Załącznik nr 6 do siwz

Transkrypt

1 Załącznik nr 6 do siwz DO dot.: przetargu nieograniczonego powyżej euro na dostawę sprzętu sieciowego wraz z instalacją, konfiguracją i serwisem gwarancyjnym Przedmiot umowy w szczególności swoim zakresem obejmuje dostawę następujących elementów: Tabela nr 1 zestawienie sprzętu Lp. Sprzęt 1 Przełączniki szkieletowe 2 Przełączniki brzegowe 3 Przełącznik TOR 4 Bezprzewodowe punkty dostępowe oraz kontroler sieci bezprzewodowej 5 Oprogramowanie zarządzające 6 System kontroli dostępu NAC 7 System SIEM 8 System analizy ruchu na warstwie 7 9 Firewall 10 Serwer 11 Macierz 12 Oprogramowanie do wirtualizacji 13 Urządzenia wielofunkcyjne 14 Upsy 15 Połączenie między lokalizacjami Szczegółowy opis przedmiotu zamówienia Jeżeli w poniższym opisie przedmiotu zamówienia lub gdziekolwiek w SIWZ użyto nazwy standardu, klasy lub protokołu sieciowego (w tym opisanych w tzw. Requests For Comments) określającego funkcjonalności sieci lub inne, który może być rozumiany jako wskazanie normy w rozumieniu art. 30 ustawy Pzp., Zamawiający dopuszcza zastosowanie rozwiązań równoważnych opisywanym. W takim przypadku zgodnie z art. 30 ust. 5 ustawy Pzp. Wykonawca, który powołuje się na takie równoważne rozwiązania, jest zobowiązany wykazać, że oferowane przez niego dostawy i usługi spełniają wymagania określone przez Zamawiającego. Jeżeli w poniższym opisie przedmiotu zamówienia lub gdziekolwiek w SIWZ pojawia się znak towarowy lub powołanie na patent lub pochodzenie elementów zamówienia, zamawiający dopuszcza zastosowanie przez Wykonawcę elementów równoważnych, tzn. posiadających parametry wystarczające do osiągnięcia przez sieć informatyczną objętą zamówieniem (wraz z pozostałymi elementami), wydajności, przepustowości oraz pozostałych wymienionych jej funkcjonalności wynikających z SIWZ. 1

2 I. Specyfikacja przedmiotu zamówienia Wykonawca zgodnie z wymaganiami opisanymi w poniższej koncepcji budowy sieci informatycznej dla PPNT Gdynia ma za zadanie dostarczyć oraz skonfigurować sieciowe urządzenia oraz sprzęt komputerowy. Wykonawca wykona dostawę sprzętu i dokona wszelkich potrzebnych prac instalacyjnych, w tym prac niezbędnych do wykonania opisanych zadań, polegających na doprowadzeniu instalacji elektrycznych i teletechnicznych. Zestawienie punktów dystrybucyjnych i wymaganych portów Tabela nr 1 Piętro/punkt dystrybucyjny Wymagana liczba portów Liczba połączeń i prędkość dostępowych Poziom x 1Gb Parter/1 24 2x 10Gb Parter/2 24 2x 10Gb Piętro I/1 24 2x 10Gb Piętro I/2 24 2x 10Gb Piętro II/1 24 2x 10Gb Piętro II/2 24 2x 10Gb Piętro III/1 24 2x 10Gb Piętro III/2 24 2x 10Gb Piętro IV/1 24 2x 10Gb Piętro IV/2 24 2x 10Gb Piętro V/1 (biura) 118 6x 10Gb Piętro VI/1 (openspace) x 10Gb II. Topologia sieci LAN Projektowana sieć LAN obejmuje dwie lokalizacje: PPNT Gdynia oraz G-321. Adres PPNT Gdynia: Al. Zwycięstwa 96/98 Gdynia Adres G-321: Ul. Czechosłowacka 3 (wewnętrzna nazwa ul. Konstruktorów) Gdynia Sieć w budynku PPNT jest wykonana i wymaga jedynie podłączenia przyłącza i konfiguracji, w budynku G-321 sieć występuje jedynie w postaci pasywnej. Zadaniem Wykonawcy ma być dostarczenie i uruchomienie sieci aktywnej wraz z ewentualnym potrzebnym do tego okablowaniem w oparciu o urządzenia sieci LAN szkieletowe i brzegowe oraz routery WAN. Punkty dystrybucyjne wyposażone w przełączniki brzegowe muszą być podłączone bezpośrednio do dwóch centralnych przełączników szkieletowych. Taka architektura ma zapewnić odporność sieci na awarie. Centralny punkt dystrybucyjny znajduje się w wydzielonym pomieszczeniu sieciowym oznaczonym w załączonej do SIWZ dokumentacji jako serwerownia (poziom 0), w budynku G-321 (załączniki ). III. Opis sieci w budynku G-321 Projektowana sieć LAN w budynku G-321 ma składać się z 13 punktów dystrybucyjnych. Zamawiający zaznacza iż, w budynku jest więcej punktów dystrybucyjnych jednak Wykonawca ma wyposażyć tylko wskazaną liczbę. Każdy z 13 punktów dystrybucyjnych musi zapewniać obsługę wskazanej w tabeli nr 1 liczby portów Gigabit Ethernet 10/100/1000BASE T z obsługą PoE+(budżet mocy opisany w specyfikacji przełączników), do których podłączone będą stacje końcowe, drukarki, telefony, bezprzewodowe punkty dostępowe, itp. Każdy przełącznik w punkcie dystrybucyjnym musi być połączony z parą przełączników szkieletowym za pomocą 2 portów 10 Gigabit Ethernet (wyjątkiem jest przełącznik na poziomie -1 gdzie wystarczy 2x 1Gb). W przypadku wyboru 2

3 przełącznika modularnego w punktach dystrybucyjnych konieczne jest zapewnienie odpowiadającej liczby portów 10G do szkieletu sieci np. na piętrze VI gdzie znajduje się 212 portów Gigabit Ethernet, musi być to min. 10 portów 10G. Porty te muszą pracować w trybie Link Aggregation IEEE 802.3ad (lub według równoważnej normy) zapewniając aktywność obydwu portów oraz rozłożenie ruchu pomiędzy poszczególne łącza fizyczne. Takie rozwiązanie ma zapewnić dużą przepustowość sieci oraz odporność sieci na awarie ewentualne uszkodzenie pojedynczego połączenia spowoduje zmniejszenie przepustowości sieci, a nie jej całkowite unieruchomienie. Jednocześnie uszkodzenie pojedynczego przełącznika zminimalizuje liczbę unieruchomionych gniazd sieciowych. W przypadku zaproponowania rozwiązania składającego się z przełączników o stałej konfiguracji należy przewidzieć, iż w każdym punkcie dystrybucyjnym może zaistnieć konieczność połączenia urządzeń w stosy, czyli przełączniki muszą posiadać możliwość rozbudowy pozwalającej na połączenie przełączników w stos jeśli przełączniki wymagają dodatkowych modułów, to moduły nie są częścią tego postępowania. Punkty dystrybucyjne muszą być połączone z przełącznikami szkieletowymi za pomocą portów zapewniających prawidłową pracę na światłowodzie jednomodowym z prędkościami 10 Gigabit Ethernet. Planowaną liczbę i typ światłowodu pomiędzy brzegowymi punktami dystrybucyjnymi a szkieletem przedstawiono w poniższej tabeli: Punkt dystrybucyjny Poziom / -1 Parter/1 Parter/2 Piętro I / 1 Piętro I / 2 Piętro II / 1 Piętro II / 2 Piętro III / 1 Piętro III / 2 Piętro IV / 1 Piętro IV / 2 Piętro V / 1 (biura) Piętro VI / 1 (open space) Tabela nr 2. Liczba włókien / typ światłowodu 12 włókien / klasa OS2 12 włókien / klasa OS2 12 włókien / klasy OS2 12 włókien / klasa OS2 12 włókien / klasa OS2 12 włókien / klasa OS2 12 włókien / klasa OS2 12 włókien / klasa OS2 12 włókien / klasa OS2 12 włókien / klasa OS2 12 włókien / klasa OS2 12 włókien / klasa OS2 12 włókien / klasa OS2 Wszystkie długości powyższych łączy światłowodowych nie przekraczają kilkuset metrów. Centralny punkt sieci ma być zbudowany w oparciu o dwa przełączniki szkieletowe. Każdy z przełączników musi być wyposażony w redundancję zasilania oraz redundantne wentylatory. Przełączniki muszą umożliwiać zestawienie redundantnego zestawu składającego się z dwóch urządzeń zapewniającego możliwość uruchomienia połączeń Link Aggregation IEEE 802.3ad (lub według równoważnej normy) z przełączników brzegowych terminowanych na dwóch różnych przełącznikach szkieletowych. Wymaga się również, aby przełączniki szkieletowe zapewniały redundancję routingu - VRRP w trybie active-active, obydwa przełączniki muszą zapewnić realizację routingu. Przełączniki centralne mają być ze sobą połączone linkiem o minimalnej liczbie portów 8 x 10 GE lub 2 x 40 GE w zależności od zaproponowanych urządzeń i rozwiązania. Odległość pomiędzy przełącznikami nie będzie przekraczać 5 metrów i w związku z tym możliwe jest zastosowanie do tego połączenia kabli miedzianych zakończonych interfejsami QSFP+, SFP+ lub łączami światłowodowymi w zależności od możliwości zaproponowanego rozwiązania. Przełączniki szkieletowe mają być zainstalowane w pomieszczeniu serwerowni. Przełączniki szkieletowe muszą również zapewnić podłączenie 1 przełącznika TOR (Top of the Rack) obsługującego serwer z portami Gigabit Ethernet 10/100/1000BASE-T. Przełączników TOR musi obsługiwać 48 portów 10/100/1000BASE-T i musi być podłączony do szkieletu sieci z wykorzystaniem 2 portów 10G. Przełącznik TOR będzie znajdować się w tym samym miejscu co 3

