specyfikacja techniczna
Transkrypt
specyfikacja techniczna
Załącznik nr 2 A Przełącznik Sieciowy A 1. Przełącznik o zamkniętej konfiguracji, posiadający 48 portów GigabitEthernet 10/100/1000Base-T z PoE. oraz 4 gniazda typu SFP pozwalające na instalację wkładek z portami Gigabit Ethernet 1000BASE-T, 1000BASE-SX, 1000BASEZX, 1000BASE LX/LH. Porty PoE powinny wspierać kombinację 24 portów z mocą 15.4W, 48 portów z mocą 7.7W lub kombinacja. Moc przeznaczona na PoE powinna wynosić co najmniej 370W 2. Przełącznik powinien zostać dostarczony z 2 modułami SFP typu 1000BaseSX 3. Przełącznik musi posiadać, co najmniej 128 MB pamięci DRAM oraz 32 MB pamięci Flash 4. Dostępne w przełączniku gniazda SFP powinny umoŜliwiać instalację modułów dla zwielokrotnionej transmisji optycznej CDWM 5. Przełącznik musi posiadać wydajność przełączania przynajmniej 38 Mpps dla 64bajtowych pakietów; 6. Przełącznik musi zapewniać obsługę 12,000 adresów MAC, 11,000 tras w tablicy routingu oraz 1024 sieci VLAN 7. Przełącznik musi współpracować z modułem redundantnego zewnętrznego zasilacza. 8. Przełącznik musi zapewniać przełączanie w warstwie drugiej, 9. Przełącznik musi w standardowej wersji oprogramowania umoŜliwiać przełączanie w warstwie trzeciej oraz definiowanie routingu w oparciu o protokoły RIPv1v2, EIGRP, OSPF, BGP, Policy Base Routing oraz routing statyczny 10. Przełącznik musi zapewniać obsługę ruchu IP Multicast, w tym funkcjonalność IGMP, IGMP Snooping, obsługę protokołów PIM Sparse oraz PIM Dense. 11. Przełącznik musi posiadać moŜliwość uruchomienia funkcjonalności DHCP: DHCP Server, DHCP Relay, DHCP Snooping 12. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem ciągłości pracy sieci: a. IEEE 802.1s Rapid Spanning Tree b. IEEE 802.1w Multi-Instance Spanning Tree c. moŜliwość grupowania portów zgodnie ze specyfikacją IEEE 802.3ad (LACP) 13. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Klasyfikacja ruchu do klas róŜnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP b. Implementacja co najmniej czterech kolejek sprzętowych na kaŜdym porcie wyjściowym dla obsługi ruchu o róŜnej klasie obsługi. Implementacja algorytmu Round Robin lub podobnego dla obsługi tych kolejek c. MoŜliwość obsługi jednej z powyŜej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority) d. MoŜliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP – poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP. 14. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem bezpieczeństwa sieci: a. Wiele poziomów dostępu administracyjnego poprzez konsolę b. Autoryzacja uŜytkowników/portów w oparciu o IEEE 802.1x c. MoŜliwość uzyskania dostępu do urządzenia przez SNMPv3 i SSHv2 d. funkcjonalność prywatnego VLAN-u, czyli moŜliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem moŜliwości komunikacji z portem nadrzędnym 15. Przełącznik powinien umoŜliwiać lokalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do urządzenia monitorującego przyłączonego do innego portu 16. Przełącznik powinien umoŜliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN 17. Przełącznik powinien mieć moŜliwość synchronizacji zegara czasu za pomocą protokołu NTP 18. Przełącznik powinien posiadać moŜliwość połączenia z innymi przełącznikami tego samego typu w klaster zapewniający moŜliwość zarządzania za pomocą pojedynczego adresu IP 19. Urządzenie powinno umoŜliwiać zarządzania poprzez interfejs CLI (konsolę). 