厦门大学校园无线网络招标文件
厦门大学
招标文件
招标项目
厦门大学校园无线网络
采购编号:XDZFCG2014-009
厦门大学资产与后勤事务管理处
第一章投标邀请
受学校采购领导小组的委托,我处以招标方式进行以下项目的政府采购,欢迎具备相应资格条件的供应商参加投标。
一、采购编号:XDZFCG2014-009
二、项目名称:厦门大学校园无线网络
三、供货地点:厦门大学思明校区、翔安校区
四、工期要求:中标通知书发出后30个日历日内
五、投标截止和开标时间:2014年3月24日上午9:00
六、报名截至:2014年3月21日下午5点(节假日除外),以传
真等方式进行报名,逾期视为放弃竞标机会
七、开标地点:厦门大学资产与后勤事务管理处物资管理科会议室
(厦门大学嘉庚主楼711房间)
八、本批采购的咨询联系人
陈老师: 0592-*******
招投标报名及相关方面的问题请联系:许老师
电话与传真:0592-*******、2181873、2186100、2182265
厦门大学资产与后勤事务管理处
2014年3月11日
第二章采购项目说明及要求
一、项目说明
1、项目背景
随着笔记本电脑和智能移动终端的普及,校园师生对校园无线网络的使用需求日益强烈,要求能随时随地的查阅资料、下载文献,实时接入在线课堂,收听实时信息,提交作业并与老师、同学进行在线沟通等。
本项目为适应移动应用需求的大幅增长,将对翔安校区及思明校区的部分学生活动较为集中的公共区域及楼宇进行统一管理的无线网络覆盖,建设统一管理的校园无线网络系统。
校园无线网应利用校园网统一认证数据库(LDAP)进行认证,仅允许本校人员进入内网,对访客的访问实施控制,确保无线网络的使用安全;具备智能信道和功率管理的无线控制器能对无线信道资源统一协调管理,使各楼层、校内各处的无线信道不会冲突,提高稳定性和使用体验,为师生提供高速、稳定和安全的无线连接。
无线系统采用控制器加瘦AP模式,保障用户漫游以及管理策略的统一下发;对网络中应用最多的语音和视频流提供优化支持;支持IPv6;可提供频谱分析和统一网管以便迅速解决无线网络中出现的问题;能迅速定位和查询用户的历史使用情况以满足公安等相关部门的要求。
2、项目采购说明
本次项目采购为定额招标,标的为350万人民币,包括硬件、软件及许可、工程安装和售后服务。投标方需在满足标书最低技术要求的基础上,提供自身投标方案。
本次项目要求不得使用运营商入围产品中的低端设备,而应采用正式的行业设备。
无线网络系统方案设计应基于厦门大学现状,一旦投标,则认为投标者对厦门大学的相关楼栋、主干网络环境、无线网络现状有充分了解,投标者对自身的解决方案完全负责。
对标书中的各项要求必须点对点应答(“技术规范要求”一列中的每点),不得虚假应标,如有正偏离,给出偏离表。如无点对点应答,招标方可视为投标文件无效。
投标方案应考虑充足的软件授权许可。在三年之内,如果招标者发现因软件授权缺失不足以满足招标书的要求或不足以满足投标书中声明满足的各项技术指标、功能及技术方案等,则投标者均需无条件增加软件授权。比如招标书中有安全的要求,投标方也做出满足的应答,但实际使用中发现需增加安全相关的许可,则投标方需无条件立即增加相关许可。
招标方保留对拟中标者的方案进行实际验证后再签约的权力,投标者如不能配合验证,则不予中标;如验证后发现实际情况与投标内容不符或达不到投标书中的声明,即使满足招标书基本要求,也不予中标。
项目验收时,投标产品在满足招标书要求的同时,又必须满足投标书的所有应答内容。
3、方案总体要求
总体要求如下:
方案应具备可扩展性好、标准化、安全性高、稳定性高等,工程实施中应考虑天线美化设计;
★用户认证能与厦门大学的现有LDAP服务器对接,利用其中的用户组属性及属性组合进行用户策略的下发与控制(厦门大学LDAP中包含有中文属性字段);
★安全性高。支持无线IDS/IPS、用户数据加密、能自动发现和防范多种针对无线网络和终端的无线攻击行为,能实现对非法无线设备的自动发现、分类和压制功能;
★无线网络系统兼容性好,可用性高,能支持多种主流硬件平台和操作系统;
★无线控制设备或无线交换机可支持冗余;
★实现二三层无缝漫游;
★支持频谱检测分析;
★支持Native IPv6;
★良好的管理性。比如可方便查询用户的使用情况,至少可根据时间和IP 地址两要素快速查询是哪个账号在什么地点使用的。
★管理策略、用户使用习惯的一致性。目前校内部分区域已经部署有Aruba 无线系统,已经有超过6000个用户在使用。本次项目尽量保证用户在已有的无线覆盖区域和本次新建的无线覆盖区域中的使用方式的一致性,减少用户在不同区域中的使用方式的不同和频繁切换;尽量保证校方在管理上能使新旧两个区域的管理策略保持一致,避免在不同区域对用户的管理要求不一致。
