DB32T-电子政务外网 5G平面和IPv6网络技术规范 第3部分：IPv6部署要求

DB32/TXXXXX—XXXXICS 35.240.01FORMTEXTCCSL67DBFORMTEXT32DB32/TFORMTEXTXXXXX—FORMTEXTXXXXFORMTEXT电子政务外网5G平面和IPv6网络技术规范第3部分：IPv6部署要求FORMTEXTE-governmentnetwork—Technicalspecificationsof5GplaneandIPv6networkplatform—Part3:IPv6deploymentrequirementFORMDROPDOWNFORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施FORMTEXT江苏省市场监督管理局   发布电子政务外网5G平面和IPv6网络技术规范第3部分：IPv6部署要求范围本文件规定了电子政务外网（以下简称“政务外网”）IPv6部署的网络结构、技术要求、安全要求、管理系统要求、支撑系统要求等。本文件适用于政务外网管理机构、接入部门、设计单位对IPv6网络进行规划、建设、管理等。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239 信息安全技术网络安全等级保护基本要求GB/T25070信息安全技术网络安全等级保护安全设计技术要求YD/T2139IPv6网络域名服务器技术要求YD/T2296IPv6动态主机配置协议技术要求DB32/T3514.1电子政务外网建设规范第1部分：网络平台术语和定义DB32/T3514.1界定的以及下列术语和定义适用于本文件。网络切片networkslicing为用户提供特定网络能力和网络特征(如资源隔离、SLA保障特性等)，以及多种业务属性的逻辑网络。随流检测in-situflowinformationtelemetry一种直接对业务报文进行端到端测量，从而得到网络的真实丢包率、时延等性能指标的检测方式，具有部署方便、统计精度高等突出优点。缩略语下列缩略语适用于本文件。APN6：应用感知的IPv6网络（Application-awareIPv6Networking）AS：自治系统

