I. Szczegółowy opis przedmiotu zamówienia

Załącznik F
I. Szczegółowy opis przedmiotu zamówienia
Przedmiotem zamówienia jest dostawa, montaż, instalacja, uruchomienie oraz serwis
bezprzewodowego systemu dostępu do Internetu dla najuboższych mieszkańców miasta
Krotoszyn, a w szczególności:
1. Budowa przyłączy transmisyjnych do punktów dostępu Internetowego zarówno w
technologii światłowodowej jak i miedzianej.
2. Rozbudowa i przebudowa istniejącej światłowodowej miejskiej sieci transmisyjnej
IP/MPLS wraz z wykonaniem niezbędnych prac integracyjnych.
3. Dostawa, montaż, instalacja, konfiguracja oraz uruchomienie wszystkich niezbędnych
urządzeń radiowych oraz ich integracja z istniejącą światłowodową miejską siecią
IP/MPLS.
4. Dostawa, konfiguracja oraz uruchomienie laptopów dla 100 beneficjentów wraz z
zapewnieniem łączności internetowej w ich miejscu zamieszkania (w większości
przypadków będzie się to wiązało z koniecznością wykonania instalacji antenowych w
celu uzyskania zasięgu radiowego).
5. Dostawa, montaż, konfiguracja oraz uruchomienie łącza transmisji laserowej w wolnej
przestrzeni.
6. Dostawa, montaż, konfiguracja oraz uruchomienie urządzenia zabezpieczeń UTM.
7. Przeprowadzenie szkoleń dla beneficjentów
II. Opis funkcjonalny systemu
Przedmiotem projektu jest rozbudowa systemu bezprzewodowego dostępu do Internetu dla
najuboższych mieszkańców miasta Krotoszyna.
System będzie się opierał na bezprzewodowej transmisji danych w standardzie 802.11n od Punktów
dostępowych (AP) do komputerów mieszkańców objętych projektem. Utworzona przez Punkty
dostępowe (AP) sieć bezprzewodowa musi charakteryzować się następującymi funkcjonalnościami:
•
Spójna praca wszystkich Punktów dostępowych (AP) pod kontrolą Kontrolerów sieci
bezprzewodowej. Minimalne funkcjonalności zarówno Punktów dostępowych (AP) jak i
Kontrolerów sieci bezprzewodowej zostały określone w punktach 6 i 7. Szczegółowy
zakres i sposób konfiguracji sieci bezprzewodowej Zamawiający określi na etapie
realizacji.
•
Pomiędzy siecią Internet a siecią bezprzewodową uruchomione zostanie Urządzenie
zabezpieczeń (UTM). Jego zadaniem będzie ochrona systemu przed zagrożeniami
zewnętrznymi (wirusy, spam, robaki internetowe, hakerzy itp.) oraz kontrola oglądanych
stron WWW, w szczególności ograniczanie dostępu do stron zabronionych (pornografia,
przemoc, hacking itp.). W celu spełnienia powyższych wymagań urządzenie musi posiadać
minimalną funkcjonalność określoną w punkcie 8. Szczegółowy zakres i sposób
konfiguracji Urządzenia zabezpieczeń (UTM) Zamawiający określi na etapie realizacji.
•
Punkty dostępowe (AP) połączone będą z Kontrolerami oraz Urządzeniem UTM za
pomocą istniejącej światłowodowej sieci miejskiej pracującej w technologii IP/MPLS. W
celu realizacji niniejszego projektu konieczna będzie także rozbudowa i rekonfiguracja
sieci IP/MPLS. Szczegółowy zakres i sposób konfiguracji sieci IP/MPLS Zamawiający
określi na etapie realizacji. Ze względu na usługi krytyczne uruchomione w obecnie
eksploatowanej sieci miejskiej (system monitoringu wizyjnego, łączność pomiędzy
jednostkami Urzędu Miasta itp.) Wykonawca musi potwierdzić swoje kompetencje do
przeprowadzenia wymaganej rekonfiguracji i rozbudowy sieci IP/MPLS przez
dysponowanie minimum jednym inżynierem posiadającym odpowiedni certyfikat w
zakresie technologii MPLS producenta oferowanych przełączników.
Na poniższym rysunku przedstawiony został docelowy, logiczny schemat systemu.
III. Minimalne parametry techniczne urządzeń
Lp.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
Nazwa
Przełącznik MPLS typ
A
Przełącznik MPLS typ
B
Moduł SFP
Konwerter optyczny
Łącze laserowe
Kontroler sieci
bezprzewodowej
Punkt dostępowy (AP)
Urządzenie
zabezpieczeń (UTM)
