Szczegółowa Specyfikacja Techniczna: W niniejszym dokumencie

Szczegółowa Specyfikacja Techniczna:
W niniejszym dokumencie przedstawiono szczegółowe wymagania dla c z ę ś c i
projektu - Starostwa powiatowego w Świdwinie.
W ramach niniejszego projektu należy dostarczyć i wdrożyć:
I.
Licencje istniejącego systemu firewall
Kontroler sieci WLAN
III. System autentykacji klasy NAC
IV. Punkty sieci dostepowej WLAN
V. Serwer systemu zarządzania siecią WLAN
VI. Routery VPN
VII.Radiolinie
VIII. Komputery do PIAP
IX. Wyposażenie CZS
II.
Dla zadania, w dalszej części dokumentu przedstawiono szczegółowe zakresy
oraz określono min. wymagania techniczno - funkcjonalne dla każdego z systemów.
Projekt dotyczy uruchomienia optymalnego sygnału sieci WLAN w następujących
lokalizacjach:
Załącznik nr 1 – tabelka lokalizacje Świdwin
I. Licencje istniejącego systemu firewall
W ramach modernizacji istn i ej ą ce go systemu firewall SonicWALL E5500 Dostawca
dostarczy następujące licencje działające przez okres 2-ch lat od momentu
uruchomienia:
1.
Serwis filtrujacy zawartość witryn internetowych
2.
System IPS
3.
System Antispyware
4.
System Antivirus
5.
Oprogramowanie służące do analizy logów o funkcjonalności nie mniejszej niż:
Wymagane jest dostarczenie dedykowanego oprogramowania (instalowanego na
zewnętrznym serwerze) zapewniającego monitorowanie, rejestrację i graficzną (w
postaci tabel i wykresów) prezentację danych przesłanych z urządzenia firewall
dotyczących ruchu, oraz zagrożeń sieciowych. Niezbędne dane to średnia zajętość
łącza w podziale na dni i godziny, wykorzystanie pasma przez każdego z użytkowników,
informacje dotyczące przeglądanych witryn przez każdego z użytkowników sieci
informatycznej, informacje dotyczące użytkowników łamiących zasady przeglądania
witryn, informacje dot. ataków, detekcji intruzów, zagrożeń antywirusowych. Dane muszą
mieć możliwość wydruku.
Oprogramowanie winno posiadać funkcjonalność tworzenia raportów opartych o własne
reguły z możliwością przechodzenia w wyznaczone obszary raportu i obrazowania ich w
bardziej szczegółowy sposób.
II. Kontroler sieci WLAN - WYMAGANIA OGÓLNE
Kontroler sieci bezprzewodowej będzie umiejscowiony w serwerowni centralnej należącej
do Starostwa powiatowego w Świdwinie.
Dostawca dostarczy i uruchomi całość rozwiązania zgodnie z wymaganiami technicznymi.
Dostawca będzie posiadał dwie osoby przeszkolone przez producenta z zakresu
uruchomienia rozwiązania.
WYMAGANIA TECHNICZNE - Kontroler sieci WLAN
Architektura
1. Kontroler sieci bezprzewodowej w momencie dostawy musi
obsługiwać minimum 25 punktów dostępowych. Kontroler
musi umożliwiać docelową rozbudowę do minimum 200
punktów dostępowych.
2. Kontroler musi obsługiwać jednocześnie różne mechanizmy
przekazywania danych, w tym tunelowanie ruchu z AP do
kontrolera i lokalnego terminowania do sieci przewodowej
na poziomie AP.
3. Różne mechanizmy przekazywania danych muszą być
dostępne do skonfigurowania w obrębie tego samego
kontrolera, per SSID.
Captive Portal
4. Przekierowanie użytkowników określonych SSID do strony
logowania (z możliwością personalizacji strony)
5. Musi posiadać zintegrowany (w kontrolerze), logicznie
wydzielony portal dostępowy (Captive Portal), dowolnie
konfigurowany przez administratora, z wykorzystaniem
wbudowanych narzędzi edycyjnych
6. Dostęp gościnny poprzez Captive Portal musi umożliwiać
logowanie do sieci WLAN z wykorzystaniem autentykacji
802.1x
7. Dostęp gościnny poprzez Captive Portal musi umożliwiać
logowanie do sieci WLAN poprzez otrzymanie zezwolenia
od uprawnionych użytkowników lub administratora.
8. Możliwość
kreowania
użytkowników
za
pomocą
dedykowanego portalu WWW (działającego na kontrolerze)
z określeniem czasu ważności konta
9. Captive Portal musi dawać dostęp Gościom do zasobów
sieci Internet w dedykowanym VLAN-ie (Sieć Gości), nie
dopuszczając
Gości
do
zasobów
wewnętrznych
Zamawiającego (Intranet).
