IPv6 网络安全白皮书 中国联通 IPv6 网络安全白皮书 中国联合网络通信有限公司研究院 下一代互联网宽带业务应用国家工程研究中心 2025 年 08 月 IPv6 网络安全白皮书 版权声明 本报告版权属于中国联合网络通信有限公司研究院，并受法 律保护。转载、摘编或利用其他方式使用本报告文字或者观点的， 应注明“来源：中国联通研究院”。违反上述声明者，本院将追 究其相关法律责任。 究其相关法律责任。 IPv6 网络安全白皮书 目录 前 言......................................................................................................................................- 1 - 一、 IPv6 网络安全发展趋势................ ............................ - 2 - 二、 IPv6 网络安全风险分析............................................................................................ - 3 - (一) IPv6 缓解的 IPv4 安全风险..........................

分布式 多应用 单向发布 宽带校园网 办公 OA 互联网 IPV4 分布式 多应用 单向发布 物联网 云计算 /存储 3G/IPV6 数据仓库与智能分析 融合应用 精准互动信息服务 物联网 云计算 /存储 3G/IPV6 数据仓库与智能分析 融合应用 精准互动信息服务 目前阶段： 成熟发展 目前阶段： 成熟发展 即将开启： 建设新篇 即将开启： 建设新篇 造成师生帐号管理不便 有线无线网络不能整合 造成师生帐号管理不便 电信后付费的收费模式 对学生的管理存在漏洞 电信后付费的收费模式 对学生的管理存在漏洞 核心网升级到楼层 支持 IPv6 和组播 核心网升级到楼层 支持 IPv6 和组播 电信与学校结合管理 加快服务流程和时限 电信与学校结合管理 加快服务流程和时限 新增建设校内认证服务器 区分访问灵活分配带宽 新增建设校内认证服务器 区分访问灵活分配带宽 校园网络升级规划建设工作是智慧校园项目实施的物理基础，将为所有应用提供高 带宽的接入环境，支撑 IPV6 、组播的实现。 校园网络升级规划建设工作是智慧校园项目实施的物理基础，将为所有应用提供高 带宽的接入环境，支撑 IPV6 、组播的实现。 通过升级 BAS 设备、汇聚层设备、接入设备， 满足千兆到楼层、百兆到户的构架，全网支 持 IPV6 双栈和组播协议，支撑智慧应用。 此外，建议实施 3G+WIFI 覆盖，并尝试

佳会议路径 , 链 路 故障不影响会 议效 智慧选路 果体验 视频关键业务不卡、不慢 IPV6/IPV4 双栈技术 IPV4 应用 IPV6 应用 IPV4 协议 IPV6 协议 IPV4/IPV6 双栈用户 IPV6 支持未来业务 实时监测全部链路状态 , 智能负载均衡 , 动态流 量调整 IDA, 视频传输

在基础网络建设上，首要目标是实现可靠性提升，打造不中断业务的可运营网 络。 在具体实现上，必须借助先进技术予以保障，如网络虚拟化技术、无线控制器集群 技术 等。 其次，校园网承担科研性任务，需要在基础网络建设中确保 IPv6 、SAVI 等技术 得 以落地，并具备开展 SDN 等科研尝试和实验的能力。 2.3. 具备强大安全防御能力的网络 校园网具备受众广泛、终端使用水平参差不齐、易遭受来自互联网的攻击、学生探 供组播视频流 的复 制和下发。另外，需要在汇聚层的三层接口上开启相应的 ACL 访问控制列表功能， QoS 服务质量保障功能。另外，随着 IPv6 在校园网的部署，还需要提供用户的 IPv6 功能， 如无状态 IPv6 地址分配、 IPv6 单播和组播转发等； ●接入层：负责用户的接入，相互的 VLAN 隔离，基于端口的上下行速率限制， 同 时，为了避免目前大量存在的 ARP 攻击问题，还必须在接入层交换机上开启 由于汇聚和接入层层面的设备档次较低，性能不高、稳定性较差、功能也不丰富，因此 在实际部署时，经常出现问题，实现效果不好。比如在校园网部署 IPv6 时，在汇聚层设 备上通常对 IPv6 的支持较差，特别是在开启 IPv6 组播业务时，由于设备不支持基于硬 件的 IPv6 组播流量复制转发，经常导致设备 100% CPU, 影响其他业务，甚至造成业务 中断。这就造成校园网中出问题最多，维护工作量最大的是大量的接入层、汇聚层设备，

