Wymagania dla dostaw do Jednostek

Transkrypt

1 Załącznik nr 13 do Opisu przedmiotu zamówienia Wymagania dla dostaw do Jednostek 1. Zasady dotyczące wymagań/specyfikacji dla urządzeń teleinformatycznych O ile inaczej nie zaznaczono, wszelkie zapisy parametrów infrastruktury należy odczytywać, jako parametry minimalne, np. zapis: 2 interfejsy Gigabit Ethernet 10/100/1000 oznacza, że Zamawiający dopuszcza urządzenie posiadające dwa i więcej interfejsów Gigabit Ethernet 10/100/1000 (czytaj: co najmniej 2 interfejsy Gigabit Ethernet 10/100/1000). 2. Ogólne wymagania techniczne Wszystkie oferowane urządzenia i ich komponenty muszą być: 1) rozwiązaniami standardowymi, dostępnymi na rynku, wzajemnie kompatybilnymi i wspieranymi przez producentów; 2) rozwiązaniami modułowymi i skalowalnymi, zapewniającymi możliwość prostej rozbudowy wydajności i funkcjonalności poprzez dodawanie kolejnych urządzeń; 3) zarządzane przez spójny zestaw narzędzi gwarantujących bieżące monitorowanie pracy oraz wydajność rozwiązania; 4) zgodne ze standardem sieci energetycznej dostępnej w Polsce, tj.: 230 V ± 10%, 50 Hz; 5) oznakowane przez producenta w sposób jednoznacznie identyfikujący model, typ i numery seryjne urządzenia oraz jego komponentów podlegających rozbudowie i/lub wymianie; 6) objęte gwarancją i serwisem producenta na okres wskazany w ofercie Wykonawcy; 7) dostarczone wraz z kompletem nośników umożliwiających odtworzenie oprogramowania zainstalowanego w urządzeniu, a także standardową dokumentacją w formie papierowej lub elektronicznej; 8) fabrycznie nowe, wyprodukowane zgodnie z normą jakości ISO 9001:2000 lub równoważną i pochodzić z autoryzowanego kanału sprzedaży na terenie Unii Europejskiej, z gwarancją wydaną przez producenta i świadczoną przez jego autoryzowaną sieć serwisową na terenie Polski. 1

2 Urządzenia infrastruktury teleinformatycznej instalowane w PSZ Urządzenia infrastruktury teleinformatycznej PSZ muszą być dostosowane do następujących parametrów charakteryzujących Jednostki: 1) wielkości Jednostki; 2) zakresu usług elementów SI PSZ uruchomionych na infrastrukturze. Zgodnie z metodą określoną w rozdz. 8.1 OPZ, Zamawiający określa modele obrazujące wielkość Jednostek wyrażoną liczbą Użytkowników korzystających z SI PSZ, przy czym dla modelu D Zamawiający nie określa górnego limitu Użytkowników. Tabela nr 1: modele jednostek na podstawie liczby użytkowników Wielkość Jednostek Nazwa modelu Minimalna liczba Użytkowników Jednostki Maksymalna liczba Użytkowników Jednostki UP-A - 30 UP-B UP-C UP-D 91 - Urządzenia teleinformatyczne muszą mieć fizyczną rezerwę związaną z przyrostem użytkowników w zakresie 10 % [dotyczy modeli UP-A, UP-B o UP-C]. Powyższy warunek oznacza, że zwiększenie liczby pracowników w ww. jednostkach w zakresie nieprzekraczającym 10 % odpowiednio określonej maksymalnej liczby użytkowników jednostki nie może powodować konieczności rozbudowy/wymiany urządzenia. Zamawiający określa, że wszystkie urządzenia sieci WAN instalowane w Jednostkach muszą umożliwiać poprawne funkcjonowanie wszystkich usług systemu informacyjnego publicznych służb zatrudnienia z wyłączeniem (1) telefonii IP, (2) video-rozmów i (3) video-konferencji urządzenia określone w załączniku jako (UP-A1, UP-B1, UP-C1 oraz UP-D1). Zamawiający wymaga, aby Wykonawca dostarczył urządzenia typu UP-A2 oraz UP-B2 w celu realizacji wdrożenia pilotażowego modelowego rozwiązania infrastrukturalnego. Powyższe urządzenia muszą posiadać funkcjonalności pozwalające na wdrożenie telefonii IP w zakresie określonym w rozdz. 7.2 OPZ. 1. Urządzenie dla Jednostki UP-A1 (A) Wyposażenie 1) router modularny wyposażony w 2 interfejsy Gigabit Ethernet 10/100/1000 dla realizacji połączenia do sieci LAN; 2) 256 MB pamięci Flash; możliwość rozbudowy do 8GB; 3) 512 MB pamięci RAM; możliwość rozbudowy do 2GB; 2

3 4) 2 porty USB; porty muszą pozwalać na podłączenie zewnętrznych pamięci FLASH w celu przechowywania obrazów systemu operacyjnego, plików konfiguracyjnych lub certyfikatów elektronicznych; 5) port USB pozwalający na wykorzystanie jako konsoli szeregowej; 6) kable pozwalające na podłączenie konsoli zarówno przez USB, jak i przez port szeregowy. (B) Architektura 1) urządzenie modularne posiadające możliwość instalacji 7 modułów ogólnego przeznaczenia do dowolnego wykorzystania lub modułów posiadających następujące funkcje: a) 4 modułów sieciowych z interfejsami, b) 1 wewnętrznego modułu usługowego, c) 2 modułów z układami DSP - moduły DSP powinny mieć możliwość wyłączenia w celu oszczędzania energii elektrycznej; 2) sloty urządzenia przewidziane pod rozbudowę o moduł z układami DSP muszą mieć możliwość obsadzenia modułami: a) pozwalającymi na dynamiczne alokowanie DSP do różnych zadań (obsługa interfejsów głosowych, trancoding, conferencing), b) o gęstości 128 kanałów, c) posiadającymi wsparcie dla usług video, d) obsługującymi kodeki: G.711, ClearChannel, G.729a, G.729ab, G.726, G.722, G.728, G.729, G.729b, Internet Low Bit, funkcjonalność Fax Relay, funkcjonalność Modem Relay, e) obsługującymi funkcjonalność transkodowania pomiędzy różnymi typami kodeków, f) obsługującymi funkcjonalność konferencji głosowych (parametry: 6 konferencji po 64 uczestników; 66 konferencji po 8 uczestników), g) obsługującymi kompresję, wykrywanie aktywności głosowej, zarządzenie jitterem i funkcje kasowanie echa (128 ms), funkcja kasowania echa musi być zgodna ze standardem ITU-T G.168, h) obsługującymi szyfrowanie transmisji głosu z wykorzystaniem SRTP; 3) wewnętrzny sprzętowy moduł akceleracji szyfrowania DES/3DES/AES; 3

