Szczegółowa Specyfikacja Techniczna: W niniejszym dokumencie
Transkrypt
Szczegółowa Specyfikacja Techniczna: W niniejszym dokumencie
Szczegółowa Specyfikacja Techniczna: W niniejszym dokumencie przedstawiono szczegółowe wymagania dla c z ę ś c i projektu - Starostwa powiatowego w Świdwinie. W ramach niniejszego projektu należy dostarczyć i wdrożyć: I. Licencje istniejącego systemu firewall Kontroler sieci WLAN III. System autentykacji klasy NAC IV. Punkty sieci dostepowej WLAN V. Serwer systemu zarządzania siecią WLAN VI. Routery VPN VII.Radiolinie VIII. Komputery do PIAP IX. Wyposażenie CZS II. Dla zadania, w dalszej części dokumentu przedstawiono szczegółowe zakresy oraz określono min. wymagania techniczno - funkcjonalne dla każdego z systemów. Projekt dotyczy uruchomienia optymalnego sygnału sieci WLAN w następujących lokalizacjach: Załącznik nr 1 – tabelka lokalizacje Świdwin I. Licencje istniejącego systemu firewall W ramach modernizacji istn i ej ą ce go systemu firewall SonicWALL E5500 Dostawca dostarczy następujące licencje działające przez okres 2-ch lat od momentu uruchomienia: 1. Serwis filtrujacy zawartość witryn internetowych 2. System IPS 3. System Antispyware 4. System Antivirus 5. Oprogramowanie służące do analizy logów o funkcjonalności nie mniejszej niż: Wymagane jest dostarczenie dedykowanego oprogramowania (instalowanego na zewnętrznym serwerze) zapewniającego monitorowanie, rejestrację i graficzną (w postaci tabel i wykresów) prezentację danych przesłanych z urządzenia firewall dotyczących ruchu, oraz zagrożeń sieciowych. Niezbędne dane to średnia zajętość łącza w podziale na dni i godziny, wykorzystanie pasma przez każdego z użytkowników, informacje dotyczące przeglądanych witryn przez każdego z użytkowników sieci informatycznej, informacje dotyczące użytkowników łamiących zasady przeglądania witryn, informacje dot. ataków, detekcji intruzów, zagrożeń antywirusowych. Dane muszą mieć możliwość wydruku. Oprogramowanie winno posiadać funkcjonalność tworzenia raportów opartych o własne reguły z możliwością przechodzenia w wyznaczone obszary raportu i obrazowania ich w bardziej szczegółowy sposób. II. Kontroler sieci WLAN - WYMAGANIA OGÓLNE Kontroler sieci bezprzewodowej będzie umiejscowiony w serwerowni centralnej należącej do Starostwa powiatowego w Świdwinie. Dostawca dostarczy i uruchomi całość rozwiązania zgodnie z wymaganiami technicznymi. Dostawca będzie posiadał dwie osoby przeszkolone przez producenta z zakresu uruchomienia rozwiązania. WYMAGANIA TECHNICZNE - Kontroler sieci WLAN Architektura 1. Kontroler sieci bezprzewodowej w momencie dostawy musi obsługiwać minimum 25 punktów dostępowych. Kontroler musi umożliwiać docelową rozbudowę do minimum 200 punktów dostępowych. 2. Kontroler musi obsługiwać jednocześnie różne mechanizmy przekazywania danych, w tym tunelowanie ruchu z AP do kontrolera i lokalnego terminowania do sieci przewodowej na poziomie AP. 3. Różne mechanizmy przekazywania danych muszą być dostępne do skonfigurowania w obrębie tego samego kontrolera, per SSID. Captive Portal 4. Przekierowanie użytkowników określonych SSID do strony logowania (z możliwością personalizacji strony) 5. Musi posiadać zintegrowany (w kontrolerze), logicznie wydzielony portal dostępowy (Captive Portal), dowolnie konfigurowany przez administratora, z wykorzystaniem wbudowanych narzędzi edycyjnych 6. Dostęp gościnny poprzez Captive Portal musi umożliwiać logowanie do sieci WLAN z wykorzystaniem autentykacji 802.1x 7. Dostęp gościnny poprzez Captive Portal musi umożliwiać logowanie do sieci WLAN poprzez otrzymanie zezwolenia od uprawnionych użytkowników lub administratora. 8. Możliwość kreowania użytkowników za pomocą dedykowanego portalu WWW (działającego na kontrolerze) z określeniem czasu ważności konta 9. Captive Portal musi dawać dostęp Gościom do zasobów sieci Internet w dedykowanym VLAN-ie (Sieć Gości), nie dopuszczając Gości do zasobów wewnętrznych Zamawiającego (Intranet). 