Załącznik nr 6 do SIWZ OPIS PRZEDMIOTU ZAMÓWIENIA Przedmiotem zamówienia jest dostawa niżej opisanych: wsparcia technicznego, licencji i urządzeń o parametrach technicznych i funkcjonalnych nie gorszych niż wyspecyfikowane. Wymagania ogólne: 1) Przedmiot zamówienia musi pochodzić z legalnego źródła i być przeznaczony do użytkowania w Polsce, 2) Zamawiający, w ramach gwarancji, zastrzega sobie możliwość zgłaszania awarii bezpośrednio w polskiej organizacji serwisowej producenta sprzętu. W przypadku wątpliwości Zamawiający może żądać dokumentów potwierdzających fakt świadczenia serwisu gwarancyjnego przez polską organizację serwisową producenta. 3) Oferowane urządzenia muszą być fabrycznie nowe i nieużywane z wyjątkiem urządzeń, w opisie których zrezygnowano z tego warunku. 4) Oferowane urządzenia muszą być wyprodukowane zgodnie z normą jakości ISO 9001 lub normą równoważną. 5) W momencie oferowana wszystkie elementy oferowanej architektury muszą być dostępne (dostarczane) przez producenta, z wyjątkiem urządzeń, które nie musza być nowe i nieużywane. 6) Urządzenia i ich komponenty muszą być oznakowane przez producentów w taki sposób, aby możliwa była identyfikacja zarówno produktu jak i producenta. 7) Urządzenia muszą być dostarczone Zamawiającemu w oryginalnych fabrycznych opakowaniach producenta. 8) Do każdego urządzenia musi być dostarczony komplet standardowej dokumentacji dla użytkownika w formie papierowej lub elektronicznej w języku polskim lub angielskim. 9) Do każdego urządzenia musi być dostarczony komplet nośników umożliwiających odtworzenie oprogramowania zainstalowanego w urządzeniu. 10) Wszystkie urządzenia muszą posiadać Certyfikat CE produktu albo spełniać normy równoważne. 11) Wszystkie urządzenia muszą współpracować z siecią energetyczną o parametrach: 230 V ± 10%, 50 Hz. 12) Adres Dostawy: Centrum Informatyzacji Politechniki Warszawskiej, Politechnika Warszawska, Pl. Politechniki 1 p. 321, 00-661 Warszawa. 1. System Zarządzania Bezpieczeństwem Dostępu do Sieci 1 szt. System Zarządzania Bezpieczeństwem Dostępu do Sieci ma zapewnić metody uwierzytelnienia i autoryzacji użytkowników i urządzeń sieci LAN oraz sieci bezprzewodowej, dostępu gościnnego oraz umożliwiać rozbudowę o funkcjonalności wykrywania urządzeń końcowych oraz oceny stanu bezpieczeństwa urządzeń końcowych. System musi spełniać co najmniej poniższe wymagania: 1) Wspierać następujące protokoły uwierzytelnienia i standardy: a) RADIUS, zgodnie z dokumentami: RFC 2138 Remote Authentication Dial In User Service (RADIUS), RFC 2139 RADIUS Accounting, RFC 2865 Remote Authentication Dial In User Service (RADIUS), RFC 2866 RADIUS Accounting, RFC 2867 RADIUS Accounting for Tunnel Protocol Support, RFC 2868 RADIUS Attributes for Tunnel Protocol Support, RFC 2869 RADIUS Extensions, b) Radius Change of Authorisation, c) RADIUS Proxy dla zewnętrznego serwera RADIUS. 2) Wspierać urządzenia firm trzecich przynajmniej na poziomie uwierzytelnienia przez adres MAC, 3) Umożliwiać instalację rozproszoną na wielu maszynach (serwerach) fizycznych lub wirtualnych i w ten sposób umożliwiać skalowanie rozwiązania, 1
4) Umożliwiać realizację wysokiej dostępności wszystkich elementów funkcjonalnych, co najmniej 1:1, 5) Wspierać integrację z Windows Active Directory, w tym co najmniej Microsoft Windows Active Directory 2003 32/64bit, Microsoft Windows Active Directory 2008 32/64-bit, Microsoft Windows 2012 32/64-bit, 6) Wspierać protokół Lightweight Directory Access Protocol (LDAP), 7) Umożliwiać zarządzanie za pomocą interfejsu graficznego przez przeglądarkę internetową, w tym co najmniej: Google Chrome, Microsoft IE, Mozilla Firefox, 8) Wspierać następujące protokoły uwierzytelniania: x a) Extensible Authentication Protocol-Transport Layer Security (EAP-TLS), b) Protected Extensible Authentication Protocol (PEAP), c) umożliwiać aktualizację oprogramowania za pomocą interfejsu graficznego z repozytoriów umieszczonych na dysku lokalnym, serwerze TFTP/FTP/SFTP, udziale NFS, dysku CDROM, 9) Umożliwiać zarządzanie łatkami (patch management), w tym operację powrotu do poprzedniej wersji (rollback), 10) Umożliwiać tworzenie kopii zapasowej na życzenie (on demand) i w regularnych odstępach czasowych (scheduled), 11) Umożliwiać uwierzytelnianie administratorów za pomocą wewnętrznej bazy użytkowników, 12) Umożliwiać wymuszenie reguł złożoności haseł dla administratorów, 13) Umożliwiać kontrolę dostępu do poszczególnych elementów menu interfejsu graficznego administratora, 14) Umożliwiać kontrolę dostępu do interfejsu graficznego administratora na podstawie adresu IP, 15) Umożliwiać generowanie przynajmniej następujących raportów: a) zbiorczego podsumowania uwierzytelnień 802.1X, b) accountingu RADIUS, c) uwierzytelniania RADIUS, d) błędów RADIUS, e) aktywnych sesji RADIUS, f) historii sesji RADIUS, g) Top N uwierzytelnień per maszyna, h) Top N uwierzytelnień per użytkownik, i) aktywności użytkowników gościnnych, j) zarejestrowane urządzenia, 16) Umożliwiać generowanie alarmów systemowych w sytuacjach krytycznych za pomocą: a) Wiadomości e-mail, b) Syslog, 17) Posiadać zintegrowany z interfejsem graficznym zestaw narzędzi diagnostycznych dla rozwiązywania problemów, w tym: a) Wyszukiwanie zdarzeń RADIUS z uwzględnieniem: nazwy użytkownika, adresu MAC, ID sesji, statusu uwierzytelnienia, zakresu czasowego itp., b) Ewaluację zgodności konfiguracji urządzenia sieciowego, 18) Umożliwiać równoczesną obsługę co najmniej 5000 urządzeń końcowych (endpoints) przewodowych i bezprzewodowych dla funkcjonalności uwierzytelnienia, autoryzacji oraz dostępu gościnnego. Jeżeli do powyższej funkcjonalności jest potrzeba licencja, należy ją dostarczyć, 19) Umożliwiać elastyczne dodawanie licencji w ramach wzrostu liczby obsługiwanych stacji końcowych, 20) Umożliwiać uwierzytelnienie i kontrolę dostępu: a) Kablowego w sieci LAN, b) Bezprzewodowego w sieci WLAN, c) Zdalnego VPN, 21) Umożliwiać inkrementalną skalowalność do przynajmniej 10,000 równocześnie obsługiwanych urządzeń końcowych (endpoints) poprzez dodawanie kolejnych serwerów/wirtualnych instancji/licencji do istniejącego wdrożenia, 22) Umożliwiać instalację na maszynie wirtualnej (VM) lub maszynie fizycznej, w tym: 2
a) Na hypervisorze VMWareESXi 4.x, 5.x lub nowszym, b) Na serwerach fizycznych wspieranych przez producenta, 23) Wspierać implementację 802.1X z przynajmniej następującymi suplikantami: a) Wbudowanym klientem 802.1X dla Windows XP, 7, 8, b) Apple Mac OS X Supplicant, 24) Umożliwiać tworzenie polityk uwierzytelniania 802.1X opartych złożone o reguły (rule-based), 25) Umożliwiać uwierzytelnianie 802.1X maszyn i użytkowników, 26) Umożliwiać tworzenie polityk kontroli dostępu (authorization) 802.1X opartych złożone o reguły, 27) Posiadać lokalną bazę użytkowników. Lokalną bazę użytkowników można tworzyć per użytkownik lub dodać w postaci zbiorczego pliku w formacie CSV, 28) Posiadać lokalną bazę stacji końcowych. Lokalną bazę stacji końcowych można tworzyć per stacja końcowa na podstawie unikalnego adresu MAC, 29) Wspierać uwierzytelnienie stacji końcowych na podstawie zawartych w lokalnej bazie adresów MAC za pomocą mechanizmu MAB (MAC Authentication Bypass) lub równoważnego, 30) Umożliwiać integrację z rozwiązaniami MDM (Mobile Device Management), 31) Umożliwiać automatyzację procesu wystawienia certyfikatu i konfiguracji ustawień sieciowych na prywatnych urządzeniach pracowników, 32) Umożliwiać realizację dostępu gościnnego dla stacji końcowych wyposażonych w przeglądarkę internetową, w tym co najmniej: a) Microsoft Windows 7, 8, XP (Microsoft IE, Mozilla Firefox, Google Chrome), b) Apple Mac OS X (Mozilla Firefox, Safari, Google Chrome), 33) Umożliwiać dodawanie kont gościnnych przez wybrane osoby, 34) Uwierzytelnienie takiej osoby musi się odbywać sekwencyjnie w oparciu o: a) Wewnętrzną bazę użytkowników, b) Zewnętrzne repozytorium użytkowników, 35) Umożliwiać konfigurację uprawnień takiej osoby, w tym uprawnienia do: a) Tworzenia pojedynczego konta gościnnego, b) Tworzenia wielu kont gościnnych, c) Tworzenia kont losowych, d) Importowania kont gościnnych z pliku CSV, e) Wysyłania wiadomości e-mail po utworzeniu konta gościnnego, f) Wysyłania wiadomości SMS po utworzeniu konta gościnnego, g) Wydrukowania danych konta gościnnego, h) Wyświetlenia danych stworzonych kont gościnnych, i) Zawieszenia (suspend) i reinicjacji kont gościnnych, 36) Umożliwiać automatyczne kasowanie wygasłych kont gościnnych, 37) Posiadać wzorce językowe lub umożliwiać ich dodanie dla stron sponsora i gościa, w tym w językach: a) Polskim, b) Angielskim, 38) Umożliwiać specyfikację opcjonalną lub obowiązkową następujących danych gościa w trakcie kreacji konta przez sponsora: a) Imienia, b) Nazwiska, c) Firmy, d) Adresu e-mail, e) Numeru telefonu, f) Danych opcjonalnych takich jak PESEL i inne, 3