4 4) możliwość skonfigurowania bezpośredniej komunikacji pomiędzy wybranymi modułami usługowymi z pominięciem głównego procesora; 5) wszystkie interfejsy muszą być aktywne; nie dopuszcza się stosowania kart, w których dla aktywacji interfejsów potrzebne będą dodatkowe licencje lub klucze aktywacyjne i konieczne wniesienie opłat licencyjnych, np. niedopuszczalne jest stosowanie karty 4 portowej, gdzie aktywne są 2 porty; 6) sloty urządzenia przewidziane pod rozbudowę o dodatkowy moduł usługowy muszą mieć możliwość obsadzenia modułami: a) z portami szeregowymi o gęstości 4 porty na moduł, b) z interfejsem ISDN BRI (styk S/T) o gęstości 8 portów na moduł, c) z przełącznikiem Ethernet o gęstości co najmniej 16 portów na moduł, d) contentengine, e) Intrusion Detection System, f) analizatora sieciowego; 7) sloty urządzenia przewidziane pod rozbudowę o dodatkową kartą sieciową muszą mieć możliwość obsadzenia kartami: a) z portami szeregowymi o gęstości 2 portów na moduł; b) ze zintegrowanym modemem ADSL o gęstości 1 port na moduł; c) ze zintegrowanym modemem SHDSL o gęstości 1 port na moduł; d) z interfejsem ISDN BRI (styk S/T) o gęstości 1 port na moduł; e) z przełącznikiem Ethernet o gęstości 4 portów na moduł; 8) sloty urządzenia przewidziane pod rozbudowę o moduł z układami DSP muszą mieć możliwość obsadzenia modułami: a) o gęstości 128 kanałów, b) pozwalającymi na dynamiczne alokowanie DSP do różnych zadań (obsługa interfejsów głosowych, transcoding, conferencing), c) posiadających wsparcie dla usług video; 9) oczekiwana wydajność proponowanego rozwiązania z włączonymi usługami: 25Mbit/s; 10) urządzenie musi oferować dla pakietów o długości 64 bajtów wydajność pps/169Mbps; 11) sloty urządzenia przewidziane pod rozbudowę o dodatkowy moduł usługowy muszą mieć możliwość obsadzenia modułami: a) z serwerem przeznaczonym do instalacji aplikacji dostarczonych przez producenta, b) optymalizatora ruchu sieciowego TCP/IP, c) Intrusion Prevention System (IPS), d) kontroli dostępu do sieci NAC/NAP, 4

5 e) kontrolera sieci bezprzewodowej, f) interfejsów głosowych cyfrowych (E1/T1 - również z interfejsem G703, BRI) oraz analogowych (FSX/FXO,E&M) dostępnych w wersji wyposażonej w interfejsy oraz z możliwością instalacji kart sieciowych definiujących typy interfejsów; musi być możliwość instalacji 1 modułu, g) poczty głosowej, h) interfejsów transmisji danych Channelized E1/T1, ISDN PRI; 8 dostępnych portów dla platformy. (C) Funkcjonalność 1) urządzenie musi posiadać możliwość rozbudowy o dodatkowe funkcjonalności bez konieczności instalacji nowego oprogramowania; 2) obsługa protokołów routingu IP BGPv4, OSPFv3, IS-IS, RIPv2, routingu multicastowego PIM (Sparse i Dense) oraz routingu statycznego; 3) protokół BGP musi posiadać obsługę 4 bajtowych ASN; 4) wsparcie dla funkcjonalności Policy Based Routing; 5) wsparcie dla mechanizmów związanych z obsługą ruchu multicast: IGMP v3, IGMP Snooping, PIMv1, PIMv2; 6) obsługa protokołu IGMPv3; 7) wsparcie dla protokołu DVMRP; 8) obsługa mechanizmu Unicast Reverse Path Forwarding (urpf); 9) obsługa tzw.routing między sieciami VLAN w oparciu o trunking 802.1Q; 10) obsługa IPv6 w tym ICMP dla IPv6; 11) obsługa list kontroli dostępu w oparciu o adresy IP źródłowe i docelowe, protokoły IP, porty TCP/UDP, opcje IP, flagi TCP, oraz o wartości TTL; 12) mechanizmy korelacji zdarzeń związanych z filtracją za pomocą list kontroli dostępu dla syslog, np. za pomocą etykiety przypisanej do określonego wpisu na listach kontroli dostępu lub skrót MD5 generowany przez router; 13) obsługa NAT dla ruchu IP unicast i multicast oraz PAT dla ruchu IP unicast; mechanizm NAT musi zapewniać wsparcie dla H.224/H.245; 14) wsparcie dla protokołów WCCP i WCCPv2; 15) obsługa 40 instancji VRF; 16) obsługa wirtualnych instancji routingu (VRF); 17) możliwość wpisów w tablicach VRF (sumaryczna wartość dla wszystkich VRF); 18) obsługa mechanizmu DiffServ; 19) możliwość tworzenia klas ruchu oraz oznaczanie (Marking), klasyfikowanie i obsługa ruchu (Policing, Shaping) w oparciu o klasę ruchu; 20) obsługa mechanizmów kolejkowania ruchu: 5

6 a) z obsługą kolejki absolutnego priorytetu, b) ze statyczną alokacją pasma dla typu ruchu, c) WFQ; 21) obsługa mechanizmu WRED; 22) obsługa protokołu RSVP; 23) obsługa mechanizmu GenericTrafficShaping; 24) obsługa mechanizmu ograniczania pasma dla określonego typu ruchu; 25) obsługa protokołu GRE oraz mechanizm honorowania IP Precendence dla ruchu tunelowanego; 26) obsługa protokołu NTP; 27) obsługa DHCP w zakresie Client, Serwer; 28) obsługa tzw. First Hop Redundancy Protocol (np.: HSRP, GLBP, VRRP); 29) obsługa mechanizmów uwierzytelniania, autoryzacji i rozliczania (AAA) z wykorzystaniem protokołów RADIUS lub TACACS+; 30) możliwość rozbudowy o obsługę procesowania połączeń telefonii IP (funkcja serwera zestawiającego połączenia) dla maksymalnej liczby użytkowników przewidzianych dla danego typu jednostki (patrz wyżej: opis modeli jednostek); 31) możliwość rozbudowy o obsługę współpracy z centralnym systemem procesowania połączeń telefonii IP w celu przejęcia podstawowych funkcji telefonii do połączeń wewnętrznych oraz wyjścia na linie miejskie na czas awarii połączenia do systemu centralnego; funkcja ta musi być w stanie obsłużyć maksymalną liczbę użytkowników przewidzianych dla danego typu jednostki (patrz wyżej: opis modeli jednostek); 32) możliwość rozbudowy o obsługę automatyzacji konfiguracji ustawień QoS (w szczególności dla usług VoIP) w postaci automatycznego tworzenia wzorców konfiguracyjnych na potrzeby implementacji QoS; 33) możliwość rozbudowy o funkcjonalność sondy (nadajnik i odbiornik) do mierzenia parametrów ruchu dla protokołów IP oraz VoIP (pomiar jakości poprzez symulację kodeków VoIP i mierzenie parametrów opóźnienia tam i z powrotem (roundtrip), jitter i utraty pakietów); 34) możliwość realizacji funkcji bramy VoIP/PSTN z wykorzystaniem interfejsów PRI/BRI lub analogowych; brama musi mieć możliwość pracy w sposób niezależny lub sterowana przez system centralny procesowania połączeń; 35) możliwość pracy jako mostek do połączeń VoIP wielopunktowych; 36) możliwość instalacji modułów analogowych lub ISDN BRI do połączenia z centralą miejską lub PABX w budynku, w liczbie obliczanej dla następujących parametrów: a) liczba użytkowników maksymalna liczba użytkowników jednostki, b) średni czas rozmowy: 2 minuty, c) średni całkowity czas spędzony na rozmowach w ciągu dnia: 60 minut, 6

