IPv6 网络安全白皮书 中国联通 IPv6 网络安全白皮书 中国联合网络通信有限公司研究院 下一代互联网宽带业务应用国家工程研究中心 2025 年 08 月 IPv6 网络安全白皮书 版权声明 本报告版权属于中国联合网络通信有限公司研究院，并受法 律保护。转载、摘编或利用其他方式使用本报告文字或者观点的， 应注明“来源：中国联通研究院”。违反上述声明者，本院将追 究其相关法律责任。 究其相关法律责任。 IPv6 网络安全白皮书 目录 前 言......................................................................................................................................- 1 - 一、 IPv6 网络安全发展趋势................ ............................ - 2 - 二、 IPv6 网络安全风险分析............................................................................................ - 3 - (一) IPv6 缓解的 IPv4 安全风险..........................

分布式 多应用 单向发布 宽带校园网 办公 OA 互联网 IPV4 分布式 多应用 单向发布 物联网 云计算 /存储 3G/IPV6 数据仓库与智能分析 融合应用 精准互动信息服务 物联网 云计算 /存储 3G/IPV6 数据仓库与智能分析 融合应用 精准互动信息服务 目前阶段： 成熟发展 目前阶段： 成熟发展 即将开启： 建设新篇 即将开启： 建设新篇 造成师生帐号管理不便 有线无线网络不能整合 造成师生帐号管理不便 电信后付费的收费模式 对学生的管理存在漏洞 电信后付费的收费模式 对学生的管理存在漏洞 核心网升级到楼层 支持 IPv6 和组播 核心网升级到楼层 支持 IPv6 和组播 电信与学校结合管理 加快服务流程和时限 电信与学校结合管理 加快服务流程和时限 新增建设校内认证服务器 区分访问灵活分配带宽 新增建设校内认证服务器 区分访问灵活分配带宽 校园网络升级规划建设工作是智慧校园项目实施的物理基础，将为所有应用提供高 带宽的接入环境，支撑 IPV6 、组播的实现。 校园网络升级规划建设工作是智慧校园项目实施的物理基础，将为所有应用提供高 带宽的接入环境，支撑 IPV6 、组播的实现。 通过升级 BAS 设备、汇聚层设备、接入设备， 满足千兆到楼层、百兆到户的构架，全网支 持 IPV6 双栈和组播协议，支撑智慧应用。 此外，建议实施 3G+WIFI 覆盖，并尝试

佳会议路径 , 链 路 故障不影响会 议效 智慧选路 果体验 视频关键业务不卡、不慢 IPV6/IPV4 双栈技术 IPV4 应用 IPV6 应用 IPV4 协议 IPV6 协议 IPV4/IPV6 双栈用户 IPV6 支持未来业务 实时监测全部链路状态 , 智能负载均衡 , 动态流 量调整 IDA, 视频传输

化计量通信网络涉及到主站与智能网关、智能网关与端设备等之间的通信。其通信系统架构如下图所示： 新一代 IP 化低压电力线宽带载波网络层支持 IPv6（RFC 2460）协议，智能网关和所有端设备应支持 128 比特 IPv6 地址，该地址由 IPv6 前缀和接口 ID 组成。对于 IPv6 前缀，其在端设备入网过程中，通过网络层消息公告（RA） 中获取。对于接口 ID，则可以通过 SLAAC（无状态地址自动配置）或 IP 化宽带载波协议栈架构 应用层 数据业务和管理服务 CoAP（RFC7252）/ MQTT（PRF 20922） 传输层 UDP / TCP（RFC768 / RFC793） 网络层 IPv6（RFC2460） 6LoWPAN（RFC6282） 数据链路层 新一代宽带载波协议数据链路层 物理层 新一代宽带载波协议物理层 ���� ����� ��������� ������� 36 - - 37 - 新一代载波解决方案 新一代低压电力线宽带载波通信助力新型电力系统 技术白皮书 图 4-26 IPv6 宽带载波网络报文交互流程示意图 上述报文交互过程中，各类 IPv6 地址的生成规则和功能说明如表 4-8 所示： 表 4-8 IPv6 地址类型与功能说明 地址类仿型 前缀 生成规则 功能说明 链路本地地址（LLA） FE80::/10 启动后自动生成 用于和直连设备通信，只支持

