SIWZ CZĘŚĆ II OPIS PRZEDMIOTU ZAMÓWIENIA

Transkrypt

1 SIWZ CZĘŚĆ II OPIS PRZEDMIOTU ZAMÓWIENIA

2 Przedmiotem zamówienia jest dostawa urządzeń LAN/WAN na potrzeby przyłączenia LCPD (Lokalnego Centrum Przetwarzania Danych) do sieci korporacyjnej PSE S.A. Specyfikacja techniczna dostawy zawarta jest w pkt. II. Przedmiot zamówienia powinien spełniać m.in. niżej wymienione wymagania. I. Warunki techniczne dla oferowanego sprzętu 1. Dostarczane urządzenia i oprogramowanie będą pochodziły z legalnego, kanału sprzedaży producenta i nie będą posiadały wad prawnych. 2. Miejscem dostawy urządzeń przez Wykonawcę będzie Centrum Przetwarzania Danych Bielawa PSE w siedzibie Zamawiającego ( Konstancin-Jeziorna, ul. Warszawska 165) 3. Dostarczane urządzenia będą nowe i będą pochodzić z bieżącej produkcji, a jednocześnie nie będą urządzeniami, które mogły być używane w innych projektach i poddane procesowi odnowienia. Sprzęt musi być wyprodukowany nie wcześniej niż dwanaście miesięcy od daty podpisania umowy z Wykonawcą przedmiotu zamówienia. 4. Wymagane jest dostarczenie wraz ze sprzętem pisemnego potwierdzenia wydanego przez producenta lub przedstawicielstwo producenta sprzętu, poświadczającego datę produkcji sprzętu. 5. Dostarczane urządzenia i oprogramowanie będą objęte świadczeniami gwarantowanymi przez producenta pozwalającymi na serwisowanie urządzeń do 31 grudnia 2017 r. Dostępność komponentów (w tym wymiana uszkodzonych w ramach gwarancji popartej oficjalną gwarancją producenta sprzętu), jak też dostęp do pojawiających się nowych funkcjonalności w oprogramowaniu systemach operacyjnych urządzeń. 6. Wykonawca będzie dysponował, w okresie realizacji obsługi gwarancyjnej, centrum przyjmowania zgłoszeń serwisowych pracujących 24 godziny na dobę, 7 dni w tygodniu, 365 dni w roku, które zapewni przyjmowanie zgłoszeń przez stronę internetową www (z możliwością podglądu statusu złożonego zgłoszenia) drogą elektroniczną, telefonicznie. 7. Zgłoszenia serwisowe do Wykonawcy dokonywane będą w języku polskim. 8. Wykonawca w okresie realizacji obsługi gwarancyjnej będzie przyjmował zgłoszenia serwisowych przez 24 godziny na dobę i realizował je w dni robocze w godz Czas reakcji tj. przyjęcie zgłoszenia serwisowego i przekazanie go do realizacji, określony jest maksymalnie na jedną godzinę. Natomiast usunięcie awarii (przywrócenie pełnej sprawności urządzenia), która została zgłoszona do godziny 16-tej w dniu roboczym, będzie zrealizowane w trakcie następnego dnia roboczego. 9. Wykonawca będzie dysponował, w okresie realizacji obsługi gwarancyjnej, siecią serwisową w oparciu o biura/oddziały, umożliwiającą obsługę zgłoszeń zgodnie z wymogami trybów serwisowych dla poszczególnych urządzeń opisanych w pkt II niniejszego Załącznika I 10. Wszystkie wymagania przedstawione w niniejszym dokumencie muszą zostać spełnione w aktualnie dostępnych komercyjnie rozwiązaniach oprogramowania i sprzętu. Nie dopuszcza się możliwości, że wykonawca określi przyszłą wersję oprogramowania lub sprzętu, która będzie spełniać daną wyspecyfikowaną funkcjonalność. Dodatkowo wymaga się aby dostarczane urządzenia posiadały stabilne wersje oprogramowania. Oznacza to, iż rozwiązanie (urządzenie + oprogramowanie) musi być dostępne na rynku nie krócej niż 3 miesiące od daty ogłoszenia postępowania przetargowego.

3 II. Specyfikacja sprzętu II.a. Routery 1. Urządzenie trasujące Typ Architektura urządzenia Urządzenie o architekturze modularnej (minimum 4 sloty na moduły I/O) pozwalające na elastyczne zwiększanie liczby dostępnych portów w urządzeniu. Urządzenie musi zapewniać możliwość rozbudowy do minimum 80 portów 1/10Gigabit Ethernet SFP Urządzenie musi być wyposażone w minimum 16 portów 1/10Gigabit Ethernet SFP+. Porty te muszą obsługiwać standard 802.1AE (szyfrowanie ruchu) z pełną wydajnością łącza 10GE. Dopuszczalna nadsubskrypcja względem matrycy przełączającej nie większa niż 2: Dostarczane urządzenie musi być wyposażone w taką ilość modułów I/O, aby udostępniać łącznie z wbudowanymi portami minimum 64 porty 1/10Gigabit Ethernet SFP+ ( przy minimum jednym wolnym slocie I/O na potrzeby przyszłej rozbudowy) oraz powinno być dostarczone z wkładkami SFP/SFP+ w następującej konfiguracji 49x10GBASE-SR, 3x10GBASE-LR, 7x1000BASE-T, 5x1000BASE-SX wkładki muszą pochodzić od producenta przełącznika celem uniknięcia problemów z serwisowaniem urządzenia Urządzenie musi umożliwiać stworzenie wirtualnego systemu - złożonego z min. 2 urządzeń będących przedmiotem opisu - zarządzanego jako całość. Urządzenia pracujące w takiej konfiguracji muszą umożliwiać połączenie w system z wykorzystaniem standardowych portów 10Gigabit Ethernet oraz modułów optycznych. Musi istnieć możliwość terminowania połączeń link aggregation na dwóch przełącznikach tworzących taki system wirtualny (tzw. multi-chassis link aggregation) Urządzenie musi umożliwiać dołączenie do minimum 40 zewnętrznych, wyniesionych modułów posiadających każdy minimum 48 portów 10/100/1000BaseT z obsługę IEEE 802.3at (POE+). Zarządzanie modułami musi odbywać się wyłącznie z jednostki centralnej. Moduły muszą być dołączane do przełącznika łączem minimum 2x10GE. Dołączenie modułów nie może być zrealizowane z wykorzystaniem mechanizmów L2 (Spanning Tree) - dołączenie musi stanowić rozszerzenie w domenie warstwy L Urządzenie musi być wyposażone w redundantne zasilacze AC zapewniające redundancję zasilania w trybie 1: Urządzenie musi umożliwiać instalację zasilaczy DC Przełącznik musi zapewniać pasmo minimum 220Gb/s per slot na kartę liniową Obsługa przetwarzania rozproszonego wszystkie oferowane karty liniowe muszą mieć możliwość samodzielnego przełączania ruchu. Wydajność przełączania na poziomie min. 60 mln p/s dla przełączania L2 oraz routingu IPv4 i 30 mln p/s dla routingu IPv6, tunelowania GRE oraz VPLS z możliwością zwiększania wydajności (wraz z instalacją dodatkowych kart liniowych) do minimum 300 mln p/s dla przełączania L2 oraz routingu IPv4 i 150 mln p/s dla routingu IPv6, tunelowania GRE oraz VPLS Wymagane parametry wydajnościowe: min wpisów w tablicy adresów MAC min wpisów w tablicy routingowej IPv min wpisów w tablicy routingowej IPv min tras multicast min wpisów na potrzeby realizacji polityk QoS i bezpieczeństwa (listy kontroli dostępu) Obsługa protokołów warstwy 3 dla IPv4: Open Shortest Path First (OSPF), BGPv Obsługa protokołów warstwy 3 dla IPv6: Open Shortest Path First (OSPFv3), MP-BGP Mechanizm Non-Stop-Forwarding lub równoważny Obsługuje sprzętowo ruch multicastowy w tym PIM Sparse i Dense Mode, SSM, IGMP/MLD Urządzenie musi umożliwiać rozszerzenie funkcjonalności o wsparcie dla MPLS, LDP, L2 i L3 VPN, VPLS, MPLS TE, MPLS traceruote poprzez zakup odpowiedniej licencji lub wymianę oprogramowana bez konieczności modernizacji sprzętowej urządzenia

