Management správy sítě

Část 2 zadávací dokumentace Technická dokumentace a specifikace Úvod k technickému zadání Poptávané řešení se skládá z následujících částí a komponent pro tři budovy areálu BIOCEV (S001 - hlavní budova, S002 - budova zvířetníku, S005 - budova energocentra). Většina aktivních prvků výše uvedených budov se bude nacházet v budově S001 v serverovnách tvořících páteř systémů (jejich centrální část). V objektech S002 a S005 bude poté pouze přístupová (LAN access) vrstva. Základem řešení bude LAN pro celý areál. Do ní je navrhován integrovaný systém bezdrátové sítě. Jako samostatný je blok připojený do páteřní sítě (Backbone LAN), blok připojení serverů. Oddělený blok pro infrastrukturu je navržen pro přístupovou vrstvu sítě (LAN). Dále je součástí řešení systém - management správy síťové infrastruktury. Řešení je naznačeno na následujícím obrázku. Management správy sítě Bezdrátová síť Přístupová vrstva LAN (Access LAN) Páteřní LAN (Backbone LAN) Připojení serverů a síťových služeb Zadavatel požaduje nabídku na níže specifikované řešení. Specifikace řešení se skládá z pěti částí (kapitol): První část popisuje řešení aktivních síťových prvků pro strukturovanou kabeláž (část A). 1/62

Druhá část popisuje řešení bezdrátové WiFi sítě s centrálním řízením (část B). Třetí část popisuje požadavky na centrální správu - management pro LAN a WiFi (část C). Čtvrtá část popisuje technologické prostředí stavby (areálu BIOCEV) a z toho vyplývající další požadavky, případně omezení (část D). Pátá část popisuje akceptační testy (část E). Součástí jednotlivých částí je textový popis a specifikace dílčích komponent ve formě tabulek. U všech částí požaduje zadavatel dodání originálních a nových zařízení, licencovaných na jméno zákazníka (zadavatele) a podle pravidel výrobce tak, aby bylo možné eskalovat případné závady přímo na technickou podporu výrobce. Dodavatel musí prokázat, že výrobce nabízených aktivních síťových prvků musí mít implementován tzv. SDP - secure development lifecycle při vývoji svých produktů a tzv. SIRT - Security Incident Response Team pro reportování bezpečnostních incidentů spojených s nabízenými produkty. Údaje uvedené v jednotlivých částech této technické dokumentace a specifikace vymezují závazné požadavky zadavatele na plnění této veřejné zakázky. Tyto požadavky musí uchazeč plně respektovat při tvorbě své nabídky. Plnění veřejné zakázky je míněno včetně dodávky, instalace a zprovoznění (uvedení do řádného provozu), včetně L2/L3 základní konfigurace (tj. min. nastavení potřebných virtuálních síťových segmentů - VLAN, potřebná L3 konfigurace daných síťových rozhraní, dále i konfigurace přístupu na management rozhraní a ochrana před síťovými smyčkami), iniciální konfigurace centrální správy a řízení potřebného software (licencí), potřebného zaškolení IT personálu (definované podrobněji v každé části řešení A až C) a dalšího potřebného příslušenství, dále včetně poskytnutí rozšířené záruky (viz níže), servisu a technických konzultací v lokalitě Vestec. Zadavatel poskytne dodavateli informace potřebné pro konfiguraci (např. podrobnou topologii zapojení, seznam VLAN, seznam SSID, IPv4 a IPv6 plán apod.), a to současně s odesláním výzvy k zahájení plnění (tj. min. 2 měsíce před samotnou instalací a zprovozněním řešení). Zadavatel požaduje, aby všechny licence, které budou dodány v rámci tohoto řešení, byly časově neomezené (bez exspirace). Zadavatel požaduje přístup s plnými (maximálními) administrátorskými právy na všechna zařízení dodaná v rámci tohoto řešení a všech jeho částí (zejména části A až C). 2/62

Součástí řešení musí být i datová kabeláž (UTP cat. 6a, optické kabely, atd.), a to pro: a) realizaci propojení všemi dodávanými aktivními prvky a patch panelem (tj. pro všechny jejich porty). Přesnější podklady pro délky a typy jednotlivých kabelů je uchazeč schopen odvodit z části D tohoto dokumentu; b) realizaci propojení mezi přístupovými body pro bezdrátovou síť WiFi a patch panelem nebo datovou zásuvkou. Přesnější podklady pro délky jednotlivých kabelů je uchazeč schopen odvodit z části D tohoto dokumentu. Fixní objektová optická kabeláž je ve standardu OM3 a sktrukturová kabeláž v kategori 6a stíněná. Zadavatel požaduje, aby propojovací kabeláž dodávaná v rámci této VZ nijak nedegradovala přenosovou kapacitu. V případě potřeby si zadavatel může vyžádat oficiální potvrzení zastoupení výrobce o určení dodávaného HW (resp. seznam produktových čísel všech dodávaných zařízení) pro český trh nebo trh EU a koncového zákazníka Biotechnologické a biomedicínské centrum Akademie věd a Univerzity Karlovy ve Vestci (BIOCEV). Pokud jsou v technické specifikaci obsaženy požadavky nebo odkazy na jednotlivé obchodní firmy, názvy nebo jména a příjmení, specifická označení zboží a služeb, které platí pro určitou osobu nebo organizační složku za příznačné, popř. patenty na vynálezy a užitné vzory, průmyslové vzory, ochranné známky nebo označení původu, jsou uvedeny pouze pro upřesnění a přiblížení technických parametrů a zadavatel umožňuje použití i kvalitativně a technicky obdobného řešení s plně srovnatelnými nebo i převyšujícími parametry. Definice záručních skupin dle délky záruky Záruční skupiny: 3 roky 5 let U jednotlivých částí řešení jsou tyto záruční skupiny dále upřesněny. Definice servisních skupin dle rychlosti reakce a opravy Popis: Servis je předpokládán v místě plnění, tj. tam, kde jsou nainstalována zařízení. Použité termíny (zkratky) jsou NBD (Next business day), tj. "další pracovní den", BD (Business day), tj. "pracovní den", a REAKCE, tj. zahájení odstraňování vady, resp. zahájení servisu. 3/62

Skupiny: skupina č. 1: Incidenční servis 8x5xNBDx5BD: od 8-16 hod., po-pá + reakce do NBD + oprava do 5 BD skupina č. 2 : Incidenční servis 8x5xNBDxNBD: od 8-16 hod., po-pá + reakce do NBD + oprava do NBD skupina č. 3 : Incidenční Servis 24x7x8x24: 24 hodin, po-ne + reakce do 8 hodin + oprava do 24 hodin skupina č. 4: Incidenční Servis 24x7x4x24: 24 hodin, po-ne + reakce servisu do 4 hodin + oprava do 24 hodin U jednotlivých částí řešení (A, B a C) zadavatel požaduje záruku a servisní skupinu podle následujících tabulek pro jednotlivé části řešení (případně výhodnější): Definice záruky a servisní skupiny pro část A Tabulka č. / popis komponenty Záruka Servisní skupina č. Tabulka č.1a - Páteřní přepínač 5 let 4 Tabulka č.2a - Přepínač pro připojení serverů a systémů Tabulka č.3a - ToR přepínač pro připojení serverů spravovatelný z nadřazeného přepínače Tabulka č.4a - Přístupové přepínače pro IT Tabulka č.5a - Přístupové přepínače pro IT serverovny Tabulka č.6a - Přepínače perimetru vnější Tabulka č.7a - Přístupový přepínač uživatelské sítě 3 roky 3 3 roky 3 3 roky 1 3 roky 1 3 roky 2 5 let 2 4/62

