江西省银监局网络设备采购技术需求.doc

江西省银监局网络设备采购技术需求1、地市核心交换机设备数量：10指标项指标要求*基本要求*机型机箱式多插槽交换机*插槽数量6*主控模块交换能力64Gbps*L2/L3层包转发速率48Mpps*路由表项128K*备份与负载能够与主链路运行的交换机实现双机热备及负载均衡*可靠性*电源冗余实配冗余功率1000W交流电源（双电源）*设备冗余实配支持VRRP或类似网关冗余协议*链路冗余所有实配快速以太网、千兆和万兆以太网均应支持通道技术，要求： 实配支持跨模块捆绑机制 实配支持三层（网络层）捆绑机制 实配支持每组可捆绑8个千兆端口功能性*交换协议实配支持802.1d,802.1p/q,802.1s,802.1w,802.1x, 802.3ad，802.3ab，802.3ae，802.3u，802.3x，802.3z，等标准协议；*多协议栈支持 实配同时支持IPv4、IPv6多协议栈 每一个实配物理接口都支持直接配置IPv4和IPv6网络地址 每一个实配物理接口都支持子接口，每个子接口都支持直接配置IPv4、IPv6网络地址*策略路由必须实配支持策略路由组播能力支持PIM SSM（Source Specific Multicast）支持IGMPv1,v2,v3安全性*访问控制实配支持基于物理接口、VLAN内、VLAN间和一组VLAN内的根据物理地址、IP地址、端口号、应用内容等进行访问控制，支持反向的访问控制实配支持TCAM硬件ACL，可在出入双方向进行控制控制平面保护实配支持控制平面CPU的处理流量控制策略，能够对必须由控制平面CPU处理的流量进行速率管制，以保护CPU资源*实配支持交换网络安全保护 直接通过交换机设置实现MAC洪泛、DHCP Starvation、DHCP恶意服务器、ARP冒充/ARP中毒、IP地址欺骗等等攻击手段的有效抑制，并配合本项目网络异常审计和响应系统实现对上述攻击的逐一端口定位和网管拓扑图标识 支持IP源地址端口自动绑定（DHCP环境和非DHCP环境） 支持PRIVATE VLAN 支持Spanning Tree的BPDU守护和Root守护等功能，防止不处于网络管理员控制范围的边缘设备成为生成树协议根节点、以进行路径欺骗实配支持认证接入 *支持基于用户身份的IEEE 802.1x认证 支持IEEE 802.1x MAC Bypass，对IP电话、打印机等特殊设备跳过身份认证而用MAC地址认证 支持基于用户身份进行VLAN分配 支持基于用户身份进行访问过滤和QoS策略设置 支持访客VLAN（Guest VLAN） 支持内置的用户访问Web Portal *支持基于基于健康状态的网络准入控制 *支持RADIUS、TACACS*服务质量*数据流量分类实配支持IP ACL、IP Precedence、DSCP、802.1Q/p、COS数据流量分类和基于每个用户的服务质量策略*排队技术实配支持优先处理低延迟数据的排队机制*数据流限制实配支持端口进出方向的流量管制（Policing）；实配支持每端口的流量整形（Shaping）控制粒度8Kbps*管理性*管理协议实配支持SNMPv2、SNMPv3、RMON*端口镜像实配支持本地端口镜像（SPAN）和远程跨设备的端口镜像（RSPAN），便于连接IDS等流量分析设备。*管理界面实配支持图形化界面，基于Web方式管理*模块配置要求*主控引擎每台配置中心引擎1*电源每台配备1+1冗余且功率1000W电源 *网络接口每台配置：千兆光纤端口6（实配多模GBIC光模块4）10/100/1000M千兆电口482、地市广域网接入路由器设备数量：10台指标项指标要求*基本要求*备份与负载能够与主链路运行的路由器实现双机热备及负载均衡*扩展插槽/卡数量=8*路由性能=500Kpps*USB接口支持USB接口，用以未来扩展接插安全证书*内存要求可扩展至1GB，实配256MB*闪存要求可扩展至512MB，实配64MB*可靠性*电源冗余支持双冗余电源（实配一个电源）*支持热启动升级软件整个过程系统宕机时间30秒*设备冗余支持VRRP及网关负载均衡类似协议*功能性*路由协议支持BGPv4、IS-IS、OSPF、RIPv2.0、Policy