网络设备参数.docx

网络设备参数.docx

《网络设备参数.docx》由会员分享，可在线阅读，更多相关《网络设备参数.docx（20页珍藏版）》请在冰豆网上搜索。

网络设备参数

附件1网络设备参数

路由器性能要求：

序号

规格/要求

1

体系架构：

支持双主控引擎，支持基于硬件的转发机制和无阻塞交换技术。

千兆路由电口≥16个，千兆光口≥8个（含7个千兆多模光模块，1个单模），100M/1000M光口可以自适应千兆，万兆路由器端口≥1*10GE（含1个万兆多模）。

设备具有独立的交换网槽位（非主控处理引擎），和主控板槽位完全分离，以保证直插单主控板或者主控板故障切换时不会影响业务转发。

2

性能要求：

业务槽位数量≥4个，引擎性能≥170Mpps

3

物理板卡：

实配单板为路由单板，不能为交换机单板，要求物理端口可以直接配置为三层路由端口，配置IP地址

支持10GE-WAN/LAN、GE/FE、OC-3c/STM-1cPOS、ChannelizedOC-3/STM-1POS、E1/cE1

支持单板直接热插拔，不需要配置命令

4

局域网协议：

Ethernet，EthernetII，VLAN（VLAN-BASEDPORTVLAN，VOICEVLAN，GuestVLAN），802.1p，802.1Q

支持PPP、MP、PPPoEClient、PPPoEServer

5

局域网协议：

6

Netstream：

支持分布式Netflow/Netstream网络流量分析，且不需要为Netstream功能配置专门板卡

7

IP路由：

支持静态路由，策略路由，动态路由协议：

RIP、OSPF、BGP、IS-IS，支持PIM-SM,PIM-DM,MBGP等组播路由协议

8

IPv6：

支持IPv6静态路由；支持RIPng、OSFPv3、IS-ISv6、BGP4+等动态路由协议；支持IPv4和IPv6双协议栈；支持IPv4向IPv6的过渡技术：

IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道等；支持ICMPv6、UDPv6、TCPv6等；

9

MPLS：

支持MPLS三层VPN；支持MPLS-TE流程工程；支持L3VPN，支持OptionA、B、C三种方式的跨自治域互通技术；

10

QOS：

提供完善的QoS机制：

支持PQ、CQ、WFQ、CBWFQ等调度技术，支持基于IPPrecedence，802.1P,DSCP、MPLSEXP流量分类，支持流量整形以及WRED拥塞避免机制；支持ECMP、UCMP流量负载分担；

11

电源可靠性：

支持双电源、支持电源1+1冗余备份

12

管理和维护：

支持接口备份功能，VRRP、BFD等可靠性技术

支持NetStream或类似的流量采集功能；

支持Console、telnet、SSH等登陆方式；

支持SYSLOG、SNMPV1/V2/V3、RMON、WEB网管、CWMP功能；

13

产品资质：

提供工信部（或原信产部）入网证书（IPV4）提供工信部（或原信产部）入网证书（IPV6）

14

配置要求：

主控≥1，电源≥2，千兆路由电口≥16个，千兆光口≥8个（含7个千兆多模光模块，1个单模），100M/1000M光口可以自适应千兆，万兆路由器端口≥1*10GE（含1个万兆多模）

防火墙性能要求：

序号

规格/要求

1

整机：

千兆电口≥8千兆电Bypass口≥2，可扩展

2

运行模式：

路由模式、透明模式、混杂模式

3

AAA服务：

Portal认证、RADIUS认证、HWTACACS认证、PKI/CA（X.509格式）认证、域认证、CHAP验证、PAP验证

4

防火墙：

SOP虚拟防火墙技术，支持CPU、内存、存储等硬件资源划分的完全虚拟化安全区域划分

可以防御Land、Smurf、Fraggle、PingofDeath、TearDrop、IPSpoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYNFlood、UPDFlood、ICMPFlood、DNSFlood