10. Możliwość kreowania różnych polityk bezpieczeństwa w ramach pojedynczego SSID 11. Możliwość profilowania użytkowników: a) przydział sieci VLAN b) przydział list kontroli dostępu (ACL) 12. Obsługa mechanizmów QoS a) 802.1p, b) ograniczanie pasma per użytkownik Bezpieczeństwo 13. Musi obsługiwać przypisywanie indywidualnych parametrów obsługi ruchu poszczególnym użytkownikom (QoS, ACL), bez konieczności segmentacji przez dedykowane SSID (w ramach pojedynczego SSID). 14. Musi obsługiwać IP QoS w środowisku przewodowym i bezprzewodowym. Rozróżnianie pakietów musi być realizowane dla przychodzących i wychodzących pakietów z sieci bezprzewodowej, w oparciu o 802.1p 15. Automatyczna ochrona kryptograficzna (AES) ruchu pomiędzy AP 16. System musi obsługiwać kreowanie polityk bezpieczeństwa w obrębie jednego SSID, bez konieczności segmentacji przez dedykowane SSID. Rozwiązanie powinno w tej sposób zmniejszyć konieczność uruchomienia wielu SSID do realizowania różnych funkcjonalności, minimalizacja utylizacji pasma radiowego (parametr CU) 17. Definiowanie polityk bezpieczeństwa (per SSID) z możliwością rozgłaszania lub ukrycia poszczególnych SSID Zarządzanie 18. Musi umożliwiać zarządzanie poprzez ssh, https, snmpv3 oraz dedykowaną aplikację do zarządzania. 19. Wraz z rozwiązaniem wymaga się dostarczenia rozwiązania do zarządzania i monitorowania kilkoma kontrolerami sieci WLAN – centralny interfejs graficzny 20. Optymalizacja wykorzystania pasma radiowego (ograniczanie wpływu zakłóceń, kontrola mocy, dobór kanałów, reakcja na zmiany). 21. W przypadku awarii punktu dostępowego, sąsiednie punkty dostępowe muszą rozszerzyć swój zasięg by wyeliminować niepokryte obszary, nawet w sytuacji, gdy punkt dostępowy nie może uzyskać dostępu do kontrolera. Wybór optymalnego kanału musi także być rekonfigurowany dynamicznie, bez interwencji użytkownika. 22. System zarządzania łącznością radiową RF Management musi dostosowywać się do nowych kanałów w oparciu o wartości stosunku sygnału do szumu (SNR) i zajętości kanału, które mogą być ustalane przez użytkownika. 23. Musi mieć możliwość zapewnienia równego czasu antenowego (Airtime) dla wszystkich klientów w środowiskach, w których wspólnie występują technologie 802.11ag oraz 802.11n. (rozwiązanie Airtime fairness, np. ClientLink lub równoważne). System zarządzania łącznością radiową – typu RRM (Radio Resource Management) - RF Management musi wspierać funkcje automatycznego wyboru kanału i automatycznej kontroli mocy emitowanego sygnału TPC (Transmit Power Control) oraz obsługa Dynamic Frequency Selection (DFS). 24. Kontroler musi zapewniać zarządzanie oparte o graficzny interfejs użytkownika, lokalny uruchomiony na kontrolerze WLAN. 25. Musi pozwalać nietechnicznym pracownikom na tworzenie tymczasowych kont gości i dystrybuowanie zezwoleń poprzez łatwy w użyciu graficzny interfejs użytkownika – dla celów captive Portal. Inne 26. System musi posiadać certyfikat 802.11n WiFi dla kompatybilności w sieciach WLAN. 27. Możliwość redundancji rozwiązania (N+1). 28. Kontroler powinien obsługiwać punkty dostępowe wspierające standard 802.11ac uwzględniając zwiększenie przepustowości sieci WLAN. 29. Kontroler WLAN powinien współpracować z punktami dostępowymi, scentralizowanym systemem WLAN będącymi przedmiotem niniejszego postępowania. 30. System musi zostać dostarczony w postaci maszyny wirtualnej, pracującej pod platformą serwerową x86 z zainstalowanym VMWare Hypervisor ESXi4.x lub 5.x, instalacja z pakietu OVF. 31. Dopuszcza się rozwiązanie równorzędne, w postaci kontrolera sprzętowego. Gwarancja 32. 