Nasazení v podnikových sítích a ve státní správě T-IP6/L3 Miroslav Brzek Systems Engineer mibrzek@cisco.com Sponsor Logo Sponsor Logo Sponsor Logo CIscoEXPO 1
Agenda 1. Strategie přechodu na infrastrukturu 2. prefix a jeho alokace v privátní síti 3. Metody integrace 4. Nasazení v LAN a campus sítích 5. Nasazení ve WAN sítích 6. Jak se připravit? 2
Agenda 1. Strategie přechodu na infrastrukturu 2. prefix a jeho alokace v privátní síti 3. Metody integrace 4. Nasazení v LAN a campus sítích 5. Nasazení ve WAN sítích 6. Jak se připravit? 3
Implementace Integrace nebo migrace? 1. Přechod z na postupný a řízený proces 2. Aplikace budou postupně migrovány na Využití operačních systémů podporujících oba protokoly současně (tzv. dual-stack operační systém Windows Vista, Linux, BSD..) 3. Komunikační infrastruktura bude integrovat protokol Protokol bude využíván i nadále Sítě budou současně podporovat oba protokoly Většina komunikačních zařízení v dané síti bude podporovat oba protokoly současně (např. dual-stack směrovače/l3 přepínače) 4
Agenda 1. Strategie přechodu na infrastrukturu 2. prefix a jeho alokace v privátní síti 3. Metody integrace 4. Nasazení v LAN a campus sítích 5. Nasazení ve WAN sítích 6. Jak se připravit? 5
Implementace Adresní plán 1. Návrh adresního plánu Unique Local Addressing (ULA) nesměrují se v globální Internet síti, obdoba RFC 1918 pro, semi-random generace ULA adres (ULA prefix + 40bit Global ID) => nižší pravděpodobnost kolize ULA adres, default prefix is /48 Global Unicast Addressing globálně unikátní adresy, doporučený způsob adresace Kombinace ULA + Global větší nároky na správu adresního prostoru, DNS, směrování a bezpečnosti, spoléhá na perfektní funkci SAS (Source Address Selection) 2. Získání prefixu prostřednictvím service providera Provider Aggregatable (PA) prefix 3. Získání prefixu prostřednictvím RIPE/LIR (Local Internet Registry) Provider Independent (PI) prefix 6
Unique-Local Adresace (RFC4193) Internet FD9C:58ED:7D73:2800::/64 Branch 1 Branch 2 Global 2001:DB8:CAFE::/48 Corporate Backbone Global External ULA Internal Requires NAT for Corp HQ ULA Space FD9C:58ED:7D73::/48 FD9C:58ED:7D73:3000::/64 FD9C:58ED:7D73::2::/64 1. ULA adresu si můžete vygenerovat např. zde: http://www.sixxs.net/tools/grh/ula/ (odvozeno z IEEE MAC adresy) 2. Všechna zařízení uvnitř sítě používají ULA adresy 3. Pro komunikaci s externím světem je nutný NAT, v současné době neexistuje řešení pro NAT 4. Neguje výhody plynoucí z eliminace NATu (např. použití některých typů aplikací, globální multicast spojení, transparentní end-to-end spojení) 7
Způsob alokace globálních adres IANA 2001::/3 AfriNIC ::/12 to::/23 APNIC ::/12 to::/23 ARIN ::/12 to::/23 LACNIC ::/12 to::/23 RIPE NCC ::/12 to::/23 ISP ISP ISP/32 /32 /32 ISP ISP ISP/32 /32 /32 ISP ISP ISP/32 /32 /32 ISP ISP ISP/32 /32 /32 ISP ISP ISP/32 /32 /32 Site Site Site/48 /48 /48 Site Site Site/48 /48 /48 Site Site Site/48 /48 /48 Site Site Site/48 /48 /48 Site Site Site/48 /48 /48 8