4 Sprzętowa obsługa tunelowania GRE Urządzenie wspiera następujące mechanizmy związane z zapewnieniem ciągłości pracy sieci: mechanizm BFD (Bidirectional Forwarding Detection) co najmniej dla protokołu OSPFv2 i OSPFv IEEE 802.1w Rapid Spanning Tree IEEE 802.1s Multiple Spanning Tree IEEE 802.3ad (Link Aggregation Control Protocol) umożliwiający grupowanie portów z wykorzystaniem portów znajdujących się na różnych kartach liniowych pozwala na wymianę kart liniowych bez wyłączania zasilania (tzw. Hot-Swap) Urządzenie wspiera następujące mechanizmy związane z zapewnieniem jakości usług w sieci (QoS): Obsługa min. 8 kolejek, w tym co najmniej jedna kolejka ze statusem strict priority Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez nadawanie wartości 802.1p (CoS) oraz IP Precedence/DSCP w ramkach Ethernet oraz pakietach IP. Wykorzystanie następujących parametrów w klasyfikacji: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, żródłowy/docelowy port TCP Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet oraz pakiecie IP poprzez zmianę pola 802.1p (CoS) oraz IP Precedence/DSCP Definiowanie polityk QoS per port i per VLAN Mechanizm AutoQoS lub równoważny Obsługa protokołu RSVP Minimalna wielkość bufora per port 24MB Urządzenie wspiera następujące mechanizmy związane z bezpieczeństwem: Wiele poziomów dostępu administracyjnego poprzez konsolę - autoryzacja dostępu do przełącznika w oparciu o mechanizmy AAA min. 5 poziomów uprawnień z możliwością określenia zakresu z dokładnością do poszczególnych komend Autoryzacja użytkowników/portów w oparciu o IEEE 802.1X z możliwością przydziału listy kontroli dostępu (ACL) i VLANu Obsługa co najmniej następujących mechanizmów Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard Weryfikacja źródła pakietu względem tablicy routingu (urpf) sprzętowo zarówno dla IPv4 i IPv Możliwość filtrowania ruchu na poziomie portu oraz VLANu w oparciu o adresy MAC, IP, porty TCP/UDP Listy kontroli dostępu także dla IPv Mechanizmy ochrony warstwy kontrolnej Obsługuje ramki Ethernet o wielkości nie mniejszej niż 9216 bajtów (tzw. Jumbo Frame) Przystosowane do montażu w szafie 19, wysokość nie większa niż 5RU, elementy niezbędne do montażu muszą być dostarczone z urządzeniem 1.2. Urządzenie musi wspierać następujące mechanizmy związane z zarządzaniem: Ma możliwość zarządzania przez SNMPv3 oraz SSH v Umożliwia zarządzanie poprzez interfejs CLI (konsolę) oraz poprzez dedykowany port Gigabit Ethernet Umożliwia identyfikację i uwierzytelnianie w oparciu o serwer RADIUS lub TACACS Posiada port USB z obsługą systemu plików Umożliwia lokalną/zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do urządzenia monitorującego przyłączonego do innego portu lub poprzez dedykowaną sieć VLAN Posiada możliwość raportowania do systemów zarządzających z wykorzystaniem statystyk typu flow (J-Flow, NetFlow lub odpowiednik). Konieczna jest obsługa/buforowanie minimum wpisów (per karta liniowa). Funkcjonalność ta musi być obsługiwana sprzętowo i wspierać IPv6, MPLS oraz multicast y Definiowanie skryptów określających polityki przekazywania zdarzeń do systemów zarządzających (korelacja, zależności parametrów, diagnostyka, definicja alarmów)

5 Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym źródłowym i docelowym adresie MAC Urządzenie musi posiadać możliwość pobrania konfiguracji do zewnętrznego komputera typu PC, w formie tekstowej. Konfiguracja po dokonaniu edycji poza urządzeniem może być ponownie zaimportowana do urządzenia i uruchomiona. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 10 plików konfiguracyjnych 1.3. Programowalność urządzenia: Możliwość oprogramowania lub oskryptowania własnych funkcjonalności, których nie ma natywnie w dostarczanym oprogramowaniu. Kod programu lub skryptu ma mieć możliwość wprowadzenia bezpośrednio na urządzenia bez udziału producenta. Kod programu lub skryptu ma być uruchamiany lokalnie na urządzeniu W ramach tworzenia własnych funkcjonalności kod lub skrypt ma wspierać reakację na: a. Monitorowane obiekty SNMP b. Komunikaty pojawiające się w logu urządzenia c. Liczniki związane z interfejsami oraz systemem d. Komendy wydane w konfiguracji przed użytkownika systemu e. Wskazania próbników i detektorów połączeń W ramach tworzenia własnych funkcjonalności kod lub skrypt ma wspierać następujące akcje: a. Inicjalizowanie komunikacji b. Wykonywanie komend typu read, write, execute c. Generowanie trapów SNMP d. Generowanie komunikatów do loga lub zewnętrznego kolektora danych e. Pobieranie danych i informacji środowiskowych systemu f. Sterowanie protokołami routingu, poziomem zabezpieczeń, poziomami dostępu g. Parsowanie tekstu i konfiguracji tak, aby można było odczytać z tekstu lub konfiguracji informację i przekonwertować ją na wybrany format np. numeryczny h. Sortowanie tekstu i konfiguracji W ramach tworzenia własnych funkcjonalności kod lub skrypt ma współpracować z natywnym systemem operacyjnym zainstalowanym na urządzeniu, z zewnętrznymi serwerami FTP, TFTP, plików, DNS, DHCP bez ingerencji producenta Oprogramowanie lub skrypty mają mieć możliwość tworzenia w pliku tekstowym bez konieczności dodatkowych aplikacji kompilujących kod. 2. Urządzenie trasujące Typ Architektura urządzenia: Przełącznik stakowalny wyposażony w minimum 24 porty 10/100/1000BaseT PoE+ (IEEE 802.3at) Przełącznik musi posiadać minimum jeden dodatkowy slot na moduł rozszerzeń z możliwością jego wymiany na gorąco (ang. hot swap). Wśród dostępnych modułów rozszerzeń muszą być dostępne co najmniej następujące moduły: Minimum 4-portowy moduł Gigabit Ethernet z gniazdami SFP Minimum 2-portowy moduł 10Gigabit Ethernet SFP+, przy czym wymagane jest, aby w przypadku wykorzystanie pojedynczego łącza 10GE istniała możliwość instalacji dodatkowych 2 portów Gigabit Ethernet SFP Porty SFP muszą umożliwiać ich obsadzenie modułami 1000Base-T, 1000Base-SX, 1000Base- LX/LH, 1000Base-BX zależnie od potrzeb Zamawiającego. Porty SFP+ muszą umożliwiać ich obsadzenie modułami 10GBase-SR, 10GBase-LR, 10GBase-LRM oraz modułami optycznymi GE (1000Base-SX, 1000Base-LX/LH) Przełącznik musi zapewniać możliwość stakowania z zapewnieniem następujących parametrów: Przepustowość w ramach stosu min. 480Gb/s Możliwość tworzenia stosów min. do 4 urządzeń w stosie Zarządzanie poprzez jeden adres IP Możliwość tworzenia połączeń cross-stack link aggregation, (czyli dla portów należących do różnych jednostek w stosie) zgodnie z 802.3ad Przełączniki muszą umożliwiać współdzielenie mocy zasilaczy tzn. zasilacze muszą stanowić zasób wspólny dla wszystkich przełączników w stosie (redundancja zasilania bez konieczności

