FEDERAL

SECRETARÍA DE HACIEHOA

SOLICITUD CONTRATACIÓN

MTRO. XXXX XXXXX XXXXXX DIRECTOR GENERAL ADJUNTO ADMINISTRACIÓN Y OPERACIONES. PRESENTE.

Sociedad Hipotecaria Federal

incluye equipo de RED

controladora principal para red inalámbrica, ya que el contrato de servicio, se tiene planeado iniciar la

renovación de equipos a partir del 01 xx xxxxx de 2021, para lo cual la Dirección de Tecnologías de la Información, requiere de la realización de un procedimiento de licitación pública para la Contratación del Servicio Administrado de la RED LAN para SHF; por lo que le solicito su apoyo para llevar a cabo su formalización de acuerdo con lo siguiente: Especificaciones técnicas de la RED LAN.

Descripción de los servicios:

Xxxxxx Xxxxxxx, México,

FEDERAL

Se adjunta a la presente el "Anexo Técnico", el cual contiene los términos de referencia.

Para tales efectos, los plazos para la entrega de los bienes y/o prestación de los servicios, será de 45 meses a partir del 01 xx xxxxx del 2021. Procedimiento de contratación solicitado:

Licitación pública nacional.

La motivación para la contratación se basa en la necesidad de Sociedad Hipotecaria Federal (SHF), e la contratación del Servicio Administrado de Equipos para Infraestructura LAN (Red Área Local), con e

propósito de mantener la comunicación de tanto interna como externa con sus aplicaciones y servicios con el personal que labora en la institución así como lo son sus intermediarios financieros para efecto de mantener acceder de forma íntegra, confidencial y disponible de la información relacionada con sus procesos, con el propósito de asegurar la continuidad del negocio ante eventos de contingencia que pudieran afectar sus operaciones y provocar pérdidas significativas al negocio y su entorno financiero.

Para la Contratación del Servicio Administrado de la RED LAN para SHF, el plazo propuesto se considera de 45 meses, a fin de acceder a precios competitivos en el mercado.

Investigación xx xxxxxxx.

El documento FO-CON-05 Cuadro Comparativo resultado de la investigación xx xxxxxxx realizada, se encuentra incluido en el documento "Estudio xx Xxxxxxx".

Cabe señalar que ninguno de los posibles proveedores está condicionando su propuesta y que con dichas características solicitadas no se limita la libre participación de otros posibles proveedores.

Monto estimado de la contratación:

Xxxxxxxx Xxxxxxxx 000, Xxxxxx, X.X. 00000, Xxxxxx Xxxxxxx. Xxxxxx xx Xxxxxx. Tel: 00 0000 0000 xxx.xxx.xx/xxx

De conformidad con el resultado que arroja la investigación xx xxxxxxx que al efecto se adjunta, el monto estimado de la contratación es de (Treinta y seis millones ochocientos mil quinientos treinta pesos 20/100 M.N.) más el correspondiente Impuesto al Valor Agregado.

El flujo aproximado del ejercicio del presupuesto es el siguiente:

AÑO

IMPORTE X AÑO

2021

2022

2023

2024

TOTAL

Forma de pago propuesta:

El pago se realizará a mes vencido en moneda nacional, por un período de 45 meses con flujo de efectivo de 43 pagos con impoftes fijos, en un plazo no mayor de 20 días naturales contados a partir

de la f ha en que se haya recibido la factura correspondiente, debidamente requisitada, como

SECRET4RÍA DE "AC'ENDA CRÉDITO púBLtco

resultado de la aceptación a entera satisfacción de SHF, de los entregables previamente definidos para estos efectos.

Cabe señalar que, con base en la investigación xx xxxxxxx realizada por la Dirección a mi cargo, he determinado que el precio señalado para la presente contratación se encuentra dentro de los rangos

razonables xx xxxxxxx y resulta conveniente para la Sociedad Hipotecaria Federal, S.N.C. en función de los beneficios que se obtendrán como resultado de llevar a cabo la contratación de mérito.

Partida 31904 (Servicios Integrales de Infraestructura de Cómputo)

Ejercicio 2021

SOCIEDAD HIPOTECAFQIA FEDERAL,

SpN„C.

SUBDIRECCIÓN DE PRESUPUESTO

1 5 ENE

SE CUENTA CON SUACIEINCIA PRESUPUESTAL EN (S) PARTIDA

Xx.Xx. Suficiencia Presupuestal.

El presupuesto a ejercer en los años subsecuentes, estará sujeto a la aprobación del mismo por parte de la Cámara de Diputados

Xxxxxxxx Xxxxxxxx 000, Xxxxxx, X.X. 00000, Xxxxxx Xxxxxxx. Xxxxxx xx Xxxxxx. Tel: 00 0000 0000 xxx.xxx.xx/xxx

Motivación y fundamentación legal.

De conformidad con el artículo 26 fracción I de la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público, someto a su consideración, a efecto de que se sigan los trámites y procedimientos a que haya lugar, la realización de un procedimiento de Licitación Pública, toda vez que esta contratación es necesaria para:

A) Satisfacer la necesidad de Sociedad Hipotecaria Federal, S.N.C., de contar con el Contratación del Servicio Administrado de la RED LAN para SHF, como infraestructura para el manejo de información entre el usuario y el centro de datos, como herramienta esencial, para la integridad, confidencialidad y disponibilidad de la información relacionada con sus

procesos.

B) Atender -la normatividad vigente y aplicable a Sociedad Hipotecaria Federal, S.N.C., en la materia

C) Disminución del riesgo tecnológico, al no realizar un proceso de migración y cambio de proveedor año con año.

Acreditamiento de los criterios del artículo 134 constitucional.

La presente solicitud de llevar a cabo una Licitación Pública Nacional para los servicios requeridos se encuentra fundamentada en el Artículo 134 Constitucional que establece los criterios de economía, eficacia, eficiencia, imparcialidad, honradez y transparencia, conforme a lo siguiente:

Economía.

SHF cuenta con los recursos presupuestales necesarios derivados de su operación, para hacer frente a los compromisos que deriven de la celebración de un contrato, consecuencia del procedimiento de Licitación Pública solicitado, conforme los importes determinados en la Investigación xx Xxxxxxx ( realizada por la Subdirección de Infraestructura Tecnológica, quedando debidamente documentado dentro del correspondiente Estudio xx Xxxxxxx.

Eficacia y eficiencia.

Tal y como se desprende de la Investigación xx Xxxxxxx, para efectuar la contratación de los servicios que refiere la presente solicitud, no resultan aplicables ni el procedimiento de Invitación a cuando menos Tres Personas ni Adjudicación Directa, debido a que en ambos casos se superan los montos de actuación correspondientes establecidos para la Institución y tampoco existe la posibilidad de que

única nte una empresa pueda cumplir con los requerimientos de SHF.

Xxxxxxxx Xxxxxxxx 000, Xxxxxx, X.X. 00000, Xxxxxx Xxxxxxx. Xxxxxx xx Xxxxxx.

Consecuentemente, mediante la instrumentación de la presente contratación a través del procedimiento de Licitación Pública Nacional que se solicita, se satisface el criterio de eficacia, toda vez que representa el procedimiento que, atendiendo la normatividad aplicable, permitirá a SHF la obtención de los servicios requeridos bajo las condiciones más favorables para la Institución.

Por otra parte, el criterio de eficiencia queda de manifiesto, toda vez que con la contratación que se pretende llevar a cabo mediante el proceso licitatorio solicitado, se atenderá de forma automática la necesidad de mantener segura la operatividad de los procesos de las unidades administrativas y sustantivas de la SHF.

Imparcialidad y honradez.

Después de haber realizado el análisis de las distintas alternativas existentes en el mercado, se determinó que el procedimiento de contratación que se solicita es la mejor opción disponible para la SHF, por lo que se ha dado un cabal cumplimiento a los criterios de imparcialidad y honradez en la selección del procedimiento de contratación.

Por otra parte, dentro del Anexo "G" que formará parte de las bases de licitación, se incluyen, para el conocimiento de los interesados, los criterios de evaluación para efectuar la selección del proveedor, con base en el esquema de puntos y porcentajes, de conformidad con los lineamientos emitidos por la Secretaría de la Función Pública y el oficio TU-01/2012.

Transparencia.

El criterio de transparencia se acredita fehacientemente, en virtud de que, en la Investigación xx Xxxxxxx, el flujo de información en todo momento fue accesible, claro, oportuno, completo y verificable para los participantes, información que se encuentra disponible en los archivos correspondientes.

Asimismo, se aporta mayor transparencia al determinarse con la Investigación xx Xxxxxxx el procedimiento de contratación solicitado, en apego a la normatividad establecida en Ley, verificable en todo momento al verse publicado en el sistema COMPRANET, herramienta que la Secretaría de la Función Pública ha puesto a disposición de las instituciones que conforman el Gobierno Federal, como

un mecanismo para brindar transparencia, igualdad y oportunidad de información a los interesados y a la ciudadanía.

Cabe mencionar que la Investigación xx Xxxxxxx, mediante la cuat se determinó la conveniencia de efectuar el procedimiento solicitado para efectuar la contratación de los servicios que SHF requiere, tuvo como sustento, entre otros, las consultas efectuadas al propio sistema COMPRANET.

SECRETORIA DE HACIENDA c RÉDITO PÚBLICO

En términos de los Lineamientos en materia de Adquisiciones, Arrendamientos y Servicios y de Obras públicas y servicios relacionados con las mismas, se precisa la siguiente información:

La dirección de entrega será en el o los domicilios propuestos por el licitante que resulte adjudicado. Se establece además como domicilio de contacto en la Avenida Ejército Nacional 180, 70 Piso, Col. Xxxxxxx, Alcaldía Xxxxxx Xxxxxxx, Ciudad de México, CP 11590, en la Subdirección de Infraestructura Tecnológica, en un horario de lunes a viernes de 9:00 a 19:00 horas.

ll. El Licitante Ganador brindará los servicios correspondientes al Contratación del Servicio Administrado de la RED LAN para SHF, por un periodo de 45 meses a partir de su contratación. Las reuniones de trabajo y las actividades de planeación de la solución podrán realizarse de forma inmediata, una vez realizado el acto de fallo.

III. El servidor público facultado para recibir los servicios, quien será el responsable de su aceptación a satisfacción, su devolución o rechazo y de determinar los incumplimientos en el

Xxxxxxxx Xxxxxxxx 000, Xxx. Xxxxxx, X.X. 00000, Xxxxxx Xxxxxxx, Xxxxxx xx Xxxxxx.

caso de los servicios, así como de hacer cumplir los plazos que se establezcan para tales efectos de acuerdo con estos lineamientos será el Subdirector de Infraestructura Tecnológica.

IV. El tipo de pruebas o verificación física a que se someterán los servicios de acuerdo con lo establecido en el artículo 29 fracción X de la Ley de Adquisiciones, para ser recibidos a satisfacción, así como el responsable de llevarlas a cabo y el tiempo requerido para su realización, el cual no podrá exceder xx xxxx días naturales contados a partir de la entrega de los bienes muebles o la prestación del servicio en el domicilio a que se refiere la fracción I de este lineamiento, se detallan en el anexo técnico.

V. El procedimiento para la devolución o rechazo de los bienes muebles o para determinar los incumplimientos en la prestación de los servicios, lo cual solamente procederá por causas previstas en el contrato respectivo. En caso de incumplimiento, el servidor público facultado para recibir los servicios dará aviso al proveedor y a la Subdirección de Recursos Materiales y Servicios Generales, en el caso de que se deban aplicar penas.

Incumplimiento

El incumplimiento en la prestación de los servicios será comunicado al proveedor a más tardar el día hábil siguiente a aquél en que éste se determine, señalando las razones que lo motivaron, las cuales deberán estar vinculadas a las condiciones establecidas en el contrato, indicando el plazo para su reposición o corrección.

SECRETARIA DE HACIENDA Y CRÉDITO

FACTURAS

Área responsable, lugar y horario para su recepción;

Se entregará a la Subdirección de Recursos Materiales y Servicios Generales, ubicada en Xxxxxxxx Xxxxxxxx 000, Xxxx 0, Xxxxxxx Xxxxxxx, Xxxxxxxxxx Xxxxxx Xxxxxxx, Xxxxxx xx Xxxxxx, de lunes a viernes en días hábiles bancarios, en un horario de 9:00 a 18:00 horas.

ll. Documentos que deberán acompañar a la misma.

La factura correspondiente deberá ir acompañada de los entregables respectivos.

III. El servidor público facultado para validar que las facturas o los documentos que presente el proveedor para su pago, cumplan los requisitos fiscales correspondientes y aquéllos de aceptación del bien mueble o servicio que amparen, quien será responsable de devolver al proveedor la factura o el documento de que se trate, dentro de los tres días hábiles siguientes al de su recepción, comunicándole los errores o deficiencias detectadas; será la Subdirectora de Recursos Materiales y Servicios Generales.

En el caso de que se comunique al proveedor la existencia de errores o deficiencias en la factura o el documento que hubiere presentado, será responsabilidad del proveedor subsanarlos y presentar nuevamente la factura o el documento que reúna los requisitos fiscales correspondientes en el menor tiempo posible.

En ningún caso procederá la devolución de facturas o de los documentos presentados por el proveedor, por errores que no afecten la validez fiscal del documento o por causas imputables a la dependencia o entidad.

Con base en lo anterior, le informo que dicha contratación es indispensable para la realización de las actividades de esta Dirección, por lo que le solicito nuevamente su apoyo para llevar a cabo el procedimiento de contratación respectivo.

Atentamente

ING. XXXXXX XXXXXXX XXXXXX DIRECTOR bE TECNOLOGÍAS DE LA INFORMACIÓN

Xxxxxxxx Xxxxxxxx 000, Xxx. Xxxxxx, X.X. 00000, Xxxxxx Xxxxxxx, Xxxxxx xx Xxxxxx. Tel: 00 0000 0000 xxx.xxx.xx/xxx

C.c.p. Lic. Xxxxx Xxxxx Xxxxxxxx Xxxxxxx. - Director de Administración.

Lic. Xxxxxx Xxxxxx Xxxxxx Xxxxxxxx. - Subdirectora de Recursos Materiales y Servicios Generales.

SOCIEDAD HIPOTECARIA FEDERAL

HACIENDA

SECRETARfo, DE RaclENDA PÚBLICO

Anexo A - Anexo Técnico.

SERVICIO ADMINISTRADO DE EQUIPOS PARA LA INFRAESTRUCTURA DE RED LAN.

