SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA

Transkrypt

1 SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA (SIWZ) Dostawa specjalizowanego rozwiązania teleinformatycznego w ramach realizacji projektu pt Modernizacja i dostosowanie naukowej sieci komputerowej UTP do pracy z wykorzystaniem protokołu IP v.6. Nr postępowania AZZP-S.24-B-13/2010 Zamawiający: Uniwersytet Technologiczno-Przyrodniczy im. J. J. Śniadeckich w Bydgoszczy ul. Ks. A. Kordeckiego Bydgoszcz zatwierdzam Bydgoszcz, dnia 09 lutego 2010 r.

2 I. NAZWA ORAZ ADRES ZAMAWIAJĄCEGO Uniwersytet Technologiczno-Przyrodniczy im. J. J. Śniadeckich w Bydgoszczy ul. Ks. A. Kordeckiego Bydgoszcz tel./fax II. TRYB POSTĘPOWANIA 1. Postępowanie o udzielenie niniejszego zamówienia publicznego prowadzone jest w trybie przetargu nieograniczonego. 2. Postępowanie niniejsze prowadzone jest na podstawie ustawy z dn r. Prawo zamówień publicznych (dalej: PZP) 3. Wartość szacunkowa zamówienia przekracza kwoty określone w przepisach wydanych na podstawie art. 11 ust. 8 PZP. III. NAZWA POSTĘPOWANIA NADANA PRZEZ ZAMAWIAJĄCEGO Dostawa specjalizowanego rozwiązania teleinformatycznego w ramach realizacji projektu pt Modernizacja i dostosowanie naukowej sieci komputerowej UTP do pracy z wykorzystaniem protokołu IP v.6. IV. OPIS PRZEDMIOTU ZAMÓWIENIA Przedmiotem zamówienia jest dostawa, zainstalowanie przez Zamawiającego pod nadzorem Dostawcy oraz skonfigurowanie przez Dostawcę wszystkich dostarczonych urządzeń sprzętowych oraz rozwiązań opartych na oprogramowaniu. Wszystkie urządzenia sprzętowe oraz rozwiązania oparte na oprogramowaniu muszą być przed dostarczeniem skonfigurowane przy współpracy z Zamawiającym. Kody dotyczące przedmiotu zamówienia określone we Wspólnym Słowniku Zamówień (CPV: , ). Dostawa obejmuje zadanie, którego opis, szczegółowe parametry i warunki wykonania opisano poniŝej. Przedmiotem zamówienia jest dostawa specjalizowanego rozwiązania teleinformatycznego w ramach realizacji projektu pt. Modernizacja i dostosowanie naukowej sieci komputerowej UTP do pracy z wykorzystaniem protokołu IP v.6. NajwaŜniejszym celem projektu jest wprowadzenie rozwiązania umoŝliwiającego funkcjonowanie sieci komputerowej i jej usług w okresie przejściowym ( ) związanym z powszechnym wdroŝeniem Internetu nowej generacji opartego na protokole szóstej wersji (IPv6). Realizacja projektu zakłada uzyskanie stanu pełnej funkcjonalności serwisów sieci (zarówno transmisji, usług internetowych jak teŝ informacyjnych) dla wszystkich uŝytkowników Uniwersytetu Technologiczno-Przyrodniczego, których komputery posługują się protokołem IPv4 lub dwoma protokołami jednocześnie w trybie 2

3 dual stack. W przypadku współistniejących protokołów sieciowych IP wersji 4 i 6, wyŝszy priorytet powinien mieć protokół IPv6. W wyniku realizacji zamówienia muszą zostać uruchomione wszystkie serwisy sieciowe niezbędne dla prawidłowego funkcjonowania protokołu IPv6. ZałoŜeniem projektu jest stopniowe przechodzenie uŝytkowników do rozwiązań teleinformatycznych posługujących się wyłącznie protokołem IPv6. Proces ten powinien zakończyć się w roku Projekt przewiduje zbudowanie 15 węzłów nowej sieci IPv4/v6 na bazie istniejącego okablowania optotelekomunikacyjnego Uniwersytetu. Zmodernizowana sieć ma powszechnie wykorzystywać znane sposoby zapewnienia bezpieczeństwa sieci i danych, adekwatne do stopnia zagroŝenia i wymagań regulacji krajowych i europejskich. Dostawca systemu jest zobowiązany do nadzorowania zainstalowania sprzętu oraz samodzielnego skonfigurowania wszystkich dostarczonych urządzeń sprzętowych oraz rozwiązań opartych na oprogramowaniu. Przedmiotem konfiguracji jest rozwiązanie pokazane na poglądowym rysunku nr 1. Obejmuje one przede wszystkim takie funkcje jak: 1. Routing BGP v4 i v6 z wymianą prefiksów z min. 6 sąsiadami (na routerze podstawowym w węźle 1 oraz zapasowym w węźle 2) 2. Routing MPLS pomiędzy wszystkimi węzłami wyposaŝonymi w urządzenia MPLS 3. Ochrona sieci i informacji przed zagroŝeniami zewnętrznymi i wewnętrznymi (FW, AV Mail, AV http, ASpam, AMalware, NAC, VPN) 4. Ochrona przed utratą ciągłości działania sieci z powodu pojedynczej awarii 5. Wykreowanie rozproszonych sieci uŝytkowników klasyfikowanych i grupowanych ze względów administracyjnych (Wydziały, Jednostki samodzielne, studenci, uŝytkownicy goście, itp.) 6. Wykreowanie sieci o gwarantowanych parametrach jakościowych (QoS) 7. Dostosowanie konfiguracji sieci do potrzeb istniejącego systemu ochrony sieci i informacji opartego na posiadanym systemie CheckPoint 8. Zarządzanie siecią, rejestracja zdarzeń i informacji wymaganych przepisami prawa Rysunek poglądowy nr 1 przedstawia oczekiwany schemat logiczny sieci UTP. 3

4 Rysunek poglądowy nr 1. Schemat logiczny sieci. LP Nazwa Ilość Kategoria sieci 1 Sieci wydziałowe Sieci międzywydziałowe Sieci jednostek samodzielnych Sieci serwerów informacyjnych Sieci serwerów pośrednich Sieci administracji Sieci zarządzania Sieci gościnne (anonimowe) 2 5 Opis kategorii: 1. Sieci komputerowe umieszczone za urządzeniami firewall, IDS/IPS z uŝyciem róŝnych polityk bezpieczeństwa (w tym kwarantanna). Dostęp z sieci Internet moŝliwy wyłącznie przez VPN. 2. Sieci komputerowe zawierające serwery informacyjne umieszczone w strefie DMZ urządzenia FW, poddane ochronie IDS/IPS, oraz odpowiednio: mail:av, mail:anty-spam, 4

5 mail:anty-malware, www:webfiltering, www:av, www:anty-malware. Pełen dostęp z sieci Internet (ze świata) tylko do specyficznych serwisów. 3. Sieci komputerowe zawierające wewnętrzne serwery informacyjne umieszczone w strefie DMZ urządzenia FW Checkpoint (nie wchodzi w skład zamówienia) poddane ochronie IDS/IPS. Dostęp do specyficznych serwisów, moŝliwy wyłącznie ze ściśle określonych miejsc. 4. Sieci komputerowe chronione, umieszczone za urządzeniami FW CheckPoint oraz FW, IDS/IPS z uŝyciem róŝnych polityk bezpieczeństwa. Dostęp z sieci Internet moŝliwy wyłącznie przez VPN CheckPoint (nie wchodzi w skład zamówienia). 5. Sieci komputerowe przeznaczone dla osób odwiedzających, umieszczone za urządzeniami: FW, IDS/IPS z zastosowaniem specjalnej polityki (np. Green Garden ). 5

6 Rysunek poglądowy nr 2 przedstawia docelowy schemat fizyczny sieci UTP (opis szczegółowych parametrów technicznych poszczególnych węzłów i elementów sieci znajduje się w dalszej części tej specyfikacji). Rysunek poglądowy nr 2. Schemat fizyczny sieci. 6

