I. Szczegółowy opis przedmiotu zamówienia
Transkrypt
I. Szczegółowy opis przedmiotu zamówienia
Załącznik F I. Szczegółowy opis przedmiotu zamówienia Przedmiotem zamówienia jest dostawa, montaż, instalacja, uruchomienie oraz serwis bezprzewodowego systemu dostępu do Internetu dla najuboższych mieszkańców miasta Krotoszyn, a w szczególności: 1. Budowa przyłączy transmisyjnych do punktów dostępu Internetowego zarówno w technologii światłowodowej jak i miedzianej. 2. Rozbudowa i przebudowa istniejącej światłowodowej miejskiej sieci transmisyjnej IP/MPLS wraz z wykonaniem niezbędnych prac integracyjnych. 3. Dostawa, montaż, instalacja, konfiguracja oraz uruchomienie wszystkich niezbędnych urządzeń radiowych oraz ich integracja z istniejącą światłowodową miejską siecią IP/MPLS. 4. Dostawa, konfiguracja oraz uruchomienie laptopów dla 100 beneficjentów wraz z zapewnieniem łączności internetowej w ich miejscu zamieszkania (w większości przypadków będzie się to wiązało z koniecznością wykonania instalacji antenowych w celu uzyskania zasięgu radiowego). 5. Dostawa, montaż, konfiguracja oraz uruchomienie łącza transmisji laserowej w wolnej przestrzeni. 6. Dostawa, montaż, konfiguracja oraz uruchomienie urządzenia zabezpieczeń UTM. 7. Przeprowadzenie szkoleń dla beneficjentów II. Opis funkcjonalny systemu Przedmiotem projektu jest rozbudowa systemu bezprzewodowego dostępu do Internetu dla najuboższych mieszkańców miasta Krotoszyna. System będzie się opierał na bezprzewodowej transmisji danych w standardzie 802.11n od Punktów dostępowych (AP) do komputerów mieszkańców objętych projektem. Utworzona przez Punkty dostępowe (AP) sieć bezprzewodowa musi charakteryzować się następującymi funkcjonalnościami: • Spójna praca wszystkich Punktów dostępowych (AP) pod kontrolą Kontrolerów sieci bezprzewodowej. Minimalne funkcjonalności zarówno Punktów dostępowych (AP) jak i Kontrolerów sieci bezprzewodowej zostały określone w punktach 6 i 7. Szczegółowy zakres i sposób konfiguracji sieci bezprzewodowej Zamawiający określi na etapie realizacji. • Pomiędzy siecią Internet a siecią bezprzewodową uruchomione zostanie Urządzenie zabezpieczeń (UTM). Jego zadaniem będzie ochrona systemu przed zagrożeniami zewnętrznymi (wirusy, spam, robaki internetowe, hakerzy itp.) oraz kontrola oglądanych stron WWW, w szczególności ograniczanie dostępu do stron zabronionych (pornografia, przemoc, hacking itp.). W celu spełnienia powyższych wymagań urządzenie musi posiadać minimalną funkcjonalność określoną w punkcie 8. Szczegółowy zakres i sposób konfiguracji Urządzenia zabezpieczeń (UTM) Zamawiający określi na etapie realizacji. • Punkty dostępowe (AP) połączone będą z Kontrolerami oraz Urządzeniem UTM za pomocą istniejącej światłowodowej sieci miejskiej pracującej w technologii IP/MPLS. W celu realizacji niniejszego projektu konieczna będzie także rozbudowa i rekonfiguracja sieci IP/MPLS. Szczegółowy zakres i sposób konfiguracji sieci IP/MPLS Zamawiający określi na etapie realizacji. Ze względu na usługi krytyczne uruchomione w obecnie eksploatowanej sieci miejskiej (system monitoringu wizyjnego, łączność pomiędzy jednostkami Urzędu Miasta itp.) Wykonawca musi potwierdzić swoje kompetencje do przeprowadzenia wymaganej rekonfiguracji i rozbudowy sieci IP/MPLS przez dysponowanie minimum jednym inżynierem posiadającym odpowiedni certyfikat w zakresie technologii MPLS producenta oferowanych przełączników. Na poniższym rysunku przedstawiony został docelowy, logiczny schemat systemu. III. Minimalne parametry techniczne urządzeń Lp. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. Nazwa Przełącznik MPLS typ A Przełącznik MPLS typ B Moduł SFP Konwerter optyczny Łącze laserowe Kontroler sieci bezprzewodowej Punkt dostępowy (AP) Urządzenie zabezpieczeń (UTM) Laptop Klienckie radiowe urządzenie dostępowe Komputer do zarządzania i konserwacji systemu Ilość Producent / Typ / Model Okres gwarancji producenta 1 2 14 8 1 1 17 1 100 50 2 1. Przełącznik MPLS typ A. • • • • • Min. 24 porty Combo (100/1000Mbps SFP lub 10/100/1000Base-T), Matryca: non-blocking wire-speed, Min. 2 redundantne zasilacze instalowane jako moduły, Możliwość montażu w szafie Rack 19”, Porty miedziane z funkcją Auto-MDI/MDIX Poniższa funkcjonalność jest wymagana na wszystkich portach przełącznika: • Obsługa ramek Jumbo (9kB), • IEEE 802.1Q - możliwość zdefiniowania do 4K aktywnych sieci VLAN, - mechanizm Q-in-Q (c-VLAN/ s-VLAN), • Urządzenie musi posiadać Certyfikat Metro Ethernet Forum (MEF), • Zarządzanie ruchem (zgodne z MEF) w celu odpowiedniej transmisji ruchu wideo: - Zarządzanie ruchem w obrębie strumienia, - Klasyfikacja na podstawie portu fizycznego, adresu MAC, pola Ethertype w ramce Ethernet, VLAN, IP/TCP/UDP, 802.1.p (VPT), DiffServ, • Oznaczanie/ odznaczanie profili