江苏安全生产监管监察系统硬件需求说明.doc

附件3：江苏省安全生产监管监察系统硬件需求说明如市、县（市、区）安监局尚无机房（当地政府信息中心提供设备使用的除外），可暂时不需要硬件投入，直接登录使用省局系统；如市、县（市、区）安监局自建机房或向当地政府信息中心申请使用其设备，硬件环境参考如下： 一、服务器需求需求方服务器配置要求数量推荐品牌省局应用服务器系统：windows server 2008 R2 64位企业版；CPU：4*E7-4820v2 (2.00GHz/8c)；内存：8G*16 DDR3 Registered DIMM；网卡：4口千兆网卡；硬盘：600G*2;6台浪潮、华为、曙光数据库服务器 系统：windows server 2008 R2 64位企业版；CPU：4*E7-4820v2 (2.00GHz/8c)；内存：8G*16 DDR3 Registered DIMM；网卡：4口千兆网卡；硬盘：3000G*16; 1台浪潮、华为、曙光备份服务器系统：windows server 2008 R2 64位企业版；CPU：4*E7-4820v2 (2.00GHz/8c)；内存：8G*16 DDR3 Registered DIMM；网卡：4口千兆网卡；硬盘：3000G*16；1台浪潮、华为、曙光磁盘阵列控制器缓存：标配32GB缓存,最大可扩展到768GB；支持磁盘类型及本次配置10T：同时支持SAS和SATA，SSD硬盘；2台浪潮、华为、曙光市、县(市、区)安监局应用服务器系统：windows server 2008 R2 64位企业版；CPU：4*E5-4610v2 (2.30GHz/8c)；内存：8G*16 DDR3 Registered DIMM；网卡：4口千兆网卡；硬盘：600G*2 5台/地市浪潮、华为、曙光数据库服务器系统：windows server 2008 R2 64位企业版；CPU： 2*E5-2650V2 8C；主频：2.6GHHz以上；内存：8G*16 DDR3 Registered DIMM；网卡：4口千兆网卡；硬盘：3000G*16；1台/地市浪潮、华为、曙光备份服务器系统：windows server 2008 R2 64位企业版；CPU： 2*E5-2650V2 8C；主频：2.6GHHz以上；内存：8G*16 DDR3 Registered DIMM；网卡：4口千兆网卡；硬盘：3000G*16；1台/地市浪潮、华为、曙光磁盘阵列控制器缓存：标配32GB缓存,最大可扩展到768GB；支持磁盘类型及本次配置8T：同时支持SAS和SATA，SSD硬盘；2台/地市浪潮、华为、曙光备注：硬件配置表中所有产品品牌只做推荐之用，符合硬件配置要求的任何品牌产品皆可满足业务应用系统部署。二、软件需求数 据 库：mysql 5.5应用服务器：jboss 7.2代理服务器：nginx 1.8三、带宽需求目前江苏省安全生产监督监察信息系统的使用范围包括1个省级、13个市级、106个县区的安全监管部门和各级安委会成员单位，另外还包括各级安委会成员单位监管的企业。每个终端占用大约 50-100kb 带宽，按照每个客户终端 100kb 计算，每个单位需要的最大带宽的计算公式为： 带宽=人数*100*最大同时使用率 。考虑到政府端同时在线人员至少维持在5%左右，企业端同时在线人数分为高峰期和低峰期(不同时间段，例如月底上报隐患)，基本应该维持在5-3%之间。所以本次客户终端的带宽因按照以下计算公式进行计算：带宽=政府端人数*100*最大同时使用率 + 企业端人数*100*企业端最大同时使用率。一个省辖市的政府用户大约在200人左右，13个省辖市加上省级的用户大约在2500人，一个省辖市重点监管的企业在2W-5W家，13个省辖市大约在50W家企业,因为有省辖市服务器分摊压力,考虑满载情况省局服务器需要千兆带宽，省辖市级服务器需百兆带宽及以上。4、 路由器指标要求 4.1、基本要求 江苏省安全生产监督监察信息系统网络所涉及的关键路由器根据网络层次，可以划分为二类： 第一类：江苏省安监局核心路由器 第二类：市、县(市、区)安监局核心路由器各地可根据各地实际情况、链路情况以及资金情况，选用适当路由设备。