Załącznik nr 1.7 - Opis przedmiotu zamówienia cz. 7

Znak sprawy: RA-TL-Z-10/2015
załącznik nr 1.7 do SIWZ
Opis przedmiotu zamówienia – CZĘŚĆ 7
Poz.
A
Opis i minimalne wymagania Zamawiającego
Ilość
Przełącznik sieciowy o parametrach:
1. Przełącznik wolnostojący posiadający minimum 24 porty 1/10G SFP+. Wszystkie
porty muszą być dostępne od przodu urządzenia.
2. Przełącznik musi być wyposażony w:
1) Redundantne i wymienne moduły wentylatorów z standardowym przepływem
powietrzy Front-to-Back;
2) Redundantne i wymienne zasilacze prądu zmiennego AC (niedopuszczalne
rozwiązania zewnętrzne).
3. Urządzenie musi mieć możliwość wyposażenia w zasilacze prądu stałego DC.
4. Urządzenie musi zapewniać przepustowość nie mniejszą niż 480Gb/s. Szybkość
przełączania/routingu minimum 225Mpps dla IPv4 i 110Mpps dla IPv6
5. Urządzenie musi zapewniać możliwość tworzenia statystyk ruchu w oparciu o
NetFlow/J-Flow lub podobny mechanizm, przy czym wielkość tablicy
monitorowanych strumieni nie może być mniejsza niż 128 000 (wymagane wsparcie
sprzętowe).
6. Urządzenie musi zapewniać obsługę:
1) min. 4 000 sieci VLAN, interfejsów SVI, instancji Spanning Tree;
2) min. 50 000 adresów MAC;
3) sprzętową dla QoS i ACL - minimum 64 000 wpisów sprzętowych.
7. Urządzenie musi posiadać min. 2GB pamięci DRAM z możliwością jej rozbudowy do
4GB.
8. Urządzenie musi umożliwiać przełączanie w warstwie 2 i 3. Wymagane jest wsparcie
dla min. routingu statycznego i dynamicznego (min. dla portokołu RIPv2 i RIPng),
routingu multicastów IPv4 i IPv6 (PIM-SM, PIM-SSM) i protokołu redundancji
bramy VRRP/HSRP/GLBP lub innego równoważnego. Urządzenie musi umożliwiać
rozszerzenie funkcjonalności (poprzez upgrade oprogramowania lub zakup
odpowiedniej licencji) o zaawansowane protokoły routingu warstwy 3 dla ruchu IPv4
i IPv6 (min. BGP, OSPFv2/v3, IS-IS, PBR).
2 szt.
9. Urządzenie musi zapewniać obsługę protokołu BFD (Bidirectional Forwarding
Detection) dla IPv4 i IPv6 dla routingu statycznego oraz dynamicznego (po
rozszerzeniu funkcjonalności) – minimum dla protokołów OSPF i BGP.
10. Tablica routingu musi posiadać minimum:
1) 60 000 wpisów dla IPv4;
2) 30 000 wpisów dla IPv6;
3) 10 000 wpisów dla ruchu multicast (IPv4/IPv6).
11. Przełącznik musi obsługiwać ramki Jumbo (do min. 9216 bajtów).
12. Urządzenie musi wspierać następujące mechanizm związane z zapewnieniem
ciągłości pracy sieci:
1) 802.1w Rapid Spanning Tree;
2) 802.1s Multi-Instance Spanning Tree.
13. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem jakości
usług w sieci:
1) Obsługa 8 kolejek sprzętowych dla różnego rodzaju ruchu;
2) Obsługa co najmniej jednej kolejki ze statusem strict priority;
3) Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie
następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy
adres IP, źródłowy/docelowy port TCP;
4) Możliwość “re-kolorowania” pakietów przez urządzenie – pakiet przychodzący
do urządzenia przez przesłaniem na port wyjściowy może mieć zmienione pola
802.1p (CoS) oraz IP ToS/DSCP;
5) Kontrola sztormów dla ruchu boradcast i multicast;
6) Mechanizm AutoQoS lub równoważny.
14. Obsługa protokołu LLDP i LLD-MED.
15. Obsługa funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu danych i
ruchu głosowego.
