网络设备参数

2024年2月26日发(作者：)

附件1 网络设备参数

路由器性能要求：

序号 规格/要求

体系架构：支持双主控引擎，支持基于硬件的转发机制和无阻塞交换技术。千兆路由电口≥16 个，千兆光口≥8 个（含 7 个千兆多模光模块，1 个单模），1 100M/1000M 光口可以自适应千兆，万兆路由器端口≥1*10GE（含 1 个万兆多模）。设备具有独立的交换网槽位（非主控处理引擎），和主控板槽位完全分离，以保证直插单主控板或者主控板故障切换时不会影响业务转发。

2 性能要求：业务槽位数量≥4 个，引擎性能≥170Mpps

物理板卡：实配单板为路由单板，不能为交换机单板，要求物理端口可以直接配置为三层路由端口，配置 IP 地址

3 支持 10GE-WAN/LAN、GE/FE、OC-3c/STM-1c POS、Channelized OC-3/STM-1 POS、E1/cE1

支持单板直接热插拔，不需要配置命令

局域网协议：Ethernet，Ethernet II，VLAN（VLAN-BASED PORT VLAN，VOICE

4 VLAN，Guest VLAN），802.1p，802.1Q

支持 PPP、MP、PPPoE Client、PPPoE Server

5

6

Netstream 功能 配置专门板卡

IP 路由：支持静态路由，策略路由，动态路由协议：RIP、OSPF、BGP、IS-IS，7

支持 PIM-SM,PIM-DM,MBGP 等组播路由协议

IPv6：支持 IPv6 静态路由；支持 RIPng、OSFPv3、IS-ISv6、BGP4+等动态路由协议； 支持 IPv4 和 IPv6 双协议栈；支持 IPv4 向 IPv6 的过渡技术：8

IPv6 手工隧道、6to4 隧道、 ISATAP 隧道、GRE 隧道等；支持 ICMPv6、UDPv6、TCPv6 等；

MPLS：支持 MPLS 三层 VPN；支持 MPLS-TE 流程工程；支持 L3 VPN，支持

9

OptionA、B、 C 三种方式的跨自治域互通技术；

局域网协议：

Netstream：支持分布式 Netflow/Netstream 网络流量分析，且不需要为

1

QOS：提供完善的 QoS 机制：支持 PQ、CQ、WFQ、CBWFQ 等调度技术，支持基10 于 IP Precedence， 802.1P,DSCP、MPLS EXP 流量分类，支持流量整形以及

