Capitolato - A. Trentin
Transcript
Capitolato - A. Trentin
ISTITUTO TECNICO AGRARIO STATALE “A.TRENTIN” Via San Giovanni 46 – 36045 LONIGO (VI) ℡ 0444-830493 - 0444-835313 Cod. Fisc. 80015930243 – C.M. VITA01000L E-mail - [email protected] www.tecnicoagrariotrentin.gov.it PROGETTO: “Realizzazione ambienti digitali - 10.8.1.A3-FESRPON-VE-2015-265”. Codice CIG: Z411B58F7C Codice Unico di Progetto di Investimento Pubblico E26J15001260007 Capitolato Tecnico PREMESSA L’istituto ha beneficiato del finanziamento per le Aule Digitali nell’ambito del PON 2014-2020 ed intende utilizzare i fondi messi a disposizione nella realizzazione di un progetto che prevede da un lato il recupero e l’ammodernamento di un laboratorio obsoleto e dall’altro la realizzazione di un laboratorio mobile integrato. 1 AMMODERNAMENTO LABORATORIO ESISTENTE Nel corso degli anni il laboratorio esistente (LAB. INFO2) dotato di 20 pc (alcuni con processore tipo AMD A6 3500 APU 2.09 GHz e altri AMD Athlon II X3 450 3.2 GHz) è stato utilizzato sempre meno a causa di numerosi problemi legati alla manutenzione ordinaria e straordinaria, che necessitavano di numerose ore di intervento e competenze specifiche non sempre facilmente reperibili tra il personale docente dell’Istituto. Al fine di riutilizzare le macchine attualmente presenti si è deciso di attuare un progetto di tipo Ltsp (Linux Terminal Server Project) ovvero utilizzare un software libero atto a centralizzare una rete di computer GNU/Linux. In una rete di questo tipo i client sono in grado di avviarsi via rete senza alcun sistema operativo precedentemente installato ed essere unilateralmente gestiti da un server centrale, che consente di utilizzare dei computer obsoleti come veri e propri terminali. In una tipica situazione di un laboratorio scolastico su ogni scrivania vengono normalmente utilizzati computer abbastanza potenti, basati su processori Intel o AMD, ognuno con molti gigabyte di spazio su disco fisso. Ciascun utente memorizza i propri dati sul disco rigido presente nel computer e molto raramente vengono effettuati dei backup. Con Ltsp, si possono usare computer piuttosto datati o comunque di scarse prestazioni, basta aggiungere a ogni terminale una scheda di rete con supporto per il boot da rete (PXE). La maggior parte delle schede di rete ha un alloggio ove inserire una ROM che permette il boot da rete, ma se anche questo mancasse è possibile usare etherboot per avviare da rete partendo da un floppy, da un CD-ROM oppure dal disco fisso. Ltsp è quindi una soluzione completa che permette di collegare diversi terminali poco potenti, chiamati thin client a un server Linux. Per l'utente, un thin client si comporta come un computer normale mentre per l'amministratore non ha alcun supporto di archiviazione proprio, è facile da gestire e può fornire all'utente un'esperienza di un desktop moderno, anche con hardware obsoleto. I thin client sono computer che caricano ed eseguono la maggior parte dei programmi da un server centrale, ma sono visualizzati sullo schermo del client. In termini più tecnici, il thin client può ottenere un kernel da un archivio locale oppure caricarlo dalla rete. SCHEMA DI STRUTTURAZIONE In questo progetto sarà necessario dotarsi di un sistema di firewall che dia protezione efficace durante gli accessi internet a tutte le macchine (web filtering). E’ altresì necessario un adeguato sistema di backup, il tutto in un sistema moderno di virtualizzazione nell’ottica di una massima efficienza e sicurezza. Tale strutturazione garantirà una manutenzione molto minore della singola macchina e un controllo centralizzato più efficace da parte del docente, che potrà monitorare gli accessi e i lavori dei singoli studenti. COMPONENTI DEL SISTEMA SISTEMA CENTRALE SERVER Q.TA CODICE PRODUTTORE DESCRIZIONE 01 646902-421 SERVER HP DL360p Gen8, CPU N. 01 CPU Intel® Xeon® E5-2640 (2.50GHz/6-core/15MB/7.2GT-s RAM 16GB (4 x 