5-letnia gwarancja producenta (sprzęt i oprogramowanie), wymiana na następny dzień roboczy, z dostępem do nowych funkcjonalności oraz nieodpłatnej aktualizacji oprogramowania. III. System autentykacji klasy NAC - WYMAGANIA OGÓLNE System autentykacji klasy NAC będzie umiejscowiony w serwerowni centralnej należącej do Starostwa powiatowego w Świdwinie. Dostawca dostarczy i uruchomi całość rozwiązania zgodnie z wymaganiami technicznymi. Dostawca będzie posiadał dwie osoby przeszkolone przez producenta z zakresu uruchomienia rozwiązania WYMAGANIA TECHNICZNE – Systemu kontroli dostępu I. Funkcjonalność: 1. Aktywne zapobieganie przed dostępem do sieci nieautoryzowanych użytkowników, zagrożonych punktów końcowych i innych niechronionych systemów, 2. Współpraca z rozwiązaniem Microsoft NAP, 3. Przypisanie na stałe adresu MAC do określonego przełącznika lub portu przełącznika. Jeżeli system końcowy będzie próbował się uwierzytelnić na innym porcie lub przełączniku, zostanie odrzucony lub przypisana mu zostanie polityka w oparciu o akcje określoną podczas przypisywania mu portu MAC, 4. Funkcja IP-to-ID Mapping, która łączy razem nazwę użytkownika, adres IP, adres MAC oraz port fizyczny każdego punktu końcowego. Ta funkcjonalność jest kluczowa dla potrzeb audytów bezpieczeństwa i analiz dochodzeniowych, 5. Funkcja portalu rejestracyjnego dla kontroli dostępu gości, by zapewnić bezpieczne korzystanie z sieci przez gości, bez udziału pracowników działu IT, 6. Zaawansowane możliwości sponsorowania dostępu takie jak sponsorowanie email oraz prosty portal dla sponsorów służący do zatwierdzania rejestracji gości. II. Architektura: 1. Musi zapewniać rozwiązanie NAC typu inline oraz out-of-band, które może być zarządzane przez jedną centralną aplikację, 2. Musi umożliwiać implementacje jako maszyna wirtualna pozwalając na wykorzystanie istniejącego środowiska wirtualnego, 3. Musi mieć możliwość pracy jako redundantne urządzenia wirtualne w trybie wysokiej dostępności. III. Raportowanie: 1. Musi zapewniać Informacje o typie urządzeń działających w sieci oraz określonych potrzebach i zagrożeniach, które są z nimi związane, 2. Musi umożliwiać monitorowanie zdarzeń systemów końcowych i przedstawia 3. Wyniki o stanie zabezpieczeń systemu w oparciu o najbardziej aktualne skanowania przeprowadzane podczas oceniania (opcjonalnie z wykorzystaniem dodatkowej licencji), 4. Możliwość szybkiego podglądu historycznych i ostatnich znanych stanów połączeń dla każdego systemu końcowego i uzyskiwać informacje o znalezionych podczas skanowania (opcjonalnie z wykorzystaniem dodatkowej licencji) zagrożeniach bezpieczeństwa systemu końcowego, 5. Kompleksowe raportowanie zgodności w oparciu o aktualne i historyczne informacje, 6. Powiadamianie poprzez syslog, pocztę elektroniczną lub usługi webowe o zmianach stanu systemów końcowych, rejestracji gości oraz wynikach skanowania (opcjonalnie z wykorzystaniem dodatkowej licencji) stanu zabezpieczeń systemów końcowych. IV. Narzędzia administracyjne: 1. Musi zapewnić rozwiązanie oferujące jednolity, centralny obraz wszystkich niechronionych elementów związanych z użytkownikami i urządzeniami, który pozwoli później zredukować złożoność procesu zarządzania, 2. Musi posiadać widok panelu administracyjnego, przedstawiający szczegółowy obraz stanu zabezpieczeń podłączonych lub próbujących się podłączyć systemów końcowych, 3. Musi posiadać funkcję portalu rejestracyjnego dla kontroli dostępu gości, by zapewnić bezpieczne korzystanie z sieci przez gości, bez udziału pracowników działu IT (samodzielna rejestracja gościa, urządzenia, poprzez tzw. sponsora). V. Bezpieczeństwo: 1. Rozwiązanie musi wykorzystywać oparte na standardach mechanizmy uwierzytelniania dla potrzeb procesów wykrywania, oceniania, kwarantanny, korygowania i autoryzacji podłączanych systemów końcowych, 2. Rozwiązanie musi obsługiwać uwierzytelnianie RADIUS i/lub LDAP, 3. Musi umożliwiać ciągłe mechanizmy analizowania zagrożeń (pochodzące z zewnętrznych źródeł), zapobiegania im i przechowywania ich, 4. Rozwiązanie musi obsługiwać lokalną autoryzację MAC. VI. Kontrola: 1. Zdolność ciągłego przypisywania polityk określonemu użytkownikowi, adresowi MAC lub OUI (Organizationally Unique Identifier) adresu MAC, tak