国家电子政务外网IPv6部署要求 第1部分：地址规划与管理

ICS33.040.40

CCSM32

中华人民共和国国家标准

GB/TXXXXX—XXXX

国家电子政务外网IPv6部署通用要求

GeneralRequirementsforIPv6DeploymentontheNationale-GovernmentNetwork

（征求意见稿）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX发布XXXX-XX-XX实施

GB/TXXXXX—XXXX

目次

前言...........................................................................III

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4缩略语.............................................................................3

5网络结构...........................................................................4

6广域网/城域网......................................................................4

广域网.........................................................................4

城域网.........................................................................5

路由要求.......................................................................7

AS域间网络对接.................................................................7

服务质量.......................................................................7

7安全...............................................................................7

安全架构.......................................................................8

总体要求.......................................................................8

8政务云和应用.......................................................................8

总体架构.......................................................................9

总体要求.......................................................................9

IPv6资源池要求................................................................10

数据交换区要求................................................................11

应用IPv6部署要求.............................................................11

9管理系统和支撑系统................................................................11

管理系统要求..................................................................11

支撑系统要求..................................................................12

10部门政务外网和终端...............................................................13

网络结构.....................................................................13

网络总体要求.................................................................14

终端要求.....................................................................14

IPv6地址分配.................................................................14

安全要求.....................................................................15

11IPv6地址规划与管理...............................................................15

基本原则.....................................................................15

地址结构.....................................................................16

附录A（资料性）政务外网广域网IPv6部署实施指南....................................18

A.1存量网络IPv6单栈改造实施指南.................................................18

A.2新建IPv6单栈网络实施指南.....................................................19

附录B（资料性）政务外网城域网IPv6部署实施指南....................................20

B.1存量网络IPv6单栈改造实施指南.................................................20

I

GB/TXXXXX—XXXX

B.2新建IPv6单栈网络实施指南.....................................................21

附录C（规范性）广域网/城域网网络设备IPv6特性要求.................................22

附录D（资料性）部门政务外网网络改造演进步骤.......................................23

附录E（规范性）省级地址AA对照表..................................................24

附录F（资料性）区划域（Z码）编码示例.............................................25

附录G（资料性）未分配的区划域Z码的使用建议.......................................26

附录H（资料性）网络平台的子网标识划分建议.........................................27

H.1概述..........................................................................27

H.2子网标识划分建议...............................................................27

附录I（资料性）政务云的子网标识划分建议...........................................29

I.1概述..........................................................................29

I.2子网标识划分建议...............................................................29

参考文献............................................................................31

II

GB/TXXXXX—XXXX

国家电子政务外网IPv6部署通用要求

1范围

本文件规定了国家电子政务外网（以下简称政务外网）广域网、城域网、部门政务外网和终端、政

务云和应用、网络安全、管理系统和支撑系统的IPv6部署要求，以及政务外网IPv6地址的结构定义要

求。

本文件适用于指导中央、各地方政务外网管理部门或建设运维单位和各政务部门进行IPv6网络设

计、网络改造、建设实施等。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T2260中华人民共和国行政区划代码

