SPECYFIKACJA TECHNICZNA PRZEDMIOTU ZAMÓWIENIA

Załącznik nr 2
Specyfikacja techniczna przedmiotu zamówienia dla części B
Przedmiot zamówienia objęty niniejszym załącznikiem winien zostać objęty minimum 2
letnią gwarancją i minimum 2 letnią rękojmią z zastrzeżeniem minimum 5 letniej gwarancji
producenta przełączników dostępowych.
A) Przełącznik rdzeniowy – 1szt.
Wymagania ogólne:
Przełącznik posiadający możliwość instalacji przynajmniej 11 modułów kart liniowych
oraz być wyposażony w dwie karty zarządzające w celu redundancji.
Przełącznik (obudowa) mający możliwość instalacji redundantych zasilaczy, przełącznik
musi być wyposażony w maksymalną ilość zasilaczy, tak, aby nie było konieczności
rozbudowy zasilaczy w przyszłości. Konfiguracja zasilaczy przełącznika umożliwiająca
instalację kart liniowych zapewniających minimum 24 porty 10/100/1000Base-T/TX z
zasilaniem 802.3af (Power over Ethernet) każda, we wszystkich slotach przełącznika bez
konieczności rozbudowy zasilaczy w przyszłości.
Przełącznik musi być wyposażony w:
o karty liniowe zapewniające przynajmniej 16 portów 10G definiowalnych
wkładkami X2/XFP lub równoważnymi, przy czym ze względów bezpieczeństwa,
do wyżej wymienionej wymaganej ilości portów nie wlicza się ewentualnych
portów znajdujących się na modułach zarządzających,
o 6 kart liniowych zapewniające przynajmniej 24 porty 10/100/1000 BaseT/TX
zakończonych fizycznym stykiem RJ-45, z obsługą standardu 802.3af (Power over
Ethernet) każda, na wszystkich portach.
Przełącznik posiadający moduł nadzorujący o minimalnych parametrach:
o sprzętowe wsparcie przełączania min. 400 Mpps dla IPv4,
o przepustowość min. 720Gbps,
o min. 256 MB pamięci RAM,
o min. 32 MB pamięci Flash ,
o obsługa min. 200 aktywnych sieci VLAN,
o obsługa min. 8000 adresów MAC,
o sprzętowe wsparcie dla obsługi list dostępu L1-L4.
Przełącznik zapewniający obsługę następujących funkcjonalności/protokołów związanych
z warstwą drugą:
o enkapsulacja 802.1Q,
o Spanning-tree PortFast oraz ochrona „guard” PortFast,
o 802.3ad, IGMP snooping,
o Q-in-Q pass-through,
o Obsługa VLAN Classification: MAC, protocol, IP subnet,
o IEEE 802.1ad VLAN Stacking (QinQ),
o IEEE 802.1D Spanning Tree Protocol (STP) ze wsparciem dla wielu instancji,
o IEEE 802.1w Rapid Spanning Tree Protocol (RSTP) ze wsparciem dla wielu
instancji,
o IEEE 802.1s Multiple Spanning Tree Protocol,
o BPDU Watch Guard, Root Guard,
o PVST+.
Przełącznik zapewniający obsługę następujących funkcjonalności/protokołów związanych
z warstwą trzecią:
o routing statyczny IP,
o RIP(v1, 2),
o OSPF (v2, 3),
o Tunelowanie GRE,
o IGMP (v1, 2, 3),
o PIM SM/DM,
o SSM,
o DVMRP,
o IPv6,
o HSRP lub VRRP (v2, 3).
Przełącznik zapewniający wsparcie dla następujących funkcjonalności/protokołów
związanych z zapewnieniem jakości usług w sieci (QoS):
o wsparcie dla czterech kolejek sprzętowych,
o wsparcie dla obsługi pola DSCP,
o klasyfikacja na bazie informacji zawartych w nagłówku IP (ToS) lub polu DSCP,
o definiowanie reguł w oparciu o informację z nagłówków warstwy 3 i 4 (dla ruch
IP),
o kształtowanie i dzielenie rozkładu ruchu pomiędzy kolejki,
o definiowanie QoS per port oraz per VLAN.
Przełącznik zapewniający wsparcie dla następujących funkcjonalności/protokołów
związanych z bezpieczeństwem:
o wsparcie dla serwerów TACACS+ i RADIUS,
o standardowe i rozszerzone listy dostępu (ACL) na wszystkich portach,
o obsługa list dostępu typu router ACL (RACL), VLAN ACL,
o autentykacja w oparciu o 802.1x z przypisaniem portu VLAN,
o wsparcie dla pracy w architekturze NAC,
o wsparcie dla prywatnego VLANu,
o DHCP snooping, DHCP Option 82,
o Port security, SSH (v1, 2),
o filtracja adresów MAC,
o Inspekcja tablicy ARP,
o ochrona adresu IP (źródłowego),
Przełącznik zapewniający wsparcie dla następujących funkcjonalności/protokołów
związanych z zarządzaniem:
o dedykowany port konsoli,
o pojedynczy adres IP dedykowany do zarządzania pełną funkcjonalnością,
o możliwość zarządzania za pomocą oprogramowania dostarczonego wraz z
urządzeniem producenta (Web-based) oraz przez dedykowaną aplikację
producenta urządzenia,
o wsparcie dla SNMP (v1, 2, 3),
o kopiowanie ruchu z określonego portu i przesyłanie tego ruchu na odległość,
o HTTPS.
