市级政务网络改造清单

序号

名称

参数

数量

单位

区域及用途

1

SDN云路由器
（A平面40G）

★配置：双主控，4个交流电源，2个交换矩阵模块，提供一块全宽业务线路板，提供2端口40GB接口（满配40G 光模块(1310nm,40km），配置10端口万兆SFP+接口；实配虚拟化功能授权许可，GRE功能授权许可，NetStream功能授权许可，分布式NAT功能授权许可，分布式组播VPN功能授权许可，SDN OpenFlow功能授权许可，并提供以上功能第三方测试报告；
★针对定西政务网40G/100G平面智能流量调度，要求支持SDN功能支持VXLAN、EVPN，支持BGP FlowSpec功能，支持Openflow协议，提供官网截图并厂商盖章；
★整机交换容量≥119Tbps，包转发率≥24000 Mpps，提供官网截图并厂商盖章；
★支持主控板、交换网板、业务板完全物理分离，主控板、交换网板、业务板分布在不同的物理槽位，需提供设备面板图并指出对应的主控板、交换网板和业务板槽位；支持独立的交换网板≥4个，提供官网截图并厂商盖章；
★整机全物理尺寸槽位数≥10个，其中≥2个主控板槽位，≥8个业务线路板槽位（非交换机网板或子卡槽位）；
支持RIP、OSPF、BGP-4、IS-IS等路由协议，RIPng、OSPFv3、IS-ISv6、BGP4+
支持网络虚拟化技术，能够将N(N≥4)台设备虚拟成虚1台设备；支持网络虚拟化技术，能够将1台设备，虚拟成N台逻辑上独立的设备； 支持网络纵向虚拟化技术，能够将接入设备作为核心或汇聚设备的远程端口；
支持GRE隧道。为保证性能，本次要求实配支持GRE功能；
硬件支持Netstream功能，本次要求实配NetStream；
硬件支持分布式NAT功能（硬件支持FW/NAT板），本次要求实配NAT功能，提供官网截图并厂商盖章
硬件支持分布式组播VPN功能，本次要求实配组播VPN功能；
★设备支持单槽单向最大带宽≥400Gbps，并提供第三方证明报告；
设备支持Openflow协议，报文可依据流表进行转发，提供openflow1.3认证报告；
★设备支持EVPN/VxLAN（RFC 7348）功能，能够完成MAC地址远端学习，实现基于VxLAN的二三层VPN，并提供第三方测试报告；
★资质要求：提供入网证及检验报告，提供QC080000有害物质过程管理体系认证（厂商盖章），提供软件成熟度认证CMMI5（厂商盖章）；

1

台

业务流数据

2

SDN云路由器
（B平面100G）

★配置：配置双主控引擎，4块电源模块，5块独立的交换网板，24端口10GE 万兆接口，2端口100GB接口（满配光模块（10KM)），导轨配件。
★支持主控板、交换网板、业务板完全物理分离，主控板、交换网板、业务板分布在不同的物理槽位；
★整机全物理尺寸槽位数≥10个，其中≥2个主控板槽位，全宽业务板槽位≥8个（非交换机网板或子卡槽位）；独立交换网板≥6个，支持可变长信元交换技术。
整机交换容量≥86Tbps，整机包转发能力≥14000Mpps。
★支持集群技术，提供第三方测试报告。
★针对定西政务网40G/100G平面智能流量调度，要求支持SDN功能支持VXLAN、EVPN，支持BGP FlowSpec功能，支持Openflow协议，提供官网截图并厂商盖章；
★单槽位带宽≥1200Gbps，支持单槽位1200Gbps转发，提供第三方测试报告。
端口扩展性需求：支持GE、10GE、40GE以及100G接口，提供第三方测试报告。
所有主控卡、交换网板、业务板卡、灵活子卡、风扇和电源模块均支持热拔插，提供第三方测试报告。
支持FRR（Fast Reroute，快速重路由），支持ISIS FRR、OSPF FRR、BGP FRR、LDP FRR、L3VPN FRR和MPLS TE FRR等；支持不间断路由NSR，支持L3VPN NSR、6VPE NSR、VRRP NSR、MPLS TE NSR、PIM SM NSR、ISIS NSR、OSPF NSR和BGP NSR等，提供第三方测试报告。
★支持Netconf、Segment Routing、OpenFlow、BMP、BGP Flowspec协议，提供第三方测试报告。
支持OSPFv3、IS-ISv6、BGP4+等路由协议，支持VRRP、VRRPv3，支持等价和非等价链路负载分担功能，支持策略路由，支持PIM-SM、PIM-SSM、MSDP、MBGP、Anycast-RP等路由协议，支持组播VPN功能，支持IGMP V1/V2/V3、IGMP Snooping v1/2/3，支持二层MPLS VPN功能，支持MPLS TE FRR，支持ACL识别流量功能。
支持三种跨域MPLS VPN方式中的一种或多种（Option1或Option2或Option3），提供第三方测试报告。
攻击防范功能，支持对Ping Flood、SYN Flood、ARP Request Flood和控制平面协议等攻击防护，提供第三方测试报告。
支持NTP时钟，支持SNMP V1/V2/V3，支持采样功能和流统计功能，支持多日志主机功能，支持配置回滚功能，支持NQA功能，支持CFD功能，支持以太OAM功能，支持镜像功能，支持同步以太网功能，支持在线扩容技术，支持在线ISSU升级功能，提供以上功能第三方测试报告。
★支持DiffServ QoS，支持组播的QoS功能，支持流量整形，支持接口QOS缓存≥250ms，提供第三方测试报告。
★支持随板Netstream功能，支持VXLAN功能，支持EVPN VXLAN功能，提供第三方测试报告。
★资质要求：提供入网证及检验报告，提供QC080000有害物质过程管理体系认证（厂商盖章），提供软件成熟度认证CMMI5（厂商盖章）；

