货物需求及技术要求

为鼓励不同品牌的充分竞争，如某设备的某技术参数或要求属于个别品牌专有，则该技术参数及要求不具有限制性，投标人可对该参数或要求进行适当调整，但这种调整整体上要优于或相当于招标文件的相关要求，并说明调整理由，且该调整须经评委会审核认可。

1、在采购活动开始前没有获准采购进口产品而开展采购活动的，视同为拒绝采购进口产品。

2、根据“关于印发《政府采购进口产品管理办法》的通知”及“关于政府采购进口产品管理有关问题的通知”的相关规定：下列采购需求中如涉及进口产品则已履行相关论证手续。

3、中标人提供的货物为进口产品的，供货时须向采购人提供所投进口产品的海关报关单等证明材料。

一、项目背景

1．1建设背景

    随着信息技术的迅猛发展和广泛应用，通讯网络与信息系统的基础性、全局性作用日益       增强。         

    大力推进信息化，是中央顺应世界信息化发展潮流作出的重大战略决策。在这种大形势下，加快我国电子政务建设，对于加强党的执政能力建设，加快政府职能转变，提高行政质量和效率，增强政府监管和服务能力，促进社会监督，实施信息化带动社会整体的发展战略，具有十分重要的意义。

    国家电子政务外网是按照中办发〔2002〕17号文件和〔2006〕18号文件要求建设的我国电子政务重要公共基础设施，是服务于各级党委、人大、政府、政协、法院和检察院等政务部门，满足其经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。国家电子政务外网由中央政务外网和地方政务外网组成，与互联网逻辑隔离，按照统一规划、分级负责的原则进行建设。

    2010年10月，中央机构编制委员会办公室批复同意国家信息中心加挂国家电子政务外网管理中心牌子，承担政务外网的运行维护及相关管理工作，对地方政务外网建设和运行进行业务指导。安庆市政务外网的建设与管理由市经济信息中心负责，同时接受安徽省政务外网管理单位安徽省经济信息中心业务指导。

    安庆市电子政务外网建设于2006年开始建设,由省经济信息中心负责运维管理。 当时投资少、业务系统数量少、数据少，网络结构只是简单的接入汇聚，只有市直机关和县区少量节点，带宽不超过10M。

    2014年，国务院办公厅发出《关于促进电子政务协调发展的指导意见》(国办发〔2014〕66号)，2015年，安徽省人民政府办公厅发出《关于促进电子政务协调发展的实施意见》(皖政办〔2015〕25号)，明确要求各地、各部门对现有业务专网应用进行合理分类，理清边界，有序向政务内网或外网迁移。当时为落实国办、省办通知精神，同时避免超前建设、投资浪费，经请示市政府同意，我市采取了由各使用外网单位向各自网络运营商租用外网服务模式（各单位按月付线路租金），基本保证了外网接入需求，实现了市本级一级财政供给单位接入全覆盖。

    2018年5月，安徽省电子政务协调发展领导小组办公室印发《关于进一步加快我省电子政务外网建设工作的通知》（皖电政办[2018]4号），要求各地必须于2018年底前升级改造市级政务外网城域网、县级政务外网城域网和市到县政务外网骨干网。2018年7月，省经济信息中心印发了《安徽省电子政务外网市县建设技术指南》（皖信[2018]24号），进行升级改造具体规范。

    按照省政府办公厅关于电子政务外网升级改造工作要求，此次升级改造工作重点：一是网络覆盖范围进一步扩大到村（社区），二是建立市级电子政务外网管理平台，三是统一互联网出口。此次改造工作，列入安徽省2018年电子政务重点工作计划（皖电政办[2018]8号），纳入2018年度目标管理绩效考核。升级改造经费，各地市自行负责。

    根据省政府办公厅通知和《安徽省电子政务外网市县建设技术指南》，结合我市实际，本着经济实用、适度超前的原则，市经济信息中心经过认真调查研究，制订《安庆市电子政务外网升级改造建设方案》，拟实施安庆市电子政务外网升级改造项目。

1．2建设依据

《关于进一步加快我省电子政务外网建设工作的通知》（皖电政办〔2018〕4号）

《安徽省电子政务外网市县建设技术指南》（皖信[2018]24号）

《安徽省“十三五”电子政务发展规划》（皖发改办[2017]号）

《国家电子政务内外网建设和管理规划（2011-2015）》（中办发[2011]21号）

《关于进一步加强国家电子政务网络建设和应用工作的通知》（发改高技[2012]1986号）

《关于推进国家电子政务外网IPV6改造工作的通知》（国办电函[2018]70号）

《安徽省电子政务协调发展领导小组办公室关于印发安徽省2018年电子政务重点工作计划的通知》（皖电政办〔2018〕8号）

《关于做好公钥密码算法升级工作的通知》（国密局字[2011]50号）

《计算机信息系统国际互联网保密管理规定》（国家保密局2000年1月1日）

 

二、需求分析

2．1建设需求分析

    安庆市电子政务外网升级项目改造主要包含以下需求：

    1、升级改造网络系统

    （1）完善市级骨干网建设。采用市县扁平化政务外网建设方案，对县(市)级电子政务外网节点改造，最终取消实现县（市）级节点，市级双核心设备上联省级外网，县级不设外网路由节点，纳入市级城域网统一建设；启动市级节点与运营商骨干网备份线路建设，网络可靠性要达到 99%以上，主备链路带宽均不低于 100M；统一完成县（市）级节点设备的改造迁移工作。

    （2）完善市、县（区）两级横向城域网建设。实现对市、县（区）级政务服务实施机构的专线全覆盖；逐步将通过专线接入到市级外网节点交换机的市级单位迁移至市级外网城域网；依托政务外网建设统一互联网出口，逐步缩减各政务部门自建的互联网出口数量。

    （3）完成县以下外网全覆盖。加快电子政务外网向县以下乡镇（街道）、行政村（社区）等基层政务用户延伸，鼓励有条件的地方通过专线实现基层政务部门全覆盖，暂不具备条件的可通过 VPDN、移动安全接入平台等多种方式向基层延伸，实现县以下乡镇（街道）、村（社区）外网全覆盖。

    （4）公用网络区和专用网络区贯通到县。确保公用网络区和纵向 MPLS VPN 在纵向骨干网上的可路由性，保障部署在公用网络区和专用网络区的纵向信息系统实现从中央到县级的全线贯通。

    （5）落实外网逻辑分区建设。落实外网公用网络区、专用网络区和互联网接入区的分区建设原则，做好各分区之间的逻辑隔离，确保外网技术路线和标准的统一。

    （6）规范外网 IP 地址使用。根据《关于印发安徽省电子政务外网新增 100 段 IP 地址规划的通知》（皖信〔2016〕12 号）及《电子政务外网 IPv4 地址规范》（DB34/T 30742017）的要求，统筹规划安庆市市及所辖县（市、区）外网 IP 地址，进一步规范 IP 地址的使用，将 100 段地址作为外网互连和管理地址使用，59 段地址作为外网全局业务和终端转换地址使用。

    2、健全网络安全防护体系

    （1）加强安全防护和监测分析。加强政务外网安全防护体系的建设和监测分析工作，推动安庆市政务外网统一安全接入平台和跨网数据交换平台的建设。

    （2）落实国家等保相关要求。按照国家网络安全等级保护的要求，完成电子政务外网的定级和备案工作,市级电子政务外网定为三级，每年开展一次等保测评，并进行安全整改，县级电子政务外网至少定为二级。

    （3）加强网络安全审计。安庆市政务外网城域网核心节点和市县广域网部署网络安全审计系统，相关网络日志留存时间不少于六个月。

    （4）加强终端安全管理。在部门局域网内的互联网终端访问政务外网时，通过接入认证网关等方式进行认证，实现“单网通”。

    3、完善网络运维管理体系

    （1）建设市级运维管理平台。建立安庆市电子政务外网统一网络运维管理平台，将市级外网城域网、运营商到县广域骨干网进行统一运维管理，将县以下外网纳入市级运维管理平台进行监测。

    （2）推进省市两级协同运维。完成市、县级外网城域网重要设备 100 段 IP 地址改造，并纳入省级网络运维管理平台进行监测，在原有“两级管理”的运维模式基础上，通过优化工作流程和丰富管理手段实现省市两级协同运维。

    按照《安徽省电子政务外网市县建设技术指南》（皖信[2018]24号）要求，安庆市电子政务外网最终将建设成为上连省电子政务外网节点，横向连接市区所有政务部门，下连各县（市）所有政务部门以及县以下乡镇（街道）、村（社区）的广域网络，网络覆盖面广，接入单位众多，网络环境各有不同，网络建设是一项非常复杂的系统工程。现行的安庆市电子政务外网网络主要存在以下诸多问题和缺点：

    （1）互联互通程度不高

    当前各级委办局机关基本建设了本部门的局域网，有些委办局已经建成纵向业务系统，形成各自网络自治域，不同委办局之间的信息共享和业务协同程度亟待提高。

    （2）网络可靠性有待加强

    电子政务各种业务系统的顺利运行是其它行业正常运行的基础，政府业务的中断将对社会造成不利的影响，现行的安庆市电子政务外网基本为单套设备运行，某一设备的故障可能导致整个网络的中断，直至该设备修复。因此为充分保证电子政务外网及业务系统的可靠性，需要从设备，链路，组网，业务等方面综合加以考虑。

    （3）业务保障能力不足

    安庆市电子政务外网运行着大量的政务应用，如视频会议、电子公文、协同办公等，大量的数据、图片和视频需要在电子政务外网网络中传播，为决策提供数据支撑。电子政务外网网络需要为关键业务提供高优先级保障，为各种业务数据的承载提供质量保证。另外问题的及时定位和排除是保障业务质量的最重要手段，需要能提供多种手段检测如链路丢包、设备硬件丢包、配置错误、规划错误，网络攻击等可能会影响业务质量的网络问题，现行的安庆市电子政务外网网络均不具备上述功能，急需升级改造。

2．2建设目标

    为了使安庆市电子政务外网网络能够更好的为政务资源信息系统提供网络支撑，本次项目旨在通过对电子政务外网网络设备的升级替换改造工作，加强整个电子政务外网网络的业务承载能力，网络容错能力和网络健壮性，保证电子政务资源的高效使用。整体网络建设目标如下：

    （1）建设高性能的电子政务外网网络系统：

    安庆市电子政务外网作为一个综合性的网络，将承载多种业务类型包括办公系统、语音、视频等，尤其是随着视频业务的逐渐增多，对网络带宽的需求不断增加。高性能网络设备及高带宽链路是满足上述业务要求的基础。

    本次安庆市电子政务外网改造，需要对网络的承载性能进行全面升级到10GE骨干网络，更好的满足安庆市电子政务外网现在及未来十年对于网络传输的性能要求。

    （2）建设完善的服务质量保证体系：

    安庆市电子政务外网需要承载业务数据，语音，视频等应用信息，业务数据对网络的要求是响应时间短，传输速度快；而语音和视频这些实时应用则要求数据流平稳，延迟稳定。网络设计必须充分考虑服务质量的问题，能够及时发现网络故障，保证网络承载的多种业务应用能够正常运行。

