DB32T 4617.3-2023 電子政務(wù)外網(wǎng) 5G平面和IPv6網(wǎng)絡(luò)技術(shù)規(guī)范 第3部分：IPv6部署要求　　

電子政務(wù)外網(wǎng)5G平面和IPv6網(wǎng)絡(luò)技術(shù)規(guī)范第3部分：IPv6部署要求發(fā)出布版發(fā)出布版江蘇省市場監(jiān)督管理局Ⅰ前言 Ⅲ引言 Ⅳ 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5網(wǎng)絡(luò)結(jié)構(gòu) 6技術(shù)要求 6.1通用要求 6.2廣域網(wǎng)/城域網(wǎng) 6.3部門接入網(wǎng) 6.4政務(wù)云 6.5應(yīng)用系統(tǒng) 6.6業(yè)務(wù)承載 6.7AS域間對接 7安全要求 7.1通用要求 7.2安全準入 7.3安全防護 7.4安全監(jiān)測和管理 8管理系統(tǒng)要求 8.1通用要求 8.2資源管理 8.3運行監(jiān)控 8.4智能分析 9支撐系統(tǒng)要求 9.1通用要求 9.2域名服務(wù) 9.3地址分配 9.4地址管理 附錄A（規(guī)范性）網(wǎng)絡(luò)設(shè)備功能要求 附錄B（規(guī)范性）安全設(shè)備功能要求 附錄C（資料性）IPv6發(fā)展監(jiān)測指標 Ⅲ本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件是DB32/T4617《電子政務(wù)外網(wǎng)5G平面和IPv6網(wǎng)絡(luò)技術(shù)規(guī)范》的第3部分。DB32/T4617已經(jīng)發(fā)布了以下部分：——第1部分：5G平面網(wǎng)絡(luò)建設(shè)；——第2部分：5G平面安全要求；——第3部分：IPv6部署要求；——第4部分：IPv6地址及路由規(guī)劃。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由江蘇省政務(wù)服務(wù)管理辦公室提出并歸口。本文件起草單位：江蘇省大數(shù)據(jù)管理中心。本文件主要起草人：吳中東、忻超、黃敏、王光鑫、吳欣、趙靖雯、張泊遠、付勍、曹銀美、夏國光、Ⅳ引言電子政務(wù)外網(wǎng)是數(shù)字政府建設(shè)的重要基礎(chǔ)底座，是政府?dāng)?shù)字化轉(zhuǎn)型的重要基礎(chǔ)支撐。開展電子政務(wù)外網(wǎng)5G平面和IPv6網(wǎng)絡(luò)建設(shè)能夠強化提升電子政務(wù)外網(wǎng)高效、泛在、安全的承載能力和業(yè)務(wù)保障能力，推動各類政務(wù)應(yīng)用創(chuàng)新發(fā)展，提高政務(wù)數(shù)字化、智能化水平。DB32/T××××《電子政務(wù)外網(wǎng)5G平面和IPv6網(wǎng)絡(luò)技術(shù)規(guī)范》是指導(dǎo)江蘇省電子政務(wù)外網(wǎng)5G平面和IPv6網(wǎng)絡(luò)建設(shè)的基礎(chǔ)性、通用性標準，由四個部分構(gòu)成。——第1部分：5G平面網(wǎng)絡(luò)建設(shè)。目的在于規(guī)范和指導(dǎo)江蘇省電子政務(wù)外網(wǎng)5G平面網(wǎng)絡(luò)建設(shè)?！?部分：5G平面安全要求。目的在于規(guī)范和指導(dǎo)江蘇省電子政務(wù)外網(wǎng)5G平面安全建設(shè)?！?部分：IPv6部署要求。目的在于規(guī)范和指導(dǎo)江蘇省電子政務(wù)外網(wǎng)IPv6部署。——第4部分：IPv6地址及路由規(guī)劃。目的在于規(guī)范江蘇省電子政務(wù)外網(wǎng)IPv6地址及路由規(guī)劃。