6 instalacji zasilaczy zapasowych w każdym przełączniku, możliwość pożyczania mocy dla innych jednostek w stosie, w tym dla przełączników wymagających większej mocy dla PoE) Urządzenie musi być wyposażone w redundantne i wymienne moduły wentylatorów Urządzenie musi posiadać możliwość instalacji zasilacza redundantnego. Zamawiający nie dopuszcza stosowania zewnętrznych systemów zasilania redundantnego w celu realizacji tego zadania. Zasilacze muszą być wymienne Zainstalowany zasilacz musi zapewniać min. 430W dla PoE Przełącznik musi posiadać możliwość rozszerzenia funkcjonalności o funkcję kontrolera sieci bezprzewodowej WiFi (poprzez zakup odpowiedniej licencji lub wersji oprogramowania bez konieczności dokonywania zmian sprzętowych) z zachowaniem następujących parametrów: Centralne zarządzanie punktami dostępowymi zgodnie z protokołem CAPWAP (RFC 5415), w tym zarządzane politykami bezpieczeństwa i zarządzanie pasmem radiowym (RRM) Przepustowość dla sieci WiFi nie mniejsza niż 20Gb/s Obsługa minimim 50 punktów dostępowych Obsługa minimum 2000 klientów sieci WiFi Możliwość terminowania tuneli CAPWAP na przełączniku Elastyczne mechanizmy QoS dla sieci WiFi w tym możliwość definiowania parametrów usług per punkt dostępowy/ssid/klient sieci WiFi 2.2. Oczekiwana wydajność Szybkość przełączania zapewniająca pracę z pełną wydajnością wszystkich interfejsów również dla pakietów 64-bajtowych (przełącznik line-rate) Minimum 4GB pamięci DRAM i 2GB pamięci flash Obsługa minimum: sieci VLAN adresów MAC tras IPv Oprogramowanie/funkcjonalność Obsługa protokołu NTP Obsługa IGMPv1/2/ Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem ciągłości pracy sieci: IEEE 802.1w Rapid Spanning Tree IEEE 802.1s Multi-Instance Spanning Tree Obsługa minimum 128 instancji protokołu STP ( jedna instancjia dedykowana dla jednego vlanu ) i minimum 64 instancji protokołu MSTP Obsługa protokołu LLDP i LLDP-MED Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego Przełącznik musi posiadać możliwość uruchomienia funkcji serwera DHCP Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem bezpieczeństwa sieci: Minimum 5 poziomów dostępu administracyjnego poprzez konsolę. Przełącznik musi umożliwiać zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji (privilege-level) Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania listy ACL Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie oraz możliwości jednoczesnego uwierzytelniania na porcie telefonu IP i komputera PC podłączonego za telefonem Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC Minimum 3000 wpisów dla list kontroli dostępu (ACE) IPv4

7 Funkcjonalność flexible authentication (możliwość wyboru kolejności uwierzytelniania 802.1X/uwierzytelnianie w oparciu o MAC adres/uwierzytelnianie oparciu o portal www) Obsługa funkcji Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source Guard Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard) i ochronę przed dołączeniem nieuprawnionych serwerów DHCPv6 do sieci (DHCPv6 Guard) Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów RADIUS lub TACACS Obsługa list kontroli dostępu (ACL), możliwość konfiguracji tzw. czasowych list ACL (aktywnych w określonych godzinach i dniach tygodnia) Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: Implementacja co najmniej 8 kolejek dla ruchu wyjściowego na każdym porcie dla obsługi ruchu o różnej klasie obsługi Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi kolejek Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority) Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (policing, rate limiting). Możliwość skonfigurowania do 2000 ograniczeń per przełącznik Kontrola sztormów dla ruchu broadcast/multicast/unicast Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP Urządzenie musi zapewniać możliwość routingu statycznego i dynamicznego dla IPv4 i IPv6. Oferowane urządzenie musi zapewniać wsparcie dla zaawansowanych protokołów routingu IPv4 (OSPF, BGP) i IPv6 (OPSFv3), funkcjonalności Policy-based routingu i routingu multicast (PIM-SM, PIM-SSM) bez konieczności dokupowania licencji, oprogramowania lub zmiany sprzętu Przełącznik musi wspierać monitoring parametrów SLA dla protokołów UDP, TCP, HTTP, ICMP, FTP, DNS bezpośrednio z urządzenia Zarządzanie i konfiguracja Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN) Urządzenie musi zapewniać możliwość tworzenia statystyk ruchu w oparciu o NetFlow/J-Flow lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie może być mniejsza niż Wymagane jest sprzętowe wsparcie dla gromadzenia statystyk NetFlow/J- Flow Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.) Dedykowany port Ethernet do zarządzania out-of-band Minimum jeden port USB umożliwiający podłączenie zewnętrznego nośnika danych. Urządzenie musi mieć możliwość uruchomienia z nośnika danych umieszczonego w porcie USB Urządzenie musi być wyposażone w port konsoli USB Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie Urządzenie musi posiadać wbudowany analizator pakietów Obsługa protokołów SNMPv3, SSHv2, SCP, https, syslog z wykorzystaniem protokołów IPv4 i IPv6

8 Urządzenie musi być wspierane przez system monitoringu wykorzystywany przez Zamawiającego Cisco Prime Infrastructure Obudowa Możliwość montażu w szafie rack 19. Wysokość urządzenia nie może przekraczać 1 RU, elementy niezbędne do montażu muszą być dostarczone z urządzeniem 2.6. Wyposażenie Oferowany przełącznik musi być wyposażony w: Moduł sieciowy wyposażony w 2 porty 10Gigabit Ethernet SFP Interfejsy SFP+ w ilości 2x10GBASE-SR Zasilacz redundantny o parametrach identycznych jak zasilacz podstawowy Wymagane jest, aby moduły SFP/SFP+ oferowane wraz z urządzeniem pochodziły od tego samego producenta, co przełącznik celem uniknięcia problemów z serwisowaniem urządzeń 3. Urządzenie trasujące Typ Architektura urządzenia: Przełącznik wolnostojący posiadający minimum 24 porty 1/10GBase-X SFP+. Wszystkie porty muszą być dostępne od przodu urządzenia Przełącznik musi być wyposażony w: Redundantne i wymienne moduły wentylatorów Redundantne i wymienne zasilacze prądu zmiennego AC Urządzenie musi mieć możliwość wyposażenia w zasilacze prądu stałego DC Urządzenie musi zapewniać przepustowość nie mniejszą niż 480Gb/s. Szybkość przełączania/routingu minimum 225Mp/s dla IPv4 i 110Mp/s dla IPv Urządzenie musi zapewniać możliwość tworzenia statystyk ruchu w oparciu o NetFlow/J-Flow lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie może być mniejsza niż (wymagane wsparcie sprzętowe) Urządzenie musi zapewniać obsługę: min sieci VLAN, interfejsów SVI, instancji Spanning Tree min adresów MAC sprzętową dla QoS i ACL - minimum wpisów sprzętowych Urządzenie musi posiadać min. 2GB pamięci nieulotnej z możliwością jej rozbudowy do min. 4GB Urządzenie musi umożliwiać przełączanie w warstwie 2 i 3. Wymagane jest wsparcie dla routingu statycznego i dynamicznego (w tym dla protokołów RIPv2, RIPng, OSPFv2/v3, IS-IS i BGP dla IPv4 i IPv6), routingu multicastów IPv4 i IPv6 (PIM-SM, PIM-SSM) i protokołu redundancji bramy VRRP/HSRP/GLBP lub innego równoważnego Urządzenie musi zapewniać obsługę Policy-based Routingu Urządzenie musi zapewniać obsługę protokołu BFD (Bidirectional Forwarding Detection) dla IPv4 i IPv6 dla routingu statycznego oraz dynamicznego minimum dla protokołów OSPF i BGP Tablica routingu musi posiadać minimum: wpisów dla IPv wpisów dla IPv wpisów dla ruchu multicast (IPv4/IPv6) Przełącznik musi obsługiwać ramki Jumbo (do min bajtów) Urządzenie musi wspierać następujące mechanizm związane z zapewnieniem ciągłości pracy sieci: w Rapid Spanning Tree s Multi-Instance Spanning Tree Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: Obsługa 8 kolejek sprzętowych dla różnego rodzaju ruchu Obsługa co najmniej jednej kolejki ze statusem strict priority Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP Możliwość re-kolorowania pakietów przez urządzenie pakiet przychodzący do urządzenia przez przesłaniem na port wyjściowy może mieć zmienione pola 802.1p (CoS) oraz IP ToS/DSCP Kontrola sztormów dla ruchu boradcast i multicast

