支持dos攻击工具

项目需求书第一包:天津工业大学新校区生活区网络建设需求天津工业大学新校区生活区网络建设包括设备站、综合服务楼、学生餐厅、2号公寓、7号—12号公寓10个建筑共10042个信息点网络集成,信息点的分布见天津工业大学新校区生活区信息点数统计见1,采购设备见2.

一、总体要求1.
核心万兆,汇聚千兆,接入千兆,百兆到桌面.
核心设备和汇聚设备放在中心机房,接入设备放在每层设备间.

2.
学生宿舍楼接入设备采用堆叠方式,百兆到桌面;接入设备通过千兆单模光纤模块上联到汇聚设备,汇聚设备通过多模模块双归属千兆上联于核心设备.
设备站、综合服务楼和学生餐厅的接入设备通过单模模块直接汇聚到中心机房的学生公寓9号楼的汇聚设备上.

3.
在网络出口处加边界路由器,进行NAT转换,同时设计双出口.
4.
系统具有网管、计费、认证、防火墙、主动入侵防御功能.
二、技术要求1、核心设备核心交换机需要提供不小于10个插槽,同时支持管理引擎冗余,背板带宽不小于1.
6T,交换容量不小于800G,包转发率不小于550Mpps.
整机采用全分布式体系结构,支持控制平面、管理平面、数据平面相分离,硬件支持IPv6,并且提供"IPv6Ready"出具的认证证书.
在功能上需要支持IGMPSnooping、支持IGMP源端口、源IP检查、支持PIM(SM、DM)、支持防DOS攻击(Smurf、Synflood)、防IP扫描(PingSweep)、防源IP地址欺骗(SourceIPSpoofing),在可靠性上需要支持ECMP、WCMP路由技术,同时支持标准的和扩展的ACL功能,管理上要求支持SNMPV1/V2/V3、SSH.

2、汇聚设备汇聚设备与核心设备为同一系列,采用模块化交换机,需要提供不小于5个插槽,同时支持管理引擎冗余,背板带宽不小于800G,可扩展为1.
4T,交换容量≥400G,包转发率不小于238Mpps,整机采用全分布式体系结构,支持控制平面、管理平面、数据平面相分离,为了保证对IPv6网络的支持,设备需要硬件支持IPv6功能,同时提供"IPv6Ready"出具的认证证书.
在功能上需要支持IGMPSnooping、支持IGMP源端口、源IP检查、支持PIM(SM、DM)、支持防DOS攻击(Smurf、Synflood)、防IP扫描(PingSweep)、防源IP地址欺骗(SourceIPSpoofing),在可靠性上需要支持ECMP、WCMP路由技术,同时支持标准的和扩展的ACL功能,管理上要求支持SNMPV1/V2/V3、SSH.

3.
接入设备根据我校学生宿舍区实际接入的需要,接入设备可分两类:(1)具有24个10/100M端口,具有两个千兆扩展槽,背板不小于12.
8G,线速转发不小于6.
6Mpps,支持IEEE802.
1QVLAN,支持标准ACL、扩展ACL、时间ACL等,支持DHCPRelay、支持DHCPOption82,支持IGMPSnoopingV1/V2/V3、IGMP源端口检查,SNMPV1/V2/V3、SSH、SNTP,支持802.
1d、802.
1s、802.
1w.
支持IEEE802.
1x协议,可实现用户名、IP地址、MAC地址、VLANID、接入交换机IP、接入交换机端口多元素任意绑定,进行802.
1x安全认证.
支持多种硬件ACL访问控制策略:可对报文中源目的MAC、源目的IP、TCP/UDP端口号、协议类型、VLANID、时间段进行灵活任意组合,支持对任意报文前80个字节的任意检查.
(2)具有48个10/100M端口,具有两个千兆扩展槽,背板不小于18.
5G,线速转发不小于10.
1Mpps,支持IEEE802.
1QVLAN,支持标准ACL、扩展ACL、MACACL、时间ACL等,支持DHCPRelay、支持DHCPOption8,支持IGMPSnoopingV1/V2/V3,SNMPV1/V2/V3、SSH、SNTP,支持802.
1d、802.
1s、802.
1w.
支持IEEE802.
1x协议,可实现用户名、IP地址、MAC地址、VLANID、接入交换机IP、接入交换机端口多元素任意绑定,进行802.
1x安全认证.
支持多种硬件ACL访问控制策略:可对报文中源目的MAC、源目的IP、TCP/UDP端口号、协议类型、VLANID、时间段进行灵活任意组合,支持对任意报文前80个字节的任意检查.
注:两种接入设备支持混合堆叠.
4.
路由器设备要求路由器要求采用高性能模块化路由产品,支持冗余电源,硬件设计采用分离设计,插槽不小于5个,交换容量不小于12.
0G,包处理能力不小于15.
5MPPS,支持如下网络接口:FE、GE、T1/E1、T3/E3、OC3、OC12,路由表50万条,支持RIP、OSPF、IS-IS、BGP等路由协议,所有端口在路由振荡等复杂路由环境下依然能够保持线速转发,支持双向转发检测协议,OSPF/IS-IS路由协议可实现毫秒级检测,加速路由收敛,支持硬件的IPv6、MPLSIPv6、IPv6overIPv4GRE隧道、IPv6/IPv4双栈功能;支持IGMPv3协议,支持PIM-DM/SM、MSDP、DVMRP等采用模块化操作系统,支持软件在级升级、配置回退及更改确认,命令细化和等级控制.
要求硬件支持NAT.

