Załącznik nr 2 do umowy nr... z dnia... Zakres wdroŝenia Zamawiający posiada w kaŝdej lokalizacji okablowanie poziome w kategorii min. 5e zakończone w lokalnych punktach dystrybucyjnych w szafach teletechnicznych. KaŜda szafa wyposaŝona jest z patchpanele, organizery kabli oraz patchcordy potrzebne do krosowania połączeń. Zamawiający posiada infrastrukturę sieciową opartą o serwery blade na której realizuje wirtualizację opartą o hyperwizor firmy VMWare w wersji ESXi 5.5 Standard. Całość infrastruktury serwerowej (klaster 14 serwerów ESX zarządzanych przez vcenter 5.5) znajduje się w serwerowni Zamawiającego przy ul. Racławickiej 56 w Krakowie. W sytuacji kiedy oprogramowanie do zarządzania siecią lub system NAC wymaga zasobów serwerowych, Zamawiający dopuszcza wykorzystanie posiadanej infrastruktury do celów instalacji tego oprogramowania Zamawiający wymaga zapewnienia redundantnego systemu NAC dla zapewnienia wysoko dostępnego systemu kontroli dostępu. Zamawiający posiada sześć biur w Krakowie zlokalizowanych w biurowcach przy ulicach: Racławickiej 56, Basztowej 22, Wielickiej 72, oś Teatralne 4a, Radziwiłłowska 1, Lubelska 24 oraz 3 agendy zamiejscowe w Nowym Sączu, Tarnowie i Oświęcimiu. Do kaŝdej z lokalizacji w Krakowie posiada łącza transmisji danych o symetrycznej przepustowości 1 Gb/s realizujące połączenia L2. Lokalizacja Basztowa 22 obsługuje sieciowo pracowników znajdujących się w tym samym biurowcu ale przy ulicy Zacisze. Lokalizacja Racławicka 56 pełni rolę centrum do którego łączone są pozostałe lokalizacje w Krakowie oraz agendy zamiejscowe. Łączność z placówkami zamiejscowymi realizowana jest za pomocą tuneli VPN. Zamawiający udostępnia pracownikom połączenia do Internetu poprzez dedykowane łącze WAN z lokalizacji Racławicka 56. Wszystkie lokalizacje w Krakowie oraz agendy zamiejscowe wykorzystują je jako łącze do Internetu Na etapie wdroŝenia, Zamawiający przedstawi Wykonawcy pełną listę wykorzystywanych przez siebie sieci VLAN. Znajdują się w niej sieci przeznaczone do takich celów jak: sieć dla urządzeń komputerowych, sieć urządzeń wifi, sieć urządzeń drukujących, sieć serwerowa, sieć managementowa, sieć komunikacji telefonicznej, sieć urządzeń technicznych, sieć DMZ i inne. Zamawiający wymaga wdroŝenia sieci wifi we wszystkich swoich lokalizacjach. Lokalizacja Basztowa z racji warunków technicznych wymaga stosowania punktu AP w kaŝdym pokoju. W lokalizacjach gdzie obecnie znajduje się sieć wifi (Racławicka, Basztowa) przygotowana jest infrastruktura kablowa do punktów AP (zasilanych z POE). Dla pozostałych lokalizacji koniecznie jest wykonanie infrastruktury kablowej. Zamawiający przewiduje wdroŝenie sieci wifi m.in. dla pracowników, konferencji oraz gości. Zamawiający wymaga wdroŝenia sieci wifi wykorzystującej następujące metody uwierzytelniania: preshared key, 802.1x oraz portal jako sposoby łączenia się z siecią kablowa i wifi. Wybór metody uwierzytelniania dla poszczególnego klienta i SSID Zamawiający ustali z Wykonawcą na etapie wdroŝenia. Zamawiający wymaga wdroŝenia i dostosowania portalu logowania. 1
Zamawiający nie posiada w swojej infrastrukturze serwerowej serwera RADIUS, TACACS+ zatem wymaga instalacji serwera AAA przez Wykonawcę na etapie wdroŝenia. Zamawiający posiada usługę katalogową Active Directory jako źródło informacji o uŝytkownikach oraz infrastrukturę PKI oparte o serwery Windows 2012R2. Konfiguracja sieci wifi powinna zapewnić dostęp do sieci dla wszystkich pracowników Zamawiającego niezaleŝnie od lokalizacji. Zamawiający przewiduje wdroŝenie uwierzytelniania uŝytkowników domenowych w oparciu o login/hasło, certyfikat, portal. Urządzenia z poza