(招标文件)XXX集团五星级酒店弱电智能化系统(技术部分)

POE功能★ 无线管理★ 可靠性★ 设备管理★ 认证★ 配置要求★ 支持配置防火墙插卡，处理性能>=10Gbps 支持终端安全接入控制管理,保护网络安全 ? 对终端用户强制实施安全准入策略 ? 加强网络终端用户的主动防御能力 ? 严格控制终端用户的网络使用行为 能够支持POE供电，可以为下游设备提供－48V直流电 支持无线控制器对AP统一管理功能 支持VRRP，RRPP，Ethernet OAM（802.3ah），支持Graceful Restart for OSPF/BGP/IS-IS SNMP V1/V2/V3；RMON 1/2/3/9；Syslog；支持sFLOW流量统计，支持MIB-II；中文图形化管理 提供信产部入网证书，要求申请单位和生产单位保持一致，保证为非OEM产品，提供国际权威机构测试认证报告如Tolly Group报告 冗余电源、防火墙插卡一块、IPS入侵防御插卡一块、1个万兆光口（含万兆光模块）、40个千兆电口、8个千兆光口

接入交换机 功能及技术指标 交换容量★ 转发性能★ 电源★ 可扩展插槽数量★ 最大万兆接口数量★ 最大千兆电接口数量★ 最大千兆光接口数量★ VLAN特性 链路聚合★ 带宽控制 端口镜像★ 参数要求 >=240G >=130Mpps； 支持冗余电源 >=2 >=4 >=48 >=4 支持基于端口的VLAN，支持基于MAC的VLAN，802.1q Vlan封装，最大Vlan数>=4094，支持QinQ、GVRP、Voice VLAN 支持最多26个聚合组，每组最大支持8个GE口或4个10 GE端口聚合；支持LACP 支持带宽控制，控制粒度<=64Kbps 支持本地端口镜像和流镜像；支持远程端口镜像RSPAN； 支持基于源MAC地址、目的MAC（Medium Access Control）地址、源IP地址、目的IP地址、端口、协议、VLAN等内容的L2（Layer 2）~L4（Layer 4）包过滤功能；优先级队列调度：每端口支持8个优先级队列，支持拥塞避免，支持802.1P，DSCP/TOS优先级和重新标记能力；支持基于时间段的流分类和QoS控制能力；支持基于VLAN的ACL以及基于时间的ACL 支持入方向和出方向的双向ACL策略。 支持IEEE 802.1X、支持GUEST VLAN，MAC地址集中认证 支持STP/RSTP/MSTP协议，符合IEEE802.1D、IEEE802.1w、IEEE802.1s标准，支持BPDU Guard、STP Root Guard 支持PIM-DM/SM/SSM、MSDP、IGMP、IGMP Snooping等协议； 支持MLD Snooping v1/v2/v3，支持MLD v1/v2，支持MSDP for IPv6 支持静态路由、RIP V1/V2、OSPF、BGP；支持RIPng、OSPF v3、BGP4+ for IPV6；支持VRRP，策略路由及路由策略；支持4条等值路由 支持手动配置Tunnel、6to4 tunnel、ISATAP tunnel 支持Multi-VRF（MCE）特性 支持IP+MAC+PORT的绑定，支持非法帧报文过滤，用户分级管理和口令保护，支持端口隔离，支持SSH，支持SNMPv3网管；支持DHCP Snooping； 支持广播风暴抑制；支持ARP 入侵检测功能；支持ARP报文限速功能 11

QOS/ACL 认证协议特性 生成树协议 组播协议★ 路由协议★ IPv6隧道 MCE特性★ 安全特性★

终端准入控制★ 堆叠★ DHCP功能 设备管理 POE供电（针对POE接入交换机）★

无线控制器 功能及技术指标 部署模式★ 交换容量★ 单台设备支持AP数★ 支持最大用户数★ 组播★ 流量限速★ 支持标准★ 网管★ 日志 配置管理 功率调整

无线AP 功能及技术指标 工作模式★ 协议支持★ 工作温度★ 工作湿度★ 接口 MIMO 天线 整机功耗★ 电源 IPv6支持★ 数据转发 用户接入 加密★ 用户隔离 报文过滤 广播抑制 SSID隐藏 认证

