國家電子政務外網(wǎng)平臺技術(shù)規(guī)范概要

國家政務外網(wǎng)設(shè)備選型基本要求（征求意見稿）2010年4月16日目錄1. 前言 12. 國家政務外網(wǎng)總體設(shè)計 12.1總體框架 12.2網(wǎng)絡架構(gòu) 22.3業(yè)務模型 33. 國家政務外網(wǎng)總體要求 43.1組網(wǎng)基本原則 43.2設(shè)備選型原則 53.3功能要求 63.4參考模型 84. 核心和匯聚路由器指標要求 94.1基本要求 94.2A檔核心路由器指標要求 104.3B檔路由器指標要求 114.4C檔路由器指標要求 124.5D檔路由器指標要求 125. 核心交換機指標要求 125.1總體要求 135.2A檔交換機指標能要求 135.3B檔交換機指標能要求 146. VPN網(wǎng)關(guān)指標要求 146.1VPN網(wǎng)關(guān)總體要求 146.2A類VPN網(wǎng)關(guān)指標要求 156.3B類VPN網(wǎng)關(guān)指標要求 166.4C類VPN網(wǎng)關(guān)指標要求 167. 接入設(shè)備指標要求 167.1接入設(shè)備總體要求 167.2A類接入設(shè)備指標： 177.3B類接入設(shè)備指標： 177.4C類接入設(shè)備指標： 178. 網(wǎng)絡管理系統(tǒng)指標要求 18前言國家電子政務外網(wǎng)（以下簡稱政務外網(wǎng)）是中辦發(fā)[2002]17號文件明確規(guī)定要建設(shè)的政務網(wǎng)絡平臺。政務外網(wǎng)與政務內(nèi)網(wǎng)物理隔離，與互聯(lián)網(wǎng)邏輯隔離，主要用于運行政務部門不需要在內(nèi)網(wǎng)上運行的業(yè)務和政務部門面向社會的專業(yè)性服務，為政務部門的業(yè)務系統(tǒng)提供網(wǎng)絡、信息、安全等支撐服務，為社會公眾提供政務信息服務。為保證省各級電子政務外網(wǎng)與國家電子政務外網(wǎng)的互聯(lián)互通，本文對各省網(wǎng)絡關(guān)鍵節(jié)點設(shè)備及網(wǎng)絡管理軟件等提出了最低的功能和性能要求，各省的電子政務外網(wǎng)設(shè)網(wǎng)絡關(guān)鍵節(jié)點設(shè)備選型應滿足或優(yōu)于本文所述要求。國家政務外網(wǎng)總體設(shè)計2.1總體框架國家電子政務外網(wǎng)總體框架如圖所示。 圖SEQ圖\*ARABIC\s11國家政務外網(wǎng)總體框架國家政務外網(wǎng)主要包含標準統(tǒng)一的網(wǎng)絡平臺，支持相關(guān)政府部門的專網(wǎng)接入，建設(shè)政務外網(wǎng)安全保障體系和外網(wǎng)管理中心，形成統(tǒng)一的外網(wǎng)服務體系，建設(shè)政務外網(wǎng)數(shù)據(jù)交換中心和外網(wǎng)網(wǎng)站，促進電子政務業(yè)務應用系統(tǒng)的互聯(lián)互通、資源共享。國家政務外網(wǎng)包括：政務外網(wǎng)廣域骨干網(wǎng)：構(gòu)建政務外網(wǎng)寬帶骨干網(wǎng)，實現(xiàn)中央與32個省級單位的互聯(lián)，并進一步向下延伸，實現(xiàn)中央、省、地、縣四級互通。中央城域網(wǎng)：組建中央城域網(wǎng)，實現(xiàn)與中央相關(guān)政務部門的互聯(lián)，支持相關(guān)政府部門的網(wǎng)絡接入和VPN貫通?；ヂ?lián)網(wǎng)安全接入平臺：提供整個政務外網(wǎng)的互聯(lián)網(wǎng)出口，既是整個政務外網(wǎng)用戶訪問互聯(lián)網(wǎng)的出口，也是公眾訪問政務外網(wǎng)統(tǒng)一開放服務的通道。政務外網(wǎng)中央網(wǎng)管中心：建設(shè)政務外網(wǎng)中央網(wǎng)管中心，提供域名、郵件等網(wǎng)絡基礎(chǔ)服務，負責網(wǎng)絡運行維護和管理等。省市接入網(wǎng)：全國32個省、自治區(qū)、直轄市、新疆生產(chǎn)建設(shè)兵團根據(jù)自身情況，按照統(tǒng)一標準規(guī)范，建設(shè)國家政務外網(wǎng)地方節(jié)點，實現(xiàn)和政務外網(wǎng)廣域骨干網(wǎng)對接。