CONTENIDO RESUMEN EJECUTIVO DE PARQUES EN LÍNEA... 2 INTRODUCCIÓN....3 ANTECEDENTES.... 4 JUSTIFICACIÓN.... 4 OBJETIVO...5 ALCANCES....5 BENEFICIOS ESPERADOS...5 DESCRIPCIÓN DEL PROYECTO...6 FUNCIONALIDAD DEL SERVICIO.... 7 ASPECTOS TÉCNICOS DE PARQUES EN LÍNEA... 8 CONSIDERACIONES GENERALES...9 CONSIDERACIÓN NO 1: EQUIPO CONCENTRADOR DE VPN/FIREWALL...9 CONSIDERACIÓN NO 2: EQUIPO DE ACCESO PARA OFICINA REMOTA... 12 CONSIDERACIÓN NO 3: EQUIPO DE ACCESO INALÁMBRICO.... 14 CONSIDERACIÓN NO 4: ESTRUCTURAS DE TELECOMUNICACIONES...15 CONSIDERACIÓN NO 5: SERVIDOR AAA...15 CONSIDERACIÓN NO 6: SERVIDOR DE FILTRADO DE CONTENIDO URL Y APLICACIONES.... 16 INTEGRACION DE LOS EQUIPOS DE ACCESO PARA OFICINA REMOTA, EQUIPO CONCENTRADOR DE VPN/FIREWALL, INTERNET BANDA ANCHA E INTERNET DEDICADO.... 18 OPERATIVIDAD QUE SE DEBERÁ OFRECER PARA EL ACCESO INALÁMBRICO A INTERNET EN LOS PARQUES.... 18 FORMATO DE LA PROPUESTA... 19 PRESENTACIÓN GENERAL Y PRUEBA FUNCIONAL DE LA SOLUCIÓN... 20 INFRAESTRUCTURA DE COMUNICACIONES Y SERVICIOS...24
RESUMEN EJECUTIVO DE PARQUES EN LÍNEA
INTRODUCCIÓN. A lo largo de la historia, se pueden identificar hitos determinados por la adopción de las tecnologías; cada uno de estos hitos ha pasado por distintas etapas, desde el momento que la tecnología surge, hasta que se identifican con precisión sus posibles aplicaciones y la sociedad las adopta, estableciéndose nuevas prácticas y nuevas formas de hacer las cosas. De forma paralela la sociedad encuentran otras aplicaciones a la tecnología, esto genera nuevas necesidades que serán cubiertas por nuevos componentes tecnológicos. Este ciclo se ha repetido desde la creación de la imprenta, hasta el Internet, donde las aportaciones tecnológicas han sido la base para importantes transformaciones en la sociedad impactando en la forma en que convivimos, nos comunicamos, compartimos las ideas y nos organizamos. Sociedad de la información y del conocimiento El rápido crecimiento y la gran penetración que las tecnologías de la información y comunicación han tenido en los procesos económicos, políticos y sociales han dado inicio a lo que se conoce como Sociedad de la Información y del Conocimiento. La Sociedad de la Información abarca todas las herramientas y todas las oportunidades que la tecnología ha proporcionado a la sociedad en los últimos años, caracterizándose por poner a nuestra disposición una gran cantidad de información, diversas posibilidades de acceso a ella, así como el establecer canales de comunicación más versátiles y económicos. Hablar de Sociedad del Conocimiento significa ir un paso más allá. La Sociedad del Conocimiento implica la aplicación de la información como un elemento de apoyo en la generación de las ideas y las acciones, para provocar un conjunto de cambios que establezcan diferencias. Sin embargo, las tecnologías y las capacidades de estas para transmitir, compartir, almacenar y procesar la información por si solas no transforman a la sociedad actual, son los individuos, mismos que requieren de la educación adecuada para aprovechar el nuevo instrumento tecnológico, requieren de nuevos modelos educativos que fortalezcan las capacidades creativas y la generación de nuevas ideas. Brecha digital La transformación de la Sociedad lleva implícito una nueva forma de marginación, la brecha digital 1, fundamentada en la posibilidad o no de contar con la capacidad de acceder a los medios propios de la Sociedad del Conocimiento, y con esto reducir las posibilidades de 1 *Brecha digital es una expresión que hace referencia a la diferencias que hay entre los seres humanos para poder acceder a las TIC (Tecnologías de Información y Comunicaciones), así como para utilizarlas de forma eficaz, debido a los distintos niveles socioeconómicos, niveles de alfabetización y capacidad tecnológica entre las comunidades.