39) Umożliwiać konfigurację dla użytkowników gościnnych: a) Wyświetlenia im informacji o polityce akceptowalnego użycia sieci, b) Zezwolenia gościom na zmianę hasła, c) Wymogu zmiany hasła gościa przed wygaszeniem, d) Samoobsługi przez gościa, czyli możliwości utworzenia konta gościnnego bez sponsora, e) Samorejestracji urządzenia końcowego dla dostępu gościnnego, 40) Umożliwiać konfigurację maksymalnej ilości nieudanych logowań do konta gościnnego, 41) Umożliwiać konfigurację maksymalnej liczby urządzeń per konto gościnne, 42) Umożliwiać konfigurację czasu ważności hasła w zadanym przedziale w dniach, 43) Umożliwiać kreację profilu czasowego dla dostępu gościnnego, czyli domyślnego czasu ważności konta gościnnego, 44) Umożliwiać konfigurację polityki złożoności haseł i nazw (loginów) użytkowników gościnnych, 45) Umożliwiać rozbudowę licencyjną o funkcjonalność profilowania (profiling) stacji końcowej i realizację zróżnicowanego dostępu na podstawie jej zidentyfikowanego typu o poniższych funkcjonalnościach: a) Umożliwiać dokonanie profilowania stacji końcowych poprzez analizę informacji pochodzących z następujących źródeł: DHCP, HTTP, RADIUS, Network Scan (NMAP), SNMP, b) Umożliwiać wysłanie wiadomości RADIUS CoA (Reauth, Port Bounce) zgodnych z RFC 5176 po dokonaniu profilowania urządzenia końcowego w celu zmiany profilu autoryzacji, c) Umożliwiać dodawanie sprofilowanych stacji końcowych do lokalnej bazy stacji końcowych wraz z przypisaniem do grupy, d) Posiadać dostarczony przez producenta zestaw profili urządzeń, w tym dla: Urządzeń Android, Urządzeń Apple, Urządzeń BlackBerry, Stacji roboczych z systemami operacyjnymi (FreeBSD, Linux, OS-X, Windows 8, Windows 7, Windows XP, OpenBSD,), e) Możliwość regularnych aktualizacji przez producenta o nowe profile urządzeń, 46) Umożliwiać rozbudowę licencyjną o głęboką analizę stacji końcowej o poniższej funkcjonalności: a) Umożliwiać analizę stacji końcowej Windows pod kątem plików w tym: Istnienia pliku na stacji końcowej, Wersji pliku na stacji końcowej (równa, wcześniejsza niż, późniejsza niż), Daty utworzenia i modyfikacji pliku na stacji końcowej (równa, wcześniej niż, później niż), b) Umożliwiać analizę stacji końcowej z systemem Windows XP, Windows 8, Windows 7 pod kątem wpisów w rejestrze pod kątem: Istnienia lub nieistnieniaklucza, Wartości klucza rejestru, Istnienia i wartości domyślnej wartości klucza rejestru typu Number, String, Version, c) Umożliwiać analizę stacji końcowej z systemem Windows XP, Windows 8, Windows 7 pod kątem uruchomionych aplikacji (nazwa uruchomionego lub nieuruchomionego procesu), d) Umożliwiać analizę stacji końcowej z systemem Windows XP, Windows 8, Windows 7 pod kątem uruchomionych usług (nazwa uruchomionego lub nieuruchomionego procesu ), e) Umożliwiać analizę stacji końcowej z systemem Windows XP, Windows 8, Windows 7, Mac OS-X pod kątem zainstalowanych aplikacji Antywirusowych w tym: stwierdzenia czy system AV jest obecny na stacji, stwierdzenia czy definicje sygnatur AV są nie starsze niż zadana ilość dni, 4
f) Umożliwiać analizę stacji końcowej z systemem Windows XP, Windows 8, Windows 7, Mac OS-X pod kątem zainstalowanych aplikacji AntiSpyware w tym: stwierdzenia czy system AS jest obecny na stacji, stwierdzenia czy definicje sygnatur AS są nie starsze niż zadana ilość dni, 47) System powinien zostać dostarczony z licencją na dwie maszyny wirtualne, umożliwiające prace w trybie nadmiarowym, 48) W ramach dostawy należy przeprowadzić 8 godzinne szkolenie z zakresu instalacji i wstępnej konfiguracji. Szkolenie powinien przeprowadzić inżynier posiadający certyfikacje firmy producenta oprogramowania. Szkolenie zostanie przeprowadzone w terminie 3 miesięcy od dnia podpisania umowy. 2. Upgrade systemu Cisco WCS 1 komplet (kpl.) W ramach postępowania należy dostarczyć upgrade system Cisco WCS (posiadanego przez Zamawiającego) do system Cisco Prime Infrastructure 2.x dla 300 urządzeń. Należy umożliwić Zamawiającemu upgrade (dla min. 300 licencji) do najnowszej, dostępnej na rynku wersji oprogramowania Cisco Prime Infrastructure przez okres min. 3 lat. 3. Dostawa licencji do systemu Cisco Prime Infrastrucure 1 komplet (kpl.) W ramach postępowania należy dostarczyć dodatkowe 100 licencji base do systemu Cisco Prime Infrastructure 2.x. Należy umożliwić Zamawiającemu upgrade do najnowszej, dostępnej na rynku wersji posiadanego oprogramowania Cisco Prime Infrastructure przez okres min. 3 lat. 4. Wsparcie Techniczne do kontrolera WLC 5508 1 szt. W ramach postępowania należy dostarczyć wsparcie techniczne do kontrolera WLC 5508 (nr seryjny: FCW1448L087) obejmujące: 1) dwuletni dostęp na najnowszych wersji oprogramowania, 2) naprawę lub wymianę wyposażenia w wypadku awarii w ciągu następnego dnia roboczego. 5. Zasilacz do przełącznika 3560 1 szt. W posiadanym przez zamawiającego przełączniku WS-C3560E-12SD-E jest zasilacz PID: C3K-PWR-300WAC, VID: 1, SN: PAC1145364Q. W ramach zamówienia należy dostarczyć drugi zasilacz pozwalający na prace redundantną. Zasilacz musi być objęty co najmniej dwuletnią gwarancją producenta. Zaoferowane urządzenie nie musi być nowe i nieużywane. 6. Zasilacz do przełącznika WS-C3750G-12S-E 2 szt. W ramach zamówienia należy dostarczyć zasilacz. Zasilacz musi być objęty co najmniej dwuletnią gwarancją producenta. Zaoferowane urządzenie nie musi być nowe i nieużywane. 7. Moduły 2 szt. W ramach zamówienia należy dostarczyć dwa moduły typu X2-10GB-T do karty WS-X6908-10G. Moduły muszą być objęte co najmniej dwuletnią gwarancją producenta. 5
8. Router BGP 1 szt. 1) Urządzenie modularne, posiadające co najmniej 1 slot na moduły rozszerzeń, 2) W dostarczonej wersji musi posiadać co najmniej: a) 6 aktywnych portów 1GE definiowane za pomocą wkładek optycznych SFP. Porty powinny być obsadzone odpowiednio czterema wkładkami 1000Base-SX SFP i dwiema wkładkami 1000base-T SFP, b) 3 aktywne porty 10GE (co najmniej jeden definiowany za pomocą oddzielnej kart 1x10GE). Porty powinny być obsadzone wkładkami 10 GE SR. c) Zastosowana karta 1 x 10GE musi być kompatybilna z urządzeniem Cisco ASR1002 posiadanym przez Zamawiającego, 3) Musi posiadać możliwość zainstalowania (w celu osiągnięcia poniższych ilości portów, dopuszcza się wyjęcie zainstalowanej karty 1 x 10GE): a) Do 8 portów 1GE lub, b) Do 2 portów STM-1, 4) Posiada system modularny umożliwiający aktualizacje poszczególnych modułów systemowych niezależnie od siebie, 5) Posiada co najmniej 16 GB RAM, 6) Zapewnia wydajność systemu na poziomie co najmniej 10Gbps, 7) Zapewnia funkcjonalność translacji NAT co najmniej 10 000 sesji na sekundę, co najemniej 250000 sesji, 8) Obsługuje funkcjonalność dynamicznych tuneli VPN (hub-to-spoke i spoke-to-spoke), 9) Obsługuje funkcjonalność NHRP, 10) Obsługuje co najmniej 1000 tuneli GRE, 11) Obsługuje co najmniej 2 000 000 prefiksów tablicach routingu IPv4, 12) Obsługuje co najmniej 2 000 000 