1、 金融业 IPv6 发展演进 白皮书 北京金融科技产业联盟 2023 年 5 月 版权声明 本白皮书版权属于北京金融科技产业联盟，并受法律保护。转载、编摘或利用其他方式使用本白皮书文字或观点的，应注明来源。违反上述声明者，将被追究相关法律责任。I 编制委员会 主任：潘润红 编委会成员：张 升 聂丽琴 韩 颖 张海燕 编写组成员：黎祖强 许青邦 马 超 李红曼 杨志辉 庞 帅 张浩然吴 烨 邹璐琨 张倩倩 葛峥峥 刘新儒 龙 菲 许 泓奚 舸 朱立维 鱼亚锋 陈必仙 刘 伟 佘春燕 刘彬彬项多明 冯敏源 宋 峣 张 林 张 明 腾灵灵 苏 凯沈 波 刘 庆 王大鹏 李沁洋 王一飞 李尚元 严 诺

2、陈 耿 徐晓宇 李 强 孙亚军 王世媛 周 洋 王 璇周 敏 编审：黄本涛 周豫齐 马 超 李红曼 II 参编单位：北京金融科技产业联盟秘书处 中国农业银行股份有限公司 北京国家金融科技认证中心有限公司 中国工商银行股份有限公司 中国银行股份有限公司 中国建设银行股份有限公司 交通银行股份有限公司 招商银行股份有限公司 中国光大银行股份有限公司 华泰证券股份有限公司 中国人寿保险（集团）公司 泰康保险集团股份有限公司 网联清算有限公司 华为技术有限公司 III 前前 言言 推动互联网协议第六版（IPv6）的规模部署是建设网络强国的重要国家战略。金融业是国家探索IPv6创新应用的重点行业，自20

3、17年底中办、国办印发推进互联网协议第六版（IPv6）规模部署行动计划以来，中国人民银行认真贯彻落实党中央、国务院关于建设网络强国的战略部署要求，加强统筹谋划，健全工作机制，明确了我国金融业IPv6规模部署的总体原则、工作任务，加快构建金融业高速率、广普及、全覆盖、智能化的下一代互联网。在产业协同努力下，金融业IPv6发展已经取得重要的阶段性成果。IPv6改造完成率持续提升，创新应用不断涌现，应用认证和发展监测全面开展，标准建设全方位提速。为落实金融科技发展规划（20222025年）提出的IPv6技术创新与融合应用“从能用向好用转变、从数量到质量转变、从外部推动向内生驱动转变”的新发展目标，及

4、时总结金融业IPv6的发展经验和创新思路，探索IPv6发展演进路径，特编制本白皮书，以期为金融机构持续深入推进IPv6发展提供参考。本白皮书首先从战略意义、政策牵引、技术标准和实践成果等方面系统性回顾金融业IPv6总体推进情况，围绕IPv6规模部署和应用创新两个核心问题提出技术和方法指引，梳理了推进金融业IPv6发展面临的问题，并对发展趋势进行展望。IV 目目 录录 一、总体情况.1（一）战略意义.1（二）政策引导.1（三）标准先行.4（四）成效明显.5 二、深入推进规模部署.6（一）总体要求.6（二）实施路径.7 三、技术演进与应用创新.18（一）推动 SRv6 标准编制，架设新型金融广域网

5、络.18（二）促进“IPv6+”组合创新，实现网络端到端可视化.20（三）部署协议转换对接，提升云网边界协同能力.20（四）搭建 5G 新型专网，优化金融网络服务体验.21（五）建设无损以太网络，突破数据中心算力瓶颈.21（六）探索前沿安全架构，构筑网络精准防护模式.23（七）加快组播技术革新，增进行情数据转发效能.24（八）实施安全泛在物联，拓展智慧金融服务边界.24 四、存在问题及发展展望.25（一）存在问题.25（二）发展展望.26 附录 1：金融业 IPv6 规模部署和创新应用实践案例.29 附录 2：“IPv6+”创新技术体系概述.41 缩略语.45 参考文献.47 1 一、总体情况

6、（一）战略意义（一）战略意义 国际互联网协议第6版（IPv6）是互联网工程任务组（IETF）设计的用于替代IPv4的下一代IP协议，能够提供充足的网络地址和广阔的创新空间，是互联网升级演进的必然趋势和网络技术创新的重要方向。基于IPv6的下一代互联网已成为网络强国建设的重要基础支撑，我国已将IPv6规模部署和发展演进作为网络战略决策持续推进。金融业作为国家关键行业领域，是数据密集型和科技驱动型行业。IPv6规模部署已成为金融业数字基础设施建设的重要组成部分，推动金融业IPv6演进升级是“十四五”时期国家加快推进IPv6规模部署和应用的重点任务之一。加快推进IPv6规模部署和应用创新，为金融业数

7、字基础设施升级、自主技术体系构建、网络服务创新应用等方面提供了难得的机遇。（二）政策引导（二）政策引导 1.1.国家国家层面层面 “十二五”到“十三五”期间，我国重点围绕规模商用谋划IPv6发展布局。2012年，国务院印发“十二五”国家战略性新兴产业发展规划，首次提出基于IPv6的下一代互联网实现规模商用的发展目标，并把IPv6相关关键技术开发和产业化列入重大行动计划。2013年，国务院印发 “宽带中国”战略及实施方案，提出加快部署基于IPv6的下一代互联网的重点任务。2016年，国 2 务院印发“十三五”国家信息化规划，进一步提出网络基础设施全面向IPv6演进升级的优先行动计划。2017年，

8、国务院印发推进互联网协议第六版（IPv6）规模部署行动计划，提出形成下一代互联网自主技术体系和产业生态，建成全球最大规模的IPv6商业应用网络，实现下一代互联网在经济社会各领域深度融合应用的行动目标。“十四五”期间，推进IPv6规模部署和应用工作进入快车道。2021年以来，中央网信办协同多部委先后印发关于加快推进互联网协议第六版（IPv6）规模部署和应用工作的通知关于开展IPv6技术创新和融合应用试点工作的通知 深入推进IPv6规模部署和应用2021年工作安排 IPv6流量提升三年专项行动计划（20212023年）深入推进IPv6规模部署和应用2022年工作安排等政策文件，对推进IPv6规模部

9、署和应用工作的基本原则、工作目标、重点任务和保障措施等都作出了全面部署。其中，针对金融业IPv6发展主要提出以下指导意见：（1 1）推动金融行业系统推动金融行业系统 IPv6IPv6 演进升级演进升级。深入推进金融机构广域网、分支机构网络、数据中心的 IPv6 改造，持续提高金融服务机构面向公众服务的互联网应用系统 IPv6 支持能力。健全IPv6 监控运维体系，完善网络安全管理制度，推动金融安全防护体系全面支持 IPv6，稳步推进金融业信息化体系平滑演进升级等。3 （2 2）积极鼓励金融领域积极鼓励金融领域 IPv6IPv6 创新应用试点。创新应用试点。在金融业开展“IPv6+”技术创新与融

10、合应用试点，形成可复制可推广的融合模式应用场景，增强 IPv6 网络对金融业数字化转型升级的支撑能力。2.2.金融行业金融行业 为贯彻落实国家总体政策要求，中国人民银行会同中国银保监会、中国证监会于2018年联合发布关于金融行业贯彻推进互联网协议第六版（IPv6）规模部署行动计划 的实施意见（银发2018343号印发，以下简称实施意见），系统谋划金融业IPv6改造方案，提出了金融业IPv6规模部署的规划和推进路径，强调以“保障系统安全稳定运行”为前提，采取“应用系统改造与软硬件基础设施升级相结合、递进式推进与增量式推进相结合”的工作原则，促进互联网演进升级与金融领域的融合创新。2019年11月

11、，中国人民银行科技司印发金融行业IPv6规模部署技术验证指标体系V1.0。指标体系涵盖技术和管理要求，包括5大类11个验证项58个验证指标，完善了金融行业信息系统IPv6规模部署改造的技术要求，本着“科学量化，精准引导”的指导原则，系统形成统一、标准的评测方法，力求全面客观地评价金融业IPv6改造情况，对金融服务机构进行精准引导。2021年12月，中国人民银行印发 金融科技发展规划（20222025年），把“架设安全泛在的金融网络”作为“打造新型数字基础设施”的重点任务之一，并提出“全面推进互联网协议第 4 六版（IPv6）技术创新与融合应用，实现从能用向好用转变、从数量到质量转变、从外部推动

12、向内生驱动转变”的任务目标。2022年2月，中国人民银行、国家市场监管总局、中国银保监会、中国证监会联合印发 金融标准化“十四五”发展规划，将“制定互联网协议第六版（IPv6）应用推广、检测评价等配套标准”纳入健全金融信息基础设施标准的任务目标，并积极探索零信任网络、无损以太网络等新技术应用标准，稳妥提升网络基础设施自动化、虚拟化、智能化水平。国家层面到金融行业多项政策措施的出台和实施，对加快推进金融业IPv6网络高质量建设，有力推动金融科技整体水平与核心竞争力跨越式提升、数据要素价值充分释放、数字化转型高质量推进，具有重要的引领意义。（三）标准先行（三）标准先行 金融标准与产业创新深度融合。