用户接入需求；完善的二、三层组播协议，可作为组播复制点和控 制点，提供高性能的 IP 组播视频和音频应用  多协议 L3 路由支持满足了传统的网络要求，支持从企业级到电信运营商 级的大规模路由表，支持 IPv6，能够为企业网络提供平滑的过渡机制  支持各种主流的时钟方案，包括基于 PHY 层的以太网同步时钟，以及 IEEE1588 时钟同步  支持 POE，满足在线供电需求 高可靠性设计，提高网络弹性 设备之间的相互通信，但却允许与默认网关进行通信。 丰富的 IPv6 特性 S5700 系列交换机提供双协议栈，可平滑升级。硬件支持 IPv4/IPv6 双栈和 IPv6 over IPv4 隧道（包括手工 Tunnel，6to4 Tunnel，ISATAP Tunnel）， 三层线速转发。既可以用于纯 IPv4 或 IPv6 网络，也可以用于 IPv4 到 IPv6 共 存的网络，组网方式灵活，充分满足当前网络从 存的网络，组网方式灵活，充分满足当前网络从 IPv4 向 IPv6 过渡的需求。 光纤节点交换机参数： 性能 背板交换容量≥256Gbps；包转发率≥96Mpps; 电源 支持置模块化双电源 防雷 防雷指标≥2KV 转发能力 要求整机达全线速转发能力 接口模块要 求 支持标准 SFP, XFP 模块 支持 SFP + 三层功能 路由表≥4K ARP 表≥2K 支持 VLAN 虚接口≥256 静态路由

Segment Routing 支持 MPLS 和 IPv6 两种数据平 面，基于 MPLS 数据平面的 Segment Routing 称为 SR-MPLS，其 SID 为 MPLS 标签（Label）；基于 IPv6 数据平面的 Segment Routing 称为 SRv6，其 SID 为 IPv6 地址。 SRv6 结合了 SR-MPLS 头端编程和 IPv6 报文头可扩展性两方面的优势。SRv6 SRv6）。除了这两种模式外，还 引入了两种机制，用于与传统接入网（那些 N3 接口未经修改的网络）互通。其中一个机制是为了 与使用 GTP-U/IPv4 的传统 gNB 互通。第二个机制被设计为与使用 GTP-U/IPv6 的传统 gNB 协同工 作。 11 / 33 OVS 除了硬件可编程技术外，还有多种软件可实现交换和路由功能，OpenvSwitch 是使用最广泛的一 种多层虚拟交换软件，它简称 OV 目前，3GPP 标准协议规定了 UE 的多种 PDU 会话类型，主要有 IPv4、IPv6、IPv4v6、Ethernet 和 Unstructured，不同的会话类型代表用户面承载不同的协议，但应用于数据传输的协议为 GTP-U 协议，不同的会话类型是指 GTP-U 协议承载的底层协议为 IPv4 或 IPv6 或 Ethernet 等，所以用户面 传输协议比较固定且单一；虽然，近些来也提

���������������������������� IP ����� ������������ �� IP �� �������������������������������� IPv4 �� 30 �������IPv6 �� 127 ����������������� ��������������������������������� �� � �� � 3.1.3 QoS ���� � ����������10GE/25GE ����� Spine ������ Server Leaf ����� �� ��������� Server Leaf ��� �� ���������/IPv6 �����������/IPv6 ������� Server Leaf ������� ������������������� �� ����������� M-LAG �������� �� ����������� Internet Protocol ����� � ��� ��� ���� ���� ���� IPS Intrusion Prevention System ������ IPv6 Internet Protocol Version 6 ������ 6 � ISA International Society of Automation ������� IT