    （3）建设高可靠性、高安全性的网络：

    作为承载政务业务的网络平台，业务传输的可靠性和安全性要求非常高，需要考虑部署完备的网络可靠性及安全性机制。

    安庆市电子政务外网改造项目中，所有的网络骨干层设备必须保障可靠的设备级冗余、链路级和关键硬件级的冗余。

    设备级冗余：网络骨干层的关键设备部署1+1冗余，杜绝网络骨干层设备的单点故障导致的整网或者片区网络的瘫痪风险。

    链路级冗余：网络骨干层设备间的互联链路保障1+1冗余。核心交换机同核心路由器的互联，杜绝网络骨干层设备的单点故障导致的整网或者片区网络的瘫痪风险；核心交换机之间、核心路由器之间、必须保障跨板卡的1+1链路冗余，杜绝骨干层设备板卡的损坏导致的横向虚拟化瘫痪和1+1热备失效。

    关键硬件级冗余：网络骨干层的所有设备的关键硬件（主控引擎、交换网板、模块化电源、风扇和风扇框等）必须做到可靠的1+1或M+N冗余。

    （4）建设结构化的、易于维护的网络：

    为了便于与省电子政务外网骨干网对接和各应用单位的接入管理，网络结构应具有一定的可扩展性，并使运维管理尽量简化。

2．3设计思路及原则

    需求主导：

    网络的设计必须满足政务系统开展电子政务工作的需求，能提供各级政务部门间纵向连接和横向连接，以满足“互联网+政务服务”的应用要求。

    统筹规划：

    网络设计时必须协调有关单位，对网络地址和域名进行统筹规划，并研究和制定相关的标准和管理办法等。

    整合资源：

    充分利用政务系统电子政务外网资源，加强已有网络资源的整合，促进互联互通，形成统一的电子政务外网城域网。要充分考虑到已有资源的利用和投资保护问题，特别是要充分考虑已经建设的安庆市电子政务外网网络的情况，节省费用，保护投资。

    服务应用：

    网络系统的设计必须为各级政务部门的业务应用（包括横向和纵向的业务系统）提供服务。

    注重安全：

    网络的设计必须保证业务和数据的安全性。网络系统要采取多层保密和防范措施，保证网络、服务器等设备的安全稳定，防止系统外非法用户的侵入和系统内用户的非法探测和恶意泄密，系统内工作人员分级按权限操作。系统的安全要达到国家规定的电子政务外网的安全标准。要求主要设备支持国密算法。

    着眼发展，分步实施：

    电子政务外网平台建设技术含量高、工程投资大、涉及面广，是一项长期的工作，不可能一蹴而就，必须具有全局观念，在总体规划指导下，按计划、分步骤的来进行。要实事求是地分析现状，熟悉和了解技术的发展趋势，合理分配有限的资金，在遵循总体规划的前提下，确定切合实际的软硬件配置方案，制订短、中、长期相结合的分步实施计划，以实现降低工程建设风险，提高资金使用效率的目的。

    为保障安庆市电子政务外网项目顺利实施和运行，项目设计方案应遵循以下主要原则：

    先进性、实用性原则：

    从较高的起点对网络建设进行规划，充分采用先进成熟的网络技术，满足安庆市电子政务外网各种业务实时数据、非实时数据传输需要。工程建设方案要面向未来，技术必须具有先进性和前瞻性，以确保在未来10年内不落后，同时也要坚持实用的原则，在满足性能价格比的前提下，坚持选用符合标准的、先进成熟的产品和开发平台。

    可靠性原则：

    网络设计过程中从网络技术、电路保护、设备等多方面考虑电子政务外网平台的可靠性，保证数据传输的安全可靠。同时提供的7×24的服务保障，从技术和服务两方面保证电子政务外网的可用性达到要求。

    成熟性和发展性相结合原则：

    工程建设应首先采用符合目前业界计算机及应用系统发展趋势的主流技术，技术先进并趋于成熟的、被公众认可的优质产品。既要保证当前系统的高可靠性，又能适应未来技术的发展，满足多业务发展的要求。要本着“有用、适用和好用”的原则，不片面追求硬软件设施的先进性，强调整个系统的可连接性和整体布局、应用的合理性。

    经济性原则：

    通过技术经济比较，性能价格比较，选择优化的网络结构和网络技术，尽可能利用和保护现有设备和投资，做到从实际出发，制定经济、合理的方案，以最小的网络建设和网络维护成本建设一个高可用、高安全的安庆市电子政务外网网络。

    可管理性原则：

    电子政务外网是一个比较大、比较复杂的系统，它包含大量硬件设备、软件系统和数据信息资源，这些资源分布在各部门，因此技术方案要为政府管理提供多层次、方便、有效的管理手段，为系统正常运行提供网络技术管理保障。

    标准性原则：

    信息技术的发展越来越快，为了使该安庆市电子政务外网在未来运行过程中其技术能和整个信息技术的发展同步，安庆市电子政务外网应具备灵活适应性和良好的可扩展性，系统的结构设计和产品选型要坚持标准化，首先采用国家标准和国际标准，其次采用应用普遍的实用化工业标准。

    可扩充性原则：

    考虑到安庆市电子政务外网各种应用业务的飞速发展，网络承载的信息流量不断增加。电子政务外网的设计要充分考虑未来带宽扩容的需要，从网络和设备的配置上都保留一定的扩充余地，便于满足随着新技术发展带来的新功能的要求，满足电子政务外网不断发展的业务需要。

三、网络详细设计

3．1网络总体改造方案设计

    3．1．1 网络现状

    当前安庆市电子政务外网网络现状图如下：

 

    安庆市电子政务外网已连续运行多年，设备超期服役，偶发硬件设备故障， 且节点路由器单机部署， 容易发生单点故障。总结有以下问题：

    1、设备老旧需要更换，随着设备的老旧，电子元件发生故障的概率增高，部分设备已经没有备用部件能够更换，大大增加了网络的运营风险和不稳定因素；

    2、网络核心侧单机部署存在单点故障的隐患，任一核心层设备故障均会影响整网运行；

    3、运维复杂，没有有效的运维手段，只能凭经验处理故障，也无法及时发现网络和设备中存在的隐患，因此增加有效的管理运维措施和手段是迫切需要的；

    4、无有效网络安全监控手段，网络整体不可控。

    3．1．2整体网络规划设计

    3．1．2．1安庆市电子政务外网网络规划

    根据《安徽省电子政务外网市县建设指南》要求，结合安庆市实际情况，本次升级采用市县扁平化网络升级方案。

    如上图，在网络物理架构上，对于现外网市级核心层设备进行替换升级；建立统一的互联网出口和移动接入点；建立网络统一运维管理区和安全管理区，相关设备改造后的功能描述如下：

核心区：

    1、核心层路由器

    政务核心路由器作为电子政务外网的核心，负责整网网络流量和三层路由的转发工作。

设备要求双主控、满配电源、满配交换网板、满配风扇保持可靠性，使用虚拟化技术部署；

支撑N对1虚拟化，支持IPV6，支持分布式Netstream网络流量分析，支持NAT转换功能，支持NAT转换日志上报。

    2、核心层交换机

    框式核心交换机部署横向虚拟化技术，将2台交换机虚拟成1台核心交换机，虚拟化单板冗余，与业务单板在不同槽位，虚拟化控制通道和业务转发通道严格分离；保障整个网络可靠性，同时保持后续拓展。

    核心设备要求共计2台核心设备，主控、交换矩阵、风扇等模块满配，通过万兆堆叠线缆互联，使用虚拟化技术部署，支持分布式Netstream网络流量分析。

    运维管理区：

    运维管理区负责整个电子政务外网网络设备统一管理。统一网管系统针对电子政务外网（网络设备、安全设备、服务器、存储和机房设备等等），提供一体化融合运维管理解决方案。可视化界面方便运维人员快速定位网络故障节点，大大提升网络可靠性和稳定性。

    3．1．2．2统一互联网出口

    本次工程新建两台高性能路由器，作为统一互联网出口和移动接入，网络内部采用vpn方式对电子政务外网和互联网流量进行隔离，各委办局接入方式如下。

 

    3．1．3路由组织方案

    省下发到市的广域网节点路由器与市广域核心路由器通过OSPF多进程与市网对接，市通过城域网核心交换机与县区城域网核心交换机互联，设计示意如下：

 

    （1）拓扑图描述

    省网为单一自治区域，BGP 的区域号为国家统一规划的AS 64815，省级广域网核心路由器上连国家，下连各市广域网节点路由；各市级广域网节点路由横向连接地市广域网核心路由，地市广域网核心交换下连各ISP核心交换。

    （2）路由规划

市广域网节点路由与市广域网核心路由之间属于OSPF 1 area 1，市广域网核心路由、互联网核心出口路由与市城域网核心交换之间属于ospf2 area 0，东部新城大楼划分为ospf2 area 1，运维管理区划分为ospf2 area 2，电信城域网核心划分为ospf2 area 3，移动城域网核心划分为ospf2 area 4，联通城域网核心划分为ospf2 area 5，同时互联网核心出口路由向OSPF区域内强制下发默认路由。

    （3）路由控制

    市城域网核心交换分别为各自OSPF进程的ABR，在ABR上对接入的设备做路由汇总以及过滤非法路由；在市广域网核心路由上启用两个ospf进程，两个OSPF进程之间做好路由的重发布，在市网中引入所有学到的省网的路由，将市网路由发布省网的时候过滤掉所有私网路由，只宣告59段和100段的路由。

    （4）路由重定向

    市城域网核心交换旁挂入侵检测等安全设备，根据需要创建流分类和流行为，在对应接口上创建流策略进行路由重定向，为提高报文转发效率，入侵检测仅对入方向报文进行检测。

    （5）MPLS VPN规划

    在省网全网运行ospf协议并保证路由可达情况下运行BGP协议，所有BGP 协议以loopback地址作为router id，全省运行BGP 的设备都位于AS 64815中，与国家级设备之间建立EBGP邻居关系，与地市广域节点路由建立IBGP 邻居关系；地市广域节点路由与县区城域网核心交换、市城域网核心交换之间建立IBGP邻居关系；地市广域网节点路由做为BGP反射器，地市广域网路由、县区城域网核心交换分别作为路由反射器的客户端。

3．2县（市）级节点改造

    3．2．1县（市）级网络现状

    当前县级节点网络现状如下：

    3．2．2县（市）级节点迁移方案

    本次升级改造后，采用市县一体扁平化组网方案，县（市）级节点路由将统一退网处理，县（市）级用户接入由运营商负责，各运营商需同步完成链路带宽升级，原则上各运营商至核心交换机之间带宽不低于10Gbps,市县之间带宽不低于1000Mbps。改造后拓扑如下：

