ANEXO1a CARTA DE DOMICILIO LEGAL (EN PAPEL MEMBRETADO DEL LICITANTE)

Transcripción

1 LICITACIÓN PÚBLICA NACIONAL LPN/SCJN/DGRM-DABI/006/2013 PARA LA COMPRA, INSTALACIÓN Y PUESTA EN OPERACIÓN DE EQUIPOS DE COMUNICACIONES PARA LAS REDES LAN ANEXO1a CARTA DE DOMICILIO LEGAL (EN PAPEL MEMBRETADO DEL LICITANTE) FECHA: DIRECCIÓN GENERAL DE RECURSOS MATERIALES DE LA SUPREMA CORTE DE JUSTICIA DE LA NACIÓN P R E S E N T E (Nombre del representante legal de la persona física o moral) actuando en nombre y representación de (nombre de la persona física o moral), por medio del presente escrito señalo como domicilio legal para recibir y oír las notificaciones, relacionadas con el procedimiento de contratación mediante número, así como las relacionadas con la contratación que llegare a celebrar con los órganos del Poder Judicial de la Federación, el ubicado en Calle número exterior, número interior, Colonia, Delegación o Municipio, Código Postal, Ciudad. Sin otro particular, reitero la veracidad de lo manifestado en el presente escrito. ATENTAMENTE Nombre y firma del representante legal

2 LICITACIÓN PÚBLICA NACIONAL LPN/SCJN/DGRM-DABI/006/2013 PARA LA INSTALACIÓN Y PUESTA EN OPERACIÓN DE EQUIPOS DE COMUNICACIONES PARA LAS REDES LAN ANEXO 1b CARTA PROTESTA DE NO IMPEDIMENTOS PARA CONTRATAR (PERSONAS FÍSICAS Y MORALES) (EN PAPEL MEMBRETADO DEL LICITANTE) FECHA: DIRECCIÓN GENERAL DE RECURSOS MATERIALES DE LA SUPREMA CORTE DE JUSTICIA DE LA NACIÓN P R E S E N T E (Nombre de la persona física o del representante legal de la empresa licitante) actuando a nombre y representación de (Nombre de la empresa licitante). Por medio del presente manifiesto bajo protesta de decir verdad y apercibido de las penas en que incurren los que declaran falsamente ante autoridad distinta a la judicial, que conocemos el Acuerdo General de Administración VI/2008, de fecha 25 de septiembre de 2008, y no nos encontramos en ninguno de los supuestos a que se refieren los artículos 48, fracciones I, II, III, IV, V, VI, VII, VIII y X, así como 58 fracción XVI, del instrumento normativo antes referido. Sin otro particular, reitero la veracidad de lo manifestado en el presente escrito. ATENTAMENTE Nombre y firma del licitante (persona física o representante de la persona moral)

3 LICITACIÓN PÚBLICA NACIONAL LPN/SCJN/DGRM-DABI/006/2013 PARA LA COMPRA, INSTALACIÓN Y PUESTA EN OPERACIÓN DE EQUIPOS DE COMUNICACIONES PARA LAS REDES LAN ANEXO 1c ANTECEDENTES DE PARTICIPACIÓN (EN PAPEL MEMBRETADO DEL LICITANTE) FECHA: DIRECCIÓN GENERAL DE RECURSOS MATERIALES DE LA SUPREMA CORTE DE JUSTICIA DE LA NACIÓN P R E S E N T E (Nombre del representante legal de la persona física o moral) actuando en nombre y representación de (nombre de la persona física o moral), por medio del presente escrito señalo que mi representada ha participado en los siguientes procedimientos de contratación en la Suprema Corte de Justicia de la Nación: Número de la licitación o concurso Fecha Sin otro particular, reitero la veracidad de lo manifestado en el presente escrito. ATENTAMENTE Nombre y firma del representante legal

4 SUMINISTRO, INSTALACIÓN Y PUESTA EN OPERACIÓN DE EQUIPOS DE COMUNICACIONES PARA LAS REDES LAN DE LA ANEXO TÉCNICO JULIO 2013 Página 1 de 38

5 CONTENIDO ESPECIFICACIONES TÉCNICAS... 3 PROPUESTA TECNICA DOCUMENTACIÓN SOPORTE CONSIDERACIONES GENERALES GARANTÍA EXTENDIDA CAPACITACIÓN PERSONAL Y ROLES REQUERIDOS LUGAR DE ENTREGA E INSTALACIÓN... Error! Marcador no definido. PLAZO DE ENTREGA E INSTALACIÓN FORMA DE PAGO... Error! Marcador no definido. PENALIZACIÓN Página 2 de 38

6 ESPECIFICACIONES TÉCNICAS La Suprema Corte de Justicia de la Nación, requiere de una solución integral para el suministro, instalación y puesta en operación de equipos de comunicaciones para su Red LAN, que garantice la conectividad con los MDF s, IDF s, equipos de cómputo, servidores, impresoras, enlaces, equipos de comunicaciones y demás periféricos, conectados a la red actual de este Alto Tribunal. Con el fin de obtener un servicio homogéneo y estándar, toda la solución deberá ser de la misma marca de los equipos centrales (MDF) de la Red LAN que opera en el Edificio Sede de la SCJN; por lo que se requiere que todos los componentes habilitadores de la Red LAN, cuenten con funciones que permitan asegurar el transporte de tráfico de datos en forma segura y eficiente mediante mecanismos propios de los equipos. Los requerimientos técnicos mínimos necesarios se plasman en el cuadro siguiente. PARTIDA DESCRIPCIÓN ÚNICA 1 SUMINISTRO, INSTALACIÓN Y PUESTA EN OPERACIÓN DE EQUIPOS DE COMUNICACIONES PARA LAS REDES LAN DE LA SCJN 1.1 EQUIPAMIENTO DEL EDIFICIO EN PINO SUÁREZ 2, COLONIA CENTRO, DELEGACIÓN CUAUHTÉMOC, C.P , MÉXICO, D.F. Se requiere el suministro, instalación, configuración y puesta en operación de equipos de comunicaciones para el acceso de usuarios jurídicos a la red LAN, a través de un backbone con conexiones de 10 Gbps redundantes. La infraestructura de comunicaciones que se requiere en la LAN del edificio Sede, se muestra en el Esquema CARACTERISTICAS DE FUNCIONAMIENTO La solución propuesta deberá garantizar que cada uno de los 5 IDF s o cuarto de comunicaciones, cumpla al menos con las siguientes características: Chasis de al menos 6 slots con backplane pasivo equipado con arquitectura de proceso distribuido basado en flujos no muestreados Netflow. 200 Puertos 10/100/1000 TX Ethernet PoE 802.3at, como mínimo. Respetando la siguiente distribución: o Dos slots a su maxima capacidad con 72 puertos cada uno o Un slot con 48 puertos de base, con un módulo de 12 puertos de las mismas características y un módulo de 4 Puertos SFP+ 10Gbps Ethernet (802.3ae) incluyendo conectores ópticos LRM en modo redundante hacia el core. Cada uno de los módulos de puertos deben de contar con una conexión al backplane de mínimo 40 Gbps. Debe contar con al menos 1G de memoria por módulo de puertos. Capacidad del Backplane superior a 4 Tbps. Capacidad de procesamiento en capas 2 (Bridging) 3 y 4 (Routing) superior a 700 Mpps. Capacidad de Switcheo superior a 900 Gbps. Se requiere al menos tres slots libres para futuro crecimiento después de la configuración. Fuentes de alimentación redundantes en modo N+1 con alimentación normalizada internacional 110/220 VCA, ajustado a 110 VCA, para el soporte de los puertos PoE, del chasis a su máxima capacidad. Página 3 de 38