Laptop
Klienckie radiowe
urządzenie dostępowe
Komputer do
zarządzania i
konserwacji systemu
Ilość
Producent / Typ /
Model
Okres gwarancji
producenta
1
2
14
8
1
1
17
1
100
50
2
1. Przełącznik MPLS typ A.
•
•
•
•
•
Min. 24 porty Combo (100/1000Mbps SFP lub 10/100/1000Base-T),
Matryca: non-blocking wire-speed,
Min. 2 redundantne zasilacze instalowane jako moduły,
Możliwość montażu w szafie Rack 19”,
Porty miedziane z funkcją Auto-MDI/MDIX
Poniższa funkcjonalność jest wymagana na wszystkich portach przełącznika:
• Obsługa ramek Jumbo (9kB),
• IEEE 802.1Q
- możliwość zdefiniowania do 4K aktywnych sieci VLAN,
- mechanizm Q-in-Q (c-VLAN/ s-VLAN),
• Urządzenie musi posiadać Certyfikat Metro Ethernet Forum (MEF),
• Zarządzanie ruchem (zgodne z MEF) w celu odpowiedniej transmisji ruchu wideo:
- Zarządzanie ruchem w obrębie strumienia,
- Klasyfikacja na podstawie portu fizycznego, adresu MAC, pola Ethertype w ramce
Ethernet, VLAN, IP/TCP/UDP, 802.1.p (VPT), DiffServ,
• Oznaczanie/ odznaczanie profili pomiędzy warstwami (802.1p, ToS oraz MPLS EXP),
- Single/dual leacky bucket – 3 poziomy zgodności (CIR/PIR),
• Kształtowanie ruchu wyjściowego na kolejkę/ port,
• Tryb mapowania Q-in-Q do MPLS VC,
• Przełącznik musi pracować zarówno jako LER (Label Edge Router) oraz LSR (Label
Switching Router),
•
•
•
•
•
•
l
l
l
l
•
•
•
•
•
•
•
•
•
•
Layer 2 VPN – Martini MPLS pseudo-wire LER/LSR
• LDP, CR-LDP, RSVP-TE, OSPF-TE, CSPF, E-LSP,
Spoke H-VPLS - MTU-r with dual-home VC protection,
RIP v1, v2,
OSPF,
IS- IS,
Multicast:
- IGMP snooping,
- Static multicast forwarding,
- Multicast VLAN Registration,
ACL działające z prędkością wire-speed,
Filtrowanie po MAC, ARP, oraz BPDU,
Rate limit dla pakietów Unicast/Multicast/Broadcast,
BPDU Storm Guard,
Zarządzanie out-of-band– EIA-232 console,
Zarządzanie out-of-band – dedykowany port 10/100Base-T,
TELNET, SSH v2, SNMPv1,v2c,v3,
Ping, Trace route, DNS lookup, TCP dump (wbudowany sniffer),
Port mirroring,
NTP,
Możliwość ściągnięcia/ zachowania konfiguracji na serwerze FTP,
Możliwość zdalnego ściągnięcia oprogramowania przez FTP,
Administracyjne planowanie wykonania określonych komend w określonym czasie/dniu,
zdefiniowanych wcześniej przez administratora,
Advanced Ethernet OA&M (testowanie wykrywania, ciągłości i zdolności połączenia)
- Link OAM IEEE 802.3ah - EFM
- Service OAM - Layer 2 PING & Traceroute
- MEF 14 OAM probe for performance measurement
- Round Trip Reporter
- Virtual Cable Diagnostics (VCD copper TDR) na portach RJ45
- Optical Signal level monitoring - Digital Diagnostics (SFP SFF - 8472)
Przełącznik powinien spełniać następujące normy i zalecenia:
IEEE
IEEE 802.3z
GbE 1000Base-SX/LX
IEEE 802.3ab
GbE Copper
IEEE 802.3ad
Link Aggregation
IEEE 802.3ah
Ethernet in the Frist Mile – Link OAM
IEEE 802.1D
Bridging and Spanning Tree
IEEE 802.1p
Layer 2 priority QoS Support
IEEE 802.1Q
VLAN Tagging
IEEE 802.1w
Rapid Spanning Tree
IEEE 802.1s
MSTP
IEEE 802.1x
Port-based Network Access Control
IEEE 802.1ad
Provider bridges
IETF
RFC 1583 OSPF v2-1
RFC 1587 OSPF-NSSA
RFC 1643 Ethernet MIB
RFC 1723 RIPv2
RFC 1812 Requirements for IP Version 4 Routers
RFC 1850 OSPF MIB
RFC 1902 Structure of Management Information for Version 2 of the SNMPv2
RFC 1907 SNMPv2
RFC 2030 SNTP
RFC 2082 RIP v2
RFC 2236 IGMPv2
RFC 2267 Network Ingress Filtering
RFC 2328 OSPFv2
RFC 2370 Opaque LSA support
RFC 2385 MD5 peer password authentication
RFC 2430 A Provider architecture for DiffServ & TE
RFC 2453 RIP v2 MD5 Authentication
RFC 2475 DiffServ of DS field in IPv4 & IPv6 headers
RFC 2571-2575 SNMPv3
RFC 2597 DiffServ AF PHB Group
RFC 2598 DiffServ EF PHB Group
RFC 2665 Definitions of Managed Objects for the Ethernet-like Interface Types
RFC 2702 Traffic Engineering over MPLS
RFC 2863 The Interface Group MIB
RFC 2865 RADIUS Authentication
RFC 2866 RADIUS Accounting
RFC 2925 Management SLA MIB - ping
RFC 3031 MPLS Architecture
RFC 3032 MPLS Label Stack Encoding
RFC 3036 LDP specifications
RFC 3037 LDP Applicability
RFC 3063 MPLS loop prevention mechanism
RFC 3101 OSPF NSSA Option
RFC 3140 DiffServ PHB identification codes
RFC 3164 Syslog
RFC 3209 Extentions to RSVP for LSP tunnels - RSVP-TE
RFC 3210 Applicability statement for extentions to RSVP for LSP tunnels
RFC 3212 CR-LDP
RFC 3246 AF PHB Group
RFC 3410 SNMP version 3 Framework
RFC 3411 An Architecture for Describing SNMP Management Frameworks
RFC 3412 Message Processing and Dispatching for SNMP
RFC 3413 SNMP Applications
RFC 3414 User-based Security Model (USM) for SNMPv3
RFC 3415 View-based Access Control Model (VACM) for SNMP
RFC 3416 Version 2 of the Protocol Operations for SNMP
RFC 3418 Management Information Base (MIB) for SNMP
RFC 3630 Traffic Engineering Extentions OSPFv2
IETF Drafts
draft-IETF-L2circuit-trans-MPLS-08
draft-IETF-L2circuit-encap-MPLS-04
2. Przełącznik MPLS typ B.
•
•
•
•
•
•
•
Min. 12 portów Combo (100/1000Mbps SFP lub 10/100/1000Base-T),
Automatyczne rozpoznawanie rodzaju kabla miedzianego: Auto- MDI/MDIX,
Matryca: non-blocking wire-speed,
Tablica adresów MAC: 16K,
Obsługa ramek Jumbo (16 000 B) na wszystkich portach,
Redundantne zasilanie AC,
Możliwość zamontowania w szafie Rack 19”
Przełączanie
• IEEE 802.1Q oraz 802.1ad:
1.
możliwość zdefiniowania do 4K aktywnych sieci VLAN,
2.