7 1. Opis części sieciowej zamówienia. Tabela nr 1. Wykaz węzłów i wymaganych minimalnych cech wyposaŝenia. L.p. Lokalizacja Budynek Kordeckiego 20 część routerowa 1 2 Kordeckiego 20 część dostępowa PoE 10/100/1G TX 10/100/1G TX Porty 1G FX (WDM 1 ) B Porty 10G FX 7 (5LR,2ER) +2LR 3 Typ węzła B (2LR) 3 A2 1a Kordeckiego 20 A A1 1b Kordeckiego 20 C A1 1c Kordeckiego 20 F A1 Kaliskiego 7 część routerowa 2 2 Kaliskiego 7 część dostępowa (13LR,6ER) +2LR (2LR) 3 A2 3 Bernardyńska 6/8 Główny (1LR,1ER) MA1 4 RCI Główny (6LR) MA2 4a RCI PK (2LR) A1 4b RCI PK (2LR) A1 4c RCI PK (2LR) A1 5 Mazowiecka 28 Główny (1LR,1ER) MA1 6 Seminaryjna 3 Główny (1LR,1ER) MA2 6a Seminaryjna 5 Główny A1 7 Fordońska 420 Główny (2LR) A1 8 Kaliskiego (2LR) A1 9 Kaliskiego (2LR) A1 10 Kaliskiego (2LR) MA2 11 Kaliskiego (2LR) MA2 12 Kaliskiego (2LR) A1 13 Kaliskiego (2LR) MA2 13a Sucha 7 Główny A1 14 Kaliskiego (2LR) A1 15 Kaliskiego (2LR) A1 15a Kaliskiego 7 C. Novum A1 16 Razem (55LR,11ER) BM BM 1 - Wymagana jest transmisja po jednym włóknie optotelekomunikacyjnym jednomodowym o zasięgu do 10km, 2 - Zamawiający opisał węzły w wykonaniu z jednym urządzeniem modularnym. Zamawiający dopuszcza realizację węzła za pomocą maksymalnie dwóch osobnych urządzeń, jednak w takim przypadku dostawca musi zapewnić dodatkowo po dwa porty na obu urządzeniach do zrealizowania połączenia o przepływności co najmniej 20Gbps (full-duplex) pomiędzy tymi urządzeniami. 3 Porty wymagane w przypadku uŝycia dwóch obudów (chassis) do zbudowania węzła 7

8 1.1. Specyfikacja techniczna (parametry minimalne) specjalizowanego sprzętu teleinformatycznego, węzła BGP/MPLS/Access (BM+A2) Obudowy urządzeń mają być dostosowane do instalacji w szafie telekomunikacyjnej rack 19 oraz być wyposaŝone w wymagane elementy montaŝowe. Urządzenie o wymaganej funkcjonalności moŝe być zawarte w pojedynczej obudowie lub być zbudowane jako dwie obudowy połączone transmisją o przepustowości co najmniej 20Gbps w trybie full duplex. 1. Urządzenia (routery) węzłów BM muszą posiadać zdolność do: a) jednoczesnego (dual stack) i wydajnego obsługiwania routingu BGP dla IPv4 i IPv6 z pełną prędkością portu (wire-speed), b) w pełni funkcjonalnego MPLS z liczbą portów wymienioną w odpowiedniej pozycji w tabeli nr 1. c) realizacji pełnej funkcjonalności MPLS/MultiVRF na co najmniej jednym module portów optycznych, przy czym liczba portów optycznych powinna wynosić co najmniej 20 sztuk. d) Usługi MPLS umoŝliwiającej realizację protokołów : IP over MPLS, Virtual Leased Line (VLL), Virtual Private LAN Service (VPLS), BGP/MPLS VPN, oraz Multi-VRF. e) obsługi co najmniej następujących protokołów IPv4: RIP, OSPF, BGP-4, IS-IS, PIM-SM/SSM, IGMP, BGP-MP for multicast, MSDP i Anycast RP, natomiast w wersji 6 protokołu IP : RIPng, OSPFv3, IS-IS for IPv6, BGP-MP for IPv6 (BGP4+), PIM-SM/SSM i MLD. f) Sygnalizacja i kalkulacji ścieŝek MPLS z zastosowaniem algorytmów: OSPF-TE, IS-IS-TE, RSVP-TE, CSPF oraz LDP, MPLS FRR i Hot Standby Path dla bezpieczeństwa ruchu. 2. niezawodność a) redundancja krytycznych elementów routera (karty zarządzające, matryca przełączająca, zasilacze, wentylatory), b) wymiana wszystkich modułów na gorąco (hot swap), 3. zasilanie 230V AC, pobór mocy zestawu: poniŝej 8kW dla węzła nr 1, poniŝej 15kW dla węzła nr 2 4. wydajność routera a) min. 120 Gbps (full duplex) per slot b) matryca przełączająca o prędkości zagregowanej min Gbps, c) potwierdzona przez producenta gotowość do instalowania kart 100GE wire speed d) moŝliwość obsługi min tras dla IPv4 i minimum tras dla IPv6 e) min. 4GB pamięci DRAM f) min. 1GB nieulotnej pamięci flash na podstawowy obraz systemu operacyjnego g) min. 30GB pamięci nieulotnej dla zapasowych obrazów systemu 5. obsługiwane interfejsy a) 10 Gigabit Ethernet (wire-speed) przy włączonej obsłudze protokołów MPLS, IPv4, IPv6. b) 1 Gigabit Ethernet FX (wire-speed) przy włączonej obsłudze protokołów MPLS, IPv4, IPv6. c) wszystkie optyczne interfejsy muszą mieć styk definiowany przez konwertery typu SFP, XFP, SFP+,Xenpak lub podobne 6. funkcjonalności przełączania MPLS a) obsługa LDP, T-LDP b) obsługa VPLS i H-VPLS 8

9 c) obsługa enkapsulacji VPWS / EoMPLS d) MPLS L3VPN e) MPLS TE f) MPLS FRR g) Carrier supporting Carrier (CsC) 7. funkcjonalności routingu IP a) obsługa IPv4 (statyczny, RIPv2, BGP, OSPF, IS-IS) b) obsługa IPv6 (statyczny, OSPFv3) c) multicast IPv4 (IGMPv2/3, PIM SM, SSM, MSDP) d) obsługa Bidirectional Forwarding Detection (BFD) m.in. dla OSPFv2, IS-IS, PIM, tras statycznych, e) obsługa NonStop Routing (OSPFv2, LDP) i NonStop Forwarding (BGP, OSPF, IS-IS, MPLS- TE, LDP, VPLS) f) obsługa VRRP 8. funkcjonalności przełączania Ethernet a) obsługa 802.1ad, QinQ b) obsługa 802.1Q c) obsługa agregacji 802.3ad 9. funkcjonalności bezpieczeństwa sieciowego a) listy kontroli dostępu (ACL) L2 i L3 (IPv4 i IPv6) b) DHCP snooping, DHCP relay c) Unicast Reverse Path Forwarding (urpf) d) mechanizmy ochrony przed sztormami ruchu rozgłoszeniowego i multicast (broadcast/multicast storm) e) mechanizmy ochrony warstwy kontrolnej urządzenia przed atakami kierowanymi do niego (ograniczanie ruchu kierowanego do urządzenia), f) obsługa autoryzacji administratorów za pośrednictwem RADIUS 10. funkcjonalności zapewnienia jakości ruchu (QoS): a) obsługa mechanizmów QoS (klasyfikacja, oznaczanie, policing,) per VLAN b) dynamiczna alokacja kolejek sprzętowych, dostępne min. 8 kolejek per port 11. funkcjonalności związane z zarządzaniem urządzeniem: a) modularny system operacyjny: b) oddzielne procesy obsługujące poszczególne grupy funkcjonalne (protokoły routingu, zarządzania itp.) c) moŝliwość aktualizacji wybranych grup funkcjonalnych bez przerw w działaniu urządzenia d) moŝliwość restartu poszczególnych procesów e) minimum dwustopniowe zatwierdzanie komend (wprowadzenie komendy, aktywacja konfiguracji) f) moŝliwość cofnięcia zmian konfiguracji g) obsługa tworzenia i przywracania kopii zapasowych h) obsługa E-OAM (802.3ag, 802.3ah, Y.1731 LB/LT/RDI) i) obsługa MPLS OAM (LSP ping, LSP traceroute) 9

