铁路新客站汽车客运站智能化系统工程计算机网络系统技术要求.doc

《铁路新客站汽车客运站智能化系统工程计算机网络系统技术要求.doc》由会员分享，可在线阅读，更多相关《铁路新客站汽车客运站智能化系统工程计算机网络系统技术要求.doc（27页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、铁路新客站汽车客运站智能化系统工程计算机网络系统技术要求1.1 系统概况本工程计算机网络系统分为办公网与业务专网，两个网络在硬件上物理隔离，组成相互独立的局域网。办公网是一个以IP应用为基础的办公业务综合平台，在这一网络平台上集成的应用包括：数据传输、数据库查询、WEB应用等多种应用。业务专网主要作为各业务子系统数据交换、运行监控及管理部门内部信息处理的使用；办公网与业务专网在硬件上物理隔离，组成相互独立的局域网。1.2 系统总体技术要求1.2.1办公网1）计算机公共网采用二层星型的网络拓扑结构，主干网络采用交换千兆以太网。系统分为二层：核心层和接入层。接入层用于用户终端的接入，核心层兼汇聚层

2、用于各区域的接入层的接入汇聚及高速数据交换并在其上进行安全策略的布署；2）网络核心层由5台万兆多业务路由交换机组成。核心交换机支持电源的冗余配置，支持高性能的IPV4/IPV6业务；3）接入层由楼层内的可堆叠交换机组成，每一个堆叠单元配置两个千兆端口上连至核心层交换机，通过千兆以太网技术实现10/100M交换到桌面，满足当前及将来的计算机应用需求。1.2.2业务专网1）业务专网采用二层星型的网络拓扑结构，主干网络采用交换千兆以太网。系统分为二层：核心层和接入层。接入层用于用户终端的接入，核心层兼汇聚层用于各区域的接入层的接入汇聚及高速数据交换并在其上进行安全策略的布署；2）网络核心层由2台万兆

3、多业务路由交换机组成。核心交换机支持电源的冗余配置，支持高性能的IPV4/IPV6业务；3）接入层由楼层内的可堆叠交换机组成，每一个堆叠单元配置两个千兆端口上连至核心层交换机，通过千兆以太网技术实现10/100M交换到桌面，满足当前及将来的计算机应用需求。1.2.3网络管理1）网络性能管理：收集网络运行各种统计信息，例如设备和链路的负载、可用性及可靠性、网络的可用率等，优化网络性能，消除网络中的瓶颈，实现网络流量分布的均匀性，实现各种策略管理。2）网络配置管理：网络节点部件、端口及路由的配置，收集当前系统状态的有关信息，更改系统的配置等。3）网络故障管理：维护并检查错误日志，接受错误检测报告并

4、作出反应，跟踪错误检测报告并作出反应，跟踪及辨认错误，执行诊断测试，纠正错误等。4）业务量统计：对网络节点、设备等的告警产生、告警内容和告警清除的统计；根据IP地址，统计业务流量和流向，实现对网管人员操作网管设备过程的记录和统计。5）网络安全管理：包括各种级别、层次的安全防护措施的管理，对网络中各种配置数据必须有保护措施，当网管系统出现故障时，能自动及人工恢复正常工作，不影响网络的正常运行。1.2.4无线局域网1）业务网采用无线局域网作为有线局域网的延伸，在检票、售票厅等区域设置无线接入点AP（Access Point），无线接入点通过10/100M以太网端口与有线网络互相连接，用户使用内置无

5、线网卡的终端设备（笔记本电脑、PDA掌上电脑等）可在这些场所无线办公或者以宽带方式接入业务网。2）无线局域网身份验证基于与设备独立的项目，如用户名和口令等，不论在哪一部客户机上运行，这些项目都由用户拥有和使用。3）在登录到网络之前，访问点拒绝所有客户机的对网络资源的访问。4）支持客户机和验证（RADIUS）服务器之间的双向身份验证，客户端在使用网络之前必须先输入用户名、密码等认证信息，并只有在认证通过时才开放该客户端的网络使用权限。5）在应用802.11传统安全机制（SSID,静态WEP加密）的同时，还采用802.1x所提供的增强的安全机制,以保障无线网络最大的安全性。6）业务专网核心层交换机

