#国家图书馆二期建筑网络与安全建设技术需求.docx
《#国家图书馆二期建筑网络与安全建设技术需求.docx》由会员分享,可在线阅读,更多相关《#国家图书馆二期建筑网络与安全建设技术需求.docx(14页珍藏版)》请在冰点文库上搜索。
#国家图书馆二期建筑网络与安全建设技术需求
国家图书馆二期建筑
网络和安全建设技术需求
一、项目概况
子项目名称:
国家图书馆二期网络和安全建设
子项目编号:
A001
二、总体说明
1.投标方提供的产品所有部件、模块和功能特性应具有一定的成熟性,面向公开市场发售,禁止使用实验室或测试阶段产品
2.投标方提供的主要网络产品应具备在大型数据中心/大型网络中稳定运行1年以上的案例证明,需提供已验收合格的、使用了主要网络产品的项目名称、项目基本内容、项目单位名称、项目单位地址、联系人及电话等,并出具用户证明。
3.投标方对指标表中技术功能和产品的支持应以发标日期前设备厂商公开网站公示的可订购信息为准,不得以未公开的功能和产品进行应标
4.参和投标的主要产品的设备厂商对该产品具有自主知识产权;如果中标,设备厂商必须可以无偿向设备使用者提供该设备的私有MIB信息
5.以下指标中凡标明“配置”、“实配”或“实配支持”字样的指标,均指应标方所提供设备能够完全提供本条目所要求的功能和性能,招标方使用时不需要再另外支付费用
6.以下指标中凡标明“硬件化支持”或“硬件转发”字样的指标,均指设备实配通过ASIC或NP技术进行智能化处理,而不是由主控引擎的CPU运行软件进行的处理,请根据指标要求投标
7.指标表中所有加“*”号的为加分指标,不加“*”号的指标为强制指标
三、技术要求
1.路由器
用途:
互联网接入路由器
数量:
2台
基本技术指标
一、整体性能
1.转发能力
(1)、路由器的背板带宽≥700Gbps
(2)、硬件支持分布式的IPv4、IPv6路由转发;转发速率≥360Mpps
(3)、支持万兆以太网端口
2.路由
(1)、支持BGP4、OSPFv2、IS-IS、RIPv2
(2)、支持IPv6静态路由、OSPFv3、BGP4+、RIPng
(3)、说明实配支持的路由条目数
3.实配≥8个千兆单模光口和≥8个10/100/1000RJ-45口
4.设备支持多种端口组合,支持从OC-3到OC-48/STM-16、快速以太网、千兆以太网、万兆以太网等
5.槽位数:
在满足现有配置要求情况下,至少有3个可用空余插槽
6.实配硬件支持Qos、uRPF(UnicastReversePathForwarding)
二、扩展功能
1.可以应客户要求提供多种广域网和局域网接口模块
2.可以通过硬件扩充和软件升级支持新的技术、特性、使用
三、业务支持
1.支持数据、语音、视频综合业务信息的传输并保证质量
2.发生网络故障时能快速进行故障检测和业务切换,说明最坏的情况下故障检测和业务切换过程需要的时间
四、管理
1.实配基于硬件支持Netflow或类似技术,要求实配专用硬件单元以硬件方式实现,不影响系统性能。
说明所支持的技术
2.支持SNMPV1/V2/V3、RMON1/2/3/9、Syslog
3.支持SNTP,支持TFTP/FTP升级。
4.实配支持本地端口镜像
五、可靠性要求
1.支持所有关键部件的热插拔;
2.采用无源背板设计;
3.支持1+1路由处理引擎冗余,按2:
1配置引擎备件
4.实配1+1电源冗余;
*六、加分选项
1.当系统满负荷运行时,所有接口应该能够以线速处理短包;同时,其交换矩阵应该能够无阻塞地以线速处理所有接口的交换,且和流量的类型无关
2.实配支持IPv4路由≥100万条,IPv6路由≥50万条
3.实配Netflow或类似功能条目数≥256000
4.实配基于硬件支持二、三层MPLSVPN
5.可扩展多种服务模块,或者基于硬件支持:
(1)、模块化的或基于硬件的防火墙
(2)、模块化的或基于硬件的SSLVPN、IPSecVPN
(3)、模块化的或基于硬件的入侵检测系统(IDS)
(4)、模块化的或基于硬件的防毒墙
6.要求设备支持操作系统软件在线升级维护,保证系统在软件升级和更新过程中不中断分组转发
7.实配支持远程跨设备的端口镜像
