Implementační projekt

Příloha č. 4 Smlouvy o dílo Implementační projekt 327

OBSAH 1. IMPLEMENTAČNÍ PROJEKT... 3 1.1. Globální přehled projektu...3 1.1.1. Rozdělení implementačních prací projektu na jednotlivé fáze...4 1.1.2. Činnosti jednotlivých fází...5 1.1.3. Způsob implementace...6 1.1.4. Průběh implementace...6 1.1.5. Integrace existujícího prostředí Zadavatele...9 1.1.6. Odstávky prostředí...9 1.1.7. Rizika implementace a nápravná opatření... 10 1.1.8. Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014... 11 1.2. Hardwarové zdroje... 11 1.2.1. Datové centrum... 11 1.2.2. Síťové služby HW... 11 1.2.3. Serverové stanice... 40 1.2.4. FW služby a bezpečnost HW... 49 1.2.5. Jednotný datový prostor (SAN)... 52 1.2.6. HSM služby... 57 1.2.7. Zálohovací služby HW... 59 1.2.1. Konektivita datového centra... 62 1.3. Služby Operačního Systému... 62 1.3.1. Platforma OS... 62 1.3.2. Síťové a bezpečnostní služby... 66 1.3.3. Adresářové služby... 66 1.3.4. DNS služby... 70 1.3.5. Časové služby... 72 1.3.6. Virtualizační služby... 76 1.3.7. Souborové služby... 79 1.3.8. Clusterové služby... 82 1.4. Systémové služby... 84 1.4.1. Databázové služby... 84 1.4.2. Webové služby... 88 1.4.3. Poštovní služby... 90 1.4.4. Dohled a management služby... 92 1.4.5. Antivirové a antispamové služby... 95 1.4.6. Zálohovací služby... 97 1.4.7. Terminálové služby... 100 1.4.8. Služby vzdáleného přístupu... 103 328 2/105

1. IMPLEMENTAČNÍ PROJEKT 1.1. GLOBÁLNÍ PŘEHLED PROJEKTU Vytvoření globálního přehledu projektu je vzhledem k rozsahu a složitosti projektu nepřehledné. Na implementaci IS je z toho důvodu nutné nahlížet dvěma pohledy, manažerským a technologickým / systematickým pohledem. Oba pohledy je nutné v klíčových oblastech slučovat a nacházet průsečíky termínů a kompetencí týmů manažerů a systémových administrátorů. Sloučením obou pohledů dochází k synergickému efektu a tvorbě pohledu na celou implementaci prostřednictvím dílčích oblastí. Manažerský pohled na implementaci IS PODPIS SMLOUVY KICK - OFF PŘÍPRAVNÁ FÁZE INSTALAČNÍ FÁZE KONFIGURAČNÍ FÁZE AKCEPTAČNÍ FÁZE 2 - Jmenování členů PR. týmu 3 - Zahájení projektu 4 - Přidělení přístupů Uchazeči do IS Zadavatele 5 Hardwarové zdroje 6 - Kontrolní den Jednání PR. Týmu 24.6.2014 7 - Služby operačního systému 8 - Kontrolní den Jednání PR. Týmu 16.7.2014 9 - Systémové služby 10 - Předání scénářů akcept. 3. 7. 2014 11 - Výzva k akceptaci 17. 7. 2014 12 - Kontrolní den Jednání PR. Týmu 6.8.2014 13 - Předložení Díla k akceptaci 7. 8. 2014 14 - Projednání výhrad Zadavatele 15 - Zpřístupnění Díla provozovateli apl. MS2014 18. 8. 2014 16 - Předání díla 29. 8. 2014 329 3/105

Technologický pohled na implementaci IS Hardwarové zdroje Datové centrum Jednotný datový prostor (SAN) Síťové služby - HW HSM služby Serverové stanice Zálohovací služby - HW FW služby - bezpečnost - HW Konektivita datového centra Virtualizace Serverová virtualizace Uchazeče / Zadavatele Služby operačního systému Platforma OS Časové služby Síťové a bezpečnostní služby Virtualizační služby Adresářové služby Souborové služby DNS služby Clusterové služby Systémové služby Databázové služby Antivirové a antispamové sl. Webové služby Zálohovací služby Poštovní služby Terminálové služby Dohled a management sl. Služby vzdáleného přístupu Testování Předání Díla 1.1.1. Rozdělení implementačních prací projektu na jednotlivé fáze Pro možnost jednoduché kontroly realizovaných činností v rámci implementace byl projekt rozdělen na fáze. Každá fáze projektu bude ukončena Kontrolním dnem schůzkou projektového týmu, na kterém si zástupci Zadavatele a Uchazeče shrnou kroky prací provedených v rámci konkrétní fáze a případné rozpory s plánem. Termíny jednotlivých fází implementace byly stanoveny následovně: Podpis smlouvy: 1. 6. 2014 Přípravná fáze: 3. 6. 23. 6. 2014 Instalační fáze: 25. 6. 15. 7. 2014 Konfigurační fáze: 17. 7. 6. 8. 2014 330 4/105

Klíčové termíny projektu: Podpis smlouvy: 1. 6. 2014 Kick-off: 2. 6. 2014 Zahájení implementačních prací: 3. 6. 2014 Kontrolní den: 24. 6. 2014 Kontrolní den II: 16. 7. 2014 Předání scénářů akceptace: 3. 7. 2014 Výzva k akceptaci: 17. 7. 2014 Kontrolní den III: 6. 8. 2014 Předložení díla k akceptaci.: 7. 8. 2014 Zpřístupnění díla: 18. 8. 2014 Předání díla: 29. 8. 2014 V rámci implementace služeb budou Uchazečem prováděny činnosti uvedené v následujících bodech. Uchazeč v návrhu činností zahrnuje nejen implementační činnosti vycházející z odstavce Požadovaný rozsah dodávek a implementace služby v příloze č. 1 Smlouvy o dílo, ale i o činnosti, které s implementací uvedených služeb úzce souvisí a se kterými má zkušenosti z projektů obdobného rozsahu. 1.1.2. Činnosti jednotlivých fází 1.1.2.A Přípravná fáze V rámci přípravné fáze proběhnou tyto činnosti: Služby Datového centra a konektivity datového centra Objednávka a dodání HW a SW produktů Instalace a základní konfigurace HW a síťové úrovně Virtualizace prostředí Zadavatele/Uchazeče pro urychlení implementačních činností Instalace virtuálních serverů a jejich platforem operačního systému 1.1.2.B Instalační fáze V rámci instalační fáze proběhnou tyto činnosti: Implementace služeb operačního systému Implementace doménových návazností na virtuální servery Konfigurace nezávislých služeb Instalace služeb na virtuální služby Instalace fyzických serverů a jejich zahoření Instalace virtualizačních node Migrace virtuálních serverů na finální HW 1.1.2.C Konfigurační fáze V rámci konfigurační fáze proběhnou tyto činnosti: Implementace systémových služeb 331 5/105

