招标
苏州市姑苏区教育体育和文化旅游委员会关于姑苏区学校校园网升级改造招标公告
金额
514万元
项目地址
江苏省
发布时间
2020/10/15
公告摘要
项目编号szch2020-gs-g-012
预算金额514万元
招标联系人沈敏华
招标代理机构苏州诚和招投标咨询有限公司
代理联系人张萱0512-65161797
标书截止时间2020/10/22
投标截止时间2020/11/05
公告正文
项目概况
姑苏区学校校园网升级改造采购项目的潜在投标人应在苏州市公共资源交易中心网上获取招标文件,并于2020年11月5日下午14点30分(北京时间)前递交投标文件。
一、项目基本情况
项目编号:SZCH2020-GS-G-012
项目名称:姑苏区学校校园网升级改造
预算金额:
人民币(大写):伍佰壹拾肆万元整
人民币(小写):¥5,140,000.00元
其中:
通信链路部分:
人民币(大写):壹佰贰拾贰万元整
人民币(小写):¥1,220,000.00元
设备及系统集成部分:
人民币(大写):叁佰玖拾贰万元整
人民币(小写):¥3,920,000.00元
注:投标总价不得超过预算的同时,各分项报价不得超过上述各分项预算。
采购需求:
(一)项目介绍:
根据《江苏教育信息化2.0行动计划》、《江苏省中小学智慧校园建设指导意见(试行)》的总体要求,积极推进智慧校园建设,实现中小学校园千兆进校、百兆进班,无线网络覆盖教学、办公及主要活动场所,满足学校师生教育教学中的应用需求,为移动办公、移动教学和移动管理等应用提供快速、安全、稳定、高效的无线网络服务。
随着现有网络基础设施老化、国家对网络安全新的管理要求以及多样化教学手段的应用需求,现有教育城域网网络及区属学校校园网已经无法满足实际教学需要,急需进行相关升级改造。
(二)总体设计:
1、区属所有小学校及分校共计58个教学点接入带宽统一提升为1GB,并配置对应网络接入及设备,汇聚至教育城域网中心。
2、提供教育城域网中心互联出口链路,带宽1GB。
3、对22所小学校28个校区校园网主干设备升级改造及安装调试。
4、新增22所小学校28个校区无线接入点位及管理设备。
5、网络安全建设。
(三)建设内容:
1、提供区属所有小学校及分校58个教学点共计58条光纤链路(带宽1G)并汇聚至教育城域网中心。提供1条教育城域网中心互联出口链路(带宽1G)。
2、校园内新增WiFi-6无线点位共计144个,同时配置6台AC管理设备。
3、接入侧部署防火墙22台。
4、对学校现有的光纤线路、校园机房及设备间弱电线路进行整理,标签标识。
5、弱电综合布线。
(四)设备及服务采购清单:
注:本项目采购清单中序号12无线AP1、序号18城域网中心防火墙、序号19学校端下一代防火墙1、序号20学校端下一代防火墙2为核心产品。
(五)采购技术要求:
1、SDN控制器
要求控制器采用OSGi开放式架构,可以通过开发APP的方式灵活扩展新的功能。
支持OpenFlow V1.0、V1.3,NETCONF、telnet等。
支持Restful API接口,反向Restful API。
北向接口需以标准Http的RestAPI形式提供。
★支持1000个网元节点规模的网络;支持Packet_In和Packet_Out每秒≥100K的处理速度;为确保控制器的稳定转发,支持控制器之间进行集群部署,且集群数量≥64台。
在SDN 控制器出现异常、重启、升级、主备倒换时,网元设备上的流表继续生效,而且不影响转发的连续性。
支持分级分权限的用户添加、删除和修改,用户权限颗粒度可以细化到每一个功能点。
要求控制器及所配置SDN方案提供GUI界面,能够查看网络配置,同时能够进行编辑与配置下发。
支持图形化web管理,可通过web界面进行节点管理、链路管理、业务管理、拓扑管理、故障感知等。
支持Restful API标准北向接口,便于向第三方系统对接。
可以通过出口设备和SDN控制器旁挂核心的部署方式,实现按需引流的效果。
为保护用户投资,安全资源池里的安全设备不能有任何品牌限制,至少满足≥5家以上不同品牌主流安全设备的部署,为防止虚假应标,保留测试权利。
支持安全设备故障检测,并且自动bypass故障安全设备。
支持故障修复感知和迁回,当主服务链故障恢复时业务自动迁回。
支持服务链组之间的负载均衡模式转发。
支持旁挂设备跨品牌负载均衡部署;支持业务流可定制安全设备路径转发,业务流支持L2-L4层五元组匹配方式。
控制器为全网的控制核心,为保障兼容性,本次要求硬件和软件为一体机形式。
2、核心交换机
采用CLOS交换架构,交换网板有独立插槽且与主控引擎、业务板硬件分离。
▲交换容量≥470Tbps,包转发性能≥150000Mpps,独立主控引擎插槽≥2个,独立业务插槽≥8个,独立交换网板全故障,不影响业务转发。
支持电源槽位≥4,满足未来高功率板卡供电需求,且支持M+N电源冗余。
★核心交换机10G端口在负载100%的情况下每端口功率需要≤2W。
★10GE端口可线速转发,且转发时延≤1.5us。
40GE端口可线速转发,且转发时延≤1us。
N:1虚拟化:可将多台物理设备虚拟化为1台逻辑设备,虚拟组内设备具备统一的二层及三层转发表项,统一的管理界面,并可实现跨设备链路聚合。
支持SDN特性,要求所投产品支持openflow 1.3协议。
支持Port based VLAN、Super VLAN、Private VLAN、GVRP。
支持多对一镜像,基于流的镜像,一对多镜像。支持SPAN、RSPAN远程镜像,支持VLAN的镜像。
支持IPv6静态路由、RIPng、OSPF v3、BGP4+ 等路由协议。
支持手动隧道,自动隧道,ISATAP,IPv4 over IPv6。
支持BFD 功能检测到故障并切换到备份路由的断流时间≤30ms。
支持能效以太网功能(EEE), IEEE 802.3az;支持端口休眠。
▲本次满配引擎、电源、交换网板。配置千兆电口≥48个,配置万兆光口≥96个,配置100G光口≥8个,100G光模块≥2个,万兆堆叠线缆≥1根。
3、核心汇聚1
▲交换容量≥160T,包转发性能≥36000Mpps,独立业务插槽数≥3个,本次实际配置单引擎,双电源,配置千兆电口≥12个,配置千兆光口≥24个,配置万兆光口≥4个。
N:1虚拟化:可将2台物理设备虚拟化为1台逻辑设备,虚拟组内设备具备统一的二层及三层转发表项,统一的管理界面,并可实现跨设备链路聚合。
1:N虚拟化:可将一台物理设备虚拟化为多台逻辑设备,各虚拟交换机间具备独立的转发表项及配置界面,各虚拟交换机的配置/重启互不影响。
支持“多虚一”与“一虚多”同时使用,彻底实现资源池化。
支持多对一镜像,基于流的镜像,一对多镜像。支持SPAN、RSPAN远程镜像,支持VLAN的镜像。
4、核心汇聚2
▲支持并实配10G/1G光口数≥20,25G/10G自适应光口数量≥4,40G光口数≥2,交换容量≥23T,包转发率≥1200Mpps。
支持所有端口在64字节下100%线速。
支持并实配可拔插双模块化电源,可拔插双模块化风扇,前后风道。
★支持多虚一技术,可将多台物理设备虚拟化为一台逻辑设备统一管理,故障恢复时间<30ms。
支持支持同时开启802.1X或WEB认证,CPP、ACL、防ARP欺骗等功能不会相互冲突、制约。
要求所投产品支持软件定义网络SDN,符合OpenFlow、NETCONF协议标准。
支持CPU保护功能,能够针对发往CPU处理的各种报文进行流区分和优先级队列分级处理,保护交换机在各种环境下稳定工作。
支持专门基础网络保护机制,能够限制用户向网络中发送数据包的速率,对有攻击行为的用户进行隔离,保证设备和整网的安全稳定运行。
5、接入交换机
▲交换容量≥4.32Tbps ,包转发率≥166Mpps,固化10/100/1000M以太网端口≥48,固化1G/10G SFP+万兆光接口≥4个。
要求所投设备MAC地址≥16K。
要求所投产品端口浪涌抗扰度≥10KV。
支持IPv4和IPv6的静态路由、RIP/RIPng、OSPFv2/OSPFv3等三层路由协议。
支持专门针对CPU保护机制的CPP功能,可将送CPU的报文,如ARP报文的速率进行限制,使CPU的使用率降低到10%以内,保障了CPU安全。
支持专门基础网络保护机制的NFPP功能,支持多种类型的防护,如ARP防护,当ARP速率超过攻击水线,对有攻击行为的用户进行隔离,保证设备和整网的安全稳定运行。
要求所投产品支持openflow技术。
支持虚拟化功能,可将多台物理设备虚拟化为一台逻辑设备统一管理,并且链路故障的收敛时间≤30ms。
6、接入交换机1
▲交换容量≥3.36Tbps ,包转发率≥126Mpps,固化10/100/1000M以太网端口≥24,固化1G/10G SFP+万兆光接口≥4个。
要求所投设备MAC地址≥16K,
要求所投产品端口浪涌抗扰度≥10KV。
支持IPv4和IPv6的静态路由、RIP/RIPng、OSPFv2/OSPFv3等三层路由协议。
支持专门针对CPU保护机制的CPP功能,可将送CPU的报文,如ARP报文的速率进行限制,使CPU的使用率降低到10%以内,保障了CPU安全。
要求所投产品支持openflow技术。
支持虚拟化功能,可将多台物理设备虚拟化为一台逻辑设备统一管理,并且链路故障的收敛时间≤30ms。
7、接入交换机2
▲交换容量≥4.32Tbps ,包转发率≥166Mpps,固化10/100/1000M以太网端口≥48,固化1G/10G SFP+万兆光接口≥4个。
要求所投设备MAC地址≥16K。
要求所投产品端口浪涌抗扰度≥10KV。
支持IPv4和IPv6的静态路由、RIP/RIPng、OSPFv2/OSPFv3等三层路由协议。
支持专门针对CPU保护机制的CPP功能,可将送CPU的报文,如ARP报文的速率进行限制,使CPU的使用率降低到10%以内,保障了CPU安全。
支持专门基础网络保护机制的NFPP功能,支持多种类型的防护,如ARP防护,当ARP速率超过攻击水线,对有攻击行为的用户进行隔离,保证设备和整网的安全稳定运行。
要求所投产品支持openflow技术。
支持虚拟化功能,可将多台物理设备虚拟化为一台逻辑设备统一管理,并且链路故障的收敛时间≤30ms。
8、POE交换机
▲交换容量≥3.36Tbps 、包转发率≥126Mpps,固化10/100/1000M以太网端口≥24,固化1G/10G SFP+万兆光接口≥4个,投标产品支持单端口POE输出功率≥60W。
要求所投设备MAC地址≥16K。
要求所投产品端口浪涌抗扰度≥10KV。
支持IPv4和IPv6的静态路由、RIP/RIPng、OSPFv2/OSPFv3等三层路由协议。
要求所投产品支持openflow技术。
支持虚拟化功能,可将多台物理设备虚拟化为一台逻辑设备统一管理,并且链路故障的收敛时间≤30ms。
9、无线AP1
★支持802.11ax标准,采用硬件独立的四射频设计,整机支持8条空间流;整机最大无线速率≥4Gbps,提供官网截图和链接证明。
支持内置蓝牙。
至少支持1个2.5G以太网端口。
支持1个10/100/1000M以太网端口对外供电,扩展物联网模块。
支持USB 2.0。
防护等级IP41。
整机最大终端接入数不小于1500个。
10、无线AP2
★支持802.11ax标准,整机最大接入速率≥10Gbps;采用硬件独立的三射频设计。5G频段最高支持8条空间流,2.4G频段最高支持6条空间流,整机10条空间流,提供官网截图和链接证明。
支持1024QAM调制解调方式。
2.4GHz 单射频支持4*4 MIMO,且单射频最大接入速率≥1.15Gbps。
5GHz 单射频支持4*4 MU-MIMO,且单射频最大接入速率≥4.8Gbps。
内置智能天线。
支持160MHz工作频宽。
★支持至少2个以太网电口上联,每个以太网电口协商速率不低于5Gbps。
★支持双以太网口聚合链路;支持双PoE热备冗余供电;支持1个10/100/1000M以太网端口对外供电,扩展物联网模块,提供官网截图和链接证明。
支持802.3bt/本地DC48V电源供电模式。
内置固化蓝牙模块。
一个全尺寸USB接口。
防护等级IP41。
所投AP整机最大终端接入数不小于1500个。
11、无线控制器
▲默认可管理AP数≥32个,最大可支持管理200个AP,802.11转发性能≥8G,固化千兆电口数≥8;固化千兆光口数≥2个。
本次实际配置授权按照各学校AP实际数量配置。
