技术全参数ppWord文档格式.docx

1、配置说明: （质保一年;配置1个千兆单模光模块）3.1.3 机场侧24口千兆接入交换机1.交换容量200Gbps；2.包转发率42Mpps；3.端口配置24个10/100/1000Base-T以太网端口，4个千兆SFP端口；6.支持G.8032开放环或SEP、REP半环协议,可与其他厂商设备混合组网，要求倒换时间50ms,；8.支持CC认证，认证等级为EAL3+，提供证书（质保一年,每台配置1个千兆单模光模块；）3.1.4 机场侧8口千兆接入交换机2.包转发率15Mpps；3.端口配置8个10/100/1000Base-T以太网端口，2个千兆光口；4.支持高级休眠管理（AHM），能效以太网标准

2、（EEE）和基于时间的灵活节能策略，能够减少50%功耗, 提供第三方证明；5.MAC地址16K；支持静态、动态、黑洞MAC表项；支持4K VLAN；支持QinQ，灵活QinQ；6.支持1：1，N：1 VLAN mapping；支持端口VLAN，协议VLAN，IP子网VLAN；支持Super VLAN；7.支持Voice VLAN；支持组播VLAN；支持IEEE 802.1d（STP）, 802.w（RSTP）, 802.1s（MSTP）；8.支持VLAN内端口隔离；支持Smart link；支持LLDP；支持VCT，端口环路检测；9.支持Jumbo10K；10.支持DHCP Snooping

3、trust, 防止私设DHCP服务器；支持DHCP snooping binding table （DAI, IP source guard）, 防止ARP攻击、DDOS攻击、中间人攻击；支持BPDU guard， Root guard；支持802.1X；11.支持MEF9、MEF14，提供第三方证明；12.支持G.8032开放环或SEP、REP半环协议,可与其他厂商设备混合组网，要求倒换时间50ms,，提供第三方测试报告；13.提供原厂一年标准维保服务，出具服务承诺函。3.1.5 广电侧核心交换机2.包转发率95Mpps；3.端口配置24个10/100/1000Base-T以太网端口，4个千

4、兆combo端口，4端口万兆光接口；内置双交流电源；4.业务槽位1个；5、支持静态路由、RIP v1/v24.支持堆叠，主机堆叠数不小于9台，堆叠带宽48G；6.支持G.8032开放环或SEP、REP半环协议,可与其他厂商设备混合组网，要求倒换时间50ms；7.提供原厂一年标准维保服务，出具服务承诺函。 （质保一年,配置1个40KM的千兆单模光模块）3.2 无线设备技术要求3.2.1 室内无线接入AP1.AP支持IEEE 802.11a/b/g/n，支持同时工作在2.4GHz和5GHz；2.具备USB口，支持USB 3G/4G网卡作为回传接口。3.1个10/100/1000BASE-T以太网络

5、接口4.内置MIMO天线，天线方向性为全向天线。5.支持3X3:36.支持POE供电和交流适配器供电7.支持IPv6的二层透传和IPv6防火墙策略8.提供MESH 组网功能，且设备可在普通AP与Mesh AP之间自由切换9.在同时提供2.4GHz和5GHz无线接入服务的同时，支持无线Sensor功能，能够对网络中的非法AP、干扰AP进行实时检测，定位和抑制。10.可根据用户数或流量为依据进行AP负载均衡，并可以根据频段和信道进行用户负载均衡11.AP支持跨因特网远程部署，支持VLAN透传，保证同一SSID可支持多个用户VLAN，支持IPSEC tunnel（并支持NAT穿越），即AP可以通过I

6、Psec VPN方式连接到无线控制器12.业务区分, 要求支持MultiESSID，最少16个ESSID。13.用户隔离功能, 支持同一个AP下的用户之间的隔离，隔离后的用户将不能相互访问, 能够和无线交换机协调实现不同AP下用户的隔离功能14.自适应动态率控制, 根据无线信道质量情况的好坏，可以在450Mbps1Mbps速率间进行自适应调整, 当无线信道质量好时，采用高速的调制方式, 反之，采用低速的调制方式（质保一年,含电源适配器 ）3.2.2 AC控制器1.无线AC必须采用独立架构的机架式设备，不可以和现有网络设备共用机箱，本期每台AC最大可提供128个AP的接入能力，可采用1+1和N+

