· web viewpolityka musi zapewniać możliwość wysłania standardowych atrybutów radius w...

Załącznik nr 2.1 B

Opis przedmiotu zamówienia

Zadanie B.

Budowa systemu bezpieczeństwa danych

Zadanie obejmuje dostawę, instalację i konfigurację urządzeń i oprogramowania niezbędnego do utworzenia systemu bezpieczeństwa danych w ustalonych lokalizacjach w województwie: urządzenia sieciowe wraz z systemami: autentykacji i zarządzania - pkt B.1. Urządzenia dostępowe (typ I i typ II) - B.2. 33 komplety urządzeń dostępowych (33 urządzenia) typ III – pkt. B.3. Szafy rack (typ I i typ II) – pkt. B.4. Wdrożenie, szkolenia i wymagania dodatkowe – pkt. B.5

Zamawiający posiada telefonię IP opartą o centrale Alcatel Lucent OXE i OXO (współpracujące z telefonami Alcatel Lucent 4018, 4038, 4068, 4135, 8058, 8060, 8128) znajdującymi się na wyposażeniu Komendy Wojewódzkiej oraz Komend Powiatowych/Miejskich PSP woj. małopolskiego. Wykonawca skonfiguruje urządzenia dostarczone w ramach niniejszego zadania tak, aby pracowały w sposób ciągły, bezprzerwowy i stabilny za pośrednictwem protokołu uwierzytelniania 802.1x.Zamawiający wymaga wsparcia Wykonawcy przez okres co najmniej 60 miesięcy w trybie 8 godzin przez 5 dni roboczych w tygodniu w godzinach 8:00-16:00 z czasem reakcji do następnego dnia roboczego.

B.1 – urządzenia sieciowe wraz z systemem autentykacjiB.1.1 - przełączniki sieciowe (24 porty) typ I – szt. 4

Lp. Wymagania minimalne

Potwierdzenie spełnienia wymagań:

(* - niepotrzebne skreślić lub podać

wartość)

1. Nazwa: producent, model Podać nazwę producenta, model

2. Stan urządzenia: fabrycznie nowe Spełnia/nie spełnia*3. Typ i liczba portów:

minimum 24 porty 100/1000/10GBaseT minimum 2 porty 40GbE QSFP+ minimum 8 portów 1G/10GbE SFP+ interfejsy umożliwiające połączenie urządzeń w stos (zgodnie z wymaganiem nr 15). Zamawiający dopuszcza rozwiązanie, w którym instalacja portów 40GbE może występować z tyłu obudowy, zamiennie z dedykowanym modułem stack bez wymogu posiadania wszystkich portów z przodu urządzenia za wyjątkiem 24 portów 100/1000/10GBaseT i 8 portów 1G/10GbE SFP+ Wszystkie porty muszą być od siebie niezależne, nie dopuszcza

Spełnia/nie spełnia*

się portów typu ComboKażdy przełącznik wyposażony w:6 wkładek wielomodowych LC SFP+ 10GbBase 850nm2 wkładki jednomodowe umożliwiające przesyłanie danych do 10 km SFP+ 10Gb LC 1310nm.Wkładki muszą być oryginalne dostarczane przez producenta przełącznika.Wykonawca przeprowadzi niezbędne testy w relacji Kraków ul. Zarzecze 106, a Kraków, ul. Rozrywka 26. w celu dobrania odpowiednich wkładek, które zapewnią transmisję na poziomie 10 Gb na włókno.Wykonawca dostarczy niezbędną ilość kabli do połączenia wszystkich urządzeń.

4. Wbudowany, dodatkowy, dedykowany port Ethernet do zarządzania poza pasmem - out of band management Spełnia/nie spełnia*

5. Port konsoli RS232 ze złączem DB9 lub RJ45 Spełnia/nie spełnia*6. Port USB 2.0 Spełnia/nie spełnia*7. Przepustowość minimum 450 Mpps dla pakietów 64 bajtowych Spełnia/nie spełnia*

8. Przepustowość przełączania: minimum 600 Gbps (prędkość przełączania „wirespeed” dla każdego portu przełącznika) Spełnia/nie spełnia*

9. Przełączanie w warstwie 2 i 3 modelu OSI Spełnia/nie spełnia*10. Minimum 512MB pamięci typu Flash Spełnia/nie spełnia*11. Minimum 2GB pamięci operacyjnej Spełnia/nie spełnia*

12. Przełącznik wyposażony w redundantne, modularne wentylatory (minimum dwa niezależne moduły wentylatorów) Spełnia/nie spełnia*

13.

Przepływ powietrza w przełączniku musi odbywać się w kierunku z przodu przełącznika do tyłu przełącznika. Nie dopuszczalne są rozwiązania, z mieszanym przepływem powietrza.Zamawiający dopuszcza inne sposoby przepływu powietrza, tak aby urządzenie było poprawnie chłodzone.


14.

Dwa wbudowane (wewnętrzne, modularne) zasilacze AC o maksymalnej mocy dostarczane przez producenta dla zapewnienia redundancji zasilania, wymieniane podczas pracy urządzenia.


15.

Przełącznik musi mieć możliwość podpięcia w stos. Zamawiający wymaga dostarczenia 2 dedykowanych portów stackujących. Przełączniki połączone w stos z punktu widzenia reszty infrastruktury powinny być widoczne jako jedno urządzenie. Wymagane jest, aby urządzenia tworzące stos mogły posiadać łącznie nie mniej niż 250 portów 10GbE SFP+. Porty służące do połączenia w stos muszą być niezależne od minimalnej liczby wymaganych portów liniowych, nie mogą także ograniczać możliwości ich rozbudowy. Do przełącznika musi być dołączony kabel służący do połączenia w stos o długości co najmniej 0,5m.Dodatkowo Zamawiający wymaga możliwości połączenia w stos minimum 8 urządzeń.


16. Łączenie w stos z wykorzystaniem dedykowanych portów do stackowania pozwalających na uzyskanie minimalnej przepustowości w stosie 40 Gb/s.Zamawiający dopuszcza tworzenie stosu za pomocą dedykowanych interfejsów o innych przepustowościach niż 10 i 40 Gbit/s, przy czym łączenie w stos ma odbywać się


z wykorzystaniem dedykowanych portów do stackowania pozwalających na uzyskanie minimalnej przepustowości w stosie 40 Gb/s. Łączenie w stos ma odbywać się z wykorzystaniem dedykowanych portów do stackowania o przepustowości minimum 10 Gb/s.

17. Realizacja łączy agregowanych w ramach różnych przełączników będących w stosie Spełnia/nie spełnia*

18. Tablica adresów MAC o wielkości minimum 32000 pozycji Spełnia/nie spełnia*19. Obsługa ramek Jumbo o wielkości minimum 9kB Spełnia/nie spełnia*20. Obsługa Quality of Service Spełnia/nie spełnia*

21. Obsługa IEEE 802.1s Multiple SpanningTree / MSTP oraz IEEE 802.1w Rapid Spanning Tree Protocol Spełnia/nie spełnia*

22. Obsługa sieci IEEE 802.1Q VLAN – 4094 sieci VLAN oraz IEEE 802.1ad QinQ Spełnia/nie spełnia*

23.Obsługa IGMP v1/v2/v3, IGMP Snooping v1/v2/v3, PIM DM, PIM SM, PIM Snooping, MLD v1/v2, MLD snooping v1/v2 oraz IPv6 PIM Snooping


24. Obsługa ECMP (Equal Cost Multi Path) Spełnia/nie spełnia*

25.Obsługa list ACL na bazie informacji z warstw 3/4 modelu OSI.Listy ACL muszą być obsługiwane sprzętowo, bez pogarszania wydajności urządzenia


26. Obsługa standardu 802.1p Spełnia/nie spełnia*

27. Możliwość zmiany wartości pola DSCP i/lub wartości priorytetu 802.1 Spełnia/nie spełnia*

28. Funkcje mirroringu: 1 to 1 Port mirroring, Many to 1 port mirroring, remote mirroring Spełnia/nie spełnia*

29. Obsługa funkcji logowania do sieci („Network Login”) zgodna ze standardem IEEE 802.1x Spełnia/nie spełnia*

30. Możliwość centralnego uwierzytelniania administratorów na serwerze RADIUS Spełnia/nie spełnia*

31. Zarządzanie poprzez port konsoli, SNMP v.1, 2c i 3, Telnet, SSH v.2 Spełnia/nie spełnia*

32. Syslog Spełnia/nie spełnia*

33. Obsługa IEEE 802.1AB Link Layer Discovery Protocol (LLDP) oraz LLDP-MED Spełnia/nie spełnia*

34. Obsługa sFlow lub NetFlow Spełnia/nie spełnia*35. Obsługa NETCONF Spełnia/nie spełnia*

36.

Przechowywanie wielu wersji oprogramowania na przełączniku (liczba wersji ograniczona jedynie dostępną pamięcią stałą, nie dopuszcza się rozwiązań pozwalających na przechowywanie jedynie dwóch wersji oprogramowania).


37.

Przechowywanie wielu plików konfiguracyjnych na przełączniku (liczba wersji ograniczona jedynie dostępną pamięcią stałą, nie dopuszcza się rozwiązań pozwalających na przechowywanie jedynie dwóch konfiguracji).


38. Funkcja wgrywania i zgrywania pliku konfiguracyjnego w postaci tekstowej do stacji roboczej. Plik konfiguracyjny urządzenia powinien być możliwy do edycji w trybie off-line, tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC. Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nowa konfiguracją. Zmiany aktywnej konfiguracji muszą być widoczne natychmiast - nie dopuszcza się


częściowych restartów urządzenia po dokonaniu zmian.39. Wysokość w szafie 19” – 1U o głębokości maksymalnie 70 cm Spełnia/nie spełnia*40. Maksymalny pobór mocy nie większy niż 350W Spełnia/nie spełnia*41. Minimalny zakres temperatur pracy od 0°C do 45°C Spełnia/nie spełnia*

42.

Gwarancja: Minimum 36 miesięcy gwarancji producenta obejmująca wszystkie elementy przełącznika (również zasilacze i wentylatory) zapewniająca dostawę sprawnego sprzętu na wymianę na maksymalnie następny dzień roboczy. Gwarancja musi zapewniać również dostęp do poprawek oprogramowania urządzenia oraz wsparcia technicznego z czasem reakcji nie dłuższym niż 2 godziny od momentu zgłoszenia problemu z oprogramowaniem. Wymagana jest dostępność usługi w trybie 8x5 w godzinach od 8:00 do 17:00

Podać ilość miesięcy i rodzaj gwarancji

Lp. Wymagania dodatkowe, punktowane

Potwierdzenie spełnienia wymagań


wartość)Przełączniki sieciowe (24 porty) typ I – szt. 4 Nazwa i model

1.1. Przepustowość minimum 714 Mpps dla pakietów 64 bajtowych Spełnia/nie spełnia*

1.2. Wydajność: minimum 960 Gbps (prędkość przełączania „wirespeed” dla każdego portu przełącznika) Spełnia/nie spełnia*

1.3. Wielkość bufora pakietów (packet buffer): minimum 9 MB Spełnia/nie spełnia*

1.4.

Funkcja łączenia w stos grupy przełączników, urządzenia połączone w stos widziane jako jedno logiczne urządzenie ze wspólnym zarządzaniem. Wymagane jest by urządzania tworzące stos mogły posiadać łącznie nie mniej niż 320 portów 10GbE SFP+. Topologia stosu musi zapewniać redundancję (połączenia typu pierścień lub mesh, nie dopuszcza się topologii typu łańcuch (daisy-chain)).


1.5. Obsługa ramek Jumbo o wielkości 10kB Spełnia/nie spełnia*1.6. Obsługa mechanizmu: weighted fair queuing Spełnia/nie spełnia*1.7. Obsługa Network Time Protocol (NTP) Spełnia/nie spełnia*

1.8. Routing IPv4 – statyczny i dynamiczny (min. RIP, IS-IS, OSPF, BGP) Spełnia/nie spełnia*

1.9. Routing IPv6 – statyczny i dynamiczny (min. OSPFv3) Spełnia/nie spełnia*

1.10.

Przełącznik musi posiadać mechanizm zdefiniowania i generowania testowych próbek ruchu sieciowego. Musi umożliwiać gromadzenie i podgląd statystyk z ich wykonania, obejmujący minimum parametr: Jitter


1.11. Tablica routingu o pojemności co najmniej 1000 wpisów Spełnia/nie spełnia*

1.12. Modularny system operacyjny ze wsparciem dla In Services Software Upgrade (ISSU) i skryptów w języku Python Spełnia/nie spełnia*

Urządzenia należy dostarczyć do siedziby Zamawiającego.

B.1.2. – przełączniki sieciowe (48 portów) typ II – 18 szt.

Lp. Opis wymagań:



wartość)1. Nazwa: producent, model Podać nazwę

producenta, model2. Stan urządzenia: fabrycznie nowe Spełnia/nie spełnia*

3. Montaż:Przełącznik w obudowie 19”. Maksymalna wysokość obudowy 1U, maksymalna głębokość obudowy 45 cm.


4. Ilość portów:Minimum 48 portów liniowych 100BaseTX/1000BaseT ze wsparciem dla standardu 802.3at (PoE+)


5.

Sloty i moduły:Minimum jeden slot na moduły pozwalające na rozbudowę o dodatkowe porty liniowe 10Gb i 40Gb. Moduły muszą być dostępne z przodu obudowy. Dopuszcza się większą liczbę modułów o mniejszej gęstości, pod warunkiem, że sumaryczna liczba dostępnych portów będzie nie mniejsza niż wymagana per moduł i wszystkie moduły dostępne będą z przodu obudowy. Nie dopuszcza się uzyskania portów 10Gb poprzez użycie tzw. kabli break-out.Slot obsadzony modułem wyposażonym w 4 porty SFP+ oraz następującymi wkładkami:2 x 1G SFP 850nm LC wielomodowe2 x 10GbBase SFP+ 850nm LC wielomodoweWkładki muszą być oryginalne dostarczane przez producenta przełącznika


6. Przepustowość przełączenia: minimum 215 Gb/s Spełnia/nie spełnia*

7. Przepustowość:minimum 105 Mpps Spełnia/nie spełnia*

8. Bufor pakietów:minimum 10 MB Spełnia/nie spełnia*

9. Zarządzanie:Dedykowany port do zarządzania poza pasmowego (Ethernet, RJ-45), w pełni niezależny od portów liniowych


10.

Łączenie w stos:Przełącznik musi mieć możliwość podpięcia w stos minimum 8 urządzeń. Zamawiający wymaga dostarczenia minimum 2 dedykowanych portów stackujących o wydajności minimum 40 Gbps każdy. Przełączniki połączone w stos z punktu widzenia reszty infrastruktury powinny być widoczne jako jedno urządzenie. Porty służące do połączenia w stos muszą być niezależne od minimalnej liczby wymaganych portów liniowych, nie mogą także ograniczać możliwości ich rozbudowy. Do przełącznika musi być dołączony kabel służący do połączenia w stos o długości co najmniej 0,5m.”


11.Zasilanie:Dwa wbudowane (wewnętrzne, modularne) zasilacze AC dla zapewnienia redundancji zasilania, wymieniane podczas pracy urządzenia.


12. Budżet mocy PoE:Budżet mocy PoE na dwóch zasilaczach nie mniejszy niż 1400W Spełnia/nie spełnia*

13. Wentylatory: Modularne, redundantne wentylatory. Moduł wentylatorów musi mieć możliwość wymiany „na gorąco” (na działającym urządzeniu)


14. Wielkość tablicy routingu: Spełnia/nie spełnia*

minimum 10000 wpisów15. Tablica adresów MAC:

minimum 32000 pozycji Spełnia/nie spełnia*

16.