pomiędzy warstwami (802.1p, ToS oraz MPLS EXP), - Single/dual leacky bucket – 3 poziomy zgodności (CIR/PIR), • Kształtowanie ruchu wyjściowego na kolejkę/ port, • Tryb mapowania Q-in-Q do MPLS VC, • Przełącznik musi pracować zarówno jako LER (Label Edge Router) oraz LSR (Label Switching Router), • • • • • • l l l l • • • • • • • • • • Layer 2 VPN – Martini MPLS pseudo-wire LER/LSR • LDP, CR-LDP, RSVP-TE, OSPF-TE, CSPF, E-LSP, Spoke H-VPLS - MTU-r with dual-home VC protection, RIP v1, v2, OSPF, IS- IS, Multicast: - IGMP snooping, - Static multicast forwarding, - Multicast VLAN Registration, ACL działające z prędkością wire-speed, Filtrowanie po MAC, ARP, oraz BPDU, Rate limit dla pakietów Unicast/Multicast/Broadcast, BPDU Storm Guard, Zarządzanie out-of-band– EIA-232 console, Zarządzanie out-of-band – dedykowany port 10/100Base-T, TELNET, SSH v2, SNMPv1,v2c,v3, Ping, Trace route, DNS lookup, TCP dump (wbudowany sniffer), Port mirroring, NTP, Możliwość ściągnięcia/ zachowania konfiguracji na serwerze FTP, Możliwość zdalnego ściągnięcia oprogramowania przez FTP, Administracyjne planowanie wykonania określonych komend w określonym czasie/dniu, zdefiniowanych wcześniej przez administratora, Advanced Ethernet OA&M (testowanie wykrywania, ciągłości i zdolności połączenia) - Link OAM IEEE 802.3ah - EFM - Service OAM - Layer 2 PING & Traceroute - MEF 14 OAM probe for performance measurement - Round Trip Reporter - Virtual Cable Diagnostics (VCD copper TDR) na portach RJ45 - Optical Signal level monitoring - Digital Diagnostics (SFP SFF - 8472) Przełącznik powinien spełniać następujące normy i zalecenia: IEEE IEEE 802.3z GbE 1000Base-SX/LX IEEE 802.3ab GbE Copper IEEE 802.3ad Link Aggregation IEEE 802.3ah Ethernet in the Frist Mile – Link OAM IEEE 802.1D Bridging and Spanning Tree IEEE 802.1p Layer 2 priority QoS Support IEEE 802.1Q VLAN Tagging IEEE 802.1w Rapid Spanning Tree IEEE 802.1s MSTP IEEE 802.1x Port-based Network Access Control IEEE 802.1ad Provider bridges IETF RFC 1583 OSPF v2-1 RFC 1587 OSPF-NSSA RFC 1643 Ethernet MIB RFC 1723 RIPv2 RFC 1812 Requirements for IP Version 4 Routers RFC 1850 OSPF MIB RFC 1902 Structure of Management Information for Version 2 of the SNMPv2 RFC 1907 SNMPv2 RFC 2030 SNTP RFC 2082 RIP v2 RFC 2236 IGMPv2 RFC 2267 Network Ingress Filtering RFC 2328 OSPFv2 RFC 2370 Opaque LSA support RFC 2385 MD5 peer password authentication RFC 2430 A Provider architecture for DiffServ & TE RFC 2453 RIP v2 MD5 Authentication RFC 2475 DiffServ of DS field in IPv4 & IPv6 headers RFC 2571-2575 SNMPv3 RFC 2597 DiffServ AF PHB Group RFC 2598 DiffServ EF PHB Group RFC 2665 Definitions of Managed Objects for the Ethernet-like Interface Types RFC 2702 Traffic Engineering over MPLS RFC 2863 The Interface Group MIB RFC 2865 RADIUS Authentication RFC 2866 RADIUS Accounting RFC 2925 Management SLA MIB - ping RFC 3031 MPLS Architecture RFC 3032 MPLS Label Stack Encoding RFC 3036 LDP specifications RFC 3037 LDP Applicability RFC 3063 MPLS loop prevention mechanism RFC 3101 OSPF NSSA Option RFC 3140 DiffServ PHB identification codes RFC 3164 Syslog RFC 3209 Extentions to RSVP for LSP tunnels - RSVP-TE RFC 3210 Applicability statement for extentions to RSVP for LSP tunnels RFC 3212 CR-LDP RFC 3246 AF PHB Group RFC 3410 SNMP version 3 Framework RFC 3411 An Architecture for Describing SNMP Management Frameworks RFC 3412 Message Processing and Dispatching for SNMP RFC 3413 SNMP Applications RFC 3414 User-based Security Model (USM) for SNMPv3 RFC 3415 View-based Access Control Model (VACM) for SNMP RFC 3416 Version 2 of the Protocol Operations for SNMP RFC 3418 Management Information Base (MIB) for SNMP RFC 3630 Traffic Engineering Extentions OSPFv2 IETF Drafts draft-IETF-L2circuit-trans-MPLS-08 draft-IETF-L2circuit-encap-MPLS-04 2. Przełącznik MPLS typ B. • • • • • • • Min. 12 portów Combo (100/1000Mbps SFP lub 10/100/1000Base-T), Automatyczne rozpoznawanie rodzaju kabla miedzianego: Auto- MDI/MDIX, Matryca: non-blocking wire-speed, Tablica adresów MAC: 16K, Obsługa ramek Jumbo (16 000 B) na wszystkich portach, Redundantne zasilanie AC, Możliwość zamontowania w szafie Rack 19” Przełączanie • IEEE 802.1Q oraz 802.1ad: 1. możliwość zdefiniowania do 4K aktywnych sieci VLAN, 2. mechanizm Q-in-Q na port + VLAN, • transparentny tryb cross-connect (no MAC learning), • Limit learning table na VLAN/port, • Ochrona przed awarią: o automatyczne przełączanie optyczne na łączach sieci (1:1) o IEEE 802.3ad Link Aggregation o IEEE 802.1s Multiple Instance Spanning Tree o kompatybilny z 802.1w/d Zarządzanie ruchem (zgodne z MEF) • Zarządzanie ruchem inbound i outbound w obrębie strumienia, • Klasyfikacja na podstawie portu fizycznego, adresu MAC, polu Ethertype w ramce Ethernet, VLAN, IP/TCP/UDP, 802.1.p (VPT), DiffServe, • Oznaczanie/ odznaczanie profili pomiędzy warstwami (802.1p, ToS oraz MPLS EXP), • 8 sprzętowych kolejek na port i konfigurowalny adaptacyjny bufor CoS, • Zastawy liczników pakietów in-profile i out-of-profile, • Ograniczanie ruchu zależne od klasy, • HQoS (możliwość ograniczania ruchu na port/kolejkę jednocześnie) Usługi warstwy 2 - Tunelowanie • Q-in-Q - mapped mode or translation, • Layer 2 VPN – Martini MPLS pseudo-wire, • Spoke H-VPLS Usługi IP • RIP v1, v2, • OSPF, • Intermediate System to Intermediate System (IS - IS) Protocol, • Network Address Translation (NAT) Bezpieczeństwo • Ochrona CPU Dos, o Kontrola prędkości ramek, o Kolejki dedykowane, • Wire-speed Access Control Lists, • Filtrowanie po MAC, ARP oraz BPDU, • Ograniczanie prędkości dla pakietów typu Unicast/Multicast/Broadcast, Zarządzanie • Zarządzanie out-of-band– EIA-232 console, • Zarządzanie out-of-band – dedykowany port Ethernet, • TELNET, SSH v2, SNMPv3, • Ping, Trace route, DNS lookup, TCP dump (wbudowany sniffer), • Port mirroring, • RADIUS AAA dla zarządzania sesją (AAA - Authentication, Authorization and Accounting), • Możliwość ściągnięcia/ zachowania konfiguracji na serwerze FTP, • NTP – Network Time Protocol, • Logging Syslog, • Możliwość wydawania zestawów komend w zdefiniowane wcześniej dni/godziny OAM Service Assurance Tool • Zaawansowane narzędzia monitoringu i zarządzania SLA: o funkcjonalność lokalnej i zdalnej pętli zwrotnej (loopback), o zaawansowane techniki mierzenia opóźnień/fluktuacji jitter (QoS Verification), • Service end-to-end OAM – Connectivity Fault Management, • Urządzenie wyposażone w generator ruchu o wydajności minimum 1 Gbps, • Link OAM – Auto-discovery zgodny z IEEE802.3ah, • OAM warstwy fizycznej – Cable Diagnostics: o Monitorowanie poziomów optycznych - Digital Diagnostics (SFP SFF - 8472), o sprawdzanie jakości torów miedzianych na portach RJ45 Usługi MPLS • MPLS VC – LDP, • RSVP-TE, • CR-LDP, • OSPF-TE, • CSPF Zgodność ze standardami IEEE IEEE 802.3z Gigabit Ethernet (1000Base-SX/LX) IEEE 802.3ab Gigabit Ethernet Copper IEEE 802.3ad Link Aggregation IEEE 802.3ah Ethernet in the First Mile IEEE 802.1D Bridging and Spanning Tree IEEE 802.1p Layer 2 priority QoS Support IEEE 802.1Q VLAN Tagging IEEE 802.1w Rapid STP IEEE 802.1s MSTP IEEE 802.1ad Provider bridges (partial draft) – Q-in-Q stacking per VLAN/port IETF RFC 1643 Ethernet MIB RFC 1902 Structure of Management Information for SNMPv2 RFC 1907 SNMPv2 RFC 2030 SNTP RFC 2236 IGMP v2 RFC 2267 Network Ingress Filtering RFC 2370 Opaque LSA support RFC 2385 MD5 peer password authentication RFC 2430 A Provider architecture for DiffServ and TE RFC 2475 DiffServ of DS field in IPv4 & IPv6 headers RFC 2571 - 2575 SNMPv3 RFC 2597 DiffServ AF PHB RFC 2598 DiffServ EF PHB RFC 2865 RADIUS Authentication RFC 2866 RADIUS Accounting RFC 2925 Management SLA MIB - ping RFC 3031 MPLS Architecture RFC 3032 MPLS Label Stack Encoding RFC 3036 LDP Specifications RFC 3037 LDP Applicability RFC 3063 MPLS loop prevention mechanism RFC 3140 DiffServ PHB identification codes RFC 3164 Syslog RFC 3209 Extensions to RSVP for LSP tunnels (RSVP-TE) RFC 3210 Applicability statement for extensions to RSVP for LSP tunnels (RSVP-TE) RFC 3212 CR-LDP RFC 3246 AF-PHB Group RFC 3410 SNMP version 3 Framework RFC 3411 An Architecture for Describing SNMP Management Frameworks RFC 3412 Message Processing and Dispatching for SNMP RFC 3413 SNMP Applications RFC 3414 User-based Security Model (USM) for SNMPv3 RFC 3415 View-based Access Control Model (VACM) for SNMP RFC 3416 Version 2 of the Protocol Operations for SNMP RFC 3418 Management Information Base (MIB) for SNMP IETF Drafts draft-IETF-L2circuit-trans-MPLS-08 draft-IETF-L2circuit-encap-MPLS-04 3. Moduł SFP. • • • • • szybkość transmisji: 1000Mbps, Gigabit Ethernet (1000Base-LX), praca na dwóch włóknach jednomodowych, zasięg 20km, możliwość dynamicznego podglądu parametrów technicznych modułu z poziomu urządzenia, w którym jest zainstalowane, w celu uzyskania pełnej kompatybilności, dostarczone moduły muszą pochodzić od tego samego producenta co przełączniki MPLS. 4. Konwerter optyczny. • szybkość transmisji: 1000Mbps, Gigabit Ethernet (1000Base-LX, 1000Base-T), • praca na dwóch włóknach jednomodowych, • konwersja sygnału optycznego na miedziany i odwrotnie, • zasięg: min. 15km, • temperatura pracy: -350C ÷ +700C, • zasilanie 12VDC. 5. Łącze laserowe. • zestaw urządzeń nadawczo – odbiorczych wykorzystujących do przesyłu danych transmisję laserową w wolnej przestrzeni, • prędkość transmisji: 100Mbps (100Base-T), • zasięg przy tłumieniu 30dB/km (złe warunki atmosferyczne): min. 580m, • zasięg maksymalny (ładna pogoda): min. 1850m, • temperatura pracy: min. -500C ÷ +600C, • klasa szczelności obudowy: min. IP66, • klasa bezpieczeństwa dla oka: min. 1M, • urządzenie wyposażone w zapasowe łącze radiowe, które w razie problemów z łącznością laserową automatycznie przejmuję transmisję. 