Sprawa nr 57.0.8.ZW-II ZAŁĄCZNIKI Nr do SIWZ Sprawa nr 57.0.8.ZW-II OPIS PRZEDMIOTU ZAMÓWIENIA Sprzęt informatyczny i oprogramowanie do budowy sieci misyjnych budowa dwuośrodkowego centrum danych. SPIS TREŚCI: I. Wymagania ogólne na budowę dwuośrodkowego centrum danych II. Konwergentne środowisko wirtualizacyjne.. Wymagania Ogólne. Wymagania dla obszaru przełączania L/L3.3 Wymagania dla obszaru data-storage.4 Wymagania dla obszaru mocy obliczeniowej.5 Wymagania dla obszaru wirtualizacji.6 Wymagania dla obszaru backupu.7 Wymagania dla obszaru zarządzania.8 Wymagania na moduły interfejsów do instalacji w gniazdach SFP/QSFP(+) i kable połączeniowe III. Dodatkowe wymagania dla lokalizacji centralnej. IV. Dodatkowe wymagania dla lokalizacji południowej V. Warunki serwisu i gwarancji. VI. Zamówienia opcjonalne /70
Sprawa nr 57.0.8.ZW-II I. Wymagania ogólne na budowę dwuośrodkowego centrum danych. I.. Przedmiotem zamówienia jest utworzenie w infrastrukturze Zamawiającego dwuośrodkowego centrum przetwarzania danych (Data Center) w architekturze konwergentnej (konwergentnego rozwiązania IT) w ośrodkach Zamawiającego (serwerowniach) w Polsce środkowej i Polsce południowej. Ośrodki (serwerownie) usytuowane są w odległości ponad 00 km od siebie. Utworzone dwuośrodkowe Data Center ma przetwarzać informacje niejawne o klauzuli TAJNE/NATO SECRET/EU SECRET. Na realizację przedmiotu zamówienia będą się składać: LP. Wyszczególnienie Adaptacja w lokalizacjach Zamawiającego pomieszczeń i/lub ich infrastruktury technicznej na potrzeby instalacji elementów dwuośrodkowego centrum przetwarzania danych. Dostawa sprzętu i oprogramowania dla dwuośrodkowego centrum przetwarzania danych 3 Montaż i uruchomienie sprzętu oraz instalacja oprogramowania dwuośrodkowego centrum przetwarzania danych. 4 Wykonanie usługi wdrożenia sprzętu i oprogramowania dla dwuośrodkowego centrum przetwarzania danych. 5 Wykonanie usługi szkolenia dla personelu Zamawiającego w zakresie sprzętu i oprogramowania wdrożonego w dwuośrodkowym centrum przetwarzania danych. 6 Przekazanie zrealizowanego w ramach projektu środowiska w użytkowanie wraz z wykonaną dokumentacją projektową i wdrożeniową. Lokalizacja centralna TAK w terminie do 30.0.08 r. pożądany termin do 3.08.08 r. TAK w terminie do 30..08 r. TAK w terminie do 0..08 r. TAK w terminie do 8.0.09 r. Dla 3 osób po 40 godzin. w terminie do 8.0.09 r. TAK w terminie do 9.03.09 r. Lokalizacja południowa TAK w terminie do 30.0.08 r. pożądany termin do 3.08.08 r. TAK W terminie do 30..08 r. TAK w terminie do 0..08 r. TAK w terminie do 8.0.09 r. Dla 3 osób po 40 godzin. w terminie do 8.0.09 r. TAK w terminie do 9.03.09 r. I.. Utworzenie poszczególnych serwerowni składających się na dwuośrodkowe Data Center będzie wymagać co najmniej: I... Adaptacji we wskazanych lokalizacjach w uzgodnieniu z Zamawiającym pomieszczeń serwerowni i ich infrastruktury technicznej ((zasilania, chłodzenia itp. szczegóły w pkt.. ppkt 3.) na potrzeby instalacji dostarczanego konwergentnego rozwiązania IT konwergentnej platformy wirtualizacyjnej obejmującej co najmniej: Dostosowania układu zasilania (w tym gwarantowanego) do wymagań instalacji oferowanego konwergentnego rozwiązania IT konwergentnej platformy wirtualizacyjnej. Układ zasilania musi spełniać wymagania pozwalające na zasilanie systemów IT o klauzuli TAJNE/NATO SECRET/EU SECRET; /70
Sprawa nr 57.0.8.ZW-II Rozmieszczenia szaf typu RACK przeznaczonych do montażu dostarczanego konwergentnego rozwiązania IT konwergentnej platformy wirtualizacyjnej; Dostosowanie podłogi technicznej do wymagań dla instalacji szaf typu RACK do instalacji konwergentnego rozwiązania IT konwergentnej platformy wirtualizacyjnej; Wykonania usługi szkoleniowej dla personelu Zamawiającego z zakresu dostarczonej i zainstalowanej infrastruktury wymaganych powyższymi podpunktami (jeśli konieczne). I... Dostawy do każdej z serwerowni dwuośrodkowego Data Center identycznego sprzętu i oprogramowania w postaci konwergentnego rozwiązania IT w postaci konwergentnej platformy wirtualizacyjnej tak aby możliwe było: Uzyskanie pełnej zgodności w zakresie procedur oraz oprogramowania zarządzającego zasobami w stosunku do każdej lokalizacji (do zarządzania zasobami w każdej z lokalizacji, musi być wykorzystywane to samo oprogramowanie a sam proces zarządzania musi odbywać się wg. jednolitych wspólnych i takich samych dla każdej z lokalizacji - procedur). Uzyskanie zgodności konfiguracji sprzętu i oprogramowania zgodnie z odpowiednimi zaleceniami NATO w tym zakresie dla systemów i sieci teleinformatycznych w tym przetwarzających informacje niejawne o klauzuli NATO SECRET. Zapewnienie dla sprzętu dostarczanego do jednej z lokalizacji ochrony przed ulotem elektromagnetycznym, minimalnie przez zastosowanie szaf RACK typu TEMPEST do montażu elementów konwergentnego rozwiązania IT konwergentnej platformy wirtualizacyjnej. I..3. Realizacji prac w obiektach Zamawiającego, w których przetwarzane są i będą informacje niejawne o klauzuli TAJNE/NATO SECRET/EU SECRET co będzie się wiązać z koniecznością posiadania przez personel wykonując czynności poświadczeń bezpieczeństwa osobowego o klauzuli minimum TAJNE/NATO SECRET/EU SECRET (jeśli nie wskazano inaczej). I..4. Wykonania usługi wdrożenia (instalacji sprzętu i oprogramowania, konfiguracji sprzętu i oprogramowania i integracji z infrastrukturą Zamawiającego) dostarczonego konwergentnego rozwiązania IT - konwergentnej platformy wirtualizacyjnej z uwzględnieniem wymagań Zamawiającego w zakresie: Spełnienia warunków pracy konwergentnego rozwiązania IT konwergentnej platformy wirtualizacyjnej w systemie przetwarzającym informacje niejawne o klauzuli TAJNE/NATO SECRET/EU SECRET; I..5. Wykonania dokumentacji wdrożeniowej i powykonawczej dla wdrożenia konwergentnego rozwiązania IT konwergentnej platformy wirtualizacyjnej w dwuośrodkowym centrum danych. Dokumentacja o klauzuli Zastrzeżone będzie mogła być wykonana przez Wykonawcę w systemie teleinformatycznym Zamawiającego przez osoby posiadające minimum: pisemne upoważnienie kierownika jednostki organizacyjnej do dostępu do informacji niejawnych o klauzuli Zastrzeżone oraz zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych krajowych oraz NATO i Unii Europejskiej. I..6. Wykonania usługi polegającej na przeszkoleniu personelu Zamawiającego (po 3 osoby dla każdej z dwóch lokalizacji serwerowni, po 40 godzin na osobę), po którym oczekuje się pozyskanie wiedzy z zakresu zarządzania (obsługi i konfiguracji) dostarczonego sprzętu i oprogramowania konwergentnego rozwiązania IT konwergentnej platformy wirtualizacyjnej. I.3. Utworzone dwuośrodkowe Data Center ma składać się identycznych spójnych konwergentnych rozwiązań IT (konwergentnych platformy wirtualizacji), będących w stanie współpracować miedzy sobą z wykorzystywaniem posiadanego obecnie przez Zamawiającego środowiska sieci IP. 3/70
