标书-厦门大学校园无线网络招标标书.docx
《标书-厦门大学校园无线网络招标标书.docx》由会员分享,可在线阅读,更多相关《标书-厦门大学校园无线网络招标标书.docx(43页珍藏版)》请在冰点文库上搜索。
厦 门 大 学
招 标 文 件
招标项目
厦门大学校园无线网络
采购编号:
XDZFCG2014-009
厦门大学资产与后勤事务管理处
2014年3月11日
第一章 投标邀请
受学校采购领导小组的委托,我处以招标方式进行以下项目的政府采购,欢迎具备相应资格条件的供应商参加投标。
一、采购编号:
XDZFCG2014-009
二、项目名称:
厦门大学校园无线网络
三、供货地点:
厦门大学思明校区、翔安校区四、工期要求:
中标通知书发出后30个日历日内
五、投标截止和开标时间:
2014年3月24日上午9:
00
六、 报名截至:
2014年3月21日下午5点(节假日除外),以传真等方式进行报名,逾期视为放弃竞标机会
七、开标地点:
厦门大学资产与后勤事务管理处物资管理科会议室
(厦门大学嘉庚主楼711房间)八、本批采购的咨询联系人
陈老师:
0592-2887766
招投标报名及相关方面的问题请联系:
许老师
电话与传真:
0592-2181872、2181873、2186100、2182265
厦门大学资产与后勤事务管理处
2014年3月11日
第二章 采购项目说明及要求
一、项目说明
1、项目背景
随着笔记本电脑和智能移动终端的普及,校园师生对校园无线网络的使用需求日益强烈,要求能随时随地的查阅资料、下载文献,实时接入在线课堂,收听实时信息,提交作业并与老师、同学进行在线沟通等。
本项目为适应移动应用需求的大幅增长,将对翔安校区及思明校区的部分学生活动较为集中的公共区域及楼宇进行统一管理的无线网络覆盖,建设统一管理的校园无线网络系统。
校园无线网应利用校园网统一认证数据库(LDAP)进行认证,仅允许本校人员进入内网,对访客的访问实施控制,确保无线网络的使用安全;具备智能信道和功率管理的无线控制器能对无线信道资源统一协调管理,使各楼层、校内各处的无线信道不会冲突,提高稳定性和使用体验,为师生提供高速、稳定和安全的无线连接。
无线系统采用控制器加瘦AP模式,保障用户漫游以及管理策略的统一下发;对网络中应用最多的语音和视频流提供优化支持;支持IPv6;可提供频谱分析
和统一网管以便迅速解决无线网络中出现的问题;能迅速定位和查询用户的历史使用情况以满足公安等相关部门的要求。
2、项目采购说明
本次项目采购为定额招标,标的为350万人民币,包括硬件、软件及许可、工程安装和售后服务。
投标方需在满足标书最低技术要求的基础上,提供自身投标方案。
本次项目要求不得使用运营商入围产品中的低端设备,而应采用正式的行业设备。
无线网络系统方案设计应基于厦门大学现状,一旦投标,则认为投标者对厦门大学的相关楼栋、主干网络环境、无线网络现状有充分了解,投标者对自身的解决方案完全负责。
对标书中的各项要求必须点对点应答(“技术规范要求”一列中的每点),不得虚假应标,如有正偏离,给出偏离表。
如无点对点应答,招标方可视为投标文件无效。
投标方案应考虑充足的软件授权许可。
在三年之内,如果招标者发现因软件授权缺失不足以满足招标书的要求或不足以满足投标书中声明满足的各项技术指标、功能及技术方案等,则投标者均需无条件增加软件授权。
比如招标书中有安全的要求,投标方也做出满足的应答,但实际使用中发现需增加安全相关的许可,则投标方需无条件立即增加相关许可。
招标方保留对拟中标者的方案进行实际验证后再签约的权力,投标者如不能配合验证,则不予中标;如验证后发现实际情况与投标内容不符或达不到投标书中的声明,即使满足招标书基本要求,也不予中标。
项目验收时,投标产品在满足招标书要求的同时,又必须满足投标书的所有应答内容。
3、方案总体要求
总体要求如下:
方案应具备可扩展性好、标准化、安全性高、稳定性高等,工程实施中应考虑天线美化设计;
★用户认证能与厦门大学的现有LDAP服务器对接,利用其中的用户组属性及属性组合进行用户策略的下发与控制(厦门大学LDAP中包含有中文属性字段);
★安全性高。
支持无线IDS/IPS、用户数据加密、能自动发现和防范多种针对无线网络和终端的无线攻击行为,能实现对非法无线设备的自动发现、分类和压制功能;