desarrollo y bienestar de algunos grupos sociales (a esto se le debe agregar el análisis de los modelos educativos ya que de ellos dependerá en mayor medida el proceso del cambio). De esta manera, es muy importante diseñar políticas y estrategias que ayuden a desarrollar una sociedad con los talentos necesarios para poder aprovechar adecuadamente las nuevas oportunidades derivadas de las tecnologías de información y así, el desarrollo de la Sociedad de la Información y del Conocimiento. ANTECEDENTES. Datos estadísticos al 2007 2 En México habitan mas de 103 millones de mexicanos, sin embargo, sólo existen 14.8 millones de computadoras. 41% de las PC s instaladas en México no están conectadas a Internet. Existen en México 22.7 millones de internautas, de los cuales el 91.10% se encuentran en zonas urbanas. El 58 % tiene entre 18 y 34 años. El 46% son estudiantes. La tasa de penetración de Internet en la población es de 24.6 %. Esto quiere decir que ¾ partes de nuestra población todavía no tiene acceso a Internet. El crecimiento anual esperado para 2007 de Internautas apenas será del 12.75%. 57% de los Internautas en México declararon tener una página personal. El 67% declaró haber subido una foto o un video a alguna pagina en Internet para compartirlo. 44% han participado en algún foro de discusión. 77% han leido un blog o una bitácora personal. 92% considera al Internet el medio más indispensable por arriba del celular y la TV. 56% de los Internautas mexicanos han utilizado tecnología WI-FI (conexión inalámbrica). 72% de los que usan WI-FI poseen una computadora portátil con capacidad de conexión inalámbrica. JUSTIFICACIÓN. El Plan Municipal de Desarrollo es el instrumento rector del desarrollo integral del Municipio, resultado fundamental del proceso de planeación que se genera y establece en el ámbito municipal. En él se expresa la concertación de voluntades y acuerdos de las comunidades y ciudadanos organizados con su ayuntamiento, y los mecanismos de coordinación con los niveles estatal y federal. El plan contiene los objetivos, propósitos y estrategias para el desarrollo del municipio, y define las principales políticas y líneas de acción que el Ayuntamiento deberá tomar en cuenta para la elaboración de sus programas operativos anuales. En el Plan Municipal de Desarrollo del Municipio de Mérida, Yuc., administración 2007-2010, se define la siguiente estrategia: 2 Fuentes de Información: Consejo Nacional de Población (CONAPO) www.conapo.gob.mx, Instituto Nacional de Estadística Geografía e Informática (INEGI) www.inegi.gob.mx, Select www.select.com.mx Contacto: Susana Espinoza, 5256-1426, Sondeo en línea AMIPCI 2007. Elaborado por Elogia Encuestas www.amipci.org.mx, www.elogiaencuestas.com.mx, Contacto: Pedro Menendez, 55557-0563, TGI Kantar Meida Research www.amipci.org.mx, Contacto: Diana Arboleya, 5615-2425.
Poner al alcance de los ciudadanos que no tienen acceso a la tecnología, las herramientas necesarias que les permitan formar parte de la sociedad de la información y el conocimiento, logrando así elevar el aprovechamiento académico, la productividad y por ende la calidad de vida de los habitantes del municipio. Bajo esta línea estratégica y con base en los antecedentes mencionados el Municipio de Mérida decide llevar al cabo el proyecto denominado Parques en línea. OBJETIVO. Ofrecer a los ciudadanos y visitantes conexión inalámbrica a Internet de banda ancha de manera gratuita, en los principales parques públicos de la ciudad de Mérida, mejorando las condiciones y funcionalidad de dichos parques. ALCANCES. Instalar conexión inalámbrica a Internet de banda ancha en diversos parques públicos de la ciudad de Mérida. Evaluar las condiciones de los parques y en su caso proveerlos de iluminación, bancas, basureros, área de juegos infantiles, y en general infraestructura en buen estado. Diseñar, fabricar e instalar un módulo de ayuda y centro de carga para laptops para cada parque. Instalar contactos eléctricos junto a las bancas de los parques que formen parte del proyecto. Diseñar la imagen con la que se dará a conocer el proyecto. Fabricar e instalar la señalética que indique los parques que cuentan con este servicio y la ubicación de los centros de carga en cada parque. Diseñar y mantener el portal captivo que dará atención a los usuarios de dicho servicio. Conformar, capacitar y mantener el call center que dará atención a los usuarios de dicho servicio. Crear un plan verificación y mantenimiento a la infraestructura de red instalada en cada parque. BENEFICIOS ESPERADOS. Impactará directamente en la economía de las familias Meridanas al contar con este servicio gratuito. Fomentará la productividad y competitividad de la comunidad. Hará más atractiva la ciudad tanto para los residentes y negocios actuales como para atraer nuevas inversiones impulsando el crecimiento económico y la creación de empleos. Aumentará el uso de los servicios en línea que ofrece el municipio al incentivar el acceso de la población a Internet. Ayudará a disminuir la brecha digital entre la población y acelerar la evolución de la ciudad hacia una sociedad del conocimiento.
