Popis projektu Řešení infrastruktury v nové budově SFŽP je realizováno za účelem vytvoření moderní počítačové sítě využívající dvouvrstvý hierarchický model (přístupová a páteřní vrstva). Zároveň v této infrastruktuře je nasazena bezpečnost jak na úrovni perimetru sítě, tak na úrovni ochrany uživatelských stanic zaměstnanců SFŽP. Pro zajištění mobility pracovníků i navštěvujících osob SFŽP je implementována integrovaná bezdrátová síť s centrálním managementem. Uchazeč je povinen doložit, že je certifikovaným partnerem výrobce pro prodej a servis nabízených zařízení velkým společnostem pro páteřní přepínače, přístupové přepínače a hardwarový firewall. Schéma celkového řešení projektu je znázorněna na následujícím schématu:
Technické parametry řešení Všechny komponenty řešení musí být od jednoho výrobce pro dosažení maximální kompatibility a jednoduchosti správy řešení. Součástí dodávky musí být návrh ip adresního prostoru s dostatečným prostorem IP adres (RFC1918), segmentace minimálně do 10. VLAN. LAN infrastruktura Dodané aktivní prvky musí splnit (nebo převýšit) všechny technické parametry uvedené v následujících tabulkách. Vyžadovaný parametr
Přístupové přepínače – 6ks Základní vlastnosti Třída zařízení
L3 switch
Formát zařízení
stohovatelný
Směrování IPv4
ano
1z1 Příloha č. 1 k zadávací dokumentaci na podlimitní veřejnou zakázku “Infrastruktura v nové budově SFŽP ČR“
Ano, upgradem SW
Směrování IPv6 Provedení – minimálně následující 2 typy přepínačů a jejich množství 5ks přepínačů - 48 portů 10/100/1000, 4 porty 1GE - (SFP)
ano
1ks přepínače - 48 portů 10/100/1000, 4 porty 1GE (SFP)
ano, i v provedení s napájenými porty podle standardu 802.3af
Výkonnostní parametry Propustnost přepínacího subsystému
Min. 32 Gbps
Protokoly fyzické vrstvy IEEE 802.3-2005
ano
IEEE 802.3ad
ano
Podpora "jumbo rámců"
ano
Protokoly 2. vrstvy IEEE 802.1D
ano
IEEE 802.1Q
ano
Minimální počet aktivních VLAN
1000
IEEE 802.1X - Port Based Network Access Control
ano
IEEE 802.1s - Multiple Spanning Tree Protocol
ano
IEEE 802.1w - Rapid Tree Spanning Protocol
ano
IEEE 802.1p - Minimální počet vnitřních front
4
Per VLAN rapid spanning tree (PVRST+) nebo ekvivalentní
ano
Detekce protilehlého zařízení
ano
Detekce jednosměrnosti optické linky
ano
Multicast/broadcast storm control - hardwarové omezení poměru unicast/multicast rámců na portu v procentech
ano
Protokol IP IP alias (více IP sítí na jednom rozhraní)
ano
QoS
ano
DHCP relay
ano
Směrovací protokoly ano, upgradem SW
BGPv4
2z2 Příloha č. 1 k zadávací dokumentaci na podlimitní veřejnou zakázku “Infrastruktura v nové budově SFŽP ČR“
OSPFv2, OSPFv3
ano, upgradem SW
OSPF s MD5
ano, upgradem SW
RIPv2
ano
Směrování multicastu IGMPv2
ano
IGMPv3
ano
IGMPv3 snooping
ano
IPv6 MLDv1 & v2 snooping
ano
Bezpečnost Podpora reverse path check (uRPF)
ano
