增城区政务外网升级改造项目需求文件.docx
- 文档编号:25141331
- 上传时间:2023-06-05
- 格式:DOCX
- 页数:38
- 大小:338.16KB
增城区政务外网升级改造项目需求文件.docx
《增城区政务外网升级改造项目需求文件.docx》由会员分享,可在线阅读,更多相关《增城区政务外网升级改造项目需求文件.docx(38页珍藏版)》请在冰豆网上搜索。
增城区政务外网升级改造项目需求文件
增城区政务外网升级改造项目需求文件
2018年5月
采购人需求
★本次采购产品为非进口产品(进口产品指通过中国海关报关验放进入中国境内且产自关境外的产品)。
★凡属于政府强制采购节能产品,请投标人承诺在交货时提供《节能产品政府采购清单》中的产品。
(注:
《节能产品政府采购清单》投标人可查询中国政府采购网<>。
)。
★凡属于《中华人民共和国实施强制性产品认证的产品目录》的产品,交货时不能提供超出此目录范畴外的替代品,产品还须同时具备国家认证认可监督管理委员会颁布《中国强制认证》(CCC认证)。
凡属优先采购节能产品,请投标人尽可能提供《节能产品政府采购清单》中的产品。
(注:
《节能产品政府采购清单》投标人可查询中国政府采购网<>。
)
凡属优先采购环境标志产品,请投标人尽可能提供《环境标志产品政府采购清单》中的产品。
(注:
《环境标志产品政府采购清单》投标人可查询中国政府采购网,网址)
★项目工期要求:
必须在合同签订后2个月内完成供货、实施和验收。
★在中标后签订合同前,采购人有权要求投标人提供以下资料原件进行检查(如果中标候选人在其投标人投标文件中声明具有),不能提供原件或资料与投标文件不符的,上报政府采购监督管理部门进行处理,由此引发的所有损失由中标供应商负责,资料包括:
1)投标人企业营业执照副本原件或事业单位法人证书原件;
2)投标人获有关部门颁发的认证证书;
3)企业信誉相关证明资料;
4)承担本项目主要技术人员的各项资质证书及参保证明;
5)案例合同。
1.项目概述
项目名称
增城区政务外网升级改造项目
项目现状
1.1.1政务外网现状
根据“雪亮工程”的指引,增城区政务网已先期完成核心网升级万兆的工作,从广州政务网接入交换机到我区出口交换机再通过出口防火墙、行为管理器到核心交换机的整个核心网络都是万兆链路。
从核心交换机到汇聚交换机使用的是千兆的双链路连接。
从汇聚交换机到单位的接入交换机使用的是千兆的光纤链路。
按“雪亮工程”的指引,有视频查询需求的15个单位为:
区公安局、区科信局、区财政局、区教育局、区住建局、区交通运输局、区水务局、区文体旅游局、区卫计局、区安监局、区城市管理局、区民防办、区发改和金融局、区商务局、区档案局。
此15个单位使用的都是千兆的接入链路。
1.1.2政务外网网络拓扑
1.1.3新机房办公区
增城区政务网机房因业务需要在2017年搬迁到了新的地址。
因机房新建,一些办公设施和监控设备都不完善。
机房办公区示意图:
建设目标
1.1.415个单位万兆升级
为更进一步完成“雪亮工程”的要求,我区政务网需要把有视频查看需求的15个单位的接入网络升级到万兆。
1)升级汇聚交换机,提供万兆传输速率
增城区政务网是按照核心-汇聚-接入的网络方案来建设的,为了对接入单位提供万兆的传输速率,必须对其上级的汇聚设备也升级为万兆设备。
14个上连汇聚交换机的接入单位只需一台万兆汇聚交换机。
科工信局连接的是行政中心的汇聚交换机,其型号为华为S7706,此交换机需要增加一张万兆板卡。
2)升级接入交换机,提供万兆传输速率
为接入单位提供万兆传输速率,要对接入单位更换有万兆光口的接入交换机,从兼容性和备件方面考虑,万兆光口应使用SFP+接口。
1.1.5机房整改
因新机房办公区新建,办公设备和办公环境设施不全,需新购办公设备和重新整改办公区环境设施,机房信息化改造如下:
1、办公区信息化设备:
序号
设备名称
单位
数量
用途
1
工作站
台
3
机房办公区办公人员用
2
移动工作站
台
1
机房办公区办公人员用
3
监控电视
台
3
办公室办公区用,一台为视频监控用,一台为网络设备监控用,一台为环境监控用
2、办公区各信息点的线路布置:
序号
名称
单位
数量
用途
1
网线、电源线、HDMI线
项
1
办公区信息点布置线路
1.1.6审计设备
为有效监控业务系统访问行为和敏感信息传播,准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,满足合规性审计要求,安全审计设备需要如下功能:
