T.C.
TURGUT ÖZAL ÜNİVERSİTESİ
MERKEZİ YÖNETİMLİ
WIRELESS CONTROLLER ve ACCESS POINT SİSTEMİ
LOGLAMA YAZILIMI
MİSAFİR HOTSPOT UYGULAMASI
İHALE TEKNİK ŞARTNAMESİ
OCAK 2014
Bilgi İşlem Daire Başkanlığı
A. PROJENİN UYGULAMA KAPSAMI ve TASARIMI























AMAÇ ve NİHAİ FAYDALAR (Wireless-Hotspot)
Wireless-Kablosuz Network yapısını bütün Üniversite Kampüslerinde aynı standartta
yaygınlaştırmak ve merkezi yönetim ve politikalar uygulaması,
Akademik, İdari Personel yada Öğrencilerin Üniversitemizin hangi kampüsü yada yerleşkesine
giderse gitsin, aynı standartta, aynı SSID ve ayarlarda hiçbir ayar değiştirmeden güçlü sinyal
seviyelerinde Wireless Kablosuz Networkten faydalanabilmesinin sağlanması,
Misafir Kullanıcılar için güvenli ve takip edilebilir bir İnternet imkânı sunma,
Sadece çevreden yetkisiz erişimleri engellemek yerine farklı kullanıcı profillerine göre kimlik
doğrulama ve yetkilendirme, erişimlerin kayıt altına alınması,
Kanuni Yükümlülükler ve Sistemin takibi amaçlı Loglama sistemlerinin kurulması ve diğer
lokasyonlara da uygulanması,
Log çözümünde sadece 5651 sayılı yasa gereksinimleri ile yetinilmemesi,
Herhangi bir adli olay durumunda yasa gereksinimlerini karşılamış olmak sadece yasal cezalardan
kurtaracaktır. Olayı soruşturan Savcı, IP/MAC bilgileri yerine genellikle Kim bu? Sorusunu gündeme
getirecektir. Buna tam cevap verilebilmesi,
Uzak site bağlantılarının sadece MPLS-VPN ağ üzerinden gelen kullanıcılarla sınırlı olmayacağı,
ileride müstakil ADSL bağlantıları (Yurtlar) ile internet erişimleri olan uzak sitelerin gereksinimleri
de karşılanabilmesi,
Bu nedenle, mümkün olduğunca detaylı kayıtların tutulması. Dosya sunucuları, Yazıcı sunucuları,
Veritabanı sunucuları (Öğrenci notları vb.) üzerindeki hareketler de kayıt altına alınması,
Etlik Kampüsteki mevcut sistem ile alternatifleri karşılaştırılarak, bu sistem ile devam yada yeni bir
sisteme geçerek onu yaygınlaştırılması konusunda karar verilmesi,
Sistem değiştirilecek olursa, Etlik Merkez Kampus, Ostim MYO Kampüs ve Gimat Tıp Fak.
Kampüsüne uygulanması,
Hastaneler kampsam dışı tutulması,
Hastaneler için Etlik Merkez Kampüsteki mevcut kullanımdaki HP Controller ve AP ler kullanılması
Etlik Merkeze Kampüste HP MSM 760 Wireless Controller bulunmaktadır. Controller için 80 AP
Lisansı vardır. Kullanımda 50 adet, toplam 60 AP mevcuttur.
Hotspot uygulamasının HP Sistemi üzerinde de çalıştırılması,
Bilgi İşlem Dairesi olarak minimum koşulları sağlayan cihazlardan oluşacak bir Wireless Yapısı için
prolendirme yapılmıştır. Takribi AP sayısı ve büyüme planlaması yapılması,
İhale şartları hazırlanırken Kapsama Alanı ya da Kapasite Planlaması için onay alınıp Firmalardan
Proje Planı revize edilerek tekliflerin verilmesi talep edilmesi,
Loglama da kayıt altına alınması gerekenler
DHCP logları
HTTP erişim logları
Radius Logları (IAS/NPS)
Web Sunucu Erişim Logları
Mail Kayıtları
Yazıcı İşlemleri (Print Server Üzerinden)
Syslog ile ağ cihazları, Linux tabanlı sunucular ve yönetim izleme
Kablosuz ağ altyapılarında projelendirme sırasında şu konulara özellikle dikkat gerekiyor
Kullanıcı yoğunluğu
Bandwidth gereksinimi
RF ortamı, kanal tahsisleri (Çevre etkileri dahil)
Kapsama alanı
Merkezi yönetim
Mevcut BİT altyapısında herhangi bir değişiklik yapılması gerektirmemesi
Çalışmadığı durumlarda sistemin işleyişini etkilememesi
Kullanıcı, Depolama kapasitesi, EPS vb gibi parametrelere bağlı olmayan dolayısı ile kurumumuzla
birlikte büyüyebilmesi,
 Hem ekonomik hem de teknik açıdan kolay genişleyebilen bir sistem kullanılması
Kullanıcılarınızın sadece misafirler olmayacağı, VIP misafirler, günü birlikçiler, rehberler, taşeron
firma temsilcileri harici destek personeli vb farklı kullanıcı profillerinin olacağını, bazı misafirlerin
GSM telefonlarının toplu SMS mesajlarına kapalı olabileceği dikkate alınarak hibrid çözümler
üretilebilmeli,
 SMS ile şifre gönderme yöntemi
 PrePaid Card (Kazı-kazan benzeri, ücretli olması gerekmiyor, 5651 uyumlu tasarlanmış kartlar)
 Mobil cihazların veritabanından doğrulanarak otomatik kablosuz ağ bağlantılarının sağlanması
(Örneğin Active Directory veya IK veritabanı)
 Domain Auth, POP3, LDAP
 Sosyal Medya Kimlik Doğrulama (Facebook, Twitter)
 Erişim sağlayacağınız veri tabanından (örneğin kartlı giriş sistemi vb.) doğrulama gibi farklı
yöntemleri veya bunların kombinasyonları kullanılarak daha detaylı erişim kontrolü ve loglama
imkânı sağlanması,








B. PROJE PLANI
Yerleşke
Etlik
Ostim
Gimat
Hastaneler
Yurtlar
Yerleşke
Etlik
Ostim
Gimat
Hastaneler
Mevcut Controler
1 Controller
80 Lisans Max 200 AP
Yok
Yok
Yok
Yok
Planlanan Controller
1 Controller
Max 250/500 AP
Merkezi veya Dağıtık
Merkezi veya Dağıtık
Yok
Merkezi veya Dağıtık
Mevcut AP
Planlanan AP
60
100
7
1
Yok
10
16
10
Yok
??
