S p e c y f I k a c j a



Pobieranie 329 Kb.
Data23.03.2020
Rozmiar329 Kb.


Załącznik nr 1

do Specyfikacji Istotnych Warunków Zamówienia

nr PN-19/16
Załącznik nr 1

do umowy nr PN-19/16
SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA/OFERTY.
1. Informacje podstawowe:

1.1. Oprogramowanie:

l.p.




kolumna wypełniana przez WYKONAWCĘ

1.

nazwa




2.

producent




1.2. Punkty dostępowe:

l.p.




kolumna wypełniana przez WYKONAWCĘ

1.

nazwa typ – model




2.

producent




3.

rok produkcji – nie starsze niż 6 miesięcy, urządzenie fabrycznie nowe, nieużywane





1.3. Przełączniki brzegowe:

l.p.




kolumna wypełniana przez WYKONAWCĘ

1.

nazwa typ – model




2.

producent




3.

rok produkcji – nie starsze niż 6 miesięcy, urządzenie fabrycznie nowe, nieużywane





1.4. Rozbudowa posiadanego przełącznika centralnego:

l.p.




kolumna wypełniana przez WYKONAWCĘ

1.

nazwa typ – model




2.

producent




3.

rok produkcji – nie starsze niż 6 miesięcy, urządzenie fabrycznie nowe, nieużywane





2. Dostawa urządzeń, konfiguracja i uruchomienie sieci bezprzewodowej o następujących właściwościach:
Poniższe warunki graniczne stanowią wymagania odcinające. Nie spełnienie nawet jednego z poniżej wymienionych wymagań spowoduje odrzucenie oferty.
ZAMAWIAJĄCY zastrzega sobie prawo weryfikacji deklarowanych parametrów z użyciem wszelkich dostępnych źródeł, w tym zapytanie bezpośrednio u producenta sprzętu.



Lp.

Wymagania



Sieć bezprzewodowa wdrożona w konfiguracji: kontroler WLAN i punkty dostępowe (AP).



Instalacja kontrolera w formie wirtualnej maszyny działającej w środowisku VMware ESXi oraz Hyper-V.



Kontroler odpowiada za scentralizowane zarządzanie i konfigurację punktów (dostępowych pojedynczo lub zbiorczo, z podziałem na rodziny modeli bądź grupy AP).



Kontroler obsługuje jednocześnie różne mechanizmy przekazywania ruchu od punktów dostępowych do sieci: routing, tunelowanie ruchu z AP do kontrolera i zamykanie ruchu na AP.



Wspomniane mechanizmy wraz z VLAN-em oraz QoS (802.1p, rate-limit, ToS/DSCP) dostępne do skonfigurowania per SSID, per rola użytkownika (ujednolicona, oparta na rolach kontrola dostępu do sieci bezprzewodowej) i per przepływ (parametry L2-L4) w ramach danej roli użytkownika co oznacza, że rozwiązanie WLAN obsługuje przypisywanie indywidualnych parametrów obsługi ruchu poszczególnych użytkowników bez konieczności segmentacji różnych grup przez dedykowane SSID.



Same parametry QoS i ACL możliwe do zmiany dla dowolnego użytkownika „w locie”, tj. bez zrywania istniejących sesji.



Rozróżnianie pakietów realizowane zarówno dla przychodzących jak i wychodzących pakietów z sieci bezprzewodowej.



Kontroler posiada zintegrowany i dowolnie modyfikowalny portal dostępowy (captive portal) dla realizacji dostępu (dostęp gościnny, 802.1X – EAP-MD5, PAP, CHAP, MS-CHAPv2; dostęp z użyciem wcześniej utworzonych kont gościnnych).



Możliwość przypisania portalu dostępowego (dostępnego przez HTTP lub HTTPS) jako metody uwierzytelniania do dowolnej sieci WLAN. Z innych metod uwierzytelniania do przypisania do WLAN-u kontroler obsługuje 802.1X, autentykację MAC, zewnętrzny portal dostępowy (realizowany przez np. systemy NAC), portal splash (sam regulamin do akceptacji przed uzyskaniem dostępu) oraz zewnętrzny portal dostępowy o ograniczonej liczbie wykorzystywanych portów dla łatwiejszego puszczania ruchu kontrolnego przez firewall i sieć publiczną.



Regulamin wyświetlany użytkownikowi do akceptacji. Zamawiający ma możliwość jego wprowadzenia i modyfikację.



Administrator lub uprawniony użytkownik ma możliwość utworzenia tymczasowego konta gościnnego o określonych ramach czasowych i dostarczenia danych logowania w formie wydruku.



Administrator ma możliwość dowolnego określenia długości i złożoności hasła, w tym wielkości znaków, obecności cyfr, liter, znaków specjalnych, oraz wzorca dla generowanego hasła.