13、在IPv6相关政策指引下，IPv6技术金融应用规范基于SRv6的金融广域网络技术要求物联网技术金融应用指南等一系列行业标准相继立项编制，为金融网络规范建设和发展演进提出了可行的技术指导。同时，IPv6技术创新和商业试点示范加快推进。2021年，金融科技产业联盟成立信息基础设施专业委员会，聚焦IPv6规模部署和“IPv6+”发展创新、数据中心网络全IP架构、物联网技术金融应用、网络智能运维和服务化能力等行业热点课题，全面深入研究并取得一系列创新成果。5 （四）成效明显（四）成效明显 1.1.完成完成比比率持续提升率持续提升 针对金融业IPv6规模部署和应用实施“基数大、分布广”的特点，中国人民银

14、行会同中国银保监会、中国证监会联合成立IPv6规模部署专项工作组，将IPv6改造相关指标纳入金融业网络安全和信息化“十四五”规划要求统筹推进。目前，金融业IPv6规模部署与应用实施工作进展迅速，成效明显。IPv6支持方面，截至2022年9月，金融机构门户网站及面向公众服务的互联网应用总体IPv6支持率分别为95%和92%。2.2.创新应用不断涌现创新应用不断涌现 金融业IPv6关键技术创新、应用创新持续突破，应用范围和场景不断扩展，创新生态体系不断完善。金融广域网、数据中心网络等重点领域IPv6应用更加深入，从而有力带动金融机构在IPv6单栈部署应用、“IPv6+”融合应用技术创新、基于IPv

15、6的智能运维体系及网络安全保障能力建设等方面的高质量发展。2021年，金融领域9个项目获评IPv6规模部署和应用优秀案例，体现了金融业IPv6演进升级和创新应用工作成果。2022年，6家金融机构入选国家“IPv6技术创新和融合应用试点名单”。3.3.认证认证监测全面开展监测全面开展 为全面落实并完成实施意见各阶段目标，北京国家金融科技认证中心（简称“北京国金认证”）于2019年起先后开展了IPv6金融应用认证和金融APP“国推认证”的备案工作。自认证 6 工作开展以来，先后有20家机构通过“IPv6金融应用认证”。同时，中国人民银行建设完成金融业 IPv6 发展监测平台，当前已收录 9956

16、个金融业网站及应用的 IPv6 支持信息，实现金融业 6571 个监测点的动态监测，为金融机构全面客观掌握并验证改造情况提供科学量化标准，精准引导金融机构规模部署落地生根。依托该监测平台，各级金融机构积极开展核查和对照自查，切实提高门户网站和子域名网站及应用系统规模部署改造效果。IPv6 应用认证和发展监测工作的持续深入和迭代完善，对于指导金融业以平滑有序、安全合理的方式实现 IPv4 向 IPv6过渡具有重要意义，促进金融机构在金融科技创新及演进升级过程中为用户提供安全可靠的服务，推动技术创新和商业实践。二、深入推进规模部署（一）（一）总体总体要求要求 严格贯彻落实国家加快推进 IPv6 规

17、模部署和应用的有关要求，深入推进金融机构广域网、分支机构网络、数据中心的 IPv6改造，提升互联网应用系统 IPv6 支持能力，是“十四五”时期金融业系统 IPv6 演进升级的重点任务。IPv6 规模部署是一个系统性工程，涉及工程实施、生态构建、过程度量、技术创新和标准制定等多方面。要加强顶层设计，充分研究，稳步推进金融业信息化体系平滑演进升级。1.1.保障系统安全保障系统安全与与稳定运行稳定运行 7 金融信息系统分布式架构转型、网络规模和流量持续增长、物联网及移动通信等网络发展新变化，对IPv6规模部署的网络安全性和可靠性都提出了新挑战。要继续坚持发展与安全并举，实现网络、应用、安全的协同，

18、高度重视金融监控运维体系和安全防护体系建设，确保IPv6规模部署实施过程中网络和系统安全稳定运行。2.2.协调规模部署与融合创新协调规模部署与融合创新 以IPv6规模部署为主线，在部署实施和发展演进中，积极支持以“IPv6+”为代表的自主技术创新、应用创新、服务创新、管理创新，充分释放IPv6技术潜能和优势，加快构筑安全泛在的金融网络，推动实现金融IPv6网络从能用向好用转变、从数量到质量转变、从外部推动向内生驱动转变。3 3.加强全局统筹与标准制定加强全局统筹与标准制定 深入研究金融领域银行、证券、保险、互联网金融等多种业态在业务需求、网络基础、技术能力和发展目标等方面的差异化要求，在推进I

19、Pv6规模部署规划和实施中，做好全局统筹，分类研究，因网施策。积极推进重点场景IPv6相关标准制修订与示范应用，以实现全行业上下游协同健康发展。（二）（二）实施实施路径路径 根据金融业 IPv6 规模部署总体要求和演进路线，IPv6 部署实施需遵循网络先行、云端并进、双栈过渡、逐步单栈的原则。围绕网络、应用、终端、安全及相应的资源、支撑系统及制度管 8 理等方面，遵循先试点、再双栈、并最终实现单栈的演进方案。在此过程中，改造方案需要以技术领先、架构最优、业务影响可控及经济可行为目标。制定体系化的 IPv6 规模部署实施指引，重点考虑 IPv6 地址资源规划、网络部署及终端与应用改造、安全管理和

20、防护体系建设、运维支撑系统改造、流程体系规范建设等重点问题。1.1.地址资源规划地址资源规划 （1）IPv6地址申请与规划 金融机构根据IPv6地址需求量和可预见的地址增长，提前申请和储备足够的IPv6全球单播地址，以避免多次申请的地址块不连续，导致无法进行路由聚合。根据申请地址块的大小，可参考层次化、语义化、分离与安全性、连续性及可扩展性等原则，完成IPv6地址的规划。范围涵盖总部、分支机构、境外机构及集团子公司等。层次化规划：层次化规划：将 IPv6 地址划分为独立的字段，实现分层路由聚合。IPv6 地址层次化规划可以增强路由聚合能力，减少网络地址碎片，缩小路由表规模，从而提升路由转发效率

21、。语义化规划：语义化规划：在层次化规划基础上，IPv6 地址规划需能够表达一定含义，增强地址可读性。地址所属区域、网络类型、业务用途等信息均可映射到 IPv6 地址中，对不同字段进行定义并赋予其业务类型、物理位置等含义，便于运维和故障定位。9 分离与安全性规划：分离与安全性规划：不同业务用途的地址需分开规划。例如网络设备地址、用户地址和业务地址分开规划，方便在网络边缘进行路由控制和流量安全控制。同时，业务之间的互访需要进行安全控制，同一种安全要求的业务划分到同一段地址空间，有利于安全设计和策略管理。连续性规划：连续性规划：相同语义的 IPv6 段内地址尽量保持连续，以避免地址浪费，并利于地址管

22、理和地址聚合。同时，连续的 IP 地址易于进行路由聚合，从而减小路由表，提高路由效率。可扩展性规划：可扩展性规划：地址规划时应预留扩展字段，以满足未来网络扩展时的需求。（2）IPv6地址分配与管理 在IPv4体系下，IP地址分配主要包括手工静态分配以及动态地址分配两种方式。在IPv6体系下，动态地址分配方式中，新增了无状态的地址分配方式，被称为SLAAC。不同地址分配方式适用于不同应用场景，金融机构可以按需选择。常用的IPv6地址分配方式的优缺点比较和适用场景如表1所示：10 表1 常用的IPv6地址分配方式对比和适用场景 地址分配方案地址分配方案 优点优点 缺点缺点 适用场景适用场景 手工静

23、态分配 地址固定不变。人工配置和维护 工 作 量 较大。适用于需要固定地址的场景，如业务应用系统建议采用手工静态配置。有状态动态地址分配：DHCPv6 集 中 分 配 IPv6地址，同时可以记录和集中管理终端地址状态信息以及租期信息等。需部署DHCPv6服务器，可以共用DHCPv4服务器。IPv4时代被广泛使用，适用于绝大多数金融业场景，IPv6地址分配可以继续沿用。无状态动态地址分配：SLAAC 实现终端的即插即用，且地址生成方式高效。不记录IPv6终端的具体地址信息，可管理性不佳。适用于有海量地址需求且较封闭可控的物联环境（如门禁系统），同时因安卓原 生 系 统 不 支 持DHCPv6方式

