GB/T 44887.10-2024 IPv6演进技术要求 第10部分：支持IP网络切片的增强型虚拟专用网（VPN+）

ICS 33.040.40
CCS L 78
中华人民共和国国家标准
GB/T 44887.10—2024
IPv6 演进技术要求 第10 部分：支持IP
网络切片的增强型虚拟专用网
（VPN+）
IPv6 evolution technical requirements—Part 10：Enhanced VPN（VPN+）for
supporting IP network slicing
2024-11-28 发布2025-03-01 实施
国家市场监督管理总局
国家标准化管理委员会发 布

目　　次
前言 ····································································································· Ⅲ
引言 ····································································································· Ⅳ
1 范围 ·································································································· 1
2 规范性引用文件 ······················································································ 1
3 术语和定义 ··························································································· 1
4 缩略语 ································································································ 1
5 VPN+技术架构 ······················································································ 2
6 VPN+技术要求 ······················································································ 2
6.1 VPN+物理网络 ················································································· 2
6.2 VPN+虚拟网络数据平面 ········································································ 3
6.3 VPN+虚拟网络控制平面 ········································································ 3
6.4 VPN+管理控制 ················································································· 3
7 基于SR 的VPN+流程 ··············································································· 3
7.1 总体描述 ························································································· 3
7.2 拓扑和资源计算 ················································································· 4
7.3 网络资源和SID 分配 ············································································ 4
7.4 SR 虚拟网络 ····················································································· 5
