Presidenza del Consiglio dei Ministri UFFICIO NAZIONALE PER IL SERVIZIO CIVILE CAPITOLATO TECNICO PER SERVIZI A BANDA LARGA DI COLLEGAMENTO VPN TRA LE SEDI ED ACCESSO AD INTERNET
INDICE PREMESSA...3 ARCHITETTURA DI RIFERIMENTO ED ACCESSI...4 Servizi Obbligatori...4 Rete Intranet...4 Protocolli...4 Implementazione...5 Prestazioni degli accessi alla VPN...5 Supporto ridondanza di rete e backup...7 Sede Direzione Generale...9 Sedi da collegare in Fascia A...10 Sedi da collegare in Fascia B...10 Sedi da collegare in Fascia C...10 Sedi da collegare in Fascia D...11 Apparati...11 Accesso Internet...11 Architettura del servizio...13 Tempi di rilascio del Servizio...14 Connettività complementare...14 SERVIZI OPZIONALI...15 Banda Intranet sedi Fascia A...15 Servizio di Fonia...15 Accesso domestico e mobile...15 ASSISTENZA TECNICA...16 2 di 17
PREMESSA I progetti interni all Ufficio Nazionale per il servizio civile della Presidenza del Consiglio (UNSC) impongono la disponibilità di servizi applicativi veicolati su di una infrastruttura di rete adeguata. Le soluzioni informative adottate, o in fase di adozione, sono e saranno basate su accessi condivisi ad applicazioni verticali basate su interfaccia HTML e protocollo HTTP orientate alle applicazioni di gestione amministrativa. La maggiore informatizzazione dei processi governati da tali applicazioni e la disponibilità di interfacce grafiche impongono una crescente disponibilità di banda in termini di bit al secondo. La crescente diffusione di servizi di rete integrati, inoltre, rende auspicabile la futura realizzazione di servizi avanzati multisede su rete privata dotati di prestazioni sin ora non raggiungibili con tecnologia tradizionale. La rete dovrà continuare a costituire l infrastruttura di intranet preposta a connettere le diverse sedi fra di loro con prestazioni omogenee anche nel caso di collegamenti da sede a sede o intrasede; inoltre dovrà essere garantita la possibilità di ampliare gli attuali collegamenti estendendoli alle sedi attualmente previste e non collegate ma anche a quelle ancora da definire. In base a queste considerazioni preliminari s impone la necessità di continuare a mantenere attiva una rete multiservizio a larga banda in grado di servire entrambi gli ambiti di servizio. 3 di 17
ARCHITETTURA DI RIFERIMENTO ED ACCESSI Il seguente capitolo descrive a partire dall infrastruttura di rete attuale i requisiti di servizio a cui dovrà aderire l infrastruttura di rete intranet e di accesso ad internet. Sono altresì illustrati gli aspetti di ridondanza del servizio supportati dalla rete e le soluzioni attese per livelli di affidabilità crescenti. Servizi Obbligatori Il servizio di collegamento intranet dovrà consentire possibilmente pari prestazioni in termini di banda sia fra le sedi stesse così come all interno della LAN di sede. Pertanto al posto di collegamenti punto-punto in cui la crescita della banda è vincolata al rilascio di nuovi circuiti, dovrà essere previsto possibilmente un unico accesso fisico in grado di scalare a capacità di banda superiori. Il taglio minimo previsto per i collegamenti fra sedi in intranet dovrà essere tale da rendere la banda client-server il più prossima possibile a quella tipica della LAN. Presso alcune sedi nevralgiche nel seguito precisate è necessario predisporre connettività in fibra ottica a banda scalabile eventualmente oltre a 100 Mbps in base a revisioni contrattuali concordate con l operatore. Nel seguito della specifica saranno dettagliate le prestazioni attese per il servizi di rete Intranet. Rete Intranet Il servizio di connettività fra le sedi intranet dovrà essere gestito dall operatore mediante una rete multiservizio in tecnologia IP in grado di trasportare i tradizionali servizi di trasferimento dati in tecnologia internet (ftp, http, telnet, smtp, snmp, pop/imap, ecc.) nonché gli emergenti servizi multimediali di comunicazione personale. Protocolli La realizzazione della rete virtuale, ovvero la riserva di capacità di smistamento del traffico VPN e la separazione del traffico VPN e la separazione del traffico medesimo da