Upload
truonghuong
View
215
Download
0
Embed Size (px)
Citation preview
1/93
ZAŁĄCZNIK Nr 1 do SIWZ
OPIS PRZEDMIOTU ZAMÓWIENIA
Sprawa nr 17/4/41/17 – urządzenia i oprogramowanie do rozbudowy infrastruktury sieciowej i data-center RON – dostawa routerów, kart sieciowych
przełączników, modułów i modemów
A. INFORMACJE OGÓLNE
1. Przedmiot zamówienia
Przedmiotem zamówienia jest dostawa urządzeń do rozbudowy infrastruktury sieciowej i data-center RON, a w szczególności na potrzeby jednolitej sieci podkładowej IP Resortu Obrony Narodowej oraz Systemów Teleinformatycznych MILNET-Z i INTER-MON. Zakres dostawy obejmuje urządzenia wraz z ich oprogramowaniem, licencjami oraz serwisem gwarancyjnym w zakresie niezbędnych do rozbudowy istniejącej infrastruktury zgodnie z poniższym zestawieniem:
L.p. Opis Ilość wymagana Opcja
1 Router typu IP A 1 15
2 Router typu IP B 40
3 Router typu IP AE 4
4 Router typu N A 76 37
5 Router typu U V 5
6 Router typu U AXV 5
7 Karta sieciowa typu IP A 120
8 Karta sieciowa typu IP C 100
9 Przełącznik typu M 24C 250 732
10 Przełącznik typu M 48C 250 595
11 Przełącznik typu U 8C 470 537
12 Przełącznik typu I 24C 250 419
13 Przełącznik typu I 48C 250 355
14 Przełącznik typu U 12F 70 103
15 Przełącznik typu U 24F 40 96
16 Przełącznik typu UX 32F 40 19
17 Przełącznik typu UXE4 16F 35
18 Przełącznik typu N 24FX 40 37
19 Przełącznik typu N 24SX 33
20 Przełącznik typu N 24LX 20 30
21 Moduł typu SX 200
22 Moduł typu T 100
23 Moduł typu SR 50
24 Moduł typu CU2 50
25 Komplet modułow jednowłoknowych 16 16
26 Modem xDSL typu A 50
27 Serwer czasu typu A 6
28 Urządzenie HSM typu A 8
29 Macierz dyskowa typu FC A 2
30 Przełącznik typu FC A 2
31 Kontroler typu FIC A 2
32 Kontroler Wi-Fi typu A 2
33 Punkt dostępowy WiFi typu A 100
34 Licencja SecurityPlus do ASA 5505 16
35 Licencja ASAv typu A 1
36 Licencje do systemu Voice/VTC 1
37 Mostek konferencyjny 1
2/93
2. Ogólne wymagania dla urządzeń wymienionych w ust. 1:
1) Oferowane routery muszą być zgodne z eksploatowanymi obecnie: ASR9006, ASR1006X, ASR 1004 oraz ISR serii 4400, 3900, 2900;
2) W przypadku zaoferowania sprzętu równoważnego do wymienionego w SIWZ Zamawiający zastrzega sobie prawo do zażądania oferowanego rozwiązania do testów PRZED podpisaniem umowy w celu potwierdzenia zgodności ze specyfikacją.
3) Wymagane funkcjonalności muszą być dostępne w momencie składania oferty. 4) Urządzenia muszą być fabrycznie nowe i nieużywane wcześniej w żadnych innych
projektach. Nie dopuszcza się urządzeń typu refubrished (zwróconych do producenta i później odsprzedawanych ponownie przez producenta).
5) Urządzenia muszą pochodzić z oficjalnych kanałów/dystrybucji producenta. Zamawiający zastrzega sobie możliwość sprawdzenia pochodzenia urządzenia u producenta.
6) Wszystkie karty oraz interfejsy dokładane do urządzeń muszą pochodzić od tego samego producenta sprzętu.
7) Przynajmniej pierwsza linia wsparcia technicznego producenta dostępna w języku polskim.
8) W przypadku konieczności wymiany uszkodzonej pamięci (nośnika danych, dysku twardego), pamięci RAM lub flash, uszkodzone moduły/podzespoły pozostają u Użytkownika sprzętu.
B. WYMAGANIA SZCZEGÓŁOWE DLA URZADZEŃ WYMIENIONYCH W CZĘŚCI A.1
(zestawienie tabelaryczne)
B.1 Router typu IP A.
Jako urządzenie referencyjne „Router typu IP A” spełniające wymagania opisane w punktach od 1
do 36 Zamawiający określa zestaw sprzętu, oprogramowania i licencji przedstawiony w poniższej
tabeli:
Numer produktu Opis Ilość
ASR1004 Cisco ASR1004 Chassis Dual P/S 1
ASR1000-RP2 Cisco ASR1000 Route Processor 2 8GB DRAM 1
SASR1R2-AESK9-316S
Cisco ASR 1000 Series RP2 ADVANCED ENTERPRISE SERVICES
1
ASR1000-SIP40 Cisco ASR1000 SPA Interface Processor 40 1
SPA-10X1GE-V2 Cisco 10-Port Gigabit Ethernet Shared Port Adapter 2
GLC-LH-SMD 1000BASE-LX/LH SFP transceiver module MMF/SMF 1310nm DOM
6
GLC-SX-MMD 1000BASE-SX SFP transceiver module MMF 850nm DOM 2
GLC-TE 1000BASE-T SFP transceiver module for Category 5 copper wire
12
ASR1004-PWR-AC Cisco ASR1004 AC Power Supply 2
CAB-ACE-RA Power Cord Europe Right Angle 2
FLASR1-IOSRED-RTU
SW Redundancy Right-To-Use Feat Lic for ASR1000 Series 1
ASR1000-ESP20 Cisco ASR1000 Embedded Services Processor 20G 1
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
Architektura 1. Musi być urządzeniem modularnym, umożlwiającym obsadzenie co najmniej 8 modułów
adapterów. 2. Musi mieć możliwość rozszerzenia o minimum 2 porty 10 GigabitEthernet lub o minimum 24
porty Gigabit Ethernet. 3. Musi mieć możliwość rozszerzenia o adaptery:
a. Interfejsów ATM (ze sprzętowym wsparciem dla przekazywania pakietów IPv4, IPv6 i MPLS (L3VPN oraz AToM lub pseudowire edge-to-edge emulation 3), których interfejs
3/93
fizyczny jest definiowany w oparciu o wkładki SFP. Adapter musi być dostępny w wersjach OC-3/STM-1 (co najmniej 3 porty) oraz OC-12/STM-4.
b. Interfejsów channelized T1/E1 z fizycznym konektorem RJ-45, ze zintegrowanym CSU/DSU i impedancją 120 Ohm (z możliwością konwersji do 75 Ohm). Adapter musi być dostępny z gęstością co najmniej 8 portów
c. Interfejsów T3/E3 z gęstością co najmniej 4 portów d. Interfejsów szeregowych, których fizyczny interfejs jest definiowany za pomocą kabla.
Adapter musi być dostępny z gęstością co najmniej 4 portów. e. Interfejsów 10Gigabit Ethernet (L3) z gęstością co najmniej 1 port f. Interfejsów Gigabit Ethernet (L3) z interfejsem fizycznym definiowanym z wykorzystaniem
wkładek SFP. Adapter musi być dostępny z gęstością co najmniej 10 portów. g. Interfejsów Packet Over Sonet – OC3c/STM-1c z gęstością co najmniej 4 portów,
OC12/STM4 z gęstością co najmniej 8 portów, OC48/STM16 z gęstością co najmniej 4 portów, OC-192c/STM-64c
h. Musi umożliwiać wymianę modułów w trakcie pracy (ang. hot swap). i. Musi posiadać wbudowany sprzętowy moduł akceleracji szyfrowania
Oprogramowanie/funkcjonalność 4. Musi posiadać modularny system operacyjny umożliwiający aktualizację poszczególnych
modułów programowych niezależnie od siebie. Na platformie muszą być uruchamiane dwie kopie systemu operacyjnego.
5. Musi mieć możliwość uruchomienia oprogramowania lub rozszerzenia w oparciu o licencje) z funkcjonalnością dynamicznych tuneli VPN (hub-to-spoke oraz spoke-to-spoke).
6. Musi obsługiwać funkcjonalność NHRP. 7. Musi obsługiwać co najmniej 4 000 tuneli GRE. 8. Musi obsługiwać co najmniej 1 000 000 prefiksów w tablicach routingu IPv4 lub 1 000 000
prefiksów w tablicach routingu IPv6 9. Musi obsługiwać co najmniej 100 000 prefiksów w tablicach routingu multicast i co najmniej
1 000 grup 10. Musi obsługiwać routing dynamiczny: RIP, OSPF, BGP. 11. Musi wspierać IPv4 oraz IPv6, w szczególności protokoły routingu RIPng oraz OSPFv3. 12. Musi posiadać wsparcie dla MPLS i MPLS VPN. 13. Musi być w stanie obsłużyć co najmniej 4000 instancji VRF (Virtual Route Forwarding) 14. Musi mieć możliwość uruchomienia oprogramowania (lub rozszerzenia w oparciu o licencje) z
funkcjonalnością zapory ogniowej typu statefull (ang. statefull firewall) ze wsparciem dla stref. 15. Musi mieć możliwość uruchomienia oprogramowania (lub rozszerzenia w oparciu o licencje) z
funkcjonalnością analizy i klasyfikacji pakietów w warstwie 2-7 polegającą na przeszukiwaniu pakietów pod kątem zawierania specyficznych ciągów znaków i wykrywania na tej podstawie ataków.
16. Musi posiadać sprzętową ochrona warstwy zarządzającej (Control Plane Policing) 17. Musi obsługiwać co najmniej 4 000 ACL (Access Control Lists) i 100 000 wpisów ACE (Access
Control Entries) 18. Musi wspierać multicast w szczególności: PIM sparse/dense/SSM/Bi-directional, IGMP, MLDv2 19. Musi obsługiwać RPF (Reverse Path Forwarding) 20. Musi obsługiwać zarządzanie ruchem (QoS):
a. Minimum 128 000 kolejek per system b. Minimum 1000 polityk c. Hierarchiczne polityki (Hierarchical QoS), 3 poziomy hierarchii d. Dokładność na poziomie 8kbps w politykach QoS e. Latency (czas przejścia pakietu przez urządzenie) dla ruchu priorytetowego na poziomie
100 mikrosekund f. Dwie kolejki priorytetowe LLQ per polityka g. Musi obsługiwać funkcjonalność Sflow lub odpowiednik (J-Flow, Net-Flow)
21. Musi posiadać funkcjonalność VRRP lub odpowiednika.
Oczekiwana wydajność 22. Urządzenie musi oferować wydajność przesyłania pakietów co najmniej 20Mpps 23. Musi zapewniać wydajność co najmniej 10 Mpps dla ruchu unicastowego przy włączonych
zaawansowanych usługach (QoS, IP Fowarding, IP Multicast, RPF, load-balancing i sampled Netflow)
24. W przypadku uruchomienia oprogramowania z funkcjami firewall musi zapewniać przepustowość 20Gbps dla funkcjonalności Firewall/NAT z obsługą 2 000 000 sesji (200 000 sesji na sekundę)
4/93
25. W przypadku uruchomienia oprogramowania z funkcjami szyfrowania musi zapewniać co najmniej 8Gbps dla VPN (AES256) i co najmniej4 000 tuneli IPSec (urządzenie musi być przygotowane sprzętowo do obsługi co najmniej 8 000 IPSec bez konieczności rozbudowy).
Zarządzanie i konfiguracja 26. Musi umożliwiać zarządzanie poprzez: CLI (Telnet, SSHv2, port konsoli), SNMPv3 27. Musi posiadać port konsoli szeregowej 28. Musi posiadać wsparcie dla systemów AAA (Radius) 29. Urządzenie musi posiadać możliwość pobrania konfiguracji do zewnętrznego komputera typu
PC, w formie tekstowej. Konfiguracja po dokonaniu edycji poza urządzeniem może być ponownie zaimportowana do urządzenia i uruchomiona.
30. Urządzenie musi posiadać możliwość wyszukiwania fragmentów konfiguracji z linii poleceń urządzenia, dzięki stosowaniu wyrażeń-filtrów.
Obudowa 31. Urządzenie musi przystosowane do montażu w szafie 19”, obudowa wykonana z metalu.
Zasilanie 32. Musi posiadać redundantne zasilacze przystosowane do zasilania prądem naprzemiennym
230V.
Wyposażenie 33. Musi posiadać co najmniej 20 portów Gigabit Ethernet, których interfejs fizyczny jest
definiowany poprzez wkładki typu SFP lub równoważne, w dostarczonej konfiguracji router musi posiadać zainstalowane 6 wkładek z portem 1000BASE-LX, 2 z 1000BASE-SX, 12 z 1000BASE-T
34. Musi być wyposażony w co najmniej 8 GB pamięci RAM (musi być możliwość rozbudowy pamięci do co najmniej 16 GB)
35. Musi być wyposażony w dysk twardy lub dysk SSD o pojemności co najmniej 80GB do przechowywania obrazów systemu operacyjnego, konfiguracji oraz logów systemowych.
36. Musi posiadać niezbędne licencje do uruchomienia trybu wysokiej dostępności (jeśli są wymagane do uruchomienia takiej funkcjonalności).
B.2 Router typu IP B.
Jako urządzenie referencyjne „Router typu IP B” spełniające wymagania opisane w punktach od 1
do 67 Zamawiający określa zestaw sprzętu, oprogramowania i licencji przedstawiony w poniższej
tabeli:
Numer produktu Opis Ilość
ISR4451-X/K9 Cisco ISR 4451 (4GE,3NIM,2SM,8G FLASH,4G DRAM) 1
SL-44-APP-K9 AppX License for Cisco ISR 4400 Series 1
FL-44-PERF-K9 Performance on Demand License for 4400 Series 1
CAB-ACE AC Power Cord (Europe), C13, CEE 7, 1.5M 1
CAB-CONSOLE-USB Console Cable 6 ft with USB Type A and mini-B 1
SISR4400UK9-316S Cisco ISR 4400 Series IOS XE Universal 1
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
Rodzaj urządzenia 1. Musi być urządzeniem pełniącym rolę wielousługowego routera modularnego; 2. Musi mieć możliwość doposażenia o funkcjonalność umożliwiającą optymalizację łączy
WAN z wykorzystaniem lokalnej pamięci masowej (np. dysku HDD lub SSD) do utrzymywania kopii obiektów przesyłanych przez łącze WAN;
3. Musi mieć możliwość doposażenia w moduły cyfrowej centrali telefonicznej dla telefonii IP wraz z możliwością zmiany kodowania i manipulacji strumieniami głosowymi;
4. Musi mieć możliwość doposażenia o funkcjonalność IDS/IPS.
Architektura 5. Musi pozwalać na instalację co najmniej:
a. 3 kart sieciowych z interfejsami, b. 2 modułów usługowych z interfejsami, przy czym moduły usługowe muszą mieć
możliwość wyłączenia w celu oszczędzania energii elektrycznej, lub 5 modułów ogólnego przeznaczenia do dowolnego wykorzystania,
5/93
c. 1 wewnętrznego modułu DSP (architektura urządzenia musi dopuszczać możliwość stosowania kart rozszerzeń z dodatkowymi, wbudowanymi modułami DSP)
6. Musi posiadać możliwość bezpośredniej komunikacji pomiędzy modułami z pominięciem głównego procesora jeśli ruch sieciowy nie jest skierowany do routera.
7. Musi posiadać wszystkie interfejsy „aktywne”. Nie dopuszcza się stosowania kart, w których dla aktywacji interfejsów potrzebne będą dodatkowe licencje lub klucze aktywacyjne i konieczne wniesienie opłat licencyjnych. Np. niedopuszczalne jest stosowanie karty 4-portowej gdzie aktywne są 2 porty, a dla uruchomienia pozostałych konieczne jest wpisanie kodu, który uzyskuje się przez wykupienie licencji na użytkowanie pozostałych portów.
8. Sloty urządzenia przewidziane pod rozbudowę o dodatkowy moduł usługowy muszą mieć możliwość obsadzenia modułami:
a. z co najmniej sześcioma portami Gigabit Ethernet (z interfejsami miedzianymi i możliwością instalacji wkładek optycznych SFP),
b. z co najmniej czterema portami Gigabit Ethernet (z interfejsami miedzianymi i możliwością instalacji wkładek optycznych SFP), które mogą być stosowane zamiennie z portem 10 Gigabit Ethernet,
c. przełącznika Ethernet (funkcje L2 i L3) o całkowitej ilość portów nie mniejszej niż 48 (moduły przełącznika muszą być dostępne również w wersji z zasilaniem PoE),
9. Sloty urządzenia przewidziane pod rozbudowę o dodatkową kartę sieciową muszą mieć możliwość obsadzenia kartami:
a. z portami szeregowymi o gęstości co najmniej 4 porty na moduł, b. z interfejsem ISDN PRI o gęstości 1 portu per moduł, 2 portów per moduł, 4 portów
per moduł oraz 8 portów per moduł, c. umożliwiającymi instalację dysków SSD (ten wymóg dotyczy jednego slotu)
10. Sloty urządzenia przewidziane pod rozbudowę o moduł z układami DSP muszą mieć możliwość obsadzenia modułami:
a. gęstości nie mniejszej niż 256 kanałów b. Pozwalającymi na dynamiczne alokowanie DSP do różnych zadań (osługa
interfejsów głosowych, trancoding, conferencing) z granulacją do 1 DSP. c. Obsługującymi kodeki:
i. G.711 ii. ClearChannel iii. G.729a iv. G.729ab v. G.726 vi. G.722 vii. G.728 viii. G.729 ix. G.729b x. Internet Low Bit xi. Funkcjonalność FaxRelay xii. Funkcjonalność ModemRelay
d. Obsługującymi funkcjonalność transkodowania pomiędzy różnymi typami kodeków e. Obsługującymi kompresję, wykrywanie aktywności głosowej, zarządzenie jitterem i
funkcje kasowanie echa (co najmniej 128 ms). Funkcja kasowania echa musi być zgodna ze standardem ITU-T G.168
f. Obsługującymi szyfrowanie transmisji głosu z wykorzystaniem SRTP Oczekiwana wydajność
11. Urządzenie musi oferować dla pakietów unicast IPv4 o długości 64bajtów przepustowość rzędu 1000Mbps bez konieczności posiadania dodatkowych licencji;
12. Urządzenie musi oferować możliwość zwiększenia wydajności do co najmniej 2000Mbps dla pakietów unicast IPv4 o długości 64bajtów bez rozbudowy o dodatkowe moduły sprzętowe – np. przez licencyjnie przez odblokowanie wbudowanych zasobów sprzętowych lub jako większa wydajność początkowa routera;
13. Urządzenie musi oferować dla pakietów IMIX przy włączonych usługach szyfrowania z IPSec, przepustowość minimum 900Mbps (minimum 1500Mbps dla przypadku opisanego w punkcie 12).
6/93
Oprogramowanie/funkcjonalność
14. Musi posiadać obsługę protokołów routingu IP BGPv4, OSPFv3, IS-IS, RIPv2 oraz routingu multicastowego PIM (Sparse i SSM) oraz routing statyczny;
15. Protokół BGP musi posiadać obsługę 4 bajtowych ASN; 16. Musi posiadać wsparcie dla mechanizmów związanych z obsługą ruchu multicast: IGMP
v3, IGMP Snooping, PIMv2, Bi-directional PIM; 17. Musi posiadać obsługę protokołu IGMPv3 18. Musi obsługiwać mechanizm Unicast Reverse Path Forwarding (uRPF) 19. Musi obsługiwać tzw. routing między sieciami VLAN w oparciu o trunking 802.1Q 20. Musi obsługiwać IPv6 w tym ICMP dla IPv6 21. Musi zapewniać obsługę list kontroli dostępu w oparciu o adresy IP źródłowe i docelowe,
protokoły IP, porty TCP/UDP, opcje IP, flagi TCP, oraz o wartości TTL 22. Musi zapewniać mechanizmy korelacji zdarzeń związanych z filtracją za pomocą list
kontroli dostępu dla syslog (np. za pomocą etykiety przypisanej do określonego wpisu na listach kontroli dostępu lub skrót MD5 generowany przez router)
23. Musi posiadać obsługę NAT dla ruchu IP unicast oraz PAT dla ruchu IP unicast 24. Mechanizm NAT musi zapewniać wsparcie dla H.245 25. Musi posiadać wsparcie dla protokołów WCCP i WCCPv2 26. Musi posiadać obsługę wirtualnych instancji routingu (VRF) - co najmniej 300 instancji VRF 27. Musi posiadać obsługę mechanizmu DiffServ 28. Musi mieć możliwość tworzenia klas ruchu oraz oznaczanie (Marking), klasyfikowanie i
obsługę ruchu (Policing, Shaping) w oparciu o klasę ruchu. 29. Musi zapewniać obsługę mechanizmów kolejkowania ruchu:
a. z obsługą kolejki absolutnego priorytetu b. ze statyczną alokacją pasma dla typu ruchu c. WFQ
30. Musi obsługiwać mechanizm WRED 31. Musi obsługiwać mechanizm Traffic Shaping 32. Musi obsługiwać mechanizm ograniczania pasma dla określonego typu ruchu 33. Musi obsługiwać protokół GRE oraz zapewniać mechanizm honorowania IP Precendence
dla ruchu tunelowanego. 34. Musi obsługiwać protokół NTP 35. Musi obsługiwać DHCP w zakresie Client, Server 36. Musi posiadać obsługę tzw. First Hop Redundancy Protocol (takiego jak HSRP, GLBP,
VRRP lub równoważnego) 37. Musi posiadać obsługę mechanizmów uwierzytelniania, autoryzacji i rozliczania (AAA) z
wykorzystaniem protokołów RADIUS lub TACACS+ 38. Musi mieć możliwość rozbudowy (przez odpowiednie licencje) o funkcjonalność
Bidirectional Forwarding Detection (BFD) lub równoważnej. a. Funkcjonalność BFD musi być dostępna dla intefejsów skonfigurowanych do
współpracy z VRF b. Musi obsługiwać funkcjonalność BFD Echo Mode lub równoważną c. Funkcjonalność BFD (lub równoważna) musi posiadać wsparcie dla protokołów
BGP, OSPF, IS-IS, routingu statycznego oraz HSRP lub równoważne 39. Musi posiadać funkcjonalność pozwalającą na monitorowanie zdarzeń systemowych i
generowania akcji zdefiniowanych przez użytkownika w oparciu o język skryptowy Funkcjonalność języka skryptowego musi pozwalać monitorować zdarzenia związane z konfiguracją poprzez linię poleceń, podsystem SYSLOG, podsystem związany z wymianą modułów w czasie pracy urządzenia, podsystem sprzętowych zegarów, podsystem liczników systemowych
40. Funkcjonalność języka skryptowego musi pozwalać na generowanie akcji: a. Wykonanie komendy z poziomu linii poleceń urządzenia b. Wysłanie krótkiej wiadomości tekstowej poprzez system poczty elektronicznej c. Wykonanie skryptu d. Wygenerowanie SNMP trap e. Ustawienie lub modyfikacja określonego licznika systemowego
41. Musi posiadać funkcjonalność PPPoE 42. Musi mieć możliwość rozbudowy (poprzez odpowiednie licencje) o funkcjonalność
automatycznej optymalizacji routingu. Funkcjonalność musi posiadać wsparcie dla: a. Optymalizacji ruchu przychodzącego z wykorzystaniem rozgłaszania informacji
BGP do zewnętrznych routerów (BGP external peers)
7/93
b. Optymalizacji ruchu głosowego c. Optymalizacji w oparciu o informację z protokołów warstw wyższych (protokoły i
porty UDP/TCP) 43. Musi możliwość rozbudowy (poprzez odpowiednie licencje) o wsparcie dla Layer-2
Tunneling Protocol Version 3. 44. Urządzenie musi posiadać możliwość integracji z centralnym systemem zarządzania,
monitorowania, konfiguracji jak również troubleshootingu 45. Urządzenie musi umożliwiać obsługę przez zcentralizowany system zarządzania w celu
zmiany wersji systemu operacyjnego. 46. Musi posiadać funkcjonalności MPLS:
a. Egress LER b. Ingress LER c. MPLS over GRE d. QoS dla MPLS e. MPLS Traffic Engineering f. MPLS VPN g. Multicast dla MPLS VPN h. Any Transport over MPLS Graceful Restart
47. Urządzenie mieć możliwość rozbudowy w oparciu o licencje o funkcjonalność akceleratora ruchu sieciowego. Zakres funkcjonalny funkcji akceleratora sieciowego musi obejmować:
a. Kompresja ruchu – np. algorytmem LZ; b. Optymalizacja połączeń TCP c. Deduplikacja ruchu sieciowego d. Wsparcie dla obsługi minimum 750 sesji TCP e. Musi współpracować z centralnym systemem zarządzania optymalizatorami ruchu
sieciowego oferującym centralny punkt konfiguracji, monitorowania w czasie rzeczywistym, zarządzania błędami i raportowania
f. Wsparcie dla akceleracji poniższych aplikacji: i. CIFS (SMBv2) ii. NFSv3 iii. Exchange 2003/2007/2010 (MAPI) iv. Encrypted MAPI v. Microsoft SQL vi. Oracle vii. SSL viii. HTTP ix. Microsoft Office 365
48. Musi mieć możliwość rozbudowy w oparciu o licencje o funkcjonalności bezpieczeństwa (nie dopuszcza się wymiany oprogramowania w celu realizacji funkcjonalności):
a. IPSec VPN, b. funkcjonalność szyfrowania połączeń z wykorzystaniem algorytmów
DES/3DES/AES, c. algorytmy IPSec następnej generacji oparte o krzywe eliptyczne (RFC 4869),
w szczególności: i. Elliptic Curve Diffie-Hellman (ECDH), ii. Galois Counter Mode Advanced Encryption Standard (GCM-AES) 128/256
bitów, iii. Galois Message Authentication Code (GMAC-AES) 128/256 bitów, iv. Elliptic Curve Digital Signature Algorithm (ECDSA) dla IKEv2,
d. możliwość konfiguracji tuneli IPSec VPN w oparciu o protokół IKEv2 (Internet Key Exchange v2). Wsparcie dla IKEv2 zarówno dla VPN typu site-2-site jak i dynamicznych, dla ruchu IPv4 oraz IPv6,
e. funkcjonalność VPN musi wspierać tworzenie niezależnych VPN (w tym różnego typu: site-2-site, dynamicznych) per VRF,
f. technologia umożliwiająca szyfrowanie IPSec ruchu unicast IPv4 bez konieczności tworzenia tuneli, z wykorzystaniem z użyciem protokołu Group Domain of Interpretation (GDOI) zdefiniowanego w RFC 3547, w tym:
i. mechanizm pasywnego IPSec SA, w którym urządzenie akceptuje zaszyfrowany i niezaszyfrowany ruch przychodzący, ale wysyła zawsze ruch zaszyfrowany,
8/93
ii. mechanizm fail-close, w którym urządzenie nie wysyła ruchu, w sytuacji kiedy miałby on pozostać niezaszyfrowany w przypadku kiedy urządzenie jest niezarejestrowane w sieci VPN,
iii. mechanizm współdzielenia kluczy przez redundantne serwery kluczy, iv. mechanizm zmiany podstawowego serwera kluczy (Key Server)
w scenariuszu z wysoką dostępnością serwerów kluczy, g. funkcja zapory sieciowej z analizą stanów połączenia (tzw. statefull firewall), h. funkcjonalność zapory sieciowej dla protokołu IPv4 i IPv6 opartej o definicję stref
bezpieczeństwa (zone-based firewall), i. możliwość elastycznej definicji scenariuszy przesyłu IPv4 i IPv6 pomiędzy różnymi
strefami, w tym: i. przesyłu, który jest poddawany inspekcji, ii. przesyłu, który jest odrzucany, iii. przesyłu, który jest przenoszony bez inspekcji,
j. ochrona centralnego procesora urządzenia (CPU) przed atakiem Denial of Service (DoS) poprzez możliwość klasyfikowania i limitowania ruchu docierającego do CPU,
k. możliwość logowania pakietów przekraczających skonfigurowane limity ruchu docierającego do CPU,
l. możliwość wymuszenia reguł złożoności haseł tworzonych na urządzeniu, m. w przypadku modułu przełącznika, działającego jako urządzenie dostępowe
RADIUS (NAD - Network Access Devices), wsparcie funkcjonalności 802.1x. n. Dynamic Multipoint VPN (DMVPN)
49. Musi umożliwiać rozbudowe w oparciu o licencje o funkcjonalności w zakresie VoIP (nie dopuszcza się wymiany oprogramowania w celu realizacji funkcjonalności):
a. funkcjonalność procesowania połączeń telefonii IP (funkcja serwera zestawiającego połączenia) dla co najmniej 100 abonentów (na obecnym etapie nie jest wymagane dostarczenie tej funkcjonalności ale Zamawiający zastrzega możliwość rozbudowy w przyszłości w oparciu o dodatkowe licencje),
b. funkcjonalność podtrzymywania komunikacji telefonów IP przy utracie komunikacji z centralnym systemem procesowania połączeń dla co najmniej 25 abonentów z możliwością rozbudowy do co najmniej 100
c. funkcjonalność sondy (nadajnik i odbiornik) do mierzenia parametrów ruchu dla protokołów IP oraz VoIP (pomiar jakości poprzez symulację kodeków VoIP i mierzenie parametrów opóźnienia „tam i z powrotem” (roundtrip), jitter i utraty pakietów),
d. możliwość pracy jako brama VoIP/PSTN z wykorzystaniem interfejsów PRI/BRI lub analogowych. Brama musi mieć możliwość pracy w sposób niezależny lub sterowana przez system centralny procesowania połączeń.
e. Możliwość pracy jako tak zwany Session Border Controller. Urządzenie musi być dostarczone z niezbędnymi licencjami do uruchomienia co najmniej 30 sesji.
f. Możliwość instalacji modułów DSP o dużej gęstości (do 1000 DSP).
Zarządzanie i konfiguracja 50. Musi być zarządzalne za pomocą SNMPv3 51. Musi mieć możliwość eksportu statystyk ruchowych za pomocą protokołu Neftflow/JPFlow
lub równoważnego 52. Musi być konfigurowalne za pomocą interfejsu linii poleceń (ang. Command Line Interface
– CLI) jak również interfejsu graficznego (GUI) 53. Plik konfiguracyjny urządzenia (w szczególności plik konfiguracji parametrów routingu)
musi pozwalać na edycję w trybie off-line, tzn. musi być możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym komputerze. Po zapisaniu konfiguracji w pamięci nieulotnej powinno być możliwe uruchomienie urządzenia z nowa konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania dowolnej ilości plików konfiguracyjnych. Zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się częściowych restartów urządzenia po dokonaniu zmian.
54. Musi umożliwiać konfigurację zgodnie z dokumentami z zaleceniami do konfiguracji routerów (Security Guide, Hardening Guide) wydawanymi przez NATO NCI Agency.
Obudowa 55. Musi być wykonana z metalu. 56. Musi mieć możliwość montażu w szafie 19” i musi zostać dostarczone z umożliwiającym to
zestawem montażowym.
9/93
Zasilanie
57. Urządzenie musi mieć możliwość zasilania ze źródeł zmiennoprądowych 230V (zasilacze AC)
58. Urządzenie musi posiadać wbudowany zasilacz umożliwiający zasilanie prądem przemiennym 230V. Nie dopuszcza się stosowania zewnętrznych zasilaczy
59. Urządzenie musi umożliwiać doprowadzenie zasilania do portów Ethernet (tzw. inline-power) - w modułach sieciowych dostępnych do urządzenia. Na tym etapie Zamawiający nie wymaga dostarczenia takiego zasilacza ale pozostawia sobie możliwość zamówienia w przyszłości.
Wyposażenie 60. Licencja opisana w punkcie 12 (lub odpowiednia wydajność początkowa). 61. Urządzenie musi być wyposażone w minimum 4 interfejsy wbudowane Gigabit Ethernet
10/100/1000 dla realizacji połączenia do sieci WAN\LAN, 62. Interfejsy opisane powyżej muszą mieć możliwość pracy w trybie „dual-physical” z portem
RJ45 i gigabitowym portem światłowodowym definiowanym przez moduł SFP. 63. Urządzenie musi być wyposażone w minimum 8GB pamięci Flash i mieć możliwość
rozbudowy do co najmniej 32GB 64. Urządzenie musi być wyposażone w minimum 4GB pamięci RAM z możliwością
rozbudowy do co najmniej 16GB 65. Urządzenie musi być wyposażone w minimum jeden port USB. Port musi pozwalać na
podłączenie zewnętrznych pamięci FLASH w celu przechowywania obrazów systemu operacyjnego, plików konfiguracyjnych lub certyfikatów elektronicznych
66. Musi posiadać port konsoli szeregowej USB. 67. Urządzenie musi być dostarczone z kablami pozwalającymi na podłączenie konsoli USB,
jak również kablami zasilającymi.
B.3 Router typu IP AE.
Jako urządzenie referencyjne „Router typu IP AE” spełniające wymagania opisane w punktach od
1 do 44 Zamawiający określa zestaw sprzętu, oprogramowania i licencji przedstawiony w poniższej
tabeli:
Numer produktu Opis Ilość
ASR1006-X Cisco ASR1006-X Chassis 1
ASR1000X-FAN Cisco ASR1000-X Fan Module 2
ASR1000-ESP40 Cisco ASR1000 Embedded Services Processor, 40G 2
ASR1000-RP2 Cisco ASR1000 Route Processor 2, 8GB DRAM 1
M-ASR1K-RP2-8GB Cisco ASR1000 RP2 8GB DRAM 1
M-ASR1K-HDD-80GB Cisco ASR1000 RP2 80GB HDD 1
SASR1R2-AESK9-316S Cisco ASR 1000 Series RP2 ADV ENT SERVICES 1
ASR1000-RP2 Cisco ASR1000 Route Processor 2, 8GB DRAM 1
M-ASR1K-RP2-8GB Cisco ASR1000 RP2 8GB DRAM 1
M-ASR1K-HDD-80GB Cisco ASR1000 RP2 80GB HDD 1
ASR1000-6TGE ASR1000 6 port 10 GE Line Card 1
ASR1000-2T+20X1GE ASR1000 2 port 10GE, 20-port GE Line Card 1
XFP-10G-MM-SR 10GBASE-SR XFP Module 6
GLC-LH-SMD 1000BASE-LX/LH SFP transceiver module MMF/SMF 1310nm DOM
2
GLC-SX-MMD 1000BASE-SX SFP transceiver module MMF 850nm DOM 4
GLC-TE 1000BASE-T SFP transceiver module for Category 5 copper wire
14
ASR1KX-AC-1100W-D Cisco ASR1000-X 1100W AC Default Power Supply 2
CAB-ACE AC Power Cord (Europe), C13, CEE 7, 1.5M 2
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
Architektura 1. Musi być urządzeniem modularnym, umożlwiającym obsadzenie co najmniej 8 modułów
adapterów.
10/93
2. Musi mieć możliwość redundancji kluczowych komponentów odpowiedzialnych za control plane i data plane (redundancja na poziomie sprzętowym – tzn. możliwość instalacji dwóch lub więcej modułów np. tzw. route procesorów)
3. Router musi posiadać osobne komponenty sprzętowe odpowiedzialne za obsługę control plane i data plane
4. Musi mieć możliwość rozszerzenia o adaptery: a. Interfejsów ATM (ze sprzętowym wsparciem dla przekazywania pakietów IPv4, IPv6
i MPLS (L3VPN oraz AToM lub pseudowire edge-to-edge emulation 3), których interfejs fizyczny jest definiowany w oparciu o wkładki SFP. Adapter musi być dostępny w wersjach OC-3/STM-1 (co najmniej 3 porty) oraz OC-12/STM-4.
b. Interfejsów channelized T1/E1 z fizycznym konektorem RJ-45, ze zintegrowanym CSU/DSU i impedancją 120 Ohm (z możliwością konwersji do 75 Ohm). Adapter musi być dostępny z gęstością co najmniej 8 portów
c. Interfejsów T3/E3 z gęstością co najmniej 4 portów d. Interfejsów szeregowych, których fizyczny interfejs jest definiowany za pomocą kabla.
Adapter musi być dostępny z gęstością co najmniej 4 portów. e. Interfejsów 10Gigabit Ethernet (L3) z gęstością co najmniej 1 port f. Interfejsów Gigabit Ethernet (L3) z interfejsem fizycznym definiowanym z wykorzystaniem
wkładek SFP. Adapter musi być dostępny z gęstością co najmniej 10 portów. g. Interfejsów Packet Over Sonet – OC3c/STM-1c z gęstością co najmniej 4 portów,
OC12/STM4 z gęstością co najmniej 8 portów, OC48/STM16 z gęstością co najmniej 4 portów, OC-192c/STM-64c
h. Musi umożliwiać wymianę modułów w trakcie pracy (ang. hot swap). i. Musi posiadać wbudowany sprzętowy moduł akceleracji szyfrowania.
Oprogramowanie/funkcjonalność 5. Musi posiadać modularny system operacyjny umożliwiający aktualizację poszczególnych
modułów programowych niezależnie od siebie. 6. Musi pozwalać na bezprzerwową aktualizację oprogramowania (tzw. In-Service Software
Upgrade lub odpowiednik) 7. Musi mieć możliwość uruchomienia oprogramowania lub rozszerzenia w oparciu o licencje)
z funkcjonalnością dynamicznych tuneli VPN (hub-to-spoke oraz spoke-to-spoke). 8. Musi obsługiwać funkcjonalność NHRP. 9. Musi obsługiwać co najmniej 4 000 tuneli GRE. 10. Musi obsługiwać co najmniej 3 500 000 prefiksów w tablicach routingu IPv4 lub 3 000 000
prefiksów w tablicach routingu IPv6 11. Musi obsługiwać co najmniej 100 000 prefiksów w tablicach routingu multicast i co najmniej
4 000 grup 12. Musi obsługiwać routing dynamiczny: RIP, OSPF, BGP. 13. Musi wspierać IPv4 oraz IPv6, w szczególności protokoły routingu RIPng oraz OSPFv3. 14. Musi posiadać wsparcie dla MPLS i MPLS VPN. 15. Musi być w stanie obsłużyć co najmniej 4000 instancji VRF (Virtual Route Forwarding) 16. Musi mieć możliwość uruchomienia oprogramowania (lub rozszerzenia w oparciu o licencje)
z funkcjonalnością zapory ogniowej typu statefull (ang. statefull firewall) ze wsparciem dla stref. 17. Musi mieć możliwość uruchomienia oprogramowania (lub rozszerzenia w oparciu o licencje)
z funkcjonalnością analizy i klasyfikacji pakietów w warstwie 2-7 polegającą na przeszukiwaniu pakietów pod kątem zawierania specyficznych ciągów znaków i wykrywania na tej podstawie ataków.
