2021政务外网IPv6演进技术白皮书.pdf

国家电子政务外网管理中心办公室 IPv6（Internet Protocol Version 6，互联网协议第六版）是互联网升级演进的必 然趋势、是网络技术创新的重要方向、是网络强国建设的基础支撑。2017年，以习近 平同志为核心的党中央作出推进IPv6规模部署行动的战略决策。按照中央网信办、国务 院办公厅的工作部署，国家电子政务外网已开始启动IPv6改造工作。“十四五”时期， 我国将加快数字化发展，大力推进数字政府建设。政务大数据、城市治理、专网融合、 移动办公等来自制度、技术、场景的变革要素正在加速涌现，持续挑战政务外网IPv4服 务能力。为贯彻落实党中央决策部署，有效应对数字时代的业务挑战，需要加快政务外 网IPv6演进。 本白皮书旨在为政务外网全面向IPv6演进提供分析和指导，给出基于IPv6的新一代 政务外网建设思路和演进路径，为地方政务外网IPv6改造提供参考。 本白皮书由国家电子政务外网管理中心办公室和华为技术有限公司联合编写，白皮 书中的广西、广东、中山案例材料，分别由广西壮族自治区信息中心、广东省政务服务 数据管理局、中山市政务服务数据管理局提供。 前 言 FOREWORD 01 04 05 05 05 07 07 07 09 10 10 10 11 11 11 12 12 12 12 12 13 13 13 13 01 02 CO NTENTS 目 录 政务外网发展现状 政务外网面临的业务挑战 1.1 建设历程 1.2 承载业务 1.3 技术路线 1.4 政策环境 1.4.1 IPv6相关政策环境 1.4.2 政务外网相关政策环境 2.1 IPv4地址不足，制约政务业务发展 2.1.1 数据大集中架构难以扁平化 2.1.2 跨层级视频会议缺乏灵活性 2.1.3 行业专网迁移对接带来增量IP地址诉求 2.1.4 智慧城市治理带来IP地址数量指数级增加 2.1.5 移动办公带来终端数量显著增长 2.2 网络运营管理难度大 2.2.1 IPv4地址可读性差，管理难度大 2.2.2 私有地址使用，导致难以实现用户级管理 2.2.3 网络故障定位复杂度高 2.2.4 网络负载调整不方便，带宽利用率低 2.2.5 网络差异化保障能力不足 2.3 网络安全防护难度增大 2.3.1 私有地址重复，安全监测和溯源难度大 2.3.2 公网地址错误私用，存在数据泄漏风险 14 15 03 IPv6在政务外网的应用实践 3.1 IPv6技术特点 02 15 15 15 16 16 20 22 22 23 24 25 26 27 30 30 31 31 32 32 32 33 29 34 04 基于IPv6构建下一代电子政务外网 05 缩略语 4.1 政务外网IPv6演进思路 4.1.1 政务云：互联网区优先改造，应用逐步迁移 4.1.2 广域网/城域网：先核心，再边缘，循序渐进 4.1.3 部门政务外网：按需改造，逐步演进 4.2 基于IPv6构建集约化、高品质、智安全的下一代电子政务外网 4.2.1 基于IPv6，构建集约高效的政务基础设施 4.2.2 通过IPv6+，实现高品质政务体验 4.2.3 依托IPv6安全优势，提供精准的安全管控和溯源 3.1.1 IPv6优势1：地址充足，支撑海量覆盖和连接 3.1.2 IPv6优势2：扩展性佳，提供差异化的用户体验 3.1.3 IPv6优势3：安全性高，提升网络自主权 3.2 IPv6/“IPv6+”产业正在加速升级 3.2.1 IPv6发展现状 3.2.2 “IPv6+”产业现状 3.3 政务外网IPv6实践案例 3.3.1 国家电子政务外网IPv6地址规划 3.3.2 中央级政务外网IPv6双栈改造与部门应用试点 3.3.3 国家电子政务外网互联网区IPv6改造 3.3.4 广西壮族自治区政务外网IPv6+改造 3.3.5 广东省政务外网IPv6+改造 3.3.6 中山城市综合治理一张网改造 03 国家电子政务外网是按照国家信息化领导小组关于我国电子政务建设的指导意见（中办发 200217号）、国家信息化领导小组关于推进国家电子政务网络建设的意见（中办发200618 号）等中央文件要求建设的我国电子政务公共基础设施，主要承载各级政务部门经济调节、市场监管、社 会管理、公共服务、生态保护、协同办公等非涉密的业务应用，支撑跨部门、跨层级、跨区域数据共享和 业务协同。国家电子政务外网为非涉密网络，与互联网逻辑隔离。 