WRED 拥塞避免机制；支持 ECMP、 UCMP 流量负载分担；

11 电源可靠性：支持双电源、支持电源 1+1 冗余备份

管理和维护：支持接口备份功能，VRRP、BFD 等可靠性技术

支持 NetStream 或类似的流量采集功能；

12

支持 Console、telnet、SSH 等登陆方式；

支持 SYSLOG、SNMP V1/V2/V3、RMON、WEB 网管、CWMP 功能；

产品资质：提供工信部（或原信产部）入网证书（IPV4）提供工信部（或原信13

产部）入 网证书（IPV6）

配置要求：主控≥1，电源≥2，千兆路由电口≥16 个，千兆光口≥8 个（含 7

14 个千兆多模光模块，1 个单模），100M/1000M 光口可以自适应千兆，万兆路由器端口≥1*10GE（含 1 个万 兆多模）

防火墙性能要求：

序号

1

2

3

格式）认证、域认证、CHAP 验证、PAP 验证

规格/要求

整机：千兆电口≥8 千兆电 Bypass 口≥2，可扩展

运行模式：路由模式、透明模式、混杂模式

AAA 服务：Portal 认证、RADIUS 认证、HWTACACS 认证、PKI /CA（X.509

2

防火墙：

SOP 虚拟防火墙技术，支持 CPU、内存、存储等硬件资源划分的完全虚拟 化安全区域划分

可以防御 Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP

Spoofing、IP分片报文、ARP 欺骗、ARP 主动反向查询、TCP 报文标志位不合法超大 ICMP报文、地址扫描、端口扫描、SYN Flood、UPD

Flood、ICMP Flood、DNS Flood

等多种恶意攻击

4

基础和扩展的访问控制列表

基于时间段的访问控制列表

基于用户、应用的访问控制列表

ASPF 应用层报文过滤

静态和动态黑名单功能

MAC 和 IP 绑定功能

基于 MAC的访问控制列表

支持 802.1qVLAN 透传

病毒防护：

基于病毒特征进行检测

支持病毒库手动和自动升级

报文流处理模式

5

支持 HTTP、FTP、SMTP、POP3 协议

支持的病毒类型：Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、

AdWare、Virus 等

支持病毒日志和报表

深度入侵防御：

支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、6 DoS/DDoS等常见的攻击防御

支持缓冲区溢出、SQL 注入、IDS/IPS 逃逸等攻击的防御

支持攻击特征库的分类（根据攻击类型、目标机系统进行分类）、分

3

级（分 高、中、低、提示四级）

支持攻击特征库的手动和自动升级（TFTP 和 HTTP） 支持对 BT 等

P2P/IM 识别和控制

邮件/网页/应用层过滤：

邮件过滤

SMTP 邮件地址过滤

邮件标题过滤

邮件内容过滤

邮件附件过滤

7 网页过滤

HTTP URL

过滤 HTTP 内容过滤

应用层过滤

Java Blocking

ActiveX Blocking

SQL 注入攻击防范

NAT：支持多个内部地址映射到同一个公网地址

支持多个内部地址映射到多个公网地址

支持内部地址到公网地址一一映射

支持源地址和目的地址同时转换 支持外部网络主机访问内部服务器

8 支持内部地址直接映射到接口公网 IP 地址

支持 DNS 映射功能

可配置支持地址转换的有效时间

支持多种 NAT ALG，包括 DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP

9 VPN：L2TP VPN、IPSec VPN、GRE VPN、SSL VPN

高可靠性：支持 SCF 2:1 虚拟化

10 支持双机状态热备（Active/Active 和 Active/Backup 两种工作模式） 支持双机配置同步

4

支持 IPSec VPN 的 IKE 状态同步

支持 VRRP

易维护性：支持基于命令行的配置管理

支持 Web 方式进行远程配置管理

11

支持 H3C SSM 安全管理中心进行设备管理

支持标准网管 SNMPv3，并且兼容 SNMP v1 和 v2智能安全策略

5

核心交换机性能要求：

序号 规格/要求

整机：交换容量≥1.9Tbps，包转发率≥570Mpps、业务槽位≥3、支持独1 立 双主控、支持全分布式转发、支持无源背板、支持风扇冗余，支持风扇模块分区管理，支持风扇自动调速、提供整机高度数据

电源要求：支持分区供电，颗粒化电源，支持 M+N 电源冗余（AC 和 DC

2

均支持）

模块要求：支持标准 SFP,XFP,SFP+模块（支持标准 SFP,XFP）、支持缓3 存 ≥200ms 以太板卡、支持 40GE 单板，提供权威第三方机构信产部的测试报告

4 单板要求：要求所有配置单板能进行 IPV4，IPV6，MPLSVPN 线速转发

二层功能：支持静态 MAC；

支持 DHCPClient, DHCPServer，DHCPRelay；

支持 Option82；

支持 4KVLAN

支持 1：1，N：1VLAN mapping

支持端口 VLAN，协议 VLAN，IP 子网 VLAN；

支持 SuperVLAN;

5

支持 VoiceVLAN;

支持 IEEE802.1d(STP)、 802.w(RSTP)、 802.1s(MSTP)