（AutonomousSystem）

DHCPv6：动态主机配置协议版本6（DynamicHostConfigurationProtocolVersion6）EBGP：外部边界网关协议（ExternalBorderGatewayProtocol）IGP：内部网关协议（InteriorGatewayProtocol）IPv4：互联网协议-第4版（InternetProtocolVersion4）IPv6：互联网协议-第6版（InternetProtocolVersion6）IPv6+：基于IPv6下一代互联网的升级（InternetProtocolVersion6Plus）MSTP：多业务传送平台（Multi-ServiceTransferPlatform）MTU：最大传输单元（MaximumTransmissionUnit）OTN：光传送网（OpticalTransmissionNet）PE：运营商边缘（ProviderEdge）SDH：同步数字系列（SynchronousDigitalHierarchy）SLA：服务等级协议（ServiceLevelAgreement）SLAAC：无状态地址自动配置（StatelessAddressAutoconfiguration）SRv6：基于IPv6的段路由（SegmentRoutingoverIPv6）VLAN：虚拟局域网（VirtualLocalAreaNetwork）VPN：虚拟专用网络（VirtualPrivateNetwork）网络结构政务外网由省、市、县三级组成，具体如下：省级政务外网包含省级广域网、省级城域网、省级部门接入网；市级政务外网包含市级广域网、市级城域网、市级部门接入网；县级政务外网包含县级城域网、县级部门接入网、乡（镇、街道）接入网、村（社区）接入网。政务外网IPv6网络实行统一规划、统一标准、分级建设、分级管理。技术要求总体要求政务外网建设应向IPv6单栈模式发展演进。IPv6单栈演进应遵循广域网/城域网、政务云、管理与支撑系统先行建设，部门接入网（含终端）和应用系统协同跟进原则。IPv6单栈建设应采用SRv6、网络切片、随流检测等技术，实现网络路径的灵活调度和网络质量的确定性保障。IPv6网络应不使用地址转换技术。IPv6设备应符合自主可控相关要求。广域网/城域网应采用SRv6技术为IPv6业务承载提供网络路径可编程能力，结合链路资源使用情况，实时动态调整流量路径。过渡期内可通过SRv6VPN技术统一承载IPv4、IPv6业务。应采用网络切片技术为IPv6业务提供确定性带宽保障，具体要求如下：常用以太网接口（如10G接口、40G接口、100G接口等）应支持网络切片；网络应具备不同层次的切片能力，如1G、2G、5G、10G等；网络切片技术应与IGP技术解耦，不同的网络切片可共用相同的接口地址和IGP路由协议。应采用随流检测技术为IPv6业务提供状态实时感知和故障快速定界能力，检测粒度应细化到单个部门或具体业务。应根据业务需要进行带宽实时保障和网络质量监控，宜采用APN6技术对IPv6业务进行识别。政务外网通信链路应为IPv6业务提供专用的二层点对点链路，如OTN、MSTP、SDH、IP切片专线、裸光纤等。链路带宽应满足IPv6部署需求。应对链路使用情况进行实时监测，并根据实际带宽流量动态扩缩容，同时不影响业务正常使用。IPv6设备MTU值设置应大于等于2000字节。网络设备的IPv6功能应符合附录A要求。部门接入网部门接入网的IPv6部署具体要求如下：应建设IPv6单栈网络，过渡期内可采用IPv4/IPv6双栈；应通过VLAN、网络切片等技术，对视频会议、政务服务等不同业务进行逻辑隔离；应通过DHCPv6协议为终端统一分配IPv6地址，地址分配记录应至少保存6个月；与政务外网边界设备对接应采用静态路由或动态路由，当采用动态路由时，仅发布规划中的部门政务外网地址段；接入政务外网时，应按照国家和行业相关安全标准进行边界防护。政务云政务云的IPv6部署具体要求如下：应建设IPv6单栈资源池满足业务部署要求，过渡期内可通过地址转换技术实现IPv6单栈应用与存量IPv4应用或用户之间的互访；应采用静态路由或动态路由与政务外网网络对接，当采用动态路由时，仅发布规划中的政务云地址段。应用系统应用系统应基于IPv6进行部署，具体要求如下：新建应用系统应采用IPv6单栈部署，过渡期内存在IPv4用户访问的，可通过地址转换技术访问IPv6应用系统；原有应用系统应进行IPv6单栈改造。业务承载所有业务应使用SRv6VPN进行承载，具体要求如下：应将城域网接入设备作为PE，部署VPN实例，满足不同业务的逻辑隔离要求；应根据业务需求进行SRv6VPN规划，过渡期内VPN规划应兼容原有IPv4业务。AS域间对接AS域间IPv6网络对接应采用OptionA方式，当前采用OptionB方式对接的，可通过在域间设备增加业务互联接口，配置静态路由或EBGP进行业务路由交换，实现OptionA方式。安全要求总体要求IPv6网络建设应符合GB/T22239、GB/T25070等网络安全等级保护相关要求，省市两级IPv6网络建设应满足网络安全等级保护第三级要求。IPv6网络安全防护能力应满足业务需求。存量网络进行IPv6改造后，其安全防护能力不应低于原有网络。安全设备应具备“IPv6+”技术能力，其功能应符合附录B的要求。安全准入IPv6网络安全准入具体要求如下：应对IPv6用户接入实施身份鉴别、认证，并基于角色进行应用访问控制；应对IPv6用户地址进行溯源管理；应对终端环境进行持续检测和评估，并根据评估情况，按最小授权原则动态调整其应用访问权限。安全防护IPv6网络安全防护具体要求如下：应对政务云、部门接入网等的业务流量进行安全防护，包括安全访问控制、入侵防御、防病毒等，宜采用集中部署安全资源池的方式；应加强IPv6终端安全防护，实时监测终端流量，对非授权访问、异常流量等行为进行管控；广域网/城域网等关键节点处应具备主动检测和威胁阻断能力，对重要时期网络安全进行保障；应采用SRv6技术对网络和安全设备进行统一路径编排，实现网络流量的按需防护；使用加密算法对数据进行加密时，应符合密码应用相关要求。安全监测和管理IPv6网络安全监测和管理具体要求如下：应采集IPv6业务流量、网络和安全设备日志、系统运行数据等信息，通过关联分析实现风险识别、威胁发现、通报预警、态势呈现、威胁处置等能力；安全监测数据应至少保存6个月；应对安全策略进行统一管理，包括安全策略的配置、下发、导出、导入、备份等；应将安全事件、脆弱性、配置、可用性等安全监测结果进行可视化展现；应对资产进行统一管理，包括资产名称、IP地址、类型、责任人以及资产属性等的采集、记录、变更；应提供标准外部通信与数据接口，与上下级平台和第三方系统实现互联。管理系统要求总体要求管理系统应支持对IPv6单栈网络进行统一管理，具备资源管理、运行监控、智能分析等功能。资源管理资源管理具体要求如下：应采用基于YANG模型的NETCONF等模式对设备进行配置管理；应支持对IPv6网络中的设备进行配置下发、配置检查、配置文件备份等；应对IPv6网络的SRv6VPN、隧道、网络切片等资源进行管理，包含资源创建、发放、回收和删除，以及路径和带宽等的动态调整。运行监控运行监控主要包括态势监控、拓扑监控和IPv6发展情况监测，具体要求如下：应对IPv6网络的网络态势、安全态势进行统一监控，包括设备和链路的健康度、资源和负载的使用情况、资产安全态势、威胁事件态势等；应对本级及所辖下级网络的IPv6网络拓扑进行统一监控、呈现，包括物理网络拓扑、SRv6VPN拓扑、网络切片拓扑等；应对IPv6就绪度进行监测管理，监测指标参见附录C。智能分析智能分析主要包括质量分析、故障分析、网络异常检测、容量预测，具体要求如下：应采用随流检测技术对网络中业务服务质量进行实时检测和质量分析，支持随真实业务流的丢包率和时延检测；应具备网络的故障感知、故障业务路径还原和故障定界定位能力，支持本级及所辖下级网络的跨域协同故障分析能力；应对业务流量进行采集、安全分析和威胁溯源，联动网络、安全设备执行威胁隔离、阻断动作；应对网络的设备资源、网络流量、带宽利用率等指标进行异常检测，宜支持Telemetry高精度采集；应具备网络的容量预测能力，包括设备资源容量预测和网络流量预测。支撑系统要求总体要求IPv6网络应具备域名服务、地址分配、地址管理等系统服务能力。域名服务域名服务应符合YD/T2139的要求，此外还应满足以下要求：解析记录类型同时支持AAAA、A记录；支持纯IPv6、IPv6/IPv4双栈的混合解析。地址分配地址分配应符合YD/T2296的要求，此外还应满足以下要求：支持无状态地址自动配置（SLAAC）；支持IPv6地址分配、续租、回收；支持IPv6地址溯源功能。地址管理地址管理具体要求如下：应根据类型域、区划域、部门域等自定义语义标识进行IPv6地址的规划；应对IPv6地址进行可视化的生命周期管理，包括IP地址批量分配、预留和回收等；应对IPv6地址子网进行管理，包括IP子网的监测、创建、导入、编辑、删除；应与地址分配系统进行联动，自动下发子网信息到地址分配系统；应对全网IPv6地址使用数、在线数、使用率、分配率进行统计；应具备基于IPv6地址的资产管理功能，包括终端资产、设备资产和应用资产等；应能够对IPv6地址进行分权分域管理。A

