ICS33.040.40

CCSM32

中華人民共和國國家標準

GB/TXXXXX—XXXX

國家電子政務外網IPv6部署通用要求

GeneralRequirementsforIPv6DeploymentontheNationale-GovernmentNetwork

（征求意見稿）

在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上。

XXXX-XX-XX發布XXXX-XX-XX實施

GB/TXXXXX—XXXX

目次

前言...........................................................................III

1范圍...............................................................................1

2規范性引用文件.....................................................................1

3術語和定義.........................................................................1

4縮略語.............................................................................3

5網絡結構...........................................................................4

6廣域網/城域網......................................................................4

廣域網.........................................................................4

城域網.........................................................................5

路由要求.......................................................................7

AS域間網絡對接.................................................................7

服務質量.......................................................................7

7安全...............................................................................7

安全架構.......................................................................8

總體要求.......................................................................8

8政務云和應用.......................................................................8

總體架構.......................................................................9

總體要求.......................................................................9

IPv6資源池要求................................................................10

數據交換區要求................................................................11

應用IPv6部署要求.............................................................11

9管理系統和支撐系統................................................................11

管理系統要求..................................................................11

支撐系統要求..................................................................12

10部門政務外網和終端...............................................................13

網絡結構.....................................................................13

網絡總體要求.................................................................14

終端要求.....................................................................14

IPv6地址分配.................................................................14

安全要求.....................................................................15

11IPv6地址規劃與管理...............................................................15

基本原則.....................................................................15

地址結構.....................................................................16

附錄A（資料性）政務外網廣域網IPv6部署實施指南....................................18

A.1存量網絡IPv6單棧改造實施指南.................................................18

A.2新建IPv6單棧網絡實施指南.....................................................19

附錄B（資料性）政務外網城域網IPv6部署實施指南....................................20

B.1存量網絡IPv6單棧改造實施指南.................................................20

I

GB/TXXXXX—XXXX

B.2新建IPv6單棧網絡實施指南.....................................................21

附錄C（規范性）廣域網/城域網網絡設備IPv6特性要求.................................22

附錄D（資料性）部門政務外網網絡改造演進步驟.......................................23

附錄E（規范性）省級地址AA對照表..................................................24

附錄F（資料性）區劃域（Z碼）編碼示例.............................................25

附錄G（資料性）未分配的區劃域Z碼的使用建議.......................................26

附錄H（資料性）網絡平臺的子網標識劃分建議.........................................27

H.1概述..........................................................................27

H.2子網標識劃分建議...............................................................27

附錄I（資料性）政務云的子網標識劃分建議...........................................29

I.1概述..........................................................................29

I.2子網標識劃分建議...............................................................29

參考文獻............................................................................31

II

GB/TXXXXX—XXXX

國家電子政務外網IPv6部署通用要求

1范圍

本文件規定了國家電子政務外網（以下簡稱政務外網）廣域網、城域網、部門政務外網和終端、政

務云和應用、網絡安全、管理系統和支撐系統的IPv6部署要求，以及政務外網IPv6地址的結構定義要

求。

本文件適用于指導中央、各地方政務外網管理部門或建設運維單位和各政務部門進行IPv6網絡設

計、網絡改造、建設實施等。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T2260中華人民共和國行政區劃代碼

