大成实验学校网络改造工程.docx
《大成实验学校网络改造工程.docx》由会员分享,可在线阅读,更多相关《大成实验学校网络改造工程.docx(53页珍藏版)》请在冰点文库上搜索。
大成实验学校网络改造工程
大成实验学校网络改造工程
————————————————————————————————作者:
————————————————————————————————日期:
(编号:
XCJYF-2014-035)标项一:
杭州市下城区大成实验学校网络改造工程项目概况
一、综合布线系统技术要求
1、综合布线系统
1)、总体要求
学校综合布线系统是为学校数据、语音应用提供传输基础。
综合布线系统共分为五个部分:
工作区、水平线缆、配线间、垂直干线和中心设备间。
系统各个部分组成一个模块化、系统化灵活性极高的综合布线系统,能够连接及支持语音、数据及图像信息。
本布线系统采用六类布线系统。
系统各个部分的详细要求如下。
1、工作区子系统
本工程所有终端信息插座均采用六类RJ45插口模块,并采用相应预埋盒及墙型面板,未特别标注的场合安装高度底距地0.3m。
2、水平线缆
水平配线子系统电缆采用六类4对UTP对绞线,沿垂直桥架,水平金属桥架及金属管/钢管敷设,施工时双绞线敷设在终端信息点侧预留20cm,在井道内预留长度可到达机柜顶部/底部(由进线方式而定),整个水平链路长度不超过90m。
3、配线间
本工程根据具体情况设置管理间具体情况参考图纸及现场情况。
分别在其内设置19"标准机柜,内设有光纤配线架,铜缆配线架,接入层网络交换机等设备。
管理间布置请参考图纸及现场情况
端接水平线缆的配线架采用模块式配线架。
在配线架上通过跳线可实现计算机信息点和电话信息点的互换。
端接语音主干采用机架式语音配线架。
各种配线架应考虑配合数据、语音跳线而设置的理线架。
4、垂直干线
数据垂直干线采用室内万兆6芯多模光缆,语音垂直干线采用3类50对非屏蔽大对数铜缆,垂直干线沿地下室员工通道及各区域弱电井敷设;施工时,垂直干线引入机柜后还预留2m。
5、中心设备间
设备间位于,内有端接数据、语音主干的光纤配线架、语音主干配线架。
6、跳线
所有连接有源设备与端口插座的设备线不应超过2m。
数据跳线选用两端RJ45接口,用于连接网络设备和配线架,要与六类线相匹配,并能符合ANSI/TIA/EIA—568和ISO/IEC11801的要求。
管理间跳线:
六类数据跳线统一采用2米跳线。
数量按照所需数据点进行满配。
语音跳线选用1对式—RJ45型的,一对,长度为2米,满配。
光纤跳线需采用FC-XX型,XX端由选择的交换机光接口而定。
附设备清单
序号
产品名称
参数要求
单位
数量
1
室外多模光缆
室外4芯千兆多模铠装光缆,62.5/125
米
300
2
终端盒
8口桌面型终端盒
个
2
3
光缆配件
法兰、尾纤、熔接等
套
1
4
多模光纤跳线
千兆多模3米光纤跳线
对
2
5
机柜1
600*1000*2000前后网孔门机柜,标配含PDU电源
个
2
6
机柜2
600*800*1200网络机柜,标配含PDU电源
1
7
墙柜
9U网络墙柜
个
1
8
网线
六类非屏蔽双绞线,23AWG,十字隔离线芯设计。
须通过中国权威测试机构或国际第三方权威机构(如:
ETL、DELTA、UL等等)测试认证满足YD/T926.3-2001指标要求,并出具该机构发出的认证证明。
NVP=70%
箱
147
9
配线架
六类24口机架式网络配线架,模块可拆卸,后带理线托盘
个
21
10
理线器
1U机架式12口硅脂盖板
个
41
11
网络模块
六类非屏蔽信息模块,250MHz传输带宽,阻燃级别符合UL94V-0等级,后带PVC保护盖。
个
380
12
单口面板