1

台

视频流数据

3

综合安全网关
（对接省外网&专网）

★硬件配置要求：千兆电口≥12，千兆光口≥12，万兆光口≥4；IPSec VPN隧道≥50000；3年AV特性库升级服务。
★硬件架构：采用非X86 64位多核高性能处理器和高速存储器，前后通风设计，具备可插拔冗余电源模块，可插拔风扇模块，接口扩展插槽≥1个；
★产品性能：最大并发连接数≥1500万，每秒新建连接数≥50万，整机包吞吐量≥40Gbps；
系统可靠性：支持VRRP链路备份；支持双机堆叠技术，融合后可统一管理配置并实现负载分担和业务备份，要求提供web配置截图；
支持安全区域管理，可基于接口、VLAN划分安全区域，ASPF状态检查；支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤，支持时间段安全策略设置；支持高性能SSL VPN功能，要求提供web配置截图；
提供客户端与安卓、IOS、Windows、Linux、MAC对接，支持BYOD解决方案；免费支持高性能IPSec、L2TP、GRE VPN功能，能够实现与L2TP over IPSec与安卓、ISO系统自带VPN组件对接；
支持基于用户应用的多维安全策略配置，并提供一体化安全策略配置模板（单条策略融合IPS、AV、ACG等多业务）。
负载均衡：支持链路负载均衡功能、服务器负载均衡功能，要求提供web配置截图。
支持IPv6：IPV6状态防火墙、IPV6动态路由协议、IPV6攻击防范、IPV6虚拟防火墙、IPV6管理、NAT64\DS-LITE等过渡技术；
路由协议：支持静态路由、RIP v1/2、OSPF、ISIS、BGP、策略路由等。
安全特性：能够防范DOS/DDOS攻击：Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、HTTP Flood（cc）攻击、ARP欺骗、TCP报文标志位不合法、超大ICMP报文、地址扫描的防范、端口扫描的防范；支持应用层过滤，必须支持Java Blocking、ActiveX 过滤，支持FTP协议深度检测，支持FTP命令字过滤，支持URL过滤；
★用户行为画像：提供基于用户名（或用户IP地址）实现对用户行为统一分析界面，采用饼状图对访问应用流量、网站访问集中分析展示，包含基于时间轴的访问行为轨迹(应用账号、行为内容等)，关联账号（微信、QQ）等相关用户行为审计内容。（提供功能截图证明）。
支持Syslog、NAT转换、攻击防范、黑名单等日志，支持流量监控日志。
★SDN功能特性：支持基于SDN网络的部署模式，支持对数据流进行服务链VXLAN封装转发。通过集中控制器对安全业务进行按需编排，实现安全能力的弹性扩展及多业务能力共享。（提供功能截图证明）。
资质要求：设备制造厂商具备CNNVD（中国国家信息安全漏洞库）一级支撑单位资质，提供证书复印件；厂家必须通过知识产权管理体系认证证书；厂商必须获得公安部颁发的“信息安全等级保护安全建设服务机构能力评估”证书；中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》；