Posicionará a la ciudad de Mérida como una de las ciudades tecnológicamente mas desarrolladas. DESCRIPCIÓN DEL PROYECTO. Se instalará conexión inalámbrica a Internet de banda ancha en 10 de los principales parques públicos de la ciudad, para ofrecer de manera gratuita a los ciudadanos y visitantes. La elección de los parques se realizará mediante consulta ciudadana. o Se elaborará un sistema que nos permita publicar la encuesta a través de Internet para la selección de los parques en línea, dando la oportunidad al ciudadano de elegir únicamente tres de los parques enlistados o proporcionar el nombre del parque que desee en caso de que no aparezca en la lista, esta encuesta contará con un control a través de cookies y de direcciones IP de manera que el mismo usuario no pueda votar varias veces en un mismo día. Una vez que el usuario vote podrá visualizar una estadística con el resultado de la encuesta hasta el momento, los resultados finales serán publicados el 16 de septiembre del 2007. o Se convocará e invitará a la gente a participar en dicha encuesta la cuál estará disponible del 1 al 15 de septiembre del 2007 en el portal Web del Ayuntamiento de Mérida (www.merida.gob.mx), en 6 módulos touch screen instalados en diversos lugares públicos como restaurantes y centros comerciales, y 1 módulo touch screen itinerante que visitará planteles educativos y puntos de interés y mayor concentración de población (ejem: bajos de palacio municipal). o Mecánica de selección: La encuesta enlistará 31 de los parques más representativos de la ciudad, para que la gente elija 3 parques donde utilizarían este servicio. Los 10 parques más populares que resulten de la encuesta, serán considerados para este proyecto. El listado de los 31 parques más representativos de la ciudad, se define a través de un minucioso análisis del mapa geográfico de la ciudad, que considera las siguientes variables: o Población de 15 a 24 años que asiste a la escuela, por unidad habitacional o Número de escuelas de nivel bachillerato, educación superior y técnico medio por unidad habitacional o Número de viviendas con computadora por unidad habitacional o Número de viviendas habitadas por unidad habitacional o Parques emblemáticos de la ciudad de Mérida. Se diseñará el módulo de ayuda y centro de carga, y se identificarán los posibles proveedores para su elaboración. o Será fabricado con acero inoxidable, techo de policarbonato, mampara de separación con acrílico doble para colocar carteles informativos, iluminación en la parte superior de cada lado por medio de tubos fluorescentes tipo luz de día, fotocelda para que solo se encienda en la noche, toma de corriente duplex en ambos lados del módulo y equipo de comunicación telefónica.
o o Deberá ser empotrado en concreto a través de una placa y taquetes de acero de expansión. Deberá contar con la tubería interna que aísle perfectamente la instalación eléctrica del resto del mueble, así como la instalación telefónica. Una vez que se hayan definido los 10 parques, se procederán a realizar las pruebas técnicas para la elaboración de las bases para concursar el servicio. La aceptación y funcionalidad que genere el servicio en la ciudadanía, serán consideradas para aumentar el número de parques con este servicio. FUNCIONALIDAD DEL SERVICIO. ÁREA DE COBERTURA: El servicio de conexión inalámbrica a Internet deberá estar disponible en áreas específicas del Parque. SEGURIDAD: Para utilizar el servicio, el ciudadano se tendrá que registrar en un formato electrónico que el Ayuntamiento dispondrá para tal efecto en la página de inicio de la conexión, para obtener un nombre de usuario y contraseña, mismos que serán indispensables proporcionar posteriormente para acceder al servicio. FILTRADO DE CONTENIDO Y APLICACIONES: Por tratarse de un servicio público, no se permitirá el acceso a contenidos violentos. Asimismo, se limitará el acceso a ciertas aplicaciones de acuerdo a las necesidades del Ayuntamiento y disponibilidad de servicio. LIMITACIÓN DE ANCHOS DE BANDA: El servicio tendrá la capacidad de delimitar el ancho de banda permitido por aplicación y puerto de conexión. HORARIO DE CONEXIÓN: El servicio tendrá la capacidad de establecer y delimitar los horarios de conexión permitidos.
ASPECTOS TÉCNICOS DE PARQUES EN LÍNEA
CONSIDERACIONES GENERALES CONSIDERACIÓN NO 1: EQUIPO CONCENTRADOR DE VPN/FIREWALL Deberá ser de la misma marca que los equipos de acceso para oficina remota porque se requiere de un alto grado de integración y compromiso por parte del fabricante. Deberán interconectarse con lo estipulado en la sección Integración de Componentes. Este equipo deberá tener las siguientes funcionalidades. Cuenta con soporte PPPOE. Permite implementación en modo de operación transparente y gateway. Soporta y maneja ruteo estático y OSPF. Deberá poder manejar conexiones de usuarios concurrentes de al menos 50,000 Deberá soportar al menos 100 vlans. Deberá contar con al menos tres interfaces Ethernet (red interna, red externa y red Desmilitarizada) FUNCIONALIDADES DE FIREWALL Deberá contar con un desempeño en modo firewall de al menos 300 Mbps, y en modo de VPN de al menos 170 Mbps con usuarios ilimitados Soporta métodos de autentificado por usuario, cliente y sesión para el firewall Cuenta con tecnología Stateful Inspection. Autentifica sesiones para cualquier servicio. Esto es, cualquier protocolo y/o aplicación que se ejecuten bajo los protocolos TCP/UDP/ICMP. Control de acceso que soporta aplicaciones, servicios y protocolos predefinidos. Interconectividad con directorios LDAP para autenticación de usuarios, es decir, que los perfiles de usuario estén almacenados en LDAP y el firewall y la vpn pueda tomar esa información para realizar autenticaciones. Soporta esquemas de autenticado de usuarios tanto de FireWall como de VPNs, usando Tokens (por ejemplo SecurID), TACACS, RADIUS, password del sistema operativo, password propio del FireWall, Directorio LDAP, Certificados digitales, al menos. Facilidad para incorporar rastreo de virus para tráfico FTP, HTTP y SMTP junto con módulo de antivirus adicional, no necesariamente del mismo fabricante. Filtraje incluido para eliminar Controles ActiveX o Applets de Java, potencialmente peligrosos para los usuarios de la web. Facilidad para incorporar control de sitios web a los cuales naveguen los usuarios, a través de categorías, por medio de un producto propio o de terceros. Permite hacer NAT estático (uno a uno) como dinámico (muchos a uno), configurables de forma automática (solo especificando IP fuente e IP traducida). Soporta y permite hacer NAT para H.323 (tecnología de Voz sobre IP). Capacidad incluida e integrada dentro del mismo FireWall para detección de ataques de red y nivel aplicativo, protegiendo al menos los siguientes servicios: Aplicaciones
