VI/KA/292-408-4330/2014 Poznań, 14 listopad 2014 r. DO WSZYSTKICH WYKONAWCÓW Uniwersytet Ekonomiczny w Poznaniu informuje, Ŝe w postępowaniu o udzielenie zamówienia publicznego nr ZP/090/14 na: Sieć komputerowa w budynku CEUE Uniwersytetu Ekonomicznego w Poznaniu prowadzonym w trybie przetargu nieograniczonego wpłynęły pytania, na które Zamawiający niniejszym odpowiada. Pytanie nr 1 Na wstępie chcemy zauwaŝyć, iŝ w zapisach Specyfikacji Istotnych Warunków Zamówienia znajdują się zapisy naruszające art. 7 ust. 1, art. 29 ust. 2 i 3 ustawy Prawo zamówień publicznych. Specyfikacja w opublikowanym przez Państwa kształcie dopuszcza wyłącznie rozwiązania firmy Cisco uniemoŝliwiając start w postępowaniu oferentom posiadającym w swojej ofercie urządzenia innych producentów. W związku z powyŝszym prosimy o informację czy dopuścicie Państwo rozwiązania posiadające parametry opisane w poniŝszych tabelach. W części Przełącznik Centrum Danych sw-dc-48x, Moduł wyniesiony Centrum Danych sw-ext-24tp (Przełącznik sieciowy L2/L3 dedykowany do obsługi Centrum Danych 48x10G SFP+, 6x40G QSFP+ wraz z modułem wyniesionym (24x100/1000-T+2x 10G)) proponujemy przełącznik Alcatel-Lucent OS-6900-X40 z modułami OS-QNI-U3, OS-XNI-U12E, OS6900-BP-F-EU, OS6900-SW-AR, OS6900-SW-DC o parametrach wyspecyfikowanych w załączniku. Proponowany przełącznik róŝni się następującymi cechami:
Wymagane: Przełącznik musi być wyposaŝony w co najmniej 48 portów 1/10Gbps definiowanych za pomocą wkładek SFP+ i 6 portów 40G definiowanych za pomocą wkładek QSFP. Dla portów 10G wymagana jest obsługa wkładek interfejsowych typu 1G (w tym 1000Base-T) 10GE-SR, LR i ER, twinax oraz AOC (Active Optical Cable). Dla portów 40G wymagana jest obsługa wkładek interfejsowych QSFP 40G- SR4, 40G-LR4, CR4 twinax, AOC oraz praca zamiennie w trybie 40Gbps jak i MUX (4x10G). przełącznik musi mieć moŝliwość (oferowana przez producenta w dacie złoŝenia oferty) dołączania do 24 zewnętrznych, wyniesionych modułów posiadających do wyboru: 24 x portów 100/1000BaseT dołączanych pasmem 10-20G, 48 x portów 100/1000BaseT dołączanych pasmem 10-40G, 32 portów 1/10G dołączanych pasmem 10-80G, 48 portów 1/10G dołączanych pasmem 10-160G. Moduły 1/10G muszą być definiowane za pomocą wymiennych wkładek/modułów. Moduły te muszą obsługiwać standardy 1G, 10GE oraz FcoE na portach 10G Zarządzanie modułami musi odbywać się wyłącznie z jednostki centralnej. Dołączenie modułów nie moŝe być zrealizowane z wykorzystaniem mechanizmów L2 (Spanning Tree). Dołączenie musi stanowić rozszerzenie w domenie warstwy L1; Przełącznik i moduły wyniesione muszą wspierać integrację z kartami sieciowymi 10G w zakresie wirtualizacji portó w oparciu o technologie Adapter-FEX lub odpowiadającą funkcjonalnie. Przełącznik musi wspierać integrację z vmware 5.x, KVM oraz Hyper-v 3.0 w oparciu o technologie VM-FEX/VN-TAG lub odpowiadająca funkcjonalnie (np VEPA) Proponowane: Przełącznik wyposaŝony w 52 porty 1/10Gbpos definiowanych za pomocą wkładek SFP+ i 3 porty 40G definiowanych za pomocą wkładek QSFP. Dla portów 10G istnieje obsługa wkładek interfejsowych typu 1G (w tym 1000Base-T) 10GE-SR, LR i ER, twinax oraz AOC (Active Optical Cabel). Dla portów 40G istnieje obsługa wkładek interfejsowych QSFP 40G-SR4, 40G- LR4, CR4 twinax, AOC Oferowany przełącznik posiada moŝliwość utworzenia klastra (PODa) w którym wszystkie jednostki pracują jak jedno urządzenie mimo tego Ŝe znajdują się w fizycznie odległych lokalizacjach. W efekcie wszystkie moŝliwości przełącznika Centrum Danych są dostępne w obu serwerowniach a klaster tworzony jest bez uŝycia protokołów Spanning Tree. Brak obsługi Adapter-FEX (technologia Cisco). Integracja z Vmware 5.x, brak wsparcia dla innych supervisorów
Urządzenie musi umoŝliwiać uruchomienie na wszystkich portach 10G/40GE przełącznika implementacji FCoE zg z ANSI T11 (FC-BB- 5), w szczególności FCoE Initialization Protocol (FIP) oraz FCoE Slow Drain; JeŜeli funkcjonalność wymaga dostarczenia licencji z urządzeniem na tym etapie projektu nie jest wymagane jej dostarczenie Urządzenie musi wspierać fizycznie na co najmniej 8 portach obsługę protokołów FC w standardzie optyki 1/2/4/8Gbps. Rapid Per-VLAN Spanning Tree Plus (PVRST+) (IEEE 802.1w); Multiple Spanning Tree Protocol (MSTP) (IEEE 802.1s): 64 instancje; Grupowanie EtherChannel (do 16 portów per wiązka EtherChannel); Minimum 32000 prefixów hosta w tablicy routingu Wsparcie dla 8000 tras multicastowych Wsparcie dla 4000 VRF Obsługa protokołów Mutlicastowych: Protocol Independent Multicast Version 2 (PIMv2) sparse mode, Source Specific Multicast (SSM), Multicast Source Discovery Protocol (MSDP), and Internet Group Management Protocol V2, 3 (IGMP v2, v3) VRF-aware unicast; BGP-, OSPF-, RIP-, oraz VRF-aware multicast Mechanizm Unicast Reverse Path Forwarding (urfp) lub odpowiadający BGP Add-path, Fast Failover Layer 2 IEEE 802.1p (CoS); 8 sprzętowych kolejek per port; Dedykowana konfiguracja QoS dla kaŝdego portu; Przypisanie CoS na kaŝdym porcie; Klasyfikacja QoS w oparciu o listy (ACL (Access control list) w warstwach 2, 3, 4; Virtual output queuing dla kaŝdego portu; Kolejkowanie na wyjściu w oparciu o CoS; Bezwzględne (strict-priority) kolejkowanie na wyjściu; Kolejkowanie WRR (Weighted Round- Robin) na wyjściu Urządzenie umoŝliwia uruchomienie na 12-stu portach 1/10G przełącznika implementacji FCoE zg. z ANSI T11 (FC-BB-5), w szczególności FCoE Initalization Protocol (FIP). Funkcjonalność zostanie dostarczona na tym etapie projektu. Urządzenie wspiera fizycznie na 12-stu portach obsługę protokołów FC w standardzie optyki 1/2/4/8Gbps Obsługa RSTP 802.1w, brak obsługi PVRST+ (protokół Cisco) Obsługa 16 instancji MSTP Brak obsługi Spanning Tree Bridge Assurance Obsługa LACP/EtherChannel do 8 portów 8000 prefixów hosta w tablicy routingu Maksymalna ilość VRF - 128 Maksymalna ilość tras multicast - 2000 Brak obsługi MSDP Brak VRF-aware unicast; BGP-, OSPF-, RIP-, oraz VRF-aware multicast Brak obsługi urfp Brak obsługi BGP Add-path, Fast Failover Layer 2 IEEE 802.1p (CoS); 8 sprzętowych kolejek per port; Dedykowana konfiguracja QoS dla kaŝdego portu; Przypisanie CoS na kaŝdym porcie; Klasyfikacja QoS w oparciu o listy ACL w warstwach 2, 3, 4; Brak Virtual output queuing dla kaŝdego portu Kolejkowanie na wyjściu w oparciu o CoS; Bezwzględne (strict-priority) kolejkowanie na wyjściu; Kolejkowanie WRR (Weighted Round-Robin) na wyjściu