Alokace adres uvnitř privátní sítě Provider Site Host Autokonfigurace adresy Prefix přijatý od směrovače (64bit) + EUI-64 (např. MAC adresa rozšířená o 4byty) DHCPv6 Autokonfigurace adresy + DHCPv6 (adresa DNS...) Manuální konfigurace 48 Bits 16 Bits 64 Bits Global Routing Prefix SLA Interface ID 9
Agenda 1. Strategie přechodu na infrastrukturu 2. prefix a jeho alokace v privátní síti 3. Metody integrace 4. Nasazení v LAN a campus sítích 5. Nasazení ve WAN sítích 6. Jak se připravit? 10
Metody integrace 1. Dedikovaná infrastruktura dedikovaná zařízení a komunikační spoje pouze pro protokol nevhodné pro plošné nasazení 2. Dual-stack komunikační prvky IP infrastruktury podporují obě protokolové verze (dual-stack = +) 3. Tunelování vzájemná komunikace systémů prostřednictvím mezilehlé infrastruktury - enkapsulace paketů uvnitř paketů 4. MPLS transport transport prostřednictvím MPLS infrastruktury ( over MPLS) 5. Protokolový překlad specializované komunikační prvky zajišťují překlad protokolu na a naopak (NAT64, NAT46, DNS 64, ALG) omezená škálovatelnost 11
Metody integrace Dual-stack infrastruktura 1. Všechny směrovače/l3 přepínače v síti jsou dual-stack (podpora +) 2. Může vyžadovat upgrade SW, příp. HW všech směrovačů/l3 přepínačů 3. Nativní podpora multicast 4. Vyšší nároky na paměť a CPU směrovačů (dvě směrovací tabulky, dva směrovací protokoly) 5. Flexibilní architektura umožňující plynulou migraci aplikací na 6. Poměrně jednoduchá implementace 12
Metody integrace Tunelování 1. Transportní infrastruktura 2. Manuální tunely over GRE/, over DMVPN Menší škálovatelnost 3. Automatické tunely 6to4, ISATAP Přechodnéřešení 4. Dual-stack směrovače/l3 přepínače pouze na okraji transportní sítě 13
Metody integrace Manuální GRE Tunel Dual-Stack Router1 Dual-Stack Router2 : 192.168.99.1 : 2001:db8:800:1::3 : 192.168.30.1 : 2001:db8:800:1::2 router1# interface Tunnel0 ipv6 enable ipv6 address 2001:db8:c18:1::3/128 tunnel source 192.168.99.1 tunnel destination 192.168.30.1 tunnel mode gre ipv6 router2# interface Tunnel0 ipv6 enable ipv6 address 2001:db8:c18:1::2/128 tunnel source 192.168.30.1 tunnel destination 192.168.99.1 tunnel mode gre ipv6 14
Metody integrace Manuální DMVPN Tunel GRE Header Next Hop Private Public Private 2001:db8:0:1::/64 2001:db8:0:1::/64 CE SPOKE Static Spoke to Hub Tunnel Public Public Dynamic Spoke to Spoke Tunnel Static Spoke to Hub Tunnel CE SPOKE 2001:db8:0:2::/64 2001:db8:0:2::/64 NHRP Database CE HUB 2002:db8::/64 2002:db8::/64 1. DMVPN zajišťuje hub-spoke nebo full-mesh konektivitu Staticky definovaný multipoint GRE tunel (mgre) pro spojení poboček (spokes) s centrálou (hub) Dynamicky navazované mgre tunely pro vzájemnou komunikaci poboček 2. mgre tunely mohou být šifrovány pomocí IPSec 15
