招标文件
用户需求
一、项目概况
杭州市儿童医院因业务发展需要,先对1号楼机房内的网络交换设备及安全平台进行更新升级。本次项目需要更新原有设备,完成网络割接,保障业务连续性。范围包括但不限于:内网汇聚交换机、外网汇聚交换机、服务器汇聚交换机、大数据安全联动平台接入和调试等。详见项目清单与技术要求。
一、项目清单
|
设备类型 |
单位 |
数量 |
|
1号楼内网汇聚 |
台 |
2 |
|
1号楼外网汇聚 |
台 |
1 |
|
1号楼机房服务器汇聚 |
台 |
4 |
|
互联多模光模块 |
块 |
160 |
|
大数据安全联动平台 |
套 |
1 |
|
网管软件授权扩容 |
套 |
1 |
本项目打包采购,不接受分项投标。
三、技术要求
1、1号楼内网汇聚
|
功能类别 |
技术要求及指标 |
|
性能 |
交换容量≥250Tbps,包转发率≥14000Mpps(若以上规格官网有两个值,则以最小值为准,提供官网截图证明); |
|
单板槽位 |
主控引擎与交换网板物理分离;主控引擎≥2;独立交换网板≥2;整机业务板槽位数≥4,主控槽位与业务线卡槽位宽度相同,为全宽槽位 |
|
★硬件要求 |
为保证设备散热效果和可靠性,要求设备支持模块化风扇框,可热插拔,当单个风扇框发生故障时,有其他风扇正常运行,保证设备散热,独立风扇框数≥2,提供设备截图证明 |
|
为了适应机柜并排部署,采用机箱(包括业务板卡区)后出风风道设计,提供设备散热气流流向截图 |
|
|
支持颗粒化电源,支持M+N电源冗余(AC和DC均支持),电源插槽个数≥4 |
|
|
支持独立的硬件监控板卡, 控制平面和监控平面物理槽位分离,支持1+1备份,能集中监控板卡、风扇、电源、环境,能调节能耗,在设备结构图中明确指出所在位置 |
|
|
为安装及日常维护方便,所有可插拔板卡(主控、交换、业务板卡)是前插板,所有走线全部在前面板走线,包括业务和管理线缆,单面维护; |
|
|
实配:主控引擎≥2;独立交换网板≥2,电源≥2,万兆光口≥96个,千兆电口≥48个;横向虚拟化授权及其对应配件;单向虚拟化带宽≥80G,并配置相对应的虚拟化线缆; |
|
|
虚拟化技术 |
支持横向虚拟化技术,将多台设备虚拟为一台,支持长距离集群 |
|
支持纵向虚拟化技术,支持把交换机和AP虚拟为一台设备 |
|
|
支持纵向虚拟化技术,支持两层client,client子节点支持堆叠 |
|
|
无线管理 |
支持业务板集成AC功能,业务单板+AC只占用1个业务槽位,实现对AP的接入控制、AP域管理、有线无线用户的统一认证管理,提供官网截图证明 |
|
VxLAN |
支持VxLAN功能,支持VxLAN二层网关、三层网关,支持BGP EVPN,实现自动建立隧道 |
|
用户管理 |
支持标准协议的802.1X/MAC/Portal等认证方式 |
|
支持DAA、基于流量和时长计费方式 |
|
|
VLAN |
支持4K VLAN,支持1:1、N:1 VLAN mapping,支持端口VLAN,支持Voice VLAN |
|
二层功能 |
支持IEEE 802.1d(STP)、 802.1w(RSTP)、 802.1s(MSTP), 支持VLAN内端口隔离,支持端口聚合 支持1:1、 N:1、1:N端口镜像,支持流镜像,支持远程端口镜像(RSPAN),支持ERSPAN |
|
MAC |
支持整机MAC地址≥512K |
|
ARP |
支持ARP表项≥256K |
|
IP路由 |
支持IPv4路由转发表FIB规格≥512K 支持Ipv6 路由转发表FIB规格≥256K |
|
支持静态路由、RIP、RIPng、OSPF、OSPFv3、BGP、BGP4+、ISIS、ISISv6 |
|
|
组播 |