6、兼作智能化系统的时钟服务器，业务网的所有网络设备、服务器、工作站、信息发布播放器等IP设备的时钟都以时钟服务器的时钟为基准，保持与时钟服务器同步，确保联动、报警等事件的完整性。7）时钟服务器和IP设备之间采用NTP/SNTP协议实现时钟同步，由IP设备以固定的周期向时钟服务器提出同步请求，并调整本地时钟。1.3 主要设备技术参数要求1.3.1路由器详细技术规格要求序号项 目技术参数要求1产品性能转发性能15Mpps；交换容量80Gbps2关键部件冗余支持模块化双电源3接口类型支持10GE、10/100/1000BASE-T RJ45、10/100BASE-TX RJ45、100/1000BAS

7、E-X SFP、E3/CE3、T3/CT3、E1/CE1、T1/CT1、SAE（同步方式）、OC3-CPOS、OC3-POS、OC12-POS、OC48-POS、OC3-ATM、RPR等接口4引擎内存2GB5路由协议支持RIPv1/v2、OSPFv2、BGP、IS-IS；支持ECMP（等价多路径）、UCMP（非平衡链路负载均衡）6组播支持PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP、MPLS VPN组播、支持跨域的VPN组播（Option1/2/3） 7业务内置支持L2TP、GRE，为保证性能，L2TP、GRE功能要求由业务板卡实现，做到分布式处理8NAT硬件支持NAT功能；

8、支持Easy IP、静态NAT转换、动态NAT转换等多种方式；支持NAT多实例、VPN NAT、丰富的NAT ALG、NAT日志与用户行为审计、连接数限制等功能9网络流量分析硬件支持1：1网络流量分析功能10VPN硬件支持IPSec VPN，支持GRE、L2TP11QOS支持优先级Mark/Remark，支持FIFO、PQ、CQ、WFQ、RTPQ、CBWFQ各种队列调度机制 ，支持拥塞避免算法：Tail-Drop、WRED ，支持层次化Qos（H-Qos）12设备配置要求单台配置模块化1+1冗余交流电源单台配置不少于4个千兆光电复用口单台配置不少于2个千兆单模（1310nm,10km）光纤模块

9、13资质认证要求提供信产部入网证1.3.2防火墙详细技术规格要求序号项 目技术参数要求1硬件构架采用分布式多核处理器专业硬件架构，非X86等工控机架构2端口要求固化千兆光电复用口12整机最大支持万兆光接口数量4个整机最大支持千兆光接口数量20个整机最大支持千兆电接口数量16个3业务扩展槽位24产品性能整机最大吞吐量2Gbps最大并发连接数120万每秒新建连接数30K5基本功能支持安全区域管理，可基于接口、VLAN划分安全区域；支持基于状态的报文过滤支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤，支持时间段安全策略设置。支持虚拟防火墙技术,实配虚拟防火墙数量128个PN支

10、持：IPSec VPN、GRE VPN，SSL VPN内置IPSec VPN硬件加密芯片，本次要求配置IPsec VPN隧道数4000个内置SSL VPN硬件加密芯片，本次要求配置200个SSL VPN用户授权。支持Syslog、NAT转换、攻击防范、黑名单、地址绑定等日志支持流量监控日志支持二进制格式日志、支持用户行为流日志必须支持一对一、地址池等NAT方式必须支持多种应用协议，如FTP、H323、RAS、HWCC、SIP、ICMP、DNS、PPTP、NBT的NAT ALG功能支持策略NAT ALG功能支持策略NAT功能支持静态路由、RIP v1/2、OSPF、BGP、策略路由等本次配置防火

11、墙应可与本次招标所用网络设备建立OSPF/BGP邻居支持应用层过滤，必须支持Java Blocking、ActiveX 过滤，支持FTP协议深度检测，支持FTP命令字过滤，支持URL过滤能够防范DOS/DDOS攻击：Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗、TCP报文标志位不合法、超大ICMP报文、地址扫描的防范、端口扫描的防范6部署模式支持透明模式、透明模式和混合模式7电源支持冗余交流电源，支持冗余直流电源 。本次要求配置2个交流电源8

12、配套管理支持SNMPv1、SNMPv2C、SNMPv3；支持CONSOLE、TELNET、SSH V1.5、中文web管理方式支持NTP时间同步9兼容性与路由器同一品牌10资质证明具有中华人民共和国公安部的计算机信息系统安全专用产品销售许可证1.3.3业务网及办公网核心交换机、负二层监控中心交换机详细技术规格要求序号项 目技术参数要求1性能交换容量360Gbps包转发率155Mpps2端口要求固定端口千兆光口24个，万兆光接口4个最大可用千兆接口数量40个最大支持万兆接口数量8个3VLAN特性支持基于MAC的VLAN；支持基于端口的VLAN，支持基于协议的VLAN；最大VLAN数(不是VLAN