Metody integrace Automatický 6to4 Tunel (RFC 3056) Header 200.15.15.1 (e0/0) 2002:c80f:0f01 2002:c80f:0f01 6to4 router 2002:c80f:0f01:100::1 Backbone Backbone Backbone 6 to 4 Tunnel 200.11.11.1 (e0/0) 2002:c80b:0b01 2002:c80b:0b01 6to4 router 2002:c80b:0b01:100::1 1. Jednoduchá metoda pro automatické navazování tunelů mezi sítěmi Každá síť identifikována pomocí jedné adresy, ze které se následně odvodí prefix Tato adresa je přiřazena 6to4 směrovači, který vytváří 6to4 tunel 6to4 sítě identifikovány prefixem s vloženou adresou ve tvaru 2002:adresa::/48 2. Cílová adresa 6to4 tunelu se automaticky odvozuje z cílové adresy posílaného paketu 3. Směrovače, kde je zakončen 6to4 tunel (6to4 směrovač), jsou dual-stack 4. Nepodporuje transport multicast paketů 16
Metody integrace Automatický 6to4 Tunel adresace a směrování paketů Header 200.15.15.1 (e0/0) 2002:c80f:0f01 2002:c80f:0f01 6to4 router Backbone Backbone Backbone 6 to 4 Tunnel 200.11.11.1 (e0/0) 2002:c80b:0b01 2002:c80b:0b01 6to4 router 2002:c80f:0f01:100::1 6 to 4 Prefix 2002:ADDR::/48 Subnet 16 bits Host 64 bits 2002:c80b:0b01:100::1 2002:c80b:0b01:0100 0100: 0000:0000:0000:0001 Server Address 200.11.11.1 (Src) 2002:c80f:0f01:100:1 Header Tunnel end point in (Dst) 2002:c80b:0b01:100:1 (Src) 200.15.15.1 Header (Dst) 200.11.11.1 17
Metody integrace Automatický 6to4 Tunel příklad konfigurace Header 200.15.15.1 (e0/0) 2002:c80f:0f01 2002:c80f:0f01 6to4 router 2002:c80f:0f01:100::1 Backbone Backbone Backbone 6 to 4 Tunnel 200.11.11.1 (e0/0) 2002:c80b:0b01 2002:c80b:0b01 6to4 router 2002:c80b:0b01:100::1 interface tunnel 2002 ipv6 address 2002:c80f:0f01::1/128 tunnel source ethernet0/0 tunnel mode ipv6ip 6to4 interface ethernet 0/0 ip address 200.15.15.1 255.255.255.0 interface ethernet 1/0 ipv6 address 2002:c80f:0f01:100::2/64 interface tunnel 2002 ipv6 address 2002:c80b:0b01::1/128 tunnel source ethernet0/0 tunnel mode ipv6ip 6to4 interface ethernet 0/0 ip address 200.11.11.1 255.255.255.0 interface ethernet 1/0 ipv6 address 2002:c80b:0b01:100::2/64 ipv6 route 2002::/16 tunnel2002 ipv6 route 2002::/16 tunnel2002 18
Metody integrace Automatický ISATAP Tunel (RFC 4214) Header Enterprise Address Global: Link-Local: Global: 192.168.2.1 ISATAP Host Value 192.168.2.1 fe80::5efe:c0a8:0201 2001:db8:face:2::5efe:c0a8:0201 Corporate Corporate ISATAP Tunnel Address Global: Link-Local: Global: 192.168.4.1 2001:db8:face:2::5efe:c0a8:0401 ISATAP Router Value 192.168.4.1 fe80::5efe:c0a8:0401 2001:db8:face::5efe:2::c0a8:0401 1. ISATAP Intra-site Automatic Tunnel Addressing Protocol 2. Atomaticky vytvářený tunel mezi dual-stack stanicí a ISATAP směrovačem/l3 přepínačem, cílová adresa ISATAP tunelu = adresa ISATAP směrovače 3. ISATAP adresa = prefix + namapovaná adresa daného zařízení (její konverze do Interface ID) 4. Nepodporuje transport multicast paketů 19
Metody integrace Automatický ISATAP Tunel propagace prefixu Header Enterprise DNS Query ISATAP Reply 192.168.4.1 192.168.2.1 ISATAP Host Source: Dest: Source: Dest: PE Corporate Corporate ISATAP Tunnel P Router Solicitation 192.168.2.1 192.168.4.1 fe80::5efe:c0a8:0201 fe80::5efe:c0a8:0401 Request: ISATAP Prefix? P PE Encaps in Router Advertisement Encaps in Source: 192.168.4.1 Dest: 192.168.2.1 Source: fe80::5efe:c0a8:0401 Dest: fe80::5efe:c0a8:0201 Reply: 2001:db8:face:2/64 192.168.4.1 2001:db8:face:2::5efe:c0a8:0401 ISATAP Router 20