10. Możliwość kreowania różnych polityk bezpieczeństwa w
ramach pojedynczego SSID
11. Możliwość profilowania użytkowników:
a) przydział sieci VLAN
b) przydział list kontroli dostępu (ACL)
12. Obsługa mechanizmów QoS
a) 802.1p,
b) ograniczanie pasma per użytkownik
Bezpieczeństwo
13. Musi obsługiwać przypisywanie indywidualnych parametrów
obsługi ruchu poszczególnym użytkownikom (QoS, ACL),
bez konieczności segmentacji przez dedykowane SSID (w
ramach pojedynczego SSID).
14. Musi obsługiwać IP QoS w środowisku przewodowym i
bezprzewodowym. Rozróżnianie pakietów musi być
realizowane dla przychodzących i wychodzących pakietów z
sieci bezprzewodowej, w oparciu o 802.1p
15. Automatyczna ochrona kryptograficzna (AES) ruchu
pomiędzy AP
16. System musi obsługiwać kreowanie polityk bezpieczeństwa
w obrębie jednego SSID, bez konieczności segmentacji
przez dedykowane SSID. Rozwiązanie powinno w tej
sposób zmniejszyć konieczność uruchomienia wielu SSID
do realizowania różnych funkcjonalności, minimalizacja
utylizacji pasma radiowego (parametr CU)
17. Definiowanie polityk bezpieczeństwa (per SSID) z
możliwością rozgłaszania lub ukrycia poszczególnych SSID
Zarządzanie
18. Musi umożliwiać zarządzanie poprzez ssh, https, snmpv3
oraz dedykowaną aplikację do zarządzania.
19. Wraz z rozwiązaniem wymaga się dostarczenia rozwiązania
do zarządzania i monitorowania kilkoma kontrolerami sieci
WLAN – centralny interfejs graficzny
20. Optymalizacja
wykorzystania
pasma
radiowego
(ograniczanie wpływu zakłóceń, kontrola mocy, dobór
kanałów, reakcja na zmiany).
21. W przypadku awarii punktu dostępowego, sąsiednie punkty
dostępowe muszą rozszerzyć swój zasięg by wyeliminować
niepokryte obszary, nawet w sytuacji, gdy punkt dostępowy
nie może uzyskać dostępu do kontrolera. Wybór
optymalnego kanału musi także być rekonfigurowany
dynamicznie, bez interwencji użytkownika.
22. System zarządzania łącznością radiową RF Management
musi dostosowywać się do nowych kanałów w oparciu o
wartości stosunku sygnału do szumu (SNR) i zajętości
kanału, które mogą być ustalane przez użytkownika.
23. Musi mieć możliwość zapewnienia równego czasu
antenowego (Airtime) dla wszystkich klientów w
środowiskach, w których wspólnie występują technologie
802.11ag oraz 802.11n. (rozwiązanie Airtime fairness, np.
ClientLink lub równoważne). System zarządzania łącznością
radiową – typu RRM (Radio Resource Management) - RF
Management musi wspierać funkcje automatycznego
wyboru kanału i automatycznej kontroli mocy emitowanego
sygnału TPC (Transmit Power Control) oraz obsługa
Dynamic Frequency Selection (DFS).
24. Kontroler musi zapewniać zarządzanie oparte o graficzny
interfejs użytkownika, lokalny uruchomiony na kontrolerze
WLAN.
25. Musi pozwalać nietechnicznym pracownikom na tworzenie
tymczasowych kont gości i dystrybuowanie zezwoleń
poprzez łatwy w użyciu graficzny interfejs użytkownika – dla
celów captive Portal.
Inne
26. System musi posiadać certyfikat 802.11n WiFi dla
kompatybilności w sieciach WLAN.
27. Możliwość redundancji rozwiązania (N+1).
28. Kontroler
powinien
obsługiwać
punkty dostępowe
wspierające standard 802.11ac uwzględniając zwiększenie
przepustowości sieci WLAN.
29. Kontroler WLAN powinien współpracować z punktami
dostępowymi,
scentralizowanym
systemem
WLAN
będącymi przedmiotem niniejszego postępowania.
30. System musi zostać dostarczony w postaci maszyny
wirtualnej, pracującej pod platformą serwerową x86 z
zainstalowanym VMWare Hypervisor ESXi4.x lub 5.x,
instalacja z pakietu OVF.
31. Dopuszcza się rozwiązanie równorzędne, w postaci
kontrolera sprzętowego.
Gwarancja
32. 5-letnia gwarancja producenta (sprzęt i oprogramowanie),
wymiana na następny dzień roboczy, z dostępem do
nowych funkcjonalności oraz nieodpłatnej aktualizacji
oprogramowania.
III. System autentykacji klasy NAC - WYMAGANIA OGÓLNE
System autentykacji klasy NAC będzie umiejscowiony w serwerowni centralnej należącej
do Starostwa powiatowego w Świdwinie.
Dostawca dostarczy i uruchomi całość rozwiązania zgodnie z wymaganiami technicznymi.
Dostawca będzie posiadał dwie osoby przeszkolone przez producenta z zakresu
uruchomienia rozwiązania
WYMAGANIA TECHNICZNE – Systemu kontroli dostępu
I.