2.2網(wǎng)絡架構(gòu)國家政務外網(wǎng)按照管理層次劃分，可分為一級網(wǎng)、二級網(wǎng)、三級網(wǎng)。一級網(wǎng)絡主要指中央廣域骨干網(wǎng)、中央城域網(wǎng)。二級網(wǎng)絡主要指省級廣域骨干網(wǎng)、省級城域網(wǎng)。三級網(wǎng)絡主要指地市級廣域骨干網(wǎng)、地市級城域網(wǎng)。按照網(wǎng)絡業(yè)務劃分，可分為承載網(wǎng)和接入網(wǎng)。圖SEQ圖\*ARABIC\s12國家政務外網(wǎng)整體網(wǎng)絡架構(gòu)2.3業(yè)務模型根據(jù)國家政務外網(wǎng)所承載的業(yè)務和系統(tǒng)服務的類型的不同，在邏輯上，國家政務外網(wǎng)劃分為專用網(wǎng)絡區(qū)、公用網(wǎng)絡區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)三個功能域，分別提供專用VPN業(yè)務，政務外網(wǎng)互聯(lián)互通業(yè)務和互聯(lián)網(wǎng)業(yè)務。圖SEQ圖\*ARABIC\s13國家政務外網(wǎng)邏輯區(qū)域劃分圖其中：1、公用網(wǎng)絡區(qū)：即采用國家政務外網(wǎng)注冊地址（59地址）的網(wǎng)絡區(qū)域，是國家政務外網(wǎng)的主干道，實現(xiàn)各部門、各地區(qū)互聯(lián)互通，為跨地區(qū)、跨部門的業(yè)務應用提供支撐平臺；國家政務外網(wǎng)承載網(wǎng)只路由國家政務外網(wǎng)注冊地址。2、專用網(wǎng)絡區(qū)：是依托國家政務外網(wǎng)基礎(chǔ)設(shè)施，開辟地為有特定需求的部門或業(yè)務設(shè)置的VPN網(wǎng)絡區(qū)域，實現(xiàn)不同部門或不同業(yè)務之間的相互隔離，VPN業(yè)務主要為少數(shù)中央部門的敏感數(shù)據(jù)傳輸提供安全通道。中央級政務外網(wǎng)采用MPLSVPN技術(shù)將敏感業(yè)務數(shù)據(jù)與其他數(shù)據(jù)安全隔離，用于滿足“自上而下”及“自下而上”的業(yè)務需求，為中央政務部門與各省、市、自治區(qū)相關(guān)部門的互聯(lián)互通提供安全通道。該區(qū)域主要采用私有地址，在骨干網(wǎng)上采取標簽進行交換。3、互聯(lián)網(wǎng)接入?yún)^(qū)是各級政務部門通過邏輯隔離安全接入互聯(lián)網(wǎng)的網(wǎng)絡區(qū)域，滿足各級政務部門利用互聯(lián)網(wǎng)的需要。同時也是移動辦公的公務人員通過數(shù)字證書認證，安全接入政務外網(wǎng)的途徑。在互聯(lián)網(wǎng)接入?yún)^(qū)，采取了綜合的安全防護措施，采用防火墻系統(tǒng)、入侵防御系統(tǒng)和網(wǎng)絡防病毒系統(tǒng)，對互聯(lián)網(wǎng)接入業(yè)務提供一定的安全防護。中央和地方分級出口，中央政務外網(wǎng)采取BGP協(xié)議與主要運營商進行互聯(lián)，為中央部門單位提供互聯(lián)網(wǎng)業(yè)務服務，各地政務外網(wǎng)自行出口，采取NAT技術(shù)，通過靜態(tài)路由連接本地互聯(lián)網(wǎng)。國家政務外網(wǎng)主干網(wǎng)不路由互聯(lián)網(wǎng)業(yè)務。國家政務外網(wǎng)總體要求3.1組網(wǎng)基本原則為保證國家政務外網(wǎng)全網(wǎng)的業(yè)務暢通、安全及穩(wěn)定，在規(guī)劃和建設(shè)各地方政務外網(wǎng)時，需要遵循以下原則：層次化組網(wǎng)原則：各地方宜采用層次化組網(wǎng)結(jié)構(gòu)，在網(wǎng)絡層次上原則上分為核心層、匯聚層和接入層。核心層主要承擔高速數(shù)據(jù)交換的任務，同時提供到政務外網(wǎng)和互聯(lián)網(wǎng)的連接。匯聚層的主要任務是把大量來自接入層的訪問路徑進行匯聚和集中，承擔路由聚合和訪問控制的任務。接入層的主要任務是完成用戶的接入，它直接和用戶連接，并提供靈活的用戶管理手段。局域網(wǎng)在規(guī)劃時需遵循但不限于上述層次結(jié)構(gòu)，對于規(guī)模比較小的地方外網(wǎng)可以只設(shè)置核心層和接入層?？煽啃裕簽楸ＷC各項業(yè)務應用，網(wǎng)絡必須具有高可靠性。