Hot Spot
Loglama
Yok
(Firewall Üzerinde Captive Portal)
Yok
Yok
Yok
Itap
(Lisansı bitiyor)
Yok
Yok
Yok
C. KAPSAM
Bu Teknik Şartname; TURGUT ÖZAL ÜNİVERSİTESİ ile ona bağlı bulunan fakülte ve kampüslerde
kullanılmak üzere alınacak
1. …….
2. …….
3. …….
için teknik özelliklere ve diğer ilgili hususlara aittir.

Bu teknik şartnamede …………………………………… bundan böyle sadece “Mal” olarak, Turgut Özal
Üniversitesi ise “İdare” olarak belirtilecekti
D. GENEL HUSUSLAR :
E. KURULUM
Destek anlaşmamız kapsamında Sürat Teknoloji tarafınca yapılacaktır.
F. DESTEK
Destek anlaşmamız kapsamında Sürat Teknoloji tarafınca verilecektir.
G. TEKNİK ÖZELLİKLER
1. KABLOSUZ AĞ MERKEZİ YÖNETİM CİHAZI TEKNİK ÖZELLİKLERİ – 250 AP LISANSLI
1.1. Teklif edilen merkez kablosuz ağ kontrol cihazı ve erişim noktası cihazları aynı üreticiye ait
olmalıdır.
1.2. Teklif edilen kablosuz erişim cihazlarının merkezi yönetimi için kullanılacaktır.
1.3. Cihazın AC güç kaynağı dahili olarak yedeklenebilecektir ve yedekli olarak teklif edilecektir. Yedekli
olarak verilemiyorsa alternatif teklif ile sunulacaktır.
1.4. Cihaz, en az 500 adet lokal erişim noktası cihazını destekleyecek donanım yapısına sahip olacak
şekilde teklif edilecektir.
1.5. Cihaz, en az 250 adet lokal erişim noktası cihazını destekleyecek lisanslama ile teklif edilecektir.
İleride lisans arttırımı ile donanım ilavesi yapılmadan toplamda en az 500 adet lokal erişim
noktası cihazı desteklenebilecektir.
1.6. Kablosuz ağ kontrol cihazı üzerinde 1000BaseT port bulunacaktır. Kablosuz ağ control cihazı
Omurga Anahtara en az 2 adet 1000BaseT port üzerinden bağlanabiliyor olması tercih sebebidir.
1.7. Kablosuz ağ kontrol cihazı üzerinde yönetim amaçlı en az 1 adet Ethernet port ve konsol bağlantısı
için bir adet konsol portu bulunacaktır.
1.8. Cihaz ile, kendisine bağlı olan kablosuz erişim noktalarına güvenlik politikaları uygulanabilmeli,
dinamik ve gerçek zamanlı radyo frekanslarının yönetimi, servis kalitesi (QoS) politikaları ve
kablosuz IPS özellikleri desteklenmelidir.
1.9. Cihaz, RF girişim etkilerine karşı, tespit etme ve önleme özelliklerine sahip olmalıdır.
1.10. Cihaz , erişim noktaları arasında yük paylaşımı yaptırabilmelidir.
1.11. Cihaz ağın durumuna gore, erişim noktalarının RF çıkış gücünü, dinamik ve gerçek zamanlı olarak
ayarlayabilmelidir.
1.12. Eğer bir erişim noktası çalışamaz duruma gelirse, cihaz diğer erişim noktalarında gerekli güç ve RF
değişikliklerini yaparak çalışmayan erişim noktasının alanını kapsayabilmelidir.
1.13. Cihaz IEEE 802.11a, 802.11b, 802.11g ve 802.11n standartlarını destekleyecektir.
1.14. Cihaz üzerinde IEEE 802.1Q desteği olmalıdır.
1.15. IEEE 802.1X standardını desteklemelidir. IEEE 802.1X desteği olmayan istemciler için web tabanlı
yetkilendirme yapabilmelidir.
1.16. Misafir VLAN’a bağlanabilmek için gerekli misafir kimlik bilgileri, yetkilendirilecek yöneticiler
tarafından tanımlanabilmesine olanak sağlayan ayrı bir Web yönetim arayüzü bulunacaktır.
Sistem bu altyapıyı, ek bir donanım veya yazılıma gereksinim olmaksızın destekleyebilmelidir.
1.17. Misafir kullanıcılar için, misafir VLAN’ina erişim sağlamadan önce Web tabanlı yetkilendirme
yapabilmelidir.