9 Mechanizm AutoQoS lub równoważny Obsługa protokołu LLDP i LLD-MED Obsługa funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem bezpieczeństwa sieci: Min. 5 poziomów dostępu administracyjnego poprzez konsolę Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X Wymagana jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC Możliwość uzyskania dostępu do urządzenia przez SNMPv3 i SSHv Możliwość szyfrowania ruchu zgodnie z IEEE 802.1AE (MACSec) dla wszystkich portów 1/10GE przełącznika (dla połączeń switch-switch oraz switch-użytkownik/serwer) Obsługa list kontroli dostępu (ACL) dla IPv4 i IPv Zapewnienie podstawowych mechanizmów bezpieczeństwa w tym Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Gurad Zapewnienie podstawowych mechanizmów bezpieczeństwa dla ruchu IPv6 na brzegu sieci DHCPv6 Guard, IPv6 Snooping, IPv6 Router Advertisement (RA) Guard, RA Throttler, IPv6 Source/Prefix Guard, IPv6 Destination Guard Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny oraz 802.1X) do serwerów RADIUS lub TACACS Funkcjonalność prywatnego VLAN-u, czyli możliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji z portem nadrzędnym Przełącznik musi umożliwiać lokalną i zdalną obserwację ruchu na określonym porcie (mechanizmy SPAN i RSPAN) wymagana jest obsługa min. 8 sesji SPAN/RSPAN na przełączniku (bi-directional) Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym źródłowym i docelowym adresie MAC Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 10 plików konfiguracyjnych i 2 wersji oprogramowania Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie Urządzenie musi posiadać wbudowany analizator pakietów Urządzenie musi posiadać funkcjonalność umożliwiającą monitorowanie parametrów usług dla ruchu IP (IP SLA), w tym również dla usług wideo (urządzenie musi posiadać wbudowany symulator ruchu wideo). Wymagana jest możliwość monitorowania parametrów takich jak opóźnienie, jitter, utrata pakietów Urządzenie musi umożliwiać stworzenie wirtualnego systemu złożonego z min. 2 urządzeń będącego przedmiotem opisu, zarządzanego jako całość. Urządzenia pracujące w takiej konfiguracji muszą umożliwiać połączenie w system z wykorzystaniem standardowych portów 10GE oraz modułów optycznych, a dla innych urządzeń taki system wirtualny musi być widoczny jako pojedynczy węzeł sieciowy. W ramach systemu wirtualnego musi istnieć możliwość tworzenia połączeń link aggregation terminowanych na dwóch fizycznych przełącznikach (tzw. multi-chassis link aggregation) zgodnych z IEEE 802.3ad Obudowa przystosowana do montażu w szafie 19. Wysokość nie większa niż 1RU elementy niezbędne do montażu muszą być dostarczone z urządzeniem Dodatkowe wyposażenie:

10 Wkładki światłowodowe: 4x10GBase-SR, 6x1000Base-SX Wkładki miedziane: 4x1000Base-T Wszystkie wkładki muszą pochodzić od producenta przełącznika celem uniknięcia problemów z serwisowaniem urządzenia 4. Urządzenie trasujące Typ Architektura urządzenia: Przełącznik wolnostojący posiadający minimum 40 porty 1/10GBase-X SFP+. Wszystkie porty muszą być dostępne od przodu urządzenia Przełącznik musi być wyposażony w: Redundantne i wymienne moduły wentylatorów Redundantne i wymienne zasilacze prądu zmiennego AC Urządzenie musi mieć możliwość wyposażenia w zasilacze prądu stałego DC Urządzenie musi zapewniać przepustowość nie mniejszą niż 800Gb/s. Szybkość przełączania/routingu minimum 250Mp/s dla IPv4 i 125Mp/s dla IPv Urządzenie musi zapewniać możliwość tworzenia statystyk ruchu w oparciu o NetFlow/J-Flow lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie może być mniejsza niż (wymagane wsparcie sprzętowe) Urządzenie musi zapewniać obsługę: min sieci VLAN, interfejsów SVI, instancji Spanning Tree min adresów MAC sprzętową dla QoS i ACL - minimum wpisów sprzętowych Urządzenie musi posiadać min. 2GB pamięci nieulotnej z możliwością jej rozbudowy do minimum 4GB Urządzenie musi umożliwiać przełączanie w warstwie 2 i 3. Wymagane jest wsparcie dla routingu statycznego i dynamicznego (w tym dla protokołów RIPv2, RIPng, OSPFv2/v3, IS-IS i BGP dla IPv4 i IPv6), routingu multicastów IPv4 i IPv6 (PIM-SM, PIM-SSM) i protokołu redundancji bramy VRRP/HSRP/GLBP lub innego równoważnego Urządzenie musi zapewniać obsługę Policy-based Routingu Urządzenie musi zapewniać obsługę protokołu BFD (Bidirectional Forwarding Detection) dla IPv4 i IPv6 dla routingu statycznego oraz dynamicznego minimum dla protokołów OSPF i BGP Tablica routingu musi posiadać minimum: wpisów dla IPv wpisów dla IPv wpisów dla ruchu multicast (IPv4/IPv6) Przełącznik musi obsługiwać ramki Jumbo (do min bajtów) Urządzenie musi wspierać następujące mechanizm związane z zapewnieniem ciągłości pracy sieci: w Rapid Spanning Tree s Multi-Instance Spanning Tree Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: Obsługa 8 kolejek sprzętowych dla różnego rodzaju ruchu Obsługa co najmniej jednej kolejki ze statusem strict priority Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP Możliwość re-kolorowania pakietów przez urządzenie pakiet przychodzący do urządzenia przez przesłaniem na port wyjściowy może mieć zmienione pola 802.1p (CoS) oraz IP ToS/DSCP Kontrola sztormów dla ruchu boradcast i multicast Mechanizm AutoQoS lub równoważny Obsługa protokołu LLDP i LLD-MED Obsługa funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem bezpieczeństwa sieci: Min. 5 poziomów dostępu administracyjnego poprzez konsolę

11 Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X Wymagana jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC Możliwość uzyskania dostępu do urządzenia przez SNMPv3 i SSHv Możliwość szyfrowania ruchu zgodnie z IEEE 802.1AE (MACSec) dla wszystkich portów 1/10GE przełącznika (dla połączeń switch-switch oraz switch-użytkownik/serwer) Obsługa list kontroli dostępu (ACL) dla IPv4 i IPv Zapewnienie podstawowych mechanizmów bezpieczeństwa w tym Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Gurad Zapewnienie podstawowych mechanizmów bezpieczeństwa dla ruchu IPv6 na brzegu sieci DHCPv6 Guard, IPv6 Snooping, IPv6 Router Advertisement (RA) Guard, RA Throttler, IPv6 Source/Prefix Guard, IPv6 Destination Guard Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny oraz 802.1X) do serwerów RADIUS lub TACACS Funkcjonalność prywatnego VLAN-u, czyli możliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji z portem nadrzędnym Przełącznik musi umożliwiać lokalną i zdalną obserwację ruchu na określonym porcie (mechanizmy SPAN i RSPAN) wymagana jest obsługa min. 8 sesji SPAN/RSPAN na przełączniku (bi-directional) Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym źródłowym i docelowym adresie MAC Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 10 plików konfiguracyjnych i 2 wersji oprogramowania Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie Urządzenie musi posiadać wbudowany analizator pakietów Urządzenie musi posiadać funkcjonalność umożliwiającą monitorowanie parametrów usług dla ruchu IP (IP SLA), w tym również dla usług wiedo (urządzenie musi posiadać wbudowany symulator ruchu wideo). Wymagana jest możliwość monitorowania parametrów takich jak opóźnienie, jitter, utrata pakietów Urządzenie musi umożliwiać stworzenie wirtualnego systemu złożonego z min. 2 urządzeń będącego przedmiotem opisu, zarządzanego jako całość. Urządzenia pracujące w takiej konfiguracji muszą umożliwiać połączenie w system z wykorzystaniem standardowych portów 10GE oraz modułów optycznych, a dla innych urządzeń taki system wirtualny musi być widoczny jako pojedynczy węzeł sieciowy. W ramach systemu wirtualnego musi istnieć możliwość tworzenia połączeń link aggregation terminowanych na dwóch fizycznych przełącznikach (tzw. multi-chassis link aggregation) zgodnych z IEEE 802.3ad Obudowa przystosowana do montażu w szafie 19. Wysokość nie większa niż 1RU elementy niezbędne do montażu muszą być dostarczone z urządzeniem Dodatkowe wyposażenie: Wkładki światłowodowe: 4x10GBase-SR, 8x1000Base-SX Wkładki miedziane: 6x1000Base-T Wszystkie wkładki muszą pochodzić od producenta przełącznika celem uniknięcia problemów z serwisowaniem urządzenia