mechanizm Q-in-Q na port + VLAN,
• transparentny tryb cross-connect (no MAC learning),
• Limit learning table na VLAN/port,
• Ochrona przed awarią:
o automatyczne przełączanie optyczne na łączach sieci (1:1)
o IEEE 802.3ad Link Aggregation
o IEEE 802.1s Multiple Instance Spanning Tree
o kompatybilny z 802.1w/d
Zarządzanie ruchem (zgodne z MEF)
• Zarządzanie ruchem inbound i outbound w obrębie strumienia,
• Klasyfikacja na podstawie portu fizycznego, adresu MAC, polu Ethertype w ramce Ethernet,
VLAN, IP/TCP/UDP, 802.1.p (VPT), DiffServe,
• Oznaczanie/ odznaczanie profili pomiędzy warstwami (802.1p, ToS oraz MPLS EXP),
• 8 sprzętowych kolejek na port i konfigurowalny adaptacyjny bufor CoS,
• Zastawy liczników pakietów in-profile i out-of-profile,
• Ograniczanie ruchu zależne od klasy,
• HQoS (możliwość ograniczania ruchu na port/kolejkę jednocześnie)
Usługi warstwy 2 - Tunelowanie
• Q-in-Q - mapped mode or translation,
• Layer 2 VPN – Martini MPLS pseudo-wire,
• Spoke H-VPLS
Usługi IP
• RIP v1, v2,
• OSPF,
• Intermediate System to Intermediate System (IS - IS) Protocol,
• Network Address Translation (NAT)
Bezpieczeństwo
• Ochrona CPU Dos,
o Kontrola prędkości ramek,
o Kolejki dedykowane,
• Wire-speed Access Control Lists,
• Filtrowanie po MAC, ARP oraz BPDU,
• Ograniczanie prędkości dla pakietów typu Unicast/Multicast/Broadcast,
Zarządzanie
• Zarządzanie out-of-band– EIA-232 console,
• Zarządzanie out-of-band – dedykowany port Ethernet,
• TELNET, SSH v2, SNMPv3,
• Ping, Trace route, DNS lookup, TCP dump (wbudowany sniffer),
• Port mirroring,
• RADIUS AAA dla zarządzania sesją (AAA - Authentication, Authorization and
Accounting),
• Możliwość ściągnięcia/ zachowania konfiguracji na serwerze FTP,
• NTP – Network Time Protocol,
• Logging Syslog,
• Możliwość wydawania zestawów komend w zdefiniowane wcześniej dni/godziny
OAM Service Assurance Tool
• Zaawansowane narzędzia monitoringu i zarządzania SLA:
o funkcjonalność lokalnej i zdalnej pętli zwrotnej (loopback),
o zaawansowane techniki mierzenia opóźnień/fluktuacji jitter (QoS Verification),
• Service end-to-end OAM – Connectivity Fault Management,
• Urządzenie wyposażone w generator ruchu o wydajności minimum 1 Gbps,
• Link OAM – Auto-discovery zgodny z IEEE802.3ah,
• OAM warstwy fizycznej – Cable Diagnostics:
o Monitorowanie poziomów optycznych - Digital Diagnostics (SFP SFF - 8472),
o sprawdzanie jakości torów miedzianych na portach RJ45
Usługi MPLS
• MPLS VC – LDP,
• RSVP-TE,
• CR-LDP,
• OSPF-TE,
• CSPF
Zgodność ze standardami
IEEE
IEEE 802.3z Gigabit Ethernet (1000Base-SX/LX)
IEEE 802.3ab Gigabit Ethernet Copper
IEEE 802.3ad Link Aggregation
IEEE 802.3ah Ethernet in the First Mile
IEEE 802.1D Bridging and Spanning Tree
IEEE 802.1p Layer 2 priority QoS Support
IEEE 802.1Q VLAN Tagging
IEEE 802.1w Rapid STP
IEEE 802.1s MSTP
IEEE 802.1ad Provider bridges (partial draft) – Q-in-Q stacking per VLAN/port
IETF
RFC 1643 Ethernet MIB
RFC 1902 Structure of Management Information for SNMPv2
RFC 1907 SNMPv2
RFC 2030 SNTP
RFC 2236 IGMP v2
RFC 2267 Network Ingress Filtering
RFC 2370 Opaque LSA support
RFC 2385 MD5 peer password authentication
RFC 2430 A Provider architecture for DiffServ and TE
RFC 2475 DiffServ of DS field in IPv4 & IPv6 headers
RFC 2571 - 2575 SNMPv3
RFC 2597 DiffServ AF PHB
RFC 2598 DiffServ EF PHB
RFC 2865 RADIUS Authentication
RFC 2866 RADIUS Accounting
RFC 2925 Management SLA MIB - ping
RFC 3031 MPLS Architecture
RFC 3032 MPLS Label Stack Encoding
RFC 3036 LDP Specifications
RFC 3037 LDP Applicability
RFC 3063 MPLS loop prevention mechanism
RFC 3140 DiffServ PHB identification codes
RFC 3164 Syslog
RFC 3209 Extensions to RSVP for LSP tunnels (RSVP-TE)
RFC 3210 Applicability statement for extensions to RSVP for LSP tunnels (RSVP-TE)
RFC 3212 CR-LDP
RFC 3246 AF-PHB Group
RFC 3410 SNMP version 3 Framework
RFC 3411 An Architecture for Describing SNMP Management Frameworks
RFC 3412 Message Processing and Dispatching for SNMP
RFC 3413 SNMP Applications
RFC 3414 User-based Security Model (USM) for SNMPv3
RFC 3415 View-based Access Control Model (VACM) for SNMP
RFC 3416 Version 2 of the Protocol Operations for SNMP
RFC 3418 Management Information Base (MIB) for SNMP
IETF Drafts
draft-IETF-L2circuit-trans-MPLS-08
draft-IETF-L2circuit-encap-MPLS-04
3. Moduł SFP.
•
•
•
•
•
szybkość transmisji: 1000Mbps, Gigabit Ethernet (1000Base-LX),
praca na dwóch włóknach jednomodowych,
zasięg 20km,
możliwość dynamicznego podglądu parametrów technicznych modułu z poziomu
urządzenia, w którym jest zainstalowane,
w celu uzyskania pełnej kompatybilności, dostarczone moduły muszą pochodzić od tego
samego producenta co przełączniki MPLS.
4. Konwerter optyczny.
• szybkość transmisji: 1000Mbps, Gigabit Ethernet (1000Base-LX, 1000Base-T),
• praca na dwóch włóknach jednomodowych,
• konwersja sygnału optycznego na miedziany i odwrotnie,
• zasięg: min. 15km,
• temperatura pracy: -350C ÷ +700C,
• zasilanie 12VDC.