środowiska domenowego uwierzytelniane będą za pomocą adresu MAC. Lista urządzeń zostanie przygotowana w czasie wdroŝenia systemu. Konfiguracja systemu NAC powinna gwarantować moŝliwość dostępu do sieci dla wielu rodzaju uŝytkowników systemu (pracownicy, staŝyści, praktykanci, wolontariusze, goście) Zamawiającego niezaleŝnie od lokalizacji. Zamawiający wymaga by NAC Assessment dostarczał maksymalnie duŝo szczegółowych informacji o uŝytkowniku oraz urządzeniu z którego dostęp realizuje uŝytkownik Zamawiający wymaga wdroŝenia mechanizmów do analizy ruchu w sieci za pomocą m.in. protokołu NetFlow lub równowaŝnego z minimum przełączników rdzeniowych dających pełny wgląd w bieŝącą sytuację w sieci. Po wdroŝeniu naleŝy przekazać do akceptacji dokumentacje powdroŝeniową będzie ona podstawą do odbioru projektu. 1.1 INSTALACJA URZĄDZEŃ I SIECI 1) Wykonawca zobowiązany jest w szczególności dostarczyć, zainstalować i skonfigurować urządzenia, oraz oprogramowanie określone w SIWZ i ofercie Wykonawcy. 2) Dostarczone urządzenia, okablowanie i inne części które Wykonawca dostarcza Zamawiającemu muszą posiadać stosowne certyfikaty, oraz spełniać wszelkie wymogi i normy zastrzeŝone przez obowiązujące w Polsce przepisy. 3) Do czasu przetestowania urządzeń i sieci i podpisania protokołu odbioru końcowego, Wykonawca ponosi ryzyko ich niesprawności lub wystąpienia innych wad, chyba Ŝe niesprawność lub wada została wyrządzona z winy Zamawiającego. 4) Wszelkie koszty związane z wdroŝeniem w tym koszty dojazdów, noclegów urządzeń wykorzystywanych do wdroŝenia i innych elementów związanych z wdroŝeniem ponosi Wykonawca 5) Końcowym efektem wdroŝenia musi być w pełni skonfigurowana i działająca sieć LAN oraz WLAN do których zostaną podłączone wszystkie urządzenia końcowe Zamawiającego. 1.2 DOKUMENTACJA PROJEKTOWA 1. Wykonanie projektu realizacyjnego przez Wykonawcę. Projekt będzie zawierał harmonogram działań oraz pełen zakres prac wdroŝeniowych 2
2. Projekt zostanie wykonany na podstawie sumy wymagań Zamawiającego z dokumentacji przetargowej oraz obustronnych uzgodnień i musi być zatwierdzony przez Zamawiającego przed rozpoczęciem prac wdroŝeniowych. Projekt Realizacyjny musi obejmować co najmniej następujący zakres: 1. Organizacja prac projektowych a. ZałoŜenia dla wdraŝanych systemów/obszarów. b. Harmonogram prac, c. Komunikacja w projekcie. d. Szczegółowy opis zakresu prac wdroŝeniowych w poszczególnych obszarach e. Proponowaną przez Wykonawcę konfigurację poszczególnych produktów. f. Proponowany przez Wykonawcę zakres testów akceptacyjnych wraz z kryteriami sukcesu. 2. Zakres techniczny: a. Architektura sieci szkieletowej: i. Warstwa logiczna ii. Powiązania poszczególnych elementów, iii. Powiązania z zewnętrznymi systemami i aplikacjami, iv. Adresacja sieci LAN b. Warstwa sieciowa i fizyczna: i. Adresacja poszczególnych elementów, ii. Rozmieszczenie poszczególnych elementów, iii. Wymagania dotyczące rekonfiguracji sieci, zasobów komputerowych c. Konfiguracja poszczególnych podsystemów: i. Projekt konfiguracji przełączników ii. Zabezpieczenie (hardening) przełączników iii. Konfiguracja połączeń typu aggregated iv. Konfiguracja mechanizmów uwierzytelniania, v. Projekt sieci wirtualnych VLAN 3
