Załącznik A do SIWZ Przełącznik minimum 48 portowy sztuk 5

(1)

1 Załącznik A do SIWZ

I. Przełącznik minimum 48 portowy – sztuk 5 Wymagania podstawowe

1. Przełącznik posiadający minimum 48 portów 10/100/1000BASE-T Gigabit Ethernet PoE+

oraz 4 dedykowane porty 1G/10G SFP+

2. Możliwość instalacji dodatkowych portów:

a. min. 2 x 40G QSFP+

b. min. 2 x 10G SFP+

c. min. 2 x 10GBASE-T

3. Budżet mocy na zasilanie PoE+ musi wynosić min. 500W / 720W

4. Wsparcie dla Energy Efficient Ethernet IEEE 802.3az na wszystkich portach 10/100/1000BASE-T

5. Wysokość urządzenia maximum 1U

6. Przełącznik musi posiadać wymienny w czasie pracy zasilacz 230V AC

7. Przełącznik musi posiadać możliwość zainstalowania drugiego redundantnego zasilacza w obudowie przełącznika. Nie dopuszczalna jest instalacja zasilaczy zewnętrznych.

Przełącznik musi być dostarczony z dwoma zasilaczami działającymi redundantnie.

8. Przełącznik musi posiadać wymienne w czasie pracy zestaw wentylatorów.

9. Przełącznik musi mieć zapewnione chłodzenie przód-tył

10. Nieblokująca architektura o wydajności przełączania min. 336 Gb/s 11. Szybkość przełączania min. 250 Milionów pakietów na sekundę

12. Możliwość instalacji modułów stakujących zapewniających wydajność łączenia w stos min. 160 Gb/s

13. Możliwość alternatywnego łączenia przełączników w stos z wykorzystaniem wbudowanych portów 10G

14. Możliwość łączenia do 8 przełączników w stos 15. Tablica MAC adresów min. 64k

16. Pamięć operacyjna: min. 1GB pamięci DRAM 17. Pamięć flash: min. 1GB pamięci Flash

18. Obsługa sieci wirtualnych IEEE 802.1Q – min. 4094 19. Obsługa sieci wirtualnych protokołowych IEEE 802.1v

20. Obsługa funkcjonalności Private VLAN - blokowanie ruchu pomiędzy klientami z umożliwieniem łączności do wspólnych zasobów sieci

21. Wsparcie dla ramek Jumbo Frames (min. 9216 bajtów) 22. Obsługa Q-in-Q IEEE 802.1ad

23. Obsługa Quality of Service a. IEEE 802.1p b. DiffServ

c. 8 kolejek priorytetów na każdym porcie wyjściowym 24. Obsługa Link Layer Discovery Protocol LLDP IEEE 802.1AB

(2)

2 25. Obsługa LLDP Media Endpoint Discovery (LLDP-MED)

26. Przełącznik wyposażony w modularny system operacyjny z ochroną pamięci, procesów oraz zasobów procesora.

27. Wbudowany DHCP Serwer i klient

28. Możliwość instalacji min. dwóch wersji oprogramowania - firmware

29. Możliwość przechowywania min. kilkunastu wersji konfiguracji w plikach tekstowych w pamięci Flash

30. Możliwość monitorowania zajętości CPU

31. Lokalna i zdalna możliwość monitoringu pakietów (Local and Remote Mirroring)

32. Obsługa Wirtualnych Routerów - możliwość uruchomienia oddzielnych procesów protokołu dynamicznego routingu z oddzielnymi tablicami. Możliwość użycia tych samych podsieci w różnych wirtualnych routerach.

33. Wbudowany dodatkowy port Ethernet do zarządzania poza pasmem - out of band management.

34. Wbudowany port USB pozwalający na łatwe przenoszenie konfiguracji oraz oprogramowania przełącznika

Obsługa Routingu IPv4

35. Sprzętowa obsługa routingu IPv4 – forwarding 36. Pojemność tabeli routingu min. 12 tys. wpisów 37. Routing statyczny

38. Obsługa routingu dynamicznego IPv4 a. RIPv1/v2

b. OSPFv2 – możliwość rozszerzenia przez licencję oprogramowania c. BGPv4 – możliwość rozszerzenia przez licencję oprogramowania d. IS-IS – możliwość rozszerzenia przez licencję oprogramowania 39. Policy Based Routing dla IPv4

40. Obsługa DHCP/BootP Relay dla IPv4

41. Sprzętowa obsługa routingu IPv6 – forwarding 42. Pojemność tabeli routingu min. 6 tys. wpisów 43. Routing statyczny

44. Obsługa routingu dynamicznego dla IPv6 a. RIPng

b. OSPF v3 – możliwość rozszerzenia przez licencję oprogramowania c. BGPv4 – możliwość rozszerzenia przez licencję oprogramowania d. IS-IS - możliwość rozszerzenia przez licencję oprogramowania 45. Telnet Serwer/Klient dla IPv6

46. SSH2 Serwer/Klient dla IPv6 47. Ping dla IPv6

48. Tracert dla IPv6

(3)

3 49. Obsługa 6to4 (RFC 3056)

50. Obsługa MLDv1 (Multicast Listener Discovery version 1) 51. Obsługa MLDv2 (Multicast Listener Discovery version 2) 52. Policy Based Routing dla IPv6

53. Obsługa DHCP/BootP Relay dla IPv6

54. Opcja IPv6 Router Advertisement dla DNS - RFC 6106

Obsługa Multicastów

55. Statyczne przyłączenie do grupy multicast 56. Filtrowanie IGMP

57. Obsługa PIM-SM - możliwość rozszerzenia przez licencję oprogramowania 58. Obsługa PIM-DM – możliwość rozszerzenia przez licencję oprogramowania 59. Obsługa PIM-SSM – możliwość rozszerzenia przez licencję oprogramowania 60. Obsługa PIM snooping

