No.

项目

工作说明

1-1

网络入侵防护系统IPS(1台)

1、标准机架式硬件，2U，支持冗余电源，转速7200转/分钟4T机械硬盘，提供≥4个10/100/1000M电口（2路Bypass），提供≥4个千兆SFP光口，提供≥2*扩展槽位，2*USB接口，1*RJ45串口，2*千兆电口(管理*1,热备*1)，含液晶屏，CPU：i5 8400；内存：32G；

2、应用层吞吐量≥2Gbps,网络层吞吐量≥11Gbps。

3、支持流式防病毒、启发式防病毒（文件还原技术），且病毒库在900万以上。支持HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB2、工控（IEC-61850、IEC 60870）等协议。

4、系统支持基于信誉的僵尸网络检测能力，具备可以持续升级的信誉库，通过信誉库内的恶意网站IP、C&C服务器地址的信誉值执行相应的防护动作。

5、系统需提供入侵规则分类，帮助更便捷的制定防护策略。如勒索、挖矿、SQL注入、XSS注入、webshell、命令代码执行、内存破坏、类型混淆、反序列化、信息泄露、目录遍历、文件操作漏洞、注入攻击、重定向漏洞、CSRF、僵木蠕、拒绝服务、弱口令、欺骗劫持、扫描类攻击等。

6、系统支持URL分类本地库和云端查询能力，可实现高风险、不良网站的过滤，规范上网行为。可提供本地搜索，手动研判可疑URL。

7、主机*1，冗余电源，入侵检测防护模块（规则库）升级授权≥3年，机械硬盘≥4T 万兆光模块≥4

8、系统应提供DoS/DDoS攻击防护能力，支持PING/UDP/SYN/ACK/DNS Reply/DNS Req Flood，支持TCP Port Scan/UDP Port Scan, 支持 PING Sweep，支持ARP Spoof以及HTTP GET/HTTP POST FLood等常见的DoS/DDoS的攻击

9、系统应提供敏感数据保护功能，能够识别、阻断、告警超过阈值的敏感数据信息，其中敏感数据包括身份证号、银行卡、电话号码等，且支持自定义敏感数据

10、系统应能识别主流的应用程序，识别不少于6000个应用。支持至少5G应用，支持PFCP、NAS、HTTP2、S1AP、MML等协议；至少20种工控协议，如IEC 、DNP3等协议

11、维保应急：三年的入侵检测防护授权。三年软件及硬件维保；工程师7*24H响应，设备出现问题工程师2小时内到现场。设备出现严重故障无法使用时，由备机库发出一台不低于同型号备机替换周转，4小时内到达现场。客户设备维修完成上架后，返回备机。

1-2

WEB应用防护系统WAF（1台）

1、2U,含交流冗余电源模块,2*USB接口,1*RJ45串口,2*GE管理口。4*GE电口 (BYPASS),4*千兆光口，2个接口扩展插槽位，可购买千兆（光、电）、万兆光链路扩展板卡。CPU：intel i5 10400，内存：128G SSD，硬盘：转速7200转/分钟，1TSATA

2、应用层吞吐量≥3Gbps。

3、提供针对主流Web服务器及插件的已知漏洞防护。Web服务器应覆盖主流服务器：apache、tomcat、lightpd、NGINX、IIS等插件应覆盖:dedecms、phpmyadmin、PHPWind、shopex、discuz、ecshop、vbulletin、wordpress等，提供Java反序列化漏洞（Jboss）防护规则。

4、提供对HTTP协议合法性进行验证，支持对HTTP协议的URI、HOST、UA、Cookie、Referer、Content、Accept、Range、其他头部和参数在内的元素、参数进行检测与处理。且支持非法编码和解码的灵活控制与处理。

5、提供基于规则和语义分析的检测引擎，提升SQLi和CMDi和CODEi检测精度

6、提供HTTP访问控制功能，可以提供针对HTTP元素和客户端的组合访问控制策略。支持对多种HTTP方法执行访问控制，包括：GET、POST、HEAD、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCK TRACE、SEARCH、CONNECT。

