SPECYFIKACJA TECHNICZNA PRZEDMIOTU ZAMÓWIENIA
Transkrypt
SPECYFIKACJA TECHNICZNA PRZEDMIOTU ZAMÓWIENIA
Załącznik nr 2 Specyfikacja techniczna przedmiotu zamówienia dla części B Przedmiot zamówienia objęty niniejszym załącznikiem winien zostać objęty minimum 2 letnią gwarancją i minimum 2 letnią rękojmią z zastrzeżeniem minimum 5 letniej gwarancji producenta przełączników dostępowych. A) Przełącznik rdzeniowy – 1szt. Wymagania ogólne: Przełącznik posiadający możliwość instalacji przynajmniej 11 modułów kart liniowych oraz być wyposażony w dwie karty zarządzające w celu redundancji. Przełącznik (obudowa) mający możliwość instalacji redundantych zasilaczy, przełącznik musi być wyposażony w maksymalną ilość zasilaczy, tak, aby nie było konieczności rozbudowy zasilaczy w przyszłości. Konfiguracja zasilaczy przełącznika umożliwiająca instalację kart liniowych zapewniających minimum 24 porty 10/100/1000Base-T/TX z zasilaniem 802.3af (Power over Ethernet) każda, we wszystkich slotach przełącznika bez konieczności rozbudowy zasilaczy w przyszłości. Przełącznik musi być wyposażony w: o karty liniowe zapewniające przynajmniej 16 portów 10G definiowalnych wkładkami X2/XFP lub równoważnymi, przy czym ze względów bezpieczeństwa, do wyżej wymienionej wymaganej ilości portów nie wlicza się ewentualnych portów znajdujących się na modułach zarządzających, o 6 kart liniowych zapewniające przynajmniej 24 porty 10/100/1000 BaseT/TX zakończonych fizycznym stykiem RJ-45, z obsługą standardu 802.3af (Power over Ethernet) każda, na wszystkich portach. Przełącznik posiadający moduł nadzorujący o minimalnych parametrach: o sprzętowe wsparcie przełączania min. 400 Mpps dla IPv4, o przepustowość min. 720Gbps, o min. 256 MB pamięci RAM, o min. 32 MB pamięci Flash , o obsługa min. 200 aktywnych sieci VLAN, o obsługa min. 8000 adresów MAC, o sprzętowe wsparcie dla obsługi list dostępu L1-L4. Przełącznik zapewniający obsługę następujących funkcjonalności/protokołów związanych z warstwą drugą: o enkapsulacja 802.1Q, o Spanning-tree PortFast oraz ochrona „guard” PortFast, o 802.3ad, IGMP snooping, o Q-in-Q pass-through, o Obsługa VLAN Classification: MAC, protocol, IP subnet, o IEEE 802.1ad VLAN Stacking (QinQ), o IEEE 802.1D Spanning Tree Protocol (STP) ze wsparciem dla wielu instancji, o IEEE 802.1w Rapid Spanning Tree Protocol (RSTP) ze wsparciem dla wielu instancji, o IEEE 802.1s Multiple Spanning Tree Protocol, o BPDU Watch Guard, Root Guard, o PVST+. Przełącznik zapewniający obsługę następujących funkcjonalności/protokołów związanych z warstwą trzecią: o routing statyczny IP, o RIP(v1, 2), o OSPF (v2, 3), o Tunelowanie GRE, o IGMP (v1, 2, 3), o PIM SM/DM, o SSM, o DVMRP, o IPv6, o HSRP lub VRRP (v2, 3). Przełącznik zapewniający wsparcie dla następujących funkcjonalności/protokołów związanych z zapewnieniem jakości usług w sieci (QoS): o wsparcie dla czterech kolejek sprzętowych, o wsparcie dla obsługi pola DSCP, o klasyfikacja na bazie informacji zawartych w nagłówku IP (ToS) lub polu DSCP, o definiowanie reguł w oparciu o informację z nagłówków warstwy 3 i 4 (dla ruch IP), o kształtowanie i dzielenie rozkładu ruchu pomiędzy kolejki, o definiowanie QoS per port oraz per VLAN. Przełącznik zapewniający wsparcie dla następujących funkcjonalności/protokołów związanych z bezpieczeństwem: o wsparcie dla serwerów TACACS+ i RADIUS, o standardowe i rozszerzone listy dostępu (ACL) na wszystkich portach, o obsługa list dostępu typu router ACL (RACL), VLAN ACL, o autentykacja w oparciu o 802.1x z przypisaniem portu VLAN, o wsparcie dla pracy w architekturze NAC, o wsparcie dla prywatnego VLANu, o DHCP snooping, DHCP Option 82, o Port security, SSH (v1, 2), o filtracja adresów MAC, o Inspekcja tablicy ARP, o ochrona adresu IP (źródłowego), Przełącznik zapewniający wsparcie dla następujących funkcjonalności/protokołów związanych z zarządzaniem: o dedykowany port konsoli, o pojedynczy adres IP dedykowany do zarządzania pełną funkcjonalnością, o możliwość zarządzania za pomocą oprogramowania dostarczonego wraz z urządzeniem producenta (Web-based) oraz przez dedykowaną aplikację producenta urządzenia, o wsparcie dla SNMP (v1, 2, 3), o kopiowanie ruchu z określonego portu i przesyłanie tego ruchu na odległość, o HTTPS. Przełącznik umożliwiający instalację