3术语和定义

下列术语和定义适用于本文件。

国家电子政务外网E-GovernmentNetwork

承载各级政务部门用于经济调节、市场监管、社会管理和公共服务等非涉及国家秘密的业务应用系

统的政务公用网络。国家电子政务外网纵向覆盖中央、省、地（市）、县（区），横向连接各级党委、

人大、政府、政协、法院和检察院等政务部门。国家电子政务外网由中央政务外网和地方政务外网组成，

地方政务外网由省级政务外网、地（市）级政务外网、县（区）级政务外网组成。

广域网WideAreaNetwork

用于纵向覆盖中央、省、地（市）、县各层级行政区域，由各级行政区域内广域骨干节点设备和之

间长途线路组成。

城域网MetropolitanAreaNetwork

用于实现本级行政区域内的政务部门的横向连接，包括中央、省、地市、县四级城域网，各级城域

网通过统一的互联网出口与国际互联网联接。各级城域网通过纵向广域网实现互联。

1

GB/TXXXXX—XXXX

部门政务外网Departmente-GovernmentNetwork

各级政务部门工作人员的重要办公网络，由各级政务部门自行建设和维护，网络覆盖范围和功能区

规划由各单位根据业务需要确定。

政务云governmentcloud

用于承载各级政务部门开展公共服务、社会管理的业务信息系统和数据，并满足跨部门业务协同、

数据共享与交换等需要，提供IaaS、PaaS和SaaS服务的云计算服务。

移动政务专网mobilee-governmentprivatenetwork

利用运营商5G、4G等移动通信基础设施，在公共网络中通过网络切片、专用DNN等技术构建，

能独享网络资源的移动政务专网，是政务外网城域网的组成部分。

政务专用UPFdedicatedUPFfore-governmentnetwork

为政务外网部署的政务行业专用UPF设备，保障政务业务数据的安全和质量，与运营商面向公众

用户和其他行业用户所提供的UPF物理隔离。政务专用UPF由服务器、交换机、路由器、防火墙等设

备组成。

管理系统operationandmaintenancesystem

开展国家政务外网运维管理工作的支持工具，主要实现对网络设备、主机设备、存储设备以及基础

软件、应用软件等资源运行状态的监控和综合管理，支持运维服务流程的标准化管理。

支撑系统supportingsystem

提供地址分配、地址管理、域名解析、IPv6发展监测平台等IP网络支撑服务和运维相关特性的一

些独立软件或者平台。

安全监测SecurityMonitoring

以信息安全事件为核心，通过对网络和安全设备日志、系统运行数据等信息的实时采集，以关联分

析等方式，实现对监测对象进行风险识别、威胁发现、安全事件实时报警及可视化展现。

随流检测in-situFlowInformationTelemetry

一种直接对业务报文进行端到端测量，从而得到网络的真实丢包率、时延等性能指标的检测方式，

2

GB/TXXXXX—XXXX

具有部署方便、统计精度高等突出优点。

4缩略语

下列缩略语适用于本文件。

SRv6：基于IPv6的段路由（SegmentRoutingoverIPv6）

MPLS：多协议标签交换（MultiprotocolLabelSwitching）

6vPE：IPv6虚拟专用网络提供商边界（IPv6VirtualProviderEdge）

MTU：最大传输单元（MaximumTransmissionUnit）

UPF：用户面功能（UserPlaneFunction）

DNN：数据网络名称（DataNetworkName）

BGP：边界网关协议（BorderGatewayProtocol）

MP-BGP：BGP多协议扩展（MultiprotocolExtensionsforBGP）

EBGP：外部边界网关协议（ExternalBorderGatewayProtocol）

VPN：虚拟专用网络（VirtualPrivateNetwork）

