Załącznik nr 14 do Opisu przedmiotu zamówienia Wymagania dla dostaw do CPD 1. Zasady dotyczące wymagań/specyfikacji dla urządzeń teleinformatycznych O ile inaczej nie zaznaczono, wszelkie zapisy parametrów infrastruktury należy odczytywać, jako parametry minimalne, np. zapis: 4 porty Gigabit Ethernet typu SFP oznacza, że Zamawiający dopuszcza urządzenie posiadające cztery i więcej portów Gigabit Ethernet typu SFP (czytaj: co najmniej 4 porty Gigabit Ethernet typu SFP). Użyte w treści rozdziału sformułowania lub równoważne oznaczają, że Zamawiający dopuszcza rozwiązania posiadające cechy i funkcjonalność takie same lub lepsze w stosunku do określonych. 2. Ogólne wymagania techniczne Wszystkie oferowane urządzenia i ich komponenty muszą być: 1) rozwiązaniami standardowymi, dostępnymi na rynku, wzajemnie kompatybilnymi i wspieranymi przez producentów; 2) rozwiązaniami modułowymi i skalowalnymi, zapewniającymi możliwość prostej rozbudowy wydajności i funkcjonalności poprzez dodawanie kolejnych modułów lub urządzeń; 3) zarządzane przez spójny zestaw narzędzi gwarantujących bieżące monitorowanie pracy oraz wydajność rozwiązania; 4) zgodne ze standardem sieci energetycznej dostępnej w Polsce, tj.: 230 V ± 10%, 50 Hz; 5) oznakowane przez producenta w sposób jednoznacznie identyfikujący model, typ i numery seryjne urządzenia oraz jego komponentów podlegających rozbudowie i/lub wymianie; 6) objęte gwarancją i serwisem producenta na okres wskazany w ofercie Wykonawcy; 7) dostarczone wraz z kompletem nośników umożliwiających odtworzenie oprogramowania zainstalowanego w urządzeniu, a także standardową dokumentacją w formie papierowej lub elektronicznej; 8) fabrycznie nowe, wyprodukowane zgodnie z normą jakości ISO 9001:2000 lub równoważną i pochodzić z autoryzowanego kanału sprzedaży na terenie Unii Europejskiej, z gwarancją wydaną przez producenta i świadczoną przez jego autoryzowaną sieć serwisową na terenie Polski. Wykonawca dostarczy wraz z urządzeniami aktywnymi wymaganą do prawidłowego i redundantnego połączenia liczbę wkładek optycznych. Urządzenia będące przedmiotem dostawy muszą być zgodne z urządzeniami wykorzystywanymi przez Głównego użytkownika w CPDI. 1
Wymagania dla dostaw do CPD I 1. Infrastruktura podstawowa (IP Core) Na infrastrukturę składają się następujące urządzenia AKTYWNE: 1) router na styku z operatorem dostarczającym Internet (Outside Router); 2) przełącznik w strefie WAN (Outside Switch); 3) firewall od strony sieci WAN (Outside Firewall); 4) przełącznik LAN Centralny (LAN Switch Central); 5) przełącznik LAN Agregujące (LAN Switch Agreg); 6) firewall sieci dostępowej z PSZ (Inside Firewall); 7) przełącznik w strefie dostępowej z PSZ (Inside Switch); 8) router (de)szyfrujący połączenia VPN z PSZ (Inside VPN Router); 9) router na styku z operatorem dostarczającym połączenie do sieci PSZ (Inside Router); 10) przełączniki Fibre Channel. I. Outside Router: 1) urządzenie modularne, posiadające 3 slotów do obsadzenia modułami rozszerzeń; 2) 4 porty Gigabit Ethernet typu SFP; 3) wkładki SFP (typ wkładek wg rozwiązania proponowanego przez Wykonawcę); 4) system modularny umożliwiający aktualizację poszczególnych modułów programowych niezależnie od siebie; na platformie uruchomione są dwie kopie systemu operacyjnego; 5) 4Gbps dla VPN (AES256) z obsługą 10000 tuneli IPsec; 6) wydajność systemu na poziomie 15 Mpps; 7) wydajność systemu na poziomie 8 Mpps przy włączonych funkcjach QoS i list kontroli dostępu ACL na wszystkich portach; 8) obsługa funkcjonalności dynamicznych tuneli VPN (hub-to-spoke oraz spoke-to-spoke); funkcjonalność ta musi być kompatybilna z analogiczną funkcjonalnością na specjalizowanych bramach głosowych; 9) obsługa funkcjonalności NHRP; 10) obsługa 2000 tuneli GRE; 11) obsługa 4.000.000 prefiksów w tablicach routing IPv4; 12) obsługa 1.000.000 prefiksów w tablicach routing IPv6; 13) obsługa routingu dynamicznego: RIP, OSPF, BGP; 14) wsparcie dla IPv4 oraz IPv6, w szczególności dla protokołów routingu RIPng oraz OSPFv3; 15) wsparcie dlampls i MPLS VPN; 2
16) obsługa 1000 instancji VRF (Virtual RouteForwarding); 17) funkcjonalność analizy i klasyfikacji pakietów w warstwie 2-7 polegającą na przeszukiwaniu pakietów pod kątem zawierania specyficznych ciągów znaków i wykrywania na tej podstawie ataków; 18) sprzętowa ochrona warstwy zarządzającej (Control PlanePolicing); 19) obsługa 4000 ACL (Access Control Lists) i 50 000 wpisów ACE (Access Control Entries); 20) wsparcie dla multicast w szczególności: PIM sparse/dense/ssm/bi-directional, IGMP, MLDv2; 21) obsługa RPF (Reverse Path Forwarding) lub równoważnej funkcji; 22) obsługa zarządzania ruchem (QoS): a) 128 000 kolejek per system, b) 1000 polityk, c) hierarchiczne polityki (HierarchicalQoS), 3 poziomy hierarchii, d) dokładność na poziomie 8 kbps w politykach QoS, e) latency (czas przejścia pakietu przez urządzenie) dla ruchu priorytetowego na poziomie 100 mikrosekund, f) dwie kolejki priorytetowe LLQ per polityka; 23) funkcjonalność VRRP lub równoważna; 24) możliwość wymiany modułów w trakcie pracy (ang. hot swap); 25) zarządzanie poprzez: CLI (Telnet, SSHv2, port konsoli), SNMPv3; 26) porty umożliwiające zarządzanie: port konsoli, port Ethernet 10/100/1000 (out of band), port AUX; 27) redundantne zasilacze 230V; 28) wsparcie dla Radius; 29) kompatybilność z systemem do zarządzania urządzeniami sieci LAN oraz systemem zarządzania dostępem do urządzeń sieci LAN (opisanych w osobnych punktach specyfikacji); 30) przystosowanie do montażu w szafie rack 19 ; zestaw do monatażu w szafie rack i połączeń technicznych; 31) obudowa wykonana z metalu; 32) możliwość pobrania konfiguracji do zewnętrznego komputera typu PC, w formie tekstowej; konfiguracja po dokonaniu edycji poza urządzeniem może być ponownie zaimportowana do urządzenia i uruchomiona; 33) możliwość wyszukiwania fragmentów konfiguracji z linii poleceń urządzenia, dzięki stosowaniu wyrażeń-filtrów; 34) licencje na oprogramowanie niezbędne do funkcjonowania urządzenia zgodnie z wszystkimi wytycznymi specyfikacji outside router. 3
