DB32-T 4617.3-2023 電子政務(wù)外網(wǎng) 5G平面和IPv6網(wǎng)絡(luò)技術(shù)規(guī)范 第3部分：IPv6部署要求

ICS

..CCS

L

DB

.

電子政務(wù)外網(wǎng)

G

IPV

IPV

E?GOVERNMENT

NETWORK

G

AND

IPVNETWORK

PART

IPV

DEPLOYMENT

REQUIREMENT--

發(fā)

布 --

實

施江蘇省市場監(jiān)督管理局 發(fā)布DB

.目 前言

……………………………Ⅲ引言

……………………………Ⅳ1

范圍

…………………………12

規(guī)范性引用文件

……………13

術(shù)語和定義

…………………14

縮略語

………………………15

網(wǎng)絡(luò)結(jié)構(gòu)

……………………26

技術(shù)要求

……………………2

通用要求

………………2

廣域網(wǎng)城域網(wǎng)

…………………………2

部門接入網(wǎng)

……………3

政務(wù)云

…………………3

應(yīng)用系統(tǒng)

………………3

業(yè)務(wù)承載

………………3

AS域間對接

……………37

安全要求

……………………4

通用要求

………………4

安全準(zhǔn)入

………………4

安全防護

………………4

安全監(jiān)測和管理

………………………48

管理系統(tǒng)要求

………………4

通用要求

………………4

資源管理

………………5

運行監(jiān)控

………………5

智能分析

………………59

支撐系統(tǒng)要求

………………5

通用要求

………………5

域名服務(wù)

………………5

地址分配

………………5

地址管理

………………6附錄A范

網(wǎng)絡(luò)設(shè)備功能要求

………………………7附錄B范

安全設(shè)備功能要求

………………………8附錄C料

IPV6發(fā)展監(jiān)測指標(biāo)

………………………9DB

. 本文件按照

GB/T

—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第

1

部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)規(guī)定起草。本文件是

DB32/T

4617子政務(wù)外網(wǎng)

5G

平面和

IPV6

網(wǎng)絡(luò)技術(shù)規(guī)第

3

部分。DB32/T

4617已經(jīng)發(fā)布了以下部分：——第

1

部分：5G

平面網(wǎng)絡(luò)建設(shè)；——第

2

部分：5G

平面安全要求；——第

3

部分：IPV6

部署要求；——第

4

部分：IPV6

地址及路由規(guī)劃。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由江蘇省政務(wù)服務(wù)管理辦公室提出并歸口。本文件起草單位：江蘇省大數(shù)據(jù)管理中心。本文件主要起草人：吳中東、忻超、黃敏、王光鑫、吳欣、趙靖雯、張泊遠、付勍、曹銀美、夏國光、陸雨韜、王子文、汪忠瑞、劉曉紅、盧冬冬、張培勇、李永杰。DB

. 電子政務(wù)外網(wǎng)是數(shù)字政府建設(shè)的重要基礎(chǔ)底座，是政府?dāng)?shù)字化轉(zhuǎn)型的重要基礎(chǔ)支撐。開展電子政務(wù)外網(wǎng)

5G

平面和

IPV6

網(wǎng)絡(luò)建設(shè)能夠強化提升電子政務(wù)外網(wǎng)高效、泛在、安全的承載能力和業(yè)務(wù)保障能力，推動各類政務(wù)應(yīng)用創(chuàng)新發(fā)展，提高政務(wù)數(shù)字化、智能化水平。DB32/T

××××子政務(wù)外網(wǎng)5G平

面

和

IPV6

網(wǎng)

絡(luò)

技

術(shù)

規(guī)

指

導(dǎo)

江

蘇

省

電

子

政

務(wù)

外

網(wǎng)

5G

平

面

和

IPV6

網(wǎng)

絡(luò)

建

設(shè)

的

基

礎(chǔ)

