根据太阳成集团tyc234cc主页招投标管理办法,决定对学校镜湖校区光纤铺设、网络改造建设、施工等项目进行公开招标。现将有关事项公告如下:
一、招标单位:太阳成集团tyc234cc主页
二、招标编号:ZJYXZB19028
三、招标内容及要求
1.本次招标项目分为三个标段,具体如下:
标段 | 设备名称 | 技术规格参数 | 预算金额 (人民币:元) | 投标保证金 (人民币:元) |
01标 | 镜湖校区园区光纤铺设 | 详见公告附件1 | ¥1200000.00 | ¥30000.00 |
02标 | 学校互联网出口建设 | 详见公告附件2 | ¥3380000.00 | ¥80000.00 |
03标 | 镜湖校区园区网建设 | 详见公告附件3 | ¥5280000.00 | ¥100000.00 |
2.01标项目预算金额为120 万元;02标项目预算金额为338 万元;03标项目预算金额为528万元;每项预算金额作为该项目的最高限价,投标报价超出最高限价的作无效标处理。
3.投标人投标提供的设备及辅材必须是厂商原装的、全新的,型号、性能及指标符合国家及招标文件提出的有关技术、质量、安全标准。
4.对于影响设备正常工作的必要组成部分,无论在技术规范中指出与否,投标人都应提供并在投标文件中明确列出。
5. 所有货物提供出厂合格证等质量证明文件,国外生产的必须有合法的进货渠道证明,如海关报关单、商检证明等。
6. 所有货物(如管芯)到现场安装使用前,招标人将进行抽样检验或试验。
7. 施工应在不影响学校教学、生活的情况下进行,具体施工时间听从学校安排,遵守学校施工管理,确保文明施工、安全施工。
8.施工材料在校内运输要求使用载货汽车。
9.投标人根据自身能力可以投其中1个标段,也可以投多个标段。
四、投标资格:
1.01标02标03标具有独立法人资格和合法经营及信誉良好的厂家、公司或授权代理商;
2.01标02标03标投标人须具有较强的项目管理、技术服务和组织实施能力;
3.01标02标03标投标人具有足够的能力来有效地履行合同,且服务保障体系健全;
4.01标02标03标近三年无不良记录;
5.01标02标03标投标代理人须为与投标单位存在劳动合同关系的员工,投标时须提供劳动合同原件或复印件(须盖投标单位公章)、社保证明等材料,严禁借用资质,发现借用或假冒资质投标的,取消其投标资格;
6.01标02标03标投标人及其有隶属关系的机构没有参加本项目的前期工作、招标文件编写工作;
7.01标投标人须具有通信工程施工总承包贰级或电子与智能化工程专业承包贰级及以上资质;
8. 01标02标03标本次招标不接受联合体投标。
本次招标的评标采用综合评分法,即在最大限度满足招标文件实质性要求前提下,由本项目评标小组对各投标单位的报价、技术力量、社会信誉和投标设备的技术参数与功能配置、市场占有率、服务承诺等方面进行综合评审。经各位评标小组成员独立打分,先评技术分,后算商务分,按总得分从高到低顺序推荐确定中标候选单位。招标单位将保留再一次与中标单位进行价格等相关问题协商的权利。招标单位对投标结果不负责解释。在招标过程中,投标单位对招标单位施加影响的任何行为,都将导致取消投标或中标资格。
六、01标02标03标付款方式
01标02标03标招标项目工程完成施工或货到安装调试完毕验收合格后,在一个月内支付70%合同款,设备正常运行3个月后支付25%,如无质量问题、且售后服务良好,在项目验收合格满1年后的第二周内付清余款。
七、01标02标03标投标须知
1.投标报名:参加投标的单位于2019年6月24日~6月30日上午8:30~11:00,下午14:00~16:00时前到太阳成集团tyc234cc主页招投标中心(绍兴市群贤中路2801号,太阳成集团tyc234cc主页镜湖校区SPT行政服务街)办理投标登记手续后,领取招标文件,同时须递交法人营业执照副本原件及复印件(加盖单位公章),01标交纳投标保证金人民币叁万元整,02标交纳投标保证金人民币捌万元整,03标交纳投标保证金人民币拾万元整,截止时间为2019年6月30日下午16:00,电汇方式以到帐时间为准,户名:太阳成集团tyc234cc主页,账号:33001653535059966688,开户行:建行绍兴市分行营业部。
2.投标截止时间:2019年7月1日上午8:30前将投标文件密封并加盖骑缝公章后送交招投标中心工作人员。
3.投标文件要求正本各壹份,副本各陆份。
4. 开标会定于2019年7月1日上午8:30在浙江越秀外国语学院镜湖校区招投标中心会议室举行。未交投标保证金的,取消投标资格。
5.定标后中标单位15天内与招标单位签订合同,其投标保证金转为合同履行保证金,合同期满后无息退还,如出现违约情况参照“政府采购”有关规定处理。
6.招标单位与投标单位的资金往来必须全部通过银行账户转账,投标单位必须提供与单位名称一致的银行账户用来进行包括投标保证金、履约保证金、合同款项等全部资金往来。
八、其它要求和说明:
1.交货、安装日期:01标02标03标项目均要求在2019年8月20日前完成交货、安装、施工、调试等工作。
2.保修、售后服务:01标项目建设完成交付验收后,提供不少于1年保修期;02标03标项目设备交付验收合格后,提供不少于3年原厂商设备保修和售后服务(包括系统升级服务)等。免费维护期自设备交付运行验收签字之日起计算。在设备保修期内,由于工程缺陷或设备质量因素而造成的损坏,均由中标单位负责免费维修和更换配件;在保修期结束前,须与投标方、中标单位进行一次全面检查,任何缺陷必须由中标单位负责修理或更换。如发生故障,中标单位应在接到通知后,安排技术工程师4小时之内到达现场,进行故障排除工作,一般性故障保证在4小时内修复,对于影响系统正常运行的严重故障(包括由系统软硬件等原因引起的),供应商技术工程师在4小时内到达现场,查找原因,提出解决方案,并工作直至故障修妥完全恢复正常服务为止。若24小时内无法修复故障,则提供应急方案,以保证招标单位教学工作的正常进行。
3.投标方提供的货物须在我国境内合法销售,所有产品必须经正规渠道供货,不得提供旧货、水货、假货,产品主机原厂备案最终用户为太阳成集团tyc234cc主页。
4.02标03标中标单位在签订合同时,须提供与本次投标设备相关的项目授权书、其他相关证书和原厂商针对此项目的授权及售后服务原厂质保函,明确投标产品设备享有三年及以上的售后服务原厂质保,如中标人无法提供相应的授权及售后服务原厂质保函,一律取消中标资格,并没收投标保证金。
5.供应商所有技术指标均以各厂商公开网站所公布的数据为准,如果有英文网站则以英文网站为准,投标人应保证所提供的设备和技术不低于本招标要求中所提出的各项要求。
6.为维护正常秩序,进一步遏制串标、抬标行为,保护交易各方的合法权益,凡在同一招标项目的评标中,发现有二份及以上投标文件相互之间有特别相同或相似之处的,且经询标澄清投标人无令人信服的理由和可靠证据证明其合理性的,经评标委员会半数以上成员确认有串通投标嫌疑的,其投标文件按无效投标处理,不再对其进行评审,也不影响招标工作继续评标。
联系人:许老师联系电话:0575-89172462
地址:绍兴市群贤中路2801号,太阳成集团tyc234cc主页SPT行政服务街,学院招投标中心。
附件1: 01标镜湖校区园区光纤铺设项目技术规格参数、工程量清单及要求
附件2:02标学校互联网出口建设项目技术规格参数及要求
附件3:03标镜湖校区园区网建设项目设计目标、技术路线、规格参数及要求
太阳成集团tyc234cc主页
2019年6月24日
附件1:镜湖校区园区光纤铺设项目技术规格参数、工程量清单及要求
一、施工要求
1.要求投标人在投标前需在规定的时间内,现场勘查. 在投标文书中,提供完整的校园弱电管线施工平面图、施工方案、布线详图。
2.招标文件中的光纤芯数为最低数量,仅供参考,具体的光缆数及配套附件由投标方设计决定,但不得低于参考数据。户外主干部分光缆采用铠装单模光缆,分纤部分采用全分纤熔接方式。尾纤的接口方式采用LC。投标方要提供明确的工程量清单。
3.分区域施工,直干线线路清晰。
4.管道的施工以直埋为主,并按设计规范设立人孔井或手孔井。直埋管道采用直径100或以上的PE管,内穿4根32PVC管,未穿线使用的PVC管在孔井处用塞子保护。过道路的直埋管道使用钢管,草地直埋管道上方需加横放砖头保护,以防挖断。
5.在完成镜湖校区的光纤布线后,做好镜湖校区和稽山校区教师宿舍的扁平化施工,即每个单元墙柜与电源施工、大对数线弃用、入户网络点位优化、网线头重做等相关工作,施工含所有网络线材、电源线、光纤跳线,网络墙柜增加。
6.施工应在不影响学校教学、生活的情况下进行,具体施工时间听从学校安排,遵守学校施工管理,确保文明施工、安全施工。
7.施工过程中开挖区域在施工完成之后要求不低于原标准恢复。
8.施工完成后要有明显的地面标记和完整的竣工图纸,存档备案。
二、管道光缆路由图
明细图由招投标中心现场提供
三、光缆铺设材料清单
材料名称 | 参考品牌性能档次 | 材料型号 | 单位 | 数量 | | | |
光缆 | 富通、享通、中天 | GYTS-12B1 | 米 | 2520 | | | |
光缆 | 富通、享通、中天 | GYTS-96B1 | 米 | 21210 | | | |
光缆 | 富通、享通、中天 | GYTS-144B1 | 米 | 1260 | | | |