Routing，IPX等*组播协议 支持MBGP 、MSDP、PIM DM/SM 2.0、DVMRP、IGMPv1/v2/v3、IGMP Snooping等 IPv6组播服务支持IPv6 静态组播路由 (mroute) PIM sparse mode (PIM-SM)、MLD v1、MLD v2、PIM embedded RP、Static rendezvous point (RP)*MPLS支持 支持MPLS-VPN，MPLS TE，MPLS Diff-Serv-Aware Traffic Engineering (DS-TE)等 在非MPLS环境下可以支持多个虚拟路由器（即支持多个VRF），实现封闭的不同用户路由隔离安全性*内置状态防火墙实配防火墙功能（或独立设备），并满足如下要求： 支持防火墙过滤功能：基于应用的状态过滤（即基于环境、上下文的访问控制） 支持基于用户身份的验证和授权 支持实时报警、透明防火墙和IPv6防火墙 支持URL、网页内容过滤 防火墙吞吐能力1Gbps*内置IDS/IPS功能实配IDS/IPS功能（或独立设备），并满足如下要求： 支持扩展高性能入侵检测系统（IDS/IPS）的硬件模块 支持识别特征码签名（Signature）500 支持新的IDS 特征码升级可独立于路由器软件版本而动态加载，不影响路由器正常工作 支持与防火墙的互补防护和安全联动 支持二层（透明模式）和三层（路由模式）的在线IPS功能 IPS/IDS数据处理识别能力425Mbps *MPLS VPN安全集成支持虚拟路由和转发(VRF) 防火墙以及 VRF IPsec*网络准入控制功能支持判断网络节点的健康和安全程度来决定是否准许入网和得到什么样的访问权限控制平面保护支持控制平面CPU的处理流量控制策略，能够对必须由控制平面CPU处理的流量进行速率管制，速率可人为调节，以保护CPU资源安全管理支持直观统一的图形化安全管理平台支持多业务应用*数字化语音要求平台可支持专用语音处理DSP硬件卡，可处理数字化语音呼叫通道数720 IP电话PBX功能要求路由器内置IP电话PBX功能*语音留言功能要求路由器支持内置语音留言信箱，信箱数100 模拟语音支持要求路由器可扩展支持模拟语音接口80管理性*支持EEM（嵌入式事件管理器）实现进程级的自动策略控制。如果地市分局路由器上联线路发生中断（非物理层中断），路由器会根据自定义策略自动关闭该线路接口，从而使流量切换到另外一条线路。*网管协议支持SNMP v1、v2和v3流量统计支持Netflow（RFC 3954）或相同功能*支持硬件网络协议分析模块能够对网络所有VLAN和接口的数据进行采集、解码、协议分析和实时告警、历史信息等，支持完整的RMON和RMON2，便于网管人员实时监控网络流量和协议运行和分布情况，及时发现异常，并协助诊断、定位和修复。扩展性*无线支持支持扩展无线接入和无线控制器模块（以结标日期公开网页可订货信息为准）*以太网供电功能机箱支持的电源能够提供高密度以太网供电端口72个（以结标日期公开网页可订货信息为准）*支持应用加速模块支持扩展应用加速模块，支持基于TCP应用的优化，支持线路压缩（以结标日期公开网页可订货信息为准）*配置要求*自带千兆接口2个10/100/1000M，一个可配置为光纤接口*扩展千兆接口2个，并配置相应电口模块，用做设备之间互连用*E1接口2个，支持G.703非成帧、G.704成帧标准；用做连接时侯不用再添加协议转换器*E1连接线每台添加BNC转Rj45接口线缆1根*防火墙实配防火墙功能（或独立设备），并满足前述要求*IDS/IPS实配IDS/IPS功能（或独立设备），并满足前述要求3、千兆接入交换机设备数量：6指标项指标要求*基本要求*机型固定接口配置的全千兆交换机*接口数量10/100/1000M