II. Outside Switch: 1) przełącznik o zamkniętej konfiguracji, 24 porty Gigabit Ethernet 10/100/1000 Base-T (Auto- MDIX) oraz 2 porty 10 Gigabit Ethernet ze stykiem określanym przez moduły typu Xenpak, X2 lub równoważne; 2) 4 interfejsy Gigabit Ethernet ze stykiem definiowanym przez moduły SFP lub równoważne (możliwość pracy jako 1000BASE-T, 1000BASE-SX, 1000BASE-ZX, 1000BASE LX/LH, CWDM); co najmniej dwa interfejsy muszą mieć możliwość obsadzenia modułami; 3) 256 MB pamięci DRAM oraz 64 MB pamięci flash; 4) matryca przełączająca o wydajności co najmniej 160 Gb/s, wydajność przełączania 65 mpps; 5) możliwość łączenie 8 innych urządzeń tego samego typu w stos, zapewniając przy tym: a) wydajność komunikacji pomiędzy urządzeniami 64Gbps, b) zarządzanie całym stosem za pomocą pojedynczego adresu IP, c) globalne definiowanie polityk QoS; 6) jednoczesna obsługa 6.000 adresów MAC, 8000 tras w tablicy routingu oraz 1000 identyfikatorów VLAN; 7) obsługa ramek jumbo (9216B); 8) szyfrowanie ruchu na portach miedzianych 10/100/1000, zgodnie z IEEE 802.1ae oraz wydajnością portu; 9) współpraca z modułem redundantnego zewnętrznego zasilacza; 10) przełączanie w warstwie drugiej i trzeciej; 11) routing IPv4 statyczny oraz w oparciu o protokół RIPv2; możliwość rozszerzenia funkcjonalności o routing w oparciu o protokoły OSPF, BGPv4 poprzez wymianę oprogramowania; 12) możliwość rozszerzenia funkcjonalności o routing IPv6: trasy statyczne, RIPng, OSPFv3 poprzez wymianę oprogramowania; przełącznik musi zapewniać sprzętowe wsparcie dla routingu IPv6; 13) podstawowa obsługa ruchu IP Multicast, w tym funkcjonalność IGMP Snooping; możliwość rozszerzenia funkcjonalności o IGMP, PIM Sparse, PIM Dense, SSM, poprzez wymianę oprogramowania; 14) funkcjonalność DHCP: DHCP Server, DHCP snooping; 15) mechanizmy związane z zapewnieniem ciągłości pracy sieci: a) IEEE 802.1s RapidSpanningTree, b) IEEE 802.1w Multi-Instance Spanning Tree, c) możliwość grupowania portów zgodnie ze specyfikacją IEEE 802.3ad (LACP), d) mechanizmy redundancji bramy VRRP lub równoważny. 16) mechanizmy związane z zapewnieniem jakości usług w sieci: a) klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, numer portu TCP, 4
b) implementacja 4 kolejek sprzętowych na każdym porcie wyjściowym dla obsługi ruchu o różnej klasie obsługi; implementacja algorytmu Round Robin lub równoważnego dla obsługi tych kolejek, c) obsługa jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (StrictPriority), d) zmiana przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP, e) ograniczanie pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kb/s (policing, ratelimiting), f) zarządzanie kolejkami za pomocą tail drop lub równoważne, g) kształtowanie ruchu wychodzącego (ang. trafficshaping) bazujące na listach kontroli dostępu, DCSP lub polu CoS (Class of Service); 17) mechanizmy związane z zapewnieniem bezpieczeństwa sieci: a) autoryzacja użytkowników/portów w oparciu o IEEE 802.1x z możliwością przydziału listy kontroli dostępu (ACL) i VLANu, b) dostęp do urządzenia przez: HTTPS (SSL), SNMPv3 (ang. Simple Network Management Protocol version 3), SSHv2 (także IPv6), c) funkcjonalność prywatnego VLAN-u, czyli możliwości blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji z portem nadrzędnym, d) współpraca z systemami kontroli dostępu do sieci typu NAC, NAP lub równoważnym, e) możliwość filtrowania ruchu na poziomie portu oraz VLANu w oparciu o adresy MAC, IP, porty TCP/UDP, f) możliwość synchronizacji czasu zgodnie z NTP; 18) możliwość tworzenia zestawów konfiguracyjnych dla portów (grupy poleceń umożliwiające konfigurację wielu funkcjonalności za pomocą jednego polecenia); 19) możliwość lokalnej i zdalnej obserwacji ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do urządzenia monitorującego przyłączonego do innego portu lub poprzez określony VLAN; 20) zarządzanie poprzez interfejs CLI (konsolę), HTTP, SNMP; 21) identyfikacja i uwierzytelnianie w oparciu o serwer RADIUS; 22) kompatybilność z systemem do zarządzania urządzeniami sieci LAN oraz systemem zarządzania dostępem do urządzeń sieci LAN opisanymi w osobnych punktach; 23) możliwość instalacji w standardowej szafie 19 ; zestaw do monatażu w szafie rack i połączeń technicznych; 24) obudowa zoptymalizowana dla centrów przetwarzania danych, uwzględniająca również taki system prowadzenia i podłączania okablowania dla połączeń sieciowych, który zapewnia bezkolizyjną wymianę głównych modułów urządzenia (w tym: modułów liniowych, zasilaczy, wiatraków, modułów zarządzających); 5
25) zasilanie z sieci 230V/50Hz; urządzenie musi posiadać zainstalowane 2 zasilacze w układzie redundantnym o mocy pozwalającej na obsługę w pełni obsadzonego urządzenia; awaria jednego z nich, albo jednego z obwodów zasilających nie może powodować przerwy oraz spadku funkcjonalności w pracy urządzenia. 26) pobieranie konfiguracji do zewnętrznego komputera typu PC w formie tekstowej; konfiguracja po dokonaniu edycji poza urządzeniem może być ponownie zaimportowana do urządzenia i uruchomiona; 27) wyszukiwanie fragmentów konfiguracji z linii poleceń urządzenia, dzięki stosowaniu filtrów. III. Outside Firewall: (A) Wyposażenie 1) 8 portów Gigabitethernet 10/100/1000 oraz 2 porty do zarządzania poza pasmowego (outof-band) 10/100/1000; możliwość instalacji 2 wkładek 10Gigabit Ethernet; 2) port konsoli szeregowej; 3) 2 gniazda USB 2.0; 4) 24 GB pamięci RAM; 5) 2 GB pamięci FLASH; (B) Funkcjonalność 1) funkcjonalność ściany ogniowej śledzącej stan połączeń z weryfikacją informacji charakterystycznych dla warstwy aplikacji; 2) brak ograniczenia na liczbę jednocześnie pracujących użytkowników w sieci chronionej; 3) inspekcja ruchu Voice w zakresie protokołów H.323, SIP, MGCP, TAPI, JTAPI; 4) funkcjonalność blokowania aplikacji typu internetowy komunikator wykorzystujących port 80 (np.: Skype, MSN); 5) translacja adresów sieciowych NAT zarówno dla ruchu wchodzącego, jak i wychodzącego, obsługę protokołów OSPF, RIP; 6) funkcjonalność blokowania aplikacji typu peer-to-peer (np: Kaaza, edonkey); 7) funkcjonalność analizy protokołów HTTP oraz FTP na portach innych niż standardowe; 8) funkcjonalność operowania jako transparentna ściana ogniowa warstwy drugiej ISO OSI; 9) przepustowość 5 Gb/s dla ruchu nieszyfrowanego (3.000.000 pakietów/sekundę dla pakietów 64 bajtowych); 10) przesyłanie 1.000.000 równoległych połączeń i zestawianie co najmniej 125.000 nowych połączeń na sekundę; 11) terminacja 10.000 połączeń IPSec; obsługa algorytmu szyfrowania DES z wydajnością szyfrowania 2Gb/s oraz możliwość rozbudowy do algorytmów 3DES/AES; 12) terminacja VPN SSL; 13) funkcjonalność konfiguracji sieci VLAN; 6