Obsługa:a) Obsługa Jumbo Framesb) Obsługa sFlow lub NetFlowc) Obsługa minimum 4k tagów IEEE 802.1Q oraz 4k

jednoczesnych sieci VLANd) Obsługa Rapid Spanning Tree (802.1w) i Multiple Spanning

Tree (802.1s)e) Obsługa Secure FTP lub SCPf) Obsługa łączy agregowanych zgodnie ze standardem 802.3ad

Link Aggregation Protocol (LACP)g) Obsługa Simple Network Time Protocol (SNTP) v4 lub NTPh) Wsparcie dla IPv6 (IPv6 host, dual stack, MLD snooping)i) Obsługa protokołów rutingu: ruting statyczny, RIP v1, RIP

v2, OSPF, OSPFv3, VRRP, PIM-SM, PIM-DMj) Obsługa 802.1ad (Q-in-Q)k) Obsługa IEEE 802.1AB Link Layer Discovery Protocol

(LLDP) i LLDP Media Endpoint Discovery (LLDP-MED)l) Automatyczna konfiguracja VLAN dla urządzeń VoIP oparta

co najmniej o: RADIUS VLAN (użycie atrybutów RADIUS i mechanizmu LLDP-MED)

m) Mechanizmy związane z zapewnieniem jakości usług w sieci: prioryteryzacja zgodna z 802.1p, ToS, TCP/UDP, DiffServ, wsparcie dla 8 kolejek sprzętowych, rate-limiting

n) Obsługa uwierzytelniania użytkowników zgodna z 802.1x o) Obsługa uwierzytelniania użytkowników w oparciu o lokalną

bazę adresów MACp) Obsługa uwierzytelniania użytkowników w oparciu o adres

MAC i serwer RADIUSq) Obsługa uwierzytelniania użytkowników w oparciu o stronę

WWWr) Obsługa różnych metod uwierzytelniania (802.1x, MAC,

WWW) w tym samym czasie na tym samym porcies) Obsługa uwierzytelniania wielu użytkowników na tym

samym porcie w tym samym czasiet) Obsługa autoryzacji logowania do urządzenia za pomocą

serwerów RADIUS albo TACACS+u) Obsługa autoryzacji komend wydawanych do urządzenia za

pomocą serwerów RADIUS albo TACACS+v) Wbudowany serwer DHCPw) Obsługa blokowania nieautoryzowanych serwerów DHCPx) Ochrona przed rekonfiguracją struktury topologii Spanning

Tree (BPDU port protection)y) Obsługa list kontroli dostępu (ACL) bazujących na porcie lub

na VLAN z uwzględnieniem adresów, MAC, IP i portów TCP/UDP

z) Obsługa standardu 802.3az Energy Efficient Ethernetaa) Obsługa standardu 802.1AE MACsec


17. Dostęp do urządzenia:Dostęp do urządzenia przez konsolę szeregową (RS-232 i USB), HTTPS, SSHv2 i SNMPv3


18. Temperatura pracy:Zakres pracy: od 0 do 45°C


19.

Gwarancja:5 letnia gwarancja (serwis) producenta obejmująca wszystkie elementy przełącznika (również zasilacze i wentylatory) zapewniająca wysyłkę sprawnego sprzętu na podmianę na następny dzień roboczy po zgłoszeniu awarii. Gwarancja musi zapewniać również dostęp do poprawek oprogramowania urządzenia oraz wsparcia technicznego. Wymagane jest zapewnienie wsparcia telefonicznego w trybie 8x5 przez cały okres trwania gwarancji. Całość świadczeń gwarancyjnych musi być realizowana bezpośrednio przez producenta sprzętu. Zamawiający musi mieć bezpośredni dostęp do wsparcia technicznego producenta.





wartość)Przełączniki sieciowe (48 portów) typ II – 18 szt. Nazwa i model

1. Przepustowość przełączania: minimum 300 Gb/s Spełnia/nie spełnia*


3.

Łączenie w stos:Wydajność stosu co najmniej 160 Gbps.Oprogramowanie przełącznika musi umożliwiać połączenie co najmniej 8 urządzeń w stos.



5. Wsparcie dla VxLAN Spełnia/nie spełnia*

Rozmieszczenie poszczególnych urządzeń:

Lp. MiejsceLiczba

urządzeń

1. KW PSP Kraków ul. Zarzecze 106 72. KM PSP Kraków, ul. Rozrywka 26 23. KM PSP Kraków, ul. Westerplatte 19 34. KM PSP Nowy Sącz, ul. Witosa 69 35. KM PSP Tarnów , ul. Klikowska 39 3

SUMA: 18

B.1.3. – przełączniki sieciowe (48 portów) typ III – 32 szt.Lp. Opis wymagań: Potwierdzenie

spełnienia wymagań:(* - niepotrzebne

skreślić lub podać wartość)


2. Stan urządzenia: fabrycznie nowe Spełnia/nie spełnia*

3.Montaż:Przełącznik w obudowie 19”. Maksymalna wysokość obudowy 1U, maksymalna głębokość obudowy 45 cm.


4.Ilość portów:Minimum 48 portów liniowych 100BaseTX/1000BaseT ze wsparciem dla standardu 802.3at (PoE+)


5.

Sloty i moduły:Minimum jeden slot na moduły pozwalające na rozbudowę o dodatkowe porty liniowe 10Gb i 40Gb. W chwili składania oferty muszą być dostępne co najmniej moduły minimum 4 portowe 10Gb SFP+. Moduły muszą być dostępne z przodu obudowy. Dopuszcza się większą liczbę modułów o mniejszej gęstości, pod warunkiem, że sumaryczna liczba dostępnych portów będzie nie mniejsza niż wymagana per moduł i wszystkie moduły dostępne będą z przodu obudowy. Nie dopuszcza się uzyskania portów 10Gb poprzez użycie tzw. kabli break-out.Slot obsadzony modułem wyposażonym w 4 porty SFP+ oraz następującymi wkładkami:3 x 1G SFP 850nm LC wielomodowe1 x 10GbBase SFP+ 850nm LC wielomodowe Wkładki muszą być oryginalne dostarczane przez producenta przełącznika





9.Zarządzanie:Dedykowany port do zarządzania poza pasmowego (Ethernet, RJ-45), w pełni niezależny od portów liniowych


10.

Łączenie w stos:Przełącznik musi mieć możliwość podpięcia w stos minimum 8 urządzeń. Zamawiający wymaga dostarczenia minimum 2 dedykowanych portów stackujących o wydajności minimum 40 Gbps każdy. Przełączniki połączone w stos z punktu widzenia reszty infrastruktury powinny być widoczne jako jedno urządzenie. Porty służące do połączenia w stos muszą być niezależne od minimalnej liczby wymaganych portów liniowych, nie mogą także ograniczać możliwości ich rozbudowy. Do przełącznika musi być dołączony kabel służący do połączenia w stos o długości co najmniej 0,5m.”


11.

Zasilanie:Dwa wbudowane (wewnętrzne, modularne) zasilacze AC dla zapewnienia redundancji zasilania, wymieniane podczas pracy urządzenia.


12. Budżet mocy PoE:Budżet mocy PoE na dwóch zasilaczach nie mniejszy niż 1400W Spełnia/nie spełnia*

13. Wentylatory: Modularne, redundantne wentylatory. Moduł wentylatorów musi mieć


możliwość wymiany „na gorąco” (na działającym urządzeniu)

14. Wielkość tablicy routingu:minimum 10000 wpisów Spełnia/nie spełnia*

15. Tablica adresów MAC:minimum 32000 pozycji Spełnia/nie spełnia*

16.

Obsługa:a) Obsługa Jumbo Framesb) Obsługa sFlow lub NetFlowc) Obsługa minimum 4k tagów IEEE 802.1Q oraz 4k

jednoczesnych sieci VLANd) Obsługa Rapid Spanning Tree (802.1w) i Multiple Spanning

Tree (802.1s)e) Obsługa Secure FTP lub SCPf) Obsługa łączy agregowanych zgodnie ze standardem 802.3ad

Link Aggregation Protocol (LACP)g) Obsługa Simple Network Time Protocol (SNTP) v4 lub NTPh) Wsparcie dla IPv6 (IPv6 host, dual stack, MLD snooping)i) Obsługa protokołów rutingu: ruting statyczny, RIP v1, RIP

v2, OSPF, OSPFv3, VRRP, PIM-SM, PIM-DMj) Obsługa 802.1ad (Q-in-Q)k) Obsługa IEEE 802.1AB Link Layer Discovery Protocol

(LLDP) i LLDP Media Endpoint Discovery (LLDP-MED)l) Automatyczna konfiguracja VLAN dla urządzeń VoIP oparta

co najmniej o: RADIUS VLAN (użycie atrybutów RADIUS i mechanizmu LLDP-MED)

m) Mechanizmy związane z zapewnieniem jakości usług w sieci: prioryteryzacja zgodna z 802.1p, ToS, TCP/UDP, DiffServ, wsparcie dla 8 kolejek sprzętowych, rate-limiting

n) Obsługa uwierzytelniania użytkowników zgodna z 802.1x o) Obsługa uwierzytelniania użytkowników w oparciu o lokalną

bazę adresów MACp) Obsługa uwierzytelniania użytkowników w oparciu o adres

MAC i serwer RADIUS

q) Obsługa uwierzytelniania użytkowników w oparciu o stronę WWW

r) Obsługa różnych metod uwierzytelniania (802.1x, MAC, WWW) w tym samym czasie na tym samym porcie

s) Obsługa uwierzytelniania wielu użytkowników na tym samym porcie w tym samym czasie

t) Obsługa autoryzacji logowania do urządzenia za pomocą serwerów RADIUS albo TACACS+

u) Obsługa autoryzacji komend wydawanych do urządzenia za pomocą serwerów RADIUS albo TACACS+

v) Wbudowany serwer DHCPw) Obsługa blokowania nieautoryzowanych serwerów DHCPx) Ochrona przed rekonfiguracją struktury topologii Spanning

Tree (BPDU port protection)y) Obsługa list kontroli dostępu (ACL) bazujących na porcie lub

na VLAN z uwzględnieniem adresów, MAC, IP i portów TCP/UDP

z) Obsługa standardu 802.3az Energy Efficient Ethernetaa) Obsługa standardu 802.1AE MACsec


17. Dostęp do urządzenia: Spełnia/nie spełnia*

Dostęp do urządzenia przez konsolę szeregową (RS-232 i USB), HTTPS, SSHv2 i SNMPv3

18. Temperatura pracy:Zakres pracy: od 0 do 45°C Spełnia/nie spełnia*

19.

Gwarancja:5 letnia gwarancja (serwis) producenta obejmująca wszystkie elementy przełącznika (również zasilacze i wentylatory) zapewniająca wysyłkę sprawnego sprzętu na podmianę na następny dzień roboczy po zgłoszeniu awarii. Gwarancja musi zapewniać również dostęp do poprawek oprogramowania urządzenia oraz wsparcia technicznego. Wymagane jest zapewnienie wsparcia telefonicznego w trybie 8x5 przez cały okres trwania gwarancji. Całość świadczeń gwarancyjnych musi być realizowana bezpośrednio przez producenta sprzętu. Zamawiający musi mieć bezpośredni dostęp do wsparcia technicznego producenta.





wartość)Przełączniki sieciowe (48 portów) typ III – 32 szt. Nazwa i model



3.

Łączenie w stos:Wydajność stosu co najmniej 160 Gbps. Zamawiający wymaga dostarczenia 2 dedykowanych portów stackujących. Oprogramowanie przełącznika musi umożliwiać połączenie co najmniej 8 urządzeń w stos. Przełączniki połączone w stos z punktu widzenia reszty infrastruktury powinny być widoczne jako jedno urządzenie. Porty służące do połączenia w stos muszą być niezależne od minimalnej liczby wymaganych portów liniowych, nie mogą także ograniczać możliwości ich rozbudowy. Do przełącznika musi być dołączony kabel służący do połączenia w stos o długości co najmniej 0,5m.





Lp. Miejsce Liczba urządzeń

1. KP PSP Bochnia 2

2. KP PSP Brzesko 23. KP PSP Chrzanów 24. KP PSP Dąbrowa Tarnowska 25. KP PSP Gorlice 26. KP PSP Limanowa 27. KP PSP Miechów 28. KP PSP Myślenice 29. KP PSP Nowy Targ 210. KP PSP Olkusz 211. KP PSP Oświęcim 212. KP PSP Proszowice 213. KP PSP Sucha Beskidzka 214. KP PSP Wadowice 215. KP PSP Wieliczka 216. KP PSP Zakopane 2

SUMA: 32

B.1.4. – przełączniki sieciowe (24 porty) typ IV – 11 szt.

Lp. Wymagania



wartość)



3. Minimum 24 porty liniowe 100BaseTX/1000BaseT ze wsparciem dla standardu 802.3at (PoE+) Spełnia/nie spełnia*

4.

Minimum jeden slot na moduły pozwalające na rozbudowę o dodatkowe porty liniowe min. 10Gb. Slot obsadzony modułem wyposażonym w min. 2 porty SFP+ oraz następującymi wkładkami:2 x LC 1Gb 850nm wielomodoweWkładki muszą być oryginalne dostarczane przez producenta przełącznika


5. Przepustowość: minimum 80 Gb/s Spełnia/nie spełnia*6. Wydajność: minimum 60 Mpps Spełnia/nie spełnia*7. Bufor pakietów: minimum 10 MB Spełnia/nie spełnia*

8. Dedykowany port do zarządzania poza pasmowego (Ethernet, RJ-45), w pełni niezależny od portów liniowych Spełnia/nie spełnia*

9.

Przełącznik musi mieć możliwość podpięcia w stos minimum 8 urządzeń. Zamawiający wymaga dostarczenia minimum 2 dedykowanych portów stackujących o wydajności minimum 40 Gbps każdy. Przełączniki połączone w stos z punktu widzenia reszty infrastruktury powinny być widoczne jako jedno urządzenie. Porty służące do połączenia w stos muszą być niezależne od minimalnej liczby wymaganych portów liniowych, nie mogą także ograniczać możliwości ich rozbudowy.Moduły stackujące oraz kable stackujące nie są przedmiotem niniejszego postępowania


10.Dwa wbudowane (wewnętrzne, modularne) zasilacze AC dla zapewnienia redundancji zasilania, wymieniane podczas pracy urządzenia.


