南城市庁内無線ネットワーク整備 - PDF 無料ダウンロード

南城市庁内無線ネットワーク整備要求仕様書平成 25 年 9 月南城市政策調整課

Ⅰ はじめに南城市では庁舎の統廃合を契機として PC 利用効率向上及びPC 接続配線管理の合理化のため庁舎内無線 LAN 導入を行ったがその整備から6 年以上を経過しネットワーク機器保守の維持が難しくなってきていることから新たに庁舎内無線 LANの再構築することとした庁舎内無線 LANは市民サービスや市の業務遂行において最重要インフラであり高度なセキュリティと稼働継続性が求められている今回の再構築にあたっては機器の性能や構成による信頼性はもとよりその稼働継続性を確保する保守体制についても重要視するものとするなお本事業において無線 LANの再構築を実施する施設は南城市役所玉城庁舎大里庁舎佐敷出張所知念出張所南城市文化センター南城市保健センターとする Ⅱ 提案書記載項目提案には以下の項目を満たしその内容を提案書に盛り込むこと (1) 自治体としての高度なセキュリティを確保可能なシステムとすること (2) 将来的な組織変更及び機構改革にも柔軟に対応できるシステムとすること (3) PoE スイッチ無線コントローラー無線アクセスポイントに障害が発生した場合にも業務を止めないような冗長化構成であること (4) 来庁者が本市の無線ネットワークを使用してインターネットに接続したりすることも考慮し接続させる際は本市の庁内ネットワークとは論理的に分離して接続させること (5) 近隣に存在する個人住宅用無線アクセスポイントとの電波干渉を回避する機能を有すること (6) 1 台の無線アクセスポイントに接続が集中した場合職員が意識することなく自動的に隣接する無線アクセスポイントに振り分け接続を行えるようにすること (7) Cisco 社製無線 IP フォンとも連携できるシステムとすること (8) 職員個人のスマートフォンを庁内内線電話としても使用できる機能を有すること (9) 本番運用開始時期までに運用可能な実施スケジュールなお本番運用開始時期は平成 25 年 12 月 1 日とする (10) 無線ネットワークを実現するためのハードウェア及びソフトウェア構成 (11) 導入 ( 構築 ) 費用 (12) ランニング費用 1 ハードウェア保守費 2 ソフトウェア保守費

ハードウェアソフトウェアの保守の範囲及び内容が記載されていること (13) 導入 ( 構築 ) 費用及びランニング費用を5 年間の賃貸借に置き換えた場合の月額料金年額料金 5 年間総額料金 (14) 導入 ( 構築 ) 及び保守体制 Ⅲ 南城市庁内無線ネットワークシステムに係る要求 1. アクセスポイントの要求仕様 ( ハードウェア ) (1) Wi-Fi 認定を取得し IEEE802.11a/b/g/n の規格に準拠してること (2) 1 筐体で IEEE802.11a/b/g を同時に利用できること (3) 天井取付壁掛けのどちらでも設置できること (4) IEEE802.3af 規格の PoE 受電に対応していること (5) 自動検知式の 10/100/1000BASE-T(RJ-45) イーサネットを 1 ポート以上有すること (6) 無線 LAN のアンテナは内蔵していること (7) 壁面や天井に設置された状態でも LED で稼働状態が識別できること (8) PoEスイッチによる給電以外の方法にも対応していること ( 例 :PoE 給電アダプタ ACアダプタ ) (9) アクセスポイント単体の寸法 ( 幅奥行高さ ) は 22.1 22.1 5.4cm 以下であること (10) 動作時湿度は 10~90% の範囲内で且つ結露しないこと 2. アクセスポイントの要求仕様 ( ソフトウェア ) (1) IEEE802.11i に準拠しセキュリティにおける Wi-Fi 認定 (WPA(TKIP) WPA2 (AES)) を得ていること (2) 設定及び各種調整などの集中管理に対応していること (3) 3 空間ストリーム 4X4Multiple-Input Multiple-Output(MIMO) に対応していること (4) IEEE802.1X 認証機能を有し EAP-TLS EAP-TTLS または MSCHAPv2 PEAPv0 または EAP-MSCHAPv2 EAP-FAST PEAPv1 または EAP-GTC および EAP-SIM の各 EAP タイプに対応していること (5) RF の干渉を検出し干渉源周囲のワイヤレス電波到達範囲を最適化する自動調整機能を有すること (6) IEEE802.11a/g/n のクライアントに対して機能を追加せずビームフォーミング技術により通信の信頼性と RF のカバレージを改善する機能を有すること (7) 1 台のアクセスポイント上で 2.4GHz 帯 5GHz 帯の双方の電波周波数帯が利用可能な場合無線 LAN クライアントが 5GHz 帯に優先して接続するよう促す機能を有すること

