​基于IPv6下一代网络架构的雪亮工程——沈阳市和平区信息中心IPv6规模部署和应用案例

一、背景

为贯彻落实党中央、国务院关于建设网络强国的战略部署，加快推进基于互联网协议第六版（IPv6）的下一代互联网规模部署，促进互联网演进升级和健康创新发展，根据《国家信息化发展战略纲要》、《“十三五”国家信息化规划》，沈阳市和平区（以下简称“和平区”）推进雪亮工程（智慧和平）项目（以下简称“雪亮工程”）建设，在创新特色标杆应用、支持地址需求量大的新型智慧城市特色IPv6应用创新与示范中，大胆尝试、勇于创新，率先采用IPv6单栈面向下一代网络架构方案，取得了良好的应用成效与社会效应。

二、案例描述

（一）案例介绍

雪亮工程自2019年9月开始建设，项目于2020年12月完成验收并正式投入使用。此次前端共建设3000个监控探头并配套相应后端服务，核心层控制设备采用面向下一代网络技术的数据交换网络和安全体系系统。目前，和平区已经成为国内首个完成IPv6架构下大规模公共安全视频联网、信息传输、交换、控制方案组网与应用的示范区。

（二）实施方案

网络结构采用基于IPv6标准的核心、汇聚、接入三层架构，通过防火墙将业务区划分为网络安全运维区、视频控制业务区、视频存储区、外网调用区等。

雪亮工程组网架构

前端摄像机：均采用基于IPv6的GBT28181新国标标准协议，内置新开发的DHCPv6客户端模块，支持DHCPv6动态获取IPv6地址等信息。

接入网络：在社区部署交换机进行摄像机业务接入，通过部署OSPFv3 IPv6自动路由协议与核心交换机建立路由。每个社区划分独立的/64子网段，利用IPv6海量地址实现摄像机IPv6地址安全特性。通过物联网安全准入管理平台与前端交换机联动，在网络接入边缘有效防止终端私接。

核心交换区：通过双机部署高端防火与高端核心交换机构建核心交换区。

IPv6资源管理区：部署视频中控平台对前端摄像机进行管控、视频存储调度、视频技战术综合应用；部署智能运维管理平台实现故障自动发现、派单、量化运维考核。

IPv4/IPv6协议交换平台：主要实现IPv4、IPv6资源互访协议转换功能，如和平区公安分局IPv4终端访问IPv6人脸摄像机；政务网内管理人员IPv4终端对雪亮工程十期摄像机进行访问与管理；IPv6平台调用外部IPv4终端数据等。

DDI平台：启动DHCPv6功能对前端摄像机分配IPv6地址，并限制非授权摄像机DHCPv6请求。

安全威胁发现与运营管理平台：部署IPv6态势感知威胁发现管理平台及相应的安全设备，实现对全网安全威胁及时发现、安全运营管理。

安全设备：视频网关实现对IPv6视频流进行安全过滤；漏洞扫描对网络系统进行脆弱性扫描，及时发现安全漏洞；数据库审计设备及时发现数据库异常等问题。

（三）实施效果

为贯彻落实党中央、国务院关于促进IPv6规模部署的要求，沈阳市和平区信息中心（以下简称“信息中心”）将雪亮工程建设与IPv6规模部署有效结合，加快基础设施IPv6化改造，优化流量调度能力，强化网络安全保障，强化地址管理，部署关键前沿技术。

1.面向下一代网络的基础架构IPv6+SDN+DDI

（1）全网部署IPv6单栈，实现新建网络IPv6一步到位，以增量网络建设带动存量网络升级与改造。起到政府引导，典型标杆示范项目作用。通过IPv4/IPv6协议转换平台，实现IPv4/IPv6应用与访问无缝对接，屏蔽信息孤岛，支持未来向IPv6全面升级的平滑过渡。

（2）通过部署DDI平台可实现IPv6地址自动分配，可实现IP资产可视管理、IP地址分配规划全网可视，全程可控，在本次雪亮工程中采用公网IPv6（具有唯一性）地址专网化应用，未来支持与其他专网互通，可支持雪亮工程与辽宁省乃至全国雪亮工程无缝对接。

（3）SDN（软件定义网络）技术的应用实现网络的扁平化，通过SDN控制器进行图形化、集中化管理，减少人工数据配置量，极大简化后期运维管理工作量。

2.政府引导、典型示范、促进产业发展

（1）信息中心大胆尝试、勇于创新，采用面向下一代网络架构方案，推进基于IPv6单栈协议的雪亮工程项目建设，广泛邀请安防领域、网络安全主流厂商，组成“雪亮工程IPv6规模部署联合攻关组”。联合各主流安防设备厂商开发、扩展了GBT 28181-2016《公共安全视频监控联网系统信息传输、交换、控制技术要求》标准，实现基于IPv6的新国标标准对接。

（2）雪亮工程是基于IPv6下一代网络架构，打造IPv6规模部署特色应用的首个大规模地址应用的典型示范标杆工程。具有网络架构典型、技术方案先进、经验可复制等特点。比如核心、汇聚、接入三层组网架构设计中，将接入层交换机部署在社区，通过安全准入方案将控制点部署在社区交换机，对比传统运营商BAS集中接入的方案，本次方案实现安全准入功能前置，结合IPv6地址无限特性，进一步增强网络安全性。同时采用自建网管方案，实现IPv6地址精确溯源定位，在网络运维时可快速定位故障点，有效避免传统运维时责任定位推诿、无法量化考核的问题。