Kraków, dnia 1 czerwca 2007 r.

Transkrypt

1 BIURO ZAMÓWIEŃ PUBLICZNYCH UNIWERSYTETU JAGIELLOŃSKIEGO Ul.Straszewskiego 25/9, Kraków tel , fax ; Kraków, dnia 1 czerwca 2007 r. SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA zwana dalej w skrócie SIWZ 1) Nazwa (firma) oraz adres zamawiającego. 1. Uniwersytet Jagielloński, ul. Gołębia 24, Kraków. 2. Jednostka prowadząca sprawę: 2.1.Biuro Zamówień Publicznych UJ, ul. Straszewskiego 25/9, Kraków; tel ; fax ; e mail: bzp@adm.uj.edu.pl 2) Tryb udzielenia zamówienia. 1. Postępowanie prowadzone jest w trybie przetargu nieograniczonego, zgodnie z przepisami ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych, zwaną w dalszej części SIWZ PZP (t.j. Dz. U. z 2006 r., Nr 164, poz. 1163, z późn. zm.). 2. Postępowanie prowadzone jest przez komisję przetargową powołaną do przeprowadzenia niniejszego postępowania o udzielenie zamówienia publicznego. 3. Do czynności podejmowanych przez zamawiającego i wykonawców w postępowaniu o udzielenie zamówienia stosuje się przepisy powołanej ustawy Prawo zamówień publicznych oraz aktów wykonawczych wydanych na jej podstawie, a w sprawach nieuregulowanych przepisy ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93, z późn. zm.). 3) Opis przedmiotu zamówienia. 1. Przedmiotem postępowania i zamówienia jest wyłonienie wykonawcy w zakresie zakupu i dostawy urządzeń do rozbudowy sieci intranetowych (kampusowych) dla Uniwersytetu Jagiellońskiego w Krakowie w odniesieniu do czterech części, tj.: 1 urządzenie bezpieczeństwa typu Integrated Security Gateway, 2 rozbudowa switcha Marconi ASX moduły do switcha Marconi ESR zakup switchy klasy ExtremeNetworks Szczegółowy opis przedmiotu zamówienia odpowiednio dla części 1, 2, 3 i 4: Część 1: Zakup i dostawa urządzenia bezpieczeństwa typu Integrated Security Gateway. Urządzenie wzorcowe: Juniper Netscreen ISG 1000 (wydajność startowa: firewalla 1Gbps, IPSEC VPN 1Gbps, IDP 0.6Gbps). Wymagane minimalne właściwości systemu: 1. System zabezpieczeń musi realizować zadania firewall, wykonując kontrolę na poziomie sieci oraz aplikacji w oparciu o technologię Deep Packet Inspection. Urządzenie zabezpieczeń musi umożliwiać wykrywanie i blokowanie ataków intruzów (in line IDS) oraz posiadać możliwość zestawiania zabezpieczonych kryptograficznie e mail: bzp@adm.uj.edu.pl Strona 1 z 33

2 tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site to site oraz client tosite. 2. Aktualizacja bazy sygnatur ataków in line IDS (Deep Packet Inspection) odbywać się musi na żądanie, bądź zgodnie z zaprogramowanym harmonogramem. Sposób aktualizacji bazy sygnatur ustalany ma być w konfiguracji. 3. Urządzenie zabezpieczeń musi być wyposażone w dedykowane sprzętowe moduły Intrusion Prevention System, realizujące kontrolę i ochronę przed atakami aplikacyjnymi z wydajnością rzędu 1 Gbps. 4. Ustalenie blokowanych ataków (intruzów, robaków) musi odbywać się w regułach polityki bezpieczeństwa (np. w regule zezwalającej na dostęp do serwera Web włączone są kategorie ataków na Web). System powinien mieć możliwość zdefiniowania co najmniej takich reguł. 5. System zabezpieczeń jest dostarczany jako dedykowane urządzenie sieciowe. Całość sprzętu i oprogramowania musi być dostarczana i supportowana przez jednego producenta. 6. Urządzenia zabezpieczeń muszą być sterowane przez opracowany przez producenta zabezpieczeń dedykowany system operacyjny czasu rzeczywistego (tzn. nie powinien to być zmodyfikowany system operacyjny ogólnego przeznaczenia jak Linux, czy FreeBSD). Funkcjonowanie zabezpieczeń musi być wspomagane sprzętowo za pomocą specjalizowanych układów scalonych (np. ASIC). Operacje kryptograficzne VPN muszą być w całości realizowane sprzętowo (m.in. szyfrowanie danych DES, AES i 3DES, uwierzytelnianie danych MD5 i SHA 1, negocjacje IKE przy zestawianiu tuneli VPN, operacje kryptograficzne klucza publicznego oraz generowanie liczb losowych). 7. Urządzenie zabezpieczeń musi posiadać przepływność firewall 1 Gbps dla każdego rodzaju rozmiaru pakietów sieciowych oraz VPN (3DES+SHA 1/ AES) 1 Gbps dla każdego rodzaju pakietów. Przy pakietach 64 bitowych wydajność winna wynosić co najmniej 1.5 mln pakietów/sec. 8. Urządzenie musi pozwalać na obsługę co najmniej jednoczesnych połączeń oraz co najmniej 2000 tuneli VPN jednocześnie. 9. System zabezpieczeń musi pozwalać ma pracę w trybie rutera (tzn. w warstwie 3 modelu OSI) oraz trybie transparentnym (tzn. w warstwie 2 modelu OSI). Funkcjonując w trybie transparentnym urządzenie może nie posiadać skonfigurowanych adresów IP na interfejsach sieciowych. Tryb pracy zabezpieczeń ustalany winien być w konfiguracji. 10. Sieci VPN tworzone przez system zabezpieczeń muszą działać poprawnie w środowiskach sieciowych, gdzie na drodze VPN wykonywana jest translacja adresów NAT. System zabezpieczeń musi posiadać zaimplementowany mechanizm IPSec NAT Traversal dla konfiguracji VPN client to site oraz site to site. 11. Sieci VPN site to site muszą mieć możliwość pracy w konfiguracjach Meshed VPN oraz Hub&Spoke. System zabezpieczeń musi posiadać zaimplementowane mechanizmy monitorowania stanu tuneli VPN i stałego utrzymywania ich aktywności (tzn. po wykryciu nieaktywności tunelu automatycznie następuje negocjacja IKE). 12. Konfiguracja VPN musi odbywać się w oparciu o reguły polityki bezpieczeństwa (Policy based VPN) oraz ustawienia rutingu (Routing based VPN). 13. Urządzenie zabezpieczeń musi być wyposażone 4 porty 10/100/1000Base TX wbudowane oraz poprzez dodatkowe karty/moduły: a. w 8 portów 10/100Base TX na pojedynczej karcie e mail: bzp@adm.uj.edu.pl Strona 2 z 33