7.5 VPN+业务映射到SR 虚拟网络 ································································· 6
7.6 SR VPN+虚拟网络的呈现 ······································································ 6
参考文献 ·································································································· 7

前　　言
本文件按照GB/T 1.1—2020《标准化工作导则　第1 部分：标准化文件的结构和起草规则》的规
定起草。
本文件是G B / T 4 4 8 8 7 《I P v 6 演进技术要求》的第10 部分。G B / T 4 4 8 8 7 已经发布了以下
部分：
—第5部分：基于IPv6段路由（SRv6）的虚拟专用网（VPN）；
—第10部分：支持IP网络切片的增强型虚拟专用网（VPN+）；
—第11部分：IPv6随流检测技术。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中华人民共和国工业和信息化部提出。
本文件由全国通信标准化技术委员会（SAC/TC 485）归口。
本文件起草单位：中国电信集团有限公司、天翼云科技有限公司、中国联合网络通信集团有限公
司、华为技术有限公司、中国信息通信科技集团有限公司、新华三技术有限公司、上海诺基亚贝尔股份
有限公司、中国移动通信集团有限公司、下一代互联网关键技术和评测北京市工程研究中心有限公司。
本文件主要起草人：龚霞、伍佑明、朱永庆、董杰、刘建锋、范志文、陈端、庞冉、龚立艳、范大卫、
汪俊芳、喻海生、杨冰、王鑫渊、黄永远。

引　　言
根据《关于加快推进互联网协议第六版 （IPv6）规模部署和应用工作的通知》，为加快政务应用改
造、拓展行业融合应用，推动IPv6 规模部署和应用创新成果标准化，我国制定了一系列IPv6 标准。其
中，GB/T 44887《IPv6 演进技术要求》是为规范国家IPv6 部署而制定的标准，拟分为以下部分。
第1部分：参考架构。目的在于规定IPv6演进技术在运营商和行业领域的应用场景，以及在运
营商及行业网络中的部署。
—
第2部分：基于IPv6段路由（SRv6）的IP承载网络。目的在于规定基于SRv6的IP承载网络总体
架构、基于SRv6的设备层技术要求及基于SRv6的管控层技术要求。
—
第3部分：IPv6段路由报文头（SRH）。目的在于规定IPv6段路由报文头（SRH）的格式，以
及SRH在节点处理的技术要求。
—
第4部分：基于IPv6段路由（SRv6）的网络编程。目的在于规定基于SRv6网络编程的数据平
面、控制平面、管理平面。
—
第5部分：基于IPv6段路由（SRv6）的虚拟专用网 （VPN）。目的在于规定基于SRv6的
VPN网络的处理流程和协议消息，包含三层服务和二层服务等实现。
—
第6部分：IPv6段路由（SRv6） 策略 （Policy）。目的在于规定用于支持基于SRv6策略技术
的网络设备的开发、设计和测试等。
—
第7部分：基于IPv6段路由（SRv6）的业务链。目的在于规定基于SRv6的业务链数据面技术要
求、基于SRv6的业务链控制面技术要求。
—
第8部分：基于IPv6段路由（SRv6）的报文头压缩。目的在于规定适用于支持基于SRv6的报文
头压缩的网络设备的开发、设计和测试等。
—
第9部分：基于IPv6段路由（SRv6）的网络故障保护。目的在于规定适用于SRv6组网下常见网
络故障场景，包括SRv6 BE节点/链路失效、SRv6 Policy中间节点/尾节点失效、微环及SRv6
Policy故障场景等。
—
第10部分：支持IP网络切片的增强型虚拟专用网 （VPN+）。目的在于规定增强型虚拟专用
网（VPN+）的技术架构、VPN+技术要求，以及基于SR的VPN+实现流程。
—
第11部分：IPv6随流检测技术。目的在于规定适用于多类型业务承载场景下数据面随流信息的
自动化质量测量，以及IP网络设备随流检测功能研发、测试与部署。
—
GB/T 44887.10—2024
Ⅳ
IPv6 演进技术要求 第10 部分：支持IP
网络切片的增强型虚拟专用网
（VPN+）
1　范围
本文件规定了增强型虚拟专用网（ V P N + ）的技术架构、V P N +技术要求，以及基于SR 的
VPN+实现流程。
本文件适用于支持增强型虚拟专用网（VPN+）的网络设备的研发、测试与应用。
2　规范性引用文件
本文件没有规范性引用文件。
3　术语和定义
下列术语和定义适用于本文件。
3.1
增强型虚拟专用网　enhanced virtual private network；VPN+