7 PARTIDA DESCRIPCIÓN CARACTERÍSTICAS DE SEGURIDAD La solución propuesta deberá garantizar que cada uno de los 5 IDF s o cuarto de comunicaciones, cumpla al menos con las siguientes características: Control de Tormentas de Broadcast Multiautenticación simultánea 802,1x, MAC y Web por puerto y por usuario sin tener la limitante de habilitar bloqueos de MACs antes de configurar autenticación múltiple en el mismo puerto Soporte de 8 usuarios autenticados por puerto Listas de control de acceso extendidas (Capa 4), para filtrado por dirección IP, por número de puerto y tipo de protocolo. Seguridad en la red a través de listas de control de acceso (ACL) básica y extendida, servicios de seguridad basados en políticas para protección de: o Spoofing o Unsupported protocol access o Intrusion prevention o Dos attacks limits Port Mirror 1 a 1, N a 1 para el análisis de tráfico por puerto, por VLAN s, Trunk s (LAG s) y por flujo de datos. El equipo debe poder hacer al menos 5 mirrors simultaneos de N a 1. Interceptar peticiones de un RADIUS provenientes de estaciones de trabajo o equipos conectados y aplicarles un rol o política de seguridad diferenciada cada uno de los elementos pertenecientes a una VLAN. Aplicar una política restrictiva de acceso a la red a múltiples puertos no autenticados sin importar el método de autenticación que se utilice. Crear reglas o políticas de clasificación de tráfico con el software de administración existente para poder asignarse en forma dinámica de acuerdo al usuario autentificado en el puerto por medio de IEEE 802.1x y deben independientes de la configuración de red (capa 2 y 3). Asignación automática a una VLAN de voz de dispositivos telefónicos IP mediante el RFC3580 o equivalente una vez autenticado el dispositivo de voz. La habilidad de poder aplicar una política de prioritizacion de tráfico diferenciada para cada uno de los elementos pertenecientes a una misma VLAN. Bloqueo de Direcciones MAC estático y dinámico (Mac Locking) El equipo debe poder mitigar ataques de manera automática y sin la intervención manual del administrador de red interactuando los equipos preventores o detectores de Intrusos existentes en la red de la SCJN y con el software de administración de la red existente que permitan al menos protecciones pro activas tales como : o Enviar al usuario a una VLAN de cuarentena o Hacer rate limiting al puerto o Bloquear el puerto o Filtrar tráfico por dirección IP y numero de puerto TCP & UDP ADMINISTRACIÓN Y MONITOREO SSH V2 para acceso remoto a la consola. SNMPv3 con encripción. RFC 3580 with policy support SNMP V3 Telnet Command Line Interface Cisco Discovery Protocol V1/V AB LLDP LLDP- MED Syslog SNTP 9 Grupos de RMON SMON Al menos 3 niveles de privilegio de acceso: o Solo Lectura, Lectura o Escritura restringida o Acceso ilimitado CARACTERÍSTICAS DE LOS EQUIPOS DE COMUNICACIONES EN CUANTO A Página 4 de 38

8 PARTIDA DESCRIPCIÓN PROTOCOLOS SOPORTADOS. Soportar o ser compatibles con las versiones más usadas de los siguientes protocolos: o OSPF o OSPFECMP o Rutas Estáticas o RIP v1/v2 o RIP ECMP o IGMP v1/igmp v2 o IGMPSnooping o ICMP o ARP o Proxy ARP o Virtual Router Redundancy Protocol (VRRP) o ACL Básicos y Extendidas o DHCP Server/Relay o OSPF with Multipath Support o PIM-SM o PolicyBasedRouting. o Spanning Tree Loop Detection o GVRP (GenericVLANRegistration Protocol) o IP V6 Debe soportar Netflow v9 en las tarjetas de puertos propuestas sin depender de un módulo de servicio para este propósito. A velocidad del cable sin limitar el performance del equipo y con soporte de mínimo 9k flujos tarjeta VLANS Capacidad para soportar 4094 VLANs. Qué permita la creación de VLANs bajo el Standard 802.1Q en forma dinámica, por información de capa 2, capa 3 y capa 4. Con soporte de Generic VLAN Registration Protocol (GVRP). Capacidad para aplicar políticas de prioritización de tráfico diferenciado para cada uno de los elementos pertenecientes a una misma VLAN LINK AGGREGATION Por medio de 802.3ad CARACTERÍSTICAS DE LOS EQUIPOS DE COMUNICACIONES PARA EL CONTROL DE TRÁFICO Y ACCESO A LA RED. Clasificación de Tráfico Por capa 3, capa 4, Reescritura de VID (VLAN ID) y TOS. Las reglas o políticas de clasificación de tráfico deberán asignarse en forma dinámica de acuerdo al usuario autentificado en el puerto por medio de 802.1x y tendrán que ser independientes de la configuración de red (capa 2 y 3). QoS/CoS o Soporte de protocolo 802.1p, DSCP y reescritura de TOS con al menos 8 colas por puerto. o Para VoIP deberá soportar de manera simultánea y transparente dispositivos multimarca H.323, SIP y LLDP-MED. RateLimiting a 8k para tráfico de entrada y salida por puerto, por VLAN, por flujo de datos y por usuario. Limitar el ancho de banda disponible para un flujo dado ya sea descartando paquetes (rate limiting) o almacenando (rate shaping) paquetes que excedan los límites previamente configurados MISCELÁNEOS. Otros protocolos que deberán soportar los equipos propuestos: 802.1s 802.1x 802.1w Rapid-reconvergence of Spanning Tree 802.3x Flow Control Página 5 de 38