投标者提供本次项目的实施方案,配置的设备以及方案可以高于或优于上述要求,同时可论述自身方案的特色、优点及适合厦门大学使用的应用场景。
4、无线系统覆盖区域
本项目建设目标是覆盖翔安校区、思明校区的学生活动较为集中的公共区域为主,区域类型主要为食堂、咖啡厅、会场、学生活动中心及公共教学楼等的室内区域,以及广场、芙蓉湖等室外区域。具体位置包括但不限于以下表1、表2列明的区域:
表1 翔安校区本次项目必须覆盖区域一览表
校区位置详细位置
翔安校区
咖啡厅
国际学院咖啡厅
能源学院咖啡厅
生命科学学院咖啡厅
公共卫生学院咖啡厅
药学院咖啡厅
医学院咖啡厅
海洋与地球学院咖啡厅
环境与生态学院咖啡厅
孔子学院
一楼走廊
综合楼外广场(室外)5号楼一楼
3号楼广场
南侧校门广场(室外)
北侧湖畔广场(室外)学生活动中心学生活动中心
一号楼
一楼
二楼
三楼
四楼
五楼
三号楼1~9楼
表2 思明校区本次项目必须覆盖区域一览表校区位置位置
思明校区咖啡厅人文学院咖啡厅
新闻传播学院咖啡厅
外文学院咖啡厅
经济学院咖啡厅
管理学院咖啡厅
公共事务学院咖啡厅
继续教育学院咖啡厅
南洋研究院咖啡厅
数学科学学院咖啡厅
物理机电学院咖啡厅
化学化工学院咖啡厅
信息科学学院咖啡厅
软件学院咖啡厅
材料学院咖啡厅
建筑与土木工程学院咖啡厅
食堂芙蓉食堂(不包含3层)
海滨食堂
东苑食堂
南光食堂
凌云食堂
海韵公寓一期食堂
海韵公寓二期食堂
报告厅建南大礼堂化学报告厅
户外区域芙蓉湖室外区域(室外)
校友总会校友总会
投标商提供的AP数量多出部分可扩展部署到:
思明校区包括南强二教学楼、嘉庚4号楼、嘉庚5号楼、集美二号楼、校友总会、群贤二号楼、海韵教学楼、学生公寓教学楼。
翔安校区包括主楼群4号楼、5号楼全部、游泳馆。
5、无线系统的系统技术要求
本招标书将尽量避免采用私有协议名称来陈述技术需求,但不完全排除出现私有协议或某厂商的独特习惯用词。如出现该情况,应标者可以用功能相同或相近的标准协议来应答。无论是否对该私有协议、私有名词的支持冠以“*”号标明为必须的,招标者均不仅以应答者无法支持该私有协议为由而作出不中标决定。
举例:如出现对PVST、VTP、HSRP、DPT支持的要求,应答者可以直接以支持该协议应答,亦可以功能相同或相近的标准协议MSTP、GVRP、VRRP、RPR 来应答。
第3部分的“方案总体要求”中的各项要求以及本部分中打有“★”的要求为必须满足的要求。
对于本部分中没有打“★”的各项技术要求,如果没有在“方案总体要求”中提及,而且不能有三个厂商同时满足,则不作为必须满足的要求。
每一点的技术要求可能包括几部分内容,应标者应先明确回答“满足”、或“不满足”。同时提供测试结果截图或可证实的资料予以说明,如果不能提供相关支持资料说明,则不予采信。如遇有参数性要求,应明确应答具体参数,比如无线控制器可支持的接入AP数。
是否满足技术要求以本次项目整体可实施为判定依据。
比如,当前所投标的无线控制器和所投标的无线AP不能支持某点技术要求,但是所投标的无线控制器和该品牌的其他无线AP组合可满足该点技术要求,则不能回答满足该技术要求;
又如,本次投标的产品中只有部分能实现某点技术要求,则应明确指明;
又如,无线控制器的某一个软件版本可以实现功能A,但不能实现功能B;另一个软件版本可实现功能B,但不能实现功能A,则不能回答能满足功能A和B,因为在项目实施的时候不能部署两个版本。投标时只能以某个版本作为回答依据;
又如,开启某个功能A的时候,功能B则不支持,或性能下降到不能正常使用,也不能同时回答满足功能A和B。
应明确指明本次投标所采用的软件版本,提供完整版本号,包括控制器、AP、无线网管、用户认证接入系统等,软件版本应为正式公开的主要版本,截止到本标书公布的时间,不能采用实验室版本或测试版本或特别的分支版本或日后版本。
本次无线网络系统的组成部分包括:
无线控制器、无线接入AP(室内)、无线接入AP(室外)、POE交换机、POE模块、无线相关软件(无线网管系统、用户认证接入管理系统)以及无线工程实施与服务。
本次为定额招标,投标的产品数量、性能指标可以高于下列中的标书要求,但是室外AP的数量固定为50台。
1、无线控制器
数量:4台;要求为独立设备,保证无线系统的整体稳定和灵活部署。
单台支持同时管理1000个及以上在线AP;全部控制器能支持同时管理3000个以上的在线AP。
本次要求单台提供2个或以上万兆光接口,配置2个多模万兆光模块;单台可支持25000个以上并发用户;
带相关许可:
为实现本标书中(整个标书,不仅限于下方中的技术规范要求的表格)各项技术要求所需的各种软件许可必须配置。
如果许可数与AP数量有关的,本次需配置支持1000个在线AP且不少于本次实际投标的AP总数;如果许可数与用户数/终端数有关的,本次需配置支持25000个并发用户/终端。