ODF架 | 弘远、日海、拓贸隆、星昊 | 2200*600*600 | 台 | 8 | | | |
机柜 | 弘远、日海、拓贸隆、星昊 | 1200*600*600 | 台 | 26 | | | |
PE管 | 国产 | Φ110 | 米 | 7733 | | | |
塑料圆管接头 | 国产 | | 个 | 1289 | | | |
手孔盖板 | 定制 | SK1 | 套 | 32 | | | |
手孔盖板 | 定制 | SK2 | 套 | 6 | | | |
手孔1 | 定制 | 470*860*900 | 个 | 32 | | | |
手孔2 | 定制 | 840*950*1200 | 个 | 6 | | | |
光缆挂牌 | 定制 | | 块 | 210 | | | |
水泥 | 定制 | 425# | 吨 | 82 | | | |
中砂 | 定制 | | 吨 | 200 | | | |
碎石 | 定制 | | 吨 | 343 | | | |
机制砖 | 定制 | | 千块 | 19 | | | |
板方材 | 定制 | | 立方米 | 9.7 | | | |
光缆托架 | 定制 | | 根 | 92 | | | |
光缆托架穿钉 | 定制 | | 根 | 185 | | | |
光缆托板 | 定制 | | 块 | 92 | | | |
开挖并修复路面 | 定制 | | 平方米 | 1710 | | | |
序号 | 信息点位 | | 单位 | 数量 | | | |
1 | 图书馆 | | 芯 | 192 | | | |
2 | 食堂 | | 芯 | 96 | | | |
3 | 实验室 | | 芯 | 48 | | | |
4 | 学生宿舍1 | | 芯 | 96 | | | |
5 | 学生宿舍2 | | 芯 | 96 | | | |
6 | 学生宿舍3 | | 芯 | 96 | | | |
7 | 学生宿舍4 | | 芯 | 96 | | | |
8 | 学生宿舍5 | | 芯 | 96 | | | |
9 | 学生宿舍6 | | 芯 | 96 | | | |
10 | 学生宿舍7 | | 芯 | 96 | | | |
11 | 学生宿舍8 | | 芯 | 96 | | | |
12 | 学生宿舍9 | | 芯 | 96 | | | |
13 | 学生宿舍10 | | 芯 | 96 | | | |
14 | 学生宿舍11 | | 芯 | 96 | | | |
15 | 学生宿舍12 | | 芯 | 96 | | | |
16 | 学生宿舍13 | | 芯 | 96 | | | |
17 | 酒店管理学院 | | 芯 | 96 | | | |
18 | 教学楼1号楼-老机房 | | 芯 | 700 | | | |
19 | 教学楼2号楼 | | 芯 | 96 | | | |
20 | 教学楼3号楼 | | 芯 | 96 | | | |
21 | 教学楼4号楼 | | 芯 | 96 | | | |
22 | 高层1 | | 芯 | 288 | | | |
23 | 高层2 | | 芯 | 192 | | | |
24 | 高层3 | | 芯 | 192 | | | |
25 | 教工宿舍1 | | 芯 | 156 | | | |
26 | 教工宿舍2 | | 芯 | 156 | | | |
27 | 保安室1 | | 芯 | 12 | | | |
28 | 保安室2 | | 芯 | 12 | | | |
合计 | | 3676 | | | |||
核心机房成端 | | 3676 | | | |||
工程量描述:1光缆方案描述:小高层1需新敷设3条96芯光缆,小高层2需新敷设2条96芯光缆,小高层3需新敷设2条96芯光缆,图书馆需新敷设2条96芯光缆,教工宿舍1需新敷设1条144芯光缆和1条12芯光缆,教工宿舍1需新敷设1条144芯光缆和1条12芯光缆,保安室1需新敷设1条12芯光缆,保安室2需新敷设1条12芯光缆,其余各楼均需新敷设1条96芯光缆;图中学校各幢楼光缆的敷设及成端,要求学校各楼新敷设光缆直连1号教学楼2楼新机房内成端,原1楼机房内需直连700芯至2楼新机房成端; | | ||||||
| |||||||
| |||||||
| |||||||
| |||||||
2新建管道主要工作量如下:管道孔数如图所示,开挖敷设及路面修补; | | ||||||
|
附件2:02标 学校互联网出口建设项目技术规格参数及要求
设备名称 | 参数要求 | 品牌型号 |
交换机5台 (边界网络设备/ 运营商接入) | 性能和扩展性: 外观≤1 RU 最大支持1G RJ45电口≥24、10G光口≥4 整机交换容量≥128Gbps 转发能力≥95.23mpps 转发延迟≤1us 表项≥32K 可靠性: 实配冗余电源和风扇, 可热插拔 支持交换机堆叠,专用堆叠端口,不占用交换机正常端口 堆叠数量≥8台 堆叠带宽≥160G 功能协议: 支持BGP、OSPF、ISIS、RIP,路由表≥14K支持PBR策略路由 所有物理端口必须支持直接配置为三层路由端口,配置IP地址,以减少故障收敛时间 支持ECMP≥64 支持IPV6 支持HSRP或VRRP 安全性: 支持硬件ACL,进方向表项≥1.6k,出方向表项≥1.6k 支持输入输出方向ACL 支持VLAN的VACL,端口的PACL,RACL 支持PVLAN 支持MACSEC 支持端口限速功能 管理性: 支持SNMP v1、v2和v3, 支持CLI 支持1个带外管理端口 支持SPAN和ERSPAN 支持基于端口、VLAN的流量镜像; 支持跨板卡的流量镜像; |
思科 C9200-24T-E 华为 S5720-36C-EI-AC 华3 5560X-30C-EI |
交换机2台 (防火墙汇聚交换机/外网服务防火墙接入分流) | ||
交换机1台 (边界网络设备/ 运营商接入) | 性能和扩展性: 外观≤1 RU 最大支持1G/10G/25G光口≥48,40G光口≥6,100G光口≥6 交换容量≥3.6Tbps 转发能力≥2.6bpps 转发延迟≤1us 表项MAC≥92K;最大256k 单台设备共享buffer结构,buffer≥37MB 可靠性: 实配冗余电源和风扇, 可热插拔 支持跨机箱的下连链路的端口捆绑, 跨机箱的捆绑协议须兼容标准的IEEE 802.3ad Port Group数≥512 单个EthernetChannel 支持最大成员端口数≥32 功能协议: 支持BGP、OSPF、ISIS、RIP,路由表≥786K 最大896K 支持PBR策略路由 所有物理端口必须支持直接配置为三层路由端口,配置IP地址 支持ECMP≥64 支持Segment Routing 支持硬件GRE隧道功能 支持BGP, ISIS,OSPFv3 支持HSRPv6或VRRPv3 支持HSRP或VRRP 支持BFD (支持BGP,ISIS,OSPF,RIP,VRRP,PIM等) 安全性: 支持硬件ACL;ACL进方向表项≥8k; ACL出方向表项≥4k 支持输入输出方向ACL 支持VLAN的VACL,端口的PACL,RACL 支持PVLAN 支持端口限速功能 虚拟化能力: 支持二层多路径L2MP或者VXLAN,能取代Spanning Tree 生成树协议;(基于两个物理机箱的跨机箱链路捆绑,堆叠等技术属于STP协议延展,不符合上述要求) 虚拟路由和转发 (VRF)≥16000 管理性: 必须支持SNMP v1、v2和v3, 支持CLI,支持Netconf 支持带外管理端口 支持SPAN和ERSPAN,镜像会话数≥4 支持基于端口、VLAN的流量镜像 支持跨板卡的流量镜像 |
思科 N9K-C92160YC-X 华为 CE68855-48S6Q-HI 华3 LS-6800-54QF-H3 |
交换机1台 (接入交换机/ 服务器接入)
| ||
交换机2台 (外网服务区/ 服务器公网接入) | ||
交换机2台 (接入交换机/ 服务器接入) | 性能和扩展性 外观≤1 RU 最大支持端口1G RJ45电口≥48,10G光口≥4,25G光口≥4,40G光口≥2,100G光口≥2 交换容量≥696Gbps 转发能力≥250mpps 转发延迟≤1us 表项MAC≥92K; 最大512k 单台设备共享buffer结构,buffer≥37MB 可靠性 实配冗余电源和风扇, 可热插拔 支持跨机箱的下连链路的端口捆绑, 跨机箱的捆绑协议须兼容标准的IEEE 802.3ad, Port Group数≥512 单个EthernetChannel 支持最大成员端口数≥32; 功能协议 支持BGP、OSPF、ISIS、RIP,路由表≥786K 最大1.792M; 支持PBR策略路由; 所有物理端口必须支持直接配置为三层路由端口,配置IP地址 支持ECMP≥64; 支持Segment Routing 支持硬件GRE隧道功能; 支持BGP, ISIS,OSPFv3, 支持HSRPv6或VRRPv3 支持HSRP或VRRP 支持BFD(支持BGP,ISIS,OSPF,RIP,VRRP,PIM等) 安全性 支持硬件ACL;进方向表项≥5k;出方向表项≥2k 支持输入输出方向ACL 支持VLAN的VACL,端口的PACL,RACL; 支持PVLAN ; 支持MACSEC 支持端口限速功能; 虚拟化能力 支持二层多路径L2MP或者VXLAN,能取代Spanning Tree 生成树协议;(基于两个物理机箱的跨机箱链路捆绑,堆叠等技术属于STP协议延展,不符合上述要求) 虚拟路由和转发 (VRF)≥16000 管理性 必须支持SNMP v1、v2和v3, 支持CLI,支持Netconf 支持1个带外管理端口 支持SPAN和ERSPAN,镜像会话数≥4 支持基于端口、VLAN的流量镜像; 支持跨板卡的流量镜像; | 思科 N9K-C9348GC-FXP 华为 CE5855-48T4S2Q-EI 华3 S5820V2-54QS-GE |