3 b. cztery porty Gigabitowe minigbic typu TX na jednej karcie. Dodatkowo minigbic i: 2 NS SYS GBIC MSX (Mini GBIC SX) oraz 2 x NS SYS GBIC MLX ( Mini GBIC LX) c. powyższe moduły muszą mieć możliwość instalacji i pracy w już posiadanym jednym urządzeniu Juniper ISG Urządzenie musi obsługiwać sieci wirtualne VLAN (802.1Q Tagging). W jednym urządzeniu musi istnieć możliwość definiowania wielu wirtualnych ruterów, gdzie każdy z nich może posiadać swoje indywidualne tabele routingu. Urządzenie musi obsługiwać protokoły dynamicznego r0utingu jak OSPF i BGP. Urządzenie zabezpieczeń musi wykonywać ruting IP na bazie adresu miejsca przeznaczenia pakietów oraz adresu źródłowego (tzw. source based routing). 15. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać strefy bezpieczeństwa, adresy IP klientów i serwerów, protokoły i usługi sieciowe, użytkowników aplikacji, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasma sieci (m.in. pasma gwarantowane i maksymalne, priorytety, oznaczenia DiffServ). 16. System zabezpieczeń musi umożliwiać wykrywanie i blokowanie technik i ataków stosowanych przez hakerów (m.in. IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port Scan), blokowanie URL i niebezpiecznych komponentów (m.in. Java/ActiveX/zip/exe), ochronę sieci VPN przed atakami powtórzeniowymi (Replay Attack) oraz limitowanie maksymalnej liczby otwartych sesji z jednego adresu IP. 17. Zarządzanie zabezpieczeń w pełnym zakresie musi odbywać się z linii poleceń (CLI) oraz graficznej konsoli GUI. Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone kryptograficznie (tzn. wykonywane jest szyfrowanie komunikacji). W systemie zabezpieczeń musi istnieć możliwość definiowania wielu administratorów o różnych uprawnieniach. Administratorzy muszą być uwierzytelniani za pomocą haseł statycznych, haseł dynamicznych (RADIUS, RSA SecureID) oraz certyfikatów cyfrowych SSL. 18. System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za pomocą haseł statycznych i dynamicznych. Użytkownicy muszą być definiowani w bazie lokalnej (tzn. bazie utrzymywanej na urządzeniu) lub na zewnętrznych serwerach LDAP, RADIUS lub SecurID (ACE/Server). 19. System zabezpieczeń musi współpracować z wiodącymi urzędami certyfikacji (m.in. Verisign, Entrust, Microsoft) i wspierać standardy PKI (PKCS 7, PKCS 10) oraz protokoły SCEP i OCSP. 20. System zabezpieczeń musi umożliwiać wykonywanie statycznej i dynamicznej translacji adresów NAT. Mechanizmy NAT muszą umożliwiać m.in. dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet. Udostępnianie w Internecie usług wielu serwerów musi mieć możliwość odbywania się z użyciem tylko jednego publicznego adresu IP. 21. System zabezpieczeń musi mieć możliwość stworzenia konfiguracji odpornej na awarie dla urządzeń zabezpieczeń oraz otaczających urządzeń sieciowych (tzn. w konfiguracji Full Mesh z redundancyjnymi interfejsami) poprzez ewentualną rozbudowę w przyszłości (które nie są przedmiotem niniejszego przetargu). Moduł ochrony przed awariami musi monitorować i wykrywać uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. Oferowane urządzenia e mail: bzp@adm.uj.edu.pl Strona 3 z 33

4 zabezpieczeń musi mieć możliwość sklastrowania z posiadanym już jednym urządzeniem Juniper ISG 1000 w klaster typu HA ( High Avaliabity) z możliwością funkcjonowania w trybie Active Active lub Active Passive. 22. System musi mieć możliwość konfigurowania pewną liczbę tzw Wirtualnych Systemów, tzn. w jednej obudowie można stworzyć kilka logicznych urządzeń security z niezależnymi politykami bezpieczeństwa i o niezależnych interfejsach tak, że komunikacja pomiędzy nimi jest możliwa tylko poprzez sieć zewnętrzną ( w stosunku do obudowy urządzenia) lub poprzez wirtualne interfejsy połączeniowe. Każdy z wirtualnych systemów posiada niezależną bazę administratorów, użytkowników, VPNów, reguły bezpieczeństwa, adresację IP itd. W ramach niniejszego przetargu system musi mieć licencję na konfigurację, co najmniej 5 takich dodatkowych wirtualnych systemów. Cały zestaw wirtualnych systemów jest kreowany przez administratora podstawowego systemu. Cały system musi mieć możliwość stworzenia, co najmniej 20 stref bezpieczeństwa, a przy ewentualnej rozbudowie i rozszerzeniu licencji urządzenie musi mieć możliwość stworzenia do 40 takich stref. Poszczególne strefy bezpieczeństwa można w sposób dowolny przydzielać do poszczególnych wirtualnych systemów. 23. Zamawiane urządzenie ( i każdy wirtualny system) z punktu widzenia funkcji routera posiada możliwość zdefiniowania, co najmniej trzech wirtualnych routerów o niezależnych tablicach routingu. 24. Urządzenie musi być zarządzane ze wspólnej platformy zarządzającej, która umożliwia obsługę jednocześnie kilkoma różnymi urządzeniami bezpieczeństwa i realizuje wspólną polityki bezpieczeństwa (Policy manager). Oferowane urządzenie musi mieć możliwości pełnej obsługi, poprzez posiadaną platformę zaradzającą systemami security. Tą platformą jest Juniper Networks Netscreen Security Manager wersja Pomoc techniczna oraz ewentualne szkolenia, (które nie są przedmiotem niniejszego przetargu) z obsługi produktu muszą być dostępne w Polsce. Zamawiający w ramach niniejszego przetargu nie zamawia płatnych szkoleń. 26. Urządzenie o wysokości 3U przystosowane do montażu w szafie rackowej 19. Urządzenie wzorcowe: Juniper Netscreen ISG 1000 (wydajność startowa: firewalla 1Gbps, IPSEC VPN 1Gbps, IDP 0.6Gbps) : NS ISG 1000 advanced (with 4x10/100/1000Base TX ports), ISG Security module (IDP moduły) 2szt, IDP Upgrade kit, Karta 8 x10/100base TX ports, Karta NS ISG TX4 ( 4 porty MiniGBIC TX) MiniGBIC: 2 NS SYS GBIC MSX (Mini GBIC SX) oraz 2 x NS SYS GBIC MLX ( Mini GBIC LX) J Care Core Plus Support for ISG1000 S (incl. Security Module and IDP), Dopuszczalne jest jedynie oferowanie urządzeń fabrycznie nowych. Wraz z produktem wymagane jest dostarczenie opieki technicznej ważnej przez okres jednego roku. Opieka powinna zawierać wsparcie techniczne świadczone telefonicznie oraz pocztą elektroniczną przez producenta oraz polskiego dystrybutora, wymianę uszkodzonego sprzętu, dostęp do nowych wersji oprogramowania, a także dostęp do e mail: bzp@adm.uj.edu.pl Strona 4 z 33

