Comments
Description
Transcript
富 山 県 立 大 学 基幹ネットワークシステム 仕 様 書
富 山 県 立 大 学 基幹ネットワークシステム 仕 様 (平成28年2月4日作成) 平成28年2月 富 山 県 立大 学 書 1.目的 近年ネットワークアプリケーションの増加・高度化・マルチメディア化に伴い、本学に於いて もそれらを利用する教育(授業・研究)の要素が高まってきている。平成 18 年度より実施の学生 必携パソコン制度の定着により、利用者が複数の個人所有の情報端末を学内 LAN に接続する環境 となり、ネットワーク利用の管理・制限が必要不可欠となった。そのため、平成 22 年度に本学ネ ットワークの更新を実施し、機器固有物理アドレス(MAC アドレス)及び利用時の利用者 ID・パス ワードで認証を行なうシステムを導入した。本調達は、平成 28 年9月でその機器保障が終了する ことによるリプレース及び同等機能の最適化を主目的とする。 ただし、 現認証機構は当時の Windows XP 中心の学内利用のみを想定したものであり、 現在の様々 な情報機器への対応が十分ではない。また、 「学認」 (GakuNin:国立情報学研究所(NII)が中心と なって運用されている学術認証フェデレーション)等の統合認証基盤には非対応であり、本学で は十分な学術情報交換や学術機関向けサービスが利用できない状態となっている、さらに、平成 28 年 4 月より運用開始の SINET5(NII が運用する学術広帯域ネットワーク、10Gbps 接続)には、 ファイアウォール等外部接続機器の対応能力が不足している。これらの問題点への部分的修正対 応と機器間接続の再検討を含めて、富山県立大学ネットワーク基盤の強化を行う。 また、本学は平成 28 年度から各学科の定員拡充と、これらにともなう校舎拡張を予定としてい るところであるため、一部機器及びネットワーク回線については本調達の中で新たに設置・敷設 することとしている。さらに、本調達の範囲には含まれないが、本学は平成 31 年度に新たに看護 学部を新設することとしており、これに伴うネットワークの拡張も今度予想される。 ついては、受注者においては、将来的な拡張性を確保しつつも、不要な投資が生じないよう適 切な機器を選定し納入すること。 2.調達物品の名称及び数量 富山県立大学基幹ネットワークシステム 一式 (機器撤去・据付け・配線・調整・機器保守を含む) 3.調達方法 購入等 4.スケジュール 本システムは、平成 28 年 10 月1日から運用を開始する。運用開始までのスケジュールは次 のとおりとする。ただし、詳細は受注者と協議のうえ決定する。 H28.3 ネットワークシステム改修 ネットワーク機器納品・設定 ネットワーク機器設置・入 H28.4~7 受 注 者 決 定 H28.8~9 仮設置 替・調整 8 月中旬~9 月中旬頃 -1- 切替日 H28.10 調整 本 稼 動 開 始 5.仕様及び応札仕様書作成等に関する留意事項 (1)本件調達物品にかかる性能、機能、技術及び納入条件等の要求要件(以下「技術的仕様」 という)は、本仕様書「7.本調達により更新する機器等」以下に記載のとおりであり、 全て必須の要求要件である。 (2)技術的仕様は、本学が必要とする最低限の要求要件を示しており、入札機器、ソフトウェ ア(以下「入札機器等」という)の性能及びその設定等がこれを満たしていないとの判定 がされた場合には不合格となり、落札決定の対象から除外する。 (3)入札機器等の性能等が技術的仕様を満たしているか否かの判定は、入札機器等に係る応札 仕様書その他入札説明書で求める提出資料の内容を審査して行う。 (4)応札仕様書については、要件項目・内容ごとに、機能をどのように満たすのかをすべて網 羅して具体的かつ明確に記載すること。具体的内容が不明確な場合、表現があいまいであ る場合は、技術的仕様を満たしていないと判断することもあり得る。 (5)原則として、入札機器等は入札時点で製品化されていること。入札時点で製品化されてい ない場合は、技術的仕様を満たすことの証明と納入期限に納入できることを保証する仕様 及び確約書等を提出すること。 (6)調達対象の全てのソフトウェアは、原則として、納入時点で安定動作が確認された最新バ ージョンであること。調達対象ソフトウェアのうち納入期限までにバージョンアップする ことが予想されるソフトウェアがある場合は、その予定時期等が記載された仕様を提出す ること。 (7)本システムは、平成 28 年 10 月1日から運用を開始する。 (8)本調達に機器保守を含める。本システムに係る修理、部品提供等のアフターサービスを、 検収後5年間の期間にわたり行うこと。なお、本仕様書においては、 機器保守:導入機器製品に対して、製造メーカーで設定している保守で、ハードウェア の不良・故障に対する修理、交換の他、機器に内蔵されるソフトウェアの継 続使用ライセンス等を含む。 システム保守:システム納入者による上記機器保守に関わる交換作業、製造メーカーへ の機器発送作業、機器設定の再設定、部品予備交換、機器清掃等保全作 業を含む。 と定義する。その双方の保守に責任を持って対処すること。 なお、保守方法については、メーカー機器保守だけに依存するのではなく、適切な予備 機器・部品の事前保有により、システム保守での交換作業で対応する方式でも良い。その ための予備機器・部品は、本調達に含めること。 (9)システム保守は1年目より別途契約により対応すること。システム保守の内容については、 後述「 【参考】システム保守要件」を参照すること。なお、システム保守契約は平成 28 年 10 月 1 日から開始する。システム保守契約(年額:税込)は本契約額(税込)の 3.8%以 内とすること。 -2- 6.システム要求仕様 6-1 システム要件 富山県立大学基幹ネットワークシステム(以下、 「本システム」という。 )は学内キャンパス全 域、特に計算機センター、実習棟、研究棟、講義棟、一般教養棟、合同棟、生物工学研究センタ ー、生物工学科棟および環境工学科棟を対象とした通信ネットワークインフラを整備するもので ある。 本システムはシステム全体として次の仕様(機能)を満たす構成とする。 6-2 システムの機能概要 6-2-1 システムの構成 実習棟を中心としたスター型ネットワーク構成を原則とし、10Gbps 光ファイバーイーサネット にて冗長化構成の基幹ネットワークを構築、計算機センター、合同棟、研究棟Ⅰ及びⅡを接続す る。さらに平成 28 年 4 月完成予定の仮設棟にも対応するものとする。また、講義棟、一般教養棟、 生物工学研究センター棟は、実習棟より 10Gbps 光ファイバーイーサネット(既設ファイバー経路 に新設すること。 )にて、環境工学科棟、本部棟、図書館および大講義棟へは、計算機センターも しくは実習棟より 1Gbps 光ファイバーイーサネットで接続する構成とする。ただし、1Gbps 部分は 将来的に 10Gbps 化が可能な機器構成とすること。 6-2-2 ネットワーク構成(その1) (1)実習棟のコアルータから 10Gbps イーサネットにより光ケーブル経由で接続する施設 (ア)研究棟Ⅰ (既設 SM ケーブル使用) (イ)研究棟Ⅱ (既設 SM ケーブル使用) (ウ)計算機センター(冗長化) (既設 SM ケーブル使用) (エ)合同棟 (既設 SM ケーブル使用) (オ)仮設棟(平成 28 年 4 月完成予定) (別途調達(本仕様外)SM ケーブル使用) (カ)一般教養棟 ※本調達にて、10G 対応ケーブルに張り替えること (キ)講義棟 ※本調達にて、10G 対応ケーブルに張り替えること (ク)生物工学研究センター ※本調達にて、10G 対応ケーブルに張り替えること (2)実習棟のコアルータから1Gbps イーサネットにより既設ケーブル経由で接続する施設 (ア)本部棟 (既設 GI 62.5μ光ケーブル使用) (イ)図書館 (既設 GI 62.5μ光ケーブル使用) (ウ)教職員共通棟 (既設 GI 62.5μ光ケーブル使用) (3)合同棟のエンドスイッチから1Gbps イーサネットにより既設ケーブル経由で接続する施設 (ア)生物工学科棟 (既設 GI 50μ光ケーブル使用) (4)計算機センターのアクセススイッチもしくはエンドスイッチから1Gbps イーサネットによ -3- り既設ケーブル経由で接続する施設 (ア)環境工学科棟 (既設 GI 62.5μ光ケーブル使用) (イ)大谷講堂 (既設 1000BASE-T メタルケーブル使用) (ウ)学生会館 (既設 1000BASE-T メタルケーブル使用) (5)環境工学科棟のエンドスイッチから1Gbps イーサネットにより既設ケーブル経由で接続す る施設 ※必要な場合は、受注者の負担により一部メディアコンバータ(MC)を新設し、経由しても よい (ア)厚生棟・体育館 (既設 GI 62.5μ光ケーブル使用) (イ)合同講義棟 (既設 GI 62.5μ光ケーブル使用) (ウ)環境工学実験棟1 (既設 GI 62.5μ光ケーブル使用) (エ)環境工学実験棟2 (既設 GI 62.5μ光ケーブル使用) (オ)パステル工房(※環境工学実験棟2から) (既設 1000BASE-T メタルケーブル使用) (カ)共同実験室 (既設 GI 62.5μ光ケーブル使用) (キ)環境工学実験棟3 (既設 GI 62.5μ光ケーブル使用) (ク)機械エネルギー工学実験室3 (既設 GI 62.5μ光ケーブル使用) 6-2-3 ネットワーク構成(その2) 特に、多人数同時利用が想定される下記の教室までは、既設の計算機センターファイルサーバ 群(設計上 40Gbps の送出能力を有する)からのデータが無駄なく配信されるよう、十分な帯域を 有する中継スイッチ等を配備すること。 ・計算機センターPC 室(デスクトップ PC 90 台他) 合計 40 Gbps ・実習棟 WS 室1(デスクトップ PC 80 台他) 合計 20 Gbps ・実習棟 WS 室2(学生必携 PC 80 台他) 合計 20 Gbps ・合同棟 L201 教室(学生必携 PC 80 台) 合計 10 Gbps ・合同棟 L204 教室(学生必携 PC 80 台) 合計 10 Gbps ・一般教養棟 F101 教室(学生必携 PC 80 台) ・一般教養棟 F106 教室(学生必携 PC 70 台) 次の箇所は新たに中継スイッチを増設するものとする。 ・一般教養棟 F108 教室(学生必携 PC ~100 台) ・講義棟 F121 教室(学生必携 PC ~100 台) ・講義棟 F221 教室(学生必携 PC ~100 台) ・講義棟 F321 教室(学生必携 PC ~100 台) 合計 10 Gbps 合計 10 Gbps 合計 合計 合計 合計 10 10 10 10 Gbps Gbps Gbps Gbps 6-3 通信プロトコル 本システムで使用するプロトコルは IPv4 を原則とすること。また、タグ VLAN(IEEE802.1q)方式 -4- による仮想 LAN(VLAN)で構成すること。 6-4 認証機構 終端では、原則、すべての持ち込み機器に対して MAC アドレスでのネットワーク接続可否認証 を行い、接続認証可となった機器はさらに利用時に ID・パスワードによる利用者認証を加えるも のとする。その際、利用者属性(教職員・学生・ゲスト等)に対応した VLAN での接続端末の使用 認可を自動的に与えるものとする。プリンタ等 ID・パスワード入力が不能な機器では、接続場所 や機器 MAC アドレス等の事前登録情報により認可する方式を併用する。また補助機能として、MAC アドレスの登録が利用者自身で行うことが可能なWebページ等「接続申請システム」を提供す ること。 ※別添「ネットワーク利用認証システム構成図」を参照のこと。 6-5 システム連携 本システムには、サブネットのほか、次のシステムが接続されている。 ・計算機センター内メールサーバ一式(H29.3 まで株式会社菱友システムズ提供) ・ファイルサーバ等仮想サーバ一式(H31.3 まで三谷商事株式会社提供) サブネットを含めこれらとの接続が安定したものであるとともに、責任分岐点が明確となる構成 であること。 6-6 ネットワーク管理 本システムハードウェアを本学計算機センターサーバ室1箇所で集中的に管理し、 運営・運用(保 守)する機能を提供すること。主要ネットワーク機器の死活監視が、GUI インタフェース等により 容易であること。CUI インタフェースにより、各機器のリモート保守が可能であること。なお、ロ グを参照する GUI インタフェースは別々のものでよい。 また、エンドスイッチ群による認証ログ、ファイアウォールのセキュリティログ等を集約し、 ネットワーク状態・セキュリティ状態・利用状況を把握可能とする機能を有すること。 6-7 ネットワーク回線 ネットワーク回線は、別添富山県立大学基幹ネットワークシステム設計図(以下、 「設計図」 という)のとおりである。なお、本調達において、次の箇所の既設の 1Gbps マルチモード光フ ァイバー(62.5μ)にかえて、10Gbps 対応光ファイバー(予備芯を含めて 4 芯以上)への張り替え 新設工事を含むものとする。なお、シングルモード/マルチモードの種別は問わない。ただし 後述の機器項目では、本ファイバー規格に合わせたインタフェース(10GBASE-LR/SR と記載)を 選択すること。また、本調達での同一場所に設置する機器同士の接続(計算機センター、実習 棟 2F)や1箇所を複数機器で構成する場合は、適切な 10Gbps ケーブルで接続するものとする。 なお、()内は、現行業者報告書から引用した既設ケーブルでの参考距離値であり、経路変更(適 宜、変更は可)で距離が異なる可能性がある。その他は、やむを得ない場合を除き、既設配線 をそのまま使用するものとする。 -5- (1) (2) (3) (4) (5) 実習棟 2F-講義棟 2F 間(234m), 実習棟 2F-一般教養棟 1F 間(162m) 講義棟 2F-生物工学研究センター棟 2F 間(171m) 研究棟Ⅰ 4F-2F 間(~10m) 研究棟Ⅱ 4F-2F 間(~10m) 6-8 その他 本仕様書に明記されていない事項でも、本システムを実現するための当然備えるべき性能及び 機能(構造)等については完備していることとし、本システムとして正常に機能しなければならな い。 7.本調達により更新する機器等 受注者においては、以下に示す仕様を満たした本学にとって最適な機器等の更新を行うこと。 ただし、機器台数は事前に内容を本学に説明し、本学の書面による承認を得ること。 なお、機器の仕様を以下に記述するが、システムが正常に動作しない事態が生じる場合は、本 学と協議の上、責任を持ってシステム全体を正常に動作させること。 また、電源に関しては、事前に必ず現地確認を行い、追加工事が必要な場合は受注者の負担で 行なうこと。 ※別添「富山県立大学基幹ネットワークシステム設計図」を参照のこと。 次に示す機器等の更新を行なうこと。ただし、機器台数は事前に内容を本学に説明し、本学の 書面による承認を得ること。 (内訳) ・7-1 ・7-2 ・7-3 ・7-4 コアルータ 一式 アクセススイッチ 一式 エンドスイッチ 一式 スイッチングハブ 一式 ・7-5 ・7-6 ・7-7 ・7-8 ・7-9 ・8~11 統合認証システム 一式 接続申請システム 一式 ネットワーク管理システム 一式 外部接続用システム(外部ルーティング・ファイアウォール) 一式 ラック等付加機材一式 搬入・据付・調整等一式 7-1 コアルータ一式 2台一式(二重化構成)により、本学内の IPv4 ルーティングを行うものとすること。 -6- 7-1-1 コアルータ設置場所 コアルータの設置場所は以下のとおりとする。 ・実習棟2階 WS室機器室 また、本コアルータは、以下の各スイッチと対向接続し、基幹ネットワークを構成すること。 ・計算機センター アクセススイッチ 10GBASE-LR 光接続 ×2(二重化) ・実習棟WS各室 エンドスイッチ 10GBASE-T/CU/CR/SR×2 ・研究棟Ⅰ 4F エンドスイッチ 10GBASE-LR 光接続 ・研究棟Ⅱ 4F エンドスイッチ 10GBASE-LR 光接続 ・合同棟 エンドスイッチ 10GBASE-LR 光接続 ・仮設棟 ・講義棟 ・一般教養棟 ・本部棟 ・図書館 ・教職員共通棟 エンドスイッチ エンドスイッチ エンドスイッチ エンドスイッチ エンドスイッチ エンドスイッチ 10GBASE-LR 光接続 10GBASE-LR/SR 光接続 10GBASE-LR/SR 光接続 1GBASE-SX 光接続 1GBASE-SX 光接続 1GBASE-SX 光接続 7-1-2 コアルータの性能 (1) IPv4 および IPv6 のハードウェアルーティングに対応した L3 スイッチであること。 (2) 片側装置障害時でも基幹ネットワーク機能が全面停止しないよう、2 台構成による常時稼 働方式での冗長化構成とすること。 (3) 7-1-1項の全接続(14 ポート)とコアルータ間接続ポートが確保され、さらに将来拡 張のための予備を含めて、 SFP+/SFP兼用搭載口を装置個々に24ポート以上を有すること。 ただし、予備分の SFP+/SFP モジュールは別途調達(本調達外)するものとする。 (4) IEEE802.3ae準拠の10GBASE-LR、 10GBASE-SR及びIEEE 802.3z準拠の1GBASE-SX、 1GBASE-LX、 1000BASE-T物理インタフェースをサポートするSFP+/SFPモジュールが利用可能であるこ と。本調達範囲内機器に限り、近接の装置間接続には、10GBASE-CU、10GBASE-CR 等のメ タ ルケーブ ル や対応の SFP+ を 使用して も良 い。(本仕様 及び設 計図 上で は、 (5) (6) (7) (8) 「10GBASE-T/CU/CR/SR」と記載) 7-1-1項の接続に対応した 10Gbps 接続及び 1Gbps 接続 SFP+/SFP モジュール、 パッチ ケーブルが提供されること。なお、既設パッチパネル側は SC 端子である。 コアルータ間の接続に必要となる接続モジュール(バックプレーン接続もしくは 10Gbps 接続)が提供されること。 装置個々に、1000BASE-T 物理インタフェース(必要な SFP モジュールを含む)各4ポー ト以上が提供されること。 装置個々に、全収容ポートの同時稼働を想定したスイッチファブリック性能(ポート数 ×2×ポート速度の合計)を有すること。 (9) 装置個々に、ハードウェア IPv4 ルーティング 200Mpps 以上、ハードウェア IPv6 ルーテ -7- (10) (11) (12) (13) (14) (15) (16) (17) (18) (19) (20) (21) (22) (23) (24) (25) ィング 120Mpps 以上、ハードウェア L2 ブリッジング 200Mpps 以上の性能を有すること。 1000 個以上の VLAN をサポートしていること。 冗長化構成時の経路ループ発生を防止する機構(IEEE802.1w 準拠 RSTP や類似機能)を有 すること。 Spanning Tree Protocol の誤動作防止機能として、Root Guard 機能をサポートしている こと。 下位スイッチにて経路ループが発生した場合に備え、 ストーム発生防止機能を有すること。 発生時の通知機能(SNMP トラップ等)が設定されること。 IEEE802.1q の VLAN トランク機能をサポートしていること。 モジュールをまたがってポートを束ねて1つの高速ポートとして利用可能であること。 ま た、動的にポートを束ねるネゴシエーション・プロトコルを実装していること。 同一 VLAN 内トラフィックに対してアクセスリストを用いたアクセス制限が可能なこと。 IEEE802.1p のプライオリティ値(COS,TOS,DSCP)に基づきトラフィックの優先制御が可能 であること。その値の書換え、書き込みが可能であること。 必要となる IP ルーティング機能を有し、 実装されていること。 ただし、 本学は現在、 Static ルーティングのみ利用している。 CIDR(Classless Inter-Domain Routing) をサポートしていること。 IP マルチキャストにおける IGMP に対応可能であること。 IPv4 および IPv6 に対応したパケットフィルタリング機能を有すること。 IP SA/DA(Source Address/Destination Address)、TCP/UDP ポート番号、またはこれらのフィールドの任意 の組み合わせに基づいてパケットフィルタが行えること。また、任意の MAC SA/DA に対 してもパケットフィルタが行えること。 第3層(IP) 、第4層(TCP/UDP)で仕分けされたトラフィックの流量を制限する機能を持 つこと。 VLAN 間で DHCP を中継するリレーエージェント機能を有すること。 SNMP バージョン 1、2、3、ならびに RMON を使った管理が可能なこと。 ポートミラーリング機能を有し、装置個々に常設の 1000BASE-T ミラーポート((7)の一部 使用可)を確保すること。 (26) NTP、SYSLOG クライアント機能を有すること。 (27) CLI(コマンドラインインタフェース)が利用可能な管理ポートを有すること。また TCP/IP 通信による CLI リモート管理が可能なこと。 (28) 設定情報をアップロードおよびダウンロード可能であること。 (29) 装置個別に電源冗長構成で組まれていること。電源ケーブルの抜け防止対策(装置やラッ クへの結束バンド固定等でも良い)をとること。 (30) ラックマウント可能であること。 (31) 安定化された電源供給が可能な無停電限装置(UPS)を付加すること。 (本学の自家発電作 動時の安定化用であり、自家発電は1分以内に起動するものとする) -8- 7-2 アクセススイッチ一式 10Gbps 基幹ネットワークと、エンドスイッチ及びサーバ類を接続・分岐し、2 台構成による常 時稼働方式での冗長化構成とすること。ただし、提案する構成により必要な場合は、エンドスイ ッチ前段に増設しても良い。また、エンドスイッチに必要回線すべてが収容可能な場合、削除も 可である。 7-2-1 アクセススイッチの設置場所と最低ポート数 ・計算機センター 2台1式(二重化構成) 10GBASE-LR 光ポート(対コアルータ) 2 ポート 10GBASE-SR 光ポート(対既設 HP6600 スイッチ) 4 ポート 10GBASE-T/CU/CR/SR(対ファイアウォール) 10GBASE-T/CU/CR/SR(対エンドスイッチ) 1GBASE-SX 光ポート(対環境工学棟) 1 ポート 4 ポート 2 ポート 7-2-2 アクセススイッチの性能 (1) 仮想 LAN(VLAN)対応機能を有する L2 スイッチ製品であること。 (2) IEEE802.3ae 準拠の10GBASE-LR、 10GBASE-SR 及びIEEE 802.3z 準拠の1GBASE-SX、 1GBASE-LX、 1000BASE-T 物理インタフェースをサポートする SFP+/SFP モジュールが利用可能であること。 本調達範囲内機器に限り、近接の装置間接続には、10GBASE-CU、10GBASE-CR 等のメタルケー (3) (4) (5) (6) (7) ブル/SFP+を使用しても良い。 それらの接続上必要なSFP+/SFPモジュールが提供されること。 二重化構成箇所は、片側本体が故障した場合でも SFP+/SFP モジュールの差し替えにより運 用継続が可能なように、SFP+/SFP 搭載可能な兼用予備ポートが確保されること。 全ポートの同時稼働を想定したスイッチファブリック性能(ポート数×2×ポート速度の合 計)を有すること。 全ポートの同時稼働を想定したパケット処理能力(14.9Mpps×10G ポート数+1.49Mpps×1G ポート数)以上を有すること。 12,000 以上の MAC アドレスに対応可能であること。 ポート VLAN、タグ VLAN 機能を有すること。 (8) 1000 個以上の VLAN をサポートしていること。 同一 VLAN 内トラフィックに対してアクセスリ ストを用いアクセス制限が可能なこと。 (9) IEEE802.1q の VLAN トランク機能をサポートしていること。 (10) 動的にポートを束ねるネゴシエーション・プロトコル(リンクアグリゲーション)を実装 していること。 (11) アップリンクポートが二重化されている場合、切り換えを2秒以内に行う機能を有するこ と。インタフェースポートを現用、待機として定義し、お互いにバックアップする機能を 有すること。また、リンクアグリゲーション機能と併用可能なこと。 (12) ブロードキャスト/マルチキャスト・ストーム制御機能を有し、一定のトラフィック量以上 のパケットが流入しないようにできること。 -9- (13) 冗長化構成時の経路ループ発生を防止する機構(IEEE802.1w 準拠 RSTP や類似機能)を有 すること。 (14) ストームコントロールおよびフレームを送受信することによるフレームベースのループ検 知機能を有すること。なお、フレームベースのループ検知機能は IEEE802.1D 標準準拠のス イッチを経由しても利用可能なものであること。 (15) 下位スイッチにて経路ループが発生した場合に備え、 ストーム発生防止機能を有すること。 発生時の通知機能(SNMP トラップ等)が設定されること。 (16) 第3層(IP) 、第4層(TCP/UDP)で仕分けされたトラフィックの流量を制限する機能を持 つこと。 (17) SNMP バージョン 1、2、3、ならびに RMON を使った通信状況の管理が可能なこと。 (18) ポートミラーリング機能を有し、装置個々に常設のミラーポートを確保すること。 (19) NTP、SYSLOG クライアント機能を有すること。 (20) CLI(コマンドラインインタフェース)が利用可能な管理ポートを有すること。また TCP/IP 通信による CLI リモート管理が可能なこと。 (21) ソフトウェアおよび設定情報をアップロードおよびダウンロード可能であること。 (22) 電源ケーブルの抜け防止対策 (装置やラックへの結束バンド固定等でも良い) をとること。 (23) ラックマウント可能であること。 (24) 安定化された電源供給が可能な無停電限装置(UPS)を付加すること。 (本学の自家発電作 動時の安定化用であり、自家発電は1分以内に起動するものとする) 7-3 エンドスイッチ一式 6-4で示した、接続端末の利用認証を実施し、学内ネットワークへの無許可接続を制御する ことで、学内セキュリティを確保すること。 ( 「ネットワーク利用認証」 ) また末端の情報コンセントに対しては、個々に 1Gbps の帯域を有すること。 7-3-1 エンドスイッチの設置場所と最低ポート数 エンドスイッチの設置場所とその収容情報コンセント既設配線に対する最低必要ポート数及び 同時認証可能数([ ]内に付記)は、以下のとおりである。 (上位リンクポート数及びミラーリン グポートも含む) 「 (+UPS) 」が記載された箇所には、安定化された電源供給が可能な UPS を設置すること。 (本学 の自家発電作動時の安定化用) ・ 計算機センター(既設サーバ、実習室 PC 等接続)2台1式(+UPS) なお、安定運用を図るため 2 台構成による常時稼働方式での冗長化構成とすること。 10GBASE-T/CU/CR/SR 4 ポート、1000BASE-T 計 82 ポート[1140] (本装置は、アクセススイッチとの統合も可) ・ 環境工学科棟 4F 1式 1000BASE-T 15 ポート[40] ・ 環境工学科棟 3F(北) 1式 1000BASE-T - 10 - 24 ポート[100] ・ ・ ・ ・ ・ ・ ・ ・ 環境工学科棟 3F(南) 1式 1000BASE-T 22 ポート[150] 環境工学科棟 2F(北) 1式 1000BASE-T 19 ポート[104] 環境工学科棟 2F(南) 1式 1000BASE-T 19 ポート[54] 環境工学科棟 2F(中央)1式(+UPS) 1GBASE-SX 3 ポート、 1000BASE-T 28 ポート[162] 環境工学科棟 1F(北) 1式 1000BASE-T 9 ポート[16] 環境工学科棟 1F(南) 1式 1000BASE-T 20 ポート[28] 厚生棟・体育館 1式 1GBASE-SX 1 ポート、 1000BASE-T 10 ポート[90] 講義棟 2F(+UPS) 1式 10GBASE-LR/SR 2 ポート、 1GBASE-SX 1 ポート、 1000BASE-T 31 ポート[736] ・ 講義棟 1F 1式 1GBASE-SX 1 ポート、 1000BASE-T 9 ポート[90] ・ 一般教養棟 3F ・ 一般教養棟 2F ・ 一般教養棟 1F 1式 1式 1式 1GBASE-SX 1 ポート、 1000BASE-T 6 ポート[42] 1GBASE-SX 2 ポート、 1000BASE-T 5 ポート[6] 10GBASE-LR/SR 1 ポート、 1GBASE-SX 1 ポート、 1000BASE-T 31 ポート[668] ・ 実習棟 2F 1式 10GBASE-T/CU/CR/SR 2 ポート、 1000BASE-T 計52 ポート[644] なお、安定運用を図るため 2 台構成による常時稼働方式での冗長化構成とすること。 (本装置は、コアルータとの統合も可) ・ 図書館 2F 1式 1GBASE-SX 1 ポート、 1000BASE-T 17 ポート[290] ・ 教職員共通棟 2F 1式 1GBASE-SX 1 ポート、 1000BASE-T 11 ポート[60] ・ ・ ・ ・ ・ 1式 1000BASE-T 7 ポート[6] 1式 1000BASE-T 14 ポート[42] 1式(+UPS) 1GBASE-SX 1 ポート、 1000BASE-T 36 ポート[96] 1式 1000BASE-T 8 ポート[204] 1式(+UPS) 10GBASE-LR 1 ポート、10GBASE-LR/SR 1 ポート、 1GBASE-SX 1 ポート、 1000BASE-T 38 ポート[212] 1式(+UPS) 10GBASE-LR/SR 1 ポート、 1000BASE-T 41 ポート[174] 1式(+UPS) 10GBASE-LR 1 ポート、10GBASE-LR/SR 1 ポート、 1GBASE-SX 1 ポート、 1000BASE-T 34 ポート[212] 本部棟 6,7F 本部棟 5F 本部棟 4F 本部棟 3F 研究棟Ⅰ 4F ・ 研究棟Ⅰ 2F ・ 研究棟Ⅱ 4F ・ 研究棟Ⅱ 2F 1式(+UPS) 10GBASE-LR/SR 1 ポート、 1000BASE-T 42 ポート[388] ・ 生物工学研究センター2F1式(+UPS) 10GBASE-LR/SR 1 ポート、 1000BASE-T 66 ポート [598] ・ 生物工学科棟 3F 1式(+UPS) 1GBASE-SX 1 ポート、 1000BASE-T 29 ポ ート[66] ・ 生物工学科棟 2F 1式(+UPS) 1GBASE-SX 1 ポート、 1000BASE-T 39 ポ ート[144] ・ 生物工学科棟 1F 1式(+UPS) 1GBASE-SX 1 ポート、 1000BASE-T 23 ポ ート[56] ・ 合同棟 2F(L201) 1式(+UPS) 10GBASE-LR 1 ポート、10GBASE-SR 1 ポート、 - 11 - 1GBASE-SX 3 ポート、 1000BASE-T 104 ポート[454] ・ 合同棟 2F(L204) 1式(+UPS) 10GBASE-SR 1 ポート、 1000BASE-T 83 ポート[238] ・ 仮設棟 1式(+UPS) 10GBASE-LR 1 ポート、 1000BASE-T 16 ポート[60]、 予備 SFP+/SFP ポート(SFP+/SFP モジュール別途調達(本調達外)) 3 ポート なお、8 ポート以下の下記の個所では、近傍の認証機能を有するエンドスイッチからのケーブル 延長(メディアコンバータ接続も含む)による、認証機能を有さないスイッチングハブの使用で もよい。また、下記 MC が付記された箇所は、現在、メディアコンバータにより 1310nm マルチモ ード光(1Gbps、SC 端子)で接続されている。ただし、使用するスイッチングハブは、SNMP もしく は Ping による死活監視が可能であること。その他の性能は、ポート数を除き、後述の「7-4- 2 ・ ・ ・ ・ ・ スイッチングハブの性能」(3)項以降に準拠すること。 学生会館 1式 1000BASE-T ポート 大谷講堂 1式 1000BASE-T ポート 合同講義棟(MC) 1式 1000BASE-T ポート 環境工学実験棟1(MC) 1式 1000BASE-T ポート 環境工学実験棟2(MC) 1式 1000BASE-T ポート +パステル工房(1000BASE-T 分岐) 1式 1000BASE-T ポート ・ 共同実験室 (MC) 1式 1000BASE-T ポート ・ 環境工学実験棟3(MC) 1式 1000BASE-T ポート 3 ポート、 2 ポート 7 ポート 7 ポート 7 ポート 2 ポート 3 ポート 7 ポート ・ 機械エネルギー工学実験室3(MC) 2 ポート 1式 1000BASE-T ポート メディアコンバータ(MC)接続の場合は、下記性能を満たすメディアコンバータ機器を使用する こと。 (1) 既設マルチモードケーブル(62.5μ)を使用し、850m以上の距離で 1Gbps 回線延長が可 能なこと。 (2) リンクの確立状態が LED で確認できること。 7-3-2 エンドスイッチの性能 (1) 仮想 LAN(VLAN)対応機能を有する L2 スイッチ製品であること。 (2) 必要とされるポート数が単体機種で確保できない場合は、複数装置に分割しても良い。た だし、末端へのサービス性能が低下する 1Gbps チェーン状接続は不可とする。必要に応じ てバックプレーン接続、10Gbps 等高速ポート接続もしくは十分な帯域を確保したリンクア グリゲーションを用いて、装置間を接続すること。 (3) IEEE802.3ae準拠の10GBASE-LR、 10GBASE-SR及びIEEE 802.3z準拠の1GBASE-SX、 1GBASE-LX、 1000BASE-T 物理インタフェースをサポートするSFP+/SFP モジュールが利用可能であること。 本調達範囲内機器に限り、近接の装置間接続には、10GBASE-CU、10GBASE-CR 等のメタルケ ーブルや対応 SFP+を使用しても良い。それらの接続上必要な SFP+/SFP モジュールが提供さ れること。 - 12 - (4) SFP+/SFP モジュールで接続する装置は、本仕様で必要とされるものに加え、予備の SFP+/SFP 兼用搭載口を1以上有すること。 (5) 現仕様で 1Gbps 光ファイバーSFP 接続の箇所においても、SFP+モジュールへの交換が可能 であること。予備の SFP+/SFP 兼用搭載口を1以上有すること。 (6) 全ポートの同時稼働を想定したスイッチファブリック性能(ポート数×2×ポート速度の 合計)を有すること。 (7) 全ポートの同時稼働を想定したパケット処理能力(14.9Mpps×10G ポート数+1.49Mpps× 1G ポート数)以上を有すること。 (8) 12,000 以上の MAC アドレスに対応可能であること。10 ポート以下のスイッチに関しては、 8,000MAC アドレス以上が学習できること。 (9) ポート VLAN、タグ VLAN 機能を有すること。 (10) 1000 個以上の VLAN をサポートしていること。 同一 VLAN 内トラフィックに対してアク セスリストを用いアクセス制限が可能なこと。 (11) IEEE802.1q の VLAN トランク機能をサポートしていること。 (12) 動的にポートを束ねるネゴシエーション・プロトコル(リンクアグリゲーション)を実装 していること。 (13) アップリンクポートが二重化されている場合、 切り換えを2秒以内に行う機能を有するこ と。また、リンクアグリゲーション機能と併用可能なこと。 (14) マルチキャスト連携機能を有すること。 (15) ブロードキャスト/マルチキャスト・ストーム制御機能を有し、一定のトラフィック量以 上のパケットが流入しないようにできること。 (16) 冗長化構成時の経路ループ発生を防止する機構(IEEE802.1w 準拠 RSTP や類似機能)を有 すること。 (17) ストームコントロールおよびフレームを送受信することによるフレームベースのループ 検知機能を有すること。なお、フレームベースのループ検知機能は IEEE802.1D 標準準拠の スイッチを経由しても利用可能なものであること。 (18) 下位スイッチにて経路ループが発生した場合に備え、 ストーム発生防止機能を有すること。 発生時の通知機能(SNMP トラップ等)が設定されること。 (19) 第3層(IP) 、第4層(TCP/UDP)で仕分けされたトラフィックの流量を制限する機能を持 つこと。 (20) 統合認証システム内に登録された利用者 ID・パスワード及び MAC アドレス情報を用いて 認証された端末のみ、ネットワークへのアクセスを認可する機能( 「ネットワーク利用認 証」 )を有すること。 (21) ネットワーク利用認証では、利用者 ID・パスワードもしくは MAC アドレス情報により、 それぞれ指定の VLAN が動的に割り当て可能なこと。 (22) 利用者 ID・パスワードを入力することの出来ない機器(プリンタ等)に関しては、機器 MAC アドレスによる認証代替機能を有すること。その認証用情報は、統合認証システムより 供給されるものであること。 - 13 - (23) ネットワーク利用認証を設定する場合でも、特定ポート(計算機センター内サーバ等)を 認証対象外とできること。 (24) 各種認証方式(MAC アドレス認証、Web 認証、IEEE802.1X 認証)を設定し、同一物理ポ ートで混在できること。それらを多段階に重ねての認証が可能であること。なお、導入初 期は、現行の MAC アドレス認証および Web 認証で運用可能とすること。現行の認証処理は、 ① 利用者がいずれかの学内ネットワークスイッチポートに端末を接続 ② プリンタ等 Web ブラウザを有せず Web 認証不可の端末あって、固定 IP 用 MAC アドレス 登録済みの場合、その MAC アドレスに対応した VAN に対して接続を許可する。 (本仕様 書上での「MAC アドレス認証」 ) ③ 上記②で拒否された場合、 本学 DHCP 利用可で MAC アドレスが登録されているかを検証 し、登録済みの場合、仮 IP を発行し、利用者 ID・パスワードによる Web 認証へ移行す る。Web 認証で可となった場合に、当該使用者 ID に対応した VLAN に対して接続を許可 する。 (本仕様書上での「Web 認証」 ) ④ 本学 DHCP 利用登録無しの場合や Web 認証不可の場合は、接続を拒否する。 の動作フローとなる。 ( 「ネットワーク利用認証システム構成図」参照)ただし、現行の利 用者の登録・操作手順の変更が無く同等機能となる場合は、異なる動作フローでも良い。 また、IEEE802.1X 認証は、将来的な認証変更・拡張用であり、詳細は導入後別途協議する ものとする。 (25) 物理ポートごとに定義可能なポートVLANと物理ポート内に複数のVLAN定義が可能なダイ ナミック VLAN が選択可能であること。 (26) ネットワーク認証可能数は、ダイナミック VLAN の場合は物理ポートごとに 100 以上であ ること。装置ごとに指定の同時認証可能数([ ]内に指定)が満たされること。必要とされ る同時認証可能数が単体機種で確保できない場合は、複数装置に分割しても良い。その場 合は、バックプレーン接続、10Gbps 等高速ポート接続もしくは十分な帯域を確保したリン クアグリゲーションを用いて、装置間を接続すること。 (27) ネットワーク利用認証時、統合認証システムの冗長化に対応可能なこと。 (28) 許可端末、及び不正端末についてエンドスイッチに接続されたクライアント端末の MAC アドレス、及び許可/不許可の認証結果が取得可能であること。 (29) SNMP バージョン 1、2、3、ならびに RMON を使った通信状況の管理が可能なこと (30) ポートミラーリング機能を有し、装置個々に常設の 1000BASE-T ミラーポートを確保する こと。複数装置での分割構成した場合には、個々に必要ポート数を追加すること。 (31)NTP、SYSLOG クライアント機能を有すること。 (32) CLI(コマンドラインインタフェース)が利用可能な管理ポートを有すること。また TCP/IP 通信による CLI リモート管理が可能なこと。 (33) ソフトウェアおよび設定情報をアップロードおよびダウンロード可能であること。 (34) 電源ケーブルの抜け防止対策 (装置やラックへの結束バンド固定等でも良い) をとること。 (35) 装置は、ラック(壁据付型ボックスも含む)等に固定すること。 (36) 指定の箇所では、安定化された電源供給が可能な無停電限装置(UPS)を付加すること。 - 14 - (本学の自家発電作動時の安定化用であり、自家発電は1分以内に起動するものとする) 1箇所を複数スイッチで構成する場合は、UPS は1台でも良い。 7-4 スイッチングハブ一式 本仕様中の一般教養棟 F101 、F106 教室においては、既設の各机上情報コンセント (F101:1000BASE-T 80 ポート、F106:1000BASE-T 70 ポート)へは、本調達で用意するスイッチン グハブで分岐するものとする。 7-4-1 スイッチングハブの設置場所 スイッチングハブの設置場所とその台数は以下のとおりとする。 ・F101 教室 7 台(情報コンセント 80 ポート分) ・F106 教室 7 台(情報コンセント 70 ポート分) 7-4-2 スイッチングハブの性能 (1) それぞれアップリンク用 1000BASE-T 1 ポート、ダウンリンク用 100Base-TX/1000BASE-T 15 ポート以上を有すること。 (2) ファンレス構造で、消費電力が 30W 以下であること。 (3) 4,000 以上の MAC アドレスに対応可能であること。 (4) スル-プットが最大 1,488,000pps 以上であること。(1G 接続時) (5) EAPOL(Extensible Authentication Protocol over LAN)パケットが透過可能なこと。 (6) ハブ配下でのネットワークループ発生を検知し、自動遮断・表示する機能を有すること。 (7) ハブ配下での正当ではない DHCP サーバを遮断する DHCP Snooping 機能または同等の機能を 有すること。 (8) SNMP もしくは Ping によるリモート死活監視が可能であること。 (9) 既設もしくは新設の教室内ラック(ファンレスもしくはファン停止、施錠可)に固定収容し、 静音であること。 7-5 統合認証システム一式 統合認証システムは、エンドスイッチと連携し、ネットワーク利用認証を実施し、本学ネット ワークの未許可使用を防ぐ機能を実現する。また、 「学認」 (GakuNin:国立情報学研究所(NII)が 中心となって運用されている学術認証フェデレーション)等の外部認証基盤への中継機能(IdP: Identity Provider)を提供するものとする。 7-5-1 統合認証システムの設置場所 統合認証システムは、原則として計算機センターに設置するものとする。 7-5-2 統合認証システムの性能 (1) ハードウェア組み込み型専用機器(アプライアンス)もしくは汎用サーバ機器により構築す ること。機能により複数機器による構成(OS 提供も含む)も可とする。なお、停止時間が最 小限に留められるよう二重化構成をとること。 (2) 外部の Microsoft 社 AD(Active Directory)もしくは LDAP(Lightweight Directory Access - 15 - Protocol)サーバと連携することにより、利用者 ID・パスワード及び付加情報による利用者 認証が可能であること。本システム自身が利用者データベースや情報付加機能を有する形式 でも良い。ただしその場合は、既存データベースよりのデータ移行を行うこと。 (3) 平成28 年10 月導入当初は、 既存システム内の利用者データベース (現在は、 HP 社DL360p Gen8 VMware 仮想化サーバ内 Microsoft Windows Storage Server2012 (三谷商事株式会社より H31.3 までリース継続予定))の Active Directory(ADFS 等フェデレーションサービスには 非対応)内の利用者 ID・パスワード,指定 VLAN 等データベースと連携すること。 (4) 認証可能な利用者数は 3,000 名以上、同時認証可能機器数(同時利用可能のこと。一度に同 じタイミングの認証ではない。 )は 6,000 以上であること。 (5) 同時 300 接続のネットワーク利用認証(授業開始時想定)に対応可能なこと。 (6) MAC アドレス認証、Web 認証、IEEE802.1X 認証それぞれに対応した認証サーバ機能(RADIUS 等)を有すること。 (7) 学認対応の IdP 機能を有し、同機構テストフェデレーション基準に合格すること。 7-6 接続申請システム一式 接続申請システムは、利用者自身が自己の持ち込み機器をネットワーク利用認証可能となるよ う、 MAC アドレス等を登録する Web アプリケーションである接続申請システムを提供すること。 (現 行は、Apache Web サーバ、 TOMCAT, MySQL で構築されている) 7-6-1 接続申請システムの設置場所 接続申請システムは、本学学内専用 Web サーバ(VMware 仮想サーバ内 CentOS Linux+Apache) 内アプリケーション、専用 VMware 仮想ゲストシステム(ゲスト OS を含めること。フリーOS 可) または専用ハードウェア・OS 使用のいずれかで構築されるものとする。また、統合認証システム に統合しても良い。原則として計算機センター内に設置するものとする。なお、現行システム現 時点での登録数(廃止も含む総数)は約 16,000 あり、年間 3,000 程度の増加を見込むこと。 7-6-2 接続申請システムの性能 (1) 接続申請システムは、おおむね下記の画面より構成されるものとする。 (参考資料参照) (2) (3) (4) (5) ・利用者ログオン画面 ・新規 MAC アドレス登録画面(Web 認証、IEEE802.1X 認証用) ・新規 MAC アドレス登録画面(プリンタ等 ID・パスワード入力不能機器用) ・登録ネットワーク機器一覧(更新、削除等変更機能付き) 登録画面は、使用者の属性(申請権限)に応じて、異ならせるものとする。 登録された情報は、統合認証システムに自動で反映されるものとする。 (おおむね 30 秒以内) 各利用者の ID・パスワードについては、統合認証システムより取得すること。 既存の登録情報(CSV 形式)を移行すること。 7-7 ネットワーク管理システム一式 - 16 - 7-7-1 ネットワーク管理システムの設置場所 管理システムを制御するための機器は、原則として計算機センターに設置すること。 7-7-2 ネットワーク管理システムの性能 (1) 本調達での基幹ネットワーク上のルータ、スイッチ、ハブに対して、集約して死活監視を行 うことが可能であること。ただし、SNMP、Ping 非対応機器は除く。 (2) 監視画面により対象機器の障害発生状況を一目で把握できること。 (3) SNMP、SNMP トラップによるネットワーク機器の異常情報の受信や確認ができること。 (4) 本調達でのネットワーク機器動作ログ、ファーアウォール動作ログ、認証可否を含むネット ワーク認証ログを集約し、目的別に保存、フィルタリング検索が可能なログ管理機能を有す ること。ログファイルのローテーション(日毎、月毎)が設定され、1年程度(現行システ ムでは、1TB/年)の保存が可能なこと。さらなるログ取得の詳細事項は、別途協議するもの とする。 (5) オフラインでのログ保管のための外部メディア(USB3.0 ハードディスク等)5年分(おおむ ね 1TB/年)が添付されること。 (6) 監視・管理対象情報の一括常時表示やログ検索用に、ディスプレイ装置(解像度 3,840×2,160 以上、31.5 インチ以上、制御用 PC を含む)2式を付加すること。なお、制御用 PC が、本ネ ットワーク管理システムのサーバ機能を兼ねるものでも良い。 7-8 外部接続用システム(外部ルーティング・ファイアウォール)一式 外部接続用システムでは、上位インターネットアクセス回線として、SINET(国立情報学研究所 による学術情報基盤);平成 28 年 4 月より、SINET5 10Gbps で運用予定)を利用し、下位学内 LAN 並びに富山県工業技術センター(YAMAHA RTX1000 に 1000BASE-T 接続)への接続を中継する。外部ル ーティング機能、ファイアウォール機能、IPS(Intrusion Prevention System)機能を実施する。 7-8-1 外部接続用システム一式の構成と設置場所 外部接続用システムは、 ・主ファイアウォール(主機) ・副ファイアウォール(副機)及びゲートスイッチ(10GBASE-SR・1000BASE-T 変換用 L2 ス イッチ) で構成するものとし、主ファイアウォール障害時には、その修復が完了するまでの短時間(概 ね6時間)を、副ファイアウォールに手動で切り替えて運用継続するものとする。 