13、 ID)40944路由特性支持静态路由，RIPV1/V2，OSPFV2，IS-IS，BGPV4，ECMP，支持策略路由支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+支持IPv4向IPv6的过渡技术，包括IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道5QOS每端口支持8个优先级队列支持802.1P，DSCP/TOS优先级和重新标记能力，支持基于时间段的流分类和QoS控制能力支持出方向的流量限速功能（Egress Car）提供广播风暴抑制功能6虚拟化支持将多台物理设备虚拟化为一台逻辑设备，虚拟组内可以实现一致的转发表项，统一的管理

14、，跨物理设备的链路聚合7可靠性支持STP/RSTP/MSTP协议支持环网技术，环网故障恢复时间不超过200ms8安全特性支持IP源地址保护支持ARP 入侵检测功能支持IP+MAC+端口的绑定9管理和维护支持堆叠功能支持SNMPv1/v2/v3，WEB网管支持XModem/FTP/TFTP加载升级支持命令行接口（CLI），Telnet，Console口进行配置支持单向链路检测,有效的防止网络中单通故障的发生支持虚电缆检测功能，快速准确定位网络中故障电缆的短路或断路点10配置要求单台配置模块化冗余电源单台配置不少于24个千兆光口，4个万兆光口单台配置不少于16个千兆电口单台配置不少于1条3m SF

15、P+电缆单台配置不少于8个0.55KM千兆SFP光纤模块11兼容性与路由器同一品牌12资质认证提供信产部入网证书1.3.3业务网及办公网接入层交换机（不含负二层监控中心交换机）详细技术规格要求序号项 目技术参数要求1产品性能交换容量64Gbps2转发性能1.5Mpps3接口要求可用百兆电接口数量24；可用千兆光接口数量2；千兆光电复用接口数量2 4安全特性支持802.1X认证；支持端口隔离；支持IP/MAC/端口的绑定5支持控制端口下允许接入的最大MAC地址数，防止攻击者恶意占用MAC表项6MAC地址表32K7路由功能支持静态路由、RIPv1/v2支持策略路由，ECMP支持VRRP/VRRPv

16、38ACL支持基于源MAC地址、目的MAC、 MAC地址范围、源IP地址、目的IP地址、IP协议类型、物理端口、TCP/UDP端口、 TCP/UDP端口范围、VLAN等定义ACL；支持基于时间的ACL，支持入方向和出方向的双向ACL策略，支持基于VLAN下发ACL9组播支持IGMP Snooping v1/v2/v3，MLD Snooping v1/v2支持组播VLAN10管理特性支持命令行接口（CLI），Telnet，Console口进行配置；支持SNMPv1/v2/v3，WEB网管；支持中文图形界面网管11配置要求单台配置不少于24个百兆电口单台配置不少于2个千兆光口，2个千兆光口单台配置

17、不少于2个0.55KM千兆SFP光纤模块12兼容性与路由器同一品牌资质认证要求提供信产部入网证1.3.4无线控制器详细技术规格要求序号项 目技术参数要求1体系结构一体化机箱2接口配置24个10/100/1000M电口，每个电口具有POE功能支持4个SFP光接口支持万兆接口扩展3最大可管理AP数60个（本次配置可管理AP20个）4802.3局域网协议支持802.3x、802.1p、802.1q、802.1x支持基于端口广播控制5802.11局域网协议支持802.11n、802.11b、802.11g、802.11a支持传输速率选择支持信道选择支持最大传输功率设置6CAPWAP协议支持CAPWAP

18、协议支持L2/L3网络拓扑7IP服务Ping、Trace、DHCP Server、DHCP Client、DNS client、DNS Static、NTP、Telnet、TFTP Client、FTP Client、FTP Server8组播支持IGMP SNOOPING9安全支持MAC 地址认证、802.1x认证（EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-SIM、EAP-MD5）、Portal认证、PPPoE认证支持Local认证、Radius、HWTacacs、支持认证服务器多域配置、支持备份认证服务器、支持基于ESS选择认证服务器、支持SSID和用户账号的绑定支持80

19、2.11i标准、支持WPA标准、WEP(WEP64/WEP128)、TKIP、CCMP支持非法AP入侵检测，白名单功能，黑名单功能和无线协议攻击防御10射频管理支持AP功率自动调整支持信道自动设置/切换支持支持自动速率调整支持基于流量或用户数的AP负载分担11QOS支持SP、Flow-base QOS Policy、Port-Based Mirroring、Packet Remarking、Priority Mapping、Port Trust Mode、Port Priority、Flow Filter、Flow Control & Backpressure支持CAR（Committed A

