SPECYFIKACJA ZAMAWIANEGO SPRZĘTU OPIS PODSTAWOWYCH PARAMETRÓW TECHNICZNYCH

Transkrypt

1 ZAŁĄCZNIK NR 1 NR SPR. CK 10/2013 SPECYFIKACJA ZAMAWIANEGO SPRZĘTU OPIS PODSTAWOWYCH PARAMETRÓW TECHNICZNYCH Zadanie nr 1 - Dostawa firewall 12 szt Firewall klasy operatorskiej 1 komplet (2 urządzenia) 1. Firewall musi być dostarczony w postaci dwóch dedykowanych urządzeń typu appliance (pracujących w konfiguracji klastra). 2. Każde z dwóch urządzeń firewalla przystosowane musi być do montażu w szafie rack 19 cali, wyposażone w pasywny midplane, wymienne wentylatory oraz 1 źródło zasilania AC. Ponadto każde urządzanie musi być wyposażone w nadmiarowe źródło zasilania w celu zapewnienia redundancji zasilania 1:1. 3. Firewall musi posiadać wymienne karty z matrycą przełączającą, karty z interfejsami sieciowymi oraz karty usługowe realizujące sprzętowo funkcje bezpieczeństwa. 4. Firewall musi posiadać 1 slot przeznaczony wyłącznie na kartę z matrycą przełączającą. Karta z matrycą przełączającą musi posiadać wewnętrzne połączenie z wszystkimi kartami z interfejsami sieciowymi oraz wszystkimi kartami usługowymi. Karta z matrycą przełączającą musi posiadać nie mniej niż 12 wbudowanych portów Gigabit Ethernet w tym nie mniej niż 4 sloty pozwalające na obsadzenie modułami typu SFP. 5. Firewall musi obsługiwać co najmniej następujące rodzaje kart z interfejsami sieciowymi: a) nie mniej niż 16-portowe Gigabit Ethernet (miedziane oraz SFP), b) nie mniej niż 2-portowe 10 Gigabit Ethernet XFP. 6. Firewall musi umożliwiać zainstalowanie nie mniej niż 3 kart z interfejsami sieciowymi (z możliwością rozbudowy do co najmniej 4 kart). Karty muszą posiadać przepustowość co najmniej 10 Gb/s full duplex. Każde z urządzeń musi być dostarczone z kartą wyposażoną w dwa interfejsy 10 GbE. 7. Zarządzanie i konfiguracja firewalla musi być realizowana przez moduł kontrolny. System operacyjny firewalla musi być instalowany i uruchamiany na module kontrolnym. Moduł kontrolny musi odpowiadać za sterowanie i monitorowanie pracy komponentów firewalla. Ruch tranzytowy użytkowników przechodzący przez firewall nie może być przesyłany przez moduł kontrolny. Moduł kontrolny musi posiadać slot USB przeznaczony do podłączenia dodatkowego nośnika danych. Wymagane jest aby była dostępna opcja uruchomienia systemu operacyjnego firewalla z nośnika danych podłączonego do slotu USB na module kontrolnym. 8. System operacyjny firewalla musi posiadać budowę modułową (moduły muszą działać w odseparowanych obszarach pamięci) i zapewniać całkowitą separację płaszczyzny kontrolnej od płaszczyzny przetwarzania ruchu użytkowników, m.in. moduł routingu IP, odpowiedzialny za ustalenie tras routingu i zarządzanie urządzeniem musi być oddzielony od modułu przekazywania pakietów, odpowiedzialnego za przełączanie pakietów pomiędzy segmentami sieci obsługiwanymi przez urządzenie. 9. System operacyjny firewalla musi umożliwiać dostęp z zewnętrznych aplikacji

2 poprzez mechanizmy API XML do informacji między innymi o pracy urządzenia oraz stanie sesji. 10. Obsługa ruchu tranzytowego użytkowników musi być realizowana sprzętowo. System operacyjny firewalla musi śledzić stan sesji użytkowników (stateful processing), tworzyć i zarządzać tablicą stanu sesji. 11. Mechanizmy QoS (policing, kolejkowanie, shaping) oraz funkcje ochrony przed atakami DoS i DDoS muszą być realizowane sprzętowo. Do sprzętowej obsługi tych funkcji dopuszczalne jest zastosowanie dedykowanych oddzielnych kart o przepustowości nie mniejszej niż 10 Gb/s, nie będących kartami interfejsów. 12. Realizacja mechanizmów bezpieczeństwa musi się odbywać na wyspecjalizowanych kartach usługowych posiadających własny procesor. Karty usługowe muszą realizować sprzętowo co najmniej takie funkcje jak stateful firewall, translacja adresów IP, IPv6, IPSec VPN, intrusion prevention (IPS), oraz cechy next generation firewall w zakresie identyfikacji i sterowania aplikacji sieciowych jak m.in. Skype, BitTorrent. Wszystkie karty usługowe muszą posiadać identyczną funkcjonalność i pracować pod kontrolą systemu operacyjnego firewalla nie dopuszcza się możliwości realizacji całości lub części ww. funkcji bezpieczeństwa przez karty działające pod kontrolą innych systemów operacyjnych. Zwiększenie wydajności ww. funkcji bezpieczeństwa musi się odbywać przez zwiększanie ilości kart usługowych. Firewall musi posiadać minimum 6 slotów pozwalających na zainstalowanie i uruchomienie kart usługowych. Nie dopuszcza się również sytuacji, aby poszczególne moduły usługowe były traktowane przez system operacyjny firewalla jako niezależne urządzenia, z osobnymi regułami polityki firewall z punktu widzenia systemu operacyjnego firewalla wszystkie moduły usługowe muszą być integralną częścią urządzenia i wszystkie muszą podlegać tej samej polityce bezpieczeństwa konfigurowanej na module kontrolnym. 13. Firewall (dla każdego urządzenia) : a) musi realizować zadania Stateful Firewall dla protokołów IP i IPv6 z mechanizmami ochrony przed atakami DoS, wykonując kontrolę na poziomie sieci oraz aplikacji pomiędzy nie mniej niż 256 strefami bezpieczeństwa z sumaryczną wydajnością nie mniejszą niż 10 Gb/s liczoną dla dużych pakietów, b) musi przetworzyć sumarycznie nie mniej niż pakietów/sekundę (dla pakietów 64-bajtowych), c) musi obsłużyć sumarycznie nie mniej niż równoległych sesji lub zestawić sumarycznie nie mniej niż 40 tysięcy nowych połączeń/sekundę. 14. Jednocześnie każde z urządzeń musi posiadać możliwość rozbudowy tak by obsługiwało dla funkcji Stateful Firewall co najmniej przepustowość 30 Gb/s dla dużych pakietów. 15. Firewall musi zestawiać zabezpieczone kryptograficznie tunele VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site oraz client-to-site. IPSec VPN musi być realizowany sprzętowo przez karty usługowe. Firewall musi obsłużyć nie mniej niż równoległych tuneli VPN oraz ruch szyfrowany o przepustowości nie mniej niż 2,5 Gb/s. 16. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać: strefy bezpieczeństwa, adresy IP klientów i serwerów, protokoły i usługi sieciowe, użytkowników aplikacji, reakcje zabezpieczeń oraz metody rejestrowania zdarzeń. Firewall musi umożliwiać zdefiniowanie nie mniej niż reguł polityki bezpieczeństwa. 17. Firewall ma umożliwiać uruchomienie funkcji wykrywania i blokowania ataków intruzów (IPS, intrusion prevention) oraz ochrony aplikacji (Application Security) realizowanej sprzętowo lub programowo na modułach usługowych. System

