金融業(yè)IPv6部署和應用評估方法探索研究報告-2024.07-24正式版-WN8

金融業(yè)

IPv6

部署和應用評估方法探索研究報告北京金融科技產業(yè)聯(lián)盟2024

年

7

月編制委員會編委會成員：聶麗琴

張海燕編寫組成員：趙春華

李紅曼

張倩倩

馬

超

徐曉宇

陳

耿

傅

正李洪波

王

晨

張

強

程鋒章

平慶瑞

葉官青編審：黃本濤

周參編單位：北京金融科北京國家金中國農業(yè)銀華為技術有網聯(lián)清算有新華三技術有限公司北京凝思軟件股份有限公司銳捷網絡股份有限公司中鈔信用卡產業(yè)發(fā)展有限公司II前

言推動IPv6規(guī)模部署是建設網絡強國的重要國家戰(zhàn)略。在中國人民銀行等金融管理部門的統(tǒng)籌指導下，金融行業(yè)IPv6規(guī)模部署和應用創(chuàng)新取得了顯著成效，IPv6支持率持續(xù)提升，創(chuàng)新應用不斷涌現(xiàn)。中國人民銀行發(fā)布的《金融科技發(fā)展規(guī)劃（2022—2025年

）》提出面推進互聯(lián)能用向好用變”的任務為匹配，明確“全用，實現(xiàn)從內生驅動轉積極研究新研究報告，參考。本報IPv6規(guī)模部系，并對評。技術對評估以期為金融告首先對I署和應用創(chuàng)估實施方法III一、IPv6評估驗證體系現(xiàn)狀概述《關于金融行業(yè)貫徹〈推進互聯(lián)網協(xié)議第六版（IPv6）規(guī)模部署行動計劃〉的實施意見》（銀發(fā)〔2018〕343號）（以下簡稱《實施意見》）中明確提出，金融服務機構面向公眾服務的互聯(lián)網應用系統(tǒng)和門戶網站要支持IPv6鏈接訪問。為貫徹落實《實施意見》要求，中國人民銀行從全局著眼，統(tǒng)籌規(guī)劃IPv6評估驗證方法體系（一）用。2019年業(yè)IPv6規(guī)模、安全

、保覆蓋了IPv6，為金融服部署技術驗障措施和運規(guī)模部署的務機構自查北京國“北京國金用系統(tǒng)IPv6運維以及管認證”）制定支持評測指理制度等7大模塊，細化多個量化考核指標，并根據評測得分將認證結果分為不同級別，形成差異化、階梯化的評估體系，以樹立標桿，推進行業(yè)示范。（二）IPv6

金融認證服務已在行業(yè)落地為推動“定期開展企業(yè)、行業(yè)、區(qū)域應用情況評測”的工作，中國人民銀行建設金融行業(yè)IPv6發(fā)展監(jiān)測平臺。監(jiān)測平臺從網站1IPv6改造度、網站IPv6和IPv4的一致性、網站二三級鏈接IPv6支持率等7個方面對金融機構網站和應用進行動態(tài)監(jiān)測，通過分地區(qū)、分類型的展示功能為全面客觀掌握IPv6規(guī)模部署和改造情況提供支撐。第三方檢測認證專業(yè)機構積極協(xié)助政策落地。北京國金認證推出IPv6金融認證服務和國推認證服務，覆蓋門戶網站、面向公眾服務的互（三）2022應用推廣、共識。中國向金融服務從應用、網訪問的支持地址、NAT二、新出制定IPv6進一步凝聚業(yè)標準，面APP應用，對IPv6連接路由協(xié)議、。（一）總體要求當前IPv6評估指標體系重點面向互聯(lián)網應用系統(tǒng)，覆蓋應用、網絡、安全、保障措施和運維等多層面，有效支撐金融服務機構自評估、第三方機構評估、行業(yè)監(jiān)測等工作開展。新階段金融業(yè)加快推進IPv6規(guī)模部署和應用、實現(xiàn)從能用向好用演進的目標要求，對現(xiàn)有的IPv6評估指標體系也提出了新的要求。2一是對IPv6驗證對象和范圍會進一步擴展。在金融機構門戶網站和業(yè)務系統(tǒng)相關指標基礎上，IPv6的驗證對象會從針對網絡和應用向網絡、終端、應用及安全多維度擴展，其中IPv6網絡范圍會包括廣域網、分支機構網絡、數(shù)據中心等多個領域。二是對IPv6技術體系支持度會進一步細化。隨著IPv6+創(chuàng)新技術，例如分段路由、隨流檢測、網絡切片等技術的演進及加速部署，針對和評估標準（二）的評估手段圍繞“、數(shù)據中心互聯(lián)網應用分類原則，蓋網絡范圍、IPv6活躍能力和IPv6的IPv6改造系統(tǒng)IPv6支全面設計新擴展，另一度、IPv6網運維支撐體1.信息基礎設施的IPv6覆蓋度指標本指標用于評估各類金融信息基礎設施IPv6部署的總體完成情況，具體指標如表1所示。3表

