H3C网络设备产品参数.docx

H3C网络设备产品参数.docx

《H3C网络设备产品参数.docx》由会员分享，可在线阅读，更多相关《H3C网络设备产品参数.docx（207页珍藏版）》请在冰豆网上搜索。

H3C网络设备产品参数

安全产品技术规范

杭州华三通信技术有限公司

1.

防火墙系列

防火墙整体引导策略：

1、要求采用指定架构（M9000的分布式架构、中低端的多核非X86架构等），屏蔽和抬高友商。

2、按照我司产品接口形态（含扩展槽）引导（接口速度越高、接口数量越大友商商务越高）。

3、强调整机最大吞吐量，及单位吞吐对应的新建数，并发数等关键性能指标。

4、要求实现多业务特性：

出站链路负载均衡、多种VPN、智能安全策略。

5、要求支持完全虚拟化：

SCF（多虚一）、SOP（一虚多）。

6、要求实配虚拟防火墙数量、IPsecVPN隧道数、SSLVPN数是为了增加华为（虚拟防火墙/VPN均需要License）、思科（虚拟防火墙/SSLVPN需License费用）等厂家的商务；

7、要求支持基于IPV6的状态防火墙及攻击防范。

8、证书：

要求提供CMMI4证书、IPv6Ready认证证书。

1.1.M9000防火墙核心引导指标说明：

9、要求支持采用控制、数据、业务相分离的全分布式架构。

10、要求每槽位支持100G接口≥2个、40G接口≥4个.

11、要求接口数量引导32万兆接口（数量越大友商商务越高）。

12、强调整机最大吞吐量，及单位吞吐对应的新建数，并发数等关键性能指标。

13、要求实现多业务特性：

出站链路负载均衡、多种VPN、智能安全策略。

14、要求支持完全虚拟化：

SCF（多虚一）、SOP（一虚多）。

15、要求实配虚拟防火墙数量、IPsecVPN隧道数、SSLVPN数是为了增加华为（虚拟防火墙/VPN均需要License）、思科（虚拟防火墙/SSLVPN需License费用）等厂家的商务；