(8) マルチメディアビデオ配信に優れた機能特化した機能を有すること 3. 無線ネットワークコントローラの要求仕様 (1) 動的なチャンネル割り当て機能を有しチャンネル干渉等の問題に自動的に対応し解消する機能を有すること (2) 電波強度の自動調整機能を有し問題が発生した場合も自動的に発見し自動的に対応し解消する機能を有すること (3) アクセスポイント間で自動的に負荷分散する機能を有すること (4) アクセスポイントの故障があった場合電波が届いていないエリアを自動検出しカバレッジホールを自動的に解消する機能を有すること (5) 上記 (1)~(4) の機能に関し常に監視を行い常に最適な無線環境を自動的に維持できる機能を有すること (6) ハードウェア及び設計にて以下の要件を満たしていること 1 シングルポイントの障害がシステム全体の停止とならないよう配慮し最適な冗長構成を設計すること 2 無線 LANは有線 LANとは異なるセグメントを利用しセキュリティ的にも異なるポリシーを適用できるよう配慮した設計及び構築をおこなうこと 3 VLAN を複数利用できることまた IEEE802.1Q IEEE802.3ad LACP に対応し既存ネットワークスイッチに接続できること (7) 無線ネットワークへのアクセス制限機能を有しユーザー単位での設定が可能なこと (8) IEEE 802.1X 無線 LAN 認証に対応すること以下の EAP タイプに対応すること EAP-TLS EAP-FAST PEAPv1/GTC PEAPv0/MSCHAPv2 (9) IEEE 802.1X 認証に 3 回連続で認証失敗したクライアントの接続を拒否できること接続拒否後一定時間経過後 ( 時間は任意に設定可能なこと ) できることまた本機能は SSID 毎に異なるポリシーを適用できること (10) IEEE 802.1X 無線 LAN クライアント認証において RADIUS サーバが障害等で利用できなくなった場合でも正常に利用できる手段を提供すること (11) 暗号化機能として下記の機能をサポートしていること WEP および TKIP-MIC:RC4 40 104 および 128 ビット ( 静的キーと共有キー ) SSL および TLS:RC4 128 ビットと RSA 1024 および 2048 ビット AES:CBC, CCM CCMP DES:DES-CBC 3DES DTLS: AES-CBC (12) 暗号化機能として DTLS をソフトウェアライセンスでサポートできること (13) クライアント側で意識せず IP サブネットを跨るローミングができること (14) 無線 LAN クライアント間の通信をブロックすることが可能であること (15) 1GbE に対応したイーサネットポートを 4 つ以上有すること