1DB32/T4617.3—2023電子政務(wù)外網(wǎng)5G平面和IPv6網(wǎng)絡(luò)技術(shù)規(guī)范第3部分：IPv6部署要求本文件規(guī)定了電子政務(wù)外網(wǎng)（以下簡稱“政務(wù)外網(wǎng)”）IPv6部署的網(wǎng)絡(luò)結(jié)構(gòu)、技術(shù)要求、安全要求、管理系統(tǒng)要求、支撐系統(tǒng)要求等。本文件適用于政務(wù)外網(wǎng)管理機構(gòu)、接入部門、設(shè)計單位對IPv6網(wǎng)絡(luò)進行規(guī)劃、建設(shè)、管理等。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T25070信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求YD/T2139IPv6網(wǎng)絡(luò)域名服務(wù)器技術(shù)要求YD/T2296IPv6動態(tài)主機配置協(xié)議技術(shù)要求DB32/T3514.1電子政務(wù)外網(wǎng)建設(shè)規(guī)范第1部分：網(wǎng)絡(luò)平臺3術(shù)語和定義DB32/T3514.1界定的以及下列術(shù)語和定義適用于本文件。3.1網(wǎng)絡(luò)切片networkslicing為用戶提供特定網(wǎng)絡(luò)能力和網(wǎng)絡(luò)特征（如資源隔離、SLA保障特性等以及多種業(yè)務(wù)屬性的邏輯網(wǎng)絡(luò)。3.2隨流檢測in?situflowinformationtelemetry一種直接對業(yè)務(wù)報文進行端到端測量，從而得到網(wǎng)絡(luò)的真實丟包率、時延等性能指標的檢測方式。注：隨流檢測具有部署方便、統(tǒng)計精度高等突出優(yōu)點。4縮略語下列縮略語適用于本文件。APN6：應(yīng)用感知的IPv6網(wǎng)絡(luò)（Application?awareIPv6Networking）AS：自治系統(tǒng)（AutonomousSystem）DHCPv6：動態(tài)主機配置協(xié)議版本6（DynamicHostConfigurationProtocolVersion6）EBGP：外部邊界網(wǎng)關(guān)協(xié)議（ExternalBorderGatewayProtocol）IGP：內(nèi)部網(wǎng)關(guān)協(xié)議（InteriorGatewayProtocol）2DB32/T4617.3—2023IPv4：互聯(lián)網(wǎng)協(xié)議第4版（InternetProtocolVersion4）IPv6：互聯(lián)網(wǎng)協(xié)議第6版（InternetProtocolVersion6）IPv6+：基于IPv6下一代互聯(lián)網(wǎng)的升級（InternetProtocolVersion6Plus）MSTP：多業(yè)務(wù)傳送平臺（Multi?ServiceTransferPlatform）MTU：最大傳輸單元（MaximumTransmissionUnit）OTN：光傳送網(wǎng)（OpticalTransmissionNet）PE：運營商邊緣（ProviderEdge）SDH：同步數(shù)字系列（SynchronousDigitalHierarchy）SLA：服務(wù)等級協(xié)議（ServiceLevelAgreement）SLAAC：無狀態(tài)地址自動配置（StatelessAddressAutoconfiguration）SRv6：基于IPv6的段路由（SegmentRoutingoverIPv6）VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）VPN：虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork）5網(wǎng)絡(luò)結(jié)構(gòu)5.1政務(wù)外網(wǎng)由省、市、縣三級組成，具體如下：a）省級政務(wù)外網(wǎng)包含省級廣域網(wǎng)、省級城域網(wǎng)、省級部門接入網(wǎng)；b）市級政務(wù)外網(wǎng)包含市級廣域網(wǎng)、市級城域網(wǎng)、市級部門接入網(wǎng)；5.2政務(wù)外網(wǎng)IPv6網(wǎng)絡(luò)實行統(tǒng)一規(guī)劃、統(tǒng)一標準、分級建設(shè)、分級管理。6技術(shù)要求6.1通用要求6.1.1政務(wù)外網(wǎng)建設(shè)應(yīng)向IPv6單棧模式演進。6.1.2IPv6單棧演進應(yīng)遵循廣域網(wǎng)/城域網(wǎng)、政務(wù)云、管理與支撐系統(tǒng)先行建設(shè)，部門接入網(wǎng)（含終端）和應(yīng)用系統(tǒng)協(xié)同跟進的原則。6.1.3IPv6單棧建設(shè)應(yīng)采用SRv6、網(wǎng)絡(luò)切片、隨流檢測等技術(shù)，實現(xiàn)網(wǎng)絡(luò)路徑的靈活調(diào)度和網(wǎng)絡(luò)質(zhì)量的確定性保障。6.1.4IPv6網(wǎng)絡(luò)應(yīng)不使用地址轉(zhuǎn)換技術(shù)。6.1.5IPv6設(shè)備應(yīng)符合自主可控相關(guān)要求。6.2廣域網(wǎng)/城域網(wǎng)6.2.1應(yīng)采用SRv6技術(shù)為IPv6業(yè)務(wù)承載提供網(wǎng)絡(luò)路徑可編程能力，結(jié)合鏈路資源使用情況，實時動態(tài)調(diào)整流量路徑。過渡期內(nèi)可通過SRv6VPN技術(shù)統(tǒng)一承載IPv4、IPv6業(yè)務(wù)。6.2.2應(yīng)采用網(wǎng)絡(luò)切片技術(shù)為IPv6業(yè)務(wù)提供確定性帶寬保障，具體要求如下：a）常用以太網(wǎng)接口（如10G接口、40G接口、100G接口等）應(yīng)支持網(wǎng)絡(luò)切片；c）網(wǎng)絡(luò)切片技術(shù)應(yīng)與IGP技術(shù)解耦，不同的網(wǎng)絡(luò)切片可共用相同的接口地址和IGP路由協(xié)議。6.2.3應(yīng)采用隨流檢測技術(shù)為IPv6業(yè)務(wù)提供狀態(tài)實時感知和故障快速定界能力，檢測粒度應(yīng)細化到單3個部門或具體業(yè)務(wù)。6.2.4應(yīng)根據(jù)業(yè)務(wù)需要進行帶寬實時保障和網(wǎng)絡(luò)質(zhì)量監(jiān)控，宜采用APN6技術(shù)對IPv6業(yè)務(wù)進行識別。6.2.5政務(wù)外網(wǎng)通信鏈路應(yīng)為IPv6業(yè)務(wù)提供專用的兩層點對點鏈路，如OTN、MSTP、SDH、IP切片專6.2.6鏈路帶寬應(yīng)滿足IPv6部署需求。應(yīng)對鏈路使用情況進行實時監(jiān)測，并根據(jù)實際帶寬流量動態(tài)擴縮容，同時不影響業(yè)務(wù)正常使用。6.2.7IPv6設(shè)備MTU值設(shè)置應(yīng)大于或等于2000字節(jié)。6.2.8網(wǎng)絡(luò)設(shè)備的IPv6功能應(yīng)符合附錄A的要求。