Szczegółowa Specyfikacja Techniczna: W niniejszym dokumencie
Transkrypt
Szczegółowa Specyfikacja Techniczna: W niniejszym dokumencie
Szczegółowa Specyfikacja Techniczna: W niniejszym dokumencie przedstawiono szczegółowe c z ę ś c i projektu - Starostwa Powiatowego w Świdwinie. wymagania dla W ramach niniejszego projektu należy dostarczyć i wdrożyć: I. Licencje istniejącego systemu firewall II. Kontroler sieci WLAN III. System autentykacji klasy NAC IV. Punkty sieci dostepowej WLAN V. Serwer systemu zarządzania siecią WLAN VI. Routery VPN VII.Radiolinie Dla zadania, w dalszej części dokumentu przedstawiono szczegółowe zakresy oraz określono min. wymagania techniczno - funkcjonalne dla każdego z systemów. Projekt dotyczy uruchomienia optymalnego sygnału sieci WLAN w następujących lokalizacjach: Załącznik nr 1 – plik XLS Licencje istniejącego systemu firewall 1. W ramach modernizacji ist n ie ją ce go systemu firewall Dell SonicWALL E5500 Dostawca dostarczy następujące licencje działające przez okres 2-ch lat od momentu uruchomienia: 1. Serwis filtrujacy zawartość witryn internetowych 2. System IPS 3. System Antispyware 4. System Antivirus 5. Oprogramowanie służące do analizy logów o funkcjonalności nie mniejszej niż: Wymagane jest dostarczenie dedykowanego oprogramowania (instalowanego na zewnętrznym serwerze) zapewniającego monitorowanie, rejestrację i graficzną (w postaci tabel i wykresów) prezentację danych przesłanych z urządzenia firewall dotyczących ruchu, oraz zagrożeń sieciowych. Niezbędne dane to średnia zajętość łącza w podziale na dni i godziny, wykorzystanie pasma przez każdego z użytkowników, informacje dotyczące przeglądanych witryn przez każdego z użytkowników sieci informatycznej, informacje dotyczące użytkowników łamiących zasady przeglądania witryn, informacje dot. ataków, detekcji intruzów, zagrożeń antywirusowych. Dane muszą mieć możliwość wydruku. Oprogramowanie winno posiadać funkcjonalność tworzenia raportów opartych o własne reguły z możliwością przechodzenia w wyznaczone obszary raportu i obrazowania ich w bardziej szczegółowy sposób. Kontroler sieci WLAN - WYMAGANIA OGÓLNE Kontroler sieci bezprzewodowej będzie umiejscowiony w serwerowni centralnej należącej do Starostwa powiatowego w Świdwinie. Dostawca dostarczy i uruchomi całość rozwiązania zgodnie z wymaganiami technicznymi. Dostawca będzie posiadał dwie osoby przeszkolone przez producenta z zakresu uruchomienia rozwiązania WYMAGANIA TECHNICZNE - Kontroler sieci WLAN Architektura 1. Kontroler sieci bezprzewodowej w momencie dostawy musi obsługiwać minimum 25 punktów dostępowych. Kontroler musi umożliwiać docelową rozbudowę do minimum 200 punktów dostępowych. 2. Kontroler musi obsługiwać jednocześnie różne mechanizmy przekazywania danych, w tym tunelowanie ruchu z AP do kontrolera i lokalnego terminowania do sieci przewodowej na poziomie AP. 3. Różne mechanizmy przekazywania danych muszą być dostępne do skonfigurowania w obrębie tego samego kontrolera, per SSID. Captive Portal 4. Przekierowanie użytkowników określonych SSID do strony logowania (z możliwością personalizacji strony) 5. Musi posiadać zintegrowany (w kontrolerze), logicznie wydzielony portal dostępowy (Captive Portal), dowolnie konfigurowany przez administratora, z wykorzystaniem wbudowanych narzędzi edycyjnych 6. Dostęp gościnny poprzez Captive Portal musi umożliwiać logowanie do sieci WLAN z wykorzystaniem autentykacji 802.1x 7. Dostęp gościnny poprzez Captive Portal musi umożliwiać logowanie do sieci WLAN poprzez otrzymanie zezwolenia od uprawnionych użytkowników lub administratora. 