交换机2台 (核心交换机/ 网络核心) | 性能和扩展性: 外观≤1 RU 最大支持端口1G/10G/25G光口≥48,40G光口≥6或100G光口≥4 交换容量≥3.2Tbps 支持硬件线速IPv4和IPv6转发 转发延迟≤2us 表项MAC≥96K 单台设备共享buffer结构,buffer≥20MB 可靠性: 实配冗余电源和风扇, 可热插拔 支持跨机箱的下连链路的端口捆绑, 跨机箱的捆绑协议须兼容标准的IEEE 802.3ad Port Group数≥500 单个EthernetChannel支持最大成员端口数≥32 功能协议: 支持BGP、OSPF、ISIS、RIP,host route shipping/ip prefix shipping/max96k/16k/256K 支持PBR策略路由 所有物理端口必须支持直接配置为三层路由端口,配置IP地址 支持ECMP≥64 支持硬件GRE隧道功能 支持BGP, ISIS,OSPFv3 支持HSRPv6或VRRPv3 支持HSRP或VRRP 支持BFD (支持BGP,ISIS,OSPF,RIP,VRRP,PIM等) 安全性: 支持硬件ACL;进方向表项≥7164,最大8k 出方向表项≥3580,最大4K 支持输入输出方向ACL,以便于灵活实现数据包过滤 支持VLAN的VACL,端口的PACL,RACL 支持PVLAN 支持端口限速功能 虚拟化能力: 支持二层多路径L2MP或者VXLAN,能取代Spanning Tree生成树协议;(基于两个物理机箱的跨机箱链路捆绑,堆叠等技术属于STP协议延展,不符合上述要求) 虚拟路由和转发 (VRF)≥1000 管理性: 必须支持SNMP v1、v2和v3, 支持CLI,支持Netconf 支持带外管理端口 支持SPAN和ERSPAN,镜像会话数≥4 支持基于端口、VLAN的流量镜像 支持跨板卡的流量镜像 | 思科 N9K-C93180YC-EX 华为 CE6865-48S8CQ-EI 华3 LS-6800-54HF |
交换机2台 (核心交换机/ 数据中心核心 | ||
防火墙2台 (互联区/ 出口访问控制) | 接口数量: 标配≥16个万兆SFP+接口插槽 ≥2个千兆RJ45管理接口,1个Console口,1个USB口 每个接口可划分到不同安全域实现各接口间的安全隔离,独立的管理接口,1个USB接口。 防火墙基础性能: 防火墙最大吞吐量≥80Gbps; 最大并发连接数≥5000万; 每秒新建连接 ≥40万; 防火墙策略条目数≥20万 防火墙NGFW性能/部署模式/NAT功能: 应用程序控制吞吐量≥40 Gbps 独立IPS吞吐量≥23 Gbps; NGFW混合流吞吐量≥22 Gbps; 持NAT和透明模式部署,在任何模式下都支持虚拟防火墙技术和各种HA功能。支持NAT和透明的混合部署模式。 支持多种NAT方式,包括静态NAT、动态NAT、Fullcone NAT、固定端口块NAT、动态端口块NAT(PBA)等。 网络适应性: 支持静态路由、等价路由、策略路由,以及BGP、RIPv1/v2、OSPF、ISIS等动态IPv4路由协议。 持NAT和透明模式部署,在任何模式下都支持虚拟防火墙技术和各种HA功能。支持NAT和透明的混合部署模式。 NAT功能支持多种NAT方式,包括静态NAT、动态NAT、Fullcone NAT、固定端口块NAT、动态端口块NAT(PBA)等。 防火墙: 支持基于IP/掩码、地址范围、FQDN设置地址簿。 支持抵御所列所有攻击类型,包括:DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood等,动作支持记录、阻断两种模式 支持入侵防御IPS功能,恶意软件防病毒功能,Web URL过滤功能,僵尸网络阻断功能。 支持防火墙策略命中数统计和策略的冗余性检查功能,便于管理员维护防火墙策略 IPS入侵防御: 可以保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、木马后门、暴力破解 具备10000种以上攻击特征库规则列表,至少支持基于协议类型、操作系统、攻击类型、流行程度、严重程度、特征ID等方式的查询 支持对SSL加密流量的内容检测和安全过滤,支持进出双向SSL/SSH流量证书替换安全扫描。 日志: 支持SYSLOG和WELF两种标准格式的日志。 支持用户(IP)综合安全评估功能,为每个IP进行威胁度打分并排名,实现量化管理。 支持查看当前网络会话状态,并能根据源、目标地址、端口、协议等进行查看过滤。支持会话排名查看功能。 支持IP地址地理信息(所在国家等)查询。 支持日志输出到外置服务器,支持Syslog等。 日志系统支持对日志的搜索、报表、分析等功能。 配置要求(按所投品牌提供对应产品): Check Point: CPAP-SG23900-NGTP *2 CPSB-IPS-X3L-2Y *2 CPCES-CO-STANDARD-ADD(3Y) *2 Fortinet FG-3000D *2 3年高级威胁防御服务 *2 Paloalto PAN-PA-5250-AC *2 PAN-PA-5250-TP-3YR-HA2 *2 PAN-SVC-BKLN-5250-3YR *2 Cisco FPR4140-NGFW-K9 *2 FPR4K-PWR-AC-1100 *2 CON-3SNT-FPR414GK *2 L-FPR4140T-TMC-3Y *2 特征库更新及原厂服务: 提供威胁防御协议特征库支持自动更新,并提供三年威胁防御特征库更新升级服务及三年原厂硬件保修服务,提供原厂工程师安全策略规划实施。 |
Gartner2018企业防火墙魔力象限第一象限
必需与服务器区防火墙异构 Palo Alto Networks PAN-PA-5250-AC FortiGate 3000D 思科 FPR4140-NGFW-K9 Checkpoint CPAP-SG23900-NGTP-SSD
|
防火墙2台 (服务器区/ 服务器访问控制) | 接口数量: 标配≥8个万兆SFP+接口插槽 ≥12个千兆RJ45管理接口,≥4个40G QSFP+接口,1个Console口,1个USB口 每个接口可划分到不同安全域实现各接口间的安全隔离,独立的管理接口,1个USB接口。 防火墙NGFW性能部署模式/NAT功能:: 应用识别处理性能≥8Gbps; 威胁防护性能(开启所有安全功能)≥4.5Gbps; 最大并发连接数≥300万; 每秒新建连接 ≥1.3万; NAT功能持NAT和透明模式部署,在任何模式下都支持虚拟防火墙技术和各种HA功能。支持NAT和透明的混合部署模式。 支持多种NAT方式,包括静态NAT、动态NAT、Fullcone NAT、固定端口块NAT、动态端口块NAT(PBA)等。 网络适应性: 支持静态路由、等价路由、策略路由,以及BGP、RIPv1/v2、OSPF、ISIS等动态IPv4路由协议。 持NAT和透明模式部署,在任何模式下都支持虚拟防火墙技术和各种HA功能。支持NAT和透明的混合部署模式。 NAT功能支持多种NAT方式,包括静态NAT、动态NAT、Fullcone NAT、固定端口块NAT、动态端口块NAT(PBA)等。 防火墙: 支持基于IP/掩码、地址范围、FQDN设置地址簿。 支持抵御所列所有攻击类型,包括:DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood等,动作支持记录、阻断两种模式 支持入侵防御IPS功能,恶意软件防病毒功能,僵尸网络阻断功能。 支持防火墙策略命中数统计和策略的冗余性检查功能,便于管理员维护防火墙策略 IPS入侵防御: 可以保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、木马后门、暴力破解 具备10000种以上攻击特征库规则列表,至少支持基于协议类型、操作系统、攻击类型、流行程度、严重程度、特征ID等方式的查询 支持对SSL加密流量的内容检测和安全过滤,支持进出双向SSL/SSH流量证书替换安全扫描。 日志: 支持SYSLOG和WELF两种标准格式的日志。 支持用户(IP)综合安全评估功能,为每个IP进行威胁度打分并排名,实现量化管理。 支持查看当前网络会话状态,并能根据源、目标地址、端口、协议等进行查看过滤。支持会话排名查看功能。 支持IP地址地理信息(所在国家等)查询。 支持日志输出到外置服务器,支持Syslog等。 日志系统支持对日志的搜索、报表、分析等功能。 配置要求: Check Point CPAP-SG23500-NGTP *2 CPSB-NGTP-23500-2Y *2 CPCES-CO-STANDARD-ADD(3Y) *2 CPSB-VS-10 *2 Fortinet FG-2500E*2 3年高级威胁防御服务 *2 Paloalto PAN-PA-3260 *2 PAN-PA-3260-TP-3YR-HA2 *2 PAN-SVC-BKLN-3260-3YR *2 PAN-PA-3260-VSYS-5 *2 Cisco FPR4110-NGFW-K9 *2 FPR4K-PWR-AC-1100 *2 CON-3SNT-FPR4110N *2 L-FPR4110T-TMC-3Y *2 SF-FMC-VMW-2-K9 *1 CON-ECMU-SFMMCVWK *1 特征库更新及原厂服务: 提供威胁防御协议特征库支持自动更新,并提供三年威胁防御特征库更新升级服务及三年原厂硬件保修服务,提供原厂工程师安全策略规划实施。 | Gartner2018企业防火墙魔力象限第一象限