prefiksów w tablicach routingu IPv6, 13) Obsługuje routing dynamiczny: RIP, OSPF, BGP, 14) Wspiera MPLS i MPLS VPN (rfc 2547) 15) Obsługuje co najmniej 1000 instancji VRF (rfc 4026), 16) Obsługuje co najmniej 4000 ACL (Access List) i 25000 wpisów ACE (Access Control Entries), 17) Obsługuje RPF (Revers Path Forwarding) (rfc 5496), 18) Obsługuje zarządzanie ruchem (QoS), a) Minimum 64000 kolejek per system, b) Minimum 1000 polityk, c) Dwie kolejki priorytetowe LLQ dla każdej polityki, d) Hierarchiczne polityki, trzy poziomy zagłębień, e) Dokładność nie gorsza niż 8kbps, f) Czas przejścia pakietu przez urządzenie (latency) dla ruchu priorytetowego na poziomie nie gorszym niż 100 mikrosekund, 19) Obsługuje SFlow lub odpowiednik, 20) Obsługuje funkcjonalność VRRP lub odpowiednik, 21) Umożliwia wymianę modułów w trakcie pracy urządzenia (hot-swap), 22) Umożliwia zarządzanie poprze CLI (telnet, ssh, port konsoli), SNMPv3, 23) Posiada wsparcie dla protokołu RADIUS, 24) Obsługa protokołu HSRP. Obsługa protokołu HSRP (przy użyciu tego protokołu zamawiany router będzie współpracował z routerem Cisco ASR 1002 Zamawiającego dostarczony sprzęt musi posiadać, potwierdzoną testami, opinię producenta potwierdzającą pracę w takiej konfiguracji), 25) Urządzenie musi posiadać możliwość zaimportowania konfiguracji do komputera w postaci tekstowej, edycji i ponownego załadowania i uruchomienia konfiguracji na urządzeniu, 26) Urządzenie musi posiadać możliwość przeszukiwania fragmentów konfiguracji z linii poleceń dzięki wykorzystaniu wyrażeń i filtrów, 27) Posiada dwa redundantne zasilacze 230V, 6
28) Urządzenie przystosowane do montażu w szafie RACK 19, obudowa wykonana z metalu, 29) Wysokość urządzenia nie powinna przekraczać 1RU (rack unit). 30) Gwarancja producenta okres min. 5 lat* na poniższych warunkach: a) Serwis gwarancyjny świadczony przez producenta lub partnera w miejscu instalacji, b) Serwis gwarancyjny musi obejmować dostęp do poprawek oprogramowania w ciągu 5 lat od daty zakupu na żądanie Zamawiającego, nie rzadziej niż raz na 3 miesiące, o ile są one dostępne, c) Serwis gwarancyjny musi obejmować dostęp do nowych wersji oprogramowania, w ciągu 5 lat od daty dostawy, d) Bieg terminu gwarancji rozpoczyna się w dniu dostawy, e) Firma serwisująca posiada wdrożony i stosowany system zarządzania jakością zgodny z normą ISO 9001 lub normą równoważną na świadczenie usług serwisowych w ramach gwarancji. f) Wymiana lub naprawa wadliwego sprzętu następnego dnia roboczego od zgłoszenia awarii. 9. Punkt dostępowy sieci WiFi z zabudowanymi antenami 20 szt. 1) Obsługa standardów 802.11a/b/g/n/, a) Obsługa MIMO min. 3x3:3, b) Obsługa kanałów 20 i 40 MHz dla 802.11n, c) Obsługa kanałów 20, 40 i 80 MHz dla 802.11ac, d) Obsługa prędkości PHY do 1,3 Gbps, e) Obsługa agregacji ramek A-MPDU (Tx/Rx), A-MSDU (Tx/Rx), f) Obsługa TxBF (transmitbeamforming) dla klientów 802.11a/g/n/, 2) Obsługa szerokiego zakresu kanałów radiowych: a) Dla zakresu 2.4 GHz: min. 13 kanałów, b) Dla zakresu 5GHz (UNII-1 i UNII-2): min. 8 kanałów, c) Dla zakresu 5GHz ( low ser UNII-2): min. 8 kanałów, 3) Konfigurowalna moc nadajnika: a) Dla zakresu 2.4 GHz:do 100 mw, b) Dla zakresu 5GHz (UNII-1 i UNII-2): do 150 mw, c) Dla zakresu 5GHz ( low ser UNII-2): do 150 mw, 4) Zgodność z protokołem CAPWAP (RFC 5415) lub równoważnym, zarządzanie przez kontroler WLAN z funkcjonalnościami: a) Automatyczne wykrywanie kontrolera i konfiguracja poprzez sieć LAN, b) Optymalizacja wykorzystania pasma radiowego (ograniczanie wpływu zakłóceń, kontrola mocy, dobór kanałów, reakcja na zmiany), c) Obsługa min. 16 BSSID, d) Definiowanie polityk bezpieczeństwa (per SSID) z możliwością rozgłaszania lub ukrycia poszczególnych SSID, e) Współpraca z systemami IDS/IPS, f) Uwierzytelnianie ruchu kontrolnego 802.11 (z możliwością wykrywania użytkowników podszywających się pod punkty dostępowe) funkcjonalność 802.11w lub równoważna, g) Obsługa trybu pracy Split-MAC (tunelowanie ruchu klientów do kontrolera i centralne terminowanie do sieci LAN), h) Jednoczesna obsługa transferu danych użytkowników końcowych oraz monitorowania pasma radiowego (wykrywanie obcych punktów dostępowych i klientów WLAN, wireless IPS), i) Obsługa Dynamic Frequency Selection (DFS) i Transmit Power Control (TPC) zgodnie z 802.11h, j) Obsługa szybkiego roamingu użytkowników pomiędzy punktami dostępowymi funkcjonalność 802.11r lub równoważna k) Obsługa mechanizmów QoS: shaping/ ograniczanie ruchu do użytkownika, z możliwością konfiguracji per użytkownik, 7
obsługa WMM, TSPEC, U-APSD, l) Współpraca z urządzeniami i oprogramowaniem realizującym usługi lokalizacyjne, m) Wbudowany suplikant 802.1x możliwość uwierzytelnienia AP do infrastruktury sieciowej, n) Do oferty należy dołączyć informację producenta (lub jego przedstawiciela w Polsce), że proponowany punkt dostępowy, jest w pełni kompatybilny z kontrolerami Cisco WLC 5508 oraz WLC 2500 posiadanym przez zamawiającego, o) Wraz z punktem dostępowym należy dostarczyć licencje do kontrolera oraz do systemu zarządzania Cisco Prime 2.x, 5) Możliwość pracy autonomicznej po wymianie oprogramowania zmiana trybu pracy musi być bez kosztowa w okresie trwania gwarancji a) Zarządzanie przez HTTPS, SSH, dedykowany port szeregowy, SNMP, b) Obsługa min. 16 SSID, c) Współpraca z serwerami autoryzacyjnymi RADIUS (konfigurowane per SSID), d) Obsługa WPA/WPA2, 802.1x (z możliwością tworzenia lokalnej bazy użytkowników), e) Obsługa mechanizmów QoS (WMM, priorytetyzacja) i wsparcie dla VoWLAN, f) Obsługa trybów AP, low se, bridge, g) Konfiguracja polityk bezpieczeństwa per SSID, h) Możliwość filtrowania ruchu (w oparciu o MAC, adresy i protokoły IP, porty TCP/UDP), i) Uwierzytelnianie ruchu kontrolnego 802.11, j) Obsługa szybkiego roamingu pomiędzy punktami dostępowymi, k) Możliwość eksportu logów z wykorzystaniem SYSLOG, 6) Zintegrowany moduł analizatora widma częstotliwościowego (dotyczy zakresów 2.4GHz i 5GHz) lub dedykowany punkt dostępowy realizujący taką funkcjonalność a) Dokładność analizy (kwant próbkowania) max. 200 khz, b) Zakres częstotliwościowy zgodny z zakresem pracy modułów radiowych, c) Automatyczne wykrywanie i klasyfikacja źródeł interferencji (bluetooth, DECT, urządzenia Mikrofalowe, urządzenia transmisji audio wideo, urządzenia zakłócające itp.), d) Możliwość wizualizacji wyników analizy na stacji roboczej klasy PC (FFT, gęstość widma, spektrogram, zajętość kanałów, poziom mocy sygnałów) w czasie rzeczywistym, e) Współpraca z mechanizmami optymalizacji wykorzystania pasma radiowego, 7) Interfejs Gigabit Ethernet (100/1000), 8) Zróżnicowane możliwości zasilania: a) Zasilacz sieciowy 230V AC dołączony do zestawu, b) Zasilanie przez skrętkę Ethernet w sposób zapewniający pełną wydajność (802.3af lub 802.3at), 9) Anteny zintegrowane o zysku przynajmniej 2 dbi dla pasma 2,4 GHz oraz 4,5 dbi dla pasma 5 GHz, 10) Obudowa przystosowana do warunków pracy w pomieszczeniach biurowych (5 35oC), o niskim profilu (nie więcej niż 6 cm), 11) Diodowa sygnalizacja stanu urządzenia z możliwością dezaktywacji, 12) Zestaw montażowy pozwalający na montaż na suficie. 13) Gwarancja producenta okres min. 3 lat* na poniższych warunkach: a) Serwis gwarancyjny świadczony przez producenta lub partnera w miejscu instalacji, b) Serwis gwarancyjny musi obejmować dostęp do poprawek oprogramowania w ciągu 3 lat od daty zakupu na żądanie Zamawiającego, nie rzadziej niż raz na 3 miesiące, o ile są one dostępne, c) Serwis gwarancyjny musi obejmować dostęp do nowych wersji oprogramowania, w ciągu 3 lat od daty dostawy, d) Bieg terminu gwarancji rozpoczyna się w dniu dostawy, e) Firma serwisująca posiada wdrożony i stosowany system zarządzania jakością zgodny z normą ISO 9001 lub normą równoważną na świadczenie usług serwisowych w ramach gwarancji. f) Wymiana lub naprawa wadliwego sprzętu następnego dnia roboczego od zgłoszenia awarii. 8