9 PARTIDA DESCRIPCIÓN 802.1d 802.1t 802.1w 802.1p Class of service 802.1s MSTP Para garantizar la máxima integración y su óptima implementación todos los equipos propuestos deben ser de la misma marca que el equipo principal o de Core. Se deben integrar los equipos propuestos de manera transparente a la arquitectura de administración, monitoreo y seguridad ya implementada en el Edificio Sede de la SCJN para la cual es necesario : Actualizar el mapa topológico vía el Topology Manager. Configurar las políticas de seguridad de control de tráfico existentes vía el Policy Manager. Configurar el correlacionador de eventos para que pueda leer los flujos de información vía Netflow provenientes de los equipos propuestos. Actualizar los reportes de alarmas y Top ten definidos vía el One View y la consola de administración del correlacionador de eventos. Integrar los nuevos equipos a la red de OSPF existente SISTEMA DE CONTROL DE ACCESO A LA RED (NAC). Se requiere incluir un sistema virtualizado de control de acceso a la red a instalarse en el ambiente de virtualización existente en la SCJN, para que a través de la actual plataforma de administración con la que cuenta esta SCJN, en todos los elementos Enterasys que conforman la red, se integren técnicas de autenticación de usuarios y dispositivos en todos los puertos, eliminando de esta manera las conexiones no autorizadas a la red tanto de dispositivos como de usuarios con otros equipos móviles y fijos, que cada vez con más frecuencia se conectan a la red de datos (Teléfonos, cámaras de vigilancia, videoconferencia, dispositivos de acceso físico, tablets). El habilitar las técnicas de autenticación y definir diferentes perfiles para diferentes tipos de usuarios deberá permitir restringir, priorizar y/o delimitar el tráfico de usuarios, logrando obtener de esta manera una mayor predictibilidad de la red, un mejor uso de los recursos de la institución y la definición de las aplicaciones a las cuales cada usuario tiene acceso. Por lo que se requiere una solución que garantice un Control de Acceso a la Red de 3000 dispositivos e invitados que valide: Que las personas que se conecten a la red sean usuarios permitidos. Que cada dispositivo que se conecte en la red, cumplan con un mínimo de requisitos de seguridad antes de permitirle el acceso, tales como antivirus, parches, etc. Que una vez que cumpla con los requisitos de seguridad, se le permita el acceso a la red, y se siga monitoreando al usuario/dispositivo para que no infrinja las políticas de seguridad definidas. Se deberá garantizar que las políticas de acceso a la red se apliquen a cada usuario sin importar el IDF al que se conecten o si se cambia de inmueble. Se debe incluir una etapa de Pre-conexión (antes de que se conecte a la red) y otra etapa de Postconexión (cuando el usuario está usando los servicios de la red de la institución Para el control de dispositivos se requiere la siguiente funcionalidad: Detectar y distinguir de forma automática el sistema operativo de los dispositivos (MAC ios, Linux, Windows, etc.), sin importar si el dispositivo es propiedad de la Organización o del usuario, sin importar si es fijo o móvil. Mantener un registro histórico del acceso de los dispositivos, que contenga: Dirección IP, MAC Address, Sistema Operativo, Hostname, Método de Autenticación, Username, Switch desde donde ingresa a la Red, Fecha y Hora de cada acceso. Estos registros se deberán almacenar por intervalos de hasta seis meses, con la posibilidad de respaldarlos en cinta o unidades digitales. Aprovisionar de forma automática el acceso seguro de Invitados a la Red Alámbrica de manera Página 6 de 38

10 PARTIDA DESCRIPCIÓN que los servicios internos queden restringidos a los invitados o usuarios externos. Aplicar políticas de seguridad utilizando la plataforma instalada de administración de seguridad con la que cuenta la SCJN, que permitan y/o restrinjan servicios a nivel de capa 2, 3 y 4, controles de ancho de banda y aplicar calidad de servicio en base a los siguientes criterios: tipo de dispositivo, usuario, aplicación, localización en la Red y hora del día en que se haga uso de los recursos. Integrarse con sistemas VDI (Virtual Desktop Infraestructure), tales como VMware, Citrix, Hyper-V para permitir un acceso seguro a los recursos de la Organización inclusive desde escritorios virtualizados. Proporcionar de manera automática distintos niveles de acceso a los usuarios internos, para que de manera automática asigne un perfil de acceso más seguro y/o restrictivo cuando el usuario emplea dispositivos de su propiedad. Debe ser escalable para su integración con la red inalámbrica, considerando que es de una marca diferente a la de Enterasys PUERTOS PARA EL EQUIPO DE CORE MDF. Se deberá garantizar que los chasis MDF tengan los puertos de 10 Gbps y conectores ópticos requeridos para recibir las conexiones de los sistemas que se adicionan, según el proyecto propuesto para satisfacer los requerimientos planteados. Asimismo, se requiere considerar para la interconexión de la infraestructura inalámbrica, los equipos de enlaces y servidores, al menos los siguientes puertos para cada MDF: o o o o o o o 2 puertos 10 Gbps (10Gbase--SR) para conexiones a la red inalámbrica. Incluir la tarjeta necesaria y conectores ópticos para recibir las conexiones de los IDF s especificados en el punto cables Laser Wire o equivalente con conector óptico SFP+ de 10m 12 puertos 1000 Base FX, con sus interfaces ópticas correspondientes para fibra multimodo. 48 puertos 10/100/1000 Base TX para granja de servidores, 1 fuentes de Poder en AC Licenciamiento respectivo a Chassis virtual Tanto para los equipos MDF como para los equipos switches en los IDF s, propiedad de esta SCJN, el proyecto deberá garantizar y mantener su funcionalidad al cien por ciento, así como todas sus características de operación de acuerdo a la documentación emitida por el fabricante, permitiendo además su integración con futuras actualizaciones de hardware y software. De igual forma, deberá incluir el licenciamiento y configuración necesario que garantice que los equipos MDF operen como una sola entidad lógica. Todos los servicios de implementación lógica, configuración y puesta a punto de la solución en su totalidad, deberán de ser diseñados, ejecutados y supervisados con personal del Proveedor. Adicionalmente al contrato de mantenimiento, se debe de incluir un total de 80 horas de tiempo de ingeniero especializado por parte del fabricante, para uso exclusivo de la SCJN en funciones de soporte técnico en sitio, asesoría técnica remota o en sitio y configuración avanzada, posteriores a la puesta en operación del proyecto EQUIPAMIENTO PARA CONECTIVIDAD WIRELESS EXISTENTE Se requiere el suministro, instalación, configuración y puesta en operación de los equipos de comunicaciones para la conectividad de la infraestructura de red inalámbrica existente con conexiones de 10 Gbps redundantes La solución propuesta deberá garantizar que el equipo de comunicaciones cumpla al menos con las siguientes características: Chasis de al menos 1 slot con backplane pasivo equipado con arquitectura de proceso distribuido Página 7 de 38