61. Obsługa Multicast VLAN Registration - MVR 62. Obsługa IGMP v1 (RFC 1112)

63. Obsługa IGMP v2 (RFC 2236) 64. Obsługa IGMP v3 (RFC 3376) 65. Obsługa IGMP v1/v2/v3 snooping

66. Możliwość konfiguracji statycznych tras dla Routingu Multicastów

Bezpieczeństwo

67. Obsługa Network Login

a. IEEE 802.1x - RFC 3580 b. Web-based Network Login c. MAC based Network Login

68. Obsługa wielu klientów Network Login na jednym porcie (Multiple supplicants) 69. Możliwość integracji funkcjonalności Network Login z Microsoft NAP

70. Przydział sieci VLAN, ACL/QoS podczas logowania Network Login 71. Obsługa Guest VLAN dla IEEE 802.1x

72. Obsługa funkcjonalności Kerberos snooping - przechwytywanie autoryzacji użytkowników z wykorzystaniem protokołu Kerberos

73. Obsługa funkcjonalności CoA – Change of Authentication pozwalającej na wymuszenie procesu ponownego uwierzytelnienia użytkownika w celu zmiany jego autoryzacji dostępu do sieci.

74. Obsługa Identity and Access Management

75. Wbudowana obrona procesora urządzenia przed atakami DoS 76. Obsługa TACACS+ (RFC 1492)

77. Obsługa RADIUS Authentication (RFC 2138) 78. Obsługa RADIUS Accounting (RFC 2139)

79. RADIUS and TACACS+ per-command Authentication

(4)

4 80. Bezpieczeństwo MAC adresów

a. ograniczenie liczby MAC adresów na porcie b. zatrzaśnięcie MAC adresu na porcie

c. możliwość wpisania statycznych MAC adresów na port/vlan 81. Możliwość wyłączenia MAC learning

82. Obsługa SNMPv1/v2/v3 83. Klient SSH2

84. Zabezpieczenie przełącznika przed atakami DoS a. Networks Ingress Filtering RFC 2267 b. SYN Attack Protection

c. Zabezpieczenie CPU przełącznika poprzez ograniczenie ruchu do systemu zarządzania

85. Dwukierunkowe (ingress oraz egress) listy kontroli dostępu ACL pracujące na warstwie 2, 3 i 4

a. Adres MAC źródłowy i docelowy plus maska

b. Adres IP źródłowy i docelowy plus maska dla IPv4 oraz IPv6 c. Protokół – np. UDP, TCP, ICMP, IGMP, OSPF, PIM, IPv6 itd.

d. Numery portów źródłowych i docelowych TCP, UDP e. Zakresy portów źródłowych i docelowych TCP, UDP f. Identyfikator sieci VLAN – VLAN ID

g. Flagi TCP

h. Obsługa fragmentów

86. Listy kontroli dostępu ACL realizowane w sprzęcie bez zmniejszenia wydajności przełącznika

87. Minimum 4000 reguł ACL na wejściu i 1000 reguł ACL na wyjściu

88. Możliwość zliczania pakietów lub bajtów trafiających do konkretnej ACL i w przypadku przekroczenia skonfigurowanych wartości podejmowania akcji np. blokowanie ruchu, przekierowanie do kolejki o niższym priorytecie, wysłanie trapu SNMP, wysłanie informacji do serwera Syslog lub wykonanie komend CLI. – możliwość rozszerzenia przez licencję oprogramowania

89. Obsługa bezpiecznego transferu plików SCP/SFTP 90. Obsługa DHCP Option 82

91. Obsługa IP Security - Gratuitous ARP Protection 92. Obsługa IP Security - Trusted DHCP Server

93. Obsługa IP Security - DHCP Secured ARP/ARP Validation

94. Obsługa powyższych funkcji IP Security na portach Network Login IEEE 802.1x 95. Ograniczanie przepustowości (rate limiting) na portach wyjściowych z kwantem 8 kb/s

Bezpieczeństwo sieciowe

96. Możliwość konfiguracji portu głównego i zapasowego

97. Obsługa redundancji routingu VRRP (RFC 2338) - możliwość rozszerzenia przez licencję oprogramowania

(5)

5 98. Obsługa redundancji routingu VRRP na dwóch urządzeniach agregacyjnych pracujących w ramach MLAG w trybie Active-Active (obydwa urządzenia przeprowadzają routing) - możliwość rozszerzenia przez licencję oprogramowania

99. Obsługa STP (Spinning Tree Protocol) IEEE 802.1D

100. Obsługa RSTP (Rapid Spanning Tree Protocol) IEEE 802.1w 101. Obsługa MSTP (Multiple Spanning Tree Protocol) IEEE 802.1s 102. Obsługa PVST+

103. Obsługa EAPS (Ethernet Automatic Protection Switching) RFC 3619 104. Obsługa G.8032

105. Obsługa Link Aggregation IEEE 802.3ad wraz z LACP – 128 grup po 8 portów 106. Obsługa MLAG - połączenie link aggregation do dwóch niezależnych przełączników.

107. Obsługa LACP w ramach MLAG

Zarządzanie

108. Obsługa synchronizacji czasu SNTP v4 (Simple Network Time Protocol) 109. Obsługa synchronizacji czasu NTP

110. Zarządzanie przez SNMP v1/v2/v3

111. Zarządzanie przez przeglądarkę WWW – protokół http i https 112. Możliwość zarządzania poprzez protokół XML

113. Telnet Serwer/Klient dla IPv4 / IPv6 114. SSH2 Serwer/Klient dla IPv4 / IPv6 115. Ping dla IPv4 / IPv6

116. Traceroute dla IPv4 / IPv6

117. Obsługa SYSLOG z możliwością definiowania wielu serwerów 118. Sprzętowa obsługa sFlow

119. Obsługa RMON min. 4 grupy: Status, History, Alarms, Events (RFC 1757) 120. Obsługa RMON2 (RFC 2021)

121. Obsługa IPFix

Inne

122. Możliwość rozszerzenia funkcjonalności o MPLS poprzez wymianę oprogramowania lub licencję. Wymagane wsparcie dla następujących funkcjonalności: MPLS/VPLS, MPLS/H- VPLS, MPLS/VPWS, LDP, RSVP-TE, Fast Reroute

123. Obsługa skryptów CLI

124. Obsługa funkcji TCL/Tk w skryptach CLI 125. Obsługa skryptów w języku Python

126. Możliwość edycji skyptów i ACL bezpośrednio na urządzeniu (system operacyjny musi zawierać edytor plików tekstowych)

127. Wsparcie OpenFlow – możliwość rozszerzenia przez licencję oprogramowania

128. Obsługa AVB (Audio Video Bridging) – możliwość rozszerzenia przez licencję oprogramowania

(6)

6 129. Możliwość uruchamiania skryptów

a. Ręcznie

b. O określonym czasie lub co wskazany okres czasu c. Na podstawie wpisów w logu systemowym

130. Obsługa więcej niż 16 suplicantów na pojedynczym porcie Ethernet w ramach Network Login

131. Możliwość tworzenia Polityk Bezpieczeństwa w systemie zarządzania i szybkiej ich propagacji na wszystkie przełączniki oraz punkty dostępowe znajdujące się w sieci.