1.18. Misafir VLAN’a bağlanacak kullanıcıların tanımlanacak bir web sayfasına yönlendirilmesi
sağlanacaktır.
1.19. WEP, WPA ve WPA2 desteği olmalıdır.
1.20. Kriptolama için AES veya IPSEC desteği olmalıdır.
1.21. Harici bir RADIUS ve/veya TACACS sunucusu üzerinden, kullanıcıların kimlik sorgulamasını
yapabilmelidir. (Kurum LDAP veya RADIUS yapısı ile entegre edilecektir).
1.22. Rogue (sahtekar, kötü niyetli) Erişim Noktalarını tespit edebilmelidir ve hangi erişm noktasından
ne kadar sinyal duyulduğunu gösterebilmelidir.
1.23. SNMP ile yönetilebilmesi tercih sebebidir.
1.24. Kablosuz ağ kontrol cihazı, uzak bölgelerde bulunan erişim noktalarını yönetebilmelidir.
1.25. Teklif edilen kablosuz ağ kontrol cihazı ve erişim noktaları, uzak bölgelerde bulunan kullanıcıların,
birbirleri arasındaki trafiği, merkez kablosuz ağ kontrol cihazına taşımadan yerel olarak
anahtarlanmasını sağlamak için, “local switching” (H-Reap.. vb) protokollerinden en az birini
desteklemelidir. Aynı zamanda uzak bölgede bulunan erişim noktaları ile merkez kablosuz ağ
kontrol cihazının bağlantısı kesildiğinde, erişim noktaları, yerel alan ağına hizmet vermeye
devam edebilmelidir. Desteklenen protokol belirtilecektir.
1.26. Şartname maddelerinde bulunmayan ekstra özellikler karşılaştırma tablosunda gösterilmelidir.
2. KABLOSUZ AĞ CİHAZLARI TEKNİK ÖZELLİKLERİ
Tek bir model önerilecek şekilde hazırlanmıştır.
Farklı modeller için Site Survey mantığı ile üretici firma madde 2.5 i temel alarak öneride
bulunabilecektir.
2.1. Cihaz IEEE 802.11a/b/g, IEEE 802.11n, IEEE 802.11h, IEEE 802.11d standartlarını desteklemelidir.
2.2. Cihaz, hızlı roaming özelliklerine sahip olmalıdır.
2.3. Cihazın kablo ağına bağlanması için IEEE 802.3 10/100/1000 Base-T standardında Ethernet portu
bulunmalıdır.
2.4. Kablosuz erişim cihazı, ETSI standartlarında 13(onüç) adet çalışma kanalını desteklemelidir. 3(üç)
adet kablosuz erişim cihazı aynı ortamda yan yana frekans örtüşmesi olmadan çalışabilmelidir.
2.5. Cihaz en az 802.11n standardını ve en az 3x3 MIMO (multiple-input multiple-output) özelliğini
desteklemelidir.
2.6. Teklif edilen kablosuz erişim cihazı 2.4Ghz ve 5Ghz frekans bandından yayın yapabilecek en az
2(iki) adet radio ya sahip olmalıdır. Kablosuz erişim cihazı 2.4Ghz ve 5Ghz destekleyen
istemcilerle haberleşirken 5Ghz ile bağlanmalıdır, kablosuz yönetim modülü veya erişim noktası
istemciyi yönlendirebilmelidir.
2.7. Cihaz konfigürasyon ile 20 ve 40-MHz kanallarda haberleşmeye ayarlanabilmeli ve tek bir
istemciyle 450Mbps a kadar veri iletişimine imkan verebilmelidir. AP’nın en az 3(üç) adet spatial
stream desteği bulunacaktır.
2.8. Cihaz 802.11i, Wi-Fi Protected Access 2 (WPA2), WPA, 802.1X, Advanced Encryption Standards
(AES), Temporal Key Integrity Protocol (TKIP) güvenlik protokollerini desteklemelidir.
2.9. Cihaz aşağıdaki EAP tiplerini desteklemelidir
 Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)
 EAP-Tunneled TLS (TTLS) yada Microsoft Challenge Handshake Authentication Protocol Version 2
(MSCHAPv2)
Protected EAP (PEAP) v0 veya EAP-MSCHAPv2
Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST)
PEAPv1 or EAP-Generic Token Card (GTC) (Tercih sebebidir.)
EAP-Subscriber Identity Module (SIM) (Tercih sebebidir.)
2.10.
2.11.
2.12.
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
2.19.




Cihaz yetkilendirme için, idare tarafından kullanılmakta olan Microsoft Domain Controller ve
Radius sunucuları ile uyumlu çalışabilmelidir. Cihazın özel bir Radius sunucuya (donanım ve
yazılım) ihtiyaç duyması halinde bu firma tarafından ücretsiz olarak sağlanacaktır.
Cihaz IEEE 802.3af (Power over Ethernet) protokolü ile UTP kablo üzerinden de beslenebilmelidir.
Cihaz harici bir güç kaynağından da beslenebilmesi tercih sebebidir.
Cihaz üzerinde 2.4 GHz ve 5 GHz bandında çalışan en az 3(üç) adet ve 4.0 dBi kazançlı, yayın
yapabilen antenler olmalıdır.
Cihaz üzerinde IEEE 802.1Q VLAN tagging (VLAN trunking) desteği bulunmalıdır.
Cihaz üzerinde en az 16 adet VLAN (Virtual LAN) tanımlanabilmelidir.
Cihaz üzerinde en az 16 adet SSID (service set identifier) tanımlanabilmeli ve her VLAN için farklı
SSID tahsis edilebilmelidir.