Tabulka č.8a - Přístupový přepínač uživatelské sítě v objektu S005 3 roky 2 Definice záruky a servisní skupiny pro část B Tabulka č. / popis komponenty Záruka Servisní skupina č. Tabulka č.1b - Kontroler bezdrátové sítě s redundancí Tabulka č.2b - Bezdrátový přístupový bod 5 let 2 3 roky 1 Definice záruky a servisní skupiny pro část C Tabulka č. / popis komponenty Záruka Servisní skupina č. Tabulka č.1c - Správa sítě - element manager datacentra a sítě LAN Tabulka č.2c - Správa sítě - element bezdrátové infrastruktury 5 let 2 5 let 2 Zadavatel požaduje, aby v rámci servisu (a v nabídkové ceně) byly zahrnuty minimálně následující služby: 1. Zajištění telefonního a e-mailového helpdesku a webového zákaznického portálu pro zadávání a sledování stavu incidentů a servisních požadavků. Poskytnutí jednotného webového rozhraní pro zadávání servisních požadavků a sledování jejich řešení, které bude přístupné pro neomezený počet oprávněných uživatelů na straně zadavatele, a které zajistí možnost přímého zápisu formou update k jednotlivým požadavkům. Požadovanou součástí tohoto rozhraní je přístup k seznamu spravovaných zařízení. V rámci tohoto seznamu jsou požadovány zejména tyto funkcionality: a. detailní přehled spravovaných zařízení, b. správa zařízení včetně zajištění změnových požadavků (přidávání nových zařízení, přesuny, odstranění), 5/62

c. uživatelské reporty o spravovaných zařízeních obsahující informace o zařízení, lokalitě umístění, úrovni služby a datu její expirace. 2. Zajištění služby Service Delivery Managera (SDM), tj. osoby odpovědné za řízení servisních služeb. Dodavatel poskytne prostřednictvím SDM následující služby: a. Poskytování pravidelných čtvrtletních reportů o čerpání předplacených odborných kapacit (technických konzultací), o stavu servisní databáze a jejích případných změn za uplynulé období. b. Poskytování pravidelných reportů o zajišťování ostatních servisních služeb čerpaných nad rámec této smlouvy. c. Poskytování konzultací pro optimalizaci síťové infrastruktury. 3. Minimálně 1x měsíčně od zprovoznění řešení po dobu trvání záruky bude předávat dodavatel zadavateli detailní soupis servisovaných zařízení s uvedením klíčových termínů ukončení dostupnosti servisních služeb výrobce nebo jejich kritických komponent, jako například termín ukončení vývoje nových verzí OS a firmware. 4. Nejpozději 1 měsíc od zprovoznění řešení a poté každý rok po dobu trvání záruky předloží dodavatel zadavateli potvrzení výrobce zařízení o zakoupení servisní podpory na další období s uvedením konkrétních seriových čísel, z něhož bude vyplývat: a. garance přímého přístupu zadavatele k softwaru výrobce (bug fix releases, minor updates), b. garance poskytování servisní podpory ve spolupráci s výrobcem v rámci nabídnutých odezev, c. garance zabezpečení servisní podpory přímo výrobcem zařízení v případech, kdy dodavatel neplní nebo není schopen plnit své závazky, d. garance přímého přístupu na TAC (Technical Assistance Center) výrobce zařízení v případě nespokojenosti zadavatele s postupem dodavatele. Technické konzultace Součástí řešení jsou také technické konzultace, jejichž předmětem je níže uvedené. Dodavatel bude připraven poskytovat tyto konzultace pomocí servisního portálu od předání řešení (podepsání akceptačního protokolu) do provozu po dobu minimálně 12 následujících měsíců. 6/62

Definice konzultací je následující: Provádění konzultačních a poradenských služeb na dodaných technologických celcích na základě požadavků zadavatele v rozsahu do 20 hodin za měsíc (celkem 240 hodin za 12 měsíců) v místě instalace nebo prostřednictvím vzdáleného přístupu. Prováděním konzultací se míní provádění konfiguračních prací, analýza a návrh technických opatření vedoucích k optimalizaci výkonu dodaného řešení dle specifických potřeb zadavatele. Poskytování služby bude možné poptat u dodavatele prostřednictvím dodaného telefonního a emailového kontaktu(ů). Dodavatel bude muset poskytnout požadovanou konzultaci max. do 3 pracovních dnů, a to v předem dohodnutém termínu. Reakce mezi přijetím poptávky (ohledně technické konzultace) a návrhem termínu konzultace (ze strany dodavatele) je max. 12 hodin. Část A Základní popis Tabulka č.1a - Páteřní přepínač Požadovaný počet prvků dle níže uvedené specifikace: 2 Požadavek na funkcionalitu Základní vlastnosti Typ přepínače Z důvodu jednotné konfigurace a obsluhy je požadován pro páteřní přepínače podle tabulek Tabulka č.1a až č. 3A společný operační systém Formát přepínače Minimální požadavky L3 přepínač Modulární Nabízené plnění pro 1ks (uchazeč uvede, zda funkcionalitu splňuje ano/ne nebo skutečnou hodnotu) Minimální počet slotů line karet 8 7/62

Kapacita interní sběrnice v každém směru na 1 slot přepínače v dodané konfiguraci min 490Gb/s Minimální počet MAC adres na šasi 128000 Minimální počet záznamů ve směrovací tabulce - IPv4 unicast 128000 Minimální počet záznamů ve směrovací tabulce IPv6 unicast 64000 Řídící modul používající digitálně podepsaný firmware Možnost rozšíření o redundantní řídící modul používající digitálně podepsaný firmware Osazení redundantního napájecího zdroje AC 230V Možnost připojení napájecích zdrojů na dvě nezávislé rozvodné sítě Bezztrátová architektura přepínače Podpora virtualizace přepínače rozdělením fyzického přepínače na několik logických přepínačů (např. VDC nebo MDC nebo funkčně ekvivalentní) Min. počet plně propustných (neagregovaných) 10GE, SFP+ portů 48 31x 10GBase- LRM, Osazenost transceivery 4x 10GBase- SR, 4x 10GBase- LR Podpora upgrade OS přepínače bez narušení provozu (např. In Service Software Upgrade, Unified ISSU nebo ekvivalentní) Podpora směrování protokolů IPv4 a IPv6 v hardware Podpora MPLS v hardware Podpora standardu IEEE 802.3ad Podpora IEEE 802.3ad přes více karet Podpora IEEE 802.3ad přes více šasi (např. Multichassis Etherchannel) 8/62

Podpora IEEE 802.1Q Podpora FCoE transportu, možno přídavným modulem Minimální počet aktivních VLAN min. 4000 Podpora IEEE 802.1s Multiple Spanning Tree Podpora IEEE 802.1w - RapidSpanning Tree Protocol Podpora instance STP pro jednotlivé VLAN (např.pvstp, VSTP) Podpora STP root guard nebo ekvivalentní s popisem zajištění požadované funkcionality Podpora STP loop guard nebo ekvivalentní s popisem zajištění požadované funkcionality Detekce protilehlého zařízení (např. CDP nebo LLDP) Podpora "jumbo rámců" Podpora Multicast/broadcast storm control v HW Podpora QoS classification ACL, IP Prec, DSCP, CoS based Podpora QoS marking - IP Prec, DSCP, CoS Podpora QoS Policing Podpora QoS priority queuing Podpora BGPv4, MP-BGP nebo BGP+ Podpora OSPFv2, OSPFv3 Podpora RIPv2, RIPng Možnost rozšíření o technologie pro realizaci L2 propojení (Ethernet) mezi vzdálenými lokalitami nad nativní IP infrastrukturou, přídavnou licencí (Např. OTV nebo EVI nebo funkčně ekvivalentní) Podpora Router redundancy protokol (např. VRRP, HSRP) Popdora Non Stop Forwarding pro OSPF, BGP 9/62

