Příloha č. 2 k Dodatečné informaci č. 9 Technická specifikace veřejné zakázky Modernizace komunikační infrastruktury Ministerstva vnitra Praha a tranzitní část 1
Technické požadavky plnění veřejné zakázky Obsah Technická specifikace veřejné zakázky... 1 Modernizace komunikační infrastruktury Ministerstva vnitra Praha a tranzitní část... 1 Technické požadavky plnění veřejné zakázky... 2 1 Technické řešení modernizace komunikační infrastruktury... 6 1.1 Cíle... 6 1.2 Popis stávajícího stavu... 6 1.2.1 Topologie komunikační infrastruktury MV a PČR... 6 1.2.2 Stávající komunikační okruhy pražské sítě.... 7 1.2.3 Základní prvky stávající komunikační infrastruktury pražské sítě... 7 1.2.4 Hlavní limitující faktory stávající komunikační infrastruktury... 9 1.2.5 Rizika stávající komunikační infrastruktury... 9 1.3 Obecné premisy pro realizaci projektu... 9 1.3.1 Technické předpoklady... 9 1.3.2 Ekonomická východiska... 9 1.4 Technické požadavky na komunikační infrastrukturu... 10 1.4.1 Centrální tranzitní uzly ITS MV (Olšanská, a Bubenečská)... 11 2 Funkční specifikace komunikační infrastruktury... 14 2.1 Požadované síťové prvky objektů... 14 2.1.1 Modulární L3 přepínač... 14 2.1.2 Přístupový L2 přepínač... 17 2.1.3 Uživatelský L2 přepínač... 20 2.1.4 Multiservisní WAN směrovač pro koncový objekt... 22 2.1.5 VOIP hlasová brána... 25 2.1.6 Multiservisní WAN směrovač... 26 2.1.7 WLAN kontrolér pro řízení přístupových bodů WLAN sítě... 29 2.1.8 WLAN access point... 31 2.1.9 Key server... 33 3 Funkční specifikace platformy pro virtualizaci a datové služby... 34 3.1 Servery pro virtualizaci... 34 3.2 Servery pro dohled... 35 3.2.1 Dohled sítě... 36 3.2.2 Server síťových a autentizačních služeb... 40 3.2.3 Fax server... 43 3.2.4 Aplikační servery (syslog, dokumentace, záloha konfigurací atd.)... 44 4 Funkční specifikace IP telefonie... 50 4.1 Požadavky na IP telefonní systém... 50 4.2 Požadavky na řešení číslovacího plánu... 51 4.3 Požadavky na identifikace hovorů... 51 4.4 Požadavky na směrování hovorů... 51 4.5 Požadavky na Call Admission Control... 51 4.6 Požadavky na konferenční hovory... 51 4.7 Požadavky na záložní systém pro volání v jednotlivých lokalitách... 52 4.8 Požadavky na integraci analogových telefonních přístrojů, faxů a modemů... 52 4.9 Požadavky na integraci IP telefonů s aplikacemi na PC... 52 4.10 Požadavky na bezpečnost IP telefonního systému... 52 2
4.11 Požadavky na integraci IP telefonního systému s externími telefonními sítěmi operačních středisek... 53 4.12 Požadavky na integraci IP telefonního systému s externími telefonními sítěmi... 53 4.13 Požadavky na uživatelské služby IP telefonního systému... 54 4.14 Požadavky na koncová pro jednotlivé objekty... 56 4.15 Požadavky na integraci IP telefonní infrastruktury s LAN sítí... 62 4.16 Požadavky na integraci videoklientů s videokonferenčními systémy... 63 4.17 Požadavky na systém nahrávání hovorů... 63 4.18 Požadavky na integraci s prostředím MS Lync... 64 4.19 Požadavky na tarifikační systém... 64 5 Funkční specifikace multimediálních služeb... 65 5.1 Požadavky na videokonferenční server... 65 5.2 Server pro týmovou spolupráci webkonferencing... 66 5.3 Video gateway... 67 6 Požadavky na předvedení funkcionality... 68 7 Požadované počty komponent infrastruktury... 71 8 Místa plnění... 73 9 Další podmínky plnění... 78 3
Seznam tabulek Tabulka 1: Průměrné stáří základních prvků komunikační infrastruktury PČR... 8 Tabulka 2: Seznam pražských objektů určených pro budoucí modernizaci.... 8 Tabulka 3: Funkční specifikace modulárního L3 přepínače... 15 Tabulka 4: Funkční specifikace L2 přepínače... 18 Tabulka 5: Funkční specifikace uživatelského L2 přepínače... 20 Tabulka 6: Funkční specifikace multiservisního WAN směrovače pro koncový objekt... 22 Tabulka 7: Funkční specifikace VoIP hlasové brány... 25 Tabulka 8: Funkční specifikace multiservisního WAN směrovače... 27 Tabulka 9: Funkční specifikace WLAN kontroléru pro řízení WLAN AP... 29 Tabulka 10: Funkční specifikace WLAN access pointu... 32 Tabulka 11: Funkční specifikace key serveru... 33 Tabulka 12: Funkční specifikace serveru pro virtualizaci... 34 Tabulka 13: Funkční specifikace NMS systému... 36 Tabulka 14: Funkční specifikace serveru pro monitoring hlasové infrastruktury... 38 Tabulka 15: Funkční specifikace netflow kolektoru... 39 Tabulka 16: Funkční specifikace síťového a autentizačního systému... 40 Tabulka 17: Funkční specifikace Fax serveru... 43 Tabulka 18: Funkční specifikace syslog serveru... 44 Tabulka 19: Funkční specifikace serveru pro zálohování... 45 Tabulka 20: Funkční specifikace dokumentačního serveru... 47 Tabulka 21: Reference nasazení dokumentačního serveru... 50 Tabulka 22: Propojení objektů do VTS a externích telefonních sítí... 54 Tabulka 23: Funkční požadavky na IP telefon typu A1... 56 Tabulka 24: Funkční požadavky na IP telefon typu A2... 57 Tabulka 25: Funkční požadavky na IP telefon typu A3... 58 Tabulka 26: Funkční požadavky na IP telefon typu B... 58 Tabulka 27: Funkční požadavky na IP telefon typu C... 59 Tabulka 28: Funkční požadavky na IP telefon typu D... 60 4
Tabulka 29: Funkční požadavky na kompaktní videokonferenční terminál... 61 Tabulka 30: Funkční požadavky na analogový převodník... 62 Tabulka 31: Funkční požadavky na systém nahrávání hovorů... 64 Tabulka 32: Funkční požadavky na videokonferenční server... 66 Tabulka 33: Funkční požadavky na webkonferencing... 67 Tabulka 34: Funkční požadavky na Video gateway... 67 Tabulka 35: Požadavky na předvedení funkcionalit... 69 Tabulka 36: Požadované počty komponent infrastruktury... 71 Tabulka 37: Seznam stojanů... 73 Tabulka 38: Požadovaná specifikace dodávaných datových stojanů:... 74 Tabulka 39: Seznam stojanů... 75 Tabulka 40: Požadovaná specifikace dodávaných datových stojanů 21U(80x80):... 77 Tabulka 41: Požadovaná specifikace dodávaných závěsných stojanů:... 77 Tabulka 42: Požadovaná specifikace dodávanýchups:... 77 5
