Załšcznik 4 do SIWZ Sieć - Spec Tech
Transkrypt
Załšcznik 4 do SIWZ Sieć - Spec Tech
Centrum Informatyczne Edukacji, 00-918 Warszawa, Al. Szucha 25 Załącznik nr 4 do SIWZ Specyfikacja Techniczna Oferowanego Sprzętu (STOS) Wymagania ogólne: 1. Oferowany sprzęt musi być fabrycznie nowy (nie uŜywany w innych projektach). 2. Zamawiający wymaga, aby sprzęt dostarczony w ramach realizacji zamówienia był sprzętem zakupionym w oficjalnym kanale sprzedaŜy producenta. 3. Zamawiający w chwili odbioru urządzeń moŜe zaŜądać od Wykonawcy przedstawienia pisma z polskiego przedstawicielstwa Producenta potwierdzającego informacje zawarte w pkt. jw. 4. Wszystkie urządzenia powinny zostać zainstalowane w szafie rack, wskazanej przez Zamawiającego, wraz z niezbędnymi kablami przyłączeniowymi (kable zasilające, kable Ethernetowe). 5. W ramach instalacji Wykonawca dokona modernizacji 3 węzłów sieci polegającej na: a) wykonaniu odwzorowania połączeń w istniejącej krosownicy „komputerowej” na panelach krosowniczych w szafach rack wskazanych przez Zamawiającego. Panele krosownicze dostarczy Wykonawca; b) oznaczeniu portów na panalech krosowniczych zgodnie z zastanymi oznaczeniami; Sumaryczna ilość punktów do odwzorowania wynosi: 552. Długość pojedynczej linii do odwzorowania wynosi maksymalnie 10 m.. 6. Wszystkie urządzenia powinny być objęte 3 letnią gwarancją producenta z serwisem gwarancyjnym na następujących warunkach: 7. • Przyjmowanie zgłoszeń w godzinach od 8:00-16:00 w dni robocze. • Naprawa lub wymiana w następny dzień roboczy od pisemnego zgłoszenia awarii (faxem lub mailem), pod warunkiem, Ŝe zgłoszenie wpłynęło poprzedzającego dnia do godziny 12:00. • W przypadku gdy naprawa nie moŜe być wykonana w terminie określonym wyŜej, Wykonawca w następnym dniu roboczym dostarczy sprzęt zastępczy o parametrach nie gorszych niŜ niesprawny sprzęt, a naprawy dokona w innym miejscu w terminie 30 dni roboczych od pisemnego zgłoszenia awarii, o którym mowa wyŜej. • W okresie trwania gwarancji Wykonawca zapewni, na Ŝyczenie Zamawiającego, bezpłatne udostępnianie uaktualnień oprogramowania systemowego na urządzeniach objętych niniejszym zamówieniem w ramach posiadanych przez Zamawiającego licencji Wykonawca zapewni 2-dniowe szkolenie z obsługi i administrowania dostarczonych urządzeń dla 4 osób. Wymagania szczegółowe: 1) Przełącznik sieciowy typ 1, ilość sztuk 2 Architektura i wydajność urządzenia 1. Architektura urządzenia musi być modularna, o moŜliwości zainstalowania, co najmniej sześciu modułów (wliczając moduł zarządzający). 2. Wydajność przełączania na poziomie co najmniej 210Mpps oraz przepustowości 280Gb/s. 3. Przepustowość pojedynczego slotu na poziomie minimum 24Gb. 4. Urządzenie musi posiadać zainstalowany redundantny zasilacz o mocy minimalnej 1000W. 5. Urządzenie musi posiadać moŜliwość wyposaŜenia w 240 portów 10/100/1000 BASE-T w skrajnej konfiguracji. 6. Urządzenie musi mieć moŜliwość instalacji minimum 6 portów 10Gb. 7. Urządzenie musi być wyposaŜone w podstawową pamięć flash (wewnątrz urządzenia – min 64MB) oraz moŜliwość instalacji zewnętrznej pamięci typu Compact Flash (gniazdo dostępne z zewnątrz, bez konieczności otwierania obudowy lub wyjmowania modułów) o pojemności min 64MB. Zarówno wewnętrzna jak i zewnętrzna musi umoŜliwiać wystartowanie systemu operacyjnego urządzenia. 