18. Musi posiadać sprzętową ochrona warstwy zarządzającej (Control Plane Policing) 19. Musi obsługiwać co najmniej 4 000 ACL (Access Control Lists) i 100 000 wpisów ACE (Access
Control Entries) 20. Musi wspierać multicast w szczególności: PIM sparse/dense/SSM/Bi-directional, IGMP, MLDv2 21. Musi obsługiwać RPF (Reverse Path Forwarding) 22. Musi obsługiwać zarządzanie ruchem (QoS):
a. Minimum 128 000 kolejek per system b. Minimum 4000 polityk c. Hierarchiczne polityki (Hierarchical QoS), 3 poziomy hierarchii d. Dokładność na poziomie 8kbps w politykach QoS e. Latency (czas przejścia pakietu przez urządzenie) dla ruchu priorytetowego na poziomie
100 mikrosekund f. Dwie kolejki priorytetowe LLQ per polityka g. Musi obsługiwać funkcjonalność Sflow lub odpowiednik (J-Flow, Net-Flow)
11/93
23. Musi posiadać funkcjonalność VRRP lub odpowiednika. 24. Musi obsługiwać funkcjonalność LIS.
Oczekiwana wydajność 25. Urządzenie musi oferować wydajność przesyłania pakietów co najmniej 40Mpps 26. Musi zapewniać wydajność co najmniej 10 Mpps dla ruchu unicastowego przy włączonych
zaawansowanych usługach (QoS, IP Fowarding, IP Multicast, RPF, load-balancing i sampled Netflow)
27. W przypadku uruchomienia oprogramowania z funkcjami firewall musi zapewniać przepustowość 35Gbps dla funkcjonalności Firewall/NAT z obsługą 2 000 000 sesji (200 000 sesji na sekundę)
28. W przypadku uruchomienia oprogramowania z funkcjami szyfrowania musi zapewniać co najmniej 12Gbps dla VPN (AES256) i co najmniej4 000 tuneli IPSec (urządzenie musi być przygotowane sprzętowo do obsługi co najmniej 8 000 IPSec bez konieczności rozbudowy).
Zarządzanie i konfiguracja 29. Musi umożliwiać zarządzanie poprzez: CLI (Telnet, SSHv2, port konsoli), SNMPv3 30. Musi posiadać port konsoli szeregowej 31. Musi posiadać wsparcie dla systemów AAA (Radius) 32. Urządzenie musi posiadać możliwość pobrania konfiguracji do zewnętrznego komputera typu
PC, w formie tekstowej. Konfiguracja po dokonaniu edycji poza urządzeniem może być ponownie zaimportowana do urządzenia i uruchomiona.
33. Urządzenie musi posiadać możliwość wyszukiwania fragmentów konfiguracji z linii poleceń urządzenia, dzięki stosowaniu wyrażeń-filtrów.
34. Musi umożliwiać konfigurację zgodnie z dokumentami z zaleceniami do konfiguracji routerów (Security Guide, Hardening Guide) wydawanymi przez NATO NCI Agency.
Obudowa 35. Urządzenie musi przystosowane do montażu w szafie 19”, obudowa wykonana z metalu Zasilanie
36. Musi posiadać redundantne zasilacze przystosowane do zasilania prądem naprzemiennym 230V
37. Dla platformy muszą być dostępne zarówno zasilacze AC jak i DC
Wyposażenie 38. Musi być wyposażony w redundantne moduły odpowiedzialne za zarządzanie i control plane 39. Musi być wyposażony w redundantne moduły odpowiedzialne za data plane 40. Musi posiadać moduł (kartę) 10 Gigabit Ethernet, z co najmniej 6 portami 10 GE na wkładki
(interfejsy) XFP, obsadzoną wkładkami XFP w ilości co najmniej: a. 4 x 10GBASE-SR
41. Musi posiadać moduł (kartę) 10/1 Gigabit Ethernet, z co najmniej 2 portami 10 GE na wkładki XFP oraz co najmniej 20 portami 1GE na wkładki SFP, obsadzoną wkładkami (interfejsami) w ilości co najmniej:
a. 2 x 10GBASE-SR (XFP) b. 2 x 1000BASE-LX (SFP) c. 4 x 1000BASE-SX (SFP) d. 14 x 1000BASE-T (SFP)
42. Musi być wyposażony w co najmniej 8 GB pamięci RAM (musi być możliwość rozbudowy pamięci do co najmniej 16 GB)
43. Musi być wyposażony w dysk twardy lub dysk SSD o pojemności co najmniej 80GB do przechowywania obrazów systemu operacyjnego, konfiguracji oraz logów systemowych.
44. Musi posiadać niezbędne licencje do uruchomienia trybu wysokiej dostępności (jeśli są wymagane do uruchomienia takiej funkcjonalności).
12/93
B.4 Router typu N A.
Jako urządzenie referencyjne „Router typu N A” spełniające wymagania opisane w punktach od 1
do 62 Zamawiający określa zestaw sprzętu, oprogramowania i licencji przedstawiony w poniższej
tabeli:
Numer produktu Opis Ilość
ISR4331-SEC/K9 Cisco ISR 4331 Sec bundle w/SEC license 1
SL-4330-IPB-K9 IP Base License for Cisco ISR 4330 Series 1
GLC-SX-MMD 1000BASE-SX SFP transceiver module, MMF, 850nm, DOM 2
PWR-4330-AC AC Power Supply for Cisco ISR 4330 1
CAB-ACE AC Power Cord (Europe), C13, CEE 7, 1.5M 1
NIM-BLANK Blank faceplate for NIM slot on Cisco ISR 4400 2
SM-S-BLANK Removable faceplate for SM slot on Cisco 2900,3900,4400 ISR
1
MEM-4300-4G 4G DRAM (2G+2G) for Cisco ISR 4330, 4350 1
MEM-FLSH-4G 4G Flash Memory for Cisco ISR 4300 (Soldered on motherboard)
1
SL-4330-SEC-K9 Security License for Cisco ISR 4330 Series 1
SISR4300UK9-313S Cisco ISR 4300 Series IOS XE Universal 1
FL-4330-HSEC-K9 U.S. Export Restriction Compliance license for 4330 series 1
CAB-CONSOLE-USB Console Cable 6 ft with USB Type A and mini-B 1
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
Rodzaj urządzenia 1. Musi być urządzeniem pełniącym rolę wielousługowego routera modularnego; 2. Musi mieć możliwość doposażenia o funkcjonalność umożliwiającą optymalizację łączy
WAN z wykorzystaniem lokalnej pamięci masowej (np. dysku HDD lub SSD) do utrzymywania kopii obiektów przesyłanych przez łącze WAN;
3. Musi mieć możliwość doposażenia w moduły cyfrowej centrali telefonicznej dla telefonii IP wraz z możliwością zmiany kodowania i manipulacji strumieniami głosowymi;
4. Musi mieć możliwość doposażenia o funkcjonalność IDS/IPS.
Architektura 5. Musi pozwalać na instalację co najmniej:
a. jednego modułu rozszerzeń takich jak moduły przełącznika, serwera b. 2 kart sieciowych z interfejsami z możliwością wyłączenia modułu w celu
oszczędności energii c. 1 wewnętrznego modułu DSP z możliwością wyłączenia modułu w celu
oszczędności energii 6. Musi posiadać możliwość bezpośredniej komunikacji pomiędzy modułami z pominięciem
głównego procesora jeśli ruch sieciowy nie jest skierowany do routera. 7. Musi posiadać wszystkie interfejsy „aktywne”. Nie dopuszcza się stosowania kart, w
których dla aktywacji interfejsów potrzebne będą dodatkowe licencje lub klucze aktywacyjne i konieczne wniesienie opłat licencyjnych. Np. niedopuszczalne jest stosowanie karty 4-portowej gdzie aktywne są 2 porty, a dla uruchomienia pozostałych konieczne jest wpisanie kodu, który uzyskuje się przez wykupienie licencji na użytkowanie pozostałych portów.
8. Sloty urządzenia przewidziane pod rozbudowę muszą mieć możliwość obsadzenia modułami:
a. z cyfrowymi interfejsem T1/E1 dla ruchu głosowego lub ruchu typu channelized z gęstością interfejsów nie mniejszą niż 4 portów T1/E1;
b. z interfejsami szeregowymi WAN, w liczbie min. 4 porty na moduł; c. interfejsów głosowych analogowych (FSX/FXO) z gęstością minimum 4 porty FXO
lub 4 porty FXS na moduł; d. z dyskiem twardym SSD e. przełącznika Ethernet (funkcje L2 i L3), oczekiwana liczba portów przełącznika nie
może być mniejsza niż 8 dla jednego modułu. Porty przełącznika muszą być dostępne również w wersji z zasilaniem PoE;
f. umożliwiającym komunikację po sieci komórkowej w technologii 3G/4G (LTE);
13/93
g. z portem VDSL2 / ADSL2+ over POTS; h. z portem VDSL2 / ADSL2+ over POTS / Annex M; i. z portem VDSL2 / ADSL2+ over ISDN; j. z układami DSP;
9. Sloty urządzenia przewidziane pod rozbudowę o moduł z układami DSP muszą mieć możliwość obsadzenia modułami:
a. gęstości nie mniejszej niż 256 kanałów b. Pozwalającymi na dynamiczne alokowanie DSP do różnych zadań (osługa
interfejsów głosowych, trancoding, conferencing). c. Obsługującymi kodeki:
i. G.711 ii. ClearChannel iii. G.729a iv. G.729ab v. G.726 vi. G.722 vii. G.728 viii. G.729 ix. G.729b x. Internet Low Bit xi. Funkcjonalność FaxRelay xii. Funkcjonalność ModemRelay
d. Obsługującymi funkcjonalność transkodowania pomiędzy różnymi typami kodeków e. Obsługującymi kompresję, wykrywanie aktywności głosowej, zarządzenie jitterem
i funkcje kasowanie echa (co najmniej 128 ms). Funkcja kasowania echa musi być zgodna ze standardem ITU-T G.168
f. Obsługującymi szyfrowanie transmisji głosu z wykorzystaniem SRTP.
Oczekiwana wydajność 10. Urządzenie musi oferować dla pakietów unicast IPv4 o długości 64bajtów przepustowość
rzędu 100Mbps; 11. Urządzenie musi oferować możliwość zwiększenia wydajności do co najmniej 300Mbps dla
pakietów unicast IPv4 o długości 64bajtów bez rozbudowy o dodatkowe moduły sprzętowe – np. przez licencyjnie przez odblokowanie wbudowanych zasobów sprzętowych lub jako większa wydajność początkowa routera;
12. Urządzenie musi oferować dla pakietów IMIX przy włączonych usługach szyfrowania z IPSec, szczegółowej analizy aplikacji w warstwie 7, kontroli jakości usługi QoS o przepustowości minimum 90Mbps.
Oprogramowanie/funkcjonalność 13. Musi posiadać obsługę protokołów routingu IP BGPv4, OSPFv3, IS-IS, RIPv2 oraz routingu
multicastowego PIM (Sparse i SSM) oraz routing statyczny; 14. Protokół BGP musi posiadać obsługę 4 bajtowych ASN; 15. Musi posiadać wsparcie dla mechanizmów związanych z obsługą ruchu multicast: IGMP
v3, IGMP Snooping, PIMv2, Bi-directional PIM; 16. Musi posiadać obsługę protokołu IGMPv3 17. Musi obsługiwać mechanizm Unicast Reverse Path Forwarding (uRPF) 18. Musi obsługiwać tzw. routing między sieciami VLAN w oparciu o trunking 802.1Q 19. Musi obsługiwać IPv6 w tym ICMP dla IPv6 20. Musi zapewniać obsługę list kontroli dostępu w oparciu o adresy IP źródłowe i docelowe,
protokoły IP, porty TCP/UDP, opcje IP, flagi TCP, oraz o wartości TTL 21. Musi zapewniać mechanizmy korelacji zdarzeń związanych z filtracją za pomocą list
kontroli dostępu dla syslog (np. za pomocą etykiety przypisanej do określonego wpisu na listach kontroli dostępu lub skrót MD5 generowany przez router)
22. Musi posiadać obsługę NAT dla ruchu IP unicast oraz PAT dla ruchu IP unicast 23. Mechanizm NAT musi zapewniać wsparcie dla H.245 24. Musi posiadać wsparcie dla protokołów WCCP i WCCPv2 25. Musi posiadać obsługę wirtualnych instancji routingu (VRF) - co najmniej 300 instancji VRF 26. Musi posiadać obsługę mechanizmu DiffServ 27. Musi mieć możliwość tworzenia klas ruchu oraz oznaczanie (Marking), klasyfikowanie
i obsługę ruchu (Policing, Shaping) w oparciu o klasę ruchu. 28. Musi zapewniać obsługę mechanizmów kolejkowania ruchu:
a. z obsługą kolejki absolutnego priorytetu
14/93
b. ze statyczną alokacją pasma dla typu ruchu c. WFQ
29. Musi obsługiwać mechanizm WRED 30. Musi obsługiwać mechanizm Traffic Shaping 31. Musi obsługiwać mechanizm ograniczania pasma dla określonego typu ruchu 32. Musi obsługiwać protokół GRE oraz zapewniać mechanizm honorowania IP Precendence
dla ruchu tunelowanego. 33. Musi obsługiwać protokół NTP 34. Musi obsługiwać DHCP w zakresie Client, Server 35. Musi posiadać obsługę tzw. First Hop Redundancy Protocol (takiego jak HSRP, GLBP,
VRRP lub równoważnego) 36. Musi posiadać obsługę mechanizmów uwierzytelniania, autoryzacji i rozliczania (AAA)
z wykorzystaniem protokołów RADIUS lub TACACS+ 37. Musi posiadać możliwość rozbudowy funkcjonalność pozwalającą na monitorowanie
zdarzeń systemowych i generowania akcji zdefiniowanych przez użytkownika w oparciu o język skryptowy Funkcjonalność języka skryptowego musi pozwalać monitorować zdarzenia związane z konfiguracją poprzez linię poleceń, podsystem SYSLOG, podsystem związany z wymianą modułów w czasie pracy urządzenia, podsystem sprzętowych zegarów, podsystem liczników systemowych
38. Funkcjonalność języka skryptowego musi pozwalać na generowanie akcji: a. Wykonanie komendy z poziomu linii poleceń urządzenia b. Wysłanie krótkiej wiadomości tekstowej poprzez system poczty elektronicznej c. Wykonanie skryptu d. Wygenerowanie SNMP trap e. Ustawienie lub modyfikacja określonego licznika systemowego
39. Musi posiadać funkcjonalność PPPoE 40. Musi mieć możliwość rozbudowy (poprzez odpowiednie licencje) o funkcjonalność
automatycznej optymalizacji routingu. Funkcjonalność musi posiadać wsparcie dla: a. Optymalizacji ruchu przychodzącego z wykorzystaniem rozgłaszania informacji
BGP do zewnętrznych routerów (BGP external peers) b. Optymalizacji ruchu głosowego c. Optymalizacji w oparciu o informację z protokołów warstw wyższych (protokoły
i porty UDP/TCP) 41. Urządzenie musi posiadać możliwość integracji z centralnym systemem zarządzania,
monitorowania, konfiguracji jak również troubleshootingu 42. Urządzenie musi umożliwiać obsługę przez zcentralizowany system zarządzania w celu
zmiany wersji systemu operacyjnego. 43. Musi oferować zaawansowane funkcjonalności bezpieczeństwa
a. Zone Based Firewall (ZBF), b. IPSec VPN, c. Dynamic Multipoint VPN (DMVPN) d. FlexVPN lub odpowiednik e. Wsparcie dla NG Encryption (Suite B).
Zarządzanie i konfiguracja 44. Musi być zarządzalne za pomocą SNMPv3 45. Musi mieć możliwość eksportu statystyk ruchowych za pomocą protokołu Neftflow/JPFlow
lub równoważnego 46. Musi być konfigurowalne za pomocą interfejsu linii poleceń (ang. Command Line Interface
– CLI) jak również interfejsu graficznego (GUI) 47. Plik konfiguracyjny urządzenia (w szczególności plik konfiguracji parametrów routingu)
musi pozwalać na edycję w trybie off-line, tzn. musi być możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym komputerze. Po zapisaniu konfiguracji w pamięci nieulotnej powinno być możliwe uruchomienie urządzenia z nowa konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania dowolnej ilości plików konfiguracyjnych. Zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się częściowych restartów urządzenia po dokonaniu zmian.
48. Musi umożliwiać konfigurację zgodnie z dokumentami z zaleceniami do konfiguracji routerów (Security Guide, Hardening Guide) wydawanymi przez NATO NCI Agency.
Obudowa 49. Musi być wykonana z metalu.
15/93
50. Musi mieć możliwość montażu w szafie 19” i musi zostać dostarczone z umożliwiającym to zestawem montażowym.
Zasilanie 51. Urządzenie musi mieć możliwość zasilania ze źródeł zmiennoprądowych 230V (zasilacze
AC) 52. Urządzenie musi posiadać wbudowany zasilacz umożliwiający zasilanie prądem
przemiennym 230V. Nie dopuszcza się stosowania zewnętrznych zasilaczy 53. Urządzenie musi umożliwiać doprowadzenie zasilania do portów Ethernet (tzw. inline-
power) - w modułach sieciowych dostępnych do urządzenia. Na tym etapie Zamawiający nie wymaga dostarczenia takie zasilacza ale pozostawia sobie możliwość zamówienia w przyszłości.
Wyposażenie 54. Urządzenie musi być wyposażone w minimum 3 interfejsy Gigabit Ethernet 10/100/1000
dla realizacji połączenia do sieci LAN, w tym minimum dwa interfejsy muszą być wbudowane
55. Jeden z interfejsów opisanych powyżej muszą mieć możliwość pracy w trybie „dual-physical” z portem RJ45 lub gigabitowym portem światłowodowym definiowanym przez moduł GBIC lub SFP.
56. Dwa interfejsy muszą być obsadzone wkładkami w standardzie 1000BaseSX 57. Urządzenie musi być wyposażone w minimum 4GB pamięci Flash i mieć możliwość
rozbudowy do co najmniej 16GB 58. Urządzenie musi być wyposażone w minimum 4GB pamięci RAM z możliwością
rozbudowy do co najmniej 16GB 59. Urządzenie musi być wyposażone w minimum jeden port USB. Port musi pozwalać na
podłączenie zewnętrznych pamięci FLASH w celu przechowywania obrazów systemu operacyjnego, plików konfiguracyjnych lub certyfikatów elektronicznych
60. Musi posiadać port konsoli szeregowej USB. 61. Urządzenie musi być dostarczone z kablami pozwalającymi na podłączenie zarówno
konsoli USB, jak również kablami zasilającymi. 62. Musi być dostarczony z licencjami niezbędnymi do uruchomienia szyfrowania i zestawiania
tuneli IPSec w ilości większej niż 225, z przepustowością większą niż 85Mbps.
B.5 Router typu U V.
Jako urządzenie referencyjne „Router typu U V” spełniające wymagania opisane w punktach od 1
do 67 Zamawiający określa zestaw sprzętu, oprogramowania i licencji przedstawiony w poniższej
tabeli:
Numer produktu Opis Ilość
Produkt Opis Ilość
ISR4331-V/K9 Cisco ISR 4331 UC Bundle, PVDM4-32, UC License, CUBEE10
1
SL-4330-IPB-K9 IP Base License for Cisco ISR 4330 Series 1
SL-4330-UC-K9 Unified Communication License for Cisco ISR 4330 Series 1
PWR-4330-AC AC Power Supply for Cisco ISR 4330 1
CAB-ACE AC Power Cord (Europe), C13, CEE 7, 1.5M 1
CAB-CONSOLE-USB Console Cable 6 ft with USB Type A and mini-B 1
MEM-4300-4G 4G DRAM (2G+2G) for Cisco ISR 4330, 4350 1
MEM-FLSH-4G 4G Flash Memory for Cisco ISR 4300 (Soldered on motherboard)
1
FL-CUBEE-5 Unified Border Element Enterprise License - 5 sessions 2
NIM-BLANK Blank faceplate for NIM slot on Cisco ISR 4400 1
SM-S-BLANK Removable faceplate for SM slot on Cisco 2900,3900,4400 ISR
1
SISR4300UK9-313S Cisco ISR 4300 Series IOS XE Universal 1
FL-CME Cisco Communications Manager Express License 1
FL-CME-SRST-25 Communication Manager Express or SRST - 25 seat license 1
FL-CUBEE-25 Unified Border Element Enterprise License - 25 sessions 1
NIM-1MFT-T1/E1 1 port Multiflex Trunk Voice/Clear-channel Data T1/E1 Module 1
16/93
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
Rodzaj urządzenia 1. Musi być urządzeniem pełniącym rolę wielousługowego routera modularnego; 2. Musi mieć możliwość doposażenia o funkcjonalność umożliwiającą optymalizację łączy
WAN z wykorzystaniem lokalnej pamięci masowej (np. dysku HDD lub SSD) do utrzymywania kopii obiektów przesyłanych przez łącze WAN;
3. Musi mieć możliwość doposażenia w moduły cyfrowej centrali telefonicznej dla telefonii IP wraz z możliwością zmiany kodowania i manipulacji strumieniami głosowymi;
4. Musi mieć możliwość doposażenia o funkcjonalność IDS/IPS.
Architektura 5. Musi pozwalać na instalację co najmniej:
a. jednego modułu rozszerzeń takich jak moduły przełącznika, serwera b. 2 kart sieciowych z interfejsami z możliwością wyłączenia modułu w celu
oszczędności energii c. 1 wewnętrznego modułu DSP z możliwością wyłączenia modułu w celu
oszczędności energii 6. Musi posiadać możliwość bezpośredniej komunikacji pomiędzy modułami z pominięciem
głównego procesora jeśli ruch sieciowy nie jest skierowany do routera. 7. Musi posiadać wszystkie interfejsy „aktywne”. Nie dopuszcza się stosowania kart,
w których dla aktywacji interfejsów potrzebne będą dodatkowe licencje lub klucze aktywacyjne i konieczne wniesienie opłat licencyjnych. Np. niedopuszczalne jest stosowanie karty 4-portowej gdzie aktywne są 2 porty, a dla uruchomienia pozostałych konieczne jest wpisanie kodu, który uzyskuje się przez wykupienie licencji na użytkowanie pozostałych portów.
8. Sloty urządzenia przewidziane pod rozbudowę muszą mieć możliwość obsadzenia modułami:
a. z cyfrowymi interfejsem T1/E1 dla ruchu głosowego lub ruchu typu channelized z gęstością interfejsów nie mniejszą niż 4 portów T1/E1;
b. z interfejsami szeregowymi WAN, w liczbie min. 4 porty na moduł; c. interfejsów głosowych analogowych (FSX/FXO) z gęstością minimum 4 porty FXO
lub 4 porty FXS na moduł; d. z dyskiem twardym SSD e. przełącznika Ethernet (funkcje L2 i L3), oczekiwana liczba portów przełącznika nie
może być mniejsza niż 8 dla jednego modułu. Porty przełącznika muszą być dostępne również w wersji z zasilaniem PoE;
f. umożliwiającym komunikację po sieci komórkowej w technologii 3G/4G (LTE); g. z portem VDSL2 / ADSL2+ over POTS; h. z portem VDSL2 / ADSL2+ over POTS / Annex M; i. z portem VDSL2 / ADSL2+ over ISDN; j. z układami DSP;
9. Sloty urządzenia przewidziane pod rozbudowę o moduł z układami DSP muszą mieć możliwość obsadzenia modułami:
a. gęstości nie mniejszej niż 256 kanałów b. Pozwalającymi na dynamiczne alokowanie DSP do różnych zadań (osługa
interfejsów głosowych, trancoding, conferencing). c. Obsługującymi kodeki:
i. G.711 ii. ClearChannel iii. G.729a iv. G.729ab v. G.726 vi. G.722 vii. G.728 viii. G.729 ix. G.729b x. Internet Low Bit xi. Funkcjonalność FaxRelay xii. Funkcjonalność ModemRelay
d. Obsługującymi funkcjonalność transkodowania pomiędzy różnymi typami kodeków
17/93
e. Obsługującymi kompresję, wykrywanie aktywności głosowej, zarządzenie jitterem i funkcje kasowanie echa (co najmniej 128 ms). Funkcja kasowania echa musi być zgodna ze standardem ITU-T G.168
f. Obsługującymi szyfrowanie transmisji głosu z wykorzystaniem SRTP.
Oczekiwana wydajność 10. Urządzenie musi oferować dla pakietów unicast IPv4 o długości 64bajtów przepustowość
rzędu 100Mbps; 11. Urządzenie musi oferować możliwość zwiększenia wydajności do co najmniej 300Mbps dla
pakietów unicast IPv4 o długości 64bajtów bez rozbudowy o dodatkowe moduły sprzętowe – np. przez licencyjnie przez odblokowanie wbudowanych zasobów sprzętowych lub jako większa wydajność początkowa routera;
12. Urządzenie musi oferować dla pakietów IMIX przy włączonych usługach szyfrowania z IPSec, szczegółowej analizy aplikacji w warstwie 7, kontroli jakości usługi QoS o przepustowości minimum 90Mbps.
Oprogramowanie/funkcjonalność 13. Musi posiadać obsługę protokołów routingu IP BGPv4, OSPFv3, IS-IS, RIPv2 oraz routingu
multicastowego PIM (Sparse i SSM) oraz routing statyczny; 14. Protokół BGP musi posiadać obsługę 4 bajtowych ASN; 15. Musi posiadać wsparcie dla mechanizmów związanych z obsługą ruchu multicast: IGMP
v3, IGMP Snooping, PIMv2, Bi-directional PIM; 16. Musi posiadać obsługę protokołu IGMPv3 17. Musi obsługiwać mechanizm Unicast Reverse Path Forwarding (uRPF) 18. Musi obsługiwać tzw. routing między sieciami VLAN w oparciu o trunking 802.1Q 19. Musi obsługiwać IPv6 w tym ICMP dla IPv6 20. Musi zapewniać obsługę list kontroli dostępu w oparciu o adresy IP źródłowe i docelowe,
protokoły IP, porty TCP/UDP, opcje IP, flagi TCP, oraz o wartości TTL 21. Musi zapewniać mechanizmy korelacji zdarzeń związanych z filtracją za pomocą list
kontroli dostępu dla syslog (np. za pomocą etykiety przypisanej do określonego wpisu na listach kontroli dostępu lub skrót MD5 generowany przez router)
22. Musi posiadać obsługę NAT dla ruchu IP unicast oraz PAT dla ruchu IP unicast 23. Mechanizm NAT musi zapewniać wsparcie dla H.245 24. Musi posiadać wsparcie dla protokołów WCCP i WCCPv2 25. Musi posiadać obsługę wirtualnych instancji routingu (VRF) - co najmniej 300 instancji VRF 26. Musi posiadać obsługę mechanizmu DiffServ 27. Musi mieć możliwość tworzenia klas ruchu oraz oznaczanie (Marking), klasyfikowanie
i obsługę ruchu (Policing, Shaping) w oparciu o klasę ruchu. 28. Musi zapewniać obsługę mechanizmów kolejkowania ruchu:
a. z obsługą kolejki absolutnego priorytetu b. ze statyczną alokacją pasma dla typu ruchu c. WFQ
29. Musi obsługiwać mechanizm WRED 30. Musi obsługiwać mechanizm Traffic Shaping 31. Musi obsługiwać mechanizm ograniczania pasma dla określonego typu ruchu 32. Musi obsługiwać protokół GRE oraz zapewniać mechanizm honorowania IP Precendence
dla ruchu tunelowanego. 33. Musi obsługiwać protokół NTP 34. Musi obsługiwać DHCP w zakresie Client, Server 35. Musi posiadać obsługę tzw. First Hop Redundancy Protocol (takiego jak HSRP, GLBP,
VRRP lub równoważnego) 36. Musi posiadać obsługę mechanizmów uwierzytelniania, autoryzacji i rozliczania (AAA)
z wykorzystaniem protokołów RADIUS lub TACACS+ 37. Musi umożliwiać rozbudowę (poprzez odpowiednie licencje) o funkcjonalność Bidirectional
Forwarding Detection (BFD) lub równoważna: a. Funkcjonalność BFD musi być dostępna dla intefejsów skonfigurowanych do
współpracy z VRF b. Musi obsługiwać funkcjonalność BFD Echo Mode lub równoważna c. Funkcjonalność BFD (lub równoważna) musi posiadać wsparcie dla protokołów
BGP, OSPF, IS-IS, routingu statycznego oraz HSRP lub równoważne 38. Musi posiadać funkcjonalność pozwalającą na monitorowanie zdarzeń systemowych
i generowania akcji zdefiniowanych przez użytkownika w oparciu o język skryptowy Funkcjonalność języka skryptowego musi pozwalać monitorować zdarzenia związane
18/93
z konfiguracją poprzez linię poleceń, podsystem SYSLOG, podsystem związany z wymianą modułów w czasie pracy urządzenia, podsystem sprzętowych zegarów, podsystem liczników systemowych
39. Funkcjonalność języka skryptowego musi pozwalać na generowanie akcji: a. Wykonanie komendy z poziomu linii poleceń urządzenia b. Wysłanie krótkiej wiadomości tekstowej poprzez system poczty elektronicznej c. Wykonanie skryptu d. Wygenerowanie SNMP trap e. Ustawienie lub modyfikacja określonego licznika systemowego
40. Musi posiadać funkcjonalność PPPoE 41. Musi umożliwiać rozbudowę (poprzez odpowiednie licencje) o funkcjonalność
automatycznej optymalizacji routingu. Funkcjonalność musi posiadać wsparcie dla: a. Optymalizacji ruchu przychodzącego z wykorzystaniem rozgłaszania informacji
BGP do zewnętrznych routerów (BGP external peers) b. Optymalizacji ruchu głosowego c. Optymalizacji w oparciu o informację z protokołów warstw wyższych (protokoły
i porty UDP/TCP) 42. Musi umożliwiać rozbudowę (poprzez odpowiednie licencje) o wsparcie dla Layer-2
Tunneling Protocol Version 3. 43. Urządzenie musi posiadać możliwość integracji z centralnym systemem zarządzania,
monitorowania, konfiguracji jak również troubleshootingu. 44. Urządzenie musi umożliwiać obsługę przez zcentralizowany system zarządzania w celu
zmiany wersji systemu operacyjnego. 45. Musi mieć możliwość rozbudowy licencyjnej o następujące funkcjonalności MPLS (nie
dopuszcza się wymiany oprogramowania w celu realizacji funkcjonalności): a. Egress LER b. Ingress LER c. MPLS over GRE d. QoS dla MPLS e. MPLS Traffic Engineering f. MPLS VPN g. Multicast dla MPLS VPN h. Any Transport over MPLS Graceful Restart
46. Urządzenie musi umożliwiać pozwalać na rozbudowę w oparciu o dodatkowe licencje o funkcjonalność akceleratora ruchu sieciowego akres funkcjonalny funkcji akceleratora sieciowego musi obejmować:
a. Kompresja ruchu – np. algorytmem LZ; b. Optymalizacja połączeń TCP c. Deduplikacja ruchu sieciowego d. Wsparcie dla obsługi minimum 750 sesji TCP e. Musi współpracować z centralnym systemem zarządzania optymalizatorami ruchu
sieciowego oferującym centralny punkt konfiguracji, monitorowania w czasie rzeczywistym, zarządzania błędami i raportowania
f. Wsparcie dla akceleracji poniższych aplikacji: i. CIFS (SMBv2) ii. NFSv3 iii. Exchange 2003/2007/2010 (MAPI) iv. Encrypted MAPI v. Microsoft SQL vi. Oracle vii. SSL viii. HTTP ix. Microsoft Office 365
47. Musi mieć możliwość rozbudowy licencyjnej o następujące funkcjonalności bezpieczeństwa
a. Zone Based Firewall (ZBF), b. IPSec VPN, c. Dynamic Multipoint VPN (DMVPN) d. FlexVPN lub odpowiednik e. Wsparcie dla NG Encryption (Suite B)
48. Musi posiadać funkcjonalności w zakresie VoIP:
19/93
a. funkcjonalność procesowania połączeń telefonii IP (funkcja serwera zestawiającego połączenia) dla co najmniej 100 abonentów (na obecnym etapie nie jest wymagane dostarczenie tej funkcjonalności ale Zamawiający zastrzega możliwość rozbudowy w przyszłości w oparciu o dodatkowe licencje)
b. funkcjonalność podtrzymywania komunikacji telefonów IP przy utracie komunikacji z centralnym systemem procesowania połączeń dla co najmniej 25 abonentów z możliwością rozbudowy do co najmniej 100.
c. funkcjonalność sondy (nadajnik i odbiornik) do mierzenia parametrów ruchu dla protokołów IP oraz VoIP (pomiar jakości poprzez symulację kodeków VoIP i mierzenie parametrów opóźnienia „tam i z powrotem” (roundtrip), jitter i utraty pakietów),
d. możliwość pracy jako brama VoIP/PSTN z wykorzystaniem interfejsów PRI/BRI lub analogowych. Brama musi mieć możliwość pracy w sposób niezależny lub sterowana przez system centralny procesowania połączeń.
e. Możliwość pracy jako tak zwany Session Border Controller. Urządzenie musi być dostarczone z niezbędnymi licencjami do uruchomienia co najmniej 25 sesji.
f. Możliwość instalacji modułów DSP o dużej gęstości (do 1000 DSP)
Zarządzanie i konfiguracja 49. Musi być zarządzalne za pomocą SNMPv3 50. Musi mieć możliwość eksportu statystyk ruchowych za pomocą protokołu Neftflow/JPFlow
lub równoważnego 51. Musi być konfigurowalne za pomocą interfejsu linii poleceń (ang. Command Line Interface
– CLI) jak również interfejsu graficznego (GUI) 52. Plik konfiguracyjny urządzenia (w szczególności plik konfiguracji parametrów routingu)
musi pozwalać na edycję w trybie off-line, tzn. musi być możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym komputerze. Po zapisaniu konfiguracji w pamięci nieulotnej powinno być możliwe uruchomienie urządzenia z nowa konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania dowolnej ilości plików konfiguracyjnych. Zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się częściowych restartów urządzenia po dokonaniu zmian.
53. Musi umożliwiać konfigurację zgodnie z dokumentami z zaleceniami do konfiguracji routerów (Security Guide, Hardening Guide) wydawanymi przez NATO NCI Agency.
Obudowa 54. Musi być wykonana z metalu. 55. Musi mieć możliwość montażu w szafie 19” i musi zostać dostarczone z umożliwiającym to
zestawem montażowym.
Zasilanie 56. Urządzenie musi mieć możliwość zasilania ze źródeł zmiennoprądowych 230V (zasilacze
AC) 57. Urządzenie musi posiadać wbudowany zasilacz umożliwiający zasilanie prądem
przemiennym 230V. Nie dopuszcza się stosowania zewnętrznych zasilaczy 58. Urządzenie musi umożliwiać doprowadzenie zasilania do portów Ethernet (tzw. inline-
power) - w modułach sieciowych dostępnych do urządzenia. Na tym etapie Zamawiający nie wymaga dostarczenia takie zasilacza ale pozostawia sobie możliwość zamówienia w przyszłości.
Wyposażenie 59. Urządzenie musi być wyposażone w minimum 3 interfejsy Gigabit Ethernet 10/100/1000
dla realizacji połączenia do sieci LAN, w tym minimum dwa interfejsy muszą być wbudowane
60. Jeden z interfejsów opisanych powyżej muszą mieć możliwość pracy w trybie „dual-physical” z portem RJ45 lub gigabitowym portem światłowodowym definiowanym przez moduł GBIC lub SFP.
61. Urządzenie musi być wyposażone w minimum 4GB pamięci Flash i mieć możliwość rozbudowy do co najmniej 16GB
62. Urządzenie musi być wyposażone w minimum 4GB pamięci RAM z możliwością rozbudowy do co najmniej 16GB
63. Urządzenie musi być wyposażone w minimum jeden port USB. Port musi pozwalać na podłączenie zewnętrznych pamięci FLASH w celu przechowywania obrazów systemu operacyjnego, plików konfiguracyjnych lub certyfikatów elektronicznych
64. Musi posiadać port konsoli szeregowej USB.
20/93
65. Urządzenie musi być dostarczone z kablami pozwalającymi na podłączenie zarówno konsoli USB, jak również kablami zasilającymi.
66. Musi być dostarczony z co najmniej jedną kartą głosową z co najmniej jednym portem E1 67. Musi być dostarczony z co najmniej 32 procesorami DSP do obsługi połączeń głosowych.
B.6 Router typu U AXV.
Jako urządzenie referencyjne „Router typu U AXV” spełniające wymagania opisane w punktach
od 1 do 73 Zamawiający określa zestaw sprzętu, oprogramowania i licencji przedstawiony w
poniższej tabeli:
Numer produktu Opis Ilość
ISR4331-AXV/K9 Cisco ISR 4331 AXV Bundle,PVDM4-32 w/APP,SEC,UC lic,CUBE-10
1
SL-4330-IPB-K9 IP Base License for Cisco ISR 4330 Series 1
SL-4330-APP-K9 AppX License for Cisco ISR 4330 Series 1
SL-4330-UC-K9 Unified Communication License for Cisco ISR 4330 Series 1
GLC-SX-MMD 1000BASE-SX SFP transceiver module, MMF, 850nm, DOM 1
PWR-4330-AC AC Power Supply for Cisco ISR 4330 1
CAB-ACE AC Power Cord (Europe), C13, CEE 7, 1.5M 1
NIM-BLANK Blank faceplate for NIM slot on Cisco ISR 4400 2
SM-S-BLANK Removable faceplate for SM slot on Cisco 2900,3900,4400 ISR
1
MEM-4300-4G 4G DRAM (2G+2G) for Cisco ISR 4330, 4350 1
MEM-FLSH-4G 4G Flash Memory for Cisco ISR 4300 (Soldered on motherboard)
1
ISRWAAS-RTU-750 ISRWAAS 750 conns RTU for ISR4300 series 1
VWAAS-RTU-1300 VWAAS 1300 conns RTU for UCS-E on single ISR only 1
SL-4330-SEC-K9 Security License for Cisco ISR 4330 Series 1
FL-CUBEE-5 Unified Border Element Enterprise License - 5 sessions 2
SISR4300UK9-313S Cisco ISR 4300 Series IOS XE Universal 1
FL-4330-HSEC-K9 U.S. Export Restriction Compliance license for 4330 series 1
PVDM4-32U64 PVDM4 32-channel to 64-channel factory upgrade 1
CAB-CONSOLE-USB Console Cable 6 ft with USB Type A and mini-B 1
FL-SRST Cisco Survivable Remote Site Telephony License 1
FL-CME-SRST-25 Communication Manager Express or SRST - 25 seat license 1
FL-CUBEE-25 Unified Border Element Enterprise License - 25 sessions 1
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
Rodzaj urządzenia 1. Musi być urządzeniem pełniącym rolę wielousługowego routera modularnego; 2. Musi mieć możliwość doposażenia o funkcjonalność umożliwiającą optymalizację łączy
WAN z wykorzystaniem lokalnej pamięci masowej (np. dysku HDD lub SSD) do utrzymywania kopii obiektów przesyłanych przez łącze WAN;
3. Musi mieć możliwość doposażenia w moduły cyfrowej centrali telefonicznej dla telefonii IP wraz z możliwością zmiany kodowania i manipulacji strumieniami głosowymi;
4. Musi mieć możliwość doposażenia o funkcjonalność IDS/IPS; Architektura
5. Musi pozwalać na instalację co najmniej: a. jednego modułu rozszerzeń takich jak moduły przełącznika, serwera b. 2 kart sieciowych z interfejsami z możliwością wyłączenia modułu w celu
oszczędności energii c. 1 wewnętrznego modułu DSP z możliwością wyłączenia modułu w celu
oszczędności energii 6. Musi posiadać możliwość bezpośredniej komunikacji pomiędzy modułami z pominięciem
głównego procesora jeśli ruch sieciowy nie jest skierowany do routera. 7. Musi posiadać wszystkie interfejsy „aktywne”. Nie dopuszcza się stosowania kart,
w których dla aktywacji interfejsów potrzebne będą dodatkowe licencje lub klucze
21/93
aktywacyjne i konieczne wniesienie opłat licencyjnych. Np. niedopuszczalne jest stosowanie karty 4-portowej gdzie aktywne są 2 porty, a dla uruchomienia pozostałych konieczne jest wpisanie kodu, który uzyskuje się przez wykupienie licencji na użytkowanie pozostałych portów.