支持IGMPv1/v2/v3、IGMP v1/v2/v3 Snooping 、PIM DM、PIM SM、PIM SSM 支持组播流量控制、支持组播查询器 支持组播CAC、组播ACL |
|
IPv6 |
支持IPv6过渡技术,IPv4/IPv6双栈、6over4隧道、4 over6隧道 支持IPv6 DHCP SERVER、IPv6 DHCP Relay、DHCP Snooping |
|
MPLS |
支持MPLS L3VPN、MPLS L2VPN(VPLS,VLL)、MPLS-TE、MPLS QoS |
|
访问控制 |
支持基于第二层、第三层和第四层的ACL 支持VLAN ACL和IPv6 ACL 支持IP/Port/MAC的绑定功能 |
|
QoS |
支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等调度方式 支持双向CAR、广播风暴抑制功能、支持WRED |
|
交换机每端口支持200ms大缓存 |
|
|
安全性 |
支持DHCP Snooping trust, 防止私设DHCP服务器 支持DHCP snooping binding table (DAI, IP source guard),防止ARP攻击、DDOS攻击、中间人攻击 支持BPDU guard、Root guard 支持自动隔离攻击源技术 |
|
★可靠性 |
支持真实业务流的实时检测技术,秒级快速故障定位,提供官网截图证明 |
|
支持硬件BFD/OAM,3.3ms稳定均匀发包检测,提高设备的可靠性 |
|
|
管理维护 |
支持Telemetry技术,配合网络分析组件通过智能故障识别算法对网络数据进行分析,精准展现网络实时状态,并能及时有效地定界故障以及定位故障发生原因,发现影响用户体验的网络问题,精准保障用户体验,提供官网截图证明 支持音视频业务的智能运维,将设备作为监控节点周期统计并上报音视频业务类指标参数至网络分析组件引擎,由网络分析组件引擎结合多个节点的监控结果,对音视频业务质量类故障进行快速定界,提供官网截图证明 支持交换机通过netstream流量采集网络数据并上送给大数据安全平台进行分析检测,并配合SDN控制器对整网进行安全策略管控,提供官网截图证明 |
|
保修服务 |
原厂3年免费保修,中标后提供原厂3年质保承诺书等证明材料; |
2、1号楼外网汇聚
|
功能类别 |
技术要求及指标 |
|
交换容量 |
交换容量≥2.5Tbps, 若以上规格官网有两个值,则以最小值为准,提供官网截图证明 |
|
包转发率 |
包转发率≥1600Mpps, 若以上规格官网有两个值,则以最小值为准,提供官网截图证明) |
|
★端口 |
实配48个万兆SFP+,6个100GE QSFP28,并配置3米40G堆叠线缆一根 |
|
硬件 |
为了提高设备可靠性,支持可插拔的双电源,支持4个独立可插拔风扇,支持前后风道,并实际配置冗余双电源 |
|
二层 |
支持MAC表项≥128K |
|
支持4K个VLAN,支持Guest VLAN、Voice VLAN,支持基于MAC/协议/IP子网/策略/端口的VLAN |
|
|
支持1:1和N:1 VLAN交换功能 |
|
|
三层 |
支持静态路由、RIP V1/2、URPF OSPF、IS-IS、BGP、RIPng、OSPFv3、BGP4+、ISISv6 |
|
支持IPv4路由表项≥128K |
|
|
★AC管理 |
支持融合AC管理功能,整机可管理1K AP,并实际配置AP管理授权≥16个 |
|
用户管理 |
支持统一用户管理功能,屏蔽接入侧差异,支持802.1X/MAC/Portal等多种认证方式,支持对用户进行分组/分域/分时的管理,用户、业务可视可控 |