3 zabezpieczeń musi wtedy identyfikować próby skanowania, penetracji i włamań, ataki typu exploit (poziomu sieci i aplikacji), ataki destrukcyjne i destabilizujące (D)DoS oraz inne techniki stosowane przez hakerów. Ustalenie blokowanych ataków (intruzów, robaków) musi odbywa się w regułach polityki bezpieczeństwa. System firewall musi realizować zadania IPS z sumaryczną wydajnością nie mniejszą niż 1,5 Gb/s. Baza sygnatur IPS musi być utrzymywana i udostępniana przez producenta urządzenia firewall, zawierać co najmniej 6000 sygnatur ataków. Baza sygnatur ataków musi być aktualizowana przez producenta co najmniej raz w tygodniu. Wymagane dostarczenie subskrypcji na okres 1 roku dla funkcjonalności Intrusion Prevention System (IPS) oraz ochrony aplikacyjnej od daty podpisania protokołu końcowego. 18. Urządzenia muszą obsługiwać protokoły dynamicznego routingu: RIP, OSPF, ISIS oraz BGP. Urządzenie musi obsługiwać nie mniej niż 2000 peer ów BGP i nie mniej niż prefiksów BGP (w RIB). Urządzenia muszą umożliwiać skonfigurowanie nie mniej niż 256 wirtualnych ruterów oraz 4096 sieci VLAN z tagowaniem 802.1Q. 19. Urządzenie musi obsługiwać protokół LACP w celu agregowania fizycznych połączeń Ethernet. 20. Firewall musi posiadać mechanizmy priorytetyzowania i zarządzania ruchem sieciowym QoS wygładzanie (shaping) oraz obcinanie (policing) ruchu. Mapowanie ruchu do kolejek wyjściowych musi odbywać się na podstawie DSCP, IP ToS, 802.1p, oraz parametrów z nagłówków TCP i UDP. Urządzenia muszą posiadać możliwość tworzenia osobnych kolejek dla różnych klas ruchu. Urządzenia muszą posiadać zaimplementowany mechanizm WRED w celu przeciwdziałania występowaniu przeciążeń w kolejkach. 21. Firewall musi posiadać możliwość pracy w konfiguracji odpornej na awarie dla urządzeń zabezpieczeń. Urządzenia zabezpieczeń w klastrze muszą funkcjonować w trybie Active-Passive, Active/Active z synchronizacją konfiguracji i tablicy stanu sesji. Przełączenie pomiędzy urządzeniami w klastrze HA musi się odbywać przezroczyście dla sesji ruchu użytkowników. Mechanizm ochrony przed awariami musi monitorować i wykrywać uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. Klaster HA musi posiadać redundantne połączenia służące do synchronizacji konfiguracji i tablicy stanu sesji firewalli. 22. Zarządzanie urządzeniem musi odbywać się za pomocą graficznej konsoli Web GUI oraz z wiersza linii poleceń (CLI) poprzez port szeregowy oraz protokoły telnet i SSH. Firewall musi posiadać możliwość zarządzania i monitorowania przez centralny system zarządzania i monitorowania pochodzący od tego samego producenta. Zarządzanie CLI obu węzłów klastra musi się odbywać z pojedynczego miejsca konsoli jednego z węzłów (jeden plik konfiguracyjne na oba węzły klastra Firewall). 23. Administratorzy muszą mieć do dyspozycji mechanizm szybkiego odtwarzania systemu i przywracania konfiguracji. W urządzeniu musi być przechowywanych nie mniej niż 5 poprzednich, kompletnych konfiguracji, w tym musi istnieć możliwość wskazania jednej z wersji konfiguracji jako bazowej, służącej odtworzeniu przy pomocy pojedynczej komendy konfiguracji tzw. minimalnej (nie fabrycznej). handlowe 24. Urządzenie musi być fabrycznie nowe. 25. Urządzenie musi posiadać wszystkie zezwolenia i homologacje wymagane dla tego typu sprzętu na terenie Unii Europejskiej. Gwarancja i wsparcie 26. Gwarancja: min. 36 miesięcy. 27. Pomoc techniczna oraz szkolenia z produktu muszą być dostępne w Polsce. Usługi te muszą być świadczone w języku polskim. 28. Wraz z produktem wymagane jest świadczenie pomocy j. Pomoc techniczna

4 powinna obejmować: a) wsparcie świadczone telefonicznie oraz pocztą elektroniczną przez producenta oraz polskiego dystrybutora zabezpieczeń, b) dostęp do nowych wersji oprogramowania, c) aktualizację bazy ataków IPS oraz Application Security, d) dostęp do baz wiedzy, przewodników konfiguracyjnych i narzędzi diagnostycznych Firewall dostępowy 4 szt. 1. Firewall musi być dostarczony jako dedykowane urządzenie sieciowe o wysokości montażowej 1U. 2. Urządzenie musi być wyposażone w co najmniej 1 GB pamięci RAM, pamięć Flash 1 GB oraz port konsoli. Urządzenie musi posiadać slot USB przeznaczony do podłączenia dodatkowego nośnika danych. Musi być dostępna opcja uruchomienia systemu operacyjnego firewalla z nośnika danych podłączonego do slotu USB na module kontrolnym. 3. Urządzenie musi być wyposażone w nie mniej niż 8 wbudowanych interfejsów Ethernet 10/100/1000, gotowych do użycia bez konieczności zakupu dodatkowych modułów i licencji. 4. Urządzenie musi być wyposażone w 2 sloty na dodatkowe karty z modułami interfejsów. Urządzenie musi obsługiwać co najmniej następującej rodzaje kart z modułami interfejsów: ADSL 2/2+, Serial, E1, Gigabit Ethernet (SFP). Przynajmniej 1 ze slotów musi być wyposażony w moduł Gigabit Ethernet (SFP). 5. System operacyjny firewalla musi posiadać budowę modułową (moduły muszą działać w odseparowanych obszarach pamięci) i zapewniać całkowitą separację płaszczyzny kontrolnej od płaszczyzny przetwarzania ruchu użytkowników, m.in. moduł routingu IP, odpowiedzialny za ustalenie tras routingu i zarządzanie urządzenia musi być oddzielone od modułu przekazywania pakietów, odpowiedzialnego za przełączanie pakietów pomiędzy segmentami sieci obsługiwanymi przez urządzenie. 6. System operacyjny firewalla musi śledzić stan sesji użytkowników (ang. stateful processing), tworzyć i zarządzać tablicą stanu sesji. Musi istnieć opcja przełączenia urządzenia w tryb pracy bez śledzenia stanu sesji użytkowników, jak również wyłączenia części ruchu ze śledzenia stanu sesji. 7. Urządzenie musi posiadać mechanizmy priorytetyzowania i zarządzania ruchem sieciowym QoS wygładzanie (shaping) oraz obcinanie (policing) ruchu. Mapowanie ruchu do kolejek wyjściowych musi odbywać się na podstawie DSCP, IP ToS, 802.1p, oraz parametrów z nagłówków TCP i UDP. Urządzenie musi posiadać tworzenia osobnych kolejek dla różnych klas ruchu. Urządzenie musi posiadać zaimplementowany mechanizm WRED w celu przeciwdziałania występowaniu przeciążeń w kolejkach. 8. Firewall musi realizować zadania Stateful Firewall dla protokołów IP i IPv6 z mechanizmami ochrony przed atakami DoS, wykonując kontrolę na poziomie sieci oraz aplikacji pomiędzy nie mniej niż 24 strefami bezpieczeństwa z wydajnością nie mniejszą niż 300 Mb/s liczoną dla ruchu IMIX. Firewall musi przetworzyć nie mniej niż pakietów/sekundę (dla pakietów 64-bajtowych). Firewall musi obsłużyć nie mniej niż równoległych sesji oraz zestawić nie mniej niż nowych połączeń/sekundę. 9. Firewall musi zestawiać zabezpieczone kryptograficznie tunele VPN w oparciu o

