【正文】 ndation Protection Policy）基礎(chǔ)安全保護(hù)策略，采用基于網(wǎng)絡(luò)威脅的安全處理模式，聯(lián)動(dòng)網(wǎng)絡(luò)攻擊檢測(cè)和網(wǎng)絡(luò)攻擊防護(hù)。在網(wǎng)絡(luò)攻擊即將到來(lái)的時(shí)候自動(dòng)下發(fā)安全策略硬件隔離攻擊源頭。2. 安全防護(hù)CPP（CPU Protect Policy）技術(shù)，業(yè)界領(lǐng)先的硬件 CPU保護(hù)技術(shù)，CPP 技術(shù)對(duì)發(fā)往 CPU的 IPv4/IPv6等多層協(xié)議報(bào)文自動(dòng)進(jìn)行流區(qū)分和流限速，避免異常報(bào)文對(duì) CPU的攻擊和資源消耗，保證核心設(shè)備在 IPv4/IPv6三層網(wǎng)絡(luò)、二層網(wǎng)絡(luò)環(huán)境中核心設(shè)備 CPU穩(wěn)定運(yùn)行?；?SPOH技術(shù)提供標(biāo)準(zhǔn)、擴(kuò)展、MAC、時(shí)間、專(zhuān)家級(jí)、ACL80、基于 Vlan一系列 ACL技術(shù)，支持 IPv4/IPv6雙棧下的 ACL功能。在配置數(shù)千條 ACL的情況下，同樣實(shí)現(xiàn)萬(wàn)兆線(xiàn)速數(shù)據(jù)轉(zhuǎn)發(fā)。上海大學(xué)醫(yī)學(xué)院技防改造工程投標(biāo)方案 第 33 頁(yè) 共 79 頁(yè)最長(zhǎng)匹配（LPM）三層交換技術(shù)，將靜態(tài)方式、動(dòng)態(tài)方式學(xué)習(xí)到的 IPv4/v6路由直接以網(wǎng)段形式存儲(chǔ)于硬件轉(zhuǎn)發(fā)表，一個(gè)目的網(wǎng)段使用一個(gè)轉(zhuǎn)發(fā)表項(xiàng)，而不明目的網(wǎng)段 IP地址的數(shù)據(jù)包直接通過(guò)硬件缺省路由轉(zhuǎn)發(fā)，極大地節(jié)約硬件存儲(chǔ)空間，避免了存儲(chǔ)溢出導(dǎo)致 CPU利用率過(guò)高問(wèn)題，保障設(shè)備的正常運(yùn)行。RGS7805E采用硬件方式提供多種安全防護(hù)能力，例如非法數(shù)據(jù)包檢測(cè)、防掃描、防源 IP地址欺騙等等，避免了傳統(tǒng)軟件實(shí)現(xiàn)方式對(duì)整機(jī)性能的影響。支持廣播報(bào)文抑制，有效控制非法廣播流量對(duì)設(shè)備造成沖擊。支持 IPv4/vVLAN 、MAC 和端口等多種組合綁定方式，提高用戶(hù)接入控制能力。3. 安全管理RGS7805E系列支持用戶(hù)分級(jí)管理，不同級(jí)別的用戶(hù)擁有不同的配置權(quán)限；支持安全的 SNMPv3網(wǎng)管協(xié)議；支持安全的遠(yuǎn)程登錄 SSH V2；支持受限 IP地址方式的 Tel登錄。支持 IEEE 、AAA/Radius、TACACS+，對(duì)用戶(hù)身份進(jìn)行合法性認(rèn)證。4. 安全隔離RGS7800系列支持 OSPF、RIPv2 及 BGPv4 報(bào)文的明文及 MD5密文認(rèn)證；。支持 IGMP源端口檢查、源 IP檢查、IGMP 過(guò)濾等功能，可有效控制非法組播源，提高網(wǎng)絡(luò)安全。端口 MAC地址鎖、MAC 地址過(guò)濾、端口 MAC地址接入數(shù)量限制功能可以屏蔽非法主機(jī)的接入和非法數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)。擴(kuò)展的路由技術(shù)1. 