标准86型直插式面板,自带防尘盖,阻燃级别符合UL94V-0等级。
个
100
13
双口面板
标准86型直插式面板,自带防尘盖,阻燃级别符合UL94V-0等级。
个
140
14
加深明盒
86S40H加深明盒
个
250
15
水晶头
六类RJ45水晶头,二件套组合装
盒
1
16
设备级联跳线
六类2米机制成品跳线,与网线同品牌
根
380
17
用户跳线
六类3米机制成品跳线,与网线同品牌
根
100
18
线管
PVC线管、线槽
米
2000
19
工程辅材
工程所必需管卡、接头、螺丝、电源等满足用户应用的辅助材料。
项
1
20
设备间整理
整理设备间机柜内原有线路,要求整洁、美观、标记清晰。
间
3
21
系统集成费
项
1
注:
布线产品需出具由原厂商提供的15年质保证明。
2、计算机网络系统
总体要求
学校计算机网络系统服务于学校教学、科研、管理,为各种应用提供通信基础。
1)网络结构:
整个网络按核心层、接入层二层结构设计。
2)主要技术要求:
a.核心层链路带宽不低于万兆一定的带宽扩展能力。
b.带宽管理支持公平算法、自动拥塞避免技术、负载均衡技术。
c.支持全网组播功能。
d.网内各节点要求互联互通,可以实现访问控制等要求。
2)详细技术要求
本工程计算机网业务均为基于IP的应用,核心层交换技术选择为IP交换技术,本网络是一个可以提供多种应用的宽带数据通信网络系统。
本网络为二层结构,即:
核心层、接入层。
分别要求如下:
附设备清单
1、网络设备清单
序号
名称
规格
单位
数量
1
防火墙
具备SSLVPN功能、防火墙功能、入侵防御(IPS)功能、防病毒(AV)功能、带宽(流量)管理功能、应用识别管理功能的纯硬件网络防火墙;提供≥5个千兆电口以及4个千兆COMBO口,1个配置口
详见详细招标参数要求;
台
1
2
行为管理
固化≥4个千兆电口, 吞吐量≥200Mbps,并发会话数≥300,000;要求设备必须能识别并封堵含有恶意插件、恶意脚本、挂载木马等的网络访问行为;可记录QQ、MSN传文件动作,并可指定记录传文件类型和文件长度;支持微博的审计等
详见详细招标参数要求;
台
1
3
核心交换机
业务槽位数≥3;
整机交换容量≥960Gbps;整机包转发能力≥700Mpbs;
主控引擎、电源、接口模块等关键部件可热插拔,引擎、电源实配冗余,支持虚拟化、支持多业务插卡扩展;
详见详细招标参数要求;
台
1
4
8口千兆POE交换机
整机交换容量≥250Gbps;
包转发率≥15Mpps;
≥8个10/100/1000M电口,≥2个千兆光口,所有电口均支持POE+功能
详见详细招标参数要求;
台
3
5
24口万兆PoE交换机
交换容量≥250G,转发性能≥95Mbps;千兆电口≥24,万兆光口≥4个;所有万兆光口兼容千兆光模块、所有千兆电口支持标准PoE功能,PoE对外供电功率≥360W;提供信息产业部入网证。
详见详细招标参数要求;
台
3
6
48口万兆接入交换机
交换容量≥250Gbps;转发性能≥130Mpps;千兆电口≥48个,万兆光口≥4个,所有万兆光口兼容千兆光模块;
提供信息产业部入网证。
详见详细招标参数要求;
台
6
7
24口万兆交换机
交换容量≥250Gbps;转发性能≥95Mpps;千兆电口≥24个,万兆光口≥4个,所有万兆光口兼容千兆光模块;
提供信息产业部入网证。
详见详细招标参数要求;
台
2
8
无线控制器
配置内置可插拔交流电源模块2块;
配置千兆电口≥4个,千兆光口≥4个(可为复用接口);
最多可管理128个AP,本次配置≥96台AP管理授权许可;
详见详细招标参数要求;
台
1
9
室内无线AP