8. Możliwość kreowania użytkowników za pomocą dedykowanego portalu WWW (działającego na kontrolerze) z określeniem czasu ważności konta 9. Captive Portal musi dawać dostęp Gościom do zasobów sieci Internet w dedykowanym VLAN-nie (Sieć Gości), nie dopuszczając Gości do zasobów wewnętrznych Zamawiającego (Intranet). 10. Możliwość kreowania różnych polityk bezpieczeństwa w ramach pojedynczego SSID 11. Możliwość profilowania użytkowników: a) przydział sieci VLAN b) przydział list kontroli dostępu (ACL) 12. Obsługa mechanizmów QoS a) 802.1p, b) ograniczanie pasma per użytkownik Bezpieczeństwo 13. Musi obsługiwać przypisywanie indywidualnych parametrów obsługi ruchu poszczególnym użytkownikom (QoS, ACL), bez konieczności segmentacji przez dedykowane SSID (w ramach pojedynczego SSID). 14. Musi obsługiwać IP QoS w środowisku przewodowym i bezprzewodowym. Rozróżnianie pakietów musi być realizowane dla przychodzących i wychodzących pakietów z sieci bezprzewodowej, w oparciu o 802.1p 15. Automatyczna ochrona kryptograficzna (AES) ruchu pomiędzy AP 16. System musi obsługiwać kreowanie polityk bezpieczeństwa w obrębie jednego SSID, bez konieczności segmentacji przez dedykowane SSID. Rozwiązanie powinno w tej sposób zmniejszyć konieczność uruchomienia wielu SSID do realizowania różnych funkcjonalności, minimalizacja utylizacji pasma radiowego (parametr CU) 17. Definiowanie polityk bezpieczeństwa (per SSID) z możliwością rozgłaszania lub ukrycia poszczególnych SSID Zarządzanie 18. Musi umożliwiać zarządzanie poprzez ssh, https, snmpv3 oraz dedykowaną aplikację do zarządzania. 19. Wraz z rozwiązaniem wymaga się dostarczenia rozwiązania do zarządzania i monitorowania kilkoma kontrolerami sieci WLAN – centralny interfejs graficzny 20. Optymalizacja wykorzystania pasma radiowego (ograniczanie wpływu zakłóceń, kontrola mocy, dobór kanałów, reakcja na zmiany). 21. W przypadku awarii punktu dostępowego, sąsiednie punkty dostępowe muszą rozszerzyć swój zasięg by wyeliminować niepokryte obszary, nawet w sytuacji, gdy punkt dostępowy nie może uzyskać dostępu do kontrolera. Wybór optymalnego kanału musi także być rekonfigurowany dynamicznie, bez interwencji użytkownika. 22. System zarządzania łącznością radiową RF Management musi dostosowywać się do nowych kanałów w oparciu o wartości stosunku sygnału do szumu (SNR) i zajętości kanału, które mogą być ustalane przez użytkownika. 23. Musi mieć możliwość zapewnienia równego czasu antenowego (Airtime) dla wszystkich klientów w środowiskach, w których wspólnie występują technologie 802.11ag oraz 802.11n. (rozwiązanie Airtime fairness, np. ClientLink lub równoważne). System zarządzania łącznością radiową – typu RRM (Radio Resource Management) - RF Management musi wspierać funkcje automatycznego wyboru kanału i automatycznej kontroli mocy emitowanego sygnału TPC (Transmit Power Control) oraz obsługa Dynamic Frequency Selection (DFS). 24. Kontroler musi zapewniać zarządzanie oparte o graficzny interfejs użytkownika, lokalny uruchomiony na kontrolerze WLAN. 25. Musi pozwalać nietechnicznym pracownikom na tworzenie tymczasowych kont gości i dystrybuowanie zezwoleń poprzez łatwy w użyciu graficzny interfejs użytkownika – dla celów captive Portal. Inne 26. System musi posiadać certyfikat 802.11n WiFi dla kompatybilności w sieciach WLAN. 27. Możliwość redundancji rozwiązania (N+1). 28. Kontroler powinien obsługiwać punkty dostępowe wspierające standard 802.11ac uwzględniając zwiększenie przepustowości sieci WLAN. 29. Kontroler WLAN powinien współpracować z punktami dostępowymi, zcentralizowanym systemem WLAN będącymi przedmiotem niniejszego postępowania. 30. System musi zostać dostarczony w postaci maszyny wirtualnej, pracującej pod platformą serwerową x86 z zainstalowanym VMWare Hypervisor ESXi4.x lub 5.x, instalacja z pakietu OVF. 31. Dopuszcza się rozwiązanie równorzędne, w postaci kontrolera sprzętowego. Gwarancja 32. 