Opole, dn. 2011-04-08 KOMENDA WOJEWÓDZKA POLICJI w Opolu OIK-Z-2380.11.1172.2011 ZMIANA SPECYFIKACJI ISTOTNYCH WARUNKÓW ZAMÓWIENIA pt. Rozbudowa i modernizacja kablowej sieci telekomunikacyjnej drugi etap Na podstawie art.38 ust.4 Ustawy Prawo zamówień publicznych, zamawiający zmienia treść specyfikacji istotnych warunków zamówienia w zakresie szczegółowego opisu przedmiotu zamówienia stanowiącego jej integralną część, w następującym zakresie: Dotychczasową treść pkt.2 szczegółowego opisu przedmiotu zamówienia dot. funkcjonalności w przypadku zaproponowania urządzeń równowaŝnych: Wymagana funkcjonalność w przypadku zaproponowania urządzeń równowaŝnych. Charakter urządzenia Przełącznik sieciowy o budowie modularnej, dostosowany do montaŝu w szafie 19, wyposaŝony w przynajmniej 6 gniazd przeznaczonych do instalacji modułów. Wielkość urządzenia nie moŝe przekraczać 12 RU. Architektura urządzenia: - pasmo min. 40Gb/s na kaŝdy slot urządzenia - co najmniej 512 MB pamięci RAM i przynajmniej 512 MB pamięci nieulotnej typu Flash Zarządzanie urządzeniem: - CLI (SSHv2, Telnet) 1ielodo (port szeregowy konsoli), SNMPv3 - urządzenie musi współpracować z oprogramowaniem CWLMS (które jest wykorzystywane przez Zamawiającego) Funkcjonalności urządzenia: - moŝliwość zmiany konfiguracji w locie, bez konieczności restartu urządzenia (dotyczy dowolnych zmian konfiguracji) - moŝliwość zapisu konfiguracji w pliku tekstowym i jej importu/eksportu za pomocą FTP lub TFTP - moŝliwość jednoczesnej instalacji kilku obrazów systemu operacyjnego i programowego wyboru kolejności ich uruchamiania - moŝliwość definiowana skryptów określających polityki przekazywania zdarzeń do systemów zarządzających (korelacja, zaleŝności parametrów, diagnostyka) - obsługa sprzętowej weryfikacji źródła pakietu względem tablicy routingu (urpf) - sprzętowe wsparcie technologii MPLS - obsługa EoMPLS - obsługa agregacji portów zgodnie z LACP - sprzętowe wsparcie technologii tunelowania GRE (Generic Routing Encapsulation) - sprzętowe wsparcie dla Ipv6 - obsługa WCCPv2 - przełączanie w warstwie trzeciej, obsługa routingu statycznego oraz protokołów dynamicznego routingu RIP, IGRP, EIGRP, OSPF, BGPv4 - obsługa następujących mechanizmów związanych z zapewnieniem ciągłości pracy sieci: - protokół IEEE 802.1w Rapid Spanning Tree umoŝliwiający szybką konwergencję sieci w warstwie 2 modelu OSI - protokół IEEE 802.1s Multiple Spanning Tree - moŝliwość grupowania portów w grupy transmisyjne z wykorzystaniem portów pochodzących z róŝnych kart liniowych 1/6
- moŝliwość instalacji i wymiany zasilaczy, wentylatorów, kart liniowych, modułów zarządzania/przełączania w trakcie pracy (hot swap) - wsparcie dla protokołu VRRP/HSRP - obsługa zarządzania ruchem (QoS klasyfikacja ruchu na podstawie rozpoznania aplikacji, adresów, portów, oznaczeń TOS, IP Precedence, DSCP itp., kolejkowanie z obsługą kolejki priorytetowej, statyczne i dynamiczne ograniczanie pasma, RSVP) - obsługa wysyłania statystyk ruchu zgodnie z NetFlow lub J-Flow lub S-Flow - obsługa kontroli wydajności sieci (opóźnienia, jitter, dostępność)w oparciu o konfigurowalne próbki ruchu pomiędzy urządzeniami (DHCP, DNS, HTTP, FTP, SNMP, TCP, UDP) - wsparcie dla logicznego podziału ruchu na poziomie warstw drugiej (VLAN) i trzeciej (wirtualne instancje routingowe, wirtualne routery w ramach poszczególnych instancji wymagany routing dynamiczny OSPF, BGP) - obsługa następujących