8. Urządzenie musi dysponować minimum 512MB pamięci operacyjnej z moŜliwością rozbudowy do minimum 1GB. 9. Urządzenie musi obsługiwać karty liniowe wyposaŜone w uniwersalne porty GE (GBIC lub SFP) umoŜliwiające instalowanie wymiennie konwerterów: Specyfikacja istotnych warunków zamówienia Nr sprawy: 160/2008/W Strona 1 z 6 Centrum Informatyczne Edukacji, 00-918 Warszawa, Al. Szucha 25 − Światłowodowych SMF lub MMF − Miedzianych 1000BaseT na porcie RJ-45 − Światłowodowych, nadających na określonej długości fali zgodnie z technologią CWDM. 10. Urządzenie musi posiadać moŜliwość instalacji kart obsługujących uniwersalne porty 10GE (X2). 11. Urządzenie musi wspierać co najmniej 4090 sieci VLAN w zgodzie ze standardem IEEE 802.1q. 12. Urządzenie musi mieć moŜliwość bezpośredniego montaŜu w szafie 19” i wysokość do 10 RU. Funkcje przełączania i niezawodności dla warstwy drugiej i trzeciej 1. 2. W celu uniknięcia degradacji wydajności przełączania przy zastosowaniu zaawansowanych funkcji, urządzenie musi mieć zaimplementowaną sprzętowo obsługę co najmniej następujących funkcji: − Przełączanie ruchu na warstwie drugiej − Przełączanie ruchu IP (unicast i multicast) − Filtrowanie ruchu przez definiowalne w konfiguracji filtry (przynajmniej IP/TCP/UDP) Urządzenie musi umoŜliwiać przełączanie w warstwie trzeciej przy współpracy ze statycznie i dynamicznie kreowanymi tablicami forwardowania pakietów. Routing IP na urządzeniu powinien umoŜliwiać pracę z następującymi protokołami: − Definicja statyczna − Protokół RIP1 i 2 − Protokół OSPF (moŜliwa rozbudowa o dodatkową licencję) − Protokół BGP (moŜliwa rozbudowa o dodatkową licencję) 3. Urządzenie musi obsłuŜyć co najmniej 250000 wpisów w tablicę routingu. 4. Urządzenie musi wspierać Policy Based Routing (PBR) lub równowaŜny z moŜliwością rozszerzenia moŜliwości forwardowania pakietów na bazie dodatkowych kryteriów, innych niŜ adres sieci docelowej pakietu. Dodatkowe kryteria powinny obejmować co najmniej adres IP (źródłowy / docelowy /oba) – Zamawiający dopuszcza aby funkcjonalność była dostępna po wykupieniu stosownej licencji nieobjętej niniejszym postępowaniem 5. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem ciągłości pracy sieci: − 802.1w, 802.1s, 802.1q, 802.3ad − moŜliwość grupowania portów w jeden logiczny z wykorzystaniem portów pochodzących z róŜnych kart liniowych (EtherChannel lub równowaŜny) − Urządzenie musi umieć wykrywać jednokierunkową komunikację wynikającą z uszkodzenia na warstwie pierwszej (zarówno dla połączeń Ethernet po światłowodzie jak i po UTP). Po wykryciu jednokierunkowej komunikacji, urządzenie musi umieć wyłączyć port, zgłaszając problem dla administratora. (UniDirectional Link Detection lub równowaŜna funkcjonalność) − protokół zapewniający redundancję domyślnego routera dla segmentu sieci IP, pozwalający na posiadanie wirtualnego adresu IP, obsługiwanego przez więcej niŜ jeden router. W danej chwili jeden z routerów aktywnie pełni rolę domyślnego routera dla segmentu, a pozostałe pracują, jako zapasowe. Urządzenie musi umoŜliwiać tworzenie wielu wirtualnych routerów w oparciu o te same urządzenia, gdzie kaŜdy z wirtualnych routerów moŜe być w danej chwili realizowany przez inne urządzenie.(HSRP lub równowaŜny) Funkcje dla zabezpieczenia urządzenia i sieci LAN 1. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem bezpieczeństwa sieci: − Uwierzytelnienie uŜytkowników na portach przez 802.1x − Dynamiczne przypisanie portu do sieci VLAN, na bazie informacji pobranych z profilu na serwerze RADIUS podczas uwierzytelnienia przez 802.1X Specyfikacja istotnych warunków zamówienia Nr sprawy: 160/2008/W Strona 2 z 6 Centrum Informatyczne Edukacji, 00-918 Warszawa, Al. Szucha 25 − MoŜliwość uzyskania dostępu do urządzenia przez SNMPv3 i SSH 1 i 2 − MoŜliwość definiowania filtrów pakietów blokujących wyspecyfikowany ruch, wewnątrz sieci VLAN jak i pomiędzy sieciami VLAN (przy routingu pomiędzy sieciami VLAN). Filtry powinny umoŜliwiać filtrowanie na podstawie źródłowych i docelowych adresów IP (wewnątrz sieci VLAN oraz pomiędzy sieciami VLAN) oraz źródłowych i docelowych adresów MAC (wewnątrz sieci VLAN). − MoŜliwość autoryzacji logowania do urządzenia (dostęp administracyjny) za pomocą serwerów RADIUS i TACACS+ − MoŜliwość blokowania całego ruchu pomiędzy określonymi portami w obrębie jednego VLANu (tzw. Isolated ports) z pozostawieniem moŜliwości komunikacji z portem nadrzędnym (promiscuous port) (funkcjonalność na poziomie Private Vlan lub równowaŜna) − MoŜliwość dynamicznej inspekcji protokołu ARP, w celu ochrony przed atakami ARP Spoofing (DAI – Dynamic Arp Inspection lub równowaŜny) − MoŜliwość śledzenia i zapamiętywania przypisań adresów IP przez serwer DHCP lub tworzenia statycznych tablic przypisań IP-MAC-port. Wynikiem przypisania jest mozliwość dynamicznego kreowania filtrów pakietów na portach, które zezwalają jedynie na przyjmowanie ruchu o znanym z tablicy adresie źródłowy IP i MAC (Obsługa funkcji IP Source Guard lub równowaŜnej). − MoŜliwość blokowania ataków typu IP Spoofing, wysycania puli adresów IP z serwera DHCP oraz wysycania tabeli adresów MAC − Urządzenie musi mieć moŜliwość zabezpieczania przed niepowołanym zainstalowaniem obcych urządzeń w sieci, które mogą celowo zmienić strukturę Spanning Tree (BPDU Guard, Root Guard) Funkcje zapewniania, jakości usług 1. Urządzenie musi mieć moŜliwość definiowania mechanizmów ograniczania transmisji dla określonego ruchu (tzw. policer). Urządzenie musi umoŜliwiać tworzenie, co najmniej 16000 policerów (na wejściu i na wyjściu), z których kaŜdy moŜe być dedykowany do ograniczania jednej indywidualnej klasy ruchu (na porcie lub VLANie) lub ograniczania zagregowanego ruchu naleŜącego do kilku róŜnych klas. Policer powinien umoŜliwiać odrzucanie nadmiaru ruchu (ponad zdefiniowany profil) oraz wymuszać zmianę parametrów QoS zapisanych w pakiecie. 2. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem, jakości usług w sieci: − Obsługa, co najmniej czterech kolejek sprzętowych dla róŜnego rodzaju ruchu − Obsługa, co najmniej jednej kolejki ze statusem strict priority − MoŜliwość klasyfikacji pakietów przez urządzenie w oparciu o pola CoS oraz DSCP. Funkcje zarządzania i monitorowania urządzania oraz sieci LAN 1. Urządzenie musi posiadać moŜliwość tworzenia portów monitorujących, pozwalających na kopiowanie na port monitorujący ruchu z innego dowolnie wskazanego portu lub sieci VLAN z lokalnego przełącznika i zdalnego przełącznika. 2. Urządzenie musi umoŜliwiać zarządzanie poprzez Command Line (wydawanie komend bez menu wyboru). 3. Urządzenie musi wspierać zarządzanie poprzez SNMP oraz RMON (cztery grupy: historia, statystyki, alarmy i zdarzenia). 