3術語和定義

下列術語和定義適用于本文件。

國家電子政務外網E-GovernmentNetwork

承載各級政務部門用于經濟調節、市場監管、社會管理和公共服務等非涉及國家秘密的業務應用系

統的政務公用網絡。國家電子政務外網縱向覆蓋中央、省、地（市）、縣（區），橫向連接各級黨委、

人大、政府、政協、法院和檢察院等政務部門。國家電子政務外網由中央政務外網和地方政務外網組成，

地方政務外網由省級政務外網、地（市）級政務外網、縣（區）級政務外網組成。

廣域網WideAreaNetwork

用于縱向覆蓋中央、省、地（市）、縣各層級行政區域，由各級行政區域內廣域骨干節點設備和之

間長途線路組成。

城域網MetropolitanAreaNetwork

用于實現本級行政區域內的政務部門的橫向連接，包括中央、省、地市、縣四級城域網，各級城域

網通過統一的互聯網出口與國際互聯網聯接。各級城域網通過縱向廣域網實現互聯。

1

GB/TXXXXX—XXXX

部門政務外網Departmente-GovernmentNetwork

各級政務部門工作人員的重要辦公網絡，由各級政務部門自行建設和維護，網絡覆蓋范圍和功能區

規劃由各單位根據業務需要確定。

政務云governmentcloud

用于承載各級政務部門開展公共服務、社會管理的業務信息系統和數據，并滿足跨部門業務協同、

數據共享與交換等需要，提供IaaS、PaaS和SaaS服務的云計算服務。

移動政務專網mobilee-governmentprivatenetwork

利用運營商5G、4G等移動通信基礎設施，在公共網絡中通過網絡切片、專用DNN等技術構建，

能獨享網絡資源的移動政務專網，是政務外網城域網的組成部分。

政務專用UPFdedicatedUPFfore-governmentnetwork

為政務外網部署的政務行業專用UPF設備，保障政務業務數據的安全和質量，與運營商面向公眾

用戶和其他行業用戶所提供的UPF物理隔離。政務專用UPF由服務器、交換機、路由器、防火墻等設

備組成。

管理系統operationandmaintenancesystem

開展國家政務外網運維管理工作的支持工具，主要實現對網絡設備、主機設備、存儲設備以及基礎

軟件、應用軟件等資源運行狀態的監控和綜合管理，支持運維服務流程的標準化管理。

支撐系統supportingsystem

提供地址分配、地址管理、域名解析、IPv6發展監測平臺等IP網絡支撐服務和運維相關特性的一

些獨立軟件或者平臺。

安全監測SecurityMonitoring

以信息安全事件為核心，通過對網絡和安全設備日志、系統運行數據等信息的實時采集，以關聯分

析等方式，實現對監測對象進行風險識別、威脅發現、安全事件實時報警及可視化展現。

隨流檢測in-situFlowInformationTelemetry

一種直接對業務報文進行端到端測量，從而得到網絡的真實丟包率、時延等性能指標的檢測方式，

2

GB/TXXXXX—XXXX

具有部署方便、統計精度高等突出優點。

4縮略語

下列縮略語適用于本文件。

SRv6：基于IPv6的段路由（SegmentRoutingoverIPv6）

MPLS：多協議標簽交換（MultiprotocolLabelSwitching）

6vPE：IPv6虛擬專用網絡提供商邊界（IPv6VirtualProviderEdge）

MTU：最大傳輸單元（MaximumTransmissionUnit）

UPF：用戶面功能（UserPlaneFunction）

DNN：數據網絡名稱（DataNetworkName）

BGP：邊界網關協議（BorderGatewayProtocol）

MP-BGP：BGP多協議擴展（MultiprotocolExtensionsforBGP）

EBGP：外部邊界網關協議（ExternalBorderGatewayProtocol）

VPN：虛擬專用網絡（VirtualPrivateNetwork）

