Capitolato - A. Trentin

ISTITUTO TECNICO AGRARIO STATALE “A.TRENTIN”
Via San Giovanni 46 – 36045 LONIGO (VI)
℡ 0444-830493 - 0444-835313
Cod. Fisc. 80015930243 – C.M. VITA01000L
E-mail - [email protected]
www.tecnicoagrariotrentin.gov.it
PROGETTO: “Realizzazione ambienti digitali - 10.8.1.A3-FESRPON-VE-2015-265”.
Codice CIG: Z411B58F7C
Codice Unico di Progetto di Investimento Pubblico E26J15001260007
Capitolato Tecnico
PREMESSA
L’istituto ha beneficiato del finanziamento per le Aule Digitali nell’ambito del PON 2014-2020 ed intende
utilizzare i fondi messi a disposizione nella realizzazione di un progetto che prevede da un lato il recupero e
l’ammodernamento di un laboratorio obsoleto e dall’altro la realizzazione di un laboratorio mobile integrato.
1 AMMODERNAMENTO LABORATORIO ESISTENTE
Nel corso degli anni il laboratorio esistente (LAB. INFO2) dotato di 20 pc (alcuni con processore tipo AMD A6
3500 APU 2.09 GHz e altri AMD Athlon II X3 450 3.2 GHz) è stato utilizzato sempre meno a causa di numerosi
problemi legati alla manutenzione ordinaria e straordinaria, che necessitavano di numerose ore di intervento
e competenze specifiche non sempre facilmente reperibili tra il personale docente dell’Istituto. Al fine di
riutilizzare le macchine attualmente presenti si è deciso di attuare un progetto di tipo Ltsp (Linux Terminal
Server Project) ovvero utilizzare un software libero atto a centralizzare una rete di computer GNU/Linux.
In una rete di questo tipo i client sono in grado di avviarsi via rete senza alcun sistema
operativo precedentemente installato ed essere unilateralmente gestiti da un server centrale, che
consente di utilizzare dei computer obsoleti come veri e propri terminali.
In una tipica situazione di un laboratorio scolastico su ogni scrivania vengono normalmente utilizzati computer
abbastanza potenti, basati su processori Intel o AMD, ognuno con molti gigabyte di spazio su disco fisso.
Ciascun utente memorizza i propri dati sul disco rigido presente nel computer e molto raramente vengono
effettuati dei backup.
Con Ltsp, si possono usare computer piuttosto datati o comunque di scarse prestazioni, basta aggiungere a
ogni terminale una scheda di rete con supporto per il boot da rete (PXE). La maggior parte delle schede di
rete ha un alloggio ove inserire una ROM che permette il boot da rete, ma se anche questo mancasse è
possibile usare etherboot per avviare da rete partendo da un floppy, da un CD-ROM oppure dal disco fisso.
Ltsp è quindi una soluzione completa che permette di collegare diversi terminali poco potenti, chiamati thin
client a un server Linux.
Per l'utente, un thin client si comporta come un computer normale mentre per l'amministratore non ha alcun
supporto di archiviazione proprio, è facile da gestire e può fornire all'utente un'esperienza di un desktop
moderno, anche con hardware obsoleto.
I thin client sono computer che caricano ed eseguono la maggior parte dei programmi da un server centrale,
ma sono visualizzati sullo schermo del client. In termini più tecnici, il thin client può ottenere un kernel da un
archivio locale oppure caricarlo dalla rete.
SCHEMA DI STRUTTURAZIONE
In questo progetto sarà necessario dotarsi di un sistema di firewall che dia protezione efficace durante gli
accessi internet a tutte le macchine (web filtering). E’ altresì necessario un adeguato sistema di backup, il tutto
in un sistema moderno di virtualizzazione nell’ottica di una massima efficienza e sicurezza.
Tale strutturazione garantirà una manutenzione molto minore della singola macchina e un controllo
centralizzato più efficace da parte del docente, che potrà monitorare gli accessi e i lavori dei singoli studenti.
COMPONENTI DEL SISTEMA
SISTEMA CENTRALE
SERVER
Q.TA
CODICE
PRODUTTORE
DESCRIZIONE
01
646902-421
SERVER HP DL360p Gen8,
CPU N. 01 CPU Intel® Xeon® E5-2640 (2.50GHz/6-core/15MB/7.2GT-s
RAM 16GB (4 x 4GB DDR3-1333MHz RDIMMs),
LAN: HP Ethernet 1Gb 4-port 331FLR Adapter,
CONTROLLER: HP Smart Array P420i/1GB with FBWC (RAID 0/1/1+0/5/5+0), BAIE
HDD 8x SFF SAS/SATA HDD,
ALIMENTATORE: 460W HP Power Supply,
Garanzia 3 anni NBD.