Web, Servicios de correo (E-mail), DNS, FTP, servicios de Windows (Microsoft Networking) y Voz sobre IP. Capacidad incluida e integrada dentro del mismo FireWall para detección y rechazo de ataques conocidos y desconocidos, protegiendo al menos de los siguientes ataques conocidos: Suplantación de IP (IP Spoofing), Inundación de paquetes con SYN (SYN Flooding), Rastreo de puertos abiertos (Port Scanning), Ping de la muerte, Inundación de ICMP (ICMP Flood), ataques de fuerza bruta contra IKE (en VPNs), ataques de hombre en medio para VPNs, además de gusanos como Code Red, Nimda, bugbear y Slammer. Tiene capacidad de interconexión con sistemas de detección y/o prevención de intrusos propios o de terceros. Protección y soporta tecnologías de Voz sobre IP SIP y H.323. Tiene la capacidad de poder hacer filtraje dentro de puertos TCP conocidos (por ejemplo el puerto 80 de http), aplicaciones potencialmente peligrosas como P2P (KaZaA, Gnutella, Morpheus) o Messengers (Yahoo!, MSN, ICQ), aun y cuando se haga tunneling de estos simulando ser tráfico legítimo del puerto. Soporta a aplicaciones Web y sus mecanismos de comunicación, tales como XML/SOAP Soporta servicios de Citrix, DCOM, DCE RPC de Microsoft, NFS y SQL al menos. Capacidad de protección de tráfico de correo basándose en los tipos MIME en los archivos anexos (attachments), rechazar código ActiveX o Java, verificación de cumplimiento de los RFC relevantes; y que se tomen medidas para prevenir negación de servicio, tales como el máximo número de receptores, tamaño máximo de mensaje y máximo número de comandos erróneos. FUNCIONALIDADES DE VPN La solución de FireWall integrada con una solución de VPN Maneja esquemas VPN site-to-site en topologías Full Meshed (todos-contratodos), Estrella (oficinas remotas hacia una oficina central), Hub and Spoke (tráfico entre oficinas remotas, pasando por inspección central), además de VPNs client-to-site (VPNs de Acceso Remoto). Tiene soporte integrado para VPNs sin cliente mediante SSL, permitiendo flexibilidad en la comunicación VPN desde equipos a los que no pueda instalársele un cliente. Permite establecer VPN usando clientes tipo L2TP/IPSec. Soporta al menos de los algoritmos de cifrado: AES, DES, 3DES. Soporta algoritmos de llave pública: RSA, Diffie -Hellman al menos. Cuenta con autoridad certificadora Integrada a la VPN o a su GUI de administración como parte nativa de la solución, de manera que se emitan certificados digitales para usuarios de VPN y/o gateways de VPN con los que se establece comunicación y/o los mismos componentes de la solución (tales como GUI de administración, administradores, etc.). Implementa fácil de integración con certificados digitales (PKI) de terceros, que cumpla al menos con el estándar X.509, para no-repudiación de transacciones por VPN. Soporta algoritmos de compresión de datos, tanto para las VPNs site-to-site como para las VPNs client-to-site realizadas con los clientes propios. El dispositivo trabaja con dispositivos remotos que utilicen direcciones IP dinámicas.
Tiene licenciamiento para al menos 50 VPNs con capacidad de crecimiento para 250 VPNs al menos. FUNCIONALIDADES DE QOS Soporta por seguridad y eficiencia, tecnología de QoS basada en colas inteligentes. Permite el monitoreo gráfico en tiempo real del tráfico que está circulando por el dispositivo. Permite poder hacer administración de ancho de banda por IP fuente, IP destino, usuario o grupos de Usuarios. Maneja al menos máximo ancho de banda a usar, y cuenta con soporte integrado a servicios diferenciados (DiffServ). Maneja controles con colas de baja latencia (Low Latency Queues LLQ) para expeditar tráfico sensible al retraso. Capacidad integrada de QoS tanto para tráfico en texto claro como para tráfico VPN. ADMINISTRACION DEL EQUIPO Cuenta con una interface gráfica (GUI) de administración y monitoreo de políticas de firewall, vpn y QoS, así como línea de comando. Capacidad de colocar la interfase gráfica en equipo diferente de la para realizar administración remota La GUI es capaz de definir administradores con diversos roles, con distintos permisos dentro de la consola para poder delegar funciones administrativas La GUI permite establecer autenticación fuerte (certificados, etc) de manera nativa en la solución, para los administradores de la consola. La GUI tiene autoridad certificadora interna que pueda emitir certificados para comunicación. La GUI iene una sola interfase gráfica de usuario para administración de Firewall, VPN y Ancho de Banda (QoS). La GUI brinda la capacidad de revisión de bitácoras en tiempo real. SOPORTE El equipo concentrador de VPN/Firewall solicitado deberá contar con el respaldo por parte del fabricante y El Postor deberá entregar, como parte de su propuesta la siguiente documentación: La configuración, puesta a punto y en marcha deberá realizarse por un ingeniero certificado por el fabricante, deberá anexar copia simple de los certificados del fabricante expedido a cada uno del personal que realizará los trabajos de instalación, configuración y puesta en marcha del equipo concentrador de vpn/firewall. Carta del Fabricante de que el postor es Distribuidor Autorizado en México del equipo. Se debe incluir un Curso de administración, configuración e instalación del equipo para al menos 3 personas.