kart liniowych z interfejsami PoE zgodnie z 802.3af. Urządzenie musi mieć możliwość instalacji w standardowej szafie teletechnicznej 19’. Plik konfiguracyjny urządzenia możliwy do edycji w trybie off-line, tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC. Plik konfiguracyjny musi być przechowywany w pamięci nieulotnej (FLASH). Zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się restartów urządzenia po dokonaniu zmian. Przełącznik umożliwiający przechowywanie przynajmniej dwóch obrazów systemu operacyjnego. Przełącznik musi być dostarczony z 8 modułami światłowodowymi XFP 10 Gb/s SR (światłowód wielomodowy) oraz 4 modułami światłowodowymi XFP 10 Gb/s LR (światłowód jednomodowy) pochodzącymi od producenta przełącznika lub certyfikowanymi przez niego. B) Przełączniki dostępowe – 14 szt. Wymagania ogólne: urządzenie o stałej konfiguracji fizycznej min. 48 portów dostępowych 10/100/1000 RJ45 oraz minimum 4 porty dla wkładek SFP, przy czym dopuszcza się, aby porty SFP były realizowane przy pomocy portów podwójnego zastosowania wchodzących w skład 48 portów dostępowych. Urządzenie musi posiadać: minimum 44 portów PoE 802.af, 2 porty X2/XFP 10G porty dla wkładek SFP muszą umożliwiać instalację transmiterów SFP w standardzie 1000Base-X, o długości fali 1310nm, styk LC dla jednodomowych włókien światłowodowych 9/125 µm urządzenie musi umożliwiać łączenie min. 8 urządzeń w stos poprzez porty o przepustowości min. 10Gbps full-duplex urządzenie musi zostać dostarczone z nadmiarowym zewnętrznym zasilaczem min. 128MB pamięci DRAM oraz min. 16MB pamięci Flash obsługa min. 8000 adresów MAC wydajność przełączania co najmniej 100 Mpps automatyczne wykrywanie przeplotu (AutoMDIX) na portach miedzianych wbudowane narzędzia do diagnozy okablowania na portach miedzianych (time domain reflector) obsługa co najmniej 255 sieci VLAN i 4094 VLAN ID obsługa mechanizmów dystrybucji informacji o sieciach VLAN pomiędzy przełącznikami funkcjonalność port-fast lub równoważna obsługa protokołów sieciowych zgodnie ze standardami: o IEEE 802.1x o IEEE 802.1s o IEEE 802.1w o IEEE 802.3x full duplex dla 10BASE-T i 100BASE-TX o IEEE 802.3ad o IEEE 802.1D o IEEE 802.1p o IEEE 802.1Q o IEEE 802.3 10BASE-T o IEEE 802.3u 100BASE-TX o IEEE 802.3z 1000BASE-X o IEEE 802.3ab 100BASE-T zaawansowane przełączanie w warstwie trzeciej oraz definiowanie routingu w oparciu o protokoły IPv4: o IP: RIPv1v2, OSPF, IS-IS oraz routing statyczny o Multicast: IGMP v1, v2, v3 snooping, PIM-SM/DM, DVMRP o VRRP v2 wsparcie protokołu IPv6: o RIPng, OSPFv3, routing statyczny o Multicast: PIM-SM/DM, o VRRP v3 dopuszcza się stosowanie dodatkowych licencji w celu uruchomienia funkcjonalności zaawansowanego routingu dynamicznego, lecz urządzenie musi zostać z nimi dostarczone mechanizmy związane z zapewnieniem jakości usług w sieci: o obsługa co najmniej czterech kolejek, wyjściowych dla różnego rodzaju ruchu o mechanizm automatycznej konfiguracji portów do obsługi VIP o flow-based QoS z wejściową i wyjściową zmianą parametrów (tzw. remarking) o zarządzanie kolejkowaniem: Random Early Detect (RED), Stricte Priority (SPQ), Weighted Round Robin (WRR), Deficit Round Robin (DRR) o możliwość ograniczania pasma dostępnego na port (rate limiting) z granulacją co 1Mbps dla ruchu wejściowego i wyjściowego mechanizmy związane z zapewnieniem bezpieczeństwa sieci: o dostęp do urządzenia przez konsolę szeregową, SSHv2 i SNMPv3, HTTPS/SSL o uwierzytelnianie funkcją skrótu dla protokołów RIPv2, OSPFv2, SNMPv3 o wsparcie dla standardu 802.1x port-based, multiple-client, MAC authentication o obsługa mechanizmów Guest VLAN, MAC address lockdown, IP Source Guard, Dynamic ARP Inspection o możliwość aplikowania list kontroli dostępu (ACL) per port, MAC SA/DA, IP SA/DA, TCP/UDP port, o funkcjonalność STP Root Guard, STP BPDU guard o możliwość autoryzacji prób logowania do urządzenia za pomocą serwerów RADIUS lub TACACS+ o możliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. protected ports) z pozostawieniem możliwości komunikacji z portem nadrzędnym (designated port) lub funkcjonalność private VLAN Edge o monitorowanie zapytań i odpowiedzi DHCP (tzw. DHCP Snooping), DHCP Option 82, DHCP IP Spoof protection o możliwość tworzenia portów monitorujących, pozwalających na kopiowanie