10 j) moŝliwość definicji uprawnień poszczególnych administratorów urządzenia k) moŝliwość pobrania konfiguracji do zewnętrznego komputera typu PC, w formie tekstowej. Konfiguracja po dokonaniu edycji poza urządzeniem moŝe być ponownie zaimportowana do urządzenia i uruchomiona, l) moŝliwość wyszukiwania fragmentów konfiguracji z linii poleceń urządzenia, dzięki stosowaniu wyraŝeń regularnych, m) zarządzanie przez CLI (konsola szeregowa, SSHv2), SNMPv3 n) syslog o) dedykowane min. dwa porty szeregowe na potrzeby dostępu do konsoli urządzenia oraz zdalnego zarządzania (modem) p) port 10/100/1000 do celów zarządzania urządzeniem 12. wyposaŝenie urządzenia a) liczba portów 10GE zgodnie z zapisem tabeli 1, b) obsadzone konwerterami typu LR oraz ER zgodnie z zapisem tabeli 1, c) liczba portów 1GE FX, obsadzonych parami konwerterów optycznych zgodnie z zapisem tabeli 1, d) Gotowość min. 2 wolnych slotów do obsadzenia kartami liniowymi 100Gbps Zgodność ze standardami Wymaga się aby urządzenia węzłów były zgodne z następującymi standardami: Zalecenia IEEE: 802.3ae 10 Gigabit Ethernet 802.3x Flow Control 802.3ad Link Aggregation 802.1Q VLAN Tagging 802.1D Bridging Ethernet Like MIBh Ethernet Interface MIB SNMP v1, v2c and V3 SNMP MIB II RFC: RFC 1771 BGPv4 RFC 1745 OSPF interactions RFC 1997 Communities & Attributes RFC 2439 route flap dampening RFC 2796 route reflection RFC 1965 BGP4 confederations RFC 2842 Capability Advertisement (lub nowsze) RFC 2918 Route Refresh Capability RFC 2385 BGP Session Protection via TCP MD5 RFC 2178 OSPF RFC 1583 OSPF v2 RFC 1587 OSPF NSSA 10

11 RFC 2328 OSPF v2 RFC 1850 OSPF v2 MIB RFC 2370 OSPF Opaque LSA Option RFC 3630 TE Extensions to OSPF v2 RFC 3623 Graceful OSPF Restart RFC 3478, Graceful Restart Mechanism for LDP RFC 1195 Routing in TCP/IP and Dual Environments RFC 2763 Dynamic Host Name Exchange RFC 2966 Domain-wide Prefix Distribution RFC 1112 IGMP RFC 2236 IGMP v2 RFC 2362 PIM-SM RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 783 TFTP lub RFC 959 FTP RFC 826 ARP RFC 768 UDP RFC 903 RARP RFC 1027 Proxy ARP RFC 951 BootP RFC 1122 Host Requirements RFC 1519 CIDR RFC 1812 General Routing RFC 2338 VRRP RFC 854 TELNET RFC 1757 RMON RFC 2138 RADIUS RFC 2460 IPv6 Specification RFC 2461 IPv6 Neighbor Discovery RFC 2462 IPv6 Stateless Address Auto-configuration RFC 2463 ICMPv6 RFC 3513 IPv6 Addressing Architecture RFC 1981 IPv6 Path MTU Discovery RFC 2375 IPv6 Multicast Address Assignments RFC 2464 Transmission of IPv6 over Ethernet Networks RFC 2711 IPv6 Router Alert Option RFC 2740 OSPFv3 for IPv6 RFC 2545 Use of MP-BGP-4 for IPv6 RFC 3031 MPLS Architecture RFC 3032 MPLS Label Stack Encoding RFC 3036 LDP Specification 11

12 RFC 2205 RSVP v1 Functional Specification RFC 2209 RSVP v1 Message Processing Rules RFC 3209 RSVP-TE RFC 4090 Fast Reroute Extensions to RSVP-TE for LSP Tunnels. RFC 3270 MPLS Support of Differentiated Services RFC 2474, Definition of the Differentiated Services (DS) Field RFC 2475, An Architecture for Differentiated Services RFC 3564, Requirements for Support of Differentiated Services-aware MPLS Traffic Engineering RFC 4124, Protocol Extensions for Support of Differentiated-Service aware MPLS Traffic Engineering RFC 4125, Maximum Allocation Bandwidth Constraints Model for Diff-Serv-aware MPLS Traffic Engineering RFC 4127, Russian Dolls Bandwidth Constraints Model for Diff-Serv-aware MPLS Traffic Engineering RFC 2858 Mutiprotocol Extensions for BGP-4 RFC 3107 Carrying Label Information in BGP-4 RFC 4364 BGP/MPLS IP VPNs draft-ietf-idr-bgp-ext-communities BGP Extended Communities Attribute draft-ietf-l3vpn-ospf-2547 OSPF as the PE/CE Protocol in BGP/MPLS IP VPNs draft-ietf-l2vpn-l2-framework Framework for Layer 2 Virtual Private Networks draft-ietf-l2vpn-requirements Service Requirements for Layer 2 Provider Provisioned Virtual Private Networks draft-ietf-l2vpn-vpls-ldp Virtual Private LAN Services over MPLS draft-ietf-pwe3-arch PWE3 Architecture draft-ietf-pwe3-ethernet-encap Encapsulation Methods for Transport of Ethernet Frames Over IP/MPLS Networks draft-ietf-pwe3-control-protocol Pseudowire Setup and Maintenance using LDP draft-ietf-idr-restart Graceful Restart Mechanism for BGP draft-ietf-isis-restart, Restart signaling for IS-IS draft-ietf-mpls-generalized-rsvp-te, Generalized MPLS Signaling RSVP-TE Extensions RFC 3473 Generalized MPLS Signaling RSVP-TE Extensions draft-rosen-vpn-mcast draft-ietf-l2vpn-vpls-bgp draft-ietf-bfd-base BFD draft-ietf-bfd-generic Generic Application of BFD draft-ietf-bfd-v4v6-1hop BFD for IPv4 and IPv6 (Single Hop) 1.2. Specyfikacja techniczna (parametry minimalne) specjalizowanego sprzętu teleinformatycznego, węzła MPLS/Access (MA1). Obudowy urządzeń mają być dostosowane do instalacji w szafie telekomunikacyjnej rack 19 oraz być wyposaŝone w wymagane elementy montaŝowe. Urządzenie moŝe być zbudowane jako jedno 12

13 lub dwa modularne chassis połączone stykiem o przepustowości co najmniej 10Gbps full duplex. Urządzenia (MA1) muszą posiadać zdolność jednoczesnego i wydajnego obsługiwania routingu IPv4, IPv6 oraz MPLS. 1. W realizacji IPv4 powinny być obsługiwane co najmniej protokoły: RIP, OSPF, BGP-4, IS-IS, PIM-DM, PIM-SM/SSM, IGMP, BGP-MP for multicast, MSDP i Anycast RP, natomiast w wersji 6 protokołu IP : RIPng, OSPFv3, IS-IS for IPv6, BGP dla IPv6, PIM-SM/SSM i MLD. Sygnalizacja i kalkulacja ścieŝek MPLS powinna stosować algorytmy: OSPF-TE, RSVP-TE, oraz LDP. 2. niezawodność urządzenia modularnego a) redundancja krytycznych elementów urządzenia (zasilacze) b) wymiana kart liniowych i zasilaczy na gorąco (hot swap), 3. zasilanie 230V AC, pobór mocy do 12kW. 4 wydajność urządzenia a) min. 40 Gbps (full duplex) per slot, b) matryca przełączająca o prędkości min. 700 Gbps, c) moŝliwość obsługi min tras IPv4 i min tras IPv6 d) min. 1GB pamięci DRAM e) min. 1GB nieulotnej pamięci flash na podstawowy obraz systemu operacyjnego 5 obsługiwane interfejsy a) 1 Gigabit Ethernet (1000BaseX) wymagana nadsubskrybcja przy połączeniu do matrycy przełączającej nie większa niŝ 1,2:1 oraz funkcja lokalnego przełączania ruchu lub moŝliwość rozbudowy o taką funkcję. b) 1 Gigabit Ethernet 10/100/1000 wymagana nadsubskrybcja przy połączeniu do matrycy przełączającej nie większa niŝ 1,2:1 oraz funkcja lokalnego przełączania ruchu lub moŝliwość rozbudowy o taką funkcję. c) 1 Gigabit Ethernet 10/100/1000 z PoE wymagana nadsubskrybcja nie większa niŝ 8:1 oraz połączenie do matrycy przełączającej. d) wszystkie optyczne interfejsy muszą mieć styk definiowany przez konwertery typu SFP, XFP, SFP+, X2, XENPAK. 6 funkcjonalności przełączania MPLS (dotyczy portów 10GE wykorzystywanych do podłączenia do szkieletu). a) obsługa LDP, b) obsługa VPLS, H-VPLS oraz VPWS, c) obsługa enkapsulacji EoMPLS d) MPLS L3VPN, e) MPLS TE f) MPLS FRR g) Carrier supporting Carrier (CsC), 7 funkcjonalności routingu IP a) obsługa IPv4 (statyczny, RIPv2, BGP, OSPF, IS-IS) b) obsługa IPv6 (statyczny, OSPFv3) c) multicast IPv4 (IGMPv2/3, PIM SM, SSM, MSDP) 13