|
★VxLAN |
支持VxLAN功能,支持VxLAN二层网关、三层网关,支持BGP EVPN,实现自动建立隧道 |
|
虚拟化 |
支持横向堆叠,主机堆叠数不小于9台 |
|
支持纵向虚拟化,作为父节点将下联交换机、AP纵向虚拟为一台设备管理 |
|
|
大数据安全协防 |
支持交换机通过netstream流量采集网络数据并上送给大数据安全平台进行分析检测,并配合SDN控制器对整网进行安全策略管控 |
|
QOS |
支持WRR、DRR、SP、WRR+SP、DRR+SP队列调度算法 支持报文的802.1p和DSCP优先级重新标记 支持L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的非法帧过滤功能 |
|
管理维护 |
支持以太网OAM(802.3ah 和 802.1ag) 支持虚拟电缆检测(Virtual Cable Test) 支持SNMPv1/v2c/v3,支持RMON 支持网管系统、支持WEB网管特性 支持NetStream 支持Telemetry技术,配合网络分析组件通过智能故障识别算法对网络数据进行分析,精准展现网络实时状态,并能及时有效地定界故障以及定位故障发生原因,发现影响用户体验的网络问题,精准保障用户体验,提供官网截图证明 支持音视频业务的智能运维,将设备作为监控节点周期统计并上报音视频业务类指标参数至网络分析组件引擎,由网络分析组件引擎结合多个节点的监控结果,对音视频业务质量类故障进行快速定界,提供官网截图证明 同时支持云管理和本地管理两种模式,提供官网截图证明; |
|
安全 |
支持DHCP Snooping,IP Source Guard,SAVI等安全特性 |
|
支持防ARP攻击、DOS攻击、ICMP防攻击、CPU防攻击 |
|
|
可靠性 |
支持G.8032标准环网协议 |
|
支持真实业务流实时检测技术,能实时检测网络故障 |
|
|
保修服务 |
原厂3年免费保修,中标后提供原厂3年质保承诺书等证明材料; |
3、服务器汇聚交换机
|
功能类别 |
技术要求及指标 |
|
转发性能 |
交换容量≥1.28Tbps,以官网所列最低参数为准 |
|
包转发率≥252Mpps,以官网所列最低参数为准 |
|
|
硬件规格 |
高度1U,固定接口交换机 |
|
电源1+1备份,风扇3+1备份 |
|
|
内置电源开关 |
|
|
支持前后、后前风道 |
|
|
★端口配置要求 |
40GE光接口≥2个,SFP+接口≥4个,BASE-T接口≥48个,另配置堆叠线缆一根; |
|
二层功能 |
支持Access、Trunk和Hybrid三种模式 |
|
支持QinQ |
|
|
★支持跨框链路聚合,要求配对设备有独立的控制平面,不能用堆叠等多虚一技术实现,提供官网截图证明 |
|
|
支持DLDP |
|
|
支持ERPS以太环保护协议(G.8032) |
|
|
支持动态MAC、静态MAC和黑洞MAC表项 |
|
|
三层功能 |
支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议 |
|
支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6动态路由协议 |
|
|
支持BFD for OSPF,BGP,IS-IS,Static Rout |
|
|
支持IPv6 ND、PMTU发现 |
|
|
QoS |
支持PQ, WRR, DRR, PQ+WRR, PQ+DRR调度方式 |
|
支持L2协议头、L3协议和L4协议等的组合流分类 |
|
|
支持双向端口限速 |
|
|
提供广播风暴抑制功能 |
|
|
支持流量整形 |
