Załącznik nr 5
Transkrypt
Załącznik nr 5
Załącznik Nr 5 do SIWZ Cześć II Zamówienia SPECYFIKACJA TECHNICZNA ZAMAWIANYCH URZĄDZEŃ 1. Szczegółowy Opis przedmiotu zamówienia: Fabrycznie nowe z autoryzowanego kanału dystrybucji na terenie Polski Zamawiający wymaga, by dostarczone urządzenia były nowe , wyprodukowane nie wcześniej niż 1 stycznia 2015 roku oraz by były nieużywane. Wykonawca przedstawi Zamawiającemu pisemne potwierdzenie, że jest oficjalnym partnerem producenta i że dostarczony sprzęt pochodzi z legalnego kanału dystrybucji producenta na rynek polski. Zamawiający zastrzega sobie prawo sprawdzenia poprzez numery seryjne czy dostarczony sprzęt spełnia wszystkie wymienione w opisie wymagania i warunki. Wszystkie dostarczone urządzenia zasilane prądem przemiennym muszą być zasilane napięciem 230 V/50 Hz. Lp Liczba kompletów Opis Nazwa produktu w przypadku systemów równoważnych 1. Przełącznik sieciowy zgodnie z wymaganiami określonymi w punkcie 1.1 albo rozwiązanie równoważne zgodnie z wymaganiami określonymi w punkcie 1.2 3 2. Punkt dostępowy zgodnie z wymaganiami określonymi w punkcie 2.1 albo rozwiązanie równoważne zgodnie z wymaganiami określonymi w punkcie 2.2 22 3. Zapora sieciowa zgodnie z wymaganiami określonymi w punkcie 3.1 albo rozwiązanie równoważne zgodnie z wymaganiami określonymi w punkcie 3.2 2 1.1 Przełącznik sieciowy CISCO Catalyst 3650: Wykonawca zobowiązany jest wpisać, zgodnie z tytułem kolumny „TAK/NIE” jedynie w pustych polach tabeli. Lp Ilość dla Oferowany Opis / Minimalny wymagany poszczególnego parametr/Nazwa parametr przełącznika produktu 1. WS-C3650-48FD-S 1 2. CAB-TA-EU 2 3. PWR-C2-1025WAC 2 4. CAB-CONSOLE-USB 1 TAK/NIE 5. S3650UK9-33SE 1 6. C3650-STACK-KIT 1 7. STACK-T2-1M 1 8. GLC-SX-MMD 1 9. CON-SNT-WSC654 1 Uwaga! Wykonawca powinien wybrać, które rozwiązanie zaoferuje Zamawiającemu. W przypadku zaoferowania jednocześnie przedmiotu zamówienia z pkt 1.1. i 1.2. Oferta Wykonawcy zostanie odrzucona jako Oferta wariantowa. 1.2 Urządzenie równoważne do przełącznika sieciowego zdefiniowanego w pkt. 1.1: Wykonawca zobowiązany jest wpisać, zgodnie z tytułem kolumny „TAK/NIE” jedynie w pustych polach tabeli. Lp Opis / Minimalny wymagany parametr Ogólne Urządzenie musi być wyposażone w 48 portów 10/100/1000 BaseT PoE+ (IEEE 802.3at), 2 porty uplink 10 Gigabit Ethernet SFP+ oraz 2 porty uplink 1 Gigabit Ethernet SFP. Porty uplink muszą umożliwiać obsadzenie modułami Gigabit Ethernet SFP (co najmniej 1000Base-T, 1000Base-SX, 1000Base-LX/LH, 1000Base-FX, 1000Base- ZX, 1000Base-BX-D/U i CWDM) oraz 10 Gigabit Ethernet (co najmniej 10GBase-SR, 10GBase-LR, 10GBase-LRM) Urządzenie musi być wyposażone w redundantne i wymienne moduły wentylatorów Urządzenie musi umożliwiać łączenia w stos z zapewnieniem następujących parametrów: a. Przepustowość w ramach stosu min. 160Gb/s b. Min. 9 urządzeń w stosie c. Zarządzanie poprzez jeden adres IP d. Możliwość tworzenia połączeń cross-stack Link Aggregation (czyli dla portów należących do różnych jednostek w stosie) zgodnie z 802.3ad Zasilanie Urządzenie musi być wyposażone w zasilacz podstawowy i redundantny. Zamawiający nie dopuszcza stosowania zewnętrznych systemów zasilania redundantnego w celu realizacji tego Oferowany parametr/Nazwa produktu TAK/NIE zadania. Zainstalowane wymienne zasilacze muszą być Zainstalowane zasilacze muszą zapewniać min. 775W dla PoE Urządzenie musi posiadać możliwość instalacji zasilacza prądu stałego. Wymagane jest, aby w urządzeniu można było jednocześnie instalować zarówno zasilacze prądu zmiennego, jak i stałego. W momencie dostawy urządzenie ma być wyposażone w zasilacz prądu zmiennego 230V Urządzenie musi wspierać Energy-Efficient Ethernet (EEE) zgodnie z IEEE 802.3az Wydajność Urządzenie musi zapewniać przetwarzanie/przełączania danych (tzn. Forwarding Rate) na poziomie nie