Sieć bezprzewodowa charakteryzuje się mechanizmami służącymi zapewnieniu jak najwyższej dostępności i wydajności transmisji radiowej. Szczegółowe wymagane parametry podane są od punktu 14 do 21 włącznie.



W przypadku awarii jednego punktu dostępowego, sąsiednie punkty dostępowe powinny rozszerzyć swój zasięg dla uzupełnienia pokrycia na czas awarii nawet w sytuacji, gdy punkt dostępowy nie może uzyskać dostępu do kontrolera.



System posiada funkcję zarządzania łącznością radiową, polegającą na balansowaniu terminalami mobilnymi pomiędzy modułami radiowymi punktu dostępowego oraz pomiędzy samymi punktami dostępowymi.



Dostępna jest automatyczna analiza widma transmisyjnego z detekcją zakłóceń pochodzących od innego typu urządzeń pracujących na paśmie 2,4GHz (np. urządzenia Bluetooth, mikrofalówki) wraz z mechanizmami zmniejszenia wpływu tych zakłóceń na pracę sieci (np. zmiana kanału, zwiększenie mocy transmisji).



Kontroler i AP, które charakteryzują się płynnym roamingiem miedzy AP (bez zrywania sesji użytkownika) i między kontrolerami.



System zapewnia równy procent czasu transmisji, co ma na celu zniwelowanie znacznego obniżania uzyskiwanych prędkości połączenia dla terminali z technologią np. IEEE 802.11n/ac przez współwystępujące w sieci terminale z technologią IEEE 802.11a/b/g.



Architektura WLAN oferuje automatyczną ochronę typu Wireless IPS, która będzie wykrywać i aktywnie chronić przed zagrożeniami takimi jak wrogie punkty dostępowe, sieci typu ad hoc, spoofing MAC, punkty dostępowe typu Internal Honeypot, External Honeypot itp.



System chroni przed atakami typu DoS, w tym takimi jak wysyłanie dużej liczby fałszywych ramek asocjacji, zalew poleceniami unieważnienia uwierzytelnienia lub deasocjacji, zalew wiadomościami protokołu EAPOL.



Możliwość lokacji zagrożeń na mapie obiektu z poziomu systemu zarządzania siecią.



Dla regulowania dostępu do sieci wymagane jest, aby administrator miał możliwość określenia czasu ważności sesji (asocjacji) oraz czasu ważności sesji przy braku aktywności terminala (idle timeout).



W ramach sieci WLAN konieczne jest wsparcie dla mechanizmów takich jak IEEE 802.11i, WPA, WPA2, AES, TKIP, WMM, U-APSD, OKC, IPsec, 802.11k, 802.11r, 802.11w.



Kontroler umożliwia lokację podłączonych i niepodłączonych urządzeń bezprzewodowych w oparciu o siłę sygnału i triangulację.



Dla zagwarantowania analizy działania sieci lokalnej na poziomie warstwy aplikacji w przyszłości, kontroler posiada funkcję generowania raportów NetFlow i wysyłania ich wraz z pierwszymi pakietami każdego przepływu do systemu analitycznego.



Kontroler WLAN umożliwia konfigurację pary wysokiej dostępności, gdzie w razie awarii jednego z kontrolerów (lub braku połączenia z nim) drugi kontroler przejmie kontrolę nad punktami dostępowymi dotychczas obsługiwanymi przez ten pierwszy.



Możliwość utworzenia pary wysokiej dostępności z kontrolera wirtualnego i fizycznego jednocześnie.



W razie utworzenia pary wysokiej dostępności, nie powinno być wymagane zakupienie drugiego kompletu licencji dla zarządzania punktami dostępowymi przez zapasowy kontroler przez czas awarii.



Kontroler umożliwia wdrożenie zgodne ze specyfikacją WFA Hotspot 2.0.



Zarządzanie kontrolerem możliwe jest zarówno przez protokoły Telnet/SSH, jak i przez dedykowany interfejs graficzny dostępny poprzez przeglądarkę internetową.



Dla potrzeb systemu zarządzania siecią wymagane jest zarządzanie przez SNMPv2c/v3.



Kontroler WLAN w pełni współpracuje z dostarczanymi AP, systemem zarządzania siecią i systemem kontroli dostępu do sieci (Network Access Control).


Dostarczenie i montaż wraz z podłączeniem 72 punktów dostępowych.



Punkty dostępowe co najmniej dwuradiowe (radio 2,4 GHz i 5 GHz), obsługujące standardy IEEE 802.11 do 802.11ac włącznie.



Możliwość określenia częstotliwości transmisji dla każdego modułu radiowego.



Punkt dostępowy pracuje z wykorzystaniem technologii MIMO, w konfiguracji nie gorszej niż 3x3:3, z wydajnością AP deklarowaną na poziomie minimum 1,6 Gbps (w tym 1300 Mbps na częstotliwości 5 GHz).



