网络安全设备平台技术总要求

网络设备平台技术总要求：本次投标方所投网络设备和安全设备为同一品牌，投标方案中每个型号的硬件产品参数与给定参数大体相当，满足学校应用需求即可，各生产厂家具有自主知识产权的特殊性参数可以不同，软件主要是以功能为主。系统要求统一网关，支持IPV6/IPV4统一计费，方便学院平滑过渡到IPV6，WEB认证（有线+无线），万兆主干+千兆桌面，安全流控，实名日志满足公安82号令要求。所投产品须提供最新的原厂商宣传彩页；1、核心交换机具体要求如下（2台）：根据学校实际应用情况及扩展性、背板带宽=9Tbps，交换容量=6Tbps，包转发率=3500Mpps，支持电源模块冗余，电源插槽=6，支持主控冗余，业务和引擎槽位数=18；支持风扇支持动态调速，风扇数=6；支持RIPv1/V2,并支持MD5认证、OSPFv2、BGP4、LPMRouting、黑洞路由、不同进程之间的路由引入；支持IPv4/IPv6受控组播、IPv6组播技术（MLBSNOOPING、PIM-SMforIPv6、PIM-DMforIPv6、PIM-SSMforIPv6、IPv6组播隧道、IPv6静态组播）、多级环网保护技术MRPP、柔性资源调度Flex-Resource、QinQ、安全ARP、多维ACL、IPv6ACL、AM、AUTOVLAN和GUESTVLAN、IPv6安全RA、IPv6URPF、IPv6VRRPv3、DHCPv6功能，并提供国家权威机构的测试报告。支持EMVTE并提供技术白皮书；支持基于ASIC（硬件）的IPv6。基于ASIC的硬件IPv6转发是保证网络吞吐达到线速的必备条件，其他转发方式无法满足网络实际性能要求，为防止以次充好虚假应标，需要提供国家权威测试机构的报告，证明千兆和万兆端口转发IPv6流量均可达到线速。支持ARP安全功能，防范ARP攻击，防止被大流量ARP攻击占满表项造成网络瘫痪，考虑实际应用中ARP攻击问题非常严重，为保证网络的稳定性，为防止以次充好虚假应标，需要提供国家权威测试机构的报告；要求提供IPv6VRRPv3技术白皮书、DHCPv6技术白皮书、IPv6安全RA技术白皮书，要求通过IPv6ReadyPhase-2enhanced版认证，要求通过DHCPv6认证，并提供证书。每台配置：2个交流电源，管理模块1个，不少于48个独立千兆光接口，不少于24个独立千兆电接口，不少于12个万兆光接口。需提供IPV4/IPV6电信入网许可证，入网证上申请单位与生产企业必须为同一厂商，以保证该产品非OEM产品。与安全网关、汇聚交换机同一品牌。2、服务器汇聚交换机参数要求（1台）：为了保证未来良好的扩展性及网络快速线性转发，槽位数量≥4，背板带宽≥500G，交换容量≥400G，包转发率≥300Mpps；每台设备配置提供1000Base-T千兆电口≥48口，1000Base-X（SFP）千兆光口≥4口；支持扩展万兆口≥8口。.支持802.3ad(LACP)，支持负载均衡；支持STP、RSTP、MSTP协议；支持基于ASIC硬件的IPv6转发方式，需要提供国家权威测试机构的性能测试报告，证明IPv6的线速转发；支持IPv6的各项功能：ICMPv6、ND、RIPng、PIM-SMforIPv6,PIM-DMforIPv6,PIM-SSMforIPv6,MLDsnoopingv1/v2,MLDv1/v2等。IPv6DHCP、IPv6Telnet、IPv6RADIUS+、IPv6Syslog、IPv6SNTP、IPv6DHCP、IPv6FTP/TFTP、HTTPoverIPv6；支持支持标准和扩展ACL，完全硬件线速实现，不影响转发性能；提供信息产业部电信传输研究所的委托测试报告，证明交换机支持：多级环网保护技术MRPP、柔性资源调度Flex-Resource、QinQ功能、安全ARP功能、多维ACL功能、支持IPV6ACL功能、安全AM功能。