aby użytkownik, urządzenie lub grupa urządzeń miały przydzielony ten sam zestaw zasobów sieci, niezależnie od swojej lokalizacji lub konfiguracji serwera RADIUS, 2. Musi obsługiwać mechanizmy w oparciu o role umożliwiające przepuszczanie lub odrzucanie ruchu sieciowego, nadawanie mu priorytetów, ograniczanie jego szybkości, tagowanie, przekierowywanie i kontrolowanie go w oparciu o tożsamość użytkownika, czas i położenie, typ urządzenia i inne zmienne środowiskowe. VII. Wsparcie dla środowiska wirtualnego: 1. Możliwość objęcia mechanizmem NAC maszyn wirtualnych oraz VDI. VIII. Automatyzacja: 1. Musi zapewniać automatyczne wykrywanie punktów końcowych i śledzenie ich położenia poprzez identyfikowanie nowych adresów MAC i IP, nowych sesji uwierzytelniających (802.1X, wykorzystujące przeglądarkę internetową, Kerberos) lub żądania RADIUS pochodzących z przełączników dostępowych. IX. Zgodność: 1. Możliwość (opcjonalnie z wykorzystaniem dodatkowej licencji) oceniania w oparciu o agentów lub sieć (skanowania sieci), 2. Musi dostarczyć rozwiązanie, które zapewni ciągłość, działania organizacji poprzez oferowanie użytkownikom alternatywnych metod dostępu podczas procesu skanowania, 3. Musi (opcjonalnie z wykorzystaniem dodatkowej licencji) przeprowadzać przedi po-połączeniowe ocenianie stanu zabezpieczeń systemów końcowych. Ocenianie (opcjonalnie z wykorzystaniem dodatkowej licencji) w oparciu o agentów musi umożliwiać wykonanie testu w kategoriach: 4. Test agenta (obecność, wersja) 5. Testy systemu operacyjnego stacji roboczej na obecność: Antivirus, Firewall, Hotfix Check, Rodzaj Systemu, Patch Auto Update, ostania aktualizacja Patch Update, Screensaver) 6. Testy aplikacji (File Check, P2P Software) 7. Stan wybranych procesów 8. Stan wybranych usług w powiązaniu z kluczem rejestru (ilość wystąpień) Wszystkie czynności związane w ocenianiem muszą być powiązane z dodatkowymi kryteriami takimi jak obowiązkowe, informacyjne oraz systemem punktacji. X. Skalowalność: 1. Elastyczna obsługa wielu metod uwierzytelniania wielu użytkowników i urządzeń różnych dostawców, 2. Kontrola dla minimum 500 sesji autentykacyjnych, 3. System musi umożliwiać przyszłą rozbudowę dla minimum 10 000 sesji autentykacyjnych w jednej instancji NAC, 4. System musi umożliwiać bez dodatkowych kosztów uruchomienie minimum 4 instancji NAC w oparciu o środowisko wirtualne lub appliance. XI. Gwarancja: 1. 5 letnia gwarancja producenta, wymiana na następny dzień roboczy, z dostępem do nowych funkcjonalności, wsparcia przez email, telefon i zdalną sesję. IV. Punkty sieci dostępowej WLAN - WYMAGANIA OGÓLNE 1. Zamawiający przewiduje punkty dostępowe typ 1 – wewnętrzny (in), wraz z koniecznym oprzyrządowaniem w ilości 16 szt. 2. Zamawiający przewiduje punkty dostępowe typ 2 – zewnętrzny (out), wraz z koniecznym oprzyrządowaniem w ilości 10 szt. 3. Zamawiający przewiduje punkty dostępowe typ 3 – montaż na słupach, wraz z koniecznym oprzyrządowaniem w ilości 4 szt. 4. Dostawca zaprojektuje i przedstawi ilościowe dopasowanie punktów AP przed przystąpieniem do realizacji projektu w lokalizacjach. Ilości cząstkowe dotyczące lokalizacji muszą sumarycznie pokrywać się z założeniami postępowania 5. Dostawca dostarczy i uruchomi całość rozwiązania zgodnie z wymaganiami technicznymi. 6. Dostawca będzie posiadał dwie osoby przeszkolone przez producenta z zakresu uruchomienia rozwiązania WYMAGANIA TECHNICZNE - AP typ 1 – wewnętrzny (in) Pasma robocze 1. Punkty dostępowe muszą posiadać min. 2 moduły radiowe i obsługiwać równolegle dwa pasma częstotliwości: 802.11ac/a/n (5 GHz) i 802.11b/g/n (2.4 GHz). Interfejsy fizyczne 1. 