Przełącznik umożliwiający instalację kart liniowych z interfejsami PoE zgodnie z 802.3af.
Urządzenie musi mieć możliwość instalacji w standardowej szafie teletechnicznej 19’.
Plik konfiguracyjny urządzenia możliwy do edycji w trybie off-line, tzn. konieczna jest
możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu
PC. Plik konfiguracyjny musi być przechowywany w pamięci nieulotnej (FLASH).
Zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się
restartów urządzenia po dokonaniu zmian.
Przełącznik umożliwiający przechowywanie przynajmniej dwóch obrazów systemu
operacyjnego.
Przełącznik musi być dostarczony z 8 modułami światłowodowymi XFP 10 Gb/s SR
(światłowód wielomodowy) oraz 4 modułami światłowodowymi XFP 10 Gb/s LR
(światłowód jednomodowy) pochodzącymi od producenta przełącznika lub
certyfikowanymi przez niego.
B) Przełączniki dostępowe – 14 szt.
Wymagania ogólne:
urządzenie o stałej konfiguracji fizycznej min. 48 portów dostępowych 10/100/1000 RJ45 oraz minimum 4 porty dla wkładek SFP, przy czym dopuszcza się, aby porty SFP były
realizowane przy pomocy portów podwójnego zastosowania wchodzących w skład 48
portów dostępowych.
Urządzenie musi posiadać: minimum 44 portów PoE 802.af, 2 porty X2/XFP 10G
porty dla wkładek SFP muszą umożliwiać instalację transmiterów SFP w standardzie
1000Base-X, o długości fali 1310nm, styk LC dla jednodomowych włókien
światłowodowych 9/125 µm
urządzenie musi umożliwiać łączenie min. 8 urządzeń w stos poprzez porty o
przepustowości min. 10Gbps full-duplex
urządzenie musi zostać dostarczone z nadmiarowym zewnętrznym zasilaczem
min. 128MB pamięci DRAM oraz min. 16MB pamięci Flash
obsługa min. 8000 adresów MAC
wydajność przełączania co najmniej 100 Mpps
automatyczne wykrywanie przeplotu (AutoMDIX) na portach miedzianych
wbudowane narzędzia do diagnozy okablowania na portach miedzianych (time domain
reflector)
obsługa co najmniej 255 sieci VLAN i 4094 VLAN ID
obsługa mechanizmów dystrybucji informacji o sieciach VLAN pomiędzy przełącznikami
funkcjonalność port-fast lub równoważna
obsługa protokołów sieciowych zgodnie ze standardami:
o IEEE 802.1x
o IEEE 802.1s
o IEEE 802.1w
o IEEE 802.3x full duplex dla 10BASE-T i 100BASE-TX
o IEEE 802.3ad
o IEEE 802.1D
o IEEE 802.1p
o IEEE 802.1Q
o IEEE 802.3 10BASE-T
o IEEE 802.3u 100BASE-TX
o IEEE 802.3z 1000BASE-X
o IEEE 802.3ab 100BASE-T
zaawansowane przełączanie w warstwie trzeciej oraz definiowanie routingu w oparciu o
protokoły IPv4:
o IP: RIPv1v2, OSPF, IS-IS oraz routing statyczny
o Multicast: IGMP v1, v2, v3 snooping, PIM-SM/DM, DVMRP
o VRRP v2
wsparcie protokołu IPv6:
o RIPng, OSPFv3, routing statyczny
o Multicast: PIM-SM/DM,
o VRRP v3
dopuszcza się stosowanie dodatkowych licencji w celu uruchomienia funkcjonalności
zaawansowanego routingu dynamicznego, lecz urządzenie musi zostać z nimi dostarczone
mechanizmy związane z zapewnieniem jakości usług w sieci:
o obsługa co najmniej czterech kolejek, wyjściowych dla różnego rodzaju ruchu
o mechanizm automatycznej konfiguracji portów do obsługi VIP
o flow-based QoS z wejściową i wyjściową zmianą parametrów (tzw. remarking)
o zarządzanie kolejkowaniem: Random Early Detect (RED), Stricte Priority (SPQ),
Weighted Round Robin (WRR), Deficit Round Robin (DRR)
o możliwość ograniczania pasma dostępnego na port (rate limiting) z granulacją co
1Mbps dla ruchu wejściowego i wyjściowego
mechanizmy związane z zapewnieniem bezpieczeństwa sieci:
o dostęp do urządzenia przez konsolę szeregową, SSHv2 i SNMPv3, HTTPS/SSL
o uwierzytelnianie funkcją skrótu dla protokołów RIPv2, OSPFv2, SNMPv3
o wsparcie dla standardu 802.1x port-based, multiple-client, MAC authentication
o obsługa mechanizmów Guest VLAN, MAC address lockdown, IP Source Guard,
Dynamic ARP Inspection
o możliwość aplikowania list kontroli dostępu (ACL) per port, MAC SA/DA, IP
SA/DA, TCP/UDP port,
o funkcjonalność STP Root Guard, STP BPDU guard
o możliwość autoryzacji prób logowania do urządzenia za pomocą serwerów
RADIUS lub TACACS+
o możliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw.