quello di rete pubblica, sul backbone IP di un operatore, dovrà basarsi su protocollo standard, intendendo con ciò insiemi di procedure di comunicazioni (protocolli) riconosciuti dall organismo normatore IEFT e disponibili commercialmente su apparati prodotti da più fornitori. La modalità di trasporto proposta dovrà essere basata sull impiego del livello 3 della pila OSI, basata sul protocollo IP ed in grado di interfacciare le diverse subnet già presenti presso le sedi dell UNSC in modalità semplice e trasparente. In questo senso è ritenuto elemento di merito l impiego del protocollo MPLS (Multi Protocol Label Switching) in quanto garante di una rigorosa separazione dei flussi di traffico scambiati tra le sedi da quelli relativi ad altre entità, non facenti parte della VPN, ma anch esse connesse al backbone. 4 di 17
Implementazione L implementazione del servizio di rete privata virtuale (nel seguito chiamata VPN) dovrà essere realizzato direttamente sull infrastruttura dell operatore senza implicare attraversamenti della rete Internet. Tale VPN dovrà avere caratteristiche tali da consentire la scalabilità della configurazione ad un maggior numero di sedi e non dovrà necessariamente implicare meccanismi di criptazione nel caso in cui l operatore possa garantire la coesistenza senza visibilità reciproca delle VPN configurate ai diversi clienti. Per quanto riguarda gli aspetti implementativi della connettività alle sedi è previsto l impiego di portanti fisici sia in fibra ottica che su rame per la connettività di ciascuna sede metropolitana. Sarà valutato come elemento qualificante la disponibilità da parte dell operatore di una infrastruttura proprietaria in fibra ottica. La soluzione di rete proposta dovrà consentire l utilizzo trasparente e condiviso del servizio di accesso Internet già presente in azienda. Prestazioni degli accessi alla VPN Le sedi dell UNSC che saranno interconnesse dalla VPN sono suddivise in base alla Fascia di servizio preferenziale. Sono previste quattro classi di servizio per gli accessi alla VPN differenziate per prestazioni, livello di ridondanza e Service Level Agreement. Fascia A Terminazione Ethernet 10/100 base T; Servizi di trasferimento dati: throughput effettivo in qualunque condizione di traffico in rete, 10 Mbit/s senza distinzione dei versi di traffico (entrante ed uscente) Throughput scalabile fino a 100 Mbps con eventuale sostituzione degli apparati Impiego di portanti fisici in fibra ottica per la connettività metropolitana Ritardo di Rete medio mensile inferiore o uguale a 20 msec. Tale parametro dovrà essere computato sul percorso di andata e ritorno fra i due apparati di terminazione del servizio VPN dell operatore Percentuale di perdita mensile dei pacchetti inferiore o uguale al 0,1% Fascia B Terminazione Ethernet 10/100 base T; Servizi di trasferimento dati: throughput nominale in qualunque condizione di traffico in rete, 8 Mbit/s senza distinzione dei versi di traffico (entrante ed uscente). Throughput minimo garantito 4 Mbit/s (Committed Information Rate) Impiego di portanti fisici in fibra ottica o in alternativa su rame per la connettività metropolitana Backup dei collegamenti secondo la tecnologia delle portanti adottata 5 di 17
E esplicitamente consentito al fornitore di implementare il servizio su rame mediante subfornitura di trasporto o ultimo miglio dal fornitore terzo mediante contratto quadro di tipo wholesale. Fascia C Terminazione Ethernet 10/100 base T; Servizi di trasferimento dati: throughput nominale in qualunque condizione di traffico in rete, 4 Mbit/s senza distinzione dei versi di traffico (entrante ed uscente). Throughput minimo garantito 2 Mbit/s (Committed Information Rate) Impiego di portanti fisici in fibra ottica o in alternativa su rame per la connettività metropolitana Backup dei collegamenti secondo la tecnologia delle portanti adottata E esplicitamente consentito al fornitore di implementare il servizio su rame mediante subfornitura di trasporto o ultimo miglio dal fornitore terzo mediante contratto quadro di tipo wholesale. Fascia D Terminazione Ethernet 10/100 base T; Servizi di trasferimento dati: throughput nominale in qualunque condizione di traffico in rete, 2 Mbit/s senza distinzione dei versi di traffico (entrante ed uscente). Throughput minimo garantito 1 Mbit/s (Committed Information Rate) Impiego di portanti fisici in fibra ottica o in alternativa su rame per la connettività metropolitana Backup dei collegamenti secondo la tecnologia delle portanti adottata E esplicitamente consentito al fornitore di implementare il servizio su rame mediante subfornitura di trasporto o ultimo miglio dal fornitore terzo mediante contratto quadro di tipo wholesale. 6 di 17
