网络更新和无线网络覆盖.docx
《网络更新和无线网络覆盖.docx》由会员分享,可在线阅读,更多相关《网络更新和无线网络覆盖.docx(24页珍藏版)》请在冰点文库上搜索。
网络更新和无线网络覆盖
教发院网络更新和无线网络覆盖
项目需求说明
为完善教发院校园网基础环境,满足示范性教师培训院校的基础环境的要求,需要提升现有院内部网络通讯速度,提供教职员工和师训学员无线上网的需求,支撑X程视频教研活动,适用未来数字化教育教学发展,配套智慧教室和视频会议,现需对峨山路院区、枣庄路枣庄、惠南院区网络升级,实现无线网络覆盖。
一、建设内容说明
本次建设内容包括以下几部分内容:
峨山路院区无线覆盖:
新建无线网络系统,覆盖所有办公室,教室、会议室。
部署无线管理和认证服务器。
需要购买无线控制器、POE网络交换机、AP、网管理软件和无线认证系统。
在不影响原来网络使用的情况下进行网络布线和设备部署。
惠南院区原有的无线控制器为6年前购买,之前已坏,须购买1台新的无线控制器。
同时实现和总部无线网络统一认证。
无线网络管理和统一认证:
峨山路院区新建1套无线网络,和原有有线网络整合。
建成后,在使用方式上不应该有重大变化。
在尽可能与有线网络保持一致的同时,也要充分考虑无线网络本身的特点。
现有网络中有多种不同类型的终端,有通用计算机,各种各样的移动终端,如智能手机、平板电脑等,还有支持无线网络的专用仪器和设备,如无线投影仪,无线打印机等。
这些终端对认证方式的支持情况各不相同,本项目必须考虑为所有终端提供适当的认证方式。
身份认证服务器不仅可以对用户身份进行认证管理,还可以识别用户终端设备,如笔记本电脑(操作系统)、手机、平板电脑等,可将设备类型、用户身份、应用场景结合起来进行更加灵活的认证授权管理,提供有效便捷的访客认证机制。
同时,身份认证服务器和无线控制器AC需支持Radius、LDAP等协议,可与教育网数据中心或其他教育网内认证服务器集成,实现统一的身份认证管理。
二、设备数量和参数:
5
无线POE交换机
24个10/100/1000Base-T以太网端口,4个千兆SFP,PoE+,交流供电,S5700-28P-PWR-LI-AC
2
6100
6
无线路由器
802.11ac,室内普通型3x3双频,内置天线,最大速率1.75Gbps,电源适配器,AP5030DN组合配置
40
3300
7
无线路由器
AP121,室内阻燃型,内置天线,双Radio,2x2支持802.11a/b/g/n,1个可配置的管理域,提供电源适配器
5
咨询:
X路无线,本次考虑原来的无线厂家管理软件费用
8
无线管理软件及许可证
无线网络用户和终端安全管理系统软件含1000个接入终端License
1
9
无线网络控制器
24个PoE端口千兆,4SFPCombo+Slot插槽,有线无线一体化控制器。
1
10
网络集成和布线
54个信息点布线,配线架、线槽、跳线、辅材等,网络系统集成费。
1
附:
招标文本参考
第二部分技术规格及要求
一.背景介绍
1.招标单位简介
上海X教育集团成立于2000年。
它是在上海X大学、上海教育电视台、上海市电化教育馆、上海市电视中专基础上组建而成的,以现代信息技术为支撑、以X教育为主体的新型教育集团。
集团非常重视现代化校园网络的建设,并由上海X大学(以下简称开大)牵头,于几年前分别进行了两期的无线网络建设,已部署了含教育电视台、国顺路校区部分楼宇的无线网络环境。
随着社会的信息化发展与手机、笔记本电脑其他移动设备的普及,学校师生们需要随时随处获取网络资源,原有的无线网络已无法满足需要,因此,上海X教育集团需要覆盖更广、更加稳定的无线信号来满足综合业务的发展需求。
2.项目背景