5 bazy wiedzy, przewodników konfiguracyjnych ( w ramach gwarancji typu J Care Core Plus Support for ISG1000 S ). Wraz z produktem wymagane jest dostarczenie opieki technicznej ważnej przez okres jednego roku. Opieka powinna zawierać wsparcie techniczne świadczone telefonicznie oraz pocztą elektroniczną przez producenta oraz polskiego dystrybutora zabezpieczeń, wymianę uszkodzonego sprzętu, dostęp do nowych wersji oprogramowania, a także dostęp do baz wiedzy, przewodników konfiguracyjnych ( w ramach gwarancji typ J Care Core Plus Support ). Część 2: Rozbudowa switcha ATM firmy Marconii ASX 1200 o kolejne moduły: Switch matrix module ASX12 UPG 266 (matryca przełączająca 2.5Gb/s wraz z jednostką sterującą z procesorem P266) Karta NM 1/622/SMIRE (1 port OC 12c SMF) Wymagana minimalna trzyletnia podstawowa gwarancja na warunkach producenta. Dopuszczalne jest jedynie oferowanie serwerów fabrycznie nowych. Część 3: Zakup i dostawa modułu z portami GigBitowymi do Marconi ESR 5000 w celu umożliwienia podniesienia przepustowości dostępu do węzłów uczelnianej. 1 moduł 4 portowe L3 SII Gig Module with GBIC Interfaces ( prod. num ), Moduły GBIC do kart gigabitowych: o 2x GBIC 1000Base LX, o 2x GBIC 1000Base TX, o 2x GBIC 1000Base SX Jeden moduł 48 portowy 10/100 Tx Telco SII L3 Wymagana minimalna gwarancja trzyletnia na standardowych warunkach producenta. Dopuszczalne jest jedynie zaoferowanie nowszego produktu (o lepszych parametrach technicznych) funkcjonalnie, co najmniej równoważnego, gdyby taki pojawił się w sprzedaży a zastępowałby moduły wzorcowe. Dopuszczalne jest jedynie oferowanie modułów fabrycznie nowych. Część 4: Zakup i dostawa odpowiednich przełączników: 4.1. Przełącznik typ A 2 szt ( model wzorcowy ExtremeNetworks Summie t) o następujących parametrach technicznych: a) Wzorcowy: Extreme Networks Summit t 2 szt., b) Wzorcowy: licencja na funkcje L3 Extreme Networks Summit t Advanced Edge License 2 szt., Urządzenia oferowane powinno mieć cechy wzorcowych urządzeń, a szczególnie np.: 1. Urządzenie z 24 portami 10/100/1000Base T; e mail: bzp@adm.uj.edu.pl Strona 5 z 33

6 4 porty SFP minigbic dzielone z 4 portami 10/100/1000Base T; 1 serial port do zarządzania; 2 stakujące porty UniStack, 10 Gbps full duplex na każdym porcie; Montaż w stelażu sieciowym o wielkości 1 U; Matryca switchująca 80 Gbps Wydajność matrycy routującej 35.7 Mln pakietów /sek (funk Obsługa pakietów o rozmiarze 9216 byte (Jumbo Frame) Do 25 połaczeń typu sharing trunks z do 8 czlonkami na połaczenie 8 kolejek QoS na port Obsługa do 4096 VLAN ów (Port, IEEE 802.1Q, MAC based) Maksymalnie do 1512 lini/reguł ACL Do 63 reguł per port ACL reguły mozna stosować do trybu ingress Rozmiar tablic forwardowania : Adresacja MAC w warstwie 2: 16K, Adresacja w warstwie 3: 2K, Routowanie statyczne w warstwie 3: 1K, Interfejsy w warstwie 3: Urządzenie musi być wspierać wszystkie protokoły urządzenia wzorcowego, a w szczególności dla wzorcowego oprogramowania wewnętrznego ExtremeWare wersji co najmniej 7.6. Przykładowo: 2.1. Obsługiwane protokoły sieciowe i switchowania (General Routing and Switching) RFC 1812 RFC 1519 CIDR RFC 1256 IPv4 ICMP Router Discovery (IRDP) RFC 1122 RFC 768 UDP RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 826 ARP RFC 894 IP over Ethernet RFC 1027 Proxy ARP RFC 2338 VRRP RFC 3619 Ethernet Automatic Protection Switching (EAPS) and EAPSv2 IEEE 802.1D 1998 Spanning Tree Protocol (STP) IEEE 802.1w 2001 Rapid Reconfiguration for STP, RSTP IEEE 802.1s 2004 Multiple Instances of STP, MSTP Extreme Multiple Instances of Spanning Tree Protocol (EMISTP) PVST+, per VLAN STP (802.1Q interoperable) Extreme Standby Router Protocol (ESRP) IEEE 802.1Q 2003 Virtual Bridged Local Area Networks Extreme Discovery Protocol (EDP) e mail: bzp@adm.uj.edu.pl Strona 6 z 33

7 Static Unicast Routes Extreme Loop Recovery Protocol (ELRP) Software Redundant Ports 2.2. VLANs: IEEE 802.1Q VLAN Tagging IEEE 802.3ad Static configuration and dynamic (LACP) for server attached IEEE 802.1v: VLAN classification by Protocol and Port Port based VLANs MAC based VLANs Protocol based VLANs Multiple STP domains per VLAN 2.3. Quality of Service and Policies: IEEE 802.1D 1998 (802.1p) Packet Priority RFC 2474 DiffServ Precedence, including 8 queues/port RFC 2598 DiffServ Expedited Forwarding (EF) RFC 2597 DiffServ Assured Forwarding (AF) RFC 2475 DiffServ Core and Edge Router Functions Ingress Rate Limiting Layer 1 4, Layer 7 (user name) Policy Based Mapping Policy Based Mapping/Overwriting of DiffServ code points,.1p priority Network Login 802.1x z DLCS (Dynamic Link Context System, WINS snooping) 2.4. RIP: RFC 1058 RIP v1 RFC 2453 RIP v OSPF: RFC 2328 OSPF v2 (including MD5 authentication) RFC 1587 OSPF NSSA Option RFC 1765 OSPF Database Overflow RFC 2370 OSPF Opaque LSA Option Note: OSPF Edge License includes 2 active interfaces, router priority IP Multicast: RFC 2362 PIM SM RFC 1112 IGMP v1 RFC 2236 IGMP v2 IGMP Snooping with Configurable Router Registration Forwarding IGMP Filters Static IGMP Membership Static Multicast Routes Mtrace, draft ietf idmr traceroute ipm 07 Mrinfo 2.7. Protokoły sieciowe i zarządzające (Management and Traffic Analysis): RFC 2030 SNTP, Simple Network Time Protocol v4 RFC 1866 HTML web based device management and Network Login e mail: bzp@adm.uj.edu.pl Strona 7 z 33

8 RFC 2068 HTTP Server RFC 854 Telnet client and server RFC 783 TFTP Protocol (revision 2) RFC 951, 1542 BootP RFC 2131 BOOTP/DHCP relay agent and DHCP server RFC 1591 DNS (client operation) RFC 1155 Structure of Mgmt Information (SMIv1) RFC 1157 SNMPv1 RFC 1212, RFC 1213, RFC 1215 MIB II, Ethernet Like MIB & TRAPs RFC 1573 Evolution of Interface RFC SNMP Version 2c, SMIv2 and Revised MIB II RFC SNMPv3, user based security, encryption and authentication RFC 2576 Coexistence between SNMP Version 1, Version 2 and Version 3 RFC 2665 Ethernet Like MIB RFC 1757 RMON 4 groups: Stats, History, Alarms and Events RFC 2021 RMON2 (probe configuration) RFC MAU MIB RFC 1643 Ethernet MIB RFC 1493 Bridge MIB RFC 2737 Entity MIB, Version 2 RFC p / 802.1Q MIBs RFC 1354 IPv4 Forwarding Table MIB RFC 2233 Interface MIB RFC 2096 IP Forwarding Table MIB RFC 1724 RIPv2 MIB RFC 1850 OSPFv2 MIB RFC 2787 VRRP MIB RFC 2925 Ping/Traceroute/NSLOOKUP MIB Draft ietf bridge rstpmib 03.txt Definitions of Managed Objects for Bridges with Rapid Spanning Tree Protocol draft ietf bridge 8021x 01.txt (IEEE8021 PAE MIB) IEEE 802.1x 2001 MIB Secure Shell (SSHv2) clients and servers Secure Copy (SCPv2) client and server Secure FTP (SFTP) Server Configuration jogging Wiele konfiguracji i wersji firmwara w switchu BSD System Logging Protocol (SYSLOG), with Multiple Syslog Servers Local Messages (criticals stored across reboots) IEEE 802.1ab LLDP 2.8. Ochrona (Security) obsługa: Routing protocol MD5 authentication (see above) Secure Shell (SSHv2), Secure Copy (SCPv2) and SFTP with encryption/authentication e mail: bzp@adm.uj.edu.pl Strona 8 z 33