在传统虚拟专用网（VPN）的基础上，通过融合新型网络技术和功能而形成的一种网络服务。
注：增强型虚拟专用网能够提供增强的隔离特性，对不同用户网络的资源进行隔离，从而使某个用户网络负载的变
化不会影响其他用户的业务。
3.2
IP 网络切片　IP network slice
IP 网络为特定用户或业务提供的逻辑隔离的虚拟网络。
注：IP 网络切片通过专用或共享的网络资源满足不同用户和业务的差异化连接和服务质量保证需求。
3.3
分段路由　segment routing
应用于MPLS 网络或者IPv6 网络的实现业务路径定制的源路由技术。
注：在MPLS 网络中，分段（Segment）被编码为MPLS 标签。在IPv6 网络中，分段采用IPv6 地址格式，通过分段
路由头（Segment Routing Header）指示转发路径。
4　缩略语
下列缩略语适用于本文件。
BGP﹘LS：边界网关协议﹘链路状态（Border Gateway Protocol﹘Link State）
DetNet：确定性网络（Deterministic Networking）
FlexE：灵活以太网技术（Flex Ethernet）
IGP：内部网关协议（Interior Gateway Protocol）
MPLS：多协议标签交换（Multi﹘Protocol Label Switching）
MPLS﹘TE：多协议标签交换﹘流量工程（Multi﹘Protocol Label Switching﹘Traffic Engineering）
GB/T 44887.10—2024
1
NETCONF：网络配置协议（Network Configuration Protocol）
OAM：操作管理维护（Operations, Administration, and Maintenance）
PCEP：路径计算单元通信协议（Path Computation Element Communication Protocol）
RSVP﹘TE：资源预留协议﹘流量工程（Resource Reservation Protocol﹘Traffic Engineering）
SID：分段标识（Segment Identifier）
SLA：服务等级协议（Service﹘Level Agreement）
SR：分段路由（Segment Routing）
SRH：分段路由头（Segment Routing Header）
SRv6：基于IPv6 数据平面的分段路由（Segment Routing over IPv6 dataplane）
TSN：时间敏感网络（Time﹘Sensitive Networking）
VPN：虚拟专用网络（Virtual Private Network）
5　VPN+技术架构
VPN+构建具有特定网络资源的虚拟专用网络，可实现严格的网络和流量隔离，从而支持严格的网
络服务SLA 保证。VPN+提供了一种IP 网络切片的实现方式。
VPN+的分层网络架构应包括物理网络层、VPN+虚拟网络层和VPN+管理控制层，如图1 所示。
图1　VPN+的分层网络架构
物理网络层由具备节点和链路资源隔离能力的网络设备组成，提供构成各个虚拟网络的网络资源。
物理网络层应采用资源隔离技术，如FlexE、特定专用队列、TSN 等，在网络中建立多个具有定制拓扑
和资源属性的虚拟网络，为不同的VPN+业务提供服务。
VPN+虚拟网络层提供一种IP 网络切片的实现方式。VPN+虚拟网络应通过控制平面分发不同虚
拟网络的拓扑和资源等属性信息，生成每个虚拟网络的路由和转发表。VPN+虚拟网络的数据平面应区
分不同虚拟网络的报文，根据虚拟网络的约束规则进行转发处理。
VPN+管理控制层用于创建虚拟网络，为VPN+虚拟网络分配特定的资源，并进行VPN+虚拟网络
的生命周期管理，如创建、修改、监控和删除。提供用户接口，支持VPN+用户对虚拟网络执行网络管
理操作。
6　VPN+技术要求
6.1　VPN+物理网络
VPN+物理网络应采用FlexE、特定专用队列（dedicated queues）、TSN 等技术实现资源隔离。
GB/T 44887.10—2024
2
FlexE 支持创建一个点到点的拥有特定带宽的Ethernet 接口，不同FlexE 接口承载不同的业务，业务
流量在接口上完全隔离。下游节点收到重组的分组报文后，设备队列和转发应支持不同FlexE 接口的流
量隔离。
不同VPN+用户的流量应导入特定专用队列中，采用信道化子接口技术实现虚拟网络的流量隔离。
在一个物理接口上的队列系统应提供多个虚拟的子接口，每个子接口对应特定的队列和缓存资源，提供
VPN+不同用户流量端到端的虚拟隔离。
TSN 提供一种数据报文的调度机制，通过定义门控列表为高优先级的报文分配一个事先规划好的时