在網(wǎng)絡設(shè)計時合理設(shè)計網(wǎng)絡冗余拓撲結(jié)構(gòu)，制訂可靠的網(wǎng)絡備份策略，保證網(wǎng)絡具有故障自愈的能力，在關(guān)鍵節(jié)點的設(shè)計中，選用高可靠性網(wǎng)絡產(chǎn)品，關(guān)鍵部件配置冗余。靈活性和可擴展性：網(wǎng)絡系統(tǒng)是一個不斷發(fā)展的系統(tǒng)，網(wǎng)絡不僅需要保持對以前技術(shù)的兼容性，還必須具有良好的靈活性和可擴展性，具備支持多種應用系統(tǒng)的能力，能夠根據(jù)未來業(yè)務的增長和變化，平滑的擴充和升級現(xiàn)有的網(wǎng)絡覆蓋范圍、擴大網(wǎng)絡容量和提高網(wǎng)絡的各層次節(jié)點的功能，最大程度的減少對網(wǎng)絡架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。實用性和先進性：在網(wǎng)絡設(shè)計中把先進的技術(shù)與現(xiàn)有的成熟技術(shù)、標準和設(shè)備結(jié)合起來，充分考慮到電子政務網(wǎng)絡應用的需求和未來的發(fā)展趨勢，盡可能采用先進的網(wǎng)絡技術(shù)以適應更高的數(shù)據(jù)、語音、視頻（多媒體）的傳輸需要，使整個系統(tǒng)在相當一段時期內(nèi)保持技術(shù)先進性，以適應未來信息化的發(fā)展的需要。易操作性和易管理性：在網(wǎng)絡設(shè)計中，須建立有效的網(wǎng)絡管理解決方案。能夠?qū)崿F(xiàn)監(jiān)控、監(jiān)測整個網(wǎng)絡的運行情況，合理分配網(wǎng)絡資源、動態(tài)配置網(wǎng)絡負載、可以迅速確定網(wǎng)絡故障等。通過先進的管理策略、管理工具提高網(wǎng)絡的運行性能、可靠性，簡化網(wǎng)絡的維護工作。3.2設(shè)備選型原則本文中要求達到的有關(guān)指標值均為設(shè)備實際應達到的，各省需采用成熟產(chǎn)品，在選型時可參考各廠家的產(chǎn)品說明書、權(quán)威機構(gòu)的測試結(jié)果、電子政務外網(wǎng)案例應用等證明文件。充分考慮現(xiàn)有中央政務外網(wǎng)和各地政務外網(wǎng)網(wǎng)絡建設(shè)現(xiàn)狀，具有良好的可擴展能力和互聯(lián)互通互操作特性。關(guān)鍵設(shè)備符合電信級設(shè)備要求，全部網(wǎng)絡設(shè)備均符合國家和國際標準，具有國家頒發(fā)的網(wǎng)絡設(shè)備入網(wǎng)證件。安全設(shè)備應具有相應主管部門頒發(fā)的生產(chǎn)許可證。網(wǎng)絡設(shè)備自身具有一定的安全防護特性。優(yōu)先考慮使用國產(chǎn)設(shè)備。需選擇技術(shù)領(lǐng)先、市場和技術(shù)前景良好、明確的廠家的產(chǎn)品，選擇有穩(wěn)定的服務隊伍的設(shè)備廠商，提供持續(xù)的設(shè)備升級和維護能力。具有多個組網(wǎng)成功案例，具備大型組網(wǎng)能力3.3功能要求各地方電子政務外網(wǎng)建設(shè)應滿足如下要求：網(wǎng)絡業(yè)務承載實現(xiàn)國家部委和省級各廳局以及向下延伸的網(wǎng)絡業(yè)務承載。實現(xiàn)國家部委和省級各廳局以及向下延伸的VPN業(yè)務承載。提供公眾通過互聯(lián)網(wǎng)對各級政府單位公共資源的訪問，同時也提供各級政府單位內(nèi)用戶對互聯(lián)網(wǎng)的訪問。支持暫時沒有政務外網(wǎng)的單位和出差用戶利用互聯(lián)網(wǎng)，通過安全接入平臺實現(xiàn)遠程接入訪問服務。支持視頻、語音、數(shù)據(jù)業(yè)務的傳輸?；ネㄐ跃W(wǎng)絡建設(shè)應具有良好的互通性，需按照電子政務外網(wǎng)相關(guān)規(guī)范進行建設(shè)，可實現(xiàn)與國家電子政務外網(wǎng)在內(nèi)各級政務部門的互聯(lián)互通、信息共享、數(shù)據(jù)交換和業(yè)務互動。需采用標準、成熟的產(chǎn)品和協(xié)議，以保證路由協(xié)議、MPLSVPN的兼容與互通。需遵循電子政務外網(wǎng)統(tǒng)一的IP地址定義規(guī)范，需提供地址轉(zhuǎn)換（NAT）功能，支持雙向NAT、NAT多實例等技術(shù)，滿足各部門私有地址訪問電子政務外網(wǎng)的需求。