Funkcjonalność:
1. Aktywne zapobieganie przed dostępem do sieci nieautoryzowanych
użytkowników, zagrożonych punktów końcowych i innych niechronionych
systemów,
2. Współpraca z rozwiązaniem Microsoft NAP,
3. Przypisanie na stałe adresu MAC do określonego przełącznika lub portu
przełącznika. Jeżeli system końcowy będzie próbował się uwierzytelnić na
innym porcie lub przełączniku, zostanie odrzucony lub przypisana mu
zostanie polityka w oparciu o akcje określoną podczas przypisywania mu
portu MAC,
4. Funkcja IP-to-ID Mapping, która łączy razem nazwę użytkownika, adres IP,
adres MAC oraz port fizyczny każdego punktu końcowego. Ta funkcjonalność
jest kluczowa dla potrzeb audytów bezpieczeństwa i analiz
dochodzeniowych,
5. Funkcja portalu rejestracyjnego dla kontroli dostępu gości, by zapewnić
bezpieczne korzystanie z sieci przez gości, bez udziału pracowników
działu IT,
6. Zaawansowane możliwości sponsorowania dostępu takie jak
sponsorowanie email oraz prosty portal dla sponsorów służący do
zatwierdzania rejestracji gości.
II.
Architektura:
1. Musi zapewniać rozwiązanie NAC typu inline oraz out-of-band, które może
być zarządzane przez jedną centralną aplikację,
2. Musi umożliwiać implementacje jako maszyna wirtualna pozwalając na
wykorzystanie istniejącego środowiska wirtualnego,
3. Musi mieć możliwość pracy jako redundantne urządzenia wirtualne w trybie
wysokiej dostępności.
III.
Raportowanie:
1. Musi zapewniać Informacje o typie urządzeń działających w sieci oraz
określonych potrzebach i zagrożeniach, które są z nimi związane,
2. Musi umożliwiać monitorowanie zdarzeń systemów końcowych i przedstawia
3. Wyniki o stanie zabezpieczeń systemu w oparciu o najbardziej aktualne
skanowania
przeprowadzane
podczas
oceniania
(opcjonalnie
z
wykorzystaniem dodatkowej licencji),
4. Możliwość szybkiego podglądu historycznych i ostatnich znanych stanów
połączeń dla każdego systemu końcowego i uzyskiwać informacje o
znalezionych podczas skanowania (opcjonalnie z wykorzystaniem
dodatkowej licencji) zagrożeniach bezpieczeństwa systemu końcowego,
5. Kompleksowe raportowanie zgodności w oparciu o aktualne i historyczne
informacje,
6. Powiadamianie poprzez syslog, pocztę elektroniczną lub usługi webowe o
zmianach stanu systemów końcowych, rejestracji gości oraz wynikach
skanowania (opcjonalnie z wykorzystaniem dodatkowej licencji) stanu
zabezpieczeń systemów końcowych.
IV.
Narzędzia administracyjne:
1. Musi zapewnić rozwiązanie oferujące jednolity, centralny obraz wszystkich
niechronionych elementów związanych z użytkownikami i urządzeniami, który
pozwoli później zredukować złożoność procesu zarządzania,
2. Musi posiadać widok panelu administracyjnego, przedstawiający szczegółowy
obraz stanu zabezpieczeń podłączonych lub próbujących się podłączyć
systemów końcowych,
3. Musi posiadać funkcję portalu rejestracyjnego dla kontroli dostępu gości, by
zapewnić bezpieczne korzystanie z sieci przez gości, bez udziału pracowników
działu IT (samodzielna rejestracja gościa, urządzenia, poprzez tzw. sponsora).
V.
Bezpieczeństwo:
1. Rozwiązanie musi wykorzystywać oparte na standardach mechanizmy
uwierzytelniania dla potrzeb procesów wykrywania, oceniania, kwarantanny,
korygowania i autoryzacji podłączanych systemów końcowych,
2. Rozwiązanie musi obsługiwać uwierzytelnianie RADIUS i/lub LDAP,
3. Musi umożliwiać ciągłe mechanizmy analizowania zagrożeń (pochodzące z
zewnętrznych źródeł), zapobiegania im i przechowywania ich,
4. Rozwiązanie musi obsługiwać lokalną autoryzację MAC.
VI.
Kontrola:
1. Zdolność ciągłego przypisywania polityk określonemu użytkownikowi, adresowi
MAC lub OUI (Organizationally Unique Identifier) adresu MAC, tak aby
użytkownik, urządzenie lub grupa urządzeń miały przydzielony ten sam zestaw
zasobów sieci, niezależnie od swojej lokalizacji lub konfiguracji serwera
RADIUS,
2. Musi obsługiwać mechanizmy w oparciu o role umożliwiające przepuszczanie
lub odrzucanie ruchu sieciowego, nadawanie mu priorytetów, ograniczanie jego
szybkości, tagowanie, przekierowywanie i kontrolowanie go w oparciu o
tożsamość użytkownika, czas i położenie, typ urządzenia i inne zmienne
środowiskowe.