4. Urządzenie musi wspierać mechanizm wykrywania informacji o innych urządzeniach w sieci na poziomie warstwy drugiej (funkcjonalność CDP lub równowaŜna). Mechanizm powinien wykrywać inne urządzenia dołączone do swoich fizycznych portów, podawać informacje o nazwie, typie, adresach oraz numerze portu, jaki wykorzystuje sąsiednie urządzenie na połączeniu. 5. Plik konfiguracyjny urządzenia (w szczególności plik konfiguracji parametrów routingu) powinien być moŜliwy do edycji w trybie off-line, tzn. konieczna jest moŜliwość przeglądania i zmian konfiguracji w Specyfikacja istotnych warunków zamówienia Nr sprawy: 160/2008/W Strona 3 z 6 Centrum Informatyczne Edukacji, 00-918 Warszawa, Al. Szucha 25 pliku tekstowym na dowolnym urządzeniu PC. Po zapisaniu konfiguracji w pamięci nie ulotnej musi być moŜliwe uruchomienie urządzenia z nową konfiguracją. Zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się częściowych restartów urządzenia po dokonaniu zmian. 6. W momencie dostawy urządzenie musi być wyposaŜone w: − 24 porty 10/100/1000 Base-T (RJ-45) − moduł pozwalający na instalację co najmniej 6 portów 10GE − co najmniej 4 porty 10GE (X2) w standardzie LX4 − co najmniej jeden port USB 2) Przełącznik sieciowy typ 2, ilość sztuk 4 Architektura i wydajność urządzenia 1. Architektura urządzenia powinna być modularna, o moŜliwości zainstalowania, co najmniej sześciu modułów (wliczając moduł zarządzający). 2. Wydajność przełączania na poziomie co najmniej 80Mpps oraz przepustowości 100Gb/s. 3. Przepustowość pojedynczego slotu na poziomie minimum 24Gb. 4. Urządzenie musi posiadać zainstalowany redundantny zasilacz o mocy minimalnej 1000W. 5. Urządzenie musi posiadać moŜliwość wyposaŜenia w 240 portów 10/100/1000 BASE-T w skrajnej konfiguracji. 6. Urządzenie musi mieć moŜliwość instalacji minimum 2 portów 10Gb. 7. Urządzenie musi być wyposaŜone w podstawową pamięć flash (wewnątrz urządzenia – min 64MB) oraz moŜliwość instalacji zewnętrznej pamięci typu Compact Flash (gniazdo dostępne z zewnątrz, bez konieczności otwierania obudowy lub wyjmowania modułów) o pojemności min 64MB. Zarówno wewnętrzna jak i zewnętrzna powinna umoŜliwiać wystartowanie systemu operacyjnego urządzenia. 8. Urządzenie musi dysponować minimum 256MB pamięci operacyjnej z moŜliwością rozbudowy do minimum 512MB. 9. Urządzenie musi obsługiwać karty liniowe wyposaŜone w uniwersalne porty GE (GBIC lub SFP) umoŜliwiające instalowanie wymiennie konwerterów: − Światłowodowych SMF lub MMF − Miedzianych 1000BaseT na porcie RJ-45 − Światłowodowych, nadających na określonej długości fali zgodnie z technologią CWDM. 10. Urządzenie musi posiadać moŜliwość instalacji kart obsługujących uniwersalne porty 10GE (X2). 11. Urządzenie musi wspierać co najmniej 2000 sieci VLAN w zgodzie ze standardem IEEE 802.1q. 12. Urządzenie musi mieć moŜliwość bezpośredniego montaŜu w szafie 19” i wysokość do 10 RU. Funkcje przełączania i niezawodności dla warstwy drugiej i trzeciej 1. W celu uniknięcia degradacji wydajności przełączania przy zastosowaniu zaawansowanych funkcji, urządzenie musi mieć zaimplementowaną sprzętowo obsługę co najmniej następujących funkcji: − Przełączanie ruchu na warstwie drugiej − Przełączanie ruchu IP (unicast i multicast) − Filtrowanie ruchu przez definiowalne w konfiguracji filtry (przynajmniej IP/TCP/UDP) Specyfikacja istotnych warunków zamówienia Nr sprawy: 160/2008/W