なお、本学は現在、学外からの学内システムアクセスへの宛先 IP アドレス・ポート(一部は送 信元も含む)での制限を主目的としてファイアウォールを利用しており、学内より送出される通 信は、必要時のログ取得を除き、原則制限していない。また、メールウイルスやスパム等のチェ ックは既設メールサーバの付加機能で実施しており、コンテンツに対する制限・VPN 制御はファ イアウォールではしていない。これらの使用目的に合致したファイアウォールであること。 外部接続用システム一式は、計算機センター設置とする。 - 17 - 7-8-2 外部接続用システムの性能 (1) 主副それぞれハードウェア組み込み型専用機器(アプライアンス)の単体装置であること。 (2) 主機は、IEEE802.3ae 準拠の 10GBASE-SR インタフェースにより、SINET5(10Gbps、SC コネク タ)に外部接続すること。 1000BASE-T により工業技術センター既設ルータ YAMAHA RTX1000 に 接続すること。ファイアウォール内部接続として、10Gbps 以上で学内アクセススイッチに接 続すること。なお、工業技術センターへの分岐は L2 レベルであり、IP ルーティングを要さ ない。 (3) 主機障害時には、本学職員の手作業(10GBASE-SR 光ファイバー、1000BASE-T ケーブルの接 続変更)で副機に切り換え、代替通信機能を果たすものとする。通信帯域の低下は問わない。 SINET5 側 10GBASE-SR 光ファイバーを帯域変換用ゲートスイッチ(L2 スイッチ)で中継し、 1000BASE-T に変換の後、 副機及び工業技術センタールータに接続することを想定しているが、 副機を外部向け10BASE-SR光インタフェースを有するファイアウォール装置で構成しても良 い。 副機は、 1Gbps 以上で学内アクセススイッチもしくはエンドスイッチに接続されること。 (4) ファイアウォールスールプット性能として、主機は 20Gbps 以上、副機は 2Gbps 以上である こと。(IPv4 1518/512/64Byte UDP 値) (5) 同時セッション数は、主機は 4,000,000 以上、副機は 1,000,000 以上であること。 (以下、主副共通) (6) IEEE802.1q(タグ VLAN)によってトランクされたネットワークとの外部接続が可能であるこ (7) (8) (9) (10) (11) と。本項は帯域変換用ゲートスイッチにも適用される。 利用者数やクライアント数によるライセンス制限が無いこと。もしくは、利用者数で 4,000 以上、クライアント数で、9,000 以上であること。 IPv4 および IPv6 のハードウェアルーティングに対応し、SINET5、学内への IP ルーティング が適切に設定されること。 必要となる IP ルーティング機能を有し、実装されていること。ただし、本学は現在、Static ルーティングのみ利用している。 CIDR(Classless Inter-Domain Routing) をサポートしていること。 IPv4,IPv6 でプロトコル種別・送信元アドレス・宛先アドレス・TCP/UDP ポート番号等の条 件によるパケットフィルタリング型ファイアウォールとして動作すること。また、GUI イン タフェースにより、その設定が容易であること。CUI での管理も可能であること。 (12) 不正アクセス検知により動的に通信遮断を行なうアノマリ型 IDS(Intrusion Detection System)、アノマリ型 IPS(Intrusion prevention system)を有すること。なお本調達では、 シグネチャ型は要求しない。 (13) 通過パケットデータより、動的にポートを開放・閉鎖する SPI(Stateful Packet Inspection) 機能を有すること。 (14) IPv4,IPv6 で帯域制御方式として最低保証帯域幅、最大帯域幅、優先転送機能をサポートし ていること。 (15) 主副装置間で経路制御、ファイアウォール設定を迅速に移行する機能を有すること。そのた - 18 - (16) (17) (18) (19) (20) め、主副機は同系列モデルであること。 SNMPv1、v2c、SNMPv3(MIBⅡ、拡張 MIB)に対応していること。 動作・通信状況のログがネットワーク管理システムへ転送されること。そのレベルが調整可 能なこと。 主機は電源冗長構成で組まれていること。電源ケーブルの抜け防止対策(装置やラックへの 結束バンド等でも良い)をとること。 ラックマウントもしくは付加棚板を使用して、装置が固定されること。 安定化された電源供給が可能な無停電限装置(UPS)を付加すること。 (本学の自家発電作動 時の安定化用であり、自家発電は1分以内に起動するものとする) 7-9 ラック等付加機材一式 (1) 既存のラック(壁据付型ボックスも含む)については、空きがあり、かつ耐震、排熱及び配 線上の問題が無ければ流用しても良い。 (2) 既設ラックで不足する場合、不足分について新規にラック(耐震固定、施錠可能型。壁据付 型ボックスも含む)を追加設置するものとする。既設配線が使用不能となる場合は、追加配 線も含む。その設置場所については、事前に本学設備担当者と充分な協議を行った上で決定 すること。 (3) ラックを新設する場合で、既存配線がそのままでは使用できなくなる場合に、単に既設配線 に延長するのではなく、直前の接続ポイントまでの配線を新規に張り替えること。なお、直 前の接続ポイントは同一室内である。 8.機器の設置および設定 (1) 機器の設置方法は、それぞれの機器の仕様に従うものとする。また設置にあたり、不必要な旧 ネットワーク機器の取り外し、廃棄場所への移動を行うこと。またこの設置に伴う学内ネット ワークの停止時間は、旧システムより場所ごとに順次切り替えていくものとし、フロア毎に 4 時間以内、総時間は 48 時間以内を目指すこと。撤去から設置に至るまでの具体的な日時につ いては本学担当者と協議の上決定すること。 (2) 各機器の設定については、事前に本学担当者と充分な協議の上、設定すること。また、設定し た結果については、ドキュメントとして記録し、機器の説明書に添付すること。 (3) ラックについては、耐震工事を実施し、調達機器については、全てラック内に収納し、転倒や、 転落防止装置等の措置を講じること。 (4) 現行機器の撤去作業を行なうこと。なお、廃棄は別調達とする。 9.動作確認試験 (1) 納品する全ての機器の全ポートにおいて、ネットワークシステムとして正常に動作すること を確認すること。なお、試験用クライアント及びクライアント設定は本学担当者の指示に従 うこと。 (2) ネットワーク管理端末を使用して、管理対象全ての機器から警報転送を確認すること。 - 19 - (3) 本システム納入後に他の本学既存システムが正常動作しない場合、本学の指示により、従来 どおり動作するよう他の納入業者と調整を行うこと。 10.付属品 付属品として、次のものを書面及び電子媒体(CD-R)で提供すること。 (1) ネットワーク構築資料(工事図面、現地写真(工事前、工事後)を含む) (2) 各機器のマニュアル 3部 (3) 試験成績表 3部 3部 11.納入条件 (1) 搬入、据付、調整等、システムが正常に動作するために必要な事項を行い、納入時にシステ ムが全ての仕様を満足し、正確かつ完全に動作し、直ちに使用可能であること。 (2) 応札者は、次の条件をすべて満たすこと。 (a)10Gbps 以上のネットワークシステムの構築実績があること。 (b)仮想 LAN の構築実績があること。 (c)ネットワーク認証システムの構築実績があること (3) 納入にあたっては、運用管理上必要な事項について研修を行うこと。 (4) 納入にあたっては、本学担当者と十分に打ち合わせを行うこと。機器等の搬入、据付け、稼 動調整および確認を行うに当たっての工程表を作成し、本学の担当職員と十分協議の上行な (5) (6) (7) (8) うこと。サンプルを Excel 形式等で提出することが望ましい。 