0/62. Załącznik nr 1 do SIWZ Nr sprawy: DZ 2711-1/14

Załącznik nr 1 do SIWZ Nr sprawy: DZ 2711-1/14 ROZBUDOWA I ROZWÓJ INFRASTRUKTURY TELEINFORMATYCZNEJ INSTYTUTU NAFTY I GAZU - PAŃSTWOWEGO INSTYTUTU BADAWCZEGO, POPRZEZ DOSTAWĘ URZĄDZEŃ, OPROGRAMOWANIA I LICENCJI WRAZ Z ICH WDROŻENIEM, INSTRUKTAŻEM, SZKOLENIEM I SERWISEM POWDROŻENIOWYM ORAZ INSTALACJĄ PUNKTÓW DOSTĘPOWYCH SIECI BEZPRZEWODOWEJ Zamówienie dofinansowywane z Projektu: Rozwój infrastruktury informatycznej oraz utworzenie centrum modelowania i symulacji złóż węglowodorów realizowany w ramach Programu Operacyjnego Innowacyjna Gospodarka, lata 2007-2013, Priorytet 2. Infrastruktura sfery B+R, Działanie 2.3. Inwestycje związane z rozwojem infrastruktury informatycznej nauki, Poddziałanie 2.3.1 Projekty w zakresie rozwoju infrastruktury informatycznej nauki 0/62

SPIS TREŚCI 1/62 Opis przedmiotu zamówienia:... 3 1. Przełącznik warstwy trzeciej ze wsparciem dla wirtualizacji, oraz sieci SAN... 6 2. Moduły dla routerów Cisco ISR G2 3945... 8 3. Zestaw licencji do posiadanego urządzenia Cisco ASA-X 5545 -... 9 4. Urządzenie pełniące funkcję zapory sieciowej wraz z odpowiednimi licencjami... 9 5. Przełączniki dostępowe warstwy drugiej z POE typu pierwszego, z dwoma uplinkami o przepustowości min. 10 Gbps -...10 6. Przełącznik dostępowy warstwy drugiej z POE typu drugiego, z dwoma uplinkami o przepustowości min. 10 Gbps -...11 7. Przełącznik dostępowy warstwy drugiej z POE typu piątego, z dwoma uplinkami o przepustowości min. 1 Gbps...13 8. Przełącznik dostępowy warstwy drugiej z POE typu trzeciego, z czterema uplinkami o przepustowości min. 1 Gbps -...15 9. Przełącznik dostępowy warstwy drugiej z POE typu czwartego, z czterema uplinkami o przepustowości min. 1 Gbps...16 10. Punkty dostępowe typu WiFi w standardzie 802.11ac, współpracujące z centralnym kontrolerem sieci bezprzewodowej...18 11. Kontroler sieci bezprzewodowej do centralnego zarządzania punktami dostępowymi i egzekucją dostępu do sieci bezprzewodowej dla min 100 punktów dostępu wraz z kontrolerem zapasowymzestaw (kontroler podstawowy + kontroler zapasowy)...20 12. System uwierzytelnienia wraz z platformą sprzętową i licencjami na 1500 urządzeń końcowych -...21 13. Moduł SFP o prędkości 1Gbps medium: kabel UTP 1Gbps -...27 14. Moduł SFP o prędkości 1Gbps medium: światłowód wielomodowy ST...27 15. Moduł SFP+ prędkości 10Gbps medium: światłowód wielomodowy ST...27 16. Serwer kasetowy wraz z oprzyrządowaniem...28 I. Serwer kasetowy -...28 II. Oprzyrządowanie przełącznik do serwerów kasetowych -...28 17. Oprogramowanie do wirtualizacji wraz z licencjami...29 18. Macierz z funkcją replikacji -...31 19. Terminal wideo -...33 20. Biurkowy terminal wideo -...35 21. Wideotelefon -...38 22. Telefony IP dedykowane do sal konferencyjnych (Zestaw głosowy)...41 23. Elementy systemu telefonicznego (sprzęt, oprogramowanie i licencje)-...43 I. System zunifikowanej komunikacji...43 Podstawowe cele i charakterystyka systemu zunifikowanej komunikacji...43 Funkcje zarządzania połączeniami w systemie zunifikowanej komunikacji...43 Funkcje centralnego Contact Center dla usług helpdesku w systemie zunifikowanej komunikacji...47 Funkcje informacji o dostępności abonentów w systemie zunifikowanej komunikacji...48

Funkcje zewnętrznej bramy multimedialnej...49 Funkcje i infrastruktura do realizacji planowanych spotkań wideo...49 Funkcje i infrastruktura do realizacji nieplanowanych spotkań wideo...52 Skalowalność i architektura systemu zunifikowanej komunikacji...53 HARMONOGRAM WDROŻENIA...55 Opisowy plan wdrożenia...55 Prace wstępne:...56 Etap 1:...56 Etap 2:...58 Etap 3:...59 Etap 4:...60 Etap 5:...61 2/62