11 PARTIDA DESCRIPCIÓN basado en flujos no muestreados Netflow. 12 Puertos SFP+ 10Gbps Ethernet (802.3ae) 2 Conectores ópticoslaser Wire o equivalente en modo redundante hacia el core. 12 Puertos 10/100/1000 TX Ethernet. 8 conectores opticos SFP+ SR hacia los equipos inalámbricos. Debe contar con al menos 1G de memoria. Capacidad del Backplane superior a 200 Gbps. Capacidad de procesamiento en capas 2 (Bridging) 3 y 4 (Routing) superior a 100 Mpps. Capacidad de Switcheo superior a 100 Gbps. Fuentes de alimentación redundantes con alimentación normalizada internacional 110/220 VCA, ajustado a 110 VCA CARACTERÍSTICAS DE SEGURIDAD La solución propuesta deberá garantizar que el equipo cumpla al menos con las siguientes características: Control de Tormentas de Broadcast Multiautenticación simultánea 802,1x, MAC y Web por puerto por puerto y por usuario sin tener la limitante de habilitar bloqueos de MACs antes de configurar autenticación múltiple en el mismo puerto Soporte de 8 usuarios autenticados por puerto Listas de control de acceso extendidas (Capa 4), para filtrado por dirección IP, por número de puerto y tipo de protocolo. Seguridad en la red a través de listas de control de acceso (ACL) básica y extendida, servicios de seguridad basados en políticas para protección de: o Spoofing, o Unsupported protocol access, o Intrusion prevention, o Dos attacks limits. Port Mirror 1 a 1, N a 1 para el análisis de tráfico por puerto, por VLAN s, Trunk s (LAG s) y por flujo de datos. El equipo debe poder hacer al menos 5 mirrors simultaneos de N a 1. Interceptar peticiones de un RADIUS provenientes de estaciones de trabajo o equipos conectados y aplicarles un rol o política de seguridad diferenciada cada uno de los elementos pertenecientes a una VLAN. Aplicar una política restrictiva de acceso a la red a múltiples puertos no autenticados sin importar el método de autenticación que se utilice. Crear reglas o políticas de clasificación de tráfico con el software de administración existente para poder asignarse en forma dinámica de acuerdo al usuario autentificado en el puerto por medio de IEEE 802.1x y deben independientes de la configuración de red (capa 2 y 3). Asignación automática a una VLAN de voz de dispositivos telefónicos IP mediante el RFC3580 o equivalente una vez autenticado el dispositivo de voz. La habilidad de poder aplicar una política de prioritizacion de tráfico diferenciada para cada uno de los elementos pertenecientes a una misma VLAN. Bloqueo de Direcciones MAC estático y dinámico (Mac Locking) El equipo debe poder mitigar ataques de manera automática y sin la intervención manual del administrador de red interactuando los equipos preventores o detectores de Intrusos existentes en la red de la SCJN y con el software de administración de la red existente que permitan al menos protecciones pro activas tales como : o Enviar al usuario a una VLAN de cuarentena o Hacer rate limiting al puerto o Bloquear el puerto o Filtrar tráfico por dirección IP y numero de puerto TCP & UDP ADMINISTRACIÓN Y MONITOREO SSH V2 para acceso remoto a la consola. SNMPv3 con encripción. RFC 3580 with policy support SNMP V3 Telnet Command Line Interface Cisco Discovery Protocol V1/V2 Página 8 de 38

12 PARTIDA DESCRIPCIÓN 802.1AB LLDP LLDP- MED Syslog SNTP 9 Grupos de RMON SMON Al menos 3 niveles de privilegio de acceso: o Solo Lectura, Lectura o Escritura restringida o Acceso ilimitado CARACTERÍSTICAS DE LOS EQUIPOS DE COMUNICACIONES EN CUANTO A PROTOCOLOS SOPORTADOS. Soportar o ser compatibles con las versiones más usadas de los siguientes protocolos: o OSPF o OSPFECMP o Rutas Estáticas o RIP v1/v2 o RIP ECMP o IGMP v1/igmp v2 o IGMPSnooping o ICMP o ARP o Proxy ARP o Virtual Router RedundancyProtocol (VRRP) o ACL Básicos y Extendidas o DHCP Server/Relay o OSPF with Multipath Support o PIM-SM o PolicyBasedRouting. o Spanning Tree Loop Detection o GVRP (GenericVLANRegistration Protocol) o IP V6 Debe soportar Netflow v9 en las tarjetas de puertos propuestas sin depender de un módulo de servicio para este propósito. A velocidad del cable sin limitar el performance del equipo y con soporte de mínimo 9k flujos tarjeta VLANS Capacidad para soportar 4094 VLANs. Qué permita la creación de VLANs bajo el Standard 802.1Q en forma dinámica, por información de capa 2, capa 3 y capa 4. Con soporte de Generic VLAN Registration Protocol (GVRP). Capacidad para aplicar políticas de prioritización de tráfico diferenciado para cada uno de los elementos pertenecientes a una misma VLAN LINK AGGREGATION Por medio de 802.3ad Para garantizar la máxima integración y su óptima implementación todos los equipos propuestos deben ser de la misma marca que el equipo principal o de Core. Se deben integrar los equipos propuestos de manera transparente a la arquitectura de administración, monitoreo y seguridad ya implementada en el Edificio Sede de la SCJN para la cual es necesario : Actualizar el mapa topológico vía el Topology Manager. Configurar las políticas de seguridad de control de tráfico existentes vía el Policy Manager. Configurar el correlacionador de eventos para que pueda leer los flujos de información vía Netflow provenientes de los equipos propuestos. Actualizar los reportes de alarmas y Top ten definidos vía el One View y la consola de administración Página 9 de 38

