Szczegółowy opis przedmiotu zamówienia parametry techniczne, wyposażenie, zakres prac i wymagań Urządzenia sieciowe, moduły i pozostałe komponenty - wymagania wstępne: Cały oferowany sprzęt musi: a) być nieużywany i fabrycznie nowy, b) pochodzić z seryjnej produkcji z uwzględnieniem opcji konfiguracyjnych przewidzianych przez Producenta dla oferowanego modelu sprzętu, c) pochodzić z oficjalnego kanału dystrybucji Producenta na rynek polski. W celu potwierdzenia spełnienia tego wymogu Zamawiający oczekuje dostarczenia przez Wykonawcę na etapie: a) składania oferty: pisemnego oświadczenia producenta lub jego autoryzowanego dystrybutora producenta na Polskę, iż oferowany sprzęt pochodzi z autoryzowanego kanału dystrybucji Producenta w Polsce i będzie on fabrycznie nowy i nie używany w innych projektach. b) realizacji zamówienia: pisemnego protokołu oficjalnego dystrybutora producenta na Polskę, iż sprzęt, którego zestawienie stanowi lista numerów seryjnych, który został dostarczony Zamawiającemu przez Wykonawcę, jest fabrycznie nowy i pochodzi z oficjalnego kanału dystrybucji Producenta na rynek polski i nie był używany do innych projektów. I. Przełącznik rdzeniowy - 2 sztuki 1. Obudowa i porty Obudowa modularna - minimum 6 slotów na karty liniowe, Możliwość zainstalowania minimum: o 140 portów Gigabit Ethernet (SPF lub 10/100/1000 Base-T) lub o 48 portów 10Gigabit Ethernet (SFP+ lub 10G Base-T) lub o 12 portów 40Gigabit Ethernet Dedykowane 2 sloty na moduły zarządzające. Urządzenie należy dostarczyć z zainstalowanymi dwoma modułami zarządzającymi Wysokość do 5U Minimum 2 zasilacze 230V AC o mocy minimum 1000W każdy Obudowa przystosowana do instalacji w szafie 19 (do urządzenia musi zostać dostarczony zestaw do mocowania w szafie Rack 19 ) Minimum 24 porty 10Gb Ethernet na wkładki SFP+ (porty SFP+ muszą wspierać także wkładki 1G SFP) Wymagane porty SFP+ muszą być rozlokowane na minimum 2 kartach Możliwość przechowywania wielu wersji oprogramowania na przełączniku Możliwość przechowywania wielu plików konfiguracyjnych na przełączniku, możliwość wgrywania i zgrywania pliku konfiguracyjnego w postaci tekstowej do stacji roboczej 2. Wymagania Przełącznik warstwy L2 i L3 wydajnościowe Wydajność przełączania minimum 570 Mpps Przepustowość dla przełączania i routingu minimum 950Gb/s Tablica routingu IPv4 minimum 10000 Tablica routingu IPv6 minimum 5000 Tablica MAC addresów minimum 64000 3. Wsparcie dla Zawansowana klasyfikacja QoS bazująca na kryteriach warstwy Layer 2, 3 i 4 QoS Polityki QoS z ustalaniem priorytetu i ograniczaniem pasma, funkcjami bandwidth shaping i port-based rate limiting Obsługa standardu 802.1p min. 8 kolejek na porcie Virus Throttling, ICMP throttling 4. Wsparcie dla Obsługa sieci VLAN 802.1q (jednocześnie do 1024 sieci), MAC-based VLAN, IEEE 802.1v protocol VLANs, GARP VLAN Registration Protocol, IEEE 802.1ad Q-in-Q, L2, L3 Obsługa IEEE 802.1s Multiple SpanningTree / MSTP, IEEE 802.1w Rapid Spanning Tree Protocol, Rapid Per-VLAN Spanning Tree (RPVST+) Wsparcie dla routingu IP: routing statyczny IPv4 i IPv6, RIP, OSPFv2 (IPV4), OSPFv3 (IPv6), BGP Strona 1 z 6
