Na podstawie art. 39 ustawy z dnia 29 stycznia 2004 r. Prawo Zamówień Publicznych (t.j. Dz. U. z 2013r. poz. 907 ze zm.) zwanej dalej ustawą, Uniwersytet Warszawski, Wydział Fizyki zaprasza do udziału w postępowaniu prowadzonym w trybie: PRZETARGU NIEOGRANICZONEGO o wartości szacunkowej przekraczającej kwotę określoną w przepisach wydanych na podstawie art. 11 ust. 8 ustawy na: Uzupełnienie wyposażenia sieci komputerowej Wydziału Fizyki UW wraz z jego uruchomieniem w siedzibie Wydziału Fizyki przy ul. Pasteura 5, Warszawa 1 SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA Zatwierdziła dnia 24.04.2015 r. Dziekan Wydziału Fizyki UW prof. dr hab. Teresa Rząca-Urban
UNIWERSYTET WARSZAWSKI ul. Krakowskie Przedmieście 26/28 00-927 Warszawa www.uw.edu.pl Adres do korespondencji: Uniwersytet Warszawski, Wydział Fizyki ul. Pasteura 5, 02-093 Warszawa fax (22) 55 32 597 NIP 525-001-12-66 REGON 000001258 www.fuw.edu.pl 1. ZAMAWIAJĄCY: zwany dalej ZAMAWIAJĄCYM, reprezentowany przez prof. dr hab. Teresę Rzącę-Urban, działającą na podstawie pełnomocnictwa z dnia 04.03.2013 r., zaprasza do udziału w postępowaniu o udzielenie zamówienia publicznego, prowadzonego w trybie przetargu nieograniczonego na: Uzupełnienia wyposażenia sieci komputerowej Wydziału Fizyki UW wraz z jego uruchomieniem w siedzibie Wydziału Fizyki przy ul. Pasteura 5, Warszawa. 2. OPIS PRZEDMIOTU ZAMÓWIENIA KOD CPV: 32410000-7 lokalna sieć komputerowa, 32413100-2 routery sieciowe, 48821000-9 serwery sieciowe, 51611100-9 usługi instalowania urządzeń komputerowych, 48823000-3 serwer plików. Przedmiotem zamówienia jest: Uzupełnienia wyposażenia sieci komputerowej Wydziału Fizyki UW wraz z jego uruchomieniem w siedzibie Wydziału Fizyki przy ul. Pasteura 5, Warszawa: Część 1: Uzupełnienie wyposażenia i oprogramowania infrastruktury aktywnej transmitującej dane Część 2: Dostawa sieciowego serwera plików o dużej pojemności. 2 Przedmiot zamówienia jest realizowany w ramach projektu p.n. Centrum Nowych Technologii Ochota drugi etap budowy budynku Wydziału Fizyki Uniwersytetu Warszawskiego (CeNT II.2) współfinansowany przez Unię Europejską ze środków Europejskiego Funduszu Rozwoju Regionalnego, Priorytet: XIII Infrastruktura szkolnictwa wyższego, Działanie: 13.1 Infrastruktura szkolnictwa wyższego nr umowy o dofinansowanie: UDA-POIS.13.01-044/12-00. 2.1 Szczegółowy opis przedmiotu zamówienia: Część 1: Uzupełnienie wyposażenia i oprogramowania infrastruktury aktywnej transmitującej dane KOD CPV: 32410000-7 lokalna sieć komputerowa, 32413100-2 routery sieciowe, 48821000-9 serwery sieciowe, 51611100-9 usługi instalowania urządzeń komputerowych. Przedmiotem zamówienia jest dostawa i uruchomienie urządzeń uzupełniających wyposażenie infrastruktury aktywnej transmitującej dane w sieci komputerowej Zamawiającego oraz w
sterowanym poprzez sieć komputerową systemie kontroli dostępu do pomieszczeń w siedzibie zamawiającego, wraz oprogramowaniem do zarządzania siecią komputerową, składające się z następujących elementów: 2.1.1. Uzupełnienie wyposażenia sieci przewodowej, polegające na: 2.1.1.1 Dostawie stakowalnych przełączników sieciowych, w tym: 2.1.1.1.a Dostawie 17 szt. identycznych stakowalnych przełączników sieciowych, każdy wyposażony w co najmniej 48 portów 10/100/1000BaseT, zwanych dalej przełącznikami typu 1A. Wymagania techniczno-użytkowe co do przełącznika typu 1A przedstawia tabela I-1.1. 2.1.1.1.b Dostawie 10 szt. identycznych stakowalnych przełączników sieciowych, każdy wyposażony w co najmniej 48 portów 10/100/1000BaseT zapewniających obsługę technologii Power over Ethernet (PoE) z możliwością dostarczenia do 60W mocy per port, zwanych dalej przełącznikami typu 1B. Ogólne wymagania techniczno-użytkowe co do przełącznika typu 1B przedstawia tabela I-1.1, ponadto odnośnie przełącznika typu 1B wymagane jest by: 1) zainstalowany w przełączniku zasilacz podstawowy zapewniał minimum 800 W mocy dedykowanej dla funkcji PoE; zachowana była zgodność ze standardami IEEE 802.3at/802.3af; 2) przełącznik był wyposażony w zasilacz redundantny o parametrach identycznych jak zasilacz podstawowy. Z przełącznikami oferowanymi w pkt. 2.1.1.1.a i pkt. 2.1.1.1.b należy dostarczyć następujące wyposażenie dodatkowe przeznaczone do ich eksploatacji: 1) Kable stakujące o długości nie mniejszej niż 150cm 5szt.; 2) Kable do stakowania systemów zasilania o długości nie mniejszej niż 150cm 5szt.; 3) Moduł rozszerzenia 2-portowy 10Gigabit Ethernet SFP+ (zgodnie z pkt. 1.b tabeli I- 1.1) - 10 szt.; 4) Moduły SFP+ w standardzie 10GBase-SR 20 szt.; dostarczone moduły SFP+ 10GBase-SR muszą być w pełni kompatybilne z przełącznikami oferowanymi w pkt. 2.1.1.1.a i pkt. 2.1.1.1.b, fakt ich pełnej kompatybilności musi być stwierdzony w oficjalnej dokumentacji technicznej producenta dostarczonych przełączników. 3 Tabela I-1.1: Wymagania techniczno-użytkowe wspólne dla przełączników typu 1A i typu 1B 1. Przełącznik musi posiadać minimum jeden dodatkowy slot na moduł rozszerzeń z możliwością jego wymiany na gorąco (ang. hot swap). Wśród dostępnych modułów rozszerzeń muszą być dostępne co najmniej następujące moduły: a. Minimum 4-portowy moduł Gigabit Ethernet z gniazdami SFP b. Minimum 2-portowy moduł 10Gigabit Ethernet SFP+, przy czym wymagane jest, aby w przypadku wykorzystania pojedynczego łącza 10GE istniała możliwość instalacji dodatkowych 2 portów Gigabit Ethernet SFP c. Minimum 4-portowy moduł 10Gigabit Ethernet SFP+ 2. Porty SFP muszą umożliwiać ich obsadzenie modułami 1000Base-T, 1000Base-SX, 1000Base-LX/LH, 1000Base-BX zależnie od potrzeb Zamawiającego. Porty SFP+ muszą umożliwiać ich obsadzenie modułami 10GBase-SR, 10GBase-LR, 10GBase-LRM, 10GBase-ER oraz modułami optycznymi GE (1000Base-SX, 1000Base-LX/LH) 3. Obsługa standardu Energy-Efficient Ethernet (EEE) zgodnie z IEEE 802.3az 4. Przełącznik musi zapewniać możliwość stakowania z zapewnieniem następujących parametrów: a. Przepustowość w ramach stosu minimum 480Gb/s