5-letnia gwarancja producenta (sprzęt i oprogramowania), wymiana na następny dzień roboczy, z dostępem do nowych funkcjonalności oraz nieodpłatnej aktualizacji oprogramowania. 2. System autentykacji klasy NAC - WYMAGANIA OGÓLNE System autentykacji klasy NAC będzie umiejscowiony w serwerowni centralnej należącej do Starostwa powiatowego w Świdwinie. Dostawca dostarczy i uruchomi całość rozwiązania zgodnie z wymaganiami technicznymi. Dostawca będzie posiadał dwie osoby przeszkolone przez producenta z zakresu uruchomienia rozwiązania WYMAGANIA TECHNICZNE - NAC Architektura System musi umożliwiać instalację rozproszoną na wielu serwerach fizycznych i/lub wirtualnych w celu zapewnienia wysokiej niezawodności i możliwości stopniowego zwiększania wydajności systemu. System musi umożliwiać uruchomienie wszystkich elementów funkcjonalnych na jednym fizycznym lub wirtualnym serwerze, Zamawiający dopuszcza rozwiązanie gdzie zarządzanie i monitorowanie systemu zostanie zainstalowane na dedykowanej do tego maszynie wirtualnej. W związku z istotnością systemu dla poprawnego funkcjonowania całej sieci system musi umożliwiać realizację wysokiej dostępności poszczególnych elementów funkcjonalnych typu 1:1 lub N+1. Musi zapewniać rozwiązanie NAC typu out-of-band, które może być zarządzane przez jedną centralną aplikację. Wszystkie urządzenia typu NAC Gateway powinny być zarządzane i monitorowane z jednej, centralnej konsoli. Musi być dostarczone jako maszyna wirtualna lub jako dedykowane rozwiązanie sprzętowe. Musi mieć możliwość pracy jako redundantne urządzenia wirtualne lub fizyczne w trybie wysokiej dostępności. System musi umożliwiać obsługę co najmniej 500 urządzeń równocześnie podłączonych do sieci bezprzewodowej WLAN. Licencja powinna zawierać wsparcie dla profilowania urządzeń, jeśli jest taka wymagana. Rozwiązanie powinno wspierać możliwość rozbudowy do min. 1500 sesji autoryzacyjnych poprzez dodanie do systemu odpowiednich licencji. System musi umożliwiać inkrementalny wzrost skalowalności do przynajmniej 1500 równocześnie obsługiwanych urządzeń bez potrzeby rozbudowy systemu o dodatkowe serwery fizyczne lub wirtualne. Należy dostarczyć rozwiązanie pracujące w trybie wysokiej dostępności składające się z dwóch bram dostępowych (NAC Gateway). Jeżeli w oferowanym systemie licencje są czasowe Zamawiający wymaga dostarczenia licencji na okres nie mniejszy niż 5 lat. W przypadku systemu pracującego w oparciu o środowisko wirtualne system powinien zostać dostarczony w postaci maszyny wirtualnej, pracującej pod platformą serwerową x86 z zainstalowanym VMWare Hypervisor ESXi 4.x lub 5.x, instalacja z pakietu OVF. Funkcjonalność System musi umożliwiać uwierzytelnienie użytkowników i urządzeń podłączanych do sieci bezprzewodowej WLAN z wykorzystaniem: a. standardu 802.1X b. adresu MAC urządzenia c. formularza webowego System musi umożliwiać tworzenie polityk autoryzacji (kontroli dostępu) 802.1X opartych o złożone i wielowarunkowe reguły. System powinien aktywne zapobiegać przed dostępem do sieci nieautoryzowanych użytkowników, zagrożonych punktów końcowych i innych niechronionych systemów. System powinien współpracować z rozwiązaniem Microsoft NAP (Network Access Protection). Musi zapewniać automatyczne wykrywanie punktów końcowych i śledzenie ich położenia poprzez identyfikowanie nowych adresów MAC i IP, nowych sesji uwierzytelniających (802.1X, wykorzystujące przeglądarkę internetową, Kerberos) Musi zapewniać możliwość powiadamiania poprzez Syslog oraz pocztę elektroniczną o sytuacjach krytycznych. System musi umożliwiać wysyłanie powiadomień