Supporto ridondanza di rete e backup Dal punto di visto della disponibilità dei servizi di rete stessa gli operatori dovranno essere in grado di quotare e fornire per le rispettive fasce di servizio meccanismi affidabili di ridondanza e backup. L Ufficio Nazionale per il servizio civile si riserva di acquisire tale misure di backup la dove si rendano necessari. Nel caso del servizio di Fascia A si richiede una duplicazione dell accesso alla VPN aderente alla seguente specifica: Duplicazione fisica degli apparati attivi di terminazione di rete Supporto protocollo HSRP (router virtuale) per ridondanza della terminazione di rete Implementazione in fibra ottica del percorso di back up Disponibilità a diversificare sul piano tecnico ed economico la banda in condizioni di backup Duplicazione della connettività dalla centrale operatore alla sede (ultimo miglio) Per centrale si intende l infrastruttura operatore preposta alla realizzazione della connettività fra il backbone e l ultimo miglio verso il cliente. In questo senso è previsto che l operatore disponga, presidi e controlli tali infrastrutture sulla propria rete metropolitana di servizio. Sede periferica Fascia A Router Virtuale Centrale MAN Rete Operatore Figura 1 - Accesso ridondato per Fascia A 7 di 17
Nel caso del servizio in Fascia B, C e D è sufficiente che il backup sia implementato mediante l adozione di network adapter sul router e di dial-up ISDN verso l infrastruttura più avanti descritta come Accesso Dial-up. In ogni caso i singoli collegamenti ISDN remoti saranno attivati e gestiti a carico dell UNSC. Per le sedi collegate con servizio di Fascia B è previsto il supporto di PRI ISDN con conseguente banda in condizioni di backup pari a 2 Mbps. Per le sedi collegate con servizio di Fascia C è previsto il supporto di BRI ISDN con conseguente banda in condizioni di backup pari a 256 Kbps. Per le sedi collegate con servizio di Fascia D è previsto il supporto di BRI ISDN con conseguente banda in condizioni di backup pari a 128 Kbps. Sede periferica Fascia B\C\D ISDN Centrale MAN Rete Operatore Sede Direzione Figura 2 - Accesso ridondato per Fascia B\C Sono pertanto da includere in offerta le seguenti componenti essenziali al servizio: Local loop di connessione collegamento alla rete fonia dimensionato per accogliere contemporaneamente fino a 1 sedi in backup su accesso PRI (1024 Mbps), fino a 2 sedi in backup su accesso BRI (1 su accesso 128 Kbps e una sua accesso 256 Kbps). 8 di 17
Server di accesso in grado di supportare il dimensionamento summenzionato. Rappresenterà titolo di merito proporre l implementazione del back-up sullo stesso router di accesso in fibra della sede di Roma. Il collegamento deve poter essere effettuato tramite degli accessi telefonici (dialup) di tipo sia analogico (v.90) che di tipo digitale (ISDN, GSM). L autenticazione tramite password degli utenti del servizio dial-up deve essere effettuata utilizzando il protocollo CHAP (Challenge Access Protocol) e server Radius o TACACS. Il Sistema di autenticazione delle utenze, comprensivo di hardware, software di base e software di autenticazione e la disponibilità delle utenze per il collegamento sarà messo a disposizione dall UNSC. Sede Direzione Generale La Direzione Generale di Roma è ufficialmente ubicata in via San Martino della Battaglia 6; è in corso il suo allargamento ad un ulteriore edificio situato a pochi metri di distanza, come di seguito specificato. Per quanto riguarda l Edificio-1 (sito in via