南城市庁内無線ネットワーク整備 要求仕様書

南城市庁内無線ネットワーク整備
要求仕様書
平成25年9月
南城市政策調整課
【Ⅰ】はじめに
南城市では庁舎の統廃合を契機として、PC利用効率向上及びPC接続配線管理の
合理化のため庁舎内無線LAN導入を行ったが、その整備から6年以上を経過し、
ネットワーク機器保守の維持が難しくなってきていることから、新たに庁舎内無線
LANの再構築することとした。
庁舎内無線LANは、市民サービスや市の業務遂行において最重要インフラであり、
高度なセキュリティと稼働継続性が求められている。今回の再構築にあたっては、機
器の性能や構成による信頼性はもとより、その稼働継続性を確保する保守体制につい
ても重要視するものとする。
なお、本事業において無線LANの再構築を実施する施設は、南城市役所玉城庁舎、
大里庁舎、佐敷出張所、知念出張所、南城市文化センター、南城市保健センターとす
る。
【Ⅱ】提案書記載項目
提案には、以下の項目を満たし、その内容を提案書に盛り込むこと
(1) 自治体としての高度なセキュリティを確保可能なシステムとすること。
(2) 将来的な組織変更及び機構改革にも柔軟に対応できるシステムとすること。
(3) PoE スイッチ、無線コントローラー、無線アクセスポイントに障害が発生し
た場合にも業務を止めないような冗長化構成であること。
(4) 来庁者が本市の無線ネットワークを使用してインターネットに接続したりす
ることも考慮し、接続させる際は、本市の庁内ネットワークとは論理的に分
離して接続させること。
(5) 近隣に存在する個人住宅用無線アクセスポイントとの電波干渉を回避する機
能を有すること。
(6) 1 台の無線アクセスポイントに接続が集中した場合、職員が意識することな
く、自動的に隣接する無線アクセスポイントに振り分け接続を行えるように
すること。
(7) Cisco 社製 無線 IP フォンとも連携できるシステムとすること。
(8) 職員個人のスマートフォンを庁内内線電話としても使用できる機能を有する
こと。
(9) 本番運用開始時期までに運用可能な実施スケジュール。なお、本番運用開始
時期は平成25年12月1日とする。
(10) 無線ネットワークを実現するためのハードウェア、及びソフトウェア構成。
(11) 導入(構築)費用。
(12) ランニング費用。
① ハードウェア保守費
② ソフトウェア保守費
※ハードウェア、ソフトウェアの保守の範囲及び内容が記載されていること。
(13) 導入(構築)費用及びランニング費用を5年間の賃貸借に置き換えた場合
の月額料金、年額料金、5年間総額料金。
(14) 導入(構築)及び保守体制。
【Ⅲ】南城市庁内無線ネットワークシステムに係る要求
1.アクセスポイントの要求仕様(ハードウェア)
(1) Wi-Fi 認定を取得し IEEE802.11a/b/g/n の規格に準拠してること。
(2) 1筐体で IEEE802.11a/b/g を同時に利用できること。
(3) 天井取付、壁掛けのどちらでも設置できること。
(4) IEEE802.3af 規格の PoE 受電に対応していること。
(5) 自動検知式の 10/100/1000BASE-T(RJ-45)イーサネットを 1 ポート以上有す
ること。
(6) 無線 LAN のアンテナは内蔵していること。
(7) 壁面や天井に設置された状態でも LED で稼働状態が識別できること。
(8) PoEスイッチによる給電以外の方法にも対応していること。
(例:PoE給電アダプタ、ACアダプタ)
(9) アクセスポイント単体の寸法(幅×奥行×高さ)は、22.1×22.1×5.4cm 以下
であること。
(10) 動作時湿度は 10~90%の範囲内で、且つ結露しないこと。
2.アクセスポイントの要求仕様(ソフトウェア)
(1) IEEE802.11i に準拠し、セキュリティにおける Wi-Fi 認定(WPA(TKIP)、WPA2
(AES)
)を得ていること。
(2) 設定及び各種調整などの集中管理に対応していること。
(3) 3 空間ストリーム、4X4Multiple-Input Multiple-Output(MIMO)に対応して
いること。
(4) IEEE802.1X 認証機能を有し、EAP-TLS、EAP-TTLS または MSCHAPv2、PEAPv0 ま
たは EAP-MSCHAPv2、EAP-FAST、PEAPv1 または EAP-GTC および EAP-SIM の各 EAP