Strona 4 z 6 Centrum Informatyczne Edukacji, 00-918 Warszawa, Al. Szucha 25 2. Urządzenie musi umoŜliwiać przełączanie w warstwie trzeciej przy współpracy ze statycznie i dynamicznie kreowanymi tablicami forwardowania pakietów. Routing IP na urządzeniu powinien umoŜliwiać pracę z następującymi protokołami: − Definicja statyczna − Protokół RIP1 i 2 − Protokół OSPF (moŜliwa rozbudowa o dodatkową licencję) − Protokół BGP (moŜliwa rozbudowa o dodatkową licencję) 3. Urządzenie musi obsłuŜyć co najmniej 32000 wpisów w tablicę routingu. 4. Urządzenie musi wspierać Policy Based Routing (PBR) lub równowaŜny z moŜliwością rozszerzenia moŜliwości forwardowania pakietów na bazie dodatkowych kryteriów, innych niŜ adres sieci docelowej pakietu. Dodatkowe kryteria powinny obejmować co najmniej adres IP (źródłowy / docelowy /oba) – Zamawiający dopuszcza aby funkcjonalność była dostępna po wykupieniu stosownej licencji nieobjętej niniejszym postępowaniem 5. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem ciągłości pracy sieci: − 802.1w, 802.1s, 802.1q, 802.3ad − moŜliwość grupowania portów w jeden logiczny z wykorzystaniem portów pochodzących z róŜnych kart liniowych (EtherChannel lub równowaŜny) − Urządzenie musi umieć wykrywać jednokierunkową komunikację wynikającą z uszkodzenia na warstwie pierwszej (zarówno dla połączeń Ethernet po światłowodzie jak i po UTP). Po wykryciu jednokierunkowej komunikacji, urządzenie musi umieć wyłączyć port, zgłaszając problem dla administratora. (UniDirectional Link Detection lub równowaŜna funkcjonalność) − protokół zapewniający redundancję domyślnego routera dla segmentu sieci IP, pozwalający na posiadanie wirtualnego adresu IP, obsługiwanego przez więcej niŜ jeden router. W danej chwili jeden z routerów aktywnie pełni rolę domyślnego routera dla segmentu, a pozostałe pracują, jako zapasowe. Urządzenie musi umoŜliwiać tworzenie wielu wirtualnych routerów w oparciu o te same urządzenia, gdzie kaŜdy z wirtualnych routerów moŜe być w danej chwili realizowany przez inne urządzenie.(HSRP lub równowaŜny) Funkcje dla zabezpieczenia urządzenia i sieci LAN 1. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem bezpieczeństwa sieci: − − − Uwierzytelnienie uŜytkowników na portach przez 802.1x Dynamiczne przypisanie portu do sieci VLAN, na bazie informacji pobranych z profilu na serwerze RADIUS podczas uwierzytelnienia przez 802.1X MoŜliwość uzyskania dostępu do urządzenia przez SNMPv3 i SSH 1 i 2 − MoŜliwość definiowania filtrów pakietów blokujących wyspecyfikowany ruch, wewnątrz sieci VLAN jak i pomiędzy sieciami VLAN (przy routingu pomiędzy sieciami VLAN). Filtry powinny umoŜliwiać filtrowanie na podstawie źródłowych i docelowych adresów IP (wewnątrz sieci VLAN oraz pomiędzy sieciami VLAN) oraz źródłowych i docelowych adresów MAC (wewnątrz sieci VLAN). − MoŜliwość autoryzacji logowania do urządzenia (dostęp administracyjny) za pomocą serwerów RADIUS i TACACS+ − MoŜliwość blokowania całego ruchu pomiędzy określonymi portami w obrębie jednego VLANu (tzw. Isolated ports) z pozostawieniem moŜliwości komunikacji z portem nadrzędnym (promiscuous port) (funkcjonalność na poziomie Private Vlan lub równowaŜna) − MoŜliwość dynamicznej inspekcji protokołu ARP, w celu ochrony przed atakami ARP Spoofing (DAI – Dynamic Arp Inspection lub równowaŜny) − MoŜliwość śledzenia i zapamiętywania