Część B SIWZ_opis techniczny cz. V

WOJEWÓDZTWO PODKARPACKIE
Projekt współfinansowany ze środków Unii Europejskiej
z Europejskiego Funduszu Rozwoju Regionalnego oraz budŜetu Państwa
w ramach Regionalnego Programu Operacyjnego Województwa Podkarpackiego na lata 2007-2013
Część B SIWZ – Cześć V
Opis przedmiotu zamówienia
Spis treści
1. Przedmiot zamówienia – informacje ogólne ....................................................................... 2
2. Dane techniczne urządzeń - wymagania ........................................................................... 2
2.1. Router BGP - 2 szt. ..................................................................................................... 2
2.2. Router typ 2 - 7 szt...................................................................................................... 4
3. Warunki dostawy ............................................................................................................... 5
1. Przedmiot zamówienia – informacje ogólne
W ramach zamówienia w części V zostanie zakupiony i dostarczony:
1. Router BGP - 2 szt.
2. Router sieciowy typ 2 - 7 szt.
Wykonawca dostarczy sprzęt.
Miejsce dostawy ww. sprzętu: Podkarpacki Urząd Wojewódzki w Rzeszowie.
ul. Grunwaldzka 15
2. Dane techniczne urządzeń - wymagania
2.1. Router BGP - 2 szt.
Router klasy enterpise
•
Ruter musi być dostarczany jako dedykowane urządzenie sieciowe maksymalnie 2 U,
przystosowane do montaŜu w szafie rack.
•
Wydajność urządzenia nie moŜe być niŜsza od 500 Mb/s dla ruchu IMIX.
•
Architektura systemu operacyjnego rutera musi posiadać budowę modułową (moduły
muszą działać w odseparowanych obszarach pamięci), m.in. moduł rutingu IP,
odpowiedzialny za ustalenie tras rutingu i zarządzanie urządzenia musi być
oddzielony od modułu przekazywania pakietów, odpowiedzialnego za przełączanie
pakietów pomiędzy segmentami sieci obsługiwanymi przez urządzenie.
•
Ruter musi realizować zadania Stateful Firewall z mechanizmami ochrony przed
atakami DoS, wykonując kontrolę na poziomie sieci oraz aplikacji pomiędzy nie mniej
niŜ 40 strefami bezpieczeństwa z wydajnością nie mniejszą niŜ 500 Mb/s.
•
Ruter musi zestawiać zabezpieczone kryptograficznie tunele VPN w oparciu
o standardy IPSec i IKE w konfiguracji site-to-site oraz client-to-site. Ruter musi
posiadać sprzętową akcelerację IPSec.
OA-XVI.272.4.2013
Str. 2 z 5
•
Urządzenie musi być wyposaŜone w nie mniej niŜ cztery wbudowane interfejsy
Ethernet 10/100/1000 (gotowe do uŜycia bez konieczności zakupu dodatkowych
modułów i licencji) oraz minimalnie 3 slotów na dodatkowe karty z modułami
interfejsów.
•
Urządzenie musi zapewniać rozbudowę o co najmniej 16 dodatkowych interfejsów
sieciowych (dobieralnych spośród Fast Ethernet, Gigabit Ethernet).
•
Wraz z urządzeniem musi być dostarczony kabel RS-232 do podłączenia konsoli.
•
Urządzenie musi posiadać minimum 2 GB pamięci operacyjnej (DRAM).
•
Urządzenie musi posiadać minimum 1 GB pamięci Flash.
•
Zarządzania urządzenia musi odbywać się za pomocą graficznej konsoli Web GUI
oraz z wiersza linii poleceń (CLI) poprzez port szeregowy oraz protokoły telnet i SSH.
•
Urządzenie musi obsługiwać protokoły dostępowe warstwy 2 OSI co najmniej:
Ethernet (z obsługą sieci VLAN poprzez tagowanie zgodne z 802.1q). Urządzenie
musi obsługiwać protokoły dynamicznego rutingu: RIP(v.1 oraz v.2), IS-IS, OSPF
oraz BGP. Urządzenie musi obsługiwać nie mniej niŜ 6 peer-ów BGP i nie mniej niŜ
400 000 prefiksów BGP.
•
Urządzenie musi posiadać moŜliwość uruchomienia funkcji analizy i rozliczania
transmisji danych (Network Accounting) oraz protokołu dynamicznego rutingu BGP
w zakresie stosowania Route Reflectors oraz Confederations. Funkcjonalność ta
powinna być zapewniona w dostarczonym rozwiązaniu bez konieczności zakupu
dodatkowych licencji ze strony zamawiającego.
•
Urządzenie musi posiadać mechanizmy priorytetyzowania i zarządzania ruchem
sieciowym QoS – wygładzanie (shaping) oraz obcinanie (policing) ruchu. Mapowanie
ruchu do kolejek wyjściowych musi odbywać się na podstawie wartości DSCP, IP
ToS, 802.1P, MPLS EXP oraz parametrów z nagłówków TCP i UDP. Urządzenie
musi obsługiwać nie mniej niŜ 8 kolejek na kaŜdy interfejs logiczny. Administratorzy
muszą
mieć
do
dyspozycji
mechanizm
szybkiego
odtwarzania
systemu
i przywracania konfiguracji.
•
Pomoc techniczna dla sprzętu musi być realizowana w języku polskim.
•
Całość dostarczonego sprzętu musi być objęta gwarancją opartą o świadczenia
gwarancyjne producenta sprzętu, niezaleŜne od statusu partnerskiego Wykonawcy
przez okres co najmniej 60 miesięcy;
OA-XVI.272.4.2013
Str. 3 z 5
2.2. Router typ 2 - 7 szt.
Urządzenie firewall/VPN/UTM dla partnerów projektu.