NOTA IMPORTANTE: El Ayuntamiento de Mérida cuenta con un equipo concentrador de VPN/Firewall Check Point Enterprise Pro - VPN-1 Gateway para usuarios ilimitados y SMART Center que podrá ser utilizado por el postor para la implementación de la solución. En caso de utilizarlo no será necesario ofertar el equipo concentrador de VPN/Firewall. CONSIDERACIÓN NO 2: EQUIPO DE ACCESO PARA OFICINA REMOTA Deberá ser de la misma marca que el equipo concentrador de VPN/Firewall porque se requiere de un alto grado de integración y compromiso por parte del fabricante. Deberán interconectarse con lo estipulado en la sección Integración de Componentes. FUNCIONALIDADES Y COMPATIBILIDADES DEL EQUIPO DE ACCESO PARA OFICINAS REMOTAS. Deberán soportar tecnologías de conexión de banda ancha por PPPoE al menos Deberá contar con al menos 4 puertos Ethernet 10/100Mbps que deberán permitir configurar VLAN 802.1q. De los 4 puertos Ethernet al menos uno deberá permitir ser configurado para el segmento interno (TRUSTED, LAN, INTRANET), al menos uno deberá permitir ser configurado como puerto externo (UNTRUSTED, INTERNET); al menos uno deberá permitir ser configurado como puerto DMZ, FireWall basado en la tecnología Stateful Inspection. Permite tener un equipo en DMZ virtual (Todo el tráfico que llega a la IP externa del dispositivo, es reenviado a este equipo). Tiene la capacidad de poder al menos tener los siguientes servidores/servicios en la red protegida por el dispositivo: PPTP, Microsoft Networking (File Sharing/Printers via Windows), Telnet, FTP, HTTP, SMTP, POP3, VoIP (H.323). Soporte al menos los algoritmos de cifrado: AES, 3DES, SHA-1, MD5. Permite crear VPN s entre gateways y clientes. Esto es, VPN s site-to-site y VPN s clientto- site. Capacidad de poder enviar todo el tráfico VPN del dispositivo a un equipo central, en una configuración tipo Hub & Spoke. Al mismo tiempo soporta split tunneling. Capacidad de hacer NAT tanto estático (uno a uno) como dinámico (muchos a uno). Protección y soporte a tecnologías de Voz sobre IP SIP y/o H.323. Implementación de la solución en hardware de propósito específico (Appliances). Capacidad de ofrecer servicio de VPNs tanto a gateways externos como a usuarios remoto (site-to-site y client-to-site/remote-access VPNs).Los dispositivos trabajan también con direcciones IP dinámicas Capacidad de cifrar cualquier protocolo basado en IP. Deberá manejar al menos 10 túneles de VPN. Deberá ofrecer una capacidad de protección para un número de direcciones IP ilimitadas que atraviesen el puerto externo (UNTRUSTED, INTERNET) ya sea en conexiones de túneles VPN o salida hacia INTERNET.
Soporta al menos 7,000 conexiones concurrentes. Deberá contar con un desempeño en modo firewall de al menos 100 Mbps, y en modo de VPN de al menos de 25 Mbps. Soporta al menos protección Anti-spoofing. Deberá administrar el ancho de banda priorizando el ancho de banda a tráfico crítico que requieren ciertos niveles de servicio todo el tiempo como la VoIP y limitando el ancho de banda al tráfico de aplicaciones no críticas. Deberá permitir configurar fechas y horas que rijan el tráfico de protocolos que serán permitidos o denegados Deberá permitir realizar filtrado URL y para toda petición de navegación realizada por un usuario, el equipo de acceso para oficina remota deberá redirigir la petición a un servidor centralizado de filtrado y bloqueo URL (producto de la misma marca o de terceros) el cual responderá al equipo de acceso para oficina remota si la petición del usuario es permitida o rechazada. Deberá permitir el uso de Authentication, Authorization y Accounting (AAA) ya sea a través de un Servidor RADIUS o manteniendo una base de datos LOCAL. ADMINISTRACIÓN DEL EQUIPO DE ACCESO PARA OFICINAS REMOTAS. Capacidad de ser administrado desde una consola central de administración. Administración local del dispositivo vía la web. Facilidad de al definir nuevas reglas de bloqueo o de permiso de acceso, desde la interface web. Entrega bitácoras locales mediante la interface web, centralizadas a un servidor central de administración, o mediante un servidor Syslog Externo SOPORTE. Los equipos de acceso para oficinas remotas solicitados deberán contar con el respaldo por parte del fabricante y El Postor deberá entregar, como parte de su propuesta la siguiente documentación: La configuración, puesta a punto y en marcha deberá realizarse por un ingeniero certificado por el fabricante, deberá anexar copia simple de los certificados del fabricante expedido a cada uno del personal que realizará los trabajos de instalación, configuración y puesta en marcha del equipo de acceso para oficinas remotas solicitado en las presentes bases. Carta del Fabricante de que el postor es Distribuidor Autorizado en México del equipo. Se debe incluir un Curso de administración, configuración e instalación del equipo para al menos 3 personas.