Sprawa nr 57.0.8.ZW-II I.4. I.5. I.6. I.7. I.8. I.9. Oferowane rozwiązanie ma dostarczać narzędzia umożliwiające zarządzanie konwergentnymi środowiskami IT konwergentnymi platformami wirtualizacyjnymi, zarówno do utrzymania spójności danych (z uwzględnieniem kwantu czasowego replikacji danych) jak i migracji obciążeń, obsługi obciążeń szczytowych, obsługi zdarzeń nieplanowanych oraz bez przestoju, czyli przy ciągłym dostępie do usług świadczonych w sieci Zamawiającego. Oferowane rozwiązanie ma zapewnić możliwość wykorzystania jednej z lokalizacji serwerowych jako ośrodka typu disater recovery. Rozwiązanie musi być zbudowane na bazie serwerów kasetowych, macierzy dyskowych klasy mid-range/enterprise i elementów sieciowych, a także z zapewnieniem braku w infrastrukturze pojedynczego punktu awarii. Oferowany w ramach rozwiązania sprzęt musi spełniać łącznie poniższe warunki: a) W przypadku zaoferowania sprzętu lub oprogramowania równoważnego do wymienionego w SIWZ Zamawiający zastrzega sobie prawo do zażądania oferowanego rozwiązania do testów PRZED podpisaniem umowy w celu potwierdzenia zgodności ze specyfikacją. b) Wymagane funkcjonalności muszą być dostępne w momencie składania oferty. c) Urządzenia muszą być fabrycznie nowe i nieużywane wcześniej w żadnych innych projektach. Nie dopuszcza się urządzeń typu refubrished (zwróconych do producenta i później odsprzedawanych ponownie przez producenta). d) Urządzenia musza pochodzić z oficjalnych kanałów sprzedaży/dystrybucji producenta. Zamawiający zastrzega sobie możliwość sprawdzenia pochodzenia urządzenia u producenta. e) Wszystkie karty oraz interfejsy dokładane do urządzeń muszą pochodzić od tego samego producenta sprzętu. f) Przynajmniej pierwsza linia wsparcia technicznego producenta dostępna w języku polskim. g) W przypadku konieczności wymiany uszkodzonej pamięci masowej (nośnika danych, dysku twardego), pamięci RAM lub flash, uszkodzone moduły /podzespoły pozostaną u Użytkownika. Dostarczane rozwiązanie musi być objęte co najmniej trzyletnią ochroną gwarancyjną (odbioru usługi przez użytkownika) opartą o świadczenia producenta/integratora z jednym punktem zgłaszania awarii. Przy dostawie wymagane będzie oświadczenie producenta/producentów rozwiązań potwierdzające spełnienie powyższego warunku. Wszelkie prace związane z wdrożeniem rozwiązania (w tym wymagające demontażu poszczególnych elementów konwergentnego rozwiązania IT - konwergentnej platformy wirtualizacyjnej w celu ich montażu w infrastrukturze Zamawiającego (na przykład w szafach TEMPEST) nie mogą powodować utraty gwarancji opartej na świadczeniach producenta. I.0. O udzielenie zamówienia może ubiegać się wykonawca, który dysponuje zdolnością umożliwiającą mu samodzielny demontaż i montaż przewidzianych do oferty rozwiązań do poziomu poszczególnych urządzeń teleinformatycznych bez utraty gwarancji opartej na świadczeniach producenta/producentów. Wymaganie to wynika z potrzeby instalowanie oferowanego rozwiązania w istniejącej infrastrukturze Zamawiającego, która może uniemożliwiać transport i instalację standardowych szaf serwerowych typu rack. I.. Terminarz realizacji zadań w zakresie procesu wdrożenia dwuośrodkowego centrum danych. Proces wdrożenia sprzętu i oprogramowania rozpoczyna się w dniu następującym po podpisaniu Umowy i obejmuje 5 etapów realizowanych w następującym reżimie czasowym: Etap przygotowawczy w terminie do 30 dni od podpisania Umowy; Etap adaptacji pomieszczeń oraz przygotowania infrastruktury technicznej w terminie maksymalnie do 30.0.08 r.; Etap dostawy sprzętu i oprogramowania do 30..08 r.. Etap montażu i uruchomienia środowiska - w terminie maksymalnie do 0...08 r. 4/70
Sprawa nr 57.0.8.ZW-II Etap wdrożenia w terminie 8.0.09 r. Etap szkoleniowy - w terminie maksymalnie do 8.0.09 r.. Etap powykonawczy - w terminie maksymalnie do 9.03.09 r. I... Etap przygotowawczy: Przygotowanie i przedstawienie Zamawiającemu do akceptacji projektu technicznego oraz harmonogramu i scenariusza wdrożenia zwanych dalej dokumentacją wdrożeniową; Warunkiem zakończenia etapu przygotowawczego jest zaakceptowanie przez Zamawiającego dokumentacji wdrożeniowej wraz z protokołem etapu przygotowawczego. I... Etap adaptacji pomieszczeń oraz przygotowania infrastruktury technicznej Rozbudowa i modernizacja infrastruktury teletechnicznej, energetycznej i środowiskowej zgodnie z wymaganiami zawartymi w rozdziałach 3 i 4; I..3. Etap dostawy sprzętu i oprogramowania: Dostawa sprzętu i oprogramowania zgodnie z opisem konwergentnej platformy wirtualizacyjnej - rozdział ; Warunkiem zakończenia etapu jest zatwierdzony przez Zamawiającego protokół odbioru etapu; I..4. Etap montażu i uruchomienia środowiska: Instalacja i konfiguracja sprzętu i oprogramowania zgodnie z zatwierdzoną przez Zamawiającego dokumentacją wdrożeniową; Warunkiem zakończenia etapu jest zatwierdzony przez Zamawiającego protokół etapu. I..5. Etap wdrożenia: Konfiguracja sprzętu i oprogramowania zgodnie z zatwierdzoną przez Zamawiającego dokumentacją wdrożeniową; Testy poprawności funkcjonowania sprzętu i oprogramowania; Warunkiem zakończenia etapu jest zatwierdzony przez Zamawiającego protokół etapu. I..6. Etap szkoleniowy przygotowanie i przedstawienie Zamawiającemu do zatwierdzenia harmonogramu szkolenia wskazującego zakres szkolenia, terminy. Przeszkolenie personelu ze strony Zmawiającego w formie teoretyczno-praktycznej w obszarze obejmującym: ogólną charakterystykę poszczególnych komponentów Systemu; omówienie architektury Systemu, która została zainstalowana u Zamawiającego; sposób instalacji i konfiguracji najważniejszych elementów Systemu; administrowanie Systemem; możliwości rozbudowy Systemu. Szkolenie będzie prowadzone dla 6 osób, każda po 40 godz. zegarowych w lokalizacji Wykonawcy (zgodnie z harmonogramem szkolenia). Wykonawca w ramach realizacji szkolenia zapewni każdemu z uczestników szkolenia niezbędne materiały dydaktyczno-szkoleniowe w wersji papierowej lub elektronicznej. Warunkiem zakończenia etapu jest zatwierdzony przez Zamawiającego protokół etapu szkoleniowego. I..7. Etap powykonawczy: Przygotowanie i przedstawienie Zamawiającemu do zatwierdzenia dokumentacji powykonawczej obejmującej min: Architekturę Systemu; Parametry instalacji i konfiguracji wszystkich komponentów rozwiązania; Procedury użytkowania i administracji Systemem; 5/70