4 przełączniki szkieletowe, a odległość między przełącznikiem TOR i przełącznikami szkieletowymi nie będzie przekraczać 5 metrów i w związku z tym możliwe jest zastosowanie do tego połączenia kabli miedzianych zakończonych interfejsami SFP+ lub łączami światłowodowymi w zależności od możliwości zaproponowanego rozwiązania. IV. Opis środowiska informatycznego i sieci łączącej lokalizacje Obydwie lokalizacje mają zostać połączone dwoma ciemnymi włóknami jednomodowymi o przepustowości 10Gb/s każde. Główne łącze do internetu znajdować się będzie w lokalizacji PPNT natomiast łącze rezerwowe w nowym budynku Konstruktorów. Sieć ma zostać tak skonfigurowana, aby przy problemie z jednym włóknem, jednym przełącznikiem core lub łączem głównym wykorzystać zapasowe. Przy problemach z łącznością pomiędzy obydwoma lokalizacjami zestawiać połączenia vpn. Przy problemach z głównym łączem dostępu do internetu przełączać na łącze zapasowe. Zamawiający wymaga dostarczenia dodatkowych 4 interfejsów SFP+ 10GBase-LR na cele połączenia obydwu lokalizacji (po 2 interfejsy 10GBase-LR w każdej lokalizacji). Zamawiający posiada wolne porty w switchu w lokalizacji PPNT. Wykonawca zapewni dwa ciemne włókna o odpowiednich parametrach na okres trzech lat i skonfiguruje połączenie. Dostarczony firewall musi zapewniać wszystkie funkcje i wydajność posiadanego w głównej lokalizacji firewalla fortinet 200d W przypadku awarii głównego firewalla w lokalizacji PPNT dostarczone urządzenie ma przejmować jego funkcje. Urządzenia mają zostać skonfigurowane do pracy w trybie wysokiej dostępności. Zamawiający posiada obecnie dwa serwery dell r620 z windows serwer 2012 dc oraz macierz dell equalogic. Nowy serwer ma stanowić rozszerzenie posiadanego klastra, a macierze powinny replikować się nie rzadziej niż 24h. V. Generalne wymagania do przełączników Wszystkie oferowane przełączniki muszą być w pełni ze sobą kompatybilne i posiadać jednakowy język/zestaw poleceń. Oprogramowanie do zarządzania musi pozwolić na administracje wszystkimi zaoferowanymi przez Wykonawcę urządzeniami sieciowymi (poza firewall). Wszystkie oferowane urządzenia muszą być dostarczone z odpowiednimi interfejsami optycznymi umożliwiające ich połączenie z wykorzystaniem projektu (załącznik ) sieci pasywnej oraz zgodnie z niniejszym opracowaniem. Dobór modułów (typ i liczba) zależny jest od przyjętego przez Wykonawcę rozwiązania oraz zaproponowanych typów urządzeń (modularne, stackowalne), z zastrzeżeniem konieczności uzyskania przez przełączniki odpowiedniej wydajności wymaganej w SIWZ. Urządzenia aktywne sieci (w tym moduły optyczne) muszą umożliwić uruchomienie sieci aktywnej spełniając przyjęte w niniejszym załączniku rozwiązania. Wszystkie porty przełączników brzegowych muszą być podłączone do dostępnych patch paneli kablem kategorii 6a zgodnym z normą PN-EN lub równoważną. Wszystkie porty muszą zostać podłączone do urządzeń aktywnych. 1. Wymagania podstawowe dotyczące minimalnych parametrów dla przełącznika brzegowego Przełącznik musi być wyposażony w min. 24 lub 48 portów 10/100/1000BASE-T i 4 dedykowane porty 10 Gigabit Ethernet SFP+. Porty 10 Gigabit Ethernet SFP+ musi pracować w architekturze nieblokującej; Przełącznik musi być wyposażony w minimum jeden zasilacz AC zapewniający zasilanie przełącznika; Wentylatory oraz zasilacze muszą mieć możliwość wymiany w czasie pracy bez wpływu na pracę urządzenia funkcjonalność hot-swap; Przełącznik musi być wyposażony w zasilanie przez skrętkę PoE+ (do 30W na port). Budżet mocy dla zasilania PoE+ na każdym przełączniku musi wynosić min. 500W z możliwością zwiększenia do 1000W poprzez instalację dodatkowego zasilacza (wewnętrznego lub zewnętrznego); Przełącznik musi pozwalać na instalację w standardowej szafie 19 ; Przełącznik musi posiadać możliwość rozbudowy o dodatkowe 2 porty 10G w wersji SFP+ lub 2 portowy moduł 40G QSFP+ (obie opcje muszą być dostępne). Zamiast 2 portowego 4

5 modułu 40G QSFP+, oferent może dostarczyć rozwiązanie które umożliwia rozbudowę o moduł 8 portów 10G w wersji SFP+ jako rozwiązanie alternatywne. W rozwiązaniu 8x10G dopuszcza się nadsubskrypcję; Przełącznik musi posiadać wsparcie dla Energy Efficient Ethernet; Przełącznik musi mieć możliwość rozbudowy o funkcjonalność łączenia do min. 8 przełączników w stos z wydajnością min. 160Gb/s (w trybie FDX). Jeśli łączenie przełączników w stos wymaga zastosowania dodatkowych komponentów to nie są one częścią tego postępowania. Zamawiający dopuszcza rozwiązanie modularne z kartami liniowymi w tym przypadku brak wymogu łączenia w stos. Karty liniowe komunikują się w obrębie jednego chassis; Przełącznik musi posiadać nieblokującą architekturę przełączania z wydajnością minimum 336 Gb/s dla przełącznika 48 portowego (48*1G*2 + 4*10G* G) minimum 288 Gb/s dla przełącznika 24 portowego (24*1G*2 + 4*10G* G); Wymagana jest szybkość przełączania minimum 250 milionów pakietów na sekundę dla przełączników 48 portów oraz minimum 214 milionów pakietów na sekundę dla przełączników 24 porty; Pamięć operacyjna przełącznika: minimum 1GB; Pamięć flash przełacznika: minimum 1GB; Przełącznik musi obsługiwać sieci wirtualne w oparciu o protokół IEEE 802.1Q (lub równoważny) - min. 4094; Przełącznik musi obsługiwać ramki minimum 9216 bajtów (Jumbo Frames lub równoważne); Przełącznik musi obsługiwać znaczniki Q-in-Q (lub równoważne); Przełącznik musi obsługiwać 8 kolejek priorytetów na każdym porcie wyjściowym i zapewniać obsługę QoS w oparciu o: o IEEE 802.1p o DiffServ (lub funkcjonalność równoważną); Przełącznik musi obsługiwać Link Layer Discovery Protocol LLDP IEEE 802.1AB (lub równoważny); Przełącznik musi obsługiwać LLDP Media Endpoint Discovery (LLDP-MED) (lub równoważny); Przełącznik musi posiadać wbudowany serwer i klient DHCP (lub równoważny); Przełącznik musi posiadać możliwość instalacji min. dwóch wersji oprogramowania oraz pozwalać na przechowywanie wielu (min. 10) konfiguracji. a. Wymagania funkcjonalne dla obsługi routingu IPv4 Obsługa routingu statycznego; Obsługa routingu dynamicznego IPv4: o RIPv1/v2 (lub równoważny), o OSPFv2 (lub równoważny) musi posiadać możliwość rozszerzenia przez licencję lub aktualizację oprogramowania, o BGPv4 musi posiadać możliwość rozszerzenia przez licencję lub aktualizację oprogramowania, o ISIS musi posiadać możliwość rozszerzenia przez licencję lub aktualizację oprogramowania; Obsługa routingu IPv4 forwarding; Obsługa redundancji routingu VRRP (RFC 2338) - możliwość rozszerzenia przez licencję lub aktualizację oprogramowania (lub równoważny); Pojemność tablicy routingu min. 12 tys. wpisów; b. Wymagania funkcjonalne dla obsługi routingu IPv6 Obsługa routingu statycznego; Obsługa routingu dynamicznego IPv6: 5