20. Plik konfiguracyjny urządzenia (w szczególności plik konfiguracji parametrów routingu) powinien być moŜliwy do edycji w trybie off-line. Tzn. konieczna jest moŜliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC. Po zapisaniu konfiguracji w pamięci nieulotnej musi być moŜliwe uruchomienie urządzenia z nowa konfiguracją. W pamięci nieulotnej musi być moŜliwość przechowywania przynajmniej 4 plików konfiguracyjnych. Zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się częściowych restartów urządzenia po dokonaniu 21. Musi mieć moŜliwość montaŜu w szafie 19”, wysokość nie większą niŜ 1RU W skład zestawu powinno wejść: - urządzenie wraz z oryginalnym opakowaniem, dostarczanym przez producenta okablowaniem, dokumentacją techniczną, instrukcją instalacji oraz uruchomienia, kartą gwarancyjną. - moduł SFP typu 1000BaseSX tego samego producenta. Urządzenie typu: Cisco Catalyst 3560G-48PS Przełącznik Sieciowy B Architektura Powinno być urządzeniem modularnym pozwalającym na uzyskanie funkcji firewall, VPN (sprzętowe wsparcie szyfracji), moŜliwość rozszerzenia za pomocą dodatkowego modułu lub oprogramowania do funkcji sondy IPS lub funkcji antywirusowej oraz anty spam. Powinno by wyposaŜone w co najmniej w trzy niezaleŜne interfejsy Ethernet 10/100 + jeden interfejs 10/100 do zarządzania Out of Band. Powinno posiada minimum dwa porty dedykowane dla zarządzania: • port konsoli, • port asynchroniczny dla przyłączenia modemu Powinno posiada co najmniej dwa porty USB (tokeny, certyfikaty etc.) Powinno posiada co najmniej 64MB pamięci Flash Powinno posiada co najmniej 256MB pamięci DRAM Urządzenie powinno posiadać dodatkowy slot pozwalający na wykorzystanie modułów funkcjonalnych. Urządzenie powinno być bezpośrednio montowalne w szafie 19”, wysokość 1RU oprogramowanie - funkcjonalność Urządzenie powinno pełnić rolę ściany ogniowej śledzącej stan połączeń z funkcją weryfikacji informacji charakterystycznych dla warstwy aplikacji, ochrony antywirusowej, ochrony przed phishingiem, ochrony antyspamowej, usługi vpn, ips oraz blokowania URL. Urządzenie nie powinno posiadać ograniczenia na ilość jednocześnie pracujących uŜytkowników w sieci chronionej Powinno być oparte o dedykowany system operacyjny – nie dopuszcza się rozwiązań gdzie platformą systemową jest otwarty system operacyjny, np. UNIX (Linux, FreeBSD etc.) lub jego modyfikacja . Urządzenie musi posiadać zintegrowane sprzętowe wsparcie dla szyfrowania Urządzenie powinno mieć moŜliwość operowania jako transparentna ściana ogniowa warstwy drugiej ISO OSI Urządzenie powinno umoŜliwiać terminowanie co najmniej 250 jednoczesnych sesji VPN Na urządzeniu powinna istnieć moŜliwość terminowa jednoczenie 250 sesji WebVPN Urządzenie powinno obsługiwać co najmniej 130000 jednoczesnych sesji/połączeń. Przepustowość obsługiwana przez urządzenie nie powinna być mniejsza niŜ 170 Mbps równieŜ dla ruchu szyfrowanego symetrycznymi algorytmami 3DES/AES, ruch nie szyfrowany powinien być obsługiwany z przepustowością nie mniejszą niŜ 300 Mbps Urządzenie powinno umoŜliwiać obsługę 5 wirtualnych instancji firewall po aktywacji odpowiedniej licencji Urządzenie powinno obsługiwać 100 sieci VLAN Urządzenie powinno obsługiwać funkcjonalność failover Powinno mieć moŜliwość routingu pakietów zgodnie z protokołami RIP, OSPF Powinno obsługiwać mechanizmy związane z obsługą ruchu multicast Powinno obsługiwać protokół NTP Powinno obsługiwać IKE, IKE Extended Authentication (Xauth) oraz IKE Aggressive Mode Powinno umoŜliwiać współpracę z serwerami CA Powinno obsługiwać funkcjonalność Network Address Translation (NAT) Powinno obsługiwać mechanizmy kolejkowania ruchu z obsługą kolejki absolutnego priorytetu Zarządzanie i konfiguracja Powinno posiadać moŜliwość eksportu informacji przez syslog oraz SNMP Powinno posiada moŜliwość komunikacji z serwerami uwierzytelnienia i autoryzacji za pośrednictwem protokołów RADIUS, TACACS+, LDAP, SDI Powinno być konfigurowalne przez CLI oraz interfejs graficzny (oczekiwane są narzędzia w