支持实施终端准入策略，可以作为策略准入网关强制实施用户安全准入策略（如用户系统补丁升级审核，病毒库升级审核，黑白软件安装审核等），实现加强网络终端用户的主动防御能力以及控制终端用户的网络使用行为的管理要求； 支持设备堆叠 支持DHCP CLIENT/ DHCP SNOOPING/DHCP SERVER SNMP V1/V2/V3；RMON；CLI;TELNET；支持WEB网管，支持NTP，中文图形化管理；支持电缆检测功能及单向链路检测功能 支持IEEE802.3af线路供电标准，通过双绞线向远端下挂PD设备（如IP Phone、WLAN AP等）提供电源 参数要求 在核心交换机集成 ≥20Gbps 640个 ≥20K 支持 支持对AP下行流量进行限速 WAPI、IPV6、DHCP Server和Relay、RIP V1/V2、OSPF 支持有线和无线网络的统一网管 本地日志、日志主机或日志文件导出等功能 支持命令行、Telnet、FTP，提供与有线网设备相同的配置和管理命令行界面，便于统一管理和维护 支持覆盖范围可以随着部署密度的升高而减小，发射功率4级可调。 参数要求 支持胖/瘦AP两种工作模式，支持802.11n协议 同时支持802.11a/n和802.11b/g/n工作 温度：-10~55度范围 湿度：10%~95% ≥1个10/100/1000Mbps(RJ45) 2×3 内置双频天线（6天线），支持外置单频天线（3天线） <13W（可以使用15.4W标准POE供电） 支持802.3af协议且可支持交流电源方式供电，即POE 支持IPv6/IPv4双栈 支持数据包二层转发模式，即在AP本地转发，而不通过控制器 支持only 11n接入功能，可以防止11a/g用户接入 支持64、128位WEP加密，WPA，802.11i和WAPI。 支持WPA和802.11i的多种密钥更新触发条件 支持AP上二层转发抑制 支持虚拟AP(多SSID)之间的隔离 支持 支持 支持 支持802.1X认证、MAC地址认证、PPPoE认证 12

MAC地址过滤 支持

外网网络管理系统 功能及技术指标 参数要求 基本功能★ 能够对网络中的路由器、交换机设备进行配置、监控和诊断。 网络设备识别★ 支持自动识别网络设备，并显示网络拓扑图。 支持无线有线一体化管理★ 支持有线设备与无线设备的一体化拓扑管理。用户可按照多种管理层次，创建将有线设备和无线业务融合在一起的多层次拓扑图，并支持建筑平面图形的导入。 配置、管理和监控VLAN★ 要求能为VLAN 的 建立、删除和编辑提供工具。 要求能够识别与交换机端口相连的终端节点，根据用户ID确定用户位支持用户跟踪功能 置。通过将MAC 地址和IP 地址与交换机端口关联，确定用户的位置，并进行跟踪。 支持自动分析错误功能 要求具有自动故障检测功能，能够发现网络中的常见问题。 支持整合排障工具 支持对交换机和路由器，进行故障分析。 支持图形化设备管理★ 支持显示网络路由器和交换机设备，能够访问配置和监控网络设备。 支持在WAN 网络提供网络响要求提供设备性能监控功能，能够检测网络设备端口流量变化。 应和可用性信息 可扩展支持对用户接入要求实施认证，结合相应的安全策略，确定用户接入认证要求★ 的网络访问权限。部署基于用户的动态VLAN策略和用户带宽限制等。具有丰富的终端准入控制检查功能。 可扩展支持进行终端病毒库版本、终端补丁、终端安装的应用软件、是多种安全检查和处理模式★ 否有代理、拨号配置等安全认证检查，进行提醒、隔离、离线等处理。 可扩展支持为大多数常用网络接入标准提供预定义策略，包括检查关键自动安全策略更新能力★ 操作系统升级、常用防病毒软件病毒定义更新以及常用防间谍软件定义更新等策略。能利用准入设备持续保持最新策略。 可扩展支持隔离操作使设备访问修补服务器，该服务器提供操作系统或补丁自动更新★ 应用软件补丁和更新、病毒定义文件等。管理员能够设置自动修补，能自行定义一系列修补命令。能与防病毒软件实现自动更新和修补。 可扩展支持支持多元素绑定认证，如用户IP、MAC地址绑定，增强安全多元素绑定认证★ 认证功能。 配置要求★ 配置不少于100网络设备管理License