na port monitorujący ruchu z innego dowolnie wskazanego portu z innego przełącznika (tzw. SPAN, RSPAN lub równoważne) o ochrona przed rekonfiguracją struktury topologii Spanning Tree spowodowana przez niepowołane i nieautoryzowane urządzenie sieciowe o obsługa list kontroli dostępu (ACL) z uwzględnieniem adresów MAC i IP, portów TCP/UDP bez spadku wydajności urządzenia o min. 5 poziomów uprawnień do zarządzania urządzeniem (z możliwością konfiguracji zakresu dostępnych funkcjonalności i komend) o współpraca z systemami kontroli dostępu do sieci typu NAC lub NAP lub podobne obsługa ruchu multicast z wykorzystaniem IGMP snooping v1, v2 oraz v3 obsługa NTP obsługa grupowania portów w jeden kanał logiczny zgodnie z LACP 802.3ad plik konfiguracyjny urządzenia możliwy do edycji w trybie off-line, tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC. Po zapisaniu konfiguracji w pamięci nieulotnej powinno być możliwe uruchomienie urządzenia z nowa konfiguracją. Zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się częściowych restartów urządzenia po dokonaniu zmian przechowywanie co najmniej 2 obrazów systemu operacyjnego możliwość zarządzania przy pomocy aplikacji graficznej zainstalowanej na urządzeniu, dostarczanej przez producenta możliwość zarządzania przy pomocy osobnej, dedykowanej aplikacji do zarządzania infrastrukturą sieciową producenta urządzenia możliwość montażu w szafie 19” wysokość 1U obudowa wykonana z metalu minimum 5 letni okres gwarancji, minimum 2 letni okres rękojmi. Wszystkie przełączniki muszą pochodzić od jednego producenta. Wraz z przełącznikami dostępowymi należy dostarczyć: 8 szt. modułów światłowodowych XFP 10 Gb/s SR (światłowód wielomodowy), 4 szt. modułów światłowodowych XFP 10 Gb/s LR (światłowód jednomodowy) pochodzących od producenta przełącznika lub certyfikowanymi przez niego 6 szt. kabli stackujących o dł. minimum 30 cm patchcordy światłowodowe w ilości i konfiguracji niezbędnej do podłączenia wszystkich urządzeń sieciowych. organizery kabli ethernet 1U w ilości 40 szt oraz 4 organizery 2U do kabli światłowodowych 500 sztuk patchcordów miedzianych o długości 0,5 m w 10 kolorach cat 6 500 sztuk patchcordów miedzianych o długości 3 m w 10 kolorach cat 6 300 sztuk patchcordów miedzianych o długości 2 m w 10 kolorach cat 6 100 sztuk patchcordów miedzianych o długości 5 m w 10 kolorach cat 6 C) Punkty dostępowe wewnętrzne – 30 szt. - Punkt dostępowy współpracujący z kontrolerem będącym przedmiotem przetargu pochodzący od tego samego producenta Minimum dwa moduły radiowe Praca w standardzie 802.11a/n oraz 802.11b/g/n, zintegrowana antena 3x3 MIMO dualband (dla standardu 802.11n) Współpraca z zasilaniem 802.3af PoE oraz 802.3at PoE+ oraz możliwość podłączenia zewnętrznego zasilania 5V DC Co najmniej dwa interfejsy 10/100/1000 RJ-45 (Dual homing) z funkcjonalnością auto MDI/MDX Dedykowany port konsoli Możliwość pracy w trybie punktu dostępowego, monitora RF (monitorowania fal radiowych) lub obu tych trybach jednocześnie Automatyczne zarządzanie mocą nadawania oraz pokrycia zasięgiem (ARM) Wsparcie minimum 32 SSID - VLAN load balancing Call Admission Control Wsparcie dla wireless multimedia QoS (WMM) Filtrowanie ruchu multicast Klasyfikacja ruchu, rezerwacja pasma (T-SPEC/TCLAS) Zabezpieczenie fizyczne punktu mocowania Możliwość regulacji mocy sygnału przez system zarządzania Wraz z punktami dostępowymi należy dostarczyć: - Karty sieciowe Wi-Fi do doposażenia komputerów stacjonarnych ze złączem PCI w standardzie 802.11n, z dołączaną anteną zewnętrzną - 20 szt. Gwarancja 2 lata. D) Punkty dostępowe zewnętrzne – 2 szt. - - Punkt dostępowy współpracujący z kontrolerem będącym przedmiotem przetargu pochodzący od tego samego producenta Urządzenie o przeznaczeniu do stosowania na zewnątrz, wyposażone w specjalną obudowę zabezpieczającą przed wpływem czynników atmosferycznych, umożliwiającą pracę urządzenia w zakresie temperatur od -30C do 55C oraz wilgotności od 0 do 95%, Minimum dwa moduły radiowe Praca w standardzie 802.11a oraz 802.11b/g Minimum cztery gniazda antenowe 4 x N-Type (funkcjonalnośc diversity) Interfejs 10/100 RJ-45 z funkcjonalnością auto MDI/MDX Współpraca z zasilaniem 802.3af PoE oraz możliwość podłączenia zewnętrznego zasilania 12V DC Dedykowany port konsoli Fizyczny