性、通

用

性

標(biāo)準(zhǔn)，由四個部分構(gòu)成?！?/p>

1

部分：5G

平面網(wǎng)絡(luò)建設(shè)。目的在于規(guī)范和指導(dǎo)江蘇省電子政務(wù)外網(wǎng)

5G

平面網(wǎng)絡(luò)建設(shè)?！?/p>

2

部分：5G

平面安全要求。目的在于規(guī)范和指導(dǎo)江蘇省電子政務(wù)外網(wǎng)

5G

平面安全建設(shè)。——第

3

部分：IPV6

部署要求。目的在于規(guī)范和指導(dǎo)江蘇省電子政務(wù)外網(wǎng)

IPV6

部署?！?/p>

4

部分：IPV6

地址及路由規(guī)劃。目的在于規(guī)范江蘇省電子政務(wù)外網(wǎng)

IPV6

地址及路由規(guī)劃。DB

.

G

IPV

技術(shù)規(guī)范

IPV

范圍）本文件規(guī)定了電子政務(wù)外下簡稱“政務(wù)外網(wǎng)”IPV6

部署的網(wǎng)絡(luò)結(jié)構(gòu)、技術(shù)要求、安全要求、管）理系統(tǒng)要求、支撐系統(tǒng)要求等。本文件適用于政務(wù)外網(wǎng)管理機構(gòu)、接入部門、設(shè)計單位對

IPV6

網(wǎng)絡(luò)進行規(guī)劃、建設(shè)、管理等。

規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版括所有的修改用于本文件。GB/T

22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T

25070信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求YD/T

2139IPV6

網(wǎng)絡(luò)域名服務(wù)器技術(shù)要求YD/T

2296IPV6

動態(tài)主機配置協(xié)議技術(shù)要求DB32/T

3514.1電子政務(wù)外網(wǎng)建設(shè)規(guī)范第

1

部分：網(wǎng)絡(luò)平臺

術(shù)語和定義DB32/T

3514.1

界定的以及下列術(shù)語和定義適用于本文件。.網(wǎng)絡(luò)切片 NETWORK

為用戶提供特定網(wǎng)絡(luò)能力和網(wǎng)絡(luò)特資源隔離、SLA

保障特性等），以及多種業(yè)務(wù)屬性的邏輯網(wǎng)絡(luò)。.隨流檢測?SITU

INFORMATION

一種直接對業(yè)務(wù)報文進行端到端測量，從而得到網(wǎng)絡(luò)的真實丟包率、時延等性能指標(biāo)的檢測方式。、統(tǒng)

縮略語下列縮略語適用于本文件。APN6：應(yīng)用感知的

IPV6

網(wǎng)絡(luò)（

IPV6

NETWORKING）AS：自治系統(tǒng)（AUTONOMOUS

SYSTEM）6DHCPV6：動態(tài)主機配置協(xié)議版本

（DYNAMIC

HOST

VERSION

6）6EBGP：外部邊界網(wǎng)關(guān)協(xié)議（

BORDER

GATEWAY

）IGP：內(nèi)部網(wǎng)關(guān)協(xié)議（

GATEWAY

）DB

.IPV4：互聯(lián)網(wǎng)協(xié)議第

4

版（

VERSION

4）IPV6：互聯(lián)網(wǎng)協(xié)議第

6

版（

VERSION

6）IPV6+：基于

IPV6

下一代互聯(lián)網(wǎng)的升級（

VERSION

6

）MSTP：多業(yè)務(wù)傳送平臺（

）MTU：最大傳輸單元（MAXIMUM

TRANSMISSION

UNIT）OTN：光傳送網(wǎng)（

TRANSMISSION

NET）PE：運營商邊緣（

EDGE）SDH：同步數(shù)字系列（SYNCHRONOUS

）SLA：服務(wù)等級協(xié)議（

LEVEL

AGREEMENT）SLAAC：無狀態(tài)地址自動配置（

ADDRESS

）SRV6：基于

IPV6

的段路由（SEGMENT

ROUTING

IPV6）VLAN：虛擬局域網(wǎng)（

LOCAL

AREA

NETWORK）VPN：虛擬專用網(wǎng)絡(luò)（

NETWORK）

網(wǎng)絡(luò)結(jié)構(gòu).