CONSIDERACIÓN NO 3: EQUIPO DE ACCESO INALÁMBRICO. Los equipos ofertados por el postor deberán interconectarse con lo estipulado en la sección Integración de Componentes y cumplir lo siguiente: ESPECIFICACIONES DEL EQUIPO DE ACCESO INALÁMBRICO. Equipo inalámbrico que deberá contar con al menos un enlace Access Point y deberá contar con al menos un enlace que funcione como Backhaul (de la misma marca) en el mismo equipo. Deberá soportar la instalación de antenas externas (tanto en el enlace Access Point como en el enlace Backhaul) para incrementar la distancia de cobertura. El Enlace Access Point y el enlace Backhaul deberán tener la capacidad de manejar la tecnología WIFI (IEEE 802.11abg) El enlace Access Point deberá trabajar en el rango de frecuencia de 2.4-2.4835 GHZ. Y deberá soportar al menos las velocidades de transmisión de 1, 2, 5.5 y 11 Mbps en 802.11b y de 1, 2, 5.5, 6, 9, 12, 18, 24, 36, 48 y 54 Mbps en 802.11g. El enlace Backhaul deberá trabajar en el rango de frecuencia de 5.0-5.85 GHZ. y deberá soportar al menos las velocidades de de 6, 9, 12, 18, 24, 36, 48 y 54 Mbps en 802.11a. Deberá manejar los esquemas de autentificación 802.1x (RADIUS) y EAP al menos Deberá manejar los esquemas de encriptación WEP (64 y 128 bits), TKIP/MIC a través de 802.1x, 802.11i AES al menos Deberá manejar listas de control de acceso por MAC ADDRESS al menos. Deberán contar con puerto de red 10/100BASE-T Ethernet categoría 5 en RJ-45. Deberá soportar PoE (Power over Ethernet) a través de cable ethernet e incluir al menos uno (1) inyector de poder (power injector). También deberá poderse energizar localmente. Deberán permitir a los clientes IEEE 802.11b/g mantener conexión a la red, conforme se desplazan dentro del área de cobertura de un enlace Access Point al área de cobertura de otro enlace Access Point (roaming). El Postor deberá dotar los herrajes necesarios para su montaje en estructura de telecomunicaciones. El enlace se recepcionará como llave en mano por lo que el proveedor deberá considerar los demás insumos necesarios para la puesta a punto, puesta en marcha y entrega funcional del enlace a su nivel máximo de señal. ADMINISTRACIÓN DEL EQUIPO DE ACCESO INALÁMBRICO. Deberá poder ser administrado por línea de comando (local y remota), Deberá poder ser administrado interfaz gráfica web (http y https) Deberá poder ser administrado por software propio de la misma marca del equipo de acceso inalámbrico de manera remota Deberá poder ser administrado vía SNMP en conformidad con MIB I, MIB II SOPORTE. Carta del Fabricante de que el postor es Distribuidor Autorizado en México del equipo. Se debe incluir un Curso de administración, configuración e instalación del equipo para al menos 3 personas.
CONSIDERACIÓN NO 4: ESTRUCTURAS DE TELECOMUNICACIONES. Poste circular de tubo de acero galvanizado cédula 40, de 3 pulgadas y 6.40 mt de altura al menos. El postor ganador proporcionará la obra civil y la mano de obra para instalar la estructura de telecomunicaciones, así como los materiales y mano de obra para la instalación de la alimentación eléctrica que se requiera. CONSIDERACIÓN NO 5: SERVIDOR AAA. El servidor de AAA ofertado por el postor deberá instalarse, integrarse, configurar y operar de acuerdo con lo estipulado en la sección Integración de Componentes y cumplir con las siguientes características: Se deberá configurar la Authentication (Autentificación). Se refiere a la confirmación de que el usuario que está solicitando el servicio es un usuario válido de los servicios de red solicitados. La autentificación se logra vía la presentación de credenciales de nombre de usuario y contraseña. Deberá tener la capacidad de Authorization (Autorización), la cual se refiere a conceder los tipos de específicos de servicio (incluyendo ningún servicio) a un usuario basado en su autentificación Deberá tener la capacidad de Accounting (Contabilidad), la cual se refiere a seguir la pista del consumo de recursos realizado por el usuario, la cual deberá generar información que puede ser usada administración, planeación, facturación u otros propósitos. Deberá utilizar el protocolo RADIUS para AAA para todo usuario remoto Debe soportar al menos los siguientes métodos de autentificación: o Password en texto claro en archivo de configuración local (PAP) o Password encriptado en archivo de configuración local o MS-Chap v1 y v2 o EAP-MD5 o EAP-PEAP o LDAP Debe soportar al menos los siguientes métodos de autorización: o Archivos locales o Bases de datos LDAP o Bases de datos SQL (MySQL, PostgreSQL) o Cualquier IODBC o UNIXODBC base de datos Se deberá configurar el Accounting de manera que la información sea almacenada para su posterior uso un alguna base de datos SQL (MySQL, PostgreSQL al menos ) Deberá configurarse para prevenir varios loggins de un mismo usuario y establecer restricciones de horario.