14) funkcjonalność kreowania 50 wirtualnych kontekstów firewall a; 15) funkcjonalność implementacji mechanizmów wysokiej dostępności w wariantach Active/Standby oraz Active/Active; 16) moduł IPS z możliwością definiowania 4 wirtualnych sensorów; zabezpieczenie przed 250.000 rodzajów zagrożeń; funkcjonalność wykrywania anomalii w celu implementacji zagrożeń tzw. dnia zero; funkcjonalność dostosowywania sygnatur; wydajność urządzenia 3Gb/s z uaktywnionym modułem IPS; (C) Zasilanie i obudowa 1) możliwość instalacji w standardowej szafie 19 ; zestaw do monatażu w szafie rack i połączeń technicznych; 2) obudowa zoptymalizowana dla centrów przetwarzania danych, uwzględniająca również taki system prowadzenia i podłączania okablowania dla połączeń sieciowych, który zapewnia bezkolizyjną wymianę głównych modułów urządzenia (w tym: modułów liniowych, zasilaczy, wiatraków, modułów zarządzających); zasilanie z sieci 230V/50Hz; urządzenie musi posiadać zainstalowane 2 zasilacze w układzie redundantnym o mocy pozwalającej na obsługę w pełni obsadzonego urządzenia; awaria jednego z nich, albo jednego z obwodów zasilających nie może powodować przerwy oraz spadku funkcjonalności w pracy urządzenia. IV. LAN Switch Central: (A) Architektura i wydajność 1) urządzenie modularne umożliwiające płynną zmianę obsady portów wraz ze zwiększającymi się potrzebami w sieci; 2) obsługa przetwarzania rozproszonego; 3) architektura urządzenia dedykowana dla centrów danych wspierająca obsługę technologii FC, FCoE oraz Ethernet; 4) sprzętowe wsparcie dla IETF TRILL; 5) urządzenie musi oferować wydajność 480 mln pps dla przełączania w warstwie L2, lokalnie dla każdego modułu z możliwością podwojenia do 960 mpps; 6) przepustowość całego urządzenia na poziomie 1 Tbps; wydajność matrycy przełączającej na poziomie 4 Tbps; 7) możliwość obsługi portów 100 Gbps Ethernet; (B) Moduł zarządzający 1) instalowany w dedykowanym slocie przełącznika i zapewniający współpracę w parze z redundantnym modułem zarządzającym; 2) wieloprocesorowa architektura zapewniająca możliwości centralnego zarządzania całym przełącznikiem wraz z zapewnieniem wirtualizacji urządzenia; 3) zdalne zarządzanie całym przełącznikiem zarówno in-band (w ścieżce przesyłanych danych), jak również out-of-band (poza ścieżką przesyłania danych); w przypadku zarządzania out-of- 7
band zarządzanie ma być zapewnione zarówno przez dedykowany konsolowy port szeregowy, jak również przez dedykowany port Ethernet obsługiwany niezależnie od głównego systemu operacyjnego urządzenia; 4) zdalne zarządzanie out-of-band przez port Ethernet zapewniający dostęp do modułu zarządzającego przełącznika (Telnet, SSH), niezależnie od tego czy moduł ten jest aktywny, czy też wyłączony, albo czy pracuje jako zapasowy w parze z drugim modułem zarządzającym (przez ten port out-of-band Ethernet ma być również zapewniona możliwość zdalnego restartu pojedynczych komponentów przełącznika, jak również całego przełącznika bez utraty nawiązanej z nim łączności sesji SSH lub Telnet); 5) obsługa przez modularne oprogramowanie umożliwiające w przypadku wystąpienia błędu automatyczne uruchamianie i restarty pojedynczych procesów odpowiedzialnych za konkretne funkcje, np. proces routingu; 6) możliwość aktualizacji systemu operacyjnego nie powodując przerw w pracy całego urządzenia; (C) Wymagane moduły oraz interfejsy sieciowe dla każdego z przełączników 1) obsługa line-rate dla wszystkich dostarczonych interfejsów sieciowych; 2) obsługa ramek Ethernet o wielkości 9.000 bajtów (tzw. Jumbo Frame); 3) możliwość instalacji 48 interfejsów 1/10 Gigabit; 4) 2 wolne sloty na dodatkowe moduły interfejsów; 5) 2 karty 48 portowe, gdzie każdy port ma możliwość pracy jako 1G/10G w zależności od typu wkładki; (D) Wirtualizacja sieci i urządzeń 1) możliwość przydziału zasobów sprzętowych do każdego z wirtualnych przełączników i zapewnienia indywidualnego zarządzania dla każdego z nich; 2) niezależność poszczególnych procesów (np. odpowiedzialnych za routing dynamiczny, SpanningTree, SNMP, itp.) dla każdego z wirtualnych przełączników (tak żeby potencjalny restart procesu w jednym wirtualnym przełączniku nie miał wpływu na pracę analogicznego procesu w innym wirtualnym przełączniku); 3) obsługa funkcjonalności umożliwiającej dołączenie innego urządzenia (przełącznika) za pomocą zagregowanego łącza Ethernet zakończonego na dwóch fizycznie odseparowanych urządzeniach będących przedmiotem opisu (Multi Chassis EtherChannnel); 4) obsługa sieci VLAN i konfiguracji interfejsów w trybie Trunk (przesyłanie wielu sieci VLAN przez pojedynczy interfejs) zgodnie ze standardem IEEE 802.1q; (E) Adresacja i routing IP 1) obsługa ruchu sieciowego w oparciu o adresację IPv4 oraz IPv6; 2) obsługa routingu statycznego; 3) obsługa protokołów dynamicznego routingu warstwy 3 dla IPv4: a) Open Shortest Path First (OSPF), b) Routing Information Protocol v2 (RIPv2), 8
c) Border Gateway Protocol (BGPv4); 4) obsługa protokołów dynamicznego routingu warstwy 3 dla IPv6: a) Open Shortest Path First (OSPFv3), b) Routing Information Protocol (RIPng), c) Multiprotocol Border Gateway Protocol (MP-BGP); 5) sprzętowa obsługa ruchu multicast w tym PIM Sparse, PIM SSM, IGMP; 6) sprzętowa obsługa routingu w oparciu o adresy źródłowe pakietów IP, a także inne informacje zawarte w nagłówkach pakietów (np. numery protokołów, numery portów TCP/UDP); 7) funkcjonalność zapewniająca przełącznikowi utrzymanie przyległości protokołów routingu z sąsiadującymi urządzeniami, nawet w trakcie awarii, w wyniku której zapasowy moduł zarządzający przejmuje kontrolę nad przełącznikiem; (F) Funkcje zabezpieczające 1) zapewnienie wielopoziomowej redundancji przez wykorzystanie redundantnych modułów zarządzających, matryc przełączających, zasilaczy oraz systemów wentylacji; 2) możliwość wymiany głównych komponentów urządzenia bezprzerwowo podczas jego pracy (OIR Online Insertion and Removal); funkcjonalność ta dotyczy wymiany: modułów zarządzających, kart liniowych, zasilaczy, elementów matrycy przełączającej oraz systemów chłodzenia; 3) zachowanie pełnej wydajności i funkcjonalności urządzenia w przypadku awarii pojedynczego modułu zarządzającego; 4) możliwość szybkiego (poniżej 1 sekundy) wykrywania jednokierunkowych połączeń pomiędzy urządzeniami i współpraca tego mechanizmu z protokołami dynamicznego routingu; 5) mechanizmy bramy domyślnej (Default Gateway) z wykorzystaniem protokołu VRRP lub równoważnego; 6) obsługa protokołu IEEE 802.1w RapidSpanningTree; 7) obsługa protokołu IEEE 802.1s MultipleSpanningTree umożliwiającego działanie protokołu SpanningTree oddzielnie i niezależnie dla różnych sieci VLAN; 8) obsługa protokołu IEEE 802.3ad Link Aggregation Control Protocol umożliwiający grupowanie portów, także z wykorzystaniem portów znajdujących się na różnych kartach liniowych; 9) współpraca z Radius; 10) kontrola przychodzących pakietów IP w oparciu o sprawdzanie obecności w tablicy routingu trasy dla adresów IP ich nadawcy; w przypadku braku w tablicy routingu trasy do adresu IP nadawcy takiego pakietu możliwość odrzucania go przez urządzenie; 11) tworzenie list kontroli dostępu w oparciu o parametry warstwy trzeciej i czwartej i wykorzystywanie ich zarówno dla routowalnych interfejsów L3 oraz w obrębie pojedynczych sieci VLAN; 12) obsługa liczników trafień i logowania dla list kontroli dostępu; 9
13) ochrona warstwy kontrolnej (control-plane), czyli ruchu skierowanego do i obsługiwanego przez procesor modułu zarządzającego; 14) możliwość uwierzytelniania protokołów dynamicznego routingu; 15) możliwość ograniczania zakresu źródłowych adresów IP, z których można połączyć się z urządzeniem w celach zarządzania; (G) QoS Quality of Service 1) klasyfikacja ruchu do klas różnej jakości obsługi (QoS) na podstawie wartości IEEE 802.1p (CoS) w ramkach Ethernet oraz informacji DSCP z nagłówka pakietu IP; 2) możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet oraz pakiecie IP poprzez zmianę pola 802.1p (CoS) oraz DSCP; 3) implementacja 4 kolejek na portach 10 Gigabit Ethernet dla obsługi ruchu o różnej klasie obsługi; implementacja algorytmu Round Robin lub równoważnego dla obsługi tych kolejek; obsługa jednej z tych kolejek jako priorytetowej; 4) mechanizm zapobienia natłoków w sieci przez możliwość selektywnego odrzucania pakietów (progi uruchamiania odrzucania pakietów powinny działać w oparciu o kolejki rozróżniane na podstawie bitów IP Precedence lub DSCP); 5) możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi (policing, ratelimiting); 6) możliwość kształtowania ruchu wychodzącego (ang. shaping); 7) możliwość definiowanie polityk QoS per port i per VLAN; (H) Zarządzanie 1) dostęp poprzez interfejs CLI oraz poprzez GUI z obsługą protokołów: TELNET, SSH v.2, SNMP v.3; 2) możliwość pobrania konfiguracji do zewnętrznego komputera typu PC w formie tekstowej, możliwość ponownego zaimportowania do urządzenia i uruchomienia konfiguracja po dokonaniu edycji poza urządzeniem, możliwość wyszukiwania fragmentów konfiguracji z linii poleceń; 3) możliwość umieszczenia komentarza tekstowego dla każdego interfejsu urządzenia (po uruchomieniu konfiguracji komentarz musi być dostępny w postaci zmiennej MIB przy pomocy protokołu SNMP); 4) możliwość przechowywania w wewnętrznej pamięci FLASH wielu wersji konfiguracji oraz obrazów systemu operacyjnego; 5) obsługa wielu poziomów dostępu do systemu operacyjnego przełącznika z różnymi poziomami uprawnień; 6) możliwość raportowania do systemów zarządzających z wykorzystaniem J-Flow, NetFlow lub odpowiednika; 7) system operacyjny umożliwiający automatyzację zadań, monitorowanie zachodzących zdarzeń i podejmowanie wcześniej zdefiniowanych akcji, w momencie zajścia zdarzenia (w szczególności możliwość tworzenia skryptów i podejmowania działań w oparciu 10
o zdefiniowane polityki dotyczące zdarzeń syslog oraz SNMP w postaci zmian w konfiguracji urządzeń oraz generowania komunikatów syslog); 8) możliwość lokalnej obserwacji ruchu na określonym porcie, polegająca na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do urządzenia monitorującego przyłączonego do innego portu; 9) możliwość przechwytywania i dekodowania pakietów IP; (I) Obudowa, zasilanie i wentylacja 1) możliwość instalacji w standardowej szafie 19 ; zestaw do monatażu w szafie rack i połączeń technicznych; 2) obudowa zoptymalizowana dla centrów przetwarzania danych, uwzględniająca również taki system prowadzenia i podłączania okablowania dla połączeń sieciowych, który zapewnia bezkolizyjną wymianę głównych modułów urządzenia (w tym: modułów liniowych, zasilaczy, wiatraków, modułów zarządzających); 3) zasilanie z sieci 230V/50Hz; urządzenie musi posiadać zainstalowane 2 zasilacze w układzie redundantnym o mocy pozwalającej na obsługę w pełni obsadzonego urządzenia; awaria jednego z nich, albo jednego z obwodów zasilających nie może powodować przerwy oraz spadku funkcjonalności w pracy urządzenia. V. LAN Switch Agreg: (A) Porty Ethernet 1) 32 porty 1GE/10GE (złącza SFP+) w podstawowej konfiguracji; możliwość wyboru trybu 1GE lub 10GE; możliwość rozszerzenia do 48 portów 1GE/10GE; 2) możliwość implementacji FCoEzg z ANSI T11 (FC-BB-5) na każdym z portów 10GE; 3) możliwość instalacji wkładek SFP+ typu 10GE-SR oraz 10GE-LR; 4) możliwość instalacji kabli 10GE CX-1 (Twinax) o długości 1, 3 lub 5 metrów; 5) wkładki i kable wkładki wg rozwiązania proponowanego przez Wykonawcę; (B) Porty FC (C) 8 klasycznych portów FC 4G/8G; Zewnętrzne moduły 1) możliwość dołączenia 16 zewnętrznych, wyniesionych modułów zapewniających 48 portów 100/1000BaseT przeznaczonych dla dołączania urządzeń końcowych; zarządzanie tymi modułami wyłącznie z jednostki centralnej; moduły muszą mieć możliwość dołączenia z przepustowością 10G 40G poprzez dedykowane porty 10GE (złącza SFP+); dołączenie modułów nie może być zrealizowane z wykorzystaniem mechanizmów L2 (SpanningTree); powinno stanowić rozszerzenie w domenie warstwy L1; możliwość łączenia z jednostką centralną poprzez interfejsy 10GE-SR, CX-1 (Twinax); 2) możliwość dołączenia do 16 zewnętrznych, wyniesionych modułów zapewniających 32 porty 10GE (złącze SFP+) przeznaczone dla dołączania urządzeń końcowych; zarządzanie tymi modułami wyłącznie z jednostki centralnej; moduły muszą mieć możliwość dołączenia 11