政务外网发展现状 01 04 2005年8月，国家电子政务外网一期工程开始 启动；2006年9月开始承载业务；2010年10月， 国家信息中心加挂“国家电子政务外网管理中心” 的牌子，政务外网正式开始承载业务；2014年 底，全国县级以上行政区域基本实现全覆盖。目 前，国家电子政务外网二期工程建设已经基本完 成。 截至目前，国家电子政务外网已实现区县级以 上行政区域全覆盖，乡镇政务外网覆盖率达到 96.1%。中央级政务外网已连接党中央、全国人 大、国务院、全国政协、最高人民法院、最高人民 检察院、群众团体、民主党派中央、解放军武警总 部等主要部门。政务外网全国接入部门共计40余万 家，接入终端数600余万台，承载应用包括公共服 务类（如行政审批、价格管理、信息公开等）、政 务内部业务类（如协同办公、电子监察、应急指 挥、信息报送等）和基础服务类（如视频会议、数 据备份、电子邮件等）。目前全国一体化政务服务 平台、全国信用信息共享交换平台、投资项目在线 审批监管平台、国家数据共享交换平台、公共安全 视频、图像共享交换平台等重要跨部门应用均依托 政务外网部署和运行。 1.1 建设历程 国家电子政务外网由网络平台和部门电子政务 外网构成，网络平台分为中央级、省级、市级、县 级四级，各级网络平台包含广域网、城域网、数据 中心等部分。网络平台采用统一规划、分级负责的 原则进行建设，中央级网络平台由国家电子政务外 网管理中心负责建设，省级及省以下网络平台由地 方政府相关部门负责建设。部门电子政务外网按照 要求接入本级网络平台。 网络平台分为公用网络区和互联网接入区。公 用网络区提供跨部门业务互通功能；互联网接入区 向互联网用户提供服务。 政务外网发展现状 05 网络架构 1.2 承载业务 1.3 技术路线 政务外网安全等级保护的目标是通过推进安全 等级保护工作，加强政务外网整体的安全防护能 力，确保国家电子政务外网全网的安全性、可靠性 和一致性，保证所承载的各级政务部门电子政务业 务的畅通和安全。 中央、省、地（市）政务外网均应达到安全等 级保护2.0(GB/T 22239-2019)第三级要求，并每 年开展等保测评工作。 政务外网安全等级保护首先是网络防护，保证 所承载各级政务部门信息系统的网络畅通，抵御病 政务外网IPv4地址分为全局地址、地方地址， 全局地址用于中央级网络，以及地方网络的跨省访 问；地方地址用于地方网络。国家电子政务外网管 理中心统一申请64个B类公有地址，用于政务外网 全局地址。全局地址在全网范围内通告，路由可 达。地方地址在省网范围内通告，不向省外通告， 仅在本省内路由可达。地方终端出省访问需转换为 全局地址。 2015年，国家电子政务外网管理中心发布 国家电子政务外网IPv4地址规划，指导各级电 子政务外网地址规划。政务外网地址规划采取“全 局地址统筹规划、地方地址分省复用”的混合组网 原则。国家电子政务外网管理中心负责政务外网全 局地址总体规划和管理。省级政务外网建设运维单 位负责全省（区、市）全局地址段的具体分配工 作，同时负责地方地址的规划和管理。 图1-1 电子政务外网基础网络架构 政务外网发展现状 06 地址分配 网络安全 一级网 二级网 三级网 四级网 部门政务外网 部门政务外网 部门政务外网 部门政务外网 部门政务外网政务广域网 Internet Internet Internet Internet 省级城域网 中央级城域网 市级城域网 区县级城域网 （含乡镇） 省广域网 市广域网 区县广域网 中央广域网 政务城域网 政务外网发展现状 07 IPv6为我国网络设施升级、技术产业创新、经 济社会发展提供了重大契机，加快推进IPv6规模部 署是我国新一代信息基础设施升级的必然要求，也 是下一代互联网发展的必由之路。为进一步推进国 内IPv6下一代互联网发展，2017年11月，中共中 央办公厅、国务院办公厅印发了推进互联网协议 第六版（IPv6）规模部署行动计划（厅字 201747号，简称行动计划），明确提出 了未来5到10年我国基于IPv6的下一代互联网发展 的总体目标、路线图、时间表和重点任务。行动 计划是加快推进我国IPv6规模部署，促进互联网 演进升级和健康创新发展的行动指南。 2021年，中华人民共和国国民经济和社会发 展第十四个五年规划和2035年远景目标纲要再次 强调，全面推进互联网协议第六版（IPv6）商用部 署。 