XXXX学院图书馆实名上网认证系统
1.项目需求
(1)构建一套高容量、高性能、高可扩展、安全可靠的万兆实名上网认证系统,吞吐性能满足20G。为全院师生提供更佳的网络接入实名认证服务,打造安全、可追溯、可控制的校园网接入环境。
(2)基于认证系统,结合数字化校园实现统一身份认证,提升工作效率,进一步提升数字化校园整体应用水平。
(3)认证系统需要满足网络安全等级保护2.0的相关要求,符合信息系统安全等级保护(二级或以上要求)。
(4)与我校现有上网行为管理,网络安全态势感知系统相结合,完成用户信息同步,实现统一安全。
(5)支持目前有线无感知认证方式,具备“一次认证,永久使用”的用户体验。
2.建设内容及要求
功能指标 | 技术要求 |
性能要求 | 2U机架标准化产品,软硬件一体化万兆网关认证设备,投标时注明具体型号,含用户连接公网实名制认证、带宽管理,计费、在线监控等功能,支持radius server,处理能力≥20Gbps,实现总用户数≥20000,并发用户数≥6000,总端口≥8个(10000Mbps光口≥4个,1000Mbps光口≥4个,带4个SFP万兆多模模块)。 |
需要实现IPv4/IPv6双栈协议和混合认证计费。 | |
设备实现桥接和旁路两种模式;系统管理平台支持主流的B/S和C/S架构方式。 | |
需要实现双链路和双进双出的独立网关设备。 | |
要求非OEM产品,要求产品必须采用第三方独立接入认证硬件网关系统,以实现对多品牌网络设备的良好兼容性。 | |
支持数据库SQL版本和Oracle版本。要求所投的设备须和本校现有城市热点有线准入认证系统能实现数据同步、配置自动同步、统一管理,需提供配置截图。由于服务器或虚拟机宕机,用户正常网络认证,不影响用户上网工作。 | |
认证平台功能 | 支持国际标准认证方式(WEB、PPPOE、802.1x、PPTP等),web、client、802.1X、PPPOE混合同时接入。设备本身就能实现PPPOE专业认证功能,不需另加其他设备。 |
支持基于MAC地址的认证、支持基于IP地址的认证、基于VLAN ID认证。 | |
支持用户账号的唯一性认证;同时支持同一账户允许多终端同时登陆。 | |
支持登陆地址段、VLAN ID来限制户账号漫游。 | |
支持多元素绑定功能,这些数据包括:IP地址、MAC地址、VLAN号、用户账号等多元素的绑定,可在这些元素之间采用“与”“或”的关系。支持专线账号、直通账号。 | |
支持指定目的IP免认证功能,实现灵活接入访问控制和对进行认证计费。 | |
支持指定的端口控制机制(tcp/udp/icmp等)。 | |
支持访问目的IP的service服务类型和ACL功能,可指定某些目的IP或IP组不可访问,从而防止上网者访问某些非法网站。 | |
要求所投的设备必须实现无线跨校漫游功能,解决分校区和本校间师生无线上网问题,在两校区任一区域首次无感知认证通过后,后续任一区域再次上网,无需再次认证,账户、认证和日志信息均需保存在本部现有认证系统中,在本校认证系统后台自动记录账号信息;并能与本部现有认证系统上实现数据异地跨平台备份。 | |
支持在认证通过后,将第一个打开的网页重定向到指定的主页上。能指定不同用户认证通过后重定向到不同的页面。支持多组portal弹送。 | |
网关支持RADIUS CLIENT、RADIUS SERVER、RADIUS CACHE功能,使网关与第三方无线控制器、第三方RADIUS SERVER(漫游账号)无缝对接。 | |
为保证认证管理系统对多品牌设备厂商的良好兼容性,要求产品为非交换机厂家类,必须采用第三方认证平台,实现与思科、华三、华为、锐捷等主流品牌的无线设备对接,在方案中提供与无线设备厂家对接的案例清单。 | |
要求认证系统能兼容业内主流品牌的BRAS设备,支持BRAS的功能应用;整个系统架构必须在Red hat Linux平台上,并提供BRAS厂商盖章证明和案例用户方证明。 | |
实现Portal与短信网关对接,用户直接通过手机短信接收密码认证方式。 | |
支持与学院现有线网络认证系统(“城市热点”)同步联动,两套系统由统一后台进行统一管理,并实现账户数据同步、配置自动同步;实现认证数据、用户账号和计费等数据信息均可保存在现已有认证系统中,招标人无需再重新安装后台数据库。 | |
实现无感知认证通过后,后续任一区域再次上网,无需再次认证。 | |
支持部分有线VLAN用户跨三层无感知认证,实现一次认证多次使用,跨三层无感知认证需要支持DHCP SERVER、SNMP方式获取终端MAC信息。因目前浏览器种类众多,不允许采用Cookie方式实现,并按照用户方要求对功能进行定制开发。 | |
独立无感知认证模块 | 设备必须支持无线网络智能终端用户无感知认证方式,需要以独立模块形式呈现,提供独立模块授权界面截图,不需开发,不允许采用Cookie方式实现。 |
支持多种无感知部署方式,包括:串接、扁平化方式、对接无线AC/胖AP、三层网络DHCP采集、基于cmcc portal协议方式、跨三层网络SMNP采集。 | |
支持根据IP地址、SSID实现用户无感知功能。 | |
能对无感知用户进行独立的在线监控、统计分析管理。 | |