Konfigurace návazností Finální konfigurace služeb Kontrola funkčnosti Závěrečná dokumentace stavu infrastruktury Provedení plné zálohy systému 1.1.3. Způsob implementace Způsob implementace vychází z technologického pohledu. Technologický pohled přináší způsob, jakým stylem bude budován IS. K budování IS lze přistoupit jako k jakékoliv stavbě. Nejprve je nutné vybudovat kvalitní základy, na kterých je vybudována hrubá stavba do které jsou postupně implementovány jednotlivé technologie (topení, el. energie, datové rozvody). Základem u IT je kvalitní HW vybavení, na který jsou implementovány služby operačního systému. Do tohoto prostředí jsou následně implementované systémové služby. Do zvoleného způsobu implementace bylo nutné zohlednit respektování klíčových milníků dle článku 4.2 závazného návrhu Smlouvy o dílo. Tyto klíčové milníky jsou důležité z pohledu implementace, jelikož jasně ohraničují rámec, po který je možné provádět samotnou implementaci prostředí. Protože výrazně omezují prostor pro implementaci na pouhých 10 týdnů. Přičemž uchazeč musel vzít v potaz, že zadavatel chce nový HW, kdy běžná dodací lhůta je 4-6 týdnů. Uchazeč na základě dlouhodobé zkušenosti s implementováním rozsáhlých IS vzal tyto termíny v potaz a navrhl způsob implementace, který plně pokryje požadovaný způsob implementace a zároveň bude vytvořena dostatečná rezerva pro řešení mimořádných situací. Vzhledem k vysoké míře virtualizace v MS 2014+ je možné tuto skutečnost využít při způsobu implementace. Virtualizační služby umožňují jednoznačně oddělit HW vrstvu od ostatních služeb. V přirovnání se stavbou domu jsou virtualizační služby základovou deskou pro budování IS. Uvedená skutečnost umožňuje začít budovat IS mimo finální HW vybavení. Tak aby Uchazeč garantoval dodržení termínu připravenosti Prostředí pro provoz Aplikace MS2014+ ve vazbě na parametry Díla požadované pro Prostředí Aplikace MS2014+, Uchazeč v rámci plnění poskytne vlastní virtualizační prostředí. Toto virtualizační prostředí bude umístěno do stávajících prostor Zadavatele po dobu implementace. Na základě těchto východisek byl sestaven implementační projekt. 1.1.4. Průběh implementace Průběh implementace vychází ze způsobu zpracování implementačního projektu. Byly vypracovány postupně jednotlivé dílčí kapitoly implementace jednotlivých služeb. Celý proces je rozdělen do několika bloků a celků. První blok jsou databázové služby a včetně dodávky Oracle Exadata. Druhý blok jsou servery provozované ve virtuálním prostředí. Třetí blok je HW vybavení umístěné v cílovém datacentru. První blok je realizován do tří základních fází. První fáze je analýza stávajícího prostředí a vypracování technického projektu instalace a konfigurace Oracle Exadata, tato fáze je nezávislá od ostatních částí. V druhé fázi proběhnou instalační a konfigurační práce. V rámci této fáze již bude nutné základní oživení HW vybavení v umístěné v datacentru. V poslední fázi proběhne zaškolení a dokumentace skutečného provedení. Druhý blok, implementace VM, je rozdělen do dvou fází. V první fázi budou vytvořeny VM a nainstalovány jednotlivé služby. Tato fáze je závislá pouze na vytvoření virtualizačního prostředí na dočasném prostředí. Ve druhé fázi dojde k migraci na finální migraci na HW. Třetí blok je samotná implementace HW vybavení v datacentru. Tato část bude probíhat kontinuálně v návaznosti na probíhající dodávky HW. 332 6/105

1.1.4.A Harmonogram - základní Oblast Díla dle Technické specifikace Díla Celkový počet MD Počet pracovníků realizujících impl. Počet dní Termín SYSTÉMOVÉ SLUŽBY SÍŤOVÉ A BEZPEČNOSTÍ SLUŽBY DOHLED A MANAGEMENT SLUŽBY OS A JEHO SLUŽBY HW INFRASTRUKTURA PROJEKTOVÁ DOKUMENTACE Databázové služby 193 5 64 3. 6. 6. 8. 2014 Webové služby 21,5 1 42 25. 6. 6. 8. 2014 Terminálové služby 5,5 1 20 17. 7. 6. 8. 2014 Služby vzdáleného přístupu 5,5 1 20 17. 7. 6. 8. 2014 Zálohovací služby 12 1 42 25. 6. 6. 8. 2014 Clusterové služby 10 1 42 25. 6. 6. 8. 2014 Antivirové a antispamové služby 5 1 20 17. 7. 6. 8. 2014 Virtualizační služby 12,5 1 64 3. 6. 6. 8. 2014 Poštovní služby 6 1 20 17. 7. 6. 8. 2014 Síťové služby 8 1 42 25. 6. 6. 8. 2014 Firewall služby - bezpečnost 13 1 42 25. 6. 6. 8. 2014 Virtual Machine Manager (SCVMM) 11,5 1 42 25. 6. 6. 8. 2014 Operations manager 82,5 3 58 9. 6. 6. 8. 2014 Configuraion manager 8,5 2 42 25. 6. 6. 8. 2014 Group Policy 4 1 42 25. 6. 6. 8. 2014 Platforma OS 10 1 64 3. 6. 6. 8. 2014 Adresářové služby 7 1 64 3. 6. 6. 8. 2014 Souborové služby 7 1 42 25. 6. 6. 8. 2014 Časové služby 3 1 64 3. 6. 6. 8. 2014 DNS služby 3 1 64 3. 6. 6. 8. 2014 Jednotný datový prostor 40,5 3 64 3. 6. 6. 8. 2014 Serverové stanice 8 1 64 3. 6. 6. 8. 2014 HSM služby 32 2 64 3. 6. 6. 8. 2014 Zpracování projektové dokumentace v 40 1 64 3. 6. 6. 8. 2014 požadovaném rozsahu CELKEM ZA IMPLEMENTAČNÍ SLUŽBY 549 333 7/105

1.1.4.B Harmonogram detailní MD na týdny Oblast Díla dle Technické specifikace Díla Celkový počet MD 3.6. 8.6. 9.6. 15.6. 16.6. 22.6. 23.6. 29.6 30.6. 6.7. 7.7. 13.7. 14.7. 20.7. 21.7. 27.7. 28.7. 3.8. 4.8. 6.8. SYSTÉMOVÉ SLUŽBY SÍŤOVÉ A BEZPEČ. SLUŽBY DOHLED A MANAGEMENT SLUŽBY OS A JEHO SLUŽBY HW INFRASTRUKTURA Databázové služby 193 10 15 20 20 20 25 25 25 25 8 Webové služby 21,5 4 4 4 4 4 1,5 Terminálové služby 5,5 2 2 1,5 Služby vzdáleného přístupu 5,5 2 2 1,5 Zálohovací služby 12 2 2 2 2 2 2 Clusterové služby 10 1 2 3 2 2 Antivirové a antispamové služby 5 4 1 Virtualizační služby 12,5 1 3 3 4 1,5 Poštovní služby 6 5 1 Síťové služby 8 2 6 Firewall služby - bezpečnost 13 3 3 1 1 5 Virtual Machine Manager (SCVMM) 11,5 5 5 1,5 Operations manager 82,5 10 10 10 10 10 10 7,5 15 Configuraion manager 8,5 8,5 Group Policy 4 2 1 1 Platforma OS 10 3 7 Adresářové služby 7 4 3 Souborové služby 7 2 1 1 1 1 1 Časové služby 3 2 1 DNS služby 3 2 1 Jednotný datový prostor 40,5 15 10 5 5 5 0,5 Serverové stanice 8 5 3 HSM služby 32 4 5 5 5 5 8 334 8/105