必须结合考虑本次设计方案中对AC冗余的设计。当有些控制器出现故障的时候,所有AP都能快速转移到剩余的健康控制器上面,而不会出现许可不足的情形。当有些控制出现故障的时候,健康控制器上面的许可数足够支持在线AP,也即是健康控制器上面的许可能支持1000个在线AP(且不少于实际所投的AP总数),支持25000个并发终端。但不能是通过手工方式把故障控制器上面的许可增加到健康控制器。
类别指标项技术规范要求
版本号软件版本号★列出涉及的各系统的完整软件版本号,用于验证和实际运行。提供的版本应该是可以长期稳定运行的主版本,不可以是专用于测试的特别版本。
性能接入AP数★单台支持接入AP≥1000个接口类型★单台支持≥2个万兆接口
无线转发性能★单台≥20Gbps
用户数并发★单台支持≥25000并发终端
基础VLAN数量
★支持≥256个VLAN。支持VLAN到SSID的映射,可设置每SSID
一个VLAN、或每个SSID多个VLAN,以减少广播域
支持标准协议
★支持802.11n、802.11b、802.11g、802.11a
802.1q、802.1x、802.3z、802.3ab、802.3d、802.11e、802.11w、
802.11h,802.11i,802.11k
支持802.11ac
★支持TFTP、TELNET、HTTP、SSH、HTTPS、SNMP
控制器管理
数据转发为本地转发或集中转发,或同时支持,或其他更先进方式。
应说明本项目中的实现方式。本标书后面的所有各功能点(技术要
求点)的应答时以本项目中实现方式为前提。如某个功能只能在集
中转发下实现,而本项目的实现方式为本地转发,则需应答为不满
足。
★支持控制器堆叠,支持1+1、N:1冗余方式(N≥2);多台控制器之间的配置可以自动同步或手动同步,以保持一致性。明确答复本次配置的4台控制器之间的配置是否能自动同步。
★多控制器间有热备机制,当某一个控制器出现故障时,用户应该能快速切换到其它的控制器上。
多控制器间可设置为同一个射频域,即多个控制器能协同一致进行无线资源的管理。
多控制器间可设置为同一个漫游域,保证跨控制器的无缝漫游。可建立与有线主干设备间的多路物理连接,以消除控制器与有线主干网络之间的单点故障。控制器能支持STP、OSPF协议。
AP管理配置策略应该是基于AP分组进行的。
AP在多台控制器上的负载均衡。不论AP和AC是在同一网段还是跨网段都能自动均衡。或者人为控制的负载均衡。或者强制某些AP或AP组优先加入某些控制器。
★支持AP状态指示灯显示的远程可控。
用户管理用户认证
★配合用户认证接入管理系统完成认证与计费。
★用户认证管理系统能与厦门大学的LDAP服务器(包含有中文属
性字段)的对接上,利用其中的用户组属性及属性组合进行用户策
略的下发与控制;
★可支持两组以上认证接入管理系统,并进行轮询或互相备份(本
项目要求提供两套,详见第6部分“用户综合接入认证平台”)
支持基于MAC地址的认证方式、支持基于802.1X的用户认证方
式,支持802.1x/EAP,EAP-TLS、EAP-PEAP、EAP-TTLS
★用户第一次用智能终端上网的时候,需要认证,然后自己注册,
以后用同一台智能终端的时候在一段时间内就不用再认证了。可设
置无感知认证的时间长度。
可设置免认证可访问的资源,比如一些邮件页面,一些会议的主页。
支持用户白名单和黑名单功能。当用户的MAC地址在白名单里
时,直接允许用户接入,不需要认证;如果用户的MAC地址不在
白名单里,那么需要认证界面;
支持黑名单功能。可手工添加;可自动添加有潜在危害的用户账号:
或多次认证失败自动添加;或因为攻击行为被wIDS/wIPS系统置
入黑名单
Web portal登
录
★支持外置web portal认证;支持web portal的重定向登录,
不同的用户认证通过后会有不同的欢迎页面。
可以根据不同的终端类型弹出不同的portal认证页面和欢迎页面,
可进行页面适配。
可以和单点登录SSO结合起来。
用户接入同一个SSID下的不同上线地点(也即是根据AP Group)的用户可被分配到不同的VLAN,如办公区的用户和宿舍区的无线用户获得
的IP地址不同;
同一个SSID接入不同身份的终端用户,可根据认证身份的不同分配进入不同的VLAN/IP subnet(在MAC认证和801.1x认证的前提下)。
支持同一SSID下的混合认证、混合加密,列举可支持的形式如MAC 和Portal的共存、MAC和1x的共存、1x和portal的共存
★基于用户/用户组的策略控制与下发。策略下发包括安全ACL、QoS带宽控制以及VLAN分配(在二层认证的基础上)等;对用户的带宽控制可针对上下行带宽分别设置;对用户的分组和识别要基于厦门大学LDAP中的属性以及属性的组合