1

台

对接省级政务外网

5

综合安全网关
（互联网接入区）

★配置要求：配置主机1台。每台配置主控引擎板2块、独立交换网板3块，电源模块2块，高性能安全网管模块；配置万兆光口18个，20个千兆光接口，8个千兆电接口，5000个IPSEC 隧道许可。
★系统架构：采用正交全分布式架构。主控引擎、交换引擎、接口单元硬件槽位分离，要求各厂商提供专业安全设备非交换机加安全插卡，提供官网证明截图。
可靠性功能：电源M+N冗余；支持≥6电源模块。主控引擎≥2，业务槽位≥6；
★系统性能：设备单板吞吐性能≥40G，并发连接数≥2000万；每秒新建连接数≥50万；
★业务模块：可提供防火墙、入侵防御、负载均衡、上网行为管理、防病毒、SSL模块，所有模块支持二层回退；此次实配防火墙模块，主机及板卡均提供公安部《计算机信息系统安全专用产品销售许可证》；
安全集群：安全集群功能，将多台物理安全设备虚拟化为1台逻辑设备；设备集群后能完全作为1台设备来统一配置管理；要求提供多台网关设备虚拟成一台的用户证明。为保证投标产品厂商在安全漏洞方面的整体研究水平和及时预防能力。具备网络安全漏洞统一收集验证、预警发布及应急处置体系，进而提高产品的安全性。产品生产厂商须成为国家信息安全漏洞共享平台（CNNVD）一级技术支撑单位和中国国家信息安全漏洞库（CNVD）技术组成员。要求提供证书复印件和官网截图；
虚拟防火墙：每单板虚拟防火墙≥256个；提供防火墙一虚多后互不干扰的用户证明文件。
入侵防御：集成专业防病毒厂商的专业病毒库；EAL3+证明；支持深入七层的分析检测技术，能检测防范的攻击类型包括：蠕虫/病毒、木马、后门、DoS/DDoS攻击、探测/扫描、间谍软件、网络钓鱼、利用漏洞的攻击、SQL注入攻击、缓冲区溢出攻击、协议异常、IDS/IPS逃逸攻击等，并支持对802.1Q、MPLS、QinQ、GRE等特殊封装的网络报文的检测。支持URL过滤；URL过滤可以基于时间、主机，能够精细到单一IP地址；要求提供提供CVE认证。
负载均衡功能：必须同时支持服务器负载均衡和链路负载均衡，且两种功能能够同时开启；要求支持SSL VPN优化；支持将负载均衡能力虚拟化为多台设备使用，支持的虚拟设备数量≥64；负载均衡模块支持Ipv6 基础特性及Ipv6的负载均衡，满足今后Ipv6网络的升级,。
路由协议：配置IPv4、IPv6静态路由、等价路由、策略路由，以及BGP、RIPv2、OSPF、ISIS等动态IPv4路由协议，支持BGP4+、OSPFv3、ISISV6等动态IPv6路由协议；
资质要求：主机及板卡均提供公安部《计算机信息系统安全专用产品销售许可证》，厂商获得中国网络安全审查及认证中心颁发的EAL4增强级证书；安全产品厂商必须获得公安部颁发的“信息安全等级保护安全建设服务机构能力评估”证书。

1

台

互联网接入区

市级政务网络改造清单

序号

名称

参数

数量

单位

区域及用途

1

SDN云路由器
（A平面40G）

★配置：双主控，4 个交流电源，2 个交换矩阵模块，提供2端口 40GB 接口（满配 40G 光模块(1310nm,10km），配置 10 端口万兆 SFP+接口；

支持虚拟化功能，GRE 功能，NetStream 功能，NAT 功能，组播 VPN 功能，SDN OpenFlow 功能；

★针对定西政务网 40G/100G 平面智能流量调度，要求支持 SDN 功能 支持 VXLAN、EVPN，支持 BGP FlowSpec 功能，支持 Openflow 协议， 提供官网截图并厂商盖章；

★整机交换容量≥110Tbps，包转发率≥24000 Mpps，提供官网截图 并厂商盖章；

★支持主控板、交换网板、业务板完全物理分离，主控板、交换网板、 业务板分布在不同的物理槽位，需提供设备面板图并指出对应的主控 板、交换网板和业务板槽位；支持独立的交换网板≥4 个，提供官网 截图并厂商盖章；

★整机全物理尺寸槽位数≥10 个，其中≥2 个主控板槽位，≥8 个业 务线路板槽位（非交换机网板或子卡槽位）；

支持 RIP、OSPF、BGP-4、IS-IS 等路由协议，RIPng、OSPFv3、IS-ISv6、 BGP4+

设备整体支持带宽≥400Gbps；

支持VxLAN;

支持网络虚拟化技术，能够将 N台设备虚拟成虚 1 台设备；支持网络虚拟化技术，能够将 1 台设备，虚拟成 N 台逻辑上独立的设备； 支持网络纵向虚拟化技术，能够将接入设备作为核心或汇聚设备的远 程端口；

