金融业IPv6部署和应用评估方法探索研究报告-2024.07-24正式版-WN8

金融业

IPv6

部署和应用评估方法探索研究报告北京金融科技产业联盟2024

年

7

月编制委员会编委会成员：聂丽琴

张海燕编写组成员：赵春华

李红曼

张倩倩

马

超

徐晓宇

陈

耿

傅

正李洪波

王

晨

张

强

程锋章

平庆瑞

叶官青编审：黄本涛

周参编单位：北京金融科北京国家金中国农业银华为技术有网联清算有新华三技术有限公司北京凝思软件股份有限公司锐捷网络股份有限公司中钞信用卡产业发展有限公司II前

言推动IPv6规模部署是建设网络强国的重要国家战略。在中国人民银行等金融管理部门的统筹指导下，金融行业IPv6规模部署和应用创新取得了显著成效，IPv6支持率持续提升，创新应用不断涌现。中国人民银行发布的《金融科技发展规划（2022—2025年

）》提出面推进互联能用向好用变”的任务为匹配，明确“全用，实现从内生驱动转积极研究新研究报告，参考。本报IPv6规模部系，并对评。技术对评估以期为金融告首先对I署和应用创估实施方法III一、IPv6评估验证体系现状概述《关于金融行业贯彻〈推进互联网协议第六版（IPv6）规模部署行动计划〉的实施意见》（银发〔2018〕343号）（以下简称《实施意见》）中明确提出，金融服务机构面向公众服务的互联网应用系统和门户网站要支持IPv6链接访问。为贯彻落实《实施意见》要求，中国人民银行从全局着眼，统筹规划IPv6评估验证方法体系（一）用。2019年业IPv6规模、安全

、保覆盖了IPv6，为金融服部署技术验障措施和运规模部署的务机构自查北京国“北京国金用系统IPv6运维以及管认证”）制定支持评测指理制度等7大模块，细化多个量化考核指标，并根据评测得分将认证结果分为不同级别，形成差异化、阶梯化的评估体系，以树立标杆，推进行业示范。（二）IPv6

金融认证服务已在行业落地为推动“定期开展企业、行业、区域应用情况评测”的工作，中国人民银行建设金融行业IPv6发展监测平台。监测平台从网站1IPv6改造度、网站IPv6和IPv4的一致性、网站二三级链接IPv6支持率等7个方面对金融机构网站和应用进行动态监测，通过分地区、分类型的展示功能为全面客观掌握IPv6规模部署和改造情况提供支撑。第三方检测认证专业机构积极协助政策落地。北京国金认证推出IPv6金融认证服务和国推认证服务，覆盖门户网站、面向公众服务的互（三）2022应用推广、共识。中国向金融服务从应用、网访问的支持地址、NAT二、新出制定IPv6进一步凝聚业标准，面APP应用，对IPv6连接路由协议、。（一）总体要求当前IPv6评估指标体系重点面向互联网应用系统，覆盖应用、网络、安全、保障措施和运维等多层面，有效支撑金融服务机构自评估、第三方机构评估、行业监测等工作开展。新阶段金融业加快推进IPv6规模部署和应用、实现从能用向好用演进的目标要求，对现有的IPv6评估指标体系也提出了新的要求。2一是对IPv6验证对象和范围会进一步扩展。在金融机构门户网站和业务系统相关指标基础上，IPv6的验证对象会从针对网络和应用向网络、终端、应用及安全多维度扩展，其中IPv6网络范围会包括广域网、分支机构网络、数据中心等多个领域。二是对IPv6技术体系支持度会进一步细化。随着IPv6+创新技术，例如分段路由、随流检测、网络切片等技术的演进及加速部署，针对和评估标准（二）的评估手段围绕“、数据中心互联网应用分类原则，盖网络范围、IPv6活跃能力和IPv6的IPv6改造系统IPv6支全面设计新扩展，另一度、IPv6网运维支撑体1.信息基础设施的IPv6覆盖度指标本指标用于评估各类金融信息基础设施IPv6部署的总体完成情况，具体指标如表1所示。3表