6.3部門接入網(wǎng)部門接入網(wǎng)的IPv6部署具體要求如下：a）應(yīng)建設(shè)IPv6單棧網(wǎng)絡(luò)，過渡期內(nèi)可采用IPv4/IPv6雙棧；b）應(yīng)通過VLAN、網(wǎng)絡(luò)切片等技術(shù)，對視頻會議、政務(wù)服務(wù)等不同業(yè)務(wù)進行邏輯隔離；c）應(yīng)通過DHCPv6協(xié)議為終端統(tǒng)一分配IPv6地址，地址分配記錄應(yīng)至少保存6個月；d）與政務(wù)外網(wǎng)邊界設(shè)備對接應(yīng)采用靜態(tài)路由或動態(tài)路由，當(dāng)采用動態(tài)路由時，僅發(fā)布規(guī)劃中的部門政務(wù)外網(wǎng)地址段；e）接入政務(wù)外網(wǎng)時，應(yīng)按照國家和行業(yè)相關(guān)安全標準進行邊界防護。6.4政務(wù)云政務(wù)云的IPv6部署具體要求如下：a）應(yīng)建設(shè)IPv6單棧資源池滿足業(yè)務(wù)部署要求，過渡期內(nèi)可通過地址轉(zhuǎn)換技術(shù)實現(xiàn)IPv6單棧應(yīng)用與存量IPv4應(yīng)用或用戶之間的互訪；b）應(yīng)采用靜態(tài)路由或動態(tài)路由與政務(wù)外網(wǎng)網(wǎng)絡(luò)對接，當(dāng)采用動態(tài)路由時，僅發(fā)布規(guī)劃中的政務(wù)云地址段。6.5應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)應(yīng)基于IPv6進行部署，具體要求如下：a）新建應(yīng)用系統(tǒng)應(yīng)采用IPv6單棧部署，過渡期內(nèi)存在IPv4用戶訪問的，可通過地址轉(zhuǎn)換技術(shù)訪問IPv6應(yīng)用系統(tǒng)；b）原有應(yīng)用系統(tǒng)應(yīng)進行IPv6單棧改造。6.6業(yè)務(wù)承載所有業(yè)務(wù)應(yīng)使用SRv6VPN進行承載，具體要求如下：a）應(yīng)將城域網(wǎng)接入設(shè)備作為PE，部署VPN實例，滿足不同業(yè)務(wù)的邏輯隔離要求；b）應(yīng)根據(jù)業(yè)務(wù)需求進行SRv6VPN規(guī)劃，過渡期內(nèi)VPN規(guī)劃應(yīng)兼容原有IPv4業(yè)務(wù)。6.7AS域間對接AS域間IPv6網(wǎng)絡(luò)對接應(yīng)采用OptionA方式。當(dāng)前采用OptionB方式對接的，可通過在域間設(shè)備增加業(yè)務(wù)互聯(lián)接口，配置靜態(tài)路由或EBGP進行業(yè)務(wù)路由交換，實現(xiàn)OptionA方式。47安全要求7.1通用要求7.1.1IPv6網(wǎng)絡(luò)建設(shè)應(yīng)符合GB/T22239、GB/T25070中網(wǎng)絡(luò)安全等級保護相關(guān)要求，省市兩級IPv6網(wǎng)絡(luò)建設(shè)應(yīng)滿足網(wǎng)絡(luò)安全等級保護第三級要求。7.1.2IPv6網(wǎng)絡(luò)安全防護能力應(yīng)滿足業(yè)務(wù)需求。存量網(wǎng)絡(luò)進行IPv6改造后，其安全防護能力不應(yīng)低于原有網(wǎng)絡(luò)。7.1.3安全設(shè)備應(yīng)具備“IPv6+”技術(shù)能力，其功能應(yīng)符合附錄B的要求。7.2安全準入IPv6網(wǎng)絡(luò)安全準入具體要求如下：a）應(yīng)對IPv6用戶接入實施身份鑒別、認證，并基于角色進行應(yīng)用訪問控制；b）應(yīng)對IPv6用戶地址進行溯源管理；c）應(yīng)對終端環(huán)境進行持續(xù)檢測和評估，并根據(jù)評估情況，按最小授權(quán)原則動態(tài)調(diào)整其應(yīng)用訪問權(quán)限。