specyfikacja techniczna

Załącznik nr 2 A
Przełącznik Sieciowy A
1. Przełącznik o zamkniętej konfiguracji, posiadający 48 portów GigabitEthernet
10/100/1000Base-T z PoE. oraz 4 gniazda typu SFP pozwalające na instalację
wkładek z portami Gigabit Ethernet 1000BASE-T, 1000BASE-SX, 1000BASEZX, 1000BASE LX/LH. Porty PoE powinny wspierać kombinację 24 portów z
mocą 15.4W, 48 portów z mocą 7.7W lub kombinacja. Moc przeznaczona na PoE
powinna wynosić co najmniej 370W
2. Przełącznik powinien zostać dostarczony z 2 modułami SFP typu 1000BaseSX
3. Przełącznik musi posiadać, co najmniej 128 MB pamięci DRAM oraz 32 MB
pamięci Flash
4. Dostępne w przełączniku gniazda SFP powinny umoŜliwiać instalację modułów
dla zwielokrotnionej transmisji optycznej CDWM
5. Przełącznik musi posiadać wydajność przełączania przynajmniej 38 Mpps dla 64bajtowych pakietów;
6. Przełącznik musi zapewniać obsługę 12,000 adresów MAC, 11,000 tras w tablicy
routingu oraz 1024 sieci VLAN
7. Przełącznik musi współpracować z modułem redundantnego zewnętrznego
zasilacza.
8. Przełącznik musi zapewniać przełączanie w warstwie drugiej,
9. Przełącznik musi w standardowej wersji oprogramowania umoŜliwiać przełączanie
w warstwie trzeciej oraz definiowanie routingu w oparciu o protokoły RIPv1v2,
EIGRP, OSPF, BGP, Policy Base Routing oraz routing statyczny
10. Przełącznik musi zapewniać obsługę ruchu IP Multicast, w tym funkcjonalność
IGMP, IGMP Snooping, obsługę protokołów PIM Sparse oraz PIM Dense.
11. Przełącznik musi posiadać moŜliwość uruchomienia funkcjonalności DHCP:
DHCP Server, DHCP Relay, DHCP Snooping
12. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem
ciągłości pracy sieci:
a. IEEE 802.1s Rapid Spanning Tree
b. IEEE 802.1w Multi-Instance Spanning Tree
c. moŜliwość grupowania portów zgodnie ze specyfikacją IEEE 802.3ad
(LACP)
13. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem
jakości usług w sieci:
a. Klasyfikacja ruchu do klas róŜnej jakości obsługi (QoS) poprzez
wykorzystanie następujących
parametrów: źródłowy/docelowy adres
MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP
b. Implementacja co najmniej czterech kolejek sprzętowych na kaŜdym
porcie wyjściowym dla obsługi ruchu o róŜnej klasie obsługi.
Implementacja algorytmu Round Robin lub podobnego dla obsługi tych
kolejek
c. MoŜliwość obsługi jednej z powyŜej wspomnianych kolejek z
bezwzględnym priorytetem w stosunku do innych (Strict Priority)
d. MoŜliwość zmiany przez urządzenie kodu wartości QoS zawartego w
ramce Ethernet lub pakiecie IP – poprzez zmianę pola 802.1p (CoS) oraz
IP ToS/DSCP.
14. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem
bezpieczeństwa sieci:
a. Wiele poziomów dostępu administracyjnego poprzez konsolę
b. Autoryzacja uŜytkowników/portów w oparciu o IEEE 802.1x
c. MoŜliwość uzyskania dostępu do urządzenia przez SNMPv3 i SSHv2
d. funkcjonalność prywatnego VLAN-u, czyli moŜliwość blokowania ruchu
pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z
pozostawieniem moŜliwości komunikacji z portem nadrzędnym
15. Przełącznik powinien umoŜliwiać lokalną obserwację ruchu na określonym porcie,
polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do
urządzenia monitorującego przyłączonego do innego portu
16. Przełącznik powinien umoŜliwiać zdalną obserwację ruchu na określonym porcie,
polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do
zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN
17. Przełącznik powinien mieć moŜliwość synchronizacji zegara czasu za pomocą
protokołu NTP
18. Przełącznik powinien posiadać moŜliwość połączenia z innymi przełącznikami
tego samego typu w klaster zapewniający moŜliwość zarządzania za pomocą
pojedynczego adresu IP
19. Urządzenie powinno umoŜliwiać zarządzania poprzez interfejs CLI (konsolę).
20. Plik konfiguracyjny urządzenia (w szczególności plik konfiguracji parametrów
routingu) powinien być moŜliwy do edycji w trybie off-line. Tzn. konieczna jest
moŜliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym
urządzeniu PC. Po zapisaniu konfiguracji w pamięci nieulotnej musi być moŜliwe
uruchomienie urządzenia z nowa konfiguracją. W pamięci nieulotnej musi być
moŜliwość przechowywania przynajmniej 4 plików konfiguracyjnych. Zmiany
aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się
częściowych restartów urządzenia po dokonaniu
21. Musi mieć moŜliwość montaŜu w szafie 19”, wysokość nie większą niŜ 1RU
W skład zestawu powinno wejść:
- urządzenie wraz z oryginalnym opakowaniem, dostarczanym przez producenta
okablowaniem, dokumentacją techniczną, instrukcją instalacji oraz uruchomienia, kartą
gwarancyjną.
- moduł SFP typu 1000BaseSX tego samego producenta.
Urządzenie typu: Cisco Catalyst 3560G-48PS
Przełącznik Sieciowy B
Architektura
Powinno być urządzeniem modularnym pozwalającym na uzyskanie funkcji firewall, VPN
(sprzętowe wsparcie szyfracji), moŜliwość rozszerzenia za pomocą dodatkowego modułu lub
oprogramowania do funkcji sondy IPS lub funkcji antywirusowej oraz anty spam.
Powinno by wyposaŜone w co najmniej w trzy niezaleŜne interfejsy Ethernet 10/100 + jeden
interfejs 10/100 do zarządzania Out of Band.
Powinno posiada minimum dwa porty dedykowane dla zarządzania:
• port konsoli,
• port asynchroniczny dla przyłączenia modemu
Powinno posiada co najmniej dwa porty USB (tokeny, certyfikaty etc.)
Powinno posiada co najmniej 64MB pamięci Flash
Powinno posiada co najmniej 256MB pamięci DRAM
Urządzenie powinno posiadać dodatkowy slot pozwalający na wykorzystanie
modułów funkcjonalnych.
Urządzenie powinno być bezpośrednio montowalne w szafie 19”, wysokość 1RU
oprogramowanie - funkcjonalność
Urządzenie powinno pełnić rolę ściany ogniowej śledzącej stan połączeń z funkcją
weryfikacji informacji charakterystycznych dla warstwy aplikacji, ochrony antywirusowej,
ochrony przed phishingiem, ochrony antyspamowej, usługi vpn, ips oraz blokowania URL.
Urządzenie nie powinno posiadać ograniczenia na ilość jednocześnie pracujących
uŜytkowników w sieci chronionej
Powinno być oparte o dedykowany system operacyjny – nie dopuszcza się rozwiązań gdzie
platformą systemową jest otwarty system operacyjny, np. UNIX (Linux, FreeBSD etc.) lub
jego modyfikacja .
Urządzenie musi posiadać zintegrowane sprzętowe wsparcie dla szyfrowania
Urządzenie powinno mieć moŜliwość operowania jako transparentna ściana ogniowa warstwy
drugiej ISO OSI
Urządzenie powinno umoŜliwiać terminowanie co najmniej 250 jednoczesnych sesji VPN
Na urządzeniu powinna istnieć moŜliwość terminowa jednoczenie 250 sesji WebVPN
Urządzenie powinno obsługiwać co najmniej 130000 jednoczesnych sesji/połączeń.