路由實現(xiàn)各地方電子政務外網(wǎng)的路由設(shè)計需按照網(wǎng)絡層次劃分路由網(wǎng)絡，根據(jù)各省實際情況，可選擇劃分為一個自治系統(tǒng)（AS），或由多個AS構(gòu)建，需采用適當?shù)膮^(qū)域內(nèi)路由協(xié)議和區(qū)域間路由協(xié)議。區(qū)域劃分需考慮路由信息安全因素和對路由交換的限制管理。IGP路由協(xié)議需支持OSPF、IS-IS等協(xié)議，廣域骨干網(wǎng)路由協(xié)議應支持由OSPF+BGP4路由協(xié)議（或者是靜態(tài)路由）進行規(guī)劃。端到端的MPLSVPN技術(shù)采用MPLS/BGPVPN作為實現(xiàn)基本MPLSVPN業(yè)務的技術(shù)路線，包括建立各廳局的垂直縱向網(wǎng)絡，實現(xiàn)各部委縱向跨自治域的VPN訪問；建立公眾服務專網(wǎng)對因特網(wǎng)公眾提供服務，通過網(wǎng)絡安全系統(tǒng)與因特網(wǎng)邏輯相連。支持MPLSMPLSL2和L3VPN，提供MPLSL2VPN的支持能力，包括支持VPLS（多點的MPLSL2VPN）能力。同樣在考慮部署MPLSL2VPN的時候也必須支持跨自治域AS的能力。支持BGP/MPLSVPN三種跨自治域方式，QoS技術(shù)支持IPQoS機制，支持基于MPLS/BGP實現(xiàn)QoS控制，為VPN用戶實現(xiàn)端到端的QOS服務。支持在邊緣網(wǎng)絡中定義IPQOS級別，對接入層業(yè)務進行“細分和區(qū)分服務，并繼承到MPLS域中，實現(xiàn)端到端的QOS，提供基于業(yè)務的時延、抖動等的保障。網(wǎng)絡可用性支持多種方式保證網(wǎng)絡可用性，關(guān)鍵節(jié)點設(shè)備冗余備份，關(guān)鍵鏈路冗余備份，采用高可靠性技術(shù)、協(xié)議如VRRP、堆疊、鏈路捆綁、BFD、FRR等，保障網(wǎng)絡的持續(xù)可用和故障恢復時間。安全性在系統(tǒng)設(shè)計中，既要考慮信息資源的充分共享，還要注意信息的保護和隔離，因此系統(tǒng)應分別針對不同的應用和不同的網(wǎng)絡通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機制，數(shù)據(jù)存取的權(quán)限控制、網(wǎng)段的劃分、網(wǎng)絡邊界安全等等?？赏ㄟ^網(wǎng)絡設(shè)備自身安全功能、部署集成防火墻、IPS等安全板卡或獨立式防火墻、IPS等安全設(shè)備等多種方式實現(xiàn)。應支持通過身份鑒別和授權(quán)、安全監(jiān)測、策略管理等方法保障網(wǎng)絡的安全性。嵌套業(yè)務實現(xiàn)支持各接入單位根據(jù)業(yè)務部門和業(yè)務種類（例如OA，視頻會議，IP電話，公文流轉(zhuǎn)等）再自行規(guī)劃和設(shè)計子VPN，支持通過嵌套VPN技術(shù)解決VPN層次化的問題。IPv6技術(shù)考慮到IPv6的發(fā)展趨勢，應具備基于硬件支持IPv6的能力，支持豐富的IPv4向IPv6的各種過渡技術(shù)，支持通過IPv6技術(shù)構(gòu)建MPLSVPN網(wǎng)絡。網(wǎng)絡管理電子政務外網(wǎng)將是一個跨部門，跨區(qū)域的大型的分布式網(wǎng)絡應用系統(tǒng)，因此必須有完善的系統(tǒng)監(jiān)控管理解決方案。為便于后續(xù)電子政務外網(wǎng)網(wǎng)絡的統(tǒng)一運維與分級、分權(quán)管理，各省級電子政務外網(wǎng)應采用標準、開放的網(wǎng)絡管理系統(tǒng)，提供網(wǎng)絡集中監(jiān)視、故障管理、性能管理、VPN管理等功能。3.4參考模型各地政務外網(wǎng)絡結(jié)構(gòu)按照組網(wǎng)層次分為以下三層：核心層、匯聚層、接入層。核心層是政務外網(wǎng)的骨干，作為政務外網(wǎng)內(nèi)部的高速數(shù)據(jù)交換以及到下級政務外網(wǎng)的連接。核心層建議使用高性能的路由器組建，支持虛擬專網(wǎng)，支持多條邏輯鏈路劃分，并采用高可靠的冗余組網(wǎng)結(jié)構(gòu)。