路径: 主页 > GB/T > 第728页 > GB/T 46464-2025 | 标准编号 | GB/T 46464-2025 (GB/T46464-2025) | | 中文名称 | 国家电子政务外网 IPv6部署要求 | | 英文名称 | IPv6 deployment requirements for national e-government network | | 行业 | 国家标准 (推荐) | | 中标分类 | M32 | | 国际标准分类 | 33.040.40 | | 字数估计 | 38,376 | | 发布日期 | 2025-10-31 | | 实施日期 | 2026-02-01 | | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 | GB/T 46464-2025: 国家电子政务外网 IPv6部署要求
ICS 33.040.40
CCSM32
中华人民共和国国家标准
国家电子政务外网IPv6部署要求
2025-10-31发布
2026-02-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 网络结构 3
6 广域网/城域网 4
6.1 广域网 4
6.2 城域网 5
6.3 路由要求 6
6.4 AS域间网络对接 7
6.5 服务质量 7
7 政务云和应用 8
7.1 总体架构 8
7.2 总体要求 8
7.3 IPv6资源池要求 9
7.4 数据交换区要求 10
7.5 应用IPv6部署要求 10
8 管理系统和支撑系统 10
8.1 概述 10
8.2 管理系统要求 10
8.3 支撑系统要求 11
9 安全要求 12
9.1 安全架构 12
9.2 总体要求 12
10 部门政务外网和终端 13
10.1 网络结构 13
10.2 网络总体要求 13
10.3 终端要求 13
10.4 IPv6地址分配 14
10.5 安全要求 14
11 IPv6地址规划与管理 14
11.1 基本原则 14
11.2 地址结构 15
附录A(资料性) 政务外网广域网IPv6部署实施指南 17
A.1 概述 17
A.2 存量网络IPv6单栈改造实施指南 17
A.3 新建IPv6单栈网络实施指南 18
附录B(规范性) 广域网/城域网网络设备IPv6特性要求 19
附录C(资料性) 政务外网城域网IPv6部署实施指南 20
C.1 概述 20
C.2 存量网络IPv6单栈改造实施指南 20
C.3 新建IPv6单栈网络实施指南 21
附录D(资料性) 政务外网IPv6部署监测指标 22
附录E(资料性) 部门政务外网改造演进步骤 23
附录F(规范性) 省级地址AA对照表 24
附录G(资料性) 区划域(Z码)编码示例 25
附录H (资料性) 未分配的区划域Z码的使用示例 26
附录I(资料性) 网络平台的子网标识划分建议 27
I.1 概述 27
I.2 子网标识划分整体建议 27
I.3 子网标识划分主机域规划建议 27
附录J(资料性) 政务云的子网标识划分建议 29
J.1 概述 29
J.2 子网标识划分建议 29
参考文献 31
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国通信标准化技术委员会(SAC/TC485)提出并归口。
本文件起草单位:国家信息中心、华为技术有限公司、中国信息通信研究院、北京国信新网通讯技术
有限公司、北京连星科技有限公司、新华三技术有限公司。
本文件主要起草人:徐春学、林迁、金梦然、周豪、周智增、朱雷、杨潍、文慧智、康鹏龙、王海洋、
徐菊华、曹慧娟、刚伟、朱俊翔、孙跃卓、张俭、王涛、朱小平、侯延祥、范大卫、刘悦、杜正贤、贺萌、彭炜、
吴哲文、马晶晶、丰春霞、高巍、葛坚、马丹妮、刘燕、兰天翔、宋晓波、周忠奎、陈琦、柏成勇、王少帅、
吕志翀、万晓兰。
国家电子政务外网IPv6部署要求
1 范围
本文件规定了国家电子政务外网广域网、国家电子政务外网城域网、部门政务外网和终端、政务云
和应用、网络安全、管理系统和支撑系统的IPv6部署要求,以及国家电子政务外网IPv6地址的结构定