Cihaz, IEEE 802.1 1p veya 802.11e QoS kalitelendirme ve önceliklendirme standartlarını
desteklemelidir.
Cihaz: DHCP, BOOTP desteğine sahip olmalıdır. SNMP v1, v2, v3 desteğinin de olması tercih
sebebidir.
Cihaz, tekrarlayıcı (repeater, mesh) özelliğini desteklemeli ve başka bir erişim noktası ile
kablosuz olarak haberleşebilmesi tercih sebebidir.
Cihaz. MAC adresi, IP adresi, IP protokolü bazında filtreleme yapabilmelidir.
2.20. Cihazı yönetmek/ konfîgüre etmek isteyen kişiler Radius sorgulama protokolü tarafından
sorgulanabilmelidirler.
2.21. Cihaz, kendisine bağlı (associated) cihazları anlık olarak listeleyebilmelidir.
2.22. Cihazın syslog desteği olmalıdır.
2.23. Cihaz üzerinde cihazın durumunu, ethernet bağlantısının durumuna ve aktivitesini gösteren
LED/ler bulunmalıdır.
2.24. Cihazın duvara, tavana ya da masa üstüne monte edilmesini sağlayan kitler birlikte
verilecektir.
2.25. Cihaz, kilitlenebilmeli ve monte edildiği yerden hırsızlık vb. nedenlerle sökülmesi
engellenebilmelidir.
2.26. Cihaz, kablosuz ağ üzerindeki diğer cihazları öğrenme (neighbour learning) özelliğine sahip
olmalıdır.
2.27. Cihaz, saat ve tarih bilgisini, ağ üzerindeki diğer tüm cihazlarla senkron hale getirilebilmek
amacıyla SNTP (Simple Network Time Protokol) veya NTP (Network Time Protokol)
desteklemelidir.
2.28. Teklif edilen erişim noktalarının tamamının tek bir noktadan yönetilmesini sağlayacak bir kontrol
sistemi bütünleşik yada ayrı olarak bulunmalı.
2.29. Merkezi kontrol sistemi, önerilen cihazları sorunsuz olarak desteklemelidir.
Kontrol sistemi ve cihazlar, aynı üreticinin ürünü olmalıdırlar.
2.30. Kontrol sistemine web browser ve SSL ile güvenli olarak erişilebilmelidir.
2.31. Cihazın çevre sıcaklığı, 0 ºC / +40 ºC arasında olmalıdır. %10 / %90 nem aralığında
çalışabilmelidir.
2.32. Erişim cihazı, merkezi kontrol sistemi ile birlikte, ağdaki cihazların miktar ve yerlerinin
belirlenmesi için, keşif (site survey) özellikleri içermeli ve saha keşfi için gerekli süreyi en aza
indirebilmelidir. Bu özellik ile, cihazların frekans kanalı ve çıkış gücü gibi parametreleri otomatik
olarak belirlenebilmelidir. Sistem, periyodik olarak yeni keşifler yapmalı, son duruma göre kanal,
güç vb. parametrelerde yapılması gereken değişiklikler hakkında uyarı gönderebilmelidir ve
uygulayabimelidir.
2.33. Teklif edilecek cihazların tamamı ihale tarihinde üreticinin web sayfasında
yayınlanmış olmalıdır ve end of sale (üretimi bitmiş) ürünler kesinlikle teklif
edilmemelidir.
2.34. Teklif edilen cihazların plenum rated olması tercih sebebidir.
2.35. Şartname maddelerinde bulunmayan ekstra özellikler karşılaştırma tablosunda gösterilmelidir
3. DIŞ ORTAM KABLOSUZ AĞ CİHAZI (AP) (XX Adet)
3.1. AP, Dış ortam şartlarında çalışacaktır.
3.2. AP çift radyolu olmalı ve ETSI standartlarında 2.4 GHz ve 5 GHz frekans bandında çalışacak, çift
bantlı antenleri destekleyecektir.
3.3. AP, merkezi kablosuz ağ kontrol cihazı tarafından yönetilecektir.
3.4. AP, ETSI standartlarında 13 (on üç) adet çalışma kanalını destekleyecektir ve 3 (üç) adet kablosuz
erişim noktası aynı ortamda yan yana frekans örtüşmesi olmadan çalışacaktır
3.5. AP, IEEE 802.11n, IEEE802.11a, IEEE 802.11b ve IEEE 802.11g standartlarını tam uyumlu olarak aynı
anda destekleyecektir.
3.6. AP, IEEE 802.11n için, en az 3x3 multiple-input multiple-output (MIMO), 802.11 dynamic frequency
selection (DFS), ve 20 ve 40 MHz kanallarını destekleyecektir.
3.7. AP’nın en az 3 adet spatial stream desteği bulunacaktır.
3.8. AP üzerinde en az 1 adet 10/100/1000BaseT portu (RJ-45) bulunacaktır.
3.9. AP üzerinde 1 adet lokal yönetim amaçlı Ethernet veya RS-232 Serial Port aracılığıyla
yapılabimelidir. (Tercih Sebebidir)
3.10. AP’nin çıkış gücü (transmit power), ETSI standartlarına uygun olarak ayarlanacaktır.
3.11. AP üzerinde, 2.4 Ghz bandı için en az 2 dBi ve 5 Ghz bandı için en az 4 dBi kazanca sahip entegre
antenler bulunacaktır.
3.12. AP, MESH teknolojisini destekleyecektir.
3.13. Kablosuz erişim noktası, Wi-Fi Protected Access (WPA) ve WPA2 sertifikasyon yöntemlerini
destekleyecektir. WPA için TKIP (temporal key integrity protocol) ve WPA2 için AES (advanced
encryption standart) şifreleme desteği bulunacaktır.