5. Łącze laserowe.
• zestaw urządzeń nadawczo – odbiorczych wykorzystujących do przesyłu danych transmisję
laserową w wolnej przestrzeni,
• prędkość transmisji: 100Mbps (100Base-T),
• zasięg przy tłumieniu 30dB/km (złe warunki atmosferyczne): min. 580m,
• zasięg maksymalny (ładna pogoda): min. 1850m,
• temperatura pracy: min. -500C ÷ +600C,
• klasa szczelności obudowy: min. IP66,
• klasa bezpieczeństwa dla oka: min. 1M,
• urządzenie wyposażone w zapasowe łącze radiowe, które w razie problemów z łącznością
laserową automatycznie przejmuję transmisję.
6. Kontroler sieci bezprzewodowej.
• Pełna kompatybilność i współpraca z oferowanymi Punktami dostępowymi (AP) –
urządzenia muszą pochodzić od tego samego producenta.
• Wielkość max 1U.
• Kontrolery sieci bezprzewodowej muszą mieć możliwość pracy w trybie redundantnym
(redundancja 1+1).
• Kontroler powinien być wyposażony w min. 2 porty 10/100/1000Base-T.
• Możliwość zarządzania min. 25 AP (możliwość licencyjnego rozszerzenia do obsługi 50
AP).
• Kontroler musi wspierać min. do min. 1000 aktywnych użytkowników.
• Wsparcie dla min. 32 BSSID.
• Możliwość ukrywania poszczególnych BSSID.
• Kontroler musi wspierać funkcjonalność inteligentnego mesha – pozwalającą na
transparentne podłączenie AP typu mesh do AP typu root. System powinien automatycznie
optymalizować swoją topologię tak, aby zapewnić najlepszą przepustowość i automatycznie
przywracać poprawną pracę systemu w przypadku awarii. W przypadku awarii uplinku, sieć
automatycznie powinna przełączyć dany AP do alternatywnego uplinku w tym samym lub
sąsiadującym drzewie mesh.
• Kontroler powinien umożliwiać dla dowolnego AP typu mesh automatyczny wybór innego
AP jako uplink lub ręczne zdefiniowanie innych AP, które będą mogły zostać wykorzystane
jako łącza typu uplink.
• Autentykacja 802.1x oraz lokalna baza danych.
• Autentykacja poprzez zewnętrzne serwery AAA:
- Active Directory,
- RADIUS.
• Lokalna baza danych na kontrolerze musi umożliwiać przechowywanie min. 200 wpisów o
użytkownikach.
• Wsparcie dla: WEP, WPA-TKIP, WPA2-AES, 802.11i, PSK.
• Konfiguracja poprzez interfejs www lub przez aplikację zarządzającą.
• Automatyczny upgrade oprogramowania na AP.
• Obsługa Captive Portal.
• Obsługa kont gości, administrator za pośrednictwem kontrolera może stworzyć powitalną
stronę logowania do systemu z wymuszeniem lub bez logowania za pomocą hasła gościa w
celu uzyskania dostępu do sieci.
• 802.1Q VLAN z możliwością ustawienia osobnego VLANu dla każdego BSSID.
• Możliwość ograniczania prędkości przesyłu danych dla klientów w poszczególnych BSSID
z osobna, konfigurowalne osobno dla kierunku uplink i downlink.
• Kontroler powinien umożliwiać ograniczanie maksymalnej ilości użytkowników w
poszczególnych BSSID.
• Kontroler powinien umożliwiać funkcjonalność kontroli dostępu użytkowników na
punktach dostępowych w czasie rzeczywistym i w przypadku przekroczenia limitu
użytkowników w danym BSSID powinien uniemożliwiać dostęp kolejnym klientom.
• Zintegrowany serwer DHCP.
• Funkcjonalność automatycznego wykrywania kontrolera przez AP w warstwie drugiej oraz
trzeciej (z wykorzystaniem serwera DHCP).
• Dynamiczne zarządzanie częstotliwościami radiowymi oraz mocą wszystkich AP w celu
optymalnego pokrycia terenu i unikania interferencji.
• Wsparcie dla dynamicznego PSK, polegające na automatycznym generowaniu min. 63
bajtowego klucza szyfrującego dla każdego z użytkowników próbujących otrzymać dostęp
do bezprzewodowej sieci LAN. W trakcie pierwszego logowania użytkownika do systemu
jego urządzenie powinno być automatycznie konfigurowane z odpowiednimi ustawieniami
sieci bezprzewodowej (np. SSID, unikatowe hasło) bez konieczności wprowadzania
ręcznych ustawień. Klucz generowany powinien być dla każdego użytkownika z osobna i
dla każdego z WLANów. Nowy użytkownik powinien być uwierzytelniany poprzez Captive
Portal, a weryfikacja powinna nastąpić przy użyciu Active Directory, RADIUS, LDAP oraz
wbudowanej bazy kontrolera.
• Funkcjonalność wykrywania obcych AP.
• Uwierzytelnianie Hot Spot za pomocą protokołu WISPr.
• Monitorowanie parametrów kontrolera i AP oraz generowanie na ich podstawie statystyk.
• Obsługa protokołu SNMP.
• Funkcjonalność tunelowania ruchu wrażliwego na opóźnienia (np. VoIP) dla
poszczególnych BSSID – pozwalająca wszystkim użytkownikom tunelowanego WLAN na
bezprzerwowy roaming pomiędzy AP znajdującymi się w sieci, nawet wówczas, kiedy te
AP znajdują się w różnych podsieciach. Tunel pomiędzy kontrolerem sieci bezprzewodowej
a AP powinien być ustanawiany przy użyciu protokołu LWAPP (Light-weight Access Point
Protocol), działający zarówno w warstwie 2 oraz 3.
• Kontroler musi wspierać funkcjonalność WZC (Wireless Zero Configuration) pozwalającą
na szybką konfigurację parametrów sieci bezprzewodowej dla użytkowników systemów
Windows Vista, Windows XP, Windows Mobile, Windows CE lub Apple iPhone.
• Obsługa protokołu 802.11e.
