1、!7,发布出版电子政务外网 5G平面和 IPv6网络技术规范第 3部分:IPv6部署要求Egovernment networkTechnical specifications of 5G plane and IPv6 network platformPart 3:IPv6 deployment requirement2023-12-13 发布2024-01-13 实施CCS L 67DB32/T 4617.32023ICS 35.240.01中 国 标 准.江苏省市场监督管理局DB32/T 4617.32023前言引言1 范围12 规范性引用文件13 术语和定义14 缩略语15 网络结构26
2、技术要求26.1 通用要求26.2 广域网/城域网26.3 部门接入网36.4 政务云36.5 应用系统36.6 业务承载36.7 AS域间对接37 安全要求47.1 通用要求47.2 安全准入47.3 安全防护47.4 安全监测和管理48 管理系统要求48.1 通用要求48.2 资源管理58.3 运行监控58.4 智能分析59 支撑系统要求59.1 通用要求59.2 域名服务59.3 地址分配59.4 地址管理6附录 A(规范性)网络设备功能要求7附录 B(规范性)安全设备功能要求8附录 C(资料性)IPv6发展监测指标9目 次DB32/T 4617.32023前言本文件按照 GB/T 1.
3、12020 标准化工作导则第 1 部分:标准化文件的结构和起草规则 的规定起草。本文件是 DB32/T 4617 电子政务外网 5G 平面和 IPv6 网络技术规范 的第 3 部分。DB32/T 4617已经发布了以下部分:第 1 部分:5G 平面网络建设;第 2 部分:5G 平面安全要求;第 3 部分:IPv6 部署要求;第 4 部分:IPv6 地址及路由规划。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江苏省政务服务管理办公室提出并归口。本文件起草单位:江苏省大数据管理中心。本文件主要起草人:吴中东、忻超、黄敏、王光鑫、吴欣、赵靖雯、张泊远、付勍、曹银
4、美、夏国光、陆雨韬、王子文、汪忠瑞、刘晓红、卢冬冬、张培勇、李永杰。DB32/T 4617.32023引言电子政务外网是数字政府建设的重要基础底座,是政府数字化转型的重要基础支撑。开展电子政务外网 5G 平面和 IPv6 网络建设能够强化提升电子政务外网高效、泛在、安全的承载能力和业务保障能力,推动各类政务应用创新发展,提高政务数字化、智能化水平。DB32/T 电子政务外网5G平面和 IPv6 网络技术规范 是指导江苏省电子政务外网 5G 平面和 IPv6 网络建设的基础性、通用性标准,由四个部分构成。第 1 部分:5G 平面网络建设。目的在于规范和指导江苏省电子政务外网 5G 平面网络建设。
5、第 2 部分:5G 平面安全要求。目的在于规范和指导江苏省电子政务外网 5G 平面安全建设。第 3 部分:IPv6 部署要求。目的在于规范和指导江苏省电子政务外网 IPv6 部署。第 4 部分:IPv6 地址及路由规划。目的在于规范江苏省电子政务外网 IPv6 地址及路由规划。DB32/T 4617.32023电子政务外网5G平面和 IPv6网络技术规范 第 3部分:IPv6部署要求1 范围本文件规定了电子政务外网(以下简称“政务外网”)IPv6 部署的网络结构、技术要求、安全要求、管理系统要求、支撑系统要求等。本文件适用于政务外网管理机构、接入部门、设计单位对 IPv6 网络进行规划、建设、
6、管理等。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22239信息安全技术网络安全等级保护基本要求GB/T 25070信息安全技术网络安全等级保护安全设计技术要求YD/T 2139IPv6 网络域名服务器技术要求YD/T 2296IPv6 动态主机配置协议技术要求DB32/T 3514.1电子政务外网建设规范第 1 部分:网络平台3 术语和定义DB32/T 3514.1 界定的以及下列术语和定义适用于本文件。3.1 网络切片 n
7、etwork slicing为用户提供特定网络能力和网络特征(如资源隔离、SLA 保障特性等),以及多种业务属性的逻辑网络。3.2 随流检测 insitu flow information telemetry一种直接对业务报文进行端到端测量,从而得到网络的真实丢包率、时延等性能指标的检测方式。注:随流检测具有部署方便、统计精度高等突出优点。4 缩略语下列缩略语适用于本文件。APN6:应用感知的 IPv6 网络(Applicationaware IPv6 Networking)AS:自治系统(Autonomous System)DHCPv6:动态主机配置协议版本 6(Dynamic Host C