Dla lepszego wykorzystania możliwości transmisji w standardzie 802.11ac w przyszłości, należy dostarczyć AP posiadające więcej niż jeden port uplink Gigabit Ethernet z możliwością agregacji łączy w trybie active/active i active/passive.



AP działa z pełną deklarowaną wydajnością przy zasilaniu z wykorzystaniem mechanizmu PoE zgodnym ze standardem 802.3af.



Jeden AP obsługuje co najmniej 300 terminali jednocześnie.



Możliwość utworzenia co najmniej 16 sieci bezprzewodowych (oddzielne SSID z domyślnym wzorcem obsługi ruchu, metodą szyfrowania, uwierzytelniania i mechanizmami QoS takimi jak WMM).



AP poza świadczeniem usług w normalnym trybie dostępowym, pracuje w konfiguracji kratowej (mesh, WDS) z jednoczesnym świadczeniem usług i pośredniczeniem w transmisji między AP.



Punkty dostępowe w pełni zintegrowane są z dostarczonym kontrolerem i powinny posiadać zaimplementowane funkcje wcześniej wymienione, takie jak różne mechanizmy przekazywania ruchu, egzekwowanie VLAN/QoS/ACL per SSID, per użytkownik i per przepływ, uwierzytelnianie użytkowników, rozróżnianie pakietów przychodzących i wychodzących, szyfrowanie, load-balancing, równoważenie czasu antenowego, WIPS itp.



Ruch danych kontrolnych lub danych użytkownika przy zamykaniu ruchu na kontrolerze odbywa się przez bezpieczny tunel szyfrowany co najmniej z użyciem AES 128-bit.



W zakresie bezpieczeństwa niezbędna jest możliwość izolacji klientów na poziomie warstwy 2 uniemożliwiając wtedy podłączonym urządzeniom komunikację między sobą.



W zakresie WIPS wymagane jest, aby AP był w stanie pełnić jednocześnie rolę sensora WIPS i świadczyć usługi, z możliwością przestawienia go w tryb pracy wyłącznie sensora WIPS skanującego całe pasmo radiowe.



Punkty dostępowe obsługują suplikanta 802.1X.



Punkty dostępowe przechwytują w czasie rzeczywistym ruchu pojawiającego się na modułach radiowych lub portach uplink przez ustalony czas do celów rozwiązywania problemów z wykorzystaniem narzędzi do analizy pakietów takich jak Wireshark.



W razie awarii kontrolera WLAN lub połączenia z nim, punkt dostępowy dalej realizuje wszystkie funkcje zgodnie z ostatnią wgraną konfiguracją od kontrolera.



Dla zagwarantowania analizy działania sieci lokalnej na poziomie warstwy aplikacji w przyszłości, punkty dostępowe posiadają funkcję generowania raportów NetFlow i wysyłania ich wraz z pierwszymi pakietami każdego przepływu do kontrolera WLAN, który pośredniczyłby w procesie dostarczania ruchu do systemu analitycznego.



Do instalacji punktu dostępowego nie powinny być wymagane żadne czynności konfiguracyjne dokonywane na AP (instalacja plug’n’play).



AP automatycznie wykrywa kontroler i podłącza się do niego celem pobrania aktualnego firmware oraz obowiązującej konfiguracji.

Systemy zarządzania siecią.



Obecnie w infrastrukturze występuje system zarządzania siecią Extreme Networks NetSight umożliwiający zunifikowane zarządzanie siecią LAN/WLAN. Przedmiotem zamówienia jest rozbudowa tego systemu o dedykowane API pozwalające na integrację systemu z urządzeniami innych producentów takimi jak firewall, oraz o funkcjonalność związaną z mapami sieci bezprzewodowej. Konieczna jest rozbudowa funkcji systemu o możliwość lokacji opartej o triangulację z podglądem przemieszczania się terminala w czasie, dodawanie własnych planów pięter, wyświetlanie symulacji pokrycia zasięgiem sieci bezprzewodowej z możliwością podglądu wykorzystanych kanałów 802.11 lub uzyskiwanych prędkości transmisji na danym planie piętra całościowo lub dla konkretnych punktów dostępowych i modułów radiowych.



Wykonawca może zaoferować inny system zarządzania siecią, który będzie spełniał wymogi określone w punktach od 53 do 76.



System zarządzania siecią (NMS) jest narzędziem umożliwiającym centralne wykonywanie operacji systemowych (jak np. wykrywanie urządzeń, zarządzanie zdarzeniami, rejestrowanie zdarzeń, utrzymanie systemu).



Zapewnia scentralizowane zarządzanie wszystkimi urządzeniami aktywnymi LAN i WLAN. Wymaga się wsparcia zdalnego zarządzania dla wszystkich urządzeń sieciowych producenta w pełnym zakresie, jak również dowolnych urządzeń innych producentów zarządzanych przez SNMP i Telnet/SSH w zakresie określonym standardami; poza standardowymi obszarami baz MIB istnieje możliwość importowania baz MIB-I i MIB-II dla danego urządzenia celem dostosowania systemu NMS dla celów zarządzania.