2021年7月，中央网信办、国家发展改革委、 工信部联合印发关于加快推进互联网协议第六版 （IPv6）规模部署和应用工作的通知（中网办发 文202115号），要求推动国家电子政务外 网、地方政务外网、政务专网等IPv6改造。推动政 务数据中心、政务云平台、智慧城市平台IPv6改 造。推动新建政务网络及应用基础设施全面部署 IPv6，探索开展政务网络及应用IPv6单栈化试点。 1.4.1 IPv6相关政策环境 党中央、国务院高度重视数字政府建设，并将 其作为实现国家治理体系和治理能力现代化的战略 支撑，提出以电子政务为抓手，推进政府管理和社 会治理模式创新，实现政府决策科学化、社会治理 精准化、公共服务高效化，并陆续发布了相关政策 法规，为电子政务发展提供了良好的政策环境。 为了统筹国家政务信息化工程建设，推动政务 信息系统整合共享，2017年5月，国务院办公厅印 发政务信息系统整合共享实施方案的通知（国 办发201739号），明确要求完善国家电子政 务外网，拓展网络覆盖范围，具备跨层级、跨地 域、跨系统、跨部门、跨业务的支撑服务能力，满 足业务量大、实时性高的网络应用诉求，构建“大 平台、大数据、大系统”，形成覆盖全国、统筹利 用、统一接入的数据共享大平台，除极少数特殊情 况外，政府各类业务专网都要向国家电子政务内网 或外网整合。 1.4.2 政务外网相关政策环境 1.4 政策环境 毒和人为的攻击。在所管辖的网络边界范围内，管 理好统一的互联网出入口、安全接入平台，并做好 各部门政务外网接入边界的访问控制，具备跨区域 数据安全交换能力，确保跨部门数据在安全的前提 下进行共享交换。 另外，政务外网还需要具备统一的安全监测、 分析和预警能力。统一安全监测依托安全监测平 台，平台采用中央、省二级架构，每级单位单独建 设安全监测平台，具备完整的数据采集预处理、数 据分析、展示与应用等功能，各级平台可按照本级 安全监测需求来建设专项监测。 政务外网发展现状 08 为深化“放管服”改革，进一步优化政务服 务，2018年7月，国务院印发关于加快推进全国 一体化在线政务服务平台建设的指导意见（国发 201827号），强调各级政务服务平台原则上 统一依托国家电子政务外网构建，要拓展国家电子 政务外网覆盖范围，加强网络安全保障，满足业务 量大、实时性高的政务服务应用需求。推动各地区 和国务院有关部门非涉密业务专网与电子政务外网 对接整合。2020年9月，国务院办公厅印发的关 于加快推进政务服务“跨省通办”的指导意见 （国办发202035号）强调，加强全国一体化 政务服务平台“跨省通办”服务能力，进一步加强 市县政务服务平台建设，加快实现网上政务服务 省、市、县、乡镇（街道）、村（社区）全覆盖。 通过全国一体化政务服务平台，垂直业务系统与地 方政务服务平台互联互通、协同办理。深化“全程 网办”，拓展“异地代收代办”，优化“多地联 办”，实现申请人“单点登录、全国漫游、无感切 换”。 为进一步推动政务数据的整合共享，全面提高 数字化政务服务效能，中华人民共和国国民经济 和社会发展第十四个五年规划和2035年远景目标 纲要进一步强调，推动政务信息化基础设施共建 共享，提高数字化政务服务效能；推进新型智慧城 市建设，将物联网（Internet of Things，IoT）感 知设施、通信系统等纳入公共基础设施统一规划建 设，推进市政公用设施、建筑等物联网应用和智能 化改造；推进“上云用数赋智”行动，集约建设政 务云平台和数据中心体系，推进政务信息系统云迁 移；加快构建全国一体化大数据中心，建设E级和 10E级超级计算中心；建立健全国家公共数据资源 体系，推进数据跨部门、跨层级、跨地区汇聚融合 和深度利用。 十四五规划和相关政策的颁布指明了电子政务 的发展方向，政务外网作为支撑数字政府的基础设 施，是政务数据流通的大动脉，未来需要进一步扩 大覆盖范围、服务范围，提升服务质量，为数字政 府的发展提供有力的支撑。 新的业务场景的出现，对政务外网的网络覆盖、安全防御、体验保障均提出了新的要求， IPv4地址不足、运营管理难度大、安全防护不全面等问题成为制约政务外网发展的瓶颈，随 着IPv6产业的成熟，通过IPv6赋能政务外网已经成为必选项。 政务外网面临的业务挑战 02 09 国家信息中心于2015年向CNNIC（China Internet Network Information Center，中国互联 网络信息中心）申请64个B类IPv4公有地址，用于 政务外网建设，主要解决各部门、各地方政务外网 地址冲突的问题。