9 SNMPv3 user based security, with encryption/authentication (see above) RFC 1492 TACACS+ RFC 2865 RADIUS Authentication RFC 2866 RADIUS Accounting RFC 3579 RADIUS Support for Extensible Authentication Protocol (EAP) RFC X RADIUS RADIUS Per command Authentication MAC based Network Login using RADIUS Access Profiles on All Routing Protocols Access Profiles on All Management Methods Network Login (web based DHCP/HTTP/RADIUS mechanism) RFC 2246 TLS SSL v2/v3 encryption for web based Network Login IEEE 802.1x 2001 Port Based Network Access Control for Network Login Multiple supplicants for Network Login (web based and 802.1x modes) Guest VLAN for 802.1x MAC Address Security Lockdown, limit and aging IP Address Security with DHCP Option 82, DHCP Enforce/Duplicate IP Protection via ARP Learning Disable Network Address Translation (NAT) Layer 2/3/4/7 ACLs Source IP Lockdown Dynamic filtering against invalidly sourced traffic 2.9. Wewnętrzna ochrona przed atakami DoS (Denial of Service Protection): RFC 2267 Network Ingress Filtering RPF (Unicast Reverse Path Forwarding) Control via ACLs Przetwarzanie z prędkością medium bez zmniejszania przepustowości switcha (Wire speed ACLs) Rate limiting ACLs IP Broadcast Forwarding Control ICMP and IP Option Response Control SYN attack protection FDB table resource protection via IPDA Subnet Lookup CPU DOS protection with ACL integration: Identifies packet floods to CPU and sets an ACL automatically, configurable enhanced DoS Protect Unidirectional Session Control Lista typowych ataków przed którymi jest zaimplementowana sprzętowo ochrana w własna switcha (Robust Against Common Network Attacks): CERT ( CA : SQL Slammer CA : SSHredder CA : SNMP vulnerabilities CA 98 13: tcp denial of service CA 98.01: smurf CA 97.28: Teardrop_Land Teardrop and LAND attack CA 96.26: ping e mail: bzp@adm.uj.edu.pl Strona 9 z 33

10 CA 96.21: tcp_syn_flooding CA 96.01: UDP_service_denial CA 95.01: IP_Spoofing_Attacks_and_Hijacked_Terminal_Connections IP Options Attaca Zaimplementowana następujące mechanizmy obrony przed następującymi atakami (Host Attacks): Teardrop, boink, opentear, jolt2, newtear, nestea, syndrop, smurf, fraggle, papasmurf, synk4, raped, winfreeze, ping f, ping of death, pepsi5, Latierra, Winnuke, Simping, Sping, Ascend, Stream, Land, Octopus Możliwości kształtowania przepustowości pasma (Rate Limiting): Granulacja (Rate limiting granularity): 1 Mb/s Ilość limiterów: 63 na port Przełączanie failover w czasie 50ms w przypadku połączenia w ring switchy warstwy 2 obsługujących taką funkcjonalność Urządzenie musi posiadać możliwość stackowania technologii UniStack przez złącze o przepustowości nie mniejszej niż 10 Gbps. Przełącznik powinien być wyposażony w dwa takie porty umożliwiające stworzenie pętli statkowanych switchy celem zapewnienia większej niezawodności całego rozwiązania w przypadku awarii pojedynczego przełącznika lub kabla do stackowania. Jako warunek konieczny to urządzenie musi mieć możliwość zestakowania się z posiadanym już jednym switchem Summit Okres gwarancji na powyższe elementy: 4. 1 rok na ogólnych standardowych warunkach producenta (PartnerWorks Extended Waranty for Summit t) 5. Dodatkowo: Aktualizacja oprogramowania dokonywana bezpośrednio przez użytkownika (UJ) poprzez serwer WWW producenta w oparciu o konto serwisowe. Przez rok prawo do otrzymywania najnowszych wersji oprogramowania switchy. 6. Oferent musi być autoryzowanym dostawcą urządzenia i posiadać personel techniczny przeszkolony do celów serwisowania tych urządzeń lub posiadać umowę z firmą która to zapewni. Oferent musi dołączyć odpowiednie oświadczenie. 7. Dopuszcza się możliwość składania ofert spełniających ww. kryteria, ale posiadające np. większą ilość portów, większą wydajność. 2. Oferta musi przedstawiać szczegółową kalkulację z kosztami poszczególnych pozycji: 2.1. Urządzenia 2.2. Licencji na funkcje L Gwarancji podstawowej 8. Kosztów konta serwisowego na stronie producenta dla potrzeb aktualizacji i updatu oprogramowania do najnowszej wersji 4.2. Przełącznik typ B 1 szt ( model wzorcowy ExtremeNetworks Summit X450 24t) o następujących parametrach technicznych: a) Wzorcowy switch :Extreme Networks Summit X450 24t 1 szt., b) Wzorcowe : Licencja Extreme XOS Core license, Summit t 1 szt odblokowująca pewne usługi typu L3 zaimplementowane od razu w urządzeniu Urządzenia oferowane powinno mieć cechy wzorcowych urządzeń, a szczególnie np.: e mail: bzp@adm.uj.edu.pl Strona 10 z 33

11 1. Urządzenie z 24 portami 10/100/1000Base T; 4 porty SFP minigbic dzielone z 4 portami 10/100/1000Base T; 1 szeregowy port do zarządzania; 1 port zarządzania 10/100Base T typu out of band Slot na opcjonalny XGM2 podwójny port 10Gbitowy. Montaż w stelażu sieciowym o wielkości 1 U; Przepustowość matrycy switchujacej (switch fabric bandwidth) :160 Gbps Przepustowość matrycy (routingu frame forwarding rate) 65 Mpps Obsługa pakietów o rozmiarze do 9216 byte (Jumbo Frame) 128 load sharing trunks, up to 8 members per trunk 8 QoS queues/port Do 4096 VLANs (Port, Protocol, IEEE 802.1Q) Maksymalnie ACL do 3072 reguł/linii na switch Tablice forwardowania : Adresacja MAC w warstwie 2: 16K, L3 LPM entries 64k, L3 static router 1k: 1k L3 Intefejsów : 512 OSPF External Routes: >100K 2. Urządzenie musi być wspierać wszystkie protokoły urządzenia wzorcowego, a w szczególności dla wzorcowego oprogramowania wewnętrznego ExtremeXOS wersji co najmniej Przykładowo: 2.4. Obsługiwane protokoły sieciowe i switchowania (General Routing and Switching) RFC 1812 Requirements for IP Version 4 Routers RFC 1519 CIDR RFC 1256 IPv4 ICMP Router Discovery (IRDP) RFC 1122 Host Requirements RFC 768 UDP RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 826 ARP RFC 894 IP over Ethernet RFC 1027 Proxy ARP RFC 2338 VRRP RFC 3619 Ethernet Automatic Protection Switching (EAPS) and EAPSv2 IEEE 802.1D 1998 Spanning Tree Protocol (STP) IEEE 802.1D 2004 Spanning Tree Protocol (STP and RSTP) IEEE 802.1w 2001 Rapid Reconfiguration for STP, RSTP IEEE 802.1Q 2003 (formely IEEE 802.1s) Multiple Instances of STP, MSTP IEEE 802.1AB LLDP Link Layer Discovery Protocol Extreme Multiple Instances of Spanning Tree Protocol (EMISTP) PVST+, per VLAN STP (802.1Q interoperable) e mail: bzp@adm.uj.edu.pl Strona 11 z 33

