的路由）。

預(yù)期結(jié)果：

1.在步驟4和5中，儀表端口B應(yīng)可以收到測試數(shù)據(jù)包；

2.在步驟6中，儀表端口B不能收到測試數(shù)據(jù)包。

10

XX/T1439—XXXX

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：9

測試項目：基于ACL的URPF功能測試

測試目的：檢驗DUT實現(xiàn)基于ACL的URPF功能

測試配置：測試環(huán)境2

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.儀表端口A和B分別與DUT建立OSPF鄰居關(guān)系，并向DUT通告到網(wǎng)絡(luò)1和網(wǎng)絡(luò)2的路由，并

發(fā)送流量驗證路由的有效性，在DUT上為地址A.A.A.0/24配置到測試儀表端口C的靜態(tài)路由；

3.在DUT上啟用基于ACL的URPF，并配置ACL條目拒絕源地址為A.A.A.Y的數(shù)據(jù)包；

4.從儀表端口A向儀表端口B發(fā)送數(shù)據(jù)包，數(shù)據(jù)包源地址為網(wǎng)絡(luò)1中的地址；

5.停止步驟4中數(shù)據(jù)流的發(fā)送，從儀表端口A向儀表端口B發(fā)送數(shù)據(jù)包，數(shù)據(jù)包源地址為A.A.A.X；

6.停止步驟5中數(shù)據(jù)流的發(fā)送，從儀表端口A向儀表端口B發(fā)送數(shù)據(jù)包，數(shù)據(jù)包源地址為A.A.A.Y；

7.停止步驟6中數(shù)據(jù)流的發(fā)送，從儀表端口A向儀表端口B發(fā)送數(shù)據(jù)包，數(shù)據(jù)包源地址為B.B.B.B

（在路由器路由表中不存在到該地址的路由）。

預(yù)期結(jié)果：

1．在步驟4和5中，儀表端口B應(yīng)可以收到測試數(shù)據(jù)包；

2．在步驟6和7中，儀表端口B不能收到測試數(shù)據(jù)包。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

5.4流量控制功能測試

測試編號：10

測試項目：流量限速（CAR）功能測試

測試目的：檢驗DUT的流量限速功能

測試配置：測試環(huán)境1

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.在DUT上為接口1配置流量限速，限制速率為M，M小于1接口速率；

3.由儀表接口A向儀表接口B以接口速率發(fā)送IP數(shù)據(jù)流。

預(yù)期結(jié)果：

1．在步驟3中，儀表端口B可以收到數(shù)據(jù)流，數(shù)據(jù)流速率為M（誤差小于10％）。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：11

測試項目：流分類功能測試（基于IP五元組的流分類）

測試目的：檢驗DUT基于IP五元組（源IP地址、目的IP地址、協(xié)議類型、源端口號、目的端口號）

進(jìn)行流分類的功能

測試配置：測試環(huán)境1

11

XX/T1439—XXXX

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.在DUT上分別為IP五元組配置流分類策略，并對命中的數(shù)據(jù)流采用流量限制，限制速率為M，M

小于接口速率；

3.儀表接口A向儀表接口B以接口速率發(fā)送符合分類策略的數(shù)據(jù)流；

4.停止上一步中數(shù)據(jù)流的發(fā)送，從儀表接口A向儀表接口B以接口速率發(fā)送不符合分類策略的數(shù)據(jù)

流。

預(yù)期結(jié)果：

1．步驟3中，儀表端口B可以收到數(shù)據(jù)流，數(shù)據(jù)流速率為M（誤差小于10％）；

2．步驟4中，儀表端口B可以收到數(shù)據(jù)流，數(shù)據(jù)流速率為接口速率。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：12

測試項目：流分類功能測試（基于源MAC地址）（可選）

測試目的：檢驗DUT基于源MAC地址進(jìn)行流分類的功能

測試配置：測試環(huán)境1

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.在DUT上配置基于源MAC地址的流分類策略，并對命中的數(shù)據(jù)流采用流量限制，限制速率為M，

M小于接口速率；

3.儀表接口A向儀表接口B以接口速率發(fā)送符合分類策略的數(shù)據(jù)流；

4.停止上一步中數(shù)據(jù)流的發(fā)送，從儀表接口A向儀表接口B以接口速率發(fā)送不符合分類策略的數(shù)據(jù)