1 Technické řešení modernizace komunikační infrastruktury 1.1 Cíle Základním cílem je modernizovat komunikační infrastrukturu MV pro řešení hlasových služeb MV a PČR v Praze tak, aby byla konvergovaná, vysoce spolehlivá s perspektivou využitelnosti minimálně 10 let. Modernizace musí zajistit tranzitní řešení pro regionální subsítě. Modernizace musí splnit níže uvedené dílčí cíle: Zvýšení stupně ochrany přenášených informací šifrování veškerého provozu ve WAN. Zvýšení spolehlivosti a dostupnosti komunikační infrastruktury v objektech MV a PČR. Zajištění podpory nejmodernějších komunikačních a informačních technologií. Snížení celkových nákladů: o o úspora nákladů na telekomunikačních službách, úspora nákladů na správu jednotné komunikační infrastruktury. Zefektivnění procesů a zrychlení komunikace mezi jednotlivými interními uživateli a složkami s využitím nových nástrojů pro komunikaci multimediální konference (data, hlas, video). Zefektivnění procesů a komunikace s externími složkami s využitím nových nástrojů pro komunikaci multimediální konference (data, hlas, video). Zjednodušení správy a monitoringu komunikační infrastruktury. Rychlejší detekce a odstraňování případných poruch. Zvýšení spolehlivosti a dostupnosti hlasové komunikační infrastruktury. Zabezpečení plnění Pokynu vlády ČR č.727 ze dne 8. 6. 2009 o podpoře protokolu IPv6. Zabezpečení přímé vazby IP telefonního systému na Active Directory, jako prvotního a základního zdroje informací o osobách. Systém nemůže být od Active Directory izolován, je třeba provádět personální změny a základní zřizování služeb osobám z jednoho místa. Zabezpečení ochrany vynaložených investic KŘP Karlovarského kraje, KŘP Pardubického kraje a některých dalších subjektů do již aplikovaných komunikačních systémů. V těchto případech je třeba zajistit plnou kompatibilitu pořizovaných technologií s komunikačními technologiemi již nasazenými (směrovače a LAN přepínače Cisco, IP telefonie IOS využívající platformu Cisco Unified Communications Manager). Technické specifikace stávajících technologií budou vydány na vyžádání. Zároveň se zabezpečením tohoto musí být minimalizováno dvojí vynaložení prostředků pro stejný cíl. 1.2 Popis stávajícího stavu 1.2.1 Topologie komunikační infrastruktury MV a PČR Základem komunikační infrastruktury MV a PČR je páteřní síť ITS MV, na kterou jsou napojeny regionální subsítě (RS). ITS propojuje jednotlivé RS mezi sebou navzájem, připojuje je k centrálním zdrojům a zabezpečuje prostupy a bezpečnost datových toků. Nedílnou součástí sítě ITS jsou i komunikační prostředky využívané ostatními složkami integrovaného záchranného systému, které využívají např. telekomunikační technologie Cisco, Tandberg a Alcatel. 6
1.2.2 Stávající komunikační okruhy pražské sítě. Základem komunikační infrastruktury MV a PČR na území hl. m. Prahy jsou optická vlákna různého stáří splňující doporučení ITU-T G.652 s útlumem 0.25 db/km. Tato vlákna propojují uzlové objekty Ministerstva vnitra, Policejního prezídia a Policie ČR. Přenosová kapacita je nad touto fyzickou vrstvou vytvořena na bázi ATM technologie o přenosové rychlosti 155-622 Mbps, která je limitní pro tento druh technologie. Schema současného řešení ukazuje obrázek: V rámci zvýšení spolehlivosti, dostupnosti a zvýšení propustnosti páteřní IP/MPLS infrastruktury je v rámci jiného projektu Modernizace optické infrastruktury pražské sítě plánováno vybavit uzly Olšanská, Centrotex, Kongresová, Bartolomějská, Strojnická, Letná a Bubenečská (v dokumentu používán též název Wintrova) optickým DWDM multiplexem se dvěma MPLS PE směrovači. Zdvojení PE směrovačů bude znamenat významné posílení spolehlivosti páteřní části IP/MPLS infrastruktury a umožní připojení do páteřní sítě s 10GE přenosovou kapacitou. 1.2.3 Základní prvky stávající komunikační infrastruktury pražské sítě Komunikační prvky jsou rozmístěny v různých objektech na území Prahy. Jedná se o objekty využívané PČR a MV ať již pro plnění primární úkolů těchto subjektů nebo pro různá služeb MV. 7
Tabulka 1: Průměrné stáří základních prvků komunikační infrastruktury PČR Prům.stáří (roky) Telefonní ústředny Pobočková telefonní ústředna Alcatel 4300L 17,8 Pobočková telefonní ústředna Alcatel 4400 10,3 Pobočková telefonní ústředna Alcatel OXE 8,0 Malá telefonní ústředna (Ateus, Panasonic apod.) 14,5 Routery (směrovače) Cisco 2501 17,0 Cisco 805 17,0 Cisco 2514 13,0 Cisco 2621 11,6 Cisco 261 XM 7,5 Cisco 3640 12,3 Cisco 3662 12,0 Cisco 7204 10,3 Cisco 7206-VXR 7,7 Cisco 7606 7,2 Cisco 7304 7,0 Cisco 3725 9,2 Cisco 1841 7,4 Cisco 1721 8,2 Switche (přepínače) Cisco 3750 8 let Cisco 3524 14,0 Cisco 3550 9,0 Cisco 2950 9,1 Cisco E500 10,0 Cisco 6500 12,0 3COM 3000 17,0 3COM 3300 8,0 Tabulka 2: Seznam pražských objektů určených pro budoucí modernizaci. Typ objektu Přibližný počet uživatelů Počet objektů Typ objektu Celkem uživatelů Centrální objekty 1500 2 1 3 000 Velké objekty na páteři, 2x připojení opto 1500 5 2 7 500 Velké objekty koncové, 1x připojení opto 500 12 3 6 000 Velké objekty do 100 uživatelů bez připojení opto 100 4 4 400 Malé objekty do 50 uživatelů 50 5 5 250 Celkem 17 150 Projekt MKI je zaměřen pouze na modernizaci centrálních objektů ITS MV Olšanská a Bubenečská s možností rozšíření na další objekty pražské sítě. 8
1.2.4 Hlavní limitující faktory stávající komunikační infrastruktury Stáří páteřních komponent => omezená podpora moderních technologií Ukončená podpora některých komponent a subsystémů (např. Alcatel 4300L, Vanguard). Nedostatečná výkonost hraničních routerů (nemožnost šifrovat kompletní provoz). Chybějící redundance páteřních prvků. Vysoká nehomogenita komunikační infrastruktury (směs spravovatelných a hloupých aktivních prvků různých výrobců). Téměř nulová podpora řizení datových toků (QoS, LoadBalancing ). Nepřipravenost komunikační infrastruktury na IPv6. Malá propustnost komunikační infrastruktury, zejména na koncových objektech => nízká efektivita on-line provozovaných aplikací, což velmi negativně ovlivňuje pracovní činnosti zejména ve styku s veřejností. 1.2.5 Rizika stávající komunikační infrastruktury Vysoký stupeň nebezpečí bezprostředního kritického selhání části komunikační infrastruktury bez možnosti opravy z důvodu chybějících náhradních dílů. Nebezpečí zahlcení některých částí komunikační infrastruktury z důvodu nemožnosti řídit a kontrolovat datové toky. Nemožnost šifrovat kompletní provoz na WAN síti z důvodu nedostatečné výkonnosti => bezpečnostní riziko v pronajatém přenosovém prostředí. 1.3 Obecné premisy pro realizaci projektu Pro úspěšnou realizaci projektu MKI je nezbytně nutné respektování výchozích podmínek a splnění základních předpokladů. 