    各县（市）节点退网后，原分配的59和100全局IP地址需进行回收统一处理，各县（市）根据实际情况制定迁移计划，为减少迁移难度，在迁移初期IP地址可不做更改，在业务测试正常后方可断开原链路。

    节点改造完成后，逐步释放原使用的59和100 政务外网IP地址，无法释放的，需向信息中心备案同意后可继续使用，原则上IP按24位掩码进行回收。

    3．3可靠性方案设计

    3．3．1端到端可靠性概述

    对于电子政务外网而言，其上承载各委办局的业务，其中包括可靠性要求较高的视频会议、应急指挥等业务。这些业务要求在链路故障时，能够在200ms以内切换备用链路，以保障其实时业务在网络故障时的平滑体验。为了达到这个目标，需要综合多种技术端到端实现200ms以内的故障快速切换。

    如果依赖于传统动态路由协议进行收敛，由于OSPF的Hello报文周期需要秒级，至少经过3个Hello报文周期才能发现链路中断，然后重新收敛计算IP路径，之后再计算MPLS  LDP路径，这个过程将至少是秒级，甚至是分钟级，远远超出实时业务所能承受的无感知切换时间200ms。为达到200ms快速切换的目标，需要利用多个可靠性技术，综合实现端到端的200ms收敛。

    首先，需要提高设备本身的高可靠性，包括核心部件双冗余，不间断转发等技术；

在链路故障时，需要快速感知链路中断，主要技术是双向链路检测BFD；

    在感知到链路故障后，能够在动态路由协议震荡前，快速启用备份路由，主要技术是快速重路由技术FRR，包括IPFRR，LDPFRR，VPN FRR等；

    链路负载均衡实现，正常运行时全网的流量负载均衡，保持网络的稳定运行。

    3．3．2设备可靠性设计

    由于电子政务外网的业务特征，设备的可靠性是最关键的，减少设备故障才能保障电子政务的服务质量。设备级可靠性的技术很多，常用的有热插拔技术、冗余备份技术和不间断转发技术等。这些技术一方面可以提供组件的冗余备份，另一方面可以保证在设备出现故障时，即使控制层面出现故障，业务仍然能够不间断转发。

    网络中的核心网络设备，要求具有电信级的可靠性。核心网络设备具有电信级高可靠性，支持如下设备级可靠性措施。

    主控1:1备份

    交换网1+1/1:1两种方式

    DC电源1+1备份；AC电源1+1/2+2备份

    模块化的风扇设计，高端配置支持单风扇失效后正常工作

    无源背板，高可靠性

    独立的设备监控单元，和主控解耦

    所有模块支持热插拔

    完善的告警功能

    设备1:1备份

    协议要求：

    为了保障政务外网中设备故障到自恢复过程中转发不中断，路由不震荡等。要求各相关网络协议，如路由协议OSPF、IS-IS、BGP，其他协议如LDP等，具备不间断转发包括GR和NSR技术，GR技术需要路由器之间配合进行，NSR设备无须路由器之间配合，由设备自身完成保护。

    路由器应支持相关网络协议，如OSPF（RFC3523）、BGP（draft-ietf-idr-restart-08.txt）、IS-IS（RFC3847）、LDP（RFC3478）等的NSF和NSR技术。

    由于电子政务外网是公共服务网络平台，在网络/设备升级时不应该、也很难让用户网感知与配合。而传统的升级方案都会造成较长时间的业务中断，中断时间往往长达几十分钟，严重影响用户使用。所以对实现不中断业务软件升级（ISSU）的需求不可回避。

    虽然可以利用建立的多条等价/备份路径，在版本升级时将业务切换到备用路径来保证业务的正常运行。但在这种情况下需要调整网络配置，增加了出错的概率和延长了升级时间，同时也可能由于业务的负载调整导致用户流量集中而引起服务中断。如果现有网络不存在备用路径则这种方法无效。

    ISSU过程描述：

    首先用新版本重启备用主控板，重启之后备用主控为新版本，主用主控为旧版本；

    执行主备倒换的命令，原先的主用主控按照新版本启动，该步骤结束之后，主用主控运行版本为新版本，备用主控运行版本也为新版本；

    升级线卡，线卡可以采用快速重启单板方式和进程倒换的方式进行升级。如果采用进程倒换的方式进行升级，需要在进程所在单板上创建待升级进程的冗余备份进程，然后进行进程级别的倒换。

    在这个过程中，由于主备冗余和热备份技术的使用，使得业务在倒换的过程中不中断。

本次配置的设备要求全部支持NSF，NSR，ISSU等技术，到主备倒换时不丢包，确保政务外网本身的设备可靠性。

    3．3．3链路故障快速感知技术

    故障快速感知技术是故障快速切换保护的基础，只有实现故障的快速发现，才能实现故障的快速切换保护。故障快速感知技术可以绑定到上层应用，如IGP的收敛、GR和FRR等。

路由器一种常用的故障感知技术就是BFD技术，BFD(双向转发检测)是一套用来实现快速检测的国际标准协议，提供一种轻负荷、持续时间短的检测。

    BFD能够在系统之间的任何类型通道上进行故障检测，这些通道包括直接的物理链路，虚电路，隧道，MPLS LSP，多跳路由通道，以及非直接的通道。同时正是由于BFD实现故障检测的简单、单一性，致使BFD能够专注于转发故障的快速检测，帮助网络以良好QoS实现语音、视频及其它点播业务的传输，从而帮助服务提供商基于IP网的实现，为用户提供所需的高可靠性、高适用性VoIP及其它实时业务。

    BFD是一个简单的“Hello”协议，其实现原理是网络中一对节点在它们之间的所建立会话的通道上周期性的发送检测报文，如果某个系统在足够长的时间内没有收到对端的检测报文，则认为在这条到相邻系统的双向通道的某个部分发生了故障。根据协议作用范围可分为单跳BFD和多跳BFD，检测周期可达到10ms。如下图所示：

BFD检测原理示意图

   本次网络建设中，为了快速感知核心节点到核心节点之间的故障，建议部署BFD技术，进行端到端的可靠性检测，提高故障感知速度。

    3．3．4快速重路由方案设计

    当路由设备检测到链路故障后，如果还需要重新震荡计算的过程，才能计算出另外一条路径，那么到将仍然不能满足200ms级的快速切换要求，使用数据承载网的政企单位实时业务将中断。

    这时就需要FRR快速重路由技术，FRR（Fast Reroute，快速重路由）是指当物理层或链路层检测到故障时将故障消息上报上层路由系统，并立即使用一条备份链路转发报文。 本项目中，因为政企单位的专线将由MPLS VPN来承载，因此除了IP FRR技术外还会涉及VPN FRR，LDP FRR技术。

    IP FRR 用户保护三层IP连接:

    对于数据承载网的IP层连接，通过IP FRR建立保护。即在主链路可用时，通过 Route-Policy 设置 IP FRR 策略，把备份路由的转发信息同时提供给转发引擎。当转发引擎感知到主链路不可用时，能够在控制平面路由收敛前直接使用备份路径转发信息。

    1）LDP协议工作方式为下游自主标签分发 + 有序的标签控制 + 自由的标签保持；

    2）指定的备份端口，前提是LDP运行在这个端口上；

    3）为被保护的端口的表项增加一个下一跳及备份标签；

    4）某个端口不能正常工作时，立即更新其状态，倒换到备份的端口；

    3．4  QOS设计

    结合电子政务外网组网的特点，建议整网启用DiffServ、节点启用H-QoS技术，实现对政务外网络中VPN业务的不同业务流，提供差分H-QoS保障。

    首先确定QoS的信任域，信任域边界按业务类型保障要求进行流分类/优先级标记；

    根据PHB做全网的拥塞管理和调度。

   按政务外网的业务类型及优先级设置如下表所示：

类别类型	优先级	PHB
网络管理	6、7	CS7
应急指挥	5	EF
视频会议	4	AF4
视频监控	3	AF3
办公业务	2	AF2
批量数据流	1	AF1
其他	0	BE

    对委办局VPN内部不同的业务区分需要HQoS进行调度，设备应支持IP与VPN等的5级H-QoS。级数越多带来的好处，是业务的调度更加精细。从端口、到隧道、到VPN、到业务类型、到去往某个PE的具体业务流量细粒度的保障。

    3．5网络质量检测方案

随着网络的发展，各种应用业务得到了广泛部署，链路的连通性和网络性能的好坏直接影响着承载网络上的各种业务。因此，作为网络承载管道的性能检测显得尤为重要。

    iPCA（Packet Conservation Algorithm for Internet）是一种通用的IP网络性能检测的方案，可以有效地解决上述问题。iPCA可以直接对业务报文进行测量，在线监控IP网络承载的业务的变化，真实准确地反映出业务的运行情况，对于网络的故障诊断、业务统计有重大意义。

    丢包检测：

    丢包统计功能是指在某一个测量周期内，统计所有进入穿越网络的流量与离开网络的流量之间的差。丢包测量主要有两种类型：点到点丢包测量和多点到多点丢包测量。

    点到点丢包测量

    点到点丢包测量是指通过测量指定两台设备之间链路的丢包情况，确定链路的质量。

多点到多点丢包测量

    多点到多点丢包测量是指通过测量指定的多台设备之间链路的丢包情况，确定链路的质量。

    时延抖动：

    时延直接测量就是对实际业务的报文进行抽样记录，测量其在网络中的实际转发时间，抽样方法是通过设置业务报文的特征位进行染色区分。时延统计主要有两种类型：单向时延 测量和双向时延测量。

    点到点单向时延测量

    单向时延统计是指通过测量指定两台设备之间链路单方向的网络时延，确定链路的质量。

    点到点双向时延测量

    双向时延统计是指通过测量指定的两台设备之间链路的往返时延，确定链路的质量。

    3．6  IP地址管理方案设计

    本工程须分配的的IP地址类主要含终端地址（用户）、管理地址、业务地址等。总体分配原则如图所示：

    全市采用100地址作为设备互联地址，用户终端使用172和10地址，在市级核心路由上统一做NAT转换，业务平台采用统一规划59地址；

    原各县规划使用的59地址逐步统一上收，作为NAT地址池和预留地址使用；

    各局委办网络内部的IP由用户自己规划，相关IP进入公共网络区需要做NAT转换为政务外网统一规划的IP，同时做好各ABR路由过滤，过滤非法路由。

    3．6．1  IP地址设计

    IP地址设计原则：

    IP地址规划对于网络系统设计与配置、应用效率、可维护性和可扩展性等方面都有很大影响，因此合理的IP地址分配是网络设计的重要目标之一。IP地址分配有如下原则：

    唯一性：一个IP网络中不能有两个主机采用相同的IP地址。

    连续性：简化路由选择，充分利用地址空间，最大限度地实现地址连续性，并兼顾今后网络发展，便于业务管理。连续地址在层次结构网络中易于进行路由汇总（也称路由总结），大大缩减路由表，提高路由算法的效率。充分利用CIDR（无类域间路由）技术，减少路由表大小，加快路由收敛速度，同时减少网络中传播的路由公告信息，降低网络中用于传播路由信息的开销，避免局部网络故障引起整个网络上的路由算法进行再计算，提高网络的总体性能。