Port zarządzający 10/100/1000 Mbps; Port konsoli CLI; Zarządzanie In-band switch; SSHv2; Telnet; Authentication, authorization, and accounting (AAA); RADIUS; TACACS+; Syslog; SNMP v1, v2, v3; Wsparcie dla mechanizmów Enhanced SNMP MIB ; Remote monitoring (RMON); Advanced Encryption Standard (AES) dla ruchu zarządzającego; Microsoft Challenge Handshake Authentication Protocol (MS-CHAP); Role-Based Access Control RBAC; Kopiowanie ruchu za pośrednictwem mechanizmu Switched Port Analyzer (SPAN/ERSPAN) dla fizycznych portów Ethernet, wiązek PortChannel, sieci VLAN Kopiowanie ruchu za pośrednictwem mechanizmu Switched Port Analyzer (SPAN/ERSPAN) dla pakietów przekraczających okreslone opóźnienie w przełączaniu Kopiowanie ruchu za pośrednictwem mechanizmu Switched Port Analyzer (SPAN/ERSPAN) dla pakietów odrzucanych przez switch (SPAN on drop) Liczniki pakietów wchodzących/wychodzących per kaŝdy port; Network Time Protocol (NTP); Diagnostyka procesu BOOT; Wsparcie dla OpenFlow moduł wyniesiony posiadający 24 porty 100/1000BaseT dołączany do przełącznika dwoma portami 10GBase-LR Port zarządzający 10/100/1000 Mbps; Port konsoli CLI; Zarządzanie In-band switch; SSHv2; Telnet; Authentication, authorization, and accounting (AAA); RADIUS; TACACS+; Syslog; SNMP v1, v2, v3; Wsparcie dla mechanizmów Enhanced SNMP MIB; Remote monitoring (RMON); Advanced Encryption Standard (AES) dla ruchu zarządzającego; Brak Microsoft Challenge Handshake Authentication Protocol (MSCHAP) Kopiowanie ruchu za pośrednictwem mechanizmu Switched Port Analyzer (SPAN/ERSPAN) dla fizycznych portów Ethernet, wiązek PortChannel, sieci VLAN Kopiowanie ruchu za pośrednictwem mechanizmu Switched Port Analyzer (SPAN/ERSPAN) dla pakietów odrzucanych przez switch (SPAN on drop) Liczniki pakietów wchodzących/wychodzących per kaŝdy port; Network Time Protocol (NTP); Diagnostyka procesu BOOT; Wsparcie dla OpenFlow Przełącznik OS-6900-T20 z modułami OS-XNI- U4, OS6900-BP-F-EU, OS6900-SW-AR, OS6900-SW-DC, wyposaŝony w 24 porty 1/10Gbit W części Przełącznik agregujący sw-dist-40x (Przełącznik sieciowy L2/L3 dedykowany do obsługi warstwy agregacyjnej i do obsługi rdzenia sieci 40x10G) proponujemy przełącznik Alcatel-Lucent OS-6900- X40 z modułami OS6900-BP-F-EU, S6900-SW-AR o parametrach wyspecyfikowanych w załączniku. Proponowany przełącznik róŝni się następującymi cechami: Wymagane: Urządzenie musi zapewniać moŝliwość tworzenia statystyk ruchu w oparciu o NetFlow/J-Flow lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie moŝe być mniejsza niŝ 128.000 Proponowane: Urządzenie zapewnia moŝliwość tworzenia statystyk ruchu w oparciu o sflow dla tablicy o wielkości 50 000 pakietów na sekundę
Urządzenie musi posiadać min. 4GB pamięci DRAM Tablica routingu musi posiadać minimum: a. 256 000 wpisów dla IPv4 b. 128 000 wpisów dla IPv6 c. 30 000 wpisów dla ruchu multicast Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem bezpieczeństwa sieci: a. Min. 5 poziomów dostępu administracyjnego poprzez konsolę b. Autoryzacja uŝytkowników w oparciu o IEEE 802.1x z moŝliwością dynamicznego przypisania uŝytkownika do określonej sieci VLAN i z moŝliwością dynamicznego przypisania listy ACL c. Obsługa funkcji Guest VLAN umoŝliwiająca uzyskanie gościnnego dostępu do sieci dla uŝytkowników bez suplikanta 802.1X d. MoŜliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC e. MoŜliwość uwierzytelniania uŝytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X f. Wymagane jest wsparcie dla moŝliwości uwierzytelniania wielu uŝytkowników na jednym porcie g. Urządzenie musi umoŝliwiać wymuszenie ponownego uwierzytelniania portu dostępowego oraz zdalnego restartu portu (zgodnie z RFC 5176) h. MoŜliwość uzyskania dostępu do urządzenia przez SNMPv3 i SSHv2 a. Obsługa list kontroli dostępu (ACL) dla IPv4 i IPv6; mechanizmów Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Gurad b. MoŜliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny oraz 802.1x) do serwerów RADIUS lub TACACS+ c. Funkcjonalność prywatnego VLAN-u, czyli moŝliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem moŝliwości komunikacji z portem nadrzędnym Przełącznik musi umoŝliwiać lokalną i zdalną obserwację ruchu na określonym porcie (mechanizmy SPAN i RSPAN) wymagana jest obsługa min. 8 sesji SPAN/RSPAN na przełączniku Urządzenie wyposaŝone jest w 2 GB pamięci DRAM wystarczające do realizacji pełnej funkcjonalności Tablica routingu posiada: a. 128 000 wpisów dla IPv4 b. 128 000 wpisów dla IPv6 c. 2 000 wpisów dla ruchu multicast Urządzenie wspiera następujące mechanizmy związane z zapewnieniem bezpieczeństwa sieci: a. 5 poziomów dostępu administracyjnego poprzez konsolę b. Autoryzacja uŝytkowników w oparciu o IEEE 802.1x z dynamicznym przypisaniem uŝytkownika do określonej sieci VLAN i z moŝliwością dynamicznego przypisania listy ACL c. Obsługa funkcji Guest VLAN umoŝliwiająca uzyskanie gościnnego dostępu do sieci dla uŝytkowników bez suplikanta 802.1X d. MoŜliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC e. MoŜliwość uwierzytelniania uŝytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X f. Wsparcie moŝliwości uwierzytelniania wielu uŝytkowników na jednym porcie g. MoŜliwość uzyskania dostępu do urządzenia przez SNMPv3 i SSHv2 h. Obsługa list kontroli dostępu (ACL) dla IPv4 i IPv6; mechanizmów Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard i. MoŜliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny oraz 802.1x) do serwerów RADIUS lub TACACS+ j. Funkcjonalność prywatnego VLAN-u, czyli moŝliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem moŝliwości komunikacji z portem nadrzędnym Urządzenie obsługuje dwie sesje SPAN/ jedną sesję RSPAN