14 d) obsługa Bidirectional Forwarding Detection (BFD) m.in. dla OSPFv2, IS-IS e) obsługa NonStop Routing (IS-IS) i NonStop Forwarding dla (OSPF, LDP) f) obsługa VRRP 8 funkcjonalności przełączania Ethernet a) obsługa QinQ lub VLAN-in-VLAN b) obsługa 802.1Q c) obsługa agregacji 802.3ad d) funkcjonalności bezpieczeństwa sieciowego e) listy kontroli dostępu (ACL) L2 i L3 (IPv4 i IPv6) f) DHCP snooping, DHCP relay g) Unicast Reverse Path Forwarding (urpf) h) mechanizmy ochrony przed sztormami ruchu rozgłoszeniowego i multicast (broadcast/multicast storm) i) mechanizmy ochrony warstwy kontrolnej urządzenia przed atakami kierowanymi do niego (ograniczanie ruchu kierowanego do urządzenia), j) obsługa autoryzacji administratorów za pośrednictwem RADIUS 9 funkcjonalności zapewnienia jakości ruchu (QoS): a) obsługa mechanizmów QoS (klasyfikacja, oznaczania i policing) per VLAN 10 moŝliwość klasyfikacji ruchu w oparciu o: MPLS EXP, IP DSCP, VLAN (min. 2 poziomy zagnieŝdŝenia), adresy MAC i IP, protokół - (dla portów 10GE skierowanych do szkieletu sieci) 11 dynamiczna alokacja kolejek sprzętowych, dostępne min kolejek per moduł (dla portów 10GE skierowanych do szkieletu sieci) 12 funkcjonalności związane z zarządzaniem urządzeniem: a) obsługa OAM (802.3ag, 802.3ah, Y.1731 RDI) b) obsługa LSP ping, LSP traceroute c) moŝliwość definicji uprawnień poszczególnych administratorów urządzenia d) moŝliwość pobrania konfiguracji do zewnętrznego komputera typu PC, w formie tekstowej. Konfiguracja po dokonaniu edycji poza urządzeniem moŝe być ponownie zaimportowana do urządzenia i uruchomiona, e) zarządzanie przez CLI (konsola szeregowa, SSHv2), SNMPv3, f) syslog 13 wyposaŝenie urządzenia MPLS a) liczba portów 10GE zgodnie z zapisem tabeli 1, b) obsadzone konwerterami typu LR oraz ER zgodnie z zapisem tabeli 1, c) liczba portów 1GE FX, obsadzonych parami konwerterów optycznych pracujących w technologii jednowłóknowej (WDM, BIDI) o zasięgu nie mniejszym niŝ 10km zgodnie z zapisem tabeli 1, d) liczba portów TX 10/100/1000 Mbps zgodnie z zapisem tabeli 1, e) liczba portów TX 10/100/1000 Mbps PoE zgodnie z zapisem tabeli 1 f) min. 2 wolne sloty do obsadzenia kartami liniowymi Zgodność ze standardami 14

15 Wymaga się aby urządzenia węzłów były zgodne z następującymi standardami: Zalecenia IEEE: 802.3ae 10 Gigabit Ethernet 802.3x Flow Control 802.3ad Link Aggregation 802.1Q VLAN Tagging 802.1D Bridging 802.1w Rapid STP SNMP v1, v2c oraz V3 RFC: RFC 1745 OSPF interactions RFC 1997 Communities & Attributes RFC 2178 OSPF RFC 1583 OSPF v2 RFC 1587 OSPF NSSA RFC 2328 OSPF v2 RFC 1850 OSPF v2 MIB RFC 3630 TE Extensions to OSPF v2 RFC 3623 Graceful OSPF Restart RFC 3478, Graceful Restart Mechanism for LDP RFC 1195 Routing in TCP/IP and Dual Environments RFC 1112 IGMP RFC 2236 IGMP v2 RFC 2362 PIM-SM RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 783 TFTP lub RFC 959 FTP RFC 826 ARP RFC 768 UDP RFC 903 RARP RFC 1027 Proxy ARP RFC 951 BootP RFC 1122 Host Requirements RFC 1519 CIDR RFC 1812 General Routing RFC 2338 VRRP RFC 854 TELNET RFC 1757 RMON RFC 2138 RADIUS RFC 2460 IPv6 Specification RFC 2461 IPv6 Neighbor Discovery 15

16 RFC 2462 IPv6 Stateless Address Auto-configuration RFC 2463 ICMPv6 RFC 3513 IPv6 Addressing Architecture RFC 1981 IPv6 Path MTU Discovery RFC 2375 IPv6 Multicast Address Assignments RFC 2464 Transmission of IPv6 over Ethernet Networks RFC 2711 IPv6 Router Alert Option RFC 2740 OSPFv3 for IPv6 RFC 2893 Transition Mechanisms for IPv6 Hosts and Routers RFC 3031 MPLS Architecture RFC 3032 MPLS Label Stack Encoding RFC 3036 LDP Specification RFC 2205 RSVP v1 Functional Specification RFC 2209 RSVP v1 Message Processing Rules RFC 3209 RSVP-TE RFC 3270 MPLS Support of Differentiated Services RFC 2474, Definition of the Differentiated Services (DS) Field RFC 3564, Requirements for Support of Differentiated Services-aware MPLS Traffic Engineering RFC 4127, Russian Dolls Bandwidth Constraints Model for Diff-Serv-aware MPLS Traffic Engineering draft-ietf-l2vpn-l2-framework Framework for Layer 2 Virtual Private Networks draft-ietf-l2vpn-requirements Service Requirements for Layer 2 Provider Provisioned Virtual Private Networks draft-ietf-pwe3-arch PWE3 Architecture draft-ietf-bfd-v4v6-1hop BFD for IPv4 and IPv6 (Single Hop) 1.3. Specyfikacja techniczna (parametry minimalne) specjalizowanego sprzętu teleinformatycznego, węzła MPLS/Access (MA2). Obudowy urządzeń mają być dostosowane do instalacji w szafie telekomunikacyjnej rack 19 oraz być wyposaŝone w wymagane elementy montaŝowe. Urządzenie moŝe być zbudowane jako jedno lub dwa modularne chassis połączone łączem o przepustowości co najmniej 10Gbps full duplex. Urządzenia (MA2) muszą posiadać zdolność jednoczesnego i wydajnego obsługiwania routingu IPv4, IPv6 oraz MPLS. 1. W realizacji IPv4 powinny być obsługiwane co najmniej protokoły: RIP, OSPF, BGP-4, IS-IS, PIM-DM, PIM-SM/SSM, IGMP, BGP-MP for multicast, MSDP i Anycast RP, natomiast w wersji 6 protokołu IP : RIPng, OSPFv3, IS-IS for IPv6, BGP dla IPv6, PIM-SM/SSM i MLD. Sygnalizacja i kalkulacja ścieŝek MPLS powinna stosować algorytmy: OSPF-TE, RSVP-TE, oraz LDP, MPLS FRR. 2. niezawodność urządzenia modularnego a. redundancja krytycznych elementów urządzenia (zasilacze) 16

