DB32T-電子政務外網(wǎng) 5G平面和IPv6網(wǎng)絡技術規(guī)范 第3部分：IPv6部署要求

DB32/TXXXXX—XXXXICS?35.240.01FORMTEXTCCSL67DBFORMTEXT32DB32/TFORMTEXTXXXXX—FORMTEXTXXXXFORMTEXT電子政務外網(wǎng)5G平面和IPv6網(wǎng)絡技術規(guī)范第3部分：IPv6部署要求FORMTEXTE-governmentnetwork—Technicalspecificationsof5GplaneandIPv6networkplatform—Part3:IPv6deploymentrequirementFORMDROPDOWNFORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX實施FORMTEXT江蘇省市場監(jiān)督管理局???發(fā)布電子政務外網(wǎng)5G平面和IPv6網(wǎng)絡技術規(guī)范第3部分：IPv6部署要求范圍本文件規(guī)定了電子政務外網(wǎng)（以下簡稱“政務外網(wǎng)”）IPv6部署的網(wǎng)絡結構、技術要求、安全要求、管理系統(tǒng)要求、支撐系統(tǒng)要求等。本文件適用于政務外網(wǎng)管理機構、接入部門、設計單位對IPv6網(wǎng)絡進行規(guī)劃、建設、管理等。規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239 信息安全技術網(wǎng)絡安全等級保護基本要求GB/T25070信息安全技術網(wǎng)絡安全等級保護安全設計技術要求YD/T2139IPv6網(wǎng)絡域名服務器技術要求YD/T2296IPv6動態(tài)主機配置協(xié)議技術要求DB32/T3514.1電子政務外網(wǎng)建設規(guī)范第1部分：網(wǎng)絡平臺術語和定義DB32/T3514.1界定的以及下列術語和定義適用于本文件。網(wǎng)絡切片networkslicing為用戶提供特定網(wǎng)絡能力和網(wǎng)絡特征(如資源隔離、SLA保障特性等)，以及多種業(yè)務屬性的邏輯網(wǎng)絡。隨流檢測in-situflowinformationtelemetry一種直接對業(yè)務報文進行端到端測量，從而得到網(wǎng)絡的真實丟包率、時延等性能指標的檢測方式，具有部署方便、統(tǒng)計精度高等突出優(yōu)點?？s略語下列縮略語適用于本文件。APN6：應用感知的IPv6網(wǎng)絡（Application-awareIPv6Networking）AS：自治系統(tǒng)