Možnost rozšíření o MPLS TE (Traffic Engineering), přídavnou licencí, podpora OSPF TE a IS-IS TE Možnost rozšíření o MPLS with Resource Reservation Protocol Traffic Engineering, přídavnou licencí Možnost rozšíření o MPLS TE FRR (MPLS Traffic Engineering Fast Reroute)) nebo ekvivalentní, přídavnou licencí Rozšiřitelnost o MPLS VPN (RFC 2547bis), přídavnou licencí Rozšiřitelnost o 6VPE (IPv6 VPN over MPLS), přídavnou licencí Možnost rozšíření o virtualizaci routovacích tabulek, přídavnou licencí Podpora Policy-based routing Podpora PIM-SM (Protocol Independent Multicast, sparse mód) Podpora PIM SSM (PIM Source Specific Multicast) Podpora IGMPv2, IGMPv3 Podpora IPv6 services ( DNS, SSH, ACL, ICMP) Podpora HSRP nebo VRRP pro IPv6 Podpora IPv6 QoS Podpora oddělených čítačů paketů pro IPv4 a IPv6 provoz nebo ekvivalentní řešení Podpora RPF pro IPv4 i IPv6 Podpora sběru síťových toků IPv4 (např. NetFlow, j-flow, apod.) Podpora sběru síťových toků IPv6 (např. NetFlow j-flow, apod.) Podpora interních nástrojů pro automatické spouštění předem definovaných akcí na základě detekce různých síťových událostí Podpora ACL pro L2, L3 i L4 provoz Konfigurovatelné prostředky L3 přepínače před útoky typu odepření služby (DoS) formou vhodného omezení frekvence určitých typů rámců/paketů, které jsou zpracovávány procesorem zařízení 10/62

Podpora pokročilých interních nástrojů pro debugging procházejícího provozu Podpora bezpečnostních funkcí umožňujících ochranu proti podvržení zdrojové IP adresy Podpora bezpečnostních funkcí umožňujících ochranu proti připojení neautorizovaného DHCP serveru (tzv. rougue DHCP) Podpora bezpečnostních funkcí umožňujících inspekci provozu protokolu ARP Management CLI rozhraní SSHv2 Možnost omezení přístupu k managementu (SSH, SNMP) např. pomocí ACL SNMPv2 SNMPv3 DNS klient NTP klient s MD5 autentizací RADIUS klient pro AAA (autentizace, autorizace, accounting) TACACS+ klient Port mirroring (SPAN) Port mirroring do vzdálené destinace Syslog Podpora interních nástrojů pro debugging procházejícího provozu 11/62

Tabulka č.2a - Přepínač pro připojení serverů a systémů Požadovaný počet prvků dle níže uvedené specifikace: 4 Požadavek na funkcionalitu Základní vlastnosti Formát zařízení Z důvodu jednotné konfigurace a obsluhy je požadován pro páteřní přepínače podle tabulek Tabulka č. 1A až č. 3A společný operační systém Osazení redundantního napájecího zdroje AC 230V Bezztrátová architektura přepínače Podpora upgrade OS přepínače bez narušení provozu (In Service Software Upgrade) Minimální počet neblokovaných portů 1/10GE s volitelným fyzickým rozhraním Osazenost transceivery Minimální požadavky Modulární nebo fixní 48 SR, 26x10GBase- 3x10GBase- LR, 4x1GBase-T Nabízené plnění pro 1 ks (uchazeč uvede, zda funkcionalitu splňuje ano/ne nebo skutečnou hodnotu) Minimální počet portů 40GE s volitelným fyzickým rozhraním 6 12/62

Osazenost transceivery Podpora FCoE transportu Rozšiřitelnost o modul s podporou L3 směrování Podpora distribuovaných rozšiřujících modulů (virtuální vzdálené rozšiřujících moduly umístěné v jiném fyzickém šasi, např. Fabric Extender nebo Node Unifier nebo Vertical IRF nebo ekvivalentní) 2x 40Gbase- CR4, 1m, 3x 40Gbase- CR4, 1m, Minimální počet podporovaných vzdálených rozšiřujících modulů 10 Výkonnostní parametry Celková potenciální interní propustnost přepínacího subsystému 1.24Tbps Nízká latence pro L2 provoz 1 µs Protokoly fyzické vrstvy IEEE 802.3ad IEEE 802.3ad přes více karet Podpora IEEE 802.3ad přes více šasi (např. Multichassis Etherchannel) Podpora "jumbo rámců" Protokoly 2. vrstvy IEEE 802.1Q Podpora Private VLAN Minimální počet aktivních VLAN 4000 IEEE 802.1s - Multiple Spanning Tree IEEE 802.1w - Rapid Spanning Tree Protocol Podpora instance STP pro jednotlivé VLAN (např. PVSTP, VSTP) Detekce protilehlého zařízení (např. CDP nebo LLDP) STP root guard nebo ekvivalentní 13/62

STP loop guard nebo ekvivalentní Multicast/broadcast storm control - hardwarové omezení poměru unicast/multicast rámců na portu v procentech Minimální počet MAC záznamů 128000 Podpora IEEE 802.1Qaz Podpora IEEE 802.1Qbb QoS Podpora QoS classification ACL, DSCP, CoS based Podpora QoS marking - DSCP, CoS Podpora QoS - Strict Priority Queue Bezpečnost ACL na rozhraní (včetně virtuálních - VLAN, 802.1ad) Možnost definovat povolené MAC adresy na portu Možnost definovat maximální počet MAC adres na portu Možnost definovat různé chování při překročení počtu MAC adres na portu (zablokování portu, blokování nové MAC adresy) Podpora bezpečnostních funkcí umožňujících ochranu proti podvržení zdrojové IP adresy IP source guard nebo ekvivalentní Podpora bezpečnostních funkcí umožňujících ochranu proti připojení neautorizovaného DHCP serveru DHCP snooping nebo ekvivalentní Podpora bezpečnostních funkcí umožňujících inspekci provozu protokolu ARP ARP inspection nebo ekvivalentní Konfigurovatelné prostředky L3 přepínače před útoky typu odepření služby (DoS) formou vhodného omezení frekvence určitých typů rámců/paketů, které jsou zpracovávány procesorem zařízení Management CLI rozhraní SSHv2 14/62

Možnost omezení přístupu k managementu (SSH, SNMP) např. pomocí ACL SNMPv2 SNMPv3 DNS klient NTP klient s MD5 autentizací RADIUS klient pro AAA (autentizace, autorizace, accounting) TACACS+ klient Port mirroring (SPAN) Port mirroring do vzdálené destinace Syslog Podpora interních nástrojů pro debugging procházejícího provozu Podpora Role Based Access Control Tabulka č.3a - ToR přepínač pro připojení serverů spravovatelný z nadřazeného přepínače Požadovaný počet prvků dle níže uvedené specifikace: 2 Požadavek na funkcionalitu Základní vlastnosti Formát virtuálního vzdáleného rozšiřujících modulu osaditelný do rackové skříně Minimální požadavky Nabízené plnění pro 1 ks (uchazeč uvede, zda funkcionalitu splňuje ano/ne nebo skutečnou hodnotu) 15/62

