DB32-T 4617.3-2023 電子政務外網 5G平面和IPv6網絡技術規(guī)范 第3部分：IPv6部署要求

ICS

..CCS

L

DB

.

電子政務外網

G

IPV

IPV

E?GOVERNMENT

NETWORK

G

AND

IPVNETWORK

PART

IPV

DEPLOYMENT

REQUIREMENT--

發(fā)

布 --

實

施江蘇省市場監(jiān)督管理局 發(fā)布DB

.目 前言

……………………………Ⅲ引言

……………………………Ⅳ1

范圍

…………………………12

規(guī)范性引用文件

……………13

術語和定義

…………………14

縮略語

………………………15

網絡結構

……………………26

技術要求

……………………2

通用要求

………………2

廣域網城域網

…………………………2

部門接入網

……………3

政務云

…………………3

應用系統(tǒng)

………………3

業(yè)務承載

………………3

AS域間對接

……………37

安全要求

……………………4

通用要求

………………4

安全準入

………………4

安全防護

………………4

安全監(jiān)測和管理

………………………48

管理系統(tǒng)要求

………………4

通用要求

………………4

資源管理

………………5

運行監(jiān)控

………………5

智能分析

………………59

支撐系統(tǒng)要求

………………5

通用要求

………………5

域名服務

………………5

地址分配

………………5

地址管理

………………6附錄A范

網絡設備功能要求

………………………7附錄B范

安全設備功能要求

………………………8附錄C料

IPV6發(fā)展監(jiān)測指標

………………………9DB

. 本文件按照

GB/T

—2020《標準化工作導則第

1

部分：標準化文件的結構和起草規(guī)規(guī)定起草。本文件是

DB32/T

4617子政務外網

5G

平面和

IPV6

網絡技術規(guī)第

3

部分。DB32/T

4617已經發(fā)布了以下部分：——第

1

部分：5G

平面網絡建設；——第

2

部分：5G

平面安全要求；——第

3

部分：IPV6

部署要求；——第

4

部分：IPV6

地址及路由規(guī)劃。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由江蘇省政務服務管理辦公室提出并歸口。本文件起草單位：江蘇省大數據管理中心。本文件主要起草人：吳中東、忻超、黃敏、王光鑫、吳欣、趙靖雯、張泊遠、付勍、曹銀美、夏國光、陸雨韜、王子文、汪忠瑞、劉曉紅、盧冬冬、張培勇、李永杰。DB

. 電子政務外網是數字政府建設的重要基礎底座，是政府數字化轉型的重要基礎支撐。開展電子政務外網

5G

平面和

IPV6

網絡建設能夠強化提升電子政務外網高效、泛在、安全的承載能力和業(yè)務保障能力，推動各類政務應用創(chuàng)新發(fā)展，提高政務數字化、智能化水平。DB32/T

××××子政務外網5G平

面

和

IPV6

網

絡

技

術

規(guī)

指

導

江

蘇

省

電

子

政

務

外

網

5G

平

面

和

IPV6

網

絡

建

設

的

基

礎

性、通

用

性

標準，由四個部分構成?！?/p>

1

部分：5G

平面網絡建設。目的在于規(guī)范和指導江蘇省電子政務外網

5G

平面網絡建設。——第

2

部分：5G

平面安全要求。目的在于規(guī)范和指導江蘇省電子政務外網

5G

平面安全建設?！?/p>

3

部分：IPV6

部署要求。目的在于規(guī)范和指導江蘇省電子政務外網

IPV6

部署。——第

4

部分：IPV6

地址及路由規(guī)劃。目的在于規(guī)范江蘇省電子政務外網

IPV6

地址及路由規(guī)劃。DB

.