8. Sloty urządzenia przewidziane pod rozbudowę muszą mieć możliwość obsadzenia modułami:
a. z cyfrowymi interfejsem T1/E1 dla ruchu głosowego lub ruchu typu channelized z gęstością interfejsów nie mniejszą niż 4 portów T1/E1;
b. z interfejsami szeregowymi WAN, w liczbie min. 4 porty na moduł; c. interfejsów głosowych analogowych (FSX/FXO) z gęstością minimum 4 porty FXO
lub 4 porty FXS na moduł; d. z dyskiem twardym SSD e. przełącznika Ethernet (funkcje L2 i L3), oczekiwana liczba portów przełącznika nie
może być mniejsza niż 8 dla jednego modułu. Porty przełącznika muszą być dostępne również w wersji z zasilaniem PoE;
f. umożliwiającym komunikację po sieci komórkowej w technologii 3G/4G (LTE); g. z portem VDSL2 / ADSL2+ over POTS; h. z portem VDSL2 / ADSL2+ over POTS / Annex M; i. z portem VDSL2 / ADSL2+ over ISDN; j. z układami DSP;
9. Sloty urządzenia przewidziane pod rozbudowę o moduł z układami DSP muszą mieć możliwość obsadzenia modułami:
a. gęstości nie mniejszej niż 256 kanałów b. Pozwalającymi na dynamiczne alokowanie DSP do różnych zadań (osługa
interfejsów głosowych, trancoding, conferencing). c. Obsługującymi kodeki:
i. G.711 ii. ClearChannel iii. G.729a iv. G.729ab v. G.726 vi. G.722 vii. G.728 viii. G.729 ix. G.729b x. Internet Low Bit xi. Funkcjonalność FaxRelay xii. Funkcjonalność ModemRelay
d. Obsługującymi funkcjonalność transkodowania pomiędzy różnymi typami kodeków e. Obsługującymi kompresję, wykrywanie aktywności głosowej, zarządzenie jitterem
i funkcje kasowanie echa (co najmniej 128 ms). Funkcja kasowania echa musi być zgodna ze standardem ITU-T G.168
f. Obsługującymi szyfrowanie transmisji głosu z wykorzystaniem SRTP.
Oczekiwana wydajność 10. Urządzenie musi oferować dla pakietów unicast IPv4 o długości 64bajtów przepustowość
rzędu 100Mbps; 11. Urządzenie musi oferować możliwość zwiększenia wydajności do co najmniej 300Mbps dla
pakietów unicast IPv4 o długości 64bajtów bez rozbudowy o dodatkowe moduły sprzętowe – np. przez licencyjnie przez odblokowanie wbudowanych zasobów sprzętowych lub jako większa wydajność początkowa routera;
12. Urządzenie musi oferować dla pakietów IMIX przy włączonych usługach szyfrowania z IPSec, szczegółowej analizy aplikacji w warstwie 7, kontroli jakości usługi QoS o przepustowości minimum 90Mbps.
Oprogramowanie/funkcjonalność 13. Musi posiadać obsługę protokołów routingu IP BGPv4, OSPFv3, IS-IS, RIPv2 oraz routingu
multicastowego PIM (Sparse i SSM) oraz routing statyczny; 14. Protokół BGP musi posiadać obsługę 4 bajtowych ASN; 15. Musi posiadać wsparcie dla mechanizmów związanych z obsługą ruchu multicast: IGMP
v3, IGMP Snooping, PIMv2, Bi-directional PIM; 16. Musi posiadać obsługę protokołu IGMPv3 17. Musi obsługiwać mechanizm Unicast Reverse Path Forwarding (uRPF)
22/93
18. Musi obsługiwać tzw. routing między sieciami VLAN w oparciu o trunking 802.1Q 19. Musi obsługiwać IPv6 w tym ICMP dla IPv6 20. Musi zapewniać obsługę list kontroli dostępu w oparciu o adresy IP źródłowe i docelowe,
protokoły IP, porty TCP/UDP, opcje IP, flagi TCP, oraz o wartości TTL 21. Musi zapewniać mechanizmy korelacji zdarzeń związanych z filtracją za pomocą list
kontroli dostępu dla syslog (np. za pomocą etykiety przypisanej do określonego wpisu na listach kontroli dostępu lub skrót MD5 generowany przez router)
22. Musi posiadać obsługę NAT dla ruchu IP unicast oraz PAT dla ruchu IP unicast 23. Mechanizm NAT musi zapewniać wsparcie dla H.245 24. Musi posiadać wsparcie dla protokołów WCCP i WCCPv2 25. Musi posiadać obsługę wirtualnych instancji routingu (VRF) - co najmniej 300 instancji VRF 26. Musi posiadać obsługę mechanizmu DiffServ 27. Musi mieć możliwość tworzenia klas ruchu oraz oznaczanie (Marking), klasyfikowanie
i obsługę ruchu (Policing, Shaping) w oparciu o klasę ruchu. 28. Musi zapewniać obsługę mechanizmów kolejkowania ruchu:
a. z obsługą kolejki absolutnego priorytetu b. ze statyczną alokacją pasma dla typu ruchu c. WFQ
29. Musi obsługiwać mechanizm WRED 30. Musi obsługiwać mechanizm Traffic Shaping 31. Musi obsługiwać mechanizm ograniczania pasma dla określonego typu ruchu 32. Musi obsługiwać protokół GRE oraz zapewniać mechanizm honorowania IP Precendence
dla ruchu tunelowanego. 33. Musi obsługiwać protokół NTP 34. Musi obsługiwać DHCP w zakresie Client, Server 35. Musi posiadać obsługę tzw. First Hop Redundancy Protocol (takiego jak HSRP, GLBP,
VRRP lub równoważnego) 36. Musi posiadać obsługę mechanizmów uwierzytelniania, autoryzacji i rozliczania (AAA)
z wykorzystaniem protokołów RADIUS lub TACACS+ 37. Musi obsługiwać funkcjonalność Bidirectional Forwarding Detection (BFD) lub równoważna 38. Funkcjonalność BFD musi być dostępna dla intefejsów skonfigurowanych do współpracy
z VRF 39. Musi obsługiwać funkcjonalność BFD Echo Mode lub równoważna 40. Funkcjonalność BFD (lub równoważna) musi posiadać wsparcie dla protokołów BGP,
OSPF, IS-IS, routingu statycznego oraz HSRP lub równoważne 41. Musi posiadać funkcjonalność pozwalającą na monitorowanie zdarzeń systemowych
i generowania akcji zdefiniowanych przez użytkownika w oparciu o język skryptowy Funkcjonalność języka skryptowego musi pozwalać monitorować zdarzenia związane z konfiguracją poprzez linię poleceń, podsystem SYSLOG, podsystem związany z wymianą modułów w czasie pracy urządzenia, podsystem sprzętowych zegarów, podsystem liczników systemowych
42. Funkcjonalność języka skryptowego musi pozwalać na generowanie akcji: a. Wykonanie komendy z poziomu linii poleceń urządzenia b. Wysłanie krótkiej wiadomości tekstowej poprzez system poczty elektronicznej c. Wykonanie skryptu d. Wygenerowanie SNMP trap e. Ustawienie lub modyfikacja określonego licznika systemowego
43. Musi posiadać funkcjonalność PPPoE 44. Musi posiadać funkcjonalność automatycznej optymalizacji routingu. Funkcjonalność musi
posiadać wsparcie dla: a. Optymalizacji ruchu przychodzącego z wykorzystaniem rozgłaszania informacji
BGP do zewnętrznych routerów (BGP external peers) b. Optymalizacji ruchu głosowego c. Optymalizacji w oparciu o informację z protokołów warstw wyższych (protokoły
i porty UDP/TCP) 45. Musi posiadać wsparcie dla Layer-2 Tunneling Protocol Version 3 46. Urządzenie musi posiadać możliwość integracji z centralnym systemem zarządzania,
monitorowania, konfiguracji jak również troubleshootingu 47. Urządzenie musi umożliwiać obsługę przez zcentralizowany system zarządzania w celu
zmiany wersji systemu operacyjnego. 48. Musi posiadać funkcjonalności MPLS:
a. Egress LER
23/93
b. Ingress LER c. MPLS over GRE d. QoS dla MPLS e. MPLS Traffic Engineering f. MPLS VPN g. Multicast dla MPLS VPN h. Any Transport over MPLS Graceful Restart
49. Urządzenie musi posiadać funkcjonalność akceleratora ruchu sieciowego. Zakres funkcjonalny funkcji akceleratora sieciowego musi obejmować:
a. Kompresja ruchu – np. algorytmem LZ; b. Optymalizacja połączeń TCP c. Deduplikacja ruchu sieciowego d. Wsparcie dla obsługi minimum 750 sesji TCP e. Musi współpracować z centralnym systemem zarządzania optymalizatorami ruchu
sieciowego oferującym centralny punkt konfiguracji, monitorowania w czasie rzeczywistym, zarządzania błędami i raportowania
f. Wsparcie dla akceleracji poniższych aplikacji: i. CIFS (SMBv2) ii. NFSv3 iii. Exchange 2003/2007/2010 (MAPI) iv. Encrypted MAPI v. Microsoft SQL vi. Oracle vii. SSL viii. HTTP ix. Microsoft Office 365
50. Musi oferować zaawansowane funkcjonalności bezpieczeństwa a. Zone Based Firewall (ZBF), b. IPSec VPN, c. Dynamic Multipoint VPN (DMVPN) d. FlexVPN lub odpowiednik e. Wsparcie dla NG Encryption (Suite B)
51. Musi mieć funkcjonalności w zakresie VoIP (nie dopuszcza się wymiany oprogramowania w celu realizacji funkcjonalności):
a. funkcjonalność procesowania połączeń telefonii IP (funkcja serwera zestawiającego połączenia) dla co najmniej 100 abonentów (na obecnym etapie nie jest wymagane dostarczenie tej funkcjonalności ale Zamawiający zastrzega możliwość rozbudowy w przyszłości w oparciu o dodatkowe licencje),
b. funkcjonalność podtrzymywania komunikacji telefonów IP przy utracie komunikacji z centralnym systemem procesowania połączeń dla co najmniej 25 abonentów z możliwością rozbudowy do co najmniej 100
c. funkcjonalność sondy (nadajnik i odbiornik) do mierzenia parametrów ruchu dla protokołów IP oraz VoIP (pomiar jakości poprzez symulację kodeków VoIP i mierzenie parametrów opóźnienia „tam i z powrotem” (roundtrip), jitter i utraty pakietów),
d. możliwość pracy jako brama VoIP/PSTN z wykorzystaniem interfejsów PRI/BRI lub analogowych. Brama musi mieć możliwość pracy w sposób niezależny lub sterowana przez system centralny procesowania połączeń.
e. Możliwość pracy jako tak zwany Session Border Controller. Urządzenie musi być dostarczone z niezbędnymi licencjami do uruchomienia co najmniej 30 sesji.
f. Możliwość instalacji modułów DSP o dużej gęstości (do 1000 DSP).
Zarządzanie i konfiguracja 52. Musi być zarządzalne za pomocą SNMPv3 53. Musi mieć możliwość eksportu statystyk ruchowych za pomocą protokołu Neftflow/JPFlow
lub równoważnego 54. Musi być konfigurowalne za pomocą interfejsu linii poleceń (ang. Command Line Interface
– CLI) jak również interfejsu graficznego (GUI) 55. Plik konfiguracyjny urządzenia (w szczególności plik konfiguracji parametrów routingu)
musi pozwalać na edycję w trybie off-line, tzn. musi być możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym komputerze. Po zapisaniu konfiguracji w pamięci nieulotnej powinno być możliwe uruchomienie urządzenia z nowa konfiguracją.
24/93
W pamięci nieulotnej musi być możliwość przechowywania dowolnej ilości plików konfiguracyjnych. Zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się częściowych restartów urządzenia po dokonaniu zmian.
56. Musi umożliwiać konfigurację zgodnie z dokumentami z zaleceniami do konfiguracji routerów (Security Guide, Hardening Guide) wydawanymi przez NATO NCI Agency.
Obudowa 57. Musi być wykonana z metalu. 58. Musi mieć możliwość montażu w szafie 19” i musi zostać dostarczone z umożliwiającym to
zestawem montażowym.
Zasilanie 59. Urządzenie musi mieć możliwość zasilania ze źródeł zmiennoprądowych 230V (zasilacze
AC) 60. Urządzenie musi posiadać wbudowany zasilacz umożliwiający zasilanie prądem
przemiennym 230V. Nie dopuszcza się stosowania zewnętrznych zasilaczy
61. Urządzenie musi umożliwiać doprowadzenie zasilania do portów Ethernet (tzw. inline-power) - w modułach sieciowych dostępnych do urządzenia. Na tym etapie Zamawiający nie wymaga dostarczenia takie zasilacza ale pozostawia sobie możliwość zamówienia w przyszłości.
Wyposażenie 62. Urządzenie musi być wyposażone w minimum 3 interfejsy Gigabit Ethernet 10/100/1000
dla realizacji połączenia do sieci LAN, w tym minimum dwa interfejsy muszą być wbudowane
63. Jeden z interfejsów opisanych powyżej muszą mieć możliwość pracy w trybie „dual-physical” z portem RJ45 lub gigabitowym portem światłowodowym definiowanym przez moduł GBIC lub SFP.
64. Router musi być dostarczony z modułem 1000GBASE-SX. 65. Urządzenie musi być wyposażone w minimum 4GB pamięci Flash i mieć możliwość
rozbudowy do co najmniej 16GB 66. Urządzenie musi być wyposażone w minimum 4GB pamięci RAM z możliwością
rozbudowy do co najmniej 16GB 67. Urządzenie musi być wyposażone w minimum jeden port USB. Port musi pozwalać na
podłączenie zewnętrznych pamięci FLASH w celu przechowywania obrazów systemu operacyjnego, plików konfiguracyjnych lub certyfikatów elektronicznych
68. Musi posiadać port konsoli szeregowej USB. 69. Urządzenie musi być dostarczone z kablami pozwalającymi na podłączenie zarówno
konsoli USB, jak również kablami zasilającymi. 70. Musi być dostarczony z licencjami niezbędnymi do uruchomienia szyfrowania i zestawiania
tuneli IPSec w ilości większej niż 225, z przepustowością większą niż 85Mbps 71. Musi być dostarczony z co najmniej 64 procesorami DSP do obsługi połączeń głosowych 72. Musi być dostarczone z licencjami pozwalającymi na podtrzymanie komunikacji telefonii IP
dla co najmniej 25 terminali telefonii IP i obsługiwać tryb SRST. 73. Musi być dostarczone z licencjami pozwalającymi na realizację funkcji VoIP tzw. Border
Element dla co najmniej 30 sesji.
B.7 Karta sieciowa typu IP A.
Jako urządzenie referencyjne „Karta sieciowa typu IP A” spełniające wymagania opisane w
punktach od 1 do 11 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Numer produktu Opis Ilość
NIM-2GE-CU-SFP 2-port GE WAN NIM, dual-mode RJ45 & SFP 1
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
1. Karta musi być wyposażone w minimum 2 interfejsy wbudowane Gigabit Ethernet 10/100/1000 dla realizacji połączenia do sieci WAN/LAN. Funkcjonalność musi być analogiczna jak zainstalowanych na płycie głównej interfejsów routera.
25/93
2. Interfejsy opisane powyżej muszą mieć możliwość pracy w trybie „dual-physical” z portem RJ45 i gigabitowym portem światłowodowym definiowanym przez moduł SFP.
3. Musi obsługiwać co najmniej następujące typy wkładek: a. 1000BASE-SX b. 1000BASE-LX c. 1000BASE-ZX d. 1000BASE-T e. 1000BASE-BX f. 100BASE-FX g. 100BASE-EX h. 100BASE-ZX i. CWDM – 1470,1490,1510,1530,1550,1550,1570,1590 i 1610nm j. DWDM - 1530.33, 1531.12, 1531.90, 1532.68, 1533.46, 1534.25, 1535.04,
1535.82, 1536.61, 1537.39, 1538.19, 1538.98, 1539.34 ,1539.77, 1540.56, 1542.14, 1542.94 nm (100GHz ITU grid)
4. Musi obsługiwać następujące funkcjonalności Ethernet i VLAN: a. Gigabit Ethernet IEEE 802.3z, IEEE 802.3x, and IEEE 802.3ab b. IEEE802.3 oraz IEEE802.2 Service Advertising Protocol (SAP), c. IEEE802.3 oraz IEEE802.2 and Subnetwork Access Protocol (SNAP), d. IEEE 802.1p priority e. IEEE 802.1Q VLAN tagging, f. Flow control (IEEE 802.3x) g. Gigabit EtherChannel, h. DOM: SFF-8472 i. Unikalny adres MAC (NIE współdzielony z innymi interfejsami rotutera), j. Ramki jumbo o wielkości do 9216 bajtów.
5. Funkcjonalności zarządzania siecią: a. wsparcie dla Simple Network Management Protocol (SNMP),
b. Remote Monitoring (RMON) c. wsparcie dla JFlow lub NetFlow albo odpowiednika.
6. Funkcje QoS: a. obsługa Weighted Random Early Detection (WRED), b. możliwość ustawienia parametru Precedence i jego mapowania (802.1p), c. obsługa Committed access rate (CAR). d. Hierarchiczny QoS
7. Funkcje bezpieczeństwa: a. obsługa list kontroli dostępu i rozszerzonych list kontroli dostępu, b. obsługa filtracji w oparciu o adresy MAC.
8. Funkcje warstwy 3: a. wsparcie dla Internet Group Management Protocol (IGMP), b. obsługa funkcji podwyższonej dostępności Hot Standby Router Protocol (HSRP),
Virtual Router Redundancy Protocol (VRRP), Gateway Load Balancing Protocol (GLBP) lub odpowiedników,
c. wsparcie dla MPLS, d. obsługa tuneli GRE, e. obsługa IPv6, f. wsparcie dla IP Security (IPSec), g. wsparcie dla Layer 2 Tunneling Protocol Version 3 (L2TPv3), h. wsparcie dla Dynamic Host Configuration Protocol (DHCP) w zakresie
funkcjonalności Client i Server, i. wsparcie dla Network Address Translation (NAT), j. wsparcie dla Generic Traffic Shaping (GTS).
9. Musi obsługiwać wymianę wkładek SFP bez wyłączania urządzenia (hot insertion and removal) 10. Musi być możliwość wyświetlenia typu wkładki i medium transmisyjnego z poziomu CLI 11. Karta musi współpracować z routerami typu IP B. Karty typu IP A i routery typu IP B muszą
pochodzić od jednego producenta i z jednego typoszeregu urządzeń. Nie dopuszcza się stosowania zamienników.
26/93
B.8 Karta sieciowa typu IP C.
Jako urządzenie referencyjne „Karta sieciowa typu IP C” spełniające wymagania opisane w
punktach od 1 do 10 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Numer produktu Opis Ilość
EHWIC-1GE-SFP-CU EHWIC 1 port dual mode SFP(100M/1G) or E(10M/100M/1G) 1
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
1. 1 portowa karta interfejsu Gigabit Ethernet combo działający zamiennie jako Gigabit Ethernet 10/100/1000 lub port SFP z możliwością konfiguracji z funkcjami warstwy trzeciej (minimum IP). Funkcjonalność musi być analogiczna jak zainstalowanych na płycie głównej interfejsów routera.
2. Musi obsługiwać co najmniej następujące typy wkładek: a. 1000BASE-SX b. 1000BASE-LX c. 1000BASE-ZX d. 1000BASE-T e. 1000BASE-BX f. 100BASE-FX g. 100BASE-EX h. 100BASE-ZX i. CWDM – 1470,1490,1510,1530,1550,1550,1570,1590 i 1610nm j. DWDM - 1530.33, 1531.12, 1531.90, 1532.68, 1533.47, 1534.25, 1535.04,
1535.82, 1536.61, 1537.40, 1538.19, 1538.98, 1539.77, 1540.56, 1541.35, 1542.14, 1542.94 nm (100GHz ITU grid)
3. Musi obsługiwać następujące funkcjonalności Ethernet i VLAN: a. Gigabit Ethernet IEEE 802.3z, IEEE 802.3x, and IEEE 802.3ab b. IEEE802.3 oraz IEEE802.2 Service Advertising Protocol (SAP), c. IEEE802.3 oraz IEEE802.2 and Subnetwork Access Protocol (SNAP), d. IEEE 802.1p priority e. IEEE 802.1Q VLAN tagging, f. Flow control (IEEE 802.3x) g. Gigabit EtherChannel, h. DOM: SFF-8472 i. Unikalny adres MAC (NIE współdzielony z innymi interfejsami rotutera), j. Ramki jumbo o wielkości do 9216 bajtów.
4. Funkcjonalności zarządzania siecią: a. wsparcie dla Simple Network Management Protocol (SNMP), b. Remote Monitoring (RMON) c. wsparcie dla JFlow lub NetFlow albo odpowiednika.
5. Funkcje QoS: a. obsługa Weighted Random Early Detection (WRED), b. możliwość ustawienia parametru Precedence i jego mapowania (802.1p), c. obsługa Committed access rate (CAR). d. Hierarchiczny QoS
6. Funkcje bezpieczeństwa: a. obsługa list kontroli dostępu i rozszerzonych list kontroli dostępu, b. obsługa filtracji w oparciu o adresy MAC.
7. Funkcje warstwy 3: a. wsparcie dla Internet Group Management Protocol (IGMP), b. obsługa funkcji podwyższonej dostępności Hot Standby Router Protocol
(HSRP), Virtual Router Redundancy Protocol (VRRP), Gateway Load Balancing Protocol (GLBP) lub odpowiedników,
c. wsparcie dla MPLS, d. obsługa tuneli GRE, e. obsługa IPv6, f. wsparcie dla IP Security (IPSec), g. wsparcie dla Layer 2 Tunneling Protocol Version 3 (L2TPv3),
27/93
h. wsparcie dla Dynamic Host Configuration Protocol (DHCP) w zakresie funkcjonalności Client i Server,
i. wsparcie dla Network Address Translation (NAT), j. wsparcie dla Generic Traffic Shaping (GTS).
8. Musi obsługiwać wymianę wkładek SFP bez wyłączania urządzenia (hot insertion and removal)
9. Musi być możliwość wyświetlenia typu wkładki i medium transmisyjnego z poziomu CLI. 10. Karta musi współpracować z eksploatowanymi routerami z serii ISR3945. Karta i routery
muszą pochodzić od jednego producenta i z jednego typoszeregu urządzeń. Nie dopuszcza się stosowania zamienników ze względu na posiadaną gwarancję producenta routerów ISR3945.
B.9 Przełącznik typu M 24C.
Jako urządzenie referencyjne „Przełącznik typu M 24C” spełniające wymagania opisane
w punktach od 1 do 38 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Numer produktu Opis Ilość
WS-C3650-24PD-S Cisco Catalyst 3650 24 Port PoE 2x10G Uplink IP Base 1
CAB-TA-EU Europe AC Type A Power Cable 1
CAB-CONSOLE-USB Console Cable 6 ft with USB Type A and mini-B 1
PWR-C2-640WAC 640W AC Config 2 Power Supply 1
GLC-LH-SMD= 1000BASE-LX/LH SFP transceiver module, MMF/SMF, 1310nm, DOM
2
Materiały eksploatacyjne
Patch-cord UTP min. kat 5e, 2 m (niebieski) 24
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
Rodzaj urządzenia: 1. Przełącznik Gigabit Ethernet wyposażony w 24 porty 10/100/1000BaseT PoE+ (IEEE
802.3at), 2 porty uplink 1Gigabit Ethernet SFP oraz 2 porty uplink 10Gigabit Ethernet SFP+ 2. Porty uplink muszą umożliwiać obsadzenie modułami Gigabit Ethernet SFP/SFP+ (co
najmniej 1000Base-T, 1000Base-SX, 1000Base-LX/LH, 1000Base-EX, 1000Base-ZX, 1000Base-BX-D/U i CWDM) oraz 10Gigabit Ethernet (co najmniej 10GBase-SR, 10GBase-LR, 10GBase-LRM, 10GBase-ER, twinax) zależnie od potrzeb Zamawiającego.
Architektura 3. Urządzenie musi być wyposażone w redundantne i wymienne moduły wentylatorów 4. Urządzenie musi posiadać możliwość instalacji zasilacza redundantnego. Zamawiający nie
dopuszcza stosowania zewnętrznych systemów zasilania redundantnego w celu realizacji tego zadania. Zasilacze muszą być wymienne
5. Zainstalowany zasilacz musi zapewniać minimum 390W dla PoE. 6. Przełącznik musi posiadać możliwość instalacji zasilacza prądu stałego. Wymagane jest, aby
w przełączniku można było jednocześnie instalować zarówno zasilacze prądu zmiennego, jak i stałego. W momencie dostawy przełącznik ma być wyposażony w zasilacz prądu zmiennego 230V.
7. Urządzenie musi wspierać Energy-Efficient Ethernet (EEE) zgodnie z IEEE 802.3az 8. Musi posiadać wsparcie sprzętowe i obsługę standardu IEEE 802.1AE szyfrowania ruchu na
portach dostępowych 9. Przełącznik musi zapewniać możliwość rozbudowy o możliwość łączenia w stos
z zapewnieniem następujących parametrów: a. Przepustowość w ramach stosu minimum 160 Gb/s. b. Minimum 9 urządzeń w stosie. c. Zarządzanie poprzez jeden adres IP d. Możliwość tworzenia połączeń cross-stack Link Aggregation (czyli dla portów należących do
różnych jednostek w stosie) zgodnie z 802.3ad.
Oczekiwana wydajność
28/93
10. Szybkość przełączania zapewniająca pracę z pełną wydajnością wszystkich interfejsów – również dla pakietów 64-bajtowych (przełącznik line-rate)
11. Minimum 2GB pamięci DRAM i 2GB pamięci flash 12. Obsługa minimum
a. 1000 sieci VLAN b. 32.000 adresów MAC c. 24.000 tras IPv4
Oprogramowanie/funkcjonalność 13. Obsługa protokołu NTP 14. Obsługa IGMPv1/2/3 i MLDv1/2 Snooping 15. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem ciągłości pracy
sieci: a. IEEE 802.1w Rapid Spanning Tree b. IEEE 802.1s Multi-Instance Spanning Tree c. Obsługa minimum 128 instancji protokołu STP
16. Obsługa protokołu LLDP i LLDP-MED 17. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym
źródłowym i docelowym adresie MAC 18. Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego 19. Przełącznik musi posiadać możliwość uruchomienia funkcji serwera DHCP 20. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem
bezpieczeństwa sieci: a. Minimum 5 poziomów dostępu administracyjnego poprzez konsolę. Przełącznik musi
umożliwiać zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji (privilege-level)
b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN
c. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania listy ACL
d. Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X
e. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC f. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez
suplikanta 802.1X g. Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym
porcie oraz możliwości jednoczesnego uwierzytelniania na porcie telefonu IP i komputera PC podłączonego za telefonem
h. Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC 5176 i. Minimum 3000 wpisów dla list kontroli dostępu (ACE) j. Funkcjonalność flexible authentication (możliwość wyboru kolejności uwierzytelniania –
802.1X/uwierzytelnianie w oparciu o MAC adres/uwierzytelnianie oparciu o portal www) k. Możliwość wdrożenia uwierzytelniania w oparciu o 802.1X w trybie monitor (niezależnie od
tego czy uwierzytelnianie się powiedzie, czy nie użytkownik ma prawo dostępu do sieci) – jako element sprawdzenia gotowości instalacji na pełne wdrożenie 802.1X
l. Obsługa funkcji Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source Guard m. Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów
RADIUS lub TACACS+ n. Obsługa list kontroli dostępu (ACL), możliwość konfiguracji tzw. czasowych list ACL
(aktywnych w określonych godzinach i dniach tygodnia) o. Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6
FHS) – w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard), ochronę przed dołączeniem nieuprawnionych serwerów DHCPv6 do sieci (DHCPv6 Guard)
21. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Implementacja co najmniej 8 kolejek dla ruchu wyjściowego na każdym porcie dla obsługi
ruchu o różnej klasie obsługi b. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi kolejek c. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem
w stosunku do innych (Strict Priority)
29/93
d. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP
e. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (policing, rate limiting). Możliwość skonfigurowania do 2000 ograniczeń per przełącznik
f. Kontrola sztormów dla ruchu broadcast/multicast/unicast g. Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub
pakiecie IP – poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP 22. Wbudowane reflektometry (TDR) dla portów 10/100/1000 23. Urządzenie musi zapewniać możliwość routingu statycznego i dynamicznego dla IPv4 i IPv6
(minimum protokół RIP). Urządzenie musi zapewniać możliwość rozszerzenia funkcjonalności o wsparcie dla zaawansowanych protokołów routingu IPv4 (OSPF, BGP) i IPv6 (OPSFv3), funkcjonalności Policy-based routingu i routingu multicast (PIM-SM, PIM-SSM) poprzez zakup odpowiedniej licencji lub wersji oprogramowania – bez konieczności dokonywania zmian sprzętowych
24. Obsługa protokołu HSRP/VRRP lub mechanizmu równoważnego dla usług redundancji bramy dla IPv4 i IPv6.
Zarządzanie i konfiguracja 25. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na
kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN)
26. Urządzenie musi zapewniać możliwość tworzenia statystyk ruchu w oparciu o NetFlow/J-Flow lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie może być mniejsza niż 24.000. Wymagane jest sprzętowe wsparcie dla gromadzenia statystyk NetFlow/J-Flow
27. Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.)
28. Dedykowany port Ethernet do zarządzania out-of-band 29. Minimum jeden port USB umożliwiający podłączenie zewnętrznego nośnika danych.
Urządzenie musi mieć możliwość uruchomienia z nośnika danych umieszczonego w porcie USB
30. Urządzenie musi być wyposażone w port konsoli USB 31. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest
możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją
32. Obsługa protokołów SNMPv3, SSHv2, SCP, https, syslog – z wykorzystaniem protokołów IPv4 i IPv6
33. Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie.
34. Musi umożliwiać konfigurację zgodnie z dokumentami z zaleceniami do konfiguracji przełączników (Security Guide, Hardening Guide) wydawanymi przez NATO NCI Agency.
Obudowa 35. Możliwość montażu w szafie rack 19”. Wysokość urządzenia nie może przekraczać 1 RU.
Wyposażenie 36. Urządzenie musi być dostarczone z 2 wkładkami 1000Base-LX/LH SFP spełanijącymi
następujące wymagania: a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń.
Nie dopuszcza się stosowania zamienników b. Musi być przeznaczona do współpracy ze standardowym światłowodem jednomodowym
(9um) i wielodomowym (50um). c. Musi być kompatybilna ze standardem IEEE 802.3z 1000BASE-LX d. Musi pracować dla pasma 1300 nm i oferować zasięg co najmniej 10000 m e. Musi posiadać podwójny konektor LC/PC
37. Musi być wyposażony w kabel konsoli szeregowej USB. Dopuszcza się rozwiązanie równoważne w postaci zestawu: adapter RS232 na USB wraz z kabelm RJ-45 na RS232, przy czym zestaw taki musi być dostarczony z każdym urządzeniem. Zestaw taki musi być objęty wsparciem producenta przełącznika. Do adaptera USB-RS232 muszą być dołączone
30/93
poprawnie funkcjonujące sterowniki dla systemów operacyjnych: Windows (od wersji 7), Linux (dla jądra w wersjach 2.6, 3.X, 4.X) oraz Mac OSX (dla procesorów Intel).
38. Musi być wyposażony w 24 patchcordy UTP kat. 5e o długości 2m koloru niebieskiego.
B.10 Przełącznik typu M 48C
Jako urządzenie referencyjne „Przełącznik typu M 48C” spełniające wymagania opisane w
punktach od 1 do 38 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Numer produktu Opis Ilość
WS-C3650-48FD-S Cisco Catalyst 3650 48 Port Full PoE 2x10G Uplink IP Base 1
CAB-TA-EU Europe AC Type A Power Cable 1
PWR-C2-1025WAC 1025W AC Config 2 Power Supply 1
CAB-CONSOLE-USB Console Cable 6 ft with USB Type A and mini-B 1
GLC-LH-SMD= 1000BASE-LX/LH SFP transceiver module, MMF/SMF, 1310nm, DOM
2
Materiały eksploatacyjne
Patch-cord UTP min. kat 5e, 2 m (niebieski) 48
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
Rodzaj urządzenia: 1. Przełącznik Gigabit Ethernet wyposażony w 48 portów 10/100/1000BaseT PoE+ (IEEE 802.3at)
2 porty uplink 1Gigabit Ethernet SFP oraz 2 porty uplink 10Gigabit Ethernet SFP+ 2. Porty uplink muszą umożliwiać obsadzenie modułami Gigabit Ethernet SFP/SFP+ (co najmniej
1000Base-T, 1000Base-SX, 1000Base-LX/LH, 1000Base-EX, 1000Base-ZX, 1000Base-BX-D/U i CWDM) oraz 10Gigabit Ethernet (co najmniej 10GBase-SR, 10GBase-LR, 10GBase-LRM, 10GBase-ER, twinax) zależnie od potrzeb Zamawiającego.
Architektura 3. Urządzenie musi być wyposażone w redundantne i wymienne moduły wentylatorów 4. Urządzenie musi posiadać możliwość instalacji zasilacza redundantnego. Zamawiający nie
dopuszcza stosowania zewnętrznych systemów zasilania redundantnego w celu realizacji tego zadania. Zasilacze muszą być wymienne
5. Zainstalowany zasilacz musi zapewniać minimum 775W dla PoE. 6. Przełącznik musi posiadać możliwość instalacji zasilacza prądu stałego. Wymagane jest, aby w
przełączniku można było jednocześnie instalować zarówno zasilacze prądu zmiennego, jak i stałego. W momencie dostawy przełącznik ma być wyposażony w zasilacz prądu zmiennego 230V
7. Urządzenie musi wspierać Energy-Efficient Ethernet (EEE) zgodnie z IEEE 802.3az. 8. Musi posiadać wsparcie sprzętowe i obsługę standardu IEEE 802.1AE szyfrowania ruchu na
portach dostępowych 9. Przełącznik musi zapewniać możliwość rozbudowy o możliwość łączenia w stos z
zapewnieniem następujących parametrów: a. Przepustowość w ramach stosu minimum 160 Gb/s b. Minimum 9 urządzeń w stosie. c. Zarządzanie poprzez jeden adres IP d. Możliwość tworzenia połączeń cross-stack Link Aggregation (czyli dla portów należących do
różnych jednostek w stosie) zgodnie z 802.3ad
Oczekiwana wydajność 10. Szybkość przełączania zapewniająca pracę z pełną wydajnością wszystkich interfejsów –
również dla pakietów 64-bajtowych (przełącznik line-rate) 11. Minimum 2GB pamięci DRAM i 2GB pamięci flash. 12. Obsługa minimum
a. 1000 sieci VLAN b. 32.000 adresów MAC c. 24.000 tras IPv4
31/93
Oprogramowanie/funkcjonalność 13. Obsługa protokołu NTP 14. Obsługa IGMPv1/2/3 i MLDv1/2 Snooping 15. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem ciągłości pracy
sieci: a. IEEE 802.1w Rapid Spanning Tree b. IEEE 802.1s Multi-Instance Spanning Tree c. Obsługa minimum 128 instancji protokołu STP
16. Obsługa protokołu LLDP i LLDP-MED 17. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym
źródłowym i docelowym adresie MAC. 18. Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego 19. Przełącznik musi posiadać możliwość uruchomienia funkcji serwera DHCP 20. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem
bezpieczeństwa sieci: a. Minimum 5 poziomów dostępu administracyjnego poprzez konsolę. Przełącznik musi
umożliwiać zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji (privilege-level)
b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN
c. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania listy ACL
d. Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X
e. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC f. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez
suplikanta 802.1X g. Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym
porcie oraz możliwości jednoczesnego uwierzytelniania na porcie telefonu IP i komputera PC podłączonego za telefonem
h. Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC 5176 i. Minimum 3000 wpisów dla list kontroli dostępu (ACE) j. Funkcjonalność flexible authentication (możliwość wyboru kolejności uwierzytelniania –
802.1X/uwierzytelnianie w oparciu o MAC adres/uwierzytelnianie oparciu o portal www) k. Możliwość wdrożenia uwierzytelniania w oparciu o 802.1X w trybie monitor (niezależnie od
tego czy uwierzytelnianie się powiedzie, czy nie użytkownik ma prawo dostępu do sieci) – jako element sprawdzenia gotowości instalacji na pełne wdrożenie 802.1X
l. Obsługa funkcji Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source Guard m. Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów
RADIUS lub TACACS+ n. Obsługa list kontroli dostępu (ACL), możliwość konfiguracji tzw. czasowych list ACL
(aktywnych w określonych godzinach i dniach tygodnia) o. Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6
FHS) – w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard), ochronę przed dołączeniem nieuprawnionych serwerów DHCPv6 do sieci (DHCPv6 Guard).
21. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Implementacja co najmniej 8 kolejek dla ruchu wyjściowego na każdym porcie dla obsługi
ruchu o różnej klasie obsługi b. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi kolejek c. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem
w stosunku do innych (Strict Priority) d. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie
następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP
e. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (policing, rate limiting). Możliwość skonfigurowania do 2000 ograniczeń per przełącznik
f. Kontrola sztormów dla ruchu broadcast/multicast/unicast g. Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub
pakiecie IP – poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP
32/93
22. Wbudowane reflektometry (TDR) dla portów 10/100/1000 23. Urządzenie musi zapewniać możliwość routingu statycznego i dynamicznego dla IPv4 i IPv6
(minimum protokół RIP). Urządzenie musi zapewniać możliwość rozszerzenia funkcjonalności o wsparcie dla zaawansowanych protokołów routingu IPv4 (OSPF, BGP) i IPv6 (OPSFv3), funkcjonalności Policy-based routingu i routingu multicast (PIM-SM, PIM-SSM) poprzez zakup odpowiedniej licencji lub wersji oprogramowania – bez konieczności dokonywania zmian sprzętowych
24. Obsługa protokołu HSRP/VRRP lub mechanizmu równoważnego dla usług redundancji bramy dla IPv4 i IPv6.
Zarządzanie i konfiguracja 25. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na
kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN)
26. Urządzenie musi zapewniać możliwość tworzenia statystyk ruchu w oparciu o NetFlow/J-Flow lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie może być mniejsza niż 48.000. Wymagane jest sprzętowe wsparcie dla gromadzenia statystyk NetFlow/J-Flow
27. Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.)
28. Dedykowany port Ethernet do zarządzania out-of-band 29. Minimum jeden port USB umożliwiający podłączenie zewnętrznego nośnika danych.