11. Budżet mocy PoE na dwóch zasilaczach nie mniejszy niż 840W Spełnia/nie spełnia*

12. Modularne, redundantne wentylatory. Moduł wentylatorów musi mieć możliwość wymiany „na gorąco” (na działającym urządzeniu) Spełnia/nie spełnia*

13. Wielkość tablicy routingu: minimum 10000 wpisów Spełnia/nie spełnia*14. Tablica adresów MAC o wielkości minimum 32000 pozycji Spełnia/nie spełnia*15. Obsługa Jumbo Frames Spełnia/nie spełnia*16. Obsługa sFlow lub NetFlow Spełnia/nie spełnia*

17. Obsługa minimum 4k tagów IEEE 802.1Q oraz 4k jednoczesnych sieci VLAN Spełnia/nie spełnia*

18. Dostęp do urządzenia przez konsolę szeregową (RS-232 i USB), HTTPS, SSHv2 i SNMPv3 Spełnia/nie spełnia*

19. Obsługa Rapid Spanning Tree (802.1w) i Multiple Spanning Tree (802.1s) Spełnia/nie spełnia*

20. Obsługa Secure FTP lub SCP Spełnia/nie spełnia*

21. Obsługa łączy agregowanych zgodnie ze standardem 802.3ad Link Aggregation Protocol (LACP) Spełnia/nie spełnia*

22. Obsługa Simple Network Time Protocol (SNTP) v4 lub NTP Spełnia/nie spełnia*23. Wsparcie dla IPv6 (IPv6 host, dual stack, MLD snooping) Spełnia/nie spełnia*

24. Obsługa protokołów rutingu: ruting statyczny, RIP v1, RIP v2, OSPF, OSPFv3, VRRP, PIM-SM, PIM-DM, BGP Spełnia/nie spełnia*

25. Obsługa 802.1ad (Q-in-Q) Spełnia/nie spełnia*

26. Obsługa IEEE 802.1AB Link Layer Discovery Protocol (LLDP) i LLDP Media Endpoint Discovery (LLDP-MED) Spełnia/nie spełnia*

27. Automatyczna konfiguracja VLAN dla urządzeń VoIP oparta co najmniej o: RADIUS VLAN (użycie atrybutów RADIUS


i mechanizmu LLDP-MED)

28.Mechanizmy związane z zapewnieniem jakości usług w sieci: prioryteryzacja zgodna z 802.1p, ToS, TCP/UDP, DiffServ, wsparcie dla 8 kolejek sprzętowych, rate-limiting


29. Obsługa uwierzytelniania użytkowników zgodna z 802.1x Spełnia/nie spełnia*

30. Obsługa uwierzytelniania użytkowników w oparciu o lokalną bazę adresów MAC Spełnia/nie spełnia*

31. Obsługa uwierzytelniania użytkowników w oparciu o adres MAC i serwer RADIUS Spełnia/nie spełnia*

32. Obsługa uwierzytelniania użytkowników w oparciu o stronę WWW Spełnia/nie spełnia*

33. Obsługa różnych metod uwierzytelniania (802.1x, MAC, WWW) w tym samym czasie na tym samym porcie Spełnia/nie spełnia*

34. Obsługa uwierzytelniania wielu użytkowników na tym samym porcie w tym samym czasie Spełnia/nie spełnia*

35. Obsługa autoryzacji logowania do urządzenia za pomocą serwerów RADIUS albo TACACS+ Spełnia/nie spełnia*

36. Obsługa autoryzacji komend wydawanych do urządzenia za pomocą serwerów RADIUS albo TACACS+ Spełnia/nie spełnia*

37. Wbudowany serwer DHCP Spełnia/nie spełnia*38. Obsługa blokowania nieautoryzowanych serwerów DHCP Spełnia/nie spełnia*

39. Ochrona przed rekonfiguracją struktury topologii Spanning Tree (BPDU port protection) Spełnia/nie spełnia*

40. Obsługa list kontroli dostępu (ACL) bazujących na porcie lub na VLAN z uwzględnieniem adresów, MAC, IP i portów TCP/UDP Spełnia/nie spełnia*

41. Obsługa standardu 802.3az Energy Efficient Ethernet Spełnia/nie spełnia*42. Obsługa standardu 802.1AE MACsec Spełnia/nie spełnia*43. Zakres pracy od 0 do 45°C Spełnia/nie spełnia*

44. Przełącznik w obudowie 19”. Maksymalna wysokość obudowy 1U, maksymalna głębokość obudowy 45 cm Spełnia/nie spełnia*

45.

Gwarancja: 5 letnia gwarancja (serwis) producenta obejmująca wszystkie elementy przełącznika (również zasilacze i wentylatory) zapewniająca wysyłkę sprawnego sprzętu na podmianę na następny dzień roboczy po zgłoszeniu awarii. Gwarancja musi zapewniać również dostęp do poprawek oprogramowania urządzenia oraz wsparcia technicznego. Wymagane jest zapewnienie wsparcia telefonicznego w trybie 8x5 przez cały okres trwania gwarancji. Całość świadczeń gwarancyjnych musi być realizowana bezpośrednio przez producenta sprzętu. Zamawiający musi mieć bezpośredni dostęp do wsparcia technicznego producenta.

Podać ilość miesięcy

i rodzaj gwarancji




wartość)przełączniki sieciowe (24 porty) typ IV – 11 szt. Nazwa i model

1. Przepustowość: minimum 90 Gb/s Spełnia/nie spełnia*2. Wydajność: minimum 65 Mpps Spełnia/nie spełnia*3. Bufor pakietów: minimum 13 MB Spełnia/nie spełnia*

4.

Minimum jeden slot na moduły pozwalające na rozbudowę o dodatkowe porty liniowe 10Gb i 40Gb. Nie dopuszcza się uzyskania portów 10Gb poprzez użycie tzw. kabli break-out.Slot obsadzony modułem wyposażonym w 4 porty SFP+ oraz następującymi wkładkami:2 x LC 1Gb 850nm wielomodoweWkładki muszą być oryginalne dostarczane przez producenta przełącznika


5.

Wydajność stosu co najmniej 160 Gbps. Dopuszcza się rozwiązanie posiadające 2 dedykowane porty stackujące o wydajności co najmniej 80Gbps na port. Oprogramowanie przełącznika musi umożliwiać połączenie co najmniej 8 urządzeń w stos. Przełączniki połączone w stos z punktu widzenia reszty infrastruktury powinny być widoczne jako jedno urządzenie. Porty służące do połączenia w stos muszą być niezależne od minimalnej liczby wymaganych portów liniowych, nie mogą także ograniczać możliwości ich rozbudowy. Moduły stackujące oraz kable stackujące nie są przedmiotem niniejszego postępowania.




Lp. Miejsce Liczba urządzeń

1. JRG 2 KM PSP Kraków 12. JRG 4 KM PSP Kraków 13. JRG 5 KM PSP Kraków 14. JRG 6 KM PSP Kraków 15. JRG Skawina 16. JRG Rabka Zdrój 17. JRG Krynica Zdrój 18. JRG 2 KM PSP Nowy Sącz 19. JRG 2 KM PSP Tarnów 1

10. JRG Wolbrom 111. JRG Andrychów 1

SUMA: 11

B.1.5. Punkt dostępowy AP Wi-Fi – 100 szt. wraz z kontrolerem

Lp. Wymagania



wartość)1. Nazwa: producent, model Podać nazwę

producenta, model


3. Punkt dostępowy musi być przeznaczony do montażu wewnątrz budynków. Musi być wyposażony w dwa niezależne moduły radiowe, pracujące w paśmie 5GHz a/n/ac/ac wave 2 oraz 2.4GHz b/g/n


4. Punkt dostępowy musi mieć możliwość współpracy z centralnym kontrolerem sieci bezprzewodowej Spełnia/nie spełnia*

5.

Punkt dostępowy musi mieć możliwość pracy w trybie autonomicznym tj. bez nadzoru centralnego kontrolera:

a) Punkt dostępowy musi posiadać funkcjonalność zarządzania przez przeglądarkę internetową i protokół https

b) Wszystkie operacje konfiguracyjne muszą być możliwe do przeprowadzenia z poziomu przeglądarki


6.

Musi być zapewniona możliwość wspólnej konfiguracji punktów połączonych w jedną sieć LAN w warstwie 2:

a) System operacyjny zainstalowany w punktach dostępowych musi umożliwiać automatyczny wybór jednego punktu dostępowego jako elementu zarządzającego

b) W przypadku awarii punktu zarządzającego kolejny punkt dostępowy w sieci musi przejąć jego rolę w sposób automatyczny

c) Modyfikacja konfiguracji musi się automatycznie propagować na pozostałe punkty dostępowe

d) Obraz systemu operacyjnego musi się automatycznie propagować na pozostałe punkty dostępowe, aby wszystkie punkty miały tą samą jego wersję

e) Tworzenie klastra do 25 urządzeńJednocześnie Zamawiający informuje że w ramach postępowania wymagane jest dostarczenie 100 urządzeń AP, które mają być obsłużone i zarządzane z jednego systemu, który Wykonawca jest również zobowiązany dostarczyć. Docelowa ilość AP które mają być obsłużone i zarządzane to min. 120.


7. Punkt dostępowy musi mieć możliwość pracy w trybie monitorującym pasmo radiowe w celu wykrywania np. fałszywych AP


8. Punkt dostępowy musi mieć możliwość pracy jako analizator widma Spełnia/nie spełnia*

9. W system musi być wbudowany serwer DHCP Spełnia/nie spełnia*

10. W system musi być wbudowany serwer RADIUS umożliwiający terminowanie sesji EAP bezpośrednio na urządzeniach, bez pośrednictwa zewnętrznych elementów


11.Musi być obsługiwane terminowanie sesji EAP w nie mniej niż następujących opcjach:

a. EAP-TLSb. PEAP-MSCHAPv2


12. Musi istnieć możliwość integracji z zewnętrznymi serwerami Spełnia/nie spełnia*

uwierzytelniania RADIUS oraz LDAP13. Punkt dostępowy musi obsługiwać nie mniej niż

16 niezależnych SSID Spełnia/nie spełnia*

14. Każde SSID musi mieć możliwość przypisania w sposób statyczny lub dynamiczny do sieci VLAN Spełnia/nie spełnia*

15.

Musi istnieć możliwość uwierzytelniania użytkowników za pomocą portalu WWW, przynajmniej poprzez:

a. Portal wbudowany w urządzenie, bez konieczności instalowania jakichkolwiek dodatkowych urządzeń/oprogramowania

b. Zewnętrzny portal WWW


16. Musi być zapewniona możliwość zdefiniowania odseparowanej sieci gościnnej z funkcją NAT Spełnia/nie spełnia*

17. Wbudowany serwer uwierzytelniający musi obsługiwać konta gościnne Spełnia/nie spełnia*

18.

Zarządzanie pasmem radiowym w sieci punktów dostępowych musi się odbywać automatycznie za pomocą auto-adaptacyjnych mechanizmów, w tym nie mniej niż:

a. Automatyczne definiowanie kanału pracy oraz mocy sygnału dla poszczególnych punktów dostępowych przy uwzględnieniu warunków oraz otoczenia, w którym pracują punkty dostępowe

b. Stałe monitorowanie pasma oraz usług w celu zapewnienia niezakłóconej pracy systemu

c. Rozkład ruchu pomiędzy różnymi punkami dostępowym oraz pasmami bazując na ilości użytkowników oraz utylizacji pasma

d. Wykrywanie interferencji oraz miejsc bez pokrycia sygnału

e. Automatyczne przekierowywanie klientów, którzy mogą pracować w pasmie 5GHz

f. Wsparcie dla 802.11d oraz 802.11h


19. Obsługa roamingu klientów w warstwie 2 Spełnia/nie spełnia*

20. Obsługa monitoringu przez SNMP Spełnia/nie spełnia*

21. Obsługa logowania na zewnętrznym serwerze SYSLOG Spełnia/nie spełnia*

22. W system musi być wbudowany mechanizm wykrywania ataków na sieć bezprzewodową w zakresie ataków na infrastrukturę i klientów sieci


23. W system musi być wbudowany mechanizm zapobiegania atakom na sieć bezprzewodową w zakresie ataków na infrastrukturę i klientów sieci


24. Wbudowany interfejs zarządzania musi dostarczać następujących informacji o systemie:

a. Widok diagnostyczny prezentujący problemy z sygnałem/prędkością

b. Wykorzystanie pasmac. Ilość klientów korzystających z systemu/interferującychd. Ilość ramek wejściowych/wyjściowych dla każdego radiae. Ilość odrzuconych/błędnych ramek/s dla każdego radiaf. Szum tła dla każdego radia


g. Wyświetlanie logów systemowych

25.Punkt dostępowy musi posiadać 3 wbudowane dwu zakresowe anteny do pracy w trybie 3x3:3MU-MIMO,

a. Uzysk anteny dla pasma 2,4 Ghz minimum 3 dBib. Uzysk anteny dla pasma 5 Ghz minimum 5 dBi


26. Obsługa standardów 802.11a, 802.11b, 802.11g, 802.11n, 802.11ac wave 2 Spełnia/nie spełnia*

27. Praca w trybie MIMO 3x3 dla 802.11ac oraz co najmniej 2x2 dla 802.11n Spełnia/nie spełnia*

28.

Specyfikacja radia 802.11a/n/ac wave 2 a. Obsługiwane częstotliwości

- 5.150 ~ 5.250 GHz (low band)- 5.250 ~ 5.350 GHz (mid band)- 5.470 ~ 5.725 GHz (Europa)- 5.725 ~ 5.850 GHz (high band)

b. Obsługiwana technologia OFDMc. Typy modulacji: BPSK, QPSK, 16-QAM, 64-QAM, 256-

QAMd. Prędkości transmisji:

6, 9, 12, 18, 24, 36, 48, 54 Mbps dla 802.11a MCS0-MCS15 (6,5Mbps do 300Mbps) dla 802.11n

(2,4 GHz) MCS0-MCS23 (6,5Mbps do 450Mbps) dla 802.11n (5

GHz) MCS0-MCS9, NSS = 1-3(6.5 Mbps do 1300 Mbps) dla

802.11ace. Obsługa HT – kanały 20/40MHz dla 802.11nf. Obsługa VHT – kanały 20/40/80MHz dla 802.11acg. Wsparcie dla technologii DFS (Dynamic frequency

selection) – dla wszystkich 80Mhz kanałów w paśmie 5GHz

h. Agregacja pakietów: A-MPDU, A-MSDU dla standardów 802.11n/ac

i. Wsparcie dla: MRC (Maximal ratio combining) CDD/CSD (Cyclic delay/shift diversity) STBC (Space-time block coding) LDPC (Low-density parity check) Technologia TxBF


29.

Specyfikacja radia 802.11b/g/n:a. Częstotliwość 2,400 ~2,4835b. Technologia direct sequence spread spectrum (DSSS),

OFDMc. Typy modulacji – CCK, BPSK, QPSK,16-QAM, 64-

QAMd. Moc transmisji konfigurowalna przez administratorae. Prędkości transmisji:

1,2,5.5,11 Mbps dla 802.11b 6,9,12,18,24,36,48,54 Mbps dla 802.11g


30. Punkt dostępowy musi posiadać co najmnieja. 1 interfejs 10/100/1000 Base-T

z funkcją POE+ b. 1 interfejs konsoli szeregowej c. zasilanie 12V AC lub PoE 48V DC zgodne z


802.3af/802.3atd. przycisk przywracający konfigurację fabrycznąe. port USB 2.0f. slot zabezpieczający Keningston g. Kontrolka LED do określania statusu systemu i

interfejsów radiowych

31.

Parametry pracy urządzenia:a. Temperatura otoczenia: 0-40 º Cb. Wilgotność 10% - 90% nie skondensowanac. Znak CE (zgodnie z dyrektywami nowego podejścia

Unii Europejskiej)d. EN 300 328 e. EN 301 489 f. EN 301 893


32. Urządzenie musi posiadać certyfikat Wi-Fi Alliance (WFA) dla standardów 802.11/a/b/g/n/ac wave 2 Spełnia/nie spełnia*

33. Punkt dostępowy musi zostać dostarczony z elementami montażowymi niezbędnymi do montażu na płaskiej powierzchni


34.

Gwarancja: Minimum 5 letnia gwarancja producenta obejmująca wszystkie elementy urządzenia zapewniająca dostawę sprawnego sprzętu na podmianę na następny dzień roboczy po zgłoszeniu awarii. Gwarancja musi zapewniać również dostęp do poprawek oprogramowania urządzenia oraz wsparcia technicznego na wszystkie elementy i licencje. Całość świadczeń gwarancyjnych musi być realizowana bezpośrednio przez producenta sprzętu. Zamawiający musi mieć bezpośredni dostęp do wsparcia technicznego producenta.


Urządzenia należy dostarczyć do siedziby Zamawiającego.

Wymagania dotyczące Kontrolera zarządzającego powyższymi punktami dostępowymi Wi-Fi:

Lp. Opis wymagań:


(* - niepotrzebne skreślić lub podać wartość)

1. Producent, model Podać nazwę producenta, model

2.

Kontroler musi być dostępny w postaci maszyny wirtualnej na systemy wirtualizacyjne VMware vSphere Hypervisor (ESXi) 6.x i nowsze, oraz Hyper-V. Kontroler musi pozwalać na konfigurację i zarządzanie dostarczonymi 100 szt. AP WIFI


3.

Protokoły szyfrowania:a) CCMP/AESb) WEP 64- and 128-bitc) TKIPd) SSL and TLS: e) RC4 128-bitf) RSA 1024-bitg) RSA 2048-bit


4. Typy uwierzytelnienia:a) IEEE 802.1X (LEAP, PEAP, EAP-TLS, EAP-TTLS, EAP-

FAST, EAP-SIM,b) EAP-GTC,


c) RFC 2548 Microsoft vendor-specific RADIUS attributesd) RFC 2716 PPP EAP-TLSe) RFC 2865 RADIUSf) RFC 3579 RADIUS support for EAPg) RFC 3580 IEEE 802.1X RADIUS guidelinesh) RFC 3748 extensible protocoli) MAC addressj) Web-based captive portal

5.