POE接口48, 千兆上连光接口4（每台实配4个千兆电口模块）*交换机交换性能交换能力32Gbps*交换机路由性能支持IPv4和IPv6的硬件转发，三层路由转发能力38Mpps*可靠性*链路冗余支持千兆以太网通道技术，单机支持12个捆绑组，组内最大支持8端口功能性交换协议支持802.1d,802.1p/q,802.1s,802.1w,802.1x, 802.3ad， 802.3u等标准协议*路由协议支持RIPv1/v2、OSPF、BGPv4路由协议，支持策略路由（PBR）*IPv6支持实配支持IPv6的硬件包转发，不得使用软件方式转发*通过能力支持Jumbo Frame（巨型帧），帧长9000字节*以太网供电支持IEEE 802.3af以太网供电，且支持IEEE 802.3af Power Classification，最大电源支持功率540W安全性*交换网络安全保护 直接通过交换机设置实现MAC洪泛、DHCP Starvation、DHCP恶意服务器、ARP冒充/ARP中毒、IP地址欺骗等等攻击手段的有效抑制，并配合本项目网络异常审计和响应系统实现对上述攻击的逐一端口定位和网管拓扑图标识 支持Spanning Tree的BPDU守护和Root守护等功能，防止不处于网络管理员控制范围的边缘设备成为生成树协议根节点、以进行路径欺骗*访问控制列表硬件（TCAM）访问控制列表1000个支持每个端口出和入两个方向的流量匹配和过滤支持基于VLAN和VLAN组之间的访问控制基于时间的访问控制列表支持基于时间的访问控制列表*网络准入控制功能支持判断网络节点的健康和安全程度来决定是否准许入网和得到什么样的访问权限*认证接入支持基于用户身份的IEEE 802.1x认证支持基于用户身份进行VLAN分配支持访客VLAN（Guest VLAN）服务质量*队列数每接口队列4服务质量保证支持硬件设置和匹配DSCP、IP Precedence、CoS等支持优先队列支持基于接口的流量管制（Policing）*组播支持基于硬件的IPv4组播，IGMPv1,v2,v3*管理性*网管协议支持SNMP v1、v2和v3*单向链路检测支持单向链路检测（UDLD）*线路故障检测每个10/100/1000M端口内置线缆时域反射检测（TDR）功能，能够检测端口所接以太网线缆的故障点位置，误差5米*端口镜像 支持本地端口镜像技术，便于连接IDS、协议分析仪等 支持本地端口镜像并发组数（Session）2 支持远程端口镜像技术（Remote SPAN），便于镜像全网其它设备端口的流量到本地的IDS和协议分析仪等4、与各银行的联网路由器设备数量：1台指标项指标要求*基本要求*扩展插槽/卡数量=6*路由性能=350Kpps*USB接口支持USB接口，用以未来扩展接插安全证书*内存要求可扩展至1GB，实配256MB*闪存要求可扩展至256MB，实配64MB*可靠性*支持热启动升级软件，设备数据转发离线时间30秒*设备冗余支持VRRP及网关负载均衡类似协议功能性*路由协议支持BGPv4、IS-IS、OSPF、RIPv2.0、Policy Routing，IPX等*组播协议 支持MBGP 、MSDP、PIM DM/SM 2.0、DVMRP、IGMPv1/v2/v3、IGMP Snooping等 IPv6组播服务支持IPv6 静态组播路由 (mroute) PIM sparse mode (PIM-SM)、MLD v1、MLD v2、PIM embedded RP、Static rendezvous point (RP)MPLS支持 支持MPLS-VPN，MPLS TE，MPLS Diff-Serv-Aware Traffic Engineering (DS-TE)等 在非MPLS环境下可以支持多个虚拟路由器（即支持多个VRF），实现封闭的不同用户路由隔离安全性*防火墙 