13 PARTIDA DESCRIPCIÓN del correlacionador de eventos SOFTWARE Para todos los equipos, la versión del software tendrá que ser la más reciente en el mercado y deberá estar cargada en los equipos ACCESORIOS E INSTALACIÓN FÍSICA DEL HARDWARE El participante adjudicado, deberá considerar todos los insumos, materiales y mano de obra necesarios para la óptima implementación, funcionamiento y puesta en operación del proyecto, tales como: racks, jumpers de UTP, Jumpers de fibra óptica, 10 Gigabit Ethernet transceiver, conexiones eléctricas, PDU s, tornillos para rack, herrajes, mano de obra, maniobras, mudanzas y todos los implementos que se utilicen durante la puesta en operación de la solución. Las actividades de configuración y puesta en marcha deberán efectuarse por personal del participante adjudicado, según los requerimientos de la Dirección General de Tecnologías de la Información, con lo cual se busca optimizar el funcionamiento de la solución propuesta al ser validada por ellos. Montaje. El participante adjudicado, será responsable del montaje del nuevo hardware, en coordinación con el personal designado por la Dirección General de Tecnologías de la Información. Asimismo, deberá desmontar, embalar y proteger el hardware existente mientras se realiza la instalación del nuevo. Esto también aplica para la desconexión y conexión de todos los cables de alimentación, UTP, fibras ópticas y demás componentes o accesorios. 1.2 EQUIPAMIENTO DEL EDIFICIO EN 16 DE SEPTIEMBRE No. 38, COLONIA CENTRO, DELEGACIÓN CUAUHTÉMOC, C.P MÉXICO, D.F. Y EN EL EDIFICIO EN BOLÍVAR No. 30, COLONIA CENTRO, DELEGACIÓN CUAUHTÉMOC, C.P MÉXICO, D.F. Se requiere el suministro, instalación, configuración y puesta en operación de los equipos de comunicaciones para el acceso de usuarios a la red LAN, a través de un backbone con conexiones de 10 Gbps redundantes, tanto para el MDF, como para los IDF s. La infraestructura de comunicaciones que se requiere en la LAN del edificio Alterno y edificio Bolívar, se muestra en el Esquema CARACTERÍSTICAS DE FUNCIONAMIENTO La solución propuesta deberá garantizar que cada uno de los 2 equipos de core/backbone cumpla al menos con las siguientes características: Chasis de al menos 6 slots con backplane pasivo equipado con arquitectura de proceso distribuido basado en flujos no muestreados Netflow. 7 Puertos SFP+ 10Gbps Ethernet (802.3ae) para fibra multimodo para conexiones a IDFs, incluyendo conectores ópticos en modo redundante. 3 Puertos SFP+ 10Gbps Ethernet (802.3ae) Laser Wire o equivalente para las conexiones entre equipos de Core. 2 puertos SPF+ 10Gbps Ethernet (802.3ae) Laser Wire o equivalente para las conexiones hacia los equipos de la red inalámbrica propuestos en el punto Puertos SX Gigabit Ethernet (802.3z) para fibra multimodo incluyendo conectores ópticos Cada uno de los módulos de puertos deben de contar con una conexión al backplane de mínimo 160 Gbps. Debe contar con al menos 2GB de memoria por módulo de puertos Capacidad del Back Plane superior a 4 Tbps Capacidad de procesamiento en capas 2 (Bridging) 3 y 4 (Routing) superior a 700 Mpps Capacidad de Switcheo superior a 900 Gbps Se requieren al menos 3 slots libres para futuro crecimiento después de la configuración con el número de tarjetas y/o módulos propuestos. Fuentes de alimentación redundantes en modo N+1 con alimentación normalizada internacional 110/220 VCA, ajustado a 110 VCA Los equipos deben de conectarse entre sí a 20G. Incluir cables y conectores ópticos necesarios. Licenciamiento respectivo a Chassis virtual para cada chasis CARACTERÍSTICAS DE SEGURIDAD La solución propuesta deberá garantizar que cada uno de los 2 equipos de core cumpla con al menos Página 10 de 38

14 PARTIDA DESCRIPCIÓN las siguientes características: Control de Tormentas de Broadcast Multiautenticación simultánea 802,1x, MAC y Web por puerto por puerto y por usuario sin tener la limitante de habilitar bloqueos de MACs antes de configurar autenticación múltiple en el mismo puerto Soporte de 8 usuarios autenticados por puerto Listas de control de acceso extendidas (Capa 4), para filtrado por dirección IP, por número de puerto y tipo de protocolo. Seguridad en la red a través de listas de control de acceso (ACL) básica y extendida, servicios de seguridad basados en políticas para protección de: o Spoofing o Unsupported protocol access o Intrusion prevention o Dos attacks limits Port Mirror 1 a 1, N a 1 para el análisis de tráfico por puerto, por VLAN s, Trunk s (LAG s) y por flujo de datos. El equipo debe poder hacer al menos 5 mirrors simultáneos de N a 1. Interceptar peticiones de un RADIUS provenientes de estaciones de trabajo o equipos conectados y aplicarles un rol o política de seguridad diferenciada cada uno de los elementos pertenecientes a una VLAN. Aplicar una política restrictiva de acceso a la red a múltiples puertos no autenticados sin importar el método de autenticación que se utilice. Crear reglas o políticas de clasificación de tráfico con el software de administración existente para poder asignarse en forma dinámica de acuerdo al usuario autentificado en el puerto por medio de IEEE 802.1x y deben independientes de la configuración de red (capa 2 y 3). Asignación automática a una VLAN de voz de dispositivos telefónicos IP mediante el RFC3580 o equivalente una vez autenticado el dispositivo de voz. La habilidad de poder aplicar una política de prioritizacion de tráfico diferenciada para cada uno de los elementos pertenecientes a una misma VLAN. Bloqueo de Direcciones MAC estático y dinámico (Mac Locking) El equipo debe poder mitigar ataques de manera automática y sin la intervención manual del administrador de red interactuando los equipos preventores o detectores de Intrusos existentes en la red de la SCJN y con el software de administración de la red existente que permitan al menos protecciones pro activas tales como : o Enviar al usuario a una VLAN de cuarentena o Hacer rate limiting al puerto o Bloquear el puerto o Filtrar tráfico por dirección IP y numero de puerto TCP & UDP ADMINISTRACIÓN Y MONITOREO SSH V2 para acceso remoto a la consola. SNMPv3 con encripción. RFC 3580 with policy support SNMP V3 Telnet Command Line Interface Cisco Discovery Protocol V1/V AB LLDP LLDP- MED Syslog SNTP 9 Grupos de RMON SMON Al menos 3 niveles de privilegio de acceso: o Solo Lectura, Lectura o Escritura restringida o Acceso ilimitado CARACTERÍSTICAS DE LOS EQUIPOS DE COMUNICACIONES EN CUANTO A PROTOCOLOS SOPORTADOS. Soportar y ser compatibles con las versiones más usadas de los siguientes funcionalidades: o OSPF o Rutas Estáticas Página 11 de 38