7、提供基于五元组（源IP地址、目的IP地址、源端口、目的端口、协议类型）及接口的网络层访问控制功能

8、主机*1，冗余电源，规则模块升级授权≥3年，硬盘≥4T，万兆光模块≥2

9、基于规则和语义分析的检测引擎，提升SQLi和CMDi和CODEi检测精度

10、提供对注入（包括SQL注入、LDAP注入、XPATH注入及命令行注入）、XSS、SSI指令、路径穿越、远程文件包含、WebShell防护

11、提供对HTTP站点和HTTPS站点提供服务器探测功能

12、提供自定义HTTPS监听端口，不 (略) 的443端口

13、提供HTTPS国密算法

14、维保应急：3年规则升级；硬件设备36个月维保；工程师7*24H响应，设备出现问题工程师2小时内到现场。设备出现严重故障无法使用时，由备机库发出一台不低于同型号备机替换周转，4小时内到达现场。客户设备维修完成上架后，返回备机。

1-3

三层25G交换机（2台）

1、配置≥48个25G SFP28，≥6个100GE QSFP28

2、CPU和LSW要求国产化

3、支持静态路由、RIP V1/2、OSPF、IS-IS、BGP、RIPng、OSPFv3、BGP4+、ISISv6

4、支持IPv4路由表项≥256K，提供权威第三方测试报告

5、支持IPv6路由表项≥80K，提供权威第三方测试报告

6、支持统一用户管理功能，支持802.1X/MAC等多种认证方式

7、支持横向堆叠，主机堆叠数不小于9台

8、支持NetStream

9、支持本地管理和云盒两种方式，可以通过云管理平台对交换机进行云端配置、监控、巡检等，减少部署和运维的投入，降低网络的OPEX，提供权威第三方测试报告

10、以灵活定义自己的逻辑拓扑、SLA需求、可靠性和安全等级，以满足不同业务、行业或用户的差异化需求。

11、冗余电源、40G堆叠线缆*1、万兆光模块≥2,千兆光模块≥2，25G光模块≥10。

12、维保应急：软硬件设备36个月维保；工程师7*24H响应，设备出现问题工程师2小时内到现场。设备出现严重故障无法使用时，由备机库发出一台不低于同型号备机替换周转，4小时内到达现场。客户设备维修完成上架后，返回备机。

1-4

千兆交换机

(2台)

1、交换容量≥1.2Tbps，提供官网截图

2、包转发率≥460Mpps，提供官网截图

3、为了提高设备可靠性，支持模块化可插拔双电源

4、配置48个10/100/1000Base-T以太网端口，4个万兆SFP+端口

5、支持业务扩展插槽数≥1，扩展支持8个SFP+端口，整机最大支持12个万兆SFP+端口

6、整机缓存≥128 MB

7、支持静态路由、RIP V1/2、OSPF、IS-IS、BGP、RIPng、OSPFv3、BGP4+、ISISv6

8、支持SNMP v1/v2/v3、Telnet、RMON、SSH，支持VLAN条目数≥4000

9、支持 Telemetry 技术，实时采集设备数据并上送至网络分析组件平台，通过智能故障识别算法对网络数据进行分析，精准展现网络实时状态，及时定界故障以及故障发生原因，精准保障用户体验

10、配置冗余电源，万兆光模块≥4个

11、维保应急：软硬件设备36个月维保；工程师7*24H响应，设备出现问题工程师2小时内到现场。设备出现严重故障无法使用时，由备机库发出一台不低于同型号备机替换周转，4小时内到达现场。客户设备维修完成上架后，返回备机。

1-5

负载均衡（1台）

1、提供≥16*10/100/1000M电口，4*千兆SFP插槽，6*万兆SFPP插槽，4*Combo口，2*可选扩展插槽，4*风扇，

2、网络层吞吐量≥6Gbps,最大并发连接数≥500万,新建连接数≥9万

3、提供以下协议的ALG功能，包括但不限于DNS、RTSP、PPTP、SCCP、XDMCP、FTP、RSH、NBT、SCCP、H323、SQLNET、MGCP、SCTP、SIP

4、提供RIP、OSPF、BGP等路由协议以及各自的IPv6版本

5、提供多种链路检测方法，能够通过ICMP、UDP、TCP、FTP、DNS、HTTP、RADIUS、SSL、HTTPS、TCP half-open、SNMP-DCA、RADIUS-ACCOUNT等方式监控链路的连通性