Serwery uwierzytelnienia:a) Wewnętrzna baza danychb) LDAP/SSL c) RADIUSd) TACACS+e) Microsoft Active Directory (AD)f) Microsoft IAS and NPS RADIUS serversg) Cisco ACS, ISE serversh) Juniper Steel Belted RADIUS, Unified Access serversi) RSA ACE/Serverj) Infobloxk) Interlink RADIUS Serverl) FreeRADIUS


6.

Gwarancja: Minimum 5 letnia gwarancja producenta wraz ze wsparciem. Całość świadczeń gwarancyjnych musi być realizowana bezpośrednio przez producenta. Zamawiający musi mieć bezpośredni dostęp do wsparcia technicznego producenta.


Lp. Wymagania dodatkowe, punktowanePotwierdzenie spełnienia

wymagań (* - niepotrzebne skreślić lub podać wartość)

1. Punkt dostępowy AP Wi-Fi – 100 szt. wraz z kontrolerem Nazwa i model

1. W system operacyjny musi być wbudowana pełnostanowa zapora sieciowa Spełnia/nie spełnia*

2.

Punkt dostępowy musi mieć możliwość pracy w trybie autonomicznym tj. bez nadzoru centralnego kontrolera: - przełączenie punktu dostępowego do pracy z centralnym kontrolerem może odbywać się tylko poprzez zmianę ustawienia trybu pracy urządzenia z poziomu GUI. Zmiana trybu pracy nie może się odbywać poprzez instalację na urządzeniu nowej wersji oprogramowania, a jedynie zmiany trybu pracy oprogramowania np. przejście z trybu autonomicznego na zarządzanie przez centralny kontroler i odwrotnie.


3.

Punkt dostępowy musi posiadać 3 wbudowane dwu zakresowe anteny do pracy w trybie 3x3:3MU-MIMO,

c. Uzysk anteny dla pasma 2,4 Ghz minimum 3,5 dBiUzysk anteny dla pasma 5 Ghz minimum 5,2 dBi




2. Kontroler zarządzającego punktami dostępowymi WIFI Nazwa i model

1.Obsługa uwierzytelnienia połączenia VPN IPSec pomiędzy kontrolerem a urządzeniami poprzez:X.509 PKI, IKEv2, IKE PSK, IKE aggressive mode.


2.

Integracja z istniejącą siecią:- Integracja z przełącznikami warstwy drugiej i trzeciej:

możliwość przełączania lub routowania per-VLAN- Wsparcie dla OSPF


3.Szyfrowanie WIFI:

między urządzeniami a kontrolerem między urządzeniami a AP


B.1.6 – System autentykacji

Lp. Opis wymagań:


(* - niepotrzebne skreślić lub podać wartość)

1. Producent, model Podać nazwę producenta, model

2.

System kontroli dostępu musi być dostępny w postaci maszyny wirtualnej dostępnej na systemy wirtualizacyjne VMware vSphere Hypervisor (ESXi) 6.x i nowsze, Hyper-V 2012 R2 oraz Windows 2012 R2 enterprise. System kontroli dostępu musi się składać z aplikacji zarządzającej pozwalającej na konfigurację systemu kontroli dostępu do sieci oraz serwerów RADIUS, które zapewniają uwierzytelnianie oraz autoryzację dostępu do sieci.


3. System kontroli musi w pełni współpracować z dostarczonymi przełącznikami sieciowymi jak i urządzeniami dostępowymi AP WIFI.


4. Zamawiający wymaga, aby system był dostarczony z licencją umożliwiającą obsłużenie min. 700 systemów końcowych. Spełnia/nie spełnia*

5.System kontroli dostępu musi posiadać wbudowaną bazę użytkowników oraz móc integrować się z następującymi bazami danych: Microsoft Active Directory, Radius, LDAP, ODBC, Kerberos, Współpraca z serwerami tokenów.


6.

System kontroli dostępu musi zapewniać możliwość uwierzytelniania użytkowników (Proxy) do innych systemów uwierzytelniających RADIUS, LDAP/Microsoft Active Directory oraz lokalnej bazy użytkowników. Musi istnieć możliwość wyboru systemu uwierzytelniającego na podstawie:a) typu uwierzytelnienia np. IEEE 802.1x, MAC authentication (PAP, CHAP, MsCHAP, EAP-MD5), dostęp do zarządzania urządzeń itp.b) nazwy użytkownika, MAC adresu lub nazwy Host urządzenia


7. Po przeprowadzeniu uwierzytelnienia musi następować autoryzacja dostępu do sieci. Wybór konkretnej autoryzacji dostępu musi być możliwy na podstawie następujących parametrów:a) typu uwierzytelniania np. IEEE 802.1x, MAC authentication, Management Authentication wraz z możliwością wyboru szczegółowego sposobu uwierzytelniania np. IEEE 802.1x (PEAP), IEEE 802.1x (EAP-TLS), IEEE 802.1x (EAP-TTLS), MAC (PAP),


MAC (CHAP), MAC (MsCHAP), MAC (MD5) itp.,b) grupy użytkowników bazujące na grupach LDAP/Microsoft Active Directory, grupach RADIUS lub grupach nazw użytkowników wpisanych ręcznie,c) systemów końcowych bazujących na nazwie systemu końcowego (Hostname), adresie IP, przynależności systemu końcowego do grupy LDAP/Microsoft Active Directory, MAC adresie,d) typów urządzeń końcowych np. Android, iOS, Mac, Linux, Windows Mobile itp.,e) lokalizacji - np. adresy IP przełączników, które przeprowadzają autoryzację wraz z możliwością wskazania konkretnych portów, SSID oraz konkretnych punktów dostępowych w przypadku sieci bezprzewodowej,f) czasu - np. codziennie pomiędzy godziną 9:00 a 17:00.

8.

Aplikacja powinna posiadać możliwość tworzenia Profili autoryzacyjnych, które określają biznesową rolę użytkownika w sieci np.: Administrator, Księgowość, Goście, Pracownicy itp. Rola taka powinna być powiązana z polityką jaką będziemy chcieli wymusić na urządzeniach klienckich (przełącznikach, sieci bezprzewodowej itp.).


9. Profil autoryzacyjny powinien wskazywać na Politykę, jaka musi zostać wysłana do urządzenia aby zapewnić właściwą autoryzację dostępu systemu końcowego do sieci.


10.

Polityka musi zapewniać możliwość wysłania standardowych atrybutów RADIUS w ramach których będzie możliwe ustawienie: sieci VLAN do której użytkownika ma mieć dostęp, listy kontroli dostępu ACL oraz Quality of Service. Ponieważ oprócz przydziału sieci VLAN różne urządzenia mogą wymagać wysłania różnych atrybutów istnieje konieczność zapewnienia możliwości definiowania wysyłanych atrybutów dla każdego urządzenia z osobna. Przykładowo dla większości przełączników przydzielenie systemu końcowego do sieci VLAN wymaga wysłania następujących atrybutów: Tunnel-Type, Tunnel-Medium-Type oraz Tunnel-Private-Group-ID. Ten ostatni atrybut zawiera faktycznie wymagany VLAN ID lub nazwę VLAN. Niektóre urządzenia posiadają własne atrybuty VSA (Vendor Specyfic Attributes). Polityka musi zapewniać możliwość wysyłania atrybutów VSA dla uzyskania odpowiedniej autoryzacji systemu końcowego w sieci.


11.

System kontroli dostępu musi zapewniać wsparcie dla wymuszenia zmiany autoryzacji CoA (Change of Authorization) zgodnie z RFC 3576 oraz RFC 5176. Ze względu na różną implementację powyższych RFC na różnych urządzeniach sieciowych wymaga się, aby istniała możliwość konfiguracji portu oraz formatu MAC adresu wysyłanego do urządzenia sieciowego w przypadku wymuszenia zmiany autoryzacji.


12.System kontroli dostępu musi zapewnić interfejs konfiguracyjny pracujący w architekturze klient/serwer. Preferowane jest rozwiązanie korzystające z przeglądarki www.


13. System kontroli dostępu musi zapewniać bieżącą widzialność dopuszczonych do sieci systemów końcowych. Wymaga się, aby widziane były następujące parametry systemu końcowego i jego stanu:a) MAC adres systemu końcowego,b) adres IP systemu końcowego,


c) nazwa komputera - Host Name,d) typ systemu końcowego oraz system operacyjny - możliwość wykrywania urządzeń na podstawie zapytań DHCP (DHCP fingerprinting) np. Windows/ Windows Server 2012/2016, iPhone/Android itp.,e) nazwa urządzenia, do którego dołączony jest klient - to może być nazwa kontrolera bezprzewodowego lub nazwa przełącznika sieciowego,f) adres IP urządzenia, do którego dołączony jest klient i które przeprowadza uwierzytelnienie i autoryzację systemu końcowego,g) typ uwierzytelniania systemu końcowego np. MAC authentication, IEEE 802.1x wraz z informacją o wykorzystywanym protokole EAP np. PEAP, EAP-MD5, EAP-TLS itp.

14. System kontroli dostępu musi zapewniać przechowywanie historii dostępu systemu końcowego do sieci. Spełnia/nie spełnia*

15. System kontroli dostępu musi zapewniać możliwość wymuszenia ponownej autoryzacji wskazanego systemu końcowego z wykorzystaniem wymaganych powyżej funkcjonalności CoA.


16.

System kontroli dostępu musi zapewniać możliwość szybkiego przeniesienia wskazanego systemu do grupy użytkowników. Grupa użytkowników może być powiązana z inną polityką bezpieczeństwa lub może to być np. grupa użytkowników, którzy mają zabroniony dostęp do sieci tzw. grupa Black List.


17.

System kontroli dostępu musi umożliwiać uruchomienie systemu kontroli dostępu do sieci poprzez stronę www tzw. Captive Portal, który powinien zapewniać:a) możliwość logowania do sieci klientów, którzy nie posiadają suplikanta IEEE 802.1x wraz z możliwością zapamiętania tego systemu na wskazany czas tak, aby nie trzeba było za każdym razem ponownie wprowadzać nazwy użytkownika i hasła na stronie www,b) wymagana jest obsługa 50 kont gościnnych czasowo.c) konieczność akceptację regulaminu przed wpuszczeniem systemu końcowego do siecid) możliwość rejestracji systemu końcowego z wymaganiem wprowadzenia przez użytkownika wymaganych danych np. imię, nazwisko, numer telefonu, adres e-mail i inne pola definiowane przez administratora.e) możliwość wpuszczania systemu końcowego do sieci po rejestracji systemu końcowego oraz wymaganej akceptacji dostępu przez tzw. sponsora, który musi zaakceptować dostęp dla zarejestrowanego gościa.


18. System kontroli dostępu musi umożliwiać współpracę z agentem instalowanym na systemie końcowym, który zapewni sprawdzenie systemu końcowego pod kątem zgodności z polityką bezpieczeństwa.


19.Agent musi być dostępny m. in. na systemy operacyjne Microsoft Windows 7 i nowsze, Apple MAC OS X 10.7 i nowsze, Linux - Red HAT Enterprise Linux 4 i nowsze , Ubuntu 12.X LTS oraz 14.x LTS, CentOS 4 i nowsze, Fedora 5 i nowsze, SUSE 10.x i nowsze.


20. System musi zapewniać współpracę z systemami MDM (Mobile Device Management) w celu sprawdzania zgodności z polityką bezpieczeństwa dla urządzeń mobilnych.


21. System kontroli dostępu powinien posiadać interfejs API pozwalający na prostą integrację systemu kontroli dostępu z systemami 3rd party.


22.

System musi posiadać funkcję OnBoard z funkcją wystawiania certyfikatów zaufanych dla co najmniej 200 urządzeń. System musi posiadać funkcję automatycznej rejestracji urządzeń oraz samodzielne zarządzanie cyklem ich życia przez samoobsługowy portal dostępny dla pracowników po podaniu korporacyjnych danych uwierzytelniających. Widok portalu w sposób automatyczny powinien dopasowywać się do rozmiaru ekranu urządzenia mobilnego. Administratorzy muszą mieć możliwość przygotowywania własnego portalu korzystając z wbudowanych szablonów


23.

Minimum 5 letnia gwarancja (serwis) producenta. Gwarancja musi zapewniać dostęp do poprawek oprogramowania urządzenia oraz wsparcia technicznego w trybie 24x7 na wszystkie elementy i licencje. Całość świadczeń gwarancyjnych musi być realizowana bezpośrednio przez producenta sprzętu. Zamawiający musi mieć bezpośredni dostęp do wsparcia technicznego producenta.




System autentykacji Podać nazwę producenta, model

1.

System kontroli dostępu musi zapewniać wsparcie dla wymuszenia zmiany autoryzacji z wykorzystaniem protokołu SNMP - rozwiązanie stosowane przez niektórych producentów sprzętu sieciowego.


2.System kontroli dostępu musi zapewniać wsparcie dla wymuszenia zmiany autoryzacji poprzez wyłączenie i włączenie portu.


B.1.7 – System zarządzania

Zamawiający dopuszcza, aby system zarządzania był dostarczony jako integralny z systemem autentykacji (pkt 1.6), według poniższych minimalnych wymagań lub równoważny.

Lp. Charakterystyka (wymagania minimalne)



wartość)

1. Producent i nazwa oprogramowania

Podać nazwę producenta, nazwę

oprogramowania oraz wersję

2. System musi być zbudowany w architekturze klient – serwer. Spełnia/nie spełnia*

3. System musi umożliwiać instalację rozproszoną na wielu maszynach Spełnia/nie spełnia*

(serwerach) fizycznych lub wirtualnych w celu uzyskania redundancji i wysokiej wydajności. System dostarczony musi być systemem redundantnym instalowanym na minimum 2 maszynach fizycznych

4. System musi umożliwiać tworzenie kopii zapasowej na życzenie (on demand) i w regularnych odstępach czasowych (scheduled) Spełnia/nie spełnia*

5. System musi umożliwiać uwierzytelnianie administratorów za pomocą wewnętrznej bazy użytkowników z wymuszeniem reguł złożoności haseł dla administratorów


6.

System musi pozwalać na hierarchizację zarządzania – możliwość określenia domen administracyjnych dla administratorów, możliwość wykorzystania wbudowanej bazy administratorów i zewnętrznego serwera uwierzytelniającego. Wymagana jest możliwość tworzenia kont administratorskich z różnymi poziomami uprawnień, z możliwością przypisywania administratorów do grup urządzeń


7. Licencja na system powinna umożliwiać zarządzanie minimum 200 urządzeniami sieciowymi różnych producentów z możliwością rozbudowy do przynajmniej 500 urządzeń sieciowych


8. System musi minimalnie wspierać instalację części serwerowej na platformach minimum Windows Server 2012 R2 Spełnia/nie spełnia*

9. System musi być zbudowany modułowo, tak aby możliwe było doinstalowanie modułu dającego dodatkową funkcjonalność. Spełnia/nie spełnia*

10. System zarządzania musi spełniać podstawowe funkcje:- automatyczną identyfikację i wyszukiwanie urządzeń

instalowanych w sieci. Możliwość ręcznego i automatycznego dodawania urządzeń

- automatyczne wykrywanie topologii sieci z użyciem minimum protokołów SNMP, Telnet

- monitorowanie stanu urządzeń- konfigurację urządzeń- konfigurację list dostępu (ACL) na zarządzanych urządzeniach- konfigurację VLANów na zarządzanych urządzeniach- zarządzenie konfiguracją urządzeń, tworzenie backupów oraz

grupowe implementowanie konfiguracji przechowywanych w systemie zarządzania

- funkcje przeglądania zmian konfiguracji, automatyzacji zbierania konfiguracji urządzeń

- narzędzie do zarządzania obrazami oprogramowania urządzeń- zarządzenie zdarzeniami, przypisywanie alarmów do różnego

rodzaju zdarzeń- możliwość wysyłania alarmów np. mailem lub SMS’em- generowanie raportów w oparciu o szablony z możliwością

dostosowywania ich do potrzeb klienta- prezentację urządzeń sieciowych wraz z dynamiczną prezentacją

zmiany stanu każdego urządzenia- obrazowanie sieci w postaci hierarchicznych map (urządzania

wraz z połączeniami fizycznymi i logicznymi) wraz z wizualizacją alarmów oraz wizualizacją poszczególnych szaf telekomunikacyjnych

- podział urządzeń w logiczne grupy reprezentujące oddziały, lokalizacje, budynki i inne definiowalne podgrupy

- wbudowane narzędzie do przeprowadzenia inwentaryzacji komponentów używanych w sieci w tym sprzętu i oprogramowania systemowego urządzeń sieciowych


- lokalizowanie użytkowników po adresie IP i MAC - definiowanie polityki zmieniającej ustawienia sieci w przypadku

wykrycia ataku sieciowego- tworzenie mapki sieciowej obrazującej połączenia sieciowe

związane z zarejestrowanym atakiem sieciowym- tworzenie wzorców i szablonów konfiguracji na urządzenia- funkcję Telnet / SSH proxy umożliwiającą zarządzanie CLI przez

przeglądarkę Internetową.- funkcję zarządzania za pomocą urządzeń mobilnych- niezbędne jest aby system zarządzania był w stanie podłączyć się

i importować dane z LDAP / Active Directory- zbieranie informacji o konfiguracji urządzeń w sieci dzienników

zdarzeń systemu, informacji o zasobach (np. mapy topologii sieci) i przesyłania tych informacji za pomocą FTP, SFTP, Email.