可支持四组以上虚墙
必需与互联区防火墙异构
Palo Alto Networks PAN-PA-3260 FortiGate 2500E 思科 FPR4110-NGFW-K9 Checkpoint CPAP-SG23500-NGTP-SSD |
模块 153块 | 交换机模块: 40公里万兆光纤模块 *2 万兆多模光模块 *64 千兆多模光模块 *19 40G多模光模块 *32 千兆光转电模块 *12 互联网防火墙模块: 万兆多模光模块 *12 服务器区防火墙模块: 万兆多模光模块 *12 | 必须为原厂原装,序列号官网可查 远距离万兆光纤模块需与园区网镜湖思科设备所采用对应模块相匹配,并保证双方通讯质量 与所选用设备相同品牌,或与交换机相同品牌,且保证其在本次采购设备间的通用性及可靠性。 |
2.互联网拓扑图
拓扑图由招投标中心现场提供
附件3:03标镜湖校区园区网建设方案及方案清单、规格参数要求
一、园区网建设项目建设方案
招投标中心现场提供
二、方案清单及技术参数
1.方案清单
设备名称 | 设备型号 | 主要参数 | 数量 | 备注 |
DNA Center控制器和大数据分析平台 | DN2-HW-APL | 提供集中管理界面,实现规划、策略制定、自动化部署、运维可视功能。控制器提供大数据分析运维平台,支持通过深度学习、机器学习技术,可提供运维情境化的关联。支持集群功能。控制器硬件配置:2路Intel 6152 CPU,256G内存,12G Raid卡(2GB Cache)+2*480G SSD+8*1.9T SSD硬盘,双万兆光口网卡,2根万兆互联线缆(含光模块),冗余电源。 | 2 | SDA控制器 |
核心交换机 | C9500-48Y4C-A | 交换容量3.2Tbps,包转发率1000Mpps,48个10/25光口,4个100G光口,支持VXLAN,支持RIP、OSPF、IS-IS三层路由协议,冗余电源,冗余风扇 | 4 | |
互联交换机 | N9K-C92160YC-X-C | 交换容量3.2Tbps,包转发率2500Mpps ,48个10G/25G光口,6个40G光口或者4个100G光口,冗余电源,冗余风扇,支持跨机箱链路捆绑,支持硬件线速IPv4和IPv6转发,支持VXLAN,支持RIP、OSPF、IS-IS、BGP三层路由协议,支持虚拟路由转发(VRF)或VPN Instance。 | 2 | 连接SDA与外部网络 |
24口POE交换机 | C9200-24P-A | 交换容量128Gbps,包转发率95Mpps | 19 | |
24口POE交换机 | C9200-48P-A | 交换容量176Gbps,包转发率130Mpps | 14 | |
24口非POE交换机 | C9200-24T-A | 交换容量128Gbps,包转发率95Mpps | 26 | |
48口非POE交换机 | C9200-48T-A | 交换容量176Gbps,包转发率130Mpps | 20 | |
无线控制器 | AIR-CT5520-K9 | 最大可管理AP= 1500个,本次实配所含AP许可,最大并发客户端数量=20000,2*10G光纤端口,每台配置2根3米万兆互联线缆(含光模块),支持HA | 2 | |
面板式AP | AIR-AP1815W-H-K9 | IEEE802.11ac Wave2协议 2:2*2空间流,内置天线,面板式,含4个10/100/1000M端口,支持POE/POE+供电 | 456 | |
吸顶式AP | AIR-AP1815I-H-K9 | IEEE802.11ac Wave2协议 2:2*2空间流,内置天线,吸顶式,含1个千兆端口,支持POE/POE+供电 | 197 | |
高密度用户接入吸顶式AP | AIR-AP2802I-H-K9 | IEEE802.11ac Wave2协议 4:4*3空间流,内置天线,吸顶式,含2个千兆端口,支持双5G工作,最大连接速率2X2.6Gbps,支持POE+或自带外部电源供电 | 101 | |
ISE安全策略引擎 | R-ISE-VMM-K9 | 虚拟化部署,支持标准的RADIUS身份认证、授权与记帐(AAA)功能,支持与多种用户数据库源的集成,包括本地数据库、外部LDAP数据库、MS-AD,Radius服务器,令牌服务器,数字证书服务器等。能够支持基于规则的策略配置方式,能够基于用户的身份/组/设备类型/终端安全状态/接入方式/接入位置/接入时间等进行策略的配置,根据以上的条件,可以配置不同的访问权限 | 2 | SDA安全策略部署、准入 |
模块 | SFP-10G-LR-S= | 单模万兆光纤模块 | 316 | |
模块 | QSFP-100G-CU1M= | 1米100G互联光缆 | 4 | |
模块 | QSFP-100G-CU5M= | 5米100G互联光缆 | 6 | |
模块 | SFP-10G-SR-S= | 多模万兆光纤模块 | 4 | |
模块 | SFP-10G-ER-S= | 远距离万兆光纤模块 | 2 | |
3A身份认证系统 | 3A身份认证系统 | 虚拟化部署,支持标准的RADIUS身份认证、授权与记帐(AAA)功能,支持与多种用户数据库源的集成,包括本地数据库、外部LDAP数据库、MS-AD,Radius服务器等。支持无感知认证,支持对接短信网关,通过调用短信网关给用户下发短信,短信网关接口须支持Http(Get、POST)、数据库、移动MAS2.0、短信猫等但不限于以上接口类型;支持腾讯微信连WiFi 3.1 协议,且支持依据协议更新。支持与主流上网行为管理设备对接。 | 1 | 实现无感知、准入/准出结合 |
弱电工程 | 弱电工程 | 七类线施工(含材料和人工) | 250 | |
2. 主要设备技术参数要求
2.1DNA Center控制器和大数据分析平台
指标项 | 指标要求 |
硬件需求 | |
服务器硬件要求 | |
CPU | Intel 6152 CPU,整机Core数量≥44 |
内存 | 整机内存数量≥256G |
机器内置存储总容量 | ≥2*480G SSD+8*1.9T SSD硬盘 |
软件系统 | |
基于容器技术的软件架构 | 基于流行的容器系统架构,实现容器管理,自动部署及扩展 |
SDN控制器功能 | |
软件定义网络控制器平台 | 该系统必须为专用的软件定义网络SDN控制器,所有功能必须同时提供北向接口 |
管理设备数量 | 实配支持管理1000台有线网络设备和3000台无线AP,以及20000个客户端管理许可 |
支持管理的设备类 型 | 支持同品牌的路由器,交换机,无线控制器,无线访问点,工业级交换机的管理。支持本次投标中所有网络交换机、无线网络设备型号。 |
网络拓扑可视化 | 可自动探查网络设备,将其映射至包含详细设备级数据的物理拓扑,添加其自动可视化功能后,获得一个用于查看网络并进行故障排除的高度交互机制。 |
地理信息系统关联 | 可对网络设备进行分组,关联在地理信息系统界面上的物理位置,并支持建筑物逐层ACD图形倒入 |
非接触部署?xml:namespace>
| 当控制器的扫描器发现新网络设备后,会为其创建一个条目,并对其进行自动配置,消除人工干预 |
服务质量部署和变更管理 | 通过图形化界面,快速设置并实施QoS优先级策略,实现QoS调配自动化,有助于应用流量行为的一致性,确保其符合QoS服务级别协议。 |
批量设备配置处理 | 可同时支持通过图形化界面和北向接口定义配置模版,批量推送至具体网络设备 |
网络元素信息的关联 | 可同时支持通过图形化界面和北向接口,对网络元素信息进行关联性检索,例如:通过一次北向接口调用,即可检索出一个IP地址,所连接的网络设备的信息,如软件版本,序列号,连接端口和其它的运行状态等 |
北向接口类型 | 须支持Rest+Json的北向接口类型 |
北向接口功能 | 控制器必须提供上述所有功能的北向接口,用于客户自行定制运维管理平台。 |
南向接口类型 | 须支持通过SNMP/SSH/Netconf南向接口,用于与网络设备的交互 |
第三方设备支持 | 可以通过SDK开发,加入第三方网络设备支持 |
自定义程序 | 可在控制器原生界面中,开发第三方应用,嵌入控制器内部运行 |
网络大数据分析功能 | |
园区网大数据分析平台 | 对园区网所有设备,及服务的状态信息进行收集,关联分析,提供运行状态,以及网络故障分析报告,无需任何人工操作,自动展现现网运行故障,及解决建议 |
支持网络设备 | 支持交换机,路由器,无线网等园区网设备 |
容量 | 实配支持1000台网络设备和,以及20000个客户端数据收集及分析功能 |