1.1.5. Integrace existujícího prostředí Zadavatele Z pohledu integrace je nutné se především zaměřit na dvě oblasti, které mají přímý dopad na existující prostředí. První oblastí je přenos dat a konfigurací ze stávajícího prostředí do nového produkčního prostředí. Druhou oblastí je vytvoření zálohovacího prostředí a převzetí a konsolidace stávajícího testovacího a školícího prostředí. 1.1.5.A Přenos dat a konfigurací systému Zadavatel v příloze č. 1 Technické specifikace díla popisuje stávající prostředí, kde je především implementované testovací prostředí. Zároveň Zadavatel očekává, že v tomto prostředí již budou provozovány ostré prototypy aplikací. Uchazeč na základě těchto informací očekává, že se bude jednat plně funkční prostředí, které se bude nejblíže rovnat požadovanému stavu, ale bez dostatečného výkonu a redundance. Uchazeč má k dispozici vlastní skripty, které dokáží provést bezvýpadkovou kontrolu prostředí a vyexportovat nastavení standardních i specifických komponent systému. Získané výstupy následně budou generalizovány pro možnost následné determinace na jednotlivé nové prvky. Výše uvedeným postupem bude optimálně zajištěn přesun konfigurace. Tato metoda bude využita při implementaci webových služeb, které tvoří základ běhového prostředí aplikací MS2014. Druhou částí je integrace stávajících dat do nově implementovaného a budovaného prostředí. Z charakteru aplikace MS2014 je patrné, že základ všech dat je uložen v databázovém prostředí Oracle. Jako druhým uložištěm unikátních uživatelských informací je Active Directory, kde jsou především uloženy informace o uživatelských účtech a informací na něm vázaných. Uchazeč očekává a navrhuje, že stávající data budou exportována do nového prostředí. Nejprve dojde k vybudování nového prostředí a následně dojde k migraci dat. Přesný postup migrace dat uložených v Oracle databázi bude upřesněn v rámci implementačního projektu databázových služeb, který zadavatel požaduje vypracovat v rámci plnění. V případě ostrých uživatelských účtů v Active Directory Uchazeč navrhuje maximálně stávající informace ponechat a přenést do nového produkčního prostředí i za cenu kompletního vytvoření nového již existujícího prostředí. Výhodou uvedeného řešení je minimalizace dopadu na uživatele již v ostrém prostředí a bez jakéhokoliv podezření na kompromitaci uživatelského účtu. Přenosem adresářové struktury zároveň nedojde k porušení auditní stopy na úrovni systémových účtů a dojde k minimalizaci délky výpadku produkčního prostředí. Dalším plusem je, že všem uživatelům zůstanou zachována původní hesla, protože uživatelské hesla nelze na základě zvolené technologie vyexportovat ani jiným způsobem získat. 1.1.5.B Vytvoření zálohovací lokality Vytvoření zálohovací lokality má přímý dopad na existující prostředí Zadavatele. Do prostředí budou implementovány nové prvky a služby. V souladu s přílohou č. 1 Technická specifikace díla budou do infrastruktury implementovány zálohovací služby, HSM služby a vybrané aktivní a bezpečnostní prvky. Do stávajícího prostředí budou implementovány adresářové služby provozované ve virtuálním prostředí. 1.1.6. Odstávky prostředí Samostatnou oblastí v rámci integrace stávajícího prostředí s nově dodávanými prvky jsou odstávky prostředí pro provoz Aplikace MS2014+ (školící / testovací a zálohovací prostředí). Odstávky budou nutné pouze u oblastí, které projdou rekonfigurací a zároveň tuto rekonfiguraci nelze provést v rámci běžného provozu bez zásadního omezení služeb. Uchazeč bude veškeré práce provádět ve snaze minimalizovat délku odstávek se zachováním maximální bezpečnosti a konzistence již pořízených ostrých dat. Krátkodobé odstávky systému (restarty) budou prováděny v nočních 335 9/105

hodinách mimo provozní dobu aplikace MS2014. Odstávky s předpokládanou delší dobou nedostupnosti systému budou realizovány o víkendech. Z charakteru systému bude klíčová rekonfigurace stávající Oracle Exadata, které budou muset být aktualizovány na nejnovější verzi podporovanou výrobcem DB prostředí a dodavatelem aplikace MS2014. Na základě dostupných informací Uchazeč předpokládá, že v rámci Oracle Exadata bude nutná jedna víkendová odstávka na provedení této aktualizace. Krátkodobé odstávky budou nutné z důvodu rekonfigurace síťového prostředí, implementace HSM do prostředí, nasazení a ověření zálohování včetně přechodu na stand-by stranu. Druhou oblastí, kde lze očekávat odstávku je rekonfigurace adresářových služeb. Počet a délka odstávek nelze na základě dostupných informací přesně určit. Počet odstávek bude stanoven po vstupní analýze prostředí. Pokud jsou ostré uživatelské účty odděleny, Uchazeč bude garantovat nulovou délku výpadku. Další oblastí, kde lze očekávat krátkodobý výpadek prostředí je implementace nových aktivních prvků do zálohovací lokality a rekonfigurace CITRIX Netscalerů Ostatní služby si nevyžádají odstávku prostředí a lze jejich implementaci provést bezvýpadkově. Detailní integrace a odstávky dílčích služeb jsou uvedeny v implementaci jednotlivých služeb. 1.1.7. Rizika implementace a nápravná opatření Implementaci projektu protínají ve všech krocích rizika, která by mohla ovlivnit implementační práce, termíny výše uvedených fází a v konečném důsledku i úspěšné ukončení projektu v předpokládaném termínu. Uchazeč zvážil okolnosti a analyzoval možná rizika uvedená níže: 1. Zpoždění dodávky HW a navazujících prací 2. Nedostatek lidských kapacit 3. Nefunkční konektivita mezi datacentry 4. Transport migrovaných dat 5. Chyby validace konfigurace Uvedená rizika budou ošetřena těmito opatřeními: 1. Virtualizace prostředí před dodáním HW a následná migrace na finální HW zdroje veškeré virtuální stroje budou vytvořeny na HW Zadavatele / Uchazeče a proběhne základní konfigurace níže popisovaných služeb. Po dodání HW zdrojů bude provedena migrace na finální HW zdroje a dodatečná konfigurace. 2. Pro eliminaci rizika nedostatku lidských kapacit Uchazeč v každé kapitole detailně specifikoval nároky na jednotlivé profesní role. Uchazeč zajistí zastupitelnost na pozicích Systémového administrátora, Databázového administrátora, Dokumentátora - Uchazeč ve svém týmu disponuje dostatečným počtem pracovníků schopných implementovat uvedené služby. Uchazeč má ve své realizačním týmu několik odborníků, kteří splňují kvalifikační předpoklady pro více rolí požadovaných v ZD. 3. Po dobu budování a implementace lze dočasně pokrýt vytvořením dočasného propoje. Propoj bude realizován prostřednictvím zabezpečeného tunelu VPN. 4. Uchazeč zajistí jednu z uvedených možností: vysokokapacitní datová úložiště, vysokorychlostí linka tak, aby migrace virtuálních strojů na finální HW zdroje proběhla v co nejkratším možném termínu. 5. Konfigurace služeb jako např. Clusterové služby vyžadují validaci a ověření funkčnosti. Veškeré služby budou konfigurovány do bezchybného stavu a v případě chyb validace proběhne jejich rekonfigurace. 336 10/105