VII.
Wsparcie dla środowiska wirtualnego:
1. Możliwość objęcia mechanizmem NAC maszyn wirtualnych oraz VDI.
VIII.
Automatyzacja:
1. Musi zapewniać automatyczne wykrywanie punktów końcowych i śledzenie ich
położenia poprzez identyfikowanie nowych adresów MAC i IP, nowych sesji
uwierzytelniających (802.1X, wykorzystujące przeglądarkę internetową,
Kerberos) lub żądania RADIUS pochodzących z przełączników dostępowych.
IX.
Zgodność:
1. Możliwość (opcjonalnie z wykorzystaniem dodatkowej licencji) oceniania w
oparciu o agentów lub sieć (skanowania sieci),
2. Musi dostarczyć rozwiązanie, które zapewni ciągłość, działania organizacji
poprzez oferowanie użytkownikom alternatywnych metod dostępu podczas
procesu skanowania,
3. Musi (opcjonalnie z wykorzystaniem dodatkowej licencji) przeprowadzać przedi po-połączeniowe ocenianie stanu zabezpieczeń systemów końcowych.
Ocenianie (opcjonalnie z wykorzystaniem dodatkowej licencji) w oparciu o
agentów musi umożliwiać wykonanie testu w kategoriach:
4. Test agenta (obecność, wersja)
5. Testy systemu operacyjnego stacji roboczej na obecność: Antivirus, Firewall,
Hotfix Check, Rodzaj Systemu, Patch Auto Update, ostania aktualizacja Patch
Update, Screensaver)
6. Testy aplikacji (File Check, P2P Software)
7. Stan wybranych procesów
8. Stan wybranych usług w powiązaniu z kluczem rejestru (ilość wystąpień)
Wszystkie czynności związane w ocenianiem muszą być powiązane z
dodatkowymi kryteriami takimi jak obowiązkowe, informacyjne oraz systemem
punktacji.
X.
Skalowalność:
1. Elastyczna obsługa wielu metod uwierzytelniania wielu użytkowników i urządzeń
różnych dostawców,
2. Kontrola dla minimum 500 sesji autentykacyjnych,
3. System musi umożliwiać przyszłą rozbudowę dla minimum 10 000 sesji
autentykacyjnych w jednej instancji NAC,
4. System musi umożliwiać bez dodatkowych kosztów uruchomienie minimum 4
instancji NAC w oparciu o środowisko wirtualne lub appliance.
XI.
Gwarancja:
1. 5 letnia gwarancja producenta, wymiana na następny dzień roboczy, z
dostępem do nowych funkcjonalności, wsparcia przez email, telefon i
zdalną sesję.
IV. Punkty sieci dostępowej WLAN - WYMAGANIA OGÓLNE
1. Zamawiający przewiduje punkty dostępowe typ 1 – wewnętrzny (in), wraz z
koniecznym oprzyrządowaniem w ilości 16 szt.
2. Zamawiający przewiduje punkty dostępowe typ 2 – zewnętrzny (out), wraz z
koniecznym oprzyrządowaniem w ilości 10 szt.
3. Zamawiający przewiduje punkty dostępowe typ 3 – montaż na słupach, wraz z
koniecznym oprzyrządowaniem w ilości 4 szt.
4. Dostawca zaprojektuje i przedstawi ilościowe dopasowanie punktów AP przed
przystąpieniem do realizacji projektu w lokalizacjach. Ilości cząstkowe dotyczące
lokalizacji muszą sumarycznie pokrywać się z założeniami postępowania
5. Dostawca dostarczy i uruchomi całość rozwiązania zgodnie z wymaganiami
technicznymi.
6. Dostawca będzie posiadał dwie osoby przeszkolone przez producenta z zakresu
uruchomienia rozwiązania
WYMAGANIA TECHNICZNE - AP typ 1 – wewnętrzny (in)
Pasma robocze
1. Punkty dostępowe muszą posiadać min. 2 moduły radiowe i
obsługiwać równolegle dwa pasma częstotliwości:
802.11ac/a/n (5 GHz) i 802.11b/g/n (2.4 GHz).