7 d) dzień roboczy: 8 godzin; 37) funkcja szyfrowania połączeń z wykorzystaniem algorytmów DES/3DES; 38) możliwość konfiguracji tuneli IPv4 IPSec VPN w oparciu o protokół IKEv2 (Internet Key Exchange v2) dla następujących rozwiązań: a) DMVPN lub równoważnego, b) IPSec static VTI (svti) lub równoważnego, c) IPSec dynamic VTI (dvti) lub równoważnego, d) dostępu zdalnego VPN (RA) dla systemu operacyjnego Microsoft Windows 7; 39) technologia umożliwiająca szyfrowanie IPSec ruchu unicast IPv4 bez konieczności tworzenia tuneli, z wykorzystaniem z użyciem protokołu Group Domain of Interpretation (GDOI) zdefiniowanego w RFC 3547, w tym: a) mechanizm pasywnego IPSec SA, w którym urządzenie akceptuje zaszyfrowany i niezaszyfrowany ruch przychodzący, ale wysyła zawsze ruch zaszyfrowany, b) mechanizm fail-close, w którym urządzenie nie wysyła ruchu, w sytuacji kiedy miałby on pozostać niezaszyfrowany w przypadku kiedy urządzenie jest niezarejestrowane w sieci VPN, c) mechanizm współdzielenia kluczy przez redundantne serwery kluczy, d) mechanizm zmiany podstawowego serwera kluczy (Key Server) w scenariuszu z wysoką dostępnością serwerów kluczy; 40) funkcja zapory sieciowej z analizą stanów połączenia (tzw. statefull firewall); 41) funkcjonalność ściany ogniowej dla protokołu IPv4 i IPv6 opartej o definicję stref bezpieczeństwa (zone-based firewall); 42) możliwość elastycznej definicji scenariuszy przesyłu IPv4 i IPv6 pomiędzy różnymi strefami, w tym: a) przesyłu, który jest poddawany inspekcji, b) przesyłu, który jest odrzucany, c) przesyłu, który jest przenoszony bez inspekcji; 43) możliwość rozbudowy o funkcję zapobiegania włamaniom sieciowym (tzw. intrusion prevention); 44) możliwość inspekcji protokołu sygnalizacyjnego Registration, Admission and Status (H.323 RAS); 45) możliwość inspekcji protokołu H.323 v3, v4, Annex E, Annex G i Annex D, w tym H.323 v3 i v4 fax i call transfer; 46) możliwość inspekcji protokołu Session Initiation Protocol (SIP), w tym: a) ochronę przed realizacją nieuprawnionych połączeń, b) przejęciem połączenia (call-hijacking), c) atakami typu DoS na protokół SIP, 7

8 d) wsparcie obejmuje ruch przechodzący i generowany lokalnie przez urządzenie; 47) wsparcie dla klasyfikacji, filtrowania i logowania pakietów IPv4 na podstawie konfigurowalnych wzorców bitowych o długości nie mniejszej niż 256 bajtów w nagłówku i polu danych pakietu; 48) ochrona centralnego procesora urządzenia (CPU) przed atakiem Denial of Service (DoS) poprzez możliwość klasyfikowania i limitowania ruchu docierającego do CPU; 49) możliwość logowania pakietów przekraczających skonfigurowane limity ruchu docierającego do CPU; 50) możliwość wymuszenia reguł złożoności haseł tworzonych na urządzeniu, w tym: a) nowe hasło musi posiadać przynajmniej trzy z następujących: małe litery, wielkie litery, cyfry i znaki specjalne, b) nowe hasło nie może zawierać powtórzonego jednego znaku więcej niż 3 razy, c) nowe hasło nie może być takie samo jak nazwa użytkownika pisana małymi literami, wielkimi literami lub od pisana od końca, d) nowe hasło nie może zawierać nazwy producenta lub nazwy producenta pisanej od końca, e) reguły złożoności haseł mogą odnosić się do hasła użytkownika, współdzielonego klucza serwera RADIUS lub klucza serwera TACACS+; 51) wsparcie zaawansowane funkcjonalności 802.1x jako urządzenie dostępowe RADIUS (NAD - Network Access Devices), w tym: a) 802.1x Single-host mode - tryb uwierzytelniania 802.1x, w którym dozwolony jest jeden host per port, b) 802.1x Auth-Fail VLAN - możliwość przypisania określonego VLANu (Auth-Fail VLAN) stacji końcowej w sytuacji kiedy uwierzytelnienie 802.1x stacji na porcie zakończy się niepowodzeniem, c) 802.1x Authentication with ACL Assigments - możliwość pobrania z serwera RADIUS listy kontroli dostępu (ACL) oraz adresu URL dla przekierowania ruchu web ze stacji końcowej podczas uwierzytelnienia 802.1x, możliwość pobrania również listy kontroli dostępu (ACL) w trakcie uwierzytelniania web (web authentication), d) funkcjonalność autentykatora 802.1x pośredniczącego w uwierzytelnianiu urządzeń końcowych (802.1x Authenticator), e) utrzymywanie jednego 32-bitowego identyfikatora dla uwierzytelnianiej sesji (Common Session ID), niezależnie od zastosowanej metody uwierzytelniania stacji końcowej (802.1x, MAC Authencticaion Bypass, Web Authentication), f) funkcjonalność wysyłania wiadomości log (debug) dla określonego portu dla zdarzeń uwierzytelniania 802.1x w celu rozwiązywania problemów, g) 802.1x Flexible Authentication Ordering - możliwość elastycznej konfiguracji kolejności metod 802.1x użytych do uwierzytelnienia stacji, w tym uwierzytelnienia MAB (MAC Authentication Bypass), metod EAP dla 802.1x i uwierzytelnienia web (Web Authentication, WebAuth), 8

9 h) 802.1x Authentication with Guest VLAN - mechanizm 802.1x umożliwiający realizację dostępu gościnnego w dedykowanym VLANie (Guest VLAN) dla użytkowników gościnnych, i) 802.1x Multidomain Authentication - tryb uwierzytelniania 802.1x, w którym dozwolone jest jedno urządzenie telefonii IP w domenie głosowej (Voice VLAN) i jeden host w domenie danych (Data VLAN) na jednym porcie fizycznym, j) 802.1x Multiple Authentication (multiauth) mode - tryb uwierzytelniania 802.1x dozwalający wiele hostów na jednym porcie fizycznym, k) IEEE 802.1x Open Authentication - możliwość uzyskanie dostępu do sieci przez stację końcową bez konieczności uwierzytelnienia 802.1x, l) wiadomości RADIUS CoA (Reauth, Port Bounce) zdefiniowane w RFC 5176 otrzymywane z serwera RADIUS w celu zmiany profilu autoryzacji, w tym parametrów kontroli dostępu dla uwierzytelnionej stacji końcowej, m) 802.1x Authentication with Wake-on-LAN - współpraca mechanizmu 802.1x z urządzeniami używającymi mechanizmu Wake-on-LAN, n) 802.1x Authentication with VLAN Assignment - mechanizm przypisania VLANu w procesie uwierzytelnienia i kontroli dostępu 802.1x dla portów pracujących w trybie Multipleauthentication (MultiAuth), o) mechanizm 802.1x umożliwiający przypisanie stacji końcowej dedykowanego VLANu (Critical VLAN) w sytuacji, gdy serwer RADIUS jest niedostępny, p) Critical Voice VLAN - mechanizm 802.1x umożliwiający przypisanie urządzenia telefonii IP do dedykowanego VLANu (Critical Voice VLAN) w sytuacji, gdy serwer AAA jest niedostępny, q) 802.1x Supplicant and Authenticator Switches with Network Edge Access Topology (NEAT) - możliwość uwierzytelnienia urządzenia dostępowego do dystrybucyjnego jako stacji końcowej w celu zapobiegnięcia przed podłączeniem do sieci nieuprawnionego urządzenia, r) 802.1x Authentication with Per-User ACLs - mechanizm przypisania listy kontroli dostępu per użytkownik dla ruchu IP (ACL) w procesie uwierzytelnienia i kontroli dostępu 802.1x, s) 802.1x Authentication with MAC Authentication Bypass (MAB) - uwierzytelnienie stacji końcowych za pomocą adresu MAC znajdującego się w lokalnej bazie serwera RADIUS, niezależnie od skonfigurowanych innych metod uwierzytelniania na porcie; 52) możliwość rozbudowy do funkcjonalności optymalizatora ruchu sieciowego realizującego następujące funkcje (dostępna z poziomu systemu operacyjnego routera): a) kompresja ruchu z wykorzystaniem algorytmu kompresji danych (Lempel-Ziv lub analogicznego), b) zmniejszenie rozmiaru przesyłanych danych poprzez wysyłanie krótkich indeksów numerycznych zamiast powtarzających się bloków danych (Data Redundancy Elimination), c) optymalizacja algorytmu TCP (optymalizacja pracy algorytmu okien TCP), 9