protected ports) z pozostawieniem możliwości komunikacji z portem nadrzędnym
(designated port) lub funkcjonalność private VLAN Edge
o monitorowanie zapytań i odpowiedzi DHCP (tzw. DHCP Snooping), DHCP
Option 82, DHCP IP Spoof protection
o możliwość tworzenia portów monitorujących, pozwalających na kopiowanie na
port monitorujący ruchu z innego dowolnie wskazanego portu z innego
przełącznika (tzw. SPAN, RSPAN lub równoważne)
o ochrona przed rekonfiguracją struktury topologii Spanning Tree spowodowana
przez niepowołane i nieautoryzowane urządzenie sieciowe
o obsługa list kontroli dostępu (ACL) z uwzględnieniem adresów MAC i IP, portów
TCP/UDP bez spadku wydajności urządzenia
o min. 5 poziomów uprawnień do zarządzania urządzeniem (z możliwością
konfiguracji zakresu dostępnych funkcjonalności i komend)
o współpraca z systemami kontroli dostępu do sieci typu NAC lub NAP lub podobne
obsługa ruchu multicast z wykorzystaniem IGMP snooping v1, v2 oraz v3
obsługa NTP
obsługa grupowania portów w jeden kanał logiczny zgodnie z LACP 802.3ad
plik konfiguracyjny urządzenia możliwy do edycji w trybie off-line, tzn. konieczna jest
możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym
urządzeniu PC. Po zapisaniu konfiguracji w pamięci nieulotnej powinno być możliwe
uruchomienie urządzenia z nowa konfiguracją. Zmiany aktywnej konfiguracji muszą być
widoczne natychmiastowo - nie dopuszcza się częściowych restartów urządzenia po
dokonaniu zmian
przechowywanie co najmniej 2 obrazów systemu operacyjnego
możliwość zarządzania przy pomocy aplikacji graficznej zainstalowanej na urządzeniu,
dostarczanej przez producenta
możliwość zarządzania przy pomocy osobnej, dedykowanej aplikacji do zarządzania
infrastrukturą sieciową producenta urządzenia
możliwość montażu w szafie 19”
wysokość 1U
obudowa wykonana z metalu
minimum 5 letni okres gwarancji, minimum 2 letni okres rękojmi.
Wszystkie przełączniki muszą pochodzić od jednego producenta.
Wraz z przełącznikami dostępowymi należy dostarczyć:
8 szt. modułów światłowodowych XFP 10 Gb/s SR (światłowód wielomodowy), 4 szt.
modułów światłowodowych XFP 10 Gb/s LR (światłowód jednomodowy) pochodzących
od producenta przełącznika lub certyfikowanymi przez niego
6 szt. kabli stackujących o dł. minimum 30 cm
patchcordy światłowodowe w ilości i konfiguracji niezbędnej do podłączenia wszystkich
urządzeń sieciowych.
organizery kabli ethernet 1U w ilości 40 szt oraz 4 organizery 2U do kabli
światłowodowych
500 sztuk patchcordów miedzianych o długości 0,5 m w 10 kolorach cat 6
500 sztuk patchcordów miedzianych o długości 3 m w 10 kolorach cat 6
300 sztuk patchcordów miedzianych o długości 2 m w 10 kolorach cat 6
100 sztuk patchcordów miedzianych o długości 5 m w 10 kolorach cat 6
C) Punkty dostępowe wewnętrzne – 30 szt.
-
Punkt dostępowy współpracujący z kontrolerem będącym przedmiotem przetargu
pochodzący od tego samego producenta
Minimum dwa moduły radiowe
Praca w standardzie 802.11a/n oraz 802.11b/g/n, zintegrowana antena 3x3 MIMO dualband (dla standardu 802.11n)
Współpraca z zasilaniem 802.3af PoE oraz 802.3at PoE+ oraz możliwość podłączenia
zewnętrznego zasilania 5V DC
Co najmniej dwa interfejsy 10/100/1000 RJ-45 (Dual homing) z funkcjonalnością auto
MDI/MDX
Dedykowany port konsoli
Możliwość pracy w trybie punktu dostępowego, monitora RF (monitorowania fal
radiowych) lub obu tych trybach jednocześnie
Automatyczne zarządzanie mocą nadawania oraz pokrycia zasięgiem (ARM)
Wsparcie minimum 32 SSID
-
VLAN load balancing
Call Admission Control
Wsparcie dla wireless multimedia QoS (WMM)
Filtrowanie ruchu multicast
Klasyfikacja ruchu, rezerwacja pasma (T-SPEC/TCLAS)
Zabezpieczenie fizyczne punktu mocowania
Możliwość regulacji mocy sygnału przez system zarządzania
Wraz z punktami dostępowymi należy dostarczyć:
- Karty sieciowe Wi-Fi do doposażenia komputerów stacjonarnych ze złączem PCI w
standardzie 802.11n, z dołączaną anteną zewnętrzną - 20 szt. Gwarancja 2 lata.
D) Punkty dostępowe zewnętrzne – 2 szt.