无线客户端之间可以隔离
访客管理可现场管理,比如提供大堂管理员功能;
用户可以自注册,支持以手机号码为凭证。系统通过短信网关把用户名和密码发送到手机号码上。
无线资源管理射频
★可根据周围电磁波环境的变化,全局性合理调控每个AP的信道、
功率大小等,以达到最优化覆盖的目的。
AP高密度部署的时候,支持channel reuse
信道调整的时候,支持802.11h
★支持在2.4Ghz和5.8Ghz的混合模式下,支持5.8G导引功能,
优化终端优先选择5.8G的频率接入,保证无线资源的最大化利用
AP高密度部署的时候,用户可以在不同AP上负载均衡
802.11k支持,不至于使所有客户端都连接到信号最强的AP上
支持2.4GHz和5GHz的负载均衡,可根据用户数或者用户流量频谱分析检测
★能实时查询无线质量数据
★采用图形化方式,主动探测和识别所有WiFi(2.4GHz/5.8GHz)
波段的射频干扰源,可实时进行射频频谱分析,可提供实时FFT图、
占空比图、干扰设备列表、信道占用率列表、干扰功率列表、信道
质量列表等等
★可实现在提供用户接入的同时进行频谱分析功能。根据分析可给
出简单明了的空口质量信息,简化用户排查故障的时间
频谱检测功能能与射频管理联动,比如某个信道的占空比较高的时
候,可自动优化调整到其他的信道
流量整型
支持在802.11a/b/g/n的混合模式下的无线用户流量整型功能,
支持AP公平时分模式和针对终端的优化模式(如n,g,b平均
分配空口资源的时间片,或者n优先于a,a优先于b。)
空口抓包,远程
镜像
在不导致线上用户掉线的情况下进行实时远程抓包,并能以流模式
进行分析,如通过主流第三方的数据包分析工具实时分析无线数据
安全加密功能支持WEP、WPA、WPA2、AES-CCM
支持wIDS/wIPS
可以侦测无线入侵,并记录和显示入侵的数据,且可对入侵做出自
动保护,建立黑名单列表。说明可支持的攻击检测主要有哪些。
支持处理各类无线环境下的攻击如各种DoS攻击(射频干扰、解除
认证/解除连接洪水、虚拟干扰等)。
支持处理ARP欺骗,ARP flood等攻击,支持处理假冒DHCP,DHCP flood等。
加密传输支持所有AP到控制器的控制信令及用户数据能以加密方式传输至控制器,说明加密后控制器转发能力受影响的情况
非法AP压制支持非法AP、非法客户端的发现、抑制功能;采用接入模式的AP 做为非法AP的检测、抑制设备,无需另外添加专门AP做为AP 检测设备
能够实现自动发现并围堵AdHoc Rouge AP
可只压制使用同一个SSID的非法AP
★可自动压制非法AP。列出可能的压制方法。
反压制,可抵御多种攻击。
防火墙功能说明是否配置状态防火墙,可以是内置的防火墙、防火墙板卡或者外置的防火墙。
给出防火墙的关键性能指标,包括并发连接数、可处理的吞吐量等;给出防火墙可提供的防护功能。
说明是否有基于无线用户(而非仅基于IP的)的安全防护能力。可以是内置防火墙、防火墙板卡、外置防火墙与控制器之间的直接联动,或者是通过用户认证系统进行联动,达到基于无线用户的安全防护。
功能漫游支持
★要求支持2、3层情况下,无线用户在数据不加密以及
WPA/WPA2加密情况下可以跨AP/AP group和跨控制器无缝漫
游,在不同的IP子网段、不同的AP 与控制器间无间隙漫游。
★要能支持对漫游客户的状态跟踪。
漫游中组播不中断
在漫游中,原下发给用户的各种策略依然生效,视音频流畅,带宽
控制等有效
Mesh功能★支持控制器下AP以Mesh的工作方式工作
远程AP
支持AP跨广域网与控制器进行VPN连结,用户可以通过远程AP
进入校内的SSID,访问校内资源。不限定本次所投的AP本身可作
为远程AP。如本次所投的AP不能作为远程AP,说明本品牌可用
作远程AP的具体型号。
视音频
★支持Wi-FI Multimedia(WMM)/IEEE 802.11e
支持SIP,H.323,SCCP,SVP等多语音应用流的自动识别技术,支持
IP语音信令会话端到端报告
支持对视音频的准入控制(CAC),不至于因增加过多的视音频
用户而导致不能保证视音频的流畅。可支持基于语音流量的呼叫准
入控制, 支持语音带宽预留功能;可支持基于无线参数、干扰的语
音呼叫准入控制
Qos控制
在空口资源侧,能对自定义或预定义的不同的应用进行不同带宽保
障
可自动识别视音频,把敏感通信自动提高QoS等级。
IPv6支持
★支持Native IPv6;
★支持IPv6安全,如IPv6 ACL;
支持MLD Snooping,可播放IPv6的组播视频支持IPv6用户漫游
★支持对IPv6用户的管理
组播和广播支持IGMP、IGMP Snooping、IGMP V3。