12 Extreme Standby Router Protocol (ESRP) IEEE 802.1Q 2003 Virtual Bridged Local Area Networks LLDP Media Endpoint Discovery (LLDP MED), ANSI/TIA 1057, draft 08 Extreme Discovery Protocol (EDP) Static Unicast Routes Static Multicast Routes Extreme Loop Recovery Protocol (ELRP) Extreme Link State Monitoring (ELSM) Software Redundant Ports 2.5. VLANs: IEEE 802.1Q VLAN Tagging IEEE 802.3ad Static load sharing configuration and LACP based dynamic configuration IEEE 802.1v: VLAN classification by Protocol and Port Port based Glans Protocol based Glans Multiple STP domains per VLAN IEEE 802.1ad Virtual MANs (vmans) IEEE 802.1ah/D1.2 MAC in MAC Provider Bridging 2.6. Quality of Service and Policies: IEEE 802.1D 1998 (802.1p) Packet Priority RFC 2474 DiffServ Precedence, including 8 queues/port RFC 2598 DiffServ Expedited Forwarding (EF) RFC 2597 DiffServ Assured Forwarding (AF) RFC 2475 DiffServ Core and Edge Router Functions Ingress bandwidth policing/rate limiting: packets are classified after Ingress into flows using ACLs and a rate limiter is assigned to a given flow 2.7. RIP: RFC 1058 RIP v1 RFC 2453 RIP v OSPF: RFC 2328 OSPF v2 (including MD5 authentication) RFC 1587 OSPF NSSA Option RFC 1765 OSPF Database Overflow RFC 2370 OSPF Opaque LSA Option 2.9. IP Multicast: RFC 2362 PIM SM RFC 1112 IGMP v1 RFC 2236 IGMP v2 RFC 3376 IGMP v3 IGMP v1/v2/v3 Snooping with Configurable Router Registration Forwarding IGMP Filters Static IGMP Membership Multicast VLAN Registration e mail: bzp@adm.uj.edu.pl Strona 12 z 33

13 RFC 3569, draft ietf ssm arch 06.txt PIM SSM PIM Source Specific Multicast RFC 2460 Internet Protocol, Version 6 (IPv6) Specyfication RFC 2461 Neighbor Discover for IPv6 RFC 2462 IPv6 Stateless Adress Auto configuration Routes Requirements RFC 2463 Internet Control Message Protocol (ICMPv6) for IPv6 Specification RFC 2464 Transmission of IPv6 Packets over Ethernet Networks RFC 2465 IPv6 MIB, General Group and Textual Conventions RFC 2466 MIB for ICMPv6 RFC 3513 Internet Protocol Version 6 (IPv6) Addressing Architecture RFC 2710 IPv6 Multicast Listener Discovery v1 (MLDv1) Protocol RFC 3810 IPv6 Multicast Listener Discovery v2 (MLDv2) Protocol RFC 2080 RIPng RFC 1981, Path MTU Discovery for IPv6, August 1996 Router requirements RFC 2893, Configured Tunnels RFC 3056, 6to4 RFC 3587 Global Unicast Address Format RFC 2068 HTTP Server RFC 3623 OSPF Graceful Restart Static Unicast routes for IPv6 Telnet server over IPv6 transport SSH 2 server over IPv6 transport Ping over IPv6 transport Traceroute over IPv6 transport Protokoły sieciowe i zarządzające (Management and Traffic Analysis): RFC 2030 SNTP, Simple Network Time Protocol v4 RFC 1866 HTML web based device management and Network Login RFC 854 Telnet client and Server RFC 783 TFTP Protocol (revision 2) RFC 951, 1542 BootP RFC 2131 BOOTP/DHCP relay agent and DHCP server RFC 1591 DNS (client operation) RFC 1155 Structure of Mgmt Information (SMIv1) RFC 1157 SNMPv1 RFC 1212, RFC 1213, RFC 1215 MIB II, Ethernet Like MIB & TRAPs RFC 1573 Evolution of Interface RFC SNMP Version 2c, SMIv2 and Revised MIB II RFC SNMPv3, user based security, encryption and authentication RFC 1757 RMON 4 groups: Stats, History, Alarms and Events RFC 2021 RMON2 (probe configuration) RFC MAU MIB RFC 1643 Ethernet MIB RFC 2737 Entity MIB, Version 2 RFC 1354 IPv4 Forwarding Table MIB RFC 2233 Interface MIB e mail: bzp@adm.uj.edu.pl Strona 13 z 33

14 RFC 1724 RIPv2 MIB RFC 1850 OSPFv2 MIB RFC 2787 VRRP MIB RFC 1657 BGP 4 MIB RFC 1354 IPv4 Forwarding Table MIB RFC 1650 Ethernet Like MIB (update of RFC 1213 for SNMPv2) Draft ietf idr gbp4 mibv2 02.txt Enhanced BGP 4 MIB Draft ietf bridge rstpmib 03.txt Definitions of Managed Objects for Bridges with Rapid Spanning Tree Protocol draft ietf bridge 8021x 01.txt (IEEE8021 PAE MIB) IEEE 802.1x 2001 Port Based Network IEEE 802.1ag/D4.1 L2 Ping and treceroute Secure Shell (SSHv2) clients and servers Secure Copy (SCPv2) client and server Secure FTP (SFTP) Server Możliowość przechowywania przez switch wielu konfiguracji i firmwarów (Images, Multiple Configs) BSD System Logging Protocol (SYSLOG), with Multiple Syslog Servers Local Messages (criticals stored across reboots) Możliwość zarzadzania poprzez WWW sflow version Ochrona (Security): Routing protocol MD5 authentication (see above) Secure Shell (SSHv2), Secure Copy (SCPv2) and SFTP with encryption/authentication SNMPv3 user based security, with encryption/authentication (see above) RFC 1492 TACACS+ RFC 2865 RADIUS Authentication RFC 2866 RADIUS Accounting RFC 3579 RADIUS Support for Extensible Authentication Protocol (EAP) RFC X RADIUS RADIUS Per command Authentication Access Profiles on All Routing Protocols Access Profiles on All Management Methods Network Login (web based DHCP/HTTP/RADIUS mechanism) RFC 2246 TLS SSL v2/v3 encryption for web based Network Login IEEE 802.1x 2001 Port Based Network Access Control for Network Login Multiple supplicants for Network Login (web based and 802.1x modes) Guest VLAN for 802.1x MAC Address Security Lockdown, limit and aging IP Address Security with DHCP Option 82, DHCP Enforce/Duplicate IP Protection via ARP Learning Disable Layer 2/3/4 ACLs Access Policies for Telnet /SSH 2/SCP 2 e mail: bzp@adm.uj.edu.pl Strona 14 z 33