8、onfiguration Protocol Version 6)EBGP:外部边界网关协议(External Border Gateway Protocol)IGP:内部网关协议(Interior Gateway Protocol)1DB32/T 4617.32023IPv4:互联网协议第 4 版(Internet Protocol Version 4)IPv6:互联网协议第 6 版(Internet Protocol Version 6)IPv6+:基于 IPv6 下一代互联网的升级(Internet Protocol Version 6 Plus)MSTP:多业务传送平台(MultiSer
9、vice Transfer Platform)MTU:最大传输单元(Maximum Transmission Unit)OTN:光传送网(Optical Transmission Net)PE:运营商边缘(Provider Edge)SDH:同步数字系列(Synchronous Digital Hierarchy)SLA:服务等级协议(Service Level Agreement)SLAAC:无状态地址自动配置(Stateless Address Autoconfiguration)SRv6:基于 IPv6 的段路由(Segment Routing over IPv6)VLAN:虚拟局域网(
10、Virtual Local Area Network)VPN:虚拟专用网络(Virtual Private Network)5 网络结构5.1 政务外网由省、市、县三级组成,具体如下:a)省级政务外网包含省级广域网、省级城域网、省级部门接入网;b)市级政务外网包含市级广域网、市级城域网、市级部门接入网;c)县级政务外网包含县级城域网、县级部门接入网、乡(镇、街道)接入网、村(社区)接入网。5.2 政务外网 IPv6 网络实行统一规划、统一标准、分级建设、分级管理。6 技术要求6.1 通用要求6.1.1 政务外网建设应向 IPv6 单栈模式演进。6.1.2 IPv6 单栈演进应遵循广域网/城域网
11、、政务云、管理与支撑系统先行建设,部门接入网(含终端)和应用系统协同跟进的原则。6.1.3 IPv6 单栈建设应采用 SRv6、网络切片、随流检测等技术,实现网络路径的灵活调度和网络质量的确定性保障。6.1.4 IPv6 网络应不使用地址转换技术。6.1.5 IPv6 设备应符合自主可控相关要求。6.2 广域网/城域网6.2.1 应采用 SRv6 技术为 IPv6 业务承载提供网络路径可编程能力,结合链路资源使用情况,实时动态调整流量路径。过渡期内可通过 SRv6 VPN 技术统一承载 IPv4、IPv6 业务。6.2.2 应采用网络切片技术为 IPv6 业务提供确定性带宽保障,具体要求如下:
12、a)常用以太网接口(如 10 G接口、40 G接口、100 G接口等)应支持网络切片;b)网络应具备不同层次的切片能力,如 1 G、2 G、5 G、10 G等;c)网络切片技术应与 IGP技术解耦,不同的网络切片可共用相同的接口地址和 IGP路由协议。6.2.3 应采用随流检测技术为 IPv6 业务提供状态实时感知和故障快速定界能力,检测粒度应细化到单2DB32/T 4617.32023个部门或具体业务。6.2.4 应根据业务需要进行带宽实时保障和网络质量监控,宜采用 APN6 技术对 IPv6 业务进行识别。6.2.5 政务外网通信链路应为 IPv6 业务提供专用的两层点对点链路,如 OTN
13、、MSTP、SDH、IP 切片专线、裸光纤等。6.2.6 链路带宽应满足 IPv6 部署需求。应对链路使用情况进行实时监测,并根据实际带宽流量动态扩缩容,同时不影响业务正常使用。6.2.7 IPv6 设备 MTU 值设置应大于或等于 2000 字节。6.2.8 网络设备的 IPv6 功能应符合附录 A 的要求。6.3 部门接入网部门接入网的 IPv6 部署具体要求如下:a)应建设 IPv6单栈网络,过渡期内可采用 IPv4/IPv6双栈;b)应通过 VLAN、网络切片等技术,对视频会议、政务服务等不同业务进行逻辑隔离;c)应通过 DHCPv6协议为终端统一分配 IPv6地址,地址分配记录应至少