能够对组播和广播进行优化或抑制;可以支持组播优化为单播;能够优化组播速率,可以把原来组播的从最低速率提升到更高速率。支持ARP广播包转换为单播包。可以不对无线侧转发ARP请求,而是根据关联信息表做Proxy ARP;可阻断无线客户端之间的ARP 通讯。
支持基于组播视频的准入控制能力,在AP接入视频流能力不足的情况下,拒绝新组播用户加入
支持对组播流进行Qos优化,保证高清组播视频流的图像质量完全和通过有线网传输一致
闲置时间可设置用户闲置时间
系统日志★提供基于应用的系统日志记录,或指定某种应用类型进行Syslog 记录
投标者可以提供自己产品其他的功能特色,并列出可以在大学校园中使用的场景。
2、室内AP
数量:500台;
支持2.4G和5.8G双频;
支持802.11n,单个射频模块支持450Mbps带宽;
带相关的天线;
类别指标项技术规范要求
版本号软件版本号★列出涉及的各系统的完整软件版本号,用于验证和实际运行。提供的版本应该是可以长期稳定运行的主版本,不可以是专用于测试的特别版本。
硬件基础要求★支持802.11a/n与802.11b/g/n同时工作,支持主流厂商的客户端。支持IEEE802.3af /802.3 at POE供电及外部供电。在POE供电模式下,可以完全驱动2个独立无线模块,实现在同一时间和同一频段下两个或更多个发送空间流满速率工作。
★每用户2Mbps的普通数据或者组播流量的情况,每台AP 可同时支持不少于30个用户接入能力
★AP可通过DHCP option方式连接无线控制器,加入无线网内
★支持3个空间流的多路多出(MIMO)
★接口≥1个10/100/1000Mbps(RJ45)。
3、室外AP
数量:50台(本次室外AP的投标数量统一为50台)。
支持2.4G和5.8G双频;
支持802.11n,单个射频模块支持300Mbps带宽;
带相关的天线;
类别指标项技术规范要求
版本号软件版
本号★列出涉及的各系统的完整软件版本号,用于验证和实际运行。提供的版本应该是可以长期稳定运行的主版本,不可以是专用于测试的特别版本。
硬件基础要求★支持802.11a/n与802.11b/g/n同时工作,支持主流厂商的客户端。支持IEEE802.3af /802.3 at POE供电及外部供电。在POE供电模式下,可以完全驱动2个独立无线模块,每个模块300M,实现在同一时间和同一频段下多个发送空间流满速率工作。
★每用户2Mbps的普通数据或者组播流量的情况,每台AP可支
主要功能频谱分析
★支持频谱分析功能,实现对2.4GHz和5GHz频段的频谱分
析功能;
★每个AP在做频谱分析的同时,都能够在2.4G和5G两个
频段上同时提供无线用户接入和数据包转发。AP的频谱分析
功能包括识别无线干扰类型、干扰的信号强度、干扰影响的无
线信道、干扰占用无线信道,可分析报告出2.4G及5G频谱
范围内的非WiFi设备干扰,可确定干扰源;
★可通过软件转换为独立的专用频谱分析仪器,通过网络远程
连接查看频谱分析结果,实时显示;
可通过干扰事件触发上层无线资源管理算法,通过评估信道空
口质量,对信道进行合理调节;
可结合系统其他网元实现对干扰源物理位置的定位,并且可以
报告干扰源影响的物理范围;
发射功率★最大为100mw
覆盖范围开阔地50-100米,室内(砖墙)20 ~ 50米。
天线支持★集成内置或外置天线,天线必须同时支持2.4G/5.8G频段环境要求工作温度:0-40度范围;工作湿度:10%-90%
安装要求方便安装,可支持吸顶式或挂壁式安装要求
远程抓包
可将远端AP的流量镜像到本地的IP可达的终端设备上,供主
流第三方的数据包分析工具分析无线数据。
QoS 支持QoS的硬件队列数大于2
多SSID支持
★支持≥16个SSID;可配置某个SSID只能在一个或多个的
AP/AP group上工作。
数据转发
★支持隧道模式或本地转发模式,但必须实现用户在不同AC
和AP下的二三层无缝漫游。
持不少于30个用户接入能力
★AP通过DHCP option方式连接无线控制器,加入无线网内★接口≥1个10/100/1000Mbps(RJ45)。
主要功能频谱分析
★支持频谱分析功能,实现对2.4GHz和5GHz频段的频谱分析功
能;
★每个AP在做频谱分析的同时,都能够在2.4G和5G两个频段
上同时提供无线用户接入和数据包转发。AP的频谱分析功能包括
识别无线干扰类型、干扰的信号强度、干扰影响的无线信道、干
扰占用无线信道,可分析报告出2.4G及5G频谱范围内的非WiFi
设备干扰,可确定干扰源;
★可通过软件转换为独立的专用频谱分析仪器,通过网络远程连
接查看频谱分析结果,实时显示;
可通过干扰事件触发上层无线资源管理算法,通过评估信道空口
质量,对信道进行合理调节;
可结合系统其他网元实现对干扰源物理位置的定位,并且可以报
告干扰源影响的物理范围;