15 PARTIDA DESCRIPCIÓN o RIP v1/v2 o IGMP v1/igmp v2 o IGMPSnooping o Proxy ARP o Virtual Router Redundancy Protocol (VRRP) o ACL Básicos y Extendidas o DHCP Server/Relay o OSPF with Multipath Support o PIM-SM o PolicyBasedRouting. o Spanning Tree Loop Detection o IP V6 o GVRP (Generic VLAN Registration Protocol) o RFC3580 Debe soportar Netflow v9 en las tarjetas de puertos propuestas sin depender de un módulo de servicio para este propósito. A velocidad del cable sin limitar el performance del equipo y con soporte de mínimo 9k flujos tarjeta VLANS Capacidad para soportar 4094 VLANs. Qué permita la creación de VLANs bajo el Standard 802.1Q en forma dinámica, por información de capa 2, capa 3 y capa 4. Con soporte de Generic VLAN Registration Protocol (GVRP). Capacidad para aplicar políticas de prioritización de tráfico diferenciado para cada uno de los elementos pertenecientes a una misma VLAN CARACTERÍSTICAS DE LOS EQUIPOS DE COMUNICACIONES PARA EL CONTROL DE TRÁFICO Soporte de Jumbo Frames Habilitado con esta funcionalidad. Clasificación de Tráfico Por capa 3, capa 4, Reescritura de VID (VLAN ID) y TOS. Las reglas o políticas de clasificación de tráfico deberán asignarse en forma dinámica de acuerdo al usuario autentificado en el puerto por medio de 802.1x y tendrán que ser independientes de la configuración de red (capa 2 y 3). QoS/CoS o Soporte de protocolo 802.1p, DSCP y reescritura de TOS con al menos 8 colas por puerto. o Para VoIP deberá soportar de manera simultánea y transparente dispositivos multimarca H.323, SIP y LLDP-MED. RateLimiting a 8k para tráfico de entrada y salida por puerto, por VLAN, por flujo de datos y por usuario. Limitar el ancho de banda disponible para un flujo dado ya sea descartando paquetes (rate limiting) o almacenando (rate shaping) paquetes que excedan los límites previamente configurados MISCELÁNEOS Protocolosquedeberánsoportarlos equipos propuestos: 802.1s 802.1x 802.1w Rapid-reconvergence of Spanning Tree 802.3x Flow Control 802.1d 802.1t 802.1w 802.1p Class of service 802.1s MSTP 802.3ad Para garantizar la máxima integración y su óptima implementación todos los equipos propuestos deben ser de la misma marca que el equipo core redundante. Página 12 de 38

16 PARTIDA DESCRIPCIÓN Se deben integrar los equipos propuestos de manera transparente a la arquitectura de administración, monitoreo y seguridad ya implementada en el Edificio Sede de la SCJN para lo cual es necesario : Actualizar el mapa topológico vía el Topology Manager Configurar las políticas de seguridad de control de tráfico existentes vía el Policy Manager Configurar el correlacionador de eventos existente para que pueda leer los flujos de información vía Netflow provenientes de los equipos propuestos Actualizar los reportes de alarmas y Top ten definidos vía el One View y la consola de administración del correlacionador de eventos. Integrar los nuevos equipos a la red de OSPF existente LA SOLUCIÓN PROPUESTA DEBERÁ CONSIDERAR UN EQUIPO PARA EL CENTRO DE CÓMPUTO DEDICADO PARA LA CONEXIÓN DE SERVIDORES, QUE CUMPLA AL MENOS CON LAS SIGUIENTES CARACTERÍSTICAS: Chasis de al menos 6 slots con backplane pasivo equipado con arquitectura de proceso distribuido basado en flujos no muestreados Netflow. 3 Puertos SFP+ 10Gbps Ethernet (802.3ae) Laser Wire o equivalente en modo redundante hacia cada equipo de core 12 Puertos SX Gigabit Ethernet (802.3z) para fibra multimodo 96 Puertos 10/100/1000 TX Ethernet Cada uno de los módulos de puertos deben de contar con una conexión al backplane de mínimo 160 Gbps. Debe contar con al menos 2G de memoria por módulo de puertos Capacidad del Back Plane superior a 4 Tbps Capacidad de procesamiento en capas 2 (Bridging) 3 y 4 (Routing) superior a 700 Mpps Capacidad de Switcheo superior a 900 Gbps Se requieren al menos 4 slots libres para futuro crecimiento después de la configuración con el número de tarjetas y/o módulos propuestos. Fuentes de alimentación redundantes en modo N+1 con alimentación normalizada internacional 110/220 VCA, ajustado a 110 VCA Licenciamiento respectivo a Chassis virtual El equipo debe de conectarse a los equipos de Backbone a 20G. Incluir cables y conectores ópticos necesarios CARACTERÍSTICAS DE SEGURIDAD La solución propuesta deberá garantizar que cada uno de los 2 equipos de core cumpla con al menos las siguientes características: Control de Tormentas de Broadcast Multiautenticación simultánea 802,1x, MAC y Web por puerto por puerto y por usuario sin tener la limitante de habilitar bloqueos de MACs antes de configurar autenticación múltiple en el mismo puerto Soporte de 8 usuarios autenticados por puerto Listas de control de acceso extendidas (Capa 4), para filtrado por dirección IP, por número de puerto y tipo de protocolo. Seguridad en la red a través de listas de control de acceso (ACL) básica y extendida, servicios de seguridad basados en políticas para protección de: o Spoofing, o Unsupported protocol access, o Intrusion prevention, o Dos attacks limits. Port Mirror 1 a 1, N a 1 para el análisis de tráfico por puerto, por VLAN s, Trunk s (LAG s) y por flujo de datos. El equipo debe poder hacer al menos 5 mirrors simultáneos de N a 1. Interceptar peticiones de un RADIUS provenientes de estaciones de trabajo o equipos conectados y aplicarles un rol o política de seguridad diferenciada cada uno de los elementos pertenecientes a una VLAN. Aplicar una política restrictiva de acceso a la red a múltiples puertos no autenticados sin importar el método de autenticación que se utilice. Crear reglas o políticas de clasificación de tráfico con el software de administración existente para poder asignarse en forma dinámica de acuerdo al usuario autentificado en el puerto por medio de IEEE 802.1x y deben independientes de la configuración de red (capa 2 y 3). Asignación automática a una VLAN de voz de dispositivos telefónicos IP mediante el RFC3580 o Página 13 de 38