mailowych z wykorzystaniem protokołu SMTP. System musi posiadać wewnętrzną bazę użytkowników. Baza musi umożliwiać wprowadzanie danych poprzez import danych, wprowadzanie danych przy pomocy interfejsu programistycznego RESTful API lub podobne. Rozwiązanie musi obsługiwać uwierzytelnianie RADIUS i/lub LDAP. Rozwiązanie musi obsługiwać lokalną autoryzację MAC. Profilowanie urządzeń System musi umożliwiać rozpoznawanie rodzaju urządzeń podłączonych do sieci bezprzewodowej WLAN poprzez analizę informacji pochodzących z co najmniej następujących źródeł: DHCP, HTTP, RADIUS, Network Scan (NMAP), DNS, SNMP. System musi umożliwiać dodawanie rozpoznanych urządzeń do grupy. System na podstawie rodzaju rozpoznanego urządzenia musi umożliwiać różnicowanie poziomu dostępu. Musi istnieć możliwość przyznania określonego dostępu na podstawie informacji o urządzeniu dla wszystkich 500 urządzeń. System musi rozpoznawać co najmniej następujące rodzaje urządzeń: a. urządzenia z systemem Android, b. Apple iPad, Apple iPhone, Apple iPod, c. drukarki, d. telefony IP, e. stacja robocza z systemem Microsoft Windows, f. stacja robocza z systemem MAC OS, g. stacja robocza z systemem Linux. Zarządzanie Systemem System musi posiadać graficzny interfejs zarządzania – zarządzanie poprzez przeglądarkę internetową lub dedykowaną aplikację. System musi umożliwiać uwierzytelnienie i autoryzację dostępu do interfejsu zarządzania w oparciu o wewnętrzną bazę użytkowników oraz zewnętrzne repozytorium użytkowników. System musi umożliwiać definiowanie zróżnicowanego poziomu dostępu do interfejsu zarządzania (ang. Role Based Access Control). System musi posiadać panel administracyjny, przedstawiający szczegółowy obraz stanu zabezpieczeń podłączonych lub próbujących się podłączyć systemów końcowych. Zarządzanie dostępem gościnnym System musi umożliwiać realizację dostępu gościnnego do sieci bezprzewodowej WLAN przy pomocy portalu webowego. Formularz musi obsługiwać, co najmniej następujące przeglądarki: Microsoft IE, Mozilla Firefox, Safari. Rozwiązanie musi posiadać funkcję portalu rejestracyjnego, aby zapewnić bezpieczne korzystanie z sieci przez gości. Możliwość sponsorowania dostępu takie jak sponsorowanie email wraz z portalem dla sponsorów służący do zatwierdzania rejestracji gości. System musi umożliwiać dopasowanie wyglądu portalu wybranym użytkownikom i portalu logowania gościnnego, w tym co najmniej zmianę logo strony logowania i zmianę koloru tła. Gwarancja 5-letnia gwarancja producenta (sprzęt i oprogramowania), wymiana na następny dzień roboczy, z dostępem do nowych funkcjonalności oraz nieodpłatnej aktualizacji oprogramowania. 3. Punkty sieci dostępowej WLAN - WYMAGANIA OGÓLNE 1. Zamawiający przewiduje punkty dostępowe typ 1 – wewnętrzny (in), wraz z koniecznym oprzyrządowaniem w ilości 16 szt. 2. Zamawiający przewiduje punkty dostępowe typ 2 – zewnętrzny (out), wraz z koniecznym oprzyrządowaniem w ilości 10 szt. 3. Zamawiający przewiduje punkty dostępowe typ 3 – montaż na słupach, wraz z koniecznym oprzyrządowaniem w ilości 4 szt. 4. Dostawca zaprojektuje i przedstawi ilościowe dopasowanie punktów AP przed przystąpieniem do realizacji projektu w lokalizacjach. Ilości cząstkowe dotyczące lokalizacji muszą sumarycznie pokrywać się z założeniami postępowania 5. Dostawca dostarczy i uruchomi całość rozwiązania zgodnie z wymaganiami technicznymi. 6. Dostawca będzie posiadał dwie osoby przeszkolone przez producenta z zakresu uruchomienia rozwiązania WYMAGANIA TECHNICZNE - AP typ 1 – wewnętrzny (in) Architektura 1. Praca w oparciu o kontroler, nie jest wymagana praca w trybie autonomicznym 2. Musi obsługiwać równolegle dwa pasma częstotliwości 802.11a/n (5 GHz) i 802.11b/g/n (2.4 GHz). 