Interfejsy
fizyczne
1. 2 porty 10/100/1000 B a s e - T RJ-45 z technologią
autosensing umożliwiające agregację w trybie active/active
(LAG z równoważeniem obciążenia) i active/passive
(zapasowe łącze)
Standardy
sieciowe
1. Zgodnść z DFS2 (Dynamic Frequency Selection) by
dopuścić dodatkowe kanały w paśmie 5 GHz,
2. Punkty dostępowe muszą obsługiwać IP QoS w środowisku
przewodowym i bezprzewodowym. Rozróżnianie pakietów
musi być realizowane dla przychodzących i wychodzących
pakietów z sieci bezprzewodowej, w oparciu o DiffServ, IP
ToS oraz IP Precedence,
3. Obsługa protokołu 802.11e, w tym WMM oraz U-APSD,
4. Obsługa do 16 SSID (8 na częstotliwość radiową),
5. Obsługa minimum 250 użytkowników jednocześnie,
6. RADIUS Authentication & Accounting,
7. Płynny roaming pomiędzy podsieciami IP,
8. Płynny roaming pomiędzy wieloma kontrolerami,
9. Wsparcie dla protokołu IEEE 802.1p prioritization,
10. Możliwość wykonania minimum 12 jednoczesnych
połączeń VoIP w ramach protokołu IEEE 802.11 a/b/g/n/ac
11. Wsparcie dla protokołu: IEEE 802.1X z wykorzystaniem
metod: EAP-SIM, EAP-FAST, EAP-TLS, EAP-TTLS, and
PEAP,
12. Wsparcie dla protokołu: MAC address authentication
przy wykorzystaniu lokalnych access-list lub przesyłanych z
serwera RADIUS,
13. Mechanizmy: AAA, przy wykorzystaniu EAP-MD5 oraz MSCHAPv2,
14. RADIUS Client,
15. Mechanizmy IEEE 802.11i, WPA2 oraz WPA, przy
zastosowaniu algorytmów szyfracji: Advanced Encryption
Standard (AES) oraz Temporal Key Integrity Protocol
(TKIP),
16. Obsługa technologii 802.11ac pracując w konfiguracji min.
3x3 MIMO z min. 3 strumieniami przestrzennymi
17. Obsługa 802.11n z przepływnością do co najmniej
450Mbps i 802.11ac z przepływnością do co najmniej
1,3Gbps
18. Musi mieć możliwość zapewnienia równego czasu
antenowego (Airtime) dla wszystkich klientów w
środowiskach, w których wspólnie występują technologie
802.11a/b/g, 802.11n oraz 802.11ac.
Anteny
Tryby pracy
1. Min. 6 anten wewnętrznych
1. Obsługa technologii 802.11ac i praca w technice transmisji
wieloantenowej MIMO 3x3 przy zasilaniu przez jedno
źródło zgodne ze standardem IEEE 802.3af lub 802.3at,
bez wpływu na działanie kluczowych funkcji i wydajność,
2. Jednoczesna obsługa ruchu tunelowanego i mostowanego,
3. Wszystkie punkty dostępowe muszą mieć możliwość pracy
w formie sensorów sieci – pracujących w pełnym lub
niepełnym wymiarze czasu.
4. W przypadku awarii punktu dostępowego, sąsiednie punkty
dostępowe muszą rozszerzyć swój zasięg by wyeliminować
niepokryte obszary.
Funkcje
zarządzania
Bezpieczeństwo
Integracja z
pozostałymi
komponentami
sieci
Dodatkowe
Gwarancja
1. Zarządzanie łącznością radiową RF Management musi
dostosowywać się do nowych kanałów w oparciu o wartości
stosunku sygnału do szumu (SNR) i zajętości kanału, które
mogą by ustalane przez użytkownika.
2. Możliwość konfiguracji zapewniającej równoważenie
obciążenia i sterowanie pasmem w celu pozwolenia
punktom dostępowym na równoważenie/sterowanie
ruchem klientów pomiędzy obiema częstotliwościami na
jednym punkcie dostępowym i/lub pomiędzy wieloma
punktami dostępowymi w ramach domeny łączności
radiowej,
3. Możliwość przypisywania identyfikatorów VLAN
1. Połączenie pomiędzy AP, a kontrolerem musi by
szyfrowane przy pomocy technologii AES minimum 128
bit,
2. Obsługa standardów uwierzytelniania i szyfrowania, w tym:
WEP, WPA (TKIP), WPA2 (AES), 802.11i, 802.1x,
3. Możliwość pracy w architekturze bezpieczeństwa opartej na
rolach, zapewniając ciągłe zarządzanie tożsamością wraz z
opartymi na rolach funkcjami uwierzytelniania, autoryzacji,
QoS i ograniczania pasma, aplikowane względem
użytkownika i aplikacji,
4. Funkcje egzekwowania przypisanych ról i ograniczania
przepustowości muszą być osiągalne na poziomie punktu
dostępowego,
5. Przypisywanie ról klientom musi odbywać się bez
konieczności segmentacji przez dedykowane SSID.
1. Musi umożliwiać wykrywanie lokalizacji systemów
końcowych w czasie rzeczywistym i przechowywanie tych
informacji w centralnej bazie danych do wykorzystania w
procesie implementacji technologii NMS-NAC, która jest
również przedmiotem postępowania
2. Musi w pełni współpracować z systemem zarządzania oraz
Rozwiązaniem kontroli dostępu do sieci NAC poprzez
egzekwowanie profilu bezpieczeństwa na poziomie AP
1. Wraz z punktem dostępowym należy dostarczyć,
pochodzący od tego samego producenta, co dostarczane
urządzenia, uchwyt umożliwiający montaż punktu
dostępowego pod sufitem.