流。

預(yù)期結(jié)果：

1．步驟3中，儀表端口B可以收到數(shù)據(jù)流，數(shù)據(jù)流速率為M（誤差小于10％）；

2．步驟4中，儀表端口B可以收到數(shù)據(jù)流，數(shù)據(jù)流速率為接口速率。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：13

測試項目：流量整形功能測試

測試目的：檢驗DUT的流量整形功能

測試配置：測試環(huán)境1

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.在DUT上為接口2配置流量整形，限制速率為M，M小于2接口速率；

3.由儀表接口A向儀表接口B以接口速率發(fā)送IP數(shù)據(jù)流。

預(yù)期結(jié)果：

1．在步驟3中，儀表端口B可以收到數(shù)據(jù)流，數(shù)據(jù)流速率為M（誤差小于10％）。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

12

XX/T1439—XXXX

5.5訪問控制列表（ACL）測試

測試編號：14

測試項目：基于源地址的ACL測試

測試目的：檢驗DUT是否實現(xiàn)基于源地址的ACL

測試配置：測試環(huán)境1

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.在DUT上配置基于源地址的ACL（拒絕）條目；

3.從儀表端口A向儀表端口B發(fā)送符合過濾條件的IP包；

4.從儀表端口A向儀表端口B發(fā)送不符合過濾條件的IP包。

預(yù)期結(jié)果：

1．在步驟3中，儀表端口B沒有收到數(shù)據(jù)包；

2．在步驟4中，儀表端口B可以收到數(shù)據(jù)包。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：15

測試項目：基于目的地址的ACL測試

測試目的：檢驗DUT是否實現(xiàn)基于目的地址的ACL

測試配置：測試環(huán)境1

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.在DUT上配置基于目的地址的ACL（拒絕）條目；

3.從儀表端口A向儀表端口B發(fā)送符合過濾條件的IP包；

4.從儀表端口A向儀表端口B發(fā)送不符合過濾條件的IP包。

預(yù)期結(jié)果：

1．在步驟3中，儀表端口B沒有收到數(shù)據(jù)包；

2．在步驟4中，儀表端口B可以收到數(shù)據(jù)包。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：16

測試項目：基于協(xié)議的ACL測試

測試目的：檢驗DUT是否實現(xiàn)基于協(xié)議類型的ACL

測試配置：測試環(huán)境1

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.在DUT上配置基于協(xié)議類型的ACL（拒絕）條目；

3.從儀表端口A向儀表端口B發(fā)送符合過濾條件的IP包；

4.從儀表端口A向儀表端口B發(fā)送不符合過濾條件的IP包。

預(yù)期結(jié)果：

13

XX/T1439—XXXX

1．在步驟3中，儀表端口B沒有收到數(shù)據(jù)包；

2．在步驟4中，儀表端口B可以收到數(shù)據(jù)包。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：17

測試項目：基于源端口的ACL測試

測試目的：檢驗DUT是否實現(xiàn)基于源端口的ACL

測試配置：測試環(huán)境1

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.在DUT上配置基于源端口的ACL（拒絕）條目；

3.從儀表端口A向儀表端口B發(fā)送符合過濾條件的IP包；

4.從儀表端口A向儀表端口B發(fā)送不符合過濾條件的IP包。

預(yù)期結(jié)果：

1．在步驟3中，儀表端口B沒有收到數(shù)據(jù)包；

2．在步驟4中，儀表端口B可以收到數(shù)據(jù)包。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：18

測試項目：基于目的端口的ACL測試

測試目的：檢驗DUT是否實現(xiàn)基于目的端口的ACL

測試配置：測試環(huán)境1

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.在DUT上配置基于目的端口的ACL（拒絕）條目；

3.從儀表端口A向儀表端口B發(fā)送符合過濾條件的IP包；

4.從儀表端口A向儀表端口B發(fā)送不符合過濾條件的IP包。

預(yù)期結(jié)果：

1．在步驟3中，儀表端口B沒有收到數(shù)據(jù)包；

2．在步驟4中，儀表端口B可以收到數(shù)據(jù)包。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：19

測試項目：基于五元組的ACL測試

測試目的：檢驗DUT是否實現(xiàn)基于五元組（源地址、目的地址、源端口、目的端口、協(xié)議類型）的ACL

測試配置：測試環(huán)境1

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.在DUT上配置基于五元組的ACL（拒絕）條目；

14

XX/T1439—XXXX

3.從儀表端口A向儀表端口B發(fā)送符合過濾條件的IP包；

4.從儀表端口A向儀表端口B發(fā)送不符合過濾條件的IP包。

預(yù)期結(jié)果：

1．在步驟3中，儀表端口B沒有收到數(shù)據(jù)包；

2．在步驟4中，儀表端口B可以收到數(shù)據(jù)包。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：20