1)内容审计
安全审计系统提供深入的内容审计功能,可对网站访问、邮件收发、远程终端访问、数据库访问、数据传输、文件共享等提供完整的内容检测、信息还原功能;并可自定义关键字库,进行细粒度的审计追踪。
2)行为审计
安全审计系统提供全面的网络行为审计功能,根据设定行为审计策略,对网站访问、邮件收发、数据库访问、远程终端访问、数据传输、文件共享、网络资源滥用(即时通讯、论坛、在线视频、P2P下载、网络游戏等)等网络应用行为进行监测,对符合行为策略的事件实时告警并记录。
3)流量审计
安全审计系统提供基于协议识别的流量分析功能,实时统计出当前网络中的各种报文流量,进行综合流量分析,为流量管理策略的制定提供可靠支持。
1.1.7IT基础设施监控系统
在日常管理中,政务网的设备比较多,规模比较大。
一些设备的信息比较多,获取比较困难。
而且信息不是很直观,分析信息的难度比较大。
人工检查设备无法做到实时记录,设备出现问题无法查看出现问题时设备的历史记录,给故障定位造成一定的难度。
同时设备出现故障时,人员反馈故障有一定的时间,无法做到即时反馈。
为能解决上述问题,我们需要一款拥有显示网络拓扑、监控设备信息、记录设备信息、即时告警等功能的网络监控软件。
项目建设原则
1.安全性原则。
增城区电子政务外网是增城区政务系统内部使用的计算机互联网络,其联网范围大,联接节点多,所以确保安全至关重要。
为此,在规划设计的全过程中要充分体现系统建设和信息安全相结合的原则,从物理、技术、管理等方面制定严密的安全方案,形成多层次、全方位的安全防线。
2.实用性原则。
增城区电子政务外网的建设,要充分体现系统的实用性。
首先要考虑已建网络或应用系统需求和特点,外网要兼容已有网络和系统;其次要根据对各政务部门的业务需求进行调查,根据其调查的汇总需求,适当考虑其设备、技术的前瞻性,采用成熟的各种技术手段,实现各种功能,满足其政务部门的业务要求;再者,要充分考虑政务业务的特点,以及外网用户对使用方面的习惯、功能等要求,合理使用多媒体等技术,满足未来用户可能提出的要求,实现业务上网、网上工作、综合服务等政务业务的一站式工作平台的建设目标。
3.先进性原则。
增城区电子政务外网作为增城区党政机关的专用外网,在网络方面要求具备当今业界领先的技术水平,以保证当前及今后一段时间内的各类应用顺利运行。
由于网络设备及技术更新换代频繁,盲目的追求系统的先进性也会带来更大投资风险,因此在规划、设计外网时,既要考虑到先进性,同时要避免盲目的投资风险,在网络设备上,具有一定的扩展性和兼容性,在技术上,保证3至5年基本不过时,在存储、备份能力上按照国家外网的要求或规范配备存储设备等。
4.可靠性原则。
增城区电子政务外网要求高度的稳定性和可靠性,一个不稳定、不可靠的网络不但影响政务工作的顺利进行,还会影响政府在社会公众中的形象。
因此在外网设计和建设中,要从各个方面充分考虑网络线路的质量和设备的冗余,考虑政务业务系统可能对外网的更多需求,在稳定性没有保证的情况下,要考虑其可能的备份措施。
5.保护现有投资原则。
在网络系统设计和建设中,应尽可能地充分利用和保留原有各种网络资源及计算机系统资源等,保护已有投资,避免投资浪费,节约政府资金。
网络结构和带宽可以满足当前及今后一段时期内政务外网上各种应用的需求。
新增设备选用上,要充分考虑其兼容性、可扩展性及性能价格比。
6.可扩展性原则。
在增城区电子政务外网设计和建设中,要求在网络建成的基础上,在不影响外网上各种应用的前提下,根据业务的需要,网络、系统可以进行顺利扩展或者平滑升级。
网络可扩展的关键在于能否实现合理的模块化设计,采取模块化的设计可以根据网络需求的变化,在不影响现有网络运行的状况下,迅速扩展。
因此,整个增城区电子政务外网工程中,在设计上要尽可能选用模块化的网络产品。
2.项目建设内容
建设项
建设内容
政务外网升级改造
1.采购汇聚交换机,提供万兆链路的汇聚能力;
2.采购万兆板卡,提供万兆链路数据的接入和处理能力;
3.采购接入交换机,提供15个单位万兆链路数据的接入和处理能力;
4.采购万兆光纤模块;
5.采购IT基础设施监控系统;
6.采购审计设备。
政务网升级改造
2.1.1升级万兆网络
改造后的拓扑图:
15个需要万兆传输速率的单位中,有2个单位只有单光纤链路,有10个单位为双光纤链路,我们更换万兆交换机的同时也对链路连接进行一些改动。