1. Gwarancja producenta obejmująca wysyłkę następnego
dnia roboczego, wsparcia technicznego przez email, telefon
w wymiarze 8x5, na okres 5 lat.
WYMAGANIA TECHNICZNE - AP typ 2 – zewnętrzny (out)
Architektura
1. Praca w oparciu o kontroler, nie jest wymagana praca w
trybie autonomicznym
2. Musi obsługiwać pasma częstotliwości 802.11a/b/g/n i
802.11ac.
3. Musi pracować w technice transmisji wieloantenowej MIMO
– 3x3 MIMO przy zasilaniu przez jedno źródło zgodne ze
standardem IEEE 802.3at lub 802.3af, z użyciem zasilacza
zewnętrznego, bez wpływu na działanie kluczowych funkcji
i wydajność.
4. Musi mieć możliwość zastosowania anten zewnętrznych
różnych typów dopasowanych do potrzeb Klienta.
5. Obsługa mobilności (roamingu) użytkowników (w ramach i
pomiędzy kontrolerami).
Interfejsy
fizyczne
6. Musi być wyposażony w 2 port 10/100/1000 BASE-T RJ-45
(Active/Active; Active/Passive) ze wsparciem dynamicznego
LAG.
Podstawowe
funkcje
7. Musi obsługiwać do 16 SSID (8 na częstotliwość radiową).
8. Obsługa trybów pracy Split-MAC lub równoważne
(tunelowanie ruchu klientów do kontrolera i centralne
terminowanie do sieci LAN) oraz Local-MAC lub
równoważne (lokalne terminowanie ruchu do sieci LAN).
9. Możliwość pracy po utracie połączenia z kontrolerem, z
lokalnym przełączaniem ruchu do sieci LAN i lokalną
autoryzacją użytkowników (lokalny serwer RADIUS,
skrócona baza danych użytkowników na poziomie AP) –
przełączenie nie może powodować zerwania sesji
użytkowników.
Bezpieczeństwo
10. Musi zapewniać wsparcie dla protokołu: IEEE 802.1X
z wykorzystaniem metod: EAP-Subscriber Identity Module,
EAP-TLS, EAP-TTLS, and PEAP.
11. Musi zapewniać wsparcie dla protokołu: MAC address
authentication przy wykorzystaniu lokalnych access-list lub
przesyłanych z serwera RADIUS.
12. Musi zapewniać mechanizmy szyfrowania IEEE 802.11i,
WPA2 oraz WPA, przy zastosowaniu algorytmów szyfracji:
Advanced Encryption Standard (AES) oraz Temporal Key
Integrity Protocol (TKIP).
13. Połączenie pomiędzy punktem dostępowym, a kontrolerem
musi być szyfrowane przy pomocy technologii AES
minimum 128 bit.
14. Musi obsługiwać suplikanta 802.1x, by chronić swoje
połączenia
przewodowe
przed
nieautoryzowanym
dostępem innych urządzeń, zgodnie z protokołem
CAPWAP RFC 5415.
15. Musi obsługiwać standardy uwierzytelniania i szyfrowania,
w tym: WEP, WPA (TKIP), WPA2 (AES), 802.11i, 802.1x.
16. Musi mieć możliwość wdrożenia w konfiguracji kratowej,
tworzącej bezprzewodowe, wzajemne połączenia pomiędzy
poszczególnymi punktami dostępowymi.
17. Musi umożliwiać pracę w architekturze bezpieczeństwa
opartej na politykach bezpieczeństwa, zapewniając
zarządzanie
tożsamością
dostępu
funkcje
uwierzytelniania, autoryzacji.
18. obsługa mechanizmów QoS - shaping/ ograniczanie ruchu
do użytkownika, z możliwością konfiguracji per użytkownik.
19. System musi obsługiwać kreowanie polityk bezpieczeństwa
w obrębie jednego SSID, bez konieczności segmentacji
przez dedykowane SSID. Rozwiązanie powinno w tej
sposób zmniejszyć konieczność uruchomienia wielu SSID
do realizowania różnych funkcjonalności, minimalizacja
utylizacji pasma radiowego (parametr CU).
20. Definiowanie polityk bezpieczeństwa (per SSID) z
możliwością rozgłaszania lub ukrycia poszczególnych
SSID.
21. Musi mieć możliwość zapewnienia równego czasu
antenowego (Airtime) dla wszystkich klientów w środowisku
802.11n. (rozwiązanie Clientlink lub równoważne).
22. W przypadku awarii punktu dostępowego, sąsiednie punkty
dostępowe muszą rozszerzyć swój zasięg by wyeliminować
niepokryte obszary, nawet w sytuacji, gdy punkt dostępowy
nie może uzyskać dostępu do kontrolera. Wybór
optymalnego kanału musi także być rekonfigurowany
dynamicznie i bez interwencji użytkownika.