QoS：服务质量（QualityofService）

IFIT：随流检测技术（In-situFlowInformationTelemetry）

APN6：应用感知的IPv6网络（Application-awareIPv6Networking）

FlexE：灵活以太（FlexibleEthernet）

NOF：全无损以太存储网络（NVMeOverFabric）

DHCPv6：动态主机配置协议版本6（DynamicHostConfigurationProtocolversion6）

DHCPv6Relay：DHCPv6中继代理（DHCPv6Relay）

DHCPv6Snooping：DHCPv6侦听（DHCPv6Snooping）

SLAAC：无状态地址自动配置（Statelessaddressautoconfiguration）

DUID：设备唯一标识符（DeviceUniqueIdentifier）

ND：邻居发现（NeighborDiscovery）

NDSnooping：ND侦听（NDSnooping）

802.1x：IEEE802.1x协议（IEEE802.1xProtocol）

Portal：门户（Portal）

MAC：媒体接入控制（MediaAccessControl）

VLAN：虚拟局域网（VirtualLocalAreaNetwork）

VxLAN：虚拟扩展局域网（VirtualExtensibleLAN）

VxLANv6：IPv6虚拟扩展局域网（VXLANwithIPv6intheunderlay）

FIBv6：IPv6转发信息库（IPv6ForwardingInformationBase）

WPA3：保护无线电脑网络安全系统3（Wi-FiProtectedAccess3）

WAPI：无线局域网鉴别和保密基础结构（WLANAuthenticationandPrivacyInfrastructure）

NAT：网络地址转换（NetworkAddressTranslation）

NAT64：IPv6到IPv4的地址转换协议（NetworkAddressTranslationIPv6-to-IPv4）

NAT66：IPv6到IPv6的地址转换协议（NetworkAddressTranslationIPv6-to-IPv6）

GRE：通用路由封装协议（GenericRoutingEncapsulation）

SNMP：简单网络管理协议（SimpleNetworkManagementProtocol）

NETCONF：网络配置协议（NetworkConfigurationProtocol）

GIS：地理信息系统（GeographicInformationSystem）

3

GB/TXXXXX—XXXX

BMP：BGP控制协议（BGPMonitoringProtocol）

IS-IS：中间系统到中间系统协议（IntermediateSystemtoIntermediateSystem）

5网络结构

国家政务外网是全国统一的，全面覆盖中央、省、地（市）、县（区）、乡镇、街道的，服务于各

级党委、人大、政府、政协、法院和检察院等政务部门的政务公用网络。

国家政务外网由中央、省级和地（市）、县（区）四级网络平台组成，如图1所示，各级网络平台

包含广域网、城域网、数据中心、互联网出口等部分。

图1政务外网网络平台总体架构

6广域网/城域网

广域网

6.1.1网络结构

广域网由长途线路和各级广域网网络节点设备组成。中央级广域网和地方广域网分级建设、分级管

理。

6.1.2IPv6部署要求

具体要求包括：

a)应采用SRv6VPN统一承载IPv4、IPv6业务。存量网络不支持SRv6技术的，可采用基于MPLS

的6vPE技术、采用IPv4/IPv6双栈技术等进行过渡；

b)应充分利用广域网多线路带宽资源，支持IPv4、IPv6业务流量的动态调整；

c)广域网通信线路应能为政务外网IPv4、IPv6业务提供专用的二层点对点形式线路，宜采用

MSTP、SDH、OTN、IP切片专线、裸光纤等线路类型；