化计量通信网络涉及到主站与智能网关、智能网关与端设备等之间的通信。其通信系统架构如下图所示： 新一代 IP 化低压电力线宽带载波网络层支持 IPv6（RFC 2460）协议，智能网关和所有端设备应支持 128 比特 IPv6 地址，该地址由 IPv6 前缀和接口 ID 组成。对于 IPv6 前缀，其在端设备入网过程中，通过网络层消息公告（RA） 中获取。对于接口 ID，则可以通过 SLAAC（无状态地址自动配置）或 IP 化宽带载波协议栈架构 应用层 数据业务和管理服务 CoAP（RFC7252）/ MQTT（PRF 20922） 传输层 UDP / TCP（RFC768 / RFC793） 网络层 IPv6（RFC2460） 6LoWPAN（RFC6282） 数据链路层 新一代宽带载波协议数据链路层 物理层 新一代宽带载波协议物理层 ���� ����� ��������� ������� 36 - - 37 - 新一代载波解决方案 新一代低压电力线宽带载波通信助力新型电力系统 技术白皮书 图 4-26 IPv6 宽带载波网络报文交互流程示意图 上述报文交互过程中，各类 IPv6 地址的生成规则和功能说明如表 4-8 所示： 表 4-8 IPv6 地址类型与功能说明 地址类仿型 前缀 生成规则 功能说明 链路本地地址（LLA） FE80::/10 启动后自动生成 用于和直连设备通信，只支持

用户接入需求；完善的二、三层组播协议，可作为组播复制点和控 制点，提供高性能的 IP 组播视频和音频应用  多协议 L3 路由支持满足了传统的网络要求，支持从企业级到电信运营商 级的大规模路由表，支持 IPv6，能够为企业网络提供平滑的过渡机制  支持各种主流的时钟方案，包括基于 PHY 层的以太网同步时钟，以及 IEEE1588 时钟同步  支持 POE，满足在线供电需求 高可靠性设计，提高网络弹性 设备之间的相互通信，但却允许与默认网关进行通信。 丰富的 IPv6 特性 S5700 系列交换机提供双协议栈，可平滑升级。硬件支持 IPv4/IPv6 双栈和 IPv6 over IPv4 隧道（包括手工 Tunnel，6to4 Tunnel，ISATAP Tunnel）， 三层线速转发。既可以用于纯 IPv4 或 IPv6 网络，也可以用于 IPv4 到 IPv6 共 存的网络，组网方式灵活，充分满足当前网络从 存的网络，组网方式灵活，充分满足当前网络从 IPv4 向 IPv6 过渡的需求。 光纤节点交换机参数： 性能 背板交换容量≥256Gbps；包转发率≥96Mpps; 电源 支持置模块化双电源 防雷 防雷指标≥2KV 转发能力 要求整机达全线速转发能力 接口模块要 求 支持标准 SFP, XFP 模块 支持 SFP + 三层功能 路由表≥4K ARP 表≥2K 支持 VLAN 虚接口≥256 静态路由

Segment Routing 支持 MPLS 和 IPv6 两种数据平 面，基于 MPLS 数据平面的 Segment Routing 称为 SR-MPLS，其 SID 为 MPLS 标签（Label）；基于 IPv6 数据平面的 Segment Routing 称为 SRv6，其 SID 为 IPv6 地址。 SRv6 结合了 SR-MPLS 头端编程和 IPv6 报文头可扩展性两方面的优势。SRv6 SRv6）。除了这两种模式外，还 引入了两种机制，用于与传统接入网（那些 N3 接口未经修改的网络）互通。其中一个机制是为了 与使用 GTP-U/IPv4 的传统 gNB 互通。第二个机制被设计为与使用 GTP-U/IPv6 的传统 gNB 协同工 作。 11 / 33 OVS 除了硬件可编程技术外，还有多种软件可实现交换和路由功能，OpenvSwitch 是使用最广泛的一 种多层虚拟交换软件，它简称 OV 目前，3GPP 标准协议规定了 UE 的多种 PDU 会话类型，主要有 IPv4、IPv6、IPv4v6、Ethernet 和 Unstructured，不同的会话类型代表用户面承载不同的协议，但应用于数据传输的协议为 GTP-U 协议，不同的会话类型是指 GTP-U 协议承载的底层协议为 IPv4 或 IPv6 或 Ethernet 等，所以用户面 传输协议比较固定且单一；虽然，近些来也提