从实际应用出发，并且致力于避免“虚假应标，须提供IPv6ReadyPhase2Enhance增强金牌认证。支持DHCPv6并提供IPv6ReadyDHCPv6认证；提供该单产品（非系列产品）的电信设备IPv4/IPv6入网许可证，入网证上申请单位与生产企业必须为同一厂商，以保证该产品非OEM产品；3、区域大汇聚交换机参数要求（5台，提供备用管理模块1块）：模块化结构设计，业务及引擎槽位数量≥10；背板带宽≥3.2Tbps；交换容量≥2.5Tbps；IPv4/IPv6转发性能≥1900Mpps，以满足扩容需求；支持电源及引擎冗余；支持丰富的路由协议，如RIPv1/V2,并支持MD5认证、OSPFv2、BGP4、LPMRouting、Policy-basedRouting(PBR)；需要提供国家权威测试机构的报告，证明千兆和万兆端口转发可达到线速；支持受控组播、IPv6组播技术（MLBSNOOPING、PIM-SMforIPv6、PIM-DMforIPv6、PIM-SSMforIPv6）、多级环网保护技术MRPP、柔性资源调度Flex-Resource、QinQ、安全ARP、多维ACL、IPv6ACL、AM、AUTOVLAN和GUESTVLAN，并提供国家权威机构的测试报告；支持EMVTE并提供技术白皮书；内置DHCPServer,需要提供国家级专业测试机构的报告；要求提供IPv6VRRPv3技术白皮书、DHCPv6技术白皮书、IPv6安全RA技术白皮书，要求通过IPv6ReadyPhase-2认证，和DHCPV6认证，并提供证书。每台配置：双电源，单引擎，≥48个千兆独立光口，≥24个千兆复用（combo）电口，≥2万兆接口；需提供IPV4/IPV6电信入网许可证，入网证上申请单位与生产企业必须为同一厂商，以保证该产品非OEM产品。为了保证将来的扩展性，剩余可用业务槽位不少于5个。与核心交换机、安全网关同一品牌。4、楼宇小汇聚A交换机参数要求（32台）：背板带宽≥500G，交换容量≥340Gbps，IPv4/IPv6转发性能≥260Mpps，为了保证将来的扩展性，插槽数量≥4；支持冗余电源系统；每台配置：千兆接口数量≥20个独立千兆电口，≥4个千兆光电复用端口；支持多级环网保护技术MRPP、柔性资源调度Flex-Resource、QinQ、安全ARP、多维ACL、IPv6ACL、AM、AUTOVLAN和GUESTVLAN，并提供国家权威机构的测试报告；支持IGMPSnooping，IGMPv1/v2/v3、支持igmpproxy,DVMRP,PIM-SM,PIM-SSM,PIM-DM，静态组播，边界组播，受控组播、组播VLAN；支持基于ASIC硬件的IPv6转发方式；支持标准和扩展ACL，完全硬件线速实现，不影响转发性能；支持ARP安全功能，防范ARP攻击，防止被大流量ARP攻击占满表项造成网络瘫痪，考虑实际应用中ARP攻击问题非常严重，为保证网络的稳定性，为防止以次充好虚假应标，需要提供国家权威测试机构的报告；要求通过IPv6ReadyPhase-2认证和DHCPV6认证，并提供证书。提供该单产品（非系列产品）的电信设备IPv4/IPv6入网许可证，入网证上申请单位与生产企业必须为同一厂商，以保证该产品非OEM产品。与核心交换机、安全网关同一品牌。5、千兆接入参数要求（170台）：交换容量≥100Gbps，包转发率≥74Mpps，提供不少于48个千兆电口、不少于4个千兆Combo光口,另配置2个千兆扩展电口，即单机同时可用千兆电口不少于50个，支持多对一、多session、基于流的、和基于CPU的镜像，支持私有VLAN，VOICEVLAN，协议VLAN；支持MRPP、MAC绑定、MAC过滤；支持可以防止ARP欺骗、防ARP扫描。支持IGMPSnooping，支持ICMPv6、NDP、SNMPoverIPv6、HTTPoverIPv6、IPv6Ping/tracer、IPv6Telnet、IPv6RADIUS+、IPv6Syslog、IPv6SNTP、IPv6FTP/TFTP；支持组播VLAN、安全受控组播、QinQ、安全ARP、多维ACL、IPv6ACL、AM、AUTOVLAN和GUSTVLAN。