8.实配支持跨板卡的端口镜像;实配的所有端口支持远程跨IP子网网段(即跨路由器)的端口镜像技术,并且不需要为使用此功能而另外购买许可协议、软件等。
2.核心交换机
用途:
核心交换机
数量:
2台
基本技术指标
一、基本要求
1.交换容量≥700Gbps,
2.实配硬件支持分布式的IPv4、IPv6转发;转发速率≥360Mpps
3.每台设备实配:
万兆多模光口≥36,千兆单模光口≥4
4.所配备万兆模块和背板矩阵全双工连接≥80Gbps,且要求支持分布路由处理性能≥46Mpps
5.在满足要求的配置的情况下,可用空闲插槽≥1个
二、可靠性
1.主控模块冗余能力
(1)、支持主控引擎冗余,并说明支持的冗余工作方式;支持主备引擎数据备份机制
(2)、实配引擎冗余;或者,如果两台核心交换机能够形成完全冗余,即配置界面、路由协议、生成树计算、端口聚合、主控引擎切换等各种协议身份都作为一台看待,则可实配单引擎。
对于后者需按2:
1配置引擎备件,并解释使用的技术
2.电源冗余:
实配冗余电源
3.采用无源背板设计、所有单板支持热插拔
4.设备冗余:
实配支持VRRP(VirtualRouterRedundancyProtocol),说明所支持的组数
5.链路冗余:
实配支持快速以太网、千兆以太网和万兆以太网通道技术,要求:
(1)、所有实配端口支持组播包在捆绑链路上硬件化负载均衡
(2)、所有实配端口支持跨模块捆绑机制
三、路由和交换性能
1.多协议栈支持
(1)、同时支持IPv4、IPv6多协议栈
(2)、每一个实配物理接口都支持直接配置IPv4、IPv6网络地址
2.路由协议
(1)、支持BGP4、OSPFv2、IS-IS、RIPv2
(2)、支持IPv6静态路由、OSPFV3、RIPng、BGP4+
(3)、实配支持OSPF、IS-IS、BGP的Non-StopForwarding/GracefulRestart功能
(4)、实配支持硬件化转发的策略路由(Policy-BasedRouting)
3.组播协议
(1)、实配支持PIMDM/SM2.0、IGMPv1/v2/v3、IGMPSnooping
(2)、实配支持IPv6组播服务,例如IPv6静态组播路由(mroute)、PIMsparsemode(PIM-SM)等,请具体说明支持的协议
(3)、实配硬件支持IPv6组播包的转发
4.IPv6硬件转发
(1)、所有实配端口硬件化支持IPv6单播和组播流量的转发
(2)、所有实配端口硬件化支持6to4
5.实配MAC地址表深度≥128K,线速地学习MAC地址
四、安全性
1.支持对DHCP、ARP攻击的保护,并具体说明使用的技术
2.支持OSPF、RIPv2及BGPv4报文的MD5或其他类似功能的密文认证
3.认证接入
(1)、支持基于用户身份的IEEE802.1x认证
(2)、支持IEEE802.1xMACBypass,对IP电话、打印机等特殊设备跳过身份认证而用MAC地址认证
(3)、支持RADIUS
五、服务质量
1.防止拥塞丢包技术:
支持WRED(RFC2309)
2.支持排队技术
3.实配硬件实现速率限制和流量整形,说明速率限制可以实现的粒度
六、管理性
1.网管协议:
实配支持SNMPv1/v2/v3、RMON1/2/3/9、SYSLOG
2.流量统计:
实配支持Netflow(兼容RFC3954)或类似技术,要求实配专用硬件单元以硬件方式实现,不影响系统性能。
具体说明所支持的技术
3.端口镜像
(1)、实配所有端口(特别是万兆端口)支持本板卡内任意端口间的端口镜像;
(2)、实配所有端口(特别是万兆端口)支持跨板卡的任意端口镜像;
七、使用案例
1.提供3个该设备作为核心设备在节点数≥3000或日均流量≥300Gbps的环境中部署并连续稳定运行≥1.7万小时的案例
*八、加分选项
1.实配可用于管理目的的RJ-45口1个;在主交换管理引擎发生硬件故障时不会中断分组的转发,并说明使用的技术
2.设备操作系统软件的在线维护能力:
设备支持操作系统软件在线升级和在线打补丁,保证系统在软件升级和更新过程中不中断分组转发(即使单引擎下也可支持)
3.实配支持虚拟交换技术,可以把多台交换机虚拟成一台,并说明工作方式