1

金融信息基础设施IPv6覆盖度指标维度指标定义指标说明支持IPv6协议的网络设备数量/占比。部署IPv6/IPv4双栈的网络设备数量/占比。IPv6协议支持度IPv6

网络能力IPv6双栈部署度IPv6单栈部署度部署IPv6单栈的网络设备数量/占比。办公终端支持IPv6的设备数量/占比。数量/占比。IPv6

终端能力数量/占比。。IPv6

应用系统能力。数量/占比。安全设备数IPv6

安全能力备数量/占说明：（1）标进行有效评估。（2）评估过程建议与《实施意见》中演进路线相匹配，具体如下：（a）自阶段一起，新采购信息基础设施均需满足IPv6支持度要求。6活跃度指（b）在阶段一和阶段二期间，新部署的网络及安全设备优4选IPv6单栈方式部署，如需与IPv4存量适配，须通过IPv6/IPv4双栈方式部署，以逐步提升IPv6占比。（c）至阶段三实现IPv6单栈全面部署的目标。2.网络基础设施的

IPv6

活跃度指标本指标用于评估各网络领域IPv6业务流量的占比情况，以间接评估终端和应用系统的IPv6部署情况。具体指标如表2所示。维度明6出入业务出入业务流6出入业务出入业务流网（包括互联面向外部及IPv6

活跃度络基础设施）占各分区网占比。数据中心网络中内网（业务区域网络）IPv6出入业务流量占数据中心网络总出入业务流量占比。分析获取园区网络中IPv6出入业务流量占园区网络总出入业务流量占比。园区网络IPv6承载业务流量占比5说明：（1）IPv6业务流量占比计算公式如下：（a）IPv6

出业务流量占比

=

IPv6

出业务流量/（IPv4

出业务流量+IPv6

出业务流量）。（b）IPv6

入业务流量占比

=

IPv6

入业务流量/（IPv4

入业务流量+IPv6

出业务流量）。（2）中心网络、跃度，入流（3）网络、数据接情况及活相匹配，具体如下：（a）提升。（b）提升，以实现IPv6单栈3.网络本指标以综合评估IPv6部署后网络总体质量，指导达成“网络好用”的发展目标。具体指标如表3所示。6表

3

金融网络基础设施

IPv6

网络质量指标指标定义

指标说明广域骨干IPv6网络质

通过验证IPv6广域骨干网络承载的业务指标，综合评估网络质量。维度IPv6

网络质量量广域分支IPv6网络质

通过验证IPv6广域分支网络承载的量业务指标，综合评估网络质量。通过验证IPv6数据中心网络中外网及DMZ等面向网络基础设综合评估网网络中内网的业务指标，及内网IPv6的质量。承载的业务量。说明：（1）IPv6网络质量通过IPv6业务相比IPv4业务在时延、抖动、丢包综合劣化的结果进行呈现，计算公式如下：（a）IPv6业务时延劣化结果=