���������������������������� IP ����� ������������ �� IP �� �������������������������������� IPv4 �� 30 �������IPv6 �� 127 ����������������� ��������������������������������� �� � �� � 3.1.3 QoS ���� � ����������10GE/25GE ����� Spine ������ Server Leaf ����� �� ��������� Server Leaf ��� �� ���������/IPv6 �����������/IPv6 ������� Server Leaf ������� ������������������� �� ����������� M-LAG �������� �� ����������� Internet Protocol ����� � ��� ��� ���� ���� ���� IPS Intrusion Prevention System ������ IPv6 Internet Protocol Version 6 ������ 6 � ISA International Society of Automation ������� IT

v2, BGP) 支持 DHCP Relay 支持 IGMP snooping 支持 PIM，PIM-SM，PIM-DM IPv6 主机管理 IPv6 转发 支持 OSPF v3 路由协议 支持 IPv6 过滤的 ACLs, 最大支持到 128 IPv6 ACLs 12 组播 支持 IGMP v1/v2/v3 Snooping 和快速离开机制； 支持 VLAN 内组播转发和组播多 IGMP 组 13 镜像功能 支持基于 ACL 的流镜像； 支持多个物理端口的流量镜像到一个端口； 14 访问控制 支持基于第二层、第三层和第四层的 ACL； 支持 VLAN ACL 和 IPv6 ACL； 支持 IP/Port/MAC 的绑定功能。 15 QoS 至少具备 8 个队列； 支持 WRED 调度方式,支持 WRED+ECN； 支持端口限速，限速粒度 64K； 提供广播风暴抑制功能； TCP/IP,HTTP,DHCP,DNS,DDNS,RTP,RTSP,PPPoE,SMTP,NTP,UPnP ICMP,IGMP,SNMP,FTP,802.1X,QoS,HTTPS (SIP,SRTP,IPv6 可选) 接口协议 ONVIF,PSIA,CGI 通用功能 防闪烁,双码流,心跳,镜像,密码保护,视频遮盖,水印技术,匿名访问,IP 地址过滤 接口 通讯接口 1 个 RJ45 10M/100M

新质互联网智鉴报告 （2025） 推进 IPv6 规模部署和应用专家委员会 IPv6+ 创新推进组 新质互联网智鉴报告编写组 版权归推进 IPv6 规模部署和应用专家委员会所有。保留一切权利。 本报告中所涉及的图片、表格及文字内容的版权归 IPv6 规模部署和应用专家委员会所有。 其中部分数据在标注有来源的情况下，版权归属原数据公司所有。 本报告取得的部分数据来源于公开资料，如有涉及版权纠纷问题，请及时联络我们。 代网络技术升级的演进 新方向，服务于全社会的数字化转型和高质量发展。 一、“新质互联网”的内涵与外延 “新质互联网”的核心定义是：面向人工智能等新技术大规模应用所带来的算力部署新需求，基于 IPv6/IPv6+ 等网络基础技术，对包括地面、近空、深空的广阔物理空间的各类算力、终端和数据要素实现泛在连接，所构建 的可靠、高效、安全、智能、绿色的网络技术体系。 （三）关键特征 我国互联网 邬贺铨认为它是面向智能时代的网络“新”需求，基于 IPv6/IPv6+ 等网络基础技术，针对工业制造等垂直行业以及陆海空天一体化等“新”场景，充分发挥人工智能、大数据、区块 链等网络创新“新”动能，所构建的可靠、高效、安全、智能、绿色的网络技术“新”体系，可以支撑万物互联、虚 实智联、行业赋能等互联网“新”应用。新质互联网不仅是对 IPv6 的进一步升级，而且是面对智能化时代的网络技 术的