-
-
Punkt dostępowy współpracujący z kontrolerem będącym przedmiotem przetargu
pochodzący od tego samego producenta
Urządzenie o przeznaczeniu do stosowania na zewnątrz, wyposażone w specjalną
obudowę zabezpieczającą przed wpływem czynników atmosferycznych, umożliwiającą
pracę urządzenia w zakresie temperatur od -30C do 55C oraz wilgotności od 0 do 95%,
Minimum dwa moduły radiowe
Praca w standardzie 802.11a oraz 802.11b/g
Minimum cztery gniazda antenowe 4 x N-Type (funkcjonalnośc diversity)
Interfejs 10/100 RJ-45 z funkcjonalnością auto MDI/MDX
Współpraca z zasilaniem 802.3af PoE oraz możliwość podłączenia zewnętrznego
zasilania 12V DC
Dedykowany port konsoli
Fizyczny interfejs uziemienia
Możliwość pracy w trybie punktu dostępowego, monitora RF (monitorowania fal
radiowych) lub obu tych trybach jednocześnie
Automatyczne zarządzanie mocą nadawania oraz pokrycia zasięgiem (ARM)
Wsparcie minimum 16 SSID
Wsparcie dla klientów głosowych: Cisco Skinny, NOE, SIP, Vocera
QoS per sesja, Wsparcie dla wireless multimedia QoS (WMM)
Call Admission Control
Filtrowanie ruchu multicast
Klasyfikacja ruchu, rezerwacja pasma (T-SPEC/TCLAS)
Zabezpieczenie fizyczne punktu mocowania
Możliwość regulacji mocy sygnału przez system zarządzania
E) Kontroler bezprzewodowy – 2 szt. w klastrze HA
Wymagania odnośnie kontrolera bezprzewodowego:
- Kontroler musi łączyć w jednym fizycznym urządzeniu funkcjonalności: kontrolera sieci
bezprzewodowej, urządzenia statefull firewall, możliwość pracy jako VPN gateway
(możliwość rozbudowy o funkcję VPN IPsec)
-
-
-
-
Obsługa minimum 32 punktów dostępowych z możliwością rozszerzenia do minimum
128 punktów dostępowych na pojedynczym kontrolerze
Możliwość obsługi do 2048 użytkowników obsługiwanych przez pojedynczy kontroler
przy wykorzystaniu odpowiednich licencji
Licencja na 32 punkty dostępowe oferująca tzw. „intrusion protection”, wykrywanie i
blokowanie obcego badania sieci, ochrona przed atakami DoS, nieautoryzowanym
dostępem do sieci.
Licencja na 1024 jednoczesne sesje dla profili firewalla (Zależność reguł od użytkownika
a nie tylko adresu IP, ról itp.) z możliwością dodania minimum 1024 kolejnych licencji
Licencja na 1024 jednoczesne sesje uwierzytelnienia w architekturze klient-serwer L2
VPN xSec point-to-point AES
Minimum 4 porty Dual personality (10/100/1000Base-TX i slot GBIC/SFP)
Urządzenie musi być przystosowane do montażu w standardowej szafie sieciowej 19calowej. Wysokość urządzenia 1RU
Obsługa VLAN
Minimum 128 interfejsów VLAN IP
Obsługa translacji adresów NAT.
Wydajność po stronie przewodowej minimum 4Gb/s dla ruchu nieszyfrowanego i
szyfrowanego (3DES, AESCBS256)
Obsługa minimum 128000 aktywnych sesji Firewall
Roaming użytkowników pomiędzy punktami dostępowymi.
Możliwość rozbudowy o obsługę wyniesionych punktów dostępowych (oddzielonych od
kontrolera siecią WAN). Wstępnie skonfigurowany wyniesiony punkt dostępowy
powinien zestawiać tunel VPN do kontrolera. Obsługa minimum 250 wyniesionych
punktów dostępowych.
Kontroler powinien obsługiwać punkty dostępowe pracujące w standardzie 802.11n
Funkcja dynamicznego zarządzania RF (dynamic RF management)
Funkcja fizycznej lokalizacji użytkowników bezprzewodowych oraz obcych punktów
dostępowych
Tryb pracy monitora RF dla wszystkich podłączonych punktów dostępowych (jeżeli
konieczna jest licencja, powinna zostać dostarczona licencja dla minimum 32 punktów
dostępowych). Funkcje monitora RF muszą obejmować: wykrywanie, klasyfikację oraz
eliminację wskazanych zagrożeń sieci bezprzewodowej takich jak (minimum): obce
punkty dostępowe, ataki DoS, ataki na sieci bezprzewodowe oraz podszywanie się.
Obsługa następujących metod szyfrowania i kontroli połączeń: WEP, dynamic WEP,
TKIP WPA, WPA2, AES-CCMP, EAP, PEAP, TLS, TTLS, LEAP, EAP-FAST.
Obsługa szyfrowania AES-CCM, TKIP i WEP centralnie na kontrolerze
Obsługa szyfrowania SSL i TLS, RC4 128-bit oraz RSA 1024 i 2048 bit
Możliwość autoryzacji dostępu użytkowników:
• Autoryzacja użytkowników sieci przewodowej jak i mobilnej (tj. z kartami WiFi
802.11abgn)
• Typy autentykacji: IEEE 802.1X (EAP,LEAP,PEAP,EAP-TLS,EAP-TTLS, EAPFAST), RFC 2548, RFC 2716 PPP EAP-TLS, RFC 2865 Radius Authentication,
RFC 3576 dynamic Auth Ext for Radius, RFC 3579 Radius support for EAP, RFC
3580, 3748.
•
-
Autentykacja możliwa w oparciu o przeglądarkę WWW (Portal WWW), 802.1X i
adres MAC
• Możliwość autoryzacji z wykorzystaniem nazwy użytkownika, adresu IP, adresu
MAC i klucza szyfrującego
.
