项目技术需求书项目技术需求书文档格式.docx
《项目技术需求书项目技术需求书文档格式.docx》由会员分享,可在线阅读,更多相关《项目技术需求书项目技术需求书文档格式.docx(56页珍藏版)》请在冰豆网上搜索。
入侵防御系统
01-09
安全应用控制网关
01-10
安全管理中心
无线产品类
无线设备
01-11
无线控制器
01-12
室内AP
01-13
室外AP
视频会议类
视频会议
01-14
MCU
01-15
会议终端
管理软件类
管理软件
01-16
智能管理中心
01-17
终端准入控制管理
500
一、总体要求
1.本节所描述的是本次招标货物的技术规格说明。
这些指标是本项目所需货物的最低配置要求,投标货物未经测试或与招标文件规定的型号、配置不同的,可以给出推算值,但必须提供充分的书面说明和依据。
2.除需求中特别注明的要求外,投标人必须使用满足需求的、较先进的、同时已经有一定数量用户使用的设备、软件投标,否则将视为没有正确响应。
3.投标人所提供的产品必须符合相关国际/国内标准。
4.本项目的产品中如涉及到第三方的知识产权,应事先声明,并应拥有第三方的授权证明(自由软件除外)。
5.投标人所提供的网络设备,应具有入网许可证。
二、园区网络建设总体需求
医科院信息所局域网络工程是对雅宝路园区进行网络建设,雅宝路园区由一栋主楼附加楼后的两栋小楼组成。
本次网络建设要求采用具有前瞻性的网络技术,能满足未来三到五年的网络需要。
1、主网络规划拓扑如下:
雅宝路园区网络建设总需求如下:
把信息所信息化系统建设推进到领先水平。
新建网络应具有高吞吐能力,满足大容量数据高速交换的需求。
网络应具有较强的网络管理能力,具有监控全网络各个IP节点通信状态的功能,及时提供故障信息和相应的诊断结果。
配备高速的外网接入设备,以实现因特网的高效、安全接入。
建设整网统一的安全支撑平台,通过建立严格的安全管理体系,并在网络中部署用户身份认证系统、防火墙系统、防病毒系统、安全漏洞扫描系统、入侵检测系统等安全产品实现对信息所网络和应用系统的全面防护,提高信息系统整体的安全性。
系统建设的网络平台应该具有能够承载数据、语音、视讯三网合一的数据传输能力。
网络能适应未来若干年的网络发展趋势,设备采用与国际标准兼容的开放协议。
具有良好的可扩展性和灵活性,并保持对以前技术的兼容性。
网络建设具体需求
雅宝路园区主楼一共5层(地上5层,地下2层),主楼后附两栋小楼,办公人员主要集中在主楼,雅宝路园区的核心也部署在主楼,根据目前的实际和考虑到以后的应用情况,雅宝路园区网络建设的整体结构需求如下:
网络结构:
采用二层扁平结构;
网络带宽:
万兆骨干、千兆到桌面;
网络层次:
三层到桌面,全网启用OSPF路由协议;
核心设备:
具有高性能、高容量核心交换设备,为了便于融合管理和以后业务扩展,核心设备需具有支持多业务插卡(包括防火墙插卡、无线控制器插卡等)的功能;
接入设备:
采用万兆上行接入,并且具有POE供电功能
服务器区域:
采用万兆交换机接入;
园区共528个信息点,具体分布如下:
信息点分布
信息点数量
第五层
48
第四层
144
第三层
96
第二层
第一层
小楼
总计
528
雅宝路园区IP电话拓扑如下:
IP电话接入信息点共336个。
具体如下:
IP电话信息点分布
24
72
336
2、无线网络覆盖需求
医科院信息所WLAN的无线宽带网络,在雅宝路园区的主楼部署无线,和在主楼后院和两栋小楼上部署无线AP,使其覆盖主楼后面一块室外空地。
通过AP与无线网卡组网接入,达到宽带业务的覆盖,满足医科院信息所的要求,无线网络作为有线网络端口的补充,在整个方案里实现有线无线一体化,有线无线统一管理的先进理念。
本次项目无线网络建设的需求
利用无线网络有效的弥补有线网络物理布局上的缺陷,使园区不存在网络“盲区”,并且实现“有线无线一体化”的先进理念。
采取通行的网络协议标准:
无线局域网将主要支持标准以提供可供实际应用的相对稳定的网络通讯服务;
室内覆盖范围大于50m。
全面的无线网络支撑系统(包括无线网管、无线安全、无线QOS等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;
保证网络访问的安全性,支持用户多种接入方式认证机制,包括:
基于PPPoE、、Portal、MAC等认证,支持外置的Portal服务器和外置的AAA服务器系统;
安全、认证和管理要求,为了阻止非授权用户访问无线网络,以及防止对无线局域网数据流的非法侦听,无线网络要具有相应的安全手段,主要包括:
物理地址(MAC)过滤、服务区标识符(SSID)匹配、AES加密,双向认证等方式。
无线网网络结构要求:
无线接入所需布设的AP通过接入设备接入到网中,在接入层提供相应的接口给AP使用;
产品能力要求要求:
具有无委会型号核准证;
支持负载均衡;
漫游切换;
支撑QOS能力
对于大客户的无线网络要求支持GuestVLAN,以满足合作伙伴用户可以访问归属于自己公司的网络或者internet网络,以获取相关资料,很好的支撑供大客户的工作;
无线覆盖建设具体需求
医科院信息所WLAN覆盖的区域主要是雅宝路园区
雅宝路园区有一个主楼,共5层,一层有1个大会议室和1个机房需要覆盖。
2层到4层每层1个会议室,每个会议室均覆盖,五层有1个报告厅,也需要覆盖。
主楼后有一个小楼和一个平房一个场地,需要专门的室外AP做室外覆盖,并且同时覆盖两栋小楼。
考虑到AP可能出现故障时便于快速替换,故需要预留一定数量的备份AP。
医科院信息所WLAN覆盖建设使用的AP设备不同于家庭或SOHO厂商的无线设备,必须采用电信级厂商的AP设备,以达到电信级的稳定性。
AP的发射功率要符合国家信息产业部的相关规定,同时室外AP设备应具备比较宽的工作温度范围以及复杂的室外环境。
3、网络安全的需求
安全的建设也是非常重要的,针对具体情况,所实施的网络安全方案,具有以下几个方面的需求。
SSLVPN接入需求
在出口防火墙上通过扩展SSLVPN插卡实现移动用户的接入,提供灵活方便的移动用户接入。
边界防护需求
厂商需要提供完善的边界防护方案,方案由安全网关、入侵防御系统和安全管理平台组成。
安全网关具有2-4层的包过滤、状态检测等技术,配合4-7层的入侵防御系统,能够实现全面的2-7层安全防护,有效地抵御了非法访问、DDoS、病毒、蠕虫、页面篡改等攻击;
并通过安全管理平台对安全网关、入侵防御系统以及不同厂商设备进行统一安全管理。
行为监管需求
根据业务需求进行应用层面的带宽控制,对于整网的安全,网络,主机设备如何进行有效的日志管理和安全审计,能针对P2P/IM、网络游戏、炒股、非法网站访问等行为,进行精细化识别和控制,解决带宽滥用影响正常业务、访问非法网站感染病毒蠕虫的问题;
同时,安全管理平台应网络事件进行深入分析并输出审计报告。
安全管理中心的需求
安全管理中心能对各类网络、安全产品进行统一管理,提供超过1000种网络安全状况与政策符合性审计报告。
深度挖掘及分析技术,集安全事件收集、分析、响应等功能为一体,解决了网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题。
集成日志采集器、数据库、大容量存储、日志分析、审计、报表等功能部件,可对安全设备的进行集中管理,利于网络的快速部署、全面了解设备的运维信息,同时支持NetStream、NetFlow、cFlow、Syslog、WindowsWMI、ODBC等国内外主流日志采集方式,并对各类网络、安全产品进行统一安全信息与事件管理,能实时、全面地了解全网安全状况。
对来自于网络、安全、操作系统、数据库、存储等设施的安全信息与事件进行分析,关联和聚类常见的安全问题,过滤重复信息,发现隐藏的安全问题,使管理员能够轻松了解突发事件的起因、发生位置、被攻击设备和端口,并能根据预先制定的策略做出快速的响应,保障网络安全。
采用主动收集、被动接收等多种方式,提供有价值的集中化日志管理,并对不同类型格式的日志进行归一化处理。
同时,采用高聚合压缩技术对海量事件进行存储,并可通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统,避免重要安全事件的丢失。
提供设备、主机、应用系统、漏洞、网络流量、主机资产、法规遵从(如SOX、HIPAA、GLBA、FISMA等法案和条例)七大类报告,基本覆盖了所有安全相关的信息,并支持以PDF、HTML、WORD、TXT等多种格式输出;
同时可通过Web界面进行定制报告,定制内容包括数据的时间范围、数据的来源设备、生成周期、输出类型等。