- zarządzanie siecią wirtualną poprzez integracje SOAP z VMWare VirtualCenter Server oraz Microsoft Hyper-V vManager.

- automatyczną aktualizację przez Internet. - kontekstową funkcje pomocy zmieniającą zawartość w zależności

od wyświetlanego kontekstu.

11.

Muszą być dostępne moduły umożliwiające rozbudowę i integrację systemu o następujące funkcjonalności:- Zarządzenia mechanizmami QoS w tym monitorowanie

parametrów SLA - Audyt użytkowników z wykorzystaniem informacji z logów oraz

analizy zawartości pakietów SMTP, FTP, http- Zarządzanie dostępem zdalnym VPN- Zarządzanie dostępem użytkowników z wykorzystaniem 802.1x i

serwer RADIUS- Zarządzanie klientami na stacjach roboczych w ramach

implementacji technologii Network Access Control- Obsługa informacji przesyłanych z urządzeń sieciowych oraz

obrazowanie wyników- Funkcja monitorowania wydajności aplikacji


12.

Oprogramowanie musi mieć zapewnione wsparcie producenta przez minimum 3 lata. Wymagane jest zapewnienie wsparcia telefonicznego w trybie 24x7 oraz dostęp do poprawek i aktualizacji. Całość świadczeń serwisowych musi być realizowana bezpośrednio przez producenta oprogramowania. Zamawiający musi mieć bezpośredni dostęp do wsparcia technicznego producenta.


B.2. – Urządzenia dostępowe

Na wyposażeniu PSP znajdują się urządzenia Peplink HD Max 4 (znajdujące się na wyposażeniu Samochodów Dowodzenia i Łączności w całym kraju), Peplink 380, Peplink 580. Zamawiający wymaga, aby dostarczone niżej wymienione urządzenia współpracowały w pełnym zakresie z posiadanymi przez Zamawiającego urządzeniami, w szczególności w zakresie połączenia PepVPN zapewniającego komunikację podsieci w warstwie drugiej modelu OSI z wykorzystaniem SpeedFusion.

Wykonawca dostarczy urządzenia o następujących wymaganiach minimalnych umożliwiające pełną integrację z posiadanymi urządzeniami, w szczególności w zakresie technologii SpeedFusion.

B.2.1. – 2 komplety urządzeń dostępowych (4 urządzenia HA) typ I

Lp. Minimalne wymagania techniczno-użytkowe



wartość)1. Urządzenie brzegowe typ I – 4 szt. Nazwa i model

1.1.

Funkcje realizowane przez router:Agregacja łącz,Failover – przy agregacji łącz odłączenie dowolnego łącza nie przerywa połączenia i zapewnia przełączenie ruchu na pozostałe, pracujące łącza.Możliwość pracy w trybie Load Balancing połączeń zapewniającego podtrzymanie sesji i rozłożenie ruchu dla różnych usług. Możliwość wybrania różnych algorytmów rozłożenia ruchu.Urządzenie musi mieć możliwość zestawienia tunelu VPN z agregacją łącz dającą sumaryczną przepustowość na połączeniu VPN minimum 70% sumarycznej przepustowości podpiętych łącz WAN i zapewniając komunikację podsieci w warstwie drugiej modelu OSI zarówno na urządzeniach Zamawiającego Peplink jak i dostarczonych urządzeniach.


1.2.

Funkcje zarządzania:Web Administrative InterfaceCLICloud ManagementPowiadamianie przez email o zdarzeniachActive Client & Session Lists


1.3.

Statystyki dotyczące użycia łacza on-line co najmniej 2 z 3 poniższych sposobów:

- Syslog Service- SNMP v1, v2c and v3- Netflow lub Sflow”.


1.4.Funkcja budowy sieci (bridge) w warstwie 2 OSI dająca pojedynczy VPN na wszystkich podłączonych, agregowanych łączach WAN.


1.5. Funkcja pozwala na połączenie odległych lokalizacji w trybie Ethernet LAN umożliwiając pracę aplikacji w trybie LAN-only. Spełnia/nie spełnia*

1.6.

Bezpieczeństwo:Praca w trybie IP-Sec z szyfrowaniem do AES-256 bit.DoS PreventionStateful FirewallWeb Blocking


1.7. Funkcje sieciowe:- NAT i IP Forwarding- Static Routes- Port Forwarding- Wiele do Jednego, Jeden do Jednego NAT- NAT Pool- SIP ALG, H.323 ALG


- OSPFv2 i RIPv2 Support- DNS- Wbudowany Authoritative DNS- Obsługa rekordów A, CNAME, NS, MX, PTR, SOA.

1.8.

Funkcje VPN: Agregacja łącz w ramach VPN Site-to-Site VPN Bandwidth Aggregation Hot Failover 256-bit AES Encryption Pre-shared Key Authentication Dynamic Routing X.509 Certificate Support8 PPTP VPN Server RADIUS, LDAP Authentication IPsec VPN (Network-to-Network) Certyfikat X.509 Możliwość budowy połączeń z urządzeniami pracującymi

z dynamicznym adresem IP, Możliwość pracy z urządzeniami pracującymi w sieciach

lokalnych z NAT i Firewall.


1.9.

Funkcje WAN:- Obsługa dla PPPoE, Static IP, DHCP- Obsługa monitoringu jakości łączy WAN- PING- DNS Lookup- HTTP- Monitoring dopuszczalnych przepustowości - Obsługa dla IP v6- Obsługa usług Dynamic DNS.


1.10.

Funkcje QoSUser GroupsRezerwacja przepustowości Indywidualne limity przepustowości QoS dla aplikacjiDla różnych Grup użytkownikówSIP, HTTPS, VPN QoSQoS dla różnych typów aplikacji w tym VoIP, video etc.


1.11. Porty WAN 2x10Gb SFP+ 4x Gb Ethernet (urządzenie ma być wyposażone w dedykowane wkładki SFP+ LC 850nm) Spełnia/nie spełnia*

1.12.

Port USB umożliwiający podpięcie i obsługę modemu GSM.Urządzenie ma być dostarczone ze wspieranym przez producenta modemem GSM min. 3G.Zamawiający zezwala na użycie innych rozwiązań wspieranych przez producenta (wbudowany modem lub zewnętrzne urządzenia), które umożliwiają korzystanie z łączności LTE/3G i jednocześnie które są zarządzane z interfejsu administracyjnego głównego urządzenia”..


1.13. Porty LAN – 2 x 10Gb SFP+(urządzenie ma być wyposażone w dedykowane wkładki SFP+ LC 850nm) Spełnia/nie spełnia*

1.14. Przepustowość routera - 8 Gb/s Spełnia/nie spełnia*1.15. Przepustowość VPN – 2 Gb/s Spełnia/nie spełnia*1.16. IP Sec VPN – Network-to-Network Spełnia/nie spełnia*1.17. Ilość tuneli VPN – 2000 Spełnia/nie spełnia*

1.18. Możliwość budowy architektury High Availability w trybie Active – Stand-by Spełnia/nie spełnia*

1.19. Obudowa 1U 19” Spełnia/nie spełnia*

1.20. Redundantny system zasilania umożliwiający wymianę zasilacza w trybie Hot Swap Spełnia/nie spełnia*

1.21.Gwarancja: min. 24 miesiące gwarancji opartą o świadczenia serwisowe producenta urządzeń, niezależnie od statusu partnerskiego Wykonawcy


1.22.

Warunki gwarancji i serwisu: Oferowany serwis gwarancyjny musi zapewniać Zamawiającemu przez cały okres trwania gwarancji:możliwość pobierania bezpośrednio od producenta nowych wydań oprogramowania zgodnie z zapotrzebowaniem Zamawiającego, jednakże w ramach ogólnie dostępnej oferty producenta, a także w ramach wykupionego zestawu funkcjonalności oprogramowania i wykupionej konfiguracji urządzeń, wraz z wolnym od dodatkowych opłat prawem (tj. licencją) do korzystania z pobranego oprogramowania na zasadach określonych w warunkach licencyjnych dla użytkownika końcowego.bezpośredni i wolny od dodatkowych opłat dostęp do pomocy technicznej producenta przez telefon, e-mail oraz WWW, w zakresie rozwiązywania problemów związanych z bieżącą eksploatacją urządzeń oraz możliwość korzystania z baz wiedzy dotyczących zakupionych urządzeń publikowanych w serwisach producenta,możliwość zgłoszenia awarii urządzenia bezpośrednio producentowi urządzenia (a nie tylko Wykonawcy zamówienia), wraz z możliwością otrzymania "z góry" urządzenia zamiennego wolnego od uszkodzeń, bez dodatkowych opłat, a jedynie pod warunkiem zwrotu wadliwego urządzenia.


1.23.Dostarczony sprzęt musi być fabrycznie nowy, dostarczony w oryginalnych opakowaniach producenta, musi pochodzić z oficjalnego kanału sprzedaży producenta na terenie Polski.


B.2.2. – 2 komplety urządzeń dostępowych (4 urządzenia HA) typ II




wartość)1. Urządzenie brzegowe typ II – 4 szt Nazwa i model

1.1. System zabezpieczeń firewall musi być dostarczony jako specjalizowane urządzenie zabezpieczeń sieciowych (appliance). Spełnia/nie spełnia*

1.2. Całość sprzętu i oprogramowania musi być w pełni kompatybilna ze sobą oraz dostarczana i wspierana przez jednego producenta. Spełnia/nie spełnia*

1.3. System zabezpieczeń firewall musi umożliwiać działanie w następujących trybach pracy: routera (tj. w warstwie 3 modelu OSI), przełącznika (tj. w warstwie 2 modelu OSI), w trybie transparentnym (urządzenie nie może posiadać


skonfigurowanych adresów IP na interfejsach sieciowych jak również nie może wprowadzać segmentacji sieci na odrębne domeny kolizyjne w sensie Ethernet/CSMA)

w trybie pasywnego nasłuchu (sniffer).

1.4.

Tryb pracy urządzenia musi być ustalany w konfiguracji interfejsu sieciowego, a system musi umożliwiać pracę we wszystkich wymienionych powyżej trybach jednocześnie na różnych interfejsach inspekcyjnych w pojedynczej logicznej instancji systemu (np. wirtualny kontekst/system/firewall/, wirtualna domena, itp.).


1.5.

System zabezpieczeń firewall musi umożliwiać pracę w modelu wysokiej dostępności poprzez pracę dwóch urządzeń w modelu failover. Wymagana jest praca firewalli w trybach: Active-Passive

Active-Active.


1.6. Wykonawca skonfiguruje niezależnie 2 komplety (po 2 urządzenia w komplecie) do pracy w trybie active-active. Spełnia/nie spełnia*

1.7.

System zabezpieczeń firewall musi być wyposażony w co najmniej 4 porty Ethernet 10/100/1000,4 porty 1G SFP (obsadzone 4xLC 850 nm wielomodowe,4 porty 10G SFP/SFP+ (obsadzone 2xLC 850nm wielomodowe i 2xLC1310nm jednomodowe),1 port zarządzania – Ethernet 10/100/1000,Lokalny port konsoli,


1.8.

System zabezpieczeń firewall musi obsługiwać protokół Ethernet

z obsługą sieci VLAN poprzez znakowanie zgodne z IEEE 802.1q. Subinterfejsy VLAN mogą być tworzone na interfejsach sieciowych pracujących w trybie L2 i L3.


1.9. Urządzenie musi obsługiwać min. 4094 znaczników VLAN. Spełnia/nie spełnia*1.10. System zabezpieczeń firewall musi posiadać przepływność w

ruchu full-duplex nie mniej niż 1800 Mbit/s dla kontroli firewall z włączoną funkcją kontroli aplikacji,


1.11. System zabezpieczeń firewall musi posiadać przepływność w ruchu full-duplex nie mniej niż 750 Mbit/s dla kontroli zawartości (w tym kontrola anty-wirus, IPS i web-filtering).


1.12. System zabezpieczeń firewall musi obsługiwać nie mniej niż 190 000 jednoczesnych połączeń. Spełnia/nie spełnia*

1.13.

System zabezpieczeń firewall zgodnie z ustaloną polityką musi prowadzić kontrolę ruchu sieciowego pomiędzy obszarami sieci (strefami bezpieczeństwa) na poziomie warstwy sieciowej, transportowej oraz aplikacji (L3, L4, L7).


1.14. Polityka zabezpieczeń firewall lub grupy funkcjonalne polityk zabezpieczeń muszą uwzględniać: strefy bezpieczeństwa, adresy IP klientów i serwerów, protokoły i usługi sieciowe, aplikacje, kategorie URL, użytkowników aplikacji, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie zarządzanie pasmem w sieci w oparciu o


priorytet, pasmo gwarantowane, pasmo maksymalne, oznaczenia DiffServ.

1.15.

System zabezpieczeń firewall musi działać zgodnie z zasadą bezpieczeństwa „The Principle of Least Privilege (POLP)”, tzn. system zabezpieczeń musi blokować wszystkie aplikacje, poza tymi które w regułach polityki bezpieczeństwa firewall są wskazane jako dozwolone.


1.16.

System zabezpieczeń firewall musi automatycznie identyfikować aplikacje bez względu na numery portów, protokoły tunelowania i szyfrowania (włącznie z P2P i IM). Identyfikacja aplikacji musi odbywać się co najmniej poprzez sygnatury.


1.17.

Identyfikacja aplikacji nie może wymagać podania w konfiguracji urządzenia numeru lub zakresu portów na których dokonywana jest identyfikacja aplikacji. Należy założyć, że wszystkie aplikacje mogą występować na wszystkich 65 535 dostępnych portach. Wydajność kontroli firewall i kontroli aplikacji musi być taka sama i wynosić w ruchu full-duplex nie mniej niż wskazano w wymaganiach wydajnościowych.


1.18.

Zezwolenie dostępu do aplikacji musi odbywać się w regułach polityki firewall (tzn. reguła firewall musi posiadać oddzielne pole, gdzie definiowane są aplikacje i oddzielne pole gdzie definiowane są protokoły sieciowe, nie jest dopuszczalne definiowane aplikacji przez dodatkowe profile). Kontrola aplikacji musi być przeprowadzana w sposób umożliwiający potraktowanie informacji o niej jako atrybutu a nie jako wartości w polityce bezpieczeństwa.


1.19.

System zabezpieczeń firewall musi wykrywać co najmniej 1700 różnych aplikacji (takich jak Skype, Tor, BitTorrent, eMule, UltraSurf) wraz z aplikacjami tunelującymi się w HTTP lub HTTPS.


1.20.

System zabezpieczeń firewall musi pozwalać na ręczne tworzenie sygnatur dla nowych aplikacji bezpośrednio na urządzeniu bez użycia zewnętrznych narzędzi i wsparcia producenta.