Przepustowość obsługiwana przez urządzenie nie powinna być mniejsza niŜ 170 Mbps
równieŜ dla ruchu szyfrowanego symetrycznymi algorytmami 3DES/AES, ruch nie
szyfrowany powinien być obsługiwany z przepustowością nie mniejszą niŜ 300 Mbps
Urządzenie powinno umoŜliwiać obsługę 5 wirtualnych instancji firewall po aktywacji
odpowiedniej licencji
Urządzenie powinno obsługiwać 100 sieci VLAN
Urządzenie powinno obsługiwać funkcjonalność failover
Powinno mieć moŜliwość routingu pakietów zgodnie z protokołami RIP, OSPF
Powinno obsługiwać mechanizmy związane z obsługą ruchu multicast
Powinno obsługiwać protokół NTP
Powinno obsługiwać IKE, IKE Extended Authentication (Xauth) oraz IKE Aggressive Mode
Powinno umoŜliwiać współpracę z serwerami CA
Powinno obsługiwać funkcjonalność Network Address Translation (NAT)
Powinno obsługiwać mechanizmy kolejkowania ruchu z obsługą kolejki absolutnego
priorytetu
Zarządzanie i konfiguracja
Powinno posiadać moŜliwość eksportu informacji przez syslog oraz SNMP
Powinno posiada moŜliwość komunikacji z serwerami uwierzytelnienia i autoryzacji za
pośrednictwem protokołów RADIUS, TACACS+, LDAP, SDI
Powinno być konfigurowalne przez CLI oraz interfejs graficzny (oczekiwane są narzędzia w
postaci kreatorów połączeń, etc.)
Dostęp do urządzenia powinien by moŜliwy przez SSH.
Plik konfiguracyjny urządzenia powinien być moŜliwy do edycji w trybie off-line. Tzn.
konieczna jest moŜliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym
urządzeniu PC. Po zapisaniu konfiguracji w pamięci nie ulotnej powinno być moŜliwe
uruchomienie urządzenia z nową konfiguracją.
W skład zestawu powinno wejść:
- urządzenie wraz z oryginalnym opakowaniem, dostarczanym przez producenta
okablowaniem, dokumentacją techniczną, instrukcją instalacji oraz uruchomienia, kartą
gwarancyjną, a takŜe wszelkie inne elementy jakie producent umieszcza w oryginalnym
zestawie sprzedawanym z danym urządzeniem.
Urządzenie typu: ASA 5510 Security Plus Appliance with SW, HA, 5FE, 3DES/AES +
ASA-CSC10-PLUS = ASA 5500 CSC SSM10 Plus Lic. (Spam/URL/Phish)
Kontroler sieci bezprzewodowej WiFi
1. Kontroler powinien umoŜliwiać zarządzanie i monitorowanie co najmniej 25
access pointami pracującymi w standardzie 802.11a/b/g
2. Kontroler powinien uŜywać protokołu LWAPP do komunikacji z access pointami
3. Powinna istnieć moŜliwość tworzenia konfiguracji redundantnej złoŜonej z kilku
takich kontrolerów
4. Kontroler
powinien
mieć
moŜliwość
współpracy z
zewnętrznym
oprogramowaniem. Oprogramowanie powinno pozwalać na śledzenie
rozmieszczenia urządzeń sieci WiFi na mapie zdefiniowanej przez administratora
systemu. Dodatkowo po dodaniu do opisanego oprogramowania urządzenia
lokacyjnego powinna być dostępna funkcja śledzenia historii przemieszczania się
klientów sieci WiFi.
5. Kontroler powinien śledzić w czasie rzeczywistym parametry radiowe sieci i na tej
podstawie dynamicznie przydzielać moc i uŜywane kanały radiowe dla
poszczególnych access pointów.