b. Min. 8 urządzeń w stosie c. Zarządzanie poprzez jeden adres IP d. Możliwość tworzenia połączeń cross-stack link aggregation (czyli dla portów należących do różnych jednostek w stosie) zgodnie z 802.3ad e. Stackowanie zasilania - przełączniki muszą umożliwiać współdzielenie mocy zasilaczy pomiędzy przełącznikami w stosie (redundancja zasilania bez konieczności instalacji zasilaczy zapasowych w każdym przełączniku, możliwość pożyczania mocy dla innych jednostek w stosie, w tym dla przełączników wymagających większej mocy dla PoE) dla grup liczących nie mniej niż 4 przełączniki. Jeśli w stosie jest instalowane więcej niż 4 przełączniki dopuszcza się tworzenie do 2 takich grup f. Urządzenie musi być dostarczone z wszystkimi niezbędnymi komponentami do realizacji tego zadania (licencje, moduły, kable) 5. Urządzenie musi być wyposażone w redundantne i wymienne moduły wentylatorów 6. Urządzenie musi posiadać możliwość instalacji zasilacza redundantnego. Zamawiający nie dopuszcza stosowania zewnętrznych systemów zasilania redundantnego w celu realizacji tego zadania. Zasilacze muszą być wymienne 7. Przełącznik musi posiadać możliwość rozszerzenia funkcjonalności o funkcję kontrolera sieci bezprzewodowej WiFi (poprzez zakup odpowiedniej licencji lub wersji oprogramowania bez konieczności dokonywania zmian sprzętowych) z zachowaniem następujących parametrów: a. Centralne zarządzanie punktami dostępowymi zgodnie z protokołem CAPWAP (RFC 5415), w tym zarządzane politykami bezpieczeństwa i zarządzanie pasmem radiowym (RRM) b. Przepustowość dla sieci WiFi nie mniejsza niż 40Gb/s c. Obsługa minimum 50 punktów dostępowych d. Obsługa minimum 2000 klientów sieci WiFi e. Możliwość terminowania tuneli CAPWAP na przełączniku f. Elastyczne mechanizmy QoS dla sieci WiFi w tym możliwość definiowania parametrów usług per punkt dostępowy/ssid/klient sieci WiFi 8. Szybkość przełączania zapewniająca pracę z pełną wydajnością wszystkich interfejsów również dla pakietów 64-bajtowych (przełącznik line-rate) 9. Minimum 4GB pamięci DRAM i 2GB pamięci flash 10. Obsługa minimum a. 1000 sieci VLAN b. 32.000 adresów MAC c. 24.000 tras IPv4 11. Obsługa protokołu NTP 12. Obsługa IGMPv1/2/3 13. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem ciągłości pracy sieci: a. IEEE 802.1w Rapid Spanning Tree b. IEEE 802.1s Multi-Instance Spanning Tree c. Obsługa minimum 128 instancji protokołu STP 14. Obsługa protokołu LLDP i LLDP-MED 15. Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego 16. Przełącznik musi posiadać możliwość uruchomienia funkcji serwera DHCP 17. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem bezpieczeństwa sieci: a. Minimum 5 poziomów dostępu administracyjnego poprzez konsolę. Przełącznik musi umożliwiać zalogowanie się administratora z konkretnym poziomem dostępu 4
zgodnie z odpowiedzą serwera autoryzacji (privilege-level) b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN c. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania listy ACL d. Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X e. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC f. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X g. Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie oraz możliwości jednoczesnego uwierzytelniania na porcie telefonu IP i komputera PC podłączonego za telefonem h. Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC 5176 i. Minimum 3000 wpisów dla list kontroli dostępu (ACE) j. Funkcjonalność flexible authentication (możliwość wyboru kolejności uwierzytelniania 802.1X/uwierzytelnianie w oparciu o MAC adres/uwierzytelnianie oparciu o portal www) k. Obsługa funkcji Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source Guard l. Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard) i ochronę przed dołączeniem nieuprawnionych serwerów DHCPv6 do sieci (DHCPv6 Guard) m. Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów RADIUS lub TACACS+ n. Obsługa list kontroli dostępu (ACL), możliwość konfiguracji tzw. czasowych list ACL (aktywnych w określonych godzinach i dniach tygodnia) o. Funkcjonalność prywatnego VLAN-u możliwość definiowania VLANów primary i secondary oraz portów typu promiscuous (port należący do VLANu primary z możliwością komunikacji z innymi portami, w tym z portami isolated i community należącymi do VLANów secondary skojarzonymi z VLANem primary), isolated (port, który może komunikować się tylko z portami promiscuous) i community (port, który może komunikować się z portami promiscuous oraz innymi portami należącymi do tego samego secondary community VLANu) 18. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Implementacja co najmniej 8 kolejek dla ruchu wyjściowego na każdym porcie dla obsługi ruchu o różnej klasie obsługi b. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi kolejek c. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority) d. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP e. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (policing, rate limiting). Możliwość skonfigurowania do 2000 ograniczeń per przełącznik f. Kontrola sztormów dla ruchu broadcast/multicast/unicast g. Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP 19. Urządzenie musi zapewniać możliwość routingu statycznego i dynamicznego dla IPv4 i IPv6 5