智能室内放装型2.4/5GHz双频接入点,硬件智能天线系统,固化接口≥1个10/100/1000Mbps(RJ45),802.11a/n和802.11b/g/n同时工作;提供工信部核准证;
详见详细招标参数要求;
台
75
10
室外无线AP
室外AP接入点,,千兆电口≥1个,千兆光口≥1个,提供工信部核准证;
详见详细招标参数要求;
台
3
11
统一存储
统一存储设备1台
详见详细招标参数要求;
台
1
2、网络设备详细参数要求
Ø投标方及厂商必须保证所有投标产品(如光模块等配件)均为中华人民共和国境内(不含港澳台地区)合法销售的产品,并保证所有投标参数真实可信,同时承担以非法产品或虚假参数应标所带来的一切法律风险。
Ø项目中标后,用户将对产品进行功能及性能指标测试,如测试结果与投标参数不符,将做违约处理,并保留以诉诸相关法律进行处理的权利。
Ø如无特殊说明,本次投标所有产品要求包含3年原厂质保,特殊需求的还包含3年特征库升级、授权许可等。
1)防火墙(1台)
指标项
具体要求
基本要求
硬件平台采用先进的MIPS非X86多核网络专用硬件平台,处理器最低配置双核心以上并行处理CPU(要求在技术应答中明确说明所投产品采用的多核处理器型号,并提供设备前面板实物照片与多核CPU运行截图)
不少于5×GE+4×GE/SFP口
性能指标
吞吐量≥2.4Gbps,可扩展到4Gbps及以上
并发会话数≥100万,可扩展到200万及以上
每秒新建连接数(TCP)≥5万
每秒新建连接数(HTTP)≥3万
IPS吞吐量≥600Mbps
病毒过滤吞吐量≥340Mbps
IPsecVPN吞吐量≥780Mbps
基本功能
防火墙系统可以提供对复杂环境的接入支持,包括路由、透明以及混合接入模式
支持将任意接口数据完全镜像到设备自身的其他接口,用于抓包分析(要求提供界面截图)
支持静态和动态路由,动态路由至少包括:
BGP/RIP和OSPF动态路由协议;静态路由协议支持基于源地址、目的地址、源接口的路由;
智能出站探测,能够根据探测结果自动产生就近路由,非内嵌ISP路由(要求提供界面截图)注:
智能出站探测功能,实现在多链路的情况下,根据不同的目的地址在所有的链路上发送SYN或ICMP数据包来探测响应速度,生成就近访问路由
支持基于源地址、源用户、目的地址、服务、应用和时间表的策略路由。
(提供界面截图)
支持智能DNS功能。
(需提供界面截图或官方技术文档做证明)注:
SMARTDNS功能实现当外部用户访问内部服务器时,电信用户解析到的域名IP为电信地址,联通用户解析到的域名IP为联通地址。
从而优化服务质量。
支持ISP路由,智能选择联通、电信、移动等出口链路,无需手动配置复杂多变的策略路由
提供静态的包过滤和动态包过滤功能。
提供应用层报文过滤,包括:
应用层协议:
、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:
TCP、UDP
支持NAT扩展技术,使单个公网IP支持的NAT转换端口突破65535限制(提供界面截图或官方技术文档证明)
提供与安全网关配合使用的同品牌ARP防护软件或内网终端管理软件,当设备检测到未安装防护软件或终端管理软件的客户端时,自动将页面重定向至软件安装页面。
(本次招标要求配置300台主机授权。
提供软、硬件协同防御ARP欺骗的界面截图或技术文档做证明)
VPN
本次招标要求配置8个SSLVPN并发用户,最大支持500个SSLVPN并发用户,提供1000条IPSECVPN隧道授权。
支持对主机的硬件特征进行绑定,包括MAC地址、CPUID、硬盘ID、操作系统ID等。
并支持绑定信息的自动探测,不用手工输入。
(要求提供界面截图)
支持对登录SSLVPN的用户端系统进行端点安全检查,至少包括指定文件、指定进程、系统补丁、浏览器版本、杀毒软件等方面。