5 standardy IPSec i IKE w konfiguracji site-to-site oraz client-to-site. IPSec VPN musi być realizowany sprzętowo. Firewall musi obsługiwać nie mniej niż 512 równoległych tuneli VPN oraz ruch szyfrowany o przepustowości nie mniej niż 100 Mb/s. Urządzenie musi posiadać możliwość udostępniania użytkownikom wbudowanego klienta IPSec VPN za pośrednictwem strony WWW. 10. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać strefy bezpieczeństwa, adresy IP klientów i serwerów, protokoły i usługi sieciowe, użytkowników aplikacji, reakcje zabezpieczeń oraz metody rejestrowania zdarzeń. Firewall musi umożliwiać zdefiniowanie nie mniej niż 2000 reguł polityki bezpieczeństwa. 11. Urządzenie musi obsługiwać protokoły dynamicznego routingu: RIP, OSPF, ISIS oraz BGP. 12. Urządzenie musi posiadać możliwość uruchomienia funkcji MPLS z sygnalizacją LDP i RSVP w zakresie VPLS i L3 VPN. 13. Urządzenie musi obsługiwać co najmniej 128 sieci VLAN z tagowaniem 802.1Q. W celu zapobiegania zapętlania się ruchu w warstwie 2 firewall musi obsługiwać protokoły Spanning Tree (802.1D), Rapid STP (802.1W) oraz Multiple STP (802.1S). 14. Urządzenie musi umożliwiać skonfigurowanie nie mniej niż 15 wirtualnych routerów. 15. Urządzenie musi obsługiwać protokół LACP w celu agregowania fizycznych połączeń Ethernet. 16. Firewall musi posiadać możliwość pracy w konfiguracji odpornej na awarie dla urządzeń zabezpieczeń Urządzenia zabezpieczeń w klastrze muszą funkcjonować w trybie Active-Passive z synchronizacją konfiguracji i tablicy stanu sesji. Przełączenie pomiędzy urządzeniami w klastrze HA musi się odbywać przezroczyście dla sesji ruchu użytkowników. Mechanizm ochrony przed awariami musi monitorować i wykrywać uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. 17. Zarządzanie urządzeniem musi odbywać się za pomocą graficznej konsoli Web GUI oraz z wiersza linii poleceń (CLI) poprzez port szeregowy oraz protokoły telnet i SSH. Firewall musi posiadać możliwość zarządzania i monitorowania przez centralny system zarządzania i monitorowania pochodzący od tego samego producenta. 18. Administratorzy muszą mieć do dyspozycji mechanizm szybkiego odtwarzania systemu i przywracania konfiguracji. W urządzeniu musi być przechowywanych nie mniej niż 5 poprzednich, kompletnych konfiguracji, w tym musi istnieć możliwość wskazania jednej z wersji konfiguracji jako bazowej, służącej odtworzeniu przy pomocy pojedynczej komendy konfiguracji tzw. minimalnej (nie fabrycznej). handlowe Gwarancja i wsparcie 19. Urządzenie musi być fabrycznie nowe. 20. Urządzenie musi posiadać wszystkie zezwolenia i homologacje wymagane dla tego typu sprzętu na terenie Unii Europejskiej. 21. Gwarancja: min. 36 miesięcy. 22. Pomoc techniczna oraz szkolenia z produktu muszą być dostępne w Polsce. Usługi te muszą być świadczone w języku polskim. 23. Wraz z produktem wymagane jest świadczenie pomocy j. Pomoc powinna obejmować: a) wsparcie świadczone telefonicznie oraz pocztą elektroniczną przez producenta oraz polskiego dystrybutora zabezpieczeń, b) dostęp do nowych wersji oprogramowania,