Sprawa nr 57.0.8.ZW-II Dokumentacja powykonawcza powinna zostać dostarczona w wersji elektronicznej w formacie docx oraz pdf na nośniku pendrive oraz DVD. Warunkiem zakończenia etapu jest odebranie przez Zamawiającego dokumentacji powykonawczej. W przypadku powstania rozbieżności Wykonawca zobowiązany jest do korekty dokumentacji wdrożenia w terminie nie dłuższym niż określony w Umowie. II. Konwergentne środowisko wirtualizacyjne II.. Wymagania Ogólne. Zamawiający wymaga dostarczenia i wdrożenia elementów sprzętowych i programowych dwu- dwuośrodkowego centrum danych wraz z dostosowaniem infrastruktury zamawiającego. Lokalizacje nazywane centralna i południowa oddalone są od siebie o ponad 00km. Dwuośrodkowe centrum danych musi się składać z (dwóch) identycznych konwergentnych środowisk wirtualizacyjnych, w których wyróżnia się następujące obszary: - obszar przełączania L/L3; - obszar data-storage; - obszar mocy obliczeniowej; - obszar wirtualizacji; - obszar backupu; - obszar zarządzania; Zamawiający wymaga dostarczenia (dwóch) identycznych konwergentnych środowisk wirtualizacyjnych zgodnie z wymaganiami określonymi w punktach..8 (UWAGA: punkty..8 opisują pojedyncze konwergentne środowisko wirtualizacyjne). Przy czym jedno środowisko przeznaczone jest do instalacji i wdrożenia w lokalizacji centralnej i jedno środowisko przeznaczone jest do instalacji i wdrożenia w lokalizacji południowej.. Zamawiający wymaga dostarczenia do lokalizacji południowej szaf rack 4U spełniających wymagania normy TEMPEST SDIP-7 Level B (wymagane załączenie do dostawy stosownego certyfikatu wydanego przez stosowną jednostkę certyfikującą) o wymiarach umożliwiających instalację elementów platformy wirtualizacyjnej. Wyposażenie szaf musi być dostosowane do wymagań instalacyjnych dostarczanej platformy wirtualizacyjnej w zakresie zasilania, chłodzenia i połączeń logicznych pomiędzy elementami. 3. Zamawiający wymaga realizacji usługi wdrożenia konwergentnej platformy wirtualizacyjnej, a w szczególności: a) Dla lokalizacji centralnej : Wykonania projektu montażu i wdrożenia dostarczonych elementów konwergentnej platformy wirtualizacyjnej wraz z szafami typu RACK. Projekt podlega zatwierdzeniu przez zamawiającego. Wykonania projektu instalacji energetycznych i teletechnicznych dla nowych szaf typu RACK i podłączenia ich do istniejącej infrastruktury serwerowni. Projekt podlega zatwierdzeniu przez zamawiającego. Instalacji zgodnie z zatwierdzonym przez Zamawiającego projektem dostarczonych szaf typu RACK w serwerowni. Wykonania zgodnie z zatwierdzonym przez Zamawiającego projektem instalacji zasilającej i teletechnicznej do szaf typu RACK oraz jej podłączenie do istniejącej instalacji zasilającej i teletechnicznej serwerowni. Instalacji infrastruktury i elementów konwergentnego środowiska wirtualizacyjnego w szafach typu RACK w serwerowni Zamawiającego. Poszczególne elementy mogą być rozmieszczone w najwyżej 3 szafach 4U. 6/70
Sprawa nr 57.0.8.ZW-II b) Dla lokalizacji południowej : Wykonania projektu montażu dostarczonych szaf typu TEMPEST jako rozbudowy do istniejącej zabudowy składającej się z 4 szaf TEMPEST i klimatyzatorów typu in-row zamkniętych w kiosk z zimnym korytarzem. Projekt podlega zatwierdzeniu przez zamawiającego. Wykonania projektu instalacji energetycznych i teletechnicznych dla nowych szaf typu TEMPEST i podłączenia ich do istniejącej infrastruktury serwerowni. Projekt podlega zatwierdzeniu przez zamawiającego. Wykonania projektu rozbudowy i modernizacji infrastruktury teletechnicznej, energetycznej i środowiskowej Zamawiającego w 4 pomieszczeniach. Projekt będzie dotyczył przygotowania pod instalację minimum 5 szaf typu rack. Projekt podlega zatwierdzeniu przez zamawiającego. Wykonania rozbudowy i modernizacji infrastruktury teletechnicznej, energetycznej i środowiskowej Zamawiającego w 4 pomieszczeniach zgodnie z zatwierdzonym projektem. Instalacji zgodnie z zatwierdzonym przez Zamawiającego projektem dostarczonych szaf typu TEMPEST w serwerowni. Wykonania zgodnie z zatwierdzonym przez Zamawiającego projektem instalacji zasilającej i teletechnicznej do szaf typu TEMPEST oraz jej podłączenie do istniejącej instalacji zasilającej i teletechnicznej serwerowni. Instalacji infrastruktury i elementów konwergentnego środowiska wirtualizacyjnego w szafach typu TEMPEST w serwerowni Zamawiającego. Poszczególne elementy mogą być rozmieszczone w najwyżej 3 szafach 4U ( dostarczone przez Wykonawcę i istniejąca już w infrastrukturze Zamawiającego). c) Konfiguracji zgodnie z wytycznymi Zamawiającego (zostaną przekazane Wykonawcy na etapie uruchamiania środowiska) i uruchomienie sprzętu i oprogramowania dwuośrodkowego centrum danych konwergentnego środowiska wirtualizacyjnego i przekazanie go do eksploatacji Zamawiającemu. II.. Wymagania dla obszaru przełączania L/L3 Zamawiający wymaga dostarczenia sprzętu i oprogramowania wraz z minimum 3 letnim okresem wsparcia technicznego zgodnie z poniższymi tabelami: Tabela: Sprzęt i oprogramowanie dla obszaru przełączania L/L3. Lp Produkt Ilość Opcje Przełącznik typu SPINE Przełącznik typu LEAF 3 Zestaw serwerów do zarządzania przełącznikami SPINE/LEAF 4 Firewall Tabela: Przełącznik typu SPINE. Lp Produkt Opis Ilość N9K-C9336PQ Nexus 9K ACI Spine, 36p 40G QSFP+ CON-SNT-9336PQ 3 ACI-N9KDK9-. SNTC-8X5XNBD,Nexus 9336 ACI Spine switch with 36p 40G QS Nexus 9500 or 9300 ACI Base Software NX-OS Rel. 7/70
Sprawa nr 57.0.8.ZW-II Lp Produkt Opis Ilość 4 N9K-C9300-ACK Nexus 9K Fixed Accessory Kit 5 N9K-C9300-RMK Nexus 9K Fixed Rack Mount Kit 6 N9K-C9300-FAN3 Nexus 9300 Fan 3, Port-side Intake 7 N9K-PAC-00W 8 CAB-C3-CBN Nexus 9300 00W AC PS, Port-side Intake Cabinet Jumper Power Cord, 50 VAC 0A, C4-C3 Connectors Opis szczegółowych warunków gwarancji i serwisu został zamieszczony w rozdziale: Warunki serwisu i gwarancji. Tabela: Przełącznik typu LEAF. Lp Produkt Opis Ilość N9K-C9380YC-FX Nexus 9300 with 48p 0/5G SFP+, 6p 00G QSFP, MACsec, UP CON-SNT-N93YCFX SNTC-8X5XNBD Nexus 9300 with 48p 3 ACI-N9KDK9-.A Nexus 9500 or 9300 ACI Base Software NX-OS Rel.A 4 N3K-C3064-ACC-KIT Nexus 3K/9K Fixed Accessory Kit 5 NXA-FAN-30CFM-B 6 NXA-PAC-500W-PI 7 N93-LIC-BUN-P Nexus K/3K/9K Single Fan, port side intake airflow Nexus NEBs AC 500W PSU - Port Side Intake N9300 LAN and ACI Software License Bundle PAK 8 ACI-N9K-48X ACI SW license for a 48p /0G Nexus 9K 9 N93-LANK9 0 CAB-C3-CBN LAN Enterprise License for Nexus 9300 Platform Cabinet Jumper Power Cord, 50 VAC 0A, C4-C3 Connectors Opis szczegółowych warunków gwarancji i serwisu został zamieszczony w rozdziale: Warunki serwisu i gwarancji. Tabela: Zestaw serwerów do zarządzania przełącznikami SPINE/LEAF Lp Produkt Opis Ilość APIC-CLUSTER-M CON-SSSNT-APIC3 M 3 APIC-SERVER-M 4 APIC-MRAIDG 5 APIC-USBFLSHB- 6GB APIC Cluster - Medium Configurations (Up to 000 Edge Ports) SOLN SUPP 8X5XNBD APIC Cluster - Medium Configurations (Up APIC Appliance - Medium Configuration (Upto 000 Edge Ports) Avila Cisco G SAS Modular Raid Controller (Raid 0/) UCS Servers 6GB Flash USB Drive 6 APIC-TPM-00 Trusted Platform Module 8 4 4 8/70