16、要求支持基于IPV6的状态防火墙及攻击防范。

17、证书：

本次招标引导的证书出来传统的公安部销售许可证证书外，我们要求提供CMMI4证书、IPv6Ready认证证书。

1.2.M9006

技术指标

M9006

系统架构

采用控制、数据、业务相分离的全分布式架构

具备独立的主控引擎、具备独立的业务引擎、具备独立的交换引擎、具备独立的接口单元

主控引擎、业务引擎、交换引擎、接口单元均硬件槽位分离

※要求提供设备正面及背面清晰照片，投标设备照片与实物不相符将作为废标项

业务槽数

≥6

系统可靠性

●主机支持主流及交流电源模块，非外置电源框扩展

●电源M+N冗余

●电源数量≥4

●主控引擎1+1冗余，主控故障或切换时设备最大转发性能不受任何影响

●所有主控引擎必须支持热插拔

●所有交换引擎必须为独立形态（非主控集成），占用专用的硬件槽位

●独立交换引擎N+1冗余，N≥3

●所有交换引擎必须支持热插拔

系统性能

吞吐量≥120G

并发连接数≥9000万

每秒新建连接≥180万

虚拟防火墙数

≥768

IPSec隧道数

≥15万

IPSec隧道性能

≥45G

L2TP隧道数

≥15万

L2TP会话数

≥15万

GRE隧道数

≥15万

GRE隧道性能

≥60G

接口板卡

支持100G、40G、10G、GE端口：

●每槽位支持的100G接口≥2

●每槽位支持的40G接口≥4

●每槽位支持的万兆接口≥32

●每槽位支持的千兆接口≥48

※要求提供所投接口板卡清晰照片，投标接口数量、类型与实物不相符将作为废标项

统一管理

通过一个串口/IP即可进行设备管理，在统一管理界面上能监控并管理所有业务模块

智能分流

业务引擎能够资源池化管理、支持即插即用；

无需配置ECMP、链路聚合等策略来负载分担流量；

无需配置哪些流量交给哪个业务引擎处理；

无需手工控制某些会话的两个方向在指定业引擎处理；

安全集群

支持安全集群，将多台物理设备虚拟化为1台逻辑设备；

设备集群后能完全作为1台设备来统一配置管理；

支持不同型号设备之间进行集群

※要求提供集群配置截图，提供官网配置手册链接

※要求提供多台防火墙虚拟成一台防火墙的用户证明

虚拟防火墙

●支持将1台设备虚拟化为多台设备使用，可为虚墙划分各类硬件资源（至少包括CPU、内存、存储空间），支持网络虚拟化（如IP、VLAN、VRF资源），

●虚拟防火墙可以按需启动、停止，设备上可以查看到虚拟防火墙状态

●支持1个物理接口可以同时属于不同的虚拟防火墙

●每单板虚拟防火墙≥256个，增加业务板能增加系统虚拟防火墙数量

※要求提供设备配置截图证明、提供以上功能截图，提供官网配置手册链接

※要求提供防火墙一虚多后互不干扰的用户证明文件

NAT特性

功能：

支持源地址NAT转换；

目的地址NAT（natserver）；

支持静态NAT映射；

支持静态NAT444、支持动态NAT444、支持NAT端口块增量分配；

支持FullconeNAT：

EIM,EIF

支持NATHairpin；

支持两次NAT；

支持双向NAT；

支持NAT二进制日志，可以设置发送开始、结束日志、活跃流日志；

支持NAT二进制日志主机负载分担：

日志主机≥16台

支持NAT444用户日志支持设置端口块分配和回收日志、支持NAT444会话日志支持设置NAT444会话开始和结束日志

支持NATALG：

FTP/h323/sip/h323/rtsp/sccp/mgcp/ils/nbt/pptp/sqlnet/tftp/rsh/xdmcp/dns/imcp-error/IPSticky/IPPersistenc

支持EasyIP

支持NAT端口复用无限连接

性能：

每个接口下可以配置NAToutbound≥2048

每个接口下可以配置的NATserver≥2048

系统支持的NatOutbound≥4096

系统支持的NatServer≥4096

系统支持NAT444端口块数目≥150万

※要求提供设备配置截图证明、提供以上功能截图，提供官网配置手册链接

过渡技术

●支持隧道技术：

IPV6OverIPV6orIPV4、IPv6overIPv4manual、IPv6overIPv46to4、IPv6overIPv4ISATAP、DS-LITEAFTR

●支持翻译技术：

NAT64、DNS64、ALG

热备技术

支持1:

1热备，支持主/备、主/主部署；

支持N:

N热备；

路由协议

支持IPv4、IPv6静态路由、等价路由、策略路由，以及BGP、RIPv2、OSPF、ISIS等动态IPv4路由协议，支持BGP4+、OSPFv3、ISISV6等动态IPv6路由协议