mniejszym niż 100 Mpps Urządzenie musi zapewniać zdolność przełączania (tzn. Switching capacity) nie mniejszą niż 176 Gbps Szybkość przełączania zapewniająca pracę z pełną wydajnością wszystkich interfejsów - również dla pakietów 64-bąjtowych Minimum 4GB pamięci DRAM i 2GB pamięci flash Urządzenie musi posiadać możliwość używania 4000 różnych VLAN ID W trybie pracy jako router urządzenie musi wspierać min. 24 000 tras IPv4 W trybie pracy w warstwie 2 (VLAN) urządzenie musi wspierać min. 32 000 adresów MAC Urządzenie musi obsługiwać minimum 128 instancji protokołu STP Funkcjonalność Urządzenie umożliwia konfigurację funkcjonalności RSPAN lub równoważnej Urządzenie wspiera Jumbo Frames (9K) Urządzenie wspiera protokoły 802.1w oraz 802.1s Urządzenie zapewnia możliwość ograniczenia (rate limit) na podstawie źródłowego i docelowego adresu IP, źródłowego i docelowego adresu MAC oraz informacji TCP/UDP warstwy 4 Urządzenie zapewnia obsługę mechanizmu Weighted Tail Drop Urządzenie musi posiadać zintegrowany kontroler sieci bezprzewodowej Obsługa protokołu NTP Obsługa IGMPv1/2/3 i MLDv1/2 Snooping Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem ciągłości pracy sieci: a. IEEE 802.1 w Rapid Spanning Tree b. IEEE 802.1s Multi-lnstance Spanning Tree Urządzenie musi wspierać funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym źródłowym i docelowym adresie MAC Urządzenie musi umożliwiać funkcję Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego Urządzenie musi posiadać możliwość uruchomienia funkcji serwera DHC Urządzenie musi zapewniać możliwość routingu statycznego i dynamicznego dla !Pv4 i IPv6 (minimum protokół RIP). Urządzenie musi zapewniać możliwość rozszerzenia funkcjonalności o wsparcie dla zaawansowanych protokołów routingu IPv4 (OSPF, BGP) i IPv6 (OPSFv3), funkcjonalności Policy-based routingu i routingu multicast (PIM-SM, PIM-SSM) poprzez zakup odpowiedniej licencji lub wersji oprogramowania - bez konieczności dokonywania zmian sprzętowych Obsługa protokołu HSRP/VRRP lub mechanizmu równoważnego dla usług redundancji bramy dla IPv4 i IPv6 Urządzenie musi zapewniać możliwość tworzenia statystyk ruchu w oparciu o NetFlow/J-Flow lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie może być mniejsza niż 48.000. Wymagane jest sprzętowe wsparcie dla gromadzenia statystyk NetFlow/J-Flow Minimum jeden port USB umożliwiający podłączenie zewnętrznego nośnika danych. Urządzenie musi mieć możliwość uruchomienia z nośnika danych umieszczonego w porcie USB Urządzenie musi być wyposażone w port konsoli USB Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie Bezpieczeństwo Urządzenie zapewnia uzyskanie urządzenia przez SNMPv3 i SSH dostępu do Minimum 5 poziomów dostępu administracyjnego poprzez konsolę. Przełącznik musi umożliwiać zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji (privilege-level) Urządzenie zapewnia autoryzację użytkowników/portów przez 802.1x, w tym min. przypisanie do właściwego VLAN, dynamiczne przypisanie filtru do portu, dostęp gościnny, Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC 5176 Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC Funkcjonalność flexible authentication (możliwość wyboru kolejności uwierzytelniania 802.1X/uwierzytelnianie w oparciu o MAC adres/uwierzytelnianie oparciu o portal www) Możliwość wdrożenia uwierzytelniania w oparciu o 802.1X w trybie monitor (niezależnie od tego czy uwierzytelnianie się powiedzie, czy nie użytkownik ma prawo dostępu do sieci) - jako element sprawdzenia gotowości instalacji na pełne wdrożenie 802.1X Obsługa funkcji Port Security, DHCP Snooping, Dynamie ARP Inspection i IP Source Guard Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów RADIUS Obsługa list kontroli dostępu (ACL), możliwość konfiguracji tzw. czasowych list ACL (aktywnych w określonych godzinach i dniach