測試項目：全局ACL測試

測試目的：檢驗DUT是否實現(xiàn)全局ACL

測試配置：測試環(huán)境1

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.在DUT上配置全局ACL（拒絕）條目（全局ACL的解釋）；

3.從儀表端口A向儀表端口B發(fā)送符合過濾條件的IP包；

4.從儀表端口B向儀表端口A發(fā)送符合過濾條件的IP包。

預(yù)期結(jié)果：

1．在步驟3中，儀表端口B沒有收到數(shù)據(jù)包；

2．在步驟4中，儀表端口A沒有收到數(shù)據(jù)包。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：21

測試項目：接口ACL測試

測試目的：檢驗DUT是否實現(xiàn)接口ACL

測試配置：測試環(huán)境1

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.在DUT接口1上配置ACL（拒絕）條目；

3.從儀表端口A向儀表端口B發(fā)送符合過濾條件的IP包；

4.從儀表端口B向儀表端口A發(fā)送符合過濾條件的IP包。

預(yù)期結(jié)果：

1．在步驟3中，儀表端口B沒有收到數(shù)據(jù)包；

2．在步驟4中，儀表端口A可以收到數(shù)據(jù)包。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：22

測試項目：配置ACL情況下的性能測試

測試目的：檢驗DUT在配置ACL情況下的性能

測試配置：測試環(huán)境2

15

XX/T1439—XXXX

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.儀表端口A和B分別與DUT建立OSPF鄰居關(guān)系，并通告到網(wǎng)絡(luò)1和網(wǎng)絡(luò)2的路由；

3.在DUT接口1上配置DUT的ACL規(guī)格50%容量相互無關(guān)聯(lián)的ACL（拒絕）條目；

4.從儀表端口A向儀表端口B發(fā)送不符合過濾條件的IP包，數(shù)據(jù)包源地址為網(wǎng)絡(luò)1中的IP地址（變

化），進(jìn)行性能測試。

預(yù)期結(jié)果：

1．配置ACL后應(yīng)不會對DUT的轉(zhuǎn)發(fā)造成嚴(yán)重影響。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：23

測試項目：基于源MAC地址的ACL測試（可選）

測試目的：檢驗DUT是否實現(xiàn)基于源MAC地址的ACL

測試配置：測試環(huán)境1

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.在DUT上配置基于源MAC地址的ACL條目，拒絕源MAC地址非特定地址的數(shù)據(jù)包；

3.從儀表端口A向儀表端口B發(fā)送IP包，源MAC地址不是DUT配置的特定MAC地址；

4.從儀表端口A向儀表端口B發(fā)送IP包，源MAC地址是DUT配置的特定MAC地址。

預(yù)期結(jié)果：

1．在步驟3中，儀表端口B沒有收到數(shù)據(jù)包；

2．在步驟4中，儀表端口B可以收到數(shù)據(jù)包。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：24

測試項目：基于MPLS的ACL測試（可選）

測試目的：檢驗DUT是否實現(xiàn)基于MPLS的ACL

測試配置：測試環(huán)境1

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.DUT跟測試儀端口A、B建立OSPF和LDP鄰居；

3.在DUT上配置基于MPLS的ACL條目，配置基于MPLS報文的Exp值、Label值、TTL值數(shù)據(jù)

包（拒絕條目）；

4.從儀表端口A向儀表端口B發(fā)送符合過濾條件的數(shù)據(jù)包；

5.從儀表端口A向儀表端口B發(fā)送不符合過濾條件的數(shù)據(jù)包。

預(yù)期結(jié)果：

1．在步驟3中，儀表端口B沒有收到數(shù)據(jù)包；

2．在步驟4中，儀表端口B可以收到數(shù)據(jù)包。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