6、当内网用户访问某一个特定地址时，根据本链路当前到达此目的地址的实际链路状态进行调度，而不是依据固定的静态算法

7、提供基于目的地址、源+目的地址的会话保持，使每个用户访问同一个业务保持在相同链路上，避免由于链路切换造成业务访问失败

8、提供DDNS，动态更新DNS服务器上域名和IP地址之间的对应关系，保证通过域名解析到正确的IP地址。

9、通过ICMP、TCP、DNS等方式，检验SNAT地址池中的地址有效性，避免出口SNAT池中地址被意外封杀后仍然被使用造成网络访问中断

10、提供包括轮询、加权轮询、随机、最小连接、加权最小连接、带宽、最大带宽、源IP地址哈希、源IP地址和端口哈希、目的IP地址哈希、基于实服务器优先级调度、带宽算法、最大带宽算法、最快响应算法、动态反馈、HTTP哈希、HTTP CARP哈希、源IP地址CARP哈希、源IP地址和端口CARP哈希、目的地址CARP哈希、加权最小连接（基于成员）、最快响应（基于成员）、UDP强制负载分担（基于SIP的负载分担）、基于源地址调度、本地优先级等服务器负载均衡算法

11、提供并实配TCP连接复用，减少服务器侧的TCP新建压力

12、提供SSL卸载，可以将客户端的HTTPS请求解密为HTTP明文请求发送给服务器，减轻服务器加解密压力

13、提供ICMP-Flood防护、UDP-Flood防护、SYN-Flood防护、Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、DNS Query Flood、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范

14、实配：冗余电源、硬盘480G≥2，万兆光模块≥5

15、维保应急：软硬件设备36个月维保；工程师7*24H响应，设备出现问题工程师2小时内到现场。设备出现严重故障无法使用时，由备机库发出一台不低于同型号备机替换周转，4小时内到达现场。客户设备维修完成上架后，返回备机。

1-6

服务器配件-10个

MegaRAID SAS9460-16i支持raid模式支持直通模式，36个月维保

服务器配件-10个

MegaRAID SAS9460-8i支持raid模式支持直通模式，36个月维保

服务器配件-10个

服务器硬盘背板-后置的小盘背板，36个月维保

服务器配件-80个

64G DDR4-2933MHZ ECC-RDIMM，36个月维保

服务器配件-20个

Samsung SAS SSD PM1643 Series MZILT3T8HALS00007(3.84TB,2.5-inch)，36个月维保

服务器配件-10个

浪潮双口25Gbps_2Port_LC_Intel_E810网卡，36个月维保

服务器配件-20个

SFP_WTD_LC_IN-SP251SRLC_25G_SFP28_MM，36个月维保

2-1

超融合云统一管理平台软件

超融合云统一管理平台软件（数量20CPU）

(1)包括了计算、存储、网络虚拟化软件，管理平台，容器管理平台，和企业级云管平台。

(2)虚拟化软件将私有云中的各种资源池化，提高利用率。

(3)在云管平台中，包括了面向管理员的云运维管理平台，和面向项目组的云自助门户。

原厂License +原厂Production 服务三年：

7*24小时原厂技术支持，非OEM产品及技术支持。且含产品更新及升级

超融合、云统一管理平台构筑技术要求：

（1）为了保护既有投资，本期项目利旧10台物理服务器通过软、硬件改造，构建新的基础云平台资源池。扩容基础云平台资源池需要通过计算、存储和网络虚拟化软件将上述资源池化，标准化。扩容资源池可以和北京现有基础云资源池有效整合。多资源池可以协同工作，工作负载可以在不同资源池的集群间在线迁移。迁移的工作负载所有配置、策略保持不变，自动化的脚本可共用。

(2) (略) 带来的安全风险，扩容基础云平台资源池必须具备同时支持管理传统虚拟机应用和云原生容器应用的能力。在一个管理平台中，管理员可以方便的对虚拟机和K8S集群进行生命周期管理，创建虚拟机和K8S所需资源，并且实现对资源的分配和隔离。基础云平台具备K8S集群的生命周期管理能力，包括集群的创建、升级、扩容和删除等，支持多K8S集群；容器运行于虚拟化之上，提供完整的容器网络和存储方案，满足容器的高性能和隔离性要求；构建企业级的镜像仓库，在业务上线前，镜像必须进行安全扫描。

（3）扩容资源池支持被现有基础云运维和管理平台纳管。扩展现有基础云运维平台监控范围，除传统基础架构作为监管范围外，支持将操作系统和应用纳入监控管理范围；支持数据中心内跨集群的动态智能工作负载管理以提升应用性能；优化现有基础云运维平台定制化仪表盘内容，提供实时容量、性能、告警等内容的大屏展示。

(4)为了保障平台的安全性，新、旧资源池支持构建统一的安全基线，包括但不限于，账号配置安全、口令配置安全、授权配置、日志配置、IP通信配置，支持同样的模版和网络安全配置。当虚拟机在不同数据中心迁移时，策略会随虚拟机漂移，无需重新配置。