QoS：服務質量（QualityofService）

IFIT：隨流檢測技術（In-situFlowInformationTelemetry）

APN6：應用感知的IPv6網絡（Application-awareIPv6Networking）

FlexE：靈活以太（FlexibleEthernet）

NOF：全無損以太存儲網絡（NVMeOverFabric）

DHCPv6：動態主機配置協議版本6（DynamicHostConfigurationProtocolversion6）

DHCPv6Relay：DHCPv6中繼代理（DHCPv6Relay）

DHCPv6Snooping：DHCPv6偵聽（DHCPv6Snooping）

SLAAC：無狀態地址自動配置（Statelessaddressautoconfiguration）

DUID：設備唯一標識符（DeviceUniqueIdentifier）

ND：鄰居發現（NeighborDiscovery）

NDSnooping：ND偵聽（NDSnooping）

802.1x：IEEE802.1x協議（IEEE802.1xProtocol）

Portal：門戶（Portal）

MAC：媒體接入控制（MediaAccessControl）

VLAN：虛擬局域網（VirtualLocalAreaNetwork）

VxLAN：虛擬擴展局域網（VirtualExtensibleLAN）

VxLANv6：IPv6虛擬擴展局域網（VXLANwithIPv6intheunderlay）

FIBv6：IPv6轉發信息庫（IPv6ForwardingInformationBase）

WPA3：保護無線電腦網絡安全系統3（Wi-FiProtectedAccess3）

WAPI：無線局域網鑒別和保密基礎結構（WLANAuthenticationandPrivacyInfrastructure）

NAT：網絡地址轉換（NetworkAddressTranslation）

NAT64：IPv6到IPv4的地址轉換協議（NetworkAddressTranslationIPv6-to-IPv4）

NAT66：IPv6到IPv6的地址轉換協議（NetworkAddressTranslationIPv6-to-IPv6）

GRE：通用路由封裝協議（GenericRoutingEncapsulation）

SNMP：簡單網絡管理協議（SimpleNetworkManagementProtocol）

NETCONF：網絡配置協議（NetworkConfigurationProtocol）

GIS：地理信息系統（GeographicInformationSystem）

3

GB/TXXXXX—XXXX

BMP：BGP控制協議（BGPMonitoringProtocol）

IS-IS：中間系統到中間系統協議（IntermediateSystemtoIntermediateSystem）

5網絡結構

國家政務外網是全國統一的，全面覆蓋中央、省、地（市）、縣（區）、鄉鎮、街道的，服務于各

級黨委、人大、政府、政協、法院和檢察院等政務部門的政務公用網絡。

國家政務外網由中央、省級和地（市）、縣（區）四級網絡平臺組成，如圖1所示，各級網絡平臺

包含廣域網、城域網、數據中心、互聯網出口等部分。

圖1政務外網網絡平臺總體架構

6廣域網/城域網

廣域網

6.1.1網絡結構

廣域網由長途線路和各級廣域網網絡節點設備組成。中央級廣域網和地方廣域網分級建設、分級管

理。

6.1.2IPv6部署要求

具體要求包括：

a)應采用SRv6VPN統一承載IPv4、IPv6業務。存量網絡不支持SRv6技術的，可采用基于MPLS

的6vPE技術、采用IPv4/IPv6雙棧技術等進行過渡；

b)應充分利用廣域網多線路帶寬資源，支持IPv4、IPv6業務流量的動態調整；

c)廣域網通信線路應能為政務外網IPv4、IPv6業務提供專用的二層點對點形式線路，宜采用

MSTP、SDH、OTN、IP切片專線、裸光纖等線路類型；