23. Musi zapewniać rozproszone zarządzanie łącznością
radiową RF (Radio Frequency) Management niezależne od
kontrolera - poza tylko wstępną konfiguracją. Zarządzanie
łącznością radiową RF Management musi dostosowywać
się do nowych kanałów w oparciu o wartości stosunku
sygnału do szumu (SNR) i zajętości kanału, które mogą być
ustalane przez użytkownika.
24. Punkt dostępowy musi być przystosowany do pracy w
warunkach zewnętrznych w temperaturach od -40° C do
+55° C oraz zapewniać stopień ochrony zgodny ze
standardem IP67
Gwarancja
25. Punkt dostępowym w momencie dostawy musi być objęty
gwarancją producenta obejmującą wysyłkę następnego
dnia roboczego, wsparcie techniczne przez email, telefon
w wymiarze 8x5, na okres nie krótszy niż 5 lat.
WYMAGANIA TECHNICZNE - AP typ 3 – do instalacji na/w słupie monitoringu
miejskiego
Architektura
1. Musi obsługiwać pasma częstotliwości 802.11a/b/g/n
2. Musi mieć możliwość zastosowania anten zewnętrznych
różnych typów dopasowanych do potrzeb Klienta.
Interfejsy
3. Musi być wyposażony w 1 port 10/100 BASE-T RJ-45
fizyczne
Bezpieczeństwo
4. Musi umożliwiać pracę w zakresie temperatur -30 °C - 70°C
Gwarancja
5. Punkt dostępowym w momencie dostawy musi być objęty
gwarancją producenta obejmującą wysyłkę następnego
dnia roboczego, wsparcie techniczne przez email, telefon w
wymiarze 8x5, na okres nie krótszy niż 5 lat.
V. Serwer systemu zarządzania siecią WLAN - WYMAGANIA OGÓLNE
1. Serwer zarządzania siecią WLAN będzie umiejscowiony w serwerowni centralnej
należącej do Starostwa powiatowego w Świdwinie.
2. Dostawca dostarczy i uruchomi całość rozwiązania zgodnie z wymaganiami
technicznymi.
3. Dostawca będzie posiadał dwie osoby przeszkolone przez producenta z zakresu
uruchomienia rozwiązania.
Architektura
1.
2.
Funkcjonalność
1.
1.
2.
3.
4.
5.
Musi zapewniać scentralizowane zarządzanie wszystkimi
urządzeniami sieci WLAN będącymi przedmiotem
postępowania.
Musi mieć możliwość instalacji, jako maszyna wirtualna,
pracującej pod platformą serwerową x86 z zainstalowanym
VMWare Hypervisor ESXi4.x lub 5.x, instalacja z pakietu OVF,
lub jako dedykowana platforma sprzętowa.
Musi umożliwiać zbieranie statystyk co najmniej z
wykorzystaniem SNMP lub RMON.
Musi udostępniać narzędzia automatycznej identyfikacji
urządzeń instalowanych w sieci.
Musi udostępniać narzędzia graficznej prezentacji urządzeń
sieciowych wraz z dynamiczną prezentacją zmiany stanu
urządzenia.
Musi udostępniać narzędzia pozwalające na graficzną
prezentację topologii sieci, konfigurację I monitoring sieci
VLAN, uzyskanie informacji o drodze połączenia użytkownika
(user tracking), Musi zapewnić narzędzie umożliwiające
szybkie i łatwe określenie fizycznej lokalizacji systemów i
użytkowników końcowych oraz miejsca ich podłączenia do
sieci.
Musi udostępniać narzędzie umożliwiające zbieranie i
zapisywanie informacji o parametrach pracy zainstalowanego
sprzętu w okresie min. 1 miesiąca.
Musi udostępniać wbudowane narzędzie do przeprowadzenia
inwentaryzacji komponentów używanych w sieci w tym sprzętu
i oprogramowania systemowego urządzeń sieciowych, Musi
umożliwiać śledzenie atrybutów urządzeń zainstalowanych w
sieci, takich jak numer seryjny, etykieta zasobu, wersja
oprogramowania firmware.
6. Musi udostępniać narzędzie dla automatyzacji uaktualniania
oprogramowania i zmian konfiguracyjnych w urządzeniach
sieciowych.
7. Musi zapewniać narzędzie do zarządzania na poziomie
systemowym - umożliwiające implementacje dowolnej
funkcjonalności wynikającej z karty katalogowej zarządzanego
urządzenia.
8. Musi zapewniać kompleksowe wsparcie zdalnego zarządzania
dla wszystkich proponowanych urządzeń sieciowych, jak
również wszystkich urządzeń zarządzanych przez SNMP.
9. Graficzne planowanie i zarządzenie siecią Wireless LAN
(mapy lokalizacji, mapy zasięgu) z wykorzystaniem własnych
planów budynków.
10. Monitorowanie informacji takich jak: poziom szumu, poziom
sygnału, interferencje sygnału pochodzących z punktów
dostępowych.
11. Raportowanie i statystyka min: wydajności urządzeń,
obciążenia sieci, alarmy pochodzące z urządzeń.