10 d) funkcjonalność optymalizatora ruchu sieciowego o wydajności 6Mbit/s dla 150 połączeń TCP, e) funkcja optymalizatora współpracująca z centralnym systemem zarządzania optymalizatorami ruchu sieciowego oferującym centralny punkt konfiguracji, monitorowania w czasie rzeczywistym, zarządzania błędami i raportowania. (D) Zarządzanie i konfiguracja 1) zarządzanie za pomocą SNMPv3; 2) możliwość eksportu statystyk ruchowych za pomocą protokołu Neftflow/JFlow; 3) konfigurowanie za pomocą interfejsu linii poleceń CLI; 4) plik konfiguracyjny urządzenia (w szczególności plik konfiguracji parametrów routingu) musi pozwalać na edycję w trybie off-line, tzn. musi być możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym komputerze; po zapisaniu konfiguracji w pamięci nieulotnej powinno być możliwe uruchomienie urządzenia z nową konfiguracją; w pamięci nieulotnej musi być możliwość przechowywania dowolnej liczby plików konfiguracyjnych; zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się częściowych restartów urządzenia po dokonaniu zmian. (E) Obudowa 1) możliwość instalacji w standardowej szafie 19 ; zestaw do montażu w szafie rack i połączeń technicznych; 2) obudowa wykonana z metalu zoptymalizowana do instalacji w szafach rack, uwzględniająca również taki system prowadzenia i podłączania okablowania dla połączeń sieciowych, który zapewnia bezkolizyjną wymianę głównych modułów urządzenia (w tym: modułów liniowych, zasilaczy, wiatraków, modułów zarządzających). (F) Zasilanie 1) urządzenie musi mieć możliwość zasilania ze źródeł zmiennoprądowych 230V (zasilacza AC) oraz stałoprądowych (zasilacze DC); 2) urządzenie musi posiadać wbudowany zasilacz umożliwiający zasilanie prądem przemiennym 230V; 3) urządzenie musi umożliwiać doprowadzenie zasilania do portów Ethernet (tzw. inline-power) w modułach sieciowych dostępnych do urządzenia. 2. Urządzenie dla Jednostki UP-B1 (A) Wyposażenie 1) router modularny wyposażony w 3 interfejsy Gigabit Ethernet 10/100/1000 dla realizacji połączenia do sieci LAN; 2) 256 MB pamięci Flash; możliwość rozbudowy do 8GB; 3) 512 MB pamięci RAM; możliwość rozbudowy do 2GB; 10

11 4) 2 porty USB; porty muszą pozwalać na podłączenie zewnętrznych pamięci FLASH w celu przechowywania obrazów systemu operacyjnego, plików konfiguracyjnych lub certyfikatów elektronicznych; 5) port USB pozwalający na wykorzystanie jako konsoli szeregowej; 6) kable pozwalające na podłączenie konsoli zarówno przez USB, jak i przez port szeregowy. (B) Architektura 1) urządzenie modularne posiadające możliwość instalacji 8 modułów ogólnego przeznaczenia do dowolnego wykorzystania lub modułów posiadających następujące funkcje: a) 4 modułów sieciowych z interfejsami, b) 1 modułu usługowego, c) 1 wewnętrznego modułu usługowego, d) 2 modułów z układami DSP - moduły DSP powinny mieć możliwość wyłączenia w celu oszczędzania energii elektrycznej; 2) sloty urządzenia przewidziane pod rozbudowę o moduł z układami DSP muszą mieć możliwość obsadzenia modułami: a) pozwalającymi na dynamiczne alokowanie DSP do różnych zadań (obsługa interfejsów głosowych, trancoding, conferencing), b) o gęstości 128 kanałów, c) posiadającymi wsparcie dla usług video, d) obsługującymi kodeki: G.711, ClearChannel, G.729a, G.729ab, G.726, G.722, G.728, G.729, G.729b, Internet Low Bit, funkcjonalność Fax Relay, funkcjonalność Modem Relay, e) obsługującymi funkcjonalność transkodowania pomiędzy różnymi typami kodeków, f) obsługującymi funkcjonalność konferencji głosowych (parametry: 6 konferencji po 64 uczestników; 66 konferencji po 8 uczestników), g) obsługującymi kompresję, wykrywanie aktywności głosowej, zarządzenie jitterem i funkcje kasowanie echa (128 ms), funkcja kasowania echa musi być zgodna ze standardem ITU-T G.168, h) obsługującymi szyfrowanie transmisji głosu z wykorzystaniem SRTP; 11

12 3) wewnętrzny sprzętowy moduł akceleracji szyfrowania DES/3DES/AES; 4) możliwość skonfigurowania bezpośredniej komunikacji pomiędzy wybranymi modułami usługowymi z pominięciem głównego procesora; 5) wszystkie interfejsy muszą być aktywne; nie dopuszcza się stosowania kart, w których dla aktywacji interfejsów potrzebne będą dodatkowe licencje lub klucze aktywacyjne i konieczne wniesienie opłat licencyjnych, np. niedopuszczalne jest stosowanie karty 4 portowej, gdzie aktywne są 2 porty; 6) sloty urządzenia przewidziane pod rozbudowę o dodatkowy moduł usługowy muszą mieć możliwość obsadzenia modułami: a) z portami szeregowymi o gęstości 4 porty na moduł, b) z interfejsem ISDN BRI (styk S/T) o gęstości 8 portów na moduł, c) z przełącznikiem Ethernet o gęstości co najmniej 16 portów na moduł, d) contentengine, e) Intrusion Detection System, f) analizatora sieciowego; 7) sloty urządzenia przewidziane pod rozbudowę o dodatkową kartą sieciową muszą mieć możliwość obsadzenia kartami: a) z portami szeregowymi o gęstości 2 portów na moduł; b) ze zintegrowanym modemem ADSL o gęstości 1 port na moduł; c) ze zintegrowanym modemem SHDSL o gęstości 1 port na moduł; d) z interfejsem ISDN BRI (styk S/T) o gęstości 1 port na moduł; e) z przełącznikiem Ethernet o gęstości 4 portów na moduł; 8) sloty urządzenia przewidziane pod rozbudowę o moduł z układami DSP muszą mieć możliwość obsadzenia modułami: a) o gęstości 128 kanałów, b) pozwalającymi na dynamiczne alokowanie DSP do różnych zadań (obsługa interfejsów głosowych, transcoding, conferencing), c) posiadających wsparcie dla usług video; 9) oczekiwana wydajność proponowanego rozwiązania z włączonymi usługami: 35Mbit/s; 10) urządzenie musi oferować dla pakietów o długości 64 bajtów wydajność pps/245Mbps; 11) sloty urządzenia przewidziane pod rozbudowę o dodatkowy moduł usługowy muszą mieć możliwość obsadzenia modułami: a) z serwerem przeznaczonym do instalacji aplikacji dostarczonych przez producenta, b) optymalizatora ruchu sieciowego TCP/IP, c) Intrusion Prevention System (IPS), 12