划分网段后，地址空间利用率 30%左右，可用IP（Internet Protocol，互联网协 议）地址大约为130万个，以全网接入的部门数量 40万计算，每个部门平均可使用的全局IP地址小于 4个。据估计，目前尚有30%-40%的政务部门未 接入政务外网，IP地址量严重制约政务部门开展信 息系统建设和数据共享。 IP网络的发展是由业务和应用驱动的，随着新 的业务模式的不断出现，全局地址的需求量不断增 加，同时精细化运营和精准溯源要求每个终端具备 唯一可寻址的IP地址，全局地址短缺严重影响了政 务业务持续创新。 2020年4月，中共中央国务院关于构建更加 完善的要素市场化配置体制机制的意见（简称 意见）正式公布，数据作为一种新型生产要素 被写入中央文件，意见指出“要加快培育数据 要素市场，推进政府数据开放共享、提升社会数据 资源价值”。 2020年12月，国家发展改革委、中央网信 办、工业和信息化部、国家能源局等四部门联合印 发关于加快构建全国一体化大数据中心协同创新 体系的指导意见（发改高技20201922 号），提出了创新大数据中心体系、推动算力资源 服务化、深化大数据应用创新、强化大数据安全防 护等要求和举措。 人口、法人、自然资源与空间地理数据库等基 础库已经实现数据大集中，与地方政务部门数据双 向交互。以某部委一体化平台为例，需要全国2万 多家部门集中使用国家级平台，过程数据双向交 互，要求原本封闭的网络融合互通，需要使用全局 IP地址，IP地址的需求量大大增加。 数据大集中后，如果地方终端仍然采用地方地 址部署，多级NAT之后，会导致双向互访场景支持 受限，不利于应用的灵活部署。 2.1.1 数据大集中架构难以扁平化 政务外网已经承载国家民委、司法部、商务 部、退役军人事务部、应急管理部、中国气象局、 国家邮政局、台盟中央、中国科协等多个部门纵向 视频会议业务。 随着部门之间协同的不断加深，跨部门、跨层 级视频互联需求持续增加。目前政务外网的视频会 议服务器采用分布式级联架构，各地分建，省级视 频会议服务器使用公网地址，市县乡视频服务器采 2.1.2 跨层级视频会议缺乏灵活性 政务外网面临的业务挑战 10 2.1 IPv4地址不足，制约政务业务发展 根据要求，政府部门非涉密业务统一通过政务 外网承载，目前由于各种原因，部分政府部门的非 涉密业务采用专网承载，还没有与政务外网融合。 行业专网对接或者整合到政务外网后，跨省互通或 者访问国家业务平台时，部分业务需要采用政务外 网统一规划的全局地址进行业务交互。政府部门一 般涉及到部、省、市、县等多级单位，每一级单位 都涉及到全局地址的使用诉求。随着政府部门业务 的发展和专网整合的进一步推进，政务外网IPv4地 址不足的问题会进一步加剧。 2.1.3 行业专网迁移对接带来增量IP地址诉求 城市治理在向智能化、精细化方向发展，物联 网通过各类传感器将城市运行数据汇聚起来进行分 析，实现对城市的全维实时感知，支撑城市策略制 定和决策。当前各个政务部门烟囱式建设物联网， 物联系统之间相互隔离，数据相互调用难、共享 难，例如：供水、应急、环保等多个部门需要调用 水务数据，在实际操作中，数据非标准化，没有统 一的共享对接机制，导致数据对接共享的时效性难 以满足业务需求，甚至存在无法对接的情况。 国家“十四五规划”中提到，要将物联网感知 设施纳入公共基础设施，统一规划建设，推进市政 公用设施、建筑等物联网应用和智能化改造。将海 量的物联终端进行统筹管理，数据开放共享，需要 给每一个终端分配唯一的IP地址进行标识。此外， 物联终端类型多，覆盖范围广，管理难度较大，终 端容易成为被攻击的对象，在终端出现异常时需要 精准定位溯源，进行阻断处理，这也需要为每个终 端分配单独的IP地址。 2.1.4 智慧城市治理带来IP地址数量指数级增加 随着4G（4th Generation，第四代移动通信 系统）、5G（5th Generation，第五代移动通信 系统）网络的逐步完善，移动网络可以支撑高清视 频类及时通讯。各部委采用移动政务平台支撑移动 执法、移动办公、应急指挥等业务，提升政务办公 效率，解决信息化“最后一公里”问题。在移动执 法过程中，从现场检查到调查取证、立案查处等， 通过移动执法系统做到办案全过程留痕，全面提升 办案质量，增强执法透明度，确保公开、公正。