1. INTRODUCCIÓN.

1.1 Sociedad Hipotecaria Federal

SHF en una Institución Financiera perteneciente a la Administración Pública Federal, como entidad paraestatal en su carácter de Banca de Desarrollo, su objetivo es impulsar el desarrollo de los mercados primario y secundario de crédito a la vivienda, mediante el otorgamiento de garantías desinadas a la construcción, adquisición y mejora de vivienda, preferentemente de interés social; al incremento de la capacidad productiva y del desarrollo tecnológico relacionados con la vivienda, así como a los financiamientos relacionados con el equipamiento de conjuntos habitacionales.

1 Antecedente

SHF cuenta con equipo de red LAN que incluye switches de acceso, switches centrales capa 3, puntos de acceso y controladora principal para red inalámbrica. SHF se encuentra en un proceso de licitación, ya que el contrato de arrendamiento con el actual proveedor está por finalizar. Se tiene planeado iniciar la renovación de equipos a partir de la firma del contrato.

1.4 Objetivo.

La presente licitación tiene por objeto la contratación plurianual del arrendamiento de equipos para la infraestructura LAN (Red de Área Local) para Sociedad Hipotecaria Federal, conforme las especificaciones técnicas y alcances de.los servicios que se describen en el presente anexo.

1.5 Localidades.

Los servicios objeto de la presente contratación, serán proporcionados en el inmueble de SHF, ubicado en Xxxxxxxx Xxxxxxxx #000, Xxxxxxx Xxxxxxx, Xxxxxx xx Xxxxxx, X.X. 00000,

1 de 60

A - Anexo Técnico,

Delegación Xxxxxx Xxxxxxx.

Y C n EDITO p ú BQCO

Anexo

2. ESPECIFICACIONES DE LOS SERVICIOS SOLICITADOS.

El periodo de contratación de los servicios será de 45 meses. Los equipos de comunicaciones necesarios son Switches Core, Switches de Acceso, Switches para Centro de Datos, Puntos de Acceso Inalámbricos, Controladora Inalámbrica, de acuerdo a lo descrito más adelante.

2.1 Suministro de Infraestructura.

El Licitante acordará con SHF el plan de Suministro de la Infraestructura, estableciendo los tiempos y horarios de entrega. Este plan se detallará en la Fase de Planeación.

El Licitante tendrá un plazo máximo de un mes a partir de la fecha de del fallo, como plazo para ejecutar el suministro al 100% de la infraestructura en las instalaciones de SHE

El plan de Suministro de la Infraestructura deberá de sujetarse a las siguientes actividades:

A - Anexo Técnico,

Entrega de la infraestructura en sitio: El Licitante entregará a SHF la infraestructura en las instalaciones de SHF, la cual deberá cumplir con la totalidad de las especificaciones solicitadas en el presente documento. El Licitante deberá de obtener la firma de conformidad del personal asignado por SHF, que valide el cumplimiento de las características solicitadas. Las características técnicas de la infraestructura están detalladas en el punto 3.

Desempaque de Infraestructura: El Licitante deberá extraer de su empaque la infraestructura que entregará en las instalaciones de SHF para verificar y registrar números de serie de cada uno de los elementos.

Ante la falta de alguno de los elementos solicitados, se considera no aceptable o incompleta la instalación, por lo que no se realizarán los pagos correspondientes a la fase de operación hasta por un máximo de 60 días naturales, después de lo cual se procederá a la rescisión del contrato.

2.2 Transferencia de conocimientos.

CREO ITO PÚBLICO

Anexo

2.3 Atención e Incidentes y Soporte Técnico.

A - Anexo Técnico,

Se requiere que el Licitante proporcione los medios de comunicación necesarios (teléfono local, celular, correo electrónico, mensajería instantánea), para establecer canales confiables de soporte técnico e interacción con el personal de SHF asignado para ello, para la resolución de incidencias de los servicios solicitados.

El Licitante deberá proporcionar el servicio xx Xxxx de Ayuda, el cual deberá tener un esquema El servicio podrá ser prestado vía telefónica o en sitio, de acuerdo a la magnitud del evento.

El servicio de soporte técnico incluye el apoyo a los ingenieros de SHF para: Aclaración de dudas técnicas

Atención de incidentes suscitados en la operación (mantenimiento correctivo) Configuración de los equipos o apoyo en la habilitación de nuevas funcionalidades

El Licitante deberá proporcionar un número telefónico y dirección de correo electrónico de la mesa de ayuda, con el objeto de brindar tanto soporte técnico como levantamiento de los reportes de servicio.

Por cada servicio efectuado, la empresa entregará a SHF un reporte en donde se anotará el número de control asignado y la información necesaria para llevar un adecuado manejo histórico de los servicios atendidos durante la vigencia del contrato; éste reporte será firmado de conformidad por el personal que SHF designe, una vez que el servicio sea completado.

El reporte de servicio deberá ser completado de la siguiente manera:

Número e reporte

Nombre de la Persona responsable por parte de SHF Teléfono Marca del equipo atendido

Número de serie del equipo atendido Clasificación del reporte: servicio, incidente

Descripción de la falla reportada por SHF o del servicio requerido por SHF Nombre de la persona que levanta el reporte por parte de la empresa

A - Anexo Técnico,

Diagnóstico de incidente (si aplica)

CRÉDITO PÚBLICO

Anexo

2.4 Mantenimientos.

Se realizarán las tareas de mantenimiento preventivo y correctivo a la infraestructura de hardware y a las herramientas propias para la administración del servicio que se encuentre bajo contrato, para asegurar y cumplir con los niveles de servicio solicitados.

Para mantenimientos preventivos se programarán en conjunto con SHF con al menos 5 días hábiles de anticipación. El mantenimiento correctivo deberá ser contemplado como parte del servicio durante el tiempo que dure el contrato.

2.1.4 Mantenimiento Preventivo

Se proporcionará un servicio de mantenimiento preventivo a todos los elementos que formen parte de la red LAN, incluyendo el peinado de cables en los IDF's y en los switch Core cada 12 meses y se deberá realizar durante la vigencia del contrato en forma programada.

Se proporcionará un servicio de mantenimiento preventivo cada 6 meses a todos los puntos de acceso inalámbrico, donde se verificará que no existan perdidas de

A - Anexo Técnico,

potencia y con lo cual garantizará el nivel de servicio y la calidad de entrega del mismo a los usuarios.

Las fechas y horarios de ejecución de los servicios de mantenimiento preventivo serán establecidas de común acuerdo entre SHF y el Licitante Ganador, pudiendo ser modificadas por causas de fuerza mayor o por la operación de SHF que imposibilite al Licitante Ganador que se lleve a cabo el servicio.

Las actividades del servicio de mantenimiento preventivo que el Licitante Ganador proponga, deberán contemplar como mínimo:

Chequeo del buen funcionamiento de los equipos ii. Limpieza interna de back planes (aspirado y sopleteado de polvo, chasis). Limpieza de slots y conectores de tarjetas.

iv. Limpieza de gabinete, xxxxxxxx, fuentes de poder y revisión de cables.

x. Xxxxxxx de cableado en los IDF's y Switch Core.

SECRETARIA OE HACIENDA Y FEDERAL

Anexo A - Anexo Técnico.

púBLtcp

un equipo de la misma marca, con características similares o superiores, bajo la supervisión y autorización de SHF.

3. REQUERIMIENTOS.

A continuación, se describe el detalle de las necesidades que deben satisfacerlos servicios solicitados.

El proveedor deberá presentar una propuesta técnica, describiendo la forma en cómo se atienden los requerimientos solicitados, así como los demás términos y condiciones contenidos dentro de este documento. Para ello se deberá apoyar en manuales, hojas técnicas o publicaciones en internet por parte de los fabricantes. Para garantizar el correcto funcionamiento e integración de los componentes, así como la compatibilidad de los mismos, la solución de red alámbrica, red inalámbrica y de control de acceso a la red deberá ser del mismo fabricante.

3.1 Switch de Agregación.

3.1.1 Características Generales

Switch apilable con desempeño mínimo de 2.1 Tbps y 1600 Mpps con arquitectura no bloqueable, aun cuando todas las interfaces estén transfiriendo paquetes a su máxima velocidad.

El equipo deberá tener la capacidad de soportar al menos la siguiente densidad de puertos:

0 48 puertos SFP+ 0 6 puertos QSFP28

0 1 puerto serial DB9. USB 0 mini-USB.

Anexo A - Anexo Técnico%

0 1 puerto 10/100/1000 BASE-T para Administración Fuera xx Xxxxx 0 1 puerto USB para transferencia de archivos

El equipo deberá soportar el siguiente tipo de interfaces:

0 Gigabit Ethernet•. SX, LX, IOOOBASE-T en formato SFP

0 10 Gigabit Ethernet: SR, LR, LRM, ER, y ZR en formatoSFP+, así como solución de cables de cobre preensamblados en cobre o Twinax

0 40 Gigabit Ethernet: SR4, LR4 y solución de cables de cobre preensamblados

o Twinax

especiales para este propósito y poder tener más densidad de puertos si es necesario

El equipo debe soportar fuentes redundantes internas y hot-swap de AC y DC. El equipo deberá soportar al menos un par de ventiladores que sean hot-swap

Se requiere que la entrada del conector de la fuente de energía sean tipo C 14. El equipo deberá estar diseñado para una altura no mayor a una unidad de rack (1 RU)

Soportar al menos 90,000 direcciones MAC Soportar al menos 4094 VLANs

Soporte de Jumbo Frames 9216 Bytes

El equipo debe ser capaz de soportar apilamiento con un ancho xx xxxxx de al menos 600 Gbps por unidad o bien un agregado de al menos 5.4 Tbps El equipo deberá tener capacidad de apilamiento de un mínimo de 9 equipos formando un

Anexo A - Anexo Técnicos

solo switch lógico, que soporte la inserción o retiro de cualquier switch del arreglo en caliente sin afectar la operación del resto de los miembros de

El equipo deberá soportar apilamiento a larga distancia al menos hasta un máximo de 1 km, debido a la distribución de los IDFs que se prevé en un mediano plazo. El equipo deberá soportar la funcionalidad MDI/MDIX

Deberá tener la capacidad de soportar LAGs distribuidos a lo largo de un stack, es decir, que los puertos que lo formen puedan ser miembros de diferentes unidades, proporcionando redundancia y alta disponibilidad, de tal forma que si un miembro del stack es retirado el enlace se mantenga por el resto de los miembros que lo conforman

El equipo deberá de soportar una funcionalidad que cuando esté trabajando en modo de stack, el firmware pueda ser actualizado sin la necesidad de perder los servicios en su totalidad sin causar fuertes afectaciones.

3.1.2 Funcionalidades de Capa 2, Switching

El equipo deberá soportar al menos las siguientes funcionalidades y especificaciones:

Sopofte de IEEE 802. IDSTP

RSTP

Soporte de

Anexo A - Anexo Técnico%

púaL'CO

Soporte de LLDP-MED

Soporte de protocolo de descubrimiento de dispositivos (Discovery Protocol) alterno a LLDP

Soporte de Remote Fault Notification

Deberá soportar un protocolo o mecanismo cuya funcionalidad sea la de evitar loops basado en anillos o similar, alternativo a cualquiera de las modalidades de STP (RSTP o MSTP), esto con la finalidad de brindar un tiempo de convergencia menor a los antes descritos.

Soportar una modalidad o mecanismo en la cual, dos switches puedan comportarse y verse como uno solo lógico, de tal forma que puedan tener conexiones a un mismo equipo o dispositivo de red en forma de un LAG distribuido, generando un esquema de redundancia.

Soporte de PIM-SM v2 Snooping

Soporte de GVRP (Generic VLAN Registration Protocol) o Multicast VLAN Registration (MVR)

Soporte de IEEE 802. IQ VLAN Tagging

Soporte de VLANs basadas por Puerto y Privadas Soporte de Q-in-Q o vMANs. Capacidad de generar sesiones de espejeo de tráfico, desde un puerto o VLAN de origen hacia un puerto de destino, para propósitos de monitoreo e inspección de tráfico, con capacidad de filtrar el tráfico de monitoreo por ACLs o algún otro mecanismo. Dicha funcionalidad también deberá de estar disponible para hacer el monitoreo del tráfico de un equipo remoto o VLAN remota.

Soporte de IGMP Snooping vllv21v3 o Soporte de IGMP v21v3 Fast Leave Soporte de MLD Snooping vl/v2

Soporte de Root Guard o similar Soporte de BPDU Guard o Protection Soporte de UDLD

Soporte de Cisco Discovery Protocol (CDP)

Soporte del estándar IEEE 802. IBR con la finalidad de soportar la extensión de equipos a lo largo de un campus y estos puedan gestionarse como una sola entidad.

Anexo A - Anexo Técnicos

3.1.3 Funcionalidades de Clasificaciónde Tráfico, Calidad de

Soporte de

Anexo A - Anexo Técnicos

PÚBLICO

Soporte de DiffServ

Soportar filtros o algún mecanismo de políticas para la clasificación de tráfico y marcado de los siguientes parámetros:

0 ToS/DSCP 0 802.1p o Mapeo de Direcciones MAC a colas de prioridad

Soporte de rate-limit line-rate basado en hardware

Soportar aplicación de filtros o políticas para definir rate limit tanto fijo como flexible (adaptado)

Deberá soportar algún mecanismo que permita la contabilidad de bytes y paquetes que hagan correspondencia al tráfico clasificado por los filtros o políticas empleadas.

Soporte de rate shaping

Soporte de algún mecanismo que permita el control y limitación cuando se alcanzan altas tazas de tráfico de unicast, broadcast y multicast

Soporte de algún mecanismo que pueda limitar el tráfico excesivo o innecesario al CPU del equipo como medida de protección, tales como ARP broadcast, TTL, MTU, entre otros.

Soporte de la especificación RFC 2698 A Two Rate, Three Color

3.1.4 Funcionalidades de Capa 3

Ruteo estático IPv4 e IPv6

Soporte e inclusión de licencias para el soporte de IPv6, en caso de que el equipo a ofertar lo requiera.

Deberá soportar al menos 120,000 rutas en hardware Soporte de ECMP

Soporte de VRRP para IPv4 e IPv6 con licenciamiento adicional Soporte de OSPFv2/v3 con licenciamiento adicional

Soporte de

Anexo A - Anexo Técnico.

Soporte de RIPv1 y RIPV2

Soporte de RIPng Soporte de BOOTP/DHCP relay y DHCP

server

RFC 2460 — Internet Protocol,Version 6 (IPv6) Specification

RFC 2464 — Transmission of IPv6 Packets over Ethernet Networks

RFC 3513 — Internet Protocol Version 6 (IPv6) Addressing Architecture RFC 4862 — IPv6 Stateless Address Auto Configuration

3.1.5 Funciones de Seguridad

Soportar e incluir las siguientes funcionalidades:

El equipo deberá contar con algún mecanismo de protección contra ataques DOS Soporte de ACLs en lpv6

Soporte de ACLs estándar y extendidas

Soporte de

Anexo A - Anexo Técnicos

Deberá de soportar al menos 6,000 reglas de listas de control de acceso para garantizar la seguridad de la red.