★无线网络系统兼容性好,可用性高,能支持多种主流硬件平台和操作系统;
★无线控制设备或无线交换机可支持冗余;
★实现二三层无缝漫游;
★支持频谱检测分析;
★支持NativeIPv6;
★良好的管理性。
比如可方便查询用户的使用情况,至少可根据时间和IP
地址两要素快速查询是哪个账号在什么地点使用的。
★管理策略、用户使用习惯的一致性。
目前校内部分区域已经部署有
Aruba无线系统,已经有超过6000个用户在使用。
本次项目尽量保证用户在已有的无线覆盖区域和本次新建的无线覆盖区域中的使用方式的一致性,减少用户在不同区域中的使用方式的不同和频繁切换;尽量保证校方在管理上能使新旧两个区域的管理策略保持一致,避免在不同区域对用户的管理要求不一致。
投标者提供本次项目的实施方案,配置的设备以及方案可以高于或优于上述要求,同时可论述自身方案的特色、优点及适合厦门大学使用的应用场景。
4、无线系统覆盖区域
本项目建设目标是覆盖翔安校区、思明校区的学生活动较为集中的公共区域为主,区域类型主要为食堂、咖啡厅、会场、学生活动中心及公共教学楼等的室内区域,以及广场、芙蓉湖等室外区域。
具体位置包括但不限于以下表
1、表2列明的区域:
表1 翔安校区本次项目必须覆盖区域一览表
校区
位置
详细位置
翔安校区
咖啡厅
国际学院咖啡厅
能源学院咖啡厅
生命科学学院咖啡厅
公共卫生学院咖啡厅
药学院咖啡厅
医学院咖啡厅
海洋与地球学院咖啡厅
环境与生态学院咖啡厅
孔子学院
一楼走廊
综合楼外广场(室外)
5号楼
一楼
3号楼广场
南侧校门广场(室外)
北侧湖畔广场(室外)
学生活动中心
学生活动中心
一号楼
一楼
二楼
三楼
四楼
五楼
三号楼
1~9楼
表2 思明校区本次项目必须覆盖区域一览表
校区
位置
位置
思明校区
咖啡厅
人文学院咖啡厅
新闻传播学院咖啡厅
外文学院咖啡厅
经济学院咖啡厅
管理学院咖啡厅
公共事务学院咖啡厅
继续教育学院咖啡厅
南洋研究院咖啡厅
数学科学学院咖啡厅
物理机电学院咖啡厅
化学化工学院咖啡厅
信息科学学院咖啡厅
软件学院咖啡厅
材料学院咖啡厅
建筑与土木工程学院咖啡厅
食堂
芙蓉食堂(不包含3层)
海滨食堂
东苑食堂
南光食堂
凌云食堂
海韵公寓一期食堂
海韵公寓二期食堂
报告厅
建南大礼堂
化学报告厅
户外区域
芙蓉湖室外区域(室外)
校友总会
校友总会
投标商提供的AP数量多出部分可扩展部署到:
思明校区包括南强二教学楼、嘉庚4号楼、嘉庚5号楼、集美二号楼、校友总会、群贤二号楼、海韵教学楼、学生公寓教学楼。
翔安校区包括主楼群4号楼、5号楼全部、游泳馆。
5、无线系统的系统技术要求
本招标书将尽量避免采用私有协议名称来陈述技术需求,但不完全排除出现私有协议或某厂商的独特习惯用词。
如出现该情况,应标者可以用功能相同或相近的标准协议来应答。
无论是否对该私有协议、私有名词的支持冠以“*”号标明为必须的,招标者均不仅以应答者无法支持该私有协议为由而作出不中标决定。
举例:
如出现对PVST、VTP、HSRP、DPT支持的要求,应答者可以直接以支持该协议应答,亦可以功能相同或相近的标准协议
MSTP、GVRP、VRRP、RPR来应答。
第3部分的“方案总体要求”中的各项要求以及本部分中打有“★”的要求为必须满足的要求。
对于本部分中没有打“★”的各项技术要求,如果没有在“方案总体要求”中提及,而且不能有三个厂商同时满足,则不作为必须满足的要求。
每一点的技术要求可能包括几部分内容,应标者应先明确回答“满足”、或
“不满足”。
同时提供测试结果截图或可证实的资料予以说明,如果不能提供相关支持资料说明,则不予采信。
如遇有参数性要求,应明确应答具体参数,比如无线控制器可支持的接入AP数。
是否满足技术要求以本次项目整体可实施为判定依据。
比如,当前所投标的无线控制器和所投标的无线AP不能支持某点技术要求,但是所投标的无线控制器和该品牌的其他无线AP组合可满足该点技术要求,则不能回答满足该技术要求;
又如,本次投标的产品中只有部分能实现某点技术要求,则应明确指明;又如,无线控制器的某一个软件版本可以实现功能A,但不能实现功能B;
