2022年9月2日沈阳教育城域网网络升级改造招标公告

沈阳教育城域网网络升级改造招标项目的潜在供应商应在线上获取招标文件,并于2022年09月07日 09时30分（北京时间）前递交投标文件。

一、总体要求

中标供应商按照参数要求向规定地点提供相应数量的设备，同时提供相应的集成服务内容，内容包括：核心交换机 2台；核心防火墙 2台；智能域名解析系统 2套；网络安全合规性管理系统 1套；设备安装调试、软件开发部署、设备切换中的驻场保障以及后期设备迁移等。

二、 采购需求

三、 技术要求

（一）核心交换机

★1.交换容量≥500Tbps，包转发率≥28000Mpps，以官网所列最小值为准；（需提供产品官网截图证明）

★2.硬件规格：主控引擎与交换网板物理分离、主控引擎≥2个、独立交换网板≥4个、整机业务板槽位数≥8个；（需提供产品官网截图证明）

3.为保证设备散热效果和可靠性，支持模块化风扇框，风扇框数≥2个；

4.支持纵向虚拟化技术；

5.缓存容量：支持最大每端口 200ms 数据缓存；

6.支持整机ARP表项≥256K；

7.支持RIP、OSPF、BGP、ISIS等IPv4动态路由协议；

8.支持RIPng、OSPFv3、BGP4+、ISISv6等IPv6动态路由协议；

9.支持MPLS 、MPLS L2VPN(VPLS，VLL)、MPLS-TE；

10.支持SNMP V1/V2c/V3、Telnet、RMON、SSH；

★11.整机实配：双主控、电源数量≥3块、双交换网板、千兆电接口≥48 个，万兆光接口≥96 个，40G接口≥4个，100G接口≥2个；

12.配置4个100G多模光模块,8个40G多模光模块，10个10G单模80km光模块，10个10G单模40km光模块。

（二）核心防火墙

1、每台核心防火墙的技术要求

（1）架构

1）采用控制、数据、业务相分离的全分布式架构，主控引擎、业务引擎、交换网板、接口单元均硬件槽位分离；（需提供产品官网截图证明）

★2）所有交换网板必须为独立形态（非主控集成），占用专用的硬件槽位，独立交换网板至少配置2块板卡；（需提供产品官网截图证明）

（2）性能指标

1）防火墙吞吐量≥160G，整机可扩容到吞吐量≥800G；

2）应用层（开启IPS及AV后）吞吐≥40G；

3）并发连接数≥4000万；

4）每秒新建连接数（HTTP）≥100万；

（3）硬件参数

★1）主控板槽位数≥2；

★2）业务板槽位数≥8；

★3）独立交换网板≥2；

4）风扇框槽位≥2；

5）电源槽位数≥2；

（4）功能参数

1）实现路由模式、透明（网桥）模式、混合模式；

2）实现静态路由、策略路由、RIP、OSPF、BGP等路由协议；

3）实现IPV6动态路由协议、IPV6对象及策略、IPV6状态防火墙、IPV6攻击防范、IPV6 GRE/IPSEC VPN、IPV6日志审计、IPV6会话热备等；

4）支持基于出口区域多功能防护功能；

5）实现一对一、多对一、多对多等多种形式的NAT，实现DNS、FTP、H.323等多种NAT ALG功能

6）实现安全区域划分，访问控制列表，配置对象及策略，动态包过滤，黑名单，MAC和IP绑定功能，基于MAC的访问控制列表，802.1q VLAN 透传等功能；

7）支持一体化安全策略，能够基于时间、用户/用户组、应用层协议、五元组、内容安全统一界面进行安全策略配置；

8）支持智能诊断；

★9）支持AI能力；

10）SSL VPN并发用户数≥2万；

11）支持2台设备堆叠成一台设备使用，实现统一管理，统一配置；

12）支持虚拟防火墙功能；

13）单个安全策略支持的规则数≥6万；

（5）每台设备配置要求

1）冗余主控、冗余电源、冗余风扇、冗余交换网板；

2）最低配置32个万兆光口，2个100G光口，4个40G光口；

3）配置2个100G多模光模块,16个10G多模光模块；8个10G单模40km光模块；

3）3年应用特征库授权；

4） 不少于200个SSLVPN授权；

2、为两台防火墙配备如下设备及系统（报价包含在核心防火墙内）：

★（1）提供一台日志服务器，供日志管理系统使用。

★（2）提供一套日志访问管理系统，实现至少6个月的网络日志存储和查询，可以实现网络中安全设备的统一管理、实时事件监控、综合分析攻击、策略下发以及威胁日志审计等功能，满足网络安全三级等保要求。