政務(wù)外網(wǎng)由省、市、縣三級組成，具體如下：）

省級政務(wù)外網(wǎng)包含省級廣域網(wǎng)、省級城域網(wǎng)、省級部門接入網(wǎng)；B）

市級政務(wù)外網(wǎng)包含市級廣域網(wǎng)、市級城域網(wǎng)、市級部門接入網(wǎng)；）

縣級政務(wù)外網(wǎng)包含縣級城域網(wǎng)、縣級部門接入網(wǎng)、鄉(xiāng)（鎮(zhèn)、街入網(wǎng)、村（社入網(wǎng)。.

政務(wù)外網(wǎng)

IPV6

網(wǎng)絡(luò)實行統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、分級建設(shè)、分級管理。

技術(shù)要求.

通用要求..

政務(wù)外網(wǎng)建設(shè)應(yīng)向

IPV6

單棧模式演進。..

IPV6

單棧演進應(yīng)遵循廣域網(wǎng)城域網(wǎng)、政務(wù)云、管理與支撐系統(tǒng)先行建設(shè)，部門接入終應(yīng)用系統(tǒng)協(xié)同跟進的原則。..

IPV6

單棧建設(shè)應(yīng)采用

SRV6、網(wǎng)絡(luò)切片、隨流檢測等技術(shù)，實現(xiàn)網(wǎng)絡(luò)路徑的靈活調(diào)度和網(wǎng)絡(luò)質(zhì)量的確定性保障。..

IPV6

網(wǎng)絡(luò)應(yīng)不使用地址轉(zhuǎn)換技術(shù)。..

IPV6

設(shè)備應(yīng)符合自主可控相關(guān)要求。.

廣域網(wǎng)/城域網(wǎng)2 5..

應(yīng)采用

SRV6

技術(shù)為

IPV6

業(yè)務(wù)承載提供網(wǎng)絡(luò)路徑可編程能力，結(jié)合鏈路資源使用情況2 5調(diào)整流量路徑。過渡期內(nèi)可通過

SRV6

VPN

技術(shù)統(tǒng)一承載

IPV4、IPV6

業(yè)務(wù)。..

應(yīng)采用網(wǎng)絡(luò)切片技術(shù)為

IPV6

業(yè)務(wù)提供確定性帶寬保障，具體要求如下：）

常用以太網(wǎng)接10

G接口、40

G接口、100

G接口支持網(wǎng)絡(luò)切片；B）

網(wǎng)絡(luò)應(yīng)具備不同層次的切片能力，如1

G、

G、

G、10

G等；）

網(wǎng)絡(luò)切片技術(shù)應(yīng)與IGP技術(shù)解耦，不同的網(wǎng)絡(luò)切片可共用相同的接口地址和IGP路由協(xié)議。..

應(yīng)采用隨流檢測技術(shù)為

IPV6

業(yè)務(wù)提供狀態(tài)實時感知和故障快速定界能力，檢測粒度應(yīng)細化到單DB

.個部門或具體業(yè)務(wù)。..

應(yīng)根據(jù)業(yè)務(wù)需要進行帶寬實時保障和網(wǎng)絡(luò)質(zhì)量監(jiān)控，宜采用

APN6

技術(shù)對

IPV6

業(yè)務(wù)進行識別。..

政務(wù)外網(wǎng)通信鏈路應(yīng)為

IPV6

業(yè)務(wù)提供專用的兩層點對點鏈路，如

OTN、MSTP、SDH、IP

切片專線、裸光纖等。..