vi. Projekt zabezpieczenia sieci LAN (m.in. Spanning Tree, DHCP, IP spoofing) vii. Projekt konfiguracji routingu viii. Integracja z systemem NAC ix. Projekt systemu zapewniającego Quality of Sevice x. Konfiguracja mechanizmów Access-list xi. Konfiguracja mechanizmów disaster recovery. xii. Plan krosowania d. Sieć bezprzewodowa i. Planowanie sieci (site survey) ii. opis funkcjonowania sieci WLAN, iii. listę testów akceptacyjnych systemu w szczególności weryfikujących poprawność działania usług sieci WLAN, iv. propozycję nazewnictwa urządzeń, systemów, obiektów, v. listę funkcjonalności i technologii planowanych do wdroŝenia vi. opis sposobu współdziałania poszczególnych komponentów systemu, vii. opis sposobu integracji sieci bezprzewodowej z istniejącymi systemami, w szczególności z MS ActiveDirectory oraz zunifikowanym system bezpieczeństwa sieci LAN viii. wytyczne dla realizacji przyjętej polityki bezpieczeństwa, ix. wytyczne dla uruchomienia usługi CaptivePortal (uwierzytelnianie przez stronę WWW), x. parametry konfiguracyjne dla poszczególnych komponentów systemu 4
e. System NAC i. Architektura systemu ii. Mechanizmy i scenariusze uwierzytelniania iii. Integracja z Active Directory iv. Plan distaster recovery v. Dostęp gościnny vi. Opis sposobu implementacji vii. Scenariusze wdroŝeniowe dla róŝnych systemów operacyjnych na urządzeniach końcowych viii. Sposób podłączenia urządzeń bez suplikanta f. System zarządzania siecią LAN i. ZałoŜenia do konfiguracji g. Integracja z częścią sieci LAN, która nie będzie modernizowana 1.3 WDROśENIE W oparciu o zatwierdzony Projekt Realizacyjny zostanie wykonanie wdroŝenie sieci LAN oraz WLAN. Zamawiający dopuszcza częściowe zatwierdzanie projektu i dopuszczanie do wdroŝenia. W ramach wdroŝenia muszą zostać wykonane minimum następujące prace: 1. Instalacja urządzeń w szafach oraz krosowanie wszystkich urządzeń wskazanych przez Zamawiającego 2. Konfiguracja urządzeń oraz sieci LAN oraz WLAN w zakresie opisanym w Projekcie Realizacyjnym, w tym: 3. Instalacja i konfiguracja oprogramowania zarządzającego zgodnie z wymaganiami zamawiającego w oparciu o dostarczone oprogramowanie. 4. Instalacja i konfiguracja sieci WLAN dla pracowników oraz wydzielonej sieci dla gości, w tym instalacja wszystkich punktów dostępowych we wszystkich wskazanych lokalizacjach urzędu. Po stronie Wykonawcy leŝy dostarczenie wszystkich niezbędnych elementów do podłączenia urządzeń (np. kabli) 5
5. Instalacja i konfiguracja systemu NAC zgodnie z uzgodnionymi z Zamawiającym podczas wdroŝenia wymaganiami opartymi o dostarczony system NAC 6. Migracja komputerów z starej sieci do nowej sieci 7. Testy działania sieci zgodnie ze scenariuszami z Projektu Realizacyjnego 1.4 Dokumentacja powykonawcza Po wykonaniu wdroŝenia Zamawiający otrzyma dokumentację powdroŝeniową przed datą odbioru przedmiotu zamówienia zawierającą następujące dane: a) Architekturę logiczną sieci, b) Architekturę fizyczną sieci, c) Adresację IP, d) Konfigurację wszystkich dostarczonych produktów tworzących sieć, e) Opis zmian w stosunku do Projektu Realizacyjnego wprowadzonych podczas wdroŝenia f) Dobre praktyki w zakresie administracji siecią, w szczególności: Wykonywania kopii zapasowych konfiguracji poszczególnych produktów, Instalacji oprogramowania na poszczególnych produktach, Przeglądu podstawowych parametrów sieci i produktów celem badania poprawności działania oraz wczesnego wykrywania problemów. 1.5 TESTY PRZED ODBIOREM KOŃCOWYM 1) Testy odbędą się w siedzibie Zamawiającego w godzinach roboczych Zamawiającego, w uzgodnionym przez Strony terminie, przy wykorzystaniu dostarczonych przez Wykonawcę w ramach zamówienia programów, narzędzi i systemów pomiarowych i monitoringowych, oraz na Ŝyczenie Zamawiającego programów, narzędzi i systemów pomiarowych i monitoringowych dostarczonych przez Zamawiającego. W trakcie testów, Zamawiający uprawniony będzie do korzystania z usług osób trzecich, w szczególności biegłych i inspektorów nadzoru budowlanego, oraz przedstawiciela producenta sprzętu. 