另一个软件版本可实现功能B,但不能实现功能A,则不能回答能满足功能A和B,因为在项目实施的时候不能部署两个版本。
投标时只能以某个版本作为回答依据;
又如,开启某个功能A的时候,功能B则不支持,或性能下降到不能正常使用,也不能同时回答满足功能A和B。
应明确指明本次投标所采用的软件版本,提供完整版本号,包括控制器、
AP、无线网管、用户认证接入系统等,软件版本应为正式公开的主要版本,截止到本标书公布的时间,不能采用实验室版本或测试版本或特别的分支版本或日后版本。
本次无线网络系统的组成部分包括:
无线控制器、无线接入AP(室内)、无线接入AP(室外)、POE交换机、
POE模块、无线相关软件(无线网管系统、用户认证接入管理系统)以及无线工程实施与服务。
本次为定额招标,投标的产品数量、性能指标可以高于下列中的标书要求,但是室外AP的数量固定为50台。
1、 无线控制器
数量:
4台;要求为独立设备,保证无线系统的整体稳定和灵活部署。
单台支持同时管理1000个及以上在线AP;全部控制器能支持同时管理
3000个以上的在线AP。
本次要求单台提供2个或以上万兆光接口,配置2个多模万兆光模块;单台可支持25000个以上并发用户;
带相关许可:
为实现本标书中(整个标书,不仅限于下方中的技术规范要求的表格)各项技术要求所需的各种软件许可必须配置。
如果许可数与AP数量有关的,本次需配置支持1000个在线AP且不少于本次实际投标的AP总数;如果许可数与用户数/终端数有关的,本次需配置支持25000个并发用户/终端。
必须结合考虑本次设计方案中对AC冗余的设计。
当有些控制器出现故障的时候,所有AP都能快速转移到剩余的健康控制器上面,而不会出现许可不足的情形。
当有些控制出现故障的时候,健康控制器上面的许可数足够支持在线AP,也即是健康控制器上面的许可能支持1000个在线AP(且不少于实际所投的AP总数),支持25000个并发终端。
但不能是通过手工方式把故障控制器上面的许可增加到健康控制器。
类别
指标项
技术规范要求
版本号
软件版本号
★列出涉及的各系统的完整软件版本号,用于验证和实际运行。
提供的版本应该是可以长期稳定运行的主版本,不可以是专用于
测试的特别版本。
性能
接入AP数
★单台支持接入AP≥1000个
接口类型
★单台支持≥2个万兆接口
无线转发性能
★单台≥20Gbps
用户数并发
★单台支持≥25000并发终端
基础
VLAN数量
★支持≥256个VLAN。
支持VLAN到SSID的映射,可设置每
SSID一个VLAN、或每个SSID多个VLAN,以减少广播域
支持标准协议
★支持802.11n、802.11b、802.11g、802.11a
802.1q、802.1x、802.3z、802.3ab、802.3d、802.11e、802.1
1w、802.11h,802.11i,802.11k
支持802.11ac
★支持TFTP、TELNET、HTTP、SSH、HTTPS、SNMP
控制器管理
数据转发为本地转发或集中转发,或同时支持,或其他更先进方式。
应说明本项目中的实现方式。
本标书后面的所有各功能点
(技术要求点)的应答时以本项目中实现方式为前提。
如某个功
能只能在集中转发下实现,而本项目的实现方式为本地转发,则
需应答为不满足。
★支持控制器堆叠,支持1+1、N:
1冗余方式(N≥2);多台控制器之间的配置可以自动同步或手动同步,以保持一致性。
明确答
复本次配置的4台控制器之间的配置是否能自动同步。
★多控制器间有热备机制,当某一个控制器出现故障时,用户应
该能快速切换到其它的控制器上。
多控制器间可设置为同一个射频域,即多个控制器能协同一致进
行无线资源的管理。
多控制器间可设置为同一个漫游域,保证跨控制器的无缝漫游。
可建立与有线主干设备间的多路物理连接,以消除控制器与有线
主干网络之间的单点故障。
控制器能支持STP、OSPF协议。
AP管理
配置策略应该是基于AP分组进行的。
AP在多台控制器上的负载均衡。
不论AP和AC是在同一网段还是跨网段都能自动均衡。
或者人为控制的负载均衡。
或者强制某
些AP或AP组优先加入某些控制器。
★支持AP状态指示灯显示的远程可控。
用户管理
用户认证
★配合用户认证接入管理系统完成认证与计费。