4GB DDR3-1333MHz RDIMMs), LAN: HP Ethernet 1Gb 4-port 331FLR Adapter, CONTROLLER: HP Smart Array P420i/1GB with FBWC (RAID 0/1/1+0/5/5+0), BAIE HDD 8x SFF SAS/SATA HDD, ALIMENTATORE: 460W HP Power Supply, Garanzia 3 anni NBD. 656362-B21 SECONDO ALIMENTATORE 460W HP PER RINDONDANZA 01 652238-B21 DVD 01 647901-B21 RAM 16GB DDR3-1333MHz RDIMMs 04 652583-B21 HP 600GB 6G SAS 10K 2.5IN SC ENT HDD 03 SOFTWARE VmWare esxi 6 free Linux Ubuntu LTSP free PfSense Free Firewall and Web Filtering in Virtual Machine EPOPTES sistema di management e monitoraggio dell’aula informatica NAKIVO backup for VmWare free SPECIFICHE TECNICHE PFSENSE RICHIESTO SU VIRTUAL MACHINE: Funzioni principali pfSense® 2.0 o successive Tutte le funzioni che seguono devono essere gestite tramite interfaccia web, senza utilizzare la riga di comando. Firewall Filtraggio da sorgente e destinazione IP, protocollo IP, porta sorgente e destinazione per TCP e UDP traffic Abilitazione dei limiti per connessioni simultanee su regole di base. Utilizzare p0f, un'avanzata utility di rete per impronte digitali che abilita il filtraggio attraverso il sistema operativo all'inizio della connessione. Option to log or not log traffic matching each rule. Politiche di routing ad alta flessibilità per la selezione del gateway sulle regole di base per il bilanciamento di manda, failover, WAN multiple, backup su più ADSL, ecc. Possibilità di creazione Alias di gruppi di IP e nomi di IP, networks e porte. Queste caratteristiche aiutano a tenere la configurazione pulita e facile da comprendere, specialmente in configurazioni dove ci sono svariati IP pubblici e numerosi Server. Filtraggio trasparente Layer 2. Possibilità di “bridgiare” interfacce e filtrare il traffico tra queste. Normalizzazione di pacchetto descritto dalla documentazione di pf scrub. (Vedi documentazione), abilitato di default. È possibile disabilitarlo se necessario. Possibilità di disabilitare il filtraggio (firewalling) per utilizzare pfSense® come puro router. State Table (tabella di stato) Regole di base: • Limiti di connessioni simultanee dei client • Limiti dello stato per host • Limiti di nuove connessioni al secondo • Definire lo stato del timeout • Definire il tipo di stato Tipi di stato Keep state – Funziona con tutti i protocolli. Di default su tutte le regole. Modulate state – Lavora solo con TCP. pfSense® genererà dei ISNs (Initial Sequence Numbers) per conto dell'host. Synproxy state – i Proxy iniziano le connessioni TCP per aiutare i server da spoofed TCP SYN floods None – Non viene tenuta nessuna voce sullo stato Opzioni di ottimizzazione della tabella di stato – Normale – default Hight latency – usata per links ad alta latenza, come collegamenti satellitari Aggressive – scadenza dello stato di idle più veloce. Più efficiente usando più risorse hardware, ma può eliminare connessioni corrette Conservative – Cerca di evitare la cancellazione di connessioni corrette a scapito di un maggior utilizzo della CPU e RAM NAT: Network Address Tranlation Il Port forwards include un ranges e uso di IP pubblici multipli NAT 1:1 per IP individuali o intere subnet Outband NAT Impostato di default, tutto il traffico in uscita verso l'IP della WAN. In configurazioni con WAN multiple, verrà usato il traffico in uscita all'IP dell'interfaccia WAN Advanced Outbound NAT NAT Reflection – in qualche configurazione, NAT Reflection è utilizzato per servizi che possono accedere con IP pubblici da reti interne NAT Limitation PPTP / GRE Limitation – Il monitoraggio dello stato delle code in pfSense® per il protocollo GRE può solo monitorare una singola sessione per IP pubblico per serveresterno. Questo significa se si usano connessioni PPTP VPN, solo una macchina interna potrà connettersi simultaneamente al PPTP server su internet. Migliaia di macchine possono connettersi simultaneamente a migliaia di server PPTP, ma solo uno simultaneamente potrà connettersi