17 PARTIDA DESCRIPCIÓN equivalente una vez autenticado el dispositivo de voz. La habilidad de poder aplicar una política de prioritizacion de tráfico diferenciada para cada uno de los elementos pertenecientes a una misma VLAN. Bloqueo de Direcciones MAC estático y dinámico (Mac Locking) El equipo debe poder mitigar ataques de manera automática y sin la intervención manual del administrador de red interactuando los equipos preventores o detectores de Intrusos existentes en la red de la SCJN y con el software de administración de la red existente que permitan al menos protecciones pro activas tales como : o Enviar al usuario a una VLAN de cuarentena o Hacer rate limiting al puerto o Bloquear el puerto o Filtrar tráfico por dirección IP y numero de puerto TCP & UDP ADMINISTRACIÓN Y MONITOREO SSH V2 para acceso remoto a la consola. SNMPv3 con encripción. RFC 3580 with policy support SNMP V3 Telnet Command Line Interface Cisco Discovery Protocol V1/V AB LLDP LLDP- MED Syslog SNTP 9 Grupos de RMON SMON Al menos 3 niveles de privilegio de acceso: o Solo Lectura, Lectura o Escritura restringida o Acceso ilimitado CARACTERÍSTICAS DE LOS EQUIPOS DE COMUNICACIONES EN CUANTO A PROTOCOLOS SOPORTADOS. Soportar y ser compatibles con las versiones más usadas de los siguientes funcionalidades: o OSPF o Rutas Estáticas o RIP v1/v2 o IGMP v1/igmp v2 o IGMPSnooping o Proxy ARP o Virtual Router Redundancy Protocol (VRRP) o ACL Básicos y Extendidas o DHCP Server/Relay o OSPF with Multipath Support o PIM-SM o PolicyBasedRouting. o Spanning Tree Loop Detection o IP V6 o GVRP (Generic VLAN Registration Protocol) o RFC3580 Debe soportar Netflow v9 en las tarjetas de puertos propuestas sin depender de un módulo de servicio para este propósito. A velocidad del cable sin limitar el performance del equipo y con soporte de mínimo 9k flujos tarjeta VLANS Capacidad para soportar 4094 VLANs. Qué permita la creación de VLANs bajo el Standard 802.1Q en forma dinámica, por información de capa 2, capa 3 y capa 4. Con soporte de Generic VLAN Registration Protocol (GVRP). Capacidad para aplicar políticas de prioritización de tráfico diferenciado para cada uno de los elementos pertenecientes a una misma VLAN. Página 14 de 38

18 PARTIDA DESCRIPCIÓN CARACTERÍSTICAS DE LOS EQUIPOS DE COMUNICACIONES PARA EL CONTROL DE TRÁFICO Soporte de Jumbo Frames Habilitado con esta funcionalidad. Clasificación de Tráfico Por capa 3, capa 4, Reescritura de VID (VLAN ID) y TOS. Las reglas o políticas de clasificación de tráfico deberán asignarse en forma dinámica de acuerdo al usuario autentificado en el puerto por medio de 802.1x y tendrán que ser independientes de la configuración de red (capa 2 y 3). QoS/CoS o Soporte de protocolo 802.1p, DSCP y reescritura de TOS con al menos 8 colas por puerto. o Para VoIP deberá soportar de manera simultánea y transparente dispositivos multimarca H.323, SIP y LLDP-MED. RateLimiting a 8k para tráfico de entrada y salida por puerto, por VLAN, por flujo de datos y por usuario. Limitar el ancho de banda disponible para un flujo dado ya sea descartando paquetes (rate limiting) o almacenando (rate shaping) paquetes que excedan los límites previamente configurados MISCELÁNEOS Protocolosquedeberánsoportarlos equipos propuestos: 802.1s 802.1x 802.1w Rapid-reconvergence of Spanning Tree 802.3x Flow Control 802.1d 802.1t 802.1w 802.1p Class of service 802.1s MSTP 802.3ad Se deben de integrar los equipos propuestos de manera transparente a la arquitectura de administración, monitoreo y seguridad ya implementada en el Edificio Sede de la SCJN para lo cual es necesario : Actualizar el mapa topológico vía el Topology Manager Configurar las políticas de seguridad de control de tráfico existentes vía el Policy Manager Configurar el correlacionador de eventos existente para que pueda leer los flujos de información vía Netflow provenientes de los equipos propuestos Actualizar los reportes de alarmas y Top ten definidos vía el One View y la consola de administración del correlacionador de eventos. Integrar los nuevos equipos a la red de OSPF existente LA SOLUCIÓN PROPUESTA DEBERÁ GARANTIZAR QUE CADA UNO DE LOS EQUIPOS O STACK DE ACCESO, CUMPLAN AL MENOS CON LAS SIGUIENTES CARACTERÍSTICAS: Cada stack o pila debe de incluir 2 equipos de 48 puertos 10/100/1000 BaseTX POE 802.3at con módulos para interfaces SFP+ a 10 GB para fibra multimodo (10Gbase-LR) con el objetivo de formar la redundancia del stack hacia el core. Equipos de 48 puertos 10/100/1000 BaseTX POE 802.3at de tipo MDI / MDIX con auto negociación. El equipo debe ser apilable y poder ser montado en un rack de 19 pulgadas. El equipo sin interface 10Gb deberá contar incluyendo las interfaces de puertos y de apilamiento con al menos una capacidad de switcheo total de 220 Gbps y una tasa de transmisión de Página 15 de 38