Funkcjonalność Layer 2 traceroute umoŝliwiająca śledzenie fizycznej trasy pakietu o zadanym źródłowym i docelowym adresie MAC Urządzenie musi umoŝliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie Urządzenie musi posiadać funkcjonalność umoŝliwiającą monitorowanie parametrów usług dla ruchu IP (IP SLA), w tym równieŝ dla usług wideo (urządzenie musi posiadać wbudowany symulator ruchu wideo). Wymagana jest moŝliwość monitorowania parametrów takich jak opóźnienie, jitter, utrata pakietów Urządzenie posiada funkcjonalność traceroute dla Layer 3 umoŝliwiające śledzenie trasy pakietu o zadanym źródłowym i docelowym adresie IP Urządzenie umoŝliwia tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie za pomocą załączonego systemu zarządzania Urządzenie posiada funkcjonalność umoŝliwiającą monitorowanie parametrów usług dla ruchu IP (IP SLA). MoŜliwe jest monitorowanie parametrów takich jak opóźnienie, jitter. W części Przełącznik agregujący sw-dist-24x (Przełącznik sieciowy L2/L3 dedykowany do obsługi warstwy agregacyjnej i do obsługi rdzenia sieci 24x10G) proponujemy przełącznik Alcatel-Lucent OS6900- X20 z modułami OS-XNI-U4, OS6900-BP-F-EU, OS6900-SW-AR o parametrach wyspecyfikowanych w załączniku. Proponowany przełącznik róŝni się następującymi cechami: Wymagane: Urządzenie musi zapewniać moŝliwość tworzenia statystyk ruchu w oparciu o NetFlow/J-Flow lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie moŝe być mniejsza niŝ 128.000 Urządzenie musi posiadać min. 4GB pamięci DRAM Tablica routingu musi posiadać minimum: a. 256 000 wpisów dla IPv4 b. 128 000 wpisów dla IPv6 c. 30 000 wpisów dla ruchu multicast Proponowane: Urządzenie zapewnia moŝliwość tworzenia statystyk ruchu w oparciu o sflow dla tablicy o wielkości 50 000 pakietów na sekundę Urządzenie wyposaŝone jest w 2 GB pamięci DRAM wystarczające do realizacji pełnej funkcjonalności Tablica routingu posiada: d. 128 000 wpisów dla IPv4 e. 128 000 wpisów dla IPv6 f. 2 000 wpisów dla ruchu multicast
Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem bezpieczeństwa sieci: a. Min. 5 poziomów dostępu administracyjnego poprzez konsolę b. Autoryzacja uŝytkowników w oparciu o IEEE 802.1x z moŝliwością dynamicznego przypisania uŝytkownika do określonej sieci VLAN i z moŝliwością dynamicznego przypisania listy ACL c. Obsługa funkcji Guest VLAN umoŝliwiająca uzyskanie gościnnego dostępu do sieci dla uŝytkowników bez suplikanta 802.1X d. MoŜliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC e. MoŜliwość uwierzytelniania uŝytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X f. Wymagane jest wsparcie dla moŝliwości uwierzytelniania wielu uŝytkowników na jednym porcie g. Urządzenie musi umoŝliwiać wymuszenie ponownego uwierzytelniania portu dostępowego oraz zdalnego restartu portu (zgodnie z RFC 5176) h. MoŜliwość uzyskania dostępu do urządzenia przez SNMPv3 i SSHv2 a. Obsługa list kontroli dostępu (ACL) dla IPv4 i IPv6; mechanizmów Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Gurad b. MoŜliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny oraz 802.1x) do serwerów RADIUS lub TACACS+ c. Funkcjonalność prywatnego VLAN-u, czyli moŝliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem moŝliwości komunikacji z portem nadrzędnym Przełącznik musi umoŝliwiać lokalną i zdalną obserwację ruchu na określonym porcie (mechanizmy SPAN i RSPAN) wymagana jest obsługa min. 8 sesji SPAN/RSPAN na przełączniku Funkcjonalność Layer 2 traceroute umoŝliwiająca śledzenie fizycznej trasy pakietu o zadanym źródłowym i docelowym adresie MAC Urządzenie musi umoŝliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie Urządzenie wspiera następujące mechanizmy związane z zapewnieniem bezpieczeństwa sieci: a. 5 poziomów dostępu administracyjnego poprzez konsolę b. Autoryzacja uŝytkowników w oparciu o IEEE 802.1x z dynamicznym przypisaniem uŝytkownika do określonej sieci VLAN i z moŝliwością dynamicznego przypisania listy ACL c. Obsługa funkcji Guest VLAN umoŝliwiająca uzyskanie gościnnego dostępu do sieci dla uŝytkowników bez suplikanta 802.1X d. MoŜliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC e. MoŜliwość uwierzytelniania uŝytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X f. Wsparcie moŝliwości uwierzytelniania wielu uŝytkowników na jednym porcie g. MoŜliwość uzyskania dostępu do urządzenia przez SNMPv3 i SSHv2 h. Obsługa list kontroli dostępu (ACL) dla IPv4 i IPv6; mechanizmów Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard i. MoŜliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny oraz 802.1x) do serwerów RADIUS lub TACACS+ j. Funkcjonalność prywatnego VLAN-u, czyli moŝliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem moŝliwości komunikacji z portem nadrzędnym Urządzenie obsługuje dwie sesje SPAN/ jedną sesję RSPAN Urządzenie posiada funkcjonalność traceroute dla Layer 3 umoŝliwiające śledzenie trasy pakietu o zadanym źródłowym i docelowym adresie IP Urządzenie umoŝliwia tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie za pomocą załączonego systemu zarządzania
Urządzenie musi posiadać funkcjonalność umoŝliwiającą monitorowanie parametrów usług dla ruchu IP (IP SLA), w tym równieŝ dla usług wideo (urządzenie musi posiadać wbudowany symulator ruchu wideo). Wymagana jest moŝliwość monitorowania parametrów takich jak opóźnienie, jitter, utrata pakietów Urządzenie posiada funkcjonalność umoŝliwiającą monitorowanie parametrów usług dla ruchu IP (IP SLA). MoŜliwe jest monitorowanie parametrów takich jak opóźnienie, jitter. W części Przełącznik dostępowy sw-acc-24tp (Przełącznik sieciowy L2/L3 dedykowany do obsługi warstwy dostępowej sieci 24x 10/100/1000-T+1x1000Base-LX) proponujemy przełącznik Alcatel-Lucent OS6860-24 z modułami OS6860-BP o parametrach wyspecyfikowanych w załączniku. Proponowany przełącznik róŝni się następującymi cechami: Urządzenie musi posiadać moŝliwość łączenia w stos logiczny przełączników (do 9 przełączników w jednym stosie) umoŝliwiając komunikację z wydajnością min. 64 Gbps pomiędzy nimi. Stos przełączników musi mieć moŝliwość zarządzania jednym adresem IP; Urządzenie musi posiadać moŝliwość łączenia w stos zasilający przełączników (do 4 przełączników w jednym stosie). Urządzenia połączone w stos zasilający powinny w przypadku awarii jednego z zasilaczy umoŝliwiać dostarczenie zasilania z innego urządzenia ze stosu; Urządzenie musi mieć moŝliwość instalacji modułów posiadających 2 porty 10GbE (SFP+), 2 porty 10GB-T (RJ45) lub 4 porty 1GbE (SFP lub GBIC); Urządzenie musi posiadać sprzętowe wsparcie dla protokołu 802.1AE; Urządzenie posiada moŝliwość łączenia w stos logiczny przełączników (do 8 przełączników w jednym stosie) umoŝliwiając komunikację z wydajnością 80 Gbps pomiędzy nimi. Stos przełączników posiada moŝliwość zarządzania za pomocą jednego adresu IP. KaŜdy z przełączników posiada redundantny zasilacz zapewniający pełną funkcjonalność przełącznika w razie awarii podstawowego zasilacza Urządzenie posiada na stałe wbudowane 4 porty 1/10 Gbps SFP+ (inne niŝ porty stakujące). Urządzenie sprzętowo przygotowane do wsparcia protokołu 802.1AE. Obsługa protokołu 802.1AE przewidziana jest w kolejnych wersjach oprogramowania układowego.