tygodnia) Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) - w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard), ochronę przed dołączeniem nieuprawnionych serwerów DHCPv6 do sieci (DHCPv6 Guard) Możliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji z portem nadrzędnym Wyposażenie Kabel konsoli szeregowej USB do konfiguracji urządzenia Kabel o długości 1m do realizacji funkcjonalności łączenia w stos Urządzenie musi być dostarczone z 1 wkładką 1000Base-SX SFP spełniającą następujące wymagania: a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń. Nie dopuszcza się stosowania zamienników. b. Musi być przeznaczona do współpracy ze standardowym światłowodem wielomodowym (50um). c. Musi być kompatybilna ze standardem IEEE 802.3z 1000BASE-SX. d. Musi pracować dla pasma 850 nm i oferować zasięg co najmniej 500 m. e. Musi posiadać podwójny konektor LC/PC. f. Musi posiadać funkcję monitoringu parametrów takich jak wyjściowa moc optyczna, wejściowa moc optyczna, temperatura, wartość napięcia zasilania transceivera, prąd polaryzacji lasera. Funkcje kontrolera WIFI Urządzenie musi posiadać możliwość rozszerzenia funkcjonalności o funkcję kontrolera sieci bezprzewodowej WiFi (poprzez zakup odpowiedniej licencji lub wersji oprogramowania - bez konieczności dokonywania zmian sprzętowych) Centralne zarządzanie punktami dostępowymi zgodnie z protokołem CAPWAP (RFC 5415), w tym zarządzane politykami bezpieczeństwa i zarządzanie pasmem radiowym (RRM) Przepustowość dla sieci WiFi nie mniejsza niż 40Gb/s Obsługa minimim 25 punktów dostępowych Obsługa minimum 1000 klientów sieci WiFi Elastyczne mechanizmy QoS dla sieci WiFi w tym możliwość definiowania parametrów usług per punkt dostępowy/SSID/klient sieci WiFi Możliwość terminowania tuneli CAPWAP urządzeniu Integracja z istniejącą infrastrukturą Zamawiającego na Urządzenie zapewnia możliwość grupowania portów zgodnie z 802.3ad (LACP) Urządzenie obsługuje protokół VTP w wersji 3 Urządzenie obsługuje protokół CDPv2 Urządzenie jest w stanie wysyłać SNMP Trapy przynajmniej w zakresie: uszkodzenia komponentów urządzania (zasilacz, wentylator), zmiana statusu portu Jakoś usług sieci Implementacja co najmniej 8 kolejek dla ruchu wyjściowego na każdym porcie dla obsługi ruchu o różnej klasie obsługi Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (polietng, ratę limiting). Możliwość skonfigurowania do 2000 ograniczeń per urządzenie Zarządzanie Urządzenie posiada możliwość zarządzania poprzez przeglądarkę WWW jak i linie poleceń Konfiguracja Plik konfiguracyjny urządzenia ma możliwość edycji w trybie off-line. tzn. jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC. Po zapisaniu konfiguracji w pamięci nie ulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nie ulotnej jest przechowywania dowolnej ilości plików konfiguracyjnych. Zmiany aktywnej konfiguracji są być widoczne natychmiastowo – nie dopuszcza się częściowych restartów urządzenia po dokonaniu zmian Montaż Urządzenie przeznaczone do montażu w szafie 19” Wysokość urządzenia nie może przekraczać 1 RU Wszelkie elementy montażowe w komplecie Gwarancja/Serwis Dostarczane urządzenie jest objęte minimum. 12miesięcznym (dwunastomiesięcznym) serwisem licząc od daty wygenerowania serwisu. Urządzenie jest objęte serwisem opartym na serwisie producenta urządzenia, świadczonym w reżimie 8x5xNBD Dostęp do wsparcia technicznego producenta/tów poszczególnych części urządzenia w trybie 24 godziny, 7 dni w tygodniu. Udostępnione wsparcie techniczne zapewnia co najmniej przeglądanie baz wiedzy producenta oferowanego urządzenia. Dostęp do aktualizacji oprogramowania wdrożonego Urządzenia Zaoferowane pakiety serwisowe zapewniają bezpośrednie zgłoszenie awarii sprzętu do producenta urządzenia przez cały okres trwania gwarancji Uwaga! Wykonawca powinien wybrać, które rozwiązanie zaoferuje Zamawiającemu. W przypadku zaoferowania jednocześnie przedmiotu zamówienia z pkt 1.2. i 1.1. Oferta Wykonawcy zostanie odrzucona jako Oferta wariantowa. Nazwa producenta i model oferowanego urządzenia spełniającego powyższe wymagania: …………………………………………………………………………………………………………..