12 II.b Przełączniki i Firewalle 5. Extender dostępowy 5.1. Architektura urządzenia Urządzenie powinno posiadać 48 portów Gigabit Ethernet 10/100/1000BaseT Zintegrowany moduł stackujący zapewniający min. 80Gb/s przepustowości dla magistrali stackującej Możliwość stackowania dla min. 5 urządzeń porty uplink 10G SFP+ //do dołączenia do przełącznika macierzystego Wbudowany zasilacz redundantny Obsługa zasilania poprzez Ethernet zgodnie z IEEE 802.3at (do 30W per port) Budżet mocy dla POE minimum 740W Wsparcie dla IEEE 802.3az Energy-Efficient Ethernet (EEE) Urządzenie musi pracować jako wyniesiona karta liniowa Urządzenia trasującego Typ Zarządzanie musi odbywać się z urządzenia macierzystego Urządzenie powinno być dostarczone z wkładkami SFP+ w konfiguracji 2x10GBASE-SR Obudowa przystosowana do montażu w szafie 19. Elementy niezbędne do montażu muszą być dostarczone z urządzeniem. 6. Przełącznik dostępowy 6.1. Architektura urządzenia Przełącznik Gigabit Ethernet wyposażony w 12 portów 10/100/1000BaseT PoE+ (IEEE 802.3at) oraz 2 porty uplink 10Gigabit Ethernet SFP+ i 2 porty uplink Gigabit Ethernet SFP Zainstalowany zasilacz musi zapewniać min. 240W dla PoE Przełącznik musi zapewniać obsługę wszystkich portów z pełną wydajnością (wirespeed). Szybkość przełączania minimum 50 Mpps dla ramek 64-bajtowych Minimum 512MB pamięci DRAM i 128MB pamięci Flash Obsługa minimum 1000 sieci VLAN Obsługa minimum 16 tys. adresów MAC Obsługa protokołu NTP Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance Spanning Tree. Wymagane wsparcie dla minimum 128 instancji protokołu STP ( jedna instancja dedykowana dla jednego vlanu ) i minimum 64 instancji protokołu MSTP Obsługa połączeń link aggregation zgodnie z IEEE 802.3ad. Obsługa mechanizmów bezpieczeństa typu Port Security i IP Source Guard na interfejsach link aggregation Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem bezpieczeństwa sieci: Minimum 5 poziomów dostępu administracyjnego poprzez konsolę. Przełącznik musi umożliwiać zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzią serwera autoryzacji (privilege-level) Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL Obsługa funkcji Guest VLAN Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X (bez konieczności stosowania zewnętrznego serwera www) Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie Przełącznik musi umożliwiać elastyczność w zakresie przeprowadzania mechanizmu uwierzytelniania na porcie. Wymagane jest zapewnienie jednoczesnego uruchomienia na porcie zarówno mechanizmów 802.1X, jak i uwierzytelniania per MAC oraz uwierzytelniania w oparciu o www Możliwość wdrożenia uwierzytelniania w oparciu o 802.1X w trybie monitor (niezależnie od tego czy uwierzytelnianie się powiedzie, czy nie użytkownik ma prawo dostępu do sieci) jako element sprawdzenia gotowości instalacji na pełne wdrożenie 802.1X

13 Przełącznik musi posiadać funkcję supplicanta 802.1X (możliwość podłączenia przełącznika do innego przełącznika z uruchomionym mechanizmem uwierzytelniania 802.1X) Obsługa funkcji bezpieczeństwa sieci LAN: Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source Guard Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów RADIUS lub TACACS Obsługa list kontroli dostępu (ACL) Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard), ochronę przed dołączeniem nieuprawnionych serwerów DHCPv6 do sieci (DHCPv6 Guard) oraz ochronę przed fałszowaniem źródłowych adresów IPv6 (IPv6 Source Guard) Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: Implementacja co najmniej czterech kolejek sprzętowych dla ruchu wyjściowego na każdym porcie dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority) Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP Możliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji z portem nadrzędnym Urządzenie musi zapewniać możliwość rozszerzenia funkcjonalności (poprzez uaktualnienie oprogramowania lub zakup odpowiedniej licencji) o: Obsługę standardu IEEE 802.1AE szyfrowania ruchu na portach dostępowych Możliwość konfiguracji list ACL i usług QoS dla IPv Obsługę protokołu VRRP lub mechanizmu równoważnego dla usług redundancji bramy dla IPv4 i IPv Routingu statycznego IPv4 i IPv6 oraz protokołów routingu dynamicznego dla IPv4 (w tym OSPFv2, BGP4) i IPv6 (co najmniej OSPFv3) Tras routingu o jednakowym koszcie (ECMP - Equal-cost multi-path routing) Routingu multicast PIM-SM, PIM-SSM Policy-based routingu Obsługę minimum 5 prywatnych domen routingu (funkcjonalność VRF Lite) Możliwość tworzenia skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie Możliwość monitorowania parametrów usług dla ruchu IP (IP SLA) Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN) Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.) Wbudowane reflektometry (TDR) dla portów 10/100/ Dedykowany port Ethernet do zarządzania out-of-band Minimum jeden port USB umożliwiający podłączenie zewnętrznego nośnika danych. Urządzenie musi mieć możliwość uruchomienia z nośnika danych umieszczonego w porcie USB Urządzenie musi być wyposażone w port konsoli USB Urządzenie musi mieć możliwość zmiany trybu pracy na tryb wyniesionej karty liniowej Urządzenia trasującego Typ Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po

14 7. Firewall zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych 7.1. Architektura urządzenia Urządzenie o konstrukcji modularnej pełniące funkcje bramy VPN i ściany ogniowej (firewall) typu Statefull inspection. Urządzenie musi mieć możliwość dalszej rozbudowy sprzętowej Urządzenie wyposażone, w co najmniej: dwanaście interfejsów Gigabit Ethernet 10/100/1000 (RJ45), osiem interfejsów 10Gigabit Ethernet definiowane przez wkładki SFP/SFP+/XFP. Wraz z firewallem należy dostarczyć 4 (cztery) wkładki w specyfikacji 10GBase-SR i 4 (cztery) wkładki w specyfikacji 1000Base-SX min dwa dedykowane interfejsy Gigabit Ethernet 10/100/1000 (RJ45) do zarządzania Urządzenie obsługuje interfejsy VLAN-IEEE 802.1q na interfejsach fizycznych, nie mniej niż sumarycznie Urządzenie wyposażone w moduł sprzętowego wsparcia szyfrowania 3DES i AES oraz licencje na szyfrowanie 3DES/AES Urządzenie posiada dedykowany dla zarządzania port konsoli Urządzenie posiada pamięć Flash o pojemności umożliwiającej przechowanie, co najmniej 3 obrazów systemu operacyjnego i 3 plików konfiguracyjnych Urządzenie posiada pamięć DRAM o pojemności nie mniejszej niż 24GB, umożliwiającej uruchomienie wszystkich dostępnych dla urządzenia funkcjonalności Urządzenie zapewnia możliwość klastrowania dla zwiększania wydajności pomiędzy dwoma odległymi fizycznie ośrodkami. Minimalna dopuszczalna ilość 8 urządzeń w klastrze Zasilanie urządzenia Urządzenie posiada 2 redundantne zasilacze umożliwiające zasilanie prądem przemiennym 230V (niedopuszczalne rozwiązania zewnętrzne) 7.3. Wydajność urządzenia Przepustowość teoretyczna firewall a stanowego z zagwarantowanym badaniem stanu połączeń sieciowych nie mniejsza niż 20 Gb/s, a dla ruchu rzeczywistego (tzw. ruch multiprotocol) nie mniej niż 10 Gb/s Wydajność co najmniej 3 Gb/s dla ruchu szyfrowanego protokołami 3DES, AES Umożliwia terminowanie co najmniej jednoczesnych sesji VPN (IPSec VPN, SSL VPN) Obsługuje co najmniej jednoczesnych sesji/połączeń z prędkością zestawiania połączeń na sekundę. Dla pakietów 64 bajtowych urządzenie musi posiadać wydajność co najmniej pakietów na sekundę Posiada możliwość agregacji interfejsów fizycznych (IEEE 802.3ad) min. 4 łączy zagregowanych. Pojedyncze łącze zagregowane może składać się z minimum 2 interfejsów Urządzenie obsługuje funkcjonalność Access Control List (ACL) zarówno dla ruchu wchodzącego, jak i wychodzącego. Minimalna obsługiwana ilość reguł linii Obsługa minimum 1024 VLAN-ów Funkcjonalność urządzenia Urządzenie pełni funkcję ściany ogniowej śledzącej stan połączeń (tzw. stateful inspection) z funkcją weryfikacji informacji charakterystycznych dla warstwy aplikacji Urządzenie posiada możliwości konfiguracji reguł filtrowania ruchu w oparciu o tożsamość użytkownika (Identity Firewall), integrując się ściśle z usługą katalogową Microsoft Active Directory Urządzenie musi posiadać możliwość budowania klastra złożonego z minimum 8 urządzeń. Każde urządzenie w klastrze ma aktywnie przetwarzać ruch dla sesji TCP, UDP dla dowolnej podsieci oraz VLAN-u Klaster urządzeń musi mieć możliwość rozciągnięcia na minimum 3 ośrodki przetwarzania danych.