「7.本調達により更新する機器等」に示す機器のうち複数の納入を求めているものについ ては、そのすべてを同一メーカーの同一シリーズ機種のもので納入すること。 (複数の認証エ ンドスイッチ等で運用時に異なる操作(コマンド等が異なる)が不要なこと。 ) システムに係る機器は全て新品で提供すること。 原則、商用電源 100V、50/60Hz、0°C~40°C 環境で問題なく動作する機器を納入すること。 納入場所への運搬、据付け、接続、ソフトウェアのインストール・登録等、本組織が正常に 作動するために必要な事項をすべて行い、各種設定事項をドキュメント化し、納入時におい て本組織のすべての機能が正確かつ完全に作動し、直ちに使用可能な状態で納入すること。 (9) 落札後において、納入日までにモデルチェンジ等を行い、確認書に記載した型式の製品を納 入できない場合は、納入できないこと及び仕様を満たす代替機種であることを証した書面を 提出し、本学の承認を得ること。 (10) 作業の実施を通して得た相手方の秘密を漏らしてはならない。 12.納入期限 平成28年9月30日 13.納入場所 富山県立大学 富山県射水市黒河5180 - 20 - 14.検収 本仕様書に基づき、機器の構成と物品等の全ての機能が満たされて動作することを確認後、検 収する。 【参考】システム保守要件(5.仕様及び応札仕様書作成等に関する留意事項(9) ) 1 保守体制 保守体制は、次の要件を満たすこと。 (1) 本システムにかかる、修理、部品提供等を検収後5年以上の期間にわたり行いうる体制が (2) (3) (4) (5) (6) (7) (8) (9) あること。なお、本対象品には UPS(無停電限装置)バッテリー、ファンを含む。 保守対象機器等の障害について保守作業依頼があった場合、速やかに障害の復旧を行うこ と。 障害の復旧のため、必要に応じて技術員を派遣し、修理及び部品交換を行うこと。 必要に応じて前項の作業に併せて、機器の点検及び調整を実施すること。少なくとも1年 に1回の定期点検を行うこと。ただし、装置停止を伴うものについては、別途相談するこ と。 日中(午前8時30分から午後5時まで)に障害が発生した場合、通知してから概ね6時 間以内に本学に到着し、復旧作業に着手することができること。 (土曜日、日曜日、祝日、 振替休日を除く) 夜間(午後5時から午前8時30分まで)又は土曜日、日曜日、祝日、振替休日において 障害が発生した場合も、連絡先が確保されていること。 電話対応等により本学が行う障害切り分け・復旧等の作業の支援を行うこと。 保守作業を行った場合、詳細な作業内容、対応時間を記載した作業報告書を本学に提出す ること。作業報告書は、本学が提出を求めた日から1週間以内に提出すること。 半期ごとに業務完了報告書を本学に提出すること。 2 期間等 納入機器及びソフトウェアは、納入後5年間において、原則、正常なる動作が継続されるもの とするが、やむなく故障等による修復が必要な場合は、下記の基準による保守(交換作業等を含 む)を行うこと。 (1) ハードウェア ①故障及び不適切な構成による動作不良:納入後5年間の交換(無償交換対象) (2) ソフトウェア ①故障不良、セキュリティ上のバグ及び不適切な構成による動作不良:納入後5年間のバー ジョンアップ(無償交換対象) ②機能強化によるバージョンアップ:無償交換対象外とする。 - 21 - 3 作業の実施 (1) 保守作業の実施にあたっては、学内担当者と協議した上で行うものとする。 (2) 保守作業の実施を通して得た相手方の秘密を漏らしてはならない。 - 22 - 別 記 個人情報取扱特記事項 第1 基本的事項 受注者は、この契約による事務(以下「委託事務」という。 )を処理するために個人情報(個人に 関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別 することができるもの(他の情報を照合することができ、それにより特定の個人を識別することが できることとなるものを含む。 )をいう。以下同じ。 )を取り扱うに当たっては、個人の権利利益を 侵害することのないよう、個人情報の取扱いを適正に行わなければならない。 第2 取得の制限 受注者は、委託事務を処理するために個人情報を取得するときは、当該委託事務の目的を達成す るために必要な範囲内で、適法かつ適正な方法により取得しなければならない。 第3 秘密の保持 受注者は、委託事務を処理する上で知り得た秘密を漏らしてはならない。この契約が終了し、又 は解除された後においても、同様とする。 第4 利用及び提供の制限 受注者は、発注者の指示又は承認があるときを除き、委託事務を処理するために取り扱う個人情 報を当該委託事務の目的以外の目的のために自ら利用し、又は提供してはならない。この契約が終 了し、又は解除された後においても、同様とする。 第5 安全確保の措置 受注者は、委託事務を処理するために取り扱う個人情報の漏えい、滅失又はき損の防止その他の 当該個人情報の適切な管理のために必要な措置を講じなければならない。 第6 従事者への周知及び監督 1 受注者は、委託事務に従事している者(以下「従事者」という。 )に対し、在職中及び退職後にお いて、当該委託事務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に 利用してはならないことを周知しなければならない。 2 受注者は、委託事務を処理するために取り扱う個人情報の適切な管理が図られるよう、従事者に 対して必要かつ適切な監督を行わなければならない。 第7 複写又は複製の禁止 受注者は、委託事務を処理するために発注者から引き渡された個人情報が記録された資料等を複 写し、又は複製してはならない。ただし、あらかじめ発注者の書面による承認を受けたときは、こ の限りでない。 第8 資料等の返還及び廃棄 1 受注者は、委託事務を処理するために発注者から引き渡された個人情報が記録された資料等を、 業務完了(業務中止及び業務廃止を含む。以下同じ。 )後直ちに発注者に返還しなければならない。 ただし、発注者が別に指示したときは、その指示に従うものとする。 2 受注者は、委託事務を処理するために発注者から引き渡され、又は受注者が自ら作成し、若しく は取得した個人情報が記録された資料等(前記1の規定により発注者に返還するものを除く。 )を、 業務完了後速やかに、かつ、確実に廃棄しなければならない。ただし、発注者が別に指示したとき は、その指示に従うものとする。 第9 取扱状況の報告及び調査 発注者は、必要があると認めるときは、委託事務を処理するために取り扱う個人情報の取扱状況 を受注者に報告させ、又は随時、実地に調査することができる。 第 10 指示 発注者は、受注者が委託事務を処理するために取り扱っている個人情報について、その取扱いが 不適正と認められるときは、受注者に対して必要な指示を行うものとし、受注者はその指示に従わ なければならない。 第 11 事故報告 受注者は、この契約に違反する事態が生じ、又は生ずるおそれがあることを知ったときは、速や かに発注者に報告し、発注者の指示に従うものとする。 第 12 損害のために生じた経費の負担 委託事務の処理に関し、個人情報の取扱いにより発生した損害(第三者に及ぼした損害を含む。 ) のために生じた経費は、受注者が負担するものとする。ただし、その損害が発注者の責めに帰する 事由による場合においては、その損害のために生じた経費は、発注者が負担するものとする。 第 13 名称等の公表 発注者は、受注者がこの契約に違反し、個人情報の不適正な取扱いを行った場合において、事前 に受注者から事情の聴取を行った上で、次の(1)から(5)までのいずれかに該当すると認められると きは、受注者の名称、所在地及びその個人情報の不適正な取扱いの内容を公表することができる。 (1) 第3の規定に違反し秘密を漏らしたとき。 (2) 第4の規定に違反し目的外の利用又は提供をしたとき。 (3) 第5の規定に違反し必要な措置を怠り、個人情報を漏えい、滅失又はき損したとき。 (4) (1)から(3)までに相当する個人情報の不適正な取扱いがあるとき。 (5) (1)から(4)までに規定するもののほか、個人情報の不適正な取扱いの態様、個人情報の 内容、損害の発生状況等を勘案し、公表することに公益上の必要性があるとき。