3. lub Musi obsługiwać technologię 802.11n i pracować w technice transmisji wieloantenowej MIMO – minimalnie 2x2 MIMO przy zasilaniu przez jedno źródło zgodne ze standardem IEEE 802.3at lub 802.3af, z użyciem zasilacza zewnętrznego, bez wpływu na działanie kluczowych funkcji i wydajność. 4. Obsługa mobilności (roamingu) użytkowników (w ramach i pomiędzy kontrolerami). Interfejsy fizyczne 5. Musi być wyposażony w 1 port 10/100/1000 BASE-T RJ-45 z technologią autosensing lub równoważny. Podstawowe funkcje 6. Musi obsługiwać do 16 SSID (8 na częstotliwość radiową). 7. Obsługa trybów pracy Split-MAC lub równoważne (tunelowanie ruchu klientów do kontrolera i centralne terminowanie do sieci LAN) oraz Local-MAC lub równoważne (lokalne terminowanie ruchu do sieci LAN). 8. Możliwość pracy po utracie połączenia z kontrolerem, z lokalnym przełączaniem ruchu do sieci LAN i lokalną autoryzacją użytkowników (lokalny serwer RADIUS, skrócona baza danych użytkowników na poziomie AP) – przełączenie nie może powodować zerwania sesji użytkowników. Bezpieczeństwo 9. Musi zapewniać wsparcie dla protokołu: IEEE 802.1X z wykorzystaniem metod: EAP-Subscriber Identity Module, EAP-TLS, EAP-TTLS, and PEAP. 10. Musi zapewniać wsparcie dla protokołu: MAC address authentication przy wykorzystaniu lokalnych access-list lub przesyłanych z serwera RADIUS. 11. Musi zapewniać mechanizmy szyfrowania IEEE 802.11i, WPA2 oraz WPA, przy zastosowaniu algorytmów szyfracji: Advanced Encryption Standard (AES) oraz Temporal Key Integrity Protocol (TKIP). 12. Połączenie pomiędzy punktem dostępowym, a kontrolerem musi być szyfrowane przy pomocy technologii AES minimum 128 bit. 13. Musi obsługiwać suplikanta 802.1x, by chronić swoje połączenia przewodowe przed nieautoryzowanym dostępem innych urządzeń, zgodnie z protokołem CAPWAP RFC 5415. 14. Musi obsługiwać standardy uwierzytelniania i szyfrowania, w tym: WEP, WPA (TKIP), WPA2 (AES), 802.11i, 802.1x. 15. Musi mieć możliwość wdrożenia w konfiguracji kratowej, tworzącej bezprzewodowe, wzajemne połączenia pomiędzy poszczególnymi punktami dostępowymi. 16. Musi umożliwiać pracę w architekturze bezpieczeństwa opartej na politykach bezpieczeństwa, zapewniając zarządzanie tożsamością dostępu - funkcje uwierzytelniania, autoryzacji. 17. obsługa mechanizmów QoS - shaping/ ograniczanie ruchu do użytkownika, z możliwością konfiguracji per użytkownik. 18. System musi obsługiwać kreowanie polityk bezpieczeństwa w obrębie jednego SSID, bez konieczności segmentacji przez dedykowane SSID. Rozwiązanie powinno w tej sposób zmniejszyć konieczność uruchomienia wielu SSID do realizowania różnych funkcjonalności, minimalizacja utylizacji pasma radiowego (parametr CU). 19. Definiowanie polityk bezpieczeństwa (per SSID) z możliwością rozgłaszania lub ukrycia poszczególnych SSID. 20. Musi mieć możliwość zapewnienia równego czasu antenowego (Airtime) dla wszystkich klientów w środowisku 802.11n. (rozwiązanie Clientlink lub równoważne). 21. W przypadku awarii punktu dostępowego, sąsiednie punkty dostępowe muszą rozszerzyć swój zasięg by wyeliminować niepokryte obszary, nawet w sytuacji, gdy punkt dostępowy nie może uzyskać dostępu do kontrolera. Wybór optymalnego kanału musi także być rekonfigurowany dynamicznie i bez interwencji użytkownika. 