QOS

支持拥塞管理：

FIFO、PQ、CQ、WFQ

支持拥塞避免：

WRED

支持流量限制：

LR、CAR

支持流量整形：

GTS

支持优先级标记

支持报文过滤

支持报文镜像

※要求提供设备配置截图证明，提供官网配置手册链接

设备安全

支持基于标准、扩展的ACL报文过滤

支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证

支持命令行采用分级保护方式，防止未授权用户的非法侵入，为不同级别的用户有不同的配置权限

可靠特性

主控故障或切换时设备最大转发性能不受任何影响

支持OSPF/IS-IS/BGP/BGP4+GR，

支持双引擎快速倒换，实现50ms的引擎故障主备切换时间，支持热补丁功能，可在线进行补丁升级

支持BFDforVRRP/OSPF、支持NQA

支持静态链路聚合、动态链路聚合LACP

支持跨板链路聚合、跨设备链路聚合

链路聚合成员≥16

※要求提供设备配置截图证明，提供官网配置手册链接

设备管理

支持命令行

支持10级以上管理权限控制

支持基于命令、特性、web菜单的权限划分

支持对外接口：

CLI、Netconf、SNMPMIB、TCL脚本

支持独立网管审计平台

资质要求

厂商必须通过CMMI4认证以保障产品代码质量与稳定性，证书认证国家为China，提供证书复印件

所有安全业务板均需具备IPv6Ready第二阶段金色认证证书

主机及安全业务板卡均具备公安部《计算机信息系统安全专用产品销售许可证》

服务证明

在本地有售后服务人员，提供相关证明

厂家必须在当地设有备件库

能提供快速本地化现场技术支持，能提供7×24小时技术服务支持

1.3.M9010

技术指标

M9010

系统架构

采用控制、数据、业务相分离的全分布式架构

具备独立的主控引擎、具备独立的业务引擎、具备独立的交换引擎、具备独立的接口单元

主控引擎、业务引擎、交换引擎、接口单元均硬件槽位分离

※要求提供设备正面及背面清晰照片，投标设备照片与实物不相符将作为废标项

业务槽数

≥8（竖插槽、利于散热）

系统可靠性

●主机支持主流及交流电源模块，非外置电源框扩展

●电源M+N冗余

●电源数量≥6

●主控引擎1+1冗余，主控故障或切换时设备最大转发性能不受任何影响

●所有主控引擎必须支持热插拔

●所有交换引擎必须为独立形态（非主控集成），占用专用的硬件槽位

●独立交换引擎N+1冗余，N≥3

●所有交换引擎必须支持热插拔

系统性能

吞吐量≥240G

并发连接数≥1.8亿

每秒新建连接≥360万

虚拟防火墙数

≥1536

IPSec隧道数

≥35万

IPSec隧道性能

≥90G

L2TP隧道数

≥35万

L2TP会话数

≥35万

GRE隧道数

≥35万

GRE隧道性能

≥140G

接口板卡

支持100G、40G、10G、GE端口：

●每槽位支持的100G接口≥2

●每槽位支持的40G接口≥4

●每槽位支持的万兆接口≥32

●每槽位支持的千兆接口≥48

※要求提供所投接口板卡清晰照片，投标接口数量、类型与实物不相符将作为废标项