Mechanizmy związane z zapewnieniem jakości usług w sieci: a) klasyfikacja ruchu do klas róŝnej jakości obsługi (QoS), b) implementacja co najmniej ośmiu kolejek sprzętowych na kaŝdym porcie wyjściowym dla obsługi ruchu o róŝnej klasie obsługi. Implementacja algorytmu Round Robin lub podobnego dla obsługi tych kolejek, c) obsługa jednej z powyŝej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (StrictPriority), d) moŝliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP, e) moŝliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kb/s (policing, ratelimiting), f) zarządzanie kolejkami za pomocą tail drop lub podobny; Mechanizmy związane z zapewnieniem jakości usług w sieci: a) klasyfikacja ruchu do klas róŝnej jakości obsługi (QoS), b) implementacja co najmniej ośmiu kolejek sprzętowych na kaŝdym porcie wyjściowym dla obsługi ruchu o róŝnej klasie obsługi. Implementacja algorytmu Round Robin lub podobnego dla obsługi tych kolejek, c) obsługa jednej z powyŝej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority), d) moŝliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP, e) moŝliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 64 Kb/s (policing, rate limiting), f) zarządzanie kolejkami za pomocą tail drop lub podobny; W części przełącznik zabezpieczający sw-sec-dc, oprogramowanie security mngr (Przełącznik zabezpieczający L2/L3 dedykowany do obsługi Centrum Danych 16x 10/100/1000-T, 2x 10G, 2x 1G wraz z systemem (oprogramowania) zarządzania bezpieczeństwem Centrum Danych, serwer aplikacji wraz system operacyjnym) proponujemy urządzenie UTM FortiGate 800C oraz FortiAnalyzer-VM o parametrach wyspecyfikowanych w załączniku. Proponowany element zabezpieczający róŝni się następującymi cechami: Wymagane Przełącznik zabezpieczający L2/L3 dedykowany do obsługi Centrum Danych 16x 10/100/1000-T, 2x 10G, 2x 1G wraz z systemem (oprogramowania) zarządzania bezpieczeństwem Centrum Danych, serwer aplikacji wraz system operacyjnym Proponowane Przełącznik zabezpieczający L2/L3 dedykowany do obsługi Centrum Danych 12x 10/100/1000-T, 8porty COMBO, 2 porty 10-GbE SFP+ wraz z systemem (oprogramowania) zarządzania bezpieczeństwem Centrum Danych, serwer aplikacji wraz system operacyjnym
Urządzenie o konstrukcji modularnej zapewniające: o Wydajność teoretyczną przy pracy jako firewall nie mniejszą niŝ 10Gb/s (IPv4 i IPv6) o Wydajność minimum 5Gb/s przy pracy jako firewall dla ruchu multi-protocol (odnosi się do profilu ruchu składającego się głównie z protokołów i aplikacji, takich jak HTTP, SMTP, FTP, IMAPv4, BitTorrent i DNS) o Obsługę co najmniej 2.000.000 jednoczesnych połączeń o MoŜliwość zestawiania co najmniej 125.000 połączeń na sekundę o Wydajność nie mniejszą niŝ 3.000.000 pakietów na sekundę dla pakietów 64-bajtowych o Wydajność modułu IPS co najmniej 3Gbps Urządzenie musi zapewniać co najmniej 2Gb/s dla szyfrowania VPN algorytmami 3DES/AES Urządzenie musi pozwalać na obsługę jednocześnie 10.000 tuneli IPSec/ SSL VPN. Urządzenie musi posiadać co najmniej 16 interfejsów Gigabit Ethernet 10/100/1000Base-T oraz co najmniej 2 interfejsy 10 Gigabit Ethernet o styku fizycznym definiowanym przez wkładki SFP+, obsadzone dwoma wkładkami 10GBASE-SR oraz co najmniej 2 interfejsy GE o styku fizycznym definiowanym przez wkładki SFP obsadzone wkładkami 1000Base-LX/LH. Praca urządzania w temperaturze 0 C 40 C przy wilgotności względnej 10% 90%. Urządzenie musi mieć moŝliwość (oferowana przez producenta w dacie złoŝenia oferty) rozbudowy o wirtualizację konfiguracji poprzez wirtualne firewalle/konteksty do co najmniej 50. Urządzenie musi umoŝliwiać grupowanie VLANów w trybie pracy jako transparent firewall (Firewall warstwy 2) minimum 4 grup po 4 VLANy (funkcjonalność moŝliwa do uruchomienia dla IPv4 i IPv6). Urządzenie musi posiadać co najmniej 12GB pamięci RAM i 2 GB pamięci Flash Urządzenie musi posiadać co najmniej 2 porty USB z moŝliwością obsługi systemu plików na kluczach USB. Urządzenie o konstrukcji niemodularnej zapewniające: -Wydajność teoretyczną przy pracy jako firewall 20Gb/s (IPv4 i IPv6) -Obsługę 7.000.000 jednoczesnych połączeń -MoŜliwość zestawiania 190.000 połączeń na sekundę -Wydajność 30 Mpps -Wydajność modułu IPS 6 Gbps Urządzenie zapewnia 8Gb/s dla IPSec VPN Urządzenie pozwala na obsługę: -50.000 tuneli IPSec VPN client-to-gateway -2.000 tuneli IPSec VPN Gateway-to-gateway -10.000 uŝytkowników SSL-VPN Urządzenie posiada 20 interfejsów Gigabit Ethernet 10/100/1000Base-T oraz dwa interfejsy 10 Gigabit Ethernet o styku fizycznym definiowanym przez wkładki SFP+, obsadzone dwoma wkładkami 10GBASE-SR oraz dwa interfejsy GE o styku fizycznym definiowanym przez wkładki SFP obsadzone wkładkami 1000Base-LX/LH Urządzenie moŝe pracować w temperaturze 0 C 40 C przy wilgotności względnej 20% 90%. Urządzenie posiada moŝliwość wirtualizacji konfiguracji poprzez 10 wirtualnych firewalli/kontekstów Urządzenie umoŝliwia prace w trybie router/transparent Urządzenie posiada ilość pamięci RAM i flash wystarczającą do realizacji pełnej oferowanej funkcjonalności Urządzenie posiada 1 port USB z obsługą systemu plików na kluczu USB
Urządzenie musi zapewniać obsługę ruchu multicast w tym o Protokoły routingu multicast (PIM) o IGMP o definiowanie list kontroli dostępu dla ruchu multicast Urządzenie musi zapewniać obsługę ruchu z adresacją IPv6 o pracę w sieci z adresacją IPv6 o definiowanie list kontroli dostępu dla ruchu IPv6 o inspekcję ruchu IPv6 z wykorzystaniem nagłówków rozszerzeń Hop-by-Hop Options, Routing (Type 0), Fragment, Destination Options, Authentication, Encapsulating Security Payload o zarządzanie urządzeniem poprzez SSHv2, HTTPS w sieci IPv6 Urządzenie zapewnia obsługę ruchu multicast w tym o Protokoły routingu multicast (PIM) o IGMP Urządzenie zapewnia obsługę ruchu z adresacją IPv6 -pracę w sieci z adresacjąipv6 -definiowanie list kontroli dostępu dla ruchu IPv6