Poseer un mecanismo que sea capaz de enviar mensajes o logs sobre el tráfico que es negado y permitido por una ACL

El equipo debe soportar múltiples métodos de autenticación: 802. IX, MAC y Web Autenticación de múltiples usuarios por 802. IX en el mismo puerto.

Soporte de un mecanismo doble de autenticación sobre el mismo puerto basado en 802. IX y MAC, permitiendo que un dispositivo sea validado por el mecanismo de autenticación que soporte.

Deberá soportar la asignación de un perfil de políticas o filtro de ACL cuando un usuario sea autenticado mediante 802. IX.

Deberá soportar la asignación de un perfil de políticas o filtro de ACL cuando un usuario sea autenticado mediante su dirección MAC.

Deberá soportar una funcionalidad la cual sea capaz de mitigar o bloquear mensajes de DHCP de equipos que intentan anunciarse como servidores inválidos o maliciosos.

Soportar una funcionalidad que pueda limitar el número de direcciones MAC permitidas por puerto, o bien definir una determinada lista de direcciones MAC permitidas, y en caso de que se registre alguna violación o evento, se deberá desencadenar una acción tal como enviar un mensaje vía Syslog, trap SNMP e inclusive hasta llegar a deshabilitar el puerto en donde se presente el evento.

Soporte de RADIUS, TACACS/TACACS+ con autenticación, autorización y contabilidad (AAA)

Deberá soportar la funcionalidad de transparencia ante el paso de paquetes EAP. Soporte de SSL.

Soporte de MAC Accounting

AAA para control y ejecución de comandos a nivel consola definir el formato de una dirección MAC que se envía a un

Soporte de

Capacidadpara

PúELtco

Soportar los siguientes mecanismos o configuración de parámetros sobre sesiones de SSH:

El valor de timeout

Valor del puerto sobre el que se reciben conexiones Número de reintentos permitidos

Tiempo máximo de uso de una sesión sin que la misma tenga actividad alguna u ociosa.

Soportar los siguientes filtros de seguridad o criterios para las conexiones de usuarios que administren el equipo al menos para los accesos vía Telnet, Web y SNMP:

Por dirección IP fuente

Por VLAN

Por listas de control de acceso

Soporte de MACsec con codificación en 128/256 bit Soporte de las siguientes especificaciones:

RFC 2866 - RADIOS Accounting RFC 2865 -RADIUS Authentication

RFC 2868 - RADIUS Attributes for Tunnel Protocol Support

RFC 2869 - RADIUS Extensions

RFC 4432 - RSA Key Exchange for the Secure Shell (SSH) Transport Layer Protocol RFC 2560 -X. 509 Internet Public Key Infrastructure Online Certificate Status Protocol

- OCSP

RFC 5280 — Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

Soporte de

Anexo A - Anexo Técnicos

RFC 6668 — SHA-2 Data Integrity Verification for the Secure Shell (SSH) Transport Layer Protocol

RFC 6614 - Transport Layer Security (TLS) Encryption for RADIOS

3.1.6 Funcionalidades de Administración

Soportar e incluirlas siguientes

funcionalidades:

de caracteres alfanuméricos, así como especiales, uso de letras minúsculas

y mayúsculas.

o Poder validar que cuando se tenga que renovar la contraseña de una cuenta local de administración, el sistema sea capaz de evitar que emplee alguna reciente, dicho parámetro o histórico de contraseñas podrá ser configurado.

Soporte de autoconfiguración o aprovisionamiento automático, es decir, deberá tener la funcionalidad de poder recibir mediante un proceso automático una IP de gestión y una configuración base de algún servidor TFTP y/o DHCP por ejemplo. Administración vía Telnet, SSH, SNMP.

Soporte de sFlow o NetFlow, cualquiera de los dos anteriores deberá soportarse para IPv4 e IPv6 Soporte de TFTP

Soporte de SCP 0 SFTP

Soporte de Syslog para envío de al menos a 4 servidores

El equipo deberá contar con un buffer local para almacenamiento de logs de al menos 2000 líneas.

El equipo deberá tener la capacidad de enviar logs cuando un usuario administrador ingresa o deja la sesión de este registrando al menos la siguiente información:

o Nombre del usuario o Fecha y hora o Si el usuario ingresó o dejó la sesión

Soportar algún mecanismo que permita la creación y ejecución de tareas que incluyan un conjunto de comandos que puedan ser ejecutados de forma calendarizada, con la finalidad de ahorrar tiempo a los usuarios administradores en la ejecución de rutinas. Esta funcionalidad debe ser nativa al sistema operativo del equipo y no deberá ser provista por alguna herramienta externa.

Deberá soportar la funcionalidad de reportar el estatus del cable conectado a los puertos del switch, reportando parámetros del cableado y longitud de este.

Soporte de SNMPv1/v2/v3 Soporte de RMON

Soporte de gestión vía HTTP y HTTPS Soporte de las siguientes especificaciones:

17 de 60

Anexo A - Anexo Técnico.

RFC 1901 — Introduction to Community-based SNMPv2

RFC 1905 - Protocol Operations for Version 2 of the Simple Network Management Protocol (SNMPv2)

o RFC 2576 CoexistencebetweenSNMP Version 1, Version 2 andVersion 3

of the Internetstandard NetworkManagement Framework

CR EDITO

3.1.7 Funcionalidades Especiales

Funcionalidad para configurar un modelo de Redes Definidas por Software (SDN) mediante la especificación de estándar abierto OpenFlow 1.3, con el cual desde un Sistema Controlador se manipulen los flujos de datos para que de forma dinámica se configuren las tablas de flujos, esto con el fin de ser implementados en un futuro sin necesidad de cambiar el equipo.

Soporte dual o híbrido de poder trabajar en un mismo puerto físico el control de datos vía flujos por SDN y al mismo tiempo reenvío de tráfico convencional en capa 2 y capa 3.

El equipo deberá de soportar mecanismos para (a automatización de tareas o procesos para su integración con herramientas de uso libre tales como Puppet, Ansible o similares.

3.1.8 Especificaciones a cumplir y Condiciones de Operación

Rango de Temperatura de Operación: 0 0 C a 45 0 C

Humedad en condiciones operativas: IO — 90 % Humedad relativa no condensada Altura en condiciones operativas: 0 — 2800 m

Tener una disipación máxima de 1700 BTU/hr

Anexo A - Anexo Técnico.

Tener un MTBF (Mean Time Between Failure) de al menos 250,000 horas UL 60950-1

FCC Class A (Part 15)

EN 60825-1 (Lasers Safety)

EN 55022 Class A

EN 00000-0-0 (Harmonics)

EN 00000-0-0 (Flicker)

CISPR 22

IEC 60950-1 EN

00000-0-0 vccl Class A RoHS- compliant 2011/65/EU

2012/19/EU

94/62/EC

2006/66/EC

1907/2006

OE CRÉDITO

Anexo A - Anexo Técnico.

3.2 Switch Multigigabit - Centro de Datos

3.2.1 Características Generales

Switch apilable con desempeño mínimo de 888 Gbps y 660 Mpps con arquitectura no bloqueable, aun cuando todas las interfaces estén transfiriendo paquetes a su máxima velocidad.

El equipo deberá tener la capacidad de soportar al menos la siguiente densidad de puertos:

0 24 puertos 10/100/1000 PoE+

0 24 puertos 1/2.515/10 GbE PoE+/P0H

0 2 puertos QSFP+ 0 2 puertos

SFP+ 0 1 puerto QSFP28

0 1 puerto serial DB9. USB 0 mini-USB.

0 1 puerto 0000 0000000 BASE-T para Administración Fuera xx Xxxxx 0 1 puerto USB para transferencia de archivos

El equipo deberá soportar el siguiente tipo de interfaces:

0 Gigabit Ethernet: SX, LX, IOOOBASE-T en formato SFP

0 10 Gigabit Ethernet: SR, LR, LRM, ER, y ZR en formato SFP+, así como solución de cables de cobre preensamblados en cobre o Twinax

0 40 Gigabit Ethernet: SR4, LR4 y solución de cables de cobre preensamblados o Twinax

0 100 Gigabit Ethernet: SR4, LR4 y solución de cables de cobre preensamblados o Twinax

El equipo debe soportar fuentes redundantes y hot-swap de AC

El equipo deberá soportar al menos un par de ventiladores que sean hot-swap Se requiere que la entrada del conector de la fuente de energía sean tipo C14.

Soporte de los estándares IEEE 802.3af I at así como POH o IEEE 802.3bt El equipo deberá de poseer la capacidad de soportar al menos 1000 W para el aprovisionamiento total xx XXX.

El equipo deberá estar diseñado para una altura no mayor a una unidad de rack (1 RU)

Soportar al menos 70,000 direcciones MAC

Anexo A - Anexo Técnico.

Soportar al menos 0000 XXXXx

Xxxxx X - Xxxxx Técnico%

El equipo deberá de soportar una funcionalidad que cuando esté trabajando en modo de stack, el firmware pueda ser actualizado sin la -necesidad de perder los servicios en su totalidad sin causar fuertes afectaciones.

3.2.2 Funcionalidades de Capa 2, Switching

El equipo deberá soportar al menos las siguientes funcionalidades y especificaciones: Soporte de IEEE 802. ID STP Soporte de IEEE 802. lw RSTP

Soporte de IEEE 802. Is MSTP

Soporte de PVST+, Per VLAN STP

Deberá soportar al menos 254 instancias de STP.

Soporte de IEEE 802.3ad LACP u 802.1 AX, con la capacidad de al menos 128 grupos de agregación y 8 puertos por cada grupo o LAG, no se aceptan protocolos propietarios.

Soporte de IEEE 802. IAB - LLDP Link Layer Discovery Protocol Soporte de LLDP-MED

Soporte de protocolo de descubrimiento de dispositivos (Discovery Protocol) alterno a LLDP

Soporte de Remote Fault Notification

Anexo A - Anexo Técnico.

VLAN Registration Protocol) Multicast

Soporte de GVRP (Generic Registration (MVR) Soporte de IEEE

Soporte de VLANs basadas por Soporte de Q-in-Q o vMANs. Capacidad de generar sesiones de origen hacia un puerto de

DE CR EDITO

tráfico, con capacidad de filtrar el tráfico de monitoreo por ACLs o algún otro mecanismo. Dicha funcionalidad también deberá de estar disponible para hacer el monitoreo del tráfico de un equipo remoto o VLAN remota. Soporte de IGMP Snooping vllv2/v3

Soporte de IGMP v21v3 Fast Leave

Soporte de MLD Snooping vl/v2 Soporte de Root Guard o similar Soporte de BPDU Guard o Protection Soporte de UDLD

Soporte de Cisco Discovery Protocol (CDP)

Soporte del estándar IEEE 802. IBR con la finalidad de soportar la extensión de equipos a lo largo de un campus y estos puedan gestionarse como una sola entidad.

Anexo A - Anexo Técnico%

3-2.3 Funcionalidades de Clasificación de Tráfico, Calidad de Servicio y Administración de Tráfico

Contar con al menos 8 colas de prioridad (queues) y soportar los siguientes algoritmos de encolamiento: WRR (Weighted Round Xxxxx), SP (Xxxxxx Priority), o una combinación de ambos. Soporte de IEEE 802. lp

Soporte de DiffServ

Soportar filtros o algún mecanismo de políticas para la clasificación de tráfico y marcado de los siguientes parámetros:

0 ToS/DSCP

Mapeo de Direcciones MAC a colas de prioridad Soporte de rate-limit line-rate basado en hardware

Soportar aplicación de filtros o políticas para definir rate limit tanto fijo como flexible (adaptado)

Deberá soportar algún mecanismo que permita la contabilidad de bytes y paquetes que hagan correspondencia al tráfico clasificado por los filtros o políticas empleadas. Soporte de rate shaping

Soporte de algún mecanismo que permita el control y limitación cuando se alcanzan altas tazas de tráfico de unicast, broadcast y multicast

Soporte de algún mecanismo que pueda limitar el tráfico excesivo o innecesario al CPU del equipo como medida de protección, tales como ARP broadcast, TL,

MTU, entre otros.

Soporte de

SECRETARIA DE HACIENDA

Anexo A - Anexo Técnico.

3.2.4 Funcionalidades de Capa 3

Ruteo estático IPv4 e IPv6

Soporte e inclusión de licencias para el soporte de IPv6, en caso de que el equipo a ofertar lo requiera.

Deberá soportar al menos 120,000 rutas en hardware Soporte de ECMP

Soporte de VRRP para IPv4 e IPv6 con licencia adicional Soporte de OSPFv2/v3 con licencia adicional

Soporte de RIPv1 y RIPV2

Soporte de RIPng

Soporte de BOOTP/DHCP relay y DHCP server

Soporte de PIM-SM, PIM-SSM y PIM-DM con licencia adicional Soporte de Policy Based Routing con licencia adicional Soporte de BGP4 y BGP4+ con licencia adicional

Soporte de VRF en IPv4 e IPv6 con licencia adicional Soporte de VRRP en IPv4 e IPv6 con licencia adicional Soporte de GRE con licencia adicional

Soporte de las siguientes especificaciones para IPv6 o Soporte de SNMPv3 sobre IPv6 o RFC 2460 — Internet Protocol,Version 6 (IPv6) Specification o RFC 2464 — Transmission of IPv6 Packets over Ethernet Networks o RFC 3513 — Internet Protocol Version 6 (IPv6) Addressing Architecture o RFC 4862 — IPv6 Stateless Address Auto Configuration

3.2.5 Funciones de Seguridad

Soportar e incluir las siguientes funcionalidades:

El equipo deberá contar con algún mecanismo de protección contra ataques DOS

Soporte de ACLs en IPv6

Soporte de ACLs estándar y extendidas

Deberá de soportar al menos 6,000 reglas de listas de control de acceso para garantizar la seguridad de la red.

Anexo A - Anexo Técnico%

Poseer un mecanismo que sea capaz de enviar mensajes o logs sobre el tráfico que

es negado y permitido por una ACL El equipo debe soportar múltiples Autenticación de múltiples usuarios

por Soporte de un mecanismo doble en 802. IX y MAC, de autenticación que soporte.

Deberá soportar la asignación de usuario sea autenticado mediante

HACIENDA HIPOTECARIA

OE HACIENDA CRÉDITO FEDERAL

púBL'C0

Anexo A - Anexo Técnico.

Deberá soportar la asignación de un perfil de políticas o filtro de ACL cuando un usuario sea autenticado mediante su dirección MAC.

