... Nazwa (firma) wykonawcy albo wykonawców ubiegających się wspólnie o udzielenie zamówienia Załącznik nr 3a do SIWZ (Załącznik nr 1 do OPZ) Formularz Oferty Technicznej 1. Minimalne wymagania techniczne dotyczące routerów w CPD i RCPD podłączonych do sieci WAN (2 sztuki) Router typu A Nazwa/typ/model/ oferowanego urządzenia wraz z kartami dodatkowymi:......... 1.1. Parametry i funkcjonalności wymagane dla routerów typu A Lp Nazwa parametru Typ wymagania* 1 Urządzenie o architekturze modularnej wyposażone w 6 portów Gigabit Ethernet umożliwiających instalację modułów interfejsowych typu SFP. Urządzenie wyposażone jest w 6 modułów interfejsowych SFP z portami 1000BASE-T; Potwierdzenie spełniania wymagania 2 Urządzenie wyposażone w minimum 4 synchroniczne interfejsy szeregowe o przepustowości min. 2Mbit/s każdy; 3 Urządzenie wyposażone jest w 2 wbudowane porty 10 Gigabit Ethernet typu SFP+; 4 Urządzenie posiada minimum jeden slot na karty rozszerzeń umożliwiający między innymi instalację następujących kart rozszerzeń: a. 1 port TenGigabitEthernet b. 8 portów Gigabit Ethernet Strona 1 z 13
5 Urządzenie posiada zasoby sprzętowe pozwalające przełączać 15 Mbps oraz 20 Gbps ruchu, przy czym wydajność urządzenia jest stopniowana poprzez zastosowanie odpowiedniej licencji. Dostarczone urządzenie powinno być wyposażone w licencję co najmniej na 2.5 Gbps. 6 Urządzenie wyposażone jest w min 8 GB pamięci RAM 7 Urządzenie wyposażone jest w sprzętowy układ akceleracji szyfrowania o wydajności 5 Gb/s dla ruchu IMIX oraz 8 Gb/s dla ruchu o pakietach dł. 1400B 8 Urządzenie obsługuje 1 000 000 prefiksów w tablicach routing IPv4 9 Urządzenie obsługuje 1 000 000 prefiksów w tablicach routing IPv6 10 Urządzenie obsługuje 100000 tras multicast 11 Urządzenie obsługuje routing dynamiczny dla IPv4: OSPF, ISIS, BGP 12 Urządzenie obsługuje routing dynamiczny dla IPv6: OSPFv3, ISIS, BGP ISIS, BGP 13 Urządzenie realizuje multicast w szczególności: PIM sparse/dense/ssm, IGMP, MLD, Multicast VPN 14 Urządzenie posiada następujące funkcjonalności związane z niezawodnością pracy: a. posiada system modularny umożliwiający aktualizację poszczególnych modułów programowych niezależnie od siebie b. redundancja procesów rutingowych realizowana poprzez uruchomienie dwóch kopii systemu operacyjnego c. obsługuje BFD dla OSPF, BGP, ISIS d. obsługuje IP FRR e. obsługuje BGP Prefix-Independent Convergence (PIC) f. obsługuje Graceful Restart dla OSPF, BGP, ISIS, LDP, RSVP g. funkcjonalność VRRP h. redundantne zasilacze 230V Strona 2 z 13
15 Obsługuje 8000 instancji wirtualnych tablic routingu 16 Urządzenie obsługuje mechanizmy jakości usług (QoS): a. obsługa mechanizmów QoS (klasyfikacja, kolejkowanie, oznaczanie, policing, shaping) per port/vlan zarówno dla IPv4 jak i IPv6 b. obsługa hierarchicznego QoS (H-QoS) c. klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: adres MAC, adres IP, port TCP, VLAN ID, MPLS EXP, 802.1p (CoS), IP ToS/DSCP. d. dynamiczna alokacja kolejek sprzętowych, dostępne 16 000 kolejek e. implementacja algorytmu Round Robin (Shaped Round Robin) lub podobnego dla obsługi kolejek. f. możliwość obsługi jednej z kolejek z priorytetem w stosunku do innych. Mechanizm ograniczania ilości ruchu w kolejce priorytetowej. g. możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP. h. możliwość ograniczania pasma wejściowego dostępnego na danym porcie dla ruchu o danej klasie obsługi (ingress policing, rate limiting). i. obsługa WRED 17 Urządzenie posiada funkcjonalności bezpieczeństwa o następujących parametrach: a. sprzętowa ochrona warstwy zarządzającej (Control Plane Policing), ze wsparciem dla list kontroli dostępu b. obsługuje Unicast RPF (Reverse Path Forwarding) c. 50000 wpisów na listach kontroli dostępu (ACL) w całym systemie, 30000 wpisów na pojedynczej liście kontroli dostępu oraz obsługa 4000 list kontroli dostępu (ACL) d. dostęp administracyjny oparty o role z przypisanymi uprawnieniami e. urządzenie posiada funkcjonalności szyfrowania VPN z wydajnością 5 Gbps (ruch Strona 3 z 13