d)MTU值设置应大于等于2000；

e)广域网向IPv6演进，可参考附录A实施。

4

GB/TXXXXX—XXXX

6.1.3设备要求

广域网核心、接入设备应支持附录C中所列出的功能。

城域网

6.2.1网络结构

6.2.1.1中央/省/市级城域网

中央/省/市级城域网架构上分为核心、汇聚、接入层，核心层和汇聚层采用冗余设备组网，推荐部

署在不同的机房，其中汇聚层可选；接入层分为数据中心接入设备和用户接入设备，用户接入设备放在

用户机房，用于部门政务外网的接入；数据中心接入设备位于数据中心出口，用于数据中心的接入。

互联网出口为本级用户提供互联网服务；安全接入平台为本级用户提供远程接入服务。

移动政务专网，提供政务外网4G、5G等移动接入服务。

中央/省/市级城域网网络结构如图2所示。

图2中央/省/市级城域网网络结构

6.2.1.2县级城域网

县级城域网架构上分为核心、汇聚、接入层，核心层和汇聚层采用冗余设备组网，推荐部署在不同

的机房，其中汇聚层可选；接入层设备放在用户机房，用于部门政务外网的接入；行政村（社区）经过

汇聚后接入或直接接入县级城域网核心层。

互联网出口为本级用户提供互联网服务；安全接入平台为本级用户提供远程接入服务。

县级城域网使用市级城域网的移动政务专网提供4G、5G等移动接入服务，也可参考市级城域网要

求自建移动政务专网。

县级城域网架构如图3所示。

5

GB/TXXXXX—XXXX

图3县级城域网架构

6.2.2IPv6部署要求

具体要求包括：

a)应通过SRv6VPN统一承载IPv4、IPv6业务，应在城域网接入设备通过SRv6技术将IPv4、

IPv6用户报文封装成IPv6报文，实现政务外网的IPv6单栈转发。存量网络不支持SRv6技术

的，可采用基于MPLS的6vPE技术、采用IPv4/IPv6双栈技术等进行过渡；

b)应充分利用城域网多线路带宽资源，支持IPv4、IPv6业务流量的动态调整；

c)应支持SRv6报文按照指定的路径经过安全设备进行安全防护；

d)城域网通信线路应能为政务外网IPv4、IPv6业务提供专用的二层点对点形式线路，宜采用

MSTP、SDH、OTN、IP切片专线、裸光纤等线路类型；

e)MTU值设置应大于等于2000；

f)应支持IPv6互联网服务，宜采用新建IPv6互联网出口方式进行改造；

g)政务外网IPv6地址不能向互联网发布；

h)城域网向IPv6演进，可参考附录B实施。

6.2.3移动政务专网IPv6部署要求

具体要求包括：

a)应支持IPv4、IPv6业务；

b)终端通过移动CPE接入政务外网场景，应支持移动CPE与政务外网设备部署SRv6隧道穿越运

营商网络；

c)应通过政务专用UPF与政务外网接入路由器进行对接，应使用独立的物理端口进行对接；

d)应支持为接入终端设备分配IPv4和IPv6地址；

e)通过移动政务专网接入政务外网的终端应使用政务专用的IP地址体系，不应使用运营商IP地

址体系；

f)业务数据进入政务外网后，应能继续保持传输隔离能力和逻辑隔离能力。宜采用网络切片技术，

将移动政务专网和政务外网网络切片进行映射，实现端到端的业务保障能力。

6.2.4设备要求

中央/省/市/县级城域网接入、汇聚、核心设备应支持附录C中所列出的功能。

6

GB/TXXXXX—XXXX

路由要求

具体要求包括：

a)应实现承载网路由和用户路由分离；

b)用户路由应通过MP-BGP协议在自治域内通告，宜通过EBGP协议或静态路由在自治域间通告，

用户路由包括基础数据业务地址路由、视频会议业务地址路由、视频监控业务地址路由、物联

网业务地址路由等；

c)用户路由通告前应进行聚合；

d)承载网路由应通过IGP协议在自治域内通告，域间不应通告承载网路由。IGP协议宜采用IS-

IS；承载网路由包括设备互联地址路由、Loopback地址路由、SRv6Locator地址路由等；

e)路由设计应能反映整个网络的层次结构，应与自治域、各节点子网的IP地址分配相结合，做