Typ virtuálního vzdáleného modulu Typ připojení k domácímu přepínači 48x 100/1000Base- T 4x 10GBase- SR Tabulka č.4a - Přístupové přepínače pro IT Požadovaný počet prvků dle níže uvedené specifikace: Požadavek na funkcionalitu Základní vlastnosti Minimální požadavky 2 Nabízené plnění pro 1ks (uchazeč uvede, zda funkcionalitu splňuje ano/ne nebo skutečnou hodnotu Třída zařízení Z důvodu jednotné konfigurace a obsluhy je požadován pro přepínače podle tabulek Tabulka č.4a až č. 8A společný operační systém Formát zařízení Stohovatelný bez snížení počtu požadovaných ethernet portů Počet portů 10/100/1000 48 Podpora PoE (IEEE 802.3af) Podpora PoE+ (IEEE 802.3at, 30W/port) Dostupný výkon pro napájení PoE portů Počet portů 10 Gbit/s a jejich typ L2 switch fixní konfigurací, rozšiřitelný na stohování, 1RU, volitelným modulem, nebo eth. porty nepočítanými v dalších požadavcích min. 700 W 2x SFP+/SFP 16/62

Osazení transceivery Možnost volby 1Gbit/s nebo 10Gbit/s rychlosti uplink portu vhodným rozšiřujícím modulem a transceiverem Možnost připojit externí redundantní zdroj Ventilátor Výkonnostní parametry Minimální propustnost přepínacího subsystému 2x 10Gbase- LRM, transceiverem 175 Gbps Minimální přepínací výkon 120 milionu rámců/vteřinu Rychlost stohovacího propojení při zachování požadavků na porty Minimálně 70 Gbit/s Minimální počet MAC adres 15000 Vlastnosti stohování Minimální počet přepínačů zařaditelných do stohu 8 Automatická kontrola a sjednocení verze software přepínačů ve stohu Možnost předkonfigurace neexistujícího přepínače ve stohu před jeho připojením Seskupení portů (IEEE 802.3ad) mezi různými prvky stohu Kterýkoli prvek ve stohu může být řídícím prvkem stohu (1:N redundance) Protokoly fyzické vrstvy IEEE 802.3-2005 IEEE 802.3ad Podpora instance STP pro jednotlivé VLAN (např. PVSTP, VSTP) Podpora "jumbo rámců" Protokoly 2. vrstvy IEEE 802.1D IEEE 802.1Q Minimální počet aktivních VLAN 1000 IEEE 802.1s - Multiple Spanning Tree Protocol IEEE 802.1w - Rapid Spanning Tree Protocol IEEE 802.1X - Port Access Control IEEE 802.1p - Minimální počet vnitřních front 4 Per VLAN rapid spanning tree (např. PVRST+ nebo ekvivalentní) ano, min. 128 instancí 17/62

Detekce protilehlého zařízení (např. CDP, LLDP) Detekce parametrů protilehlého zařízení (např. LLDP-MED) Protokol pro definici šířených VLAN (např. VTP nebo, MVRP, GVRP) Detekce jednosměrnosti optické linky (např. UDLD nebo ekvivalentní) STP root guard nebo ekvivalentní STP loop guard nebo ekvivalentní Možnost autorecovery po chybovém stavu (jednosměrnost optické linky, root guard, loop guard) Multicast/broadcast storm control - hardwarové omezení poměru unicast/multicast rámců na portu v procentech nebo definicí bandwidth Protokol IP IP alias (více IP sítí na jednom rozhraní) QoS DHCP relay Protokol IPv6 Podpora IPv6 ACL Podpora IPv6 services ( DNS, Telnet, SSH, Syslog, ICMP) Podpora MLDv2 snooping Podpora IPv6 Port ACL Podpora IPv6 First Hop Security RA guard nebo ekvivaletní Podpora IPv6 First Hop Security DHCPv6 guard nebo ekvivalentní Podpora IPv6 First Hop Security IPv6 Binding Integrity Guard nebo ekvivalentí Směrování multicastu IGMPv2 snooping IGMPv3 snooping IPv6 MLDv1 & v2 snooping Bezpečnost ACL na rozhraní (včetně virtuálních - VLAN, loopback, 802.1ad) ACL pro IP ACL pro ethernetové rámce IPv6 ACL Možnost definovat povolené MAC adresy na portu ano, na fyzickém rozhraní 18/62

Možnost definovat maximální počet MAC adres na portu Možnost definovat různé chování při překročení počtu MAC adres na portu (zablokování portu, blokování nové MAC adresy) DHCP snooping Dynamic ARP inspection (např. DAI) Verifikace mapování IP-MAC (např. IP source guard) Podpora koncových zařízení Podpora PoE (IEEE 802.3af) Podpora PoE+ (IEEE 802.3at, 30W/port) Podpora EEE (IEEE 802.3az) Management CLI rozhraní SSHv2 SSHv2 over IPv6 Možnost omezení přístupu k managementu (SSH, SNMP) např. pomocí ACL SNMPv2 SNMPv3 USB konzolová linka/ Sériová konzolová linka 10/100 management out-of-band port DNS klient NTP klient s MD5 autentizací Podpora sběru síťových toků (např. Netflow, J-flow apod.) RADIUS klient pro AAA (autentizace, autorizace, accounting) TACACS+ klient Port mirroring (SPAN) Port mirroring 1 -> 1 Port mirroring N -> 1 Vzdálený port mirroring (např. RSPAN) Syslog Měření zakončení a délky metalického kabelu (např. pomocí TDR) Přepínač obsahuje traceroute utilitu operující na linkové vrstvě (Layer 2 traceroute) Automatická aplikace specifické konfigurace pro dané zařízení po detekci jeho připojení na portu 19/62

Tabulka č.5a - Přístupové přepínače pro technologie - serverovny Požadovaný počet prvků dle níže uvedené specifikace: 8 Požadavek na funkcionalitu Minimální požadavky Základní vlastnosti Třída zařízení Z důvodu jednotné konfigurace a obsluhy je požadován pro přepínače podle tabulek Tabulka č.4a až č. 8AA společný operační systém Formát zařízení Stohovatelný bez snížení počtu ethernet portů Počet portů 10/100/1000 24 Počet portů 10 Gbit/s a jejich typ Osazení transceivery Možnost volby 1Gbit/s nebo 10Gbit/s rychlosti uplink portu vhodným rozšiřujícím modulem a transceiverem Možnost připojit externí redundantní zdroj Výkonnostní parametry Minimální propustnost přepínacího subsystému Minimální přepínací výkon Rychlost stohovacího propojení při zachování požadavků na porty L2 switch fixní konfigurací, rozšiřitelný na stohování, 1RU, volitelným modulem nebo eth. porty nepočítanými v dalších požadavcích 2x SFP+/SFP 2x 10Gbase- LRM, vhodným transceiverem 128 Gbps Minimální po čet MAC adres 13000 80 milionu rámců/vteřinu min 70 Gbit/s Nabízené plnění pro 1 ks (uchazeč uvede, zda funkcionalitu splňuje ano/ne nebo skutečnou hodnotu) 20/62