Opis przedmiotu zamówienia: Przedmiotem zamówienia jest rozbudowa i rozwój infrastruktury teleinformatycznej, poprzez dostawę urządzeń, oprogramowania i licencji wraz z ich wdrożeniem, instruktażem, szkoleniem i serwisem powdrożeniowym oraz instalacją punktów dostępowych sieci bezprzewodowej. Zamówienie zostało podzielone na dwa następujące zadania: Zadanie 1:Budowa konwergentnego szkieletu sieci LAN/WAN i sieci bezprzewodowej ze wsparciem dla środowisk wirtualizacyjnych, bezpieczeństwa, mobilności i jednolitej komunikacji. Dostawa urządzeń, oprogramowania i licencji potrzebnych do realizacji zadania pierwszego obejmują specyfikacje techniczne opisane od punktu 1 do 15 włącznie. Zadanie 2:Unifikacja architektury serwerów i platformy do komunikacji tekstowej, głosowej i wideo z rozbudową systemu dyskowo macierzowego. Dostawa urządzeń, oprogramowania i licencji potrzebnych do realizacji zadania drugiego obejmują specyfikacje techniczne opisane od punktu 16 do 23 włącznie. Zamawiający nie dopuszcza składania ofert częściowych. Harmonogram wdrożenia obu zadań, wraz z podziałem na etapy i fazy opisany jest w osobnym rozdziale. Wszystkie zaproponowane urządzenia, licencje i oprogramowanie muszą: - być objęte min. 36-miesięcznym (3 lata) serwisem opartym na serwisie producenta urządzenia, zapewniającym wymianę uszkodzonego sprzętu najpóźniej w następnym dniu roboczym po dniu zgłoszenia awarii, jeżeli zgłoszenie wpłynęło w dniu roboczym do godziny 12:00, lub kolejnego dnia w pozostałych przypadkach i zapewniać w tym okresie możliwość bezpłatnej aktualizacji oprogramowania do nowych wersji, i dostępu do wsparcia technicznego producenta, - być fabrycznie nowe i nieużywane wcześniej w żadnych innych projektach. Nie dopuszcza się urządzeń typu refurbished lub odnowionych (zwróconych do producenta i później odsprzedawanych ponownie przez producenta), - pochodzić z legalnego kanału sprzedaży producenta. Zamawiający zastrzega sobie możliwość weryfikacji numerów seryjnych dostarczonej platformy sprzętowej u producenta, w celu sprawdzenia czy pochodzi ona z legalnego kanału sprzedaży, - końcowym właścicielem oferowanego sprzętu, licencji i oprogramowania musi być Zamawiający. Wykonawca, w ramach osobnej umowy musi zapewnić serwis powdrożeniowy (wsparcie techniczne) dla wdrażanego systemu na następujących warunkach: 1. W ilości minimum 8 godzin zegarowych (ryczałtowych) w miesiącu, (min. 8 godz. max 16 godz.) 2. Każda dodatkowa godzina płatna według przyjętej stawki godzinowej - podstawowej (min. 50PLN max 250PLN), 3. Czas podjęcia reakcji tj. rozpoczęcia działań naprawczych na zgłoszenie w dzień roboczy do 8 godzin (od 1 godz. do 8 godz.), 4. Każdy dojazd do siedziby klienta mieszczącej się na terenie Krakowa liczony jako jedna roboczogodzina (ryczałtowa), w każdym innym przypadku koszt dojazdu ustalany jest indywidualnie, 5. Rozliczanie z dokładnością do 15 minut, 6. Raport z wykorzystanego czasu, 7. Bezpośredni kontakt telefoniczny i mailowy do minimum dwóch inżynierów obsługujących klienta od strony sieciowej i dwóch inżynierów od strony serwerów i systemu macierzowego, 8. Przewidziane we wsparciu godziny mogą być wykorzystywane na poczet wprowadzania zmian w konfiguracji dostarczonych i skonfigurowanych urządzeń (dotyczy to również uruchamiania nowych funkcjonalności), 9. Niewykorzystane w danym miesiącu godziny wsparcia przechodzą na kolejny okres w skali roku. 10. Okres serwisu powdrożeniowego 36 miesięcy od daty podpisania protokołu odbioru końcowego. 3/62

11. Zakres serwisu powdrożeniowego w szczególności będzie obejmował a) aktualizacje oprogramowania serwerów, analizę logów i zdarzeń zachodzących w sieci, b) rozwiązywanie bieżących problemów występujących w strukturze sieci oraz na serwerach, c)utrzymanie Systemu Informatycznego Zleceniodawcy w stanie nieprzerwanej użyteczności, d)pomoc w rozbudowie Systemu Informatycznego Zleceniodawcy. 12. Zapłata ryczałtowej miesięcznej opłaty z tytułu serwisu następować będzie po wykonaniu usługi, na podstawie faktury dostarczonej do siedziby Zamawiającego, z 14-dniowym terminem płatności liczonym od dnia dostarczenia. 13. Sposób rozliczania godzin w przypadku nagłych awarii/zgłoszeń: a) Awarie/zgłoszenia w czasie od poniedziałku do piątku w godzinach 9:00-18:00 - stawka podstawowa, b) Awarie/zgłoszenia w czasie od poniedziałku do piątku w godzinach 18:00-9:00 - stawka podstawowa powiększona o 50%,jeżeli w tym czasie podjęto interwencję. c) Awarie/zgłoszenia w soboty - stawka podstawowa powiększona o 100%, jeżeli w tym czasie podjęto interwencję, d) Awarie/zgłoszenia w święta - stawka podstawowa powiększona o 150 %, jeżeli w tym czasie podjęto interwencję. 14. Wykonawca zobowiązuje się do nie przekazywania, nie ujawniania osobom trzecim oraz niewykorzystywania we własnej działalności Informacji Poufnych w szerszym zakresie niż jest to konieczne do realizacji postanowień Umowy. 15. Wykonawca nie może przenieść na osobę trzecią całości lub części praw lub obowiązków wynikających z postanowień umowy serwisu powdrożeniowego, bez uprzedniej zgody Zleceniodawcy, wyrażonej w formie pisemnej pod rygorem nieważności. W ramach składanej oferty Wykonawca winien wypełnić Formularz Ofertowy zgodnie z załączonym wzorem i wymaganiami zawartymi w SIWZ. Rozbudowa i rozwój infrastruktury teleinformatycznej, ma zostać oparta na aktualnej infrastrukturze Zamawiającego, stąd nie dopuszcza się wymiany żadnego z elementów jego obecnej infrastruktury (sprzęt, licencje i oprogramowanie). Zaoferowany sprzęt, musi być w 100% kompatybilny z aktualnymi elementami i możliwymi do uruchomienia na nich funkcjonalnościami. Elementami aktualnej infrastruktury teleinformatycznej, na których zostanie oparta rozbudowa systemu są: - telefony Cisco IP Phone 9971, 6941 i 3905 - firewall Cisco ASA-X 5545, - routery Cisco ISR G2 3945 i 2951, - przełączniki Cisco Catalyst 3850, - macierz EMC VNXe 3150, - bramka GSM 2N Stargate. - Oprogramowanie do wirtualizacji WMWare ver 5.5 (brak wolnych licencji) - System bilingowy Firmy Centinet Kobi Dodatkowo Wykonawca zobowiązany będzie zdemontować, odebrać i zutylizować obecnie używane przez Zamawiającego następujące urządzenia: I. Serwery sztuk 5 1. Compaq (HP) ML 530 2. Compaq (HP) ML 350 3. HP ML110 4. HP ML370 5. HP ProLiant DL380 G4 II. Zasilacze do telefonów sztuk 360: 1. CISCO model 3905 4/62