支持基于应用的状态过滤（基于环境、上下文的访问控制） 支持基于用户身份的验证和授权 支持实时报警、透明防火墙和IPv6防火墙 支持通过硬件模块配合实现URL过滤 防火墙吞吐能力855Mbps 满足以上条件的防火墙可内置或单独配置*IDS/IPS 支持扩展高性能入侵检测系统（IDS/IPS）的硬件模块 支持识别特征码签名（Signature）500 支持新的IDS 特征码升级可独立于路由器软件版本而动态加载，不影响路由器正常工作 支持与防火墙的互补防护和安全联动 支持二层（透明模式）和三层（路由模式）的IPS功能 IPS/IDS数据处理识别能力325Mbps 满足以上条件的IDS/IPS可内置或单独配置*MPLS VPN安全集成支持虚拟路由和转发(VRF) 防火墙以及 VRF IPsec*网络准入控制功能支持判断网络节点的健康和安全程度来决定是否准许入网和得到什么样的访问权限控制平面保护支持控制平面CPU的处理流量控制策略，能够对必须由控制平面CPU处理的流量进行速率管制，速率可人为调节，以保护CPU资源*安全管理支持直观统一的图形化安全管理平台支持多业务应用*数字化语音要求平台可支持专用语音处理DSP硬件卡，可处理数字化语音超过480个呼叫通道IP电话PBX功能要求路由器内置IP电话PBX功能*语音留言功能要求路由器支持内置语音留言信箱100个以上*模拟语音支持要求路由器可扩展支持模拟语音接口50管理性*网管协议支持SNMP v1、v2和v3流量统计支持Netflow（RFC 3954）或相同功能支持硬件网络协议分析模块能够对网络所有VLAN和接口的数据进行采集、解码、协议分析和实时告警、历史信息等，支持完整的RMON和RMON2，便于网管人员实时监控网络流量和协议运行和分布情况，及时发现异常，并协助诊断、定位和修复。*扩展性*无线支持支持扩展无线接入和无线控制器模块（以结标日期公开网页可订货信息为准）*以太网供电功能机箱支持的电源能够提供高密度以太网供电端口72个（以结标日期公开网页可订货信息为准）*支持应用加速模块支持扩展应用加速模块，支持基于TCP应用的优化，支持线路压缩（以结标日期公开网页可订货信息为准）*配置要求*千兆接口2个10/100/1000M，一个可配置为光纤接口*OC3 ATM广域网口1，配置相应中距光模块*防火墙内置或外接，满足前述要求*IDS/IPS内置或外接，满足前述要求5、省银监局下联各地市分局的路由器上的E1线缆要求：BNC转RJ45的E1连接线10根6、防火墙招标技术指标： 数量10台指标项 指标要求*基本要求 *性能指标吞吐量3G并发连接数150万延时513us64字节丢包率 0%1518字节丢包率0%*硬件指标平台架构基于ASIC芯片网络接口要求设备具有8个10/100/1000BaseTx，并且具有专用的网络管理接口和HA心跳接口LED提供设备状态信息的LED查询显示*VPN 3DES加密速度200M支持硬件加密卡支持国密办商密SM1加密算法加密卡（即SJY115-F加密卡）实现硬件VPN加密并发隧道数大于1000条*高可靠性备份与负载须能够与主链路运行防火墙实现双机热备及负载均衡功能要求 网络适应性支持透明模式、路由模式和混合模式;支持静态路由、路由冗余、反射式路由、路由监测、路由保持;支持基于源IP、目的IP、服务、入接口的策略路由;支持802.1QVLAN，支持VLAN路由;支持双向NAT：SNAT和DNAT;静态地址转换；支持动态地址转换;支持TCP、UDP端口转换;支持DHCP Server和DHCP