Urządzenie musi mieć możliwość uruchomienia z nośnika danych umieszczonego w porcie USB
30. Urządzenie musi być wyposażone w port konsoli USB 31. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest
możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją
32. Obsługa protokołów SNMPv3, SSHv2, SCP, https, syslog – z wykorzystaniem protokołów IPv4 i IPv6
33. Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie.
34. Musi umożliwiać konfigurację zgodnie z dokumentami z zaleceniami do konfiguracji przełączników (Security Guide, Hardening Guide) wydawanymi przez NATO NCI Agency.
Obudowa 35. Możliwość montażu w szafie rack 19”. Wysokość urządzenia nie może przekraczać 1 RU.
Wyposażenie 36. Urządzenie musi być dostarczone z 2 wkładkami 1000Base-LX/LH SFP spełniającymi
następujące wymagania: a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń.
Nie dopuszcza się stosowania zamienników b. Musi być przeznaczona do współpracy ze standardowym światłowodem jednomodowym
(9um) i wielodomowym (50um). c. Musi być kompatybilna ze standardem IEEE 802.3z 1000BASE-LX d. Musi pracować dla pasma 1300 nm i oferować zasięg co najmniej 10000 m e. Musi posiadać podwójny konektor LC/PC
37. Musi być wyposażony w kabel konsoli szeregowej USB. Dopuszcza się rozwiązanie równoważne w postaci zestawu: adapter RS232 na USB wraz z kabelm RJ-45 na RS232, przy czym zestaw taki musi być dostarczony z każdym urządzeniem. Zestaw taki musi być objęty wsparciem producenta przełącznika. Do adaptera USB-RS232 muszą być dołączone poprawnie funkcjonujące sterowniki dla systemów operacyjnych: Windows (od wersji 7), Linux (dla jądra w wersjach 2.6, 3.X, 4.X) oraz Mac OSX (dla procesorów Intel).
38. Musi być wyposażony w 48 patchcordów UTP kat. 5e o długości 2m koloru niebieskiego.
33/93
B.11 Przełącznik typu U 8C.
Jako urządzenie referencyjne „Przełącznik typu U 8C” spełniające wymagania opisane
w punktach od 1 do 36 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Numer produktu Opis Ilość
WS-C3560CX-8PC-S Cisco Catalyst 3560-CX 8 Port PoE IP Base 1
GLC-LH-SMD= 1000BASE-LX/LH SFP transceiver module, MMF/SMF, 1310nm, DOM
1
CAB-TA-EU Europe AC Type A Power Cable 1
Materiały eksploatacyjne
Patch-cord UTP min. kat 5e, 2 m (niebieski) 8
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
Rodzaj urządzenia 1. Przełącznik wolnostojący wyposażony w 8 portów 10/100/1000BaseT PoE+ (zgodnych z IEEE
802.3at) oraz dwa porty uplink Gigabit Ethernet SFP oraz jeden Gigabit Ethernet 10/100/1000 2. Porty SFP muszą umożliwiać ich obsadzenie modułami 1000Base-SX, 1000Base-LX/LH,
1000Base-BX oraz CWDM zależnie od potrzeb Zamawiającego.
Architektura 3. Przełącznik musi być wyposażony w zasilacz wewnętrzny. 4. Urządzenie musi zapewniać minimum 240W dla portów PoE 5. Urządzenie musi wspierać Energy-Efficient Ethernet (EEE) zgodnie z IEEE 802.3az.
Oczekiwana wydajność 6. Szybkość przełączania minimum 17 mpps dla pakietów 64-bajtowych.Matryca przełączająca
o wydajności minimum 32Gbps 7. Minimum 512MB pamięci DRAM 8. Minimum 128MB pamięci flash 9. Obsługa minimum 1000 sieci VLAN 802.1Q z pełnym zakresem VLAN IDs (4000) 10. Obsługa minimum 4000 adresów MAC.
Oprogramowanie/funkcjonalność 11. Obsługa protokołu NTP 12. Obsługa IGMPv3 i MLDv1/2 Snooping 13. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem ciągłości pracy
sieci: a. IEEE 802.1w Rapid Spanning Tree b. IEEE 802.1s Multi-Instance Spanning Tree c. Obsługa minimum 128 instancji STP
14. Obsługa protokołu LLDP i LLDP-MED 15. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym
źródłowym i docelowym adresie MAC 16. Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego 17. Przełącznik musi posiadać możliwość uruchomienia funkcji serwera DHCP 18. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem
bezpieczeństwa sieci: a. Minimum 5 poziomów dostępu administracyjnego poprzez konsolę. Przełącznik musi
umożliwiać zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji
b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN
c. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania listy ACL
d. Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X
e. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC f. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez
suplikanta 802.1X (bez konieczności stosowania zewnętrznego serwera www)
34/93
g. Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie oraz możliwości jednoczesnego uwierzytelniania na porcie telefonu IP i komputera PC podłączonego za telefonem
h. Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC 5176 i. Funkcjonalność elastycznego uwierzytelniania (możliwość wyboru kolejności
uwierzytelniania – 802.1X/uwierzytelnianie w oparciu o MAC adres/uwierzytelnianie oparciu o portal www)
j. Możliwość wdrożenia uwierzytelniania w oparciu o 802.1X w trybie monitor (niezależnie od tego czy uwierzytelnianie się powiedzie, czy nie użytkownik ma prawo dostępu do sieci) – jako element sprawdzenia gotowości instalacji na pełne wdrożenie 802.1X
k. Obsługa funkcji bezpieczeństwa sieci LAN: Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source Guard (również na portach typu link aggregation)
l. Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów RADIUS lub TACACS+
m. Obsługa list kontroli dostępu (ACL) na poziomie portów (PACL), VLAN-ów (VACL), interfejsów routera L3 (RACL), możliwość konfiguracji tzw. czasowych list ACL (aktywnych w określonych godzinach i dniach tygodnia)
n. Możliwość szyfrowania ruchu zgodnie z IEEE 802.1AE na portach dostępowych o. przełącznik musi posiadać funkcję supplicanta 802.1X (możliwość podłączenia
przełącznika do innego switcha z uruchomionym mechanizmem uwierzytelniania 802.1X)
19. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci:
a. Implementacja co najmniej czterech kolejek sprzętowych dla ruchu wyjściowego na każdym porcie dla obsługi ruchu o różnej klasie obsługi
b. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority)
c. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP
d. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (policing, rate limiting)
e. Kontrola sztormów dla ruchu broadcast/multicast/unicast f. Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet
lub pakiecie IP – poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP 20. Wsparcie dla DHCP Option 82 21. Wbudowane reflektometry (TDR) dla portów miedzianych 22. Urządzenie musi zapewniać możliwość routingu statycznego i dynamicznego (minimum
w oparciu o protokół RIP i OSPF stub) dla protokołów IPv4 i IPv6 23. Możliwość obsługi tras routingu o jednakowym koszcie (ECMP - Equal-cost multi-path routing) 24. Obsługa funkcji DHCP Relay 25. Możliwość konfiguracji list ACL dla IPv6 26. Funkcjonalność prywatnego VLAN-u, czyli możliwość blokowania ruchu pomiędzy portami
w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji z portem nadrzędnym.
Zarządzanie i konfiguracja 27. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na
kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN)
28. Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.)
29. Urządzenie musi być wyposażone w port konsoli USB 30. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest
możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych
31. Obsługa protokołów SNMPv3, SSHv2, SCP, https, syslog
35/93
32. Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie.
33. Musi umożliwiać konfigurację zgodnie z dokumentami z zaleceniami do konfiguracji przełączników (Security Guide, Hardening Guide) wydawanymi przez NATO NCI Agency.
Obudowa 34. Obudowa desktop pozbawiona wentylatorów.
Wyposażenie 35. Urządzenie musi być dostarczone z wkładką 1000Base-LX/LH SFP spełniającą następujące
wymagania: a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń.
Nie dopuszcza się stosowania zamienników b. Musi być przeznaczona do współpracy ze standardowym światłowodem jednomodowym
(9um) i wielodomowym (50um). c. Musi być kompatybilna ze standardem IEEE 802.3z 1000BASE-LX d. Musi pracować dla pasma 1300 nm i oferować zasięg co najmniej 10000 m e. Musi posiadać podwójny konektor LC/PC
36. Musi być wyposażony w 8 patchcordów UTP kat. 5e o długości 2m koloru niebieskiego.
B.12 Przełącznik typu I 24C.
Jako urządzenie referencyjne „Przełącznik typu I 24C” spełniające wymagania opisane w
punktach od 1 do 30 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Numer produktu Opis Ilość
WS-C2960X-24TS-L Catalyst 2960-X 24 GigE 4 x 1G SFP LAN Base 1
CAB-ACE-RA Power Cord Europe Right Angle 1
CAB-CONSOLE-USB Console Cable 6 ft with USB Type A and mini-B 1
PWR-CLIP Power retainer clip for compact switches 1
GLC-LH-SMD= 1000BASE-LX/LH SFP transceiver module, MMF/SMF, 1310nm, DOM
2
Materiały eksploatacyjne
Patch-cord UTP min. kat 5e, 2 m (żółty) 24
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
1. Typ i liczba portów: a. Przełącznik sieciowy - minimum 24 porty 10/100/1000 b. Minimum 4 dodatkowe porty uplink 1Gigabit Ethernet SFP. Wykorzystanie portów SFP nie
może powodować wyłączenia żadnego z portów 10/100/1000BaseT c. Porty SFP muszą umożliwiać ich obsadzanie wkładkami Gigabit Ethernet – minimum
1000BaseT, 1000Base-SX, 1000BaseLX/LH, 1000Base-BX-D/U oraz modułami CWDM zależnie od potrzeb Zamawiającego
2. Urządzenie musi obsługiwać co najmniej 250 sieci VLAN 3. Urządzenie musi obsługiwać co najmniej 16000 adresów MAC 4. Urządzenie musi posiadać co najmniej 512MB pamięci DRAM i 128MB pamięci flash 5. Parametry fizyczne – wysokość maksimum 1RU, możliwość montażu w szafie 19” 6. Wydajność przełączania minimum 71Mpps dla pakietów 64-bajtowych. Przepustowość
przełącznika minimum 108Gb/s (216Gb/s full duplex) 7. Urządzenie musi posiadać możliwość rozbudowy o funkcjonalność łączenia w stosy
z zachowaniem następującej parametrów: a. Do min. 8 jednostek w stosie b. Magistrala stakująca o wydajności co najmniej 80Gb/s c. Możliwość tworzenia połączeń EtherChannel zgodnie z 802.3ad dla portów należących do
różnych jednostek w stosie (Cross-stack EtherChannel) 8. Urządzenie musi umożliwiać obsługę ramek jumbo o wielkości min. 9216 bajtów 9. Wbudowane funkcje zarządzania energią:
a. Zgodność ze standardem IEEE 802.3az EEE (Energy Efficient Ethernet) b. Możliwość hibernowania przełącznika w określonych godzinach celem dodatkowego
oszczędzania energii
36/93
10. Musi obsługiwać protokoł NTP 11. Musi zapewniać obsługę min. 16 statycznych tras dla routingu IPv4 i IPv6 12. Musi obsługiwać ruch multicast - IGMPv3 i MLDv1/2 Snooping 13. Musi posiadać wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s
Multi-Instance Spanning Tree. Wymagane wsparcie dla min. 128 instancji protokołu STP 14. Przełącznik musi posiadać możliwość uruchomienia funkcjonalności DHCP Server 15. Musi posiadać funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy
pakietu o zadanym źródłowym i docelowym adresie MAC 16. Musi mieć obsługę połączeń link aggregation zgodnie z IEEE 802.3ad. Obsługa mechanizmów
bezpieczeństa typu Port Security i IP Source Guard na interfejsach link aggregation 17. Przełącznik musi obsługiwać następujące mechanizmy bezpieczeństwa:
a. Minimum 5 poziomów dostępu administracyjnego poprzez konsolę b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego
przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL
c. Obsługa funkcji Guest VLAN d. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC e. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez
suplikanta 802.1X f. Przełącznik musi umożliwiać elastyczność w zakresie przeprowadzania mechanizmu
uwierzytelniania na porcie. Wymagane jest zapewnienie jednoczesnego uruchomienia na porcie zarówno mechanizmów 802.1X, jak i uwierzytelniania per MAC oraz uwierzytelniania w oparciu o www
g. Wymagana jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie
h. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6
i. Obsługa list kontroli dostępu (ACL) – dla portów (PACL) i interfejsów SVI (RACL) – zarówno dla IPv4 jak i IPv6
j. Obsługa mechanizmów Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard
k. Funkcjonalność Protected Port l. Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6
FHS) – w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard), ochronę przed dołączeniem nieuprwanionych serwerów DHCPv6 do sieci (DHCPv6 Guard) oraz ochronę przed fałszowaniem źródłowych adresów IPv6 (IPv6 Source Guard)
m. Obsługa funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego
n. Możliwość próbkowania i eksportu statystyk ruchu do zewnętrznych kolektorów danych (mechanizmy typu sFlow, NetFlow, J-Flow lub równoważne)
18. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie
następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP
b. Implementacja co najmniej czterech kolejek sprzętowych na każdym porcie wyjściowym dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek
c. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority)
d. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi. Wymagana jest możliwość skonfigurowania minimum 256 różnych ograniczeń
19. Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP)
20. Obsługa protokołu LLDP i LLDP-MED lub równoważnych (np. CDP) 21. Urządzenie musi mieć możliwość zarządzania poprzez interfejs CLI z poziomu portu konsoli 22. Urządzenie musi być wyposażone w port USB umożliwiający podłączenie pamięci flash. Musi
być dostępna opcja uruchomienia systemu operacyjnego z nośnika danych podłączonego do portu USB
37/93
23. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN)
24. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych
25. Zasilanie 230V AC, możliwość zastosowania redundantnego zasilacza (dopuszczalne rozwiązania zewnętrzne)
26. Musi być wyposażony w kabel konsoli szeregowej USB. Dopuszcza się rozwiązanie równoważne w postaci zestawu: adapter RS232 na USB wraz z kabelm RJ-45 na RS232, przy czym zestaw taki musi być dostarczony z każdym urządzeniem. Zestaw taki musi być objęty wsparciem producenta przełącznika. Do adaptera USB-RS232 muszą być dołączone poprawnie funkcjonujące sterowniki dla systemów operacyjnych: Windows (od wersji 7), Linux (dla jądra w wersjach 2.6, 3.X, 4.X) oraz Mac OSX (dla procesorów Intel).
27. Musi być wyposażony w uchwyt kabla zasilającego 28. Urządzenie musi być dostarczone z 2 wkładkami 1000Base-LX/LH SFP spełanijącymi
następujące wymagania: a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń.
Nie dopuszcza się stosowania zamienników. b. Musi być przeznaczona do współpracy ze standardowym światłowodem jednomodowym
(9um) i wielodomowym (50um). c. Musi być kompatybilna ze standardem IEEE 802.3z 1000BASE-LX d. Musi pracować dla pasma 1300 nm i oferować zasięg co najmniej 10000 m e. Musi posiadać podwójny konektor LC/PC
29. Musi być wyposażony w 24 patchcordy UTP kat. 5e o długości 2m koloru żółtego. 30. Musi umożliwiać konfigurację zgodnie z dokumentami z zaleceniami do konfiguracji
przełączników (Security Guide, Hardening Guide) wydawanymi przez NATO NCI Agency.
B.13 Przełącznik typu I 48C.
Jako urządzenie referencyjne „Przełącznik typu I 48C” spełniające wymagania opisane
w punktach od 1 do 29 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Numer produktu Opis Ilość
WS-C2960X-48TS-L Catalyst 2960-X 48 GigE 4 x 1G SFP LAN Base 1
CAB-ACE-RA Power Cord Europe Right Angle 1
CAB-CONSOLE-USB Console Cable 6 ft with USB Type A and mini-B 1
PWR-CLIP Power retainer clip for compact switches 1
GLC-LH-SMD= 1000BASE-LX/LH SFP transceiver module, MMF/SMF, 1310nm, DOM
2
Materiały eksploatacyjne
Patch-cord UTP min. kat 5e, 2 m (żółty) 48
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
1. Typ i liczba portów: a. Minimum 48 portów 10/100/1000 b. Minimum 4 dodatkowe porty uplink 1Gigabit Ethernet SFP. Wykorzystanie portów SFP nie
może powodować wyłączenia żadnego z portów 10/100/1000BaseT c. Porty SFP muszą umożliwiać ich obsadzanie wkładkami Gigabit Ethernet – minimum
1000BaseT, 1000Base-SX, 1000BaseLX/LH, 1000Base-BX-D/U oraz modułami CWDM zależnie od potrzeb Zamawiającego
2. Urządzenie musi obsługiwać minimum 250 sieci VLAN 3. Urządzenie musi obsługiwać minimum 16000 adresów MAC 4. Urządzenie musi posiadać min. 512MB pamięci DRAM i 128MB pamięci flash 5. Parametry fizyczne – wysokość maksimum 1RU, możliwość montażu w szafie 19”
38/93
6. Wydajność przełączania minimum 107Mpps dla pakietów 64-bajtowych. Przepustowość przełącznika minimum 108Gb/s (216Gb/s full duplex)
7. Urządzenie musi posiadać możliwość rozbudowy o funkcjonalność łączenia w stosy z zachowaniem następującej parametrów: a. Do min. 8 jednostek w stosie b. Magistrala stakująca o wydajności co najmniej 80Gb/s c. Możliwość tworzenia połączeń EtherChannel zgodnie z 802.3ad dla portów należących do
różnych jednostek w stosie (Cross-stack EtherChannel) 8. Urządzenie musi umożliwiać obsługę ramek jumbo o wielkości min. 9216 bajtów 9. Wbudowane funkcje zarządzania energią:
a. Zgodność ze standardem IEEE 802.3az EEE (Energy Efficient Ethernet) 10. Obsługa protokołu NTP 11. Musi zapewniać obsługę min. 16 statycznych tras dla routingu IPv4 i IPv6 12. Obsługa ruchu multicast - IGMPv3 i MLDv1/2 Snooping 13. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance
Spanning Tree. Wymagane wsparcie dla min. 128 instancji protokołu STP 14. Przełącznik musi posiadać możliwość uruchomienia funkcjonalności DHCP Server 15. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym
źródłowym i docelowym adresie MAC 16. Obsługa połączeń link aggregation zgodnie z IEEE 802.3ad. Obsługa mechanizmów
bezpieczeństa typu Port Security i IP Source Guard na interfejsach link aggregation 17. Przełącznik musi obsługiwać następujące mechanizmy bezpieczeństwa:
a. Minimum 5 poziomów dostępu administracyjnego poprzez konsolę b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego
przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL
c. Obsługa funkcji Guest VLAN d. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC e. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez
suplikanta 802.1X f. Przełącznik musi umożliwiać elastyczność w zakresie przeprowadzania mechanizmu
uwierzytelniania na porcie. Wymagane jest zapewnienie jednoczesnego uruchomienia na porcie zarówno mechanizmów 802.1X, jak i uwierzytelniania per MAC oraz uwierzytelniania w oparciu o www
g. Wymagana jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie
h. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6
i. Obsługa list kontroli dostępu (ACL) – dla portów (PACL) i interfejsów SVI (RACL) – zarówno dla IPv4 jak i IPv6
j. Obsługa mechanizmów Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard
k. Funkcjonalność Protected Port l. Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6
FHS) – w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard), ochronę przed dołączeniem nieuprwanionych serwerów DHCPv6 do sieci (DHCPv6 Guard) oraz ochronę przed fałszowaniem źródłowych adresów IPv6 (IPv6 Source Guard)
m. Obsługa funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego
n. Możliwość próbkowania i eksportu statystyk ruchu do zewnętrznych kolektorów danych (mechanizmy typu sFlow, NetFlow, J-Flow lub równoważne)
18. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie
następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP
b. Implementacja co najmniej czterech kolejek sprzętowych na każdym porcie wyjściowym dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek
c. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority)
39/93
d. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi. Wymagana jest możliwość skonfigurowania minimum 256 różnych ograniczeń
19. Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP)
20. Obsługa protokołu LLDP i LLDP-MED lub równoważnych (np. CDP) 21. Urządzenie musi mieć możliwość zarządzania poprzez interfejs CLI z poziomu portu konsoli 22. Urządzenie musi być wyposażone w port USB umożliwiający podłączenie pamięci flash. Musi
być dostępna opcja uruchomienia systemu operacyjnego z nośnika danych podłączonego do portu USB
23. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN)
24. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych
25. Zasilanie 230V AC, możliwość zastosowania redundantnego zasilacza (dopuszczalne rozwiązania zewnętrzne)
26. Musi być wyposażony w kabel konsoli szeregowej USB. Dopuszcza się rozwiązanie równoważne w postaci zestawu: adapter RS232 na USB wraz z kabelm RJ-45 na RS232, przy czym zestaw taki musi być dostarczony z każdym urządzeniem. Zestaw taki musi być objęty wsparciem producenta przełącznika. Do adaptera USB-RS232 muszą być dołączone poprawnie funkcjonujące sterowniki dla systemów operacyjnych: Windows (od wersji ), Linux (dla jądra w wersjach 2.6, 3.X, 4.X) oraz Mac OSX (dla procesorów Intel).
27. Urządzenie musi być dostarczone z 2 wkładkami 1000Base-LX/LH SFP spełanijącymi następujące wymagania: a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń.
Nie dopuszcza się stosowania zamienników b. Musi być przeznaczona do współpracy ze standardowym światłowodem jednomodowym
(9um) i wielodomowym (50um). c. Musi być kompatybilna ze standardem IEEE 802.3z 1000BASE-LX d. Musi pracować dla pasma 1300 nm i oferować zasięg co najmniej 10000 m e. Musi posiadać podwójny konektor LC/PC
28. Musi być wyposażony w 48 patchcordów UTP kat. 5e o długości 2m koloru zółtego. 29. Musi umożliwiać konfigurację zgodnie z dokumentami z zaleceniami do konfiguracji
przełączników (Security Guide, Hardening Guide) wydawanymi przez NATO NCI Agency.
B.14 Przełącznik typu U 12F.
Jako urządzenie referencyjne „Przełącznik typu U 12F” spełniające wymagania opisane
w punktach od 1 do 42 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Numer produktu Opis Ilość
WS-C3850-12S-S Catalyst 3850 12 Port GE SFP, IP Base 1
PWR-C1-350WAC/2 350W AC Config 1 Secondary Power Supply 1
CAB-CONSOLE-USB Console Cable 6 ft with USB Type A and mini-B 1
C3850-NM-4-1G Cisco Catalyst 3850-4x 1GE Network Module 1
GLC-TE= 1000BASE-T SFP transceiver module for Category 5 copper wire
2
GLC-LH-SMD= 1000BASE-LX/LH SFP transceiver module, MMF/SMF, 1310nm, DOM
14
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
Rodzaj urządzenia 1. Przełącznik Gigabit Ethernet, stakowalny wyposażony w minimum 12 portów Gigabit Ethernet
SFP
40/93
2. Przełącznik musi posiadać minimum jeden dodatkowy slot na moduł rozszerzeń z możliwością jego wymiany „na gorąco” (ang. hot swap). Wśród dostępnych modułów rozszerzeń muszą być dostępne co najmniej następujące moduły: a. Minimum 4-portowy moduł Gigabit Ethernet z gniazdami interfejsów do obsadzenia
optycznymi modułami SFP b. Minimum 2 portowy moduł 10G (porty muszą umożliwiać pracę zarówno jako 10GE jak
i GE) c. Minimum 2-portowy moduł 10Gigabit Ethernet SFP+, przy czym wymagane jest, aby w
przypadku wykorzystanie pojedynczego łącza 10GE istniała możliwość instalacji dodatkowych 2 portów Gigabit Ethernet SFP lub 4 portów Gigabit Ethernet SFP jeśli połącznia 10GE nie są wykorzystywane
3. Porty SFP przełącznika i modułów (o których mowa w pkt. 2) muszą umożliwiać ich obsadzenie modułami 1000Base-T, 1000Base-SX, 1000Base-LX/LH, 1000Base-ZX, 1000Base-BX oraz CWDM i DWDM zależnie od potrzeb Zamawiającego. Porty SFP+ muszą umożliwiać ich obsadzenie modułami 10GBase-SR, 10GBase-LR, 10GBase-LRM, 10GBase-ER oraz modułami optycznymi GE (1000Base-SX, 1000Base-LX/LH, 1000Base-ZX, 1000Base-BX).
Architektura 4. Urządzenie musi być wyposażone w redundantne i wymienne moduły wentylatorów 5. Urządzenie musi być wyposażone w redundantny zasilacz. Zamawiający nie dopuszcza
stosowania zewnętrznych systemów zasilania redundantnego w celu realizacji tego zadania. Zasilacze muszą być wymienne
6. Przełącznik musi posiadać możliwość instalacji zasilacza prądu stałego. Wymagane jest, aby w przełączniku można było jednocześnie instalować zarówno zasilacze prądu zmiennego, jak i stałego. W momencie dostawy przełącznik ma być wyposażony w zasilacz prądu zmiennego 230V
7. Musi posiadac wsparcie sprzętowe i obsługa standardu IEEE 802.1AE szyfrowania ruchu na portach dostępowych GE SFP
8. Przełącznik musi zapewniać możliwość budowania stosów (stackowanie) z zapewnieniem następujących parametrów: a. Przepustowość w ramach stosu min. 480Gb/s b. Min. 4 urządzenia w stosie c. Zarządzanie poprzez jeden adres IP d. Możliwość tworzenia połączeń cross-stack link aggregation (czyli dla portów należących do
różnych jednostek w stosie) zgodnie z 802.3ad e. W ofercie producenta muszą istnieć przełączniki 24 i 48-portów z obsługą standardu
802.3at, które można zestakować z oferowanym przełącznikiem f. Przełączniki w ramach stosu muszą umożliwiać współdzielenie mocy zasilaczy tzn.
zasilacze muszą stanowić zasób wspólny dla wszystkich jednostek w stosie (redundancja zasilania bez konieczności instalacji zasilaczy zapasowych w każdym przełączniku, możliwość „pożyczania” mocy dla innych jednostek w stosie, w tym dla przełączników wymagających większej mocy dla PoE, jeśli takowe są zainstalowane w stosie). Jednoczesnie dopuszcza się rozwiązanie alternatywne dla współdzielenia mocy zasilaczy poprzez zastosowanie jednego zewnętrznego redundantnego zasilacza, zasilającego kilka (więcej niż jedno) urządzeń na raz pracujących w stosie.
g. Przełącznik musi być wyposażony we wszystkie niezbędne komponenty (w tym moduły i kable) do realizacji tego zadania.
Oczekiwana wydajność 9. Przełącznik musi zapewniać obsługę wszystkich portów z pełną wydajnością (wirespeed).
Szybkość przełączania minimum 66,0 Gbps dla pakietów 64-bajtowych 10. Minimum 4 Gb pamięci DRAM i 2Gb pamięci Flash 11. Jednoczesna obsługa min. 32.000 adresów MAC, 24.000 tras w tablicy routingu i 4.000 sieci
VLAN.
Oprogramowanie/funkcjonalność 12. Obsługa protokołu NTP 13. Obsługa IGMPv3 i MLDv1/2 Snooping 14. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance
Spanning Tree. Wymagane wsparcie dla min. 128 instancji protokołu STP 15. Obsługa protokołu LLDP i LLDP-MED.
41/93
16. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym źródłowym i docelowym adresie MAC
17. Obsługa połączeń link aggregation zgodnie z IEEE 802.3ad. Obsługa mechanizmów bezpieczeństa typu Port Security i IP Source Guard na interfejsach link aggregation
18. Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego 19. Przełącznik musi posiadać możliwość uruchomienia funkcji serwera DHCP 20. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem
bezpieczeństwa sieci: a. Minimum 5 poziomów dostępu administracyjnego poprzez konsolę. Przełącznik musi
umożliwiać zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji (privilege-level)
b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL
a. Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X
c. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC d. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez
suplikanta 802.1X (bez konieczności stosowania zewnętrznego serwera www) e. Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym
porcie f. Przełącznik musi umożliwiać elastyczność w zakresie przeprowadzania mechanizmu
uwierzytelniania na porcie. Wymagane jest zapewnienie jednoczesnego uruchomienia na porcie zarówno mechanizmów 802.1X, jak i uwierzytelniania per MAC oraz uwierzytelniania w oparciu o www
g. Możliwość wdrożenia uwierzytelniania w oparciu o 802.1X w trybie monitor (niezależnie od tego czy uwierzytelnianie się powiedzie, czy nie użytkownik ma prawo dostępu do sieci) – jako element sprawdzenia gotowości instalacji na pełne wdrożenie 802.1X
h. Przełącznik musi posiadać funkcję supplicanta 802.1X (możliwość podłączenia przełącznika do innego switcha z uruchomionym mechanizmem uwierzytelniania 802.1X)
i. Obsługa funkcji bezpieczeństwa sieci LAN: Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source Guard
j. Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów RADIUS lub TACACS+
k. Obsługa list kontroli dostępu (ACL)na poziomie portów (PACL), VLAN-ów (VACL), interfejsów routera L3 (RACL), możliwość konfiguracji tzw. czasowych list ACL (aktywnych w określonych godzinach i dniach tygodnia)
l. Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) – w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard), ochronę przed dołączeniem nieuprwanionych serwerów DHCPv6 do sieci (DHCPv6 Guard) oraz ochronę przed fałszowaniem źródłowych adresów IPv6 (IPv6 Source Guard)
m. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6
21. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Implementacja co najmniej czterech kolejek sprzętowych dla ruchu wyjściowego na
każdym porcie dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek
b. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (StrictPriority)
c. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP
d. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (policing, ratelimiting). Wymagana jest możliwość skonfigurowania minimum 64 różnych ograniczeń per port, każde odpowiednio dla różnej klasy obsługi ruchu
e. Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP – poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP
22. Obsługa funkcji DHCP Relay 23. Możliwość konfiguracji list ACL i usług QoS dla IPv6
42/93
24. Funkcjonalność prywatnego VLAN-u, czyli możliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji z portem nadrzędnym
25. Routing multicastów (PIM-SM) oraz policy-based routing 26. Urządzenie musi zapewniać możliwość rozszerzenia funkcjonalności o obsługę:
a. zaawansowanych protokołów routingu dynamicznego dla IPv4 (w tym OSPFv2, BGP4, IS-IS) i IPv6 (co najmniej OSPFv3, IS-ISv6, BGPv6)
b. minimum 25 prywatnych domen routingu (funkcjonalność VRF Lite) c. monitorowania parametrów usług dla ruchu IP (IP SLA), w tym również dla usług wideo
(wbudowany symulator ruchu). Wymagana jest możliwość monitorowania parametrów takich jak opóźnienie, jitter, utrata pakietów
27. Obsługa protokołu VRRP lub mechanizmu równoważnego dla usług redundancji bramy dla IPv4 i IPv6
Zarządzanie i konfiguracja 28. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na
kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN)
29. Urządzenie musi zapewniać możliwość tworzenia statystyk ruchu w oparciu o NetFlow/J-Flow lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie może być mniejsza niż 24.000. Wymagane jest sprzętowe wsparcie dla gromadzenia statystyk NetFlow/J-Flow
30. Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.)
31. Dedykowany port Ethernet do zarządzania out-of-band 32. Minimum jeden port USB umożliwiający podłączenie zewnętrznego nośnika danych.
Urządzenie musi mieć możliwość uruchomienia z nośnika danych umieszczonego w porcie USB.
33. Urządzenie musi być wyposażone w port konsoli USB 34. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest
możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych
35. Obsługa protokołów SNMPv3, SSHv2, SCP, https, syslog – z wykorzystaniem protokołów IPv4 i IPv6
36. Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie.
37. Musi umożliwiać konfigurację zgodnie z dokumentami z zaleceniami do konfiguracji przełączników (Security Guide, Hardening Guide) wydawanymi przez NATO NCI Agency.
Obudowa 38. Możliwość montażu w szafie rack 19”. Wysokość urządzenia nie może przekraczać 1 RU.
Wyposażenie 39. Kabel konsoli szeregowej USB 40. Wymagane ukompletowanie urządzenia:
a. zasilacz redundantny , b. moduł o którym mowa w pkt. 2a.
41. Urządzenie musi być dostarczone z 14 wkładkami 1000Base-LX/LH SFP spełniającymi następujące wymagania:
a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń. Nie dopuszcza się stosowania zamienników.
b. Musi być przeznaczona do współpracy ze standardowym światłowodem jednomodowym (9um) i wielodomowym (50um).
c. Musi być kompatybilna ze standardem IEEE 802.3z 1000BASE-LX d. Musi pracować dla pasma 1300 nm i oferować zasięg co najmniej 10000 m e. Musi posiadać podwójny konektor LC/PC
42. Urządzenie musi być dostarczone z 2 wkładkami 1000Base-T SFP spełniającymi następujące wymagania:
a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń. Nie dopuszcza się stosowania zamienników.
43/93
b. Musi być przeznaczone do współpracy ze standardową nieekranowaną skrętką miedzianą kategorii 5 lub wyższej
c. Musi wspierać autonegocjację 10/100/1000 i Auto MDI/MDIX d. Musi być zgodny ze standardem IEEE802.3 1000Base-T e. Musi oferować zasięg co najmniej 100 m f. Musi posiadać konektor RJ-45
B.15 Przełącznik typu U 24F.
Jako urządzenie referencyjne „Przełącznik typu U 24F” spełniające wymagania opisane
w punktach od 1 do 42 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
Rodzaj urządzenia 1. Przełącznik Gigabit Ethernet , stakowalny wyposażony w minimum 24 porty Gigabit Ethernet
SFP 2. Przełącznik musi posiadać minimum jeden dodatkowy slot na moduł rozszerzeń z możliwością
jego wymiany „na gorąco” (ang. hot swap). Wśród dostępnych modułów rozszerzeń muszą być dostępne co najmniej następujące moduły: a. Minimum 4-portowy moduł Gigabit Ethernet z gniazdami interfejsów do obsadzenia
optycznymi modułami SFP b. Minimum 2 portowy moduł 10G (porty muszą umożliwiać pracę zarówno jako 10GE jak
i GE). c. Minimum 2-portowy moduł 10Gigabit Ethernet SFP+, przy czym wymagane jest, aby w
przypadku wykorzystanie pojedynczego łącza 10GE istniała możliwość instalacji dodatkowych 2 portów Gigabit Ethernet SFP lub 4 portów Gigabit Ethernet SFP jeśli połącznia 10GE nie są wykorzystywane
3. Porty SFP przełącznika i modułów (o których mowa w pkt. 2) muszą umożliwiać ich obsadzenie modułami 1000Base-T, 1000Base-SX, 1000Base-LX/LH, 1000Base-ZX, 1000Base-BX oraz CWDM i DWDM zależnie od potrzeb Zamawiającego. Porty SFP+ muszą umożliwiać ich obsadzenie modułami 10GBase-SR, 10GBase-LR, 10GBase-LRM, 10GBase-ER oraz modułami optycznymi GE (1000Base-SX, 1000Base-LX/LH, 1000Base-ZX, 1000Base-BX).
Architektura 4. Urządzenie musi być wyposażone w redundantne i wymienne moduły wentylatorów 5. Urządzenie musi być wyposażone w redundantny zasilacz. Zamawiający nie dopuszcza
stosowania zewnętrznych systemów zasilania redundantnego w celu realizacji tego zadania. Zasilacze muszą być wymienne
6. Przełącznik musi posiadać możliwość instalacji zasilacza prądu stałego. Wymagane jest, aby w przełączniku można było jednocześnie instalować zarówno zasilacze prądu zmiennego, jak i stałego. W momencie dostawy przełącznik ma być wyposażony w zasilacz prądu zmiennego 230V
7. Wsparcie sprzętowe i obsługa standardu IEEE 802.1AE szyfrowania ruchu na portach dostępowych GE SFP
8. Przełącznik musi zapewniać możliwość budowania stosów (stackowanie) z zapewnieniem następujących parametrów: a. Przepustowość w ramach stosu min. 480Gb/s
Numer produktu Opis Ilość
WS-C3850-24S-S Catalyst 3850 24 Port GE SFP, IP Base 1
PWR-C1-350WAC/2 350W AC Config 1 Secondary Power Supply 1
CAB-CONSOLE-USB Console Cable 6 ft with USB Type A and mini-B 1
C3850-NM-4-1G Cisco Catalyst 3850-4x 1GE Network Module 1
GLC-TE= 1000BASE-T SFP transceiver module for Category 5 copper wire
2
GLC-LH-SMD= 1000BASE-LX/LH SFP transceiver module, MMF/SMF, 1310nm, DOM
24
44/93
b. Min. 4 urządzenia w stosie c. Zarządzanie poprzez jeden adres IP d. Możliwość tworzenia połączeń cross-stack link aggregation (czyli dla portów należących do
różnych jednostek w stosie) zgodnie z 802.3ad e. W ofercie producenta muszą istnieć przełączniki 24 i 48-portów z obsługą standardu
802.3at, które można zestakować z oferowanym przełącznikiem f. Przełączniki w ramach stosu muszą umożliwiać współdzielenie mocy zasilaczy tzn.
zasilacze muszą stanowić zasób wspólny dla wszystkich jednostek w stosie (redundancja zasilania bez konieczności instalacji zasilaczy zapasowych w każdym przełączniku, możliwość „pożyczania” mocy dla innych jednostek w stosie, w tym dla przełączników wymagających większej mocy dla PoE, jeśli takowe są zainstalowane w stosie). Jednoczesnie dopuszcza się rozwiązanie alternatywne dla współdzielenia mocy zasilaczy poprzez zastosowanie jednego zewnętrznego redundantnego zasilacza, zasilającego kilka (więcej niż jedno) urządzeń na raz pracujących w stosie.
g. Przełącznik musi być wyposażony we wszystkie niezbędne komponenty (w tym moduły i kable) do realizacji tego zadania.
Oczekiwana wydajność 9. Przełącznik musi zapewniać obsługę wszystkich portów z pełną wydajnością (wirespeed).
Szybkość przełączania minimum 90,0 Gbps dla pakietów 64-bajtowych 10. Minimum 4 Gb pamięci DRAM i 2Gb pamięci Flash 11. Jednoczesna obsługa min. 32.000 adresów MAC, 24.000 tras w tablicy routingu i 4.000 sieci
VLAN.