15 Klaster urządzeń musi wspierać tryb transparentny oraz tryb routed Urządzenie musi wspierać ruch asymetryczny oraz synchronizację stanów sesji dla minimum 3 ośrodków przetwarzania danych bez wykorzystania translacji adresów Urządzenie musi posiadać możliwość uwierzytelnienia z wykorzystaniem LDAP, NTLM oraz Kerberos Urządzenie nie posiada ograniczenia na ilość jednocześnie pracujących użytkowników w sieci chronionej Urządzenie pełni funkcję koncentratora VPN umożliwiającego zestawianie połączeń IPSec VPN (zarówno site-to-site, jak i remote access) Urządzenie musi umożliwiać zestawianie równocześnie do tuneli SSL VPN w trybie clientbased i clientless VPN zrealizowane poprzez zakup odpowiedniej licencji lub oprogramowania bez konieczności dokonywania zmian sprzętowych Urządzenie musi zapewniać w zakresie SSL VPN weryfikację uprawnień stacji do zestawiania sesji, poprzez weryfikację jej cech, co najmniej: OS - System operacyjny IP Address Check - adres z jakiego następuje połaczenie File Check - pliki w systemie Registry Check - wpisy w rejestrze systemu Windows Certificate Check - zainstalowane certyfikaty Urządzenie posiada, zapewnianego przez producenta urządzenia i objętego jednolitym wsparciem technicznym, klienta VPN dla technologii IPSec VPN i SSL VPN Oprogramowanie klienta VPN (IPSec oraz SSL) ma możliwość instalacji na stacjach roboczych pracujących pod kontrolą systemów operacyjnych Windows (7, XP wersje 32 i 64-bitowe) i Linux i umożliwia zestawienie do urządzenia połączeń VPN z komputerów osobistych PC Oprogramowanie klienta VPN obsługuje protokoły szyfrowania 3DES/AES Oprogramowanie klienta VPN umożliwia blokowanie lokalnego dostępu do Internetu podczas aktywnego połączenia klientem VPN (wyłączanie tzw. split-tunnelingu) Urządzenie ma możliwość pracy jako transparentna ściana ogniowa warstwy drugiej ISO OSI Urządzenie obsługuje protokół NTP Urządzenie współpracuje z serwerami CA Urządzenie obsługuje funkcjonalność Network Address Translation (NAT oraz PAT) zarówno dla ruchu wchodzącego, jak i wychodzącego. Urządzenie wspiera translację adresów (NAT) dla ruchu multicastowego Urządzenie zapewnia mechanizmy redundancji w tym możliwość konfiguracji urządzeń w układ zapasowy (failover) działający w trybie wysokiej dostępności (HA) active/standy, active/active dla kontekstów oraz praca w klastrze Urządzenie realizuje synchronizację tablicy połączeń pomiędzy węzłami pracującymi w trybie wysokiej dostępności HA Urządzenie zapewnia możliwość konfiguracji redundancji na poziomie interfejsów fizycznych urządzenia Urządzenie zapewnia funkcjonalność stateful failover dla ruchu VPN Urządzenie posiada mechanizmy inspekcji aplikacyjnej i kontroli co najmniej następujących usług: Hypertext Transfer Protocol (HTTP), File Transfer Protocol (FTP), Extended Simple Mail Transfer Protocol (ESMTP), Domain Name System (DNS), Simple Network Management Protocol v 1/2/3 (SNMP), Internet Control Message Protocol (ICMP), SQL*Net, inspekcji protokołów dla ruchu voice/video H.323 (włącznie z H.239), SIP, MGCP, RTSP Urządzenie umożliwia zaawansowaną normalizację ruchu TCP: poprawność pola TCP ACK(invalid-ack ) poprawność sekwencjonowania segmentów TCP (seq-past-window) poprawność ustanawiania sesji TCP z danymi (synack-data) limitowanie czasu oczekiwania na segmenty nie w kolejności poprawność pola MSS (exceed-mss) poprawność pola długości TCP

16 poprawność skali okna segmentów TCP non-syn poprawność wielkości okna TCP Urządzenie ma możliwość blokowania aplikacji (np. peer-to-peer czy internetowy komunikator ) wykorzystujących port Urządzenie zapewnia obsługę i kontrolę protokołu ESMTP w zakresie wykrywania anomalii, śledzenia stanu protokołu oraz obsługi komend wprowadzonych wraz z protokołem ESMTP Urządzenie ma możliwość inspekcji protokołów HTTP oraz FTP na portach innych niż standardowe Urządzenie zapewnia wsparcie stosu protokołów IPv6 w tym: dla list kontroli dostępu dla IPv możliwości filtrowania ruchu IPv6 na bazie nagłówków rozszerzeń: Hop-by-Hop Options, Routing (Type 0), Fragment, Destination Options, Authentication, Encapsulating Security Payload wspiera inspekcję protokołu IPv6, pracując w trybie transparentnym wspiera adresację IPv6 interfejsów w scenariuszach wdrożeniowych z wysoką dostępnością (failover) wspiera realizację połączeń VPN typu site-to-site opartych o minimum IKEv1 z użyciem protokołu IPv Urządzenie obsługuje mechanizmy kolejkowania ruchu z obsługą kolejki absolutnego priorytetu Urządzenie umożliwia współpracę z serwerami autoryzacji w zakresie przesyłania list kontroli dostępu z serwera do urządzenia z granulacją per użytkownik, o wielkości przekraczającej 4KB Urządzenie obsługuje routing statyczny i dynamiczny (min. dla protokołów RIP, OSPF i BGP) Urządzenie pozwala na osiągnięcie wysokiej dostępności dla protokołów routingu dynamicznego (min OSPF), tzn trasy dynamiczne zawarte w tablicy routingu są synchronizowane z urządzenia active na urządzenie standby Urządzenie umożliwia zbieranie informacji o czasie (timestamp) i ilości trafień pakietów w listy kontroli dostępu (ACL) Urządzenie umożliwia konfigurację globalnych reguł filtrowania ruchu, które przykładane są na wszystkie interfejsy urządzenia jednocześnie Urządzenie umożliwia konfigurację reguł NAT i ACL w oparciu o obiekty i grupy obiektów. Do grupy obiektów może należeć host, podsieć lub zakres adresów, protokół lub numer portu Urządzenie umożliwia pominięcie stanu sesji TCP w scenariuszach wdrożeniowych z asymetrycznym przepływem ruchu Urządzenie wspiera Proxy dla protokołu SCEP i umożliwia zautomatyzowany proces pozyskiwania certyfikatów przez użytkowników zdalnych dla dostępu VPN Urządzenie wspiera użytkownika korzystającego z trybu klienta VPN (IPSec oraz SSL) oraz clientless SSL VPN, w zakresie obsługi haseł w systemie Microsoft AD, bezpośrednio lub poprzez ACS, co najmniej dla obsługi sytuacji wygaśnięcia terminu ważności hasła w systemie Microsoft AD, umożliwiając zmianę przeterminowanego hasła Urządzenie obsługuje IKE, IKE Extended Authentication (Xauth) oraz IKE Aggressive Mode. Ponadto urządzenie wspiera protokół IKEv2 (Internet Key Exchange w wersji 2) dla połączeń zdalnego dostępu VPN oraz site-to-site VPN opartych o protokół IPSec Urządzenie musi umożliwiać rozbudowę (poprzez zakup odpowiedniej licencji lub oprogramowania bez konieczności dokonywania zmian sprzętowych) o możliwość wirtualizacji konfiguracji poprzez wirtualne konteksty. Wymagana jest możliwość rozbudowy urządzenia o wsparcie dla co najmniej 250 wirtualnych kontekstów. Urządzenie musi zostać dostarczone z licencją na wykorzystanie co najmniej 5 wirtualnych kontekstów Funkcjonalność urządzenia - NGFW Urządzenie musi zapewniać możliwość uruchomienia funkcjonalności tzw, Next-Generation Firewall, zrealizowane poprzez zakup odpowiedniej licencji lub oprogramowania bez konieczności dokonywania zmian sprzętowych w zakresie nie mniejszym niż: System automatycznego wykrywania i klasyfikacji aplikacji (Application Visibility and Control) System IPS System ochrony przed malware System filtracji ruchu w oparciu o URL