覆盖范围开阔地100-300米,室内(砖墙)30 ~ 60米。
天线支持★外置天线,天线必须同时支持2.4G/5.8G频段
环境要求工作温度:-30-60度范围;工作湿度:5%-95%
室外等级★P66(不接受应用室内设备加防水外壳改造的设备)
远程抓包可将远端AP的流量镜像到本地的IP可达的终端设备上,供主流第三方的数据包分析工具分析无线数据。
QoS 支持QoS的硬件队列数大于2
多SSID
支持
★支持≥16个SSID;可配置某个SSID只能在一个或多个的
AP/AP group上工作。
数据转发★支持隧道模式或本地转发模式,但必须实现用户在不同AC和AP下的二三层无缝漫游。
4、无线网管系统
数量:1套
如果有许可要求,则需有充足的许可,同时满足以下要求:
1)投标的许可必须能满足对本次所有无线设备的管理需求;
2)涉及到AP数量的许可,本次要求配置到支持1000个AP,或者不低于本次实际投标的总AP数量;
3)满足本标书中的各种技术要求所需的许可。
以下的某些功能,如需其他的软硬件配合才能完成的,则必须在提供有相关的软硬件的前提下才能应答为满足。
类别指标项技术规范要求
版本号软件版本号★列出涉及的各系统的完整软件版本号,用于验证和实际运行。提供的版本应该是可以长期稳定运行的主版本,不可以是专用于测试的特别版本。
管理能力具体要求
★能够对本期配置的无线设备(包括控制器、AP)进行统一的配置管
理、性能管理、故障管理和安全管理。
同时能够对本期配置的POE交换机进行统一的配置管理、性能管理、
故障管理和安全管理,从而使所有的无线相关的设备都进行统一管理。管理AP数量★至少可扩容支持对5000个以上AP的管理。
管理功能远程管理
★能通过网管对无线网络设备进行配置、查看其状态等。可备份各设备
上的配置,可对AP进行远程重启动。
管理方式
提供基于HTTPS方式的远程管理机制,提供可视化的实时监控功能;同
时对控制器支持命令行管理。
拓扑图管理支持呈现无线网络的拓扑图;
故障诊断与
排错
提供多种手段与工具方便或辅助网络管理员进行无线网故障诊断和排
除。
可通过网管系统对指定无线客户端进行无线信号检查、无线层排错分析
和认证分析等。
统计报表
★支持客户化的统计报表功能,具备显示流量排名、最活跃的用户、当
前流量最高的用户、最常被使用的AP等报表管理功能;使网管人员能
够灵活定义报表的内容,包括统计范围、时间段、以及各种统计内容,
并能够通过email发送到指定的邮箱地址
管理控制★支持分级授权和管理,支持不同的管理员具备不同的权限。
用户管理能
力
★具备临时限制某些用户帐号使用的能力,一旦发现某些帐号有违规行
为,不用在认证服务器上做限制,而是直接限制它的帐号或者让用户下
线;
★用户跟踪,可基于帐号或者MAC地址跟踪任一用户的历史登录情况,
包括时长和地点等等;当前用户的各种信息,包括所执行的策略(如带
宽,ACL等),终端信息,流量,RSSI等。
热图显示
可实时查看无线网络的热区图,即通过设定AP流量阈值,标定各个热
点AP,形成热区图(热区图可根据AP位置移动,产生实时变化)。
支持AP热区图分布显示(连接速率或信号覆盖情况), 可在一个页面
上显示本楼层或区域内所有无线AP、无线终端的位置。
可以在热图上查看非法AP所在的实际地理位置,如楼层方向等。
自带规划功
能
能够估算在要求的覆盖面积的范围里AP 应安装的数量和物理位置
定位能力
提供客户端实时定位功能,可同时显示多个客户端(不少于30个)物
理定位,且30个无线客户端的位置信息可以显示于同一页面,定位功
能不应影响系统性能。如需增加额外设备实现的,应说明。
被定位对象可以为普通的WiFi终端,包括笔记本、无线手机、PDA等,
也可以是WiFi Active Tag。
可以在定位系统上显示非法AP实际物理位置,从而帮助管理员快速去除非法AP。
可查询至少50个终端的移动轨迹(所经历的AP)。
要求定位系统支持开放式API,确保第三方应用能够通过一个标准的界面来访问和获取实时位置信息,以满足后续的应用需求。
能耗管理无线控制器与POE交换机的联动,可按定义策略,如时段,关闭某些不使用的AP;具有AP电源管理功能,可把发射功率最小化或关闭射频或单天线待机等;定时管理AP功率。
远程管理支持对AP的远程重启。
配置管理支持大批量AP配置模板功能,并可通过网管自动下发;支持AP的免配置管理;
性能管理★对于无线控制器,可查看每个控制器下的客户端数量、上下行带宽、AP数量、以及每个AP的名称、MAC地址、IP地址、终端数量、工作信道、发信功率等具体信息;
★对于无线AP,可查看每个AP的客户端数量、客户端信息(包括用户名、MAC地址、IP地址、联网时长、AP关联的初始和终止时间、信号强度、使用带宽、上下行流量等)、AP流量、信道状态、信道使用率、信噪比和信号强度分布等信息。