鏈路帶寬應(yīng)滿足

IPV6

部署需求。應(yīng)對鏈路使用情況進行實時監(jiān)測，并根據(jù)實際帶寬流量動態(tài)擴縮容，同時不影響業(yè)務(wù)正常使用。..

IPV6

設(shè)備

MTU

值設(shè)置應(yīng)大于或等于

2000

字節(jié)。..

網(wǎng)絡(luò)設(shè)備的

IPV6

功能應(yīng)符合附錄

A

的要求。.

部門接入網(wǎng)部門接入網(wǎng)的

IPV6

部署具體要求如下：）

應(yīng)建設(shè)IPV6單棧網(wǎng)絡(luò)，過渡期內(nèi)可采用IPV4/IPV6雙棧；B）

應(yīng)通過VLAN、網(wǎng)絡(luò)切片等技術(shù)，對視頻會議、政務(wù)服務(wù)等不同業(yè)務(wù)進行邏輯隔離；）

應(yīng)通過DHCPV6協(xié)議為終端統(tǒng)一分配IPV6地址，地址分配記錄應(yīng)至少保存6個月；D）

與政務(wù)外網(wǎng)邊界設(shè)備對接應(yīng)采用靜態(tài)路由或動態(tài)路由，當(dāng)采用動態(tài)路由時，僅發(fā)布規(guī)劃中的部門政務(wù)外網(wǎng)地址段；）

接入政務(wù)外網(wǎng)時，應(yīng)按照國家和行業(yè)相關(guān)安全標(biāo)準(zhǔn)進行邊界防護。.

政務(wù)云政務(wù)云的

IPV6

部署具體要求如下：）

應(yīng)建設(shè)

IPV6單棧資源池滿足業(yè)務(wù)部署要求，過渡期內(nèi)可通過地址轉(zhuǎn)換技術(shù)實現(xiàn)

IPV6單棧應(yīng)用與存量IPV4應(yīng)用或用戶之間的互訪；B）

應(yīng)采用靜態(tài)路由或動態(tài)路由與政務(wù)外網(wǎng)網(wǎng)絡(luò)對接，當(dāng)采用動態(tài)路由時，僅發(fā)布規(guī)劃中的政務(wù)云地址段。.

應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)應(yīng)基于

IPV6

進行部署，具體要求如下：）

新建應(yīng)用系統(tǒng)應(yīng)采用IPV6單棧部署，過渡期內(nèi)存在IPV4用戶訪問的，可通過地址轉(zhuǎn)換技術(shù)訪問IPV6應(yīng)用系統(tǒng)；B）

原有應(yīng)用系統(tǒng)應(yīng)進行IPV6單棧改造。.

業(yè)務(wù)承載所有業(yè)務(wù)應(yīng)使用

SRV6

VPN

進行承載，具體要求如下：）

應(yīng)將城域網(wǎng)接入設(shè)備作為PE，部署VPN實例，滿足不同業(yè)務(wù)的邏輯隔離要求；B）

應(yīng)根據(jù)業(yè)務(wù)需求進行SRV6

VPN規(guī)劃，過渡期內(nèi)VPN規(guī)劃應(yīng)兼容原有IPV4業(yè)務(wù)。.

AS域間對接AS

域間

IPV6

網(wǎng)絡(luò)對接應(yīng)采用

OPTION

A

方式。當(dāng)前采用

OPTION

B

方式對接的，可通過在域間設(shè)備增加業(yè)務(wù)互聯(lián)接口，配置靜態(tài)路由或

EBGP

進行業(yè)務(wù)路由交換，實現(xiàn)

OPTION

A

方式。DB

.

安全要求.

通用要求.. IPV6

網(wǎng)絡(luò)建設(shè)應(yīng)符合

GB/T

22239、GB/T

25070

中網(wǎng)絡(luò)安全等級保護相關(guān)要求，省市兩級

IPV6網(wǎng)絡(luò)建設(shè)應(yīng)滿足網(wǎng)絡(luò)安全等級保護第三級要求。..