6.
安全IPS设备要求IPS设备内存不小于1G,吞吐量不小于2G,并发会话数量1,500,000sessions,每秒新建会话数20,000sessions/sec.
设备具备完备的特征代码库,支持特征库的自动更新,提供多种高效的模式匹配算法,特征代码数量≥2000、支持基于策略的特征库过滤、能够抵御多种拒绝服务攻击,如SYNFlood、ICMPFlood、ConnectionFlood、NullStreamFlood等、支持基于协议分析的特性,要求能够分析的网络应用层协议种类≥100、支持通过既定规则限制未经授权的应用程序,如即时通讯、P2P应用等、支持Signature、Keywords等基于内容的检测.
支持基于策略的特征库和管理员自定义特征库过滤功能.
支持Https的图形化管理界面、SSL管理员认证以及Console、Telnet、SSH等管理.

7.
防火墙设备要求防火墙产品需要提供最大并发连接数2,000,000sessions,吞吐量不小于3Gbps,策略数不小于65,535,支持VPN功能,VPN吞吐量2Gbps,VPN并发通道数50,000tunnels.
支持透明模式、路由模式、混合模式、支持静态路由、OSPF动态路由协议、支持策略路由、内置IDS入侵检测功能,并支持同主流IDS的联动、支持DNS分离功能.

8.
千兆计费网关要求内存不小于512M,同时设备必须可以和认证计费系统结合使用实现基于流量的计费方案.

(1)配合日志审计服务器还可以方便的实现基于用户身份的网络访问行为的日志、设备日志、应用日志的管理与分析,为安全事件的审计提供准确可信的数据支持.

(2)配合流量管理软件,同样可以实现流量工程方面的功能,方便用户从业务的层面根据系统分析的数据对现有网络做出长期科学的规划.

(3)设备对用户认证的用户透明.
(4)支持802.
1x.
(5)提供流量国际、国内、校内上下行分类计费的原始信息.
(6)可设定包月限流量的计费策略,更加科学合理的规范用户的上网行为,遏制一些恶意用户采用P2P应用对网络带宽资源的抢占,保证关键业务的正常运行.

(7)为了保证网络的性能和排除单点故障设备必须支持旁路模式和穿透模式.