Sprawa nr 57.0.8.ZW-II Lp Produkt Opis Ilość APIC-SD40GBKS4 40 GB.5 inch Enterprise Value 6G SATA 7 -EV SSD.90 GHz E5-609 v3/85w 6C/5MB 8 APIC-CPU-E5609D Cache/DDR4 600MHz APIC-HD600G0K 9 600GB G SAS 0K RPM SFF HDD G 0 APIC-MR-X3RV- A 3GB DDR4-400-MHz RDIMM/PC4-900/dual rank/x4/.v RXX-RAID0 Enable RAID 0 Setting APIC-PSU-770W 770W power supply for USC C-Series 3 CAB-C3-CBN Cabinet Jumper Power Cord, 50 VAC 0A, C4-C3 Connectors 4 APIC-DK9-3.0 APIC Base Software Release 3.0 5 APIC-SERVER-M 6 APIC-MRAIDG 7 APIC-USBFLSHB- 6GB APIC Appliance - Medium Configuration (Upto 000 Edge Ports) Avila Cisco G SAS Modular Raid Controller (Raid 0/) UCS Servers 6GB Flash USB Drive 8 APIC-TPM-00 Trusted Platform Module 9 APIC-SD40GBKS4 40 GB.5 inch Enterprise Value 6G SATA -EV SSD.90 GHz E5-609 v3/85w 6C/5MB 0 APIC-CPU-E5609D Cache/DDR4 600MHz APIC-HD600G0K G 600GB G SAS 0K RPM SFF HDD APIC-MR-X3RV- A 3GB DDR4-400-MHz RDIMM/PC4-900/dual rank/x4/.v 3 RXX-RAID0 Enable RAID 0 Setting 4 APIC-PSU-770W 770W power supply for USC C-Series 5 CAB-C3-CBN Cabinet Jumper Power Cord, 50 VAC 0A, C4-C3 Connectors 6 APIC-DK9-3.0 APIC Base Software Release 3.0 7 APIC-SERVER-M 8 APIC-MRAIDG 9 APIC-USBFLSHB- 6GB APIC Appliance - Medium Configuration (Upto 000 Edge Ports) Avila Cisco G SAS Modular Raid Controller (Raid 0/) UCS Servers 6GB Flash USB Drive 30 APIC-TPM-00 Trusted Platform Module 3 APIC-SD40GBKS4 40 GB.5 inch Enterprise Value 6G SATA -EV SSD.90 GHz E5-609 v3/85w 6C/5MB 3 APIC-CPU-E5609D Cache/DDR4 600MHz 33 APIC-HD600G0K G 600GB G SAS 0K RPM SFF HDD 34 APIC-MR-X3RV- A 3GB DDR4-400-MHz RDIMM/PC4-900/dual rank/x4/.v 9/70
Sprawa nr 57.0.8.ZW-II Lp Produkt Opis Ilość 35 RXX-RAID0 Enable RAID 0 Setting 36 APIC-PSU-770W 770W power supply for USC C-Series 37 CAB-C3-CBN Cabinet Jumper Power Cord, 50 VAC 0A, C4-C3 Connectors 38 APIC-DK9-3.0 APIC Base Software Release 3.0 39 APIC-PCIE-CSC-0 Cisco VIC 5 Dual Port 0Gb SFP+ CNA 40 APIC-PCIE-CSC-0 Cisco VIC 5 Dual Port 0Gb SFP+ CNA 4 APIC-PCIE-CSC-0 Cisco VIC 5 Dual Port 0Gb SFP+ CNA Opis szczegółowych warunków gwarancji i serwisu został zamieszczony w rozdziale: Warunki serwisu i gwarancji. Tabela: Firewall. Lp Produkt Opis Ilość FPR40-BUN Cisco Firepower 40 Master Bundle FPR40-NGFW-K9 3 CON-SSSNT-FPR 40N 4 CAB-ACE 5 SF-FK-TD6..-K9 6 FPRK-SSD00 Cisco Firepower 40 NGFW Appliance, U, x NetMod Bay SOLN SUPP 8X5XNBD Cisco Firepower 40 NGFW Appliance, U, AC Power Cord (Europe), C3, CEE 7,.5M Cisco Firepower Threat Defense software v6.. for FPR00 Firepower 000 Series SSD for FPR-30/40 7 FPRK-SLIDE-RAILS Firepower 000 Slide Rail Kit 8 FPRK-FAN Firepower 000 Series Fan Tray 9 FPRK-SSD-BBLKD Firepower 000 Series SSD Slot Carrier 0 FPRK-PWR-AC-400 FPRK-NM-8X0G CON-SSSNT-FPRG NM8* 3 L-FPR40T-T= 4 L-FPR40T-T-3Y Firepower 000 Series 400W AC Power Supply Cisco Firepower 8 port SFP+ Network Module SOLN SUPP 8X5XNBD Cisco Firepower 8 port SFP+ Network Modu Cisco FPR40 Threat Defense Threat Protection License Cisco FPR40 Threat Defense Threat Protection 3Y Subs Opis szczegółowych warunków gwarancji i serwisu został zamieszczony w rozdziale: Warunki serwisu i gwarancji. 0/70
Sprawa nr 57.0.8.ZW-II Dopuszcza się rozwiązanie równoważne, pod warunkiem spełnienia następujących minimalnych wymagań: Wymagania ogólne dla sprzętu i oprogramowania obszaru przełączania L/L3 Zamawiający wymaga aby obszar przełączania L/L3 umożliwiał programowe definiowanie sieci zgodnie z wymaganiami aplikacji i systemów uruchamianych mocy obliczeniowej. Obszar ten musi być utworzony w oparciu o urządzenia fizyczne (przełączniki w topologii grubego drzewa) do którego podłączone mają być fizyczne urządzenia wchodzące w skład obszaru mocy obliczeniowej (serwery, serwery blade z/poprzez urządzenia zarządzania nimi). Topologia grubego drzewa musi być rozumiana jako dwuwarstwowy układ przełączników sieciowych (warstwa SPINE i warstwa LEAF), gdzie każdy przełącznik podłączony jest do każdego przełącznika SPINE, a inne urządzenia podłączone są do przełączników LEAF. Przełączniki typu SPINE i LEAF nie są połączone między sobą. Taka topologia ma zapewniać, że komunikacja pomiędzy urządzeniami podłączonymi do przełączników LEAF będzie się obywać maksymalnie przez 3 urządzenia (LEAF-SPINE-LEAF). Powyższa architektura nazywana fabryką musi być zarządzana przez dedykowaną infrastrukturą sprzętowo-programową (zbudowana z pełną niezawodnością), która będzie w stanie zaprogramować sieć w infrastrukturze mocy obliczeniowej i przełączania L/L3 na potrzeby i zgodnie z wymaganiami konkretnej aplikacji. Fabryka musi mieć możliwość budowania logicznych sieci dla konkretnych aplikacji z uwzględnieniem ich logicznej sparacji. Fabryka (sprzętowa architektura) musi posiadać wbudowany sprzętowy mechanizm telemetrii pozwalający na równoczesne śledzenie ilości ruchu, strat, opóźnień oraz parametrów jitter dla co najmniej 300 przepływów definiowanych jako ruch pomiędzy dwoma punktami styku. Opisane funkcjonalności muszą być dostępne poprzez GUI jak i interfejs aplikacyjny oparty o RestAPI. Zarządzanie konfiguracją fabryki musi być realizowane w modelu polisy-based. Dla każdej aplikacji dla której konfigurowana jest sieć w fabryce musi być możliwość zdefiniowania oddzielnych polityk. Wymagane jest aby domyślna polityka komunikacji w całej fabryce była typu denny all (niedozwolony ruch pomiędzy punktami końcowymi). Powyższe oznacza, że jakiekolwiek urządzenia podłączone do fabryki nie mogą się komunikować ze sobą bez wprowadzenia odpowiedniej polityki przez kontroler fabryki. Nowe urządzenia podłączone do fabryki (elementy fabryki) muszą być automatycznie rozpoznawane, konfigurowane (po zaakceptowaniu ich w kontrolerze) i aktualizowane co do wersji oprogramowania/firmware. Fabryka musi realizować na punktach styku podane niżej funkcjonalności warstwy L/L3: Trunking IEEE 80.Q VLAN; a) Sprzętowe przełączanie pakietów w warstwie L3 w modelu anycast na wszystkich węzłach leaf jednocześnie; b) Routing w oparciu o trasy statyczne, oraz protokoły dynamicznego routingu OSPF i BGP; c) Wsparcie dla minimum 4000 grup multicastowych. d) Fabryka musi obsługiwać co najmniej 0 niezależnych wirtualnych fabryk dostarczających funkcjonalność logicznej separacji fabryki, również pod kątem zarządzania (z separacją zasobów i użytkowników oraz osobnymi prawami dostępu). Wymagania dodatkowe w zakresie funkcji w warstwie L/L3: Wymaga się aby fabryka dostarczała podane niżej funkcjonalności (część z nich ma znaczenie na portach brzegowych fabryki na styku z urządzeniami do niej podłączonymi, który oparty jest o klasyczną technologie Ethernet/IP.. Rozwiązanie musi spełniać następujące wymagania dla warstwy L, L3 (na brzegu fabryki): a) Trunking IEEE 80.Q VLAN; /70