IPV6

網(wǎng)絡(luò)安全防護能力應(yīng)滿足業(yè)務(wù)需求。存量網(wǎng)絡(luò)進行

IPV6

改造后，其安全防護能力不應(yīng)低于原有網(wǎng)絡(luò)。..

安全設(shè)備應(yīng)具備“IPV6+”技術(shù)能力，其功能應(yīng)符合附錄

B

的要求。.

安全準(zhǔn)入IPV6

網(wǎng)絡(luò)安全準(zhǔn)入具體要求如下：）

應(yīng)對IPV6用戶接入實施身份鑒別、認(rèn)證，并基于角色進行應(yīng)用訪問控制；B）

應(yīng)對IPV6用戶地址進行溯源管理；）

應(yīng)對終端環(huán)境進行持續(xù)檢測和評估，并根據(jù)評估情況，按最小授權(quán)原則動態(tài)調(diào)整其應(yīng)用訪問權(quán)限。.

安全防護IPV6

網(wǎng)絡(luò)安全防護具體要求如下：）

應(yīng)對政務(wù)云、部門接入網(wǎng)等的業(yè)務(wù)流量進行安全防護，包括安全訪問控制、入侵防御、防病毒等，宜采用集中部署安全資源池的方式；B）

應(yīng)加強IPV6終端安全防護，實時監(jiān)測終端流量，對非授權(quán)訪問、異常流量等行為進行管控；）

廣域網(wǎng)城域網(wǎng)等關(guān)鍵節(jié)點處應(yīng)具備主動檢測和威脅阻斷能力，對重要時期網(wǎng)絡(luò)安全進行保障；D）

應(yīng)采用

SRV6技術(shù)對網(wǎng)絡(luò)和安全設(shè)備進行統(tǒng)一路徑編排，實現(xiàn)網(wǎng)絡(luò)流量的按需防護；）

使用加密算法對數(shù)據(jù)進行加密時，應(yīng)符合密碼應(yīng)用相關(guān)要求。.

安全監(jiān)測和管理IPV6

網(wǎng)絡(luò)安全監(jiān)測和管理具體要求如下：）

應(yīng)

采

集

IPV6業(yè)

務(wù)

流

量、網(wǎng)

絡(luò)

和

安

全

設(shè)

備

日

志、系

統(tǒng)

運

行

數(shù)

據(jù)

等

信

息

，通

過

關(guān)

聯(lián)

分

析

實

現(xiàn)

風(fēng)

險

識別、威脅發(fā)現(xiàn)、通報預(yù)警、態(tài)勢呈現(xiàn)、威脅處置等能力；B）

安全監(jiān)測數(shù)據(jù)應(yīng)至少保存6個月；）

應(yīng)對安全策略進行統(tǒng)一管理，包括安全策略的配置、下發(fā)、導(dǎo)出、導(dǎo)入、備份等；D）

應(yīng)將安全事件、脆弱性、配置、可用性等安全監(jiān)測結(jié)果進行可視化展現(xiàn)；）

應(yīng)對資產(chǎn)進行統(tǒng)一管理，包括資產(chǎn)名稱、IP

地址、類型、責(zé)任人以及資產(chǎn)屬性等的采集、記錄、變更；F）

應(yīng)提供標(biāo)準(zhǔn)外部通信與數(shù)據(jù)接口，與上、下級平臺和第三方系統(tǒng)實現(xiàn)互聯(lián)。

管理系統(tǒng)要求.

通用要求管理系統(tǒng)應(yīng)支持對

IPV6

單棧網(wǎng)絡(luò)進行統(tǒng)一管理，具備資源管理、運行監(jiān)控、智能分析等功能。DB

..

