Příloha č. 6
1 Technické zadání Tato příloha popisuje technické řešení projektu „Konsolidace HW a SW Magistrátu města Jihlavy, zvýšení bezpečnosti“. Záruky a maintenance Hardware – pokud není specifikováno jinak, je požadována standardní záruka 24 měsíců Software – je požadováno 1 letá maintenance
1.1 Koncept řešení Tento projekt si klade za cíle:
rozšíření technologického centra o servery a systém zálohování, zvýšení bezpečnosti provozované infrastruktury prostřednictvím prvků sítě LAN a switchů,
1.1.1 Návrh a popis architektury řešení Návrh architektury řešení je v následujících podkapitolách popsán pro jednotlivé komponenty samostatně.
1.1.2 Konsolidace HW a SW úřadu včetně virtualizace aplikací, desktopů, serverů, infrastruktury Cílem projektu je, v návaznosti na nově elektronizované agendy, nákup dvou kusů nových serverů pro provoz VMWare prostředí. Tyto servery budou doplněny do současně provozované infrastruktury. Konfigurace těchto serverů je navržena tak, aby výkonově postačovala s dostatečnou rezervou pro provoz současných a nově pořizovaných agend. Zároveň je požadováno rozšíření návazných komponent, které úzce souvisí s novým vybavením (zálohovací SW apod.). Rozšíření infrastruktury o VMW servery Pro nově elektronizovanou agendu je nutné zajistit odpovídající infrastrukturu - 2 ks serverů - s parametry:
dvousocketový server o velikosti maximálně 2U, včetně rackmount kitu
2x CPU následujících parametrů:
hodnota výsledku testu CPU MARK na www.cpubenchmark.net minimálně 14475
z důvodu správného licencování provozovaných softwarových produktů na počet jader, je požadována minimální hodnota tohoto benchmarku 1809 per core (celková hodnota benchmarku dělená skutečným počtem jader procesoru)
výsledky tohoto benchmarku byly využity s ohledem na široké spektrum a aktuálnost srovnávaných modelů CPU (výsledky benchmarků, doporučených v usnesení vlády č. 763/2007 jsou pro požadovanou technologii méně vhodné)
počet jader: 8
TDP: max. 90W
instrukční sada: 64-bit
podporované paměti: DDR4 1600/1866 1
Příloha č. 6
podpora ECC pamětí
hardwarová podpora virtualizace
24x dostupných DIMM slotů, s možností osazení kapacitou až 768G, velikost celkové osazené RAM 128 GB pomocí registered 2133MT/s modulů, minimálně 16 volných slotů pro pozdější rozšíření
2x za chodu vyměnitelné redundantní napájecí zdroje
interní USB konektor
interní SD slot osazený 4GB SD kartou pro instalaci hypervisoru
prediktivní analýza poruch min. pro RAM, CPU, napájecí zdroje, disky a ventilátory
integrovaný informační panel (LED nebo LCD) s identifikací vadných popř. problémových komponent (min. pro CPU, RAM, zdroje a ventilátory)
3 PCI-e sloty s možností rozšíření na 6 PCI-e slotů
konektivita LAN 4x 10Gb s rozhraním SFP+: 2 porty na základní desce + 2 porty na síťové kartě PCI-e (nebo dvě dvouportové síťové karty)
součástí dodávky budou 4ks 10 GbE SFP+ kabelů, délky 3m
konektivita LAN 4x 1Gb
pozice pro osazení min. 8 SFF HDD
1x 8Gb 2-port PCIe Fibre Channel Host Bus Adapter
součástí dodávky budou 2ks MM duplexní Fibre Channel optický patch kabel LC-LC, délky 5m
integrovaný nezávislý procesor pro vzdálenou správu umožňující: vzdálené vypínání a zapínání serveru plně integrovanou grafickou konzoli s možností sdílení více uživateli současně připojení virtuálních médií (FDD, DVD, ISO i jejich image, USB klíče, adresáře pro čtení) podpora standartu SNMP/SSL/SSH/IPMI integrovaný nástroj pro upgrade firmware s možností automatické aktualizace od výrobce HW integrované logování stavu serveru včetně konfiguračních změn pro případné rychlé vyřešení chybových stavů