设备状态收集方式 | 支持snmp/netflow/ssh/Syslog/Trap的方式从设备中获得的设备状态信息,以及由网络设备主动输出的Json格式的状态信息 |
具备相关网络服务状态收集 | 支持对DHCP服务器,AAA认证服务器等网络服务信息的收集 |
网络相关服务信息收集方式 | 通过Rest接口从相关服务器上获取服务状态信息 |
分析模版 | 内置网络状态信息的关联分析模版,对网络元素的信息进行关联性分析 |
分析模版的升级及定制 | 支持从云端自动下载及更新现有分析模块,同时可按需求定制个性化分析模版 |
分析结果的输出 | 分析平台支持北向Rest API接口输出分析结果,用于定制化展现 |
分析结果的展现 | 大数据分析平台内置图形化界面对分析结果进行图形化展现 |
设备健康状态信息呈现 | 在图形化界面上直接呈现全网健康信息分值,对异常状态设备进行告警 |
客户端健康状态信息呈现 | 在图形化界面上直接呈现所有客户端健康信息分值,对异常状态客户端进行告警 |
应用健康状态信息呈现 | 在图形化界面上直接呈现所有应用健康信息分值,对异常状态应用进行告警 |
亟待解决问题提示 | 在图形化界面上直接呈现亟待解决的故障,并依据故障的印象范围,进行排序 |
故障解决方法建议 | 在图形化界面上直接具体故障的解决方法,提供解决步骤流程建议,并可在在排障步骤的图形化界面中运行排障相关的命令行命令 |
故障流量模型 | 可对故障客户端或事故障应用进行流量分析,图形化界面呈现数据流所流经的每一跳设备,依靠图形化节目帮助运维人员直观的定位导致故障发生的设备节点 |
网络运行状态预测 | 依据现有的网络运行模型,进行趋势预测,提供运行风险的结论性报告,并通过图形化界面展现 |
支持第三方设备 | 平台可以支持第三方设备的信息的收集和统一分析 |
2.2核心交换机
指标项 | 指标要求 |
基本特性 | |
端口 | 48个10G/25G SFP+接口+4个100G光口 |
CPU | X86 CPU处理单元,支持运行第三方应用程序 |
交换容量 | ≥3.2Tbps |
包转发率 | ≥1 Bpps |
MAC表容量 | ≥82K |
路由表容量 | ≥82K |
内置SSD存储介质插槽,用于运行和存储第三方程序 | 内置一个SSD存储介质插槽 |
电源 | 实配双交流电源模块 |
L3特性支持 | |
静态路由 | 支持 |
RIP | 支持 |
IGRP | 支持 |
EIGRP | 支持 |
OSPF | 支持 |
ISIS | 支持 |
PBR | 支持 |
DHCP Server功能 | 支持 |
冗余路由协议支持 | |
HSRP | 支持 |
VRRP | 支持 |
IPv6支持 | |
硬件支持IPv6 | 支持 |
组播支持 | |
IGMP | 支持 |
IPV6 MLD二层组播 | 支持 |
以太网特性支持 | |
VLAN功能,VLAN数量不少于4096个 | 支持 |
MSTP、PVST、PVST+、802.1D协议 | 支持 |
802.1s MST协议或VLAN间负载均衡技术 | 支持 |
快速生成树协议-802.1w | 支持 |
BPDU保护功能,保证STP稳定性 | 支持 |
UDLD-单向链路检测协议 | 支持 |
802.lAB链接层发现协议(Link Layer Discovery Protocol),或CDP协议 | 支持 |
安全特性 | |
端口安全、绑定MAC | 支持 |
DHCP监听、防DHCP攻击 | 支持 |
IEEE 802.1AE(MACsec),支持256位加密 | 支持 |
支持对加密流量深度分析统计 | 支持 |
动态ARP检测、IP源检测,防止地址欺骗 | 支持 |
硬件提供基于地址和端口的地址转换功能(NAT和PAT) | 支持 |
802.1x,基于用户动态VLAN划分 | 支持 |
基于用户的ACL | 支持 |
VRF-Lite或者MCE等类似安全隔离功能 | 支持 |
MPLS PE功能 | 支持 |
Routed ACL,VLAN ACL、Port ACL | 支持 |
ACL条目数 | ≥18K |
PVLAN | 支持 |
端口组播和广播抑制 | 支持 |
Dhcp snoop | 支持 |
IP source guard等功能 | 支持 |
PVLAN | 支持 |
网管能力 | |
所有端口提供Netflow/Sflow功能,采样比不低于2:1 | 支持 |
Telnet,Web,SSh管理能力 | 支持 |
SNMP V1/V2/V3,网络中对其它交换机同步软件升级功能,命令行,图形化管理 | 支持 |
端口镜像和远程端口镜像 | 支持 |
Radius认证 | 支持 |
智能管理功能 | |
设备定期将状态信息通过XML格式输出,输出频率不低于10秒/次,配合大数据分析平台对整网状态进行分析 | 支持 |
支持流量7层分析,可以通过交换机内置管理界面监控流经设备的7层应用信息 | 支持 |
SDN支持 | |
支持VXLAN以及VXLAN 3层网关功能 | 支持 |
支持Netconf北向接口 | 支持 |
内置python解释器,可以运行python程序 | 支持 |
支持容器技术,可在交换机内部运行采用容器封装第三方应用程序 | 支持 |
2.3互联交换机
指标项 | 指标要求 |
性能和扩展性 | |
外观 | ≤1 RU |
整机最大支持端口密度 | 1G/10G/25G光口≥48 |
40G光口≥6或者100G光口≥4 | |
整机交换容量 | ≥3.2Tbps |
转发能力 | 支持硬件线速IPv4和IPv6转发 |
转发延迟 | ≤2us |
表项 | MAC≥96K; |
单台设备共享buffer结构,buffer≥20MB | |
可靠性 | |
电源风扇冗余 | 实配冗余电源和风扇, 可热插拔 |
下连链路端口捆绑 | 支持跨机箱的下连链路的端口捆绑, 跨机箱的捆绑协议须兼容标准的IEEE 802.3ad, |
整机Port Group数≥500 | |
单个EthernetChannel 支持最大成员端口数≥32; | |
软件升级高可靠性 | 硬件支持不间断软件升级 |
模块化软件 | 必须支持模块化软件,即业务特性可根据命令控制来决定是否装入内存-RAM 运行 (如BGP,OSPF 等) |
功能协议 | |
路由 | 支持BGP、OSPF、ISIS、RIP,路由表≥130K ; |
支持PBR策略路由; | |
所有物理端口必须支持直接配置为三层路由端口,配置IP地址,以减少故障收敛时间; | |
支持ECMP≥64; | |
支持硬件GRE隧道功能; | |
IPv6 | 支持BGP, ISIS,OSPFv3, |
支持HSRPv6或VRRPv3 | |
可靠性协议 | 支持HSRP或VRRP、支持BFD (支持BGP,ISIS,OSPF,RIP,VRRP,PIM等) |
组播路由协议 | 支持IGMPv1、v2 和 v3; |
支持IGMP 监听; | |
支持独立组播协议 (PIM) 稀疏模式 (PIM-SM) 和任意源组播 (ASM); | |
支持任播路由协议(Anycast RP); | |
支持组播源发现协议 (MSDP) | |
安全性 | |
安全 | 支持硬件ACL;ACL表项≥5K |
支持输入输出方向ACL,以便于灵活实现数据包过滤; | |
支持VLAN的VACL,端口的PACL,RACL; | |
支持PVLAN ; | |
支持端口限速功能; | |
虚拟化能力 | |
增强二层 | 支持二层多路径L2MP或者VXLAN,能取代Spanning Tree 生成树协议;(基于两个物理机箱的跨机箱链路捆绑,堆叠等技术属于STP协议延展,不符合上述要求) |
虚拟化支持 | 交换机需支持VXLAN Gateway, VXLAN Bridging和VXLAN Routing功能 |
虚拟化感知 | 支持感知虚机的信息,如虚机vMotion, Port Group等,实现交换机对虚拟化设施的可视性 |
虚拟路由和转发 (VRF) | ≥1000 |
管理性 | |
网管 | 必须支持SNMP v1、v2和v3, 支持CLI,支持Netconf |
支持1个带外管理端口 | |
镜像 | 支持SPAN和ERSPAN,镜像会话数≥4 |
支持基于端口、VLAN的流量镜像; | |
支持跨板卡的流量镜像; | |
可扩展性和可编程性 | 支持Linux 工具:Bash 外壳接入、Broadcom 外壳接入、Python 外壳; |
操作系统开放API接口; | |
支持可扩展消息传送和网真协议 (XMPP) 客户端 | |
监控功能 | 支持厂商提供的在线诊断功能,能够完成设备完整的、绕行、按需及运行状况检查; |
支持板载故障记录; |
2.424口POE交换机
指标项 | 指标要求 |
基本特性 | |
端口 | 10/100/1000M以太网端口24个+4口万兆以太网SFP+光口 |
交换容量 | ≥128 Gbps |
包转发率 | ≥95 Mpps |
MAC表容量 | ≥32K |
路由表容量 | ≥14K |
堆叠能力 | 支持交换机堆叠 |
堆叠数量≥8台 | |
支持专用堆叠端口,堆叠不占用交换机正常端口 | |
堆叠带宽≥160G | |
POE供电能力 | 所有电口支持802.3AT 30W供电能力,实配PoE供电能力≥370W,可扩容 |
电源 | 支持双电源 |