17 b. wymiana kart liniowych i zasilaczy na gorąco (hot swap), 3. zasilanie 230V AC, pobór mocy do 12kW. 4. wydajność urządzenia a) min. 40 Gbps (full duplex) per slot, b) matryca przełączająca o prędkości min. 700 Gbps, c) moŝliwość obsługi min tras IPv4 i min tras IPv6 d) min. 1GB pamięci DRAM e) min. 1GB nieulotnej pamięci flash na podstawowy obraz systemu operacyjnego 5 obsługiwane interfejsy a) 1 Gigabit Ethernet (1000BaseX) wymagana nadsubskrybcja przy połączeniu do matrycy przełączającej nie większa niŝ 1,2:1 oraz funkcja lokalnego przełączania ruchu lub moŝliwość rozbudowy o taką funkcję. b) 1 Gigabit Ethernet 10/100/1000 wymagana nadsubskrybcja przy połączeniu do matrycy przełączającej nie większa niŝ 1,2:1 oraz funkcja lokalnego przełączania ruchu lub moŝliwość rozbudowy o taką funkcję. c) 1 Gigabit Ethernet 10/100/1000 z PoE wymagana nadsubskrybcja nie większa niŝ 8:1 oraz połączenie do matrycy przełączającej. d) Wszystkie optyczne interfejsy muszą mieć styk definiowany przez konwertery typu SFP, XFP, SFP+, X2, XENPAK. 6. funkcjonalności przełączania MPLS (dotyczy portów 10GE wykorzystywanych do podłączenia do szkieletu). a) obsługa LDP, b) obsługa enkapsulacji EoMPLS c) MPLS TE d) MPLS FRR 7. funkcjonalności routingu IP a) obsługa IPv4 (statyczny, RIPv2, BGP, OSPF, IS-IS) b) obsługa IPv6 (statyczny, OSPFv3) c) multicast IPv4 (IGMPv2/3, PIM SM, SSM, MSDP) d) obsługa Bidirectional Forwarding Detection (BFD) m.in. dla OSPFv2, IS-IS e) obsługa NonStop Routing (IS-IS) i NonStop Forwarding dla (OSPF, LDP) f) obsługa VRRP 8. funkcjonalności przełączania Ethernet a) obsługa QinQ lub VLAN-in-VLAN b) obsługa 802.1Q c) obsługa agregacji 802.3ad d) funkcjonalności bezpieczeństwa sieciowego e) listy kontroli dostępu (ACL) L2 i L3 (IPv4 i IPv6) f) DHCP snooping, DHCP relay g) Unicast Reverse Path Forwarding (urpf) h) mechanizmy ochrony przed sztormami ruchu rozgłoszeniowego i multicast (broadcast/multicast storm) 17

18 i) mechanizmy ochrony warstwy kontrolnej urządzenia przed atakami kierowanymi do niego (ograniczanie ruchu kierowanego do urządzenia), j) obsługa autoryzacji administratorów za pośrednictwem RADIUS 9. funkcjonalności zapewnienia jakości ruchu (QoS): a) obsługa mechanizmów QoS (klasyfikacja, oznaczania i policing) per VLAN 10. dynamiczna alokacja kolejek sprzętowych, dostępne min. 8 kolejek per port 11. funkcjonalności związane z zarządzaniem urządzeniem: a) obsługa OAM (802.3ag, 802.3ah, Y.1731 RDI) b) moŝliwość definicji uprawnień poszczególnych administratorów urządzenia c) moŝliwość pobrania konfiguracji do zewnętrznego komputera typu PC, w formie tekstowej. Konfiguracja po dokonaniu edycji poza urządzeniem moŝe być ponownie zaimportowana do urządzenia i uruchomiona, d) zarządzanie przez CLI (konsola szeregowa, SSHv2), SNMPv3, e) syslog 12. wyposaŝenie urządzenia MPLS a) liczba portów 10GE zgodnie z zapisem tabeli 1, b) obsadzone konwerterami typu LR oraz ER zgodnie z zapisem tabeli 1, c) liczba portów 1GE FX, obsadzonych parami konwerterów optycznych pracujących w technologii jednowłóknowej (WDM, BIDI) o zasięgu nie mniejszym niŝ 10km zgodnie z zapisem tabeli 1, d) liczba portów TX 10/100/1000 Mbps zgodnie z zapisem tabeli 1, e) liczba portów TX 10/100/1000 Mbps PoE zgodnie z zapisem tabeli 1 f) min. 2 wolne sloty do obsadzenia kartami liniowymi Zgodność ze standardami Wymaga się aby urządzenia węzłów były zgodne z następującymi standardami: Zalecenia IEEE: 802.3ae 10 Gigabit Ethernet 802.3x Flow Control 802.3ad Link Aggregation 802.1Q VLAN Tagging 802.1D Bridging 802.1w Rapid STP SNMP v1, v2c oraz V3 RFC: RFC 1745 OSPF interactions RFC 1997 Communities & Attributes RFC 2178 OSPF RFC 1583 OSPF v2 RFC 1587 OSPF NSSA RFC 2328 OSPF v2 RFC 1850 OSPF v2 MIB 18

19 RFC 3630 TE Extensions to OSPF v2 RFC 3623 Graceful OSPF Restart RFC 3478, Graceful Restart Mechanism for LDP RFC 1195 Routing in TCP/IP and Dual Environments RFC 1112 IGMP RFC 2236 IGMP v2 RFC 2362 PIM-SM RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 783 TFTP lub RFC 959 FTP RFC 826 ARP RFC 768 UDP RFC 903 RARP RFC 1027 Proxy ARP RFC 951 BootP RFC 1122 Host Requirements RFC 1519 CIDR RFC 1812 General Routing RFC 2338 VRRP RFC 854 TELNET RFC 1757 RMON RFC 2138 RADIUS RFC 2460 IPv6 Specification RFC 2461 IPv6 Neighbor Discovery RFC 2462 IPv6 Stateless Address Auto-configuration RFC 2463 ICMPv6 RFC 3513 IPv6 Addressing Architecture RFC 1981 IPv6 Path MTU Discovery RFC 2375 IPv6 Multicast Address Assignments RFC 2464 Transmission of IPv6 over Ethernet Networks RFC 2711 IPv6 Router Alert Option RFC 2740 OSPFv3 for IPv6 RFC 2893 Transition Mechanisms for IPv6 Hosts and Routers RFC 3031 MPLS Architecture RFC 3032 MPLS Label Stack Encoding RFC 3036 LDP Specification RFC 2205 RSVP v1 Functional Specification RFC 2209 RSVP v1 Message Processing Rules RFC 3209 RSVP-TE RFC 3270 MPLS Support of Differentiated Services RFC 2474, Definition of the Differentiated Services (DS) Field 19

20 RFC 3564, Requirements for Support of Differentiated Services-aware MPLS Traffic Engineering draft-ietf-l2vpn-l2-framework Framework for Layer 2 Virtual Private Networks draft-ietf-l2vpn-requirements Service Requirements for Layer 2 Provider Provisioned Virtual Private Networks draft-ietf-pwe3-arch PWE3 Architecture draft-ietf-bfd-v4v6-1hop BFD for IPv4 and IPv6 (Single Hop) 1.4. Specyfikacja techniczna (parametry minimalne) specjalizowanego sprzętu teleinformatycznego, przełącznika Access (A1). Obudowy urządzeń mają być dostosowane do instalacji w szafie telekomunikacyjnej rack 19 oraz być wyposaŝone w wymagane elementy montaŝowe. Urządzenie moŝe być zbudowane jako pojedyncze modularne chassis lub jako niemodularne ale tylko wtedy jeśli ilość portów dostępowych (10/100/1000) nie przekracza liczby niezawodność a) W przypadku urządzeń modularnych wymagana jest redundancja zasilaczy. b) W przypadku urządzeń niemodularnych wymagany jest redundantny zasilacz, przy czym dopuszcza się takŝe zasilacz zewnętrzny. 2 zasilanie 230V AC, pobór mocy do 6 kw, 3 wydajność przełącznika modularnego L2/L3 a) min. 24 Gbps (full duplex) per slot, b) Zastosowane karty powinny zapewniać wykorzystanie pełnej przepustowości matrycy (24Gbps). c) matryca przełączająca o prędkości min. 240 Gbps, d) moŝliwość obsługi min tras IPv4 i IPv6 e) min. 64 MB nieulotnej pamięci flash na podstawowy obraz systemu operacyjnego 4 wydajność przełącznika niemodularnego L2/L3 a) matryca przełączająca o prędkości min. 68 Gbps, b) moŝliwość obsługi min tras routingu unicast c) min. 64MB nieulotnej pamięci flash na podstawowy obraz systemu operacyjnego 5 obsługiwane interfejsy a) 10 Gigabit Ethernet (jeśli zaznaczono w tabeli nr 1) b) 1 Gigabit Ethernet (1000BaseX) c) wszystkie optyczne interfejsy muszą mieć styk definiowany przez konwertery typu SFP, XFP, SFP+, X2. 6 funkcjonalności routingu IP a) obsługa IPv4 (statyczny, RIPv2) b) obsługa IPv6 (statyczny, OSPFv3) c) multicast IPv4 (IGMPv2/3, PIM SM, SSM, MSDP) 7 funkcjonalności przełączania Ethernet a) QinQ lub VLAN-in-VLAN b) obsługa 802.1Q 20