(要求提供界面截图)
入侵防护
保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、木马后门、暴力破解(具备入侵防护自主知识产权证明);
支持通过ICMP探测或探测服务器的某个TCP服务端口实现探测服务器是否还处于存活状态(要求提供界面截图)
支持专业的WebServer防御,外链防护和Web访问控制,CC攻击防御(提供界面截图)
入侵特征规则数量超过3000条
病毒过滤
内置病毒特征库,采用知名厂商的病毒特征库(具备病毒过滤自主知识产权证明);
能分别保护服务器和保护客户端,具备“高”、“中”、“低”安全界别分类(要求提供界面截图)
支持恶意链接和病毒警告提示,提示用户所访问的网站为恶意网站或者发现病毒(要求提供界面截图)
支持HTTP,SMTP,等多种协议下病毒防护,并支持自定义非标准端口下的病毒防护
流量管理
支持弹性带宽控制,智能分配带宽(提供界面截图)
多层QoS功能要求包含应用QoS和IPQoS是两个独立的数据流控制功能,应用QoS下可以嵌套IPQos策略;IPQoS可以嵌套应用QoS(要求提供界面截图)
具备基于P2P行为特征的智能识别技术,以实现对加密的、版本泛滥的、变种的、不常见的P2P行为的流量管理(具备流量管理自主知识产权证明);
绿色上网
应用程序特征库不少于1200种
要求设备必须能识别并封堵含有恶意插件、恶意脚本、挂载木马等的网络访问行为。
支持对主流P2P下载、视频、IM等应用的管控(如迅雷、BT,PPLive、QQLive、PPStream,QQ、MSN)
支持基于协议、时间、IP地址、用户等多种管控条件进行限制
支持针对具体QQ帐号进行上下线的控制功能(提供界面截图)
智能安全
设备支持部署统一智能软件,升级设备的智能安全功能
支持主动检测技术,检测设备安全威胁状况、资源使用状态、关键网络节点和关键业务服务的连通性及可用性,并对全网健康状况进行评估;全网健康评估体系通过智能引擎分析得出全网健康指数,并提供详尽的报告;对网络中可能发生的故障进行预警,帮助用户及时发现网络中潜在的安全风险并快速解决问题。
(提供界面截图)
支持异常行为分析技术通过对流经设备的流量进行连续、实时监控来分析流量信息,利用统计分析、关联分析和机器学习等多种技术手段来检测流量和用户/应用行为中的异常模式,以发现异常行为,通过对几十种流量行为参量进行自适应学习并生成行为基线;根据时间和行为参量进行行为基线动态调整,对异常流量和未知威胁进行预警和提前防范,并结合威胁防护功能智能分析得出行为信誉指数和提供详尽的报告,帮助用户提升对安全威胁的防护能力。
(提供界面截图)
支持网络中的威胁概览、各类攻击信息、各类威胁排名、趋势统计对比、威胁源分布情况,支持威胁地图显示,清晰查看攻击来源,以地理位置为维度查看攻击详情,地理位置包含全球信息(提供界面截图)
支持数据包路径检测功能,以帮助运维人员简化排障过程。
通过对流经设备的数据包的处理过程进行跟踪和信息收集,以图形化界面的方式动态展现防火墙内部数据处理的整个流程,自动进行故障诊断,并以报告形式展示出故障原因及相应的处理建议(提供界面截图)
管理功能
具有初装向导,支持策略复制、搜索、命中查询等便捷功能;(要求提供界面截图)
采用双安全操作系统,支持界面上保存不少于五个配置文件、防止配置不当或防火墙系统故障造成的网络中断,充分保证了系统的稳定性。
(要求提供界面截图)
具备静态环比报表功能,可以基于日、月进行流量/攻击防护/URL访问/应用阻断等的环比统计分析,对一个周期的管理策略提供依据。
(投标时必须提供环比报表截图)
资质要求
具备公安部颁发的《计算机信息系统安全专用产品销售许可证》(千兆三级)
具备中国信息安全认证中心颁发的《中国国家信息安全产品认证证书(千兆)》(三级)
