Beschaffung von Consultingleistungen für das Netzwerkmanagement von SD-WAN und Netzzugangskontrolle

Beschreibung der Beschaffung

Bei der ausgeschriebenen Leistung handelt es sich um Dienstleistungen im Bereich Netzwerkmanagement. Ausgeschrieben wird die Unterstützung für den Aufbau und die Weiterentwicklung der Managementinfrastruktur des von der HZD betriebenen Software Defined Wide Area Network (SD-WAN). Zusätzlich benötigt wird eine Projektunterstützung für den Rollout des Verfahrens "Netzzugangskontrolle (Port-/VLAN-Security)" an den hessenweit verteilten Standorten der Kunden in der Landesverwaltung.
Ziel der vorliegenden Ausschreibung ist der Abschluss eines Vertrags mit einer Laufzeit von maximal 4 Jahren mit den Bestandteilen Netzdienstleistungen für "SD-WAN management" und "Netzzugangskontrolle".
Für die Unterstützungsleistungen wird nach aktuellem Planungsstand von einem Anforderungsumfang von drei Vollzeit Äquivalenten (FTE) ausgegangen. Dies entspricht einem Umfang von 2.640 Personentagen (PT) für die Vertragslaufzeit von 4 Jahren. Ein Personentag entspricht dabei 8 Personenstunden.
Es wird eine Mindestabnahmemenge von 528 PT (80% des geplanten jährlichen Umfangs) pro Vertragsjahr garantiert.
Vom Auftragnehmer sind für die geplanten Aufgaben drei Mitarbeiter*innen vorzusehen, die die nachfolgend beschriebenen Arbeiten übernehmen können. Nach aktueller Planung wird der Umfang der anfallenden Tätigkeiten bei ca. 1 FTE im Bereich SD-WAN Management und bei ca. 2 FTE im Bereich Netzzugangskontrolle liegen.
Es werden daher zwei Leistungsprofile mit Kenntnissen in den beiden Bereichen Netzzugangskontrolle und SD-WAN benötigt. Für das dritte Leistungsprofil sind Kenntnisse nur im Bereich Netzzugangskontrolle ausreichend.
Derzeit erfolgt die Einführung der oben beschriebenen Netzzugangskontrolle (Port-/VLAN-Security) bei verschiedenen großen Kunden der HZD. Deren Standorte sind hessenweit verteilt. Die Einführung wird im Rahmen von Rolloutprojekten organisiert. Gefordert sind fachspezifische Unterstützungsleistungen zur Einführung von Port-/VLAN-Security auf Basis von IEEE802.1X mit Hilfe der HZD Individual-Software.
Hierbei sind insbesondere folgende Tätigkeiten auszuführen:
-Erstellung von Konfigurationen in der Anwendung "HZD Port-/VLAN-Security" auf Basis UNIX Command Line Interface (CLI)
-Aktivieren, Deaktivieren, Konfigurieren und Verfizieren der Port-VLAN-Security auf Alcatel Komponenten über UNIX CLI bzw. Alcatel CLI
-Fehleranalyse auf Alcatel Netzwerkkomponenten und in der Portsecurity Konfiguration
-LOG-File Analyse UNIX
-Prüfung RADIUS/LDAP
-In- und Außerbetriebnahme von Port-VLAN-Security am Kundenstandort auf Anforderung des Kunden bzw. im Rahmen eines Rolloutprojekts
-Arbeiten mit dem Changemangement-Werkzeug der HZD (BMC Remedy) zum Erstellen und Bearbeiten von Changes
-Analyse übergreifender Portsecurityprobleme in Abstimmung mit dem HZD Netzservice, dem DHCP-Betrieb, dem VoIP-Betrieb und dem Standort-Betreuer des Kunden
-Unterstützung beim Aufbau einer dezentralen Consumer (LDAP/RADIUS) Infrastruktur im Kundennetz
-Zusammenarbeit mit dem HZD UNIX-Systembetrieb
-Zusammenarbeit mit dem HZD Netzbetrieb und der HZD Netzplanung
Unterstützung SD-WAN Management
Die Verwaltung und der Betrieb des Hessennetzes soll vereinfacht werden. Die Flexibilität, die Sicherheit und die Performance im WAN sollen durch den Einsatz einer Software Defined Network Lösung gesteigert werden. Das SD-WAN auf Basis von Cisco-Technologie dient dazu, die bestehenden Anforderungen an das Hessennetz umzusetzen und ist die Basis für zukünftige Anforderungen. Dazu gehören neben wachsenden Bandbreitenanforderungen auch eine Flexibilität der selbigen. Weiterhin sollen neue Backuplösungen zur Erhöhung der Verfügbarkeit entstehen. Sämtliche Dienststellenanbindungen im SD-WAN sollen eine Leitungsverschlüsse-lung erhalten. Eine Automation zur Vereinfachung des Betriebs von CE-Routern soll mit SD-WAN umgesetzt werden.
Die Planung für die Weiterentwicklung des Hessennetzes erfolgt durch den Bereich Netzplanung der HZD. Das Hessennetz selbst wird durch den HZD Netzservice betrieben.
Die für den Betrieb erforderliche Managementumgebung (SD-WAN Management) wird durch das Netzwerkmanagement Team (INSM) der HZD bereitgestellt und betreut.
Die geforderten Unterstützungsleistungen liegen im Bereich des SD-WAN Managements. Diese sind
-Unterstützung bei der Erweiterung der SD-WAN Management Umgebung (Automatisierung etc.) im Rahmen von Projekten
-Administration der SD-WAN Management Produktions- und, Pre-Produktionsumgebung
-Unterstützung bei Administration und Pflege der für die Automatisierung erforderlichen Werkzeuge (Entwicklungsserver)
-Erweiterung der Automatisierungswerkzeuge auf Anforderung und in Zusammenarbeit mit dem Netzbetrieb
-Aktualisierung der Controller Server Zertifikate und Root Zertifikate
-Unterstützung des Netzbetriebs bei Changes im SD-WAN
-Updates und Upgrade zur Sicherstellung von Funktion und Aktualität der SD-WAN Managementumgebung gemäß Abstimmung mit und Anforderung durch den Netzbetrieb
-Anlegen, Ändern und Löschen von Benutzern in der SD-WAN Management Umgebung
-Abstimmungen und Kommunikation mit den Betriebsgruppen der für die SD-WAN Management Umgebung benötigten Basisdienste
-Sicherstellen von regelmäßigen Backups der SD-WAN Management Umgebung
-Wiederanlauf nach Störung bzw. Ausfall der SD-WAN Management Umgebung
-Pflege der Überwachung der SD-WAN Management Umgebung (INSM) u.a. zur Überwachung der Zertifikate
-Incidentmanagement für die SD-WAN Management Umgebung gemäß Incident Management Prozess der HZD
Benötigte Skills
Netzzugangskontrolle
Für die Unterstützung im Bereich Einführung einer Netzzugangskontrolle werden konkret nachfolgende Skills benötigt.
-Hochschulabschluss in einer IT-nahen Fachrichtung (z.B. Informatik, Wirtschaftsinformatik, Nachrichtentechnik) oder gleichwertige einschlägige Erfahrungen
-Mindestens 2 Jahre Erfahrung
o In der Mitarbeit im Rollout-Management
o In der Ausführungsplanung und Koordination von IT Betrieb oder in der Unterstützung von Konfigurationen von Alcatel Netzwerkkomponenten und Technologien
-Mindestens 2 Jahre Erfahrungen
o im IT-Betrieb (möglichst nach ITIL)
o im Bereich Netzwerksicherheit (möglichst Netzzugangskontrolle nach IEE-E802.1X)
- Erfahrung bei der Erstellung von Konzepten (z.B. Betriebskonzept) und IT-Dokumentation (z.B. Betriebshandbuch)
- Grundkenntnisse zur Administration, Redundanzkonzepten und Automatisierung im UNIX-Umfeld
-Kenntnisse im Netzwerkmanagement (SNMP, MIB)
SD-WAN Management
Für die Unterstützung im Bereich SD-WAN Management auf Basis der Cisco SD-WAN Lösung werden konkret nachfolgende Skills benötigt.
- Hochschulabschluss in einer IT-nahen Fachrichtung (z.B. Informatik, Wirtschaftsinformatik, Nachrichtentechnik) oder gleichwertige einschlägige Erfahrungen
-Mindestens 2 Jahre Erfahrung
o In der Mitarbeit im Rollout-Management
o In der Ausführungsplanung und Koordination von IT Betrieb oder in der Unterstützung von Konfigurationen von Cisco Netzwerkkomponenten und Technologien
-Mindestens 2 Jahre Erfahrungen
o im IT-Betrieb (möglichst nach ITIL)
o mit der CISCO SD-WAN-Lösung
-Erfahrung bei der Erstellung von Konzepten (z.B. Betriebskonzept) und IT-Dokumentation (z.B. Betriebshandbuch)
- Grundlegene Kenntnisse Scripting (z.B. Phython, möglichst in Zusammenhang mit Cisco API/REST)
-Grundkenntnisse zur Administration, Redundanzkonzepten und Automatisierung im UNIX-Umfeld
- Kenntnisse im Netzwerkmanagement (SNMP, MIB)
Technische Rahmenbedingungen
Die Netzzugangskontrolle basiert auf einer in der HZD entwickelten Individual-Software. Die Software ermöglicht eine Absicherung im LAN der Kundenstandorte der Hessischen Landesverwaltung und nutzt die 802.1X-Fähigkeiten der eingesetzten Alcatel Netzwerkkomponenten.
Derzeit nutzen etwa 600 Systembetreuer der HZD-Kunden das Verfahren über eine WEB-basierte Benutzeroberfläche. Sogenannte CSA-Funktionen (Customer Self Administration) ermöglichen es, dass die Systembetreuer der Kunden Netzwerk-Sicherheitsparameter selbst einstellen können. Die Einstellungen führen zu automatisierten Anpassungen der Netzwerkkonfiguration. Basis hierfür ist eine enge Abstimmung mit dem Netzservice und der Netzplanung der HZD über die zugrunde liegende Netzwerkgrundkonfiguration.
Aus Sicherheitsgründen sind die zentralen Systeme über geografisch verteilte kundenspezifische Redundanzen, sogenannte Consumer abgesichert. Bei diesen Systemen handelt es sich um Authentisierungsinstanzen auf Basis von RHEL, RADI-US und LDAP in den Lokationen der Kunden. Diese ermöglichen einen stabilen Betrieb des Verfahrens in aktuell bis zu 350 über Hessen verteilten Kundenlokationen.
Das Software Defined Wide Area Network im Hessennetz der Landesverwaltung basiert auf der SD-WAN Technologie der Fa. Cisco. Das Management der Umgebung erfolgt über sogenannte SD-WAN Controller (vManage, vBond, vSmart), die - z.B. im Falle von vMange - über eine REST Schnittstelle in das zentrale Config- und Accessmanagement der HZD eingebunden sind. Die Controller sind in den Rechenzentren der HZD in Virtualisierungstechnologie implementiert und georedundant ausgelegt.
Überwachung und Monitoring erfolgen mit Hilfe der zentralen Netzwerkmanagement Systeme der HZD. Hierüber werden auch die erforderlichen Betriebsprozesse wie z.B. Event-, Incident-, und Change Management unterstützt.
Leistungsort für die zu erbringenden Leistungen sind die derzeitigen und zukünftigen Standorte der HZD in Wiesbaden, Mainz und Hünfeld sowie der Sitz der föderalen IT-Kooperation (FITKO) in Frankfurt am Main. Die Leistungen werden dabei hauptsächlich am Standort HZD Wiesbaden benötigt und können in Abstimmung mit der HZD überwiegend remote erbracht werden.

Beschreibung der Verlängerungen

Der Rahmenvertrag soll am 01.07.2023 beginnen und hat eine Mindestlaufzeit von 24
Monaten. Nach Ablauf dieser Mindestlaufzeit verlängert sich der Rahmenvertrag um
jeweils ein weiteres Jahr, wenn nicht der Auftraggeber spätestens drei Monate vor Ab-
lauf der jeweiligen Vertragslaufzeit kündigt. Der Rahmenvertrag endet spätestens nach
Ablauf von 48 Monaten nach Zuschlagserteilung.

Zusätzliche Informationen

Die Leistungen aus der Rahmenvereinbarung können bis zu einem Höchstwert von 3.570.336 Euro (netto) bei einer maximalen Laufzeit von vier Jahren abgerufen werden. Ist dieser Höchstwert erreicht, endet die Rahmenvereinbarung, ohne dass es einer gesonderten Kündigung bedarf.

Liste und kurze Beschreibung der Auswahlkriterien

Darstellung von mindestens drei geeigneten Referenzen aus den letzten drei Jahren
(Stichtag "Ablauf der Angebotsfrist"), die den nachfolgend aufgeführten Anforderungen an die jeweilige Referenz entsprechen.
Referenz Nr. 1: IT-Planung und Betrieb allgemein
- Ausführungsplanung und Koordination von IT Betrieb oder im IT-Betrieb (nach
ITIL oder vergleichbar)
- Erstellung von Konzepten (z.B. Betriebskonzept) und IT-Dokumentation (z.B. Be-
triebshandbuch)
- Rollout-Management
- Administration Netzmanagement und UNIX
Referenz Nr. 2: Einführung einer Netzzugangskontrolle
- Konfigurationen von Alcatel Netzwerkkomponenten und Technologien
- Implementierungen im Bereich Netzwerksicherheit (Netzzugangskontrolle nach
IEEE802.1X oder vergleichbar)
Referenz Nr. 3: SD-WAN Management auf Basis der Cisco SD-WAN-Technologie
- Konfigurationen von Cisco Netzwerkkomponenten und Technologien
- Implementierung und Einsatz der CISCO SD-WAN-Lösung im Kundenumfeld
Zu jedem der drei genannten Themenbereiche, ist mindestens eine Referenz anzuge-
ben. Es ist zulässig mehrere Themenbereiche mit der gleichen Referenz abzudecken.
In diesem Fall ist die entsprechende Referenz mehrfach anzugeben (z. B. bei Referenz
Nr. 1 und Nr. 2 oder Nr. 2 und Nr. 3 usw.).
(Datei "Referenzen" auf der Vergabeplattform).
In der Referenzvorlage ist abschließend die Person des Erklärenden namentlich
anzugeben.

Bedingungen für die Teilnahme (technische und berufliche Fähigkeiten)

Bei den aufgeführten Anforderungen an die technische und
berufliche Leistungsfähigkeit handelt es sich um Mindestanforderungen.
Unternehmen, die diese Mindestanforderungen nicht erfüllen, sind zur Auftragsausführung nicht geeignet und werden aus dem Vergabeverfahren ausgeschlossen.

Bedingungen für die Vertragserfüllung

Der Auftraggeber sowie die Bewerber/ Bieter, Bewerbergemeinschaften/ Bietergemeinschaften sowie Unterauftragnehmer sind zur Einhaltung der Vorschriften des Hessischen Vergabe- und Tariftreuegesetzes (HVTG) vom 12. Juli 2021 (GVBl. S. 338) in der jeweils geltenden Fassung verpflichtet. Bewerber/ Bieter, jedes Mitglied einer Bewerbergemeinschaft/ Bietergemeinschaft sowie Unterauftragnehmer (§ 6 HVTG) haben die erforderliche Verpflichtungserklärung zu Tariftreue und Mindestlohn nach § 4 HVTG mit dem Teilnahmeantrag abzugeben (Datei "Verpflichtungserklaerung_oeff_AG"). Die Verpflichtungserklärung bezieht sich nicht auf Beschäftigte, die bei einem Bieter, Nachunternehmer und Verleihunternehmen im EU-Ausland beschäftigt sind und die Leistung im EU-Ausland erbringen.

Eine Beschreibung der zu vergebenden Leistung steht auf der Vergabeplattform des Landes Hessen (https://vergabe.hessen.de) zur Verfügung und muss dort heruntergeladen werden.
Der Bieter hat die Eigenerklärung zu den zwingenden Ausschlussgründen
nach § 123 GWB ausgefüllt mit seinem Angebot vorzulegen.
(Datei "Eigenerklaerung_Ausschlussgruende_Par_123_GWB")
Der Bieter hat die Eigenerklärung zu den fakultativen Ausschlussgründen
nach 5 124 GWB ausgefüllt mit seinem Angebot einzureichen.
(Datei "Eigenerklaerung_Ausschlussgruende_Par_124_GWB")
Der Bieter hat die Eigenerklärung zum Artikel 5k der EU-Verordnung
833/2014 ausgefüllt mit seinem Angebot einzureichen.
(Datei "Eigenerklaerung Artikel 5k EU-Verordnung 833-2014')
Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die jeweilige Erklärung in der entsprechenden Form einzureichen. Bei Einsatz von Unterauftragnehmern hat jeder Unterauftragnehmer die jeweilige Erklärung (mit Ausnahme der Eigenerklärung zum Artikel 5k der EU-Verordnung
833/2014) in der entsprechenden Form einzureichen.
Den Zuschlag erhält der Bieter mit dem wirtschaftlichsten Angebot in Bezug auf den
Preis (Zuschlagskriterium 100%). Entscheidend ist hier die Gesamtangebotssumme
(brutto), die sich aus den Summen der entsprechenden Positionen im Preisblatt (Datei "Preisblatt") ergibt.
Werden mehrere Angebote mit dem gleichen Preis abgegeben, entscheidet das Los
über den Zuschlag.

Genaue Informationen über Fristen für Überprüfungsverfahren

§ 160 GWB
(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.
(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach §97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.
(3) Der Antrag ist unzulässig, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach §134 Absatz 2 bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.