Polityka powinna się składać z następujących elementów:

a. przydział do sieci VLAN

b. przydział ograniczenia dostępu do sieci – ACL c. przydział QoS dla poszczególnych aplikacji klienta d. przydział ogranicznika przepustowości – rate limit

132. Obsługa konfiguracji 8 serwerów RADIUS na potrzeby logowania do sieci (Network Login), które będą działać w trybie Round Robin. Funkcjonalność ma pozwalać na równoważenie ruchu autoryzacyjnego do wielu serwerów RADIUS bez konieczności stosowania dedykowanych urządzeń typu Load Balancer.

133. Obsługa ACL ograniczających dostęp dla pakietów o wskazanym TTL dla IPv4 oraz Hop limit dla IPv6

134. Switch musi umożliwiać realizację połączeń ringowych w standardach RFC 3619 oraz G.8032 wykorzystywanych w sieci zamawiającego

135. Switch musi umożliwiać pełne zarządzanie z poziomu oprogramowania zarządzającego Extreme Networks NMS posiadanego przez Zamawiającego. Zarządzanie musi obejmować m.in.: aktualizacje oprogramowania, tworzenie backupów konfiguracji, zarządzanie politykami, zarządzanie połączeniami.

136. Switch musi zostać dostarczony z co najmniej 1 rocznym wsparciem technicznym producenta obejmującym: dostarczenie sprawnego sprzętu na podmianę na następny dzień roboczy po zgłoszeniu awarii (Next Business Day Advanced Hardware Replacement Services (NBD AHR)). Wsparcie techniczne musi zapewniać również dostęp do poprawek oprogramowania urządzenia oraz wsparcia technicznego.

137. Switch musi być objęty dożywotnią gwarancją producenta (Limited Lifetime Warranty) obejmującą dostarczenie sprawnego sprzętu na podmianę na następny dzień roboczy po zgłoszeniu awarii (Next Business Day Advanced Hardware Replacement Services (NBD AHR)). Gwarancja musi zapewniać również dostęp do poprawek oprogramowania urządzenia oraz wsparcia technicznego.

II. Przełącznik minimum 12 portowy – sztuk 4 Wymagania podstawowe

1. Przełącznik posiadający minimum 12 portów 10/100/1000BASE-T

(7)

7 2. Minimum 4 wbudowane porty 1G SFP z możliwością rozbudowy do obsługi 10G SFP+

lub port 1G/10G SFP+. Minimum 2 porty działające z prędkością 10 Gb/s. Jeżeli obsługa 10G/s wymaga licencji – licencja musi być dostarczona wraz z przełącznikiem.

3. Wysokość urządzenia maximum 1U

4. Przełącznik musi być wyposażony we wbudowany zasilacz AC 230V. Nie dopuszcza się stosowania zewnętrznego zasilacza

7. Możliwość łączenia do 8 przełączników w stos z wydajnością 10 Gb/s za pomocą portów 10G SFP+ lub za pomocą dedykowanych połączeń stakujących.

8. Tablica MAC adresów min. 16k

16. Obsługa Quality of Service

a. Rozpoznawanie i realizacja priorytetów ustawionych w ramach IEEE 802.1p b. Rozpoznawanie i realizacja priorytetów ustawionych w DiffServ

c. 8 kolejek priorytetów na każdym porcie wyjściowym d. Obsługa kolejek Strict Priority

e. Obsługa kolejek Weighted Round Robin

f. Obsługa WRED (Weighted Random Early Detection) 17. Obsługa Link Layer Discovery Protocol LLDP IEEE 802.1AB 18. Obsługa LLDP Media Endpoint Discovery (LLDP-MED) 19. Obsługa CDPv2 z obsługą Voice VLAN

20. Przełącznik wyposażony w modularny system operacyjny z ochroną pamięci, procesów oraz zasobów procesora.

21. Przełącznik musi posiadać możliwość dołączenia redundantnego zewnętrznego systemu zasilania

22. Wbudowany DHCP Serwer i klient z możliwością definicji opcji (np. opcja 43, 60, 78 itp.) 23. Możliwość instalacji min. dwóch wersji oprogramowania - firmware

25. Możliwość monitorowania zajętości CPU oraz pamięci

27. Wbudowany dodatkowy port Fast Ethernet do zarządzania poza pasmem - out of band management.

28. Sprzętowa obsługa routingu IPv4 – forwarding

29. Pojemność tabeli routingu typowa dla przełącznika brzegowego min. 480 wpisów

(8)

8 30. Routing statyczny

b. OSPFv2 – możliwość rozszerzenia przez licencję oprogramowania Obsługa Routingu IPv6

33. Pojemność tabeli routingu typowa dla przełącznika brzegowego min. 240 wpisów 34. Routing statyczny

b. OSPF v3 – możliwość rozszerzenia przez licencję oprogramowania 36. Obsługa MLDv1 (Multicast Listener Discovery version 1)

37. Obsługa MLDv2 (Multicast Listener Discovery version 2) Obsługa Multicastów

40. Obsługa Multicast VLAN Registration - MVR 41. Obsługa IGMP v1/v2/v3 snooping

Bezpieczeństwo

42. Obsługa Network Login a. IEEE 802.1x

b. Web-based Network Login c. MAC based Network Login

45. Przydział sieci VLAN, ACL/QoS podczas logowania Network Login – również dla wielu klientów na jednym porcie (np. jeden klient przydzielony do VLAN X, drugi klient przydzielony do sieci VLAN Y)