15 Network Login 802.1x, web and MAC based mechanisms SSL/TLS transport used for web based Network Login, (requires export controlled encryption module) IP Security DHCP enfocement via Disable ARP Learning IP Security Gratuitous ARP Protection IP Security Trusted DHCP Server IP Security DHCP Secured ARP/ARP Validation Multiple supplicants with multiple VLANs for Network Login (all modes) Wewnętrzna ochrona przed atakami DoS (Denial of Service Protection): RFC 2267 Network Ingress Filtering RPF (Unicast Reverse Path Forwarding) Control via ACLs Przetwarzanie z prędkością medium bez zmniejszania przepustowości switcha (Wire speed ACLs) Rate limiting ACLs IP Broadcast Forwarding Control ICMP and IP Option Response Control SYN attack protection CPU DOS protection with ACL integration: Identifies packet floods to CPU and sets an ACL automatically, configurable enhanced DoS Protect Lista typowych ataków przed którymi sjest sprzętowo odporny (Robust Against Common Network Attacks): CERT ( CA : SQL Slammer CA : SSHredder CA : SNMP vulnerabilities CA 98 13: tcp denial of service CA 98.01: smurf CA 97.28: Teardrop_Land Teardrop and LAND attack CA 96.26: ping CA 96.21: tcp_syn_flooding CA 96.01: UDP_service_denial CA 95.01: IP_Spoofing_Attacks_and_Hijacked_Terminal_Connections IP Options Attaca Obrona przed atakami (Host Attacks): Teardrop, boink, opentear, jolt2, newtear, nestea, syndrop, smurf, fraggle, papasmurf, synk4, raped, winfreeze, ping f, ping of death, pepsi5, Latierra, Winnuke, Simping, Sping, Ascend, Stream, Land, Octopus Protokoły odblokowywane licencją Extreme XOS Core license: PIM DM Draft IETF PIM Dense Mode draft ietf idmr pim dm 05.txt, draft ietfpim dm new v2 04.txt RFC 3618 Multicast Source Discovery Protocol (MSDP) RFC 2740, OPSF for IPv6 RFC 1771 Border Gateway Protocol 4 RFC 1965 Autonomous System Confederations for BGP RFC 2796 BGP Route Reflection (supersedes RFC 1966) e mail: bzp@adm.uj.edu.pl Strona 15 z 33

16 RFC 1997 RFC Communities Attribute RFC 1745 BGP4/IDRP for IP OSPF Interaction RFC 2385 TCP MD5Authentication for BGPv4 RFC 2439 BGP Route Flap Damping RFC 2842 Capabilities Advertisement with BGP 4 RFC 2918 Route Refresh Capability for BGP 4 Draft ietf idr restart 10.txt Graceful Restart Mechanism for BGP EAPSv2 Shared Ports multiple interconnections between rings Ograniczanie pasma (Rate Limiting): Granulacja (Rate limiting granularity): 1 Mb/s Ilość limiterów: 128 na port Przełączanie failover w czasie 50ms w przypadku połączenia w ring switchy warstwy 2 obsługujących taką funkcjonalność Urządzenie musi być przygotowane do możliwości stackowania w technologii UniStack przez złącze o przepustowości nie mniejszej niż 10 Gbps. Przełącznik powinien być wyposażony w dwa takie porty umożliwiające stworzenie pętli statkowanych switchy celem zapewnienia większej niezawodności całego rozwiązania w przypadku awarii pojedynczego przełącznika lub kabla do stackowania. Zamawiający dopuszcza sytuację, że funkcjonalność statkowania zostanie udostępniona użytkownikowi w przyszłej planowanej wersji oprogramowania switcha (systemu wewnętrznego). 3. Okres gwarancji na powyższe elementy: 1 rok na ogólnych standardowych warunkach producenta (PartnerWorks Extended Waranty for Summit X450 24t) 4. Dodatkowo: aktualizacja oprogramowania dokonywana bezpośrednio przez użytkownika (UJ) poprzez serwer WWW producenta poprzez konto suportowe. Przez rok prawo do otrzymywania najnowszych wersji oprogramowania switchy. 5. Oferent musi być autoryzowanym dostawcą urządzenia i posiadać personel techniczny przeszkolony do celów serwisowania tych urządzeń lub posiadać umowe z firmą która to zapewni. Oferent musi dołączyć odpowiednie oświadczenie. 6. Dopuszcza się możliwość składania ofert spełniających ww. kryteria, ale posiadające np. większą ilość portów, większą wydajność. 7. Oferta musi przedstawiać szczegółową kalkulację z kosztami poszczególnych pozycji: 7.1. Urządzenia 7.2. Licencji na funkcje L Gwarancji podstawowej 7.4. Kosztów konta serwisowego na stronie producenta dla potrzeb aktualizacji i updatu oprogramowania do najnowszej wersji. WARUNKI ogólne do wszystkich części zamówienia: Zamawiający żąda, aby oferty zawierały szczegółową kalkulację wszystkich oferowanych elementów i podzespołów z podaniem ich jednostkowych cen. 2. Opis przedmiotu zamówienia zgodny z nomenklaturą Wspólnego Słownika Zamówień CPV serwery, serwery sieciowe, urządzenia sieciowe. e mail: bzp@adm.uj.edu.pl Strona 16 z 33

17 3. Warunki realizacji zamówienia zawarte zostały również we wzorze umowy stanowiącym integralną część SIWZ. 4. Dopuszcza się oferowanie urządzeń co najmniej równoważnych do przedstawionych w specyfikacji jako wzorcowych. Rozumie się przez to, że oferowane urządzenia muszą posiadać co najmniej te same cechy, co wzorcowe i parametry techniczne na poziomie, co najmniej takim jak wzorcowe z zachowaniem pełnej zgodności binarnej i systemowej. Przy oferowaniu innych modeli niż wzorcowe musi być zachowana pełna funkcjonalność urządzeń zgodna z wzorcowymi i realizacja zadań przedstawionych w SIWZ. W przypadku, gdy spełnienie tych warunków wymaga zakupu (lub rozszerzenia posiadanych przez Uniwersytet Jagielloński) licencji na oprogramowanie lub systemy operacyjne Wykonawca musi to zaoferować i wliczyć do swej oferty. Przy oferowaniu rozwiązań sprzętowo programowych innych niż wzorcowe Wykonawca musi wykazać w treści oferty ich równoważność z warunkami i wymaganiami opisanymi w SIWZ. 5. Oryginał SIWZ podpisany przez osoby uprawnione w imieniu zamawiającego, stanowiący podstawę do rozstrzygania ewentualnych sporów związanych z treścią tego dokumentu, dostępny jest w formie papierowej u zamawiającego natomiast przekazywany nieodpłatnie wykonawcom w formie elektronicznej na stronie internetowej lub płytce CD, natomiast po uprzednim zamówieniu przez wykonawców zamawiający przewiduje możliwość powielenia i przesłania za odpłatnością kopii SIWZ w formie papierowej cena wynosi brutto kwotę 00,00 zł. 4) Termin wykonania zamówienia. 1. Zamówienie musi zostać wykonane w terminie do 6 tygodni (42 dni) liczonych od udzielania zamówienia, tj. podpisania umowy, odpowiednio dla danej części zamówienia. 5) Opis warunków (podmiotowych i przedmiotowych) udziału w postępowaniu oraz opis sposobu dokonywania oceny spełniania tych warunków. 1. Wykonawca musi spełniać warunki udziału w postępowaniu określone w niniejszej SIWZ oraz w art. 22 ustawy PZP, jak też nie może podlegać wykluczeniu na podstawie art. 24 ustawy PZP. 2. Wykonawca musi przedstawić wykaz osób lub podmiotów przewidzianych do świadczenia usług gwarancyjnych, które posiadają uprawnienia lub autoryzację do serwisowania dostarczanych urządzeń na potwierdzenie czego przedstawi kopię dokumentów (np. uprawnień, autoryzacji, certyfikatów, świadectw ukończenia kursów itp.) potwierdzających możność prowadzenia serwisu gwarancyjnego odpowiednio dla oferowanych części 1 i/lub 2 i/lub 3 i/lub 4 zamówienia. 3. Wykonawca musi przedstawić indywidualną kalkulację ceny oferty odpowiednio dla oferowanych części 1 i/lub 2 i/lub 3 i/lub 4 zamówienia. 4. Wykonawca musi zaoferować przedmiot zamówienia zgodny z wymogami zamawiającego, określonymi w SIWZ, oraz dołączyć opisy techniczne i funkcjonalne lub instrukcje obsługi oraz kopie certyfikatów lub innych dokumentów potwierdzających zgodność oferowanych urządzeń z wymaganiami SIWZ, przy czym dopuszcza się w tym zakresie złożenie tych dokumentów w języku angielskim odpowiednio dla oferowanych części 1 i/lub 2 i/lub 3 i/lub 4 zamówienia. 5. Wykonawca musi zapewnić realizację zamówienia we wskazanym w pkt 4) SIWZ terminie. e mail: bzp@adm.uj.edu.pl Strona 17 z 33