（IPv6业务时延-IPv4业务时延）/IPv4业务时延，若小于0则取用结果0。IPv6业务时延

=

检测网络中N个IPv6业务时延之和/N。IPv4业务时延

=

检测网络中N个IPv4业务时延之和/N。7（b）IPv6业务丢包结果

=（IPv6业务丢包率-IPv4业务丢包率）/IPv4业务丢包率，若小于0则取用结果0。IPv6业务丢包率

=

检测网络中N个IPv6业务丢包率之和/N。IPv4业务丢包率

=

检测网络中N个IPv4业务丢包率之和/N。（c）IPv6业务抖动结果

=（IPv6业务抖动-IPv4业务抖动）/IPv4业务抖动，若小于0则取用结果0。IPv6业IPv4业和/N。和/N。（d）权重30%

+重30%。IPv6业务丢（2）一个重要的衡量标准，（3）过转换成功成功数/网率进行计算IPv6络

NAT

转换4.网络基础设施的

IPv6

网络可靠性指标本指标通过对IPv6网络可靠性进行综合评估，支撑IPv6业务连续不中断的目标达成。具体指标如表4所示。8表

4

金融网络基础设施

IPv6

可靠性指标维度指标定义广域骨干IPv6网络可靠性指标说明通过验证链路及设备冗余化部署，评估IPv6广域骨干网络的可靠性。通过验证链路及设备冗余化部署，评估IPv6广域分支网络的可靠性。通过验证链路及设备冗余化部署，评外网（包括互广域分支IPv6网络可靠性IPv6

网络高可靠向外部及三设施）的可靠余化部署，评内网（业务区余化部署，评性。说明：（1）备冗余化部满足。署得到支撑（2）基础设施的IPv6网络可靠性，是IPv6规模部署演进中的基础衡量标准，在三个演进阶段均需关注参考。5.信息基础设施的

IPv6

安全防护能力指标本指标用于评估IPv6业务端到端的安全体系化能力，与前述IPv6覆盖度指标中IPv6安全能力指标互为补充。以是否部署为判定条件，具体能力要求可根据总体评估目标详细设定。具体指标9如表5所示。表

5

金融信息基础设施

IPv6

安全防护能力指标维度指标定义指标说明网络中是否部署零信任技术，并实现网络零信任安全

IPv6终端准入控制、IPv6终端安全隔离，及IPv6终端数据隔离。网络安全策略升

IPv6安全策略应保持并增强原有IPv4环求。力：集、分析溯IPv6

安全防护流量进行安配置部署。相关日志进配置部署。是否配置部防护、抗DDos说明：本指标准之一，在三个演进阶段均需关注参考。6.网络基础设施的

IPv6

运维支撑体系健全度指标本指标用于评估网络运维支撑的综合能力，实现IPv6更高效、智能的管理，指导达成“网络好用”的发展目标。以是否部署为判定条件，具体能力要求可根据总体评估目标详细设定。具体指10标如表6所示。表

6

金融网络基础设施

IPv6

运维支撑体系健全度指标维度指标定义指标说明网管设施是否支持对IPv6网络的日志告警、事件管理、性能采集等，并配置部署。网络运维系统网管设施是否支持对IPv6网络管理，并配置Pv6业务的时延、抖动、时监控及呈IPv6

运维支撑Pv6业务带现能力及趋势部署。基于IPv6对和控制，并配，是否支持通过RESTFUL、SNMP、Kafka等主流接口实现开放对接，支持对网络监控质量、业务部署、业务服务质量及趋势等数据北向开放，并配置部署。开放可编程说明：11本指标是

IPv6

规模部署演进中必不可少的衡量标准。评估建议如下：（1）在阶段一，网络运维系统、网络监控系统作为

IPv6

运维基础要求，相关指标均应满足。（2）从阶段二至阶段三，需逐步达成网络分析系统和开放可编程的对应指标，以满足

IPv6

单栈全面部署的目标达成后的运维支撑要（三）IPv6+是金融业I应匹配技术部署规模和力水平。了基础，也估指标体系引入能力和转变”的能1.面向，评估金融。具体指标机构骨干网如表7所示表