6 o RIPng (lub równoważny), o OSPFv3 (lub równoważny) musi posiadać możliwość rozszerzenia przez licencję lub aktualizację oprogramowania, o BGPv4 musi posiadać możliwość rozszerzenia przez licencję lub aktualizację oprogramowana. Obsługa routingu IPv6 forwarding; Pojemność tablicy routingu min. 6 tys. wpisów; c. Wymagania dla multicast Statyczne przyłączanie do grupy multicast; Obsługa IGMP v1/v2/v3 snooping (lub równoważny); Obsługa VLAN u multicast; Obsługa statycznego routing multicast; Obsługa PIM-SM, PIM-DM oraz PIM-SSM musi posiadać możliwość rozszerzenia przez licencję lub aktualizację oprogramowania; Obsługa MLDv1; Obsługa MLDv2; Obsługa IGMP v1 (RFC 1112) (lub równoważny); Obsługa IGMP v2 (RFC 2236) (lub równoważny); Obsługa IGMP v3 (RFC 3376) (lub równoważny); Obsługa IGMP v1/v2/v3 snooping (lub równoważny); d. Wymagania funkcjonalne dla bezpieczeństwa Obsługa IEEE 802.1x, MAC authentication oraz Web-based Network Login (lub równoważny); Obsługa wielu klientów 802.1x na jednym porcie (Multiple supplicant) (lub równoważny); Obsługa przydziału sieci VLAN, ACL podczas logowania 802.1x (lub równoważny); Obsługa Guest VLAN dla IEEE 802.1x (lub równoważny); Obsługa sieci VLAN, do której zostaną przyłączeni klienci w przypadku braku komunikacji z systemem RADIUS; Musi posiadać możliwość uruchomienia autoryzacji MAC oraz 802.1x na tym samym porcie; Obsługa żądań zmiany autoryzacji (Change of Authorization) zgodnie z RFC 5176 lub innej metody np. poprzez SNMP nie dopuszczalne jest stosowanie metody wyłączenia i włączenia portu. Funkcjonalność niezbędna jest do wdrożenia systemu kontroli dostępu do sieci; Obsługa RADIUS Authentication (lub równoważny); Obsługa RADIUS Accounting (lub równoważny); Musi realizować bezpieczeństwo MAC adresów: o ograniczenie liczby MAC adresów na porcie, o zatrzaśnięcie MAC adresu na porcie. Musi posiadać możliwość wyłączenia MAC learning: Musi posiadać funkcjonalność zabezpieczenia przełącznika przed atakami DoS: o SYN Attack Protection Musi posiadać dwukierunkowe listy kontroli dostępu ACL pracujące na warstwie 2, 3 i 4 o Adres IP źródłowy i docelowy plus maska dla IPv4 oraz IPv6, o Protokół - np. UDP, TCP, OSPF, o Numery portów źródłowych i docelowych TCP i UDP, o Zakresy portów źródłowych i docelowych TCP i UDP, Musi realizować sprzętowo listy kontroli dostępu ACL; Musi zapewniać możliwość ograniczenia przepustowości (rate limiting) z wykorzystaniem ACL z kwantem 32 kb/s; Obsługa bezpiecznego transferu plików SCP, SFTP lub TFTP; 6

7 Obsługa DHCP Option 82; Obsługa IP Security o Dynamic ARP Inspection, o DHCP Snooping, o IP Source Guard, o Zabezpieczenie przed obcymi DHCP Serwerami, Obsługa Gratuitous ARP Protection; Obsługa RSTP (RapidSpanningTreeProtocol) IEEE 802.1w (lub równoważny); Obsługa MSTP (Multiple Spanning Tree Protocol) IEEE 802.1s (lub równoważny); Obsługa Link Aggregation IEEE 802.3ad wraz z LACP minimalnie do 63 group po minimum 8 portów w grupie (lub równoważny); e. Zarządzanie Obsługa synchronizacji czasu w oparciu o serwer SNTP (Simple Network Time Protocol) lub NTP; Obsługa serwera NTP pozwalającego na synchronizację czasu innych urządzeń z przełącznikiem; Zarządzanie poprzez SNMP v1/v2/v3 (lub równoważny); Zarządzanie poprzez przez przeglądarkę WWW - protokół http i https (lub równoważny); Musi posiadać Telnet Serwer/klient; Musi posiadać SSH2 Serwer/klient; Musi realizować ping dla IPv4 oraz IPv6; Musi realizować traceroute dla IPv4 oraz IPv6; Obsługa SYSLOG z możliwością definiowania do wielu serwerów; Sprzętową obsługa monitoringu ruchu w sieci sflow, IPFIX, NetFlow lub J-Flow; Obsługa RMON (lub równoważny) min. 4 grupy: Status, History, Alarms, Events (RFC 1757); 2. Wymagania podstawowe dotyczące minimalnych parametrów dla przełącznika TOR Przełącznik musi posiadać 48 portów 10/100/1000BASE-T i 4 dedykowane porty 10 gigabit Ethernet SFP+; Przełącznik musi być wyposażony w redundancję zasilania AC poprzez zainstalowanie drugiego redundantnego wewnętrznego zasilacza; Wentylatory oraz zasilacze muszą mieć możliwość wymiany w czasie pracy bez wpływu na pracę urządzenia funkcjonalność hot-swap; Przełącznik musi pozwalać na instalację w standardowej szafie 19 ; Przełącznik musi posiadać możliwość rozbudowy o dodatkowe 2 porty 10G w wersji SFP+ oraz 2 portowy moduł 40G QSFP+ (obie opcje muszą być dostępne). Zamiast 2 portowego modułu 40G QSFP+, oferent może dostarczyć rozwiązanie które umożliwia rozbudowę o moduł z 8 portów 10G w wersji SFP+ jako rozwiązanie alternatywne; Przełącznik musi posiadać wsparcie dla Energy Efficient Ethernet; Przełącznik musi mieć możliwość rozbudowy o funkcjonalność łączenia do min. 8 przełączników w stos z wydajnością min. 160Gb/s (w trybie FDX). Jeśli łączenie przełączników w stos wymaga zastosowania dodatkowych komponentów to nie są one częścią tego postępowania. Zamawiający dopuszcza rozwiązanie modularne z kartami liniowymi w tym przypadku brak wymogu łączenia w stos. Karty liniowe komunikują się w obrębie jednego chassis; Przełącznik musi posiadać nieblokująca architekturę przełączania z wydajnością minimum 336 Gb/s; Wymagana jest szybkość przełączania minimum 250 milionów pakietów na sekundę; Pamięć operacyjna przełącznika: minimum 1GB; 7