タイプに対応していること。
(5) RF の干渉を検出し、干渉源周囲のワイヤレス電波到達範囲を最適化する自動
調整機能を有すること。
(6) IEEE802.11a/g/n のクライアントに対して機能を追加せず、ビームフォーミン
グ技術により通信の信頼性と RF のカバレージを改善する機能を有すること。
(7) 1 台のアクセスポイント上で 2.4GHz 帯、5GHz 帯の双方の電波周波数帯が利用
可能な場合、無線 LAN クライアントが 5GHz 帯に優先して接続するよう促す機
能を有すること。
(8) マルチメディア、ビデオ配信に優れた機能、特化した機能を有すること。
3.無線ネットワークコントローラの要求仕様
(1) 動的なチャンネル割り当て機能を有し、チャンネル干渉等の問題に自動的に対
応し、解消する機能を有すること。
(2) 電波強度の自動調整機能を有し、問題が発生した場合も自動的に発見し、自動
的に対応し、解消する機能を有すること。
(3) アクセスポイント間で自動的に負荷分散する機能を有すること。
(4) アクセスポイントの故障があった場合、電波が届いていないエリアを自動検出
し、カバレッジホールを自動的に解消する機能を有すること。
(5) 上記(1)~(4)の機能に関し、常に監視を行い、常に最適な無線環境を自
動的に維持できる機能を有すること。
(6) ハードウェア及び設計にて以下の要件を満たしていること。
① シングルポイントの障害がシステム全体の停止とならないよう配慮し、最適
な冗長構成を設計すること。
② 無線LANは、有線LANとは異なるセグメントを利用し、セキュリティ的
にも異なるポリシーを適用できるよう配慮した設計及び構築をおこなうこと。
③ VLAN を複数利用できること。また、IEEE802.1Q、IEEE802.3ad LACP に対応
し既存ネットワークスイッチに接続できること。
(7) 無線ネットワークへのアクセス制限機能を有し、ユーザー単位での設定が可能
なこと。
(8) IEEE 802.1X 無線 LAN 認証に対応すること。以下の EAP タイプに対応すること。
EAP-TLS、EAP-FAST、PEAPv1/GTC、PEAPv0/MSCHAPv2
(9) IEEE 802.1X 認証に 3 回連続で認証失敗したクライアントの接続を拒否できる
こと。接続拒否後、一定時間経過後(時間は任意に設定可能なこと。
)できる
こと。また、本機能は、SSID 毎に異なるポリシーを適用できること。
(10) IEEE 802.1X 無線 LAN クライアント認証において、RADIUS サーバが障害等
で利用できなくなった場合でも、正常に利用できる手段を提供すること。
(11) 暗号化機能として下記の機能をサポートしていること。
WEP および TKIP-MIC:RC4 40、104、および 128 ビット(静的キーと共有キ
ー)
SSL および TLS:RC4 128 ビットと RSA 1024 および 2048 ビット
AES:CBC, CCM、CCMP 、DES:DES-CBC、3DES、DTLS: AES-CBC
(12) 暗号化機能として DTLS をソフトウェアライセンスでサポートできること。
(13) クライアント側で意識せず、IP サブネットを跨るローミングができること。
(14) 無線 LAN クライアント間の通信をブロックすることが可能であること。
(15) 1GbE に対応したイーサネットポートを 4 つ以上有すること。
(16) 1 台のコントローラーで 50 台以上のアクセスポイントに対応できること。
(17) GUI、コマンドライン、NMS等の管理用ソフト等3種類以上の管理イ
ンターフェイスを有し、その全てが隔地からの管理からも利用できること。
(18) 電波環境について、管理者が以下の情報を任意に参照できること。
・通信負荷、電波干渉状況、電波雑音の影響度
・接続しているクライアントの受信信号強度、信号対雑音比
・アクセスポイント間の影響度合い、影響範囲にあるアクセスポイントの列挙
・許可されていない無線機器の列挙、無線環境に影響を与える要因の列挙
(19) アクセスポイントの障害交換時及び新規増設時に初期設定を必要とせずに
使用するための機能を有すること。
(20) オフピークを含む無線非稼動時に電力消費を削減する機能を有すること。
4.PoEスイッチ要求仕様