a un server PPTP. L'unico modo per aggirare il problema è utilizzare IP pubblici differenti sul firewall, uno per client, o usare ip pubblici multipli per i PPTP server. Questo problema non si ha con connessioni VPN con protocolli diversi. La soluzione a questo problema è attualmente in sviluppo. Ridondanza Il protocollo CARP da OpenBSD gestisce l'hadware failover. Due o più gruppi di firewall hardware possono essere configurati come un gruppo di failover. Se un'interfaccia si guasta sul dispositivo primario o il dispositivo primario va offline, il secondo si attiva. pfSense® include anche una capacità di sincronizzazione automatica tra il dispositivo primario ed il secondario. pfsync assicura che la tabella di stato del firewall è replicata su tutti firewall inseriti nel failover. Questo significa che le connessioni esistenti saranno mantenute nel caso di failure. Limitazioni Funziona solo con IP pubblici statici, non funziona con stateful fileover usando DHCP, PPPoE o PPTP sulla WAN. Bilanciamento di Carico Bilanciamento di carico in uscita: (Outbound) Il load balancing in uscita è usato su WAN multiple per fornire il bilanciamento ed il failover. Il traffico è diretto verso un gateway designato o un pool di bilanciamento di carico definito nelle regole di base del firewall. Inbound Load Balancing Il bilanciamento di carico in ingresso con server web, server di posta e altri. I server che non rispondono al ping o connessione TCP su porta definita saranno esclusi dal pool. VPN connettività VPN, IPsec, OpenVPN, e PPTP. IPsec connettività con tutti i dispositivi che supportano lo standard IPsec. OpenVPN Opzione OpenVPN per soluzione SSL VPN PPTP Server Il server pfSense® PPTP deve poter usare un database locale o un RADIUS server per l'autenticazione. La compatibilità RADIUS è supportata. PPPoE Server server PPPoE. Gli utenti locali del database posso essere usati per l'autenticazione e l'autenticazione RADIUS con opzioni di accounting è anche supportata. Report e Monitoraggio Grafici RRD. I grafici RRD in pfSense® forniscono le seguenti informazioni: Utilizzo della CPU Traffico totale Stato del firewall Traffico individuale sulle interfacce Packets per second rates per tutte le interfacce Tempo di risposta al ping del gateway dell'interfaccia WAN Code di traffic shaper sul sistema se il traffic shaper è abilitato Real Time Information Le informazioni della storia del sistema sono importanti, ma qualche volta sono più importanti le informazioni real time. I grafici SVG mostrano il traffico in real time per tutte le interfacce. La pagina iniziale include grafici AJAX che mostrano il tempo reale il carico della CPU, memoria, swap e spazio disco usato e la tabella di stato. DNS Dinamico Il client di DNS dinamico abilita alla registrazione mediante uno di questi servizi: DynDNS DHS DNSexit DyNS EasyDNS FreeDNS HE.net Loopia Namecheap No-IP ODS.org OpenDNS ZoneEdit Captive Portal Il captive portal permette di forzare l'autenticazione o ridirigere il traffico di rete ad una pagina di autenticazione di rete. Questo è comunemente usato nelle connessioni di rete hot spot, ma anche ampiamente usata per livelli di sicurezza aggiuntivi nell'accesso delle reti internet attraverso i sistemi wireless. Per maggiori informazioni sul Captive Portal si veda questa pagina. Quello che segue è una lista di funzioni e caratteristiche del Captive Portal. Connessioni massime concorrenti - Limita il numero delle connessioni concorrenti per ciascun IP client. Questa funzionalità previene gli attacchi DOS Idle timeout – Disconnette i client che non effettuano connessioni per più di un certo numero di minuti Hard timeout – Forza la disconnessione dei client connessi per più di un numero definito di minuti Pop up di logon – Opzione di pop up della finestra con pulsante di disconnessione URL Rediretcion – dopo l'autenticazione gli utenti possono essere rediretti verso una pagina