9.
认证计费系统要求(1)支持多种操作平台,中文界面,操作简便;支持直接通过IE浏览器远程登陆系统进行实时监控管理(2)支持用户名、用户IP、用户MAC、接入交换机IP以及接入交换机端口等元素的自动绑定,以保证接入用户的合法性和网络安全(3)实现绑定下授权账号的漫游,兼顾高可管理性和灵活性.
即在绑定的情况下即要求用同样的登陆帐号在不同区域(如办公区和宿舍区)能够登陆(4)能够设置是否屏蔽代理服务器,以控制网络中非法代理服务器的使用,保证网络安全(5)支持实时短消息功能,通过服务器可以向在线用户表中的某个、某些或者全部发送实时短消息.
为了确保安全,要求实时短消息是服务器到交换机、交换机到客户端两段的通讯过程;(6)可以限制接入用户IP的获得方式并结合多种IP绑定策略和属性限制,防止网络中出现IP地址冲突问题;(7)可远程监控用户的IP地址、MAC地址、接入端口、接入交换机IP、子网掩码、网关等网络参数;(8)支持以用户名、用户IP、用户MAC、交换机IP、交换机端口等多种方式查询在线用户;(9)支持在用户无法通过系统认证或者被系统强制下线时,弹出窗口提示用户下线原因.
例如:"用户名/密码错"、"余额不足"等等;(10)支持针对各种不同的下线原因进行分类查询,例如可单独查询因为用户名IP错误导致下线的用户;(11)支持在线统计分析功能,包括在线用户信息、用户分布情况、业务开通情况、用户欠费信息等;(12)能够根据不同的用户群体如本科生、研究生、教职工、校领导等制定不同的策略来控制用户上网时间;(13)系统支持广播功能,用户上线时能够接收到广播的内容,广播内容在服务器端制定,并可随时更新;(14)支持DHCPOption82属性,配合安全交换机的DHCPRelay可实现对不同用户分配不同权限IP地址,并在安全交换机上进行动态绑定;(15)支持限制用户认证客户端程序的类型和版本号;(16)支持普通包月、包月限时长、包月限流量、计天、计时长和计流量等多种计费策略;(17)支持最终用户通过自助服务自助选择网络开通的天数,减少管理的工作量;(18)支持严格的管理员分级管理,保证管理员权限的同时,可提供灵活的权限定制方式,可实现分级管理;(19)支持帐务管理功能,专门提供针对用户的帐务管理和针对管理员的营帐管理,提供日、月、年营业报表生成和打印功能;(20)支持日志功能,可记录和查询RADIUS服务日志、系统日志、管理员操作日志、用户WEB自助服务日志、帐单服务器日志等;(21)支持用户WEB自助注册功能,可自助申请注册,查看审批信息等;(22)支持用户WEB自助服务功能,用户可通过WEB自助服务页面,进行个人资料的查询、密码修改、上网明细查询、缴费记录查询以及在线预注册和在线帐号充值;(23)支持网络故障自主报修功能;(24)支持公用服务,可以选择某些类型的用户可以接入网络,并限制时间和次数.
比如在用户帐号欠费的条件下可以上网3分钟实现自助充值等;(25)支持用户欠费停用前进行短信息通知,且可根绝实际环境灵活设置短信通知时间;(26)管理系统用户界面友好.
第一期用户认证计费管理系统提供开户数量不少于10000用户.
10.
网络管理系统要求支持全中文操作界面,可兼容管理主流网络厂商SNMP设备;可提供三层拓扑和子网自动发现并描绘功能,同时支持二层拓扑发现;支持哑终端(非网管交换机、HUB)的自动发现,并在拓扑中体现;可自动检测网络设备运行状态,采用不同的位图标识不同类型的设备,不同颜色的三色状态图标识设备的不同状态;系统提供DIY方式,满足管理员按照物理连接或个人习惯自组物理视图;提供完整的事件管理功能,可集中管理Trap事件、阈值报警事件、拓扑管理的系统事件和未知类型事件;提供扩展工具接口,可根据需要定制外挂工具;提供基于声音、E-MAIL的告警功能、并可通过外挂工具的扩展参数来进行事件的自动处理;三、设计要求1.
根据总体要求和技术要求设计技术方案;2.
编制方案实施进度表;3.
列出售后和培训措施.
1:天津工业大学新校区信息点数统计建筑名称层数信息点数建筑名称层数信息点数建筑名称层数信息点数2号公寓南区11007号公寓南区1968号公寓南区1962106210021003106310831084108411241125108511251126108611261122号公寓中区1727号公寓中区1668号公寓中区1662762842843783803804824884885825885886826886882号公寓北区11007号公寓北区1988号公寓北区116210621152115310631123112410841124112510851125112610861126112合计1744合计1795合计1713建筑名称层数信息点数建筑名称层数信息点数建筑名称层数信息点数建筑名称层数信息点数9号公寓南区19610号公寓南区19811号公寓南区17012号公寓南区170211021102110211031103110311031104112411241124112511251125112511261126112611261129号公寓北区16910号公寓北区15211号公寓北区19712号公寓北区197282282282282382382382382484484484484584584584584684684684684合计1137合计1122合计1139合计1139综合服务楼152设备站17学生餐厅168246264合计98合计7316合计148总计:10042个2:设备采购明细表序号名称说明数量1核心交换机不少于10个扩展槽主机箱,1个管理引擎,冗余电源,2个12口SFP/GT复用业务板,2口万兆模块卡,2个万兆多模模块,10个千兆多模光纤模块22汇聚交换机不少于5个扩展槽主机箱,1个管理引擎,冗余电源,2个12口SFP/GT复用业务板,2个千兆多模光纤模块,15个千兆单模光纤模块73接入交换机24个百兆电口,2个扩展插槽65接入交换机48个百兆电口,2个扩展插槽197接入交换机模块千兆单模光纤模块105接入交换机模块交换机堆叠模块2564路由器不少于5个扩展槽,冗余电源,配置硬件NAT业务板,内置支持IPV6操作系统,1个千兆多模光纤模块,2个千兆单模超长距离(70KM)光纤模块15千兆防火墙(外置)1个百兆电口,2个千兆电口,4个千兆多模光纤模块16千兆入侵防御系统2个千兆电口,2个千兆多模光纤模块17千兆计费网关2个百兆电口,2个千兆电口18网管平台、认证计费软件支持10000用户的认证和计费,可网管设备无数量限制19网络机柜2200mm高,黑色,与网络设备同一品牌5第二包:天津工业大学新校区教学区网络建设需求天津工业大学新校区教学区网络建设包括理学院、管理学院、外语学院、经济学院、会计学院、社科学院、公共教学楼7个建筑共2298个信息点网络集成,信息点的分布见天津工业大学新校区生活区信息点数统计见1,采购设备见2.

一、总体要求1.
核心万兆,汇聚千兆,接入千兆,百兆到桌面.
核心设备和汇聚设备放在中心机房,接入设备放在每层设备间.

2.
每个单体建筑的每层接入设备采用堆叠方式,百兆到桌面;接入设备通过千兆单模光纤模块上联到汇聚设备,汇聚设备通过多模模块双归属千兆上联于核心设备.

3.
系统设计NAT转换,同时设计双出口.
4.
系统具有网管、计费、认证、防火墙、主动入侵防御功能.
二、技术要求1、核心设备核心交换机需要提供不小于10个插槽,同时支持引擎冗余,电源冗余,交换容量不小于700G,包转发率不小于400Mpps,处理器内存不小于512M,路由表容量不小于256K、路由接口数量不小于1000.
整机采用全分布式体系结构,设备管理需要设备支持WEB网管、支持MIB-II、SNMPV1/V2/V3、RMON1/2/3/9、Syslog.
在功能上路由协议需要操作系统提供静态路由、RIPV1/V2、OSPF、BGP、策略路由、无须另加模块实现;同时能够提供不间断转发能力:提供OSPF,IS-IS,BGP等路由协议的GR功能,需要支持IGMPSnooping、支持IGMP源端口、源IP检查、支持PIM(SM、DM),在可靠性上需要支持ECMP等值路由(大于等于4条).

2、汇聚设备汇聚设备和核心设备为同一系列.
并且要求性能相当的产品,都采用模块化产品,需要提供不小于5个插槽,同时支持引擎冗余,为了确保教学区网络安全稳定及可靠性,双引擎主备切换时间必须小于等于10ms(毫秒,提供证明)和电源冗余,为了保证汇聚设备的性能,其背板带宽不小于750G,可扩展为1.
5T,交换容量≥300G,包转发率不小于178Mpps,处理内存不小于512M,路由表容量不小于256K,路由接口数量不小于1K,为了提供设备的可扩展性要求提供单独的防火墙.
整机采用全分布式体系结构,设备管理需要设备支持WEB网管、支持MIB-II、SNMPV1/V2/V3、RMON1/2/3/9、Syslog.
在功能上路由协议需要操作系统提供静态路由、RIPV1/V2、OSPF、BGP、策略路由、无须另加模块实现;同时能够提供不间断转发能力:提供OSPF,IS-IS,BGP等路由协议的GR功能,需要支持IGMPSnooping、支持IGMP源端口、源IP检查、支持PIM(SM、DM),在可靠性上需要支持ECMP等值路由(大于等于4条).