1.21.

System zabezpieczeń firewall musi pozwalać na definiowanie i przydzielanie różnych profili ochrony (antymalware, IPS, URL, blokowanie plików) per aplikacja. Musi być możliwość przydzielania innych profili ochrony (AM, IPS, URL, blokowanie plików) dla dwóch różnych aplikacji pracujących na tym samym porcie.


1.22.

System zabezpieczeń firewall musi pozwalać na blokowanie transmisji plików, nie mniej niż: bat, cab, pliki office (doc, ppt,xls), pliki office docx, pptx, xlsx) rar, zip, exe, gzip, hta, pdf, tar, tiff. Rozpoznawanie pliku musi odbywać się na podstawie nagłówka i typu MIME, a nie na podstawie rozszerzenia


1.23.

System zabezpieczeń firewall musi zapewniać ochronę przed atakami typu „Drive-by-download” poprzez możliwość konfiguracji strony blokowania z dostępną akcją „kontynuuj” dla funkcji blokowania transmisji plików.


1.24. System zabezpieczeń firewall musi posiadać osobny zestaw polityk definiujący ruch SSL, który należy poddać lub wykluczyć


z operacji deszyfrowania i głębokiej inspekcji rozdzielny od polityk bezpieczeństwa.

1.25.

System zabezpieczeń musi posiadać wbudowaną i automatycznie aktualizowaną przez producenta listę serwerów, dla których niemożliwa jest deszyfracja ruchu (np. z powodu wymuszania przez nie uwierzytelnienia użytkownika z zastosowaniem certyfikatu lub stosowania mechanizmu „certificate pinning”). Lista ta stanowi automatyczne wyjątki od ogólnych reguł deszyfracji.


1.26.

System zabezpieczeń firewall musi zapewniać inspekcję szyfrowanej komunikacji SSH (Secure Shell) dla ruchu wychodzącego w celu wykrywania tunelowania innych protokołów w ramach usługi SSH.


1.27. System zabezpieczeń firewall musi zapewniać możliwość transparentnego ustalenia tożsamości użytkowników sieci Spełnia/nie spełnia*

1.28.

System zabezpieczeń firewall musi zapewniać integrację z: Active Directory, Ms Exchange, LDAP serwerami Terminal Services.


1.29.

Polityka kontroli dostępu (firewall) musi precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci i musi być utrzymywana nawet gdy użytkownik zmieni lokalizację i adres IP, a w przypadku użytkowników pracujących w środowisku terminalowym, tym samym mających wspólny adres IP, ustalanie tożsamości musi odbywać się również transparentnie.


1.30.

System zabezpieczeń firewall musi posiadać możliwość zbierania i analizowania informacji Syslog z urządzeń sieciowych i systemów MS Windows, Linux, Unix w celu łączenia nazw użytkowników z adresami IP hostów z których ci użytkownicy nawiązują połączenia. Funkcja musi umożliwiać wykrywanie logowania jak również wylogowaniu użytkowników.Dopuszcza się zastosowanie innego mechanizmu wbudowanego lub zintegrowanego z systemem zabezpieczeń firewall, który technicznie pozwoli na uzyskanie równoważnej funkcjonalności dotyczącej „śledzenia” logowania użytkowników


1.31.

System zabezpieczeń firewall musi odczytywać oryginalne adresy IP stacji końcowych z pola X-Forwarded-For w nagłówku http i wykrywać na tej podstawie użytkowników z domeny Windows Active Directory generujących daną sesje w przypadku gdy analizowany ruch przechodzi wcześniej przez serwer Proxy ukrywający oryginalne adresy IP zanim dojdzie on do urządzenia. Po odczytaniu zawartości pola XFF z nagłówka http system zabezpieczeń musi usunąć odczytany źródłowy adres IP przed wysłaniem pakietu do sieci docelowej.


1.32.

System zabezpieczeń firewall musi wykonywać statyczną i dynamiczną translację adresów NAT. Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet.


1.33.System zabezpieczeń firewall musi posiadać osobny zestaw polityk definiujący reguły translacji adresów NAT rozdzielny od polityk bezpieczeństwa.


1.34.

System zabezpieczeń firewall musi posiadać funkcję ochrony przed atakami typu DoS wraz z możliwością limitowania ilości jednoczesnych sesji w odniesieniu do źródłowego lub docelowego adresu IP.


1.35.

System zabezpieczeń firewall musi umożliwiać zestawianie zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site. Konfiguracja VPN musi odbywać się w oparciu o ustawienia routingu (tzw. routing-based VPN). Dostęp VPN dla użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN. Wykorzystanie funkcji VPN (IPSec i SSL) nie może wymagać konieczności zakupu dodatkowych licencji.


1.36.

System zabezpieczeń firewall musi pozwalać na budowanie polityk uwierzytelniania definiujący rodzaj i ilość mechanizmów uwierzytelniających (tj. MFA - multi factor authentiaction) do wybranych zasobów. Polityki definiujące powinny umożliwiać wykorzystanie adresów źródłowych, adresów docelowych, użytkowników, numerów portów usług kategorie URL. System musi obsługiwać co najmniej 3 z następujących mechanizmów uwierzytelnienia RADIUS, TACACS+, LDAP lub Active Directory Kerberos, Server SSO (Single-Sing-On) Lokalna baza użytkowników Portal gościnny


1.37.

System zabezpieczeń firewall musi wykonywać zarządzanie pasmem sieci (QoS) w zakresie oznaczania pakietów znacznikami DiffServ, a także ustawiania dla dowolnych aplikacji priorytetu, pasma maksymalnego i gwarantowanego. System musi umożliwiać stworzenie co najmniej 8 klas dla różnego rodzaju ruchu sieciowego.


1.38. System musi mieć możliwość kształtowania ruchu sieciowego (QoS) dla poszczególnych użytkowników. Spełnia/nie spełnia*

1.39.

System musi mieć możliwość kształtowania ruchu sieciowego (QoS) per sesja na podstawie znaczników DSCP. Musi istnieć możliwość przydzielania takiej samej klasy QoS dla ruchu wychodzącego i przychodzącego.


1.40.

System zabezpieczeń firewall musi posiadać moduł filtrowania stron WWW w zależności od kategorii treści stron HTTP bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją. Baza web-filtering musi być regularnie aktualizowana w sposób automatyczny i posiadać nie mniej niż 15 milionów rekordów URL.


1.41. System zabezpieczeń firewall musi posiadać moduł filtrowania stron WWW, który można uruchomić per reguła polityki


bezpieczeństwa firewall. Nie jest dopuszczalne, aby funkcja filtrowania stron WWW uruchamiana była tylko per całe urządzenie lub jego interfejs fizyczny/logiczny (np. interfejs sieciowy, interfejs SVI, strefa bezpieczeństwa).

1.42.System zabezpieczeń firewall musi zapewniać możliwość wykorzystania kategorii URL jako elementu klasyfikującego (nie tylko filtrującego) ruch w politykach bezpieczeństwa.


1.43.

System zabezpieczeń firewall musi zapewniać możliwość ręcznego tworzenia własnych kategorii filtrowania stron WWW i używania ich w politykach bezpieczeństwa bez użycia zewnętrznych narzędzi i wsparcia producenta.


1.44.

System zabezpieczeń firewall musi posiadać moduł inspekcji antywirusowej uruchamiany per aplikacja oraz wybrany dekoder taki jak http, smtp, imap, pop3, ftp, smb kontrolującego ruch bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją. Baza sygnatur anty-wirus musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób automatyczny nie rzadziej niż co 24 godziny i pochodzić od tego samego producenta, co producent systemu zabezpieczeń.


1.45.

System zabezpieczeń firewall musi posiadać moduł inspekcji antywirusowej uruchamiany per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby modułu inspekcji antywirusowej uruchamiany był per całe urządzenie lub jego interfejs fizyczny/logiczny (np. interfejs sieciowy, interfejs SVI, strefa bezpieczeństwa).


1.46.

System zabezpieczeń firewall musi posiadać modułu wykrywania i blokowania ataków intruzów w warstwie 7 modelu OSI IPS/IDS bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją. Baza sygnatur IPS/IDS musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób automatyczny i pochodzić od tego samego producenta co producent systemu zabezpieczeń.


1.47.

System zabezpieczeń firewall musi posiadać moduł IPS/IDS uruchamiany per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby funkcja IPS/IDS uruchamiana była per całe urządzenie lub jego interfejs fizyczny/logiczny (np. interfejs sieciowy, interfejs SVI, strefa bezpieczeństwa).


1.48.System zabezpieczeń firewall musi zapewniać możliwość ręcznego tworzenia sygnatur IPS bezpośrednio na urządzeniu bez użycia zewnętrznych narzędzi i wsparcia producenta.


1.49. System zabezpieczeń firewall musi posiadać sygnatury DNS wykrywające i blokujące ruch do domen uznanych za złośliwe. Spełnia/nie spełnia*

1.50.

System zabezpieczeń firewall musi posiadać funkcję podmiany adresów IP w odpowiedziach DNS dla domen uznanych za złośliwe w celu łatwej identyfikacji stacji końcowych pracujących w sieci LAN zarażonych złośliwym oprogramowaniem (tzw. DNS Sinkhole).


1.51.

System zabezpieczeń firewall musi posiadać funkcję automatycznego pobierania, z zewnętrznych systemów, adresów, grup adresów, nazw dns oraz stron www (url) oraz tworzenia z nich obiektów wykorzystywanych w konfiguracji urządzenia w celu zapewnienia automatycznej ochrony lub dostępu do zasobów reprezentowanych przez te obiekty.


1.52.System zabezpieczeń firewall musi posiadać funkcję wykrywania aktywności sieci typu Botnet na podstawie analizy behawioralnej.


1.53.

System zabezpieczeń firewall musi zapewniać możliwość przechwytywania i przesyłania do zewnętrznych systemów typu „Sand-Box” plików różnych typów (rozszerzenia typu np. exe, dll, pdf, msofffice, java, jpg, swf, apk) przechodzących przez firewall z wydajnością modułu antywirus (zdefiniowaną w szczegółowych wymaganiach wydajnościowych) w celu ochrony przed zagrożeniami typu zero-day. Systemy zewnętrzne, na podstawie przeprowadzonej analizy, muszą aktualizować system firewall sygnaturami nowo wykrytych złośliwych plików i ewentualnej komunikacji zwrotnej generowanej przez złośliwy plik po zainstalowaniu na komputerze końcowym.


1.54.

Administrator musi mieć możliwość konfiguracji rodzaju pliku (np. exe, dll, pdf, msofffice, java, jpg, swf, apk), użytej aplikacji oraz kierunku przesyłania (wysyłanie, odbieranie, oba) do określenia ruchu poddanego analizie typu „Sand-Box”.


1.55.

System zabezpieczeń firewall musi generować raporty dla każdego analizowanego pliku tak aby administrator miał możliwość sprawdzenia które pliki i z jakiego powodu zostały uznane za złośliwe, jak również sprawdzić którzy użytkownicy te pliki pobierali.


1.56.

System zabezpieczeń firewall musi pozwalać na integrację w środowisku wirtualnym VMware w taki sposób, aby firewall mógł automatycznie pobierać informacje o uruchomionych maszynach wirtualnych (np. ich nazwy) i korzystał z tych informacji do budowy polityk bezpieczeństwa. Tak zbudowane polityki powinny skutecznie klasyfikować i kontrolować ruch bez względu na rzeczywiste adresy IP maszyn wirtualnych i jakakolwiek zmiana tych adresów nie powinna pociągać za sobą konieczności zmiany konfiguracji polityk bezpieczeństwa firewalla.


1.57.

Zarządzanie systemu zabezpieczeń musi odbywać się z linii poleceń (CLI) oraz graficznej konsoli Web GUI dostępnej przez przeglądarkę WWW. Nie jest dopuszczalne, aby istniała konieczność instalacji dodatkowego oprogramowania na stacji administratora w celu zarządzania systemem.


1.58.

System zabezpieczeń firewall musi być wyposażony w interfejs API będący integralną częścią systemu zabezpieczeń za pomocą którego możliwa jest konfiguracja i monitorowanie stanu urządzenia bez użycia konsoli zarządzania lub linii poleceń (CLI).


1.59.

Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji). System zabezpieczeń musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach.


1.60. System zabezpieczeń firewall musi umożliwiać uwierzytelnianie administratorów za pomocą co najmniej 3 z następujących sposobów:

- bazy lokalnej, - serwera LDAP, - RADIUS,


- TACACS+ - Kerberos.

1.61.System zabezpieczeń firewall musi umożliwiać stworzenie sekwencji uwierzytelniającej posiadającej co najmniej trzy metody uwierzytelniania (np. baza lokalna, LDAP i RADIUS).


1.62.System zabezpieczeń firewall musi posiadać wbudowany twardy dysk do przechowywania logów i raportów o pojemności nie mniejszej niż 240GB.


1.63.

System zabezpieczeń firewall musi pozwalać na usuwanie logów

i raportów przetrzymywanych na urządzeniu po upływie określonego czasu.


1.64. System zabezpieczeń firewall musi pozwalać na selektywne wysyłanie logów bazując na ich atrybutach. Spełnia/nie spełnia*

1.65.

System zabezpieczeń firewall musi pozwalać na generowanie zapytań do zewnętrznych systemów z wykorzystaniem protokołu HTTP/HTTPS w odpowiedzi na zdarzenie zapisane w logach urządzenia.


1.66.

System zabezpieczeń firewall pozwalać na korelowanie zbieranych informacji oraz budowania raportów na ich podstawie. Zbierane dane powinny zawierać informacje co najmniej o: ruchu sieciowym, aplikacjach, zagrożeniach filtrowaniu stron www.


1.67.System zabezpieczeń firewall pozwalać na stworzenie raportuo aktywności wybranego użytkownika lub grupy użytkowników na przestrzeni kilku ostatnich dni.


1.68.

System zabezpieczeń firewall musi posiadać możliwość pracy w konfiguracji odpornej na awarie w trybie Active-Passive lub Active-Active. Moduł ochrony przed awariami musi monitorować i wykrywać uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych.


1.69. Pomoc techniczna musi być świadczona w języku polskim poprzez centrum kompetencyjne zlokalizowane w Polsce. Spełnia/nie spełnia*

1.70.

Szkolenia dotyczące konfiguracji i obsługi systemu zabezpieczeń firewall muszą być dostępne i świadczone w języku polskim w autoryzowanym ośrodku edukacyjnym zlokalizowanym w Polsce.


1.71. Gwarancja wraz z wszystkimi subskrypcjami i wsparciem technicznym min. 60 miesięcy. Spełnia/nie spełnia*




wartość)1. Urządzenie brzegowe typ II – 4 szt Nazwa i model1.1. System zabezpieczeń firewall musi posiadać przepływność w ruchu

full-duplex nie mniej niż 1000 Mbit/s dla kontroli zawartości (w Spełnia/nie spełnia*

tym kontrola anty-wirus, anty-spyware, IPS i web-filtering).

1.2.System zabezpieczeń firewall musi automatycznie identyfikować aplikacje bez względu na numery portów, protokoły tunelowania i szyfrowania (włącznie z P2P i IM). Identyfikacja aplikacji musi odbywać się co najmniej poprzez sygnatury i analizę heurystyczną.


1.3.

System zabezpieczeń firewall musi pozwalać na analizę i blokowanie plików przesyłanych w zidentyfikowanych aplikacjach. W przypadku gdy kilka aplikacji pracuje na tym samym porcie UDP/TCP (np. tcp/80) musi istnieć możliwość przydzielania innych, osobnych profili analizujących i blokujących dla każdej aplikacji.


1.4.

System zabezpieczeń firewall musi posiadać moduł antymalware lub antyspyware bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją. Baza sygnatur anty-spyware musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób automatyczny i pochodzić od tego samego producenta co producent systemu zabezpieczeń.


1.5.