組網(wǎng)時可以根據(jù)實際需求情況及節(jié)點重要性，選擇兩個或多個核心節(jié)點實現(xiàn)設(shè)備的冗余。在某個核心節(jié)點出現(xiàn)故障時，其它核心節(jié)點可接替承擔失效節(jié)點的功能，并通過鏈路自動切換，保持到外部網(wǎng)絡的聯(lián)通性（即具有故障自愈性）。匯聚層建議使用高性能的路由交換機，提供千兆/萬兆以太網(wǎng)上聯(lián)和千兆以太網(wǎng)匯聚能力。匯聚點的位置和數(shù)量可根據(jù)樓群分布、綜合布線系統(tǒng)設(shè)計、行政機構(gòu)類別等因素綜合考慮確定。為提高匯聚層網(wǎng)絡的可靠性，建議每個匯聚點部署兩臺匯聚交換機，同時匯聚層通過鏈路雙歸屬的模式上行接入雙機核心節(jié)點。匯聚層提供接入層VLAN終結(jié)和路由網(wǎng)關(guān)功能，并實現(xiàn)到核心層的路由交換，同時提供各接入單位的業(yè)務安全訪問控制策略（ACL訪問控制列表）。接入層可以使用多臺接入交換機堆疊、安全智能交換、百兆/千兆到桌面等多種技術(shù)實現(xiàn)網(wǎng)絡終端接入。各級政務部門通過匯聚路由器接入各地政務外網(wǎng)平臺，接入方式包括城域光纖以太網(wǎng)、MSTP多業(yè)務傳輸平臺、SDH專線、ATM、ADSL以及ISDN/PSTN撥號等方式。各級政務部門在接入國家政務外網(wǎng)時，為保證網(wǎng)絡的安全性，要求在網(wǎng)絡出口部署防火墻和安全防御系統(tǒng)，并能夠通過虛擬專網(wǎng)技術(shù)或多邏輯鏈路劃分技術(shù)實現(xiàn)不同業(yè)務系統(tǒng)之間的安全隔離。根據(jù)分級負責的原則，各級政務外網(wǎng)應建立統(tǒng)一的互聯(lián)網(wǎng)出口，在互聯(lián)網(wǎng)出口必須部署防火墻和入侵防御等安全設(shè)備，避免來自互聯(lián)網(wǎng)對政務外網(wǎng)的安全威脅。在各級政務外網(wǎng)內(nèi)，特別是地市一級政務外網(wǎng)，建議根據(jù)實際需求和管理現(xiàn)狀，建設(shè)統(tǒng)一的數(shù)據(jù)中心，將政務外網(wǎng)內(nèi)部不同的委辦局的服務器集中部署在數(shù)據(jù)中心內(nèi)，提供統(tǒng)一的政務外網(wǎng)服務器和互聯(lián)網(wǎng)服務器托管服務，有利于數(shù)據(jù)資源共享和統(tǒng)一安全策略，節(jié)省建設(shè)維護成本。數(shù)據(jù)中心通過安全防御系統(tǒng)后連接到政務外網(wǎng)的核心交換設(shè)備時，根據(jù)政務外網(wǎng)和互聯(lián)網(wǎng)不同的安全防護需求，配置防火墻設(shè)備，制定相應的安全策略。各地政務外網(wǎng)既是國家政務外網(wǎng)的有機組成部分，同時也是相對獨立運行的城域網(wǎng)絡系統(tǒng)，需要部署有效的網(wǎng)絡管理系統(tǒng)，在滿足各地政務外網(wǎng)可運行可管理需求的同時，應為上級統(tǒng)一網(wǎng)管平臺提供標準接口和關(guān)鍵數(shù)據(jù)報送能力。核心和匯聚路由器指標要求4.1基本要求政務外網(wǎng)所涉及的關(guān)鍵路由器根據(jù)網(wǎng)絡層次，可以劃分為三類：第一類：省級廣域骨干網(wǎng)核心路由器第二類：省級城域網(wǎng)匯聚路由器、市級廣域骨干網(wǎng)核心路由器第三類：市級城域網(wǎng)匯聚路由器和縣級核心路由器各地可根據(jù)各地實際情況、鏈路情況以及資金情況，選用適當路由設(shè)備。所有關(guān)鍵路由器應滿足以下基本功能要求：路由協(xié)議：支持RIP、OSPF、IS-IS、BGP-4等路由協(xié)議；MPLSVPN技術(shù)：支持MPLSL2和L3VPN,支持RFC2547bis標準，支持MPLSTE，MPLSTEQOS功能；支持分層PE；組播特性：支持PIM/MSDP，支持VPN組播；支持視頻會議、應急監(jiān)控等多媒體業(yè)務的組播轉(zhuǎn)發(fā)；QoS特性：支持QoS及VPN下的QoS能力，支持層次化QoS技術(shù)，支持PQ/LLQ/CQ/WFQ/CBWFQ等隊列調(diào)度機制；可靠性：采用穩(wěn)定可靠的硬件、軟件架構(gòu)，支持BFD，F(xiàn)RR、負載分擔等協(xié)議，充分考慮冗余、容錯能力；統(tǒng)一網(wǎng)管：支持SNMP、RMON等協(xié)議；支持網(wǎng)絡流量分析技術(shù)，支持IPv4、MPLSVPN和IPv6的報文統(tǒng)計功能，可以針對不同的流信息進行獨立的數(shù)據(jù)統(tǒng)計；IPV6特性：支持IPV6技術(shù)和IPv4向IPv6的過渡技術(shù)；安全性：支持集中的安全策略控制功能，支持用戶的認證和路由協(xié)議的驗證，支持抗流量攻擊技術(shù)等；地址轉(zhuǎn)換：支持NAT功能，以解決VPN地址沖突問題。