支持应用识别功能,实现无线应用的流量统计,支持超过2500种应用。
支持对非法无线接入点进行探测,并对非法AP进行屏蔽。
支持根据用户需求定制化设计认证页面及用户自定义设计,保留测试权利。
支持实时频谱防护,可视化射频干扰源对无线局域网的性能的影响,保留测试权利。
12、网络设备公有云管理平台
网络设备公有云管理平台应具备对全网的网络设备进行统一管理、配置、监控的功能,提供设备运营数据的统计分析,具备管理人员的权限分配功能。
预先配置升级时间以及升级条件,到时间即可自动给符合条件的设备进行升级;并对升级操作日志进行记录,做到可追溯。
支持批量对设备进行配置、配置导入功能。
支持对设备进行远程重启。
能够呈现设备的在线状态、相关性能参数(CPU、内存、硬盘使用率等)。
支持用户数据统计分析,包括总用户数、当前在线用户数、昨日新增用户数、昨日活跃用户数、近7天新增用户数、近7天活跃用户数、近30天活跃用户数。
支持日、周、月统计用户留存率;支持图表呈现在线用户数走势图,支持分组与设备查看。
支持设备在线时长统计分析,支持日、周、月、跨天报表。
13、无线网络监控优化平台
为保证无线网络运行稳定,需要提供无线网优工具分析网络运行情况,网优工具支持设备健康状态、网络覆盖情况、网络关联成功、上网体验情况、网络活跃度、网络饱和度查询功能,提供功能截图。
网优工具告警功能,支持个体终端报障追踪,告知终端问题出现原因和出现的地点,提供解决方案建议;告警记录可查,需要保存至少7天的终端问题分析和历史连接记录,包括终端的流量、信噪比、时延、丢包、信道繁忙度、上下行速率、AP连接记录。
★网优工具一键优化功能,支持办公室,室外、宿舍、高密会议等常见场景优化方案,为确保整体方案成熟可靠,提供软件后台项目记录截图。
★网优工具Wi-Fi干扰定位功能,支持对钓鱼Wi-Fi、Wi-Fi攻击行为进行呈现,支持反制功能的配置,支持对钓鱼Wi-Fi名称进行模糊匹配,支持定位到责任人的账号名称、钓鱼Wi-Fi品牌型号;支持显示受害终端的终端MAC、终端类型、首次发次时间、最新发现时间,提供功能截图。
14、运维管理平台
采用B/S架构,支持分布式部署,具备资源权限管理,可按资源组、设备资源赋权,便于分区域管理。
具备对Windows、IBM AIX、Linux、FreeBSD、Solaris等操作系统的监控,包含CPU、内存、进程、磁盘、网卡等信息,为避免对系统造成影响,采用非代理方式监测。
可监控Oracle、DB2、MySQL、SQL Server、Sybase等主流数据库。
★实现以视图方式展现综合布线的设备、管道、线路、配线间、配线柜、配线架之间的复杂连接关系;实现基于端口的物理线路(光纤、双绞线)状态监测。提供产品功能证明截图。
★提供端到端故障排查功能,可通过查询设定用户端和访问业务端,在端到端视图中包含但不限于用户、配线信息、接入端口、途径相关设备、链路流量、对端业务系统等信息。提供产品功能证明截图。
具备对业界主流品牌等品牌网络设备进行监控,包含但不限于设备性能、吞吐量,端口流量、端口丢包率、广播包速率,链路通断等。
★能够自动计算生成拓扑图,并对拓扑图中的告警设备进行实时的轮询动态播放,并将拓扑图中的设备告警详情轮询排列在拓扑图下方,方便管理员通过大屏进行直观的查看。提供产品功能证明截图。
★视图支持设备和用户2个维度的数据统计呈现,用户方面,视图可查看当前在线用户数、在线用户趋势统计、今日用户数峰值、用户信号强度占比统计、区域在线用户数统计;设备方面,支持在线AP数、总AP数、总流量、区域无线网络流量、区域AP分布与运行情况统计。提供产品证明截图。
提供告警压缩的功能,自动压缩关联告警到主告警中。支持多种压缩规则:包括设备组件与设备,网络设备的插槽与端口,端口与链路;虚拟化平台的ESXi、VM、Cluster、数据存储与Vcenter等。
★提供运维数据分析功能,通过添加多纬度分析模型完成建模,内置分析决策模型,模型包括但不限于:告警分析、资源/资产分析、工作量分析、故障处理效率分析、项目分析、知识库分析、等模型。提供产品功能证明截图。
业务模型应预留北向API接口,可对接业务系统推送的业务指标,方便用户所综合评价业务质量。
要求运维管理平台对业务系统的可用情况、健康情况、忙碌情况等关键指标计算方式可进行自定义设置,并提供对外的API接口,可对接业务系统推送的自定义业务指标,主动获取用户所关心的业务数据。
系统内置多纬度多视角报表模版,如:资源报表模版、告警报表模版、趋势报表模版、TOPN报表等;支持各类型报表订阅功能,可以按照设定的周期自动将报表通过邮件、系统信息等多种方式发送给指定报表订阅人。
配置设备管理授权≥100个;无线AP监控授权≥200个。
招标方有权要求,中标方根据项目实际需求对软件功能模块做定制化开发。
招标方有权要求,中标方现场演示或实地验证所有技术要求,如发现虚假应标情况,将依法追求法律责任。
15、城域网中心防火墙参数要求
?
16、学校端下一代防火墙1
?
17、学校端下一代防火墙2
?
18、通信链路-学校接入及汇聚光纤链路
(1)链路类型:由以下2种组网方式中选择1种。
数据专线组网方式:基于PTN/MSTP/OTN技术,提供安全、稳定、带宽独享的数字电路组网方式,与互联网物理隔离,数据专线间互相隔离。
MPLS VPN组网方式:采用先进的标签交换技术,与互联网逻辑隔离,网络安全级别更高;各分支点通过双千兆路由接入,采用固定IP接入,双物理路由、双上行、接入不同端口,有一条异常不影响使用,保证可靠性;网络接入基于电信网络,具备全面的支撑系统,即使教育网内学校分布范围多而散,也能架构安全灵活的内部联网。采用此方式需合理设置汇聚链路的带宽,避免链路瓶径。
(2)带宽:1G。
时延:有线接入时延指从用户终端到接入服务器(BRAS)之间的时延≤1ms。
速率:有线接入速率的平均值应能达到签约速率的90%。
丢包率:有线接入丢包率指从用户终端到接入服务器(BRAS)之间丢包率≤1%。
抖动:测试到接入服务器(BRAS)之间网络延时变化值≤10ms。
(3)链路应采用双路由保护,降低中断风险。
(4)要求投标人所提供的网络具有对所有节点传输设备的日常运行状态、故障响应、资源分配和调度控制等监测管理功能,提供端到端的客户网络监控等业务,投标人对于客户网络监控服务应具备7*24小时的实时服务监控团队。投标人承担骨干传输电路及接入传输电路端到端的维护管理任务。每月向采购人提供电路运行质量报告,确保电路各项运行指标正常。要求电路可用率平均达到99.9%;业务中断四个小时内电路恢复率为100%;平均恢复时间小于3小时。
(5)服务期限:项目整体验收起12个月。
(6)提供每年四次以上巡检,提供24小时统一故障申告服务电话,提供故障响应流程和服务承诺。
(7)投标人需根据采购人的要求,及时派出技术维护人员到重要保障任务现场提供服务保障,在采购人提出的重要保障任务(重要会议、重大活动等)中,如发生电路或相关设备故障造成采购人使用受到严重影响,则由投标人免费提供相应电路使用时间,如果一年内发生超过3次,则采购人有权终止合同,投标人须承担相关法律责任。
(8)投标人承诺在后期扩容、改造服务中保留相应服务团队承担相应工作。在合同服务期限内,若有临时电路扩容需求,投标人应及时响应,并协调配备对应网络及硬件资源。
(9)投标人提供的服务具体标准不得低于信息产业部颁布的《通信行业服务质量标准》。
19、通信链路-教育城域网互联出口链路
(1)带宽:1G
独享带宽1G。采用固定IP接入.支持双千兆路由接入、多上行,可靠性有保障。
时延:有线接入时延指从用户终端到接入服务器(BRAS)之间的时延≤1ms。
速率:有线接入速率的平均值应能达到签约速率的90%。
丢包率:有线接入丢包率指从用户终端到接入服务器(BRAS)之间丢包率≤1%。
抖动:测试到接入服务器(BRAS)之间网络延时变化值≤10ms。
(2)要求投标人所提供的网络具有对所有节点传输设备的日常运行状态、故障响应、资源分配和调度控制等监测管理功能,提供端到端的客户网络监控等业务,投标人对于客户网络监控服务应具备7*24小时的实时服务监控团队。投标人承担骨干传输电路及接入传输电路端到端的维护管理任务。每月向采购人提供电路运行质量报告,确保电路各项运行指标正常。要求电路可用率平均达到99.9%;业务中断四个小时内电路恢复率为100%;平均恢复时间小于3小时。
(3)服务期限:项目整体验收起12个月。
(4)提供每年四次以上巡检,提供24小时统一故障申告服务电话,提供故障响应流程和服务承诺。
(5)投标人需根据采购人的要求,及时派出技术维护人员到重要保障任务现场提供服务保障,在采购人提出的重要保障任务(重要会议、重大活动等)中,如发生电路或相关设备故障造成采购人使用受到严重影响,则由投标人免费提供相应电路使用时间,如果一年内发生超过3次,则采购人有权终止合同,投标人须承担相关法律责任。
(6)投标人承诺在后期扩容、改造服务中保留相应服务团队承担相应工作。在合同服务期限内,若有临时电路扩容需求,投标人应及时响应,并协调配备对应网络及硬件资源。
(7)投标人提供的服务具体标准不得低于信息产业部颁布的《通信行业服务质量标准》。
20、系统集成
20.1系统集成内容
本项目系统集成包含项目建设所涉及的相关安装、调试、综合布线等相关工作。主要内容如下:
(1)包含59条光纤链路调通等内容。
(2)包括144个无线AP布线安装调试所需全部费用(含布线、无线AP的安装、调试等相关辅材)。
(3)包括所有网络调通所需涉及的全部安装调试及辅材。
(4)包含本项目相关网络设备、安全设备、管理设备的安装调试、二维码张贴费用等。
(5)质保期内的维护服务。
20.2整体施工要求
(1)本项目所需要各类网络跳线、光纤跳线、AP标识,均须使用机打标签纸进行点位标注。标识可采用颜色、图形、文字、编号或它们的组合,标识要求唯一性。
(2)中标方在设备安装过程中如需进行打孔、切割、进户施工等有较大噪音及需要采购方现场配合的工作时,必须考虑采购方的实际情况,只能在事先约定的时间进场施工。希望投标单位充分考虑此情况,合理安排施工时间,以便能在规定的时间内,保质保量地完成工程。
20.3维护服务要求
20.3.1服务内容
(1)网络设备(核心交换机、SDN控制器、汇聚交换机、接入交换机、防火墙、无线控制器及无线AP、边界汇聚安全网关)的维护。
(2)数据链路维护。
(3)网络状况监控及带宽调配。
20.3.2技术服务时间
(1)重要时期或重大活动的现场技术保障,具体工作时间按业主安排。
(2)7*24小时提供专家团队技术支持。
20.3.3技术服务方式
(1)此项网络维护服务中采用前后台团队化技术服务方式。
(2)后台服务团队:由项目经理带队、相关网络保障系统等高级专家组成,提供全方位的技术支持工作。
(3)现场服务团队:提供现场网络维护服务负责相关的前期普查及保障服务。
(4)一般报修由运维工程师进行接障,接到报障,维护人员及时进行排查故障,直至故障排查完成。疑难故障、紧急重大故障、技术调试由项目经理、高级工程师负责故障处理。
20.3.4技术服务内容
(1)维护人员对校园无线网络进行日常巡检维护,每3月完成一次巡检,巡检内容包括网络设备、AP在线情况、AC上下行流量情况。
(2)维护人员应通过自备相关软件对AP设备进行日常巡检,对掉线的设备进行及时处理,将被动运维转成主动运维,优化网络环境,提升上网体验。
(3)日常服务工作:
熟悉学校网络拓扑结构,及时对出现的线路故障进行排除、处理;对不能或无法处理的问题迅速报告相关老师并提出自己的处理意见。
定期(每月)对接入设备间进行设备巡检工作。利用假期的较长时间段对设备间的接入设备作例行的运行维护工作和信息面板模块作检查更换。
网络接入服务,解决网络问题,用户使用咨询(网络使用与病毒知识),保证用户正常用网。
(4)后台专家服务
后台技术团队为业主提供以下服务:
预警为主的初期网络健康检查服务:在本期运维服务开始的初期将根据业主目前网络的实际情况作一次全面的健康检查,消除网络运行隐患。
高规格的紧急救援服务:提供设备保障20分钟内响应;若遇到特殊事件,即刻启动紧急救援服务流程。
定期巡检服务:定期高级工程师到对相关设备巡检相结合的服务方式。特别是校内重点活动、重要会议活动期间,需有高级工程师将到校对相关重点设备进行全方位检查,并做好重要时段的现场保障服务工作。巡检完成后将即时与相关老师沟通相关情况,通过网络优化深层次的巡检服务与相结合的方式及时发现和预防可能出现的硬件和系统问题。每学期期初、期中、期末各进行一次现场巡检。巡检中应对系统性能、运行状况、稳定程度等进行评估,并根据用户需求经确认后进行优化、维修或更换出现故障的设备或部件。每次巡检结束后,需向最终用户提交巡检报告。