2 porty 10/100/1000 B a s e - T RJ-45 z technologią autosensing umożliwiające agregację w trybie active/active (LAG z równoważeniem obciążenia) i active/passive (zapasowe łącze) Standardy sieciowe 1. Zgodnść z DFS2 (Dynamic Frequency Selection) by dopuścić dodatkowe kanały w paśmie 5 GHz, 2. Punkty dostępowe muszą obsługiwać IP QoS w środowisku przewodowym i bezprzewodowym. Rozróżnianie pakietów musi być realizowane dla przychodzących i wychodzących pakietów z sieci bezprzewodowej, w oparciu o DiffServ, IP ToS oraz IP Precedence, 3. Obsługa protokołu 802.11e, w tym WMM oraz U-APSD, 4. Obsługa do 16 SSID (8 na częstotliwość radiową), 5. Obsługa minimum 250 użytkowników jednocześnie, 6. RADIUS Authentication & Accounting, 7. Płynny roaming pomiędzy podsieciami IP, 8. Płynny roaming pomiędzy wieloma kontrolerami, 9. Wsparcie dla protokołu IEEE 802.1p prioritization, 10. Możliwość wykonania minimum 12 jednoczesnych połączeń VoIP w ramach protokołu IEEE 802.11 a/b/g/n/ac 11. Wsparcie dla protokołu: IEEE 802.1X z wykorzystaniem metod: EAP-SIM, EAP-FAST, EAP-TLS, EAP-TTLS, and PEAP, 12. Wsparcie dla protokołu: MAC address authentication przy wykorzystaniu lokalnych access-list lub przesyłanych z serwera RADIUS, 13. Mechanizmy: AAA, przy wykorzystaniu EAP-MD5 oraz MSCHAPv2, 14. RADIUS Client, 15. Mechanizmy IEEE 802.11i, WPA2 oraz WPA, przy zastosowaniu algorytmów szyfracji: Advanced Encryption Standard (AES) oraz Temporal Key Integrity Protocol (TKIP), 16. Obsługa technologii 802.11ac pracując w konfiguracji min. 3x3 MIMO z min. 3 strumieniami przestrzennymi 17. Obsługa 802.11n z przepływnością do co najmniej 450Mbps i 802.11ac z przepływnością do co najmniej 1,3Gbps 18. Musi mieć możliwość zapewnienia równego czasu antenowego (Airtime) dla wszystkich klientów w środowiskach, w których wspólnie występują technologie 802.11a/b/g, 802.11n oraz 802.11ac. Anteny Tryby pracy 1. Min. 6 anten wewnętrznych 1. Obsługa technologii 802.11ac i praca w technice transmisji wieloantenowej MIMO 3x3 przy zasilaniu przez jedno źródło zgodne ze standardem IEEE 802.3af lub 802.3at, bez wpływu na działanie kluczowych funkcji i wydajność, 2. Jednoczesna obsługa ruchu tunelowanego i mostowanego, 3. Wszystkie punkty dostępowe muszą mieć możliwość pracy w formie sensorów sieci – pracujących w pełnym lub niepełnym wymiarze czasu. 4. W przypadku awarii punktu dostępowego, sąsiednie punkty dostępowe muszą rozszerzyć swój zasięg by wyeliminować niepokryte obszary. Funkcje zarządzania Bezpieczeństwo Integracja z pozostałymi komponentami sieci Dodatkowe Gwarancja 1. Zarządzanie łącznością radiową RF Management musi dostosowywać się do nowych kanałów w oparciu o wartości stosunku sygnału do szumu (SNR) i zajętości kanału, które mogą by ustalane przez użytkownika. 2. Możliwość konfiguracji zapewniającej równoważenie obciążenia i sterowanie pasmem w celu pozwolenia punktom dostępowym na równoważenie/sterowanie ruchem klientów pomiędzy obiema częstotliwościami na jednym punkcie dostępowym i/lub pomiędzy wieloma punktami dostępowymi w ramach domeny łączności radiowej, 3. Możliwość przypisywania identyfikatorów VLAN 1. Połączenie pomiędzy AP, a kontrolerem musi by szyfrowane przy pomocy technologii AES minimum 128 bit, 2. Obsługa standardów uwierzytelniania i szyfrowania, w tym: WEP, WPA (TKIP), WPA2 (AES), 802.11i, 802.1x, 3. Możliwość pracy w architekturze bezpieczeństwa opartej na rolach, zapewniając ciągłe zarządzanie tożsamością wraz z opartymi na rolach funkcjami uwierzytelniania, autoryzacji, QoS i ograniczania pasma, aplikowane względem użytkownika i aplikacji, 4. Funkcje egzekwowania przypisanych ról i ograniczania przepustowości muszą być osiągalne na poziomie punktu dostępowego, 5. Przypisywanie ról klientom musi odbywać się bez konieczności segmentacji przez dedykowane SSID. 1. Musi umożliwiać wykrywanie lokalizacji systemów końcowych w czasie rzeczywistym i przechowywanie tych informacji w centralnej bazie danych do wykorzystania w procesie implementacji technologii NMS-NAC, która jest również przedmiotem postępowania 2. Musi w pełni współpracować z systemem zarządzania oraz Rozwiązaniem kontroli dostępu do sieci NAC poprzez egzekwowanie profilu bezpieczeństwa na poziomie AP 1. Wraz z punktem dostępowym należy dostarczyć, pochodzący od tego samego producenta, co dostarczane urządzenia, uchwyt umożliwiający montaż punktu dostępowego pod sufitem. 