…… UWAGA: Wszystkie puste i wykropkowane pola należy bezwzględnie wypełnić. Miejsce i data _____________________________________________________________________________ (podpis/y osoby lub osób uprawnionych do reprezentowania Wykonawcy na podstawie właściwego rejestru lub pełnomocnictwa) 2.1 Przełącznik sieciowy CISCO AIR-CAP3702I: Wykonawca zobowiązany jest wpisać, zgodnie z tytułem kolumny „TAK/NIE” jedynie w pustych polach tabeli. Lp Ilość dla Oferowany Opis / Minimalny wymagany poszczególnego parametr/Nazwa parametr urządzenia produktu 1. AIR-CAP3702I-E-K9 1 2. CON-SNT-AP3702IE 1 TAK/NIE Uwaga! Wykonawca powinien wybrać, które rozwiązanie zaoferuje Zamawiającemu. W przypadku zaoferowania jednocześnie przedmiotu zamówienia z pkt 2.1. i 2.2. Oferta Wykonawcy zostanie odrzucona jako Oferta wariantowa. 2.2 Urządzenie równoważne do punktu dostępowego zdefiniowanego w pkt. 2.1: Wykonawca zobowiązany jest wpisać, zgodnie z tytułem kolumny „TAK/NIE” jedynie w pustych polach tabeli. Lp Opis / Minimalny wymagany parametr Praca pod kontrolą posiadanego przez Zamawiającego urządzenia CISCO WLC 55xx Punkt dostępu bezprzewodowego (access point) Obsługa standardów 802.11a/b/g/n/ac: obsługa MIMO – min. 4x4:3 Obsługa Maximal ratio combining (MRC) obsługa kanałów 20 i 40MHz dla 802.11n obsługa kanałów 20, 40 i 80 MHz dla 802.11ac obsługa prędkości PHY do 1,3 Gbps obsługa agregacji ramek A-MPDU (Tx/Rx), AMSDU (Tx/Rx) obsługa TxBF (transmitbeamforming) dla klientów 802.11a/g/n/ac obsługa 802.11 dynamic frequency selection (DFS) obsługa Cyclic shift diversity (CSD) obsługa szerokiego zakresu kanałów radiowych: dla zakresu 2.4 GHz: min. 13 kanałów dla zakresu 5GHz: min. 8 kanałów (UNII-1 i UNII-2) dla zakresu 5GHz: min. 8 kanałów (extended UNII-2) konfigurowalna moc nadajnika dla zakresu 2.4 GHz: do 100mW dla zakresu 5GHz: do 200mW (UNII-1 i UNII2) dla zakresu 5GHz: do 200mW (extended UNII2) zgodność z protokołem CAPWAP (RFC 5415), zarządzanie przez kontroler WLAN z funkcjonalnościami: automatyczne wykrywanie kontrolera i konfiguracja poprzez sieć LAN optymalizacja wykorzystania pasma radiowego (ograniczanie wpływu zakłóceń, Oferowany parametr/Nazwa produktu TAK/NIE kontrola mocy, dobór kanałów, reakcja na zmiany) obsługa min. 16 BSSID definiowanie polityk bezpieczeństwa (per SSID) z możliwością rozgłaszania lub ukrycia poszczególnych SSID współpraca z systemami IDS/IPS uwierzytelnianie ruchu kontrolnego 802.11 (z możliwością wykrywania użytkowników podszywających się pod punkty dostępowe) – funkcjonalność 802.11w lub równoważna obsługa trybów pracy Split-MAC (tunelowanie ruchu klientów do kontrolera i centralne terminowanie do sieci LAN) oraz Local-MAC (lokalne terminowanie ruchu do sieci LAN) możliwość pracy po utracie połączenia z kontrolerem, z lokalnym przełączaniem ruchu do sieci LAN i lokalną autoryzacją użytkowników (lokalny serwer RADIUS, skrócona baza danych użytkowników na poziomie AP) – przełączenie nie może powodować zerwania sesji użytkowników jednoczesna obsługa transferu danych użytkowników końcowych oraz monitorowania pasma radiowego (wykrywanie obcych punktów dostępowych i klientów WLAN, wireless IPS) obsługa Dynamic Frequency Selection (DFS) i Transmit Power Control (TPC) zgodnie z 802.11h obsługa szybkiego roamingu użytkowników pomiędzy punktami dostępowymi funkcjonalność 802.11r lub równoważna obsługa mechanizmów QoS: o shaping/ ograniczanie ruchu do użytkownika, z możliwością konfiguracji per użytkownik o obsługa WMM, TSPEC, U-APSD współpraca z urządzeniami o oprogramowaniem realizującym usługi