di default definita MAC Filtering – di default pfSense® usa il filtraggio indirizzi MAC Opzioni di autenticazione – ci sono tre metodi di autenticazione Nessuna autenticazione: abilita la navigazione senza l'inserimento di nessun dato Utenti locali – il database degli utenti locali può essere configurato e usato per l'autenticazione Autenticazione RADIUS – Questo è il metodo prediletto da aziende, enti ed ISP. Può essere usato con l'autenticazione di Microsoft Active Directory e numerosi altri server RADIUS Capacità di RADIUS Forzare la re-autenticazione Abilitazione all'aggiornamento degli account Autenticazione MAC RADIUS abilita il Captive Portal all'autenticazione dei client usando il MAC address e username e password Accetta configurazioni ridondanti di RADIUS Server http e HTTPS – La pagina del portale può essere configurata sia in http che in https Pass-through MAC and IP addresses – Indirizzi MAC e IP possono essere inseriti in una white list bypassando il portale File manager – Questo permette di caricare delle immagini che possono essere utilizzate nella pagina iniziale del captive portal DHCP Server and Relay pfSense® include DHCP Server e funzionalità Relay. NET WORKING Q.TA CODICE PRODUTTORE DESCRIZIONE J9981A HPE SWITCH ETHERNET 1820-48GV2 4SFP NOPOE L2 RAC-1 GARANZIA A VITA 01 BACKUP E STORAGE Q.TA CODICE PRODUTTORE DESCRIZIONE DS216J NAS SYNOLOGY DS216J X 2HD 3.5"/2.5" SATA2/3>NO HD<DUALCORE 1.0GHZ -DDR3 512MB-1P GIGA-2P USB3.0-SUPP.10 TEL.GAR 2 ANNI 01 WD20PURX HARD DISK SATA3 3.5" 2000GB(2TB) WD20PURX WD 64MB CACHE INTELLIPOWER PURPLE 24X7 3 ANNI GARANZIA 02 2 LABORATORIO MOBILE La seconda parte del progetto intende realizzare un laboratorio mobile integrato che permetta l’utilizzo direttamente in classe del notebook con una rete wifi specifica e contemporaneamente collegata, tramite la rete scolastica, al sistema centrale previsto nel punto 1 per poter effettuare le operazioni di autenticazione e gestione del Web Filtering. E’ necessario che il carrello abbia dimensioni non superiori a 1,2X0,85 m, per essere facilmente trasportabile in ascensore, che possa ospitare almeno 30 pc o tablet. Il sistema prevede i seguenti componenti: CODICE PRODUTTORE Q.TA DESCRIZIONE TCBBUSFOUR UNITA’ MOBILE PER NOTEBOOK NOTEBOOK TABLET NETBOOK COOLING SYSTEM TeachBus Four è l'unità di ricarica/conservazione per notebook/netbook/tablet Il sistema è dotato di timer programmabile opzionale per impostare fasi di ricarica dei dispositivi. Il trolley ricarica ha due porte anteriori (con sistema di chiusura in sicurezza a chiave univoca) per l'accesso al vano del dispositivo e due porte con sistema di chiusura in sicurezza a chiave univoca) per l'accesso al vano di ricarica. ergonomichè in alluminio. Il TeachBus è dotato di due ventole per la circolazione forzata di aria e feritoie per la circolazione naturale dell'aria. Le unità elettriche possono essere alimentate tramite il Power Management System, sistema opzionale che permette di regolare la ricarica anche per gruppi di prese Dotato di piano superiore per un comodo di utilizzo di un notebook o di un proiettore o di accessori quali stampanti o scanner. NOTEBOOK STUDENTI CPU INTEL I3 O ANALOGO AMD RAM 4GB HDD 128GB SDD DISPLAY 15.6" VGA HD/INTEL HD 5500 WEBCAM AUDIO E MICROFONO 01 20 DVD RW LAN E WLAN GIGABIT WIN10 HOME (64-BIT) NOTEBOOK DOCENTE CPU INTEL I5 O ANALOGO AMD RAM 4GB HDD 240GB SDD DISPLAY 15.6" VGA HD/INTEL HD 5500 WEBCAM AUDIO E MICROFONO DVD RW LAN E WLAN GIGABIT WIN10 HOME (64-BIT) 01 DWL-2600AP ACCESS POINT D-Link WIRELESS MODELLO: DWL-2600AP; CONNETTIVITÀ:1 N, 100 Mbps; PROTOCOLLI:Supporto VLAN, IPv4; WIRELESS:108 Mbps, 2,4, Antenna inclusa, Connettore antenne opzionali non presente, Wireless Security; CARATTERISTICHE TECNICHE:Indoor, Unmanaged / Autonomo; GARANZIA: a vita. J9979A HPE SWITCH ETHERNET 1820-8GV2 8GBT NOPOE L2 RACK-1 01 01 3 SEGRETERIA Viene previsto una stazione completa da