内网网络管理系统及终端准入系统 功能及技术指标 参数要求 基本功能★ 能够对网络中的路由器、交换机设备进行配置、监控和诊断。 网络设备识别★ 支持自动识别网络设备，并显示网络拓扑图。 支持有线设备与无线设备的一体化拓扑管理。用户可按照多种管理层支持无线有线一体化管理★ 次，创建将有线设备和无线业务融合在一起的多层次拓扑图，并支持建筑平面图形的导入。 配置、管理和监控VLAN★ 要求能为VLAN 的 建立、删除和编辑提供工具。 要求能够识别与交换机端口相连的终端节点，根据用户ID确定用户位支持用户跟踪功能 置。通过将MAC 地址和IP 地址与交换机端口关联，确定用户的位置，并进行跟踪。 支持自动分析错误功能 要求具有自动故障检测功能，能够发现网络中的常见问题。 支持整合排障工具 支持对交换机和路由器，进行故障分析。 支持图形化设备管理★ 支持显示网络路由器和交换机设备，能够访问配置和监控网络设备。 支持在WAN 网络提供网络响要求提供设备性能监控功能，能够检测网络设备端口流量变化。 应和可用性信息 分布式虚拟化★ 软件各组件可以安装在多台服务器上，通过虚拟化技术进行部署，使用

13

同一个IP地址进行管理和使用 后台服务器可安装在Windows、Solaris或者Linux平台上；支持双机系高可用性★ 统的热备和冷备，支持单机系统逃生技术，服务器当机后能自动切换到逃生工具上 支持分级管理和用户漫游，上级服务器可以下发全局安全策略给下级，可扩展性★ 下级可以增添本地的安全策略，执行结果和日志可以上报给上级 操作员可以管理各自的用户群组和策略组，只有上级管理员才能管理全用户分权管理★ 部的用户组和策略 使用同一个客户端实现网络准入、用户认证、终端安全状态检查、桌面一体化客户端★ 资产管理等所有功能，避免多个客户端带来的管理不便 支持客户端防卸载；支持客户端属性管理，可以通过客户端管理中心工客户端管理 具进行定制，如VPN接入配置、认证方式、是否上传IP地址、是否上传客户端版本信息、是否支持多播等 支持exe文件安装、AD域登录脚本安装、静默安装、网页下载等安装方式。为启动认证的用户上网时自动重定向到安装网页，弹出exe安装文快速部署★ 件或者ActiveX安全插件，帮助用户下载相关安全客户端，并自动对终端用户进行病毒、补丁等安全状态的检查 支持802.1x、Portal、IP VPN（L2TP）、无线等多种网络环境的身份认准入控制★ 证，支持基于端口的802.1x和基于MAC地址的802.1x，可管理HUB或非智能交换机下的多个用户 支持L2TP接入方式，可以设置备用LNS，支持虚拟网卡，指定USB Key认证等；支持L2TP+IPSec，可以支持LNS服务器和IPSec服务器合一和VPN接入及NAT穿越 分开，支持NAT穿越，支持PPP协商过程中获取安全认证服务器信息，发起安全认证 可以对源/目的IP、源/目的掩码、源/目的网段等九元组进行控制，实现基于客户端的ACL★ 流量管理 支持PAP/CHAP/EAP-MD5/EAP-PEAP/EAP-TLS/WAPI等认证协议，支持统一身份认证★ USB Key、数字证书、LDAP服务器、Windows域管理器、WLAN等方式的认证及多种方式的组合鉴别 支持与包括微软防病毒软件在内的主流防病毒软件联动，支持与微软WSUS/SCCM协同的自动补丁管理。与微软无缝集成，当用户安全认证防病毒及补丁管理★ 时，自动检查、下载、安装补丁，实现操作系统补丁自动升级，提升系统易用性 支持用户名、密码与用户IP、MAC、VLAN、设备IP、设备端口、主机名、多元素绑定 域用户、SSID等多种元素的绑定认证 支持USB、软驱、光驱、串口、并口、红外、蓝牙、1394和Modem等外设的管理，可区分USB存储设备和非存储设备，支持离线策略，拔掉外设管理及U盘审计★ 网线依然生效；支持对检测终端USB接入状态进行记录，如用户插拔USB时间、操作文件名、操作文件大小等详细信息。 能够提供接入用户网络拓扑，在拓扑上实现在线用户查询、强制下线、用户管理与拓扑融合★ 下发消息等功能，便于用户的管理 通过公安部计算机信息系统安全专用产品销售许可证，国家信息安全产资质及要求★ 品认证，是国内自主研发的已成熟的网络准入安全管理产品，并提供1万用户以上项目的合同复印件 配置要求★ 配置不少于100网络设备管理License，不少于500个终端准入License 3.4 推荐品牌：Cisco、H3C、Avaya