1.3.1 Technické předpoklady Existence kvalitního datového připojení objektu (naprosto základní a určující předpoklad pro realizaci projektu MKI). Existence strukturované LAN sítě v objektu o potřebném počtu portů (budování nové infrastruktury nepřinese potřebu navyšování počtu přípojných portů pro jednotlivé uživatele). Existence prostoru (technologické místnosti) pro umístění stojanů s technologiemi (tento předpoklad je pouze doporučující). 1.3.2 Ekonomická východiska Ochrana investic v této souvislosti se nabízejí obecně dvě cesty. Jde o cestu komplexního přechodu na konvergovanou technologii IPT nebo pouze částečnou obměnu kritických prvků, jejich doplnění. Tato cesta znamená de facto konzervaci stávajícího řešení, a neustálý tlak na zajišťování ND a podporu výrobce. Tím se vytváří závislost na dožívající infrastruktuře. Koncept komplexní obměny směrem ke konvergovanému řešení nabízí technologické spojení přenosu dat a tedy komplexní modernizaci technologií na delší období do budoucna. Z tohoto důvodu je technická specifikace rozvíjena na základě konvergovaného řešení. 9
1.4 Technické požadavky na komunikační infrastrukturu Předmetem veřejné zakázky je pořízení, instalace a zprovoznění konvergované komunikační infrastruktury v objektech zadavatele Olšanská a Bubenečská. A. Modernizace komunikační infrastruktury v objektech MV a PP Olšanská a Bubenečská Jde o modernizaci komunikační infrastruktury centrálních objektů komunikační sítě MV. Hlavní komunikační uzel Olšanská a záložní komunikační uzel Bubenečská tvoří vrcholy páteřní sítě MV. Hlavním cílem je modernizace komunikační infrastruktury uvnitř těchto objektů umožňující zavedení nových funkcionalit datové a hlasové sítě. Architekturu hlasové sítě požadujeme navrhnout na základě víceúrovňového modelu řízení hlasových komunikací, kdy veškeré signalizační funkce pro koncová IP telefonní přístroje a IP hlasové brány zajišťuje regionální cluster řídicích serverů pro každý region a propojení mezi mezi regiony a dalšími subjekty zajištuje tranzitní cluster umístěný v centrální části sítě (objekty Olšanská a Bubenečská). Zavedení IP telefonie rovněž zahrnuje vytvoření základního překryvného modelu pro celou ČR, který umožní: zachování číslovacího plánu účastníků a přenos služeb stávající hlasové sítě do prostředí IP, zajištění tranzitních volání mezi regiony pro stávající TDM systémy i pro systémy na bázi IP, integraci nových IP a aplikací, integraci nových služeb dostupných prostřednictvím IP telefonie, integraci se stávajícím systémem centrální tarifikace hovorů, posílání alarmů do centrálního dohledového systému (SNMP, syslog, mail). 10
B. Modernizace tranzitní infrastruktury hlasové sítě ITS MV Jde o modernizaci tranzitní IP hlasové infrastruktury, která bude efektivně propojovat jednotlivé regionální hlasové sítě, operační střediska IZS (PČR, HZS, ZZS) a další složky krizové infrastruktury státu. Cílem je poskytnout nové funkcionality uživatelům hlasové sítě, operačním důstojníkům v operačních střediscích IZS, včetně propojení videokonferenčních relací a dalších služeb napříč jednotlivými složkami MV, PČR a IZS. Řešení požadujeme navrhnout na bázi modelu tranzitního clusteru IP hlasových serverů, který zajišťuje veškeré tranzitní funkce pro regionální clustery hlasových serverů, včetně obsluhy požadavků na multimediální služby z úrovně KŘ PČR. Propojení tranzitního clusteru s jednotlivými regionálními servery požadujeme provést pomocí SIP trunků. Všechny servery zdvojené tranzitní IP telefonní infrastruktury musí na centrální úrovni zajištovat propojení pomocí SIPových trunků mezi jednotlivými regiony (14), operačními středisky IZS (PČR, HZS, ZZS, 3x14) a dalšími složkami krizové infrastruktury státu. Jde především o signalizační funkce, tj. fázi sestavení, odbavení a ukončení telefonního hovoru. Vlastní hovorový kanál, po kterém probíhá telefonní hovor, je pak navázán přímo mezi zúčastněnými IP koncovými přístroji už bez účasti řídícího serveru ve vyhražené VPN určené pouze pro hlasový a video provoz. IPT servery požadujeme realizovat na virtualizované serverové platformě v centrálních uzlech ITS MV takto: dvojice IP tefonních serverů pro oblast MV a PP v objektu Praha 3 Olšanská 4, dvojice IP telefonních serverů pro oblast MV a PP v objektu Praha 6 Bubenečská 20 dvojice IP tefonních serverů tranzitní sítě v objektu Praha 3 Olšanská 4, dvojice IP telefonních serverů tranzitní sítě v objektu Praha 6 Bubenečská 20 1.4.1 Centrální tranzitní uzly ITS MV (Olšanská, a Bubenečská) V objektu Olšanská požadujeme vybudovat hlavní datový i hlasový uzel ITS MV zajišťující síťové, bezpečnostní, monitorovací a dohledové služby definované v bodě 2. Pro správu hlasových a video služeb požadujeme zajištění jednotné správy licencí na jednom místě. Charakteristika objektu: KRITICKÝ z hlediska důležitosti Centrální tranzitní uzel ITS MV napojen na externí operátory WAN uzel pro připojení podřízených objektů hlavní síťové datové centrum ITS velký počet uživatelů Požadavky na komunikační infrastrukturu: vysoká dostupnost síťových služeb redundance páteřních prvků připojení do více páteřních směrů 10 GE umístění kontrolních a řídících prvků komunikační infrastruktury 11
Obrázek schematicky znárorňuje integraci nového uzlu na stávající sítě a návaznost na páteřní síť V objektu Bubenečská (v dokumentu používán též název Wintrova) požadujeme vybudovat záložní datový i hlasový uzel ITS MV dále zajišťující zálohu veškerých sítových, bezpečnostních, monitorovacích a dohledových služeb definovaných v bodě 2. Charakteristika objektu: KRITICKÝ z hlediska důležitosti záložní tranzitní uzel ITS MV napojen na externí operátory WAN uzel pro připojení podřízených objektů záložní síťové datové centrum ITS velký počet uživatelů Požadavky na komunikační infrastrukturu: vysoká dostupnost síťových služeb redundance páteřních prvků připojení do více páteřních směrů 10 GE umístění kontrolních a řídících prvků komunikační infrastruktury 12
Obrázek schematicky znárorňuje integraci nového uzlu na stávající sítě a návaznost na páteřní síť 13