21 c) obsługa agregacji 802.3ad 8 funkcjonalności bezpieczeństwa sieciowego a) listy kontroli dostępu (ACL) L2 i L3 (IPv4 i IPv6) b) DHCP snooping, DHCP relay c) mechanizmy ochrony przed sztormami ruchu rozgłoszeniowego i multicast (broadcast/multicast storm) d) mechanizmy ochrony warstwy kontrolnej urządzenia przed atakami kierowanymi do niego (ograniczanie ruchu kierowanego do urządzenia), e) obsługa autoryzacji administratorów za pośrednictwem co najmniej serwera RADIUS 9 funkcjonalności zapewnienia jakości ruchu (QoS): a) obsługa mechanizmów QoS (klasyfikacja, oznaczanie, policing) per VLAN (w przypadku urządzenia modularnego). b) moŝliwość klasyfikacji ruchu w oparciu o: IP DSCP, VLAN, adresy MAC i IP, protokół 10 funkcjonalności związane z zarządzaniem urządzeniem: a) obsługa OAM (802.3ag, 802.3ah, Y.1731 RDI) - w przypadku urządzenia modularnego. b) moŝliwość definicji uprawnień poszczególnych administratorów urządzenia c) moŝliwość pobrania konfiguracji do zewnętrznego komputera typu PC, w formie tekstowej. Konfiguracja po dokonaniu edycji poza urządzeniem moŝe być ponownie zaimportowana do urządzenia i uruchomiona, d) zarządzanie przez CLI (konsola szeregowa, SSHv2), SNMPv3, e) syslog f) dedykowany min. jeden port szeregowy na potrzeby dostępu do konsoli urządzenia 11 wyposaŝenie urządzenia Access a) liczba portów 10GE zgodnie z zapisem tabeli 1, obsadzonych konwerterami typu LR oraz ER zgodnie z zapisem tabeli 1, b) liczba portów 1GE FX, obsadzonych konwerterami typu LR WDM zgodnie z zapisem tabeli 1, c) liczba portów TX 10/100/1000 Mbps zgodnie z zapisem tabeli 1, d) liczba portów TX 10/100/1000 Mbps PoE zgodnie z zapisem tabeli 1, Zgodność ze standardami Wymaga się aby urządzenia węzłów były zgodne z następującymi standardami: Zalecenia IEEE: 802.3ae 10 Gigabit Ethernet - zgodnie z zapisem tabeli x Flow Control 802.3ad Link Aggregation 802.1Q VLAN Tagging 802.1D Bridging 802.1w Rapid STP SNMP v1, v2c and V3 RFC: RFC 1112 IGMP 21

22 RFC 2236 IGMP v2 RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 783 TFTP lub RFC 959 FTP RFC 826 ARP RFC 768 UDP RFC 903 RARP RFC 1027 Proxy ARP RFC 951 BootP RFC 1122 Host Requirements RFC 1519 CIDR RFC 1812 General Routing RFC 854 TELNET RFC 1757 RMON RFC 2138 RADIUS RFC 2460 IPv6 Specification RFC 2461 IPv6 Neighbor Discovery RFC 2462 IPv6 Stateless Address Auto-configuration RFC 2463 ICMPv6 RFC 3513 IPv6 Addressing Architecture RFC 1981 IPv6 Path MTU Discovery RFC 2375 IPv6 Multicast Address Assignments RFC 2464 Transmission of IPv6 over Ethernet Networks RFC 2711 IPv6 Router Alert Option RFC 2893 Transition Mechanisms for IPv6 Hosts and Routers RFC 2475, An Architecture for Differentiated Services 22

23 1.5. Specyfikacja techniczna (parametry minimalne) specjalizowanego sprzętu teleinformatycznego, przełącznika Access (A2). Urządzenie typu Access powinno mieć obudowę przystosowaną do instalacji w szafie telekomunikacyjnej rack 19, (wymagane elementy montaŝowe wraz z pełnym wyposaŝeniem). Urządzenie powinno być zbudowane jako jedno modularne chassis. 1 Urządzenia (A2) muszą posiadać zdolność jednoczesnego i wydajnego obsługiwania routingu MPLS dla IPv4 i IPv6. W realizacji IPv4 powinny być obsługiwane co najmniej protokoły: RIP, OSPF, BGP-4, IS-IS, PIM-SM/SSM, IGMP, BGP-MP for multicast, MSDP i Anycast RP, natomiast w wersji 6 protokołu IP : RIPng, OSPFv3, IS-IS for IPv6, BGP dla IPv6, PIM-SM/SSM i MLD. Sygnalizacja i kalkulacja ścieŝek MPLS powinna stosować algorytmy: OSPF-TE oraz LDP i MPLS FRR. 2 Niezawodność urządzenia modularnego: a) redundancja krytycznych elementów urządzenia (zasilacze) b) wymiana kart liniowych i zasilaczy na gorąco (hot swap) 3 zasilanie 230V AC, pobór mocy do 12kW. 4 wydajność urządzenia a) min. 40 Gbps (full duplex) per slot, b) matryca przełączająca o prędkości min. 700 Gbps, c) moŝliwość obsługi min tras IPv4 i min tras IPv6 d) min. 1GB pamięci DRAM e) min. 1GB nieulotnej pamięci flash na podstawowy obraz systemu operacyjnego 5 obsługiwane interfejsy a) 1 Gigabit Ethernet 10/100/1000 wymagana nadsubskrybcja przy połączeniu do matrycy przełączającej nie większa niŝ 1,2:1 oraz funkcja lokalnego przełączania ruchu lub moŝliwość rozbudowy o taką funkcję. b) 1 Gigabit Ethernet 10/100/1000 z PoE wymagana nadsubskrybcja nie większa niŝ 8:1 oraz połączenie do matrycy przełączającej. c) wszystkie optyczne interfejsy muszą mieć styk definiowany przez konwertery typu SFP, XFP, SFP+, X2, XENPAK. 6 funkcjonalności routingu IP a) obsługa IPv4 (statyczny, RIPv2, BGP, OSPF, IS-IS) b) obsługa IPv6 (statyczny, OSPFv3) c) multicast IPv4 (IGMPv2/3, PIM SM, SSM, MSDP) d) obsługa Bidirectional Forwarding Detection (BFD) m.in. dla OSPFv2, IS-IS e) obsługa NonStop Routing (IS-IS) i NonStop Forwarding dla OSPF, LDP f) obsługa VRRP 7 funkcjonalności przełączania Ethernet a) obsługa QinQ lub VLAN-in-VLAN b) obsługa 802.1Q c) obsługa agregacji 802.3ad 8 funkcjonalności bezpieczeństwa sieciowego 23

24 a) listy kontroli dostępu (ACL) L2 i L3 (IPv4 i IPv6) b) DHCP snooping, DHCP relay c) Unicast Reverse Path Forwarding (urpf) d) mechanizmy ochrony przed sztormami ruchu rozgłoszeniowego i multicast (broadcast/multicast storm) e) mechanizmy ochrony warstwy kontrolnej urządzenia przed atakami kierowanymi do niego (ograniczanie ruchu kierowanego do urządzenia), f) obsługa autoryzacji administratorów za pośrednictwem RADIUS 9 funkcjonalności zapewnienia jakości ruchu (QoS): a. obsługa mechanizmów QoS (klasyfikacja, oznaczania i policing) per VLAN 10 funkcjonalności związane z zarządzaniem urządzeniem: a) moŝliwość definicji uprawnień poszczególnych administratorów urządzenia b) moŝliwość pobrania konfiguracji do zewnętrznego komputera typu PC, w formie tekstowej. Konfiguracja po dokonaniu edycji poza urządzeniem moŝe być ponownie zaimportowana do urządzenia i uruchomiona, c) moŝliwość wyszukiwania fragmentów konfiguracji z linii poleceń urządzenia, dzięki stosowaniu wyraŝeń regularnych, d) zarządzanie przez CLI (konsola szeregowa, SSHv2), SNMPv3, e) syslog 11 wyposaŝenie urządzenia a) liczba portów TX 10/100/1000 Mbps zgodnie z zapisem tabeli 1, b) liczba portów TX 10/100/1000 Mbps PoE zgodnie z zapisem tabeli 1 Zgodność ze standardami Wymaga się aby urządzenia węzłów były zgodne z następującymi standardami: Zalecenia IEEE: 802.3ae 10 Gigabit Ethernet 802.3x Flow Control 802.3ad Link Aggregation 802.1Q VLAN Tagging 802.1D Bridging 802.1w Rapid STP SNMP v1, v2c oraz V3 RFC: RFC 1745 OSPF interactions RFC 1997 Communities & Attributes RFC 2178 OSPF RFC 1583 OSPF v2 RFC 1587 OSPF NSSA RFC 2328 OSPF v2 RFC 1850 OSPF v2 MIB RFC 3630 TE Extensions to OSPF v2 24