ACL na rozhraní IN/OUT (včetně virtuálních - VLAN, loopback, 802.1ad)
ano
ACL pro IP
ano
IPv6 ACL
ano, upgradem SW
ACL pro ethernetové rámce
ano
Možnost definovat povolené MAC adresy na portu
ano
Možnost definovat maximální počet MAC adres na portu
ano
Možnost definovat různé chování při překročení počtu MAC adres na portu (zablokování portu, blokování nové MAC adresy)
ano
DHCP snooping
ano
Dynamic ARP inspection (DAI)
ano
Management CLI rozhraní
ano
SSHv2
ano
SSHv2 over IPv6
ano
Možnost omezení přístupu k managementu (SSH, SNMP) pomocí ACL
ano
SNMPv2
ano
SNMPv3
ano
Čítače paketů a bytů pro každou frontu a shaper (včetně přístupu přes SNMP)
ano
Čítače paketů pro jednotlivá pravidla v ACL
ano
Sériová konzolová linka
ano
DNS klient
ano
3z3 Příloha č. 1 k zadávací dokumentaci na podlimitní veřejnou zakázku “Infrastruktura v nové budově SFŽP ČR“
NTP klient s MD5 autentizací
ano
RADIUS klient pro AAA (autentizace, autorizace, accounting)
ano
Port mirroring
ano
Vzdálený port mirroring
ano
Syslog
Ano
Možnost rozšíření o záložní napájení
Ano Vyžadovaný parametr
Páteřní přepínač – 2ks Základní vlastnosti Typ zařízení
L3 přepínač
Formát zařízení
modulární
Řídící modul s dvěma integrovanými rozhraními 10GE (Ethernet 10 Gb/s) pro propojení páteřních přepínačů mezi sebou - min. 1ks s možností rozšíření o druhý redundantní řídící modul
Ano
Minimální počet portů ethernet 10/100/1000 (RJ-45)
24
Minimální počet portů ethernet 1000BaseT (SFP)
24
Redundantní zdroj
ano
Minimální počet slotů v šasi
6
Podpora modulů se 6 porty 10GE – pro budoucí rozšíření
ano
Podpora modulů s min. 24 porty 1000BaseX (SFP)
ano
Směrování IPv4
ano
Směrování IPv6
ano
Podpora IPv4, IPV6 v hardware
Ano
Výkonnostní parametry Celková propustnost centrálních řídících modulů (IPv4/IPv6)
250/125 Mpps
Celková kapacita centralního přepínání /propustnost přepínacího subsystému
320 Gbps/250 Mpps
Minimální dostupná kapacita na slot
24 Gbps
Minimální počet záznamů ve směrovací tabulce - IPv4 unicast
256k
Minimální počet záznamů ve směrovací tabulce – IPv6 unicast
128k
Minimální počet záznamů ve směrovací tabulce - IPv4 multicast
128k
Minimální počet záznamů ve směrovací tabulce – IPv6 multicast
64k
Protokoly fyzické vrstvy IEEE 802.3-2005
Ano
IEEE 802.3ad
Ano
4z4 Příloha č. 1 k zadávací dokumentaci na podlimitní veřejnou zakázku “Infrastruktura v nové budově SFŽP ČR“
IEEE 802.3ad přes více karet
Ano
Podpora "jumbo rámců"
Ano
Protokoly 2. vrstvy IEEE 802.1D
Ano
IEEE 802.1Q
Ano
Minimální počet aktivních VLAN
4096
IEEE 802.1X - Port Based Network Access Control
Ano
IEEE 802.1s - multiple spanning trees
Ano
IEEE 802.1w - Rapid Tree Spanning Protocol
Ano
IEEE 802.1p
Ano
Vynucená 10/100 autonegotiation pro 10/100/1000BaseT porty
Ano
Detekce protilehlého zařízení
Ano
Detekce jednosměrnosti optické linky
Ano