24、，无线Wi-Fi环境中也建议通过SLAAC方式实现地址分配。由于IPv6地址长度较长，且需要更体系化和规范化的管理和分配，通过人工表格等传统管理方式进行维护，效率低且不易识读，不适用IPv6海量地址管理。因此，建议部署专门的IPv6地址管理工具，以避免IPv6地址管理混乱、规划不合理等问题。11 2 2.网络部署改造网络部署改造 金融网络部署改造的整体策略分为三方面：一是一是优先完成各机构互联网出口改造，稳步推进广域网络、数据中心网络和园区网络改造。二是二是改造过程遵循由IPv4单栈到IPv4/IPv6双栈、再到IPv6单栈的渐进路线。三是三是积极应用SRv6、SDN、AI等技术，优化建设高可

25、靠冗余网络架构，实现网络资源虚拟化、流量调度智能化、运维管理自动化，着力提升金融网络健壮性和服务能力。（1 1）互联网出口改造互联网出口改造：面向IPv6单栈演进，主要有三种备选方案。首先考虑网络和应用进行双栈改造，该方案符合IPv6演进路线原则，可平滑演进至IPv6单栈（可通过下列前两种方案实现）。新建 IPv6 互联网出口方案：存量的网络环境保持现状，仍对外提供 IPv4 的服务，新建 IPv6 的网络环境，对外提供 IPv6的服务。存量网络双栈改造方案：直接在存量的 IPv4 网络环境上启用 IPv6 协议，同时提供 IPv4/IPv6 的服务能力。另一种方案是通过 NAT 设备在互联网

26、出口快速提供IPv6 地址转换，而不改造应用。在早期 IPv6 改造中，较多金融机构为加快提供 IPv6 服务，已经部署了 NAT 方案。但其不符合IPv6 的整体演进路线，现阶段建议继续深化改造。具体三种方案的优缺点及适用场景如表2所示：12 表2 互联网出口改造方案对比和适用场景 改造方案改造方案 优点优点 缺点缺点 适用场景适用场景 新建新建IPv6IPv6互联互联网出口网出口 协议栈环境独立，对现有业务影响小；IPv4网络逐渐消亡，可 以 平 滑 演 进 到IPv6单栈网络。新 建 网 络 环境，成本投入高。适用于业务稳定性 要 求 高 的 机构。存量网络双栈存量网络双栈改造改造 成本

27、投入小。设备性能压力增大，运维排障复杂度高。适用于机房空间受限，对外服务稳定性无较高要求的场景。NATNAT转换转换 改造小，可以快速提供对外服务IPv6地址。不是真正的端到 端 IPv6 连接，采用NAT转换而非端到端连接影响应用质量。适用于需要快速提供IPv6对外服务地址的场景，但应用和网络需二次改造，现阶段建议改造为双栈方案。（2 2）广域网络改造：广域网络改造：广域网络包含金融机构自建骨干网、网点接入网和数据中心间的承载网。由于广域网IPv6规模部署完成度较高，当前改造重点为“IPv6+”技术创新和落地。优先推进 SRv6 的规模部署，结合 IFIT、网络切片和BIERv6 等“IPv

28、6+”创新技术，提升网络的流量敏捷调度和业务质量保障能力。持续探索 APN6 技术创新和应用，实现应用与网络的全面融合感知，构建应用级精细控制的广域网络。13 最终全面建设“IPv6+”广域网络并持续探索“IPv6+”技术与金融科技发展要求的结合，不断演进“IPv6+”广域网保持技术领先。（3 3）数据中心网络改造：数据中心网络改造：为加快IPv6规模部署和应用创新，首先应推进数据中心网络（含计算网络、存储网络和前端网络）向全IP全以太架构演进，并最终演进至IPv6单栈，改造中需分区域进行。优先改造互联网接入区，方案与互联网出口改造相同。其次改造内网资源池区域。金融机构数据中心内网资源池大多已

29、经完成 SDN 改造，内部大量使用了 VxLAN 转发技术。对于存量的 SDN 环境，已有 Underlay 平面采用 IPv4，短期可在 Overlay 平面开通 IPv4/IPv6 双栈，后续通过新建Underlay 为 IPv6 的资源池进行替换。对于有条件新建的 SDN 资源池，面向 IPv6 单栈目标方案，建议采用 VxLANv6 转发技术，即 Underlay 平面优选 IPv6，Overlay 平面部署 IPv4/IPv6 双栈。对于传统数据中心方案承载的 IPv6 改造，如果有条件，建议在做IPv6改造的同时进行虚拟化/云化改造并迁移到SDN资源池承载。如果改造难度较大，建议传

30、统数据中心提供双栈路由转发的承载能力，完成 IPv6 改造。IPv6 改造过程中，需同时深化部署无损以太网络、自智网络等先进技术，提升金融数据中心算力及服务化、智能化能力。14 （4 4）园）园区网络改造：区网络改造：园区中涉及办公终端、物联终端、移动终端、传感器等各类设备的泛在接入。在改造过程中应充分发挥IPv6海量地址空间优势，采取全IP统一接入方案。根据产业成熟度，建议优先改造办公网络和办公终端，包含有线和无线改造。对于现有网络不同的方案类型有不同的改造建议，可参考表3。表 3 园区网络改造建议 园区类型园区类型 改造建议改造建议 基于VxLAN技术构建的园区网 短期Overlay平面部

31、署IPv4/IPv6双栈，Underlay平面部署IPv4。最终过渡到VxLANv6等IPv6单栈技术路线上。VLAN+路由协议的传统园区网 可在现有网络增加IPv6 L2安全和L3网关+路由的双栈部署。同时建议在IPv6改造的同时完成SDN改造。无线网络改造 建议采用IPv6 Underlay的承载协议，即AP与WAC之间部署Capwap6隧道，Overlay采用双栈部署。园区网络改造中应充分利用无线通信、智慧园区、SDN等新型技术，简化园区网络接入和运维的复杂度，提升园区网络的稳定性。3 3.终端应用改造终端应用改造 根据演进路线，终端与应用需并行推进IPv6规模部署改造。（1 1）终端改

32、造：）终端改造：包含固定和移动办公终端以及物联终端、生产终端等机构自采购终端。15 对于存量终端，如果终端本身具有 IPv4/IPv6 双栈能力，则逐步实施 IPv4/IPv6 双栈能力开启；如果不具备双栈能力，建议按照自身生命周期逐步淘汰，以实现最大化资产利用率。对于新采购终端，当前要求支持 IPv4/IPv6 双栈接入能力。未来网络统一演进到 IPv6 单栈后，终端也仅需支持 IPv6 单栈。（2 2）应用系统改造：）应用系统改造：主要包含面向公众服务的互联网网站与应用以及企业内部网站与应用（如ERP等办公相关系统、核心生产系统等）。应用系统IPv6改造需率先完成互联网网站及应用改造，再逐

33、步改造企业内部网站和应用。具体改造策略如下：企业内部应用改造需与终端改造节奏匹配，如果优先改造办公终端，则应先改造办公相关应用系统。优先升级通用系统和通用组件。通用系统（如 DNS 系统）需支持 IPv6，并在 DNS 上增加 AAAA 记录。通用组件（如中间件、数据库等）需具备双栈能力。应用改造核心为通信接口（如 Socket 接口）改造，需具备双栈或 IPv6 单栈能力。最后需全面排查应用代码，确保 IP 地址不作为业务关键属性使用，且应用系统交互采用域名方式，不直接使用 IP 地址作为主机标识。4.4.安全防护体系安全防护体系 16 匹配IPv6演进的不同阶段，金融机构应深化建设覆盖网络

34、、应用、终端的IPv6网络安全防护体系，并利用IPv6技术优势强化安全整体防护能力。（1）需评估防火墙、入侵检测、行为审计等网络和数据安全设备是否具备IPv6安全防护能力。结合金融等级保护2.0相关要求，完成本单位IPv6安全防护体系设计与升级。（2）需参照IPv4环境下安全策略配置原则和现有策略，同步进行IPv6安全策略升级。（3）需结合IPv6改造及IPv6协议的安全增强，推进零信任安全防护体系建设，并结合全网态势感知实现整网的安全风险探测、分析及快速溯源。同时采用网安联动方案实现自动化响应和近源处置，防止风险的扩散。5.5.运维支撑系统运维支撑系统 （1 1）支撑系统支撑系统IPv6IP

35、v6改造改造 作为网络和终端应用的服务支撑系统，认证服务器、DNS服务器和DHCP服务器同样需要遵循先IPv4/IPv6双栈再演进到IPv6单栈的原则，以确保系统对存量网络和业务的支撑能力。存量支撑系统改造需优先评估其IPv6能力，除功能评估外，还需重点关注双栈性能评估。如能力满足，则可直接进行双栈化改造。待网元设备、应用及用户完成IPv6单栈改造后，支撑系统同步完成IPv6单栈切换。若支撑系统不具备开启双栈协议能力，建议升级替换支撑系 17 统。（2 2）运维平台运维平台IPv6IPv6改造改造 需评估网络、系统和应用等各类运维管理平台以及配置管理数据库（CMDB）。改造策略为：CMDB需在