interfejs uziemienia Możliwość pracy w trybie punktu dostępowego, monitora RF (monitorowania fal radiowych) lub obu tych trybach jednocześnie Automatyczne zarządzanie mocą nadawania oraz pokrycia zasięgiem (ARM) Wsparcie minimum 16 SSID Wsparcie dla klientów głosowych: Cisco Skinny, NOE, SIP, Vocera QoS per sesja, Wsparcie dla wireless multimedia QoS (WMM) Call Admission Control Filtrowanie ruchu multicast Klasyfikacja ruchu, rezerwacja pasma (T-SPEC/TCLAS) Zabezpieczenie fizyczne punktu mocowania Możliwość regulacji mocy sygnału przez system zarządzania E) Kontroler bezprzewodowy – 2 szt. w klastrze HA Wymagania odnośnie kontrolera bezprzewodowego: - Kontroler musi łączyć w jednym fizycznym urządzeniu funkcjonalności: kontrolera sieci bezprzewodowej, urządzenia statefull firewall, możliwość pracy jako VPN gateway (możliwość rozbudowy o funkcję VPN IPsec) - - - - Obsługa minimum 32 punktów dostępowych z możliwością rozszerzenia do minimum 128 punktów dostępowych na pojedynczym kontrolerze Możliwość obsługi do 2048 użytkowników obsługiwanych przez pojedynczy kontroler przy wykorzystaniu odpowiednich licencji Licencja na 32 punkty dostępowe oferująca tzw. „intrusion protection”, wykrywanie i blokowanie obcego badania sieci, ochrona przed atakami DoS, nieautoryzowanym dostępem do sieci. Licencja na 1024 jednoczesne sesje dla profili firewalla (Zależność reguł od użytkownika a nie tylko adresu IP, ról itp.) z możliwością dodania minimum 1024 kolejnych licencji Licencja na 1024 jednoczesne sesje uwierzytelnienia w architekturze klient-serwer L2 VPN xSec point-to-point AES Minimum 4 porty Dual personality (10/100/1000Base-TX i slot GBIC/SFP) Urządzenie musi być przystosowane do montażu w standardowej szafie sieciowej 19calowej. Wysokość urządzenia 1RU Obsługa VLAN Minimum 128 interfejsów VLAN IP Obsługa translacji adresów NAT. Wydajność po stronie przewodowej minimum 4Gb/s dla ruchu nieszyfrowanego i szyfrowanego (3DES, AESCBS256) Obsługa minimum 128000 aktywnych sesji Firewall Roaming użytkowników pomiędzy punktami dostępowymi. Możliwość rozbudowy o obsługę wyniesionych punktów dostępowych (oddzielonych od kontrolera siecią WAN). Wstępnie skonfigurowany wyniesiony punkt dostępowy powinien zestawiać tunel VPN do kontrolera. Obsługa minimum 250 wyniesionych punktów dostępowych. Kontroler powinien obsługiwać punkty dostępowe pracujące w standardzie 802.11n Funkcja dynamicznego zarządzania RF (dynamic RF management) Funkcja fizycznej lokalizacji użytkowników bezprzewodowych oraz obcych punktów dostępowych Tryb pracy monitora RF dla wszystkich podłączonych punktów dostępowych (jeżeli konieczna jest licencja, powinna zostać dostarczona licencja dla minimum 32 punktów dostępowych). Funkcje monitora RF muszą obejmować: wykrywanie, klasyfikację oraz eliminację wskazanych zagrożeń sieci bezprzewodowej takich jak (minimum): obce punkty dostępowe, ataki DoS, ataki na sieci bezprzewodowe oraz podszywanie się. Obsługa następujących metod szyfrowania i kontroli połączeń: WEP, dynamic WEP, TKIP WPA, WPA2, AES-CCMP, EAP, PEAP, TLS, TTLS, LEAP, EAP-FAST. Obsługa szyfrowania AES-CCM, TKIP i WEP centralnie na kontrolerze Obsługa szyfrowania SSL i TLS, RC4 128-bit oraz RSA 1024 i 2048 bit Możliwość autoryzacji dostępu użytkowników: • Autoryzacja użytkowników sieci przewodowej jak i mobilnej (tj. z kartami WiFi 802.11abgn) • Typy autentykacji: IEEE 802.1X (EAP,LEAP,PEAP,EAP-TLS,EAP-TTLS, EAPFAST), RFC 2548, RFC 2716 PPP EAP-TLS, RFC 2865 Radius Authentication, RFC 3576 dynamic Auth Ext for Radius, RFC 3579 Radius support for EAP, RFC 3580, 3748. • - Autentykacja możliwa w oparciu o przeglądarkę WWW (Portal WWW), 802.1X i adres MAC • Możliwość autoryzacji z wykorzystaniem nazwy użytkownika, adresu IP, adresu MAC i klucza szyfrującego . • Wsparcie dla autoryzacji typu: Microsoft NAP, Symantec SSE • Możliwość utworzenia, co najmniej do 8 SSID na każdym punkcie dostępowym (AP) • Możliwość stosowania różnego typu szyfrowania na różnych SSID • Możliwość wyboru serwera RADIUS w zależności od SSID • Możliwość przypisywania różnych VLANów i Portali WWW dla różnych SSID. • Możliwość konfiguracji mieszanego szyfrowania dla każdego SSID ( np. WPA/TKIP+WPA2/AES) • Autoryzacja użytkowników możliwa w oparciu o lokalna bazę użytkowników • Obsługa