支持 VLAN 内端口隔离 支持端口聚合，

支持 1:1,N:1 端口镜像； 支持流镜像；

支持远程端口镜像（RSPAN）；

支持 ERSPAN, 通过 GRE 隧道实现跨域远程镜像；

支持 VCT，端口环路检测

路由特性：支持静态路由、ARP≥16K、支持 RIPV1、V2,OSPF,IS-IS，BGP、

支持 IPFRR 、支持路由协议多实例 、支持 GRfor OSPF/IS-IS/BGP 、6

所有实际配置板卡支持 MPLS 分布式处理，全线速转发、支持策略路由、支持 MPLSTE、支持 L3VPN

6

QoS：支持 SP,WRR,DWRR,SP+WRR, SP+DWRR 调度方式；支持双向 CAR； 提7

供广播风暴抑制功能； 支持 WRED；

安全性：支持 DHCP Snooping trust, 防止私设 DHCP 服务器；支持 DHCP

snoopingbindingtable(DAI, IPsourceguard), 防止 ARP 攻击、DDOS

攻击、 中间人攻击；

8 支持 BPDUguard， Rootguard。

支持 802.1X. MAC 地址认证

支持硬件防火墙插卡

支持硬件 IPsecVPN 插卡

访问控制：

支持基于第二层、第三层和第四层的 ACL

9 支持双向 ACL

支持 VLANACL 和 Ipv6ACL；

支持 IP/Port/MAC 的绑定功能

可靠性：支持 2 级 CPU 保护技术，支持 1K CPU 队列，提供权威第三方机构信产部测试报告

10 支持软件环网保护技术，可与其他厂商设备混合组网，要求倒换时间为

50ms

支持 IP 快速重路由

11 增值业务：支持防火墙插卡，负载均衡板卡，网流分析插卡等

组播：支持 IGMPSnoopingV1,V2,V3

支持 PIM-SM/DM/SSM

12

支持 MLDV1，V2

IGMPProxy

管理协议：支持 SNMPV1/V2/V3、Telnet、RMON、SSHV2

支持通过命令行、中文图形化配置软件等方式进行配置和管理

13 支持 NQA

支持基于 Ipv6 的管理

支持集群管理

7

支持热补丁

14

15

16

设备维护：支持自动配置

环保：支持能效以太网功能，IEEE802.3az

时钟特性：主控板支持时钟能力

同步以太网

配置要求：主控≥2，电源≥2，万兆光口≥2 个（含 1 个万兆多模），17 24 端口百兆/千兆以太网光接口板（含 23 个千兆多模，1 个千兆单模光模块）， 24 端口千兆电接口板

防病毒网关性能要求：

类别 参数

硬件

功能及技术描述

接口不少于 4 个 10/100/1000BASE-T 接口，支持 扩展

整机吞吐率： 不少于 40Gbps

性能 最大并发连接数： 不少于 350 万

IPS 吞吐率： 不少于 20Gbps

要求支持直连、路由、VLAN、旁路监听、混合部 署等多种接入模式。

接入模式

要求支持多端口链路聚合

设备部署

部署环境

要求支持 IPv6、IPv6 over IPv4、IPv6 和 IPv4 混合网络，能够在该网络环境中检测出攻击事件。

要求攻击规则库单独分开，可支持手动、自动、 以及离规则库 攻击规则库

线升级。

要求支持基于源/目的地址、接口的策略路由。

要求支持 VLAN、MPLS、PPPoE 网络，能够在该网络环境中检测出攻击事件。

8

要求应用识别规则库单独分开，可支持手动、自 动、以应用识别规则

及离线升级。

支持病毒库，单独分开，可支持手动、自动、以及离线病毒库

升级。

系统应具备：融合模式匹配、协议分析、异常检测、会话关联分析，逃逸等多种技术，准确识别入侵攻击行为，为用户提供 2~7 层深度入侵防御。

要求支持丢弃报文、记录日志、禁止连接、TCP reset 结

束 TCP 会话等多种响应动作。

入侵防御引擎

要求支持自定义攻击检测规则。

要求支持黑名单，将攻击源加入黑名单，一段时间内禁

止访问。

入侵防要求支持攻击报文取证功能，检测到攻击事件后将原始御能力

文完整记录下来，作为电子证据。

应涵盖广泛的攻击特征库、能够针对 2300 种以上攻击攻击特征库 的攻击行为、异常事件，以及网络资源滥用流量，进行检测和防御。（需提供界面截图）

要求能够检测包括溢出攻击类、RPC 攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络 访攻击防御类型