(minimum protokół RIP). Urządzenie musi zapewniać możliwość rozszerzenia funkcjonalności o wsparcie dla zaawansowanych protokołów routingu IPv4 (OSPF, BGP) i IPv6 (OPSFv3), funkcjonalności Policy-based routingu i routingu multicast (PIM-SM, PIM- SSM) poprzez zakup odpowiedniej licencji lub wersji oprogramowania bez konieczności dokonywania zmian sprzętowych 20. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN) 21. Urządzenie musi zapewniać możliwość tworzenia statystyk ruchu w oparciu o NetFlow/J- Flow lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie może być mniejsza niż 48.000. Wymagane jest sprzętowe wsparcie dla gromadzenia statystyk NetFlow/J-Flow 22. Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.) 23. Dedykowany port Ethernet do zarządzania out-of-band 24. Minimum jeden port USB umożliwiający podłączenie zewnętrznego nośnika danych. Urządzenie musi mieć możliwość uruchomienia z nośnika danych umieszczonego w porcie USB 25. Urządzenie musi być wyposażone w port konsoli USB 26. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją 27. Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie 28. Urządzenie musi posiadać wbudowany analizator pakietów 29. Obsługa protokołów SNMPv3, SSHv2, SCP, https, syslog z wykorzystaniem protokołów IPv4 i IPv6 30. Możliwość montażu w szafie rack 19. Wysokość urządzenia nie może przekraczać 1 RU 31. Przełącznik musi mieć możliwość zarządzania z poziomu aplikacji Cisco Prime Infrastructure 2.2 będącej w posiadaniu Zamawiającego (być na liście kompatybilności dostawcy aplikacji) 2.1.1.2 Dostawie 12 szt. identycznych przełączników sieciowych, każdy wyposażonych w minimum 48 portów 10/100/1000BaseT, zwanych dalej przełącznikami typu 2. Wymagania techniczno-użytkowe co do przełącznika typu 2 przedstawia tabela I-1.2. Tabela I-1.2: Wymagania techniczno-użytkowe co do przełączników typu 2 1. Typ i liczba portów: a. Minimum 48 portów 10/100/1000BaseT b. Minimum 4 dodatkowe porty uplink Gigabit Ethernet SFP c. Porty SFP muszą umożliwiać ich obsadzanie wkładkami Gigabit Ethernet minimum 1000Base-SX, 1000BaseLX/LH, 1000Base-BX-D/U oraz modułami CWDM zależnie od potrzeb Zamawiającego 2. Urządzenie musi obsługiwać minimum 1000 sieci VLAN 3. Urządzenie musi obsługiwać minimum 16000 adresów MAC 4. Urządzenie musi posiadać min. 512MB pamięci DRAM i 128MB pamięci flash 5. Parametry fizyczne wysokość maksimum 1RU, możliwość montażu w szafie 19 6. Wydajność przełączania minimum 107Mpps dla pakietów 64-bajtowych. Przepustowość przełącznika minimum 108Gb/s (216Gb/s full duplex) 7. Urządzenie musi posiadać możliwość rozbudowy o funkcjonalność łączenia w stosy z zachowaniem następującej parametrów: a. Do min. 8 jednostek w stosie 6
b. Magistrala stakująca o przepustowości co najmniej 80Gb/s c. Możliwość tworzenia połączeń EtherChannel zgodnie z 802.3ad dla portów należących do różnych jednostek w stosie (Cross-stack EtherChannel) d. Jeżeli realizacja funkcji stackowania wymaga dodatkowych modułów/kabli itp. ich dostarczenie w ramach tego postępowania nie jest wymagane 8. Urządzenie musi umożliwiać obsługę ramek jumbo o wielkości min. 9216 bajtów 9. Wbudowane funkcje zarządzania energią: a. Zgodność ze standardem IEEE 802.3az EEE (Energy Efficient Ethernet) b. Możliwość hibernowania przełącznika w określonych godzinach celem dodatkowego oszczędzania energii 10. Obsługa protokołu NTP 11. Musi zapewniać obsługę min. 16 statycznych tras dla routingu IPv4 i IPv6 12. Obsługa ruchu multicast - IGMPv3 i MLDv1/2 Snooping 13. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance Spanning Tree. Wymagane wsparcie dla min. 128 instancji protokołu STP 14. Przełącznik musi posiadać możliwość uruchomienia funkcjonalności DHCP Server 15. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym źródłowym i docelowym adresie MAC 16. Obsługa połączeń link aggregation zgodnie z IEEE 802.3ad. Obsługa mechanizmów bezpieczeństa typu Port Security i IP Source Guard na interfejsach link aggregation 17. Przełącznik musi obsługiwać następujące mechanizmy bezpieczeństwa: a. Minimum 5 poziomów dostępu administracyjnego poprzez konsolę b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL c. Obsługa funkcji Guest VLAN d. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC e. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X f. Przełącznik musi umożliwiać elastyczność w zakresie przeprowadzania mechanizmu uwierzytelniania na porcie. Wymagane jest zapewnienie jednoczesnego uruchomienia na porcie zarówno mechanizmów 802.1X, jak i uwierzytelniania per MAC oraz uwierzytelniania w oparciu o www g. Wymagana jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie h. Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC 5176 i. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6 j. Obsługa list kontroli dostępu (ACL) dla portów (PACL) i interfejsów SVI (RACL) zarówno dla IPv4 jak i IPv6 k. Obsługa mechanizmów Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard l. Funkcjonalność Protected Port m. Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard), ochronę przed dołączeniem nieuprawnionych serwerów DHCPv6 do sieci (DHCPv6 Guard) n. Obsługa funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego o. Możliwość próbkowania i eksportu statystyk ruchu do zewnętrznych kolektorów danych (mechanizmy typu sflow, NetFlow, J-Flow lub równoważne) 18. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w 7