10. Punkt dostępowy sieci WiFi z zewnętrznymi antenami 16 szt. 1) Obsługa standardów 802.11a/b/g/n/ a) Obsługa MIMO min. 3x3:3, b) Obsługa kanałów 20 i 40 MHz dla 802.11n, c) Obsługa kanałów 20, 40 i 80 MHz dla 802.11ac, d) Obsługa prędkości PHY do 1,3 Gbps, e) Obsługa agregacji ramek A-MPDU (Tx/Rx), A-MSDU (Tx/Rx), f) Obsługa TxBF (transmitbeamforming) dla klientów 802.11a/g/n/. 2) Obsługa szerokiego zakresu kanałów radiowych: a) Dla zakresu 2.4 GHz: min. 13 kanałów, b) Dla zakresu 5GHz (UNII-1 i UNII-2): min. 8 kanałów, c) Dla zakresu 5GHz ( low ser UNII-2): min. 8 kanałów, 3) Konfigurowalna moc nadajnika a) Dla zakresu 2.4 GHz:do 100 mw, b) Dla zakresu 5GHz (UNII-1 i UNII-2): do 150 mw, c) Dla zakresu 5GHz ( low ser UNII-2): do 150 mw, 4) Zgodność z protokołem CAPWAP (RFC 5415) lub równoważnym, zarządzanie przez kontroler WLAN z funkcjonalnościami: a) Automatyczne wykrywanie kontrolera i konfiguracja poprzez sieć LAN, b) Optymalizacja wykorzystania pasma radiowego (ograniczanie wpływu zakłóceń, kontrola mocy, dobór kanałów, reakcja na zmiany), c) Obsługa min. 16 BSSID, d) Definiowanie polityk bezpieczeństwa (per SSID) z możliwością rozgłaszania lub ukrycia poszczególnych SSID, e) Współpraca z systemami IDS/IPS, f) Uwierzytelnianie ruchu kontrolnego 802.11 (z możliwością wykrywania użytkowników podszywających się pod punkty dostępowe) funkcjonalność 802.11w lub równoważna, g) Obsługa trybu pracy Split-MAC (tunelowanie ruchu klientów do kontrolera i centralne terminowanie do sieci LAN), h) Jednoczesna obsługa transferu danych użytkowników końcowych oraz monitorowania pasma radiowego (wykrywanie obcych punktów dostępowych i klientów WLAN, wireless IPS), i) Obsługa Dynamic Frequency Selection (DFS) i Transmit Power Control (TPC) zgodnie z 802.11h, j) Obsługa szybkiego roamingu użytkowników pomiędzy punktami dostępowymi funkcjonalność 802.11r lub równoważna, k) Obsługa mechanizmów QoS: shaping/ ograniczanie ruchu do użytkownika, z możliwością konfiguracji per użytkownik, obsługa WMM, TSPEC, U-APSD, l) Współpraca z urządzeniami i oprogramowaniem realizującym usługi lokalizacyjne, m) Wbudowany suplikant 802.1x możliwość uwierzytelnienia AP do infrastruktury sieciowej, n) Do oferty należy dołączyć informację producenta (lub jego przedstawiciela w Polsce), że proponowany punkt dostępowy jest w pełni kompatybilny z kontrolerami Cisco WLC 5508 oraz WLC 2500 posiadanym przez zamawiającego, o) Wraz z punktem dostępowym należy dostarczyć licencje do kontrolera oraz do systemu zarządzania Cisco Prime 2.x, 5) Możliwość pracy autonomicznej po wymianie oprogramowania zmiana trybu pracy musi być bez kosztowa w okresie trwania gwarancji a) Zarządzanie przez HTTPS, SSH, dedykowany port szeregowy, SNMP, b) Obsługa min. 16 SSID, c) Współpraca z serwerami autoryzacyjnymi RADIUS (konfigurowane per SSID), d) Obsługa WPA/WPA2, 802.1x (z możliwością tworzenia lokalnej bazy użytkowników), 9
e) Obsługa mechanizmów QoS (WMM, priorytetyzacja) i wsparcie dla VoWLAN, f) Obsługa trybów AP, low se, bridge, g) Konfiguracja polityk bezpieczeństwa per SSID, h) Możliwość filtrowania ruchu (w oparciu o MAC, adresy i protokoły IP, porty TCP/UDP), i) Uwierzytelnianie ruchu kontrolnego 802.11, j) Obsługa szybkiego roamingu pomiędzy punktami dostępowymi, k) Możliwość eksportu logów z wykorzystaniem SYSLOG, 6) Zintegrowany moduł analizatora widma częstotliwościowego (dotyczy zakresów 2.4GHz i 5GHz) lub dedykowany punkt dostępowy realizujący taką funkcjonalność a) Dokładność analizy (kwant próbkowania) max. 200 khz, b) Zakres częstotliwościowy zgodny z zakresem pracy modułów radiowych, c) Automatyczne wykrywanie i klasyfikacja źródeł interferencji (bluetooth, DECT, urządzenia Mikrofalowe, urządzenia transmisji audio wideo, urządzenia zakłócające itp.), d) Możliwość wizualizacji wyników analizy na stacji roboczej klasy PC (FFT, gęstość widma, spektrogram, zajętość kanałów, poziom mocy sygnałów) w czasie rzeczywistym, e) Współpraca z mechanizmami optymalizacji wykorzystania pasma radiowego, 7) Interfejs Gigabit Ethernet (100/1000), 8) Zróżnicowane możliwości zasilania: a) Zasilacz sieciowy 230V AC zasilacza nie należy dostarczać w ramach zamówienia, b) Zasilanie przez skrętkę Ethernet w sposób zapewniający pełną wydajność (802.3af lub 802.3at), 9) Anteny zewnętrzne (komplet do każdego punktu dostępowego min 4 sztuki ) o zysku przynajmniej 2 dbi dla pasma 2,4 GHz oraz 4 dbi dla pasma 5 GHz, 10) Obudowa przystosowana do warunków pracy w pomieszczeniach biurowych (5 35oC), o niskim profilu (nie więcej niż 6 cm), 11) Diodowa sygnalizacja stanu urządzenia z możliwością dezaktywacji, 12) Zestaw montażowy pozwalający na montaż na suficie. 13) Gwarancja producenta okres min. 3 lat* na poniższych warunkach: a) Serwis gwarancyjny świadczony przez producenta lub partnera w miejscu instalacji, b) Serwis gwarancyjny musi obejmować dostęp do poprawek oprogramowania w ciągu 3 lat od daty zakupu na żądanie Zamawiającego, nie rzadziej niż raz na 3 miesiące, o ile są one dostępne, c) Serwis gwarancyjny musi obejmować dostęp do nowych wersji oprogramowania, w ciągu 3 lat od daty dostawy, d) Bieg terminu gwarancji rozpoczyna się w dniu dostawy, e) Firma serwisująca posiada wdrożony i stosowany system zarządzania jakością zgodny z normą ISO 9001 lub normą równoważną na świadczenie usług serwisowych w ramach gwarancji. f) Wymiana lub naprawa wadliwego sprzętu następnego dnia roboczego od zgłoszenia awarii. 11. Punkt dostępowy sieci WiFi z zewnętrznymi antenami panelowymi 4 szt. 1) Obsługa standardów 802.11a/b/g/n/ a) Obsługa MIMO min. 3x3:3, b) Obsługa kanałów 20 i 40 MHz dla 802.11n, c) Obsługa kanałów 20, 40 i 80 MHz dla 802.11ac, d) Obsługa prędkości PHY do 1,3 Gbps, e) Obsługa agregacji ramek A-MPDU (Tx/Rx), A-MSDU (Tx/Rx), f) Obsługa TxBF (transmitbeamforming) dla klientów 802.11a/g/n/. 2) Obsługa szerokiego zakresu kanałów radiowych: a) Dla zakresu 2.4 GHz: min. 13 kanałów, 10
b) Dla zakresu 5GHz (UNII-1 i UNII-2): min. 8 kanałów, c) Dla zakresu 5GHz ( low ser UNII-2): min. 8 kanałów, 3) Konfigurowalna moc nadajnika a) Dla zakresu 2.4 GHz:do 100 mw, b) Dla zakresu 5GHz (UNII-1 i UNII-2): do 150 mw, c) Dla zakresu 5GHz ( low ser UNII-2): do 150 mw, 4) Zgodność z protokołem CAPWAP (RFC 5415) lub równoważnym, zarządzanie przez kontroler WLAN z funkcjonalnościami: a) Automatyczne wykrywanie kontrolera i konfiguracja poprzez sieć LAN, b) Optymalizacja wykorzystania pasma radiowego (ograniczanie wpływu zakłóceń, kontrola mocy, dobór kanałów, reakcja na zmiany), c) Obsługa min. 16 BSSID, d) Definiowanie polityk bezpieczeństwa (per SSID) z możliwością rozgłaszania lub ukrycia poszczególnych SSID, e) Współpraca z systemami IDS/IPS, f) Uwierzytelnianie ruchu kontrolnego 802.11 (z możliwością wykrywania użytkowników podszywających się pod punkty dostępowe) funkcjonalność 802.11w lub równoważna, g) Obsługa trybu pracy Split-MAC (tunelowanie ruchu klientów do kontrolera i centralne terminowanie do sieci LAN), h) Jednoczesna obsługa transferu danych użytkowników końcowych oraz monitorowania pasma radiowego (wykrywanie obcych punktów dostępowych i klientów WLAN, wireless IPS), i) Obsługa Dynamic Frequency Selection (DFS) i Transmit Power Control (TPC) zgodnie z 802.11h, j) Obsługa szybkiego roamingu użytkowników pomiędzy punktami dostępowymi funkcjonalność 802.11r lub równoważna, k) Obsługa mechanizmów QoS: shaping/ ograniczanie ruchu do użytkownika, z możliwością konfiguracji per użytkownik, obsługa WMM, TSPEC, U-APSD, l) Współpraca z urządzeniami i oprogramowaniem realizującym usługi lokalizacyjne, m) Wbudowany suplikant 802.1x możliwość uwierzytelnienia AP do infrastruktury sieciowej, n) Do oferty należy dołączyć informację producenta (lub jego przedstawiciela w Polsce), że proponowany punkt dostępowy jest w pełni kompatybilny z kontrolerami Cisco WLC 5508 oraz