San Martino della Battaglia 6) che funge da Centro Stella è necessario precisare che su tale sede devono essere assicurati i servizi VPN secondo le seguenti specifiche: Terminazione Ethernet 10/100 base T; Servizi di trasferimento dati: throughput effettivo in condizioni di esercizio 100 Mbit/s senza distinzione dei versi di traffico (entrante ed uscente). Throughput effettivo in condizioni di backup 10 Mbit/s senza distinzione dei versi di traffico (entrante ed uscente). Throughput scalabile fino a 1 Gbps con eventuale sostituzione degli apparati Impiego di portanti fisici in fibra ottica per la connettività metropolitana Ridondanza dei collegamenti su doppia portante fisica Ridondanza degli apparati Per quanto riguarda l Edificio-2 (sito a pochi metri di distanza dal primo ed al momento dell uscita del presente bando non ufficialmente disponibile, ma presumibilmente attivabile nel corso del primissimo periodo di validità del contratto) si richiede la fornitura di una tratta in fibra spenta a collegamento diretto con l Edificio-1 tramite specifica ITU-T G.655 o collegamento similare. 9 di 17
Sedi da collegare in Fascia A Le seguenti Sedi i cui riferimenti geografici sono indicati nella seguente Tabella 1 dovranno essere possibilmente servite secondo la definizione di servizio di Fascia A. Sede Milano Via Pola, 9 Napoli Centro Direzionale Isola C5 Bologna Via Aldo Moro, 30 Torino Corso Stati Uniti, 1 Tabella 1- Sedi per collegamento a Larga Banda (Mandatorio) Rappresenterà titolo di merito il numero delle sedi di tale tabella collegabili secondo la tipologia di servizio di Fascia A. Nel caso in cui non sia possibile o convenientemente il collegamento con servizio in Fascia A deve essere comunque garantito il servizio in Fascia B per le sedi di questo gruppo. Sedi da collegare in Fascia B Le seguenti Sedi i cui riferimenti geografici sono indicati nella seguente Tabella 2 dovranno essere servite secondo la definizione di servizio di Fascia B. Firenze via di Novoli, 26 Sede Tabella 2 Sedi da collegare in Fascia B Sedi da collegare in Fascia C Le seguenti Sedi i cui riferimenti geografici sono indicati nella seguente Tabella 3 dovranno essere servite secondo la definizione di servizio di Fascia C. Sede Padova - Palazzo Moroni Via del Municipio, 2 ( ) Tabella 3 Sedi da collegare in Fascia C ( - al momento non disponibile e pertanto non incluso limitatamente per la sola parte dell offerta economica, ma previsto attivabile in seguito, nel corso di validità del contratto) 10 di 17
Sedi da collegare in Fascia D Le seguenti Sedi i cui riferimenti geografici sono indicati nella seguente Tabella 4 dovranno essere servite secondo la definizione di servizio di Fascia D. Sede Bolzano via Crispi, 3 Ancona - Via Antonio Giannelli, 36 ( ) L Aquila - sede da definire ( ) Tabella 4 Sedi da collegare in Fascia D ( - al momento non disponibile e pertanto non incluso limitatamente per la sola parte dell offerta economica, ma previsto attivabile in seguito, nel corso di validità del contratto) Apparati Per quanto riguarda gli apparati di rete, l UNSC ha la disponibilità di n. 6 (sei) router Cisco 2621, attualmente in esercizio presso le sedi di Roma (3 router), Bologna, Firenze e Bolzano. E data facoltà al fornitore di utilizzare i sopracitati router per l erogazione del servizio, anche in località diverse dalla attuali. Qualora il fornitore decidesse di utilizzare tali router, si richiede espressamente che questi dovranno essere trattati con le stesse identiche modalità tecniche ed economiche con cui saranno gestiti gli altri apparati di rete. Accesso Internet Il fornitore proporrà il collegamento ad Internet su la sede attuale e condiviso con le altre sedi. Sarà in questo caso sua cura definire sulla rete VPN modalità d accesso sicure che consentano alle sole Sedi partecipanti alla VPN in oggetto di interoperare. Come precisato nel seguito fra la modalità d accesso l operatore dovrà in questo caso precisare sia la velocità d accesso alla sede quanto la banda su Internet garantita. Per la natura di tale architettura di rete dovrà essere garantita una banda end-toend minima pari al 94% del valore nominale ed assicurare una disponibilità, nel tempo, pari ad almeno il 98%. Il fornitore deve essere collegato al MIX con una banda di almeno 600Mpbs e deve avere almeno 3 fornitori di connettività internazionale con almeno 1 Gbps per ogni singolo collegamento. Rappresenterà titolo di merito il numero di ulteriori accessi a punti di interscambio, peering con altri operatori e connettività internazionale. 11 di 17