(D) z przepustowością 10G 80G poprzez dedykowane porty 10GE (złącza SFP+); dołączenie modułów nie może być zrealizowane z wykorzystaniem mechanizmów L2 (SpanningTree) powinno stanowić rozszerzenie w domenie warstwy L1; możliwość łączenia z jednostką centralną poprzez interfejsy 10GE-SR, CX-1 (Twinax); Zintegrowane moduły rozszerzeń 1) jedno zintegrowane gniazdo dla modułów rozszerzeń; 2) możliwość instalacji modułu 16 portów 10GE oraz modułu mieszanego 8 x 10GE / 8 x FC 4G/8G; 3) moduł mieszany 8 x 10GE / 8 x FC 4G/8G; (E) Funkcjonalność SAN (F) możliwość uruchomienia na portach 10GE przełącznika implementacji FCoEzg z ANSI T11 (FC-BB-5), w szczególności FCoEInitializationProtocol (FIP); Mechanizmy FC 1) standardowe typy portów Fibre Channel: E, F, oraz NP; 2) rozszerzone typy portów Fibre Channel: VE, TE oraz VF; 3) 64 buffer credits (BB credits) na każdy port FC; 4) możliwość realizacji portu FCoE na odległość 3 km; 5) 32 wirtualnych sieci SAN (VSAN); 6) grupowanie portów FC typu E w wiązki PortChannel; 7) grupowanie portów FC typu F w wiązki PortChannel (F-Port Channeling); 8) przesyłanie ruchu z różnych VSAN-ów w ramach pojedynczego interfejsu lub wiązki (VSAN trunking), na portach FC typu E lub typu F (F-Port Trunking); 9) Fabric Device Management Interface (FDMI); 10) Fibre Channel ID (FCID) persistence; 11) przesyłanie ramek w trybie In-Order Delivery; 12) wirtualizacja portów typu N-port (NPV); 13) wirtualizacja N-port identifier (NPIV); 14) serwisy FC: name server, registered state change notification (RSCN), login services, nameserver zoning, dystrybuowane aliasy nazw; 15) odrębne serwisy FC dla każdej sieci SAN; 16) wsparcie mechanizmów bezpieczeństwa Diffie-Hellman Challenge Handshake Authentication Protocol (DHCHAP) oraz Fibre Channel Security Protocol (FC-SP); 17) autentykacja Host-to-switch oraz switch-to-switch za pomocą FC-SP; 18) Routing Fabric Shortest Path First (FSPF); 19) standardowy Zoning; 20) Port Security (w oparciu o domenę FC i port); 12
21) Fibre Channel traceroute; 22) Fibre Channel ping; 23) Fibre Channel debugging; wymagana licencja na funkcjonalności SAN/FCoE; 24) funkcjonalnosć Data Center Bridging, musi posiadać implementację zaleceń IEEE Data Center Bridging: a) IEEE 802.1Qbb PFC (per-priority pause frame support), b) IEEE 802.1AB DCBX Protocol, c) IEEE 802.1Qaz EnhancedTransmissionSelection; 25) 2 GB pojemność pamięci Bootflash; 26) 8 GB pamięć pamięci RAM; 27) opóźnienie: nie więcej niż 2 µs przy 10 Gbps; 28) prędkość przełączania Wirespeed dla każdego portu 10 GE; 29) przepustowość 700 mpps; 30) rozmiar Tabeli Adresów 32.000; (G) Funkcjonalność Ethernet dla warstwy 2 1) wsparcie dla 4096 VLAN; 2) wirtualna agregacja portów polegająca na terminowaniu pojedynczej wiązki EtherChannel/LACP wyprowadzonej z urządzenia zewnętrznego (serwera, przełącznika) na 2 niezależnych opisywanych urządzeniach; 3) trunking IEEE 802.1Q VLAN; 4) Rapid Per-VLAN Spanning Tree Plus (PVRST+) - IEEE 802.1w; 5) 64 instancje Multiple Spanning Tree Protocol (MSTP) - IEEE 802.1s; 6) Spanning Tree PortFastorazPortFast Guard; 7) Spanning Tree UplinkFastorazBackboneFast; 8) Spanning Tree Root Guard; 9) Spanning Tree Bridge Assurance; 10) NIC teaming; 11) grupowanie Ether Channel (do 16 portów per wiązka EtherChannel); 12) Link Aggregation Control Protocol (LACP) - IEEE 802.3ad; 13) ramki Jumbo dla wszystkich portów (9.216 bajtów); 14) ramki Pause (IEEE 802.3x); 15) prewencja niekontrolowanego wzrostu ilości ruchu (stormcontrol), dla ruchu unicast, multicast, broadcast; 16) implementacja Private VLAN; 13
(H) Funkcjonalność QoS Layer 2 IEEE 802.1p (CoS) 1) 8 sprzętowych kolejek per port; 2) dedykowana konfiguracja QoS dla każdego portu; 3) przypisanie CoS na każdym porcie; 4) klasyfikacja QoS w oparciu o listy (ACL (Access control list) w warstwach 2, 3, 4; 5) Virtual outputqueuing dla każdego portu; 6) kolejkowanie na wyjściu w oparciu o Cos; 7) bezwzględne (strict-priority) kolejkowanie na wyjściu; 8) kolejkowanie WRR (WeightedRound-Robin) na wyjściu; (I) Funkcjonalność bezpieczeństwa 1) wejściowe ACL (standardowe oraz rozszerzone); 2) standardowe oraz rozszerzone ACL dla warstwy 2 w oparciu o adresy MAC addresses, typ protokołu; 3) standardowe oraz rozszerzone ACL dla warstw 3 oraz 4 w oparciu o: IPv4 i v6, Internet Control Message Protocol (ICMP), TCP, User DatagramProtocol (UDP); 4) ACL oparte o VLAN-y (VACL); 5) ACL oparte o porty (PACL); 6) logowanie i statystyka dla ACL; (J) Zarządzanie 1) dedykowany port zarządzający 10/100/1000 Mbps; 2) port konsoli CLI; 3) zarządzanie In-band; 4) SSHv2; 5) Telnet; 6) Authentication, authorization, and accounting (AAA); 7) RADIUS; 8) TACACS+; 9) Syslog; 10) wbudowany analizator pakietów; 11) SNMP v1, v2, v3; 12) Enhanced SNMP MIB; 13) XML (NETCONF); 14) Remote monitoring (RMON); 15) Advanced Encryption Standard (AES) dla ruchu zarządzającego; 14
16) Microsoft Challenge Handshake Authentication Protocol (MS-CHAP); 17) Role-Based Access Control RAC; 18) kopiowanie ruchu za pośrednictwem mechanizmu Switched Port Analyzer (SPAN) dla fizycznych portów Ethernet, wiązek PortChannel, interfejsów VLAN, interfejsów Fibre Channel; 19) liczniki pakietów wchodzących/wychodzących per każdy port; 20) Network Time Protocol (NTP); 21) diagnostyka procesu BOOT; 22) Call Home; 23) wsparcie dla IPv6 dla interfejsu zarządzającego; 24) ACL; 25) DHCP-protection; 26) Dynamic-ARP protection; 27) Secure port-filtering; 28) Ingress rate-limiting; 29) oprogramowanie umożliwiające realizację: a) FCoE, b) FC, c) Routing L3; (K) Obudowa, zasilanie i wentylacja 1) możliwość instalacji w standardowej szafie 19 ; zestaw do monatażu w szafie rack i połączeń technicznych; 2) obudowa zoptymalizowana dla centrów przetwarzania danych, uwzględniająca również taki system prowadzenia i podłączania okablowania dla połączeń sieciowych, który zapewnia bezkolizyjną wymianę głównych modułów urządzenia (w tym: modułów liniowych, zasilaczy, wiatraków, modułów zarządzających); 3) zasilanie z sieci 230V/50Hz; urządzenie musi posiadać zainstalowane 2 zasilacze w układzie redundantnym o mocy pozwalającej na obsługę w pełni obsadzonego urządzenia; awaria jednego z nich, albo jednego z obwodów zasilających nie może powodować przerwy oraz spadku funkcjonalności w pracy urządzenia. VI. Inside Firewall: Wymagania identyczne jak dla Outside Firewall. VII. Inside Switch: Wymagania identyczne jak dla Outside Switch. 15