3.14. AP, IEEE 802.1x authentication desteğine sahip olacaktır.
3.15. AP, IEEE 802.11i güvenlik standardını destekleyecektir.
3.16. AP, 802.11a/b/g/n Wi-Fi sertifikalı bir ürün olmalı ve www.wi-fi.org üzerinde şirket logosu ile
belirtilmiş olması gerekmektedir.
3.17. AP’nın duvara ya da aydınlatma direklerine monte edilmesini sağlayan kitler birlikte verilecektir.
3.18. AP -30°C / +55°C çevre ısısı arasında çalışacaktır.
3.19. AP herhangi bir enterferans tespit ettiğinde kullanıcıların çalışma kanallarını değiştirebilecektir.
3.20. AP, kullanıcı cihazlarında özel bir destek/özellik ihtiyacı duymadan bütün 802.11
kullanıcılarının (802.11abgn) performansını artırmak için beamforming yapabilecektir. (Tercih
Sebebidir)
3.21. AP tasarımı dış etkenlerden etkilenmemesi için IP67 ve NEMA type 4x standartlarını
sağlayacaktır.
3.22. AP, multicast trafiğini optimize edebilecektir. Broadcast/multicast yayınların kullanıcılar
tarafından hatasız alınamaması durumuna karşın yayın kalitesinin düşmesini engelleyici özellikleri
destekleyecektir.
3.23. AP arkasında birden fazla multicast kullanıcısı olması durumunda, aynı yayının sadece bir
kopyasını alarak ağ üzerindeki yükü hafifletebilmeli ve gelen yayını kendisi çoklyarak kablosuz
kullanıcılara iletebilmelidir.
3.24. Şartname maddelerinde bulunmayan ekstra özellikler karşılaştırma tablosunda gösterilmelidir.
4. MEVCUT AĞ MİMARİ YAPISI
4.1. Turgut Özal Üniversitesi ve bağlısı birimler MPLS ağ ile merkezden internet’e çıkış yapmaktadırlar.
4.2. Merkezdeki firewall ile internet erişimleri kontrol altına alınmaktadır.
4.3. Her bir yerleşke kendi içinde farklı kullanıcı profilleri için farklı VLAN’lara bölünmüştür.
4.4. Yerleşke Bazında Kullanıcı Sayıları aşağıda belirtilmiştir.
Yerleşke
Etlik (TOU Merkez)
OSTİM MYO
GİMAT TIP
Öğrenci Yurdu
Beştepe
Hoşdere
Demetevler
Personel Öğrenci
Misafir
1000
1000
500
100
100
100
xxx
xxx
400
100
100
100
100
100
4.5. Beştepe internet erişimine ayrı bir hat üzerinden çıkış yaparken, diğer yerleşkeler ise merkez
Etlik’den çıkış yapacaklardır.
Toplamda Beştepe Hastahane İnternet çıkışı için ihtiyaç duyulan kullanıcı bilgisi:
Misafir
: 300 kullanıcı
Personel/Öğrenci
: 600 Kullanıcı
Toplamda Merkez Lokasyon üzerinden internet çıkışı için ihtiyaç duyulan kullanıcı bilgisi:
Misafir
: 300 Kullanıcı
Personel/Öğrenci
: 2500 Kullanıcı
5. İNTERNET GÜVENLİK 5651 SAYILI YASA GEREKSİNİMİ LOGLAMA ÇÖZÜMÜ TEKNİK ÖZELLİKLERİ
5.1. Önerilen çözüm Turgut Özal Üniversitesinin tüm yerleşkelerinin hem personel hemde misafir
ağlarında merkezi olarak 5651 sayılı yasanın karşılanmasını sağlamalıdır.
5.2. Log/Raporlama Sistemi, 5651 sayılı kanunun uygulanmasına yönelik ‘Internet Toplu Kullanım ve
Yer Sağlayıcıları Hakkında Yönetmelik’ kapsamında, Log kayıtlarının doğruluğunu ve bütünlüğünü
kendi üzerinde sağlamalı veya TİB tarafından bu maksatla geliştirilen “IP Log İmzalayıcı” yazılımı
ile entegre olarak çalışarak Log kayıtlarının doğruluk ve bütünlüğünü teyid etmelidir.
5.3. Çözüm, TOU bünyesinde tüm yerleşkeleri de kapsayacak şekilde aşağıda belirtilen log toplayacıları
sağlayacaktır.
a. Kullanıcı HTTP logları
b. Kullanıcı DHCP logları
c. Kullanıcı IAS/NPS Logları
d. Web server erişim logları
e. E-Posta Trafik logları
f. Misafir ağı hotspot HTTP, DHCP ve Oturum açma/kapama logları
5.4. Network Güvenlik Sistemi ile birlikte, kapsamlı logları tutabilecek ve raporlama yapabilecek bir
harici Log tutma/Raporlama çözümü teklif edilmelidir.
5.5. Log Tutma çözümü yazılım ve raporlama çözümünü komple sunacak bir çözüm olmalıdır ve ilave
donanım, işletim sistemi veya yazılım gerektirmemelidir. Log/Raporlama çözümü için yazılım
teklif edilirse, yazılımın sanal platform üzerinden çalışabilmelidir. Teklif edilen çözüm donanım, ile
bütünleşik olması şartı var ise bildirilmeli ve ayrıca teklif edilmelidir.
5.6. Teklif edilen Log/Raporlama Sistemi donanım ile bütünleşik ise üzerinde yedekli güç kaynağı
bulunmalıdır.