4.每一个实配物理接口都支持子接口,每个子接口都支持直接配置IPv4、IPv6网络地址、所有实配端口支持三层(网络层)端口捆绑机制
5.实配硬件支持主控CPU过载保护,硬件化控制和管制CPU所处理的流量,以抵御DoS保护CPU资源
6.支持专用硬件减轻大规模DDoS攻击:
支持扩展专用的硬件实现对DDoS的流量清洗功能,把可疑流量分流、净化和重新导入,有效防止或减轻大规模DDoS攻击的破坏
7.支持基于使用协议和内容进行分类的功能,能够对包头信息外的数据段内容进行过滤,包括可以动态识别P2P、URL等使用信息
8.实配所有端口(特别是万兆端口)支持远程跨交换机的端口镜像技术;
9.实配的所有端口支持远程跨IP子网网段(即跨路由器)的端口镜像技术,并且不需要为使用此功能而另外购买许可协议、软件等。
10.实配支持对任意点到任意点的延时、抖动、丢包的双向和单向的测量;实配支持对包括HTTP,FTP,Telnet,DNS,SMTP等各类使用的网络服务质量的测量
11.支持扩展网络协议分析模块,能够对经过的所有数据进行抓包采集、解码、协议分析和实时告警、历史信息等,支持完整的RMON和RMON2,支持对使用响应时间的测量
12.实配基于硬件支持对万兆以太网端口的流量采集、基于硬件支持对Ipv6的流量采集
13.支持跨核心交换机的万兆端口通道化捆绑技术;实配专用硬件实现高速的NAT处理
14.实配硬件支持全分布式的IPv4、IPv6转发
15.MPLS硬件转发
(1)、实配支持基于硬件的二、三层MPLSVPN
(2)、所有实配端口硬件化支持MPLSVPN网络端功能(可以连接P或PE设备),支持硬件MPLSVRF转发
(3)、所有实配端口硬件化支持6PE硬件转发
3.数据中心和服务器汇聚交换机
用途:
数据中心和服务器汇聚
数量:
2台
基本技术指标
一、必备项
1.背板容量≥700Gbps
2.实配硬件支持分布式的IPv4、IPv6转发
3.可支持接口类型:
GE、10GE,支持多种端口和光接口类型
4.实配万兆多模光口≥8个,千兆多模光口≥16个,10/100/1000RJ-45口≥48个
5.空余可用扩展插槽数量≥5
6.实配支持冗余交换管理引擎;或者,如果两台交换机可以在二、三层形成完全冗余,即配置界面、路由协议、生成树计算、端口聚合、主控引擎切换等各种协议身份都作为一台看待,则可以实配单引擎。
对于后者需按2:
1配置引擎备件,并解释使用的技术
7.实配可热插拔电源冗余,支持电源冗余保护
8.支持快速以太网、千兆以太网和万兆以太网通道技术。
9.支持IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ae、802.3af、IEEE802.3x、IEEE802.1p、802.1x等。
10.支持STP/RSTP/MSTP协议,符合IEEE802.1D/1W/1S标准。
11.支持OSFP,RIPv2,支持ECMP/WCMP协议。
12.支持ICMPv6、支持IPv6静态路由、OSPFV3、RIPng、BGP4+。
13.支持IPv4向IPv6的基本过渡技术,说明实配支持的技术
14.实配支持基于硬件的组播,支持IGMPv1/v2/v3,支持PIM-SM,PIM-DM,PIM-SSM,支持IGMP源端口和源IP检查,防止非法组播源任意播放。
15.支持标准IPACL,扩展IPACL等,控制网络访问安全,支持QOS,支持动态ARP监测。
16.支持并实配基于硬件的NetFlow或类似功能的服务。
说明实际支持的技术
17.支持CLI、SNMPv1/v2/v3、Telnet、Console、RMON、SSHv2,支持SNTP、Syslog;支持通过tftp/ftp升级。
*二、加分项
1.当系统满负荷运行时,所有接口应该能够以线速处理短包;同时,其交换矩阵应该能够无阻塞地以线速处理所有接口的交换,且和流量的类型无关
2.支持扩展专用的硬件防火墙模块
3.支持扩展专用的硬件IDS/IPS,可对任意端口进行流量监测
4.支持7层交换负载均衡模块
5.实配基于硬件获取流量统计数据
6.实配支持内置的防IP扫描和防DoS安全机制
7.基于硬件支持对IP、UDP、TCP协议的ACL匹配条目计数