• Kontroler powinien być wyposażony w aplikację służącą do testowania prędkości łączy oraz
strat pakietów o wydajności min. 600Mb/s. Aplikacja powinna umożliwiać testowanie
prędkości łącza do dowolnego AP w kierunku uplink oraz downlink, a także do klientów
bezprzewodowych.
• Możliwość wgrywania map obszaru oraz wizualizacji na nich rozmieszczenia
poszczególnych AP, ich stanu, aktywnych klientów oraz dynamiczna wizualizacja aktualnej
topologii MESH.
• Możliwość tworzenia list kontroli dostępu warstw L2/3/4 z funkcjonalnościami
zaawansowanego filtrowania ruchu.
• Możliwość stosowania różnych list kontroli dostępu dla poszczególnych BSSID.
7. Punkt dostępowy (AP).
• Punk dostępowy musi być zarządzany z centralnego kontrolera, jak również może działać
jako autonomiczny AP.
• Pełna kompatybilność i współpraca z oferowanymi kontrolerami- urządzenia muszą
pochodzić od tego samego producenta.
• Konfiguracja poprzez:
- CLI (Telnet, SSH),
- HTTP/S ,
- Interfejs statystyk SNMP,
- Aplikację zarządzania siecią bezprzewodową.
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Min. 2 porty 10/100/1000Base-T działające również jako switch.
Wsparcie dla następujących standardów IEEE 802.11a/b/g/n.
Równoczesna praca w paśmie 2,4GHz oraz 5GHz – wymagany podwójny moduł radiowy.
Technologia MIMO 3x3 dla każdego z pasm radiowych.
Szerokość kanałów radiowych 20 MHz i/lub 40 MHz.
Co najmniej 8 BSSID na każdy moduł radiowy.
AP wyposażony w min. 17 wewnętrznych, konfigurowanych programowo układów anten
kierunkowych i dookólnych, zapewniające ponad 3500 unikatowych wzorców antenowych.
AP dla każdego klienta powinien dynamicznie wybierać najlepszy wzorzec antenowy i
formować wiązkę radiową w kierunku danego użytkownika. AP musi być wyposażony w
minimum dwa dodatkowe złącza antenowe do podłączenia anten zewnętrznych dla pasma
5GHz.
Punkt dostępowy nie może wymagać do poprawnej pracy dołączenia dodatkowych
zewnętrznych anten (zewnętrzne anteny stosowane jedynie jako opcja do ewentualnej
poprawy zasięgu).
Liczba jednoczesnych użytkowników obsługiwanych przez AP: min 100 per moduł
radiowy.
Możliwość zasilania AP zgodnie ze standardem 802.3af PoE (lub 802.3at).
Punkty dostępowe muszą umożliwiać podłączenie (zasilenie) innych urządzeń zasilanych w
standardzie PoE (np. kamer IP albo innych AP).
Wsparcie dla co najmniej 4 klas usług QoS (4 kolejki).
Wsparcie dla 802.11e.
Automatyczna priorytetyzacja ruchu głosowego i wideo w kierunku ingress oraz egress
Wsparcie dla 802.1Q VLAN.
Kontroler powinien mieć możliwość bezpośredniego lokalnego przełączania klientów.
Możliwość blokowania ruchu pomiędzy klientami danej sieci BSSID (konfigurowalne dla
poszczególnych BSSID).
Wsparcie dla WEP, WPA-PSK, WPA-TKIP, WPA2 AES, 802.11i.
Autentykacja 802.1X .
Przy współpracy AP z kontrolerem wsparcie dla funkcjonalności:
- Funkcjonalność inteligentnego MESHa –pozwalającą na transparentne podłączenie AP
typu MESH do AP typu root. System powinien automatycznie optymalizować swoją
topologię tak, aby zapewnić najlepszą przepustowość i automatycznie przywracać poprawną
pracę systemu w przypadku awarii. Funkcjonalność MESH nie może być uruchamiana
poprzez dodatkową ręczną konfigurację systemu. W przypadku awarii uplinku, sieć
automatycznie powinna przełączyć dany AP do alternatywnego uplinku w tym samym lub
sąsiadującym drzewie MESH. Aby uniknąć ograniczeń topologii MESH wszystkie punkty
dostępowe muszą mieć taką samą funkcjonalność.
- Funkcjonalność typu WZC (Wireless Zero Configuration) pozwalającą na szybką
konfigurację parametrów sieci bezprzewodowej dla użytkowników systemów Windows
Vista, Windows XP, Windows Mobile, Windows CE lub Apple iPhone.
−
Wsparcie dla dynamicznego PSK, polegające na automatycznym generowaniu min.
63 bajtowego klucza szyfrującego dla każdego z użytkowników próbujących otrzymać
dostęp do bezprzewodowej sieci LAN. W trakcie pierwszego logowania użytkownika do
systemu
•
•
•
•
•
jego urządzenie powinno być automatycznie konfigurowane z odpowiednimi ustawieniami
sieci bezprzewodowej (np. SSID, unikatowe hasło) bez konieczności wprowadzania
ręcznych ustawień. Klucz generowany powinien być dla każdego użytkownika z osobna i
dla każdego z WLANów. Nowy użytkownik powinien być uwierzytelniany poprzez Captive
Portal, a weryfikacja powinna nastąpić przy użyciu Active Directory, RADIUS, LDAP oraz
wbudowanej bazy kontrolera.
- Kontroler powinien umożliwiać funkcjonalność kontroli dostępu użytkowników do
punktów dostępowych w czasie rzeczywistym.
- Kontroler powinien umożliwiać funkcjonalność równoważenia obciążenia na AP. W
zależności od obciążenia danego punktu dostępowego kolejnym użytkownikom będzie
przydzielany niższy priorytet, przez co klienci będą preferowali mniej obciążone AP.
- Wsparcie dla funkcjonalności Captive Portal oraz kont gości.
- Współpraca z serwerami RADIUS oraz Active Directory.
Możliwość montażu na suficie, ścianie, słupie.
Możliwość zasilania minimum:
- PoE,
- 12V DC.
Każdy AP dostarczony z zasilaczem odpowiednim do miejsca montażu o odpowiednich
parametrach środowiskowych.