（5）扩容基础云平台通过软件定义网络技术，提供完整的网络功能，网络拓扑可以随应用的变更非常方便的修改，无需在物理网络设备上配置。扩容基础云平台具备和现有基础云平台网络二层打通的能力，为未来将多个私有云在数据层和业务层打通，构建多活数据中心提供网路扩展能力，使业务具有抵抗数据中心级别故障的能力，进一步提高业务连续性。

(6)扩容基础云资源池具备云自助门户改造能力，实现服务自动化交付。未来项目组可根据发布的服务进行申请所需要的服务，包括应用所需的资源、策略和安全配置。基础云平台进行自动化交付改造时无需再购买额外软件许可。

（7）扩容的基础云平台必须配套3年7*24原厂技术支持，任何第三方包括OEM都不能被认定为原厂商。实施服务和供货周期要求

2-2

虚拟化平台用备份软件

功能描述：

1、全局可视化企业级监控软件，提供从应用到系统的可视化完整的容量规划和故障分析；

2、应用感知的备份恢复，即时虚拟机恢复及VMware虚拟机连续数据复制保护实现应用接管；

3、虚拟实验室可验证数据保护；

4、全球领先的虚拟化环境CDP;

3年厂商服务，含产品更新及升级

（数量单位： 20CPU）

3-1

基础设计和构筑：项目整体规划、详细设计

(1) 整体规划

整体需求收集、分析和讨论

整体实施方案

规划拓扑图

规划IP段

整体网络通信规划

（2）详细设计

服务器设计

机柜位置设计

超融合、云管理平台设计

万兆交换机设计

25G交换机设计

防火墙设计

WAF设计

网络设计

3-2

基础设计和构筑：安装规划-安装手册、测试手册、维护手册做成

（1）安装手册

超融合、云管理平台安装手册

网络交换机安装配置手册

25GB网络交换机安装配置手册

防火墙安装配置手册

WAF安装配置手册

（2）测试手册

功能测试方案

故障测试方案

测试计划的制定

功能测试case的制作

故障测试case的制作

（3）运维手册

制作运维手册

日常培训

3-3

基础设计和构筑：实施与调试-服务器迁移及超融合安装

（1）服务器迁移分2次迁移

服务器下架申请

服务器运输工具联络

服务器下架、装箱以及装车

服务器接货

服务器开箱并上架

服务器变更配置

服务器布线

服务器资产和贴标签

专线接入与配置

（2）服务器超融合分2次安装

（3）网络安装和配置

专线接入与配置

万兆交换机配置

25G交换机配置

网络及路由调整

（4）配合一汽丰田汽车FTMC，实施FTMS公网Internet出口统合。

涉及路由器2台、防火墙2台及北京望京机房与天津EV工厂间云联网设备接通作业(不含云联网开通工作)。最终实现北京望京机房公网出口流量全部通过云联网方式，通过天津EV运营商出口进出公网；

3-4

基础设计和构筑：超融合平台测试

功能测试-前期准备虚拟机

功能测试-服务器本地迁移

功能测试-网络测试

功能测试-磁盘测试

故障测试-服务器故障和恢复

故障测试-磁盘故障和恢复

管理网络与专线通信故障和恢复

故障测试-业务网络故障和恢复

故障测试-存储网络故障和恢复

故障测试-防火墙故障和恢复

迁移测试

3-5

基础设计和构筑：虚机迁移迁移到天津数据中心

对象：13个系统、82台虚机

天津虚拟化网络环境规划

各系统虚机迁移前后沟通确认

虚机关机迁移或在线迁移实施

迁移后虚机IP地址变更

整理系统相关网络通信要件

开通网络通信权限

业务及接口功能测试支援

针对需要再次迁移的虚机实施迁移，或协助AP侧进行数据导出导入作业

迁移后虚机IP地址变更

防火墙及DNS调整切替到新环境

上线后问题调查处理

运维文档更新

3-6

基础设计和构筑：应用系统迁移

13个应用系统在线迁移至天津数据中心，具体对象为hulft接口、接车APP、零件溯源、Barcode、维修信息公开化、数据平台、共通功能中心测试、市场调查数据、地担工具测试、零件预测系统、FOCUS、TOPSS-Redis、发票清单电子化。

针对以上13个系统具体工作不限于如下：

网络申请开通及验证

环境新IP配置调整及验证

新环境系统的确认及测试验证

相关系统的接口切题及验证

数据迁移

环境切替及验证

与其他关联系统接口调整

No.