义要求。
本文件适用于中央、各地方电子政务外网管理部门或建设运维单位,以及各政务部门的IPv6网络
设计、网络改造、建设实施等。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 2260-2007 中华人民共和国行政区划代码
GB/T 44887.5-2024 IPv6演进技术要求 第5部分:基于IPv6段路由(SRv6)的虚拟专用网
(VPN)
GB/T 44887.10-2024 IPv6演进技术要求 第10部分:支持IP网络切片的增强型虚拟专用网
(VPN+)
GB/T 44887.11-2024 IPv6演进技术要求 第11部分:IPv6随流检测技术
3 术语和定义
下列术语和定义适用于本文件。
3.1
国家电子政务外网 nationale-governmentnetwork
承载各级政务部门用于经济调节、市场监管、社会管理、公共服务和生态环保等非涉及国家秘密的
业务应用系统的政务公用网络。
注1:由中央电子政务外网和地方电子政务外网组成,其中地方电子政务外网由省级电子政务外网、(市)级电子政
务外网、县(区)级电子政务外网组成。
注2:纵向覆盖中央、省、地(市)、县(区),横向连接各级党委、人大、政府、政协、检察院和法院等政务部门。
3.2
用于实现本级行政区域内政务部门横向互联互通的网络。
3.3
用于实现不同层级行政区域城域网互联互通的网络。
3.4
部门政务外网 departmente-governmentnetwork
各级政务部门工作人员的办公网络。
注:由各级政务部门自行建设和维护,网络覆盖范围和功能区规划由各单位根据业务需要确定。
3.5
政务云 governmentcloud
用于承载各级政务部门业务信息系统和数据,并满足跨部门业务协同、数据共享与交换等需要,提
供IaaS、PaaS和SaaS的云计算服务。
3.6
切片专线 slicingexpress
依托运营商SPN/IP网络通信基础设施,采用网络切片技术提供多种服务能力的数据线路。
注:满足业务硬隔离及灵活调度、安全可靠、质量可视等承载需求。
3.7
利用运营商4G、5G等移动通信基础设施,在公共网络中通过网络切片、专用DNN等技术构建,能
独享网络资源的政务专网。
注:移动政务专网是电子政务外网城域网的组成部分。
3.8
政务专用UPF dedicatedUPFfore-governmentnetwork
为电子政务外网部署的政务行业专用UPF设备,保障政务业务数据的安全和质量,与运营商面向
公众用户和其他行业用户所提供的UPF物理隔离。
注:政务专用UPF由服务器、交换机、路由器、防火墙等设备组成。
4 缩略语
下列缩略语适用于本文件。
AS:自治系统(AutonomousSystem)
DHCPv6Relay:DHCPv6中继代理(DHCPv6Relay)
DNN:数据网络名称(DataNetworkName)
IP:互联网协议(InternetProtocol)
ND:邻居发现(NeighborDiscovery)
Portal:门户(Portal)
QoS:服务质量(QualityofService)
Ti-LFA:拓扑无关的无环替换路径(Topology-IndependentLoop-FreeAlternate)
UPF:用户面功能(UserPlaneFunction)
WPA3:保护无线电脑网络安全系统3(Wi-FiProtectedAccess3)
5G:第五代移动通信技术(FifthGeneration)
5 网络结构
国家电子政务外网(电子政务外网,以下简称“政务外网”)由中央、省级、地(市)、县(区)四级网络平
台组成,如图1所示,各级网络平台包含电子政务外网广域网(以下简称“广域网”)、电子政务外网城域
网(以下简称“城域网”)、数据中心(含政务云和应用)、管理系统和支撑系统、部门政务外网和终端、安全
等部分。
图1 政务外网网络平台总体架构
6 广域网/城域网
6.1 广域网
6.1.1 网络结构
广域网由长途线路和各级广域网网络节点设备组成。
中央广域网与省级及以下广域网分级建设、分级管理。