• Wsparcie dla autoryzacji typu: Microsoft NAP, Symantec SSE
• Możliwość utworzenia, co najmniej do 8 SSID na każdym punkcie dostępowym
(AP)
• Możliwość stosowania różnego typu szyfrowania na różnych SSID
• Możliwość wyboru serwera RADIUS w zależności od SSID
• Możliwość przypisywania różnych VLANów i Portali WWW dla różnych SSID.
• Możliwość konfiguracji mieszanego szyfrowania dla każdego SSID ( np.
WPA/TKIP+WPA2/AES)
• Autoryzacja użytkowników możliwa w oparciu o lokalna bazę użytkowników
• Obsługa zewnętrznych serwerów autoryzacji AAA
• Obsługa: LDAP, MS Active Directory, Novell eDirectory, Sun One Identity
Server
• Możliwość automatycznego przełączenia się z zewnętrznego serwera AAA na
wewnętrzną bazę autoryzującą użytkowników w przypadku awarii zewnętrznego
serwera (lub zespołu serwerów) AAA.
• Możliwość autoryzacji każdego pakietu („per packet indentity verification”)
• Możliwość definiowania ról i w oparciu o nie realizowanie różnych polityk
autoryzacji i weryfikacji.
• Obsługa XML API dla integracji z zewnętrznym Portalem WWW
Integracja różnych typów transmisji w jednej sieci (VLAN, SSID): Integracja transmisji
danych i głosu
Obsługa QoS z użyciem „Voice Flow Classification”
Obsługa SIP, Spectralink SVP, CISCO SCCP, Vocera ALGs
Kolejkowanie w powietrzu z użyciem QoS (strict priority queing for over-the-air QoS)
Obsługa Diffserv marking i 802.1p dla QoS
Szybki roaming dla obsługi bezprzewodowych połączeń VoIP
„Per-user and per-role rate limits – bandwidth controls”
Kontrola punktów dostępowych (Adaptive Radio Managment -ARM):
o Automatyczne ustalanie kanału i mocy promieniowania kontrolowanych punktów
dostępowych (AP)
o Stałe monitorowanie pasm radiowych i serwisów Użytkowników
o „Self-healing coverage based on dynamic RF conditions”
o „Dense deployment options for capacity optimalization”
o AP load-balancing w oparciu o liczbę Użytkowników
o AP load-balancing w oparciu o wysycenie łącza
o Optymalizowanie pokrycia terenu sygnałem i zapobieganie interferencjom
pomiędzy punktami dostępowymi
o Obsługa 802.11h
o Automatyczna lokalizacja i detekcja ‘active RFID tags”
o Wbudowane „XML based localization API” dla RFID aplikacji
o Detekcja Obcych (Rogue) AP i wbudowane oprogramowanie do wizualizacji
lokalizacji.
o Automatyczne klasyfikacja Obcych, interferujących i poprawnych AP
o „Over-the-air and over-the-wire AP containment”
o Wykrywanie i neutralizacja sieci Ad-hoc
o Detekcja „Windows client bridging” i „wireless bridge”
-
-
-
o Ochrona przed atakami DoS (Deny Of Service) na AP i stacje końcowe
o Detekcja stacji źle skonfigurowanych (misconfigured standlone stations and
contaiment)
o Możliwość w pewnym stopniu monitorowania 3rd party AP z punktu widzenia
wydajności i konfliktów (performance monitoring and troubleshooting)
o Możliwość tworzenia sygnatur nowych ataków (flexible attacks signature creation
for a New WLAN attacks)
o EAP handshake and sequence number analysis
o VALID AP impersonation detection
o Detekcja takich ataków jak: frame flood, fake AP, Airjack
o ASLEAP, death broadcast, null probe response detection
o Netstumbler-based network probe detection
Statefull Firewall o możliwościach i cechach:
o Obsługa trybu transparent
o Inspekcja pakietów powiązana z identyfikacja użytkowników lub portów (stateful
packet inspection tied to user indentity or ports)
o Reguły zależne od lokalizacji lub czasu (localization and time-of-day aware Policy
definition)
o IEEE801.11 awarness for WLAN firewalling
o Over-the-air Policy enforcement and stadion blacklisting
o Session mirroring and per-packet logs for forensic analysis
o Możliwość szczegółowego logowania (detailed firewall logs for usage auditing)
o Zgodność z ICSA corporate firewall 4.1
o Application Layer Gateway (ALG) support for FTP, TFTP
o Opcjonalny suport Application Layer Gateway (ALG) for SIP, SCCP, RTSP,
Vocera, PPTP – po zakupie w przyszłości odpowiedniej licencji
o Source and destination NAT
o Dedicated flow processing hardware for high processing
o Detekcja i obrona przed atakami DoS TCP, ICMP
o Policy-based forwarding into GRE tunnels for guest traffic
o Zewnętrzny interfejs do integracji z rozwiązaniami bezpieczeństwa firm trzecich
(np. inline anti-virus, anti-spam, content filtering)
Opcjonalna obsługa sieci VPN możliwa w przyszłości po zakupie odpowiedniej licencji:
o Site-to-site VPN support
o VPN Server emulation for easy integration into WLAN
o Terminacja klientów L2TP/IPSEC VPN
o Obsługa tokenów RSA dla mobilnych klientów
o XUATH/IPSEC termination for 3rd party clients
o PPTP VPN Termination
o Obsługa serwerów RADIUS i LDAP dla autentykacji VPN
o Obsługa autentykacji typu: PAP CHAP, MS-CHAP i MS-CHAP2
o Szyfrowanie typu DES, 3DES, AES i MPPE realizowane poprzez dedykowane
układy scalone (hardware encryption).