18 6. Wykonawca zamierzający zatrudnić podwykonawców musi przedstawić powierzony im zakres prac w treści oferty, a przy tym niedopuszczalnym jest podzlecanie prac przez podwykonawców dla kolejnych podwykonawców. 7. Wykonawca powinien podpisać oraz wypełnić formularz oferty wraz z załącznikami lub złożyć ofertę odpowiadającą ich treści, jak i podpisać wzór umowy, stanowiące integralną część SIWZ. 8. Wykonawca musi dołączyć do oferty wszystkie dokumenty i oświadczenia oraz załączniki przedstawione w SIWZ. A. Ocena spełnienia powyższych warunków będzie dokonywana metodą 0 1, tj. spełnia lub nie spełnia, w oparciu o dokumenty i oświadczenia dołączone do oferty. B. Wykonawcy niespełniający powyższych warunków zostaną przez zamawiającego wykluczeni z niniejszego postępowania lub ich oferty zostaną odrzucone. 6) Informacja o oświadczeniach i dokumentach, jakie mają dostarczyć wykonawcy w celu potwierdzenia spełnienia warunków udziału w postępowaniu i składających się na treść oferty. 1. Aktualny na dzień składania ofert dokument, tj. odpis z właściwego rejestru lub zaświadczenie o wpisie do ewidencji działalności gospodarczej, jeżeli odrębne przepisy wymagają wpisu do rejestru lub zgłoszenia do ewidencji działalności gospodarczej, wystawiony nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert; w przypadku, gdy ofertę składa kilka podmiotów działających wspólnie dotyczy to każdego z nich. 2. Pełnomocnictwo (pełnomocnictwa) dołączone w formie oryginału lub notarialnie poświadczonej kopii, albo kopii poświadczonej za zgodność z oryginałem przez osoby udzielające pełnomocnictwa, jeśli oferta będzie podpisana przez pełnomocnika, przy czym dotyczy to również przypadków składania ofert przez podmioty występujące wspólnie, tj.: 2.1 wykonawców działających w formie Spółki Cywilnej, jeżeli z dokumentów dołączonych do oferty np. umowy spółki (czy jej kopii poświadczonej odpowiednio za zgodność z oryginałem) nie wynika odpowiedni dla podpisania oferty, bądź wynika inny sposób reprezentacji; 2.2 wykonawców występujących wspólnie, czyli uczestników konsorcjum. 3. Cenę ryczałtową oferty wyliczoną w oparciu o indywidualną kalkulację wykonawcy, przy uwzględnieniu wymagań i zapisów SIWZ odpowiednio dla danej części zamówienia. 4. Opisy techniczne i funkcjonalne lub instrukcje obsługi oraz kopie certyfikatów lub innych dokumentów potwierdzających zgodność oferowanych urządzeń z wymaganiami SIWZ odpowiednio dla danej części zamówienia. 5. W przypadku, gdy wykonawca zapowiada zatrudnienie podwykonawców do oferty musi być załączony ich wykaz z zakresem powierzonych im zadań odpowiednio dla danej części zamówienia. 6. Wypełniony i podpisany formularz oferty wraz z załącznikami od 1 do 4, zawierającymi oświadczenia i wykazy potwierdzające spełnienie warunków udziału w postępowaniu opisanych w pkt 5), SIWZ, a nie wyszczególnionych w pkt 6), (wypełnionymi i uzupełnionymi lub sporządzonymi zgodnie z ich treścią). 7. W przypadku, gdy wykonawca ma siedzibę lub miejsce zamieszkania za granicą, w miejsce dokumentów, o których mowa w pkt 6) 1. SIWZ zobowiązany jest przedłożyć dokument lub dokumenty, wystawione w kraju, w którym ma siedzibę lub miejsce e mail: bzp@adm.uj.edu.pl Strona 18 z 33

19 zamieszkania, potwierdzające odpowiednio że nie otwarto jego likwidacji ani nie ogłoszono upadłości, (wystawione nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert). 8. Jeżeli w kraju pochodzenia osoby lub w kraju, w którym wykonawca ma siedzibę lub miejsce zamieszkania, nie wydaje się powyższych dokumentów, wykonawca może je zastąpić stosownym dokumentem zawierającym oświadczenie złożone przed notariuszem, właściwym organem sądowym, administracyjnym albo organem samorządu zawodowego lub gospodarczego odpowiednio kraju pochodzenia lub kraju, w którym wykonawca ma siedzibę lub miejsce zamieszkania. 9. Dokumenty, o których mowa w pkt 6)7. SIWZ muszą być złożone w formie oryginału, odpisu, wypisu, wyciągu lub kopii, przetłumaczonych na język polski i poświadczonych przez wykonawcę za zgodność z oryginałem. 10. W przypadku, gdy wykonawca w miejsce któregoś z dokumentów, o których mowa w (oprócz pkt 6)2.) SIWZ dostarczy jego kopię, kopia ta musi być poświadczona za zgodność z oryginałem przez wykonawcę. Zamawiający może zażądać przedstawienia oryginałów lub notarialnie potwierdzonych kopii dokumentów (np. jeśli przedstawione kserokopie będą nieczytelne lub będą wzbudzać wątpliwości co do ich prawdziwości). 7) Informacja o sposobie porozumiewania się zamawiającego z wykonawcami oraz przekazywania oświadczeń i dokumentów, a także wskazanie osób uprawnionych do porozumiewania się z wykonawcami. 1. Dopuszcza się możliwość porozumiewania się przy pomocy listu poleconego albo faxu lub drogą elektroniczną potwierdzonych w formie pisemnej np. listu poleconego, z tym że oferta wraz z wymaganymi dokumentami i oświadczeniami musi zostać złożona w formie oryginału na piśmie przed upływem terminu, o którym mowa w pkt 11) SIWZ. 2. Adres i osoba kontaktowa Wojciech Kochan, ul. Straszewskiego 25/9, Kraków; tel ; fax ; e mail: bzp@adm.uj.edu.pl 3. Jeżeli zamawiający lub wykonawca przekazują jakiekolwiek dokumenty lub informacje faksem albo drogą elektroniczną, każda ze stron na żądanie drugiej niezwłocznie potwierdza fakt ich otrzymania oraz przesyła je w formie pisemnej np. listu poleconego. 4. Do porozumiewania się z wykonawcami upoważniony jest: 4.1. w zakresie formalnym i merytorycznym Wojciech Kochan, tel. kom ; tel ; fax ; e mail: bzp@adm.uj.edu.pl, 5. Wykonawca może zwrócić się do zamawiającego pisemnie o wyjaśnienie treści SIWZ. 6. Zamawiający jest obowiązany niezwłocznie udzielić wyjaśnień, chyba że prośba o wyjaśnienie treści SIWZ wpłynęła do zamawiającego na mniej niż 6 dni przed terminem składania ofert. 7. Zamawiający jednocześnie przekazuje treść wyjaśnienia wszystkim wykonawcom, którym doręczono SIWZ i publikuje je na stronie internetowej na której dostępna jest SIWZ, bez ujawniania źródła zapytania. 8. Zamawiający może zwołać zebranie wszystkich wykonawców w celu wyjaśnienia wątpliwości dotyczących treści SIWZ; w takim przypadku sporządza informację e mail: bzp@adm.uj.edu.pl Strona 19 z 33