到合理的路由聚合；

f)在同一自治域内，应根据网络流量分担、分布与路由备份情况，统一规划路由的Metric值和

路由策略；

g)应根据网络规模合理划分IGP区域和进程。

AS域间网络对接

域间网络对接应采用OptionA方式。当前采用OptionB方式对接的，可在域间设备增加业务互联

接口，通过静态路由或EBGP交换业务路由，逐步由OptionB过渡到OptionA方式。

服务质量

6.5.1基本要求

具体要求包括：

a)IPv6网络的QoS策略应与IPv4网络保持一致；

b)应具备为IPv4、IPv6视频业务提供确定性带宽保障的能力，应采用专用设备和物理链路承载

或网络切片技术；

c)应具备对IPv4、IPv6业务的状态实时感知和故障快速定界能力，采用IFIT随流检测技术，

检测粒度可细化到单个政务部门的具体用户/业务；

d)应支持对IPv6业务的识别和保障，具备条件的，宜采用APN6技术识别业务，进行带宽保障

和网络质量监控。

6.5.2网络切片技术要求

具体要求包括：

a)应采用FlexE、逻辑子端口技术实现以太网端口的资源隔离；

b)常用的以太接口类型应支持网络切片；

c)基于FlexE技术实现的网络切片应支持1G、2G、5G、10G等不同颗粒度的资源隔离；

d)基于逻辑子端口技术实现的网络切片应支持10M颗粒度的资源隔离；

e)网络切片技术应与IGP技术解耦，同接口下的多个网络切片共用一个接口IP地址和IGP路由

协议；

f)应根据业务类型或政务部门划分网络切片，宜对视频会议、视频监控业务规划专用切片。

7安全

7

GB/TXXXXX—XXXX

安全架构

政务外网IPv6安全体系架构包括安全接入、安全防护、安全监测、安全管理四个部分，建设云网

安一体安全防护体系提升政务外网的安全韧性及协同防御能力，如图4所示。

图4政务外网安全架构示意图

总体要求

具体要求包括：

a)网络安全设备应开启IPv6功能；

b)网络安全设备应支持SRv6、GRE等隧道流量的防护和检测，其部署不能影响网络切片、随流检

测等功能；

c)应支持IPv6终端的安全接入，并对IPv6终端环境进行持续检测和评估，根据评估情况动态调

整其应用访问权限。对IPv6办公终端进行身份鉴别、认证和授权，并实现互联网和政务外网

的分时访问；对IPv6物联终端进行持续流行为分析发现并阻断私接、仿冒终端接入政务外网；

对通过移动政务专网接入的IPv6移动终端进行二次鉴权，实现设备级、SIM卡级精细授权和

溯源审计；

d)应在图4所述安全防护边界部署网络安全设备，对接入政务外网的IPv6流量进行访问控制及

安全策略防护，或通过业务链的方式由汇聚层的防火墙提供集中的边界安全防护；

e)安全监测平台及其配套设备应支持IPv6流量的采集、威胁分析、态势呈现、数据存储、通报

预警，支持联动网络和安全设备基于IPv6攻击源地址执行安全威胁处置；

f)终端、网络、资产、事件等安全管理系统和配套安全管理的运维审计系统、日志服务器、数据

库审计系统、安全认证系统等均应支持IPv6。

8政务云和应用

8

GB/TXXXXX—XXXX

总体架构

政务云包括公共区、互联网区和数据交换区。公共区和互联网区相互独立，通过数据交换区进行数

据交换，如图5所示。

图5政务云架构图

总体要求

政务云公共区、互联网区进行IPv6改造，应配置独立的IPv6资源池承载IPv6应用。IPv6资源池应包

括计算、网络、存储、安全等基础设施以及云平台和云服务。以互联网区为例，如图6所示。

9

GB/TXXXXX—XXXX

图6互联网区IPv6改造图

IPv6资源池要求

8.3.1基础设施

具体要求包括：

a)计算服务器操作系统、虚拟化软件等应支持IPv6；

b)网络设备应部署IPv6单栈，包括管理层面和数据转发层面的IPv6地址、IPv6路由协议等；

c)网络设备应支持VxLANv6；

d)网络设备应支持通过IPv6协议将设备资源使用情况（如CPU、内存、带宽利用率）、光模块状

