ALLEGATO TECNICO CARATTERISTICHE TECNICHE MINIME RICHIESTE CAPITOLATO SPECIALE PER L IMPLEMENTAZIONE DELLA TECNOLOGIA WIRELESS NEI POR DI ANCONA E DI FERMO. Access Point Gli Access Point dovranno essere obbligatoriamente certificati per operare in ambienti ospedalieri, cioè devono essere conformi allo standard EN 60601-1-2 EMC requirements for the Medical Directive 93/42/EEC. Per la copertura Wireless del POR di Ancona sono richiesti n.11 Access Point da installare esternamente e n. 60 Access Point da installare internamente, mentre per il POR situato a Fermo si richiedono n. 11 Access Point interni per la copertura dell intera struttura. Il posizionamento degli Access Point verrà stabilito dal site survey concernente l analisi e lo studio delle radiofrequenze redatto dalla ditta. Se dall analisi del site survey emerge la necessità di adottare un numero maggiore di Access Point rispetto a quello preventivato, il fornitore si farà carico dell incremento garantendo la copertura RF. L obiettivo è quello di assicurare la connessione Wireless nelle aree maggiormente frequentate dagli operatori, di conseguenza negli angoli più remoti del campus non sarà garantita la copertura. Gli Access Point offerti, devono essere conformi alle norme validate dalla Comunità Europea e dovranno avere almeno le seguenti caratteristiche minime: Dual radios 802.11a/b/g/n 5GHz e 2.4GHz Antenne interne e possibilità di installare almeno 3 antenne esterne Numero di antenne esterne adeguate alla copertura richiesta e in base al site survey Almeno una porta auto-sensing 10/100/1000 Base-T Interfaccia seriale Numero di SSIDs supportati almeno 16 Caratteristiche radio rispondenti agli standard: EN 300 328; EN 301 893 Sicurezza rispondente agli standard: IEC/EN 60950-1, UL 2043 Emissioni rispondenti agli standard: EN 60601-1-2; EN 301 489-1; EN 301 489-17, EN 55022 Class B, RSS-102 Caratteristiche radio rispondenti agli standard: IEEE 802.11a/b/g, IEEE 802.11n, IEEE 802.11h, IEEE 802.11d, IEEE 802.11i, IEEE 802.1x Possibilità di configurare entrambe le radio di un Access Point in 802.11n o una in 802.11n e l altra in 802.11b Installazione a T a soffitto, a muro o a parete o su palo Alimentati esclusivamente tramite PoE (no power injection) 1/9
Supporto per le funzionalità di bilanciamento del carico tra Access Point Configurazione e gestione delle funzionalità realizzata tramite il Wireless Controller Access Point esterni certificati per operare all esterno (NEMA) Wi-Fi e PoE certified Supporto WMM (Wi-Fi Multimedia) Wireless Controller La gestione, la configurazione e l amministrazione della rete wireless dovrà essere garantita da n.2 Wireless Controller, tassativamente dello stesso brand degli Access Point. Uno dovrà essere installato al POR di Ancona e gestirà gli Access Point della rete wireless di Ancona, mentre l altro sarà installato al POR di Fermo e in prospettiva gestirà sia gli apparati relativi alla sede di Fermo che quelli di tutte le reti wireless delle altre sedi INRCA che saranno implementate in futuro. I Controller offerti dovranno essere equipaggiati con almeno n. 71 licenze, che è il numero di Access Point richiesti per Ancona. Anche per Fermo si richiedono n. 71 licenze, necessarie per la gestione degli Access Point di tutte le sedi. Le licenze devono comunque essere adeguate al numero di Access Point proposti e che emergono dal site survey. Si richiede un architettura fault tolerant in cui due o più Wireless Controller si suddividono il numero di Access Point registrati e garantiscono funzionalità di failover in caso di guasto di uno dei Wireless Controller. Sono ammesse soluzioni che prevedono l utilizzo di due Controller nella sede di Ancona e due Controller nella sede di Fermo. I Wireless Controller dovranno essere ridondati nell alimentazione. Dovranno poter gestire ognuno almeno 180 Access Point