System zabezpieczeń firewall musi posiadać moduł anty-spyware uruchamiany per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby funkcja antymalware lub antyspyware uruchamiana była per całe urządzenie lub jego interfejs fizyczny/logiczny (np. interfejs sieciowy, interfejs SVI, strefa bezpieczeństwa).


1.6.System zabezpieczeń firewall musi posiadać możliwość ręcznego tworzenia sygnatur antymalware lub antyspyware bezpośrednio na urządzeniu bez użycia zewnętrznych narzędzi i wsparcia producenta.


1.7.

System zabezpieczeń firewall musi posiadać funkcję automatycznego przeglądania logowanych informacji oraz pobierania z nich źródłowych i docelowych adresów IP hostów biorących udział w konkretnych zdarzeniach zdefiniowanych według wybranych atrybutów. Na podstawie zebranych informacji musi istnieć możliwość tworzenia obiektów wykorzystywanych w konfiguracji urządzenia w celu zapewnienia automatycznej ochrony lub dostępu do zasobów reprezentowanych przez te obiekty.Zamawiający dopuszcza rozwiązanie gdzie np. po określeniu że dany komputer jest zarażony (na podstawie zachowania lub IOC) będzie mógł być automatycznie zablokowany lub przerzucony do kwarantanny


1.8.

System zabezpieczeń firewall musi umożliwiać zdefiniowanie stron WWW i serwisów do których użytkownicy mogą wysyłać swoje poświadczenia. W przypadku próby wysłania poświadczeń do niezaufanej strony lub serwisu ruch musi zostać zablokowany.Zamawiający dopuszcza jako rozwiązanie równoważne rozwiązanie które blokuje ruch do stron www określone jako kategoria ”Phishing”


1.9.Integracja z zewnętrznymi systemami typu "Sand-Box" musi pozwalać administratorowi na podjęcie decyzji i rozdzielenie plików, przesyłanych konkretnymi aplikacjami, pomiędzy publicznym i prywatnym systemem typu "Sand-Box".


1.10. System zabezpieczeń firewall musi posiadać przekrój konfiguracji podstawowej, którą można dowolnie edytować na urządzeniu bez automatycznego zatwierdzania wprowadzonych zmian


w konfiguracji urządzenia do momentu, gdy zmiany zostaną zaakceptowane i sprawdzone przez administratora systemu.

1.11.System zabezpieczeń firewall musi umożliwiać edytowanie konfiguracji podstawowej przez wielu administratorów pracujących jednocześnie i pozwalać im na zatwierdzanie i cofanie zmian, których są autorami.


1.12. System zabezpieczeń firewall musi pozwalać na blokowanie wprowadzania i zatwierdzania zmian w konfiguracji systemu przez innych administratorów w momencie edycji konfiguracji.


1.13. System zabezpieczeń firewall musi umożliwiać uwierzytelnianie administratorów za pomocą bazy lokalnej, serwera LDAP, RADIUS, Kerberos.


1.14. System zabezpieczeń firewall musi pozwalać na konfigurowanie i wysyłanie logów do różnych serwerów Syslog per polityka bezpieczeństwa.


Do urządzenia Wykonawca dostarczy system zarządzania o następujących minimalnych wymaganiach:




wartość)

1.1. Wraz z systemem zabezpieczeń firewall konieczne jest dostarczenie centralnego systemu zarządzania. Spełnia/nie spełnia*

1.2.System zarządzania, logowania i raportowania musi obsługiwać docelowo nie mniej niż 25 firewalli i 100 logicznych systemów/firewalli/domen.


1.3.System zarządzania, logowania i raportowania musi zapewniać przestrzeń dyskową o pojemności nie mniejszej niż 1 TB pracującą w RAID 1 (2 x 1 TB).


1.4.System zarządzania, logowania i raportowania musi umożliwiać dodanie dodatkowej przestrzeni dyskowej przeznaczonej na logowanie.


1.5. System zarządzania, logowania i raportowania musi posiadać Graficzny Interfejs Użytkownika (GUI). Spełnia/nie spełnia*

1.6. System zarządzania, logowania i raportowania musi umożliwiać import obecnej konfiguracji używanych firewalli. Spełnia/nie spełnia*

1.7.

System zarządzania, logowania i raportowania musi umożliwiać zbieranie logów zdarzeń z systemów firewall. Zbierane dane powinny zawierać informacje co najmniej o: ruchu sieciowym, użytkownikach, aplikacjach, zagrożeniach i filtrowanych stronach WWW.


1.8. System zarządzania, logowania i raportowania musi umożliwiać korelację logów zdarzeń z zarządzanych firewalli. Spełnia/nie spełnia*

1.9.System zarządzania, logowania i raportowania musi umożliwiać dedykowane narzędzia dla łatwego przeszukiwania skorelowanych logów zebranych z zarządzanych firewalli.


1.10. System zarządzania, logowania i raportowania musi umożliwiać tworzenie, zapisywanie i ponowne wykorzystywanie filtrów


służących do wyszukiwania informacji w zebranych danych.

1.11.

System zarządzania, logowania i raportowania musi umożliwiać tworzenie statycznych raportów dopasowanych do wymagań Zamawiającego. Musi istnieć możliwość zapisania stworzonych raportów i uruchamianie ich w sposób ręczny lub automatyczny w określonych przedziałach czasu oraz wysyłania ich w postaci wiadomości e-mail do wybranych osób.


1.12.

System zarządzania, logowania i raportowania musi umożliwiać tworzenie dynamicznych raportów (w czasie rzeczywistym) dopasowanych do wymagań Zamawiającego z funkcjonalnością „drill-down”.


1.13.

System zarządzania, logowania i raportowania musi umożliwiać centralne budowanie i dystrybucję polityk bezpieczeństwa o różnym zasięgu. Lokalnych (dla wybranych firewalli lub logicznych systemów firewalla) i globalnych (dla grup firewalli lub kilku systemów logicznych wybranych firewalli).


1.14.

System zarządzania, logowania i raportowania musi umożliwiać grupowanie firewalli i systemów z poszczególnych firewalli w logiczne kontenery umożliwiające wspólne zarządzanie (konfigurowanie polityk bezpieczeństwa, konfigurowanie ustawień sieciowych, wykorzystanie tych samych obiektów).


1.15.System zarządzania, logowania i raportowania musi umożliwiać tworzenie raportów na podstawie zbudowanych kontenerów lub grup urządzeń czy instancji wirtualnych.


1.16.System zarządzania, logowania i raportowania musi umożliwiać przechowywanie i zarządzanie obiektami używanymi przez wszystkie firewalle w jednym, centralnym repozytorium.


1.17.System zarządzania, logowania i raportowania musi umożliwiać odseparowanie konfiguracji urządzeń i ich ustawień sieciowych od konfiguracji reguł bezpieczeństwa i obiektów w nich użytych.


1.18. System zarządzania, logowania i raportowania musi umożliwiać dystrybucję i zdalną instalację nowych sygnatur. Spełnia/nie spełnia*

1.19. System zarządzania, logowania i raportowania musi umożliwiać dystrybucję i zdalną instalację nowych wersji systemu Spełnia/nie spełnia*

1.20. System zarządzania, logowania i raportowania musi umożliwiać tworzenie kopii zapasowych zarządzanych firewalli. Spełnia/nie spełnia*

1.21.System zarządzania, logowania i raportowania musi umożliwiać dzielenie obiektów pomiędzy firewallami i systemami logicznymi.


1.22. System zarządzania, logowania i raportowania musi umożliwiać tworzenie obiektów o różnym zasięgu (lokalne, globalne). Spełnia/nie spełnia*

1.23.

System zarządzania, logowania i raportowania musi umożliwiać tworzenie i używanie ról administracyjnych różniących się poziomem dostępu do danego urządzenia lub grupy urządzeń/logicznych systemów.


1.24. System zarządzania, logowania i raportowania musi informować o zmianach konfiguracji systemu. Spełnia/nie spełnia*

1.25.System zarządzania, logowania i raportowania musi umożliwiać audytowanie/sprawdzanie poprawności konfiguracji urządzenia/logicznego systemu przed jej zatwierdzeniem.


1.26.System zarządzania, logowania i raportowania musi umożliwiać zapisywanie różnych wersji konfiguracji zarządzanych firewalli/logicznych systemów.


1.27. System zarządzania, logowania i raportowania musi umożliwiać Spełnia/nie spełnia*

wykonanie procedury wymiany uszkodzonego urządzenia na nowe tak aby system zarządzania, logowania i raportowania zrozumiał, iż nowe urządzenie zastępuje urządzenie uszkodzone.

1.28. System zarządzania, logowania i raportowania musi być dostarczony jako dedykowane urządzenie/urządzenia sieciowe. Spełnia/nie spełnia*

1.29.

System zarządzania, logowania i raportowania musi móc pracować w trybie kolektora logów zbierającego jedynie dane z systemów bezpieczeństwa lub w trybie pełnej analizy w celu optymalizacji procesu zbierania logów.


1.30.

System zarządzania, logowania i raportowania musi zapewniać możliwość rozbudowy systemu o kolejne urządzenia tak aby umożliwić zwiększenie pojemności lub/i wydajności całego systemu w przyszłości.


1.31.Wsparcie i dostęp do aktualizacji min. 60 miesięcy.Nie wykupienie wsparcia nie może powodować utraty funkcjonalności.

Spełnia/nie spełnia




wartość)

1.1.System zarządzania, logowania i raportowania musi posiadać taki sam Graficzny Interfejs Użytkownika (GUI) jak zarządzane firewalle.


1.2.

System zarządzania, logowania i raportowania musi pozwalać na przełączenie się w kontekst pojedynczego firewalla lub logicznego systemu na firewallu z poziomu konsoli zarządzającej.


1.3.System zarządzania, logowania i raportowania musi umożliwiać dystrybucję i zdalną instalację nowych wersji systemu oraz poprawek.


B.3. – 33 komplety urządzeń dostępowych (33 urządzenia) typ III lub równoważny

Na wyposażeniu PSP znajdują się urządzenia Peplink HD Max 4 (znajdujące się na wyposażeniu Samochodów Dowodzenia i Łączności w całym kraju), Peplink 380, Peplink 580. Zamawiający wymaga, aby dostarczone niżej wymienione urządzenia współpracowały w pełnym zakresie z posiadanymi przez Zamawiającego urządzeniami, w szczególności w zakresie połączenia PepVPN zapewniającego komunikację podsieci w warstwie drugiej modelu OSI z wykorzystaniem SpeedFusion.

Wykonawca dostarczy urządzenia o następujących wymaganiach minimalnych umożliwiające pełną integrację z posiadanymi urządzeniami, w szczególności w zakresie technologii SpeedFusion.




wartość)1. Urządzenie brzegowe typ III – 33 szt. Nazwa i model

1.1.

Funkcje realizowane przez router: Agregacja łącz, Failover – przy agregacji łącz odłączenie dowolnego

łącza nie przerywa połączenia i zapewnia przełączenie ruchu na pozostałe, pracujące łącza.

Możliwość pracy w trybie Load Balancing połączeń zapewniającego podtrzymanie sesji i rozłożenie ruchu dla różnych usług. Możliwość wybrania różnych algorytmów rozłożenia ruchu.

Urządzenie musi mieć możliwość zestawienia tunelu VPN z agregacją łącz dającą sumaryczną przepustowość na połączeniu VPN minimum 70% sumarycznej przepustowości podpiętych łącz WAN i zapewniając komunikację podsieci

w warstwie drugiej modelu OSI zarówno na urządzeniach Zamawiającego Peplink jak i dostarczonych urządzeniach.


1.2.

Funkcje zarządzania:Web Administrative InterfaceCLICloud ManagementPowiadamianie przez email o zdarzeniachActive Client & Session Lists


1.3.

Statystyki dotyczące użycia łącza on-line co najmniej 2 z 3 poniższych sposobów:- Syslog Service- SNMP v1, v2c and v3- Netflow lub Sflow”.


1.4.Funkcja budowy sieci (bridge) w warstwie 2 OSI dająca pojedynczy VPN na wszystkich podłączonych, agregowanych łączach WAN.


1.5. Funkcja pozwala na połączenie odległych lokalizacji w trybie Ethernet LAN umożliwiając pracę aplikacji w trybie LAN-only. Spełnia/nie spełnia*

1.6.

Bezpieczeństwo:Praca w trybie IP-Sec z szyfrowaniem do AES-256 bit.DoS PreventionStateful FirewallWeb Blocking


1.7.

Funkcje sieciowe NAT i IP Forwarding Static Routes Port Forwarding Wiele do Jednego, Jeden do Jednego NAT NAT Pool SIP ALG, H.323 ALG OSPFv2 i RIPv2 Support DNS Wbudowany Authoritative DNS Obsługa rekordów A, CNAME, NS, MX, PTR, SOA


1.8. Funkcje VPN: Agregacja łącz w ramach VPN Site-to-Site VPN Bandwidth Aggregation Hot Failover


256-bit AES Encryption Pre-shared Key Authentication Dynamic Routing X.509 Certificate Support8 PPTP VPN Server RADIUS, LDAP Authentication IPsec VPN (Network-to-Network) Certyfikat X.509 Możliwość budowy połączeń z urządzeniami pracującymi

z dynamicznym adresem IP, Możliwość pracy z urządzeniami pracujacymi w sieciach

lokalnych z NAT i Firewall.

1.9.

Funkcje WAN: Obsługa dla PPPoE, Static IP, DHCP Obsługa monitoringu jakości łączy WAN PING DNS Lookup HTTP Monitoring dopuszczalnych przepustowości Obsługa dla IP v6 Obsługa usług Dynamic DNS.


1.10.

Funkcje QoS User Groups Rezerwacja przepustowości Indywidualne limity przepustowości QoS dla aplikacji Dla różnych Grup użytkowników SIP, HTTPS, VPN QoS QoS dla różnych typów aplikacji w tym VoIP, video itp.


1.11. Porty WAN Router (3x Gb Ethernet WAN) Spełnia/nie spełnia*

1.12.

Port USB umożliwiający podpięcie i obsługę modemu GSM.Urządzenie ma być dostarczone ze wspieranym przez producenta modemem GSM min. 3G.Zamawiający zezwala na użycie innych rozwiązań wspieranych przez producenta (wbudowany modem lub zewnętrzne urządzenia), które umożliwiają korzystanie z łączności LTE/3G i jednocześnie które są zarządzane z interfejsu administracyjnego głównego urządzenia.


1.13. Porty LAN – 3 x Gb Ethernet Spełnia/nie spełnia*1.14. Przepustowość routera – min. 1 Gb/s Spełnia/nie spełnia*1.15. Przepustowość w ramach VPN – min. 150 Mb/s Spełnia/nie spełnia*1.16. IP Sec VPN – Network-to-Network Spełnia/nie spełnia*1.17. Ilość tuneli VPN – 20 Spełnia/nie spełnia*

1.18. Możliwość budowy architektury wysokiej dostępności HA w trybie Active – Passive Spełnia/nie spełnia*

1.19.Obudowa o wysokości max. 1U przeznaczona do montażu w szafie RACK 19” (Wykonawca dostarczy niezbędne akcesoria umożliwiające montaż w szafie typu RACK).


1.20.Gwarancja: min. 24 miesiące oparta oświadczenia serwisowe producenta urządzeń, niezależnie od statusu partnerskiego Wykonawcy


1.21. Warunki gwarancji i serwisu: Oferowany serwis gwarancyjny musi zapewniać Zamawiającemu przez cały okres trwania gwarancji:


- możliwość pobierania bezpośrednio od producenta nowych wydań oprogramowania zgodnie z zapotrzebowaniem Zamawiającego, jednakże w ramach ogólnie dostępnej oferty producenta, a także w ramach wykupionego zestawu funkcjonalności oprogramowania i wykupionej konfiguracji urządzeń, wraz z wolnym od dodatkowych opłat prawem (tj. licencją) do korzystania z pobranego oprogramowania na zasadach określonych w warunkach licencyjnych dla użytkownika końcowego.- bezpośredni i wolny od dodatkowych opłat dostęp do pomocy technicznej producenta przez telefon, e-mail oraz WWW, w zakresie rozwiązywania problemów związanych z bieżącą eksploatacją urządzeń oraz możliwość korzystania z baz wiedzy dotyczących zakupionych urządzeń publikowanych w serwisach producenta,- możliwość zgłoszenia awarii urządzenia bezpośrednio producentowi urządzenia (a nie tylko Wykonawcy zamówienia), wraz z możliwością otrzymania "z góry" urządzenia zamiennego wolnego od uszkodzeń, bez dodatkowych opłat, a jedynie pod warunkiem zwrotu wadliwego urządzenia.