8.实配支持对任意点到任意点的延时、抖动、丢包的双向和单向的测量;实配支持对包括HTTP,FTP,Telnet,DNS,SMTP等各类使用的网络服务质量的测量
9.实配硬件支持控制平面流量管制,即能够硬件化控制和管制CPU所处理的流量,根据业务要求其速率可人为调节,以抵御DoS保护CPU资源。
10.在主交换管理引擎发生硬件故障时不会中断分组转发,并说明使用的技术
11.设备操作系统软件的在线维护能力:
设备支持操作系统软件在线升级和在线打补丁,保证系统在软件升级和更新过程中不间断运行,即使单引擎下也可支持
12.实配支持虚拟交换技术,可以把多台交换机虚拟成一台,并说明工作方式
4.接入交换机
(1)、桌面接入
用途:
桌面接入
数量:
42台
基本技术指标
一、必备项
1.背板容量≥136Gbps。
2.模块化插槽≥6,支持10/100/1000BASE-T端口、1000BASE-SX端口,支持多种端口数和光接口类型(千兆位接口转换器[GBIC]和SFP光接口),支持两条万兆以太网上行链路
3.实配144个10/100/1000BASE-T口,2个万兆多模光口,8个千兆多模光口
4.空余可用扩展插槽数量≥1
5.支持冗余交换管理引擎,按不少于6:
1配置引擎备件
6.实配支持热插拔电源,支持电源冗余。
7.实配双冗余PoE电源,支持802.3af标准。
8.支持链路聚合,最少可支持4个千兆口聚合。
9.支持IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ae、IEEE802.3x、IEEE802.1p等。
10.支持IPv6协议,实配支持实现IPv6;支持IPv4向IPv6的基本过渡技术,说明实际支持的过渡技术
11.支持OSPFv2、RIPv2;支持ECMP/WCMP协议。
12.支持STP/RSTP/MSTP协议,符合IEEE802.1D/1W/1S标准。
13.基于硬件支持组播,支持IGMPv1/v2/v3、DVMRP、PIMSM/DM等组播路由协议
14.支持SNMPV1/V2/V3、RMON1/2/3/9、Syslog、MIB-II、SNTP;支持TFTP升级。
15.实配支持本地端口镜像(SPAN)和跨板卡的端口镜像,支持双向端口镜像
16.支持并配置基于硬件的NetFlow或者类似功能,支持硬件中的统计数据获取。
说明实际支持的技术
17.支持基于物理接口、IP地址、端口号、使用内容等进行访问控制。
说明实际支持的访问控制方式
*二、加分项
1.当系统满负荷运行时,所有接口能够以线速处理短包;同时,其交换矩阵能够无阻塞地以线速处理所有接口的交换,且和流量的类型无关
2.实配支持远程跨交换机的端口镜像(RSPAN)
3.实配支持跨网段远程端口镜像
4.基于硬件支持对IP、UDP、TCP协议的ACL匹配条目计数。
5.支持802.1x协议,可实现用户名、IP地址、MAC地址、VLANID、接入交换机IP、接入交换机端口多元素任意绑定,进行802.1x安全认证、支持802.1x透传。
具体说明实际支持的绑定方式
6.支持端口入口及出口速率限制,速率限制数值从64K起连续可设。
7.支持分布式硬件转发,支持并提供业务板分布式数据处理,支持业务板卡硬件实现ACL、QoS功能,对数据转发性能和CPU利用率无影响
(2)、服务器列头柜交换机
用途:
服务器接入
数量:
6台
基本技术指标
一、必备项
1、支持10/100/1000BASE-T端口、1000BASE-SX端口,支持多种端口和光接口类型,支持两条万兆以太网上行链路
2、支持的最大端口数量≥240
3、实配144个10/100/1000BASE-T端口、48个1000兆多模光口、2个万兆多模光口
4、背板容量≥80Gbps
5、支持交换管理引擎冗余,按3:
1配置引擎备件
6、实配支持热插拔电源、电源冗余。
7、支持链路聚合,最少可支持4个千兆口聚合。
8、支持基于用户身份的IEEE802.1x认证。
9、支持IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ae、IEEE802.3x、IEEE802.1p等。
10、支持IPv6协议,支持实现IPv6,支持IPv4向IPv6的基本过渡技术,说明实际支持的技术。