2 Funkční specifikace komunikační infrastruktury 2.1 Požadované síťové prvky objektů Z hlediska řešení infrastruktury LAN sítí v jednotlivých objektech požadujeme, aby nabízené řešení bezpodmínečně umožnilo zapojení počítačů za IP telefony vybavené integrovaným přepínačem. Do lokalit jsou poptávány tyto aktivní prvky: Modulární L3 přepínač Přístupový L2 přepínač Uživatelský L2 přepínač Multiservisní WAN směrovačpro koncový objekt VOIP hlasová brána Multiservisní WAN směrovač WLAN kontrolér WLAN access point Key server 2.1.1 Modulární L3 přepínač Modulární L3 přepínač musí mít plně modulární architekturu s možností výměny, nebo případného doplnění jednotlivých modulů a zajistit funkčnost aktivního prvku v případě poruchy řídícího modulu, nebo zdroje napájení. Přepínač musí podporovat funkci, která zajišťuje kontinuální přepínání paketů i v případě poruchy primárního řídícího modulu, kdy jeho funkci přebírá záložní řídící modul. Modulární L3 přepínač musí podporovat L2 L4 síťové funkce včetně podpory IP adresace a standardních směrovacích protokolů pro IPv4 i IPv6 s minimálními požadavky na OSPFv2/v3, BGP a MP-BGP. Rovněž je požadována podpora vytváření oddělených IP VPN sítí prostřednictvím virtualizace směrovacích tabulek. (např. technologie VRF-lite) a podpora virtualizace síťových služeb. Modulární L3 přepínač musí podporovat směrování IP multicast provozu s minimálními požadavky na podporu protokolů PIM SM a PIM SSM a to jak pro protokol IPv4, tak i IPv6. Modulární L3 přepínač musí dále podporovat širokou škálu bezpečnostních mechanismů jako je ochrana proti podvržení zdrojové IP a MAC adresy a ochrana proti neautorizovaným službám DHCP. Modulární L3 přepínač musí podporovat funkcionalitu, která umožňuje sloučit dva fyzické přepínače do jednoho virtuálního, který se vůči okolním systémům (LAN přepínače, servery, atd.) chová jako jeden logický přepínač. Modulární L3 přepínač musí rovněž podporovat agregaci portů do virtuálních trunků napříč fyzickými šasi.modulární L3 přepínač musí plně podporovat řízení kvality služeb (QoS) s možností definice frontování, klasifikace provozu, markování provozu (DSCP, COS) s možností omezení a vyčlenění šířky pásma provozu v jednotlivých kategoriích a definici prioritní fronty pro provoz IP telefonie. Modulární L3 přepínač musí mít plnou podporu IPv6 služeb jako jsou DNS, Telnet/SSH, DHCP, Multicast a QoS. Přepínač musí podporovat technologii DualStack (IPv4 a IPv6). 14
Modulární L3 přepínač musí plně podporovat monitorování aplikačních toků a generovat záznamy s využitím technologie NetFlow v9 bez výrazného nárůstu zatížení CPU. Modulární L3 přepínač musí být vysoce škálovatelný a podporovat rozhraní 1GE, 10GE a 40GE a musí umožnit instalaci specializovaných modulů jako je např. WLAN kontrolér. Tabulka 3: Funkční specifikace modulárního L3 přepínače Výrobce Požadovaná funkcionalita / vlastnost Produktové číslo (typ) nabízeného (v případě, že je zařízené popsáno více produktovými čísly, uvede Uchazeč hlavní produktové číslo nabízeného ) Odkaz na www stránky výrobce, kde je k dispozici detailní technická specifikace (DataSheet) v českém nebo anglickém jazyce Typ přepínače Formát přepínače Minimální počet slotů v šasi pro umístění ethernet komunikačních modulů Minimální kapacita interní sběrnice na 1 slot přepínače Redundantní AC napájecí zdroj Směrování protokolů IPv4 a IPv6 v hardware Způsob splnění funkcionality / výrobce produktového čísla ho odkazu L3 přepínač Modulární 5 200 Gb/s GRE tunelování v hardware Minimální počet 10GE portů s volitelným fyzickým rozhraním 26 Minimální počet 1GE portů s volitelným fyzickým rozhraním 2 Minimální počet 40GE portů s volitelným fyzickým rozhraním 2 Minimální počet 10GE portů osazených rozhraním typu 16 10GBASE-LRM Minimální počet 10GE portů osazených rozhraním typu 6 10GBASE-SR Minimální počet 10GE portů osazených rozhraním typu 2 10GBASE-CX1 (3m) Podpora virtualizace možnost sloučit dvě fyzická šasi do jednoho logického Minimální počet MAC address v tabulce 128000 Minimální počet IPv4 routes ve FIB tabulce 256000 Minimální počet IPv6 routes ve FIB tabulce 128000 IEEE 802.3ad IEEE 802.3ad přes více šasi Minimálně 8 linek jako součást trunku Minimální počet konfigurovatelných trunků 128 IEEE 802.1Q Minimální počet aktivních VLAN 4000 Podpora instance spanning-tree protokolu per VLAN IEEE 802.1w Rapid Spanning Tree Protocol Protokol MVRP nebo VTP pro definici a správu VLAN sítí Podpora jumbo rámců (9200 bytes) Detekce protilehlého (např. CDP nebo LLDP), minimálně 250 instancí 15
Způsob splnění Požadovaná funkcionalita / vlastnost funkcionality / BGPv4, MP-BGP OSPFv2 OSPFv3 First Hop Redundancy Protokol (např. VRRP, HSRP) Policy-based routing podle ACL MPLS EoMPLS Reverse path check (urpf) IGMPv2, IGMPv3 IP Multicast ( PIM SSM, PIM SM) Minimální počet HW QoS front 8 QoS classification ACL, DSCP, CoS based QoS marking - DSCP, CoS, MPLS Exp. QoS - Strict Priority Queue pro ukládání paketů IP telefonního provozu QoS Policing First Hop Redundancy Protokol pro IPv6 (HSRP nebo VRRP) IPv6 services ( Telnet, SSH, Syslog, DHCP) IPv6 QoS IPv6 Multicast (MLDv1 & v2, PIM SSM, PIM SM) IPv6 First Hop Security (Port ACL, RA guard) IPv6 over GRE v HW ISATAP v HW IPv6 ACL urpf pro IPv6 ACL na rozhraní IN/OUT (včetně virtuálních - VLAN, loopback, 802.3ad) Virtualizace směrovacích tabulek - např. Virtual Routing and Forwarding (VRF) Minimální počet oddělených (nezávislých) směrovacích tabulek 50 Podpora protokolů a služeb per VRF (TACACS+, VRRP nebo HSRP, SNMP, Syslog, NTP, PING) Konfigurovatelné prostředky pro ochranu L3 přepínače před útoky typu odepření služby (DoS) formou vhodného omezení frekvence určitých typů rámců/paketů, které jsou zpracovávány procesorem Interní nástroje pro on-line měření kvality síťové infrastruktury, např. IP SLA nebo ekvivalentní Interní nástroje umožňující detailní analýzu a troubleshooting procházejících multimediálních datových toků, např. mediatrace nebo ekvivalentní Zrcadlení provozu na úrovni jednotlivých fyzických rozhraní i virtuálních sítí (VLAN) do monitorovacího rozhraní (ekvivalent funkce SPAN) Interní nástroje pro debugging procházejícího provozu Bezpečnostní funkce umožňující ochranu proti podvržení zdrojové MAC a IP adresy Bezpečnostní funkce umožňující ochranu proti připojení neautorizovaného DHCP serveru 16