d)MTU值設置應大于等于2000；

e)廣域網向IPv6演進，可參考附錄A實施。

4

GB/TXXXXX—XXXX

6.1.3設備要求

廣域網核心、接入設備應支持附錄C中所列出的功能。

城域網

6.2.1網絡結構

6.2.1.1中央/省/市級城域網

中央/省/市級城域網架構上分為核心、匯聚、接入層，核心層和匯聚層采用冗余設備組網，推薦部

署在不同的機房，其中匯聚層可選；接入層分為數據中心接入設備和用戶接入設備，用戶接入設備放在

用戶機房，用于部門政務外網的接入；數據中心接入設備位于數據中心出口，用于數據中心的接入。

互聯網出口為本級用戶提供互聯網服務；安全接入平臺為本級用戶提供遠程接入服務。

移動政務專網，提供政務外網4G、5G等移動接入服務。

中央/省/市級城域網網絡結構如圖2所示。

圖2中央/省/市級城域網網絡結構

6.2.1.2縣級城域網

縣級城域網架構上分為核心、匯聚、接入層，核心層和匯聚層采用冗余設備組網，推薦部署在不同

的機房，其中匯聚層可選；接入層設備放在用戶機房，用于部門政務外網的接入；行政村（社區）經過

匯聚后接入或直接接入縣級城域網核心層。

互聯網出口為本級用戶提供互聯網服務；安全接入平臺為本級用戶提供遠程接入服務。

縣級城域網使用市級城域網的移動政務專網提供4G、5G等移動接入服務，也可參考市級城域網要

求自建移動政務專網。

縣級城域網架構如圖3所示。

5

GB/TXXXXX—XXXX

圖3縣級城域網架構

6.2.2IPv6部署要求

具體要求包括：

a)應通過SRv6VPN統一承載IPv4、IPv6業務，應在城域網接入設備通過SRv6技術將IPv4、

IPv6用戶報文封裝成IPv6報文，實現政務外網的IPv6單棧轉發。存量網絡不支持SRv6技術

的，可采用基于MPLS的6vPE技術、采用IPv4/IPv6雙棧技術等進行過渡；

b)應充分利用城域網多線路帶寬資源，支持IPv4、IPv6業務流量的動態調整；

c)應支持SRv6報文按照指定的路徑經過安全設備進行安全防護；

d)城域網通信線路應能為政務外網IPv4、IPv6業務提供專用的二層點對點形式線路，宜采用

MSTP、SDH、OTN、IP切片專線、裸光纖等線路類型；

e)MTU值設置應大于等于2000；

f)應支持IPv6互聯網服務，宜采用新建IPv6互聯網出口方式進行改造；

g)政務外網IPv6地址不能向互聯網發布；

h)城域網向IPv6演進，可參考附錄B實施。

6.2.3移動政務專網IPv6部署要求

具體要求包括：

a)應支持IPv4、IPv6業務；

b)終端通過移動CPE接入政務外網場景，應支持移動CPE與政務外網設備部署SRv6隧道穿越運

營商網絡；

c)應通過政務專用UPF與政務外網接入路由器進行對接，應使用獨立的物理端口進行對接；

d)應支持為接入終端設備分配IPv4和IPv6地址；

e)通過移動政務專網接入政務外網的終端應使用政務專用的IP地址體系，不應使用運營商IP地

址體系；

f)業務數據進入政務外網后，應能繼續保持傳輸隔離能力和邏輯隔離能力。宜采用網絡切片技術，

將移動政務專網和政務外網網絡切片進行映射，實現端到端的業務保障能力。

6.2.4設備要求

中央/省/市/縣級城域網接入、匯聚、核心設備應支持附錄C中所列出的功能。

6

GB/TXXXXX—XXXX

路由要求

具體要求包括：

a)應實現承載網路由和用戶路由分離；

b)用戶路由應通過MP-BGP協議在自治域內通告，宜通過EBGP協議或靜態路由在自治域間通告，

用戶路由包括基礎數據業務地址路由、視頻會議業務地址路由、視頻監控業務地址路由、物聯

網業務地址路由等；

c)用戶路由通告前應進行聚合；

d)承載網路由應通過IGP協議在自治域內通告，域間不應通告承載網路由。IGP協議宜采用IS-

IS；承載網路由包括設備互聯地址路由、Loopback地址路由、SRv6Locator地址路由等；

e)路由設計應能反映整個網絡的層次結構，應與自治域、各節點子網的IP地址分配相結合，做