senza necessità di ulteriori investimenti hardware, ma solo aggiungendo licenze software. I Wireless Controller offerti dovranno possedere le seguenti caratteristiche minime: Operare in alta affidabilità IEEE 802.11a, IEEE 802.11b, IEEE 802.11g, IEEE 802.11d, IEEE 802.11n, IEEE 802.11h Rilevamento automatico Access Point Possibilità di adottare e gestire Access Point su subnets diverse Supporto di roaming layer 3 attraverso subnets diverse Roaming tra Controller distinti facenti parte di un unico dominio (un utente deve poter spostarsi tra Access Point gestisti da Controller diversi senza perdere la sessione) Possibilità di convogliare il traffico verso la rete LAN in modalità Layer 2, Layer 3 e su VLAN Deve poter gestire in maniera centralizzata, per tutti gli Access Point, la configurazione della rete WLAN inclusi SSID, le funzionalità di autenticazione, i parametri radio, le policy di sicurezza, le VLAN e gli upgrade Possibilità di mappare su due VLAN distinte utenti che accedono dallo stesso SSID Supportare DHCP e NTP Possibilità di generare e gestire guest user accounts per l autenticazione e l accesso all infrastruttura WLAN tramite interfaccia WEB 2/9
Avere funzionalità di Report, Log, Tracing e Statistiche per le funzionalità offerte. In particolare avere report per: o Access Point attivi, Controller, Client attivi o statistiche sulla topologia e RADIUS, sulla componente Ethernet e wireless degli Access Point Interfaccia di configurazione CLI o Web-based HTTP o HTTPS Supporto SNMP v1/v2/v3 Selezione automatica del canale (ACS), selezione dinamica del canale e adattamento della potenza trasmissiva Emissioni rispondenti agli standard EN 55022 - EN 55024 In grado di gestire almeno 180 Access Point ogni Controller. Sicurezza Supporto di autenticazione RADIUS basata su MAC address, web login o 802.1x Supporto di IEEE 802.11i, WPA2, WPA, TKIP, WEP Supporto autenticazione 802.1x EAP-TLS, PEAP, MD5 Supporto RADIUS Authentication e Accounting Algoritmi di crittografia: AES, RC4-40, 104, 128bit (TKIP, WEP) Funzionalità di IDS (Intrusion Detection System) con monitoraggio delle RF e rilevamento di Access Point autorizzati, non autorizzati (Rogue AP), la lista degli Access Point connessi, in grado di interpretare i dati registrati e generare alert SNMP Funzionalità di IPS (Intrusion Prevention System) per identificare i dispositivi associati alla rete wireless che inviano traffico malevolo ed escluderli dalla rete: o Rilevamento di un vasto numero di minacce tipo Rouge AP, attacchi DoS, MAC spoofing, ecc o Funzionalità di visual mapping e di location in grado di illustrare la copertura RF e localizzare gli Rouge AP e utenti malevoli o Funzionalità di reportistica, analisi e statistiche in maniera automatica, ai fini di rispondere ai requisiti di tracciabilità e del rispetto della normativa del garante sulla privacy, generazione di report completi sullo stato della rete rispetto alle violazioni o Consentire la creazione di policy di prevenzione almeno per le seguenti situazioni: Rouge AP, Access Point mal configurati, Client che si collegano ad Rouge AP e non facenti parte del dominio, utenti non autorizzati, spoofing del MAC address di Access Point autorizzato, attacchi DoS QoS Supporto per VoWLAN (Voice over Wirelles LAN) Supporto Rate Limiting Inoltre i Controller offerti devono essere completi di quanto necessario per integrarsi con gli switch di competenza. 3/9