在 移动办公场景下，个人或车辆配备多种智能化终 端，包括车载电脑、智能手机和智能对讲等，人均 配备终端数量不断增加，整体终端数量也呈现快速 增长趋势。为了实现高效的通信，需要为每个终端 分配IP地址，进行数据通信和业务管理。 2.1.5 移动办公带来终端数量显著增长 政务外网面临的业务挑战 11 用省内地方地址。市、县视频会议终端能够主动与 国家的视频会议终端建立连接；但是国家级视频会 议终端主动向市、县的视频终端发起连接时，由于 国家级视频会议服务器没有到市、县视频服务器地 址的路由，无法主动与跨层级如地市、乡镇视频会 议服务器建立连接，跨部门、跨层级视频会议缺乏 灵活性。为了灵活支持视频会议的各类应用场景， 省内视频会议服务器需要采用全省集中架构，或者 全部视频服务器都采用全局地址，才能满足视频会 议的要求。 政府部门通常采用条块化管理模式，纵向按行 业接受上级部门业务指导，横向按属地接受地方政 府管理。地方电子政务外网和上级业务部门都有识 别用户、业务进行管理的诉求。 由于IPv4地址长度有限，无法通过IP地址字段 区分业务、区域、部门等信息，只能按照网络结构 进行规划，无法通过IP地址同时区分两类信息，不 能进行直观的管理。 2.2.1 IPv4地址可读性差，管理难度大 由于IPv4地址不够用，部门政务外网通常会采 用私有地址，通过NAT转换后接入政务外网，多个 用户共享IP地址，会带来以下问题： 1. 通过IP地址无法区分具体用户和业务，进 行端到端的业务保障，管理复杂度高。 2. 无法进行安全方便的认证，采用Portal认 证会带来一定的安全风险，一个终端认证通过，会 放行使用同一个IP地址的其他终端。L2TP（Layer 2 Tunneling Protocol，二层隧道协议）认证方式 可以解决这个问题，但使用较为复杂。 3. 当在政务外网上发现异常用户时，需要对 用户进行阻断下线，而多个终端共享使用同一个IP 地址，无法进行精细化控制。 2.2.2 私有地址使用，导致难以实现用户级管理 基于IPv4的政务外网出现故障后，定位流程复 杂，主要体现在以下两个方面： 1. 各级部门内采用私网地址，通过NAT转换 成公网地址进行互通，导致问题定位困难。例如某 个用户出现故障，需要综合查询同一时刻，路径上 所有防火墙设备的NAT用户表项日志，并在各台 防火墙时间同步的前提下，才有可能找到具体用 户，找到用户后，还需要对设备上的NAT表项进 行分析，寻找故障根因，给定位工作带来了很大的 不便。 2. 视频会议业务对网络丢包、时延较为敏 感，丢包率要小于千分之一才不会出现花屏，而传 统IPv4网络难以对丢包、时延等影响用户体验的故 障进行定位。 2.2.3 网络故障定位复杂度高 政务外网当前主要依靠路由开销进行选路，大 部分情况下，业务会优选一条链路，容易出现一条 链路负载很高，另一条链路流量较少的情况，可能 会导致瞬间拥塞，影响业务体验。基于路由开销的 选路方式，不能基于用户体验对业务路径进行优 化，影响用户体验的同时，也造成高昂的专线资源 不能被充分利用，从而变相提高专线成本。 2.2.4 网络负载调整不方便，带宽利用率低 政务外网面临的业务挑战 12 2.2 网络运营管理难度大 对于政务公共业务，政务部门经过NAT后进入 政务外网，或者各省的流量经过NAT后进入中央级 政务外网，由于多个用户共用一个IP地址，当安全 监测平台监测到攻击后，并不能精准定位到是具体 哪台主机进行取证。 在政务外网承载政务部门专网VPN（Virtual Private Network，虚拟专用网）的场景下，由于 VPN内私有地址重叠，针对同一个IP地址，安全监 测平台可能监测到大量重复IP地址的告警，由于安 全监测平台按照五元组进行呈现，不能监测到具体 是哪个业务，哪个政务部门的哪台终端出了问题， 造成溯源排查困难，难以实施进一步的阻断策略。 2.3.1 私有地址重复，安全监测和溯源难度大 随着虚拟化和物联网技术的发展，网络规模越 来越大，子网数量激增，政务业务对全局地址和地 方地址需求量越来越大。IPv4地址不足时，有些地 方可能会把其他组织已申请，但未启用或非私网的 IP地址，作为私有地址使用，例如172.0.0.0/8网 段。这些地址一旦后续在公网重新启用，由于内网 已经使用该地址，导致内网用户根据私网路由无法 正常访问公网启用的相应服务；同时，当内网业务 路由发生变化（不可达等），可能将数据包按照默 认路由转发到外网，造成内部信息泄漏。 