6.1.2 IPv6部署要求
具体要求包括:
a) 应采用SRv6VPN统一承载IPv4、IPv6业务,应符合GB/T 44887.5-2024中第5章和第7章
的技术要求;
b) 应利用广域网多线路带宽资源,支撑IPv4、IPv6业务流量的动态调整;
c) 应能为政务外网广域网IPv4、IPv6业务提供专用的二层点对点形式线路;
d) 广域网IPv4向IPv6演进实施,见附录A。
6.1.3 设备要求
广域网网络节点设备应符合附录B中所列的功能。
6.2 城域网
6.2.1 网络结构
6.2.1.1 中央/省/市级城域网
中央/省/市级城域网架构上分为核心层、汇聚层和接入层,核心层和汇聚层采用冗余设备组网,宜
部署在不同的机房,其中汇聚层可选;接入层分为数据中心接入设备、用户接入设备和移动政务专网接
入设备,用户接入设备部署在用户机房,用于部门政务外网的接入;数据中心接入设备位于数据中心出
口,用于数据中心的接入;移动政务专网接入设备部署在政务外网机房,用于移动政务专网的接入。
对于中央/省级城域网,互联网出口为本级用户提供互联网服务;安全接入平台为本级用户提供远
程接入服务。对于市级城域网,互联网出口可为本级及以下用户提供互联网服务;安全接入平台为本级
及以下用户提供远程接入服务。
移动政务专网,提供政务外网4G、5G等移动接入服务。
中央/省/市级城域网网络结构如图2所示。
图2 中央/省/市级城域网网络结构
6.2.1.2 县级城域网
县级城域网架构上分为核心层、汇聚层和接入层。核心层和汇聚层采用冗余设备组网,宜部署在不
同的机房,其中汇聚层可选;接入层设备部署在用户机房,用于部门政务外网的接入;行政村(社区)可经
过汇聚后接入或直接接入县级城域网核心层。
互联网出口可为本级及以下用户提供互联网服务;安全接入平台可为本级及以下用户提供远程接
入服务。县级也可复用市级提供的互联网出口和安全接入平台。
县级城域网可复用市级移动政务专网,提供4G、5G等移动接入服务,也可参考市级城域网要求建
设移动政务专网。
县级城域网架构如图3所示。
图3 县级城域网架构
6.2.2 IPv6部署要求
具体要求包括:
a) 应通过SRv6VPN统一承载IPv4、IPv6业务,应符合GB/T 44887.5-2024中第5章和第7章
的技术要求,应在城域网接入层设备通过SRv6技术将IPv4、IPv6用户报文封装成IPv6报
文,实现政务外网的IPv6单栈转发;
b) 应利用城域网多线路带宽资源,支撑IPv4、IPv6业务流量的动态调整;
c) 应支持SRv6报文按照指定的路径经过安全设备进行安全防护;
d) 应能为政务外网城域网IPv4、IPv6业务提供专用的二层点对点形式线路;
e) 应支持IPv6互联网服务,宜采用新建IPv6互联网出口方式进行改造;
f) 政务外网IPv6地址不能向互联网发布;
g) 城域网IPv4向IPv6演进实施,见附录C。
6.2.3 移动政务专网IPv6部署要求
具体要求如下。
a) 应支持IPv4、IPv6业务的承载。
b) 终端通过移动CPE接入政务外网场景,应支持移动CPE与政务外网设备部署SRv6隧道穿越
运营商网络。
c) 应通过政务专用UPF与政务外网接入路由器进行对接,应使用独立的物理端口进行对接。
d) 应支持为接入终端设备分配IPv4和IPv6地址。
e) 通过移动政务专网接入政务外网的终端应使用政务专用的IP地址体系,不应使用运营商IP
地址体系。
f) 业务数据进入政务外网后,应能保持传输隔离能力和逻辑隔离能力。宜采用网络切片技术,将
移动政务专网和政务外网网络切片进行映射,实现端到端的业务保障能力。
6.2.4 设备要求
中央/省/市/县级城域网接入设备、汇聚设备和核心设备应支持附录B中所列的功能。
6.3 路由要求
具体要求包括:
a) 应实现承载网路由和用户路由分离;
b) 用户路由应通过 MP-BGP协议在自治域内通告,宜通过EBGP协议或静态路由在自治域间通
告,用户路由包括基础数据业务地址路由、视频会议业务地址路由、视频监控业务地址路由等;
c) 用户路由通告前应进行聚合;
d) 承载网路由应通过IGP协议在自治域内通告,IGP协议宜采用IS-IS;承载网路由包括设备互