sieci: a. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP b. Implementacja co najmniej czterech kolejek sprzętowych na każdym porcie wyjściowym dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek c. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority) d. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi. Wymagana jest możliwość skonfigurowania minimum 256 różnych ograniczeń 19. Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP) 20. Obsługa protokołu LLDP i LLDP-MED lub równoważnych (np. CDP) 21. Urządzenie musi mieć możliwość zarządzania poprzez interfejs CLI z poziomu portu konsoli 22. Urządzenie musi być wyposażone w port USB umożliwiający podłączenie pamięci flash. Musi być dostępna opcja uruchomienia systemu operacyjnego z nośnika danych podłączonego do portu USB 23. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN) 24. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych 25. Zasilanie 230V AC, możliwość zastosowania redundantnego zasilacza (dopuszczalne rozwiązania zewnętrzne) 26. Przełącznik musi mieć możliwość zarządzania z poziomu aplikacji Cisco Prime Infrastructure 2.2 będącej w posiadaniu Zamawiającego (być na liście kompatybilności dostawcy aplikacji) 8 2.1.1.3 Dostawie 10 szt. identycznych przełączników sieciowych, każdy wyposażonych w minimum 12 portów 10/100/1000BaseT, zwanych dalej przełącznikami typu 3. Wymagania technicznoużytkowe co do przełącznika typu 3 przedstawia tabela I-1.3. Tabela I-1.3: Wymagania techniczno-użytkowe co do przełączników typu 3 1. Przełącznik wyposażony w minimum 12 portów 10/100/1000BaseT z obsługą Power over Ethernet (POE+) zgodnie z IEEE802.3at oraz dodatkowo 2 porty uplink 1000BaseT i 2 porty uplink 1/10GBaseX SFP+ 2. Porty SFP+ muszą umożliwiać ich obsadzenie modułami Gigabit Ethernet (1000Base-SX, 1000Base-LX/LH, 1000Base-BX) oraz 10Gigabit Ethernet (10GBase-SR, 10GBase-LR, 10GBase-LRM, 10GBase-ER) zależnie od potrzeb Zamawiającego 3. Urządzenie musi mieć obudowę desktop, pozbawioną wentylatorów (chłodzenie pasywne) 4. Urządzenie musi zapewniać minimum 240W dla POE 5. Wbudowane funkcje zarządzania energią: a. Zgodność ze standardem IEEE 802.3az EEE (Energy Efficient Ethernet) b. Możliwość hibernowania przełącznika w określonych godzinach celem dodatkowego oszczędzania energii 6. Szybkość przełączania zapewniająca pracę z pełną wydajnością wszystkich interfejsów
również dla pakietów 64-bajtowych (przełącznik line-rate) 7. Minimum 512MB pamięci DRAM i 128MB pamięci flash 8. Obsługa minimum 1000 sieci VLAN 9. Obsługa protokołu NTP 10. Obsługa IGMPv1/2/3 i MLDv1/2 snooping 11. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem ciągłości pracy sieci: a. IEEE 802.1w Rapid Spanning Tree b. IEEE 802.1s Multi-Instance Spanning Tree 12. Obsługa protokołu LLDP i LLDP-MED 13. Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego 14. Przełącznik musi posiadać możliwość uruchomienia funkcji serwera DHCP 15. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem bezpieczeństwa sieci: a. Minimum 5 poziomów dostępu administracyjnego poprzez konsolę. Przełącznik musi umożliwiać zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji (privilege-level) b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN c. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania listy ACL d. Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X e. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC f. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X g. Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie oraz możliwości jednoczesnego uwierzytelniania na porcie telefonu IP i komputera PC podłączonego za telefonem h. Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC 5176 i. Funkcjonalność flexible authentication (możliwość wyboru kolejności uwierzytelniania 802.1X/uwierzytelnianie w oparciu o MAC adres/uwierzytelnianie oparciu o portal www) j. Obsługa funkcji Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source Guard k. Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard) i ochronę przed dołączeniem nieuprawnionych serwerów DHCPv6 do sieci (DHCPv6 Guard) l. Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów RADIUS lub TACACS+ m. Obsługa list kontroli dostępu (ACL), możliwość konfiguracji tzw. czasowych list ACL (aktywnych w określonych godzinach i dniach tygodnia) n. Funkcjonalność prywatnego VLAN-u możliwość definiowania VLANów primary i secondary oraz portów typu promiscuous (port należący do VLANu primary z możliwością komunikacji z innymi portami, w tym z portami isolated i community należącymi do VLANów secondary skojarzonymi z VLANem primary), isolated (port, który może komunikować się tylko z portami promiscuous) i community (port, który może komunikować się z portami promiscuous oraz innymi portami należącymi do tego samego secondary community VLANu) 16. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług 9
w sieci: a. Implementacja co najmniej 4 kolejek dla ruchu wyjściowego na każdym porcie dla obsługi ruchu o różnej klasie obsługi b. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi kolejek c. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority) d. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP e. Kontrola sztormów dla ruchu broadcast/multicast/unicast f. Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP 17. Urządzenie musi zapewniać możliwość routingu statycznego i dynamicznego dla IPv4 i IPv6 (minimum protokół RIP). Urządzenie musi zapewniać możliwość rozszerzenia funkcjonalności o wsparcie dla zaawansowanych protokołów routingu IPv4 (OSPF, BGP) i IPv6 (OPSFv3), funkcjonalności Policy-based routingu i routingu multicast (PIM-SM, PIM- SSM) poprzez zakup odpowiedniej licencji lub wersji oprogramowania bez konieczności dokonywania zmian sprzętowych 18. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN) 19. Możliwość próbkowania i eksportu statystyk ruchu do zewnętrznych kolektorów danych (mechanizmy typu sflow, NetFlow, J-Flow lub równoważne) 20. Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.) 21. Minimum jeden port USB umożliwiający podłączenie zewnętrznego nośnika danych. Urządzenie musi mieć możliwość uruchomienia z nośnika danych umieszczonego w porcie USB 22. Urządzenie musi być wyposażone w port konsoli USB 23. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją 24. Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie 25. Obsługa protokołów SNMPv3, SSHv2, SCP, https, syslog z wykorzystaniem protokołów IPv4 i IPv6 10 2.1.1.4 Dostawie 1 szt. przełącznika sieciowego, zwanego dalej przełącznikiem typu 4. Wymagania techniczno-użytkowe co do przełącznika typu 4 przedstawia tabela I-1.4. Tabela I-1.4: Wymagania techniczno-użytkowe co do przełącznika typu 4 1. Przełącznik sieci Ethernet przystosowany do pracy w warunkach przemysłowych (rozszerzony zakres temperatury pracy) 2. Typ i liczba portów: a. Minimum 4 porty 10/100/1000BaseT RJ45 ze wsparciem dla Power over Ethernet Plus (PoE+) zgodnie z IEEE 802.3at b. Minimum 4 porty downlink combo 10/100/1000 RJ45 lub Gigabit Ethernet SFP c. Minimum 4 porty uplink combo 10/100/1000 RJ45 lub Gigabit Ethernet SFP 3. Porty uplink 1000BaseX SFP muszą umożliwać ich obsadzenie modułami 1000BaseSX, 1000Base-LX, 1000BaseZX, 1000Base-BX zależnie od potrzeb Zamawiającego 4. Możliwość montażu przałącznika na szynie DIN