2.3.2 公网地址错误私用，存在数据泄漏风险 基于IPv4的政务外网，缺乏对业务的差异化 保障能力，主要体现在两个方面： 1. 政务外网需要为部分政务业务提供实时 性、高质量的服务，不能中断，例如部分地方政务 外网承载了医保结算类业务，当网络出现丢包，可 能导致医保卡刷卡反复失败，进而导致医院排队人 员增多，可能引发群众性事件。根据全国医疗保 障系统核心业务区骨干网络建设指南要求，医保 结算类业务要求误码率为10E-7，抖动小于等于 2ms。基于IPv4的政务外网，由于IPv4扩展受 限，无法为高质量业务提供专有带宽保障。 2. 由于业务需要，运维人员经常需要针对重 保业务进行保障，目前常用的手段是手工在经过的 所有设备上配置QoS（Quality of Service，服务 质量），为重保业务分配高优先级，保障业务体 验，当会议结束后，再逐跳删除业务配置，工作量 大而且容易出错。 2.2.5 网络差异化保障能力不足 政务外网面临的业务挑战 13 2.3 网络安全防护难度增大 随着政务业务的发展，IPv4地址短缺问题日益加剧，从IPv4迁移到IPv6已经成为当前的工作重点。 2013年开始，国家电子政务外网管理中心开始组织开展IPv6应用试点，国家和地方电子政务外网相继进行 IPv6改造，在IPv6改造上积累了丰富的经验。 IPv6在政务外网的应用实践 03 14 3.1.1 IPv6优势1：地址充足，支撑海量覆盖和连接 IPv6报文的灵活扩展性为新型政务应用创造 了优异的条件。IPv6报文和IPv4报文相比，去除 了IHL（Internet Header Length，首部长度）、 Identifier、Flag、Fragment Offset、Header Checksum、Option和Padding域， 只增加了流 标签域，因此IPv6报文处理较IPv4报文更为简 化，提高了处理效率。IPv6扩展头新增选项时不 必修改现有结构，理论上可以无限扩展。如IPv6 分段路由技术SRv6（Segment Routing over IPv6，IPv6分段路由），通过在IPv6的扩展头 Routing Header中定义SRH（Segment Rout- ing Header，分段路由扩展头）实现，SRv6将一 些IPv6地址定义成实例化的SID（Segment ID， 段ID标签），通过不同的SID操作，实现简化的 VPN，以及灵活的政务业务路径规划，体现了优 异的灵活性和网络可编程能力，也为未来网络加载 新的应用提供了充分的支持。 以SRv6为基础的IPv6+（ Internet Protocol Version 6 Plus，基于IPv6下一代互联网的升级） 技术体系，为高品质的业务体验保驾护航 。IPv6+ 是基于IPv6、AI的协议技术创新，如IPv6+网络 切片技术，为各类政务业务提供专网级的体验； IPv6+随流检测技术，实现网络质量可视、业务质 量实时监测，在业务出现异常时，快速定位故障。 IPv6+应用感知技术，基于应用自动导航，选择最 佳路径，提供智能化的政务服务。 基于IPv6的灵活扩展以及协议技术创新，可 以为政务业务的差异化质量保障、自动化、智能化 保驾护航。 3.1.2 IPv6优势2：扩展性佳，提供差异化的用户体验 我国IPv6/IPv6+协议的自主化能力强。我国 企业、高校和科研机构的IETF（Internet Engineer- ing Task Force，因特网工程任务组）影响力日益增 长，中国主导完成的RFC（Requirement For Com- ments，征求意见稿）数量和工作组文稿数量的增 幅均保持全球前列，目前已经主导完成了百余项 IETF的各类RFC，主要集中在IPv6+领域，我们 也拥有了IPv6+时代的自主权。 3.1.3 IPv6优势3：安全性高，提升网络自主权 IPv6在政务外网的应用实践 15 IPv6巨大的地址空间，支撑新一代政务外网 的海量连接。IPv6地址采用128比特标识，总体空 间有2 ，能很好地解决IPv4地址短缺，以及专网整 合时私网地址冲突的问题，支撑物联感知网络的海 量连接需求。 IPv6地址可管理性好，支撑新一代政务外网 的高效管理。巨大的地址空间使得IPv6地址不同的 字段可以代表丰富的语义，可以按照纵横两个维度 分配地址段，方便路由聚合，可高效支撑新一代政 务外网的基础管理。 