等多种恶意攻击

基础和扩展的访问控制列表

基于时间段的访问控制列表

基于用户、应用的访问控制列表

ASPF应用层报文过滤

静态和动态黑名单功能

MAC和IP绑定功能

基于MAC的访问控制列表

支持802.1qVLAN透传

5

病毒防护：

基于病毒特征进行检测

支持病毒库手动和自动升级

报文流处理模式

支持HTTP、FTP、SMTP、POP3协议

支持的病毒类型：

Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、

AdWare、Virus等

支持病毒日志和报表

6

深度入侵防御：

支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS等常见的攻击防御

支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御

支持攻击特征库的分类（根据攻击类型、目标机系统进行分类）、分级（分高、中、低、提示四级）

支持攻击特征库的手动和自动升级（TFTP和HTTP）支持对BT等P2P/IM识别和控制

7

邮件/网页/应用层过滤：

邮件过滤

SMTP邮件地址过滤

邮件标题过滤

邮件内容过滤

邮件附件过滤

网页过滤

HTTPURL

过滤HTTP内容过滤

应用层过滤

JavaBlocking

ActiveXBlocking

SQL注入攻击防范

8

NAT：

支持多个内部地址映射到同一个公网地址

支持多个内部地址映射到多个公网地址

支持内部地址到公网地址一一映射

支持源地址和目的地址同时转换支持外部网络主机访问内部服务器

支持内部地址直接映射到接口公网IP地址

支持DNS映射功能

可配置支持地址转换的有效时间

支持多种NATALG，包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP

9

VPN：

L2TPVPN、IPSecVPN、GREVPN、SSLVPN

10

高可靠性：

支持SCF2:

1虚拟化

支持双机状态热备（Active/Active和Active/Backup两种工作模式）支持双机配置同步

支持IPSecVPN的IKE状态同步

支持VRRP

11

易维护性：

支持基于命令行的配置管理

支持Web方式进行远程配置管理

支持H3CSSM安全管理中心进行设备管理

支持标准网管SNMPv3，并且兼容SNMPv1和v2智能安全策略

核心交换机性能要求：

序号

规格/要求

1

整机：

交换容量≥1.9Tbps，包转发率≥570Mpps、业务槽位≥3、支持独立双主控、支持全分布式转发、支持无源背板、支持风扇冗余，支持风扇模块分区管理，支持风扇自动调速、提供整机高度数据

2

电源要求：

支持分区供电，颗粒化电源，支持M+N电源冗余（AC和DC均支持）

3

模块要求：

支持标准SFP,XFP,SFP+模块（支持标准SFP,XFP）、支持缓存≥200ms以太板卡、支持40GE单板，提供权威第三方机构信产部的测试报告

4

单板要求：

要求所有配置单板能进行IPV4，IPV6，MPLSVPN线速转发

5

二层功能：

支持静态MAC；

支持DHCPClient,DHCPServer，DHCPRelay；

支持Option82；

支持4KVLAN

支持1：

1，N：

1VLANmapping

支持端口VLAN，协议VLAN，IP子网VLAN；

支持SuperVLAN;

支持VoiceVLAN;

支持IEEE802.1d（STP）、802.w（RSTP）、802.1s（MSTP）

支持VLAN内端口隔离支持端口聚合，

支持1:

1,N:

1端口镜像；支持流镜像；

支持远程端口镜像（RSPAN）；

支持ERSPAN,通过GRE隧道实现跨域远程镜像；

支持VCT，端口环路检测

6

路由特性：

支持静态路由、ARP≥16K、支持RIPV1、V2,OSPF,IS-IS，BGP、支持IPFRR、支持路由协议多实例、支持GRforOSPF/IS-IS/BGP、所有实际配置板卡支持MPLS分布式处理，全线速转发、支持策略路由、支持MPLSTE、支持L3VPN

7

QoS：

支持SP,WRR,DWRR,SP+WRR,SP+DWRR调度方式；支持双向CAR；提供广播风暴抑制功能；支持WRED；

8

安全性：

支持DHCPSnoopingtrust,防止私设DHCP服务器；支持DHCPsnoopingbindingtable（DAI,IPsourceguard）,防止ARP攻击、DDOS攻击、中间人攻击；