Možnost autorecovery po chybovém stavu (UDLD, root guard, loop guard)
Ano
Multicast/broadcast storm control - hardwarové omezení poměru unicast/multicast rámců na portu v procentech
Ano
Protokol IP IP alias (více IP sítí na jednom rozhraní)
Ano
QoS
Ano
DSCP-based Queue Mapping
Ano
DHCP relay
Ano
Router redundancy protokol
Ano
Směrovací protokoly BGPv4
Ano
OSPFv2, OSPFv3
Ano
OSPF s MD5
Ano
RIPv2
Ano
Policy-based routing podle ACL
Ano
Podpora Virtual Route Forwarding-Lite (VRF-Lite) formou volitelné licence
Ano
Směrování multicastu PIM (dense i sparse mód)
Ano
IGMPv2
Ano
IGMPv3
Ano
IGMPv3 snooping
Ano
IPv6 MLDv1 & v2 snooping
Ano
5z5 Příloha č. 1 k zadávací dokumentaci na podlimitní veřejnou zakázku “Infrastruktura v nové budově SFŽP ČR“
Bezpečnost Podpora reverse path check (uRPF)
Ano
ACL na rozhraní IN/OUT (včetně virtuálních - VLAN, loopback, 802.1ad)
Ano
ACL pro IP
ano
ACL pro ethernetové rámce
ano
Možnost definovat povolené MAC adresy na portu
ano
Možnost definovat maximální počet MAC adres na portu
ano
Možnost definovat různé chování při překročení počtu MAC adres na portu (zablokování portu, blokování nové MAC adresy)
ano
DHCP snooping
ano
Dynamic ARP inspection (DAI)
ano
Počet NAC a DHCP snooping záznamů
12000
Management CLI rozhraní
ano
SSHv2
ano
Možnost omezení přístupu k managementu (SSH, SNMP) pomocí ACL
ano
SNMPv2
ano
SNMPv3
ano
Interpretace uživatelských CLI a Tcl skriptů a jejich aktivace asynchronní událostí v systému zařízení
ano
Čítače paketů pro jednotlivá pravidla v ACL
ano
Sériová konzolová linka
ano
DNS klient
ano
NTP klient s MD5 autentizací
ano
RADIUS klient pro AAA (autentizace, autorizace, accounting)
ano
Port mirroring
ano
Vzdálený port mirroring
ano
Syslog
ano
Služby Podpora NTP
ano
DHCP server
ano
Bezdrátová infrastruktura Dodané bezdrátové řešení musí splnit (nebo převýšit) všechny technické parametry uvedené v následujících tabulkách.
6z6 Příloha č. 1 k zadávací dokumentaci na podlimitní veřejnou zakázku “Infrastruktura v nové budově SFŽP ČR“
Obecné vlastnosti
Vyžadovaný parametr
Automatizovaná správa frekvenčního pásma
Ano
Automatizované řešení roamingu uživatelů v rámci AP na jednom kontroleru i mezi kontrolery
Ano
Podpora hlasových aplikací (call admission control, QoS, rychlý roaming při WPA autentizaci)
Ano
Integrované řešení návštěvnického přístupu
Ano
Bezpečné oddělení návštěvnického provozu od zaměstnaneckého provozu
Ano
Integrovaná správa návštěvnických účtů s možností definice jejich platnosti
Ano
Webová autentizace návštěvníků
Ano
Podpora možnosti tunelování uživatelských dat z AP až na kontroler
Ano
Podpora možnosti lokálního bridgování uživatelských dat přímo na příslušném AP
Ano
Bezpečnost Podpora 802.11i, respektive jeho implementací WPA a WPA2 včetně enterprise variant autentizace/šifrování
Ano
802.1x/EAP autentizace: PEAP, LEAP, EAP-FAST, EAP-TLS, ...