Nel seguito del documento sarà definita la rete tanto il backbone d accesso quanto la rete d accesso dell operatore, definendo successivamente le modalità minime supportate dal servizio. Terminazione Ethernet 10/100 base T; Servizi di trasferimento dati: throughput effettivo in qualunque condizione di traffico in rete, 20 Mbit/s senza distinzione dei versi di traffico (entrante ed uscente) Throughput scalabile fino a 100 Mbps con eventuale sostituzione degli apparati Impiego di portanti fisici in fibra ottica per la connettività metropolitana 12 di 17
Architettura del servizio La definizione dei servizi secondo tali specifiche prevede una nuova topologia di rete le cui caratteristiche sono rappresentate graficamente come segue. Sedi Fascia A Sedi Fascia B Sedi Fascia C Sedi Fascia D 10 Mbps VPN 8 Mbps (4 Mbps) VPN ISDN PRI Backup 4 Kbps (2 Mbps) VPN ISDN BRI Backup 2 Kbps (1 Mbps) VPN ISDN PRI Backup Intranet VPN-IP Rete Operatore ISDN Internet 20 Mbps VPN 10 Mbps 100Mbps PRI ISDN Access Server Radius Server Sede Direzione Generale Figure 3 -Architettura del servizio dati Intranet, Internet e Accesso Remoto Gli apparati previsti dal servizio dovranno essere forniti in outsourcing dal fornitore comprensivi di contratti di assistenza e manutenzione. Rappresenterà titolo di merito proporre una rete di servizio VPN con supporto del protocollo MPLS 13 di 17
Tempi di rilascio del Servizio Le connessioni delle sedi collegate in fascia A dovranno essere realizzate entro il termine massimo di 60 giorni dalla data di assegnazione del contratto e dovranno prevedere i seguenti interventi: Approvvigionamento degli apparati Installazione e configurazione locale degli apparati di routing Predisposizione dei collegamenti verso il PABX attualmente in essere Predisposizione e configurazione dei circuiti fisici e logici sulla rete del fornitore Interconnessione dell utente al Network del fornitore Testing e Tuning del servizio Collaudo dell impianto e rilascio del servizio. Connettività complementare Lo sviluppo della rete VPN rende necessario già da ora il prevedere di collegare nell immediato futuro alcune sedi elencate nel presente documento (vedi quelle identificate con il simbolo * dell asterisco ), tuttavia è ragionevole supporre che altre sedi (non in elenco) si potranno aggiungere nel corso di validità del presente contratto. Anche in questo caso devono essere disponibili i servizi secondo le Fasce di tipo A, B, C e D in precedenza definite. 14 di 17
SERVIZI OPZIONALI E data facoltà al fornitore di offrire ulteriori servizi addizionali veicolabili sulla soluzione di rete offerta, quali ad esempio, come qui di seguito riportato, la banda intranet di fascia A, servizi di fonia VOIP, Accesso domestico e mobile. La disponibilità di tali servizi sarà elemento di valutazione dell offerta sul piano delle caratteristiche Architetturali. L UNSC si riserva di accedere in futuro a tali servizi nel rispetto delle norme vigenti. Banda Intranet sedi Fascia A E richiesta la possibilità (con vincolo per l offerente) dell espansione di banda di accesso alla VPN per le sedi di Fascia A secondo i seguenti valori: 30 Mbps 40 Mbps 50 Mbps 60 Mbps 70 Mbps 80 Mbps 90 Mbps 100 Mbps In tal caso l offerta deve necessariamente comprendere anche la fornitura, in termini outsourcing, degli apparati adeguati. Servizio di Fonia L operatore ha facoltà di offrire anche servizi di fonia integrata al trasporto dati in modalità VOIP al fine di consentire all UNSC di implementare su rete operatore servizi avanzati di IP Telephony. Rappresenterà titolo di merito solo in tale senso la proposta di fornitura di apparati router in grado di