Deberá soportar paquetes keepalive que permita conocer si el usuario continúa haciendo uso del servicio. En caso de que El Postor oferte una solución que no haga uso de hardware de propósito específico (Appliance), el equipo servidor a utilizar deberá ser un equipo de marca con garantía de al menos 3 años y deberá contar con soporte por parte del fabricante. El equipo servidor deberá contar con el procesador, memoria, disco duro y demás componentes que garanticen el correcto funcionamiento del servicio de AAA para al menos 500 usuarios concurrentes. El Ayuntamiento de Mérida se reserva el derecho de auditar el desempeño del equipo servidor y en caso de ser necesario solicitar su actualización o reemplazo según considere. Los gastos correrán a cuenta de El Postor ganador. Deberá contar con el licenciamiento de Authentication, Authorization y Accounting para manejar al menos 20,000 usuarios La solución se recepcionará como llave en mano por lo que el proveedor deberá considerar los demás insumos necesarios para la puesta a punto, puesta en marcha y entrega funcional de la misma ADMINISTRACIÓN DEL SERVIDOR AAA. Deberá poder ser administrado de manera local y remota a través de interfaz gráfica y/o línea de comandos SOPORTE. Se debe incluir un Curso de administración, configuración e instalación del servidor para al menos 3 personas. CONSIDERACIÓN NO 6: SERVIDOR DE FILTRADO DE CONTENIDO URL Y APLICACIONES. El servidor de filtrado r de contenido URL y aplicaciones ofertado por el posto deberá instalarse, integrarse, configurar y operar de acuerdo con lo estipulado en la sección Integración de Componentes y cumplir con las siguientes características: Se deberá instalar y configurar el servidor de filtrado URL y aplicaciones para filtrar y/o bloquear los sitios con contenido adulto, violencia y demás clasificaciones que el Ayuntamiento de Mérida considere pertinentes. Se deberá configurar para filtrar y/o bloquear aplicaciones y/o protocolos tipo p2p así como demás aplicaciones que el Ayuntamiento de Mérida considere pertinentes. El control de sitios web deberá permitir ser actualizable por Internet el tiempo que dure el contrato de arrendamiento, sin costo adicional para el Ayuntamiento de Mérida, y deberá permitir al menos 500 usuarios concurrentes. El caso de ser necesario se deberá aumentar el número de de usuarios concurrentes sin costo alguno para el Ayuntamiento de Mérida. En caso de que el En caso de que El Postor oferte una solución que no haga uso de hardware de propósito específico (Appliance), el equipo servidor a utilizar deberá ser un equipo de marca con garantía de al menos 3 años y deberá contar con soporte por parte del fabricante. El equipo servidor deberá contar con el procesador, memoria, disco duro y demás componentes que garanticen el correcto funcionamiento del servicio de filtrado de
URL y aplicaciones. El Ayuntamiento de Mérida se reserva el derecho de auditar el desempeño del equipo servidor y en caso de ser necesario solicitar su actualización o reemplazo del según considere. Los gastos correrán a cuenta de El Postor ganador. La solución se recepcionará como llave en mano por lo que el proveedor deberá considerar los demás insumos necesarios para la puesta a punto, puesta en marcha y entrega funcional de la misma ADMINISTRACIÓN DEL SERVIDOR DE FILTRADO URL Y CONTENIDO. Deberá poder ser administrado de manera local y remota a través de interfaz gráfica. SOPORTE Se debe incluir un Curso de administración, configuración e instalación del servidor para al menos 3 personas. INTEGRACIÓN DE COMPONENTES El siguiente diagrama ilustra la interconexión que deberán tener los equipos motivos de la presente licitación.
INTEGRACION DE LOS EQUIPOS DE ACCESO PARA OFICINA REMOTA, EQUIPO CONCENTRADOR DE VPN/FIREWALL, INTERNET BANDA ANCHA E INTERNET DEDICADO. El enlace a Internet Empresarial dedicado 2048 KBps con IP fija se deberá emplear para crear desde el equipo concentrador de VPN/FIREWALL túneles de VPN hacia cada uno de los equipos de acceso para oficina remota con servicio de internet banda ancha con IP dinámica de 2Mbps que estará en cada uno de los 10 parques indicados en las bases. Se deberán configurar en modo huband spoke sin comunicación entre los spoke (la comunicación entre los spoke deberá poder ser configurable). Los equipos de acceso para oficina remota y el equipo concentrador de VPN deben reconstruir automáticamente la topología de red de todos los dispositivos con la/las nuevas direcciones IP en caso de algún cambio en alguna de las IP dinámicas. Los servicios de Internet de banda ancha e Internet dedicado serán proporcionados por el Ayuntamiento de Mérida. EQUIPO DE ACCESO INALÁMBRICO. Los equipos de acceso inalámbrico deberán poseer conectividad con el equipo de acceso de oficina remota, ya que este servirá como Gateway del internet banda ancha. Todos los equipos de acceso inalámbrico que se instalen en un parque deberán configurarse para proporcionar roaming. Los equipos de acceso inalámbrico deberán configurarse con broadcast SSID activado y sin contraseña, que permita que cualquier usuario pueda asociarse al equipo de acceso inalámbrico. El enlace tipo Backhaul de los equipos de acceso inalámbrico deberán utilizarse para la comunicación entre los equipos de acceso inalámbrico instalados en el mismo parque, proporcionando una tasa de transferencia entre ellos de al menos 11Mbps. El enlace Access point de los equipos de acceso inalámbrico deberán utilizarse para proporcionar la cobertura inalámbrica en el área de parque solicitada. OPERATIVIDAD QUE SE DEBERÁ OFRECER PARA EL ACCESO INALÁMBRICO A INTERNET EN LOS PARQUES. 1.- Cualquier usuario con su computadora o equipo con tarjeta inalámbrica deberá poder conectarse a la red inalámbrica (SSID) proporcionada por los equipos de acceso inalámbrico, obteniendo una dirección IP ofertada por el equipo de acceso para oficina remota 2.- Una vez conectado, cualquier usuario, con su computadora o equipo con tarjeta inalámbrica, que desee hacer uso del servicio de internet banda ancha instalado en el parque, deberá forzosamente ser redirigido a una página de bienvenida ( la cual deberá personalizarse según los requerimientos que indique el Ayuntamiento de Mérida al postor ganador) para su autentificación a través de un nombre de usuario y contraseña. La página