36、IPv6网络和地址资源分配前完成IPv6协议访问能力和IPv6配置存储功能的改造。运维管理平台需支持IPv6通信协议、IPv6数据采集及分析。运维管理平台需支持针对IPv6基础设施、操作系统、数据库等组件及应用系统间的交互分析和统计呈现。6 6.制度制度管理机构管理机构 （1 1）建立健全建立健全IPv6IPv6技术配套制度体系技术配套制度体系。按照基本制度与政策、管理办法与规定、操作规范与实施细则逐级建设部署，层次分明，管理逻辑清晰。遵循严格的发布流程，并定期进行更新修订，积极推进制度体系落地执行。（2 2）完善完善IPv6IPv6技术研究与实践的组织技术研究与实践的组织机机构构。从组织机构

37、设置、岗位设定、责权界定等方面实施。设置满足IPv6技术建设和发展要求的组织机构，涉及业务、运营、科技管理、科技运维等诸多机构和部门。明确职能、岗位和职责，确保权责一致，监督评估工作能力和运行绩效。（3 3）加强）加强IPv6IPv6技术研究和实践的技术研究和实践的专业专业人员团队人员团队建设。建设。因地制宜选择技术和管理人员，定期开展技术培训和经验分享，制定 18 配套的考核评价标准和目标，加强人员梯队建设和队伍培养。（4 4）建立健全建立健全IPv6IPv6技术创新与业务协同联动发展机制技术创新与业务协同联动发展机制。基于IPv6自身技术特性，结合业务发展需要，促进IPv6技术创新和场景创

38、新，以业务需求驱动技术创新，以技术创新扩展应用场景，以场景应用带动业务发展。三、技术演进与应用创新 国家推进IPv6规模部署和应用政策明确以全面推进IPv6技术创新与融合应用为主线，以提升应用广度深度为主攻方向。金融机构以IPv6发展政策为牵引，结合金融业特点和业务需求，从广域网、数据中心、园区、终端、应用、安全等多场景布局，积极稳妥推进“IPv6+”技术创新和融合应用，增强金融网络服务金融业务能力，有力带动“IPv6+”相关技术落地生根。（一）推动（一）推动 SRv6SRv6 标准编制标准编制，架设架设新型金融广域网络新型金融广域网络 金融广域网络是金融机构网络的核心组成部分，支撑着金融机构

39、总部、数据中心、分支机构之间的互联互通。随着金融数据中心业务规模的迅猛增长，原有两地三中心向多地多中心架构演进。为满足多地多中心高速可靠互联及多业务融合承载需求，传统核心骨干网需向云骨干网络演进。基于SRv6简化网络协议、多重编程空间、SDN架构等技术优势，构建高速、智能、弹性的金融广域网络，实现各类业务的高速融合承载、灵活调度、智能保障。开展首个“IPv6+”应用推广行业标准基于SRv6的金融广域网络技术要求的研制。该标 19 准拟从网络总体架构、物理组网、网络协议、IPv6地址规划、流量调度、业务保障、网络安全、网络监控和网络控制器等方面明确技术要求，为金融机构在金融广域网络规划、设计、建

40、设、选型等方面给出规范性指导。基于 SRv6 的金融广域网络基于层次化、模块化的架构实现物理组网。通过超宽网络能力实现泛在的金融网络连接服务，包括多地分布式云数据中心、分行网点、分支机构、外联合作伙伴等。通过网络控制器实现金融广域网络基础设施的集中管理、控制和分析，满足网络全生命周期的自动化、网络故障智能闭环、多维度智能流量调度及金融业务快速创新的需求。基于 SRv6 的金融广域网架构如图 1 所示。图 1 基于 SRv6 的金融广域网架构 20 （二）促进“（二）促进“IPv6+IPv6+”组合创新，实现网络端到端可视化组合创新，实现网络端到端可视化 部分金融机构已在骨干网络完成SRv6部署

41、，并积极探索将SRv6技术向下延伸，覆盖金融骨干网和接入网，构建端到端的SRv6广域一张网架构，便于快速延伸至金融机构的各个角落。金融机构可以基于业务需求，采用“IPv6+”创新技术，实现网络端到端可视，统一、快速、动态调整广域网络资源，实现数据互通和业务协同。一方面，在分支接入网络上结合SRv6、IFIT等技术，完成分支接入网络的IPv6改造，实现流量智能调度和隧道质量可视化。另一方面，通过IFIT、APN6等技术，实现网点到总部的端到端可视，应用感知网络统一调度，全面提升金融机构IPv6规模部署和应用水平。（三）部署协议转换对接（三）部署协议转换对接，提升，提升云网边界协同能力云网边界协同

42、能力 随着分布式数据中心建设的推进，数据中心间流量不断增大，需要通过部署大容量、无阻塞和低时延的DCI网络，实现数据中心间东西向流量的快速转发和高效承载。数据中心云计算网络普遍采用 VxLAN 隧道技术，金融骨干网采用 SRv6 技术承载。跨数据中心互通，需要在 Overlay 层面无缝衔接两种协议，实现端到端的 Overlay 连通性。在数据中心和骨干网的边界设备启用 VxLAN/SRv6 协议转换功能，实现 VxLAN VPN和SRv6 VPN的平滑对接。通过骨干网核心节点之间部署SRv6 DCI（VxLAN over SRv6），实现跨中心资源共享以及应用多中心灵活部署，打通云上云下 O

43、verlay 网络。21 （四）搭建（四）搭建 5G5G 新型专网，优化金融网络服务体验新型专网，优化金融网络服务体验 在国家5G新基建政策的大力推动下，5G行业虚拟专网逐渐成为各行业领域关注的焦点。金融机构以网络可管可控能力为前提，积极探索与运营商合作构建5G网络。其中，5G金融云专网作为一种新的5G商用技术架构，具备移动网络的灵活性和便捷性，在安全、时延和带宽保障上满足业务承载需求，与金融现有网络及业务管理体系无缝融合，有效降低网络运营成本。可应用于移动金融、固移备份、异地灾备、机构互联、流量分摊等场景，提升金融网络对外服务保障水平。一方面，基于运营商5G网络，通过网络切片为每个用户构建端

44、到端的5G行业专网，承载IPv4/IPv6业务流量，实现全国跨地域互通。基于网络切片技术的虚拟专网可以实现可控的带宽、时延以及网络隔离能力，满足不同业务安全承载的需求。另一方面，5G和SD-WAN技术相结合。5G金融云专网作为SD-WAN的Underlay，具备大带宽、低时延、海量连接等特点，能满足大部分金融业务场景。作为固定专线的灾备线路或流量分摊线路，可与固定专线混合部署，通过Overlay隧道承载IPv4/IPv6业务流量。结合SD-WAN的应用识别和智能选路能力，灵活配置线路资源，增强网络对外服务质量保障能力。（五）建设（五）建设无损以太网络，突破数据中心算力瓶颈无损以太网络，突破数据

45、中心算力瓶颈 高速稳定的业务数据存储及同城数据实时容灾备份一直是金融IT生产系统中高可用的关键场景。传统数据中心内集中式存储与高性能计算采用FC（Fiber Channel）和IB（InfiniBand）22 等封闭技术体系和架构，难以实现IPv6互联，也无法匹配数据中心云化发展诉求。IPv6和以太网技术的创新应用给出了新的技术路径选择。借助RoCEv2技术实现业务、计算、存储网络的架构统一，数据中心网络向全IP全以太化的超融合架构迈进（如图2所示），从而真正解决传统数据中心网络IB、FC技术体系下面临的单个数据中心被多种技术、多张网络割裂的问题，有效实现计算效率提升和单位算力能耗降低，对集约

46、化、绿色化数据中心网络建设具有积极意义。图 2 全 IP 数据中心网络部署架构 智能无损网络从两方面来提升应用性能。首先是网络自身的优化。采用流量控制、拥塞控制及流量调度等技术，通过AI智能无损算法，解决“多打一”流量模型下的瞬时突发拥塞导致丢包问题，提供“无丢包、低时延、高吞吐”的网络环境，满足分布式应用的高性能需求，使整网吞吐最高、时延最低；其次是网络 23 与应用系统的融合优化。其关键点在于发挥网络设备负责连通的天然物理位置优势，与计算、存储系统进行一定层次的配合，以提高应用系统的性能。（六）探索前沿安全（六）探索前沿安全架构，架构，构筑构筑网络精准防护模式网络精准防护模式 金融科技发展

47、规划（20222025）提出“架设安全泛在的金融网络”的发展目标。数据和信息安全是金融的生命线，安全成为金融IPv6网络的关键能力。传统的金融安全架构以网络边界防护为核心，数据中心内外网分界被视为防护的重要网络边界。通过部署防火墙、入侵检测、抗DDoS攻击等安全产品实现防护。随着虚拟化和容器等新技术的涌现，多种设备和人员出现泛在接入要求，传统网络安全边界逐渐消失，基于边界的网络安全架构难以应对当前的网络威胁。针对上述金融网络风险，业界提出基于零信任的金融安全方案，构建新的以身份为边界的安全防护框架。零信任安全架构结合全网态势感知，从全局视角提升金融IPv6网络整体安全威胁识别准确率，加快威胁响

