大学校园无线网络招标文件.docx

1、大学校园无线网络招标文件大学招标文件招标项目大学校园无线网络采购编号：XDZFCG2014-009大学资产与后勤事务管理处3月11曰第一章投标邀请第二章采购项目说明及要求一、项目说明1、项目背景随着笔记本电脑和智能移动终端的普及，校园师生对校园无线网络的使用需求曰益强烈，要求能随时随地的查阅资料、下载文献，实时接入在线课堂，收听实时信息，提交作业并与老师、同学进行在线沟通等。本项目为适应移动应用需求的大幅增长，将对*校区及*校区的部分学生活动较为集中的公共区域及楼宇进行统一管理的无线网络覆盖，建设统一管理的校园无线网络系统。校园无线网具备智能信道和功率管理的无线控制器能对无线信道资源统一协调管

2、理，使各楼层、校内各处的无线信道不会冲突，提高稳定性和使用体验，为师生提供高速、稳定和安全的无线连接。无线系统采用控制器加瘦AP模式，保障用户漫游以及管理策略的统一下发；对网络中应用最多的语音和视频流提供优化支持；支持IPv6;可提供频谱分析和统一网管以便迅速解决无线网络中出现的问题；能迅速定位和查询用户的历史使用情况以满足公安等相关部门的要求。2、项目采购说明本次项目采购为定额招标，标的为*万人民币，包括硬件、软件及许可、工程安装和售后服务。投标方需在满足标书最低技术要求的基础上，提供自身投标方案。无线网络系统方案设计应基于大学现状，一旦投标，则认为投标者对*大学的相关楼栋、主干网络环境、无

3、线网络现状有充分了解，投标者对自身的解决方案完全负责。对标书中的各项要求必须点对点应答（“技术规范要求”一列中的每点），不得虚假应标，如有正偏离，给出偏离表。如无点对点应答，招标方可视为投标文件无效。投标方案应考虑充足的软件授权许可。在三年之内，如果招标者发现因软件授权缺失不足以满足招标书的要求或不足以满足投标书中声明满足的各项技术指标、功能及技术方案等，则投标者均需无条件增加软件授权。比如招标书中有安全的要求，投标方也做出满足的应答，但实际使用中发现需增加安全相关的许可，则投标方需无条件立即增加相关许可。招标方保留对拟中标者的方案进行实际验证后再签约的权力，投标者如不能配合验证，则不予中标；

4、如验证后发现实际情况与投标内容不符或达不到投标书中的声明，即使满足招标书基本要求，也不予中标。项目验收时，投标产品在满足招标书要求的同时，又必须满足投标书的所有应答内容。3、方案总体要求总体要求如下：方案应具备可扩展性好、标准化、安全性高、稳定性高等，工程实施中应考虑天线美化设计；安全性高。支持无线IDS/IPS、用户数据加密、能自动发现和防范多种针对无线网络和终端的无线攻击行为，能实现对非法无线设备的自动发现、分类和压制功能；无线网络系统兼容性好，可用性高，能支持多种主流硬件平台和操作系统;无线控制设备或无线交换机可支持冗余；实现二三层无缝漫游；支持频谱检测分析；支持 Native IPv6

5、;良好的管理性。比如可方便查询用户的使用情况，至少可根据时间和IP地址两要素快速查询是哪个账号在什么地点使用的。管理策略、用户使用习惯的一致性。投者提供本次项目的实施方案，配置的设备以及方案可以高于或优于上述要求，同时可论述自身方案的特色、优点及适合大学使用的应用场景。4、无线系统覆盖区域本项目建设目标是覆盖*校区、*校区的学生活动较为集中的公共区域为主，区域类型主要为食堂、咖啡厅、会场、学生活动中心及公共教学楼等的室内区域，以及广场、芙蓉湖等室外区域。具体位置包括但不限于以下表1、表2列明的区域：表1料安校区本次项丨丨必须蒗盖区域一览表校丨X:位質详细位置*校K5、无线系统的系统技术要求本招

6、标书将尽量避免采用私有协议名称来陈述技术需求，但不完全排除出现私有协议或某厂商的独特习惯用词。如出现该情况，应标者可以用功能相同或相近的标准协议来应答。无论是否对该私有协议、私有名词的支持冠以号标明为必须的，招标者均不仅以应答者无法支持该私有协议为由而作出不中标决定。举例：如出现对PVST、VTP、HSRP、DPT支持的要求，应答者可以直接以支持该协议应答，亦可以功能相同或相近的标准协议MSTP、GVRP、VRRP、RPR来应答。第3部分的“方案总体要求”中的各项要求以及本部分中打有“”的要求为必须满足的要求。对于本部分中没有打“的各项技术要求，如果没有在“方案总体要求”中提及，而且不能有三个