风扇 | 可热插拔双风扇模块 |
L3特性支持 | |
静态路由 | 支持 |
RIP | 支持 |
IGRP | 支持 |
EIGRP | 支持 |
OSPF | 支持 |
ISIS | 支持 |
PBR | 支持 |
DHCP Server功能 | 支持 |
IPv6支持 | |
硬件支持IPv6 | 支持 |
组播支持 | |
IGMP | 支持 |
PIM | 支持 |
安全特性 | |
端口安全、绑定MAC | 支持 |
DHCP监听、防DHCP攻击 | 支持 |
IEEE 802.1AE(MACsec),支持128位加密 | 支持 |
动态ARP检测、IP源检测,防止地址欺骗 | 支持 |
802.1x,基于用户动态VLAN划分 | 支持 |
基于用户的ACL | 支持 |
VRF-Lite或者MCE等类似安全隔离功能 | 支持 |
Routed ACL,VLAN ACL、Port ACL | 支持 |
ACL条目数 | ≥1.6K |
PVLAN | 支持 |
端口组播和广播抑制 | 支持 |
Dhcp snoop | 支持 |
IP source guard等功能 | 支持 |
PVLAN | 支持 |
网管能力 | |
所有端口提供Netflow/Sflow功能,采样比不低于2:1 | 支持 |
Telnet,Web,SSh管理能力 | 支持 |
SNMP V1/V2/V3,网络中对其它交换机同步软件升级功能,命令行,图形化管理 | 支持 |
端口镜像和远程端口镜像 | 支持 |
Radius认证 | 支持 |
智能管理功能 | |
设备定期将状态信息通过XML格式输出,输出频率不低于10秒/次,配合大数据分析平台对整网状态进行分析 | 支持 |
支持流量7层分析,可以通过交换机内置管理界面监控流经设备的7层应用信息 | 支持 |
SDN支持 | |
支持VXLAN以及VXLAN 3层网关功能 | 支持 |
支持Netconf北向接口 | 支持 |
内置python解释器,可以运行python程序 | 支持 |
2.548口POE交换机
指标项 | 指标要求 |
基本特性 | |
端口 | 10/100/1000M以太网端口48个+4口万兆以太网SFP+光口 |
交换容量 | ≥176 Gbps |
包转发率 | ≥130 Mpps |
MAC表容量 | ≥32K |
路由表容量 | ≥14K |
堆叠能力 | 支持交换机堆叠 |
堆叠数量≥8台 | |
支持专用堆叠端口,堆叠不占用交换机正常端口 | |
堆叠带宽≥160G | |
POE供电能力 | 所有电口支持802.3AT 30W供电能力,实配PoE供电能力≥740W,可扩容 |
电源 | 支持双电源 |
风扇 | 可热插拔双风扇模块 |
L3特性支持 | |
静态路由 | 支持 |
RIP | 支持 |
IGRP | 支持 |
EIGRP | 支持 |
OSPF | 支持 |
ISIS | 支持 |
PBR | 支持 |
DHCP Server功能 | 支持 |
IPv6支持 | |
硬件支持IPv6 | 支持 |
组播支持 | |
IGMP | 支持 |
PIM | 支持 |
安全特性 | |
端口安全、绑定MAC | 支持 |
DHCP监听、防DHCP攻击 | 支持 |
IEEE 802.1AE(MACsec),支持128位加密 | 支持 |
动态ARP检测、IP源检测,防止地址欺骗 | 支持 |
802.1x,基于用户动态VLAN划分 | 支持 |
基于用户的ACL | 支持 |
VRF-Lite或者MCE等类似安全隔离功能 | 支持 |
Routed ACL,VLAN ACL、Port ACL | 支持 |
ACL条目数 | ≥1.6K |
PVLAN | 支持 |
端口组播和广播抑制 | 支持 |
Dhcp snoop | 支持 |
IP source guard等功能 | 支持 |
PVLAN | 支持 |
网管能力 | |
所有端口提供Netflow/Sflow功能,采样比不低于2:1 | 支持 |
Telnet,Web,SSh管理能力 | 支持 |
SNMP V1/V2/V3,网络中对其它交换机同步软件升级功能,命令行,图形化管理 | 支持 |
端口镜像和远程端口镜像 | 支持 |
Radius认证 | 支持 |
智能管理功能 | |
设备定期将状态信息通过XML格式输出,输出频率不低于10秒/次,配合大数据分析平台对整网状态进行分析 | 支持 |
支持流量7层分析,可以通过交换机内置管理界面监控流经设备的7层应用信息 | 支持 |
SDN支持 | |
支持VXLAN以及VXLAN 3层网关功能 | 支持 |
支持Netconf北向接口 | 支持 |
内置python解释器,可以运行python程序 | 支持 |
2.624口非POE交换机
指标项 | 指标要求 |
基本特性 | |
端口 | 10/100/1000M以太网端口24个+4口万兆以太网SFP+光口 |
交换容量 | ≥128 Gbps |
包转发率 | ≥95 Mpps |
MAC表容量 | ≥32K |
路由表容量 | ≥14K |
堆叠能力 | 支持交换机堆叠 |
堆叠数量≥8台 | |
支持专用堆叠端口,堆叠不占用交换机正常端口 | |
堆叠带宽≥160G | |
电源 | 支持双电源 |
风扇 | 可热插拔双风扇模块 |
L3特性支持 | |
静态路由 | 支持 |
RIP | 支持 |
IGRP | 支持 |
EIGRP | 支持 |
OSPF | 支持 |
ISIS | 支持 |
PBR | 支持 |
DHCP Server功能 | 支持 |
IPv6支持 | |
硬件支持IPv6 | 支持 |
组播支持 | |
IGMP | 支持 |
PIM | 支持 |
安全特性 | |
端口安全、绑定MAC | 支持 |
DHCP监听、防DHCP攻击 | 支持 |
IEEE 802.1AE(MACsec),支持128位加密 | 支持 |
动态ARP检测、IP源检测,防止地址欺骗 | 支持 |
802.1x,基于用户动态VLAN划分 | 支持 |
基于用户的ACL | 支持 |
VRF-Lite或者MCE等类似安全隔离功能 | 支持 |
Routed ACL,VLAN ACL、Port ACL | 支持 |
ACL条目数 | ≥1.6K |
PVLAN | 支持 |
端口组播和广播抑制 | 支持 |
Dhcp snoop | 支持 |
IP source guard等功能 | 支持 |
PVLAN | 支持 |
网管能力 | |
所有端口提供Netflow/Sflow功能,采样比不低于2:1 | 支持 |
Telnet,Web,SSh管理能力 | 支持 |
SNMP V1/V2/V3,网络中对其它交换机同步软件升级功能,命令行,图形化管理 | 支持 |
端口镜像和远程端口镜像 | 支持 |
Radius认证 | 支持 |
智能管理功能 | |
设备定期将状态信息通过XML格式输出,输出频率不低于10秒/次,配合大数据分析平台对整网状态进行分析 | 支持 |
支持流量7层分析,可以通过交换机内置管理界面监控流经设备的7层应用信息 | 支持 |
SDN支持 | |
支持VXLAN以及VXLAN 3层网关功能 | 支持 |
支持Netconf北向接口 | 支持 |
内置python解释器,可以运行python程序 | 支持 |
2.748口非POE交换机
指标项 | 指标要求 |
基本特性 | |
端口 | 10/100/1000M以太网端口48个+4口万兆以太网SFP+光口 |
交换容量 | ≥176 Gbps |
包转发率 | ≥130 Mpps |
MAC表容量 | ≥32K |
路由表容量 | ≥14K |
堆叠能力 | 支持交换机堆叠 |
堆叠数量≥8台 | |
支持专用堆叠端口,堆叠不占用交换机正常端口 | |
堆叠带宽≥160G | |
电源 | 支持双电源 |
风扇 | 可热插拔双风扇模块 |
L3特性支持 | |
静态路由 | 支持 |
RIP | 支持 |
IGRP | 支持 |
EIGRP | 支持 |
OSPF | 支持 |
ISIS | 支持 |
PBR | 支持 |
DHCP Server功能 | 支持 |
IPv6支持 | |
硬件支持IPv6 | 支持 |
组播支持 | |
IGMP | 支持 |
PIM | 支持 |
安全特性 | |
端口安全、绑定MAC | 支持 |
DHCP监听、防DHCP攻击 | 支持 |
IEEE 802.1AE(MACsec),支持128位加密 | 支持 |
动态ARP检测、IP源检测,防止地址欺骗 | 支持 |
802.1x,基于用户动态VLAN划分 | 支持 |
基于用户的ACL | 支持 |
VRF-Lite或者MCE等类似安全隔离功能 | 支持 |
Routed ACL,VLAN ACL、Port ACL | 支持 |
ACL条目数 | ≥1.6K |
PVLAN | 支持 |
端口组播和广播抑制 | 支持 |
Dhcp snoop | 支持 |
IP source guard等功能 | 支持 |
PVLAN | 支持 |
网管能力 | |
所有端口提供Netflow/Sflow功能,采样比不低于2:1 | 支持 |
Telnet,Web,SSh管理能力 | 支持 |
SNMP V1/V2/V3,网络中对其它交换机同步软件升级功能,命令行,图形化管理 | 支持 |