46. Obsługa Guest VLAN dla IEEE 802.1x

47. Obsługa wymuszenia autoryzacji w celu zmiany autoryzacji (VLAN, ACL, QoS) bez konieczności wyłączania i włączania portu – CoA RFC 5176

48. Obsługa TACACS+ (RFC 1492)

51. RADIUS and TACACS+ per-command Authentication 52. Bezpieczeństwo MAC adresów

54. Obsługa SNMPv1/v2/v3

(9)

9 55. Klient SSH2

57. Dwukierunkowe listy kontroli dostępu ACL pracujące na warstwie 2, 3 i 4 a. Adres MAC źródłowy i docelowy plus maska

g. Flagi TCP

58. Dwukierunkowe listy kontroli dostępu ACL realizowane w sprzęcie bez zmniejszenia wydajności przełącznika

59. Możliwość konfiguracji min. 1024 reguł na wejściu i 256 reguł na wyjściu.

63. Obsługa IP Security - Gratuitous ARP Protection 64. Obsługa IP Security - Trusted DHCP Server 65. Obsługa IP Security - DHCP Snooping

66. Obsługa IP Security - DHCP Secured ARP/ARP Validation 67. Obsługa IP Security – IP Source Guard

68. Ograniczanie przepustowości (rate limiting) na portach wyjściowych z kwantem 8 kb/s 69. Obsługa wykrywania periodycznego zaniku linku (Port-Flap). Musi istnieć możliwość

zdefiniowania liczby zaniku linku w czasie określonego czasu oraz reakcji polegającej na wyłączeniu portu na stałe lub na wskazany czas. Zdarzenie musi być raportowane poprzez Trap SNMP i/lub Syslog.

76. Obsługa EAPS (Ethernet Automatic Protection Switching) RFC 3619

(10)

10 77. Obsługa ERPS / G.8032

78. Obsługa Link Aggregation IEEE 802.3ad wraz z LACP – 128 grup po 8 portów.

Możliwość konfiguracji połączenia Link Aggregation z różnych przełączników w stosie.

79. Obsługa MLAG - połączenie Link Aggregation do dwóch niezależnych przełączników.

80. Obsługa LACP w ramach MLAG 81. Obsługa MVRP w ramach MLAG

Zarządzanie

82. Obsługa synchronizacji czasu SNTP (Simple Network Time Protocol) 83. Obsługa synchronizacji czasu NTP

85. Zarządzanie przez przeglądarkę WWW – protokół http i https 86. Telnet Serwer/Klient dla IPv4 / IPv6

87. SSH2 Serwer/Klient dla IPv4 / IPv6 88. Ping dla IPv4 / IPv6

94. Obsługa autentykacji poprzez certyfikaty X509v3 dla protokołów SSH, SYSLOG oraz RADIUS

Inne

96. Obsługa funkcji TCL/Tk w skryptach CLI 97. Obsługa skryptów Python

98. Obsługa API JSONRPC 99. Obsługa RESTCONF

100. Możliwość edycji skyptów i ACL bezpośrednio na urządzeniu (system operacyjny musi zawierać edytor plików tekstowych)

101. Wsparcie dla OpenFlow – poprzez rozszerzenie licencji

102. Obsługa AVB (Audio Video Bridging) – poprzez rozszerzenie licencji 103. Możliwość uruchamiania skryptów

a. Ręcznie

106. Switch musi zostać dostarczony z co najmniej 1 rocznym wsparciem technicznym producenta obejmującym: wymianę uszkodzonego urządzenia w trybie NBD AHR,

(11)

11 aktualizację oprogramowania, dostęp do wsparcia technicznego producenta, dostęp do bazy wiedzy technicznej.

107. Switch musi być objęty dożywotnią gwarancją producenta (Limited Lifetime Warranty) obejmującą dostarczenie sprawnego sprzętu na podmianę na następny dzień roboczy po zgłoszeniu awarii (Next Business Day Advanced Hardware Replacement Services (NBD AHR)). Gwarancja musi zapewniać również dostęp do poprawek oprogramowania urządzenia oraz wsparcia technicznego

III. Przełącznik minimum 12 portowy z zasilaniem przez skrętkę PoE+ IEEE 802.3at – sztuk 3

Wymagania podstawowe

1. Przełącznik posiadający minimum 12 portów 10/100/1000BASE-T z zasilaniem przez skrętkę PoE+ IEEE 802.3at

2. Minimum 4 wbudowane porty 1G SFP z możliwością rozbudowy do obsługi 10G SFP+.

Minimum 2 porty działające z prędkością 10 Gb/s. Jeżeli obsługa 10G/s wymaga licencji – licencja musi być dostarczona wraz z przełącznikiem.

3. Budżet mocy dla PoE+ min. 200W 4. Wysokość urządzenia maximum 1U

5. Przełącznik musi być wyposażony w zasilacz AC 230V. Nie dopuszcza się stosowania zewnętrznego zasilacza

8. Możliwość łączenia do 8 przełączników w stos z wydajnością 10 Gb/s za pomocą portów 10G SFP+ lub za pomocą dedykowanych połączeń stakujących.

9. Tablica MAC adresów min. 16k

17. Obsługa Quality of Service

a. Rozpoznawanie i realizacja priorytetów ustawionych w ramach IEEE 802.1p b. Rozpoznawanie i realizacja priorytetów ustawionych w DiffServ

c. 8 kolejek priorytetów na każdym porcie wyjściowym d. Obsługa kolejek Strict Priority

e. Obsługa kolejek Weighted Round Robin

f. Obsługa WRED (Weighted Random Early Detection) 18. Obsługa Link Layer Discovery Protocol LLDP IEEE 802.1AB 19. Obsługa LLDP Media Endpoint Discovery (LLDP-MED) 20. Obsługa CDPv2 z obsługą Voice VLAN

(12)

12 21. Przełącznik wyposażony w modularny system operacyjny z ochroną pamięci, procesów

oraz zasobów procesora.

