DB32-T 4617.3-2023 电子政务外网 5G平面和IPv6网络技术规范 第3部分：IPv6部署要求

ICS

..CCS

L

DB

.

电子政务外网

G

IPV

IPV

E⁃GOVERNMENT

NETWORK

G

AND

IPVNETWORK

PART

IPV

DEPLOYMENT

REQUIREMENT--

发

布 --

实

施江苏省市场监督管理局 发布DB

.目 前言

……………………………Ⅲ引言

……………………………Ⅳ1

范围

…………………………12

规范性引用文件

……………13

术语和定义

…………………14

缩略语

………………………15

网络结构

……………………26

技术要求

……………………2

通用要求

………………2

广域网城域网

…………………………2

部门接入网

……………3

政务云

…………………3

应用系统

………………3

业务承载

………………3

AS域间对接

……………37

安全要求

……………………4

通用要求

………………4

安全准入

………………4

安全防护

………………4

安全监测和管理

………………………48

管理系统要求

………………4

通用要求

………………4

资源管理

………………5

运行监控

………………5

智能分析

………………59

支撑系统要求

………………5

通用要求

………………5

域名服务

………………5

地址分配

………………5

地址管理

………………6附录A范

网络设备功能要求

………………………7附录B范

安全设备功能要求

………………………8附录C料

IPV6发展监测指标

………………………9DB

. 本文件按照

GB/T

—2020《标准化工作导则第

1

部分：标准化文件的结构和起草规规定起草。本文件是

DB32/T

4617子政务外网

5G

平面和

IPV6

网络技术规第

3

部分。DB32/T

4617已经发布了以下部分：——第

1

部分：5G

平面网络建设；——第

2

部分：5G

平面安全要求；——第

3

部分：IPV6

部署要求；——第

4

部分：IPV6

地址及路由规划。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江苏省政务服务管理办公室提出并归口。本文件起草单位：江苏省大数据管理中心。本文件主要起草人：吴中东、忻超、黄敏、王光鑫、吴欣、赵靖雯、张泊远、付勍、曹银美、夏国光、陆雨韬、王子文、汪忠瑞、刘晓红、卢冬冬、张培勇、李永杰。DB

. 电子政务外网是数字政府建设的重要基础底座，是政府数字化转型的重要基础支撑。开展电子政务外网

5G

平面和

IPV6

网络建设能够强化提升电子政务外网高效、泛在、安全的承载能力和业务保障能力，推动各类政务应用创新发展，提高政务数字化、智能化水平。DB32/T

××××子政务外网5G平

面

和

IPV6

网

络

技

术

规

指

导

江

苏

省

电

子

政

务

外

网

5G

平

面

和

IPV6

网

络

建

设

的

基

础

性、通

用

性

标准，由四个部分构成。——第

1

部分：5G

平面网络建设。目的在于规范和指导江苏省电子政务外网

5G

平面网络建设。——第

2

部分：5G

平面安全要求。目的在于规范和指导江苏省电子政务外网

5G

平面安全建设。——第

3

部分：IPV6

部署要求。目的在于规范和指导江苏省电子政务外网

IPV6

部署。——第

4

部分：IPV6

地址及路由规划。目的在于规范江苏省电子政务外网

IPV6

地址及路由规划。DB

.