统一管理

通过一个串口/IP即可进行设备管理，在统一管理界面上能监控并管理所有业务模块

智能分流

业务引擎能够资源池化管理、支持即插即用；

无需配置ECMP、链路聚合等策略来负载分担流量；

无需配置哪些流量交给哪个业务引擎处理；

无需手工控制某些会话的两个方向在指定业引擎处理；

安全集群

支持安全集群，将多台物理设备虚拟化为1台逻辑设备；

设备集群后能完全作为1台设备来统一配置管理；

支持不同型号设备之间进行集群

※要求提供集群配置截图，提供官网配置手册链接

※要求提供多台防火墙虚拟成一台防火墙的用户证明

虚拟防火墙

●支持将1台设备虚拟化为多台设备使用，可为虚墙划分各类硬件资源（至少包括CPU、内存、存储空间），支持网络虚拟化（如IP、VLAN、VRF资源），

●虚拟防火墙可以按需启动、停止，设备上可以查看到虚拟防火墙状态

●支持1个物理接口可以同时属于不同的虚拟防火墙

●每单板虚拟防火墙≥256个，增加业务板能增加系统虚拟防火墙数量

※要求提供设备配置截图证明、提供以上功能截图，提供官网配置手册链接

※要求提供防火墙一虚多后互不干扰的用户证明文件

NAT特性

功能：

支持源地址NAT转换；

目的地址NAT（natserver）；

支持静态NAT映射；

支持静态NAT444、支持动态NAT444、支持NAT端口块增量分配；

支持FullconeNAT：

EIM,EIF

支持NATHairpin；

支持两次NAT；

支持双向NAT；

支持NAT二进制日志，可以设置发送开始、结束日志、活跃流日志；

支持NAT二进制日志主机负载分担：

日志主机≥16台

支持NAT444用户日志支持设置端口块分配和回收日志、支持NAT444会话日志支持设置NAT444会话开始和结束日志

支持NATALG：

FTP/h323/sip/h323/rtsp/sccp/mgcp/ils/nbt/pptp/sqlnet/tftp/rsh/xdmcp/dns/imcp-error/IPSticky/IPPersistenc

支持EasyIP

支持NAT端口复用无限连接

性能：

每个接口下可以配置NAToutbound≥2048

每个接口下可以配置的NATserver≥2048

系统支持的NatOutbound≥4096

系统支持的NatServer≥4096

系统支持NAT444端口块数目≥150万

※要求提供设备配置截图证明、提供以上功能截图，提供官网配置手册链接

过渡技术

●支持隧道技术：

IPV6OverIPV6orIPV4、IPv6overIPv4manual、IPv6overIPv46to4、IPv6overIPv4ISATAP、DS-LITEAFTR

●支持翻译技术：

NAT64、DNS64、ALG

热备技术

支持1:

1热备，支持主/备、主/主部署；

支持N:

N热备；

路由协议

支持IPv4、IPv6静态路由、等价路由、策略路由，以及BGP、RIPv2、OSPF、ISIS等动态IPv4路由协议，支持BGP4+、OSPFv3、ISISV6等动态IPv6路由协议