Požadovaná funkcionalita / vlastnost Bezpečnostní funkce umožňující inspekci provozu protokolu ARP Monitorování aplikačních toků (všech paketů) prostřednictvím technologie NetFlow Možnost definice klíčových atributů a parametrů monitorovaných toků včetně parametrů: zdrojová/cílová IP adresa, zdrojová/cílová VLAN, TCP flags, TCP sekvenční čísla, hodnota TTL, ICMP kód Možnost definovat minimálně dva různé monitory datových toků současně, jeden monitor pro sběr parametrů datových toků potřebných pro analýzu aplikačních toků, druhý monitor pro sběr parametrů datových toků potřebných pro detekci bezpečnostních incidentů Export monitorovaných dat ve formátu NetFlow v9 nebo IPFIX Minimální počet IP Flow záznamů uchovávaných v lokální cache paměti DHCP server SSHv2 CLI rozhraní SNMPv2/v3 TACACS+ nebo RADIUS klient pro AAA (autentizace, autorizace, accounting) NTP server Vzdálený port mirroring (RSPAN) L2 traceroute Způsob splnění funkcionality / 400000 2.1.2 Přístupový L2 přepínač Přístupové LAN přepínače mohou být modulární nebo fixní konfigurace s 2/1GE uplink porty pro připojení optických případně metalických rozhraní a musí podporovat propojení do stohu s podporou agregace portů do virtuálních trunků napříč jednotlivými členy stohu. Přístupové LAN přepínače musí podporovat na linkové vrstvě mechanismy pro automatické přiřazení IP telefonu do hlasové VLAN. Přístupové LAN přepínače musí podporovat standardy pro napájení po Ethernetu (PoE) dle norem 802.3af a 802.3at a disponovat PoE výkonem min. 720 W, resp. 370 W (48, resp. 24 portový přepínač). Rovněž musí podporovat zabezpečení portů dle standardu 802.1x s podporou pro koncové IP telefony. Přepínače musí rovněž obsahovat interní nástroje umožňující simulovat, analyzovat a trasovat multimediální datové toky. LAN přepínače musí podporovat optimalizaci IP multicast provozu (IGMP a MLD snooping). LAN přepínače musí umožnit zabezpečení na L2 portech, proti podvržení zdrojové MAC a IP adresy a ochranu proti neautorizovaným službám DHCP. Přístupové LAN přepínače musí plně podporovat řízení kvality služeb (QoS) s možností definice frontování, klasifikace provozu, markování provozu (DSCP, COS) s možností omezení a vyčlenění šířky pásma provozu v jednotlivých kategoriích a definici prioritní fronty pro provoz IP telefonie. 17
LAN přepínače musí plně podporovat IPv6 protokoly a služby jako jsou DNS, Telnet/SSH, DHCP, ACL a QoS. Přepínač musí podporovat funkcionalitu IPv6 First Hop Security (IPv6 RA guard, DHCPv6 snooping). Přístupový LAN přepínač musí plně podporovat monitorování aplikačních toků s využitím technologie NetFlow verze 9. Tabulka 4: Funkční specifikace L2 přepínače Tabulka uvádí funkcionality pro přepínač 48 portů i přepínač 24 portů. Požadovaná funkcionalita / vlastnost Výrobce Produktové číslo (typ) nabízeného (v případě, že je zařízené popsáno více produktovými čísly, uvede Uchazeč hlavní produktové číslo nabízeného ) Odkaz na www stránky výrobce, kde je k dispozici detailní technická specifikace (DataSheet) v českém nebo anglickém jazyce Typ přepínače výrobce produktového čísla ho odkazu L2 přepínač Minimální počet dedikovaných stohovacích portů 2 Minimální počet ve stohu 8 Minimální kapacita sběrnice stohu 120Gb/s Stateful Switch Over v rámci stohu Možnost instalovat interní redundantní napájecí zdroj Minimální počet portů 10/100/1000 Base-TX s PoE napájením 24, resp. 48 Minimální počet 1GE uplink portů s volitelným fyzickým rozhraním 2 Minimální počet 1GE portů typu 1000BASE-SX 2 Minimální velikost MAC address tabulky 30000 IEEE 802.3ad IEEE 802.3ad přes více přepínačůve stohu Minimálně 8 linek jako součást trunku Minimální počet konfigurovatelných trunků 64 IEEE 802.1Q Minimální počet aktivních VLAN 1000 Konfigurovatelná kombinace pořadí postupného ověřování na portu (IEEE 802.1x, MAC adresou, Web autentizací) Integrace IEEE 802.1x s IP telefonním prostředím (802.1x Multi-domain authentication) Možnost provozu 802.1x v tzv. audit módu bez omezování přístupu koncových uživatelů RADIUS CoA (RFC 5176) Podpora instance spanning-tree protokolu per VLAN IEEE 802.1w Rapid Spanning Tree Protocol Protokol MVRP nebo VTP pro definici a správu VLAN sítí Podpora jumbo rámců (9190 bytes) Detekce protilehlého (např. CDP nebo LLDP) Směrování protokolů IPv4 a IPv6 v hardware OSPFv2 OSPFv3 First Hop Redundancy Protokol (např. VRRP, HSRP) Reverse path check (urpf) 18
Požadovaná funkcionalita / vlastnost IGMPv2, IGMPv3 DHCP relay Minimální počet HW QoS front 8 QoS classification ACL, DSCP, CoS based QoS marking DSCP, CoS QoS Strict Priority Queue pro ukládání paketů IP telefonního provozu Automatické nastavení QoS parametrů pro IP telefonii (AutoQoS nebo ekvivalentní) QoS Policing First Hop Redundancy Protokol pro IPv6 (HSRP nebo VRRP) IPv6 services ( Telnet, SSH, Syslog, DHCP) IPv6 QoS IPv6 First Hop Security (Port ACL, RA guard, DHCPv6 snooping) IPv6 ACL Možnost definovat povolené MAC adresy na portu ACL na rozhraní IN/OUT (včetně virtuálních VLAN) Bezpečnostní funkce umožňující ochranu proti podvržení zdrojové MAC a IP adresy Bezpečnostní funkce umožňující ochranu proti připojení neautorizovaného DHCP serveru Bezpečnostní funkce umožňující inspekci provozu protokolu ARP IEEE 802.3af IEEE 802.3at 370W v provedení 24 portů, resp. Minimální PoE budget 720W v provedení 48 portů IEEE 802.3az Automatická aplikace specifické konfigurace pro dané po detekci jeho připojení na portu Inteligentní PoE management zajištění napájení připojeného podle konkrétních požadavků daného typu Interní nástroje pro on-line měření kvality síťové infrastruktury, např. IP SLA nebo ekvivalentní Interní nástroje umožňujících detailní analýzu a troubleshooting procházejících multimediálních datových toků, např. mediatrace nebo ekvivalentní Zrcadlení provozu na úrovni jednotlivých fyzických rozhraní i virtuálních sítí (VLAN) do monitorovacího rozhraní (ekvivalent funkce SPAN) Interní nástroje pro debugging procházejícího provozu Monitorování aplikačních toků (všech paketů) prostřednictvím technologie NetFlow 19