Relay方式;支持手动/计划拨号;支持透明模式、路由模式和混合模式;支持静态路由、路由冗余、反射式路由、路由监测、路由保持;支持基于源IP、目的IP、服务、入接口的策略路由访问控制支持基于源/目的IP地址、源/目的端口、协议、服务等的数据包过滤;支持缺省策略;支持基于时间段或用户（IP地址）的安全策略设置;支持TCP的连接状态检测，对UDP、ICMP能够提供虚拟状态检测支持FTP、HTTP、SMTP、RTSP、H.323等协议状态报文过滤;支持对TCP连接状态分别设置超时时间;支持IP与MAC的绑定功能，防止IP地址欺骗;支持预定义服务和网络对象内容过滤支持对所有协议的链接进行关键字过滤;支持URL过滤及白名单、命令、关键字、禁止多线程下载;支持Active X、Java Script、Java Applet、Cookie等过滤;支持对Email服务器过滤;支持发件人及收件人白名单;持Email主题及关键字过滤；支持Email附件名及大小过滤;支持最多收件人数限制;支持文件名、关键字、命令的过滤;支持对多线程下载的限制;支持对Bit Torrent、E-donkey、MUTE等P2P应用进行控制;支持对QQ、MSN、AIM、Yahoo Messenger等IM应用进行控制;支持RTSP、H.323、FTP、PPTP等动态端口协议的检测和控制;支持对VoIP、H.323、 RTSP、 SIP、 FTP、 HTTP、 IMAP、 POP3、 SMTP、 SSH、 VNC, Socks、 TFTP、 Telnet等协议的识别控制入侵防御支持监听及在线模式;支持IDS固有规则库、支持自定义规则、支持规则库的升级;支持与第三方IDS产品联动;支持监听及在线模式;支持SYN Proxy;支持对Tear Drop、Smurf、Land Attack、ARP Spoof等攻击的防御用户认证支持本地认证服务器;支持Radius、LDAP、AD等第三方认证服务器;支持预认证与实时认证，支持基于WEB认证方式系统管理支持基于SSL的WEB管理;支持基于SSH的命令行管理;支持SNMP监控与配置管理;支持SNMP 的v1 、v2 、v2c、v3 版本;支持标准SNMP MIB库和私有SNMP MIB库;支持配置向导;支持基于SNMP的网管和安管平台集中管理支持多级安全管理员权限划分与管理；支持WEB UI方式的本地升级和远程升级日志支持管理日志、系统日志、连接日志、安全日志、用户认证日志等;支持Syslog、WELF等日志格式，支持第三方日志管理工具;支持本地日志数据库;支持第三方日志服务器;支持日志查询统计功能、支持简单查询及复杂查询;持日志统计分析功能，提供多种日志报告功能;支持事件日志实时监控;支持日志存储空间实时监控；支持震铃、音频和邮件告警方式，支持用户自定义告警方式QOS支持最大带宽限制;支持最小带宽保证;支持流量整形功能;支持最小为1Kbytes的QOS控制粒度性能监控支持对系统CPU利用率进行监控;支持对系统内存使用率进行监控;支持对会话资源使用率进行监控;支持对接口使用率、丢包率、平均包大小、总传输包以及总丢弃包等流量进行监控;支持对防火墙规则流量进行监控;支持对VPN流量进行监控7、安全审计系统技术指标要求数量1台指标项指标要求* 基本要求* 产品结构机架式独立硬件设备，系统硬件为全内置封闭式结构，稳定可靠，加电即可运行，启动过程无须人工干预。要求采用多核多线程CPU分布式架构设计，而非X86架构，保证多业务可并行运行* 可靠性* 内置二层回退，并提供掉电保护模块，确保设备的稳定性* 接口数* 业务端口数目12，最少支持6个光口6个电口，端口速度千兆* 管理端口数目1，端口速度千兆* 性能* 最大在线用户数10000* 病毒防护* 与国际知名防病毒厂商合作，集成专业防病毒引擎和特征库，在网站有相关声明* 支持防御文件型、网络型和混合型等各类病毒* 支持三种级别流行性病毒检测，根据流行度，用户可以配置开启不同级别的病毒防护控制* 协议分析技术* 采用特征库技术，特征库升级过程无需重启、不中断业务正常运行， * 特征库支持手动升级与自动升级，特征库必须在网上发布，以便利于获取；特殊情况必须实时在网上发布最新特征库* 可以识别并检测802.1Q、MPLS、QinQ、GRE等特殊封装的网络报