48、应处置速度。零信任安全架构主要包括两个方面：一是用户接入（如业务的用户、业务员、运维人员等）的零信任体系。主要聚焦在对金融应用与数据的安全分级，结合用户接入身份，进行细粒度权限管控；二是设备接入的零信任体系，聚焦接入金融系统的终端（包括移动终端、物联终端、桌面终端等）的安全零信任接入。通过按需分配和最小权限管控，大大降低资源的可见性，大面积减少 24 攻击暴露面，保障业务安全。（七）加快（七）加快组播技术革新，增进行情数据转发效能组播技术革新，增进行情数据转发效能 行情发布系统的稳定可靠对于证券市场的健康运营和发展至关重要。基于组播技术可构建多级行情接收网络，提供实时、稳定、准确的证券行情数据

49、。各券商机构通过专线连接到交易所，接收交易所通过组播技术推送的行情信息并复制分发给各个营业厅。传统的组播协议（如PIM等）要求设备为每条组播流显式建立组播分发树，且分发树中每个节点均需维护组播状态。当有新的组播用户加入时，需要将用户从网络边缘的组播流接收设备逐跳加入到组播树中，网络运维复杂，扩容困难。随着IPv6规模部署的推进，证券行业广域网逐渐向IPv6演进，通过引入BIERv6为代表的下一代组播技术，将组播报文目的节点的集合信息以比特串的方式封装在报文头部发送，不需要为每条组播流建立组播分发树及保存组播流状态，有效减少对资源的占用，简化网络运维，业务响应更快，从而有效提升了证券行情数据转发

50、网的大规模组网和运维能力。（八八）实施）实施安全泛在物联，拓展智慧金融服务边界安全泛在物联，拓展智慧金融服务边界 随着仓储物联网金融、货运物联网金融、公共服务物联网金融等创新服务模式的不断涌现，IPv4地址资源短缺的问题日益凸显。IPv6拥有巨大的地址资源和技术潜力，可以充分满足物联网海量连接需求。25 物联网端到端升级和改造涉及“云、管、边、端”四个方面。其中网络基础设施最先具备双栈能力，支持IPv6业务承载。物联网云平台、应用系统和终端设备逐步推进IPv6全面升级改造，边缘计算不断下沉到业务场景、物联网终端设备周边。同时，具备开放能力的物联网相关创新应用也在不断探索推进。一是通过部署Wi-

51、Fi6与物联网融合的物联网AP，实现IPv6网络与物联网络互通，将海量物联数据高效传输到大数据分析平台，有力支撑金融业务的创新；二是利用边缘计算等技术就近提供IPv6边缘智能服务，满足敏捷联接、实时采集和应用智能的要求；三是加强IPv6终端管理能力。通过物联终端业务流量的行为分析、物联协议深度解析，实现差异化服务保障、异常行为安全检测等。四、存在问题及发展展望（一）存在问题（一）存在问题 1.1.改造部署仍需深化改造部署仍需深化。一是网络设备。一是网络设备 IPv6IPv6 覆盖度不够。覆盖度不够。如数据中心 IPv6 网络改造主要集中于外网即互联网区，但 DMZ 及内网领域的 IPv6 改造

52、进度缓慢。二是内外网应用改造深度不足。二是内外网应用改造深度不足。部分网站和应用 IPv6 改造不够彻底，互联网应用放流引流还有较大提升空间。应用系统、数据库及云平台的 IPv6 适配性有待提升。三是应用基础设施三是应用基础设施 IPv6IPv6 支持度不高。支持度不高。早期建设的数据中心、终端、服务器及部分域名解析、负载均衡系统等应用基础设施 IPv6 支持度不高。26 2.2.技术支撑尚存不足。一是技术支撑尚存不足。一是 IPv6IPv6 安全防护体系不够完善。安全防护体系不够完善。IPv6 海量地址规模引入的安全漏洞、IPv4 向 IPv6 过渡中存在的安全隐患、IPv6 与物联网结合带

53、来的安全风险等，使 IPv6安全防护体系需进一步完善。二是二是 IPv6IPv6 网络承载能力亟待提网络承载能力亟待提升。升。分布式架构转型加速推进带来网络流量大幅增长，对网络带宽、时延、可靠性等网络承载能力指标提出了更高要求。三三是是 IPv6IPv6 融合应用研究需要深入。融合应用研究需要深入。网络资源按需调度及云上业务差异化保障能力不足，数据中心网络性能对 AI、大数据及分布式存储等新技术应用支撑不够，IPv6 网络自动化、虚拟化、智能化运维水平不高，需要在智能化 IPv6/“IPv6+”网络架构、全 IP 及无损以太网络创新技术、自智网络框架等方面进行深入研究。3.3.标准体系有待完善

54、。标准体系有待完善。一方面，一方面，随着 IPv6 规模部署和应用的不断深入发展，IPv6 发展指标需要进一步深入研究，同时需要不断完善金融业 IPv6 发展监测平台，扩展监测范围，提高 IPv6发展情况监测能力。另一方面，另一方面，IPv6 规模部署和应用等技术标准体系尚不够完备，对于金融业 IPv6 发展演进、规划设计、建设选型等的支持和规范性指导有待加强。（二）发展展望（二）发展展望 “十四五”以后金融科技进入高速发展期，金融数字化转型逐渐加速，数字基础设施更加先进，关键核心技术应用逐步深化。金融IPv6网络作为新型数字基础设施的重要组成，对充分释放金 27 融数据要素价值、全面提升金融

55、服务能力将持续发挥不可替代的作用，促进实现“无处不在的联接，无所不及的智能”。1.IPv61.IPv6规模部署和应用创新将持续深入，促进金融数字化转规模部署和应用创新将持续深入，促进金融数字化转型发展。型发展。IPv6联接能力不断增强、应用场景日益丰富。金融业积极稳妥推进IPv6与“IPv6+”创新和实践，“向上”构筑智慧云网，推动金融应用入云，畅联大数据、云计算；“向下”向网络边、端延伸，源源不断输送智慧和算力，打造泛在智慧物联，充分释放网络潜能，为金融数字化转型高质量推进不断培育新动能。2.2.金融网络能力不断演进，优化金融服务体验。金融网络能力不断演进，优化金融服务体验。金融业务场景和应

56、用类型日益丰富和多元化，对金融IPv6承载网络的业务体验和精细化管理能力不断提出更高要求。“IPv6+”技术将进一步发挥自身灵活扩展、应用感知、精细处理的优势，实现智能计算、流量调度和策略执行，打造高质量和高SLA保障的联接，满足不同金融场景、用户和业务要求，促进金融服务体验优化。3.3.金融网络自智网络框架逐步完善，提升金融服务质效。金融网络自智网络框架逐步完善，提升金融服务质效。金融IPv6/“IPv6+”网络技术将结合大数据计算、AI等技术，构建全真可视的网络数字世界，重构网元数据面、管控面，扩增知识面，支撑网络设备的自决策、自演进，构筑网络零等待、零接触、零故障、自配置、自修复，实现自

57、优化的“自智”能力，助力金融服务质效提升。4.4.金融网络安全防护体系持续加强，保障业务稳定运行。金融网络安全防护体系持续加强，保障业务稳定运行。安全可靠的网络基础设施是金融转型与创新发展的“数字底座”。28 随着金融数字化加速变革，金融IPv6/“IPv6+”网络将结合态势感知、零信任网络、区块链、量子加密等热点技术，不断巩固和发展可持续的网络安全防护体系，真正筑牢金融信息安全和数据安全的堤坝，为金融业务平稳运行提供基础保障。5.5.“IPv6+IPv6+”实践场景将不断扩展，带动关键核心技术创新”实践场景将不断扩展，带动关键核心技术创新发展。发展。金融业是国家探索IPv6创新应用的重要行业

58、之一。金融科技创新应用水平已位居全球前列，但是在关键核心技术的自主能力上仍需不断提高。围绕金融业务和服务的实际需求，以应用场景为牵引，通过“IPv6+”自主技术创新体系带动金融全产业上下游开放协同，推动关键核心技术持续迭代完善，不断打造具有竞争力、可商业化运营的网络创新产品，为金融网络安全、信息安全和供应链安全奠定坚实基础。29 附录 1：金融业 IPv6 规模部署和创新应用实践案例（一）（一）中国工商银行股份有限公司中国工商银行股份有限公司 1.1.提高战略认识，发挥示范先行提高战略认识，发挥示范先行 工行于 2017 年启动了 IPv6 试点研究工作，并在当年 11 月推出首个 IPv6