1. Gwarancja producenta obejmująca wysyłkę następnego dnia roboczego, wsparcia technicznego przez email, telefon w wymiarze 8x5, na okres 5 lat. WYMAGANIA TECHNICZNE - AP typ 2 – zewnętrzny (out) Architektura 1. Praca w oparciu o kontroler, nie jest wymagana praca w trybie autonomicznym 2. Musi obsługiwać pasma częstotliwości 802.11a/b/g/n i 802.11ac. 3. Musi pracować w technice transmisji wieloantenowej MIMO – 3x3 MIMO przy zasilaniu przez jedno źródło zgodne ze standardem IEEE 802.3at lub 802.3af, z użyciem zasilacza zewnętrznego, bez wpływu na działanie kluczowych funkcji i wydajność. 4. Musi mieć możliwość zastosowania anten zewnętrznych różnych typów dopasowanych do potrzeb Klienta. 5. Obsługa mobilności (roamingu) użytkowników (w ramach i pomiędzy kontrolerami). Interfejsy fizyczne 6. Musi być wyposażony w 2 port 10/100/1000 BASE-T RJ-45 (Active/Active; Active/Passive) ze wsparciem dynamicznego LAG. Podstawowe funkcje 7. Musi obsługiwać do 16 SSID (8 na częstotliwość radiową). 8. Obsługa trybów pracy Split-MAC lub równoważne (tunelowanie ruchu klientów do kontrolera i centralne terminowanie do sieci LAN) oraz Local-MAC lub równoważne (lokalne terminowanie ruchu do sieci LAN). 9. Możliwość pracy po utracie połączenia z kontrolerem, z lokalnym przełączaniem ruchu do sieci LAN i lokalną autoryzacją użytkowników (lokalny serwer RADIUS, skrócona baza danych użytkowników na poziomie AP) – przełączenie nie może powodować zerwania sesji użytkowników. Bezpieczeństwo 10. Musi zapewniać wsparcie dla protokołu: IEEE 802.1X z wykorzystaniem metod: EAP-Subscriber Identity Module, EAP-TLS, EAP-TTLS, and PEAP. 11. Musi zapewniać wsparcie dla protokołu: MAC address authentication przy wykorzystaniu lokalnych access-list lub przesyłanych z serwera RADIUS. 12. Musi zapewniać mechanizmy szyfrowania IEEE 802.11i, WPA2 oraz WPA, przy zastosowaniu algorytmów szyfracji: Advanced Encryption Standard (AES) oraz Temporal Key Integrity Protocol (TKIP). 13. Połączenie pomiędzy punktem dostępowym, a kontrolerem musi być szyfrowane przy pomocy technologii AES minimum 128 bit. 14. Musi obsługiwać suplikanta 802.1x, by chronić swoje połączenia przewodowe przed nieautoryzowanym dostępem innych urządzeń, zgodnie z protokołem CAPWAP RFC 5415. 15. Musi obsługiwać standardy uwierzytelniania i szyfrowania, w tym: WEP, WPA (TKIP), WPA2 (AES), 802.11i, 802.1x. 16. Musi mieć możliwość wdrożenia w konfiguracji kratowej, tworzącej bezprzewodowe, wzajemne połączenia pomiędzy poszczególnymi punktami dostępowymi. 17. Musi umożliwiać pracę w architekturze bezpieczeństwa opartej na politykach bezpieczeństwa, zapewniając zarządzanie tożsamością dostępu funkcje uwierzytelniania, autoryzacji. 18. obsługa mechanizmów QoS - shaping/ ograniczanie ruchu do użytkownika, z możliwością konfiguracji per użytkownik. 19. System musi obsługiwać kreowanie polityk bezpieczeństwa w obrębie jednego SSID, bez konieczności segmentacji przez dedykowane SSID. Rozwiązanie powinno w tej sposób zmniejszyć konieczność uruchomienia wielu SSID do realizowania różnych funkcjonalności, minimalizacja utylizacji pasma radiowego (parametr CU). 20. Definiowanie polityk bezpieczeństwa (per SSID) z możliwością rozgłaszania lub ukrycia poszczególnych SSID. 21. Musi mieć możliwość zapewnienia równego czasu antenowego (Airtime) dla wszystkich klientów w środowisku 802.11n. (rozwiązanie Clientlink lub równoważne). 22. W przypadku awarii punktu dostępowego, sąsiednie punkty dostępowe muszą rozszerzyć swój zasięg by wyeliminować niepokryte obszary, nawet w sytuacji, gdy punkt dostępowy nie może uzyskać dostępu do kontrolera. Wybór optymalnego kanału musi także być rekonfigurowany dynamicznie i bez interwencji użytkownika. 