14、保存 6个月;d)与政务外网边界设备对接应采用静态路由或动态路由,当采用动态路由时,仅发布规划中的部门政务外网地址段;e)接入政务外网时,应按照国家和行业相关安全标准进行边界防护。6.4 政务云政务云的 IPv6 部署具体要求如下:a)应建设 IPv6单栈资源池满足业务部署要求,过渡期内可通过地址转换技术实现 IPv6单栈应用与存量 IPv4应用或用户之间的互访;b)应采用静态路由或动态路由与政务外网网络对接,当采用动态路由时,仅发布规划中的政务云地址段。6.5 应用系统应用系统应基于 IPv6 进行部署,具体要求如下:a)新建应用系统应采用 IPv6单栈部署,过渡期内存在 IPv4用户访问的
15、,可通过地址转换技术访问IPv6应用系统;b)原有应用系统应进行 IPv6单栈改造。6.6 业务承载所有业务应使用 SRv6 VPN 进行承载,具体要求如下:a)应将城域网接入设备作为 PE,部署 VPN实例,满足不同业务的逻辑隔离要求;b)应根据业务需求进行 SRv6 VPN规划,过渡期内 VPN规划应兼容原有 IPv4业务。6.7 AS域间对接AS 域间 IPv6 网络对接应采用 Option A 方式。当前采用 Option B 方式对接的,可通过在域间设备增加业务互联接口,配置静态路由或 EBGP 进行业务路由交换,实现 Option A 方式。3DB32/T 4617.320237
16、安全要求7.1 通用要求7.1.1 IPv6 网络建设应符合 GB/T 22239、GB/T 25070 中网络安全等级保护相关要求,省市两级 IPv6网络建设应满足网络安全等级保护第三级要求。7.1.2 IPv6 网络安全防护能力应满足业务需求。存量网络进行 IPv6 改造后,其安全防护能力不应低于原有网络。7.1.3 安全设备应具备“IPv6+”技术能力,其功能应符合附录 B 的要求。7.2 安全准入IPv6 网络安全准入具体要求如下:a)应对 IPv6用户接入实施身份鉴别、认证,并基于角色进行应用访问控制;b)应对 IPv6用户地址进行溯源管理;c)应对终端环境进行持续检测和评估,并根据
17、评估情况,按最小授权原则动态调整其应用访问权限。7.3 安全防护IPv6 网络安全防护具体要求如下:a)应对政务云、部门接入网等的业务流量进行安全防护,包括安全访问控制、入侵防御、防病毒等,宜采用集中部署安全资源池的方式;b)应加强 IPv6终端安全防护,实时监测终端流量,对非授权访问、异常流量等行为进行管控;c)广域网/城域网等关键节点处应具备主动检测和威胁阻断能力,对重要时期网络安全进行保障;d)应采用 SRv6技术对网络和安全设备进行统一路径编排,实现网络流量的按需防护;e)使用加密算法对数据进行加密时,应符合密码应用相关要求。7.4 安全监测和管理IPv6 网络安全监测和管理具体要求如
18、下:a)应采集 IPv6业务流量、网络和安全设备日志、系统运行数据等信息,通过关联分析实现风险识别、威胁发现、通报预警、态势呈现、威胁处置等能力;b)安全监测数据应至少保存 6个月;c)应对安全策略进行统一管理,包括安全策略的配置、下发、导出、导入、备份等;d)应将安全事件、脆弱性、配置、可用性等安全监测结果进行可视化展现;e)应对资产进行统一管理,包括资产名称、IP 地址、类型、责任人以及资产属性等的采集、记录、变更;f)应提供标准外部通信与数据接口,与上、下级平台和第三方系统实现互联。8 管理系统要求8.1 通用要求管理系统应支持对 IPv6 单栈网络进行统一管理,具备资源管理、运行监控、
19、智能分析等功能。4DB32/T 4617.320238.2 资源管理资源管理具体要求如下:a)应采用基于 YANG模型的 NETCONF等模式对设备进行配置管理;b)应支持对 IPv6网络中的设备进行配置下发、配置检查、配置文件备份等;c)应对 IPv6 网络的 SRv6 VPN、隧道、网络切片等资源进行管理,包含资源创建、发放、回收和删除,以及路径和带宽等的动态调整。8.3 运行监控运行监控主要包括态势监控、拓扑监控和 IPv6 发展情况监测,具体要求如下:a)应对 IPv6网络的网络态势、安全态势进行统一监控,包括设备和链路的健康度、资源和负载的使用情况、资产安全态势、威胁事件态势等;b)
20、应对本级及所辖下级网络的 IPv6网络拓扑进行统一监控、呈现,包括物理网络拓扑、SRv6 VPN拓扑、网络切片拓扑等;c)应对 IPv6就绪度进行监测管理,监测指标见附录 C。8.4 智能分析智能分析主要包括质量分析、故障分析、网络异常检测、容量预测,具体要求如下:a)应采用随流检测技术对网络中业务服务质量进行实时检测和质量分析,支持随真实业务流的丢包率和时延检测;b)应具备网络的故障感知、故障业务路径还原和故障定界定位能力,支持本级及所辖下级网络的跨域协同故障分析能力;c)应对业务流量进行采集、安全分析和威胁溯源,联动网络、安全设备执行威胁隔离、阻断动作;d)应对网络的设备资源、网络流量、带