    可扩展性：充分考虑网络未来发展的需求，坚持统一规划、长远考虑、分片分块分配的原则。地址分配在每一层次上都要留有余量，在网络规模扩大时能保证地址空间汇总所需的连续性。

    规范性：严格按照IP地址分配原则进行IP地址的规划及项目实施。

    标准化和灵活性：充分利用标准化的无类别域间路由(CIDR)技术和可变长子网掩码(VLSM)技术，合理、高效、充分地使用IP地址空间。

    层次性：IP地址划分的层次性应体现出网络结构的层次性。

    可管理性：为便于网络设备的统一管理，分配一段独立的IP地址段做网络互连地址和loopback地址。

    3．6．2  IP地址分配详细设计

    对于设备Loopback地址的分配

    各路由器的Loopback地址是一个重要的地址，在不同的方面都需要它的参与，这主要包括了以下的几种情况：

    路由器的Loopback地址，是保证内部路由协议的正常运行的重要条件；路由器的Loopback地址，是建立iBGP会话的主要参数的选择。

    选择Loopback地址作为iBGP会话建立的基础，对于会话的稳定性能够提供很好的支持。

路由器的Loopback地址是MPLS协议分发标签的重要参照地址。

    综合这些方面，各路由器的Loopback地址，对于整个网络的正常运行，有着至关重要的作用，因而对于各个路由器的Loopback地址的分配和管理，应当采取统一的专有地址空间。通过为所有的路由器分配一个专有的地址空间，能够更为有效地进行路由器的路由配置和管理，以及方便今后的运行维护和故障定位。

    Loopback地址分配IPv4采用32位掩码，IPv6采用128位掩码分配方式。

    设备间链路地址的分配

    路由器（交换机）间链路的IP地址，从业务的相关性上，他们一般不具有全局的功能，而只是提供完成两个路由器之间的连接。因而从这个角度上讲，这部分的地址空间的分配应当考虑以下的方面：

    尽可能以分层次的方式为他们分配地址。

    由于链路地址空间不具有全局性，因而并不需要在全网范围内为每个链路保持精确路由。而采取分层次的地址分配方式，能够将链路地址逐级汇总，从而使得这些地址在各路由器的路由表中占有较少的空间。以降低对路由器的要求，并保证路由器的处理效率。

    提供足够的预留空间，以满足今后新增链路的需要。

    采用上面的分层次的链路地址分配结构，能够保证路由处理的高效性。而在实施的过程中，应当考虑到在根据业务需要新增链路的时候，这种分层次的结构尽量不会被打破。那么，就需要在初期分配的时候，考虑到不远的将来可能进行的扩容，从而进行相应的预留。

    互连链路地址IPv4采用30位掩码，IPv6采用127位掩码的分配方式。

    3．7命名规范

    3．7．1网元设备命名规范

	城市缩写	—	运营商标识	—	县缩写	—	设备属性	—	设备别称
符号	字符	字符	字符	字符	字符	字符	字符	字符	字符
字符数	2	1	2	1	2	1	<8	1	<16
选项	必选	必选	可选	必选	可选	必选	必选	必选	必选

    字母统一采用大写

    除设备别称和已标出的符号，各标识的两端、中间不带任何空格、符号，只能采用大写字母和数字

    城市缩写，统一采用AQ

    运营商标识根据各运营商不通统一采用DX、YD、LT标识

    县缩写根据接入县（市）分别采用大写首字母标识

    设备属性，规定如下：

    政务外网核心路由器ZWCR

    互联网出口核心路由器 INCR

    核心交换机CSW

    汇聚交换机DSW

    园区交换机ASW

    防火墙FW

    入侵检测系统IPS

    设备别称，填写设备厂家及具体型号，中间添加“—”进行分割，如有多台，后面跟上一位数字，如H3C-S7506-1

    3．7．2网络接口描述规范

    端口描述包含以前几部分：

	uT:(上行) pT:(平行) dT:(下  行)	对端设备名称	用户标识	:	对端端口标识	子接口
符号	字符	字符	字符	字符	字符	字符
字符数	3	<32	<15	1	<10	<2
选项	必选	uT和pT必选 dT可选	端口为用户接口时必选	必选	可选	可选

    对端设备名称需与网元设备命名一致

    用户标识为使用单位名称拼音，当端口为用户接入端口时仅需描述为“dT：用户标识”

    对端设备端口标识需与对端设备端口一致，方便后期运维

    对于空闲未使用端口，需统一shutdown处理，便于运维监管

    3．8  IPv6演进方案

    根据国家政策的要求，部分城市已开展国家下一代互联网示范城市建设工作。按照当前的发展形势，为保证投资，电子政务外网网络需要具备进行IPv6业务过渡的条件，同时要求各汇聚层设备同步启动IPv6支持改造。

    3．8．1  IPv6演进的主流方案和技术

    双栈技术

    双桟定义在RFC4213中，是指在终端设备和网络节点上既安装IPv4又安装IPv6的协议栈，从而实现分别与IPv4或IPv6节点间的信息互通。

    单协议栈与双协议栈结构如下图所示。

    IPv4与IPv6单协议栈与双协议栈结构

    双栈技术是IPv4向IPv6过渡的一种有效的技术，是IPv4向IPv6过渡的基础，所有其它的过渡技术都以此为基础。网络中的节点同时支持IPv4和IPv6协议栈，源节点根据目的节点的不同选用不同的协议栈，而网络设备根据报文的协议类型选择不同的协议栈进行处理和转发。

    双栈技术可以在一个单一的网络设备上实现，也可以是一个双栈网络，对于双栈网络，其中的所有设备必须同时支持IPv4/IPv6协议栈，连接双栈网络的接口必须支持配置IPv4地址和IPv6地址。

    隧道技术

    隧道技术是指一种协议封装到另外一种协议中的技术。隧道技术用于实现分布于IPv4网络中孤立的IPv6网络之间的互连，或者分布在IPv6网络中的IPv4岛屿互连。隧道技术只需要边界节点实现双栈，并通过隧道将一个地址族的数据穿越另一个地址族网络。隧道技术示意图如下图所示。

    隧道技术工作原理是：利用现有的IPv4网络为互相独立的IPv6网络提供连通性，IPv6网络边缘设备收到IPv6网络的IPv6报文后，将IPv6报文封装在IPv4报文中，成为一个IPv4报文，在IPv4网络中传输到目的IPv6网络的边缘设备后，解封装去掉外部IPv4头，恢复原来的IPv6报文，进行IPv6转发。

    隧道技术有很多种，常见的有：GRE隧道、6 to 4隧道、ISATAP（Intra-site Automatic Tunnel Addressing Protocol）隧道、L2TP隧道、6RD隧道等。

    转换技术

    为了缓解IPv4地址紧缺的问题及实现IPv4与IPv6的业务互访，可以利用转换技术，转换技术主要包括IPv4私网地址到公网地址转换的DS te、NAT44和NAT444，以及IPv6地址到IPv4地址转换AFT(Address Family Translation)相关的SIIT（Stateless IP/ICMP Translation）、NAT-PT（Network Address Translation-Protocol Translation）和NAT64（Network Address Translation IPv6&IPv4）和IVI，因为转换技术相对来说还未成熟，并且有ALG（Application Level Gateway）问题，可扩展性差。

    下表列出了三种过渡技术的对比。

过渡技术	技术介绍	优点	缺点
双栈	同时支持IPv6和IPv4协议，应用程序根据DNS解析地址类型选择使用IPv6或IPv4协议。 基础的过渡技术，用于IPv6孤岛互联、IPv6和IPv4的互通。	互通性好，实现简单。允许应用逐渐从IPv4过渡到IPv6，适合大规模部署。	对每个IPv4节点都要升级，没有解决IPv4地址紧缺问题。（政府使用私有地址时无此影响）
隧道	主要利用IPv6报文作为IPv4的载荷或由MPLS承载。在原有IPv4网络上使IPv6孤岛互联。	将IPv4的隧道作为IPv6的虚拟链路。	额外的隧道配置，降低效率，只能实现v6-v6设备的互联，适合小规模使用。
转换技术	转换技术用于实现纯IPv6节点和纯IPv4节点间的互通。一般是借助中间的转换技术服务器实现IPv6网络与IPv4网络间的通信。主要技术有：SIIT、NAT64和IVI等。	不需要升级设备。	需要投入额外的设备，效率低。存在应用层网关问题，可扩展性差。

 

    MPLS 6PE/6vPE技术

现有骨干IPv4 MPLS网络改造升级支持IPv6的接入和承载，同时可以提供IPv6 VPN业务。骨干网PE设备开启双栈，支持IPv6静态、动态路由，运行MP-BGP，LDP，6PE或6vPE。新增IPv6 RR，或升级原IPv4 RR，以避免MP-BGP邻居间的全连接。

综合考虑对现网IPv4技术及业务的影响，IPv6业务的平滑过渡，建议采用端到端双栈方案。

    3．8．2安庆市电子政务外网IPv6方案

    安庆市电子政务外网采用IPv4/IPv6双栈，实现IPv4及IPv6业务的互连互通。其中在IPv4组网的基础上，增加部署OSPFv3和BGP4+支持IPv6 域内路由协议。为了便于维护，保持IPv6与IPv4在流量、邻居关系的一致性，建议保留现有的IPv4路由结构，同时将IPv4的路由规则复制到IPv6路由协议，如IGP和区域、EBGP出口等。另外PE设备部署支持6VPE，实现IPv6用户的数据互通及VPN隔离。

    IPv6用户接入方案

    EBGP对接方式： MCE设备支持IPv4/IPv6双栈, 与城域边界PE建立EBGP和EBGP4+邻居对接；保留现有的IPv4路由结构，同时将IPv4的路由规则复制到IPv6路由协议。该方案适用于大中型规模的用户网络接入，在用户内网需要部署动态路由协议，如数据中心网络，区政府园区网，区直单位网络等。

    静态路由对接方式：用户MCE设备支持IPv4/IPv6双栈，与城域边界PE采用IPv4和IPv6静态路由对接；用户网络内部部署二层网络，MCE为三层网关，部署静态默认路由指向边界PE设备，引导内网用户访问城域流量。适用于网络管理区及外联单位的网络接入。

    二层对接方式：用户CE设备，与城域边界PE建立二层对接，边界PE为三层网关；用户网络为二层网络，边界PE设备将用户网络二层直连路由(IPv4/IPv6)引入到BGP和BGP4+向城域网发布，引导城域用户访问用户内网；适用于社区街道，无线专网等二层方式接入的用户网络。