•
Urządzenie musi być wyposaŜone w co najmniej 512 MB pamięci RAM, pamięć Flash
256 MB oraz port konsoli. Urządzenie musi posiadać slot USB przeznaczony do
podłączenia dodatkowego nośnika danych. Musi być dostępna opcja uruchomienia
systemu operacyjnego firewalla z nośnika danych podłączonego do slotu USB na
module kontrolnym.
•
System operacyjny firewalla musi posiadać budowę modułową (moduły muszą
działać w odseparowanych obszarach pamięci) i zapewniać całkowitą separację
płaszczyzny kontrolnej od płaszczyzny przetwarzania ruchu uŜytkowników, m.in.
moduł rutingu IP, odpowiedzialny za ustalenie tras rutingu i zarządzanie urządzenia
musi być oddzielony od modułu przekazywania pakietów, odpowiedzialnego za
przełączanie pakietów pomiędzy segmentami sieci obsługiwanymi przez urządzenie.
System operacyjny firewalla musi śledzić stan sesji uŜytkowników (stateful
processing), tworzyć i zarządzać tablicą stanu sesji. Musi istnieć opcja przełączenia
urządzenia w tryb pracy bez śledzenia stanu sesji uŜytkowników, jak równieŜ
wyłączenia części ruchu ze śledzenia stanu sesji.
•
Urządzenie musi być wyposaŜone w nie mniej niŜ 8 wbudowanych interfejsów Fast
Ethernet 10/100 (gotowych do uŜycia bez konieczności zakupu dodatkowych
modułów i licencji).
•
Firewall musi realizować zadania Stateful Firewall z mechanizmami ochrony przed
atakami DoS, wykonując kontrolę na poziomie sieci oraz aplikacji pomiędzy nie mniej
niŜ 5 strefami bezpieczeństwa z wydajnością nie mniejszą niŜ 150 Mb/s liczoną dla
ruchu IMIX. Firewall musi przetworzyć nie mniej niŜ 35 000 pakietów/sekundę (dla
pakietów 64-bajtowych). Firewall musi obsłuŜyć nie mniej niŜ 8 000 równoległych
sesji oraz zestawić nie mniej niŜ 900 nowych połączeń/sekundę.
•
Firewall musi zestawiać zabezpieczone kryptograficznie tunele VPN w oparciu o
standardy IPSec i IKE w konfiguracji site-to-site oraz client-to-site. IPSec VPN musi
być realizowany sprzętowo. Firewall musi obsługiwać nie mniej niŜ 10 równoległych
tuneli VPN oraz ruch szyfrowany o przepustowości nie mniej niŜ 40 Mb/s. Urządzenie
musi posiadać moŜliwość udostępniania uŜytkownikom wbudowanego klienta IPSec
VPN za pośrednictwem strony WWW.
•
Polityka
bezpieczeństwa
systemu
zabezpieczeń
musi
uwzględniać
strefy
bezpieczeństwa, adresy IP klientów i serwerów, protokoły i usługi sieciowe,
uŜytkowników aplikacji, reakcje zabezpieczeń oraz metody rejestrowania zdarzeń.
OA-XVI.272.4.2013
Str. 4 z 5
Firewall
musi
umoŜliwiać
zdefiniowanie
nie
mniej
niŜ
100
reguł
polityki
bezpieczeństwa.
•
Urządzenie musi obsługiwać co najmniej 3 sieci VLAN z tagowaniem 802.1Q. W celu
zapobiegania zapętlania się ruchu w warstwie 2 firewall musi obsługiwać protokoły
Spanning Tree (802.1D), Rapid STP (802.1W). Urządzenie musi posiadać
mechanizmy priorytetyzowania i zarządzania ruchem sieciowym QoS – wygładzanie
(shaping) oraz obcinanie (policing) ruchu. Mapowanie ruchu do kolejek wyjściowych
musi odbywać się na podstawie DSCP, IP ToS, 802.1p, oraz parametrów
z nagłówków TCP i UDP. Urządzenie musi posiadać tworzenia osobnych kolejek dla
róŜnych klas ruchu.
•
Firewall musi posiadać moŜliwość pracy w klastrze w konfiguracji odpornej na awarie
urządzeń. Dla zabezpieczenia urządzeń w klastrze muszą one funkcjonować w trybie
Active-Passive z synchronizacją konfiguracji i tablicy stanu sesji. Przełączenie
pomiędzy urządzeniami w klastrze HA musi się odbywać przezroczyście dla sesji
ruchu uŜytkowników. Mechanizm ochrony przed awariami musi monitorować
i wykrywać
uszkodzenia
elementów
sprzętowych
i
programowych
systemu
zabezpieczeń oraz łączy sieciowych.
•
Administratorzy muszą mieć do dyspozycji mechanizm szybkiego odtwarzania
systemu i przywracania konfiguracji.
•
Pomoc techniczna dla sprzętu musi być realizowana w języku polskim.
•
Całość dostarczonego sprzętu musi być objęta gwarancją opartą o świadczenia
gwarancyjne producenta sprzętu, niezaleŜne od statusu partnerskiego Wykonawcy
przez okres co najmniej 60 miesięcy;
3. Warunki dostawy
Kod
Opis wymagania
wymagania
WS.01
Do odbioru sprzętu ze strony PUW upowaŜnione są następujące osoby:
Pan Artur Słowik tel. 664786317.
Pan Leszek RoŜkiewicz tel. 17 8671545
Pan Piotr Szular tel. 17 8671543
WS.02
Wykonawca wraz ze sprzętem dostarczy niezbędną dokumentację/instrukcje,
sterowniki,
oprogramowanie,
okablowanie
i
licencje
niezbędne
do
uruchomienia urządzeń.
OA-XVI.272.4.2013
Str. 5 z 5