5. Wsparcie dla bezpieczeństwa 6. Elementy dodatkowe 7. Pozostałe wymagania, serwis i wsparcie (IPv4) LLDP - IEEE 802.1AB Link Layer Discovery Protocol oraz LLDP-MED obsługa ramek typu Jumbo, MACSEC, Voice VLAN IGMP Snooping; MLD Snooping Wsparcie dla SDN - obsługa OpenFlow 1.0 i 1.3; wsparcie dla niestandardowych stopni przetwarzania dla OpenFlow Agregacja portów zgodna z 802.3ad LACP Obsługa RMON, XRMON, sflow Obsługa Uni Directional Link Detection Radius/TACACS+, SNMPv3, SSL, SSHv2 802.1x (możliwość jednoczesnej autentykacji dwoma sposobami np. 802.1x oraz MAC, lub 802.1x lub WWW) Obsługa list ACL (listy ACL muszą być obsługiwane sprzętowo, bez pogarszania wydajności urządzenia) Dynamic ARP Protection,, Dynamic IP Lockdown, MAC adres lockout, DHCP Protection Funkcja STP Root Guard Funkcja STP BPDU port Switch CPU Protection, TACACS+ i RADIUS Network Login RADIUS Accounting Wsparcie dla funcji DHCP server, DHCP Relay, DHCP client Obsługa RMON, sflow Zarządzanie poprzez port konsoli (pełne), SNMP v.1, 2c i 3, Telnet, SSH, http i https Syslog SNTP lub NTP Wraz z każdym przełącznikiem należy dostarczyć kable DAC SFP+ SFP+ o długości 7m - 8 sztuk oraz kable DAC SFP+ SFP+ o długości 3m 32 sztuki. Kable muszą pochodzić od producenta dostarczonego przełącznika Dożywotnia gwarancja producenta obejmująca wszystkie elementy przełącznika (również zasilacze i wentylatory) zapewniający dostarczenie sprawnego sprzętu na podmianę na następny dzień roboczy po zgłoszeniu awarii. Gwarancja musi zapewniać również dostęp do poprawek oprogramowania urządzenia oraz wsparcia technicznego. Dodatkowo przez pierwsze 3 lata wymagane jest zapewnienie wsparcia telefonicznego w trybie 24x7. II. Wkładki optyczne do przełączników rdzeniowych 40 sztuk Lp. Wymagania i parametry techniczne 1. Wkładka optyczna 10G Ethernet SFP+ LC SR Wkładki muszą pochodzić od producenta dostarczonego przełącznika rdzeniowego III. Przełącznik dostępowy 17 sztuk 1. Obudowa i porty Minimum 44 porty Ethernet 10/100/1000 z zasilaniem PoE+, Minimum 4 porty 1Gb Ethernet SFP z funkcją RJ-45 dual-personality 1 port konsoli szeregowej (RJ-45 lub USB micro-b); 1 port RJ-45 dla zarządzania poza pasmem; Minimum 2 gniazda na dodatkowe moduły z portami 10GbE SPF+ lub 10GbE Base-T (możliwość doposażenia o co najmniej 4 porty SFP+) Wysokość 1U Minimum 1 zasilacz 230V AC Budżet mocy dla PoE minimum 370W Obudowa przystosowana do instalacji w szafie 19 (do urządzenia musi zostać dostarczony zestaw do mocowania w szafie Rack 19 ) Możliwość łączenia urządzeń w stosy (minimum 4 urządzenia w stosie, urządzenia połączone w stos widziane jako jedno logiczne urządzenie) Możliwość przechowywania wielu wersji oprogramowania na przełączniku Strona 2 z 6
Możliwość przechowywania wielu plików konfiguracyjnych na przełączniku, możliwość wgrywania i zgrywania pliku konfiguracyjnego w postaci tekstowej do stacji roboczej 2. Wymagania wydajnościowe 3. Wsparcie dla QoS 4. Wsparcie dla L2, L3 5. Wsparcie dla bezpieczeństwa 6. Elementy dodatkowe 7. Pozostałe wymagania, serwis i wsparcie Przełącznik warstwy L2 i L3 Wydajność przełączania minimum 130 Mpps Przepustowość dla przełączania i routingu 176 Gb/s Tablica routingu IPv4 minimum 2000 Tablica routingu IPv6 minimum 256 Tablica MAC addresów minimum 16000 Zawansowana klasyfikacja QoS bazująca na kryteriach warstwy Layer 2, 3 i 4 Polityki QoS z ustalamiem priorytetu i ograniczaniem pasma, funkcjami bandwidth shaping i port-based rate limiting Obsługa standardu 802.1p min. 8 kolejek na porcie Virus Throttling, ICMP throttling Obsługa sieci VLAN 802.1q (jednocześnie do 256 sieci), MAC-based VLAN, IEEE 802.1v protocol VLANs, GARP VLAN Registration Protocol Obsługa IEEE 802.1s Multiple SpanningTree / MSTP, IEEE 802.1w Rapid Spanning Tree Protocol, Rapid Per-VLAN Spanning Tree (RPVST+) Wsparcie dla routingu IP: routing statyczny IPv4 i IPv6, RIPv1 i