    IPv6地址选择包括用户地址，设备互联地址和管理地址等。考虑到统一地址规划，提高可管理性，用户地址建议使用GUA，需要在边界路由器对这些路由进行过滤；设备互联地址仅应用于两个设备之间的链路（Point-to-Point Link），使用/64-prefix，RFC4291、RFC5375 、RFC3627等多个RFC均作为推荐首选；管理地址一般采用loopback/128前缀长度。

    主机地址可使用四种方法进行配置

    静态配置—类似于IPv4，主机地址、掩码、域名系统（DNS）服务器和缺省网关址通过人工方式定义。

    无状态地址自动配置（SLAAC）（RFC 2462）。

    无状态DHCPv6：主机使用SLAAC获取地址前缀和默认网关，通过DHCPv6来获取其它参数，如DNS服务器、TFTP服务器、WINS等。

    基于状态的DHCPv6：主机使用DHCPv6获取IPv6地址（RFC 3315）。主机与DHCPv6服务器不在相同网络时，需要在网关处部署DHCPv6 Relay。此方式为政府常用部署方式。

主机IPv6地址配置方式取决于从路由器获得的RA所携带的标记，推荐使用基于状态的DHCPv6为用户分配地址。

    3．8．3   IPv6地址规划

    IPv6地址规划的关键因素

    参考当前网络设计

    IPv6地址规划尽量与当前IPv4网络设计吻合，降低风险，也可以将原IPv4 VLAN信息、子网信息，物理位置信息在IPv6子网ID中体现。

    合理的层次化设计

    层次化设计可以提高路由聚合性和可管理性，但层次越多，地址利用率越低。

    IPv6子网长度必须为64

    否则将破坏一些IPv6特性。（RFC4291和RFC5375规定）。

    使用ULA地址的注意事项

    ULA主要用于站点内部使用，类似IPv4的私网地址，使用知名前缀fc00::/7，基本分配单元为/48-prefix，详见RFC4193。政府不需要访问Internet时可以使用。

    路由聚合

    采用层次化设计，提高聚合性，需要访问Internet的政府推荐仅使用GUA（全球单播地址），站点（Site）分配地址时，优先使用低位bit，提高聚合性。

    扩展性

    考虑业务类型增加和用户数增长，合理预留地址空间。

    安全性

    控制敏感路由发布（用于管理和互联等地址），网络隔离（如使用ACL控制）。

    IPv6地址选择

    用户地址选择

   考虑到统一地址规划，提高可管理性，建议使用GUA，需要在边界路由器对这些路由进行过滤。

    设备互联地址选择

    仅应用于两个设备之间的链路（Point-to-Point Link）；使用/64-prefix，RFC4291、RFC5375 、RFC3627等多个RFC均作为推荐首选

    局域网前缀长度选择（Prefix Length）

    推荐使用/64前缀长度。

    管理地址

    使用loopback /128前缀长度。

    IPv6地址分配

    主机地址可使用四种方法进行配置

    静态配置—类似于IPv4，主机地址、掩码、域名系统（DNS）服务器和缺省网关址通过人工方式定义。

    无状态地址自动配置（SLAAC）（RFC 2462）。

    无状态DHCPv6—主机使用SLAAC获取地址前缀和默认网关，通过DHCPv6来获取其它参数，如DNS服务器、TFTP服务器、WINS等。

    基于状态的DHCPv6—主机使用DHCP获取IPv6地址（RFC 3315）。主机与DHCPv6服务器不在相同网络时，需要在网关处部署DHCPv6 Relay。此方式为政府常用部署方式。

    主机IPv6地址配置方式取决于从路由器获得的RA所携带的标记，推荐使用基于状态的DHCPv6为政府分配地址。

    VLAN划分

    在双栈场景下，IPv6与IPv4共用相同的VLAN划分，由于IPv6是网络层协议，对VLAN的规划可以使用与原有IPv4VLAN相同的规划，建议尽量保持IPv4与IPv6使用相同的VLAN规划。

    3．8．4  IPv6兼容性概述

    如上图：

    电子政务外网全网采用双栈模式是比较通用和成熟的方式，在现有的IPv4环境中部署IPv6，并且IPv6与IPv4能独立完整保持所需的相关功能性和安全性，全网不存在IPv6孤岛。

    电子政务外网全双栈模式要求全网设备都必须支持双栈模式，但可能存在之前的老旧设备不支持IPv6的情况，要求各运营商同步进行设备升级。

    全双栈模式适合全新建设的园区网或现有网络设备支持IPv6的场景，适合大规模部署。

接入层的L2交换机整体上对IPv6三层转发是不可见的，但接入交换机的某些三层特性，需要支持以下几种应用：L2组播、MLD（Multicast Listener Discovery） snooping、IPv6管理（Telent/SSH/SNMP）。

    核心层作为整个电子政务外网的路由交换中心，需要支持丰富的动态路由协议。在有专门的路由器作为政务外网出口的场景，核心层交换机需要支持RIPng/OSPFv3/IS-ISv6这三种单播路由协议，以及PIM-SM组播路由协议。

四、网络管理方案

    4．1网络统一管理

    随着近年互联网+政务不断发展，在电子政务外网基础上开展的应用不断完善。而在这一发展过程中，逐步发现除了要依靠网络设备本身和网络架构的可靠性之外，管理和安全成为了关键环节。当前，网络系统的结构复杂和规模庞大，即要保证网络系统的正常运作，又需要保证业务系统的正常工作，传统的各自独立的“分立式”系统已经无法满足复杂的IT系统的管理要求，构建跨厂商跨平台的统一管理平台已经成为大势所趋的方向。

    4．2主要功能

    4．2．1拓扑管理

    自动发现是网管监控拓扑中非常重要的一个功能，它能够自动识别设备类型，包括各种服务器、路由器、交换机、IT系统等，以及它们之间的关系，并且自动将它们存储到公用对象库中对应的类中。

    网络管理人员通过图形管理界面能够直观的查询网络拓扑关系。自动发现顺序有三种发现方式，包括ICMP、SNMP、CDP、LLDP。其中ICMP是按照IP地址，将子网内的各个主机节点逐一发现，它的发现内容最全面，但是耗时也是最长，视子网内主机数量而定。SNMP和CDP主要是用来搜索网络内的路由器、交换机等网络设备。

    拓扑自动发现可以分为两个阶段。网管拓扑自动发现第一阶段是构建企业网络基本框架阶段——从某一路由器出发，将与该路由器相连接的子网和其他路由器搜索出来，构建出网络框架。网管拓扑自动发现第二阶段丰富完善网络结构阶段——从已经搜索出的网络设备继续延伸搜索，包括子网中的主机，直至将整个网络拓扑图搜索完整，全面呈现网络拓扑结构，实时显示网络设备、服务器和PC机的运行状况和资源状况。

     通过对网络设备的运行状况进行监测，网络管理人员可及时了解设备资源使用情况，并可通过设备面板图对网络设备进行远程操作。网管全面支持SNMPV1、V2和V3，轮询代理每隔一定的时间就向每一发现的设备发出IPPing请求。在设备作出响应或停止响应时，轮询代理将向网管服务器发送信息报告设备的状态变化。轮询代理也可以轮询任何SNMP变量的值以确定有响应设备的内部状态。

    自动拓扑发现。自动发现网络中的子网、所有的设备(路由器、交换机、交换路由器、PC机等)、网络中的线路、接口以及设备的端口等信息。并在用户界面上正确展现网络拓扑结构。

    真实面板图功能，用户可以查看指定设备的真实面板图，鼠标指向面板上各个端口时，能显示相应端口的状态。真实面板图与程序分离，真实面板图不嵌入Visio控件内，而是用户点击设备属性菜单后弹出另一窗体，这样一来只需要收集设备的JPG图片，然后与指定设备关联，并注册各端口在图中的相对坐标。做一个小程序来完成关联与注册工作，在应用过程中可以不断添加新的设备面板图，甚至用户都可以为新购的设备添加设备面板图。

    4．2．2 应用拓扑展示

    网管监控运维监控平台的系统应用拓扑管理模块可以对中间件、数据库、电子邮件、Web系统、DNS系统、FTP系统、商务应用等进行全面深入的监测管理。系统管理人员可根据需要制作并发布逻辑拓扑图，通过可视化图形和动态直观视图实时了解整个系统的运行状况，迅速定位系统故障。

    4．2．3故障告警管理

    网管监控运维监控平台故障管理系统是管理骨干网和子网络的设备、网络和业务所出现的故障；帮助网管人员采集、统计和分析来自网络各方面的报警信息和故障信息，准确预警、定位和解决网络中的故障。

    原则上讲，所有支持SNMP协议的网络设备的故障与报警都能被网管监控运维监控平台所管理。网管监控运维监控平台作为统一的报警平台，收集所有网络设备所产生的SNMP报警报文信息。在各节点的网管监控运维监控平台报警控制中心统一处理该节点范围的报警和故障；在网管中心的报警控制中心统一处理各节点的故障和报警信息。

    系统的故障源有两种，一种是IT业务监控系统通过对网络性能的数据采集，主动发现系统的性能故障，另一种就是设备发生故障后主动报告给系统。报警级别分为紧急报警、严重报警、一般报警、提示报警、未确定报警等，并可根据用户需求进行自定义。

    网管监控运维监控平台故障诊断与管理功能可以根据用户设定的条件，当故障发生时发送警报至相关人员，让管理者能够及时了解系统发生的故障及其故障原因，并通过系统设置，自动恢复系统的正常状况。

    网管监控运维监控平台告警系统能接收网络设备（路由器、交换机和VOIP设备等）以SNMP报文格式发送的Trap事件；

    网管监控运维监控平台告警系统能接收IPNET系统的其他服务所产生的事件，如性能服务产生与性能相关的事件，流量服务的产生与流量相关的事件；

    网管监控运维监控平台告警系统能接收服务器进程、日志等发送的事件；

    网管监控运维监控平台告警系统能接收应用系统Web、Mail、OA等引发的事件通知；

    第三方网管前转的标准告警信息。

    告警系统同时采用轮询机制来主动的发现网络事件，可以发现如“系统宕机”等故障，以保证事件的完整。

    4．2．4性能展示

    性能监测管理能够帮助网络管理员监测网络及设备的性能，分析和确定网络及设备的性能瓶颈，为网络及设备的性能优化提供可行的参考。例如可以对指定的端口进行流量监视，从而判断出网络流量瓶颈等问题。

    4．2．5流量管理

    系统需支持netflow、netstream等协议流量分析，通过对网络中一些特定流量的长期监控，有助于网管人员了解网络的流量模型，所形成的基准数据可供网管人员正确分析网络使用状况，并可及时发布异常警讯，在故障事件爆发或扩大前实施防范措施，进而提升网络的整体质量及效能。

    同时通过对网络内流量的实时分析，有助于及时发现网络中出现的异常流量，迅速分析出异常流量的具体属性。通过与网络通信正常基线的比对，管理员对出现的异常通信可以快速定性是否为网络安全攻击，确定安全攻击的类型，评估本次攻击的危险程度及可能造成的影响范围，并采用相应技术手段实施事故应急处理。