資源管理資源管理具體要求如下：）

應(yīng)采用基于YANG模型的NETCONF等模式對設(shè)備進行配置管理；B）

應(yīng)支持對IPV6網(wǎng)絡(luò)中的設(shè)備進行配置下發(fā)、配置檢查、配置文件備份等；）

應(yīng)對

IPV6網(wǎng)絡(luò)的

SRV6

VPN、隧道、網(wǎng)絡(luò)切片等資源進行管理，包含資源創(chuàng)建、發(fā)放、回收和刪除，以及路徑和帶寬等的動態(tài)調(diào)整。.

運行監(jiān)控運行監(jiān)控主要包括態(tài)勢監(jiān)控、拓?fù)浔O(jiān)控和

IPV6

發(fā)展情況監(jiān)測，具體要求如下：）

應(yīng)

對

IPV6網(wǎng)

絡(luò)

的

網(wǎng)

絡(luò)

態(tài)

勢、安

全

態(tài)

勢

進

行

統(tǒng)

一

監(jiān)

控

，包

括

設(shè)

備

和

鏈

路

的

健

康

度、資

源

和

負(fù)

載

的使用情況、資產(chǎn)安全態(tài)勢、威脅事件態(tài)勢等；B）

應(yīng)對本級及所轄下級網(wǎng)絡(luò)的IPV6網(wǎng)絡(luò)拓?fù)溥M行統(tǒng)一監(jiān)控、呈現(xiàn)，包括物理網(wǎng)絡(luò)拓?fù)?、SRV6

VPN拓?fù)?、網(wǎng)絡(luò)切片拓?fù)涞?；?/p>

應(yīng)對IPV6就緒度進行監(jiān)測管理，監(jiān)測指標(biāo)見附錄C。.

智能分析智能分析主要包括質(zhì)量分析、故障分析、網(wǎng)絡(luò)異常檢測、容量預(yù)測，具體要求如下：）

應(yīng)采用隨流檢測技術(shù)對網(wǎng)絡(luò)中業(yè)務(wù)服務(wù)質(zhì)量進行實時檢測和質(zhì)量分析，支持隨真實業(yè)務(wù)流的丟包率和時延檢測；B）

應(yīng)具備網(wǎng)絡(luò)的故障感知、故障業(yè)務(wù)路徑還原和故障定界定位能力，支持本級及所轄下級網(wǎng)絡(luò)的跨域協(xié)同故障分析能力；）

應(yīng)對業(yè)務(wù)流量進行采集、安全分析和威脅溯源，聯(lián)動網(wǎng)絡(luò)、安全設(shè)備執(zhí)行威脅隔離、阻斷動作；D）

應(yīng)對網(wǎng)絡(luò)的設(shè)備資源、網(wǎng)絡(luò)流量、帶寬利用率等指標(biāo)進行異常檢測，宜支持遙測技TELEME?）高精度采集；）

應(yīng)具備網(wǎng)絡(luò)的容量預(yù)測能力，包括設(shè)備資源容量預(yù)測和網(wǎng)絡(luò)流量預(yù)測。

支撐系統(tǒng)要求.

通用要求IPV6

網(wǎng)絡(luò)應(yīng)具備域名服務(wù)、地址分配、地址管理等系統(tǒng)服務(wù)能力。.

域名服務(wù)A域名服務(wù)應(yīng)符合

YD/T

2139

的要求，此外還應(yīng)滿足以下要求：A）

解析記錄類型同時支持AAAA、

記錄；B）

支持純IPV6、IPV6/IPV4雙棧的混合解析。.

地址分配地址分配應(yīng)符合

YD/T

2296

的要求，此外還應(yīng)滿足以下要求：）

支持無狀態(tài)地址自動配置（SLAAC）；B）

支持IPV6地址的分配、續(xù)租、回收；）

支持IPV6地址溯源功能。DB

..

地址管理地址管理具體要求如下：）

應(yīng)根據(jù)類型域、區(qū)劃域、部門域等自定義語義標(biāo)識進行IPV6地址的規(guī)劃；B）

應(yīng)對IPV6地址進行可視化的生命周期管