Sprawa nr 57.0.8.ZW-II b) Wsparcie dla 4096 sieci VLAN; c) IEEE 80.w lub kompatybilny; d) Spanning Tree PortFast lub odpowiadający; e) Internet Group Management Protocol (IGMP) Versions, 3; f) Funkcjonalności polegające na terminowaniu pojedynczej wiązki EtherChannel na niezależnych przełącznikach; g) Link Aggregation Control Protocol (LACP): IEEE 80.3ad; h) Ramki Jumbo dla wszystkich portów (minimum 96 bajtów); i) Ramki Pause (IEEE 80.3x); j) Sprzętowe przełączanie pakietów w warstwie L3 w modelu anycast na wszystkich węzłach typu leaf ; k) Routing w oparciu o trasy statyczne; l) Urządzenie musi umożliwiać rozbudowę o funkcjonalności warstwy L3 OSPF, VRF, BGP, dla protokołów IPv4 oraz IPv6; m) Obsługa łącznie minimum 64000 prefixów oraz wpisów hosta w tablicy routingu; n) Wsparcie dla minimum 0000 tras multicastowych; o) Wsparcie dla minimum 000 wpisów VRF; p) Wsparcie dla minimum 00 wirtualnych przełączników (wirtualnych fabryk) dostarczających funkcjonalność logicznej separacji fabryki, również pod kątem zarządzania; q) Wybór do 6-tu jednoczesnych ścieżek o równej metryce (ECMP); r) Minimum 000 wejściowych oraz 000 wyjściowych wpisów dla ACL - access control list; s) Policy Based Routing (na bazie np. ACL).. Rozwiązanie musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci(qos): a) Layer IEEE 80.p (CoS); b) Klasyfikacja QoS w oparciu o listy (ACL / Access Control List) w warstwach, 3, 4; c) Kolejkowanie na wyjściu w oparciu o CoS; d) Bezwzględne (strict-priority) kolejkowanie na wyjściu; e) Kolejkowanie WRR (Weighted Round-Robin) na wyjściu lub mechanizm równoważny 3. Rozwiązanie musi wspierać następujące mechanizmy związane z zapewnieniem bezpieczeństwa w sieci: a) Wejściowe ACL (standardowe oraz rozszerzone); b) Standardowe oraz rozszerzone ACL dla warstwy w oparciu o: adresy MAC, typ protokołu; c) Standardowe oraz rozszerzone ACL dla warstw 3 oraz 4 w oparciu o: IPv4 i v6, Internet Control Message Protocol (ICMP), TCP, User Datagram Protocol (UDP); d) ACL oparte o VLAN-y (VACL); e) ACL oparte o porty (PACL); 4. Wymagania dotyczące zarządzania i zabezpieczenia: a) Port zarządzający 00/000 Mbps; b) Port konsoli CLI; c) Zarządzanie In-band; d) SSHv; e) Authentication, authorization, and accounting (AAA); f) RADIUS; g) Syslog; h) SNMP v, v, v3; i) Role-Based Access Control RBAC; j) Network Time Protocol (NTP); k) Diagnostyka procesu BOOT; /70
Sprawa nr 57.0.8.ZW-II l) Wsparcie dla Puppet.0 Przełącznik typu SPINE:. Urządzenie rdzeniowe warstwy spine o maksymalnej wysokości RU musi umożliwiać obsadzenie: a) minimum 36 portów 40GE definiowanych za pomocą wkładek SFP/SFP+ lub równoważnych. Urządzenie warstwy spine musi spełniać następujące parametry wydajnościowe: a) opóźnienie przełączania pakietów nie większe niż µs (dla komunikacji port-to-port 40G); b) prędkość przełączania wirespeed dla każdego portu 40GE przełącznika; c) urządzenie musi sprzętowo realizować funkcje fabryki w roli węzła spine, ; 3. Obudowa urządzenia musi być przeznaczona do montażu w szafie rackowej 9, 4. Zarządzanie urządzeniem musi odbywać z poziomu kontrolera. 5. Zarządzanie zewnętrznymi, wyniesionymi modułami musi odbywać się wyłącznie z jednostki centralnej. Dołączenie modułów nie może być zrealizowane z wykorzystaniem mechanizmów L (Spanning Tree). Dołączenie musi stanowić rozszerzenie fabryki w domenie warstwy L. 6. Oferowane urządzenia muszą być wyposażone w co najmniej zasilacze zmiennoprądowe pracujące w konfiguracji redundantnej. Przełącznik typu LEAF:. Urządzenie brzegowe warstwy leaf /ToR o maksymalnej wysokości RU musi umożliwiać obsadzenie: a) minimum 48 portów /0/5GE definiowanych za pomocą wkładek SFP/SFP+ lub równoważnych b) minimum 6-ciu portów 40/00GE (uplink do urządzeń typu spine fabryki) definiowanych za pomocą wkładek QSFP lub równoważnych, w tym wkładek umożliwiających transmisje 40/00Gbps na pojedynczej parze okablowania wielomodowego. Urządzenie warstwy leaf musi spełniać następujące parametry wydajnościowe: a) opóźnienie przełączania pakietów nie większe niż µs (dla komunikacji port-to-port 0G lub port-to-port 40G); b) prędkość przełączania wirespeed dla każdego portu 0/40GE przełącznika c) urządzenie musi sprzętowo realizować funkcje fabryki w roli węzła leaf, w tym VXLAN routing/bridging oraz IP routing/bridging 3. Obudowa urządzenia musi być przeznaczona do montażu w szafie rackowej 9, 4. Zarządzanie urządzeniem musi odbywać z poziomu kontrolera 5. Urządzenie musi mieć możliwość dołączania do 8 zewnętrznych, wyniesionych modułów posiadających do wyboru conajmniej: a) 48 x portów 00/000BaseT dołączanych pasmem 0-40G, b) 3 portów /0G dołączanych pasmem 0-80G, c) 48 portów /0G dołączanych pasmem 0-60G. 6. Zarządzanie zewnętrznymi, wyniesionymi modułami musi odbywać się wyłącznie z jednostki centralnej. Dołączenie modułów nie może być zrealizowane z wykorzystaniem mechanizmów L (Spanning Tree). Dołączenie musi stanowić rozszerzenie fabryki w domenie warstwy L. 7. Oferowane urządzenia muszą być wyposażone w co najmniej zasilacze zmiennoprądowe pracujące w konfiguracji redundantnej. Zestaw serwerów do zarządzania przełącznikami SPINE/LEAF: Urządzenie (węzeł klastra) musi posiadać następujące parametry wydajnościowe i funkcjonalne nie gorsze niż: a) minimum procesory o wydajności nie gorszej niż: 305 w kategorii CINT006 Rates_Baseline dla konfiguracji procesorowej (wg spec.org) b) minimum 64GB RAM (w układzie x 3GB) nie gorsze niż DDR4@33MHz 3/70