G

IPV

技术规范

IPV

范围）本文件规定了电子政务外下简称“政务外网”IPV6

部署的网络结构、技术要求、安全要求、管）理系统要求、支撑系统要求等。本文件适用于政务外网管理机构、接入部门、设计单位对

IPV6

网络进行规划、建设、管理等。

规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版括所有的修改用于本文件。GB/T

22239信息安全技术网络安全等级保护基本要求GB/T

25070信息安全技术网络安全等级保护安全设计技术要求YD/T

2139IPV6

网络域名服务器技术要求YD/T

2296IPV6

动态主机配置协议技术要求DB32/T

3514.1电子政务外网建设规范第

1

部分：网络平台

术语和定义DB32/T

3514.1

界定的以及下列术语和定义适用于本文件。.网络切片 NETWORK

为用户提供特定网络能力和网络特资源隔离、SLA

保障特性等），以及多种业务属性的逻辑网络。.随流检测⁃SITU

INFORMATION

一种直接对业务报文进行端到端测量，从而得到网络的真实丢包率、时延等性能指标的检测方式。、统

缩略语下列缩略语适用于本文件。APN6：应用感知的

IPV6

网络（

IPV6

NETWORKING）AS：自治系统（AUTONOMOUS

SYSTEM）6DHCPV6：动态主机配置协议版本

（DYNAMIC

HOST

VERSION

6）6EBGP：外部边界网关协议（

BORDER

GATEWAY

）IGP：内部网关协议（

GATEWAY

）DB

.IPV4：互联网协议第

4

版（

VERSION

4）IPV6：互联网协议第

6

版（

VERSION

6）IPV6+：基于

IPV6

下一代互联网的升级（

VERSION

6

）MSTP：多业务传送平台（

）MTU：最大传输单元（MAXIMUM

TRANSMISSION

UNIT）OTN：光传送网（

TRANSMISSION

NET）PE：运营商边缘（

EDGE）SDH：同步数字系列（SYNCHRONOUS

）SLA：服务等级协议（

LEVEL

AGREEMENT）SLAAC：无状态地址自动配置（

ADDRESS

）SRV6：基于

IPV6

的段路由（SEGMENT

ROUTING

IPV6）VLAN：虚拟局域网（

LOCAL

AREA

NETWORK）VPN：虚拟专用网络（

NETWORK）

网络结构.

政务外网由省、市、县三级组成，具体如下：）

省级政务外网包含省级广域网、省级城域网、省级部门接入网；B）

市级政务外网包含市级广域网、市级城域网、市级部门接入网；）

县级政务外网包含县级城域网、县级部门接入网、乡（镇、街入网、村（社入网。.

政务外网

IPV6

网络实行统一规划、统一标准、分级建设、分级管理。

技术要求.

通用要求..

政务外网建设应向

IPV6

单栈模式演进。..

IPV6

单栈演进应遵循广域网城域网、政务云、管理与支撑系统先行建设，部门接入终应用系统协同跟进的原则。..

IPV6

单栈建设应采用

SRV6、网络切片、随流检测等技术，实现网络路径的灵活调度和网络质量的确定性保障。..

IPV6

网络应不使用地址转换技术。..

IPV6

设备应符合自主可控相关要求。.

广域网/城域网2 5..

应采用

SRV6

技术为

IPV6

业务承载提供网络路径可编程能力，结合链路资源使用情况2 5调整流量路径。过渡期内可通过

SRV6

VPN

技术统一承载

IPV4、IPV6

业务。..

应采用网络切片技术为

IPV6

业务提供确定性带宽保障，具体要求如下：）

常用以太网接10

G接口、40

G接口、100

G接口支持网络切片；B）

网络应具备不同层次的切片能力，如1

G、

G、

G、10

G等；）

网络切片技术应与IGP技术解耦，不同的网络切片可共用相同的接口地址和IGP路由协议。..

应采用随流检测技术为

IPV6

业务提供状态实时感知和故障快速定界能力，检测粒度应细化到单DB

.个部门或具体业务。..

应根据业务需要进行带宽实时保障和网络质量监控，宜采用

APN6

技术对

IPV6

业务进行识别。..

政务外网通信链路应为

IPV6

业务提供专用的两层点对点链路，如

OTN、MSTP、SDH、IP

切片专线、裸光纤等。..

链路带宽应满足

IPV6

部署需求。应对链路使用情况进行实时监测，并根据实际带宽流量动态扩缩容，同时不影响业务正常使用。..

IPV6

设备

MTU

值设置应大于或等于

2000

字节。..

网络设备的

IPV6

功能应符合附录

A

的要求。.

部门接入网部门接入网的

IPV6

部署具体要求如下：）

应建设IPV6单栈网络，过渡期内可采用IPV4/IPV6双栈；B）

应通过VLAN、网络切片等技术，对视频会议、政务服务等不同业务进行逻辑隔离；）

应通过DHCPV6协议为终端统一分配IPV6地址，地址分配记录应至少保存6个月；D）

与政务外网边界设备对接应采用静态路由或动态路由，当采用动态路由时，仅发布规划中的部门政务外网地址段；）

接入政务外网时，应按照国家和行业相关安全标准进行边界防护。.

政务云政务云的

IPV6

部署具体要求如下：）

应建设

IPV6单栈资源池满足业务部署要求，过渡期内可通过地址转换技术实现

IPV6单栈应用与存量IPV4应用或用户之间的互访；B）

应采用静态路由或动态路由与政务外网网络对接，当采用动态路由时，仅发布规划中的政务云地址段。.

应用系统应用系统应基于

IPV6

进行部署，具体要求如下：）

新建应用系统应采用IPV6单栈部署，过渡期内存在IPV4用户访问的，可通过地址转换技术访问IPV6应用系统；B）

原有应用系统应进行IPV6单栈改造。.

业务承载所有业务应使用

SRV6

VPN

进行承载，具体要求如下：）

应将城域网接入设备作为PE，部署VPN实例，满足不同业务的逻辑隔离要求；B）

应根据业务需求进行SRV6

VPN规划，过渡期内VPN规划应兼容原有IPV4业务。.

AS域间对接AS

域间

IPV6

网络对接应采用

OPTION

A

方式。当前采用

OPTION

B

方式对接的，可通过在域间设备增加业务互联接口，配置静态路由或

EBGP

进行业务路由交换，实现

OPTION

A

方式。DB

.