（AutonomousSystem）

DHCPv6：動態(tài)主機配置協(xié)議版本6（DynamicHostConfigurationProtocolVersion6）EBGP：外部邊界網(wǎng)關協(xié)議（ExternalBorderGatewayProtocol）IGP：內部網(wǎng)關協(xié)議（InteriorGatewayProtocol）IPv4：互聯(lián)網(wǎng)協(xié)議-第4版（InternetProtocolVersion4）IPv6：互聯(lián)網(wǎng)協(xié)議-第6版（InternetProtocolVersion6）IPv6+：基于IPv6下一代互聯(lián)網(wǎng)的升級（InternetProtocolVersion6Plus）MSTP：多業(yè)務傳送平臺（Multi-ServiceTransferPlatform）MTU：最大傳輸單元（MaximumTransmissionUnit）OTN：光傳送網(wǎng)（OpticalTransmissionNet）PE：運營商邊緣（ProviderEdge）SDH：同步數(shù)字系列（SynchronousDigitalHierarchy）SLA：服務等級協(xié)議（ServiceLevelAgreement）SLAAC：無狀態(tài)地址自動配置（StatelessAddressAutoconfiguration）SRv6：基于IPv6的段路由（SegmentRoutingoverIPv6）VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）VPN：虛擬專用網(wǎng)絡（VirtualPrivateNetwork）網(wǎng)絡結構政務外網(wǎng)由省、市、縣三級組成，具體如下：省級政務外網(wǎng)包含省級廣域網(wǎng)、省級城域網(wǎng)、省級部門接入網(wǎng)；市級政務外網(wǎng)包含市級廣域網(wǎng)、市級城域網(wǎng)、市級部門接入網(wǎng)；縣級政務外網(wǎng)包含縣級城域網(wǎng)、縣級部門接入網(wǎng)、鄉(xiāng)（鎮(zhèn)、街道）接入網(wǎng)、村（社區(qū)）接入網(wǎng)。政務外網(wǎng)IPv6網(wǎng)絡實行統(tǒng)一規(guī)劃、統(tǒng)一標準、分級建設、分級管理。技術要求總體要求政務外網(wǎng)建設應向IPv6單棧模式發(fā)展演進。IPv6單棧演進應遵循廣域網(wǎng)/城域網(wǎng)、政務云、管理與支撐系統(tǒng)先行建設，部門接入網(wǎng)（含終端）和應用系統(tǒng)協(xié)同跟進原則。IPv6單棧建設應采用SRv6、網(wǎng)絡切片、隨流檢測等技術，實現(xiàn)網(wǎng)絡路徑的靈活調度和網(wǎng)絡質量的確定性保障。IPv6網(wǎng)絡應不使用地址轉換技術。IPv6設備應符合自主可控相關要求。廣域網(wǎng)/城域網(wǎng)應采用SRv6技術為IPv6業(yè)務承載提供網(wǎng)絡路徑可編程能力，結合鏈路資源使用情況，實時動態(tài)調整流量路徑。過渡期內可通過SRv6VPN技術統(tǒng)一承載IPv4、IPv6業(yè)務。應采用網(wǎng)絡切片技術為IPv6業(yè)務提供確定性帶寬保障，具體要求如下：常用以太網(wǎng)接口（如10G接口、40G接口、100G接口等）應支持網(wǎng)絡切片；網(wǎng)絡應具備不同層次的切片能力，如1G、2G、5G、10G等；網(wǎng)絡切片技術應與IGP技術解耦，不同的網(wǎng)絡切片可共用相同的接口地址和IGP路由協(xié)議。應采用隨流檢測技術為IPv6業(yè)務提供狀態(tài)實時感知和故障快速定界能力，檢測粒度應細化到單個部門或具體業(yè)務。應根據(jù)業(yè)務需要進行帶寬實時保障和網(wǎng)絡質量監(jiān)控，宜采用APN6技術對IPv6業(yè)務進行識別。政務外網(wǎng)通信鏈路應為IPv6業(yè)務提供專用的二層點對點鏈路，如OTN、MSTP、SDH、IP切片專線、裸光纖等。鏈路帶寬應滿足IPv6部署需求。應對鏈路使用情況進行實時監(jiān)測，并根據(jù)實際帶寬流量動態(tài)擴縮容，同時不影響業(yè)務正常使用。IPv6設備MTU值設置應大于等于2000字節(jié)。網(wǎng)絡設備的IPv6功能應符合附錄A要求。部門接入網(wǎng)部門接入網(wǎng)的IPv6部署具體要求如下：應建設IPv6單棧網(wǎng)絡，過渡期內可采用IPv4/IPv6雙棧；應通過VLAN、網(wǎng)絡切片等技術，對視頻會議、政務服務等不同業(yè)務進行邏輯隔離；應通過DHCPv6協(xié)議為終端統(tǒng)一分配IPv6地址，地址分配記錄應至少保存6個月；與政務外網(wǎng)邊界設備對接應采用靜態(tài)路由或動態(tài)路由，當采用動態(tài)路由時，僅發(fā)布規(guī)劃中的部門政務外網(wǎng)地址段；接入政務外網(wǎng)時，應按照國家和行業(yè)相關安全標準進行邊界防護。政務云政務云的IPv6部署具體要求如下：應建設IPv6單棧資源池滿足業(yè)務部署要求，過渡期內可通過地址轉換技術實現(xiàn)IPv6單棧應用與存量IPv4應用或用戶之間的互訪；應采用靜態(tài)路由或動態(tài)路由與政務外網(wǎng)網(wǎng)絡對接，當采用動態(tài)路由時，僅發(fā)布規(guī)劃中的政務云地址段。應用系統(tǒng)應用系統(tǒng)應基于IPv6進行部署，具體要求如下：新建應用系統(tǒng)應采用IPv6單棧部署，過渡期內存在IPv4用戶訪問的，可通過地址轉換技術訪問IPv6應用系統(tǒng)；原有應用系統(tǒng)應進行IPv6單棧改造。業(yè)務承載所有業(yè)務應使用SRv6VPN進行承載，具體要求如下：應將城域網(wǎng)接入設備作為PE，部署VPN實例，滿足不同業(yè)務的邏輯隔離要求；應根據(jù)業(yè)務需求進行SRv6VPN規(guī)劃，過渡期內VPN規(guī)劃應兼容原有IPv4業(yè)務。