QOS

支持拥塞管理：

FIFO、PQ、CQ、WFQ

支持拥塞避免：

WRED

支持流量限制：

LR、CAR

支持流量整形：

GTS

支持优先级标记

支持报文过滤

支持报文镜像

※要求提供设备配置截图证明，提供官网配置手册链接

设备安全

支持基于标准、扩展的ACL报文过滤

支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证

支持命令行采用分级保护方式，防止未授权用户的非法侵入，为不同级别的用户有不同的配置权限

可靠特性

主控故障或切换时设备最大转发性能不受任何影响

支持OSPF/IS-IS/BGP/BGP4+GR，

支持双引擎快速倒换，实现50ms的引擎故障主备切换时间，支持热补丁功能，可在线进行补丁升级

支持BFDforVRRP/OSPF、支持NQA

支持静态链路聚合、动态链路聚合LACP

支持跨板链路聚合、跨设备链路聚合

链路聚合成员≥16

※要求提供设备配置截图证明，提供官网配置手册链接

设备管理

支持命令行

支持10级以上管理权限控制

支持基于命令、特性、web菜单的权限划分

支持对外接口：

CLI、Netconf、SNMPMIB、TCL脚本

支持独立网管审计平台

资质要求

厂商必须通过CMMI4认证以保障产品代码质量与稳定性，证书认证国家为China，提供证书复印件

所有安全业务板均需具备IPv6Ready第二阶段金色认证证书

主机及安全业务板卡均具备公安部《计算机信息系统安全专用产品销售许可证》

服务证明

在本地有售后服务人员，提供相关证明

厂家必须在当地设有备件库

能提供快速本地化现场技术支持，能提供7×24小时技术服务支持

1.4.M9014

技术指标

M9014

系统架构

采用控制、数据、业务相分离的全分布式架构

具备独立的主控引擎、具备独立的业务引擎、具备独立的交换引擎、具备独立的接口单元

主控引擎、业务引擎、交换引擎、接口单元均硬件槽位分离

※要求提供设备正面及背面清晰照片，投标设备照片与实物不相符将作为废标项

业务槽数

≥12

系统可靠性

●主机支持主流及交流电源模块，非外置电源框扩展

●电源M+N冗余

●电源数量≥6

●主控引擎1+1冗余，主控故障或切换时设备最大转发性能不受任何影响

●所有主控引擎必须支持热插拔

●所有交换引擎必须为独立形态（非主控集成），占用专用的硬件槽位

●独立交换引擎N+1冗余，N≥3

●所有交换引擎必须支持热插拔

系统性能

吞吐量≥400G

并发连接数≥3亿

每秒新建连接≥600万

虚拟防火墙数

≥2560

IPSec隧道数

≥55万

IPSec隧道性能

≥135G

L2TP隧道数

≥55万

L2TP会话数

≥55万

GRE隧道数

≥55万

GRE隧道性能

≥200G

接口板卡

支持100G、40G、10G、GE端口：

●每槽位支持的100G接口≥2

●每槽位支持的40G接口≥4

●每槽位支持的万兆接口≥32

●每槽位支持的千兆接口≥48

※要求提供所投接口板卡清晰照片，投标接口数量、类型与实物不相符将作为废标项

统一管理

通过一个串口/IP即可进行设备管理，在统一管理界面上能监控并管理所有业务模块

智能分流

业务引擎能够资源池化管理、支持即插即用；

无需配置ECMP、链路聚合等策略来负载分担流量；

无需配置哪些流量交给哪个业务引擎处理；

无需手工控制某些会话的两个方向在指定业引擎处理；

安全集群

支持安全集群，将多台物理设备虚拟化为1台逻辑设备；

设备集群后能完全作为1台设备来统一配置管理；

支持不同型号设备之间进行集群

※要求提供集群配置截图，提供官网配置手册链接

※要求提供多台防火墙虚拟成一台防火墙的用户证明

虚拟防火墙

●支持将1台设备虚拟化为多台设备使用，可为虚墙划分各类硬件资源（至少包括CPU、内存、存储空间），支持网络虚拟化（如IP、VLAN、VRF资源），

●虚拟防火墙可以按需启动、停止，设备上可以查看到虚拟防火墙状态

●支持1个物理接口可以同时属于不同的虚拟防火墙

●每单板虚拟防火墙≥256个，增加业务板能增加系统虚拟防火墙数量

※要求提供设备配置截图证明、提供以上功能截图，提供官网配置手册链接

※要求提供防火墙一虚多后互不干扰的用户证明文件

NAT特性

功能：

支持源地址NAT转换；

目的地址NAT（natserver）；

支持静态NAT映射；

支持静态NAT444、支持动态NAT444、支持NAT端口块增量分配；

支持FullconeNAT：

EIM,EIF

支持NATHairpin；

支持两次NAT；

支持双向NAT；

支持NAT二进制日志，可以设置发送开始、结束日志、活跃流日志；

支持NAT二进制日志主机负载分担：

日志主机≥16台

支持NAT444用户日志支持设置端口块分配和回收日志、支持NAT444会话日志支持设置NAT444会话开始和结束日志

支持NATALG：

FTP/h323/sip/h323/rtsp/sccp/mgcp/ils/nbt/pptp/sqlnet/tftp/rsh/xdmcp/dns/imcp-error/IPSticky/IPPersistenc

支持EasyIP

支持NAT端口复用无限连接

性能：

每个接口下可以配置NAToutbound≥2048

每个接口下可以配置的NATserver≥2048

系统支持的NatOutbound≥4096

系统支持的NatServer≥4096

系统支持NAT444端口块数目≥150万

※要求提供设备配置截图证明、提供以上功能截图，提供官网配置手册链接

过渡技术

●支持隧道技术：

IPV6OverIPV6orIPV4、IPv6overIPv4manual、IPv6overIPv46to4、IPv6overIPv4ISATAP、DS-LITEAFTR

●支持翻译技术：

NAT64、DNS64、ALG

热备技术

支持1:

1热备，支持主/备、主/主部署；

支持N:

N热备；

路由协议

支持IPv4、IPv6静态路由、等价路由、策略路由，以及BGP、RIPv2、OSPF、ISIS等动态IPv4路由协议，支持BGP4+、OSPFv3、ISISV6等动态IPv6路由协议