1.22.Dostarczony sprzęt musi być fabrycznie nowy, dostarczony w oryginalnych opakowaniach producenta, musi pochodzić z oficjalnego kanału sprzedaży producenta na terenie Polski.


Wykaz lokalizacji:

Lp. Komenda JRG Adres

1. KM PSP w Krakowie JRG1 31-033 Kraków, ul. Westerplatte 192. JRG2 30-363 Kraków ul. Rzemieślnicza 103. JRG3 30-134 Kraków, ul. Zarzecze 1064. JRG4 30-733 Kraków ul. Obrońców Modlina 25. JRG5 31-223 Kraków ul. Kazimierza Wyki 36. JRG6 30-837 Kraków ul. Aleksandry 27. JRG SA 30-001 Kraków, os. Zgody 188. JRG Skawina 32-050 Skawina ul. Piłsudskiego 209. KM PSP w Nowym Sączu JRG1 33-300 Nowy Sącz, ul. Witosa 69

10. JRG2 33-300 Nowy Sącz, ul. Węgierska 18811. JRG Krynica 33-380 Krynica Zdrój, ul. Piłsudskiego 5612. KM PSP w Tarnowie JRG1 33-100 Tarnów, ul. Klikowska 3913. JRG2 33-100 Tarnów, ul. Błonie 2a14. KP PSP w Bochni 32-700 Bochnia, ul. Ks. J. Poniatowskiego 715. KP PSP w Brzesku 32-800 Brzesko, ul. Solskiego 1616. KP PSP w Chrzanowie 32-500 Chrzanów, ul. Ks. Skorupki 3

17. KP PSP w Dąbrowie Tarnowskiej 33-200 Dąbrowa Tarnowska, ul. Żabieńska

2018. KP PSP w Gorlicach 38-300 Gorlice, ul. 11 Listopada 8419. KP PSP w Limanowej 34-600 Limanowa, ul. M.B. Bolesnej 4320. KP PSP w Miechowie 32-200 Miechów, ul. Racławicka 20

21. KP PSP w Myślenicach 32-400 Myślenice, ul. Przemysłowa 922. KP PSP w Nowym Targu 34-400 Nowy Targ, ul. Kościuszki 323. JRG Nowy Targ 34-400 Nowy Targ, ul. Ludźmierska 11124. JRG Rabka 34-700 Rabka, ul. Piłsudskiego 225. KP PSP w Olkuszu JRG Olkusz 32-300 Olkusz, al.. 1000-lecia 2c26. JRG Wolbrom 32-340 Wolbrom, al. 1 maja 10027. KP PSP w Oświęcimiu 32-600 Oświęcim, ul. Zatorska 228. KP PSP w Proszowicach 32-100 Proszowice, ul. 3-go Maja 14029. KP PSP w Suchej Beskidzkiej 34-200 Sucha Beskidzka, ul. Makowska 2630. KP PSP w Wadowicach JRG Wadowice 34-100 Wadowice, ul. Wojska Polskiego 2c31. JRG Andrychów 34-120 Andrychów, ul. Krakowska 8932. KP PSP w Wieliczce 32-020 Wieliczka, ul. Park Kingi 433. KP PSP w Zakopanem 34-500 Zakopane, ul. Nowotarska 45

B.4. Szafy rackSzafy rack 42u 800x100x200 wraz z półkami i uchwytami typ I – 6 szt.

Lp. Parametr Charakterystyka(wymagania minimalne)

Parametr oferowany (proszę wpisać opis, parametry

techniczne oraz numer katalogowy producenta)

1. Producent Nazwa producenta:2. Identyfikacja Typ produktu, model:3. Wysokość Min. 2000 mm4. Szerokość min. 800 mm, max 8505. Głębokość min. 1000 mm, max 1100

6. Drzwi przednie

Blaszane perforowane, z zawiasami i zamkiem na klucz. Konstrukcja 180° otwierania drzwi, umożliwiająca prosty demontaż oraz ich montaż celem otwierania w lewo, bądź w prawo.

7. Drzwi boczne i tylne

Zdejmowane boczne i tylne osłony, drzwi zabezpieczone zamkami na taki sam klucz jak przednie drzwi.

8. Otwory wentylacyjne

Umieszczone w podstawie i stropie szafy rozdzielczej.

9. Zaślepkaprzeciwpyłowa Naklejana

10. Nóżki Nóżki z regulacją poziomu 4szt..

11. UziemienieKompletny system uziemienia poszczególnych części szafy rozdzielczej.

12. Informacje dodatkowe

Perforacja dolnej i górnej części szafy dla naturalnej wentylacji, opakowanie z podstawowym materiałem montażowym.

13. Listwazasilająca - 2 szt. Rack 19" min. 8 gniazd + wyłącznik

14.Panelwentylacyjny - 1 szt.

Sufit./podłog. min.4 wentylatory 230V, termostat.

15. Półka - 2 szt. Rack 19", max. 1U, min. 1000mm,

obciążenie dozwolone min.100kg

16. Wymagania dodatkowe

Szafa musi posiadać konstrukcję umożliwiającą montaż serwerów typu rack oraz kanały teletechniczne wewnątrz szafy przeznaczone do ułożenia okablowania

Wykaz lokalizacji

Lp. Komenda Adres

1. KP PSP w Miechowie ul. Racławicka 20, 32-200 Miechów2. KP PSP w Myślenicach ul. Przemysłowa 9, 32-400 Myślenice3. KP PSP w Olkuszu al. 1000-lecia 2c, 32-300 Olkusz4. KP PSP w Proszowicach ul. 3-go Maja 140, 32-100 Proszowice5. KP PSP w Wieliczce ul. Park Kingi 4, 32-020 Wieliczka6. KP PSP w Zakopanem ul. Nowotarska 45, 34-500 Zakopane

Szafa rack 37u 800x100x185 wraz z półkami i uchwytami typ II – 1 szt.

Lp. Parametr Charakterystyka (wymagania minimalne)

Parametr oferowany (proszę wpisać opis,

parametry techniczne oraz numer katalogowy

producenta)1. Producent Nazwa producenta:2. Identyfikacja Typ produktu, model:3. Wysokość Max. 1850 mm4. Szerokość min. 800 mm, max 8505. Głębokość min. 1000 mm, max 1100

6. Drzwi przednie

Blaszane perforowane, z zawiasami i zamkiem na klucz. Konstrukcja 180° otwierania drzwi, umożliwiająca prosty demontaż oraz ich montaż celem otwierania w lewo, bądź w prawo.

7. Drzwi boczne i tylne

Zdejmowane boczne i tylne osłony, drzwi zabezpieczone zamkami na taki sam klucz jak przednie drzwi.

8. Otwory wentylacyjne

Umieszczone w podstawie i stropie szafy rozdzielczej.

9.Zaślepkaprzeciwpyłowa

Naklejana

10. Nóżki Nóżki z regulacją poziomu 4szt..

11. Uziemienie Kompletny system uziemienia poszczególnych części szafy rozdzielczej.

12. Informacje dodatkowe

Perforacja dolnej i górnej części szafy dla naturalnej wentylacji, opakowanie z podstawowym materiałem montażowym.

13. Listwazasilająca - 2

Rack 19" min. 8 gniazd + wyłącznik

szt.

14.Panelwentylacyjny - 1 szt.

Sufit./podłog. min.4 wentylatory 230V, termostat.

15. Półka - 2 szt. Rack 19", max. 1U, min. 1000mm, obciążenie dozwolone min.100kg

16. Wymagania dodatkowe

Szafa musi posiadać konstrukcję umożliwiającą montaż serwerów typu rack oraz kanały teletechniczne wewnątrz szafy przeznaczone do ułożenia okablowania

Wykaz lokalizacji

Lp. Komenda Adres

1. KP PSP w Wadowicach ul. Wojska Polskiego 2c, 34-100 WadowiceB.5. Wdrożenie, szkolenia i wymagania dodatkowe

Lp. Parametr Minimalne wymagania



wartość)1. Wdrożenie 1) Upgrade firmware-u i oprogramowania

wewnętrznego wszystkich oferowanych urządzeń do najnowszej stabilnej wersji,

2) Aktywacja wszystkich dostarczonych licencji,3) Instalacja w lokalizacjach wskazanych przez

Zamawiającego,4) Podłączenie oferowanych urządzeń do sieci

Zamawiającego,5) Wdrożenie musi być realizowane przez

wykwalifikowanych inżynierów posiadających certyfikaty inżyniera/inżynierów producenta systemu lub sprzętu.

6) Wymagania odnośnie wykonywanych działań przez dostawcę:

a) wszystkie operacje muszą być wykonywane w obecności administratorów wyznaczonych przez Zamawiającego,

b) dostawca przed rozpoczęciem wdrożenia przedstawi Zamawiającemu do zaakceptowania harmonogram prac z podziałem na etapy, przewidywanym czasem trwania poszczególnych etapów, opisem czynności wykonywanych w poszczególnych etapach. Harmonogram powinien zawierać również informacje na temat potencjalnych „kolizji” z systemami informatycznymi Zamawiającego, skutkujących


koniecznością odłączenia, wyłączenia lub restartowania posiadanych urządzeń aktywnych sieci SAN lub LAN w siedzibie Zamawiającego,

c) Wszelkie operacje skutkujące koniecznością odłączenia, wyłączenia lub restartowania urządzeń aktywnych sieci SAN lub LAN muszą być wykonane po godzinach pracy

d) wdrożenie nie może spowodować jakiejkolwiek utraty danych lub awarii w infrastrukturze informatycznej Zamawiającego. Za ewentualne starty/uszkodzenia odpowiada dostawca,

e) po zakończeniu prac, potwierdzonych protokołem odbioru, Wykonawca sporządzi i przekaże dokumentację techniczną dla wdrożonego rozwiązania nie później niż 7 dni kalendarzowych od podpisania protokołu odbioru,

f) systemy muszą mieć możliwość pracy w pełnej funkcjonalności bez konieczności wykupywania wsparcia technicznego.

g) dokumentacja musi opisywać konfigurację wszystkich zainstalowanych u Zamawiającego urządzeń,

h) dokumentacja musi być wykonana w sposób czytelny,

i) dokumentacja musi być dostarczona Zamawiającemu w postaci papierowej i elektronicznej. Postać elektroniczna musi umożliwiać edycję.

2. Szkolenia

Wykonawca zapewni min. 2 dniowe certyfikowane niezależne szkolenia z:zarządzania przełącznikami, urządzeniami dostępowymi,punktami dostępowymi z kontrolerem,systemem zarządzania,dla 4 administratorów systemu potwierdzone certyfikatem.


1. Jeżeli w warunkach technicznych zostały wskazane znaki towarowe, patenty lub pochodzenie, Zamawiający w każdym przypadku dopuszcza rozwiązania równoważne pod względem funkcjonalności, parametrów ze wskazanymi w opisie przedmiotu zamówienia.

2. Wykonawca zapewni instalację i konfigurację przełączników sieciowych, urządzeń brzegowych.

3. Wykonawca wykona i dostarczy pełną dokumentację powykonawczą,

Wykonawca zobowiązany będzie do:1) świadczenia usług z należytą starannością, zgodnie z najlepszymi praktykami

stosowanymi przy instalacji, programowaniu i wdrażaniu Systemu.2) zapewnienia kompetentnego personelu do realizacji Zamówienia, który będzie

współpracował z osobami wskazanymi przez Zamawiającego, 3) sporządzenia i uzgodnienia z Zamawiającym harmonogramu wdrożenia Systemu,

4) zaplanowania, przygotowania, dostarczenia i wykonania instalacji Systemu wraz z oprogramowaniem, zgodnie z przyjętym harmonogramem, oraz wykonania dokumentacji użytkownika zawierającej opis i zasady korzystania z Systemu.

5) zaplanowania i przeprowadzenia, w uzgodnieniu z Zamawiającym, odpowiednich szkoleń dla administratorów Systemu.

Harmonogram realizacji zamówienia i dokumentacja. 1) Szczegółowy harmonogram wdrożenia Wykonawca uzgodni z Zamawiającym. 2) Ostateczne ustalenia z Zamawiającym dotyczące realizacji całego projektu zostaną

opisane przez Wykonawcę w dokumencie „Karta Projektu”, który będzie zawierał szczegółowe procedury prowadzenia projektu, organizację projektu, koncepcję oraz jego cele. Dokument zostanie następnie uzgodniony, wstępnie zaakceptowany z Zamawiającym. Zamawiający zastrzega sobie możliwość wprowadzania zmian w koncepcji wynikających z błędów systemu pojawiających się na etapie wdrażania. Akceptacja dokumentu ze strony Zamawiającego będzie warunkiem koniecznym do zainicjowania etapu wdrożenia. Wykonawca po zakończeniu wdrożenia przekaże Zamawiającemu szczegółową „Dokumentację Powykonawczą” systemu. Oba dokumenty tj. „Karta Projektu” oraz „Dokumentacja powykonawcza” powinny być przekazane w formie papierowej oraz elektronicznej, i pełnią rolę oficjalnych dokumentów wdrożeniowych po pisemnej akceptacji przez strony Zamawiającego,

3) „Dokumentacja Powykonawcza” winna zawierać co najmniej : dokumentację techniczną, zawierająca szczegóły konfiguracyjne systemu, instrukcja administratora , pozwalającą na samodzielną naukę obsługi systemu.

Testy systemuWszystkie dostarczone w ramach umowy produkty będą podlegały procedurom w zakresie testów akceptacyjnych i odbioru jakościowego -przyjęcia do eksploatacji. Upoważnione osoby ze strony Zamawiającego będą obecne przy wszystkich przeprowadzanych testach.Procedury testowania i odbioru jakościowego obejmują:1) testy akceptujące instalację oprogramowania. Po pomyślnym przeprowadzeniu testów

strony sporządzą protokół odbioru oprogramowania,2) testy akceptacyjne Systemu, w tym oprogramowania zostaną przeprowadzone w celu:

a) sprawdzenia zgodności dostarczonego Systemu ze specyfikacją ofertową, b) sprawdzenia czy System spełnia wymagania określone przez Zamawiającego w specyfikacji wymagań,c) sporządzenia protokołu odbioru jakościowego przedmiotu.

3) Do protokołu odbioru jakościowego dołączone będą:a) wykaz oprogramowania wraz z rodzajem i liczbą i warunkami licencjonowania, b) dokumentacja projektowa, systemowa i powykonawcza, dokumentacja – instrukcja użytkownika oraz procedury eksploatacyjne wraz z instrukcjami. Zamawiający zastrzega sobie prawo do przeprowadzenia własnych testów

akceptacyjnych lub powtórzenia procedur dostarczonych przez Wykonawcę.Wykonawca zaproponuje, a Zamawiający zatwierdzi:

1) harmonogram procedury odbioru, 2) zasady testowania, 3) rodzaje testów, 4) warunki i zasady akceptacji testów, 5) warunki odbioru całego Systemu z uwzględnieniem wymagań określonych w SIWZ przy

spełnieniu co najmniej warunków opisanych poniżej.Przedmiot zamówienia podlegał będzie odbiorowi jakościowemu i odbiorowi

ilościowemu, przy czym:

odbiór jakościowy będzie polegał na sprawdzeniu poprawności instalacji, konfiguracji, zakładanej funkcjonalności.

odbiór ilościowy polegał będzie na potwierdzeniu zgodności przedmiotu zamówienia ze specyfikacją załączoną do umowy. Miejscem odbioru jakościowo - ilościowego poszczególnych elementów przedmiotu

zamówienia siedziba Zamawiającego.

· web viewpolityka musi zapewniać możliwość wysłania standardowych atrybutów radius w...

Documents