8 Pamięć flash przełącznika: minimum 1GB; Przełącznik musi obsługiwać sieci wirtualne w oparciu o protokół IEEE 802.1Q (lub równoważny) - min ; Przełącznik musi obsługiwać ramki minimum 9216 bajtów (Jumbo Frames lub równoważne); Przełącznik musi obsługiwać znaczniki Q-in-Q (lub równoważne); Przełącznik musi obsługiwać 8 kolejek priorytetów na każdym porcie wyjściowym i zapewniać obsługę QoS w oparciu o: o IEEE 802.1p o DiffServ (lub funkcjonalność równoważną); Przełącznik musi obsługiwać Link Layer Discovery Protocol LLDP IEEE 802.1AB (lub równoważny); Przełącznik musi obsługiwaćlldp Media Endpoint Discovery (LLDP-MED) (lub równoważny); Przełącznik musi posiadać wbudowany serwer i klient DHCP (lub równoważny); Przełącznik musi posiadać możliwość instalacji min. dwóch wersji oprogramowania oraz pozwalać na przechowywanie wielu (min. 10) konfiguracji. a. Wymagania funkcjonalne dla obsługi routingu IPv4 Obsługa routingu statycznego; Obsługa routingu dynamicznego IPv4: o RIPv1/v2 (lub równoważny), o OSPFv2 (lub równoważny) musi posiadać możliwość rozszerzenia przez licencję lub aktualizację oprogramowania, o BGPv4 musi posiadać możliwość rozszerzenia przez licencję lub aktualizację oprogramowania, o ISIS musi posiadać możliwość rozszerzenia przez licencję lub aktualizację oprogramowania. Sprzętowa obsługa routingu IPv4 forwarding; Obsługa redundancji routingu VRRP (RFC 2338) - możliwość rozszerzenia przez licencję lub aktualizację oprogramowania (lub równoważny); Pojemność tablicy routingu min. 12 tys. wpisów; b. Wymagania funkcjonalne dla obsługi routingu IPv6 Obsługa routingu statycznego; Obsługa routingu dynamicznego IPv6: o RIPng o OSPFv3 musi posiadać możliwość rozszerzenia przez licencję lub aktualizację oprogramowania o BGPv4 musi posiadać możliwość rozszerzenia przez licencję lub aktualizację oprogramowanai Sprzętowa obsługa routingu IPv6 forwarding; Pojemność tablicy routingu min. 6 tys. wpisów; c. Wymagania dla multicast Statyczne przyłączanie do grupy multicast; Obsługa IGMP v1/v2/v3 snooping (lub równoważny); Obsługa VLAN u multicast; Statyczny routing multicast; Obsługa PIM-SM, PIM-DM oraz PIM-SSM musi posiadać możliwość rozszerzenia przez licencję lub aktualizację oprogramowania; Obsługa MLDv1; Obsługa MLDv2; 8

9 Obsługa IGMP v1 (RFC 1112) (lub równoważny); Obsługa IGMP v2 (RFC 2236) (lub równoważny); Obsługa IGMP v3 (RFC 3376) (lub równoważny); Obsługa IGMP v1/v2/v3 snooping (lub równoważny); d. Wymagania funkcjonalne dla bezpieczeństwa Obsługa IEEE 802.1x, MAC authentication oraz Web-based Network Login (lub równoważny); Obsługa wielu klientów 802.1x na jednym porcie (Multiple supplicant) (lub równoważny); Obsługa przydział sieci VLAN, ACL podczas logowania 802.1x (lub równoważny); Obsługa Guest VLAN dla IEEE 802.1x (lub równoważny); Obsługa sieci VLAN, do której zostaną przyłączeni klienci w przypadku braku komunikacji z systemem RADIUS; Musi posiadać możliwość uruchomienia autoryzacji MAC oraz 802.1x na tym samym porcie; Możliwość obsługi żądań zmiany autoryzacji (Change of Authorization) zgodnie z RFC 5176 lub innej metody np. poprzez SNMP nie dopuszczalne jest stosowanie metody wyłączenia i włączenia portu. Funkcjonalność niezbędna jest do wdrożenia systemu kontroli dostępu do sieci; Obsługa RADIUS Authentication (lub równoważny); Obsługa RADIUS Accounting (lub równoważny); Musi realizować bezpieczeństwo MAC adresów o ograniczenie liczby MAC adresów na porcie o zatrzaśnięcie MAC adresu na porcie; Musi posiadać możliwość wyłączenia MAC learning; Musi posiadać funkcjonalność zabezpieczenia przełącznika przed atakami DoS o SYN Attack Protection; Musi posiadać dwukierunkowe listy kontroli dostępu ACL pracujące na warstwie 2, 3 i 4 o Adres IP źródłowy i docelowy plus maska dla IPv4 oraz IPv6 o Protokół - np. UDP, TCP, OSPF o Numery portów źródłowych i docelowych TCP i UDP o Zakresy portów źródłowych i docelowych TCP i UDP Musi realizować sprzętowo listy kontroli dostępu ACL; Musi zapewniać możliwość ograniczenia przepustowości (rate limiting) z wykorzystaniem ACL z kwantem 32 kb/s; Obsługa bezpiecznego transferu plików SCP lub SFTP; Obsługa DHCP Option 82; Obsługa IP Security; o funkcjonalność Dynamic ARP Inspection o DHCP Snooping o IP Source Guard o Zabezpieczenie przed obcymie serwerami DHCP Obsługa Gratuitous ARP Protection; Obsługa RSTP (RapidSpanningTreeProtocol) IEEE 802.1w (lub równoważny); Obsługa MSTP (Multiple Spanning Tree Protocol) IEEE 802.1s (lub równoważny); Obsługa Link Aggregation IEEE 802.3ad wraz z LACP minimalnie do 127 group po minimum 8 portów w grupie (lub równoważny); e. Zarządzanie Musi obsługiwać synchronizację czasu w oparciu o serwer SNTP (Simple Network Time Protocol) lub NTP; 9

10 Musi obsługiwać serwer NTP pozwalający na synchronizację czasu innych urządzeń z przełącznikiem; Musi być realizowane zarządzanie poprzez SNMP v1/v2/v3 (lub równoważny); Musi być realizowane zarządzanie poprzez przez przeglądarkę WWW - protokół http i https (lub równoważny); Musi posiadać Telnet Serwer/klient; Musi posiadać SSH2 Serwer/klient; Musi realizować ping dla IPv4 oraz IPv6; Musi realizować traceroute dla IPv4 oraz IPv6; Musi obsługiwać SYSLOG z możliwością definiowania do wielu serwerów; Musi posiadać sprzętową obsługę monitoringu ruchu w sieci sflow, IPFIX, NetFlow lub J- Flow; Musi obsługiwać RMON (lub równoważny) min. 4 grupy: Status, History, Alarms, Events (RFC 1757); 3. Wymagania dla przełączników szkieletowych (2 sztuki) Przełącznik musi być wyposażony w min. 48 portów 10G SFP+ pracujących z pełną prędkością - bez blokowania, z możliwością instalacji interfejsów 1 Gigabit Ethernet SFP; Przełącznik musi być wyposażony w dodatkowe 4 porty 40G w standardzie QSFP+ pracujące z pełną prędkością - bez blokowania; Dopuszcza się rozwiązanie modularne, posiadające sloty na instalację kart liniowych wraz z odpowiednimi kartami. Porty 10G / 40G w kartach liniowych powinny pracować z pełną prędkością bez blokowania; Przełącznik musi pozwalać na instalację w standardowej szafie 19 ; Przełącznik musi posiadać redundancję zasilaczy AC wewnątrz urządzenia; Przełącznik musi posiadać redundancję wentylatorów.; Wentylatory oraz zasilacze muszą mieć możliwość wymiany w czasie pracy bez wpływu na pracę urządzenia funkcjonalność hot-swap; Przełącznik musi posiadać nieblokującą architekturę przełączania z wydajnością min Gb/s; Wymagana jest szybkość przełączania pakietów na minimum 720 milionów pakietów na sekundę; Pamięć operacyjna przełącznika: minimum 2 GB; Pamięć flash przełącznika: minimum 1 GB; Przełącznik musi obsługiwać sieci wirtualne w oparciu o protokół IEEE 802.1Q (lub równoważny) - min. 4094; Przełącznik musi obsługiwać ramki min bajtów (Jumbo Frames lub równoważne); Przełącznik musi obsługiwać znaczniki Q-in-Q (lub równoważny); Przełącznik musi obsługiwać 8 kolejek priorytetów na każdym porcie wyjściowym i zapewniać obsługę QoS w oparciu o: o IEEE 802.1p o DiffServ; Przełącznik musi obsługiwać Link Layer Discovery Protocol LLDP IEEE 802.1AB (lub równoważny); Przełącznik musi obsługiwać LLDP Media Endpoint Discovery (LLDP-MED); Przełącznik musi posiadać wbudwany serwer i klient DHCP; Przełącznik musi posiadać możliwość instalacji min. dwóch wersji oprogramowania oraz pozwalać na przechowywanie wielu (min. 10) konfiguracji; Wymagana jest możliwość rozszerzenia funkcjonalności przełączników o funkcjonalność MPLS/VPLS (lub równoważną), LDP (lub równoważną), RSVP-TE (lub równoważny), chyba, że oferowany przełącznik już tę funkcje posiada. 10