(16) 1 台のコントローラーで 50 台以上のアクセスポイントに対応できること (17) GUI コマンドライン NMS 等の管理用ソフト等 3 種類以上の管理インターフェイスを有しその全てが隔地からの管理からも利用できること (18) 電波環境について管理者が以下の情報を任意に参照できること通信負荷電波干渉状況電波雑音の影響度接続しているクライアントの受信信号強度信号対雑音比アクセスポイント間の影響度合い影響範囲にあるアクセスポイントの列挙許可されていない無線機器の列挙無線環境に影響を与える要因の列挙 (19) アクセスポイントの障害交換時及び新規増設時に初期設定を必要とせずに使用するための機能を有すること (20) オフピークを含む無線非稼動時に電力消費を削減する機能を有すること 4.PoEスイッチ要求仕様 (1) 160Gbps 以上のスイッチファブリックを実装するボックス型の L3 スイッチ製品であること (2) IEEE802.1Q VLAN Tagging に準拠していること (3) IEEE802.1D 及び IEEE802.1w IEEE802.1s に対応することまた各機能が混在したネットワークに対応できること (4) IEEE 802.3ad Link Aggregation 機能を有すること (5) IEEE802.1p の優先制御機能を有すること (6) 以下のルーティングプロトコルに対応していること RIPv1/v2 OSPF BGPv4 EIGRP (7) IPv6 に対応していることまた IPv6 環境でも RIP OSPF が使えること (8) IP マルチキャストルーティングプロトコルとして PIM-SparseMode PIM-DenseMode PIM sparse-dense mode Source Specific Multicast に対応していること (9) ポートにてリンクフラップ等の障害を検知した際ポートを一時的に使用不可能な状態にしさらに一定時間経過後自動的に再度利用可能にする機能を有すること (10) CWDM 物理インターフェイスをサポートする SFP モジュールが利用可能であること (11) ゲートウェイを冗長化する仕組みを有すること (12) 冗長化ループ防止などの機能を利用してそれらの機能を持たない機器との冗長化接続が可能なことまた同機能は 100ms 以内に機能すること (13) 1005 個以上の VLAN に対応していること尚 VLAN ID は 4000 番までの任意の番号を利用可能であること

(14) RADIUS サーバと連携することにより下位スイッチを IEEE802.1x を用いて認証する機能を有することかつサプリカントとして上位スイッチにて IEEE802.1x を用いて認証される機能を有すること (15) 予期せぬ BPDU の受信時に予期せぬトポロジー変化が発生しないように安全に該当ネットワークを遮断基幹ネットワークを保護する機能を有すること (16) 予期せぬネットワークデバイスの影響により好ましくないスイッチがルートブリッジになる事を抑止する機能を有すること (17) 悪意のあるユーザが ARP プロトコルのセキュリティの弱点を悪用するのを阻止しユーザの整合性を保証する機能を有すること (18) 悪意のあるユーザが DHCP サーバをスプーフィングし偽装したアドレスを送信することを防ぐ機能を有すること (19) 同一 VLAN 内トラフィックに対してアクセスリストを用いたアクセス制限に対応可能なこと (20) Private VLAN edge(1つの VLAN の中で他のポートからレイヤ 2 レベルで隔離されているかのようにアクセスを制限できる機能 ) 機能を有すること (21) ルーティングされないレイヤ 2インターフェイス上の IPトラフィックを制限するセキュリティ機能を有すること (22) IEEE802.1p の CoS および DSCP に基づいた QoS 機能を有すること (23) Shaped Round Robin および strict priority queuing のテクノロジーに対応していること (24) 送信元 / 受信元 MAC アドレス及び IP アドレス TCP/UDP ポート番号またはこれらのフィールドの任意の組み合わせに基づくパケットフィルタを行う機能を有すること (25) IEEE802.1x 未対応端末に対応するためゲスト VLAN 機能を有すること (26) 接続されたすべての筐体は1 台の論理ユニットとして設定管理できること (27) シリアル接続 Telnet SSH により設定できる事 (28) 任意のタイミングで OS 及び設定ファイルを流し込み上書きリロードを行うスイッチの自動設定機能を有すること (29) 内部電源装置に障害が発生した場合に外部冗長化電源から電源供給されるような構成を取ることが可能であること (30) 4 台以上のスイッチで内部電源を共有及び冗長する機能を有すること (31) 起動時稼動中など任意のタイミングで実行できる総合的な自己診断機能を有すること (32) イーサネット 10/100/1000 PoE+ を 24 ポート以上実装していること (33) 10 ギガビットイーサネット SFP+ を 2 ポート以上または 1 ギガビットイーサネット SFP を 4 ポート以上実装可能なこと