59、国际化门户网站，成为国内首家应用 IPv6 网络对外提供服务的大型金融机构。2019 年工行启动 IPv6 规模部署实施工程，成立了由高管牵头的 IPv6 规模部署专项工作领导小组。在领导小组的统筹领导和各实施单位的密切协同下，工行从互联网接入环境、服务器区域基础设施、互联网应用、安全系统和运维管理系统五个维度快速有序推进各项工作。2019 年完成集团及分支机构门户以及用户规模排名首位的手机银行的 IPv6 投产，2020 年 10 月全面完成包括网上银行、融 e 联、工银 e 生活等在内的所有面向公众服务的互联网应用的 IPv6 部署，实现应改尽改。2.2.规模部署应用，赋能业务创新规模部署

60、应用，赋能业务创新 工行在推进 IPv6 规模部署应用的过程中，首先，将安全生产摆在突出重要的位置，从程序研发、测试、基础设施规划和管理、安全运维能力保障等全环节加强管控，采用一步到位的双栈技术，实现了技术改造过程中的业务连续高可用。其次，以互联网应用作为切入点和突破口，进行云、管、端协同改造，形成了涵盖互联网网络环境、基础设施管理、安全生产保障等数十个方面的经验积淀。在“科技驱动、价值创造”工作思路的引领下，30 工行积极探索基于 IPv6 的特色金融应用创新，构建丰富的金融应用场景。2021 年 9 月工行在银行同业中率先完成广域骨干网SRv6 部署，实现了多业务的 SRv6 统一承载以及

61、不同业务的差异化 SLA 路径承载、及时调优和错峰传输。2022 年工行一方面开展数据中心和分支机构内网 IPv6 改造工作，另一方面积极探索实践“IPv6+”新技术，通过在骨干网络部署 IFIT 随流检测，显著提升了流量检测的实时性和有效性；此外，为了实现网络对应用的精细化感知和保障，同步开展了 APN6 的试点部署。IPv6+的发展应用已逐渐成为业界共识，工行将积极参与行业的融合创新，以实际行动持续助力 IPv6+产业的健康发展。（二）（二）中国农业银行股份有限公司中国农业银行股份有限公司 1 1.步步为营，稳步推进步步为营，稳步推进IPv6IPv6规模部署规模部署 农业银行于2017年启

62、动全行IPv6部署工作，成立常设的IPv6规模部署工程组织机构，由分管行领导任工程领导组组长，由科技与产品管理局牵头，组织研发中心和数据中心开展工程实施。建立健全规范及技术指引，完成技术栈支持情况调研和摸排，针对网络、系统、应用均进行了充分技术验证，形成成熟技术方案，充分验证各类基础件在双栈下的运行可靠性和稳定性。截至2020年12月31日完成全部面向公众服务的互联网应用IPv6支持改造，圆满完成试点验证、初期部署、规模部署等阶段性任务，全部达到监管的考核要求。2 2.全速出击，大力实践全速出击，大力实践IPv6IPv6技术创新技术创新 31 从2021年起，农业银行IPv6部署进入提升创新阶

63、段。利用IPv6良好的协议扩展性积极探索创新应用，在骨干网结合SR技术开展SRv6承载网建设，2021年完成了SDN-WAN 3.0骨干网架构建设，为全行业务提供智能共享的网络承载平台。在SRv6 Policy组网基础上，行业内首次提出端到端SRv6总体目标和技术方案，计划分四个阶段，完成全行骨干网、分支机构接入网IPv4/IPv6部署及内网试点应用IPv6改造工作。基于“IPv6+”技术升级现有的骨干网和分支机构接入网，采用了多种“IPv6+”1.0和2.0的技术，包括SRv6 Policy、IFIT、SRv6 SD-WAN等，提升网络架构的智能化和可视化水平；结合内网试点应用，实现内外网I

64、Pv6应用的融合承载和智能保障，应用SRv6/VxLAN协议转换机制解决端到端SRv6组网中的重要难题，完成IPv6技术创新和融合应用试点，构筑一个自上而下覆盖云、管、端、边的全IPv6承载网络，提供多业务隔离、智能流量调度、全链路流量跟踪、业务快速开通等网络服务能力。（三）（三）中国银行股份有限公司中国银行股份有限公司 中国银行于2019年底正式启动IPv6规模部署工作，针对面向公众服务的互联网域名进行IPv4/IPv6双栈支持改造。改造工作分为三条工作主线，基础设施改造提供双栈系统平台支持，应用改造完成应用功能接口适配，制度规范更新定义常态化 IPv4/IPv6 双栈支持标准。对于IPv6

65、协议的技术储备和发展情况，近年来中行取得了长 32 足的发展。首先，IT架构转型升级工作上升至全行战略层面。对于IPv6协议的支持和推广，按照新建生产分区双栈建设、现有环境根据可行条件逐步推进的策略稳步推进。其次，中行将IPv6协议支持能力作为下一代骨干网建设工作重点之一全力推进部署和升级，对于下一代骨干网中心到分行SRv6建设与部署制定详细的工作计划，明确升级方案和升级资源投入。第三，统筹总行各园区网络基础设施IPv6部署现状，制定了详尽的园区网升级改造方案。在IPv6部署改造过程中，中行成立了专项工作领导小组和工作组，加强资金保障和人才队伍建设，确保试点改造项目按计划推进实施。从资金投入、

66、改造实施难度、运维复杂度等方面进行完备的技术论证，明确了整体的改造方案采用IPv4/IPv6双栈支持的技术路线，通过复用已有的网络设备、计算设备、虚拟化、云平台、系统软件及外设等软硬件资源，实现了基础设施层面资源的集约化使用，有效控制了运维复杂度，满足了监管技术指标要求，也为同业提供了可借鉴的实施案例。（四）（四）中国建设银行股份有限公司中国建设银行股份有限公司 2020年底建行所有互联网应用系统全部支持 IPv6 服务，完成了近百个互联网应用系统及相关联内部系统改造，涉及域名 450+个，整体投产完成率100%，圆满完成一行两会的监管要求及国家战略规划要求。在国家IPv6战略、“十四五”规划

67、指引和中国建设银行三大 33 战略全面推进要求下，建设银行创新性采用IPv6、SRv6 Policy、云网融合等新兴技术，成功打造了金融业界首家基于SRv6 Policy技术栈的新一代智能云骨干网络，助力建行充分发挥建行云优势、提升网络服务交付效率、保障业务体验，有力支撑了建行的“TOP+2.0”金融科技战略，满足建行未来金融业务进一步向IPv6演进的要求。同时，建行积极试点物联网和IPv6的结合，在2019年启动建设物联网平台的基础上，提出物联网IPv6改造试点工作，以“云、管、边、端”四层为主线，逐步在各个层级进行IPv6部署、升级和改造，最终实现物联网IPv6全覆盖。在IPv6发展建设推

68、进过程中，建行切实保障了IPv6规模部署各阶段资金需求，有计划地培养业务强、技术精的IPv6人才队伍，致力于提升IPv6环境下人才的系统建设和安全保障能力。在制度机制上，建行充分发挥主体能动性，将IPv6相关工作纳入总部科技部门及下辖机构的工作考核中，确保各项目按期保质完成。（五）（五）交通银行股份有限公司交通银行股份有限公司 自2018年以来，交通银行以IPv6规模部署为主线，以互联网应用改造为方向，全力以赴推进交银集团IPv6规模部署工作。完成互联网应用系统的相关系统、网络、安全软硬件基础设施的升级改造，实现所有面向公众服务的互联网应用支持IPv6连接服务。53套互联网应用进行了IPv6改

69、造，均对外提供IPv6连接服务。实现了客户到服务器端到端的IPV6环境建设，覆盖包括公网DNS、34 CDN、SSL、路由器、交换机、负载均衡、服务器等关键节点。目前用户实际访问IPv6流量占比总共已超40%，圆满完成既定部署任务。2021年开始，交通银行基于SRv6技术开展数据中心互联（DCI）网络建设，并纳入新一代企业级骨干网络建设的一部分。一二级骨干网及移动业务、外联业务拓展方面，联合中国电信、华为制定了5G全域智能金融云专网建设方案，并在2022年8月的世界5G大会上入选十佳应用案例。目前交通银行已根据该方案在上海、浙江、青岛、重庆等分行进行了多个试点场景的建设，全面验证了方案的可行性

70、，并正在逐步推广5G金融云专网建设。交通银行推进IPv6规模部署给予极高重视，将新一代企业级骨干网建设作为重点关注项目实施推进，在资金及制度机制方面提供保证。同时在重视内部人才团队建设的同时，积极补充专家团队的支持，目前已经形成架构完整分工明确的网络建设团队。（六）（六）中国光大银行股份有限公司中国光大银行股份有限公司 光大银行作为IPv6改造行业示范机构，以完成所有面向公众服务的互联网应用系统的软硬件基础设施改造、实现从互联网到Web服务器全路径IPv4/IPv6双栈改造为目标，积极展开金融领域公共管理、民生公益等服务平台的IPv6改造。并根据实施意见要求，制定了三步走的改造战略：1.201