基于每個(gè) SVI接口的 default route配置基于 SVI接口的缺省路由優(yōu)先級(jí)比基于整機(jī)的缺省路由優(yōu)先級(jí)高，所以，當(dāng)需要為缺省路由設(shè)置備份線(xiàn)路的時(shí)候可以使用該功能很好地實(shí)現(xiàn)。2. ECMP/WCMP（EqualCost Multipath Routing/ WeightCost Multipath Routing）上海大學(xué)醫(yī)學(xué)院技防改造工程投標(biāo)方案 第 34 頁(yè) 共 79 頁(yè) 在擁有多條不同鏈路到達(dá)同一目的地址的網(wǎng)絡(luò)環(huán)境中，如果使用傳統(tǒng)的路由技術(shù)，發(fā)往該目的地址的數(shù)據(jù)包只能利用其中的一條鏈路，其它鏈路處于備份狀態(tài)或無(wú)效狀態(tài)，并且在動(dòng)態(tài)路由環(huán)境下相互的切換需要一定時(shí)間，而等值多路徑路由協(xié)議（ECMP）和權(quán)重多路徑路由協(xié)議（WCMP）可以在該網(wǎng)絡(luò)環(huán)境下同時(shí)使用多條鏈路，不僅增加了傳輸帶寬，并且可以無(wú)時(shí)延無(wú)丟包地備份失效鏈路的數(shù)據(jù)傳輸。3. 基于目的 IP地址的策略路由 在擁有多條不同鏈路到達(dá)同一目的地址的網(wǎng)絡(luò)環(huán)境中，使用基于目的 IP地址的策略路由可以在多條鏈路間實(shí)現(xiàn)等值負(fù)載均衡和相互備份。4. 策略路由在擁有多條不同鏈路到達(dá)同一目的地址的網(wǎng)絡(luò)環(huán)境中，策略路由功能可基于數(shù)據(jù)包的源 IP地址、目的 IP地址、協(xié)議字段、TCP/UDP 源端口號(hào)、TCP/UDP目的端口號(hào)等特征進(jìn)行多條出口鏈路間的靈活選擇和相互備份。技術(shù)參數(shù)模塊插槽 5 個(gè)（2 個(gè)用于管理引擎模塊）交換容量 包轉(zhuǎn)發(fā)速率 1,440Mpps/5,400Mpps設(shè)備虛擬化支持 (Virtual Switch Unit,虛擬交換單元)支持 VSD(Virtual Switch Device,虛擬交換設(shè)備)SDN 支持 OpenFlow L2 特性支持 Jumbo Frame支持 支持 STP、RSTP、MSTP支持 Super VLAN上海大學(xué)醫(yī)學(xué)院技防改造工程投標(biāo)方案 第 35 頁(yè) 共 79 頁(yè)支持 GVRP支持 QinQ、靈活 QinQ、QinQ 終結(jié)支持 LLDPIPv4 特性支持靜態(tài)路由、RIP 、OSPF、ISIS、BGP4支持 VRRP支持等價(jià)路由支持策略路由支持 GRE 隧道IPv6 特性支持靜態(tài)路由 OSPFvBGP4+ 、ISISvMLDv1/v2支持 VRRPv3支持等價(jià)路由支持策略路由支持手工隧道、自動(dòng)隧道、ISATAP 隧道、支持 GRE隧道等組播支持 IGMP v1,v2,v3支持 IGMP Snooping支持 IGMP Proxy支持 PIMDM、PIMSM、 PIMSSM 等組播路由協(xié)議支持 MLD支持組播靜態(tài)路由MPLS支持 MPLS 轉(zhuǎn)發(fā)支持 MPLS VPN/VPLS支持 VPWSACL支持標(biāo)準(zhǔn)、擴(kuò)展、專(zhuān)家級(jí) ACL支持 ACL 80支持 IPv6 ACL上海大學(xué)醫(yī)學(xué)院技防改造工程投標(biāo)方案 第 36 頁(yè) 共 79 頁(yè)QoS支持 支持 SP、WRR、DRR、SP+WRR 、SP+DRR 等隊(duì)列調(diào)度機(jī)制支持 RED/WRED支持基于出端口/入端口的限速支持 HQoSPOE支持配置 POE 線(xiàn)卡，并由獨(dú)立 POE 電源槽供電，防止因 POE 