5.7. Log/Raporlama Sistemi, log kayıtlarını ftp veya benzer bir protokolle harici bir Sunucu veya
Depolama alanı üzerinde yedekleme yapıp arşivleyerek log yedekliliği sağlayabilmelidir.
5.8. Teklif edilen Log/Raporlama Sistemi donanım ile bütünleşik ise en az 3(üç) yıl donanım garantisi
olmalıdır ve bu süre boyunca donanım garantisini gösteren üretici lisans/kontrat’ları sistemle
birlikte verilmelidir. Log/Raporlama Sisteminin 3 yıl süre ile Yazılım/Firmware güncellemelerini
yapacak lisanslar sistemle birlikte verilmelidir ve servis ve güncellemeleri bu süre boyunca
sağlanmalıdır.
5.9. Uzak sitelerde sunucu konumlandırılmadan tüm birimlere ait internet erişim kayıtlarının merkezi
veri tabanında saklanması sağlanmalıdır.
5.10. Hotspot cihazları tarafından gönderilen DHCP, HTTP ve Oturum açma/kapama log bilgileri
işlenerek her alanı üzerinde sorgu/rapor çalıştırılabilecek yapıda tutulacaktır.
5.11. Loglama çözümü için kurulum sonrası log kaçırmasına karşı belir bir süre testi yapılacaktır.
Hatalarının düzeltilmesi üretici firma tarafından garanti edilecektir.
6.
HOTSPOT (Misafir Kimlik Doğrulama) ÇÖZÜMÜ TEKNİK ÖZELLİKLERİ
6.1. Kullanıcıların interneti kullanabilmesi veya ağa bağlanabilmesi için yetkilendirilmesi yapılabilmelidir.
6.2. Kullanıcılara verilecek kullanıcı adı ve şifre ile belirlenen ay/yıl/gün/saat/dakika cinsinden süre
zarfında interneti kullanabilmeli veya kablosuz ağa dahil olabilmeleri sağlanmalıdır. Kullanıcı veya
bağlantı sayısı sınırlaması yapılabilmelidir.
6.3. Zaman aralığında sınırlama yapılabilmelidir.
6.4. MAC veya IP tanımla ile Özel kullanıcı tanımlayabilme ve tanımlamadan çıkarabilme olmalıdır.
6.5. Kablosuz Ağ – Yerel Ağ izolasyonu sağlanabilmelidir.
6.6. Kimlik doğrulama sayfaları, format ve içerik olarak tamamen özelleştirilebilir yapıda olacak.
6.7. Active Directory ile tam entegrasyon sağlanabilmelidir. Öğrencilerin veritabanındaki mevcut
bilgileri kullanılarak kullanıcı adı TC Kimlik numarası veya Pasaport numarası, kendisine özel şifre
olacak şekilde sisteme giriş yapabileceklerdir. Karşılama sayfalarında girilen bu bilgiler TOU
tarafından sağlanacak web servisleri kullanılarak veritabanından doğrulanmasından sonra erişime
izin verilecektir.
6.8. SMS ile kimlik doğrulama yapabilmelidir.
6.9. Kullanıcıların şifre unutmalarına karşı şifre resetleme özelliği olmalıdır.
6.10. Toplu kullanıcı açılabilmelidir.
6.11. Otomatik kayıt olma seçeneklerinde hesap süresi tanımlayabilmelidir.
6.12. Genel bant genişliği tanımlayabilmelidir.
6.13. Bilet tanımlaması ile süreli hesaplar açılabilmelidir.
6.14. Tek bir ağ ile değil farklı ağlar ile de çalışabilmelidir.
6.15. Oracle, MsSQL, MySQL veri tabanları ile entegrasyon sağlayabilmelidir.
6.16. Kota limitleri ile günlük, aylık ve yıllık kullanıcı başına limit belirleyebilmelidir.
6.17. Kullanıcı kayıt işleminde yöneticiye bilgilendirme ya da onay maili gönderebilmelidir.
6.18. Kullanıcı kayıt işleminde Active Directory ile entegre olarak sistem yöneticisi onayı ile
yapılabilmeli ve kayıt işlemi için sistem yöneticisine mail gönderebilmelidir. (Tercih edilir)
6.19. Sistem yönetici onayında mail ile onaylama linki gönderebilmeli ve onaylama işleminden sonra
kullanıcıya SMS ile bilgilendirme yapabilmelidir. (Tercih edilir)
6.20. Sistem yöneticisi tarafından onay verilmediği durumda kullanıcı internete girememelidir.
H. TEKLİFLENDİRME FORMATI
WİRLESS CONTROLLER ve ACCESS POINT
Controller
Lokasyon
Marka
Model-1
Model-2
Lisans
Model-1
Model-2
(Controller)
(AP)
Model-3
AP
Model-1
Etlik YeniKampüs
Etlik
Ostim
Gimat
Varlık (Erk.Öğr)
Batıkent (Kız.Öğr)
Diğer (Öğr.Yurdu)
Yedek
Adet
Model-2
Adet
Model-3 Adet
Model-4
Adet
(Outdoor)
100
15
10
X
X
X
123
TOPLAM
1
1
2
250
250
Uygun modelleri için adetlere göre birim ve toplam fiyatlar yazılacaktır.
Teklif Edilen Model
Adet
Birim Fiyat
Toplam Tutar
LOGLAMA VE HOTSPOT
Loglama
PC
Sayısı
Lokasyon
Etlik YeniKampüs
Etlik
Ostim
Gimat
Beştepe
Hoşdere
Demetevler
Varlık (Erk.Öğr)
Batıkent (Kız.Öğr)
Diğer (Öğr.Yurdu)
Yedek
DHCP
Logları
HTTP
Erişim logları
√
√
√
√
√
√
√
√
√
√
√
TOPLAM
√ işaretli olan kısımlar fiyat teklifleri yazılacaktır.