2) W trakcie testów, przetestowana zostanie w szczególności komunikacja w sieci, tj. czy wszystkie urządzenia zostały podłączone zgodnie z umową, czy dostarczone urządzenia posiadają wymagane przez przepisy normy i certyfikaty, czy zgodne są z SIWZ, ofertą Wykonawcy, dokumentacją techniczną i powykonawczą, czy wykonane przez Wykonawcę prace zostały wykonane w zgodnie z przepisami prawa i warunkami umowy. 3) W przypadku gdy w wyniku testów wyjdzie na jaw, iŝ wdroŝenie nie spełnia wymogów wskazanych w SIWZ lub ofercie Wykonawcy, a w szczególności gdy sieć lub urządzenia nie spełniają wymaganych parametrów technicznych wskazanych w SIWZ, Wykonawca 6
zobowiązany jest niezwłocznie, lecz nie później niŝ w okresie przewidzianym na realizację Zamówienia zapewnić spełnienie tych wymogów i parametrów. W ramach wdroŝenia Wykonawca zapewni szkolenia które muszą obejmować minimum 10 dni szkoleń dla minimum 4 osób (dla kaŝdej z osób 10 dni szkolenia) wykłady teoretyczne oraz laboratorium praktyczne. NaleŜy dostarczyć materiały szkoleniowe w języku polskim lub angielskim dla wszystkich uczestników szkolenia. Szkolenie powinno się odbyć w dedykowanym lokalu szkoleniowym w Krakowie. Szkolenia zostaną przeprowadzone w języku polskim. Szkolenia muszą obejmować zakres wdraŝanych u Zamawiającego technologii i muszą to być szkolenie autoryzowane przez producenta dostarczanych urządzeń. Szkolenia nie mogą odbywać się ciągiem przez 10 dni, musi istnieć moŝliwość rozdzielenia szkoleń na minimum 2 róŝne terminy. Szkolenia muszą być podzielone na część teoretyczną oraz część praktyczną tj. laboratoria, przy czym podział czasu powinien być taki aby połowy czasu trwania szkolenia przeznaczone było na część teoretyczną a druga połowa na część praktyczną. Przed podpisaniem protokołu odbioru Wykonawca dostarczy vouchery na szkolenia do wykorzystania w ciągu minimum jednego roku od ich dostarczenia. Vouchery będą podstawą do odbioru w zakresie szkoleń Zakres wsparcia do wdroŝenia: 1. Wykonawca zapewni 24 miesięczne wsparcie do wykonanego wdroŝenia licząc od daty podpisania protokołu odbioru. 2. Wykonawca zapewni wsparcie telefoniczne, zdalne oraz na miejscu u Zamawiającego w zakresie: 1.1 Usuwania błędów działania wdroŝonego sprzętu oraz oprogramowania w tym konfiguracji sprzętu oraz oprogramowania 1.2 WdraŜania nowych wersji oprogramowania, dokonywania aktualizacji 1.3 Przeprowadzania koniecznych zmian w konfiguracji sprzętu oraz oprogramowania zgodnie z wymaganiami Zamawiającego. 1.4 Udzielania informacji dotyczących wdroŝonego sprzętu oraz oprogramowania 1.5 Aktualizacji dokumentacji. 2. Zamawiający będzie zgłaszał błędy, zakres zmian, zapytania dotyczące zakresu zawartego w pkt. 2 pod wskazany przez Wykonawcę adres email lub nr telefonu. 3. Wykonawca zobowiązany jest do usunięcia błędów o których mowa w pkt 2.1 w terminie 3 dni do roboczych od zgłoszenia 4. Wykonawca zobowiązany jest do aktualizacji, wdroŝenia nowej wersji oprogramowania o których mowa w pkt 2.2 w terminie 7 dni roboczych od zgłoszenia. 5. Wykonawca zobowiązany jest do przeprowadzania koniecznych zmian w konfiguracji sprzętu oraz oprogramowania o których mowa w pkt 2.3 w terminie 5 dni roboczych od zgłoszenia. 6. W terminach określonych w pkt. 4-6 Wykonawca zobowiązany jest wykonać wszystkie czynności związane z wdroŝeniem, zmianą, poprawą danego elementu w tym równieŝ 7
przekazaniem informacji o wprowadzonych zmianach, testowaniem i aktualizacją dokumentacji. 7. Wykonawca zobowiązany jest do udzielania Zamawiającemu informacji dotyczących wdroŝonego sprzętu oraz oprogramowania w terminie do 3 dni roboczych od zgłoszenia. 8. Wykonawca zobowiązany jest do przyjmowania zgłoszeń w dni robocze w godzinach od 8 do 16. 8