Deberá soportar una funcionalidad la cual sea capaz de mitigar o bloquear mensajes de DHCP de equipos que intentan anunciarse como servidores inválidos o maliciosos.

Soporte de RADIUS, TACACS/TACACS+ con autenticación, autorización y contabilidad (AAA)

Deberá soportar la funcionalidad de transparencia ante el paso de paquetes EAP. Soporte de SSL.

Soporte de MAC Accounting

Soporte de AAA para control y ejecución de comandos a nivel consola Capacidad para definir el formato de una dirección MAC que se envía a un servidor RADIOS.

Soporte de RADIOS sobre TLS Soporte de AES con SSHv2 y SNMPv3

Soportar los siguientes mecanismos o configuración de parámetros sobre sesiones de SSH:

o El valor de timeout o Valor del puerto sobre el que se reciben conexiones o Número de reintentos permitidos o Tiempo máximo de uso de una sesión sin que la misma tenga actividad alguna u ociosa.

Soportar los siguientes filtros de seguridad o criterios para las conexiones de usuarios que administren el equipo al menos para los accesos vía Telnet, Web y SNMP:

o Por dirección IP fuente 0 Por VLAN

Anexo A - Anexo Técnico%

o Por listasde control de acceso

Soporte de la especificación IEEE 802.1AE (MACsec)

RFC 2560 - Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP

RFC 5280 — Internet )(.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

RFC 6668 — SHA-2 Data Integrity Verification for the Secure Shell (SSH) Transport Layer Protocol

FC 6614 — Transport Layer Security (TLS) Encryption for RADIUS

3.2.6 Funcionalidades de Administración

Soportar e incluir las siguientes funcionalidades:

Administración vía línea de comandos

Soporte de al menos 3 niveles de tipo de cuenta de usuario local administrador. Soporte de al menosM5 cuentas locales de usuario administrador.

Las cuentas locales de administrador deberán tener las siguientes funcionalidades de seguridad o mecanismos soportados:

o Una cuenta deberá bloquearse al menos después de 3 intentos fallidos, y podrá ser configurado para que este valor pueda ser diferente.

o La contraseña de las cuentas deberá tener la capacidad de observar los siguientes lineamientos: Al menos 8 caracteres, empleo de combinaciones

28 de 60

Anexo A - Anexo Técnico-

de caracteres alfanuméricos, así como especiales, uso de letras minúsculas y mayúsculas.

Administración vía Telnet, SSHI SNMP. Soporte de sFlow o NetFlow, para IPv4 e IPv6

t,' PÚBLICO

29 de 60

Anexo A - Anexo Técnico%

en la ejecución de xxxxxxx. Esta funcionalidad debe ser nativa al sistema operativo del equipo y no deberá ser provista por alguna herramienta externa.

Deberá soportar la funcionalidad de reportar el estatus del cable conectado a los puertos del witch, reportando parámetros del cableado y longitud de este, Soporte de SNMPv1

Soporte de RMON

Soporte de gestión vía HTTP y HTTPS Soporte de la especificación IEEE 802.3ah

Soporte de la funcionalidad EEE (Energy Efficient Ethernet) o similar. Soporte de las siguientes especificaciones:

0 RFC 1901 — Introduction to Community-based SNMPv2 o RFC 1905 - Protocol Operations for Version 2 of the Simple Network

Management Protocol (SNMPv2) o RFC 2576 Coexistence between SNMP Version 1, Version 2 and Version 3 of the Internet standard Network Management Framework o RFC 1155 Structure of Management Information (SMIv1) 0 RFC 5905 - Network Time Protocol v4

3.2.7 Funcionalidades Especiales

Soporte dual o híbrido de poder trabajar en un mismo puerto físico el control de datos vía flujos por SDN y al mismo tiempo reenvío de tráfico convencional en capa 2 y capa 3.

El equipo deberá de soportar mecanismos para la automatización de tareas o procesos para su integración con herramientas de uso libre tales como Puppet, Ansible o similares.

30 de 60

Anexo A - Anexo Técnico-

h' Púa L!CO

Tener un MTBF (Mean Time Between Failure) de al menos 200,000 horas UL 60950-1

FCC Class A (Part 15) EN 60825-1 (Lasers Safety)

EN 55022 Class A

EN 00000-0-0 (Harmonics)

EN 00000-0-0 (Flicker)

CISPR 22

IEC 60950-1 EN

00000-0-0 vccl Class A RoHS- compIiant 2011/65/EU

2012/19/EU

94/627EC

2006/66/EC

1907/2006

3.3 Switch Acceso 48 Puertos XxX

3.3.1 Características Generales

Switch apilable con desempeño mínimo de 336 Gbps y 250 Mpps con arquitectura no bloqueable, aun cuando todas las interfaces estén transfiriendo paquetes a su máxima velocidad.

El equipo deberá tener la capacidad de soportar al menos la siguiente densidad de puertos:

0 48 puertos 10/100/1000 BASE-T PoE+

0 4 puertos SFP/SFP+

Anexo A - Anexo Técnico.

0 2 puertos QSFP+

0 1 puerto serial DB9. USB o mini-USB.

0 1 puerto 10/100/1000 BASE-T para Administración Fuera xx Xxxxx 0 1 puerto USB para transferencia de archivos

El equipo deberá soportar el siguiente tipo de interfaces:

0 Gigabit Ethernet: SX, LX, BX, IOOOBASE-T en formato SFP

0 10 Gigabit Ethernet: SR, LR, LRM, ER, y ZR en formato SFP+, así

como solución de cables de cobre preensamblados en cobre o Twinax

de cables de cobre

0 40 Gigabit Ethernet: XX0, XX0 y solución preensamblados o Twinax

El equipo debe soportar fuentes El equipo deberá soportar

p üBLtco

Se requiere que la entrada del conector de la fuente de energía sean tipo C14. Soporte de los estándares IEEE 802.3af I at Soporte de Pol* 0 IEEE 802.3bt El equipo deberá de poseer la capacidad de soportar al menos 1000 W para el aprovisionamiento total xx XXX.

El equipo deberá estar diseñado para una altura no mayor a una unidad de rack (1 RU)

Soportar al menos 30,000 direcciones MAC Soportar al menos 4094 VLANs

Soporte de Jumbo Frames 9216 Bytes

Anexo A - Anexo Técnico-

El equipo debe ser capaz de soportar apilamiento con un ancho xx xxxxx de al menos 80 Gbps por unidad o bien un agregado de al menos 720 Gbps El equipo deberá tener capacidad de apilamiento de un mínimo de 9 equipos formando un solo switch lógico, que soporte la inserción o retiro de cualquier switch del arreglo en caliente sin afectar la operación del resto de los miembros de la pila. El equipo deberá soportar apilamiento a larga distancia al menos hasta un máximo de 1 km, debido a la distribución de los IDFs que se prevé en un mediano plazo.

El equipo deberá soportar la funcionalidad MDI/MDIX

3.3.2 Funcionalidades de Capa 2, Switching

El equipo deberá soportar al menos las siguientes funcionalidades y

PÚBLICO

Anexo A - Anexo Técnico.

Soporte de protocolo de descubrimiento de dispositivos (Discovery Protocol) alterno a LLDP

Soporte de Remote Fault Notification

Soporte de GVRP (Generic VLAN Registration Protocol) o Multicast VLAN Registration (MVR)

Soporte de IEEE 802. IQ VLAN Tagging

Soporte de VLANs basadas por Puerto y Privadas Soporte de Q-in-Q o vMANs.

Capacidad de generar sesiones de espejeo de tráfico, desde un puerto o VLAN de origen hacia un puerto de destino, para propósitos de monitoreo e inspección de tráfico, con capacidad de filtrar el tráfico de monitoreo por ACLs o algún otro mecanismo. Dicha funcionalidad también deberá de estar disponible para hacer el monitoreo del tráfico de un equipo remoto o VLAN remota. Soporte de IGMP Snooping vllv21v3

Soporte de IGMP v21v3 Fast Leave Soporte de MLD Snooping vllv2 Soporte de Root Guard o similar Soporte de BPDU Guard o Protection Soporte de UDLD

Soporte de Cisco Discovery Protocol (CDP)

Soporte del estándar IEEE 802. IBR con la finalidad de soportar la extensión de equipos a lo largo de un campus y estos puedan gestionarse como una sola entidad.

3.3.3 Funcionalidades de Clasificación de Tráfico, Calidad de Servicio y Administración de Tráfico

Soporte de DiffServ

Soportar filtros o algún mecanismo de políticas para la clasificación de tráfico y marcado de los siguientes parámetros:

Anexo A - Anexo Técnico-

Soporte de rate-limit line-rate basado en hardware

Soportar aplicación de filtros o políticas para definir rate limit tanto fijo como flexible (adaptado)

Deberá soportar algún mecanismo que permita la contabilidad de bytes y paquetes que hagan correspondencia al tráfico clasificado por los filtros o políticas empleadas.

Soporte de rate shaping

Soporte de algún mecanismo que permita el control y limitación cuando se alcanzan altas tazas de tráfico de unicast, broadcast y multicast

Soporte de algún mecanismo que pueda limitar el tráfico excesivo o innecesario al CPU del equipo como medida de protección, tales como ARP broadcast, TTL,

MT U, entre otros.

Soporte de la especificación RFC 2698 A Two Rate, Three Color Soporte de PFC (Priority-based Flow Control)

Anexo A - Anexo Técnico.

3.3.4 Funcionalidades de Capa 3

Ruteo estático IPv4 e IPv6

Soporte e inclusión de licencias para el soporte de IPv6, en caso de que el equipo a ofertar lo requiera.

Deberá soportar al menos 15,000 rutas en hardware Soporte de ECMP

Soporte de VRRP para IPv4 e IPv6 Soporte de OSPFv2/v3 Soporte de RIPv1 y RIPV2

Soporte de RIPng

Soporte de BOOTP/DHCP relay y DHCP server Soporte de PIM-SM, PIM-SSM y PIM-DM Soporte de Policy Based Routing

Soporte de BGP4 y BGP4 + Soporte de VRF en IPv4 e IPv6 Soporte de VRRP en IPv4 e IPv6

Soporte de las siguientes especificaciones para IPv6:

Soporte de SNMPv3 sobre IPv6

0 RFC 2460 - Internet Protocol,Version 6 (IPv6) Specification o RFC 2464 — Transmission of IPv6 Packets over Ethernet Networks o RFC 3513 — Internet Protocol Version 6 (IPv6) Addressing Architecture o RFC 4862 — IPv6 Stateless Address Auto Configuration

3.3.5 Funcionesde Seguridad

HACIENDA SOCIEDAD HIPOTECARIA

HACIENDA CRÉDITO FEDERAL

Anexo A - Anexo Técnico.

SECRETAAíá OE

Soporte de ACLs estándar y extendidas

Deberá de soportar al menos 6,000 reglas de listas de control de acceso para garantizar la seguridad de la red.

Poseer un mecanismo que sea capaz de enviar mensajes o logs sobre el tráfico que es negado y permitido por una ACL

El equipo debe soportar múltiples métodos de autenticación: 802. IX, MAC y Web Autenticación de múltiples usuarios por 802. IX en el mismo puerto.

Soporte de un mecanismo doble de autenticación sobre el mismo puerto basado en 802. IX y MAC, permitiendo que un dispositivo sea validado por el mecanismo de autenticación que soporte.

Deberá soportar la asignación de un perfil de políticas o filtro de ACL cuando un usuario sea autenticado mediante 802. IX.

Deberá soportar la asignación de un perfil de políticas o filtro de ACL cuando un usuario sea autenticado mediante su dirección MAC.

Deberá soportar una funcionalidad la cual sea capaz de mitigar o bloquear mensajes de DHCP de equipos que intentan anunciarse como servidores inválidos o maliciosos.

Soporte de RADIUS, TACACS/TACACS+ con autenticación, autorización y contabilidad (AAA)

Deberá soportar la funcionalidad de transparencia ante el paso de paquetes EAP. Soporte de SSL.

Soporte de MAC Accounting

Anexo A - Anexo Técnico.

Soporte de AAA para control y ejecución de comandos a nivel consola Capacidad para definir el formato de una dirección MAC que se envía a un servidor RADIUS. Soporte de RADIUS sobre TLS

Soporte de AES con SSHv2 y SNMPv3

Soportar los siguientes mecanismos o configuración de parámetros sobre sesiones de SSH:

El valor de timeout o Valor del puerto sobre el que se reciben conexiones o Número de reintentos permitidos o Tiempo máximo de uso de una sesión sin que la misma tenga actividad alguna u ociosa.

Pú8Ltco

Por dirección IP fuente 0 Por VLAN o Por listas de control de acceso Soporte de la especificación IEEE 802. IAE (MACsec )

Soporte de las siguientes especificaciones:

0 RFC 2866 - RADIUS Accounting

0 RFC 2865 - RADIUS Authentication

0 RFC 2868 - RADIUS Atributes for Tunnél Protocol Support

0 RFC 2869 - RADIUS Extensions

0 RFC 4432 - RSA Key Exchange for the Secure Shell (SSH) Transport Layer Protocol

RFC 2560 - X.509 Internet Public Key Infrastructure Online Certificate Status Protocol — OCSP

Anexo A - Anexo Técnico.

RFC 5280 — Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

0 RFC 6668 - SHA-2 Data Integrity Verification for the Secure Shell (SSH) Transport Layer Protocol

0 RFC 6614 - Transport Layer Security (TLS) Encryption for RADIOS RFC 5996 - Internet Key Exchange Protocol Version 2 (IKEv2)

0 RFC 4303 IP Encapsulating Security Payload (ESP)

0 RFC 5903 Elliptic Curve Groups Modulo a Prime (ECP Groups) for XXX and

IKEv2

RFC 4754 IKEv2 Authentication Using the Elliptic Curve Digital Signature Algorithm (ECDSA)

3.3.6 Funcionalidades de Administración

Soportar e incluir las siguientes funcionalidades:

Administración vía línea de comandos

Soporte de al menos 3 niveles de tipo de cuenta de usuario local administrador. Soporte de al menos 15 cuentas locales de usuario administrador.

Las cuentas locales de administrador deberán tener las siguientes funcionalidades de seguridad o mecanismos soportados:

Una cuenta deberá bloquearse al menos después de 3 intentos fallidos, y podrá ser configurado para que este valor pueda ser diferente.

La contraseña de las cuentas deberá tener la capacidad de observar los siguientes lineamientos: Al menos 8 caracteres, empleo de combinaciones de caracteres alfanuméricos, así como especiales, uso de letras minúsculas y mayúsculas.

Anexo A - Anexo Técnico.

Poder

renovar la contraseña de una

validar que cuando se tenga que local de administración, reciente, dicho parámetro o

púBL!CO

Administración vía Telnet, SSH, SNMP.