25 RFC 3623 Graceful OSPF Restart RFC 3478, Graceful Restart Mechanism for LDP RFC 1195 Routing in TCP/IP and Dual Environments RFC 1112 IGMP RFC 2236 IGMP v2 RFC 2362 PIM-SM RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 783 TFTP lub RFC 959 FTP RFC 826 ARP RFC 768 UDP RFC 903 RARP RFC 1027 Proxy ARP RFC 951 BootP RFC 1122 Host Requirements RFC 1519 CIDR RFC 1812 General Routing RFC 2338 VRRP RFC 854 TELNET RFC 1757 RMON RFC 2138 RADIUS RFC 2460 IPv6 Specification RFC 2461 IPv6 Neighbor Discovery RFC 2462 IPv6 Stateless Address Auto-configuration RFC 2463 ICMPv6 RFC 3513 IPv6 Addressing Architecture RFC 1981 IPv6 Path MTU Discovery RFC 2375 IPv6 Multicast Address Assignments RFC 2464 Transmission of IPv6 over Ethernet Networks RFC 2711 IPv6 Router Alert Option RFC 2740 OSPFv3 for IPv6 RFC 2893 Transition Mechanisms for IPv6 Hosts and Routers RFC 3031 MPLS Architecture RFC 3032 MPLS Label Stack Encoding RFC 3036 LDP Specification RFC 2205 RSVP v1 Functional Specification RFC 2209 RSVP v1 Message Processing Rules RFC 3209 RSVP-TE RFC 3270 MPLS Support of Differentiated Services RFC 2474, Definition of the Differentiated Services (DS) Field RFC 3564, Requirements for Support of Differentiated Services-aware MPLS Traffic Engineering 25

26 draft-ietf-l2vpn-l2-framework Framework for Layer 2 Virtual Private Networks draft-ietf-l2vpn-requirements Service Requirements for Layer 2 Provider Provisioned Virtual Private Networks draft-ietf-pwe3-arch PWE3 Architecture draft-ietf-bfd-v4v6-1hop BFD for IPv4 and IPv6 (Single Hop) 26

27 2 Opis części zamówienia odpowiadającej za bezpieczeństwo i zarządzanie. Wszystkie elementy krytyczne dla prawidłowego funkcjonowania systemu bezpieczeństwa sieci muszą być zbudowane za pomocą dwóch identycznych urządzeń pracujących w trybie HA lub jednego urządzenia, którego wszystkie elementy są redundantne. Zastosowane rozwiązania nie powinny posiadać pojedynczego punktu awarii. Rozwiązanie pokazane na rysunku poglądowym nr 2 (Schemat fizyczny sieci) zakłada, Ŝe Firewall, IPS/IDS, VPN, skaner strumienia http są modułami węzła nr 2. Zamawiający dopuszcza jednak, Ŝe Firewall, IPS/IDS, VPN, skaner strumienia http mogą być zrealizowany za pomocą dowolnego zestawu urządzeń, jednak w takim przypadku Dostawca musi zapewnić odpowiednią ilość dodatkowych portów, słuŝących do realizacji wszystkich połączeń. System ochrony powinien być zbudowany przy uŝyciu minimalnej ilości elementów ruchomych, krytycznych dla jego działania. Podstawowe funkcje systemu muszą być realizowane (akcelerowane) sprzętowo przy uŝyciu specjalizowanego układu klasy ASIC. Dostawca jest zobowiązany zagwarantować wsparcie producenta dla kaŝdej zaoferowanej funkcjonalności bezpieczeństwa. JeŜeli do osiągnięcia wymaganych przez Zamawiającego funkcjonalności konieczne jest dostarczenie licencji, Zamawiający musi uwzględnić ten fakt w swojej ofercie. W przypadku zastosowania funkcjonalności sofware owych dostawca powinien dostarczyć odpowiednio wydajną platformę sprzętową. Uwaga: Dziennik zdarzeń lub inne działania wymagające systemów dyskowych mogą być realizowane na zewnętrznych, dedykowanych do tego celu urządzeniach (systemie). Urządzenie tego typu jest częścią systemu dostarczonego w ramach projektu. 2.1 IDS/IPS Wykrywanie i blokowanie technik i ataków stosowanych przez hakerów (m.in. IP Spoofing, DDoS, SYN Attack, ICMP Flood, UDP Flood, Port Scan) i niebezpiecznych komponentów. Ochronę sieci VPN przed atakami Replay Attack oraz ochronę przed DDoS dwa niezaleŝne urządzenia pracujące w trybie HA Min. 2 porty 10Gbps Zdolność analizy ruchu IP o wielkości co najmniej 4 Gbps dla ruchu w środowisku duŝych pakietów, w tym minimum 2 Gbps dla ruchu dotyczącego protokołów: 27

28 HTTP FTP Simple Mail Transfer Protocol (SMTP) Domain Name System (DNS) RPC NetBIOS NNTP GRE System klasy Enterprise lub Campus Tryb działania: NIDS (Network Intrusion Detection System) lub mieszany Filtrowanie alarmów Obsługa ataków zero-day Działanie w oparciu o wzorce ataków, w tym definiowane przez uŝytkownika systemu Działanie w oparciu o analizę anomalii ruchu, Nie mniej niŝ 1000 sygnatur ataków. Aktualizacja bazy sygnatur ma się odbywać ręcznie i automatycznie MoŜliwość wykrywania anomalii protokołów i ruchu MoŜliwość zastosowania tzw. sond IDS-owych Zarządzanie z poziomu aplikacji z interfejsem graficznym oraz przez linię komend, Powiadamianie o zdarzeniach do systemu prezentacji stanu sieci umoŝliwia korzystanie z opcji pozwalającej na odrzucenie lub zaakceptowanie ruchu opierając się na tzw. reputacji źródłowego adresu IP, powinna istnieć moŝliwość skonfigurowania co najmniej 4 niezaleŝnych wirtualnych sensorów, kaŝdy z moŝliwością przypisania niezaleŝnie interfejsów wirtualnych i polityk, umoŝliwia wykrywanie ataków ukrytych w wielu następujących po sobie pakietach, musi umoŝliwiać ograniczenie ruchu (rate limiting), moŝliwość inspekcji aplikacyjnej co najmniej dla protokołów: HTTP FTP Simple Mail Transfer Protocol (SMTP) Domain Name System (DNS) RPC NetBIOS NNTP GRE, 28