20、ccess Rate）支持基于用户和基于SSID的速率限制，粒度为64Kbit/s支持无线优先级到有线优先级的映射支持FIFO、PQ、CQ、WFQ、CBQ、RTPQ等拥塞管理技术支持WMM（802.11E）标准12网络管理支持SNMP V1/V2c/V3和WEB管理13兼容性与路由器同一品牌1.3.5无线AP详细技术规格要求序号项 目技术参数要求1工作模式支持胖/瘦AP两种工作模式2协议支持同时支持802.11b/g/n工作，无线发射功率=100毫瓦3接口1个10/100/1000Mbps(RJ45)4天线内置硬件智能天线；具备外接天线接口，提供官网链接证明内置天线支持工作在2.4G的频段5安

21、全策略支持64、128位WEP加密，WPA，802.11i和WAPI支持WPA和802.11i的多种密钥更新触发条件支持AP上二层转发抑制支持虚拟AP之间的隔离支持报文过滤、广播抑制、SSID隐藏、MAC地址过滤支持802.1X认证、MAC地址认证、PPPoE认证6IP应用支持静态IP地址、支持DHCP动态获取IP地址支持IPv6/IPv4双栈应用支持集中式转发模式和AP本地转发模式支持only 11n接入功能，可以防止11a/g用户接入7实时频谱防护支持8wIPS 探针支持9资质要求提供无委会型号核准证，型号必须与投标设备相同10配置要求与无线控制器统一品牌单台内置硬件智能天线系统（不小于4

22、dBi），支持工作频段：2.4G，提供官网链接证明1.3.6 POE接入层交换机详细技术规格要求序号项 目技术参数要求1产品性能交换容量64Gbps转发性能1.5Mpps2接口要求可用百兆POE供电接口数量24；可用千兆光接口数量2；千兆光电复用接口数量2 3安全特性支持802.1X认证；支持端口隔离；支持IP/MAC/端口的绑定支持控制端口下允许接入的最大MAC地址数，防止攻击者恶意占用MAC表项4MAC地址表32K5路由功能支持静态路由、RIPv1/v2支持策略路由，ECMP支持VRRP/VRRPv3支持OSPFv1/v2，OSPFv3支持IS-IS，IS-ISv6支持BGP，BGP4+

23、for IPv66ACL支持基于源MAC地址、目的MAC、 MAC地址范围、源IP地址、目的IP地址、IP协议类型、物理端口、TCP/UDP端口、 TCP/UDP端口范围、VLAN等定义ACL；支持基于时间的ACL，支持入方向和出方向的双向ACL策略，支持基于VLAN下发ACL7组播支持IGMP Snooping v1/v2/v3，MLD Snooping v1/v2支持组播VLAN支持IGMP V1/V2/V3、MLD v1/v2、PIM-SM、PIM-DM、PIM-SSM 、MSDP8管理特性支持命令行接口（CLI），Telnet，Console口进行配置；支持SNMPv1/v2/v3，W

24、EB网管；支持中文图形界面网管9配置要求单台配置不少于24个百兆POE电口单台配置不少于2个千兆光口，2个千兆光口单台配置不少于2个0.55KM千兆SFP光纤模块10兼容性与路由器同一品牌11资质认证要求提供信产部入网证1.3.7有线无线一体化网管软件详细技术规格要求序号项 目技术参数要求1配置要求对于网络中的AC、FAT AP、FIT AP、移动终端等无线设备进行集中管理，同时可获取无线相关信息和配置。通过SSID视图、物理位置、设备类型等多种视图，将规模巨大的无线接入设备进行有效分组，便于用户查看和管理；基础网络管理，配置25个节点授权与基础网络管理平台无缝融合，配置50个AP的授权2用户

25、统一管理系统支持无线资源与用户的统一管理，提供对终端进行强制用户下线、下发消息、安全检查、加入黑名单、查看用户详细信息等功能。3有线无线一体化拓扑管理支持有线设备与无线设备的一体化拓扑管理。用户可按照多种管理层次，创建将有线设备和无线业务融合在一起的多层次拓扑图，并支持建筑平面图形的导入。4无线业务告警系统支持多种无线特有告警，包括隧道告警、工作模式告警、操作状态告警、信息告警、配置告警、Station状态告警、非法设备及入侵检测告警。5AC设备管理能查看其下挂的FIT AP设备基本信息和详细列表，对AC设备MAC模式、国家代码等无线业务参数进行配置，提供Radio策略、服务策略、故障管理、性