de bienvenida deberá contener una liga URL que permita que el usuario pueda registrarse y obtener un nombre de usuario y contraseña. Esta página también deberá contener una liga URL que permita que el usuario pueda recuperar su contraseña. El sitio www. merida.gob.mx y las ligas URL, mencionadas con anterioridad, deberán estar libre de autentificación. Así mismo todo texto (ya sea informativo o que indique se ingrese algún dato) que aparezca en ésta página de benvenida ( portal captivo) deberá estar en español. 3.- La autentificación deberá realizarse en un servidor AAA centralizado ubicado en el Ayuntamiento de Mérida el cual deberá almacenar las bases de datos de nombres de usuarios y contraseñas. La conectividad al servidor AAA centralizado será a través de los túneles VPN que se realice entre el quipo concentrador de VPN/Firewall y los equipos de acceso para oficina remota. Una vez autentificado el usuario, podrá hacer uso del internet banda ancha instalado en los parques hasta que su sesión expire y de nuevo tendrá que autentificarse. 4.- Se deberá restringir el acceso a contenidos Web y aplicaciones específicas a través del servidor o servicio de filtrado URL y aplicaciones centralizado ubicado en el Ayuntamiento de Mérida. La infraestructura de comunicación para proporcionar este servicio será la de los túneles VPN establecidos entre el parque y el sitio central. 5.- Se deberá restringir el acceso de uso del internet banda ancha en los parque a través de configuración de horarios de servicio por protocolo. El Ayuntamiento de Mérida indicará al postor ganador el horario de acceso y restricción del servicio de internet. El Postor deberá ofrecer conexión inalámbrica a Internet de banda ancha en los principales parques públicos de la ciudad de Mérida. El Postor deberá proporcionar la información y documentación solicitada en cada una de las secciones, respetando el orden que se marca. La presentación de la propuesta deberá ser clara, organizada y cada uno de los rubros de su contenido deberán ser perfectamente explícitos. FORMATO DE LA PROPUESTA. La propuesta técnica deberá estar acompañada de todos los documentos que se indican en las bases de licitación. Asimismo, se deberán satisfacer todos y cada uno de los puntos que se integran dentro de la sección de Requerimientos Funcionales. El Ayuntamiento de Mérida verificará que la documentación presentada cumpla con los requerimientos establecidos acorde a las bases de licitación. La falta de alguno de los requisitos mencionados será motivo de descalificación. Requerimientos funcionales Portal Captivo de bienvenida: Todo primer acceso de navegación o salida a Internet por parte de algún ciudadano deberá ser redirigido a una página web principal, que deberá ser personalizable de acuerdo a los criterios que indique el Ayuntamiento de Mérida, y solicitar el
ingreso de un nombre de usuario y contraseña que permita validar al usuario. El usuario deberá ser capaz de crear y activar su nombre de usuario y contraseña a través de una liga URL que lo lleve a un formulario que será diseñado por el Ayuntamiento de Mérida. Todo texto que aparezca en este portal captivo deberá estar en español. Validación de Usuario: El usuario deberá ser capaz de autenticarse en un servidor AAA Centralizado en el Palacio Municipal. Filtrado de contenido URL y Aplicaciones: Se deberá poder restringir el acceso a determinados sitios web y aplicaciones de acuerdo al criterio que será definido por el Ayuntamiento de Mérida Administración de ancho de banda por protocolo y aplicación: Se deberá poder configurar y asignarle o no a ciertos puertos y/o aplicaciones un determinado ancho de banda. Administración de Calidad de Servicio por protocolo y aplicación: Se deberá poder configurar y asignarle calidad de servicio a aplicaciones de voz, datos y video de acuerdo a criterio del Ayuntamiento de Mérida Administración de horarios de servicios por protocolo y aplicación: Se deberá poder delimitar los servicios de acceso a sitios web y aplicaciones de acuerdo a horarios y fechas que serán establecidos por el Ayuntamiento de Mérida. Requerimientos de Administración Administración centralizada:se deberá poder administrar desde el sitio central los equipos de acceso para oficina remota, equipos de acceso inalámbricos, servidor AAA, servidor de filtrado URL y Contenido. Monitoreo centralizado:se deberá poder monitorear desde el sitio central a través de los protocolos icmp y snmp los equipos de acceso para oficina remota, equipos de acceso inalámbricos, servidor AAA, servidor de filtrado URL y Contenido. PRESENTACIÓN GENERAL Y PRUEBA FUNCIONAL DE LA SOLUCIÓN El Postor deberá presentar y demostrar su solución, de manera integral y completa, cubriendo todos y cada uno de los requerimientos solicitados en las presentes bases de licitación, en dos etapas: Presentación General Presentación de la empresa y de la plataforma tecnológica que presentan considerando los siguientes puntos: