1、1国家图书馆二期建筑网络与安全建设技术需求一、 项目概况子项目名称:国家图书馆二期网络与安全建设子项目编号:A001二、 总体说明1. 投标方提供的产品所有部件、模块和功能特性应具有一定的成熟性,面向公开市场发售,禁止使用实验室或测试阶段产品2. 投标方提供的主要网络产品应具备在大型数据中心/大型网络中稳定运行 1 年以上的案例证明,需提供已验收合格的、使用了主要网络产品的项目名称、项目基本内容、项目单位名称、项目单位地址、联系人及电话等,并出具用户证明。3. 投标方对指标表中技术功能和产品的支持应以发标日期前设备厂商公开网站公示的可订购信息为准,不得以未公开的功能和产品进行应标4. 参与投标
2、的主要产品的设备厂商对该产品具有自主知识产权;如果中标,设备厂商必须可以无偿向设备使用者提供该设备的私有MIB 信息5. 以下指标中凡标明“配置” 、 “实配”或“实配支持”字样的指标,均指应标方所提供设备能够完全提供本条目所要求的功能和性能,2招标方使用时不需要再另外支付费用6. 以下指标中凡标明“硬件化支持”或“硬件转发”字样的指标,均指设备实配通过 ASIC 或 NP 技术进行智能化处理,而不是由主控引擎的 CPU 运行软件进行的处理,请根据指标要求投标7. 指标表中所有加 “*”号的为加分指标,不加“*”号的指标为强制指标三、 技术要求1. 路由器用途: 互联网接入路由器 数量: 2
3、台基本技术指标一、整体性能1. 转发能力(1)、路由器的背板带宽700Gbps(2)、硬件支持分布式的 IPv4、IPv6 路由转发;转发速率360 Mpps(3)、支持万兆以太网端口2. 路由(1)、支持 BGP4、OSPFv2、IS-IS、RIPv2(2)、支持 IPv6 静态路由、OSPFv3、BGP4+、 RIPng(3)、说明实配支持的路由条目数3. 实配8 个千兆单模光口和8 个 10/100/1000 RJ-45 口4. 设备支持多种端口组合,支持从 OC-3 到 OC-48/STM-16、快速以太网、千兆以太网、万兆以太网等5. 槽位数:在满足现有配置要求情况下,至少有 3 个
4、可用空余插槽36. 实配硬件支持 Qos、uRPF(Unicast Reverse Path Forwarding)二、扩展功能1. 可以应客户要求提供多种广域网和局域网接口模块2. 可以通过硬件扩充和软件升级支持新的技术、特性、应用三、业务支持1. 支持数据、语音、视频综合业务信息的传输并保证质量2. 发生网络故障时能快速进行故障检测和业务切换,说明最坏的情况下故障检测和业务切换过程需要的时间四、管理1. 实配基于硬件支持 Netflow 或类似技术, 要求实配专用硬件单元以硬件方式实现,不影响系统性能。说明所支持的技术2. 支持 SNMP V1/V2/V3、RMON 1/2/3/9、Sys
5、log3. 支持 SNTP,支持 TFTP/FTP 升级。4. 实配支持本地端口镜像五、可靠性要求1. 支持所有关键部件的热插拔;2. 采用无源背板设计;3. 支持 1+1 路由处理引擎冗余,按 2:1 配置引擎备 件4. 实配 1+1 电源冗余;*六、加分选项1. 当系统满负荷运行时,所有接口应该能够以线速处理短包;同时,其交换矩阵应该能够无阻塞地以线速处理所有接口的交换,且与流量的类型无关2. 实配支持 IPv4 路由100 万条,IPv6 路由50 万条43. 实配 Netflow 或类似功能条目数 2560004. 实配基于硬件支持二、三层 MPLS VPN 5. 可扩展多种服务模块,
6、或者基于硬件支持:(1)、模块化的或基于硬件的防火墙(2)、模块化的或基于硬件的 SSL VPN 、IPSec VPN(3)、模块化的或基于硬件的入侵检测系统( IDS )(4)、模块化的或基于硬件的防毒墙6. 要求设备支持操作系统软件在线升级维护,保证系统在软件升级和更新过程中不中断分组转发7. 实配支持远程跨设备的端口镜像8. 实配支持跨板卡的端口镜像;实配的所有端口支持远程跨 IP 子网网段(即跨路由器)的端口镜像技术,并且不需要为使用此功能而另外购买许可协议、软件等。2. 核心交换机用途: 核心交换机 数量: 2 台基本技术指标一、基本要求1. 交换容量700Gbps,2. 实配硬件支
7、持分布式的 IPv4、IPv6 转发;转发速率360Mpps3. 每台设备实配:万兆多模光口36,千兆单模光口44. 所配备万兆模块与背板矩阵全双工连接80Gbps,且要求支持分布路由 处理性能46Mpps55. 在满足要求的配置的情况下,可用空闲插槽1 个二、可靠性1. 主控模块冗余能力(1)、支持主控引擎冗余,并说明支持的冗余工作方式;支持主备引擎数据备份机制(2)、实配引擎冗余;或者,如果两台核心交 换机能够形成完全冗余,即配置界面、路由协议、生成树计算、端口聚合、主控引擎切 换等各种 协议身份都作为一台看待,则可实配单引擎。对于后者需按 2:1 配置引擎备 件,并解 释使用的技术2.
8、电源冗余:实配冗余电源3. 采用无源背板设计、所有单板支持热插拔4. 设备冗余:实配支持 VRRP(Virtual Router Redundancy Protocol),说明所支持的组数5. 链路冗余:实配支持快速以太网、千兆以太网和万兆以太网通道技术,要求:(1)、所有实配端口支持组播包在捆绑链路上硬件化负载均衡(2)、所有实配端口支持跨模块捆绑机制三、路由和交换性能1. 多协议栈支持(1)、同时支持 IPv4、IPv6 多协议栈(2)、每一个实配物理接口都支持直接配置 IPv4、IPv6 网络地址2. 路由协议(1)、支持 BGP4、OSPFv2、IS-IS、RIPv2(2)、支持 IP
9、v6 静态路由、OSPFV3、RIPng、 BGP4+(3)、实配支持 OSPF、IS-IS、BGP 的 Non-Stop Forwarding/Graceful Restart 功能6(4)、实配支持硬件化转发的策略路由(Policy-Based Routing)3. 组播协议(1)、实配支持 PIM DM/SM 2.0、IGMP v1/v2/v3、IGMP Snooping(2)、实配支持 IPv6 组播服务,例如 IPv6 静态组播路由 (mroute)、PIM sparse mode (PIM-SM)等,请具体 说明支持的协议(3)、实配硬件支持 IPv6 组播包的转发4. IPv6
10、硬件转发(1)、所有实配端口硬件化支持 IPv6 单播和组播流量的转发(2)、所有实配端口硬件化支持 6to45. 实配 MAC 地址表深度 128K,线速地学习 MAC 地址四、安全性1. 支持对 DHCP、ARP 攻击的保护,并具体 说明使用的技术2. 支持 OSPF、RIPv2 及 BGPv4 报文的 MD5 或其他类似功能的密文认证3. 认证接入(1)、支持基于用户身份的 IEEE 802.1x 认证(2)、支持 IEEE 802.1x MAC Bypass,对 IP 电话、打印机等特殊设备跳过身份认证而用 MAC 地址认证(3)、支持 RADIUS 五、服务质量1. 防止拥塞丢包技术
11、:支持 WRED(RFC2309)2. 支持排队技术3. 实配硬件实现速率限制和流量整形,说明速率限制可以实现的粒度六、管理性71. 网管协议:实配支持 SNMP v1/v2/v3、RMON 1/2/3/9、SYSLOG2. 流量统计:实配支持 Netflow(兼容 RFC 3954)或类似技术,要求实配专用硬件单元以硬件方式实现,不影响系统性能。具体说明所支持的技术3. 端口镜像(1)、实配所有端口(特别是万兆端口)支持本板卡内任意端口间的端口镜像;(2)、实配所有端口(特别是万兆端口)支持跨板卡的任意端口镜像; 七、应用案例1. 提供 3 个该设备作为核心设备在节点数3000 或日均流量3
12、00Gbps 的环境中部署并连续稳定运行1.7 万小时的案例*八、加分选项1. 实配可用于管理目的的 RJ-45 口 1 个;在主交换管理引擎发生硬件故障时不会中断分组的转发,并说明使用的技术2. 设备操作系统软件的在线维护能力:设备支持操作系统软件在线升级和在线打补丁,保证系统在软件升级和更新过程中不中断分组转发(即使单引擎下也可支持)3. 实配支持虚拟交换技术,可以把多台交换机虚拟成一台,并说明工作方式4. 每一个实配物理接口都支持子接口,每个子接口都支持直接配置 IPv4、IPv6网络地址、所有实配端口支持三层(网络层)端口捆绑机制5. 实配硬件支持主控 CPU 过载保护,硬件化控制和管
13、制 CPU 所处理的流量,以抵御 DoS 保护 CPU 资源6. 支持专用硬件减轻大规模 DDoS 攻击:支持扩展 专用的硬件实现对 DDoS 的流量清洗功能,把可疑流量分流、净化和重新导入,有效防止或减 轻大规模8DDoS 攻击的破坏7. 支持基于应用协议和内容进行分类的功能,能够对包头信息外的数据段内容进行过滤,包括可以动态识别 P2P、URL 等应用信息8. 实配所有端口(特别是万兆端口)支持远程跨交换机的端口镜像技术;9. 实配的所有端口支持远程跨 IP 子网网段(即跨路由器)的端口镜像技术,并且不需要为使用此功能而另外购买许可协议、软件等。10. 实配支持对任意点到任意点的延时、抖动
