项目技术需求书.docVIP

一、网络系统与安全系统 按照业务要求，CONAC服务体系包括一个位于北京的主运营中心、一个异地备份运营中心（本期暂不建设）、一个运维中心和七个DNS解析服务节点（本期建设两个节点）。 （一）主运营中心 主干路由器 主运营中心通过2台主干路由器进行互联网接入。主干路由器运行IPv4和IPv6双栈协议，通过1条100M带宽链路上联到北京联通骨干网，承担IPv4的出口流量；通过1条10M带宽链路上联到中国教育科研网CERNET的骨干网，承担IPv6的出口流量。 主干路由器要求如下： 采用全分布式、模块化架构，最少支持4个业务插槽，整机交换容量不低于200Gbps，整机包转发率不低于45Mpps。 支持路由与转发硬件分离，实配支持NAT、IPSEC、MPLS VPN业务分布式处理 配置双电源、风扇、接口模块等关键部件支持热插拔。 配置10个千兆以太网电口。 支持RIP、OSPF、BGP等IPv4路由协议，支持RIPng，OSPFv3、BGP4+等IPv6路由??议，支持IPv6隧道，支持IPv4、IPv6组播。并可支持IPV6相关软件版本的持续升级。 具有丰富的QoS功能，支持流分类，流量监管、支持各种队列调度机制，支持层次化QoS。 支持BFD、FRR、网络质量分析等高可靠性协议，可实现50ms的故障检测和切换。 支持高性能，满足大流量的业务访问。支持网络流量统计与分析功能，可与网络管理系统配合实现网络出口的带宽占用情况进行分析和审计。 主干交换机 主运营中心选择2台模块化交换机作为应用服务区的核心交换机，2台主干交换机通过千兆链路同时连接主干路由器、应用服务器、核心数据区防火墙和网络管理路由器。主干交换机既是主运营中心的转发核心，也是整网安全策略和应用控制的核心，应支持专业的业务应用插卡。支持对集群的多服务器应用进行压力均衡和优化设置；支持各功能分区的域间访问控制权限；支持进行4-7层的安全防御，实时阻断病毒、蠕虫、网页挂马、SQL注入等攻击。 主干交换机要求如下： 采用机箱式架构的三层交换机，最少支持6个业务插槽，整机交换容量不低于360Gbps，整机包转发率不低于250Mpps。实配分布式转发，可实现所有接口板卡的分布式线速转发。 配置双电源，风扇、接口模块等关键部件支持热插拔。 配置至少48个千兆以太网电口。 支持IEEE802.1Q Vlan ，Private Vlan，支持多组多对一的端口镜像（可跨Vlan、跨线卡、跨速率），支持链路聚合、跨线卡链路聚合，支持端口安全；支持广播风暴抑制；支持IEEE802.1x；单向链路检测；快速以太网环检测；支持STP/MSTP/RSTP。 支持RIP、OSPF、BGP等IPv4路由协议，支持RIPng，OSPFv3、BGP4+等IPv6路由协议，支持IPv6隧道，支持IPv4、IPv6组播。 具有丰富的QoS功能，支持流分类，流量监管、支持各种队列调度机制，支持层次化QoS。 支持BFD、FRR、GR等高可靠性协议，可实现50ms的故障检测和切换。 支持高性能，满足大流量的业务访问。支持网络流量统计与分析功能，可与网络管理系统配合实现网络出口的带宽占用情况进行分析和审计。 可通过扩展万兆接口，支持多台物理设备虚拟化为1台逻辑设备，支持分布式设备管理，分布式链路聚合，分布式弹性路由。 防火墙 CONAC配置主防火墙，主防火墙对应用服务区、广域网接入区、核心数据区和运维中心、备份运营中心进行安全域划分。主防火墙以板卡形式部署于主干交换机上。 主防火墙要求如下： 吞吐量不低于5Gbps，最大并发连接数不低于200万，每秒新建连接数不低于60000。 能够防范DOS/DDOS攻击：Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood等、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描的防范、端口扫描的防范。 支持透明模式、透明模式和混合模式。 支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤，支持时间段安全策略设置。 支持虚拟防火墙技术，实配支持250个虚拟防火墙。 采用多种可靠性设计，如：冗余电源、VRRP、基于状态的热备份等。 支持安全管理平台统一管理，可通过安全管理平台对防火墙进行维护、策略配置和安全事件收集分析。 具有公安部的销售许可证 入侵防御系统（IPS） CONAC配置IPS设备，进行4-7层的应用层攻击防护。IPS对广域网接入区流向应用服务区和运维中心的流量、应用服务区流向核心数据区的流量进行监控，通过集成的漏洞库、专业病毒库，精确识别并实时防范各种网络攻击。当攻击发生、或者短时间内大规模