Możliwość prostego doposażenia systemu NMS w skrypty pozwalające w taki sam sposób wykonywać kopie zapasowe konfiguracji, aktualizację firmware czy zdalny restart urządzenia innych producentów jak urządzenia tego samego producenta co dostarczany system zarządzania.



System NMS zapewnia możliwość monitorowania całej sieci urządzeń aktywnych i wdrażania w niej konfiguracji VLAN.



Śledzenie atrybutów urządz zainstalowanych w sieci, takich jak numer seryjny, etykieta zasobu, wersja firmwareu.



System zarządzania siecią posiada interfejs przeglądarkowy zawierający narzędzia do raportowania, monitorowania, rozwiązywania problemów i panele zarządzania. Interfejs zawiera elastyczne widoki, widoki urządzeń, raporty (predefiniowane i edytor własnych), podgląd i konfigurację alarmów oraz dzienniki zdarzdla całej infrastruktury.



System NMS gromadzi dane statystyczne z urządzeń aktywnych (jak statystyki ruchu na portach przełącznika) pozwalając je wyświetlać w formie wykresów.



Administrator (uwierzytelniany lokalnie lub przez RADIUS/LDAP, z modyfikowalnym zakresem uprawnień) wykonuje ad hoc lub planuje jednorazowe i cykliczne zadania utrzymaniowe takie jak kopia zapasowa konfiguracji, restart urządzenia, wykonanie skryptu na urządzeniu, wygenerowanie raportu i wysłanie e-mail do administratora.



W zakresie zarządzania konfiguracją system NMS umożliwia gromadzenie plików konfiguracyjnych jednego lub wielu urządzeń w bazie systemu lub na dedykowanym serwerze.



Prezentowanie szczegółowych informacji o konfiguracji: data, godzina, wersja firmwareu, wielkość pliku konfiguracyjnego. Podgląd pliku konfiguracyjnego i porównania go z dowolną inną zarchiwizowaną konfiguracją analizowanego urządzenia. Możliwość użycia szablonów konfiguracji w formacie tekstowym.



W zakresie zarządzania firmware system zarządzania siecią umożliwia pobieranie oprogramowania do jednego lub wielu urządzeń jednocześnie.



Możliwość pobierania obrazów BootPROM do jednego lub wielu urządzeń jednocześnie.



Dla wszelkich operacji zarządzania jest możliwość ich wykonania na danym urządzeniu bądź grupie urządzeń.



System umożliwia ręczne i automatyczne grupowanie urządzeń wg dowolnego kryterium, jak model urządzenia, podsieć IP, lokalizacja itp.



System NMS posiada funkcję podglądu i wyboru obiektów z bazy MIB w reprezentacji opartej na drzewie, z możliwością definiowania widoków zawierających obiekty o określonych OID.



Dla obiektów typu read-write jest możliwość nadpisania ich wartości z poziomu systemu zarządzania.



System zarządzania siecią pozwala na wyświetlenie topologii sieci opartej o zarządzane urządzenia, uzupełnianej automatycznie o łącza wykrywane przez mechanizmy takie jak choćby LLDP, z dynamicznym podglądem stanu łącza.



Topologia jest możliwa do utworzenia na mapie geograficznej lub planie Zachodniopomorskiego Centrum Onkologii.



Wyświetlanie topologii fizycznej jak i logicznej. Eksport wygenerowanego widoku topologii do grafiki wektorowej.



System NMS posiada widok danych uzyskanych przez system NAC.



Wyświetlanie fizycznej lokalizacji systemów i użytkowników końcowych oraz miejsca ich podłączenia do sieci.



Dla zagwarantowania analizy działania sieci lokalnej na poziomie warstwy aplikacji w przyszłości, system NMS umożliwia diagnozowanie problemów sieciowych i wydajności oraz widzianych w sieci przepływów i aplikacji stanowiąc interfejs gromadzący dane o warstwie aplikacji z systemu analityki opartej o protokół NetFlow.



System NMS musi być dostarczony w formie maszyny wirtualnej działającej w środowisku VMware i Hyper-V.



System umożliwia zarządzanie minimum 50 urządzeniami rozumianymi jako adres IP (przełącznik/stos/brama NAC itp.) i 500 AP, z opcją rozbudowy do minimum 100 adresów IP i 1000 AP.



Dodatkowo wymaga się dostarczenia i konfiguracji systemu kontroli dostępu do sieci (NAC) w postaci wirtualnej maszyny działającej w środowisku VMware ESXi oraz Hyper-V działającego w koncepcji out-of-band. Szczegóły konfiguracji podane są w tabeli w punktach od 125 do 132.



System NAC umożliwia uwierzytelnianie użytkowników i urządzeń podłączanych do sieci lokalnej (LAN, WLAN) z wykorzystaniem IEEE 802.1X, adresu MAC i portalu dostępnego przez przeglądarkę internetową.