Ano
Šifrování: AES, TKIP
Ano
Integrovaný IDS systém pro detekci útoků na bezdrátovou síť (wireless IDS)
Ano
Detekce cizích AP (Rogue AP) a klientů v AdHoc režimu
Ano
Možnost vynuceného odpojení klientů od cizích AP
Ano
Podpora ochrany řídících rámců na AP a klientovi (Management Frame Protection)
Ano
Možnost integrace s L3 IDS/IPS (odpojení uživatele od bezdrátové sítě v návaznosti na impuls od L3 IDS/IPS systému
Ano
Centrální administrace správců s granularitou přístupových práv
Ano
Vysoká dostupnost Automatické zvýšení vysílacího výkonu okolních AP při výpadku AP („self healing“)
Ano
Možnost redundance na úrovni kontrolerů a jejich portů
Ano
Diferenciace QoS pro hlasové služby, zaměstnance a návštěvníky
Ano
Podpora 802.11e/WMM
Ano
Policing provozu na úrovni jednotlivých uživatelů (nastavitelná šířka pásma pro uživatele)
Ano
Vlastnosti AP s integrovanými anténami (12ks)
Vyžadovaný parametr
Podpora 802.11a
Ano
Podpora 802.11b/g
Ano
7z7 Příloha č. 1 k zadávací dokumentaci na podlimitní veřejnou zakázku “Infrastruktura v nové budově SFŽP ČR“
Typ antén
Integrované
10/100 Ethernet rozhraní
Ano
Konsolový port
Ano
Možnost PoE napájení AP na úrovni 802.3af ze síťového přepínače
Ano
Hardwarově asistované AES šifrování
Ano
Ochrana management rámců
Ano
Kontroler pro bezdrátovou síť – 1ks
Vyžadovaný parametr
Konzolový port
Ano
Podpora správy přes telnet CLI, SSH CLI, https a http web GUI
Ano
Podpora až 12 registrovaných AP
Ano
Podpora Fast Secure Roamingu
Ano
Podpora 802.11a/b/g, podporav 802.11n Draft
Ano
Možnost clustrování s dalšími bezdrátovými kontrolery
Ano
Možnost využívání šablon pro vytváření QoS a bezpečnostních politik, mobility skupin
Ano
Integrovaný radio-resource management
Ano
Detekce průniku do bezdrátové sítě, jeho lokalizace a jeho vyřešení
Ano
Mobility management
Ano
Optimalizace multicast provozu v bezdrátové síti (plný IGMP snooping)
Ano
Podpora auto-provisioningu
Ano
Rychlá detekce selhání AP (pod 4 sekundy)
Ano
Management a správa guest access – 1ks
Vyžadovaný parametr
Podpora operačního systému Windows
Ano
Podpora GUI přes HTTP/HTTPS
Ano
Hierarchické mapy zobrazující umístění AP, předpokládané šíření signálu a případně i aktuální pozice wifi klientů (notebooků, PDA, WiFi telefonů, WiFi RFID tagů apod.)
Ano
Inventory management
Ano
Centrální konfigurace bezdrátových sítí vč. bezpečnostních politik, QoS profilů
Ano
Konfigurace pomocí šablon
Ano
Centralizovaný sběr wifi událostí včetně bezpečnostních a přeposílání do nadřazeného dohledu
Ano
Nástroje pro detekci a řešení problémů v bezdrátové síti (grafy obsazenosti kanálů, grafy odpovídající provozu klientů, atd.)
Ano
8z8 Příloha č. 1 k zadávací dokumentaci na podlimitní veřejnou zakázku “Infrastruktura v nové budově SFŽP ČR“
Nástroje pro plánování sítě, rozšíření stávající a pro nové lokality
Ano
Reporting
Ano
Podpora SNMPv1, SNMPv2, SNMPv3
Ano
Možnost detekce intereference non-wifi původu
Ano
Portál pro vytváření guest účtů (tzv. Lobby ambassador)
Ano
Bezpečnostní řešení Dodané bezpečnostní řešení musí splnit (nebo převýšit) všechny technické parametry uvedené v následujících tabulách. Hardwarový firewall a VPN koncentrátor – 1ks
Vyžadovaný parametr
Podporovaný počet současně otevřených spojení
Min. 130 000
Podpora stateful failover
active/active i active/standby
Propustnost samotného firewallu
Min. 300 Mbps
Podporovaný počet nových spojení za sekundu
9000
Rozšiřitelnost firewallu o IPS funcionalitu pomocí přídavného IPS modulu
Ano
Propustnost firewallu kombinovaného s IPS
Min. 150 Mbps
Podpora virtuálních bezpečnostních kontextů (virtuálních firewallů) – možnost budoucího rozšíření
ano, dva v základu, přikoupením licence v případě potřeby až na pět
Rozhraní
min. 5x 10/100 pro data
Podporovaný počet VLAN
min. 100
Podpora IPSec VPN
Ano, zakoupená licence pro min. 250 uživatelů
Podpora SSL VPN
Ano, možnost pozdějšího rozšíření až na 250 uživatelů formou licence
Počet současných VPN spojení (i kombinovaných IPSec/SSL)
Min. 250
Propustnost 3DES/AES VPN
Min. 170 Mbps
Podpora VPN clustering a load balancing
Ano
Podpora L2 (transparentního) módu s podporou NAT a PAT
Ano
Podpora L3 (routovaného) módu s podporou NAT a PAT
Ano
Správa firewallu pomocí grafického rozhraní
Ano
Správa firewallu pomocí příkazové řádky (CLI)
Ano
Redundantní zdroj
Ano
9z9 Příloha č. 1 k zadávací dokumentaci na podlimitní veřejnou zakázku “Infrastruktura v nové budově SFŽP ČR“
Kontrola přístupu uživatelů do sítě
Vyžadovaný parametr
Podpora min. počtu uživatelů
Min. 250 uživ.