上海X大学一直注重现代化的校园网络建设,于是提出了更高要求的无线网络方案,需要具备在无线网络环境下多种用户类别共存、高安全性、高稳定性、可管理以及与已有的无线网络用户的无缝整合等技术要求,有针对性的提出校园无线网络整体解决方案。
针对目前大量的移动终端而言,灵活的接入网络非常重要,通过无线网络实现资源共享,就需要能够为移动终端提供高效率的连接方式。
此次网络建设是在上海X大学原有的无线网络基础上进行无线网络扩充,要求完成全方位立体式无线覆盖,让师生们可以在开大的各个校区内随时随地、无拘束的连接到网络。
校园无线网络是上海X大学数字化校园建设的重要组成部分,主要为满足学校师生对校园网及互联网进行无线访问的需求,教职工可以依托无线完成各项教学办公事务,外来宾客可以通过无线网络顺畅地访问校内和校外网络资源。
新的无线网络建设要求在网络互联认证、安全防御等方面与原有的无线网络进行良好的兼容和互补。
并需对无线网络进行管理和统一认证,同时做到尽可能的简化网络结构提高网络访问速度与效率。
而且在进行无线部署中,不能对原有的基础设施造成破坏性的影响。
二.项目建设内容
1.建设目标
本项目目标为实现开大校园无线网络全覆盖,涉及阜新校区、中原校区、国顺校区、教视大厦以及安化路校区,未来还可能扩展到上海X大学分校,届时要能平稳上线。
拟在未覆盖地区部署无线接入设备,同时考虑对已覆盖地区加强接入用户密度。
2.建设原则
1)经济性和实用性
在完全满足应用需求的基础上,同时考虑建设成本以及今后的可持续发展,选择具有高性能、高可靠性的产品,同时也考虑之前已部署产品的利旧因素,确保该项目不造成铺张浪费。
2)先进性
要求产品符合现代主流趋势,支持标准IEEE802.11n相关标准,支持标准TCP/IP协议,支持IPv4/6,支持主流AAA认证系统以及其他最新的国际标准和国内外有关规定。
符合计算机、网络通讯技术的最新发展潮流,在一定时间内保持技术的先进性,并具有良好的发展潜力。
建成的系统应能灵活支持未来基于Wi-Fi的各种多媒体应用。
3)安全可靠性
要求产品及设计方案具备较高安全性,产品应具有长期稳定工作的特性,确保网络的高可用性以及降低故障的发生概率,并确保高效的故障处理能力。
按要求制定安全的访问控制机制。
需要满足对安全性的要求,实现无线IDS/IPS、无线用户流量控制等。
无线控制设备或无线交换机应当支持冗余。
4)可扩展性
无线网络系统方案设计应基于学校已有校园有线网络平台,充分考虑当前和未来3年内无线网络技术和规模的发展,使其具备良好的可扩展性。
5)集成性
考虑到学校今后数字化校园建设中统一身份认证及与跨校认证的需要,产品需有一定的可开发性,便于系统集成,并在集成后,仍能进行一体化的协作。
在高度集成前提下,产品应具有多种功能,便于相关设备接入。
建成的系统应具有良好的兼容性,高可用性,能支持多种主流硬件平台和操作系统。
6)可管理性
网络系统的硬件设备和软件程序应易于安装、管理和维护。
无线网络方案设计应易于实施、系统应易于管理。
3.覆盖区域
注明:
具体无线覆盖密度和用户密度建议进行实地勘察。
4.设备需求(初步估算)
5.建设周期
在合同签订后三个月内交付用户使用。
6.报价要求
1)投标人应以人民币为币种给出投标总价。
2)投标人必须提供不低于标书参数要求的AP、AC、POE+交换机及相关许可证和材料等对象的单列报价,此报价不纳入投标总价。
投标人必须承诺无线网络需要新增设备时,投标人应以不高于本次投标的价格和折扣提供该产品。
三.技术要求
投标人应根据以下技术要求进行响应,并且要求提交详细的技术方案、实施方案和测试验收方案。
以下各技术配置参数及各项需求条目和要求条目中,投标人必须保证选用的设备功能、技术性能、参数完全满足需求。
报价应包含设备费以及此系统集成所有费用(包括版本升级费、施工费、服务费及相关配件费等)。
1、总体要求