供電而影響其他業(yè)務(wù)模塊供電穩(wěn)定性可靠性獨(dú)立的交換網(wǎng)板與獨(dú)立的主控板設(shè)計(jì)，實(shí)現(xiàn)轉(zhuǎn)發(fā)與控制平面完全分離主控板支持 1+1 冗余備份電源、風(fēng)扇支持 N+M 冗余備份背板無(wú)源設(shè)計(jì)，避免單點(diǎn)故障各組件支持熱插拔支持熱補(bǔ)丁功能，可在線(xiàn)進(jìn)行補(bǔ)丁升級(jí)支持 ISSU支持 GR for OSPF/ISIS/BGP支持 BFD for VRRP/OSPF/BGP4/ISIS/ISISv6/MPLS/靜態(tài)路由等安全性支持 NFPP（基礎(chǔ)安全保護(hù)策略）支持 CPP（CPU 保護(hù)）支持 DAI，端口安全，IP Source Guard支持 支持 RADIUS 和 TACACS+用戶(hù)登錄認(rèn)證支持 uRPF支持登錄認(rèn)證、口令安全支持支持未知組播不送 CPU、支持未知單播抑制支持 SSHv2，為用戶(hù)登錄提供安全加密通道上海大學(xué)醫(yī)學(xué)院技防改造工程投標(biāo)方案 第 37 頁(yè) 共 79 頁(yè)管理性支持 Console/AUX Modem/Tel/ 命令行配置支持 FTP、TFTP 、Xmodem、SFTP 文件上下載管理支持 SNMP V1/V2c/V3支持 RMON支持 NTP 時(shí)鐘支持故障后報(bào)警和自恢復(fù)支持系統(tǒng)工作日志支持 IPFIX 流量分析尺寸（寬 x 深 x 高）(mm) 442 x 595 x (5U)電源RGPA1600I：90180V~1200W；180264V~ 1600WRGPA600I：90180V~ 600W；180264V~ 600WRGPD1600I： ~1400WRGPD600I： ~600WRGPA1600IPL：90175V~1000W；176264V~1600WRGPA3000IPL：90175V~ 200W；176209V~2500W；210264V~ :3000WMTBF 200,000 hours溫度工作溫度：0℃ 到 50℃存儲(chǔ)溫度：40℃ 到 70℃濕度工作濕度：10% 到 90% RH（無(wú)冷凝）存儲(chǔ)濕度：5% 到 95% RH工作高度/海拔 500~5000M銳捷 CPP技術(shù)解析背景：交換機(jī)接收到的數(shù)據(jù)流中，大部分是通過(guò)交換芯片來(lái)進(jìn)行硬件處理的，它不需要 CPU的參與就能夠完成。另一部分流是專(zhuān)門(mén)由 CPU來(lái)處理，或需要 CPU的參與來(lái)處理的。這些流包括許多的特殊報(bào)文，如管理報(bào)文，協(xié)議報(bào)文，它們需要送 CPU進(jìn)行處理，用于維護(hù)設(shè)備及網(wǎng)絡(luò)的正常運(yùn)行；而像路由尚未建立的上海大學(xué)醫(yī)學(xué)院技防改造工程投標(biāo)方案 第 38 頁(yè) 共 79 頁(yè)IP報(bào)文，它需要 CPU參與處理得到下一跳的信息。根據(jù)報(bào)文的用途和重要性，可將送往 CPU的報(bào)文分為三大類(lèi)：管理類(lèi)，協(xié)議類(lèi)和數(shù)據(jù)類(lèi)。對(duì)于 CPU來(lái)說(shuō)，它并不能區(qū)分出這三類(lèi)的網(wǎng)絡(luò)流，對(duì)這三類(lèi)的網(wǎng)絡(luò)流是一視同仁的。CPU 按照某種調(diào)度算法(如使用 FIFO的方式)來(lái)處理到達(dá)的流。在通常情況下，CPU 能夠及時(shí)地處理到達(dá)的流。但是如果流量過(guò)大，或者有攻擊者發(fā)出大量的攻擊報(bào)文時(shí)，必將會(huì)使 CPU忙于處理這些攻擊報(bào)文而導(dǎo)致 CPU利用率過(guò)高，甚至使得其它的報(bào)文得不到處理被丟棄，這樣就會(huì)影響交換機(jī)的使用及網(wǎng)絡(luò)的穩(wěn)定性。