Automatyczne wykrywanie systemów końcowych i śledzenie ich położenia poprzez identyfikowanie nowych adresów MAC i IP, nowych sesji uwierzytelniających (802.1X, web, Kerberos) lub żądań RADIUS pochodzących z przełączników dostępowych. Konieczne jest rozpoznawanie przez system NAC rozpoznawanie rodzaju urządzeń podłączonych do sieci przez analizę informacji pochodzących co najmniej z DHCP, HTTP, RADIUS, NMAP, DNS, SNMP.



W interfejsie zarządzania przedstawiony jest szczegółowy obraz wykrytych, podłączonych i próbujących podłączyć się, urządzeń końcowych z możliwością ich dodawania do grupy urządzeń, usuwania z systemu, wymuszania ich ponownego uwierzytelnienia.



System umożliwia tworzenie reguł kontroli dostępu opartych o złożone i wielowarunkowe reguły profili bezpieczeństwa, pozwalając decydować o poziomie uprawnień dostępu do sieci dla użytkownika na podstawie kryteriów takich jak użytkownik/grupa użytkowników (lokalna baza NAC, RADIUS, LDAP/AD), rodzaj urządzenia (urządzenia Android, Apple iPad/iPhone/iPod, drukarki, telefony IP, Windows, MAC OS, Linux), platforma urządzenia, grupa urządzeń (hostname, MAC, IP), lokalizacja w sieci, metoda uwierzytelniania, czas uwierzytelniania z dokładnością do dnia tygodnia i godziny.



System aktywnie zapobiega przed dostępem do sieci użytkowników nieautoryzowanych. Istnieje możliwość współpracy z rozwiązaniem Microsoft NAP.



Na cele przyszłej rozbudowy wymaga się, aby system umożliwiał rozbudowę o funkcjonalność skanowania systemów końcowych (z wykorzystaniem oprogramowania typu agent i bez niego) dla potrzeb procesów oceniania, kwarantanny i korygowania podłączanych systemów końcowych.



Systemy nie spełniające restrykcji w zakresie zgodności i podatności (weryfikowanej przy pierwszym uwierzytelnianiu i cyklicznie w czasie pracy urządzenia w sieci) zostają poddane kwarantannie (odseparowane od pozostałych zasobów sieci) z przekazaniem informacji użytkownikowi o naruszeniu polityki bezpieczeństwa wraz ze wskazówkami odnośnie skorygowania zgodności.



W ramach oceniania wymaga się możliwości stwierdzenia istnienia konkretnych kluczy w rejestrze o określonej wartości, istnienia konkretnych plików, działania konkretnych procesów bądź usług, aktualności systemu operacyjnego i oprogramowania antywirusowego, istnienia konkretnych programów w przystawce „Dodaj/Usuń programy”, a także skanowania portów sieciowych urządzenia w celu wnioskowania redukcyjnego o działaniu konkretnych usług bądź występowaniu konkretnych podatności w systemie końcowym.



Poszczególne naruszenia polityki bezpieczeństwa mają określoną, modyfikowalną punktację, której suma przy przekroczeniu ustalonego progu świadczy o konieczności powiadomienia administratora i przesunięciu systemu końcowego do kwarantanny.



Dla dopuszczonych do sieci użytkowników system NAC pozwala na określenie czasu ważności sesji uwierzytelniania, po którym nastąpi wymuszenie na przełączniku lub punkcie dostępowym ponowne uwierzytelnianie.



System kontroli dostępu do sieci umożliwia realizację dostępu pracowników i gości do sieci LAN/WLAN przy pomocy modyfikowalnego (arkusze stylów, grafika, tekst) portalu przeglądarkowego, dostępnego na komputery i urządzenia mobilne (wersja responsywna).



System posiada funkcję portalu rejestracyjnego, aby zapewnić bezpieczne korzystanie z sieci przez gości, bez dodatkowego angażowania pracowników Zamawiającego.



Możliwość pre-rejestracji (utworzenie kont gościnnych i wydrukowanie danych dostępu), rejestracji samodzielnej gościa, dodawania przez gościa innych urządzeń własnych (z możliwym do określenia limitem urządzeń na użytkownika), tworzenia konta gościnnego, lub rejestracji samodzielnej ze sponsorowaniem dostępu, gdzie pracownik wewnętrzny po otrzymaniu wiadomości e-mail i weryfikacji danych użytkownika zatwierdza jego dostęp do sieci przez dedykowany panel sponsorski.



Rejestracja gości umożliwia powiązanie z bramką SMS celem wysyłania weryfikacyjnego kodu PIN o wybranej długości i złożoności.



W ramach systemu kontroli dostępu do sieci istnieje możliwość utworzenia wielu portali logowania, które będą wyświetlane dla wybranych grup urządzeń spełniających różne kryteria profilowania (na przykład inny portal dla pacjentów, inny portal dla komputerów pracowników).