IMIX) z obsługą 8000 tuneli IPSec f. zasoby sprzętowe umożliwiające uruchomienie funkcjonalności zapory ogniowej typu statefull (ang. statefull firewall), przy czym zapora ogniowa: o umożliwia definicję stref bezpieczeństwa (zone-based firewall) z elastyczną definicją scenariuszy przesyłu ruchu pomiędzy różnymi strefami (inspekcja ruchu, odrzucanie ruchu, brak inspekcji) o obsługuje ruch IPv4 oraz IPv6 o umożliwia konfigurację polityk per wirtualna tablica routingu (VRF) o umożliwia obsługę 2 000 000 równoczesnych sesji o umożliwia zestawianie 200 000 nowych połączeń HTTP na sekundę g. sieci VPN typu site-2-site oparte o IPSec h. bez-tunelowe sieci VPN w relacji każdy z każdym w celu zapewnienia optymalnej transmisji pomiędzy dowolnymi węzłami oraz optymalnej realizacji polityk jakości usług (QoS) i transmisji multicast i. algorytmy IPSec następnej generacji oparte o krzywe eliptyczne (RFC 4869), w szczególności: a. Elliptic Curve Diffie-Hellman (ECDH) b. Galois Counter Mode Advanced Encryption Standard (GCM-AES) - 128/256 bitów c. Galois Message Authentication Code (GMAC-AES) - 128/256 bitów d. Elliptic Curve Digital Signature Algorithm (ECDSA) dla IKEv2 j. konfiguracja tuneli IPSec VPN w oparciu o protokół IKEv2 k. IKEv2 zarówno dla VPN typu site-2-site jak i dynamicznych l. IKEv2 zarówno dla ruchu IPv4 jak i IPv6 m. funkcjonalność VPN per VRF 18 Obsługuje tunele GRE (4000 tuneli na system) 19 Urządzenie umożliwia ochronę kryptograficzną tuneli GRE. 20 Obsługa tuneli VTI (Virtual Tunnel Interface) Strona 4 z 13
21 Urządzenie posiada funkcjonalność dystrybucji (kierowania) ruchu sieciowego do urządzeń akcelerujących sieć WAN (akceleratory / optymalizatory WAN) w oparciu o ustalone kryteria (politykę) 22 Urządzenie wyposażone jest w funkcjonalność redundantnego oprogramowania umożliwiającego pracę urządzenia przy awarii oprogramowania podstawowego 23 W ramach funkcjonalności zarządzania: a. Umożliwia zarządzanie poprzez: CLI (Telnet, SSHv2, port konsoli), SNMPv3 b. Porty umożliwiające zarządzanie: port konsoli, port Ethernet, port AUX Posiada port USB c. Obsługuje Ethernet OAM (IEEE 802.3ah, IEEE 802.1ag, ITU-T Y.1731) d. Obsługuje MPLS OAM e. Możliwość pisania skryptów konfiguracyjnych f. Obsługuje NetFlow ze wsparciem dla multicast oraz IPv4/IPv6, umożliwia zbieranie informacji o ruchu i statystyk z nim związanych w tym: źródłowy/docelowy prefix, źródłowy/docelowy port, źródłowy/docelowy system autonomiczny, źródłowy/docelowy interfejs, klasa ToS, ilość pakietów/bajtów/sesji, znaczniki czasowe. g. Wbudowane narzędzia IP SLA umożliwiające pomiar parametrów jakościowych łącza (np. opóźnienie, jitter, straty pakietów) i dostęp do tych informacji za pomocą SNMP h. Wsparcie dla RADIUS. 24 Urządzenie obsługuje Policy Based Routing, w tym także routing oparty o pomiar parametrów łącza (opóźnienie, obciążenie, jitter) z możliwością definiowania polityk per aplikacja 25 Urządzenie umożliwia uruchomienie wydzielonych wirtualnych instancji (przestrzeni) routingowych w oparciu o mechanizm VRF (Virtual Routingu Forwarding), umożliwiając m.in. wykreowanie wydzielonej logicznej sieci na potrzebę obsługi ruchu określonej aplikacji lub wydzielonego fragmentu sieci. 27 Urządzenie obsługuje funkcjonalność Bidirectional Strona 5 z 13