III. Przełączniki sztuk 23 1. Switch HP 2810-48G sztuk 5 2. Switch HP 1810 24G sztuk 4 3. D-link des-1016d sztuk 1 4. D-link DE-816TP sztuk 1 5. D-link DES-3526 sztuk 1 6. D-link DES-3550 sztuk 2 7. SmartStack ELS10-26TX sztuk 2 8. 3Com SuperStack II Switch 3300 sztuk 1 9. 3Com SuperStack 3 Switch 4226T sztuk 1 10. Switch 3com 24porty SuperStack3 3300 - sztuk 1 11. Switch 3com 24porty SuperStack3 4400 sztuk 1 12. Switch 3com 24porty 3300MX sztuk 1 13. Switch (bez nazwy) z oznaczeniami 3C 16671 sztuk 1 14. Hub 12 portów SuperStack Hub10 sztuk 1 IV. Routery sztuk 2 1.Cisco 1600 2.Cisco 1700 Wykonawca zobowiązany jest to zapewnienia gwarancji na wdrożoną konfigurację i przeprowadzania niezbędnych aktualizacji oprogramowania, na okres minimum 3 miesięcy po zamknięciu wdrożenia. Wykonawca zobowiązany jest przekazać pełny dostęp do skonfigurowanych urządzeń Zamawiającemu. Wykonawca zobowiązuje się przeprowadzić kurs CCNA dla pięciu osób. Rozpoczęcie kursu musi nastąpić niezwłocznie po podpisaniu umowy. Kurs CCNA musi obejmować swoim materiałem wszystkie 4 semestry CCNA R&S i musi być realizowany wg. najnowszego programu CCNA w wersji 5.0, w trybie zalecanym przez NetAcad, i przygotować kursantów do egzaminu 200-120 CCNA. Wszystkie instruktaże i szkolenie CCNA związane z tym projektem muszą zostać przeprowadzone przez osobę posiadającą certyfikaty CCAI CCNP, CCNP Security, CCDP, CCNA Wireless i CCNA Voice lub wyższe/równoważne. Szkolenie CCNA musi odbyć się w sali szkoleniowej na terenie Krakowa i zawierać część praktyczną i teoretyczną. Sala szkoleniowa wyposażona w co najmniej 10 komputerów, rzutnik i sprzęt sieciowy zgodny z wymaganiami kursu. Od Wykonawcy wymaga się oddelegowania do prac konfiguracyjnych i instruktażu personelu posiadającego następujące certyfikaty: - CCDP (Cisco Certified Design Professional), - CCNP R&S (Cisco Certified Network Professional Routing&Switching), - CCNP-V (CCNP Voice, formerly known as CCVP), - CCNP-S (CCNP Security, formerly known as CCSP), - CCAI CCNP (Cisco Certified Academy Instructor CCNP), - CSSDS (Cisco Security Solutions and Design Specialist), - CCNA-W (CCNA Wireless), - VMware Certified Associate Data Center Virtualization (VCA-DCV), - VMware Certified Associate Workforce Mobility (VCA WM). Listę wydelegowanych osób, wraz z listą posiadanych przez nich certyfikatatów należy załączyć razem z ofertą. Zajęcia muszą być przeprowadzone w Krakowie, raz w tygodniu (wtorek, środa lub czwartek) po 8 godzin. 5/62

Zajęcia muszą uwzględniać następujące przerwy: dwa tygodnie ferii zimowych (szkół krakowskich, w drugiej połowie lutego tj. od 16.02 do 01.03.2015) oraz miesiące wakacyjne (lipiec, sierpień). Ostateczny możliwy termin zakończenia szkolenia to 10 grudzień 2015. Zestawienie wymaganych dostaw/usług/robót budowlanych: 1. Przełącznik warstwy trzeciej ze wsparciem dla wirtualizacji, oraz sieci SAN (wraz licencjami dla warstwy 3) - Ilość: 6 sztuk Wymagania urządzenia: 1. Dwa zasilacze pracujące w konfiguracji redundantnej. 2. Każdy przełącznik musi zostać dostarczony z sześcioma 1, 3 i 5 metrowymi i dwunastoma 10 metrowymi kablami typu Twinax (10GB) współdziałającymi z jego portami. 3. 1RU wysokości. 4. Porty i ich typ: a) Obsługa 48 portów 1/10GE SFP+ oraz 6 portów 40GE QSFP, b) Obsługa wkładek interfejsowych 10GE-SR i 10GE-LR, c) Możliwość pracy portów w trybie 1 GE 5. Przepustowość line rate dla ruchu L2/L3 6. Przełącznik musi mieć możliwość instalacji SFP FC 8Gbps na 16 portach (jeśli nie jest to w standardzie, wymagane jest dostarczenie przełącznika z odpowiednimi licencjami) 7. Urządzenie musi umożliwiać dołączenia do minimum 16 zewnętrznych, wyniesionych modułów posiadających 4 x porty 10GE SFP+ (uplink) oraz 48 portów 100/1000BaseT. 8. Zarządzanie modułami musi odbywać się wyłącznie z jednostki centralnej. 9. Moduły muszą być dołączone do przełącznika łączem 2x10G oraz umożliwiać rozbudowę podłączenia do 4x10G w przyszłości. 10. Dołączenie modułów nie może być zrealizowane z wykorzystaniem mechanizmów L2 (np. Spanning Tree). 11. Dołączenie musi stanowić rozszerzenie w domenie warstwy L1. 12. Urządzenie musi obsługiwać sprzętowo przełączanie pakietów w warstwie L3. Ponadto urządzenie musi oferować wsparcie dla mechanizmów routingu dynamicznego RIPv2, OSPF oraz BGP. 13. Urządzenie musi wspierać następujące mechanizmy przełącznika sieci SAN (Fibre Channel): a) Standardowe typy portów Fibre Channel: E, F, oraz NP; b) Rozszerzone typy portów Fibre Channel: TE oraz VF; c) Do 64 buffer credits (BB credits) na każdy port FC; d) Do 32 wirtualnych sieci SAN (VSAN); e) Grupowanie portów FC w wiązki PortChannel; f) Przesyłanie ruchu z różnych VSAN-ów w ramach pojedynczego interfejsu lub wiązki (VSAN trunking); g) Fabric Device Management Interface (FDMI); h) Fibre Channel ID (FCID) persistence; i) Przesyłanie ramek w trybie In-Order Delivery; j) Wirtualizacja portów typu N-port (NPV); k) Wirtualizacja N-port identifier (NPIV); l) Serwisy FC: Name server, registered state change notification (RSCN), login services, name-server zoning; m) Odrębne serwisy FC dla każdego VSANu; 6/62

n) Wsparcie mechanizmów bezpieczeństwa Diffie-Hellman Challenge Handshake Authentication Protocol (DHCHAP) oraz Fibre Channel Security Protocol (FC-SP); o) Autentykacja Host-to-switch oraz switch-to-switch za pomocą FC-SP; p) Routing Fabric Shortest Path First (FSPF); q) Standardowy Zoning; r) Port Security (w oparciu o domenę FC i port); s) Fibre Channel traceroute; t) Fibre Channel ping; u) Fibre Channel debugging; 14. Wymagana jest implementacja następujących zaleceń IEEE Data Center Bridging: a) IEEE 802.1Qbb PFC (per-priority pause frame support); b) DCBX Protocol; c) IEEE 802.1Qaz Enhanced Transmission Selection; 15. Wymagane funkcje L2: a) Trunking IEEE 802.1Q VLAN; b) Wsparcie dla 4096 sieci VLAN; c) Rapid Per-VLAN Spanning Tree Plus (PVRST+) (IEEE 802.1w); d) Multiple Spanning Tree Protocol (MSTP) (IEEE 802.1s): 64 instancje; e) Spanning Tree PortFast; f) Spanning Tree Root Guard; g) Spanning Tree Bridge Assurance; h) NIC teaming; i) Internet Group Management Protocol (IGMP) Versions 2, 3; j) Grupowanie EtherChannel (do 16 portów per wiązka EtherChannel); k) Grupowanie virtual PortChannel (vpc) polegające na terminowaniu pojedynczej wiązki EtherChannel na 2 niezależnych przełącznikach; l) Link Aggregation Control Protocol (LACP): IEEE 802.3ad; m) Ramki Jumbo dla wszystkich portów (do 9216 bajtów); n) Ramki Pause (IEEE 802.3x); o) Prewencja niekontrolowanego wzrostu ilości ruchu (storm control), dla ruchu unicast, multicast, broadcast; 16. Funkcje QoS a) Layer 2 IEEE 802.1p (CoS); b) 8 sprzętowych kolejek per port; c) Dedykowana konfiguracja QoS dla każdego portu; d) Przypisanie CoS na każdym porcie; e) Klasyfikacja QoS w oparciu o listy (ACL (Access control list) w warstwach 2, 3, 4; f) Virtual output queuing dla każdego portu; g) Kolejkowanie na wyjściu w oparciu o CoS; h) Bezwzględne (strict-priority) kolejkowanie na wyjściu; i) Kolejkowanie WRR (Weighted Round-Robin) na wyjściu; 17. Funkcje bezpieczeństwa a) Wejściowe ACL (standardowe oraz rozszerzone); b) Standardowe oraz rozszerzone ACL dla warstwy 2 w oparciu o: adresy MAC adresy, typ protokołu; c) Standardowe oraz rozszerzone ACL dla warstw 3 oraz 4 w oparciu o: IPv4 i IPv6, Internet Control Message Protocol (ICMP), TCP, User Datagram Protocol (UDP); 7/62