    4．2．6级联管理

系统需预留级联管理接口，待省经济信息中心网管建设完成后能与之进行级联，上级平台能实时查看下级平台各设备的运行情况，并且下级平台的告警会在上级平台显示，进行统一管理。

五、安全防护方案

    5．1方案概述

    按照等级保护2.0的规范，安庆市电子政务外网按三级等保要求实施，其应具备的保护能力：应能够在统一安全策略下防护系统免受来自拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。做为整体信息安全要求，应当在信息系统安全建设时，充分考虑以下安全要求：

    1、构建立体的防御体系

从云端、边界和终端三个方面提出基本安全要求，在采取由点到面的各种安全措施时，系统整体上还应保证各种安全措施的组合，从以下两个方面构建安全立体防御体系，保证信息系统整体的安全保护能力。从基础网络安全、边界安全、计算环境（主机、应用）安全等多个层次落实本项目中提到的各种安全措施，形成整体立体防御体系。

    2、采取互补的安全措施

    以安全控制组件的形式提出基本安全防护要求，在将各种安全控制组件集成到特定信息系统中时，应考虑各个安全控制组件功能的整体性和互补性，关注各个安全控制组件在层面内、层面间和功能间产生的连接、交互、依赖、协调、协同等相互关联关系，保证各个安全控制组件共同综合作用于信息系统的安全功能上，使得信息系统的整体安全保护能力得以保证。

    3、进行集中的安全管理

    在第三级级别信息系统的安全功能管理要求上，提到了统一安全策略、统一安全管理等要求，为了保证分散于各个层面的安全功能在统一策略的指导下实现，各个安全控制组件在可控情况下发挥各自的作用，应建立安全管理中心，集中管理信息系统中的各个安全控制组件，支持统一安全管理。

    5．2网络安全防护

    根据电子政务外网城域网现状，可将网络安全域划分为控制平面、转发平面和管理平面等三大安全安全层面，每个平面根据其不同的功能设置不同的安全控制策略。同时做好IPv6的安全防护措施。

    5．2．1控制平面安全防护

    控制平面安全防护主要是做好设备资源的可用性和路由的安全性，全网设备开启OSPF协议MD5认证，提高报文交换安全性，同时全网设备使能防畸形报文攻击。

    5．2．2转发平面安全防护

    关闭IP直接广播

    部署黑洞路由

    典型垃圾流量过滤

    在出口路由设备部署安全策略，对常见病毒利用端口进行封堵，在汇聚层设备上进行源地址合法性检查，过滤掉源地址非法的流量

    5．2．3管理平面安全防护

    禁用未使用或不安全服务

    对于城域网设备不经常使用、不使用的管理平台的服务或密码传输明文的服务进行禁用，目前需关闭的服务有：Bootp、CDP、DHCP、Dnslookup、Telnet、Http等

    远程终端访问安全

    全网部署堡垒机控制对网络设备的访问，并根据不同的操作级别授予不同的权限，并做到对设备访问的实名制，以便于安全隐患的排查与跟踪。

    Syslog安全

    为了对安全事件进行跟踪和问题排查，全网设备开启syslog服务，将设备产生的log日志发送至指定的syslog服务器，同时为了保证syslog的安全性，需严格限制syslog发送的目的设备。

    NTP部署

    为了更好的的跟踪和分析安全事件，需要在全网设备上部署NTP服务，以提供一致的时间便于时间的分析，采用两级部署，市广域核心路由器与省经济信息中心NTPServer同步，其他设备作为核心路由器的客户端。

    开启NetFlow数据采集

    为了便于对全网的流量进行分析，以确定安全事件的类型，建立相应的处理机制，需要对全网的数据流量通过NetFlow进行采样和分析。

5．3边界安全防护

    5．3．1网络分区

    根据功能不同，将整个电子政务外网分为互联网区、公共区、网管区及各运营商区，公共区与其他各区域之间均通过防火墙进行隔离，同时根据威胁情况，对进去互联网区的流量进行严格检查。

    5．3．2攻击行为发现

    在互联网区与公共区边界部署入侵防御设备，发现网络中存在的各种异常流量、恶意的攻击行为。以全面深入的协议分析为基础，融合权威专家系统、智能协议识别、协议异常检测、流量异常检测、会话关联分析，以及状态防火墙等多种技术，实现从网络层、应用层到内容层的深度安全防护。

    5．3．3恶意代码检测

    在网络边界部署恶意代码检测系统，在网络边界出现恶意代码进行及时处置，采用流式扫描技术的检测技术，能够针对全球热点病毒进行实时检测，同时确保了设备的处理性能，对于系统资源消耗小。

    采用流式技术对网络中传送的文件，进行快速检测，比对文件信誉，对发现恶意的文件进行告警和阻断，同时还能够将恶意文件进行还原保存，用于恶意行为分析，还可以实现取证调查工作。

    5．3．4日志审计

    系统能够通过主被动结合的手段，实时不间断地采集网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息，并将这些信息汇集到审计中心，进行集中化存储、索引、备份、全文检索、实时搜索、审计、告警、响应，并出具丰富的报表报告，获悉全网的整体安全运行态势，实现全生命周期的日志管理。系统支持分布式日志采集和事件存储、审计中心级联，支持大规模部署。同时支持通过syslog实现NAT用户的溯源，要求日志至少保存180天。