3.
接入交换设备根据我校教学区接入的需要,接入设备可分三类:(1)具有24个10/100M端口,具有四个千兆接口,背板不小于30G,线速转发不小于9.
6Mpps,处理内存不小于128M,支持带宽控制,控制粒度不小于64Kbps,支持静态路由、RIPV1/V2、OSPF,支持IEEE802.
1x协议,安全特性方面支持IP+MAC+PORT任意组合的绑定,用户分级管理和口令保护,支持SSH,支持SNMPv3网管,支持802.
1x安全认证,接入层交换机必须支持跨设备链路聚合,最大支持堆叠数量不小于8台.

(2)具有48个10/100M端口,具有四个千兆接口,背板不小于32G,线速转发不小于9.
6Mpps,处理内存不小于128M,支持带宽控制,控制粒度不小于64Kbps,支持静态路由、RIPV1/V2、OSPF,支持IEEE802.
1x协议,安全特性方面支持IP+MAC+PORT任意组合的绑定,用户分级管理和口令保护,支持SSH,支持SNMPv3网管,支持802.
1x安全认证.
接入层交换机必须支持跨设备链路聚合,最大支持堆叠数量不小于8台.

(3)具有24个10/100/1000M端口,具有两个堆叠接口,提供一个模块接口插槽,背板不小于190G,线速转发不小于65Mpps,处理内存不小于128M,支持带宽控制,控制粒度不小于64Kbps,支持静态路由、RIPV1/V2、OSPF,支持IEEE802.
1x协议,安全特性方面支持IP+MAC+PORT任意组合的绑定,用户分级管理和口令保护,支持SSH,支持SNMPv3网管,支持802.
1x安全认证,接入层交换机必须支持跨设备链路聚合,最大支持堆叠数量不小于8台.

4.
安全IPS设备要求IPS设备吞吐量不小于1.
2G,时延单个报文最大时延=200万条,每秒新建连接数>=25万条;可保护网段大于等于4个.
设备具备完备的特征代码库,攻击特征库≥2200个,并支持特征库的自动更新,要求系统提供蠕虫、引入蠕虫、病毒、木马、间谍软件、广告软件、可疑代码、拒绝服务、带宽劫持、探测与扫描、后门、非法进入、VOIP攻击等攻击方式的防御手段;可对VLAN、ARP、MPLS、ICMP、IP、TCP、UDP、HTTP、DNS、RPC、Telnet、Ftp、IMAP、SMTP、SMB等协议进行分析并根据策略采取行为控制;可对Kazza、eDonkey、WinMx、BT、MSN、ICQ、YahooMessenger、Skype、Oracle、SQL等应用进行跟踪并可采取带宽控制等防护手段;提供网管、电子邮件、日志、脚本等告警方式;提供断电保护旁路设备,可在设备断电时将线路旁路,保证数据转发不间断;在系统故障时,不进行数据过滤,仅作为交换设备使用,不影响数据转发;须提供双电源,双CPU,双硬盘;提供专有操作系统,非建立在Lunix,Unix等开放式操作系统下;为了保证网络时时安全,发挥IPS真正的时时保护功能,必须提供数字疫苗必须定期发布,自动更新,针对紧急安全事件实时发布数字疫苗.