23. Musi zapewniać rozproszone zarządzanie łącznością radiową RF (Radio Frequency) Management niezależne od kontrolera - poza tylko wstępną konfiguracją. Zarządzanie łącznością radiową RF Management musi dostosowywać się do nowych kanałów w oparciu o wartości stosunku sygnału do szumu (SNR) i zajętości kanału, które mogą być ustalane przez użytkownika. 24. Punkt dostępowy musi być przystosowany do pracy w warunkach zewnętrznych w temperaturach od -40° C do +55° C oraz zapewniać stopień ochrony zgodny ze standardem IP67 Gwarancja 25. Punkt dostępowym w momencie dostawy musi być objęty gwarancją producenta obejmującą wysyłkę następnego dnia roboczego, wsparcie techniczne przez email, telefon w wymiarze 8x5, na okres nie krótszy niż 5 lat. WYMAGANIA TECHNICZNE - AP typ 3 – do instalacji na/w słupie monitoringu miejskiego Architektura 1. Musi obsługiwać pasma częstotliwości 802.11a/b/g/n 2. Musi mieć możliwość zastosowania anten zewnętrznych różnych typów dopasowanych do potrzeb Klienta. Interfejsy 3. Musi być wyposażony w 1 port 10/100 BASE-T RJ-45 fizyczne Bezpieczeństwo 4. Musi umożliwiać pracę w zakresie temperatur -30 °C - 70°C Gwarancja 5. Punkt dostępowym w momencie dostawy musi być objęty gwarancją producenta obejmującą wysyłkę następnego dnia roboczego, wsparcie techniczne przez email, telefon w wymiarze 8x5, na okres nie krótszy niż 5 lat. V. Serwer systemu zarządzania siecią WLAN - WYMAGANIA OGÓLNE 1. Serwer zarządzania siecią WLAN będzie umiejscowiony w serwerowni centralnej należącej do Starostwa powiatowego w Świdwinie. 2. Dostawca dostarczy i uruchomi całość rozwiązania zgodnie z wymaganiami technicznymi. 3. Dostawca będzie posiadał dwie osoby przeszkolone przez producenta z zakresu uruchomienia rozwiązania. Architektura 1. 2. Funkcjonalność 1. 1. 2. 3. 4. 5. Musi zapewniać scentralizowane zarządzanie wszystkimi urządzeniami sieci WLAN będącymi przedmiotem postępowania. Musi mieć możliwość instalacji, jako maszyna wirtualna, pracującej pod platformą serwerową x86 z zainstalowanym VMWare Hypervisor ESXi4.x lub 5.x, instalacja z pakietu OVF, lub jako dedykowana platforma sprzętowa. Musi umożliwiać zbieranie statystyk co najmniej z wykorzystaniem SNMP lub RMON. Musi udostępniać narzędzia automatycznej identyfikacji urządzeń instalowanych w sieci. Musi udostępniać narzędzia graficznej prezentacji urządzeń sieciowych wraz z dynamiczną prezentacją zmiany stanu urządzenia. Musi udostępniać narzędzia pozwalające na graficzną prezentację topologii sieci, konfigurację I monitoring sieci VLAN, uzyskanie informacji o drodze połączenia użytkownika (user tracking), Musi zapewnić narzędzie umożliwiające szybkie i łatwe określenie fizycznej lokalizacji systemów i użytkowników końcowych oraz miejsca ich podłączenia do sieci. Musi udostępniać narzędzie umożliwiające zbieranie i zapisywanie informacji o parametrach pracy zainstalowanego sprzętu w okresie min. 1 miesiąca. Musi udostępniać wbudowane narzędzie do przeprowadzenia inwentaryzacji komponentów używanych w sieci w tym sprzętu i oprogramowania systemowego urządzeń sieciowych, Musi umożliwiać śledzenie atrybutów urządzeń zainstalowanych w sieci, takich jak numer seryjny, etykieta zasobu, wersja oprogramowania firmware. 6. Musi udostępniać narzędzie dla automatyzacji uaktualniania oprogramowania i zmian konfiguracyjnych w urządzeniach sieciowych. 7. Musi zapewniać narzędzie do zarządzania na poziomie systemowym - umożliwiające implementacje dowolnej funkcjonalności wynikającej z karty katalogowej zarządzanego urządzenia. 8. Musi zapewniać kompleksowe wsparcie zdalnego zarządzania dla wszystkich proponowanych urządzeń sieciowych, jak również wszystkich urządzeń zarządzanych przez SNMP. 9. Graficzne planowanie i zarządzenie siecią Wireless LAN (mapy lokalizacji, mapy zasięgu) z wykorzystaniem własnych planów budynków. 10. Monitorowanie informacji takich jak: poziom szumu, poziom sygnału, interferencje sygnału pochodzących z punktów dostępowych. 