11 a. Wymagania dla obsługi routingu IPv4 Obsługa routingu statycznego; Obsługa routingu dynamicznego IPv4 o RIPv1/v2 (lub równoważny) o OSPFv2 (lub równoważny) o BGPv4 (lub równoważny) o IS-IS (lub równoważny) Sprzętowa obsługa routingu IPv4 forwarding; Musi obsługiwać redundancję routingu VRRP (RFC 2338); Pojemność tabeli routingu min. 16 tys. wpisów; b. Wymagania funkcjonalne dla obsługi routingu IPv6 Sprzętowa obsługa routingu IPv6 forwarding; Wymagana jest pojemność tabeli routingu na poziomie minimum 8 tys. wpisów; Obsługa routingu statycznego; Obsługa routingu dynamicznego IPv6 o RIPng (lub równoważny) o OSPFv3 (lub równoważny) o IS-IS (lub równoważny) o BGPv4 (lub równoważny) Obsługa 6to4 (RFC3056) (lub równoważny); Obsługa redundancji routingu VRRP (lub równoważny); Pojemność tabeli routingu min. 8 tys. wpisów; c. Wymagania dla multicast Obsługa VLAN u multicast; Statyczna obsługa routing multicast; Obsługa PIM-SM, PIM-DM, PIM-SSM ; Obsługa MLDv1; Obsługa MLDv2; Obsługa IGMP v1 (RFC 1112) (lub równoważny); Obsługa IGMP v2 (RFC 2236) (lub równoważny); Obsługa IGMP v3 (RFC 3376) (lub równoważny); Obsługa IGMP v1/v2/v3 snooping (lub równoważny); d. Wymagania funkcjonalne dla bezpieczeństwa Obsługa IEEE 802.1x, MAC authentication oraz Web-based Network Login (lub równoważny); Obsługa wielu klientów 802.1x na jednym porcie (Multiple supplicant) (lub równoważny); Obsługa przydziału sieci VLAN, ACL podczas logowania 802.1x (lub równoważny); Obsługa Guest VLAN dla IEEE 802.1x (lub równoważny); Obsługa sieci VLAN, do której zostaną przyłączeni klienci w przypadku braku komunikacji z systemem RADIUS; Musi posiadać możliwość uruchomienia autoryzacji MAC oraz 802.1x na tym samym porcie; Możliwość obsługi żądań zmiany autoryzacji (Change of Authorization) zgodnie z RFC 5176 lub innej metody np. poprzez SNMP nie dopuszczalne jest stosowanie metody wyłączenia i włączenia portu. Funkcjonalność niezbędna jest do wdrożenia systemu Identity Access Management; Obsługa RADIUS Authentication (lub równoważny); Obsługa RADIUS Accounting (lub równoważny); 11

12 Możliwość zliczania pakietów lub bajtów trafiających do konkretnej reguły ACL; Musi realizować bezpieczeństwo MAC adresów o ograniczenie liczby MAC adresów na porcie o zatrzaśnięcie MAC adresu na porcie Musi posiadać możliwość wyłączenia MAC learning; Musi realizować dwukierunkowe (ingress / egress) listy kontroli dostępu ACL pracujące na warstwie 2, 3 i 4 o Adres MAC źródłowy i docelowy plus maska o Adres IP źródłowy i docelowy plus maska dla IPv4 oraz IPv6 o Protokół - np. UDP, TCP, ICMP, IGMP, OSPF, itd. o Numery portów źródłowych i docelowych TCP i UDP o Zakresy portów źródłowych i docelowych TCP i UDP o Identyfikator sieci VLAN - VLAN ID o Flagi TCP Sprzętowa obsługa list kontroli dostępu ACL; Obsługa funkcji bezpiecznego transferu plików SCP lub SFTP; Obsługa DHCP Option 82; Obsługa IP Security funkcjonalność Dynamic ARP Inspection, DHCP Snooping oraz IP Source Guard (lub równoważny); Obsługa ograniczenia przepustowości (rate limiting) z kwantem 32 kb/s; Obsługa RSTP (Rapid Spanning Tree Protocol) IEEE 802.1w (lub równoważny); Obsługa MSTP (Multiple Spanning Tree Protocol) IEEE 802.1s (lub równoważny); Obsługa G.8032 (lub równoważny); Obsługa Link Aggregation IEEE 802.3ad wraz z LACP - minimum 63 grup po minimum 8 portów w grupie (lub równoważny); Obsługa połączenia Link Aggregation do dwóch niezależnych przełączników - dwa przełączniki są widziane przez inne urządzenia sieciowe jako jeden, pojedynczy przełącznik. Zamawiający zamierza wykorzystać tą funkcjonalność tym samym przełączniki muszą zostać skonfigurowane w ten sposób podczas implementacji e. Zarządzanie Musi obsługiwać synchronizację czasu SNTP (Simple Network Time Protocol) lub NTP; Musi obsługiwać serwer NTP pozwalający na synchronizację czasu innych urządzeń z przełącznikiem; Musi umożliwiać zarządzanie SNMP v1/v2/v3 (lub równoważny); Musi umożliwiać zarządzanie przez przeglądarkę WWW - protokół http i https (lub równoważny); Musi posiadać Telnet Serwer/klient ; Musi posiadać SSH2 Serwer/klient; Musi posiadać Ping dla IPv4 oraz IPv6; Musi posiadać Traceroute (lub równoważny) dla IPv4 oraz IPv6; Musi obsługiwać SYSLOG z możliwością definiowania do wielu serwerów; Musi posiadać sprzętową obsługę monitoringu ruchu w sieci; Musi obsługiwać RMON min. 4 grupy: Status, History, Alarms, Events (RFC 1757) (lub równoważny); f. Inne Obsługa Data Center Bridging; Obsługa Priority Flow Control (PFC); Obsługa Enhanced Transmission Selection (ETS); 12

13 Wsparcie dla Software Defined Networking (SDN), OpenFlow poprzez wymianę oprogramowania lub dodatkową licencję; Dopuszczalne jest zastosowanie większej liczby urządzeń lub przełącznika modularnego dla zapewnienia wymaganej liczby portów w przełączniku szkieletowym pod warunkiem zapewnienia pełnej przepustowości między wszystkimi portami w tak zbudowanym szkielecie sieci. VI. Wymagania dla sieci bezprzewodowej Budynek G-321 ma być wyposażony w sieć bezprzewodową zgodną ze standardem IEEE ac. Poniższa tabela przedstawia planowaną liczbę punktów bezprzewodowych. Tabela nr 3 Piętro Założona liczba bezprzewodowych punktów dostępowych Poziom -1 2 Parter 4 Piętro I 2 Piętro II 2 Piętro III 2 Piętro IV 2 Piętro V (biura) 6 Piętro VI (open space) 6 Punkty dostępowe muszą być obsługiwane przez kontroler sieci bezprzewodowej (fizyczny lub wirtualny). W celu zapewnienie odporności na awarię muszą to być dwa kontrolery pracujące w redundantnym klastrze zapewniającym bezprzerwową transmisję danych w sieci bezprzewodowej. Ze względu na duże dostępne pasmo w technologii IEEE ac punkty dostępowe muszą przeprowadzać autoryzację użytkowników poprzez kontroler bezprzewodowy lub bezpośrednio przez serwer RADIUS zgodnie z IEEE 802.1x, a następnie po autoryzacji dopuszczać użytkownika do sieci w miejscu dołączenia punktu dostępowego do wskazanej sieci wirtualnej. Awaria kontrolera nie może wpływać na pracę zautoryzowanego użytkownika brak jakiejkolwiek utraty transmitowanych danych przez klienta sieci bezprzewodowej. a. Wymagania dla bezprzewodowych punktów dostępowych Punkt bezprzewodowy dwuradiowy musi pracować w standardzie IEEE a/b/g/n oraz IEEE ac; Musi wspierać zasilanie poprzez skrętkę PoE lub PoE+; Musi posiadać możliwość zasilania poprzez dedykowane gniazdo zasilające; Musi pracować w zakresie temperatur od 0 do 50 st. C; Musi posiadać port konsoli do konfiguracji punktu poprzez CLI; Musi posiadać wbudowane anteny i pozwalać na pracę przynajmniej MIMO 3x3:3; Musi posiadać 2 porty 10/100/1000BASE-T (RJ-45); Musi obsługiwać minimum 8 SSID na każdym radiu; Musi obsługiwać minimum 100 użytkowników na każdym radiu; Musi pozwalać na instalację na ścianie i na suficie; Musi zapewniać możliwość rozbudowy o uruchomienia punktu dostępowego jako WIDS (Wireless Intrusion Detection System) oraz WIPS (Wireless Intrusion Prevention System) na kanale, na którym pracuje lub jako dedykowany sensor obsługujący wszystkie kanały; Musi zapewniać możliwość analizy spektrum widma z automatycznym wykrywaniem najpopularniejszych zakłóceń (fingerprinting), wykrywanie min 5 różnych typów interferencji nie pochodzących od sieci WiFi; 13