|
|
虚拟化技术 |
支持纵向虚拟化技术 |
|
支持集群或堆叠多虚一技术,实现单一界面管理多台设备 |
|
|
支持Trill技术 |
|
|
安全性 |
支持方式Ddos、arp攻击和ICMP攻击 |
|
支持IP、MAC、端口和VLAN的组合绑定 |
|
|
支持802.1X认证 |
|
|
支持端口隔离 |
|
|
支持AAA、Radius和TACACS认证 |
|
|
支持RMON |
|
|
配置和维护 |
支持SNMP V1/V2/V3、Telnet、RMON、SSH |
|
支持配置回滚,提供官网截图 |
|
|
支持BootROM升级和远程在线升级 |
|
|
支持ZTP技术,配置自动下发 |
|
|
流量分析 |
支持Netstream,提供官网截图 |
|
支持sFlow,提供官网截图 |
|
|
保修服务 |
原厂3年免费保修,中标后提供原厂3年质保承诺书等证明材料; |
4、网络安全智能系统
|
功能类别 |
技术要求及指标 |
|
★硬件规格 |
2颗32核CPU,384G内存,2*960GB SSD+10*4000GB SATA;4*GE电口+4*10G光口; |
|
★实际配置 |
大数据分析许可≥3个 |
|
性能要求 |
应用层吞吐量≥1Gbps |
|
自动化响应编排功能 |
支持预置和自定义安全事件处置威胁场景化剧本(Playbook),支持针对不同攻击场景(DGA检测处置场景、加密流量检测处置场景、恶意C&C检测处置场景等)编排自动化的调查取证和告警联动,实现安全事件的自动化处置闭环。支持多种编排动作,包括:沙箱联动、终端取证、URL封堵和网络隔离等,同时提供了灵活的动作扩展机制,可通过Python脚本扩展编排动作。支持用户可视的UI界面呈现,提供功能截图证明 |
|
加密流量免解密检测 |
为了高效检测恶意加密流量,不影响现有网络业务、性能,需要支持恶意C&C通讯:针对加密流量不需要解密,通过分析Metadata检测恶意C&C通讯流量 |
|
安全联动能力 |
支持与网络安全设备(如防火墙、入侵检测)、网络控制器设备(如网络控制器)、终端EDR设备等联动阻断发现的威胁,并支持针对威胁事件触发手动联动、自动联动等联动响应方式 |
|
诱捕能力 |
支持与网络中的防火墙、交换机等传感器共同组成诱捕网络,能够主动响应不存在端口的扫描,实现对SMB、SSH、RDP、HTTP、MySql等协议的诱捕交互,提供产品功能截图证明材料或者官网证明 |
|
协议解析能力 |
支持VXLAN、GRE、VLAN、CAPWAP报文解析,需要提供功能证明截图 |
|
支持解析TLS客户端支持加密套件列表、TLS服务器端选择的加密套件、TLS客户端支持的extension列表、TLS服务器端选择的extension列表、TLS握手过程中ClientKeyExchange消息的负载长度、TLS握手过程中ServerKeyExchange消息的负载长度、服务器叶证书的有效期 |
|
|
日志采集能力 |
支持采集第三方系统以及安全设备的syslog日志 |
|
支持采集网络/安全设备上报的Netflow v9日志 |
|
|
流量采集能力 |
支持网络流量特征数据Netflow日志生成,用于发现网络中资产之间的异常访问 |
|
支持HTTP、FTP、SMTP、POP3、IMAP4、NFS、SMB这几种协议的流量还原,通过解析主流的应用协议,对协议传输中承载的文件及关键字段信息进行分析还原 |
|
|
IPS日志威胁取证抓包,形成PCAP文件 |
|
|
C&C流量检测能力 |
为检测内网与外网的恶意访问链接需要支持DGA恶意域名检测:基于DNS流量数据通过机器学习算法离线生成分类器,实时对DNS的流量数据进行在线检测,支持内网主机周期外联的检测行为 |