v2, BGP) 支持 DHCP Relay 支持 IGMP snooping 支持 PIM，PIM-SM，PIM-DM IPv6 主机管理 IPv6 转发 支持 OSPF v3 路由协议 支持 IPv6 过滤的 ACLs, 最大支持到 128 IPv6 ACLs 12 组播 支持 IGMP v1/v2/v3 Snooping 和快速离开机制； 支持 VLAN 内组播转发和组播多 IGMP 组 13 镜像功能 支持基于 ACL 的流镜像； 支持多个物理端口的流量镜像到一个端口； 14 访问控制 支持基于第二层、第三层和第四层的 ACL； 支持 VLAN ACL 和 IPv6 ACL； 支持 IP/Port/MAC 的绑定功能。 15 QoS 至少具备 8 个队列； 支持 WRED 调度方式,支持 WRED+ECN； 支持端口限速，限速粒度 64K； 提供广播风暴抑制功能； TCP/IP,HTTP,DHCP,DNS,DDNS,RTP,RTSP,PPPoE,SMTP,NTP,UPnP ICMP,IGMP,SNMP,FTP,802.1X,QoS,HTTPS (SIP,SRTP,IPv6 可选) 接口协议 ONVIF,PSIA,CGI 通用功能 防闪烁,双码流,心跳,镜像,密码保护,视频遮盖,水印技术,匿名访问,IP 地址过滤 接口 通讯接口 1 个 RJ45 10M/100M

安全解决方案的依据， 以黑、白名单机制相结合的完整防护体系，通过精细的配置将多种 Web 安全检测方法组合成一 套完整的解决方案，同时整合成熟的 DDoS 攻击抵御机制，能够实现在 IPV4、IPV6 及二者混合 环境中抵御 OWASP Top10 等各类 Web 安全威胁和拒绝服务攻击，并以较低的运营成本为各种 机构提供透明在线部署、路由旁路部署、镜像部署和云部署，实现便捷的部署上线，保卫用户 29 防火墙 文逻辑、前置字段及访问顺序等方式实现不同攻击的针对性识别处理，降低有效告警数量，简 化日常安全运维工作，释放人员精力专注核心业务。 技术指标 双栈防护 支持全功能 IPv4、IPv6 双栈防护； 镜像阻断 支持旁路镜像模式下，对检测到的攻击进行旁路阻断，并可指定对端设备 MAC 地址。 牵引防护 支持通过 BGP 方式对流量进行牵引，并在清洗攻击后回注，回注过程支持设置 SNAT 监测业务是否正常运行。 ◎全面的 IPv6 解决方案 全面支持 IPv6 协议族，支持 IPv6 邻居发现、ICMPv6、Path MTU 发现、DHCPv6 等 IPv6 特性；支持基于 IPv6 的 Ping、Traceroute、Telnet、SSH、ACL 等，满足纯 IPv6 网络设备管理 及业务控制的需要；支持 MLD、MLD Snooping 等 IPv6 组播特性，支持 IPv6 静态路由、VLAN

1 万个，5G 用户普及率超 71%，300 多个城市实现 5G-A 网络 覆盖。建成 207 个千兆城市，千兆及以上速率光纤接入用户 达到 2.07 亿户。IPv6 活跃用户数达 8.23 亿，移动网络和固 定网络 IPv6 流量占比分别达到 65.60%和 24.95%。我国智能 算力规模达 493EFLOPS（FP16）。移动物联网加快向“万物 智联”发展，移动物联网（蜂窝）用户达 二是坚持驱动引领，加快推动信息化赋能新质生产力发 展。建设泛在智联的信息基础设施，有序推进 5G-A 规模部 署，加快 6G 技术研发和标准研制，持续提升“双千兆”网络 覆盖广度和深度，适度超前建设移动物联网络，深化 IPv6 技术创新和融合应用，深入实施“东数西算”工程，推动卫星 9 互联网发展。加快完善数据基础制度体系，扩大公共数据资 源供给，提升数据资源开发利用水平，探索建立公共数据分 类分级授权机制，分类施策开展公共数据、企业数据、个人 过65Tbps， 设立5个国家新型互联网交换中心试点，峰值交换流量超过 12Tbps。IPv6规模部署应用持续推进，截至2024年底，IPv6 活跃用户数达8.23亿，IPv6地址数量为69148块/32，移动网络 IPv6流量占比达65.60%，固定网络IPv6流量占比达24.95%， IPv6网络性能和应用服务水平明显提升，7项指标提前完成 “十四五”规划目标。卫星互联网加快布局，成功发射卫星互