态等指标及时上报给管理系统；

e)网络应使用IPv6路由组网；

f)网络应具备对IPv6业务的状态实时感知和故障快速定界定位能力，支持随真实业务流的路径

还原、丢包率和时延检测；

g)计算网络应具备IPv6裸金属服务器的自动化接入能力和IPv6业务的安全隔离能力；

h)NOF存储网络应支持IPv6协议；

i)存储应支持通过IPv6提供访问；

j)应支持通过NAT64地址转换技术实现IPv6资源池与IPv4资源池的互访；

10

GB/TXXXXX—XXXX

k)安全设备应部署IPv6单栈，包括IPv6地址、IPv6的安全策略等。

8.3.2云平台

具体要求包括：

a)云平台应支持IPv6单栈部署；

b)云平台应支持发放IPv6单栈虚机；

c)云平台的北向接口和南向接口应支持IPv6访问。

8.3.3云服务

基础服务、数据服务、数据库服务、应用服务、安全服务等应支持IPv6。

数据交换区要求

应支持IPv6的数据交换和安全防护。

应用IPv6部署要求

具体要求包括：

a)应用系统应同时支持IPv4用户和IPv6用户的访问；

b)现有应用系统进行IPv6改造，宜采用IPv6单栈形式部署在IPv6资源池内，并保持原有IPv4

应用系统部署在IPv4资源池。IPv6用户访问IPv6应用系统，IPv4用户访问原有IPv4应用

系统。终端IPv6改造完成后，原有IPv4应用系统逐渐退网；

c)新建应用系统，宜仅采用IPv6单栈形式部署在IPv6资源池中，IPv4用户通过NAT地址转换

技术访问IPv6应用系统。

9管理系统和支撑系统

管理系统要求

9.1.1运行监控要求

运行监控主要包括拓扑监控和业务监控，要求如下：

a)应支持基于SNMP、NETCONF等标准协议通过IPv6地址对网络设备进行纳管；

b)应支持自动生成物理拓扑、切片拓扑和隧道拓扑，宜支持基于GIS地图进行拓扑管理，支持通

过源IP及目的IP查询网络路径并在拓扑上呈现；

c)应支持管理系统间的级联对接，支持本级及所辖下级网络的网络切片、IFIT协同对接，进行

业务端到端的保障。

9.1.2智能分析要求

智能分析主要包括质量分析、流量分析、容量预测和路由分析，要求如下：

a)应支持采用IFIT技术对网络中IPv4、IPv6的业务进行丢包率和时延检测，支持图形化标识网

络路径故障点，支持跨级网络的业务流质量检测和定界定位；

b)应支持对IPv4、IPv6网络流量进行安全分析和威胁溯源，并联动网络、安全设备执行主机隔

11

GB/TXXXXX—XXXX

离和流量阻断；

c)宜支持IPv6网络的设备资源容量预测和网络流量预测；

d)宜采用BMP协议收集BGP路由信息进行分析，并发现潜在路由风险。

9.1.3自动布放要求

自动布放主要包括网络配置布放和路径优化，要求如下：

a)应支持对本级和所辖下级网络的网络切片、SRv6隧道、VPN、IFIT等自动发放；

b)应支持基于带宽、时延、丢包率等多种参数进行网络路径计算；

c)出现业务质量劣化、网络故障或网络拥塞时，应支持进行网络路径动态调整。

支撑系统要求

9.2.1IPv6发展监测平台要求

应建设IPv6发展监测平台对政务外网IPv6就绪度进行监测管理，按照表1中的监测指标进行统计

监测。

表1IPv6统计监测指标框架

监测维度监测指标指标说明

IPv6物联网终端活跃连接数和占已经获得IPv6地址，且在30天内具备有效IPv6流量记录的物联网终端

比数和占比

活跃用户

已经获得IPv6地址，且在30天内具备有效IPv6流量记录（不包含

IPv6办公终端活跃连接数和占比

Ping和域名解析流量）的办公终端数量和占比

城域网IPv6流量和占比城域网每天的平均IPv6流量和占比

IPv6流量

数据中心IPv6流量和占比数据中心每天的平均IPv6流量和占比，包括公共区和互联网区

IPv6网络时延部门接入网到数据中心入口，发送测试报文，计算多个报文平均时延

IPv6平均丢包率部门接入网到数据中心入口，发送测试报文，计算报文丢包率