(1) 160Gbps 以上のスイッチファブリックを実装するボックス型の L3 スイッチ製
品であること。
(2) IEEE802.1Q VLAN Tagging に準拠していること。
(3) IEEE802.1D 及び IEEE802.1w、IEEE802.1s に対応すること。また、各機能が混
在したネットワークに対応できること。
(4) IEEE 802.3ad Link Aggregation 機能を有すること。
(5) IEEE802.1p の優先制御機能を有すること。
(6) 以下のルーティングプロトコルに対応していること。
RIPv1/v2、OSPF、BGPv4、EIGRP
(7) IPv6 に対応していること。また IPv6 環境でも RIP、OSPF が使えること。
(8) IP マ ル チ キ ャ ス ト ル ー テ ィ ン グ プ ロ ト コ ル と し て 、 PIM-SparseMode 、
PIM-DenseMode、PIM sparse-dense mode、Source Specific Multicast に対応
していること。
(9) ポートにてリンクフラップ等の障害を検知した際、ポートを一時的に使用不可
能な状態にし、さらに一定時間経過後、自動的に再度利用可能にする機能を有
すること。
(10) CWDM 物理インターフェイスをサポートする SFP モジュールが利用可能であ
ること。
(11) ゲートウェイを冗長化する仕組みを有すること。
(12) 冗長化、ループ防止などの機能を利用して、それらの機能を持たない機器
との冗長化接続が可能なこと。
また、同機能は 100ms 以内に機能すること。
(13) 1005 個以上の VLAN に対応していること。尚、VLAN ID は、4000 番までの
任意の番号を利用可能であること。
(14) RADIUS サーバと連携することにより、下位スイッチを IEEE802.1x を用い
て認証する機能を有すること。 かつ、サプリカントとして上位スイッチにて
IEEE802.1x を用いて認証される機能を有すること。
(15) 予期せぬ BPDU の受信時に、予期せぬトポロジー変化が発生しないように安
全に該当ネットワークを遮断、基幹ネットワークを保護する機能を有すること。
(16) 予期せぬネットワークデバイスの影響により、好ましくないスイッチがル
ートブリッジになる事を抑止する機能を有すること。
(17) 悪意のあるユーザが ARP プロトコルのセキュリティの弱点を悪用するのを
阻止し、ユーザの整合性を保証する機能を有すること。
(18) 悪意のあるユーザが DHCP サーバをスプーフィングし、偽装したアドレスを
送信することを防ぐ機能を有すること。
(19) 同一 VLAN 内トラフィックに対してアクセスリストを用いたアクセス制限
に対応可能なこと。
(20) Private VLAN edge(1つの VLAN の中で、他のポートからレイヤ 2 レベル
で隔離されているかのようにアクセスを制限できる機能)機能を有すること。
(21) ルーティングされないレイヤ 2 インターフェイス上の IP トラフィックを制
限するセキュリティ機能を有すること。
(22) IEEE802.1p の CoS および DSCP に基づいた QoS 機能を有すること。
(23) Shaped Round Robin および strict priority queuing のテクノロジーに対
応していること。
(24) 送信元/受信元 MAC アドレス及び IP アドレス、TCP/UDP ポート番号、また
はこれらのフィールドの任意の組み合わせに基づくパケットフィルタを行う
機能を有すること。
(25) IEEE802.1x 未対応端末に対応するため、ゲスト VLAN 機能を有すること。
(26) 接続されたすべての筐体は1台の論理ユニットとして設定・管理できるこ
と。
(27) シリアル接続、Telnet、SSH により設定できる事。
(28) 任意のタイミングで OS 及び設定ファイルを流し込み、上書き、リロードを
行うスイッチの自動設定機能を有すること。
(29) 内部電源装置に障害が発生した場合に、外部冗長化電源から電源供給され
るような構成を取ることが可能であること。
(30) 4台以上のスイッチで、内部電源を共有及び冗長する機能を有すること。
(31) 起動時、稼動中など、任意のタイミングで実行できる総合的な自己診断機