71、9年底完成IPv6试点网络区域的建设，并实现门户网站和云缴费移动APP两个系统进行IPv6试点改造上线。2.2020年继续稳步推进全行面向公众服务的互联网应用系 35 统的IPv6改造工作，并在11月底完成所有面向公众提供服务的53个存量应用系统IPv4/IPv6双栈改造。3.2021年起持续完成面向公众服务互联网新增应用系统的IPv6改造、健全IPv6监控运维体系和完善网络安全管理制度与能力。截至6月底，面向公众服务的59个应用系统已全部支持IPv4/IPv6双栈，圆满完成了既定改造目标。在IPv6部署改造过程中，光大银行在管理上通过组织架构、规章制度进行保障，在技术上综合考虑网络层、系统层

72、、应用系统开发改造、运行监控、安全配套等多个维度，在改造方式上按照由基础设施自底向上的改造顺序进行，顺利完成全量面向公众服务应用系统的改造工作，取得了较好的成果。后续将持续推进IPv6网络的规模化部署，促进下一代互联网与金融业系统的深度融合，探索IPv6技术创新与业务整合的新应用、新模式、新业态。（七）（七）广发银行股份有限公司广发银行股份有限公司 广发银行采用NAT64和IPv4/IPv6双栈改造相结合的方式开展IPv6改造工作，通过向CNNIC申请IPv6地址、IPv6互联网线路与运营商使用BGP动态路由协议对接的方案，实现所有面向公众服务的互联网应用系统支持IPv6连接访问，提升了IPv

73、6用户的访问体验，按监管要求顺利完成2020年IPv6改造工作任务。改造实施完成至今，所有面向公众服务互联网应用和IPv6网络安全稳定运行。广发银行高度重视IPv6规模部署工作，成立领导小组并纳入 36 年度重点工作执行。落实资金保障，制定各项工作机制及计划，确保IPv6改造工作有序平稳推进。实施前积极通过技术调研及技术方案和实施步骤的论证，逐步培养一批业务强、技术精的IPv6人才队伍。实施过程中同步制定了2020年至2025年全行网络架构、业务应用系统、运维支撑系统、网络安全等IPv6演进原则、演进策略、演进路线，明确应用系统IPv4/IPv6双栈改造标准，并发布全行IPv6地址规范。（八）

74、（八）安徽省农村信用社联合社安徽省农村信用社联合社 基础资源改造：基础资源改造：2019年完成生产互联网区域IPv6/IPv4双栈网络建设；2020年对灾备中心互联网业务网络安全设备进行升级替换，增加IPv6的AAAA域名解析记录、配置双活同步、优化网络监控等。应用系统改造：应用系统改造：完成了企业网银、个人网银、手机银行、金农信e付、云缴费、微信银行等互联网应用改造共15个；农商银行自建互联网应用改造共12个；农商银行网站群站点改造共85个（含村镇银行）。在推进IPv6改造任务过程中，省联社与农商银行两级高效协作，有序分工、密切配合。省联社制定了安徽农村商业银行系统外联类应用网络接入技术规范

75、（试行），为农商银行自建网络提供了规范指导。并成立专业团队，开展相关知识体系培训，确保IPv6改造完成后可自主运维。同时对项目提前规划、合理预估，做好项目经费保障。37 （九）（九）国泰君安证券股份有限公司国泰君安证券股份有限公司 证券行业具有交易时间集中、市场高速变化、交易应用软件形态多样等特点，系统改造适配的环境较为复杂。当前，国泰君安证券股份有限公司各类网站及APP、PC客户端均已实现IPv6网络全面覆盖，并实现了客户无感切换。2019年底，完成总部官网及24个分支机构网站的IPv6试点改造工作，并投入生产运行。同时，利用基于IPv6的SRv6新一代路由技术，搭建了国泰君安新一代骨干网。

76、充分发挥IPv6骨干网在全网流量调优、拥塞保护、运维等方面的优势。2020年底，实现所有面向客户的Web服务均已支持IPv6，君弘APP完成所有接入服务对IPv6的支持。并完成富易客户端的IPv6改造工作，分别对客户端和接入网关进行了适配改造，在客户端联机效率、网关联机数、网关接入转发效率、用户无感知等指标上，都做到了稳定支持。（十）（十）华泰证券股份有限公司华泰证券股份有限公司 2019年初，华泰证券启动IPv6部署相关工作。通过持续摸索和总结，逐步形成五横向（网络、安全、应用、运维、保障措施）及三纵向（web应用、APP应用、PC应用）的规范化部署体系。1.1.基础网络部署基础网络部署：从

77、基础网络及安全、基础平台及相关支撑系统等方面全面推进IPv6的部署。并完成生产基础网络的IPv4/IPv6双栈改造；完成DNS的架构改造，支持IPv4/IPv6双栈服务；通过合作实现授权DNS在IPv4/IPv6双栈情况下的抗DDoS能 38 力。完成对IPv6不支持的硬件设备全面替换更新，完成Nginx、协议网关等基础软件平台的IPv6版本测试及升级。完善IPv4/IPv6双栈情况下的网络监控、对比分析能力。2.2.应用系统部署应用系统部署：明确提出新增应用系统需支持IPv6，并采取双栈模式推进后续所有应用系统的开发及部署。针对web应用、APP应用、PC应用制定不同的架构改造方案，引入HT

78、TP DNS及IPv6用户接入控制均衡算法，实现IPv4/IPv6双栈情况下用户由IPv4向IPv6迁移的性能和容量管理及双栈之间互为容灾能力。完成22个应用系统的IPv6改造开发并上线运行。自研的涨乐财富通作为行业内用户体量最大的APP（用户规模高达1482万）也已经完成IPv4/IPv6双栈部署。在IPv6部署改造工作推进过程中，华泰证券成立由网络、安全、产品、运维等团队组成的专项工作组，制定华泰证券IPv6规模部署三年行动方案，加大相关基础设施、软硬件系统、安全防护在人、财、物上的投入。（十一）（十一）中国人民保险中国人民保险集团股份有限公司集团股份有限公司 2018年初，中国人保集团即

79、启动集团内部IPv6互联网改造规划，并于同年向CNNIC正式申请获取到IPv6地址段、互联网公域AS号码等基础资源。同年，率先在北京数据中心成功上线基于IPv4/IPv6双栈的虚拟化数据中心网络，实现IPv4/IPv6双栈智能云网络部署方案落地。2019年，建设完成北京和佛山两地数据中心互联网区域IPv4/IPv6双栈基础环境。2019年4月11日，发布国 39 内金融行业首个支持IPv6和5G网络通信的APP。2020 年，集团及辖内人保财险全面完成所有面向互联网业务系统的 IPv4/IPv6 双栈改造以及周边硬件环境的 IPv6 安全性和功能性改造。通过将全局负载均衡系统引入 IPv4/I

80、Pv6 双栈环境，实现 IPv4/IPv6 双栈互联网应用在北京数据中心与佛山数据中心异地容灾。2021 年，人保集团 IPv6 部署进入持续建设阶段。完成集团辖内各主要子公司面向互联网试点应用的改造，并启动数据中心内 IPv6 单栈部署方案论证工作，为后续在集团内推广成熟部署模型建立开端。同时强化流程管控，将 IPv6 推广建设工作内容融入预算申请、项目研发、运维流程等项目各阶段流程中，并积极探索新技术、新业态领域与 IPv6 的技术结合，推动 IPv6 在新兴领域落地。（十二）（十二）华为技术有限公司华为技术有限公司 华为公司践行 IPv6 国家战略，以“IPv6+”先进技术理念为指引，以

81、深耕金融领域 IPv6 部署和应用创新实践经验为基础，重点推进和发展了 SRv6、网络分片、DetNet、IFIT、BIERv6、APN6等“IPv6+”协议创新，以及以网络分析、网络自愈、自动调优等为代表的网络智能化技术创新。并在国际、国内主要标准组织中，华为成为“IPv6+”标准草案的主要贡献者。借助“IPv6+”技术并结合金融业场景，华为公司推出以“IPv6+”为技术底座的领先的金融云网解决方案，助力金融业 40 加快数字化转型，驱动业务从“稳态”加速向“稳态+敏态”模式转变。通过打造“三稳三快”的双态架构，为金融企业提供“网络稳、运维稳、防护稳”的稳态架构，可确保 7*24 小时业务连

82、续性，保障金融服务安全可靠；同时打造“应用上线快、分支上云快、云网调度快”的敏态架构，实现新业务快速上线，提升业务部署效率。1.1.在广域网领域，在广域网领域，通过领先的 SRv6 广域网方案，支持 20+金融客户包括银行、保险、证券等各个细分行业的“IPv6+”骨干网建设，支持金融业率先在广域网领域实现“IPv6+”规模部署。2.2.在分支网点互联领域，在分支网点互联领域，华为基于 SRv6 的广域一张网方案也实现了试商用部署，为该领域的“IPv6+”演进探索出一条可行路径。3.3.在数据中心领域在数据中心领域，华为积极支持多家金融机构实现了互联网区、核心生产区的 IPv6 双栈改造和建设，