(六)其他要求:
1、投标单位的投标报价中应包括所有费用,即采购单位无需再支付任何费用,实施完毕后就能正常使用且相关技术规格满足招投标文件相关标准。除非校方提出需求,否则项目实施过程中若因投标单位考虑不周或计算错误导致的费用增加,均由投标单位负责。
2、质保期:所有网络硬件设备提供原厂三年质保。
3、要求本项目质保期内如发生故障,中标单位必须及时响应并免费上门服务,要求提供7*24不间断热线响应;常见问题1小时到达现场,2小时修复;大故障6小时修复。
4、施工结束后,必须及时完成施工现场的恢复清理,确保完工后墙面、楼道等整洁美观。
5、项目验收前,中标单位须提供项目建设的完整文档资料,包括所有AP的安装位置、施工图纸、所有设备IP地址表、项目实施配置文档等相关技术资料。
6、项目验收前,所有AP设备均需粘贴二维码,进行电子化管理。
7、本次采购的供货范围,除包括上述清单包含产品外,还应包括使用所必需的备品备件品,负责运输、安装并提供相应的技术服务与质量保证。投标人所提供的货物,应符合招标人在招标文件中提出的技术参数要求。
8、应能保证所提供货物涉及到的知识产权是合法取得,并享有完整的知识产权,不会因为需方的使用而被责令停止使用、追偿或要求赔偿损失,如出现此情况,一切经济和法律责任均由供方承担。供方提供的所有货物必须为合格产品,质量符合国家通用标准,如出现质量问题或系假冒伪劣产品,供应商负责包退、包换,发生的费用由供应商负责。
9、产品质量要求:
(1)投标单位所投产品除必须符合国家及行业技术标准以外,还应满足招标文件上述所提示的技术要求。
(2)所有主要设备以及安装施工所涉及的附(配)件应具备该类产品的功能要求,无瑕疵和缺陷,质量为合格产品,同时有明确的国家制造标准(规范)、生产厂商或制造厂商。
(3)如果是超出供方的责任范围的疏忽、误操作等情况而导致的更换修正,应由供方进行修理,其额外费用由双方协商承担。
10、安装及调试有关要求:
(1)中标单位应遵守现场的一切规章制度,应自行负责施工现场的安全管理,安全、文明安装和调试。
(2)中标单位负责保管、看护进场的设备及附配件。
(3)中标单位应对设备、安装设备(工具)等提供适当的保护、包装或覆盖等处理,以免受损。
(4)无论安装调试期间或保修过程中,中标单位负责及时清理垃圾。
(5)中标单位承担安装调试期间安装场所的安全以及设备和安装调试人员的安全责任。
(6)设备安装调试完成后,投标单位需提供设备质保书、保修证明等书面资料。
合同履行期限:合同签订后90天内完成全部改造工作,交付采购单位使用。
本项目不接受联合体投标。
二、申请人的资格要求:
1、满足《中华人民共和国政府采购法》第二十二条规定;
2、落实政府采购政策需满足的资格要求:无;
3、本项目的特定资格要求:无。
三、获取招标文件
时间:2020年10月15日至2020年10月22日(北京时间,法定节假日除外)。
地点:“苏州市公共资源交易中心”―“政府采购(网上报名)”―“苏州市政府采购管理交易平台”―“供应商”。
方式:
1、申领CA。未在苏州市市级政府采购项目申领专用CA证书的供应商登陆“苏州市公共资源交易平台”-政府采购(姑苏区网上报名)进行网上注册及资料填报,并携带相关资料至苏州市数字证书认证中心有限责任公司(以下简称苏州CA)服务网点进行审核并申领CA证书,申领时说明为“姑苏区区级政府采购项目专用CA证书”,有效期内的CA证书可以反复使用。
已经申领苏州市市级政府采购项目专用CA证书的供应商进行网上注册及资料填报后,携带CA证书至苏州CA服务网点开通姑苏区区级政府采购项目网上报名功能模块即可。
2、登录报名。供应商进入“苏州市公共资源交易平台”,“政府采购(姑苏区网上报名)”系统,插入CA证书登录后选择具体项目并点击“报名”按钮报名。报名后,系统会显示报名确认单,供应商须打印以供投标使用。报名成功的供应商不可撤销报名。
售价:0元。
四、提交投标文件截止时间、开标时间和地点
提交投标文件截止时间:2020年11月5日14点30分(北京时间)
开标时间:2020年11月5日14点30分(北京时间)
地点:苏州市姑苏区莲升路城市生活广场西楼五楼苏州市公共资源交易中心(政府采购)
五、公告期限
自本公告发布之日起5个工作日。
六、其他补充事宜
1、本公告将在苏州市政府采购网、江苏省政府采购网、中国政府采购网上发布。
2、本项目不接受进口产品。
3、苏州市姑苏区财政局政府采购监督电话:0512-68728409。
七、对本次招标提出询问,请按以下方式联系。
1、采购人信息
名称:苏州市姑苏区教育体育和文化旅游委员会
地址:苏州市平川路510号
联系方式:13511605594(沈敏华)
2、采购代理机构信息
名称:苏州诚和招投标咨询有限公司
地址:苏州市竹辉路477号咨询大厦2楼
联系方式:0512-65161797、0512-65161672
3、项目联系方式
项目联系人:张萱、俞家成
电话:0512-65161797、0512-65161672
?
?
苏州诚和招投标咨询有限公司
2020年10月15日
?
姑苏区学校校园网升级改造采购项目的潜在投标人应在苏州市公共资源交易中心网上获取招标文件,并于2020年11月5日下午14点30分(北京时间)前递交投标文件。
一、项目基本情况
项目编号:SZCH2020-GS-G-012
项目名称:姑苏区学校校园网升级改造
预算金额:
人民币(大写):伍佰壹拾肆万元整
人民币(小写):¥5,140,000.00元
其中:
通信链路部分:
人民币(大写):壹佰贰拾贰万元整
人民币(小写):¥1,220,000.00元
设备及系统集成部分:
人民币(大写):叁佰玖拾贰万元整
人民币(小写):¥3,920,000.00元
注:投标总价不得超过预算的同时,各分项报价不得超过上述各分项预算。
采购需求:
(一)项目介绍:
根据《江苏教育信息化2.0行动计划》、《江苏省中小学智慧校园建设指导意见(试行)》的总体要求,积极推进智慧校园建设,实现中小学校园千兆进校、百兆进班,无线网络覆盖教学、办公及主要活动场所,满足学校师生教育教学中的应用需求,为移动办公、移动教学和移动管理等应用提供快速、安全、稳定、高效的无线网络服务。
随着现有网络基础设施老化、国家对网络安全新的管理要求以及多样化教学手段的应用需求,现有教育城域网网络及区属学校校园网已经无法满足实际教学需要,急需进行相关升级改造。
(二)总体设计:
1、区属所有小学校及分校共计58个教学点接入带宽统一提升为1GB,并配置对应网络接入及设备,汇聚至教育城域网中心。
2、提供教育城域网中心互联出口链路,带宽1GB。
3、对22所小学校28个校区校园网主干设备升级改造及安装调试。
4、新增22所小学校28个校区无线接入点位及管理设备。
5、网络安全建设。
(三)建设内容:
1、提供区属所有小学校及分校58个教学点共计58条光纤链路(带宽1G)并汇聚至教育城域网中心。提供1条教育城域网中心互联出口链路(带宽1G)。
2、校园内新增WiFi-6无线点位共计144个,同时配置6台AC管理设备。
3、接入侧部署防火墙22台。
4、对学校现有的光纤线路、校园机房及设备间弱电线路进行整理,标签标识。
5、弱电综合布线。
(四)设备及服务采购清单:
编号 | 名称 | 规格要求 | 单位 | 数量 |
1 | SDN控制器 | 支持图形化web管理,可通过web界面进行节点管理、链路管理、业务管理、拓扑管理、故障感知等,可支持服务链切换过程不断网。三年原厂质保。 详见采购技术要求。 | 台 | 1 |
2 | 单模万兆光模块 | 城域网学校端与中心端边界区域汇聚互联;万兆单模1310nm,40KM光模块。三年原厂质保。 | 个 | 2 |
3 | 核心交换机 | 中心端核心交换机,三年原厂质保。详见采购技术要求。 | 台 | 2 |
4 | 核心汇聚1 | 插卡式交换机,详见采购技术要求。 | 台 | 4 |
5 | 核心汇聚2 | 实配10G/1G接口数≥24。三年原厂质保。 详见采购技术要求。 | 台 | 21 |
6 | 千兆光模块 | 千兆单模1310nm,10KM 光模块。三年原厂质保。 | 个 | 336 |
7 | 接入交换机 | 固化10/100/1000M以太网端口≥48,固化1G/10G SFP+万兆光接口≥4个。三年原厂质保。 详见采购技术要求。 | 台 | 8 |
8 | 接入交换机1 | 固化10/100/1000M以太网端口≥24,固化1G/10G SFP+万兆光接口≥4个。三年原厂质保。 详见采购技术要求。 | 台 | 48 |
9 | 接入交换机2 | 固化10/100/1000M以太网端口≥48,固化1G/10G SFP+万兆光接口≥4个。三年原厂质保。 详见采购技术要求。 | 台 | 75 |
10 | POE交换机 | 固化10/100/1000M以太网端口≥24,固化1G/10G SFP+万兆光接口≥4个,支持单端口POE输出功率≥60W。三年原厂质保。 详见采购技术要求。 | 台 | 34 |
11 | POE交换机万兆模块 | 万兆LC接口模块(1310nm),10km,适用于SFP+接口。三年原厂质保。 | 块 | 68 |
12 | 无线AP1 | 支持802.11ax标准 整机最大无线速率≥4Gbps 三年原厂质保。详见采购技术要求。 | 台 | 130 |
13 | 无线AP2 | 支持802.11ax标准 整机最大接入速率≥10Gbps 三年原厂质保。详见采购技术要求。 | 台 | 14 |
14 | 无线控制器 | 最大可支持管理200个AP 实际配置授权按照各学校AP实际数量配置。 三年原厂质保。详见采购技术要求。 | 台 | 6 |
15 | 网络设备公有云管理平台 | 云管平台应具备对有线、无线网络设备进行统一管理、配置、监控的功能,提供设备运营数据的统计分析,具备管理人员的权限分配功能。三年原厂运维及免费升级。 日志支持存储1个月;详见采购技术要求。 | 套 | 1 |
16 | 无线网络监控优化平台 | 无线网络监控优化平台应对城域网各所学校在网无线设备进行状态监控、自动优化、安全加固等功能。三年原厂运维及免费升级。 详见采购技术要求。 | 套 | 1 |
17 | 统一运维管理平台 | 平台应包含系统巡检、告警中心、资源管理(资源、拓扑和无线)、脚本监控、日志监控、统计报表组件。提供有线授权100个、无线设备管理授权200个。三年原厂运维及免费升级。 详见采购技术要求。 | 套 | 1 |
18 | 城域网中心防火墙 | 万兆多核平台;2U可上机架式;至少配置 ??????????????????????????????????????????????????????????????????????????6个10/100/1000BASE-T+4个SFP插槽+ 4个万兆SFP+插槽;主机配置双冗余电源;七层应用:开启AV、IPS、应用识别引擎,开启IPSECVPN和SSLVPN功能模块,至少200个SSLVPN客户端并发授权许可;性能:三层吞吐量≥40Gbps,应用层吞吐量≥20Gbps,并发连接数≥1200W,新建连接数(CPS)≥45W;三年原厂质保与特征库升级服务。详见采购技术要求。 | 台 | 1 |
19 | 学校端下一代防火墙1 | 千兆多核平台,1U可上机架式;至少配置6个10/100/1000BASE-T+2个SFP插槽;七层应用:开启 AV、IPS引擎,开启IPSECVPN功能模块; 性能:网络吞吐量≥4.5G,并发连结数≥150W,新建连接数(CPS)≥25000;三年原厂质保与特征库升级服务。详见采购技术要求。 ?????????????? | 台 | 16 |
20 | 学校端下一代防火墙2 | 千兆多核平台,1U可上机架式;至少配置10个10/100/1000BASE-T+4个SFP插槽;主机配置双冗余电源;七层应用:开启 AV、IPS引擎,开启IPSECVPN功能模块;性能:网络吞吐量≥7G,并发连结数≥200W,新建连接数(CPS)≥80000;三年原厂质保与特征库升级服务。详见采购技术要求。 | 台 | 6 |
21 | 通信链路-学校接入及汇聚光纤链路 | 提供区属所有小学校及分校58个教学点共计58条接入光纤链路(带宽1G)并汇聚至教育城域网中心。详见采购技术要求。 | 条 | 58 |