能を有すること。
(32) イーサネット 10/100/1000 PoE+を 24 ポート以上実装していること。
(33) 10 ギガビットイーサネット SFP+を 2 ポート以上、または 1 ギガビットイー
サネット SFP を 4 ポート以上実装可能なこと。
(34) 65.5Mpps 以上のパケット処理能力を有すること。
(35) デバイスの消費電力を測定し、所定のルールに基づいてアクションを実行
し、消費電力の調整機能を有すること。
(36) ポートごとの最大消費電力をコマンドで指定できること。
5.管理用ソフトウェアの要求仕様
(1) 有線及び無線 LAN 環境におけるユーザとネットワーク・アクセスを統合管理す
る機能を有すること。
(2) 管理対象機器のインターフェイス、ポート、接続ホストに関する状態(CPU 利
用率・メモリ利用率・VLAN 情報・ポートの UP/Down・MAC アドレス・IP アドレ
ス)を表示する機能を有すること。
(3) 無線 LAN システム全体を管理する為に、複数の無線 LAN コントローラ、アクセ
スポイントを一元的に管理する機能を有すること。
(4) 複数の LAN スイッチやルータを一元的に管理する機能を有すること。
(5) 無線 LAN のレイアウト、アクセスポイントの稼働状況、実測値に基づく RF カ
バレッジのヒートマップ、干渉源、不正デバイスを視覚化する機能を有するこ
と。
(6) 通信品質を評価してレポートする機能を有すること。
(7) 管理対象機器に接続しているユーザ情報(ネットワーク認証のユーザ名、MAC
アドレス、IPv4/IPv6 アドレス、接続 SSID、SNR、RSSI、VLAN、接続先 AP)を
表示する機能を有すること。
(8) 検索フォームにユーザ情報(MAC アドレス、ユーザ名、IP アドレス)を入力す
ることで対象デバイス一覧を表示する機能を有すること。
(9) 検索フォームにデバイス情報(ホスト名、管理対象 IP アドレス)を入力する
ことで対象デバイス一覧を表示する機能を有すること。
(10) 管理対象機器に対し、テンプレート(設定項目、監視項目、その他)を作
成し、割り当てる機能を有すること。
(11) 指定した接続デバイスの物理的な位置情報の履歴を MAP 上に表示させる機
能を有すること。
(12) ネットワークの使用状況、パフォーマンス、デバイス情報、インベントリ、
セキュリティ、および通信品質について、定期的かつ自動的にレポーティング
する機能を有すること。
(13) レポートは CSV 形式または PDF 形式でファイル出力でき、電子メールとし
て通知する機能を有すること。
(14) 無線 LAN コントローラで検知した不正 AP の情報を一元的に表示や分類する
機能を有すること。
(15) 無線 LAN システムにおいてゲストユーザアカウントや管理専用ゲストアカ
ウントを作成する機能を有すること。
(16) クライアント毎に接続性のトラブルシューティング(L2 の接続性や IP ア
ドレスの取得状況などの確認)機能を有すること。
(17) WEB ブラウザベースの GUI、及び Telnet と SSH による CUI による管理機能
を有すること。
(18) Syslog サーバ、SNMPv1/v2c による管理に対応できること。
(19) NTP サーバと時刻を同期する機能を有し、且つ複数の NTP サーバを指定す
ることが可能であること。
(20) 自治体におけるセキュリティを考慮し以下機能を有していること。
① ネットワークへのアクセス制限機能を有し、ユーザー単位での設定が可
能であること
② IEEE802.1x 認証機能、MAC アドレス認証及び、WEP・TKIP・AES の暗号化
方式が利用可能なこと
③ SSID の隠蔽が可能であり、ANY 接続を拒否できること
④ 不正なアクセスポイントの設置への対応策を有すること
(21) 管理用ソフトウェアを使用するにあたり、サーバ機器及び機器収納ラック
等が必要な場合、全て見積書のなかに盛り込むこと。
【Ⅳ】開示資料
提案の計画・設計のために、下記の資料を提供する。
提供資料は、提案資料とともに、すべて市に返却すること。
① 現状の庁舎内AP取付け位置情報
② 課ごとの接続PC台数
③ 現状の無線コントローラー及び PoE スイッチの設定情報
※③については、全ての審査完了後、選定された業者にのみ開示する。