26、能监控等管理功能。6移动终端管理支持对移动终端的信息进行查看，包括MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等、所在Radio等等。同时可以查看终端的漫游轨迹及时间。7无线策略配置支持统一的Radio策略配置、服务策略配置以及配置批量下发等等。8RF覆盖视图管理系统支持自定义各信号范围使用颜色，设置信号衰减范围内的颜色，在位置拓扑中显示FIT AP的RF覆盖范围。9无线用户漫游能查看各移动终端的全部漫游记录，使管理员随时了解最终接入用户的情况，并对其接入轨迹进行审计。10非法AP告警与审计能够实时检测和显示非法AP等无线设备，了解其设备信息和位置

27、，并可以设置相关的防范策略1.3.8终端管理软件详细技术规格要求序号项 目技术参数要求1配置要求与有线无线一体化管理软件在同一界面内管理和配置与基础网络管理平台和无线智能管理无缝融合，配置500个终端授权2一体化客户端使用同一个客户端实现网络准入、用户认证、终端安全状态检查、桌面资产管理等所有功能，避免多个客户端带来的管理不便。支持Windows、Linux和MAC OS客户端认证3准入控制支持802.1x、Portal、L2TP IPSec VPN、无线等多种网络环境的身份认证，支持基于端口的802.1x和基于MAC地址的802.1x，可管理HUB或非智能交换机下的多个用户。4统一身份认证支

28、持PAP/CHAP/EAP-MD5/EAP-PEAP/EAP-TLS/WAPI等认证协议，支持USB Key、数字证书、LDAP服务器、Windows域管理器、WLAN等方式的认证及多种方式的组合鉴别；支持LDAP用户。5黑白软件管理支持对软件进行监控、对进程进行监控、支持对服务进行监控。支持纯白软件管理，终端用户只能安装该纯白软件列表中的软件，不能安装该纯白软件列表之外的软件。支持MD5方式进程检查，即使修改进程名也无法逃避检查。6桌面资产管理支持对客户端软硬件资产信息的编号、收集、统计、变更情况告警等，支持通过HTTP、FTP、文件共享等方式进行软件分发，在终端用户需要帮助时可提供远程协助

29、；在内网环境下，可以通过网络驱动过滤方式防止非法外联；7外设管理及U盘审计支持USB、软驱、光驱、串口、并口、红外、蓝牙、1394和Modem等外设的管理，可区分USB存储设备和非存储设备，支持离线策略，拔掉网线依然生效；支持对检测终端USB接入状态进行记录，如用户插拔USB时间、操作文件名、操作文件大小等详细信息。8在线用户管理可以在线查看用户状态及其所连接的网络设备信息，对非法用户可以执行发送消息、在线检查、强制下线、关闭端口等操作9用户管理与拓扑融合能够提供接入用户网络拓扑，在拓扑上实现在线用户查询、强制下线、下发消息等功能，便于用户的管理。10绿色节能管理支持强制客户端定时关机1.4

30、主要设备材料表序号设备名称单位数量备注业务网核心交换机1核心交换机主机台22150W 交流电源模块台4316端口10/100/1000BASE-T以太网电接口模块台24SFP+电缆3m条25光模块-SFP-GE-多模模块-(850nm,0.55km,LC)条266无线控制器台1业务网接入层交换机7接入层交换机主机台138光模块-SFP-GE-多模模块-(850nm,0.55km,LC)个269POE接入交换机台510交换机电源模块台3611光模块-SFP-GE-多模模块-(850nm,0.55km,LC)个1012无线AP台16办公网核心交换机13核心交换机主机台514150W 交流电源模块台

31、101516端口10/100/1000BASE-T以太网电接口模块台516SFP+电缆3m条517光模块-SFP-GE-多模模块-(850nm,0.55km,LC)条28办公网接入层交换机18接入层交换机主机台819光模块-SFP-GE-多模模块-(850nm,0.55km,LC)个16路由器20路由器主机(4GE Combo,1 FIP 插槽)台121300W交流系统电源模块台222光模块-SFP-GE-单模模块-(1310nm,10km,LC)台2防火墙23防火墙主机台124150W 交流电源模块台2网管及终端管理软件25-智能管理平台标准版(不含节点)-纯软件套126管理平台标准版管理25节点License费用套127无线业务管理组件-纯软件(CD)套128无线业务管理组件管理50台Fit AP设备License费用套129-EAD安全策略组件(不含用户)-纯软件(CD)套130安全策略组件管理500用户License费用套131EAD客户端组件-纯软件(CD)中文版专业版套132EAD客户端组件中文版专业版-每增加500用户应用软件费用套133EAD-工程实施服务套134工程实施服务(管理500安全认证用户端远程技术支持服务及客户端样板点安装费用)套1