千兆光电端口支持IPv4/IPv6线速转发，并提供国家权威机构的测试报告。支持802.1x及webportal认证提供该单产品（非系列产品）的电信设备入网许可证，提供证明文件。与核心交换机、安全网关同一品牌。6、POE千兆接入参数要求（13台）：交换容量≥50Gbps，包转发率≥39Mpps。提供不少于24个千兆电口、不少于4个千兆Combo光口,另配置2个千兆扩展电口，即单机同时可用千兆电口不少于26个。支持POE供电，可对无线设备进行供电，支持802.1x及webportal认证,支持多对一、多session、基于流的、和基于CPU的镜像，支持私有VLAN，VOICEVLAN，协议VLAN；支持MRPP、MAC绑定、MAC过滤；支持可以防止ARP欺骗、防ARP扫描。支持IGMPSnooping，支持ICMPv6、NDP、SNMPoverIPv6、HTTPoverIPv6、IPv6Ping/tracer、IPv6Telnet、IPv6RADIUS+、IPv6Syslog、IPv6SNTP、IPv6FTP/TFTP；支持组播VLAN、安全受控组播、QinQ、安全ARP、多维ACL、IPv6ACL、AM、AUTOVLAN和GUSTVLAN。千兆光电端口支持IPv4/IPv6线速转发，并提供国家权威机构的测试报告。提供该单产品（非系列产品）的电信设备入网许可证，提供证明文件。与核心交换机、安全网关同一品牌。7、流量控制设备参数要求（1台）：2U机架式，双电源冗余设计，10/100/1000M千兆电口≥6，1000M千兆光口≥4,可管理桥数≥5；吞吐量≥3.9Gbps，最大并发连接数≥4,900,000。支持的策略的条数；≥65000条；功能要求：可以在二到七层对流量分类；可针对不同种网络上的应用进行流量限制或保证；支持基于应用、地址组、时间三个对象的混合策略，能够控制每个地址的流量，并能详细控制每个地址的具体应用和最大的会话数，同时能够根据当前链路的带宽状况平均分配每个地址的带宽；支持二级带宽分配策略，支持在限制每个用户流量带宽的基础上同时，还可以针对某类应用（如P2P应用）的流量带宽进行限制；能够深层分析HTTP协议并能根据URL、站点、MIME、浏览器以及下载将HTTP协议细分，根据细分的对象定义带宽管理策略；系统应通过网络应用的流量特征码及应用层特征进行流量识别，特征码库可升级。支持于端口过滤的防火墙安全功能；可实时监控内网中每个终端的上、下行流量情况，以及每个用户的流量是否被设备的管理策略所击中；可以进一步查看每个内网终端的流量的类型;支持外挂日志统计分析系统；可能过对设备的配置，将应用层的流量数据吐出到外挂日志统计分析系统。外挂日志可提供各种应用，按时间、地址等的详细的统计功能。并提供丰富的统计报表功能，外挂日志基于windows操作系统；基于专用芯片的软件故障自愈功能，支持基于电口间的ByPass断电或故障直通功能。支持CLI/SSH/HTTPS的管理方式。与核心交换机、安全网关同一品牌。8、多核USG安全网关参数要求（1台）：64位多核MIPS处理器+Crossbar高速交换总线架构（非X86），为了保证良好的扩展性，固化10/100/1000M千兆电口≥12，千兆光口≥6；吞吐量≥8Gbps，最大并发连接数≥4,900,000，每秒新建连接数≥190,000，SSLVPN隧道数标配128个，支持隧道数10,000；支持IPv6/v4双栈；工作模式支持路由、NAT、透明及混合等多种模式，集成硬件VPN功能，支持抗DoS/DDoS攻击提供SYNFlood攻击防护、畸形报文防护、IP地址欺骗防护、IP地址扫描攻击防护。内置防ARP攻击客户端，可自动分发全网;可对HTTP\FTP\POP3\SM