★资质要求：提供入网证及检验报告，提供 QC080000 有害物质过程 管理体系认证（厂商盖章），提供软件成熟度认证 CMMI5（厂商盖章）；

1

台

业务流数据

2

SDN云路由器
（B平面100G）

★配置：配置双主控引擎，4 块电源模块，24 端口 10GE 万兆接口，2 端口 100GB 接口（满配光模块（10KM)），导 轨配件。

★支持主控板、交换网板、业务板完全物理分离，主控板、交换网板、 业务板分布在不同的物理槽位；

★整机全物理尺寸槽位数≥10 个，其中≥2 个主控板槽位，全宽业务 板槽位≥8 个（非交换机网板或子卡槽位）； 整机交换容量≥110Tbps，整机包转发能力≥20000Mpps。

★支持集群技术，提供第三方测试报告。

★针对定西政务网 40G/100G 平面智能流量调度，要求支持 SDN 功能 支持 VXLAN、EVPN，支持 BGP FlowSpec 功能，支持 Openflow 协议， 提供官网截图并厂商盖章；

端口扩展性需求，支持 GE、10GE、40GE 以及100G接口；

支持 FRR（ Fast Reroute，快速重路由），支持 ISIS FRR、 OSPF FRR、BGP FRR、 LDP FRR、 L3VPN FRR 和 MPLS TE FRR 等；支持不间断路由NSR，支持 L3VPN NSR、 6VPE NSR、 VRRP NSR、 MPLS TE NSR、 PIM SMNSR、 ISIS NSR、 OSPF NSR 和 BGP NSR 等

支持三种跨域 MPLS VPN;

支持攻击防范功能;

支持NQA功能，支持OAM功能；

支持QOS；

★资质要求：提供入网证及检验报告，提供 QC080000 有害物质过程 管理体系认证（厂商盖章），提供软件成熟度认证 CMMI5（厂商盖章）；

1

台

视频流数据

3

综合安全网关
（对接省外网&专网）

★配置：硬件配置要求：千兆电口≥12，千兆光口≥8，万兆光口≥4；40G光口≥2， IPSecVPN 隧道≥14500； 3 年 AV 特性库升级服务。

★产品性能：最大并发连接数≥1200 万，每秒新建连接数≥40 万， 整机包吞吐量≥40Gbps；

可基于接口、VLAN 划分安全区域，ASPF 状态检 查；支持 FTP、HTTP、SMTP、RTSP、H323 协议簇的状态报文过滤，支 持时间段安全策略设置；支持高性能 SSL VPN 功能；

支持基于应用层协议设置流控策略，包括设置最大带宽、保证带宽、协议流量优先级等；

支持将基于端口的安全策略转换为基于应用的安全策略，分析设备策略风险，及冗余和失效策略，提供安全策略优化建议；

支持FTP、HTTP、SMTP，支持SSL VPN功能；

融合IPS、AV、URL；

支持HTTP、HTTPS、DNS、SIP等应用层Flood攻击，支持流量自学习功能，可设置自学习时间，并自动生成DDoS防范策略；

支持全面NAT功能，对多种应用层协议支持ALG功能，包括ILS、DNS、PPTP、SIP、FTP、ICQ、RTSP等；

1

台

对接省级政务外网

5

综合安全网关
（互联网接入区）

★配置要求：主控引擎板 2 块、电源模块 2 块，配置万兆光口 18 个，20 个千兆光接口， 8 个千兆电接口， 5000 个 IPSEC 隧道许可；

★系统架构：系统架构：采用多核架构。主控引擎、交换引擎、接口单元硬件槽位分离，要求各厂商提供专业安全设备非交换机加安全插卡。

★系统性能：设备单板吞吐性能≥40G，并发连接数≥2000 万；每秒新建连接数≥49万；

支持IPv6协议栈、IPV6穿越技术、IPV6路由协议；

支持将基于端口的安全策略转换为基于应用的安全策略，分析设备策略风险，及冗余和失效策略，提供安全策略优化建议；

支持HTTP、FTP、SMTP、POP3、IMAP、NFS等协议的病毒防护；

入侵防御：能检测防范的攻击类型包括：蠕虫/病毒、木马、后门、 DoS/DDoS 攻击、探测/扫描、间谍软件、网络钓鱼、利用漏洞的攻击、 SQL 注入攻击、缓冲区溢出攻击、协议异常、 IDS/IPS逃逸攻击等，并支持对 802.1Q、 MPLS、 QinQ、 GRE 等特殊封装的网络报文的检测。支持 URL 过滤； URL 过滤可以基于时间、主机，能够精细到单一 IP 地址；

1

台

互联网接入区