项目

工作说明

1-1

网络入侵防护系统IPS(1台)

1、标准机架式硬件，2U，支持冗余电源，转速7200转/分钟4T机械硬盘，提供≥4个10/100/1000M电口（2路Bypass），提供≥4个千兆SFP光口，提供≥2*扩展槽位，2*USB接口，1*RJ45串口，2*千兆电口(管理*1,热备*1)，含液晶屏，CPU：i5 8400；内存：32G；

2、应用层吞吐量≥2Gbps,网络层吞吐量≥11Gbps。

3、支持流式防病毒、启发式防病毒（文件还原技术），且病毒库在900万以上。支持HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB2、工控（IEC-61850、IEC 60870）等协议。

4、系统支持基于信誉的僵尸网络检测能力，具备可以持续升级的信誉库，通过信誉库内的恶意网站IP、C&C服务器地址的信誉值执行相应的防护动作。

5、系统需提供入侵规则分类，帮助更便捷的制定防护策略。如勒索、挖矿、SQL注入、XSS注入、webshell、命令代码执行、内存破坏、类型混淆、反序列化、信息泄露、目录遍历、文件操作漏洞、注入攻击、重定向漏洞、CSRF、僵木蠕、拒绝服务、弱口令、欺骗劫持、扫描类攻击等。

6、系统支持URL分类本地库和云端查询能力，可实现高风险、不良网站的过滤，规范上网行为。可提供本地搜索，手动研判可疑URL。

7、主机*1，冗余电源，入侵检测防护模块（规则库）升级授权≥3年，机械硬盘≥4T 万兆光模块≥4

8、系统应提供DoS/DDoS攻击防护能力，支持PING/UDP/SYN/ACK/DNS Reply/DNS Req Flood，支持TCP Port Scan/UDP Port Scan, 支持 PING Sweep，支持ARP Spoof以及HTTP GET/HTTP POST FLood等常见的DoS/DDoS的攻击

9、系统应提供敏感数据保护功能，能够识别、阻断、告警超过阈值的敏感数据信息，其中敏感数据包括身份证号、银行卡、电话号码等，且支持自定义敏感数据

10、系统应能识别主流的应用程序，识别不少于6000个应用。支持至少5G应用，支持PFCP、NAS、HTTP2、S1AP、MML等协议；至少20种工控协议，如IEC 、DNP3等协议

11、维保应急：三年的入侵检测防护授权。三年软件及硬件维保；工程师7*24H响应，设备出现问题工程师2小时内到现场。设备出现严重故障无法使用时，由备机库发出一台不低于同型号备机替换周转，4小时内到达现场。客户设备维修完成上架后，返回备机。

1-2

WEB应用防护系统WAF（1台）

1、2U,含交流冗余电源模块,2*USB接口,1*RJ45串口,2*GE管理口。4*GE电口 (BYPASS),4*千兆光口，2个接口扩展插槽位，可购买千兆（光、电）、万兆光链路扩展板卡。CPU：intel i5 10400，内存：128G SSD，硬盘：转速7200转/分钟，1TSATA

2、应用层吞吐量≥3Gbps。

3、提供针对主流Web服务器及插件的已知漏洞防护。Web服务器应覆盖主流服务器：apache、tomcat、lightpd、NGINX、IIS等插件应覆盖:dedecms、phpmyadmin、PHPWind、shopex、discuz、ecshop、vbulletin、wordpress等，提供Java反序列化漏洞（Jboss）防护规则。

4、提供对HTTP协议合法性进行验证，支持对HTTP协议的URI、HOST、UA、Cookie、Referer、Content、Accept、Range、其他头部和参数在内的元素、参数进行检测与处理。且支持非法编码和解码的灵活控制与处理。

5、提供基于规则和语义分析的检测引擎，提升SQLi和CMDi和CODEi检测精度

6、提供HTTP访问控制功能，可以提供针对HTTP元素和客户端的组合访问控制策略。支持对多种HTTP方法执行访问控制，包括：GET、POST、HEAD、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCK TRACE、SEARCH、CONNECT。