Urządzenie musi posiadać funkcjonalność sondy IPS (Intrusion Prevention System) przy pomocy dedykowanego modułu funkcjonalnego IPS. Moduł musi posiadać co najmniej następujące funkcje: o UmoŜliwiać pracę w trybie IPS (In-line); o UmoŜliwiać identyfikację, klasyfikację i powstrzymywanie ruchu zagraŝającego bezpieczeństwu organizacji w tym: robaki sieciowe adware spyware wirusy sieciowe trojany naduŝycia aplikacyjne o wykrywać ataki w oparciu o sygnatury oraz o wykrywanie anomalii o posiadać wbudowane co najmniej 5000 sygnatur ataków o umoŝliwiać definicje reakcji z dokładnością do jednej sygnatury o umoŝliwiać grupowanie sygnatur ataków o umoŝliwiać tworzenie zdarzeń opisanych przez naruszenie kilku niezaleŝnych sygnatur ataku o umoŝliwiać określenie znaczenia ataku na podstawie kilku zmiennych w szczególności: znaczenia atakowanego systemu, znaczenia naruszonej sygnatury oraz prawdopodobieństwa ataku. o umoŝliwiać indywidualne (przez administratora) definiowanie poziomu zagroŝenia dla sygnatury o zapewniać mechanizm notyfikacji administratora o zaistniałym ataku (co najmniej przez e-mail) o umoŝliwiać zarządzanie przez linię komend, graficznie przez przeglądarkę internetową oraz powinna być dostępna dedykowana aplikacja; o umoŝliwiać zdefiniowanie co najmniej 4 wirtualnych sensorów Urządzenie musi być zarządzane przy wykorzystaniu dedykowanej aplikacji umoŝliwiającej płynną (z uŝyciem kreatorów) konfigurację poszczególnych funkcji urządzenia oraz z wykorzystaniem interfejsu komend (CLI). Urządzanie posiada funkcjonalność sondy IPS. Sonda IPS posiada następujące funkcje: -umoŝliwia pracę w trybie IPS; -umoŝliwia identyfikację, klasyfikację i powstrzymanie ruchu zagraŝającego bezpieczeństwu organizacji w tym: -robaki sieciowe -adware -spyware -wirusy sieciowe -trojany -naduŝycia aplikacyjne -wykrrywa ataki w oparciu o sygnatury oraz wykrywanie anomalii Posiada wbudowane co najmniej 3000 sygnatur atakow -umoŝliwia definicję reakcji -umoŝliwia określenie znaczenia ataku na podstawie kilku zmiennych -zapewnia mechanizm notyfikacji administratora o zaistniałym ataku - umoŝliwia zarządzanie przez linię komend, graficznie przez przeglądarkę internetową Urządzenie ma moŝliwość zarządzania poprzez przeglądarkę (posiadającą m. in. funkcję kreatorów), centralny system zarządzania oraz z wykorzystaniem interfejsu komend (CLI)
Wraz z urządzeniem naleŝy dostarczyć graficzne narzędzie do zarządzania regułami bezpieczeństwa zapory sieciowej oraz sondy IPS, jak równieŝ do zarządzania zdarzeniami, raportowania i analizy incydentów. W szczególności wymagane są funkcjonalności: o w celu szybkiej analizy incydentów i rozwiązywania problemów system musi posiadać narzędzie do zarządzania zdarzeniami zarejestrowanymi przez zaporę sieciową oraz przez sondę IPS o narzędzie musi umoŝliwiać szybkie przeszukiwanie zdarzeń, sortowanie zdarzeń, stosowanie zaawansowanych funkcji filtrowania w celu wyizolowania poszukiwanych zdarzeń o narzędzie musi umoŝliwiać wyświetlanie w czasie rzeczywistym i wydarzeń historycznych o narzędzie zwiększa efektywność pracy administratora poprzez szybką nawigację z danego zdarzenia do źródłowej polityki bezpieczeństwa (linki wiąŝące dane zdarzenie ze zdefiniowanymi regułami zapory sieciowej oraz zdefiniowanymi sygnaturami IPS) o monitorowanie wydajności, powiadamianie w momencie osiągnięcia wcześniej określonych progów o menadŝer raportów umoŝliwia generowanie raportów systemowych (pre definiowanych) w celu statystycznej prezentacji zarejestrowanych zdarzeń o menadŝer raportów umoŝliwia definiowanie przez administratora własnych raportów przy uŝyciu zaawansowanych kryteriów filtrowania prezentacji i łączenia zdarzeń o raporty moŝna tworzyć w postaci PDF lub XLS o serwer systemu zarządzania bezpieczeństwem musi być dostarczony w formie maszyny wirtualnej pracującej pod VMware ESXi/ ESX, wykonawca dostarcza serwer aplikacji wraz systemem operacyjnym jako serwer wirtualny (Zamawiający zapewnia system wirtualizacyjny VMware) Urządzenie posiada wbudowane narzędzie do zarządzania regułami bezpieczeństwa zapory sieciowej oraz sondy IPS. Zarządzanie zdarzeniami, raportowani i analiza incydentów jest realizowana za pomocą urządzenia FortiAnalyzer, które w swoich funkcjach posiada: -narzędzie umoŝliwiające szybkie przeszukiwanie zdarzeń, sortowanie zdarzeń, stosowanie zaawansowanych funkcji filtrowania w celu wyizolowania poszukiwanych zdarzeń -narzędzie musi umoŝliwiać wyświetlanie w czasie rzeczywistym i wydarzeń historycznych -narzędzie zwiększa efektywność pracy administrator poprzez szybką nawigację z danego zdarzenia do źródłowej polityki bezpieczeństwa (linki wiąŝące dane zdarzenie ze zdefiniowanymi regułami zapory sieciowej oraz zdefiniowanymi sygnaturami IPS) -menedŝer raportów umoŝliwia generowanie raportów systemowych (predefiniowanych) w celu statystycznej prezentacji zarejestrowanych zdarzeń -menedŝer raportów umoŝliwia definiowanie przez administratora własnych raportów przy uŝyciu zaawansowanych kryteriów filtrowania prezentacji i łączenia zdarzeń -raporty moŝna tworzyć w postaci PDF, HTML, MS Word, Ttext, XML -system zarządzania i raportowania jest w postaci maszyny wirtualnej kompatybilnej z VMware W części Przełącznik dostępowy sw-cnvg-24tp-poe-lrm (Przełącznik sieciowy L2/L3 dedykowany do obsługi warstwy dostępowej z obsługą AP, 24x 10/100/1000-T PoE+, 1x10GBase-LRM) proponujemy przełącznik Alcatel-Lucent OS6860-P24 z modułami OS6860-BP-PH, OS6860-CBL-40 o parametrach wyspecyfikowanych w załączniku. Proponowany przełącznik róŝni się następującymi cechami:
Wymagane: Przełącznik musi zapewniać stakowanie z zapewnieniem następujących parametrów: a. Przepustowość w ramach stosu min. 160Gb/s b. Min. 9 urządzeń w stosie c. Zarządzanie poprzez jeden adres IP d. MoŜliwość tworzenia połączeń cross-stack EtherChannel (czyli dla portów naleŝących do róŝnych jednostek w stosie) zgodnie z 802.3ad Przełącznik musi posiadać wbudowaną funkcję kontrolera sieci bezprzewodowej WiFi a. Przełącznik musi zapewniać centralne zarządzanie punktami dostępowymi zgodnie z protokołem CAPWAP (RFC 5415), w tym zarządzane politykami bezpieczeństwa i zarządzanie pasmem radiowym (RRM) po zainstalowaniu odpowiedniej licencji b. Przepustowość dla sieci WiFi nie mniejsza niŝ 20Gb/s c. Obsługa minimum 1000 klientów sieci WiFi d. MoŜliwość terminowania tuneli CAPWAP na przełączniku (zapewnienie jednego punktu nakładania polityk QoS/bezpieczeństwa dla sieci LAN/WLAN) Minimum 4GB pamięci DRAM i 2GB pamięci flash MoŜliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (policing, rate limiting). Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zaleŝnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.) Dedykowany port Ethernet do zarządzania outof-band Proponowane: Przełącznik zapewnia stakowanie z zapewnieniem następujących parametrów: a. Przepustowość w ramach stosu 80 GBps b. 8 urządzeń w stosie c. Zarządzanie poprzez jeden adres IP d. MoŜliwość tworzenia połączeń crossstack zgodne z 802.3ad Przełącznik nie posiada wbudowanej funkcji kontrolera sieci bezprzewodowej WiFi. Zaproponowany kontroler pozwala na obsługę wszystkich oferowanych AP z pełna prędkością, równieŝ dla trybu tunel. Przełącznik posiada 2GB pamięci DRAM i 2 GB pamięci flash, wystarczające do realizacji pełnej funkcjonalności przełącznika MoŜliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 64 Kbps Przełącznik posiada programowe wsparcie dla gromadzenia statystyk sflow Przełącznik umoŝliwia zarządzanie poprzez port konsolowy (RS-232 oraz USB) W części Przełącznik dostępowy sw-cnvg-24tp-lrm oraz sw-cnvg-24tp-lr (Przełącznik sieciowy L2/L3 dedykowany do obsługi warstwy dostępowej, 24x 10/100/1000-T, 1x10GBase-LRM (lub 1x10GBase- LR) proponujemy przełącznik Alcatel-Lucent OS6860-24 z modułami OS6860-BP, OS6860-CBL-40 o parametrach wyspecyfikowanych w załączniku. Proponowany przełącznik róŝni się następującymi cechami:
Wymagane: Przełącznik musi zapewniać stakowanie z zapewnieniem następujących parametrów: a. Przepustowość w ramach stosu min. 160Gb/s b. Min. 9 urządzeń w stosie c. Zarządzanie poprzez jeden adres IP d. MoŜliwość tworzenia połączeń cross-stack EtherChannel (czyli dla portów naleŝących do róŝnych jednostek w stosie) zgodnie z 802.3ad Przełącznik musi posiadać wbudowaną funkcję kontrolera sieci bezprzewodowej WiFi a. Przełącznik musi zapewniać centralne zarządzanie punktami dostępowymi zgodnie z protokołem CAPWAP (RFC 5415), w tym zarządzane politykami bezpieczeństwa i zarządzanie pasmem radiowym (RRM) po zainstalowaniu odpowiedniej licencji b. Przepustowość dla sieci WiFi nie mniejsza niŝ 20Gb/s c. Obsługa minimum 1000 klientów sieci WiFi d. MoŜliwość terminowania tuneli CAPWAP na przełączniku (zapewnienie jednego punktu nakładania polityk QoS/bezpieczeństwa dla sieci LAN/WLAN) Minimum 4GB pamięci DRAM i 2GB pamięci flash MoŜliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (policing, rate limiting). Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zaleŝnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.) Dedykowany port Ethernet do zarządzania outof-band Proponowane: Przełącznik zapewnia stakowanie z zapewnieniem następujących parametrów: a. Przepustowość w ramach stosu 80 GB/s b. 8 urządzeń w stosie c. Zarządzanie poprzez jeden adres IP d. MoŜliwość tworzenia połączeń crossstack zgodne z 802.3ad Przełącznik nie posiada wbudowanej funkcji kontrolera sieci bezprzewodowej WiFi Przełącznik posiada 2GB pamięci DRAM i 2 GB pamięci flash, wystarczające do realizacji pełnej funkcjonalności przełącznika MoŜliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 64 Kbps Przełącznik posiada programowe wsparcie dla gromadzenia statystyk sflow Przełącznik umoŝliwia zarządzanie poprzez port konsolowy (RS-232 oraz USB)
W części kontroler sieci WLAN wlanc-100ap-lrm proponujemy kontroler Alcatel-Lucent 4550 o parametrach wyspecyfikowanych w załączniku. Proponowany kontroler róŝni się następującymi cechami: Wymagane: urządzenie umoŝliwiające centralną kontrolę punktów dostępu bezprzewodowego: o zarządzanie politykami bezpieczeństwa o wykrywanie ataków na sieć bezprzewodową o zarządzanie pasmem radiowym o zarządzanie mobilnością o zarządzanie jakością transmisji zgodnie z protokołem CAPWAP (RFC 5415) lub równowaŝnym min. 6 interfejsów 1/10GE (1000BaseX/10GBaseX), wydajność urządzenia z włączonymi usługami co najmniej 60 Gbps uwierzytelnianie (podpis cyfrowy) ramek zarządzania 802.11 (wykrywanie podszywania się punktów dostępowych uŝytkowników pod adresy infrastruktury) 802.11w lub równowaŝny Proponowane: Urządzenie umoŝliwiające centralną kontroler punktów dostępu bezprzewodowego: o zarządzanie politykami bezpieczeństwa o wykrywanie ataków na sieć bezprzewodową o zarządzanie pasmem radiowym o zarządzanie mobilnością o zarządzanie jakością transmisji Protokołem słuŝącym do zarządzania jest protokół PAPI. 4 interfejsy 1/10GE (1000BaseX/10GBaseX) Wydajność urządzenia z włączonymi usługami wynosi 40 Gbps Transmisja pomiędzy kontrolerem a punktem dostępowym moŝe być zabezpieczona IPSec przy uŝyciu certyfikatu ochrona kryptograficzna (DTLS lub równowaŝny) ruchu kontrolnego i ruchu uŝytkowników CAPWAP optymalizacja