Strona 1 z 4
Stawka
VAT
0%
Znak sprawy: RA-TL-Z-10/2015
B
załącznik nr 1.7 do SIWZ
16. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem
bezpieczeństwa sieci:
1) Min. 5 poziomów dostępu administracyjnego poprzez konsolę;
2) Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością
dynamicznego przypisania użytkownika do określonej sieci VLAN i z
możliwością dynamicznego przypisania listy ACL;
3) Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do
sieci dla użytkowników bez suplikanta 802.1X;
4) Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC;
5) Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów
bez suplikanta 802.1X;
6) Wymagana jest wsparcie dla możliwości uwierzytelniania wielu użytkowników
na jednym porcie;
7) Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC 5176;
8) Możliwość uzyskania dostępu do urządzenia przez SNMPv3 i SSHv2;
9) Możliwość szyfrowania ruchu zgodnie z IEEE 802.1AE (MACSec) dla
wszystkich portów 1/10GE przełącznika (dla połączeń switch-switch oraz
switch-użytkownik/serwer);
10)Obsługa list kontroli dostępu (ACL) dla IPv4 i IPv6;
11)Zapewnienie podstawowych mechanizmów bezpieczeństwa w tym Port Security,
DHCP Snooping, Dynamic ARP Inspection, IP Source Guard
12)Zapewnienie podstawowych mechanizmów bezpieczeństwa dla ruchu IPv6 na
brzegu sieci – DHCPv6 Guard, IPv6 Snooping, IPv6 Router Advertisement (RA)
Guard, RA Throttler, IPv6 Source/Prefix Guard, IPv6 Destination Guard;
13)Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny
oraz 802.1X) do serwerów RADIUS lub TACACS+;
14)Funkcjonalność prywatnego VLAN-u, czyli możliwość blokowania ruchu
pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z
pozostawieniem możliwości komunikacji z portem nadrzędnym.
17. Przełącznik musi umożliwiać lokalną i zdalną obserwację ruchu na określonym porcie
(mechanizmy SPAN i RSPAN) – wymagana jest obsługa min. 8 sesji SPAN/RSPAN
na przełączniku (bi-directional).
18. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o
zadanym źródłowym i docelowym adresie MAC.
19. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn.
konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na
dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być
możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi
być możliwość przechowywania przynajmniej 10 plików konfiguracyjnych i 2 wersji
oprogramowania.
20. Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą
pojawić się w systemie.
21. Urządzenie musi posiadać wbudowany analizator pakietów.
22. Urządzenie musi posiadać funkcjonalność umożliwiającą monitorowanie parametrów
usług dla ruchu IP (IP SLA), w tym również dla usług wiedo (urządzenie musi
posiadać wbudowany symulator ruchu wideo). Wymagana jest możliwość
monitorowania parametrów takich jak opóźnienie, jitter, utrata pakietów.
23. Urządzenie musi umożliwiać stworzenie wirtualnego systemu złożonego z min. 2
urządzeń będącego przedmiotem opisu, zarządzanego jako całość. Urządzenia
pracujące w takiej konfiguracji muszą umożliwiać połączenie w system z
wykorzystaniem standardowych portów 10GE oraz modułów optycznych, a dla
innych urządzeń taki system wirtualny musi być widoczny jako pojedynczy węzeł
sieciowy. W ramach systemu wirtualnego musi istnieć możliwość tworzenia połączeń
link aggregation terminowanych na dwóch fizycznych przełącznikach (tzw. multichassis link aggregation) zgodnych z IEEE 802.3ad.
24. Obudowa przystosowana do montażu w szafie 19”. Wysokość nie większa niż 1RU.
Przełącznik sieciowy o parametrach:
1. Przełącznik wolnostojący wyposażony w 8 portów 10/100/1000BaseT PoE+ 2 szt.
(zgodnych z IEEE 802.3at) oraz dwa porty uplink combo 10/100/1000 lub SFP
Strona 2 z 4
0%
Znak sprawy: RA-TL-Z-10/2015
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
załącznik nr 1.7 do SIWZ
Porty SFP muszą umożliwiać ich obsadzenie modułami 1000Base-SX, 1000BaseLX/LH, 1000Base-BX oraz CWDM zależnie od potrzeb Zamawiającego
Przełącznik musi być wyposażony w zasilacz wewnętrzny. Urządzenie musi
zapewniać minimum 120W dla portów PoE
Szybkość przełączania minimum 13,2Mpps dla pakietów 64-bajtowych.Matryca
przełączająca o wydajności minimum 10Gbps
Minimum 128MB pamięci DRAM
Minimum 64MB pamięci flash
Obsługa minimum 1000 sieci VLAN 802.1Q z pełnym zakresem VLAN IDs (4000)
Obsługa minimum 4000 adresów MAC
Obsługa protokołu NTP
Obsługa IGMPv3 i MLDv1/2 Snooping
Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem
ciągłości pracy sieci:
1) IEEE 802.1w Rapid Spanning Tree
2) IEEE 802.1s Multi-Instance Spanning Tree
3) Obsługa minimum 128 instancji STP
Obsługa protokołu LLDP i LLDP-MED
Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o
zadanym źródłowym i docelowym adresie MAC
Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu
głosowego
Przełącznik musi posiadać możliwość uruchomienia funkcji serwera DHCP
Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem
bezpieczeństwa sieci:
1) Minimum 5 poziomów dostępu administracyjnego poprzez konsolę.