6 c) dostęp do baz wiedzy, przewodników konfiguracyjnych i narzędzi diagnostycznych Firewall dostępowy z inspekcją warstwy 7 6 szt. 1. Firewall musi być dostarczony jako dedykowane urządzenie sieciowe o wysokości montażowej 1U. 2. Urządzenie musi być wyposażone w co najmniej 1 GB pamięci RAM, pamięć Flash 1 GB oraz port konsoli. Urządzenie musi posiadać slot USB przeznaczony do podłączenia dodatkowego nośnika danych. Musi być dostępna opcja uruchomienia systemu operacyjnego firewalla z nośnika danych podłączonego do slotu USB na module kontrolnym. 3. Urządzenie musi być wyposażone w nie mniej niż 8 wbudowanych interfejsów Ethernet 10/100/ at (POE+), gotowych do użycia bez konieczności zakupu dodatkowych modułów i licencji. 4. Urządzenie musi być wyposażone w 2 sloty na dodatkowe karty z modułami interfejsów. Urządzenie musi obsługiwać co najmniej następującej rodzaje kart z modułami interfejsów: ADSL 2/2+, Serial, E1, Gigabit Ethernet (SFP). Przynajmniej 1 ze slotów musi być wyposażony w moduł Gigabit Ethernet (SFP). 5. System operacyjny firewalla musi posiadać budowę modułową (moduły muszą działać w odseparowanych obszarach pamięci) i zapewniać całkowitą separację płaszczyzny kontrolnej od płaszczyzny przetwarzania ruchu użytkowników, m.in. moduł routingu IP, odpowiedzialny za ustalenie tras routingu i zarządzanie urządzenia musi być oddzielone od modułu przekazywania pakietów, odpowiedzialnego za przełączanie pakietów pomiędzy segmentami sieci obsługiwanymi przez urządzenie. 6. System operacyjny firewalla musi śledzić stan sesji użytkowników (ang. stateful processing), tworzyć i zarządzać tablicą stanu sesji. Musi istnieć opcja przełączenia urządzenia w tryb pracy bez śledzenia stanu sesji użytkowników, jak również wyłączenia części ruchu ze śledzenia stanu sesji. 7. Urządzenie musi posiadać mechanizmy priorytetyzowania i zarządzania ruchem sieciowym QoS wygładzanie (shaping) oraz obcinanie (policing) ruchu. Mapowanie ruchu do kolejek wyjściowych musi odbywać się na podstawie DSCP, IP ToS, 802.1p, oraz parametrów z nagłówków TCP i UDP. Urządzenie musi posiadać tworzenia osobnych kolejek dla różnych klas ruchu. Urządzenie musi posiadać zaimplementowany mechanizm WRED w celu przeciwdziałania występowaniu przeciążeń w kolejkach. 8. Firewall musi realizować zadania Stateful Firewall dla protokołów IP i IPv6 z mechanizmami ochrony przed atakami DoS, wykonując kontrolę na poziomie sieci oraz aplikacji pomiędzy nie mniej niż 24 strefami bezpieczeństwa z wydajnością nie mniejszą niż 300 Mb/s liczoną dla ruchu IMIX. Firewall musi przetworzyć nie mniej niż pakietów/sekundę (dla pakietów 64-bajtowych). Firewall musi obsłużyć nie mniej niż równoległych sesji oraz zestawić nie mniej niż nowych połączeń/sekundę. 9. Firewall musi zestawiać zabezpieczone kryptograficznie tunele VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site oraz client-to-site. IPSec VPN musi być realizowany sprzętowo. Firewall musi obsługiwać nie mniej niż 512 równoległych tuneli VPN oraz ruch szyfrowany o przepustowości nie mniej niż 100 Mb/s. Urządzenie musi posiadać możliwość udostępniania użytkownikom wbudowanego klienta IPSec VPN za pośrednictwem strony WWW. 10. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać strefy bezpieczeństwa, adresy IP klientów i serwerów, protokoły i usługi sieciowe,

7 użytkowników aplikacji, reakcje zabezpieczeń oraz metody rejestrowania zdarzeń. Firewall musi umożliwiać zdefiniowanie nie mniej niż 2000 reguł polityki bezpieczeństwa. 11. Firewall musi posiadać funkcję wykrywania i blokowania ataków intruzów (IPS, ang. intrusion prevention) realizowaną sprzętowo. System zabezpieczeń musi identyfikować próby skanowania, penetracji i włamań, ataki typu exploit (poziomu sieci i aplikacji), ataki destrukcyjne i destabilizujące DoS/DDoS oraz inne techniki stosowane przez hakerów. Ustalenie blokowanych ataków (intruzów, robaków) musi odbywać się w regułach polityki bezpieczeństwa. 12. System firewall musi realizować zadania IPS z wydajnością nie mniejszą niż 100 Mb/s. Baza sygnatur IPS musi być utrzymywana i udostępniana przez producenta urządzenia firewall. Baza sygnatur ataków musi być aktualizowana przez producenta co najmniej raz w tygodniu. 13. Urządzenie firewall musi posiadać wbudowany moduł kontroli antywirusowej kontrolujący pocztę elektroniczną (SMTP, POP3, IMAP), FTP oraz HTTP. Włączenie kontroli antywirusowej nie może wymagać dodatkowego serwera. Kontrola antywirusowa musi być realizowana sprzętowo z wydajnością nie mniejszą niż 35 Mb/s dla ruchu HTTP. Musi istnieć możliwość wyboru działania mechanizmu kontroli antywirusowej w trybie sprzętowym i programowym. 14. Urządzenie firewall musi posiadać wbudowany moduł filtrowania stron WWW w zależności od kategorii treści stron. Włączenie filtrowania stron WWW nie może wymagać dodatkowego serwera. 15. Urządzenie firewall musi posiadać funkcję filtrowania zawartości ruchu HTTP, FTP i protokołów poczty elektronicznej (SMTP, POP3, IMAP) w celu blokowania potencjalnie szkodliwych obiektów. Urządzenie musi filtrować ruch na podstawie kryteriów obejmujących co najmniej: typy MIME, rozszerzenia plików, elementy ActiveX, Java i cookies. 16. Urządzenie musi obsługiwać protokoły dynamicznego routingu: RIP, OSPF, ISIS oraz BGP. 17. Urządzenie musi posiadać możliwość uruchomienia funkcji MPLS z sygnalizacją LDP i RSVP w zakresie VPLS i L3 VPN. 18. Urządzenie musi obsługiwać co najmniej 128 sieci VLAN z tagowaniem 802.1Q. W celu zapobiegania zapętlania się ruchu w warstwie 2 firewall musi obsługiwać protokoły Spanning Tree (802.1D), Rapid STP (802.1W) oraz Multiple STP (802.1S). 19. Urządzenie musi umożliwiać skonfigurowanie nie mniej niż 15 wirtualnych routerów. 20. Urządzenie musi obsługiwać protokół LACP w celu agregowania fizycznych połączeń Ethernet. 21. Firewall musi posiadać możliwość pracy w konfiguracji odpornej na awarie dla urządzeń zabezpieczeń Urządzenia zabezpieczeń w klastrze muszą funkcjonować w trybie Active-Passive z synchronizacją konfiguracji i tablicy stanu sesji. Przełączenie pomiędzy urządzeniami w klastrze HA musi się odbywać przezroczyście dla sesji ruchu użytkowników. Mechanizm ochrony przed awariami musi monitorować i wykrywać uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. 22. Zarządzanie urządzeniem musi odbywać się za pomocą graficznej konsoli Web GUI oraz z wiersza linii poleceń (CLI) poprzez port szeregowy oraz protokoły telnet i SSH. Firewall musi posiadać możliwość zarządzania i monitorowania przez centralny system zarządzania i monitorowania pochodzący od tego samego producenta. 23. Administratorzy muszą mieć do dyspozycji mechanizm szybkiego odtwarzania systemu i przywracania konfiguracji. W urządzeniu musi być przechowywanych nie