所有关键路由器应满足以下基本功能要求： 路由协议：支持 RIP、OSPF、IS-IS、BGP-4 等路由协议； MPLS VPN 技术：支持 MPLS L2 和 L3 VPN,支持 RFC2547bis 标准，支持 MPLS TE，MPLS TE QOS 功能；支持分层 PE 或能实现同等效果技术。 组播特性：支持 PIM/MSDP，支持 VPN 组播；支持视频会议、应急监控等多媒体业务的组播转发； QoS 特性：支持 QoS 及 VPN 下的 QoS 能力，支持层次化 QoS 技术，支持PQ/LLQ/CQ/WFQ/CBWFQ 等队列调度机制； 可靠性：采用稳定可靠的硬件、软件架构，支持接口模块、电源模块和风扇的热插拔支持 BFD，FRR、负载分担等协议，充分考虑冗余、容错能力； 统一网管：支持 SNMP、RMON 等协议；支持网络流量分析技术，支持 IPv4、MPLS VPN 和 IPv6 的报文统计功能，可以针对不同的流信息进行独立的数据统计； IPV6 特性：支持 IPV6 技术和 IPv4 向 IPv6 的过渡技术； 安全性：支持集中的安全策略控制功能，支持用户的认证和路由协议的验证，支持抗流量攻击技术等； 地址转换：支持 NAT 功能，以解决 VPN 地址冲突问题。 4.2、省安监局核心路由器指标要求 整机交换容量16Tbps，包转发率大于2880 Mpps，提供16 个业务插槽，支持双主控，双电源，支持关键组件热插拔；支持 155M POS， 155M CPOS，2.5G POS，10G POS，GE，10GE，等多种接口；支持 BGP/MPLS VPN 三种跨自治域方式：VRF-VRF(Option1) ，MP-BGP(Option2)，MultiHop-BGP(Option3)；支持增强的网络安全性，可通过扩容防火墙安全板卡等方式提供集中的安全策略、单向访问控制功能。 支持 IPV6 技术，包括 RIPng、OSPFv3 等，支持 IPv4 向 IPv6 的过渡技术，如隧道技术、双栈技术、6PE 等。 支持 NAT 多实例和双向 NAT 功能，支持各部门私网 IP 地址接入 VPN 网络；支持同一台设备能够实现不同 VPN（包括地址重叠的 VPN）之间的 NAT 转换，以实现不同部门之间业务互访。 支持用户的认证和路由协议的验证，支持虚拟分片重组，防止分片报文攻击。支持 ACL 报文过滤，支持 URPF，支持 DHCP Snooping 支持抗 DOS/DDOS 攻击、防ARP 攻击技术等。 4.3、市、县(市、区)安监局路由器指标要求 整机交换容量8Tbps，包转发率1440Mpps，提供8 个业务插槽，支持双主控，双电源；支持 155M POS， 155M CPOS，GE 等多种接口；支持 BGP/MPLS VPN 三种跨自治域方式；支持增强的网络安全性，可通过扩容防火墙安全板卡等方式提供集中的安全策略、单向访问控制功能。支持 NAT 多实例。 支持 IPV6 技术，包括 RIPng、OSPFv3 等，支持 IPv4 向 IPv6 的过渡技术，如隧道技术、双栈技术、6PE 等。 五、核心、汇聚交换机指标要求 核心交换机、汇聚交换机主要用于江苏省安监局信息化系统使用。各地市(区县)可以根据部门的规模、接入方式、应用类型及应用开展的方式等进行选择，核心交换机、汇聚交换机设备应当满足如下要求： 5.1、总体要求 接口支持：支持 10M/100M/1000M 以太网电口，支持 100M、1000M 以太网光接口，支持 10G/40G 以太网光接口。 二层协议：支持 IEEE802.1q、802.1p、802.3z、802.1d、802.3u、802.1X等协议。 路由协议：支持静态、RIPv1/v2、 OSPF、IS-IS、BGP 等路由协议。 MPLS VPN：支持三层 MPLS VPN，支持二层 VPN，支持 MCE，符合 RFC2547bis协议。 可靠性：支持热补丁，支持 GR for OSPF/BGP/IS-IS，支持 VRRP 协议，支持多台不同的物理设备虚拟化为一台统一的设备，支持多台设备单一 IP 的集中式管理，实现多台设备跨设备链路聚合，减少单点故障对网络的影响。 组播：支持 IGMPv1/v2/v3，支持IGMPv1/v2/v3 Snooping，支持 PIM-SM /PIM-DM /PIM-SSM QoS：提供完善的 QoS 机制、支持队列调度机制，包括 SP、WRR、SP+WRR、CBWFQ，支持分层 QoS，支持多级队列调度。 