1.1.8. Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 V oblasti součinnosti je především vyžadován umožnění přístupu do stávajícího IS a poskytnutí technických a konfiguračních informací pro správnou implementaci prostředí. Po zahájení projektu předá Uchazeč detailní soupis technických konfiguračních požadavků, které budou nezbytné pro bezproblémovou a správnou implementaci a následný provoz systému. Požadavky budou vycházet ze specifikace uvedené v jednotlivých dílčích kapitolách Implementačního projektu. Samostatnou oblastí je zajištění vhodného prostředí pro běh HW prvků umístěných do zálohovací lokality. V přípravné fázi bude Uchazeč vyžadovat zvýšenou součinnost v oblasti konzultací a definici požadavků na systém. V rámci efektivity navrhuje uchazeč konání 2x týdně jednání na téma definice specifických požadavků na systémové prostředí pro aplikaci MS2014 v prostorách zadavatele. Jednání budou ve složení Uchazeč, Zadavatel, Provozovatel aplikace MS2014. V rámci instalační a konfigurační fáze se budou tato jednání uskutečňovat 1x týdně. Stanovení jednoho pracovníka ze strany Provozovatele aplikace MS2014, který bude aktivně spolupracovat a zodpovídat za definici specifických technických a bezpečnostních parametrů pro aplikaci MS2014+. Stanovení jednoho pracovníka ze strany Zadavatele, který bude aktivně spolupracovat a zodpovídat za definici specifických bezpečnostních a technických parametrů pro aplikaci MS2014+. Vzhledem k velmi krátké době na implementaci uchazeč očekává, že veškeré vstupy a vyžádané informace mu budou dodány nejpozději do tří pracovních dnů od vyžádání. 1.2. HARDWAROVÉ ZDROJE 1.2.1. Datové centrum Služby datového centra jsou blíže specifikovány v příloze č. 5 Popis realizace služeb servisní smlouvy. 1.2.2. Síťové služby HW 1.2.2.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech: Přístup do stávajícího IS Spolupráce při změně adresního plánu Spolupráce při tvorbě směrovacích pravidel datové komunikace 1.2.2.B Požadavky na odstávky prostředí Změna při rekonfiguraci stávajících aktivních prvků na nové si vyžádá krátkodobou nedostupnost provozovaných služeb ve stávajícím prostředí zadavatele. Délka nedostupnosti služeb nepřesáhne 1 hodinu. 337 11/105

1.2.2.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Integrace s existujícím prostředím (školící / testovací) bude prováděna na úrovni připojení zálohovacího prostředí. Stávající HW prvky (školící / testovací) budou k datové komunikaci využívat nově dodané aktivní prvky. Na fyzické vrstvě dojde k propojení stávajících ORACLE Exadata a zároveň dojde k připojení stávajících switchů v BLADE řešeních. Implementované prvky budou mít pozitivní dopad na současný HW a plně umožní využít jeho výkon (10 Gbit/s). Stávající adresní plán bude upraven dle nové koncepce v návaznosti na požadavky Zadavatele. 1.2.2.D Implementace D.I. HW zdroje o Datové centrum Vstupní požadavky implementace D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující HW a SW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo Popis způsobu realizace Veřejné zakázky v oblasti dodávek. Primární lokalita HW 2x Switch Core/Access 2x Switch Access/Management 2x Switch Access/IDMZ Příslušenství (kabeláž, SFP moduly) Primární lokalita SW Licence Zálohovací lokalita HW 1x Switch Core/Access Příslušenství (kabeláž, SFP moduly) Zálohovací lokalita SW Licence D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Implementace služby 1. Instalace aktivních prvků do rackové skříně 2. Připojení silové kabeláže a datových propojů mezi aktivními prvky (vrstvená architektura) 3. Kontrola a případný upgrade nově dostupných firmware 4. Základní konfigurace aktivního prvku (oživení) 5. Změna defaultních administračních přístupových hesel k zařízením 338 12/105

6. Konfigurace vysoké dostupnosti aktivních prvků 7. Konfigurace jednotlivých virtuálních sítí (VLAN, vytvoření adresních rozsahů) 8. Konfigurace routingu mezi lokalitami a virtuálními sítěmi 9. Instalace a konfigurace SW monitoringu - včetně modulů na management serveru 10. Konfigurace monitoringu a reportingu D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Po dodání HW zdrojů bude implementace a konfigurace služby v prostředí Zadavatele probíhat dle standardního modelu implementace. Implementace v Primární lokalitě 1. Instalace aktivních prvků do rackové skříně 2. Připojení silové kabeláže a datových propojů mezi aktivními prvky (vrstvená architektura) 3. Kontrola a případný upgrade nově dostupných firmware 4. Základní konfigurace aktivního prvku (oživení) 5. Změna defaultních administračních přístupových hesel k zařízením 6. Konfigurace vysoké dostupnosti aktivních prvků (IRF) 7. Konfigurace jednotlivých virtuálních sítí (VLAN, vytvoření adresních rozsahů) 8. Konfigurace routingu mezi lokalitami a virtuálními sítěmi 9. Instalace a konfigurace SW monitoringu - včetně modulů (HP IMC Standard, Network Traffic Analyzer, Service Health Manager, TACACS+) na management serveru 10. Konfigurace monitoringu a reportingu Implementace v Zálohovací lokalitě 1. Instalace aktivních prvků do rackové skříně 2. Připojení silové kabeláže a datových propojů mezi aktivními prvky (vrstvená architektura) 3. Kontrola a případný upgrade nově dostupných firmware 4. Základní konfigurace aktivního prvku (oživení) 5. Změna defaultních administračních přístupových hesel k zařízením 6. Konfigurace vysoké dostupnosti aktivních prvků (IRF) 7. Konfigurace jednotlivých virtuálních sítí (VLAN, vytvoření adresních rozsahů) 8. Konfigurace routingu mezi lokalitami a virtuálními sítěmi 9. Instalace a konfigurace SW monitoringu - včetně modulů (HP IMC Standard, Network Traffic Analyzer, Service Health Manager, TACACS+) 10. Konfigurace monitoringu a reportingu D.V. Schéma implementace Blokové schéma kroků implementace v prostředí Zadavatele 339 13/105

Instalace aktivních prvků do rackové skříně Připojení silové kabeláže a datových propojů mezi aktivními prvky (vrstvená architektura) Kontrola a případný upgrade nově dostupných firmware Základní konfigurace aktivního prvku (oživení) Změna defaultních administračních přístupových hesel k zařízením Konfigurace vysoké dostupnosti aktivních prvků (IRF) Konfigurace jednotlivých virtuálních sítí (VLAN, vytvoření adresních rozsahů) Konfigurace routingu mezi lokalitami a virtuálními sítěmi Instalace a konfigurace SW monitoringu - včetně modulů (HP IMC Standard, Network Traffic Analyzer, Service Health Manager, TACACS+) na management serveru Konfigurace monitoringu a reportingu D.VI. Personální zajištění Za implementaci služeb je odpovědný Síťový specialista, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Síťový specialista dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Specialista pro bezpečnost kontroluje dodržování bezpečnostních pokynů Zadavatele. Specialista pro MS Windows Server provede konfiguraci TCP/IP protokolu serverových stanic. HW Specialista Servery zodpovídá za propojení aktivních prvků se servery a instalaci management nástrojů. Databázový administrátor provádí konfiguraci TCP/IP protokolu na úrovni Oracle Exadata a DB serverů. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 8 MD. Síťový specialista - 3 MD Vedoucí projektu 0,5 MD HW Specialista Servery 1 MD Specialista pro bezpečnost 0,5 MD Specialista pro MS Windows Server 0,5 MD Databázový administrátor 1 MD Systémový administrátor 1 MD Dokumentarista 0,5 MD 340 14/105