Sprawa nr 57.0.8.ZW-II c) pamięć typu flash USB minimum 6GB i moduł typu TPM (Trusted Platform Module) d) pamięć dyskowa typu SSD o pojemności minimum 40GB o wielkości,5 e) dodatkowa pamięć dyskowa w postaci dwóch napędów dyskowych o pojemności minimum 00GB każdy pracujących na kontrolerze RAID (RAID 0/) typu G. f) dedykowana karta sieciowa (nie gorsza niż PCI-E 6x Gen-) z nie mniej niż interfejsami typu Small Form-Factor Pluggable (SFP+) o przepustowości nie mniejszej niż 0Gbps każdy typu CNA (funkcjonalność 0 Gigabit Ethernet i Fibre Channel over Ethernet (FCoE)), g) urządzenie musi pochodzić od tego samego producenta co węzły typu spine i leaf, h) obudowa serwerowa o wysokości nie większej niż RU, umożliwiająca montaż nie mniej niż 8 napędów dyskowych,5, wyposażona w nie mniej niż zasilacze pracujące w konfiguracji redundantnej. i) Połączenie kontrolerów z urządzeniami typu leaf musi odbywać się za pomocą portów 0GE. Ukompletowanie obszaru przełączania L/L3:. Co najmniej dwa () urządzenia typu spine. Co najmniej dwa () urządzeia typu leaf udostępniających porty 40GE definiowanych za pomocą wkładek optycznych SFP/SFP+ lub równoważnych 3. Odległości między urządzeniami typu leaf i spine w jednym węźle są mniejsze niż 30 m. 4. Urządzenia typu leaf muszą być podłączone w sposób redundantny z urządzeniami typu spine połączeniami 40Gigabit Ethernet co najmniej x40ge dla węzłów typu leaf z portami dostępowymi 0/5GE oraz co najmniej x40ge dla węzłów z portami dostępowymi 40GE dotyczy połączeń do pojedynczego węzła typu spine 5. Dostawca musi zapewnić niezbędną ilość wkładek 40 Gigabit Ethernet do realizacji połączeń leaf do spine. 6. Oferowane wkładki optyczne muszą pochodzić od producenta oferowanych urządzeń i muszą znajdować się na oficjalnej liście kompatybilności z oferowanymi urządzeniami. 7. Co najmniej 3 węzły klastra (urządzenie typu Application Policy Controller). Połączenie kontrolerów z urządzeniami typu leaf musi odbywać się za pomocą portów 0GE. Firewall: Architektura urządzenia. Urządzenie pełniące funkcje bramy VPN i ściany ogniowej (firewall) typu NGFW/NGIPS. Urządzenie wyposażone w moduł sprzętowego wsparcia szyfrowania 3DES i AES oraz licencje na szyfrowanie 3DES/AES. 3. Urządzenie posiada dedykowany dla zarządzania port konsoli. 4. Urządzenie posiada pamięć Flash o pojemności umożliwiającej przechowanie co najmniej obrazów systemu operacyjnego i plików konfiguracyjnych. 5. Urządzenie posiada pamięć DRAM umożliwiającej uruchomienie wszystkich dostępnych dla urządzenia funkcjonalności. 6. Urządzenie zapewnia mechanizmy niezawodnościowe co najmniej możliwość utworzenia klastra active/standby dla dwóch urządzeń. Funkcjonalność oprogramowania. Urządzenie pełni funkcję ściany ogniowej śledzącej stan połączeń z funkcją weryfikacji informacji charakterystycznych dla warstwy aplikacji (NGFW): a) Urządzenie posiada możliwości konfiguracji reguł filtrowania ruchu w oparciu o tożsamość użytkownika (tzw. Identity Firewall), integrując się ściśle z usługą katalogową Microsoft Active Directory. 4/70
Sprawa nr 57.0.8.ZW-II b) Urządzenie posiada możliwość uwierzytelnienia z wykorzystaniem LDAP, NTLM oraz Kerberos. c) Urządzenie nie posiada ograniczenia na ilość jednocześnie pracujących użytkowników w sieci chronionej. d) Urządzenie umożliwia pełnienie funkcję koncentratora VPN umożliwiającego zestawianie połączeń VPN, zarówno site-to-site (IPSec), jak i zdalnego dostępu (IPSec/SSL). e) Urządzenie obsługuje protokół IKEv (Internet Key Exchange w wersji ) dla połączeń VPN opartych o protokół IPSec. f) Urządzenie ma możliwość pracy jako transparentna ściana ogniowa warstwy drugiej modelu ISO OSI. g) Urządzenie obsługuje protokół NTP. h) Urządzenie współpracuje z serwerami CA. i) Urządzenie obsługuje funkcjonalność Network Address Translation (NAT oraz PAT) zarówno dla ruchu wchodzącego, jak i wychodzącego. Urządzenie wspiera translację adresów (NAT) dla ruchu multicastowego. j) Urządzenie posiada mechanizmy inspekcji aplikacyjnej i kontroli następujących usług: Hypertext Transfer Protocol (HTTP), File Transfer Protocol (FTP), Extended Simple Mail Transfer Protocol (ESMTP), Domain Name System (DNS), Simple Network Management Protocol v //3 (SNMP), Internet Control Message Protocol (ICMP), SQL*Net, inspekcji protokołów dla ruchu voice/video H.33 (włącznie z H.39), SIP, MGCP, RTSP k) Urządzenie zapewnia wsparcie stosu protokołów IPv6 l) Urządzenie zapewnia funkcjonalności automatycznego wykrywania i klasyfikacji aplikacji (tzw. Application Visibility and Control) m) Urządzenie obsługuje mechanizmy QoS co najmniej klasyfikacja (co najmniej w oparciu o interfejs, źródłowe i docelowe adresy IP, porty TCP/UDP i aplikacje) ruchu i ograniczanie (rate-limiting). n) Urządzenie umożliwia współpracę z serwerami autoryzacji w zakresie przesyłania list kontroli dostępu z serwera do urządzenia z granulacją per użytkownik (np. MS AD). o) Urządzenie obsługuje routing statyczny i dynamiczny (min. dla protokołów RIP, OSPF i BGP). p) Urządzenie umożliwia zbieranie informacji o czasie (timestamp) i ilości trafień pakietów w listy kontroli dostępu (ACL). q) Urządzenie umożliwia konfigurację reguł NAT i ACL w oparciu o obiekty i grupy obiektów. Do grupy obiektów może należeć host, podsieć lub zakres adresów, protokół lub numer portu. r) Urządzenie umożliwia pominięcie stanu sesji TCP w scenariuszach wdrożeniowych z asymetrycznym przepływem ruchu. s) System posiada możliwość kontekstowego definiowania reguł z wykorzystaniem informacji pozyskiwanych o hostach na bieżąco poprzez pasywne skanowanie. System tworzy konteksty z wykorzystaniem poniższych parametrów: wiedza o użytkownikach uwierzytelenienie wiedza o urządzeniach pasywne skanowanie ruchu wiedza o urządzeniach mobilnych wiedza o aplikacjach wykorzystywanych po stronie klienta wiedza o podatnościach vi. wiedza o bieżących zagrożeniach baza danych URL 5/70
Sprawa nr 57.0.8.ZW-II t) System posiada otwarte API dla współpracy z systemami zewnętrznymi, takimi jak SIEM. u) System automatycznego wykrywania i klasyfikacji aplikacji (AVC): posiada możliwość klasyfikacji ruchu i wykrywania 3000 aplikacji sieciowych pozwala na tworzenie profili użytkowników korzystających ze wskazanych aplikacji z dokładnością do systemu operacyjnego, z którego korzysta użytkownik oraz wykorzystywanych usług pozwala na wykorzystanie informacji geolokacyjnych dotyczących użytkownika lub aplikacji umożliwia współpracę z otwartym systemem opisu aplikacji pozwalającym administratorowi na skonfigurowanie opisu dowolnej aplikacji i wykorzystanie go do automatycznego wykrywania tejże aplikacji przez system AVC oraz na wykorzystanie profilu tej aplikacji w regułach reagowania na zagrożenia oraz w raportach. Funkcjonalności NGIPS: a) zapewnia skuteczność wykrywania zagrożeń i ataków na poziomie 95%, udokumentowaną przez niezależnie testy b) posiada możliwość pracy w trybie in-line (wszystkie pakiety, które mają być poddane inspekcji muszą przechodzić przez system) c) posiada możliwość pracy zarówno w trybie pasywnym (IDS) jak i aktywnym (z możliwością blokowania ruchu) d) posiada możliwość wykrywania i eliminowania