zewnętrznych serwerów autoryzacji AAA • Obsługa: LDAP, MS Active Directory, Novell eDirectory, Sun One Identity Server • Możliwość automatycznego przełączenia się z zewnętrznego serwera AAA na wewnętrzną bazę autoryzującą użytkowników w przypadku awarii zewnętrznego serwera (lub zespołu serwerów) AAA. • Możliwość autoryzacji każdego pakietu („per packet indentity verification”) • Możliwość definiowania ról i w oparciu o nie realizowanie różnych polityk autoryzacji i weryfikacji. • Obsługa XML API dla integracji z zewnętrznym Portalem WWW Integracja różnych typów transmisji w jednej sieci (VLAN, SSID): Integracja transmisji danych i głosu Obsługa QoS z użyciem „Voice Flow Classification” Obsługa SIP, Spectralink SVP, CISCO SCCP, Vocera ALGs Kolejkowanie w powietrzu z użyciem QoS (strict priority queing for over-the-air QoS) Obsługa Diffserv marking i 802.1p dla QoS Szybki roaming dla obsługi bezprzewodowych połączeń VoIP „Per-user and per-role rate limits – bandwidth controls” Kontrola punktów dostępowych (Adaptive Radio Managment -ARM): o Automatyczne ustalanie kanału i mocy promieniowania kontrolowanych punktów dostępowych (AP) o Stałe monitorowanie pasm radiowych i serwisów Użytkowników o „Self-healing coverage based on dynamic RF conditions” o „Dense deployment options for capacity optimalization” o AP load-balancing w oparciu o liczbę Użytkowników o AP load-balancing w oparciu o wysycenie łącza o Optymalizowanie pokrycia terenu sygnałem i zapobieganie interferencjom pomiędzy punktami dostępowymi o Obsługa 802.11h o Automatyczna lokalizacja i detekcja ‘active RFID tags” o Wbudowane „XML based localization API” dla RFID aplikacji o Detekcja Obcych (Rogue) AP i wbudowane oprogramowanie do wizualizacji lokalizacji. o Automatyczne klasyfikacja Obcych, interferujących i poprawnych AP o „Over-the-air and over-the-wire AP containment” o Wykrywanie i neutralizacja sieci Ad-hoc o Detekcja „Windows client bridging” i „wireless bridge” - - - o Ochrona przed atakami DoS (Deny Of Service) na AP i stacje końcowe o Detekcja stacji źle skonfigurowanych (misconfigured standlone stations and contaiment) o Możliwość w pewnym stopniu monitorowania 3rd party AP z punktu widzenia wydajności i konfliktów (performance monitoring and troubleshooting) o Możliwość tworzenia sygnatur nowych ataków (flexible attacks signature creation for a New WLAN attacks) o EAP handshake and sequence number analysis o VALID AP impersonation detection o Detekcja takich ataków jak: frame flood, fake AP, Airjack o ASLEAP, death broadcast, null probe response detection o Netstumbler-based network probe detection Statefull Firewall o możliwościach i cechach: o Obsługa trybu transparent o Inspekcja pakietów powiązana z identyfikacja użytkowników lub portów (stateful packet inspection tied to user indentity or ports) o Reguły zależne od lokalizacji lub czasu (localization and time-of-day aware Policy definition) o IEEE801.11 awarness for WLAN firewalling o Over-the-air Policy enforcement and stadion blacklisting o Session mirroring and per-packet logs for forensic analysis o Możliwość szczegółowego logowania (detailed firewall logs for usage auditing) o Zgodność z ICSA corporate firewall 4.1 o Application Layer Gateway (ALG) support for FTP, TFTP o Opcjonalny suport Application Layer Gateway (ALG) for SIP, SCCP, RTSP, Vocera, PPTP – po zakupie w przyszłości odpowiedniej licencji o Source and destination NAT o Dedicated flow processing hardware for high processing o Detekcja i obrona przed atakami DoS TCP, ICMP o Policy-based forwarding into GRE tunnels for guest traffic o Zewnętrzny interfejs do integracji z rozwiązaniami bezpieczeństwa firm trzecich (np. inline anti-virus, anti-spam, content filtering) Opcjonalna obsługa sieci VPN możliwa w przyszłości po zakupie odpowiedniej licencji: o Site-to-site VPN support o VPN Server emulation for easy integration into WLAN o Terminacja klientów L2TP/IPSEC VPN o Obsługa tokenów RSA dla mobilnych klientów o XUATH/IPSEC termination for 3rd party clients o PPTP VPN Termination o Obsługa serwerów RADIUS i LDAP dla autentykacji VPN o Obsługa autentykacji typu: PAP CHAP, MS-CHAP i MS-CHAP2 o Szyfrowanie typu DES, 3DES, AES i MPPE realizowane poprzez dedykowane układy scalone (hardware encryption). Obsługa szyfrowania