Konta gości, tworzone samodzielnie lub przez administratora systemu, mają domyślną ważność w dniach, przy czym administrator systemu ma możliwość dookreślenia ram czasowych ważności konta.



Możliwość zmiany stopnia uprawnień użytkownika gościnnego przez osobę z organizacji.



System NAC posiada graficzny interfejs do zarządzania – poprzez przeglądarkę internetową lub dedykowaną aplikację.



Uwierzytelnianie administratora systemu nie tylko w oparciu o lokalną bazę użytkowników, ale też zewnętrzne repozytorium takie jak RADIUS, czy LDAP.



System wymusza proces rejestracji użytkownika według poniższych zasad:

  • konto użytkownika tworzone jest na podstawie informacji z AD w schemacie: user: imie_nazwisko password: numer pesel,

  • po poprawnym uwierzytelnieniu (codzienne sprawdzanie, czy użytkownik istnieje w katalogu AD) system kieruje ruch do portalu z ankietą; portal na podstawie plików cookies sprawdza, czy pacjent był już wcześniej na portalu i jeżeli nie to kieruje ruch na stronę z ankietą,

  • po wypełnieniu ankiety i naciśnięciu przycisku „dalej” następuje wysłanie ankiety do zbiorczego arkusza odpowiedzi (arkusz kalkulacyjny) i przekierowanie ruchu do sieci Internet,

  • w sytuacji, kiedy konto pacjenta zostanie usunięte w katalogu AD, wówczas dostęp do sieci Internet zostaje automatycznie zablokowany.



Definiowanie zróżnicowanego poziomu uprawnień w obrębie interfejsu zarządzania.



Generowanie komunikatów Syslog oraz powiadomień e-mail o wybranych zdarzeniach.



W związku z istotnością systemu, dla poprawnego funkcjonowania warstwy dostępowej sieci system umożliwia realizację wysokiej dostępności poszczególnych elementów funkcjonalnych typu 1:1 lub N+1.



Wszystkie funkcje NAC są dostępne dla co najmniej 1500 urządzeń końcowych (sesji uwierzytelniających) bez rozróżniania na dostęp LAN i WLAN, jest możliwość rozbudowy do co najmniej 10000 urządzeń końcowych lub wdrożenie co najmniej 8 bram systemu NAC dla zapewnienia niezawodności, skalowalności i możliwości lokalnego dostosowania konfiguracji i polityki kontroli dostępu do sieci. Wszystkie wdrożone bramy systemu NAC powinny być centralnie zarządzane z poziomu interfejsu do zarządzania.



Funkcjonalność systemu posiada licencję dożywotnią. W ramach wdrożenia zapewnione jest wsparcie producenta na okres co najmniej 5 lat. W ramach tego okresu Wykonawca zobowiązuje się do udostępniania wszelkich aktualizacji oprogramowania.

Rozbudowa posiadanego przez Zamawiającego przełącznika Extreme Networks S4.



Do istniejącego w infrastrukturze Zamawiającego przełącznika modularnego Extreme Networks S4 – dostawa, montaż i skonfigurowanie modułu rozszerzeń – karta liniowa z 48 gniazdami SFP i co najmniej jednym gniazdem na moduł rozszerzeń z dodatkowymi portami 1000 BASE-X lub 10/100/1000BASE-T.



Do istniejącego w infrastrukturze Zamawiającego przełącznika modularnego Extreme Networks S4 – dostawa, montaż i skonfigurowanie modułu rozszerzeń – karta liniowa z 48 gniazdami 10/100/1000BASE-T i co najmniej jednym gniazdem na moduł rozszerzeń z dodatkowymi portami 1000 BASE-X lub 10/100/1000BASE-T.



Dostawa, montaż i skonfigurowanie 4 modułów rozszerzeń kompatybilnych z kartami liniowymi istniejącego przełącznika Extreme Networks S4, wyposażone w 4 porty 10GBASE-X SFP+ każdy.

Dostawa, konfiguracja i uruchomienie przełączników brzegowych.



Dostawa i uruchomienie 12 przełączników kompatybilnych z istniejącym systemem zarządzania i uwierzytelnienia, z możliwością podłączenia ich do istniejących stosów przełączników Extreme Networks B5 za pomocą dedykowanego portu pracującego z wydajnością co najmniej 40 Gbps.



Przełącznik posiada minimum 24 porty 10/100/1000BASE-T z możliwością zasilania urządzeń zgodnie ze standardami IEEE 802.3af (PoE) i 802.3at (PoE+) (budżet mocy co najmniej 370 W), oraz minimum 2 porty typu uplink SFP (mogą to być porty combo, dual personality), oraz 2 porty typu 10GE.