Na hardware se vztahuje 5 letá záruka v místě instalace, s odezvou následující pracovní den po nahlášení závady
Navýšení licencí Veeam Backup & Replication Enterprise for VMware Jedním z klíčových požadavků na provozuschopnost, jenž se promítá do požadavků bezpečnosti, je požadavek na zajištění stanovené doby odezvy a obnovy funkčnosti provozovaných agend. Pro pokrytí zjištěných požadavků dostupnosti je nezbytné zajistit rozšíření vhodného zálohovacího systému, jak pro zálohování a archivaci dat/databází, tak pro zálohu instalačních sad/médií, „obrazů“ disků, konfigurací a nastavení, ať už se jedná o virtualizované nebo fyzické prostředí, o způsob on-line nebo off-line zálohování a ukládání záloh v diskovém úložišti či na zálohovací knihovny, s dostatečnou kapacitou pro předpokládaný objem, četnost a frekvenci zálohování, s dostatečným výkonem a propustností, s ochranou proti výpadku, s možností vzdáleného řízení a správy. Neodmyslitelnou součástí celého systému zálohování je požadavek testování správnosti, čitelnosti a obnovitelnosti záloh včetně zabezpečení zálohovaných dat v záložních úložištích a řešení bezpečné skartace.
2
Příloha č. 6 Jako optimální se jeví rozšíření stávajícího systému Veeam Backup & Replication Enterprise for Vmware (pořízený v rámci IOP č. 6) o licence pro dalších 6 CPU. Jedná se o následující položky: 6 ks licencí per socket: PN: P-VBRENT-VS-P0000-00 Název: Veeam Backup & Replication Enterprise for VMware - Public Sector Navýšení licencí IBM Tivoli Storage Manager Vzhledem k tomu, že je v současnosti používán systém IBM Tivoli Storage Manager je požadováno jeho doplnění o následující licence: 56 ks licencí PN: D56FULL Název: IBM Tivoli Storage Manager 10 Processor Value Units (PVUs) License + SW Subscription & Support 12 months Databázová platforma Je požadováno pořízení licence MS SQL serveru v nejnovější verzi dostupné na trhu v okamžiku podání nabídky pro 4 jádra CPU - pro efektivní správu a ukládání dat. Databázová platforma Microsoft SQL Server Standard je požadována z důvodu kompatibility, bezproblémové a efektivní migrace dat ze stávajícího systému řízení báze dat.
Přídavné baterie Pro prodloužení doby zálohování napájení je požadováno rozšíření stávajících UPS EATON POWERWARE 9155 o externí bateriové moduly: 2 ks modulů PN: 1022561 Název: Eaton External Battery Modul (EBM) 64x7Ah pro 9155 Z důvodu zamezení diskriminace uchazečů, je přípustné, aby bylo nabídnuto kompletní nahrazení záložních zdrojů novými. Je však nutné splnit minimální požadavky, které splňují stávající záložní zdroje plus požadované rozšíření o přídavné baterie. Jedná se především o následující parametry (platí pro 1ks, nutno nabídnout 2ks):
Vstupní napětí třífázové 400V 50Hz 12A (přívod jištěn jističem 3x16A)
Výstupní napětí jednofázové 230V 50Hz
Výstupní výkon min 8kVA/7,2kW
Doba provozu na záložní baterie při plném zatížení - minimálně 49 minut
Síťové rozhranní pro SNMP monitoring
Jako součást dodávky je požadována instalace dodávaných zařízení dle zvolené varianty řešení dodavatele.
3
Příloha č. 6
1.1.3 Zvýšení bezpečnosti a bezpečnostní infrastruktura TC ORP Vzhledem k tomu, že MMJ plánuje v rámci návazných projektů pořízení centrálního systému pro ověřování uživatelů přistupujících do sítě (802.1x), je nutné, aby byla síťová infrastruktura pro toto nasazení připravena. Nově pořizované přepínače, kromě zvýšení zabezpečení, umožní efektivnější přístup ke službám TC a dalším centrálním systémům. Stane se tak díky navýšení propustnosti konektivity po celé cestě mezi uživatelem a serverem (1Gb a 10Gb linky), díky konfiguraci mechanismů QoS a také díky zvýšení odolnosti vůči výpadkům.