Vlastnosti stohování Minimální počet přepínačů ve stohu 8 Automatická kontrola a sjednocení verze software přepínačů ve stohu Možnost předkonfigurace neexistujícího přepínače ve stohu před jeho připojením Seskupení portů (IEEE 802.3ad) mezi různými prvky stohu Kterýkoli prvek ve stohu může být řídícím prvkem stohu (1:N redundance) Protokoly fyzické vrstvy IEEE 802.3-2005 IEEE 802.3ad Podpora instance STP pro jednotlivé VLAN (např. PVSTP, VSTP) Podpora "jumbo rámců" Protokoly 2. vrstvy IEEE 802.1D IEEE 802.1Q Minimální počet aktivních VLAN 1000 IEEE 802.1s - Multiple Spanning Tree Protocol IEEE 802.1w - Rapid Spanning Tree Protocol IEEE 802.1X - Port Access Control IEEE 802.1p - Minimální počet vnitřních front 4 Per VLAN rapid spanning tree (např. PVRST+ nebo ekvivalentní) Detekce protilehlého zařízení (např. CDP, LLDP) Detekce parametrů protilehlého zařízení (např. LLDP-MED) Protokol pro definici šířených VLAN (např. VTP nebo, MVRP, GVRP) Detekce jednosměrnosti optické linky (např. UDLD nebo ekvivalentní) STP root guard nebo ekvivalentní STP loop guard nebo ekvivalentní Možnost autorecovery po chybovém stavu (jednosměrnost optické linky, root guard, loop guard) Multicast/broadcast storm control - hardwarové omezení poměru unicast/multicast rámců na portu v procentech nebo definicí bandwidth Protokol IP IP alias (např. více IP sítí na jednom rozhraní), min. 128 instancí 21/62

QoS DHCP relay Protokol IPv6 Podpora IPv6 ACL Podpora IPv6 services ( DNS, Telnet, SSH, Syslog, ICMP) Podpora IPv6 MLDv2 snooping Podpora IPv6 Port ACL Podpora IPv6 First Hop Security RA guard nebo ekvivalentní Podpora IPv6 First Hop Security DHCPv6 guard nebo ekvivalentní Podpora IPv6 First Hop Security IPv6 Binding Integrity Guard nebo ekvivalentní Směrování multicastu IGMPv2 snooping IGMPv3 snooping IPv6 MLDv1 & v2 snooping Bezpečnost ACL na rozhraní (včetně virtuálních - VLAN, loopback, 802.1ad) ACL pro IP ACL pro ethernetové rámce IPv6 ACL Možnost definovat povolené MAC adresy na portu Možnost definovat maximální počet MAC adres na portu Možnost definovat různé chování při překročení počtu MAC adres na portu (zablokování portu, blokování nové MAC adresy) DHCP snooping Dynamic ARP inspection (DAI) Verifikace mapování IP-MAC (např. IP source guard) Podpora koncových zařízení Podpora EEE (IEEE 802.3az) Management CLI rozhraní SSHv2 SSHv2 over IPv6, na fyzickém rozhraní 22/62

Možnost omezení přístupu k managementu (SSH, SNMP) např. pomocí ACL SNMPv2 SNMPv3 USB konzolová linka/ Sériová konzolová linka 10/100 management out-of-band port DNS klient NTP klient s MD5 autentizací Podpora sběru síťových toků (např. Netflow, J-flow apod.) RADIUS klient pro AAA (autentizace, autorizace, accounting) TACACS+ klient Port mirroring (SPAN) Port mirroring 1 -> 1 Port mirroring N -> 1 Vzdálený port mirroring (např. RSPAN) Syslog Měření zakončení a délky metalického kabelu (např. pomocí TDR) Přepínač obsahuje traceroute utilitu operující na linkové vrstvě (Layer 2 traceroute) Přepínač si může zazálohovat a obnovit firmware včetně konfigurace z nadřazeného směrovače nebo přepínače Automatická aplikace specifické konfigurace pro dané zařízení po detekci jeho připojení na portu Služby DHCP server Tabulka č.6a - Přepínače perimetru vnější Požadovaný počet prvků dle níže uvedené specifikace: 2 Požadavek na funkcionalitu Minimální požadavky Nabízené plnění pro 1 ks (uchazeč uvede, zda funkcionalitu splňuje 23/62

ano/ne nebo skutečnou hodnotu) Základní vlastnosti Třída zařízení Z důvodu jednotné konfigurace a obsluhy je požadován pro přepínače podle tabulek Tabulka č.4a až č. 10A společný operační systém Formát zařízení Stohovatelný bez snížení počtu požadovaných ethernet portů Stohovatelný vytvoření virtuálního celku ze standalone switchů z hlediska mngt. přístupu, konfigurace i spuštěných procesů) Stohování požadováno L3 switch fixní konfigurace, stohovatelný, 1 RU Počet portů 10/100/1000 48 Počet portů 1 Gbit/s a 10Gbit/s a jejich typ Osazení transceivery Možnost volby 1Gbit/s nebo 10Gbit/s rychlosti uplink portu vhodným rozšiřujícím modulem a transceiverem Redundantní interní napájecí zdroj AC 230V Redundantní ventilátory Podpora směrovacích protokolů 4x SFP/SFP+ 3x 10GBase- SR, 1x 10GBase- LRM, stejný model s primárním zdrojem Výkonnostní parametry 24/62

Minimální propustnost přepínacího subsystému Minimální paketový výkon přepínače Minimální rychlost stohovacího propojení 170 Gbps 120 milionu paketů/vteřinu 300 Gbps Minimální počet MAC adres 14000 Vlastnosti stohování Minimální počet přepínačů ve stohu 8 Automatická kontrola a sjednocení verze software přepínačů ve stohu Možnost předkonfigurace neexistujícího přepínače ve stohu před jeho připojením Seskupení portů (IEEE 802.3ad) mezi různými prvky stohu Kterýkoli prvek ve stohu může být řídícím prvkem stohu (1:N redundance) Jednotlivé switche stohu jsou výměnné dají se přidat i odebrat bez nutnosti restartu stohu Synchronizace všech stavů mezi aktivním řídícím prvkem a jedním ze záložních pro minimalizaci vlivu výpadků Protokoly fyzické vrstvy IEEE 802.3-2005 IEEE 802.3ad Podpora instance STP pro jednotlivé VLAN (PVSTP, VSTP) Podpora "jumbo rámců", min. 120 instancí Protokoly 2. vrstvy IEEE 802.1D IEEE 802.1Q Minimální počet aktivních VLAN 250 IEEE 802.1s - multiple Spanning Tree 25/62

IEEE 802.1w - Rapid Spanning Tree Protocol IEEE 802.1X - Port Access Control IEEE 802.1p - Minimální počet vnitřních front 4 Per VLAN rapid spanning tree (např. PVRST+ nebo ekvivalentní) Detekce protilehlého zařízení (např. CDP, LLDP) Detekce parametrů protilehlého zařízení (např. LLDP-MED) Protokol pro definici šířených VLAN (např. VTP nebo, MVRP, GVRP) Detekce jednosměrnosti optické linky (např. UDLD nebo ekvivalentní jako např. LFM-802.3ah) STP root guard nebo ekvivalentní STP loop guard nebo ekvivalentní Možnost autorecovery po chybovém stavu (jednosměrné optické linky, root guard, loop guard) Multicast/broadcast storm control - hardwarové omezení poměru unicast/multicast rámců na portu v procentech Protokol IP IP alias (více IP sítí na jednom rozhraní) QoS DHCP relay Protokol IPv6 Podpora IPv6 ACL Možnost rozšíření o IPv6 QoS Podpora IPv6 services ( DNS, Telnet, SSH, Syslog, ICMP) Možnost rozšíření o OSPFv3 Podpora IPv6 MLD snooping Podpora IPv6 Port ACL Podpora IPv6 First Hop Security RA guard nebo ekvivalentní,, 26/62