14 Musi zapewniać możliwość triangulacji położenia klientów i raportowanie położenia do systemu zarządzania; Musi zapewniać możliwość stworzenia sieci kratowej (mesh); Musi zapewniać sprzętową szyfracje zarówno transmisji danych klienckich jak i danych kontrolnych; Musi wspierać standard IEEE h wsparcie DFS oraz TPC; Musi zapewniać automatyczną kontrolę kanałów oraz mocy nadawczej; Musi zapewniać możliwość wyboru podziału obsługi klientów wg. slotów czasowych lub przesłanych danych Airtime Fairness; Musi zapewniać wsparcie QoS w sieci bezprzewodowej WMM; Musi zapewniać szybki roaming pomiędzy punktami dostępowymi; Musi zapewniać obsługę protokołów multicast; Musi zapewniać obsługę ACL oraz ograniczenia pasma dla klientów bezprzewodowych; b. Wymagania dla kontrolerów bezprzewodowych Może być zainstalowany w środowisku wirtualnym które zostanie dostarczone wraz z serwerami. Jednocześnie zamawiający dopuszcza zastosowanie kontrolera dedykowanego w postaci modułu instalowanego w przełączniku rdzeniowym; Musi obsługiwać dla niniejszego postępowania minimum 32 punkty dostępowe z możliwością rozszerzenia liczby obsługiwanych punktów do 200; Musi obsługiwać min użytkowników jednocześnie; Musi zawierać wszystkie niezbędne licencje do uruchomienia dwóch kontrolerów w klastrze; dla zapewnienia redundancji. W przypadku dostarczania kontrolera sprzętowego (modułu do przełącznika rdzeniowego) konieczne jest dostarczenie dwóch kontrolerów pracujących w redundancji z parametrami nie gorszymi niż wymagane od kontrolerów wirtualnych preferowanych przez Zamawiającego; Musi zapewniać obsługę min. 2 portów logicznych w systemie dołączenia do sieci. W przypadku dedykowanego kontrolera sprzętowego (modułu) min. 2 porty o przepustowości 1G; Musi zapewniać automatyczne wykrywanie nowych punktów dostępowych i dołączanie ich z przygotowanymi ustawieniami do sieci; Musi zapewniać autoryzację użytkowników w oparciu o IEEE x oraz EAP-TLS, EAP- SIM, EAP-TTLS, PEAP; Musi zapewniać bezpieczeństwo i szyfrację zgodną z: IEEE i, WEP, WPA, WPA2, TKIP oraz AES; Musi zapewniać obsługę RADIUS authentication oraz accounting; Musi zapewniać obsługę gości poprzez wbudowany oraz zewnętrzny portal autoryzacyjny; Musi zapewniać dedykowany portal dla tworzenia kont dla gości; Musi zapewniać możliwość autoryzacji gości w kontrolerze; Musi zapewniać prawidłową pracę z systemem NAC, systemem zarządzania tożsamości dostępu dostarczanym w ramach niniejszego postępowania; Musi zapewniać obsługę transmisji głosu poprzez sieć wireless zgodną ze standardami: IEEE e/WMM; Musi zapewniać możliwość mapowania QoS z sieci wireless (WMM) do sieci Ethernet (DSCP/ToS); Musi zapewniać możliwość uruchomienia DHCP serwera na wskazanych podsieciach; Musi zapewniać możliwość zarządzania poprzez przeglądarkę www (https); Musi zapewniać możliwość zarządzania poprzez CLI oraz SSHv2; Musi zapewniać możliwość zarządzania poprzez protokół SNMP v1/v2/v3; 14

15 VII. Wymagania dla oprogramowania zarządzającego Zamawiający w ramach projektu wymaga dostarczenia dedykowanego oprogramowania służącego do scentralizowanego zarządzania całą siecią. Rozwiązanie ma na celu uprościć i przyspieszyć operacje zarządzania siecią udostępniając jeden interfejs zarządzania do realizacji następujących funkcji: aktualizacji oprogramowania na wszystkich elementach infrastruktury sieciowej, rekonfiguracji urządzeń poprzez protokół SNMP v1/v2/v3, raportowanie zdarzeń i alarmów występujących w sieci. System zarządzania musi zapewniać jednolite zarządzanie siecią przewodową i bezprzewodową ze względu na możliwość przemieszczania się użytkowników pomiędzy tymi sieciami i zapewnić im jednakowe polityki dostępu do sieci, dodatkowo oprogramowanie powinno posiadać element umożliwiający wizualizację aplikacji, współpracując z dostarczonym w ramach tego postępowania systemem do analizy aplikacji. System zarządzania powinien współpracować z rozwiązaniem do zarządzania tożsamością dostępu (rozwiązanie klasy NAC), będącym elementem postępowania. a. Wymagania dla oprogramowania zarządzającego oraz systemu zarządzania tożsamością dostępu (rozwiązanie klasy NAC) Aplikacja zarządzająca musi działać w architekturze klient-serwer, czyli główna część oprogramowania pracuje na serwerze, a klienci mogą dołączyć się do serwera z dowolnego komputera pracującego w sieci; o Serwer aplikacji zarządzającej musi mieć możliwość pracy jako aplikacja dedykowana dla dostarczonego systemu wirtualizacyjnego który zostanie dostarczony wraz z serwerami. o Aplikacja musi wspierać klientów pracujących z wykorzystaniem systemu Windows oraz MAC OS Aplikacja zarządzająca musi pozwalać na zarządzanie siecią przewodową i bezprzewodową. Aplikacja powinna dostarczać raporty dotyczące w/w rozwiązania; Aplikacja zarządzająca musi obsługiwać minimum 50 urządzeń (adresów IP); Aplikacja zarządzająca musi pozwalać na zarządzanie siecią dla minimum 25 jednoczesnych użytkowników; Aplikacja zarządzająca musi umożliwiać zarządzanie urządzeniami producenta aplikacji, jak i przełączników firm trzecich; Aplikacja zarządzająca musi pozwalać na uruchomienie zapasowego (redundantnego) systemu zarządzającego. Dostawca zobowiązany jest dostarczyć dodatkowe licencje na oprogramowanie jeśli jest to wymagane przez producenta systemu zarządzającego; Aplikacja zarządzająca musi mieć możliwość definiowania wielopoziomowych dostępów do aplikacji zarządzającej wraz z definicją praw dla poszczególnych użytkowników; Aplikacja zarządzająca musi mieć możliwość integracji autoryzacji użytkowników za pomocą LDAP i/lub Radius; Aplikacja zarządzająca musi pracować w oparciu o protokół SNMPv1, SNMPv2, SNMPv3; Aplikacja zarządzająca musi pozwalać na tworzenie profili SNMP dla grup urządzeń tak, aby za każdym razem przy konfiguracji nowego urządzenia nie było konieczności konfiguracji wszystkich parametrów, a konieczny był tylko wybór profilu; Aplikacja zarządzająca musi posiadać możliwość automatycznej reakcji na przychodzące trapy SNMP lub informacje z Syslog poprzez wysłanie a, wysłanie trapu SNMP, wpisu do Syslog a; Aplikacja zarządzająca musi posiadać wbudowany Syslog serwer; Aplikacja zarządzająca musi umożliwiać automatyczną realizację backupów swojej własnej konfiguracji pozwalających na szybkie odtworzenie aplikacji w przypadku awarii serwera. Zamawiający wymaga uruchomienia aplikacji do zarządzania w trybie wysokiej dostępności (dwa systemu zarządzania, replikujące się pomiędzy sobą); Aplikacja zarządzająca musi zapewniać automatyczne i ręczne wykrywanie i rozpoznawanie urządzeń sieciowych, wraz z automatycznym ich grupowaniem według typu, lokalizacji i kontaktu do administratora; 15