问类、HTTP 攻击类、系统漏洞类等在内的超过 3500种攻击事件。

系统应具备独立的病毒检测引擎

病毒检测引擎

病毒防御能力

病毒特征库

病毒检测类型

同时支持文件型和网络型病毒查杀。

支持 380 万以上病毒检测规则。

要求能够检测主流 FTP、HTTP、SMTP、POP3 协议的病毒。

系统应具备独立的 URL 检测过滤引擎。

支持黑白名单，精确匹配和模糊匹配。

URL过滤 URL 过滤引擎

支持阻断、 URL 重定向、 返回默认页面、 返回自定义页面等多种动作。

9

支持恶意网站、 违反国家政策法规、 潜在不安全、 浪费带宽、 大众兴趣、 多种论坛、 行业、 计算机技术、

等多种分类的 URL 过滤。

URL 特征库 支持 URL 地址分类库。

系统应支持独立的 DDOS 检测、阻断及防御基线自学习的能力。

系统支持防御包括 land、Smurf、Pingofdeath、winnuke、tcp_sscan、 ip_option、 teardrop、 targa3、 ipspoof、Synflood、 Icmpflood、 Udpflood、 Portscan、 ipsweep等在内的 DOS/DDOS 攻击。

DDOS防

DDOS 防御

御功能

系统支持 DNS 异常包及 DNS Flood 攻击防御。（ 需提供界面截图）

系统支持 DHCP 异常包及 DHCP Flood 攻击防御。

系统支持 ARP 异常包及 ARP Flood 攻击防御。

系统支持 CC 攻击防御，且能够对 Web 服务器上的指定URI 页面进行防护设置。

系统支持主机并发连接数和半连接数的限制。

系统支持 DDOS 机器人自学习功能， 学习时间可设置。

系统能够根据数据内容而非端口智能识别包括 P2P、 即应用识别 时通讯、 电子商务、 股票交易、 网络游戏、 网络电视、移动应用等在内的 23 大类超过 1200 种应用。

系统应支持灵活的应用管理策略配置功能， 实现基于主机地址、 区域、 时间、 应用等多维度的全面、 细致应 用管

控功能

支持对应用协议的阻断和流量管控以及记录应用日志。

自定义应用 支持协议自定义功能。

系统应支持设置访问控制规则， 实现对三到七层的访问防火墙功能

控制。（ 需提供界面截图）

系统应支持源、 目的地址转换以及双向地址转换。

应用管理

监控。

10

系统应支持 IP/MAC 地址绑定，支持设置协议与非常用端口的绑定策略。

网络冗余 支持双机热备。

系统应支持多种形式的日志存储,本地存储、发送至日志服务器、 本地日志服务器双存储、 自动方式判断日志服务器状态自动决定日志的记录方式。

日志管理 系统应提供基于告警级别、 时间、 IP 地址、 事件类型、等条件的日志检索功能， 具备日志导出备份、 清除功能。

系统应具备日志归并功能， 避免日志风暴。

日 志和

报表 系统

报表系统

系统应支持按照时间、 源 IP、 源端口、 目的 IP、 目的端口、 网络接口、 风险级别等条件生成统计分析报表， 报表内容包括攻击防护、 病毒过滤、 应用管控、