szerokiej gamy zagrożeń (np.: złośliwe oprogramowanie, skanowanie sieci, ataki na usługę VoIP, próby przepełnienia bufora, ataki na aplikacje PP, zagrożenia dnia zerowego, itp.) e) posiada możliwość wykrywania modyfikacji znanych ataków, jak i tych nowo powstałych, które nie zostały jeszcze dogłębnie opisane f) zapewnia następujące sposoby wykrywania zagrożeń: sygnatury ataków opartych na exploitach, reguły oparte na zagrożeniach, mechanizm wykrywania anomalii w protokołach mechanizm wykrywania anomalii w ogólnym zachowaniu ruchu sieciowego g) posiada możliwość inspekcji nie tylko warstwy sieciowej i informacji zawartych w nagłówkach pakietów, ale również szerokiego zakresu protokołów na wszystkich warstwach modelu sieciowego, włącznie z możliwością sprawdzania zawartości pakietu h) posiada mechanizm minimalizujący liczbę fałszywych alarmów, jak i niewykrytych ataków (ang. false positives i false negatives) i) posiada możliwość detekcji ataków/zagrożeń złożonych z wielu elementów i korelacji wielu, pozornie niepowiązanych zdarzeń j) posiada wiele możliwości reakcji na zdarzenia, takich jak monitorowanie, blokowanie ruchu zawierającego zagrożenia, zastępowanie zawartość pakietów oraz zapisywanie pakietów k) posiada możliwość detekcji ataków i zagrożeń opartych na protokole IPv6 l) posiada możliwość pasywnego zbierania informacji o urządzeniach sieciowych oraz ich aktywności (systemy operacyjne, serwisy, otwarte porty, aplikacje oraz zagrożenia) w celu wykorzystania tych informacji do analizy i korelacji ze zdarzeniami bezpieczeństwa, eliminowania fałszywych alarmów oraz tworzenia polityki zgodności m) posiada możliwość pasywnego gromadzenia informacji o przepływach ruchu sieciowego ze wszystkich monitorowanych hostów włączając w to czas początkowy i końcowy, porty, usługi oraz ilość przesłanych danych 6/70
Sprawa nr 57.0.8.ZW-II n) zapewnia możliwość pasywnej detekcji predefiniowanych serwisów takich jak FTP, HTTP, POP3, Telnet, itp. o) posiada możliwość automatycznej inspekcji i ochrony dla ruchu wysyłanego na niestandardowych portach używanych do komunikacji p) zapewnia możliwość obrony przed atakami skonstruowanymi tak, aby uniknąć wykrycia przez IPS - w tym celu stosuje odpowiedni mechanizm defragmentacji i składania strumienia danych w zależności od charakterystyki hosta docelowego q) zapewnia mechanizm bezpiecznej aktualizacji sygnatur - zestawy sygnatur/reguł pobierane są z serwera w sposób uniemożliwiający ich modyfikację przez osoby postronne r) zapewnia możliwość definiowania wyjątków dla sygnatur z określeniem adresów IP źródła, przeznaczenia lub obu jednocześnie s) jest zarządzany poprzez system centralnego zarzadzania za pomocą szyfrowanego połączenia t) zapewnia obsługę reguł Snort u) zapewnia możliwość wykorzystania informacji o sklasyfikowanych aplikacjach do tworzenia reguł IPS v) zapewnia mechanizmy automatyzacji w zakresie wskazania hostów skompromitowanych (tzw. Indication of Compromise) w) zapewnia mechanizmy automatyzacji w zakresie dostrojenia polityk bezpieczeństwa 3. System filtrowania ruchu w oparciu o URL: a) pozwala na kategoryzację stron w co najmniej 70 kategoriach b) zapewnia bazę URL o wielkości 50 mln URL 4. System ochrony przed malware: a) zapewnia sprawdzenie reputacji plików w systemie globalnym b) zapewnia sprawdzenie plików w sandbox (realizowanym lokalnie lub w chmurze) c) zapewnia narzędzia analizy historycznej dla plików przesłanych w przeszłości, a rozpoznanych później jako oprogramowanie złośliwe (analiza retrospektywna) d) zapewnia wykrywanie ataków typu Zero-Day. Zarządzanie i konfiguracja. Urządzenie posiada możliwość eksportu informacji przez syslog.. Urządzenie wspiera eksport zdarzeń opartych o przepływy za pomocą protokołu NetFlow lub analogicznego. 3. Urządzenie posiada możliwość komunikacji z serwerami uwierzytelnienia i autoryzacji za pośrednictwem protokołów RADIUS i TACACS+ oraz obsługuje mechanizmy AAA (Authentication, Authorization, Accounting). 4. Urządzenie jest konfigurowalne przez CLI oraz interfejs graficzny. 5. Dostęp do urządzenia jest możliwy przez SSH. 6. Urządzenie obsługuje protokół SNMP v //3. 7. Możliwa jest edycja pliku konfiguracyjnego urządzenia w trybie off-line. Tzn. istnieje możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC. Po zapisaniu konfiguracji w pamięci nieulotnej jest możliwe uruchomienie urządzenia z nową konfiguracją. 8. Urządzenie umożliwia zrzucenie obecnego stanu programu (tzw. coredump) dla potrzeb diagnostycznych. 9. Urządzenie posiada wsparcie dla mechanizmu TCP Ping, który pozwala na wysyłanie wiadomości TCP dla rozwiązywania problemów związanych z łącznością w sieciach IP. 0. Urządzenie umożliwia kontrolę dostępu administracyjnego za pomocą protokołu TACACS+.. Posiada narzędzia umożliwiające śledzenie ścieżki pakietu przez urządzenie 7/70
Sprawa nr 57.0.8.ZW-II. Umożliwia zarządzanie przez konsolę FirePOWER Management Center alternatywnie dopuszczalne jest zaoferowanie centralnej konsoli zarządzania zapewniającej: a) zarządzanie funkcjonalnościami NAT, routing, kontrolą dostępu, VPN, firewall, HA b) monitorowanie stanu urządzenia c) zarządzanie zdarzeniami d) informacje ogólne i szczegółowe o: wykrytych hostach Aplikacjach zagrożeniach i atakach wskazaniach kompromitacji (tzw. Indication of Compromise) na podstawie: zdarzeń z IPS malare backdoors exploit kits ataków na aplikacje webowe połączeń do serwerów Command n Control wskazań eskalacji uprawnień zdarzeń sieciowych połączeń do znanych adresów IP Command n Control zdarzeń związanych z malware wykrytego malware wykrytej infekcji dropperów umożliwiającej pobieranie danych z posiadanej konsoli i zapewniającej wspólny interfejs GUI. Wydajność i wyposażenie. Wydajność na poziomie co najmniej: a) 8000 Mbps (NGFW) b) 8000 Mbps (NGFW z NGIPS) c) obsługa co najmniej 3.000.000 jednoczesnych połączeń zestawianych z prędkością co najmniej 40.000 na sekundę. Wyposażone w co najmniej 0 interfejsów GE 0/00/000 na złączu RJ-45. 3. Wyposażone w co najmniej interfejsów SFP+ obsługujących moduły SFP/SFP+ o przepływnościach GE i 0GE ze stykiem definiowanym przez wkładki SFP/SFP+ lub równoważne. 4. Dedykowany interfejs GE 0/00/000 do zarządzania. 5. Dysk SSD o pojemności minimum 00GB Obudowa i zasilanie. Obudowa typu rack U z możliwością instalacji w szafie rack 9. Obudowa wykonana z metalu 3. zasilacze 30V AC Funkcjonalności oprogramowania. Obsługa funkcjonalności NGFW.. Subskrypcje NGIPS na 3 lata. 3. Możliwość rozbudowy o funkcjonalności filtrowania URL i ochrony przed malware. 8/70