RIP v2 LLDP - IEEE 802.1AB Link Layer Discovery Protocol oraz LLDP-MED obsługa ramek typu Jumbo, Voice VLAN IGMP Snooping; MLD Snooping Wsparcie dla SDN - obsługa OpenFlow 1.0 i 1.3 Radius/TACACS+, SNMPv3, SSL, SSHv2 802.1x (możliwość jednoczesnej autentykacji dwoma sposobami np. 802.1x oraz MAC, lub 802.1x lub WWW) Obsługa list ACL (listy ACL muszą być obsługiwane sprzętowo, bez pogarszania wydajności urządzenia) Dynamic ARP Protection,, MAC adres lockout, DHCP Protection Funkcja STP Root Guard Funkcja STP BPDU port TACACS+ i RADIUS Network Login RADIUS Accounting Wsparcie dla funcji DHCP server, DHCP Relay, DHCP client Obsługa RMON, sflow Zarządzanie poprzez port konsoli (pełne), SNMP v.1, 2c i 3, Telnet, SSH, http i https Syslog SNTP lub NTP Wraz z każdym przełącznikiem należy dostarczyć dedykowany moduł stakujący minimum 2 portowy Wraz z każdym przełącznikiem należy dostarczyć kabel stakujący o długości 3m sztuk 1 Kable i moduły muszą pochodzić od producenta dostarczonego przełącznika Dożywotnia gwarancja producenta obejmująca wszystkie elementy przełącznika (również zasilacze i wentylatory) zapewniający dostarczenie sprawnego sprzętu na podmianę na następny dzień roboczy po zgłoszeniu awarii. Gwarancja musi zapewniać również dostęp do poprawek oprogramowania urządzenia oraz wsparcia technicznego. Dodatkowo przez pierwsze 3 lata wymagane jest zapewnienie wsparcia telefonicznego w trybie 24x7 Przełączniki powinny pochodzić z oficjalnego kanału dystrybucji producenta. Przełączniki muszą być fabrycznie nowe. IV. Moduły rozszerzeń do przełączników dostępowych - 8 sztuk Lp. Wymagania i parametry techniczne 1. Dedykowany moduł rozszerzeń do przełącznika dostępowego z co najmniej 2 portami 10GbEthernet SFP+ Moduły muszą pochodzić od producenta dostarczonego przełącznika Strona 3 z 6
V. Oprogramowanie zarządzające 1 sztuka 1. Funkcjonalność podstawowa Oprogramowanie musi wspierać, co najmniej 50 urządzeń LAN w ramach standardowo dostarczonego systemu; Oprogramowanie musi umożliwiać rozbudowę licencji do co najmniej 500 zarządzanych urządzeń Oprogramowanie musi być zbudowane w architekturze klient serwer; Oprogramowanie musi umożliwiać instalację dodatkowych modułów funkcjonalnych takich jak serwer autoryzacji/autentykacji RADIUS, serwer autoryzacji/autentykacji Tacacs+, kolektor i analizator sflow, moduł zarządzania sieciami WLAN i sieciami VPN, moduł zarządzania sieciami SDN. Dostęp do systemu zarządzania musi być realizowany przez przeglądarkę internetową; Oprogramowanie musi mieć możliwość automatycznego tworzenia i rozsyłania raportów. Wymaga się, aby oprogramowanie miało możliwość wygenerowania między innymi następujących raportów: o Raport inwentaryzacyjny z podaniem minimum: nazwy, adresu IP, modelu, wersji oprogramowania, numeru seryjnego; o Raporty diagnostyczne; o Raporty kontroli dostępu do sieci użytkowników i urządzeń minimum z podaniem: nazwy użytkownika/urządzenia, czasu zalogowania się do sieci oraz czasu wylogowania; Wymagana jest możliwość tworzenia kont administracyjnych z różnymi poziomami uprawnień i możliwością przypisywania administratorów do grup urządzeń; 2. Moduł autentykacji i autoryzacji użytkowników Dla wszystkich obsługiwanych standardowo urządzeń musi być dostępne nie tylko monitorowanie, ale również zarządzanie, czyli możliwość modyfikacji konfiguracji urządzeń; Oprogramowanie musi zapewniać: o automatyczne wykrywanie topologii sieci; o monitorowanie stanu urządzeń po protokole SNMP; o konfigurację urządzeń po