QOS

支持拥塞管理：

FIFO、PQ、CQ、WFQ

支持拥塞避免：

WRED

支持流量限制：

LR、CAR

支持流量整形：

GTS

支持优先级标记

支持报文过滤

支持报文镜像

※要求提供设备配置截图证明，提供官网配置手册链接

设备安全

支持基于标准、扩展的ACL报文过滤

支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证

支持命令行采用分级保护方式，防止未授权用户的非法侵入，为不同级别的用户有不同的配置权限

可靠特性

主控故障或切换时设备最大转发性能不受任何影响

支持OSPF/IS-IS/BGP/BGP4+GR，

支持双引擎快速倒换，实现50ms的引擎故障主备切换时间，支持热补丁功能，可在线进行补丁升级

支持BFDforVRRP/OSPF、支持NQA

支持静态链路聚合、动态链路聚合LACP

支持跨板链路聚合、跨设备链路聚合

链路聚合成员≥16

※要求提供设备配置截图证明，提供官网配置手册链接

设备管理

支持命令行

支持10级以上管理权限控制

支持基于命令、特性、web菜单的权限划分

支持对外接口：

CLI、Netconf、SNMPMIB、TCL脚本

支持独立网管审计平台

资质要求

厂商必须通过CMMI4认证以保障产品代码质量与稳定性，证书认证国家为China，提供证书复印件

所有安全业务板均需具备IPv6Ready第二阶段金色认证证书

主机及安全业务板卡均具备公安部《计算机信息系统安全专用产品销售许可证》

服务证明

在本地有售后服务人员，提供相关证明

厂家必须在当地设有备件库

能提供快速本地化现场技术支持，能提供7×24小时技术服务支持

1.5.新一代防火墙F50X0核心引导指标说明：

1、要求支持下一代深度安全特性，以及丰富的接口数量。

2、强调整机最大吞吐量，及单位吞吐对应的新建数，并发数等关键性能指标。

3、要求实现多业务特性：

出站链路负载均衡、多种VPN、智能安全策略。

4、要求支持完全虚拟化：

SCF、SOP。

5、要求实配虚拟防火墙数量、IPsecVPN隧道数、SSLVPN数是为了增加华为（虚拟防火墙/VPN均需要License）、思科（虚拟防火墙/SSLVPN需License费用）等厂家的商务；

6、要求支持基于IPV6的状态防火墙及攻击防范。

7、证书：

本次招标引导的证书出来传统的公安部销售许可证证书外，我们要求提供CMMI4证书、IPv6Ready认证证书、信息安全评测报告EAL3级、ISCCC颁发的《中国国家信息安全产品认证证书》。

1.6.F5040防火墙招标参数

功能及技术指标（带★号为必须满足）

技术要求

★硬件架构

采用非X8664位多核高性能处理器和高速存储器

主控模块内存≥32G

2U以下盒式设备

★支持单板类型

24个千兆+6个万兆接口

★端口要求

≥12个千兆光口+12个千兆电口+4个万兆端口

整机最大可扩展接口数量48GE+10*10GE

★产品性能

最大并发连接数≥3000万

每秒新建连接数≥600K

整机吞吐量≥40Gbps

3DES加密≥10G

AES256加密≥10G

★可靠性要求

支持VRRP的链路备份

支持双机堆叠SCF技术，融合后可统一管理配置，并实现负载分担和业务备份，要求提供配置截图及公司盖章

支持IpsecVPN的IKE状态同步

基本功能

支持安全区域管理，可基于接口、VLAN划分安全区域

ASPF状态检查

支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤，支持时间段安全策略设置。

支持基于CPU、内存、等硬件划分资源的完全虚拟化，可分配吞吐量、新建、并发,虚拟防火墙数量≥256个，要求提供配置截图及公司盖章

支持AV防病毒、