Hewlett Packard 5900 D.VII. Zajištění minimálních technických požadavků Prvek Požadavek Splnění požadavku Core/Access Porty 48x 1000/10000 SFP+ 4x QSFP+ 40 GbE Ano Ano Napájecí zdroj 2x napájecí zdroj Ano, stejný model s primárním zdrojem Paměť 512 MB flash, 2 GB SDRAM Ano 10 Gbps latence Maximálně 1.5 μs Ano (64-byte packets) Podpora FCoE Ano Ano Propustnost Propustnost Routing/Switching Minimálně 900 milionu paketu za sekundu Minimálně 1200 Gbps Ano, 952 milionů paketů za sekundu Ano, 1280 Gb/s Velikost routovací tabulky 16 000 záznamů Ano, 16 000 záznamů IPv4 Management Podpora virtualizace Podpora transceiveru Podpora Zálohování a obnova konfigurace síťových prvků Dohled funkčnosti jednotlivých fyzických a prvků Správa přístupů k přepínačům včetně možnosti delegovat různé role a přístupy do konfigurace Ukládání informace kdo, kde, co prováděl na přepínačích Ano 1G SFP LC LH40 1310nm Transceiver 1G SFP LC LH40 1550nm Transceiver Ano, Hewlett Packard IMC Ano, podpora bridgování mezi virtuálními stroji a LAN dle 802.1Qbg Intelligent Resilient Framefork (IRF) Virtual Router Redundancy Protocol (VRRF) Ano 341 15/105

1G SFP LC LH70 Transceiver 1G SFP LC BX 10-U Transceiver 1G SFP LC BX 10-D Transceiver 1G SFP LC SX Transceiver 1G SFP LC LX Transceiver 1G SFP RJ45 T Transceiver 10G SFP+ LC SR Transceiver 10G SFP+ LC LRM Transceiver 10G SFP+ LC LR Transceiver 10G SFP+ LC ER 40km Transceiver Podpora standardů RFC 2918 Route Refresh Capability Ano IEEE 802.1D MAC Bridges IEEE 802.1p Priority IEEE 802.1Q VLANs IEEE 802.1s Multiple Spanning Trees IEEE 802.1w Rapid Reconfiguration of Spanning Tree IEEE 802.3ad Link Aggregation (LAG) IEEE 802.3ae 10-Gigabit Ethernet RFC 768 UDP RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 826 ARP RFC 854 TELNET RFC 856 TELNET RFC 896 Congestion Control in IP/TCP Internetworks 342 16/105

RFC 950 Internet Standard Subnetting Procedure RFC 1027 Proxy ARP RFC 1058 RIPv1 RFC 1091 Telnet Terminal- Type Option RFC 1141 Incremental updating of the Internet checksum RFC 1191 Path MTU discovery RFC 1213 Management Information Base for Network Management of TCP/IP-based internets RFC 1350 TFTP Protocol (revision 2) RFC 1624 Incremental Internet Checksum RFC 1812 IPv4 Routing RFC 2131 DHCP RFC 2453 RIPv2 RFC 2581 TCP Congestion Control RFC 2644 Directed Broadcast Control RFC 3768 Virtual Router Redundancy Protocol (VRRP) RFC 4250 The Secure Shell (SSH) Protocol Assigned Numbers RFC 4251 The Secure Shell (SSH) Protocol Architecture RFC 4252 The Secure Shell (SSH) Authentication Protocol RFC 4253 The Secure Shell (SSH) Transport Layer Protocol RFC 4254 The Secure Shell (SSH) Connection Protocol RFC 4419 Diffie-Hellman Group Exchange for the 343 17/105

Secure Shell (SSH) Transport Layer Protocol RFC 4594 Configuration Guidelines for DiffServ Service Classes RFC 4941 Privacy Extensions for Stateless Address Autoconfiguration in IPv6 RFC 2460 IPv6 Specification RFC 2711 IPv6 Router Alert Option RFC 3315 DHCPv6 (client and relay) RFC 4291 IP Version 6 Addressing Architecture RFC 4862 IPv6 Stateless Address Auto-configuration RFC 5095 Deprecation of Type 0 Routing Headers in IPv6 RFC 1213 MIB II RFC 1907 SNMPv2 MIB RFC 2571 SNMP Framework MIB RFC 2572 SNMP-MPD MIB RFC 2573 SNMP-Notification MIB RFC 2573 SNMP-Target MIB RFC 2574 SNMP USM MIB RFC 2737 Entity MIB (Version 2) RFC 3414 SNMP-User based- SM MIB RFC 3415 SNMP-View based- ACM MIB LLDP-EXT-DOT1-MIB RFC 1587 OSPF NSSA RFC 2328 OSPFv2 RFC 3101 OSPF NSSA 344 18/105

RFC 3137 OSPF Stub Router Advertisement RFC 3623 Graceful OSPF Restart RFC 4577 OSPF as the Provider/Customer Edge Protocol for BGP/MPLS IP Virtual Private Networks (VPNs) RFC 4811 OSPF Out-of-Band LSDB Resynchronization RFC 4812 OSPF Restart Signaling RFC 4813 OSPF Link-Local Signaling IEEE 802.1P (CoS) RFC 2475 DiffServ Architecture RFC 2597 DiffServ Assured Forwarding (AF) RFC 3247 Supplemental Information for the New Definition of the EF PHB (Expedited Forwarding Per-Hop Behavior) RFC 3260 New Terminology and Clarifications for DiffServ Access Control Lists (ACLs) SSHv2 Secure Shell Hewlett Packard 5500HI 24G Access/DMZ Porty 24x RJ-45 10/100/1000 4x Gigabit SFP 2x SFP+ 10 GbE Ano Ano Ano, rozšířitelné až na 6x SFP+ Napájecí zdroj 2x napájecí zdroj Ano, stejný interní model s primárním zdrojem Paměť 512 MB flash, 1 GB SDRAM Ano 10 Gbps latence Maximálně 3 μs Ano 1 Gbps latence Maximálně 5 μs Ano 345 19/105

Propustnost 130,9 milionu paketu za sekundu Ano, minimálně 130,9 milionů paketů za sekundu Propustnost Routing/Switching Velikost routovací tabulky Management Podpora virtualizace Podpora transceiveru 176 Gbps Ano, 176 Gbps 12 000 záznamů Ano, 12 000 záznamů IPv4 Podpora Zálohování a obnova konfigurace síťových prvků Dohled funkčnosti jednotlivých fyzických a prvků Správa přístupů k přepínačům včetně možnosti delegovat různé role a přístupy do konfigurace Ukládání informace kdo, kde, co prováděl na přepínačích Ano, Hewlett Packard IMC Ano Ano, Intelligent Resilient Framework (IRF) 1G SFP LC LH40 1310nm Transceiver 1G SFP LC LH40 1550nm Transceiver 1G SFP LC LH70 Transceiver 1G SFP RJ45 T Transceiver 100M SFP LC LH40 Transceiver 100M SFP LC LH80 Transceiver 10G SFP+ LC SR Transceiver 10G SFP+ LC LRM Transceiver 10G SFP+ LC LR Transceiver 1G SFP LC BX 10-U Transceiver 1G SFP LC BX 10-D Transceiver 100M SFP LC FX Transceiver 10G XFP LC LR Transceiver Virtual Router Redundancy Protocol (VRRP) Ano 346 20/105