83、积极探索全 IP 存储网络的 IPv6 创新架构，有效支撑金融业数据中心 IPv6 持续演进。41 附录 2：“IPv6+”创新技术体系概述“IPv6+”是IPv6下一代互联网的升级，是面向5G和云时代的IP网络创新体系。“IPv6+”在超宽、广联接、确定性、低时延、自动化和安全等多个维度全面提升IP网络能力，可以满足灵活组网、业务快速开通、用户体验优化、差异化质量保障、网络运维简化等需求。“IPv6+”包括三方面内容：一是以IPv6分段路由、随流检测、网络切片、新型组播和应用感知为代表的网络技术体系创新。二是以网络故障主动发现、健康感知、自动调优、网络智能自愈为代表的智能运维体系创新。三是以

84、5G to B、云间互联、用户上云、网安联动为代表的网络商业模式创新。“IPv6+”典型网络技术创新见表4。表4“IPv6+”典型网络技术创新 典型技术典型技术 技术特点技术特点 典型应用场景典型应用场景 核心价值核心价值 分段路由 SR 技术和 IPv6 相结合的新一代 IP 承载协议，是对网络架构的革命性简化。将报文转发路径切割为不同的分段，并在路径起始点向报文中插入分段信息，中间节点只需要按照报文携带的分段信息转发即可。广域网络，流量调度。协议简化，路径编程调优。随流检测 一种通过对网络真实业务流进行特征标记，能够直接检测网络的时延、丢包、抖动等性能指标的检测技术。业务质量监控，网络运维

85、。业务质量即时感知，故障快速定界。42 典型技术典型技术 技术特点技术特点 典型应用场景典型应用场景 核心价值核心价值 网络切片 在同一个共享的网络基础设施上提供多个逻辑网络，以满足不同业务、行业或用户的差异化需求。多业务差异化承载。资源隔离，差异化 SLA保障。新型组播（BIERv6）一种新型组播方案。将 IPv6 网络中组播报文目的节点的集合以比特串的方式封装在报文头部发送，网络中间节点无需为每一条组播流建立组播分发树和保存流状态，仅需根据报文头部的比特串完成复制转发。视频组播，行情发布。简化组播协议复杂度，简化部署。应用感知网络（APN6）利用 IPv6/SRv6 的可编程空间携带应用信

86、息及其需求，使网络能够快速感知应用并为其提供优质的差异化服务。网络根据报文携带信息匹配网络对应策略，并选择相应 SRv6 路径进行转发。业务上云，云间互联。应用驱动网络编程，精细化运营。无损以太网络 借助 RoCEv2 技术实现前端业务网络、后端计算网络、存储网络三网全 IP 全以太化，统一技术栈统一管理。通过 AI 智能无损算法，解决 IP 网络拥塞，保证网络 0 丢包的基础上实现最高吞吐、最低时延，加速计算和存储的效率。本地存储、同城复制，异地灾备。全以太融合网络，无丢包、低时延、高吞吐。“IPv6+”技术已经成为IPv6发展演进的主导技术方向。因 43 特网工程任务组（IETF）和中国通

87、信标准化协会（CCSA）是“IPv6+”关键技术标准化的权威组织，欧洲电信标准协会（ETSI）成立IPE工作组，发起制定IPv6新兴业务场景和端到端参考架构。当前，SRv6架构、数据面封装、网络编程、Policy架构已在IETF正式完成标准化（RFC 8402/8754/8986/9256），为“IPv6+”技术体系奠定了坚实基础，其他“IPv6+”技术的各项标准正在加紧制定中。“IPv6+”典型技术标准见表5。表5“IPv6+”典型技术标准分布 标准课题标准课题 IETFIETF CCSACCSA “IPv6+IPv6+”1.01.0 SRv6 需求、框架、协议扩展 框架、协议扩展“IPv6

88、+IPv6+”2.02.0 VPN+架构，管理模型，数据面扩展，控制面协议扩展 架构，管理接口，数据面/控制面扩展 IFIT 框架、协议扩展 需求、框架、协议扩展 BIERv6 需求、封装、协议扩展 封装、协议扩展 SFC 需求、封装、协议扩展 封装、协议扩展 DetNet 需求，架构，数据面，控制面 架构、数据面、控制面 G-SRv6 需求、封装、协议扩展 封装，协议扩展“IPv6+IPv6+”3.03.0 APN6 需求、框架、协议扩展 框架、协议扩展“IPv6+”技术创新体系在金融业标准化工作中同样得到高度重视。基于SRv6的金融广域网络技术要求金融行业标准已经立项，面向新型金融应用的全

89、IP数据中心网络技术要求金融团体标准已经正式发布。44 以标准体系为指引，“IPv6+”得到了金融机构、设备厂商和研究机构的广泛支持。在技术探索、产品研发、联合创新、商业部署上取得了重要的阶段成果。45 缩略语 缩略语缩略语 英文全称英文全称 中文说明中文说明 AAAA Authentication、Authorization、Audit、Account 认证管理、授权管理、审计管理、账户管理 AP Access Point 接入点 APP Application 应用 AS Autonomous System 自治系统 BGP Border Gateway Protocol 边界网关协议 B

90、IERv6 Bit Index Explicit Replication IPv6 Encapsulation 基于IPv6的无状态组播转发机制 CDN Content Delivery Network 内容分发网络 CMDB Configuration Management Data Base 配置管理数据库 CNNIC China Internet Network Information Center 中国互联网络信息中心 DCI Data Center Interconnect 数据中心互联 DDoS Distributed Denial of Service attack 分布式拒绝服

91、务攻击 DHCP Dynamic Host Configuration Protocol 动态主机配置协议 DMZ Demilitarized Zone 隔离区 DNS Domain Name Server 域名服务器 IFIT In-situ Flow Information Telemetry 随流检测 IPS Intrusion Prevention System 入侵预防系统 46 缩略语缩略语 英文全称英文全称 中文说明中文说明 IPv4 Internet Protocol version 4 互联网协议第四版 IPv6 Internet Protocol version 6 互联网

92、协议第六版 IPv6+Internet Protocol version 6 plus 下一代互联网的升级 LDNS Local DNS 本地域名服务器 NAT Network Address Translation 网络地址转换 PIM Protocol Independent Multicast 协议无关组播 RoCEv2 RDMA over Converged Ethernet version 2 基于融合以太网的RDMA第二版 SDN Software-defined Networking 软件定义网络 SD-WAN Software-Defined Wide Area Network

93、 软件定义广域网 SLA Service-Level Agreements 服务水平协议 SLAAC StateLess Address Auto Configuration 无状态地址自动配置 SRv6 Segment Routing version 6 IPv6 分段路由 SSL Secure Socket Layer 安全套接层 VxLAN Virtual eXtensible Local Area Network 虚拟可扩展局域网 WAC Wireless Access Controller 无线接入控制器 WAF Web Application Firewall Web应用防火墙 W

94、i-Fi Wireless Fidelity 一种短程无线传输技术 47 参考文献 1 国发201228号“十二五”国家战略性新兴产业发展规划 2 国发201331号“宽带中国”战略及实施方案 3 国发201673号“十三五”国家信息化规划 4 厅字201747号 推进互联网协议第六版（IPv6）规模部署行动计划 5 工信部通信函201995号 关于开展2019年IPv6网络就绪专项行动的通知 6 工信部通信202134号“双千兆”网络协同发展行动计划（20212023年）7 中网办202112号 深入推进IPv6规模部署和应用2021年工作安排 8 中网办202115号 关于加快推进互联网协

95、议第六版（IPv6）规模部署和应用工作的通知 9 工信部联通信202184号 IPv6流量提升三年专项行动计划（20212023年）10工信部规2021164号“十四五”信息通信行业发展规划 11中网办通字202122号关于开展IPv6技术创新和融合应用试点工作的通知 12银发2018343号 关于金融行业贯彻推进互联网协议第六版（IPv6）规模部署行动计划的实施意见 13银科技201933号 金融行业IPv6规模部署技术验证指标体系V1.0 14银发2021335号 金融科技发展规划（20222025年）15银发202218号 金融标准化“十四五”发展规划 16YD/T 23952012 基

96、于IPV6的下一代互联网体系架构 17北京金融科技产业联盟.T/BFIA 0132022 面向新型金融应用的全IP数据中心网络技术要求 18RFC 8402 分段路由框架（Segment Routing Architecture）19RFC 8279 基于比特索引显式复制的组播(Multicast Using Bit Index Explicit Replication(BIER)20吴仲阳等.“安全泛在的金融网络架设探索”M中国金融科技发展报告(2022)21推进IPv6规模部署专家委员会.“IPv6+”技术创新愿景与展望，2022 22中国科学院科技战略咨询研究院.中国“IPv6+”产业生态的价值、战略和政策研究