6. Kontroler sieci bezprzewodowej. • Pełna kompatybilność i współpraca z oferowanymi Punktami dostępowymi (AP) – urządzenia muszą pochodzić od tego samego producenta. • Wielkość max 1U. • Kontrolery sieci bezprzewodowej muszą mieć możliwość pracy w trybie redundantnym (redundancja 1+1). • Kontroler powinien być wyposażony w min. 2 porty 10/100/1000Base-T. • Możliwość zarządzania min. 25 AP (możliwość licencyjnego rozszerzenia do obsługi 50 AP). • Kontroler musi wspierać min. do min. 1000 aktywnych użytkowników. • Wsparcie dla min. 32 BSSID. • Możliwość ukrywania poszczególnych BSSID. • Kontroler musi wspierać funkcjonalność inteligentnego mesha – pozwalającą na transparentne podłączenie AP typu mesh do AP typu root. System powinien automatycznie optymalizować swoją topologię tak, aby zapewnić najlepszą przepustowość i automatycznie przywracać poprawną pracę systemu w przypadku awarii. W przypadku awarii uplinku, sieć automatycznie powinna przełączyć dany AP do alternatywnego uplinku w tym samym lub sąsiadującym drzewie mesh. • Kontroler powinien umożliwiać dla dowolnego AP typu mesh automatyczny wybór innego AP jako uplink lub ręczne zdefiniowanie innych AP, które będą mogły zostać wykorzystane jako łącza typu uplink. • Autentykacja 802.1x oraz lokalna baza danych. • Autentykacja poprzez zewnętrzne serwery AAA: - Active Directory, - RADIUS. • Lokalna baza danych na kontrolerze musi umożliwiać przechowywanie min. 200 wpisów o użytkownikach. • Wsparcie dla: WEP, WPA-TKIP, WPA2-AES, 802.11i, PSK. • Konfiguracja poprzez interfejs www lub przez aplikację zarządzającą. • Automatyczny upgrade oprogramowania na AP. • Obsługa Captive Portal. • Obsługa kont gości, administrator za pośrednictwem kontrolera może stworzyć powitalną stronę logowania do systemu z wymuszeniem lub bez logowania za pomocą hasła gościa w celu uzyskania dostępu do sieci. • 802.1Q VLAN z możliwością ustawienia osobnego VLANu dla każdego BSSID. • Możliwość ograniczania prędkości przesyłu danych dla klientów w poszczególnych BSSID z osobna, konfigurowalne osobno dla kierunku uplink i downlink. • Kontroler powinien umożliwiać ograniczanie maksymalnej ilości użytkowników w poszczególnych BSSID. • Kontroler powinien umożliwiać funkcjonalność kontroli dostępu użytkowników na punktach dostępowych w czasie rzeczywistym i w przypadku przekroczenia limitu użytkowników w danym BSSID powinien uniemożliwiać dostęp kolejnym klientom. • Zintegrowany serwer DHCP. • Funkcjonalność automatycznego wykrywania kontrolera przez AP w warstwie drugiej oraz trzeciej (z wykorzystaniem serwera DHCP). • Dynamiczne zarządzanie częstotliwościami radiowymi oraz mocą wszystkich AP w celu optymalnego pokrycia terenu i unikania interferencji. • Wsparcie dla dynamicznego PSK, polegające na automatycznym generowaniu min. 63 bajtowego klucza szyfrującego dla każdego z użytkowników próbujących otrzymać dostęp do bezprzewodowej sieci LAN. W trakcie pierwszego logowania użytkownika do systemu jego urządzenie powinno być automatycznie konfigurowane z odpowiednimi ustawieniami sieci bezprzewodowej (np. SSID, unikatowe hasło) bez konieczności wprowadzania ręcznych ustawień. Klucz generowany powinien być dla każdego użytkownika z osobna i dla każdego z WLANów. Nowy użytkownik powinien być uwierzytelniany poprzez Captive Portal, a weryfikacja powinna nastąpić przy użyciu Active Directory, RADIUS, LDAP oraz wbudowanej bazy kontrolera. • Funkcjonalność wykrywania obcych AP. • Uwierzytelnianie Hot Spot za pomocą protokołu WISPr. • Monitorowanie parametrów kontrolera i AP oraz generowanie na ich podstawie statystyk. • Obsługa protokołu SNMP. • Funkcjonalność tunelowania ruchu wrażliwego na opóźnienia (np. VoIP) dla poszczególnych BSSID – pozwalająca wszystkim użytkownikom tunelowanego WLAN na bezprzerwowy roaming pomiędzy AP znajdującymi się w sieci, nawet wówczas, kiedy te AP znajdują się w różnych podsieciach. Tunel pomiędzy kontrolerem sieci bezprzewodowej a AP powinien być ustanawiany przy użyciu protokołu LWAPP (Light-weight Access Point Protocol), działający zarówno w warstwie 2 oraz 3. • Kontroler musi wspierać funkcjonalność WZC (Wireless Zero Configuration) pozwalającą na szybką konfigurację parametrów sieci bezprzewodowej dla użytkowników systemów Windows Vista, Windows XP, Windows Mobile, Windows CE lub Apple iPhone. • Obsługa protokołu 802.11e. • Kontroler powinien być wyposażony w aplikację służącą do testowania prędkości łączy oraz strat pakietów o wydajności min. 600Mb/s. Aplikacja powinna umożliwiać testowanie prędkości łącza do dowolnego AP w kierunku uplink oraz downlink, a także do klientów bezprzewodowych. • Możliwość wgrywania map obszaru oraz wizualizacji na nich rozmieszczenia poszczególnych AP, ich stanu, aktywnych klientów oraz dynamiczna wizualizacja aktualnej topologii MESH. • Możliwość tworzenia list kontroli dostępu warstw L2/3/4 z funkcjonalnościami zaawansowanego filtrowania ruchu. • Możliwość stosowania różnych list kontroli dostępu dla poszczególnych BSSID. 