Řešení formou hw appliance a současně sw nástroje na management řešení
Ano
Identifikace uživatele
Ano
Identifikace zařízení
Ano
Kontrola stavu zařízení
Ano
Vynucení určitého stavu (instalovaný SW, aktualizace, běžící služby) před vlastním přístupem do sítě
Ano
Namapování požadavku na stav stanice po identifikaci uživatele je na jeho identitu (popř. skupinu uživatelů)
Ano
Autentizace integrovaná se single-sign-on pro VPN klienty, bezdrátové klienty, a Windows AD domény
Ano
Integrace s Kerberosem, LDAP, RADIUS, AD
Ano
Proaktivní prevence virů, červů, spyware
Ano
Automatizované vyhodnocení zranitelnosti koncové stanice (pro OS MS Windows, Mac OS, Linux-based, také non-PC zařízení)
Ano
Identifikace aplikací podle nastavení registračních klíčů, běžících služeb nebo systémových souborů
Ano
Karanténování zařízení, které není v souladu s bezpečnostními politikami
Ano
Zajištění přístupu karanténovaného zařízení ke zdrojům nápravy (servisní patche, antivirové aktualizace apod.)
Ano
Automatická aktualizace bezpečnostní politiky
Ano
Centralizovaný management přes webové GUI
Ano
Flexibilní módy nasazení (virtuální nebo skutečná IP gateway, u perimetru nebo centrální, L2 nebo L3 klientský přístup, in-band, out-of-band)
Ano
Integrace single sign-on s centrální řídící jednotkou pro bezdrátovou síť
Ano
Řešení musí umožnit, aby prostřednictvím změn nastavení sítě došlo k povolení konektivity resp. vynucení bezpečnostních politik na koncových zařízení
Ano
SW vybavení aktivních prvků musí obsahovat inteligenci potřebnou k nasazení network admission control
Ano
Použití SNMP protokolu, pro komunikaci s aktivními prvky, při nasazení v režimu out-of-band
Ano
Ověření uživatele různými metodami na stejném NAC HW (host X firemní uživatel)
Ano
Namapování identity uživatele na požadavky IT a bezpečnostní politiky organizace
Ano
Prověření stavu zařízení různými metodami (instalovaný agent X ActiveX WEB agent, Network Scan)
Ano
Autentizace oproti AD, LDAP, AAA serveru či lokálně
Ano
10 z 10 Příloha č. 1 k zadávací dokumentaci na podlimitní veřejnou zakázku “Infrastruktura v nové budově SFŽP ČR“
Možnost budoucího rozšíření řešení na kontrolu přístupu nemanagovaných zařízení, např. tiskárny, kamery, UPS atp.
Ano
Rozmístění: Rozmístění technologických místností a hrubý přehled pozičního řešení Office planu je v příloze jako náčrtek (Přílohy 1a-c).
11 z 11 Příloha č. 1 k zadávací dokumentaci na podlimitní veřejnou zakázku “Infrastruktura v nové budově SFŽP ČR“