因此在這種應(yīng)用環(huán)境下，交換機(jī)存在有極大的安全隱患，給攻擊者留下了攻擊機(jī)會(huì)。為更好的解決這些問(wèn)題，銳捷定義了一種保護(hù) CPU的技術(shù) CPP(CPU Protect Policy，CPU 保護(hù)策略)，對(duì)交換機(jī)的 CPU進(jìn)行有效的保護(hù)，限制甚至阻止攻擊報(bào)文，在攻擊發(fā)生時(shí)讓所需要的報(bào)文優(yōu)先正常處理，保證交換機(jī)及網(wǎng)絡(luò)的穩(wěn)定工作。CPP工作原理：CPP基本原理是對(duì)發(fā)往 CPU的流，進(jìn)行流區(qū)分和優(yōu)先級(jí)隊(duì)列分級(jí)處理，并實(shí)施帶寬限速，充分保護(hù) CPU不被非法流量占用、惡意者攻擊和資源消耗。CPP所處的位置如下：CPP根據(jù)某種機(jī)制來(lái)識(shí)別所有送 CPU報(bào)文并進(jìn)行分類(lèi)，進(jìn)而對(duì)每種類(lèi)型的報(bào)文進(jìn)行不同的對(duì)待處理。CPP 內(nèi)部模塊可分為如下流程：Classifying：主要是對(duì)輸入的數(shù)據(jù)流進(jìn)行分類(lèi)，將報(bào)文按照事先制定好的規(guī)則劃分到對(duì)應(yīng)的類(lèi)別中。上海大學(xué)醫(yī)學(xué)院技防改造工程投標(biāo)方案 第 39 頁(yè) 共 79 頁(yè)Queuing：根據(jù)配置可以將不同類(lèi)型的報(bào)文映射到不同的隊(duì)列。每個(gè)隊(duì)列具有不同的傳輸優(yōu)先級(jí)。通過(guò)分類(lèi)及隊(duì)列即可對(duì)所有流進(jìn)行區(qū)分。Scheduling：當(dāng)有多個(gè)隊(duì)列上的流等待傳輸時(shí)，根據(jù)調(diào)度算法來(lái)選擇一個(gè)隊(duì)列上的流進(jìn)行傳輸。在 CPP中，使用嚴(yán)格優(yōu)先級(jí)調(diào)度，讓優(yōu)先級(jí)高的隊(duì)列能夠優(yōu)先進(jìn)行傳輸。即隊(duì)列 7的優(yōu)先級(jí)最高，隊(duì)列 6次之，以此類(lèi)推。高優(yōu)先級(jí)隊(duì)列上的報(bào)文優(yōu)先于低優(yōu)先級(jí)隊(duì)列上的報(bào)文輸出。Shaping：整形用于在出口端進(jìn)行某一個(gè)（或某一些）流的最大帶寬控制和/或整個(gè)端口的最大帶寬控制。在每個(gè)優(yōu)先級(jí)隊(duì)列上，根據(jù)入隊(duì)列報(bào)文的速率情況，與配置的最大帶寬相比較進(jìn)而控制報(bào)文入隊(duì)的速率。在某個(gè)時(shí)刻，當(dāng)報(bào)文速率超過(guò)配置的最大值時(shí)，將會(huì)丟棄超出速率限制范圍的報(bào)文。交換機(jī)可以基于流、基于隊(duì)列、基于 CPU等方式進(jìn)行限速。通過(guò)這種區(qū)分機(jī)制，將不同應(yīng)用的不同報(bào)文映射到不同的隊(duì)列，根據(jù)隊(duì)列的調(diào)度算法，優(yōu)先讓一部分重要的報(bào)文進(jìn)行處理。同時(shí)對(duì)隊(duì)列或報(bào)文進(jìn)行帶寬限制，防止報(bào)文過(guò)多地占用資源，時(shí)刻保證 CPU的利用率在較低的范圍之內(nèi)。兩種實(shí)現(xiàn)方式：目前 CPP有兩種實(shí)現(xiàn)方式，純硬件方式和軟硬件相結(jié)合的方式，兩種方式各有優(yōu)劣勢(shì)。純硬件方式的特點(diǎn)：? 基于類(lèi)型來(lái)管理。