Sprawa nr 57.0.8.ZW-II II.3. Wymagania dla obszaru data-storage Zamawiający wymaga dostarczenia sprzętu i oprogramowania wraz z minimum 3 letnim okresem wsparcia technicznego zgodnie z poniższymi tabelami: Lp Produkt Ilość Opcja Przełączniki sieci SAN Macierz dyskowa Tabela: Przełączniki sieci SAN. Lp Symbol Opis Ilość DS-C948S-PK9 CON-SNT-C48S MDS 948S 6G FC switch, w/ active ports SNTC-8X5XNBD MDS 948S 6G FC switch 3 DS-948S-KIT-CSCO MDS 948S Accessory Kit for Cisco 5 CAB-9K0A-EU 6 M9S5K9-NPE-8.. 7 M900ENTK9 8 CON-ECMU-9ENT* Power Cord, 50VAC 0A CEE 7/7 Plug, EU MDS 900 Supervisor/Fabric-5, NX-OS NPE Software Rel. 8.() Enterprise package license for MDS900 series switch SWSS UPGRADES Enterprise package license for MDS900 serie Opis szczegółowych warunków gwarancji i serwisu został zamieszczony w rozdziale: Warunki serwisu i gwarancji. Tabela: Macierz dyskowa. Lp Symbol Opis Ilość D3D3AF5 D3-DS0-800 UNITY 400 U DPE 5X.5 DRIVE FLD RCK UNITY.8TB 0K SAS 80X.5 DRIVE 3 D3-VS07-6000 UNITY 6TB NLSAS 5X3.5 DRIVE 5 4 C3-PWR-7 5 D3F 6 D3MSHD4LHD 7 D3-S0-800 8 D33F 9 D3380F C3 PWRCORDS W/ CEE7/7 PLUGS 50V 0A UNITY U 5X.5 DRIVE DAE FLD RCK UNITY XM 4L MINI SAS HD CABLES UNITY.8TB 0K SAS 5X.5 DRIVE UNITY 3U 5X3.5 DRIVE DAE FLD RCK UNITY 3U 80X.5 DRIVE DAE FLD RCK 0 D3SL6F UNITY X4 PORT 6G FC IO D3SP-S4X800-0K UNITY SYSPACK 4X.8TB 0K SAS 5X.5 D3-SFXL-300 UNITY 3.TB FLASH 5X.5 DRIVE 4 59 3 5 9/70
Sprawa nr 57.0.8.ZW-II Lp Symbol Opis Ilość 3 D3DEMCCK5KIT 4 D3FC-SFX-400 5 D3SFP6F 6 M-PSM-HWE-004 7 M-PARTRT-PR3-UN TY UNITY 5 DRIVE DPE FLD INSTALL KIT UNITY 400GB FAST CACHE 5X.5 DRIVE UNITY 4X6GB SFP FC CONNECTION PROSUPPORT W/MISSION CRITICAL-HARDWARE PARTS RETENTION UPLIFT UNTY 8 458-00-849 UNITY 400 BASE SOFTWARE=IC 9 M-PSM-SWE-004 PROSUPPORT W/MISSION CRITICAL-SOFTWARE 0 458-000-066 VPLEX MIGRATION PRODUCT 456-07-848 VPLEX 80 DAY MIGRATION LIC=IC 458-00-375 3 458-00-440 4 456-07-803 5 458-00-46 6 456-09-803 RP BASIC FOR UNITY 400/400F/450F =IC RECOVERPOINT FOR VM STARTER PACKS RP4VM ESSENTIAL SW FOR UNITY=IB APPSYNC BASIC FOR UNITY 400 =IC APPSYNC BASIC FOR UNITY 400 =IC Opis szczegółowych warunków gwarancji i serwisu został zamieszczony w rozdziale: Warunki serwisu i gwarancji. Dopuszcza się rozwiązania równoważne, pod warunkiem spełnienia następujących minimalnych wymagań: Przełączniki sieci SAN:. Urządzenie musi być przełącznikiem sieci Storage Area Network (SAN) obsługującym technologię Fibre Channel (FC).. Przełącznik musi posiadać minimum 48 portów do instalacji modułów SFP/SFP+ FC pracujących z prędkościami, 4, 8, 6 Gbps z automatycznym ustawianiem prędkości. 3. Urządzenie musi być wyposażone w nie mniej niż aktywnych portów Fibre Channel w standardzie SFP pracujących w trybie /4/8/6 Gbps z pełną przepustowością dla prędkości 6G FC. 4. Przepustowość 6Gbps musi być dostępna dla każdego portu równolegle (wszystkie port pracujące jednocześnie z prędkością 6Gbps). 5. Przełącznik musi mieć możliwość aktywacji kolejnych portów (do 48 portów /4/8,6G FC) poprzez aktywację licencji (bez konieczności rozbudowy sprzętowej). 6. Przełącznik musi być wyposażony w 6 modułów SFP FC 6Gbps SW (4 więcej niż liczba aktywnych portów SFP/SFP+). 7. Każdy port musi być wyposażony w minimum 64 buffer credits. 8. Przynajmniej jedna czwarta (5%) portów musi mieć możliwość wyposażenia w 50 buffer credits. 9. Urządzenie musi wspierać podział sieci SAN na wirtualne sieci SAN (wirtualne fabryki). 7 0/70
Sprawa nr 57.0.8.ZW-II 0. Urządzenie musi wspierać możliwość stworzenia, co najmniej 3 wirtualnych sieci (fabryk) SAN.. Urządzenie musi umożliwiać routing między VSAN (Inter VSAN Routing).. Urządzenie musi umożliwiać agregację nie mniej niż 6 portów fizycznych w jedno połączenie logiczne ( trunk, channel ). Jeśli opisany mechanizm wymaga licencji musi być ona dostarczona razem z urządzeniem. 3. Przełącznik musi umożliwiać budowę połączeń logicznych z linków fizycznych. Połączenie logiczne musi się składać z lub więcej (minimum 6) połączeń fizycznych. Każdy port fizyczny musi mieć możliwość dołączenia go do linku logicznego. Jeśli opisany mechanizm wymaga licencji musi być ona dostarczona razem z urządzeniem. 4. W skład zagregowanego połączenia logicznego ( trunk, channel ) musi być możliwe włączenie dowolnego aktywnego portu przełącznika. 5. Przełącznik musi mieć możliwość dokonania aktualizacji oprogramowania bez przerywania przekazywania pakietów poprzez porty FC upgrade bez przerywania pracy (tzw. nondisruptive software upgrades). 6. Urządzenie musi posiadać możliwość wsparcia dla mechanizmów gwarancji jakości usług (QoS). 7. Urządzenie musi posiadać wsparcie dla następujących mechanizmów: a) Sprzętowo implementowany zoning, b) N-Port ID Virtualization (NPIV), c) Zarządzanie/monitorowanie SNMPv3 ze wsparciem dla AES, d) Dostęp administracyjny SSHv ze wsparciem dla AES, e) Transfer za pomocą SFTP, f) Autoryzacja dostępu administracyjnego do przełącznika za pomocą RADIUS i TACACS+, LDAP, Microsoft Active Directory, g) RBAC dla każdego VSAN z wykorzystaniem RADIUS, LDAP, TACACS+, MS AD, h) Protokół FC-SP (Fibre Channel Security Protocol), i) Mechanizmy ochrony warstwy control plane. 8. Urządzenie musi posiadać możliwość konfiguracji poprzez terminal i linię komend CLI oraz interfejs graficzny GUI. Oprogramowanie do konfiguracji i monitorowania przełącznika, musi być wyposażone w graficzny interfejs użytkownika, o co najmniej następujących funkcjonalnościach: a) Konfiguracja parametrów pracy w wielu urządzeniach jednocześnie w obrębie pojedynczej sieci SAN, b) Wyświetlanie stanu poszczególnych portów i modułów, c) Wizualizacja fizycznych połączeń miedzy urządzeniami z podaniem informacji o łączach (przynajmniej stan, prędkość, typ), d) Wizualizacja statystyk poszczególnych portów i modułów. 9. Przełącznik musi posiadać dedykowane porty do zarządzania: a) Port Ethernet obsługujący przepustowości 0/00/000-Mbps, b) Port konsoli szeregowej RS-3C. Do obsługi tego portu musi być dostarczony kabel konsolowy zakończony od strony DTE złączem żeński DB-9. 0. Urządzenie musi być wyposażone w następujące narzędzia diagnostyczne a) Rejestrowanie zdarzeń poprzez mechanizm syslog, b) Możliwość bezzakłóceniowego monitorowania ruchu na portach przez kopiowanie ruchu z określonego portu na wybrany port monitorujący (z dołączonym zewnętrznym analizatorem), c) Narzędzia dla Fibre Channel odpowiadające funkcjonalnie poleceniom sieciowym ping i traceroute.. Przełącznik musi posiadać interfejs programistyczny w formie skryptów CLI i REST API.. Przełącznik musi być dostarczony z zasilaczami dostosowanymi do pracy przy napięciu 30VAC 50Hz. Każdy zasilacz musi posiadać moc niezbędną do /70