无线资源管理★支持可视化的无线资源使用情况监控,包括总体信道利用率、噪声水平和干扰等,可查看每个信道的信道利用率、相关AP的利用率和使用情况。
状态管理支持告警自动归类及合并,支持告警分级;支持控制器资源、AP状态、无线信号、安全、无线干扰、Mesh、定位等各种事件的告警,并能够通过email发送到指定的邮箱地址。
系统记录对系统事件进行分级管理;记录系统异常情况、管理员活动情况、用户活动情况(用户上下线,MAC,时间)等;系统事件应该可以记录到远程的syslog服务器上;具备邮件、短信的告警功能。
频谱管理支持空口质量仪表板,可查看最差AP空口质量状况;支持空口质量报告及历史记录;
支持底层空口质量客户端排查工具。
查询功能★能根据关键字,用户名,MAC地址,IP地址等信息,进行相关历史数据查询。至少能根据时间和IP地址查询出是哪位用户(账户)在什么地点(哪个AP)下使用的。
5、POE交换机和POE模块
5.1 POE交换机
数量:70台;
支持远程供电,支持802.af、802.at;
提供24个10/100/1000BASE-T POE/POE+;每台交换机支持24个供电口同时工作;
提供4个千兆光口,每台POE交换机本次提供2块千兆单模光模块用
于上联。
类别指标项技术规范要求
版本号软件版本号★列出涉及的各系统的完整软件版本号,用于验证和实际运行。提供的版本应该是可以长期稳定运行的主版本,不可以是专用于测试的特别版本。
性能及端口要求接入端口要求
★至少24个POE 10/100/1000BASE-T POE/POE+ RJ-45,内
置全供电,不可配置额外供电模块
上联端口要求★至少4个千兆光口上联
MAC地址★系统支持4K个MAC
Vlan 数量★至少支持1K个VLAN
转发性能★线速
POE ★802.3af POE/802.3at POE+能力
功能要求二层功能
支持生成树协议STP(IEEE 802.1D),MSTP(IEEE
802.1s),RSTP(IEEE 802.1w)
支持IEEE 802.1Q
支持至少2端口聚合,4组端口聚合组
支持IEEE 802.3,IEEE 802.3u,IEEE 802.3ab, IEEE 802.3z 组播要求
IGMP v1, v2
IGMP snooping
POE智能电量控制自动运算与控制每个端口的电量输出
安全要求
支持每端口IEEE802.1x认证
支持MAC 地址认证
MAC 过滤
广播风暴控制
管理要求
SNMP v1, v2c, v3
支持NTP:Network time protocol
支持DHCP转发
支持RADIUS认证
支持TACACS+认证
支持SSH2管理
支持HTTP/HTTPs/telnet管理
QoS指标
支持基于端口、VLAN、用户的QoS配置
支持802.1p/DSCP/IP precedence
每端口至少支持4个QoS硬件队列
本POE交换机主要用于无线网的有线承载网的一部分,所以与无线控制器尽量同一个品牌,而且能被无线网管系统统一管理。请列出投标的POE交换机的其他特性,如安全特性,尤其是与无线网络相关的特性,以及相关特性可在校内应用的场景。
POE交换机通过千兆光纤上联到校园主干网,校园网主干网这端的设备、端口及光模块由校方提供。
5.2 POE模块
数量:150;其中至少需要有50个支持IEEE802.3at供电,用于室外AP。
另外100个可以支持IEEE 802.3af。
接口:10/100/1000M自适应
6、用户综合接入认证平台
安装数量要求为2套或更多,分别安装在不同物理服务器或者虚拟机中。物理服务器或者虚拟机由用户提供。2套平台如可组成集群,则应组成集群,实现多台认证服务器之间的数据库同步、负载平衡。
各厂商的授权许可设计不同。总体要求配置25000个在线普通用户认证许可,500个在线访客用户认证许可。如果安装认证平台的服务器不能组成集群或者集群内的服务器不能实现许可共享,则需配置50000个在线普通用户认证许可,1000个在线访客用户认证许可。
由于各厂商的系统体系不同,下面表格中的一些要求,如果在本次投标的无线网管软件中可得到实际完全满足,投标者仍可应答为满足,但需明确指出;如果一些技术要求还需要其他的软硬件配合,则必须在提供其他的软硬件的前提下,才可以应答为满足。
为满足本标书其它部分的技术要求,尤其是与用户接入和用户管理相关的技术要求时,投标者可能需要用户综合接入认证平台提供下面表格中没有提及的功能。比如,标书的其他部分有个技术要求A,该技术要求A需要用户综合接入认证平台提供功能B,如果投标者要回答满足技术要求A,则投标者必须提供可支持功能B的用户综合接入认证平台,而无论功能B是否出现在下面的要求表格中。
类别技术规范要求