Forwarding Detection (BFD), zapewniając przy tym wsparcie dla protokołów BGP, OSPF, IS-IS, routingu statycznego. 28 Urządzenie umożliwia uruchomienie usługi klasyfikacji ruchu w oparciu o głęboką analizę pakietów, przy czym klasyfikacja ta: a. opiera się na kilku mechanizmach gwarantujących poprawne rozpoznawanie wielu aplikacji / protokołów b. udostępnia 3 atrybuty opisujące daną aplikację / protokół (atrybuty ułatwiają konfigurowanie QoS na urządzeniu poprzez grupowanie podobnych aplikacji / protokołów - na przykład wszystkie aplikacje typu p2p mają taką samą wartość atrybutu określającego typ aplikacji). c. nie wymaga rozbudowy sprzętowej urządzenia, jedynie zakup licencji 29 Możliwość tunelowania przesyłanych danych w postaci tuneli GRE typu punkt-punkt oraz punktwielopunkt z możliwością uruchomienia protokołów routingu dynamicznego pomiędzy urządzeniami połączonymi za pomocą tuneli GRE. 30 Obudowa urządzenia jest wykonana z metalu 31 Możliwość montażu w szafie 19 * Wymaganie oznacza, że w przypadku niespełniania dowolnego wymagania oznaczonego jako bezwzględne, Oferta będzie odrzucona. 1.2. Parametry i funkcjonalności dodatkowe dla routerów typu A Lp Nazwa parametru Typ wymagania* 1 Urządzenie umożliwia dołożenie przestrzeni dyskowej typu SSD o pojemności minimum 350 GB. Potwierdzenie spełniania wymagania** /NIE 2 Urządzenie obsługuje funkcjonalność BFD dla interfejsów skonfigurowanych do współpracy z VRF 3 Urządzenie obsługuje protokół NHRP (ang. Next Hop Resolution Protocol). /NIE /NIE Strona 6 z 13
4 Urządzenie obsługuje protokół GDOI (RFC 3547). /NIE 5 Posiada funkcjonalność sieci VPN, w tym także dynamicznych sieci VPN opartych o protokoły NHRP oraz GDOI, z konfiguracją polityk per wirtualna tablica routingu, 6 Urządzenie obsługuje MPLS, w szczególności: 1. LDP 2. EoMPLS, VPLS 3. MPLS L3 VPN 4. MPLS TE 5. MPLS FRR w trybach protekcji łącza oraz węzła 7 Urządzenie posiada możliwość wyszukiwania fragmentów konfiguracji z linii poleceń urządzenia, dzięki stosowaniu wyrażeń-filtrów 8 Możliwość wykorzystania rodzajów aplikacji/ruchu aplikacyjnego w tworzeniu polityk QoS 9 Możliwość wymiany modułów w trakcie pracy (ang. hot swap) 10 Ochrona centralnego procesora urządzenia (CPU) przed atakiem Denial of Service (DoS) poprzez możliwość klasyfikowania i limitowania ruchu docierającego do CPU wraz z logowaniem pakietów przekraczających skonfigurowane limity ruchu docierającego do CPU 11 Możliwość uruchomienia funkcjonalności analizy i klasyfikacji pakietów w warstwie 2-7 polegającej na przeszukiwaniu pakietów pod kątem zawierania specyficznych ciągów znaków i wykrywania na tej podstawie ataków /NIE /NIE /NIE /NIE /NIE /NIE /NIE * Wymaganie oznacza, że Oferent może, ale nie musi, zaoferować daną funkcjonalność. Dodatkowe funkcjonalności będą punktowane na etapie oceny Oferty, w sposób opisany w cz. XVII SIWZ. ** Potwierdzić spełnianie wymagania, poprzez skreślenie NIE w danej pozycji.. Strona 7 z 13