Oprogramowanie/funkcjonalność 12. Obsługa protokołu NTP 13. Obsługa IGMPv3 i MLDv1/2 Snooping 14. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance
Spanning Tree. Wymagane wsparcie dla min. 128 instancji protokołu STP 15. Obsługa protokołu LLDP i LLDP-MED. 16. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym
źródłowym i docelowym adresie MAC 17. Obsługa połączeń link aggregation zgodnie z IEEE 802.3ad. Obsługa mechanizmów
bezpieczeństa typu Port Security i IP Source Guard na interfejsach link aggregation 18. Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego 19. Przełącznik musi posiadać możliwość uruchomienia funkcji serwera DHCP 20. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem
bezpieczeństwa sieci: a. Minimum 5 poziomów dostępu administracyjnego poprzez konsolę. Przełącznik musi
umożliwiać zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji (privilege-level)
b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL
b. Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X
c. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC d. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez
suplikanta 802.1X (bez konieczności stosowania zewnętrznego serwera www) e. Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym
porcie f. Przełącznik musi umożliwiać elastyczność w zakresie przeprowadzania mechanizmu
uwierzytelniania na porcie. Wymagane jest zapewnienie jednoczesnego uruchomienia na porcie zarówno mechanizmów 802.1X, jak i uwierzytelniania per MAC oraz uwierzytelniania w oparciu o www
g. Możliwość wdrożenia uwierzytelniania w oparciu o 802.1X w trybie monitor (niezależnie od tego czy uwierzytelnianie się powiedzie, czy nie użytkownik ma prawo dostępu do sieci) – jako element sprawdzenia gotowości instalacji na pełne wdrożenie 802.1X
h. Przełącznik musi posiadać funkcję supplicanta 802.1X (możliwość podłączenia przełącznika do innego switcha z uruchomionym mechanizmem uwierzytelniania 802.1X)
i. Obsługa funkcji bezpieczeństwa sieci LAN: Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source Guard
45/93
j. Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów RADIUS lub TACACS+
k. Obsługa list kontroli dostępu (ACL)na poziomie portów (PACL), VLAN-ów (VACL), interfejsów routera L3 (RACL), możliwość konfiguracji tzw. czasowych list ACL (aktywnych w określonych godzinach i dniach tygodnia)
l. Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) – w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard), ochronę przed dołączeniem nieuprwanionych serwerów DHCPv6 do sieci (DHCPv6 Guard) oraz ochronę przed fałszowaniem źródłowych adresów IPv6 (IPv6 Source Guard)
m. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6
21. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Implementacja co najmniej czterech kolejek sprzętowych dla ruchu wyjściowego na
każdym porcie dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek
b. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (StrictPriority)
c. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP
d. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (policing, ratelimiting). Wymagana jest możliwość skonfigurowania minimum 64 różnych ograniczeń per port, każde odpowiednio dla różnej klasy obsługi ruchu
e. Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP – poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP
22. Obsługa funkcji DHCP Relay 23. Możliwość konfiguracji list ACL i usług QoS dla IPv6 24. Funkcjonalność prywatnego VLAN-u, czyli możliwość blokowania ruchu pomiędzy portami
obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji z portem nadrzędnym
25. Routing multicastów (PIM-SM) oraz policy-based routing 26. Urządzenie musi zapewniać możliwość rozszerzenia funkcjonalności o obsługę:
a. zaawansowanych protokołów routingu dynamicznego dla IPv4 (w tym OSPFv2, BGP4, IS-IS) i IPv6 (co najmniej OSPFv3, IS-ISv6, BGPv6)
b. minimum 25 prywatnych domen routingu (funkcjonalność VRF Lite) c. monitorowania parametrów usług dla ruchu IP (IP SLA), w tym również dla usług wideo
(wbudowany symulator ruchu). Wymagana jest możliwość monitorowania parametrów takich jak opóźnienie, jitter, utrata pakietów
27. Obsługa protokołu VRRP lub mechanizmu równoważnego dla usług redundancji bramy dla IPv4 i IPv6.
Zarządzanie i konfiguracja 28. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na
kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN)
29. Urządzenie musi zapewniać możliwość tworzenia statystyk ruchu w oparciu o NetFlow/J-Flow lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie może być mniejsza niż 24.000. Wymagane jest sprzętowe wsparcie dla gromadzenia statystyk NetFlow/J-Flow
30. Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.)
31. Dedykowany port Ethernet do zarządzania out-of-band 32. Minimum jeden port USB umożliwiający podłączenie zewnętrznego nośnika danych.
Urządzenie musi mieć możliwość uruchomienia z nośnika danych umieszczonego w porcie USB.
33. Urządzenie musi być wyposażone w port konsoli USB 34. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest
możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC).
46/93
Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych
35. Obsługa protokołów SNMPv3, SSHv2, SCP, https, syslog – z wykorzystaniem protokołów IPv4 i IPv6
36. Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie.
37. Musi umożliwiać konfigurację zgodnie z dokumentami z zaleceniami do konfiguracji przełączników (Security Guide, Hardening Guide) wydawanymi przez NATO NCI Agency.
Obudowa 38. Możliwość montażu w szafie rack 19”. Wysokość urządzenia nie może przekraczać 1 RU.
Wyposażenie 39. Kabel konsoli szeregowej USB 40. Wymagane ukompletowanie urządzenia:
a. zasilacz redundantny , b. moduł o którym mowa w pkt. 2a.
41. Urządzenie musi być dostarczone z 24 wkładkami 1000Base-LX/LH SFP spełniającymi następujące wymagania:
a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń. Nie dopuszcza się stosowania zamienników
b. Musi być przeznaczona do współpracy ze standardowym światłowodem jednomodowym (9um) i wielodomowym (50um).
c. Musi być kompatybilna ze standardem IEEE 802.3z 1000BASE-LX d. Musi pracować dla pasma 1300 nm i oferować zasięg co najmniej 10000 m e. Musi posiadać podwójny konektor LC/PC
42. Urządzenie musi być dostarczone z 2 wkładkami 1000Base-T SFP spełniającymi następujące wymagania:
a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń. Nie dopuszcza się stosowania zamienników.
b. Musi być przeznaczone do współpracy ze standardową nieekranowaną skrętką miedzianą kategorii 5 lub wyższej
c. Musi wspierać autonegocjację 10/100/1000 i Auto MDI/MDIX d. Musi być zgodny ze standardem IEEE802.3 1000Base-T e. Musi oferować zasięg co najmniej 100 m, f. Musi posiadać konektor RJ-45.
B.16 Przełącznik typu UX 32F.
Jako urządzenie referencyjne „Przełącznik typu UX 32F” spełniające wymagania opisane
w punktach od 1 do 27 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Numer produktu Opis Ilość
WS-C4500X-32SFP+ Catalyst 4500-X 32 Port 10G IP Base Front-to-Back No P/S 1
C4KX-PWR-750AC-R Catalyst 4500X 750W AC front to back cooling power supply 1
C4KX-PWR-750AC-R/2
Catalyst 4500X 750W AC front to back cooling 2nd PWR supply
1
CAB-CEE77-C15-EU CEE 7/7 to IEC-C15 8ft Europe 2
S45XUK9-34-1512SG CAT4500-X Universal Crypto Image 1
GLC-LH-SMD 1000BASE-LX/LH SFP transceiver module MMF/SMF 1310nm DOM
30
GLC-TE= 1000BASE-T SFP transceiver module for Category 5 copper wire
2
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
1. Przełącznik wolnostojący posiadający minimum 32 porty 1/10GBase-X SFP+. Dodatkowo przełącznik musi posiadać slot na dodatkowy moduł (lub moduły) umożliwiający jego
47/93
przyszłą rozbudowę o dodatkowe minimum 8 portów 1/10GBase-X SFP+. Wszystkie porty (w tym również zlokalizowane na dodatkowych modułach) muszą być dostępne od przodu urządzenia
2. Przełącznik musi być wyposażony w: a. Redundantne i wymienne moduły wentylatorów b. Redundantne i wymienne zasilacze prądu zmiennego AC
3. Urządzenie musi mieć możliwość wyposażenia w zasilacze prądu stałego DC 4. Urządzenie musi zapewniać przepustowość nie mniejszą niż 800Gb/s. Szybkość
przełączania/routingu minimum 250Mp/s dla IPv4 i 125Mp/s dla IPv6 5. Urządzenie musi zapewniać możliwość tworzenia statystyk ruchu w oparciu o NetFlow/J-
Flow lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie może być mniejsza niż 128 000 (wymagane wsparcie sprzętowe)
6. Urządzenie musi zapewniać obsługę: a. min. 4 000 sieci VLAN, interfejsów SVI, instancji Spanning Tree b. min. 50 000 adresów MAC c. sprzętową dla QoS i ACL - minimum 64 000 wpisów sprzętowych
7. Urządzenie musi posiadać min. 2GB pamięci DRAM z możliwością jej rozbudowy do 4GB 8. Urządzenie musi umożliwiać przełączanie w warstwie 2 i 3. Wymagane jest wsparcie dla
min. routingu statycznego i dynamicznego (min. dla portokołu RIPv2 i RIPng), routingu multicastów IPv4 i IPv6 (PIM-SM, PIM-SSM) i protokołu redundancji bramy VRRP/HSRP/GLBP lub innego równoważnego. Urządzenie musi umożliwiać rozszerzenie funkcjonalności (poprzez upgrade oprogramowania lub zakup odpowiedniej licencji) o zaawansowane protokoły routingu warstwy 3 dla ruchu IPv4 i IPv6 (min. BGP, OSPFv2/v3, IS-IS, PBR)
9. Urządzenie musi zapewniać obsługę protokołu BFD (Bidirectional Forwarding Detection) dla IPv4 i IPv6 dla routingu statycznego oraz dynamicznego (po rozszerzeniu funkcjonalności) – minimum dla protokołów OSPF i BGP
10. Tablica routingu musi posiadać minimum: a. 256 000 wpisów dla IPv4 b. 128 000 wpisów dla IPv6 c. 30 000 wpisów dla ruchu multicast
11. Przełącznik musi obsługiwać ramki Jumbo (do min. 9216 bajtów) 12. Urządzenie musi wspierać następujące mechanizm związane z zapewnieniem ciągłości
pracy sieci: a. 802.1w Rapid Spanning Tree b. 802.1s Multi-Instance Spanning Tree c. Wsparcie dla HSRP/VRRP/GLBP lub mechanizmu równoważnego
13. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci:
a. Obsługa 8 kolejek sprzętowych dla różnego rodzaju ruchu b. Obsługa co najmniej jednej kolejki ze statusem strict priority c. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie
następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP
d. Możliwość “re-kolorowania” pakietów przez urządzenie – pakiet przychodzący do urządzenia przed przesłaniem na port wyjściowy może mieć zmienione pola 802.1p (CoS) oraz IP ToS/DSCP.
e. Kontrola sztormów dla ruchu boradcast i multicast f. Mechanizm AutoQoS lub równoważny
14. Obsługa protokołu LLDP i LLD-MED 15. Obsługa funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu
głosowego 16. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem
bezpieczeństwa sieci: a. Min. 5 poziomów dostępu administracyjnego poprzez konsolę b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego
przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL
c. Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X
d. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC
48/93
e. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X
f. Wymagana jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie
g. Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC 5176 h. Możliwość uzyskania dostępu do urządzenia przez SNMPv3 i SSHv2 i. Możliwość szyfrowania ruchu zgodnie z IEEE 802.1AE (MACSec) dla wszystkich
portów 1/10GE przełącznika (dla połączeń switch-switch oraz switch-użytkownik/serwer)
j. Obsługa list kontroli dostępu (ACL) dla IPv4 i IPv6 k. Zapewnienie podstawowych mechanizmów bezpieczeństwa w tym Port Security,
DHCP Snooping, Dynamic ARP Inspection, IP Source Guard l. Zapewnienie podstawowych mechanizmów bezpieczeństwa dla ruchu IPv6 na brzegu
sieci – DHCPv6 Guard, IPv6 Snooping, IPv6 Router Advertisement (RA) Guard, RA Throttler, IPv6 Source/Prefix Guard, IPv6 Destination Guard
m. Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny oraz 802.1X) do serwerów RADIUS lub TACACS+
n. Funkcjonalność prywatnego VLAN-u, czyli możliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji z portem nadrzędnym
17. Przełącznik musi umożliwiać lokalną i zdalną obserwację ruchu na określonym porcie (mechanizmy SPAN i RSPAN) – wymagana jest obsługa min. 6 sesji SPAN/RSPAN na przełączniku
18. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym źródłowym i docelowym adresie MAC
19. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 10 plików konfiguracyjnych i 3 wersji oprogramowania
20. Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie
21. Urządzenie musi posiadać wbudowany analizator pakietów 22. Urządzenie musi posiadać funkcjonalność umożliwiającą monitorowanie parametrów usług dla
ruchu IP (IP SLA), w tym również dla usług wideo (urządzenie musi posiadać wbudowany symulator ruchu wideo). Wymagana jest możliwość monitorowania parametrów takich jak opóźnienie, jitter, utrata pakietów
23. Urządzenie musi umożliwiać stworzenie wirtualnego systemu złożonego z min. 2 urządzeń będącego przedmiotem opisu, zarządzanego jako całość. Urządzenia pracujące w takiej konfiguracji muszą umożliwiać połączenie w system z wykorzystaniem standardowych portów 10GE oraz modułów optycznych, a dla innych urządzeń taki system wirtualny musi być widoczny jako pojedynczy węzeł sieciowy. W ramach systemu wirtualnego musi istnieć możliwość tworzenia połączeń link aggregation terminowanych na dwóch fizycznych przełącznikach (tzw. multi-chassis link aggregation) zgodnych z IEEE 802.3ad
24. Obudowa przystosowana do montażu w szafie 19”. Wysokość nie większa niż 1RU 25. Urządzenie musi być dostarczone z 30 wkładkami 1000Base-LX/LH SFP spełniającymi
następujące wymagania: a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu
urządzeń. Nie dopuszcza się stosowania zamienników b. Musi być przeznaczona do współpracy ze standardowym światłowodem
jednomodowym (9um) i wielodomowym (50um). c. Musi być kompatybilna ze standardem IEEE 802.3z 1000BASE-LX d. Musi pracować dla pasma 1300 nm i oferować zasięg co najmniej 10000 m e. Musi posiadać podwójny konektor LC/PC
26. Urządzenie musi być dostarczone z 2 wkładkami 1000Base-T SFP spełniającymi następujące wymagania:
a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń. Nie dopuszcza się stosowania zamienników.
b. Musi być przeznaczone do współpracy ze standardową nieekranowaną skrętką miedzianą kategorii 5 lub wyższej
c. Musi wspierać autonegocjację 10/100/1000 i Auto MDI/MDIX d. Musi być zgodny ze standardem IEEE802.3 1000Base-T
49/93
e. Musi oferować zasięg co najmniej 100 m f. Musi posiadać konektor RJ-45
27. Musi umożliwiać konfigurację zgodnie z dokumentami z zaleceniami do konfiguracji przełączników (Security Guide, Hardening Guide) wydawanymi przez NATO NCI Agenc
B.17 Przełącznik typu UXE4 16F.
Jako urządzenie referencyjne „Przełącznik typu UXE4 16F” spełniające wymagania opisane
w punktach od 1 do 31 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Numer produktu Opis Ilość
WS-C4500X-16SFP+ Catalyst 4500-X 16 Port 10G IP Base, Front-to-Back, No P/S 1
C4KX-PWR-750AC-R Catalyst 4500X 750W AC front to back cooling power supply 1
C4KX-PWR-750AC-R/2
Catalyst 4500X 750W AC front to back cooling 2nd PWR supply
1
C4500X-16P-IP-ES IP Base to Ent. Services license for 16 Port Catalyst 4500-X 1
C4KX-NM-BLANK Catalyst 4500X Network Module Blank 1
CAB-CEE77-C15-EU CEE 7/7 to IEC-C15 8ft Europe 2
S45XUK9-38E CAT4500-X Universal Crypto Image 1
GLC-SX-MMD 1000BASE-SX SFP transceiver module, MMF, 850nm, DOM 6
GLC-TE 1000BASE-T SFP transceiver module for Category 5 copper wire
4
SFP-10G-SR 10GBASE-SR SFP Module 4
SFP-H10GB-CU2M= 10GBASE-CU SFP+ Cable 2 Meter 1
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
1. Przełącznik wolnostojący posiadający minimum 16 portów 1/10GBase-X SFP+. Dodatkowo przełącznik musi posiadać slot na dodatkowy moduł (lub moduły) umożliwiający jego przyszłą rozbudowę o dodatkowe minimum 8 portów 1/10GBase-X SFP+. Wszystkie porty (w tym również zlokalizowane na dodatkowych modułach) muszą być dostępne od przodu urządzenia
2. Przełącznik musi być wyposażony w: a. Redundantne i wymienne moduły wentylatorów b. Redundantne i wymienne zasilacze prądu zmiennego AC (niedopuszczalne
rozwiązania zewnętrzne) 3. Urządzenie musi mieć możliwość wyposażenia w zasilacze prądu stałego DC 4. Urządzenie musi zapewniać przepustowość nie mniejszą niż 480Gb/s. Szybkość
przełączania/routingu minimum 225Mp/s dla IPv4 i 110Mp/s dla IPv6 5. Urządzenie musi zapewniać możliwość tworzenia statystyk ruchu w oparciu o NetFlow/J-Flow
lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie może być mniejsza niż 128 000 (wymagane wsparcie sprzętowe)
6. Urządzenie musi zapewniać obsługę: a. min. 4 000 sieci VLAN, interfejsów SVI, instancji Spanning Tree b. min. 50 000 adresów MAC c. sprzętową dla QoS i ACL - minimum 64 000 wpisów sprzętowych
7. Urządzenie musi posiadać min. 2GB pamięci DRAM z możliwością jej rozbudowy do 4GB 8. Urządzenie musi umożliwiać przełączanie w warstwie 2 i 3. Wymagane jest wsparcie dla min.
routingu statycznego i dynamicznego (min. dla portokołu RIPv2 i RIPng), routingu multicastów IPv4 i IPv6 (PIM-SM, PIM-SSM) i protokołu redundancji bramy VRRP/HSRP/GLBP lub innego równoważnego. Urządzenie musi umożliwiać rozszerzenie funkcjonalności (poprzez upgrade oprogramowania lub zakup odpowiedniej licencji) o zaawansowane protokoły routingu warstwy 3 dla ruchu IPv4 i IPv6 (min. BGP, OSPFv2/v3, IS-IS, PBR)
9. Urządzenie musi zapewniać obsługę protokołu BFD (Bidirectional Forwarding Detection) dla IPv4 i IPv6 dla routingu statycznego oraz dynamicznego (po rozszerzeniu funkcjonalności) – minimum dla protokołów OSPF i BGP
10. Tablica routingu musi posiadać minimum: a. 60 000 wpisów dla IPv4 b. 30 000 wpisów dla IPv6 c. 10 000 wpisów dla ruchu multicast (IPv4/IPv6)
50/93
11. Przełącznik musi obsługiwać ramki Jumbo (do min. 9216 bajtów) 12. Urządzenie musi wspierać następujące mechanizm związane z zapewnieniem ciągłości pracy
sieci: a. 802.1w Rapid Spanning Tree b. 802.1s Multi-Instance Spanning Tree c. Wsparcie dla HSRP/VRRP/GLBP lub mechanizmu równoważnego
13. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci:
a. Obsługa 8 kolejek sprzętowych dla różnego rodzaju ruchu b. Obsługa co najmniej jednej kolejki ze statusem strict priority c. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie
następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP
d. Możliwość “re-kolorowania” pakietów przez urządzenie – pakiet przychodzący do urządzenia przez przesłaniem na port wyjściowy może mieć zmienione pola 802.1p (CoS) oraz IP ToS/DSCP.
e. Kontrola sztormów dla ruchu boradcast i multicast f. Mechanizm AutoQoS lub równoważny
14. Musi zapewniać obsługę protokołu LLDP i LLD-MED 15. Musi zapewniać obsługę funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu
danych i ruchu głosowego 16. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem
bezpieczeństwa sieci: a. Min. 5 poziomów dostępu administracyjnego poprzez konsolę b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego
przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL
c. Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X
d. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC e. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez
suplikanta 802.1X f. Wymagana jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na
jednym porcie g. Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC 5176 h. Możliwość uzyskania dostępu do urządzenia przez SNMPv3 i SSHv2 i. Możliwość szyfrowania ruchu zgodnie z IEEE 802.1AE (MACSec) dla wszystkich
portów 1/10GE przełącznika (dla połączeń switch-switch oraz switch-użytkownik/serwer)
j. Obsługa list kontroli dostępu (ACL) dla IPv4 i IPv6 k. Zapewnienie podstawowych mechanizmów bezpieczeństwa w tym Port Security,
DHCP Snooping, Dynamic ARP Inspection, IP Source Guard l. Zapewnienie podstawowych mechanizmów bezpieczeństwa dla ruchu IPv6 na brzegu
sieci – DHCPv6 Guard, IPv6 Snooping, IPv6 Router Advertisement (RA) Guard, RA Throttler, IPv6 Source/Prefix Guard, IPv6 Destination Guard
m. Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny oraz 802.1X) do serwerów RADIUS lub TACACS+
n. Funkcjonalność prywatnego VLAN-u, czyli możliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji z portem nadrzędnym
17. Przełącznik musi umożliwiać lokalną i zdalną obserwację ruchu na określonym porcie (mechanizmy SPAN i RSPAN) – wymagana jest obsługa min. 6 sesji SPAN/RSPAN na przełączniku (bi-directional)
18. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym źródłowym i docelowym adresie MAC
19. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 10 plików konfiguracyjnych i 2 wersji oprogramowania
20. Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie
51/93
21. Urządzenie musi posiadać wbudowany analizator pakietów 22. Urządzenie musi posiadać funkcjonalność umożliwiającą monitorowanie parametrów usług dla
ruchu IP (IP SLA), w tym również dla usług wideo (urządzenie musi posiadać wbudowany symulator ruchu wideo). Wymagana jest możliwość monitorowania parametrów takich jak opóźnienie, jitter, utrata pakietów
23. Urządzenie musi umożliwiać stworzenie wirtualnego systemu złożonego z min. 2 urządzeń będącego przedmiotem opisu, zarządzanego jako całość. Urządzenia pracujące w takiej konfiguracji muszą umożliwiać połączenie w system z wykorzystaniem standardowych portów 10GE oraz modułów optycznych, a dla innych urządzeń taki system wirtualny musi być widoczny jako pojedynczy węzeł sieciowy. W ramach systemu wirtualnego musi istnieć możliwość tworzenia połączeń link aggregation terminowanych na dwóch fizycznych przełącznikach (tzw. multi-chassis link aggregation) zgodnych z IEEE 802.3ad
24. Obudowa przystosowana do montażu w szafie 19”. Wysokość nie większa niż 1RU 25. Urządzenie musi być wyposażone w zasilacz redundantny 26. Urządzenie musi być dostarczone z licencją o której mowa w punkcie 8- zaawansowane
protokoły routingu warstwy 3 dla ruchu IPv4 i IPv6 (min. BGP, OSPFv2/v3, IS-IS, PBR). 27. Urządzenie musi być dostarczone z 6 wkładkami 1000Base-SX SFP spełniającymi
następujące wymagania: a. Musi być przeznaczona do współpracy ze standardowym światłowodem
wielomodowym (50um). b. Musi być kompatybilna ze standardem IEEE 802.3z 1000BASE-SX. c. Musi pracować dla pasma 850 nm i oferować zasięg co najmniej 500 m. d. Musi posiadać podwójny konektor LC/PC. e. Musi posiadać funkcję monitoringu parametrów takich jak wyjściowa moc optyczna,
wejściowa moc optyczna, temperatura, wartość napięcia zasilania transceivera, prąd polaryzacji lasera.
28. Urządzenie musi być dostarczone z 4 wkładkami 1000Base-T SFP spełniającymi następujące wymagania:
a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń. Nie dopuszcza się stosowania zamienników.
b. Musi być przeznaczone do współpracy ze standardową nieekranowaną skrętką miedzianą kategorii 5 lub wyższej
c. Musi wspierać autonegocjację 10/100/1000 i Auto MDI/MDIX d. Musi być zgodny ze standardem IEEE802.3 1000Base-T e. Musi oferować zasięg co najmniej 100 m f. Musi posiadać konektor RJ-45
29. Urządzenie musi być dostarczone z 4 wkładkami 10GBASE-SR SFP+ spełniającymi następujące wymagania:
a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń. Nie dopuszcza się stosowania zamienników
b. Musi być przeznaczona do współpracy ze standardowym światłowodem wielomodowym (50um).
c. Musi być kompatybilna ze standardem IEEE 802.3ae 100GBASE-SR. d. Musi pracować dla pasma 850 nm i oferować zasięg co najmniej 300 m (OM3). e. Musi posiadać podwójny konektor LC/PC. f. Musi posiadać funkcję monitoringu parametrów takich jak wyjściowa moc optyczna,
wejściowa moc optyczna, temperatura, wartość napięcia zasilania transceivera, prąd polaryzacji lasera
30. Urządzenie musi być dostarczone z 1 kablem miedzianym (tzw. twinax) o długości co najmniej 2 metry z zamontowanymi na obu końcach wkładkami SFP+ 10GigabitEthernet spełniającym następujące wymagania:
a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń. Nie dopuszcza się stosowania zamienników
b. Musi spełniać wymagania IEEE 802.3: 10Gigabit Ethernet 31. Musi umożliwiać konfigurację zgodnie z dokumentami z zaleceniami do konfiguracji
przełączników (Security Guide, Hardening Guide) wydawanymi przez NATO NCI Agency.
52/93
B.18 Przełącznik typu N 24FX.
Jako urządzenie referencyjne „Przełącznik typu N 24FX” spełniające wymagania opisane
w punktach od 1 do 44 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Numer produktu Opis Ilość
WS-C3850-24S-S Catalyst 3850 24 Port GE SFP, IP Base 1
PWR-C1-350WAC/2 350W AC Config 1 Secondary Power Supply 1
CAB-CONSOLE-USB Console Cable 6 ft with USB Type A and mini-B 1
GLC-GE-100FX= 100BASE-FX SFP for GE SFP port 22
GLC-SX-MMD= 1000BASE-SX SFP transceiver module, MMF, 850nm, DOM 2
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
Rodzaj urządzenia 1. Przełącznik Gigabit Ethernet, stakowalny wyposażony w minimum 24 porty Gigabit Ethernet
SFP 2. Przełącznik musi posiadać minimum jeden dodatkowy slot na moduł rozszerzeń z możliwością
jego wymiany „na gorąco” (ang. hot swap). Wśród dostępnych modułów rozszerzeń muszą być dostępne co najmniej następujące moduły: a. Minimum 4-portowy moduł Gigabit Ethernet z gniazdami interfejsów do obsadzenia
optycznymi modułami SFP b. Minimum 2 portowy moduł 10G (porty muszą umożliwiać pracę zarówno jako 10GE jak
i GE). c. Minimum 2-portowy moduł 10Gigabit Ethernet SFP+, przy czym wymagane jest, aby
w przypadku wykorzystanie pojedynczego łącza 10GE istniała możliwość instalacji dodatkowych 2 portów Gigabit Ethernet SFP lub 4 portów Gigabit Ethernet SFP jeśli połącznia 10GE nie są wykorzystywane
3. Porty SFP przełącznika i modułów (o których mowa w pkt. 2) muszą umożliwiać ich obsadzenie modułami 1000Base-T, 1000Base-SX, 1000Base-LX/LH, 1000Base-ZX, 1000Base-BX oraz CWDM i DWDM zależnie od potrzeb Zamawiającego. Porty SFP+ muszą umożliwiać ich obsadzenie modułami 10GBase-SR, 10GBase-LR, 10GBase-LRM, 10GBase-ER oraz modułami optycznymi GE (1000Base-SX, 1000Base-LX/LH, 1000Base-ZX, 1000Base-BX).
Architektura 4. Urządzenie musi być wyposażone w redundantne i wymienne moduły wentylatorów 5. Urządzenie musi być wyposażone w redundantny zasilacz. Zamawiający nie dopuszcza
stosowania zewnętrznych systemów zasilania redundantnego w celu realizacji tego zadania. Zasilacze muszą być wymienne
6. Przełącznik musi posiadać możliwość instalacji zasilacza prądu stałego. Wymagane jest, aby w przełączniku można było jednocześnie instalować zarówno zasilacze prądu zmiennego, jak i stałego. W momencie dostawy przełącznik ma być wyposażony w zasilacz prądu zmiennego 230V
7. Wsparcie sprzętowe i obsługa standardu IEEE 802.1AE szyfrowania ruchu na portach dostępowych GE SFP
8. Przełącznik musi zapewniać możliwość budowania stosów (stackowanie) z zapewnieniem następujących parametrów: a. Przepustowość w ramach stosu min. 480Gb/s b. Min. 4 urządzenia w stosie c. Zarządzanie poprzez jeden adres IP d. Możliwość tworzenia połączeń cross-stack link aggregation (czyli dla portów należących do
różnych jednostek w stosie) zgodnie z 802.3ad e. W ofercie producenta muszą istnieć przełączniki 24 i 48-portów z obsługą standardu
802.3at, które można zestakować z oferowanym przełącznikiem f. Przełączniki w ramach stosu muszą umożliwiać współdzielenie mocy zasilaczy tzn.
zasilacze muszą stanowić zasób wspólny dla wszystkich jednostek w stosie (redundancja zasilania bez konieczności instalacji zasilaczy zapasowych w każdym przełączniku, możliwość „pożyczania” mocy dla innych jednostek w stosie, w tym dla przełączników wymagających większej mocy dla PoE, jeśli takowe są zainstalowane w stosie). Jednoczesnie dopuszcza się rozwiązanie alternatywne dla współdzielenia mocy zasilaczy
53/93
poprzez zastosowanie jednego zewnętrznego redundantnego zasilacza, zasilającego kilka (więcej niż jedno) urządzeń na raz pracujących w stosie.
g. Przełącznik musi być wyposażony we wszystkie niezbędne komponenty (w tym moduły i kable) do realizacji tego zadania.
Oczekiwana wydajność 9. Przełącznik musi zapewniać obsługę wszystkich portów z pełną wydajnością (wirespeed).
Szybkość przełączania minimum 90,0 Gbps dla pakietów 64-bajtowych 10. Minimum 2 Gb pamięci DRAM i 1Gb pamięci Flash 11. Jednoczesna obsługa min. 24.000 adresów MAC, 20.000 tras w tablicy routingu i 3.000 sieci
VLAN.
Oprogramowanie/funkcjonalność 12. Obsługa protokołu NTP 13. Obsługa IGMPv3 i MLDv1/2 Snooping 14. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance
Spanning Tree. Wymagane wsparcie dla min. 128 instancji protokołu STP 15. Obsługa protokołu LLDP i LLDP-MED. 16. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym
źródłowym i docelowym adresie MAC 17. Obsługa połączeń link aggregation zgodnie z IEEE 802.3ad. Obsługa mechanizmów
bezpieczeństa typu Port Security i IP Source Guard na interfejsach link aggregation 18. Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego 19. Przełącznik musi posiadać możliwość uruchomienia funkcji serwera DHCP 20. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem
bezpieczeństwa sieci: a. Minimum 5 poziomów dostępu administracyjnego poprzez konsolę. Przełącznik musi
umożliwiać zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji (privilege-level)
b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL
c. Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X
c. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC d. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez
suplikanta 802.1X (bez konieczności stosowania zewnętrznego serwera www) e. Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym
porcie f. Przełącznik musi umożliwiać elastyczność w zakresie przeprowadzania mechanizmu
uwierzytelniania na porcie. Wymagane jest zapewnienie jednoczesnego uruchomienia na porcie zarówno mechanizmów 802.1X, jak i uwierzytelniania per MAC oraz uwierzytelniania w oparciu o www
g. Możliwość wdrożenia uwierzytelniania w oparciu o 802.1X w trybie monitor (niezależnie od tego czy uwierzytelnianie się powiedzie, czy nie użytkownik ma prawo dostępu do sieci) – jako element sprawdzenia gotowości instalacji na pełne wdrożenie 802.1X
h. Przełącznik musi posiadać funkcję supplicanta 802.1X (możliwość podłączenia przełącznika do innego switcha z uruchomionym mechanizmem uwierzytelniania 802.1X)
i. Obsługa funkcji bezpieczeństwa sieci LAN: Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source Guard
j. Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów RADIUS lub TACACS+
k. Obsługa list kontroli dostępu (ACL)na poziomie portów (PACL), VLAN-ów (VACL), interfejsów routera L3 (RACL), możliwość konfiguracji tzw. czasowych list ACL (aktywnych w określonych godzinach i dniach tygodnia)
l. Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) – w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard), ochronę przed dołączeniem nieuprwanionych serwerów DHCPv6 do sieci (DHCPv6 Guard) oraz ochronę przed fałszowaniem źródłowych adresów IPv6 (IPv6 Source Guard)
m. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6
54/93
21. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Implementacja co najmniej czterech kolejek sprzętowych dla ruchu wyjściowego na
każdym porcie dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek
b. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (StrictPriority)
c. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP
d. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (policing, ratelimiting). Wymagana jest możliwość skonfigurowania minimum 64 różnych ograniczeń per port, każde odpowiednio dla różnej klasy obsługi ruchu
e. Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP – poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP
22. Obsługa funkcji DHCP Relay 23. Możliwość konfiguracji list ACL i usług QoS dla IPv6 24. Funkcjonalność prywatnego VLAN-u, czyli możliwość blokowania ruchu pomiędzy portami
w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji 25. z portem nadrzędnym 26. Routing multicastów (PIM-SM) oraz policy-based routing 27. Urządzenie musi zapewniać możliwość rozszerzenia funkcjonalności o obsługę:
a. zaawansowanych protokołów routingu dynamicznego dla IPv4 (w tym OSPFv2, BGP4, IS-IS) i IPv6 (co najmniej OSPFv3, IS-ISv6, BGPv6)
b. minimum 25 prywatnych domen routingu (funkcjonalność VRF Lite) c. monitorowania parametrów usług dla ruchu IP (IP SLA), w tym również dla usług wideo
(wbudowany symulator ruchu). Wymagana jest możliwość monitorowania parametrów takich jak opóźnienie, jitter, utrata pakietów
28. Obsługa protokołu VRRP lub mechanizmu równoważnego dla usług redundancji bramy dla IPv4 i IPv6.
Zarządzanie i konfiguracja 29. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na
kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN)
30. Urządzenie musi zapewniać możliwość tworzenia statystyk ruchu w oparciu o NetFlow/J-Flow lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie może być mniejsza niż 24.000. Wymagane jest sprzętowe wsparcie dla gromadzenia statystyk NetFlow/J-Flow
31. Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.)
32. Dedykowany port Ethernet do zarządzania out-of-band 33. Minimum jeden port USB umożliwiający podłączenie zewnętrznego nośnika danych.
Urządzenie musi mieć możliwość uruchomienia z nośnika danych umieszczonego w porcie USB.
34. Urządzenie musi być wyposażone w port konsoli USB 35. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest
możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia
36. z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych
37. Obsługa protokołów SNMPv3, SSHv2, SCP, https, syslog – z wykorzystaniem protokołów IPv4 i IPv6
38. Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie.
39. Musi umożliwiać konfigurację zgodnie z dokumentami z zaleceniami do konfiguracji przełączników (Security Guide, Hardening Guide) wydawanymi przez NATO NCI Agency.
Obudowa 40. Możliwość montażu w szafie rack 19”. Wysokość urządzenia nie może przekraczać 1 RU.
55/93
Wyposażenie 41. Kabel konsoli szeregowej USB 42. Wymagane ukompletowanie urządzenia:
a. zasilacz redundantny. 43. Urządzenie musi być dostarczone z 2 wkładkami 1000Base-SX SFP spełniającymi
następujące wymagania: a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń.
Nie dopuszcza się stosowania zamienników b. Musi być przeznaczona do współpracy ze standardowym światłowodem wielomodowym
(50um). c. Musi być kompatybilna ze standardem IEEE 802.3z 1000BASE-SX. d. Musi pracować dla pasma 850 nm i oferować zasięg co najmniej 500 m. e. Musi posiadać podwójny konektor LC/PC. f. Musi posiadać funkcję monitoringu parametrów takich jak wyjściowa moc optyczna,
wejściowa moc optyczna, temperatura, wartość napięcia zasilania transceivera, prąd polaryzacji lasera.
44. Urządzenie musi być dostarczone z 22 wkładkami 100BASE-FX SFP spełniającymi następujące wymagania: a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń.
Nie dopuszcza się stosowania zamienników b. Musi być przeznaczona do współpracy ze standardowym światłowodem wielodomowym
(50um). c. Musi być kompatybilna ze standardem IEEE 802.3z 100BASE-FX d. Musi pracować dla pasma 1300 nm i oferować zasięg co najmniej 2000 m e. Musi posiadać podwójny konektor LC/PC
B.19 Przełącznik typu N 24SX.
Jako urządzenie referencyjne „Przełącznik typu N 24SX” spełniające wymagania opisane
w punktach od 1 do 42 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Numer produktu Opis Ilość
WS-C3850-24S-S Catalyst 3850 24 Port GE SFP, IP Base 1
PWR-C1-350WAC/2 350W AC Config 1 Secondary Power Supply 1
CAB-CONSOLE-USB Console Cable 6 ft with USB Type A and mini-B 1
C3850-NM-4-1G Cisco Catalyst 3850-4x 1GE Network Module 1
GLC-SX-MMD 1000BASE-SX SFP transceiver module, MMF, 850nm, DOM 22
GLC-TE 1000BASE-T SFP transceiver module for Category 5 copper wire
2
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
Rodzaj urządzenia 1. Przełącznik Gigabit Ethernet, stakowalny wyposażony w minimum 24 porty Gigabit Ethernet
SFP 2. Przełącznik musi posiadać minimum jeden dodatkowy slot na moduł rozszerzeń z możliwością
jego wymiany „na gorąco” (ang. hot swap). Wśród dostępnych modułów rozszerzeń muszą być dostępne co najmniej następujące moduły: a. Minimum 4-portowy moduł Gigabit Ethernet z gniazdami interfejsów do obsadzenia
optycznymi modułami SFP b. Minimum 2 portowy moduł 10G (porty muszą umożliwiać pracę zarówno jako 10GE jak
i GE). c. Minimum 2-portowy moduł 10Gigabit Ethernet SFP+, przy czym wymagane jest, aby
w przypadku wykorzystanie pojedynczego łącza 10GE istniała możliwość instalacji dodatkowych 2 portów Gigabit Ethernet SFP lub 4 portów Gigabit Ethernet SFP jeśli połącznia 10GE nie są wykorzystywane
3. Porty SFP przełącznika i modułów (o których mowa w pkt. 2) muszą umożliwiać ich obsadzenie modułami 1000Base-T, 1000Base-SX, 1000Base-LX/LH, 1000Base-ZX, 1000Base-BX oraz CWDM i DWDM zależnie od potrzeb Zamawiającego. Porty SFP+ muszą umożliwiać ich obsadzenie modułami 10GBase-SR, 10GBase-LR, 10GBase-LRM, 10GBase-
56/93
ER oraz modułami optycznymi GE (1000Base-SX, 1000Base-LX/LH, 1000Base-ZX, 1000Base-BX)
Architektura 4. Urządzenie musi być wyposażone w redundantne i wymienne moduły wentylatorów 5. Urządzenie musi być wyposażone w redundantny zasilacz. Zamawiający nie dopuszcza
stosowania zewnętrznych systemów zasilania redundantnego w celu realizacji tego zadania. Zasilacze muszą być wymienne
6. Przełącznik musi posiadać możliwość instalacji zasilacza prądu stałego. Wymagane jest, aby w przełączniku można było jednocześnie instalować zarówno zasilacze prądu zmiennego, jak i stałego. W momencie dostawy przełącznik ma być wyposażony w zasilacz prądu zmiennego 230V
7. Wsparcie sprzętowe i obsługa standardu IEEE 802.1AE szyfrowania ruchu na portach dostępowych GE SFP
8. Przełącznik musi zapewniać możliwość budowania stosów (stackowanie) z zapewnieniem następujących parametrów: a. Przepustowość w ramach stosu min. 480Gb/s b. Min. 4 urządzenia w stosie c. Zarządzanie poprzez jeden adres IP d. Możliwość tworzenia połączeń cross-stack link aggregation (czyli dla portów należących do
różnych jednostek w stosie) zgodnie z 802.3ad e. W ofercie producenta muszą istnieć przełączniki 24 i 48-portów z obsługą standardu
802.3at, które można zestakować z oferowanym przełącznikiem f. Przełączniki w ramach stosu muszą umożliwiać współdzielenie mocy zasilaczy tzn.
zasilacze muszą stanowić zasób wspólny dla wszystkich jednostek w stosie (redundancja zasilania bez konieczności instalacji zasilaczy zapasowych w każdym przełączniku, możliwość „pożyczania” mocy dla innych jednostek w stosie, w tym dla przełączników wymagających większej mocy dla PoE, jeśli takowe są zainstalowane w stosie). Jednoczesnie dopuszcza się rozwiązanie alternatywne dla współdzielenia mocy zasilaczy poprzez zastosowanie jednego zewnętrznego redundantnego zasilacza, zasilającego kilka (więcej niż jedno) urządzeń na raz pracujących w stosie.
g. Przełącznik musi być wyposażony we wszystkie niezbędne komponenty (w tym moduły i kable) do realizacji tego zadania
Oczekiwana wydajność 9. Przełącznik musi zapewniać obsługę wszystkich portów z pełną wydajnością (wirespeed).