Soporte de sFlow o NetFlow, cualquiera de los dos anteriores deberá soportarse para IPv4 e IPv6 Soporte de TFTP

Soporte de SCP 0 SFTP

Soporte de Syslog para envío de al menos a 4 servidores

El equipo deberá contar con un buffer local para almacenamiento de logs de al menos 2000 líneas.

El equipo deberá tener la capacidad de enviar logs cuando un usuario administrador ingresa o deja la sesión de este registrando al menos la siguiente información: Nombre del usuario o Fecha y hora o Si el usuario ingresó o dejó la sesión

Anexo A - Anexo Técnico.

Deberá soportar la funcionalidad de reportar el estatus del cable conectado a los puertos del switch, reportando parámetros del cableado y longitud de este. Soporte de SNMPv1/v2/v3

Soporte de RMON

Soporte de gestión vía HTTP y HTTPS Soporte de la especificación IEEE 802.3ah

Soporte de la funcionalidad EEE (Energy Eficient Ethernet) o similar. Soporte de las siguientes especificaciones:

RFC 1901 — Introduction to Community-based SNMPv2 o RFC 1905 - Protocol Operations for Version 2 of the Simple Network

Management Protocol (SNMPv2) o RFC 2576 Coexistence between SNMP Version 1, Version 2 and Version 3 of the Internet standard Network

Management Framework o RFC 1155 Structure of Management 0 RFC 5905 - Network Time

SOCIEDAD

HACIENDA HIPOTECARIA

SECRETARÍA HACIENDA CRÉDITO PÚBLICO FEDERAL

Anexo A - Anexo Técnico.

se configuren las tablas de flujos, esto con el fin de ser implementados en un futuro sin necesidad de cambiar el equipo.

Soporte dual o híbrido de poder trabajar en un mismo puerto físico el control de datos vía flujos por SDN y al mismo tiempo reenvío de tráfico convencional en capa 2 y capa 3.

El equipo deberá de soportar mecanismos para la automatización de tareas o procesos para su integración con herramientas de uso libre tales como Puppet, Ansible o similares.

3.3.8 Especificaciones a cumplir y Condiciones de Operación

Rango de Temperatura de Operación: 0 0 C a 48 0C

Humedad en condiciones operativas: 10 90 % Humedad relativa no condensada El equipo no deberá de generar una disipación de calor mayor a 400 BTU/hr Altura en condiciones operativas: O — 2800 m

Tener un MTBF (Mean Time Between Failure) de al menos 400,000 horas UL 60950-1

FCC Class A (Part 15)

EN 60825-1 (Lasers Safety)

EN 55022 Class A

42 de 60

Anexo A - Anexo Técnico.

EN 00000-0-0 (Harmonics)

EN 00000-0-0 (Flicker)

CISPR 22

, IEC 60950-1 EN

00000-0-0 vccl Class A

RoHS-

compliant

2011/65/ElJ

2012/19/EU

94/62/EC 2006/66/EC

1907/2006

3.4 Controladora WiFi.

3.4.1 Características Generales

Controladora inalámbrica tipo appliance físico o virtual con alto nivel de desempeño para redes empresariales con capacidad de gestionar al menos hasta 800 Puntos de Acceso.

En el caso de proponer una solución basada en appliance físico, deberá de cumplir al menos con las siguientes características: 2 puertos 1000 BASE-T 1 puerto USB

1 puerto de consola RJ45, DB9 0 USB Alimentarse mediante conexión del tipo CA. No deberá de ser mayor a 1 RU

Anexo A - Anexo Técnico.

Poseer LEDs indicadores, los cuales al menos puedan mostrar los estados de operación de este mediante diferentes colores o algún otro distintivo a nivel físico Capacidad de operar en el siguiente rango de temperaturas: 00 C — 38 0 C Capacidad de operar en el siguiente rango de humedad no condensada: 10 — 80% Deberá poseer un MTBF (Mean Time Between Failure) de al menos de 40,000 horas

3.4.2 Funcionalidades, Desempeño y Soporte de Especificaciones Inalámbricas

Deberá de tener la capacidad de soportar al menos hasta 800 Puntos de Acceso, o bien hasta 2400 en modalidad de redundancia y/o cluster

Deberá de soportar la menos hasta 20,000 dispositivos conectados en forma concurrente y al menos hasta 50,000 en modalidad de redundancia y/o cluster. Soportar un esquema de alta disponibilidad activo-activo o cluster de al menos hasta 3 elementos, bajo un esquema N+l

La solución ofertada también deberá contar con la función de poder gestionar y monitorear los switches de la misma marca del fabricante, ya que ello permite la unificación de la administración de las plataformas.

44 de 60

Año Independencia

Anexo A - Anexo Técnico.

Soportar al menos las siguientes tareas de configuración base paralos

switches/routers;

Actualización de firmware manual y programada

OE 't

Configuración de parámetros de enrutamiento

Creación de pilas o stacks

Herramientas de diagnóstico tales como PING y TRACEROUTE

Respaldo y repositorio de múltiples configuraciones para su uso potencial posterior.

Restauración de alguna configuración específica

Monitoreo de memoria, CPU y fuentes de poder Monitoreo de puertos Monitoreo de alarmas y eventos

Anexo A - Anexo Técnico.

Monitoreo de tráfico

Soporte de al menos 2000 VLANs y 1000 SSlDs

Deberá de colaborar en conjunto con el Punto de Acceso para tener la capacidad de adaptarse al medio y detectar interferencias, con la finalidad de hacer un uso óptimo del RF y así proveer el mejor desempeño para el soporte de tráfico de datos, audio y video.

Deberá de poseer un mecanismo que tenga la capacidad de seleccionar el mejor canal de Wi-Fi de acuerdo a la capacidad y condiciones en tiempo real del mismo con la finalidad de proporcionar un mejor desempeño en la entrega de servicios a los dispositivos conectados.

La solución deberá de proveer mecanismos que en conjunto con los Puntos de Acceso ayudan a optimizar los siguientes escenarios:

Capacidad para garantizar la calidad de servicio de las conexiones existentes, en caso de una posible sobre carga o demanda, deteniendo y/o dosificando nuevas solicitudes en caso de que estas puedan degradar el desempeño de las primeras. Balanceo en tiempo real de cargas sobre ambas bandas de WiFi conforme se detecten cambios en el medio.

Adaptación de las zonas de cobertura de los Puntos de Acceso, con la finalidad de ajustarse automáticamente a las condiciones del medio para poder cubrir zonas oscuras de RF o en caso contrario reducción de la zona a cubrir para evitar interferencias

Soporte de la especificación IEEE 802.1 Id Soporte de la especificación IEEE 802.1 Ik Soporte de la especificación IEEE 802.1 I r Soporte de la especificación IEEE 802.1 lw

Soporte de algún mecanismo que permita optimizar el tráfico de gestión Wi-Fi, sobre todo en ambientes donde la carga de este, suele ser considerable y podría disminuir o afectar de forma negativa el tiempo de aire disponible en los Puntos de

46 de 60

Año Independencia

Acceso

Soporte de la especificación IEEE 802.11e/WMM

HACIENDA SOCIEDAD HIPOTECARIA

DE HACIENDA CRÉDITO PÜSLICO FEDERAL

Anexo A - Anexo Técnicoz

eficiente el uso del tiempo de conexión y ancho xx xxxxx de los dispositivos que operan bajo 802.11 alg/n/ac

Poseer una funcionalidad en la cual se permita establecer una tasa mínima de conexión entre el dispositivo y el Punto de Acceso.

Poseer un mecanismo en el cual se permita programar la activación de un SSID basado en día y hora

Soporte de QoS y asignación de prioridades en capa 2 y 3.

Soporte de limitación de tasas o mejor conocido como rate limit por SSID. Deberá tener la capacidad de hacer un bypass sobre la tecnología o funcionalidad de los portales temporales que emplean dispositivos como Apple conocida como CNA (Captive Network Assistant) al emplear la autenticación mediante un portal cautivo.

Poseer una funcionalidad en la cual los Puntos de Acceso puedan tener la capacidad de aceptar o negar conexiones basados en parámetros de desempeño en cuanto a un número máximo de dispositivos soportados previamente definido y la carga de los radios.

Soportar el balanceo de dispositivos entre Puntos de Acceso vecinos, con el objetivo de evitar la saturación en los mismos.

Soportar la funcionalidad de sobrevivencia en el Punto de Acceso a pesar de que la controladora presente algún evento de indisponibilidad o bien se tengan problemas de conectividad sobre el túnel de gestión hacia la controladora. La solución deberá contar con la funcionalidad de selección automática de canal para garantizar un mejor desempeño a los dispositivos conectados basado en mediciones de tráfico en tiempo de real, así como un mecanismo de xxxxxxx xx xxxxxxx para el ajuste de potencias óptimo y para la detección de Puntos de Acceso maliciosos.

3.4.3 Funciones de Seguridad y de Gestión en los Puntos de Acceso

Deberá de soportar un esquema que permita la creación de grupos de trabajo o entidades lógicas para los Puntos de Acceso, con la finalidad de clasificarlos de acuerdo al tipo de servicio que brinden para un manejo más sencillo en los despliegues y configuraciones de los mismos.

Soportar la funcionalidad en la cual se puedan desplegar servicios en donde los dispositivos que pertenecen a un mismo SSID puedan ser clasificados en diferentes VLANs para una mejor gestión y planeación de los servicios. Se deberán de soportar al menos 50 pools de VLAN con al menos 12 VLANs cada uno.

Soportar LLDP sobre la configuración de los Puntos de Acceso.

47 de 60

Año Independencia

HACIENDA SOCIEDADHIPOTECARIA

FEDERAL

Anexo A - Anexo Técnico%

Deberá ser capaz de realizar al menos las siguientes configuraciones sobre los puertos de los Puntos de Acceso:

o Habilitarldeshabilitar el(los) puerto(s).

o Etiquetado y manejo de VLANs (puertos de acceso y tipo trunk) Deberá de soportar los siguientes mecanismos de seguridad:

0 WEP

0 WPA-PSK

0 WPA-TKIP

0 WPA2-AES 0 IEEE 802.11i o EAP-SIM

0 EAP-AKA

Deberá de soportar los siguientes esquemas de autenticación: 0 IEEE 802. IX

Dirección MAC con soporte para el manejo del formato de la misma. Active Directory/LDAP o

RADIUS 0 HotSpot 2.0 0

Web

o Guest

HotSpot/WlSPr con la funcionalidad de Walled Garden y soporte dp redireccionamiento con HTTPS

Soporte de LDAP sobre SSL 0 TLS

Soporte de AAA Authentication y AAA Accounting

Soportar la viabilidad de emplear los servicios AAA en dos modalidades: o Empleando a la controladora como cliente o NAS (Proxy) o Empleando a los Puntos de Acceso como cliente o NAS (No Proxy) Deberá soportar o prevenir la comunicación de dispositivos que convivan en la misma subred y/o VLAN Soportar un mecanismo para definir filtros en los cuales los dispositivos inalámbricos sean capaces de conectarse con dispositivos de la red alámbrica, a pesar de que entre los mismos dispositivos inalámbricos se encuentre restringida la comunicación en la misma subred. y lo VLAN

Poseer una funcionalidad que permita limitar el número de dispositivos inalámbricos por cada radio en los Puntos de Acceso.

Soportar autenticación local de acuerdo a una base de datos de usuarios interna con capacidad de hasta 20,000 cuentas

HACIENDA

SOCIEDAD

HIPOTECARIA

SECRETARIA DE HACIENDA CRÉDITO PÚBLtCO FEDERAL

Anexo A - Anexo Técnico.

Soporte de mecanismo de calidad de servicio basados en el estándar IEEE 802.1 1 emMM

Soporte de al menos 4 colas de prioridad

Soporte de algún mecanismo que permita dar prioridad de algún servicio o SSID en contraste con otros.

Soporte de los

0 CLI 0 Web

Soporte de funcionalidades de detección y prevención de intrusos tales como la identificación de Puntos de Acceso maliciosos, eventos tipo Spoofing, y redes tipo Ad-Hoc.

Para la funcionalidad de detectar Puntos de Acceso maliciosos o conocidos como rogues, se deberá de proporcionar al menos la siguiente información de los mismos:

0 Dirección MAC o Canal 0 SSID o Radio 0 RSSI o Codificación

Soporte el manejo de DHCP Option 82

Deberá de soportar un mecanismo que permita el bloqueo específico y manual de dispositivos inalámbricos. Deberá de soportar un mecanismo que permita la desconexión específica de dispositivos inalámbricos.

Soportar la funcionalidad de configurar y desplegar roles asociados a usuarios de forma específica basada en atributos en interacción con entidades AAA como RADIUS o algún mecanismo similar que permita su aplicación de forma particular

sobre usuarios autenticados.

Deberá tener un mecanismo que permita la creación de cuentas o pases para usuarios invitados con las siguientes capacidades: o Generación de forma automática.

o Gestión del número máximo de dispositivos por usuario. o Gestionar periodo de efectividad del pase. o Exportar las cuentas a archivos tipo CSV o TXT o Generación de cuentas desde un archivo existente CSV o TXT o Impresión de las cuentas o pases.

49 de 60

HACIENDA SOCIEDADHIPOTECARIA

FEDERAL

Anexo A - Anexo Técnico%

o Envío de cuentas o pases vía correo y SMS.

Soportar la funcionalidad de manejar una base de datos local para autenticación de dispositivos.

Soportar la creación de políticas o filtros con base en los siguientes parámetros: o Dirección MAC o Dirección IP 0 Puerto TCP/UDP o Tipo de protocolo o Por aplicativos (Capa 7)

dispositivo inalámbrico

o Por sistema operativo del

Anexo A - Anexo Técnico,

Filtrado por categoría de contenido predeterminada y/o por categorías a seleccionar por el usuario administrador

Por URL o nombre de dominio, con la capacidad de catalogar ya sea como sitios permitidos (listas blancas) o restringidos (listas negras o bloqueadas) Soportar al menos una base de 70 categorías.

o Visualización de estadísticas del filtrado, mediante alguna tabla o dashboard

El soporte de políticas por aplicativo deberá de tener los siguientes tipos de control: o Negar o Permitir o Aplicar una limitación de tasa de transferencia o rate limit o Aplicación de calidad de servicio

Deberá de tener la capacidad de actualizar periódicamente la base de datos de aplicativos a reconocer.

Deberá de poseer un mecanismo para manejar tráfico del protocolo Bonjour en sus siguientes modalidades:

o Fungir como Gateway del mismo protocolo para el reenvío de tráfico de una VLAN a otra.

o Fungir como control del mismo tráfico para la limitación en su propagación. Se deberá de soportar los siguientes protocolos de túnel entre la controladora y los Puntos de Acceso:

0 SoftGRE

Soporte de algún mecanismo que garantice que los dispositivos inalámbricos obtengan una dirección IP de un servicio de DHCP en un periodo configurable y evitar la conexión de dispositivos que se configuren con una IP de forma estática. Proveer mecanismos de DHCP y NAT directamente desde los Puntos de Acceso, esto con la finalidad de-minimizar en costos en localidades remotas o de baja densidad de servicios.

Soportar el reconocimiento de aplicaciones en uso de los dispositivos inalámbricos que se encuentran conectados a los Puntos de Acceso administrados, proporcionando al menos la siguiente información: o Cantidad y/o

51 de 60

Independenaa

A - Anexo Técnico.

volumen del tráfico o Gráficas o tablas que muestren los aplicativos más empleados.

o Lista de dispositivos Top N en donde se pueda verificar la dirección IP, dirección MAC y el tipo de sistema operativo.

3.4.4 Funciones de Administración y Monitoreo

Y CRÉDITO PÚBLICO

Anexo

SNMPv2 y v3, así también se deber soportar codificación tipo DES y AES bajo SNMPv3 o SSH

0 HTTPS

Deberá de tener la funcionalidad de proveer reportes proporcionando al menos las siguientes estadísticas:

o Cantidad de dispositivos inalámbricos o Asociaciones nuevas y fallidas de dispositivos o Conexiones históricas de dispositivos o Uso de recursos de la controladora o Tráfico de envío y recepción por SSID, radio o Puntos de Acceso. o Puntos de Acceso Maliciosos o Rogue

Soporte de envío y recepción de reportes por medio de una cuenta de correo electrónico mediante el uso del protocolo SMTP.

Soporte de respaldos, estadísticas y reportes mediante el uso del protocolo FTP o TFTP.

Soporte de envío y distribución de pases de acceso para invitados mediante los servicios de SMS de los diferentes operadores móviles.

Anexo A - Anexo Técnico,

Deberá de tener la funcionalidad de gestionar el registro automático de los Puntos de Acceso mediante reglas para su debido manejo al menos bajo los siguientes criterios:

o Por subred o Por rangos de direcciones IP o Por georeferencias o coordenadas GPS o por algún uso de identificador y/o etiqueta.

Deberá de poseer un mecanismo o funcionalidad que permita de manera automática clasificar o etiquetar a los Puntos de Acceso más críticos, basado en un umbral predeterminado con base en la cantidad del tráfico de datos. Deberá de proporcionar al menos los siguientes parámetros del sistema controlador o cluster: 0 Uso del CPU o Uso de la memoria o Uso de disco o Alarmas y eventos, los cuales deberán de tener una opción de filtrado para su uso y visualización. Deberá de poseer un panel de gestión intuitivo, de fácil uso y con la opción a ser personalizado de acuerdo a las gráficas y estadísticas que deseen monitorearse. El panel de gestión deberá de tener al menos los siguientes elementos y funcionalidades de monitoreo:

o Información y estadísticas relevantes sobre los Puntos de Acceso y de la misma controladora y/o cluster.

o Iconos o distintivos similares que muestren el estado operativo de los Puntos de Acceso y de la Controladora, incluyendo la opción de

púBLtco

personalizarlos mediante el manejo de umbrales de acuerdo a diferentes parámetros tales como latencia y dispositivos conectados.

Integración o visualización de mapas tales como Google Maps o similar. Análisis de tráfico relevante a los Puntos de Acceso, servicios WLAN y dispositivos conectados, así como la personalización de las vistas de dicho tráfico para mostrarlo de acuerdo a diferentes parámetros o criterios; dicho tráfico deberá tener la opción de mostrarse tanto en tiempo real como históricamente.

Deberá de incluir una funcionalidad que permita la importación de planos o

.layouts referidos mediante coordenadas de GPS, con los cuales se permita tener la ubicación de los Puntos de Acceso y poder monitorear el tráfico de los mismos tale como cantidad de clientes conectados, cantidad de tráfico, canales en uso y latencia.

A - Anexo Técnico.

Soportar la funcionalidad de proporcionar mapas de calor de los Puntos de Acceso sobre algún plano de piso o layout tanto para la banda de 2.4 GHz como la de 5 GHz.

Permitir la generación de solicitudes de certificados e importación de estos o ya existentes, emitidos por una entidad o proveedor público, para ser incorporado dentro del sistema para la gestión del mismo y para servicios tales como HotSpot o similares.

Deberá de soportar una funcionalidad que permita generar plantillas a partir de configuraciones existentes para el despliegue de nuevos servicios a partir xx xxxxxxxxxx previamente elaboradas de una forma más dinámica y sencilla. La solución deberá de soportar un mecanismo en el cual se permitan las actualizaciones de sistema operativo o firmware sobre los Puntos de Acceso basadas en grupos o secciones, es decir, que no necesariamente una actualización de firmware deba de afectar necesariamente a todos los Puntos de Acceso registrados.

La solución deberá ofrecer el listado de al menos los siguientes atributos de los Puntos de Acceso registrados:

Dirección IP (tanto interna como externa si fuese el caso de pasar por un NAT y/o PAT)

Dirección MAC

Modelo

Versión firmware

Y CRÉDITO PÚBLICO

Anexo A - Anexo Técnico,

Anexo

o Alarmas y eventos o Clientes conectados o Opción de reinicio o Herramientas de troubleshooting o similar

Soportar la funcionalidad de configuración de servicios WLAN basado en grupos o entidades, de tal forma que por ejemplo un servicio de invitados sea aprovisionado en ciertas zonas y en otras no.

Despliegue de eventos y alarmas proporcionando al menos la siguiente información:

Fecha y hora o Tipo o código o Detalles o Severidad

Deberá de tener la capacidad de exportar las alarmas en archivos tipo TXT o CSV, Deberá de detener la capacidad de enviar avisos mediante correos o generar traps SNMP cuando se genere algún tipo de evento.

Deberá de soportar mecanismos de sincronización mediante el protocolo NTP o SNT p.

Deberá de soportar el envío de logs a un servidor tipo Syslog con al menos las siguientes opciones de configuración:

o Manejo de al menos dos servidores (primario y secundario). o Gestión de "facilities" o Filtrado de eventos mediante el manejo de prioridades (debug, informational, warning, minor, major, etc)

Deberá de soportar el despliegue de al menos la siguiente información sobre los dispositivos inalámbricos asociados: o Dirección IP 0 Dirección MAC

0 SSID 0 servicio WLAN

Dirección MAC del Punto de Acceso al que se está conectado o Nombre del Punto de Acceso

Sistema Operativo 0 Trafico RX/TX

Mecanismo de autenticación y codificación

0 RSSI

A - Anexo Técnico.

0 SNR

SECRETARIA HACIENDA CRÉDITO FEDERAL

Anexo A - Anexo Técnico.

PÚBLICO

Deberá de poseer la funcionalidad de hacer análisis de espectro de RF en tiempo real sobre los Puntos de Acceso tanto en la banda de 2.4 GHz como la de 5 GHz. La solución deberá de poseer algún mecanismo que permita generar capturas de paquetes en los Puntos de Acceso tanto para los radios de ambas bandas como para el puerto Ethernet de estos.

Permitir la creación de roles de usuarios con diferentes privilegios para la administración de la controladora.

Soporte de autenticación de usuarios administrativos mediante RADIUS y

Soporte de filtros y/o listas de control de acceso para el acceso vía CLI a la controladora

Soportar la funcionalidad de proveer diferentes versiones o parches de firmware en los APS sin la necesidad de actualizar el sistema operativo de la controladora en su totalidad

Deberá de proveer una función de mostrar el registro de actividades hechas por los usuarios administradores de la plataforma proporcionando al menos la siguiente información y con la disponibilidad a ser exportada a un archivo en formato de texto o CSV: o Usuario administrador o Fecha y hora del cambio o Dirección IP o Acción ejecutada

Capacidad para cargar y ejecutar scripts de forma grupal y/o masiva sobre diversos Puntos de Acceso.

Deberá de soportar la integración con plataformas de gestión, configuración o monitoreo terceros mediante el uso de APIs.

3.5 Access Point Primario

3.5.1 Características Generales

Anexo A - Anexo Técnico%

Punto de Acceso para interiores con soporte de 802.1 lax 4x4:4 en el radio de 2.4 GHz y en el de 5 GHz, MU-MIMO y OFDMA con capacidades de alto desempeño para ambientes de muy alta demanda.

El equipo deberá de soportar al

menos 0 1 pumeurtltoigpiguaebrtitoEItGhbeErnóet2con

puertos 1 GbE

0 1 puerto USB para para la integración de otras tecnologías inalámbricas o

o Alimentación por adaptador de corriente de CD. Soporte de SoftGRE, L2TP 0 GRE

Deberá soportar los siguientes mecanismos de gestión:

o Centralizado mediante una consola de administración o controladora.

o Nube del fabricante.

o Modalidad autónoma y/o independiente con la capacidad de administrar a otros Puntos de Acceso sin la necesidad de un esquema de controladora.

3.5.2 Funcionalidades, Desempeño y Soporte de Especificaciones Inalámbricas

El equipo deberá de contar con las certificaciones de Wi-Fi: o Wi-Fi Alliance alb/g/n/ac/ax o Passpoint

Deberá trabajar en la banda de 2.4 GHz y 5 GHz.

El- equipo deberá de poseer un arreglo de antenas, que tengan la capacidad de adaptarse al medio y detectar interferencias, con la finalidad de hacer un uso

Anexo A - Anexo Técnico.

óptimo del RF y así proveer el mejor desempeño para el soporte de tráfico de datos, audio y video.

Deberá de poseer un mecanismo que tenga la capacidad de seleccionar el mejor canal de Wi-Fi de acuerdo con la capacidad y condiciones de este, con la finalidad de proporcionar un mejor desempeño en la entrega de servicios a los dispositivos conectados.

Soporte de balanceo por banda y por clientes

Soporte de IPv4 e lpv6 Soporte de IEEE 802. IQ Soporte de LLDP

Soporte de los siguientes estándares: o IEEE 802.11

Deberá soportar al menos las siguientes tasas físicas: 2400 Mbps en el radio de 5 GHz

1100 Mbps en el radio de 2.4 GHz

Soporte de canalización en 20 MHz, 40 MHz, 80 y 160 MHz Deberá proveer una ganancia de al menos:

25 dBm en el radio de 2.4 GHz

Soporte integrado de radio BLE o ZigBee con la finalidad de ser integrado en soluciones IOT o similares

Debe incluir de manera nativa o a través de un software o aplicación externa del mismo fabricante de la solución inalámbrica propuesta, una herramienta que permita la administración centralizada de dispositivos IOT o similares basados BLE o Zigbee y que maneje APIS abiertas que permitan la integración con otros sistemas de IOT de terceros.

Soporte de formación de redes Mesh

3.5.3 Funciones de Seguridad y de Gestión

El equipo deberá de soportar los siguientes mecanismos de seguridad:

WPA-PSK WPA-TKIP WPA2-AES WPA3

IEEE 802.11i

El equipo deberá de soportar las siguientes especificaciones y funciones Wi-Fi:

WISPr

HotSpot 2.0 Portal Cautivo

Soporte de IEEE 802. IX como suplicante

El equipo deberá de soportar las siguientes especificaciones: IEEE 802.11r IEEE

802.11k

IEEE 802.1 IV

WMM

LDPC

Beamforming

Soporte de funcionalidades de detección de intrusos en conjunto con el esquema de gestión con la controladora.

Deberá de tener la capacidad de realizar análisis de espectro Soporte de mecanismos de QoS

Anexo A - Anexo Técnico.

EN 62311 Human Safety/RF Exposure

WEEE/R0HS compliance

UL 2043

Deberá tener la capacidad de operar en el siguiente rango de temperaturas:

00 C - 450 C

Deberá tener la capacidad de operar bajo las siguientes condiciones de humedad: 10% - 95% sin condensación

Deberá de poseer un mecanismo de seguridad física del tipo Kensington Lock o hidden latching o similar.

Deberá de ser aprovisionado con todos los elementos de montaje necesarios para su adecuada instalación

3.6 Access Point Secundario

3.6.1 Características Generales

Punto de Acceso para interiores con soporte de 802.1 lac 2x2:2 MU-MIMO doble banda 2.415 GHz para ambientes pequeños y medianos empresariales.

El equipo de Punto de Acceso de red inalámbrica a considerar, deberá ser una solución basada en el estándar IEEE 802.1 lac Wave 2, que permita habilitar el acceso de red para los usuarios en general, como dispositivos móviles (tablets y smartphones).

El equipo deberá de soportar al menos 4 puertos Ethernet, sobre los cuales se puedan conectar otros dispositivos tales como teléfonos [P, servicios IPTV o similares. Así también al menos uno de estos puertos deberá de tener la capacidad de aprovisionar XXX.

El equipo deberá de alimentarse mediante el soporte de IEEE 802.3af Soporte de L2TP y GRE

Deberá soportar los siguientes mecanismos de gestión:

Anexo A - Anexo Técnico.

o Centralizado mediante una consola de administración o controladora o Nube del fabricante o Modalidad autónoma y/o independiente con la capacidad de administrar a otros Puntos de Acceso sin la necesidad de un esquema de controladora. El equipo deberá de poseer LEDs indicadores, los cuales al menos puedan

mostrar los siguientes estados de este mediante diferentes colores o algún otro distintivo a nivel físico:

o Operación del equipo (boot, modo normal, etc,). o Verificación si el equipo trabaja en modo autónomo o o Operación de la banda de 2.4 GHz

Anexo A Anexo Técnico.

't PÚBLICO

3.6.2 Funcionalidades, Desempeño y Soporte de

Especificaciones Inalámbricas

El equipo deberá de contar al menos con las siguientes certificaciones Wii: o Wi-Fi Alliance o Passpoint

Deberá trabajar en la banda de 2.4 GHz y 5 GHz.

El equipo deberá de poseer un arreglo múltiple de antenas, que tengan la capacidad de adaptarse al medio y detectar interferencias, con la finalidad de hacer un uso óptimo del RF y así proveer el mejor desempeño para el soporte de tráfico de datos, audio y video.

Deberá de poseer un mecanismo que tenga la capacidad de seleccionar el mejor canal de Wi-Fi de acuerdo a la capacidad y condiciones de este con la finalidad de proporcionar un mejor desempeño en la entrega de servicios a los dispositivos conectados.