1、网络管理平台
雅宝路园区网络建成后是个融数据、语音、和无线一体的综合性网络,网络管理是十分重要的。
所有的设备管理必须融合成一个管理平台,也就是说网络、无线的管理必须统一管理,而不是分开的两套管理工具。
、网络管理需求
网络管理需要实现网络资源、用户和业务的融合管理,提供基本的网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理。
具体要求如下:
系统的安全管理功能
主要有包括:
操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。
操作员登陆管理
操作员密码管理
分组分级权限管理
操作日志管理
操作员在线监控管理
资源管理
网络自动发现
网络手工管理
网络视图管理
网络设备管理
设备及业务系统集成管理
设备分组权限管理
拓扑管理
拓扑自动发现
支持自定义拓扑
自动识别各种网络设备的主机类型
设备状态、连接状态、告警状态等信息在拓扑上直观反应出来
拓扑能提供设备管理便捷入口
故障(告警/事件)管理
告警发现和上报
告警深度关联与统计
实施告警
故障解决
固化经验
性能管理
网管系统提供丰富的性能管理功能,同时以直观的方式显示给用户。
例如:
可以提供折线图、方图、饼图等多种显示方式并能生成相应的报表。
通过性能任务的配置,可自动获得网络的各种当前性能数据,并支持设置性能的阈值,当性能超过阈值时,网络以告警的方式通知告警中心:
支持AtaGlance、TopN功能,用户能够对CPU利用率、流量等关键指标一目了然;
提供各类常用性能指标的缺省采集模板;
支持实时性能监视,支持二级阈值告警设置,当链路或端口的流量超过阈值,系统将会发送性能告警,使网络管理人员可以能够及时了解网络中的隐患,及时消除隐患。
同时为故障定位提供手段;
提供基于历史数据的分析,为用户扩容网络、及早发现网络隐患提供保障;
支持饼图、折线图、曲线图等多种图形方式,直观地反映性能指标的变化趋势;
提供灵活的组合条件统计和查询;
性能报表支持导出Html、Txt、Excel、Pdf格式文件:
设备管理组件
通过面板图标直观地反映设备的框、架、槽、卡、风扇、CPU、端口等关键部件的运行状态;
能够查看、设置设备端口状态;
能够查看路由、VLAN等配置信息;
能够查看端口流量、丢包率、错包率等关键统计数据;
支持对H3C交换机堆叠能力的管理;
通过Ping、Traceroute等功能测试当前网络链路的健康状况;
支持从设备列表、设备详细信息、拓扑等多个入口打开设备面板。
无线网络管理
WLAN覆盖建设必须具备可管理性,网管系统应能对无线网络中的AP、AC等设备作到统一管理,包括设备管理、拓扑管理、告警管理、性能管理。
可以把各厂家的专用网管集成到通用的网络管理平台,从而实现统一化的管理。
通过网络管理平台可以实时了解到热点地区AP设备的工作状况,各个地区用户的在线人数,网络流量等数据,可以为下一步的网络扩容提供参考依据。
对网管系统的总体功能要求如下:
(1)支持SNMPv1、v2c、v3版本,支持直观的GUI,层次化视图和API功能。
(2)能够实现对辖区内所有品牌的AC、交换机、AP、干放等设备的管理、配置和监控,实现对全网无线接入点的统一部署和管理。
(3)能够对无线网络中各链路的信号强度、负载、干扰进行监控,并提供实时的图形报表。
(4)能够实现对客户端、RFID等的管理和监测功能,可以实时查询用户的关联信息、信号强度、认证方式、IP地址、数据流量大小及统计相应分析数据报表等信息。
(5)能够提供可用的工具来帮助管理员查看其无线网络的布局,并持续监控辖区内WLAN网络性能。
(6)WLAN网管系统能够在无线基础设施中提供管理和实施安全策略的全套工具,包括RF攻击签名和无线入侵防御、恶意设备检测、定位和控制以及策略创建和实施。
(7)网管系统能够实现批量配置、监控和管理。
包括:
排障、软件升级、网络映射和定制报告。
(8)支持WLAN网元管理系统的拓扑管理功能,实现系统拓扑结构的生成、拓扑图的显示控制、拓扑图的编辑、节点的自动发现及显示、查询网元对象属性。
(9)具备安全管理(包含用户管理、日志管理等)功能。
网管支持不少于5000台网元设备的管理;
随着网络规模的不断扩大,也可以通过多台网管服务器进行分级管理的方式,这种管理方式对网络设备没有数量限制。
