基于ipv6的新一代政务网络建设工程实践报告「基于IPv6的新一代政务网络建设工程实践」

通信世界网消息（CWW）近年来，全国各地政府加速推进“互联网+政务服务”，建立线上线下服务一体化的业务办理模式，推进实体政务大厅向网上办事大厅延伸，打造政务服务“一张网”。其中，电子政务外网作为政务信息化网络基础，在业务、资源、管理协同等方面面临着很多挑战。在资源调度方面，多家运营商之间互联互通难、资源共享困难，较难实现统一全域覆盖。在网络管理方面，存在政务外网、政务专网、业务专网等业务协同难度大的问题。在运维方面，缺乏统一的综合网络管理平台，无法及时定位故障原因，维护排障能力不足。

《国务院关于加强数字政府建设的指导意见》提出统筹建立安全高效的跨网数据传输机制，有序推进非涉密业务专网向电子政务外网整合迁移，各地区各部门原则上不再新建业务专网。这使得政务外网所承载的业务更加复杂，要求实现多个业务一网承载。因此，业务间相互干扰的现象也越来越明显。而IPv6与网络切片技术结合，可以打造全覆盖的“一网多平面”电子政务外网，为各类业务提供专网级的网络保障，为建设“经济高效、能力优异、技术领先、服务优质、安全可靠”的新一代电子政务网提供技术支持。

IPv6在政务外网的应用现状

IPv6是面向5G、云网融合、算网融合的智能IP技术，具有可编程路径、快速业务发放、自动化运维、质量可视化、SLA（Service Level Agreement，服务水平协议）保障和应用感知等特点。

根据《政务外网IPv6演进技术白皮书（2021）》及现有文献研究，IPv6在电子政务外网中的应用重点是结合电子政务网的业务需求，对SRv6分段路由、网络编程、网络切片、确定性转发、随流检测、新型组播、应用感知、无损网络等网络技术体系进行创新应用。

目前在政务外网实际组网中，普遍采用F l e x E或子接口切片技术部署落地，其中在骨干网上通常采用“EVPN+SRv6+FlexE”切片技术，在接入网上采用子接口切片技术来实现业务隔离和保障。

基于IPv6的新一代政务外网采用“2+2+N”体系进行顶层规划，即“2张网络+2个平台+N个接入”，支持SPN 5G网络切片和SRv6技术，建立横向闭环、纵向联动发展模式，打造基础扎实、数据安全、使用便捷的政务服务网络。

“2张网络”是指搭建一张政务外网基础网络和一张5G政务双域专网。其中，电子政务外网全面部署IPv6，高效易用，灵活扩展；5G政务双域专网依托5G无线网络连续覆盖优势，政务人员“不换卡、不换号、不手动切换”，使用5G终端即可实现远程移动办公。

“2个平台”是指建设管理运维平台和安全监测平台。其中，管理运维平台实时管理设备、定位故障、解决故障，大幅提升网络运维能力；安全监测平台保障政务外网安全可靠，防止恶意攻击、非法入侵、数据泄露等风险事件发生。

“N个接入”是指通过网络统一规划，新一代政务外网层级清晰，可提供N个可灵活拓展的接入点，同时为后期N个其他非涉密专网并入政务外网打下坚实基础。

政务外网组网方案

政务外网组网采用核心、汇聚、接入三级架构，部署政务外网区、互联网出口区、安全运维管理区三大分域，进行分区分域设计。方案实施后，大幅度提升业务承载能力、安全防护能力、运维管理能力。

新一代政务外网组网架构如图1所示，采用全新网络架构，建设市级核心，提供区县级接入，采用双路由上连，网络连接关系包括N个物理局址、“两朵云”、政务外网核心机组和互联网出口，满足三级等保和密评安全规范。

在政务外网区，市级核心机房自上而下设置边界防火墙、入侵防御及核心路由器；在N个接入点各部署1对接入路由器，所有路由器均支持SRv6切片能力。

在互联网出口区，通过部署2台出口路由器为政务外网提供互联网出口服务，出口安全区部署防火墙、入侵防御、上网行为管理（ASG），满足等保“安全区域边界”要求。互联网出口部署专线卫士网关防护设备，负责指挥中心与互联网之间的边界安全，主要功能包含：全面的内容安全能力，如入侵防御、恶意文件检测等，为用户检测、阻断应用层攻击事件；配备安全人工智能检测引擎，提供边缘侧的智能安全检测能力，能够完成传统基于特征签名无法完成的检测任务；实现与云端平台的联动，上报安全事件相关的关键信息，并可以根据云服务平台的指令对安全事件进行闭环处理。

在安全运维管理区，通过部署管理运维平台、安全监测平台、漏洞扫描系统、数据库审计、日志审计、态势感知等，保障政务外网安全可靠。通过建设管理运维平台、安全监测平台，可满足三级等保和密评安全规范，采用主备设备、双路径保护、环形组网等容灾机制，实现网络99.999%可用及毫秒级的故障倒换。切片技术的使用，更是实现了数据传送端到端专属可信、安全可靠。

5G政务双域专网

为满足政务人员安全地通过手机访问政务外网及公网的需求，内蒙古移动搭建了5G政务双域专网，为政务人员提供无感认证、无感分流的政务外网接入服务，助力提升智慧政务信息化服务水平。

5G政务双域专网方案如图2所示，采用移动核心机房UPF（用户平面）进行业务分流，网络侧配置“双DNN”，即5G终端用户在UDM上签约信息通用DNN和政务专用DNN，用户通过通用DNN访问公网，通过政务专用DNN访问政务外网。5G网络具备完善的服务注册、发现、授权安全机制及安全协议，确保系统访问安全性，并且UPF业务接入时通过防火墙和IPS进行访问控制和边界防护。

在实际工程案例中，政务网络架构和建设方案会随着业务类型和技术选择调整变化，需要持续跟踪IPv6等技术应用，以实现政务服务网络稳健、安全、便捷的目标。