lokalizacyjne wbudowany suplikant 802.1x – możliwość uwierzytelnienia AP do infrastruktury sieciowej Możliwość rozbudowy urządzenia o: Dedykowany moduł radiowy pozwalający na monitorowanie pasma radiowego pod kątem bezpieczeństwa (Wireless IPS) oraz interferencji na wszystkich kanałach radiowych w paśmie 2,4GHz oraz 5GHz. zintegrowany moduł analizatora widma częstotliwościowego (dotyczy zakresów 2.4GHz i 5GHz): dokładność analizy (kwant próbkowania) max. 200 kHz zakres częstotliwościowy zgodny z zakresem pracy modułów radiowych automatyczne wykrywanie i klasyfikacja źródeł interferencji (bluetooth, DECT, urządzenia mikrofalowe, urządzenia transmisji audio wideo, urządzenia zakłócające itp.) możliwość wizualizacji wyników analizy na stacji roboczej klasy PC (FFT, gęstość widma, spektrogram, zajętość kanałów, poziom mocy sygnałów) w czasie rzeczywistym współpraca z mechanizmami optymalizacji wykorzystania pasma radiowego możliwość pracy oprogramowania autonomicznej po wymianie interfejs Gigabit Ethernet (10/100/1000) zróżnicowane możliwości zasilania: zasilacz sieciowy 230V AC zasilanie PoE+ (802.3af) w sposób zapewniający pełną wydajność zasilanie PoE (802.3af) w sposób automatycznie redukujący układ antenowy do wartości 3x3 (gdy punk dostępowy nie jest wyposażony w dodatkowy dedykowany moduł radiowy) anteny zintegrowane: o minimalnym zysku 4dBi dla pasma 2,4 GHz o minimalnym zysku 6dBi dla pasma 5 GHz obudowa o niskim profilu (nie więcej niż 6 cm) diodowa sygnalizacja stanu urządzenia z możliwością deaktywacji certyfikat WiFi Alliance zgodność z dyrektywą 1999/5/EC i 93/42/ECC Gwarancja/Serwis Dostarczane urządzenie jest objęte minimum. 12miesięcznym (dwunastomiesięcznym) serwisem licząc od daty wygenerowania serwisu. Urządzenie jest objęte serwisem opartym na serwisie producenta urządzenia, świadczonym w reżimie 8x5xNBD Dostęp do wsparcia technicznego producenta/tów poszczególnych części urządzenia równoważnego w trybie 24 godziny, 7 dni w tygodniu. Udostępnione wsparcie techniczne zapewnia co najmniej przeglądanie baz wiedzy producenta oferowanego urządzenia. Dostęp do aktualizacji oprogramowania wdrożonego Urządzenia Zaoferowane pakiety serwisowe zapewniają bezpośrednie zgłoszenie awarii sprzętu do producenta urządzenia przez cały okres trwania gwarancji Uwaga! Wykonawca powinien wybrać, które rozwiązanie zaoferuje Zamawiającemu. W przypadku zaoferowania jednocześnie przedmiotu zamówienia z pkt 2.2. i 2.1. Oferta Wykonawcy zostanie odrzucona jako Oferta wariantowa. Nazwa producenta i model oferowanego urządzenia spełniającego powyższe wymagania: …………………………………………………………………………………………………………..…… UWAGA: Wszystkie puste i wykropkowane pola należy bezwzględnie wypełnić. Miejsce i data _____________________________________________________________________________ (podpis/y osoby lub osób uprawnionych do reprezentowania Wykonawcy na podstawie właściwego rejestru lub pełnomocnictwa) 3.1 Zapora sieciowa CISCO ASA5525-K9: Wykonawca zobowiązany jest wpisać, zgodnie z tytułem kolumny „TAK/NIE” jedynie w pustych polach tabeli. Lp Ilość dla Oferowany Opis / Minimalny wymagany poszczególnego parametr/Nazwa parametr urządzenia produktu 1. ASA5525-FPWR-BUN 1 2. ASA5525-FPWR-K9 1 3. CON-SNT-A25FPK9 1 4. SF-ASA-X-9.2.2-K8 1 5. ASA5525-CTRL-LIC 1 6. ASA-RAILS 1 7. SF-ASA-FP5.4-K9 1 8. CAB-ACE 1 TAK/NIE 9. ASA-IC-B-BLANK 1 10. ASA5500X-SSD120INC 1 11. ASA5525-MB 1 12. ASA5500-ENCR-K9 1 13. L-ASA5525-TA= 1 14. L-ASA5525-TA-1Y 1 15. FS-VMW-2-SW-K9 1 16. CON-SAU-VMWSW2 1 17. L-AC-PLS-LIC= 25 18. L-AC-PLS-1Y-S1 25 Uwaga! Wykonawca powinien wybrać, które rozwiązanie zaoferuje Zamawiającemu. W przypadku zaoferowania jednocześnie przedmiotu zamówienia z pkt 3.1. i 3.2. Oferta Wykonawcy zostanie odrzucona jako Oferta wariantowa. 