5.
防火墙设备要求防火墙产品需要提供大于等于4个10/100/1000M以太网端口或者≥2个10/100/1000M+410/100M以太网端口,1个MIM插槽可选的接口模块有1FE/2FE/4FE/1GE/2GE/HDC六种;为了满足网络安全设备的可靠性和稳定性,必须支持双电源及满足MTBF≥41.
68年,最大并发连接数1,000,000sessions,吞吐量不小于1.
5Gbps,策略数不小于10万条,吞吐量2Gbps.
支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤,支持时间段安全策略设置.
支持路由模式、支持静态路由、OSPF动态路由协议、、RIPv1/2、BGP、支持策略路由、并支持同主流IDS的联动.
其主要功能:要能够抵抗包括Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、ARPSpoofing、ARPFlooding、地址扫描、端口扫描等攻击方式在内的攻击;防火墙要能够抵抗蠕虫病毒爆发时的DoS和DDoS攻击;NAT功能:防火墙必须支持一对一、地址池等NAT方式;必须支持多种应用协议,如FTP、H323、RAS、ICMP、DNS、ILS、PPTP、NBT的NATALG功能,支持策略NAT;为了保证安全管理:支持管理员分级,可分≥4级;必须支持网管软件统一网管,支持SNMPv1、SNMPv2C、SNMPv3;支持CONSOLE、TELNET、SSHV1.
5、SSHV2、WEB等管理方式;支持NTP时间同步.
6.
认证计费系统要求由于教学区的认证计费主要侧重重点是系统的安全、可靠、稳定性,以确保优化网络应用,重点对以下功能要求.

(1)支持多种上网认证方式:能支持802.
1x、PPPoE、Portal等多种认证方式;以保证接入用户的合法性和网络安全;(2)支持用户漫游认证:对于不同认证区域(如办公区和宿舍区),通过RadiusProxy可实现用户的区域漫游.
不同网络区域使用各自的系统进行用户登陆管理;(3)支持与第三方邮件或Proxy系统的统一认证:支持与LDAP服务器的统一认证,例如支持LDAP协议的邮件或Proxy系统的统一认证,避免用户记忆多个用户名和密码;(4)支持Windows域统一认证:支持Windows域统一认证,实现网络登陆与域登陆的一次性认证;(5)可以防止个别用户对网络资源的过度占用,避免网络拥塞:支持用户的上网带宽(QoS带宽)限制;支持用户QoS优先级限制;支持检测客户端的类型和版本,支持802.
1x客户端版本检测,可以限制用户必须使用专用安全客户端以及使用的版本(6)支持消息下发:管理员可以向在线用户发布通知消息,如"系统升级,网络将在10分中后切断"、"您的密码遭恶意试探,请注意保护密码安全"等.
可以单个用户下发,也可以批量下发;(7)支持终端操作系统补丁检测:评估用户终端操作系统(Windows98、XP、2000、2003)的补丁安装是否合格;(8)支持操作系统自动补丁管理:提供与微软WSUS协同的自动补丁管理,当用户补丁不合格时,自动安装补丁;(9)支持病毒库版本检测:检测终端安装的防病毒软件和病毒库的版本是否合格;(10)支持多厂商防病毒联动:支持与Symantec、TrendMicro、McAfee等厂商的防病毒联动,支持安装运行状态、病毒库版本的检测;(11)为了确保网络的安全性系统要支持监控终端病毒感染状态:用户上网前的杀毒记录,可以强制用户在接入网络前首先查杀病毒;(12)支持检测安全客户端版本:可以检测安全客户端的版本,防止使用不具备安全检测能力的客户端接入网络;(13)支持安全状态定时评估:安全客户端可以定时检测用户安全状态,防止用户上网过程中因安全状态发生变化而造成的与安全策略的不一致;(14)自动病毒库升级:能提供与杀毒软件协同的自动病毒库版本升级功能;(15)支持系统配置监控:可以监控指定人员的已安装程序列表、已安装补丁列表、已运行进程列表、共享目录信息、分区表、屏保设置、已启动服务列表;(16)支持"危险"用户隔离:对于安全状态评估不合格的用户,可以限制其访问权限(通过ACL隔离),使其只能访问病毒服务器、补丁服务器等用于系统修复的网络资源;用户上网过程中安全状态发生变化造成与安全策略不一致时(如感染不能杀除的病毒),系统可以在线隔离并通知用户;(17)支持软件安装和运行检测:检测终端软件的安装和运行状态.
可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件.
对于不符合安全策略的用户可以记录日志、提醒或隔离;(18)支持匿名认证:客户端和认证系统提供匿名认证用户,用户不需要输入用户名、密码即可完成身份认证和安全认证;(19)可以监控用户的上网行为:强制或提醒不符合安全策略的终端用户主机进行防病毒软件升级,病毒库升级,补丁安装;定时监控终端用户的安全状态,发现感染病毒后根据安全策略可将其限制到隔离区;定时收集客户端的实时安全状态并记录日志;查询用户的安全状态日志、安全事件日志以及在线用户的安全状态;(20)能够设置是否屏蔽代理服务器,以控制网络中非法代理服务器的使用,保证网络安全;(21)管理系统用户界面友好;为方便管理,交换机与网络认证计费管理系统必须采用同一厂家产品.
7.
网络管理系统要求支持全中文操作界面,可兼容管理主流网络厂商SNMP设备;可提供三层拓扑和子网自动发现并描绘功能,同时支持二层拓扑发现;可自动检测网络设备运行状态,采用不同的位图标识不同类型的设备,不同颜色的三色状态图标识设备的不同状态;系统提供DIY方式,满足管理员按照物理连接或个人习惯自组物理视图;提供完整的事件管理功能,可集中管理Trap事件、阈值报警事件、拓扑管理的系统事件和未知类型事件;提供基于声音、E-MAIL的告警功能.
具体要求为:(1)实现全网设备的统一管理:能够通过模块化、组件化方式,实现统一网管,对全网中的路由器、交换机、安全网关等所有网络设备进行管理.
并且要支持管理多厂商设备.