2. Minimalne wymagania techniczne dotyczące routerów CPD i RCPD podłączonych do Internetu (2 sztuki) Router typu B Nazwa/typ/model/ oferowanego urządzenia wraz z kartami dodatkowymi:......... 2.1. Parametry i funkcjonalności wymagane dla routerów typu B Lp Nazwa parametru Typ wymagania* 1 Urządzenie o architekturze modularnej wyposażone w 6 portów Gigabit Ethernet umożliwiających instalację modułów interfejsowych typu SFP. Urządzenie wyposażone jest w 6 modułów interfejsowych SFP z portami 1000BASE-T 2 Urządzenie wyposażone jest w 2 wbudowane porty 10 Gigabit Ethernet typu SFP+ Potwierdzenie spełniania wymagania 3 Urządzenie posiada jeden slot na karty rozszerzeń umożliwiający między innymi instalację następujących kart rozszerzeń: a. 1 port TenGigabitEthernet b. 8 portów Gigabit Ethernet 4 Urządzenie posiada zasoby sprzętowe pozwalające przełączać 15 Mbps oraz 20 Gbps ruchu, przy czym wydajność urządzenia jest stopniowana poprzez zastosowanie odpowiedniej licencji. Dostarczone urządzenie powinno być wyposażone w licencję co najmniej na 2.5 Gbps. 5 Urządzenie wyposażone jest w min 8 GB pamięci RAM 6 Urządzenie wyposażone jest w sprzętowy układ akceleracji szyfrowania o wydajności 5 Gb/s dla ruchu IMIX oraz 8 Gb/s dla ruchu o pakietach dł. 1400B 7 Urządzenie obsługuje 1 000 000 prefiksów w tablicach routing IPv4 Strona 8 z 13
8 Urządzenie obsługuje 1 000 000 prefiksów w tablicach routing IPv6 9 Obsługuje 100 000 trasy multicast 10 Urządzenie obsługuje routing dynamiczny dla IPv4: OSPF, ISIS, BGP 11 Urządzenie obsługuje routing dynamiczny dla IPv6: OSPFv3, ISIS, BGP 12 Urządzenie realizuje multicast w szczególności: PIM sparse/dense/ssm, IGMP, MLD, Multicast VPN 13 Urządzenie posiada następujące funkcjonalności związane z niezawodnością pracy: a. posiada system modularny umożliwiający aktualizację poszczególnych modułów programowych niezależnie od siebie b. obsługuje BFD dla OSPF, BGP, ISIS c. obsługuje IP FRR d. obsługuje BGP Prefix-Independent Convergence (PIC) e. obsługuje Graceful Restart dla OSPF, BGP, ISIS, LDP, RSVP f. funkcjonalność VRRP 14 Urządzenie obsługuje mechanizmy jakości usług (QoS): a. obsługa mechanizmów QoS (klasyfikacja, kolejkowanie, oznaczanie, policing, shaping) per port/vlan zarówno dla IPv4 jak i IPv6 b. obsługa hierarchicznego QoS (H-QoS) c. klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: adres MAC, adres IP, port TCP, VLAN ID, MPLS EXP, 802.1p (CoS), IP ToS/DSCP. d. dynamiczna alokacja kolejek sprzętowych, dostępne 16 000 kolejek e. implementacja algorytmu Round Robin (Shaped Round Robin) lub podobnego dla obsługi kolejek. f. możliwość obsługi jednej z kolejek z priorytetem w stosunku do innych. Mechanizm ograniczania ilości ruchu w kolejce priorytetowej. Strona 9 z 13
g. możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP. h. możliwość ograniczania pasma wejściowego dostępnego na danym porcie dla ruchu o danej klasie obsługi(ingress policing, rate limiting). obsługa WRED 15 Urządzenie posiada funkcjonalności bezpieczeństwa o następujących parametrach: a. sprzętowa ochrona warstwy zarządzającej (Control Plane Policing) ze wsparciem dla list kontroli dostępu b. obsługuje Unicast RPF (Reverse Path Forwarding) c. 50000 wpisów na listach kontroli dostępu (ACL) w całym systemie, 30000 wpisów na pojedynczej liście kontroli dostępu oraz obsługa 4000 list kontroli dostępu (ACL) d. dostęp administracyjny oparty o role z przypisanymi uprawnieniami 16 Obsługuje tunele GRE (4000 tuneli na system) W ramach funkcjonalności zarządzania: a. Umożliwia zarządzanie poprzez: CLI (Telnet, SSHv2, port konsoli), SNMPv3 b. Porty umożliwiające zarządzanie: port konsoli, port Ethernet, port AUX c. Posiada port USB d. Obsługuje Ethernet OAM (IEEE 802.3ah, IEEE 802.1ag, ITU-T Y.1731) e. Obsługuje MPLS OAM f. Możliwość pisania skryptów konfiguracyjnych g. Obsługuje ze wsparciem dla multicast oraz IPv4/IPv6, umożliwia zbieranie informacji o ruchu i statystyk z nim związanych w tym: źródłowy/docelowy prefix, źródłowy/docelowy port, źródłowy/docelowy system autonomiczny, źródłowy/docelowy interfejs, klasa ToS, ilość pakietów/bajtów/sesji, znaczniki czasowe. h. Wbudowane narzędzia IP SLA umożliwiające pomiar parametrów jakościowych łącza (np. opóźnienie, jitter, straty pakietów) i dostęp do Strona 10 z 13