postaci kreatorów połączeń, etc.) Dostęp do urządzenia powinien by moŜliwy przez SSH. Plik konfiguracyjny urządzenia powinien być moŜliwy do edycji w trybie off-line. Tzn. konieczna jest moŜliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC. Po zapisaniu konfiguracji w pamięci nie ulotnej powinno być moŜliwe uruchomienie urządzenia z nową konfiguracją. W skład zestawu powinno wejść: - urządzenie wraz z oryginalnym opakowaniem, dostarczanym przez producenta okablowaniem, dokumentacją techniczną, instrukcją instalacji oraz uruchomienia, kartą gwarancyjną, a takŜe wszelkie inne elementy jakie producent umieszcza w oryginalnym zestawie sprzedawanym z danym urządzeniem. Urządzenie typu: ASA 5510 Security Plus Appliance with SW, HA, 5FE, 3DES/AES + ASA-CSC10-PLUS = ASA 5500 CSC SSM10 Plus Lic. (Spam/URL/Phish) Kontroler sieci bezprzewodowej WiFi 1. Kontroler powinien umoŜliwiać zarządzanie i monitorowanie co najmniej 25 access pointami pracującymi w standardzie 802.11a/b/g 2. Kontroler powinien uŜywać protokołu LWAPP do komunikacji z access pointami 3. Powinna istnieć moŜliwość tworzenia konfiguracji redundantnej złoŜonej z kilku takich kontrolerów 4. Kontroler powinien mieć moŜliwość współpracy z zewnętrznym oprogramowaniem. Oprogramowanie powinno pozwalać na śledzenie rozmieszczenia urządzeń sieci WiFi na mapie zdefiniowanej przez administratora systemu. Dodatkowo po dodaniu do opisanego oprogramowania urządzenia lokacyjnego powinna być dostępna funkcja śledzenia historii przemieszczania się klientów sieci WiFi. 5. Kontroler powinien śledzić w czasie rzeczywistym parametry radiowe sieci i na tej podstawie dynamicznie przydzielać moc i uŜywane kanały radiowe dla poszczególnych access pointów. 6. Kontroler powinien umoŜliwiać wykrywanie obcych urządzeń WiFi 7. W zakresie standardów sieci wireless kontroler powinien obsługiwać protokoły: IEEE 802.11a, 802.11b, 802.11g, 802.11d, 802.11h 8. W zakresie bezpieczeństwa sieci WiFi urządzenie powinno umoŜliwiać obsługę standardów: • WPA • IEEE 802.11i (WPA2, RSN) • RFC 1321 MD5 Message-Digest Algorithm • RFC 1851 The ESP Triple DES Transform • RFC 2104 HMAC: Keyed Hashing for Message Authentication • RFC 2246 TLS Protocol Version 1.0 • RFC 2401 Security Architecture for the Internet Protocol • RFC 2403 HMAC-MD5-96 within ESP and AH • RFC 2404 HMAC-SHA-1-96 within ESP and AH • RFC 2405 ESP DES-CBC Cipher Algorithm with Explicit IV • RFC 2406 IPsec • RFC 2407 Interpretation for ISAKMP • RFC 2408 ISAKMP • RFC 2409 IKE • RFC 2451 ESP CBC-Mode Cipher Algorithms • RFC 3280 Internet X.509 PKI Certificate and CRL Profile • RFC 3602 The AES-CBC Cipher Algorithm and Its Use with IPsec • RFC 3686 Using AES Counter Mode with IPsec ESP 9. W zakresie szyfrowania urządzenie powinno obsługiwać: • WEP and TKIP-MIC: RC4 40, 104 and 128 bits (both static and shared keys) • SSL and TLS: RC4 128-bit and RSA 1024- and 2048-bit • AES: CCM, CCMP • IPSec: DES-CBC, 3DES, AES-CBC 10. W zakresie autentykacji, autoryzacji i księgowania ruchu urządzenie powinno wspierać : • IEEE 802.1X • RFC 2548 Microsoft Vendor-Specific RADIUS Attributes • RFC 2716 PPP EAP-TLS • RFC 2865 RADIUS Authentication • RFC 2866 RADIUS Accounting • RFC 2867 RADIUS Tunnel Accounting • RFC 2869 RADIUS Extensions • RFC 3576 Dynamic Authorization Extensions to RADIUS • RFC 3579 RADIUS Support for EAP • RFC 3580 IEEE 802.1X RADIUS Guidelines • RFC 3748 Extensible Authentication Protocol • Web-based authentication 11. Kontroler powinien być wyposaŜony w co najmniej jeden port SFP, słuŜący do podłączenia do przełącznika sieci LAN, do którego wpięte są zarządzane access pointy. W ofercie naleŜy uwzględnić jeden moduł SFP 1000BaseT. 