到合理的路由聚合；

f)在同一自治域內，應根據網絡流量分擔、分布與路由備份情況，統一規劃路由的Metric值和

路由策略；

g)應根據網絡規模合理劃分IGP區域和進程。

AS域間網絡對接

域間網絡對接應采用OptionA方式。當前采用OptionB方式對接的，可在域間設備增加業務互聯

接口，通過靜態路由或EBGP交換業務路由，逐步由OptionB過渡到OptionA方式。

服務質量

6.5.1基本要求

具體要求包括：

a)IPv6網絡的QoS策略應與IPv4網絡保持一致；

b)應具備為IPv4、IPv6視頻業務提供確定性帶寬保障的能力，應采用專用設備和物理鏈路承載

或網絡切片技術；

c)應具備對IPv4、IPv6業務的狀態實時感知和故障快速定界能力，采用IFIT隨流檢測技術，

檢測粒度可細化到單個政務部門的具體用戶/業務；

d)應支持對IPv6業務的識別和保障，具備條件的，宜采用APN6技術識別業務，進行帶寬保障

和網絡質量監控。

6.5.2網絡切片技術要求

具體要求包括：

a)應采用FlexE、邏輯子端口技術實現以太網端口的資源隔離；

b)常用的以太接口類型應支持網絡切片；

c)基于FlexE技術實現的網絡切片應支持1G、2G、5G、10G等不同顆粒度的資源隔離；

d)基于邏輯子端口技術實現的網絡切片應支持10M顆粒度的資源隔離；

e)網絡切片技術應與IGP技術解耦，同接口下的多個網絡切片共用一個接口IP地址和IGP路由

協議；

f)應根據業務類型或政務部門劃分網絡切片，宜對視頻會議、視頻監控業務規劃專用切片。

7安全

7

GB/TXXXXX—XXXX

安全架構

政務外網IPv6安全體系架構包括安全接入、安全防護、安全監測、安全管理四個部分，建設云網

安一體安全防護體系提升政務外網的安全韌性及協同防御能力，如圖4所示。

圖4政務外網安全架構示意圖

總體要求

具體要求包括：

a)網絡安全設備應開啟IPv6功能；

b)網絡安全設備應支持SRv6、GRE等隧道流量的防護和檢測，其部署不能影響網絡切片、隨流檢

測等功能；

c)應支持IPv6終端的安全接入，并對IPv6終端環境進行持續檢測和評估，根據評估情況動態調

整其應用訪問權限。對IPv6辦公終端進行身份鑒別、認證和授權，并實現互聯網和政務外網

的分時訪問；對IPv6物聯終端進行持續流行為分析發現并阻斷私接、仿冒終端接入政務外網；

對通過移動政務專網接入的IPv6移動終端進行二次鑒權，實現設備級、SIM卡級精細授權和

溯源審計；

d)應在圖4所述安全防護邊界部署網絡安全設備，對接入政務外網的IPv6流量進行訪問控制及

安全策略防護，或通過業務鏈的方式由匯聚層的防火墻提供集中的邊界安全防護；

e)安全監測平臺及其配套設備應支持IPv6流量的采集、威脅分析、態勢呈現、數據存儲、通報

預警，支持聯動網絡和安全設備基于IPv6攻擊源地址執行安全威脅處置；

f)終端、網絡、資產、事件等安全管理系統和配套安全管理的運維審計系統、日志服務器、數據

庫審計系統、安全認證系統等均應支持IPv6。

8政務云和應用

8

GB/TXXXXX—XXXX

總體架構

政務云包括公共區、互聯網區和數據交換區。公共區和互聯網區相互獨立，通過數據交換區進行數

據交換，如圖5所示。

圖5政務云架構圖

總體要求

政務云公共區、互聯網區進行IPv6改造，應配置獨立的IPv6資源池承載IPv6應用。IPv6資源池應包

括計算、網絡、存儲、安全等基礎設施以及云平臺和云服務。以互聯網區為例，如圖6所示。

9

GB/TXXXXX—XXXX

圖6互聯網區IPv6改造圖

IPv6資源池要求

8.3.1基礎設施

具體要求包括：

a)計算服務器操作系統、虛擬化軟件等應支持IPv6；

b)網絡設備應部署IPv6單棧，包括管理層面和數據轉發層面的IPv6地址、IPv6路由協議等；

c)網絡設備應支持VxLANv6；

d)網絡設備應支持通過IPv6協議將設備資源使用情況（如CPU、內存、帶寬利用率）、光模塊狀