Szybkość przełączania minimum 90,0 Gbps dla pakietów 64-bajtowych 10. Minimum 2 Gb pamięci DRAM i 1Gb pamięci Flash.
Oprogramowanie/funkcjonalność 11. Obsługa protokołu NTP 12. Obsługa IGMPv3 i MLDv1/2 Snooping 13. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance
Spanning Tree. Wymagane wsparcie dla min. 128 instancji protokołu STP 14. Obsługa protokołu LLDP i LLDP-MED. 15. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym
źródłowym i docelowym adresie MAC 16. Obsługa połączeń link aggregation zgodnie z IEEE 802.3ad. Obsługa mechanizmów
bezpieczeństa typu Port Security i IP Source Guard na interfejsach link aggregation 17. Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego 18. Przełącznik musi posiadać możliwość uruchomienia funkcji serwera DHCP 19. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem
bezpieczeństwa sieci: a. Minimum 5 poziomów dostępu administracyjnego poprzez konsolę. Przełącznik musi
umożliwiać zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji (privilege-level)
b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL
d. Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X
c. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC
57/93
d. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X (bez konieczności stosowania zewnętrznego serwera www)
e. Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie
f. Przełącznik musi umożliwiać elastyczność w zakresie przeprowadzania mechanizmu uwierzytelniania na porcie. Wymagane jest zapewnienie jednoczesnego uruchomienia na porcie zarówno mechanizmów 802.1X, jak i uwierzytelniania per MAC oraz uwierzytelniania w oparciu o www
g. Możliwość wdrożenia uwierzytelniania w oparciu o 802.1X w trybie monitor (niezależnie od tego czy uwierzytelnianie się powiedzie, czy nie użytkownik ma prawo dostępu do sieci) – jako element sprawdzenia gotowości instalacji na pełne wdrożenie 802.1X
h. Przełącznik musi posiadać funkcję supplicanta 802.1X (możliwość podłączenia przełącznika do innego switcha z uruchomionym mechanizmem uwierzytelniania 802.1X)
i. Obsługa funkcji bezpieczeństwa sieci LAN: Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source Guard
j. Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów RADIUS lub TACACS+
k. Obsługa list kontroli dostępu (ACL)na poziomie portów (PACL), VLAN-ów (VACL), interfejsów routera L3 (RACL), możliwość konfiguracji tzw. czasowych list ACL (aktywnych w określonych godzinach i dniach tygodnia)
l. Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) – w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard), ochronę przed dołączeniem nieuprwanionych serwerów DHCPv6 do sieci (DHCPv6 Guard) oraz ochronę przed fałszowaniem źródłowych adresów IPv6 (IPv6 Source Guard)
m. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6
20. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Implementacja co najmniej czterech kolejek sprzętowych dla ruchu wyjściowego na
każdym porcie dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek
b. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem c. w stosunku do innych (StrictPriority) d. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie
następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP
e. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (policing, ratelimiting). Wymagana jest możliwość skonfigurowania minimum 64 różnych ograniczeń per port, każde odpowiednio dla różnej klasy obsługi ruchu
f. Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP – poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP
21. Obsługa funkcji DHCP Relay 22. Możliwość konfiguracji list ACL i usług QoS dla IPv6 23. Funkcjonalność prywatnego VLAN-u, czyli możliwość blokowania ruchu pomiędzy portami
w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji z portem nadrzędnym
24. Routing multicastów (PIM-SM) oraz policy-based routing 25. Urządzenie musi zapewniać możliwość rozszerzenia funkcjonalności o obsługę:
a. zaawansowanych protokołów routingu dynamicznego dla IPv4 (w tym OSPFv2, BGP4, IS-IS) i IPv6 (co najmniej OSPFv3, IS-ISv6, BGPv6)
b. minimum 25 prywatnych domen routingu (funkcjonalność VRF Lite) c. monitorowania parametrów usług dla ruchu IP (IP SLA), w tym również dla usług wideo
(wbudowany symulator ruchu). Wymagana jest możliwość monitorowania parametrów takich jak opóźnienie, jitter, utrata pakietów
26. Obsługa protokołu VRRP lub mechanizmu równoważnego dla usług redundancji bramy dla IPv4 i IPv6
58/93
Zarządzanie i konfiguracja 27. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na
kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN)
28. Urządzenie musi zapewniać możliwość tworzenia statystyk ruchu w oparciu o NetFlow/J-Flow lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie może być mniejsza niż 24.000. Wymagane jest sprzętowe wsparcie dla gromadzenia statystyk NetFlow/J-Flow
29. Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.)
30. Dedykowany port Ethernet do zarządzania out-of-band 31. Minimum jeden port USB umożliwiający podłączenie zewnętrznego nośnika danych.
Urządzenie musi mieć możliwość uruchomienia z nośnika danych umieszczonego w porcie USB.
32. Urządzenie musi być wyposażone w port konsoli USB 33. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest
możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia
34. z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych
35. Obsługa protokołów SNMPv3, SSHv2, SCP, https, syslog – z wykorzystaniem protokołów IPv4 i IPv6
36. Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie.
37. Musi umożliwiać konfigurację zgodnie z dokumentami z zaleceniami do konfiguracji przełączników (Security Guide, Hardening Guide) wydawanymi przez NATO NCI Agency.
Obudowa 38. Możliwość montażu w szafie rack 19”. Wysokość urządzenia nie może przekraczać 1 RU
Wyposażenie 39. Kabel konsoli szeregowej USB 40. Wymagane ukompletowanie urządzenia:
a. zasilacz redundantny , b. moduł o którym mowa w pkt. 2c.
41. Urządzenie musi być dostarczone z 22 wkładkami 1000Base-SX SFP spełniającymi następujące wymagania: a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń.
Nie dopuszcza się stosowania zamienników. b. Musi być przeznaczona do współpracy ze standardowym światłowodem wielomodowym
(50um). c. Musi być kompatybilna ze standardem IEEE 802.3z 1000BASE-SX. d. Musi pracować dla pasma 850 nm i oferować zasięg co najmniej 500 m. e. Musi posiadać podwójny konektor LC/PC. f. Musi posiadać funkcję monitoringu parametrów takich jak wyjściowa moc optyczna,
wejściowa moc optyczna, temperatura, wartość napięcia zasilania transceivera, prąd polaryzacji lasera.
42. Urządzenie musi być dostarczone z 2 wkładkami 1000Base-T SFP spełniającymi następujące wymagania: a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń.
Nie dopuszcza się stosowania zamienników. b. Musi być przeznaczone do współpracy ze standardową nieekranowaną skrętką miedzianą
kategorii 5 lub wyższej c. Musi wspierać autonegocjację 10/100/1000 i Auto MDI/MDIX d. Musi być zgodny ze standardem IEEE802.3 1000Base-T e. Musi oferować zasięg co najmniej 100 m f. Musi posiadać konektor RJ-45
59/93
B.20 Przełącznik typu N 24LX
Jako urządzenie referencyjne „Przełącznik typu N 24LX” spełniające wymagania opisane
w punktach od 1 do 42 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Numer produktu Opis Ilość
WS-C3850-24S-S Catalyst 3850 24 Port GE SFP, IP Base 1
PWR-C1-350WAC/2 350W AC Config 1 Secondary Power Supply 1
CAB-CONSOLE-USB Console Cable 6 ft with USB Type A and mini-B 1
C3850-NM-4-1G Cisco Catalyst 3850-4x 1GE Network Module 1
GLC-LH-SMD= 1000BASE-LX/LH SFP transceiver module, MMF/SMF, 1310nm, DOM
22
GLC-TE 1000BASE-T SFP transceiver module for Category 5 copper wire
2
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
Rodzaj urządzenia 1. Przełącznik Gigabit Ethernet, stakowalny wyposażony w minimum 24 porty Gigabit Ethernet
SFP 2. Przełącznik musi posiadać minimum jeden dodatkowy slot na moduł rozszerzeń z możliwością
jego wymiany „na gorąco” (ang. hot swap). Wśród dostępnych modułów rozszerzeń muszą być dostępne co najmniej następujące moduły: a. Minimum 4-portowy moduł Gigabit Ethernet z gniazdami interfejsów do obsadzenia
optycznymi modułami SFP b. Minimum 2 portowy moduł 10G (porty muszą umożliwiać pracę zarówno jako 10GE jak
i GE). c. Minimum 2-portowy moduł 10Gigabit Ethernet SFP+, przy czym wymagane jest, aby
w przypadku wykorzystanie pojedynczego łącza 10GE istniała możliwość instalacji dodatkowych 2 portów Gigabit Ethernet SFP lub 4 portów Gigabit Ethernet SFP jeśli połącznia 10GE nie są wykorzystywane
3. Porty SFP przełącznika i modułów (o których mowa w pkt. 2) muszą umożliwiać ich obsadzenie modułami 1000Base-T, 1000Base-SX, 1000Base-LX/LH, 1000Base-ZX, 1000Base-BX oraz CWDM i DWDM zależnie od potrzeb Zamawiającego. Porty SFP+ muszą umożliwiać ich obsadzenie modułami 10GBase-SR, 10GBase-LR, 10GBase-LRM, 10GBase-ER oraz modułami optycznymi GE (1000Base-SX, 1000Base-LX/LH, 1000Base-ZX, 1000Base-BX)
Architektura 4. Urządzenie musi być wyposażone w redundantne i wymienne moduły wentylatorów 5. Urządzenie musi być wyposażone w redundantny zasilacz. Zamawiający nie dopuszcza
stosowania zewnętrznych systemów zasilania redundantnego w celu realizacji tego zadania. Zasilacze muszą być wymienne
6. Przełącznik musi posiadać możliwość instalacji zasilacza prądu stałego. Wymagane jest, aby w przełączniku można było jednocześnie instalować zarówno zasilacze prądu zmiennego, jak i stałego. W momencie dostawy przełącznik ma być wyposażony w zasilacz prądu zmiennego 230V
7. Wsparcie sprzętowe i obsługa standardu IEEE 802.1AE szyfrowania ruchu na portach dostępowych GE SFP
8. Przełącznik musi zapewniać możliwość budowania stosów (stackowanie) z zapewnieniem następujących parametrów: a. Przepustowość w ramach stosu min. 480Gb/s b. Min. 4 urządzenia w stosie c. Zarządzanie poprzez jeden adres IP d. Możliwość tworzenia połączeń cross-stack link aggregation (czyli dla portów należących do
różnych jednostek w stosie) zgodnie z 802.3ad e. W ofercie producenta muszą istnieć przełączniki 24 i 48-portów z obsługą standardu
802.3at, które można zestakować z oferowanym przełącznikiem f. Przełączniki w ramach stosu muszą umożliwiać współdzielenie mocy zasilaczy tzn.
zasilacze muszą stanowić zasób wspólny dla wszystkich jednostek w stosie (redundancja zasilania bez konieczności instalacji zasilaczy zapasowych w każdym przełączniku,
60/93
możliwość „pożyczania” mocy dla innych jednostek w stosie, w tym dla przełączników wymagających większej mocy dla PoE, jeśli takowe są zainstalowane w stosie). Jednoczesnie dopuszcza się rozwiązanie alternatywne dla współdzielenia mocy zasilaczy poprzez zastosowanie jednego zewnętrznego redundantnego zasilacza, zasilającego kilka (więcej niż jedno) urządzeń na raz pracujących w stosie.
g. Przełącznik musi być wyposażony we wszystkie niezbędne komponenty (w tym moduły i kable) do realizacji tego zadania
Oczekiwana wydajność 9. Przełącznik musi zapewniać obsługę wszystkich portów z pełną wydajnością (wirespeed).
Szybkość przełączania minimum 90,0 Gbps dla pakietów 64-bajtowych 10. Minimum 2 Gb pamięci DRAM i 1Gb pamięci Flash 11. Jednoczesna obsługa min. 24.000 adresów MAC, 20.000 tras w tablicy routingu i 3.000 sieci
VLAN
Oprogramowanie/funkcjonalność 12. Obsługa protokołu NTP 13. Obsługa IGMPv3 i MLDv1/2 Snooping 14. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance
Spanning Tree. Wymagane wsparcie dla min. 128 instancji protokołu STP 15. Obsługa protokołu LLDP i LLDP-MED. 16. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym
źródłowym i docelowym adresie MAC 17. Obsługa połączeń link aggregation zgodnie z IEEE 802.3ad. Obsługa mechanizmów
bezpieczeństa typu Port Security i IP Source Guard na interfejsach link aggregation 18. Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego 19. Przełącznik musi posiadać możliwość uruchomienia funkcji serwera DHCP 20. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem
bezpieczeństwa sieci: a. Minimum 5 poziomów dostępu administracyjnego poprzez konsolę. Przełącznik musi
umożliwiać zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji (privilege-level)
b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL
e. Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X
c. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC d. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez
suplikanta 802.1X (bez konieczności stosowania zewnętrznego serwera www) e. Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym
porcie f. Przełącznik musi umożliwiać elastyczność w zakresie przeprowadzania mechanizmu
uwierzytelniania na porcie. Wymagane jest zapewnienie jednoczesnego uruchomienia na porcie zarówno mechanizmów 802.1X, jak i uwierzytelniania per MAC oraz uwierzytelniania w oparciu o www
g. Możliwość wdrożenia uwierzytelniania w oparciu o 802.1X w trybie monitor (niezależnie od tego czy uwierzytelnianie się powiedzie, czy nie użytkownik ma prawo dostępu do sieci) – jako element sprawdzenia gotowości instalacji na pełne wdrożenie 802.1X
h. Przełącznik musi posiadać funkcję supplicanta 802.1X (możliwość podłączenia przełącznika do innego switcha z uruchomionym mechanizmem uwierzytelniania 802.1X)
i. Obsługa funkcji bezpieczeństwa sieci LAN: Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source Guard
j. Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów RADIUS lub TACACS+
k. Obsługa list kontroli dostępu (ACL)na poziomie portów (PACL), VLAN-ów (VACL), interfejsów routera L3 (RACL), możliwość konfiguracji tzw. czasowych list ACL (aktywnych w określonych godzinach i dniach tygodnia)
l. Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) – w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard), ochronę przed dołączeniem nieuprwanionych serwerów DHCPv6 do sieci (DHCPv6 Guard) oraz ochronę przed fałszowaniem źródłowych adresów IPv6 (IPv6 Source Guard)
61/93
m. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6
21. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Implementacja co najmniej czterech kolejek sprzętowych dla ruchu wyjściowego na
każdym porcie dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek
b. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (StrictPriority)
c. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP
d. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (policing, ratelimiting). Wymagana jest możliwość skonfigurowania minimum 64 różnych ograniczeń per port, każde odpowiednio dla różnej klasy obsługi ruchu
e. Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP – poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP
22. Obsługa funkcji DHCP Relay 23. Możliwość konfiguracji list ACL i usług QoS dla IPv6 24. Funkcjonalność prywatnego VLAN-u, czyli możliwość blokowania ruchu pomiędzy portami
w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji z portem nadrzędnym
25. Routing multicastów (PIM-SM) oraz policy-based routing 26. Urządzenie musi zapewniać możliwość rozszerzenia funkcjonalności o obsługę:
a. zaawansowanych protokołów routingu dynamicznego dla IPv4 (w tym OSPFv2, BGP4, IS-IS) i IPv6 (co najmniej OSPFv3, IS-ISv6, BGPv6)
b. minimum 25 prywatnych domen routingu (funkcjonalność VRF Lite) c. monitorowania parametrów usług dla ruchu IP (IP SLA), w tym również dla usług wideo
(wbudowany symulator ruchu). Wymagana jest możliwość monitorowania parametrów takich jak opóźnienie, jitter, utrata pakietów
27. Obsługa protokołu VRRP lub mechanizmu równoważnego dla usług redundancji bramy dla IPv4 i IPv6
Zarządzanie i konfiguracja 28. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na
kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN)
29. Urządzenie musi zapewniać możliwość tworzenia statystyk ruchu w oparciu o NetFlow/J-Flow lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie może być mniejsza niż 24.000. Wymagane jest sprzętowe wsparcie dla gromadzenia statystyk NetFlow/J-Flow
30. Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.)
31. Dedykowany port Ethernet do zarządzania out-of-band 32. Minimum jeden port USB umożliwiający podłączenie zewnętrznego nośnika danych.
Urządzenie musi mieć możliwość uruchomienia z nośnika danych umieszczonego w porcie USB.
33. Urządzenie musi być wyposażone w port konsoli USB 34. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest
możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych
35. Obsługa protokołów SNMPv3, SSHv2, SCP, https, syslog – z wykorzystaniem protokołów IPv4 i IPv6
36. Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie.
37. Musi umożliwiać konfigurację zgodnie z dokumentami z zaleceniami do konfiguracji przełączników (Security Guide, Hardening Guide) wydawanymi przez NATO NCI Agency.
62/93
Obudowa 38. Możliwość montażu w szafie rack 19”. Wysokość urządzenia nie może przekraczać 1 RU
Wyposażenie 39. Kabel konsoli szeregowej USB 40. Wymagane ukompletowanie urządzenia:
a. zasilacz redundantny , b. moduł o którym mowa w pkt. 2c.
41. Urządzenie musi być dostarczone z 22 wkładkami 1000Base-LX/LH SFP spełanijącymi następujące wymagania: a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń.
Nie dopuszcza się stosowania zamienników b. Musi być przeznaczona do współpracy ze standardowym światłowodem jednomodowym
(9um) i wielodomowym (50um). c. Musi być kompatybilna ze standardem IEEE 802.3z 1000BASE-LX d. Musi pracować dla pasma 1300 nm i oferować zasięg co najmniej 10000 m e. Musi posiadać podwójny konektor LC/PC f. Musi posiadać funkcję monitoringu parametrów takich jak wyjściowa moc optyczna,
wejściowa moc optyczna, temperatura, wartość napięcia zasilania transceivera, prąd polaryzacji lasera.
42. Urządzenie musi być dostarczone z 2 wkładkami 1000Base-T SFP spełniającymi następujące wymagania: a. Musi pochodzić od producenta oferowanych urządzeń i z jednego typoszeregu urządzeń.
Nie dopuszcza się stosowania zamienników. b. Musi być przeznaczone do współpracy ze standardową nieekranowaną skrętką miedzianą
kategorii 5 lub wyższej c. Musi wspierać autonegocjację 10/100/1000 i Auto MDI/MDIX d. Musi być zgodny ze standardem IEEE802.3 1000Base-T e. Musi oferować zasięg co najmniej 100 m f. Musi posiadać konektor RJ-45
B.21 Moduł typu SX.
Jako urządzenie referencyjne „Moduł typu SX” spełniające wymagania opisane w punktach od 1
do 7 Zamawiający określa zestaw sprzętu, oprogramowania i licencji przedstawiony w poniższej
tabeli:
Numer produktu Opis Ilość
GLC-SX-MMD= 1000BASE-SX SFP transceiver module, MMF, 850nm, DOM 1
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
1. Musi współpracować że eksploatowanymi w przez zamawiającego urządzeniami sieciowymi firmy CISCO, a w szczególności z ASR9006, ASR1004, routerami CISCO serii 2900, 3900, 4300, 4400, WS-C3560, WS-C3560G, WS-C3560X, WS-C3570, WS-C3570V2.
2. Musi być oryginalne i pochodzić od producenta eksploatowanego sprzętu firmy CISCO (w którym będzie używane) w celu zachowania warunków gwarancji producenta urządzeń.
3. Musi być przeznaczona do współpracy ze standardowym światłowodem wielomodowym (50um).
4. Musi być kompatybilna ze standardem IEEE 802.3z 1000BASE-SX. 5. Musi pracować dla pasma 850 nm i oferować zasięg co najmniej 500 m. 6. Musi posiadać podwójny konektor LC/PC. 7. Musi posiadać funkcję monitoringu parametrów takich jak wyjściowa moc optyczna,
wejściowa moc optyczna, temperatura, wartość napięcia zasilania transceivera, prąd polaryzacji lasera.
63/93
B.22 Moduł typu T.
Jako urządzenie referencyjne „Moduł typu T” spełniające wymagania opisane w punktach od 1 do
7 Zamawiający określa zestaw sprzętu, oprogramowania i licencji przedstawiony w poniższej
tabeli:
Numer produktu Opis Ilość
GLC-TE= 1000BASE-T SFP transceiver module for Category 5 copper wire 1
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
1. Musi współpracować że eksploatowanymi w przez zamawiającego urządzeniami sieciowymi firmy CISCO, a w szczególności z ASR9006, ASR1004, routerami CISCO serii 2900, 3900, 4300, 4400, WS-C3560, WS-C3560G, WS-C3560X, WS-C3570, WS-C3570V2.
2. Musi być oryginalne i pochodzić od producenta eksploatowanego sprzętu firmy CISCO (w którym będzie używane) w celu zachowania warunków gwarancji producenta urządzeń.
3. Musi być przeznaczona do współpracy ze standardową nieekranowaną skrętką miedzianą kategorii 5 lub wyższej.
4. Musi wspierać autonegocjację 10/100/100 i Auto MDI/MDIX 5. Musi być kompatybilna ze standardem IEEE 802.3z 1000Base-T. 6. Musi oferować zasięg co najmniej 100 m.. 7. Musi posiadać konektor RJ-45.
B.23 Moduł typu SR.
Jako urządzenie referencyjne „Moduł typu SR” spełniające wymagania opisane w punktach od 1
do 8 Zamawiający określa zestaw sprzętu, oprogramowania i licencji przedstawiony w poniższej
tabeli:
Numer produktu Opis Ilość
SFP-10G-SR= 10GBASE-SR SFP Module 1
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
1. Musi współpracować że stosowanymi w przez zamawiającego urządzeniami sieciowymi firmy CISCO, a w szczególności z ASR9006, ASR1006X, ASR1004, Catalyst 2960-S, Catalyst 2960X, Catalyst 3560-E, Catalyst 3750-E, Catalyst 3750-X, Catalyst 3650, Catalyst 3850, Catalyst 4500X, Catalyst 6500, Nexus 5000, Nexus 7000, UCS Fabric Interconnect. Zgodność musi być potwierdzona przez producenta urządzeń sieciowych.
2. Musi być oryginalne i pochodzić od producenta eksploatowanego sprzętu firmy CISCO (w którym będzie używane) w celu zachowania warunków gwarancji producenta urządzeń.
3. Musi spełniać wymagania IEEE 802.3: 10Gigabit Ethernet 4. Musi oferować zasięg co najmniej 26m dla standardowego kabla FDDI-grade MMF 5. Musi oferować zasięg co najmniej 300m dla kabla MMF (OM3) 6. Musi oferować zasięg co najmniej 400m dla kabla MMF (OM4) 7. Musi posiadać podwójny konektor LC/PC 8. Musi pracować z długością fali 850 nm
B.24 Moduł typu CU2.
Jako urządzenie referencyjne „Moduł typu CU2” spełniające wymagania opisane w punktach od 1
do 4 Zamawiający określa zestaw sprzętu, oprogramowania i licencji przedstawiony w poniższej
tabeli:
Numer produktu Opis Ilość
SFP-H10GB-CU2M= 10GBASE-CU SFP+ Cable 2 Meter 1
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
64/93
1. Musi współpracować że stosowanymi w przez zamawiającego urządzeniami sieciowymi firmy CISCO, a w szczególności z Catalyst 2960-S, Catalyst 2960X, Catalyst 3560-X, Catalyst 3750-X, Catalyst 3650, Catalyst 3850, Catalyst 4500X, Catalyst 6500, Nexus 7000,. Zgodność musi być potwierdzona przez producenta urządzeń sieciowych.
2. Musi być oryginalne i pochodzić od producenta eksploatowanego sprzętu firmy CISCO (w którym będzie używane) w celu zachowania warunków gwarancji producenta urządzeń.
3. Musi spełniać wymagania IEEE 802.3: 10Gigabit Ethernet 4. Musi być dostarczona w postaci kabla miedzianego (tzw. twinax) o długości co najmniej
2 metry z zamontowanymi na obu końcach wkładkami SFP+ 10GigabitEthernet
B.25 komplet modułów jednowłóknowych.
Jako urządzenie referencyjne „komplet modułów jednowłóknowych” spełniające wymagania
opisane w punktach od 1 do 6 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Numer produktu Opis Ilość
GLC-BX80-D-I 1000Base BX80-D-I SFP Module 1
GLC-BX80-U-I 1000Base BX80-U-I SFP Module 1
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
1. Musi współpracować że stosowanymi w przez zamawiającego urządzeniami sieciowymi firmy CISCO, a w szczególności z ASR9006, ASR1006X, ASR1004, Cisco 4400 Series Router, Catalyst 2960X, Catalyst 3650, Catalyst 3850, Catalyst 4500X. Zgodność musi być potwierdzona przez producenta urządzeń sieciowych.
2. Musi być oryginalny i pochodzić od producenta eksploatowanego sprzętu firmy CISCO (w którym będzie używane) w celu zachowania warunków gwarancji producenta urządzeń.
3. Komplet musi zawierać dwa kompatybilne modły zapewniające komunikację sieciową pomiędzy dwoma punktami na pojedynczym włóknie światłowodowym.
4. Musi oferować zasięg co najmniej 80km; 5. Musi być kompatybilny ze standardem IEEE 802.3z 6. Musi posiadać konektor LC/PC
B.26 Modem xDSL typu A.
Jako urządzenie referencyjne „Modem xDSL typu A” spełniające wymagania opisane w punktach
od 1 do 16 Zamawiający określa zestaw sprzętu, oprogramowania i licencji przedstawiony w
poniższej tabeli:
Numer produktu Opis Ilość
Tahoe 684 Modem G.shdsl+Tahoe684 z interfejsem FastEthernet 1
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione
niżej wymagania minimalne:
1. Pochodzą od producenta oferowanych urządzeń. 2. Posiadają wbudowany router TCP/IP, firewall oraz serwer DHCP i BOOTP. 3. Posiadają możliwość pracy jako zarządzany lub niezarządzany bridge. 4. Przepustowość - do 22 Mbps na 4 parach miedzianych. 5. Wydajność na poziomie 8200 pakietów na sekundę 6. Zarządzanie przez TELNET, SNMP, lokalną konsolę szeregową, zapisywanie przebiegu
pracy routera w Syslog. 7. Możliwość zdalnego upgrade oprogramowania np. przy użyciu TFTP. 8. Obsługiwane protokoły sieciowe: TCP, IP, UDP, ICMP, TFTP, SNMP, DHCP, BOOTP,
PPP, Frame Relay, HDLC, Cisco HDLC, IEEE 802.1q.
65/93
9. Mozliwość zmiany MTU na porcie Ethernet gdzie maksymalna wartość jest nie mniejsza niż 1800 bajtów.
10. Automatyczne rozdzielanie przesyłanych danych na dostępne łącza. 11. Możliwość ustawiania różnych przepustowości na każdym z łącz (w przypadku linii o
różnych jakościach). 12. Automatyczne przełączane na pracę jednoparową w przypadku awarii jednej z linii. 13. Wbudowany prosty mechanizm filtracji ruchu na poziomie L3 – listy dostępowe. 14. Wbudowana funkcja watchdog ICMP. 15. Zasilacz 230VAC. 16. Posiada wbudowany wyświetlacz i klawiaturę do podglądu i ustawiania podstawowych
parametrów:
Trybu pracy (master/slave), (router/bridge);
Prędkości transmisji;
Stanu synchronizacji;
Podstawowych parametrów poszczególnych linii DSL,
Adresu IP do zarządzania.
B.27 Serwer czasu typu A.
Jako urządzenie referencyjne „Serwer czasu typu A” spełniające wymagania opisane
w punktach od 1 do 14 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Nazwa produktu Ilość
MEINBERG LANTIME M600/PTP GPS NTP Server w odbudowie 19’’ 1U z
oscylatorem OCXO HQ 1
MEINBERG GPSANT - Antena/konwerter częstotliwości GPS do montażu
zewnętrznego 1
Kabel sygnałowy RG58 40mb zakończony złączami N-Type male 1
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
1. Zestaw musi spełniać funkcje sieciowego serwera czasu udostępniający w sieciach komputerowych zsynchronizowany do sygnału GPS czas za pomocą protokołów sieciowych zapewniając błąd nie gorszy niż +/- 788ms na rok w przypadku pracy bez synchronizacji do GPS.
2. Zestaw musi składać się z następujących elementów: a. Serwera czasu (zwanego dalej urządzeniem) b. Anteny/konwertera częstotliwości do odbioru sygnałów GPS (zwanej dalej anteną) c. Kabla sygnałowego umożliwiającego połączenie urządzenia z anteną (zwanego
dalej kablem) 3. Obudowa urządzenia musi umożliwiać jego montaż w standardowej szafie 19’’ zajmując
miejsce 1U 4. Urządzenie musi posiadać wbudowane źródło częstotliwości zapewniające pracęz błędem
nie większym niż +/-788ms na rok w przypadku utraty sygnału GPS. 5. Na obudowie urządzenia na jej przednim panelu muszą występować elementy kontrolno
sterujące i interfejsy: a. Wyświetlacz graficzny o rozdzielczości minimum 256 x 64 punkty; b. Sygnalizatory świetlne(diody LED) określające najważniejsze stany urządzenia:
reference time, time service, Network, alarm. c. Zestaw przycisków do ustawiania podstawowych parametrów pracy urządzenia; d. Złącze USB umożliwiające: instalację oprogramowania (firmware), wykonywanie
i odtwarzanie kopi bezpieczeństwa konfiguracji, kopiowanie kluczy bezpieczeństwa, blokowanie i odblokowywanie przycisków sterujących na przednim panelu
e. ZłączeRS-232C D-SUB 9pin umożliwiające podłączenie terminala do sterowania urządzeniem.
6. Urządzenie musi posiadać przekaźnikowe wyjście alarmu o parametrach:
66/93
a. Maksymalne napięcie styków: 125VDC, 150VAC. b. Maksymalny prąd styków: 1A c. Maksymalne obciążenie: 30W DC, 60VA AC. d. Czas reakcji: 2ms. e. Styki: CO-NO-NC (w czasie alarmu zwarte CO-NC).
7. Urządzenie musi posiadać następujące wyjścia częstotliwości i czasu: a. 10MHz na złączu BNC female (TTL level, 50Ohm). b. F.Synth Out 1/8Hz–10MHz na złączu BNC female (TTL level, 50Ohm). c. PPS (Pulse Per Second) na złączu BNC female (TTL level, 50Ohm). d. PPM (Pulse Per Minute) na złączu BNC female (TTL level, 50Ohm). e. Niemodulowany TC DCLS na złączu BNC female (TTL level, 50Ohm). f. Modulowany IRIG AM na złączu BNC female (3Vpp[MARK], 1Vpp[SPACE],
50Ohm] g. Generowane kody czasu: IRIG B002, IRIG B122, IRIG B003, IRIG B123, IEE1344,
AFNOR 8. Urządzenie musi posiadać minimum 5 portów Ethernet 10/100 Mbps na złączach RJ-45
o niezależnej konfiguracji. 9. Urządzenie musi posiadać minimum 1 port Ethernet 10/100 Mbps obsługujący standard
PTP/IEEE1588; 10. Urządzenie musi posiadać minimum 2 niezależne porty RS-232C na złączu D-SUB 9pin do
przesyłania komunikatów GPS. Porty muszą zapewnić: a. Prędkość transmisji: 300, 600, 1200, 2400, 4800, 9600, 19200 bps. b. Standard RS: 7N2, 7E1, 7E2, 7O1, 8E1, 8N1, 8N2, 8O1. c. Komunikaty czasu: SAT, Uni Erlangen (NTP), SPA, NMEA0183 (RMC),
COMPUTIME lub CAPTURE-TELEGRAM 11. Urządzenie musi obsługiwać następujące protokoły sieciowe:
a. ISO Layer 3: IPv4, IPv6; b. ISO Layer 4: TCP, UDP; c. ISO Layer 7: TELNET, FTP, SSH(SFTP, SCP), HTTP, HTTPS, SYSLOG, SNMP; d. Autokonfiguracja sieci: IPv4 DHCP (RFC2131), IPv6 AUTOCONF; e. Protokół NTP: NTPv2 (RFC1119), NTPv3 (RFC1305), NTPv4, SNTPv3
(RFC1769), SNTPv4 (RFC2030), uwierzytelnianie MD5 oraz zarządzanie automatyczną generacją klucza (AutoKey).
f. Protokół PTP/IEEE1588-2008; g. Protokoły TIME/DAYTIME: Time Protocol (RFC868), Daytime Protocol (RFC867); h. IEC 61850; i. Protokoły HTTP: HTTP/HTTPS (RFC2616); j. Protokoły SSH: SSHv1.3, SSHv1.5, SSHv2 (OpenSSH); k. Protokół Telnet: Telnet (RFC854-861); l. Protokół SNMP: SNMPv1 (RFC1157), SNMPv2c (RFC1901-1908), SNMPv3
(RFC3411-3418); 12. Urządzenie musi spełniać następujące warunki środowiskowe:
a. Temperatura otoczenia: od 0°C do +50°C. b. Praca przy wilgotności do 85%. c. Zasilanie: 100-240VAC.
13. Antena do odbioru sygnałów GPS musi: a. Umożliwiać jej montaż zewnętrzny (IP66). b. Posiadać następujące parametry:
i. Częstotliwość odbiorcza: 1575.42MHz. ii. Szerokość pasma: 9MHz. iii. Konwerter: Local oscilator to converter freq. 10MHz, first IF freq. 35.4 MHz iv. Zasilanie przez kable sygnałowy: 12-18V, 100mA. v. Złącze N-type female. vi. Zakres temperatury pracy: od -40°C do 65°C
14. Kabel sygnałowy o długości 40mb musi odpowiadać parametrami kablowi RG58 i być zakończony złączami N-Type male.
67/93
B.28 Urządzenie HSM typu A
Jako urządzenie referencyjne „Urządzenie HSM typu A” spełniające wymagania opisane
w punktach od 1 do 23 Zamawiający określa zestaw sprzętu, oprogramowania i licencji przedstawiony w poniższej tabeli:
L.p. Opis Ilość egz
w 1 kpl/szt. urządzenia
Uwagi
1 SafeNet Luna SA 1700 HSM Appliance with 10 Partitions License
1 Z najnowszą dostępną wersją oprogramowania.
2 Power Supply 230VAC 50Hz 2
3 Power Supply Cord 2
4 Null-Modem Serial Cable 1
5 USB 2.0 to RS232C Serial Adapter 1
6 Rack 19” Mount Kit 1
7 Client/SDK Software CD/DVD 1 Z najnowszą dostępną wersją oprogramowania.
8 SafeNet Luna PED2 1
9 Cable, Data, 9-pin Micro-D to Micro-D connectors (for local PED operation)
1
10 Set of iKey PED keys and peel-and-stick labels 1 set (10
keys)
11 Luna Backup HSM 1
12 Power Supply Cord 1
13 Small Form Factor Backup SafeNet eToken 7300 10
Szkolenie dla 5 osób.
5 dni szkoleniowych
po 7 godzin zajęć
Zajęcia teoretyczne i praktyczne.
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne: 1. Urządzenie musi być urządzeniem typu HSM (Hardware Security Module) realizującym funkcje
kryptograficzne w środowisku sieciowy. 2. Musi bezpiecznie przechowywać materiał kryptograficzny (klucze kryptograficzne) w sprzęcie. 3. Musi bezpiecznie wykonywać operacje kryptograficzne:
a) Walidacja certyfikatów X.509 i podpisywanie; b) Podpisywanie dokumentów i kodu; c) Generowanie kluczy (również w trybie bulk); d) Szyfrowanie danych;
4. Musi umożliwiać wirtualny podział urządzenia na niezależne części (partycje) – minimum 10 części (partycji).
5. Musi umożliwiać przechowywania i backup kluczy z wykorzystaniem mechanizmów podziału „n z k”. Do każdego urządzenia należy dostarczyć minimum 10 kart/tokenów przystosowanych do przechowania podzielonego klucza.
6. Musi umożliwiać wykonywanie backupu całego urządzenia do zewnętrznego modułu backupu. Do każdego urządzenia musi być dostarczony 1 moduł do pełnego backupu.
7. Musi umożliwiać wykonywanie backupu pojedynczej części wirtualnej urządzenia (partycji) do zewnętrznego modułu o niewielkich rozmiarach. Do każdego urządzenia musi być dostarczona taka ilość modułów jak maksymalna liczba wirtualnych części urządzenia (partycji).