point-to-point xSec dla L2 VPN (licencja jak wyżej na 1024 sesje xSec) Przełączanie w warstwie L2 i L3 modelu OSI over-the-air – over-the-wire Proxy mobile IP i Proxy DHCPS for L3 roaming Wbudowany serwer DHCP oraz DHCP relay Obsługa VRRP Mechanizm redundancji kontrolerów - - Obsługa 802.1D, 802.1q Obsługa SNMPv2 i SNMPv3 dla zarządzania kontrolerami Zarządzanie kontrolerami poprzez HTTP, HTTPs, CLI poprzez SSH, Telnet i port konsoli Zgodność plików (wymienność) z analizatorami typu Ethereal, Airopeek i AirMagnet Centralne zarządzanie AP wraz z tworzeniem i zarządzaniem obrazów konfiguracji, oprogramowania System składający sie z kontrolerów i punktów dostępowych musi mieć możliwość rozbudowy o dodatkowy dedykowany sprzętowy system zarządzania rozszerzający możliwości zarządzania wbudowane w kontrolery. System ten musi produktem tej samej firmy, co pozostałe elementy (tj. kontrolery i punkty dostępowe) Po zainstalowaniu AP muszą zostać dostrojone w celu zapewnienia optymalnego zasięgu i eliminacji interferencji. F) Licencja na zapewnienie usług głosowych – 1szt. Zapewnienie funkcjonalności dla 128 punktów dostępowych: o Wsparcie dla Call Admission Control o Priorytetyzacja ruchu głosowego o Voice-aware 802.1x G) Oprogramowanie do zarządzanie siecią bezprzewodową Wymagania ogólne dla systemu zarządzania rozwiązaniem sieci bezprzewodowej: - Aplikacja umożliwiająca centralne zarządzanie rozwiązaniem sieci bezprzewodowej składającej się z minimum 50 urządzeń (punktów dostępowych, kontrolerów) - Monitorowanie w czasie rzeczywistym użytkowników, sesji i urządzeń z zaznaczeniem wysycenia pasma, siły sygnału radiowego, QoS - Przechowywanie logów z 2 lat - Wykrywanie wrogich punktów dostępowych w sieci bezprzewodowej oraz przewodowej oraz wskazanie prawdopodobnego miejsca wykrycia m.in. poprzez triangulację sygnału. - Automatyzacja i dystrybucja wymiany wersji oprogramowania urządzeń - Wizualizacja mapy pokrycia/zasięgu sygnału sieci bezprzewodowej - Wizualizacja alertów i błędów wraz z możliwością dostosowywania parametrów progów i parametrów wyzwalających - Wsparcie dla sprzętu bezprzewodowego wielu producentów: Aruba, Avaya, AlcatelLucent, Cisco, Enterasys, Foundry, HP, Juniper, Lancom, Proxim. - API programistyczne XML umożliwiające integrację z aplikacjami trzecimi - Możliwość zapewnienia funkcjonalności failover one-to-many przy zastosowaniu dodatkowych licencji - Wykrywanie urządzeń przy pomocy protokołów: SNMP, HTTP, CDP. - Czasowe sprawdzanie konfiguracji punktów dostępowych względem poprawności zdefiniowanej polityki - Umożliwia integrację z HP OpenView Network Node Manager H) Oprogramowanie do zarządzanie siecią – 1 szt. Wymagania ogólne dla systemu zarządzania siecią przewodową: Dedykowana aplikacja producenta do zarządzania infrastrukturą transmisji danych umożliwiająca podłączenie zdalnych administratorów Wykrywanie urządzeń sieciowych przy wykorzystaniu protokołu SNMP Wizualizacja mapy topologii sieci z uwzględnionymi połączeniami Wizualizacja domen protokołu spanning-tree Automatyzacja zarządzaniem sieciami VLAN na przestrzeni wielu przełączników Lokator występowania błędów przy pomocy kryteriów systemu operacyjnego, ustawień portu, lokalizacji, adresów IP/MAC oraz DNS Automatyzacja backupowania i przywracania konfiguracji urządzeń Automatyzacja wymiany na wielu urządzeniach wersji systemu operacyjnego Aplikacja powinna umożliwiać rozszerzenie w przyszłości do dodatkowe funkcjonalności przy pomocy licencji lub pakietów funkcjonalnych I) Oprogramowanie RADIUS do autentykacji użytkowników – 1 szt. Aplikacja dla uwierzytelniania użytkowników VLAN na przełącznikach producenta w oparciu o protokół RADIUS Aplikacja powinna umożliwiać instalacje na serwerze wyposażonym w system Microsoft Windows Server lub SLES Zarządzanie aplikacja musi odbywać się poprzez interfejs Web Aplikacja powinna zostać dostarczona na fizycznym nośniku wraz z niezbędnymi licencjami lub kluczami aktywacyjnymi wsparcie producenta na okres 4 lat Aplikacja powinna wspierać protokoły: o EAP-TTLS/PEAP/TLS/FAST/LEAP/POTP/MD5 o PAP/CHAP o MS-CHAP/v2 Pozwalać na stworzenie domyślnego profile dla użytkownika logującego się do sieci z konkretnego klienta RADIUS Umożliwiać wgląd w historię próśb uwierzytelniania i odpowiedzi Umożliwiać śledzenie długości