Punti Rete Ogni Access Point dovrà essere connesso alla LAN tramite punti rete da realizzare in prossimità di ciascuno di essi. La ditta aggiudicataria pertanto dovrà realizzare n.71 punti rete singoli ad Ancona e n. 11 punti rete singoli a Fermo, che si integreranno con il cablaggio strutturato della sede relativa. I punti rete devono comunque essere adeguati al numero di Access Point proposti e che emergono dal site survey. Tutti i punti rete, cioè anche quelli al servizio degli 11 Access Point esterni dovranno essere realizzati internamente. La connessione degli Access Point esterni con il punto presa interno, dovrà avvenire a cura della ditta aggiudicataria, praticando un foro nel muro. Il cablaggio dovrà essere realizzato in Cat. 6A, con rilascio della certificazione che attesti che il cablaggio è stato eseguito a regola d arte e secondo le specifiche delle normative vigenti. Il cablaggio dovrà essere conforme alla normativa EIA/TIA-568B, EIA/TIA-568B.2-10, ISO/IEC 11801 2nd edition, EN 50173, EN 50174 e ad esse si dovrà fare riferimento per quanto riguarda le norme di installazione, la topologia, i mezzi trasmissivi, le tecniche di identificazione di tutto il cablaggio, la documentazione e le caratteristiche tecniche dei prodotti impiegati. I cavi in rame dovranno essere del tipo non propagante l incendio ed a bassa emissione di gas tossici e corrosivi, nonché di fumi opachi in piena rispondenza alle norme: di propagazione della fiamma (CEI 20-35, IEC 332.1), di propagazione dell incendio (CEI 20-22, IEC 332.3). La guaina esterna deve essere non propagante la fiamma e a basso contenuto di gas alogeni, nel pieno rispetto della normativa a livello nazionale e internazionale (CEI 20-37, IEC 1034, NES 713, IEC 754). Ciascuna delle prese dovrà essere connessa ad un armadio di dorsale, sfruttando apposite canalizzazioni che la ditta dovrà posare nel caso non siano già presenti. Per presa singola si intende tutto quanto serve per collegare il punto presa all armadio principale, nel dettaglio: Scatola portafrutti con placca e 1 Frutto Canalina posta in opera dalla presa fino all armadio ove necessario Cavo di distribuzione di Cat.6A e suo infilaggio fino all armadio Patch Plug tra permutatore - Switch Attestazione cavi al permutatore lato armadio Permutatore laddove fosse necessario Etichettatura della presa in modalità indelebile Collaudo Certificazione. La realizzazione del sistema di cablaggio e del wireless devono essere eseguite da azienda con autorizzazione di 1 grado per l installazione, il collaudo e la manutenzione di impianti TLC rilasciata dal Ministero delle Comunicazioni. L installatore garantirà il cablaggio contro qualsiasi difetto d installazione per un periodo di 3 (tre) anni dalla data di esecuzione coprendo i costi per il materiale e la manodopera necessari. Attiverà anche la garanzia di 25 (venticinque) anni sulle prestazioni del cablaggio rilasciata dal produttore dei componenti utilizzati. 4/9
Switch per Access Point Tutti gli apparati attivi (Switch) forniti dovranno essere dotati di funzionalità PoE (se non specificato diversamente), essere Layer 3 managed (L3) e porte 10/100/1000. Dovranno essere dotati di almeno 4 porte SFP, la tipologia e la quantità di SFP verrà determinata a valle del sopralluogo. Dovranno essere obbligatoriamente dello stesso brand degli Access Point e dei Wireless Controller. POR Ancona Gli apparati attivi ospitati negli armadi di dorsale del POR di Ancona dovranno essere integrati da n.7 (sette) switch rack PoE dedicati ai 71 punti rete richiesti, uno per ogni armadio di dorsale. Gli switch forniti dovranno essere stackable dotati almeno di 24 porte 10/100/1000 con funzionalità PoE, essere Layer 3 e comprensivi di porte SFP e di quanto necessario per integrarsi alla rete esistente. POR Fermo Per il POR di Fermo, in cui abbiamo un solo armadio, si richiede switch modulare o in stacking rack ad elevate prestazioni, che abbia almeno 96 porte 10/100/1000 e almeno 24 porte 10/100/1000 PoE, funzionalità Layer 3 e con alimentazione ridondata. Tale switch dovrà essere equipaggiato con le interfacce necessarie per interconnettersi al Wireless Controller e con quanto necessario per integrarsi con la rete esistente. Specifiche tecniche minime per gli switch da installare