6. Kontroler powinien umoŜliwiać wykrywanie obcych urządzeń WiFi
7. W zakresie standardów sieci wireless kontroler powinien obsługiwać protokoły:
IEEE 802.11a, 802.11b, 802.11g, 802.11d, 802.11h
8. W zakresie bezpieczeństwa sieci WiFi urządzenie powinno umoŜliwiać obsługę
standardów:
• WPA
• IEEE 802.11i (WPA2, RSN)
• RFC 1321 MD5 Message-Digest Algorithm
• RFC 1851 The ESP Triple DES Transform
• RFC 2104 HMAC: Keyed Hashing for Message Authentication
• RFC 2246 TLS Protocol Version 1.0
• RFC 2401 Security Architecture for the Internet Protocol
• RFC 2403 HMAC-MD5-96 within ESP and AH
• RFC 2404 HMAC-SHA-1-96 within ESP and AH
• RFC 2405 ESP DES-CBC Cipher Algorithm with Explicit IV
• RFC 2406 IPsec
• RFC 2407 Interpretation for ISAKMP
• RFC 2408 ISAKMP
• RFC 2409 IKE
• RFC 2451 ESP CBC-Mode Cipher Algorithms
• RFC 3280 Internet X.509 PKI Certificate and CRL Profile
• RFC 3602 The AES-CBC Cipher Algorithm and Its Use with IPsec
• RFC 3686 Using AES Counter Mode with IPsec ESP
9. W zakresie szyfrowania urządzenie powinno obsługiwać:
• WEP and TKIP-MIC: RC4 40, 104 and 128 bits (both static and shared keys)
• SSL and TLS: RC4 128-bit and RSA 1024- and 2048-bit
• AES: CCM, CCMP
• IPSec: DES-CBC, 3DES, AES-CBC
10. W zakresie autentykacji, autoryzacji i księgowania ruchu urządzenie powinno
wspierać :
• IEEE 802.1X
• RFC 2548 Microsoft Vendor-Specific RADIUS Attributes
• RFC 2716 PPP EAP-TLS
• RFC 2865 RADIUS Authentication
• RFC 2866 RADIUS Accounting
• RFC 2867 RADIUS Tunnel Accounting
• RFC 2869 RADIUS Extensions
• RFC 3576 Dynamic Authorization Extensions to RADIUS
• RFC 3579 RADIUS Support for EAP
• RFC 3580 IEEE 802.1X RADIUS Guidelines
• RFC 3748 Extensible Authentication Protocol
• Web-based authentication
11. Kontroler powinien być wyposaŜony w co najmniej jeden port SFP, słuŜący do
podłączenia do przełącznika sieci LAN, do którego wpięte są zarządzane access
pointy. W ofercie naleŜy uwzględnić jeden moduł SFP 1000BaseT.
12. Kontroler powinien być wyposaŜony w osobny port LAN słuŜący do zarządzania.
13. Urządzenie powinno umoŜliwiać zarządzania poprzez interfejs CLI (konsolę),
http, https, telnet, ssh, SNMP v1, v2c, v3
14. Musi mieć moŜliwość montaŜu w szafie 19”, wysokość nie większą niŜ 1RU;
W skład zestawu powinno wejść:
- urządzenie wraz z oryginalnym opakowaniem, dostarczanym przez producenta
okablowaniem, dokumentacją techniczną, instrukcją instalacji oraz uruchomienia, kartą
gwarancyjną, a takŜe wszelkie inne elementy jakie producent umieszcza w oryginalnym
zestawie sprzedawanym z danym urządzeniem.