|
支持通过C&C页面查看黑客的主机通过连接恶意域名发起的攻击的趋势和列表信息,可以查看网络中的恶意域名以及对应的服务器IP,并统计恶意域名的访问次数 |
|
|
安全态势感知 |
支持图形化展示全网正在发生的威胁事件,包括来自外部攻击源和内部各区域之间的威胁攻击事件。Dashboard类型包括威胁列表、全网威胁等级、TOP10高危资产、威胁源国家排行、区域威胁详情等 |
|
威胁告警类别支持DGA域名请求、访问可疑的C&C服务器、主机执行恶意文件、文件外发、周期外联、端口扫描、恶意文件下载、接收到恶意邮件、非预期的关键资产访问、恶意C&C流、暴力破解、账户异常更改、文件权限异常提升、用户权限异常提升、日志异常变化、非法数据库访问、僵木蠕攻击 |
|
|
支持攻击路径可视化,直观展示攻击过程和扩散路径,可呈现从外部渗透、建立通道、内部扩散到外发数据的完整攻击链和攻击上下文信息,并支持从威胁、邮件和文件的维度展示威胁影响范围 |
|
|
网络安全解决方案实施服务 |
实施方案编写-“包括面向交付站点的迁移/实施需求分析、现网配置分析、迁移/实施方案撰写、业务/应用逻辑可用性验证方案撰写; 测试验证-“包括面向交付站点的迁移/实施配置脚本联调和验证。由原厂工程师提供。 |
|
厂商资质 |
具有《信息安全应急处理服务资质》(一级),并且在有效期内,提供证书复印件 |
|
具有《TL9000》品质管理体系认证证书,提供证书复印件,以及在TL9000证书查询网站的链接与截图证明 |
5、万兆多模模块
|
功能类别 |
技术要求及指标 |
|
模块指标 |
SFP+-10G-多模模块(850nm,0.3km,LC) |
6、网管软件授权扩容
|
功能类别 |
技术要求及指标 |
|
软件配置要求 |
支持windows、Linux操作系统、支持数据库类型 |
|
系统架构 |
支持B/S架构,可以随时随地管理网络 |
|
★管理节点 |
根据本次项目需求,扩容服务器管理节点≥20个,存储管理节点≥2个 |
|
资源管理 |
★系统需要支持路由器、交换机、防火墙、WLAN、服务器、存储、视频监控、统一通信设备的统一管理和业务分析,提供原厂官网截图证明; |
|
系统需要支持对管理对象(设备、端口)进行自定义分组能力。为了降低管理复杂度,系统需支持告警、性能、安全等策略自动应用到对应的分组,无须管理员进行多次配置。 |
|
|
视图管理 |
支持拓扑图方式显示被管网元及其之间连接的状态,提供对子图、网元、链路、网元状态多方面的界面呈现。 |
|
支持可通过浏览拓扑视图来实时了解整个网络的运行情况。 |
|
|
支持按照子图分层展示TOPO信息、提供按用户信息保存网元位置; |
|
|
支持拓扑背景图和自定义图标功能; |
|
|
支持网元、链路上的TIPS信息展示,快捷显示网元、链路的关键信息。 |
|
|
告警远程通知 |
支持E-Mail、短信方式进行告警的远程通知,无论何时何地,都能及时通知维护人员定位问题,提高故障处理的实时有效性。 |
|
★性能管理 |
支持基于任务的性能监控,7*24监控网络性能。通过设置不同的性能阈值条件,可生成4级不同阈值告警:紧急、重要、次要、提示,提供配置界面截图。 |
|
支持阈值告警的管理,实现根据具体监视实例的阈值条件设置产生阈值告警。 |
|
|
业务监控 |
支持业务监控能力,查看业务配置信息、支持业务监控拓扑、支持业务性能监控、支持业务质量监控 |
|
保修服务 |
原厂3年免费保修,中标后提供原厂3年质保承诺书等证明材料。 |
五、质量要求:
投标产品必须是符合国家技术规范和质量标准的合格产品,满足采购人的使用需求,并具有可靠的售后服务体系,质量可靠、使用安全。