5. Zasilanie prądem stałym z możliwością dołączenia redundantnych źródeł zasilana z napięciem wejściowym 9.6-60V DC. Pobór mocy nie większy niż 45W (bez POE) 6. Przełącznik musi być wyposażony w wymienna kartę pamięci flash o pojemności 1GB (SD, Compact Flash lub równoważną) do przechowywania plików z oprogramowaniem i konfiguracją - Zamawiający wymaga możliwości wymiany przełącznika bez jego rekonfiguracji (tylko wymiana karty pamięci) 7. Obsługa protokołu IEEE 1588v2 8. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP b. Implementacja co najmniej czterech kolejek sprzętowych na każdym porcie wyjściowym dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek c. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi 9. Wbudowany serwer DHCP 10. Przełącznik musi umożliwiać agregowanie portów zgodnie ze standardem 802.3ad 11. Przełącznik musi zapewniać możliwość rozszerzenia funkcjonalności (poprzez upgrade oprogramowania lub zakup odpowiedniej licencji) o obsługę dla warstwy 3 w tym: a. Routing statyczny i dynamiczny dla IPv4 (minimum RIP, OSPF, BGP) oraz IPv6 (minimum RIPng, OSPF) b. Routing multicastów (PIM-SM i PIM-DM) c. Obsługa protokołu redundnacji bramy (VRRP/HSRP lub równoważny) d. VRF-Lite 12. Przełącznik musi obsługiwać następujące mechanizmy bezpieczeństwa: a. Minimum 5 poziomów dostępu administracyjnego poprzez konsolę b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL c. Obsługa funkcji Guest VLAN d. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC e. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X f. Przełącznik musi umożliwiać elastyczność w zakresie przeprowadzania mechanizmu uwierzytelniania na porcie. Wymagane jest zapewnienie jednoczesnego uruchomienia na porcie zarówno mechanizmów 802.1X, jak i uwierzytelniania per MAC oraz uwierzytelniania w oparciu o www g. Wymagana jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie h. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTP z wykorzystaniem IPv4 i IPv6 i. Obsługa list kontroli dostępu (ACL) j. Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC 5176 k. Obsługa mechanizmów Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard l. Funkcjonalność Protected Port 13. Obsługa funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego 14. Zarządzanie : a. port konsoli (RS-232) 11
b. SSHv2, SNMPv3 c. możliwość autoryzacji prób logowania do urządzenia za pomocą serwerów RADIUS lub TACACS+ d. możliwość zarządzania urządzeniem poprzez interfejs graficzny e. wbudowane makra zapewniające możliwość automatycznej konfiguracji portów przełącznika w zależności od typu dołączonego urządzenia (komputer, telefon, inny przełącznik, urządzenie EtherNet IP) f. plik konfiguracyjny urządzenia musi być plikiem tekstowym, możliwy do edycji w trybie off-line g. LLDP i LLDP-MED h. możliwość tworzenia portów monitorujących, pozwalających na kopiowanie na port monitorujący ruchu z innego dowolnie wskazanego portu zarówno lokalnie, jak i zdalnie (funkcje SPAN/RSPAN) i. wbudowane narzędzia do diagnozy okablowania 15. Parametry wydajnościowe: a. Minimum 512 MB pamięci DRAM oraz 128MB pamięci flash b. Wydajność zapewniająca możlwiość pracy z pełną szybkością wszystkich portów (tzw. line rate) c. Tablica adresów MAC min. 16.000 wpisów d. Min. 1000 sieci VLAN 802.1Q e. Min. 128 instancje dla protokołu STP 16. Obsługa ruchu multicast z wykorzystaniem IGMPv2 i v3 i MLD v1/2 Snooping 17. Wsparcie dla EtherNet/IP i PROFINET 18. Obsługa protokołu Resilient Ethernet Protocol (REP) lub równoważnego 19. Obsługa protokołów 802.1w RSTP i 802.1s MSTP 20. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym źródłowym i docelowym adresie MAC 21. Dwa wejścia I/O służące do podłączania źródeł alarmowych 22. Minimalny zakres temperatury pracy od -40 do +75 st. C 23. Minimalny MTBF - 500.000 godzin 24. Certyfikaty bezpieczeństwa - UL/CSA 60950-1, EN 60950-1, CE 25. Obudowa zgodna z IP30 12 Z przełącznikiem oferowanym w pkt. 2.1.1.4 należy dostarczyć następujące wyposażenie dodatkowe przeznaczone do jego eksploatacji: - Zasilacz prądu zmiennego 230V AC zapewniający minimum 100W mocy dla realizacji funkcji PoE. 2.1.2 Dostawa przełączników do obsługi serwerów - dostawa 2 szt. identycznych wysokowydajnych przełączników przeznaczonych do obsługi serwerów sieciowych, zwanych dalej przełącznikami typu DC. Wymagania techniczno-użytkowe co do przełącznika typu DC przedstawia tabela I-2. Z każdym z przełączników typu DC powinno zostać dostarczone następujące wyposażenie dodatkowe: 1) dwa moduły wyniesione 48x1/10GBaseT i 6 portów uplink 40GE QSFP (zgodnie z pkt. 5.c tabeli I-2); 2) 10 wkładek QSFP 40GBase-SR-BiDi (złącze LC) zapewniających transmisję 40GE z wykorzystaniem pojedynczej pary światłowodów wielomodowych OM3 na odległość 100m do połączenia modułów wyniesionych z modułem macierzystym i przełączników typu DC pomiędzy sobą (łącza 2x40GE);