Požadovaná funkcionalita / vlastnost Možnost definice klíčových atributů a parametrů monitorovaných toků včetně parametrů: zdrojová / cílová IP adresa, zdrojová / cílová VLAN, TCP flags, TCP sekvenční čísla, hodnota TTL, ICMP kód Možnost definovat minimálně dva různé monitory datových toků současně, jeden monitor pro sběr parametrů datových toků potřebných pro analýzu aplikačních toků, druhý monitor pro sběr parametrů datových toků potřebných pro detekci bezpečnostních incidentů Export monitorovaných dat ve formátu NetFlow v9 nebo IPFIX Minimální počet IP Flow záznamů uchovávaných v lokální cache paměti DHCP server SSHv2 CLI rozhraní SNMPv2/v3 TACACS+ nebo RADIUS klient pro AAA (autentizace, autorizace, accounting) NTP server Vzdálený port mirroring (RSPAN) L2 traceroute 12000 2.1.3 Uživatelský L2 přepínač Uživatelský LAN přepínač musí být vybaven min. 12 porty Ethernet 10/100 a min. 2x 10/100/1000 uplink porty pro připojení optických případně metalických rozhraní. Šasi přepínače musí být v nehlučném, tichém provedení bez ventilátorů. Přepínač musí podporovat na linkové vrstvě mechanismy pro automatické přiřazení IP telefonu do hlasové VLAN. Přepínač musí podporovat standardy pro napájení po Ethernetu (PoE) dle norem 802.3af a 802.3at a disponovat výkonem PoE min. 110 W pro min. počet 8 portů s napájením. Přepínač rovněž musí podporovat zabezpečení portů dle standardu 802.1X s podporou pro koncové IP telefony. Přepínač musí poskytovat zabezpečení na L2 portech proti podvržení zdrojové MAC a IP adresy a ochranu proti neautorizovaným službám DHCP. Přepínače musí plně podporovat řízení kvality služeb (QoS) s možností definice frontování, klasifikace provozu, markování provozu s možností omezení a vyčlenění šířky pásma provozu v jednotlivých kategoriích a definici prioritní fronty pro provoz IP telefonie. Tabulka 5: Funkční specifikace uživatelského L2 přepínače Požadovaná funkcionalita / vlastnost Výrobce Produktové číslo (typ) nabízeného (v případě, že je zařízené popsáno více produktovými čísly, uvede Uchazeč hlavní produktové číslo nabízeného ) výrobce produktového čísla 20
Požadovaná funkcionalita / vlastnost Odkaz na www stránky výrobce, kde je k dispozici detailní technická specifikace (datasheet) v českém nebo anglickém jazyce Typ přepínače Formát přepínače ho odkazu L2 přepínač kompaktní šasi, tiché provedení (bez ventilátorů) Minimální počet portů 10/100 Base-TX 12 Minimální počet portů 10/100 Base-TX s PoE napájením 8 Minimální počet 1GE uplink portů s fixním nebo volitelným (SFP) fyzickým rozhraním 2 Neblokující architektura, tzv. wirespeed Minimální velikost MAC address tabulky 1000 IEEE 802.3ad IEEE 802.1Q Minimální počet aktivních VLAN 16 Konfigurovatelná kombinace pořadí postupného ověřování na portu (IEEE 802.1x, MAC adresou, Web autentizací) Integrace IEEE 802.1x s IP telefonním prostředím (802.1x Multi-Domain Authentication) Možnost provozu 802.1x v tzv. audit módu bez omezování přístupu koncových uživatelů RADIUS CoA (RFC 5176) Podpora instance spanning-tree protokolu per VLAN IEEE 802.1w Rapid Spanning Tree Protocol Protokol MVRP nebo VTP pro definici a správu VLAN sítí Podpora jumbo rámců (9k) Detekce protilehlého IGMPv2, IGMPv3 DHCP relay QoS Policing IPv6 services ( Telnet, SSH, Syslog, DHCP) IPv6 QoS IPv6 First Hop Security (Port ACL, RA guard, DHCPv6 snooping) IPv6 ACL Možnost definovat povolené MAC adresy na portu ACL na rozhraní IN/OUT (včetně virtuálních - VLAN) Bezpečnostní funkce umožňující ochranu proti podvržení zdrojové MAC a IP adresy Bezpečnostní funkce umožňující ochranu proti připojení neautorizovaného DHCP serveru Bezpečnostní funkce umožňující inspekci provozu protokolu ARP IEEE 802.3af IEEE 802.3at Minimální výkon PoE 110 W IEEE 802.3az Inteligentní PoE management zajištění napájení připojeného podle konkrétních požadavků daného typu 21
Požadovaná funkcionalita / vlastnost Zrcadlení provozu na úrovni jednotlivých fyzických rozhraní i virtuálních sítí (VLAN) do monitorovacího rozhraní (ekvivalent funkce SPAN) Interní nástroje pro debugging procházejícího provozu Monitorování aplikačních toků (všech paketů) prostřednictvím technologie NetFlow Možnost definice klíčových atributů a parametrů monitorovaných toků včetně parametrů: zdrojová / cílová IP adresa, zdrojová / cílová VLAN, TCP flags, TCP sekvenční čísla, hodnota TTL, ICMP kód Export monitorovaných dat ve formátu NetFlow v9 nebo IPFIX Vzdálená konfigurace a management - CLI (SSHv2) Vzdálená konfigurace a management - Web prohlížeč (HTTPS) SNMPv2/v3 TACACS+ nebo RADIUS klient pro AAA (autentizace, autorizace, accounting) 2.1.4 Multiservisní WAN směrovač pro koncový objekt Požadovaná funkční specifikace multiservisního směrovače pro koncový objekt je uvedena v následující tabulce. Tabulka 6: Funkční specifikace multiservisního WAN směrovače pro koncový objekt Požadovaná funkcionalita / vlastnost Výrobce Produktové číslo (typ) nabízeného (v případě, že je zařízené popsáno více produktovými čísly, uvede Uchazeč hlavní produktové číslo nabízeného ) Odkaz na www stránky výrobce, kde je k dispozici detailní technická specifikace (DataSheet) v českém nebo anglickém jazyce Typ Formát Požadovaný počet portů GigabitEthernet Směrování IPv4 Směrování IPv6 OSPFv2 BGPv4 Podpora 4 byte AS numbers in BGP Možnost směrování provozu dle dynamicky měřených metrik (zatížení linky, zpoždění, ztrátovost paketů, jitter) First Hop Redundancy Protokol (např. VRRP, HSRP) GRE (Generic Routing Encapsulation) Policy-based routing podle ACL IP Multicast ( PIM SSM, PIM SM) výrobce produktového čísla ho odkazu Směrovač Modulární 3x10/100/1000 Base-TX 22
Požadovaná funkcionalita / vlastnost IGMPv2, IGMPv3 urpf DHCP relay First Hop Redundancy Protokol pro IPv6 OSPFv3 MP BGP IPv6 Multicast (MLDv1 & v2) IPv6 Multicast (PIM SM) IPv6 Multicast (PIM SSM) IPv6 SLA nebo ekvivalentní technologie urpf pro IPv6 IPv6 Tunneling: IPv6 over IPv4 GRE Tunnels IPv6 over IPv4 Multipoint VPN nebo ekvivalentní technologie DHCPv6 Relay QoS classification ACL, DSCP, CoS based QoS marking - DSCP, CoS QoS Shaping and Policing Class Based and Priority queuing Rate Limiting Hierarchical QoS min. 3 úrovně RSVP Virtualizace směrovacích tabulek - např. Virtual Routing and Forwarding (VRF) Minimální počet oddělených (nezávislých) směrovacích tabulek Podpora protokolů a služeb per VRF (TACACS+, VRRP nebo HSRP, SNMP, Syslog, NTP, PING, VoIP gateway) ACL na rozhraní IN/OUT (včetně virtuálních - VLAN, loopback) Stavový firewall IPSec AES 256 Hardwarová akcelerace šifrování pro IPSec AES 256 Minimální propustnost směrovače při aktivovaných službách IPSec šifrování a QoS IKEv2 SHA-2 (SHA-256, SHA-512) Vytváření šifrovaných Hub&Spoke VPN s možností dynamicky sestavovat tunely mezi spoke lokalitami (např. pro IPT provoz) Vytváření šifrovaných VPN bez potřeby tunelů dle RFC 3547 (GDOI based VPN) s centrální správou šifrovacích klíčů Pokročilá detekce a klasifikace jednotlivých přenášených aplikací (DPI na 7.vrstvě OSI modelu dle aplikačních signatur) Vynucení QoS parametrů pro takto rozpoznané aplikace a skupiny aplikací - marking, garance šířky pásma pro jednotlivé aplikace, shaping, policing Měření statistik a výkonnostních charakteristik přenášených multimediálních, realtimových a aplikačních toků - využívané pásmo 20 35Mb/s 23
Požadovaná funkcionalita / vlastnost Měření statistik a výkonnostních charakteristik přenášených multimediálních, realtimových a aplikačních toků - odezvy aplikací Měření statistik a výkonnostních charakteristik přenášených multimediálních, realtimových a aplikačních toků - počty aplikačních spojení Sběr a vyhodnocování statistik a výkonnostních charakteristik multimediálních toků: využívané pásmo, odezvy aplikací, RTP statistiky Monitorování aplikačních toků s využitím technologie NetFlow Možnost definice klíčových atributů a parametrů monitorovaných toků včetně paramterů: zdrojová/cílová IP adresa, zdrojová/cílová VLAN, TCP flags, TCP sekvenční čísla, hodnota TTL, ICMP kód Podpora minimálně 2 různých monitorů současně (pro monitoring bezpečnosti a monitoring objemu přenesených dat) Export NetFlow dat dle formátu NetFlow v9 nebo IPFIX Interní nástroje pro on-line měření kvality síťové infrastruktury, např. IP SLA nebo ekvivalentní Interní nástroje pro debugging procházejícího provozu SSHv2 CLI rozhraní SNMPv2/v3 TACACS+ nebo RADIUS klient pro AAA (autentizace, autorizace, accounting) NTP server Funkce Hlasové VoIP brány Protokol H.323v4 Protokol SIPv2 (RFC3261 a návazné) Funkce T.38 Fax Gateway Podpora funkce IP PBX pro řízení lokálních telefonů v případě ztráty jejich spojení s centrálními hlasovými řídícími servery Počet hlasových rozhraní ISDN BRI 2 Minimální počet G.711 kanálů realizovatelných instalovanými 16 DSP procesory Podpora sdílení instalovaných DSP procesorů pro terminaci hlasových kanálů, transkodování mezi různými kodeky a realizaci konferenčních spojení Signalizační protokolu Q.SIG (BC a GF/SS) dle standardů ECMA pro spojení s pobočkovými ústřednami Alcatel Kodek G.711 Kodek G.722 Kodek G.729 Podpora hlasových rozhraní ISDN PRI DTMF relay přes IP - in-band podle RFC2833 Možnost modifikace algoritmu zpracování signalizace (například pomocí skriptů) Podpora propojení do externích sítí pomocí IP (SIP trunk) Protokol RSVP 24
Požadovaná funkcionalita / vlastnost Podpora protokolů SRTP a TLS pro šifrovaný přenos hlasu Interní nástroje pro on-line měření kvality síťové infrastruktury, např. IP SLA nebo ekvivalentní Interní nástroje pro debugging procházejícího provozu 2.1.5 VOIP hlasová brána Hlasová brána musí mít modulární architekturu s možností přidávat hlasové moduly rozhraní dle budoucí potřeby. Hlasová brána musí podporovat rozhraní ISDN PRI a ISDN BRI ve formě modulů včetně integrovaných DSP procesorů pro zpracování a kódování hlasu včetně možnosti vytvoření konferenčního mostu s podporou kodeků G.722, G.711, G.729. Vyžadována je rovněž podpora VoIP signalizačních protokolů H.323v4 a SIPv2. Hlasová brána musí podporovat nástroje pro lokální přehrávání oznamovacích hlášení volajícím a být schopná modifikovat algoritmus zpracování signalizace např. pomocí skriptů. Hlasová brána musí podporovat přenos faxů standardizovaným protokolem T.38 a rovněž je vyžadována podpora šifrování pro hlas (SRTP) i signalizaci. Hlasová brána musí podporovat nástroje pro on-line měření kvality přenosové infrastruktury z pohledu VoIP za pomoci simulace VoIP provozu. Hlasová brána musí zajistit plnou podporu IP adresace a směrovacích protokolů pro IPv4 a IPv6 s minimálními požadavky na směrovací protokoly. Hlasová brána musí podporovat technologii DualStack (IPv4 a IPv6), musí mít plnou podporu IPv6 služeb jako jsou DNS, Telnet/SSH, DHCP, Multicast a QoS. Tabulka 7: Funkční specifikace VoIP hlasové brány Výrobce Požadovaná funkcionalita / vlastnost Produktové číslo (typ) nabízeného (v případě, že je zařízené popsáno více produktovými čísly, uvede Uchazeč hlavní produktové číslo nabízeného ) Odkaz na www stránky výrobce, kde je k dispozici detailní technická specifikace (DataSheet) v českém nebo anglickém jazyce Typ Formát Minimální počet portů s volitelným fyzickým rozhraním Způsob splnění funkcionality/ výrobce produktového čísla ho odkazu VoIP hlasová brána Modulární 2x10/100/100 0Base-TX Minimální počet hlasových E1/PRI rozhraní 4 Směrování IPv4 Směrování IPv6 Podpora 4 byte AS numbers in BGP 25
Způsob splnění Požadovaná funkcionalita / vlastnost funkcionality/ GRE (Generic Routing Encapsulation) IP Multicast IGMPv2, IGMPv3 HSRP nebo VRRP pro IPv6 IPv6 Multicast (MLDv1 & v2) IPv6 Multicast (PIM SM) IPv6 Multicast (PIM SSM) IPv6 SLA nebo ekvivalentní technologie IPv6 Tunneling: IPv6 over IPv4 GRE Tunnels QoS classification ACL, DSCP, CoS based QoS marking DSCP, CoS QoS Shaping and Policing Class Based and Priority queuing Rate Limiting ACL na rozhraní IN/OUT (včetně virtuálních VLAN, loopback) Interní nástroje pro on-line měření kvality síťové infrastruktury, např. IP SLA nebo ekvivalentní Interní nástroje pro debugging procházejícího provozu SSHv2 CLI rozhraní SNMPv2/v3 TACACS+ nebo RADIUS klient pro AAA (autentizace, autorizace, accounting) Protokol H.323v4 Protokol SIPv2 (RFC3261 a návazné) Funkce T.38 Fax Gateway Minimální počet G.711 kanálů realizovatelných instalovanými 128 DSP procesory Podpora sdílení instalovaných DSP procesorů pro terminaci hlasových kanálů, transkodování mezi různými kodeky a realizaci konferenčních spojení Signalizační protokol Q.SIG (BC a GF/SS) dle standardů ECMA pro spojení s pobočkovými ústřednami Alcatel Kodek G.711 Kodek G.722 Kodek G.729 Možnost instalovat hlasové rozhraní ISDN BRI DTMF relay přes IP - in-band podle RFC2833 Možnost modifikace algoritmu zpracování signalizace (například pomocí skriptů) Podpora propojení do externích sítí pomocí IP (SIP trunk) Minimální počet současných SIP spojení 40 Podpora protokolů SRTP a TLS pro šifrovaný přenos hlasu 2.1.6 Multiservisní WAN směrovač Směrovač musí mít modulární architekturu s možností přidávat moduly rozhraní dle budoucí potřeby. 26