Podporované standarty 10G XFP LC SR Transceiver 1G SFP LC SX Transceiver 100M SFP LC LX Transceiver 10G XFP LC ER Transceiver 100M SFP LC FX Dual Mode Transceiver 100M SFP LC LX10 Transceiver 1G SFP LC LX Transceiver RFC 1157 SNMPv1/v2c RFC 1305 NTPv3 RFC 1901 (Community based SNMPv2) RFC 2452 MIB for TCP6 RFC 2454 MIB for UDP6 RFC 2573 (SNMPv3 Applications) RFC 2576 (Coexistence between SNMP V1, V2, V3) RFC 2819 (RMON groups Alarm, Event, History and Statistics only) RFC 3410 (Management Framework) RFC 3416 (SNMP Protocol Operations v2) RFC 3417 (SNMP Transport Mappings) HTML and telnet management Multiple Configuration Files SNMP v3 and RMON RFC support SSHv1/SSHv2 Secure Shell IEEE 802.1ad Q-in-Q IEEE 802.1D MAC Bridges IEEE 802.1p Priority IEEE 802.1Q (GVRP) Ano 347 21/105

IEEE 802.1w Rapid Reconfiguration of Spanning Tree IEEE 802.3ab 1000BASE-T IEEE 802.3ad Link Aggregation (LAG) IEEE 802.3ae 10-Gigabit Ethernet IEEE 802.3af Power over Ethernet IEEE 802.3i 10BASE-T IEEE 802.3u 100BASE-X IEEE 802.3x Flow Control IEEE 802.3z 1000BASE-X RFC 768 UDP RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 854 TELNET RFC 925 Multi-LAN Address Resolution RFC 950 Internet Standard Subnetting Procedure RFC 951 BOOTP RFC 1058 RIPv1 RFC 1122 Host Requirements RFC 1141 Incremental updating of the Internet checksum RFC 1213 Management Information Base for Network Management of TCP/IP-based internets RFC 1305 NTPv3 RFC 1350 TFTP Protocol (revision 2) RFC 1519 CIDR RFC 1723 RIP v2 348 22/105

RFC 1812 IPv4 Routing RFC 1887 An Architecture for IPv6 Unicast Address Allocation RFC 2131 DHCP RFC 2236 IGMP Snooping RFC 2338 VRRP RFC 2375 IPv6 Multicast Address Assignments RFC 2616 Hypertext Transfer Protocol -- HTTP/1.1 RFC 2644 Directed Broadcast Control RFC 2865 Remote Authentication Dial In User Service (RADIUS) RFC 2866 RADIUS Accounting RFC 3246 Expedited Forwarding PHB RFC 3410 Applicability Statements for SNMP RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) RFC 3415 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) RFC 3417 Transport Mappings for the Simple Network Management Protocol (SNMP) RFC 3484 Default Address Selection for Internet Protocol version 6 (IPv6) RFC 3493 Basic Socket Interface Extensions for IPv6 RFC 3542 Advanced Sockets Application Program Interface 349 23/105

(API) for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extensions to Support IP Version 6 RFC 3623 Graceful OSPF Restart RFC 3704 Unicast Reverse Path Forwarding (URPF) RFC 3768 Virtual Router Redundancy Protocol (VRRP) RFC 3810 Multicast Listener Discovery Version 2 (MLDv2) for IPv6 RFC 4113 Management Information Base for the User Datagram Protocol (UDP) RFC 4213 Basic IPv6 Transition Mechanisms RFC 4443 Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification 802.1r - GARP Proprietary Attribute Registration Protocol (GPRP) RFC 2236 IGMPv2 RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 3376 IGMPv3 RFC 3569 An Overview of Source-Specific Multicast (SSM) RFC 3618 Multicast Source Discovery Protocol (MSDP) RFC 3973 PIM Dense Mode RFC 4601 PIM Sparse Mode RFC 1881 IPv6 Address Allocation Management 350 24/105

RFC 1887 IPv6 Unicast Address Allocation Architecture RFC 1981 IPv6 Path MTU Discovery RFC 2080 RIPng for IPv6 RFC 2373 IPv6 Addressing Architecture RFC 2375 IPv6 Multicast Address Assignments RFC 2460 IPv6 Specification RFC 2461 IPv6 Neighbor Discovery RFC 2462 IPv6 Stateless Address Auto-configuration RFC 2463 ICMPv6 RFC 2464 Transmission of IPv6 over Ethernet Networks RFC 2475 IPv6 DiffServ Architecture RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 2740 OSPFv3 for IPv6 RFC 2893 Transition Mechanisms for IPv6 Hosts and Routers RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations (Ping only) RFC 3162 RADIUS and IPv6 RFC 3306 Unicast-Prefix-based IPv6 Multicast Addresses RFC 3307 IPv6 Multicast Address Allocation RFC 3315 DHCPv6 (client and relay) RFC 3484 Default Selection for IPv6 Address RFC 3493 Basic Socket 351 25/105

Interface Extensions for IPv6 RFC 3513 IPv6 Addressing Architecture RFC 3542 Advanced Sockets API for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extension for IPv6 RFC 3810 MLDv2 for IPv6 RFC 4113 MIB for UDP RFC 4443 ICMPv6 RFC 1212 Concise MIB Definitions RFC 1213 MIB II RFC 1657 BGP-4 MIB RFC 1724 RIPv2 MIB RFC 1757 Remote Network Monitoring MIB RFC 1850 OSPFv2 MIB RFC 2012 SNMPv2 MIB for TCP RFC 2013 SNMPv2 MIB for UDP RFC 2233 Interface MIB RFC 2452 IPV6-TCP-MIB RFC 2454 IPV6-UDP-MIB RFC 2465 IPv6 MIB RFC 2466 ICMPv6 MIB RFC 2571 SNMP Framework MIB RFC 2572 SNMP-MPD MIB RFC 2573 SNMP-Target MIB RFC 2574 SNMP USM MIB RFC 2618 RADIUS Authentication Client MIB RFC 2620 RADIUS Accounting 352 26/105

Client MIB RFC 2787 VRRP MIB RFC 2819 RMON MIB RFC 2925 Ping MIB RFC 3414 SNMP-User based- SM MIB RFC 3415 SNMP-View based- ACM MIB RFC 4113 UDP MIB IEEE 802.1AB Link Layer Discovery Protocol (LLDP) IEEE 802.1D (STP) RFC 1157 SNMPv1 RFC 1212 Concise MIB definitions RFC 1215 Convention for defining traps for use with the SNMP RFC 1757 RMON 4 groups: Stats, History, Alarms and Events RFC 1901 SNMPv2 Introduction RFC 1918 Private Internet Address Allocation RFC 2373 Remote Network Monitoring Management Information Base for High Capacity Networks RFC 2571 An Architecture for Describing SNMP Management Frameworks RFC 2572 Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) RFC 2573 SNMP Applications RFC 2574 SNMPv3 User-based Security Model (USM) 353 27/105

RFC 2575 SNMPv3 View-based Access Control Model (VACM) RFC 2576 Coexistence between SNMP versions RFC 2578 SMIv2 RFC 2581 TCP6 RFC 2819 Remote Network Monitoring Management Information Base RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations RFC 3176 sflow RFC 3410 Introduction to Version 3 of the Internetstandard Network Management Framework RFC 3414 SNMPv3 User-based Security Model (USM) RFC 3415 SNMPv3 View-based Access Control Model VACM) ANSI/TIA-1057 LLDP Media Endpoint Discovery (LLDP- MED) SNMPv1/v2c/v3 RFC 1587 OSPF NSSA RFC 1850 OSPFv2 Management Information Base (MIB), traps IEEE 802.1P (CoS) RFC 2474 DSCP DiffServ RFC 2475 DiffServ Architecture RFC 2597 DiffServ Assured Forwarding (AF) RFC 2598 DiffServ Expedited Forwarding (EF) IEEE 802.1X Port Based Network Access Control 354 28/105

RFC 1492 TACACS+ RFC 1918 Address Allocation for Private Internets RFC 2865 RADIUS Authentication Access/Mgmt přepínače Hewlett Packard 5500HI 48G Access/Management Porty 48x RJ-45 10/100/1000 4x Gigabit SFP 2x SFP+ 10 GbE Ano Ano Ano, rozšířitelné na 6x SFP+ Napájecí zdroj 2x napájecí zdroj Ano, stejný interní model s primárním zdrojem Paměť 512 MB flash, 1 GB SDRAM Ano 10 Gbps latence 3 μs Ano 1 Gbps latence 5 μs Ano Propustnost 166,6 milionu paketu za sekundu Ano, 166,6 milionů paketů za sekundu Propustnost Routing/Switching Velikost routovací tabulky Management Podpora virtualizace Podpor transceiveru 224 Gbps Ano, 224 Gbps 12 000 záznamů Ano, 12 000 záznamů IPv4 Podpora Zálohování a obnova konfigurace síťových prvků Dohled funkčnosti jednotlivých fyzických a prvků Správa přístupů k přepínačům včetně možnosti delegovat různé role a přístupy do konfigurace Ukládání informace kdo, kde, co prováděl na přepínačích Ano, Hewlett Packard IMC Ano Ano, Intelligent Resilient Framework (IRF) 1G SFP LC LH40 1310nm Transceiver Virtual Router Redundancy Protocol (VRRP) Ano 355 29/105

Podporované standarty 1G SFP LC LH40 1550nm Transceiver 1G SFP LC LH70 Transceiver 1G SFP RJ45 T Transceiver 100M SFP LC LH40 Transceiver 100M SFP LC LH80 Transceiver 10G SFP+ LC SR Transceiver 10G SFP+ LC LRM Transceiver 10G SFP+ LC LR Transceiver 1G SFP LC BX 10-U Transceiver 1G SFP LC BX 10-D Transceiver 100M SFP LC FX Transceiver 10G XFP LC LR Transceiver 10G XFP LC SR Transceiver 1G SFP LC SX Transceiver 100M SFP LC LX Transceiver 10G XFP LC ER Transceiver 100M SFP LC FX Dual Mode Transceiver 100M SFP LC LX10 Transceiver 1G SFP LC LX Transceiver RFC 1657 Definitions of Managed Objects for BGPv4 RFC 1157 SNMPv1/v2c RFC 1305 NTPv3 RFC 1901 (Community based SNMPv2) RFC 2452 MIB for TCP6 RFC 2454 MIB for UDP6 RFC 2573 (SNMPv3 Applications) Ano 356 30/105

RFC 2576 (Coexistence between SNMP V1, V2, V3) RFC 2819 (RMON groups Alarm, Event, History and Statistics only) RFC 3410 (Management Framework) RFC 3416 (SNMP Protocol Operations v2) RFC 3417 (SNMP Transport Mappings) HTML and telnet management Multiple Configuration Files SNMP v3 and RMON RFC support SSHv1/SSHv2 Secure Shell IEEE 802.1ad Q-in-Q IEEE 802.1D MAC Bridges IEEE 802.1p Priority IEEE 802.1Q (GVRP) IEEE 802.1w Rapid Reconfiguration of Spanning Tree IEEE 802.3ab 1000BASE-T IEEE 802.3ad Link Aggregation (LAG) IEEE 802.3ae 10-Gigabit Ethernet IEEE 802.3af Power over Ethernet IEEE 802.3i 10BASE-T IEEE 802.3u 100BASE-X IEEE 802.3x Flow Control IEEE 802.3z 1000BASE-X RFC 768 UDP RFC 791 IP RFC 792 ICMP 357 31/105

RFC 793 TCP RFC 854 TELNET RFC 925 Multi-LAN Address Resolution RFC 950 Internet Standard Subnetting Procedure RFC 951 BOOTP RFC 1058 RIPv1 RFC 1122 Host Requirements RFC 1141 Incremental updating of the Internet checksum RFC 1213 Management Information Base for Network Management of TCP/IP-based internets RFC 1305 NTPv3 RFC 1350 TFTP Protocol (revision 2) RFC 1519 CIDR RFC 1542 BOOTP Extensions RFC 1723 RIP v2 RFC 1812 IPv4 Routing RFC 1887 An Architecture for IPv6 Unicast Address Allocation RFC 2131 DHCP RFC 2236 IGMP Snooping RFC 2338 VRRP RFC 2375 IPv6 Multicast Address Assignments RFC 2616 Hypertext Transfer Protocol -- HTTP/1.1 RFC 2644 Directed Broadcast Control RFC 2865 Remote Authentication Dial In User Service (RADIUS) RFC 2866 RADIUS Accounting 358 32/105

RFC 3246 Expedited Forwarding PHB RFC 3410 Applicability Statements for SNMP RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) RFC 3415 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) RFC 3417 Transport Mappings for the Simple Network Management Protocol (SNMP) RFC 3484 Default Address Selection for Internet Protocol version 6 (IPv6) RFC 3493 Basic Socket Interface Extensions for IPv6 RFC 3542 Advanced Sockets Application Program Interface (API) for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extensions to Support IP Version 6 RFC 3623 Graceful OSPF Restart RFC 3704 Unicast Reverse Path Forwarding (URPF) RFC 3768 Virtual Router Redundancy Protocol (VRRP) RFC 3810 Multicast Listener Discovery Version 2 (MLDv2) for IPv6 RFC 4113 Management Information Base for the User Datagram Protocol (UDP) RFC 4213 Basic IPv6 Transition 359 33/105

Mechanisms RFC 4443 Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification 802.1r - GARP Proprietary Attribute Registration Protocol (GPRP) RFC 2236 IGMPv2 RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 2858 Multiprotocol Extensions for BGP-4 RFC 3376 IGMPv3 RFC 3569 An Overview of Source-Specific Multicast (SSM) RFC 3618 Multicast Source Discovery Protocol (MSDP) RFC 3973 PIM Dense Mode RFC 4601 PIM Sparse Mode RFC 1881 IPv6 Address Allocation Management RFC 1887 IPv6 Unicast Address Allocation Architecture RFC 1981 IPv6 Path MTU Discovery RFC 2080 RIPng for IPv6 RFC 2373 IPv6 Addressing Architecture RFC 2375 IPv6 Multicast Address Assignments RFC 2460 IPv6 Specification RFC 2461 IPv6 Neighbor Discovery RFC 2462 IPv6 Stateless Address Auto-configuration RFC 2463 ICMPv6 RFC 2464 Transmission of IPv6 360 34/105

over Ethernet Networks RFC 2475 IPv6 DiffServ Architecture RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 2740 OSPFv3 for IPv6 RFC 2893 Transition Mechanisms for IPv6 Hosts and Routers RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations (Ping only) RFC 3162 RADIUS and IPv6 RFC 3306 Unicast-Prefix-based IPv6 Multicast Addresses RFC 3307 IPv6 Multicast Address Allocation RFC 3315 DHCPv6 (client and relay) RFC 3484 Default Selection for IPv6 Address RFC 3493 Basic Socket Interface Extensions for IPv6 RFC 3513 IPv6 Addressing Architecture RFC 3542 Advanced Sockets API for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extension for IPv6 RFC 3810 MLDv2 for IPv6 RFC 4113 MIB for UDP RFC 4443 ICMPv6 RFC 1212 Concise MIB Definitions RFC 1213 MIB II RFC 1657 BGP-4 MIB 361 35/105