29 umoŝliwia wykrywanie i powstrzymywanie działań wskazujących na przekroczenie polityk bezpieczeństwa w tym: działania z wykorzystaniem aplikacji peer-to-peer, działania z wykorzystaniem aplikacji tunelujących poprzez HTTP, filtracja w oparciu o typy MIME, działania z wykorzystaniem komunikatorów internetowych umoŝliwia inspekcję protokołów IP, ICMP, TCP, UDP, urządzenie musi mieć moŝliwość podłączenia redundantnego zasilacza, moŝliwość montaŝu w szafie 19. JeŜeli do osiągnięcia powyŝszych funkcjonalności wymagane jest dostarczenie licencji, Zamawiający musi uwzględnić ten fakt w swojej ofercie. 2.2 Firewall i VPN Urządzenie powinno być rozwiązaniem sprzętowo-programowym pełniącym rolę ściany ogniowej śledzącej stan połączeń z funkcją weryfikacji informacji charakterystycznych dla warstwy aplikacji oraz koncentratora VPN (ze sprzętowym wsparciem szyfrowania). Rozwiązanie powinno być dostarczone jako dwa niezaleŝne urządzenia (moduły lub stand alone ) pracujące w trybie HA. Parametry techniczne wydajność w trybie Firewall wynosząca co najmniej 9 Gbps dla obsługi typowego ruchu HTTP przepustowość VPN wynosząca co najmniej 500 Mbps, moŝliwość tworzenia co najmniej połączeń na sekundę, obsługa co najmniej jednoczesnych połączeń, urządzenie musi umoŝliwiać terminowanie co najmniej sesji VPN opartych o protokół IPSec, urządzenie musi umoŝliwiać terminowanie co najmniej sesji VPN opartych o protokół SSL (Web VPN) w przypadku jeśli funkcjonalność wymaga zakupienia dodatkowej licencji naleŝy dostarczyć licencję umoŝliwiającą terminowanie min 100 jednoczesnych połączeń SSL VPN musi istnieć moŝliwość realizacji redundantnego systemu typu active/standby, urządzenie nie moŝe posiadać ograniczeń na ilość jednocześnie pracujących uŝytkowników w sieci chronionej, obsługa co najmniej 100 wirtualnych interfejsów VLAN, musi umoŝliwiać wykrywanie i blokowanie ataków przenoszonych w ramach protokołów IPv4 i IPv6, 29

30 urządzenie powinno wspierać mechanizm NAC lub równowaŝny, inspekcja aplikacyjna co najmniej dla protokołów: Hypertext Transfer Protocol (HTTP) File Transfer Protocol (FTP) Simple Mail Transfer Protocol (SMTP) Domain Name System (DNS) H.323 Session Initiation Protocol (SIP) Internet Control Message Protocol (ICMP) wykrywanie ataków związanych z działaniami w warstwie 2 modelu OSI, wsparcie dla routingu multicast, urządzenie powinno obsługiwać mechanizmy szyfrowania: DES, 3DES, AES, powinno posiadać oprogramowanie obsługujące funkcjonalności/ protokoły: NAT, PAT, routing statyczny, RIP, OSPF, urządzenie musi obsługiwać funkcjonalność List Kontroli Dostępu (ACL), powinno co najmniej wspierać protokół RADIUS, wykrywanie i powstrzymywanie działań wskazujących na przekroczenie polityk bezpieczeństwa w tym: działania z wykorzystaniem komunikatorów internetowych; działania z wykorzystaniem aplikacji peer-to-peer; filtracja w oparciu o typy MIME. musi być wyposaŝone w dedykowany port zarządzania urządzenie musi zostać wyposaŝone co najmniej w dwa porty 10Gbps powinno umoŝliwiać zdalne zarządzanie w trybie CLI (command line interface) poprzez protokoły SSH oraz Telnet, musi posiadać dwa redundantne zasilacze, urządzenie powinno zostać dostarczone z najnowszą wersją oprogramowania, moŝliwość montaŝu w szafie 19 JeŜeli do osiągnięcia powyŝszych funkcjonalności wymagane jest dostarczenie licencji, Zamawiający musi uwzględnić ten fakt w swojej ofercie. 2.3 NAC Dostarczane rozwiązanie musi być dedykowaną, sprzętową platformą zawierającą: dwa niezaleŝne urządzenia pracujące w trybie HA, posiadające co najmniej po dwa interfejsy Ethernet 10/100/1000, zdolność obsługi co najmniej 2500 urządzeń podłączonych lokalnie oraz co najmniej 10tys. uŝytkowników logujących się do sieci za pośrednictwem tych 2500 urządzeń, 30

31 zdolność obsługi co najmniej 300 urządzeń podłączonych zdalnie przez VPN, wsparcie dla urządzeń nie posiadających moŝliwości uruchomienia agenta, moŝliwość autoryzacja uŝytkowników w zewnętrznych systemach autoryzacji: Active Directory, LDAP, RADIUS, Kerberos funkcjonalność Single Sign-On integracja z istniejącym serwerem LDAP moŝliwość sprawdzania uprawnień uŝytkownika i przydział do konkretnego vlan u w zaleŝności od wyniku testu oprogramowania i uprawnień uŝytkownika, autentykację więcej niŝ jednego uŝytkownika na pojedynczym porcie, autoryzację dostępu uŝytkowników do sieci na poziomie dostępu do: o Portu przełącznika sieciowego o Koncentratora VPN o Urządzenia dostępu bezprzewodowego autoryzację dostępu na poziomie warstwy 2 (L2), gdy urządzenie jest bezpośrednio dołączone do segmentu sieci lub na poziomie warstwy 3 (L3), gdy urządzenie moŝe znajdować się w innej podsieci IP, oszacowanie poziomu bezpieczeństwa stacji końcowej na zgodność z zadaną polityką bezpieczeństwa w zakresie: o oprogramowania antywirusowego, o oprogramowania firewall, o oprogramowania anti-spyware, o wersji zainstalowanych aplikacji, o zapisów w kluczach rejestru, o aktualizacji systemu operacyjnego, o aktywności zdefiniowanych usług, o obecności zdefiniowanych plików ograniczanie dostępu do sieci dla uŝytkowników nieznanych, gości, moŝliwość pracy w trybie ciągłego włączenia w tor przesyłanych danych (in-band) lub jedynie w trakcie autoryzacji (Out-of-Band) moŝliwość zróŝnicowanie polityki dostępu dla róŝnych: o ról/typów uŝytkowników o typu urządzenia o uŝywanego przez uŝytkownika systemu operacyjnego moŝliwość umieszczenia komputera o niedostatecznym poziomie zabezpieczeń w stanie kwarantanny dla aktualizacji jego oprogramowania i zabezpieczeń, dedykowaną funkcjonalność do budowy systemów gościnnych, posiadającą moŝliwość elastycznego tworzenia kont gościnnych przez personel Zamawiającego 31

32 (np. portal administracyjny dla pracownika punktu informacyjnego pozwalający na proste zakładanie kont gościnnych z wcześniej zdefiniowanymi restrykcjami) Licencjonowanie JeŜeli do osiągnięcia powyŝszych funkcjonalności wymagane jest dostarczenie licencji, Zamawiający musi uwzględnić ten fakt w swojej ofercie. 2.4 Skaner strumienia http Parametry techniczne Dostarczane rozwiązanie musi być dedykowaną, sprzętową platformą zawierającą: Mechanizmy filtrowania adresów WWW (ang.url filtering). Mechanizmy filtrujące bazujące na ocenie reputacji adresów IP i nazw domen do których nawiązywane są połączenia HTTP z sieci wewnętrznej. Reputacja musi być ustalana za pomocą danych gromadzonych w globalnej bazie reputacji o parametrach opisanych w dalszej części specyfikacji. Mechanizmy antywirusowe dla protokołu HTTP realizowane za pomocą dwóch niezaleŝnych silników skanujących dostarczanych przez dwóch róŝnych producentów. Mechanizmy wykrywające podejrzane połączenia z sieci wewnętrznej, do adresów IP, bądź domen o złej reputacji, na wszystkich portach TCP/IP (wykrywanie tzw. Procesu call home ). Wszystkie wymienione powyŝej funkcjonalności, musza być wykonywane przez pojedyncze urządzenie z dedykowanym systemem operacyjnym, które moŝna replikować w celu zapewnienia redundancji. System naleŝy dostarczyć w wersji redundantnej tzn. musi się składać z dwóch fizycznych urządzeń. Szczegółowa specyfikacja wymagań oczekiwanego rozwiązania obejmuje następujące elementy: Rozwiązanie musi być dedykowanym serwerem proxy dla protokołu WWW działającym w trybie transparent proxy oraz forwarding proxy. Rozwiązanie musi posiadać oddzielne fizyczne porty ethernetowe umoŝliwiające pasywne monitorowanie całego ruchu sieciowego, zarówno wchodzącego jak i wychodzącego z sieci chronionej. Rozwiązanie powinno umoŝliwiać integracje z innymi serwerami proxy za pomocą obsługi nagłówka X-Forward-For w przypadku trybu pracy forward proxy oraz w trybie transparent proxy, za pomocą podszywania sie (ang. IP spoofingu) pod oryginalne adresy IP uŝytkowników w celu ich przesyłania do innych serwerów proxy. Urządzenie musi być przystosowane do montaŝu w 19 szafie rackowej 32