支持BPDUguard，Rootguard。

支持802.1X.MAC地址认证

支持硬件防火墙插卡

支持硬件IPsecVPN插卡

9

访问控制：

支持基于第二层、第三层和第四层的ACL

支持双向ACL

支持VLANACL和Ipv6ACL；

支持IP/Port/MAC的绑定功能

10

可靠性：

支持2级CPU保护技术，支持1KCPU队列，提供权威第三方机构信产部测试报告

支持软件环网保护技术，可与其他厂商设备混合组网，要求倒换时间为50ms

支持IP快速重路由

11

增值业务：

支持防火墙插卡，负载均衡板卡，网流分析插卡等

12

组播：

支持IGMPSnoopingV1,V2,V3

支持PIM-SM/DM/SSM

支持MLDV1，V2

IGMPProxy

13

管理协议：

支持SNMPV1/V2/V3、Telnet、RMON、SSHV2

支持通过命令行、中文图形化配置软件等方式进行配置和管理

支持NQA

支持基于Ipv6的管理

支持集群管理

支持热补丁

14

设备维护：

支持自动配置

15

环保：

支持能效以太网功能，IEEE802.3az

16

时钟特性：

主控板支持时钟能力

同步以太网

17

配置要求：

主控≥2，电源≥2，万兆光口≥2个（含1个万兆多模），24端口百兆/千兆以太网光接口板（含23个千兆多模，1个千兆单模光模块），24端口千兆电接口板

防病毒网关性能要求：

类别

参数

功能及技术描述

硬件

接口不少于4个10/100/1000BASE-T接口，支持扩展

性能

整机吞吐率：

不少于40Gbps

最大并发连接数：

不少于350万

IPS吞吐率：

不少于20Gbps

设备部署

接入模式

要求支持直连、路由、VLAN、旁路监听、混合部署等多种接入模式。

要求支持多端口链路聚合

要求支持基于源/目的地址、接口的策略路由。

部署环境

要求支持VLAN、MPLS、PPPoE网络，能够在该网络环境中检测出攻击事件。

要求支持IPv6、IPv6overIPv4、IPv6和IPv4混合网络，能够在该网络环境中检测出攻击事件。

规则库

攻击规则库

要求攻击规则库单独分开，可支持手动、自动、以及离线升级。

应用识别规则

要求应用识别规则库单独分开，可支持手动、自动、以及离线升级。

病毒库

支持病毒库，单独分开，可支持手动、自动、以及离线升级。

入侵防御能力

入侵防御引擎

系统应具备：

融合模式匹配、协议分析、异常检测、会话关联分析，逃逸等多种技术，准确识别入侵攻击行为，为用户提供2~7层深度入侵防御。

要求支持丢弃报文、记录日志、禁止连接、TCPreset结束TCP会话等多种响应动作。

要求支持自定义攻击检测规则。

要求支持黑名单，将攻击源加入黑名单，一段时间内禁止访问。

要求支持攻击报文取证功能，检测到攻击事件后将原始文完整记录下来，作为电子证据。

攻击特征库

应涵盖广泛的攻击特征库、能够针对2300种以上攻击的攻击行为、异常事件，以及网络资源滥用流量，进行检测和防御。

（需提供界面截图）

攻击防御类型

要求能够检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类等在内的超过3500种攻击事件。

病毒防御能力

病毒检测引擎

系统应具备独立的病毒检测引擎

同时支持文件型和网络型病毒查杀。

病毒特征库

支持380万以上病毒检测规则。

病毒检测类型

要求能够检测主流FTP、HTTP、SMTP、POP3协议的病毒。

URL过滤

URL过滤引擎

系统应具备独立的URL检测过滤引擎。

支持黑白名单，精确匹配和模糊匹配。

支持阻断、URL重定向、返回默认页面、返回自定义页面等多种动作。

支持恶意网站、违反国家政策法规、潜在不安全、浪费带宽、大众兴趣、多种论坛、行业、计算机技术、等多种分类的URL过滤。

URL特征库

支持URL地址分类库。

DDOS防御功能

DDOS防御

系统应支持独立的DDOS检测、阻断及防御基线自学习的能力。

系统支持防御包括land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等在内的DOS/DDOS攻击。

系统支持DNS异常包及DNSFlood攻击防御。

（需提供界面截图）

系统支持DHCP异常包及DHCPFlood攻击防御。

系统支持ARP异常包及ARPFlood攻击防御。

系统支持CC攻击防御，且能够对Web服务器上的指定URI页面进行防护设置。

系统支持主机并发连接数和半连接数的限制。

系统支持DDOS机器人自学习功能，学习时间可设置。

应用管控功能

应用识别

系统能够根据数据内容而非端口智能识别包括P2P、即时通讯、电子商务、股票交易、网络游戏、网络电视、移动应用等在内的23大类超过1200种应用。

应用管理

系统应支持灵活的应用管理策略配置功能，实现基于主机地址、区域、时间、应用等多维度的全面、细致监控。

支持对应用协议的阻断和流量管控以及记录应用日志。

自定义应用

支持协议自定义功能。

防火墙功能

系统应支持设置访问控制规则，实现对三到七层的访问控制。

（需提供界面截图）