Návrh řešení Cílem modernizace LAN infrastruktury je vybudování jednotné unifikované přístupové platformy, která umožní bezpečný přístup uživatelů k centrálním systémům. Díky unifikaci vlastností bude možné zavádět pokročilé systémy řízení přístupu na základě uživatelských rolí, časů přístupů, použitého média či na základě koncového zařízení. Klíčovými společnými aspekty takovéto infrastruktury musí být:
podpora moderních technologií (1Gb ethernet, 10Gb ethernet, QoS, …) flexibilita možných nasazení (ve stejné řadě přepínačů varianty PoE a bez PoE, více kombinací portů apod.) snadná správa zařízení (všechny přepínače musí podporovat centrální správu pomocí SNMP protokolu) připravenost na nasazení řízení přístupu uživatelů (802.1x, MAC based autentifikace, izolace VLAN, …)
Pro zajištění snadné správy požadujeme, aby přepínače byly kompatibilní s dalšími součástmi sítě (dle specifikace níže). Pro zajištění správného ověřování uživatelů je vyžadováno, aby přepínače podporovaly mechanismy dle protokolu 802.1x (varianta multiple supplicant na jednom portu – MAC based). Propojení přepínačů bude realizováno pomocí agregovaných spojů pomocí 10Gb ethernet portů (2x 10Gb nebo 4x 10Gb).
Páteřní přepínače LAN Tyto přepínače budou sloužit k připojení klíčových komponent infrastruktury. Jedná se o servery, firewally, management systémy a také o stohy přístupových přepínačů. Na přepínačích se bude odehrávat inter-VLAN směrování, nastavování QoS politik a ACL pravidel. Je požadováno, aby tyto přepínače podporovaly stohování pomocí vysokorychlostních rozhraní. Minimální počet takovýchto přepínačů, které lze v budoucnu zapojit do stohu je 10ks. Je požadováno, aby v rámci stohu bylo možné vytvořit agregované linky (LACP) mezi jednotlivými členy stohu, rovněž je požadováno, aby směrovací proces byl sdílen a v případě výpadku jednoho z přepínačů došlo k transparentnímu přepnutí na druhé zařízení. Vzhledem k tomu, že v rámci MMJ bude v době realizace nasazena IP telefonie, je požadováno, aby nově dodané přepínače disponovaly podporou mechanismů PoE+ a LLDP. IP telefonie je realizována v rámci projektu „Komunikační infrastruktura Statutárního města Jihlavy“ z výzvy 09. V rámci realizace byly vysoutěženy a jsou dodávány přepínače HP 3800 24G POE+-2XG. Současně také v rámci tohoto projektu je realizován systém monitoringu a managementu sítě LAN HP IMC. Z důvodů kompatibility a požadované možnosti integrace do stávajícího managementu prostředí HP požadujeme páteřní přepínače splňující technické požadavky popsané níže. Pro pokrytí specifických požadavků v jednotlivých částech sítě MMJ jsou zapotřebí následující varianty přepínačů: Počet 1Gb PoE+ portů
Počet portů
10Gb
SFP+ uplink
PoE power budget
Počet kusů přepínačů
min. 48
min. 4
min. 1000W
17
min. 24
min. 2
min. 700W
3
4
Příloha č. 6 Minimální technické parametry:
Počet portů dle specifikace výše Dualstack IPv4 a IPv6 Podpora 802.1x Automatické přiřazení hlasové VLAN Možnost osazení redundantním napájecím zdrojem Neblokující přepínaná architektura Podpora Syslog Podpora PoE+ na všech portech dle standardu IEEE 802.3at s dostupným výkonem min. 1000 W u 48 portové varianty a 720 W u 24 portové varianty Výměna napájecích zdrojů za provozu (hot-swap) Propustnost L2/L3 přepínacího systému min 88 Gb/s pro 24 portovou variantu Propustnost L2/L3 přepínacího systému min 176 Gb/s pro 48 portovou variantu Paketový výkon přepínače min 65 Mpps pro 24 portovou variantu Paketový výkon přepínače