在这种管理方式下,可以设一台网管服务器为统一的管理平台,负责统一协调分级网管服务器。
对用户的控制和管理
端点准入的安全也十分重要,考虑到安全性,我们要求厂家提供的端点准入客户端在全国范围内必须有大规模部署应用,部署规模数在40万点以上,端点准入的要求如下:
严格的身份认证
除基于用户名和密码的身份认证外,还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,增强身份认证的安全性
完备的安全状态评估
根据管理员配置的安全策略,用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置等;
为了更好的满足客户的需求,客户端支持和微软SMS、LANDesk、BigFix等业界桌面安全产品的配合使用,支持和瑞星、江民、金山、Symantec、MacAfee、TrendMicro、Ahn等国内外主流病毒厂商联动。
用户管理与网络设备管理的融合
接入设备列表中可以直接看到用户相关信息,操作简单方便,提高了操作员日常维护的效率。
可针对选定的接入设备进行用户操作,比如,针对某个接入设备,将其所挂的用户全部下线处理等。
可在在线用户列表中通过点击接入设备,直接查看当前在线用户所对应的接入设备的详细信息,比如对应的基本信息、告警、性能状况等。
操作更友好,全面提升操作员的操作体验。
用户管理与网络拓扑管理的融合
在拓扑上可以直观的操作接入设备、接入终端相关的用户管理功能。
比如查看用户信息、强制用户下线、执行安全检查等。
使终端用户的管理更加直观清晰。
基于角色的网络授权
在用户终端通过病毒、补丁等安全信息检查后,基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。
终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。
扩展开放的解决方案
为客户提供了一个扩展、开放的结构框架,最大限度的保护了用户已有的投资。
能广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作,融合各家所长;
能与第三方认证服务器、安全联动设备等之间的交互基于标准、开放的协议架构和规范,易于互联互通。
灵活方便的部署方式
方案部署灵活,维护方便,按照网络管理员配置的安全策略区别对待不同身份的用户,定制不同的安全检查和处理模式,包括监控模式、提醒模式、隔离模式和下线模式;
此外,还应支持灵活的旧网改造方案和客户端静默安装等特性。
五、网络设备技术要求
品目号:
01-01核心路由交换机
功能及技术指标
参数要求
本次实配
12端口千兆以太网光接口业务板≥2
4端口万兆以太网光接口业务板≥4
2端口万兆以太网光接口业务板≥2
防火墙业务板≥2
光模块-SFP-GE-单模模块-(1310nm,10km,LC)≥4
光模块-XFP-10G-多模模块-(850nm,300m,LC)≥28
光模块-SFP-GE-多模模块-(850nm,,LC)≥14
电模块-SFP-GE-(RJ45)≥8
背板带宽
≥
引擎交换容量
转发性能
≥857Mpps
转发架构与特性
实现全分布式IP转发处理架构,所有业务板全部支持全线速转发
插槽数量
≥14
关键部件冗余配置
支持主控引擎模块冗余;
实配电源冗余
支持多业务板业务
支持防火墙插卡(吞吐量≥8G)、NAT插卡、netstrem插卡、无线控制器插卡、VPNLS插卡等
最大万兆接口数量
≥48
VLAN特性
支持基于端口的VLAN,Vlan封装,最大Vlan数≥4096,支持GVRP,支持Guestvlanvlan聚合和Islolatevlan(PVLAN)
MAC地址表
≥168K
QinQ
支持基于端口的QinQ
支持灵活QinQ
认证协议特性
支持认证,支持Sever、Portal认证
其他二层协议
支持(POE),支持(RPR),支持RRPP(环网保护协议)
组播协议
支持GMRP、PIM-DM、PIM-SM、IGMP、IGMPSnooping等协议
路由协议
支持静态路由、RIPV1/V2、OSPF、IS-IS、BGP,支持GracefulRestart
支持IPV6策略路由及路由策略,支持?