联地址路由、Loopback环回口地址路由、SRv6Locator前缀路由等,除SRv6Locator前缀路
由可按需聚合发布之外,域间不应通告其他承载网路由;
e) 路由设计应能反映整个网络的层次结构,应与自治域、各节点子网的IP地址分配相结合,做到
合理的路由聚合;
f) 在同一自治域内,应根据网络流量分担、分布与路由备份情况,统一规划路由的 Metric值和路
由策略;
g) 应根据网络规模合理划分IGP区域和进程。
6.4 AS域间网络对接
中央政务外网与地方政务外网域间网络对接应采用OptionA方式。当前采用OptionB方式对接
的,可在域间设备增加业务互联接口,通过静态路由或EBGP交换业务路由,逐步由 OptionB过渡到
OptionA方式。
地方政务外网内部若涉及域间网络对接,可根据实际情况采用OptionA或HoVPN方式。
注:根据AS域间VPN路由信息交换的方式不同,存在跨域VPN的OptionA方式、OptionB方式。其中,Option
A方式是跨域的VPN在ASBR间通过专用的接口管理自己的VPN路由;OptionB方式在ASBR间通过 MP-
EBGP发布标签VPN路由。
6.5 服务质量
6.5.1 基本要求
具体要求如下。
a) IPv6网络的QoS策略应与IPv4网络保持一致。
b) 应具备为IPv4、IPv6视频业务提供确定性带宽保障的能力。应采用专用设备和物理链路,或
网络切片技术承载。
c) 应具备对IPv4、IPv6业务的实时感知和故障快速定界能力,可采用IFIT等技术,符合GB/
T44887.11-2024中第6章、第7章、8.1.2、8.2.2的技术要求,检测粒度可细化到单个政务部
门的具体用户或业务。
d) 应支持对IPv6业务的识别和保障。
e) 接入线路可采用切片专线。
6.5.2 网络切片技术要求
具体要求包括:
a) 应采用基于SRv6的网络切片,应符合GB/T 44887.10-2024中第7章的要求;
b) 应采用FlexE或逻辑子端口技术实现以太网端口的资源隔离;
c) 常用的以太接口类型应支持网络切片;
d) 基于FlexE技术实现的网络切片应支持5G、10G等颗粒度的资源隔离,可支持1G、2G等颗粒
度的资源隔离;
e) 基于逻辑子端口技术实现的网络切片应支持10M颗粒度的资源隔离;
f) 网络切片技术应与IGP技术解耦,同接口下的多个网络切片共用一个接口IP地址和IGP路
由协议;
g) 应根据业务类型或政务部门划分网络切片,如对视频会议业务、视频监控业务规划专用切片。
7 政务云和应用
7.1 总体架构
政务云包括公共区、互联网区和数据交换区。公共区和互联网区相互独立,通过数据交换区进行数
据交换,如图4所示。
注:此图政务云公共区根据各地方实际情况,连接至政务外网城域网或广域网。
图4 政务云架构图
7.2 总体要求
政务云公共区、互联网区进行IPv6改造,应配置独立的IPv6资源池承载IPv6应用。IPv6资源池
应包括计算、网络、存储、安全等基础设施以及云平台和云服务。以互联网区为例,IPv6改造如图5
所示。
标引符号说明:
IPv6用户访问IPv6应用 IPv6用户访问IPv4应用
IPv4用户访问IPv6应用 IPv4/IPv6应用互访
图5 互联网区IPv6改造示意图
7.3 IPv6资源池要求
7.3.1 基础设施
具体要求包括:
a) 计算服务器操作系统、虚拟化软件等应支持IPv6;
b) 网络设备应部署IPv6单栈,包括管理层面和数据转发层面的IPv6地址、IPv6路由协议等;
c) 网络设备应支持VxLANv6;
d) 网络设备应支持通过IPv6协议将设备资源使用情况(如CPU、内存、带宽利用率)、光模块状
态等指标及时上报给管理系统;
e) 网络应使用IPv6路由组网;
f) 网络应具备对IPv6业务的实时感知和故障快速定界定位能力,支持随真实业务流的路径还
原、丢包率和时延检测;
g) 计算网络应具备IPv6裸金属服务器的自动化接入能力和IPv6业务的安全隔离能力;
h) 存储网络应支持IPv6协议;
i) 存储设备应支持通过IPv6提供访问;