1)国际知名品牌,采用“瘦AP+AC”的组网方式。
2)所有产品提供原厂商五年质保期。
3)若AP、无线IDS、频谱分析、客户端定位和状态防火墙等功能需要在控制器端添加License才能使用,则AP报价中必须包含相应的License。
4)开大原有Aruba公司44台AP-61,22台AP-93,2台Aruba3600AC控制器,分布在本校区,投标人需在标书中明确提出详细的利旧解决方案;
5)投标的设备厂商需具有国内高校成功案例3个以上,每个案例涉及产品应≥500台AP,需提供相关证明文件。
6)投标人需具有工业和信息化部颁发的《计算机信息系统集成资质》,投标人需具有国内高校成功集成案例,并提供相关证明文件。
要求提供本项目经理简历,项目经理应具有国内高校成功案例的经历。
7)投标设备必须通过国际标准化组织、中国无委会的技术认证,并能在其官方网站查询到投标产品信息和相应编号,并且证书上产品型号必须与投标产品型号完全一致;提供证明文件复印件。
2、项目要求
1)无线网络整体解决方案不仅要考虑与数字校园建设中基础架构的融合,还要考虑与应用领域的融合。
2)无线网络须有优良的兼容性和稳定性并具有高密度接入能力。
3)支持QoS,能针对重要应用提供优先服务质量保证。
4)无线网络须保证用户能够在已覆盖无线信号的区域中无缝漫游。
5)无线网络必须提供良好的覆盖性以及穿透性,保障信号质量。
6)无线网络必须提供良好的抗干扰技术及非法AP压制能力。
3、技术指标要求
1)室内AP
类别
指标项
技术规范要求
接入模式及协议
基本要求
★提供双射频卡,必须支持802.11a/n和802.11b/g/n同时工作,最高速率不低于450Mbps。
在802.3afPOE供电标准的基础上提供不低于3x3:
3的MIMO系统性能。
协议
支持瘦APCAPWAP标准协议
工作环境
工作温度:
0-40度范围
工作湿度:
10%-90%
硬件要求及功能
接口
≥1个10/100/1000Mbps(RJ45)。
安装
支持吸顶或壁挂式安装要求
天线
内置MIMO天线,2.4G不小于4dBi,5.8G不小于3dBi。
发射功率
≤100毫瓦
电源
★支持标准802.3af或兼容802.3at供电,并支持外部供电。
在标准802.3af供电模式下,可以完全驱动2个独立无线模块,实现在同一时间和同一频段下两个发送空间流满速率工作。
负载均衡
支持对无线终端负载均衡,并且能够基于频段(2.4G和5.8G)进行负载均衡。
X抓包
可进行X抓包,并能通过主流第三方的数据包分析工具分析无线数据。
加密协议
支持WEP、WPA、WPA2、AES、TKIP
IPv6支持
支持IPv6的二层透传;支持IPV4/IPV6双协议栈
Mesh
支持802.11nMESH功能
连接性
直连或通过L2/L3方式连接到无线局域网控制器
多SSID支持
支持≥16个SSID
数据转发
隧道模式和本地转发模式,并在此条件下可以实现用户在不同AP下的无缝漫游;数据包二层转发模式,即AP本地转发,而不通过控制器转发。
终端智能识别
能根据终端以及屏幕的大小(包括安卓、苹果、WINDOWS),提供不同的、大小合适的认证portal。
本地转发
当AP工作在本地转发模式下,不能牺牲一些关键功能,包括:
射频管理、安全策略、QoS策略、认证方式(weblogin)、三层漫游
安全
支持802.1x,本地不保存任何配置信息
频谱管理
支持干扰源的侦测和分类以及定位;支持频谱分析功能,可以针对环境的电磁状况作出完善的分析和报告。
其他
可以实现用户在不同AP下的无缝漫游。
为了更好的利用双频AP的5G频段资源,减少2.4G频段设备的干扰,AP应该可以自动的将支持双频的客户端引导到5.8G频段上,请详细说明引导的机制。
核准
★必须持有国家无线电委员会入网核准证,并提供认证证书