要求通过全球IPV6测试中心的”IPv6Ready第二阶段金牌认证”,并提供认证证书
具备国家保密局涉密信息系统安全保密测评中心颁发《涉密信息系统产品检测证书》(千兆)
具备中国信息安全测评中心颁发的信息技术产品安全测评证书EAL3(千兆)
其他要求
中标人在中标后7个工作日内需提供样机测试,并进行所承诺的所有功能测试,提供测试报告,如经测试发现与标书要求或投标文件不一致或投标单位有意拖延测试,则视为欺诈行为,招标人将不授予合同,投标单位将承担一切后果与责任
原厂商三年7×24小时上门保修维护服务,并提供原厂商三年服务承诺函
2)上网行为管理(1台)
指标项
参数要求
1、基本要求
吞吐量(速度)
≥200Mbps
并发用户数
≥400
并发连接数
≥300,000
转发时延
≤0.1ms
设备接口
具备4个1000Base-T千兆电口
至少具备一个串口
尺寸要求
1U
BYPASS
支持故障时BYPASS功能
设备架构
设备必须为多核X86架构,以保证软件库的灵活更新与升级,
用户管理
(1)要求设备支持IPSECVPN远程安全接入维护,本次采购5个IPSECVPN并发授权;
(2)要求设备必须支持将审计数据备份到外置数据中心,实现海量存储;必须支持通过USBKEY方式对数据中心管理员进行身份验证,确保我单位核心数据不会外泄;
(1)为方便管理我单位无线用户的接入和管理,要求能实现无线portal认证功能,以手机号码自动生成无线用户账号,并自动发送短信密码,无线用户的账号有效期、上网权限可自定义。
(该功能接受组合产品投标)
(2)必须能够识别并过滤SSL加密的钓鱼网站、金融购物网站; 识别和审计加密的邮箱(如GMAIL)等,确保我单位不会发生通过互联网出口泄密事件(必须具备自主知识产权证明,加盖厂商公章);
(3)要求设备必须能识别并封堵含有恶意插件、恶意脚本、挂载木马等的网络访问行为(必须具备相关自主知识产权证明,加盖厂商公章);
(4)要求设备支持网关杀毒功能模块(必须提供配置界面截图,加盖厂商公章);
2、识别与控制要求
具备业界主流的应用识别规则库
应用种类不得少于1000种,应用规则总条数不得少于2000条,需要提供包括条目信息的产品界面截图。
规则库中,游戏的数量不得少于200种,P2P流媒体应用不得少于50种,IM应用不得少于150种,股票行业和交易类应用总数不得少于90种。
要求提供包括规则库数量信息的产品界面截图。
允许用户自行添加规则。
移动智能终端应用识别
有效识别以下移动终端应用:
AppleAppStoreTOP100的应用、GoolePlayStoreTOP100的应用(提供设备截图证明)
云存储识别
对市场上主流网盘(115网盘,2ndrive,360云盘......)等应用进行有效识别登录、浏览、下载、上传
非法热点检测
要求能对员工私接无线AP进行检测和邮件告警,避免将智能手机等通过无线网络接入单位内网,给单位网络安全造成隐患。
邮件附件深度识别
能够实现邮件附件文件名、后缀名进行篡改、删除后外发识别并告警;邮件附件文件进行压缩、加密外发识别并告警
基于用户组、用户的流量管理
可为不同用户组施加不同的流量管理策略;可实现对指定用户组内每用户的流量划分与分配;能够为指定应用的带宽需求提供动态带宽保证,即将指定应用未占用的带宽共享给其他应用;支持每用户并发连接数限制功能,避免用户终端连接数过多抢占其他人资源的情况;
3、安全和审计要求
IM传文件
可记录QQ、MSN传文件动作和所传文件内容,并可指定记录传文件类型和文件长度
微博审计
支持PC、笔记本电脑访问微博的审计;支持智能终端访问微博的行为与内容审计;支持对智能终端的类型进行识别和审计。
网页内容