13 d) kontroli dostępu do sieci NAC/NAP, e) przełącznika Ethernet (funkcje L2 i L3), 24 porty przełącznika dostępne z zasilaniem PoE, f) kontrolera sieci bezprzewodowej, g) interfejsów głosowych cyfrowych (E1/T1 - również z interfejsem G703, BRI) oraz analogowych (FSX/FXO,E&M) dostępnych w wersji wyposażonej w interfejsy oraz z możliwością instalacji kart sieciowych definiujących typy interfejsów; musi być możliwość instalacji 1 modułu, h) poczty głosowej, i) interfejsów transmisji danych Channelized E1/T1, ISDN PRI; 8 dostępnych portów dla platformy. (C) Funkcjonalność 1) urządzenie musi posiadać możliwość rozbudowy o dodatkowe funkcjonalności bez konieczności instalacji nowego oprogramowania; 2) obsługa protokołów routingu IP BGPv4, OSPFv3, IS-IS, RIPv2, routingu multicastowego PIM (Sparse i Dense) oraz routingu statycznego; 3) protokół BGP musi posiadać obsługę 4 bajtowych ASN; 4) wsparcie dla funkcjonalności Policy Based Routing; 5) wsparcie dla mechanizmów związanych z obsługą ruchu multicast: IGMP v3, IGMP Snooping, PIMv1, PIMv2; 6) obsługa protokołu IGMPv3; 7) wsparcie dla protokołu DVMRP; 8) obsługa mechanizmu Unicast Reverse Path Forwarding (urpf); 9) obsługa tzw.routing między sieciami VLAN w oparciu o trunking 802.1Q; 10) obsługa IPv6 w tym ICMP dla IPv6; 11) obsługa list kontroli dostępu w oparciu o adresy IP źródłowe i docelowe, protokoły IP, porty TCP/UDP, opcje IP, flagi TCP, oraz o wartości TTL; 12) mechanizmy korelacji zdarzeń związanych z filtracją za pomocą list kontroli dostępu dla syslog, np. za pomocą etykiety przypisanej do określonego wpisu na listach kontroli dostępu lub skrót MD5 generowany przez router; 13) obsługa NAT dla ruchu IP unicast i multicast oraz PAT dla ruchu IP unicast; mechanizm NAT musi zapewniać wsparcie dla H.224/H.245; 14) wsparcie dla protokołów WCCP i WCCPv2; 15) obsługa 40 instancji VRF; 16) obsługa wirtualnych instancji routingu (VRF); 17) możliwość wpisów w tablicach VRF (sumaryczna wartość dla wszystkich VRF); 18) obsługa mechanizmu DiffServ; 13

14 19) możliwość tworzenia klas ruchu oraz oznaczanie (Marking), klasyfikowanie i obsługa ruchu (Policing, Shaping) w oparciu o klasę ruchu; 20) obsługa mechanizmów kolejkowania ruchu: a) z obsługą kolejki absolutnego priorytetu, b) ze statyczną alokacją pasma dla typu ruchu, c) WFQ; 21) obsługa mechanizmu WRED; 22) obsługa protokołu RSVP; 23) obsługa mechanizmu GenericTrafficShaping; 24) obsługa mechanizmu ograniczania pasma dla określonego typu ruchu; 25) obsługa protokołu GRE oraz mechanizm honorowania IP Precendence dla ruchu tunelowanego; 26) obsługa protokołu NTP; 27) obsługa DHCP w zakresie Client, Serwer; 28) obsługa tzw. First Hop Redundancy Protocol (np.: HSRP, GLBP, VRRP); 29) obsługa mechanizmów uwierzytelniania, autoryzacji i rozliczania (AAA) z wykorzystaniem protokołów RADIUS lub TACACS+; 30) możliwość rozbudowy o obsługę procesowania połączeń telefonii IP (funkcja serwera zestawiającego połączenia) dla maksymalnej liczby użytkowników przewidzianych dla danego typu jednostki (patrz wyżej: opis modeli jednostek); 31) możliwość rozbudowy o obsługę współpracy z centralnym systemem procesowania połączeń telefonii IP w celu przejęcia podstawowych funkcji telefonii do połączeń wewnętrznych oraz wyjścia na linie miejskie na czas awarii połączenia do systemu centralnego; funkcja ta musi być w stanie obsłużyć maksymalną liczbę użytkowników przewidzianych dla danego typu jednostki (patrz wyżej: opis modeli jednostek); 32) możliwość rozbudowy o obsługę automatyzacji konfiguracji ustawień QoS (w szczególności dla usług VoIP) w postaci automatycznego tworzenia wzorców konfiguracyjnych na potrzeby implementacji QoS; 33) możliwość rozbudowy o funkcjonalność sondy (nadajnik i odbiornik) do mierzenia parametrów ruchu dla protokołów IP oraz VoIP (pomiar jakości poprzez symulację kodeków VoIP i mierzenie parametrów opóźnienia tam i z powrotem (roundtrip), jitter i utraty pakietów); 34) możliwość realizacji funkcji bramy VoIP/PSTN z wykorzystaniem interfejsów PRI/BRI lub analogowych; brama musi mieć możliwość pracy w sposób niezależny lub sterowana przez system centralny procesowania połączeń; 35) możliwość pracy jako mostek do połączeń VoIP wielopunktowych; 36) możliwość instalacji modułów analogowych lub ISDN BRI do połączenia z centralą miejską lub PABX w budynku, w liczbie obliczanej dla następujących parametrów: a) liczba użytkowników maksymalna liczba użytkowników jednostki, 14

15 b) średni czas rozmowy: 2 minuty, c) średni całkowity czas spędzony na rozmowach w ciągu dnia: 60 minut, d) dzień roboczy: 8 godzin; 37) funkcja szyfrowania połączeń z wykorzystaniem algorytmów DES/3DES; 38) możliwość konfiguracji tuneli IPv4 IPSec VPN w oparciu o protokół IKEv2 (Internet Key Exchange v2) dla następujących rozwiązań: a) DMVPN lub równoważnego, b) IPSec static VTI (svti) lub równoważnego, c) IPSec dynamic VTI (dvti) lub równoważnego, d) dostępu zdalnego VPN (RA) dla systemu operacyjnego Microsoft Windows 7; 39) technologia umożliwiająca szyfrowanie IPSec ruchu unicast IPv4 bez konieczności tworzenia tuneli, z wykorzystaniem z użyciem protokołu Group Domain of Interpretation (GDOI) zdefiniowanego w RFC 3547, w tym: a) mechanizm pasywnego IPSec SA, w którym urządzenie akceptuje zaszyfrowany i niezaszyfrowany ruch przychodzący, ale wysyła zawsze ruch zaszyfrowany, b) mechanizm fail-close, w którym urządzenie nie wysyła ruchu, w sytuacji kiedy miałby on pozostać niezaszyfrowany w przypadku kiedy urządzenie jest niezarejestrowane w sieci VPN, c) mechanizm współdzielenia kluczy przez redundantne serwery kluczy, d) mechanizm zmiany podstawowego serwera kluczy (Key Server) w scenariuszu z wysoką dostępnością serwerów kluczy; 40) funkcja zapory sieciowej z analizą stanów połączenia (tzw. statefull firewall); 41) funkcjonalność ściany ogniowej dla protokołu IPv4 i IPv6 opartej o definicję stref bezpieczeństwa (zone-based firewall); 42) możliwość elastycznej definicji scenariuszy przesyłu IPv4 i IPv6 pomiędzy różnymi strefami, w tym: a) przesyłu, który jest poddawany inspekcji, b) przesyłu, który jest odrzucany, c) przesyłu, który jest przenoszony bez inspekcji; 43) możliwość rozbudowy o funkcję zapobiegania włamaniom sieciowym (tzw. intrusion prevention); 44) możliwość inspekcji protokołu sygnalizacyjnego Registration, Admission and Status (H.323 RAS); 45) możliwość inspekcji protokołu H.323 v3, v4, Annex E, Annex G i Annex D, w tym H.323 v3 i v4 fax i call transfer; 46) możliwość inspekcji protokołu Session Initiation Protocol (SIP), w tym: a) ochronę przed realizacją nieuprawnionych połączeń, 15