3) 4 wkładki 10GBaseSR do dołączenia przełącznika typu DC do szkieletu sieci komputerowej w siedzibie Zamawiającego (łącze 2x10GBaseSR). Tabela I-2: Wymagania techniczno-użytkowe co do przełącznika typu DC 1. Przełącznik musi być wyposażony w minimum: a. 32 porty 1/10Gigabit Ethernet SFP+ b. 16 portów zunifikowanych 1GE/10GE (złącza SFP+) - każdy z portów musi mieć możliwość konfiguracji jako port 1GE/10GE, port FCoE lub port FC 4/8Gbps c. 6 portów 40GE QSFP d. Urządzenie musi obsługiwać wkładki 10GBase-SR, 10GBase-LR, twinax, 40GBase-SR4, 40GBase-LR4, 40GBase-CR4 i wkładki Gigabit Ethernet (1000BaseT, 1000Base-SX, 1000Base-LX) 2. Dwa zasilacze pracujące w konfiguracji redundantnej 3. Obudowa rack-mount, 1RU wysokości 4. Przełącznik musi być przełącznikiem line-rate dla L2/L3 wymagana przepustowość 1.44 Tbps, wydajność przełącznia 1071 Mpps (dla pakietów 64 bajtowych) 5. Urządzenie musi umożliwiać dołączenia do minimum 16 zewnętrznych, wyniesionych modułów o konfiguracji interfejsów: a. 48 portów 100/1000BaseT i 4 porty uplink 10GE SFP+ b. 32 porty 1/10GBaseT i 8 portów uplink 10GE SFP+ c. 48 portów 1/10GBaseT i 6 portów uplink 40GE QSFP Zarządzanie modułami musi odbywać się wyłącznie z jednostki centralnej. Dołączenie modułów nie może być zrealizowane z wykorzystaniem mechanizmów L2 (np. Spanning Tree). Dołączenie musi stanowić rozszerzenie w domenie warstwy L1, a oferowane rozwiązanie musi zapewniać kompatybilność modułów wyniesionych z posiadanymi przez Zamawiającego przełącznikami Cisco Nexus 5548UP 6. Urządzenie musi obsługiwać sprzętowo przełączanie pakietów w warstwie L3 minimum w oparciu o routing statyczny. Ponadto urządzenie musi umożliwiać rozszerzenie funkcjonalności (poprzez upgrade oprogramowania lub zakup odpowiedniej licencji) o obsługę protokołów routingu dynamicznego - OSPF oraz BGP z obsługa minimum 24,000 dynamicznych tras IPv4 i 6,000 IPv6 7. Urządzenie musi umożliwiać rozszerzenie funkcjonalności (poprzez upgrade oprogramowania lub zakup odpowiedniej licencji) o funkcje przełącznika sieci SAN (Fibre Channel): a. Standardowe typy portów Fibre Channel: E, F, oraz NP b. Rozszerzone typy portów Fibre Channel: VE, VF oraz VNP c. Do 32 wirtualnych sieci SAN (VSAN) d. Grupowanie portów FC w wiązki PortChannel e. Przesyłanie ruchu z różnych VSAN-ów w ramach pojedynczego interfejsu lub wiązki (VSAN trunking) f. Fabric Device Management Interface (FDMI) g. Fibre Channel ID (FCID) persistence h. Przesyłanie ramek w trybie In-Order Delivery i. Wirtualizacja portów typu N-port (NPV) j. Wirtualizacja N-port identifier (NPIV) k. Serwisy FC: Name server, registered state change notification (RSCN), login services, name-server zoning 13
l. Odrębne serwisy FC dla każdego VSANu m. Wsparcie mechanizmów bezpieczeństwa Diffie-Hellman Challenge Handshake Authentication Protocol (DHCHAP) oraz Fibre Channel Security Protocol (FC- SP) n. Autentykacja Host-to-switch oraz switch-to-switch za pomocą FC-SP o. Routing Fabric Shortest Path First (FSPF) p. Standardowy Zoning q. Port Security (w oparciu o domenę FC i port) r. Fibre Channel traceroute s. Fibre Channel ping t. Fibre Channel debugging 8. Wymagana jest implementacja następujących zaleceń IEEE Data Center Bridging: a. IEEE 802.1Qbb PFC (per-priority pause frame support) b. IEEE 802.1AB DCBX Protocol c. IEEE 802.1Qaz Enhanced Transmission Selection 9. Wymagane funkcje L2: a. Trunking IEEE 802.1Q VLAN b. Wsparcie dla 4000 sieci VLAN c. Rapid Per-VLAN Spanning Tree Plus (PVRST+) (IEEE 802.1w) d. Multiple Spanning Tree Protocol (MSTP) (IEEE 802.1s): 64 instancje e. Spanning Tree PortFast f. Spanning Tree Root Guard g. Spanning Tree Bridge Assurance h. NIC teaming i. Internet Group Management Protocol (IGMP) Versions 2, 3 j. Grupowanie EtherChannel (do 16 portów per wiązka EtherChannel) k. Grupowanie virtual PortChannel (vpc) polegające na terminowaniu pojedynczej wiązki EtherChannel na 2 niezależnych przełącznikach l. Link Aggregation Control Protocol (LACP): IEEE 802.3ad m. Ramki Jumbo dla wszystkich portów (do 9216 bajtów) n. Ramki Pause (IEEE 802.3x) o. Prewencja niekontrolowanego wzrostu ilości ruchu (storm control), dla ruchu unicast, multicast, broadcast p. Implementacja mechanizmu Private VLAN lub równoważnego 10. Funkcje QoS: a. Layer 2 IEEE 802.1p (CoS) b. 8 sprzętowych kolejek per port c. Dedykowana konfiguracja QoS dla każdego portu d. Przypisanie CoS na każdym porcie e. Klasyfikacja QoS w oparciu o listy (ACL (Access control list) w warstwach 2, 3, 4 f. Virtual output queuing dla każdego portu g. Kolejkowanie na wyjściu w oparciu o CoS h. Bezwzględne (strict-priority) kolejkowanie na wyjściu i. Kolejkowanie WRR (Weighted Round-Robin) na wyjściu 11. Funkcje bezpieczeństwa: 14
a. Wejściowe ACL (standardowe oraz rozszerzone) b. Standardowe oraz rozszerzone ACL dla warstwy 2 w oparciu o: adresy MAC adresy, typ protokołu c. Standardowe oraz rozszerzone ACL dla warstw 3 oraz 4 w oparciu o: IPv4 i IPv6, Internet Control Message Protocol (ICMP), TCP, User Datagram Protocol (UDP) d. ACL oparte o VLAN-y (VACL) e. ACL oparte o porty (PACL) 12. Funkcje zarządzania: a. Port zarządzający 10/100/1000 Mbps b. Port konsoli CLI c. Zarządzanie In-band switch d. SSHv2 e. Telnet f. Authentication, authorization, and accounting (AAA) g. RADIUS h. TACACS+ i. Syslog j. Wbudowany analizator pakietów k. SNMP v1, v2, v3 l. Remote monitoring (RMON) m. Advanced Encryption Standard (AES) dla ruchu zarządzającego n. Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) o. Role-Based Access Control RBAC p. Kopiowanie ruchu za pośrednictwem mechanizmu Switched Port Analyzer (SPAN) dla fizycznych portów Ethernet, wiązek PortChannel, sieci VLAN q. Liczniki pakietów wchodzących/wychodzących per każdy port r. Network Time Protocol (NTP) s. Diagnostyka procesu BOOT 13. Rozmiar tabeli adresów MAC min. 64 000 15 2. 1.3. Uzupełnienie wyposażenia sieci bezprzewodowej, polegające na: 2.1.3.1 Dostawie 57 szt. identycznych punktów dostępowych sieci bezprzewodowej. Wymagania techniczno-użytkowe co do oferowanych urządzeń podano w tabeli I-3.1. 2.1.3.2 Dostawie 3 szt. identycznych punktów dostępowych sieci bezprzewodowej dostosowanych do pracy na zewnątrz pomieszczeń. Wymagania techniczno-użytkowe co do oferowanych urządzeń podano w tabeli I-3.2. Wymagania ogólne w zakresie pkt. 2.1.3: 1) Punkty dostępowe sieci bezprzewodowej oferowane w pkt. 2.1.3.1 i w pkt. 2.1.3.2 muszą być kompatybilne z pracującym w sieci Zamawiającego kontrolerem Cisco AIR-CT5508-K9. Fakt zgodności oferowanych urządzeń z AIR-CT5508-K9 musi być stwierdzony w oficjalnej dokumentacji producenta kontrolera AIR-CT5508-K9. Tabela I-3.1: Wymagania techniczno-użytkowe co do punktu dostępowego sieci bezprzewodowej 1. punkt dostępu bezprzewodowego