d) ACL oparte o VLAN-y (VACL); e) ACL oparte o porty (PACL); f) Logowanie i statystyka dla ACL; 18. Funkcje zarządzania a) Port zarządzający 10/100/1000 Mbps; b) Port konsoli CLI; c) Zarządzanie In-band switch; d) SSHv2; e) Telnet; f) Authentication, authorization, and accounting (AAA); g) RADIUS; h) TACACS+; i) Syslog; j) Wbudowany analizator pakietów; k) SNMP v1, v2, v3; l) Wsparcie dla mechanizmów Enhanced SNMP MIB; m) Remote monitoring (RMON); n) Advanced Encryption Standard (AES) dla ruchu zarządzającego; o) Microsoft Challenge Handshake Authentication Protocol (MS-CHAP); p) Role-Based Access Control RBAC; q) Kopiowanie ruchu za pośrednictwem mechanizmu Switched Port Analyzer (SPAN) dla fizycznych portów Ethernet, wiązek PortChannel, sieci VLAN, interfejsów Fibre Channel; r) Liczniki pakietów wchodzących/wychodzących per każdy port; s) Network Time Protocol (NTP); t) Diagnostyka procesu BOOT; 19. Wymagania wydajnościowe a) Wymagane jest opóźnienie przełączania pakietów nie większe niż 1 µs przy 10 Gbps; b) Wymagana jest prędkość przełączania wirespeed dla każdego portu 10GE; c) Wymagana jest przepustowość 500 mpps L2; d) Wymagana jest przepustowość 200 mpps L3; e) Wymagany jest rozmiar tabeli adresów MAC min. 30 000; 20. Obsługa do minimum 14,000 dynamicznych tras IPv4 i 7,000 IPv6 21. Obsługa do minimum 800 VRF 2. Moduły dla routerów Cisco ISR G2 3945 Ilość: 3 sztuki Wymagania dla modułu/karty: 1. Musi posiadać możliwość instalacji w routerach Cisco ISR G2 3945 i pracy jako port routowany i możliwościach takich, jak pozostałe porty GE w urządzeniu. 2. Musi posiadać port 1Gbps wspierający SFP i miedziane RJ45. 3. Port musi umożliwiać pracę jako tzw. root-port w urządzeniu. 8/62

3. Zestaw licencji do posiadanego urządzenia Cisco ASA-X 5545 - Ilość: 1 szt. Wymagania dla licencji: - obsługa do 50 równoległych tuneli SSL VPN w trybie Client i Clientless, - możliwość korzystania z funkcjonalności Botnet Traffic Filter na okres 3 lat, - obsługa do 24 sesji UC Proxy, - obsługa VPN dla telefonii, - obsługa oprogramowania AnyConnect Mobile. 4. Urządzenie pełniące funkcję zapory sieciowej wraz z odpowiednimi licencjami Ilość: 1 szt. Wymagania urządzenia: 1. Wydajność: - urządzenie musi oferować co najmniej 3 Gbps maksymalnej wydajności dla ruchu IPv4 i IPv6 - urządzenie musi oferować co najmniej 900 Mbps maksymalnej wydajności z włączoną funkcjonalnością ściany ogniowej (firewall) i systemu wykrywania włamań (IPS) - urządzenie musi oferować co najmniej 400 Mbps maksymalnej wydajności dla szyfrowania VPN algorytmami 3DES/AES - urządzenie musi wspierać co najmniej 2500 tuneli IPSec VPN (peers) site-to-site - urządzenie musi wspierać co najmniej 2500 tuneli SSL/VPN z użyciem klienta lub w trybie clientless (dostarczyć należy minimum 50 licencji, w przyszłości musi istnieć możliwość rozbudowy do 2500 bez potrzeby zmiany sprzętu) - urządzenie musi oferować przynajmniej 30,000 nowych połączeń na sekundę - urządzenie musi oferować przynajmniej 750,000 równoczesnych translacji NAT lub PAT - urządzenie musi wspierać ramki Ethernet typu Jumbo (9216 bajtów) - urządzenie musi posiadać konsumpcję energii nie większą niż 500W 2. Parametry: - urządzenie musi posiadać przynajmniej 12 GB pamięci RAM - urządzenie musi pracować w oparciu o 64-bitowy system operacyjny - urządzenie musi posiadać przynajmniej 8 GB pamięci flash - urządzenie musi umożliwiać realizację dostępu administracyjnego do interfejsu zarządzania opartego o role (RBAC) - urządzenie musi posiadać dedykowany interfejs do wprowadzania zmian w trybie out-of-band (konsola) - urządzenie musi posiadać 2 porty USB ze wsparciem systemu plików na kluczach USB - urządzenie musi mieć rozmiar 1U i umożliwiać instalację w szafie 19 - urządzenie musi posiadać dwa zasilacze redundantne 3. Interfejsy: a) Urządzenie musi posiadać przynajmniej 8 zintegrowanych interfejsów Gigabit Ethernet 10/100/1000BASE-T b) Urządzenie musi wspierać przynajmniej 300 VLANów w trybie pracy jako firewall warstwy 3 (routed) dla protokołu IPv4 i IPv6 c) Urządzenie musi wspierać przynajmniej 8 grup po 4 VLANy per kontekst w trybie pracy jako firewall warstwy 2 (transparent) dla protokołu IPv4 i IPv6 d) Urządzenie musi posiadać moduł rozszerzeń, umożliwiający obsadzenie dodatkowej karty z interfejsami sieciowymi, posiadającej przynajmniej 6 dodatkowych interfejsów Gigabit Ethernet 9/62