7、1冗余配置机制。2.最大支持4个千兆SFP接口。3.吞吐能力必须4G。4.支持控制器集群，通过一台主控制器配置的无线业务参数、身份验证方式和防火墙策略能够自动同步到其它控制器 5.支持7层应用识别。6.支持不少于16个SSID接入，不同的SSID能够弹出不同的Portal页面，并能使用不同的认证方式，Portal页面能够定制。7.支持基于用户位置的访问策略，必须能针对不同用户进行不同的带宽控制（上下行带宽分别设置），必须能针对不同用户进行不同QoS保障,支持带宽管理Bandwidth Contract 功能，支持每用户100k/s速度控制。8.无线射频管理要求（a）支持自动无线资源管理功能，根

8、据无线网络实际情况自动调节无线网络射频参数，下发至AP生效，并不影响AP正常接入性能，如打开无线资源管理功能影响AP工作（b）支持终端流量整形功能，能够根据实际需要提供优先模式和公平模式，对无线终端的行为进行主动控制，以优化网络性能（c）支持同频干扰抑制功能，能够动态调节AP的收信灵敏度，将同频AP之间相互干扰导致的性能下降控制在最低水平9.二层/三层功能要求（a）支持IPv4、IPv6接入，以及静态路由和OSPF动态路由功能（b）支持基于用户身份的策略路由，能够针对同一VLAN中的不同用户设置不同的策略路由（c）支持无线用户基于二层和三层（跨VLAN）的无缝漫游（d）AP可跨越二层和三层IP

9、网络发现并连接AC，在无线交换机上可以集中的配置所有的AP。（e）具备组播服务功能，支持IGMP、IGMP Snooping（f）具备内置DHCP服务器，支持DHCP Relay，支持防止非法DHCP Server功能（g）具备网络地址转换（NAT）功能，并能够针对VLAN来启用或者关闭NAT功能10.认证、加密及访问控制要求（a）支持802.1x/EAP认证，支持EAP-TLS、EAP-PEAP、EAP-TTLS（b）支持内置的WEB PORTAL认证功能，可以自动推送WEB认证页面；（c）WEB认证方式下支持LDAP/RADIUS通讯接口，包括通用LDAP/Radius服务器，并且能够通过

10、LDAP/Radius认证动态分配用户角色、权限和带宽;可设定两组（含以上）的Radius认证系统，当主要的Radius认证数据库异常时，可自动连接至次要Radius认证数据库认证，以作为身份认证时备份之用。（d）在WEB认证方式下，必须能基于LDAP/Radius认证对领导、员工、外协人员、访客等各类用户进行差异化的带宽控制（上下行带宽分别设置）和会话数（IP Session数量）的控制，以防范个别用户对无线带宽资源的滥用（e）支持外置WEB PORTAL认证功能，并能够支持AC与外置PORTAL之间的互操作，使无线用户通过外置PORTAL进行认证时，能够与后台的Radius或者LDAP联动

11、，动态分配用户角色、权限和带宽（f）通过AC提供的API接口动态地添加、删除在线用户列表、修改在线用户的角色（g）支持本地用户认证，支持Radius认证（h）支持Serial over Ethernet功能，可方便通过Ethernet网络设定无线AP。支持高级加密标准（AES）、临时密钥交换协议（TKIP）以及有线对等加密（i）支持WPA、WPA2，支持WEP、TKIP、AES加密（j）必须支持内置基于用户的无线防火墙功能；需提供第三方防火墙认证机构证书（如不能提供第三方证书，则认为无此功能）。（k）具有防止DOS攻击的功能，支持对IP地址欺骗、IP SESSION攻击、TCP SYN攻击、伪