態等指標及時上報給管理系統；

e)網絡應使用IPv6路由組網；

f)網絡應具備對IPv6業務的狀態實時感知和故障快速定界定位能力，支持隨真實業務流的路徑

還原、丟包率和時延檢測；

g)計算網絡應具備IPv6裸金屬服務器的自動化接入能力和IPv6業務的安全隔離能力；

h)NOF存儲網絡應支持IPv6協議；

i)存儲應支持通過IPv6提供訪問；

j)應支持通過NAT64地址轉換技術實現IPv6資源池與IPv4資源池的互訪；

10

GB/TXXXXX—XXXX

k)安全設備應部署IPv6單棧，包括IPv6地址、IPv6的安全策略等。

8.3.2云平臺

具體要求包括：

a)云平臺應支持IPv6單棧部署；

b)云平臺應支持發放IPv6單棧虛機；

c)云平臺的北向接口和南向接口應支持IPv6訪問。

8.3.3云服務

基礎服務、數據服務、數據庫服務、應用服務、安全服務等應支持IPv6。

數據交換區要求

應支持IPv6的數據交換和安全防護。

應用IPv6部署要求

具體要求包括：

a)應用系統應同時支持IPv4用戶和IPv6用戶的訪問；

b)現有應用系統進行IPv6改造，宜采用IPv6單棧形式部署在IPv6資源池內，并保持原有IPv4

應用系統部署在IPv4資源池。IPv6用戶訪問IPv6應用系統，IPv4用戶訪問原有IPv4應用

系統。終端IPv6改造完成后，原有IPv4應用系統逐漸退網；

c)新建應用系統，宜僅采用IPv6單棧形式部署在IPv6資源池中，IPv4用戶通過NAT地址轉換

技術訪問IPv6應用系統。

9管理系統和支撐系統

管理系統要求

9.1.1運行監控要求

運行監控主要包括拓撲監控和業務監控，要求如下：

a)應支持基于SNMP、NETCONF等標準協議通過IPv6地址對網絡設備進行納管；

b)應支持自動生成物理拓撲、切片拓撲和隧道拓撲，宜支持基于GIS地圖進行拓撲管理，支持通

過源IP及目的IP查詢網絡路徑并在拓撲上呈現；

c)應支持管理系統間的級聯對接，支持本級及所轄下級網絡的網絡切片、IFIT協同對接，進行

業務端到端的保障。

9.1.2智能分析要求

智能分析主要包括質量分析、流量分析、容量預測和路由分析，要求如下：

a)應支持采用IFIT技術對網絡中IPv4、IPv6的業務進行丟包率和時延檢測，支持圖形化標識網

絡路徑故障點，支持跨級網絡的業務流質量檢測和定界定位；

b)應支持對IPv4、IPv6網絡流量進行安全分析和威脅溯源，并聯動網絡、安全設備執行主機隔

11

GB/TXXXXX—XXXX

離和流量阻斷；

c)宜支持IPv6網絡的設備資源容量預測和網絡流量預測；

d)宜采用BMP協議收集BGP路由信息進行分析，并發現潛在路由風險。

9.1.3自動布放要求

自動布放主要包括網絡配置布放和路徑優化，要求如下：

a)應支持對本級和所轄下級網絡的網絡切片、SRv6隧道、VPN、IFIT等自動發放；

b)應支持基于帶寬、時延、丟包率等多種參數進行網絡路徑計算；

c)出現業務質量劣化、網絡故障或網絡擁塞時，應支持進行網絡路徑動態調整。

支撐系統要求

9.2.1IPv6發展監測平臺要求

應建設IPv6發展監測平臺對政務外網IPv6就緒度進行監測管理，按照表1中的監測指標進行統計

監測。

表1IPv6統計監測指標框架

監測維度監測指標指標說明

IPv6物聯網終端活躍連接數和占已經獲得IPv6地址，且在30天內具備有效IPv6流量記錄的物聯網終端

比數和占比

活躍用戶

已經獲得IPv6地址，且在30天內具備有效IPv6流量記錄（不包含

IPv6辦公終端活躍連接數和占比

Ping和域名解析流量）的辦公終端數量和占比

城域網IPv6流量和占比城域網每天的平均IPv6流量和占比

IPv6流量

數據中心IPv6流量和占比數據中心每天的平均IPv6流量和占比，包括公共區和互聯網區

IPv6網絡時延部門接入網到數據中心入口，發送測試報文，計算多個報文平均時延

IPv6平均丟包率部門接入網到數據中心入口，發送測試報文，計算報文丟包率