12. Lokalizacja urządzeń radiowych (punktów dostępowych,
klientów) na żądanie z prezentacją graficzną; możliwość
śledzenia i przechowywanie informacji historycznych dla
jednego klienta końcowego (rozwiązanie Mobility Service
Engine lub równoważne).
13. Zarządzanie wersjami oprogramowania urządzeń.
14. Musi zapewniać narzędzie do prezentacji mapy pokrycia
sygnałem sieci WLAN, z możliwością rozmieszczenia
zainstalowanych punktów dostępowych, definiowania grubości
i tłumienności elementów budynku, wykorzystując do tego
rzuty pionowe budynku.
15. Musi w pełni współpracować z zaproponowanym
rozwiązaniem kontrolera sieci bezprzewodowej będącym
przedmiotem niniejszego postępowania.
Bezpieczeństwo
16. Musi obsługiwać uwierzytelnianie RADIUS i LDAP dla
użytkowników aplikacji.
17. Musi współpracować z istniejącymi w sieci metodami
uwierzytelniania, w szczególności obsługiwać uwierzytelnianie
oparte o 802.1X oraz MAC.
Zarządzanie
18. Musi pozwalać użytkownikowi na generowanie w tle
zaplanowanych zdarzeń i zadań oraz planowanie terminu ich
wykonania.
19. Musi umożliwiać prezentowanie szczegółowych informacji
konfiguracyjnych, w tym datę i godzinę zapisów konfiguracji,
wersję oprogramowania firmware.
20. Musi posiadać możliwość pobierania oprogramowania
firmware do jednego urządzenia z poziomu systemu
zarządzania.
21. Musi posiadać zdolność do przeprowadzania zaplanowanych,
rutynowych kopii zapasowych konfiguracji urządzeń.
22. Musi zapewniać interfejs sieci Web zawierający narzędzia do
raportowania, monitorowania, rozwiązywania problemów i
panele zarządzania.
23. Zarządzanie urządzeniem przez protokół HTTP lub HTTPS.
24. Współpraca z serwerami czasu (NTP), serwerami
autoryzacyjnymi.
25. Hierarchizacja zarządzania – możliwość określenia domen
administracyjnych dla poszczególnych użytkowników.
26. Możliwość synchronizacji między systemami redundantnymi.
Gwarancja
27. 5-letnia gwarancja producenta (sprzęt i oprogramowania),
wymiana na następny dzień roboczy, z dostępem do nowych
funkcjonalności oraz nieodpłatnej aktualizacji oprogramowania.
VI. Routery VPN - WYMAGANIA OGÓLNE
Dostawca zaplanuje i zaprojektuje dostawę urządzeń zapewniających połączenia
pomiędzy lokalizacjami. Urządzenia powinny być dostarczone w taki sposób, aby
zapewnić szyfrowane połączenie AES 128/256bit z centralną serwerownią Starostwa
powiatowego w Świdwnie, umiejscowioną w Miejskiej Energetyce Cieplnej, ul. Słowiańska
9 – 78-300 Świdwin.
2 lata gwarancji
VII. Radiolinie - WYMAGANIA OGÓLNE
Zamawiający przewiduje radiolinie, wraz z koniecznym oprzyrządowaniem w ilości 10
kompletów, które zainstalowane będą między główną serwerownią a lokalizacjami hot –
spot w mieście Świdwin. Dodatkowo 2 radiolinie połączą serwerownie zlokalizowane na
terenie miasta Świdwin.
Pamięć: 64MB SDRAM, 8MB Flash
Zakres częstotliwości: 3.3-3.8GHz
Antena: Zintegrowana antena Dual-Polarity
Zysk: 20 dBi
Port: Ethernet 10/100 BASE-TX (kat. 5, RJ-45)
Zasilanie: 24V, 1A PoE, w zestawie
Maksymalny pobór mocy: 8 W
Wymiary: 400/500x 400/450 x 30/50mm
Waga: 3.5/4kg
Materiał: Plastik odporny na promieniowanie słoneczne
Temperatura pracy: -30C to +80C
Max VSWR: 1.5:1
lub radiolinia oparta o kartę Mini-PCI zgodną z IEEE 802.16d
2 lata gwarancji
VIII. Komputery do PIAP - WYMAGANIA OGÓLNE
Zestawy typu all-in-one z systemem operacyjnym i oprogramowaniem biurowym,
posiadające 3 letnią gwarancję.
IX. Wyposażenie CZS – centrum zarządzania siecią zgodnie z PFU
2x laptop z systemem szyfrowania TPM, wytrzymałą obudową, systemem chłodzenia
odpornym na wysokie temperatury.
O wydajności jednostki obliczeniowej nie mniejszej niż 2600 w teście PCMark 7.
min. 12GB pamięci RAM i oprogramowanie RAM DYSK umożliwiające dynamiczne
ładowanie i zapisywanie.
Dysk SDD o pojemności minimum 200GB i DVD/RW.
System operacyjny i pakiet office umożliwiający pracę grupową.
Matryca 14” lub 14.1” IPS
3 lata gwarancji