项目名称

简要技术要求

单位

数量

项目交货或实施地点

备注

域间控制网关、路由器等一批设备采购项目

详见第附件

1

套

四川省绵阳市科学城买方指定地点

类别

指标项

技术要求（技术要求需要逐项应答，未应答的视为不响应）

域间控制网关（又名高性能安全认证网关）

产品规格

★1.标准19英寸机架设备；

2.设备整机高度≤15U；

3.MTBF(平均无故障时间) ≥100000小时，MTTR(平均故障恢复时间) ≤30分钟；（提供证明材料）

4.对外支持业务接口类型：10G以太网接口、10\100\1000M以太网接口、155M POS接口、E1接口；

5.设备采用分布式架构，主控管理单元、隔离交换单元与域处理业务单元独立配置，整机配置≥2张业务处理单元；≥2张主控管理控制单元；≥2张隔离交换单元，采用双主控热备、双交换热备方式工作；

6.配置双电源；

7.采用多处理器架构，支持跨域传输业务在多个处理器上的负载均衡；

8.设备采用ATCA或VPX机箱架构；

9.设备至少提供≥2个插槽冗余槽位；

吞吐量

★单张业务处理单元在处理256字节长度数据包时，转发吞吐量≥10Gbps,跨域数据处理吞吐量≥5Gbps；（提供证明材料）；

转发时延

★在负载为吞吐量的80%情况下，包长为256字节时，交换时延不超过0.5ms；（提供证明材料）

接口

★1.每个业务处理单元提供≥1个10G以太网光接口（配备万兆多模光模块）、≥1个10\100\1000M以太网口管理口、≥1个console口；

2.每个管理控制单元提供≥1个console口、≥1个10\100\1000M以太网口；

3.每个交换单元提供≥1个console口；

功能

★1.在实行网络隔离的两个网域（X域和Y域）之间提供安全可控的跨域数据交换服务；

★2.支持对跨域传输数据包进行IP地址映射，方式为X域到Y域IP地址的一一映射，Y域中无需出现X域IP地址；

★3.具备双机热备功能，对外提供统一的IP地址；

4.系统部署对业务系统透明，现有业务系统无需任何配置变更；

5.IP地址映射配置方式支持单条配置和批量导入配置，并提供映射地址批量删除功能；

6.IP地址映射配置具备地址冲突检查功能，并提示冲突的地址信息；

7.对跨域数据进行格式检查，能够自主学习跨域业务格式，对异常格式报文数据进行阻断；（提供证明材料）

8.能够基于时间对象、地址对象、协议、端口制定跨域访问控制策略，对跨域传输的数据报文进行管控；

9.不同网域通过不同的交换单元隔离；

10.设备对外提供B/S管理界面，登录采用Web SSL加密方式；

11.提供基于千兆安全认证网关的跨域实体身份认证和接入控制；

12.提供对跨域数据报文的逐包认证、防重放攻击及数据完整性检查等功能；

13.人机展示界面包括设备板卡运行情况展示、千兆安全认证网关注册用户态势展示，及跨域业务流量态势展示；

14.能够在本地记录跨域业务传输流量日志、异常报文日志、系统管理员登录日志和操作日志；

15.板卡支持诊断模式，当启动诊断模式后，由备板卡切换为主板卡提供服务，管理员能够对主板卡进行配置更改，且数据不会被覆盖；

16.提供以syslog形式导出系统日志功能；

域间通信代理（又名千兆安全认证网关）

产品规格

★1.标准19英寸机架设备；

2.设备整机高度1U；

3.MTBF(平均无故障时间) ≥100000小时，MTTR(平均故障恢复时间) ≤30分钟；（提供证明材料）

4.对外支持业务接口类型：10G以太网接口、10\100\1000M以太网接口、155M POS接口、E1接口；

5.采用多核架构，支持跨域传输业务在多个处理器上负载均衡；

6.配置双电源；

吞吐量

★1.对于非跨域数据包，吞吐量≥10Gbps；（提供证明材料）

2.对于跨域数据包，数据包长固定为256字节时，吞吐量≥3Gbps；（提供证明材料）

转发时延

★在网络负载为最大吞吐量的80%情况下，包长为256字节时，数据转发时延不超过0.3ms（提供证明材料）；

接口

★≥2个10G以太网光接口，≥4个10\100\1000M以太网口，配备≥2个万兆多模光模块；

功能

★1.对跨域业务数据报文提供透明传输功能，跨域传输发起方和接收方均无感知（提供证明材料）；

★2.系统部署对同域内业务系统透明，现有业务系统无需任何配置变更（提供证明材料）；

3.在链路上的接入方式为串行透明模式，2个万兆业务光口无需配置IP地址，利用以太网管理接口在高性能安全认证网关上完成身份认证和接入注册；