22 | 通信链路-教育城域网互联出口链路 | 教育城域网中心互联出口链路,带宽1GB。详见采购技术要求。 | 条 | 1 |
23 | 系统集成 | 详见采购技术要求。 | 项 | 1 |
注:本项目采购清单中序号12无线AP1、序号18城域网中心防火墙、序号19学校端下一代防火墙1、序号20学校端下一代防火墙2为核心产品。
(五)采购技术要求:
1、SDN控制器
要求控制器采用OSGi开放式架构,可以通过开发APP的方式灵活扩展新的功能。
支持OpenFlow V1.0、V1.3,NETCONF、telnet等。
支持Restful API接口,反向Restful API。
北向接口需以标准Http的RestAPI形式提供。
★支持1000个网元节点规模的网络;支持Packet_In和Packet_Out每秒≥100K的处理速度;为确保控制器的稳定转发,支持控制器之间进行集群部署,且集群数量≥64台。
在SDN 控制器出现异常、重启、升级、主备倒换时,网元设备上的流表继续生效,而且不影响转发的连续性。
支持分级分权限的用户添加、删除和修改,用户权限颗粒度可以细化到每一个功能点。
要求控制器及所配置SDN方案提供GUI界面,能够查看网络配置,同时能够进行编辑与配置下发。
支持图形化web管理,可通过web界面进行节点管理、链路管理、业务管理、拓扑管理、故障感知等。
支持Restful API标准北向接口,便于向第三方系统对接。
可以通过出口设备和SDN控制器旁挂核心的部署方式,实现按需引流的效果。
为保护用户投资,安全资源池里的安全设备不能有任何品牌限制,至少满足≥5家以上不同品牌主流安全设备的部署,为防止虚假应标,保留测试权利。
支持安全设备故障检测,并且自动bypass故障安全设备。
支持故障修复感知和迁回,当主服务链故障恢复时业务自动迁回。
支持服务链组之间的负载均衡模式转发。
支持旁挂设备跨品牌负载均衡部署;支持业务流可定制安全设备路径转发,业务流支持L2-L4层五元组匹配方式。
控制器为全网的控制核心,为保障兼容性,本次要求硬件和软件为一体机形式。
2、核心交换机
采用CLOS交换架构,交换网板有独立插槽且与主控引擎、业务板硬件分离。
▲交换容量≥470Tbps,包转发性能≥150000Mpps,独立主控引擎插槽≥2个,独立业务插槽≥8个,独立交换网板全故障,不影响业务转发。
支持电源槽位≥4,满足未来高功率板卡供电需求,且支持M+N电源冗余。
★核心交换机10G端口在负载100%的情况下每端口功率需要≤2W。
★10GE端口可线速转发,且转发时延≤1.5us。
40GE端口可线速转发,且转发时延≤1us。
N:1虚拟化:可将多台物理设备虚拟化为1台逻辑设备,虚拟组内设备具备统一的二层及三层转发表项,统一的管理界面,并可实现跨设备链路聚合。
支持SDN特性,要求所投产品支持openflow 1.3协议。
支持Port based VLAN、Super VLAN、Private VLAN、GVRP。
支持多对一镜像,基于流的镜像,一对多镜像。支持SPAN、RSPAN远程镜像,支持VLAN的镜像。
支持IPv6静态路由、RIPng、OSPF v3、BGP4+ 等路由协议。
支持手动隧道,自动隧道,ISATAP,IPv4 over IPv6。
支持BFD 功能检测到故障并切换到备份路由的断流时间≤30ms。
支持能效以太网功能(EEE), IEEE 802.3az;支持端口休眠。
▲本次满配引擎、电源、交换网板。配置千兆电口≥48个,配置万兆光口≥96个,配置100G光口≥8个,100G光模块≥2个,万兆堆叠线缆≥1根。
3、核心汇聚1
▲交换容量≥160T,包转发性能≥36000Mpps,独立业务插槽数≥3个,本次实际配置单引擎,双电源,配置千兆电口≥12个,配置千兆光口≥24个,配置万兆光口≥4个。
N:1虚拟化:可将2台物理设备虚拟化为1台逻辑设备,虚拟组内设备具备统一的二层及三层转发表项,统一的管理界面,并可实现跨设备链路聚合。
1:N虚拟化:可将一台物理设备虚拟化为多台逻辑设备,各虚拟交换机间具备独立的转发表项及配置界面,各虚拟交换机的配置/重启互不影响。
支持“多虚一”与“一虚多”同时使用,彻底实现资源池化。
支持多对一镜像,基于流的镜像,一对多镜像。支持SPAN、RSPAN远程镜像,支持VLAN的镜像。
4、核心汇聚2
▲支持并实配10G/1G光口数≥20,25G/10G自适应光口数量≥4,40G光口数≥2,交换容量≥23T,包转发率≥1200Mpps。
支持所有端口在64字节下100%线速。
支持并实配可拔插双模块化电源,可拔插双模块化风扇,前后风道。
★支持多虚一技术,可将多台物理设备虚拟化为一台逻辑设备统一管理,故障恢复时间<30ms。
支持支持同时开启802.1X或WEB认证,CPP、ACL、防ARP欺骗等功能不会相互冲突、制约。
要求所投产品支持软件定义网络SDN,符合OpenFlow、NETCONF协议标准。
支持CPU保护功能,能够针对发往CPU处理的各种报文进行流区分和优先级队列分级处理,保护交换机在各种环境下稳定工作。
支持专门基础网络保护机制,能够限制用户向网络中发送数据包的速率,对有攻击行为的用户进行隔离,保证设备和整网的安全稳定运行。
5、接入交换机
▲交换容量≥4.32Tbps ,包转发率≥166Mpps,固化10/100/1000M以太网端口≥48,固化1G/10G SFP+万兆光接口≥4个。
要求所投设备MAC地址≥16K。
要求所投产品端口浪涌抗扰度≥10KV。
支持IPv4和IPv6的静态路由、RIP/RIPng、OSPFv2/OSPFv3等三层路由协议。
支持专门针对CPU保护机制的CPP功能,可将送CPU的报文,如ARP报文的速率进行限制,使CPU的使用率降低到10%以内,保障了CPU安全。
支持专门基础网络保护机制的NFPP功能,支持多种类型的防护,如ARP防护,当ARP速率超过攻击水线,对有攻击行为的用户进行隔离,保证设备和整网的安全稳定运行。
要求所投产品支持openflow技术。
支持虚拟化功能,可将多台物理设备虚拟化为一台逻辑设备统一管理,并且链路故障的收敛时间≤30ms。
6、接入交换机1
▲交换容量≥3.36Tbps ,包转发率≥126Mpps,固化10/100/1000M以太网端口≥24,固化1G/10G SFP+万兆光接口≥4个。
要求所投设备MAC地址≥16K,
要求所投产品端口浪涌抗扰度≥10KV。
支持IPv4和IPv6的静态路由、RIP/RIPng、OSPFv2/OSPFv3等三层路由协议。
支持专门针对CPU保护机制的CPP功能,可将送CPU的报文,如ARP报文的速率进行限制,使CPU的使用率降低到10%以内,保障了CPU安全。
要求所投产品支持openflow技术。
支持虚拟化功能,可将多台物理设备虚拟化为一台逻辑设备统一管理,并且链路故障的收敛时间≤30ms。
7、接入交换机2
▲交换容量≥4.32Tbps ,包转发率≥166Mpps,固化10/100/1000M以太网端口≥48,固化1G/10G SFP+万兆光接口≥4个。
要求所投设备MAC地址≥16K。
要求所投产品端口浪涌抗扰度≥10KV。
支持IPv4和IPv6的静态路由、RIP/RIPng、OSPFv2/OSPFv3等三层路由协议。
支持专门针对CPU保护机制的CPP功能,可将送CPU的报文,如ARP报文的速率进行限制,使CPU的使用率降低到10%以内,保障了CPU安全。
支持专门基础网络保护机制的NFPP功能,支持多种类型的防护,如ARP防护,当ARP速率超过攻击水线,对有攻击行为的用户进行隔离,保证设备和整网的安全稳定运行。
要求所投产品支持openflow技术。
支持虚拟化功能,可将多台物理设备虚拟化为一台逻辑设备统一管理,并且链路故障的收敛时间≤30ms。
8、POE交换机
▲交换容量≥3.36Tbps 、包转发率≥126Mpps,固化10/100/1000M以太网端口≥24,固化1G/10G SFP+万兆光接口≥4个,投标产品支持单端口POE输出功率≥60W。
要求所投设备MAC地址≥16K。
要求所投产品端口浪涌抗扰度≥10KV。
支持IPv4和IPv6的静态路由、RIP/RIPng、OSPFv2/OSPFv3等三层路由协议。
要求所投产品支持openflow技术。
支持虚拟化功能,可将多台物理设备虚拟化为一台逻辑设备统一管理,并且链路故障的收敛时间≤30ms。
9、无线AP1
★支持802.11ax标准,采用硬件独立的四射频设计,整机支持8条空间流;整机最大无线速率≥4Gbps,提供官网截图和链接证明。
支持内置蓝牙。
至少支持1个2.5G以太网端口。
支持1个10/100/1000M以太网端口对外供电,扩展物联网模块。
支持USB 2.0。
防护等级IP41。
整机最大终端接入数不小于1500个。
10、无线AP2
★支持802.11ax标准,整机最大接入速率≥10Gbps;采用硬件独立的三射频设计。5G频段最高支持8条空间流,2.4G频段最高支持6条空间流,整机10条空间流,提供官网截图和链接证明。
支持1024QAM调制解调方式。
2.4GHz 单射频支持4*4 MIMO,且单射频最大接入速率≥1.15Gbps。
5GHz 单射频支持4*4 MU-MIMO,且单射频最大接入速率≥4.8Gbps。
内置智能天线。
支持160MHz工作频宽。
★支持至少2个以太网电口上联,每个以太网电口协商速率不低于5Gbps。
★支持双以太网口聚合链路;支持双PoE热备冗余供电;支持1个10/100/1000M以太网端口对外供电,扩展物联网模块,提供官网截图和链接证明。
支持802.3bt/本地DC48V电源供电模式。
内置固化蓝牙模块。
一个全尺寸USB接口。
防护等级IP41。
所投AP整机最大终端接入数不小于1500个。
11、无线控制器
▲默认可管理AP数≥32个,最大可支持管理200个AP,802.11转发性能≥8G,固化千兆电口数≥8;固化千兆光口数≥2个。
本次实际配置授权按照各学校AP实际数量配置。
支持应用识别功能,实现无线应用的流量统计,支持超过2500种应用。
支持对非法无线接入点进行探测,并对非法AP进行屏蔽。
支持根据用户需求定制化设计认证页面及用户自定义设计,保留测试权利。
支持实时频谱防护,可视化射频干扰源对无线局域网的性能的影响,保留测试权利。
12、网络设备公有云管理平台
网络设备公有云管理平台应具备对全网的网络设备进行统一管理、配置、监控的功能,提供设备运营数据的统计分析,具备管理人员的权限分配功能。
预先配置升级时间以及升级条件,到时间即可自动给符合条件的设备进行升级;并对升级操作日志进行记录,做到可追溯。
支持批量对设备进行配置、配置导入功能。
支持对设备进行远程重启。
能够呈现设备的在线状态、相关性能参数(CPU、内存、硬盘使用率等)。
支持用户数据统计分析,包括总用户数、当前在线用户数、昨日新增用户数、昨日活跃用户数、近7天新增用户数、近7天活跃用户数、近30天活跃用户数。
支持日、周、月统计用户留存率;支持图表呈现在线用户数走势图,支持分组与设备查看。
支持设备在线时长统计分析,支持日、周、月、跨天报表。
13、无线网络监控优化平台
为保证无线网络运行稳定,需要提供无线网优工具分析网络运行情况,网优工具支持设备健康状态、网络覆盖情况、网络关联成功、上网体验情况、网络活跃度、网络饱和度查询功能,提供功能截图。
网优工具告警功能,支持个体终端报障追踪,告知终端问题出现原因和出现的地点,提供解决方案建议;告警记录可查,需要保存至少7天的终端问题分析和历史连接记录,包括终端的流量、信噪比、时延、丢包、信道繁忙度、上下行速率、AP连接记录。
★网优工具一键优化功能,支持办公室,室外、宿舍、高密会议等常见场景优化方案,为确保整体方案成熟可靠,提供软件后台项目记录截图。
★网优工具Wi-Fi干扰定位功能,支持对钓鱼Wi-Fi、Wi-Fi攻击行为进行呈现,支持反制功能的配置,支持对钓鱼Wi-Fi名称进行模糊匹配,支持定位到责任人的账号名称、钓鱼Wi-Fi品牌型号;支持显示受害终端的终端MAC、终端类型、首次发次时间、最新发现时间,提供功能截图。
14、运维管理平台
采用B/S架构,支持分布式部署,具备资源权限管理,可按资源组、设备资源赋权,便于分区域管理。
具备对Windows、IBM AIX、Linux、FreeBSD、Solaris等操作系统的监控,包含CPU、内存、进程、磁盘、网卡等信息,为避免对系统造成影响,采用非代理方式监测。