（3）网络安全合规性管理系统

★1）资产统计：根据业务系统统计支撑业务系统的软、硬件资产信息。 统计资产范围包含：服务器（虚拟服务器）、网络设备、存储设备、数据库、中间件、安全设备、审计设备等。统计内容包含：资产名、业务隶属、资产类型、设备类型、IP地址、MAC地址、生产厂商、服务商、负责人、运维人、在保时间等；（需要提供产品截图证明）

★2）数据采集：支持通过Snmp、Ipmi、Http、Telnet、Ssh脚本、Agent、Syslog、API等方式的采集风险评估数据，数据采集支持自定义算法和阈值，采集的数据通过算法得出针对指标的风险评估得分；（需要提供产品截图证明）

3）业务与资产关联：能够按资产IP地址、连接关系组合成业务组；（需要提供产品截图证明）

4）业务风险视图：通过业务风险评价可查看业务系统风险状态，提供风险排名；（需要提供产品截图证明）

5）电子工单：提供一套内嵌的电子工单系统，通过电子工单系统发起、跟踪、整改、确认指标的整改过程。可根据不同业务系统的周、月、季等时间生成同比或环比的业务对比报告，提供在线预览和离线预览方式；（需要提供产品截图证明）

6）知识库：通过电子工单系统整改内容的记录形成整改智库，方便后期遇到相同问题参考使用；（需要提供产品截图证明）

7）业务状态视图：通过指标合规数量统计可以展示业务系统在合规要求下，指标的合规/违规数量，可通过查看详情展现合规/违规指标的详细内容；

8）业务合规状态展示：支持综合风险评分功能，可以以图表或数据的方式，展现指定业务系统综合风险得分、业务系统某一安全维度风险得分、组成业务系统的某类或某个资产的风险得分，并提供按照时间点或指标的历史数据查询功能，同时提供资产的风险由高到低排名图功能；

9）智能报告：可根据不同业务系统的周、月、季等时间生成同比或环比的业务对比报告，提供在线预览和离线预览方式。

（三）智能域名解析系统

1.平台

专用1U机架式设备，Inter至强CPU, ≥16G内存，≥6个千兆电口并可扩展光口，硬盘不小于1G,冗余电源。

2.基础功能和性能

★（1）负责教育城域网接入用户网络应用和平台系统应用的域名解析和DNS安全防护。要求在开启解析日志（Query log）时的QPS不低于80000，LPS不低于500，DHCP可分配地址容量不低于10万，除常规DNS攻击安全防护功能外，还需支持IPv4和IPv6双栈, 支持自动切换为高性能DNS查询模式服务， 可提供全球所有国家，中国所有省、市的IP地址库，支持基于物理位置的解析负载调度等功能；（需提供产品截图证明）

★（2）支持标准DNS协议，支持A记录、AAAA记录、NS记录、CNAME记录、MX记录、PTR记录，支持TTL值优化功能，支持视图功能；

★（3）用户根据源IP匹配视图，根据视图可以定义不同的DNS策略，支持系统默认视图：对所有源IP都生效，支持普通视图：具有明确的源IP地址范围，普通视图地址范围可以重叠，普通视图具有优先级，DNS解析按优先级来选择匹配普通视图，系统视图优先级最低；

★（4）可以设定要检测的应用服务器，通过dig/ping/wget等技术，判断服务器的的健康状况以及响应时间，支持HTTP/HTTPS/FTP/UDP/ICMP等协议；（需提供产品截图证明）

★（5）当有多条链路接入的时候，可以检测到每条链路的繁忙情况，并且可以根据繁忙情况调整解析IP地址的归属；

（6）支持划分用户组，指定用户组在解析时优先返回指定运营商线路的IP，例如电信用户组，则递归解析的时候，优先返回部署在电信的应用IP地址；

（7）设定不同线路的百分百，按照不同百分比，解析出对应运营商部署应用的IP地址；

（8）内置IP地址库，可以根据IP地址判断归属地；

（9）支持根据不同域名类型，在解析时返回指定运营商线路的IP，例如视频类域名返回联通运营商的应用IP地址，新闻类域名返回电信运营商的应用IP地址；（需提供产品截图证明）

★（10）支持配置指定域名会话保持，一段时间内对同一客户端返回固定的解析结果；

★（11）支持本地解析失败后，进行二次递归解析；

（12）支持对授权域名的审批流程；

（13）可以新增授权域名共享到所有的授权域下；

★（14）能够支持分区域智能解析，系统自带全国各省份IP地址信息，支持按省份的区域划分和IP地址更新，可按区域智能解析到相应区域线路对应的应用服务器IP地址；

（15）检查应用服务器运行状态，依据建立连接时延、首字节响应时延、首屏下载时延、90%元素下载时延、全部下载时延、下载速率、首页PING时延、下载文件大小等，以及用户IP归属情况，综合判断返回最优IP地址；（需提供产品截图证明）