7. Punkt dostępowy (AP). • Punk dostępowy musi być zarządzany z centralnego kontrolera, jak również może działać jako autonomiczny AP. • Pełna kompatybilność i współpraca z oferowanymi kontrolerami- urządzenia muszą pochodzić od tego samego producenta. • Konfiguracja poprzez: - CLI (Telnet, SSH), - HTTP/S , - Interfejs statystyk SNMP, - Aplikację zarządzania siecią bezprzewodową. • • • • • • • • • • • • • • • • • • • • Min. 2 porty 10/100/1000Base-T działające również jako switch. Wsparcie dla następujących standardów IEEE 802.11a/b/g/n. Równoczesna praca w paśmie 2,4GHz oraz 5GHz – wymagany podwójny moduł radiowy. Technologia MIMO 3x3 dla każdego z pasm radiowych. Szerokość kanałów radiowych 20 MHz i/lub 40 MHz. Co najmniej 8 BSSID na każdy moduł radiowy. AP wyposażony w min. 17 wewnętrznych, konfigurowanych programowo układów anten kierunkowych i dookólnych, zapewniające ponad 3500 unikatowych wzorców antenowych. AP dla każdego klienta powinien dynamicznie wybierać najlepszy wzorzec antenowy i formować wiązkę radiową w kierunku danego użytkownika. AP musi być wyposażony w minimum dwa dodatkowe złącza antenowe do podłączenia anten zewnętrznych dla pasma 5GHz. Punkt dostępowy nie może wymagać do poprawnej pracy dołączenia dodatkowych zewnętrznych anten (zewnętrzne anteny stosowane jedynie jako opcja do ewentualnej poprawy zasięgu). Liczba jednoczesnych użytkowników obsługiwanych przez AP: min 100 per moduł radiowy. Możliwość zasilania AP zgodnie ze standardem 802.3af PoE (lub 802.3at). Punkty dostępowe muszą umożliwiać podłączenie (zasilenie) innych urządzeń zasilanych w standardzie PoE (np. kamer IP albo innych AP). Wsparcie dla co najmniej 4 klas usług QoS (4 kolejki). Wsparcie dla 802.11e. Automatyczna priorytetyzacja ruchu głosowego i wideo w kierunku ingress oraz egress Wsparcie dla 802.1Q VLAN. Kontroler powinien mieć możliwość bezpośredniego lokalnego przełączania klientów. Możliwość blokowania ruchu pomiędzy klientami danej sieci BSSID (konfigurowalne dla poszczególnych BSSID). Wsparcie dla WEP, WPA-PSK, WPA-TKIP, WPA2 AES, 802.11i. Autentykacja 802.1X . Przy współpracy AP z kontrolerem wsparcie dla funkcjonalności: - Funkcjonalność inteligentnego MESHa –pozwalającą na transparentne podłączenie AP typu MESH do AP typu root. System powinien automatycznie optymalizować swoją topologię tak, aby zapewnić najlepszą przepustowość i automatycznie przywracać poprawną pracę systemu w przypadku awarii. Funkcjonalność MESH nie może być uruchamiana poprzez dodatkową ręczną konfigurację systemu. W przypadku awarii uplinku, sieć automatycznie powinna przełączyć dany AP do alternatywnego uplinku w tym samym lub sąsiadującym drzewie MESH. Aby uniknąć ograniczeń topologii MESH wszystkie punkty dostępowe muszą mieć taką samą funkcjonalność. - Funkcjonalność typu WZC (Wireless Zero Configuration) pozwalającą na szybką konfigurację parametrów sieci bezprzewodowej dla użytkowników systemów Windows Vista, Windows XP, Windows Mobile, Windows CE lub Apple iPhone. − Wsparcie dla dynamicznego PSK, polegające na automatycznym generowaniu min. 63 bajtowego klucza szyfrującego dla każdego z użytkowników próbujących otrzymać dostęp do bezprzewodowej sieci LAN. W trakcie pierwszego logowania użytkownika do systemu • • • • • jego urządzenie powinno być automatycznie konfigurowane z odpowiednimi ustawieniami sieci bezprzewodowej (np. SSID, unikatowe hasło) bez konieczności wprowadzania ręcznych ustawień. Klucz generowany powinien być dla każdego użytkownika z osobna i dla każdego z WLANów. Nowy użytkownik powinien być uwierzytelniany poprzez Captive Portal, a weryfikacja powinna nastąpić przy użyciu Active Directory, RADIUS, LDAP oraz wbudowanej bazy kontrolera. - Kontroler powinien umożliwiać funkcjonalność kontroli dostępu użytkowników do punktów dostępowych w czasie rzeczywistym. - Kontroler powinien umożliwiać funkcjonalność równoważenia obciążenia na AP. W zależności od obciążenia danego punktu dostępowego kolejnym użytkownikom będzie przydzielany niższy priorytet, przez co klienci będą preferowali mniej obciążone AP. - Wsparcie dla funkcjonalności Captive Portal oraz kont gości. - Współpraca z serwerami RADIUS oraz Active Directory. Możliwość montażu na suficie, ścianie, słupie. Możliwość zasilania minimum: - PoE, - 12V DC. Każdy AP dostarczony z zasilaczem odpowiednim do miejsca montażu o odpowiednich parametrach środowiskowych. Obudowa o klasie szczelności