presso i Presidi Ospedalieri di Ancona e Fermo: dovranno integrarsi con gli switch esistenti grazie al supporto di protocolli standard; essere equipaggiati (se non specificato diversamente) con 24 porte 10/100/1000 PoE, autosensing, autonegotiating MDI/MDIX RJ45; essere equipaggiati con 4 porte SFP Combo personalizzabili con SFP Gigabit Ethernet in fibra ottica, dovranno inoltre essere dotati di porta console; dovranno essere in grado di alimentare con PoE contemporaneamente tutte le 24 porte 10/100/1000, dovranno essere equipaggiati con alimentazione ridondata in grado di garantire la potenza contemporaneamente su tutte le porte in caso di guasto dell alimentatore interno. Tutti gli switch dovranno essere dotati del rispettivo modulo di alimentazione ridondata con rapporto 1:1; dovranno poter costituire uno stack formato almeno da 8 apparati collegati tra loro con cavo di stack dedicato in grado di supportare una velocità sullo stack di almeno 128 Gbps. Lo stack dovrà essere di tipo ridondante e in caso di guasto di uno degli switch che lo compongono dovrà presentare funzionalità di alta affidabilità consentendo agli altri switch di continuare a funzionare. Dovrà essere possibile estrarre lo switch guasto a caldo senza necessità di fermo dell intero stack. Ogni switch dovrà presentare una capacità di switching almeno di 48 Gbps e un troughput minimo pari a 35 Mpps; se si prevede di offrire switch di tipo modulare per il Presidio di Fermo questo dovrà avere una velocità di backplane di almeno 350 Gbps e un troughput di almeno 250 Mpps, essere espandibile ad almeno 288 porte Gigabit in totale, essere dotato di architettura completamente ridondante e funzioni di gestione ridondanti, supportare standard IEEE 802.3af e IEEE 802.3at su tutte le porte; deve poter essere possibile connettere più utenti sulla stessa porta dello switch e autenticarli con metodi distinti (IEEE 802.1x, MAC, WEB) e applicare loro politiche di sicurezza personalizzate e distinte anche se gli utenti appartengono alla stessa VLAN. 5/9
Gli switch dovranno supportare le seguenti funzionalità: 16.000 Mac Address 2.048 VLAN Layer 2/3/4 IEEE 802.1AB LLDP ANSI/TIA-1057 LLDP-MED IEEE 802.1D MAC Bridges IEEE 802.1s Multiple Spanning Trees IEEE 802.1D IEEE 802.1w Rapid Spanning Tree IEEE 802.3 Ethernet IEEE 802.3ab GE over Twisted Pair IEEE 802.3ad Link Aggregation IEEE 802.3af PoE IEEE 802.3at High Power PoE (30W per porta) IEEE 802.3u 100Base-T, 100Base-FX Full/half duplex auto-sense su tutte le porte IGMP Snooping Jumbo Frame Loop Protection STP Generic Attribute Registration Protocol (GARP) IEEE 802.1p Traffic classification ARP Spoof Protection DHCP Spoof Protection IEEE 802.1X Port Authentication MAC-based Port Authentication RADIUS Accounting for MAC Authentication RADIUS Client Secured Shell (SSHv2) Secured Socket Layer (SSL) Web-based Port Authentication Access Control List (ACLs) RFC 826 Ethernet ARP RFC 1058 RIP v1 RFC 1724 RIPv2 MIB Extension RFC 2328 OSPF version 2 RFC 2453 RIP v2 RFC 3046 DHCP/BootP Relay RFC 3768 VRRP Virtual Router Redundancy Protocol Static Routes RFC 1981 Path MTU for IPv6 RFC 2460 IPv6 Protocol Specification RFC 3315 DHCPv6 (stateless + relay) 6/9
RFC 3513 Addressing Architecture for IPv6 RFC 826 ARP RFC 951, RFC 1542 RFC 1213 MIB/MIB II RFC 1493 BRIDGE-MIB RFC 1724 RIPv2 MIB RFC 1850 OSPF MIB RFC 2096 IP Forwarding Table MIB RFC 2131, RFC 3046 DHCP Client/Relay RFC 2618 RADIUS Client MIB RFC 2620 RADIUS Accounting MIB RFC 2668 802.3 MAU MIB RFC 2674 P-BRIDGE-MIB RFC 2674 QBRIDGE-MIB VLAN Bridge MIB RFC 2737 Entity MIB RFC 2787 VRRP-MIB RFC 2819 RMON-MIB Command Line Interface (CLI) Configuration Upload/Download Editable Text-based Configuration File Multi-configuration File RFC 768 UDP RFC 783 TFTP RFC 792 ICMP RFC 793 TCP RFC 826 ARP RFC 854 Telnet RFC 951 BootP RFC 3176 sflow v4 sflow v5 RMON (Stats, History, Alarms, Events, Filters, Packet Capture) Simple Network Management Protocol (SNMP) v1/v2c/v3 Simple Network Time Protocol (SNTP) TACACS+ for Management Authentication, Authorization and Auditing Web-based Management Webview via SSL Interface 8 Priority Queues per Port 802.3x Flow Control Gli switch devono supportare l integrazione con il sistema di gestione centralizzato wired/wireless. 7/9