Metody integrace Automatický ISATAP Tunel příklad konfigurace Header Enterprise 192.168.2.1 ISATAP Host PE Corporate Corporate ISATAP Tunnel P P PE 192.168.4.1 2001:db8:face:2::5efe:c0a8:0401 ISATAP Router ipv6 install netsh interface ipv6 isatap set router 192.168.4.1 1. PC používá buď statickou konfiguraci adresy ISATAP směrovače nebo ji zjistí pomocí DNS interface Ethernet0 ip address 192.168.4.1 255.255.255.0! interface Tunnel0 ipv6 address 2001:db8:face:2::/64 eui-64 no ipv6 nd suppress-ra tunnel source Ethernet0 tunnel mode ipv6ip isatap 21
Metody integrace MPLS transport 1. MPLS umožňuje velmi dobrou integraci MPLS core využívá /MPLS infrastrukturu MPLS Edge využívá dual-stack infrastrukturu Směrování na základě MPLS značek (edge to edge) 2. Několik způsobů pro realizaci over MPLS PE - PE over MPLS (6PE) MPLS-VPN over MPLS (6VPE) over Pseudowires over MPLS ( over AToM) over CE CE Tunnel (GRE,, 6to4) 22
Metody integrace PE - PE over MPLS (6PE - RFC 4798) BGP Label LDP Label or MPLS Backbone or CE Only PE P P Only PE CE 200.10.10.1 200.11.11.1 MPLS MPLS 2001:f00d:: CE 6PE1 P P MP-iBGP 6PE2 exchange CE 2001:db8:: 1. PE směrovače (6PE) musí podporovat dual stack (+) 2. pakety přenášeny mezi 6PE uvnitř MPLS sítě 3. Všechny adresy jsou pouze v globální směrovací tabulce PE směrovačů prefixy mezi 6PE směrovači propagovány pomocí MP-BGP 4. MPLS core používá control plane (LDPv4, IGPv4, TE, MP-BGP) 5. Řešení využívané typicky SP pro jejich interní infrastrukturu 23
Metody integrace 6PE propagace prefixů MPLS Backbone BGP Label LDP Label CE3 6PE3 P P 6PE4 CE 4 200.10.10.1 200.11.11.1 MPLS MPLS CE1 2001:f00d:: ebgp 6PE1 P ibgp P 6PE2 exchange IGPv4 IGPv4 IGPv4 200.10.10.1 200.10.10.1 200.10.10.1 reachable reachable reachable ebgp CE2 2001:db8:: LDPv4 {Pop} Binds label {Pop} to 200.10.10.1 LDPv4 {27} LDPv4 {48} Binds label {27} to 200.10.10.1 Binds label {48} to 200.10.10.1 MP-eBGP Advertises 2001:f00d:: to 6PE1 MP-iBGP Advertises 2001:f00d:: to 6PE2 BGP Next Hop ::ffff:200.10.10.1 Label Binding {65} MP-eBGP Advertises 2001:f00d:: to CE2 24
Metody integrace 6PE příklad konfigurace MPLS Backbone BGP Label LDP Label CE3 6PE3 P P 6PE4 CE4 as65014 as65014 200.10.10.1 200.11.11.1 MPLS MPLS CE1 6PE1 P P 6PE2 CE2 2001:f00d:: as65015 as65015 2001:db8:: ipv6 cef! interface loopback0 ip address 200.10.10.1 255.255.255.0! router bgp 100 neighbor 2001:f00d:1::1 remote-as 65014 neighbor 200.11.11.1 remote-as 100 neighbor 200.11.11.1 update-source lo0! address-family ipv6 neighbor 200.11.11.1 activate 6PE2 neighbor 200.11.11.1 send-label neighbor 2001:f00d:1::1 activate CE1 ipv6 cef! interface loopback0 ip address 200.11.11.1 255.255.255.0! router bgp 100 neighbor 2001:DB8:1::1 remote-as 65015 neighbor 200.10.10.1 remote-as 100 neighbor 200.10.10.1 update-source lo0! address-family ipv6 neighbor 200.10.10.1 activate 6PE1 neighbor 200.10.10.1 send-label neighbor 2001:DB8:1::1 activate CE2 25