2)室外AP
类别
指标项
技术规范要求
接入模式及协议
基本要求
★提供双射频卡,必须支持802.11a/n和802.11b/g/n同时工作,最高速率不低于300Mbps。
在802.3afPOE供电标准的基础上,支持2x2的MIMO。
协议
支持瘦APCAPWAP标准协议
工作环境
工作温度-30~50度范围
工作湿度:
10%-90%
硬件要求及功能
接口
≥1个10/100/1000Mbps(RJ45)。
防护等级
IP66防护等级或更高防护等级(非室内机+防水箱,并提供测试报告)
防雷设计
AP需自带防雷设计或可支持避雷设备
天线
支持MIMO技术
发射功率
≥200毫瓦
电源
★支持标准802.3af或兼容802.3at供电,并支持外部供电。
在标准802.3af供电模式下,可以完全驱动2个独立无线模块,实现在同一时间和同一频段下两个发送空间流满速率工作。
负载均衡
支持对无线终端负载均衡,并且能够基于频段(2.4G和5.8G)进行负载均衡。
X抓包
可进行X抓包,并能通过主流第三方的数据包分析工具分析无线数据。
加密协议
支持WEP、WPA、WPA2、AES、TKIP
IPv6支持
支持IPv6的二层透传;支持IPV4/IPV6双协议栈
Mesh
支持802.11nMESH功能
连接性
直连或通过L2/L3方式连接到无线局域网控制器
多SSID支持
支持≥16个SSID
数据转发
隧道模式和本地转发模式,并在此条件下可以实现用户在不同AP下的无缝漫游;数据包二层转发模式,即AP本地转发,而不通过控制器转发。
终端智能识别
能根据终端以及屏幕的大小(包括安卓、苹果、WINDOWS),提供不同的、大小合适的认证portal。
本地转发
当AP工作在本地转发模式下,不能牺牲一些关键功能,包括:
射频管理、安全策略、QoS策略、认证方式(weblogin)、三层漫游
安全
支持802.1x,本地不保存任何配置信息
频谱管理
支持干扰源的侦测和分类以及定位;支持频谱分析功能,可以针对环境的电磁状况作出完善的分析和报告。
其他
1、可以实现用户在不同AP下的无缝漫游。
2、为了更好的利用双频AP的5G频段资源,减少2.4G频段设备的干扰,AP应该可以自动的将支持双频的客户端引导到5.8G频段上,请详细说明引导的机制。
3、当控制器和XAP之间的通讯中断时,XAP能够独立工作不少于3天
核准
★必须持有国家无线电委员会入网核准证,并提供认证证书
3)无线控制器AC
类别
指标项
技术规范要求
性能
单台控制器最大接入AP数
★单台控制器最大可以控制管理≥512个AP
吞吐量
★单台控制器≥20Gbps
最大并发用户数
★单台≥7000
电源
冗余电源不少于1
风扇
冗余风扇不少于1
可靠性
AC必须支持N+1冗余;
支持双控制器1:
1状态化快速冗余切换,AP/控制器切换时间小于1s
接口
万兆接口
万兆光纤接口不少于2个,配套多模万兆光纤模块不少于2个
千兆接口
千兆光纤接口不少于2个,配套多模千兆光纤模块不少于2个
其他性能
安全功能
在不破坏网络正常通讯的情况下能有效防止ARP欺骗;抗DDOS攻击能力,特别是基于TCP/IP协议的各种类型的攻击。
用户认证
1、支持Radius通讯接口,支持标准RADIUSRFC协议,支持802.1x认证、WebPortal认证、PPPoE认证和本地数据库认证等多种方式登录认证,可以与第三方Radius互通。
2、能自动识别IPHONE、IPAD、Android和Blackberry等智能终端,对此类终端加以不同的策略设置。
3、具有按时长和流量计费的数据接口。
接入控制
1、支持基于MAC地址的认证方式。
2、支持基于Web的用户名/密码的认证方式。
3、支持对用户IP地址、端口号等方面的接入控制列表(ACL)功能。