3.2 Urządzenie równoważne do zapory sieciowej zdefiniowanej w pkt. 3.1: Wykonawca zobowiązany jest wpisać, zgodnie z tytułem kolumny „TAK/NIE” jedynie w pustych polach tabeli. Lp Opis / Minimalny wymagany parametr Ogólne Urządzenie musi pełnić funkcje bramy VPN i zapory sieciowej (firewall) typu Statefull inspection. Urządzenie musi mieć możliwość rozbudowy o dodatkowe moduły sprzętowe. Urządzenie musi być wyposażone w co najmniej: Minimum osiem interfejsów Gigabit Ethernet 10/100/1000 (RJ45) Minimum jeden, dedykowany interfejs Gigabit Ethernet 10/100/1000 (RJ45) do zarządzania Urządzenie musi obsługiwać interfejsy VLAN-IEEE 802.1q na interfejsach fizycznych, nie mniej niż 200 interfejsów 802.1q sumarycznie Wydajność Urządzenie musi posiadać pamięć DRAM o pojemności nie mniejszej niż 8GB, umożliwiającej uruchomienie wszystkich dostępnych dla urządzenia funkcjonalności Oferowany parametr/Nazwa produktu TAK/NIE Urządzenie musi umożliwiać zestawianie równocześnie min. 750 tuneli SSL VPN w trybie clientbased i clientless VPN zrealizowane poprzez zakup odpowiedniej licencji lub oprogramowania bez konieczności dokonywania zmian sprzętowych. Urządzenie powinno obsługiwać co najmniej 500 000 jednoczesnych sesji/połączeń. Urządzenie powinno obsługiwać minimum 20 000 nowych połączeń/sekundę. Maksymalna przepustowość obsługiwana przez urządzenie nie powinna być mniejsza niż 2 Gbit/s, a dla ruchu wieloprotokołowego z analizą aplikacji 1 Gbit/s. Wydajność dla ruchu szyfrowanego symetrycznymi algorytmami 3DES/AES powinna wynosić 300 Mbit/s. Funkcjonalność Urządzenie musi pełnić funkcję ściany ogniowej śledzącej stan połączeń (tzw. stateful inspection) z funkcją weryfikacji informacji charakterystycznych dla warstwy aplikacji Urządzenie musi zapewniać konfiguracjię reguł filtrowania ruchu w oparciu o tożsamość użytkownika (Identity Firewall), integrując się ściśle z usługą katalogową Microsoft Active Directory wykorzystywanej przez Zamawiającego Urządzenie musi posiadać możliwość uwierzytelnienia z wykorzystaniem LDAP, NTLM oraz Kerberos Urządzenie nie może posiadać ograniczenia na ilość jednocześnie pracujących użytkowników w sieci chronionej Urządzenie musi zapewniać funkcję koncentratora VPN umożliwiającego zestawianie połączeń IPSec VPN (zarówno site-to-site, jak i remote access) Urządzenie musi mieć możliwość pracy jako transparent zapora sieciowa warstwy drugiej ISO OSI Urządzenie musi obsługiwać protokół NTP Urządzenie musi współpracować z serwerami CA Urządzenie musi obsługiwać funkcjonalność Network Address Translation (NAT oraz PAT) – zarówno dla ruchu wchodzącego, jak i wychodzącego. Urządzenie wspiera translację adresów (NAT) dla ruchu multicastowego. Funkcja NAT musi być również dostępna w trybie „transparent” Urządzenie musi zapewniać mechanizmy redundancji w tym możliwość konfiguracji urządzeń w układ zapasowy (failover) działający w trybie wysokiej dostępności (HA) active/standy, active/active Urządzenie musi realizować synchronizację tablicy połączeń pomiędzy węzłami pracującymi w trybie wysokiej dostępności HA Urządzenie musi zapewniać możliwość konfiguracji redundancji na poziomie interfejsów fizycznych urządzenia Urządzenie musi zapewniać funkcjonalność stateful failover dla ruchu VPN Urządzenie musi obsługiwać routing statyczny i dynamiczny (min. dla protokołów RIP, EIGRP, OSPF i BGP) z replikacją tablic routingu do urządzenia zapasowego Urządzenie musi wspierać Proxy dla protokołu SCEP i umożliwia zautomatyzowany proces pozyskiwania certyfikatów przez użytkowników zdalnych dla dostępu VPN Urządzenie musi wspierać użytkownika korzystającego z trybu klienta VPN (IPSec oraz SSL) oraz clientless SSL VPN, w zakresie obsługi haseł w systemie Microsoft AD, bezpośrednio, co najmniej dla obsługi sytuacji wygaśnięcia terminu ważności hasła w systemie Microsoft AD, umożliwiając zmianę przeterminowanego hasła. Urządzenie musi obsługiwać IKE, IKE Extended