可监控Oracle、DB2、MySQL、SQL Server、Sybase等主流数据库。
★实现以视图方式展现综合布线的设备、管道、线路、配线间、配线柜、配线架之间的复杂连接关系;实现基于端口的物理线路(光纤、双绞线)状态监测。提供产品功能证明截图。
★提供端到端故障排查功能,可通过查询设定用户端和访问业务端,在端到端视图中包含但不限于用户、配线信息、接入端口、途径相关设备、链路流量、对端业务系统等信息。提供产品功能证明截图。
具备对业界主流品牌等品牌网络设备进行监控,包含但不限于设备性能、吞吐量,端口流量、端口丢包率、广播包速率,链路通断等。
★能够自动计算生成拓扑图,并对拓扑图中的告警设备进行实时的轮询动态播放,并将拓扑图中的设备告警详情轮询排列在拓扑图下方,方便管理员通过大屏进行直观的查看。提供产品功能证明截图。
★视图支持设备和用户2个维度的数据统计呈现,用户方面,视图可查看当前在线用户数、在线用户趋势统计、今日用户数峰值、用户信号强度占比统计、区域在线用户数统计;设备方面,支持在线AP数、总AP数、总流量、区域无线网络流量、区域AP分布与运行情况统计。提供产品证明截图。
提供告警压缩的功能,自动压缩关联告警到主告警中。支持多种压缩规则:包括设备组件与设备,网络设备的插槽与端口,端口与链路;虚拟化平台的ESXi、VM、Cluster、数据存储与Vcenter等。
★提供运维数据分析功能,通过添加多纬度分析模型完成建模,内置分析决策模型,模型包括但不限于:告警分析、资源/资产分析、工作量分析、故障处理效率分析、项目分析、知识库分析、等模型。提供产品功能证明截图。
业务模型应预留北向API接口,可对接业务系统推送的业务指标,方便用户所综合评价业务质量。
要求运维管理平台对业务系统的可用情况、健康情况、忙碌情况等关键指标计算方式可进行自定义设置,并提供对外的API接口,可对接业务系统推送的自定义业务指标,主动获取用户所关心的业务数据。
系统内置多纬度多视角报表模版,如:资源报表模版、告警报表模版、趋势报表模版、TOPN报表等;支持各类型报表订阅功能,可以按照设定的周期自动将报表通过邮件、系统信息等多种方式发送给指定报表订阅人。
配置设备管理授权≥100个;无线AP监控授权≥200个。
招标方有权要求,中标方根据项目实际需求对软件功能模块做定制化开发。
招标方有权要求,中标方现场演示或实地验证所有技术要求,如发现虚假应标情况,将依法追求法律责任。
15、城域网中心防火墙参数要求
项目 | 类别 | 详细功能、性能指标要求 |
▲设备基本要求 | 系统架构 | 万兆多核平台设备,专业的防火墙设备,非插卡式设备。主机要求2U可上机架式; |
操作系统 | 要求为非OEM产品,产品采用具有自主知识产权的多核并行操作系统(提供有效的证书复印件); | |
接口配置 | 至少6个10/100/1000BASE-T+4个SFP插槽+ 4个万兆SFP+插槽; ? | |
电源配置 | 主机要求配置双冗余电源 | |
七层应用模块配置 | 开启AV、IPS、应用识别、行为管理、流量控制引擎,至少三年特征库升级服务; | |
VPN配置 | 开启IPSECVPN和SSLVPN功能模块,至少200个SSLVPN客户端并发授权许可 | |
设备性能 | 三层吞吐量≥40Gbps,应用层吞吐量≥20Gbps,并发连接数≥1200W,新建连接数(CPS)≥45W; ???????????? | |
网络 接入 | 工作模式 | 支持路由、交换、虚拟线、Listening、混合工作模式; |
路由交换 | 支持静态路由、RIP、RIPNG、OSPFv2/v3、BGP、ISP路由,内置移动、联通、电信、教育网、网通、长城宽带等ISP服务商地址列表,可通过Web界面选择不同的ISP服务商实现快速切换; | |
支持802.1q、QinQ模式; | ||
支持根据入接口、源/目的IP地址/地址对象、源/目的端口、协议、用户、应用、选路算法、探测、度量值、权重等多种条件设置策略路由; | ||
链路聚合 | 支持手动和LACP链路聚合,可根据源/目的mac、源/目的IP、源/目的端口、五元组、端口轮询等条件提供不少于10种链路负载算法。 | |
IP/MAC绑定 | 支持IPv4/v6双栈IP/MAC静态和动态探测绑定,支持跨三层绑定,支持IP/MAC绑定表导入导出; | |
DNS Doctoring | 支持DNS Doctoring功能,能够将来自内部网络的域名解析请求定向到真实内网资源,提高访问效率,同时支持通过配置多条 DNS Doctoring,实现内网资源服务器的负载均衡; | |
IPv6 | 双栈模式 | 支持IPv4/IPv6双栈工作模式; |
访问控制 | 支持IPv6安全控制策略设置,能针对IPv6的目的/源地址、目的/源服务端口、区域、服务、时间、扩展头属性等条件进行安全访问规则的设置; | |
虚拟系统 | 资源虚拟化 | 支持在一台物理设备上划分出128个相互独立的虚拟系统,可根据连接配额及连接新建速率为每个虚拟系统分配资源; |
功能虚拟化 | 支持配置文件、系统服务、路由、链路聚合、安全策略、NAT策略、带宽管理、认证策略、IPV6功能、URL过滤、病毒过滤、WAF、内容过滤、审计、报表、防代理等安全功能虚拟化; | |
用户管控 | 认证方式 | 内置强大的用户身份管理系统,支持本地认证、外部认证及免认证等方式,支持RADIUS、LDAP、TACACS等第三方外部认证; |
用户管控 | 支持手动创建用户、批量导入导出用户、设备扫描方式创建用户; | |
支持防暴力破解、密码复杂度、密码有效性设置,如认证失败次数及锁定时间、密码格式、密码长度、密码找回、首次登陆修改密码、密码定期修改、密码有效时间等设置; | ||
支持查看在线用户情况和用户流量,可显示用户流量、会话、新建连接列表及趋势图,支持用户流量排名; | ||
支持本地CA和第三方CA,支持作为CA认证中心为其他人签发证书,也可采用第三方CA为其他人签发证书;支持标准CRL列表,支持CRL手工更新,同时支持CRL自动下载,通过HTTP或者LDAP方式定时自动下载更新CRL文件; | ||
应用管控 | 应用识别 | 支持应用特征库在线或本地更新,支持自定义应用特征; |
带宽管理 | 支持链路和四层通道嵌套的流量控制功能,可基于上下行区域、地址、地理对象、用户/用户组、服务/服务组、应用/应用组和时间等配置带宽策略,支持带宽策略优先级和针对IP、应用设置白名单; | |
连接控制 | 支持对指定的源/目的地址对象、源/目的地理对象、应用制定连接限制策略,可控制所有或单IP会话总数及单IP新建连接数; | |
支持监控功能,显示被拦截的IP、地址对象、应用的限制条件、被拒次数、最近被拒时间等信息; | ||
安全防护 | 入侵防御 ? | 支持独立的入侵防护规则特征库,特征总数在5000条以上,能对常见漏洞进行安全防护,兼容国家信息安全漏洞库; |
规则库支持根据攻击类型、风险等级、流行程度、操作系统等进行分类,防护动作包括告警、阻断、记录攻击报文; | ||
支持针对地址、应用设置入侵防御白名单,支持攻击规则搜索以及自定义,可对自定义规则导入导出; | ||
★厂商需具备强大的漏洞和攻防研究能力,为CNNVD一级支撑单位(提供官网截图),能够确保每周至少更新1次攻击特征库; | ||
DDOS防御 | 支持针对IP、ICMP、TCP、UDP、DNS、HTTP、NTP等协议进行DDOS防护;支持预定义和自定义策略模板; | |
支持基于TCP协议的检测清洗,包括但不限于:TCP Flood、SYN Flood、FIN Flood、RST Flood、新建SESSION Flood、SESSION Flood等;支持SYN源认证技术,认证模式可设置为基本模式或者高级模式,以防止虚假源攻击; | ||
支持基于NTP协议的检测清洗,包括NTP REQUEST FLOOD、NTP REPLY FLOOD等攻击检测,支持基于NTP请求限速、NTP响应限速、源认证、会话认证的防御策略; | ||
支持静态白名单和动态黑名单功能; | ||
病毒过滤 | 支持对HTTP/SMTP/POP3/FTP/IM等协议进行病毒防御; | |
★支持至少2种专业反病毒厂商的病毒特征库(提供至少2家专业防病毒厂商的合作文件复印件),病毒特征库规模超过400万; | ||
文件过滤 | 内置文件过滤引擎,支持对HTTP/FTP/SMTP/POP3等标准协议进行检测,识别可执行文件、office文件、视频文件、图片文件、帮助文件、压缩文件、数据文件等超过50种文档类型的文件过滤; | |
内容过滤 | 内置内容过滤功能,支持基于http、ftp、telnet、smtp、pop3等协议的内容过滤策略,可对FTP上传/下载的文件名进行过滤,同时支持过滤FTP信令:上传文件、下载文件、删除文件、重命名文件、创建目录、删除目录、列出目录等,邮件过滤支持对发件人、收件人、主题、内容、附件等进行过滤; | |
邮件安全 | 内置邮件安全防护功能,可进行匿名发件人、收发件人同名、非标客户端、收/发件人频率、收/发件IP频率、邮件长度、附件名称、附件数量检测,支持黑、白名单检测; | |
防代理 | 内置防代理功能,防止网络用户通过代理主机实现攻击、避免计费等行为; | |
黑名单 | 内置静态黑名单功能,可设置多个对象条件,如:五元组信息、源MAC、地址范围、应用、用户,实现对特定报文进行快速过滤; | |
内置动态黑名单功能,可与URL过滤、病毒过滤、防代理功能实现联动封锁;支持静态和动态黑名单命中统计和监控; | ||
安全接入 | IPSEC VPN | 提供IPSec VPN功能,支持AES、DES、3DES、MD5、SHA-1等VPN加密、认证算法,支持对隧道内网络流量进行监控展示,本次至少提供5个并发授权; |
SSL VPN | 提供SSL VPN功能,满足远程用户安全接入内网,支持Android、iOS远程客户端接入,本次至少提供200个并发授权; | |
数据中心 | 报表 | 内置16种预定义报表模板,支持通信流量、上网行为、威胁统计报表,支持报表自定义; |
支持一次性报表及周期性报表,可自定义统计时间;支持报表本地存储、在线查看及邮件方式导出,支持PDF、WORD及EXCEL格式导出; | ||
支持网站访问审计:审计指定类别的 URL 地址、审计命中指定关键字的网页标题和网页内容; | ||
支持邮件内容审计:对接收/发送邮件行为及邮件内容进行审计;FTP审计:对FTP上传/下载行为及文件内容进行审计; | ||
提供完善的审计数据查询功能,方便管理员对用户的上网行为进行审查和分析。支持对用户上网行为进行完整的审计数据查询,包括访问网站、邮件收发、论坛微博、FTP、TELNET等;同时支持对用户上网流量时长进行完整的审计数据查询,包括服务端IP、用户名、协议、上行流量、下行流量、总流量、时间等; | ||
显示监控 | 监控类型 | 支持对设备状态、威胁信息、接口流量、连接信息、应用流量、用户流量、服务器流量、网站类型流量、VPN流量、在线用户等对象进行监控展示; |
设备状态 | 支持对设备CPU、内存、磁盘、整机流量、新建、并发进行统计,展示设备CPU、内存、硬盘实时利用率及其历史走势图; | |
流量统计 | 支持根据应用对通过设备的数据进行统计,包括应用总流量排名和各个应用的协议名称、总流量、上行流量、下行流量、新建连接数、当前会话数以及流速; | |
支持根据用户对通过设备的数据报文流量进行统计,包括用户总流量排名和各个用户的用户名、认证类型、上行流量、下行流量、新建会话数、当前会话数以及流速; | ||
支持根据服务器对通过设备的数据报文流量进行统计,包括各个服务器的服务器 IP、上行流量、下行流量、总流量以及新建会话数; | ||
支持指定监控时间周期,包括:实时、最近1小时、最近1天、最近1月等; | ||
产品资质要求 | 国家密码管理局 | 防火墙产品密码检测证书-万兆 (提供证书复印件) |
信息安全测评中心 | 信息安全产品分级评估(EAL4+)级—万兆 (提供证书复印件) | |
服务要求 | 本次项目要求原厂上门安装调试实施,关键功能需配合用户做应用测试与二次开发(涉及到的所有费用免费),整体系统交付至少3年原厂质保与服务。原厂商后期需7×24小时响应, 1小时内上门服务,提供400服务热线支持。 |
?