六、货物需求一览表

序号	货物名称	招标技术参数	数量	单位	备注
1	政务外网路由器	1.基于CLOS分布式多级交换架构，主控与转发相分离，其中3个业务线路板槽位，2个交换网板槽位；交换容量≥75Tbps，包转发率≥9000Mpps，整机高度≤8U； 2.为保证设备散热效果和可靠性，设备进出风口采用前后风道，避免巡回加热，提供风道散热示意图。 3.支持通过NP芯片自动降速； 4.具备快速故障检测及重路由技术，以保证网元设备或者链路故障时，视频会议等敏感业务的稳定运行； 5.支持硬件BFD，3.3ms发包速度;支持5级HQOS； 6.支持FRR功能，切换时间小于50ms；支持不间断业务升级ISSU； 7.支持实时检测网络时延以及丢包IP FPM； 8.支持IPV4转发表≥4M，支持IPV6转发表≥2M； 9.支持分布式Netstream网络流量分析，且不需要为Netstream功能配置专门板卡； 10.支持IPv6静态路由，支持BGP4+、RIPng、OSPFv3、ISISv6等动态路由协议； 11.配置要求：双主控板，满配交换网板，冗余交流电源；配置≥7个万兆光口,24个千兆光口； 12. 提供工信部入网链接及入网测试报告，且入网时间不少于3年； 13.提供TL9000认证； 14.承诺提供原厂三年质保,提供承诺函并加盖投标人公章。	2	台
2	互联网出口路由器	1.基于CLOS分布式多级交换架构，主控与转发相分离，其中8个业务线路板槽位，2个路由交换板槽位，1个独立的交换网板槽位；交换容量≥115Tbps，包转发率≥19200Mpps，整机高度≤18U； 2.为保证设备散热效果和可靠性，设备进出风口采用前后风道，避免巡回加热，提供风道散热示意图。 3.考虑安装及日常维护方便，所有主控板、交换网板和业务板全部是前插板，所有走线全部在前面板走线，包括业务和管理线缆； 4.支持UCMP,进行不同比例流量分担； 5.支持硬件BFD，3.3ms发包速度;支持5级HQOS； 6.支持FRR功能，切换时间小于50ms；支持不间断业务升级ISSU； 7.支持实时检测网络时延以及丢包IP FPM； 8.支持IPV4转发表≥4M，支持IPV6转发表≥2M； 9.支持分布式Netstream网络流量分析，且不需要为Netstream功能配置专门板卡； 10.支持IPv6静态路由，支持BGP4+、RIPng、OSPFv3、ISISv6等动态路由协议； 11.配置要求：双主控板，满配交换网板，四交流电源；配置≥8个万兆光口,24个千兆光口，20个千兆电口； 12.提供工信部入网链接及入网测试报告，且入网时间不少于3年； 13.提供TL9000认证； 14．承诺提供原厂三年质保,提供承诺函并加盖投标人公章。	2	台
3	核心交换机	1.交换容量≥250Tbps，转发性能≥70000Mpps，主控槽位≥2，监控板槽位≥2，业务槽位数量≥10，交换网槽位≥4； 2.支持独立的硬件监控板卡（非集成的监控网板）, 控制平面和监控平面物理槽位分离，支持1+1备份，能集中监控板卡、风扇、电源、环境，能调节能耗，提供设备支持独立监控板功能的相关截图或其他证明材料； 3.为保证设备散热效果和可靠性，要求设备支持模块化风扇框，可热插拔，当单个风扇框发生故障时，有其他风扇正常运行，保证设备散热，独立风扇框数≥3 ,提供风扇框截图或其他证明材料； 4.支持交换网硬件背靠背的集群，不占用业务槽位，集群卡和主控物理分离，集群卡可单独插拔。支持集群主控1+N备份； 5.支持随板AC功能，交换机的线卡（业务板卡）集成AC功能和以太网处理功能； 6.支持PPPoE、802.1X、MAC、Portal等认证方式，支持根据时长、流量、目的地址计费； 7.支持线卡前面板进风，加快光模块散热，延长光模块寿命； 8.IPv4路由转发表FIB规格≥3M,支持ARP表项≥256K, ARP学习速率≥1000个/s，支持ACL表项数量≥256K,支持MPLS标签数≥32K； 9.支持RIP V1/V2、OSPF、IS-IS、BGP；支持MPLS,MPLSTE,L3VPN,L2VPN； 10.支持纵向虚拟化技术，支持把交换机和AP虚拟为一台设备，提供截图或其它证明材料； 11.设备支持IPv6功能且配置IPv6授权； 12.配置：每台交换机配置冗余电源、冗余主控板、满配交换网板；48个百兆/千兆以太网电接口，48万兆以太网光接口；且用于虚拟化的板卡与业务卡物理槽位分离，虚拟化的40G端口数≥2并分布于不同板卡，并配齐集群线缆；36个多模万兆模块,12个单模万兆模块； 13. 提供投标产品的第三方检测报告； 14.提供TL9000认证； 15．承诺提供原厂三年质保,提供承诺函并加盖投标人公章。	2	台
4	网络管理软件（200授权）	1.支持Windows、SuSE Linux操作系统。支持Oracle 、MySQL、SQL Server数据库,系统可支持在虚拟机上运行； 2.系统支持双机部署，当主机故障时，可以迅速切换到备机，保证网络的持续监控；支持大规模网络管理能力，单套最多可以管理20000台设备； 3.系统需要支持交换机、WLAN、路由器、防火墙设备的统一监控管理； 4.系统支持以拓扑图的方式直观显示被管网元及其之间的连接关系和状态，用户可以通过浏览拓扑视图把握全网设备的层次结构和运行状态； 5.系统支持告警信息中包含与故障关联的信息； 6.系统支持对网络的关键性能指标进行监控，并对采集到的性能数据进行统计，方便用户对网络性能进行管理，支持通过设置不同的性能阈值，生成4级不同级别的告警：紧急、重要、次要、提示； 7.系统支持区域内用户的网络使用质量分析能力，并以区域维度进行信息汇聚在拓扑上呈现； 8.系统提供基于Android和IOS的移动运维APP，实现WLAN网络的移动化管理，支持区域维度的无线网络质量监控和一键式故障诊断； 9.系统支持基于真实流的IP网络实时监测能力，监测结果可实时在拓扑上显示； 10.系统支持网络流量分析能力，支持NetFlow和NetStream协议对网络中的流量进行深入分析，实时监控应用流量分布，及时发现网络中异常流量； 11.支持smart报表管理组件、SLA业务管理组件； 12.配置200个节点所需要的软件授权； 13. 承诺提供原厂三年质保,提供承诺函并加盖投标人公章。	1	套
5	万兆防火墙	性能要求： 标准2U机架式结构；最大配置为34个接口， 本次配置2个万兆SFP接口和4个SFP插槽和6个10/100/1000BASE-T接口，标配模块化双冗余电源；防火墙吞吐率：60Gbps； 并发连接数：1600万。 功能要求： 1、产品由专用的硬件平台、安全操作系统及功能软件构成。设备采用自主知识产权的专用安全操作系统；采用多核多平台并行处理特性； 2、安全操作系统采用冗余设计； 3、系统具有良好的扩展性，支持扩展病毒防御、入侵防御、应用识别、网站分类库过滤、数据防泄漏、IPSEC VPN、APT防御等功能； 4、支持路由、交换、混合、虚拟线工作模式；支持静态路由、策略路由及动态路由协议；支持智能DNS功能；支持DNS Doctoring功能（提供截图证明或其他证明材料）； 5、支持802.1q； 6、支持手工链路聚合及LACP链路聚合，提供不少于11种的负载分担算法； 7、支持跨三层IP/MAC绑定；在WEB界面提供资源监控开关，可对cpu占用率、内存占用率、磁盘占用率设置阈值； 8、支持一对一SNAT、多对一SNAT、一对一DNAT、双向NAT、NoNAT等多种转换方式，支持源端口固定开关；支持MAP66功能； 9、支持IPv4/IPv6双栈工作模式；能针目的/源地址、目的/源服务端口、区域等条件进行安全访问规则的设置； 10、支持本地认证以及RADIUS、LDAP、TACACS等多种第三方外部认证设置；支持本地CA和第三方CA； 11、支持对单条访问控制策略进行最大并发连接数限制；可对单个IP每秒新建连接限制、单个IP连接数限制及连接总数限制；支持监控功能，显示最近被拦截的IP、地址对象及应用的节点信息； 12、一体化访问控制，实现在同一条访问控制策略中配置传统的五元组的控制；访问控制策略执行动作支持允许、禁止及认证，对符合条件的流量进行Web认证（提供截图证明或其他证明材料）； 13、支持策略命中分析、策略冗余分析、策略冲突检查，并且可在WEB界面显示检测结果（提供截图证明或其他证明材料）； 14、内置文件过滤引擎，支持对即时通讯、网页邮箱等应用类型以及HTTP/FTP/SMTP/POP3等标准协议进行检测； 15、支持多个配置文件并存，配置文件数量不少于20个；支持多个系统升级包并存，系统升级包文件数量不少于5个； 16、支持网络连通性的工具包括PING、TRACEROUTE、TCP、HTTP和DNS； 17、支持报表按照PDF、WORD及EXCEL格式导出；支持独立配置审计策略；支持日志本地存储，可对不同类型日志设置存储空间；同时支持外发至SYSLOG服务器，可选择对日志传输加密； 提供计算机信息系统安全专用产品销售许可证、TL9000认证、防火墙产品密码检测证书 承诺提供原厂三年质保,提供承诺函并加盖投标人公章。	2	台
6	万兆入侵防御	性能要求：2U机箱 最大配置为26个接口，本次配置2个万兆SFP接口和6个10/100/1000BASE-TX(100m，RJ45)+4个千兆SFP插槽；1个CONSOLE;1个USB. 标配模块化双冗余电源，含3年IDS规则特征库升级许可 功能要求： 1、内置SSD固态硬盘存储日志；具备硬件温度监控能力； 2、能够支持电口Bypass功能，扩展支持光口Bypass功能（非外置Bypass交换机方式）； 3、设备采用自主知识产权的专用安全操作系统，采用多核平台并行处理特性；支持多操作系统引导，多系统需在设备启动过程中进行选择；系统具有良好的可扩展性，能够扩展支持病毒防御、无线入侵防御功能； 4、要求支持直连、路由、VLAN、旁路监听、混合部署等多种接入模式；要求支持多端口链路聚合，支持不少于11种链路负载均衡算法；要求支持基于源/目的地址、接口的策略路由； 5、要求攻击规则库、应用识别规则库、URL过滤库、病毒库单独分开； 6、系统应具备：融合模式匹配、协议分析、异常检测、会话关联分析，逃逸等多种技术；要求支持丢弃报文、记录日志、禁止连接、TCP reset结束TCP会话等多种响应动作；要求支持攻击报文取证功能； 7、要求支持黑名单，将攻击源加入黑名单，一段时间内禁止访问；支持URL地址分类库，超过1000万种； 8、应涵盖广泛的攻击特征库、能够针对4000种以上攻击的攻击行为、异常事件进行检测和防御； 9、系统能够根据数据内容而非端口智能识别包括P2P、即时通讯、电子商务、股票交易、网络游戏、网络电视、移动应用等在内的23大类超过1200种应用； 10、系统支持DNS异常包及DNS Flood攻击防御；系统支持DHCP异常包及DHCP Flood攻击防御；系统支持ARP异常包及ARP Flood攻击防御；系统支持CC攻击防御；系统支持主机并发连接数和半连接数的限制；系统支持DDOS 机器人自学习功能； 11、系统应支持设置访问控制规则，实现对三到七层的访问控制；系统应支持源、目的地址转换以及双向地址转换； 12、系统应支持多种形式的日志存储,本地存储、发送至日志服务器、本地日志服务器双存储、自动方式判断日志服务器状态自动决定日志的记录方式； 13、能够对安全漏洞进行持续的挖掘与跟踪； 14、须与万兆防火墙形成联动。 提供《计算机信息系统安全专用产品销售许可证》、 ISCCC产品认证证书、《国家信息安全测评信息技术产品安全测评证书》EAL3+级； 承诺提供原厂三年质保,提供承诺函并加盖投标人公章。	2	台
7	万兆防病毒网关	性能要求：标准2U机架式结构；最大配置为34个接口，2个万兆SFP接口和4个SFP插槽和4个10/100/1000BASE-T接口及2个10/100/1000BASE-T接口（作为HA口和管理口） 标配模块化双冗余电源，默认电口具有两组BYPASS接口 默认含： 企业版查杀病毒功能，包括企业版快速扫描防病毒查杀和企业版深度扫描防病毒查杀，含3年病毒库升级服务许可（快速+深度） 功能要求： 1、设备必须为专业的防病毒网关产品，非防火墙、UTM、上网行为管理等具有病毒过滤功能模块的产品；要求基于多核多平台并行安全操作系统； 2、内嵌双引擎杀毒技术，可单独采用流杀毒（快速扫描）引擎或文件型杀毒（深度扫描）引擎，也可同时支持两种杀毒引擎； 3、能够支持对SMTP、POP3、IMAP、HTTP和FTP协议进行病毒扫描和过滤； 4、可实时检测到日益泛滥的蠕虫攻击，并对其进行实时阻断； 5、深度扫描模式下支持TCP粘合技术，提升系统查杀效率；支持IPv4和IPv6双栈协议的病毒扫描和过滤（提供截图或其他证明材料）； 6、要求病毒检测率不低于98%，可通过手动或自动方式进行升级；要求每种扫描引擎具有独立的病毒库，病毒库总数大于600万（提供截图或其他证明材料）； 7、能够针对“ActiveX”、“Java Applets”及“Script”等控件实施拦截（提供截图或其他证明材料）； 8、支持中文、英文web管理界面；当病毒突然爆发时，可向网络管理员发送报警信息； 9、要求具有配置文件自动定时上传到指定外部服务器功能； 10、采用邮件地址与IP地址的黑、白名单技术实时检测垃圾邮件并阻止其进入企业网络； 提供计算机信息系统安全专用产品销售许可证（增强级）；TL9000认证； 承诺提供原厂三年质保,提供承诺函并加盖投标人公章。	2	台