14、、 丢包的双向与单向的测量;实配支持对包括 HTTP,FTP,Telnet,DNS,SMTP 等各类应用的网络服务质量的测量11. 支持扩展网络协议分析模块,能够对经过的所有数据进行抓包采集、解码、协议分析和实时告警、历史信息等,支持完整的 RMON 和 RMON2,支持对应用响应时间的测量12. 实配基于硬件支持对万兆以太网端口的流量采集、基于硬件支持对 Ipv6 的流量采集13. 支持跨核心交换机的万兆端口通道化捆绑技术;实配专用硬件实现高速的NAT 处理14. 实配硬件支持全分布式的 IPv4、IPv6 转发15. MPLS 硬件转发(1)、实配支持基于硬件的二、三层 MPLS VPN(
15、2)、所有实配端口硬件化支持 MPLS VPN 网络端功能(可以连接 P 或 PE 设备),支持硬件 MPLS VRF 转发(3)、所有实配端口硬件化支持 6PE 硬件转发3. 数据中心和服务器汇聚交换机9用途: 数据中心和服务器汇聚 数量: 2 台基本技术指标一、必备项1、 背板容量700Gbps2、 实配硬件支持分布式的 IPv4、IPv6 转发3、 可支持接口类型:GE、 10GE,支持多种端口和光接口类型4、 实配万兆多模光口8 个,千兆多模光口16 个, 10/100/1000 RJ-45 口48 个5、 空余可用扩展插槽数量5 6、 实配支持冗余交换管理引擎;或者,如果两台交换机可
16、以在二、三层形成完全冗余,即配置界面、路由协议、生成树计算、端口聚合、主控引擎切换等各种协议身份都作为一台看待,则可以实配单引擎。对于后者需按 2:1 配置引擎备件,并解释使用的技术7、 实配可热插拔电源冗余,支持电源冗余保护8、 支持快速以太网、千兆以太网和万兆以太网通道技术。9、 支持 IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3ae、802.3af、IEEE 802.3x、IEEE 802.1p、802.1x 等。10、 支持 STP/RSTP/MSTP 协议,符合 IEEE802.1D/1W/1S 标准。11、 支持 OSFP,RIPv2,
17、支持 ECMP/WCMP 协议。12、 支持 ICMPv6、支持 IPv6 静态路由、OSPFV3 、RIPng、BGP4+。13、 支持 IPv4 向 IPv6 的基本过渡技术,说明实配支持的技术14、 实配支持基于硬件的组播,支持 IGMP v1/v2/v3,支持 PIM-SM,PIM-DM,PIM-SSM,支持 IGMP 源端口和源 IP 检查,防止非法组播源任意播放。15、 支持标准 IP ACL,扩展 IP ACL 等,控制网络访问安全,支持 QOS,支持动10态 ARP 监测。16、 支持并实配基于硬件的 NetFlow 或类似功能的服务。说明实际支持的技术17、 支持 CLI、S
18、NMP v1/v2/v3、Telnet、Console、RMON、SSHv2,支持SNTP、Syslog;支持通过 tftp/ftp 升级。*二、加分项1. 当系统满负荷运行时,所有接口应该能够以线速处理短包;同时,其交换矩阵应该能够无阻塞地以线速处理所有接口的交换,且与流量的类型无关2. 支持扩展专用的硬件防火墙模块3. 支持扩展专用的硬件 IDS/IPS,可对任意端口进行流量监测4. 支持 7 层交换负载均衡模块5. 实配基于硬件获取流量统计数据6. 实配支持内置的防 IP 扫描和防 DoS 安全机制7. 基于硬件支持对 IP、UDP、TCP 协议的 ACL 匹配条目计数8. 实配支持对任
19、意点到任意点的延时、抖动、 丢包的双向与单向的测量;实配支持对包括 HTTP,FTP,Telnet,DNS,SMTP 等各类应用的网络服务质量的测量9. 实配硬件支持控制平面流量管制,即能够硬件化控制和管制 CPU 所处理的流量,根据业务要求其速率可人为调节,以抵御 DoS 保护 CPU 资源。10. 在主交换管理引擎发生硬件故障时不会中断分组转发,并说明使用的技术11. 设备操作系统软件的在线维护能力:设备支持操作系统软件在线升级和在线打补丁,保证系统在软件升级和更新过程中不间断运行,即使单引擎下也可支持12. 实配支持虚拟交换技术,可以把多台交换机虚拟成一台,并说明工作方式114. 接入交
20、换机(1)、桌面接入用途: 桌面接入 数量: 42 台基本技术指标一、必备项1、 背板容量136Gbps。2、 模块化插槽6,支持 10/100/1000BASE-T 端口、 1000BASE-SX 端口,支持多种端口数和光接口类型(千兆位接口转换器GBIC和 SFP 光接口),支持两条万兆以太网上行链路3、 实配 144 个 10/100/1000BASE-T 口,2 个万兆多模光口,8 个千兆多模光口4、 空余可用扩展插槽数量15、 支持冗余交换管理引擎,按不少于 6:1 配置引擎备件6、 实配支持热插拔电源,支持电源冗余。7、 实配双冗余 PoE 电源,支持 802.3af 标准。8、
21、支持链路聚合,最少可支持 4 个千兆口聚合。9、 支持 IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3ae、IEEE 802.3x、IEEE 802.1p 等。10、 支持 IPv6 协议,实配支持实现 IPv6;支持 IPv4 向 IPv6 的基本过渡技术,说明实际支持的过渡技术11、 支持 OSPFv2、RIPv2;支持 ECMP/WCMP 协议。12、 支持 STP/RSTP/MSTP 协议,符合 IEEE802.1D/1W/1S 标准。13、 基于硬件支持组播,支持 IGMP v1/v2/v3、DVMRP、 PIMSM/DM 等组播12路由协
22、议14、 支持 SNMP V1/V2/V3、RMON 1/2/3/9、Syslog、MIB-II、SNTP;支持 TFTP升级。15、 实配支持本地端口镜像(SPAN)和跨板卡的端口镜像,支持双向端口镜像16、 支持并配置基于硬件的 NetFlow 或者类似功能,支持硬件中的统计数据获取。说明实际支持的技术17、 支持基于物理接口、IP 地址、端口号、应用内容等 进行访问控制。说明实际支持的访问控制方式*二、加分项1. 当系统满负荷运行时,所有接口能够以线速处理短包;同时,其交换矩阵能够无阻塞地以线速处理所有接口的交换,且与流量的类型无关2. 实配支持远程跨交换机的端口镜像(RSPAN)3.
23、实配支持跨网段远程端口镜像4. 基于硬件支持对 IP、UDP、TCP 协议的 ACL 匹配条目计数。5. 支持 802.1x 协议,可实现用户名、 IP 地址、MAC 地址、VLAN ID、接入交换机 IP、接入交换机端口多元素任意绑定, 进行 802.1x 安全认证、支持 802.1x透传。具体说明实际支持的绑定方式6. 支持端口入口及出口速率限制, 速率限制数值从 64K 起连续可设。7. 支持分布式硬件转发,支持并提供业务板分布式数据处理,支持业务板卡硬件实现 ACL、QoS 功能,对数据转发性能和 CPU 利用率无影响(2)、服务器列头柜交换机13用途: 服务器接入 数量: 6 台基本
24、技术指标一、必备项1、 支持 10/100/1000BASE-T 端口、1000BASE-SX 端口,支持多种端口和光接口类型,支持两条万兆以太网上行链路2、 支持的最大端口数量2403、 实配 144 个 10/100/1000BASE-T 端口、48 个 1000 兆多模光口、2 个万兆多模光口4、 背板容量80Gbps5、 支持交换管理引擎冗余,按 3:1 配置引擎备件6、 实配支持热插拔电源、电源冗余。7、 支持链路聚合,最少可支持 4 个千兆口聚合。8、 支持基于用户身份的 IEEE 802.1x 认证。9、 支持 IEEE 802.3、IEEE 802.3u、IEEE 802.3z
25、、IEEE 802.3ae、IEEE 802.3x、IEEE 802.1p 等。10、 支持 IPv6 协议,支持实现 IPv6,支持 IPv4 向 IPv6 的基本过渡技术, 说明实际支持的技术。11、 支持 STP/RSTP/MSTP 协议,符合 IEEE802.1D/1W/1S 标准。12、 基于硬件支持组播,支持 IGMP v1/v2/v3、DVMRP、 PIM SM/DM 等组播路由协议13、 支持 SNMP V1/V2/V3、RMON 1/2/3/9、Syslog、MIB-II、SNTP;支持TFTP/FTP 升级。14、 实配支持本地端口镜像(SPAN)和跨板卡的端口镜像, 15