IPv6網絡抖動部門接入網到數據中心入口，發送測試報文，計算多個報文平均抖動

網絡就緒度

廣域網/城域網IPv6單棧能力廣域網/城域網采用SRv6技術承載IPv6業務

數據中心網絡IPv6能力數據中心網絡采用IPv6網絡承載IPv6應用

部門政務外網IPv6能力部門政務外網采用IPv6網絡承載IPv6業務

云主機IPv6網絡時延終端到云主機發送測試報文，計算多個報文平均時延

云主機IPv6平均丟包率終端到云主機發送測試報文，計算報文丟包率

云主機IPv6網絡抖動終端到云主機發送測試報文，計算多個報文平均抖動

云端就緒度云資源池IPv6單棧能力政務云采用新建IPv6資源池承載IPv6應用

互聯網區政務應用支持IPv6訪問支持IPv6訪問的互聯網區應用數量/占比

公共區政務應用支持IPv6訪問支持IPv6訪問的公共區應用數量/占比

政務應用IPv6單棧能力政務應用采用IPv6單棧數量

已配置IPv6地址的終端、服務器、網絡設備、安全設備等資產數量和

數字資產IPv6數字資產

占比

IPv6增強應定義IPv6增強應用分為三個發展階段，包括IPv6增強應用1.0、IPv6

IPv6增強應用階段

用增強應用2.0、IPv6增強應用3.0，其中網絡中實際部署了SRv6技術，

12

GB/TXXXXX—XXXX

實現業務快速發放，靈活路徑控制為IPv6增強應用1.0階段；網絡中實

際部署了網絡切片/隨流檢測/智能無損等技術，帶來算力提升、帶寬保

障和體驗可視為IPv6增強應用2.0階段；網絡中實際部署了APN6等技

術，實現網絡感知應用，并為應用進行智能保障為IPv6增強應用3.0階

段。

按照上述IPv6增強應用階段定義，對各地方政務外網進行評估，定義

網絡所處階段

9.2.2地址管理系統要求

具體IPv6能力要求包括：

a)應支持根據類型域、區劃域、部門域等自定義語義標識，進行IPv6地址規劃；

b)應支持可視化的IPv6地址批量分配、預留和回收；

c)應支持IPv6地址子網的監測、創建、導入、編輯、刪除；

d)應支持與地址分配系統進行聯動，自動下發子網信息到地址分配系統；

e)應支持全網IPv6地址使用數、在線數、使用率、分配率統計；

f)宜支持分權分域能力。

9.2.3地址分配系統要求

具體IPv6能力要求包括：

a)應支持DHCPv6和無狀態地址自動配置（SLAAC）；

b)宜支持基于EUI-64規范分配IPv6地址；

c)應支持DUID與固定地址綁定；

d)應支持IPv6地址的全生命周期管理，包括地址分配、續租、回收，并支持IPv6地址溯源功

能；

e)宜支持分權分域能力。

9.2.4域名服務系統要求

具體IPv6能力要求包括：

a)解析記錄類型應同時支持AAAA、A記錄；

b)應支持純IPv6、IPv6/IPv4雙棧的混合解析。

10部門政務外網和終端

網絡結構

部門政務外網采用以核心層為根的樹形網絡結構，包含核心層、匯聚層、接入層三層結構，其中匯

聚層為可選項，根據實際情況靈活選擇，如圖7所示。

13

GB/TXXXXX—XXXX

圖7部門政務外網總體架構

網絡總體要求

具體要求包括：

a)宜采用IPv4/IPv6雙棧方式進行IPv6改造，有條件的可采用新建IPv6單棧網絡；

b)不應在部門政務外網內部署IPv6NAT轉換；

c)網關應支持DHCPv6Relay和SLAAC；

d)網絡應支持DHCPv6Snooping、NDSnooping；

e)應支持對IPv6終端進行802.1x/Portal/MAC認證和認證過程的回放；

f)應通過VLAN、VxLAN、網絡切片等技術對政務業務、互聯網業務進行隔離，宜采用網絡切片技

術對視頻會議業務進行帶寬保障；

g)應支持對網絡設備的FIBv6、ND等IPv6資源進行監控；

h)MTU值設置宜大于等于2000；

i)部門政務外網網絡向IPv6演進，可參考附錄D實施。

終端要求

具體要求包括：

a)應支持IPv6協議棧；