8. Musi umożliwiać lokalne i zdalne zarządzanie poprzez: a) Port szeregowy RS232. Do każdego urządzenie musi być dostarczony konwerter USB 2.0
na RS232;
68/93
b) Protokół SSHv2; c) Moduł zarządzania z klawiaturą i wyświetlaczem podłączany do urządzenia lub zdalnie
(moduł zarządzania podłączony do zdalnego komputera poprzez port USB). Do każdego urządzenia musi być dostarczony minimum 1 moduł do zarządzania;
9. Musi zapewniać wielopoziomową kontrolę dostępu do wykonywanych operacji i zarządzania. 10. Musi mieć możliwość pracy w trybie wysokiej dostępności z 1 lub więcej urządzeniami. 11. Musi obsługiwać standardy kryptograficzne:
a) Algorytmy asymetryczne:
RSA (1024-8192);
DSA (1024-3072);
Diffie-Hellman;
KCDSA;
ECDSA, ECDH, ECIES (with named, user-defined and Brainpool curves) b) Algorytmy symetryczne:
AES;
RC2, RC4, RC5;
CAST;
DES, 3DES;
ARIA;
SEED; c) Funkcje skrótu:
SHA-1, SHA-2 (224-512), SSL3-MD5-MAC, SSL3-SHA-1-MAC, SM3 12. Musi wykonywać operacje kryptograficzne z wydajnością:
a) minimum 300 podpisów na sekundę kluczem RSA o długości 2048 bitów; b) minimum 500 podpisów na sekundę kluczem ECC o długości 256 bitów;
13. Musi posiadać certyfikaty: a) FIPS 140-2 Level 2 and Level 3; b) FIPS 186-4 (DSS – Digital Signature Standard);
c) Common Criteria EAL4+; 14. Oprogramowanie współpracujące z urządzeniem musi pracować w systemach Windows,
Linux. 15. Musi wspierać protokół SNMPv3. 16. Musi mieć możliwość wysyłania informacji diagnostycznych (LOG) za pomocą protokołu
„syslog”. 17. Informacje diagnostyczne (LOG) generowane w urządzeniu muszą mieć format wspierany
w oprogramowaniu SIEM: Splunk, Qradar. 18. Musi zapewniać wsparcie dla API kryptograficznych:
a) PKCS#11; b) Java (JCA/JCE); c) Microsoft CAPI i CNG; d) OpenSSL; e) REST;
19. Musi posiadać minimum 2 porty Gigabit Ethernet 10/100/100. 20. Musi posiadać port RS232C na złączu DB-9. Do każdego urządzenia musi być dostarczony
kable NULL-MODEM zakończony po stronie DTE złączem żeńskim DB-9. 21. Musi być przeznaczone do montażu w szafie rack 19”. Do urządzenia musi być dołączony
zestaw do montażu w szafir rack 19”. 22. Musi być wyposażony w 2 zasilacze 230VAC 50Hz. 23. Zamawiający wymaga szkolenia specjalistycznego z obsługi i konfiguracji dostarczanego
urządzenia: a) Wymiar szkolenia - co najmniej 5 dni po 7 godzin zajęć dla 5 osób, obejmujące swoim
zakresem szkolenie z zakupionego rozwiązania. b) Zrealizowane w okresie 6 miesięcy od podpisania umowy w terminie uzgodnionym z
Zamawiającym. c) Szkolenie ma być prowadzone przez specjalistę z doświadczeniem w zakresie
poszczególnych rozwiązań objętych szkoleniem, posiadającego certyfikaty ukończenia szkoleń z tego z zakresu.
d) Szkolenie ma być przeprowadzone w Warszawie i mieć formę warsztatów z praktycznymi zajęciami (tzw. labami) dla uczestników szkolenia.
e) Szkolenie powinno być przeprowadzone w języku polskim.
69/93
f) Szkolenie powinno być prowadzone na materiałach i pomocach certyfikowanych przez producenta dostarczanego sprzętu. Stosowny certyfikat ośrodka/ośrodków szkoleniowych powinien być dostarczony wraz ze specyfikacją
B.29 Macierz dyskowa typu FC A
Jako urządzenie referencyjne „Urządzenie HSM typu A” spełniające wymagania opisane
w punktach od 1 do 13 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Numer produktu Opis Ilość
VSP-G-SOLUTION.S VSP G Unified Platform 1
VSP-G200-A0001.S VSP G200 Product Unified (FC/iSCSI) 1
A34V-600-850-UNI.P Universal rail kit 1
HDW2-F800-2HF16.P VSP G200 Host I/O Module FC 16Gbps 2port 2
043-100882-01.P VSP G Microcode Kit 1
HDW2-F800-CM16G.P
VSP G200 Cache Memory (16GB) DDR3 RDIMM 4
DW-F800-BM10.P VSP G Cache Flash Memory Mid for S 2
DW800-CBSS.P HM800-S Controller Box - SFF 2U x 24 1
DW-F800-CTLSE.P VSP G200 Controller, Encrypting 2
HDW2-F800-1R9MEM.P
VSP G200 1.9TB SFF Solid State Drive 12Gbps 5
HDW2-F800-1R8JGM.P
VSP G200 1.8TB 10K rpm SFF Disk Drive 17
044-236018-01.P VSP G200 - SVOS - Media Kit 1
044-236018-03.P VSP G200 - SVOS - Frame License 1
044-236021-01.P VSP G200 - Hitachi Data Mobility - Media Kit 1
044-236022-01.P VSP G200 - Hitachi Encryption Key - Media Kit 1
044-236021-03.P VSP G200 - Hitachi Data Mobility - Frame License 1
044-236022-03.P VSP G200 - Hitachi Encryption Key - Frame License 1
044-232355-01.P Hitachi Command Suite Media 1
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
1. Wymagane jest, aby oferowane rozwiązanie było rozwiązaniem „dojrzałym” z określoną linią rozwojową tj. aby oferowany system macierzowy należała do rodziny produktów dostępnej na rynku pod tą samą nazwą min. od 12 miesięcy.
2. Wymagane jest aby oferowany system macierzowy był gotowym produktem posiadającym nazwę handlową i był złożony z zamkniętej, ściśle zdefiniowanej listy komponentów posiadających odpowiednie numery katalogowe.
3. Elementy techniczne rozwiązania powinny być przygotowane do instalacji w szafach typu RACK.
4. Całość dostarczanego rozwiązania musi być nowa (wyprodukowaną nie wcześniej niż 6 miesięcy przed dostawą), nieużywana we wcześniejszych projektach. Przy dostawie Wykonawca musi dostarczyć oświadczenie Producenta lub przedstawiciela producenta o spełnieniu tego wymogu. Oświadczenie musi zawierać miesiąc oraz rok produkcji platformy.
5. W celu zapewnienia wysokiej jakości realizowanej usługi dostawy oraz serwisu gwarancyjnego opartego o świadczenia producenta, Zamawiający wymaga, aby Wykonawca posiadał status partnerski producenta oferowanej macierzy dyskowej. Aktualny potwierdzony status partnerski Wykonawca musi dołączyć do oferty. Zamawiający dopuszcza, jeżeli Wykonawca nie posiada statusu partnerskiego producenta macierzy, dostarczenie przez producenta macierzy rekomendacji dla danego Wykonawcy w zakresie dotyczącym niniejszego postępowania.
6. Całość dostarczanego sprzętu i oprogramowania musi pochodzić z autoryzowanego kanału sprzedaży producenta na rynek polski. Zamawiający wymaga, aby przy dostawie sprzętu Wykonawca dostarczył odpowiednie oświadczenie producenta lub przedstawiciela producenta.
70/93
7. Do każdego urządzenia musi być dostarczony komplet dokumentacji dla użytkownika w formie papierowej lub elektronicznej.
8. Wszystkie oferowane urządzenia muszą współpracować z siecią energetyczną o parametrach obowiązujących w Polsce.
9. System macierzowy i jego elementy składowe muszą być oznakowane przez producenta w taki sposób, aby możliwa była identyfikacja zarówno produktu jak i producenta.
10. System macierzowy (oraz jej komponenty składowe) muszą być dostarczone Zamawiającemu w oryginalnych opakowaniach fabrycznych.
11. Oferowane rozwiązanie powinno być dostarczone w ukompletowaniu zalecanym przez producenta wraz z wymaganym oprogramowaniem i licencjami oraz ze wszystkimi elementami i przewodami wymaganymi do zainstalowania, uruchomienia i wdrożenia dostarczanego asortymentu.
12. Przedstawione w tabeli ilości są ilościami minimalnymi – jeżeli do poprawnej pracy rozwiązania w konfiguracji i środowisku Zamawiającego wynikającej z niniejszego OPZ wymagane będą dodatkowe elementy, oprogramowanie i licencja, Zamawiający oczekuje ich zaoferowania.
13. Rozwiąznaie musi spełniać wymagania wymienione w tabeli poniżej:
Lp. Parametry Charakterystyka (wymagania minimalne)
1 Typ obudowy
1. Obudowa do instalacji w standardowej szafie rack 19” dostarczona wraz z szynami montażowymi oraz innymi elementami niezbędnymi do montażu.
2. Obudowa musi zawierać układ nadmiarowy dla modułów zasilania i chłodzenia umożliwiający wymianę tych elementów w razie awarii bez konieczności wyłączania macierzy.
3. Obudowa powinna posiadać widoczne elementy sygnalizacyjne do informowania o stanie poprawnej pracy lub awarii macierzy.
4. Zasilanie jednofazowe. 5. Zajętość w szafie serwerowej nie więcej niż 2U.
2 Architektura systemy dyskowego
1. Oferowane urządzenie musi się składać z pojedynczej macierzy dyskowej.
2. Urządzenie musi się składać z co najmniej dwóch kontrolerów pracujących w trybie symetrycznym active/active.
3. Konstrukcja macierzy powinna zapewnić sprzętowe rozłożenie operacji I/O pomiędzy kontrolerami macierzy. Operacje I/O muszą być kierowane równomiernie (z tą samą wydajnością) przez porty zewnętrzne dwóch kontrolerów do których będą podłączone serwery. Kontrolery muszą pracować w trybie wysokiej dostępności, w przypadku awarii jednego kontrolera drugi automatycznie przejmie jego funkcję.
4. Architektura wewnętrzna do obsługi wewnętrznych dysków musi być oparta o interfejs SAS 12Gb/s.
5. Oferowana architektura musi pozwalać na realizację wszystkich prac serwisowych w trybie bezprzerwowym.
3 Redundancja
1. Oferowaną macierz musi cechować brak pojedynczego punktu awarii. Wszystkie krytyczne komponenty muszą być zdublowane.
2. Uszkodzenie jednego z podzespołów nie może spowodować przerw w pracy urządzenia. Wszystkie komponenty musza być przystosowane do wymiany podczas pracy macierzy.
71/93
Lp. Parametry Charakterystyka (wymagania minimalne)
4 Pamięć cache
1. Macierz musi być wyposażona w minimum 64 GB pamięci Cache.
2. Pamięć cache musi być zbudowana w oparciu o wydajną pamięć typu RAM (nie dopuszcza się stosowania dysków SSD lub kart pamięci jako pamięci cache).
3. Pamięć cache musi mieć możliwość jej podziału na co najmniej 4 mniejsze partycje z możliwością dedykowania wybranych woluminów logicznych do nich. Zamawiający wymaga dostarczenia licencji na tę funkcję.
4. Odporność na awarię pamięci cache, wszystkie zapisy do pamięci cache muszą być przechowywane w dwóch kopiach. W przypadku awarii zasilania macierz musi posiadać możliwość automatycznego zrzucenia danych z pamięci cache na dedykowaną przestrzeń dyskową.
5 Pojemność
1. Macierz dyskowa musi udostępniać minimum: a. SSD 3.4 TB przestrzeni użytkowej netto (base2) w konfiguracji
RAID 10. b. SAS 12.5 TB przestrzeni użytkowej netto (base2) w
konfiguracji RAID 10 2. Dostawca zaoferuje rekomendowaną przez producenta macierzy
ilość dysków hot-spare. 3. Możliwość konfiguracji globalnych dysków hot-spare. 4. Macierz musi mieć możliwość rozbudowy do 250 wewnętrznych
dysków montowanych w oferowanej macierzy. Nie dopuszcza się stosowania dodatkowych zewnętrznych kontrolerów macierzy dyskowych w celu rozbudowy oferowanej macierzy.
6 Interfejsy
1. Macierz musi posiadać min. 4 interfejsy FC 16Gbps z możliwością rozbudowy do 12 interfejsów FC 16Gbps.
2. Macierz musi mieć możliwość rozbudowy o interfejsy iSCSI10Gb/s.
3. Macierz musi mieć możliwość rozbudowy o interfejsy FC o prędkościach 8, 16, 32 Gbps.
4. Macierz musi posiadać dedykowane 2 porty do zarządzania przez sieć Ethernet 1 Gbps.
7 Półki dyskowe
1. Macierz musi mieć możliwość instalacji w pojedynczej półce dyskowej dysków typu NL-SAS, SAS, SSD.
2. Półki dyskowe muszą umożliwiać wymianę uszkodzonych dysków twardych „na gorąco”.
3. Macierz musi mieć możliwość instalacji w pojedynczej półce dyskowej 60 dysków w obudowie nie większej niż 4U.
8 Obsługiwane dyski twarde
1. Macierz musi obsługiwać co najmniej dyski 2,5” oraz 3,5”. 2. Oferowany model macierzy musi wspierać co najmniej obsługę
następujących typów dysków: a. SSD - 400GB, 1900GB, 7TB, 14TB b. SAS - 600GB, 1.2TB, 1.8TB c. NL-SAS - 4TB, 6TB, 10TB
9 Optymalizacja danych
1. Macierz musi posiadać funkcję optymalizacji wykorzystania dysków SSD, SAS, NLSAS poprzez automatyczną migrację fragmentów woluminów na szybsze lub wolniejsze dyski w zależności od obciążenia tzw. tiering. Funkcja ta musi działać na 2 i 3 warstwach dyskowych. Zamawiający wymaga dostarczenia licencji na tę funkcję.
2. Macierz musi posiadać funkcję migracji całych woluminów logicznych w obrębie dysków wewnętrznych macierzy jak i dysków zwirtualizowanych zainstalowanych w innych macierzach. Funkcja musi być realizowana bez zatrzymania aplikacji i musi być w pełni transparentna dla działających aplikacji na migrowanym woluminie. Zamawiający wymaga dostarczenia licencji na tę funkcję.
72/93
Lp. Parametry Charakterystyka (wymagania minimalne)
10 RAID 1. Macierz musi obsługiwać RAID 10, 5, 6.
11 Wydajność
1. Macierz musi obsługiwać priorytety ruchu I/O tzw. Quality of Service. Zamawiający wymaga dostarczenia licencji na tę funkcję.
2. Macierz musi posiadać oprogramowanie pozwalające na monitorowanie wydajności poszczególnych komponentów macierzy, co najmniej: procesory, pamięć cache, woluminy dyskowe, grupy dyskowe, porty zewnętrzne. Zamawiający wymaga dostarczenia licencji na tę funkcję.
12 Thin Provisioning
1. Macierz musi posiadać funkcję udostępniania zasobów dyskowych do hostów w trybie tradycyjnym jak i tzw. Thin Provisioning. Zamawiający wymaga dostarczenia licencji na tę funkcję.
13 Zarządzanie przestrzenią dyskową
1. Macierz musi umożliwiać zwiększenie pojemności woluminów logicznych w trybie bezprzerwowym. Zamawiający wymaga dostarczenia licencji na tę funkcję.
14 Zarządzanie macierzą
1. Macierz musi posiadać interfejs graficzny oraz interfejs linii poleceń, umożliwiający tworzenie skryptów.
15 Wewnętrze kopie danych
1. Macierz musi posiadać funkcję tworzenia wewnętrznych kopii danych opartych o: a. Klonowanie z ang. Clone b. Migawkę z ang. Snapshot Możliwość wykonania kopii na inny rodzaj dysków i inny typ zabezpieczenia RAID. Zamawiający nie wymaga dostarczenia licencji na te funkcje.
16 Zewnętrzne kopie danych
1. Macierz musi posiadać funkcje replikacji danych do drugiej macierzy tego samego typu w trybie synchronicznym i asynchronicznym. Możliwość uruchomienia obu trybów replikacji tj. replikacja synchroniczna i asynchroniczna w tym samym czasie. Musi istnieć wsparcie do definiowania grup konsystencji (z ang. Consistency Group) dla uruchomionych zadań replikowanych woluminów. Zamawiający nie wymaga dostarczenia licencji na te funkcje.
17 Systemy operacyjne
1. Macierz musi posiadać możliwość podłączenia wielu serwerów w trybie wysokiej dostępności, co najmniej dwoma ścieżkami.
2. Macierz musi wspierać LUN Mapping, LUN Masking. 3. Macierz musi wspierać podłączenie następujących systemów
operacyjnych: Windows, VMware, AIX, LINUX, SOLARIS. 4. Macierz musi być certyfikowana w zakresie Vmware Metro
Storage Cluster (FC Metro Storage Cluster, FC-SVD Metro Cluster Storage), potwierdzone wpisem na stronie producenta http://www.vmware.com/resources/compatibility/search.php
18 Multipathing
1. Macierz musi zostać dostarczona wraz z oprogramowaniem producenta do zapewnienia wielościeżkowości tzw. multipathing. Oprogramowanie musi wspierać min. następujące systemy operacyjne: Windows, Linux, Vmware. Dostarczona licencja musi umożliwiać podłączenie dowolnej ilości serwerów do oferowanej macierzy dyskowej.
19 Szyfrowanie
1. Macierz musi posiadać mechanizm szyfrowania danych na wewnętrznych dyskach. Należy dostarczyć odpowiednią licencję na całą pojemność macierzy.
2. Szyfrowanie musi być realizowane przez dedykowane do tego układy.
20 Kasowanie danych
1. Macierz musi zostać dostarczona z oprogramowaniem do bezpiecznego usuwania danych z woluminów dyskowych. Musi istnieć możliwość wielokrotnego nadpisania danych. Zamawiający wymaga dostarczenia licencji na tę funkcjonalność.
73/93
Lp. Parametry Charakterystyka (wymagania minimalne)
21 Wirtualizacja macierzy dyskowych
1. Zaoferowane urządzenie musi posiadać wbudowany silnik wirtualizacyjny działający w trybie wysokiej dostępności. Nie dopuszcza się stosowania zewnętrznych wirtualizatorów.
2. Macierz musi pozwalać na wirtualizację zasobów dyskowych znajdujących się na innych macierzach dyskowych różnych producentów za pomocą protokołu FC, w szczególności producentów takich jak: NetApp, HP, IBM, Fujitsu, HDS, EMC. Wymagane jest dostarczenie licencji. Zaoferowana licencja na wirtualizacje macierzy dyskowych także innych producentów musi umożliwiać podłączenie tych macierzy bez ponoszenia dodatkowych kosztów przez zamawiającego.
Inne wymagania
22 Dodatkowe
1. Instalacja macierzy oraz konfiguracja półek z dyskami musi być przeprowadzona przez inżyniera posiadającego certyfikat producenta macierzy.
2. Wymagane jest dostarczenie licencji na całą oferowaną pojemność macierzy.
3. Instalacja, konfiguracja macierzy musi być realizowana przez producenta urządzenia lub autoryzowanego partnera posiadającego kompetencje potwierdzone odpowiednimi certyfikatami. Wymaga się aby zespół specjalistów liczył co najmniej 2 osoby posiadające certyfikacje na wdrażany system dyskowy.
4. Aktualizacja oprogramowania firmware/microcode musi być wykonywana przez serwis zgodnie z rekomendacjami producenta urządzeń. Zamawiający nie będzie ponosił dodatkowych kosztów w tym zakresie.
Gwarancja i serwis
23 Serwis
1. 3-letni serwis gwarancyjny dostarczonych macierzy (zarówno sprzętu jak i oprogramowania) oparty na świadczeniach producenta macierzy, w miejscu instalacji (on-site) na terenie Polski.
2. Gwarantowany czas usunięcia awarii w ciągu dwóch dni roboczych.
3. Możliwość zgłaszania awarii w trybie 24/7. 4. W okresie serwisu Zamawiający ma prawo do bezpłatnych
napraw, otrzymywania poprawek oraz aktualizacji wersji oprogramowania dostarczonego wraz z urządzeniami oraz oprogramowania wewnętrznego urządzeń tzw. firmware/mikrokod.
5. Wszystkie naprawy sprzętu oraz aktualizacje muszą być wykonywane przez autoryzowany serwis producenta lub autoryzowany kanał partnerski producenta urządzenia.
6. Serwis musi być świadczony w języku polskim. 7. Dostarczone urządzenia muszą być fabrycznie nowe oraz
posiadać wykupioną gwarancję producenta. 8. Uszkodzone nośniki danych pozostają u zamawiającego.
74/93
B.30 Przełacznik typu FC A
Jako urządzenie referencyjne „przełacznik typu FC A” spełniające wymagania opisane
w punktach od 1 do 19 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Numer produktu Opis Ilość
DS-C9148S-12PK9 MDS 91485 16G FC switch, 12 active ports 1
M9100ENT1K9 Enterprise package Iicense for 1 MDS9100 series switch 1
DS-SFP-FC16G-SW 16Gbps Fibre Channel. SW SFP+, LC 12
DS-9148S-KIT-CSCO MDS 9148S Accessory Kit for Cisco 1
CAB-9K10A-EU Power Cord, 25OVAC 1OA CEE 7/7 Plug, EU 2
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne: 1. Urządzenie musi być przełącznikiem sieci Storage Area Network (SAN) obsługującym
technologię Fibre Channel (FC). 2. Przełącznik musi posiadać minimum 48 portów do instalacji modułów SFP/SFP+ FC
pracujących z prędkościami 2, 4, 8, 16 Gbps z automatycznym ustawianiem prędkości. 3. Przełącznik musi mieć minimum 12 aktywnych portów do instalacji modułów SFP/SFP+ FC
z prędkościami 2,4,8,16 Gbps. 4. Przełącznik musi być wyposażony w 12 modułów SFP FC 16Gbps SW. 5. Przełącznik musi mieć możliwość aktywacji kolejnych portów poprzez aktywację licencji (bez
konieczności rozbudowy sprzętowej). 6. Przepustowość 16Gbps musi być dostępna dla każdego portu równolegle (wszystkie port
pracujące jednocześnie z prędkością 16Gbps). 7. Przełącznik musi być dostosowany do montażu w szafie typu rack 19”. Może zajmować
maksymalnie wysokość 1U. Wraz z przełącznikiem muszą być dostarczone niezbędne elementy i akcesoria do jego montażu w szafie typu rack 19”.
8. Przełącznik musi mieć możliwość dokonania aktualizacji oprogramowania bez przerywania przekazywania pakietów poprzez porty FC – upgrade bez przerywania pracy.
9. Przełącznik musi być dostarczony z 2 zasilaczami dostosowanymi do pracy przy napięciu 230VAC 50Hz. Każdy zasilacz musi posiadać moc niezbędną do zasilania urządzenia w pełnej konfiguracji (z zainstalowanymi i uruchomionymi wszystkimi – w tym opcjonalnymi – elementami/modułami. Zasilacze muszą zapewniać redundancję zasilania i umożliwiać wymianę „na gorąco” (HOT-SWAP).
10. Przełącznik musi być wyposażony w minimum 2 wentylatory i posiadać możliwość ich wymiany podczas pracy (HOT-SWAP).
11. Przełącznik musi obsługiwać wirtualne sieci SAN (VSAN) – minimum 32 VSAN. 12. Urządzenie musi umożliwiać routing między VSAN (Inter VSAN Routing). Jeśli funkcjonalność
wymaga licencji to jest wymagane jej dostarczenie. 13. Przełącznik musi umożliwiać budowę połączeń logicznych z linków fizycznych. Połączenie
logiczne musi się składać z 2 lub więcej (minimum 16) połączeń fizycznych. Każdy port fizyczny musi mieć możliwość dołączenia go do linku logicznego. Jeśli opisany mechanizm wymaga licencji musi być ona dostarczona razem z urządzeniem.
14. Przełącznik musi udostępniać minimum następujące narzędzia do diagnostyki: a) FC ping i traceroute; b) SPAN i RSPAN port;
15. Przełącznik musi posiadać dedykowane porty do zarządzania: a) Port Ethernet obsługujący przepustowości 10/100/1000-Mbps;
16. Port konsoli szeregowej RS-232C. Do obsługi tego portu musi być dostarczony kabel konsolowy zakończony od strony DTE złączem żeński DB-9.
17. Przełącznik musi wspierać następujące mechanizmy, protokoły i standardy: a) Sprzętowo implementowany zoning. b) N-Port ID Virtualization (NPIV) c) RBAC dla każdego VSAN z wykorzystaniem RADIUS, LDAP, TACACS+, MS AD; d) SFTP; e) SSHv2 ze wsparciem dla AES; f) SNMPv3 ze wsparciem dla AES; g) FC-SP (Fibre Channel Security Protocol); h) Ochrona warstwy „control plane”;
18. Przełącznik musi posiadać interfejs programistyczny w formie skryptów CLI i web API.
75/93
19. Oprogramowanie do konfiguracji i monitorowania przełącznika, musi być wyposażone w graficzny interfejs użytkownika, o co najmniej następujących funkcjonalnościach: a) konfiguracja parametrów pracy w wielu urządzeniach jednocześnie w obrębie pojedynczej
sieci SAN, b) wyświetlanie stanu poszczególnych portów i modułów, c) wizualizacja fizycznych połączeń miedzy urządzeniami z podaniem informacji o łączach
(przynajmniej stan, prędkość, typ), d) wizualizacja statystyk poszczególnych portów i modułów;
B.31 Kontroler typu FIC A
Jako urządzenie referencyjne „kontroler typu FIC A” spełniające wymagania opisane
w punktach od 1 do 24 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Numer produktu Opis Ilość
UCS-FI-6248UP UCS 6248UP 1RU Fabric Int/No PSU/32 UP/ 12p LIC 1
UCS-ACC-6248UP UCS 6248UP Chassis Accessory Kit 1
N10-MGT014 UCS Manager v3.1 1
UCS-BLKE-6200 UCS 6200 Series Expansion Module Blank 1
UCS-FI-DL2 UCS 6248 Layer 2 Daughter Card 1
UCS-FAN-6248UP UCS 6248UP Fan Module 2
UCS-LIC-10GE UCS 6200 Series ONLY Fabric Int 1PORT 1/10GE/FC-port license
12
UCS-PSU-6248UP-AC UCS 6248UP Power Supply/100-240VAC 2
CAB-9K10A-EU Power Cord, 250VAC 10A CEE 7/7 Plug, EU 2
SFP-10G-SR 10GBASE-SR SFP Module 6
SFP-H10GB-CU1M 10GBASE-CU SFP+ Cable 1 Meter 2
DS-SFP-FC8G-SW 8 Gbps Fibre Channel SW SFP+, LC 4
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne: 1. Urządzenie musi umożliwiać budowę/rozbudowę w oparciu o nie środowiska serwerowego
z posiadanych przez zamawiającego komponentów infrastruktury serwerowej CISCO Unified Computing System w tym:
a) Cisco UCS Blade Server Chassis serii 5100 z Cisco UCS Fabric Extender serii 2100 i 2200;
b) Cisco UCS B-Series Blade Servers; 2. Urządzenie musi konsolidować ruch sieciowy pochodzący z sieci Ethernet i z sieci SAN oraz
przekazywać go do podłączonych Cisco UCS Blade Chassis serii 5100. 3. Urządzenie musi być dostarczone z oprogramowaniem do zarządzania komponentami Cisco
UCS: a) Cisco UCS Blade Server Chassis serii 5100 z Cisco UCS Fabric Extender serii 2100
i 2200; b) Cisco UCS B-Series Blade Servers;
4. Urządzenie musi mieć możliwość zarządzania do 20 podłączonych Cisco UCS Blade Server Chassis serii 5100.
5. Urządzenie musi mieć minimum 32 fizyczne port do instalacji modułów SFP/SFP+ mogących pracować w sieci Ethernet i SAN.
6. Urządzenie musi mieć możliwość rozbudowy do minimum 48 portów fizycznych do instalacji modułów SFP/SFP+ poprzez instalację dodatkowego (jednego lub więcej) modułu/karty rozszerzeń.
7. Urządzenie musi posiadać minimum 12 aktywnych portów do obsługi sieci Ethernet, SAN i podłączenia Cisco UCS Blade Server Chassis serii 5100 poprzez Cisco UCS Fabric Extender serii 2100 i 2200.
8. Urządzenie musi mieć możliwość zwiększenia ilości aktywnych portów do 32 bez rozbudowy sprzętowej.
9. Aktywne porty pracujące w sieci Ethernet muszą obsługiwać prędkości 1Gbps i 10Gbps. 10. Aktywne porty pracujące w sieci SAN muszą obsługiwać prędkości 1/2/4/8 Gbps. 11. Urządzenie musi być dostarczone z modułami SFP+ i kablami zakończonymi złączami SFP+:
76/93
a) Minimum 6 modułów Ethernet SFP+ 10Gbps pracujących z wykorzystaniem światłowodów wielomodowych zakończonych złączem LC;
b) Minimum 2 kable miedziane o długości 1 metra zakończone modułami SFP+ umożliwiające przesyłanie danych z prędkością 10Gbps;
c) Minimum 4 moduły FC SFP+ 8Gbps pracujące z wykorzystaniem światłowodów wielomodowych zakończonych złączem typu LC;
d) Dostarczone moduły i kable muszą pochodzić od producenta urządzenia i być wymienione w tabeli kompatybilności dla urządzenia;
e) Instalacja dostarczonych modułów SFP+ i kabli w urządzeniu nie może powodować odmowy realizacji usługi wsparcia gwarancyjnego i serwisu świadczonej przez producenta w wyniku zainstalowania w urządzeniu nie wspieranych lub nie kompatybilnych komponentów;
12. Urządzenie musi mieć wewnętrzną przepustowość minimum 960 Gbps dla ruch Ethernet, FCoE i FC lub minimum 700 milionów pakietów na sekundę.
13. Urządzenie musi mieć obsługiwać tablicę adresów MAC o wielkości minimum 32 tyś. 14. Urządzenie musi obsługiwać wirtualne sieci LAN (VLAN) i SAN (VSAN):
a) Obsługa TRUNK; b) Enkapsulacja IEEE 802.1Q; c) Obsługa do minimum 1024 wirtualnych VLAN i VSAN;
15. Urządzenie musi wspierać technologię Rapid Per-VLAN Spanning Tree Plus (PVRST+). 16. Urządzenie musi wspierać agregację fizycznych łączy w jedno łącze logiczne. 17. Urządzenie musi wspierać protokół Link Aggregation Control Protocol (LACP) – IEEE
802.3ad. 18. Urządzenie musi wspierać mechanizmy balansowania ruchu w zagregowanych łączach
fizycznych na podstawie informacji z warstw 2, 3 i 4 OSI/ISO. 19. Urządzenie musi obsługiwać ramki fizyczne do minimum 9216 bajtów – Jumbo Frames. 20. Urządzenie musi być dostarczone z 2 zasilaczami dostosowanymi do pracy przy napięciu
230VAC 50Hz. Każdy zasilacz musi posiadać moc niezbędną do zasilania urządzenia w pełnej konfiguracji (z zainstalowanymi i uruchomionymi wszystkimi – w tym opcjonalnymi – elementami/modułami. Zasilacze muszą zapewniać redundancję zasilania i umożliwiać wymianę „na gorąco” (HOT-SWAP).
21. Urządzenie musi posiadać dedykowane porty do zarządzania: a) Port Ethernet obsługujący przepustowości 10/100/1000-Mbps; b) Port konsoli szeregowej RS-232C. Do obsługi tego portu musi być dostarczony kabel
konsolowy zakończony od strony DTE złączem żeński DB-9. 22. Urządzenie musi być przeznaczone do instalacji w szafie typu rack 19”. Do urządzenia muszą
być dołączone niezbędne do montażu w szafir rack elementy/akcesoria. 23. Wszystkie porty fizyczne na instalację modułów SFP/SFP+ muszą wspierać konfigurację dla
sieci Ethernet 1/10Gbps i 1/2/4/8 FC. 24. Urządzenie musi wspierać następujące standardy:
a) IEEE 802.3: Ethernet b) IEEE 802.3ae: 10 Gigabit Ethernet c) IEEE 802.1p – priorytezacja CoS; d) IEEE 802.1Q – tagowanie VLAN; e) IEEE 802.1s: - Multiple VLAN instances of Spanning Tree Protocol f) IEEE 802.1w: - Rapid reconfiguration of Spanning Tree Protocol g) IEEE 802.3ad: LACP
B.32 Kontroler Wi-Fi typu A.
Jako urządzenie referencyjne „kontroler Wi-Fi typu A” spełniające wymagania opisane
w punktach od 1 do 26 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Opis pojedyńczego kompletu (sztuki)
Numer produktu Opis Ilość
AIR-CT5520-K9 Cisco 5520 Wireless Controller w/rack 1
CAB9K10A-EU Power Cord, 250VAC 10A CEE 7/7 Plug 1
77/93
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
1. Urządzenie umożliwiające centralną kontrolę punktów dostępu bezprzewodowego:
• zarządzanie politykami bezpieczeństwa
• wykrywanie ataków na sieć bezprzewodową
• zarządzanie pasmem radiowym
• zarządzanie mobilnością
• zarządzanie jakością transmisji zgodnie z protokołem CAPWAP (RFC 5415) 2. OIbsługa min. 100 AP. 3. Min. 2 interfejsy 1/10GE, obsadzone przynajmniej 2 wkładkami 10 GE typu (specyfikacja jak
Moduł typu SR). 4. Obsługa łączenia interfejsów w grupę logiczną by zabezpieczyć przed awarią pojedynczego
interfejsu. 5. Wydajność urządzenia minimum 20 Gbps. 6. Obsługa minimum 20000 klientów sieci bezprzewodowej 7. Zarządzanie pasmem radiowym punktów dostępowych:
• automatyczna adaptacja do zmian w czasie rzeczywistym
• optymalizacja mocy punktów dostępowych (wykrywanie i eliminacja obszarów bez pokrycia)
• dynamiczne przydzielanie kanałów radiowych
• wykrywanie, eliminacja i unikanie interferencji
• równoważenie obciążenia punktów dostępowych
• tworzenie profili RF (parametry konfiguracyjne) dla grup punktów dostępowych
• automatyczna dystrybucja klientów pomiędzy punkty dostępowe
• mechanizmy wspomagające priorytetyzację zakresu 5GHz dla klientów dwuzakresowych
• dynamiczny wybór szerokości kanału (20, 40, 80, 160 MHz) w paśmie 5 GHz w oparciu o parametry radiowe
8. Mapowanie SSID do segmentów VLAN w sieci przewodowej
• 1:1
• 1:n (SSID mapowane do wielu segmentów VLAN, ruch użytkowników
• rozkładany pomiędzy segmenty)
• możliwość tunelowania ruchu klientów do kontrolera oraz lokalnego
• terminowania do sieci przewodowej na poziomie AP (konfigurowane per SSID) 9. Obsługa sieci kratowych
• komunikacja między punktami dostępowymi bez medium kablowego,
• separacja trybu pracy poszczególnych zakresów radiowych (jeden dedykowany do obsługi klientów, drugi do komunikacji między punktami dostępowymi z możliwością tworzenia wyjątków)
• automatyczne formowanie sieci kratowej między punktami dostępowymi (optymalizacja tras z uwzględnieniem parametrów jakościowych połączenia, minimalizacja interferencji z możliwością awaryjnego przełączenia na inne pasmo)
• automatyczne włączanie nowych punktów do sieci (bez konieczności konfiguracji punktów dostępowych w miejscu instalacji)
• autoryzacja punktów dostępowych w oparciu o certyfikaty X.509, adresy MAC 10. Obsługa mechanizmów bezpieczeństwa:
• 802.11i, WPA2, WPA, WEP
• 802.1x z EAP (m.in. PEAP, EAP-TLS, EAP-FAST)
• obsługa serwerów autoryzacyjnych — RADIUS, TACACS+, wbudowana lokalna baza użytkowników (min. 12.000 wpisów)
• kreowanie różnych polityk bezpieczeństwa w ramach pojedynczego SSID
• obsługa profilowania użytkowników:
78/93
przydział sieci VLAN przydział list kontroli dostępu (ACL)
• uwierzytelnianie (podpis cyfrowy) ramek zarządzania 802.11 (wykrywanie podszywania się punktów dostępowych użytkowników pod adresy infrastruktury) — IEEE 802.11w
• uwierzytelnianie punktów dostępowych w oparciu o certyfikaty X.509
• obsługa list kontroli dostępu (ACL)
• obsługa list kontroli dostępu opartych o nazwy domenowe
• wykrywanie i dezaktywacja obcych punktów dostępowych
• wbudowany system IDS wykrywający typowe ataki na sieci bezprzewodowe (fake AP, netstumbler, deathentication flood itp.)
• współpraca z systemami IDS/IPS
• ochrona kryptograficzna (DTLS) ruchu kontrolnego i ruchu użytkowników CAPWAP
• DHCPproxy 11. Obsługa ruchu unicast lPv4 i lPv6 12. Obsługa ruchu multicast lPv4 i lPv6
• IGMP I MLD snooping
• optymalizacja dystrybucji ruchu multicast w sieci przewodowej (między kontrolerem a punktem dostępowym)
• obsługa konwersji ruchu multicast do unicast 13. Obsługa mobilności (roaming-u) użytkowników (L2 i L3 — lPv4 i lPv6, w ramach
i pomiędzy kontrolerami) 14. Obsługa mechanizmów wspomagania roamingu: IEEE 802.11r oraz 802.11k 15. Wsparcie dla IEEE 802.11u 16. Obsługa mechanizmów Q0S
• 802.1p
• WMM,TSpec
• ograniczanie pasma per użytkownik
• Cali Admission Control — ze statyczną definicją pasma i dynamiczną w oparciu o analizę profili ruchu
• U-APSD
• równomierna obsługa klientów sieci bezprzewodowej w oparciu o utylizację czasu antenowego
• kontrola przydziału czasu antenowego (od AP do klienta mobilnego) dla danego SSID
17. Obsługa usług multicast DNS (mDNS) z możliwością definiowania polityk określających które usługi mają być dostępne dla danego SSID
18. Obsługa dostępu gościnnego (lPv4 i lPv6)
• przekierowanie użytkowników określonych SSID do strony logowania (z możliwością personalizacji strony)
• obsługa kreowania użytkowników za pomocą dedykowanego portalu WWW (działającego na kontrolerze) z określeniem czasu ważności konta
• obsługa konfiguracji jako dedykowanego kontrolera do obsługi ruchu gości — całość ruchu z SSID dostępu gościnnego zebranego na pozostałych kontrolerach musi być przesyłana do tego kontrolera (umieszczonego w publicznej części sieci) w sposób zapewniający logiczną separację od ruchu wewnętrznego
19. Współpraca z oprogramowaniem i urządzeniami realizującymi usługi lokalizacyjne, obsługa tagów telemetrycznych
20. Obsługa redundancji rozwiązania (N+1) 21. Obsługa redundancji 1:1 (active/standby) zapewniającej:
• utrzymanie sesji punktów dostępowych oraz urządzeń klienckich na wypadek awarii aktywnego kontrolera
79/93
• synchronizację konfiguracji oraz informacji o użytkownikach sieci bezprzewodowej
22. Analiza ruchu przechodzącego przez kontroler pozwalająca na identyfikację oraz klasyfikację na poziomie aplikacji (warstwa 7); obsługa markowania, limitowania lub odrzucania ruchu
23. Zbieranie i eksport statystyk ruchowych za pomocą protokołu Netflow/JFlow lub odpowiednika
24. Profilowanie urządzeń podłączających się do sieci bezprzewodowej oraz przydzielanie na podstawie typu urządzenia odpowiednich uprawnień i parametrów dostępowych (np.: lista kontroli dostępu, VLAN, polityka QoS, czas sesji)
25. Zarządzanie przez HTTPS, SNMPv3, SSH, port konsoli szeregowej 26. Elementy opcjonalne - redundantny zasilacz
B.33 Punkt dostępowy Wi-Fi typu A.