VIII. Inside VPN Router: 1) urządzenie modularne posiadające 8 slotów do obsadzenia modułami rozszerzeń; 2) 10 portów Gigabit Ethernet typu SFP; 3) wkładki SFP wg rozwiązania proponowanego przez Wykonawcę; 4) system modularny umożliwiający aktualizację poszczególnych modułów programowych niezależnie od siebie; na platformie uruchomione są dwie kopie systemu operacyjnego; 5) 8 Gbps dla VPN (AES256) z obsługą 10.000 tuneli IPSec; 6) wydajność systemu musi być na poziomie 20 Mpps; 7) wydajność systemu nie może być mniejsza niż 10 Mpps przy włączonych funkcjach QoS i list kontroli dostępu ACL na wszystkich portach; 8) funkcjonalność dynamicznych tuneli VPN (hub-to-spoke oraz spoke-to-spoke); funkcjonalność ta musi być kompatybilna z analogiczną funkcjonalnością na specjalizowanych bramach głosowych; 9) funkcjonalność NERP; 10) 4.000 tuneli GRE; 11) 4.000.000 prefiksów w tablicach routing IPv4; 12) 1.000.000 prefiksów w tablicach routing IPv6; 13) routing dynamiczny: RIP, OSPF, BGP; 14) wsparcie IPv4 oraz IPv6, w tym protokoły routingu RIPng oraz OSPFv3; 15) wsparcie dla MPLS i MPLS VPN; 16) 4.000 instancji VRF (Virtual Route Forwarding); 17) funkcjonalność analizy i klasyfikacji pakietów w warstwie 2-7 polegająca na przeszukiwaniu pakietów pod kątem zawierania specyficznych ciągów znaków i wykrywania na tej podstawie ataków; 18) sprzętowa ochrona warstwy zarządzającej (Control PlanePolicing); 19) 16.000 ACL (Access Control Lists) i 50 000 wpisów ACE (Access Control Entries); 20) wsparcie multicast: PIM sparse/dense/ssm/bi-directional, IGMP, MLDv2; 21) obsługa RPF (Reverse Path Forwarding) lub równoważnego; 22) zarządzanie ruchem (QoS): a) 128.000 kolejek per system, b) 1.000 polityk, c) hierarchiczne polityki (Hierarchical QoS), 3 poziomy hierarchii, d) dokładność na poziomie 8 kbps w politykach QoS, e) latency (czas przejścia pakietu przez urządzenie) dla ruchu priorytetowego na poziomie 100 mikrosekund, 16
f) 2 kolejki priorytetowe LLQ per polityka; 23) funkcjonalność VRRP lub równoważna; 24) wymiana modułów w trakcie pracy (hot swap); 25) zarządzanie poprzez CLI (Telnet, SSHv2, port konsoli), SNMPv3; 26) porty umożliwiające zarządzanie: port konsoli, port Ethernet 10/100/1000, port AUX; 27) wsparcie dla Radius; 28) kompatybilność z systemem do zarządzania urządzeniami sieci LAN oraz systemem zarządzania dostępem do urządzeń sieci LAN opisanymi w osobnych punktach; 29) urządzenie musi posiadać możliwość pobrania konfiguracji do zewnętrznego komputera typu PC, w formie tekstowej; konfiguracja po dokonaniu edycji poza urządzeniem może być ponownie zaimportowana do urządzenia i uruchomiona; 30) urządzenie musi posiadać możliwość wyszukiwania fragmentów konfiguracji z linii poleceń urządzenia, dzięki stosowaniu wyrażeń-filtrów; 31) możliwość instalacji w standardowej szafie 19 ; zestaw do monatażu w szafie rack i połączeń technicznych; 32) obudowa zoptymalizowana dla centrów przetwarzania danych, uwzględniająca również taki system prowadzenia i podłączania okablowania dla połączeń sieciowych, który zapewnia bezkolizyjną wymianę głównych modułów urządzenia (w tym: modułów liniowych, zasilaczy, wiatraków, modułów zarządzających); 33) zasilanie z sieci 230V/50Hz; urządzenie musi posiadać zainstalowane 2 zasilacze w układzie redundantnym o mocy pozwalającej na obsługę w pełni obsadzonego urządzenia; awaria jednego z nich, albo jednego z obwodów zasilających nie może powodować przerwy oraz spadku funkcjonalności w pracy urządzenia. IX. Inside Router: Wymagania identyczne jak dla Outside Router. X. Przełącznik Fibre Channel (wymagana dostawa 2 urządzeń): 1) przełącznik FC musi być wykonany w technologii FC 8 Gb/s i posiadać możliwość pracy portów FC z prędkościami 8, 4, 2 przy zastosowaniu wkładek SFP 8 Gb/s lub 4, 2, 1 Gb/s przy zastosowaniu wkładek SFP 4Gb/s; 2) przełącznik FC musi być wyposażony w 24 aktywne porty FC 8Gb/s wraz z wkładkami optycznymi; 3) rodzaj obsługiwanych portów: E, F oraz FL; 4) wszystkie porty FC muszą działać bez tzw. oversubscrypcji pracując równocześnie z pełną prędkością 8 Gb/s; 5) zsumowana przepustowość pojedynczego przełącznika FC musi wynosić 384 Gb/s end-to-end full duplex; 17
6) oferowane urządzenia sieci SAN muszą posiadać potwierdzenie kompatybilności urządzeń przez producenta dostarczanej pamięci masowej i serwerów; 7) przełącznik FC musi mieć możliwość instalacji jednomodowych SFP umożliwiających bezpośrednie połączenie (bez dodatkowych urządzeń pośredniczących) z innymi przełącznikami na odległość 10km; 8) przełącznik FC musi zapewniać możliwość połączenia z innym przełącznikiem FC na odległość minimum 972km w trybie 1Gb/s, 486km w trybie 2Gb/s, 243km w trybie 4Gb/s oraz 121km w trybie 8Gb/s bez dodatkowych urządzeń buforujących. 2. Wyposażenie serwerowe CPD I Na wyposażenie serwerowe CPDI składają się następujące urządzenia i systemy: 1) przełącznik KVM; 2) konsola LCD; 3) obudowa serwerowa typu blade; 4) serwery typu blade; 5) macierz dyskowa; 6) serwer backupu; 7) biblioteka taśmowa; 8) serwer zarządzania; 9) system call-manager. Wykonawca musi dostarczyć ww. urządzenia zgodnie z liczbą kwantów określonych w rozdz. 3.3 OPZ oraz wymaganiami określonymi w kartach wymagań infrastrukturalnych. I. Przełącznik KVM do szafy Rack: 1) 16 portowy przełącznik KVM o wysokości maksymalnie 1U do instalacji w szafie RACK, wraz z kompletem okablowania umożliwiającym podłączenie do obudowy serwerów za pomocą portów VGA/USB; 2) port IP pozwalający na zdalny dostęp z wykorzystaniem sieci IP, z możliwością przesyłania obrazu o rozdzielczości 1280x1024; 3) przełącznik KVM powinien zapewniać menu ekranowe do wyboru urządzenia lub za pośrednictwem skrótu klawiaturowego. 18