Podpora IPv6 First Hop Security DHCPv6 guard nebo ekvivalentní Podpora IPv6 First Hop Security IPv6 Binding Integrity Guard nebo ekvivalentní Možnost rozšíření o DHCPv6 Server and Relay Směrovací protokoly Rozšiřitelnost o BGPv4 Rozšiřitelnost o OSPFv2, OSPFv3 Rozšiřitelnost o OSPF s MD5 a NSSA Rozšiřitelnost o RIPv2 Statické směrování Možnost rozšířitelnosti o virtualizace směrovacích tabulek (virtuální instance s oddělenou routing a forwarding tabulkou) Možnost rozšířitelnosti o Policy-based routing Směrování multicastu Možnost rozšíření o PIM (dense i sparse mód) IGMPv3 a IGMPv2 snooping IPV6 MLD snooping Bezpečnost Možnost rozšíření o reverse path check (urpf) ACL pro IP ACL pro ethernetové rámce IPv6 ACL Možnost definovat povolené MAC adresy na portu Možnost definovat maximální počet MAC adres na portu Možnost definovat různé chování při překročení počtu MAC adres na portu (zablokování portu, blokování nové MAC adresy), 27/62

DHCP snooping Dynamic ARP inspection (DAI) Verifikace mapování IP-MAC (např. IP source guard) Podpora koncových zařízení Podpora EEE (IEEE 802.3az) Management CLI rozhraní SSHv2 SSHv2 over IPv6 Možnost omezení přístupu k managementu (SSH, SNMP) např. pomocí ACL SNMPv2 SNMPv3 USB konzolová linka/ Sériová konzolová linka 10/100 management out-of-band port DNS klient NTP klient s MD5 autentizací Podpora sběru síťových toků IPv4 (např. NetFlow, j-flow, apod.) RADIUS klient pro AAA (autentizace, autorizace, accounting) TACACS+ klient Port mirroring (SPAN) Port mirroring 1 -> 1 Port mirroring N -> 1 Možnost rozšíření o Port mirroring ACL (mirroruje pouze definované toky) Vzdálený port mirroring (např. RSPAN) 28/62

Syslog Měření zakončení a délky metalického kabelu (např. pomocí TDR) Možnost rozšíření o uživatelsky modifikovatelné automatické reakce/obsluhy událostí při provozu přepínače (pomocí skriptů) Přepínač obsahuje traceroute utilitu operující na linkové vrstvě (Layer 2 traceroute) Automatická aplikace specifické konfigurace pro dané zařízení po detekci jeho připojení na portu Služby NTP server DHCP server Tabulka č.7a - Přístupový přepínač uživatelské sítě Z důvodu jednotné konfigurace a obsluhy je požadován pro přepínače podle tabulek Tabulka č.4a až č. 8A společný operační systém ANO Rozvaděč S001_A Požadovaný počet prvků dle níže uvedené specifikace při zachování počtů portů: Požadovaný počet modulů 48x 10/100/1000 ethernet, neblokující, 802.3at (PoE+) na všech portech současně, L2 šifrování dle 802.1AE, EEE 802.3az 1 nebo 2 17 (8+8+1 rezerva) nebo (16 + 1) Rozvaděč S001_B Požadovaný počet prvků dle níže uvedené specifikace při zachování počtu portů: Požadovaný počet modulů 48x 10/100/1000 ethernet, neblokující, 802.3at (PoE+) na všech portech současně, L2 šifrování dle 802.1AE, EEE 802.3az 1 nebo 2 17 (8+8+1 rezerva) nebo (16 + 1) Rozvaděč S001_C 29/62

Požadovaný počet prvků dle níže uvedené specifikace při zachování počtu portů: Požadovaný počet modulů 48x 10/100/1000 ethernet, neblokující, 802.3at (PoE+) na všech portech současně, L2 šifrování dle 802.1AE, EEE 802.3az 1 nebo 2 17 (8+8+1 rezerva) nebo (16 + 1) Rozvaděč S002 Požadovaný počet prvků dle níže uvedené specifikace: 1 Požadovaný počet modulů 48x 10/100/1000 ethernet, neblokující,, 802.3at (PoE+) na všech portech současně, L2 šifrování dle 802.1AE, EEE 802.3az Základní vlastnosti Typ zařízení Formát zařízení Požadavek na funkcionalitu 9 (8+1 rezerva) Minimální požadavky L3 přepínač modulární Nabízené plnění pro 1 ks (uchazeč uvede, zda funkcionalitu splňuje ano/ne nebo skutečnou hodnotu Počet slotů pro moduly rozhraní min. 8 Redundantní řídící moduly Výpadek (porucha) řídícího modulu nesmí snížit přenosovou kapacitu přepínače pod požadovanou hodnotu kapacity přepínacího subsystému Redundantní zdroje AC 230V Počet a typ uplink portů z řídícího modulu Dostupnost modulů 48x 10/100/1000 ethernet, neblokující, L2 šifrování dle 802.1AE, EEE 802.3az min. 6kW 2x 10Gbase- LRM 30/62

Dostupnost modulů 48x 10/100/1000 ethernet, 802.3at (PoE+) na 24 portech současně, pro S002 rozvaděč Dostupnost modulů s min. 32 porty 1000BaseX (SFP) Dostupnost modulů s min. 32 porty 100BaseX (SFP) Jumbo rámce Podpora Non-Stop Forwarding NSF s SSO Podpora upgrade software za provozu (např. ISSU, NSSU). Podpora virtualizace možnost sloučit alespoň dvě fyzická šasi do jednoho logického celku virtuálního šasi Statické směrování IPv4 Dynamické směrování IPv4 Podpora IPv4, IPV6 v hardware Výkonnostní parametry Celková propustnost centrálních řídících modulů (IPv4/IPv6) Celková potenciální propustnost přepínacího subsystému Minimální dostupná kapacita na slot Minimální počet záznamů ve směrovací tabulce - IPv4 unicast Minimální počet záznamů ve směrovací tabulce IPv6 unicast 250/125 Mpps min. 880 Gbps 40 Gbps 32k 10k Počet MAC adres min 45000 Protokoly fyzické vrstvy IEEE 802.3-2005 IEEE 802.3ad IEEE 802.3ad přes více karet Podpora instance STP pro jednotlivé VLAN (PVSTP, VSTP) Podpora "jumbo rámců", min. 120 instancí Protokoly 2. vrstvy 31/62

IEEE 802.1D IEEE 802.1Q Minimální počet aktivních VLAN 4000 Tunelování 802.1Q v 802.1Q IEEE 802.1X - Port Based Network Access Control IEEE 802.1s - multiple spanning trees IEEE 802.1w - Rapid Tree Spanning Protocol IEEE 802.1p Per VLAN rapid spanning tree (např. PVRST+ nebo ekvivalentní) Detekce protilehlého zařízení (např. CDP, LLDP ) Protokol pro definici šířených VLAN (např. VTP nebo, MVRP, GVRP) Detekce jednosměrnosti optické linky (např. UDLD nebo ekvivalentní jako např. LFM-802.3ah) STP root guard nebo ekvivalentní STP loop guard nebo ekvivalentní Možnost autorecovery po chybovém stavu (jednosměrnost optické linky, root guard, loop guard) Multicast/broadcast storm control - hardwarové omezení poměru unicast/multicast rámců na portu v procentech Protokol IP IP alias (více IP sítí na jednom rozhraní) QoS DHCP relay router redundancy protokol (např. VRRP, HSRP) Protokol IPv6 Podpora HSRP nebo VRRP pro IPv6 Podpora IPv6 ACL 32/62