10/100/1000BASE-T, lub przynajmniej 6 dodatkowych interfejsów Gigabit Ethernet SFP 1000BASE- SX lub -LX/LH 4. Urządzenie musi umożliwiać realizację wysokiej dostępności dla ruchu IPv4 i IPv6 poprzez mechanizmy: - failover active-standby - failover active-active - wsparcie dla routingu asymetrycznego w trybie active-active 5. Możliwość przenoszenia konfiguracji 1 do 1 z aktualnego urządzenia Cisco ASA-X 5545 (nie dopuszcza się użycia do tego celu żadnych dodatkowych skryptów i narzędzi). 6. Urządzenie musi wspierać także wszystkie funkcjonalności wraz z obsługą takiej samej ilości sesji, jaka wynika z licencji dokupowanych do urządzenia Cisco ASA-X 5545 w ramach obecnego przetargu, na okres 3 lat. 7. W chwili zamówienia, nie jest wymagana funkcjonalność IPS. 5. Przełączniki dostępowe warstwy drugiej z POE typu pierwszego, z dwoma uplinkami o przepustowości min. 10 Gbps - Ilość: 20 szt. Wymagania urządzenia: 1. Typ i liczba portów: a) Minimum 48 porty 10/100/1000 PoE+ zgodny ze standardem IEEE 802.3at. - Wymagane jest, aby wszystkie porty dostępowe 10/100/1000 obsługiwały standard zasilania poprzez sieć LAN (Power over Ethernet) zgodnie z IEEE 802.3at. Zasilacz urządzenia musi być tak dobrany, aby zapewnić minimum 370W dla portów PoE/PoE+. b) Minimum 2 dodatkowe porty uplink 10 Gigabit Ethernet SFP+. 2. Co najmniej 512MB pamięci DRAM oraz co najmniej 128MB pamięci Flash 3. Wielkość tablicy adresów MAC: co najmniej 16 000. 4. Ilość obsługiwanych sieci VLAN: co najmniej 1 000 5. Wydajność: - Przepustowość zapewniająca wydajność Line-rate - Przełączanie dla pakietów 64-bajtowych: min. 130.9 Mpps. 6. Urządzenie musi umożliwiać obsługę ramek jumbo o wielkości co najmniej 9216 bajtów 7. Obsługa co najmniej 16 statycznych tras dla routingu IPv4 i IPv6, 8. Obsługa protokołu NTP, 9. Obsługa ruchu multicast - IGMPv3 i MLDv1/2 Snooping, 10. Możliwość uruchomienia funkcjonalności DHCP Server, 11. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance Spanning Tree wymagane wsparcie dla min. 128 instancji protokołu STP, 12. Obsługa protokołu LLDP i LLDP-MED 13. Musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP), 14. Musi być wyposażone w port USB umożliwiający podłączenie pamięci flash. Musi być dostępna opcja uruchomienia systemu operacyjnego z nośnika danych podłączonego do portu USB, 15. Musi mieć możliwość zarządzania poprzez interfejs CLI z poziomu portu konsoli, 16. Musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN), 17. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w 10/62

pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych, 18. Możliwość rozbudowy o funkcjonalność łączenia w stosy z zachowaniem następującej parametrów: - do min. 8 jednostek w stosie, - magistrala stakująca o przepustowości co najmniej 80Gb/s - możliwość tworzenia połączeń EtherChannel zgodnie z 802.3ad dla portów należących do różnych jednostek w stosie (Cross-stack EtherChannel) 19. Minimum 4 poziomy dostępu administracyjnego poprzez konsolę, 20. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL, 21. Obsługa funkcji Guest VLAN, 22. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC, 23. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X, 24. Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie, 25. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6, 26. Obsługa list kontroli dostępu (ACL) dla portów (PACL) i interfejsów SVI (RACL) - zarówno dla IPv4 jak i IPv6, 27. Obsługa mechanizmów Port Security, DHCP Snooping (opcja 82), Dynamic ARP Inspection, IP Source Guard, 28. Funkcjonalność Protected Port, 29. Obsługa funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego, 30. Możliwość próbkowania i eksportu statystyk ruchu do zewnętrznych kolektorów danych 31. Wsparcie dla mechanizmów zapewnienia jakości usług w sieci 32. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie co najmniej następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP, 33. Implementacja co najmniej czterech kolejek sprzętowych na każdym porcie wyjściowym dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek, 34. Możliwość obsługi jednej z powyżej wymienionych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority), 35. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi 230V AC, możliwość zastosowania redundantnego zasilacza (dopuszcza się także rozwiązanie zewnętrzne) 36. Wysokość maksymalnie 1U, montowany w szafie typu RAC 19 37. Zgodność ze standardem 802.3az EEE 38. Obsługa RADIUS CoA (Change of Authorization) zgodnie z RFC 5176. 6. Przełącznik dostępowy warstwy drugiej z POE typu drugiego, z dwoma uplinkami o przepustowości min. 10 Gbps - Ilość: 1 szt. Wymagania urządzenia: 1. Typ i liczba portów: a) Minimum 24 porty 10/100/1000 PoE+ zgodny ze standardem IEEE 802.3at. - Wymagane jest, aby wszystkie porty dostępowe 10/100/1000 obsługiwały standard zasilania poprzez sieć LAN (Power over Ethernet) zgodnie z IEEE 802.3at. Zasilacz urządzenia musi być tak dobrany, aby zapewnić minimum 370W dla portów PoE/PoE+. b) Minimum 2 dodatkowe porty uplink 10 Gigabit Ethernet SFP+. 2. Co najmniej 512MB pamięci DRAM oraz co najmniej 128MB pamięci Flash 3. Wielkość tablicy adresów MAC: co najmniej 16 000. 11/62

4. Ilość obsługiwanych sieci VLAN: co najmniej 1 000 5. Wydajność: - Przepustowość zapewniająca wydajność Line-rate - Przełączanie dla pakietów 64-bajtowych: min. 95.2 Mpps. 6. Urządzenie musi umożliwiać obsługę ramek jumbo o wielkości co najmniej 9216 bajtów 7. Obsługa co najmniej 16 statycznych tras dla routingu IPv4 i IPv6, 8. Obsługa protokołu NTP, 9. Obsługa ruchu multicast - IGMPv3 i MLDv1/2 Snooping, 10. Możliwość uruchomienia funkcjonalności DHCP Server, 11. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance Spanning Tree wymagane wsparcie dla min. 128 instancji protokołu STP, 12. Musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP), 13. Musi być wyposażone w port USB umożliwiający podłączenie pamięci flash. Musi być dostępna opcja uruchomienia systemu operacyjnego z nośnika danych podłączonego do portu USB, 14. Musi mieć możliwość zarządzania poprzez interfejs CLI z poziomu portu konsoli, 15. Musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN), 16. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych, 17. Możliwość rozbudowy o funkcjonalność łączenia w stosy z zachowaniem następującej parametrów: - do min. 8 jednostek w stosie, - magistrala stakująca o przepustowości co najmniej 80Gb/s - możliwość tworzenia połączeń EtherChannel zgodnie z 802.3ad dla portów należących do różnych jednostek w stosie (Cross-stack EtherChannel) 18. Minimum 4 poziomy dostępu administracyjnego poprzez konsolę, 19. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL, 20. Obsługa funkcji Guest VLAN, 21. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC, 22. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X, 23. Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie, 24. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6, 25. Obsługa list kontroli dostępu (ACL) dla portów (PACL) i interfejsów SVI (RACL) - zarówno dla IPv4 jak i IPv6, 26. Obsługa mechanizmów Port Security, DHCP Snooping (opcja 82), Dynamic ARP Inspection, IP Source Guard, 27. Funkcjonalność Protected Port, 28. Obsługa funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego, 29. Możliwość próbkowania i eksportu statystyk ruchu do zewnętrznych kolektorów danych. 30. Wsparcie dla mechanizmów zapewnienia jakość usług w sieci 31. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie co najmniej następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP, 12/62