Przełączniki umożliwiają utworzenie stosu o pojemności co najmniej 8 urządzeń (w formie pętli, z wykorzystaniem dedykowanych portów i okablowania) dającego pojedynczy adres IP zarządzania i wymianę ruchu między przełącznikami w stosie z wydajnością co najmniej 40 Gbps. Przełącznik posiada port konsolowy.



Przełączniki mają możliwość dołączenia zapasowego zasilacza (wbudowanego albo zewnętrznego).



Przełącznik obsługuje warstwę łącza danych m.in. w zakresie standardu IEEE 802.1Q z pełnym wsparciem dla protokołów GARP i GVRP. Wsparcie dla standardów z rodziny STP (do 802.1s i 802.1w włącznie), agregacji łącz (statycznej i dynamicznej), LLDP, ramek jumbo (min. 9 kB).



Przełącznik obsługuje warstwę sieci m.in. w zakresie routingu statycznego oraz RIPv2.



Ustawienie uwierzytelniania na portach przełącznika zgodnie z RADIUS (uwierzytelnianie i accounting), uwierzytelniania MAC oraz uwierzytelnianie z wykorzystaniem systemu kontroli dostępu do sieci i logowania przez przeglądarkę internetową.



Uwierzytelnianie na portach umożliwia zalogowanie się co najmniej 4 urządzeń na port jednocześnie, z jednoczesnym wsparciem każdej z metod uwierzytelniania. Proces uwierzytelniania skutkuje dynamicznym przypisaniem VLAN-u (zgodnie z RFC 3580) oraz jednocześnie (jako alternatywna metoda) przypisaniem roli do użytkownika, skojarzonej z VLAN/QoS/ACL.



Egzekwowanie tych mechanizmów odbywać się ma – podobnie jak w przypadku architektury WLAN – na styku sieci z użytkownikiem, tj. na samym porcie przełącznika.



W zakresie QoS przełącznik obsługuje 802.1p, klasyfikację pakietów podług nagłówków warstw łącza danych, sieci i transportowej (adres MAC, podsieć IP, adres IP, typ protokołu IP, Ethertype, IP ToS, DSCP, port TCP/UDP).



Przełącznik umożliwia kopiowanie ruchu z wybranego portu lub zbioru portów na dedykowany port celem analizy. Możliwość kopiowania całego ruchu bądź ruchu spełniającego określone kryteria L2-L4.



W zakresie bezpieczeństwa – poza wspomnianym uwierzytelnianiem i ograniczaniem ruchu zgodnie z ustaloną polityką – przełącznik posiada zaimplementowane mechanizmy takie jak DHCP Spoof Protection i ARP Protection.



Dla celów zarządzania przełącznikiem istnieje możliwość wykorzystania mechanizmów SSH, Telnet, SNMPv1/v2c/v3, RMON (min. 6 grup), SNTP i Syslog.



Przechowywanie na przełączniku wiele plików konfiguracyjnych, z możliwością ich pobierania bądź wgrywania na urządzenie przez protokół SCP lub SFTP.



Użytkownik zarządzający przełącznikiem ma konfigurowalne uprawnienia modyfikacji konfiguracji bądź tylko-do-odczytu.



Uwierzytelnianie logującego się administratora z wykorzystaniem lokalnego zbioru użytkowników lub mechanizmów RADIUS/TACACS+.



Przełączniki dostarczone wraz z niezbędnym okablowaniem typu zasilanie i stack.



Dostawa wkładek optycznych SFP+ w liczbie 4 sztuk spełniających poniższe kryteria:

  • zgodne ze standardem 10GBase-SR,

  • pracują ze światłowodem wielomodowym na falach o długości 850nm,

  • posiadają złącze światłowodowe typu LC,

  • zasięg transmisji: 400m dla włókna OM4,

  • współpracują z istniejącymi przełącznikami firmy Extreme Networks S4 i B5.



Dostawa wkładek optycznych SFP+ w liczbie 24 sztuk spełniających poniższe kryteria:

  • zgodne ze standardem 10GBase-LR,

  • pracują ze światłowodem jednomodowym na falach o długości 1310nm,

  • posiadają złącze światłowodowe typu LC,

  • zasięg transmisji: do 10km,

  • współpracują z istniejącymi przełącznikami firmy Extreme Networks S4 i B5.

Zalecenia konfiguracyjne dotyczące dodatkowych funkcjonalności sieci komputerowej.

125.

Przygotowanie projektu konfiguracji zawierającego (do 10 grup użytkowników):

  • ustaloną przez Zamawiającego hierarchię polityk Bezpieczeństwa,

  • proponowaną strukturę VLAN,

  • proponowane reguły dostępowe.

126.