IPv6网络抖动部门接入网到数据中心入口，发送测试报文，计算多个报文平均抖动

网络就绪度

广域网/城域网IPv6单栈能力广域网/城域网采用SRv6技术承载IPv6业务

数据中心网络IPv6能力数据中心网络采用IPv6网络承载IPv6应用

部门政务外网IPv6能力部门政务外网采用IPv6网络承载IPv6业务

云主机IPv6网络时延终端到云主机发送测试报文，计算多个报文平均时延

云主机IPv6平均丢包率终端到云主机发送测试报文，计算报文丢包率

云主机IPv6网络抖动终端到云主机发送测试报文，计算多个报文平均抖动

云端就绪度云资源池IPv6单栈能力政务云采用新建IPv6资源池承载IPv6应用

互联网区政务应用支持IPv6访问支持IPv6访问的互联网区应用数量/占比

公共区政务应用支持IPv6访问支持IPv6访问的公共区应用数量/占比

政务应用IPv6单栈能力政务应用采用IPv6单栈数量

已配置IPv6地址的终端、服务器、网络设备、安全设备等资产数量和

数字资产IPv6数字资产

占比

IPv6增强应定义IPv6增强应用分为三个发展阶段，包括IPv6增强应用1.0、IPv6

IPv6增强应用阶段

用增强应用2.0、IPv6增强应用3.0，其中网络中实际部署了SRv6技术，

12

GB/TXXXXX—XXXX

实现业务快速发放，灵活路径控制为IPv6增强应用1.0阶段；网络中实

际部署了网络切片/随流检测/智能无损等技术，带来算力提升、带宽保

障和体验可视为IPv6增强应用2.0阶段；网络中实际部署了APN6等技

术，实现网络感知应用，并为应用进行智能保障为IPv6增强应用3.0阶

段。

按照上述IPv6增强应用阶段定义，对各地方政务外网进行评估，定义

网络所处阶段

9.2.2地址管理系统要求

具体IPv6能力要求包括：

a)应支持根据类型域、区划域、部门域等自定义语义标识，进行IPv6地址规划；

b)应支持可视化的IPv6地址批量分配、预留和回收；

c)应支持IPv6地址子网的监测、创建、导入、编辑、删除；

d)应支持与地址分配系统进行联动，自动下发子网信息到地址分配系统；

e)应支持全网IPv6地址使用数、在线数、使用率、分配率统计；

f)宜支持分权分域能力。

9.2.3地址分配系统要求

具体IPv6能力要求包括：

a)应支持DHCPv6和无状态地址自动配置（SLAAC）；

b)宜支持基于EUI-64规范分配IPv6地址；

c)应支持DUID与固定地址绑定；

d)应支持IPv6地址的全生命周期管理，包括地址分配、续租、回收，并支持IPv6地址溯源功

能；

e)宜支持分权分域能力。

9.2.4域名服务系统要求

具体IPv6能力要求包括：

a)解析记录类型应同时支持AAAA、A记录；

b)应支持纯IPv6、IPv6/IPv4双栈的混合解析。

10部门政务外网和终端

网络结构

部门政务外网采用以核心层为根的树形网络结构，包含核心层、汇聚层、接入层三层结构，其中汇

聚层为可选项，根据实际情况灵活选择，如图7所示。

13

GB/TXXXXX—XXXX

图7部门政务外网总体架构

网络总体要求

具体要求包括：

a)宜采用IPv4/IPv6双栈方式进行IPv6改造，有条件的可采用新建IPv6单栈网络；

b)不应在部门政务外网内部署IPv6NAT转换；

c)网关应支持DHCPv6Relay和SLAAC；

d)网络应支持DHCPv6Snooping、NDSnooping；

e)应支持对IPv6终端进行802.1x/Portal/MAC认证和认证过程的回放；

f)应通过VLAN、VxLAN、网络切片等技术对政务业务、互联网业务进行隔离，宜采用网络切片技

术对视频会议业务进行带宽保障；

g)应支持对网络设备的FIBv6、ND等IPv6资源进行监控；

h)MTU值设置宜大于等于2000；

i)部门政务外网网络向IPv6演进，可参考附录D实施。

终端要求

具体要求包括：

a)应支持IPv6协议栈；