min 130 Mpps pro 48 portovou variantu Všechny porty jsou neblokující (wire-speed) Možný počet přepínačů ve stohu min 10 Podpora stohování až do počtu 10ks fyzických přepínačů Propustnost stohování min 320 Gb/s Podpora stohovacích topologií ring, chain, mesh Virtuální zařízení podporuje distribuované přepínání paketů Virtuální zařízení podporuje funkce: single-IP management, spanning tree Virtuální zařízení podporuje směrovací protokoly: RIP, OSPF, BGP, OSPFv3 Seskupení portů (IEEE 802.3ad) mezi různými prvky stohu Podpora IEEE 802.3-2005 Podpora "jumbo rámců" do velikosti 9216 Byte Podpora linkové agregace podle IEEE 802.1AX Podpora linkové agregace přes více různých slotů Počet LACP skupin min. 24 Počet linek v jedné LACP skupině min. 8 Podpora VLAN podle IEEE 802.1Q Podpora minimálně 4000 VLAN ID Počet aktivních VLAN min. 2000 Podpora MAC-based VLAN Podpora GARP VLAN registration protokol Počet záznamů v MAC adres tabulce min 64 000 IEEE 802.1s - Multiple spanning tree IEEE 802.1w - Rapid spanning Tree STP instance per VLAN s 802.1Q tagováním BPDU (například PVST+) IEEE 802.1p - Minimální počet front 8 Podpora 802.1ad QinQ Detekce protilehlého zařízení, např. LLDP Podpora CDPv2 nebo ekvivalent SNTP podle RFC 2030 DNS klient pro IPv4 a IPv6 DHCP klient pro IPv4 a IPv6 DHCP relay pro IPv4 a IPv6 DHCP relay včetně DHCP option 82 Podpora zapouzdření provozu: 6in4 IPv4 a IPv6 statické směrování Dynamické směrování RIPv2 5
Příloha č. 6
Dynamické směrování OSPF, OSFPv3 a BGPv4 Policy based routing Podpora VRRP podle RFC 3768 Počet záznamů ve směrovací tabulce unicast min 10 000 IGMP snooping, MLD snooping, IGMP, MLD v2, PIM-DM, PIM-SM Hardware podpora IPv4 a IPv6 ACL ACL klasifikace na základě L2-L4 minimálně na úrovni zdrojová/cílová MAC adresa, zdrojová/cílová IPv4/v6 adresa, číslo zdrojového/cílového portu, protokol, číslo VLAN ACL na základě skupiny fyzických portů BPDU guard Root guard Podpora ochrany proti zahlcení (broadcast/multicast storm control) nastavitelná na procentuální rychlost portu a kbps ICMP rate-limiting DHCP snooping pro IPv4 Podpora 802.1X ověřování včetně více uživatelů per-port. Minimálně 32 ověřených uživatelů na port Podpora mac-based ověřování Podpora web-based ověřování Podpora dynamického zařazování do VLAN a přidělení QoS podle RFC 4675 Podpora Guest VLAN Dynamic ARP protection Port security RA Guard pro IPv6 Podpora IPv4 a IPv6 QoS Ochrana control plane před útoky typu DoS RJ45 sériový konsole port SSHv2 pro IPv4 a IPv6, CLI rozhraní, podpora SFTP, SNMPv2c, SNMPv3 Podpora dvou nezávislých verzí operačního systému - Dual flash image USB port pro diagnostiku, přenos konfigurace a firmware Podpora TACACS+ Podpora Radius pro IPv4 a IPv6 Lokální port mirroring (SPAN) Vzdálený port mirroring (RSPAN) Podpora zrcadlení provozu na základě přístupových filtrů: Mac-adress, VLAN, ACL (traffic mirroring) Podpora více monitorujících portů současně, minimálně čtyř - pro připojení rozdílných analyzačních nástrojů Podpora technologie monitoringu provozu sFlow podle RFC 3176 Podpora HTTP Redirect pro BYOD Podpora protokolu OpenFlow min v. 1.3 Podpora na HW v úrovni 9x5xNBD po dobu min. 5 let Nárok na nové verze OS přepínačů po dobu min. 5 let Součástí každého přepínače budou rovněž 2ks (jeden pár) SFP+ optických modulů kompatibilních s dodávaným HW. U 3 přepínačů z celkového množství budou součástí moduly pro dvojici vláken multimode, u zbývajících pak moduly pro jedno single mode vlákno.