j) 应通过NAT64地址转换技术等实现IPv6资源池与IPv4资源池的互访;
k) 安全设备应部署IPv6,包括IPv6地址、IPv6的安全策略等。
7.3.2 云平台
具体要求包括:
a) 云平台应支持IPv6单栈部署;
b) 云平台应支持发放IPv6单栈虚机;
c) 云平台的北向接口和南向接口应支持IPv6访问。
7.3.3 云服务
基础服务、数据服务、数据库服务、应用服务、安全服务等应支持IPv6。
7.4 数据交换区要求
应支持IPv6的数据交换和安全防护。
7.5 应用IPv6部署要求
具体要求如下。
a) 应用系统应同时支持IPv4用户和IPv6用户的访问。
b) 现有应用系统进行IPv6改造,宜采用IPv6单栈形式部署在IPv6资源池内,并保持原有IPv4
应用系统部署在IPv4资源池。IPv6用户访问IPv6应用系统,IPv4用户访问原有IPv4应用
系统。终端IPv6改造完成后,原有IPv4应用系统逐渐退网。
c) 新建应用系统,宜仅采用IPv6单栈形式部署在IPv6资源池中,IPv4用户通过NAT地址转换
技术访问IPv6应用系统。
8 管理系统和支撑系统
8.1 概述
管理系统是开展国家政务外网运维管理工作的支持工具,主要实现对网络设备、主机设备、存储设
备以及基础软件、应用软件等资源运行状态的监控和综合管理,支持运维服务流程的标准化管理。支撑
系统是提供地址分配、地址管理、域名解析、IPv6发展监测平台等IP网络支撑服务和运维相关特性的
一些独立软件或者平台。
8.2 管理系统要求
8.2.1 运行监控要求
运行监控主要包括拓扑监控和业务监控,要求如下:
a) 应支持基于SNMP、NETCONF等标准协议通过IPv6地址对网络设备进行纳管;
b) 应支持自动生成物理拓扑、切片拓扑和隧道拓扑,宜支持基于GIS地图进行拓扑管理,支持通
过源IP及目的IP查询网络路径并在拓扑上呈现;
c) 应支持管理系统间的级联对接,支持本级及所辖下级网络的网络切片、IFIT协同对接,进行业
务端到端的保障。
8.2.2 智能分析要求
智能分析主要包括质量分析、流量分析、容量预测和路由分析,要求如下:
a) 应支持采用IFIT技术对网络中IPv4、IPv6业务进行丢包率和时延检测,支持图形化标识网络
路径故障点,支持跨级网络的业务流质量检测和定界定位;
b) 应支持对IPv4、IPv6网络流量进行安全分析和威胁溯源,并联动网络和安全设备执行主机隔
离和流量阻断;
c) 宜支持IPv6网络的设备资源容量预测和网络流量预测;
d) 宜收集路由信息进行分析,并发现潜在路由风险。
8.2.3 业务分发要求
业务分发主要包括业务网络配置布放和路径优化,要求如下:
a) 应支持对本级和所辖下级网络的网络切片、SRv6隧道、VPN、IFIT等自动分发;
b) 应支持基于带宽、时延、丢包率等多种参数进行网络路径计算;
c) 出现业务质量劣化、网络故障或网络拥塞时,应支持进行网络路径动态调整。
8.3 支撑系统要求
8.3.1 IPv6部署监测要求
中央、省级应建设监测平台对IPv6部署和应用情况进行监测管理,下级监测平台应与上级监测平
台对接,IPv6部署监测指标见附录D。
8.3.2 地址管理系统要求
具体要求包括:
a) 应支持根据类型域、区划域、部门域等自定义语义标识,进行IPv6地址规划;
b) 应支持根据IPv6地址解析语义标识;
c) 应支持可视化的IPv6地址批量分配、预留和回收;
d) 应支持IPv6地址子网的创建、导入、编辑和删除;
e) 应支持IPv6地址子网监测、地址自动发现、IPv4/IPv6双栈地址识别和非法地址告警;
f) 应支持与地址分配系统进行联动,自动下发子网信息到地址分配系统;
g) 应支持IPv6地址使用数和在线数统计;
h) 宜支持分权分域能力。
8.3.3 地址分配系统要求
具体要求包括:
a) 应支持DHCPv6或SLAAC;
b) 宜支持基于EUI-64规范分配IPv6地址;
c) 应支持DUID与固定地址绑定;
d) 应支持IPv6地址的全生命周期管理,包括地址分配、续租和回收,并支持IPv6地址溯源功能;
e) 宜支持DHCPOption扩展功能;
f) 宜支持分权......
|