16 b) przejęciem połączenia (call-hijacking), c) atakami typu DoS na protokół SIP, d) wsparcie obejmuje ruch przechodzący i generowany lokalnie przez urządzenie; 47) wsparcie dla klasyfikacji, filtrowania i logowania pakietów IPv4 na podstawie konfigurowalnych wzorców bitowych o długości nie mniejszej niż 256 bajtów w nagłówku i polu danych pakietu; 48) ochrona centralnego procesora urządzenia (CPU) przed atakiem Denial of Service (DoS) poprzez możliwość klasyfikowania i limitowania ruchu docierającego do CPU; 49) możliwość logowania pakietów przekraczających skonfigurowane limity ruchu docierającego do CPU; 50) możliwość wymuszenia reguł złożoności haseł tworzonych na urządzeniu, w tym: a) nowe hasło musi posiadać przynajmniej trzy z następujących: małe litery, wielkie litery, cyfry i znaki specjalne, b) nowe hasło nie może zawierać powtórzonego jednego znaku więcej niż 3 razy, c) nowe hasło nie może być takie samo jak nazwa użytkownika pisana małymi literami, wielkimi literami lub od pisana od końca, d) nowe hasło nie może zawierać nazwy producenta lub nazwy producenta pisanej od końca, e) reguły złożoności haseł mogą odnosić się do hasła użytkownika, współdzielonego klucza serwera RADIUS lub klucza serwera TACACS+; 51) wsparcie zaawansowane funkcjonalności 802.1x jako urządzenie dostępowe RADIUS (NAD - Network Access Devices), w tym: a) 802.1x Single-host mode - tryb uwierzytelniania 802.1x, w którym dozwolony jest jeden host per port, b) 802.1x Auth-Fail VLAN - możliwość przypisania określonego VLANu (Auth-Fail VLAN) stacji końcowej w sytuacji kiedy uwierzytelnienie 802.1x stacji na porcie zakończy się niepowodzeniem, c) 802.1x Authentication with ACL Assigments - możliwość pobrania z serwera RADIUS listy kontroli dostępu (ACL) oraz adresu URL dla przekierowania ruchu web ze stacji końcowej podczas uwierzytelnienia 802.1x, możliwość pobrania również listy kontroli dostępu (ACL) w trakcie uwierzytelniania web (web authentication), d) funkcjonalność autentykatora 802.1x pośredniczącego w uwierzytelnianiu urządzeń końcowych (802.1x Authenticator), e) utrzymywanie jednego 32-bitowego identyfikatora dla uwierzytelnianiej sesji (Common Session ID), niezależnie od zastosowanej metody uwierzytelniania stacji końcowej (802.1x, MAC Authencticaion Bypass, Web Authentication), f) funkcjonalność wysyłania wiadomości log (debug) dla określonego portu dla zdarzeń uwierzytelniania 802.1x w celu rozwiązywania problemów, 16

17 g) 802.1x Flexible Authentication Ordering - możliwość elastycznej konfiguracji kolejności metod 802.1x użytych do uwierzytelnienia stacji, w tym uwierzytelnienia MAB (MAC Authentication Bypass), metod EAP dla 802.1x i uwierzytelnienia web (Web Authentication, WebAuth), h) 802.1x Authentication with Guest VLAN - mechanizm 802.1x umożliwiający realizację dostępu gościnnego w dedykowanym VLANie (Guest VLAN) dla użytkowników gościnnych, i) 802.1x Multidomain Authentication - tryb uwierzytelniania 802.1x, w którym dozwolone jest jedno urządzenie telefonii IP w domenie głosowej (Voice VLAN) i jeden host w domenie danych (Data VLAN) na jednym porcie fizycznym, j) 802.1x Multiple Authentication (multiauth) mode - tryb uwierzytelniania 802.1x dozwalający wiele hostów na jednym porcie fizycznym, k) IEEE 802.1x Open Authentication - możliwość uzyskanie dostępu do sieci przez stację końcową bez konieczności uwierzytelnienia 802.1x, l) wiadomości RADIUS CoA (Reauth, Port Bounce) zdefiniowane w RFC 5176 otrzymywane z serwera RADIUS w celu zmiany profilu autoryzacji, w tym parametrów kontroli dostępu dla uwierzytelnionej stacji końcowej, m) 802.1x Authentication with Wake-on-LAN - współpraca mechanizmu 802.1x z urządzeniami używającymi mechanizmu Wake-on-LAN, n) 802.1x Authentication with VLAN Assignment - mechanizm przypisania VLANu w procesie uwierzytelnienia i kontroli dostępu 802.1x dla portów pracujących w trybie Multipleauthentication (MultiAuth), o) mechanizm 802.1x umożliwiający przypisanie stacji końcowej dedykowanego VLANu (Critical VLAN) w sytuacji, gdy serwer RADIUS jest niedostępny, p) Critical Voice VLAN - mechanizm 802.1x umożliwiający przypisanie urządzenia telefonii IP do dedykowanego VLANu (Critical Voice VLAN) w sytuacji, gdy serwer AAA jest niedostępny, q) 802.1x Supplicant and Authenticator Switches with Network Edge Access Topology (NEAT) - możliwość uwierzytelnienia urządzenia dostępowego do dystrybucyjnego jako stacji końcowej w celu zapobiegnięcia przed podłączeniem do sieci nieuprawnionego urządzenia, r) 802.1x Authentication with Per-User ACLs - mechanizm przypisania listy kontroli dostępu per użytkownik dla ruchu IP (ACL) w procesie uwierzytelnienia i kontroli dostępu 802.1x, s) 802.1x Authentication with MAC Authentication Bypass (MAB) - uwierzytelnienie stacji końcowych za pomocą adresu MAC znajdującego się w lokalnej bazie serwera RADIUS, niezależnie od skonfigurowanych innych metod uwierzytelniania na porcie; 52) możliwość rozbudowy do funkcjonalności optymalizatora ruchu sieciowego realizującego następujące funkcje (dostępna z poziomu systemu operacyjnego routera): a) kompresja ruchu z wykorzystaniem algorytmu kompresji danych (Lempel-Ziv lub analogicznego), 17

18 b) zmniejszenie rozmiaru przesyłanych danych poprzez wysyłanie krótkich indeksów numerycznych zamiast powtarzających się bloków danych (Data Redundancy Elimination), c) optymalizacja algorytmu TCP (optymalizacja pracy algorytmu okien TCP), d) funkcjonalność optymalizatora ruchu sieciowego o wydajności 6Mbit/s dla 150 połączeń TCP, e) funkcja optymalizatora współpracująca z centralnym systemem zarządzania optymalizatorami ruchu sieciowego oferującym centralny punkt konfiguracji, monitorowania w czasie rzeczywistym, zarządzania błędami i raportowania. (D) Zarządzanie i konfiguracja 1) zarządzanie za pomocą SNMPv3; 2) możliwość eksportu statystyk ruchowych za pomocą protokołu Neftflow/JFlow; 3) konfigurowanie za pomocą interfejsu linii poleceń CLI; 4) plik konfiguracyjny urządzenia (w szczególności plik konfiguracji parametrów routingu) musi pozwalać na edycję w trybie off-line, tzn. musi być możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym komputerze; po zapisaniu konfiguracji w pamięci nieulotnej powinno być możliwe uruchomienie urządzenia z nową konfiguracją; w pamięci nieulotnej musi być możliwość przechowywania dowolnej liczby plików konfiguracyjnych; zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się częściowych restartów urządzenia po dokonaniu zmian. (E) Obudowa 1) możliwość instalacji w standardowej szafie 19 ; zestaw do montażu w szafie rack i połączeń technicznych; 2) obudowa wykonana z metalu zoptymalizowana do instalacji w szafach rack, uwzględniająca również taki system prowadzenia i podłączania okablowania dla połączeń sieciowych, który zapewnia bezkolizyjną wymianę głównych modułów urządzenia (w tym: modułów liniowych, zasilaczy, wiatraków, modułów zarządzających). (F) Zasilanie 1) urządzenie musi mieć możliwość zasilania ze źródeł zmiennoprądowych 230V (zasilacza AC) oraz stałoprądowych (zasilacze DC); 2) urządzenie musi posiadać wbudowany zasilacz umożliwiający zasilanie prądem przemiennym 230V; 3) urządzenie musi umożliwiać doprowadzenie zasilania do portów Ethernet (tzw. inline-power) w modułach sieciowych dostępnych do urządzenia; 4) możliwość instalacji zewnętrznego zasilacza redundantnego. 18