połączeń użytkowników Wgląd w statystyki połączeń J) Serwer przeznaczony dla oprogramowania zarządzającego – 1 szt. W ramach dostawy należy dostarczyć serwer przeznaczony do instalacji oprogramowania zarządzającego siecią przewodową, siecią bezprzewodową oraz serwera Radius. Serwer musi być zgodny z posiadaną przez Zamawiającego infrastrukturą Blade SUN 6000 i być dostarczony w postaci karty blade do w/w serwera. Minimalna konfiguracja serwera: 1 Procesory Klasy x86 z technologią czterordzeniową - Quad Core Intel Xeon E5450 lub równoważny 2 Liczba procesorów w serwerze 2 Możliwość instalacji pamięci w co najmniej 16 slotach DIMM pozwalające na rozbudowę do minimum 64GB. 4 Pamięć RAM Zainstalowane co najmniej 16GB RAM PC2-5300, FBD DDR2-667 z korekcją błędów ECC lub szybsze Sterownik SAS obsługujący RAID 0, 1, 5 wyposażony w 5 Sterownik dysków wewnętrznych 256 MB pamięci cache Możliwość instalacji co najmniej 3 dysków twardych. 6 Dyski twarde Zainstalowane 2 dyski SAS minimum 72GB, 10k, typu Hot-plug 7 Interfejsy sieciowe (LAN) 8 Wspierane systemy operacyjne 9 System operacyjny 2 Interfejsy sieciowe 1Gb - Microsoft Windows Standard i Enterprise Edition 2003 dla architektury procesora x86 i x64, - Microsoft Windows 2008 Server Standard i Enterprise Edition dla architektury procesora x86 i x64 - Solaris 10 - Red Hat Enterprise Linux 4 lub 5, - SUSE Linux Enterprise Server 9 lub 10 - Vmware ESX 3.5 Wraz z serwerem należy dostarczyć system operacyjny zgodny z oferowanym oprogramowaniem zarządzającym do sieci przewodowej, bezprzewodowej oraz serwerem Radius K) Serwer komunikacyjny - 1 szt. Serwer komunikacyjny do komunikacji głosowej opartej o protokół IP o następujących minimalnych parametrach: Obudowa pozwalająca na zainstalowanie w typowej w szafie 19” wraz z kompletnym patch panelem RJ45 dla strony stacyjnej (wszystkie elementy sprzętowe) Terminale IP muszą komunikować bezpośrednio z CPU (Nie dopuszcza się użycia systemów hybrydowych - połączenie centrali TDM z kartą / routerem do komunikacji VoIP). Serwer (CPU) powinien pracować w pełnej redundancji sprzętowej z dodatkowym serwerem jako pełna duplikacja sprzętowa i programowa (tzw. gorąca rezerwa, która gwarantuje bezprzerwową łączność przy uszkodzeniu CPU głównego). Serwer powinien być oparty o typowy serwer sprzętowy instalowany w szafie 19” (tzw. appliance serwer). Należy podać typ serwera bazowego. Początkowa funkcjonalność i pojemność systemu: łącze PRA DSS1 do sieci publicznej 1 szt łącze E1 ABCF2 do sieci prywatnej 1 szt łącze ISDN BRA do sieci publicznej 4 szt analogowe linie wewnętrzne 4 szt terminale IP z licencją i niezbędnym wyposażeniem do pracy: terminal zaawansowany o następujących minimalnych parametrach: duży (min 240x320 pixeli) kolorowy wyświetlacz graficzny, możliwość wywoływania aplikacji XML, głośnomówiący- full duplex, min 40 klawiszy (fizycznych lub dynamicznie dostępnych z poziomu wyświetlacza) programowalnych ze wskaźnikiem optycznym ( ew. przystawka), minimum 8 klawiszy dowolnie programowalnych fizycznych, dostęp do systemowej książki telefonicznej – wybieranie abonenta po nazwie, switch 10/100/1000 do podłączenia PC, wsparcie dla VLAN- 802.1-q, 802.1p i 802.1.x, kompatybilność ze standardem zasilania 802.3af - maksymalny pobór mocy 7W, bezprzewodowa słuchawka nagłowna ( odbieranie rozmowy za pomocą klawisza słuchawki) - 5 szt terminal średni o następujących minimalnych parametrach: duży wyświetlacz graficzny, możliwość wywoływania aplikacji XML, głośnomówiący- full duplex, min 4 klawisze programowalne ze wskaźnikiem optycznym ( ew. przystawka), dostęp do systemowej książki telefonicznej – wybieranie abonenta po nazwie, switch 10/100/1000 do podłączenia PC, wsparcie dla VLAN- 802.1-q i 802.1.x, kompatybilność ze standardem zasilania 802.3af, gniazdo słuchawki nagłownej z automatyczną detekcją - 5 szt soft phone ( emulacja telefonu na ekranie PC) – możliwość wykorzystania jako multimedialny PC, dostęp do systemowej książki telefonicznej (wybieranie po nazwie przy połączeniu wychodzącym i identyfikacja nazwy/numeru przy połączeniu przychodzącym ) za pomocą klawiatury PC, min 40 klawiszy programowalnych ( nadzór stanu linii innych abonentów ) , dostęp do poczty głosowej, wirtualny MAC adres - 10 szt terminal VoWLAN o następujących