G

IPV

技術規(guī)范

IPV

范圍）本文件規(guī)定了電子政務外下簡稱“政務外網”IPV6

部署的網絡結構、技術要求、安全要求、管）理系統(tǒng)要求、支撐系統(tǒng)要求等。本文件適用于政務外網管理機構、接入部門、設計單位對

IPV6

網絡進行規(guī)劃、建設、管理等。

規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版括所有的修改用于本文件。GB/T

22239信息安全技術網絡安全等級保護基本要求GB/T

25070信息安全技術網絡安全等級保護安全設計技術要求YD/T

2139IPV6

網絡域名服務器技術要求YD/T

2296IPV6

動態(tài)主機配置協(xié)議技術要求DB32/T

3514.1電子政務外網建設規(guī)范第

1

部分：網絡平臺

術語和定義DB32/T

3514.1

界定的以及下列術語和定義適用于本文件。.網絡切片 NETWORK

為用戶提供特定網絡能力和網絡特資源隔離、SLA

保障特性等），以及多種業(yè)務屬性的邏輯網絡。.隨流檢測?SITU

INFORMATION

一種直接對業(yè)務報文進行端到端測量，從而得到網絡的真實丟包率、時延等性能指標的檢測方式。、統(tǒng)

縮略語下列縮略語適用于本文件。APN6：應用感知的

IPV6

網絡（

IPV6

NETWORKING）AS：自治系統(tǒng)（AUTONOMOUS

SYSTEM）6DHCPV6：動態(tài)主機配置協(xié)議版本

（DYNAMIC

HOST

VERSION

6）6EBGP：外部邊界網關協(xié)議（

BORDER

GATEWAY

）IGP：內部網關協(xié)議（

GATEWAY

）DB

.IPV4：互聯網協(xié)議第

4

版（

VERSION

4）IPV6：互聯網協(xié)議第

6

版（

VERSION

6）IPV6+：基于

IPV6

下一代互聯網的升級（

VERSION

6

）MSTP：多業(yè)務傳送平臺（

）MTU：最大傳輸單元（MAXIMUM

TRANSMISSION

UNIT）OTN：光傳送網（

TRANSMISSION

NET）PE：運營商邊緣（

EDGE）SDH：同步數字系列（SYNCHRONOUS

）SLA：服務等級協(xié)議（

LEVEL

AGREEMENT）SLAAC：無狀態(tài)地址自動配置（

ADDRESS

）SRV6：基于

IPV6

的段路由（SEGMENT

ROUTING

IPV6）VLAN：虛擬局域網（

LOCAL

AREA

NETWORK）VPN：虛擬專用網絡（

NETWORK）

網絡結構.

政務外網由省、市、縣三級組成，具體如下：）

省級政務外網包含省級廣域網、省級城域網、省級部門接入網；B）

市級政務外網包含市級廣域網、市級城域網、市級部門接入網；）

縣級政務外網包含縣級城域網、縣級部門接入網、鄉(xiāng)（鎮(zhèn)、街入網、村（社入網。.

政務外網

IPV6

網絡實行統(tǒng)一規(guī)劃、統(tǒng)一標準、分級建設、分級管理。

技術要求.

通用要求..

政務外網建設應向

IPV6

單棧模式演進。..

IPV6

單棧演進應遵循廣域網城域網、政務云、管理與支撐系統(tǒng)先行建設，部門接入終應用系統(tǒng)協(xié)同跟進的原則。..

IPV6

單棧建設應采用

SRV6、網絡切片、隨流檢測等技術，實現網絡路徑的靈活調度和網絡質量的確定性保障。..

IPV6

網絡應不使用地址轉換技術。..

IPV6

設備應符合自主可控相關要求。.

廣域網/城域網2 5..

應采用

SRV6

技術為

IPV6

業(yè)務承載提供網絡路徑可編程能力，結合鏈路資源使用情況2 5調整流量路徑。過渡期內可通過

SRV6

VPN

技術統(tǒng)一承載

IPV4、IPV6

業(yè)務。..

應采用網絡切片技術為

IPV6

業(yè)務提供確定性帶寬保障，具體要求如下：）

常用以太網接10

G接口、40

G接口、100

G接口支持網絡切片；B）

網絡應具備不同層次的切片能力，如1

G、

G、

G、10

G等；）

網絡切片技術應與IGP技術解耦，不同的網絡切片可共用相同的接口地址和IGP路由協(xié)議。..

應采用隨流檢測技術為

IPV6

業(yè)務提供狀態(tài)實時感知和故障快速定界能力，檢測粒度應細化到單DB

.個部門或具體業(yè)務。..

應根據業(yè)務需要進行帶寬實時保障和網絡質量監(jiān)控，宜采用

APN6

技術對

IPV6

業(yè)務進行識別。..