17 System musi posiadać możliwość kontekstowego definiowania reguł z wykorzystaniem informacji pozyskiwanych o hostach na bieżąco poprzez pasywne skanowanie. Wymagane jest by system tworzył kontekst z wykorzystaniem co najmniej poniższych parametrów: Wiedza o użytkownikach uwierzytelenienie Wiedza o urządzeniach pasywne skanowanie ruchu Wiedza o urządzeniach mobilnych Wiedza o aplikacjach wykorzystywanych po stronie klienta Wiedza o podatnościach Wiedza o bieżących zagrożeniach Baza danych URL System musi posiadać otwarte API dla współpracy z systemami zewnętrznymi w tym co najmniej z systemami SIEM System Wykrywania Aplikacji (SWA) musi posiadać możliwość klasyfikacji ruchu i wykrywania co najmniej aplikacji sieciowych zapewniać wydajność co najmniej 10Gb/s adekwatnie do rzeczywistej wydajności firewalla stanowego pozwalać na tworzenie profili użytkowników korzystających ze wskazanych aplikacji z dokładnością co najmniej do systemu operacyjnego z którego korzysta użytkownik oraz wykorzystywanych usług pozwalać na wykorzystanie informacji geolokacyjnych dotyczących użytkownika lub aplikacji umożliwiać współpracę z otwartym systemem opisu aplikacji pozwalającym administratorowi na skonfigurowanie opisu dowolnej aplikacji i wykorzystanie go do automatycznego wykrywania tejże aplikacji przez SWA oraz na wykorzystanie profilu tej aplikacji w regułach reagowania na zagrożenia oraz w raportach System IPS musi Zapewniać skuteczność wykrywania zagrożeń i ataków na poziomie minimum 95% udokumentowany przez niezależnie testy Posiadać możliwość pracy w trybie in-line (wszystkie pakiety, które mają być poddane inspekcji muszą przechodzić przez system) posiadać możliwość pracy zarówno w trybie pasywnym (IDS) jak i aktywnym (z możliwością blokowania ruchu) posiadać możliwość wykrywania i uniemożliwiać szeroką gamę zagrożeń (np.: złośliwe oprogramowanie, skanowanie sieci, ataki na usługę VoIP, próby przepełnienia bufora, ataki na aplikacje P2P, zagrożenia dnia zerowego, itp.) posiadać możliwość wykrywania modyfikacji znanych ataków jak i te nowo powstałe, które nie zostały jeszcze dogłębnie opisane zapewniać co najmniej poniższe sposoby wykrywania zagrożeń sygnatury ataków opartych na exploitach, reguły oparte na zagrożeniach, mechanizm wykrywania anomalii w protokołach mechanizm wykrywania anomalii w ogólnym zachowaniu ruchu sieciowego mieć możliwość inspekcji nie tylko warstwy sieciowej i informacji zawartych w nagłówkach pakietów, ale również szerokiego zakres protokołów na wszystkich warstwach modelu sieciowego włącznie z możliwością sprawdzania zawartości pakietu posiadać mechanizm minimalizujący liczbę fałszywych alarmów jak i niewykrytych ataków (ang. false positives i false negatives) mieć możliwość detekcji ataków/zagrożeń złożonych z wielu elementów i korelacji wielu, pozornie niepowiązanych zdarzeń posiadać wiele możliwości reakcji na zdarzenia takie jak: tylko monitorowanie, blokowanie ruchu zawierającego zagrożenia, zastąpienie zawartość pakietów oraz mieć możliwość zapisywania pakietów mieć możliwość detekcji ataków i zagrożeń opartych na protokole IPv posiadać możliwość pasywnego zbierania informacji o urządzeniach sieciowych oraz ich aktywności, takich jak systemy operacyjne, serwisy, otwarte porty, aplikacje oraz zagrożenia w celu wykorzystania tych informacji do analizy i korelacji ze zdarzeniami bezpieczeństwa, eliminowania fałszywych alarmów oraz tworzenia polityki zgodności

18 posiadać możliwość pasywnego gromadzenia informacji o przepływach ruchu sieciowego ze wszystkich monitorowanych hostów włączając w to czas początkowy i końcowy, porty, usługi oraz ilość przesłanych danych zapewniać możliwość pasywnej detekcji predefiniowanych serwisów takich jak FTP, HTTP, POP3, Telnet, itp posiadać możliwość automatycznej inspekcji i ochrony dla ruchu wysyłanego na niestandardowych portach używanych do komunikacji zapewniać możliwość obrony przed atakami skonstruowanym tak, aby uniknąć wykrycia przez IPS. W tym celu musi stosować najodpowiedniejszy mechanizm defragmentacji i składania strumienia danych w zależności od charakterystyki hosta docelowego zapewniać mechanizm bezpiecznej aktualizacji sygnatur. Zestawy sygnatur/reguł muszą być pobierane z serwera w sposób uniemożliwiający ich modyfikację przez osoby postronne zapewniać możliwość definiowania wyjątków dla sygnatur z określeniem adresów IP źródła, przeznaczenia lub obu jednocześnie być zarządzany tylko poprzez system centralnego zarzadzania za pomocą szyfrowanego połączenia zapewniać obsługę reguł Snort Zapewniać możliwość wykorzystanie informacji o sklasyfikowanych aplikacjach do tworzenia reguł IPS Zapewniać mechanizmy automatyzacji co najmniej w zakresie wskazania hostów skompromitowanych (ang. Indication of compromise) Zapewniać mechanizmy automatyzacji w zakresie automatycznego dostrojenia polityk bezpieczeństwa Posiadać możliwość wykorzystania mechanizmów obsługi ruchu asymetrycznego firewalla dla uzyskania pełnej widoczności ruchu w szczególności musi posiadać możliwość pracy w trybie failover firewalla oraz w trybie klastrowania System IPS powinien pozwalać na pracę z przepustowością co najmniej 5Gb/s przy jednoczesnym działaniu systemu wykrywania aplikacji Urządzenie musi zostać dostarczone wraz z licencjami umożliwiającymi działanie funkcjonalności IPS i funkcji ochrony przed malware ( w wypadku licencjonowania okresowego dostarczone licencje powinny obejmować okres nie mniejszy niż gwarancja urządzenia) Zarządzanie i konfiguracja Urządzenie posiada możliwość eksportu informacji przez syslog Urządzenie wspiera eksport zdarzeń opartych o przepływy za pomocą protokołu NetFlow lub analogiczny Urządzenie posiada możliwość komunikacji z serwerami uwierzytelnienia i autoryzacji za pośrednictwem protokołów RADIUS i TACACS+ oraz obsługuje mechanizmy AAA (autentykacja, autoryzacja, accounting) przy współpracy z systemem Cisco ACS Urządzenie jest konfigurowalne przez CLI oraz interfejs graficzny Dostęp do urządzenia jest możliwy przez SSH Urządzenie obsługuje protokół SNMP v 1/2/ Możliwa jest edycja pliku konfiguracyjnego urządzenia w trybie off-line. Tzn. istnieje możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC. Po zapisaniu konfiguracji w pamięci nieulotnej jest możliwe uruchomienie urządzenia z nową konfiguracją Urządzenie umożliwia zrzucenie obecnego stanu programu (coredump) dla potrzeb diagnostycznych Urządzenie posiada wsparcie dla mechanizmu TCP Ping, który pozwala na wysyłanie wiadomości TCP dla rozwiązywania problemów związanych z łącznością w sieciach IP Urządzenie umożliwia kontrolę dostępu administracyjnego protokołem tacacs+, za pomocą systemu ACS Urządzenie musi być wspierane przez system FireSIGHT Managment Center wykorzystywany przez Zamawiającego Obudowa Urządzenie ma możliwość instalacji w szafie typu rack Wysokość urządzenia nie większa niż 2RU elementy niezbędne do montażu muszą być dostarczone z urządzeniem