8 mniej niż 5 poprzednich, kompletnych konfiguracji, w tym musi istnieć możliwość wskazania jednej z wersji konfiguracji jako bazowej, służącej odtworzeniu przy pomocy pojedynczej komendy konfiguracji tzw. minimalnej (nie fabrycznej). 24. Urządzenie musi posiadać funkcję pracy jako kontroler sieci bezprzewodowej i umożliwiać zarządzania punktami dostępowymi. 25. Urządzenie musi oferować wsparcie dla 802.1X. 26. Urządzenie powinno współpracować oraz być dostarczone z Punktem Dostępowym WiFi spełniającym wymagania: IEEE Standard: EEE a/b/g, IEEE n draft 2.0, IEEE h, IEEE d, IEEE e, Security:802.11i, Wi-Fi Protected Access 2 (WPA2), WPA, 802.1X, Advanced Encryption Standards (AES), Temporal Key Integrity Protocol (TKIP) Pobór mocy nie większy niż 13W. handlowe Gwarancja i wsparcie 27. Urządzenie musi być fabrycznie nowe. 28. Urządzenie musi posiadać wszystkie zezwolenia i homologacje wymagane dla tego typu sprzętu na terenie Unii Europejskiej. 29. Gwarancja: min. 36 miesięcy. 30. Pomoc techniczna oraz szkolenia z produktu muszą być dostępne w Polsce. Usługi te muszą być świadczone w języku polskim. 31. Wraz z produktem wymagane jest świadczenie pomocy j oraz dostarczenie subskrypcji na funkcję IPS (AV, AS etc) ważnej przez okres 1 roku. 32. Pomoc techniczna musi obejmować: a) wsparcie świadczone telefonicznie oraz pocztą elektroniczną przez producenta oraz polskiego dystrybutora zabezpieczeń, b) dostęp do nowych wersji oprogramowania, c) aktualizację: bazy ataków IPS, definicji wirusów, blacklist antyspamowych, bazy kategorii stron WWW, d) dostęp do baz wiedzy, przewodników konfiguracyjnych i narzędzi diagnostycznych. Zadanie nr 2 - Dostawa sprzętu na potrzeby Uczelnianej Sieci Komputerowej 2 szt Router szkieletowy Ethernet/MPLS/IP - 1 szt. 1. Router musi być dedykowanym urządzeniem sieciowym, o budowie modułowej, przystosowanym do zamontowania w szafie rack Router musi być wyposażony w zasilacze dostosowane do napięcia V, w ilości umożliwiającej poprawną pracę routera w pełnej konfiguracji przy obsadzeniu wszystkich dostępnych slotów modułami. Zamontowane zasilacze muszą zapewniać możliwość przyłączenia do dwóch odrębnych źródeł zasilania oraz redundancję 1:1. 3. Router musi być dostarczony z interfejsami: 4 x 10GE oraz 20 x 1GE SFP. 4. Z routerem zostaną dostarczone dwie pary wtyczek XFP WDM/BiDi o zasięgu ok. 10 km. 5. Router musi posiadać wolny slot umożliwiający doposażenie w 2 interfejsy 10GE. 6. Router musi być dedykowanym urządzeniem sieciowym, o budowie modułowej, przystosowanym do zamontowania w szafie rack 19.

9 7. Router musi być wyposażony w zasilacze dostosowane do napięcia V, w ilości umożliwiającej poprawną pracę routera w pełnej konfiguracji przy obsadzeniu wszystkich dostępnych slotów modułami. Zamontowane zasilacze muszą zapewniać możliwość przyłączenia do dwóch odrębnych źródeł zasilania oraz redundancję 1:1. 8. Router musi być dostarczony z interfejsami: 4 x 10GE oraz 20 x 1GE SFP. 9. Z routerem zostaną dostarczone dwie pary wtyczek XFP WDM/BiDi o zasięgu ok. 10 km. 10. Router musi posiadać wolny slot umożliwiający doposażenie w 2 interfejsy 10GE. Zarządzanie 11. Zarządzanie i konfiguracja routera przez administratorów musi być realizowana przez moduł kontrolny. System operacyjny routera musi być instalowany i uruchamiany na module kontrolnym. Moduł kontrolny musi odpowiadać za sterowanie i monitorowanie pracy komponentów urządzenia. Ruch tranzytowy użytkowników przechodzący przez router nie może być przesyłany przez moduł kontrolny. Moduł kontrolny musi być wyposażony w co najmniej 2 GB pamięci RAM, pamięć Flash, port konsoli oraz interfejs Ethernet służący do zarządzania out-of-band. Moduł kontrolny musi posiadać slot USB przeznaczony do podłączenia dodatkowego nośnika danych. Musi być dostępna opcja uruchomienia systemu operacyjnego routera z nośnika danych podłączonego do slotu USB na module kontrolnym. 12. System operacyjny routera musi posiadać budowę modułową (moduły muszą działać w odseparowanych obszarach pamięci) i zapewniać całkowitą separację płaszczyzny kontrolnej od płaszczyzny przetwarzania ruchu użytkowników, m.in. moduł routingu IP, odpowiedzialny za ustalenie tras routingu i zarządzanie urządzenia musi być oddzielony od modułu przekazywania pakietów, odpowiedzialnego za przełączanie pakietów pomiędzy segmentami sieci obsługiwanymi przez urządzenie. Obsługa ruchu tranzytowego użytkowników musi być realizowana sprzętowo. 13. Router musi być zarządzany poprzez tekstowy interfejs linii komend (CLI) dostępny po porcie konsoli, oraz protokół Telnet i SSHv2 dostępny przez interfejs do zarządzania out-of-band oraz dowolny interfejs tranzytowy. Router musi posiadać funkcję współpracy z zewnętrznymi serwerami AAA RADIUS (RFC 2138, RFC 2139) oraz TACACS+ (RFC 1492). Matryca i interfejsy 14. Router musi być wyposażony w matrycę przełączającą o architekturze non-blocking o wydajności nie mniejszej niż 80 Gbps full duplex oraz nie mniej niż 60 milionów pakietów na sekundę. Nieblokowalność routera musi być zagwarantowana dla przypadku pełnego obsadzenia interfejsami liniowymi. 15. Dla routera muszą być dostępne (w sprzedaży) moduły umożliwiające doposażenie o kolejne 4 x 10GE (w sumie do co najmniej 8 interfejsów 10GE w całym urządzeniu) oraz moduły umożliwiające doposażenie o 20 x 1GE. 16. Interfejsy muszą być zgodne odpowiednio z normami: IEEE 802.3ae, 802.3z, 802.3ab. 17. Interfejsy 10 GbE muszą współpracować z modułami XFP pochodzącymi od innych producentów. Interfejsy 1GE muszą współpracować z modułami SFP pochodzącymi od innych producentów. 18. Wszystkie interfejsy muszą umożliwiać transmisję z pełną prędkością znamionową (wire speed). 19. Router musi obsługiwać ramki Jumbo o wielkości 9 KB. 20. Porty GbE i 10 GbE urządzenia muszą obsługiwać mechanizm Digital Optical Monitoring (DOM). Routing i switching 21. Urządzenie musi obsługiwać w sprzęcie routing IPv4, IPv6 oraz MPLS. 22. Urządzenie musi obsługiwać routing statyczny IPv4 oraz routing dynamiczny IPv4