WLC 2500 posiadanym przez zamawiającego, o) Wraz z punktem dostępowym należy dostarczyć licencje do kontrolera oraz do systemu zarządzania Cisco Prime 2.x, 5) Możliwość pracy autonomicznej po wymianie oprogramowania zmiana trybu pracy musi być bez kosztowa w okresie trwania gwarancji a) Zarządzanie przez HTTPS, SSH, dedykowany port szeregowy, SNMP, b) Obsługa min. 16 SSID, c) Współpraca z serwerami autoryzacyjnymi RADIUS (konfigurowane per SSID), d) Obsługa WPA/WPA2, 802.1x (z możliwością tworzenia lokalnej bazy użytkowników), e) Obsługa mechanizmów QoS (WMM, priorytetyzacja) i wsparcie dla VoWLAN, f) Obsługa trybów AP, low se, bridge, g) Konfiguracja polityk bezpieczeństwa per SSID, h) Możliwość filtrowania ruchu (w oparciu o MAC, adresy i protokoły IP, porty TCP/UDP), i) Uwierzytelnianie ruchu kontrolnego 802.11, j) Obsługa szybkiego roamingu pomiędzy punktami dostępowymi, k) Możliwość eksportu logów z wykorzystaniem SYSLOG, 6) Zintegrowany moduł analizatora widma częstotliwościowego (dotyczy zakresów 2.4GHz i 5GHz) lub dedykowany punkt dostępowy realizujący taką funkcjonalność a) Dokładność analizy (kwant próbkowania) max. 200 khz, b) Zakres częstotliwościowy zgodny z zakresem pracy modułów radiowych, 11
c) Automatyczne wykrywanie i klasyfikacja źródeł interferencji (bluetooth, DECT, urządzenia Mikrofalowe, urządzenia transmisji audio wideo, urządzenia zakłócające itp.), d) Możliwość wizualizacji wyników analizy na stacji roboczej klasy PC (FFT, gęstość widma, spektrogram, zajętość kanałów, poziom mocy sygnałów) w czasie rzeczywistym, e) Współpraca z mechanizmami optymalizacji wykorzystania pasma radiowego, 7) Interfejs Gigabit Ethernet (100/1000), 8) Zróżnicowane możliwości zasilania: a) Zasilacz sieciowy 230V AC zasilacza nie należy dostarczać w ramach zamówienia, b) Zasilanie przez skrętkę Ethernet w sposób zapewniający pełną wydajność (802.3af lub 802.3at), 9) Zewnętrzne zintegrowane w postaci jednego panela cztery anteny dual band do montażu na ścianie (komplet do każdego oferowanego punktu dostępowego ) o zysku przynajmniej 6 dbi dla pasma 2,4 GHz oraz 6 dbi dla pasma 5 GHz, 10) Obudowa przystosowana do warunków pracy w pomieszczeniach biurowych (5 35oC), o niskim profilu (nie więcej niż 6 cm), 11) Diodowa sygnalizacja stanu urządzenia z możliwością dezaktywacji, 12) Zestaw montażowy pozwalający na montaż na suficie. 13) Gwarancja producenta okres min. 3 lat* na poniższych warunkach: a) Serwis gwarancyjny świadczony przez producenta lub partnera w miejscu instalacji, b) Serwis gwarancyjny musi obejmować dostęp do poprawek oprogramowania w ciągu 3 lat od daty zakupu na żądanie Zamawiającego, nie rzadziej niż raz na 3 miesiące, o ile są one dostępne, c) Serwis gwarancyjny musi obejmować dostęp do nowych wersji oprogramowania, w ciągu 3 lat od daty dostawy, d) Bieg terminu gwarancji rozpoczyna się w dniu dostawy, e) Firma serwisująca posiada wdrożony i stosowany system zarządzania jakością zgodny z normą ISO 9001 lub normą równoważną na świadczenie usług serwisowych w ramach gwarancji. f) Wymiana lub naprawa wadliwego sprzętu następnego dnia roboczego od zgłoszenia awarii. 12. Punkt dostępowy sieci WiFi montowane do ściany 5 szt. 1) Obsługa standardów 802.11a/b/g/n/ a) Obsługa MIMO min. 2x2:2, b) Obsługa kanałów 20 i 40 MHz dla 802.11n, c) Obsługa prędkości PHY co najmniej 0,3 Gbps, d) Obsługa agregacji ramek A-MPDU (Tx/Rx), A-MSDU (Tx/Rx), e) Obsługa TxBF (transmitbeamforming) dla klientów 802.11a/g/n/. 2) Wbudowany przełącznik o funkcjonalności a) 4 porty 10/100 b) Możliwość przypisania portu do vlanu c) Wyłączenia dowolnego portu 3) Zgodność z protokołem CAPWAP (RFC 5415) lub równoważnym, zarządzanie przez kontroler WLAN z funkcjonalnościami: a) Automatyczne wykrywanie kontrolera i konfiguracja poprzez sieć LAN, b) Obsługa min. 16 BSSID, c) Definiowanie polityk bezpieczeństwa (per SSID) z możliwością rozgłaszania lub ukrycia poszczególnych SSID, d) Współpraca z systemami IDS/IPS, e) Uwierzytelnianie ruchu kontrolnego 802.11 (z możliwością wykrywania użytkowników podszywających się pod punkty dostępowe) funkcjonalność 802.11w lub równoważna, f) Obsługa trybu pracy Split-MAC (tunelowanie ruchu klientów do kontrolera i centralne terminowanie do sieci LAN), g) Obsługa Dynamic Frequency Selection (DFS) i Transmit Power Control (TPC) zgodnie z 802.11h, h) Obsługa szybkiego roamingu użytkowników pomiędzy punktami dostępowymi funkcjonalność 802.11r lub równoważna, 12
i) Obsługa mechanizmów QoS: shaping/ ograniczanie ruchu do użytkownika, z możliwością konfiguracji per użytkownik, obsługa WMM, TSPEC, U-APSD, j) Wbudowany suplikant 802.1x możliwość uwierzytelnienia AP do infrastruktury sieciowej, k) Do oferty należy dołączyć informację producenta (lub jego przedstawiciela w Polsce), że proponowany punkt dostępowy jest w pełni kompatybilny z kontrolerami Cisco WLC 5508 oraz WLC 2500 posiadanym przez zamawiającego, l) Wraz z punktem dostępowym należy dostarczyć licencje do kontrolera oraz do systemu zarządzania Cisco Prime 2.x, 4) Interfejs Gigabit Ethernet (100/1000), 5) Zróżnicowane możliwości zasilania: a) Zasilacz sieciowy 230V AC zasilacza w zestawie, b) Zasilanie przez skrętkę Ethernet w sposób zapewniający pełną wydajność (802.3af lub 802.3at), 6) Anteny zintegrowane o zysku przynajmniej 2 dbi dla pasma 2,4 GHz oraz 4,5 dbi dla pasma 5 GHz 7) Obudowa przystosowana do warunków pracy w pomieszczeniach biurowych (5 35oC), o niskim profilu (nie więcej niż 6 cm), 8) Zestaw montażowy pozwalający na montaż na ścianie. 9) Gwarancja producenta okres min. 3 lat* na poniższych warunkach: a) Serwis gwarancyjny świadczony przez producenta lub partnera w miejscu instalacji, b) Serwis gwarancyjny musi obejmować dostęp do poprawek oprogramowania w ciągu 3 lat od daty zakupu na żądanie Zamawiającego, nie rzadziej niż raz na 3 miesiące, o ile są one dostępne, c) Serwis gwarancyjny musi obejmować dostęp do nowych wersji oprogramowania, w ciągu 3 lat od daty dostawy, d) Bieg terminu gwarancji rozpoczyna się w dniu dostawy, e) Firma serwisująca posiada wdrożony i stosowany system zarządzania jakością zgodny z normą ISO 9001 lub normą równoważną na świadczenie usług serwisowych w ramach gwarancji. f) Wymiana lub naprawa wadliwego sprzętu następnego dnia roboczego od zgłoszenia awarii. 13. Przełącznik 24-portowy POE 4 szt. 1) Min. 24 portów Gigabit Ethernet 10/100/1000 Base-T oraz cztery porty 1 Gigabit Ethernet na wymienne moduły obsadzone modułami SFP 2 x 1000BaseSX,1 x 1000BaseBX10U oraz 1x 1000BaseBX10D 2) Wsparcie dla standardów PoE (IEEE 802.3af) i PoE+ (IEEE 802.3at), min. 370 W dedykowanych do zasilania urządzeń komputerowych przez sieć Ethernet, w tym możliwość konfiguracji: min. 12 portów o poborze mocy do 30 W (PoE+), min. 24 portów o poborze mocy do 15,4 W (PoE), 3) Wydajność przełączania przynajmniej 60 Mpps (60 milionów 64-bajtowych pakietów na sekundę), 4) Przełącznik musi zapewniać przełączanie w warstwie drugiej, w tym możliwość filtracji ruchu w tej warstwie, 5) Min. 128 MB pamięci DRAM oraz min. 64 MB pamięci flash, 6) Obsługa min. 8 000 adresów MAC oraz min. 250 sieci VLAN. 2 / 4, 7) Możliwość łączenia przełączników w stos przy użyciu wymiennych modułów. Z przełącznikami serii Cisco 2960S będącymi w posiadaniu zamawiającego. Przełącznik musi posiadac odpowiedni moduł oraz kabel długości 1m, 8) Min. 255 grup IGMP (IPv4). Wsparcie dla RFC 1112, 9) Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem ciągłości pracy sieci: a) IEEE 802.1s Rapid Spanning Tree, b) IEEE 802.1w Multi-Instance Spanning Tree, c) możliwość grupowania portów zgodnie ze specyfikacją IEEE 802.3ad (LACP). 10) Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a) Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, żródłowy/docelowy port TCP, b) Implementacja co najmniej czterech kolejek sprzętowych na każdym porcie wyjściowym dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Round Robin lub podobnego dla obsługi tych kolejek, 13
c) Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority), d) Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP, e) Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (policing, rate limiting), 11) Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem bezpieczeństwa sieci: a) Wiele poziomów dostępu administracyjnego poprzez konsolę, b) Autoryzacja użytkowników/portów w oparciu o IEEE 802.1x oraz EAP, c) Możliwość uzyskania dostępu do urządzenia przez SNMPv3 i SSHv2, d) funkcjonalność prywatnego VLAN-u, czyli możliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji z portem nadrzędnym, 12) Przełącznik powinien umożliwiać lokalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do urządzenia monitorującego przyłączonego do innego portu, 13) Przełącznik powinien umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN, 14) Możliwość tworzenia zestawów konfiguracyjnych dla portów (grupy poleceń umożliwiające konfigurację wielu funkcjonalności za pomocą jednego polecenia), 15) Przełącznik powinien mieć możliwość synchronizacji czasu za pomocą protokołu NTP, 16) Plik konfiguracyjny urządzenia (w szczególności plik konfiguracji parametrów routingu), 17) powinien być możliwy do edycji w trybie off-line. Tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC. Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nowa konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 4 plików konfiguracyjnych. Zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się częściowych restartów urządzenia po dokonaniu zmian, 18) Możliwość montażu w szafie serwerowej 19 (urządzenie musi zostać wyposażone w niezbędne elementy montażowe), 19) Zamknięta konfiguracja, wysokość urządzenia nie większa niż 1U, 20) Możliwość monitorowania zmian w konfiguracji za pomocą oprogramowania RANCID, stosowanego przez Zamawiającego. 21) Gwarancja producenta na okres min. 3 lat* na poniższych warunkach: a) Serwis gwarancyjny świadczony przez producenta lub partnera w miejscu instalacji, b) Serwis gwarancyjny musi obejmować dostęp do poprawek oprogramowania w ciągu 3 lat od daty zakupu na żądanie Zamawiającego, nie rzadziej niż raz na 3 miesiące, o ile są one dostępne, c) Serwis gwarancyjny musi obejmować dostęp do nowych wersji oprogramowania, w ciągu 3 lat od daty dostawy, d) Bieg terminu gwarancji rozpoczyna się w dniu dostawy, e) Firma serwisująca posiada wdrożony i stosowany system zarządzania jakością zgodny z normą ISO 9001 lub normą równoważną na świadczenie usług serwisowych w ramach gwarancji. f) Wymiana lub naprawa wadliwego sprzętu następnego dnia roboczego od zgłoszenia awarii. 14. Przełącznik 8-portowe POE 4 szt. 1) Przełącznik wolnostojący wyposażony w 8 portów 100/1000 BaseT PoE+ (zgodnych z IEEE 802.3at) oraz dwa porty uplink combo 1000BaseT lub SFP 2) Porty SFP muszą umożliwiać ich obsadzenie modułami 1000Base-SX, 1000Base- LX/LH, 1000Base-BX oraz CWDM zależnie od potrzeb Zamawiającego 3) Porty SFP muszą być dostarczone z wkładkami 1000Base-SX 4) Przełącznik musi być wyposażony w zasilacz wewnętrzny. Urządzenie musi zapewniać minimum 240W dla portów PoE+ 14
5) Szybkość przełączania minimum 14Mpps dla pakietów 64-bajtowych.Matryca przełączająca o wydajności minimum 10Gbps 6) Minimum 128MB pamięci DRAM 7) Minimum 64MB pamięci flash 8) Obsługa minimum 1000 sieci VLAN 802.1Q z pełnym zakresem VLAN IDs (4000) 9) Obsługa minimum 4000 adresów MAC 10) Obsługa protokołu NTP 11) Obsługa IGMPv3 i MLDv1/2 Snooping 12) Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem ciągłości pracy sieci: a) IEEE 802.1w Rapid Spanning Tree b) IEEE 802.1s Multi-Instance Spanning Tree c) Obsługa minimum 128 instancji STP 13) Obsługa protokołu LLDP i LLDP-MED 14) Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym źródłowym i docelowym adresie MAC 15) Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego 16) Przełącznik musi posiadać możliwość uruchomienia funkcji serwera DHCP 17) Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem bezpieczeństwa sieci: a) Minimum 5 poziomów dostępu administracyjnego poprzez konsolę. Przełącznik musi umożliwiać zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji b) Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN c) Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania listy ACL d) Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X e) Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC f) Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X (bez konieczności stosowania zewnętrznego serwera www) g) Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie oraz możliwości jednoczesnego uwierzytelniania na porcie telefonu IP i komputera PC podłączonego za telefonem h) Funkcjonalność elastycznego uwierzytelniania (możliwość wyboru kolejności uwierzytelniania 802.1X/uwierzytelnianie w oparciu o MAC adres/uwierzytelnianie oparciu o portal www) i) Możliwość wdrożenia uwierzytelniania w oparciu o 802.1X w trybie monitor (niezależnie od tego czy uwierzytelnianie się powiedzie, czy nie użytkownik ma prawo dostępu do sieci) jako element sprawdzenia gotowości instalacji na pełne wdrożenie 802.1X j) Przełącznik musi posiadać funkcję supplicanta 802.1X (możliwość podłączenia przełącznika do innego switcha z uruchomionym mechanizmem uwierzytelniania 802.1X) k) Obsługa funkcji bezpieczeństwa sieci LAN: Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source Guard (również na portach typu link aggregation) l) Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów RADIUS lub TACACS+ m) Obsługa list kontroli dostępu (ACL) na poziomie portów (PACL), VLAN-ów (VACL), interfejsów routera L3 (RACL), możliwość konfiguracji tzw. czasowych list ACL (aktywnych w określonych godzinach i dniach tygodnia) n) Możliwość szyfrowania ruchu zgodnie z IEEE 802.1AE na portach dostępowych 18) Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a) Implementacja co najmniej czterech kolejek sprzętowych dla ruchu wyjściowego na każdym porcie dla obsługi ruchu o różnej klasie obsługi b) Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority) 15
c) Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP d) Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (policing, rate limiting) e) Kontrola sztormów dla ruchu broadcast/multicast/unicast f) Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP 19) Wsparcie dla DHCP Option 82 20) Wbudowane reflektometry (TDR) dla portów miedzianych 21) Urządzenie musi zapewniać możliwość routingu statycznego i dynamicznego (minimum w oparciu o protokół RIP i OSPF) dla protokołów IPv4 i IPv6 22) Możliwość obsługi tras routingu o jednakowym koszcie (ECMP - Equal-cost multi-path routing) 23) Obsługa funkcji DHCP Relay 24) Możliwość konfiguracji list ACL dla IPv6 25) Funkcjonalność prywatnego VLAN-u, czyli możliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji z portem nadrzędnym 26) Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN) 27) Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.) 28) Urządzenie musi być wyposażone w port konsoli USB 29) Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych 30) Obsługa protokołów SNMPv3, SSHv2, SCP, https, syslog 31) Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie 32) Urządzenie musi być pozbawione wentylatorów, poziom hałasu musi wynosić nie więcej niż 0dB 33) Urządzenie musi posiadać zestaw mocujący w w szafie rack 19, nie więcej niż 1RU 34) Urządzenie zasilane napięciem 230V AC 35) Gwarancja producenta okres min. 3 lat* na poniższych warunkach: a) Serwis gwarancyjny świadczony przez producenta lub partnera w miejscu instalacji, b) Serwis gwarancyjny musi obejmować dostęp do poprawek oprogramowania w ciągu 3 lat od daty zakupu na żądanie Zamawiającego, nie rzadziej niż raz na 3 miesiące, o ile są one dostępne, c) Serwis gwarancyjny musi obejmować dostęp do nowych wersji oprogramowania, w ciągu 3 lat od daty dostawy, d) Bieg terminu gwarancji rozpoczyna się w dniu dostawy, e) Firma serwisująca posiada wdrożony i stosowany system zarządzania jakością zgodny z normą ISO 9001 lub normą równoważną na świadczenie usług serwisowych w ramach gwarancji. f) Wymiana lub naprawa wadliwego sprzętu następnego dnia roboczego od zgłoszenia awarii. 