Obudowa o klasie szczelności co najmniej IP67.
Temperatura pracy: od -40 do +60oC.
8. Urządzenie zabezpieczeń (UTM).
• UTM będzie działał w oparciu o dostarczony przez Wykonawcę sprzęt o minimalnych
parametrach:
a)
b)
c)
d)
e)
f)
Chipset płyty głównej pochodzący od producenta procesora
Sloty rozszerzeń: 2 x PCI Express
Karta graficzna: zintegrowana z płytą
Karta sieciowa: 4 x 10/100/1000, karty przeznaczone do serwerów
Karta zarządzająca: zintegrowana karta zarządzająca z KVM
Procesor: AMD® Opteron™ 6128 lub Intel Xeon E5620 lub odpowiednik o
wydajności nie niższej wg spec.org: spec cpu2006
g) Pamięć: zainstalowana 4GB, maksymalnie 128 GB RAM, banki pamięci obsadzone
optymalnie (np. 4x1GB) modułami DDR3-1333 ECC
h) Zasilacz: 550W
i) Kieszenie na dyski: 4 x SAS/SATA 3,5" hot-swap
j) Zainstalowane dyski stałe: 2 x 500 GB SATA 7200 rpm, wersje przeznaczone do
pracy non-stop
k) Kontroler RAID: zintegrowany kontroler SATA RAID 0,1,10
l) Napęd optyczny: DVD+/-RW
m) Gwarancja: 12 m-cy on-site 24h/48h realizowana przez producenta
n) Obsługiwane systemy operacyjne: Windows 2008 Server (32-bit i x64), Windows
2003 Server RedHat EL 5, RedHat EL 6, Suse ELS 10, Suse ELS 11
o) Certyfikat PN-EN ISO 9001 na procesy projektowania, produkcję, sprzedaż i serwis.
Deklaracja producenta o zgodności z dyrektywami 73/23/EEC oraz 89/336/EEC
(oznaczenia CE)
• Urządzenie musi realizować następujące funkcje:
a) firewall
możliwość zezwalania lub blokowania ruchu w oparciu o kryteria: protokół,
kierunek, adres źródłowy i docelowy, port źródłowy i docelowy;
b) filtr WWW
możliwość zezwalania, logowania lub blokowania stron wg kategorii np. hazard,
sklepy internetowe, pornografia, samodzielne zarządzanie regułami (URl, typy
plików, typy MIME), automatyczna aktualizacja kategorii, filtr przezroczysty
(bez definiowania Proxy), monitorowanie i raporty logów, listy zezwoleń i
blokad, lista niefiltrowanych klientów wg IP, lista niefiltrowanych adresów
URL;
c) antywirus
ochrona protokołów http, ftp, smtp, pop i imap; skanowanie plików
skompresowanych, automatyczna aktualizacja szczepionek, rozpoznawanie
archiwum typu Zip, RAR, Tar, Gzip, Bzip2, MS OLE2, MS Cabinet Files, MS
CHM, and MS SZDD, także zagnieżdżonych., możliwość skanowania ruchu
przychodzącego, wychodzącego lub całości;
d) antyspam
osobiste listy kwarantanny, osobiste białe listy, sprawdzanie obrazków wewnątrz
listów, wsparcie dla protokołów POP, IMAP, SMTP, raporty, możliwość
blokowania, oznaczania i przekazywania podejrzanych wiadomości,
informowanie nadawcy o zablokowaniu jego adresu, używanie filtrów Bayesa,
DNSBL/RBL, regulacja czułości, indywidualne zarządzanie przez przeglądarkę
e) ochrona przed atakiem DoS
przetwarzanie przychodzących pakietów, logowanie incydentów, automatyczne
blokowanie pojedynczych sesji i adresów IP
f) ochrona przed phishingiem
skanuje wiadomości e-mail i blokuje, oznacza lub przenosi do kwarantanny
podejrzane listy, obsługuje protokoły POP,IMAP,SMTP
g) blokowanie spyware
definiowalne listy blokad dla cookie, skryptów i podsieci, listy zezwoleń dla
URL/IP, blokowanie tymczasowe, blokowanie ActiveX
h) kontrola protokołów warstwy 7 OSI
możliwość dodawania własnych sygnatur protokołów
i) captive portal
możliwość wymuszania akceptacji regulaminu, mechanizm uwierzytelnienia
lokalny lub Radius, własne reguły i własny wygląd strony portalu, logi dostepów
j) zapobieganie włamaniom (IPS)
rozpoznawanie prób włamania na podstawie analizy ruchu sieciowego i
dostępnych sygnatur, automatyczna aktualizacja sygnatur snort, definiowanie
własnych sygnatur
k) VPN
możliwość połączeń szyfrowanych przez SSL w standardzie OpenVPN,
definiowanie zakresu sieci dostępnej przez VPN;
l) raportowanie
obciążenie sieci, systemu, wykorzystanie zasobów, logi użytkowników,
incydentów itp.
• System operacyjny firewalla musi śledzić stan sesji użytkowników (stateful processing),
tworzyć i zarządzać tablicą stanu sesji
• Urządzenie musi być wyposażone w nie mniej niż 4 interfejsy Ethernet 10/100/1000Base-T
(gotowych do użycia bez konieczności zakupu dodatkowych modułów i licencji).
• Włączenie wyżej wymienionych funkcji nie może wymagać dodatkowego serwera
sprzętowego ani dodatkowej licencji.
9. Laptop.
• Matryca 15,6” HD matowa z podświetleniem LED, Rozdzielczość min 1366 x 768.
• Obudowa z dodatkiem stopów magnezu o wzmocnionej konstrukcji, stalowe zawiasy
wyświetlacza.
• Procesor klasy x86 dwurdzeniowy, o częstotliwości min. 2,2GHz, 1MB pamięci Cache L2.
• Pamięć RAM min. 2 GB DDR3 1333MHz w jednym module z możliwością rozbudowy do
8GB.
• Dysk twardy Min. 250GB SATA/7200 wyposażony w system bezpieczeństwa
zapobiegający uszkodzeniu dysku poprzez parkowanie głowicy dysku w sytuacjach
zagrożenia oraz system tłumienia (absorbowania) drgań.
• Karta graficzna nie gorsza niż ATI Mobility Radeon HD 4250.