10 co najmniej dla protokołów routingu OSPF, IS-IS i BGP. 23. Urządzenie musi obsługiwać routing statyczny IPv6 oraz routing dynamiczny IPv6 co najmniej dla protokołów routingu OSPF, IS-IS i BGP. 24. Router jednocześnie musi obsługiwać nie mniej niż 900 tysięcy wpisów w tablicy routingu IPv4, 900 tysięcy wpisów w tablicy VPN IPv4, 700 tysięcy wpisów w tablicy routingu IPv6 oraz 128 tysięcy adresów MAC. 25. Router musi obsługiwać mechanizm tworzenia wirtualnych routerów (kontekstów, routerów logicznych) umożliwiający routing pakietów w oparciu o niezależne tablice routingu musi m.in. umożliwiać uruchomienie nie mniej niż 5 instancji routingu BGP dla różnych numerów systemów autonomicznych. Ponadto router musi obsługiwać sprzętowo 3 pełne tablice BGP dla IPv4 dla 3 różnych numerów systemów autonomicznych (przy założeniu, że w pełnej tablicy BGP znajduje się 300 tysięcy prefiksów). Router musi obsługiwać nie mniej niż 500 sesji BGP. 26. Router musi obsługiwać protokół redundancji VRRP. 27. Mechanizm BFD musi być obsługiwany dla IPv4, IPv6 oraz MPLS LSP. 28. Urządzenie musi posiadać funkcję filtrowania ruchu wchodzącego i wychodzącego ze wszystkich interfejsów. Filtrowanie ruchu musi odbywać się co najmniej na podstawie adresów MAC, IPv4 i IPv6 oraz numerów portów TCP/UDP. Router musi obsługiwać nie mniej niż reguł filtrowania ruchu. Włączenie filtrowania nie może powodować degradacji wydajności urządzenia, tzn. musi być realizowane sprzętowo z prędkością łącza. 29. Router musi obsługiwać protokół SNMP w wersjach 1, 2 i 3. Router musi udostępniać za pomocą protokołu SNMP co najmniej 64 bitowe liczniki ramek i bajtów wysłanych i odebranych na poszczególnych interfejsach tranzytowych. Router musi udostępniać za pomocą protokołu SNMP liczniki odebranych ramek zawierających błędy na poszczególnych interfejsach tranzytowych. Router musi udostępniać za pomocą CLI liczniki ramek wysłanych, odebranych oraz zawierających błędy na poszczególnych interfejsach tranzytowych. Ponadto po SNMP muszą być dostępne liczniki pakietów i bajtów przechwyconych przez poszczególne filtry ruchu (ACL). 30. Router musi posiadać mechanizmy pozwalające na ograniczanie pasma dla ruchu wyjściowego i wejściowego na wszystkich interfejsach tranzytowych (z uwzględnieniem filtrów ruchu ACL) oraz dla poszczególnych sieci VLAN. 31. Router musi posiadać mechanizmy klasyfikowania ruchu, jego filtrowanie oraz znakowanie w oparciu co najmniej 802.1p, DSCP, ToS, MPLS EXP na wszystkich portach tranzytowych oraz dla poszczególnych sieci VLAN. Dodatkowo klasyfikacja pakietów musi się również odbywać o dane z protokołu BGP nie mniej niż Community i AS Path. Znakowanie pakietów musi być wykonywane również przez tri-colored policer. 32. Urządzenie musi wykonywać shaping lub policing ruchu per port. 33. Router musi obsługiwać co najmniej 8 kolejek wyjściowych dla każdego portu tranzytowego. Urządzenie musi posiadać możliwość buforowania do 100 ms na wszystkich portach tranzytowych. Router musi obsługiwać mechanizm WRED. 34. Router musi mieć zaimplementowane tunelowanie GRE oraz IP-IP bezpośrednio na karcie liniowej o wydajności przynajmniej 1Gbps. 35. Router musi obsługiwać ruch IP multicast w zakresie co najmniej protokołów IGMP (wersje 1, 2, 3) oraz PIM-SM. 36. Na wszystkich interfejsach przeznaczonych do obsługi ruchu tranzytowego urządzenia musi obsługiwać usługi MPLS nie mniej niż L2 VPN, VPLS (oparte o LDP i BGP) oraz BGP/MPLS VPN (L3 VPN).

11 37. Wymagane jest spełnienie, w szczególności RFC 3031, 3032, 3036, 2205, 2209, 3209, 3270, 4090, 3812, 2858, 3107, 4364, 4576, 4577, 4382, 4762, 4447, Router musi obsługiwać nie mniej niż 2000 sieci VPLS. 39. Dla L2 VPN oraz VPLS musi być obsługiwany multihoming. 40. Router musi obsługiwać protokół sygnalizacji RSVP-TE z mechanizmem Fast Reroute (node protection oraz link protection) oraz algorytm wyliczania ścieżki CSPF. 41. Router musi posiadać możliwość uruchomienia mechanizmu DiffServ Traffic Engineering w celu przekierowania ruchu należącego do różnych klas obsługi ruchu na różne ścieżki MPLS. 42. Router musi obsługiwać ruch multicast w IPVPN według draft-rosen-vpn-mcast- 08.txt. 43. W ramach IPVPN ruch multicast musi być obsługiwany wykorzystując sygnalizację BGP oraz w zakresie transportu MPLS point-to-multipoint według draft-ietf-l3vpn- 2547bis-mcast-bgp-03.txt, draft draft-ietf-l3vpn-2547bis-mcast-02.txt, Requirements for Multicast in Layer 3 Provider-Provisioned Virtual Private Networks (PPVPNs) RFC4834 oraz draft-ietf-l3vpn-mvpn-considerations Urządzenie musi obsługiwać sieci VLAN zgodnie z IEEE 802.1q. Urządzenie musi pozwalać na skonfigurowanie i uruchomienie nie mniej niż 4094 sieci VLAN jednocześnie. 45. Urządzenie musi obsługiwać mechanizm Q-in-Q włącznie z funkcją terminowania wewnętrznych sieci VLAN na interfejsach warstwy trzeciej. 46. Router musi wspierać 802.1ah (Provider Backbone Bridge). 47. Urządzenie musi obsługiwać protokoły Spanning Tree zgodnie z co najmniej IEEE 802.1d, 802.1w i 802.1s. 48. Ramki BPDU pomiędzy sieciami VLAN muszą być przenoszone przez urządzenie również w trybie MPLS/VPLS. 49. Urządzenie musi obsługiwać pracę w architekturze pierścienia z możliwością przerwania pierścienia w różnych miejscach dla różnych sieci wirtualnych (np. z wykorzystaniem Per VLAN Spanning Tree Protocol). Urządzenie musi umożliwiać szybkie przywrócenie (nie dłużej niż 1 sekunda) komunikacji w pierścieniu składającym się z co najmniej 100 urządzeń. 50. Router musi obsługiwać mechanizm monitorowania i próbkowania ruchu w warstwach 3 i 4 dla ruchu IPv4 przy pomocy protokołu sflow lub równoważnego. Router musi obsługiwać protokół Netflow v9 zgodnie z RFC 3954 z pełną wydajnością. 51. Router musi posiadać funkcję limitowania pasma dla usług, których działania jest niezbędne do prawidłowego działania urządzenia, a które mogą stać się celem ataku Denial of Service. 52. Urządzenie musi mieć domyślnie zaimplementowane zabezpieczenia przed atakami na poziomie protokołu ARP minimalny wymagany poziom zabezpieczeń to limitowanie ruchu ARP. handlowe 53. Urządzenie fabrycznie nowe, pochodzące z oficjalnego źródła sprzedaży wyznaczonego przez producenta. 54. Urządzenie musi posiadać wszystkie zezwolenia i homologacje wymagane dla tego typu sprzętu na ternie Unii Europejskiej. Gwarancja i wsparcie 55. Gwarancja: min. 36 miesięcy. 56. Wraz z produktem wymagane jest świadczenie pomocy j ważnej przez