Obsługa szyfrowania point-to-point xSec dla L2 VPN (licencja jak wyżej na 1024 sesje
xSec)
Przełączanie w warstwie L2 i L3 modelu OSI over-the-air – over-the-wire
Proxy mobile IP i Proxy DHCPS for L3 roaming
Wbudowany serwer DHCP oraz DHCP relay
Obsługa VRRP
Mechanizm redundancji kontrolerów
-
-
Obsługa 802.1D, 802.1q
Obsługa SNMPv2 i SNMPv3 dla zarządzania kontrolerami
Zarządzanie kontrolerami poprzez HTTP, HTTPs, CLI poprzez SSH, Telnet i port konsoli
Zgodność plików (wymienność) z analizatorami typu Ethereal, Airopeek i AirMagnet
Centralne zarządzanie AP wraz z tworzeniem i zarządzaniem obrazów konfiguracji,
oprogramowania
System składający sie z kontrolerów i punktów dostępowych musi mieć możliwość
rozbudowy o dodatkowy dedykowany sprzętowy system zarządzania rozszerzający
możliwości zarządzania wbudowane w kontrolery. System ten musi produktem tej samej
firmy, co pozostałe elementy (tj. kontrolery i punkty dostępowe)
Po zainstalowaniu AP muszą zostać dostrojone w celu zapewnienia optymalnego zasięgu i
eliminacji interferencji.
F) Licencja na zapewnienie usług głosowych – 1szt.
Zapewnienie funkcjonalności dla 128 punktów dostępowych:
o Wsparcie dla Call Admission Control
o Priorytetyzacja ruchu głosowego
o Voice-aware 802.1x
G) Oprogramowanie do zarządzanie siecią bezprzewodową
Wymagania ogólne dla systemu zarządzania rozwiązaniem sieci bezprzewodowej:
- Aplikacja umożliwiająca centralne zarządzanie rozwiązaniem sieci bezprzewodowej
składającej się z minimum 50 urządzeń (punktów dostępowych, kontrolerów)
- Monitorowanie w czasie rzeczywistym użytkowników, sesji i urządzeń z zaznaczeniem
wysycenia pasma, siły sygnału radiowego, QoS
- Przechowywanie logów z 2 lat
- Wykrywanie wrogich punktów dostępowych w sieci bezprzewodowej oraz przewodowej
oraz wskazanie prawdopodobnego miejsca wykrycia m.in. poprzez triangulację sygnału.
- Automatyzacja i dystrybucja wymiany wersji oprogramowania urządzeń
- Wizualizacja mapy pokrycia/zasięgu sygnału sieci bezprzewodowej
- Wizualizacja alertów i błędów wraz z możliwością dostosowywania parametrów progów i
parametrów wyzwalających
- Wsparcie dla sprzętu bezprzewodowego wielu producentów: Aruba, Avaya, AlcatelLucent, Cisco, Enterasys, Foundry, HP, Juniper, Lancom, Proxim.
- API programistyczne XML umożliwiające integrację z aplikacjami trzecimi
- Możliwość zapewnienia funkcjonalności failover one-to-many przy zastosowaniu
dodatkowych licencji
- Wykrywanie urządzeń przy pomocy protokołów: SNMP, HTTP, CDP.
- Czasowe sprawdzanie konfiguracji punktów dostępowych względem poprawności
zdefiniowanej polityki
- Umożliwia integrację z HP OpenView Network Node Manager
H) Oprogramowanie do zarządzanie siecią – 1 szt.
Wymagania ogólne dla systemu zarządzania siecią przewodową:
Dedykowana aplikacja producenta do zarządzania infrastrukturą transmisji danych
umożliwiająca podłączenie zdalnych administratorów
Wykrywanie urządzeń sieciowych przy wykorzystaniu protokołu SNMP
Wizualizacja mapy topologii sieci z uwzględnionymi połączeniami
Wizualizacja domen protokołu spanning-tree
Automatyzacja zarządzaniem sieciami VLAN na przestrzeni wielu przełączników
Lokator występowania błędów przy pomocy kryteriów systemu operacyjnego, ustawień
portu, lokalizacji, adresów IP/MAC oraz DNS
Automatyzacja backupowania i przywracania konfiguracji urządzeń
Automatyzacja wymiany na wielu urządzeniach wersji systemu operacyjnego
Aplikacja powinna umożliwiać rozszerzenie w przyszłości do dodatkowe funkcjonalności
przy pomocy licencji lub pakietów funkcjonalnych
I) Oprogramowanie RADIUS do autentykacji użytkowników – 1 szt.
Aplikacja dla uwierzytelniania użytkowników VLAN na przełącznikach producenta w
oparciu o protokół RADIUS
Aplikacja powinna umożliwiać instalacje na serwerze wyposażonym w system Microsoft
Windows Server lub SLES
Zarządzanie aplikacja musi odbywać się poprzez interfejs Web
Aplikacja powinna zostać dostarczona na fizycznym nośniku wraz z niezbędnymi
licencjami lub kluczami aktywacyjnymi
wsparcie producenta na okres 4 lat
Aplikacja powinna wspierać protokoły:
o EAP-TTLS/PEAP/TLS/FAST/LEAP/POTP/MD5
o PAP/CHAP
o MS-CHAP/v2
Pozwalać na stworzenie domyślnego profile dla użytkownika logującego się do sieci z
konkretnego klienta RADIUS
Umożliwiać wgląd w historię próśb uwierzytelniania i odpowiedzi
Umożliwiać śledzenie długości połączeń użytkowników
Wgląd w statystyki połączeń
J) Serwer przeznaczony dla oprogramowania zarządzającego – 1 szt.