安全要求.

通用要求.. IPV6

网络建设应符合

GB/T

22239、GB/T

25070

中网络安全等级保护相关要求，省市两级

IPV6网络建设应满足网络安全等级保护第三级要求。..

IPV6

网络安全防护能力应满足业务需求。存量网络进行

IPV6

改造后，其安全防护能力不应低于原有网络。..

安全设备应具备“IPV6+”技术能力，其功能应符合附录

B

的要求。.

安全准入IPV6

网络安全准入具体要求如下：）

应对IPV6用户接入实施身份鉴别、认证，并基于角色进行应用访问控制；B）

应对IPV6用户地址进行溯源管理；）

应对终端环境进行持续检测和评估，并根据评估情况，按最小授权原则动态调整其应用访问权限。.

安全防护IPV6

网络安全防护具体要求如下：）

应对政务云、部门接入网等的业务流量进行安全防护，包括安全访问控制、入侵防御、防病毒等，宜采用集中部署安全资源池的方式；B）

应加强IPV6终端安全防护，实时监测终端流量，对非授权访问、异常流量等行为进行管控；）

广域网城域网等关键节点处应具备主动检测和威胁阻断能力，对重要时期网络安全进行保障；D）

应采用

SRV6技术对网络和安全设备进行统一路径编排，实现网络流量的按需防护；）

使用加密算法对数据进行加密时，应符合密码应用相关要求。.

安全监测和管理IPV6

网络安全监测和管理具体要求如下：）

应

采

集

IPV6业

务

流

量、网

络

和

安

全

设

备

日

志、系

统

运

行

数

据

等

信

息

，通

过

关

联

分

析

实

现

风

险

识别、威胁发现、通报预警、态势呈现、威胁处置等能力；B）

安全监测数据应至少保存6个月；）

应对安全策略进行统一管理，包括安全策略的配置、下发、导出、导入、备份等；D）

应将安全事件、脆弱性、配置、可用性等安全监测结果进行可视化展现；）

应对资产进行统一管理，包括资产名称、IP

地址、类型、责任人以及资产属性等的采集、记录、变更；F）

应提供标准外部通信与数据接口，与上、下级平台和第三方系统实现互联。

管理系统要求.

通用要求管理系统应支持对

IPV6

单栈网络进行统一管理，具备资源管理、运行监控、智能分析等功能。DB

..

资源管理资源管理具体要求如下：）

应采用基于YANG模型的NETCONF等模式对设备进行配置管理；B）

应支持对IPV6网络中的设备进行配置下发、配置检查、配置文件备份等；）

应对

IPV6网络的

SRV6

VPN、隧道、网络切片等资源进行管理，包含资源创建、发放、回收和删除，以及路径和带宽等的动态调整。.

运行监控运行监控主要包括态势监控、拓扑监控和

IPV6

发展情况监测，具体要求如下：）

应

对

IPV6网

络

的

网

络

态

势、安

全

态

势

进

行

统

一

监

控

，包

括

设

备

和

链

路

的

健

康

度、资

源

和

负

载

的使用情况、资产安全态势、威胁事件态势等；B）

应对本级及所辖下级网络的IPV6网络拓扑进行统一监控、呈现，包括物理网络拓扑、SRV6

VPN拓扑、网络切片拓扑等；）

应对IPV6就绪度进行监测管理，监测指标见附录C。.

智能分析智能分析主要包括质量分析、故障分析、网络异常检测、容量预测，具体要求如下：）

应采用随流检测技术对网络中业务服务质量进行实时检测和质量分析，支持随真实业务流的丢包率和时延检测；B）

应具备网络的故障感知、故障业务路径还原和故障定界定位能力，支持本级及所辖下级网络的跨域协同故障分析能力；）

应对业务流量进行采集、安全分析和威胁溯源，联动网络、安全设备执行威胁隔离、阻断动作；D）

应对网络的设备资源、网络流量、带宽利用率等指标进行异常检测，宜支持遥测技TELEME⁃）高精度采集；）

应具备网络的容量预测能力，包括设备资源容量预测和网络流量预测。

支撑系统要求.

通用要求IPV6

网络应具备域名服务、地址分配、地址管理等系统服务能力。.

域名服务A域名服务应符合

YD/T

2139

的要求，此外还应满足以下要求：A）

解析记录类型同时支持AAAA、

记录；B）

支持纯IPV6、IPV6/IPV4双栈的混合解析。.

地址分配地址分配应符合

YD/T

2296

的要求，此外还应满足以下要求：）

支持无状态地址自动配置（SLAAC）；B）

支持IPV6地址的分配、续租、回收；）

支持IPV6地址溯源功能。DB

..

地址管理地址管理具体要求如下：）

应根据类型域、区划域、部门域等自定义语义标识进行IPV6地址的规划；B）

应对IPV6地址进行可视化的生命周期管