1

金融信息基礎設施IPv6覆蓋度指標維度指標定義指標說明支持IPv6協(xié)議的網絡設備數(shù)量/占比。部署IPv6/IPv4雙棧的網絡設備數(shù)量/占比。IPv6協(xié)議支持度IPv6

網絡能力IPv6雙棧部署度IPv6單棧部署度部署IPv6單棧的網絡設備數(shù)量/占比。辦公終端支持IPv6的設備數(shù)量/占比。數(shù)量/占比。IPv6

終端能力數(shù)量/占比。。IPv6

應用系統(tǒng)能力。數(shù)量/占比。安全設備數(shù)IPv6

安全能力備數(shù)量/占說明：（1）標進行有效評估。（2）評估過程建議與《實施意見》中演進路線相匹配，具體如下：（a）自階段一起，新采購信息基礎設施均需滿足IPv6支持度要求。6活躍度指（b）在階段一和階段二期間，新部署的網絡及安全設備優(yōu)4選IPv6單棧方式部署，如需與IPv4存量適配，須通過IPv6/IPv4雙棧方式部署，以逐步提升IPv6占比。（c）至階段三實現(xiàn)IPv6單棧全面部署的目標。2.網絡基礎設施的

IPv6

活躍度指標本指標用于評估各網絡領域IPv6業(yè)務流量的占比情況，以間接評估終端和應用系統(tǒng)的IPv6部署情況。具體指標如表2所示。維度明6出入業(yè)務出入業(yè)務流6出入業(yè)務出入業(yè)務流網（包括互聯(lián)面向外部及IPv6

活躍度絡基礎設施）占各分區(qū)網占比。數(shù)據中心網絡中內網（業(yè)務區(qū)域網絡）IPv6出入業(yè)務流量占數(shù)據中心網絡總出入業(yè)務流量占比。分析獲取園區(qū)網絡中IPv6出入業(yè)務流量占園區(qū)網絡總出入業(yè)務流量占比。園區(qū)網絡IPv6承載業(yè)務流量占比5說明：（1）IPv6業(yè)務流量占比計算公式如下：（a）IPv6

出業(yè)務流量占比

=

IPv6

出業(yè)務流量/（IPv4

出業(yè)務流量+IPv6

出業(yè)務流量）。（b）IPv6

入業(yè)務流量占比

=

IPv6

入業(yè)務流量/（IPv4

入業(yè)務流量+IPv6

出業(yè)務流量）。（2）中心網絡、躍度，入流（3）網絡、數(shù)據接情況及活相匹配，具體如下：（a）提升。（b）提升，以實現(xiàn)IPv6單棧3.網絡本指標以綜合評估IPv6部署后網絡總體質量，指導達成“網絡好用”的發(fā)展目標。具體指標如表3所示。6表

3

金融網絡基礎設施

IPv6

網絡質量指標指標定義

指標說明廣域骨干IPv6網絡質

通過驗證IPv6廣域骨干網絡承載的業(yè)務指標，綜合評估網絡質量。維度IPv6

網絡質量量廣域分支IPv6網絡質

通過驗證IPv6廣域分支網絡承載的量業(yè)務指標，綜合評估網絡質量。通過驗證IPv6數(shù)據中心網絡中外網及DMZ等面向網絡基礎設綜合評估網網絡中內網的業(yè)務指標，及內網IPv6的質量。承載的業(yè)務量。說明：（1）IPv6網絡質量通過IPv6業(yè)務相比IPv4業(yè)務在時延、抖動、丟包綜合劣化的結果進行呈現(xiàn)，計算公式如下：（a）IPv6業(yè)務時延劣化結果=

（IPv6業(yè)務時延-IPv4業(yè)務時延）/IPv4業(yè)務時延，若小于0則取用結果0。IPv6業(yè)務時延

=

檢測網絡中N個IPv6業(yè)務時延之和/N。IPv4業(yè)務時延

=

檢測網絡中N個IPv4業(yè)務時延之和/N。7（b）IPv6業(yè)務丟包結果

=（IPv6業(yè)務丟包率-IPv4業(yè)務丟包率）/IPv4業(yè)務丟包率，若小于0則取用結果0。IPv6業(yè)務丟包率

=

檢測網絡中N個IPv6業(yè)務丟包率之和/N。IPv4業(yè)務丟包率

=

檢測網絡中N個IPv4業(yè)務丟包率之和/N。（c）IPv6業(yè)務抖動結果

=（IPv6業(yè)務抖動-IPv4業(yè)務抖動）/IPv4業(yè)務抖動，若小于0則取用結果0。IPv6業(yè)IPv4業(yè)和/N。和/N。（d）權重30%