URL 过滤四大类。

系统应支持支持生成日报、 周报、 月报。

系统应支持报表以 word、 html 格式导出。

系统应提供报表定时通过邮件方式自动发送。

系统应提供全方位的包含管理、 系统、 策略、 安全、

告警系统

流量等告警。

系统应提供邮件、 声音、 snmp 多形式的告警方式。

系统支持 web、命令行等多形式灵活安全策略配置。

支持 B/S 或 C/S 管理模式， 可实现多级部署。

管理

支持 SNMP的v1 、v2 、v2c 、v3 版本。

支持规则库手动、自动更新。

管 理监控

应支持 web 页面的实时显示攻击事件。

监控

应支持实时查看网络流量/攻击状况。

应支持基于主机、 区域的攻击与被攻击的统计显示。

应支持基于协议的应用识别统计监控。

11

应支持系统资源监视。

应支持基于web 类型分类的控制监控。

接入层交换机性能要求：

序号 规格/要求

整机：交换容量≥32Gbps，包转发率≥17.7Mpps、48 个 10/100Base-TX

1 以太网端口，4个1000Base-XSFP 与 2 个 1000Base-T（ Combo）以太网端口

VLAN：

支持基于端口 VLAN（4K 个）

支持基于 MAC 的 VLAN

支持基于协议的 VLAN

2 支持 VoiceVLAN

支持 QinQ

支持灵活 QinQ

支持 VLAN MAPPING

支持GVRP

3 广播风暴抑制：支持基于端口带宽百分比的广播风暴抑制

DHCP：

支持 DHCPclient

支持 DHCPSnooping

4

支持 DHCPserver

支持 DHCPSnoopingtrust

支持 DHCPSnoopingoption82

5

6

路由特性：支持静态路由

组播：支持 IGMPSnooping、MLD Snoopingv1/v2

二层环网协议：

支持 STP/RSTP/MSTP

7

支持 SmartLink

支持 RRPP

12

端口汇聚：

支持 LACP

8

支持手工聚合

支持最多 128 个聚合组，每组支持最多 8 个端口

端口镜像：

支持 N:4 端口镜像

9

支持流镜像

支持 RSPAN

管理与维护：

支持命令行接口（CLI）、Telnet、Console 口配置

支持 SNMP

支持 IPv6SNMP 和 IPv6MIB

DHCPv6TRUST

支持 iMC 智能管理中心

10 支持 WEB 网管

支持系统日志

支持 PING、Traceroute， MulticastTraceroute

支持 Telnet 远程维护

支持 VCT（VirtualCableTest）电缆检测功能

支持端口环回检测

支持 IPv6host 功能族，实现 IPv6 管理

13

QoS/ACL：

每个端口支持 8 个输出队列

支持802.1p 优先级、DSCP（DifferentiatedServices

CodepointPriority）优先 级

支持灵活的队列调度算法，可以同时基于端口和队列进行设置，支持 SP、

WRR、SP+WRR 三种模式

支持端口双向限速

支持流限速

支持 L2~L4 包过滤功能，可以匹配报文前 80 个字节，提供基于源 MAC

11 地 址、目的 MAC、 MAC 地址范围、源 IP 地址、目的 IP 地址、IP 协议类型、 物理端口、TCP/UDP 端口、 TCP/UDP 端口范围、VLAN 等定义

ACL。 针对 ACL 定义的流，可以进行 permit/deny、流限速、流统计、流镜向、流 重定向、流的优先级重标记、根据流进行队列调度等 QoS 动作。

支持基于时间段（Time Range）的 ACL

支持入方向和出方向的双向 ACL 策略

支持基于端口组、全局、VLAN 批量下发 ACL

支持 QoSprofile 管理方式，允许用户定制 QoS 服务方案

支持基于硬件的 IPv6ACL

14

安全特性：

用户分级管理和口令保护

支持 GuestVLAN

支持 IEEE802.1X 认证

支持基于 MAC 地址的认证

支持集中 MAC 地址认证

支持 portal 认证

支持 triple 认证

用户分级管理和口令保护

支持 AAA&Radius&HWTACACS 认证

支持 MAC 地址学习数目限制

支持 SecurityMAC

12

支持 Sticky MAC

支持 MAC 地址黑洞

支持 SSH 2.0

支持 EAD（终端准入控制）

支持 IPSourceGuard 防 DOS 攻击

支持 ARP 入侵检测功能

支持 ARP 报文限速功能

支持端口隔离

支持管理用户 RADIUS 认证

支持 IP＋端口的绑定

支持端口＋MAC 的绑定

支持 IP+MAC+端口的绑定

15