12. Kontroler powinien być wyposaŜony w osobny port LAN słuŜący do zarządzania. 13. Urządzenie powinno umoŜliwiać zarządzania poprzez interfejs CLI (konsolę), http, https, telnet, ssh, SNMP v1, v2c, v3 14. Musi mieć moŜliwość montaŜu w szafie 19”, wysokość nie większą niŜ 1RU; W skład zestawu powinno wejść: - urządzenie wraz z oryginalnym opakowaniem, dostarczanym przez producenta okablowaniem, dokumentacją techniczną, instrukcją instalacji oraz uruchomienia, kartą gwarancyjną, a takŜe wszelkie inne elementy jakie producent umieszcza w oryginalnym zestawie sprzedawanym z danym urządzeniem. - moduł SFP 1000BaseT Urządzenie typu: 4400 Series WLAN Controller for up to 25 Lightweight APs Punkt dostępowy sieci WiFi – Acces Point 1. obsługa standardów: 802.11a, 802.11b, 802.11g, 2. dwa złącze antenowe RP-TNC 3. standardy bezpieczeństwa: a. uwierzytelnianie: WPA, WPA2 (802.11i), TKIP, 40- i 128-bitowy klucz WEP, TKIP, MIC b. typy 802.1X EAP: EAP-Flexible Authentication via Secure Tunneling (EAPFAST), Protected EAP-Generic Token Card (PEAP-GTC), PEAP-Microsoft Challenge Authentication Protocol Version 2 (PEAP-MSCHAP), EAPTransport Layer Security (EAP-TLS), EAP-Tunneled TLS (EAP-TTLS), EAPSubscriber Identity Module (EAP-SIM), LEAP 4. zdalne sterowanie konfiguracją i zarządzanie tylko z poziomu kontrolera sieci bezprzewodowej (protokół LWAPP) 5. waga: do 0,91 kg 6. metalowa obudowa 7. obsługa prędkości: 802.11a: 6, 9, 12, 18, 24, 36, 48 i 54Mbps, 802.11g: 1, 2, 5,5, 6, 9, 11, 12, 18, 24, 36, 48 i 54Mbps 8. port uplink: 802.3 10/100BASE-T Ethernet 9. częstotliwości i kanały: 2,412 do 2,472 GHz – 13 kanałów, 5,15 do 5,35 – 8 kanałów, 5,47 do 5,725 GHz – 11 kanałów. 12 kanałów nie zachodzących się w standardzie 802.11a, 3 kanały w standardzie 802.11b/g 10. czułość odbioru: a. 802.11a: 6Mbps: -88dBm, 9Mbps: -87dBm, 12Mbps: -86dBm, 24Mbps: 82dBm, 36Mbps: -79dBm, 48Mbps: -74dBm, 54Mbps: -73dBm b. 802.11g: 1Mbps: -96dBm, 2Mbps: -93dBm, 5,5Mbps: -91dBm, 6Mbps: 91dBm, 9Mbps: -85dBm, 11Mbps: -88dBm, 12Mbps: -83dBm, 18Mbps: 81dBm, 24Mbps: -78dBm, 36Mbps: -74dBm, 48Mbps: -73dBm, 54Mbps: 73dBm 11. moce transmisji: a. 802.11a: 17 dBm (50 mW), 15 dBm (30 mW), 14 dBm (25 mW), 11 dBm (12 mW), 8 dBm (6 mW), 5 dBm (3 mW), 2 mW (2 dBm), -1 dBm (1 mW) b. 802.11g: 20 dBm (100 mW), 17 dBm (50 mW), 14 dBm (25 mW), 11 dBm (12 mW), 8 dBm (6 mW), 5 dBm (3 mW), 2 dBm (2 mW), -1 dBm (1 mW) 12. zasięg (przy 54Mbps): a. wewnątrz budynku: 26 m b. na zewnątrz: 32 m 13. moŜliwość uŜycia Power over Ethernet do zasilania (zgodnie ze standardem IEEE 802.3af), 14. wyposaŜenie: a. dwie anteny 2.4GHz 2,2dBi ze złączem RP-TNC, wewnątrzbudynkowe, b. zasilacz sieciowy 18Wat, c. Power Injector dołączony do kaŜdego zestawu z AP. W skład kaŜdego zestawu powinno wejść: - urządzenie wraz z oryginalnym opakowaniem, dostarczanym przez producenta okablowaniem, dokumentacją techniczną, instrukcją instalacji oraz uruchomienia, kartą gwarancyjną, a takŜe wszelkie inne elementy jakie producent umieszcza w oryginalnym zestawie sprzedawanym z danym urządzeniem. - dwie anteny 2.4GHz 2,2dBi ze złączem RP-TNC - zasilacz sieciowy 18Wat - Power Injector Urządzenie typu: 802.11ag LWAPP AP Dual 2.4,5GHz RP-TNC ETSI Cnfg ZP – 5 / 2007 Załącznik nr 2 FORMULARZ CENOWY DOSTAWA URZĄDZEŃ SIECIOWYCH DLA ASP W GDAŃSKU L.p. Nazwa urządzenia wartość jednostkowa ilość wartość netto podatek VAT 0% 1. Przełącznik sieciowy A 2 0,00 2. Kontroler sieci bezprzewodowej WiFi 1 0,00 3. Punkt dostępu sieci WiFi 7 0,00 4. Przełącznik sieciowy B 1 0,00 Razem : Wartość brutto 0,00 Gdańsk, dnia .................................... ............................................................................................................. podpis osoby upowaŜnionej do podpisu oferty