政务外网IPv6演进技术白皮书(2021)
❑ 导 读
IPv6是互联网升级演进的必然趋势,是网络技术创新的重要方向,也是网络强国建设的基础支撑。随着政务业务的发展,电子政务外网向IPv6演进成为必经之路。
来源 | 国家电子政务外网管理中心办公室(转载请注明来源)
为深入贯彻落实党中央决策部署,有效应对数字时代的业务挑战,加速推动政务外网IPv6发展,国家电子政务外网管理中心专门组织力量撰写了《政务外网IPv6演进技术白皮书(2021)》(以下简称“白皮书”),并于近期在广西南宁召开的“智慧政务峰会2021”上正式发布。《白皮书》旨在为政务外网全面向IPv6演进提供分析和指导,给出基于IPv6的新一代政务外网建设思路和演进路径,为地方政务外网IPv6改造提供参考。
白皮书指出,IPv6规模部署和应用是互联网演进升级的必然趋势,是网络技术创新的重要方向,是网络强国建设的关键支撑。在政务外网持续推进IPv6规模部署,积极开展基于IPv6技术的应用创新,对政务外网业务发展、网络安全提升具有重要意义。下一代电子政务外网将以IPv6为基础,在基础设施集约化建设、业务高品质承载、安全精准管控方面深耕优化,提升政务治理的现代化水平。
基于IPv6,构建集约高效的政务基础设施
统一承载,集约化建设
在数字社会从信息化走向智能化的新时代,智慧城市、移动办公等政务业务快速发展。通过为全网业务系统的服务器、终端等分配唯一的IPv6地址,实现政务非涉密业务通过统一的政务云、政务外网来承载,促进新业务的快速发展,实现政务资源的集约化。
数据大集中,提升政务业务效率
在每个服务器和终端具有唯一的IPv6地址后,对于数据大集中系统,以及跨层级、跨部门的视频会议等系统,可以实现扁平化的架构,不同层级的服务器和终端等可以直接通信,有效提升政务业务的处理效率。
通过IPv6+,实现高品质的政务体验
网络切片保障重保业务质量
随着专网整合的进一步深化,政务外网将承载越来越多的业务,不同的业务对网络质量要求不一样,传统IP网络尽力而为转发,不同业务之间难免会互相影响,通过基于FlexE/信道化子接口的网络切片技术,在一张物理网络上实现资源隔离的专网,可以为重保业务提供独立的带宽资源,在其他业务出现拥塞时,不影响重保业务的质量,实现高品质的体验。同时,结合SRv6VTNID(Virtual Transport NetworkID,切片ID)技术,多个网络切片平面可以共用一套接口IP地址和IGP(Interior Gateway Protocol,内部网关协议)路由协议,降低网络协议的复杂性。
SRv6提高专线利用率
政务外网广域网和部分城域网通过租用专线的方式进行承载,专线带宽资源有限。基于SRv6 Policy技术和SDN架构,可实时采集整网链路的时延、丢包等质量信息,根据不同业务的要求,选择最佳的网络路径进行承载,并自动进行优化。在存在多条专线链路路径时,优先选择轻载的链路进行承载,实现专线链路负载均衡,提升专线带宽利用率,降低运营成本。
随流检测提升管理运维效率
政务外网层级多,在业务出现异常时,故障定位困难,业务恢复慢。通过iFIT随流检测技术,可以实时检测业务的质量,可视化呈现;在业务出现异常时,自动在业务路径上逐级收集业务质量信息,定位故障位置,恢复业务,保障政务业务的连续性。同时结合APN6技术,可将视频会议等终端与网络深度协同,实现应用端到端可视和运维。
依托IPv6安全优势,提供精准的安全管控和溯源
攻击精准溯源和阻断
政务外网接入的终端类型和数量在不断增加,在出现威胁时,需要做到精准的溯源和阻断。全网终端具有唯一的IPv6地址,通过安全监测分析平台,实时检测网络威胁,当发现威胁后,可以通过IPv6地址精准溯源到终端位置,对异常终端进行阻断。结合网安协同机制,可以同时在网络设备上阻断威胁,实现近源阻断,杜绝异常外联及跨网攻击的发生。
灵活高效的准入认证
政务外网需要对接入的终端进行准入认证,认证通过的用户才可以访问政务外网。为部门政务外网的终端统一分配唯一的IPv6地址,接入政务外网时不需要进行NAT转换,不需要考虑NAT穿越的问题,可以通过免客户端的Portal认证方式进行准入认证,增加了认证的灵活性和便捷性。利用IPv6地址丰富的扩展字段,可以携带用户ID等信息,网络和安全设备通过用户ID等信息,对用户进行精准的认证和威胁防护。
具体内容如下