支持不同用户实现不同的无感知策略、支持无感知终端类型、终端数量、无感知有效期、超限自动清理、登录自动延长无感知有效期等功能。 | |
支持无感知设备黑白名单、终端类型无感知策略、无感知有效期等无感知策略。 | |
支持根据用户账号、分组信息、绑定MAC等信息查询用户。 | |
支持无感知二级管理权限控制,超级管理员能够给下级管理员分配无感知配置功能,下级管理员可根据自身所属区域决定是否采用无感知认证。 | |
支持无感知终端类型识别和统计,在线列表和登录记录详单都能看到准确的MAC,主机名、终端类型。 | |
用户管理、计费、日志功能功能 | 要求用户上网的时段控制;要求基于不同时间段实现不同的控制策略。 |
用户web自注册开户功能;用户组的用户管理和方便的开户模板方式。 | |
在线用户管理功能:强制下线,修改用户资料,查询用户名、用户IP、用户MAC,短消息通知,催费信息自动发送等功能。 | |
要求在L2、L3层结构中,能控制每个用户的上下行带宽,粒度为16-48K。同时支持基于组的带宽控制。 | |
可记录用户上网的时间段、所使用的IP地址、MAC地址、VLAN ID等数据,并可统计上网时长流量; 可记录用户每次上网的上下行IP流量。 | |
支持MAC黑名单和白名单功能。 | |
可实时监控在线用户当前账号、实时上下行带宽、上下行流量、源/目标端口、MAC、TCP/UDP连接数、上下行发包数、上传下载速率等。 | |
要求实现基于包月、时长、流量、周期、专线等计费策略,可组合各种计费策略套餐;支持各种时段及目标IP优惠策略;支持修改密码、充值时需实时生效;月结时网关无需中断轧账,网络保持通畅。 | |
支持IPv4和IPv6分别统计流量,分别计费;支持卡销售管理。 | |
同一账号支持多个设备同时上网;费用计入同一账号下;用户账户余额为零时可实时停机,避免出现欠费现象。 | |
要求对上网用户实现按计费;支持优惠、赠送、折扣、虚拟计费等功能。 | |
具备全业务接口,便于用户自主开发及第三方系统对接。 | |
要求能详细记录认证用户的访问记录,至少保留180天的访问日志。包括用户电脑的MAC、源IP、用户名、目的地址、访问时间等等。访问记录能够对接保存在我院现有日志记录平台。 | |
系统开发对接要求 | 与本院上网行为管理系统进行联动,将认证计费系统的账号与上网行为管理系统的IP对应,在上网行为管理系统上显示对应的用户信息,提高管理效率。 |
与学院现有态势感知平台进行对接,提供佐证材料并在本次项目中完成同步用户账户信息,将认证计费系统的账号与感知平台的IP对应,在系统上显示对应的用户名,提高管理和查询效率。 | |
实现与学院无线准入认证系统数据和账户信息同步,并对原认证系统进行接口升级开发和联动,完成帐号和认证同步管理,无需二次认证即可实现访问外网,要求投标商完成,需提供原认证设备厂家出具同意接口对接程序开发的证明文件,最终实现有线/无线认证帐号信息同步、后台统一管理,无需二次认证即可实现访问外网,用户跨区域认证和无感知漫游服务。 | |
实现与本院统一身份认证系统开发对接,实现账号数据同步。 | |
实现认证系统与短信网关开发对接,访客用户直接通过手机短信接收密码认证方式,以手机号作为账号进行登陆,账号均有有效期,可以自定义。 | |
组网及同步功能 | 需支持与我院现有的认证设备实现双机备份部署方式,部署时无需增加新的心跳线检测端口,通过设备网管口进行心跳检测。 |
虚拟机上网支持集式负载均衡部署方式。 | |
支持多台设备分布式部署和统一管理模式;支持二进二出双链路聚合部署模式。 | |
需支持基于源地址或用户组的策略路由。 | |
需支持VLAN透传。 | |
要求支持L2、L3层转发和路由模式,做为透明模式不用改变网络任何结构和IP。 | |
实现NAT静/动态方式:在以三层路由转发模式工作时,也可以实现NAT功能;地址映射;端口映射;内网路由策略;源地址策略;目标地址策略;NAT功能支持外网多地址映射。 | |
要求能提供DHCP服务功能,并能基于VLAN分配指定DHCP地址池功能;支持与第三方AD、LDAP服务器对接。支持按需同步,按过滤条件同步等特性。 | |
支持与第三方标准RADIUS厂商的RADIUS服务器对接,支持按需同步,按过滤条件同步等特性本身也可提供RADIUS服务。 | |
要求硬件网关与后台RADIUS服务器通讯中断时不影响现有用户认证接入,保证用户利益。 | |
系统管理功能 | 支持专用管理软件、TELNET、SNMP等网管功能。 |
操作员日志功能,将每个操作员的所有操作都记录在案,防止一些非常操作。操作员根据不同的组有不同的操作权限。 | |
管理后台功能必须模块化界面展现,每个模块有独立授权控制功能开启、关闭,保证对单个模块进行定制不影响其他模块功能及系统使用,提供后台独立模块授权管理界面截图,保障系统稳定性。 | |
要求不同级别系统管理员、操作人员能划分不同的权限。 | |
支持多名操作人员同时远程操作;并且管理模块跨平台。 | |
实现主、备服务器的数据自动同步功能。 | |
如今后扩展用户数,要求能在线平滑升级,不影响用户的接入;并根据招标方需求开放数据库接口。 | |
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论