IPv6所提供的巨大地址空间，正是实现数字政 府乃至数字社会万物智联，促进生产生活数字化、 网络化、智能化发展的关键基础。 128 3.1 IPv6技术特点 IPv6在政务外网的应用实践 16 移动终端、固定终端和信创终端，都支持IPv6，虽然具体实现上有些差异，但是当业务服务器具有双 栈地址时，都优选IPv6，如果IPv6地址不可达，则可以切换到IPv4。 3.2.1 IPv6发展现状 全球IPv6发展呈加速态势。随着物联网、工 业互联网和人工智能等产业飞速发展，IPv4地址资 源日益枯竭，世界主要的互联网大国已充分认识到 现阶段部署IPv6的紧迫性和重要性。各国政府纷纷 出台国家发展战略，制定明确的发展路线图和时间 表来积极推进IPv6的商用部署。 IPv6产业链已经基本成熟。根据2020全 球IPv6支持度白皮书中的信息，以及IPv6监测 平台相关数据，截至2020年7月，从操作系统、 网络/安全设备、应用软件、云平台等成熟度情况 判断，目前行业组织信息化基础设施向IPv6演进 已具备成熟的基础条件。 根据从下一代互联网国家工程中心、全球 IPv6测试中心，以及IPv6监测平台官方获得的数 据，从操作系统、网络/安全设备、应用软件、云 平台四个维度对IPv6支持情况总结如下。 IPv6可以方便实现网络实名制。 IPv6庞大的 地址空间可以从技术上解决网络实名制和用户身份 溯源问题，实现网络精准管理，有利于事后追查回 溯，提高安全保障能力。 IPv6与生俱来的安全优势，可进一步提升政务 办公、政务服务、社会治理的安全性，更好地保障 政务业务的安全运行。 操作系统 3.2 IPv6/“IPv6+”产业正在加速升级 IPv6在政务外网的应用实践 17 主流路由器、交换机已支持IPv6，安全产品已具备基本IPv6防护能力、检测能力、审计能力和大数据 分析能力，能够满足基本商用部署需求。 信息来源： 移动终端/固定终端：根据全球IPv6测试中心，以及下一代互联网国家工程中心发布的2018-2019 全球IPv6支持度白皮书、2018 IPv6支持度报告整理。 信创终端：中标麒麟、统信UOS分别基于Linux2.6内核和Linux5.3内核（百度百科），结合2018 IPv6 支持度报告中Linux版本对IPv6的支持度整理。 表3-1 主流操作系统IPv6支持情况 网络/安全设备 移动终端 固定终端 信创终端 操作系统 是否默认 安装IPv6协议 是否支持 DHCPv6 是否支持 SLACC 分类 是 是 否 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 Android IOS Win XP Win 7 Win 10 Win 2008 ubuntu Redhat 中标麒麟 统信UOS 否 是 安装插件支持 是 是 是 是 是 是 是 IPv6在政务外网的应用实践 18 当前主流的数据库、中间件、程序开发软件和办公软件已具备了IPv6基础支撑能力。 信息来源：根据下一代互联网国家工程中心、全球IPv6测试中心发布的2020全球IPv6支持度白皮 书，以及主流安全厂商官方数据整理。 表3-2 主流网络/安全设备IPv6支持情况 网络类 园区交换机、数据中心交换机 是 是 是 是 是 是 接入路由器、骨干路由器 防火墙、入侵防御系统、Web应用防火墙、 Anti-DDoS、防病毒网关、VPN网关 入侵检测系统 日志审计、数据库审计、上网行为审计、网络综合审 计、堡垒机运维审计 态势感知平台、安全策略管理、安全运营中心、漏洞 扫描 安全类 网络基础设施 交换机 路由器 安全防护类 检测类 安全审计类 大数据分析 管控类 产品类别 设备名称 是否支持 IPv6 应用软件 软件名称 是否支持IPv6 人大金仓 达梦 神州通用 瀚高 数据库 是 是 是 是 软件类别 表3-3 主流应用软件IPv6支持情况 IPv6在政务外网的应用实践 19 信息来源：根据下一代互联网国家工程中心、全球IPv6测试中心发布的2018-2019全球IPv6支持 度白皮书，以及厂商官方数据整理。 