AS域間對接AS域間IPv6網(wǎng)絡對接應采用OptionA方式，當前采用OptionB方式對接的，可通過在域間設備增加業(yè)務互聯(lián)接口，配置靜態(tài)路由或EBGP進行業(yè)務路由交換，實現(xiàn)OptionA方式。安全要求總體要求IPv6網(wǎng)絡建設應符合GB/T22239、GB/T25070等網(wǎng)絡安全等級保護相關要求，省市兩級IPv6網(wǎng)絡建設應滿足網(wǎng)絡安全等級保護第三級要求。IPv6網(wǎng)絡安全防護能力應滿足業(yè)務需求。存量網(wǎng)絡進行IPv6改造后，其安全防護能力不應低于原有網(wǎng)絡。安全設備應具備“IPv6+”技術能力，其功能應符合附錄B的要求。安全準入IPv6網(wǎng)絡安全準入具體要求如下：應對IPv6用戶接入實施身份鑒別、認證，并基于角色進行應用訪問控制；應對IPv6用戶地址進行溯源管理；應對終端環(huán)境進行持續(xù)檢測和評估，并根據(jù)評估情況，按最小授權原則動態(tài)調整其應用訪問權限。安全防護IPv6網(wǎng)絡安全防護具體要求如下：應對政務云、部門接入網(wǎng)等的業(yè)務流量進行安全防護，包括安全訪問控制、入侵防御、防病毒等，宜采用集中部署安全資源池的方式；應加強IPv6終端安全防護，實時監(jiān)測終端流量，對非授權訪問、異常流量等行為進行管控；廣域網(wǎng)/城域網(wǎng)等關鍵節(jié)點處應具備主動檢測和威脅阻斷能力，對重要時期網(wǎng)絡安全進行保障；應采用SRv6技術對網(wǎng)絡和安全設備進行統(tǒng)一路徑編排，實現(xiàn)網(wǎng)絡流量的按需防護；使用加密算法對數(shù)據(jù)進行加密時，應符合密碼應用相關要求。安全監(jiān)測和管理IPv6網(wǎng)絡安全監(jiān)測和管理具體要求如下：應采集IPv6業(yè)務流量、網(wǎng)絡和安全設備日志、系統(tǒng)運行數(shù)據(jù)等信息，通過關聯(lián)分析實現(xiàn)風險識別、威脅發(fā)現(xiàn)、通報預警、態(tài)勢呈現(xiàn)、威脅處置等能力；安全監(jiān)測數(shù)據(jù)應至少保存6個月；應對安全策略進行統(tǒng)一管理，包括安全策略的配置、下發(fā)、導出、導入、備份等；應將安全事件、脆弱性、配置、可用性等安全監(jiān)測結果進行可視化展現(xiàn)；應對資產(chǎn)進行統(tǒng)一管理，包括資產(chǎn)名稱、IP地址、類型、責任人以及資產(chǎn)屬性等的采集、記錄、變更；應提供標準外部通信與數(shù)據(jù)接口，與上下級平臺和第三方系統(tǒng)實現(xiàn)互聯(lián)。管理系統(tǒng)要求總體要求管理系統(tǒng)應支持對IPv6單棧網(wǎng)絡進行統(tǒng)一管理，具備資源管理、運行監(jiān)控、智能分析等功能。資源管理資源管理具體要求如下：應采用基于YANG模型的NETCONF等模式對設備進行配置管理；應支持對IPv6網(wǎng)絡中的設備進行配置下發(fā)、配置檢查、配置文件備份等；應對IPv6網(wǎng)絡的SRv6VPN、隧道、網(wǎng)絡切片等資源進行管理，包含資源創(chuàng)建、發(fā)放、回收和刪除，以及路徑和帶寬等的動態(tài)調整。運行監(jiān)控運行監(jiān)控主要包括態(tài)勢監(jiān)控、拓撲監(jiān)控和IPv6發(fā)展情況監(jiān)測，具體要求如下：應對IPv6網(wǎng)絡的網(wǎng)絡態(tài)勢、安全態(tài)勢進行統(tǒng)一監(jiān)控，包括設備和鏈路的健康度、資源和負載的使用情況、資產(chǎn)安全態(tài)勢、威脅事件態(tài)勢等；應對本級及所轄下級網(wǎng)絡的IPv6網(wǎng)絡拓撲進行統(tǒng)一監(jiān)控、呈現(xiàn)，包括物理網(wǎng)絡拓撲、SRv6VPN拓撲、網(wǎng)絡切片拓撲等；應對IPv6就緒度進行監(jiān)測管理，監(jiān)測指標參見附錄C。智能分析智能分析主要包括質量分析、故障分析、網(wǎng)絡異常檢測、容量預測，具體要求如下：應采用隨流檢測技術對網(wǎng)絡中業(yè)務服務質量進行實時檢測和質量分析，支持隨真實業(yè)務流的丟包率和時延檢測；應具備網(wǎng)絡的故障感知、故障業(yè)務路徑還原和故障定界定位能力，支持本級及所轄下級網(wǎng)絡的跨域協(xié)同故障分析能力；應對業(yè)務流量進行采集、安全分析和威脅溯源，聯(lián)動網(wǎng)絡、安全設備執(zhí)行威脅隔離、阻斷動作；應對網(wǎng)絡的設備資源、網(wǎng)絡流量、帶寬利用率等指標進行異常檢測，宜支持Telemetry高精度采集；應具備網(wǎng)絡的容量預測能力，包括設備資源容量預測和網(wǎng)絡流量預測。支撐系統(tǒng)要求總體要求IPv6網(wǎng)絡應具備域名服務、地址分配、地址管理等系統(tǒng)服務能力。域名服務域名服務應符合YD/T2139的要求，此外還應滿足以下要求：解析記錄類型同時支持AAAA、A記錄；支持純IPv6、IPv6/IPv4雙棧的混合解析。地址分配地址分配應符合YD/T2296的要求，此外還應滿足以下要求：支持無狀態(tài)地址自動配置（SLAAC）；支持IPv6地址分配、續(xù)租、回收；支持IPv6地址溯源功能。地址管理地址管理具體要求如下：應根據(jù)類型域、區(qū)劃域、部門域等自定義語義標識進行IPv6地址的規(guī)劃；應對IPv6地址進行可視化的生命周期管理，包括IP地址批量分配、預留和回收等；應對IPv6地址子網(wǎng)進行管理，包括IP子網(wǎng)的監(jiān)測、創(chuàng)建、導入、編輯、刪除；應與地址分配系統(tǒng)進行聯(lián)動，自動下發(fā)子網(wǎng)信息到地址分配系統(tǒng)；應對全網(wǎng)IPv6地址使用數(shù)、在線數(shù)、使用率、分配率進行統(tǒng)計；應具備基于IPv6地址的資產(chǎn)管理功能，包括終端資產(chǎn)、設備資產(chǎn)和應用資產(chǎn)等；應能夠對IPv6地址進行分權分域管理。A