22. Musi zapewniać rozproszone zarządzanie łącznością radiową RF (Radio Frequency) Management niezależne od kontrolera - poza tylko wstępną konfiguracją. Zarządzanie łącznością radiową RF Management musi dostosowywać się do nowych kanałów w oparciu o wartości stosunku sygnału do szumu (SNR) i zajętości kanału, które mogą być ustalane przez użytkownika. Gwarancja 23. Punkt dostępowym w momencie dostawy musi być objęty gwarancją producenta obejmującą wysyłkę następnego dnia roboczego, wsparcie techniczne przez email, telefon w wymiarze 8x5, na okres nie krótszy niż 5 lat. WYMAGANIA TECHNICZNE - AP typ 2 – zewnętrzny (out) Architektura 1. Praca w oparciu o kontroler, nie jest wymagana praca w trybie autonomicznym 2. Musi obsługiwać pasma częstotliwości 802.11a/b/g/n i 802.11ac. 3. Musi pracować w technice transmisji wieloantenowej MIMO – 3x3 MIMO przy zasilaniu przez jedno źródło zgodne ze standardem IEEE 802.3at lub 802.3af, z użyciem zasilacza zewnętrznego, bez wpływu na działanie kluczowych funkcji i wydajność. 4. Musi mieć możliwość zastosowania anten zewnętrznych różnych typów dopasowanych do potrzeb Klienta. 5. Obsługa mobilności (roamingu) użytkowników (w ramach i pomiędzy kontrolerami). Interfejsy fizyczne 6. Musi być wyposażony w 2 port 10/100/1000 BASE-T RJ-45 (Active/Active; Active/Passive) ze wsparciem dynamicznego LAG. Podstawowe funkcje 7. Musi obsługiwać do 16 SSID (8 na częstotliwość radiową). 8. Obsługa trybów pracy Split-MAC lub równoważne (tunelowanie ruchu klientów do kontrolera i centralne terminowanie do sieci LAN) oraz Local-MAC lub równoważne (lokalne terminowanie ruchu do sieci LAN). 9. Możliwość pracy po utracie połączenia z kontrolerem, z lokalnym przełączaniem ruchu do sieci LAN i lokalną autoryzacją użytkowników (lokalny serwer RADIUS, skrócona baza danych użytkowników na poziomie AP) – przełączenie nie może powodować zerwania sesji użytkowników. Bezpieczeństwo 10. Musi zapewniać wsparcie dla protokołu: IEEE 802.1X z wykorzystaniem metod: EAP-Subscriber Identity Module, EAP-TLS, EAP-TTLS, and PEAP. 11. Musi zapewniać wsparcie dla protokołu: MAC address authentication przy wykorzystaniu lokalnych access-list lub przesyłanych z serwera RADIUS. 12. Musi zapewniać mechanizmy szyfrowania IEEE 802.11i, WPA2 oraz WPA, przy zastosowaniu algorytmów szyfracji: Advanced Encryption Standard (AES) oraz Temporal Key Integrity Protocol (TKIP). 13. Połączenie pomiędzy punktem dostępowym, a kontrolerem musi być szyfrowane przy pomocy technologii AES minimum 128 bit. 14. Musi obsługiwać suplikanta 802.1x, by chronić swoje połączenia przewodowe przed nieautoryzowanym dostępem innych urządzeń, zgodnie z protokołem CAPWAP RFC 5415. 15. Musi obsługiwać standardy uwierzytelniania i szyfrowania, w tym: WEP, WPA (TKIP), WPA2 (AES), 802.11i, 802.1x. 16. Musi mieć możliwość wdrożenia w konfiguracji kratowej, tworzącej bezprzewodowe, wzajemne połączenia pomiędzy poszczególnymi punktami dostępowymi. 17. Musi umożliwiać pracę w architekturze bezpieczeństwa opartej na politykach bezpieczeństwa, zapewniając zarządzanie tożsamością dostępu - funkcje uwierzytelniania, autoryzacji. 18. obsługa mechanizmów QoS - shaping/ ograniczanie ruchu do użytkownika, z możliwością konfiguracji per użytkownik. 19. System musi obsługiwać kreowanie polityk bezpieczeństwa w obrębie jednego SSID, bez konieczności segmentacji przez dedykowane SSID. Rozwiązanie powinno w tej sposób zmniejszyć konieczność uruchomienia wielu SSID do realizowania różnych funkcjonalności, minimalizacja utylizacji pasma radiowego (parametr CU). 20. Definiowanie polityk bezpieczeństwa (per SSID) z możliwością rozgłaszania lub ukrycia poszczególnych SSID. 21. Musi mieć możliwość zapewnienia równego czasu antenowego (Airtime) dla wszystkich klientów w środowisku 802.11n. (rozwiązanie Clientlink lub równoważne). 22. W przypadku awarii punktu dostępowego, sąsiednie punkty dostępowe muszą rozszerzyć swój zasięg by wyeliminować niepokryte obszary, nawet w sytuacji, gdy punkt dostępowy nie może uzyskać dostępu do kontrolera. Wybór optymalnego kanału musi także być rekonfigurowany dynamicznie i bez interwencji użytkownika. 