7、厂商同时满足，则不作为必须满足的要求。每一点的技术要求可能包括几部分内容，应标者应先明确回答“满足”、或“不满足”。同时提供测试结果截图或可证实的资料予以说明，如果不能提供相关支持资料说明，则不予采信。如遇有参数性要求，应明确应答具体参数，比如无线控制器可支持的接入AP数。是否满足技术要求以本次项目整体可实施为判定依据。比如，当前所投标的无线控制器和所投标的无线AP不能支持某点技术要求，但是所投的无线控制器和该品牌的其他无线AP组合可满足该点技术要求，则不能回答满足该技术要求；又如，本次投标的产品中只有部分能实现某点技术要求，则应明确指明；又如，无线控制器的某一个软件版本可以实现功能A，但不能

8、实现功能B;另一个软件版本可实现功能B,但不能实现功能A，则不能回答能满足功能A和B，因为在项目实施的时候不能部署两个版本。投标时只能以某个版本作为回答依据；又如，开启某个功能A的时候，功能B则不支持，或性能下降到不能正常使用，也不能同时回答满足功能A和B。应明确指明本次投标所采用的软件版本，提供完整版本号，包括控制器、AP、无线网管、用户认证接入系统等，软件版本应为正式公开的主要版本，截止到本标书公布的时间，不能采用实验室版本或测试版本或特别的分支版本或日后版本。本次无线网络系统的组成部分包括：无线控制器、无线接入AP (室内）、无线接入AP (室外)、POE交换机、POE模块、无线相关软件

9、（无线网管系统、用户认证接入管理系统）以及无线工程实施与服务。本次为定额招标，投标的产品数量、性能指标可以高于下列中的标书要求，但是室外AP的数量固定为4台。1、 无线控制器数量：1台；要求为独立设备，保证无线系统的整体稳定和灵活部署。单台支持同时管理128个及以上在线AP，本次要求单台提供2个或以上万兆光接口，配置2个多模万兆光模块；单台可支持25000个以上并发用户；带相关许可：为实现本标书中（整个标书，不仅限于下方中的技术规范要求的表格）各项技术要求所需的各种软件许可必须配置。如果许可数与AP数量有关的，本次需配置支持1000个在线AP且不少于本次实际投的AP总数；如果许可数与用户数/终

10、端数有关的，本次需配置支持25000个并发用户/终端。必须结合考虑本次设计方案中对AC冗余的设计。当有些控制器出现故障的时候，所有AP都能快速转移到剩余的健康控制器上面，而不会出现许可不足的情形。当有些控制出现故障的时候，健康控制器上面的许可数足够支持在线AP，也即是健康控制器上面的许可能支持1000个在线AP (且不少于实际所投的AP总数），支持25000个并发终端。但不能是通过手工方式把故障控制器上面的许可增加到健康控制器。类别指标项技术规范要求版本号软件版本号列出涉及的各系统的完整软件版本号，用于验证和实际运行。提供的版本应该是可以长期稳定运行的主版本，不可以是专用于测试的特别版本。性能

11、接人AP数单台支持接入AP 1000个接口类型单台支持2个万兆接口无线转发性能单台 20Gbps用户数并发单台支持25000并发终端基础VLAN数量支持256个VLAN。支持VLAN到SSID的映射，可设置每SSID个VLAN、或每个SSID多个VLAN,以减少广播域支持标准协议支持 802.1 In、802.1 lb、802.1 lg、802.丨 la802.lq、802.lx、802.3z、802.3ab、802.3d、802.11e、802.11w、802.11h, 802.1 li, 802.11k支持802J lac支持 TFTP、TELNET、HTTP、SSH、HTTPS、SNMP

12、控制器管理数据转发为本地转发或集中转发，或同时支持，或其他更先进方式。应说明本项目中的实现方式。本标书后面的所有各功能点（技术要求点）的应答时以本项目中实现方式为前提。如某个功能只能在集中转发下实现，而本项目的实现方式为本地转发，则需应答为不满足。支持控制器堆叠，支持1 +丨、N:1冗余方式(N2);多台控制器之间的配罝可以自动同步或手动同步，以保持一致性。明确答复本次配罝的4台控制器之间的配罝是否能自动同步。多控制器间有热备机制，当某一个控制器出现故障时，用户应该能快速切换到其它的控制器上。多控制器间可设罝为同一个射频域，即多个控制器能协同一致进行无线资源的管理。多控制器间可设置为同一个漫游