4.2A檔核心路由器指標要求主要用于省級廣域骨干網(wǎng)核心路由器，除了滿足總體功能要求，還需要滿足以下要求。整機包轉(zhuǎn)發(fā)率大于400Mpps，最少提供8個業(yè)務插槽，支持雙主控，雙電源，支持關(guān)鍵組件熱插拔；支持155MPOS，155MCPOS，2.5GPOS，10GPOS，GE，10GE，等多種接口；支持BGP/MPLSVPN三種跨自治域方式：VRF-VRF(Option1)，MP-BGP(Option2)，MultiHop-BGP(Option3)；支持增強的網(wǎng)絡安全性，可通過擴容防火墻安全板卡等方式提供集中的安全策略、單向訪問控制功能。支持IPV6技術(shù)，包括RIPng、OSPFv3等，支持IPv4向IPv6的過渡技術(shù)，如隧道技術(shù)、雙棧技術(shù)、6PE等。支持NAT多實例和雙向NAT功能，支持各部門私網(wǎng)IP地址接入VPN網(wǎng)絡；支持同一臺設(shè)備能夠?qū)崿F(xiàn)不同VPN（包括地址重疊的VPN）之間的NAT轉(zhuǎn)換，以實現(xiàn)不同政府部門之間特殊業(yè)務互訪。支持用戶的認證和路由協(xié)議的驗證，支持虛擬分片重組，防止分片報文攻擊，支持ACL報文過濾，支持URPF，支持DHCPSnooping支持抗DOS/DDOS攻擊、防ARP攻擊技術(shù)等。4.3B檔路由器指標要求B類路由器可以作為省級匯聚、地市級核心路由器，屬于高配。整機包轉(zhuǎn)發(fā)率大于100Mpps，最少提供4個業(yè)務插槽，支持雙主控，雙電源；支持155MPOS，155MCPOS，2.5GPOS，GE，10GE，等多種接口；支持BGP/MPLSVPN三種跨自治域方式：VRF-VRF(Option1)，MP-BGP(Option2)，MultiHop-BGP(Option3)；支持增強的網(wǎng)絡安全性，可通過擴容防火墻安全板卡等方式提供集中的安全策略、單向訪問控制功能。支持NAT多實例和雙向NAT功能。支持IPV6技術(shù)，包括RIPng、OSPFv3等，支持IPv4向IPv6的過渡技術(shù)，如隧道技術(shù)、雙棧技術(shù)、6PE等。支持用戶的認證和路由協(xié)議的驗證，支持虛擬分片重組，防止分片報文攻擊，支持ACL報文過濾，支持URPF，支持DHCPSnooping支持抗DOS/DDOS攻擊、防ARP攻擊技術(shù)等。4.4C檔路由器指標要求C類路由器可以作為省級匯聚、地市級核心路由器，屬于低配，也可以作為市級匯聚、縣級核心，屬于高配。整機包轉(zhuǎn)發(fā)率大于20Mpps，最少提供4個業(yè)務插槽，支持雙主控，雙電源；支持155MPOS，155MCPOS，2.5GPOS，GE，10GE，等多種接口；支持BGP/MPLSVPN三種跨自治域方式：VRF-VRF(Option1)，MP-BGP(Option2)，MultiHop-BGP(Option3)；支持增強的網(wǎng)絡安全性，可通過擴容防火墻安全板卡等方式提供集中的安全策略、單向訪問控制功能。支持NAT多實例和雙向NAT功能。支持IPV6技術(shù)，包括RIPng、OSPFv3等，支持IPv4向IPv6的過渡技術(shù)，如隧道技術(shù)、雙棧技術(shù)、6PE等。4.5D檔路由器指標要求D類路由器可以作為市級匯聚、縣級核心，屬于低配。整機包轉(zhuǎn)發(fā)率要求大于2Mpps以上，最少支持2個業(yè)務擴展插槽，支持E1，F(xiàn)E等多種接口；支持SNMP、RMON等協(xié)議；支持Web網(wǎng)管，能在Web網(wǎng)管中實現(xiàn)訪問控制、防火墻及P2P限流的快速配置。支持NAT多實例。核心交換機指標要求省級數(shù)據(jù)中心核心交換機、市級政務大樓核心交換機、以及匯聚層交換機可根據(jù)各省實際情況按照交換機A類或交換機B類要求進行選型，具體要求如下。