dystrybucji ruchu multicast w sieci przewodowej (między kontrolerem a punktem dostępowym) Transmisja pomiędzy kontrolerem a punktem dostępowym moŝe być zabezpieczona IPSec przy uŝyciu certyfikatu Optymalizacja dystrybucji ruchu multicast w sieci bezprzewodowej W części kontroler sieci WLAN wlanc-100ap-lrm-ha proponujemy kontroler Alcatel-Lucent 4550 o parametrach wyspecyfikowanych w załączniku. Proponowany kontroler róŝni się następującymi cechami: Wymagane: urządzenie umoŝliwiające centralną kontrolę punktów dostępu bezprzewodowego: o zarządzanie politykami bezpieczeństwa o wykrywanie ataków na sieć bezprzewodową o zarządzanie pasmem radiowym o zarządzanie mobilnością o zarządzanie jakością transmisji zgodnie z protokołem CAPWAP (RFC 5415) lub równowaŝnym min. 6 interfejsów 1/10GE (1000BaseX/10GBaseX), Proponowane: Urządzenie umoŝliwiające centralną kontroler punktów dostępu bezprzewodowego: o zarządzanie politykami bezpieczeństwa o wykrywanie ataków na sieć bezprzewodową o zarządzanie pasmem radiowym o zarządzanie mobilnością o zarządzanie jakością transmisji 4 interfejsy 1/10GE (1000BaseX/10GBaseX)
wydajność urządzenia z włączonymi usługami co najmniej 60 Gbps uwierzytelnianie (podpis cyfrowy) ramek zarządzania 802.11 (wykrywanie podszywania się punktów dostępowych uŝytkowników pod adresy infrastruktury) 802.11w lub równowaŝny ochrona kryptograficzna (DTLS lub równowaŝny) ruchu kontrolnego i ruchu uŝytkowników CAPWAP optymalizacja dystrybucji ruchu multicast w sieci przewodowej (między kontrolerem a punktem dostępowym) Wydajność urządzenia z włączonymi usługami wynosi 40 Gbps Transmisja pomiędzy kontrolerem a punktem dostępowym moŝe być zabezpieczona IPSec przy uŝyciu certyfikatu Transmisja pomiędzy kontrolerem a punktem dostępowym moŝe być zabezpieczona IPSec przy uŝyciu certyfikatu Optymalizacja dystrybucji ruchu multicast w sieci bezprzewodowej W części punkt dostępowy WLAN cap-ac-dir oraz cap-ac-omni proponujemy punkty dostępowe Alcatel-Lucent model 224 i 225 o parametrach wyspecyfikowanych w załączniku. Proponowany punkt dostępowy róŝni się następującymi cechami: Wymagane: Proponowane: o obsługa MIMO min. 4x4:3 Obsługa MIMO 3x3:3 dedykowany moduł radiowy do obsługi Transmisja 3G realizowana za pomocą modułów transmisji 3G działający w licencjonowanym podłączanych za pomocą złącza USB paśmie zgodność z protokołem CAPWAP (RFC 5415), uwierzytelnianie ruchu kontrolnego 802.11 (z moŝliwością wykrywania uŝytkowników podszywających się pod punkty dostępowe) funkcjonalność 802.11w lub równowaŝna obsługa trybów pracy Split-MAC (tunelowanie ruchu klientów do kontrolera i centralne terminowanie do sieci LAN) oraz Local-MAC (lokalne terminowanie ruchu do sieci LAN) moŝliwość pracy po utracie połączenia z kontrolerem, z lokalnym przełączaniem ruchu do sieci LAN i lokalną autoryzacją uŝytkowników (lokalny serwer RADIUS, skrócona baza danych uŝytkowników na poziomie AP) przełączenie nie moŝe powodować zerwania sesji uŝytkowników wbudowany suplikant 802.1x moŝliwość uwierzytelnienia AP do infrastruktury sieciowej zintegrowany moduł analizatora widma częstotliwościowego (dotyczy zakresów 2.4GHz i 5GHz): o dokładność analizy (kwant próbkowania) max. 200 khz Zgodność z protokołem kontrolera (PAPI) System posiada mechanizm detekcji i przeciwdziałania atakom MIDM i Honey-pot Tryby pracy: split-tunnel, tunnel, bridged MoŜliwość pracy po utracie połącznie z kontrolerem, z lokalnym przełączaniem ruchu do sieci LAN Brak wbudowanego suplikanta 803.1x Zintegrowany moduł analizatora widma częstotliwościowego (dotyczy zakresów 2,4GHz i 5GHz): Dokładność analizy (kwant próbkowania) max 350 khz
automatyczne wykrywanie i klasyfikacja źródeł interferencji (bluetooth, DECT, urządzenia mikrofalowe, urządzenia transmisji audio wideo, urządzenia zakłócające itp.) złącza (np. RP-TNC) na anteny zewnętrzne dołączone anteny zewnętrzne dla 60 szt urządzeń AP o antena dookólna dwu zakresowa 2.4 GHz 2 dbi/5 GHz 4 dbi, 4-elementowa (4 złącza RP- TNC) dołączone anteny zewnętrzne dla 10 szt urządzeń AP o antena kierunkowa dwu zakresowa 2.4 GHz 6 dbi/5 GHz 6 dbi, 4-elementowa (4 złącza RP- TNC) automatyczne wykrywanie i klasyfikacja źródeł interferencji Złącza RP-SMA na anteny zewnętrzne Dołączone anteny zewnętrzne dla 60 szt. urządzeń AP -antena dookólna dwu zakresowa 2,4 GHz / 5 GHz, 3-elementowa Dołączone anteny zewnętrzne dla 10 szt. urządzeń AP -antena sektorowa dwu zakresowa 2,4GHz/5GHz, 3 elementowa W części Oprogramowanie network mngr (System (oprogramowanie) zarządzania siecią przewodową i bezprzewodową; serwer aplikacji wraz system operacyjnym) proponujemy oprogramowanie Alcatel-Lucent OV2500 i OV3600 o parametrach wyspecyfikowanych w załączniku. Proponowane oprogramowanie róŝni się następującymi cechami: Wymagane: narzędzia automatycznej identyfikacji i wyszukiwania urządzeń instalowanych w sieci: moŝliwość manualnego dodawania urządzeń oraz automatycznie za pośrednictwem protokołów takich jak: LLDP, ARP, BGP, OSPF wbudowane przykładowe wzorce konfiguracji urządzeń, takie jak: konfiguracja usług bezpieczeństwa, agregacji linków, konfiguracji NTP, SNMP, itp. wbudowane narzędzia do konfiguracji urządzeń w zakresie przynajmniej interfejsów, list kontroli dostępu, wybranych protokołów routingu na routerach wbudowane mechanizmy wspomagające wyszukiwanie, izolację problemów i ich rozwiązywanie moŝliwość zbierania statystyk za pomocą Netflow lub protokołu równowaŝnego (funkcjonalność moŝe być realizowana przez zakup dodatkowej licencji) Proponowane: Narzędzia automatycznej identyfikacji i wyszukiwania urządzeń instalowanych w sieci: moŝliwość manualnego dodawania urządzeń oraz automatycznie MoŜliwość tworzenia wzorców konfiguracji urządzeń Wbudowane narzędzia do konfiguracji urządzeń w zakresie interfejsów, kontroli dostępu Wbudowane mechanizmy wspomagające wyszukiwanie, izolację problemów System posiada moŝliwość rozbudowy o moduł pozwalający na zbierania statystyk sflow. Moduł jest dedykowana aplikacją pozwalająca na zaawansowaną analizę przepływów. Urządzenia dostępowe posiadają moduł kontroli aplikacji, który pozwala na wykrywanie oraz przypisywanie polityk dla ruchu w sieci. System zarządzający pozwala na zbieranie tych statystyk oraz generowanie polityk. system musi zawierać gotowe, przykładowe formularze wdroŝenia dla polityki bezpieczeństwa, polityki QoS dla wielu punktów dostępu radiowego, a takŝe udostępniać moŝliwość tworzenia własnych System umoŝliwia tworzenie własnych szablonów konfiguracji