19 PARTIDA DESCRIPCIÓN paquetes de al menos 160 Mpps. El equipo con módulo 10Gb deberá contar incluyendo las interfaces de puertos y de apilamiento con al menos una capacidad de switcheo total de 260 Gbps y una tasa de transmisión de paquetes de al menos 195 Mpps. El equipo propuesto deberá tener interfaces de apilamiento cuyo ancho de banda no podrá ser compartido con los módulos SFP o SFP+. Debe incluir 2 puertos dedicados para apilamiento con capacidad de apilamiento al menos 128 Gbps dedicados para las funciones de stack e independientes de la capacidad de switcheo Mac Address al menos 32,000 Se deben de incluir todos los cables de stack y conectores ópticos 10G para fibra multimodo necesarios CARACTERÍSTICAS DE SEGURIDAD La solución propuesta deberá garantizar que cada uno de los equipos de acceso cumpla con al menos las siguientes características: Control de Tormentas de Broadcast Multiautenticación simultánea 802,1x, MAC y Web por puerto por puerto y por usuario sin tener la limitante de habilitar bloqueos de MACs antes de configurar autenticación múltiple en el mismo puerto Soporte de 8 usuarios autenticados por puerto Listas de control de acceso Seguridad en la red a través de listas de control de acceso (ACL) Port Mirror 1 a 1 Aplicar una política restrictiva de acceso a la red a múltiples puertos no autenticados sin importar el método de autenticación que se utilice. Crear reglas o políticas de clasificación de tráfico con el software de administración existente para poder asignarse en forma dinámica de acuerdo al usuario autentificado en el puerto por medio de IEEE 802.1x y deben independientes de la configuración de red (capa 2 y 3). Asignación automática a una VLAN de voz de dispositivos telefónicos IP mediante el RFC3580 o equivalente una vez autenticado el dispositivo de voz. La habilidad de poder aplicar una política de prioritizacion de tráfico diferenciada para cada uno de los elementos pertenecientes a una misma VLAN. Bloqueo de Direcciones MAC estático y dinámico (Mac Locking) El equipo debe poder mitigar ataques de manera automática y sin la intervención manual del administrador de red interactuando los equipos preventores o detectores de Intrusos existentes en la red de la SCJN y con el software de administración de la red existente que permitan al menos protecciones pro activas tales como : o Enviar al usuario a una VLAN de cuarentena o Hacer rate limiting al puerto o Bloquear el puerto o Filtrar tráfico por dirección IP y numero de puerto TCP & UDP ADMINISTRACIÓN Y MONITOREO SSH V2 para acceso remoto a la consola. SNMPv3 con encripción. RFC 3580 with policy support SNMP V3 Telnet Command Line Interface Cisco Discovery Protocol V1/V AB LLDP LLDP- MED Syslog Página 16 de 38

20 PARTIDA DESCRIPCIÓN SNTP Al menos 3 niveles de privilegio de acceso: o Solo Lectura, Lectura o Escritura restringida o Acceso ilimitado CARACTERÍSTICAS DE LOS EQUIPOS DE COMUNICACIONES EN CUANTO A PROTOCOLOS SOPORTADOS. Soportar y ser compatibles con las versiones más usadas de los siguientes funcionalidades: o OSPF o Rutas Estáticas o RIP v1/v2 o IGMPSnooping o Virtual Router Redundancy Protocol (VRRP) o PIM-SM o 802.1s o 802.1x o GVRP (GenericVLANRegistration Protocol) o 802.1w Rapid-reconvergence of Spanning Tree o 802.3x Flow Control o 802.1d o 802.1w o 802.1p Class of service o 802.1s MSTP o IP V6 o RFC3580 o Sflow VLANS Capacidad para soportar 4094 VLANs. Qué permita la creación de VLANs bajo el Standard 802.1Q en forma dinámica, por información de capa 2, capa 3 y capa 4. Con soporte de Generic VLAN Registration Protocol (GVRP). Capacidad para aplicar políticas de prioritización de tráfico diferenciado para cada uno de los elementos pertenecientes a una misma VLAN CARACTERÍSTICAS DE LOS EQUIPOS DE COMUNICACIONES PARA EL CONTROL DE TRÁFICO Soporte de Jumbo Frames Habilitado con esta funcionalidad. Clasificación de Tráfico Por capa 3, capa 4, Reescritura de VID (VLAN ID) y TOS. Las reglas o políticas de clasificación de tráfico deberán asignarse en forma dinámica de acuerdo al usuario autentificado en el puerto por medio de 802.1x y tendrán que ser independientes de la configuración de red (capa 2 y 3). QoS/CoS o Soporte de protocolo 802.1p, DSCP y reescritura de TOS con al menos 8 colas por puerto. o Para VoIP deberá soportar de manera simultánea y transparente dispositivos multimarca H.323, SIP y LLDP-MED. RateLimiting a 64k para tráfico de entrada Para garantizar la máxima integración y su óptima implementación todos los equipos propuestos deben ser de la misma marca que el equipo core. Se deben de integrar los equipos propuestos de manera transparente a la arquitectura de administración, monitoreo y seguridad ya implementada en el Edificio Sede de la SCJN para la cual es necesario: Actualizar el mapa topológico vía el Topology Manager Configurar las políticas de seguridad de control de tráfico existentes vía el Policy Manager Actualizar los reportes de alarmas y Top ten definidos vía el One View Integrar los nuevos equipos a la red de OSPF existente SISTEMA DE CONTROL DE ACCESO A LA RED (NAC). Página 17 de 38