RFC 1724 RIPv2 MIB RFC 1757 Remote Network Monitoring MIB RFC 1850 OSPFv2 MIB RFC 2012 SNMPv2 MIB for TCP RFC 2013 SNMPv2 MIB for UDP RFC 2233 Interface MIB RFC 2452 IPV6-TCP-MIB RFC 2454 IPV6-UDP-MIB RFC 2465 IPv6 MIB RFC 2466 ICMPv6 MIB RFC 2571 SNMP Framework MIB RFC 2572 SNMP-MPD MIB RFC 2573 SNMP-Target MIB RFC 2574 SNMP USM MIB RFC 2618 RADIUS Authentication Client MIB RFC 2620 RADIUS Accounting Client MIB RFC 2787 VRRP MIB RFC 2819 RMON MIB RFC 2925 Ping MIB RFC 3414 SNMP-User based- SM MIB RFC 3415 SNMP-View based- ACM MIB RFC 4113 UDP MIB IEEE 802.1AB Link Layer Discovery Protocol (LLDP) IEEE 802.1D (STP) RFC 1157 SNMPv1 RFC 1212 Concise MIB definitions 362 36/105

RFC 1215 Convention for defining traps for use with the SNMP RFC 1757 RMON 4 groups: Stats, History, Alarms and Events RFC 1901 SNMPv2 Introduction RFC 1918 Private Internet Address Allocation RFC 2373 Remote Network Monitoring Management Information Base for High Capacity Networks RFC 2571 An Architecture for Describing SNMP Management Frameworks RFC 2572 Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) RFC 2573 SNMP Applications RFC 2574 SNMPv3 User-based Security Model (USM) RFC 2575 SNMPv3 View-based Access Control Model (VACM) RFC 2576 Coexistence between SNMP versions RFC 2578 SMIv2 RFC 2581 TCP6 RFC 2819 Remote Network Monitoring Management Information Base RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations RFC 3176 sflow RFC 3410 Introduction to Version 3 of the Internetstandard Network Management 363 37/105

Framework RFC 3414 SNMPv3 User-based Security Model (USM) RFC 3415 SNMPv3 View-based Access Control Model (VACM) ANSI/TIA-1057 LLDP Media Endpoint Discovery (LLDP- MED) SNMPv1/v2c/v3 RFC 1587 OSPF NSSA RFC 1850 OSPFv2 Management Information Base (MIB), traps IEEE 802.1P (CoS) RFC 2474 DSCP DiffServ RFC 2475 DiffServ Architecture RFC 2597 DiffServ Assured Forwarding (AF) RFC 2598 DiffServ Expedited Forwarding (EF) IEEE 802.1X Port Based Network Access Control RFC 1492 TACACS+ RFC 1918 Address Allocation for Private Internets RFC 2865 RADIUS Authentication Hewlett Packard TippingPoint S2600NX Prvek Požadavek Splnění požadavku IPS Porty Podpora: Ano, 4x HotSwap I/O Modules RJ-45 10/100/1000Base-T Gigabit SFP (1000Base-T; 1000Base- SX; 1000Base-LX) 10 GbE SFP+ (10GBase-SR; 10GBase- LR; 10GBase-DAC (Direct Attach)) 40 GbE QSFP+ Velikost Max 2U v 19" rozvaděči Ano Provedení Modulární, s Hot swap výměnou modulů Ano 364 38/105

Napájecí zdroj 2x AC 230V napájecí zdroj s volitelnou Ano možností použití DC -48V zdroje Latence Méně než 40 μs Ano Propustnost 3 Gb/s Ano Inspekce Propustnost - 40 Gb/s Ano pro provoz obcházející inspekci Počet současně 30 milionů Ano, 30 milionů navázaných sessions Počet nových 300000 Ano, 300 000 sessions za sekundu Počet kontextu 2600000 2,6 milionů zabezpečení Vysoká dostupnost páru zařízení Schopnost páru IPS zařízení pracovat v Active-Active módu Ano Podpora L2 Fallback Integrovaná podpora Zero Power High Availability (ZPHA) pro optické i metalické porty Management Komunikační protokoly Požadovaná inspekce transportních systémů Bezpečnost v případě interní chyby software, nebo zahlcení systému, systém musí v případě problému být transparentní a neblokovat provoz Systém musí v případě problému být transparentní a neblokovat provoz Management Server Command line interface Syslog, Syslog NG, podpora CEF protokolu pro Syslog/Syslog NG Webový prohlížeč Management information base (MIB) Identická podpora IPv4 i IPv6 s výhradním použitím zabezpečených protokolů pro management VLAN 802.1Q, VLAN QinQ 802.1ad, GRE, MPLS, VPLS, IPv4, IPv6 Hloubková aplikační inspekce s aplikační a obsahovou kontrolou Automatická ochrana k omezení tzv. zero day vulnerabilities Automatická aktualizace filtrů minimálně jednou týdně Geolokace, integrace a Active Directory, Metadata, Reputační databáze Možnost vytváření vlastních filtrů Ano Ano, Bypass Module Ano Ano Ano Ano 365 39/105

Podpora asymetrických linek Podporované transceivery Možnost importu signatur komunity SNORT Zázemí vlastního bezpečnostního výzkumného týmu Schopnost provádět inspekci na distribuovaných linkách, které nepracují v symetrickém módu ( EtherChannel, LACP, ECMP a podobně) 1G SFP LC LX Transceiver 1G SFP LC SX Transceiver 1G SFP RJ45 T Copper 10G SFP+ LC SR 10G SFP+ LC LR 40G QSFP+ SR4 850nm Ano Ano Hewlett Packard Security Management System Appliance Prvek Požadavek Splnění požadavku Management IPS Počet Min. 20 Ano, 25 spravovaných IPS Velikost Max. 1U v 19 rozvaděči Ano 1.2.3. Serverové stanice 1.2.3.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech: Přístup do stávajícího IS Manipulační prostor pro dodávku nových prvků Zajištění dostatečného příkonu a chlazení v zálohovací lokalitě 1.2.3.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu. 1.2.3.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Server TSM02 bude integrován do stávajícího datového centra Zadavatele. Veškeré servery budou integrovány do prostředí Zadavatele. Integrace v existujícím prostředí je zohledněna v průběhu implementace služby. 1.2.3.D Implementace D.I. HW zdroje o Datové centrum Vstupní požadavky implementace 366 40/105

o Síťové služby - HW D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující HW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo Popis způsobu realizace Veřejné zakázky v oblasti dodávek. Serverové stanice D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Instalace serverů 1. Dodávka serverů 2. Montáž (instalace) dodávaných zařízení do racku zapojení 3. Zapojení LAN, KVM, el. energie 4. Upgrade firmware jednotlivých komponent serveru 5. Změna defaultních administračních přístupových hesel k zařízením 6. Inicializace a konfigurace jednotlivých komponent serveru (BIOS, RAID, LAN, CPU, RAM) 7. Konfigurace remote management 8. Instalace OS (- viz. Platforma OS) 9. Instalace management nástrojů výrobce serveru 10. Otestování stability (Kompletní oživení dodaných zařízení) Zahoření D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Instalace serverů 1. Dodávka serverů 2. Montáž (instalace) dodávaných zařízení do racku zapojení 3. Zapojení LAN, KVM, el. energie 4. Upgrade firmware jednotlivých komponent serveru 5. Změna defaultních administračních přístupových hesel k zařízením 6. Inicializace a konfigurace jednotlivých komponent serveru (BIOS, RAID, LAN, CPU, RAM) 7. Konfigurace remote management 8. Instalace OS (- viz. Platforma OS) 9. Instalace management nástrojů výrobce serveru 10. Otestování stability (Kompletní oživení dodaných zařízení) Zahoření D.V. Schéma implementace Blokové schéma kroků implementace v prostředí Zadavatele 367 41/105