Authentication (Xauth) oraz IKE Aggressive Mode. Ponadto urządzenie musi wspierać protokół IKEv2 (Internet Key Exchange w wersji 2) dla połączeń zdalnego dostępu VPN oraz site-to-site VPN opartych o protokół IPSec Urządzenie musi zapewniać możliwość uruchomienia funkcjonalności tzw, Next-Generation Firewall, zrealizowane poprzez zakup odpowiedniej licencji lub oprogramowania bez konieczności dokonywania zmian sprzętowych w zakresie nie mniejszym niż: Bezpieczeństwo System automatycznego wykrywania i klasyfikacji aplikacji (Application Visibility and Control) System IPS System ochrony przed malware System filtracji ruchu w oparciu o URL Urządzenie musi być wyposażone w moduł sprzętowego wsparcia szyfrowania 3DES i AES oraz wszelkie niezbędne licencje na szyfrowanie 3DES/AES Urządzenie musi zapewniać w zakresie SSL VPN weryfikację uprawnień stacji do zestawiania sesji, poprzez weryfikację jej cech, co najmniej: System operacyjny adres z jakiego następuje połączenie zainstalowane certyfikaty Oprogramowanie klienta VPN musi zapewniać protokoły szyfrowania 3DES/AES Oprogramowanie klienta VPN musi zapewniać funkcjonalność blokowania lokalnego dostępu do Internetu podczas aktywnego połączenia klientem VPN (wyłączanie tzw. split-tunnelingu) Urządzenie musi posiadać mechanizmy inspekcji aplikacyjnej i kontroli co najmniej następujących usług: Hypertext Transfer Protocol (HTTP), File Transfer Protocol (FTP), Extended Simple Mail Transfer Protocol (ESMTP), Domain Name System (DNS), Simple Network Management Protocol v 1/2/3 (SNMP), Internet Control Message Protocol (ICMP), Urządzenie umożliwia zaawansowaną normalizację ruchu TCP: poprawność pola TCP ACK(invalid-ack ) poprawność sekwencjonowania segmentów TCP (seq-past-window) poprawność ustanawiania sesji TCP z danymi (synack-data) limitowanie czasu oczekiwania na segmenty nie w kolejności poprawność pola MSS (exceed-mss). poprawność pola długości TCP poprawność skali okna segmentów TCP nonSYN poprawność wielkości okna TCP Urządzenie musi zapewniać możliwość inspekcji protokołów HTTP oraz FTP na portach innych niż standardowe Wyposażenie Urządzenie musi być wyposażone w min. dwa porty USB 2.0 (z obsługą tzw. „hot plug” i pamięci masowych w formacie FAT32) Urządzenie musi być wyposażone min. w jeden wymienny dysk twardy typu SSD o pojemności min. 120GB Urządzenie musi posiadać, zapewnianego przez producenta urządzenia i objętego jednolitym wsparciem technicznym, klienta VPN dla technologii IPSec VPN i SSL VPN Oprogramowanie klienta VPN (IPSec oraz SSL) ma zapewniać możliwość instalacji na stacjach roboczych pracujących pod kontrolą systemów operacyjnych Windows (8, 7 – wersje 32 i 64-bitowe), Linux i umożliwia zestawienie do urządzenia połączeń VPN z komputerów osobistych PC. System IPS Działający na urządzeniu system IPS musi posiadać możliwość wykrywania i uniemożliwiać szeroką gamę zagrożeń (np.: złośliwe oprogramowanie, skanowanie sieci, ataki na usługę VoIP, próby przepełnienia bufora, ataki na aplikacje P2P, zagrożenia dnia zerowego, itp.) Działający na urządzeniu system IPS musi zapewniać co najmniej poniższe sposoby wykrywania zagrożeń sygnatury ataków opartych na exploitach, reguły oparte na zagrożeniach, mechanizm wykrywania anomalii w protokołach Działający na urządzeniu system IPS musi mieć możliwość detekcji ataków/zagrożeń złożonych z wielu elementów i korelacji wielu, pozornie niepowiązanych zdarzeń Działający na urządzeniu system IPS musi posiadać wiele możliwości reakcji na zdarzenia takie jak: tylko monitorowanie, blokowanie ruchu zawierającego zagrożenia oraz mieć możliwość zapisywania Pakietów Działający na urządzeniu system IPS musi zapewniać możliwość pasywnej detekcji predefiniowanych serwisów takich jak FTP, HTTP, POP3,Telnet, itp. Działający na urządzeniu system IPS musi zapewniać mechanizm bezpiecznej