porre in segreteria come ausilio alla didattica e composta da: Q.TA CODICE PRODUTTORE P5K00EA DESCRIZIONE PC HP 400 G3 30LT P5K00EA BLACK I5-6500 3.2GHZ H110 1X4GBDDR4 500GB W7PRO/W10PRO-64 ODD GLAN 8USB T+MUSB 3Y 01 246E7QDSW/00 MONITOR PHILIPS LCD PLS LED 23.6" WIDE 5MS 0.272 FHD 1920X1080 1000:1 GLOSSY WHITE VGA DVI HDMI VESA FINO:07/10 01 DS-520 SCANNER EPSON DS-520 GESTIONE DOCUMENTALE A4 CARICAMENTO DALL'ALTO 30PPM 60IPM ADF 50FG, SUPP A3, USB B11B234401 FINO:30/09 01 Casse per pc 01 Installazione e configurazione 01 SERVIZI Oltre alla fornitura e alla consegna del materiale si richiede l’installazione completa, la configurazione di tutti i software, la creazione delle virtual machine, la creazione e la configurazione delle policy di backup e storage, la configurazione del sistema LTSP e Pfsense web filtering. Inoltre dovrà essere effettuato il test di funzionamento e la formazione di almeno un referente interno in forza all’istituto sull’utilizzo del sistema e del laboratorio nel suo complesso. Tutti i client del laboratorio fisso e mobile, e la postazione segreteria devono essere configurati in modo adeguato (chiavi in mano). Servizi Sistemistici Inclusi 1. 2. aggiornamento firmware server configurazione interfaccia di management 3. Test e tuning hardware 4. Verifiche di compatibilità con l'ambiente operativo dell'Ente (supporto network, ambiente fisico, UPS, ecc) 5. Definizione esigenze con il cliente per l'ottimizzazione dei sistemi: vmware, Sistemi Operativi virtuali Microsoft Windows e/o Linux/Unix; 6. Installazione ambiente di virtualizzazione vmware 7. Installazione specifica driver HP per sistema vmware 8. Installazione di una postazione di management con client di accesso vmware vSphere client 9. Installazione macchine virtuali necessarie 1. Domain Controller 2. Backup/replica 3. Sw gestionali 10. Client • Riconfigurazione di tutte le postazioni client per l'accesso al SISTEMA e acquisizione parametri da server; • Configurazione tramite Group Policy delle principali configurazioni client • Migrazione completa dei profili utente locali: desktop, preferiti, archivi di posta, menù windows 11 Centralizzazione dei documenti su repository server Servizi Sistemistici Sistema di Backup 1. Installazione del sistema software di backup, verifica e test di backup degli oggetti. 2. Implementazione in produzione del sistema di backup. 3. Servizio per tre mesi di monitoraggio, sistema di messaggistica e statistica e di verifica settimanale dei backup. Servizi Sistemistici Sistema di networking e security 1. Installazione del sistema di networking e security 2. Configurazione dei sistemi. 3. Implementazione in produzione. TUTTO IL SISTEMA DA FORNIRE E’ DA INTENDERSI CHIAVI IN MANO QUINDI IL FORNITORE DOVRA’ ATTIVARE TUTTE LE OPERAZIONI NECESSARIE AL FINE DEL CORRETTO FUNZIONAMENTO ANCHE SE NON ESPLICITAMENTE INDICATE. Si richiede il possesso per l’anno in corso delle seguenti certificazioni e qualifiche: VMWARE (SISTEMA DI VIRTUALIZZAZIONE) • AZIENDA CON CERTIFICAZIONE SOLUTION PROVIDER PROFESSIONAL LEVEL • N. 2 TECNICI CON CERTIFICAZIONE VMware Technical Solutions Professional (VTSP) VEEAM (BACKUP AND REPLICATION SYSTEM) • AZIENDA CON CERTIFICAZIONE SILVER PROPARTNER PROFESSIONAL LEVEL • N. 2 TECNICI CON CERTIFICAZIONE VEEAM Accredited Engineers – VMTSP TEMPO DI ESECUZIONE E COLLAUDO ENTRO E NON OLTRE IL 26 OTTOBRE 2016 CONCLUSIONI La realizzazione del progetto sopra schematizzato porta i seguenti vantaggi: 1 Riutilizzo del materiale informatico esistente 2 Utilizzo di un sistema sicuro nella navigazione e nella protezione dei dati 3 Completezza di gestione ed economicità delle risorse utilizzate 4 Innovazione tecnologica in ambiente scolastico. 5 Facilità ed economicità di mantenimento del sistema IL DIRIGENTE SCOLASTICO Dott.ssa Avv. Gigliola TADIELLO (Firma autografa sostituita a mezzo stampa, ai sensi dell’art. 3, comma 2 del D.Lgs. n. 39/1993)