19 II.c Pozostałe elementy 8. System wykrywania zagrożeń i ataków oparty o statystyki sieciowe 8.1. Wymagania ogólne System przewidziany jest do wykrywania ataków, zagrożeń i anomalii z wykorzystaniem danych statystycznych pobieranych z urządzeń sieciowych zamawiającego System powinien działać w oparciu o heurystykę i nie może być budowany w oparciu o sygnaturowe wykrywanie nadużyć System musi posiadać możliwość pobrania i analizy informacji sieciowych raportowanych z wykorzystaniem protokołu NetFlow (RFC 3954) Architektura systemu System musi obejmować całościowo narzędzia pozwalające na pozyskanie i analizę zdarzeń i incydentów zachodzących w sieci w szczególności system powinien obejmować Centralną konsolę zarządzania wszystkie zdarzenia powinny być możliwe do wyświetlenia i analizy przez centralną konsolę Narzędzie zbierania informacji o przepływach danych NetFlow Collector Narzędzie generowania informacji o przepływach danych z segementów sieciowych z których pobranie informacji natywnie z infrastruktury sieciowej nie jest możliwe. Rozwiązanie musi posiadać możliwość pozyskania takiej informacji co najmniej z: Przełączników sieciowych LAN Środowiska zwirtualizowanego wymagane co najmniej wsparcie środowiska Vmware z VMotion System musi wykorzystywać jako dane źródłowe niepróbkowany (non-sampled) eksport NetFlow System operacyjny rozwiązania musi być co najmniej wzmocnionych systemem operacyjnym (lub być dedykowanym systemem operacyjnym) z ograniczoną liczbą otwartych portów System musi posiadać możliwość pracy w modelu redundantnym w szczególności musi być możliwość redundancji kolektorów exportów Netflow oraz centralnej konsoli zarządzania System musi umożliwiać skalowanie pozwalające na pobierani informacji statystycznych z sieci z segmentów pracujących co najmniej ze stałym obciążeniem 5Gbps 8.3. Wykrywanie ataków/anomalii System musi zapewniać behawioralne metody wykrywania ataków/anomalii System musi umożliwiać profilowanie ruchu poszczególnych hostów i grup hostów celem wykrywania anomalii/ataków wynikających z przekroczenia wartości bazowych (zarówno zdefiniowanych przez administratora jak i wynikających z uczenia się systemu charakterystyk ruchowych) dla typowego wzorca ruchu dla stacji, zmiany charakterystyki ruchu dla stacji naruszenia założonej polityki bezpieczeństwa System musi umożliwiać wykrywanie ataków Zero-Day System musi umożliwiać wskazanie zarażonych hostów wewnątrz organizacji System musi umożliwiać wskazanie ataków, które zostały dopuszczone przez ominięcie systemów AV System musi umożliwiać wykrywanie ataków polimorficznych, mutujących jak też zaszyfrowanych w oparciu o zmiany zachowania w sieci atakowanego hosta System musi posiadać wbudowane mechanizmy algorytmy korelowania zdarzeń celem wyświetlenia administratorowi zagregowanych zdarzeń o największym potencjalnym zagrożeniu System musi umożliwiać wykrywania ataków DoS i DdoS wraz ze wskazaniem celu ataku jak też hostów atakujących System musi umożliwiać wykrywanie atatków związanych z exfiltracją danych System musi umożliwiać wykrywanie podejrzanie długotrwałych sesji z hostami zewnętrznymi o podejrzanie niskim wolumenie danych System musi umożliwiać wykrywanie podejrzanie długotrwałych sesji z hostami zewnętrznymi o podejrzanie wysokim wolumenie danych System musi posiadać możliwość różnicowania zachowań hostów w zależności od pory dnia i dnia tygodnia co najmniej dla

20 Statystki ruchowej hosta Całościowego ruchu generowanego przez hosta Wolumenu ruchu pakietów z flagą SYN Maksymalnego poziomu ruchi pakietów z flagą SYN System musi uwzględniać zmiany wynikające z typowych działań i rozwoju organizacji i posiadać zdolność uczenia się przykładowo uwzględniać zmiany charakterysyki ruchu serwera, który w przeciągu roku zwiększył wolumen ruchu kilkakrotnie i odpowiednio do niego dostosowywać odpowiednie wartości progowe System musi umożliwiać konfigurację soft-firewalla w sieci celem raportowania o niepożądanych przepływach ruchu pomiędzy wskazanymi obszarami sieci System musi umożliwiać tworzenie zaawansowanych złożonych reguł wykorzystujących wiele atrybutów np wykrywanie podejrzanych połączeń zdalnych z określonego rejonu geograficznego w zadanym okresie czasu z okreslonym wolumenem danych Wykrywanie połączeń zdalnych tego samego użytkownika w zadanym krótkim czasie z z wykorzystaniem geolokacji (wykrywanie połączeń z różnych rejonów świata dla tego samego użytkownika, gdzie niemożliwe jest fizyczne jego przemieszczenie się w zadanym oknie czasowym) System musi posiadać możliwość raportowania w przypadku naruszenia polityki zdefiniowanej przez administratora. Raport dla administratora musi zawierać co najmniej informację o rodzaju komunikacji, która naruszyła politykę, ile razy polityka została naruszona oraz który użytkownik dokonał tego naruszenia wraz z podaniem jego adresu IP System musi posiadać możliwość pobierania informacji z chmury o serwerach Botnet Command and Control System musi posiadać mechanizmy wykrywania sytuacji usuwania danych ze wskazanych serwerów (np. serwerów plików) przez atakującego z wewętrz jak i z zewnątrz sieci 8.4. Narzędzia monitorowania sieci System musi posiadać możliwość wykrywania źle skonfigurowanych lub niepoprawnie funkcjonujących urządzeń sieciowych i hostów w tym routerów, serwerów i stacji roboczych System musi posiadać możliwość monitoringu interfejsów sieciowych monitorowanych urządzeń w tym interfejsów agregowanych System musi zapewniać możliwość monitoring wykorzystania interfejsu z dokładnością do usługi sieciowej System musi zapewniać możliwość raportowania wykorzystania interfejsów i usług sieciowych z granulacją nie mniejszą niż 1 minuta System musi posiadać możliwość wskazania TopX hostów i usług dla wskazanego połączenia sieciowego System musi posiadać możliwość definiowania aplikacji i ich automatycznej identyfikacji z dokładnością do poziomu Skype, Teredo, AIM, WebEx, Dropbox, Facebook System musi posiadać wbudowane narzędzia dla co najmniej 900 aplikacji System musi posiadać możliwość definiowania raportów z wykorzystaniem informacji o własnych definicjach aplikacji przygotowanych przez administratora System musi posiadać możliwość raportowania nieaktywności/aktywności poszczególnych hostów System musi posiadać możliwość definiowania raportów zorientowanych na wolumeny ruchu System musi posiadać wbudowane narzędzia zaawansowanej deduplikacji informacji o przepływach (flow), zapewniać unikalność flow i nie powielać informacji o pojedynczym flow w raportach. Pojedynczy przepływ danych musi być identyfikowany raz i pokazywany w raportach jako jeden strumień danych bez względu na ścieżkę danych System musi uwzględniać iż na ścieżce danych mogą pojawiać się posiadane przez Zamawiającego firewalle sieciowe Cisco ASA raportujące z wykorzystaniem z NSEL (NetFlow Secure Event Logging) System musi posiadać możliwość wskazania hostów, na których uruchomiona jest określona usługa lub uruchomiony klient System musi posiadać możliwość wskazania wykorzystania określonych portów TCP/UDP