veicolare traffico VOIP ed il supporto nativo della rete Operatore di tale traffico sulla propria infrastruttura. Accesso domestico e mobile Sarà auspicabile che il servizio di rete Intranet via VPN sia accessibile anche dall esterno via Internet garantendo la sicurezza del collegamento ad esempio mediante l adozione del protocollo Ipsec. Tale modalità d accesso dovrà essere orientata all utenza mobile ed al telelavoro. In tal caso è richiesto che l offerta del servizio di accesso Internet domestico sia a larga banda a partire da 2048 Kbps in download o superiore. Sarà ritenuto punto di merito il caso in cui l operatore sia anche in grado di offrire una formula economica integrata (dual billing) che consenta all UNSC di offrire il servizio di accesso ad Internet ai dipendenti (Business to Employee). 15 di 17
ASSISTENZA TECNICA Durante il periodo di servizio, il Fornitore dovrà prevedere un servizio di assistenza tecnica raggiungibile via fax e/o via e-mail per l attivazione formale della procedura di assistenza e raggiungibile per via telefonica per la gestione delle modalità di erogazione dell'assistenza medesima. A pena di esclusione, tale servizio deve essere attivo tutti i giorni (esclusi domeniche e festivi) almeno dalle ore 8.30 alle 18.30 e le eventuali chiamate effettuate oltre le 18.30 dovranno essere registrate e vanno intese come effettuate alle 8.30 del giorno successivo. Il Fornitore è tenuto ad intervenire entro e non oltre le 6 ore lavorative successive alla ricezione della richiesta di intervento, computando come ore lavorative il periodo 8.30-18.30 sopraindicato. Per particolari esigenze dell UNSC e con adeguato anticipo, l assistenza tecnica potrà essere richiesta anche al di fuori di quanto sopra stabilito; in questo caso il fornitore dovrà garantire gli eventuali interventi, quotandoli separatamente. Tutti gli interventi ordinari e/o straordinari consisteranno in provvedimenti (riparazione/sostituzione) atti alla rimozione dei malfunzionamenti hardware e software negli apparati installati dal Fornitore. Il ripristino del servizio è soggetto ai seguenti particolari vincoli relativi al Service Level Agreement limitatamente alla sede della Direzione Generale: Ripristino entro 4 ore dall apertura dell incidente Livello Single Homing di disponibilità del servizio sul base annuale non inferiore a 99,93 % su base annua Il ripristino del servizio è soggetto ai seguenti particolari vincoli relativi al Service Level Agreement limitatamente alle sedi di Fascia A: Ripristino entro 4 ore dall apertura dell incidente Livello Base di disponibilità del servizio sul base annuale non inferiore a 99,90 % su base annua Relativamente all'hardware, nel caso in cui l'entità dei lavori da eseguire non consenta di ripristinare l'operatività dell'apparecchiatura entro 8 ore lavorative dalla ricezione della richiesta di intervento, il Fornitore deve provvedere alla sostituzione dell'apparecchiatura con una di caratteristiche identiche a quella in stato di fermo, fino alla rimessa in funzione di quest'ultima. Non sono compresi nell'obbligo di sostituzione entro 8 ore, le apparecchiature che il Fornitore installerà in configurazione ridondante, in modo cioè che il malfunzionamento di una non comprometta il funzionamento dell'intero sistema. 16 di 17
Il Fornitore, ad ogni singola richiesta di intervento, deve provvedere alla sua registrazione e comunicare al Cliente il numero progressivo assegnato alla richiesta di intervento con la data e l'ora di registrazione; tale data ed ora costituiscono il momento di ricezione della richiesta di intervento" di cui al capoverso precedente, dal quale decorrono i termini di erogazione del servizio. Infine, per ogni intervento effettuato, deve essere redatto da un incaricato del Fornitore un apposito rapporto, sottoscritto da un incaricato del Cliente. Nel rapporto devono essere registrati: il numero d'ordine, il numero dell'installazione, il numero della chiamata, l'ora ed il giorno della chiamata, il numero dell'intervento, l'ora e il giorno dell'avvenuto ripristino (o del termine dell'intervento). 17 di 17