W ramach dostawy należy dostarczyć serwer przeznaczony do instalacji oprogramowania
zarządzającego siecią przewodową, siecią bezprzewodową oraz serwera Radius.
Serwer musi być zgodny z posiadaną przez Zamawiającego infrastrukturą Blade SUN 6000 i
być dostarczony w postaci karty blade do w/w serwera.
Minimalna konfiguracja serwera:
1 Procesory
Klasy x86 z technologią czterordzeniową - Quad Core
Intel Xeon E5450 lub równoważny
2 Liczba procesorów w serwerze
2
Możliwość instalacji pamięci w co najmniej 16 slotach
DIMM pozwalające na rozbudowę do minimum 64GB.
4 Pamięć RAM
Zainstalowane co najmniej 16GB RAM PC2-5300, FBD
DDR2-667 z korekcją błędów ECC lub szybsze
Sterownik SAS obsługujący RAID 0, 1, 5 wyposażony w
5 Sterownik dysków wewnętrznych
256 MB pamięci cache
Możliwość instalacji co najmniej 3 dysków twardych.
6 Dyski twarde
Zainstalowane 2 dyski SAS minimum 72GB, 10k, typu
Hot-plug
7 Interfejsy sieciowe (LAN)
8 Wspierane systemy operacyjne
9 System operacyjny
2 Interfejsy sieciowe 1Gb
- Microsoft Windows Standard i Enterprise Edition 2003
dla architektury procesora x86 i x64,
- Microsoft Windows 2008 Server Standard i Enterprise
Edition dla architektury procesora x86 i x64
- Solaris 10
- Red Hat Enterprise Linux 4 lub 5,
- SUSE Linux Enterprise Server 9 lub 10
- Vmware ESX 3.5
Wraz z serwerem należy dostarczyć system operacyjny
zgodny z oferowanym oprogramowaniem
zarządzającym do sieci przewodowej, bezprzewodowej
oraz serwerem Radius
K) Serwer komunikacyjny - 1 szt.
Serwer komunikacyjny do komunikacji głosowej opartej o protokół IP o następujących
minimalnych parametrach:
Obudowa pozwalająca na zainstalowanie w typowej w szafie 19” wraz z kompletnym
patch panelem RJ45 dla strony stacyjnej (wszystkie elementy sprzętowe)
Terminale IP muszą komunikować bezpośrednio z CPU (Nie dopuszcza się użycia
systemów hybrydowych - połączenie centrali TDM z kartą / routerem do komunikacji
VoIP).
Serwer (CPU) powinien pracować w pełnej redundancji sprzętowej z dodatkowym
serwerem jako pełna duplikacja sprzętowa i programowa (tzw. gorąca rezerwa, która
gwarantuje bezprzerwową łączność przy uszkodzeniu CPU głównego). Serwer
powinien być oparty o typowy serwer sprzętowy instalowany w szafie 19” (tzw.
appliance serwer). Należy podać typ serwera bazowego.
Początkowa funkcjonalność i pojemność systemu:
łącze PRA DSS1 do sieci publicznej
1 szt
łącze E1 ABCF2 do sieci prywatnej
1 szt
łącze ISDN BRA do sieci publicznej
4 szt
analogowe linie wewnętrzne
4 szt
terminale IP z licencją i niezbędnym wyposażeniem do pracy:
terminal zaawansowany o następujących minimalnych parametrach: duży (min
240x320 pixeli) kolorowy wyświetlacz graficzny, możliwość wywoływania aplikacji
XML, głośnomówiący- full duplex, min 40 klawiszy (fizycznych lub dynamicznie
dostępnych z poziomu wyświetlacza) programowalnych ze wskaźnikiem optycznym (
ew. przystawka), minimum 8 klawiszy dowolnie programowalnych fizycznych, dostęp
do systemowej książki telefonicznej – wybieranie abonenta po nazwie, switch
10/100/1000 do podłączenia PC, wsparcie dla VLAN- 802.1-q, 802.1p i 802.1.x,
kompatybilność ze standardem zasilania 802.3af - maksymalny pobór mocy 7W,
bezprzewodowa słuchawka nagłowna ( odbieranie rozmowy za pomocą klawisza
słuchawki) - 5 szt
terminal średni o następujących minimalnych parametrach: duży wyświetlacz
graficzny, możliwość wywoływania aplikacji XML, głośnomówiący- full duplex, min
4 klawisze programowalne ze wskaźnikiem optycznym ( ew. przystawka), dostęp do
systemowej książki telefonicznej – wybieranie abonenta po nazwie, switch
10/100/1000 do podłączenia PC, wsparcie dla VLAN- 802.1-q i 802.1.x,
kompatybilność ze standardem zasilania 802.3af, gniazdo słuchawki nagłownej z
automatyczną detekcją - 5 szt
soft phone ( emulacja telefonu na ekranie PC) – możliwość wykorzystania jako
multimedialny PC, dostęp do systemowej książki telefonicznej (wybieranie po nazwie
przy połączeniu wychodzącym i identyfikacja nazwy/numeru przy połączeniu
przychodzącym ) za pomocą klawiatury PC, min 40 klawiszy programowalnych (
nadzór stanu linii innych abonentów ) , dostęp do poczty głosowej, wirtualny MAC
adres - 10 szt
terminal VoWLAN o następujących minimalnych parametrach – podświetlany ekran
graficzny, głośnomówiący, dostęp do systemowej książki telefonicznej ( wybieranie
po nazwie przy połączeniu wychodzącym i identyfikacja nazwy/numeru przy
połączeniu przychodzącym ) zgodność ze standardem częstotliwości a,b,g, wsparcie
dla szyfrowania WEB/WPA/WPA2, ładowarka i pokrowiec, możliwość podłączenia
słuchawki nagłownej – 10 szt
Stanowisko do administracji i taryfikacji z PC.