√
√
√
√
√
√
√
√
√
√
√
Web Sunucu
Erişim Logları
√
√
√
√
√
Mail Kayıtları
√
Yazıcı İşlemleri
Radius Logları
Print Server
IAS/NPS
Üzerinden
√
√
√
Hotspot
Syslog ile ağ cihazları
Linux tabanlı sunucular Kullanıcı
ve yönetim izleme
√
√
√
√
√
√
√
√
√
√
√
√
İ. KARŞILAŞTIRMA TABLOSU
Wireless Controller
ÜRETİCİ FİRMA
MODEL
Wireless IEEE Standards
Maximum AP licenses
supported
Encryption and Key
Management
High Performance
High Availability - Redundant
power module standard
Interfaces
(AAA)
Authentication,
Authorization, and
Accounting
Office Extend
Comprehensive End-to-End
Security
AÇIKLAMA
DESTEĞİ
VAR MI
IEEE 802.11a, 802.11b, 802.11g, 802.11d, WMM/802.11e,
802.11h, 802.11k, 802.11n, 802.11r, 802.11u,
802.11w, 802.11ac.
256
WEP and TKIP-MIC: RC4 40, 104 and 128 bits (both static and
shared keys)
• AES: CBC, CCM, CCMP
• DES: DES-CBC, 3DES
• SSL and TLS: RC4 128-bit and RSA 1024- and 2048-bit
• DTLS: AES-CBC
• IPSec: DES-CBC, 3DES, AES-CBC
Wired speed, nonblocking performance for 802.11n networks
An optional redundant power supply that helps to ensure
maximum availability
IEEE 802.3 10BASE-T, IEEE 802.3u 100BASE-TX specification,
1000BASE-T. 1000BASE-SX,
1000-BASE-LH,
EEE 802.1X
• RFC 2548 Microsoft Vendor-Specific RADIUS Attributes
• RFC 2716 PPP EAP-TLS
• RFC 2865 RADIUS Authentication
• RFC 2866 RADIUS Accounting
• RFC 2867 RADIUS Tunnel Accounting
• RFC 2869 RADIUS Extensions
• RFC 3576 Dynamic Authorization Extensions to RADIUS
• RFC 3579 RADIUS Support for EAP
• RFC 3580 IEEE 802.1X RADIUS Guidelines
• RFC 3748 Extensible Authentication Protocol
• Web-based authentication
• TACACS support for management users
• Supports corporate wireless service for mobile and remote
workers with secure wired
tunnels to the Cisco Aironet® 1130 or 1140 Series Access Points
• Extends the corporate network to remote locations with
minimal setup and maintenance
requirements (zero-touch deployment)
• Improves productivity and collaboration at remote site
locations
• Separate SSID tunnels allow both corporate and personal
Internet access
• Reduced CO2 emissions from decrease in commuting
• Higher employee job satisfaction from ability to work at home
• Improves business resiliency by providing continuous, secure
connectivity
in the event of disasters, pandemics, or inclement weather
Offers control and provisioning of wireless access points
(CAPWAP)-compliant DTLS encryption to help ensure
full-line-rate encryption between access points and controllers
across remote WAN/LAN links
Evet
ALTERNATİFİ
VAR MI?
Remote Access Points (max)
Enterprise Wireless Mesh
End-to-End Voice
VLAN Pooling
High Performance Video
Users (max)2
VLAN IP interfaces
Management and Control
MAC addresses
HA Lisans
Virtual Cluster
Link aggregation groups
(static 802.3ad)
LAN Ports
Managed AP Discovery
Controller
Dynamic channel assignment
Wireless Mesh
Link aggregation (LAG) IEEE
802.3ad LAN Port
SNMP Management
512
8192
512
Command Line Interface (Console serial port, telnet, SSHv2)
WebView web access (https)
SNMP v1, v2, v3, Syslog support for system monitoring
64000
Evet
10/100/1000 BaseT , 1GbE
DHCP Option/DNS
Evet
Wireless Access Point
ÜRETİCİ FİRMA
Location ( Indoor / Outdoor )
Radios (Single / Dual)
MODEL
AÇIKLAMA
DESTEĞİ
VAR MI
Indoor
Dual with 802.11a/n (5 GHz)
and 802.11b/g/n (2.4 GHz)
concurrent operation
Internal omni-directional antennas
MIMO: (radio transmit and # radio receive chains)
3x3:3SS
Packet aggregation (A-MPDU, A-MSDU)
Maximal Ratio Combining (MRC) for increasing AP receiver
performance
Cyclic Delay Diversity (CDD) for improved downlink performance
Number of spatial streams
3
20 MHz and 40 MHz channels
Bridging and Mesh support
PHY Data Rates per Radio
up to 300 Mbps
Outage resiliency planning for
RF Management
RF auto-tuning using Juniper
Networks RingMaster
Spatial Streaming
IEEE 802.3af (Power over Ethernet)
Quality of Service QoS (IEEE 802.1 1p veya 802.11e )
DHCP, BOOTP, SNMP v1, v2, v3
Syslog
Beamforming (IEEE 802.11abgn)
Evet
Evet
Evet
Evet
Evet
Evet
ALTERNATİFİ
VAR MI?