12、装DHCP等常见网络攻击进行防范（l）可根据不同用户设置不同的IPv4、IPv6防火墙接入策略（m）基于无线网络安全的考虑，AC必须作为用户数据加密的终结点（n）无线控制器本身支持Site-to-Site VPN功能，可作为VPN集中器使用， IPSec Tunnel同时联机数量 4096个11.支持非法AP、非法客户端的发现和抑制功能；要求必须采用双频接入模式的AP做为非法AP的检测、抑制设备12.能够支持频谱分析功能，实现对2.4GHz和5GHz频段的干扰分析功能，能够实现检测明确干扰源来源（蓝牙/微波炉/无绳电话等）功能，能够通过多种图表实时显示无线频谱分析结果（如FFT、频道占空比、各

13、频道干扰情况等）13.支持统一控制器配置管理室内AP、室外AP、室内Mesh接入点及室外Mesh接入点的能力，完全零配置操作，完全由控制器进行统一配置14.能够支持CAC语音调度功能，能够自动识别SIP， SCCP， SVP， Vecera, 并可以自动打开和关闭语音数据传输端口，详细的WiFi通话信息的记录，包括：主叫，被叫，通话时间等等，可实时监控语音连接信息，可针对语音数据流量、语音呼叫数量、语音注册链接流量进行实时优化，支持语音带宽预留功能，支持省电模式提高WiFi语音终端的使用时间15.支持无线语音接入控制（CAC）,对接入wifi电话的数量可以限制。16.可通过AP进行远程抓包，并

14、能通过主流第三方数据包分析工具分析数据17.可通过Console、Telnet、SSH、HTTP、HTTPS进行配置管理（a）支持标准和开放的网络管理接口，如SNMPV3等。（b）支持标准和开放的管理信息库，如MIB II，802.11 MIB；（c）支持各种性能，故障，配置，安全，诊断管理；（d）支持远程软件下载技升级；（e）支持串口方式的本地网管；（f）支持提供CLI和图形化集中管理接口。18.支持Syslog 功能，可将系统记录送至外部Log server。（质保一年） 3.3 无线网络管理系统技术要求1.可以通过与地图软件集成，在地图上来查看、管理室外的AP和Mesh设备2.能同时管理

15、室内AP、室外AP、Mesh AP及AC，本期网管系统要求支持不少于50个AP的远程管理3.能同时管理各种品牌的室内AP、室外AP及AC4.支持通过License方式扩展管理能力，最大可管理10,000个AP，并且支持网管分级管理模式5.可以同时支持不少于5000个无线客户端的定位功能，要求5000个无线客户端的位置信息可以同时显示于图形界面6.可查询终端的8小时内的移动轨迹7.采取BS结构，无需在客户端安装任何客户端采用IE即可访问网管系统8.采用HTTPS的方式远程进行管理，无需在管理客户端按装任何软件9.支持AP热图分布显示10.支持通过网管进行网络无线规划11.支持通过网管对指定无线客

16、户端进行无线信号检查、无线层排错分析、认证分析等内嵌工具12.支持大批量AP或者控制器的配置模板定制功能，并可通过网管自动下发配置13.支持在网管上查看AP所连客户端数量，AP信道状态，信道使用率，信噪比，信号强度分布，AP状态等信息14.支持包括AP、无线信号、安全、Mesh功能、定位功能的各项报警能力15.实时显示最近活动的非法AP，可根据情况对非法AP进行处理，包括纳为合法、继续告警、进行压制等16.能够对网络中的AP和控制器等无线设备进行定期配置审计，当网络设备配置发生变化时自动发送SNMP TRAP或Email进行告警。17.性能管理要求能够对无线网络中的每一个设备进行性能统计，监测

17、无线控制器和每一个AP上的用户数量以及带宽流量，并能保存一年以上的统计信息能够对无线网络中的每一个用户进行性能统计，监测每一个无线用户的信号质量、带宽流量以及漫游历史，并能保存一年以上的统计信息能够以Email的方式自动定期发送系统性能统计报表，提供系统总体性能报表和网络资源利用率的排名表（如用户数量最多和最少的AP，带宽消耗最大和最小的AP等），以及其他可定制的各类报表（如认证失败次数最多的用户终端排名表等）。对于无线用户联网故障，能够提供专家诊断功能，从身份认证、网络资源分析、无线射频信号分析等多个方面帮助网络管理人员对故障进行精确定位18.安全管理要求能够支持基于角色的管理员权限分级控制