mechanizmów związanych z zapewnieniem bezpieczeństwa w sieci: - moŝliwość szyfrowanego zdalnego zarządzania z linii komend z wykorzystaniem protokołu SSH - autoryzacja uŝytkowników dołączających się do portów przez mechanizm IEEE 802.1x i zdalny serwer RADIUS - przydział sieci VLAN poprzez mechanizm IEEE 802.1x - moŝliwość blokowania ruchu pomiędzy poszczególnymi portami dostępowymi w obrębie tego samego VLAN u z pozostawieniem moŝliwości komunikacji z portem nadrzędnym (Private VLAN) - moŝliwość autoryzacji dostępu administracyjnego do urządzenia poprzez zdalny serwer AAA - moŝliwość dokonywania sprzętowego filtrowania ruchu na podstawie następujących parametrów: źródłowy/docelowy adres IP, źródłowy/docelowy port TCP, usługa ta ma być realizowana sprzętowo, bez wpływu na wydajność przełączania - moŝliwość ograniczania dostępu do danego portu do pojedynczej lub kilku stacji o statycznie określonych adresach MAC lub do określonej ilości stacji o dynamicznie przyswajanych adresach MAC; w przypadku naruszenia ograniczenia powinna istnieć moŝliwość wyłączenia portu i poinformowania stacji zarządzającej poprzez SNMP Trap Notification - DHCP Snooping - dynamiczna inspekcja ARP - kontrola ruchu broadcast - obsługa ruchu IP Multicast z wykorzystaniem protokołów IGMPv1, v2, v3, PIM oraz IGMP Snooping, mbgp - moŝliwość lokalnej obserwacji ruchu na określonym porcie, polegającej na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do urządzenia monitorującego przyłączonego do innego portu - moŝliwość zdalnej obserwacji ruchu na określonym porcie, polegającej na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN - dla pracy w sieci z włączonym protokołem IEEE 802.1d Spanning Tree: - obsługa natychmiastowego przejścia danego portu ze stanu Blocking do stanu Forwarding po dołączeniu stacji końcowej do tego portu - umoŝliwienie ignorowania przez dany port ramek protokołu Spanning Tree (STP BPDU), w szczególności istotna jest funkcja pozwalająca na zablokowanie próby wymuszenia zmiany topologii STP (np. zmiana Root Bridge) przez nieuprawnionych uŝytkowników na stacjach końcowych Urządzenie ma mieć moŝliwość instalacji następujących dodatkowych interfejsów: - ATM (interfejsy E3, OC-3) - PoS (Packet over SONET/SDH) - Ethernet (10/100/1000, GE, 10GE) Urządzenie musi mieć moŝliwość instalacji następujących dodatkowych dedykowanych sprzętowych modułów usługowych - moduł IDS dla inspekcji ruchu kierowanego do krytycznych zasobów w sieci i wykrywania włamań sieciowych, wymagana wydajność na poziomie min. 500Mbps - moduł kontrolera sieci bezprzewodowej pozwalający na obsługę 300 punktów dostępowych 2/6
- moduł słuŝący do monitoringu i zbierania statystyki w sieci, implementujący pełną funkcjonalność RMON (Remote Monitoring, wszystkie 9 grup) oraz SMON (RMON Extensions for Switched Networks) oraz umoŝliwiający obserwację bieŝącego ruchu i rejestrację pakietów - moduł typu firewall o wydajności 5 Gbps oraz szybkości przetwarzania pakietów 2,5 Mpps - moduł równowaŝenia obciąŝenia o wydajności 16Gbps z akceleratorem sesji SSL (15000 jednoczesnych sesji) Urządzenie w dostarczonej wersji musi być wyposaŝone w: - moduł nadzorujący posiadający dwa porty GE w standardzie SFP, o wydajności: 720 Gbps 400 Mpps (realizowane sprzętowo dla Ipv4) 200 Mpps (realizowane sprzętowo dla Ipv6) 64000 wpisów MAC 256000 wpisów routingu (Ipv4) - kartę z 24 portami GigabitEthernet typu 1000Base-X, które mogą być