19 3. Urządzenie dla Jednostki UP-C1 (A) Wyposażenie 1) router modularny wyposażony w 3 interfejsy Gigabit Ethernet 10/100/1000 dla realizacji połączenia do sieci LAN; jeden z interfejsów musi mieć możliwość pracy w trybie dualphysical z gigabitowym portem światłowodowym definiowanym przez GBIC lub SFP; 2) 256 MB pamięci Flash; możliwość rozbudowy do 8GB; 3) 512 MB pamięci RAM; możliwość rozbudowy do 2GB; 4) 2 porty USB; porty muszą pozwalać na podłączenie zewnętrznych pamięci FLASH w celu przechowywania obrazów systemu operacyjnego, plików konfiguracyjnych lub certyfikatów elektronicznych; 5) port USB pozwalający na wykorzystanie jako konsoli szeregowej; 6) kable pozwalające na podłączenie konsoli zarówno przez USB, jak i przez port szeregowy. (B) Architektura 1) urządzenie modularne posiadające możliwość instalacji 9 modułów ogólnego przeznaczenia do dowolnego wykorzystania lub modułów posiadających następujące funkcje: a) 4 modułów sieciowych z interfejsami, b) 1 modułu usługowego, c) 1 wewnętrznego modułu usługowego, d) 3 modułów z układami DSP - moduły DSP powinny mieć możliwość wyłączenia w celu oszczędzania energii elektrycznej; 2) sloty urządzenia przewidziane pod rozbudowę o moduł z układami DSP muszą mieć możliwość obsadzenia modułami: a) pozwalającymi na dynamiczne alokowanie DSP do różnych zadań (obsługa interfejsów głosowych, trancoding, conferencing), b) o gęstości 128 kanałów, c) posiadającymi wsparcie dla usług video, d) obsługującymi kodeki: G.711, ClearChannel, G.729a, G.729ab, G.726, G.722, G.728, G.729, G.729b, Internet Low Bit, funkcjonalność Fax Relay, funkcjonalność Modem Relay, 19

20 e) obsługującymi funkcjonalność transkodowania pomiędzy różnymi typami kodeków, f) obsługującymi funkcjonalność konferencji głosowych (parametry: 6 konferencji po 64 uczestników; 66 konferencji po 8 uczestników), g) obsługującymi kompresję, wykrywanie aktywności głosowej, zarządzenie jitterem i funkcje kasowanie echa (128 ms), funkcja kasowania echa musi być zgodna ze standardem ITU-T G.168, h) obsługującymi szyfrowanie transmisji głosu z wykorzystaniem SRTP; 3) wewnętrzny sprzętowy moduł akceleracji szyfrowania DES/3DES/AES; 4) możliwość skonfigurowania bezpośredniej komunikacji pomiędzy wybranymi modułami usługowymi z pominięciem głównego procesora; 5) wszystkie interfejsy muszą być aktywne; nie dopuszcza się stosowania kart, w których dla aktywacji interfejsów potrzebne będą dodatkowe licencje lub klucze aktywacyjne i konieczne wniesienie opłat licencyjnych, np. niedopuszczalne jest stosowanie karty 4 portowej, gdzie aktywne są 2 porty; 6) sloty urządzenia przewidziane pod rozbudowę o dodatkowy moduł usługowy muszą mieć możliwość obsadzenia modułami: a) z portami szeregowymi o gęstości 4 porty na moduł, b) z interfejsem ISDN BRI (styk S/T) o gęstości 8 portów na moduł, c) z przełącznikiem Ethernet o gęstości co najmniej 16 portów na moduł, d) contentengine, e) Intrusion Detection System, f) analizatora sieciowego; 7) sloty urządzenia przewidziane pod rozbudowę o dodatkową kartą sieciową muszą mieć możliwość obsadzenia kartami: a) z portami szeregowymi o gęstości 2 portów na moduł; b) ze zintegrowanym modemem ADSL o gęstości 1 port na moduł; c) ze zintegrowanym modemem SHDSL o gęstości 1 port na moduł; d) z interfejsem ISDN BRI (styk S/T) o gęstości 1 port na moduł; e) z przełącznikiem Ethernet o gęstości 4 portów na moduł; 8) sloty urządzenia przewidziane pod rozbudowę o moduł z układami DSP muszą mieć możliwość obsadzenia modułami: a) o gęstości 128 kanałów, b) pozwalającymi na dynamiczne alokowanie DSP do różnych zadań (obsługa interfejsów głosowych, transcoding, conferencing), c) posiadających wsparcie dla usług video; 9) oczekiwana wydajność proponowanego rozwiązania z włączonymi usługami: 35Mbit/s; 20

21 10) urządzenie musi oferować dla pakietów o długości 64 bajtów wydajność pps/245Mbps; 11) sloty urządzenia przewidziane pod rozbudowę o dodatkowy moduł usługowy muszą mieć możliwość obsadzenia modułami: a) z serwerem przeznaczonym do instalacji aplikacji dostarczonych przez producenta, b) optymalizatora ruchu sieciowego TCP/IP, c) Intrusion Prevention System (IPS), d) kontroli dostępu do sieci NAC/NAP, e) przełącznika Ethernet (funkcje L2 i L3), 24 porty przełącznika dostępne z zasilaniem PoE, f) kontrolera sieci bezprzewodowej, g) interfejsów głosowych cyfrowych (E1/T1 - również z interfejsem G703, BRI) oraz analogowych (FSX/FXO,E&M) dostępnych w wersji wyposażonej w interfejsy oraz z możliwością instalacji kart sieciowych definiujących typy interfejsów; musi być możliwość instalacji 1 modułu, h) poczty głosowej, i) interfejsów transmisji danych Channelized E1/T1, ISDN PRI; 8 dostępnych portów dla platformy. (C) Funkcjonalność 1) urządzenie musi posiadać możliwość rozbudowy o dodatkowe funkcjonalności bez konieczności instalacji nowego oprogramowania; 2) obsługa protokołów routingu IP BGPv4, OSPFv3, IS-IS, RIPv2, routingu multicastowego PIM (Sparse i Dense) oraz routingu statycznego; 3) protokół BGP musi posiadać obsługę 4 bajtowych ASN; 4) wsparcie dla funkcjonalności Policy Based Routing; 5) wsparcie dla mechanizmów związanych z obsługą ruchu multicast: IGMP v3, IGMP Snooping, PIMv1, PIMv2; 6) obsługa protokołu IGMPv3; 7) wsparcie dla protokołu DVMRP; 8) obsługa mechanizmu Unicast Reverse Path Forwarding (urpf); 9) obsługa tzw.routing między sieciami VLAN w oparciu o trunking 802.1Q; 10) obsługa IPv6 w tym ICMP dla IPv6; 11) obsługa list kontroli dostępu w oparciu o adresy IP źródłowe i docelowe, protokoły IP, porty TCP/UDP, opcje IP, flagi TCP, oraz o wartości TTL; 12) mechanizmy korelacji zdarzeń związanych z filtracją za pomocą list kontroli dostępu dla syslog, np. za pomocą etykiety przypisanej do określonego wpisu na listach kontroli dostępu lub skrót MD5 generowany przez router; 21