间片，从而保证这些高优先级报文在设备中的低时延转发。TSN 提供的这种机制可用来满足VPN+用
户时延敏感服务的传输需求。
6.2　VPN+虚拟网络数据平面
VPN+虚拟网络数据平面应采用DetNet、MPLS﹘TE、SR 等技术。
DetNet 技术用于三层网络中传输时延敏感业务流量，时延敏感业务复制多份沿着多个路径发送，从
而增强传输的可靠性。同时，DetNet 支持设定时延上限，满足VPN+用户时延敏感业务的需求。
MPLS﹘TE 技术用于网络中实现端到端带宽预留，支持使用显式路由的方式进行非最短路径的流量
转发，网络设备应支持RSVP﹘TE 传输网络信令。
SR 技术用于不同VPN+虚拟网络之间的资源隔离，采用一组段标识来描述用于处理分组的特定队
列和资源，实现不同服务之间的区分和隔离。SR﹘MPLS 和SRv6 可作为VPN+虚拟网络数据面的可选
技术。在一些场景下，可将SR 技术应用于DetNet，以满足特定业务对丢包、时延和抖动的要求。
6.3　VPN+虚拟网络控制平面
VPN+虚拟网络控制平面应支持集中式与分布式混合的控制机制，既支持逻辑上的集中控制，用于
满足按需的业务部署和全局优化，同时依赖于分布式的控制平面提供可扩展性、高可靠性、快速响应和
自动错误恢复等能力。集中控制器用于执行资源的规划和虚拟预留。分布式控制平面实现在网络节点上
将网络资源预留给特定业务，避免多个业务之间共享导致的资源冲突。
对于跨越多个区域或多个网络层次的网络，应通过集中式与分布式控制机制配合实现不同区域之间
以及不同网络层次之间的协同和优化，以提供端到端有服务质量保证的VPN+业务。
6.4　VPN+管理控制
VPN+管理控制层应提供管理接口和管理模型实现对VPN+虚拟网络的生命周期管理。
VPN+的操作管理维护（OAM）功能应满足以下技术要求。
支持运营商对VPN+底层网络的OAM操作。网络运营商能确认承诺给VPN+用户的资源被正
确地分配和使用，并提供所要求的性能。
—
支持运营商对VPN+虚拟网络的OAM操作。网络运营商能验证和呈现所承诺的虚拟网络性
能，且不影响用户正常业务的功能和性能。
—
支持VPN+用户对VPN+虚拟网络的OAM操作。网络运营商能提供VPN+用户对所承诺的网
络特性的验证。
—
—支持对VPN+虚拟网络中路径与业务需求一致性的验证。
7　基于SR 的VPN+流程
7.1　总体描述
SR 技术应提供VPN+分层网络架构中的虚拟网络层，包括基于SR 的数据平面和控制平面功能。通
GB/T 44887.10—2024
3
过与集中式管理控制层配合，获得VPN+业务对虚拟网络的需求，并根据该需求计算出满足需求的虚拟
网络拓扑和资源信息。同时通过与物理网络层配合，为SR 虚拟网络分配满足业务需求的网络资源。
7.2　拓扑和资源计算
集中网络控制器负责计算用于提供VPN+业务的虚拟网络。集中控制器应收集网络连接信息、网络
资源、网络性能和底层网络相关的其他网络状态信息。控制器可通过IGP 和BGP﹘LS 协议来收集这些
信息。
基于从物理网络收集的网络信息，控制器应获得物理网络的拓扑，以及网络中已分配的和可用的资
源信息。当获取一个用户的VPN+业务请求后，集中控制器计算物理网络的一个子网拓扑，以及需要为
该子网拓扑分配的链路资源和节点资源等网络资源信息，从而满足该VPN+用户的需求。同时，控制器
应维护现有的用户需求信息。控制器计算得出的子网拓扑和资源构成一个虚拟网络，用于承载和满足该
VPN+用户的业务需求。
7.3　网络资源和SID 分配
网络控制器应根据计算输出，指示子网中的网络设备执行该VPN+相关的网络资源分配。控制器可
通过PCEP 或NETCONF/YANG 来执行这些操作。网络资源应按照per﹘segment 的方式进行分配，设备
为该子网分配一组特定的SRv6 SID，如End SID 和End.X SID，并将其关联到相应的网络资源上。
转发平面可采用多种方式来分配和预留网络资源，如FlexE 等技术。SRv6 SID 可用于标识转发平
面通过各种资源预留机制所分配的网络资源。
图2 是基于SRv6 SID 实现VPN+网络资源分配和预留的示例。在这个例子中，存在三个虚拟网
络，分别用红色（r）、绿色（g）和蓝色（b）表示。红色和绿色网络的拓扑包含了节点A、B、C、
D、E，以及它们之间的互连链路。蓝色虚拟网络的拓扑仅包含A、B、C、D，以及它们之间的互连链
路。针对每条链路，为其所加入的每个虚拟网络分配一个专门的End.X SID。针对每个节点，为其所加
入的每个虚拟网络分配一个专门的End SID。这些End.X SID 可关联到特定链路上的不同资源，因此这
些End.X SID 可用于在数据平面将不同的VPN+服务的流量导流到不同的预留资源上。为不同虚拟网络