obsadzone modułami typu SX, LX/LH, ZX z obsługą ramek typu Jumbo (do 9216B), porty te mają być zrealizowane poprzez wkładki typu SFP; dopuszczalna nadsubskrypcja pasma na poziomie do 1,2:1. Gniazda na moduły muszą być obsadzone: o modułami 1000Base-SX 22 sztuki o modułami 1000Base-LX/LH 2 sztuki o modułami 1000Base-T 2 sztuki Urządzenie musi posiadać interfejsy aktywne. Nie dopuszcza się stosowania kart, w których dla aktywacji interfejsów potrzebne będą dodatkowe licencje lub klucze aktywacyjne i konieczne wniesienie opłata licencyjnych, np. niedopuszczalne jest stosowanie karty 24 portowej gdzie aktywne są 2 porty, a dla uruchomienia pozostałych konieczne jest wpisanie kodu, który uzyskuje się przez wykupienie licencji na uŝytkowanie pozostałych portów. Zasilanie: Dwa redundantne zasilacze o mocy 3000W (kaŝdy) do obsługi urządzenia Gwarancja i serwis: Wykonawca zapewni następujące warunki gwarancji i serwisu: - gwarancja i wsparcie serwisowe na wszystkie komponenty zestawu na okres 3 lat, - gwarantowaną dostawę części zamiennych następnego dnia roboczego, - wsparcie w miejscu instalacji urządzenia, - w czasie trwania serwisu Wykonawca zapewni dostarczanie nowych wersji oprogramowania oraz publikowanych poprawek. Sprzęt dostarczony w ramach realizacji umowy będzie sprzętem zakupionym w oficjalnym kanale sprzedaŝy producenta na rynek Unii Europejskiej Zmienia się na treść: Wymagana funkcjonalność w przypadku zaproponowania urządzeń równowaŝnych. Charakter urządzenia Przełącznik sieciowy o budowie modularnej, dostosowany do montaŝu w szafie 19, wyposaŝony w przynajmniej 6 gniazd przeznaczonych do instalacji modułów. Wielkość urządzenia nie moŝe przekraczać 12 RU. Architektura urządzenia: - pasmo min. 40Gb/s na kaŝdy slot urządzenia - co najmniej 512 MB pamięci RAM i przynajmniej 512 MB pamięci nieulotnej typu Flash Zarządzanie urządzeniem: - CLI (SSHv2, Telnet) console (port szeregowy konsoli), SNMPv3 - urządzenie musi współpracować z oprogramowaniem CWLMS (które jest wykorzystywane przez Zamawiającego) Funkcjonalności urządzenia: 3/6
- moŝliwość zmiany konfiguracji w locie, bez konieczności restartu urządzenia (dotyczy dowolnych zmian konfiguracji) - moŝliwość zapisu konfiguracji w pliku tekstowym i jej importu/eksportu za pomocą FTP lub TFTP - moŝliwość jednoczesnej instalacji kilku obrazów systemu operacyjnego i programowego wyboru kolejności ich uruchamiania - moŝliwość definiowana skryptów określających polityki przekazywania zdarzeń do systemów zarządzających (korelacja, zaleŝności parametrów, diagnostyka) - obsługa sprzętowej weryfikacji źródła pakietu względem tablicy routingu (urpf) - sprzętowe wsparcie technologii MPLS - obsługa EoMPLS - obsługa agregacji portów zgodnie z LACP - sprzętowe wsparcie technologii tunelowania GRE (Generic Routing Encapsulation) - sprzętowe wsparcie dla Ipv6 - obsługa WCCPv2 - przełączanie w warstwie trzeciej, obsługa routingu statycznego oraz protokołów dynamicznego routingu RIP, IGRP, EIGRP, OSPF, BGPv4 - obsługa następujących mechanizmów związanych z zapewnieniem ciągłości pracy sieci: - protokół IEEE 802.1w Rapid Spanning Tree umoŝliwiający szybką konwergencję sieci w warstwie 2 modelu OSI - protokół IEEE 802.1s Multiple Spanning Tree - moŝliwość grupowania portów w grupy transmisyjne z wykorzystaniem portów pochodzących z róŝnych kart liniowych - moŝliwość instalacji i wymiany zasilaczy, wentylatorów, kart liniowych, modułów