Konfiguracja systemu zawierająca:

  • ustalone wspólnie z Zamawiającym reguły dostępowe dla całej sieci,

  • dodatkowe sieci VLAN,

  • dodatkowe grupy dostępowe,

  • wdrożenie scenariuszy (802.1x, MAC), profili (Gość, Pracownik, Drukarka, itp. – do 10 grup użytkowników) i polityk Bezpieczeństwa/ACL-VLAN (uprawnienia dostępu/QoS dla L2-L4)

  • konfigurację wybranych przełączników sieciowych zgodnie z ustaloną składnią CLI,

  • diagnostykę i usunięcie znalezionych problemów sieciowych.

Zalecenia konfiguracyjne dotyczące dodatkowych funkcjonalności sieci bezprzewodowej.

127.

Przygotowanie projektu konfiguracji zawierającego (do 10 grup użytkowników):

  • ustaloną przez Zamawiającego hierarchię polityk Bezpieczeństwa,

  • proponowaną strukturę VLAN,

  • proponowane reguły dostępowe.

128.

Konfiguracja systemu zawierająca:

  • ustalone wspólnie z Zamawiającym reguły dostępowe dla całej sieci,

  • dodatkowe sieci VLAN,

  • dodatkowe reguły dostępowe dla każdej z grup użytkowników,

  • konfigurację Captive Portal dla pacjentów szpitala,

  • diagnostykę i usunięcie znalezionych problemów sieci bezprzewodowej.

Testy funkcjonalne.

129.

Wygenerowanie kont testowych użytkowników.

130.

Testy.

131.

Weryfikacja i usunięcie błędów konfiguracji.

132.

Strojenie systemu.

Gwarancje i serwisy.

133.

Do wszystkich dostarczanych urządzeń i systemów zapewniona jest gwarancja producenta lub kontrakt serwisowy producenta, przez okres 5 lat, obejmujące:

  • wsparcie producenta w trybie 24x7 poprzez e-mail, telefon i zdalną sesję,

  • dostęp do aktualnej dokumentacji technicznej u producenta,

  • dostęp do aktualizacji oprogramowania/firmware, zarówno patche jak i nowe wersje.

134.

Czas skutecznego usunięcia awarii wynosi do 48 godzin od momentu wpłynięcia zgłoszenia.

135.

Dla istniejącego w infrastrukturze przełącznika modularnego Extreme Networks S4, tj. obudowy, kart liniowych ST4106-0348-F6 (2 szt.) – wznowienie kontraktu serwisowego producenta na okres 5 lat od zakończenia trwającego kontraktu.

136.

W czasie 60 miesięcy od dnia zakończenia wdrożenia - pięć wizyt w siedzibie Zamawiającego mające na celu przeprowadzenie konserwacji.

Wymogi dodatkowe.

137.

Poza modułami do posiadanego w infrastrukturze klienta przełącznika Extreme Networks S4 wymaga się, aby wszystkie urządzenia i systemy w niniejszym zamówieniu pochodziły od jednego producenta dla zapewnienia najwyższego możliwego stopnia współpracy urządzeń LAN, WLAN, systemów zarządzania siecią i kontroli dostępu do sieci.

138.

Dostawca urządzeń zobowiązuje się do zapewnienia obecności fizycznej swojego przedstawiciela w siedzibie Zamawiającego w przypadku awarii urządzenia i pomocy w diagnostyce w terminie do 2 godzin od zgłoszenia awarii w okresie pierwszych 60 miesięcy użytkowania urządzeń.

139.

Dostawca urządzeń zobowiązuje się do udzielania nielimitowanej liczby porad telefonicznych związanych z eksploatacją urządzeń w okresie pierwszych 60 miesięcy użytkowania urządzeń. Porady będą udzielane od poniedziałku do piątku w godzinach od 7:30 do 15:30.

140.

Dostawca urządzeń zatrudnia co najmniej dwie osoby przeszkolone przez producenta i posiadające odpowiedni certyfikat z zakresu przełączników sieciowych i zarządzania nimi w celu przeprowadzenia diagnostyki w razie awarii.

141.

Urządzenia dostarczone obowiązującym oficjalnym kanałem dystrybucji a dostawca ma status partnera handlowego producenta.

142.

Dostawca zorganizuje certyfikowane szkolenie dla jednego pracownika Zamawiającego z obsługi wdrażanego rozwiązania. Szkolenie będzie zakończone certyfikatem producenta.

143.

Przed uruchomieniem rozwiązania Dostawca przygotuje projekt wdrożenia, który musi być zaakceptowany przez Zamawiającego.

144.

Dostawca dokona uruchomienia i montażu całości oferowanego rozwiązania zgodnie z projektem wdrożenia wykonanego przez Wykonawcę na podstawie wizji lokalnej. Wdrożenie zakończy się przedstawieniem dokumentacji powykonawczej prac do akceptacji Zamawiającego.



________________ dnia ___________ 2016 r.

pieczęcie imienne i podpisy osób upoważnionych do składania oświadczeń woli w imieniu wykonawcy





Pobieranie 329 Kb.

Share with your friends:




©operacji.org 2020
wyślij wiadomość

    Strona główna