16

XX/T1439—XXXX

5.6遠(yuǎn)程檢測和流量清洗

測試編號：25

測試項目：遠(yuǎn)程檢測和流量清洗測試

測試目的：檢驗DUT支持通過BGPFlowspec進(jìn)行遠(yuǎn)程檢測和流量清洗功能

測試配置：測試環(huán)境7

測試過程：

1.按測試環(huán)境連接設(shè)備，配置相應(yīng)IP地址；

2.DUT1為Flowspec客戶端，DUT2為Flowspec控制器，配置DUT1和DUT2建立IBGP；

3.在測試儀表A、B端口之間構(gòu)造3條流量：第1條流為正常業(yè)務(wù)UDP流，源IP地址為測試儀A接

口地址，目的IP為測試儀端口B接口地址，目的端口為80；第2條流模擬ICMPFlood攻擊，源

IP地址為測試儀A接口地址，目的IP為測試儀端口B接口地址；第3條流模擬TCPSynFlood攻

擊，源IP地址為測試儀A接口地址，目的IP為測試儀端口B接口地址，目的端口為80；

4.發(fā)送步驟3流量，在測試儀端口B處觀察流量接收情況；

5.配置DUT1和DUT2使能BGPFlowspec功能，在DUT2上配置流量信息，通告DUT1對步驟3中

的ICMPFlood攻擊流量進(jìn)行丟棄；

6.再次發(fā)送步驟3流量，在測試儀端口B處觀察流量接收情況；

7.在DUT2上配置流量信息，通告DUT1將步驟3中的TCPSynFlood流量進(jìn)行限速為1M；

8.再次發(fā)送步驟3流量，在測試儀端口B處觀察流量接收情況；

9.在DUT2上配置流量信息，通告DUT1將步驟3中第1條正常業(yè)務(wù)流重定向到測試儀端口C；

10.再次發(fā)送步驟3流量，觀察流量收發(fā)情況。

預(yù)期結(jié)果：

1．在步驟4中測試儀表B端口應(yīng)可以正常收到所有流量；

2．在步驟6中測試儀表B端口處應(yīng)收不到ICMPFlood攻擊流量，正常業(yè)務(wù)流量無影響；

3．在步驟8中測試儀表B端口處應(yīng)收不到ICMPFlood攻擊流量，TCPSynFlood攻擊流量被限速為1M，

正常業(yè)務(wù)流量無影響；

4．在步驟10中測試儀表C端口應(yīng)可以收到重定向的正常業(yè)務(wù)流量。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：26

測試項目：Netconf測試

測試目的：檢驗DUT的Netconf功能

測試配置：測試環(huán)境6

測試過程：

1.按測試環(huán)境連接設(shè)備；

2.DUT配置NetconfoverSSH；

3.PC上使用客戶端下發(fā)相關(guān)XML腳本；

4.配置通過Netconf方式對DUT下發(fā)攻擊流的控制策略，匹配規(guī)則分別為匹配源IP，源端口和目的

端口，動作分別為對流量進(jìn)行限速，丟棄和重定向；

5.測試儀端口A發(fā)送流量給端口B，流特征與步驟4中配置的匹配規(guī)則對應(yīng)，在測試儀上查看流量

的收發(fā)包情況。

預(yù)期結(jié)果：

17

XX/T1439—XXXX

1．在步驟3中，DUT支持Netconf下發(fā)配置保存/配置回滾/配置Tunnel口/IPAddress配置；

2．在步驟5中，測試儀上流量收發(fā)包情況與測試步驟4中的動作一一對應(yīng)。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

5.7網(wǎng)絡(luò)地址翻譯（NAT）測試

測試編號：27

測試項目：靜態(tài)NAT測試（可選）

測試目的：檢驗DUT的靜態(tài)NAT功能

測試配置：測試環(huán)境1

測試過程：

1．按測試環(huán)境連接設(shè)備；

2．在DUT上為儀表接口A上的IP地址配置靜態(tài)NAT；

3．由儀表接口A向儀表接口B發(fā)送不同源地址的數(shù)據(jù)包，在儀表接口B上驗證進(jìn)行NAT后的數(shù)據(jù)包源地

址。

預(yù)期結(jié)果：

1.在步驟3中，儀表端口B可以收到數(shù)據(jù)包，且數(shù)據(jù)包源地址符合配置的NAT策略。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：28

測試項目：動態(tài)NAT測試（可選）

測試目的：檢驗DUT的動態(tài)NAT功能

測試配置：測試環(huán)境1

測試過程：

1．按測試環(huán)境連接設(shè)備；

2．在DUT上配置動態(tài)NAT地址池；

3．由儀表接口A向儀表接口B發(fā)送不同源地址的數(shù)據(jù)包，在儀表接口B上驗證進(jìn)行NAT后的數(shù)據(jù)包源地

址。

預(yù)期結(jié)果：

1.在步驟3中，儀表端口B可以收到數(shù)據(jù)包，且數(shù)據(jù)包源地址為NAT地址池中的地址，符合配置的NAT

策略。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：29

測試項目：端口地址翻譯（PAT）測試（可選）

測試目的：檢驗DUT的PAT功能

測試配置：測試環(huán)境1

測試過程：

1．按測試環(huán)境連接設(shè)備；

2．在DUT上配置PAT，出口為同一個IP地址；

18

XX/T1439—XXXX

3．由儀表接口A向儀表接口B發(fā)送不同源地址的UDP數(shù)據(jù)包，在儀表接口B上驗證進(jìn)行NAT后的數(shù)