8	边界防火墙	性能要求：配置为8个10/100/1000BASE-T接口，2个SFP插槽；防火墙吞吐率不少于3Gbps ；最大并发连接数不少于220W。 功能要求： 1、产品由专用的硬件平台、安全操作系统及功能软件构成。设备采用自主知识产权的专用安全操作系统；采用多核多平台并行处理特性； 2、安全操作系统采用冗余设计； 3、系统具有良好的扩展性，支持扩展病毒防御、入侵防御、应用识别、网站分类库过滤、数据防泄漏、IPSEC VPN、APT防御等功能； 4、支持路由、交换、混合、虚拟线工作模式；支持静态路由、策略路由及动态路由协议；支持智能DNS功能；支持DNS Doctoring功能； 5、支持802.1q； 6、支持手工链路聚合及LACP链路聚合，提供不少于11种的负载分担算法； 7、支持跨三层IP/MAC绑定；在WEB界面提供资源监控开关，可对cpu占用率、内存占用率、磁盘占用率设置阈值； 8、支持一对一SNAT、多对一SNAT、一对一DNAT、双向NAT、NoNAT等多种转换方式，支持源端口固定开关；支持MAP66功能； 9、支持IPv4/IPv6双栈工作模式；能针目的/源地址、目的/源服务端口、区域等条件进行安全访问规则的设置； 10、支持本地认证以及RADIUS、LDAP、TACACS等多种第三方外部认证设置；支持本地CA和第三方CA； 11、支持对单条访问控制策略进行最大并发连接数限制；可对单个IP每秒新建连接限制、单个IP连接数限制及连接总数限制；支持监控功能，显示最近被拦截的IP、地址对象及应用的节点信息； 12、一体化访问控制，实现在同一条访问控制策略中配置传统的五元组的控制；访问控制策略执行动作支持允许、禁止及认证，对符合条件的流量进行Web认证； 13、支持策略命中分析、策略冗余分析、策略冲突检查，并且可在WEB界面显示检测结果； 14、内置文件过滤引擎，支持对即时通讯、网页邮箱等应用类型以及HTTP/FTP/SMTP/POP3等标准协议进行检测； 15、支持多个配置文件并存，配置文件数量不少于20个；支持多个系统升级包并存，系统升级包文件数量不少于5个； 16、支持网络连通性的工具包括PING、TRACEROUTE、TCP、HTTP和DNS； 17、支持报表按照PDF、WORD及EXCEL格式导出；支持独立配置审计策略；支持日志本地存储，可对不同类型日志设置存储空间；同时支持外发至SYSLOG服务器，可选择对日志传输加密； 提供计算机信息系统安全专用产品销售许可证、TL9000认证、防火墙产品密码检测证书 承诺提供原厂三年质保,提供承诺函并加盖投标人公章。	4	台
9	VPN网关(加密机)	性能要求： 标准2U机架式结构；本次配置4个SFP插槽和6个10/100/1000BASE-T接口，1个可插拨的扩展槽；标配模块化双冗余电源；整机吞吐率不少于10Gbps；并发连接数：220W；IPSEC隧道数不少于15000；IPSEC吞吐率不少于500Mbps；SSL吞吐率：600Mbps；SSL并发用户数不少于8000。本次配置1000个SSL VPN客户端许可。 功能要求： 1、采用自主知识产权的专用安全操作系统，采用多核多平台并行处理特性；支持多操作系统引导； 2、支持路由模式、交换模式、混合模式；支持ISL、802.1Q二层协议封装以及VLAN-VPN功能；支持静态路由以及RIPv1/2、OSPF等多种动态路由协议；支持服务器负载均衡功能；具有接口联动特性；支持智能选路功能； 3、支持多元组的访问控制规则；支持对访问控制策略进行最大并发连接数和长连接的限制；支持WEB界面显示每条策略的命中数；具有智能访问控制策略功能，通过对会话连接的监控和学习，快速生成访问控制策略；支持策略冲突检测功能； 4、支持内置CA，可为其他设备或移动用户签发证书，可生成、吊销、删除证书；支持证书请求的生成，由第三方CA进行签名； 5、支持国家商用密码算法SM1、SM2、SM3、SM4；支持WEB转发、端口转发、全网接入模式；；支持Android、Windows Mobile智能终端的全网接入模式（非PPTP方式）；支持iOS、Android智能终端以及Windows系统的虚拟桌面与虚拟应用发布方式接入；支持 Android终端采用代理模式接入； 6、支持ESP/AH/IKE/NATT等标准IPSEC协议，支持隧道模式、传输模式，且网关所有功能都必须是基于标准IPSEC协议；支持XAuth扩展认证；支持使用标准的X.509证书建立隧道；支持iOS终端自带的IPSec客户端接入； 7、支持短信、动态令牌、硬件特征码、图形码认证；支持多达4因素的组合捆绑认证（用户名口令、数字证书、短信、硬件特征码、指纹认证）；支持口令复杂度设置、支持密码找回功能；支持使用第三方认证； 8、支持管理员分权管理，不同管理员管理不同的功能模块；支持多达16级的管理员分级管理；支持WEB图形配置、命令行配置，支持基于SSH、HTTPS的安全配置； 9、支持联动协议，能够与其他安全产品进行联动；各类资源对象、安全策略可单独导入、导出； 10、须与原VPN形成集群； 提供公安部颁发的《计算机信息系统安全专用产品销售许可证》、 国家密码管理局颁发的《商用密码产品销售许可证》 承诺提供原厂三年质保,提供承诺函并加盖投标人公章。	2	台
10	堡垒机	性能要求: 标准机架式结构型；1个console口，2个USB口； 4个10/100/1000BASE自适应电口，1个可扩展，1T 存储空间，100个主机/设备许可，用户数不限制。 功能要求： 1、旁路部署，不改变现有网络结构，不改变运维人员的运维习惯； 2、组织结构：不限级数的进行分层分级分类管理，支持从AD域抽取OU； 3、用户管理：完整的用户帐号生命周期管理，实现帐号的集中管理；主帐号支持从AD域内抽取；通过用户策略可以限制密码有效性，限制IP地址访问等； 4、资源管理：产品支持对unix资源、网络资源、windows资源、数据库资源、中间件资源进行密码变更。支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS文件共享等协议；支持柱形图方式查看系统中不同资源所占比例； 5、设备账号管理：支持资源账号的管理，系统具有多种资源类型驱动器能够将资源上的账号进行自动抽取；支持对unix资源、网络资源、windows资源、数据库资源、中间件资源进行密码变更；定期检查平台存储的设备账号密码与设备实际密码是否匹配，以便进校验密码一致性；采用动作流方式代填账号，无需定制支持所有资源代填；支持FTP、telnet、ssh、远程桌面等协议服务端口变更； 6、授权管理：支持自定义角色。角色可按照组节点进行定义，角色权限细粒度高，可自由组合；资源授权模式基于岗位授权，岗位上绑定资源账号，并可针对岗位设置相关安全策略； 7、支持批量单点登录资源，简化工作量；提供证书认证服务，也可与第三方CA、动态令牌、生物识别、短信认证等方式进行结合；系统自身可以作为Radius和TACACS服务器； 8、安全管理：支持访问时间策略，访问地址策略；支持命令策略，命令权限控制规则应支持正则表达式；并可以对命令的参数进行限制并记录日志；支持自定义审计范围，字符、图形、FTP；产品自带病毒检测功能，在通过平台进行文件传输时，自动对传输的文件进行防病毒检测； 9、审计管理：可记录图形资源访问，对图形资源的审计回放时，可以从指定位置开始回放；可记录字符命令方式访问，可审计到所有交互内容，可以展现各命令的执行时间和允许执行情况；支持实时审计和阻断； 10、流程管理：支持设定主副岗账号和双人共管账号，并提供相应授权流程；支持资源接入申请流程； 11、系统配置：可通过系统统一给各管理员和运维人员发布消息；支持对应用、管理数据、审计数据、配置文件单项备份和还原；可查看cpu工作情况，内存使用情况，磁盘使用情况，网卡使用情况等；可对日志数据的外置存储备份； 12、高可用性：支持主备方式部署，支持集群模式部署，支持分布式部署； 13、内置VPN功能，无需配置专用VPN硬件，即可方便安全地通过远程接入堡垒机； 提供《计算机信息系统安全专用产品销售许可证》 具备ISO/IEC 20000信息技术服务管理体系认证 承诺提供原厂三年质保,提供承诺函并加盖投标人公章。	2	台
11	日志审计	产品为软件形态，包含日志审计、告警管理、关联分析、报表管理，分析和管理网络整体安全态势，并为整个信息系统的安全运营提供决策服务。提供100个终端授权许可； 功能要求： 1、基于j2ee平台构架，具备跨平台性、开放性和扩展性；通过web方式对本系统实现管理；支持SSL加密模式传输； 2、综合处理均值：20000条/秒；支持BT级数据交互式多条件查询，百亿（条）级数据查询结果返回延时小于10s； 3、支持市面主流安全设备、网络设备、中间件、服务器、数据库、操作系统等不少于26类300种日志对象的日志数据采集； 4、支持主动、被动相结合的数据采集方式；支持Telnet、Syslog、SNMP Trap、Netflow、JDBC、SSH、WMI等进行数据采集； 5、支持通过Agent采集日志数据；支持日志数据采集实时展示；支持控制被采集设备的日志流量速度； 6、支持日志归一化处理，将不同设备所产生的不同格式的难以理解的日志数据进行统一格式化处理； 7、采用基于具有自主知识产权的非关系型大数据存储架构，支持数据本地集中存储、网络存储以及大数据存储； 8、支持根据设备重要程度设置独立的数据存储策略；支持自定义存储位置，支持磁盘阵列、SAN、NAS等外部高性能存储； 9、支持基于策略的多日志源海量日志实时关联分析，发现安全事件实时告警；提供可视化关联分析规则编辑视图； 10、支持邮件、声音、短信、命令行等多种告警方式；可以针对不同类型、不同种类以及不同安全级别的安全事件制定不同的告警方式； 11、系统内置不低于500种报表主题模板；支持PDF、word、execl、html等方式导出报表； 12、支持实时日志查看，提供实时更新的最近的2000条日志信息，管理员可以进行监视、刷新、清零等基本监视条件管理； 管理员可以对日志源进行查看、添加、编辑、删除以及启\禁用的操作；支持手动添加日志源、导入日志源； 13、支持用户按角色管理，支持三权分立；支持非法用户设备访问控制策略； 14、可与防火墙形成联动； 提供计算机信息系统安全专用产品销售许可证 承诺提供原厂三年质保,提供承诺函并加盖投标人公章。	1	套
12	SOC安全运维中心	产品为软件形态，包含日志审计、事件管理、关联分析、报表管理、设备监视，可统一监控服务器、网络设备、安全设备、应用等运行状况，分析和管理网络整体安全态势，并为整个信息系统的安全运营提供决策服务。提供100个终端授权许可； 功能要求： 1、基于j2ee平台构架，具备跨平台性、开放性和扩展性；通过web方式对本系统实现管理；支持SSL加密模式传输； 2、支持单级部署；支持多级部署； 3、综合处理均值：20000条/秒；支持BT级数据交互式多条件查询，百亿（条）级数据查询结果返回延时小于10s； 4、支持支持Syslog、SNMP Trap、Netflow、JDBC、SSH、SNMP Get、WMI等协议进行数据采集；支持控制被采集设备的日志流量速度； 5、支持各种安全设备、网络设备、应用系统服务器、操作系统等日志数据、运行数据的自动采集，系统内置已支持设备种类清单； 6、支持对不同的管理对象设置不同的数据存储策略，支持自定义存储位置；支持对存储空间实时监视，图形化显示最新存储空间使用情况；支持按存储空间、存储时间进行多维度存储策略管理。若存储空间超过设定阀值则系统自动报警； 7、支持可视化的资产添加；支持手动添加资产、导入资产、自动发现资产，可导出资产列表 8、支持绘制资产业务拓扑图，业务拓扑图可进行大屏展示；支持对全网各种安全设备、网络设备、应用系统服务器、操作系统等运行状态实时监视； 9、内嵌ssh、telnet、https/http，文件管理等非第三方运维管理工具； 10、支持基于时间轴展示数据分布，能够通过时间轴进行查询分析； 11、系统内置不低于500种报表主题模板；支持PDF、word、execl、html等方式导出报表 12、支持邮件、声音、短信、命令行等多种告警方式；可以针对不同类型、不同种类以及不同安全级别的安全事件制定不同的告警方式。 12、可与防火墙形成联动； 提供计算机信息系统安全专用产品销售许可证 信息技术产品安全测评证书 EAL3+ 承诺提供原厂三年质保,提供承诺函并加盖投标人公章。	1	套
13	系统集成	含市级节点部署，七县（市）节点迁移。	1	项
说明：投标人的投标文件必须标明所投货物的品牌与参数，保证原厂正品供货，提供相关资料等。 核心产品为“网络管理软件（200授权）” 本次采购最高投标限价：人民币肆佰贰拾肆万元整（￥4240000.00元）