增加一台万兆汇聚交换机,15个单位中,区公安局、区财政局、区教育局、区住建局、区交通运输局、区水务局、区文体旅游局、区卫计局、区安监局、区城市管理局、区民防办、区档案局等12个单位接入交换机使用万兆模块连接此台汇聚交换机,使此12个单位拥有万兆网络速率。
区公安局、区财政局、区教育局、区住建局、区交通运输局、区水务局、区文体旅游局、区卫计局、区安监局、区城市管理局等10个单位为双光纤接入单位,此10个单位的的另一条光纤使用千兆链路连接到原有的千兆交换机上,此千兆链路作为备用链路,只有当万兆链路出现故障时数据才会跳转到千兆链路上传输。
区科工信局接入到行政中心的S7706汇聚交换机上。
S7796汇聚交换机增加一块万兆板卡,把其连接到两台核心的链路都升级了万兆链路。
12个单位接入到万兆汇聚交换机,需要24个10KM的单模万兆模块。
汇聚交换机连接核心交换机需要4个220m的多模万兆模块。
行政中心汇聚交换机接入到核心交换机需要4个10km单模万兆模块。
共5个220m的多模万兆模块,30个10KM的单模万兆模块。
汇聚交换机详细参数:
指标类型
指标参数
交换容量
1.28Tbps/12.8Tbps
包转发率
720Mpps
转发模式
支持store-forward模式和cut-through模式
横向虚拟化
支持IRF2智能弹性架构
支持分布式设备管理,分布式链路聚合,分布式弹性路由
支持通用标准以太网接口进行堆叠
支持本地堆叠和远程堆叠
支持基于LACP、BFD、ARP的MAD堆叠分裂检测机制
纵向虚拟化
支持IRF3纵向虚拟化PE(PortExtender,端口扩展)模式
PE模式下支持本地转发和纵向转发模式切换
支持自动从CB(ControllingBridge,控制桥)更新版本零配置
支持S125-X/S125-F/S105/S58V2等系列作为CB
链路聚合
支持10GE端口聚合
支持40GE端口聚合
支持静态聚合、动态聚合
数据中心特性
支持VEPA802.1Qbg
支持802.1QbbPFC、802.1QazETS、ECN
支持FCoE报文透传
支持T11standards-compliantFCoE(FC-BB-5)
支持FibreChannelforwarding(FCF)
支持CiscoN-PortVirtualization(NPV)technology
支持N-portidentifiervirtualization(NPIV)
支持Standardzoning
支持FibreChannelping
支持TRILL
支持TRILL&IRF
JumboFrame
支持
MAC地址表
支持静态MAC地址
支持黑洞MAC地址
支持设置端口MAC地址学习最大个数
VLAN
支持基于端口的VLAN(4094个)
支持DefaultVLAN
支持QINQ
支持灵活QINQ
支持VLANMAPPING
支持PVST+支持RPVST+
流量监控
支持SFLOW
DHCP
DHCPClient
DHCPSnooping
DHCPRelay
DHCPServer
DHCPSnoopingoption82/DHCPRelayoption82
ARP
支持静态表项
支持免费ARP
支持标准代理ARP和本地代理ARP
支持DynamicARPInspection
支持ARPanti-attack
支持ARP源抑制
支持ARPDetection功能(能够根据DHCPSnooping安全表项、802.1x表项,或IP/MAC静态绑定表项进行检查)
路由协议
支持IPv4、IPv6静态路由,RIP等三层动态路由协议
支持IPV4IPV6静态路由;
支持RIPv1/2、RIPng
支持等价路由、VRRP、OSPFv1/v2、OSPFv3等增强三层路由协议
支持BGP*
组播协议
支持IGMPSnoopingv2/v3
支持IGMPSnoopingFast-leave
支持IGMPSnoopingGroup-policy
支持PIMsnooping
支持MSDP
支持MVRP
支持MFF
支持增强三层组播协议*(软件授权)
零配置
支持DHCPauto-config及CWMP-TR069等零配置方式
广播/组播/单播风暴抑制
支持基于端口速率百分比的风暴抑制
支持基于pps的风暴抑制
支持基于bps的风暴抑制
MSTP
支持STP/RSTP/MSTP协议
支持STPRootGuard
支持端口单通检测、环路检测功能、RootProtection、LoopProtection、EdgePort/BPDUGuard
支持BPDUGuard
QoS/ACL
支持对端口接收报文的速率和发送报文的速率进行限制