16 Aplikacja zarządzająca musi pozwalać na tworzenie przez administratora grup urządzeń oraz portów na urządzeniach; Aplikacja zarządzająca musi zapewniać możliwość wizualizacji sieci z uwzględnieniem o połączeń pomiędzy poszczególnymi urządzeniami z zaznaczeniem ich przepustowości o stanu protokołu Spanning Tree oraz Multiple Spanning Tree wraz z opisem węzłów oraz roli portów o konfiguracji sieci VLAN o konfiguracji protokołu routingu OSPF; Aplikacja zarządzająca musi zapewniać możliwość bezpośredniego połączenia do wskazanego na mapie urządzenia za pomocą telnet, ssh lub http/https; Aplikacja zarządzająca musi zapewniać możliwość inwentaryzacji urządzeń w sieci zawierającej następujące dane: o adres IP urządzenia o adresu MAC urządzenia o nazwy urządzenia o wersji oprogramowania o lokalizacji urządzenia o danych kontaktowych administratora o numeru seryjnego; Aplikacja zarządzająca musi zapewniać centralne zarządzanie konfiguracjami urządzeń sieciowych. Wymagana jest: o możliwość automatycznej periodycznej realizacji backup u konfiguracji urządzeń o wskazanym czasie o możliwość odtworzenia wskazanej konfiguracji urządzenia o możliwość porównywania różnic we wskazanych tekstowych plikach konfiguracyjnych o możliwość obsługi urządzeń sieciowych różnych producentów; Aplikacja zarządzająca musi zapewniać możliwość aktualizacji oprogramowania na urządzeniach sieciowych. Wymagana jest możliwość zaplanowania aktualizacji oraz restartu urządzeń we wskazanym dniu i wskazanym czasie; Aplikacja zarządzająca musi przechowywać historię zmian konfiguracji oraz oprogramowania na urządzeniach; Aplikacja zarządzająca musi zapewniać możliwość stworzenia raportu wykorzystywanych portów urządzeń sieciowych.; Aplikacja zarządzająca musi posiadać wbudowany portal www dostępny dla administratora oraz działu wsparcia użytkowników. Portal musi umożliwiać: o Wyszukiwanie użytkowników podpiętych do sieci kablowej jak i bezprzewodowej, o Wyświetlanie typów autentykacji wykorzystywanych przez użytkowników (grupowanie per typ), o Uzyskanie informacji nt. procesu oceny (z ang. posture lub assessment) urządzeń użytkowników, o Uzyskanie wykresu przedstawiającego ilość użytkowników których proces autentykacji w sieci nie zakończył się sukcesem, o Uzyskanie danych historycznych dot. podłączenia klienta do sieci, o Szybką lokalizację użytkownika w sieci na podstawie adresu MAC, adresu IP, nazwy użytkownika lub komputera w sieci przewodowej i bezprzewodowej oraz typu urządzenia (np. iphone, ipad, Windows), o Po zlokalizowaniu użytkownika wskazanie gdzie użytkownik jest dołączony w sieci, z podaniem minimum urządzenia sieciowego (przełącznik lub bezprzewodowy punkt dostępowy), o Generowanie raportów; Aplikacja zarządzająca musi zapewniać zarządzenia siecią bezprzewodową. 16

17 o Aplikacja zarządzająca musi współpracować wraz z dostarczonymi kontrolerami sieci bezprzewodowej, o Musi zapewniać informację o liczbie kontrolerów oraz punktów dostępowych i ich stanie (działa / nie działa). o Musi zapewniać podsumowanie zawierające informacje o liczbie klientów podłączonych do sieci bezprzewodowej o Musi zapewniać możliwość wyszukania Klienta z podziałem na wykorzystywane technologie bezprzewodowe: IEEE a, IEEE b, IEEE g, IEEE n (2.4 GHz), IEEE n (5 GHz), IEEE ac o Musi zapewniać widzialność parametrów wszystkich kontrolerów bezprzewodowych zawierających następujące informacje: adres IP kontrolera liczba obsługiwanych klientów wersja oprogramowania o Musi zapewniać widzialność parametrów wszystkich punktów dostępowych zawierających następujące informacje: adres IP punktu dostępowego MAC adres punktu dostępowego wersja oprogramowania typ punktu dostępowego kanały pracy poszczególnych interfejsów radiowych o Musi zapewniać widzialność parametrów wszystkich klientów bezprzewodowych dołączonych do sieci bezprzewodowej zawierających następujące informacje: adres IP klienta MAC adres klienta nazwa użytkownika nazwa punktu dostępowego, do którego dołączony jest użytkownik SSID, do którego dołączony jest użytkownik o Musi zapewniać możliwość tworzenia map budynku i umieszczenia na nich punktów dostępowych. Mapy muszą zapewniać następujące funkcjonalności: zaznaczanie obszarów pokrycia siecią bezprzewodową, Wykonawca wykona mapy każdego piętra. zaznaczenie kanałów pracy urządzeń, Wykonawca wykona mapy każdego piętra lokalizację klienta na mapie na podstawie triangulacji siły sygnału z punktów dostępowych Aplikacja zarządzająca musi być zintegrowana z systemem zarządzania tożsamością dostępu (rozwiązanie klasy NAC) będącego elementem niniejszego postępowania z zapewnieniem widzialności następujących informacji: o adresu MAC o adresu IP o nazwy komputera o typu klienta oraz systemu operacyjnego np. Windows, iphone, ipad itp. o danych dot. urządzenia do którego dołączony jest klient może być to informacja nt. bezprzewodowego punktu dostępowego lub przełącznika. o identyfikacji portu, do którego dołączony jest klient identyfikacja portu urządzenia bezprzewodowego (np. urządzenie może mieć dwa radia: jedno na 2.4 GHz, a drugie na 5 GHz) lub portu przełącznika sieciowego o typu autentykacji użytkownika o nazwy przydzielonego profilu (dla WLAN, nie wymaga się dla LAN) System zarządzania tożsamością dostępu (rozwiązanie klasy NAC) musi zapewniać przydzielanie polityki (np. sieć VLAN, ACL) bazując na wymienionych w poprzednim punkcie informacjach oraz sposobie autoryzacji. System ma zapewniać możliwość 17

18 rozróżniania logujących się do sieci użytkowników m.in. na podstawie typu urządzenia, czyli polityki dostępu dla użytkownika pracującego na komputerze może być inna od polityki użytkownika dostającego się do sieci za pomocą tego samego użytkownika i hasła np. z telefonu komórkowego przypisywanie profilu, podejmowanie decyzji na podstawie typu urządzenia System zarządzania tożsamością zautoryzowanych klientów w sieci musi zapewniać przechowywanie historii zautoryzowanych klientów oraz aktualnego statusu klienta System zarządzania tożsamością klientów musi zapewniać możliwość ponownej autentykacji użytkownika na żądanie (poprzez CoA lub port bounce) np. w celu przeniesienia użytkownika do innej polityki bezpieczeństwa System zarządzania tożsamością zautoryzowanych klientów musi zapewniać możliwość przeniesienia klienta/urządzenia do grupy urządzeń. Grupa urządzeń może być powiązana z inną polityką bezpieczeństwa lub może to być np. grupa urządzeń, którzy mają zabroniony dostęp do sieci grupa Black List System zarządzania tożsamością zautoryzowanych klientów musi zapewniać możliwość rejestracji urządzeń poprzez portal www. Rejestracji mogą podlegać np. urządzenia gości lub urządzenia, które nie mają możliwości przeprowadzenia autentykacji w sieci. System zarządzania tożsamością zautoryzowanych klientów musi posiadać informacje podsumowujące zawierające: o liczbę urządzeń z podziałem na urządzenia klientów zautoryzowanych, klientów z problemami autoryzacyjnymi itp. o liczbę urządzeń z podziałem typu autoryzacji np.: MAC, 802.1x itp. o liczbę urządzeń z przydziałem poszczególnych profili/polityk bezpieczeństwa System zarządzania tożsamością zautoryzowanych klientów jeśli jest licencjonowany na liczbę użytkowników musi zapewniać obsługę min. 500 urządzeń klienckich (adresów MAC). Jeśli system jest licencjonowany na liczbę urządzeń autoryzujących to musi zapewniać obsługę minimum 200 punktów dostępowych oraz minimum 50 przełączników sieciowych System zarządzania musi posiadać możliwość integracji z systemem pozwalającym na analizę ruchu w sieci do warstwy 7 dostarczonego w ramach tego postępowania. System kontroli dostępu lub system zarządzania musi posiadać wbudowane i otwarte API pozwalające na komunikację i integrację z systemami zewnętrznymi innych producentów np. integrację z systemami klasy firewall, systemami kontroli dostępu do budynku, etc. Wymagania szczegółowe dla integracji dostarczanego w ramach niniejszego postępowania systemu Firewall z systemem kontroli dostępu do sieci NAC: o o o o W celu dystrybuowania w ramach całego systemu informacji o wykryciu tzw. nieautoryzowanych działań przez komponent firewall, niezbędne będzie wprowadzenie możliwości wymieniania informacji pomiędzy firewall a Systemem Kontroli Dostępu (NAC). Dzięki temu informacja o wszelkich naruszeniach tzw. polityki bezpieczeństwa, które zostaną wykryte w miejscu oddziaływania Firewall, będzie mogła być dystrybuowana i egzekwowana w miejscu podłączenia do sieci użytkowników odpowiedzialnych za w/w naruszenia. Systemy Firewall i System Kontroli Dostępu do sieci opisane w specyfikacji muszą być w stanie wymieniać informacje o uwierzytelnianiu użytkownika, stanie autoryzacji użytkowników (stan podłączenia, ew. reautentykacja, stan rozłączenia) oraz kontrolować ten stan np. wykonać akcję odłączenia użytkownika od sieci (CoA, change of authorization). Zintegrowane systemy (firewall jak i NAC) muszą mieć dostępne interfejsy typu API. Rozwiązanie może być wspierane natywnie przez system Firewall i system NAC, również istnieje możliwość dostarczenia oprogramowania pośredniczącego do realizacji w/w funkcjonalności (middleware)_ 18