Podpora IPv6 services ( DNS, Telnet, SSH, Syslog, ICMP, DHCP) Podpora IPv6 Multicast (MLDv1 & v2) Podpora IPv6 Multicast (PIM SSM) Podpora IPv6 Multicast (PIM SM) Podpora OSPFv3 Možnost rozšíření o MP BGP nebo BGP+ Podpora IPv6 MLD snooping Podpora IPv6 First Hop Security (např. IPv6 Port ACL, RA guard, DHCPv6 guard, Destination guard), Směrovací protokoly Možnost rozšíření o BGPv4 OSPF OSPF s MD5 a NSSA RIPv2 Možnost rozšíření o policy-based routing Statické směrování Možnost rozšíření Virtualizace směrovače (například Multi-VRF),,, Směrování multicastu PIM (dense i sparse mód) Source-Specific Multicast (SSM) IGMPv2 IGMPv3 IGMPv3 snooping IPv6 MLD snooping Bezpečnost Podpora reverse path check (urpf) 33/62

ACL pro IP IPv6 ACL Možnost definovat povolené MAC adresy na portu Možnost definovat maximální počet MAC adres na portu Možnost definovat různé chování při překročení počtu MAC adres na portu (zablokování portu, blokování nové MAC adresy) DHCP snooping Dynamic ARP inspection (DAI) Verifikace mapování IP-MAC (např. IP source guard) Podpora IEEE 802.1AE v HW Ochrana centrálního procesoru (control plane) před útoky typu DoS Podpora koncových zařízení Podpora PoE (IEEE 802.3af) Podpora PoE+ (IEEE 802.3at, 30W/port) Automatické i manuální ovládání PoE výkonu portu Ovládání spotřeby energie připojených koncových zařízení Management CLI rozhraní SSHv2 Možnost omezení přístupu k managementu (SSH, SNMP) např. pomocí ACL SNMPv2 SNMPv3 Interpretace uživatelských CLI skriptů a jejich aktivace asynchronní událostí v systému zařízení USB konzolová linka/ Sériová konzolová linka 10/100 out-of-band management port 34/62

DNS klient NTP klient s MD5 autentizací Podpora sběru síťových toků IPv4 (např. NetFlow, j-flow, apod.) RADIUS klient pro AAA (autentizace, autorizace, accounting) TACACS+ klient Port mirroring (SPAN), alespoň 4 paralelních obousměrných relací Vzdálený port mirroring (např. RSPAN), alespoň 4 paralelních obousměrných relací Syslog Nástroje pro měření odezev v síti (například IP SLA nebo ekvivalentní) Služby Podpora NTP DHCP server Tabulka č.8a - Přístupový přepínač uživatelské sítě v objektu S005 Požadovaný počet prvků dle níže uvedené specifikace: 1 Základní vlastnosti Třída zařízení Požadavek na funkcionalitu Z důvodu jednotné konfigurace a obsluhy je požadován pro přepínače podle tabulek Tabulka č.4a až č. 8A společný operační systém Minimální požadavky L3 switch Nabízené plnění pro 1 ks (uchazeč uveden, zda funkcionalitu splňuje ano/ne nebo skutečnou hodnotu) 35/62

Formát zařízení Stohovatelný bez snížení počtu požadovaných ethernet portů fixní konfigurací, 1RU Počet portů 10/100/1000 48 Podpora PoE (IEEE 802.3af) Podpora PoE+ (IEEE 802.3at, 30W/port) Dostupný výkon pro napájení PoE portů Počet portů 10 Gbit/s a jejich typ Osazení transceivery Možnost změny 1Gbit/s na 10Gbit/s rychlosti uplink portu vhodným rozšiřujícím modulem a transceiverem (modul a transievery nejsou součástí nabídky) Redundantní napájecí moduly, vyměnitelné za chodu AC 230V Redundantní ventilátory Podpora směrovacích protokolů, na všech 10/100/1000 portech, na všech 10/100/1000 portech min. 720W 2x SFP+ 2x 10Gbase- LRM, stejný model s primárním zdrojem Výkonnostní parametry Minimální propustnost přepínacího subsystému Minimální paketový výkon přepínače Rychlost stohovacího propojení 125Gbps 100 milionu paketů/vteřinu min 125 Gbps Minimální počet MAC adres 15000 36/62

Vlastnosti stohování Minimální počet přepínačů ve stohu 8 Automatická kontrola a sjednocení verze software přepínačů ve stohu Možnost předkonfigurace neexistujícího přepínače ve stohu před jeho připojením Seskupení portů (IEEE 802.3ad) mezi různými prvky stohu Kterýkoli prvek ve stohu může být řídícím prvkem stohu (1:N redundance) Jednotlivé switche stohu jsou výměnné dají se přidat i odebrat bez nutnosti restartu stohu Synchronizace všech stavů mezi aktivním řídícím prvkem a jedním ze záložních pro minimalizaci vlivu výpadků Protokoly fyzické vrstvy IEEE 802.3-2005 IEEE 802.3ad Podpora instance STP pro jednotlivé VLAN (např. PVSTP, VSTP) Podpora "jumbo rámců", min. 120 instancí Protokoly 2. vrstvy IEEE 802.1D IEEE 802.1Q Minimální počet aktivních VLAN 4000 IEEE 802.1s - multiple spanning trees IEEE 802.1w - Rapid Tree Spanning Protocol IEEE 802.1X: Port Access Control IEEE 802.1p - Minimální počet vnitřních front 4 Per VLAN rapid spanning tree (např. PVRST+ nebo ekvivalentní) 37/62

Detekce protilehlého zařízení (např. CDP, LLDP) Detekce parametrů protilehlého zařízení (např. LLDP-MED) Protokol pro definici šířených VLAN (např. VTP nebo, MVRP, GVRP) Detekce jednosměrnosti optické linky (např. UDLD nebo ekvivalentní) STP root guard nebo ekvivalentní STP loop guard nebo ekvivalentní Možnost autorecovery po chybovém stavu (jednosměrnost optické linky, root guard, loop guard) Multicast/broadcast storm control - hardwarové omezení poměru unicast/multicast rámců na portu v procentech Protokol IP IP alias (více IP sítí na jednom rozhraní) QoS DHCP relay Protokol IPv6 Podpora HSRP nebo VRRP pro IPv6 Podpora IPv6 ACL Podpora IPv6 QoS Podpora IPv6 services ( DNS, Telnet, SSH, Syslog, ICMP) Podpora OSPFv3 Podpora IPv6 MLDv2 snooping Podpora IPv6 Port ACL Podpora IPv6 First Hop Security RA guard nebo ekvivaletní Podpora IPv6 First Hop Security DHCPv6 guard nebo ekvivalentní Podpora IPv6 First Hop Security IPv6 SourceGuard nebo ekvivalentní Podpora IPv6 First Hop Security IPv6 Binding Integrity Guard nebo ekvivalentní 38/62

Podpora DHCPv6 Server and Relay Směrovací protokoly Možnost rozšíření o BGPv4 OSPFv2, OSPFv3 OSPF s MD5 a NSSA RIP/RIPv2/RIPng Statické směrování Možnost rozšíření o virtualizaci routovacích tabulek (virtuální instance s oddělenou routing a forwarding tabulkou) Policy-based routing Směrování multicastu Možnost rozšíření o PIM (dense i sparse mód) IGMPv3, IGMPv2 snooping IPv6 MLD snooping Bezpečnost Podpora reverse path check (urpf) ACL na rozhraní (včetně virtuálních - VLAN, loopback, 802.1ad) ACL pro IP ACL pro ethernetové rámce IPv6 ACL Možnost definovat povolené MAC adresy na portu Možnost definovat maximální počet MAC adres na portu Možnost definovat různé chování při překročení počtu MAC adres na portu (zablokování portu, blokování nové MAC adresy) DHCP snooping Dynamic ARP inspection (DAI) 39/62