protokole SNMP; o konfigurację VLAN ów na zarządzanych urządzeniach; o zarządzenie konfiguracją urządzeń; o tworzenie backupów oraz grupowe implementowanie konfiguracji przechowywanych w systemie zarządzania; o zarządzenie zdarzeniami; o przypisywanie alarmów do różnego rodzaju zdarzeń; o wysyłanie alarmów np. mailem lub SMS em; o generowanie raportów w oparciu o szablony z możliwością dostosowywania ich do potrzeb klienta; o obrazowanie sieci w postaci mapki wraz z wyróżnianiem kolorami występujących alarmów; o Instalację na platformach z system operacyjnym Windows Server. Oprogramowanie musi w pełni zarządzać dostarczonymi w ramach postępowania przełącznikami rdzeniowymi i dostępowymi. Obsługa do 200 jednoczesnych autoryzowanych użytkowników w ramach dostarczonej licencji; Scentralizowane zarządzanie dostępem użytkowników do sieci LAN i WLAN; Scentralizowane tworzenie zasad i praw dostępu dla danego typu użytkownika i urządzenia w sieci; Funkcje zarządzania związane z dostępem użytkowników wbudowane w przyjazny dla użytkownika interfejs; Zarządzanie użytkownikami poprzez wiążące zasady uwierzytelniania, zasady zabezpieczeń i zasady kontroli dostępu; Scentralizowaną obsługę informacji o użytkownikach, taka jak imię i nazwisko, informacje kontaktowe i grupy użytkowników; Strona 4 z 6
3. Moduł kolektora i analizatora sflow Możliwość wykorzystania istniejących danych z serwisów Active Directory, LDAP i RADIUS; Możliwość ustawiania przez Administratora systemu roli dla urządzeń/użytkowników, aby określić poziomy dostępu; Różne tryby autentykacji takie jak: 802.1X, VPN, WEB portal; Wsparcie dla IPv4 i IPv6 dla trybu autentykacji typu WEB-portal; Dla sieci bezprzewodowych trybów autentykacji takich jak: PAP, CHAP,EAP-MD5, EAP-TLS i PEAP; Możliwość powiązania użytkowników z informacją o ich urządzeniach i miejscu dołączenia do sieci przez dane takie jak: adres IP, port dostępowy, sieć VLAN oraz MAC adres; Identyfikację urządzeń (niezależne od rodzaju sieci, funkcje identyfikacji urządzeń na podstawie rozpoznawania urządzeń HTTP+MAC+DHCP); Usługę Auto-MAC Registration: Simple Network Access Control (SNAC) z funkcjami automatycznej rejestracji adresów MAC; Dla obsługi protokołów: IEEE 802.1X, EAP, PAP, CHAP, MS-CHAP i MS-CHAPv2. Moduł oprogramowania przeznaczony do zbierania i analizy ruchu w sieciach IP wykorzystaniem protokołów IP flow włączając w to protokoły monitoringu takie jak NetStream v5/v9, NetFlow v5/v9, sflow v5. Możliwość zbierania danych przesyłanych z 10 jednoczesnych urządzeń w ramach dostarczonego systemu. Możliwość rozbudowy systemu do zbierania i analizy z co najmniej 20 urządzeń jednocześnie. Automatyczne generowanie raportów dotyczących charakteru ruchu i ogólnego wykorzystania sieci. Możliwość generowania alarmów w przypadku wykrycia anomalii Zaawansowane mapowanie aplikacji i protokołów: podział ruchu sieciowego między aplikacje, według źródła, miejsca docelowego, protokołu, aplikacji i grup aplikacji. VI. Oprogramowanie SDN kontroler - 1 sztuka 1. Kontroler SDN Obsługa 50 urządzeń pracujących pod kontrolą oprogramowania i protokołów Open Flow Możliwość rozbudowy do 1000 zarządzanych urządzeń Możliwość obsługi 1 miliona nowych sesji flows na sekundę Wsparcie dla protokołów OpenFlow 1.0 i 1.3 Wsparcie dla dostarczanych przełączników dostępowych i rdzeniowych Wbudowane open APIs umożliwiające współpracę z aplikacjami SDN firm trzecich Obsługa flow w trybie: Proactive i Reactive Wbudowany interface Graphical User Interface (GUI) Możliwość instalacji na serwerach x86 Wsparcie dla aplikacji Java Skalowalna architektura Wysoka niezawodność: możliwość pracy w trybie "2n+1" umożliwiający pracę jednocześnie trzech kontrolerów Wsparcie dla zarządzania protokołem HTTPS Wsparcie dla LLDP Wbudowany moduł serwisowy tworzenia i wizualizacji topologii sieci (identyfikacja portów, komponentów sieci, monitoring ARP i DHCP i pakietów IP) Wbudowane moduł tworzenia tras L2 Wbudowany moduł diagnostyki ścieżek przy pomocy możliwości generowania specyficznych pakietów testowych (ICMP, DHCP, UDP, TCP, etc.). 2. Wymagania Moduł współpracujący z dostarczanym kontrolerem SDN dodatkowej Obsługa 250 jednoczesnych użytkowników aplikacji nadzoru Subskrypcja roczna serwisu reputacyjnego DNS pracy serwisu DNS Możliwość ustalania analizy i kwarantanny dla klientów i zapytań serwisu DNS Identyfikacja zagrożeń przez analizę zapytań DNS i bazy reputacji DNS Możliwość tworzenie własnych list typu whitelist pozwalających na omijanie bazy reputacji Strona 5 z 6
Możliwość tworzenie własnych list typu blacklist pozwalających blokować niechciane domeny Informacja o najbardziej narażonych klientach i sieciach VLAN Możliwość wprowadzania polityk dla grup użytkowników Możliwość generowania i wysyłania alarmów za pomocą poczty elektronicznej Możliwość integracji z oprogramowaniem HP ArcSight VII. Wymagania dodatkowej aplikacji monitoringu sieci Lp. Wymagania i parametry techniczne 1. Moduł współpracujący z dostarczanym kontrolerem SDN Funkcjonalność podstawowa - proaktywne monitorowanie sieci Zapewnienie możliwości dynamicznego zbierania danych o ruchu z możliwością dokładnej analizy w trybie real-time Możliwość integracji z Active Directory zezwalające na możliwość analizowania ruchu i wyszukiwania użytkowników oraz grup użytkowników Możliwość tworzenia własnych reguł selekcji ruchu przeznaczonego do analizy Zbieranie ruchu w trybie Real-time Automatyczne tworzenie sesji mirror VIII. Konfiguracja sieci przewodowej wraz z usługami towarzyszącymi Lp. 1. Konfiguracja sieci przewodowej wraz z usługami towarzyszącymi, w tym przynajmniej wdrożenie i konfiguracja: przełączników sieciowych, w taki sposób aby zapewnić wysoką wydajność i redundancję sieci. podziału na VLANy każdy przełącznik będzie pracował i obsługiwał sieci w odrębnych VLANach, tak aby zmniejszyć domeny broadcastowe RSTP/PVST+ w celu balansowania ruchu pomiędzy serwerowniami i zapewniania wysokiej dostępności routing do rozwiązania bezpieczeństwa styku z Internetem funkcji zwiększających bezpieczeństwo dostępu SSH do przełączników autoryzacji dostępu konsolowego do przełączników w oparciu o AD. implementacji redundantnego serwera DHCP zapewniającego adresację sieciową The Dude! HP imc z obsługą Netflow HP OpenFlow Controller z NetProtect HP Identity Manager HP Net Visualiser IX. Kompetencje zespołu wdrożeniowego Lp. Wymagania 1. Zespół projektowy składający się z: I. inżyniera sieci posiadającego certyfikaty: 1. ASC - ProCurve Networking 2. AIS - ProCurve Networking II. przynajmniej jednego architekta infrastruktury posiadającego kompetencje z: 1. Sieci: certyfikaty ukończenia egzaminów przynajmniej dwóch różnych producentów oprogramowania zapory brzegowej 2. Zarządzania infrastrukturą: a) ITIL v3 Foundation b) MCSE: Server Infrastructure 3. Bezpieczeństwa a) (ISC) 2 Certified Information Systems Security Professional b) CompTIA Security+ c) SafeWorld Certified Engineer Dokumenty potwierdzające kompetencje należy złożyć łącznie z ofertą. Strona 6 z 6