Loglama
ÜRETİCİ FİRMA
MODEL
5651 saylı kanuna uygunluk
Yedekli güç kaynağı
LOG TOPLAYICILAR:
a. Kullanıcı HTTP logları
b. Kullanıcı DHCP logları
c. Kullanıcı IAS/NPS Logları
d. Web server erişim logları
e. E-Posta Trafik logları
f. Misafir ağı hotspot HTTP, DHCP ve Oturum açma/kapama logları
Uzak sitelerden logların alınması
Log kayıtlarının yedeklenebilmesi
Farklı kaynaklardan alınan logların ilişkilendirilebilmesi
Belirli bir zaman aralığı ve verilen parametrelere göre sorgu yapılabilmesi
Arayüze rol bazlı erişim
loglara ait istatistiki bilgiler ve alarm bilgilerinin görüntülenmesi
Ajanssız log toplayabilme
Syslog,Snmp,Snmp Trap,dosya paylaşımı ftp ile log toplayabilme
Uzak lokasyonlarda yer alan log kaynaklarından log tarnsferi sırasında
güvenli/şifreli iletişim kurabilme
Logların sıkıştırılıp olarak tutulabilmesi
İlişkilendirme tanımlamada mantıksal işlevler kullanabilme
Özel amaçlı rapor oluşturulup tanımlanan kişilere mail gönderilebilmesi
Logların içeriğine bağlı olarak alarm tanımı yapılabilmesi
Tanımlı log kaynaklarına erişim kaybolduğunda alarm üretilmesi
Yazılım güncellemeleri sırasında logların silinmemesi
Alarm mekanizması ve ön tanımlı kişilere mail veya sms ile alarmların
gönderilmesi
Log kayıtlarının değişmezliğinin garanti altına alınması
Arayüzü kullanan kullanıcıların yapmış olduğu işlemlerin değiştirilemez olarak
loglanabilmesi
Çözümün Kutu(Appliance) Olarak Sunulması
Çözümün Yazılım Olarak Sunulması
Platform Bağımsız Ajan Mimarisi
Sunuculardan Ajansız Log Toplama Yeteneği
Web Tabanlı Bütünleşik Yönetim ve Raporlama Altyapısı
Dağıtık Veritabanları Kullanabilme Yeteneği
Platform Bağımsız Tüm Sistemlerden Ajan Program Olmadan Log Toplama
Yeteneği
Farklı Logların Belirli Bir Zaman Akışına Göre İstenildiği Gibi Tek Bir Ekranda
Birleştirilmesi
Bütünleşik Sayma Korelasyonu
Bütünleşik ve Korelasyonu Altyapısı
Log Trend Analizi Korelasyonu Altyapısı
Logların Ortak Değerlere Göre Normalize Edilmesi
Olay Yönetim Modülü
Çözüm Ağacı Oluşturma Yeteneği
Olaylara Servis Seviyesi Atayabilme Yeteneği
Global Intelligence Network
Log İmzalama Yeteneği
Açık SDK Altyapısı
Ajan Kurulumu İçin Bütünleşik Kurulum Altyapısı
Büyük Sistemlerde Ajan Dosyası Replikasyon Sistemi
AÇIKLAMA
DESTEĞİ
VAR MI
ALTERNATİFİ
VAR MI?
Kullanıcı Bilgisayarı Seviyesinde Log Toplama Yeteneği
Ağ Tarama Modülü
Envanter Yönetim Modülü
Şifre Yönetim Modülü
USB Takip Modülü
Paylaşım Takip Modülü
Yönetim Ara yüzünde Kişiselleştirilebilir Gösterge Paneli
Yatay Genişleyebilir Mimari
Bütünleşik Veri Arşivleme Altyapısı
Gelişmiş Saldırı Analizi
Veri Özetleme Yeteneği
Hotspot
ÜRETİCİ FİRMA
MODEL
Özelleştirilebilir karşılama ekranı tanımlayabilme
Yerel kullanıcı hesapları belirleyebilme
Zaman tanımlaması ile hesabın geçerlilik süresini belirleyebilme
SMS ile kayıt olabilme, kullanıcı adı ve şifre gönderebilme
Grup adı belirterek toplu kullanıcı açabilme)
TC Kimlik No doğrulama ile otomatik kayıt olabilme
Otomatik kayıt olma seçeneklerinde hesap süresi tanımlayabilme
Radius Sunucu ile entegrasyon
İzinli Mac ve IP adresi tanımlaması ile parolasız çıkışa izin verilebilme
İzinli Mac ve IP adresi tanımlamasında bant genişliği belirtebilme
Kota limitleri ile günlük, aylık ve yıllık kullanıcı başına limit belirleyebilme
Bilet tanımlaması ile süreli hesaplar açabilme
Tek bir ağ ile değil farklı ağlar ile de çalışabilme
Kullanıcı ve Grup bazlı kısıtlamalar oluşturabilme
İnteraktif SMS ile SMS ücretinin müşteriye yansıtılarak internet erişimi
sağlanması
Tüm Mobil cihazlar ile uyumlu ara yüz
Oracle, MySQL, MsSQL ve Access veri tabanları ile entegrasyon sağlayabilme
Kullanıcı kayıt işleminde yöneticiye bilgilendirme ya da onay maili
gönderebilme
Kullanıcı kayıt işleminde Active Directory ile entegre olarak sistem yöneticisi
onayı ile yapılabilme
Sistem yönetici onayında mail ile onaylama linki gönderebilmeli ve onaylama
işleminden sonra kullanıcıya SMS ile bilgilendirme yapabilmelidir.
AÇIKLAMA
DESTEĞİ
VAR MI
ALTERNATİFİ
VAR MI?
Download

İndir - Turgut Özal Üniversitesi