b)應支持通過DHCPv6方式或SLAAC方式獲取IPv6地址；

c)IPv6無線終端應使用安全加密方式接入無線網絡，采用WPA3或WAPI加密方式；

d)IPv6終端應支持802.1x、Portal、MAC等接入認證方式。

IPv6地址分配

具體要求包括：

a）DHCPv6服務器及IP地址管理系統可采用分布式方式部署在部門政務外網內，也可采用集中式

方式部署在政務云；

b）宜支持基于EUI-64規范分配IPv6地址，確保用戶、終端、IPv6地址、MAC能夠一一對應，便

14

GB/TXXXXX—XXXX

于后續管理和溯源；

c）DHCPv6服務器宜支持北向接口與IP地址管理系統對接，統一展示IPv6地址資源的分配和使用

情況；

d）應支持IPv6地址的管理，對地址的分配情況、使用情況等進行直觀展現；

e）宜支持對非法IPv6地址進行標記，并上報告警；

f）應支持對IPv6地址分配過程進行回放。

安全要求

具體要求包括：

b)應通過部署防火墻、入侵防御系統和安全審計系統等實現部門政務外網與政務外網城域網的

邊界安全防護。所有安全設備應支持IPv6協議，對IPv6業務進行安全防護；

c)網絡設備應具備終端防私接能力，對于非法終端禁止接入部門政務外網；

d)應具備仿冒終端的識別、阻斷、告警上報、接入位置顯示、終端類型顯示、用戶信息關聯等能

力；

e)終端接入部門政務外網應進行準入控制，宜支持802.1x、MAC、Portal認證，及終端類型、手

機短信驗證等多因子混合認證；

f)應支持通過終端MAC地址、IP地址、賬號名稱等信息對用戶進行溯源；

g)應實現IPv6終端訪問互聯網與訪問政務外網的安全隔離。

11IPv6地址規劃與管理

基本原則

11.1.1管理原則

中央級政務外網建設運維單位負責政務外網IPv6地址總體規劃和管理，具體包括中央級網絡平臺、

省級網絡平臺、中央級政務部門的IPv6地址資源的分配和管理。

省級政務外網建設運維單位負責全省（區、市）政務外網網絡平臺的IPv6地址資源的二次分配工

作。

中央級政務部門負責本級和縱向各級本部門政務外網IPv6地址資源的二次分配。

中央、各地方政務外網和各政務部門均應使用政務外網IPv6地址開展政務業務。

11.1.2規劃原則

11.1.2.1漸進規劃原則

中央級政務外網建設運維單位已為政務外網申請了/21網段的全球單播地址用于政務外網IPv6建設，

本版規劃涉及其中部分網段，其余部分將根據國家政務外網業務發展情況在未來的新版規劃中予以明

確。

11.1.2.2分級管理原則

IPv6地址依然采用中央、省、市、縣政務外網建設運維單位分級管理的基本原則，為地方縱向業務

及各級地方橫向業務預留獨立的地址空間，允許地方自行管理和分配省內業務及本地業務地址。

11.1.2.3易于識別原則

15

GB/TXXXXX—XXXX

按照國際慣例，IPv6地址采用16進制方式表示。本版規劃應在特征位上保持一定的可讀性，并應保

證路由可聚合。

地址結構

11.2.1地址結構定義總體要求

國家政務外網IPv6全球單播地址網段為GGGG:G000::/21，其中可分配的地址范圍為：

GGGG:G000::/24～GGGG:G700::/24，G標識已知的固定前綴字段。政務外網IPv6地址段結構為

GGGG:GTZZ:ZZZW:WWYY::/64，應采用結構化編址方式按照表2進行地址規劃設計。

表2IPv6地址結構

類型域區劃域部門域子網域主機域

GGGG:GTZZ:ZZZW:WWYY0000:0000:0000:0000

1-24位25-44位45-56位57-64位65-128位

11.2.2類型域（T碼）編碼要求

類型域（T碼）標識政務外網各類業務（T表示十六進制字符，取值范圍0-7），應按照如下要求編

碼：

——GGGG:G0，標識政務外網網絡平臺；

——GGGG:G1，標識基礎數據業務；

——GGGG:G2，標識視頻會議業務；

——GGGG:G3，標識視頻監控業務；

——GGGG:G4，標識物