★用户认证管理系统能与厦门大学的LDAP服务器(包含有中文属性字段)的对接上,利用其中的用户组属性及属性组合进行用
户策略的下发与控制;
★可支持两组以上认证接入管理系统,并进行轮询或互相备份
(本项目要求提供两套,详见第6部分“用户综合接入认证平台”
)
支持基于MAC地址的认证方式、支持基于802.1X的用户认证方
式,支持802.1x/EAP,EAP-TLS、EAP-PEAP、EAP-TTLS
★用户第一次用智能终端上网的时候,需要认证,然后自己注册,以后用同一台智能终端的时候在一段时间内就不用再认证了。
可
设置无感知认证的时间长度。
可设置免认证可访问的资源,比如一些邮件页面,一些会议的主
页。
支持用户白名单和黑名单功能。
当用户的MAC地址在白名单里时,直接允许用户接入,不需要认证;如果用户的MAC地址不
在白名单里,那么需要认证界面;
支持黑名单功能。
可手工添加;可自动添加有潜在危害的用户账号:
或多次认证失败自动添加;或因为攻击行为被wIDS/wIPS系
统置入黑名单
Webportal登录
★支持外置webportal认证;支持webportal的重定向登录,
不同的用户认证通过后会有不同的欢迎页面。
可以根据不同的终端类型弹出不同的portal认证页面和欢迎页面,
可进行页面适配。
可以和单点登录SSO结合起来。
用户接入
同一个SSID下的不同上线地点(也即是根据AP Group)的用户可被分配到不同的VLAN,如办公区的用户和宿舍区的无线用户
获得的IP地址不同;
同一个SSID接入不同身份的终端用户,可根据认证身份的不同分配进入不同的VLAN/IPsubnet(在MAC认证和801.1x认证的
前提下)。
支持同一SSID下的混合认证、混合加密,列举可支持的形式如
MAC和 Portal的共存、MAC和1x的共存、1x和portal的共
存
★基于用户/用户组的策略控制与下发。
策略下发包括安全
ACL、QoS带宽控制以及VLAN分配(在二层认证的基础上)等对用户的带宽控制可针对上下行带宽分别设置;对用户的分组和
识别要基于厦门大学LDAP中的属性以及属性的组合
无线客户端之间可以隔离
访客管理
可现场管理,比如提供大堂管理员功能;
用户可以自注册,支持以手机号码为凭证。
系统通过短信网关把
用户名和密码发送到手机号码上。
无线资源管理
射频
★可根据周围电磁波环境的变化,全局性合理调控每个AP的信
道、功率大小等,以达到最优化覆盖的目的。
AP高密度部署的时候,支持channelreuse
信道调整的时候,支持802.11h
★支持在2.4Ghz和5.8Ghz的混合模式下,支持5.8G导引功能,优化终端优先选择5.8G的频率接入,保证无线资源的最大化利
用
AP高密度部署的时候,用户可以在不同AP上负载均衡
802.11k支持,不至于使所有客户端都连接到信号最强的AP上
支持2.4GHz和5GHz的负载均衡,可根据用户数或者用户流量
频谱分析检测
★能实时查询无线质量数据
★采用图形化方式,主动探测和识别所有WiFi(2.4GHz/5.8GHz)波段的射频干扰源,可实时进行射频频谱分析,可提供实时FFT图、占空比图、干扰设备列表、信道占
用率列表、干扰功率列表、信道质量列表等等
★可实现在提供用户接入的同时进行频谱分析功能。
根据分析可
给出简单明了的空口质量信息,简化用户排查故障的时间
频谱检测功能能与射频管理联动,比如某个信道的占空比较高的
时候,可自动优化调整到其他的信道
流量整型
支持在802.11a/b/g/n的混合模式下的无线用户流量整型功能,支持AP公平时分模式和针对终端的优化模式(如n,g,b平均
分配空口资源的时间片,或者n优先于a,a优先于b。
)
空口抓包,远程镜像
在不导致线上用户掉线的情况下进行实时远程抓包,并能以流模式进行分析,如通过主流第三方的数据包分析工具实时分析无线
数据
安全
加密功能
支持WEP、WPA、WPA2、AES-CCM
;
支持wIDS/wIPS
可以侦测无线入侵,并记录和显示入侵的数据,且可对入侵做出
自动保护,建立黑名单列表。
说明可支持的攻击检测主要有哪些。
支持处理各类无线环境下的攻击如各种DoS攻击(射频干扰、解
除认证/解除连接洪水、虚拟干扰等)。