656362-B21
SECONDO ALIMENTATORE 460W HP PER RINDONDANZA
01
652238-B21
DVD
01
647901-B21
RAM 16GB DDR3-1333MHz RDIMMs
04
652583-B21
HP 600GB 6G SAS 10K 2.5IN SC ENT HDD
03
SOFTWARE
VmWare esxi 6 free
Linux Ubuntu LTSP free
PfSense Free Firewall and Web Filtering in Virtual Machine
EPOPTES sistema di management e monitoraggio dell’aula informatica
NAKIVO backup for VmWare free
SPECIFICHE TECNICHE PFSENSE RICHIESTO SU VIRTUAL MACHINE:
Funzioni principali
pfSense® 2.0 o successive
Tutte le funzioni che seguono devono essere gestite tramite interfaccia web, senza utilizzare la riga di
comando.
Firewall
Filtraggio da sorgente e destinazione IP, protocollo IP, porta sorgente e destinazione per TCP e UDP traffic
Abilitazione dei limiti per connessioni simultanee su regole di base.
Utilizzare p0f, un'avanzata utility di rete per impronte digitali che abilita il filtraggio attraverso il sistema
operativo all'inizio della connessione.
Option to log or not log traffic matching each rule.
Politiche di routing ad alta flessibilità per la selezione del gateway sulle regole di base per il bilanciamento
di manda, failover, WAN multiple, backup su più ADSL, ecc.
Possibilità di creazione Alias di gruppi di IP e nomi di IP, networks e porte. Queste caratteristiche aiutano
a tenere la configurazione pulita e facile da comprendere, specialmente in configurazioni dove ci sono
svariati IP pubblici e numerosi Server.
Filtraggio trasparente Layer 2. Possibilità di “bridgiare” interfacce e filtrare il traffico tra queste.
Normalizzazione di pacchetto descritto dalla documentazione di pf scrub. (Vedi documentazione), abilitato
di default. È possibile disabilitarlo se necessario.
Possibilità di disabilitare il filtraggio (firewalling) per utilizzare pfSense® come puro router.
State Table (tabella di stato)
Regole di base:
• Limiti di connessioni simultanee dei client
• Limiti dello stato per host
• Limiti di nuove connessioni al secondo
• Definire lo stato del timeout
• Definire il tipo di stato
Tipi di stato
Keep state – Funziona con tutti i protocolli. Di default su tutte le regole.
Modulate state – Lavora solo con TCP. pfSense® genererà dei ISNs (Initial Sequence Numbers) per conto
dell'host.
Synproxy state – i Proxy iniziano le connessioni TCP per aiutare i server da spoofed TCP SYN floods
None – Non viene tenuta nessuna voce sullo stato
Opzioni di ottimizzazione della tabella di stato – Normale – default
Hight latency – usata per links ad alta latenza, come collegamenti satellitari
Aggressive – scadenza dello stato di idle più veloce. Più efficiente usando più risorse hardware, ma può
eliminare connessioni corrette
Conservative – Cerca di evitare la cancellazione di connessioni corrette a scapito di un maggior utilizzo
della CPU e RAM
NAT: Network Address Tranlation
Il Port forwards include un ranges e uso di IP pubblici multipli
NAT 1:1 per IP individuali o intere subnet
Outband NAT
Impostato di default, tutto il traffico in uscita verso l'IP della WAN. In configurazioni con WAN multiple,
verrà usato il traffico in uscita all'IP dell'interfaccia WAN
Advanced Outbound NAT
NAT Reflection – in qualche configurazione, NAT Reflection è utilizzato per servizi che possono accedere
con IP pubblici da reti interne
NAT Limitation
PPTP / GRE Limitation – Il monitoraggio dello stato delle code in pfSense® per il protocollo GRE può solo
monitorare una singola sessione per IP pubblico per serveresterno. Questo significa se si usano
connessioni PPTP VPN, solo una macchina interna potrà connettersi simultaneamente al PPTP server su
internet. Migliaia di macchine possono connettersi simultaneamente a migliaia di server PPTP, ma solo uno
simultaneamente potrà connettersi a un server PPTP. L'unico modo per aggirare il problema è utilizzare IP
pubblici differenti sul firewall, uno per client, o usare ip pubblici multipli per i PPTP server. Questo
problema non si ha con connessioni VPN con protocolli diversi. La soluzione a questo problema è
attualmente in sviluppo.