4、访问白名单:
在使用者未完成身份认证时,无线控制器应允许用户不经认证访问白名单中的资源。
无线资源管理
★支持控制器运行期间的7×24小时自动无线资源管理功能,根据无线网络实际情况自动调节无线网络射频参数(功率和频点等),下发至AP生效,并不影响AP正常接入性能。
打开无线资源管理功能不影响AP工作。
IPv6支持
★支持IPv4、IPv6;无线控制器支持基于IPv6地址的网络维护和管理(如SSH,WebUI,Syslog,Telnet,FTP,TFTP等);无线控制器与瘦AP之间可通过IPv6的隧道方式进行通信
VLAN支持
支持≥512个VLAN
VLAN和SSID
支持VLAN负载均衡。
支持VLAN到SSID的映射,可设置每SSID一个VLAN、每VLAN多个SSID方式或者每个SSID多个VLAN。
控制器可以自动将接入该SSID的无线接入用户分配到该组中的不同VLAN中。
组播
支持IGMP、IGMPSnooping
带宽控制
能基于LDAP认证对不同类型用户进行差异化的带宽控制(上下行带宽分别设置)和会话数(IPSession数量)的控制,即实现对不同级别的用户带宽限制,以防范个别用户对无线带宽资源的滥用
QoS
支持针对单一用户进行QoS保障。
DHCP
支持基于SSID的DHCPRelay,即每个SSID可配置独立的DHCPRelay。
支持DHCPServer
漫游
支持2层和3层无缝漫游
SSID控制
支持SSID的隐藏
非法AP控制
★能够发现、定位和抑制非法AP和非法客户端,必须能够实现根据信号强度定位非法AP;AP在开启非法AP检测、干扰的情况下,此AP同时可以进行正常的用户接入和数据包转发。
用户可以手工或自动的方式开启此功能,并可以指定具体的部分的AP开启此功能。
要求必须采用接入模式的AP作为非法AP的检测、抑制设备,无需另外添加专门AP作为AP检测设备。
频谱检测
★可结合采用频谱分析功能的AP,实现对低层频谱的检测,,可以分析报告出2.4G及5G频谱范围内的非WiFi设备干扰,可实时进行射频频谱分析。
加密功能
支持WEP、WPA、WPA2、TKIP、AES加密
X抓包
可进行X抓包,并能通过主流第三方的数据包分析工具分析无线数据。
管理
统一管理
支持同一控制器配置和管理室内AP、室外AP及Mesh接入点
网络管理
支持XHTTP、HTTPS配置管理;支持SNMPv1/v2/v3、Telnet、SSH和Console管理
零配置
室内AP及室外AP可完全由控制器进行统一配置。
可靠性
产品成熟性
提供国内使用该产品组网且>=500个11nAP的案例
4)无线管理软件
类别
指标项
技术规范要求
平台
独立性
★网管软件必须是单独提供的软件平台
容量
管理AP数量
★配置不少于512设备的网管系统,可扩展至不少于5000设备
用户支持数
无线用户最大支持管理50000
扩展能力
可扩展管理能力,支持分级管理模式。
功能
管理方式
提供基于Web方式的X管理机制,提供可视化的实时监控功能。
支持SNMPv1/v2/v3、Telnet、SSH管理
支持对不同级别管理员进行管理授权,不同级别管理员检测、控制不同网管信息
支持用户分级或角色设定;支持不少于20个的用户群组,可以基于群组或用户设定不同的权限或管理策略。
支持临时帐号,可以定义帐号的有效期,过期自动失效。
可自动根据被管设备类型(如AP、控制器等)进行分类显示
支持大批量AP或者控制器的配置模板定制功能,并可通过网管自动下发配置;可以实现AP的免配置管理及控制器的免配置管理
详细的日志记录,支持基于用户帐号、MAC、以及AP的日志记录,提供日志记录的管理和查询功能;日志记录的容量要有清楚说明,并提供日志导出和保存的手段。