(34) 65.5Mpps 以上のパケット処理能力を有すること (35) デバイスの消費電力を測定し所定のルールに基づいてアクションを実行し消費電力の調整機能を有すること (36) ポートごとの最大消費電力をコマンドで指定できること 5. 管理用ソフトウェアの要求仕様 (1) 有線及び無線 LAN 環境におけるユーザとネットワークアクセスを統合管理する機能を有すること (2) 管理対象機器のインターフェイスポート接続ホストに関する状態 (CPU 利用率メモリ利用率 VLAN 情報ポートの UP/Down MAC アドレス IP アドレス ) を表示する機能を有すること (3) 無線 LAN システム全体を管理する為に複数の無線 LAN コントローラアクセスポイントを一元的に管理する機能を有すること (4) 複数の LAN スイッチやルータを一元的に管理する機能を有すること (5) 無線 LAN のレイアウトアクセスポイントの稼働状況実測値に基づく RF カバレッジのヒートマップ干渉源不正デバイスを視覚化する機能を有すること (6) 通信品質を評価してレポートする機能を有すること (7) 管理対象機器に接続しているユーザ情報 ( ネットワーク認証のユーザ名 MAC アドレス IPv4/IPv6 アドレス接続 SSID SNR RSSI VLAN 接続先 AP) を表示する機能を有すること (8) 検索フォームにユーザ情報 (MAC アドレスユーザ名 IP アドレス ) を入力することで対象デバイス一覧を表示する機能を有すること (9) 検索フォームにデバイス情報 ( ホスト名管理対象 IP アドレス ) を入力することで対象デバイス一覧を表示する機能を有すること (10) 管理対象機器に対しテンプレート ( 設定項目監視項目その他 ) を作成し割り当てる機能を有すること (11) 指定した接続デバイスの物理的な位置情報の履歴を MAP 上に表示させる機能を有すること (12) ネットワークの使用状況パフォーマンスデバイス情報インベントリセキュリティおよび通信品質について定期的かつ自動的にレポーティングする機能を有すること (13) レポートは CSV 形式または PDF 形式でファイル出力でき電子メールとして通知する機能を有すること (14) 無線 LAN コントローラで検知した不正 APの情報を一元的に表示や分類する機能を有すること (15) 無線 LAN システムにおいてゲストユーザアカウントや管理専用ゲストアカ

ウントを作成する機能を有すること (16) クライアント毎に接続性のトラブルシューティング (L2 の接続性や IP アドレスの取得状況などの確認 ) 機能を有すること (17) WEB ブラウザベースの GUI 及び Telnet と SSH による CUI による管理機能を有すること (18) Syslog サーバ SNMPv1/v2c による管理に対応できること (19) NTP サーバと時刻を同期する機能を有し且つ複数の NTP サーバを指定することが可能であること (20) 自治体におけるセキュリティを考慮し以下機能を有していること 1 ネットワークへのアクセス制限機能を有しユーザー単位での設定が可能であること 2 IEEE802.1x 認証機能 MAC アドレス認証及び WEP TKIP AES の暗号化方式が利用可能なこと 3 SSID の隠蔽が可能であり ANY 接続を拒否できること 4 不正なアクセスポイントの設置への対応策を有すること (21) 管理用ソフトウェアを使用するにあたりサーバ機器及び機器収納ラック等が必要な場合全て見積書のなかに盛り込むこと Ⅳ 開示資料提案の計画設計のために下記の資料を提供する提供資料は提案資料とともにすべて市に返却すること 1 現状の庁舎内 AP 取付け位置情報 2 課ごとの接続 PC 台数 3 現状の無線コントローラー及び PoE スイッチの設定情報 3については全ての審査完了後選定された業者にのみ開示する