據(jù)包源地址。

預(yù)期結(jié)果：

1.在步驟3中，儀表端口B可以收到數(shù)據(jù)包，數(shù)據(jù)包源地址相同，但具有不同的源端口，符合所配置

的PAT策略。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：30

測試項目：網(wǎng)絡(luò)地址/端口翻譯（NAPT）測試（可選）

測試目的：檢驗DUT的NAPT功能

測試配置：測試環(huán)境1

測試過程：

1．按測試環(huán)境連接設(shè)備；

2．在DUT上配置動態(tài)地址池，并配置端口地址翻譯（PAT）；

3．由儀表接口A向儀表接口B發(fā)送不同源地址的UDP數(shù)據(jù)包，在儀表接口B上驗證進(jìn)行NAPT后的

數(shù)據(jù)包源地址。

預(yù)期結(jié)果：

1．在步驟3中，儀表端口B可以收到數(shù)據(jù)包，數(shù)據(jù)包源地址為動態(tài)地址池中的地址，且具有不同的源端

口，符合所配置的NAPT策略。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

測試編號：31

測試項目：地址映射測試（可選）

測試目的：檢驗DUT的地址映射功能

測試配置：測試環(huán)境1

測試過程：

1．按測試環(huán)境連接設(shè)備；

2．在DUT上配置地址映射功能，將訪問DUT接口1地址，TCP/UDP端口X的數(shù)據(jù)包映射至儀表接

口B，TCP/UDP端口Y；

3．由儀表接口A向DUT接口1發(fā)送不同目的端口（X，X+1）的數(shù)據(jù)包。

預(yù)期結(jié)果：

1．在步驟3中，儀表接口B可以收到數(shù)據(jù)包，數(shù)據(jù)包的目的地址為儀表接口B地址，目的端口為Y，流

量與儀表接口A所發(fā)送的目的端口為X的數(shù)據(jù)包相等。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

5.8SDN測試

測試編號：32

測試項目：SDN南向接口安全測試

測試目的：被測設(shè)備和SDN控制器的南向接口應(yīng)該支持嚴(yán)格的認(rèn)證和安全加密機(jī)制，防止核心路由器

19

XX/T1439—XXXX

錯誤受控或者信息泄露

測試配置：測試環(huán)境8

測試過程：

1.按測試環(huán)境連接設(shè)備，配置相應(yīng)IP地址；

2.被測設(shè)備配置NetconfoverSSH服務(wù)器功能。配置用戶名和密碼；

3.被測設(shè)備配置鏡像功能，在被測設(shè)備跟SDN控制器南向接口間做雙向鏡像；

4.SDN控制器通過錯誤的用戶名和密碼發(fā)起NetconfoverSSH連接；

5.SDN控制器通過正常的用戶名和密碼發(fā)起NetconfoverSSH連接；

6.通過SDN控制器下發(fā)流表操作。

預(yù)期結(jié)果：

1.在步驟4中，無法建立NetconfoverSSH連接；

2.在步驟5中，能建立NetconfoverSSH連接，鏡像抓包查看建立連接報文被加密；

3.在步驟6中，建立NetconfoverSSH連接后能正確下發(fā)流表操作。

判定原則：

應(yīng)符合預(yù)期結(jié)果要求，否則為不合格

6路由/控制平面安全測試

核心路由器路由/控制平面安全測試主要包括路由協(xié)議的安全測試、控制面常見攻擊防御、TCP/IP

協(xié)議安全測試、MPLSVPN安全測試、路由過濾功能測試和攻擊溯源功能測試。

6.1路由協(xié)議安全測試

6.1.1OSPFv2路由協(xié)議安全測試

測試編號：33

測試項目：相鄰路由器之間鏈路的明文驗證

測試目的：檢驗DUT實現(xiàn)OSPF鄰居間鏈路的明文驗證功能

測試配置：測試環(huán)境3

測試過程：

1．按測試環(huán)境連接設(shè)備；

2．在DUT1和DUT2上啟用O