7、提供基于五元组（源IP地址、目的IP地址、源端口、目的端口、协议类型）及接口的网络层访问控制功能

8、主机*1，冗余电源，规则模块升级授权≥3年，硬盘≥4T，万兆光模块≥2

9、基于规则和语义分析的检测引擎，提升SQLi和CMDi和CODEi检测精度

10、提供对注入（包括SQL注入、LDAP注入、XPATH注入及命令行注入）、XSS、SSI指令、路径穿越、远程文件包含、WebShell防护

11、提供对HTTP站点和HTTPS站点提供服务器探测功能

12、提供自定义HTTPS监听端口，不 (略) 的443端口

13、提供HTTPS国密算法

14、维保应急：3年规则升级；硬件设备36个月维保；工程师7*24H响应，设备出现问题工程师2小时内到现场。设备出现严重故障无法使用时，由备机库发出一台不低于同型号备机替换周转，4小时内到达现场。客户设备维修完成上架后，返回备机。

1-3

三层25G交换机（2台）

1、配置≥48个25G SFP28，≥6个100GE QSFP28

2、CPU和LSW要求国产化

3、支持静态路由、RIP V1/2、OSPF、IS-IS、BGP、RIPng、OSPFv3、BGP4+、ISISv6

4、支持IPv4路由表项≥256K，提供权威第三方测试报告

5、支持IPv6路由表项≥80K，提供权威第三方测试报告

6、支持统一用户管理功能，支持802.1X/MAC等多种认证方式

7、支持横向堆叠，主机堆叠数不小于9台

8、支持NetStream

9、支持本地管理和云盒两种方式，可以通过云管理平台对交换机进行云端配置、监控、巡检等，减少部署和运维的投入，降低网络的OPEX，提供权威第三方测试报告

10、以灵活定义自己的逻辑拓扑、SLA需求、可靠性和安全等级，以满足不同业务、行业或用户的差异化需求。

11、冗余电源、40G堆叠线缆*1、万兆光模块≥2,千兆光模块≥2，25G光模块≥10。

12、维保应急：软硬件设备36个月维保；工程师7*24H响应，设备出现问题工程师2小时内到现场。设备出现严重故障无法使用时，由备机库发出一台不低于同型号备机替换周转，4小时内到达现场。客户设备维修完成上架后，返回备机。

1-4

千兆交换机

(2台)

1、交换容量≥1.2Tbps，提供官网截图

2、包转发率≥460Mpps，提供官网截图

3、为了提高设备可靠性，支持模块化可插拔双电源

4、配置48个10/100/1000Base-T以太网端口，4个万兆SFP+端口

5、支持业务扩展插槽数≥1，扩展支持8个SFP+端口，整机最大支持12个万兆SFP+端口

6、整机缓存≥128 MB

7、支持静态路由、RIP V1/2、OSPF、IS-IS、BGP、RIPng、OSPFv3、BGP4+、ISISv6

8、支持SNMP v1/v2/v3、Telnet、RMON、SSH，支持VLAN条目数≥4000

9、支持 Telemetry 技术，实时采集设备数据并上送至网络分析组件平台，通过智能故障识别算法对网络数据进行分析，精准展现网络实时状态，及时定界故障以及故障发生原因，精准保障用户体验

10、配置冗余电源，万兆光模块≥4个

11、维保应急：软硬件设备36个月维保；工程师7*24H响应，设备出现问题工程师2小时内到现场。设备出现严重故障无法使用时，由备机库发出一台不低于同型号备机替换周转，4小时内到达现场。客户设备维修完成上架后，返回备机。

1-5

负载均衡（1台）

1、提供≥16*10/100/1000M电口，4*千兆SFP插槽，6*万兆SFPP插槽，4*Combo口，2*可选扩展插槽，4*风扇，

2、网络层吞吐量≥6Gbps,最大并发连接数≥500万,新建连接数≥9万

3、提供以下协议的ALG功能，包括但不限于DNS、RTSP、PPTP、SCCP、XDMCP、FTP、RSH、NBT、SCCP、H323、SQLNET、MGCP、SCTP、SIP

4、提供RIP、OSPF、BGP等路由协议以及各自的IPv6版本

5、提供多种链路检测方法，能够通过ICMP、UDP、TCP、FTP、DNS、HTTP、RADIUS、SSL、HTTPS、TCP half-open、SNMP-DCA、RADIUS-ACCOUNT等方式监控链路的连通性