Soporte para poder formar redes tipo malla o mesh

Soporte de IPv4 e IPv6

Soporte de IEEE 802. IQ

El equipo deberá de tener embebido en conjunto con la herramienta de gestión o similar, una función que permita hacer un análisis de espectro básico Soporte de los siguientes estándares:

0 [XXX 000.00x/x/x/x/xx

Deberá soportar al menos las siguientes tasas físicas:

0 867 Mbps en el radio de 5 GHz

0 300 Mbps en el radio de 2.4 GHz

Soporte de canalización en 20 MHz, 40 MHz y 80 MHz

Deberá proveer una ganancia de al menos: 0 18 dBm en el radio de 2.4 GHz

0 20 dBm en el radio de 5 GHz

Anexo A - Anexo Técnico.

La solución deberá contar con la funcionalidad de selección de la banda de operación por cada SSID:

o Capacidad de irradiar en 5 GHz únicamente. o Capacidad de irradiar en 2.4 GHz únicamente.

o Ambas bandas, pero con la capacidad de detectar dispositivos que soporten ambas bandas, direccionándolos a la de 5 GHz por estar menos congestionada.

El equipo deberá de poseer una sensibilidad de al menos -98 dBm

El equipo deberá de soportar en su totalidad al menos hasta 80 dispositivos inalámbricos simultáneos

LICO

3.6.3 Funciones de Seguridad y de Gestión

El equipo deberá de soportar los siguientes mecanismos de seguridad:

0 WPA-PSK

0 WPA-TKIP

0 WPA2-AES

0 IEEE 802.1 1i

El equipo deberá de soportar las siguientes especificaciones y funciones Wi-Fi:

0 WISPr o HotSpot 2.0 o Portal Cautivo

Anexo A - Anexo Técnico.

Soporte de IEEE 802. IX como suplicante

El equipo deberá de soportar las siguientes especificaciones: 0 IEEE 802.11r

0 IEEE 802.1 11<

0 WMM 0 LDPC

o Beamforming

Soporte de los siguientes mecanismos de autodescubrimiento a un equipo controlador:

o DNS Discovery 0 DHCP Options

Soporte de funcionalidades de detección de intrusos en conjunto con el esquema de gestión con la controladora.

Para efectos de sincronía deberá de soportar el protocolo NTP. Deberá tener la capacidad de ser gestionado mediante:

0 SNMP o

Telnet o SSH

0 HTTP/HTTPS

Soporte de FTP/TFTP

Deberá de tener la capacidad de proveer servicios tales como:

PÚBLICO

Anexo A - Anexo Técnico.

o c - 38 0 C

Deberá tener la capacidad de operar bajo las siguientes condiciones de humedad: 10% - 95% sin condensación

Deberá de ser aprovisionado con todos los elementos de montaje necesarios para su adecuada instalación,

3.7 Plataforma de localización de activos

3.7.1 Características Generales

Sistema de localización de dispositivos para la red WLAN para el análisis y comportamiento de la ubicación y comportamiento de estos

La solución deberá tener la capacidad de ser desplegada como un software o máquina virtual local que resida en las instalaciones de la institución

La solución deberá de tener una sensibilidad de al menos 5 metros como margen de error en la localización de un dispositivo

Deberá ser capaz de detectar tanto dispositivos que se encuentren conectados a la red de la institución como aquellos que no lo estén

La solución deberá de proporcionar o tener la capacidad de ser calibrada o recalibrada en caso de un nuevo despliegue o que haya cambios en la ubicación de los APS o bien si estos son reemplazados o reajustados, de tal forma que la información que entregue sea la óptima.

Deberá de proporcionar información de la ubicación de los dispositivos detectados en tiempo real y de forma histórica.

Deberá de tener la capacidad de mostrar la densidad de dispositivos detectados mediante mapas de calor en tiempo real, dichos mapas deberán actualizarse de forma automática al menos cada 2 minutos.

Para los mapas de densidad de dispositivos, la herramienta deberá de poseer una función que permita ajustar los colores o los contrastes empleados.

Deberá de proporcionar la opción del uso de alguna herramienta para dispositivos móviles para realizar funciones de ajustes, triangulación o calibración.

Poseer una función con la cual se pueda hacer la búsqueda de un dispositivo de forma específica.

La herramienta deberá soportar el manejo de APIS y JSON sobre HTTPS de tal forma que se encuentre abierta para interoperar con soluciones de terceros para poder entregar un análisis completo del comportamiento de los dispositivos mediante reportes, dashboards o entregables propios de dichas soluciones. La

Anexo A - Anexo Técnico.

solución deberá de ser capaz de entregar información, la cual pueda ser usada por terceros para poder implementar campañas de mercadotecnia y/o monetización por el uso de la red, de acuerdo con el los dispositivos.

SECRETARIA HACIENDA CRÉDITO FEDERAL

Anexo A - Anexo Técnico.

oe Púa LICO

Las APIS de la herramienta deberán permitir al menos la extracción de la siguiente información:

o Lugar o Recinto de la Red WLAN en análisis o Mapas de ubicación o Dispositivos o Cuentas de usuarios administradores

Deberá tener la capacidad de editar planos de los sitios o recintos de interés en donde se requiera el uso de la herramienta, para los cuales deberá soportar al menos los siguientes formatos de archivos: PNG y JPEG.

Soportar múltiples sitios en una misma instancia o consola de administración Deberá tener la capacidad de proporcionar históricos de los dispositivos al menos con la siguiente recurrencia: o Por hora o Por día o Por semana o Por mes

Capacidad para retener datos por al menos 45 días.

La solución deberá poder proporcionar al menos las siguientes estadísticas:

Dispositivos únicos o de primera vez o Días transcurridos desde la última visita o Tiempo promedio de permanencia de los dispositivos o Dispositivos nuevos vs Recurrentes o Recurrencia de dispositivos

La solución deberá de poder ofrecer mecanismos de cifrado para poder proteger los datos punto a punto

Las estadísticas deberán poder ser exportadas en archivos TXT o CSV

La consola de administración deberá de soportar al menos 3 tipos de cuentas de usuarios administradores con diferentes privilegios.

3.8 Sistema de Control de usuarios basado en certificados

3.8.1 Características Generales

Solución para realizar el registro y control de dispositivos corporativos y personales a la red LAN, mediante la identificación y asignación de políticas. La solución deberá ser provista ya sea mediante la instalación y configuración de un

appliance que puede ser físico o virtual, este deberá residir en las instalaciones de la institución.

Deberá ser capaz de controlar y facilitar el acceso a dispositivos propios de la institución, así como también a los dispositivos personales que los usuarios posean y deseen emplear en las redes que así lo permita la institución.

Deberá soportar el control y registro de al menos 1000 usuarios, o bien al men 1000 dispositivos móviles.

CR ENTO

h'@xico

Año de

Independen

La solución deberá de tener la capacidad de ser dimensionada con base en el número de usuarios de dispositivos.

La solución deberá tener la versatilidad de ser empleada para ser compatible e interoperar tanto en ambientes LAN como WLAN de múltiples fabricantes bajo mecanismos estándares de seguridad.

3.9 Funciones de Seguridad y de Enrolamiento

La solución deberá de brindar enrolamiento de dispositivos empleando mecanismos estándares basados al menos en WPA2-Enterprise y tener la facultad de emitir certificados digitales propios de la herramienta por dispositivo.

La solución deberá de brindar la facilidad de crear un entorno de autoservicio a los usuarios, de tal forma que, al hacer el enrolamiento de sus dispositivos, no dependan de la asistencia directa en sitio del staff de Tl para proveer acceso al servicio, o ya sea mediante el uso de mecanismos de patrocinio tales como la emisión de tokens vía correo y SMS

La herramienta deberá de proporcionar mecanismos que guíen de forma sencilla a los usuarios mediante un asistente para hacer el enrolamiento de sus dispositivos y proveer la información necesaria tales como la instalación de agentes o algún aplicativo en particular Soporte de AAA

SECRETARIA DE HACIENDA FEDERAL

Anexo A - Anexo Técnico,

Deberá de tener la capacidad de brindar visibilidad y control sobre los dispositivos que se conecten a la red.

Deberá de proporcionar la granularidad de proveer políticas de seguridad que puedan limitar anchos xx xxxxx y accesos de acuerdo con los siguientes criterios: o Por usuario o Por dispositivo 0 Por VLAN

Proveer funcionalidades de análisis de posturas para el análisis de los dispositivos de tal forma que, si estas no se cumplen en los mismos, puedan ser corregidas o también negar el servicio, al menos deberá de soportar la validación y remediación de:

o Parámetros de configuración del registro

0 Firewall

Manejo y administración de certificados locales con la capacidad de revocación automática

Deberá soportar empleo de ACLs y VLANs dinámicas Soporte de integración con Directorio Activo Soporte de LDAP y LDAPS

Soporte de RADIOS C0A

Manejo de base datos de usuarios locales

Soporte de los siguientes mecanismos de autenticación:

0 Web

0 MAC 0 SAML o

OAuth

HotSpot 2.0

0 PEAP

0 EAP-TLS

0 EAP-SIM

Soporte e integración de autenticación con al menos las siguientes redes sociales: o Facebook o Linkedin o Google

Soporte de personalización xx xxxxxxxx de acuerdo con lo que la institución requiera y ajustarlo a la imagen de esta.

Integración con Chromebook para la emisión de certificados en dichos dispositivos permitiendo el enrolamiento en una forma más transparente usando mecanismos de autenticación xx xxxxx factor vía Web.

Monitoreo y gestión de certificados, con la capacidad de revocar los mismos de forma individual o por grupos.

Poseer una herramienta gráfica que permita visualizar el flujo de enrolamiento de los dispositivos.

3.10 Funciones de Administración, Visibilidad e Integración

Lasolución deberá de tener una arquitecturadel tipo multitentant, de tal forma que

Anexo A - Anexo Técnico,

OE HACIü40A PÚBLICO

Capacidad para monitorear y relacionar por dispositivo y por usuario, así como su certificado en uso

Deberá de tener capacidad para integrarse con soluciones de terceros tales como: firewalls, MDMs, filtrados de contenido o cualquier otra que soporte el manejo de

Soporte de integración con Eduroam.

Soporte e integración con soluciones de asistentes virtuales tales como Alexa o similares, con la cual permitan interactuar para la emisión de pases temporales a la red en los dispositivos que lo tengan en uso.

Deberá de proveer al menos tres tipos de usuarios administradores con diferentes privilegios

Tener la capacidad de manejar scripts para la ejecución de tareas de la herramienta Manejo y soporte de reportes en formato .CSV o similar

Soporte para programar la generación de reportes al menos por día y por semana,

con la capacidad de ser enviados a múltiples destinatarios vía correo.

Deberá de tener disponible la ayuda en línea o documentación de la herramienta embebida en la misma para su uso de forma más ágil y organizada. Soporte de al menos las siguientes herramientas de diagnóstico:

0 DNS Lookup o Verificación de servidor de certificados

73 de 60

Anexo A - Anexo Técnico,

OE HACIENDA púa LICO

3.11 Plataforma de detección de movimiento lateral.

Requerimientos Generales

La solución debe incluir el licenciamiento para publicar emulaciones o trampas en 16 VLANs

La solución debe estar basada en la red y sin utilización de agentes

La solución puede correr sobre hardware o como plataforma virtual en VMWare ESX, Microsoft Hyper-V o Linux KVM.

La solución debe soportar además plataformas de Nube Pública en forma de máquina virtual nativa de Microsoft Azure y Amazon EC2 Cloud, sin necesidad de utilizar conectores sobre sistemas operativos genéricos o propietarios.

La solución debe de emplear trampas o honeypots que deberán ser desplegados estratégicos al interior de la red para la identificación de amenazas.

La solución debe tener la capacidad de monitorear comunicaciones en VLANs y el tráfico de salida a Internet.

La solución en sus diversos componentes debe estar basada en un sistema operativo endurecido y cerrado.

La solución deberá soportar como mínimo el despliegue de 512 emulaciones o trampas en un appliance físico o virtual para cada sitio requerido, permitiendo a la convocante decidir el número a utilizar por VLAN.

Los servidores Windows son una de las plataformas más utilizadas en las organizaciones. Esto hace que para que la solución requerida por la convocante sea

Anexo A - Anexo Técnico,

más creíble, debe de soportar el despliegue de al menos 250 trampas basadas en Servidores Windows 2008R2, 2012 R2 0 2016 por cada sitio.

Las PCs de escritorio y laptops con Windows y MAC son las más utilizadas en las organizaciones. Esto hace que para que la solución requerida por la convocante sea más creíble, debe de soportar el despliegue de al menos 250 trampas basadas en Windows 10 0 Mac OS.

Para lograr una cobertura completa del engaño, la solución debe incluir licenciamiento para implementar señuelos de al menos <CANTIDAD> endpoints por localidad, permitiendo a la convocante implementar esta funcionalidad en donde sea necesario.

La solución no debe requerir licencias de sistemas operativos para las emulaciones, trampas o honeypots.

La solución debe apoyar la mezcla de trampas o emulaciones falsas con los activos del entorno productivo de la entidad bajo el concepto del uso del engaño. Con el objetivo de incrementar la cobertura de la plataforma del engaño, la solución debe soportar la capacidad de construir trampas personalizadas (Construye tu Propia Trampa, Build Your Own Trap) de cualquier dispositivo conectado a la red de la organización.

La solución debe integrar, sin necesidad de licenciamiento adicional, un servicio de Detección de Inteligencia de Ataques. Este servicio debe proporcionar notificaciones por parte del fabricante respecto a malware, otras campañas que

DE HACIENDA ?

afectan industrias o vulnerabilidades específicas. Esto con el objetivo de informar en tiempo para parchar vulnerabilidades y fortalecer controles de seguridad. La solución debe poder adaptarse a cambios en el entorno productivo mediante la ejecución de escaneos para identificar nuevos activos o plataformas operativas en la red de la entidad.

La solución deberá soportar el acceso basado en roles para segregar funciones y capacidades de la plataforma por usuario.

La arquitectura de la solución debe contar con una gestión centralizada de todos los sitios o localidades basada en web.

75 de 60

Año

Independen

Anexo A - Anexo Técnico,

La solución debe tener la capacidad de integrarse con un sistema SIEM correlacionador de eventos, mediante Syslog u ODBC.

La solución debe permitir generar reportes al menos de Top de direcciones IP destino, Top de IP fuentes maliciosas, Ataques de Alto Riesgo Diarios y Semanales.

Inteligencia y Detección de Amenazas

La solución debe de incluir la capacidad, licencias y componentes de hardware requeridos para monitorear el tráfico generado del interior de la red hacia Internet, para poder identificar comportamiento basado en botnets, comando y control (C2) y responder rápidamente ante la identificación de equipos comprometidos.

La solución no debe estar basada en firmas para detectar el malware o la actividad maliciosa.

La solución debe soportar al menos los siguientes mecanismos para la detección de malware o ataques:

Cajas de arena (sandboxing) o Análisis estático o Integración con VirusTotal.