MySQL 5.7.17 Oracle Database 12.1.0.2.0 东方通中间件 普元中间件 宝兰德中间件 Kafka zookeeper Apache Ruby Python Java PHP IE系列浏览器 Chrome浏览器 Firefox浏览器 Opera浏览器 360安全浏览器 QQ浏览器 FileZilla3文件传输软件 SmartFTP4文件传输软件 Outlook邮件软件 Lotus Notes邮件软件 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 数据库 中间件 程序开发软件 办公软件 业界普遍认为IPv6不是下一代互联网的全 部，而是下一代互联网创新的起点和平台。在 IPv6部署过程中，业界认识到IPv6的部署不仅是 增加地址空间，解决IPv4地址瓶颈，身份可溯 源，更好实现安全管理等问题，还可以进一步开发 IPv6技术与应用，为用户创造更大价值，增强发 展IPv6的内生动力。为此，国家推进IPv6规模部 署专家委员会在2019年底正式成立了“IPv6+创 新推进组”，构建“IPv6+”技术创新工作体系。 3.2.2 “IPv6+”产业现状 IPv6在政务外网的应用实践 20 信息来源：中国信息通信研究院和下一代互联网国家工程中心发布的云服务IPv6支持能力评测结果。 综上可以看出，主流的操作系统、网络/安全设备、应用软件、云平台已经具备IPv6能力，行业基础信 息化设施已经具备向IPv6演进的条件。 “IPv6+”技术体系 主流云平台已具备IPv6服务能力。在“2020中国IPv6发展论坛”上，中国信息通信研究院为腾讯云、 阿里云、华为云以及移动云颁发了云服务IPv6支持能力测评证书。同时从国家IPv6监测平台上可以看到， 截至2021年7月，已有11家云服务商的全部云服务产品100%支持IPv6。 云平台 表3-4 主流云服务IPv6支持情况 云服务名称云服务商 阿里云 云服务器ECS、容器服务、SLB、DNS、对象存储、云数据库、 API网关、Web应用防火墙、DDoS基础防护等 弹性云服务器ECS、弹性负载均衡SLB、对象存储服务OBS、API 网关APIG、云解析服务DNS、云数据库RDS、WEB应用防火墙 WAF、云容器引擎CCE等 云服务器、负载均衡、对象储存、云数据库MySQL、Web应用防 火墙、DDoS等 云主机、弹性负载均衡、对象储存、Web应用防护、抗DDoS服务等 华为云 腾讯云 移动云 是 是 是 是 是否支持IPv6 “IPv6+”包括：一是以SRv6分段路由、网 络编程、网络切片、确定性转发、随流检测、新型 组播、应用感知、无损网络等为代表的网络技术体 系的创新；二是以实时健康感知、网络故障主动发 现、故障快速识别、网络智能自愈、系统自动调优 等为代表的智能运维体系的创新；三是以5G toB、云间互联、用户上云、网安联动等为代表的 网络商业模式的创新。“IPv6+”在广联接、超 宽、安全、自动化、确定性和低时延6个维度全面 提升IP网络能力，可以满足业务快速开通、用户体 验优化、差异化保障、网络运维等需求。 IPv6与网络切片技术结合，可以打造前瞻性、 全覆盖的“一网多平面”电子政务外网，为各类业 务提供专网级的体验。IPv6与随流检测技术相结 合，可以实现电子政务外网网络质量可视、业务质 量监测和故障快速定界。与APN6（Applica - tion-aware IPv6 Networking，应用感知网络） 结合，可以将应用信息及其需求携带进入电子政务 外网，使得网络能够有效且低成本地感知应用的差 异化需求，并提供相应的网络服务。基于 “IPv6+”的网络应用与政务外网业务需求相结 合，可以反向促进IPv6的规模化部署，加速国家信 息化进程、助力经济社会发展，逐步形成全球领先 的下一代互联网技术和产业体系。 1980年代，IPv4成为互联网的基础协议，推 动了IP网络的发展。2000年代，MPLS技术诞生， 增强了语音和视频等业务的综合承载能力。2020 年，5G和云时代驱动新一代IP网络，以IPv6海量 地址为基础，以协议创新和网络智能化技术创新为 核心的“IPv6+”应运而生。 图3-1 IP网络代际规划 “IPv6+”是基于IPv6下一代互联网的升级，包含两方面： IPv6在政务外网的应用实践 21 由万物互联向万物智联的升级 IPv6海量地址构建了万物互联的网络基础，“IPv6+”全面升级IPv6技术体系，推动IPv6走向万物 智联，满足多元化应用承载需求，释放产业效能。 由消费互联网向产业互联网升级 “IPv6+”进入千行百业，赋能行业数字化、网络化和智能化，全面支撑数字政府、数字社会、数 字经济的网络基础设施建设。 IPv4 MPLS IPv6+ IPv6+ P