6、当内网用户访问某一个特定地址时，根据本链路当前到达此目的地址的实际链路状态进行调度，而不是依据固定的静态算法

7、提供基于目的地址、源+目的地址的会话保持，使每个用户访问同一个业务保持在相同链路上，避免由于链路切换造成业务访问失败

8、提供DDNS，动态更新DNS服务器上域名和IP地址之间的对应关系，保证通过域名解析到正确的IP地址。

9、通过ICMP、TCP、DNS等方式，检验SNAT地址池中的地址有效性，避免出口SNAT池中地址被意外封杀后仍然被使用造成网络访问中断

10、提供包括轮询、加权轮询、随机、最小连接、加权最小连接、带宽、最大带宽、源IP地址哈希、源IP地址和端口哈希、目的IP地址哈希、基于实服务器优先级调度、带宽算法、最大带宽算法、最快响应算法、动态反馈、HTTP哈希、HTTP CARP哈希、源IP地址CARP哈希、源IP地址和端口CARP哈希、目的地址CARP哈希、加权最小连接（基于成员）、最快响应（基于成员）、UDP强制负载分担（基于SIP的负载分担）、基于源地址调度、本地优先级等服务器负载均衡算法

11、提供并实配TCP连接复用，减少服务器侧的TCP新建压力

12、提供SSL卸载，可以将客户端的HTTPS请求解密为HTTP明文请求发送给服务器，减轻服务器加解密压力

13、提供ICMP-Flood防护、UDP-Flood防护、SYN-Flood防护、Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、DNS Query Flood、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范

14、实配：冗余电源、硬盘480G≥2，万兆光模块≥5

15、维保应急：软硬件设备36个月维保；工程师7*24H响应，设备出现问题工程师2小时内到现场。设备出现严重故障无法使用时，由备机库发出一台不低于同型号备机替换周转，4小时内到达现场。客户设备维修完成上架后，返回备机。

1-6

服务器配件-10个

MegaRAID SAS9460-16i支持raid模式支持直通模式，36个月维保

服务器配件-10个

MegaRAID SAS9460-8i支持raid模式支持直通模式，36个月维保

服务器配件-10个

服务器硬盘背板-后置的小盘背板，36个月维保

服务器配件-80个

64G DDR4-2933MHZ ECC-RDIMM，36个月维保

服务器配件-20个

Samsung SAS SSD PM1643 Series MZILT3T8HALS00007(3.84TB,2.5-inch)，36个月维保

服务器配件-10个

浪潮双口25Gbps_2Port_LC_Intel_E810网卡，36个月维保

服务器配件-20个

SFP_WTD_LC_IN-SP251SRLC_25G_SFP28_MM，36个月维保

2-1

超融合云统一管理平台软件

超融合云统一管理平台软件（数量20CPU）

(1)包括了计算、存储、网络虚拟化软件，管理平台，容器管理平台，和企业级云管平台。

(2)虚拟化软件将私有云中的各种资源池化，提高利用率。

(3)在云管平台中，包括了面向管理员的云运维管理平台，和面向项目组的云自助门户。

原厂License +原厂Production 服务三年：

7*24小时原厂技术支持，非OEM产品及技术支持。且含产品更新及升级

超融合、云统一管理平台构筑技术要求：

（1）为了保护既有投资，本期项目利旧10台物理服务器通过软、硬件改造，构建新的基础云平台资源池。扩容基础云平台资源池需要通过计算、存储和网络虚拟化软件将上述资源池化，标准化。扩容资源池可以和北京现有基础云资源池有效整合。多资源池可以协同工作，工作负载可以在不同资源池的集群间在线迁移。迁移的工作负载所有配置、策略保持不变，自动化的脚本可共用。

(2) (略) 带来的安全风险，扩容基础云平台资源池必须具备同时支持管理传统虚拟机应用和云原生容器应用的能力。在一个管理平台中，管理员可以方便的对虚拟机和K8S集群进行生命周期管理，创建虚拟机和K8S所需资源，并且实现对资源的分配和隔离。基础云平台具备K8S集群的生命周期管理能力，包括集群的创建、升级、扩容和删除等，支持多K8S集群；容器运行于虚拟化之上，提供完整的容器网络和存储方案，满足容器的高性能和隔离性要求；构建企业级的镜像仓库，在业务上线前，镜像必须进行安全扫描。

（3）扩容资源池支持被现有基础云运维和管理平台纳管。扩展现有基础云运维平台监控范围，除传统基础架构作为监管范围外，支持将操作系统和应用纳入监控管理范围；支持数据中心内跨集群的动态智能工作负载管理以提升应用性能；优化现有基础云运维平台定制化仪表盘内容，提供实时容量、性能、告警等内容的大屏展示。

(4)为了保障平台的安全性，新、旧资源池支持构建统一的安全基线，包括但不限于，账号配置安全、口令配置安全、授权配置、日志配置、IP通信配置，支持同样的模版和网络安全配置。当虚拟机在不同数据中心迁移时，策略会随虚拟机漂移，无需重新配置。