Jako urządzenie referencyjne „punkt dostępowy Wi-Fi typu A” spełniające wymagania
opisane w punktach od 1 do 20 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Opis pojedyńczego kompletu (sztuki)
Numer produktu Opis Ilość
AIR-CT5520-K9 Cisco 5520 Wireless Controller w/rack 1
CAB9K10A-EU Power Cord, 250VAC 10A CEE 7/7 Plug 1
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
1. Obsługa standardów 802.11a/b/g/n/ac (Wave 2)
• obsługa SU-MIMO — min. 4x4:3
• obsługa MU-MIMO — min. 4x4:3
• obsługa kanałów 20, 40 MHz dla 802.11n
• obsługa kanałów 20, 40, 80 MHz dla 802.11ac (Wave1)
• obsługa kanałów 20, 40, 80, 160 MHz dla 802.11ac (Wave2)
• obsługa prędkości PHY do 1,3 Gbps (Wave 1)
• obsługa prędkości PHY do 5,2 Gbps (Wave 2)
• obsługa agregacji ramek A-MPDU (Tx/Rx), A-MSDU (Tx/Rx)
• obsługa beamforming dla klientów 802.11a/g/n/ac
• obsługa MRC 2. Obsługa szerokiego zakresu kanałów radiowych:
• dla zakresu 2.4 GHz: min. 13 kanałów
• dla zakresu 5GHz (UNII-1 i UNII-2): min. 8 kanałów
• dla zakresu 5GHz (extended UNII-2): min. 8 kanałów 3. Konfigurowalna moc nadajnika
• dla zakresu 2.4 GHz: do 100 mW
• dla zakresu 5GHz (UNII-1 i UNII-2): do 200 mW
• dla zakresu 5GHz (extended UNII-2): do 200 mW 4. Obsługa zmiany trybu pracy modułów radiowych (elastyczna praca drugiego modułu)
• jeden moduł pracujący w paśmie 2,4GHz, drugi moduł pracujący w paśmie 5GHz
• oba moduły pracujące w paśmie 5GHz na różnych kanałach w celu wytworzenia mikro i makro komórki radiowej
• jeden moduł pracujący w paśmie 5GHz, drugi jako moduł usług bezpieczeństwa w pasmach 2,4GHz oraz 5 GHz
80/93
5. Zgodność z protokołem CAPWAP (RFC 5415), zarządzanie przez kontroler WLAN z funkcjonalnościami:
• automatyczne wykrywanie kontrolera i konfiguracja poprzez sieć LAN
• optymalizacja wykorzystania pasma radiowego (ograniczanie wpływu zakłóceń, kontrola mocy, dobór kanałów, reakcja na zmiany)
• obsługa min. 16 BSSID
• definiowanie polityk bezpieczeństwa (per SSID) z możliwością rozgłaszania lub ukrycia poszczególnych SSID
• uwierzytelnianie ruchu kontrolnego 802.11 (z możliwością wykrywania użytkowników podszywających się pod punkty dostępowe) — IEEE 802.11w
• obsługa trybów pracy Split-MAC (tunelowanie ruchu klientów do kontrolera i centralne terminowanie do sieci LAN) oraz Local-MAC (lokalne terminowanie ruchu do sieci LAN)
• możliwość pracy po utracie połączenia z kontrolerem, z lokalnym przełączaniem ruchu do sieci LAN i lokalnym uwierzytelnianiem użytkowników (np.: lokalny serwer RADIUS) — przełączenie nie może powodować zerwania sesji użytkowników
• obsługa tunelowania ruchu od AP do routera za pomocą EoGREv4 oraz EoGREv6
• jednoczesna obsługa transferu danych użytkowników końcowych oraz monitorowania pasma radiowego (wykrywanie obcych punktów dostępowych i klientów WLAN, wireless IDS)
• obsługa Dynamic Frequency Selection (DFS) i Transmit Power Control (TPC) zgodnie z 802.11h
• obsługa lPv6
• obsługa szybkiego roamingu użytkowników pomiędzy punktami dostępowymi — IEEE 802.11r
• obsługa mechanizmów QoS:
• ograniczanie ruchu do użytkownika, z możliwością konfiguracji per użytkownik obsługa WMM, TSPEC, U-APSD
• współpraca z urządzeniami i oprogramowaniem realizującym usługi lokalizacyjne
• wsparcie dla metod EAP: EAP-TLS, EAP-TTLS, EAP-PEAP, EAP-GTC, EAP-SIM
• wsparcie IEEE 802.11i, WPA2, WPA 6. Możliwość pracy jako kontroler sieci bezprzewodowej o następujących funkcjonalnościach
(zmiana trybu pracy, przez wgranie oprogramowania, musi być bezkosztowa w okresie trwania kontraktu serwisowego):
• obsługa do 100 punktów dostępowych bez dodatkowych licencji
• obsługa do 2000 klientów
• obsługa konfiguracji do 16 sieci bezprzewodowych
• centralna optymalizacja wykorzystania pasma radiowego (ograniczanie wpływu zakłóceń, kontrola mocy, dobór kanałów, reakcja na zmiany)
• obsługa szybkiego roamingu użytkowników pomiędzy punktami dostępowymi — IEEE 802.11r
• obsługa mechanizmów wsparcia roamingu — IEEE 802.11k, IEEE 802.11v
• jednoczesna obsługa transferu danych użytkowników końcowych oraz monitorowania pasma radiowego (wykrywanie obcych punktów dostępowych i klientów WLAN)
• wykrywanie do 1000 obcych klientów oraz do 100 obcych AP
• konfiguracja polityk bezpieczeństwa per SSID
• obsługa WPA2 Personal oraz Enterprise (z możliwością tworzenia lokalnej bazy użytkowników-lokalny RADIUS)
• współpraca z serwerami autoryzacyjnymi RADIUS (konfigurowane per SSID)
• tworzenie list kontroli dostępu
• filtrowanie MAC adresów (Whitelist)
81/93
• analiza ruchu pozwalająca na identyfikację, klasyfikację na poziomie aplikacji w warstwie 7 (rozpoznawanie ponad 1000 aplikacji) oraz kontrolę tych aplikacji (limitowanie, markowanie, dropowanie)
• profilowanie urządzeń podłączających się do sieci bezprzewodowej
• obsługa mechanizmów Q0S (WMM, priorytetyzacja, Voice CAC z TSPEC)
• obsługa dostępu gościnnego z wbudowanymi portalami gościnnymi
• obsługa kreowania użytkowników gościnnych za pomocą dedykowanego portalu WWW (działającego na kontrolerze) z określeniem czasu ważności konta; obsługa wydrukowania lub wysłania mailem danych logowania użytkowników
• zarządzanie przez HTTPS
• wsparcie SSH, SNMP, NTP, SYSLOG
• wbudowany serwer DHCP
• wbudowany mechanizm redundancji automatycznie wybierający kontroler zapasowy wśród grupy obsługiwanych punktów dostępowych mogących pełnić funkcję kontrolera
7. Zintegrowany moduł analizatora widma częstotliwościowego (dotyczy zakresów 2.4GHz i 5GHz):
• dokładność analizy (kwant próbkowania) max. 200 kHz
• zakres częstotliwościowy zgodny z zakresem pracy modułów radiowych
• automatyczne wykrywanie i klasyfikacja źródeł interferencji (Bluetooth, DECT, urządzenia mikrofalowe, urządzenia transmisji audio wideo, urządzenia zakłócające itp.)
• współpraca z mechanizmami optymalizacji wykorzystania pasma radiowego 8. Interfejs Multigigabit Ethernet (100/1000/2500/5000) - IEEE 802.3bz 9. Interfejs Gigabit Ethernet (100/1000) 10. Obsługa połączenia interfejsów Ethernet w grupę logiczną w celu zwiększenia
przepustowości połączenia do sieci LAN, wsparcie dla IEEE 802.3ad 11. Interfejs konsoli RJ45 12. Port USB 2.0 (funkcjonalność dostępna w przyszłych wersjach oprogramowania) 13. 1 GB RAM, 256 MB flash 14. Zasilanie przez PoE+ (IEEE 802.3at) lub przez zasilacz sieciowy, power injector 15. Anteny zintegrowane o zysku:
• dla modułu umożliwiającego pracę w obu pasmach: min. 4 dBi dla pasma 2,4 GHz oraz 6 dBi dla pasma 5 GHz
• dla dedykowanego modułu 5 GHz: min. 5dBi
16. Obudowa przystosowana do warunków pracy w pomieszczeniach biurowych (0 - 40C) 17. Diodowa sygnalizacja stanu urządzenia z możliwością deaktywacji 18. Zgodność z dyrektywą 1999/5/EC i 93/42/ECC 19. Certyfikacja WiFi Alliance: 802.11 a/b/g/n/ac, WMM, Passpoint 20. Elementy opcjonalne:
• zasilacz sieciowy do punktu dostępowego;
• power injector 802.3at do punktu dostępowego
B.34 Licencja SecurityPlus do ASA5505
Jako rozwiązanie referencyjne spełniające wymagania opisane w punktach od 1 do 14 Zamawiający określa produkt wyszczególniony w poniższej tabeli
Opis pojedynczego kompletu (1 sztuki)
Symbol produktu Opis Ilość
L-ASA5505-10-UL ASA 5505 10-to Unlimited User Upgrade Licence 1
W przypadku oferowania rozwiązania równoważnego produkt musi spełniać wyszczególnione niżej wymagania minimalne:
82/93
a. Licencja po instalacji na urządzeniu CISCO ASA 5505 umożliwi pracę dla nieograniczonej
ilości użytkowników w sieci LAN.
B.35 Licencja ASAv typu A.
Jako rozwiązanie referencyjne Zamawiający wymaga dostarczenia licencji CISCO ASAv30 wraz ze
wsparciem technicznym na okres 3 lat zgodnie z poniższą tabelą:
Opis pojedyńczego kompletu (sztuki)
Numer produktu Opis Ilość
L-ASAV30S-K9= ASAv30 (eDelivery) 1
CON-ECMU-LASAV30S SWSS UPGRADE ASAv30 (eDelivery) 1
L-ASAV30-STD ASAv30 with Standard Tier licenses (eDelivery) 1
CON-ECMU-AV30SST SWSS UPGRADE ASAv30 with Standard Tier licenses (eDelivery)
1
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
1. Licencja po instalacji na wirtualnej instalacji urządzenia CISCO ASA (funkcjonującej w chmurze Microsoft AZURE) umożliwi pracę z następującymi parametrami:
a) przepustowość przy inspekcji „stateful” do 2Gbps, b) przepustowość przy inspekcji „stateful multiprotocol” na poziomie 1Gbps, c) szyfrowanie VPN (3DES/AES na poziomie 300Mbps.
B.36 Licencja do systemu Voice/VTC
Jako rozwiązanie referencyjne spełniające wymagania opisane w punktach od 1 do 14 Zamawiający określa produkt wyszczególniony w poniższej tabeli:
Opis pojedynczego kompletu (1 sztuki)
Symbol produktu Opis Ilość
CUWL-11X-K9 Unified Workspace Licensing v. 11.x 1
CON-ECMU-CUWL1LXK9 SWSS UPGRADES Unified Workspace Licensing v. 11.x
1
NEW-UWL-11X-MTG New CUWL Meetings Edition 11.x User, 1 User 25
CON-ECMU-UWL-1XMGT SWSS UPGRADES Controller Software for Centralized Cont
25
CON-ECMU-LICCMSMP SWSS UPGRADES 1 CMS 25
NEW-UWL New or Migration users for a new CUWL Deployment 1
UCAPPS-SW-11.X-K9 Version 11.x Software Kit 1
W przypadku oferowania rozwiązania równoważnego produkt musi spełniać wyszczególnione niżej wymagania minimalne:
1. System licencjonowania jedną pulą licencji musi obejmować wszystkich użytkowników systemu, niezależnie od fizycznej lokalizacji użytkownika.
2. System licencjonowania musi mieć wspólne cechy dla wszystkich użytkowników systemu VoIP/VTC oraz dawać prawo do korzystania z określonych cech funkcjonalnych w zależności od profilu użytkownika.
3. System licencjonowania musi zapewniać możliwość podziału użytkowników na co najmniej trzy grupy (profile), w zależności od potrzeb użytkowników.
4. System licencjonowania musi umożliwiać zastosowanie w systemie komunikacyjnym telefonów IP oraz innych urządzeń komunikacyjnych bez przypisanych użytkowników (tzw. urządzeń „publicznych”).
5. System licencjonowania musi umożliwiać zastosowanie w systemie urządzeń analogowych.
83/93
6. System licencjonowania musi zapewniać prawo do aktualizacji wersji programowych rozwiązania telekomunikacyjnego Cisco Unified Communications Manager dla wszystkich dostarczanych licencji użytkownika (przez co najmniej 36 miesięcy).
7. System licencjonowania musi pozwalać na skorzystanie przez pojedynczego użytkownika o profilu uproszczonym z następujących funkcjonalności systemu telekomunikacyjnego: a. wykorzystania co najmniej jednego telefonu IP,
b. wykorzystania telefonu programowego IP,
c. integracji z systemem telefonii komórkowej na zasadzie pojedynczego numeru
biznesowego (połączenia przychodzące na telefon IP powodują jednoczesne
dzwonienie aparatu komórkowego w/g zadanych reguł).
8. System licencjonowania musi udostępniać możliwość skorzystania przez pojedynczego użytkownika o profilu podstawowym z funkcjonalności systemu telekomunikacyjnego jak dla użytkownika o profilu uproszczonym, a ponadto: a. wykorzystania komunikatora programowego obejmującego różnorodne mechanizmy
komunikacji (głos, obraz, chat, dostęp do książek telefonicznych, informację o
dostępności),
b. wykorzystania aplikacji na komputer PC umożliwiającej transmisję wideo wraz z
rozmową telefoniczną,
c. informowania o dostępności danego użytkownika oraz informowaniu o dostępności
innych użytkowników,
d. wykorzystania poczty głosowej albo systemu zunifikowanych wiadomości (integracja
poczty głosowej z zewnętrznym systemem e-mailowym).
9. System licencjonowania musi udostępniać możliwość skorzystania przez pojedynczego użytkownika o profilu rozszerzonym z funkcjonalności systemu telekomunikacyjnego jak dla użytkownika o profilu podstawowym, a ponadto: a. wykorzystania kilku telefonów IP,
b. wykorzystania aplikacji na telefony typu smartphone, umożliwiającej dostęp do
wybranych funkcji systemu komunikacyjnego (książki telefoniczne, informacja o
dostępności, wiadomości poczty głosowej, chat),
c. prawo do zwoływania (zapraszania) oraz uczestniczenia w planowanych
(organizowanych) konferencjach obejmujących współdzielenie głosu, obrazu a także
współdzielenie danych i aplikacji.
10. System licencjonowania musi pozwalać na uruchomienie w systemie telefonów IP (lub innych urządzeń typu telefon IP) bez przypisanych do nich na stałe użytkowników, a więc w typowych sytuacjach takich jak: a. w salach konferencyjnych,
b. na korytarzach czy recepcjach (telefon dla gości),
c. w kuchniach, pomieszczeniach gospodarczych, itp.
11. System licencjonowania dla urządzeń, jak w punkcie powyżej, musi pozwalać na identyfikację użytkownika, zestawianie połączeń telefonicznych w/g zadanych reguł i uprawnień, a także umożliwia dostęp do centralnej książki abonentów systemu komunikacyjnego (o ile tylko pozwalają na to możliwości zastosowanego urządzenia).
12. System licencjonowania musi pozwalać na uruchomienie w systemie urządzeń analogowych, w typowych sytuacjach tego wymagających, takich jak: a. klasyczne telefony analogowe w miejscach, gdzie zastosowanie telefonu IP byłoby
niewskazane lub niemożliwe (np. brak możliwości realizacji dostępu do sieci IP lub
niewłaściwe warunki środowiskowe),
b. specjalizowane telefony analogowe (np. alarmowe, szyfrujące),
c. faksy analogowe,
d. modemy analogowe,
e. inne podobne urządzenia analogowe.
13. System licencjonowania dla urządzeń, jak w punkcie powyżej, musi pozwalać na identyfikację urządzenia, zestawianie z niego połączeń telefonicznych w/g zadanych reguł i uprawnień.
14. Zamawiający wymaga dostarczenia następującej liczby i typów licencji użytkownika (zgodnie z opisanym systemem licencjonowania): a. licencje użytkowników o profilu rozszerzonym w liczbie 25.
84/93
B.37 Mostek konferencyjny
Jako urządzenie referencyjne „mostek konferencyjny” spełniające wymagania opisane
w punktach od 1 do 2 Zamawiający określa zestaw sprzętu, oprogramowania i licencji
przedstawiony w poniższej tabeli:
Opis pojedynczego kompletu (1 sztuki)
Symbol produktu Opis Ilość
CTI-CMS-1K-BUN-K9 Cisco Meeting Server 1000 Bundle 1
CTI-CMS-1000-K9 Cisco Meeting Server 1000 1
CON-SNT-CTICMS1K SNTC 8X5XNBD Cisco Meeting Server 1000 1
CAB-9K10A-EU Power Cord, 250VAC 10A CEE 7/7 Plug, EU 2
CMS1K-SW-2X Cisco Meeting server 1000 sw preload 1
R-CMS-K9 Virtual Edition Cisco Meeting Server (CMS) 1
CON-ECMU-RCMSK9 SWSS UPGRADES Virtual Edition Cisco 1
CON-ECMU-SWCM2XK9 SWSS UPGRADES Cisco Meeting Server 1
CON-ECMU-LICCMSLG SWSS UPGRADES Cisco Meeting Server 1
VMW-VSP-STD-1A= VMware vSphere 6 Standard (1 CPU), 1-yr, Support Required
2
CON-ISV1-VSXSTD1A VSphere Standard for 1 CPU, ANNUAL List 1-YR Regd
2
UCS-VMW-TERMS Acceptance of Terms, Standalone VMW License for UCS Servers
2
TP-SMP-K9 Cisco TelePresence Shared Multiparty 1
LIC-SMP+ Shared Multiparty License for 1 Concurrent Meeting 3
CON-ECMU-TPSMPK9 SWSS UPGRADES Cisco TelePresence Shared Multiparty
1
CON-ECMU-LICSMP SWSS UPGRADES Shared Multiparty 3
W przypadku oferowania rozwiązania równoważnego urządzenie musi spełniać wyszczególnione niżej wymagania minimalne:
1. System musi umożliwiać realizację wirtualnych spotkań z wykorzystaniem kanałów audio, wideo i web.
2. System licencjonowania musi zapewniać prawo do aktualizacji wersji programowych przez co najmniej 36 miesięcy.
b. System musi pozwalać na podłączenie do wirtualnego spotkania za pomocą:
przeglądarki implementującej WebRTC
terminali wideo
klienta Cisco Jabber
Skype for Business c. System musi być wspierany na platformach typu PC, laptop, tablet, smartfon
(Windows, OS X, iOS oraz przeglądarki WebRTC) d. System musi zostać dostarczony z dedykowaną platformą sprzętową objętą wspólnym
wsparciem serwisowym wraz z aplikacją systemu spotkań e. Dostarczona platforma musi pozwalać na skalowanie do co najmniej 90 portów wideo
HD, co najmniej 190 połączeń wideo SD, co najmiej 3000 połączeń audio. f. Musi wspierać mechanizmy optymalizacji przepustowości dla lokalizacji
z niską przepustowością łącza g. System spotkań musi wspierać poniższe standardy:
Wideo:
H.263, H.263+, H.263++
H.264 AVC (Baseline, High Profile)
H.264 SVC
85/93
WebM, VP8
Microsoft RTV
HTML5/WebRTC
SIP,
H.323,
TIP Audio:
AAC-LD
Speex
Opus
G.722, G.722.1, G.722.1c,
G.728,
G.729a,
G.711a/u h. Musi obsługiwać rozdzielczość co najmiej 1080p dla 60 klatek na sekundę i. Musi wspierać przepustowość 6Mbit/s dla połączeń wideo j. Musi posiadać funkcje w zakresie zarządzania:
Język skryptowy na potrzeby konfiguracji wykorzystujący LDAP
REST API w celu monitorowania i diagnostyki
Strumieniowanie CDR na potrzeby audytu
Systlog na potrzeby diagnostyki
SNMP
Funkcje backupu i odtwarzania
wsparcie dla multitenancy k. Musi wspierać mechanizmy w zakresie bezpieczeństwa:
Szyfrowanie połączeń Secure Real-Time Transport Protocol z wykorzystaniem AES
Szyfrowanie połączeń sygnalizacyjnych z wykorzystaniem TLS/SSL
Wsparcie dla rozszerzeń DNSSEC
Wsparcie dla IPv6
Obsługa kodów bezpieczeństwa/PIN dla połączeń do spotkań
Informacje o połączeniu i szyfrowaniu na ekranie połączenia l. Musi współpracować z systemem planowania spotkań i udostępniać przycisk
programowy pozwalający na dołączenie do spotkania na terminalach wideo. Musi umożliwiać tworzenie konferencji współdzielonych (tzn. bez przypisanego nazwanego konta użytkownika). System musi być dostarczony z możliwością realizacji co najmniej 3 takich konferencji.
C. SERWIS GWARANCYJNY
C.1 Wymagania serwisu gwarancyjnego dla urządzeń będących przedmiotem zamówienia 1. Serwisy musza zapewniać :
Możliwość bezpośredniego zgłaszania awarii do Producenta lub Autoryzowanego Partnera
Realizację serwisu przez Producenta i Partnera Użytkownikowi bezpośredni dostęp do kontraktu serwisowego Użytkownikowi prawo do zakładania zgłoszeń bezpośrednio u Producenta Użytkownikowi bezpośredni dostęp do stron Producenta Użytkownikowi bezpośredni dostęp do oprogramowania i jego aktualizacji Użytkownikowi dostęp do pomocy technicznej Producenta
2. Całość dostarczonego sprzętu musi być objęta gwarancją producenta opartą o świadczenia gwarancyjne producenta sprzętu, niezależne od statusu partnerskiego Wykonawcy przez okres 36 miesięcy. Przy dostawie sprzętu Wykonawca dostarczy oświadczenie producenta lub przedstawiciela producenta w Polsce (oficjalnego biura producenta w Polsce) o wykupieniu przez Wykonawcę wymaganych przez Zamawiającego serwisów gwarancyjnych na dostarczony sprzęt.
86/93
3. Na dostarczany sprzęt musi być udzielona min. 36 miesięczna gwarancja od daty odbioru sprzętu, oparta na gwarancji producenta rozwiązania; serwis gwarancyjny świadczony ma być w miejscu instalacji sprzętu przez Wykonawcę; czas reakcji na zgłoszony problem (rozumiany jako podjęcie działań diagnostycznych i kontakt ze zgłaszającym) nie może przekroczyć 4 godzin; usunięcie usterki (naprawa lub wymiana wadliwego podzespołu lub urządzenia) ma zostać wykonana w przeciągu 2 dni roboczych od momentu zgłoszenia usterki; Serwis musi być świadczony przez 8 godzin na dobę przez 5 dni w tygodniu. Wykonawca ma obowiązek przyjmowania zgłoszeń serwisowych przez telefon (w godzinach pracy Zamawiającego), fax, e-mail lub WWW (przez całą dobę); Wykonawca ma udostępnić pojedynczy punkt przyjmowania zgłoszeń serwisowych. Zaproponowany pakiet serwisowy musi zapewniać bezpośrednie zgłoszenie awarii sprzętu do producenta sprzętu (a nie tylko u Wykonawcy) przez cały okres trwania gwarancji. Serwis gwarancyjny, w przypadku konieczności dostępu do urządzeń w lokalizacji Użytkownika, musi być świadczony przez osoby posiadające aktualne poświadczenia bezpieczeństwa osobowego o klauzuli co najmniej TAJNE+NATO SECRET+EU SECRET.
4. W przypadku sprzętu, dla którego jest wymagany dłuższy czas na naprawę sprzętu, Zamawiający dopuszcza podstawienie na czas naprawy sprzętu o nie gorszych parametrach funkcjonalnych. Naprawa w takim przypadku nie może przekroczyć 10 dni od momentu zgłoszenia usterki.
5. Zamawiający w zaproponowanych pakietach serwisowych producenta musi otrzymać dostęp do pomocy technicznej Producenta (telefon, e-mail lub WWW) w zakresie rozwiązywania problemów związanych z bieżącą eksploatacją dostarczonych rozwiązań w godzinach pracy Zamawiającego.
6. Wszystkie dostarczane moduły (np. typu SFP) muszą pochodzić od producenta urządzeń sieciowych i być objęte serwisem gwarancyjnym opartym na świadczeniach producenta sprzętu.
7. W przypadku konieczności wymiany uszkodzonej pamięci masowej (nośnika danych, dysku twardego), pamięci RAM lub flash, uszkodzone moduły pozostaną u Użytkownika (dla urządzeń Cisco zgodnie z opisem zawartym w dokumentach Service Description: SMARTnet Services oraz Statement of Policy Regarding the Removal of Data Cisco Equipment).
C.2 Szczegółowe wymagania dla serwisu gwarancyjnego dla oprogramowania
1. Oprogramowanie musi być dostarczone z min. 36 miesięcznym wsparciem technicznym Producenta w ramach którego Zamawiający będzie mógł otrzymać i używać aktualizacje dostarczonego oprogramowania w ramach otrzymanej wersji. Wraz z otrzymaniem aktualizacji dostarczonego oprogramowania Zamawiającemu zostanie udzielona licencja na jego użytkowanie, na zasadach określonych przez producenta oprogramowania. Przy dostawie sprzętu Wykonawca dostarczy oświadczenie producenta lub przedstawiciela producenta w Polsce (oficjalnego biura producenta w Polsce) o wykupieniu przez Wykonawcę wymaganych przez Zamawiającego serwisów gwarancyjnych na dostarczony sprzęt.
2. Zainstalowane oprogramowanie zostanie zaktualizowane, w oparciu o przekazane aktualizacje, przez samego Zamawiającego lub przy współudziale Wykonawcy (o ile Zamawiający wyrazi taką potrzebę).
3. Wykonawca zapewni zdalne wsparcie techniczne (WWW, telefon lub e-mail) w zakresie rozwiązywania problemów z konfiguracją i użytkowaniem oprogramowania.
4. Wykonawca zapewni dostęp do aktualizacji oprogramowania oraz wsparcia technicznego przynajmniej po swojej, a jeśli to możliwe, także po stronie producenta sprzętu.
Przykładowe minimalne gwarancje serwisowe
Produkt Gwarancja serwisowa Czas trwania
(lata)
ISR4451-X/K9 CON-SNT-ISR45XK9 3
ISR4451-X/K9 CON-ECMU-WS2500 3
ASR1006-X CON-SNT-ASR1006X 3
ASR1006-X CON-SNT-ASR1000E 3
ASR1006-X CON-SNT-ASR1000E 3
ASR1006-X CON-SNT-ASRRP2 3
ASR1006-X CON-SNT-SASRAKR6 3
ASR1006-X CON-SNT-ASRRP2 3
ASR1006-X CON-SNT-ASR10006 3
87/93
ASR1006-X CON-SNT-ASR1x1GE 3
ISR4331-SEC/K9 CON-SNT-ISR4331S 3
ISR4331-V/K9 CON-SNT-ISR4331V 3
ISR4331-AXV/K9 CON-SNT-ISR4331XV 3
ISR4331-AXV/K9 CON-ECMU-ISRW750 3
ISR4331-AXV/K9 CON-ECMU-VWS1300 3
WS-C3650-24PD-S CON-SNT-WSC365PDS 3
WS-C3650-48FD-S CON-SNT-WSC365FD 3
WS-C3560CX-8PC-S CON-SNT-WSC38PCS 3
WS-C2960X-24TS-L CON-SNT-WSC296XT 3
WS-C2960X-48TS-L CON-SNT-WSC248TS 3
WS-C3850-12S CON-SNT-WSC3851S 3
WS-C3850-24S CON-SNT-WSC3854S 3
WS-C45000X-32SFP+ CON-SNT-C45X32SF 3
WS-C45000X-16SFP+ CON-SNT-WSC16SFX 3
WS-C3850-24S CON-SNT-WSC3854S 3
WS-C3850-24S CON-SNT-WSC3854S 3
UCS-FI-6248UP CON-SNT-FI6248UP 3
AIR-CT5520-K9 CON-SNT-AIRT5520 3
AIR-CT5520-K9 CON-ECMU-LICGT552 3
AIR-CT5520-K9 CON-ECMU-LICT5520 3
Podane w powyższej tabeli przykładowe minimalne gwarancje serwisowe mają charakter jedynie poglądowy, pomocniczy dla wykonawcy wskazujący proponowany minimalny punkt wyjścia dla spełnienia wymagań zgodnie z podanym powyżej opisem.
88/93
C. WZORY DOKUMENTÓW:
Wzór nr 1
………………………..………………….. ………………………………. dnia ……………. pieczęć nagłówkowa Wykonawcy (miejscowość)
P R O T O K Ó Ł P R Z E K A Z A N I A / P R Z Y J Ę C I A
(wzór)
Zgodnie z Umową nr ………… zawartą w dniu …………… pomiędzy: Zamawiającym - Resortowym Centrum Zarządzania Sieciami i Usługami Teleinformatycznymi
a firmą …………………………………………………… - Wykonawca
Odbiorca, tj. ………………………………………… potwierdza przyjęcie Sprzętu / Oprogramowania:
L.p. Nazwa Sprzętu / Oprogramowania Ilość Uwagi
Nr faktury: ……………………………………...……
Uwagi Odbiorcy: …………………………………..
Protokół sporządzono w trzech jednobrzmiących egzemplarzach z przeznaczeniem dla: Egz. Nr 1 – Zamawiającego …………………………. Egz. Nr 2 – Odbiorcy ………………………………… Egz. Nr 3 – Wykonawcy …….………………………..
WYKONAWCA ODBIORCA
………………………………………… ……………………………………………… pieczęć i podpis Wykonawcy Podpis i pieczęć Odbiorcy
89/93
Wzór nr 2
WZÓR KARTY
RAPORT ROCZNY WYKONYWANYCH PRAC SERWISOWYCH
Prace wykonywane w okresie od ……………………… do ………………………………..
będące realizacją umowy Nr ….. /2016 dla ………………………………………. o numerze
seryjnym …………………………….
RAPORT wykonywany prac serwisowych
Lp. Data
i godzina zgłoszenia
Nr systemowy zgłoszenia
Czas reakcji
Opis zgłoszenia (opis usterki i sposób
naprawy, numery seryjne podzespołów, uwagi)
Data i godzina
zakończenia
Serwisant (imię,
nazwisko)
Wnioski, uwagi, zalecenia: …………………………………………………………………….
…………………………………………………………………………………………………...
Wyniki przeglądu biuletynów bezpieczeństwa i zalecenia bezpieczeństwa (Wnioski i zalecenia)
……………………………………………………………………………………………………………….………………………………………………………………………………………………
Data wykonania raportu ………………………………………
…….…………………………………. ……………………………………………… (podpis przedstawiciela firmy) (podpis upoważnionego przedstawiciela)
WYKONAWCA ZAMAWIAJĄCY
90/93
Wzór nr 3
WZÓR KARTY
PROTOKÓŁ Z WYKONYWANIA PRACY SERWISOWEJ
Numer zgłoszenia wykonawca …………………….. zmawiający …………………………….
Praca serwisowa przy ………………….……………… o numerze seryjnym ………………. .
Zgłoszono dnia ……………..………….. o godzinie ………….……………..
Usunięto nieprawidłowość dnia ………..……………….. o godzinie …………….…………..
będące realizacją umowy Nr ….. /2016 realizowana przez firmę
……………………………………….…………………………..……….
A. WYKAZ CZYNNOŚCI SERWISOWYCH
Lp. Treść
zgłoszenia
DIAGNOZA
serwisu
Podjęte czynności (czynności, nr
seryjne, rezultaty)
Czas
trwania
Wnioski, uwagi, zalecenia:
…………………………………………………………….…………………………………………
…………………………………………………………………………………………………..........
Serwisant: imię ………………… nazwisko ……………………., certyfikat…………………..
Data wykonania raportu ………………………………………
………….……………………………………. ……………………………………………… (podpis i pieczątka przedstawiciela firmy) (podpis upoważnionego przedstawiciela)
WYKONAWCA ZAMAWIAJĄCY
91/93
Wzór nr 4 KARTA WYROBU
Wniosek zgłoszeniowy do Systemu JIM dla wyrobu jednostkowego i hierarchii opakowań identyfikowanych numerami GTIN wg systemu GS1, występujących w dostawach wyrobów do resortu obrony narodowej.
CZĘŚĆ A: DOTYCZY WSKAZANIA JIM I NSN DLA WYROBU JEDNOSTKOWEGO (wypełnia odbiorca wyrobu) L.p.
1 Nazwisko i imię osoby rozpatrującej wniosek: [WYMAG]
2 Data rozpatrzenia: [WYMAG], [D]
3 Komórka organizacyjna: [WYMAG]
4 Telefon kontaktowy:
[WYMAG], [TS] lub [TK]
5 Kontaktowy adres poczty elektronicznej (e-mail):
[WYMAG]
6 Numer wniosku wg rejestru: [WYMAG]
7 Status wniosku: [WYMAG]
8 Wskazany JIM dla wyrobu jednostkowego: [WYMAG]
9 Wskazany NSN dla wyrobu jednostkowego:
10 Informacje dodatkowe: [c200]
CZĘŚĆ B: DOTYCZY IDENTYFIKACJI PRODUCENTA LUB DOSTAWCY NA ETYKIETACH LOGISTYCZNYCH Z KODEM KRESKOWYM
1 Numer identyfikatora GLN: [WYMAG] [n13]
2 Nazwa podmiotu gospodarczego: [WYMAG]
3 Adres siedziby głównej:
- miejscowość (poczta): [WYMAG]
- ulica, nr domu (miejscowość): [WYMAG]
- kod pocztowy: [WYMAG]
- inne dane:
4 Numer REGON: [WYMAG] [REGON]
5 Numer NIP: [WYMAG] [NIP]
6 Nazwisko i imię osoby zgłaszającej wniosek: [WYMAG]
7 Data zgłoszenia: [WYMAG] [D]
8 Telefon kontaktowy 1: [WYMAG] [TS] lub [TK]
Telefon kontaktowy 2: [TS] lub [TK]
9 Numer fax: [WYMAG] [TS]
10 Kontaktowy adres poczty elektronicznej (e-mail):
[WYMAG]
CZĘŚĆ C: DOTYCZY OPISU WYROBU JEDNOSTKOWEGO
1 Nazwa producenta wyrobu: [WYMAG]
2 Numer identyfikatora GLN producenta wyrobu:
[PRODUCENT] [n13]
3 Kod GTIN dla opakowania jednostkowego:
[WYMAG] [n14] [G_1]
4 Numer NSN – jeżeli istnieje: 5 Nazwa wyrobu jednostkowego: [WYMAG]
6 Podstawowa jednostka miary: [WYMAG] [JM]
7 Rodzaj opakowania [WYMAG] [OPAK]
8 Parametry wyrobu jednostkowego
8a Okres trwałości: [WYMAG] [TRWAŁ]
8b Waga w kilogramach [WYMAG]
- brutto: [WAGA]
- netto: [WAGA]
92/93
8c Objętość w litrach [WYMAG]
- ilość: [OBJĘTOŚĆ]
8d Wymiary w metrach [WYMAG]
- długość: [WYMIAR]
- szerokość (wymiar w głąb): [WYMIAR]
- wysokość: [WYMIAR]
8d Symbol katalogowy producenta:
8e Norma jakościowa:
9 Ilość nadrzędnych rodzajów jednostek handlowych w hierarchii opakowań, oznaczonych własnymi numerami GTIN:
[WYMAG], wynika
10 Opis uzupełniający do wyrobu jednostkowego: [c200]
CZĘŚĆ D: DOTYCZY OPISU OPAKOWANIA ZBIORCZEGO Uwaga: Każdy załącznik stanowiący cześć D opisuje jeden typ opakowania nadrzędnego w hierarchii opakowań. Do jednej części A-B-C należy dołączyć tyle części D, ile jest form opakowań nadrzędnych w hierarchii opakowań wyrobu jednostkowego.
1 Kod GTIN dla formy opakowaniowej:
[WYMAG] [n14] [G_2]
2 Nazwa wyrobu dla formy opakowaniowej: [WYMAG]
3 Rodzaj opakowania [WYMAG] [OPAK]
4 Ilość opakowań jednostkowych wg części C: [WYMAG]
5 Parametry wyrobu w danej formie opakowaniowej
5a Waga w kilogramach [WYMAG]
- brutto: [WAGA]
- netto: [WAGA]
5b Objętość w litrach [WYMAG]
- ilość: [OBJĘTOŚĆ]
5c Wymiary w metrach [WYMAG]
- długość: [WYMIAR]
- szerokość (wymiar w głąb): [WYMIAR]
- wysokość: [WYMIAR]
6 Opis uzupełniający do formy opakowaniowej: [c200]
LEGENDA:
[WYMAG] Pole wymagane.
[TK] Format zapisu numeru telefonu komórkowego: „+AB CDEFGHIJK”, gdzie: AB - nr kierunkowy kraju, CDEFGHIJK – dalsze cyfry numeru telefonu.
[TS] Format zapisu numeru telefonu stacjonarnego: „00AB(CD) EFGHIJK”, gdzie: AB - nr kierunkowy kraju, CD - prefiks regionalny kraju, EFGHIJK– dalsze cyfry numeru telefonu.
[D] Format zapisu daty „RRRR-MM-DD”,
gdzie RRRR - rok (4 cyfry), MM - miesiąc (2 cyfry), DD - dzień (2 cyfry).
[c200] Format zapisu tekstu, gdzie przykładowo c200 oznacza ciąg o maksymalnej długości 200 znaków alfanumerycznych.
[n13] Format zapisu numeru, gdzie przykładowo n13 oznacza ciąg 13 cyfr.
[REGON] Format zapisu numeru w Rejestrze Gospodarki Narodowej (REGON), który wynosi 9 znaków numerycznych dla numeru REGON 9 cyfrowego lub 14 znaków numerycznych dla numeru REGON 14 cyfrowego.
[NIP] Format zapisu 9-cio znakowego numeru identyfikacji podatkowej (NIP): „nnn-nnn-nn-nn”, gdzie n – pojedyncza cyfra.
93/93
[G_1]
Należy podać numer GTIN według struktury:
GTIN-8, GTIN-12 lub GTIN-13 uzupełniony z przodu zerami dla formy zapisu czternastu znaków numerycznych,
GTIN-14 z cyfrą 9 z przodu dla wyrobu o zmiennej ilości.
[G_2]
Należy podać numer GTIN według struktury:
GTIN-12 lub GTIN-13 uzupełniony z przodu zerami dla formy zapisu
czternastu znaków numerycznych,
GTIN-14.
[JM]
Należy stosować zapisy jak dla jednostek miary układu SI oraz ich pochodnych i wielokrotności, w wyjątkowych przypadka dopuszcza się wskazanie jednostek dopuszczonych do stosowania (na przykład: litr) oraz angloamerykańskich jednostek miary (cal, stopa, jard). Przykłady: m-metr, kg- masa, l-litr, dm3-decymetr sześcienny, mm-milimetr.
[OPAK] Należy podać nazwę formy opakowaniowej, na przykład: pudło, karton, skrzynia, beczka, zgrzewka, worek foliowy.
[TRWAŁ] Należy podać okres trwałości wyrobu w miesiącach.
[WAGA] Należy podać wagę w kilogramach z dokładnością do 3 miejsc po przecinku, na przykład: dla 10 kg należy wpisać: 10,000.
[OBJĘTOŚĆ] Należy podać objętość w litrach z dokładnością do 2 miejsc po przecinku, na przykład: dla 0,5 litra należy wpisać: 0,50. Dla wyrobów nie wyrażanych w jednostkach objętości należy wpisać „Nie dotyczy”
[WYMIAR] Należy podać wymiary w metrach z dokładnością do 2 miejsc po przecinku, na przykład: dla 1 metra i 18 centymetrów należy wpisać: 1,18.
[TAK/NIE] Pole wyboru, należy wpisać słowo TAK lub NIE.
[PRODUCENT] Należy podać numer GLN Producenta wyrobu