软件版本号★列出涉及的各系统的完整软件版本号,用于验证和实际运行。提供的版本应该是可以长期稳定运行的主版本,不可以是专用于测试的特别版本。
系统架构说明是否可以通过VMware虚拟机进行快速部署。说明在物理服务器和VMWare虚拟机环境下所有系统功能是否完全一致。
支持基于浏览器的管理方式,不需要安装管理客户端的优先考虑。
支持终端自动识别管理系统、终端健康检查及网络准入控制系统、终端自助注册及配置管理系统、访客自助接入管理系统等功能模块和组件。
支持服务器集群工作模式,同一集群中可配置服务器数量不低于2台,列出实际可配置的服务器数量。支持认证服务器之间的数据库同步、负载平衡,保证系统在未来能够平滑扩展。
系统容量★配置25000个在线普通用户认证许可,500个在线访客用户认证许可。如果不能组成集群或者集群内的服务器不能实现许可共享,则需配置50000个在线普通用户认证许可,1000个在线访客用户认证许可。
说明是认证用户数短时间超过配置的许可数的工作方式。比如特定环境下,突发用户数量在超过25000个后短期内是否仍然能够正常接入。
功能特性支持灵活、可定制的认证策略,能够基于认证方式、认证时间、认证地点、用户身份、帐号属性、终端类型、健康状态等多重因素及其组合进行身份认证和策略决策
能够同时提供RADIUS, TACACS+等多种认证服务
能够同时提供基于Web、802.1X和非802.1X的认证和授权服务,说明是否支持对不同服务指定独立的认证源及其顺序能够提供丰富的认证事件报告和用户认证故障分析工具
说明是否内置业界主流的网络设备接口,能够与多家产品实现认证、网络准入的互操作
支持RFC3576,能够主动发送CoA报文给支持RFC3576的网络设备,实现对接入终端的授权变更,支持的优先考虑
身份认证列出可支持以下身份认证方法,如:
MAC ,RADIUS, RADIUS CoA, TACACS+, web authentication,EAP-FAST (EAP-MSCHAPv2, EAP-GTC, EAP-TLS),PEAP (EAP-MSCHAPv2, EAP-GTC),TTLS (EAP-MSCHAPv2, EAP-GTC, EAP-TLS, EAP-MD5, PAP, CHAP),EAP-TLS,PAP, CHAP, MSCHAPv1 and 2, EAP-MD5
支持以下认证源:
★LDAP服务器,必须能支持厦门大学当前使用的LDAP服务器;
Microsoft Active Directory;
基于身份的内置数据库;
内置的MAC地址数据库
支持以下认证决策:
基于Radius和SNMP的VLAN动态分配;
基于RFC3576的CoA;
基于VSA(厂商特定属性)的各种属性返回
终端自动识别支持终端类型的自动检测识别功能,须支持以下终端信息收集方式:
MAC OUI;
DHCP Option;
HTTP Agent;
SNMP-based polling;
AD and Exchange ActiveSync Plugins
等方法自动精确识别终端类型,并提供终端类型库文件的不断升级
终端自助注册及配置在终端自动识别的基础上进行终端设备自助注册,设备认证帐号及证书自动创建及自动下发,完成终端网络参数自动配置
终端健康检查及网络
准入管理支持终端健康检查和网络准入功能,并能提供基于Windows、MAC OS X和Linux的终端代理(agent)。
列出终端健康检查所包含的内容,如windows补丁检查等。
第三方整合提供标准XML API接口,能够与第三方系统(如办公系统、资产管理系统)整合,实现用户帐号的添加、修改和删除。
7、布线工程、设备安装及服务
包含布线工程、无线AP的现场安装、无线控制器的安装、软件系统的安装,无线网优化、三年的维保服务等。
工程施工范围请参考第4部分的“无线系统覆盖区域”。在确定中标者后,要求中标者进行详细的现场无线勘探,根据本次的AP总数量,对各楼宇的AP部署数量、安放位置进行设计,给出具体方案。
投标方应负责工程的完整实施,报价应包含一切材料费用、人工费用。
如果投标中的材料数量低于实际需求,或者缺少辅材,均由投标方无条件负责。
根据实际情况,招标者有权变更无线AP的安装位置,也即一部分AP 可能被调整安装到第4部分中“无线系统覆盖区域”之外的楼宇或位置,但一定是在厦门大学的思明校区和翔安校区内。招标者不会另行支付任何可能存在的工程实施费用、工程差价,请投标者务必知悉。
工程实施报价以AP为单位,给出平均每AP的工程费。分室内AP和室外AP。室外AP要求考虑美化伪装。
本次为定额招标,必须保证所有投标的产品都能得到工程实施。假设投标的室内AP数量为510个,但只提供了500个室内AP的工程实施,将被视为不合理的投标,即使中标,招标方也不会支付其中的10个AP的工程实