Přístupové přepínače Přístupové přepínače nahradí současné nevyhovující přepínače a umožní tak bezproblémové fungování nových systémů, jako jsou nově zprovozňované služby TC, bezpečnostní mechanismy v LAN apod. Požadujeme přepínače, které budou disponovat potřebným počtem gigabitových ethernet portů, zároveň musí podporovat směrování a 802.1x ověřování včetně MAC-based autentizace (multiple supplicant na portu). Pro 6
Příloha č. 6 zjednodušení správy je nutnou podmínkou schopnost začlenění do centrálního monitoringu pomocí protokolu SNMP. Přístupové přepínače jsou určeny k nasazení v kancelářích uživatelů. Některé budovy magistrátu mají nedostatečnou infrastrukturu strukturované kabeláže a kanceláře mají nedostatečný počet zásuvek pro připojení k datové síti. Přístupové přepínače budou většinou montovány přímo k pracovním stolům uživatelů. Klíčovou vlastností požadovaných přepínačů je tichý chod bezventilátorového provedení bez hlukové zátěže uživatelů. K přepínačům budou připojovány jak IP telefony, tak počítače uživatelů. Vzhledem k očekávané zátěži přepínačů potřebujeme moderní a výkonný přepínač. Rovněž požadujeme kompatibilitu a možnost snadné integrace do stávajícího managementu prostředí sítě LAN (HP IMC). Z těchto důvodů se jako ideální jeví přepínače HP 1920-8G POE+ (65 W) nebo obdobný síťový prvek, vyhovující požadavkům popsaným výše a současně splňující minimální technické parametry uvedené níže. Je požadováno dodání 50 kusů přepínačů, které musí splňovat následující (minimální) parametry:
Min. 8x 10/100/1000 ethernet porty + min. 2x 100/1000 SFP šachty Podpora PoE+ dle standardu IEEE 802.3at s dostupným celkovým výkonem min. 65 W Tichý chod - bezvětrákové provedení Podpora statického směrování IPV4 a IPV6 L3 statické směrování s 32 trasami Podpora QoS Automatické přiřazení hlasové VLAN Propustnost: min. 13.4 Mpps Přepojovací kapacita: min. 18 Gbps Velikost MAC Address Table min 8000 záznamů Protokol vzdáleného přístupu SNMP 1, RMON 2, Telnet, SNMP 3, SNMP 2c, HTTP, HTTPS, CLI Podpora DHCP, automatické vyjednávání, podpora ARP, seskupování, podpora VLAN, zrcadlení portů Podpora Spanning Tree Protocol (STP), Rapid Spanning Tree Protocol (RSTP), podpora MSTP (Multiple Spanning Tree Protocol,Access Control List (ACL) podpora,Quality of Service (QoS) Podpora Jumbo Frames Podpora RADIUS network logins Standardy IEEE 802.3, IEEE 802.3u, IEEE 802.3i, IEEE 802.3z, IEEE 802.1D, IEEE 802.1Q, IEEE 802.3ab, IEEE 802.1p, IEEE 802.3af, IEEE 802.3x, IEEE 802.3ad (LACP), IEEE 802.1w, IEEE 802.1x, IEEE 802.3ac, IEEE 802.1s, IEEE 802.1ab (LLDP), IEEE 802.3 Podpora na HW v úrovni 9x5xNBD po dobu min. 5 let Nárok na nové verze OS přepínačů po dobu min. 5 let
7