16、学校端下一代防火墙1
项目 | 类别 | 详细功能、性能指标要求 |
▲设备基本要求 | 系统架构 | 千兆多核平台设备,专业的防火墙设备,非插卡式设备。主机要求1U可上机架式; |
操作系统 | 要求为非OEM产品,产品采用具有自主知识产权的多核并行操作系统(提供有效的证书复印件); | |
接口配置 | 至少6个10/100/1000BASE-T+2个SFP插槽; ? | |
七层应用模块配置 | 开启AV、IPS、行为管理、流量控制引擎,至少三年特征库升级服务; | |
VPN配置 | 开启IPSECVPN功能模块,并能实现与城域网中心防火墙无缝对接; | |
设备性能 | 网络吞吐量≥4.5G,并发连结数≥150W,新建连接数(CPS)≥25000; ?????????? | |
网络 接入 | 工作模式 | 支持路由、交换、虚拟线、Listening、混合工作模式; |
路由交换 | 支持静态路由、RIP、RIPNG、OSPFv2/v3、BGP、ISP路由,内置移动、联通、电信、教育网、网通、长城宽带等ISP服务商地址列表,可通过Web界面选择不同的ISP服务商实现快速切换; | |
支持802.1q、QinQ模式; | ||
支持根据入接口、源/目的IP地址/地址对象、源/目的端口、协议、用户、应用、选路算法、探测、度量值、权重等多种条件设置策略路由; | ||
链路聚合 | 支持手动和LACP链路聚合,可根据源/目的mac、源/目的IP、源/目的端口、五元组、端口轮询等条件提供不少于10种链路负载算法。 | |
IP/MAC绑定 | 支持IPv4/v6双栈IP/MAC静态和动态探测绑定,支持跨三层绑定,支持IP/MAC绑定表导入导出; | |
DNS Doctoring | 支持DNS Doctoring功能,能够将来自内部网络的域名解析请求定向到真实内网资源,提高访问效率,同时支持通过配置多条 DNS Doctoring,实现内网资源服务器的负载均衡 | |
IPv6 | 双栈模式 | 支持IPv4/IPv6双栈工作模式; |
访问控制 | 支持IPv6安全控制策略设置,能针对IPv6的目的/源地址、目的/源服务端口、区域、服务、时间、扩展头属性等条件进行安全访问规则的设置; | |
安全防护 | ★支持基于IPv6的病毒防御、入侵防御、URL过滤、ADS、WAF、流量控制、连接限制、文件过滤、数据过滤、邮件安全等;(提供截图并加盖生产厂家公章) | |
虚拟系统 | 资源虚拟化 | 支持在一台物理设备上划分出128个相互独立的虚拟系统,可根据连接配额及连接新建速率为每个虚拟系统分配资源; |
功能虚拟化 | 支持配置文件、系统服务、路由、链路聚合、安全策略、NAT策略、带宽管理、认证策略、IPV6功能、URL过滤、病毒过滤、WAF、内容过滤、审计、报表、防代理等安全功能虚拟化; | |
用户管控 | 认证方式 | 内置强大的用户身份管理系统,支持本地认证、外部认证及免认证等方式,支持RADIUS、LDAP、TACACS等第三方外部认证; |
用户管控 | 支持手动创建用户、批量导入导出用户、设备扫描方式创建用户; | |
支持防暴力破解、密码复杂度、密码有效性设置,如认证失败次数及锁定时间、密码格式、密码长度、密码找回、首次登陆修改密码、密码定期修改、密码有效时间等设置;? | ||
支持查看在线用户情况和用户流量,可显示用户流量、会话、新建连接列表及趋势图,支持用户流量排名; | ||
支持本地CA和第三方CA,支持作为CA认证中心为其他人签发证书,也可采用第三方CA为其他人签发证书;支持标准CRL列表,支持CRL手工更新,同时支持CRL自动下载,通过HTTP或者LDAP方式定时自动下载更新CRL文件; | ||
应用管控 | 应用识别 | 内置P2P应用、网页应用、加密应用、数据库应用、等应用特征库; |
支持应用特征库在线或本地更新,支持自定义应用特征; | ||
带宽管理 | 支持链路和四层通道嵌套的流量控制功能,可基于上下行区域、地址、地理对象、用户/用户组、服务/服务组、应用/应用组和时间等配置带宽策略,支持带宽策略优先级和针对IP、应用设置白名单; | |
连接控制 | 支持对指定的源/目的地址对象、源/目的地理对象、应用制定连接限制策略,可控制所有或单IP会话总数及单IP新建连接数; | |
支持监控功能,显示被拦截的IP、地址对象、应用的限制条件、被拒次数、最近被拒时间等信息; | ||
安全防护 | 入侵防御 | 支持独立的入侵防护规则特征库,特征总数在5000条以上,能对常见漏洞进行安全防护,兼容国家信息安全漏洞库; |
规则库支持根据攻击类型、风险等级、流行程度、操作系统等进行分类,防护动作包括告警、阻断、记录攻击报文; | ||
支持针对地址、应用设置入侵防御白名单,支持攻击规则搜索以及自定义,可对自定义规则导入导出; | ||
★厂商需具备强大的漏洞和攻防研究能力,为CNNVD一级支撑单位(提供官网截图),能够确保每周至少更新1次攻击特征库; | ||
DDOS防御 | 支持针对IP、ICMP、TCP、UDP、DNS、HTTP、NTP等协议进行DDOS防护;支持预定义和自定义策略模板; | |
支持基于TCP协议的检测清洗,包括但不限于:TCP Flood、SYN Flood、FIN Flood、RST Flood、新建SESSION Flood、SESSION Flood等;支持SYN源认证技术,认证模式可设置为基本模式或者高级模式,以防止虚假源攻击; | ||
支持基于NTP协议的检测清洗,包括NTP REQUEST FLOOD、NTP REPLY FLOOD等攻击检测,支持基于NTP请求限速、NTP响应限速、源认证、会话认证的防御策略; | ||
支持静态白名单和动态黑名单功能; | ||
文件过滤 | 内置文件过滤引擎,支持对HTTP/FTP/SMTP/POP3等标准协议进行检测,识别可执行文件、office文件、视频文件、图片文件、帮助文件、压缩文件、数据文件等超过50种文档类型的文件过滤; | |
内容过滤 | ★内置内容过滤功能,支持基于http、ftp、telnet、smtp、pop3等协议的内容过滤策略,可对FTP上传/下载的文件名进行过滤,同时支持过滤FTP信令:上传文件、下载文件、删除文件、重命名文件、创建目录、删除目录、列出目录等,邮件过滤支持对发件人、收件人、主题、内容、附件等进行过滤;(提供功能截图并加盖生产厂家公章) | |
邮件安全 | 内置邮件安全防护功能,可进行匿名发件人、收发件人同名、非标客户端、收/发件人频率、收/发件IP频率、邮件长度、附件名称、附件数量检测,支持黑、白名单检测; | |
防代理 | 内置防代理功能,防止网络用户通过代理主机实现攻击、避免计费等行为; | |
黑名单 | 内置静态黑名单功能,可设置多个对象条件,如:五元组信息、源MAC、地址范围、应用、用户,实现对特定报文进行快速过滤; | |
内置动态黑名单功能,可与URL过滤、病毒过滤、防代理功能实现联动封锁;支持静态和动态黑名单命中统计和监控; | ||
未知威胁防御 | ★内置异常行为检测功能,通过统计智能学习算法,对特定地址对象建立监控策略,基于新建、并发、流量等数据与上一周期记录值进行比较判定是否异常,如果存在异常则报警;(提供截图并加盖生产厂家公章) | |
安全接入 | IPSEC VPN | 提供IPSec VPN功能,支持AES、DES、3DES、MD5、SHA-1等VPN加密、认证算法,支持对隧道内网络流量进行监控展示,本次至少提供5个并发授权; |
数据中心 | 报表 | 内置16种预定义报表模板,支持通信流量、上网行为、威胁统计报表,支持报表自定义; |
支持一次性报表及周期性报表,可自定义统计时间;支持报表本地存储、在线查看及邮件方式导出,支持PDF、WORD及EXCEL格式导出; | ||
支持网站访问审计:审计指定类别的 URL 地址、审计命中指定关键字的网页标题和网页内容; | ||
支持邮件内容审计:对接收/发送邮件行为及邮件内容进行审计;FTP审计:对FTP上传/下载行为及文件内容进行审计; | ||
提供完善的审计数据查询功能,方便管理员对用户的上网行为进行审查和分析。支持对用户上网行为进行完整的审计数据查询,包括访问网站、邮件收发、论坛微博、FTP、TELNET等;同时支持对用户上网流量时长进行完整的审计数据查询,包括服务端IP、用户名、协议、上行流量、下行流量、总流量、时间等; | ||
显示监控 | 监控类型 | 支持对设备状态、威胁信息、接口流量、连接信息、应用流量、用户流量、服务器流量、网站类型流量、VPN流量、在线用户等对象进行监控展示; |
设备状态 | 支持对设备CPU、内存、磁盘、整机流量、新建、并发进行统计,展示设备CPU、内存、硬盘实时利用率及其历史走势图; | |
流量统计 | 支持根据应用对通过设备的数据进行统计,包括应用总流量排名和各个应用的协议名称、总流量、上行流量、下行流量、新建连接数、当前会话数以及流速; | |
支持根据用户对通过设备的数据报文流量进行统计,包括用户总流量排名和各个用户的用户名、认证类型、上行流量、下行流量、新建会话数、当前会话数以及流速; | ||
支持根据服务器对通过设备的数据报文流量进行统计,包括各个服务器的服务器 IP、上行流量、下行流量、总流量以及新建会话数; | ||
支持指定监控时间周期,包括:实时、最近1小时、最近1天、最近1月等; | ||
产品资质要求 | 中国信息安全测评中心 | 防火墙产品国家信息安全漏洞库兼容性资质证书 (提供证书复印件) |
中国网络安全审查技术与认证中心 | 防火墙产品国家信息安全产品认证证书 (提供证书复印件) | |
服务要求 | 本次项目要求原厂上门安装调试实施,关键功能需配合用户做应用测试与二次开发(涉及到的所有费用免费),整体系统交付至少3年原厂质保与服务。原厂商后期需7×24小时响应, 1小时内上门服务,提供400服务热线支持。 |
?