22 13) obsługa NAT dla ruchu IP unicast i multicast oraz PAT dla ruchu IP unicast; mechanizm NAT musi zapewniać wsparcie dla H.224/H.245; 14) wsparcie dla protokołów WCCP i WCCPv2; 15) obsługa 40 instancji VRF; 16) obsługa wirtualnych instancji routingu (VRF); 17) możliwość wpisów w tablicach VRF (sumaryczna wartość dla wszystkich VRF); 18) obsługa mechanizmu DiffServ; 19) możliwość tworzenia klas ruchu oraz oznaczanie (Marking), klasyfikowanie i obsługa ruchu (Policing, Shaping) w oparciu o klasę ruchu; 20) obsługa mechanizmów kolejkowania ruchu: a) z obsługą kolejki absolutnego priorytetu, b) ze statyczną alokacją pasma dla typu ruchu, c) WFQ; 21) obsługa mechanizmu WRED; 22) obsługa protokołu RSVP; 23) obsługa mechanizmu GenericTrafficShaping; 24) obsługa mechanizmu ograniczania pasma dla określonego typu ruchu; 25) obsługa protokołu GRE oraz mechanizm honorowania IP Precendence dla ruchu tunelowanego; 26) obsługa protokołu NTP; 27) obsługa DHCP w zakresie Client, Serwer; 28) obsługa tzw. First Hop Redundancy Protocol (np.: HSRP, GLBP, VRRP); 29) obsługa mechanizmów uwierzytelniania, autoryzacji i rozliczania (AAA) z wykorzystaniem protokołów RADIUS lub TACACS+; 30) możliwość rozbudowy o obsługę procesowania połączeń telefonii IP (funkcja serwera zestawiającego połączenia) dla maksymalnej liczby użytkowników przewidzianych dla danego typu jednostki (patrz wyżej: opis modeli jednostek); 31) możliwość rozbudowy o obsługę współpracy z centralnym systemem procesowania połączeń telefonii IP w celu przejęcia podstawowych funkcji telefonii do połączeń wewnętrznych oraz wyjścia na linie miejskie na czas awarii połączenia do systemu centralnego; funkcja ta musi być w stanie obsłużyć maksymalną liczbę użytkowników przewidzianych dla danego typu jednostki (patrz wyżej: opis modeli jednostek); 32) możliwość rozbudowy o obsługę automatyzacji konfiguracji ustawień QoS (w szczególności dla usług VoIP) w postaci automatycznego tworzenia wzorców konfiguracyjnych na potrzeby implementacji QoS; 33) możliwość rozbudowy o funkcjonalność sondy (nadajnik i odbiornik) do mierzenia parametrów ruchu dla protokołów IP oraz VoIP (pomiar jakości poprzez symulację kodeków 22

23 VoIP i mierzenie parametrów opóźnienia tam i z powrotem (roundtrip), jitter i utraty pakietów); 34) możliwość realizacji funkcji bramy VoIP/PSTN z wykorzystaniem interfejsów PRI/BRI lub analogowych; brama musi mieć możliwość pracy w sposób niezależny lub sterowana przez system centralny procesowania połączeń; 35) możliwość pracy jako mostek do połączeń VoIP wielopunktowych; 36) możliwość instalacji modułów analogowych lub ISDN BRI do połączenia z centralą miejską lub PABX w budynku, w liczbie obliczanej dla następujących parametrów: a) liczba użytkowników maksymalna liczba użytkowników jednostki, b) średni czas rozmowy: 2 minuty, c) średni całkowity czas spędzony na rozmowach w ciągu dnia: 60 minut, d) dzień roboczy: 8 godzin; 37) funkcja szyfrowania połączeń z wykorzystaniem algorytmów DES/3DES; 38) możliwość konfiguracji tuneli IPv4 IPSec VPN w oparciu o protokół IKEv2 (Internet Key Exchange v2) dla następujących rozwiązań: a) DMVPN lub równoważnego, b) IPSec static VTI (svti) lub równoważnego, c) IPSec dynamic VTI (dvti) lub równoważnego, d) dostępu zdalnego VPN (RA) dla systemu operacyjnego Microsoft Windows 7; 39) technologia umożliwiająca szyfrowanie IPSec ruchu unicast IPv4 bez konieczności tworzenia tuneli, z wykorzystaniem z użyciem protokołu Group Domain of Interpretation (GDOI) zdefiniowanego w RFC 3547, w tym: a) mechanizm pasywnego IPSec SA, w którym urządzenie akceptuje zaszyfrowany i niezaszyfrowany ruch przychodzący, ale wysyła zawsze ruch zaszyfrowany, b) mechanizm fail-close, w którym urządzenie nie wysyła ruchu, w sytuacji kiedy miałby on pozostać niezaszyfrowany w przypadku kiedy urządzenie jest niezarejestrowane w sieci VPN, c) mechanizm współdzielenia kluczy przez redundantne serwery kluczy, d) mechanizm zmiany podstawowego serwera kluczy (Key Server) w scenariuszu z wysoką dostępnością serwerów kluczy; 40) funkcja zapory sieciowej z analizą stanów połączenia (tzw. statefull firewall); 41) funkcjonalność ściany ogniowej dla protokołu IPv4 i IPv6 opartej o definicję stref bezpieczeństwa (zone-based firewall); 42) możliwość elastycznej definicji scenariuszy przesyłu IPv4 i IPv6 pomiędzy różnymi strefami, w tym: a) przesyłu, który jest poddawany inspekcji, b) przesyłu, który jest odrzucany, 23

24 c) przesyłu, który jest przenoszony bez inspekcji; 43) możliwość rozbudowy o funkcję zapobiegania włamaniom sieciowym (tzw. intrusion prevention); 44) możliwość inspekcji protokołu sygnalizacyjnego Registration, Admission and Status (H.323 RAS); 45) możliwość inspekcji protokołu H.323 v3, v4, Annex E, Annex G i Annex D, w tym H.323 v3 i v4 fax i call transfer; 46) możliwość inspekcji protokołu Session Initiation Protocol (SIP), w tym: a) ochronę przed realizacją nieuprawnionych połączeń, b) przejęciem połączenia (call-hijacking), c) atakami typu DoS na protokół SIP, d) wsparcie obejmuje ruch przechodzący i generowany lokalnie przez urządzenie; 47) wsparcie dla klasyfikacji, filtrowania i logowania pakietów IPv4 na podstawie konfigurowalnych wzorców bitowych o długości nie mniejszej niż 256 bajtów w nagłówku i polu danych pakietu; 48) ochrona centralnego procesora urządzenia (CPU) przed atakiem Denial of Service (DoS) poprzez możliwość klasyfikowania i limitowania ruchu docierającego do CPU; 49) możliwość logowania pakietów przekraczających skonfigurowane limity ruchu docierającego do CPU; 50) możliwość wymuszenia reguł złożoności haseł tworzonych na urządzeniu, w tym: a) nowe hasło musi posiadać przynajmniej trzy z następujących: małe litery, wielkie litery, cyfry i znaki specjalne, b) nowe hasło nie może zawierać powtórzonego jednego znaku więcej niż 3 razy, c) nowe hasło nie może być takie samo jak nazwa użytkownika pisana małymi literami, wielkimi literami lub od pisana od końca, d) nowe hasło nie może zawierać nazwy producenta lub nazwy producenta pisanej od końca, e) reguły złożoności haseł mogą odnosić się do hasła użytkownika, współdzielonego klucza serwera RADIUS lub klucza serwera TACACS+; 51) wsparcie zaawansowane funkcjonalności 802.1x jako urządzenie dostępowe RADIUS (NAD - Network Access Devices), w tym: a) 802.1x Single-host mode - tryb uwierzytelniania 802.1x, w którym dozwolony jest jeden host per port, b) 802.1x Auth-Fail VLAN - możliwość przypisania określonego VLANu (Auth-Fail VLAN) stacji końcowej w sytuacji kiedy uwierzytelnienie 802.1x stacji na porcie zakończy się niepowodzeniem, c) 802.1x Authentication with ACL Assigments - możliwość pobrania z serwera RADIUS listy kontroli dostępu (ACL) oraz adresu URL dla przekierowania ruchu web ze stacji końcowej 24