Verifikace mapování IP-MAC (např. IP source guard) Podpora IEEE 802.1AE v HW Podpora koncových zařízení Podpora PoE (IEEE 802.3af) Podpora PoE+ (IEEE 802.3at, 30W/port) Ovládání spotřeby energie připojených koncových zařízení a infrastruktury Management CLI rozhraní SSHv2 SSHv2 over IPv6 Možnost omezení přístupu k managementu (SSH, SNMP) např. pomocí ACL SNMPv2 SNMPv3 USB konzolová linka/ Sériová konzolová linka 10/100 management out-of-band port DNS klient NTP klient s MD5 autentizací Podpora sběru síťových toků IPv4 (např. NetFlow, j-flow, apod.) RADIUS klient pro AAA (autentizace, autorizace, accounting) TACACS+ klient Port mirroring (SPAN) port mirroring 1 -> 1 port mirroring N -> 1 port mirroring ACL (mirroruje pouze definované toky) 40/62

Vzdálený port mirroring (např. RSPAN) Syslog Měření zakončení a délky metalického kabelu (např. pomocí TDR) Podpora uživatelsky modifikovatelné automatické reakce/obsluhy událostí při provozu přepínače (pomocí skriptů) Přepínač obsahuje traceroute utilitu operující na linkové vrstvě (Layer 2 traceroute) Automatická aplikace specifické konfigurace pro dané zařízení po detekci jeho připojení na portu Služby DHCP server Požadavky na zaškolení IT personálu zadavatele Zadavatel požaduje výrobcem certifikované zaškolení tří osob (IT specialistů) v základní architektuře a správě zařízení. Školení je požadováno v rozsahu minimálně čtyř pracovních dnů. Obsahem školení jsou aktivní prvky popsané v této části specifikace řešení, a to v tabulkách s názvy: Tabulka č.1a - Páteřní přepínač Tabulka č.7a - Přístupový přepínač uživatelské sítě Požadavky na záruku a servis Zadavatel požaduje pro tuto část řešení (část A) záruku a současně servis podle tabulky v úvodu tohoto dokumentu s názvem - Definice záruky a servisní skupiny pro část A. Záruku je nutné v této části chápat i jako požadavek zadavatele na maintenance, tj. přímý support výrobce a bezplatný nárok na nové verze software (firmware, operačních systémů) výše specifikovaných produktů minimálně po dobu trvání záruky. 41/62

Část B Základní popis Tabulka č.1b - Kontroler bezdrátové sítě s redundancí Požadovaný počet párů kontrolerů dle níže uvedené specifikace: 1 Požadavek na funkcionalitu Kontroler pro bezdrátové sítě Minimální požadavky Nabízené plnění pro redundantní pár kontrolerů (uchazeč uvede, zda funkcionalitu splňuje ano/ne nebo skutečnou hodnotu) Počet podporovaných přístupových bodů 100 Rozšiřitelnost kontroleru bez přidávání hardware na minimální počet obsluhovaných přístupových bodů Podpora 1:1 a 1:N redundance kontrolerů 512 Požadovaná redundnance kontrolerů 1:1 Požadován redundantní napájecí zdroj v každém kontroleru AC 230V Minimální počet podporovaných portů 1/10 GE portů každého kontroleru Osazení každého kontroleru transceivery 4 2x 10GBase-SR Kontroler obecné vlastnosti Podpora správy přes serial CLI, SSH/telnet, http a https web GUI, SNMP RJ45 konzolový port a/nebo USB konzolový port 42/62

Možnost navyšování počtu připojitelných AP pomocí nákupu licence Integrovaný radio-resource management Mobility management, L2/L3 Optimalizace multicast provozu v bezdrátové síti (IGMP snooping) Podpora řízení bezdrátových vlastností (mobility) distribuovaných do přístupových přepínačů Požadované funkcionality/vlastnosti bezdrátového řešení jako celku Optimalizovaná architektura pro wave1 standardu 802.11ac Automatizovaná správa frekvenčního pásma Automatizované řešení roamingu uživatelů v rámci AP na jednom přepínači/kontroleru i mezi 2 a více přepínači/kontrolery, L2/L3 Integrované řešení návštěvnického přístupu Možnost bezpečného oddělení návštěvnického provozu od zaměstnaneckého provozu tunelem do DMZ Webová autentizace návštěvníků Podpora 802.11e/WMM Diferenciace úrovní QoS pro hlasové služby, zaměstnance a návštěvníky Podpora Video-streamingu se spolehlivým multicastem Bezpečnost Podpora 802.11i, respektive jeho implementací WPA a WPA2 včetně enterprise variant autentizace/šifrování 802.1x/EAP autentizace: PEAP, EAP-TLS,... Šifrování: AES, WEP Integrovaný IDS systém pro detekci útoků na bezdrátovou síť (wireless IDS) 43/62

Podpora IPv4 a IPv6 dynamických ACL stahovatelných z RADIUSu, Detekce cizích AP (Rogue AP) a klientů v AdHoc režimu Možnost vynuceného odpojení klientů od cizích AP Administrace správců s granularitou přístupových práv Vysoká dostupnost Automatické přizpůsobení se bezdrátové sítě na základě indexu kvality radiového signálu Monitoring a měření kvality radiového signálu Vyhodnocování kvality signálu bezdrátové sítě v reálném čase Možnost detekce rušivých signálů (interference) a identifikace zdrojů interference na základě signatur Troubleshooting radiového signálu a automatické řešení problému rušivého signálu Možnost nastavovat prahové hodnoty pro úroveň kvality signálu bezdrátové sítě Tabulka č.2b - Bezdrátový přístupový bod Požadovaný počet prvků dle níže uvedené specifikace: 72 Dodané AP musí být spravovatelné kontrolerem specifikovaným v tabulce 1B Požadavek na funkcionalitu Minimální požadavky Nabízené plnění pro 1ks zařízení (uchazeč uvede, zda funkcionalitu splňuje ano/ne nebo skutečnou hodnotu) 44/62

AP s vysokou propustností a s interními anténami Podpora standardu 802.11a/b/g/n/ac Podpora MIMO, 3 prostorové streamy Typ antén Podpora mechanismu pro přepojení klientů z 2,4GHz do 5GHz pásma integrované pro obě pásma 10/100/1000 Ethernet rozhraní Možnost PoE napájení AP z přepínače nebo injectoru specifikovaného v rámci tabulky 7A AP uzavřené konstrukce bez ventilátoru Obecné vlastnosti indoor AP Access Pointy vybavené radiem pro 2,4 a 5 GHz pásmo Minimální počet inzerovaných SSID (BSSID) per radio 8 Nastavitelný DTIM interval (Delivery Traffic Indication Message) pro jednotlivé WLAN Access Pointy obsahují X.509 certifikát s lokální platností pro nasazeni PKI Access Pointy jsou fyzicky zabezpečitelné/zamknutelné k okolním pevným částem Podpora přímého přístupu na příkazovou řádku AP přes serial konzoli, nebo Telnet a SSH Požadavky na zaškolení IT personálu zadavatele Zadavatel požaduje výrobcem certifikované zaškolení dvou osob (IT specialistů) v základní architektuře a správě zařízení. Školení je požadováno v rozsahu minimálně jednoho pracovního dne. Obsahem školení jsou aktivní prvky popsané v této části specifikace řešení, a to v tabulce s názvem: Tabulka č.1b - Kontroler bezdrátové sítě s redundancí 45/62