Ridondanza
Il protocollo CARP da OpenBSD gestisce l'hadware failover. Due o più gruppi di firewall
hardware possono essere configurati come un gruppo di failover. Se un'interfaccia si guasta sul dispositivo
primario o il dispositivo primario va offline, il secondo si attiva. pfSense® include anche una capacità di
sincronizzazione automatica tra il dispositivo primario ed il secondario. pfsync assicura che la tabella di
stato del firewall è replicata su tutti firewall inseriti nel failover. Questo significa che le connessioni
esistenti saranno mantenute nel caso di failure.
Limitazioni
Funziona solo con IP pubblici statici, non funziona con stateful fileover usando DHCP, PPPoE o PPTP sulla
WAN.
Bilanciamento di Carico
Bilanciamento di carico in uscita: (Outbound)
Il load balancing in uscita è usato su WAN multiple per fornire il bilanciamento ed il failover. Il traffico è
diretto verso un gateway designato o un pool di bilanciamento di carico definito nelle regole di base
del firewall.
Inbound Load Balancing
Il bilanciamento di carico in ingresso con server web, server di posta e altri. I server che non rispondono
al ping o connessione TCP su porta definita saranno esclusi dal pool.
VPN
connettività VPN, IPsec, OpenVPN, e PPTP.
IPsec
connettività con tutti i dispositivi che supportano lo standard IPsec.
OpenVPN
Opzione OpenVPN per soluzione SSL VPN
PPTP Server
Il server pfSense® PPTP deve poter usare un database locale o un RADIUS server per l'autenticazione.
La compatibilità RADIUS è supportata.
PPPoE Server
server PPPoE.
Gli utenti locali del database posso essere usati per l'autenticazione e l'autenticazione RADIUS con opzioni
di accounting è anche supportata.
Report e Monitoraggio
Grafici RRD. I grafici RRD in pfSense® forniscono le seguenti informazioni:
Utilizzo della CPU
Traffico totale
Stato del firewall
Traffico individuale sulle interfacce
Packets per second rates per tutte le interfacce
Tempo di risposta al ping del gateway dell'interfaccia WAN
Code di traffic shaper sul sistema se il traffic shaper è abilitato
Real Time Information
Le informazioni della storia del sistema sono importanti, ma qualche volta sono più importanti le
informazioni real time. I grafici SVG mostrano il traffico in real time per tutte le interfacce. La pagina
iniziale include grafici AJAX che mostrano il tempo reale il carico della CPU, memoria, swap e spazio disco
usato e la tabella di stato.
DNS Dinamico
Il client di DNS dinamico abilita alla registrazione mediante uno di questi servizi:
DynDNS
DHS
DNSexit
DyNS
EasyDNS
FreeDNS
HE.net
Loopia
Namecheap
No-IP
ODS.org
OpenDNS
ZoneEdit
Captive Portal
Il captive portal permette di forzare l'autenticazione o ridirigere il traffico di rete ad una pagina di
autenticazione di rete. Questo è comunemente usato nelle connessioni di rete hot spot, ma anche
ampiamente usata per livelli di sicurezza aggiuntivi nell'accesso delle reti internet attraverso i sistemi
wireless. Per maggiori informazioni sul Captive Portal si veda questa pagina. Quello che segue è una lista
di funzioni e caratteristiche del Captive Portal.
Connessioni massime concorrenti - Limita il numero delle connessioni concorrenti per ciascun IP client.
Questa funzionalità previene gli attacchi DOS
Idle timeout – Disconnette i client che non effettuano connessioni per più di un certo numero di minuti
Hard timeout – Forza la disconnessione dei client connessi per più di un numero definito di minuti
Pop up di logon – Opzione di pop up della finestra con pulsante di disconnessione
URL Rediretcion – dopo l'autenticazione gli utenti possono essere rediretti verso una pagina di default
definita
MAC Filtering – di default pfSense® usa il filtraggio indirizzi MAC
Opzioni di autenticazione – ci sono tre metodi di autenticazione
Nessuna autenticazione: abilita la navigazione senza l'inserimento di nessun dato
Utenti locali – il database degli utenti locali può essere configurato e usato per l'autenticazione
Autenticazione RADIUS – Questo è il metodo prediletto da aziende, enti ed ISP. Può essere usato con
l'autenticazione di Microsoft Active Directory e numerosi altri server RADIUS
Capacità di RADIUS
Forzare la re-autenticazione
Abilitazione all'aggiornamento degli account
Autenticazione MAC RADIUS abilita il Captive Portal all'autenticazione dei client usando il MAC address e
username e password
Accetta configurazioni ridondanti di RADIUS Server
http e HTTPS – La pagina del portale può essere configurata sia in http che in https
Pass-through MAC and IP addresses – Indirizzi MAC e IP possono essere inseriti in una white list
bypassando il portale
File manager – Questo permette di caricare delle immagini che possono essere utilizzate nella pagina
iniziale del captive portal
DHCP Server and Relay
pfSense® include DHCP Server e funzionalità Relay.