支持审计网页内容,形成网页快照供管理员快速查看
智能报表
必须能支持用户自定义风险行为特征,并根据特征自动挖掘并输出风险行为智能报表;
实时报表
支持动态报表、实时报表,可以实时对用户的流量进行排名,排名信息包括用户名、所属组、IP地址、总流量、各主要应用的流量等;同时支持手动刷新、自动刷新、以及指定用户的临时冻结等;
对比报表
必须具备静态环比报表功能,可以基于日、周、月进行流量的环比统计分析,对一个周期的管理策略提供依据。
(投标时必须提供环比报表样本)
危险行为
必须能识别并封堵内网终端感染木马、间谍软件、黑客远程控制的行为及流量;
病毒查杀
设备必须内置业界知名杀毒引擎;
必须支持扩展查杀网页、Email、FTP等流量中病毒的功能;
支持扩展查杀RAR,Gzip等压缩包中的病毒;
基础防火墙
必须支持基础防火墙功能模块;
资质
中国信息安全测评中心《信息技术产品安全测评证书EAL3级》
中国信息安全认证中心ISCCC《中国国家信息安全产品认证证书》
公安部公共信息网络安全监察局《计算机信息系统安全专用产品销售许可证》
公安部信息安全产品检测中心《互联网公共上网服务场所信息安全管理系统检测报告》
3)核心交换机(1台)
指标项
参数要求
插槽数
模块插槽(主控及业务)槽位数≥3,其中:
19英寸标准机柜全宽,独立主控引擎插槽数量≥1
电源模块数
≥2;实配冗余高能效电源
交换容量
(非背板带宽)
≥950Gbps(已商用并可实际供货的产品性能);
≥2.6Tbps(支持更高带宽扩展)
要求提供官网网页链接及截图或者官方技术文件证明,要求原厂盖章;
包转发速率
≥700Mpps(已商用并可实际供货的产品性能);
≥2000Mpps(支持更高性能扩展)
要求提供官网网页链接及截图或者官方技术文件证明,要求原厂盖章;
关键部件热插拔
电源、接口模块等关键部件可热插拔
接口要求
支持百兆、千兆、万兆的以太网电口和光口
支持40G接口,单板密度≥4个
要求所有接口板必须是分布式转发工作模式
智能堆叠
支持将≥4台设备虚拟化为一台逻辑设备,虚拟组内可以实现一致的转发表项,统一的管理,实现跨物理设备的端口链路聚合;
支持远程万兆虚拟化,要求提供官网网页链接及截图或者官方技术文件证明,要求原厂盖章;
虚拟化技术需提供专利证明和浙江省内用户使用报告证明文件。
虚拟化
支持将接入交换机虚拟化为核心交换机的接口板卡,通过核心交换机在一个界面下直接管理、直接进行配置操作(非telnet等远程登录方式、无需跳转);
将接入交换机虚拟化为核心交换机的接口板卡时,支持接入交换机的数据从本地转发和通过核心交换机集中转发等模式;
二层协议
支持基于端口的VLAN,802.1qVlan封装,最大Vlan数≥4096,支持GVRP或VTP
遵循IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ad、IEEE802.3ae、IEEE802.3ab、IEEE802.1p标准
支持以太网供电,遵循IEEE802.3af标准
支持STP/MSTP/RSTP协议,符合IEEE802.1d、IEEE802.1w、IEEE802.1s标准
IPv4协议
硬件支持分布式IPv4线速处理,其中路由协议必须支持RIP、OSPFV2、IS-IS和BGP,组播协议必须支持IGMPV1/V2/V3Snooping、PIM-SM、PIM-DM、PIM-SSM和MSDP
IPv6协议
硬件支持分布式IPv6线速处理,其中路由协议必须支持RIPng、OSPFV3、IPv6IS-IS和IPv6BGP,隧道协议必须支持IPv6手动隧道、6to4隧道和ISATAP隧道
MPLS
支持MPLS,可由引擎集中处理或者板卡分布式处理模式
组播
支持PIM-DM、PIM-SM、I