II. Konsola LCD do szafy Rack: Konsola LCD do montażu w szafie rack, o wysokości maksymalnie 1U, przekątnej 17" wraz z klawiaturą i urządzeniem wskazującym; rozdzielczość 1280x1024 pikseli. III. Obudowa serwerowa typu blade (wymagana dostawa 2 urządzeń): 1) obudowa o wysokości maksymalnie 10U dedykowana do zamontowania w szafie rack 19" z zestawem akcesoriów niezbędnych do mocowania w szafie; 2) możliwość instalacji przełączników w technologii 1/10 Gbps Ethernet, FCoE, InfiniBand, FibreChannel; 3) możliwość zamontowania 14 serwerów dwuprocesorowych typu blade; 4) zainstalowane 2 przełączniki 1 GbE LAN oraz 2 przełączniki 10GbE CEE/FCoE; 5) zasilanie o konstrukcji modularnej z możliwością dokładania i wymiany modułów na gorąco; 6) system zasilania zainstalowany wewnątrz obudowy, zdolny do dostarczenia mocy, jaką może potrzebować obudowa w pełni obsadzona serwerami i wszystkimi możliwymi opcjami (serwery w pełni obsadzone opcjami); 7) zasilanie typu hot-swap oraz pełna redundancja zarówno zasilania, chłodzenia na poziomie obudowy i każdego z serwerów; 8) zdalne włączanie/wyłączanie/restart niezależnie dla każdego serwera; 9) zdalne udostępnianie napędów na potrzeby serwera z możliwością bootowania z tych napędów; 10) zdalna identyfikacja fizycznego serwera i obudowy za pomocą sygnalizatora optycznego; 11) zdalny dostęp z poziomu przeglądarki internetowej bez konieczności instalacji oprogramowania; 12) 2 moduły zarządzania w celu zapewnienia redundancji. IV. Serwery typu blade (wymagana dostawa 25 urządzeń): 1) wymagane zainstalowane 2 procesory klasy x86 z rozszerzeniem 64-bitowym; serwer z oferowanymi procesorami musi osiągać wynik 600 w teście SPECint_rate_base2006; wymagana jest obecność protokołu potwierdzającego osiągnięty wynik na stronie: www.spec.org. 2) wymagana zainstalowana pamięć 256 GB RAM klasy PC3-10600 CL9 ECC DDR3 1333MHz VLP RDIMM; zainstalowane moduły RAM muszą pochodzić od producenta serwera; 3) możliwość instalacji 2 dysków SSD; 4) w każdym serwerze zainstalowane 2 interfejsy sieciowe typu 1Gb Ethernet i 2 interfejsy 10Gb FCoE; 5) każdy serwer oraz zainstalowany w nim osprzęt (adaptery) musi być wspierany przez systemy operacyjne RedHat Enterprise Linux ES 4 i 5 (wersje 32-bitowe i 64-bitowe), SUSE Linux 19
Enterprise 10 lub w wersji wyższej (wersje 32-bitowe i 64-bitowe) oraz Windows 2008 (wersje 32-bitowe i 64-bitowe); 6) połączenie urządzeń wejścia/wyjścia i zasilania w każdym serwerze dwoma niezależnymi drogami poprzez dwa niezależne złącza; 7) możliwość umieszczania i współpracy z przełącznikami w dostarczanej obudowie blade oraz w posiadanej przez Głównego użytkownika obudowie IBM BladeCenter H; 8) oferowany serwer musi być wymieniony na liście zgodności (oficjalnego wsparcia) oprogramowania wirtualizacyjnego, które jest przedmiotem zamówienia. Z każdym serwerem Wykonawca musi dostarczyć: 1) oprogramowanie do wirtualizacji, które spełnia wymagania określone w zał. 11 do OPZ; 2) oprogramowanie do zarządzania i monitoringu, które spełnia wymagania określone w zał. 12 do OPZ; 3) oprogramowanie do wykonywania kopii zapasowej, które spełnia następujące wymagania: a) obsługa urządzeń taśmowych i dyskowych w celu przechowywania kopii zapasowych i archiwizacji danych, b) przechowywanie informacji o wykonanych kopiach, harmonogramach oraz nośnikach w relacyjnej bazie danych, c) transakcyjny proces tworzenia kopii zapasowych oraz odtwarzania danych, d) możliwość wykonania mirroring u bazy danych na poziomie logów transakcyjnych, e) możliwość centralnego definiowania procesów polityki tworzenia kopii zapasowych, tj. określenia, jakie dane, kiedy i gdzie powinny być składowane (definiowanie harmonogramu), f) możliwość realizowania raz zdefiniowanej polityki backupu w sposób automatyczny, bez konieczności ingerencji operatora; możliwość wykonywania określonej akcji (zatrzymanie procesów, wykonanie backupu i ponowne uruchomienie), g) wykonywanie kopii zapasowych w sposób przyrostowy pierwsza kopia powinna być kopią całkowitą a kolejne powinny zawierać jedynie dane, które uległy modyfikacji, h) możliwość zdefiniowania czasu ważności kopii danych, tj. czasu, w którym usunięte dane są przechowywane na nośnikach taśmowych bądź dyskowych, i) możliwość jednoczesnego tworzenia kopii zapasowych na różnego rodzaju nośniki (taśmy, dyski) bez ograniczania funkcjonalności, j) możliwość prowadzenia wersyfikacji polityki realizowania kopii zapasowych definiowanie liczby przechowywanych wersji backupowanych zasobów, k) możliwość jednoczesnego backupowania wielu klientów (zasobów) na urządzenia dyskowe; przenoszenie danych bez ingerencji operatora, l) możliwość tworzenia kopii zapasowych tzw. on-linie z serwerów baz i aplikacji MS SQL, Oracle, MS SharePoint bez konieczności zatrzymywania pracy serwera bazy danych, m) automatyczna optymalizacja położenia danych na taśmach pod kątem wykorzystania nośników, 20
n) automatyczna optymalizacja liczby zapisanych taśm, tj. przenoszenia danych pomiędzy taśmami w celu zwolnienia nośników i ponownego ich użycia, o) automatyczne grupowanie na taśmie, grupie taśm danych z jednego systemu plików, serwera lub grupy serwerów, p) możliwość tworzenia najświeższego obrazu pełnego backupu dla serwerów na bazie już zabezpieczonych danych; proces ten powinien odbywać się bez konieczności wykorzystania przestrzeni dyskowych, q) zarządzanie wieloma kopiami zabezpieczonych danych; optymalizacja taśm znajdujących się w obsługiwanej bibliotece taśmowej, r) zarządzanie backupami na poziomie pojedynczych plików i obiektów, s) możliwość odtwarzania kopii zapasowej z dowolnego punktu w czasie, t) funkcja odtwarzania danych w przypadku przerwania transmisji od miejsca gdzie nastąpiła przerwa, u) funkcja archiwizacji danych kopia danych nie podlegająca modyfikacji, v) możliwość odtwarzania danych w dowolne wskazane miejsce dyskowe, w) możliwość tworzenia i odtwarzania kopii zapasowych z wykorzystaniem struktury sieciowej SAN, x) możliwość integracji z mechanizmami sprzętowego szyfrowania nośników taśmowych, y) funkcjonalność utrzymywania w puli dyskowej tylko ostatniej wersji backupu; w przypadku zmiany danych wersji w puli na nową system musi automatycznie usunąć stare dane, z) funkcjonalność nieodwracalnego usunięcia danych z systemu zabezpieczenia danych poprzez usunięcie informacji o zabezpieczonych danych z repozytorium zarządcy backupów oraz zamazanie przestrzeni na specjalnie przygotowanej strukturze składowania