32. Implementacja co najmniej czterech kolejek sprzętowych na każdym porcie wyjściowym dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek, 33. Możliwość obsługi jednej z powyżej wymienionych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority), 34. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi 230V AC, możliwość zastosowania redundantnego zasilacza (dopuszcza się także rozwiązanie zewnętrzne) 35. Wysokość maksymalnie 1U, montowany w szafie typu RAC 19 36. Zgodność ze standardem 802.3az EEE 37. Obsługa RADIUS CoA (Change of Authorization) zgodnie z RFC 5176. 7. Przełącznik dostępowy warstwy drugiej z POE typu piątego, z dwoma uplinkami o przepustowości min. 1 Gbps Ilość: 10 szt. Wymagania urządzenia: 1. Przełącznik wolnostojący wyposażony w 8 portów 10/100/1000BaseT PoE+ (zgodnych z IEEE 802.3at) oraz dwa porty uplink combo 10/100/1000 lub SFP 2. Porty SFP muszą umożliwiać ich obsadzenie modułami 1000Base-SX, 1000Base-LX/LH, 1000Base-BX oraz CWDM zależnie od potrzeb Zamawiającego 3. Przełącznik musi być wyposażony w zasilacz wewnętrzny. Urządzenie musi zapewniać minimum 120W dla portów PoE 4. Szybkość przełączania minimum 13,2Mpps dla pakietów 64-bajtowych.Matryca przełączająca o wydajności minimum 10Gbps 5. Minimum 128MB pamięci DRAM 6. Minimum 64MB pamięci flash 7. Obsługa minimum 1000 sieci VLAN 802.1Q z pełnym zakresem VLAN IDs (4000) 8. Obsługa minimum 4000 adresów MAC 9. Obsługa protokołu NTP 10. Obsługa IGMPv3 i MLDv1/2 Snooping 11. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem ciągłości pracy sieci: - IEEE 802.1w Rapid Spanning Tree - IEEE 802.1s Multi-Instance Spanning Tree - Obsługa minimum 128 instancji STP 12. Obsługa protokołu LLDP i LLDP-MED 13. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym źródłowym i docelowym adresie MAC 14. Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego 15. Przełącznik musi posiadać możliwość uruchomienia funkcji serwera DHCP 16. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem bezpieczeństwa sieci: a) Minimum 5 poziomów dostępu administracyjnego poprzez konsolę. Przełącznik musi umożliwiać zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji b) Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN c) Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania listy ACL d) Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X e) Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC 13/62

f) Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X (bez konieczności stosowania zewnętrznego serwera www) g) Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie oraz możliwości jednoczesnego uwierzytelniania na porcie telefonu IP i komputera PC podłączonego za telefonem h) Funkcjonalność elastycznego uwierzytelniania (możliwość wyboru kolejności uwierzytelniania 802.1X/uwierzytelnianie w oparciu o MAC adres/uwierzytelnianie oparciu o portal www) i) Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC 5176 j) Możliwość wdrożenia uwierzytelniania w oparciu o 802.1X w trybie monitor (niezależnie od tego czy uwierzytelnianie się powiedzie, czy nie użytkownik ma prawo dostępu do sieci) jako element sprawdzenia gotowości instalacji na pełne wdrożenie 802.1X k) Przełącznik musi posiadać funkcję supplicanta 802.1X (możliwość podłączenia przełącznika do innego switcha z uruchomionym mechanizmem uwierzytelniania 802.1X) l) Obsługa funkcji bezpieczeństwa sieci LAN: Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source Guard (również na portach typu link aggregation) m) Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów RADIUS lub TACACS+ n) Obsługa list kontroli dostępu (ACL) na poziomie portów (PACL), VLAN-ów (VACL), interfejsów routera L3 (RACL), możliwość konfiguracji tzw. czasowych list ACL (aktywnych w określonych godzinach i dniach tygodnia) o) Możliwość szyfrowania ruchu zgodnie z IEEE 802.1AE na portach dostępowych. 17. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a) Implementacja co najmniej czterech kolejek sprzętowych dla ruchu wyjściowego na każdym porcie dla obsługi ruchu o różnej klasie obsługi b) Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority) c) Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP d) Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (policing, rate limiting) e) Kontrola sztormów dla ruchu broadcast/multicast/unicast f) Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP 18. Wsparcie dla DHCP Option 82 19. Wbudowane reflektometry (TDR) dla portów miedzianych 20. Urządzenie musi zapewniać możliwość routingu statycznego i dynamicznego (minimum w oparciu o protokół RIP i OSPF) dla protokołów IPv4 i IPv6 21. Możliwość obsługi tras routingu o jednakowym koszcie (ECMP - Equal-cost multi-path routing) 22. Obsługa funkcji DHCP Relay 23. Możliwość konfiguracji list ACL dla IPv6 24. Funkcjonalność prywatnego VLAN-u, czyli możliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji z portem nadrzędnym 25. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN) 26. Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.) 27. Urządzenie musi być wyposażone w port konsoli USB 14/62

28. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych 29. Obsługa protokołów SNMPv3, SSHv2, SCP, https, syslog 30. Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie 31. Obudowa desktop pozbawiona wentylatorów 8. Przełącznik dostępowy warstwy drugiej z POE typu trzeciego, z czterema uplinkami o przepustowości min. 1 Gbps - Ilość: 10 szt Wymagania urządzenia: 1. Typ i liczba portów: a) Minimum 48 porty 10/100/1000 PoE+ zgodny ze standardem IEEE 802.3at. - Wymagane jest, aby wszystkie porty dostępowe 10/100/1000 obsługiwały standard zasilania poprzez sieć LAN (Power over Ethernet) zgodnie z IEEE 802.3at. Zasilacz urządzenia musi być tak dobrany, aby zapewnić minimum 370W dla portów PoE/PoE+. b) Minimum 4 dodatkowe porty uplink 1 Gigabit Ethernet SFP. - Porty SFP muszą umożliwiać ich obsadzanie wkładkami GigabitEthernet minimum 1000Base-SX, 1000Base LX/LH, 1000Base-BX-D/U zależnie od potrzeb Zamawiającego. 2. Co najmniej 512MB pamięci RAM oraz co najmniej 128MB pamięci Flash 3. Wielkość tablicy adresów MAC: co najmniej 16 000. 4. Ilość obsługiwanych sieci VLAN: co najmniej 1 000 5. Wydajność: - Przepustowość zapewniająca wydajność Line-rate - Przełączanie dla pakietów 64-bajtowych: min. 107.1 Mpps. 6. Urządzenie musi umożliwiać obsługę ramek jumbo o wielkości co najmniej 9216 bajtów 7. Obsługa co najmniej 16 statycznych tras dla routingu IPv4 i IPv6, 8. Obsługa protokołu NTP, 9. Obsługa ruchu multicast - IGMPv3 i MLDv1/2 Snooping, 10. Możliwość uruchomienia funkcjonalności DHCP Server, 11. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance Spanning Tree wymagane wsparcie dla min. 128 instancji protokołu STP, 12. Obsługa protokołu LLDP i LLDP-MED 13. Musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP), 14. Musi być wyposażone w port USB umożliwiający podłączenie pamięci flash. Musi być dostępna opcja uruchomienia systemu operacyjnego z nośnika danych podłączonego do portu USB, 15. Musi mieć możliwość zarządzania poprzez interfejs CLI z poziomu portu konsoli, 16. Musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN), 17. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych, 18. Możliwość rozbudowy o funkcjonalność łączenia w stosy z zachowaniem następującej parametrów: 15/62

- do min. 8 jednostek w stosie, - magistrala stakująca o przepustowości co najmniej 80Gb/s - możliwość tworzenia połączeń EtherChannel zgodnie z 802.3ad dla portów należących do różnych jednostek w stosie (Cross-stack EtherChannel) 19. Minimum 4 poziomy dostępu administracyjnego poprzez konsolę, 20. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL, 21. Obsługa funkcji Guest VLAN, 22. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC, 23. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X, 24. Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie, 25. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6, 26. Obsługa list kontroli dostępu (ACL) dla portów (PACL) i interfejsów SVI (RACL) - zarówno dla IPv4 jak i IPv6, 27. Obsługa mechanizmów Port Security, DHCP Snooping (opcja 82), Dynamic ARP Inspection, IP Source Guard, 28. Funkcjonalność Protected Port, 29. Obsługa funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego, 30. Możliwość próbkowania i eksportu statystyk ruchu do zewnętrznych kolektorów danych 31. Wsparcie dla mechanizmów zapewnienia jakość usług w sieci 32. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie co najmniej następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP, 33. Implementacja co najmniej czterech kolejek sprzętowych na każdym porcie wyjściowym dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek, 34. Możliwość obsługi jednej z powyżej wymienionych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority), 35. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi 230V AC, możliwość zastosowania redundantnego zasilacza (dopuszcza się także rozwiązanie zewnętrzne) 36. Wysokość maksymalnie 1U, montowany w szafie typu RAC 19 37. Zgodność ze standardem 802.3az EEE 38. Obsługa RADIUS CoA (Change of Authorization) zgodnie z RFC 5176. 9. Przełącznik dostępowy warstwy drugiej z POE typu czwartego, z czterema uplinkami o przepustowości min. 1 Gbps Ilość: 5 szt. Wymagania urządzenia: 1. Typ i liczba portów: a) Minimum 24 porty 10/100/1000 PoE+ zgodny ze standardem IEEE 802.3at. - Wymagane jest, aby wszystkie porty dostępowe 10/100/1000 obsługiwały standard zasilania poprzez sieć LAN (Power over Ethernet) zgodnie z IEEE 802.3at. Zasilacz urządzenia musi być tak dobrany, aby zapewnić minimum 370W dla portów PoE/PoE+. b) Minimum 4 dodatkowe porty uplink 1 Gigabit Ethernet SFP. - Porty SFP muszą umożliwiać ich obsadzanie wkładkami GigabitEthernet minimum 1000Base-SX, 1000Base LX/LH, 1000Base-BX-D/U zależnie od potrzeb Zamawiającego. 2. Co najmniej 512MB pamięci DRAM oraz co najmniej 128MB pamięci Flash 3. Wielkość tablicy adresów MAC: co najmniej 16 000. 4. Ilość obsługiwanych sieci VLAN: co najmniej 1 000 16/62

5. Wydajność: - Przepustowość zapewniająca wydajność Line-rate - Przełączanie dla pakietów 64-bajtowych: min. 70 Mpps. 6. Urządzenie musi umożliwiać obsługę ramek jumbo o wielkości co najmniej 9216 bajtów 7. Obsługa co najmniej 16 statycznych tras dla routingu IPv4 i IPv6, 8. Obsługa protokołu NTP, 9. Obsługa ruchu multicast - IGMPv3 i MLDv1/2 Snooping, 10. Możliwość uruchomienia funkcjonalności DHCP Server, 11. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance Spanning Tree wymagane wsparcie dla min. 128 instancji protokołu STP, 12. Obsługa protokołu LLDP i LLDP-MED, 13. Musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP), 14. Musi być wyposażone w port USB umożliwiający podłączenie pamięci flash. Musi być dostępna opcja uruchomienia systemu operacyjnego z nośnika danych podłączonego do portu USB, 15. Musi mieć możliwość zarządzania poprzez interfejs CLI z poziomu portu konsoli, 16. Musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN), 17. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych, 18. Możliwość rozbudowy o funkcjonalność łączenia w stosy z zachowaniem następującej parametrów: - do min. 8 jednostek w stosie, - magistrala stakująca o przepustowości co najmniej 80Gb/s - możliwość tworzenia połączeń EtherChannel zgodnie z 802.3ad dla portów należących do różnych jednostek w stosie (Cross-stack EtherChannel) 19. Minimum 4 poziomy dostępu administracyjnego poprzez konsolę, 20. Autoryzacja użytkowników w oparciu o IEEE 802.1x z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL, 21. Obsługa funkcji Guest VLAN, 22. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC, 23. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X, 24. Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie, 25. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6, 26. Obsługa list kontroli dostępu (ACL) dla portów (PACL) i interfejsów SVI (RACL) - zarówno dla IPv4 jak i IPv6, 27. Obsługa mechanizmów Port Security, DHCP Snooping (opcja 82), Dynamic ARP Inspection, IP Source Guard, 28. Funkcjonalność Protected Port, 29. Obsługa funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego, 30. Możliwość próbkowania i eksportu statystyk ruchu do zewnętrznych kolektorów danych 31. Wsparcie dla mechanizmów zapewnienia jakość usług w sieci 32. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie co najmniej następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP, 33. Implementacja co najmniej czterech kolejek sprzętowych na każdym porcie wyjściowym dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek, 17/62