+重30%。IPv6業(yè)務丟（2）一個重要的衡量標準，（3）過轉換成功成功數(shù)/網率進行計算IPv6絡

NAT

轉換4.網絡基礎設施的

IPv6

網絡可靠性指標本指標通過對IPv6網絡可靠性進行綜合評估，支撐IPv6業(yè)務連續(xù)不中斷的目標達成。具體指標如表4所示。8表

4

金融網絡基礎設施

IPv6

可靠性指標維度指標定義廣域骨干IPv6網絡可靠性指標說明通過驗證鏈路及設備冗余化部署，評估IPv6廣域骨干網絡的可靠性。通過驗證鏈路及設備冗余化部署，評估IPv6廣域分支網絡的可靠性。通過驗證鏈路及設備冗余化部署，評外網（包括互廣域分支IPv6網絡可靠性IPv6

網絡高可靠向外部及三設施）的可靠余化部署，評內網（業(yè)務區(qū)余化部署，評性。說明：（1）備冗余化部滿足。署得到支撐（2）基礎設施的IPv6網絡可靠性，是IPv6規(guī)模部署演進中的基礎衡量標準，在三個演進階段均需關注參考。5.信息基礎設施的

IPv6

安全防護能力指標本指標用于評估IPv6業(yè)務端到端的安全體系化能力，與前述IPv6覆蓋度指標中IPv6安全能力指標互為補充。以是否部署為判定條件，具體能力要求可根據總體評估目標詳細設定。具體指標9如表5所示。表

5

金融信息基礎設施

IPv6

安全防護能力指標維度指標定義指標說明網絡中是否部署零信任技術，并實現(xiàn)網絡零信任安全

IPv6終端準入控制、IPv6終端安全隔離，及IPv6終端數(shù)據隔離。網絡安全策略升

IPv6安全策略應保持并增強原有IPv4環(huán)求。力：集、分析溯IPv6

安全防護流量進行安配置部署。相關日志進配置部署。是否配置部防護、抗DDos說明：本指標準之一，在三個演進階段均需關注參考。6.網絡基礎設施的

IPv6

運維支撐體系健全度指標本指標用于評估網絡運維支撐的綜合能力，實現(xiàn)IPv6更高效、智能的管理，指導達成“網絡好用”的發(fā)展目標。以是否部署為判定條件，具體能力要求可根據總體評估目標詳細設定。具體指10標如表6所示。表

6

金融網絡基礎設施

IPv6

運維支撐體系健全度指標維度指標定義指標說明網管設施是否支持對IPv6網絡的日志告警、事件管理、性能采集等，并配置部署。網絡運維系統(tǒng)網管設施是否支持對IPv6網絡管理，并配置Pv6業(yè)務的時延、抖動、時監(jiān)控及呈IPv6

運維支撐Pv6業(yè)務帶現(xiàn)能力及趨勢部署?；贗Pv6對和控制，并配，是否支持通過RESTFUL、SNMP、Kafka等主流接口實現(xiàn)開放對接，支持對網絡監(jiān)控質量、業(yè)務部署、業(yè)務服務質量及趨勢等數(shù)據北向開放，并配置部署。開放可編程說明：11本指標是

IPv6

規(guī)模部署演進中必不可少的衡量標準。評估建議如下：（1）在階段一，網絡運維系統(tǒng)、網絡監(jiān)控系統(tǒng)作為

IPv6

運維基礎要求，相關指標均應滿足。（2）從階段二至階段三，需逐步達成網絡分析系統(tǒng)和開放可編程的對應指標，以滿足

IPv6

單棧全面部署的目標達成后的運維支撐要（三）IPv6+是金融業(yè)I應匹配技術部署規(guī)模和力水平。了基礎，也估指標體系引入能力和轉變”的能1.面向，評估金融。具體指標機構骨干網如表7所示表