（5）扩容基础云平台通过软件定义网络技术，提供完整的网络功能，网络拓扑可以随应用的变更非常方便的修改，无需在物理网络设备上配置。扩容基础云平台具备和现有基础云平台网络二层打通的能力，为未来将多个私有云在数据层和业务层打通，构建多活数据中心提供网路扩展能力，使业务具有抵抗数据中心级别故障的能力，进一步提高业务连续性。

(6)扩容基础云资源池具备云自助门户改造能力，实现服务自动化交付。未来项目组可根据发布的服务进行申请所需要的服务，包括应用所需的资源、策略和安全配置。基础云平台进行自动化交付改造时无需再购买额外软件许可。

（7）扩容的基础云平台必须配套3年7*24原厂技术支持，任何第三方包括OEM都不能被认定为原厂商。实施服务和供货周期要求

2-2

虚拟化平台用备份软件

功能描述：

1、全局可视化企业级监控软件，提供从应用到系统的可视化完整的容量规划和故障分析；

2、应用感知的备份恢复，即时虚拟机恢复及VMware虚拟机连续数据复制保护实现应用接管；

3、虚拟实验室可验证数据保护；

4、全球领先的虚拟化环境CDP;

3年厂商服务，含产品更新及升级

（数量单位： 20CPU）

3-1

基础设计和构筑：项目整体规划、详细设计

(1) 整体规划

整体需求收集、分析和讨论

整体实施方案

规划拓扑图

规划IP段

整体网络通信规划

（2）详细设计

服务器设计

机柜位置设计

超融合、云管理平台设计

万兆交换机设计

25G交换机设计

防火墙设计

WAF设计

网络设计

3-2

基础设计和构筑：安装规划-安装手册、测试手册、维护手册做成

（1）安装手册

超融合、云管理平台安装手册

网络交换机安装配置手册

25GB网络交换机安装配置手册

防火墙安装配置手册

WAF安装配置手册

（2）测试手册

功能测试方案

故障测试方案

测试计划的制定

功能测试case的制作

故障测试case的制作

（3）运维手册

制作运维手册

日常培训

3-3

基础设计和构筑：实施与调试-服务器迁移及超融合安装

（1）服务器迁移分2次迁移

服务器下架申请

服务器运输工具联络

服务器下架、装箱以及装车

服务器接货

服务器开箱并上架

服务器变更配置

服务器布线

服务器资产和贴标签

专线接入与配置

（2）服务器超融合分2次安装

（3）网络安装和配置

专线接入与配置

万兆交换机配置

25G交换机配置

网络及路由调整

（4）配合一汽丰田汽车FTMC，实施FTMS公网Internet出口统合。

涉及路由器2台、防火墙2台及北京望京机房与天津EV工厂间云联网设备接通作业(不含云联网开通工作)。最终实现北京望京机房公网出口流量全部通过云联网方式，通过天津EV运营商出口进出公网；

3-4

基础设计和构筑：超融合平台测试

功能测试-前期准备虚拟机

功能测试-服务器本地迁移

功能测试-网络测试

功能测试-磁盘测试

故障测试-服务器故障和恢复

故障测试-磁盘故障和恢复

管理网络与专线通信故障和恢复

故障测试-业务网络故障和恢复

故障测试-存储网络故障和恢复

故障测试-防火墙故障和恢复

迁移测试

3-5

基础设计和构筑：虚机迁移迁移到天津数据中心

对象：13个系统、82台虚机

天津虚拟化网络环境规划

各系统虚机迁移前后沟通确认

虚机关机迁移或在线迁移实施

迁移后虚机IP地址变更

整理系统相关网络通信要件

开通网络通信权限

业务及接口功能测试支援

针对需要再次迁移的虚机实施迁移，或协助AP侧进行数据导出导入作业

迁移后虚机IP地址变更

防火墙及DNS调整切替到新环境

上线后问题调查处理

运维文档更新

3-6

基础设计和构筑：应用系统迁移

13个应用系统在线迁移至天津数据中心，具体对象为hulft接口、接车APP、零件溯源、Barcode、维修信息公开化、数据平台、共通功能中心测试、市场调查数据、地担工具测试、零件预测系统、FOCUS、TOPSS-Redis、发票清单电子化。

针对以上13个系统具体工作不限于如下：

网络申请开通及验证

环境新IP配置调整及验证

新环境系统的确认及测试验证

相关系统的接口切题及验证

数据迁移

环境切替及验证

与其他关联系统接口调整