7.3安全防護IPv6網(wǎng)絡(luò)安全防護具體要求如下：a）應(yīng)對政務(wù)云、部門接入網(wǎng)等的業(yè)務(wù)流量進行安全防護，包括安全訪問控制、入侵防御、防病毒等，宜采用集中部署安全資源池的方式；b）應(yīng)加強IPv6終端安全防護，實時監(jiān)測終端流量，對非授權(quán)訪問、異常流量等行為進行管控；c）廣域網(wǎng)/城域網(wǎng)等關(guān)鍵節(jié)點處應(yīng)具備主動檢測和威脅阻斷能力，對重要時期網(wǎng)絡(luò)安全進行保障；d）應(yīng)采用SRv6技術(shù)對網(wǎng)絡(luò)和安全設(shè)備進行統(tǒng)一路徑編排，實現(xiàn)網(wǎng)絡(luò)流量的按需防護；e）使用加密算法對數(shù)據(jù)進行加密時，應(yīng)符合密碼應(yīng)用相關(guān)要求。7.4安全監(jiān)測和管理IPv6網(wǎng)絡(luò)安全監(jiān)測和管理具體要求如下：a）應(yīng)采集IPv6業(yè)務(wù)流量、網(wǎng)絡(luò)和安全設(shè)備日志、系統(tǒng)運行數(shù)據(jù)等信息，通過關(guān)聯(lián)分析實現(xiàn)風(fēng)險識b）安全監(jiān)測數(shù)據(jù)應(yīng)至少保存6個月；c）應(yīng)對安全策略進行統(tǒng)一管理，包括安全策略的配置、下發(fā)、導(dǎo)出、導(dǎo)入、備份等；d）應(yīng)將安全事件、脆弱性、配置、可用性等安全監(jiān)測結(jié)果進行可視化展現(xiàn)；e）應(yīng)對資產(chǎn)進行統(tǒng)一管理，包括資產(chǎn)名稱、IP地址、類型、責(zé)任人以及資產(chǎn)屬性等的采集、記錄、變更；f）應(yīng)提供標準外部通信與數(shù)據(jù)接口，與上、下級平臺和第三方系統(tǒng)實現(xiàn)互聯(lián)。8管理系統(tǒng)要求8.1通用要求管理系統(tǒng)應(yīng)支持對IPv6單棧網(wǎng)絡(luò)進行統(tǒng)一管理，具備資源管理、運行監(jiān)控、智能分析等功能。5DB32/T4617.3—20238.2資源管理資源管理具體要求如下：a）應(yīng)采用基于YANG模型的NETCONF等模式對設(shè)備進行配置管理；b）應(yīng)支持對IPv6網(wǎng)絡(luò)中的設(shè)備進行配置下發(fā)、配置檢查、配置文件備份等；c）應(yīng)對IPv6網(wǎng)絡(luò)的SRv6VPN、隧道、網(wǎng)絡(luò)切片等資源進行管理，包含資源創(chuàng)建、發(fā)放、回收和刪除，以及路徑和帶寬等的動態(tài)調(diào)整。8.3運行監(jiān)控運行監(jiān)控主要包括態(tài)勢監(jiān)控、拓撲監(jiān)控和IPv6發(fā)展情況監(jiān)測，具體要求如下：a）應(yīng)對IPv6網(wǎng)絡(luò)的網(wǎng)絡(luò)態(tài)勢、安全態(tài)勢進行統(tǒng)一監(jiān)控，包括設(shè)備和鏈路的健康度、資源和負載的使用情況、資產(chǎn)安全態(tài)勢、威脅事件態(tài)勢等；b）應(yīng)對本級及所轄下級網(wǎng)絡(luò)的IPv6網(wǎng)絡(luò)拓撲進行統(tǒng)一監(jiān)控、呈現(xiàn)，包括物理網(wǎng)絡(luò)拓撲、SRv6VPN拓撲、網(wǎng)絡(luò)切片拓撲等；c）應(yīng)對IPv6就緒度進行監(jiān)測管理，監(jiān)測指標見附錄C。