7

金融網絡基礎設施

IPv6+網絡可編程能力指標維度指標指標說明支持SRv6的網絡設備數(shù)目/域內所有網絡設備數(shù)目。SRv6協(xié)議支持度SRv6

技術應用部署SRv6的網絡設備數(shù)目/域內所有網絡設備數(shù)目。SRv6部署濃度SRv6流量占比SRv6流量/域內網絡總流量。12維度指標指標說明是否支持通過控制器實現(xiàn)SRv6的自動化，并配置部署。SRv6部署效率是否支持通過控制器實現(xiàn)SRv6業(yè)務路徑的自動化編排定義、自動化路徑調整，并配置部署。SRv6轉發(fā)效率2.面向測、新型組網絡設備的播等創(chuàng)新IPv6+業(yè)務維度數(shù)目/域內所數(shù)目/域內所流量。實現(xiàn)iFIT業(yè)隨流檢測iFIT技術應用置部署。是否支持通過iFIT方式實現(xiàn)VPN、五元組等多維度的網絡狀態(tài)可視，并配置部署。iFIT可視化能力是否支持通過iFIT方式對業(yè)務時延、抖動、丟包率進行多維度度量，并配置部署。iFIT網絡監(jiān)測指標網絡切片支持度網絡切片技術應用支持切片的網絡設備/域內所有網絡設備數(shù)目。13維度指標指標說明部署切片的網絡設備/域內所有網絡設備數(shù)目。網絡切片部署濃度網絡切片流量占比切片網絡質量評估網絡切片流量/域內網絡總流量。切片網絡業(yè)務時延與承諾時延的偏差。支持Bierv6的網絡設備/域內所有網絡設備數(shù)目。Bierv6協(xié)議支持度新型組播Bierv6技術應用備/域內所有總流量。rv6網絡承載不低于IPv4。3.面向署，實現(xiàn)應絡設備的I技術應用部絡領域內網維度APN6協(xié)議支持度

支持APN的網絡設備/域內網絡總流量。APN6部署濃度APN6流量占比部署APN的網絡設備/域內網絡總流量。APN6流量/域內網絡總流量。應用感知APN6技術應用網絡是否支持基于APN6實現(xiàn)自定義應用的可視化，并配置部署。APN6可視化能力原生APN6能力辦公終端、物聯(lián)終端、生產終端是否支持發(fā)起APN6流量，并配置部署。14三、新階段IPv6評估實施方法探索金融業(yè)IPv6部署和應用評估指標的不斷豐富，對具體的評估驗證方法、技術、工具、環(huán)境、平臺、機制等多方面也提出了新的課題，需要在發(fā)展中深入研究。圍繞各階段的目標要求，通過多種創(chuàng)新技術和方法逐步落地。新階段IPv6評估驗證主要提出兩方面要求：一方面中心出口網及

DMZ、內絡、安全及另一方有針對數(shù)據網絡（外網全，園區(qū)網IPv6

覆蓋度、活躍度標，以及多上述要程度評估指全流程均提出了新的課（一）多維度的IPv6指標需要采取差異化、創(chuàng)新性的監(jiān)測技術和手段實現(xiàn)。需要結合指標要求、業(yè)務特點、場景差異等因素綜合考慮。以IPv6網絡質量指標為例，針對廣域網絡的監(jiān)測和數(shù)據中心網絡的監(jiān)測，數(shù)據采集過程中可能采用不同的技術。例如，數(shù)據中心網絡可以考慮采用鏡像、撥測等技術，廣域網絡可以考慮采用NetStream、Telemetry等數(shù)據采集上報技術。同時，可以采用15更多的創(chuàng)新監(jiān)測手段。例如，針對網絡設備和終端、應用系統(tǒng)，可以針對數(shù)據采集的數(shù)據類別、取樣時間、取樣范圍、取樣頻度等嘗試更多創(chuàng)新性的采集方法。新階段IPv6評估驗證數(shù)據采集的范圍、數(shù)據內容、數(shù)據量、工作量都將不斷增長。同時，為提升監(jiān)測質量及結果準確性，需要提高數(shù)據采集頻度。然而，傳統(tǒng)數(shù)據采集以部分工具采樣為基礎、人工核需要推動I決數(shù)據采集數(shù)據采因此，同樣創(chuàng)新，以解性問題。臺支持。當前相關研究研究。（二）對于采化和分析，以及金融管并進行是否理部門管理在研究索IPv6監(jiān)測結果評估的工具化和自動化。數(shù)據分析和評估可借助大數(shù)據分析、人工智能等創(chuàng)新性技術，以提升評估結果的準確性和時效性。探索金融管理部門和商業(yè)機構的采集評估工具進行雙向協(xié)同，以充分釋放金融數(shù)字化轉型技術紅利?，F(xiàn)有的監(jiān)測數(shù)據結果的呈現(xiàn)能力不斷提升，進一步優(yōu)化和完善金融業(yè)多領域網絡、安全、終端和應用的IPv6支持及部署情況。首先，進一步完善監(jiān)測平臺內容。16擴展呈現(xiàn)范圍到全IPv6網絡領域、安全等。同時進一步完善呈現(xiàn)類別，例如IPv6可靠性、IPv6體驗等。其次，實現(xiàn)監(jiān)測平臺數(shù)據來源自動化。在IPv6監(jiān)測數(shù)據采集及IPv6監(jiān)測結果評估均實現(xiàn)工具化、自動化的基礎上，監(jiān)測平臺可根據標準化要求與采集、評估工具對接，周期性進行數(shù)據自動化獲取及呈現(xiàn)。四、未來研究方向當前，的重要方向融行業(yè)

IP術創(chuàng)新研究配國家和金進行更完善的設