Realizacja na bazie dedykowanej aplikacji do zarządzania i taryfikacji
wyprodukowanej przez producenta rozwiązania telekomunikacyjnego. Aplikacja
musi być jednorodna, zintegrowana z systemem, modularna, oraz oferować obsługę
w języku polskim ( przynajmniej podstawowe elementy)
Łączenie między centralą, a systemem zarządzania i taryfikacji oraz musi być
realizowane za pomocą szyfrowanego połączenia IP
Niezbędna jest możliwość śledzenia/audytu zmian realizowanych przez
poszczególnych administratorów systemu zarządzania i taryfikacji
Administrowanie wszystkimi elementami systemu w czasie rzeczywistym, podczas
jednej sesji. Administracja wszystkimi abonentami (kreowanie, usuwanie,
wyświetlanie danych, modyfikacja uprawnień i danych itp.)
Wykorzystywanie gotowych lub tworzenie własnych wzorów raportów taryfikacji.
Możliwość automatycznego wysyłania raportów poprzez e-mail do odpowiednich
działów kosztowych.
aplikacja do graficznego nadzoru systemu w czasie rzeczywistym, sygnalizacja
graficzna anomalii w danym obiekcie np linii wewnętrznych, modułów, linków
połączeniowych, terminali
Możliwość ręcznego lub automatycznego importu/eksportu danych o zarządzanych
obiektach (np. wiązki miejskie, użytkownicy, kategorie uprawnień) do pliku
zewnętrznego, kompatybilnego z aplikacją Microsoft Excel
Należy przewidzieć szkolenie min 2 dni dla 2 osób.
Wymagana minimalna funkcjonalność systemu zawarta w cenie oferty:
1. Książka telefoniczna umożliwiająca wybieranie po nazwie lub inicjałach abonentów
wewnętrznych i zewnętrznych Pojemność min 30 000 abonentów. Przy połączeniach
przychodzących zamiana numeru na nazwę. Należy opisać sposób używania.
2. Połączenia zwrotne ( rezerwacja połączenia)
3. Zestawy sekretarsko – dyrektorskie
4. Intruzowanie ( wejście na trzeciego), ochrona przed intruzowaniem danego połączenia
5.Możliwość rozbudowy systemu do min 4000 abonentów IP, bez wymiany serwera
sterującego, aplikacji głównej i żadnego elementu systemu.
7. Możliwość rozbudowy o terminale bezprzewodowe DECT i radiobazy DECT tego samego
producenta, co system główny.
8. Możliwość inteligentnego kierowania ruchem wychodzącym w zależności od wybieranego
numeru ( oprogramowanie ARS/ LCR)
9. Poczta głosowa ( tego samego producenta, co serwer komunikacyjny), 8 portów
jednoczesnego dostępu, dostęp dla wszystkich użytkowników, nagranie bieżącej rozmowy
przez wszystkich abonentów terminali IP, VoWLAN, soft phone
10. Możliwość implementacji protokołu / sygnalizacji SIP, H323, QSIG1
11.System musi być wyposażony w elementy zdalnego dostępu pozwalające na zmianę
dowolnego parametru oraz zdalną diagnostykę.
12. Opcjonalnie - możliwość pełnej integracji terminali Palmtop (Windows Mobile),
Blackberry na poziomie terminala VoIP (dostęp do książki telefonicznej itp.).
L) Wsparcie techniczne dla urządzeń sieciowych płatne w każdym roku 2010 – 2012
Oferent musi zapewnić wsparcie techniczne, aktualizację oprogramowania i dostęp do bazy
wiedzy technicznej producenta na okres 3 lat dla wszystkich oferowanych urządzeń
sieciowych i oprogramowania. Czas usunięcia awarii urządzeń sieciowych wynosi do
24 godzin od momentu zgłoszenia.
Wymagania funkcjonalne i formalne
Wszystkie urządzenia sieciowe muszą pochodzić od jednego producenta. Wszystkie moduły
światłowodowe muszą pochodzić od producenta urządzeń sieciowych lub być przez niego
certyfikowane. W przypadku zaoferowania modułów światłowodowych innych producentów
należy przedstawić certyfikację producenta urządzeń sieciowych o zgodności oferowanych
urządzeń sieciowych i modułów światłowodowych.
Wszystkie oferowane urządzenia muszą być objęte serwisem w standardzie 8x5xNBD, w
ramach serwisu należy zapewnić czas reakcji 4 godziny (przy czym jako czas reakcji
rozumiane jest zgłoszenie się inżyniera systemowego w siedzibie zamawiającego). Usunięcie
usterki musi nastąpić na następny dzień roboczy.