2. obsługa standardów 802.11a/b/g/n/ac a. obsługa MIMO min. 4x4:3 b. obsługa kanałów 20 i 40 MHz dla 802.11n c. obsługa kanałów 20, 40 i 80 MHz dla 802.11ac d. obsługa prędkości PHY do 1,3 Gbps e. obsługa agregacji ramek A-MPDU (Tx/Rx), A-MSDU (Tx/Rx) f. obsługa TxBF (transmitbeamforming) dla klientów 802.11a/g/n/ac 3. obsługa szerokiego zakresu kanałów radiowych: a. dla zakresu 2.4 GHz: min. 13 kanałów b. dla zakresu 5GHz (UNII-1 i UNII-2): min. 8 kanałów c. dla zakresu 5GHz (extended UNII-2): min. 8 kanałów 4. konfigurowalna moc nadajnika a. dla zakresu 2.4 GHz:do 100 mw b. dla zakresu 5GHz (UNII-1 i UNII-2): do 200 mw c. dla zakresu 5GHz (extended UNII-2): do 200 mw 5. możliwość rozbudowy urządzenia o: a. dedykowany moduł radiowy pozwalający na monitorowanie pasma radiowego pod kątem bezpieczeństwa (Wireless IPS) oraz interferencji na wszystkich kanałach radiowych w pasmach 2,4 GHz oraz 5 GHz lub b. dedykowany moduł radiowy do obsługi transmisji 3G działający w licencjonowanym paśmie 6. zgodność z protokołem CAPWAP (RFC 5415), zarządzanie przez kontroler WLAN Cisco WLC 5508 (będący w posiadaniu Zamawiającego) z funkcjonalnościami: a. automatyczne wykrywanie kontrolera i konfiguracja poprzez sieć LAN b. optymalizacja wykorzystania pasma radiowego (ograniczanie wpływu zakłóceń, kontrola mocy, dobór kanałów, reakcja na zmiany) c. obsługa min. 16 BSSID d. definiowanie polityk bezpieczeństwa (per SSID) z możliwością rozgłaszania lub ukrycia poszczególnych SSID e. współpraca z systemami IDS/IPS f. uwierzytelnianie ruchu kontrolnego 802.11 (z możliwością wykrywania użytkowników podszywających się pod punkty dostępowe) funkcjonalność 802.11w lub równoważna g. obsługa trybów pracy Split-MAC (tunelowanie ruchu klientów do kontrolera i centralne terminowanie do sieci LAN) oraz Local-MAC (lokalne terminowanie ruchu do sieci LAN) h. możliwość pracy po utracie połączenia z kontrolerem, z lokalnym przełączaniem ruchu do sieci LAN i lokalną autoryzacją użytkowników (lokalny serwer RADIUS, skrócona baza danych użytkowników na poziomie AP) przełączenie nie może powodować zerwania sesji użytkowników i. jednoczesna obsługa transferu danych użytkowników końcowych oraz monitorowania pasma radiowego (wykrywanie obcych punktów dostępowych i klientów WLAN, wireless IDS) j. obsługa Dynamic Frequency Selection (DFS) i Transmit Power Control (TPC) zgodnie z 802.11h k. obsługa szybkiego roamingu użytkowników pomiędzy punktami dostępowymi funkcjonalność 802.11r lub równoważna l. obsługa mechanizmów QoS: i. shaping/ ograniczanie ruchu do użytkownika, z możliwością konfiguracji per użytkownik ii. obsługa WMM, TSPEC, U-APSD m. współpraca z urządzeniami i oprogramowaniem realizującym usługi lokalizacyjne 16
n. wbudowany suplikant 802.1X możliwość uwierzytelnienia AP do infrastruktury sieciowej 7. możliwość pracy w trybie kratowym (część AP dołączona do sieci kablowej, pozostałe formujące sieć w oparciu o medium radiowe) a. komunikacja między punktami dostępowymi bez medium kablowego, b. autoryzacja punktów dostępowych w oparciu o certyfikaty X.509, adresy MAC c. separacja trybu pracy poszczególnych zakresów radiowych (jeden dedykowany do obsługi klientów, drugi do komunikacji między punktami dostępowymi) z możliwością konfiguracji wyjątku d. automatyczne formowanie sieci kratowej między punktami dostępowymi (optymalizacja tras z uwzględnieniem parametrów jakościowych połączenia, minimalizacja interferencji z możliwością awaryjnego przełączenia na inne pasmo) e. automatyczne włączanie nowych punktów do sieci (bez konieczności konfiguracji punktów dostępowych w miejscu instalacji) f. automatyczna ochrona kryptograficzna (AES) ruchu pomiędzy AP 8. możliwość pracy autonomicznej po wymianie oprogramowania a. zarządzanie przez HTTPS, SSH, dedykowany port szeregowy, SNMP b. obsługa min. 16 SSID c. współpraca z serwerami autoryzacyjnymi RADIUS (konfigurowane per SSID) d. obsługa WPA/WPA2, 802.1X (z możliwością tworzenia lokalnej bazy użytkowników) e. obsługa mechanizmów QoS (WMM, priorytetyzacja) i wsparcie dla VoWLAN f. obsługa trybów AP, repeater, bridge g. konfiguracja polityk bezpieczeństwa per SSID h. możliwość filtrowania ruchu (w oparciu o MAC, adresy i protokoły IP, porty TCP/UDP) i. uwierzytelnianie ruchu kontrolnego 802.11 j. obsługa szybkiego roamingu pomiędzy punktami dostępowymi k. możliwość eksportu logów z wykorzystaniem SYSLOG 9. zintegrowany moduł analizatora widma częstotliwościowego (dotyczy zakresów 2.4GHz i 5GHz): a. dokładność analizy (kwant próbkowania) max. 200 khz b. zakres częstotliwościowy zgodny z zakresem pracy modułów radiowych c. automatyczne wykrywanie i klasyfikacja źródeł interferencji (bluetooth, DECT, urządzenia mikrofalowe, urządzenia transmisji audio wideo, urządzenia zakłócające itp.) d. możliwość wizualizacji wyników analizy na stacji roboczej klasy PC (FFT, gęstość widma, spektrogram, zajętość kanałów, poziom mocy sygnałów) w czasie rzeczywistym e. współpraca z mechanizmami optymalizacji wykorzystania pasma radiowego 10. interfejs Gigabit Ethernet (10/100/1000) 11. interfejs konsoli 12. zróżnicowane możliwości zasilania: a. zasilacz sieciowy 230V AC b. zasilanie PoE+ (802.3at) w sposób zapewniający pełną wydajność c. zasilanie PoE (802.3af) w sposób automatycznie redukujący układ antenowy do wartości 3x3 (możliwe, gdy punkt dostępowy nie jest wyposażony w dodatkowy dedykowany moduł radiowy) 13. anteny zintegrowane o zysku min. 4dBi dla pasma 2,4 GHz oraz zysku min. 4 dbi dla pasma 5 GHz 14. obudowa przystosowana do warunków pracy w pomieszczeniach biurowych (5 35 o C), o niskim profilu (nie więcej niż 6 cm) 17