26、、 支持控制平面 CPU 的处理流量控制策略,能够对必须由控制平面 CPU 处理的流量进行速率管制,以保护 CPU 资源。1416、 支持并配置基于硬件的 NetFlow 或类似功能,支持硬件中的统计数据获取。说明实际支持的技术*二、加分项1. 实配支持远程跨设备的端口镜像(RSPAN)2. 实配的所有端口支持远程跨 IP 子网网段(即跨路由器)的端口镜像技术,并且不需要为使用此功能而另外购买许可协议、软件等。3. 实配支持硬件实现 ACL、QoS 功能,对数据转发 性能和 CPU 利用率无影响。4. 基于硬件支持对 IP、UDP、TCP 协议的 ACL 匹配条目计数。5. 支持 802.1x
27、 协议,可实现 IP 地址、 MAC 地址、VLAN ID、接入交换机 IP、接入交换机端口多元素任意绑定,进行 802.1x 安全认证、支持 802.1x 透传。说明实际支持的绑定方式6. 实配硬件支持基于物理接口、VLAN 内、 VLAN 间和一组 VLAN 内的根据物理地址、IP 地址、端口号、 应用内容等进行访问控制。 说明实际支持的访问控制方法四、 硬件设备环境要求1. 设备应可采用交流电源工作。2. 设备供电规格:电压:220V 单相,变化小于10%频率:50Hz 变化小于1%电源波形:正弦波畸变不大于 3%3. 所提供的设备均应能安装在标准机架中。4. 所有电源、通信电缆应符合捆
28、线标准及安全要求。155. 所有设备应具备良好的通风系统。6. 所有设备应能在正常办公条件下工作:温 度: 040相对湿度: 1085 (非凝露、非结霜)7. 中标方应对招标方机房环境提出具体要求,尤其是对于上架的网络设备更应提供详细的安装和抗震加固要求。五、 制造企业及其标准要求1. 标准:交换机的电气性能应满足行业、国家、国际标准。2. 进口产品需要满足相关的国家关于网络设备进口的法律法规、安全证明、国家指定的检测机构测试提供的检验证书等规定。3. 国内产品需要满足安全证明、国家指定的检测机构测试提供的检验证书等规定。4. 获得信息产业部颁发的网络设备电信设备进网许可证 ,并提供证明材料。
29、5. 获得 IPv6 Ready 认证证书,并提供证明材料。6. 新设备应能与国图一期网络设备兼容,给出与国图一期网络融合的方案,说明与国图一期网络设备兼容性如何。7. 对于本次招标涉及的内容,应标时需要提交设备商针对该项目的授权书。六、 安装要求1. 本次招标内容涉及的核心交换机和路由器将安装在国家图书馆二16期建筑的网络设备间;数据中心和服务器汇聚交换机及服务器接入交换机将安装在国家图书馆二期建筑的服务器机房;桌面接入交换机将安装在国家图书馆二期建筑的各楼层配线间。2. 由厂家负责解决安装中涉及到的施工问题。施工作业不得违反国家图书馆有关规定。3. 中标方应根据现场环境提出必要的环境改造方
30、案和施工计划。4. 提前 30 天向乙方提供安装条件(温度、湿度、地线、灰尘度、电源功率、电缆接头标准等) 。5. 合同签定后 30 天内设备到达现场安装,60 天内完成部署。6. 提供 8 人次的正式培训(中级 5 人次,高级 3 人次) 。7. 提供硬件安装图纸、交接手续,提供软件安装手册和使用文档。8. 提供资质、与应标时承诺的性能相符的验收测试方案、售后服务承诺等信息。9. 基于投标方的标书推荐的设备和方案,对后续的网络安全建设、网络管理提出建议方案。七、 服务要求1. 售后服务应达到 7 天 24 小时电话响应,现场工程师的响应时间应在 2 小时以内(本市) 。修复时间应在 8 小时以内。2. 全套设备要求保修三年。3. 负责全套设备的运输、装卸、直至到达安装场地以及安装就位。4. 提供必须的安装、检测培训。175. 安装后进行功能、性能测试及其验收,并双方签字备存。6. 三年保修期以后的服务价格享受与购买时同等或更加优惠的条件。