15. Serwer do logowania i analizy ruchu sieciowego 1 szt. 1) Serwer wraz zainstalowanym oprogramowaniem musi analizować kopię ruchu sieciowego udostępnianą przez sesje port mirroringu zdefiniowane na przełącznikach Ethernet, lub przy pomocy dedykowanych sprzętowych tapów sieciowych. 2) Serwer musi udostępniać funkcję aktywnego tworzenia próbek ruchu z analizowanej kopii ruchu sieciowego. Musi istnieć możliwość aktywnego tworzenia próbek ruchu w formatach co najmniej Netflow wersji 5 i 9, IPFIX. Serwer musi posiadać funkcję wysyłania aktywnie tworzonych próbek ruchu do systemu Network Behavior Anomaly Detection tego samego producenta. 3) Serwer wraz zainstalowanym oprogramowaniem musi wykrywać nowe hosty pojawiające się w sieci teleinformatycznej. 4) Serwer musi zbierać i przechowywać informacje o MAC adresach komputerów oraz o przypisanych do nich adresów IPv4 i IPv6. 16
5) Na serwerze musi możliwość utworzenia centralnego repozytorium informacji o analizowanym ruchu sieciowym otrzymywanych z innych urządzeń sieciowych lub własnych komponentów. 6) Serwer wraz zainstalowanym oprogramowaniem musi udostępniać graficzny interfejs użytkownika do przetwarzania zebranych danych, w tym wyliczania statystyk i generowania raportów. Statystyki i raporty muszą być dostępne na bieżąco w czasie rzeczywistym. 7) System kolekcjonowania danych na serwerze musi przechowywać informacje o czasie rozpoczęcia i zakończenia strumienia analizowanych danych z dokładnością do 1 milisekundy. 8) Oprogramowanie na serwerze musi posiadać funkcje tworzenia profili i widoków analizowanych danych, aktualizowanych na bieżąco, na podstawie kryteriów zdefiniowanych przez administratora. 9) Oprogramowanie na serwerze musi generować raporty pokazujące dane w formie graficznej (wykresy) jak i tabelarycznej, w oparciu o kryteria wprowadzane przez użytkowników w formie filtrów. Raporty muszą obejmować również informacje o wszystkich konwersacjach pomiędzy monitorowanymi hostami. 10) System musi umożliwiać wyszukanie pełnego URL w zadanym przedziale czasu. oraz musi mieć możliwość wyświetlenia wszystkich hostname oraz url w zadanym przedziale czasu dla danego użytkownika, grupy użytkowników, sieci 11) Serwer wraz z oprogramowaniem musi udostępniać statystyki obciążenia sieci przez: a) adresy i sieci IP (źródłowe i docelowe), b) aplikacje (protokoły, porty źródłowe, docelowe), c) kraje rozpoznawane na podstawie sieci IP (dla adresów źródłowych i docelowych) d) ruch z określonymi flagami TCP, e) protokoły IPv4 oraz IPv6 f) system operacyjny i przeglądarkę hosta korzystającego z http g) hostname y h) URLe 12) Serwer wraz oprogramowaniem musi generować raporty zgodnie z kryteriami ustalanymi przez administratorów oraz na podstawie predefiniowanych wzorców. Raporty musza być tworzone w różnych formatach minimum PDF i CSV. Użytkownik musi posiadać wpływ na układ raportu poprzez dobór ilości i rodzaju informacji, z których raport będzie się składał. 13) Serwer musi posiadać funkcję automatycznego rozwiązywania adresów IP do nazw domenowych. 14) Serwer musi posiadać funkcję nadawania nazw własnych następującym zaobserwowanym obiektom: a) podsieciom, b) aplikacjom (adresom IP i portom), c) systemom autonomicznym BGP (AS). 15) Serwer wraz zainstalowanym oprogramowaniem musi udostępniać zbiorcze dane statystyczne zawierające sumaryczną liczbę otrzymanych eksportów próbek ruchu określonego typu zebranych przez każdy interfejs monitorujący, wraz z informacjami na temat średniej oraz szczytowej liczby otrzymywanych eksportów od każdego z urządzeń. 16) System zarządzania serwerem musi pozwalać na definiowanie alarmów, które będą powiadamiać administratora o ruchu sieciowym (globalnym oraz z wybranych sieci, protokołów i aplikacji) przekraczającym zdefiniowane wartości progowe wyrażone w jednostkach ilości danych (pakietach oraz bajtach), a także w jednostkach prędkości transmisji (bitach/sekundę, pakietach/sekundę). 17) Alarmy muszą być wysyłane przy wykorzystaniu co najmniej następujących metod: syslog, e-mail, SNMP trap, komunikaty SMS (w typ przypadku dopuszcza się możliwość integracji z zewnętrzną bramką SMS). 18) Serwer musi mieć możliwość uruchomienia w architekturze standalone kluczowe funkcje, czyli zbieranie danych, analiza zdarzeń oraz wykrywanie anomalii muszą być wykonywane na tym samym urządzeniu. 19) W celu zwiększenia skalowalności systemu musi istnieć możliwość uruchomienia dodatkowych serwerów w architekturze rozproszonej, poprzez uruchomienie funkcji zbierania danych, a także ich wstępnej analizy na dedykowanych kolektorach. 20) Serwer musi działać pod kontrolą dostrojonego przez producenta systemu operacyjnego klasy Unix. 21) Serwer musi posiadać wydajność analizy nie mniej niż 0,5M pakietów na sekundę na każdym porcie. 22) Serwer wraz oprogramowaniem musi być dostarczony, jako sprzętowy appliance o wysokości nie większej niż 2U. Urządzenie musi posiadać, co najmniej 4 interfejsy monitorujące miedziane 10/100/1000 Mb, o wydajności 0,5M pps każdy. Urządzenie musi posiadać nie mniej niż 500 GB pojemności dyskowej. 17
23) Serwer musi być dostarczony jako rozwiązanie gotowe do użytku, pochodzące od tego samego producenta. Nie jest dopuszczalna sytuacja, w której funkcje wymagane dla systemu realizowane są przez zestaw programów pochodzących od różnych producentów, działających na tej samej platformie sprzętowej ogólnego przeznaczenia. 24) Serwer musi być kompletny tzn. zawierać wszystkie licencje i zezwolenia, niezbędne do poprawnego funkcjonowania zgodnie z niniejszą specyfikacją, bez konieczności wnoszenia dodatkowych. 25) Pełne zarządzanie serwerem oraz zainstalowanym na nim oprogramowaniem, analiza danych oraz raportowanie musi odbywać się poprzez graficzny interfejs użytkownika dostępny za pomocą standardowych przeglądarek WWW. Nie jest dopuszczalne zarządzanie przy pomocy dodatkowych aplikacji klienckich. 26) System musi pozwalać na definiowanie kont administratorów o zróżnicowanym poziomie uprawnień w zakresie co najmniej: pełnej kontroli nad systemem, kontroli na poszczególnymi modułami funkcjonalnymi systemu, kont uprawnionych tylko do odczytu. Ponadto musi istnieć funkcja ograniczania uprawnień kont użytkowników do poszczególnych źródeł informacji tj. konkretnych aplikacji, podsieci, grupy urządzeń (danych definiowanych na podstawie kryteriów z warstwy 3 i 4 modelu OSI). Tożsamość administratorów musi być weryfikowana w lokalnej bazie danych użytkowników, a także przy pomocy zewnętrznych serwerów uwierzytelniania co najmniej LDAP. 27) Musi być dostępna funkcja zapisywania i odtwarzania pełnej konfiguracji systemu oraz jedynie wybranych jego komponentów. 28) System musi posiadać narzędzia do: a) informowania o statusie systemu, zajętości pamięci, dostępności przestrzeni dyskowej, b) konfiguracji interfejsów sieciowych, c) zapisywania pełnego dziennika zdarzeń (logów) związanych z działaniem systemu i uruchomionym na nim usług. 29) Gwarancja producenta okres min. 3 lat* na poniższych warunkach: a) Serwis gwarancyjny świadczony przez producenta lub partnera w miejscu instalacji, b) Serwis gwarancyjny musi obejmować dostęp do poprawek oprogramowania w ciągu 3 lat od daty zakupu na żądanie Zamawiającego, nie rzadziej niż raz na 3 miesiące, o ile są one dostępne, c) Serwis gwarancyjny musi obejmować dostęp do nowych wersji oprogramowania, w ciągu 3 lat od daty dostawy, d) Bieg terminu gwarancji rozpoczyna się w dniu dostawy, e) Firma serwisująca posiada wdrożony i stosowany system zarządzania jakością zgodny z normą ISO 9001 lub normą równoważną na świadczenie usług serwisowych w ramach gwarancji. f) Wymiana lub naprawa wadliwego sprzętu następnego dnia roboczego od zgłoszenia awarii. 16. Serwery równoważenia usług - 2 szt. 1) Serwer musi realizować co najmniej następujące funkcje: a) Rozkład ruchu pomiędzy serwerami aplikacji Web b) Selektywny http caching c) Selektywna kompresja danych d) Terminacja sesji SSL e) Filtrowanie pakietów 2) Wszystkie wymienione w punkcie 1 funkcje muszą być dostępne w obrębie jednego urządzenia 3) Serwer musi realizować co najmniej następujące metody równoważenia obciążenia: a) Cykliczną b) Ważoną c) Najmniejsza liczba połączeń d) Najszybsza odpowiedź serwera e) Najmniejsza liczba połączeń i najszybsza odpowiedź serwera f) Najmniejsza liczba połączeń i najszybsza odpowiedź serwera w zdefiniowanym czasie g) Dynamicznie ważona oparta na SNMP/WMI h) Definiowana na podstawie grupy priorytetów dla serwerów 4) Rozwiązanie musi posiadać wbudowany w system operacyjny język skryptowy, posiadający co najmniej następujące cechy: 18