系统应支持源、目的地址转换以及双向地址转换。

系统应支持IP/MAC地址绑定，支持设置协议与非常用端口的绑定策略。

网络冗余

支持双机热备。

日志和报表系统

日志管理

系统应支持多种形式的日志存储,本地存储、发送至日志服务器、本地日志服务器双存储、自动方式判断日志服务器状态自动决定日志的记录方式。

系统应提供基于告警级别、时间、IP地址、事件类型、等条件的日志检索功能，具备日志导出备份、清除功能。

系统应具备日志归并功能，避免日志风暴。

报表系统

系统应支持按照时间、源IP、源端口、目的IP、目的端口、网络接口、风险级别等条件生成统计分析报表，报表内容包括攻击防护、病毒过滤、应用管控、URL过滤四大类。

系统应支持支持生成日报、周报、月报。

系统应支持报表以word、html格式导出。

系统应提供报表定时通过邮件方式自动发送。

告警系统

系统应提供全方位的包含管理、系统、策略、安全、流量等告警。

系统应提供邮件、声音、snmp多形式的告警方式。

管理监控

管理

系统支持web、命令行等多形式灵活安全策略配置。

支持B/S或C/S管理模式，可实现多级部署。

支持SNMP的v1、v2、v2c、v3版本。

支持规则库手动、自动更新。

监控

应支持系统资源监视。

应支持web页面的实时显示攻击事件。

应支持实时查看网络流量/攻击状况。

应支持基于主机、区域的攻击与被攻击的统计显示。

应支持基于协议的应用识别统计监控。

应支持基于web类型分类的控制监控。

接入层交换机性能要求：

序号

规格/要求

1

整机：

交换容量≥32Gbps，包转发率≥17.7Mpps、48个10/100Base-TX以太网端口，4个1000Base-XSFP与2个1000Base-T（Combo）以太网端口

2

VLAN：

支持基于端口VLAN（4K个）

支持基于MAC的VLAN

支持基于协议的VLAN

支持VoiceVLAN

支持QinQ

支持灵活QinQ

支持VLANMAPPING

支持GVRP

3

广播风暴抑制：

支持基于端口带宽百分比的广播风暴抑制

4

DHCP：

支持DHCPclient

支持DHCPSnooping

支持DHCPserver

支持DHCPSnoopingtrust

支持DHCPSnoopingoption82

5

路由特性：

支持静态路由

6

组播：

支持IGMPSnooping、MLDSnoopingv1/v2

7

二层环网协议：

支持STP/RSTP/MSTP

支持SmartLink

支持RRPP

8

端口汇聚：

支持LACP

支持手工聚合

支持最多128个聚合组，每组支持最多8个端口

9

端口镜像：

支持N:

4端口镜像

支持流镜像

支持RSPAN

10

管理与维护：

支持命令行接口（CLI）、Telnet、Console口配置

支持SNMP

支持IPv6SNMP和IPv6MIB

DHCPv6TRUST

支持iMC智能管理中心

支持WEB网管

支持系统日志

支持PING、Traceroute，MulticastTraceroute

支持Telnet远程维护

支持VCT（VirtualCableTest）电缆检测功能

支持端口环回检测

支持IPv6host功能族，实现IPv6管理

11

QoS/ACL：

每个端口支持8个输出队列

支持802.1p优先级、DSCP（DifferentiatedServicesCodepointPriority）优先级

支持灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP、WRR、SP+WRR三种模式

支持端口双向限速

支持流限速

支持L2~L4包过滤功能，可以匹配报文前80个字节，提供基于源MAC地址、目的MAC、MAC地址范围、源IP地址、目的IP地址、IP协议类型、物理端口、TCP/UDP端口、TCP/UDP端口范围、VLAN等定义ACL。

针对ACL定义的流，可以进行permit/deny、流限速、流统计、流镜向、流重定向、流的优先级重标记、根据流进行队列调度等QoS动作。

支持基于时间段（TimeRange）的ACL

支持入方向和出方向的双向ACL策略

支持基于端口组、全局、VLAN批量下发ACL

支持QoSprofile管理方式，允许用户定制QoS服务方案

支持基于硬件的IPv6ACL

12

安全特性：

用户分级管理和口令保护

支持GuestVLAN

支持IEEE802.1X认证

支持基于MAC地址的认证

支持集中MAC地址认证

支持portal认证

支持triple认证

用户分级管理和口令保护

支持AAA&Radius&HWTACACS认证

支持MAC地址学习数目限制

支持SecurityMAC

支持StickyMAC

支持MAC地址黑洞

支持SSH2.0

支持EAD（终端准入控制）

支持IPSourceGuard防DOS攻击

支持ARP入侵检测功能

支持ARP报文限速功能

支持端口隔离

支持管理用户RADIUS认证

支持IP＋端口的绑定

支持端口＋MAC的绑定

支持IP+MAC+端口的绑定