11. Raportowanie i statystyka min: wydajności urządzeń, obciążenia sieci, alarmy pochodzące z urządzeń. 12. Lokalizacja urządzeń radiowych (punktów dostępowych, klientów) na żądanie z prezentacją graficzną; możliwość śledzenia i przechowywanie informacji historycznych dla jednego klienta końcowego (rozwiązanie Mobility Service Engine lub równoważne). 13. Zarządzanie wersjami oprogramowania urządzeń. 14. Musi zapewniać narzędzie do prezentacji mapy pokrycia sygnałem sieci WLAN, z możliwością rozmieszczenia zainstalowanych punktów dostępowych, definiowania grubości i tłumienności elementów budynku, wykorzystując do tego rzuty pionowe budynku. 15. Musi w pełni współpracować z zaproponowanym rozwiązaniem kontrolera sieci bezprzewodowej będącym przedmiotem niniejszego postępowania. Bezpieczeństwo 16. Musi obsługiwać uwierzytelnianie RADIUS i LDAP dla użytkowników aplikacji. 17. Musi współpracować z istniejącymi w sieci metodami uwierzytelniania, w szczególności obsługiwać uwierzytelnianie oparte o 802.1X oraz MAC. Zarządzanie 18. Musi pozwalać użytkownikowi na generowanie w tle zaplanowanych zdarzeń i zadań oraz planowanie terminu ich wykonania. 19. Musi umożliwiać prezentowanie szczegółowych informacji konfiguracyjnych, w tym datę i godzinę zapisów konfiguracji, wersję oprogramowania firmware. 20. Musi posiadać możliwość pobierania oprogramowania firmware do jednego urządzenia z poziomu systemu zarządzania. 21. Musi posiadać zdolność do przeprowadzania zaplanowanych, rutynowych kopii zapasowych konfiguracji urządzeń. 22. Musi zapewniać interfejs sieci Web zawierający narzędzia do raportowania, monitorowania, rozwiązywania problemów i panele zarządzania. 23. Zarządzanie urządzeniem przez protokół HTTP lub HTTPS. 24. Współpraca z serwerami czasu (NTP), serwerami autoryzacyjnymi. 25. Hierarchizacja zarządzania – możliwość określenia domen administracyjnych dla poszczególnych użytkowników. 26. Możliwość synchronizacji między systemami redundantnymi. Gwarancja 27. 5-letnia gwarancja producenta (sprzęt i oprogramowania), wymiana na następny dzień roboczy, z dostępem do nowych funkcjonalności oraz nieodpłatnej aktualizacji oprogramowania. VI. Routery VPN - WYMAGANIA OGÓLNE Dostawca zaplanuje i zaprojektuje dostawę urządzeń zapewniających połączenia pomiędzy lokalizacjami. Urządzenia powinny być dostarczone w taki sposób, aby zapewnić szyfrowane połączenie AES 128/256bit z centralną serwerownią Starostwa powiatowego w Świdwnie, umiejscowioną w Miejskiej Energetyce Cieplnej, ul. Słowiańska 9 – 78-300 Świdwin. 2 lata gwarancji VII. Radiolinie - WYMAGANIA OGÓLNE Zamawiający przewiduje radiolinie, wraz z koniecznym oprzyrządowaniem w ilości 10 kompletów, które zainstalowane będą między główną serwerownią a lokalizacjami hot – spot w mieście Świdwin. Dodatkowo 2 radiolinie połączą serwerownie zlokalizowane na terenie miasta Świdwin. Pamięć: 64MB SDRAM, 8MB Flash Zakres częstotliwości: 3.3-3.8GHz Antena: Zintegrowana antena Dual-Polarity Zysk: 20 dBi Port: Ethernet 10/100 BASE-TX (kat. 5, RJ-45) Zasilanie: 24V, 1A PoE, w zestawie Maksymalny pobór mocy: 8 W Wymiary: 400/500x 400/450 x 30/50mm Waga: 3.5/4kg Materiał: Plastik odporny na promieniowanie słoneczne Temperatura pracy: -30C to +80C Max VSWR: 1.5:1 lub radiolinia oparta o kartę Mini-PCI zgodną z IEEE 802.16d 2 lata gwarancji VIII. Komputery do PIAP - WYMAGANIA OGÓLNE Zestawy typu all-in-one z systemem operacyjnym i oprogramowaniem biurowym, posiadające 3 letnią gwarancję. IX. Wyposażenie CZS – centrum zarządzania siecią zgodnie z PFU 2x laptop z systemem szyfrowania TPM, wytrzymałą obudową, systemem chłodzenia odpornym na wysokie temperatury. O wydajności jednostki obliczeniowej nie mniejszej niż 2600 w teście PCMark 7. min. 12GB pamięci RAM i oprogramowanie RAM DYSK umożliwiające dynamiczne ładowanie i zapisywanie. Dysk SDD o pojemności minimum 200GB i DVD/RW. System operacyjny i pakiet office umożliwiający pracę grupową. Matryca 14” lub 14.1” IPS 3 lata gwarancji