4.两个万兆业务接口能够进行链路状态同步：1个业务接口链路被动断开时，另1个业务接口也将主动断开链路；

5.提供基于高性能安全认证网关的跨域实体身份认证和接入控制；

6.拟跨域交互的IP地址段需在千兆安全认证网关上注册后，方可实现跨域交换；

7.单设备支持配置不限数量的跨域服务源IP地址网段；（提供证明材料）；

8.通过在线注册方式将服务IP网段发送到相应的高性能安全认证网关，经审批注册上线后，具备自动连接和状态保活功能；

9.支持高可用冗余链路备份部署方式；

10.设备部署在网络高可用链路（负载均衡、热备）中时，当高可用链路发生故障时，能够通过灵活适配接口状态适应链路切换，不影响业务的正常运行;

11.部署在网络二层链路中时，可同时识别带802.1q标签的网络数据包和无802.1q标签的网络数据包，并对跨域和非跨域数据分别有效处理；

12.设备部署后，在业务接口所在链路未发生故障情况下，本设备发生非宕机故障时（如意外下线），不影响非跨域业务传输的性能；

13.通过和高性能安全认证网关的交互以及服务IP网段设置，能够有效判断流经的网络数据包是否为跨域传输数据，对跨域传输数据进行隧道封装并转发至高性能安全认证网关业务板卡相应接口，且上述过程无数据包丢失；

14.设备的登录配置采用Web SSL加密方式；

路由器

硬件指标

★框式机架式设备，双主控、双电源，独立交换网板；

接口数量

★2块≥4端口10GBase SFP+物理接口卡（配置8个万兆单模光模块）1块≥8端口SFP物理接口卡（配置8个千兆单模光模块）1块≥8端口RJ45物理接口卡；

性能

★交换容量≥70Tbps，转发性能≥10000Mpps（提供相应截图或原厂证明材料）；

功能

★1.支持并配置RIP、OSPF、IS-IS、BGP等路由协议，支持并配置MPLS、MPLS VPN协议，支持IGMP、MBGP等协议，支持IPV4和IPV6协议，支持链路聚合协议；

★2.提供流量监管和流量整形功能，支持流细粒度鉴别，支持MPLS HQoS即层次化QoS；

★3.支持VPN ORF（VPN路由过滤），以满足对VPN路由的按需控制，支持VPN业务保证功能，以满足对VPN业务的区分管理和控制；

4.支持BFD；

5.支持VXLAN、EVPN、GRE、Segment Routing技术；

★6.支持SNMP V1/V2/V3协议；

7.支持对数据进行可视化的管理，支持设置告警阀值，对指标越限的链路、网元和端口进行告警（需提官方产品文档对该功能的说明）；

总体要求

技术要求

★1.高性能安全认证网关和千兆安全认证网关共同组成安全跨域互联结构，跨域通信数据的传输路径须经过千兆安全认证网关，未经千兆安全认证网关接入认证的设备或系统，无法实现跨域通信；

★2.跨域互联结构不能对上层业务使用造成严重影响，如跨域文件传输出错、跨域业务访问不稳定；

★3.跨域传输数据在千兆安全认证网关和高性能安全认证网关之间传输须构建专用协议隧道实现跨域数据通信；

★4.高性能安全认证网关和千兆安全认证网关组成的安全跨域互联结构具备跨域路由隔离功能，隔离的两个域网络上无需配置到另一域的路由信息；（提供证明材料）；

★5.本项目中高性能安全认证网关产品须具备国家保密局涉密信息系统产品检测证书；

服务要求

★所有软硬件提供原厂质保5年，质保期内软件免费升级，质保期内中国工程物理研究院范围内使用单位提出软件功能改造需求时，卖方免费提供软件改造服务；

★提供原厂家的项目管理、现场安装、配置及实施服务，投标时提供针对本次项目的原厂商售后承诺书和保修服务承诺书；

★所有软硬件提供7*24小时服务支持，设备故障情况下，提供24小时内的现场服务；

品牌要求

★本项目涉及所有软硬件均为国产品牌，且设计和生产均在国内；

★本项目中高性能安全认证网关和千兆安全认证网关须使用同一品牌；

后续技术支持

1. 高性能安全认证网关和千兆安全认证网关需实现自测、诊断工具的开发与集成，通过该工具可协助运维人员快速定位故障点;

2.高性能安全认证网关和千兆安全认证网关支持设备配置登录对接CA认证体系;

3.高性能安全认证网关单张业务处理单元支持扩展为≥2个10G以太网光接口，支持将业务链路拓展为双链路并实现负载均衡、高可用;

4.高性能安全认证网关和千兆安全认证网关支持后续日志分析、业务拨测的改造需求；

5.高性能安全认证网关支持对跨域用户的终端仿真，模拟真实的用户通信报文，使连接业务处理单元的网络设备能够感知到跨域用户终端的存在。