przypisań adresów IP przez serwer DHCP lub tworzenia statycznych tablic przypisań IP-MAC-port. Wynikiem przypisania jest mozliwość Specyfikacja istotnych warunków zamówienia Nr sprawy: 160/2008/W Strona 5 z 6 Centrum Informatyczne Edukacji, 00-918 Warszawa, Al. Szucha 25 dynamicznego kreowania filtrów pakietów na portach, które zezwalają jedynie na przyjmowanie ruchu o znanym z tablicy adresie źródłowy IP i MAC (Obsługa funkcji IP Source Guard lub równowaŜnej). − MoŜliwość blokowania ataków typu IP Spoofing, wysycania puli adresów IP z serwera DHCP oraz wysycania tabeli adresów MAC − Urządzenie musi mieć moŜliwość zabezpieczania przed niepowołanym zainstalowaniem obcych urządzeń w sieci, które mogą celowo zmienić strukturę Spanning Tree (BPDU Guard, Root Guard) Funkcje zapewniania, jakości usług 1. Urządzenie musi mieć moŜliwość definiowania mechanizmów ograniczania transmisji dla określonego ruchu (tzw. policer). Urządzenie musi umoŜliwiać tworzenie, co najmniej 512 policerów (na wejściu i na wyjściu), z których kaŜdy moŜe być dedykowany do ograniczania jednej indywidualnej klasy ruchu (na porcie lub VLANie) lub ograniczania zagregowanego ruchu naleŜącego do kilku róŜnych klas. Policer powinien umoŜliwiać odrzucanie nadmiaru ruchu (ponad zdefiniowany profil) oraz wymuszać zmianę parametrów QoS zapisanych w pakiecie. 2. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem, jakości usług w sieci: − Obsługa, co najmniej czterech kolejek sprzętowych dla róŜnego rodzaju ruchu − Obsługa, co najmniej jednej kolejki ze statusem strict priority − MoŜliwość klasyfikacji pakietów przez urządzenie w oparciu o pola CoS oraz DSCP. Funkcje zarządzania i monitorowania urządzania oraz sieci LAN 1. Urządzenie musi posiadać moŜliwość tworzenia portów monitorujących, pozwalających na kopiowanie na port monitorujący ruchu z innego dowolnie wskazanego portu lub sieci VLAN z lokalnego przełącznika i zdalnego przełącznika. 2. Urządzenie musi umoŜliwiać zarządzanie poprzez Command Line (wydawanie komend bez menu wyboru). 3. Urządzenie musi wspierać zarządzanie poprzez SNMP oraz RMON (cztery grupy: historia, statystyki, alarmy i zdarzenia). 4. Urządzenie musi wspierać mechanizm wykrywania informacji o innych urządzeniach w sieci na poziomie warstwy drugiej (funkcjonalność CDP lub równowaŜna). Mechanizm powinien wykrywać inne urządzenia dołączone do swoich fizycznych portów, podawać informacje o nazwie, typie, adresach oraz numerze portu, jaki wykorzystuje sąsiednie urządzenie na połączeniu. 5. Plik konfiguracyjny urządzenia (w szczególności plik konfiguracji parametrów routingu) powinien być moŜliwy do edycji w trybie off-line, tzn. konieczna jest moŜliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC. Po zapisaniu konfiguracji w pamięci nie ulotnej musi być moŜliwe uruchomienie urządzenia z nową konfiguracją. Zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się częściowych restartów urządzenia po dokonaniu zmian. 6. W momencie dostawy urządzenie musi być wyposaŜone w: − 144 porty 10/100/1000 Base-T (RJ-45) − co najmniej 2 porty 10GE (X2) w standardzie LX4 UWAGA: Zamawiający wymaga równieŜ zestaw akcesoriów (kable zasilające, kable sieciowe, itp.) umoŜliwiający montaŜ i podłączenie wszystkich dostarczonych komponentów sprzętowych Specyfikacja istotnych warunków zamówienia Nr sprawy: 160/2008/W Strona 6 z 6