（規(guī)范性）

網(wǎng)絡設備功能要求網(wǎng)絡設備IPv6功能應符合表A.1要求。表A.1網(wǎng)絡設備功能要求功能分類要求二層功能VLAN路由協(xié)議靜態(tài)IPv6路由、OSPFv3、IS-ISIPv6、BGP4+、MP-BGP業(yè)務承載L3VPNv6、EVPN，支持MPLSLDP、6vPE、SRv6隧道質量保障QoS、網(wǎng)絡切片、APN6可靠性硬件支持部件冗余，設備系統(tǒng)軟件支持Ti-LFA、VPNFRR、BFD等快速收斂協(xié)議網(wǎng)絡管理支持NTP/1588v2/1588ATR等時鐘服務，支持SNMP/YANG等管理協(xié)議，支持NQA、Twamp、隨流檢測等技術B

（規(guī)范性）

安全設備功能要求安全設備IPv6功能應符合表B.1要求。表B.1安全設備功能要求功能分類要求安全檢測能力支持對IPv4/IPv6流量的安全威脅的檢測，支持SRv6、網(wǎng)絡切片等IPv6+場景下業(yè)務流量安全檢測安全防護能力支持對IPv4/IPv6流量的安全防護，支持SRv6、網(wǎng)絡切片等IPv6+場景下業(yè)務流量安全防護網(wǎng)絡兼容支持IPv4/IPv6雙棧網(wǎng)絡管理支持IPv4/IPv6雙棧的SNMP/YANG等管理協(xié)議可靠性支持雙機熱備、硬件冗余部署

（資料性）

IPv6發(fā)展監(jiān)測指標IPv6發(fā)展監(jiān)測指標見表C.1。表C.1IPv6發(fā)展監(jiān)測指標監(jiān)測維度監(jiān)測指標指標說明活躍用戶IPv6物聯(lián)網(wǎng)終端活躍連接數(shù)和占比已經(jīng)獲得IPv6地址，且在30天內具備有效IPv