18、功能，可以针对每个管理员定制其管理的范围（如管理哪些无线设备），以及管理的权限（如只读或者读写）（50个AP的管理） 3.4 安全设备技术要求3.4.1 防火墙1.采用非X86多核架构，处理器最低配置为32核（需说明处理器品牌及型号）；2.配置2个10GE，8个GE口和8个SFP口，扩展插槽6个,最大接口数40个千兆业务接口+10个万兆接口（需提供设备满配照片，作为中标后验收货物的依据）3.支持硬件电口Bypass卡；（需提供Bypass卡配置截图）4.配置交流双电源；5.吞吐量20Gbps，最大并发连接数800万，每秒新建连接数30万，虚拟防火墙数100个，配置VPN隧道数10000个；6.

19、可识别应用层协议数量4000种（需提供功能截图）7.公安部销售许可证（万兆三级）中国国家信息安全产品认证证书（万兆三级）8.与交换机同一品牌；3.4.2 入侵检测设备1.采用非X86多核架构，最大检测率1.6Gbps,最大并发TCP会话100万,每秒新建连接数6万，1个RJ-45 Console口，5个千兆电口2.要求基于B/S管理架构，图形管理界面为中文界面3.支持IPv6；支持多种静态和动态路由协议，支持策略路由4.支持透明、路由、透明路由的混合模式的工作模式5.提供对网络病毒、蠕虫、间谍软件、木马后门、刺探扫描、暴力破解等恶意流量的检测和阻断。针对访问外网资源的终端用户，系统提供增强的身

20、份认证功能。支持实时的邮件、手机短信等多种被动报警响应方式。6.支持日志备份、能够图形化的查询、统计用户的各种网络行为7.产品资质：公安部销售许可证；国家保密局涉密产品检测证书；中国信息安全测评中心颁发的国家信息安全测评信息技术产品安全测评证书产品必须支持 IPV6，并具有IPV6认证证书IPv6 Ready Phase-2（入侵检测类）以上认证中国信息安全测评中心颁发的信息安全产品自主原创证明8. 售后服务：提供原厂商三年上门服务承诺。3.4.3 WEB应用防火墙1.采用非X86多核架构，为保证运行效率，CPU最低为4核（提供截图证明）；2.吞吐率1Gbps，最大并发TCP会话280万，每秒

21、新建连接数10万，3.配置不少于6个千兆电口，和6个千兆光口4.为了便于维护和管理，设备必须具有液晶显示器，可在不登陆设备的情况下实时显示设备运行状态、系统流量、管理地址等信息5.要求基于B/S管理架构，图形管理界面为中文界面6.支持IPv6；7.支持透明、路由、透明路由的混合模式的工作模式8.支持WEB应用安全防护功能、网页防篡改、篡改实时检查、篡改报警、抗拒绝服务攻击、https会话分析、web应用漏洞扫描等9.产品资质：产品应是国内自主研发，能提供相应的软件著作权证书产品必须支持IPV6，并具有IPV6认证证书IPv6 Ready Phase-2（WAF类）及以上认证产品应具有OWASP

22、颁发WEB应用防火墙认证证书。10. 售后服务:提供原厂商一年上门服务承诺。3.4.4 上网审计设备1.基本参数：设备采用64位高性能众核处理器+FPGA+ASIC+TCAM，管理与转发相分离设计架构；设备吞吐量1.5Gbps，并发会话数1,700,000，转发时延 0.1ms；设备网络接口：至少支持6个千兆网络接口，4个10/100/1000Base-X（SFP）接口，其中广域网口不少于6个，且所有端口激活，不需要单独付费；设备支持的最大用户数：3000用户2.功能要求：设备支持路由、透明（需支持多桥组）、旁路；支持PPPOE拨号、静态和动态IP接入方式；支持基于带宽分配比例的链路负载均衡，