投标人保证其提供的产品中所有预装和为本项目安装的软件均为具有合法版权或使用权的正版软件且无质量瑕疵。
在质保期内,如遇软件产品升级、改版,应免费提供更新、升级服务。
投标人必须对本项目的完整性负责,根据项目的实际需求,如有实现完善需求方案的配置,而在招标文件中未体现的请补充。
作为完整的配置方案,必须不遗漏、不重复,包括所有必须的软件、配件、接口。
请详细提供与原有系统和设备共同工作的方案。
六、实施进度要求
本项目实施计划分三个阶段进行,请投标人根据阶段划分进一步细化成工作计划:
第一阶段:合同签订后10日内确定项目实施方案、项目管理、项目测试/验收的方案,向采购人提供上述文档并需经采购人审查通过;
第二阶段:合同签订后1个月内完成系统软硬件的部署,并完成原系统的改造升级及无缝对接,经测试运行及培训,试运行1个月并通过采购人组织初步验收确认合格,投入正式运行;
第三阶段:投入正式运行后正常运行1个月,并完成本项目的培训任务,建立完善的系统运维体系,经正式验收合格,正式交付使用。
七、商务要求
1. 付款方式:合同生效后预付合同总额的30%款项;项目验收合格后1个月内支付余下合同总额的70%款项。
2. 售后服务
2.1 ▲在项目验收合格后提供整套系统(含软件、硬件)3年免费维护期。
2.2 各主要产品在签订合同时需提供原厂商针对本项目的授权书和原厂商针对本项目服务承诺函(质保叁年)等证明材料,本项目用户方为杭州市儿童医院,材料需加盖原厂商的公章。
2.3 投标人所承诺的服务内容应包括:投标人的服务响应及维修等承诺,详细说明服务能力、服务时间、人员配备、系统故障响应、诊断、应急处理、维修和相应的设备更换计划等;投标人的技术支持和相应软件的升级承诺等。
2.4 在系统的服务期内,投标人应确保系统的正常使用。中标方提供7*24小时立即响应服务,在接到用户服务要求后应立即做出回应,并在承诺的服务时间内实施服务。在2小时内提出解决方案并做出明确安排,排除故障,并分析故障原因,提出书面故障分析报告及防范措施。如果逾期未解决,中标人承担由于故障所造成的全部损失。
3. 培训
3.1 培训:提供对用户的使用人员的培训,提供详细培训方案。项目验收前必须完成相关技术培训。技术培训的内容必须覆盖本次投标产品的日常使用操作和管理维护等。
3.2 所有的培训费用必须计入投标总价。
4. 安装调试
4.1 安装地点:杭州市儿童医院指定地点
4.2 安装完成时间:投标商在投标文件中提出正常完成安装调试的时间期限,如在规定的时间内由于卖方的原因不能完成安装和调试,投标方应承担由此给用户造成的损失
4.3 安装标准:符合我国国家有关技术规范要求和技术标准。
4.4 安装过程中发生的费用由卖方负责。
4.5 投标商应在投标文件中提供其安装调试过程中需采购人配合的内容。
5. 验收
5.1. 供货方应提供项目相关软件、设备的有效验收文件,经用户认可后,作为验收标准。用户对项目验收合格后,双方共同签署验收合格证书并加盖公章。验收中发现软件、设备达不到验收标准或合同规定的性能指标,卖方必须修改相应内容,以满足用户需求。
5.2. 项目提交的文档成果包括但不限于:系统的体系架构及描述、系统实施报告、培训资料、软件使用操作手册、项目验收报告等。(包括纸质和电子文件)
5.3. 验收费用由中标商负责。
6. 报价方式:本次报价方式为总价包干。投标总价应包括本项目整个服务期所需的一切设备、材料、软硬件、人工、工具、设备、保险、交通、利润、税金(包含须由投标人承担的各种税费)、其它需投标人承担的费用及潜在可能涉及的一切费用。投标人应认真计算可能发生的各相关费用并计入投标报价内,在项目实施过程中不得藉此要求增加任何费用。如上述没有提及但该项目仍需要的内容,请投标人自行考虑一并计入投标报价中(未计入的,视为投标人的优惠)。
收藏