17、学校端下一代防火墙2
项目 | 类别 | 详细功能、性能指标要求 |
▲设备基本要求 | 系统架构 | 千兆多核平台设备,专业的防火墙设备,非插卡式设备。主机要求1U可上机架式; |
操作系统 | 要求为非OEM产品,产品采用具有自主知识产权的多核并行操作系统(提供有效的证书复印件); | |
接口配置 | 至少10个10/100/1000BASE-T+4个SFP插槽; ? | |
电源配置 | 主机要求配置双冗余电源 | |
七层应用模块配置 | 开启AV、IPS、行为管理、流量控制引擎,至少三年特征库升级服务; | |
VPN配置 | 开启IPSECVPN功能模块,并能实现与城域网中心防火墙无缝对接; | |
设备性能 | 网络吞吐量≥7G,并发连结数≥200W,新建连接数(CPS)≥80000 ?????????? | |
网络 接入 | 工作模式 | 支持路由、交换、虚拟线、Listening、混合工作模式; |
路由交换 | 支持静态路由、RIP、RIPNG、OSPFv2/v3、BGP、ISP路由,内置移动、联通、电信、教育网、网通、长城宽带等ISP服务商地址列表,可通过Web界面选择不同的ISP服务商实现快速切换; | |
支持802.1q、QinQ模式; | ||
支持根据入接口、源/目的IP地址/地址对象、源/目的端口、协议、用户、应用、选路算法、探测、度量值、权重等多种条件设置策略路由; | ||
链路聚合 | 支持手动和LACP链路聚合,可根据源/目的mac、源/目的IP、源/目的端口、五元组、端口轮询等条件提供不少于10种链路负载算法。 | |
IP/MAC绑定 | 支持IPv4/v6双栈IP/MAC静态和动态探测绑定,支持跨三层绑定,支持IP/MAC绑定表导入导出; | |
DNS Doctoring | 支持DNS Doctoring功能,能够将来自内部网络的域名解析请求定向到真实内网资源,提高访问效率,同时支持通过配置多条 DNS Doctoring,实现内网资源服务器的负载均衡 | |
IPv6 | 双栈模式 | 支持IPv4/IPv6双栈工作模式; |
访问控制 | 支持IPv6安全控制策略设置,能针对IPv6的目的/源地址、目的/源服务端口、区域、服务、时间、扩展头属性等条件进行安全访问规则的设置; | |
虚拟系统 | 资源虚拟化 | 支持在一台物理设备上划分出128个相互独立的虚拟系统,可根据连接配额及连接新建速率为每个虚拟系统分配资源; |
功能虚拟化 | 支持配置文件、系统服务、路由、链路聚合、安全策略、NAT策略、带宽管理、认证策略、IPV6功能、URL过滤、病毒过滤、WAF、内容过滤、审计、报表、防代理等安全功能虚拟化; | |
用户管控 | 认证方式 | 内置强大的用户身份管理系统,支持本地认证、外部认证及免认证等方式,支持RADIUS、LDAP、TACACS等第三方外部认证; |
用户管控 | 支持手动创建用户、批量导入导出用户、设备扫描方式创建用户; | |
支持防暴力破解、密码复杂度、密码有效性设置,如认证失败次数及锁定时间、密码格式、密码长度、密码找回、首次登陆修改密码、密码定期修改、密码有效时间等设置; | ||
支持查看在线用户情况和用户流量,可显示用户流量、会话、新建连接列表及趋势图,支持用户流量排名; | ||
支持本地CA和第三方CA,支持作为CA认证中心为其他人签发证书,也可采用第三方CA为其他人签发证书;支持标准CRL列表,支持CRL手工更新,同时支持CRL自动下载,通过HTTP或者LDAP方式定时自动下载更新CRL文件; | ||
应用管控 | 应用识别 | 内置P2P应用、网页应用、加密应用、数据库应用、等应用特征库; |
支持应用特征库在线或本地更新,支持自定义应用特征; | ||
带宽管理 | 支持链路和四层通道嵌套的流量控制功能,可基于上下行区域、地址、地理对象、用户/用户组、服务/服务组、应用/应用组和时间等配置带宽策略,支持带宽策略优先级和针对IP、应用设置白名单; | |
连接控制 | 支持对指定的源/目的地址对象、源/目的地理对象、应用制定连接限制策略,可控制所有或单IP会话总数及单IP新建连接数; | |
支持监控功能,显示被拦截的IP、地址对象、应用的限制条件、被拒次数、最近被拒时间等信息; | ||
安全防护 | 入侵防御 | 支持独立的入侵防护规则特征库,特征总数在5000条以上,能对常见漏洞进行安全防护,兼容国家信息安全漏洞库; |
规则库支持根据攻击类型、风险等级、流行程度、操作系统等进行分类,防护动作包括告警、阻断、记录攻击报文; | ||
支持针对地址、应用设置入侵防御白名单,支持攻击规则搜索以及自定义,可对自定义规则导入导出; | ||
★厂商需具备强大的漏洞和攻防研究能力,为CNNVD一级支撑单位(提供官网截图),能够确保每周至少更新1次攻击特征库; | ||
DDOS防御 | 支持针对IP、ICMP、TCP、UDP、DNS、HTTP、NTP等协议进行DDOS防护;支持预定义和自定义策略模板; | |
支持基于TCP协议的检测清洗,包括但不限于:TCP Flood、SYN Flood、FIN Flood、RST Flood、新建SESSION Flood、SESSION Flood等;支持SYN源认证技术,认证模式可设置为基本模式或者高级模式,以防止虚假源攻击; | ||
支持基于NTP协议的检测清洗,包括NTP REQUEST FLOOD、NTP REPLY FLOOD等攻击检测,支持基于NTP请求限速、NTP响应限速、源认证、会话认证的防御策略; | ||
支持静态白名单和动态黑名单功能; | ||
文件过滤 | 内置文件过滤引擎,支持对HTTP/FTP/SMTP/POP3等标准协议进行检测,识别可执行文件、office文件、视频文件、图片文件、帮助文件、压缩文件、数据文件等超过50种文档类型的文件过滤; | |
★DLP | 内置DLP数据防泄漏引擎,可针对发送者或接收者模式配置独立的DLP策略,对数据进行监控识别,达到敏感数据防护目的。(提供功能截图,加盖生产厂家公章) 为提高产品的可用性,需支持识别的加密文件格式不少于12种;压缩文件格式不少于25种,如RAR、ZIP、GZ、TAR等;支持识别Linux,Unix等非Winodws的文件类型;支持识别异常文件格式类型;支持识别自定义文件类型;(提供功能截图,加盖生产厂家公章) | |
内容过滤 | 内置内容过滤功能,支持基于http、ftp、telnet、smtp、pop3等协议的内容过滤策略,可对FTP上传/下载的文件名进行过滤,同时支持过滤FTP信令:上传文件、下载文件、删除文件、重命名文件、创建目录、删除目录、列出目录等,邮件过滤支持对发件人、收件人、主题、内容、附件等进行过滤 | |
邮件安全 | 内置邮件安全防护功能,可进行匿名发件人、收发件人同名、非标客户端、收/发件人频率、收/发件IP频率、邮件长度、附件名称、附件数量检测,支持黑、白名单检测; | |
防代理 | 内置防代理功能,防止网络用户通过代理主机实现攻击、避免计费等行为; | |
黑名单 | 内置静态黑名单功能,可设置多个对象条件,如:五元组信息、源MAC、地址范围、应用、用户,实现对特定报文进行快速过滤; | |
内置动态黑名单功能,可与URL过滤、病毒过滤、防代理功能实现联动封锁;支持静态和动态黑名单命中统计和监控; | ||
安全接入 | IPSEC VPN | 提供IPSec VPN功能,支持AES、DES、3DES、MD5、SHA-1等VPN加密、认证算法,支持对隧道内网络流量进行监控展示,本次至少提供5个并发授权; |
数据中心 | 报表 | 内置16种预定义报表模板,支持通信流量、上网行为、威胁统计报表,支持报表自定义; |
支持一次性报表及周期性报表,可自定义统计时间;支持报表本地存储、在线查看及邮件方式导出,支持PDF、WORD及EXCEL格式导出; | ||
支持网站访问审计:审计指定类别的 URL 地址、审计命中指定关键字的网页标题和网页内容; | ||
支持邮件内容审计:对接收/发送邮件行为及邮件内容进行审计;FTP审计:对FTP上传/下载行为及文件内容进行审计; | ||
提供完善的审计数据查询功能,方便管理员对用户的上网行为进行审查和分析。支持对用户上网行为进行完整的审计数据查询,包括访问网站、邮件收发、论坛微博、FTP、TELNET等;同时支持对用户上网流量时长进行完整的审计数据查询,包括服务端IP、用户名、协议、上行流量、下行流量、总流量、时间等; | ||
显示监控 | 监控类型 | 支持对设备状态、威胁信息、接口流量、连接信息、应用流量、用户流量、服务器流量、网站类型流量、VPN流量、在线用户等对象进行监控展示; |
设备状态 | 支持对设备CPU、内存、磁盘、整机流量、新建、并发进行统计,展示设备CPU、内存、硬盘实时利用率及其历史走势图; | |
流量统计 | 支持根据应用对通过设备的数据进行统计,包括应用总流量排名和各个应用的协议名称、总流量、上行流量、下行流量、新建连接数、当前会话数以及流速; | |
支持根据用户对通过设备的数据报文流量进行统计,包括用户总流量排名和各个用户的用户名、认证类型、上行流量、下行流量、新建会话数、当前会话数以及流速; | ||
支持根据服务器对通过设备的数据报文流量进行统计,包括各个服务器的服务器 IP、上行流量、下行流量、总流量以及新建会话数; | ||
支持指定监控时间周期,包括:实时、最近1小时、最近1天、最近1月等; | ||
产品资质要求 | 中国信息安全测评中心 | 防火墙产品国家信息安全漏洞库兼容性资质证书 (提供证书复印件) |
中国网络安全审查技术与认证中心 | 防火墙产品国家信息安全产品认证证书 (提供证书复印件) | |
服务要求 | 本次项目要求原厂上门安装调试实施,关键功能需配合用户做应用测试与二次开发(涉及到的所有费用免费),整体系统交付至少3年原厂质保与服务。原厂商后期需7×24小时响应, 1小时内上门服务,提供400服务热线支持。 |
?