23. Musi zapewniać rozproszone zarządzanie łącznością radiową RF (Radio Frequency) Management niezależne od kontrolera - poza tylko wstępną konfiguracją. Zarządzanie łącznością radiową RF Management musi dostosowywać się do nowych kanałów w oparciu o wartości stosunku sygnału do szumu (SNR) i zajętości kanału, które mogą być ustalane przez użytkownika. 24. Punkt dostępowy musi być przystosowany do pracy w warunkach zewnętrznych w temperaturach od -40° C do +55° C oraz zapewniać stopień ochrony zgodny ze standardem IP67 Gwarancja 25. Punkt dostępowym w momencie dostawy musi być objęty gwarancją producenta obejmującą wysyłkę następnego dnia roboczego, wsparcie techniczne przez email, telefon w wymiarze 8x5, na okres nie krótszy niż 5 lat. WYMAGANIA TECHNICZNE - AP typ 3 – do instalacji na/w słupie monitoringu miejskiego Architektura 1. Musi obsługiwać pasma częstotliwości 802.11a/b/g/n 2. Musi mieć możliwość zastosowania anten zewnętrznych różnych typów dopasowanych do potrzeb Klienta. Interfejsy fizyczne 3. Musi być wyposażony w 1 port 10/100 BASE-T RJ-45 Bezpieczeństwo 4. Gwarancja 5. Punkt dostępowym w momencie dostawy musi być objęty gwarancją producenta obejmującą wysyłkę następnego dnia roboczego, wsparcie techniczne przez email, telefon w wymiarze 8x5, na okres nie krótszy niż 5 lat. 4. Musi umożliwiać pracę w zakresie temperatur -30 °C - 70°C Serwer systemu zarządzania siecią WLAN - WYMAGANIA OGÓLNE 1. Serwer zarządzania siecią WLAN będzie umiejscowiony w serwerowni centralnej należącej do Starostwa powiatowego w Świdwinie. 2. Dostawca dostarczy i uruchomi całość rozwiązania zgodnie z wymaganiami technicznymi. 3. Dostawca będzie posiadał dwie osoby przeszkolone przez producenta z zakresu uruchomienia rozwiązania Architektura 1. Musi zapewniać scentralizowane zarządzanie wszystkimi urządzeniami sieci WLAN będącymi przedmiotem postępowania. 2. Musi mieć możliwość instalacji, jako maszyna wirtualna, pracującej pod platformą serwerową x86 z zainstalowanym VMWare Hypervisor ESXi4.x lub 5.x, instalacja z pakietu OVF, lub jako dedykowana platforma sprzętowa. Funkcjonalność 3. Musi umożliwiać zbieranie statystyk co najmniej z wykorzystaniem SNMP lub RMON. 4. Musi udostępniać narzędzia automatycznej identyfikacji urządzeń instalowanych w sieci. 5. Musi udostępniać narzędzia graficznej prezentacji urządzeń sieciowych wraz z dynamiczną prezentacją zmiany stanu urządzenia. 6. Musi udostępniać narzędzia pozwalające na graficzną prezentację topologii sieci, konfigurację I monitoring sieci VLAN, uzyskanie informacji o drodze połączenia użytkownika (user tracking), Musi zapewnić narzędzie umożliwiające szybkie i łatwe określenie fizycznej lokalizacji systemów i użytkowników końcowych oraz miejsca ich podłączenia do sieci. 7. Musi udostępniać narzędzie umożliwiające zbieranie i zapisywanie informacji o parametrach pracy zainstalowanego sprzętu w okresie min. 1 miesiąca. 8. Musi udostępniać wbudowane narzędzie do przeprowadzenia inwentaryzacji komponentów używanych w sieci w tym sprzętu i oprogramowania systemowego urządzeń sieciowych, Musi umożliwiać śledzenie atrybutów urządzeń zainstalowanych w sieci, takich jak numer seryjny, etykieta zasobu, wersja oprogramowania firmware. 9. Musi udostępniać narzędzie dla automatyzacji uaktualniania oprogramowania i zmian konfiguracyjnych w urządzeniach sieciowych. 10. Musi zapewniać narzędzie do zarządzania na poziomie systemowym - umożliwiające implementacje dowolnej funkcjonalności wynikającej z karty katalogowej zarządzanego urządzenia. 