Metody integrace MPLS VPN (6VPE - RFC 4659) or or BGP Label LDP Label or or MPLS Backbone or 2001:0205:8:1 CE / VRF PE P P PE MPLS MPLS Core Core Dual-Stack / CE Router 2001:0205:8:3 2001:0205:8:2 2001:0205:8:4 only CE VRF Only P Dual-Stack / PE Routers 1. 6VPE využívá stávající MPLS infrastrukturu i pro VPN Core využívá control plane (LDPv4, IGPv4, TE) se všemi jeho výhodami 2. PE směrovače musí podporovat dual stack (+) 3. Nabízí stejné funkce jako MPLS-VPN (zatím kromě IP Multicast) 26
Metody integrace over MPLS Pseudowires (AToM) VC Label LDP Label MPLS Backbone CE PE P P PE CE Pseudowire MPLS MPLS Core Core Pseudowire only CE ATM, Frame, Ethernet Interface 1. Podporovány P2P PWs (AToM, EoMPLS) i P2MP PWs (VPLS) 2. Bez vlivu na stávající MPLS core (P/PE směrovače pouze ) 3. CE směrovače mohou být pouze 4. Podpora multicast 5. Vhodné pro propojení menšího počtu lokalit s pro optimální směrování nutná full-mesh topologie 27
Protokolový překlad AFT64 Statefull/Stateless Translators 1. Stavové AFT Nedostupnost škálující implementace Nutnosti zásahů do DNS a většinou i potřeba ALG (application level gateway) NAT-PT (RFC 2766): zneplatněno RFC4966 NAT64 / DNS64: zatím pouze draft, žádná dostupná komerční implementace, podporuje pouze spojení iniciovaná v síti 2. Bezestavové AFT Statický překlad, užírá adresní prostor - neškáluje 28
Agenda 1. Strategie přechodu na infrastrukturu 2. prefix a jeho alokace v privátní síti 3. Metody integrace 4. Nasazení v LAN a campus sítích 5. Nasazení ve WAN sítích 6. Jak se připravit? 29
Nasazení v LAN a campus sítích Vhodné metody 1. Kompletní dual-stack infrastruktura Maximální flexibilita, Využití doporučených a ověrených architektur pro realizaci LAN/kampus sítí Nativní podpora IP multicast, QoS apod. 2. Hybridní infrastruktura - kombinace dual-stack a tunelování Implementace dual-stack na všech zařízeních, které podporují dual-stack, Část infrastruktury, kde nelze použít dual-stack překlenuta pomocí tunelů Tunely vytvářejí překryvnou infrastrukturu se všemi jejími nevýhodami, v některých případech (ISATAP) omezená podpora IPmulticast 3. Dedikovaný modul Vytvoření dedikované infrastruktury pro dočasnou konketivitu Oddělená infrastruktura, vhodná pro testování aplikací a komunikací 30
Nasazení v LAN a campus sítích Dual-stack infrastruktura 1. L3 přepínače/směrovače by měly podporovat HW přepínání paketů 2. Z pohledu L2 přepínačů je transparentní nutná pouze podpora pro MLD snooping, příp. ACL a QoS 3. Větší nároky na DRAM a CPU L3 přepínačů Současné směrování protokolů a 4. Nativní podpora multicast, standardní implementace QoS, bezpečnostních mechanismů ( ACL) apod. / Dual Stack Hosts v6- Enabled v6- Enabled v6-enabled Dual Stack Dual Stack Dual-stack Server Dual Stack Dual Stack Dual Stack L2/L3 v6- Enabled v6- Enabled v6-enabled Přístupová vrstva Distribuční vrstva Páteřní vrstva Agregační vrstva (DC) Přístupová Vrstva (DC) 31