Przełącznik musi umożliwiać zalogowanie się administratora z konkretnym
poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji
2) Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością
dynamicznego przypisania użytkownika do określonej sieci VLAN
3) Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością
dynamicznego przypisania listy ACL
4) Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do
sieci dla użytkowników bez suplikanta 802.1X
5) Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC
6) Możliwość uwierzytelniania użytkowników w oparciu o portal www dla
klientów bez suplikanta 802.1X (bez konieczności stosowania zewnętrznego
serwera www)
7) Wymagane jest wsparcie dla możliwości uwierzytelniania wielu
użytkowników na jednym porcie oraz możliwości jednoczesnego
uwierzytelniania na porcie telefonu IP i komputera PC podłączonego za
telefonem
8) Funkcjonalność elastycznego uwierzytelniania (możliwość wyboru kolejności
uwierzytelniania – 802.1X/uwierzytelnianie w oparciu o MAC
adres/uwierzytelnianie oparciu o portal www)
9) Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC 5176
10) Możliwość wdrożenia uwierzytelniania w oparciu o 802.1X w trybie monitor
(niezależnie od tego czy uwierzytelnianie się powiedzie, czy nie użytkownik
ma prawo dostępu do sieci) – jako element sprawdzenia gotowości instalacji na
pełne wdrożenie 802.1X
11) Przełącznik musi posiadać funkcję supplicanta 802.1X (możliwość podłączenia
przełącznika do innego switcha z uruchomionym mechanizmem
uwierzytelniania 802.1X)
12) Obsługa funkcji bezpieczeństwa sieci LAN: Port Security, DHCP Snooping,
Dynamic ARP Inspection i IP Source Guard (również na portach typu link
aggregation)
13) Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny)
do serwerów RADIUS lub TACACS+
14) Obsługa list kontroli dostępu (ACL) na poziomie portów (PACL), VLAN-ów
(VACL), interfejsów routera L3 (RACL), możliwość konfiguracji tzw.
Strona 3 z 4
Znak sprawy: RA-TL-Z-10/2015
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
załącznik nr 1.7 do SIWZ
czasowych list ACL (aktywnych w określonych godzinach i dniach tygodnia)
15) Możliwość szyfrowania ruchu zgodnie z IEEE 802.1AE na portach
dostępowych
Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem
jakości usług w sieci:
1) Implementacja co najmniej czterech kolejek sprzętowych dla ruchu
wyjściowego na każdym porcie dla obsługi ruchu o różnej klasie obsługi
2) Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym
priorytetem w stosunku do innych (Strict Priority)
3) Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez
wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC,
źródłowy/docelowy adres IP, źródłowy/docelowy port TCP
4) Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej
klasie obsługi z dokładnością do 8 Kbps (policing, rate limiting)
5) Kontrola sztormów dla ruchu broadcast/multicast/unicast
6) Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce
Ethernet lub pakiecie IP – poprzez zmianę pola 802.1p (CoS) oraz IP
ToS/DSCP
Wsparcie dla DHCP Option 82
Wbudowane reflektometry (TDR) dla portów miedzianych
Urządzenie musi zapewniać możliwość routingu statycznego i dynamicznego
(minimum w oparciu o protokół RIP i OSPF) dla protokołów IPv4 i IPv6
Możliwość obsługi tras routingu o jednakowym koszcie (ECMP - Equal-cost multipath routing)
Obsługa funkcji DHCP Relay
Możliwość konfiguracji list ACL dla IPv6
Funkcjonalność prywatnego VLAN-u, czyli możliwość blokowania ruchu pomiędzy
portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem
możliwości komunikacji z portem nadrzędnym
Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie,
polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do
zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN)
Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające
prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od
typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.)
Urządzenie musi być wyposażone w port konsoli USB
Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn.
konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na
dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być
możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi
być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych
Obsługa protokołów SNMPv3, SSHv2, SCP, https, syslog
Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą
pojawić się w systemie
Obudowa desktop pozbawiona wentylatorów
Strona 4 z 4