当系统发生故障时,可以通过email或短消息等方式及时通知相关网络管理人员。
热图显示
RF热图和AP的显示,必须具备各类无线终端定位和移动轨迹回放。
设备管理
可视化的控制器配置模版功能,并可通过网管软件自动下发;
支持控制器的免配置管理。
查看用户终端的MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC、AP设备等
支持AC、AP、station的流量等统计
可查看AP的客户端数量、客户端信息、信道状态、信道使用率、信噪比和信号强度分布等信息。
无线资源管理
支持可视化的无线资源使用情况监控,包括总体信道利用率、信噪比、底噪和干扰等,可查看每个信道的信道利用率、相关AP的利用率和使用情况。
频谱管理
1、支持空口质量仪表板,可查看最差AP空口质量状况;
2、支持空口质量报告及历史记录;
3、支持空口质量覆盖热图及干扰源影响范围图;
4、支持底层空口质量客户端排查工具。
状态管理
告警自动归类及合并,告警分级;AP、无线信号、安全、无线干扰等各种事件的告警。
非法AP控制
实时显示最近活动的非法AP,可根据情况对非法AP进行处理,包括纳为合法、继续告警、进行压制等(需要配置RougeAP的License)
5)POE交换机
类别
指标项
技术规范要求
品牌
★为保证统一管理性,POE交换机须与无线AP、无线控制器同一品牌
硬件要求及功能
物理端口
★提供24个10/100/1000M802.3at和af以太网端口,至少可提供4个SFP接口。
交换容量
≥128Gbps(24端口)
POE功率
★供电功率≥370W,可提供24个POE+端口供电,支持802.3af和802.3at(30W)供电。
VLAN
≥4096
路由
支持三层路由功能,支持静态路由和OSPF动态路由协议,路由表不小于8000条
网管
支持多种管理手段,包括命令行(CLI)、SNMP等。
可以被此次招标网管软件管理。
支持SNMPV1/V2/V3、RMON、SSHV2,支持通过命令行、Web、图形化配置软件等方式进行配置和管理
6)无线认证系统
目前,上海X大学正在建设新的用户认证系统。
认证系统为全校校园网用户维护统一的身份数据库。
用户分为不同的组,每个用户组有相应的访问授权策略。
通过认证后,系统会根据用户的授权情况对用户的网络访问进行控制,决定用户可以访问哪些资源,以及使用什么网络路径来访问这些资源。
新建的无线网络必须与学校在建的认证系统集成。
用户无论通过有线网络还是无线网络访问,都要经过相同方式的身份认证,采用同一套用户口令信息和授权信息,一次性认证后就可以访问授权的网络资源。
实现跨校认证还需提供详细的X大学与高校无线联盟漫游互通的解决方案。
本次项目的目的不是新建一张独立的网络,而是为现有校园网增加无线覆盖能力,建成后,新的校园网在使用方式上不应该有重大变化。
在尽可能与有线网络保持一致的同时,也要充分考虑无线网络本身的特点。
现有网络中有多种不同类型的终端,有通用计算机,各种各样的移动终端,如智能手机、平板电脑等,还有支持无线网络的专用仪器和设备,如无线视频监控仪,无线打印机,等等。
这些终端对认证方式的支持情况各不相同,本项目必须考虑为所有终端提供适当的认证方式。
根据对校园网络用户的安全要求,以及校内主要无线网络终端类型的统计,要求新建的无线网络必须支持以下几种认证方式:
Ø802.1x认证
目前主流的操作系统如MSWindows、MACOS、Android等都带有内置的802.1x客户端,简化了软件配置的问题。
考虑到802.1x又适合计算机操作熟练,且对无线传输安全要求较高的用户使用,故无线认证系统需支持802.1x认证方式。
ØWeb认证
Web认证方式需通过web浏览器引导用户完成认证,要求能提供友好、直观的界面,并且对是否具备浏览网络经