21、宽利用率等指标进行异常检测,宜支持遥测技术(Telemetry)高精度采集;e)应具备网络的容量预测能力,包括设备资源容量预测和网络流量预测。9 支撑系统要求9.1 通用要求IPv6 网络应具备域名服务、地址分配、地址管理等系统服务能力。9.2 域名服务域名服务应符合 YD/T 2139 的要求,此外还应满足以下要求:a)解析记录类型同时支持 AAAA、A记录;b)支持纯 IPv6、IPv6/IPv4双栈的混合解析。9.3 地址分配地址分配应符合 YD/T 2296 的要求,此外还应满足以下要求:a)支持无状态地址自动配置(SLAAC);b)支持 IPv6地址的分配、续租、回收;c)支持 IP
22、v6地址溯源功能。5DB32/T 4617.320239.4 地址管理地址管理具体要求如下:a)应根据类型域、区划域、部门域等自定义语义标识进行 IPv6地址的规划;b)应对 IPv6地址进行可视化的生命周期管理,包括 IP地址批量分配、预留和回收等;c)应对 IPv6地址子网进行管理,包括 IP子网的监测、创建、导入、编辑、删除;d)应与地址分配系统进行联动,自动下发子网信息到地址分配系统;e)应对全网 IPv6地址使用数、在线数、使用率、分配率进行统计;f)应具备基于 IPv6地址的资产管理功能,包括终端资产、设备资产和应用资产等;g)应对 IPv6地址进行分权分域管理。6DB32/T 4
23、617.32023附录A(规范性)网络设备功能要求网络设备功能应符合表 A.1的要求。表 A.1网络设备功能要求功能分类二层功能路由协议业务承载质量保障可靠性网络管理要求VLAN静态 IPv6路由、OSPFv3、ISIS IPv6、BGP4+、MPBGPL3VPNv6、EVPN,支持 MPLS LDP、6vPE、SRv6隧道QoS、网络切片、APN6硬件支持部件冗余,设备系统软件支持 TiLFA、VPN FRR、BFD等快速收敛协议支持 NTP/1588v2/1588ATR等时钟服务,支持 SNMP/YANG 等管理协议,支持 NQA、Twamp、随流检测等技术7DB32/T 4617.320
24、23附录B(规范性)安全设备功能要求安全设备 IPv6功能应符合表 B.1的要求。表 B.1安全设备功能要求功能分类安全检测能力安全防护能力网络兼容网络管理可靠性要求支持对 IPv4/IPv6流量的安全威胁的检测,支持 SRv6、网络切片等 IPv6+场景下业务流量安全检测支持对 IPv4/IPv6流量的安全防护,支持 SRv6、网络切片等 IPv6+场景下业务流量安全防护支持 IPv4/IPv6双栈支持 IPv4/IPv6双栈的 SNMP/YANG 等管理协议支持双机热备、硬件冗余部署8DB32/T 4617.32023附录C(资料性)IPv6发展监测指标IPv6发展监测指标见表 C.1。表
25、 C.1IPv6 发展监测指标监测维度活跃用户IPv6流量网络就绪度云端就绪度数字资产监测指标IPv6物联网终端活跃连接数和占比IPv6办公终端活跃连接数和占比城域网 IPv6流量和占比数据中心 IPv6流量和占比IPv6网络时延IPv6平均丢包率IPv6网络抖动广域网 IPv6能力城域网 IPv6能力数据中心网络 IPv6能力部门接入网 IPv6能力云主机 IPv6网络时延云主机 IPv6平均丢包率云主机 IPv6网络抖动云资源池 IPv6能力政务应用支持 IPv6访问政务应用 IPv6单栈能力IPv6数字资产指标说明已经获得 IPv6地址,且在 30d内具备有效 IPv6流量记录的物联网终
26、端数和占比已经获得 IPv6地址,且在 30d内具备有效 IPv6流量记录(不包含 Ping和域名解析流量)的办公终端数量和占比城域网每天的平均 IPv6流量和占比数据中心每天的平均 IPv6流量和占比部门接入网到数据中心入口,发送测试报文,计算多个报文平均时延部门接入网到数据中心入口,发送测试报文,计算报文丢包率部门接入网到数据中心入口,发送测试报文,计算多个报文平均抖动广域网采用 IPv6网络承载 IPv6业务城域网采用 IPv6网络承载 IPv6业务数据中心网络采用 IPv6网络承载 IPv6应用部门接入网采用 IPv6网络承载 IPv6业务终端到云主机发送测试报文,计算多个报文平均时延终端到云主机发送测试报文,计算报文丢包率终端到云主机发送测试报文,计算多个报文平均抖动政务云采用新建 IPv6资源池承载 IPv6应用支持 IPv6访问的政务应用数量/占比政务应用采用 IPv6单栈数量已配置 IPv6地址的终端、服务器、网络设备、安全设备等资产数量和占比9
浙公网安备33021202000488号 | 
浙ICP备2021020529号-1 浙B2-2024(办理中) 