• Karta dźwiękowa Hight Definition zgodna z Sound Blaster, AC97.
• Wbudowane głośniki stereo.
• Porty/złącza* zintegrowane min.: 1x Express Card slot, 1x VGA 1 x Display Port, 1x
eSATA/USB 2.0 Combo, 3x USB 2.0, RJ 11, RJ45, 1x audio in, 1x audio out, Firewire
(IEEE1394), zintegrowany czytnik SD (Secure Digital), MMC (MultiMedia Card), Memory
Stick, Memory Stick Pro, Memory Stick Duo, xD-Picture card.
• Złącze typu Kensington Slot.
• Karta sieciowa Ethernet 10/100/1000Base-T.
• Karta sieci bezprzewodowych 802.11 a/b/g/n.
• Bluetooth V2.1.
• Klawiatura odporna na zalanie- układ US –QWERTY z klawiszami numerycznymi.
• Touchpad z wydzielonym scroll’em.
• Napęd optyczny DVD+/-RW Dual Dual Layer.
• Bateria Li-Ion zapewniająca pracę minimum przez 4,5 godziny.
• Zasilacz zewnętrzny 110-240 V.
• System operacyjny Microsoft Windows 7 Premium 32 PL lub równoważny zgodny z
certyfikatem producenta notebooka.
• Oprogramowanie producenta komputera do wykonania kopii bezpieczeństwa systemu
operacyjnego i danych użytkownika na dysku twardym i dyskach zewnętrznych np. CDROM oraz ich odtworzenie po ewentualnej awarii systemu operacyjnego bez potrzeby jego
reinstalacji;
• Oprogramowanie diagnostyczne umożliwiające wykrywanie usterek z wyprzedzeniem.
• Dołączone dedykowane oprogramowanie producenta komputera umożliwiające zdalną
inwentaryzację sprzętu, monitorowanie stanu jego pracy, zmianę ustawień BIOS’u oraz na
aktualizację sterowników oraz BIOS’u
• BIOS musi posiadać możliwość
- skonfigurowania hasła „Power On”,
- ustawienia hasła dostępu do BIOSu (administratora),
- blokadę portów USB;
- możliwość wyłączenia w BIOS-ie portów USB;
- kontrola sekwencji boot-ącej;
- start systemu z urządzenia USB
- zawierać nieulotną informację z nazwą numerem produktu, numerem seryjnym oraz
MAC adresem karty sieciowej.
• Komputer musi posiadać zintegrowany w płycie głównej aktywny układ zgodny ze
standardem Trusted Platform Module (TPM v 1.2);
• Wbudowana w BIOS funkcjonalność pozwalająca na bezpieczne usuwanie danych z dysku
twardego
• Certyfikat zgodności z systemem Microsoft Windows .
• Gwarancja producenta 60 miesięcy na notebook, 12 miesięcy na baterię.
• Waga nie większa niż 2,7 kg.
• Laptop oznakowany naklejką logo Programu Innowacyjna Gospodarka zgodnie z
załączonym wzorem.
Zainstalowane oprogramowanie:
Zainstalowany system operacyjny Windows 7 PL
OpenOffice PL
7Zip PL
Przeglądarka plików PDF PL
Paint.Net PL
Mozilla Firefox PL
Odtwarzacz Flash dla FF i IE
bezpłatny program antywirusowy np. MS Security Essential PL
Pakiet edukacyjny GCompris PL
Konfiguracja:
zabezpieczenia sieci bezprzewodowej
konta użytkowników z hasłami: dzieci, rodzice
Ograniczenia i uprawnienia:
dzieci: ograniczone uprawnienia, włączony filtr dziecięcy w przeglądarkach internetowych
rodzice: pełne uprawnienia
Zabezpieczenia:
Zestaw płyt CD/DVD (2 komplety) zawierający obraz dysku stałego z możliwością samodzielnego
odtwarzania stanu pierwotnego przez użytkownika. Procedura odtwarzania powinna rozpocząć się
po włożeniu płyty do napędu i uruchomieniu komputera. Odtworzenie zawartości dysku z płyt
powinno przywrócić indywidualny stan konfiguracji komputera z chwili przekazania sprzętu
beneficjentowi.
10. Klienckie radiowe urządzenie dostępowe.
•
•
•
•
•
•
•
•
•
•
Urządzenie radiowe typu AP zgodne ze standardem 802.11n.
Praca w paśmie 2,4GHz.
Zintegrowana antena sektorowa lub kierunkowa dwupolaryzacyjna (polaryzacje liniowe).
Urządzenie wyposażone w min. jeden port RJ45 100Base-T.
Separacja polaryzacji: >=20dB
Zysk wbudowanej anteny >= 8 dBi
Możliwość montażu na zewnątrz, praca w zakresie temperatur -300C ÷ +700C.
Możliwość zasilania z kabla sieciowego (PoE).
Praca w trybach AP oraz Client.
Szyfrowanie WPA2/AES.
11. Komputer do zarządzania i konserwacji systemu.
• Matryca 15,6” HD matowa z podświetleniem LED, Rozdzielczość min 1366 x 768.
• Obudowa z dodatkiem stopów magnezu o wzmocnionej konstrukcji, stalowe zawiasy
wyświetlacza.
• Procesor klasy x86 dwurdzeniowy, o częstotliwości min. 2,2GHz, 1MB pamięci Cache L2.
• Pamięć RAM min. 2 GB DDR3 1333MHz w jednym module z możliwością rozbudowy do
8GB.
• Dysk twardy Min. 250GB SATA/7200 wyposażony w system bezpieczeństwa
zapobiegający uszkodzeniu dysku poprzez parkowanie głowicy dysku w sytuacjach
zagrożenia oraz system tłumienia (absorbowania) drgań.
• Karta graficzna nie gorsza niż ATI Mobility Radeon HD 4250.
• Karta dźwiękowa Hight Definition zgodna z Sound Blaster, AC97.
• Wbudowane głośniki stereo.
• Porty/złącza* zintegrowane min.: 1x Express Card slot, 1x VGA 1 x Display Port, 1x
eSATA/USB 2.0 Combo, 3x USB 2.0, RJ 11, RJ45, 1x audio in, 1x audio out, Firewire
(IEEE1394), zintegrowany czytnik SD (Secure Digital), MMC (MultiMedia Card), Memory
Stick, Memory Stick Pro, Memory Stick Duo, xD-Picture card.