22. Przełącznik musi posiadać możliwość dołączenia redundantnego zewnętrznego systemu zasilania

23. Wbudowany DHCP Serwer i klient z możliwością definicji opcji (np. opcja 43, 60, 78 itp.) 24. Możliwość instalacji min. dwóch wersji oprogramowania - firmware

26. Możliwość monitorowania zajętości CPU oraz pamięci

28. Wbudowany dodatkowy port Fast Ethernet do zarządzania poza pasmem - out of band management.

b. OSPFv2 – możliwość rozszerzenia przez licencję oprogramowania Obsługa Routingu IPv6

b. OSPF v3 – możliwość rozszerzenia przez licencję oprogramowania 37. Obsługa MLDv1 (Multicast Listener Discovery version 1)

38. Obsługa MLDv2 (Multicast Listener Discovery version 2) Obsługa Multicastów

41. Obsługa Multicast VLAN Registration - MVR 42. Obsługa IGMP v1/v2/v3 snooping

Bezpieczeństwo

43. Obsługa Network Login a. IEEE 802.1x

b. Web-based Network Login c. MAC based Network Login

(13)

13 46. Przydział sieci VLAN, ACL/QoS podczas logowania Network Login – również dla wielu klientów na jednym porcie (np. jeden klient przydzielony do VLAN X, drugi klient przydzielony do sieci VLAN Y)

47. Obsługa Guest VLAN dla IEEE 802.1x

48. Obsługa wymuszenia autoryzacji w celu zmiany autoryzacji (VLAN, ACL, QoS) bez konieczności wyłączania i włączania portu – CoA RFC 5176

49. Obsługa TACACS+ (RFC 1492)

52. RADIUS and TACACS+ per-command Authentication 53. Bezpieczeństwo MAC adresów

55. Obsługa SNMPv1/v2/v3 56. Klient SSH2

58. Dwukierunkowe listy kontroli dostępu ACL pracujące na warstwie 2, 3 i 4 a. Adres MAC źródłowy i docelowy plus maska

g. Flagi TCP

59. Dwukierunkowe listy kontroli dostępu ACL realizowane w sprzęcie bez zmniejszenia wydajności przełącznika

60. Możliwość konfiguracji min. 1024 reguł na wejściu i 256 reguł na wyjściu.

64. Obsługa IP Security - Gratuitous ARP Protection 65. Obsługa IP Security - Trusted DHCP Server 66. Obsługa IP Security - DHCP Snooping

67. Obsługa IP Security - DHCP Secured ARP/ARP Validation 68. Obsługa IP Security – IP Source Guard

(14)

14 69. Ograniczanie przepustowości (rate limiting) na portach wyjściowych z kwantem 8 kb/s 70. Obsługa wykrywania periodycznego zaniku linku (Port-Flap). Musi istnieć możliwość

zdefiniowania liczby zaniku linku w czasie określonego czasu oraz reakcji polegającej na wyłączeniu portu na stałe lub na wskazany czas. Zdarzenie musi być raportowane poprzez Trap SNMP i/lub Syslog.

77. Obsługa EAPS (Ethernet Automatic Protection Switching) RFC 3619 78. Obsługa ERPS / G.8032

79. Obsługa Link Aggregation IEEE 802.3ad wraz z LACP – 128 grup po 8 portów.

Możliwość konfiguracji połączenia Link Aggregation z różnych przełączników w stosie.

80. Obsługa MLAG - połączenie Link Aggregation do dwóch niezależnych przełączników.

81. Obsługa LACP w ramach MLAG 82. Obsługa MVRP w ramach MLAG

Zarządzanie

83. Obsługa synchronizacji czasu SNTP (Simple Network Time Protocol) 84. Obsługa synchronizacji czasu NTP

86. Zarządzanie przez przeglądarkę WWW – protokół http i https 87. Telnet Serwer/Klient dla IPv4 / IPv6

88. SSH2 Serwer/Klient dla IPv4 / IPv6 89. Ping dla IPv4 / IPv6

95. Obsługa autentykacji poprzez certyfikaty X509v3 dla protokołów SSH, SYSLOG oraz RADIUS

Inne

97. Obsługa funkcji TCL/Tk w skryptach CLI 98. Obsługa skryptów Python

99. Obsługa API JSONRPC 100. Obsługa RESTCONF

(15)

15 101. Możliwość edycji skyptów i ACL bezpośrednio na urządzeniu (system operacyjny musi

zawierać edytor plików tekstowych)

102. Wsparcie dla OpenFlow – poprzez rozszerzenie licencji

103. Obsługa AVB (Audio Video Bridging) – poprzez rozszerzenie licencji 104. Możliwość uruchamiania skryptów

a. Ręcznie

107. Switch musi zostać dostarczony z co najmniej 1 rocznym wsparciem technicznym producenta obejmującym: wymianę uszkodzonego urządzenia w trybie NBD AHR, aktualizację oprogramowania, dostęp do wsparcia technicznego producenta, dostęp do bazy wiedzy technicznej.

108. Switch musi być objęty dożywotnią gwarancją producenta (Limited Lifetime Warranty) obejmującą dostarczenie sprawnego sprzętu na podmianę na następny dzień roboczy po zgłoszeniu awarii (Next Business Day Advanced Hardware Replacement Services (NBD AHR)). Gwarancja musi zapewniać również dostęp do poprawek oprogramowania urządzenia oraz wsparcia technicznego

IV. Fizyczny kontroler sieci bezprzewodowej – sztuk 2 Wymagania podstawowe

1. Kontrolery muszą być urządzeniami sprzętowymi, dedykowanymi. Nie dopuszcza się rozwiązań na kontrolerach wirtualnych zainstalowanych na Hypervisorach wirtualizacyjnych.

2. • Każde z urządzeń musi być przeznaczone do montażu w szafie rack 19”, wysokość urządzenia maksimum 1U. Wykonawca do montażu wykorzysta odpowiednie mocowania (tzw. rack-mount kit).

3. • Kontrolery muszą zostać skonfigurowane do realizacji funkcji klastra z redundancją 1+1, z pełną synchronizacją stanu (konfiguracja, podłączeni klienci/urządzenia, klucze, konta użytkowników i dane statystyczne).

