Beschreibung der Beschaffung
Ziel der vorliegenden Beschaffungsmaßnahme ist die Beschaffung eines Internet-Uplinks mit physisch 20 GBit/s Bandbreite unter einer geschätzten durchschnittlichen Auslastung von mindestens 2.500 Mbit/s zur Aufrechterhaltung der redundanten Anbindung an das Internet für das Land Hessen.
Daneben soll auch eine Dienstleistung des Providers für Mechanismen der Angriffserkennung und -abwehr, insbesondere zur Abwehr von "Distributed-Denial-of-Service"-Attacken in Anspruch genommen werden (Schutz sowohl des IPv4-, als auch des IPv6-Datenstromes vor Distributed-Denial-of-Service-Attacken sowie DDoS-Schutz auf Applikationsebene; im Folgenden: "DDoS"). Die Nutzung dieser Leistung erfolgt dauerhaft und ist hinsichtlich der Kosten abhängig von dem zu schützenden Datenstrom sowie der Anzahl der zu schützenden Netzsegmente und Domains/IP-Adressen. Hinsichtlich der zu schützenden IP-Subnetze für den L3-/L4-Schutz wird im Vertragszeitraum für IPv4 mit einem Bedarf für mindestens ein /18er-Netz und bei IPv6 mit einem Bedarf für ein /32er-Netz (perspektivisch zwei /32er-Netze) gerechnet. Für den L7-Schutz wird mit Bedarf für zehn Subdomains/IP-Adressen bzw. Applikationen gerechnet.
Fernerhin soll der Provider Prozesse zur Konnektierung von Second-Level-Domänen in unterschiedlichen Top-Level-Domänen bereitstellen. Dabei ist von einem Umfang von rund 400 dauerhaft zu konnektierenden Domänen auszugehen. Zusätzlich sind administrative Aufgaben zur Wahrnehmung rechtlicher Positionen bei der RIPE (Réseaux IP Européens), wie die Verwaltung der AS-Nummer des Auftraggebers und die Legacy-Verwaltung des IPv4-Netzes, zu übernehmen.
Darüber hinaus wird die Möglichkeit der Bereitstellung von allgemeinen Hosting-Diensten wie z.B. die Bereitstellung Streaming-Angeboten des Landes Hessen oder die Nutzung von Services zur Erreichbarkeitsüberwachung von Angeboten in den Infrastrukturen der HZD erwartet. Die Nutzung bestimmter Hosting-Dienste kann dabei befristet oder unbefristet sein. Der Abruf dieser Leistung ist bedarfsabhängig und lässt sich terminlich und vom Umfang nicht vorhersagen. Des Weiteren werden vom Provider Consulting- und Unterstützungsleistungen z.B. hinsichtlich komplexer Fragestellung im Zusammenhang mit dem BGP-Protokoll oder der Bereitstellung von IPv6 oder zur DDoS-Mitigationslösung erwartet, die sich unmittelbar auf die oben beschriebenen Leistungen beziehen.
Ziel der Ausschreibung ist der Abschluss eines Rahmenvertrages zur Bereitstellung eines Internet-Uplinks, in dem der Auftragnehmer einen Internetanschluss für das Land Hessen zu einem monatlichen Festpreis mit einem definierten Verbrauchsvolumen bereitstellt sowie zur Nutzung einer DDoS-Mitigationslösung des Providers.
Internet-Uplink
Internet-Uplink von 2x 10 GBit/s physischer Bandbreite.
Die physische Bandbreite von 20 GBit/s muss dem Auftraggeber in vollem Umfang zur Nutzung zur Verfügung stehen, um Lastspitzen (z.B. im Failover-Fall) ohne Qualitätseinbußen transportieren zu können. Von einer durchschnittlichen Auslastung während der Hauptarbeitszeit von ca. 2.500-4.000 Mbit/s mit steigender Tendenz ist auszugehen.
Die Anbindung zwischen dem Leitungsabschluss des Auftragnehmers und dem Anschlussrouter der HZD erfolgt über LWL (2x 10 GBit/s Singlemode).
Sofern der Auftragnehmer eigene Anschlusstechnik in das Rechenzentrum der HZD zur Bereitstellung des Internet-Uplink einbringen muss, gelten folgende Rahmenbedingungen:
o19"-fähige Geräte zum Einbau in entsprechende Racks (ohne Zwischenböden), falls nötig müssen passende Einbauschienen mitgeliefert werden
oAlle aktiven Geräte müssen über redundante Netzteile verfügen
oAlle Geräte werden in einer Kaltgang-Behausung betrieben
oBereitstellung von 2x10-GBit/s-Ports
oLWL-Singlemode-Schnittstellen zum Aufstecken der Patchkabel zum Anschlussrouter der HZD
oDer Hausübergabepunkt wird von der HZD festgelegt
Der Rack-Platz wird von der HZD zugewiesen, der Zugang zum Rack wird nicht exklusiv für den Provider bereitgestellt
Der Auftragnehmer stellt jeweils ein Transfernetz (IPv4/IPv6) zur Anbindung der Anschlussrouter der HZD zur Verfügung.
•Im Bedarfsfall muss es möglich sein, den Internet-Uplink von dem Internetübergang im Rechenzentrum Wiesbaden möglichst unterbrechungsfrei an den Internetübergang im Rechenzentrum Mainz zu verlagern.
•Die Wegeführung muss überschneidungsfrei zu der des Providers 2 sein, im Idealfall bis zu einem zentralen Austauschknoten, wie z.B. dem DeCIX in Frankfurt. Der aktuelle Übergabepunkt der Leitung des Providers 2 liegt in Mainz.
•Sofern der Auftragnehmer einen Unterauftragnehmer zur Bereitstellung der Anschlussleitung (Last Mile) einsetzt, ist dieser zu benennen. Auch für den Unterauftragnehmer gilt die Forderung der Überschneidungsfreiheit in der Wegeführung zu der des Providers 2.
•Der Auftragnehmer gewährleistet, dass er die angebotene und zugesagte Bandbreite für eine dauerhafte Nutzung von Internetangeboten bereitstellt. Aufgrund des Nutzungsprofils des Auftraggebers muss die volle angebotene und zugesagte Bandbreite mindestens im Zeitraum werktäglich (Montag - Samstag) zwischen 6:00 Uhr und 20:00 Uhr zur Verfügung stehen.
Es wird erwartet, dass der Auftragnehmer einen direkten Anschluss an einen der zentralen Austauschknoten wie z.B. DeCIX, KleyReX oder vergleichbares unterhält.
•Es muss sowohl IPv4- als auch IPv6-Traffic transportiert werden. Der Auftragnehmer gewährleistet, dass er neben dem IPv4-Traffic auch IPv6-Traffic (Dual-Stack) in der gleichen Qualität und dem gleichen Funktionsumfang transportieren kann.
•Der Auftragnehmer muss das vorhandene AS 29515 ins Internet propagieren (sowohl für IPv4 als auch für IPv6) und administrative Aufgaben zur Verwaltung der AS-Nummern wahrnehmen.
•Der Auftragnehmer muss Aufgaben zur Wahrnehmung rechtlicher Positionen bei der RIPE wahrnehmen.
•Der Auftragnehmer muss die Konnektierung von Second-Level-Domänen in unterschiedlichen Top-Level-Domänen vornehmen.
•Es wird erwartet, dass der Auftragnehmer für die von der HZD konnektierten Second-Level-Domänen die Übernahme eines Secondary-DNS-Services anbietet.
•Hinsichtlich der Konnektierung von Second-Level-Domänen in unterschiedlichen Top-Level-Domänen ist von rund 400 dauerhaft zu konnektierenden Domänen auszugehen.
Der Auftragnehmer muss administrative Aufgaben für die Verwaltung der Legacy-IPv4-Adressen erfüllen.
•Der Internet-Uplink ist rund um die Uhr (7/24) zur Verfügung zu stellen.
•Es wird eine Verfügbarkeit von > = 99% pro Jahr erwartet.
•Die Migration von dem jetzigen zu dem neuen Provider muss mit Ausfallzei-ten <= 4 Stunden unter Federführung des Auftragnehmers durchgeführt werden.
•Der Auftragnehmer muss an Tests zur Überprüfung der korrekten Funktionalität des Internet-Uplinks inklusive Failover-Tests ohne gesonderte Vergütung mitwirken.
Im Bedarfsfall ist die Bereitstellung von allgemeinen Hosting-Diensten wie z. B. das Hosting von Streaming-Angeboten des Landes Hessen oder die Nutzung von Services zur Erreichbarkeitsüberwachung von Angeboten in den Infrastrukturen der HZD erforderlich. Die Nutzung bestimmter Hosting-Dienste kann dabei befristet oder unbefristet sein. Der Abruf dieser Leistung ist bedarfsabhängig und lässt sich terminlich und vom Umfang nicht vorhersagen.
•Der Dienst ist rund um die Uhr (7/24) und über die gesamte Vertragslaufzeit anzubieten.
Es muss eine detaillierte Dokumentation der Topologie zwischen den Übergabepunkten der HZD und dem Point-of-Presence (POP) des Providers auf physikalischer und logischer Ebene bereitgestellt werden. Dabei sollen auch die konfigurierten Einstellungen bezüglich der Konvergenzzeit bei Umschaltung oder Nutzung von Redundanzen im Transportnetz zwischen dem Provider und dem Übergabepunkt zur HZD aufgeführt werden.
Bei Bedarf kann die HZD beim Auftragnehmer Consulting- und betriebliche Unterstützungsleistungen abrufen. Es handelt sich hierbei um:
Consulting- und Unterstützungsleistungen z.B. hinsichtlich komplexer Fragestellungen im Zusammenhang mit dem BGP-Protokoll oder mit Migrationsszenarien zu IPv6, die sich unmittelbar auf die oben beschriebenen Leistungen zum Internet-Uplink beziehen.
DDoS-Mitigation
Die DDoS-Mitigationslösung muss Angriffserkennung auf Layer 3, 4 und 7 bieten, sodass insgesamt Schutz vor DDoS-Angriffen auf Netzwerk-, Protokoll- und Applikations-Ebene gewährleistet ist.
Schädlicher Traffic muss vor Eintreffen im Netzbereich des Auftraggebers abge-wehrt werden, indem eingehende Requests geprüft werden und der schädliche Traffic ausgefiltert wird, valide Anfragen jedoch die Infrastruktur der HZD weiterhin erreichen.
•Die Anomalie-Erkennung darf nicht am Anschluss-Port bzw. am Webangebot des Auftraggebers ansetzen, sondern muss schon in der Infrastruktur bzw. an den Upstream-Ports des Auftragnehmers wirken, damit auch breitbandige Angriffe nicht auf die Infrastruktur des Auftraggebers durchschlagen.
•Sofern der Auftragnehmer einen Unterauftragnehmer zur Bereitstellung der DDoS-Mitigationslösung einsetzt, ist dieser zu benennen. Der Auftragnehmer - sowie ggf. ein Unterauftragnehmer - unterwirft sich den deutschen Datenschutzbestimmungen.
•Nach einem Angriff, der über eine solche Maßnahme gefiltert wurde, muss der Filtermechanismus bzw. die Umleitung noch mindestens 24 Stunden aktiv bleiben, um Folgeangriffe abwehren zu können.
Bei Bedarf kann die HZD beim Auftragnehmer Consulting- und betriebliche Unterstützungsleistungen abrufen. Es handelt sich hierbei um:
Consulting- und Unterstützungsleistungen z.B. hinsichtlich komplexer Fragestellungen im Zusammenhang mit der DDoS-Mitigation