23、链路自动备份 支持链路间自动备援；设备OS与审计日志存放于不同存储介质，OS存放至FLASH中并通过FLASH进行系统引导，审计日志存储在硬盘，系统从硬盘引导的不符合要求；具有支持HTTPS协议的安全WEB管理，支持基于CONSOLE口及TELNET的CLI管理（在WEB管理方式无法管理设备时采用该方式管理设备。支持HTTP、FTP、TFTP等方式进行升级、备份或恢复，要求OS文件小于10MB，便于管理员操作和集中维护，支持密码问题方式恢复设备管理平台登陆口令功能，且不会丢失原有配置，以便于忘记密码后重新设置密码。支持对设备进行恢复出厂配置操作；支持多WAN环境下的智能DNS功能（inboun

24、d 负载均衡），当外网用户访问内网服务器时，设备智能解析外网用户对服务器域名的DNS请求，将外网访问流量引导至最优的入口线路，提高用户访问速度支持触发式WEB中文实名认证功能，可作为认证接入服务器，用户可以自己修改密码，支持与第三方短信平台对接，获取动态密码认证，支持基于用户IP网段的WEB认证，以适应用户对部分网段认证的需求，并支持PPPoEServer功能；设备必须采用硬件转发，支持NAPT、DNAT、一对一NAT，支持二层及跨三层IPMAC绑，支持IPsec VPN、L2TP VPN和PPTP VPN，支持对特权用户提供免审计Ukey功能，以解决过度审计的问题设备支持基于源地址和基于接口

25、的策略路由，支持基于P2P应用的策略路由，智能引导P2P流量流向指定的固定接口，支持基于时间的策略路由；设备支持基于时间、用户、用户组、应用、应用组进行带宽控制、流量控制和应用封堵，并可对数据报文进行分类并实现QOS标识；设备审计功能必须满足公安部82号令，日志存储90天以上的要求3.资质要求：计算机信息系统安全专用产品销售许可证公安部信息安全产品检测中心检验报告军用信息安全产品认证证书军队信息安全测评认证中心测试报告具有工信部入网许可证中国泰尔实验室检验报告国家保密局涉密信息系统产品检测证书4.售后服务:设备免费提供五年软件、协议库和URL库升级服务。3.5 无线认证软件1.Radius S

26、erver:支持支持标准Radius的无线控制器接入认证，支持Aruba、Juniper、Cisco、HUAWEI、H3C、Ruckus、AeroHive、傲天动联、锐捷、上海环创、深圳国人、三元达、飞鱼星等品牌无线控制器。2.用户管理:基于Web管理;支持认证系统内建用户账号、密码认证、支持第三方账号密码认证;支持AD/LDAP账户源，且无需在认证软件中记录用户账号、手机号信息;支持短信密码认证，支持一个用户绑定多个手机;支持VIP用户鉴别，给予VIP用户更优上网策略;3.Portal管理能够根据不同终端返回不同的Portal页面（方便BYOD，如IPAD、IPHONE、Andriod、笔记

27、本）;支持Portal页面定制;支持Portal广告区和欢迎页面上传、预览、应用;4.接入管理支持多AC/SSID统一接入;指标标准Portal、CMCC Portal协议设备接入;支持主流BRAS设备，多VLAN接入认证;支持单一商户、多商户接入管理;5.安全策略支持短信认证、账号密码认证（AD）、微信认证、二维码扫描;能够实现对内部员工及访客两种短信认证流程，并能够统一访客及员工登陆流程;支持账号有效期设定;用户输入错误账号一定次数（可配置）即被禁用，并在一定时间（可设定）可自动解锁，达到安全性和管理便捷度的有效平衡。支持对用户及用户组基于天、月、年的访问时长;基于时间段的认证策略，以实现对用户基于时间段的认证规则;黑名单机制，实现基于用户手机号的锁定;支持认证缓存，确保其他设备无法盗取用户手机号及一次性密码访问;可统计用户上网时长;根据设定的用户访问时长，能够强制用户下线;6.统计报表可记录IP、MAC地址、账号（手机号）、上下线时间、用户在线时间;登陆日志导出;满足82号令，与上网行为管理配合，可追溯非法访问用户手机号信息;7.发送模块支持客户自有短信网关、支持第三方网关;支持短信猫、短信猫池;8.软件部署支持主从备份，支持双机互备;跨平台部署;