4. • Każdy z Kontrolerów musi posiadać co najmniej 4 interfejsy 10/100/1000 Base-T 5. • Porty do zarządzania: 10/100/1000 Base-T, USB Port, Console Port DB9

6. • Obsługa do 125 punktów dostępowych

7. • W podstawowej wersji 50 punktów dostępowych, do 125 poprzez dodatkowe licencje 8. • Obsługa do 250 punktów dostępowych w trybie wysokiej dostępności

9. • Obsługa do 2000 użytkowników

10. • Obsługa dodatkowych 2000 użytkowników w trybie wysokiej dostępności 11. • Parametry urządzenia:

(16)

16 Architektura

12. Architektura systemu oferuje następujące możliwości przesyłania danych WLAN w sieci przewodowej:

a. Routowany na kontrolerze: Kontroler WLAN w tym trybie pracuje jak klasyczny router warstwy 3 i trasuje ruch klientów WLAN w sieci przewodowej

b. Mostowany na kontrolerze: W tym przypadku kontroler WLAN pracuje jak most warstwy 2, kieruje cały ruch warstwy 2 do zdefiniowanej sieci VLAN w ramach infrastruktury przewodowej

c. Mostowany na punkcie dostępowym: W tym trybie ruch WLAN jest w punkcie dostępowym na warstwie 2 kierowany bezpośrednio do zdefiniowanej sieci VLAN 13. Wszystkie dostępne typy punktów dostępowych wchodzące w skład rozwiązania WLAN

muszą obsługiwać jednocześnie te 3 możliwości przesyłania danych

14. • Musi istnieć możliwość zmiany metody przesyłania ruchu przed i po uwierzytelnianiu dla każdej sesji klienckiej

15. • Poniższe ustawienia muszą być możliwe w ramach sesji klienckiej SSID:

a. - indywidualne reguły filtrowania b. - przypisywanie VLAN

c. - QoS według użytkownika/ aplikacji

d. - ograniczenia szerokości pasma wchodzącego i wychodzącego

e. - topologia (routowany na kontrolerze, mostowany na kontrolerze, mostowany na punkcie dostępowym )

16. • Architektura bezpieczeństwa wykorzystująca IEEE 802.1X dla klientów WLAN

17. • Obsługa RADIUS ze wstępnym uwierzytelnianiem oraz PMK Caching (Pairwise Master Key) z czasami przełączania poniżej 50 ms (roaming); Możliwość stosowania certyfikatów zgodnych z X.509

18. • Architektura umożliwia połączenie ze sobą dwóch kontrolerów w trybie HA (wysoka dostępność).

19. • Wsparcie dla VPN, wideo oraz VoIP, z szybkim roamingiem oraz obsługą co najmniej 5 profili QoS, również w roamingu warstwy 3.

20. • Obsługa CAC – Call Admission Control. CAC sprawdza czy mogą być zestawione nowe połączenia na punkcie dostępowym, nie wpływając na jakość dotychczasowych połączeń.

21. • Równoważenie obciążenia dla klientów

22. • Możliwość ograniczania ruchu multicast dla każdej sieci.

23. • Obsługa QBSS (Informacja o zbyt dużym obciążeniu zostanie przekazania klientowi, dla obsługi inteligentnego roamingu

24. • Obsługa UAPSD (Unscheduled Automatic Power Save Delivery)

25. • Funkcja FCA (Flexible Client Access) zwiększająca prędkość transmisji klientów 11n w sieci z urządzeniami 11a/b/g

26. • Obsługa równoważenia obciążenia punktów dostępowych w celu efektywnego rozdziału ruchu pomiędzy klientami WLAN

27. • Funkcja oszczędzania energii zmniejszająca zużycie prądu, w czasie gdy w punkcie dostępowym nie jest zarejestrowany żaden klient.

28. • Obsługa funkcji Band Preference dla automatycznego przenoszenia klientów w paśmie 5GHz.

29. • System ochrony (WIPS/WIDS) sieci WLAN:

(17)

17 30. - Wykrywanie obcych/wrogich punktów dostępowych

31. - Wykrywanie pokrywających się SSID ze skonfigurowanymi na kontrolerze 32. - Wysyłanie ramek deasocjacynych przy wykryciu ataku

33. - Skanowanie on-line

34. - Automatyczna blacklista dla zagrożonych stacji 35. - Limitowanie pasma (rate limiting),

Portal dla gości

36. Zintegrowany, kompleksowy system obsługi gości:

37. Możliwość stworzenia własnej strony logowania 38. Szablony ticketów

39. Lokalne zarządzanie kontami

40. Oddzielny portal do administracji ticketami

41. Opcjonalna realizacja dostępu dla gości przez uwierzytelnianie w ramach portalu Captive portal oraz ograniczanie dostępu dla nieuwierzytelnionych klientów.

42. Edytor HTML pozwalający na dostosowanie portalu dla gości Konfiguracja

43. Kreator konfiguracji dla podstawowych ustawień, wysokiej dostępności i usług WLAN 44. Funkcjonowanie i konfiguracja punktów dostępowych w strukturach sieciowych warstwy 2

i 3

45. Obsługa reguł filtrowania wg. użytkownika, interfejsu i punktu dostępowego dla wszystkich architektur systemowych – routowany na kontrolerze, mostowany na kontrolerze, mostowany na punkcie dostępowym

46. ObsługaOpportunistic Key Caching (OKC) dla szybszego i bezpieczniejszego roamingu 47. Obsługa Wireless Distribution System (WDS)

48. Obsługa Dynamic Meshing dla automatycznej budowy i pracy rozproszonego systemu WDS

49. Kompleksowe narzędzia diagnostyczne. Informacje statystyczne na temat wykorzystania sieci, przypisanych klientów, użytkowników, stan (oraz błędy) interfejsów radiowych i Ethernetowych punktów dostępowych; Raporty są widoczne przez graficzny interfejs użytkownika, eksportowane do HTML lub dostępne przez SNMPv2

50. Dostęp do administracji jest zabezpieczanych przez RADIUS i rejestrowany

51. Sterowanie z poziomu kontrolera inteligentnymi funkcjami łączności radiowej, takimi jak monitorowanie każdego kanału, dynamiczna zmiana kanału na wypadek zakłóceń oraz automatyczne zwalnianie kanałów, gdy źródło zakłóceń przestanie być aktywne

52. Rozpoznawanie i uzupełnianie niedostatecznie pokrytych łącznością radiową obszarów powstałych na skutek awarii punktu dostępowego, dzięki automatycznemu dopasowywaniu mocy nadawczej

53. Białe i czarne listy adresów MAC Zarządzanie

54. Zarządzanie wszystkimi funkcjami przez:

a. Interfejs przeglądarki (HTTP/HTTPs)

(18)

18 b. SNMP V1, V2.c,V3

c. CLI (Telnet / SSH)

d. Oprogramowanie systemowe 55. Obsługa IP v4 i v6

56. Szyfrowane przesyłanie informacji zarządzania pomiędzy punktami dostępowymi a centralnym systemem przełączania WLAN, przy zastosowaniu IPSEC, IKEv2, AES i protokołów szyfrowania Diffie-Hellman

57. Enkapsulacja pakietów przez protokół tunelowania CAPWAP

58. Centralne konfigurowanie i aktualizowanie oprogramowania punktów dostępowych, wraz z automatyczną pierwszą konfiguracją (zero-touch)

59. Panel sterowania pozwalający na sprawdzenie funkcjonowania systemu

60. Wprowadzenie nowego, nieznanego punktu dostępowego tylko po podaniu numeru seryjnego.

61. Definiowanie wirtualnych usług sieciowych dla mapowania metod uwierzytelniania oraz grupowo kontrolowanych zestawów reguł w oparciu o RADIUS

62. Wirtualne usługi sieciowe, punkty dostępowe oraz zestawy reguł muszą być przypisywane zależnie od lokalizacji

63. Punkty dostępowe są aktywne tylko po przypisaniu co najmniej jednej usługi sieci wirtualnych

64. Blokowanie ruchu klientów wewnątrz WLAN

65. Autonomicznie trasowane podsieci IP, każda z oddzielną usługą DHCP 66. Obsługa OSPF V2

67. Wykrywanie fałszywych punktów dostępowych i ochrona przed nimi

68. Integracja jednolitego zarządzania sieciami LAN i WLAN, w celu globalnego wprowadzania polityk oraz centralnego zabezpieczania sieci, konfigurowania i dystrybucji firmware.

69. Obsługa funkcji przechwytywania pakietów w czasie rzeczywistym – bezpośrednie śledzenia ruchu 802.11 na punktach dostępowych oraz jego ocena w Wireshark

70. Wygenerowane przez RADIUS ID tuneli muszą być przetłumaczone na reguły filtrów w celu adaptacji scenariuszy RFC3580

Niezawodność

71. Ogólna wysoka dostępność rozwiązania może być zabezpieczona przez redundantną parę kontrolerów oraz krótkie cykle odpytywania punktów dostępowych

72. W wypadku wystąpienia awarii wszystkie punkty dostępowe przypisane do pary kontrolerów są obsługiwane przez sprawne urządzenie.

73. Szybka konwergencja (Fast Failover) bez utraty istniejących połączeń głosowych i transmisji danych

74. Punkty dostępowe pracują także w tzw. Trybie Branch Office, niezależnie od połączenia z kontrolerem (lokalne mostowanie ruchu na warstwie 2)

75. W trybie Branch Office zapytania uwierzytelniające 802.1X i MAC mogą być kierowane do lokalnego serwera RADIUS

76. • W trybie Branch Office grupom do 32 punktów dostępowych może być zapewniony niezależny od kontrolera roaming.

(19)

19 77. Integracja systemu Wireless z posiadanym przez Zamawiającego oprogramowaniem

Extreme Networks NMS-ADV w zakresie:

1. Aplikacja zarządzająca NMS-ADV musi zapewniać zarządzenia siecią bezprzewodową.

a. Musi być zapewniona podsumowująca zawierająca informacje o liczbie kontrolerów oraz punktów dostępowych i ich stanie (działa / nie działa).

b. Musi być zapewnione podsumowanie zawierające informacje o liczbie klientów z podziałem na wykorzystywane technologie bezprzewodowe: IEEE 802.11a, IEEE 802.11b, IEEE 802.11g, IEEE 802.11n (2.4 GHz), IEEE 802.11n (5 GHz), IEEE 802.11ac

c. Musi być zapewniona widzialność parametrów wszystkich kontrolerów bezprzewodowych zawierających następujące informacje:

i) adres IP kontrolera

ii) liczba obsługiwanych klientów

iii) szczytowe wartości zajmowanego pasma iv) wersja oprogramowania

d. Musi być zapewniona widzialność parametrów wszystkich punktów dostępowych zawierających następujące informacje:

i) adres IP punktu dostępowego ii) MAC adres punktu dostępowego iii) wersja oprogramowania

iv) typ punktu dostępowego

v) kanały pracy poszczególnych interfejsów radiowych

vi) szczytowe wartości zajmowanego pasma na interfejsie Ethernet oraz interfejsach radiowych

e. Musi być zapewniona widzialność parametrów wszystkich klientów bezprzewodowych dołączonych do sieci bezprzewodowej zawierających następujące informacje:

i) adres IP klienta ii) MAC adres klienta iii) nazwa użytkownika

iv) nazwa punktu dostępowego, do którego dołączony jest użytkownik v) BSSID, do którego dołączony jest użytkownik

vi) SSID, do którego dołączony jest użytkownik

f. Musi być zapewniona możliwość tworzenia map budynku i umieszczenia na nich punktów dostępowych. Mapy muszą zapewniać następujące funkcjonalności:

i) zaznaczanie obszarów pokrycia siecią bezprzewodową wraz z informacją na temat dostępnej przepustowości (Data Rate).

ii) zaznaczenie kanałów pracy urządzeń

iii) lokalizacja klienta na mapie na podstawie triangulacji siły sygnału z punktów dostępowych

2. Aplikacja NMS-ADV musi zapewniać możliwość definiowania polityk dostępu dla użytkowników bezprzewodowych jednocześnie z uwzględnieniem biznesowego podziału użytkowników np. Administracja, Finanse, Goście, Zarząd itp.

3. Tworzona polityka musi zawierać możliwość:

a. blokowania lub zezwalania ruchu na podstawie

(20)

20 i) źródłowy i docelowy adres MAC

ii) źródłowy i docelowy adres IP

iii) źródłowy i docelowy adres IP podsieci iv) źródłowy i docelowy port TCP/UDP

v) źródłowy i docelowy zakres portów TCP/UDP vi) typ protokołu

vii) pole IP TOS

b. przydziału parametrów QoS i) priorytety

ii) ograniczenia przepustowości

c. przydziału użytkownika do wskazanej sieci VLAN

d. przekierowania ruchu do zewnętrznego systemu analizującego pakiety

4. Aplikacja zarządzająca NMS-ADV musi mieć możliwość wdrażania spójnych polityk bezpieczeństwa w całej sieci, dla urządzeń bezprzewodowych za pomocą jednego kliknięcia.

5. Aplikacja musi pozwalać na łatwą modyfikację i ponowne wdrożenie na wszystkich urządzeniach bezprzewodowych.

6. Aplikacja zarządzająca NMS-ADV musi umożliwiać analizę ruchu w sieci bezprzewodowej do warstwy 7.

78. Kontroler sieci bezprzewodowej musi być objęty 3 letnim wsparciem technicznym obejmującym: dostarczenie sprawnego sprzętu na podmianę na następny dzień roboczy po zgłoszeniu awarii (Next Business Day Advanced Hardware Replacement Services (NBD AHR)). Wsparcie musi zapewniać również dostęp do poprawek oprogramowania urządzenia oraz wsparcia technicznego.

V. Punkt dostępowy bezprzewodowy – sztuk 20 Wymagania podstawowe

1. Punkt dostępowy z dwoma wbudowanymi, niezależnymi od siebie, modułami radiowymi dla komunikacji IEEE 802.11ac/a/n (5 GHz) i 802.11 b/g/n (2,4GHz)

2. Komunikacja IEEE 802.1ac w standardzie Wave 2 3. 4 wewnętrzne anteny w konfiguracji 2x2:2 MU-MIMO

4. Punkt dostępowy zasilany poprzez POE zgodnie ze standardem IEEE 802.11af

5. Port 10/100/1000BaseT Ethernet z automatycznym wykrywaniem parametrów transmisji 6. Dedykowany port konsolowy do lokalnego zarządzania

7. Punkt dostępowy musi oferować wydajność przewodową na poziomie 50.000 pakietów na sekundę.

8. Maksymalna przepustowość AP – 1,1 Gbit/s 9. Obsługa do 480 użytkowników

10. Obsługa do 30 połączeń głosowych jednocześnie

11. Punkt dostępowy musi mieć możliwość pracy w trybie pół-autonomicznym i realizować w ten sposób, niezależnie od kontrolera, zadania związane z inteligentnym szyfrowaniem, bezpieczeństwem, filtrowaniem, zarządzaniem łącznością radiową i QoS.

(21)

21 12. Musi obsługiwać funkcje egzekwowania polityk i ograniczania przepustowości w punkcie

dostępowym.

13. Punkt dostępowy musi jednocześnie obsługiwać ruch tunelowany i mostowany.

14. Punkt dostępowy musi obsługiwać suplikanta 802.1x, by chronić swoje połączenia przewodowe przed nieautoryzowanym dostępem innych urządzeń.

15. Punkt dostępowy musi realizować funkcję samo-naprawy i samo-formowania sieci kratowej (self-healing i self-forming).

16. Musi mieć możliwość zapewnienia równego czasu antenowego (Airtime) dla wszystkich klientów

17. Punkt dostępowy musi obsługiwać instalację typu plug&play.

18. Punkt dostępowy musi posiadać funkcję analizy widma łączności radiowej i wyszukiwania w nim wzorców.

19. Punkt dostępowy musi mieć możliwość pracy w trybie hybrydowym, jednocześnie realizując skanowanie zabezpieczeń i świadcząc usługi klientom/analizy widma w ramach tego samego modułu radiowego.

20. Punkt dostępowy musi mieć możliwość takiego skonfigurowania by zapewniać równoważenie obciążenia i sterowanie pasmem.

21. Maksymalna moc nadawcza:

a. Dla modułu radiowego 5GHz: 26 dBm.

b. Dla modułu radiowego 2,4GHz: 26 dBm.

22. Punkt dostępowy musi wspierać standard IEEE 802.11h dla dynamicznej kontroli kanału.

23. Punkt dostępowy musi obsługiwać do 16 SSID (8 na każdy moduł radiowy).

24. Zarządzanie łącznością radiową w ramach punktów dostępowych - RF Management, musi obsługiwać funkcje automatycznego wyboru kanału i automatycznej kontroli mocy emitowanego sygnału TPC (Transmit Power Control).

25. Zarządzanie łącznością radiową w ramach punktów dostępowych - RF Management, musi dostosowywać się do nowych kanałów w oparciu o wartości stosunku sygnału do szumu (SNR) i zajętości kanału, które mogą być ustalane przez użytkownika.

26. Punkty dostępowe muszą obsługiwać protokoły 802.11e, w tym WMM oraz U-APSD.

27. Wsparcie dla standardów: WPA, WPA2 (AES), 802.11i, 802.1x, IPSec, IKEv2, PKCS

#10, X509 DER / PKCS #12, SSL

28. Punt dostępowy musi być objęty 3 letnim wsparciem technicznym obejmującym:

a. dostarczenie sprawnego sprzętu na podmianę na następny dzień roboczy po zgłoszeniu awarii (Next Business Day Advanced Hardware Replacement Services (NBD AHR)).

b. wsparcie musi zapewniać również dostęp do poprawek oprogramowania urządzenia oraz wsparcia technicznego.

29. Wraz z bezprzewodowym punktem dostępowym należy dostarczyć uchwyty montażowe.