La solución debe de soportar al menos la integración con las siguientes plataformas de Sandbox de los siguientes fabricantes: McAfee, Cisco, Palo Alto Networks, ThreatTrack, Cuckoo.

La solución debe apoyar la exportación manual de Indicadores de Compromiso (10Cs) mediante el formato STIX o a través de integraciones automáticas con dispositivos de terceros.

La solución debe de ser capaz de capturar el código malicioso y payloads asociados para su análisis, a pesar de no ser una amenaza conocida previamente. La solución debe generar notificaciones después de la detección de posibles amenazas internas o de malware.

La solución debe de minimizar los falsos positivos en la generación de alertas. La solución puede utilizar un análisis dinámico descentralizado basado en la nube para realizar un análisis forense y controlado del malware capturado desde los sensores o trampas.

La solución debe de ser capaz de identificar no solo ataques o comportamiento basados en malware, sino cualquier comportamiento malicioso de interacción humana o automatizado que haga contacto con los sensores desplegados.

Anexo A Anexo Técnico.

La solución debe de permitir la integración nativa a la plataforma de administración de la tecnología del engaño sin necesidad de licenciamiento o productos adicionales de la misma marca.

La solución debe permitir la integración con Cisco ISE, ForeScout, Checkpoint o Fortinet que apoyen la respuesta ante un evento de manera automática o bajo demanda.

La solución debe permitir incluir datos falsos independientes en cada trampa para hacer más creíble el engaño hacia el atacante.

La solución debe incluir la siguiente información relacionada con el ataque: o IP del atacante y el objetivo o Análisis preliminar o Captura de la sesión en la red (PCAP) o Servicios utilizados durante los ataques o interacción con la trampa La solución debe permitir la extracción del malware original para realizar un análisis forense externo o una retención' legal de ser necesario.

La plataforma de permitir identificar y filtrar los eventos generados desde las trampas o sensores por la naturaleza de su actividad: o Conexión o Reconocimiento o Interacción o Infección

La solución debe tener la capacidad de proporcionar información ficticia configurable e independiente por trampa, como puertos, mensajes de bienvenida (banners), credenciales de acceso sobre cada servicio (ftp, smb, etc) para hacer más factible engañar al atacante.

La solución debe poder emular de forma nativa, al menos los siguientes ambientes Windows: Directorio Activo, DNS, SMB, FTP, SQL. Además de Linux, Mac, Cisco, Juniper, Impresoras. SAP. Sistemas industriales SCADA (Rockwell, Siemmens), IOT (Luz WiFi Xxxxxxxx), dispositivos ATM y plataformas SWIFT.

Las emulaciones deben poder mostrar diferentes "Huellas Digitales" de sistemas operativos Windows de la misma familia (Windows XP, Windows 7, Windows 8, Windows 2003, Windows Server 2012 R2, Windows Server 2008 R2, Windows Server 2016) además de otros sistemas operativos como Linux (CentOS, Redhat) Switchs Cisco, Cámaras Axis, entre otros.

La solución deberá permitir visualizar estadísticas de los eventos o amenazas basado en la naturaleza de esta dentro de la entidad.

77 de 60

Anexo A - Anexo Técnico.

3.12 Cableado de servicios adicionales.

Se requiere de los siguientes servicios para el edificio principal de SHE

SECRETARfA DE HACIENDA Y CRÉDITO PÚBLICO

Anexo

La trayectoria será desde el Switch Core del Centro de Datos, pasando por escalerilla y utilizando la vertical del edificio

Serán dos jumpers de fibra a 10Gb por piso, uno conectado a cada Switch de Acceso del Stack para funciones de redundancia. El proveedor será el encargado de considerar todo el material necesario para llevar a cabo esto, incluyendo los Gbics de cada punta.

3.13 Router Cisco c881.

Se requiere el equipo ruteador marca Cisco modelo c881, para conexión a Banco de México, los lineamientos de Banxico requieren que sea este equipo en específico para generar una VPN de Backup en caso xx xxxxx de los enlaces dedicados principal y secundario.

4. PLAN DE TRABAJO.

A - Anexo Técnicoa

El licitante ganador deberá entregar por escrito, durante los 5 días hábiles posteriores a la firma del contrato, un plan en el que deberá indicar las actividades a desarrollar para la entrega de los Servicios de Telefonía, duración expresada en días y los recursos humanos a utilizar, considerando como fecha límite para el inicio de operación de los servicios, en condiciones óptimas y a entera satisfacción de la SHF.

Este plan deberá ser validado y autorizado por SHF, previo a su ejecución, debiendo contener los horarios que sean acordados.

El Plan de Trabajo del Licitante deberá contener cuando menos las siguientes actividades, cumpliendo con los tiempos establecidos para cada Fase:

Púa Lico

Anexo A - Anexo Técnico.

5. FASES DEL CONTRATO.

5.1. Planeación, Instalación y configuración.

El contrato tendrá una duración de 45 meses, sin embargo, solo se pagarán los 43 meses relativos a la fase de operación, siendo el primer y último mes correspondientes a la planeación y cierre descritas en el punto 4. PLAN DE TRABAJO, las cuales no tendrán costo.

El contrato arrancará en forma inmediata una vez adjudicado el contrato al Licitante. Una vez asignado el contrato, será responsabilidad del Licitante ganador ejecutar las tareas técnicas y administrativas necesarias para programar el arranque del proyecto en coordinación con SHF.

La fase de planeación tendrá lugar desde la asignación del contrato, a partir de la fecha de fallo, a través de reuniones durante las cuales se deberán ajustar los programas de trabajo y se afinarán los detalles de integración técnica correspondientes. Es responsabilidad del Licitante ganador coordinar y ejecutar todas las tareas necesarias para cumplir en tiempo y forma con los planes de trabajo. En esta fase se entregarán al Proveedor los formatos y los contenidos de manera detallada de los reportes que deberán ser entregados a SHF de manera periódica. El Licitante ganador puede hacer modificaciones a dichos documentos, previa autorización de SHF, con el objetivo de enriquecer la información que se entregará. Para esta fase, el Licitante ganador deberá designar como responsable a un administrador de proyectos para el desarrollo de las actividades de esta etapa, así como para la elaboración de la documentación correspondiente.

La entrega total de los equipos telefónicos, configuración y pruebas de la solución del Centro de Llamadas, así como la preparación del conmutador para el soporte integral de cada una de las soluciones, deberán estar concluidas en esta fase.

Durante esta fase no se realizará pago alguno por las actividades realizadas.

5.2. Operación.

A - Anexo Técnicoa

migración, tendrá una duración de 43 meses, en la cual el Licitante ganador deberá

fase dará inicio a más tardar el 31 xx xxxxx de 2021 después de la fase planeación

Esta y

81 de 60

Año de

HACIENDA SOCIEDADHIPOTECARIA

FEDERAL

Anexo A - Anexo Técnico%

5.3. Cierre.

A la finalización de la etapa de Operación, iniciará un proceso de migración para transferir los servicios objeto de esta contratación, a un nuevo Licitante ganador que SHF designe o una nueva infraestructura con el Proveedor Saliente. La fase de cierre tendrá una duración de 1 mes y se ejecutará de acuerdo al plan de trabajo que elabore SHF. El Proveedor Saliente y SHF o un nuevo Proveedor que SHF designe, deberán trabajar de manera conjunta para ajustar el plan de migración, con el objetivo de garantizar que durante la transición de los servicios no exista degradación de los mismos.

En caso de que el Proveedor Saliente resulte seleccionado nuevamente para la continuidad de los servicios, para el caso en que SHF licitara nuevamente los servicios bajo condiciones y alcances similares, ei plan de trabajo de la etapa de cierre, deberá ajustarse al plan de transición del siguiente contrato.

Para toda la infraestructura proporcionada por el Proveedor, el retiro será realizado en coordinación con la entrega del nuevo contrato o solución que dará continuidad a la operación de SHF.

Durante esta fase no se realizará pago alguno por las actividades realizadas.

6. LUGAR Y CONDICIONES DE ENTREGA DE LOS SERVICIOS

Las reuniones de trabajo y las actividades de aprovisionamiento de la solución •podrán

realizarse de forma inmediata, una vez realizado la firma del contrato. La dirección de entrega de los servicios será la siguiente:

Sitio

Dirección

Xxxxxxxx Xxxxxxxx 000, Xxxx 0 Xxxxxxx Xxxxxxx Xxxxxxxx.Xxxxxx Xxxxxxx

X.X. 00000

Edificio Principal de SHF

82 de 60

Año de Independe

Ciudad de México.

Anexo A - Anexo Técnico%

7. ROLES DEFINIDOS

Los roles responsabilidades que se han definido para llevar a cabo la administración de los servicios descritos, son los siguientes:

7.1.

ElTitular de laSubdirecciónde InfraestructuraTecnológicade SHF, como

Participar en reuniones de trabajo y seguimiento periódicos, relativos a los servicios contratados.

Aprobar o en su caso rechazar los entregables y documentación generados, producto de los servicios proporcionados por el Proveedor.

Revisar y solicitar los ajustes necesarios de los entregables y documentación generados por el Proveedor, hasta lograr la entera satisfacción de SHF.

En su caso, rechazar la solicitud de pago presentada, señalando las causas de esto último.

En caso de aprobar los entregables, firmar conjuntamente con el Proveedor la carta de Aceptación Técnica, de manera previa a la presentación de factura por parte del Proveedor, en los casos donde se requiera su firma.

Remitir a la Subdirección de Gobierno de Tl de SHF la Carta de Aceptación Técnica, para estar en posibilidad de liberar el pago correspondiente.

Anexo A - Anexo Técnico.

En su caso, notificar a la Subdirección de Gobierno de Tl de SHF, sobre las penalizaciones aplicables por el incumplimiento de los nivel de servicio, dentro de los tiempos y las vigencias establecidos.

7.2. El Titular de la Subdirección de Gobierno de Tl de SHF como Enlace Administrativo de SHF, responsable de:

Integrar el expediente de pago, incluyendo la evidencia de los servicios y/o entregables que resulten aprobados por la Subdirección de Infraestructura Tecnológica.

Solicitar la autorización de pago a la Dirección General Adjunta de Administración, Operaciones y Tecnologías, así como a la Dirección de Tecnologías de la información.

Tramitar el pago ante la Subdirección de Recursos Materiales y, en su caso, notificar sobre la aplicación xx xxxxx convencionales correspondientes.

7.3. Líder del Proyecto del Proveedor:

Coordinar la realización de los servicios contratados, cumpliendo con los nivel de servicio especificados.

un canal de comunicación eficienteentre SHF y el Proveedor.

Generar

84 de 60

Independen

Anexo A - Anexo Técnico%

Cumplir con los entregables en tiempo, contenido y estándares de calidad establecidos por SHF para los servicios proporcionados por el Proveedor.

En su caso, efectuar los ajustes solicitados por SHF, en relación a los entregables y documentación generados como resultado de los servicios proporcionados por el Proveedor.

Una vez aceptados los entregables y documentos referidos, firmar conjuntamente con el Subdirector de Infraestructura Tecnológica, la Carta de Aceptación Técnica, previo a la presentación de la factura a SHF.

Facilitar y dar el apoyo que el personal de SHF requiera para realizar las reuniones de trabajo y/o definición y seguimiento, en las oficinas de SHF o del mismo Proveedor.

Coordinar la correcta gestión de los recursos operativos del Proveedor para la atención de los requerimientos de SHE

8. SOPORTE TÉCNICO Y MESA DE AYUDA.

El PROVEEDOR deberá proporcionar el servicio xx xxxx de ayuda, el cual deberá tener un esquema de 7*24*365. El servicio podrá ser prestado vía telefónica o en sitio, de acuerdo a la magnitud del evento y/o consideración de Sociedad Hipotecaria Federal. El servicio de soporte técnico incluye el apoyo a los ingenieros de Sociedad Hipotecaria Federal para:

Aclaración de dudas técnicas

Atención de incidentes suscitados en la operación (mantenimiento correctivo) Configuración de los equipos o apoyo en la habilitación de nuevas funcionalidades

El Proveedor deberá proporcionar un número telefónico y dirección de correo electrónico de la mesa de ayuda, con el objeto de brindar tanto soporte técnico como levantamiento de los reportes de servicio.

Por cada servicio efectuado, la empresa entregará a SHF un reporte en donde se anotará el número de control asignado y la información necesaria parallevar un adecuado manejo histórico de los servicios atendidos durante la vigencia del contrato; éste reporte será firmado de conformidad por el usuario, una vez que el servicio sea completado.

El reporte de servicio deberá ser completado de la siguiente manera: Número de reporte

Nombre de la Persona responsable por parte de SHF Teléfono

Anexo A - Anexo Técnico.

Marca del equipo atendido.

DE PÚBLICO

Nombre de la Persona que levanta el reporte por parte de la empresa. @ Diagnóstico de incidente (si aplica)

Descripción y documentación de la solución

Nombre de la Persona que atiende el reporte por parte de la empresa.

Fecha y hora de levantamiento del reporte Fecha y hora de cierre del reporte

9. ENTREGABLES.

El proyecto tendrá los siguientes entregables:

El Proveedor deberá entregar reportes mensuales a mes vencido, los primeros 5 días de cada mes de los mantenimientos preventivos, incidentes y solicitudes de soporte técnico, los cuales deben de incluir al menos la siguiente información: No. de folio o ticket, fecha inicial de la solicitud o incidente, descripción, solución y fecha de cierre.

86 de 60

Independen

Anexo A - Anexo Técnico%

En caso de no existir solicitudes de soporte técnico, incidentes o mantenimientos preventivos durante el período, deberá entregar el reporte declarando que no existieron.

El reporte de llamadas deberá contener lo siguiente:

1 . El Reporte mensual debe enviarse vía correo electrónico al responsable designado por SHF para este efecto, un archivo en formato de Hoja de Cálculo de Excel con lo siguiente:

a) Por cada tipo de llamada saliente (local, larga distancia nacional, larga distancia internacional, celular local, celular nacional, celular internacional):

Detalle de la llamada: Identificación del número

Hora de inicio Hora de término Duración

Importe de la llamada, en moneda nacional Número total de llamadas por tipo de llamada Importe total de las llamadas por tipo de llamada

2. Reporte mensual de incidentes. Informe de todos los incidentes en el mes, con el detalle de cada uno:

a) Descripción del incidente.

10. GARANTÍAS.

De conformidad con el Artículo 48 de la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público, el Proveedor garantizará los servicios, mediante fianza expedida por institución financiera autorizada, por el 10% del importe máximo del contrato antes del Impuesto al Valor Agregado.

Document Metadata

Table of Contents

FEDERAL

Document Metadata