4．程控交换机

4.1 交换机基本技术及功能要求

（1）交换机必须具有当代世界先进水平、并同时满足先进性和成熟性的设备，从交换技术到软

14

硬件保障措施来保障设备运行的高度安全可靠。

（2）交换机必须是全数字、时分、A律编码的交换系统，支持话音交换、数字传输、语音压缩、综合数据业务网(ISDN)、IP接入、CTI接口、内置自动呼叫分配及路由（ACD）等功能； （3）交换机应提供E1中继、IP中继(H.323和SIP)、IP电话(H.323和SIP)等多种接口方式。具有多种信号方式，数字线路信号满足（GF002-9002.4），具备丰富的接口方式，包括7号信令接口，ISDN接口，中国1号随路信令，Q.SIG信令接口(Q.SIG可通过E1及IP连接实现)，模拟用户接口等。数字中继接口符合CCITT标准G.703和G.732。应具有内置以太网接口，可直接和LAN相连，方便用户维护和管理。

（4）语音交换机IP-PBX必须为媒体控制（媒体服务器）与媒体处理（媒体网关）分离的体系结构；媒体服务器通过标准的IP网络实现对媒体网关的控制；媒体网关与媒体网关间、媒体网关与IP分机、IP分机与IP分机间的通信完全基于标准的IP网络，且必须不依赖于IP数据网络具体的物理设备的品牌与型号；即此系统必须可运行于不同数据网络产品供应商的设备构架的数据网络平台之上；

（5）交换机主控模块应为双机热备份，可在不中断通信的情况下实现主备倒换，支持通过光纤或千兆网络实现内存镜像，保证系统的无间断运行。排队机的其它关键部件（如交换网络、网关、存储器、总线等）采用可靠的冗余结构设计，应能提供冗余配置的选择，两套冗余的部件应为热备用方式，而且冗余的部件之间应能进行相互数据交换和自动切换，保证在故障时不会丢失系统的各种数据，不会影响到正在进行或接续中的通话和数据传输，各种处理器必须有故障恢复的再启动功能。

（6）交换机操作系统必须采用Linux系统。

（7）系统必须支持通用插槽，须支持通用E1板卡。各种信令(ISDN-PRI信令、中国1号信令、Q.SIG信令等)可在同一种E1板卡上实现，无须更换硬件，只需软件设置即可。

（8）采用分级模块化软件，便于系统的升级和功能的扩展。在系统运行故障需进行系统的再配置和再启动时，应不影响正在建立或已经建立的呼叫；选用具有模块化结构的交换机，当系统扩容或调整系统部分功能时，可在不停机的情况下通过增加或改变相应的模块来实现。 （9）交换网络满足系统内部交换无阻塞要求。

（10）采用混合中继方式。并可按要求设置服务级别限制和有权识别功能，以根据需要对分机用户的内部呼叫、出局呼叫、长途呼叫进行级别设定。

（11）设备应具有下述功能：缩位拨号、呼叫特种业务（转移、音乐等待、保持等）、电话会议、多方通话、遇忙回叫、无应答回叫、遇忙预占、缺席用户服务、强插、强拆、通话保密、语音信箱、号簿查询、免打扰、寻线组、来话主叫号码显示及传送、透明网络功能、自动声讯话务员及系统语音提示功能、同组代答、直接代答、普通模拟分机一机多用等功能。

（12）交换机的所有分机端口，必须满足模拟/数字/IP/软电话?等等各种终端的迁移能力，内部用户接口应支持模拟接口、数字接口(如LineSide E1、2B+D等)方式。

（13）具有设备诊断软件，对用户、中继以及接收器进行常规测试等，同时应提供密码的设置，保证不会由于误操作，而导致系统瘫痪，或其它不正常状态。

15