（16）支持EDNS；

（17）支持与Windows AD域的对接。

3.DNS安全

（1）能够内置防DDOS攻击模块,保护权威DNS和递归DNS的安全；

（2）全局源IP限速、特定源IP限速、限制其DNS查询速率，超过速率的部分丢弃；

★（3）全局域名限速、精确域名限速、泛域名限速，限制其DNS查询速率，超过速率的部分丢弃；（需提供产品截图证明）

（4）深层次多点匹配递归的请求和应答；

（5）全面支持DNSSEC技术；

★（6）允许指定的IP范围内的终端访问DNS服务；（需提供产品截图证明）

（7）能够主动发现恶意域名，同时阻止恶意域名解析，重定向到告警页面；

（8）系统内置已知的恶意域名信息；

（9）支持与安全设备联动，获取威胁情报信息。

4.地址管理和DHCP

（1）支持IP地址动态分配、静态绑定、空闲地址分配、基于指纹地址分配等；

★（2）DHCP系统支持IP地址的分配记忆功能，终端设备每次上线会尽量的分配上次记忆的IP地址；

★（3）支持根据业务需求手工自定义option; 支持不同终端类型分配不同地址段IP; 禁止非法路由器的接入; 支持通过交换机联动禁止私设IP; 支持现网及终端设备指纹识别; 支持MAC和DUID的地址绑定; 支持IPv6地址分配; 预防ARP病毒造成IP地址冲突；防范伪造DHCP服务对业务的影响；

（4）基于MAC地址限速、基于接口级限速、支持MAC地址黑名单、白名单；对网络内的IP 使用情况进行主动探测分析，结合实名信息，记录IP地址对应的MAC地址、设备名称、设备类型、位置、联系人、用途等信息；对超过一定时间（时间可设置，单位天,默认7天）的IP实现可回收功能；接入控制，支持Portal认证、MAC认证、802.1x认证、以及MAC + Portal混合方式认证，支持移动场景下基于IMSI的准入控制以及IP授权；支持IMSI黑、白名单认证，根据IMSI绑定IP地址并下发。

5.统一管理

（1）支持WEB方式对设备进行管理和维护；支持可视化中文界面：用户输入、报表、管理界面、告警事件等信息可全部通过Web中文方式完成管理；

（2）能够支持分权分域的用户管理模式，实现多层次的管理模式，可以为不同用户分配不同权限，需要控制到最小功能项，需要控制系统的读写权限。包括管理DNS的权限，管理DHCP的权限，系统管理权限；

（3）一个IPAM可以管理多个DDI设备，系统自动将监测到的服务加入管理列表，提供进程启动，停止功能；

（4）提供多维度的DNS、DHCP的报表，包括：TOP域名、DNS业务量、在线用户信息、分配历史信息、用户行为信息、地址利用率，封堵域名数据统计统计等；

（5）提供监测主机CPU，内存，硬盘的使用情况，提供检查后台运行进程的功能，能够在异常情况下自动重新启动相关进程。可设定报警阈值，发生问题时可实时触发故障报警；

（6）同时支持NTP服务端及客户端；

（7）支持配置syslog日志转发步服务器。

四、商务部分

★1、交货时间（即：合同履行期限）：合同签订生效后30日内

★2、交货地点：沈阳市行政区域内采购人指定地点

★3、付款方式及条件：供货完成并验收合格后出具全额销售发票。

★4、验收：

验收标准：按采购文件要求验收

验收程序：由采购人进行验收

验收报告：由采购人出具

组织验收主体：本项目的履约验收工作由采购人依法组织实施。

★5、质量保证期：3年。

★6、提供3年硬件保修服务。

★7、软件产品在使用寿命周期内提供软件代码的漏洞修复和centos等底层系统的迁移，以满足网络安全要求。

★8、供应商系统集成要求

供货商应具备交钥匙工程的能力，按照采购人要求对采购设备进行合理部署，完成对现有其他网络设备的对接，满足采购人应用需求，提供包含但不限于以下集成服务内容。

（1）负责核心交换机安装调试、替换现网设备（H3C S8812），业务割接等，要求在指定时间内完成安装调试，处理安装过程中出现的相关技术问题。

（2）负责核心防火墙安装调试、替换现网设备（迪普DPX8000-A12），业务割接等，要求在指定时间内完成安装调试，处理安装过程中出现的相关技术问题。

（3）负责智能域名解析系统部署，要求在指定时间内完成安装调试，处理安装过程中出现的相关技术问题。

（4）负责提供所有采购设备在安装调试与安装过程中涉及的相关配件、线缆。

（5）负责采购系统的软件部署及开发、现有NAT日志服务器迁移等服务。

（6）负责将原有替换设备迁移至采购人指定地点。

★9、投标有效期：90日历天