端口镜像和远程端口镜像 | 支持 |
Radius认证 | 支持 |
智能管理功能 | |
设备定期将状态信息通过XML格式输出,输出频率不低于10秒/次,配合大数据分析平台对整网状态进行分析 | 支持 |
支持流量7层分析,可以通过交换机内置管理界面监控流经设备的7层应用信息 | 支持 |
SDN支持 | |
支持VXLAN以及VXLAN 3层网关功能 | 支持 |
支持Netconf北向接口 | 支持 |
内置python解释器,可以运行python程序 | 支持 |
2.8 无线控制器
指标 | 指标项 | 指标要求 |
硬件及接入能力 | 最大接入AP数量 | 可通过软件方式升级,最小升级步长1个AP,最大可支持不低于1500个AP。配置本次所有AP管理许可 |
接口类型 | 支持≥2个万兆接口,配置相应光模块和线缆 | |
物理高度 | 1U | |
电源 | 实配冗余电源 | |
吞吐量 | ≥20Gbps | |
隧道加密能力 | 必须支持所有AP到控制器的控制信令及用户数据全部以AES-CCM的方式加密传输至控制器,并且加密后控制器转发能力不受影响 | |
扩展性 | 支持控制器堆叠,支持1:N冗余方式(N≥2) | |
最大用户数 | ≥20000 | |
最大用户数并发 | ≥20000 | |
SSID支持 | ≥512 SSID | |
功能 | 支持标准 | 支持802.11n 、802.11b、802.11g、802.11a、802.11ac、802.1q、802.1x、802.3z、802.3ab、802.3d、802.11e |
支持瘦AP标准IETF 5415 CAPWAP协议 | ||
用户认证 | 支持802.1x/EAP认证,支持EAP-TLS、EAP-PEAP、EAP-TTLS | |
支持WEB认证,并且可以自动推送页面 | ||
无线资源管理 | 支持自动无线资源管理功能,根据无线网络实际情况自动调节无线网络射频参数,如信道和发射功率等,下发至AP生效,并不影响AP正常接入性能 | |
动态带宽选择
| 可以根据现场无线频谱情况,自动为无线接入点(AP)分配20MHz、40MHz 或80MHz的信道宽度配置选项,可以根据变化的射频条件为网络提供更细粒度的方式来调整性能。 | |
空口介质公平性 | 可以根据SSID和用户来分配AP空口介质使用时间,合理利用空口资源,如员工和访客分别分配不同的AP空口介质使用时间 | |
IPv6支持 | 支持IPv4、IPv6 | |
VLAN 组功能 | 支持在同一个SSID下,不需要任何额外认证设备配合,就可以实现一个SSID对应一个VLAN组,一个VLAN组具有≥32个VLAN,控制器可以自动将接入该SSID的无线接入用户分配到该组中的不同VLAN中。 | |
支持MAC地址和Portal认证的灵活结合 | 支持MAC地址白名单,当用户的MAC地址在名单里时,直接允许用户接入,不进入到Portal认证,如果用户的MAC地址不在白名单里,那么用户会进入到Portal认证界面。 | |
认证模式 | 支持LDAP通讯接口 | |
支持Radius通讯接口,支持标准Radius RFC协议,可以与第三方Radius互通 | ||
VLAN支持 | 支持≥4096个VLAN | |
VLAN和地理位置的绑定 | 在同一个SSID下,可以根据用户的物理位置不同为用户分配不同的VLAN,并且不需要特定的外置服务器就能实现 | |
组播 | 支持IGMP、IGMP Snooping | |
Qos控制 | 支持每用户的Qos控制,支持802.11e/WMM | |
应用可视性和控制 | 无线控制器支持应用可视性和控制功能,能够对无线网络内的各类应用进行识别和统计。 可以支持1000种以上不同的应用程序进行分类并采取控制。例如FTP、HTTP、BitTorrent、eDonkey、PP Stream等。 可以对无线网络内的各项应用程序进行统计和排名。并可以通过图形化的方式列出了排名前10位的应用程序以及分别在上行和下行方向排名前10位的应用程序。并且可以针对单独的SSID和单独用户进行应用程序统计,通过图形化的方式列出每个SSID和每个客户端排名前10位应用程序统计。 | |
HA高可用性 | 如果配置为1+1冗余,支持HA高可用性功能,当其中支持用户应用的快速恢复时间小于1s | |
终端设备识别 | 控制器支持对终端设备的识别,如iphone,ipad,android,windows,MAC OS等设备类型,并可以针对不同的设备设置不同的安全访问策略,VLAN,QoS等。 | |
DHCP | 支持DHCP Server | |
漫游 | 要求支持2、3层情况下,无线用户在数据不加密以及WPA/WPA2加密情况下可以无缝漫游 | |
Mesh功能 | 支持控制器下AP以Mesh的工作方式工作 | |
安全 | 频谱检测 | 可结合采用频谱分析功能的AP,实现对低层频谱的检测, ,可以分析报告出2.4G及5G频谱范围内的非WiFi设备干扰,可100%确定干扰源,包括2.4G跳频摄像头,无绳电话,蓝牙,微波炉,2.4G跳频基站或其他设备等 |
必须可以实现在提供用户接入的同时进行频谱分析功能 | ||
根据分析,可以给出简单明了的空口质量 trap信息,简化用户排查故障的时间 | ||
WIPs功能 | 自动发现接入到有线网络的AP,自动发现并围堵使用同一个SSID的AP | |
必须能够实现自动发现并围堵AdHoc Rouge AP | ||
必须能够实现根据RSSI信号强度定义非法AP | ||
必须支持以下Signatures攻击: Bcast deauth,NULL probe resp1/resp2, Assoc flood,Auth flood,Deauth flood, EAPOL flood | ||
非法AP控制 | 支持非法AP、非法客户端的发现、抑制功能;要求必须采用接入模式的AP做为非法AP的检测、抑制设备,无需另外添加专门AP做为AP检测设备 | |
支持在AP在正常工作模式下,进行rouge AP检测和抑制,不影响用户接入。 | ||
高级AAA功能 | 支持连接LDAP数据库,要求内置AAA功能 | |
动态VLAN | 支持基于用户的VLAN分配 | |
加密功能 | 支持WEP、WPA、WPA2、AES-CCM | |
语音 | 动态功率调整DTPC | 支持对于无线终端及语音终端进行动态功率调整 |
语音准入 | 支持基于语音流量的呼叫准入控制 | |
支持基于无线参数、干扰的语音呼叫准入控制 | ||
节电功能 | 支持U-APSD,自动节电模式,解决无线终端电池使用问题 | |
组播 视频 | | 控制器支持视频组播功能,可将视频组播流转发至AP,由AP进行视频组播至单播的转换,大大节省网络传输带宽,AP和控制器之间的带宽不随着AP下组播用户的增加而增加。要提供第三方机构测试结果。 支持基于组播视频的准入控制能力,在AP接入视频流能力不足的情况下,拒绝新组播用户加入 支持对组播流进行Qos优化,保证高清组播视频流的图像质量完全和通过有线网传输一致 |
控制 | 统一管理 | 支持统一控制器配置管理室内AP、室外AP及Mesh接入点的能力 |
网络管理 | 支持远程HTTP、HTTPS配置管理 | |
支持SNMPv1/v2/v3、Telnet、Console管理 | ||
零配置管理 | 室内AP、室外AP及Mesh设备完全零配置操作,完全由控制器进行统一配置 |
2.9面板式AP
指标 | 指标项 | 指标要求 | |
总体要求 | | 国际知名品牌,可支持瘦AP工作模式,支持802.11ac/11ac wave2协议 | |
网络接口 | | 支持≥4个10/1000/1000M以太口 | |
接入模式及协议要求 | | 必须支持802.11a/n/ac/ac wave2与802.11b/g/n同时工作 | |
必须支持在802.3af供电标准的基础上提供2*2:2的MIMO系统性能,5G工作频段下最大可以提供867Mbps连接 | |||
内置BLE 蓝牙模块 | |||
支持瘦AP标准IETF 5415 CAPWAP协议 | |||
环境要求 | | 工作温度:0-40度范围 工作湿度:10%-90% | |
外观和安装 | 外观要求 | 为了美观要求,采用浅色外壳;采用全内置天线,无外伸天线 | |
| 安装要求 | 方便安装,可支持挂壁式安装要求 | |
天线增益 | 内置2.4G及5G天线 | ||
软件定义网络特性 | 执行软件定义策略,用户流量在AP上直接进行VXLAN封装,不同的业务使用不同的隔离的虚拟网络。 | ||
无线网络性能保证 | 收集和发送AP的详细信息以及无线用户的详细健康数据,以提升无线用户体验 | ||
无线客户端Sensor功能 | 将AP的一个频段作为Sensor,作为一个实际的无线客户端进行无线网络关联,测试无线网络联通性以及在无线上承载的应用是否正常,包括无线关联是否成功,测试DNS解析是否正常,内外网是否联通,邮件服务使用、内网外网重要Web应用服务器以及文件服务器是否正常。 | ||
5G优先 | 为了更好的利用双频AP的5G频段资源,减少2.4G频段设备的干扰,AP应该可以自动的将支持双频的客户端引导到5G频段上。 | ||
电源 | 支持标准802.3af PoE供电方式及外部供电 | ||