（规范性）

网络设备功能要求网络设备IPv6功能应符合表A.1要求。表A.1网络设备功能要求功能分类要求二层功能VLAN路由协议静态IPv6路由、OSPFv3、IS-ISIPv6、BGP4+、MP-BGP业务承载L3VPNv6、EVPN，支持MPLSLDP、6vPE、SRv6隧道质量保障QoS、网络切片、APN6可靠性硬件支持部件冗余，设备系统软件支持Ti-LFA、VPNFRR、BFD等快速收敛协议网络管理支持NTP/1588v2/1588ATR等时钟服务，支持SNMP/YANG等管理协议，支持NQA、Twamp、随流检测等技术B

（规范性）

安全设备功能要求安全设备IPv6功能应符合表B.1要求。表B.1安全设备功能要求功能分类要求安全检测能力支持对IPv4/IPv6流量的安全威胁的检测，支持SRv6、网络切片等IPv6+场景下业务流量安全检测安全防护能力支持对IPv4/IPv6流量的安全防护，支持SRv6、网络切片等IPv6+场景下业务流量安全防护网络兼容支持IPv4/IPv6双栈网络管理支持IPv4/IPv6双栈的SNMP/YANG等管理协议可靠性支持双机热备、硬件冗余部署

（资料性）

IPv6发展监测指标IPv6发展监测指标见表C.1。表C.1IPv6发展监测指标监测维度监测指标指标说明活跃用户IPv6物联网终端活跃连接数和占比已经获得IPv6地址，且在30天内具备有效IPv