tych informacji za pomocą SNMP i. Wsparcie dla RADIUS. 17 Obsługuje 8000 instancji wirtualnych tablic routingu 18 Urządzenie obsługuje Policy Based Routing, w tym także routing oparty o pomiar parametrów łącza (opóźnienie, obciążenie, jitter) z możliwością definiowania polityk per aplikacja Urządzenie umożliwia uruchomienie wydzielonych wirtualnych instancji (przestrzeni) routingowych w oparciu o mechanizm VRF (Virtual Routingu Forwarding), umożliwiając m.in. wykreowanie wydzielonej logicznej sieci na potrzebę obsługi ruchu określonej aplikacji lub wydzielonego fragmentu sieci. 19 Możliwość tunelowania przesyłanych danych w postaci tuneli GRE typu punkt-punkt oraz punktwielopunkt z możliwością uruchomienia protokołów routingu dynamicznego pomiędzy urządzeniami połączonymi za pomocą tuneli GRE. 20 Urządzenie obsługuje funkcjonalność Bidirectional Forwarding Detection (BFD), zapewniając przy tym wsparcie dla protokołów BGP, OSPF, IS-IS, routingu statycznego. 21 Obudowa urządzenia jest wykonana z metalu 22 Możliwość montażu w szafie 19 * Wymaganie oznacza, że w przypadku niespełniania dowolnego wymagania oznaczonego jako bezwzględne, Oferta będzie odrzucona. 2.2. Parametry i funkcjonalności dodatkowe dla routerów typu B Lp Nazwa parametru Typ wymagania* 1 Urządzenie umożliwia dołożenie przestrzeni dyskowej typu SSD o pojemności minimum 350 GB. Potwierdzenie spełniania wymagania** /NIE 2 Urządzenie obsługuje funkcjonalność BFD dla /NIE interfejsów skonfigurowanych do współpracy z VRF 3 Urządzenie obsługuje protokół NHRP (ang. Next Hop /NIE Strona 11 z 13
Resolution Protocol). 4 Urządzenie obsługuje protokół GDOI (RFC 3547). /NIE 5 Posiada funkcjonalność sieci VPN, w tym także dynamicznych sieci VPN opartych o protokoły NHRP oraz GDOI, z konfiguracją polityk per wirtualna tablica routingu, 6 Urządzenie obsługuje MPLS, w szczególności: 6. LDP 7. EoMPLS, VPLS 8. MPLS L3 VPN 9. MPLS TE 10. MPLS FRR w trybach protekcji łącza oraz węzła 7 Możliwość tunelowania przesyłanych danych w postaci tuneli GRE typu punkt-punkt oraz punktwielopunkt z możliwością uruchomienia protokołów routingu dynamicznego pomiędzy urządzeniami połączonymi za pomocą tuneli GRE. 8 Urządzenie posiada możliwość wyszukiwania fragmentów konfiguracji z linii poleceń urządzenia, dzięki stosowaniu wyrażeń-filtrów 9 Możliwość wykorzystania rodzajów aplikacji/ruchu aplikacyjnego w tworzeniu polityk QoS 10 Możliwość wymiany modułów w trakcie pracy (ang. hot swap) 11 Ochrona centralnego procesora urządzenia (CPU) przed atakiem Denial of Service (DoS) poprzez możliwość klasyfikowania i limitowania ruchu docierającego do CPU wraz z logowaniem pakietów przekraczających skonfigurowane limity ruchu docierającego do CPU 12 Możliwość uruchomienia funkcjonalności analizy i klasyfikacji pakietów w warstwie 2-7 polegającej na przeszukiwaniu pakietów pod kątem zawierania specyficznych ciągów znaków i wykrywania na tej podstawie ataków /NIE /NIE /NIE /NIE /NIE /NIE /NIE /NIE Strona 12 z 13
* Wymaganie oznacza, że Oferent może, ale nie musi, zaoferować daną funkcjonalność. Dodatkowe funkcjonalności będą punktowane na etapie oceny Oferty, w sposób opisany w cz. XVII SIWZ. ** Potwierdzić spełnianie wymagania poprzez skreślenie NIE w danej pozycji. Lp. Nazwisko i imię osoby (osób) uprawnionej(ych) do występowania w obrocie prawnym lub posiadającej (ych) pełnomocnictwo Podpis(y) osoby (osób) uprawnionej(ych) Miejscowość i data Strona 13 z 13