支持处理ARP欺骗,ARP flood等攻击,支持处理假冒
DHCP,DHCPflood等。
加密传输
支持所有AP到控制器的控制信令及用户数据能以加密方式传输
至控制器,说明加密后控制器转发能力受影响的情况
非法AP压制
支持非法AP、非法客户端的发现、抑制功能;采用接入模式的
AP做为非法AP的检测、抑制设备,无需另外添加专门AP做为
AP检测设备
能够实现自动发现并围堵AdHocRougeAP
可只压制使用同一个SSID的非法AP
★可自动压制非法AP。
列出可能的压制方法。
反压制,可抵御多种攻击。
防火墙功能
说明是否配置状态防火墙,可以是内置的防火墙、防火墙板卡或
者外置的防火墙。
给出防火墙的关键性能指标,包括并发连接数、可处理的吞吐量
等;给出防火墙可提供的防护功能。
说明是否有基于无线用户(而非仅基于IP的)的安全防护能力。
可以是内置防火墙、防火墙板卡、外置防火墙与控制器之间的直接联动,或者是通过用户认证系统进行联动,达到基于无线用户的安全防护。
功能
漫游支持
★要求支持2、3层情况下,无线用户在数据不加密以及
WPA/WPA2加密情况下可以跨AP/APgroup和跨控制器无缝漫
游,在不同的IP子网段、不同的AP与控制器间无间隙漫游。
★要能支持对漫游客户的状态跟踪。
漫游中组播不中断
在漫游中,原下发给用户的各种策略依然生效,视音频流畅,带
宽控制等有效
Mesh功能
★支持控制器下AP以Mesh的工作方式工作
远程AP
支持AP跨广域网与控制器进行VPN连结,用户可以通过远程
AP进入校内的SSID,访问校内资源。
不限定本次所投的AP本身可作为远程AP。
如本次所投的AP不能作为远程AP,说明本品牌可用作远程AP的具体型号。
视音频
★支持Wi-FIMultimedia(WMM)/IEEE802.11e
支持SIP,H.323,SCCP,SVP等多语音应用流的自动识别技术,支
持IP语音信令会话端到端报告
支持对视音频的准入控制(CAC),不至于因增加过多的视音频
用户而导致不能保证视音频的流畅。
可支持基于语音流量的呼叫准入控制, 支持语音带宽预留功能;可支持基于无线参数、干扰的语音呼叫准入控制
Qos控制
在空口资源侧,能对自定义或预定义的不同的应用进行不同带宽
保障
可自动识别视音频,把敏感通信自动提高QoS等级。
IPv6支持
★支持NativeIPv6;
★支持IPv6安全,如IPv6ACL;
支持MLDSnooping,可播放IPv6的组播视频
支持IPv6用户漫游
★支持对IPv6用户的管理
组播和广播
支持IGMP、IGMPSnooping、IGMPV3。
能够对组播和广播进行优化或抑制;可以支持组播优化为单播;
能够优化组播速率,可以把原来组播的从最低速率提升到更高速
率。
支持ARP广播包转换为单播包。
可以不对无线侧转发ARP请求,
而是根据关联信息表做Proxy ARP;可阻断无线客户端之间的
ARP通讯。
支持基于组播视频的准入控制能力,在AP接入视频流能力不足的
情况下,拒绝新组播用户加入
支持对组播流进行Qos优化,保证高清组播视频流的图像质量完全
和通过有线网传输一致
闲置时间
可设置用户闲置时间
系统日志
★提供基于应用的系统日志记录,或指定某种应用类型进行
Syslog记录
投标者可以提供自己产品其他的功能特色,并列出可以在大学校园中使用的场景。
2、室内AP
数量:
500台;
支持2.4G和5.8G双频;
支持802.11n,单个射频模块支持450Mbps带宽;带相关的天线;
类别
指标项
技术规范要求
版本号
软件版本号
★列出涉及的各系统的完整软件版本号,用于验证和实际运行。
提供的版本应该是可以长期稳定运行的主版本,不可以
是专用于测试的特别版本。
硬件
基础要求
★支持802.11a/n与802.11b/g/n同时工作,支持主流厂商的客户端。
支持IEEE802.3af/802.3atPOE供电及外部供电在POE供电模式下,可以完全驱动2个独立无线模块,实现在同一时间和同一频段下两个或更多个发送空间流满速率工
作。
。
★每用户2Mbps的普通数据或者组播流量的情况,每台AP
可同时支持不少于30个用户接入能力
★AP可通过DHCPoption方式连接无线控制器,加入无线
网内
★支
升级会员 