Směrovač musí podporovat vytváření šifrovaných VPN sítí založených na standardu RFC 3547 včetně centralizované správy šifrovacích klíčů a jejich automatické synchronizace v celé síti PČR. Směrovač musí podporovat šifrování aplikačního provozu s využitím technologie IPSec s podporou AES-256, IKEv2 a SHA-2.Je požadována hardwarová podpora šifrování ve směrovači. Směrovač musí zajistit plnou podporu IP adresace a směrovacích protokolů pro IPv4 a IPv6 s minimálními požadavky na směrovací protokoly OSPFv2/v3, BGPv4 a Multiprotocol BGP. Směrovač musí plně podporovat řízení kvality služeb (QoS) s možností definice frontování, klasifikace provozu, markování provozu (DSCP, COS) s možností omezení a vyčlenění šířky pásma provozu v jednotlivých kategoriích a definici prioritní fronty pro provoz IP telefonie. Směrovač musí mít plnou podporu IPv6 služeb jako jsou DNS, Telnet/SSH, DHCP, Multicast a QoS. Směrovače musí podporovat technologii DualStack (IPv4 a IPv6). Směrovač musí podporovat nástroje pro on-line měření kvality přenosové infrastruktury a na jejich základě definovat pravidla pro směrování provozu. Přesná požadovaná funkční specifikace multiservisního směrovače je uvedena v následující tabulce. Tabulka 8: Funkční specifikace multiservisního WAN směrovače Požadovaná funkcionalita / vlastnost Výrobce Produktové číslo (typ) nabízeného (v případě, že je zařízené popsáno více produktovými čísly, uvede Uchazeč hlavní produktové číslo nabízeného ) Odkaz na www stránky výrobce, kde je k dispozici detailní technická specifikace (DataSheet) v českém nebo anglickém jazyce Typ Formát Minimální počet portů 10 Gigabit Ethernet Oddělený procesor pro funkce směrování a forwardování paketů Redundantní AC napájecí zdroj Možnost osadit šasi redundatním řídícím procesorem Směrování IPv4 Směrování IPv6 Minimální propustnost systému Minimální paketový výkon směrovače Minimální počet záznamů ve směrovací tabulce IPv4 Minimální počet záznamů ve směrovací tabulce IPv6 IEEE 802.3ad OSPFv2 BGPv4 Podpora 4 byte AS numbers in BGP Možnost směrování provozu dle dynamicky měřených metrik (zatížení linky, zpoždění, ztrátovost paketů, jitter) First Hop Redundancy Protokol (např. VRRP, HSRP) GRE (Generic Routing Encapsulation) výrobce produktového čísla ho odkazu Směrovač Modulární 4x 10GBASE-SR 80Gb/s 50Mpps 2M 1M 27
Požadovaná funkcionalita / vlastnost Policy-based routing podle ACL IP Multicast ( PIM SSM, PIM SM) IGMPv2, IGMPv3 urpf DHCP relay First Hop Redundancy Protokol pro IPv6 OSPFv3 MP BGP IPv6 Multicast (MLDv1 & v2) IPv6 Multicast (PIM SM) IPv6 Multicast (PIM SSM) IPv6 SLA nebo ekvivalentní technologie urpf pro IPv6 IPv6 Tunneling: IPv6 over IPv4 GRE Tunnels IPv6 over IPv4 Multipoint VPN nebo ekvivalentní technologie DHCPv6 Relay QoS classification ACL, DSCP, CoS based QoS marking - DSCP, CoS QoS Shaping and Policing Class Based and Priority queuing Rate Limiting Hierarchical QoS min. 3 úrovně Virtualizace směrovacích tabulek - např. Virtual Routing and Forwarding (VRF) Minimální počet oddělených (nezávislých) směrovacích tabulek 50 Podpora protokolů a služeb per VRF (TACACS+, VRRP nebo HSRP, SNMP, Syslog, NTP, PING) ACL na rozhraní IN/OUT (včetně virtuálních - VLAN, loopback) IPSec AES 256 Hardwarová akcelerace šifrování pro IPSec AES 256 Minimální šifrovací výkon pro IPSec AES 256 25Gb/s IKEv2 SHA-2 (SHA-256, SHA-512) Vytváření šifrovaných Hub&Spoke VPN s možností dynamicky sestavovat tunely mezi spoke lokalitami (např. pro IPT provoz) Vytváření šifrovaných VPN bez potřeby tunelů dle RFC 3547 (GDOI based VPN) s centrální správou šifrovacích klíčů Pokročilá detekce a klasifikace jednotlivých přenášených aplikací (DPI na 7.vrstvě OSI modelu dle aplikačních signatur) Vynucení QoS parametrů pro takto rozpoznané aplikace a skupiny aplikací - marking, garance šířky pásma pro jednotlivé aplikace, shaping, policing Měření statistik a výkonnostních charakteristik přenášených multimediálních, realtimových a aplikačních toků využívané pásmo Měření statistik a výkonnostních charakteristik přenášených multimediálních, realtimových a aplikačních toků odezvy aplikací 28
Požadovaná funkcionalita / vlastnost Měření statistik a výkonnostních charakteristik přenášených multimediálních, realtimových a aplikačních toků - počty aplikačních spojení Sběr a vyhodnocování statistik a výkonnostních charakteristik multimediálních toků: využívané pásmo, odezvy aplikací, RTP statistiky Monitorování aplikačních toků s využitím technologie NetFlow Možnost definice klíčových atributů a parametrů monitorovaných toků včetně paramterů: zdrojová/cílová IP adresa, zdrojová/cílová VLAN, TCP flags, TCP sekvenční čísla, hodnota TTL, ICMP kód Podpora minimálně 2 různých monitorů současně (pro monitoring bezpečnosti a monitoring objemu přenesených dat) Export NetFlow dat dle formátu NetFlow v9 nebo IPFIX Interní nástroje pro on-line měření kvality síťové infrastruktury, např. IP SLA nebo ekvivalentní Interní nástroje pro debugging procházejícího provozu SSHv2 CLI rozhraní SNMPv2/v3 TACACS+ nebo RADIUS klient pro AAA (autentizace, autorizace, accounting) NTP server 2.1.7 WLAN kontrolér pro řízení přístupových bodů WLAN sítě WLAN kontrolér pro řízení nově instalovaných přístupových bodů WLAN sítě (WLAN access point - WLAN AP) musí podporovat registraci WLAN AP umístěných v jiném objektu přes WAN, šifrování řídících rámců mezi WLAN AP a kontrolérem a musí obsahovat integrovaný IDS systém pro detekci útoků na bezdrátovou síť (wireless IDS). WLAN kontrolér musí dále podporovat rychlý a bezpečný roaming mezi WLAN AP bez potřeby opakované autentizace EAP/Radius a integrovaný radio-resource management včetně spolupráce RRM mezi kontroléry v clusteru. WLAN kontrolér musí také podporovat možnost navýšení počtu podporovaných AP formou dokoupení licencí. Požadovaná funkční specifikace WLAN kontroléru je uvedena v následující tabulce. Tabulka 9: Funkční specifikace WLAN kontroléru pro řízení WLAN AP Výrobce Požadovaná funkcionalita / vlastnost Produktové číslo (typ) nabízeného (v případě, že je zařízené popsáno více produktovými čísly, uvede Uchazeč hlavní produktové číslo nabízeného ) výrobce produktového čísla 29