zarządzania/przełączania w trakcie pracy (hot swap) - wsparcie dla protokołu VRRP/HSRP - obsługa zarządzania ruchem (QoS klasyfikacja ruchu na podstawie rozpoznania aplikacji, adresów, portów, oznaczeń TOS, IP Precedence, DSCP itp., kolejkowanie z obsługą kolejki priorytetowej, statyczne i dynamiczne ograniczanie pasma, RSVP) - obsługa wysyłania statystyk ruchu zgodnie z NetFlow lub J-Flow lub S-Flow - obsługa kontroli wydajności sieci (opóźnienia, jitter, dostępność)w oparciu o konfigurowalne próbki ruchu pomiędzy urządzeniami (DHCP, DNS, HTTP, FTP, SNMP, TCP, UDP) - wsparcie dla logicznego podziału ruchu na poziomie warstw drugiej (VLAN) i trzeciej (wirtualne instancje routingowe, wirtualne routery w ramach poszczególnych instancji wymagany routing dynamiczny OSPF, BGP) - obsługa następujących mechanizmów związanych z zapewnieniem bezpieczeństwa w sieci: - moŝliwość szyfrowanego zdalnego zarządzania z linii komend z wykorzystaniem protokołu SSH - autoryzacja uŝytkowników dołączających się do portów przez mechanizm IEEE 802.1x i zdalny serwer RADIUS - przydział sieci VLAN poprzez mechanizm IEEE 802.1x - moŝliwość blokowania ruchu pomiędzy poszczególnymi portami dostępowymi w obrębie tego samego VLAN u z pozostawieniem moŝliwości komunikacji z portem nadrzędnym (Private VLAN) - moŝliwość autoryzacji dostępu administracyjnego do urządzenia poprzez zdalny serwer AAA - moŝliwość dokonywania sprzętowego filtrowania ruchu na podstawie następujących parametrów: źródłowy/docelowy adres IP, źródłowy/docelowy port TCP, usługa ta ma być realizowana sprzętowo, bez wpływu na wydajność przełączania - moŝliwość ograniczania dostępu do danego portu do pojedynczej lub kilku stacji o statycznie określonych adresach MAC lub do określonej ilości stacji o dynamicznie przyswajanych adresach MAC; w przypadku naruszenia ograniczenia powinna istnieć moŝliwość wyłączenia portu i poinformowania stacji zarządzającej poprzez SNMP Trap Notification - DHCP Snooping - dynamiczna inspekcja ARP - kontrola ruchu broadcast - obsługa ruchu IP Multicast z wykorzystaniem protokołów IGMPv1, v2, v3, PIM oraz IGMP Snooping, mbgp - moŝliwość lokalnej obserwacji ruchu na określonym porcie, polegającej na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do urządzenia monitorującego przyłączonego do innego portu 4/6
- moŝliwość zdalnej obserwacji ruchu na określonym porcie, polegającej na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN - dla pracy w sieci z włączonym protokołem IEEE 802.1d Spanning Tree: - obsługa natychmiastowego przejścia danego portu ze stanu Blocking do stanu Forwarding po dołączeniu stacji końcowej do tego portu - umoŝliwienie ignorowania przez dany port ramek protokołu Spanning Tree (STP BPDU), w szczególności istotna jest funkcja pozwalająca na zablokowanie próby wymuszenia zmiany topologii STP (np. zmiana Root Bridge) przez nieuprawnionych uŝytkowników na stacjach końcowych Urządzenie ma mieć moŝliwość instalacji następujących dodatkowych interfejsów: - ATM (interfejsy E3, OC-3) - PoS (Packet over SONET/SDH) - Ethernet (10/100/1000, GE, 10GE) Urządzenie musi mieć moŝliwość instalacji następujących dodatkowych dedykowanych sprzętowych modułów usługowych - moduł IDS dla inspekcji ruchu kierowanego do krytycznych zasobów w sieci i wykrywania włamań sieciowych, wymagana wydajność na poziomie min. 500Mbps - moduł kontrolera sieci bezprzewodowej pozwalający na obsługę 300 punktów dostępowych - moduł słuŝący do monitoringu i zbierania statystyki w sieci, implementujący pełną funkcjonalność RMON (Remote Monitoring, wszystkie 9 grup) oraz SMON (RMON Extensions for Switched Networks) oraz umoŝliwiający obserwację bieŝącego ruchu i rejestrację pakietów - moduł typu firewall o wydajności 5 Gbps oraz szybkości przetwarzania pakietów 2,5 Mpps - moduł równowaŝenia obciąŝenia o wydajności 16Gbps z akceleratorem sesji SSL (15000 jednoczesnych sesji) Urządzenie w dostarczonej wersji musi być wyposaŝone w: - moduł nadzorujący posiadający dwa porty GE w standardzie SFP, o wydajności: 720 Gbps 30 Mpps (z moŝliwością uzyskania dla całego urządzenia do 400 Mpps w przypadku jego rozbudowy poprzez karty liniowe wyposaŝone w moduły zapewniające rozproszone przetwarzanie sprzętowe pakietów) 64000 wpisów MAC 256000 wpisów routingu (Ipv4) - kartę z 24 portami GigabitEthernet typu 1000Base-X, które mogą być obsadzone modułami typu SX, LX/LH, ZX z obsługą ramek typu Jumbo (do 9216B), porty te mają być zrealizowane poprzez wkładki typu SFP; dopuszczalna nadsubskrypcja pasma na poziomie do 1,2:1. Gniazda na moduły muszą być obsadzone: o modułami 1000Base-SX 22 sztuki - do całości urządzenia naleŝy dodatkowo dostarczyć o moduły 1000Base-LX/LH 2 sztuki o moduły 1000Base-T 2 sztuki Urządzenie musi posiadać interfejsy aktywne. Nie dopuszcza się stosowania kart, w których dla aktywacji interfejsów potrzebne będą dodatkowe licencje lub klucze aktywacyjne i konieczne wniesienie opłata licencyjnych, np. niedopuszczalne jest stosowanie karty 24 portowej gdzie aktywne są 2 porty, a dla uruchomienia pozostałych konieczne jest wpisanie kodu, który uzyskuje się przez wykupienie licencji na uŝytkowanie pozostałych portów. Zasilanie: Dwa redundantne zasilacze o mocy 3000W (kaŝdy) do obsługi urządzenia Gwarancja i serwis: Wykonawca zapewni następujące warunki gwarancji i serwisu: - gwarancja i wsparcie serwisowe na wszystkie komponenty zestawu na okres 3 lat, - gwarantowaną dostawę części zamiennych następnego dnia roboczego, - wsparcie w miejscu instalacji urządzenia, 5/6
- w czasie trwania serwisu Wykonawca zapewni dostarczanie nowych wersji oprogramowania oraz publikowanych poprawek. Sprzęt dostarczony w ramach realizacji umowy będzie sprzętem zakupionym w oficjalnym kanale sprzedaŝy producenta na rynek Unii Europejskiej Zmieniony opisy przedmiotu zamówienia będący integralną częścią specyfikacji istotnych warunków zamówienia stanowi załącznik do niniejszego pisma. Pozostała treść specyfikacji istotnych warunków zamówienia nie ulega zmianie. POUCZENIE 1. Zgodnie z dyspozycją art.38 ust.4 Ustawy Prawo zamówień publicznych w uzasadnionych przypadkach zamawiający moŝe, przed upływem terminu składania ofert, zmienić treść specyfikacji istotnych warunków zamówienia. Dokonaną zmianę specyfikacji przekazuje się niezwłocznie wszystkim wykonawcom, którym przekazano specyfikację istotnych warunków zamówienia, a jeŝeli specyfikacja jest udostępniania na stornie internetowej zamieszcza takŝe na tej stronie. 2. Wykonawcy a takŝe innemu podmiotowi, jeŝeli ma lub miał interes w uzyskaniu zamówienia oraz poniósł lub moŝe ponieść szkodę w wyniku naruszenia przez zamawiającego przepisów Ustawy Prawo zamówień publicznych, przysługują środki ochrony prawnej określone w Dziale VI rozdział 2 ww. Ustawy. Załączniki: Zmieniony szczegółowy opis przedmiotu zamówienia Wykonano w 2 egz.: 1 egz. adresat 2 egz. a/a 6/6