分配的End SID 可被用来构建每个虚拟网络中的松散SR 路径，并且在数据平面将不同的VPN+服务的
流量导流到对应虚拟网络的预留资源上。在图2 中，x m::n,y 的含义是在虚拟网络x 中，链路上分配的
带宽是y，并使用End.X SID m::n 来对应这些虚拟网络独享的链路资源。例如，CD 之间的链路上的r
A3:1::C2, 1G 指的是红色的虚拟网络中在链路C﹘D 上的预留带宽是1 Gb/s，当节点C 收到了携带SRv6
End.X SID A3:1::C2 的分组报文时，会转发该分组报文到对应的预留链路资源上。
GB/T 44887.10—2024
4
图2　基于SRv6 SID 关联虚拟网络与资源示意图
7.4　SR 虚拟网络
每个节点应将自身所参与的虚拟网络信息、为每个参与的虚拟网络分配的资源信息以及对应的段标
识信息发布到集中控制器和网络中。在收集到每个虚拟网络的拓扑信息、资源信息和对应的段标识信息
后，控制器或网络节点生成相应的SR 虚拟网络拓扑，以及针对虚拟网络的节点段标识和邻接段标识转
发表项。VPN+不同的SR 虚拟网络应关联到底层物理网络为其分配的特定资源，满足VPN+服务
需求。
图3 为SR 虚拟网络的示意图，这些虚拟网络在底层物理网络基础上创建，可作为VPN+业务的承
载网络。
图3　基于不同段标识组成的SR 虚拟网络
在SR 虚拟网络中的路径可以是基于SR Policy 生成的显式路径，其中的段标识列表使用该虚拟网络
中的段标识。该路径也可以是基于IGP 分布式计算得到的使用该虚拟网络中特定节点段标识的松散路
径。通过这种方式，不同的VPN+业务仅使用分配给自己的虚拟网络拓扑和资源，不会相互干扰。每一
GB/T 44887.10—2024
5
个VPN+用户可在SR 虚拟网络中为不同的业务定制所使用的路径，同一VPN+用户的不同业务流可共
享为该虚拟网络分配的网络资源。
如图3 所示，可创建一个沿ABDE 的严格显式路径转发报文。在红色虚拟网络中，该路径对应的段
标识列表是（A1:1::C1,A2:1::C2,A4:1::C3）。在绿色的虚拟网络中，创建相同路径所使用的段标识列
表为（A1:2::C1,A2:2::C2,A4:2::C3）。如果需要在绿色的虚拟网络中创建一个松散路径ADE，用户
数据报文将会被设定为使用SRv6 段标识列表（A1:2::1,A4:2::1,A5:2::1）。在节点A，数据报文会通
过B 或C 发送给D，并且只使用分配给绿色虚拟网络的链路和节点资源。在节点D，通过使用分配给绿
色虚拟网络的链路和节点资源，数据分组被发给E。类似的,在红色虚拟网络中，节点A 收到的报文如
果希望使用松散路径ADE，其段标识列表的编排方式可以是（A1:1::1,A4:1::1,A5:1::1）。
7.5　VPN+业务映射到SR 虚拟网络
VPN+业务应通过使用定制化的SR 虚拟网络作为承载网络，提供满足用户需求的VPN+服务。根
据用户的业务需求和运营商的策略，不同的VPN+业务应部署在不同的SR 虚拟网络中，每种业务使用
对应的SR 虚拟网络所分配的专用网络资源进行承载。一组业务特征和需求相似的VPN+也可使用同一
个SR 虚拟网络进行承载，这样的一组VPN+业务可共享该SR 虚拟网络分配的资源，但不会使用其他
SR 虚拟网络的资源。
7.6　SR VPN+虚拟网络的呈现
基于 SR 实现的VPN+虚拟网络应以不同形式呈现给VPN+用户。不同用户可要求不同程度的虚拟
网络可见性。根据需求差异，用户看到的信息可以是以下形式：
—一个虚拟网络拓扑；
—虚拟网络内计算出的一系列包括中间节点的路径；
—两两业务端点之间不包含路径信息的抽象连接。
用户所能看到的网络信息可选择限制，如通过隐藏中间节点的方式，仅提供用户两端的节点信息，
或只提供路径上的部分节点信息。
GB/T 44887.10—2024
6
参　考　文　献
[1]　IETF draft﹘ietf﹘teas﹘enhanced﹘vpn A　Framework for Network Resource Partition （NRP）
based Enhanced Virtual Private Networks
[2]　IETF RFC 2764　A Framework for IP Based Virtual Private Networks
[3]　IETF RFC 4364　BGP/MPLS IP Virtual Private Networks （VPNs）
[4]　IETF RFC 8402　Segment Routing Architecture
[5]　IETF RFC 8986　Segment Routing over IPv6 （SRv6） Network Programming