18、通信链路-学校接入及汇聚光纤链路
(1)链路类型:由以下2种组网方式中选择1种。
数据专线组网方式:基于PTN/MSTP/OTN技术,提供安全、稳定、带宽独享的数字电路组网方式,与互联网物理隔离,数据专线间互相隔离。
MPLS VPN组网方式:采用先进的标签交换技术,与互联网逻辑隔离,网络安全级别更高;各分支点通过双千兆路由接入,采用固定IP接入,双物理路由、双上行、接入不同端口,有一条异常不影响使用,保证可靠性;网络接入基于电信网络,具备全面的支撑系统,即使教育网内学校分布范围多而散,也能架构安全灵活的内部联网。采用此方式需合理设置汇聚链路的带宽,避免链路瓶径。
(2)带宽:1G。
时延:有线接入时延指从用户终端到接入服务器(BRAS)之间的时延≤1ms。
速率:有线接入速率的平均值应能达到签约速率的90%。
丢包率:有线接入丢包率指从用户终端到接入服务器(BRAS)之间丢包率≤1%。
抖动:测试到接入服务器(BRAS)之间网络延时变化值≤10ms。
(3)链路应采用双路由保护,降低中断风险。
(4)要求投标人所提供的网络具有对所有节点传输设备的日常运行状态、故障响应、资源分配和调度控制等监测管理功能,提供端到端的客户网络监控等业务,投标人对于客户网络监控服务应具备7*24小时的实时服务监控团队。投标人承担骨干传输电路及接入传输电路端到端的维护管理任务。每月向采购人提供电路运行质量报告,确保电路各项运行指标正常。要求电路可用率平均达到99.9%;业务中断四个小时内电路恢复率为100%;平均恢复时间小于3小时。
(5)服务期限:项目整体验收起12个月。
(6)提供每年四次以上巡检,提供24小时统一故障申告服务电话,提供故障响应流程和服务承诺。
(7)投标人需根据采购人的要求,及时派出技术维护人员到重要保障任务现场提供服务保障,在采购人提出的重要保障任务(重要会议、重大活动等)中,如发生电路或相关设备故障造成采购人使用受到严重影响,则由投标人免费提供相应电路使用时间,如果一年内发生超过3次,则采购人有权终止合同,投标人须承担相关法律责任。
(8)投标人承诺在后期扩容、改造服务中保留相应服务团队承担相应工作。在合同服务期限内,若有临时电路扩容需求,投标人应及时响应,并协调配备对应网络及硬件资源。
(9)投标人提供的服务具体标准不得低于信息产业部颁布的《通信行业服务质量标准》。
19、通信链路-教育城域网互联出口链路
(1)带宽:1G
独享带宽1G。采用固定IP接入.支持双千兆路由接入、多上行,可靠性有保障。
时延:有线接入时延指从用户终端到接入服务器(BRAS)之间的时延≤1ms。
速率:有线接入速率的平均值应能达到签约速率的90%。
丢包率:有线接入丢包率指从用户终端到接入服务器(BRAS)之间丢包率≤1%。
抖动:测试到接入服务器(BRAS)之间网络延时变化值≤10ms。
(2)要求投标人所提供的网络具有对所有节点传输设备的日常运行状态、故障响应、资源分配和调度控制等监测管理功能,提供端到端的客户网络监控等业务,投标人对于客户网络监控服务应具备7*24小时的实时服务监控团队。投标人承担骨干传输电路及接入传输电路端到端的维护管理任务。每月向采购人提供电路运行质量报告,确保电路各项运行指标正常。要求电路可用率平均达到99.9%;业务中断四个小时内电路恢复率为100%;平均恢复时间小于3小时。
(3)服务期限:项目整体验收起12个月。
(4)提供每年四次以上巡检,提供24小时统一故障申告服务电话,提供故障响应流程和服务承诺。
(5)投标人需根据采购人的要求,及时派出技术维护人员到重要保障任务现场提供服务保障,在采购人提出的重要保障任务(重要会议、重大活动等)中,如发生电路或相关设备故障造成采购人使用受到严重影响,则由投标人免费提供相应电路使用时间,如果一年内发生超过3次,则采购人有权终止合同,投标人须承担相关法律责任。
(6)投标人承诺在后期扩容、改造服务中保留相应服务团队承担相应工作。在合同服务期限内,若有临时电路扩容需求,投标人应及时响应,并协调配备对应网络及硬件资源。
(7)投标人提供的服务具体标准不得低于信息产业部颁布的《通信行业服务质量标准》。
20、系统集成
20.1系统集成内容
本项目系统集成包含项目建设所涉及的相关安装、调试、综合布线等相关工作。主要内容如下:
(1)包含59条光纤链路调通等内容。
(2)包括144个无线AP布线安装调试所需全部费用(含布线、无线AP的安装、调试等相关辅材)。
(3)包括所有网络调通所需涉及的全部安装调试及辅材。
(4)包含本项目相关网络设备、安全设备、管理设备的安装调试、二维码张贴费用等。
(5)质保期内的维护服务。
20.2整体施工要求
(1)本项目所需要各类网络跳线、光纤跳线、AP标识,均须使用机打标签纸进行点位标注。标识可采用颜色、图形、文字、编号或它们的组合,标识要求唯一性。
(2)中标方在设备安装过程中如需进行打孔、切割、进户施工等有较大噪音及需要采购方现场配合的工作时,必须考虑采购方的实际情况,只能在事先约定的时间进场施工。希望投标单位充分考虑此情况,合理安排施工时间,以便能在规定的时间内,保质保量地完成工程。
20.3维护服务要求
20.3.1服务内容
(1)网络设备(核心交换机、SDN控制器、汇聚交换机、接入交换机、防火墙、无线控制器及无线AP、边界汇聚安全网关)的维护。
(2)数据链路维护。
(3)网络状况监控及带宽调配。
20.3.2技术服务时间
(1)重要时期或重大活动的现场技术保障,具体工作时间按业主安排。
(2)7*24小时提供专家团队技术支持。
20.3.3技术服务方式
(1)此项网络维护服务中采用前后台团队化技术服务方式。
(2)后台服务团队:由项目经理带队、相关网络保障系统等高级专家组成,提供全方位的技术支持工作。
(3)现场服务团队:提供现场网络维护服务负责相关的前期普查及保障服务。
(4)一般报修由运维工程师进行接障,接到报障,维护人员及时进行排查故障,直至故障排查完成。疑难故障、紧急重大故障、技术调试由项目经理、高级工程师负责故障处理。
20.3.4技术服务内容
(1)维护人员对校园无线网络进行日常巡检维护,每3月完成一次巡检,巡检内容包括网络设备、AP在线情况、AC上下行流量情况。
(2)维护人员应通过自备相关软件对AP设备进行日常巡检,对掉线的设备进行及时处理,将被动运维转成主动运维,优化网络环境,提升上网体验。
(3)日常服务工作:
熟悉学校网络拓扑结构,及时对出现的线路故障进行排除、处理;对不能或无法处理的问题迅速报告相关老师并提出自己的处理意见。
定期(每月)对接入设备间进行设备巡检工作。利用假期的较长时间段对设备间的接入设备作例行的运行维护工作和信息面板模块作检查更换。
网络接入服务,解决网络问题,用户使用咨询(网络使用与病毒知识),保证用户正常用网。
(4)后台专家服务
后台技术团队为业主提供以下服务:
预警为主的初期网络健康检查服务:在本期运维服务开始的初期将根据业主目前网络的实际情况作一次全面的健康检查,消除网络运行隐患。
高规格的紧急救援服务:提供设备保障20分钟内响应;若遇到特殊事件,即刻启动紧急救援服务流程。
定期巡检服务:定期高级工程师到对相关设备巡检相结合的服务方式。特别是校内重点活动、重要会议活动期间,需有高级工程师将到校对相关重点设备进行全方位检查,并做好重要时段的现场保障服务工作。巡检完成后将即时与相关老师沟通相关情况,通过网络优化深层次的巡检服务与相结合的方式及时发现和预防可能出现的硬件和系统问题。每学期期初、期中、期末各进行一次现场巡检。巡检中应对系统性能、运行状况、稳定程度等进行评估,并根据用户需求经确认后进行优化、维修或更换出现故障的设备或部件。每次巡检结束后,需向最终用户提交巡检报告。
(六)其他要求:
1、投标单位的投标报价中应包括所有费用,即采购单位无需再支付任何费用,实施完毕后就能正常使用且相关技术规格满足招投标文件相关标准。除非校方提出需求,否则项目实施过程中若因投标单位考虑不周或计算错误导致的费用增加,均由投标单位负责。
2、质保期:所有网络硬件设备提供原厂三年质保。
3、要求本项目质保期内如发生故障,中标单位必须及时响应并免费上门服务,要求提供7*24不间断热线响应;常见问题1小时到达现场,2小时修复;大故障6小时修复。
4、施工结束后,必须及时完成施工现场的恢复清理,确保完工后墙面、楼道等整洁美观。
5、项目验收前,中标单位须提供项目建设的完整文档资料,包括所有AP的安装位置、施工图纸、所有设备IP地址表、项目实施配置文档等相关技术资料。
6、项目验收前,所有AP设备均需粘贴二维码,进行电子化管理。
7、本次采购的供货范围,除包括上述清单包含产品外,还应包括使用所必需的备品备件品,负责运输、安装并提供相应的技术服务与质量保证。投标人所提供的货物,应符合招标人在招标文件中提出的技术参数要求。
8、应能保证所提供货物涉及到的知识产权是合法取得,并享有完整的知识产权,不会因为需方的使用而被责令停止使用、追偿或要求赔偿损失,如出现此情况,一切经济和法律责任均由供方承担。供方提供的所有货物必须为合格产品,质量符合国家通用标准,如出现质量问题或系假冒伪劣产品,供应商负责包退、包换,发生的费用由供应商负责。
9、产品质量要求:
(1)投标单位所投产品除必须符合国家及行业技术标准以外,还应满足招标文件上述所提示的技术要求。
(2)所有主要设备以及安装施工所涉及的附(配)件应具备该类产品的功能要求,无瑕疵和缺陷,质量为合格产品,同时有明确的国家制造标准(规范)、生产厂商或制造厂商。
(3)如果是超出供方的责任范围的疏忽、误操作等情况而导致的更换修正,应由供方进行修理,其额外费用由双方协商承担。
10、安装及调试有关要求:
(1)中标单位应遵守现场的一切规章制度,应自行负责施工现场的安全管理,安全、文明安装和调试。
(2)中标单位负责保管、看护进场的设备及附配件。
(3)中标单位应对设备、安装设备(工具)等提供适当的保护、包装或覆盖等处理,以免受损。
(4)无论安装调试期间或保修过程中,中标单位负责及时清理垃圾。
(5)中标单位承担安装调试期间安装场所的安全以及设备和安装调试人员的安全责任。
(6)设备安装调试完成后,投标单位需提供设备质保书、保修证明等书面资料。
合同履行期限:合同签订后90天内完成全部改造工作,交付采购单位使用。
本项目不接受联合体投标。
二、申请人的资格要求:
1、满足《中华人民共和国政府采购法》第二十二条规定;
2、落实政府采购政策需满足的资格要求:无;
3、本项目的特定资格要求:无。
三、获取招标文件
时间:2020年10月15日至2020年10月22日(北京时间,法定节假日除外)。
地点:“苏州市公共资源交易中心”―“政府采购(网上报名)”―“苏州市政府采购管理交易平台”―“供应商”。
方式:
1、申领CA。未在苏州市市级政府采购项目申领专用CA证书的供应商登陆“苏州市公共资源交易平台”-政府采购(姑苏区网上报名)进行网上注册及资料填报,并携带相关资料至苏州市数字证书认证中心有限责任公司(以下简称苏州CA)服务网点进行审核并申领CA证书,申领时说明为“姑苏区区级政府采购项目专用CA证书”,有效期内的CA证书可以反复使用。
已经申领苏州市市级政府采购项目专用CA证书的供应商进行网上注册及资料填报后,携带CA证书至苏州CA服务网点开通姑苏区区级政府采购项目网上报名功能模块即可。
2、登录报名。供应商进入“苏州市公共资源交易平台”,“政府采购(姑苏区网上报名)”系统,插入CA证书登录后选择具体项目并点击“报名”按钮报名。报名后,系统会显示报名确认单,供应商须打印以供投标使用。报名成功的供应商不可撤销报名。
售价:0元。
四、提交投标文件截止时间、开标时间和地点
提交投标文件截止时间:2020年11月5日14点30分(北京时间)
开标时间:2020年11月5日14点30分(北京时间)
地点:苏州市姑苏区莲升路城市生活广场西楼五楼苏州市公共资源交易中心(政府采购)
五、公告期限
自本公告发布之日起5个工作日。
六、其他补充事宜
1、本公告将在苏州市政府采购网、江苏省政府采购网、中国政府采购网上发布。
2、本项目不接受进口产品。
3、苏州市姑苏区财政局政府采购监督电话:0512-68728409。
七、对本次招标提出询问,请按以下方式联系。
1、采购人信息
名称:苏州市姑苏区教育体育和文化旅游委员会
地址:苏州市平川路510号
联系方式:13511605594(沈敏华)
2、采购代理机构信息
名称:苏州诚和招投标咨询有限公司
地址:苏州市竹辉路477号咨询大厦2楼
联系方式:0512-65161797、0512-65161672
3、项目联系方式
项目联系人:张萱、俞家成
电话:0512-65161797、0512-65161672
?
?
苏州诚和招投标咨询有限公司
2020年10月15日
?
返回顶部