b)应支持通过DHCPv6方式或SLAAC方式获取IPv6地址；

c)IPv6无线终端应使用安全加密方式接入无线网络，采用WPA3或WAPI加密方式；

d)IPv6终端应支持802.1x、Portal、MAC等接入认证方式。

IPv6地址分配

具体要求包括：

a）DHCPv6服务器及IP地址管理系统可采用分布式方式部署在部门政务外网内，也可采用集中式

方式部署在政务云；

b）宜支持基于EUI-64规范分配IPv6地址，确保用户、终端、IPv6地址、MAC能够一一对应，便

14

GB/TXXXXX—XXXX

于后续管理和溯源；

c）DHCPv6服务器宜支持北向接口与IP地址管理系统对接，统一展示IPv6地址资源的分配和使用

情况；

d）应支持IPv6地址的管理，对地址的分配情况、使用情况等进行直观展现；

e）宜支持对非法IPv6地址进行标记，并上报告警；

f）应支持对IPv6地址分配过程进行回放。

安全要求

具体要求包括：

b)应通过部署防火墙、入侵防御系统和安全审计系统等实现部门政务外网与政务外网城域网的

边界安全防护。所有安全设备应支持IPv6协议，对IPv6业务进行安全防护；

c)网络设备应具备终端防私接能力，对于非法终端禁止接入部门政务外网；

d)应具备仿冒终端的识别、阻断、告警上报、接入位置显示、终端类型显示、用户信息关联等能

力；

e)终端接入部门政务外网应进行准入控制，宜支持802.1x、MAC、Portal认证，及终端类型、手

机短信验证等多因子混合认证；

f)应支持通过终端MAC地址、IP地址、账号名称等信息对用户进行溯源；

g)应实现IPv6终端访问互联网与访问政务外网的安全隔离。

11IPv6地址规划与管理

基本原则

11.1.1管理原则

中央级政务外网建设运维单位负责政务外网IPv6地址总体规划和管理，具体包括中央级网络平台、

省级网络平台、中央级政务部门的IPv6地址资源的分配和管理。

省级政务外网建设运维单位负责全省（区、市）政务外网网络平台的IPv6地址资源的二次分配工

作。

中央级政务部门负责本级和纵向各级本部门政务外网IPv6地址资源的二次分配。

中央、各地方政务外网和各政务部门均应使用政务外网IPv6地址开展政务业务。

11.1.2规划原则

11.1.2.1渐进规划原则

中央级政务外网建设运维单位已为政务外网申请了/21网段的全球单播地址用于政务外网IPv6建设，

本版规划涉及其中部分网段，其余部分将根据国家政务外网业务发展情况在未来的新版规划中予以明

确。

11.1.2.2分级管理原则

IPv6地址依然采用中央、省、市、县政务外网建设运维单位分级管理的基本原则，为地方纵向业务

及各级地方横向业务预留独立的地址空间，允许地方自行管理和分配省内业务及本地业务地址。

11.1.2.3易于识别原则

15

GB/TXXXXX—XXXX

按照国际惯例，IPv6地址采用16进制方式表示。本版规划应在特征位上保持一定的可读性，并应保

证路由可聚合。

地址结构

11.2.1地址结构定义总体要求

国家政务外网IPv6全球单播地址网段为GGGG:G000::/21，其中可分配的地址范围为：

GGGG:G000::/24～GGGG:G700::/24，G标识已知的固定前缀字段。政务外网IPv6地址段结构为

GGGG:GTZZ:ZZZW:WWYY::/64，应采用结构化编址方式按照表2进行地址规划设计。

表2IPv6地址结构

类型域区划域部门域子网域主机域

GGGG:GTZZ:ZZZW:WWYY0000:0000:0000:0000

1-24位25-44位45-56位57-64位65-128位

11.2.2类型域（T码）编码要求

类型域（T码）标识政务外网各类业务（T表示十六进制字符，取值范围0-7），应按照如下要求编

码：

——GGGG:G0，标识政务外网网络平台；

——GGGG:G1，标识基础数据业务；

——GGGG:G2，标识视频会议业务；

——GGGG:G3，标识视频监控业务；

——GGGG:G4，标识物