- moduł SFP 1000BaseT
Urządzenie typu: 4400 Series WLAN Controller for up to 25 Lightweight APs
Punkt dostępowy sieci WiFi – Acces Point
1. obsługa standardów: 802.11a, 802.11b, 802.11g,
2. dwa złącze antenowe RP-TNC
3. standardy bezpieczeństwa:
a. uwierzytelnianie: WPA, WPA2 (802.11i), TKIP, 40- i 128-bitowy klucz WEP,
TKIP, MIC
b. typy 802.1X EAP: EAP-Flexible Authentication via Secure Tunneling (EAPFAST), Protected EAP-Generic Token Card (PEAP-GTC), PEAP-Microsoft
Challenge Authentication Protocol Version 2 (PEAP-MSCHAP), EAPTransport Layer Security (EAP-TLS), EAP-Tunneled TLS (EAP-TTLS), EAPSubscriber Identity Module (EAP-SIM), LEAP
4. zdalne sterowanie konfiguracją i zarządzanie tylko z poziomu kontrolera sieci
bezprzewodowej (protokół LWAPP)
5. waga: do 0,91 kg
6. metalowa obudowa
7. obsługa prędkości: 802.11a: 6, 9, 12, 18, 24, 36, 48 i 54Mbps, 802.11g: 1, 2, 5,5, 6, 9,
11, 12, 18, 24, 36, 48 i 54Mbps
8. port uplink: 802.3 10/100BASE-T Ethernet
9. częstotliwości i kanały: 2,412 do 2,472 GHz – 13 kanałów, 5,15 do 5,35 – 8 kanałów,
5,47 do 5,725 GHz – 11 kanałów. 12 kanałów nie zachodzących się w standardzie
802.11a, 3 kanały w standardzie 802.11b/g
10. czułość odbioru:
a. 802.11a: 6Mbps: -88dBm, 9Mbps: -87dBm, 12Mbps: -86dBm, 24Mbps: 82dBm, 36Mbps: -79dBm, 48Mbps: -74dBm, 54Mbps: -73dBm
b. 802.11g: 1Mbps: -96dBm, 2Mbps: -93dBm, 5,5Mbps: -91dBm, 6Mbps: 91dBm, 9Mbps: -85dBm, 11Mbps: -88dBm, 12Mbps: -83dBm, 18Mbps: 81dBm, 24Mbps: -78dBm, 36Mbps: -74dBm, 48Mbps: -73dBm, 54Mbps: 73dBm
11. moce transmisji:
a. 802.11a: 17 dBm (50 mW), 15 dBm (30 mW), 14 dBm (25 mW), 11 dBm (12
mW), 8 dBm (6 mW), 5 dBm (3 mW), 2 mW (2 dBm), -1 dBm (1 mW)
b. 802.11g: 20 dBm (100 mW), 17 dBm (50 mW), 14 dBm (25 mW), 11 dBm
(12 mW), 8 dBm (6 mW), 5 dBm (3 mW), 2 dBm (2 mW), -1 dBm (1 mW)
12. zasięg (przy 54Mbps):
a. wewnątrz budynku: 26 m
b. na zewnątrz: 32 m
13. moŜliwość uŜycia Power over Ethernet do zasilania (zgodnie ze standardem IEEE
802.3af),
14. wyposaŜenie:
a. dwie anteny 2.4GHz 2,2dBi ze złączem RP-TNC, wewnątrzbudynkowe,
b. zasilacz sieciowy 18Wat,
c. Power Injector dołączony do kaŜdego zestawu z AP.
W skład kaŜdego zestawu powinno wejść:
- urządzenie wraz z oryginalnym opakowaniem, dostarczanym przez producenta
okablowaniem, dokumentacją techniczną, instrukcją instalacji oraz uruchomienia, kartą
gwarancyjną, a takŜe wszelkie inne elementy jakie producent umieszcza w oryginalnym
zestawie sprzedawanym z danym urządzeniem.
- dwie anteny 2.4GHz 2,2dBi ze złączem RP-TNC
- zasilacz sieciowy 18Wat
- Power Injector
Urządzenie typu: 802.11ag LWAPP AP Dual 2.4,5GHz RP-TNC ETSI Cnfg
ZP – 5 / 2007
Załącznik nr 2
FORMULARZ CENOWY
DOSTAWA URZĄDZEŃ SIECIOWYCH DLA ASP W GDAŃSKU
L.p.
Nazwa urządzenia
wartość
jednostkowa
ilość
wartość netto
podatek VAT
0%
1.
Przełącznik sieciowy A
2
0,00
2.
Kontroler sieci bezprzewodowej WiFi
1
0,00
3.
Punkt dostępu sieci WiFi
7
0,00
4.
Przełącznik sieciowy B
1
0,00
Razem :
Wartość brutto
0,00
Gdańsk, dnia ....................................
.............................................................................................................
podpis osoby upowaŜnionej do podpisu oferty