支持CAR功能
每个端口支持8个输出队列
支持QOS分类、整形、限速
支持灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP、WDRR、WRR、WFQ、SP+WDRR等多种模式
支持报文的802.1p和DSCP优先级重新标记
支持L2(Layer2)~L4(Layer4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP(IPv4/IPv6)地址、目的IP(IPv4/IPv6)地址、端口、协议、VLAN的流分类
支持时间段(TimeRange)
支持WRED
镜像
支持流镜像
支持N:
4端口镜像
支持本地和远程端口镜像
安全特性
支持用户分级管理和口令保护
支持ARP限速、ARP攻击检测和防御
支持集中MAC认证
支持802.1X
支持stormconstrain
支持AAA认证
支持RADIUS认证
支持HWTACACS
支持SSH2.0
支持端口隔离
支持IP+MAC+端口绑定
支持IPSourceGuard
支持HTTPs
支持SSL
支持PKI(PublicKeyInfrastructure,公钥基础设施)
加载与升级
支持XModem协议实现加载升级
支持FTP(FileTransferProtocol)加载升级
支持TFTP(TrivialFileTransferProtocol)加载升级
管理和维护
支持命令行接口(CLI)配置
支持Telnet远程配置
支持通过Console口配置
支持schedulejob
支持ISSU
支持802.1AG及802.3AH
支持SNMP(SimpleNetworkManagementProtocol)
支持Syslog日志发送,常用功能状态变化告警
支持SNMPv1v2cv3,常用功能状态变化告警
支持IMC网管系统
支持系统日志
支持分级告警
支持NTP
支持电源的告警功能
支持风扇、温度告警
支持调试信息输出
支持Ping、Tracert
支持Track
支持Telnet远程维护
支持USB进行文件上传和下载
接入交换机详细参数:
指标类型
指标参数
交换容量
598Gbps/5.98Tbps
包转发率
252Mpps
管理网口
1
管理串口
1个RJ-45Console口,1个MiniUSBConsole口(不能同时工作,MiniUSB优先)
前面板
48个10/100/
业务端口描述
4个万兆SFP+口
扩展插槽
1个
SDN/Openflow
支持OpenFlow1.3标准
支持多控制器(EQUAL模式、主备模式)
支持多表流水线
支持Grouptable
支持Meter
MAC地址表项
64K
端口聚合
支持GE端口聚合
支持10GE端口聚合
支持40G聚合
支持静态聚合
支持动态聚合
支持跨设备聚合
端口特性
支持IEEE802.3x流量控制(全双工)
支持基于端口速率百分比的风暴抑制
支持基于PPS的风暴抑制
支持基于bps的风暴抑制
JumboFrame
支持
MAC地址表
支持黑洞MAC地址
支持设置端口MAC地址学习最大个数
VLAN
支持基于端口的VLAN
支持基于MAC的VLAN
基于协议的VLAN
基于IP子网的VLAN
支持QinQ,灵活QinQ
支持VLANMapping
支持VoiceVLAN
支持GVRP
二层环网协议
支持STP/RSTP/MSTP、PVST
支持SmartLink
支持RRPP
支持ERPS以太环保护协议(G.8032)
DHCP
DHCPClient
DHCPSnooping
DHCPRelay
DHCPServer
DHCPSnoopingoption82/DHCPRelayoption82
IRF2
支持IRF2智能弹性架构
智能弹性架构
支持分布式设备管理,分布式链路聚合,分布式弹性路由
支持通过标准以太网接口等方式进行堆叠
支持本地堆叠和远程堆叠
IRF3
支持PE(PortExtender,端口扩展)模式
PE模式下支持本地转发和纵向转发模式切换
支持自动从CB(ControllingBridge,控制桥)更新版本零配置
IP路由
支持静态路由
支持RIPv1/v2,RIPng
支持OSPFv1/v2,OSPFv3
支持BGP4,BGP4+forIPv6
支持IS-IS
支持等价路由,策略路由
支持VRRP/VRRPv3
IPv6
支持ND(NeighborDiscovery)
支持PMTU
支持IPv6-Ping,IPv6-Tracert,IPv6-Telnet,IPv6-TFTP