15. diodowa sygnalizacja stanu urządzenia z możliwością deaktywacji 16. zgodność z dyrektywą 1999/5/EC i 93/42/ECC 17. certyfikacja WiFi Alliance 802.11a/b/g/n/ac Tabela I-3.2: Wymagania techniczno-użytkowe co do punktu dostępowego sieci bezprzewodowej dostosowanego do pracy na zewnątrz pomieszczeń 1. punkt dostępu bezprzewodowego (access point) 2. obsługa standardów 802.11a/b/g/n a. obsługa MIMO min. 2x3:2 b. obsługa kanałów 20 i 40 MHz c. obsługa prędkości PHY do 300 Mbps d. obsługa agregacji ramek A-MPDU (Tx/Rx) e. obsługa 802.11 DFS (Dynamic Frequency Selection) 3. obsługa szerokiego zakresu kanałów radiowych: a. dla zakresu 2.4 GHz: min. 13 kanałów b. dla zakresu 5GHz min. 8 kanałów 4. możliwość programowego ustawiania mocy wyjściowej a. do 27 dbm dla pasma 5GHz b. do 20 dbm dla 2.4 GHz 5. zgodność z protokołem CAPWAP (RFC 5415), zarządzanie przez kontroler WLAN Cisco WLC 5508 (będący w posiadaniu Zamawiającego) z funkcjonalnościami: a. automatyczne wykrywanie kontrolera i konfiguracja poprzez sieć LAN b. optymalizacja wykorzystania pasma radiowego (ograniczanie wpływu zakłóceń, kontrola mocy, dobór kanałów, reakcja na zmiany) c. obsługa min. 16 BSSID d. definiowanie polityk bezpieczeństwa (per SSID) z możliwością rozgłaszania lub ukrycia poszczególnych SSID e. współpraca z systemami IDS/IPS f. uwierzytelnianie ruchu kontrolnego 802.11 (z możliwością wykrywania użytkowników podszywających się pod punkty dostępowe) funkcjonalność 802.11w lub równoważna g. obsługa trybów pracy Split-MAC (tunelowanie ruchu klientów do kontrolera i centralne terminowanie do sieci LAN) oraz Local-MAC (lokalne terminowanie ruchu do sieci LAN) h. możliwość pracy po utracie połączenia z kontrolerem, z lokalnym przełączaniem ruchu do sieci LAN i lokalną autoryzacją użytkowników (lokalny serwer RADIUS, skrócona baza danych użytkowników na poziomie AP) przełączenie nie może powodować zerwania sesji użytkowników i. obsługa Dynamic Frequency Selection (DFS) i Transmit Power Control (TPC) zgodnie z 802.11h j. obsługa szybkiego roamingu użytkowników pomiędzy punktami dostępowymi funkcjonalność 802.11r lub równoważna k. obsługa mechanizmów QoS: i. shaping/ ograniczanie ruchu do użytkownika, z możliwością konfiguracji per użytkownik ii. obsługa WMM, TSPEC l. współpraca z urządzeniami o oprogramowaniem realizującym usługi lokalizacyjne m. wbudowany suplikant 802.1X możliwość uwierzytelnienia AP do infrastruktury sieciowej 6. praca w trybie kratowym (część AP dołączona do sieci kablowej, pozostałe formujące sieć w oparciu o medium radiowe) a. komunikacja między punktami dostępowymi bez medium kablowego, 18
b. autoryzacja punktów dostępowych w oparciu o certyfikaty X.509, adresy MAC c. separacja trybu pracy poszczególnych zakresów radiowych (jeden dedykowany do obsługi klientów, drugi do komunikacji między punktami dostępowymi) d. automatyczne formowanie sieci kratowej między punktami dostępowymi (optymalizacja tras z uwzględnieniem parametrów jakościowych połączenia, minimalizacja interferencji z możliwością awaryjnego przełączenia na inne pasmo) e. automatyczne włączanie nowych punktów do sieci (bez konieczności konfiguracji punktów dostępowych w miejscu instalacji) f. automatyczna ochrona kryptograficzna (AES) ruchu pomiędzy AP 7. możliwość pracy autonomicznej po wymianie oprogramowania zmiana trybu pracy musi być bezkosztowa w okresie trwania gwarancji a. zarządzanie przez HTTPS, SSH, dedykowany port szeregowy, SNMP b. obsługa min. 16 SSID c. współpraca z serwerami autoryzacyjnymi RADIUS (konfigurowane per SSID) d. obsługa WPA/WPA2, 802.1x (z możliwością tworzenia lokalnej bazy użytkowników) e. obsługa mechanizmów QoS (WMM, priorytetyzacja) i wsparcie dla VoWLAN f. obsługa trybu bridge g. konfiguracja polityk bezpieczeństwa per SSID h. możliwość filtrowania ruchu (w oparciu o MAC, adresy i protokoły IP, porty TCP/UDP) i. uwierzytelnianie ruchu kontrolnego 802.11 j. obsługa szybkiego roamingu pomiędzy punktami dostępowymi k. możliwość eksportu logów z wykorzystaniem SYSLOG 8. interfejs Gigabit Ethernet (10/100/1000BASE-T) 9. interfejs Gigabit Ethernet (10/100/1000BASE-T) umożliwiający podczas pracy kratowej podłączenie kolejnego punktu dostępowego za pomocą medium miedzianego 10. zróżnicowane możliwości zasilania: a. Power over Ethernet: IEEE 802.3at+ b. zasilacz sieciowy AC 220V c. zasilanie z lampy ulicznej 11. anteny zintegrowane o uzysku 3 dbi dla 2.4 GHz oraz 5 dbi dla 5 GHz 12. obudowa odporna na warunki atmosferyczne, przystosowana do pracy zewnętrznej a. przystosowany do montażu na ścianach, możliwość instalacji na latarniach/słupach ulicznych b. waga nie przekraczająca 5 kg (zestaw) c. wymiary nie przekraczające 30 x 20 x 12 cm d. praca przy temperaturach między -30 o C a 50 o C e. odporność na wiatr o prędkości min. 150 km/h (stała prędkość) / 240 km/h (porywy) f. zgodność z IP67 13. wymagane jest dostarczenie uchwytu pozwalającego na montaż punktu dostępowego na słupie/latarni 14. diodowa sygnalizacja stanu urządzenia 15. możliwość przywrócenia ustawień fabrycznych (reset) urządzenia za pomocą wbudowanego przełącznika 16. Certyfikat WiFi Alliance 19 2.1.4 Dostawa kart interfejsów liniowych dla przełącznika pracującego w sieci Zamawiającego, obejmująca dostawę 2 szt. identycznych 16-portowych kart interfejsów liniowych 10GE do przełącznika Cisco Catalyst 6509. Wymagania techniczno-użytkowe co do oferowanych kart podano w tabeli I-4.