12 okres 3 lat. 57. Pomoc techniczna powinna obejmować: a) wsparcie świadczone telefonicznie oraz pocztą elektroniczną przez producenta oraz polskiego dystrybutora zabezpieczeń, b) dostęp do nowych wersji oprogramowania a także dostęp do baz wiedzy, przewodników konfiguracyjnych i narzędzi diagnostycznych Gateway VPN SSL/NAC 1 szt. 1. System musi być oparty o specjalizowaną platformę sprzętową oraz zapewniać obsługę co najmniej 1000 jednoczesnych użytkowników z możliwością rozbudowy do jednoczesnych użytkowników. 2. Urządzenie musi zapewniać sprzętową akcelerację usług oraz skalowalność takiego wspomagania, po to aby Zamawiający mógł stopniowo rozbudowywać swój system. Urządzenie musi umożliwiać instalację minimum 4 uniwersalnych modułów usługowych realizujących funkcję bezpiecznego zdalnego dostępu (SSL VPN) lub funkcję kontroli dostępu do sieci lokalnej (NAC). Wyboru trybu pracy danego modułu dokonuje użytkownik. 3. Urządzenie musi posiadać min 3 porty 10/100/1000 Base-TX, a ponadto port konsoli umożliwiający zarządanie z bezpośrednio przyłączonego terminala oraz interfejs USB do przenoszenia firmware'u i konfiguracji. 4. Urządzenie należy doposażyć w dodatkowy zasilacz AC 230V. Zamontowane zasilacze muszą zapewniać możliwość przyłączenia do dwóch odrębnych źródeł zasilania oraz redundancję 1:1. 5. Urządzenie musi umożliwiać budowanie konfiguracji odpornych na awarię w trybie Aktywny/Aktywny oraz Aktywny/Pasywny. Zarządzanie Funkcje bezpiecznego dostępu VPN 6. Urządzenie musi posiadać dedykowany modułu zarządzania umożliwiający dostęp do konsol administracyjnych wszystkich uruchomionych modułów funkcjonalnych (SSL VPN, NAC) poprzez pojedynczy adres IP. 7. System musi umożliwiać spójne zarządzanie z jednej konsoli administracyjnej wieloma urządzeniami w przypadku budowania konfiguracji nadmiarowych HA. 8. Urządzenie musi być zarządzane poprzez przeglądarkę Web 9. Urządzenie musi umożliwiać wykonywanie lokalnych kopi zapasowych konfiguracji lub na zewnętrznym serwerze FTP oraz SCP. 10. Urządzenie musi przechowywać dwie wersje oprogramowania oraz umożliwiać reset do wersji fabrycznej. 11. Rozwiązanie musi umożliwiać tworzenie i wymuszanie szczegółowych polityk kontroli dostępu użytkowników do zasobów sieciowych. Polityki tworzone są w oparciu o tożsamość użytkownika, stan bezpieczeństwa jego urządzenia dostępowego, lokalizację sieciową lub dowolną kombinację powyższych kryteriów. 12. Wymuszanie polityk dostępu do sieci musi być możliwe w warstwie 2 modelu ISO/OSI z wykorzystaniem standardu 802.1X w celu zapewnienia funkcji NAC (ang. Network Access Control) w sieci oraz w warstwie 3 modelu ISO/OSI w celu zapewnienia kontroli dostępu na poziomie zasobu. 13. Urządzenie musi umożliwiać budowanie infrastruktury NAC we współpracy z: a) rozwiązaniami sieciowymi dowolnego dostawcy spełniającymi standard

13 802.1x/EAP, b) urządzeniami kontroli dostępu (firewall) firmy Juniper (zamawiający posiada firewalle SRX-3400 oraz ISG-1000), c) dowolną kombinacją powyższych, 14. Rozwiązanie NAC musi zawierać wbudowany serwer RADIUS umożliwiający uwierzytelnienie w warstwie 2 sieci w oparciu o standard 802.1x bez konieczności stosowania rozwiązań trzecich. 15. Rozwiązanie SSL VPN musi oferować zróżnicowane metody dostępu do zasobów: a) dostęp podstawowy (min. aplikacje Web; standardowe protokoły pocztowe IMAP, POP3,SMTP; współdzielenie plików NETBIOS, NFS; usługi terminalowe telnet, SSH), b) dostęp do aplikacji klient-serwer (enkapsulacja dowolnej aplikacji TCP w protokół HTTPS) be konieczności zastosowania dodatkowych licencji, c) pełen dostęp sieciowy bez konieczności zastosowania dodatkowych licencji - praca w trybie wysokiej dostępności (SSL) oraz wysokiej wydajności (ESP wraz z kompresją treści). Możliwość automatycznego przełączania z trybu wysokiej wydajności do trybu wysokiej dostępności. 16. Rozwiązanie musi umożliwiać uwierzytelnienie użytkowników w oparciu o: a) serwery RADIUS, b) usługi katalogowe LDAP, Microsoft Active Directory, Novell NDS/eDirectory, c) natywną, lokalną bazę danych użytkowników, d) system RSA SecurID, e) certyfikaty X.509, f) serwery NIS. 17. Urządzenie musi umożliwiać uwierzytelnienie dwuskładnikowe (hasło statyczne plus certyfikat, hasło dynamiczne plus certyfikat). Musi istnieć możliwość rozdzielenia serwera uwierzytelnienia użytkowników od serwera autoryzacji dostępu do zasobów. 18. Urządzenie musi umożliwiać dynamiczne przyznawanie praw dostępu do zasobów w zależności od: spełnienia określonych warunków przez użytkownika zdalnego, węzeł zdalny, parametry sieci oraz parametry czasowe. 19. Urządzenie musi umożliwiać szczegółową weryfikację stanu bezpieczeństwa węzła zdalnego. Musi istnieć możliwość: a) sprawdzenia obecności konkretnego procesu, pliku, wpisu w rejestrze Windows b) sprawdzenia czy włączono odpowiednie usługi zabezpieczeń zarówno w momencie logowania jak w trakcie trwania sesji, c) integracji z systemami weryfikacji stanu bezpieczeństwa firm trzecich, 20. Urządzenie musi umożliwiać integrację z zewnętrznymi serwerami SNMP v.2 oraz SYSLOG. handlowe 21. Urządzenie fabrycznie nowe, pochodzące z oficjalnego źródła sprzedaży wyznaczonego przez producenta. 22. Urządzenie musi posiadać wszystkie zezwolenia i homologacje wymagane dla tego typu sprzętu na ternie Unii Europejskiej. Gwarancja i wsparcie 23. Gwarancja: min. 36 miesięcy. 24. Wraz z produktem wymagane jest świadczenie pomocy j ważnej przez