5.1總體要求接口支持：支持10M/100M/1000M以太網(wǎng)電口，支持100M、1000M以太網(wǎng)光接口，支持10G以太網(wǎng)光接口。二層協(xié)議：支持IEEE802.1q、802.1p、802.3z、802.1d、802.3u、802.1X等協(xié)議。路由協(xié)議：支持靜態(tài)、RIPv1/v2、OSPF、IS-IS、BGP等路由協(xié)議。MPLSVPN：支持三層MPLSVPN，支持二層VPN，支持MCE，符合RFC2547bis協(xié)議。可靠性：支持熱補丁，支持GRforOSPF/BGP/IS-IS，支持VRRP協(xié)議，支持多臺不同的物理設(shè)備虛擬化為一臺統(tǒng)一的設(shè)備，支持多臺設(shè)備單一IP的集中式管理，實現(xiàn)多臺設(shè)備跨設(shè)備鏈路聚合，減少單點故障對網(wǎng)絡的影響。組播：支持IGMPv1/v2/v3，支持IGMPv1/v2/v3Snooping，支持PIM-SM/PIM-DM/PIM-SSMQoS：提供完善的QoS機制、支持隊列調(diào)度機制，包括SP、WRR、SP+WRR、CBWFQ，支持分層QoS，支持多級隊列調(diào)度。IPv6：支持OSPFv3、RIPng等IPv6路由協(xié)議，支持IPv4向IPv6的過渡技術(shù)如隧道技術(shù)等。安全性：支持SSH，支持Telnet的登錄和口令機制；支持融合的安全防護功能，支持通過硬件板卡或其他形式，實現(xiàn)基于狀態(tài)的防火墻安全功能和4~7層的安全防護功能。5.2A檔交換機指標能要求在滿足總體功能要求的同時，A檔交換機屬于高配，應提供基于硬件的全分布式線速轉(zhuǎn)發(fā)，整機交換容量不低于700Gbps，包轉(zhuǎn)發(fā)率不低于400Mpps。支持4k個VLAN，支持16KMAC地址。提供豐富的可擴展接口資源，提供無源背板設(shè)計，支持主控板、電源系統(tǒng)的冗余備份。5.3B檔交換機指標能要求滿足總體功能要求的同時，B檔交換機屬于低配，應提供基于硬件的全分布式線速轉(zhuǎn)發(fā)，整機交換容量不低于300Gbps，包轉(zhuǎn)發(fā)率不低于180Mpps。支持4k個VLAN，支持8KMAC地址。提供豐富的可擴展接口資源。VPN網(wǎng)關(guān)指標要求國家政務外網(wǎng)支持暫時沒有接入政務外網(wǎng)的單位以及移動出差用戶，利用互聯(lián)網(wǎng)通道，利用安全接入平臺訪問國家政務外網(wǎng)資源，可根據(jù)各省實際情況按照對VPN設(shè)備要求進行選型，具體要求如下。6.1VPN網(wǎng)關(guān)總體要求支持VPN類型：采用IPsecVPN，支持L2TP、PPTP等隧道協(xié)議。產(chǎn)品架構(gòu)：高配硬件平臺（A類VPN網(wǎng)關(guān)）要求使用非x86架構(gòu)，所采用的核心操作系統(tǒng)穩(wěn)定可靠。產(chǎn)品可靠性：支持雙機熱備、多線路捆綁、集群部署等技術(shù)、備份與切換等技術(shù)保證不間斷的網(wǎng)絡應用；支持隧道斷線自動重建，在VPN隧道異常斷開或者超時之后，只要接收到需要進入隧道的數(shù)據(jù)報文，可自動進行VPN隧道協(xié)商，恢復VPN隧道通信；VPN隧道支持狀態(tài)同步，即便設(shè)備進行了切換，VPN隧道連接也不會斷線；具備單機雙電源冗余，減少電源故障造成的業(yè)務中斷。安全性：支持VPN協(xié)議的標準性、數(shù)據(jù)的傳輸安全性、移動用戶的接入控制和訪問控制等。支持標準IPSec協(xié)議框架，數(shù)字證書支持標準X.509證書格式，支持國密局SM1算法以及其他標準的數(shù)據(jù)加密算法，如3DES、DES、AES等，支持標準的數(shù)據(jù)認證算法，如MD5、SHA1等。支持隧道模式和傳輸模式，支持SSH安全管理協(xié)議，支持防火墻功能；基于標準IPSEC協(xié)議開發(fā)，并嚴格遵循國家密碼管理局制定的《IPSECVPN技術(shù)規(guī)范》。采用自動密鑰協(xié)商機制，硬件設(shè)備間互聯(lián)校驗采取預共享密鑰方式?；ネ嫒菪裕号c其它經(jīng)國家密碼管理局檢測的其它IPSECVPN產(chǎn)品能夠互聯(lián)互通，；支持NAT穿越，采用標準協(xié)議，能夠雙向穿透NAT設(shè)備，具有良好的兼容性。