co najmniej IP67. Temperatura pracy: od -40 do +60oC. 8. Urządzenie zabezpieczeń (UTM). • UTM będzie działał w oparciu o dostarczony przez Wykonawcę sprzęt o minimalnych parametrach: a) b) c) d) e) f) Chipset płyty głównej pochodzący od producenta procesora Sloty rozszerzeń: 2 x PCI Express Karta graficzna: zintegrowana z płytą Karta sieciowa: 4 x 10/100/1000, karty przeznaczone do serwerów Karta zarządzająca: zintegrowana karta zarządzająca z KVM Procesor: AMD® Opteron™ 6128 lub Intel Xeon E5620 lub odpowiednik o wydajności nie niższej wg spec.org: spec cpu2006 g) Pamięć: zainstalowana 4GB, maksymalnie 128 GB RAM, banki pamięci obsadzone optymalnie (np. 4x1GB) modułami DDR3-1333 ECC h) Zasilacz: 550W i) Kieszenie na dyski: 4 x SAS/SATA 3,5" hot-swap j) Zainstalowane dyski stałe: 2 x 500 GB SATA 7200 rpm, wersje przeznaczone do pracy non-stop k) Kontroler RAID: zintegrowany kontroler SATA RAID 0,1,10 l) Napęd optyczny: DVD+/-RW m) Gwarancja: 12 m-cy on-site 24h/48h realizowana przez producenta n) Obsługiwane systemy operacyjne: Windows 2008 Server (32-bit i x64), Windows 2003 Server RedHat EL 5, RedHat EL 6, Suse ELS 10, Suse ELS 11 o) Certyfikat PN-EN ISO 9001 na procesy projektowania, produkcję, sprzedaż i serwis. Deklaracja producenta o zgodności z dyrektywami 73/23/EEC oraz 89/336/EEC (oznaczenia CE) • Urządzenie musi realizować następujące funkcje: a) firewall możliwość zezwalania lub blokowania ruchu w oparciu o kryteria: protokół, kierunek, adres źródłowy i docelowy, port źródłowy i docelowy; b) filtr WWW możliwość zezwalania, logowania lub blokowania stron wg kategorii np. hazard, sklepy internetowe, pornografia, samodzielne zarządzanie regułami (URl, typy plików, typy MIME), automatyczna aktualizacja kategorii, filtr przezroczysty (bez definiowania Proxy), monitorowanie i raporty logów, listy zezwoleń i blokad, lista niefiltrowanych klientów wg IP, lista niefiltrowanych adresów URL; c) antywirus ochrona protokołów http, ftp, smtp, pop i imap; skanowanie plików skompresowanych, automatyczna aktualizacja szczepionek, rozpoznawanie archiwum typu Zip, RAR, Tar, Gzip, Bzip2, MS OLE2, MS Cabinet Files, MS CHM, and MS SZDD, także zagnieżdżonych., możliwość skanowania ruchu przychodzącego, wychodzącego lub całości; d) antyspam osobiste listy kwarantanny, osobiste białe listy, sprawdzanie obrazków wewnątrz listów, wsparcie dla protokołów POP, IMAP, SMTP, raporty, możliwość blokowania, oznaczania i przekazywania podejrzanych wiadomości, informowanie nadawcy o zablokowaniu jego adresu, używanie filtrów Bayesa, DNSBL/RBL, regulacja czułości, indywidualne zarządzanie przez przeglądarkę e) ochrona przed atakiem DoS przetwarzanie przychodzących pakietów, logowanie incydentów, automatyczne blokowanie pojedynczych sesji i adresów IP f) ochrona przed phishingiem skanuje wiadomości e-mail i blokuje, oznacza lub przenosi do kwarantanny podejrzane listy, obsługuje protokoły POP,IMAP,SMTP g) blokowanie spyware definiowalne listy blokad dla cookie, skryptów i podsieci, listy zezwoleń dla URL/IP, blokowanie tymczasowe, blokowanie ActiveX h) kontrola protokołów warstwy 7 OSI możliwość dodawania własnych sygnatur protokołów i) captive portal możliwość wymuszania akceptacji regulaminu, mechanizm uwierzytelnienia lokalny lub Radius, własne reguły i własny wygląd strony portalu, logi dostepów j) zapobieganie włamaniom (IPS) rozpoznawanie prób włamania na podstawie analizy ruchu sieciowego i dostępnych sygnatur, automatyczna aktualizacja sygnatur snort, definiowanie własnych sygnatur k) VPN możliwość połączeń szyfrowanych przez SSL w standardzie OpenVPN, definiowanie zakresu sieci dostępnej przez VPN; l) raportowanie obciążenie sieci, systemu, wykorzystanie zasobów, logi użytkowników, incydentów itp. • System operacyjny firewalla musi śledzić stan sesji użytkowników (stateful processing), tworzyć i zarządzać tablicą stanu sesji • Urządzenie musi być wyposażone w nie mniej niż 4 interfejsy Ethernet 10/100/1000Base-T (gotowych do użycia bez konieczności zakupu dodatkowych modułów i licencji). • Włączenie wyżej wymienionych funkcji nie może wymagać dodatkowego serwera sprzętowego ani dodatkowej licencji. 