(2)可以自定义拓扑:根据网络的实际组网,灵活定制网络拓扑.
管理员可对拓扑图进行增、删、改等编辑操作.
支持为拓扑图选择不同的背景图.
根据网络设备的重要性不同选择不同大小的图标显示,并可以根据灵活定制链路宽度.
支持构建多张拓扑图、管理员可以根据关心的设备不同角度不同灵活定制拓扑;自动发现拓扑:能自动发现网络中的所有网络设备,并在拓扑中显示出来,可以自动将网络中的逻辑连接关系显示出来(3)能识别设备和主机的类型:网管上能识别设备的类型,区分交换机、路由器、网关等,可以使用不同图标标识;(4)拓扑中显示设备告警状态:根据设备的不同的状态,在拓扑上用不同颜色和图标显示;(5)支持对拓扑的放大、缩小,便于全网浏览显示:支持鸟瞰图,可以快速方便地定位设备;并支持二层拓扑,支持图形化显示设备间的二层物理连接;(6)支持故障检测并能实时显示告警:要求具有故障检测功能,能够发现网络中的常见问题,并支持对全网设备的告警信息和运行信息进行实时监控和统一浏览.
可以分不同级别告警并采用不同颜色标明(7)支持告警提醒、转发:有故障定位功能,可以根据告警信息方便地定位到出问题的设备.
使用告警定位,可以直接定位到设备树和拓扑图上的设备;支持多种提醒方式,比如告警灯(光提醒)、告警音(声提醒);多种转发方式,比如转E-mail,转短信,转其它网管等;(8)提供故障修复建议:告警信息上能提供对于该告警的修复建议,对于常见告警支持预安装修复建议;支持告警过滤,可以制定过滤条件:由于告警信息量极大,所以要求用户可自行定制告警过滤条件,比如可根据告警IP、告警级别、告警时间等灵活定制过滤条件.
要求能快速查到用户关心的告警信息;(9)支持管理服务器:支持对服务器的性能、服务进行监视.
比如能够显示服务器的CPU、内存、硬盘等使用情况;支持管理Windows、Solaris、Linux等服务器;(10)提供直观的设备的面板视图:支持设备面板的显示、定时刷新、面板缩放功能,通过面板管理,网络管理人员可以直观地看到设备、板卡、端口的工作状态;能对设备的接口、VLAN、IP地址、RMON等通用信息进行配置;能同时打开多个交换机设备,能跨设备进行VLAN、端口等配置;(11)支持根据MAC或IP地址查找端口:依据已有的用户的MAC或IP地址,定位其所在的设备及端口;对于NAT网关后的设备或通过DHCP获得IP的设备也能管理;(12)支持对所有设备配置文件的集中备份与管理,支持对设备配置文件的集中管理,包括配置文件的备份、恢复以及批量更新等操作,同时还可实现配置文件的基线化管理,可以对配置文件的变化进行比较跟踪;支持对设备软件的批量升级;支持设备软件版本查询,设备软件备份、升级.
可以迅速、准确地完成网络内设备的软件升级.