多SSID支持 | 支持16个BSSID | ||
数据加密 | 支持AP做为AES-CCM加解密结点 | ||
核准 | | 必须持有国家无线电委员会入网核准证,并可通过国家无委会网站产品核准数据库内查询 | |
| | | |
2.10吸顶式AP
指标 | 指标项 | 指标要求 |
总体要求 | | 国际知名品牌,可支持瘦AP工作模式,支持802.11n/11ac Wave2协议,在11ac Wave2模式下支持867Mbps数据速率 |
接入模式及协议要求 | | 支持802.11a/n/ac与802.11b/g/n同时工作 |
支持802.3af/802.3at供电标准, | ||
5 GHz频段支持MIMO 2x2, 2空间流,支持多用户MU-MIMO | ||
支持瘦AP标准IETF 5415 CAPWAP协议 | ||
环境要求 | | 工作温度:0-40度范围 工作湿度:10%-90% |
外观和安装 | 外观要求 | 为了美观要求,采用浅色外壳;采用全内置天线,无外伸天线 |
| 安装要求 | 方便安装,可支持吸顶式或挂壁式安装要求 |
天线增益 | 内置2.4G及5G天线,天线增益 2.4G不小于2dBi,5G天线支持最不小于4dBi | |
软件定义网络特性 | 执行软件定义策略,用户流量在AP上直接进行VXLAN封装,不同的业务使用不同的隔离的虚拟网络。 | |
无线网络性能保证 | 收集和发送AP的详细信息以及无线用户的详细健康数据,以提升无线用户体验 | |
无线客户端Sensor功能 | 将AP的一个频段作为Sensor,作为一个实际的无线客户端进行无线网络关联,测试无线网络联通性以及在无线上承载的应用是否正常,包括无线关联是否成功,测试DNS解析是否正常,内外网是否联通,邮件服务使用、内网外网重要Web应用服务器以及文件服务器是否正常。 | |
组播视频转换功能 | 可通过AP实现由组播至可靠单播视频的转换,以保证组播视频流在空中接口的传输可靠性和有效性 AP支持高清视频可靠传播 控制器和AP之间的链路带宽利用率不会随着同一组播组客户端的增加而增加 | |
5G优先 | 为了更好的利用双频AP的5G频段资源,减少2.4G频段设备的干扰,AP应该可以自动的将支持双频的客户端引导到5G频段上。 | |
网络接口 | 1个千兆以太接口 | |
电源 | POE供电方式 | |
多SSID支持 | 支持16个BSSID | |
数据加密 | 支持AP做为AES-CCM加解密结点 | |
核准 | | 必须持有国家无线电委员会入网核准证,并可通过国家无委会网站产品核准数据库内查询 |
2.11高密度用户接入吸顶式AP
指标 | 指标项 | 指标要求 |
总体要求 | | 国际知名品牌,可支持瘦AP工作模式,支持802.11n/11ac/11ac wave2协议,在11ac wave2模式下支持160Mhz频宽,AP最高支持5Gbps数据速率 |
接入模式及协议要求 | | 支持802.11a/n/ac/ac wave2与802.11b/g/n同时工作 |
支持802.3at供电标准, | ||
支持MIMO 4x4, 3空间流,支持多用户MU-MIMO | ||
支持智能射频分配,如AP能够根据用户现场射频环境智能切换工作在2.4Ghz和5Ghz或是工作在双5Ghz模式 | ||
支持AP智能射频环境检测,可以将AP的一个射频工作调整为monitor监控模式,监控2.4Ghz和5Ghz频谱 | ||
支持瘦AP标准IETF 5415 CAPWAP协议 | ||
环境要求 | | 工作温度:0-40度范围 工作湿度:10%-90% |
外观和安装 | 外观要求 | 为了美观要求,采用浅色外壳;采用内置天线 |
| 安装要求 | 方便安装,可支持吸顶式或挂壁式安装要求 |
频谱分析功能 | 每个AP在做频谱分析的同时,都能够在2.4G和5G两个频段上同时提供无线用户接入和数据包转发。AP的频谱分析功能包括识别无线干扰类型、干扰的信号强度、干扰影响的无线信道、干扰占用无线信道的Duty Cycle。可通过干扰事件触发上层无线资源管理算法,通过评估信道空口质量,对信道进行合理调节, 结合系统其他网元实现对干扰源物理位置的定位,并且可以报告干扰源影响的物理范围 | |
软件定义网络特性 | 执行软件定义策略,用户流量在AP上直接进行VXLAN封装,不同的业务使用不同的隔离的虚拟网络。 | |
无线网络性能保证 | 收集和发送AP的详细信息以及无线用户的详细健康数据,以提升无线用户体验 | |
无线客户端Sensor功能 | AP可以作为一个实际的无线客户端进行无线网络关联,测试无线网络联通性以及在无线上承载的应用是否正常,包括无线关联是否成功,测试DNS解析是否正常,内外网是否联通,邮件服务使用、内网外网重要Web应用服务器以及文件服务器是否正常。 | |
控制器功能 | AP具备无线控制器功能,快速部署环境中,可以使用AP充当无线控制器管理其他AP | |
远程抓包 | 可直接将无线客户端的无线流量输出到运维平台,直观地看到无线客户端和AP交互报文 | |
5G优先 | 为了更好的利用双频AP的5G频段资源,减少2.4G频段设备的干扰,AP应该可以自动的将支持双频的客户端引导到5G频段上 | |
网络接口 | 2个千兆以太接口,支持LAG | |
控制接口 | 1个RJ-45控制台console接口 | |
电源 | 支持POE供电方式 | |
多SSID支持 | 支持16个BSSID | |
数据加密 | 支持AP做为AES-CCM加解密结点 | |
核准 | | 必须持有国家无线电委员会入网核准证,并可通过国家无委会网站产品核准数据库内查询 |
2.12ISE安全策略引擎
指标项 | 指标要求 |
整体描述 | 1.策略服务器支持标准的RADIUS身份认证、授权与记帐(AAA)功能; 2. 支持Web认证、MAC地址认证、802.1X认证方式. 3. 策略服务器能够支持与多种用户数据库源的集成,包括本地数据库、外部LDAP数据库、MS-AD,Radius服务器,令牌服务器,数字证书服务器等; 4. 支持与网络交换机、无线控制器和远程VPN接入平台的结合,实现全网统一的身份认证和统一的策略执行 5. 提供≥15000个并发用户许可 |
功能要求 | 1.策略服务器能够支持基于规则的策略配置方式,能够基于用户的身份/组/设备类型/接入方式/接入位置/接入时间等进行策略的配置,根据以上的条件,可以配置不同的访问权限。策略下发基于SGT标签 2.策略服务器能够实现网络设备类型识别功能,能够采用多种技术实现设备类型的设备,所能识别的类型至少包含但不限于IP电话机、无线AP、IP打印机、IP传真机、iPhone、iPAD等,并且能够根据设备到的不同设备类型,授权不同的访问权限; 3.设备识别库要求支持自动的更新。 4.策略服务器能够支持基于动态VLAN的访问授权访问控制技术,针对不同的授权条件为不同角色分配不同的VLAN |
接口与适配性 | 1.策略服务器能够支持与多种用户数据库源的集成,包括本地数据库、外部LDAP数据库、MS-AD,Radius服务器,令牌服务器,数字证书服务器等; 2.支持完整的访客API,支持访客账号创建,修改,查询,批复,删除等API,可实现与企业OA系统整合; 3.支持访客账号密码分发通过邮件及短消息完成,支持邮件系统接口,支持短消息网关接口; 4.支持完整的在线用户、终端状态创建、修改、查询、删除API,可灵活快捷获取在线的用户、终端的相关信息; 5.支持网络用户、终端安全信息共享,通过专业的API接口可实现用户、终端安全信息共享、采集等,实现全网的安全信息分享,安全策略联动等; |
管理与部署要求 | 1.策略服务器应支持基于WEB图形界面的集中配置和管理; 2.策略服务器应支持基于WEB图形界面的集中监控、报告与故障排除功能; 3.策略服务器可提供专用的硬件安装方式,也可提供基于虚拟机的安装方式介质; 4.支持冗余部署 |
平台选择 | 虚拟化2台高可用部署,单台资源环境(虚拟机资源由用户方提供): ≥12核 CPU(开启超线程);内存≥96G;硬盘≥1T;网卡≥6 GE vNICs。 |
2.13 3A身份认证系统
指标项 | 指标要求 |
功能 | 支持标准的RADIUS身份认证、授权与记帐(AAA)功能,支持与多种用户数据库源的集成,包括本地数据库、外部LDAP数据库、MS-AD,Radius服务器等。 支持无感知认证,支持对接短信网关,通过调用短信网关给用户下发短信,短信网关接口须支持Http(Get、POST)、数据库、移动MAS2.0、短信猫等但不限于以上接口类型; 性能要求满足至少20000人以上同时在线,具备系统高可用能力; 支持用户名密码认证(用户名密码可以创建,同时也支持AD或者LDAP同步帐号用户信息); 支持高可用HA部署模式; 支持与主流准出和上网行为管理设备对接。认证服务器支持将认证完成之后的用户名及用户组传递给行为管理做实名审计,实现准入准出一次认证 支持本次镜湖校区所有的有线无线设备和稽山校区无线设备 支持Eduroam |
平台选择 | 虚拟化2套高可用冗余部署,单台资源环境(虚拟机资源由用户方提供): 操作系统:Ubuntu 14.04或以上、RHEL6/CentOS6. 5或以上; CPU核数:≥16核CPU 2.0G以上 内存:≥64G以上 磁盘:≥SSD 1T |