13、域，保证跨控制器的无缝漫游。可建立与有线主干设备间的多路物理连接，以消除控制器与有线主干网络之间的单点故障。控制器能支持STP、OSPF协议。AP管理配罝策略应该是基于AP分组进行的。AP在多台控制器上的负载均衡。不论AP和AC是在同一网段还是跨网段都能自动均衡。或者人为控制的负载均衡。或者强制某些AP或AP组优先加入某些控制器。支持AP状态指示灯显示的远程可控。用户管理用户认证配合用户认证接入管理系统完成认证与计费。用户认证管理系统能与大学的LDAP服务器（包含有中文属性字段）的对接上，利用其中的用户组厲性及属性组合进行用户策略的下发与控制；可支持两组以上认证接入管理系统，并进行轮询或互相备

14、份（本项目要求提供两套，详见第6部分“用户综合接入认证平台”）支持基于MAC地址的认证方式、支持基于802. IX的用户认证方式，支持 802.1X/EAP，EAP-TLS、EAP-PEAP、EAP-TTLS用户第一次用智能终端上网的时候，需要认证，然后自己注册，以后用同一台智能终端的时候在一段时间内就不用再认证了。可设罝无感知认证的时间长度。可设罝免认证可访问的资源，比如一些邮件页面，一些会议的主页。支持用户白名单和黑名单功能。当用户的MAC地址在白名单里时，直接允许用户接入，不需要认证；如果用户的MAC地址不在白名单里，那么需要认证界面；支持黑名单功能。可手工添加；可自动添加有潜在危害的用

15、户账号：或多次认证失败自动添加；或因为攻击行为被wIDS/wIPS系统置入黑名单Web porta丨登录支持外罝web portal认证；支持web portal的重定向登录，不同的用户认证通过后会有不同的欢迎页面。可以根据不同的终端类型弹出不同的portal认证页面和欢迎页面，可进行页面适配。可以和单点登录SSO结合起来。用户接入同一个SSID下的不同上线地点（也即是根据AP Group)的用户可被分配到不同的VLAN,如办公区的用户和宿舍区的无线用户获得的IP地址不同；同一个SSID接入不同身份的终端用户，可根据认证身份的不同分配进入不同的VLAN/IP subnet (在MAC认证和80

16、丨.1 x认证的前提下）。支持同一SSID下的混合认证、混合加密,列举可支持的形式如MAC和Porta丨的共存、MAC和lx的共存、lx和portal的共存基于用户/用户组的策略控制与下发。策略下发包括安全ACL、QoS带宽控制以及VLAN分配（在二层认证的基础上）等；对用户的带宽控制可针对上下行带宽分别设罝；对用户的分组和识别要基于大学LDAP中的属性以及属性的组合无线客户端之间可以隔离访客管理可现场管理，比如提供大堂管理员功能；用户可以自注册，支持以手机号码为凭证。系统通过短信网关把用户名和密码发送到手机号码上。无线资源管理射频可根据周围电磁波环境的变化，全局性合理调控每个AP的信道、功率

17、大小等，以达到最优化覆盖的目的。AP髙密度部署的时候，支持channel reuse信道调整的时候，支持802. Hh支持在2.4Ghz和5.8Ghz的混合模式下，支持5.8G导引功能，优化终端优先选择5.8G的频率接入，保证无线资源的最大化利用AP高密度部署的时候，用户可以在不同AP上负载均衡802.1 lk支持，不至于使所有客户端都连接到信号最强的AP上支持2.4GHz和5GHz的负载均衡，可根据用户数或者用户流置频谱分析检测能实时查询无线质量数据采用图形化方式，主动探测和识别所有WiFi (2.4GHZ/5.8GHZ)波段的射频干扰源，可实时进行射频频谱分析，可提供实时FFT图、占空比图

18、、干扰设备列表、信道占用率列表、干扰功率列表、信道质量列表等等可实现在提供用户接入的同时进行频谱分析功能。根据分析可给出简单明了的空口质量信息，简化用户排查故障的时间频谱检测功能能与射频管理联动，比如某个信道的占空比较高的时候，可自动优化调整到其他的信道流量整型支持在802.11a/b/g/n的混合模式下的无线用户流蚕整型功能，支持AP公平时分模式和针对终端的优化模式（如n，g，b平均分配空口资源的时间片，或者n优先于a, a优先于b。）空口抓包，远程镜像在不导致线上用户掉线的情况下进行实时远程抓包，并能以流模式进行分析，如通过主流第三方的数据包分析工具实时分析无线数据安全加密功能支持 WEP