11. Musi zapewniać kompleksowe wsparcie zdalnego zarządzania dla wszystkich proponowanych urządzeń sieciowych, jak również wszystkich urządzeń zarządzanych przez SNMP. 12. Graficzne planowanie i zarządzenie siecią Wireless LAN (mapy lokalizacji, mapy zasięgu) z wykorzystaniem własnych planów budynków. 13. Monitorowanie informacji takich jak: poziom szumu, poziom sygnału, interferencje sygnału pochodzących z punktów dostępowych. 14. Raportowanie i statystyka min: wydajności urządzeń, obciążenia sieci, alarmy pochodzące z urządzeń. 15. Lokalizacja urządzeń radiowych (punktów dostępowych, klientów) na żądanie z prezentacją graficzną; możliwość śledzenia i przechowywanie informacji historycznych dla jednego klienta końcowego (rozwiązanie Mobility Service Engine lub równoważne). 16. Zarządzanie wersjami oprogramowania urządzeń. 17. Musi zapewniać narzędzie do prezentacji mapy pokrycia sygnałem sieci WLAN, z możliwością rozmieszczenia zainstalowanych punktów dostępowych, definiowania grubości i tłumienności elementów budynku, wykorzystując do tego rzuty pionowe budynku. 18. Musi w pełni współpracować z zaproponowanym rozwiązaniem kontrolera sieci bezprzewodowej będącym przedmiotem niniejszego postępowania. Bezpieczeństwo 19. Musi obsługiwać uwierzytelnianie RADIUS i LDAP dla użytkowników aplikacji. 20. Musi współpracować z istniejącymi w sieci metodami uwierzytelniania, w szczególności obsługiwać uwierzytelnianie oparte o 802.1X oraz MAC. Zarządzanie 21. Musi pozwalać użytkownikowi na generowanie w tle zaplanowanych zdarzeń i zadań oraz planowanie terminu ich wykonania. 22. Musi umożliwiać prezentowanie szczegółowych informacji konfiguracyjnych, w tym datę i godzinę zapisów konfiguracji, wersję oprogramowania firmware. 23. Musi posiadać możliwość pobierania oprogramowania firmware do jednego urządzenia z poziomu systemu zarządzania. 24. Musi posiadać zdolność do przeprowadzania zaplanowanych, rutynowych kopii zapasowych konfiguracji urządzeń. 25. Musi zapewniać interfejs sieci Web zawierający narzędzia do raportowania, monitorowania, rozwiązywania problemów i panele zarządzania. 26. Zarządzanie urządzeniem przez protokół HTTP lub HTTPS. 27. Współpraca z serwerami czasu (NTP), serwerami autoryzacyjnymi. 28. Hierarchizacja zarządzania – możliwość określenia domen administracyjnych dla poszczególnych użytkowników. 29. Możliwość synchronizacji między systemami redundantnymi. Gwarancja 30. 5-letnia gwarancja producenta (sprzęt i oprogramowania), wymiana na następny dzień roboczy, z dostępem do nowych funkcjonalności oraz nieodpłatnej aktualizacji oprogramowania. 5. Routery VPN - WYMAGANIA OGÓLNE Dostawca zaplanuje I zaprojektuje dostawę urządzeń zapewniających połączenia pomiędzy lokalizacjami. Urządzenia powinny być dostarczone w taki sposób, aby zapewnić szyfrowane połączenie AES 128/256bit z centralną serwerownią Starostwa powiatowego w Świdwnie, umiejscowioną w Miejskiej Energetyce Cieplnej, ul. Słowiańska 9 – 78-300 Świdwin. 7. Radiolinie - wymagania minimalne Zamawiający przewiduje radiolinie, wraz z koniecznym oprzyrządowaniem w ilości 10 kompletów, które zainstalowane będą między główną serwerownią a lokalizacjami hot – spot w mieście Świdwin. Dodatkowo 2 radiolinie połączą serwerownie zlokalizowane na terenie miasta Świdwin. Pamięć: 64MB SDRAM, 8MB Flash Zakres częstotliwości: 3.3-3.8GHz Antena: Zintegrowana antena Dual-Polarity Zysk: 20 dBi Port: Ethernet 10/100 BASE-TX (kat. 5, RJ-45) Zasilanie: 24V, 1A PoE, w zestawie Maksymalny pobór mocy: 8 W Wymiary: 400/500x 400/450 x 30/50mm Waga: 3.5/4kg Materiał: Plastik odporny na promieniowanie słoneczne Temperatura pracy: -30C to +80C Max VSWR: 1.5:1 8. Komputery do PIAP - wymagania minimalne Zestawy typu all-in-one z systemem operacyjnym i oprogramowaniem biurowym, posiadające 5 letnią gwarancję.