9. Laptop. • Matryca 15,6” HD matowa z podświetleniem LED, Rozdzielczość min 1366 x 768. • Obudowa z dodatkiem stopów magnezu o wzmocnionej konstrukcji, stalowe zawiasy wyświetlacza. • Procesor klasy x86 dwurdzeniowy, o częstotliwości min. 2,2GHz, 1MB pamięci Cache L2. • Pamięć RAM min. 2 GB DDR3 1333MHz w jednym module z możliwością rozbudowy do 8GB. • Dysk twardy Min. 250GB SATA/7200 wyposażony w system bezpieczeństwa zapobiegający uszkodzeniu dysku poprzez parkowanie głowicy dysku w sytuacjach zagrożenia oraz system tłumienia (absorbowania) drgań. • Karta graficzna nie gorsza niż ATI Mobility Radeon HD 4250. • Karta dźwiękowa Hight Definition zgodna z Sound Blaster, AC97. • Wbudowane głośniki stereo. • Porty/złącza* zintegrowane min.: 1x Express Card slot, 1x VGA 1 x Display Port, 1x eSATA/USB 2.0 Combo, 3x USB 2.0, RJ 11, RJ45, 1x audio in, 1x audio out, Firewire (IEEE1394), zintegrowany czytnik SD (Secure Digital), MMC (MultiMedia Card), Memory Stick, Memory Stick Pro, Memory Stick Duo, xD-Picture card. • Złącze typu Kensington Slot. • Karta sieciowa Ethernet 10/100/1000Base-T. • Karta sieci bezprzewodowych 802.11 a/b/g/n. • Bluetooth V2.1. • Klawiatura odporna na zalanie- układ US –QWERTY z klawiszami numerycznymi. • Touchpad z wydzielonym scroll’em. • Napęd optyczny DVD+/-RW Dual Dual Layer. • Bateria Li-Ion zapewniająca pracę minimum przez 4,5 godziny. • Zasilacz zewnętrzny 110-240 V. • System operacyjny Microsoft Windows 7 Premium 32 PL lub równoważny zgodny z certyfikatem producenta notebooka. • Oprogramowanie producenta komputera do wykonania kopii bezpieczeństwa systemu operacyjnego i danych użytkownika na dysku twardym i dyskach zewnętrznych np. CDROM oraz ich odtworzenie po ewentualnej awarii systemu operacyjnego bez potrzeby jego reinstalacji; • Oprogramowanie diagnostyczne umożliwiające wykrywanie usterek z wyprzedzeniem. • Dołączone dedykowane oprogramowanie producenta komputera umożliwiające zdalną inwentaryzację sprzętu, monitorowanie stanu jego pracy, zmianę ustawień BIOS’u oraz na aktualizację sterowników oraz BIOS’u • BIOS musi posiadać możliwość - skonfigurowania hasła „Power On”, - ustawienia hasła dostępu do BIOSu (administratora), - blokadę portów USB; - możliwość wyłączenia w BIOS-ie portów USB; - kontrola sekwencji boot-ącej; - start systemu z urządzenia USB - zawierać nieulotną informację z nazwą numerem produktu, numerem seryjnym oraz MAC adresem karty sieciowej. • Komputer musi posiadać zintegrowany w płycie głównej aktywny układ zgodny ze standardem Trusted Platform Module (TPM v 1.2); • Wbudowana w BIOS funkcjonalność pozwalająca na bezpieczne usuwanie danych z dysku twardego • Certyfikat zgodności z systemem Microsoft Windows . • Gwarancja producenta 60 miesięcy na notebook, 12 miesięcy na baterię. • Waga nie większa niż 2,7 kg. • Laptop oznakowany naklejką logo Programu Innowacyjna Gospodarka zgodnie z załączonym wzorem. Zainstalowane oprogramowanie: Zainstalowany system operacyjny Windows 7 PL OpenOffice PL 7Zip PL Przeglądarka plików PDF PL Paint.Net PL Mozilla Firefox PL Odtwarzacz Flash dla FF i IE bezpłatny program antywirusowy np. MS Security Essential PL Pakiet edukacyjny GCompris PL Konfiguracja: zabezpieczenia sieci bezprzewodowej konta użytkowników z hasłami: dzieci, rodzice Ograniczenia i uprawnienia: dzieci: ograniczone uprawnienia, włączony filtr dziecięcy w przeglądarkach internetowych rodzice: pełne uprawnienia Zabezpieczenia: Zestaw płyt CD/DVD (2 komplety) zawierający obraz dysku stałego z możliwością samodzielnego odtwarzania stanu pierwotnego przez użytkownika. Procedura odtwarzania powinna rozpocząć się po włożeniu płyty do napędu i uruchomieniu komputera. Odtworzenie zawartości dysku z płyt powinno przywrócić indywidualny stan konfiguracji komputera z chwili przekazania sprzętu beneficjentowi. 10. Klienckie radiowe urządzenie dostępowe. • • • • • • • • • • Urządzenie radiowe typu AP zgodne ze standardem 802.11n. Praca w paśmie 2,4GHz. Zintegrowana antena sektorowa lub kierunkowa dwupolaryzacyjna (polaryzacje liniowe). Urządzenie wyposażone w min. jeden port RJ45 100Base-T. Separacja polaryzacji: >=20dB Zysk wbudowanej anteny >= 8 dBi Możliwość montażu na zewnątrz, praca w zakresie temperatur -300C ÷ +700C. Możliwość zasilania z kabla sieciowego (PoE). Praca w trybach AP oraz Client. Szyfrowanie WPA2/AES. 11. Komputer do zarządzania i konserwacji systemu. • Matryca 15,6” HD matowa z podświetleniem LED, Rozdzielczość min 1366 x 768. • Obudowa z dodatkiem stopów magnezu o wzmocnionej konstrukcji, stalowe zawiasy wyświetlacza. • Procesor klasy x86 dwurdzeniowy, o częstotliwości min. 2,2GHz, 1MB pamięci Cache L2. • Pamięć RAM min. 2 GB DDR3 1333MHz w jednym module z możliwością rozbudowy do 8GB. • Dysk twardy Min. 250GB SATA/7200 wyposażony w system bezpieczeństwa zapobiegający uszkodzeniu dysku poprzez parkowanie głowicy dysku w sytuacjach zagrożenia oraz system tłumienia (absorbowania) drgań. • Karta graficzna nie gorsza niż ATI Mobility Radeon HD 4250. • Karta dźwiękowa Hight Definition zgodna z Sound Blaster, AC97. • Wbudowane głośniki stereo. • Porty/złącza* zintegrowane min.: 1x Express Card slot, 1x VGA 1 x Display Port, 1x eSATA/USB 2.0 Combo, 3x USB 2.0, RJ 11, RJ45, 1x audio in, 1x audio out, Firewire (IEEE1394), zintegrowany czytnik SD (Secure Digital), MMC (MultiMedia Card), Memory Stick, Memory Stick Pro, Memory Stick Duo, xD-Picture card. • Złącze typu Kensington Slot. • Karta sieciowa Ethernet 10/100/1000Base-T. • Karta sieci bezprzewodowych 802.11 a/b/g/n. • Bluetooth V2.1. • Klawiatura odporna na zalanie- układ US –QWERTY z klawiszami numerycznymi. • Touchpad z wydzielonym scroll’em. • Napęd optyczny DVD+/-RW Dual Dual Layer. • Bateria Li-Ion zapewniająca pracę minimum przez 4,5 godziny. • Zasilacz zewnętrzny 110-240 V. • System operacyjny Microsoft Windows 7 Premium 32 PL lub równoważny zgodny z certyfikatem producenta notebooka. • Oprogramowanie producenta komputera do wykonania kopii bezpieczeństwa systemu operacyjnego i danych użytkownika na dysku twardym i dyskach zewnętrznych np. CDROM oraz ich odtworzenie po ewentualnej awarii systemu operacyjnego bez potrzeby jego reinstalacji; • Oprogramowanie diagnostyczne umożliwiające wykrywanie usterek z wyprzedzeniem. • Dołączone dedykowane oprogramowanie producenta komputera umożliwiające zdalną inwentaryzację sprzętu, monitorowanie stanu jego pracy, zmianę ustawień BIOS’u oraz na aktualizację sterowników oraz BIOS’u • BIOS musi posiadać możliwość • - skonfigurowania hasła „Power On”, • - ustawienia hasła dostępu do BIOSu (administratora), • - blokadę portów USB; • - możliwość wyłączenia w BIOS-ie portów USB; • - kontrola sekwencji boot-ącej; • - start systemu z urządzenia USB • - zawierać nieulotną informację z nazwą numerem produktu, numerem seryjnym oraz MAC adresem karty sieciowej. • Komputer musi posiadać zintegrowany w płycie głównej aktywny układ zgodny ze standardem Trusted Platform Module (TPM v 1.2); • Wbudowana w BIOS funkcjonalność pozwalająca na bezpieczne usuwanie danych z dysku twardego • Certyfikat zgodności z systemem Microsoft Windows . • Gwarancja producenta 60 miesięcy na notebook, 12 miesięcy na baterię. • Waga nie większa niż 2,7 kg. • Laptop oznakowany naklejką logo Programu Innowacyjna Gospodarka zgodnie z załączonym wzorem. IV. Szkolenia beneficjentów Przedmiotem zamówienia jest wykonanie szkolenia dla 100 Beneficjentów Ostatecznych (BO) projektu 8.3. 1. Zakres szkolenia winien obejmować: o podstawowe umiejętności pracy z komputerem, sprzęt odtwarzanie systemu z płyty DVD po awarii zainstalowane zabezpieczenia sieciowe i lokalne system plików podstawy Internetu podstawy komunikacji: poczta elektroniczna, bezpłatne konto kopia zapasowa danych, o korzystanie z Internetu bezpieczeństwo i zagrożenia wyszukiwanie informacji korzystanie z serwisów informacyjnych, portali BIP i miejskich portali informacyjnych używanie ESP i e-PUAP, przesyłanie dokumentów do urzędów drogą elektroniczną, edukacja i zakupy w Internecie aktyny Internauta: portale społecznościowe, blog, itp. o podstawowe wykorzystywanie pakietu OpenOffice 2. Szkolenia powinny być przeprowadzone dla grup 10 osobowych z podziałem na grupy obejmujące dzieci, młodzież i dorosłych. Szkolenia winny być przeprowadzone w wymiarze 6 godzin zegarowych. Godzina zegarowa szkolenia liczy 60 minut i obejmuje liczące 45 minut zajęcia edukacyjne i 15 minutowa przerwę. Szkolenia winny byś prowadzone w wymiarze 3 godzin dziennie dla poszczególnej grupy, z praktycznym wykorzystaniem sprzętu informatycznego, jaki BO otrzymają w ramach realizacji zamówienia. Harmonogram szkolenia i czas max dziennie. 3. Program szkolenia zostanie opracowany przez wykonawcę i winien zawierać szczegółowy, godzinowy program obejmujący: • tematykę zajęć w poszczególnych godzinach • wykorzystane materiały dydaktyczne • Harmonogram i miejsce realizacji szkoleń zostanie przedstawiony przez wykonawcę na etapie realizacji zadania. W ramach realizacji szkoleń należy zapewnić bezwzględną dyscyplinę dotyczącą uczestnictwa w szkoleniu BO oraz pełna realizacje programu. 1. Wykonawca szkolenia zobowiązany jest do niezwłocznego informowania zamawiającego o : • nie zgłaszaniu się BO na szkolenia • nieobecności, rezygnacji lub przerwaniu szkolenia przez BO • sytuacjach które miały by wpływ na prawidłowe przeprowadzenie szkolenia i realizację jego programu • 2. Wykonawca zobowiązany jest do zapewnienia BO niezbędnych materiałów dydaktycznych dla uczestników szkolenia w formie pisemnej i na nośnikach danych, w tym jednego kompletu dla Zamawiającego. Komplet materiałów dydaktycznych wykonawca dostarczy Zamawiającemu najpóźniej na 7 dni przed rozpoczęciem szkoleń. Wykonawca zobowiązany jest do przedstawienia harmonogramu szkoleń BO na początku szkolenia. 3. Wykonawca zobowiązany jest do przekazania pełnej dokumentacji z przeprowadzonego szkolenia BO tj. • dziennika zajęć edukacyjnych zawierającego tematy i wymiar zajęć • wykaz imienny BO uczestniczących w szkoleniu wraz z podpisaną lista obecności BO na poszczególnych szkoleniach • potwierdzonego podpisem odbioru materiałów szkoleniowych przez BO • kserokopii zaświadczenia o ukończeniu odbyciu szkolenia przez BO