19、、WPA、WPA2、AES-CCM支持 wIDS/wIPS可以侦测无线入侵，并记录和显示入侵的数据，且可对入侵做出自动保护，建立黑名单列表。说明可支持的攻击检测主要有哪些。支持处理各类无线环境下的攻击如各种DoS攻击(射频干扰、解除认证/解除连接洪水、虚拟干扰等1。支持处理ARP欺骗，ARP flood等攻击，支持处理假冒DHCP，DHCP flood 等。加密传输支持所有AP到控制器的控制信令及用户数据能以加密方式传输至控制器，说明加密后控制器转发能力受影响的情况非法AP压制支持非法AP、非法客户端的发现、抑制功能；采用接入模式的AP做为非法AP的检测、抑制设备，无需另外添加专门AP做为AP

20、检测设备能够实现自动发现并围堵AdHoc Rouge AP可只压制使用同一个SSID的非法AP可自动压制非法AP。列出可能的压制方法。反压制，可抵御多种攻击。防火墙功能说明是否配置状态防火墙，可以是内置的防火墙、防火墙板卡或者外置的防火墙。给出防火墙的关键性能指标，包括并发连接数、可处理的吞吐星等；给出防火墙可提供的防护功能。说明是否有基子无线用户（而非仅基于IP的）的安全防护能力。可以是内罝防火墙、防火墙板卡、外罝防火墙与控制器之间的直接联动，或者是通过用户认证系统进行联动，达到基于无线用户的安全防护。功能漫游支持要求支持2、3层情况下，无线用户在数据不加密以及WPA/WPA2加密情况下可以

21、跨AP/AP group和跨控制器无缝漫游，在不同的IP子网段、不同的AP与控制器间无间隙漫游。要能支持对漫游客户的状态跟踪。漫游中组播不中断在漫游中，原下发给用户的各种策略依然生效，视音频流畅，带宽控制等有效Mesh功能支持控制器下AP以Mesh的工作方式工作远程AP支持AP跨广域网与控制器进行VPN连结，用户可以通过远程AP进入校内的SSID,访问校内资源。不限定本次所投的AP本身可作为远程AP.如本次所投的AP不能作为远程AP,说明本品牌可用作远程AP的具体型号。视音频支持 Wi-FI Multimedia(WMM)/丨EEE802.11e支持SIP,H.323,SCCP,SVP等多语音

22、应用流的自动识别技术，支持IP语音信令会话端到端报告支持对视音频的准入控制（CAC)，不至于因增加过多的视音频用户而导致不能保证视音频的流畅。可支持基于语音流量的呼叫准入控制，支持语音带宽预留功能；可支持基于无线参数、干扰的语音呼叫准入控制Qos控制在空口资源侧，能对自定义或预定义的不同的应用进行不同带宽保障可自动识别视音频，把敏感通信自动提高QoS等级。IPv6支持支持 Native IPv6;支持IPv6安全，如IPv6 ACL;支持MLD Snooping,可播放IPv6的组播视频支持IPv6用户漫游支持对丨Pv6用户的管理支持 IGMP、IGMP Snooping、IGMP V3能够对

23、组播和广播进行优化或抑制；可以支持组播优化为单播；能够优化组播速率，可以把原来组播的从最低速率提升到更高速率。组播和广播支持ARP广播包转换为单播包。可以不对无线侧转发ARP请求，而是根据关联信息表做Proxy ARP;可阻断无线客户端之间的ARP通讯。支持基于组播视频的准入控制能力，在AP接入视频流能力不足的情况下,拒绝新组播用户加入支持对组播流进行Qs优化，保证高清组播视频流的图像质童完全和通过有线网传输一致闲罝时间可设罝用户闲罝时间系统曰志提供基于应用的系统曰志记录，或指定某种应用类型进行Syslog记录投标者可以提供自己产品其他的功能特色，并列出可以在大学校园中使用的场景。2、室内AP

24、数量：500台；支持2.4G和5.8G双频；支持802.11 n，单个射频模块支持450Mbps带宽;带相关的天线；类别指騎技术规范要求版本号软件版本号列出涉及的各系统的完整软件版本号，用于验证和实际运行。提供的版本应该是可以长期稳定运行的主版本，不可以是专用于测试的特别版本。基础要求支持802.1 la/n与802.丨1b/g/n同时工作，支持主流厂商的客户端。支持IEEE802.3af /802.3 at POE供电及外部供电。在POE供电模式下，可以完全驱动2个独立无线模块，实现在同一时间和同一频段下两个或更多个发送空间流满速率工作。硬件每用户2Mbps的普通数据或者组播流蚕的情况，每台