IPv6：支持 OSPFv3 、RIPng 等 IPv6 路由协议，支持 IPv4 向 IPv6 的过渡技术如隧道技术等。 安全性：支持 SSH，支持 Telnet 的登录和口令机制；支持融合的安全防护功能，支持通过硬件板卡或其他形式，实现基于状态的防火墙安全功能和 47层的安全防护功能。 数据中心特性：支持支持增强以太网特性（DCB）、支持 802.1Qbb 基于优先级的流控、支持 802.1Qaz 增强传输选择、支持 802.1Qau 拥塞通告、支持统一交换 FCoE 特性，支持设备虚拟化、支持 TRILL 透明交换网络、支持 VEPA（虚拟以太网端口聚合）、支持虚拟机策略自动迁移、支持 SDN。5.2、省安监局核心交换机指标能要求 在满足总体功能要求的同时，汇聚交换机固化 10/100/1000Base-T 以太网电口24 个,核心交换机应采用 CLOS 交换架构，交换网板有独立插槽且与主控引擎、线卡硬件分离，支持主控板、交换网板、电源、风扇系统的冗余备份，整机交换容量80Tbps，包转发率14400Mpps，主控引擎插槽2 个，业务插槽8 个，交换网板插槽4 个，支持 4k 个 VLAN，支持 256K ARP表项，支持多虚一虚拟化技术，最多可将 4 台物理设备虚拟化为 1 台逻辑设备，支持一虚多虚拟化技术，可将一台物理设备最大虚拟化为 12 台逻辑设备，提供丰富的可扩展接口资源，内置模块化双电源，支持三层路由，支持OSPF、BGP、IS-IS。要求与防火墙统一品牌，便于管理和维护。5.3、市、县(市、区)安监局核心交换机指标能要求 满足总体功能要求的同时，汇聚交换机固化 10/100/1000Base-T 以太网电口24 个，千兆 SFP 复用光口8 个，扩展插槽2 个，整机交换容量2Tbps，包转发率1.5Gbps，业务插槽6个。支持 4k 个 VLAN，支持 16K MAC 地址。1*48GE电口，内嵌AC，2*控制板。支持虚拟化技术，最多可将16 台物理设备虚拟化为 1 台逻辑设备，支持冗余电源，提供丰富的可扩展接口资源，内置模块化双电源，支持三层路由，支持OSPF、BGP、IS-IS。要求与防火墙统一品牌，便于管理和维护。 5.4、汇聚交换机指标能要求 满足总体功能要求的同时，汇聚交换机固化 10/100/1000Base-T 以太网电口48 个，千兆 SFP 复用光口4 个，扩展插槽2 个，整机交换容量376Gbps，包转发率221Mpps。支持 4k 个 VLAN，支持 16K MAC 地址。支持虚拟化技术，最多可将8 台物理设备虚拟化为 1 台逻辑设备，支持 1+1 模块化冗余电源，提供丰富的可扩展接口资源。 六、接入交换机指标要求 24个千兆电口、2个千兆接口，2个千兆光电复用接口，交换容量750Gbps，包转发率100Mpps接入设备主要用于省、市、县(市、区)安监局、各级安委会成员单位和监管企业的接入用户终端使用。各级机构可以根据部门的规模、接入方式、应用类型及应用开展的方式等进行选择，接入设备应当满足如下要求： 接口支持：支持 10M/100M/1000M 以太网电口，支持 100M、1000M 以太网光接口； 可靠性：采用稳定可靠的硬件、软件架构，充分考虑冗余、容错能力； 二层特性：支持 4K 个 802.1Q VLAN、支持 Protocol Based VLAN、支持 Private ；VLAN、支持 Voice VLAN、支持 Guest VLAN、支持基于 MAC 地址的 VLAN、支持 QinQ、支持 GVRP ；三层特性：支持 IPv4、IPv6 静态路由、RIP、RIPng 等路由协议；IPV6 特性：支持 IPv6 编址、邻居发现协议（ND）、 ICMPv6、IPv6 Ping、IPv6 Tracert，三层 ND 代理等； 安全性：支持集中的安全策略控制功能，支持用户的认证和路由协议的验证，支持基于端口和 MAC 的 802.1x 认证，支持 WEB 认证，支持抗流量攻击技术等； 管理特性：支持 SNMPv1/v2C/v3、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、Syslog、NTP/SNTP、Web 等；