NET WORKING
Q.TA
CODICE
PRODUTTORE
DESCRIZIONE
J9981A
HPE SWITCH ETHERNET 1820-48GV2 4SFP NOPOE L2 RAC-1
GARANZIA A VITA
01
BACKUP E STORAGE
Q.TA
CODICE
PRODUTTORE
DESCRIZIONE
DS216J
NAS SYNOLOGY DS216J X 2HD 3.5"/2.5" SATA2/3>NO HD<DUALCORE
1.0GHZ -DDR3 512MB-1P GIGA-2P USB3.0-SUPP.10 TEL.GAR 2 ANNI
01
WD20PURX
HARD DISK SATA3 3.5" 2000GB(2TB) WD20PURX WD 64MB CACHE
INTELLIPOWER PURPLE 24X7 3 ANNI GARANZIA
02
2 LABORATORIO MOBILE
La seconda parte del progetto intende realizzare un laboratorio mobile integrato che permetta l’utilizzo
direttamente in classe del notebook con una rete wifi specifica e contemporaneamente collegata, tramite la
rete scolastica, al sistema centrale previsto nel punto 1 per poter effettuare le operazioni di autenticazione e
gestione del Web Filtering.
E’ necessario che il carrello abbia dimensioni non superiori a 1,2X0,85 m, per essere facilmente trasportabile
in ascensore, che possa ospitare almeno 30 pc o tablet.
Il sistema prevede i seguenti componenti:
CODICE
PRODUTTORE
Q.TA
DESCRIZIONE
TCBBUSFOUR UNITA’ MOBILE PER NOTEBOOK
NOTEBOOK TABLET NETBOOK COOLING SYSTEM
TeachBus Four è l'unità di ricarica/conservazione per notebook/netbook/tablet
Il sistema è dotato di timer programmabile opzionale per impostare fasi di ricarica
dei dispositivi.
Il trolley ricarica ha due porte anteriori (con sistema di chiusura in sicurezza a chiave
univoca) per l'accesso al vano del dispositivo e due porte con sistema di chiusura in
sicurezza a chiave univoca) per l'accesso al vano di ricarica.
ergonomichè in alluminio.
Il TeachBus è dotato di due ventole per la circolazione forzata di aria e feritoie per la
circolazione naturale dell'aria.
Le unità elettriche possono essere alimentate tramite il Power Management System,
sistema opzionale che permette di regolare la ricarica anche per gruppi di prese
Dotato di piano superiore per un comodo di utilizzo di un notebook o di un proiettore
o di accessori quali stampanti o scanner.
NOTEBOOK STUDENTI
CPU INTEL I3 O ANALOGO AMD
RAM 4GB
HDD 128GB SDD
DISPLAY 15.6"
VGA HD/INTEL HD 5500
WEBCAM
AUDIO E MICROFONO
01
20
DVD RW
LAN E WLAN GIGABIT
WIN10 HOME (64-BIT)
NOTEBOOK DOCENTE
CPU INTEL I5 O ANALOGO AMD
RAM 4GB
HDD 240GB SDD
DISPLAY 15.6"
VGA HD/INTEL HD 5500
WEBCAM
AUDIO E MICROFONO
DVD RW
LAN E WLAN GIGABIT
WIN10 HOME (64-BIT)
01
DWL-2600AP ACCESS POINT D-Link WIRELESS MODELLO: DWL-2600AP; CONNETTIVITÀ:1
N, 100 Mbps; PROTOCOLLI:Supporto VLAN, IPv4; WIRELESS:108 Mbps, 2,4,
Antenna inclusa, Connettore antenne opzionali non presente, Wireless
Security;
CARATTERISTICHE
TECNICHE:Indoor,
Unmanaged
/
Autonomo; GARANZIA: a vita.