根據(jù)硬件內(nèi)部的識(shí)別機(jī)制，將送往 CPU 的一種或多種報(bào)文歸為同一類(lèi)。在隊(duì)列映射關(guān)系上，每一種類(lèi)型可以映射到8 個(gè)隊(duì)列中的任何一個(gè)中去。對(duì)某一種類(lèi)型的操作，將會(huì)影響到此類(lèi)型下的所有報(bào)文。如當(dāng)您將上述的某種類(lèi)型映射到某個(gè)隊(duì)列中時(shí)，此類(lèi)型所包含的所有報(bào)文都會(huì)映射到此隊(duì)列中去。? 基于隊(duì)列的限速。以 kbps 為單位，沒(méi)有使用基于報(bào)文的限速，因此它不能對(duì)類(lèi)型中的某種報(bào)文進(jìn)行單獨(dú)的限速。報(bào)文在送 CPU 過(guò)程中，根據(jù)用戶(hù)的配置結(jié)果，將報(bào)文映射到相應(yīng)隊(duì)列上。當(dāng)此隊(duì)列上的速率超過(guò)限制的最大值時(shí)，超過(guò)部分的報(bào)文將被丟棄。當(dāng)發(fā)生攻擊時(shí)，找到此攻擊報(bào)文所屬的類(lèi)型，然后將此類(lèi)型映射到低優(yōu)先級(jí)隊(duì)列上，如隊(duì)列 0。同時(shí)將此隊(duì)列的帶寬設(shè)置為一個(gè)較低的值。從而可以有效地限制攻擊報(bào)文對(duì)交換機(jī)產(chǎn)生的影響。上海大學(xué)醫(yī)學(xué)院技防改造工程投標(biāo)方案 第 40 頁(yè) 共 79 頁(yè)優(yōu)點(diǎn)：流分類(lèi)及速率限制采用硬件來(lái)實(shí)現(xiàn)。缺點(diǎn)： 流分類(lèi)及速率限制的粒度受硬件能力限制。軟硬件結(jié)合方式的特點(diǎn)：? 報(bào)文分類(lèi)比較詳細(xì)，可以根據(jù)報(bào)文來(lái)進(jìn)行映射。使用 ACL，根據(jù)報(bào)文的 L2，L3，L4 層信息進(jìn)行報(bào)文的分類(lèi)。在硬件上能夠?qū)⒋蟛糠值膱?bào)文給細(xì)分出來(lái)。當(dāng)因硬件限制使得某些報(bào)文不能夠進(jìn)行硬件細(xì)分時(shí)，通過(guò)軟件的方式來(lái)進(jìn)行二次細(xì)分。這樣就能夠根據(jù)需要將每一種報(bào)文給區(qū)分出來(lái)。在報(bào)文匹配中 ACL 的同時(shí)，可以修改報(bào)文的優(yōu)先級(jí)，從而能夠改變報(bào)文與隊(duì)列的映射關(guān)系。? 基于報(bào)文的限速。分別在硬件與軟件上對(duì)每一類(lèi)報(bào)文進(jìn)行單獨(dú)的限速，以 PPS 為單位。? 多次限速與過(guò)濾，保證交換機(jī)的安全。在智能卡與管理板上都有 CPP 功能。不僅能夠減少管理板的處理壓力，又能夠保證最后 CPP 功能的正確性。優(yōu)點(diǎn)：流分類(lèi)能力更強(qiáng)。缺點(diǎn)：消耗 CPU資源。CPP功能對(duì)于提高交換機(jī)抗攻擊的能力，保持網(wǎng)絡(luò)拓?fù)浜吐酚蓞f(xié)議的穩(wěn)定性，保證交換機(jī)的處理能力得到完全的發(fā)揮，提供一個(gè)有效的工具。通過(guò) CPP保護(hù)策略，使網(wǎng)絡(luò)設(shè)備的安全能力得到了更大的提升。二、高清視頻監(jiān)控系統(tǒng)設(shè)備功能特性：? 采用 High Profile編碼,最高分辨率可達(dá) 200萬(wàn)像素（19201080）,最大可輸出 Full HD 1080p@60fps實(shí)時(shí)圖像? 逐行掃描 CMOS,捕捉運(yùn)動(dòng)圖像無(wú)鋸齒上海大學(xué)醫(yī)學(xué)院技防改造工程投標(biāo)方案 第 41 頁(yè) 共 7