34. Możliwość obsługi jednej z powyżej wymienionych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority), 35. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi 230V AC, możliwość zastosowania redundantnego zasilacza (dopuszcza się także rozwiązanie zewnętrzne) 36. Wysokość maksymalnie 1U, montowany w szafie typu RAC 19 37. Zgodność ze standardem 802.3az EEE 38. Obsługa RADIUS CoA (Change of Authorization) zgodnie z RFC 5176. 10. Punkty dostępowe typu WiFi w standardzie 802.11ac, współpracujące z centralnym kontrolerem sieci bezprzewodowej Ilość: 90 szt Wymagania urządzenia: 1. Obsługa standardów 802.11a/b/g/n/ac 2. Obsługa MIMO min. 4x4:3 3. Obsługa kanałów 20 i 40 MHz dla 802.11n 4. Obsługa kanałów 20, 40 i 80 MHz dla 802.11ac 5. Obsługa prędkości PHY do 1,3 Gbps 6. Obsługa agregacji ramek A-MPDU (Tx/Rx), A-MSDU (Tx/Rx) 7. Obsługa TxBF (transmit beamforming) dla klientów 802.11a/g/n/ac 8. Obsługa szerokiego zakresu kanałów radiowych: - dla zakresu 2.4 GHz: min. 13 kanałów - dla zakresu 5GHz (UNII-1 i UNII-2): min. 8 kanałów - dla zakresu 5GHz (extended UNII-2): min. 8 kanałów 9. Konfigurowalna moc nadajnika: - dla zakresu 2.4 GHz:do 100 mw - dla zakresu 5GHz (UNII-1 i UNII-2): do 200 mw - dla zakresu 5GHz (extended UNII-2): do 200 mw 10. Możliwość rozbudowy urządzenia o dedykowany moduł radiowy pozwalający na monitorowanie pasma radiowego pod kątem bezpieczeństwa (Wireless IPS) oraz interferencji na wszystkich kanałach radiowych w pasmach 2,4 GHz oraz 5 GHz lub dedykowany moduł radiowy do obsługi transmisji 3G działający w licencjonowanym paśmie 11. Zgodność z protokołem CAPWAP (RFC 5415), zarządzanie przez kontroler WLAN z funkcjonalnościami: a) Automatyczne wykrywanie kontrolera i konfiguracja poprzez sieć LAN b) Optymalizacja wykorzystania pasma radiowego (ograniczanie wpływu zakłóceń, kontrola mocy, dobór kanałów, reakcja na zmiany) c) Obsługa min. 16 BSSID d) Definiowanie polityk bezpieczeństwa (per SSID) z możliwością rozgłaszania lub ukrycia poszczególnych SSID e) Współpraca z systemami IDS/IPS f) Uwierzytelnianie ruchu kontrolnego 802.11 (z możliwością wykrywania użytkowników podszywających się pod punkty dostępowe) funkcjonalność 802.11w g) Obsługa trybów pracy Split-MAC (tunelowanie ruchu klientów do kontrolera i centralne terminowanie do sieci LAN) oraz Local-MAC (lokalne terminowanie ruchu do sieci LAN) h) Możliwość pracy po utracie połączenia z kontrolerem, z lokalnym przełączaniem ruchu do sieci LAN i lokalną autoryzacją użytkowników (lokalny serwer RADIUS, skrócona baza danych użytkowników na poziomie AP) przełączenie nie może powodować zerwania sesji użytkowników 18/62

i) Jednoczesna obsługa transferu danych użytkowników końcowych oraz monitorowania pasma radiowego (wykrywanie obcych punktów dostępowych i klientów WLAN, wireless IPS) j) Obsługa Dynamic Frequency Selection (DFS) i Transmit Power Control (TPC) zgodnie z 802.11h k) Obsługa szybkiego roamingu użytkowników pomiędzy punktami dostępowymi funkcjonalność 802.11r l) Obsługa mechanizmów QoS: - shaping/ ograniczanie ruchu do użytkownika, z możliwością konfiguracji per użytkownik - obsługa WMM, TSPEC, U-APSD m) Współpraca z urządzeniami i oprogramowaniem realizującym usługi lokalizacyjne n) Wbudowany suplikant 802.1X możliwość uwierzytelnienia AP do infrastruktury sieciowej o) Zintegrowany moduł analizatora widma częstotliwościowego (dotyczy zakresów 2.4GHz i 5GHz): - dokładność analizy (kwant próbkowania) max. 200 khz - zakres częstotliwościowy zgodny z zakresem pracy modułów radiowych - automatyczne wykrywanie i klasyfikacja źródeł interferencji (bluetooth, DECT, urządzenia mikrofalowe, urządzenia transmisji audio wideo, urządzenia zakłócające itp.) - możliwość wizualizacji wyników analizy na stacji roboczej klasy PC (FFT, gęstość widma, spektrogram, zajętość kanałów, poziom mocy sygnałów) w czasie rzeczywistym - współpraca z mechanizmami optymalizacji wykorzystania pasma radiowego p) Interfejs Gigabit Ethernet (10/100/1000) r) Zróżnicowane możliwości zasilania: - zasilacz sieciowy 230V AC - zasilanie PoE+ (802.3at) w sposób zapewniający pełną wydajność - zasilanie PoE (802.3af) w sposób automatycznie redukujący układ antenowy do wartości 3x3 (możliwe, gdy punkt dostępowy nie jest wyposażony w dodatkowy dedykowany moduł radiowy) s) Anteny zintegrowane o zysku 4dBi dla pasma 2,4 GHz oraz zysku 6 dbi dla pasma 5 GHz t) Obudowa przystosowana do warunków pracy w pomieszczeniach biurowych (5 35oC), o niskim profilu (nie więcej niż 6 cm) u) Diodowa sygnalizacja stanu urządzenia z możliwością deaktywacji v) zgodność z dyrektywą 93/42/ECC Instalacja 90 punktów dostępowych sieci bezprzewodowej (w tym 5 punktów w serwerowniach) i doprowadzenie do miejsca ich instalacji niezbędnego okablowania UTP kategorii 6. Dodatkowo w jednej z krakowskich lokalizacji wymagane będzie położenie wielomodowego światłowodu łączącego 2 szafy RACK o długości około 20m i zakończenie instalacji odpowiednimi patchpanelami. Wykonawca doprowadzi potrzebne okablowanie w wyznaczone z pracownikami Zamawiającego miejsca, w których to później będzie musiał zainstalować punkty dostępowe. Wymagania odnośnie instalacji okablowania punktów dostępowych znajdują się w Załączniku nr 1.1. (Wymagania odnośnie instalacji punktów dostępowych). Szacowana łączna długość potrzebnego okablowania UTP kat.6 wynosi około 1200m. Dokładne umiejscowienie punktów dostępowych WiFi wraz z planami budynków znajdują się w pliku Załącznik 1.1.zip 19/62