政務外網通信鏈路應為

IPV6

業(yè)務提供專用的兩層點對點鏈路，如

OTN、MSTP、SDH、IP

切片專線、裸光纖等。..

鏈路帶寬應滿足

IPV6

部署需求。應對鏈路使用情況進行實時監(jiān)測，并根據實際帶寬流量動態(tài)擴縮容，同時不影響業(yè)務正常使用。..

IPV6

設備

MTU

值設置應大于或等于

2000

字節(jié)。..

網絡設備的

IPV6

功能應符合附錄

A

的要求。.

部門接入網部門接入網的

IPV6

部署具體要求如下：）

應建設IPV6單棧網絡，過渡期內可采用IPV4/IPV6雙棧；B）

應通過VLAN、網絡切片等技術，對視頻會議、政務服務等不同業(yè)務進行邏輯隔離；）

應通過DHCPV6協(xié)議為終端統(tǒng)一分配IPV6地址，地址分配記錄應至少保存6個月；D）

與政務外網邊界設備對接應采用靜態(tài)路由或動態(tài)路由，當采用動態(tài)路由時，僅發(fā)布規(guī)劃中的部門政務外網地址段；）

接入政務外網時，應按照國家和行業(yè)相關安全標準進行邊界防護。.

政務云政務云的

IPV6

部署具體要求如下：）

應建設

IPV6單棧資源池滿足業(yè)務部署要求，過渡期內可通過地址轉換技術實現

IPV6單棧應用與存量IPV4應用或用戶之間的互訪；B）

應采用靜態(tài)路由或動態(tài)路由與政務外網網絡對接，當采用動態(tài)路由時，僅發(fā)布規(guī)劃中的政務云地址段。.

應用系統(tǒng)應用系統(tǒng)應基于

IPV6

進行部署，具體要求如下：）

新建應用系統(tǒng)應采用IPV6單棧部署，過渡期內存在IPV4用戶訪問的，可通過地址轉換技術訪問IPV6應用系統(tǒng)；B）

原有應用系統(tǒng)應進行IPV6單棧改造。.

業(yè)務承載所有業(yè)務應使用

SRV6

VPN

進行承載，具體要求如下：）

應將城域網接入設備作為PE，部署VPN實例，滿足不同業(yè)務的邏輯隔離要求；B）

應根據業(yè)務需求進行SRV6

VPN規(guī)劃，過渡期內VPN規(guī)劃應兼容原有IPV4業(yè)務。.

AS域間對接AS

域間

IPV6

網絡對接應采用

OPTION

A

方式。當前采用

OPTION

B

方式對接的，可通過在域間設備增加業(yè)務互聯接口，配置靜態(tài)路由或

EBGP

進行業(yè)務路由交換，實現

OPTION

A

方式。DB

.

安全要求.

通用要求.. IPV6

網絡建設應符合

GB/T

22239、GB/T

25070

中網絡安全等級保護相關要求，省市兩級

IPV6網絡建設應滿足網絡安全等級保護第三級要求。..

IPV6

網絡安全防護能力應滿足業(yè)務需求。存量網絡進行

IPV6

改造后，其安全防護能力不應低于原有網絡。..

安全設備應具備“IPV6+”技術能力，其功能應符合附錄

B

的要求。.

安全準入IPV6

網絡安全準入具體要求如下：）

應對IPV6用戶接入實施身份鑒別、認證，并基于角色進行應用訪問控制；B）

應對IPV6用戶地址進行溯源管理；）

應對終端環(huán)境進行持續(xù)檢測和評估，并根據評估情況，按最小授權原則動態(tài)調整其應用訪問權限。.

安全防護IPV6

網絡安全防護具體要求如下：）

應對政務云、部門接入網等的業(yè)務流量進行安全防護，包括安全訪問控制、入侵防御、防病毒等，宜采用集中部署安全資源池的方式；B）

應加強IPV6終端安全防護，實時監(jiān)測終端流量，對非授權訪問、異常流量等行為進行管控；）

廣域網城域網等關鍵節(jié)點處應具備主動檢測和威脅阻斷能力，對重要時期網絡安全進行保障；D）

應采用

SRV6技術對網絡和安全設備進行統(tǒng)一路徑編排，實現網絡流量的按需防護；）

使用加密算法對數據進行加密時，應符合密碼應用相關要求。.