支持手动配置Tunnel
支持6to4tunnel
支持ISATAPtunnel
支持IPv6inIPv6tunnel
支持IPv4inIPv6tunnel
支持GREtunnel
组播
支持IGMPSnoopingv1/v2/v3,MLDSnoopingv1/v2
支持PIMSnooping
支持MLDProxy
支持组播VLAN
支持IGMPv1/v2/v3,MLDv1/v2
支持PIM-DM,PIM-SM,PIM-SSM
支持MSDP,MSDPforIPv6
支持MBGP,MBGPforIpv6
镜像
支持流镜像
支持N:
4端口镜像
支持本地和远程端口镜像
OAM
支持802.1ag
支持802.3ah
支持ACL\QoS
支持L2(Layer2)~L4(Layer4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP(IPv4/IPv6)地址、目的IP(IPv4/IPv6)地址、TCP/UDP端口号、VLAN的流分类
支持时间段(TimeRange)ACL
支持入方向和出方向的双向ACL策略
支持基于VLAN下发ACL
支持对端口接收报文的速率和发送报文的速率进行限制,最小粒度为8Kbps
支持报文重定向
支持报文的802.1p和DSCP优先级重新标记
支持CAR(CommittedAccessRate)功能
每个端口支持8个输出队列,CPU口支持48个队列
支持灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP、WRR、WFQ、SP+WRR、WDRR五种模式
支持WRED
安全特性
支持用户分级管理和口令保护
支持802.1X认证/集中式MAC地址认证
支持GuestVLAN
支持RADIUS认证
支持SSH2.0
支持端口隔离
支持端口安全
支持PORTAL认证
支持EAD
可支持DHCPSnooping,防止欺骗的DHCP服务器
支持动态ARP检测,防止中间人攻击和ARP拒绝服务
支持BPDUguard,Rootguard
支持uRPF(单播反向路径检测),杜绝IP源地址欺骗,防范病毒和攻击
支持IP/Port/MAC的绑定功能
支持OSPF、RIPv2报文的明文及MD5密文认证
支持PKI(PublicKeyInfrastructure,公钥基础设施)
管理与维护
支持XModem/FTP/TFTP加载升级
支持命令行接口(CLI),Telnet,Console口进行配置
支持SNMPv1/v2/v3,WEB网管
支持RMON(RemoteMonitoring)告警、事件、历史记录
支持iMC智能管理中心
支持系统日志,分级告警,调试信息输出
支持NTP
支持电源的告警功能,风扇、温度告警
支持Ping、Tracert
支持VCT(VirtualCableTest)电缆检测功能
支持DLDP(DeviceLinkDetectionProtocol)单向链路检测协议
支持LLDP
支持Loopback-detection端口环回检测
绿色节能
支持EEE(802.3az)
端口自动Powerdown功能
端口定时down功能(Schedulejob)
2.1.2网络安全审计系统
安全审计系统针对网络中内部人员的敏感信息泄露、违规网络行为等层出不穷的安全事件,提供完善的安全审计方案。
安全审计系统(SAS)通过对网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确定位,为整体网络安全策略的制定提供权威可靠的支持。
体系架构
安全审计系统的体系架构主要由安全中心/WEB控制台、网络引擎及升级站点三个部分组成,方便各种网络环境的灵活部署和管理。
如下图所示:
◆安全中心具有系统监控和日志管理功能,可以集中管理多台网络引擎;并可以实现安全中心的主辅管理;支持任意层次的级联部署,实现多级管理,满足不同管理模式的需要;同时可以统一管理安全审计系统、内容安全管理系统、入侵检测系统、入侵保护系统,提供针对网络正常行为和异常行为的全面行为检测手段,实现安全数据的整体挖掘、关联分析管理;
◆WEB控制台具有系统配置管理、系统监控和日志管理功能,适合在任何IP可达地点远程管理。
◆网络引擎采用协议识别、特征检测和智能关联分析技术,全面监
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 增城 政务 升级 改造 项目 需求 文件