25、AP可同时支持不少于30个用户接入能力AP可通过DHCP option方式连接无线控制器，加入无线网内支持3个空间流的多路多出(MIMO)接口 个 l/l/Mbps(RJ451。支持频谱分析功能，实现对2.4GHz和5GHz频段的频谱分析功能；频谱分析每个AP在做频谱分析的同时，都能够在2.4G和5G两个频段上同时提供无线用户接入和数据包转发。AP的频谱分析功能包括识别无线干扰类型、干扰的信号强度、干扰影响的无线信道、干扰占用无线信道，可分析报告出2.4G及5G频谱范围内的非WiFi设备干扰，可确定干扰源；可通过软件转换为独立的专用频谱分析仪器,通过网络远程连接查看频谱分析结果，实时显示；可通

26、过干扰事件触发上层无线资源管理算法，通过评估信道空口质量，对信道进行合理调节；主要功能可结合系统其他网元实现对干扰源物理位罝的定位，并且可以报告干扰源影响的物理范围；发射功率最大为丨OOmw覆盖范围开阔地50-100米，室内（砖墙）2050米。天线支持集成内罝或外罝天线，天线必须同时支持2.4G/5.8G频段环境要求工怍温度：0-40度范围；工作湿度：10%-90%安装要求方便安装，可支持吸顶式或挂壁式安装要求远程抓包可将远端AP的流量镜像到本地的IP可达的终端设备上，供主流第三方的数据包分析工具分析无线数据。QoS支持QoS的硬件队列数大于2多SSID支持支持个SSID;可配罝某个SSID只

27、能在一个或多个的AP/AP group 上工作。数据转发支持隧道模式或本地转发模式，但必须实现用户在不同AC和AP下的二三层无缝漫游。3、室外AP数量：50台（本次室外AP的投数量统一为50台）。支持2.4G和5.8G双频；支持802.11 n，单个射频模块支持300Mbps带宽；带相关的天线；类别指獅技术规范要求版本号软件版本号列出涉及的各系统的完整软件版木&，用于验证和实际运行。提供的版木丨、V.该是讨以长期稳定运行的主版木，不W以是专用于测试的特别版本。硬件基础要求支持802.11a/n与802.11b/g/n M吋工作，支持主流厂商的客户端。支持IEEE802.3af/802.3 at

28、 POE供电及外部供电。在POE供电模式下，可以完全驱动2个独立无线模块，每个模块300M,实现在M 吋间和|n频段卜多个发送空间流满速率下作。每用户2Mbps的普通数据或各纟jl播流量的情况，每ft AP 支持不少于30个用户接入能力 AP通过DHCP option方式连接无线控制器，加入尤线网内接口 丨个 10/100/1000Mbps(RJ45)。支持频谱分析功能，实现对2.4GHz和5GHz频段的频谱分析功能：频谱分析每个AP在做频谱分析的M时，都能够在2.4G和5G两个频段时提供无线用户接入和数椐包转发。AP的频谱分析功能包括识别无线干扰类型、干扰的信3强度、千扰影响的无线信道、千扰

29、占用无线信道，可分析报告出2.4G及5G频谱范围内的非WiFi设备干扰，可确定干扰源;可通过软件转换为独立的用频谱分析仪器，通过网络远程连接査卷频谱分析结來，实时从示：讨通过干扰事件触发上展无线资源管理算法，通过评估倍道空U质量，对信道进行合理调节；主要功能可结合系统其他网允实现对干扰源物理位置的定位，并M.可以报ft十扰源影响的物理范丨韦丨：覆盖范围开阔地100-300米，室内（砖墙）30 60米。天线支持外H天线，天线必须M吋支持2.4G/5.8G频段环境要求丨:作温度：-30-60度范%丨:作況度：5%-95%室外等级 P66 (不接受丨、V:用室内设备加防水外克改造的设备）远程抓包讨将远端AP的流量镋像到本地的IP可达的终端设备上，供主流第三方的数裾包分析丁.具分析无线数裾。QoS支持QoS的硬件队列数人于2多 SSID支持支持彡16个SSTD;可配S某个SSID只能在一个或多个的AP/AP group 丨.丁作。数据转发支持隧道模式或木地转发模式，但必须实现用户在不M AC和AP下的二三M无缝漫游