danych, aa) komunikacja z klientem systemu backupu za pomocą protokołu SSL, bb) możliwość jednoczesnego zapisu i odczytu danych z pul dyskowych, cc) możliwość odtworzenia pojedynczego obiektu z Microsoft Active Directory bez restartu serwera, dd) dedykowany moduł monitorowania i raportowania systemu backupu, ee) możliwość definiowania kryteriów alarmów na podstawie dowolnych danych systemu backupu, ff) graficzna prezentacja bieżących i historycznych danych w ramach jednego widoku; 4) systemy operacyjne, przy czym systemy zainstalowane aktualnie w CPDI, działają zarówno na serwerach fizycznych jak i wirtualnych z zainstalowanym systemem operacyjnym z rodziny Microsoft Windows 2003/2008 Serwer Std/Ent 32/64 bit w wersji licencyjnej OEM oraz Open License. Licencje posiadane przez Zamawiającego uniemożliwiają przeniesienie posiadanych systemów Windows z serwerów fizycznych do środowiska wirtualnego, a także przeniesienie serwerów wirtualnych z obecnie posiadanych fizycznych serwerów na dostarczane serwery. W związku z tym, przedmiot zamówienia obejmuje dostawę licencji na system operacyjny Microsoft Windows Server (lub równoważny) w konfiguracji umożliwiającej instalację nieograniczonej liczby maszyn wirtualnych z systemem operacyjnym Windows Server lub równoważnym. 21
Zamawiający dopuszcza rozwiązanie równoważne, pod warunkiem, że będzie ono w stanie przejąć obsługę wszystkich systemów będących w posiadaniu Zamawiającego, a także dostarczy wymaganą liczbę licencji równoważnych na już posiadane serwery. W takim przypadku Wykonawca wykona migrację systemów Zamawiającego z obecnie użytkowanych systemów operacyjnych Windows do zaoferowanego rozwiązania równoważnego, zachowując termin wykonania niniejszego zamówienia oraz przeszkoli 4 administratorów Zamawiającego z administracji zaoferowanym rozwiązaniem równoważnym. V. Macierz dyskowa: 1) wszystkie dane zapisywane na macierzy muszą być zabezpieczone przed utratą, za pomocą zapisu 2 kopii fizycznych na 2 różnych dyskach; 2) skuteczna przestrzeń dyskowa netto na dane: 42 TB; 3) pamięć cache: 128 GB; 4) możliwość tworzenia 10.000 LUN; 5) możliwość tworzenia LUN o wielkości 40 TB; 6) wielościeżkowa obsługę LUN multipathing ; 7) możliwość rozbudowy w jednej szafie RACK do 240 TB powierzchni użytecznej netto oraz 300 GB pamięci cache; 8) 8 interfejsów FC 8 Gbps dedykowanych do podłączeń z serwerami oraz możliwość rozbudowy do 24 interfejsów; 9) redundantne i wymienialne w trakcie pracy urządzenia (hot-swappable) wszystkie krytyczne elementy macierzy, w tym kontrolery, dyski, moduły i zasilacze awaryjne; 10) oprogramowanie do wykonywania kopii migawkowych - wymagana licencja na dostarczoną pojemność; 11) kopie migawkowe tworzone w trybach: przyrostowym, jako kopie pełne i kopie wskaźników; 12) możliwość natychmiastowego wykorzystywania kopii migawkowych, tj. zapewniony szybki dostęp do zapisu i odczytu; 13) możliwość wykonania 1.000 kopii migawkowych z jednego LUN; funkcjonalność ta powinna być dostępna jednocześnie dla wszystkich LUN; 14) replikacja danych w trybie synchronicznym i asynchronicznym wymagana licencja na dostarczaną pojemność i uwzględniać możliwość replikacji obustronnej; 15) zapewnienie replikacji z posiadaną przez Głównego użytkownika macierzą IBM XIV; 16) możliwość zarządzania przy pomocy interfejsu graficznego oraz z linii komend z wbudowanymi mechanizmami powiadamiania administratora o awariach (min. SNMP, mail); w celu zabezpieczenia danych oprogramowanie musi zapewniać możliwość przypisywania ról (typów użytkowników) z różnymi poziomami uprawnień do zarządzania; w ramach dostarczonego oprogramowania muszą być dostępne co najmniej funkcje: a) kontroli wydajności macierzy dla poszczególnych hostów/serwerów na poziomie operacji odczyt, odczyt/zapis, zapis prezentując dane historyczne za 90 dni: 22
opóźnienie i/o (latency), przepustowość (throughput/bandwidth), ilość operacji i/o (IOPS), b) możliwość zarządzania/kontroli pracy 2 macierzy z jednego okna aplikacji; 17) aktywna obsługa grup spójności dla kopii migawkowych i replikacji wymagana licencja na całą pojemność; 18) aktywny thinprovisioning, czyli nadalokację przestrzeni dyskowej dla wolumenów - wymagana licencja na dostarczoną pojemność; 19) macierz musi mieć możliwość dynamicznego powiększania rozmiaru wolumenów logicznych; 20) zasilanie z sieci 230V/50Hz; urządzenie musi posiadać zainstalowane 2 zasilacze w układzie redundantnym o mocy pozwalającej na obsługę w pełni obsadzonego urządzenia; awaria jednego z nich, albo jednego z obwodów zasilających nie może powodować przerwy oraz spadku funkcjonalności w pracy urządzenia. VI. Serwer backupu: 1) obudowa o wysokości maksymalnie 2U, dedykowana do zamontowania w szafie rack 19" z zestawem szyn do mocowania w szafie i wysuwania do celów serwisowych; 2) zainstalowane 2 procesory klasy x86 z rozszerzeniem 64-bitowym; serwer z oferowanymi procesorami musi osiągać wynik 200 w teście SPECint_rate_base2006; wymagana jest obecność protokołu potwierdzającego osiągnięty wynik na stronie: www.spec.org; 3) zainstalowana pamięć 64 GB RAM klasy PC3-10600 CL9 ECC DDR3 1333MHz VLP RDIMM; zainstalowane moduły RAM muszą pochodzić od producenta serwera; 4) zainstalowane 4 dyski 600 GB SAS; 5) zainstalowany napęd DVD-RW; 6) zainstalowane 2 interfejsy typu 1Gb Ethernet i 2 interfejsy 10Gb i 4 interfejsy 8Gb FC; 7) serwer oraz zainstalowany w nim osprzęt (adaptery) musi być wspierany przez systemy operacyjne RedHat Enterprise Linux ES 5 (wersje 32-bitowe i 64-bitowe) oraz Windows 2008 (wersje 32-bitowe i 64-bitowe); 8) zasilanie z sieci 230V/50Hz; urządzenie musi posiadać zainstalowane 2 zasilacze w układzie redundantnym o mocy pozwalającej na obsługę w pełni obsadzonego urządzenia; awaria jednego z nich, albo jednego z obwodów zasilających nie może powodować przerwy oraz spadku funkcjonalności w pracy urządzenia; 9) zintegrowany z płytą główną kontroler zdalnego zarządzania zgodny ze standardem IPMI 2.0 umożliwiający zdalny restart serwera i pełne zarządzania serwerem poprzez połączenie w sieci TCP/IP przy użyciu przeglądarki internetowej, pozwalający m.in. na dostęp do konsoli serwera, włączanie/wyłączanie serwera, reinstalację systemu operacyjnego, zdalne podłączenie napędów. 23