20 zawierającą zgłoszone na zebraniu zapytania o wyjaśnienie treści specyfikacji oraz odpowiedzi na nie, bez wskazywania źródeł zapytań. Informację z zebrania doręcza się niezwłocznie wykonawcom, którym przekazano SIWZ i publikuje je na stronie internetowej na której dostępna jest SIWZ. 9. W szczególnie uzasadnionych przypadkach zamawiający może w każdym czasie, przed upływem terminu do składania ofert, zmodyfikować treść SIWZ. Dokonaną w ten sposób modyfikację przekazuje się niezwłocznie wszystkim wykonawcom, którym przekazano SIWZ i publikuje je na stronie internetowej na której dostępna jest SIWZ. 10. Modyfikacja treści SIWZ nie może dotyczyć kryteriów oceny ofert a także warunków udziału w postępowaniu oraz sposobu oceny ich spełniania. 11. O przedłużeniu terminu składania ofert zamawiający niezwłocznie zawiadamia wszystkich wykonawców, którym przekazano SIWZ i publikuje je na stronie internetowej na której dostępna jest SIWZ. 8) Wymagania dotyczące wadium. 1. Zamawiający nie przewiduje konieczności wniesienia wadium. 9) Termin związania ofertą. 1. Termin związania ofertą wynosi 30 dni. 2. W uzasadnionych przypadkach, na co najmniej 7 dni przed upływem terminu związania ofertą zamawiający może tylko raz zwrócić się do wykonawców o wyrażenie zgody na przedłużenie tego terminu o oznaczony okres, nie dłuższy jednak niż 60 dni. 3. Bieg terminu związania ofertą rozpoczyna się wraz z upływem ostatecznego terminu do składania i otwarcia ofert. 10) Opis sposobu przygotowywania ofert. 1. Każdy wykonawca może złożyć tylko jedną ofertę, która musi obejmować całość lub całość oferowanych części przedmiotu zamówienia. 2. W ofercie wykonawca winien skalkulować cenę ryczałtową dla całości lub całości oferowanych części przedmiotu zamówienia. 3. Dopuszcza się możliwość składania jednej oferty przez dwa lub więcej podmiotów, pod warunkiem, że taka oferta spełniać będzie następujące wymagania: wykonawcy występujący wspólnie muszą upoważnić jednego spośród siebie jako przedstawiciela pozostałych do reprezentowania ich w postępowaniu i zawarcia umowy w sprawie zamówienia publicznego, a jego upoważnienie musi być udokumentowane pełnomocnictwem podpisanym przez upełnomocnionych przedstawicieli wszystkich pozostałych wykonawców, przy czym pełnomocnictwo to może wynikać z załączonej do oferty stosownej umowy. 4. Oferta wraz ze stanowiącymi jej integralną częścią załącznikami powinna być sporządzona przez wykonawcę według treści postanowień niniejszej SIWZ. 5. Oferta musi być sporządzona według treści formularza oferty i jego załączników zamieszczonych w niniejszej SIWZ. 6. Do oferty wykonawca musi dołączyć komplet dokumentów i oświadczeń oraz wszelkich informacji wymaganych postanowieniami niniejszej SIWZ. 7. Oferta musi być napisana w języku polskim, na komputerze lub maszynie do pisania albo czytelnym pismem odręcznym. 8. Zaleca się aby wszystkie strony oferty wraz z załącznikami były podpisane przez osobę (osoby) uprawnione do składania oświadczeń woli w imieniu wykonawcy, przy e mail: bzp@adm.uj.edu.pl Strona 20 z 33

21 czym przynajmniej na formularzu oferty i jego załącznikach (oświadczeniach) oraz kopiach dokumentów poświadczanych za zgodność z oryginałem podpis (podpisy) winny być opatrzone pieczęcią firmową i imienną wykonawcy. Za osoby uprawnione do składania oświadczeń woli w imieniu wykonawców uznaje się: 8.1 osoby wykazane w prowadzonych przez sądy rejestrach handlowych, rejestrach spółdzielni lub rejestrach przedsiębiorstw państwowych, fundacji, stowarzyszeń itp.; 8.2 osoby wykazane w zaświadczeniach o wpisie do ewidencji działalności gospodarczej; 8.3 osoby legitymujące się odpowiednim pełnomocnictwem udzielonym przez osoby, o których mowa powyżej; w przypadku podpisania oferty przez pełnomocnika wykonawcy, pełnomocnictwo musi być dołączone do oferty; 8.4 w przypadku, gdy wykonawca prowadzi działalność w formie spółki cywilnej lub ofertę składa konsorcjum, a oferta nie będzie podpisana przez wszystkich wspólników lub uczestników konsorcjum, wykonawca zobowiązany jest dołączyć do oferty odpowiednie pełnomocnictwa udzielone przez pozostałych wspólników lub uczestników konsorcjum bądź stosowne umowy; 8.5 w przypadku wykonawców z siedzibą za granicą za osoby uprawnione uznaje się osoby wskazane, zgodnie z dokumentami państwa wystawienia, w którym wykonawca ma siedzibę lub miejsce zamieszkania. 9. Zaleca się aby wszystkie karty oferty wraz z załącznikami były jednoznacznie ponumerowane i złączone w sposób uniemożliwiający swobodne wysunięcie się którejkolwiek karty oraz aby wykonawca sporządził i dołączył spis treści oferty. 10. Wszelkie poprawki lub zmiany w tekście oferty muszą być podpisane przez osobę (osoby) podpisującą ofertę i opatrzone datami ich dokonania. 11. Wszelkie koszty związane z przygotowaniem i złożeniem oferty ponosi wykonawca. 11) Miejsce oraz termin składania i otwarcia ofert. 1. Oferty należy składać w Biurze Zamówień Publicznych UJ, przy ul. Straszewskiego 25/9, Kraków, IV p., w terminie do dnia 25 czerwca 2007 r. do godziny Oferty otrzymane po terminie do składania ofert zostaną zwrócone wykonawcom bez otwierania, po upływie terminu do wniesienia protestu. 3. Wykonawca winien umieścić ofertę w kopercie zaadresowanej do zamawiającego, na adres podany w pkt 11) 1., która będzie posiadać następujące oznaczenia: Oferta na dostawę urządzeń sieciowych UJ w Krakowie nie otwierać przed dniem 25 czerwca 2007 r. godz oraz opatrzyć kopertę pieczęcią adresową wykonawcy. 4. Wykonawca może wprowadzić zmiany lub wycofać złożoną przez siebie ofertę pod warunkiem, że zamawiający otrzyma pisemne powiadomienie o wprowadzeniu zmian lub wycofaniu oferty przed upływem terminu składania ofert. 5. Wykonawca nie może wycofać oferty ani wprowadzić jakichkolwiek zmian w jej treści po upływie terminu składania ofert. 6. Otwarcie ofert jest jawne i nastąpi w dniu 25 czerwca 2007 r. o godzinie w Biurze Zamówień Publicznych UJ, przy ul. Straszewskiego 25/9, Kraków, IV p. 7. Bezpośrednio przed otwarciem ofert zamawiający poda kwotę, jaką zamierza przeznaczyć na sfinansowanie zamówienia odpowiednio dla poszczególnych części zamówienia. 8. Podczas otwarcia ofert zamawiający poda nazwy (firmy) oraz adresy wykonawców, a także informacje dotyczące ceny, terminu wykonania zamówienia, okresu gwarancji e mail: bzp@adm.uj.edu.pl Strona 21 z 33