aktualizacji sygnatur. Zestawy sygnatur/reguł muszą być pobierane z serwera w sposób uniemożliwiający ich modyfikację przez osoby postronne Działający na urządzeniu system IPS musi być zarządzany tylko poprzez system centralnego zarzadzania za pomocą szyfrowanego połączenia Działający na urządzeniu system IPS musi posiadać możliwość pracy zarówno w trybie pasywnym (IDS) jak i aktywnym (z możliwością blokowania ruchu) Urządzenie musi zostać dostarczone wraz z licencjami umożliwiającymi działanie funkcjonalności IPS (w wypadku licencjonowania okresowego dostarczone licencje powinny obejmować okres nie mniejszy niż gwarancja urządzenia). Integracja z istniejącą infrastrukturą Zamawiającego Urządzenie musi umożliwiać wgranie i uruchomienie aktualnej konfiguracji Zamawiającego wykorzystywanej na urządzeniach CISCO ASA 5540 9.1, ASDM 7.4. W przypadku braku możliwości bezpośredniego wgrana takiej konfiguracji, musi być zapewniona możliwość przeniesienia aktualnej konfiguracji Zamawiającego z wykorzystaniem narzędzi konwersji. Zarządzanie Urządzenie musi posiadać zarządzania port konsoli dedykowany dla Urządzenie musi posiadać pamięć Flash o pojemności umożliwiającej przechowanie, co najmniej 3 obrazów systemu operacyjnego (w najnowszej dostępnej wersji) i 3 plików konfiguracyjnych Urządzenie musi umożliwiać konfigurację globalnych reguł filtrowania ruchu, które aplikowane są na wszystkie interfejsy urządzenia jednocześnie Urządzenie musi umożliwiać konfigurację reguł NAT i ACL w oparciu o obiekty i grupy obiektów. Do grupy obiektów może należeć host, podsieć lub zakres adresów, protokół lub numer portu Urządzenie musi posiadać możliwość eksportu informacji przez syslog Urządzenie musi wspierać eksport zdarzeń opartych o przepływy za pomocą protokołu NetFlow lub analogiczny Urządzenie musi być konfigurowalne przez CLI oraz interfejs graficzny Dostęp do urządzenia ma być możliwy przez SSH v2 Urządzenie musi obsługiwać protokół SNMP v 1/2/3 Urządzenie musi zapewniać możliwość edycja pliku konfiguracyjnego urządzenia w trybie off-line. Tzn. istnieje możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC. Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. Urządzenie musi posiadać wsparcie dla mechanizmu TCP Ping, który pozwala na wysyłanie wiadomości TCP dla rozwiązywania problemów związanych z łącznością w sieciach IP Montaż Urządzenie ma możliwość instalacji w szafie typu rack 19”. Wysokość urządzenia nie większa niż 1 RU elementy niezbędne do montażu muszą być dostarczone z urządzeniem Gwarancja/Serwis Dostarczane urządzenie jest objęte minimum. 12miesięcznym (dwunastomiesięcznym) serwisem licząc od daty wygenerowania serwisu. Urządzenie jest objęte serwisem opartym na serwisie producenta urządzenia, świadczonym w reżimie 8x5xNBD Dostęp do wsparcia technicznego producenta/tów poszczególnych części urządzenia w trybie 24 godziny, 7 dni w tygodniu. Udostępnione wsparcie techniczne zapewnia co najmniej przeglądanie baz wiedzy producenta oferowanego urządzenia równoważnego. Dostęp do aktualizacji oprogramowania wdrożonego Urządzenia Zaoferowane pakiety serwisowe zapewniają bezpośrednie zgłoszenie awarii sprzętu do producenta urządzenia przez cały okres trwania gwarancji Uwaga! Wykonawca powinien wybrać, które rozwiązanie zaoferuje Zamawiającemu. W przypadku zaoferowania jednocześnie przedmiotu zamówienia z pkt 3.2. i 3.1. Oferta Wykonawcy zostanie odrzucona jako Oferta wariantowa. Nazwa producenta i model oferowanego urządzenia spełniającego powyższe wymagania: …………………………………………………………………………………………………………..…… UWAGA: Wszystkie puste i wykropkowane pola należy bezwzględnie wypełnić. Miejsce i data _____________________________________________________________________________ (podpis/y osoby lub osób uprawnionych do reprezentowania Wykonawcy na podstawie właściwego rejestru lub pełnomocnictwa)