a) Analiza, zmiana oraz zastępowanie parametrów w nagłówku http oraz w zawartości (polu danych) b) Obsługa protokołów: http, tcp, xml, rtsp, sip c) Musi posiadać funkcję inspekcji protokołów LDAP oraz RADIUS 5) Musi istnieć możliwość modyfikacji metod równoważenia obciążenia pomiędzy serwerami przy wykorzystaniu wbudowanego języka skryptowego 6) Producent Serweru musi dostarczyć darmową, specjalizowaną aplikację do analizy poprawności składni skryptów pisanych przy wykorzystaniu języka skryptowego opisanego w punkcie 5. Aplikacja musi posiadać wbudowane szablony skryptów oraz funkcję auto uzupełniania wpisywanych komend. 7) Rozwiązanie musi pracować w trybie pełnego proxy 8) Rozwiązanie musi posiadać programowalny interfejs API do integracji z zewnętrznymi systemami oraz automatyzacji wykonywania operacji 9) Musi istnieć możliwość rozbudowy systemu o dodatkowe funkcje aplikacyjnego firewalla web (ang. WAF - Web Application Firewall). WAF opisany w niniejszym punkcie powinien pracować w oparciu o pozytywny model bezpieczeństwa (tylko to, co znane i prawidłowe jest dozwolone), model ten tworzony jest na bazie automatycznie budowanego przez WAF profilu aplikacji Web (URLi, metod dostępu, cookie, oczekiwanych typów znaków oraz długości zapytań). Profil aplikacji web tworzony musi być na podstawie analizy ruchu sieciowego. Musi istnieć możliwość ograniczania zaufanych adresów źródłowych, z których komunikacja z aplikacją tworzyć będzie oczekiwany profil zachowań użytkowników. 10) System musi posiadać co najmniej następujące interfejsy administracyjne: a) GUI przy wykorzystaniu protokołu https b) Zarządzanie poprzez SSH c) Zarządzanie poprzez SOAP-SSL d) Zarządzanie poprzez API REST 11) Autoryzacja administratorów systemu musi bazować na rolach użytkowników 12) Serwer musi posiadać funkcje przywiązywania sesji (Session persistence) przy wykorzystaniu co najmniej następujących atrybutów: a) Cookie (hash, rewrite, custom, insert, passive) b) Adres źródła c) SIP call ID d) Identyfikator sesji SSL e) Microsoft Terminal Services (RDP) nazwa użytkownika f) Adres docelowy g) Tworzone przez administratora systemu przy wykorzystaniu języka skryptowego z punktu 4 13) Serwer musi posiadać funkcję sprawdzania dostępności usług (ang. health monitoring) przy wykorzystaniu co najmniej następujących metod: icmp, echo (port 7/TCP), zapytanie MS SQL, zapytanie Oracle, sprawdzanie odpowiedzi poprzez wyszukiwanie wyrażeń regularnych, TCP half-open, wykorzystanie protokołów: http, https, ftp, sip, nntp, smb, pop3, imap, smtp, ssl, radius. Dodatkowo musi istnieć możliwość wykorzystania skryptów do tworzenia złożonych monitorów sprawdzających aktywność usług. 14) Serwer musi posiadać funkcję definiowania maksymalnej ilości obsługiwanych przez dany serwer połączeń, w przypadku przekroczenia zdefiniowanej wartości musi istnieć możliwość wysłania klientowi strony błędu lub przekierowania klienta na inny serwer. 15) Serwer musi obsługiwać sieci VLAN w standardzie 802.1q 16) Serwer musi obsługiwać agregację linków w standardzie 802.3ad (LACP) 17) Serwer musi świadczyć co najmniej następujące usługi w warstwach 4-7: a) Inspekcja warstwy aplikacji, w tym inspekcja nagłówka http b) Ukrywanie zasobów c) Zmiana odpowiedzi serwera d) Przepisywanie odpowiedzi (response rewriting) e) Ochrona przed atakami typu DoS/DDoS f) Ochrona przed atakami typu SYN Flood g) multipleksowanie połączeń http 19
18) Serwer musi posiadać następujące funkcje zarządzania siecią: a) Obsługa protokołu SNMP v1/v2c/v3 b) Zewnętrzny syslog c) Zbieranie danych i ich wyświetlanie d) Zbieranie danych zgodnie z ustawieniami administratora e) Osobny default gateway dla interfejsu zarządzającego f) Wsparcie dla przynajmniej 2 wersji oprogramowania (multi-boot) g) Zapisywanie konfiguracji (możliwość szyfrowania i eksportu kluczy) h) Dedykowany podsystem monitorowania stanu pracy urządzenia z funkcjami restartu, wstrzymania oraz sprzętowego resetu systemu. 19) Serwer musi posiadać funkcję integracji z zewnętrznymi serwerami uwierzytelnienia użytkowników LDAP, RADIUS, TACACS. 20) Serwer musi posiadać funkcję definiowania i edycji szablonów konfiguracji aplikacji. Szablony powinny służyć do optymalizacji procesu wdrażania systemu zarówno dla znanych aplikacji biznesowych, jak i własnych aplikacji klienta. W ramach opisanych szablonów musi istnieć możliwość automatycznej kontroli poszczególnych elementów konfiguracji szablonu i zabezpieczenie ich przed modyfikacją i usunięciem. 21) Serwer powinien posiadać moduł analizy ruchu http. Moduł powinien zbierać następujące metryki: a) Czas odpowiedzi per serwer b) Czas odpowiedzi per URI c) Ilość sesji użytkownika d) Przepustowość e) Adres źródła f) Kraj User Agent (wykorzystywana przez klienta aplikacja) g) Metoda dostępu 22) Serwer musi posiadać funkcjonalność SSL VPN co najmniej dla 10 równolegle pracujących użytkowników. 23) Serwer musi posiadać moduł pozwalający na analizę działania aplikacji a w szczególności powinien udostępniać informacje dotyczące: a) Opóźnienia odpowiedzi serwerów aplikacyjnych b) Adresów URL odpytywanych przez klientów c) Kodów odpowiedzi HTTP zwracanych przez aplikację d) Adresów IP klientów łączących się do aplikacji 24) Musi być dostarczony w formie klastra wysokiej dostępności (HA) złożonego z dwóch urządzeń tego samego typu pracujących w trybie active standby z możliwością realizacji trybu active-active. 25) Wykrycie awarii urządzeń w klastrze odbywać się musi przy użyciu, co najmniej metody Weryfikacji stanu pracy urządzenia poprzez analizę aktywności w sieci (Network failover). 26) Weryfikacji stanu pracy urządzenia poprzez interfejs szeregowy (serial failover) 27) Gwarancja producenta na okres min. 3 lat* na poniższych warunkach: a) Serwis gwarancyjny świadczony przez producenta lub partnera w miejscu instalacji, b) Serwis gwarancyjny musi obejmować dostęp do poprawek oprogramowania w ciągu 3 lat od daty zakupu na żądanie Zamawiającego, nie rzadziej niż raz na 3 miesiące, o ile są one dostępne, c) Serwis gwarancyjny musi obejmować dostęp do nowych wersji oprogramowania, w ciągu 3 lat od daty dostawy, d) Bieg terminu gwarancji rozpoczyna się w dniu dostawy, e) Firma serwisująca posiada wdrożony i stosowany system zarządzania jakością zgodny z normą ISO 9001 lub normą równoważną na świadczenie usług serwisowych w ramach gwarancji. f) Wymiana lub naprawa wadliwego sprzętu następnego dnia roboczego od zgłoszenia awarii. 28) W ramach dostawy należy przeprowadzić 16 godzinne szkolenie z zakresu instalacji i wstępnej konfiguracji dla czterech osób. Szkolenie powinien przeprowadzić inżynier posiadający certyfikacje firmy producenta oprogramowania. Szkolenie zostanie przeprowadzone w terminie 3 miesięcy od dnia podpisania umowy. 20