J9979A
HPE SWITCH ETHERNET 1820-8GV2 8GBT NOPOE L2 RACK-1
01
01
3 SEGRETERIA
Viene previsto una stazione completa da porre in segreteria come ausilio alla didattica e composta da:
Q.TA
CODICE
PRODUTTORE
P5K00EA
DESCRIZIONE
PC HP 400 G3 30LT P5K00EA BLACK I5-6500 3.2GHZ H110 1X4GBDDR4 500GB
W7PRO/W10PRO-64 ODD GLAN 8USB T+MUSB 3Y
01
246E7QDSW/00 MONITOR PHILIPS LCD PLS LED 23.6" WIDE 5MS 0.272 FHD 1920X1080
1000:1 GLOSSY WHITE VGA DVI HDMI VESA FINO:07/10
01
DS-520
SCANNER EPSON DS-520 GESTIONE DOCUMENTALE A4 CARICAMENTO
DALL'ALTO 30PPM 60IPM ADF 50FG, SUPP A3, USB B11B234401 FINO:30/09
01
Casse per pc
01
Installazione e configurazione
01
SERVIZI
Oltre alla fornitura e alla consegna del materiale si richiede l’installazione completa, la configurazione di tutti i
software, la creazione delle virtual machine, la creazione e la configurazione delle policy di backup e storage,
la configurazione del sistema LTSP e Pfsense web filtering. Inoltre dovrà essere effettuato il test di
funzionamento e la formazione di almeno un referente interno in forza all’istituto sull’utilizzo del sistema e del
laboratorio nel suo complesso.
Tutti i client del laboratorio fisso e mobile, e la postazione segreteria devono essere configurati in modo
adeguato (chiavi in mano).
Servizi Sistemistici Inclusi
1.
2.
aggiornamento firmware server
configurazione interfaccia di management
3.
Test e tuning hardware
4.
Verifiche di compatibilità con l'ambiente operativo dell'Ente (supporto network, ambiente fisico, UPS,
ecc)
5.
Definizione esigenze con il cliente per l'ottimizzazione dei sistemi: vmware, Sistemi Operativi virtuali
Microsoft Windows e/o Linux/Unix;
6.
Installazione ambiente di virtualizzazione vmware
7.
Installazione specifica driver HP per sistema vmware
8.
Installazione di una postazione di management con client di accesso vmware vSphere client
9.
Installazione macchine virtuali necessarie
1. Domain Controller
2. Backup/replica
3. Sw gestionali
10. Client
• Riconfigurazione di tutte le postazioni client per l'accesso al SISTEMA e acquisizione parametri da
server;
• Configurazione tramite Group Policy delle principali configurazioni client
• Migrazione completa dei profili utente locali: desktop, preferiti, archivi di posta, menù windows
11
Centralizzazione dei documenti su repository server
Servizi Sistemistici Sistema di Backup
1. Installazione del sistema software di backup, verifica e test di backup degli oggetti.
2. Implementazione in produzione del sistema di backup.
3. Servizio per tre mesi di monitoraggio, sistema di messaggistica e statistica e di verifica settimanale
dei backup.
Servizi Sistemistici Sistema di networking e security
1. Installazione del sistema di networking e security
2. Configurazione dei sistemi.
3. Implementazione in produzione.
TUTTO IL SISTEMA DA FORNIRE E’ DA INTENDERSI CHIAVI IN MANO QUINDI IL FORNITORE DOVRA’
ATTIVARE TUTTE LE OPERAZIONI NECESSARIE AL FINE DEL CORRETTO FUNZIONAMENTO ANCHE
SE NON ESPLICITAMENTE INDICATE.
Si richiede il possesso per l’anno in corso delle seguenti certificazioni e qualifiche:
VMWARE (SISTEMA DI VIRTUALIZZAZIONE)
• AZIENDA CON CERTIFICAZIONE SOLUTION PROVIDER PROFESSIONAL LEVEL
• N. 2 TECNICI CON CERTIFICAZIONE VMware Technical Solutions Professional (VTSP)
VEEAM (BACKUP AND REPLICATION SYSTEM)
• AZIENDA CON CERTIFICAZIONE SILVER PROPARTNER PROFESSIONAL LEVEL
• N. 2 TECNICI CON CERTIFICAZIONE VEEAM Accredited Engineers – VMTSP
TEMPO DI ESECUZIONE E COLLAUDO ENTRO E NON OLTRE IL 26 OTTOBRE 2016
CONCLUSIONI
La realizzazione del progetto sopra schematizzato porta i seguenti vantaggi:
1 Riutilizzo del materiale informatico esistente
2 Utilizzo di un sistema sicuro nella navigazione e nella protezione dei dati
3 Completezza di gestione ed economicità delle risorse utilizzate
4 Innovazione tecnologica in ambiente scolastico.
5 Facilità ed economicità di mantenimento del sistema
IL DIRIGENTE SCOLASTICO
Dott.ssa Avv. Gigliola TADIELLO
(Firma autografa sostituita a mezzo stampa, ai sensi dell’art. 3, comma 2 del D.Lgs. n. 39/1993)