minimalnych parametrach – podświetlany ekran graficzny, głośnomówiący, dostęp do systemowej książki telefonicznej ( wybieranie po nazwie przy połączeniu wychodzącym i identyfikacja nazwy/numeru przy połączeniu przychodzącym ) zgodność ze standardem częstotliwości a,b,g, wsparcie dla szyfrowania WEB/WPA/WPA2, ładowarka i pokrowiec, możliwość podłączenia słuchawki nagłownej – 10 szt Stanowisko do administracji i taryfikacji z PC. Realizacja na bazie dedykowanej aplikacji do zarządzania i taryfikacji wyprodukowanej przez producenta rozwiązania telekomunikacyjnego. Aplikacja musi być jednorodna, zintegrowana z systemem, modularna, oraz oferować obsługę w języku polskim ( przynajmniej podstawowe elementy) Łączenie między centralą, a systemem zarządzania i taryfikacji oraz musi być realizowane za pomocą szyfrowanego połączenia IP Niezbędna jest możliwość śledzenia/audytu zmian realizowanych przez poszczególnych administratorów systemu zarządzania i taryfikacji Administrowanie wszystkimi elementami systemu w czasie rzeczywistym, podczas jednej sesji. Administracja wszystkimi abonentami (kreowanie, usuwanie, wyświetlanie danych, modyfikacja uprawnień i danych itp.) Wykorzystywanie gotowych lub tworzenie własnych wzorów raportów taryfikacji. Możliwość automatycznego wysyłania raportów poprzez e-mail do odpowiednich działów kosztowych. aplikacja do graficznego nadzoru systemu w czasie rzeczywistym, sygnalizacja graficzna anomalii w danym obiekcie np linii wewnętrznych, modułów, linków połączeniowych, terminali Możliwość ręcznego lub automatycznego importu/eksportu danych o zarządzanych obiektach (np. wiązki miejskie, użytkownicy, kategorie uprawnień) do pliku zewnętrznego, kompatybilnego z aplikacją Microsoft Excel Należy przewidzieć szkolenie min 2 dni dla 2 osób. Wymagana minimalna funkcjonalność systemu zawarta w cenie oferty: 1. Książka telefoniczna umożliwiająca wybieranie po nazwie lub inicjałach abonentów wewnętrznych i zewnętrznych Pojemność min 30 000 abonentów. Przy połączeniach przychodzących zamiana numeru na nazwę. Należy opisać sposób używania. 2. Połączenia zwrotne ( rezerwacja połączenia) 3. Zestawy sekretarsko – dyrektorskie 4. Intruzowanie ( wejście na trzeciego), ochrona przed intruzowaniem danego połączenia 5.Możliwość rozbudowy systemu do min 4000 abonentów IP, bez wymiany serwera sterującego, aplikacji głównej i żadnego elementu systemu. 7. Możliwość rozbudowy o terminale bezprzewodowe DECT i radiobazy DECT tego samego producenta, co system główny. 8. Możliwość inteligentnego kierowania ruchem wychodzącym w zależności od wybieranego numeru ( oprogramowanie ARS/ LCR) 9. Poczta głosowa ( tego samego producenta, co serwer komunikacyjny), 8 portów jednoczesnego dostępu, dostęp dla wszystkich użytkowników, nagranie bieżącej rozmowy przez wszystkich abonentów terminali IP, VoWLAN, soft phone 10. Możliwość implementacji protokołu / sygnalizacji SIP, H323, QSIG1 11.System musi być wyposażony w elementy zdalnego dostępu pozwalające na zmianę dowolnego parametru oraz zdalną diagnostykę. 12. Opcjonalnie - możliwość pełnej integracji terminali Palmtop (Windows Mobile), Blackberry na poziomie terminala VoIP (dostęp do książki telefonicznej itp.). L) Wsparcie techniczne dla urządzeń sieciowych płatne w każdym roku 2010 – 2012 Oferent musi zapewnić wsparcie techniczne, aktualizację oprogramowania i dostęp do bazy wiedzy technicznej producenta na okres 3 lat dla wszystkich oferowanych urządzeń sieciowych i oprogramowania. Czas usunięcia awarii urządzeń sieciowych wynosi do 24 godzin od momentu zgłoszenia. Wymagania funkcjonalne i formalne Wszystkie urządzenia sieciowe muszą pochodzić od jednego producenta. Wszystkie moduły światłowodowe muszą pochodzić od producenta urządzeń sieciowych lub być przez niego certyfikowane. W przypadku zaoferowania modułów światłowodowych innych producentów należy przedstawić certyfikację producenta urządzeń sieciowych o zgodności oferowanych urządzeń sieciowych i modułów światłowodowych. Wszystkie oferowane urządzenia muszą być objęte serwisem w standardzie 8x5xNBD, w ramach serwisu należy zapewnić czas reakcji 4 godziny (przy czym jako czas reakcji rozumiane jest zgłoszenie się inżyniera systemowego w siedzibie zamawiającego). Usunięcie usterki musi nastąpić na następny dzień roboczy.