• Złącze typu Kensington Slot.
• Karta sieciowa Ethernet 10/100/1000Base-T.
• Karta sieci bezprzewodowych 802.11 a/b/g/n.
• Bluetooth V2.1.
• Klawiatura odporna na zalanie- układ US –QWERTY z klawiszami numerycznymi.
• Touchpad z wydzielonym scroll’em.
• Napęd optyczny DVD+/-RW Dual Dual Layer.
• Bateria Li-Ion zapewniająca pracę minimum przez 4,5 godziny.
• Zasilacz zewnętrzny 110-240 V.
• System operacyjny Microsoft Windows 7 Premium 32 PL lub równoważny zgodny z
certyfikatem producenta notebooka.
• Oprogramowanie producenta komputera do wykonania kopii bezpieczeństwa systemu
operacyjnego i danych użytkownika na dysku twardym i dyskach zewnętrznych np. CDROM oraz ich odtworzenie po ewentualnej awarii systemu operacyjnego bez potrzeby jego
reinstalacji;
• Oprogramowanie diagnostyczne umożliwiające wykrywanie usterek z wyprzedzeniem.
• Dołączone dedykowane oprogramowanie producenta komputera umożliwiające zdalną
inwentaryzację sprzętu, monitorowanie stanu jego pracy, zmianę ustawień BIOS’u oraz na
aktualizację sterowników oraz BIOS’u
• BIOS musi posiadać możliwość
• - skonfigurowania hasła „Power On”,
• - ustawienia hasła dostępu do BIOSu (administratora),
• - blokadę portów USB;
• - możliwość wyłączenia w BIOS-ie portów USB;
• - kontrola sekwencji boot-ącej;
• - start systemu z urządzenia USB
• - zawierać nieulotną informację z nazwą numerem produktu, numerem seryjnym oraz MAC
adresem karty sieciowej.
• Komputer musi posiadać zintegrowany w płycie głównej aktywny układ zgodny ze
standardem Trusted Platform Module (TPM v 1.2);
• Wbudowana w BIOS funkcjonalność pozwalająca na bezpieczne usuwanie danych z dysku
twardego
• Certyfikat zgodności z systemem Microsoft Windows .
• Gwarancja producenta 60 miesięcy na notebook, 12 miesięcy na baterię.
• Waga nie większa niż 2,7 kg.
• Laptop oznakowany naklejką logo Programu Innowacyjna Gospodarka zgodnie z
załączonym wzorem.
IV. Szkolenia beneficjentów
Przedmiotem zamówienia jest wykonanie szkolenia dla 100 Beneficjentów Ostatecznych (BO)
projektu 8.3.
1. Zakres szkolenia winien obejmować:
o podstawowe umiejętności pracy z komputerem,
sprzęt
odtwarzanie systemu z płyty DVD po awarii
zainstalowane zabezpieczenia sieciowe i lokalne
system plików
podstawy Internetu
podstawy komunikacji: poczta elektroniczna, bezpłatne konto
kopia zapasowa danych,
o korzystanie z Internetu
bezpieczeństwo i zagrożenia
wyszukiwanie informacji
korzystanie z serwisów informacyjnych, portali BIP i miejskich portali
informacyjnych
używanie ESP i e-PUAP, przesyłanie dokumentów do urzędów drogą
elektroniczną,
edukacja i zakupy w Internecie
aktyny Internauta: portale społecznościowe, blog, itp.
o podstawowe wykorzystywanie pakietu OpenOffice
2. Szkolenia powinny być przeprowadzone dla grup 10 osobowych z podziałem na grupy
obejmujące dzieci, młodzież i dorosłych. Szkolenia winny być przeprowadzone w wymiarze
6 godzin zegarowych. Godzina zegarowa szkolenia liczy 60 minut i obejmuje liczące 45
minut zajęcia edukacyjne i 15 minutowa przerwę. Szkolenia winny byś prowadzone w
wymiarze 3 godzin dziennie dla poszczególnej grupy, z praktycznym wykorzystaniem
sprzętu informatycznego, jaki BO otrzymają w ramach realizacji zamówienia.
Harmonogram szkolenia i czas max dziennie.
3. Program szkolenia zostanie opracowany przez wykonawcę i winien zawierać szczegółowy,
godzinowy program obejmujący:
• tematykę zajęć w poszczególnych godzinach
• wykorzystane materiały dydaktyczne
•
Harmonogram i miejsce realizacji szkoleń zostanie przedstawiony przez wykonawcę na etapie
realizacji zadania.
W ramach realizacji szkoleń należy zapewnić bezwzględną dyscyplinę dotyczącą uczestnictwa w
szkoleniu BO oraz pełna realizacje programu.
1. Wykonawca szkolenia zobowiązany jest do niezwłocznego informowania
zamawiającego o :
• nie zgłaszaniu się BO na szkolenia
• nieobecności, rezygnacji lub przerwaniu szkolenia przez BO
• sytuacjach które miały by wpływ na prawidłowe przeprowadzenie szkolenia i realizację
jego programu
•
2. Wykonawca zobowiązany jest do zapewnienia BO niezbędnych materiałów dydaktycznych
dla uczestników szkolenia w formie pisemnej i na nośnikach danych, w tym jednego
kompletu dla Zamawiającego. Komplet materiałów dydaktycznych wykonawca dostarczy
Zamawiającemu najpóźniej na 7 dni przed rozpoczęciem szkoleń. Wykonawca zobowiązany
jest do przedstawienia harmonogramu szkoleń BO na początku szkolenia.
3. Wykonawca zobowiązany jest do przekazania pełnej dokumentacji z przeprowadzonego
szkolenia BO tj.
• dziennika zajęć edukacyjnych zawierającego tematy i wymiar zajęć
• wykaz imienny BO uczestniczących w szkoleniu wraz z podpisaną lista obecności BO
na poszczególnych szkoleniach
• potwierdzonego podpisem odbioru materiałów szkoleniowych przez BO
• kserokopii zaświadczenia o ukończeniu odbyciu szkolenia przez BO