19 Aplikacja zarządzająca musi być zintegrowana z systemem analizy aplikacji (rozwiązanie klasy DPI Deep Packet Inspection) będącego elementem niniejszego postępowania z zapewnieniem widzialności następujących informacji: o analiza ruchu sieciowego o analizę wykorzystania aplikacji przez użytkowników o identyfikację różnych typów aplikacji (sygnatury aplikacji) o analizy wydajności aplikacji np. najwolniejsze, najszybsze aplikacje w sieci o wyświetlania detali poszczególnych transakcji sieciowych (klient-serwer) o tworzenia raportów z wykorzystania aplikacji Opisywany system zarządzania musi posiadać możliwość dołączenia jednocześnie minimum 20 systemów analizy aplikacji, zapewniając centralny element monitorowania wykorzystania aplikacji w sieci zamawiającego. VIII. Wymagania dla systemu SIEM (Security Information and Event Management) Zamawiający wymaga dostarczenia rozwiązania zapewniającego odbieranie zdarzeń z posiadanych urządzeń i systemów generujących informacje w różnych formatach. System musi zapewniać gromadzenie logów w wewnętrznej bazie danych w postaci surowej oraz zapewniać normalizowanie, filtrowanie, korelowanie, nadawanie priorytetów oraz prezentowanie zgromadzonej informacji. Zamawiający wymaga w szczególności prawidłowego odbierania i właściwego parsowania (identyfikacji) wszystkich logów z zamawianych przełączników sieci LAN. Rozwiązanie powinno posiadać możliwość odbierana logów z urządzeń sieci bezprzewodowej (kontroler sieci bezprzewodowej) oraz integrację z aplikacją zarządzającą (system zarządzania), możliwość odbierana logów z dostarczonego systemu zarządzania tożsamością dostępu (system klasy NAC) Zamawiający zastrzega sobie prawo do wezwania Wykonawcy do wykonania testów funkcjonalnych proponowanego systemu zgodnie z poniższym opisem funkcjonalnym. Rozwiązanie musi być dostarczone i zainstalowane na dostarczonych serwerach w postaci serwera wirtualnego wraz z niezbędnymi licencjami do realizacji zadań bez jakichkolwiek ograniczeń w ramach wszystkich ich funkcjonalności i w dowolny sposób oraz przez nieograniczoną liczbę użytkowników i osób (również spoza organizacji Zamawiającego), nieograniczonymi czasowo dla systemu SIEM, której licencjonodawca nie może wypowiedzieć. System musi posiadać zintegrowane funkcje odbierania logów od urządzeń oraz odbierania informacji o przepływach (Flow). System SIEM musi działać na bazie dostosowanego do potrzeb systemu operacyjnego który musi być dostarczony łącznie z oprogramowaniem SIEM. System SIEM musi być dostarczony z licencją nieograniczoną czasowo, której licencjonodawca nie może wypowiedzieć, zapewniającą obsługę do min zdarzeń na sekundę oraz do min. 25 tys. przepływów dwukierunkowych na minutę. System SIEM musi zapewniać możliwość integracji zewnętrznych repozytoriów danych iscsi SAN oraz NAS. System SIEM musi zapewniać możliwość uruchomienia drugiego urządzenia w trybie wysokiej dostępności HA (High Availability) system HA nie jest częścią tego postępowania Proponowany system SIEM musi zapewniać możliwość pracy w strukturze rozproszonej z dedykowanymi urządzeniami odpowiedzialnymi za gromadzenie logów oraz/lub przepływów (Flow). Poszczególne moduły systemu SIEM muszą być zintegrowane ze sobą tak, aby informacje o naruszeniach bezpieczeństwa były przedstawiane na podstawie analizy wszystkich modułów pracujących w systemie na jednej konsoli administracyjnej. Rozproszony system SIEM ma zwiększyć wydajność całego systemu oraz umieścić urządzenia bliżej systemów generujących dużą liczbę zdarzeń w celu ograniczenie niezbędnego pasma wymaganego do obsługi systemu SIEM. Wykonawca zobowiązany jest do dostarczenia systemu SIEM pracującego na pojedynczym serwerze wirtualnym jeśli jest w stanie spełnić wymagania co do liczby obsługiwanych zdarzeń i przepływów. W przeciwnym przypadku konieczne jest dostarczenie systemu rozproszonego. 19

20 Komunikacja pomiędzy poszczególnymi komponentami rozproszonego systemu SIEM musi mieć możliwość ochrony danych poprzez szyfrowanie. System SIEM musi zapewniać obsługę incydentów bezpieczeństwa na podstawie zdarzeń i logów z systemów zabezpieczeń (firewall, VPN, IPS, AV, itd.), systemów operacyjnych (UNIX, Microsoft Windows) oraz baz danych. Obsługa incydentów bezpieczeństwa musi odbywać się na podstawie informacji o przepływach NetFlow, J-Flow, S-Flow i Packeteer oraz odczytywanych bezpośrednio z sieci port mirroring. System SIEM musi umożliwiać odbieranie logów z zewnętrznych systemów za pomocą minimum Syslog, SNMP Trap, a także Security Device Event Exchange (SDEE) i Java Databse Connectivity API (JDBC). System SIEM musi posiadać możliwość powiadamiania administratora lub innych systemów o zdarzeniach za pomocą co najmniej , SNMP oraz Syslog. Administrator systemu SIEM musi mieć możliwość dostępu do systemu z wykorzystaniem standardowej przeglądarki Web bez konieczności instalowania do tego celu dodatkowych aplikacji. System SIEM musi zapewniać możliwość konfiguracji wielu administratorów z precyzyjnym definiowaniem ich uprawnień do monitorowanego obszaru systemu informatycznego oraz przypisywanie zidentyfikowanych incydentów bezpieczeństwa do obsługi określonym administratorom. Wszyscy użytkownicy systemu SIEM muszą być autoryzowani przez lokalną bazę użytkowników lub poprzez RADIUS, LDAP oraz Active Directory. System SIEMmusi utrzymywać centralne repozytorium logów z możliwością ich przeglądania w formie surowej (raw) oraz znormalizowanej. Każde zdarzenie musi być opatrzone wskaźnikiem czasu (timestamp). Starsze logi muszą być poddawane kompresji. Składowane w systemie informacje muszą być zabezpieczone kryptograficznie za pomocą sum kontrolnych min. MD5 oraz SHA-2 (NIST FIPS 180-2). System SIEM musi mieć możliwość tworzenia raportów generowanych zgodnie z kryteriami ustalonymi przez administratorów oraz na podstawie predefiniowanych wzorców (raportów). Raporty muszą być tworzone w wielu formatach minimum PDF, HTML, CSV, RTF oraz XML. System SIEM musi posiadać, co najmniej 200 predefiniowanych raportów. Raporty muszą być pogrupowane wg. typu urządzeń i zdarzeń bezpieczeństwa co umożliwi ich szybsze wyszukanie. System SIEM musi posiadać raporty na zgodność ze standardami bezpieczeństwa minimum dla HIPAA, PCI oraz SOX. System SIEM musi zapewniać wykrywanie ataków typu denial-of-service (DoS) oraz distributed denial-of-service (DDoS). System SIEM musi alarmować o zaobserwowanych anomaliach oraz zmianach w zachowaniu się sieci i poszczególnych urządzeń. System SIEM musi redukować dane o zdarzeniach i przepływach oraz alarmować administratorów zgodnie z ustalonymi z politykami. Konieczne jest rozróżnianie priorytetów dla urządzeń, protokołów oraz alarmów. Wraz z systemem SIEM wymaga się przeprowadzenia instrukcji stanowiskowej dla 3 osób z zakresu konfiguracji i eksploatacji systemu SIEM. Instruktarz musi odbywać się w siedzibie Zamawiającego po wcześniejszym ustaleniu terminu nie później niż 30 dni przed planowanym przez Wykonawcę instruktarzem: a. Podstawowy instruktarz z obsługi systemu SIEM musi obejmować zagadnienia: o Szczegółowy przegląd funkcjonalności rozwiązania SIEM, systemu NBAD (Network Behavioral Anomaly Detection), agregacji logów, korelacji zdarzeń i zarządzania incydentami bezpieczeństwa. o Wykłady i laboratorium praktyczne dotyczące konfiguracji urządzeń przy wykorzystaniu konsoli administracyjnej oraz tworzenie własnej hierarchii sieci. 20