Scheda Gateway Dovranno essere fornite n.2 Schede Gateway, una per il centralino del POR di Ancona e una per quello di Fermo. I centralini in considerazione sono Siemens HiPath 4000 V.3.0. In dettaglio devono essere fornite: n. 2 Schede Gateway HG3500 SIEMENS (con licenza per 60 canali contemporanei) per telefoni IP. Tali schede devono consentire di registrare fino a 240 telefoni e permettere di attivare fino a 60 comunicazioni contemporanee. Telefoni VoWi-Fi Si richiedono n.23 e n.7 (n.30 totali) telefoni VoWi-Fi per Ancona e Fermo rispettivamente, con le seguenti caratteristiche minime: Telefono VoWi-Fi SIEMENS OptiPoint WL2 Professional o compatibili con i sistemi Siemens HiPath 4000 V.3.0, comprensivo di caricabatteria. Sistema di Management L offerta deve comprendere un sistema di management che consenta di gestire in maniera centralizzata, la rete integrata LAN + WiFi. Tale sistema deve comprendere i necessari moduli per una perfetta gestione grafica degli apparati. Il prodotto dovrà essere installato su un PC messo a disposizione dall INRCA. Di seguito sono riportate le caratteristiche che il sistema di management offerto deve possedere: installabile su piattaforma Microsoft Windows; supporto multibrand sia wireless che wired; capacità di gestire, monitorare apparati HP; consentire agli amministratori la possibilità di configurare, aggiornare, monitorare e gestire gli apparati Wired e Wireless da una postazione centralizzata; consentire all'amministratore di attivare policy che eseguano azioni automatizzate in risposta agli eventi di rete derivanti da molteplici fonti; consentire l analisi approfondita del traffico: informazioni dettagliate sul traffico di rete (utilizzando protocolli avanzati di analisi del traffico, quali RMON); creazione ed applicazione di policy sia su apparati wired che wireless; protocollo di gestione SNMPv3; gestione facilitata della configurazione; funzionalità di reportistica (Statistiche sui dispositivi wireless); protezione della rete: rilevamento di dispositivi non autorizzati; gestione VLAN da remoto, senza necessità di accedere ai singoli apparati mediante tool grafico; capacità di aggiornare in maniera automatica le immagini software dei dispositivi; utilizzo del protocollo Secure Shell (SSH); possibilità di gestire apparati con indirizzamento IPv6; 8/9
monitoraggio e controllo della coerenza tra le porte che collegano switch distinti; integrazione della parte wireless con le funzioni di gestione della parte wired, ovvero la possibilità di controllare entrambi i domini tecnologici wired e wireless da un unico sistema di gestione; integrazione della parte wireless con le funzioni di policy management della parte wired, ovvero la possibilità di definire i ruoli, i servizi e le policy specifiche centralmente sul sistema di policy management e poi poter fare l enforcement di tali politiche sia sugli apparati wired che wireless; integrazione della parte wireless con le funzioni di inventory manager della parte wired, questo deve includere la possibilità di fare back-up e restore delle configurazioni dei Wireless Controller e degli apparati wired da un unico sistema centralizzato, parimenti deve essere possibile la software distribuzion centralizzata sia per i Controller che per gli apparati wired; possibilità di importare le planimetrie su cui visualizzazione la copertura RF e la dislocazione degli AP, gli AP non autorizzati e i client wireless. 9/9