11、支持STP/RSTP/MSTP协议,符合IEEE802.1D/1W/1S标准。
12、基于硬件支持组播,支持IGMPv1/v2/v3、DVMRP、PIMSM/DM等组播路由协议
13、支持SNMPV1/V2/V3、RMON1/2/3/9、Syslog、MIB-II、SNTP;支持TFTP/FTP升级。
14、实配支持本地端口镜像(SPAN)和跨板卡的端口镜像,
15、支持控制平面CPU的处理流量控制策略,能够对必须由控制平面CPU处理的流量进行速率管制,以保护CPU资源。
16、支持并配置基于硬件的NetFlow或类似功能,支持硬件中的统计数据获取。
说明实际支持的技术
*二、加分项
1.实配支持远程跨设备的端口镜像(RSPAN)
2.实配的所有端口支持远程跨IP子网网段(即跨路由器)的端口镜像技术,并且不需要为使用此功能而另外购买许可协议、软件等。
3.实配支持硬件实现ACL、QoS功能,对数据转发性能和CPU利用率无影响。
4.基于硬件支持对IP、UDP、TCP协议的ACL匹配条目计数。
5.支持802.1x协议,可实现IP地址、MAC地址、VLANID、接入交换机IP、接入交换机端口多元素任意绑定,进行802.1x安全认证、支持802.1x透传。
说明实际支持的绑定方式
6.实配硬件支持基于物理接口、VLAN内、VLAN间和一组VLAN内的根据物理地址、IP地址、端口号、使用内容等进行访问控制。
说明实际支持的访问控制方法
四、硬件设备环境要求
1.设备应可采用交流电源工作。
2.设备供电规格:
电压:
220V单相,变化小于±10%
频率:
50Hz变化小于±1%
电源波形:
正弦波畸变不大于3%
3.所提供的设备均应能安装在标准机架中。
4.所有电源、通信电缆应符合捆线标准及安全要求。
5.所有设备应具备良好的通风系统。
6.所有设备应能在正常办公条件下工作:
温度:
0℃~40℃
相对湿度:
10%~85%(非凝露、非结霜)
7.中标方应对招标方机房环境提出具体要求,尤其是对于上架的网络设备更应提供详细的安装和抗震加固要求。
五、制造企业及其标准要求
1.标准:
交换机的电气性能应满足行业、国家、国际标准。
2.进口产品需要满足相关的国家关于网络设备进口的法律法规、安全证明、国家指定的检测机构测试提供的检验证书等规定。
3.国内产品需要满足安全证明、国家指定的检测机构测试提供的检验证书等规定。
4.获得信息产业部颁发的网络设备《电信设备进网许可证》,并提供证明材料。
5.获得IPv6Ready认证证书,并提供证明材料。
6.新设备应能和国图一期网络设备兼容,给出和国图一期网络融合的方案,说明和国图一期网络设备兼容性如何。
7.对于本次招标涉及的内容,应标时需要提交设备商针对该项目的授权书。
六、安装要求
1.本次招标内容涉及的核心交换机和路由器将安装在国家图书馆二期建筑的网络设备间;数据中心和服务器汇聚交换机及服务器接入交换机将安装在国家图书馆二期建筑的服务器机房;桌面接入交换机将安装在国家图书馆二期建筑的各楼层配线间。
2.由厂家负责解决安装中涉及到的施工问题。
施工作业不得违反国家图书馆有关规定。
3.中标方应根据现场环境提出必要的环境改造方案和施工计划。
4.提前30天向乙方提供安装条件(温度、湿度、地线、灰尘度、电源功率、电缆接头标准等)。
5.合同签定后30天内设备到达现场安装,60天内完成部署。
6.提供8人次的正式培训(中级5人次,高级3人次)。
7.提供硬件安装图纸、交接手续,提供软件安装手册和使用文档。
8.提供资质、和应标时承诺的性能相符的验收测试方案、售后服务承诺等信息。
9.基于投标方的标书推荐的设备和方案,对后续的网络安全建设、网络管理提出建议方案。
七、服务要求
1.售后服务应达到7天24小时电话响应,现场工程师的响应时间应在2小时以内(本市)。
修复时间应在8小时以内。
2.全套设备要求保修三年。
3.负责全套设备的运输、装卸、直至到达安装场地以及安装就位。
4.提供必须的安装、检测培训。
5.安装后进行功能、性能测试及其验收,并双方签字备存。
6.三年保修期以后的服务价格享受和购买时同等或更加优惠的条件。
7.
升级会员 