8.4智能分析智能分析主要包括質(zhì)量分析、故障分析、網(wǎng)絡(luò)異常檢測、容量預(yù)測，具體要求如下：a）應(yīng)采用隨流檢測技術(shù)對網(wǎng)絡(luò)中業(yè)務(wù)服務(wù)質(zhì)量進行實時檢測和質(zhì)量分析，支持隨真實業(yè)務(wù)流的丟包率和時延檢測；b）應(yīng)具備網(wǎng)絡(luò)的故障感知、故障業(yè)務(wù)路徑還原和故障定界定位能力，支持本級及所轄下級網(wǎng)絡(luò)的跨域協(xié)同故障分析能力；c）應(yīng)對業(yè)務(wù)流量進行采集、安全分析和威脅溯源，聯(lián)動網(wǎng)絡(luò)、安全設(shè)備執(zhí)行威脅隔離、阻斷動作；d）應(yīng)對網(wǎng)絡(luò)的設(shè)備資源、網(wǎng)絡(luò)流量、帶寬利用率等指標進行異常檢測，宜支持遙測技術(shù)（Teleme?try）高精度采集；e）應(yīng)具備網(wǎng)絡(luò)的容量預(yù)測能力，包括設(shè)備資源容量預(yù)測和網(wǎng)絡(luò)流量預(yù)測。9支撐系統(tǒng)要求9.1通用要求IPv6網(wǎng)絡(luò)應(yīng)具備域名服務(wù)、地址分配、地址管理等系統(tǒng)服務(wù)能力。9.2域名服務(wù)域名服務(wù)應(yīng)符合YD/T2139的要求，此外還應(yīng)滿足以下要求：a）解析記錄類型同時支持AAAA、A記錄；b）支持純IPv6、IPv6/IPv4雙棧的混合解析。9.3地址分配地址分配應(yīng)符合YD/T2296的要求，此外還應(yīng)滿足以下要求：a）支持無狀態(tài)地址自動配置（SLAACb）支持IPv6地址的分配、續(xù)租、回收；c）支持IPv6地址溯源功能。69.4地址管理地址管理具體要求如下：a）應(yīng)根據(jù)類型域、區(qū)劃域、部門域等自定義語義標識進行IPv6地址的規(guī)劃；b）應(yīng)對IPv6地址進行可視化的生命周期管理，包括IP地址批量分配、預(yù)留和回收等；d）應(yīng)與地址分配系統(tǒng)進行聯(lián)動，自動下發(fā)子網(wǎng)信息到地址分配系統(tǒng)；e）應(yīng)對全網(wǎng)IPv6地址使用數(shù)、在線數(shù)、使用率、分配率進行統(tǒng)計；f）應(yīng)具備基于IPv6地址的資產(chǎn)管理功能，包括終端資產(chǎn)、設(shè)備資產(chǎn)和應(yīng)用資產(chǎn)等；g）應(yīng)對IPv6地址進行分權(quán)分域管理。7DB32/T4617.3—2023（規(guī)范性）網(wǎng)絡(luò)設(shè)備功能要求網(wǎng)絡(luò)設(shè)備功能應(yīng)符合表A.1的要求。表A.1網(wǎng)絡(luò)設(shè)備功能要求功能分類要求二層功能VLAN路由協(xié)議靜態(tài)IPv6路由、OSPFv3、IS?ISIPv6、BGP4+、MP?BGP業(yè)務(wù)承載L3VPNv6、EVPN，支持MPLSLDP、6vPE、SRv6隧道質(zhì)量保障QoS、網(wǎng)絡(luò)切片、APN6可靠性硬件支持部件冗余，設(shè)備系統(tǒng)軟件支持Ti?LFA、VPNFRR、BFD等快速收斂協(xié)議網(wǎng)絡(luò)管理支持NTP/1588v2/1588ATR等時鐘服務(wù)，支持SNMP/YANG等管理協(xié)議，支持NQA、Twamp、隨流檢測等技術(shù)8（規(guī)范性）安全設(shè)備功能要求安全設(shè)備IPv6功能應(yīng)符合表B.1的要求。表B.1安全設(shè)備功能要求功能分類要求安全檢測能力支持對IPv4/IPv6流量的安全威脅的檢測，支持SRv6、網(wǎng)絡(luò)切片等IPv6+場景下業(yè)務(wù)流量安全檢測安全防護能力支持對IPv4/IPv6流量的安全防護，支持SRv6、網(wǎng)絡(luò)切片等IPv6+場景下業(yè)務(wù)流量安全防護網(wǎng)絡(luò)兼容支持IPv4/IPv6雙棧網(wǎng)絡(luò)管理支持IPv4/IPv6雙棧的SNM