統(tǒng)一智能管理：支持實現(xiàn)對VPN設(shè)備的集中監(jiān)控和管理，支持XML日志格式轉(zhuǎn)發(fā)，提供安全管理平臺采集與配置管理接口；支持外部認證用戶基于角色的授權(quán)，支持對外部認證用戶分組授權(quán)。性能管理：支持有效監(jiān)視IPSec設(shè)備的運行性能，提供豐富的性能管理功能。包括支持對IPSecVPN網(wǎng)關(guān)CPU利用率等關(guān)鍵指標的監(jiān)視；集中監(jiān)控隧道狀態(tài)、設(shè)備狀態(tài)和移動用戶狀態(tài)；支持對用戶關(guān)心的性能參數(shù)設(shè)定閾值，當超過設(shè)定的閾值后，系統(tǒng)將會發(fā)送性能告警，使網(wǎng)絡管理人員及時發(fā)現(xiàn)和消除網(wǎng)絡中的隱患。證書認證：支持政務外網(wǎng)證書認證，支持X.509協(xié)議。支持通過LDAP協(xié)議認證CA證書，支持自動下載CRL。支持離線驗證模式，可實現(xiàn)VPN設(shè)備直接校驗用戶CA的合法性。資質(zhì)要求：具備中華人民共和國公安部頒發(fā)的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》；具備國家密碼管理局頒發(fā)的《國家商用密碼生產(chǎn)定點單位證書》；具備國家密碼管理局頒發(fā)的《國家商用密碼銷售許可證》；提供國家密碼管理局產(chǎn)品檢測報告。6.2A類VPN網(wǎng)關(guān)指標要求支持總體功能要求的同時，A類VPN設(shè)備可用于省級，屬于高配，應支持以下要求：支持千兆光、電接口，按需要支持萬兆口擴展。主要性能指標如下：IPsecVPN隧道數(shù)≥5000個；SM1加密性能≥300Mbps；3DES加密性能≥1Gbps；最大并發(fā)連接數(shù)≥200萬；認證時間小于10s；隧道建立時間小于20s；吞吐量≥2Gbps；延時小于50ms。6.3B類VPN網(wǎng)關(guān)指標要求支持總體功能要求的同時，B類VPN設(shè)備可用于省級，屬于低配，還可用于地市級，屬于高配，應支持以下要求：支持不少于6個千兆電口，主要性能指標如下：IPsecVPN隧道數(shù)≥3500個；SM1加密性能≥100Mbps；3DES加密性能≥200Mbps；最大并發(fā)連接數(shù)≥100萬；認證時間小于10s；隧道建立時間小于20s；吞吐量≥800Mbps；延時小于50ms。6.4C類VPN網(wǎng)關(guān)指標要求支持總體功能要求的同時，C類VPN設(shè)備可用于地市級，屬于低配，還可用于縣級，屬于高配，應支持以下要求：支持不少于4個千兆電口，主要性能指標如下：IPsecVPN隧道數(shù)≥1000個；SM1加密性能≥50Mbps；3DES加密性能≥100Mbps；最大并發(fā)連接數(shù)≥50萬；認證時間小于10s；隧道建立時間小于20s；吞吐量≥200Mbps；延時小于50ms。接入設(shè)備指標要求7.1接入設(shè)備總體要求接入設(shè)備主要用于各級政務部門接入當?shù)卣胀饩W(wǎng)所使用。各級機構(gòu)可以根據(jù)政務部門的規(guī)模、接入方式、應用類型及應用開展的方式等進行選擇，接入設(shè)備應當滿足如下要求：接口支持：支持10M/100M/1000M以太網(wǎng)電口；可靠性：采用穩(wěn)定可靠的硬件、軟件架構(gòu)，充分考慮冗余、容錯能力；IPV6特性：支持IPV6技術(shù)和IPv4向IPv6的過渡技術(shù)；安全性：支持集中的安全策略控制功能，支持用戶的認證和路由協(xié)議的驗證，支持抗流量攻擊技術(shù)等；地址轉(zhuǎn)換：支持NAT功能，以解決VPN地址沖突問題。7.2A類接入設(shè)備指標：A類接入設(shè)備適用于采用專線方式接入當?shù)卣胀饩W(wǎng)，在本局內(nèi)部署應用，并向其他廳局提供服務的政務機構(gòu)，屬于高配，設(shè)備選型可為小型路由器或三層交換機。在滿足總體要求的前提下，A類接入設(shè)備還應支持路由協(xié)議：靜態(tài)路由，支持RIP、OSPF、IS-IS、BGP等動態(tài)路由協(xié)議；MPLS：支持三層MPLSVPN，支持二層VPN，支持MCE；QoS：支持QoS及VPN下的QoS能力，支持層次化QoS技術(shù)，支持PQ/LLQ/CQ/WFQ/CB