moŝliwość wykrywania nie autoryzowanych punktów dostępowych i klientów sieci z określeniem ich lokalizacji i moŝliwością ich eliminacji współpraca z analizatorami widma częstotliwościowego tworzenie raportów dotyczących końca Ŝycia oraz sprzedaŝy urządzeń oraz raportów dotyczących luk bezpieczeństwa na urządzeniach sieciowych dostarczona wersja musi posiadać licencje umoŝliwające zbieranie statystyk za pomocą Netflow lub protokołu równowaŝnego z przynajmniej 25 urządzeń (z moŝliwością rozbudowy do 500) narzędzie pozwalające na monitoring wydajności sieci wraz z moŝliwością zbierania informacji o aplikacjach w sieci i parametrach ich działania, pozwalające na analizę, którzy uŝytkownicy generują najwięcej ruchu, z jakich korzystają aplikacji oraz jakie jest ich wykorzystanie, itp. Oprogramowanie zapewnia określenie lokalizacji nie autoryzowanych punktów dostępowych i klientów. Mechanizm eliminacji znajduje się na kontrolerze WLAN Analiza widma realizowana na kontrolerze WLAN Tworzenie raportów dotyczących urządzeń, licencji System posiada moŝliwość rozbudowy o moduł pozwalający na zbierania statystyk sflow. Moduł jest dedykowana aplikacją pozwalająca na zaawansowaną analizę przepływów. Urządzenia dostępowe posiadają moduł kontroli aplikacji, który pozwala na wykrywanie oraz przypisywanie polityk dla ruchu w sieci. System zarządzający pozwala na zbieranie tych statystyk oraz generowanie polityk. Funkcjonalność ta osiągalna będzie łącznie na proponowanych elementach infrastruktury Wszystkie szczegółowe cechy i parametry oferowanych produktów znajdują się w załączonych kartach produktów. Odpowiedź Zamawiający informuje, iŝ dokonuje zmian w opisie przedmiotu zamówienia. Zgodnie z załączonym do niniejszego pisma załącznikami: załącznik nr 4 szczegółowy opis przedmiotu zamówienia, załącznik nr 5 sieć komputerowa dla CEUE. Opis funkcjonalny i specyfikacja techniczna zamówienia, załącznik nr 6 - formularz specyfikacji technicznej oferowanych urządzeń sieci komputerowej i oprogramowania do tych urządzeń, załącznik nr 7 kosztorys ofertowy. Pytanie nr 2 Zgodnie z art. 38 ustawy z dn. 29 stycznia 2004 r. - Prawo zamówień publicznych zwraca się z prośbą o wyjaśnienie treści specyfikacji istotnych warunków zamówienia: firma.. Firma, jako potencjalny uczestnik niniejszego postępowania o udzielenie zamówienia publicznego zwraca uwagę na fakt, iŝ specyfikacja OPZ poszczególnych urządzeń jest skonstruowana w taki sposób, Ŝe pomimo teoretycznego dopuszczenia rozwiązań równowaŝnych jedynym moŝliwym producentem spełniającym jednocześnie wszystkie wymagania jest platforma sprzętowa firmy Cisco, co raŝąco narusza zapis
y ustawy z dn. 29 stycznia 2004 r. - Prawo zamówień publicznych, w szczególności art. 7. Ust. 1.: Zamawiający przygotowuje i przeprowadza postępowanie o udzielenie zamówienia w sposób zapewniający zachowanie uczciwej konkurencji oraz równe traktowanie wykonawców. Przykładowymi dowodami wskazującymi na powyŝszą tezę są: Szczegółowa i wyjątkowa specyfikacja modułów wyniesionych dostępna tylko urządzeń Cisco Funkcjonalność L3 HSRP dostępna tylko dla urządzeń Cisco Zarządzanie/zabezpieczenia - SPAN/ERSPAN dla portów, LAG, VLAN dostępne tylko urządzenia Cisco Ponadto tak ułoŝony zestaw pozostałych funkcjonalności, który jest specyficzny i dostępny tylko dla urządzeń Cisco, nasuwa uzasadnione przypuszczenie, Ŝe Zamawiający umyślnie ogranicza moŝliwość złoŝenia oferty tylko przez dostawcę jednego producenta. Biorąc pod uwagę Państwa ogólne wymagania co do planowanej infrastruktury sieciowej uwaŝamy, Ŝe wymagania te zostaną spełnione przez rozwiązania równowaŝne firmy Brocade, a niektóre Państwa szczegółowe wymagania co do poszczególnych urządzeń są nadmiarowe chociaŝby ilość portów 40G. PoniŜej prezentujemy propozycję urządzeń równowaŝnych spełniających Państwa ogólne wymagania od punktu 1 do 7 Załącznika nr 5 Specyfikacji Technicznej: 1. Przełącznik Centrum Danych sw-dc-48x rozwiązanie równowaŝne Brocade vdx 6740 karta produktowa w załączeniu; modułów wyniesionych w rozwiązaniach Brocade nie ma, gdyŝ są niepotrzebne. 2. Przełącznik agregujący sw-dist-40x rozwiązanie równowaŝne Brocade icx 7750 karta produktowa w załączeniu. 3. Przełącznik agregujący sw-dist-24x rozwiązanie równowaŝne icx 7750 karta produktowa w załączeniu. 4. Przełącznik dostępowy sw-acc-24tp rozwiązanie równowaŝne icx 6610 karta produktowa w załączeniu. 5. Przełącznik dostępowy sw-cnvg-24tp-poe-lrm rozwiązanie równowaŝne Brocade icx 6610. 6. Przełącznik dostępowy sw-cnvg-24tp-lrm oraz sw-cnvg-24tp-lr rozwiązanie równowaŝne Brocade 6610. 7. Router dostępowy rtr-5g - rozwiązanie równowaŝne Brocade NetIron CER 2000 karta produktowa w załączeniu. Tym samym zwracamy się z pytaniem czy Zamawiający dopuści zaoferowanie wyŝej wymienionych urządzeń jako spełniające wymagania treści specyfikacji istotnych warunków zmówienia i opisu przedmiotu zamówienia.