安全監(jiān)測和管理IPV6

網絡安全監(jiān)測和管理具體要求如下：）

應

采

集

IPV6業(yè)

務

流

量、網

絡

和

安

全

設

備

日

志、系

統(tǒng)

運

行

數

據

等

信

息

，通

過

關

聯

分

析

實

現

風

險

識別、威脅發(fā)現、通報預警、態(tài)勢呈現、威脅處置等能力；B）

安全監(jiān)測數據應至少保存6個月；）

應對安全策略進行統(tǒng)一管理，包括安全策略的配置、下發(fā)、導出、導入、備份等；D）

應將安全事件、脆弱性、配置、可用性等安全監(jiān)測結果進行可視化展現；）

應對資產進行統(tǒng)一管理，包括資產名稱、IP

地址、類型、責任人以及資產屬性等的采集、記錄、變更；F）

應提供標準外部通信與數據接口，與上、下級平臺和第三方系統(tǒng)實現互聯。

管理系統(tǒng)要求.

通用要求管理系統(tǒng)應支持對

IPV6

單棧網絡進行統(tǒng)一管理，具備資源管理、運行監(jiān)控、智能分析等功能。DB

..

資源管理資源管理具體要求如下：）

應采用基于YANG模型的NETCONF等模式對設備進行配置管理；B）

應支持對IPV6網絡中的設備進行配置下發(fā)、配置檢查、配置文件備份等；）

應對

IPV6網絡的

SRV6

VPN、隧道、網絡切片等資源進行管理，包含資源創(chuàng)建、發(fā)放、回收和刪除，以及路徑和帶寬等的動態(tài)調整。.

運行監(jiān)控運行監(jiān)控主要包括態(tài)勢監(jiān)控、拓撲監(jiān)控和

IPV6

發(fā)展情況監(jiān)測，具體要求如下：）

應

對

IPV6網

絡

的

網

絡

態(tài)

勢、安

全

態(tài)

勢

進

行

統(tǒng)

一

監(jiān)

控

，包

括

設

備

和

鏈

路

的

健

康

度、資

源

和

負

載

的使用情況、資產安全態(tài)勢、威脅事件態(tài)勢等；B）

應對本級及所轄下級網絡的IPV6網絡拓撲進行統(tǒng)一監(jiān)控、呈現，包括物理網絡拓撲、SRV6

VPN拓撲、網絡切片拓撲等；）

應對IPV6就緒度進行監(jiān)測管理，監(jiān)測指標見附錄C。.

智能分析智能分析主要包括質量分析、故障分析、網絡異常檢測、容量預測，具體要求如下：）

應采用隨流檢測技術對網絡中業(yè)務服務質量進行實時檢測和質量分析，支持隨真實業(yè)務流的丟包率和時延檢測；B）

應具備網絡的故障感知、故障業(yè)務路徑還原和故障定界定位能力，支持本級及所轄下級網絡的跨域協(xié)同故障分析能力；）

應對業(yè)務流量進行采集、安全分析和威脅溯源，聯動網絡、安全設備執(zhí)行威脅隔離、阻斷動作；D）

應對網絡的設備資源、網絡流量、帶寬利用率等指標進行異常檢測，宜支持遙測技TELEME?）高精度采集；）

應具備網絡的容量預測能力，包括設備資源容量預測和網絡流量預測。

支撐系統(tǒng)要求.

通用要求IPV6

網絡應具備域名服務、地址分配、地址管理等系統(tǒng)服務能力。.

域名服務A域名服務應符合

YD/T

2139

的要求，此外還應滿足以下要求：A）

解析記錄類型同時支持AAAA、

記錄；B）

支持純IPV6、IPV6/IPV4雙棧的混合解析。.

地址分配地址分配應符合

YD/T

2296

的要求，此外還應滿足以下要求：）

支持無狀態(tài)地址自動配置（SLAAC）；B）

支持IPV6地址的分配、續(xù)租、回收；）

支持IPV6地址溯源功能。DB

..

地址管理地址管理具體要求如下：）

應根據類型域、區(qū)劃域、部門域等自定義語義標識進行IPV6地址的規(guī)劃；B）

應對IPV6地址進行可視化的生命周期管