7

金融网络基础设施

IPv6+网络可编程能力指标维度指标指标说明支持SRv6的网络设备数目/域内所有网络设备数目。SRv6协议支持度SRv6

技术应用部署SRv6的网络设备数目/域内所有网络设备数目。SRv6部署浓度SRv6流量占比SRv6流量/域内网络总流量。12维度指标指标说明是否支持通过控制器实现SRv6的自动化，并配置部署。SRv6部署效率是否支持通过控制器实现SRv6业务路径的自动化编排定义、自动化路径调整，并配置部署。SRv6转发效率2.面向测、新型组网络设备的播等创新IPv6+业务维度数目/域内所数目/域内所流量。实现iFIT业随流检测iFIT技术应用置部署。是否支持通过iFIT方式实现VPN、五元组等多维度的网络状态可视，并配置部署。iFIT可视化能力是否支持通过iFIT方式对业务时延、抖动、丢包率进行多维度度量，并配置部署。iFIT网络监测指标网络切片支持度网络切片技术应用支持切片的网络设备/域内所有网络设备数目。13维度指标指标说明部署切片的网络设备/域内所有网络设备数目。网络切片部署浓度网络切片流量占比切片网络质量评估网络切片流量/域内网络总流量。切片网络业务时延与承诺时延的偏差。支持Bierv6的网络设备/域内所有网络设备数目。Bierv6协议支持度新型组播Bierv6技术应用备/域内所有总流量。rv6网络承载不低于IPv4。3.面向署，实现应络设备的I技术应用部络领域内网维度APN6协议支持度

支持APN的网络设备/域内网络总流量。APN6部署浓度APN6流量占比部署APN的网络设备/域内网络总流量。APN6流量/域内网络总流量。应用感知APN6技术应用网络是否支持基于APN6实现自定义应用的可视化，并配置部署。APN6可视化能力原生APN6能力办公终端、物联终端、生产终端是否支持发起APN6流量，并配置部署。14三、新阶段IPv6评估实施方法探索金融业IPv6部署和应用评估指标的不断丰富，对具体的评估验证方法、技术、工具、环境、平台、机制等多方面也提出了新的课题，需要在发展中深入研究。围绕各阶段的目标要求，通过多种创新技术和方法逐步落地。新阶段IPv6评估验证主要提出两方面要求：一方面中心出口网及

DMZ、内络、安全及另一方有针对数据网络（外网全，园区网IPv6

覆盖度、活跃度标，以及多上述要程度评估指全流程均提出了新的课（一）多维度的IPv6指标需要采取差异化、创新性的监测技术和手段实现。需要结合指标要求、业务特点、场景差异等因素综合考虑。以IPv6网络质量指标为例，针对广域网络的监测和数据中心网络的监测，数据采集过程中可能采用不同的技术。例如，数据中心网络可以考虑采用镜像、拨测等技术，广域网络可以考虑采用NetStream、Telemetry等数据采集上报技术。同时，可以采用15更多的创新监测手段。例如，针对网络设备和终端、应用系统，可以针对数据采集的数据类别、取样时间、取样范围、取样频度等尝试更多创新性的采集方法。新阶段IPv6评估验证数据采集的范围、数据内容、数据量、工作量都将不断增长。同时，为提升监测质量及结果准确性，需要提高数据采集频度。然而，传统数据采集以部分工具采样为基础、人工核需要推动I决数据采集数据采因此，同样创新，以解性问题。台支持。当前相关研究研究。（二）对于采化和分析，以及金融管并进行是否理部门管理在研究索IPv6监测结果评估的工具化和自动化。数据分析和评估可借助大数据分析、人工智能等创新性技术，以提升评估结果的准确性和时效性。探索金融管理部门和商业机构的采集评估工具进行双向协同，以充分释放金融数字化转型技术红利。现有的监测数据结果的呈现能力不断提升，进一步优化和完善金融业多领域网络、安全、终端和应用的IPv6支持及部署情况。首先，进一步完善监测平台内容。16扩展呈现范围到全IPv6网络领域、安全等。同时进一步完善呈现类别，例如IPv6可靠性、IPv6体验等。其次，实现监测平台数据来源自动化。在IPv6监测数据采集及IPv6监测结果评估均实现工具化、自动化的基础上，监测平台可根据标准化要求与采集、评估工具对接，周期性进行数据自动化获取及呈现。四、未来研究方向当前，的重要方向融行业

IP术创新研究配国家和金进行更完善的设