14 okres 3 lat. 25. Pomoc techniczna powinna obejmować: a) wsparcie świadczone telefonicznie oraz pocztą elektroniczną przez producenta oraz polskiego dystrybutora zabezpieczeń, b) dostęp do nowych wersji oprogramowania a także dostęp do baz wiedzy, przewodników konfiguracyjnych i narzędzi diagnostycznych. Zadanie nr 3 - Dostawa modułów (kart) z portami 10GE do przełączników MPLS - 10 szt. / równoważność handlowe Gwarancja 1. Przedmiotem zamówienia jest dostawa: a) 6 sztuk modułów NetIron CES porty 10GbE XFP do posiadanych przez Zamawiającego przełączników serii NetIron CES2024F, numer katalogowy modułu NI-CES x10G lub równoważnych do wskazanych b) 4 sztuk modułów NetIron MLX 4-porty 10GbE XFP ze sprzętowym wsparciem dla protokołów IPv4/IPv6/MPLS do posiadanych przez Zamawiającego przełączników serii NetIron MLX-8, numer katalogowy modułu NI-MLX-10Gx4 lub równoważnych do wskazanych. 2. Ze względu na kompatybilność wskazanych modułów z urządzeniami posiadanymi przez Zamawiającego, wymienione numery katalogowe stanowią dla Wykonawcy informację referencyjną o pełnej zgodności wymogów. W przypadku zaoferowania modułu(ów) równoważnych Zamawiający zastrzega sobie, iż w celu sprawdzenia poprawności działania, Wykonawca musi dostarczyć moduł do testów w terminie nie dłuższym niż 3 dni od dnia otrzymania zawiadomienia od Zamawiającego. 3. Urządzenia powinny pochodzić od jednego producenta i być nieużywane przed dniem dostawy z wyłączeniem użytkowania niezbędnego dla przeprowadzenia testu ich poprawnej pracy. 4. Urządzenia muszą posiadać wszystkie zezwolenia i homologacje wymagane dla tego typu sprzętu na ternie Unii Europejskiej. 5. Gwarancja: min. 36 miesięcy. Zadanie nr 4 - Dostawa drobnego sprzętu sieciowego 9 szt Router 3G/LTE/DSL/WIFI 1 szt. 1. Router z zasilaniem z wbudowanego akumulatora. 2. Wspierane standardy WIFI: IEEE b/g/n (do 300 Mbit). 3. Interfejsy komunikacyjne: USB, RJ Zasilanie z wewnętrznego akumulatora, poprzez dołączony zasilacz oraz port mini USB. 5. Możliwość definiowania kilku wirtualnych AP. Kompatybilność 6. Router musi współpracować z modemami LTE Huawei E398 oraz E156G.

15 Gwarancja 7. Gwarancja: min. 24 miesiące Przełącznik sieciowy zarządzalny 3 szt. 1. Metalowa obudowa typu desktop z zestawem do montażu w szafie Rack 19". 2. Porty: 8 x 10/100/ x combo Gigabit SFP. 3. Złącza: 10 x 10Base-T/100Base-TX/1000Base-T - RJ-45, 1 x console - 9 pin D-Sub (DB-9) - management, 2 x SFP (mini-gbic). 4. Tablica MAC: 16K. 5. VLAN-y: do 4K. 6. Zarządzanie: SNMP 1, RMON 1, RMON 2, RMON 3, RMON 9, Telnet, SNMP 3, SNMP 2c, HTTP, HTTPS, SSH, CLI. 7. Jumbo Frame: do 10 KB. 8. Metody autentykacji: Localna, RADIUS, TACACS+. 9. Wsparcie dla: Layer 3 switching, Layer 2 switching, DHCP support, BOOTP support, VLAN support, IGMP snooping, Syslog support, DoS attack prevention, port mirroring, DiffServ support, Weighted Round Robin (WRR) queuing, Broadcast Storm Control, IPv6 support, Multicast Storm Control, Unicast Storm Control, firmware upgradable, Spanning Tree Protocol (STP) support, Rapid Spanning Tree Protocol (RSTP) support, Multiple Spanning Tree Protocol (MSTP) support, Trivial File Transfer Protocol (TFTP) support, Access Control List (ACL) support, Quality of Service (QoS), Jumbo Frames support, MLD snooping, fanless. 10. Zgodność ze standardami: IEEE 802.3, IEEE 802.3u, IEEE 802.3z, IEEE 802.1D, IEEE 802.1Q, IEEE 802.3ab, IEEE 802.1p, IEEE 802.3x, IEEE 802.3ad (LACP), IEEE 802.1w, IEEE 802.1x, IEEE 802.1s. 11. Diody wskazujące stan łącza: Link activity, port transmission speed, system. 12. PoE. 13. W zestawie: a) switch, b) kabel zasilający, c) kabel konsoli, d) zestaw do montażu w szafie. Kompatybilność 14. Wtyk pasujący do HP Elitebook 2560p. Gwarancja 15. Gwarancja: min. 24 miesiące. 4.3 Ethernet switch 5 szt. 1. Zgodność ze standardami: a) IEE BASE-T Ethernet, b) IEEE802.3u 100BASE-TX Fast Ethernet, c) ANSI/IEEE802.3 Auto-negotiation,

16 d) IEEE802.3x Flow Control 2. Prędkość transmisji (min.): Ethernet 10M/100Mbps (half/full duplex) 3. Interfejsy fizyczne: 8 portów Ethernet 10/100Base-T 4. Funkcje sieciowe: MDI-II/MDI-X na każdym porcie 5. Diody statusu LED: Link/Activity na każdym porcie PWR 6. Specyfikacja fizyczna: Metalowa obudowa 7. Napięcie zasilania: 5V DC Gwarancja 8. Gwarancja: min. 24 miesiące. Zadanie nr 5 - Dostawa punktów dostępowych do współpracy z kontrolerem Cisco - 2 szt. Gwarancja 1. Punkty dostępowe muszą: a) być wyposażone w moduł radiowy pracujący w częstotliwościach 2,4 oraz 5 GHz zgodnie ze standardami IEEE a/b/g/n, b) obsługiwać trzy strumienie przestrzenne w technologii MIMO, c) obsługiwać protokół LWAPP lub CWAPP w celu poprawnej współpracy z posiadanymi już przez Politechnikę Łódzką kontrolerami Cisco WLC 4402 oraz Cisco AIR-CT5508, d) być dostarczone z wersją oprogramowania umożliwiającą ich zarządzanie poprzez kontroler bezprzewodowy, e) umożliwiać rozgłaszanie co najmniej 16 SSID, zapewniając możliwość zdefiniowania różnych metod szyfrowania dla każdego z SSID (WEP,WPA,WPA2,802.1x z EAP, wyłączenie szyfrowania) oraz rozdziału ruchu na odrębne VLAN-y (IEEE 802.1Q), f) zapewniać obsługę mechanizmów QoS (shaping over-the-air, wsparcie dla VoWLAN, obsluga VMM TSpec), g) być zasilane poprzez kabel sygnałowy Ethernet zgodnie ze standardem IEEE 802.3af, h) być dostarczone z antenami zintegrowanymi lub zewnętrznymi. 2. Gwarancja: min. 24 miesiące.