IS-ISv6、BGP4+
支持VRRPv3
安全特性
支持AAA/Radius;
支持SSHv2;
支持ACL流过滤机制;
支持IP地址、VLANID、MAC地址和端口等多种组合绑定;
支持uRPF
MPLS
支持MPLSPE/TE
支持分布式的MPLSL3VPN、VLLL2VPN
支持VPLSVPN、L2TP/GRE/IPSecVPN
设备管理
SNMPV1/V2/V3;
RMON1/2/3/9;
Syslog;
支持WEB网管,支持MIB-II;
中文图形化管理,支持RSPAN.
认证
获得信产部入网证书
提供TollyGroup测试认证材料
获得IPv6PhaseII认证,获得信产部IPv6入网检测报告(需要提供证件)
01-02楼层接入交换机
本次配置
堆叠模块≥8
2端口万兆以太网XFP光接口模块≥4
1端口万兆以太网XFP光接口模块≥8
光模块-XFP-10G-多模模块-(850nm,300m,LC)≥16
交换容量
≥240Gbps
≥130Mpps
以太网供电(POE)
具有POE供电功能
接口类型
万兆接口数量≥4
可用千兆接口数量≥48
≥32K
VLAN
最大VLAN数≥4094
支持QinQ、支持灵活QinQ*
支持VoiceVLAN
DHCP
支持DHCP Server/Relay/Snooping/Client/Option82
堆叠特性
堆叠数量≥9
链路聚合
支持最多8个GE口或4个10GE端口聚合
镜像功能
支持本地端口镜像和远程端口镜像RSPAN
支持流镜像
QOS
每端口支持8个优先级队列
支持,DSCP/TOS优先级和重新标记能力,支持基于时间段的流分类和QoS控制能力
支持报文重定向
支持端口双向报文的速率限制
支持PIM-DM、PIM-SM、IGMP、IGMPSnooping等协议
支持MLD,MLDSnooping等IPv6组播协议
支持IPv4静态路由、RIPV1/V2、OSPF、BGP
支持IPv6静态路由、RIPng、OSPFv3、BGP4+
支持IPv4和IPv6环境下的策略路由、路由策略
支持IPv6手动隧道、6to4隧道和ISATAP隧道
可靠性
支持VRRPv2/v3(虚拟路由冗余协议)
支持RRPP(快速环网保护协议),环网故障恢复时间不超过200ms
访问控制策略
支持基于VLAN下发ACL*
整机提供ACl条目数不小于4K条
支持出入双方向ACL策略*
支持IPv6ACL
支持IP+MAC+PORT的绑定;
支持DHCPSnooping,防止欺骗的DHCP服务器;
支持认证,支持集中式MAC地址认证,支持Portal认证,支持端口隔离*
支持终端准入防御控制*
管理和维护
支持SNMPV1/V2/V3、RMON、SSHV2
支持sFLow,可以对出入方向的报文按比例随机抽样,灵活实现报文采集;
支持虚电缆检测功能(VCT),快速准确定位网络中故障电缆的短路或断路点;
支持单向链路检测(DLDP),有效的防止网络中单通故障的发生;
支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理。
资质认证
要求提供信产部入网证和检验报告
要求提供IPv6Ready第二阶段认证
提供IPv6入网检测报告与入网证(需要提供证明)
01-03服务器接入交换机
2端口万兆以太网XFP光接口模块≥2
光模块-XFP-10G-多模模块-(850nm,300m,LC)≥4
光模块-SFP-GE-多模模块-(850nm,,LC)≥4
支持最多8个GE口或4个1