Nasazení v LAN a campus sítích Hybridní infrastruktura 1. Kombinace dvou základních metod Dual-stack Tunely manuální nebo automatické (ISATAP) 2. Možnost postupného přechodu na kompletní dual-stack infrastrukturu 3. Tunely vytvářejí překryvnou infrastrukturu 4. ISATAP tunely nepodporují Multicast 5. Manuální tunely podporují Multicast Not v6- Enabled v6- Enabled v6-enabled Dual-stack Server Hybrid Model ISATAP Tunnel Dual Stack ISATAP Tunnel Dual Stack L2/L3 Not v6- Enabled v6- Enabled v6-enabled Přístupová vrstva Distribuční vrstva Páteřní vrstva Agregační vrstva (DC) Přístupová Vrstva (DC) 32
Nasazení v LAN a campus sítích Hybridní infrastruktura Hybridní infrastruktura - příklad 1 Hybridní infrastruktura - příklad 2 Not v6- Enabled v6- Enabled v6-enabled ISATAP Tunnel Dual Stack ISATAP Tunnel Dual Stack L2/L3 Not v6- Enabled v6- Enabled v6-enabled Přístupová vrstva Distribuční vrstva Páteřní vrstva Agregační vrstva (DC) Přístupová Vrstva (DC) v6- Enabled Not v6- Enabled v6-enabled Dual Stack Configured Tunnel Dual Stack Dual Stack Configured Tunnel Dual Stack L2/L3 v6- Enabled Not v6- Enabled v6-enabled Přístupová vrstva Distribuční vrstva Páteřní vrstva Agregační vrstva (DC) Přístupová Vrstva (DC) Dual-stack Server Dual-stack Server 33
Nasazení v LAN a campus sítích Dedikovaný modul 1. Rychlé nasazení bez zásahu do stávající komunikační infrastruktury 2. Pevná kontrola a řízení datových toků 3. Přístup koncových stanic k službám prostřednictvím dynamických ISATAP tunelů Přístupová vrstva Distribuční vrstva VLAN 2 VLAN 3 infrastruktura ISATAP Dedikovaný modul Dedikovaný FW 4. Propojení s datacentrovým modulem pomocí manuálních tunelů 5. Dedikované spojení do sítě Internet pomocí firewallu s podporou Páteřní vrstva Agregační vrstva (DC) IOS FW Internet Primární ISATAP Tunel Záložní ISATAP Tunel Manuální tunel Datacentrový modul internet modul 34
Agenda 1. Strategie přechodu na infrastrukturu 2. prefix a jeho alokace v privátní síti 3. Metody integrace 4. Nasazení v LAN a campus sítích 5. Nasazení ve WAN sítích 6. Jak se připravit? 35
Nasazení ve WAN sítích Vhodné metody 1. transport Manuální GRE tunely propojení menšího počtu poboček, podpora multicast a IPSec DMVPN infrastruktura pro větší počet poboček, podpora multicast a IPSec 2. MPLS transport MPLS VPN (6VPE) optimálnířešení jak pro pronajaté MPLS VPN, tak i privátní MPLS VPN sítě PE - PE (6PE) over MPLS alternativnířešení pro privátní MPLS sítě 36
Nasazení ve WAN sítích DMVPN infrastruktura 2001:db8:0:1::/64 2001:db8:0:1::/64 Public Public Dynamic Spoke to Spoke Tunnel 2001:db8:0:2::/64 2001:db8:0:2::/64 CE SPOKE Static Spoke to Hub Tunnel Static Spoke to Hub Tunnel CE SPOKE NHRP Database CE HUB 2002:db8::/64 2002:db8::/64 1. Hub-spoke nebo full-mesh konektivita 2. mgre tunely mohou být šifrovány pomocí IPSec 3. Podpora multicast komunikací 37
Nasazení ve WAN sítích MPLS VPN (6VPE) VPN VPN A VPN VPN B CE / VRF PE P P PE CE MPLS MPLS Core Core Dual-Stack CE Router VPN VPN A VPN VPN B 1. RFC 4659 2. 6VPE využívá stávající MPLS infrastrukturu i pro VPN only CE VRF MPLS core využívá control plane se všemi jeho výhodami jako IGPv4, TE (Traffic Engineering), FRR (Fast ReRoute)... 3. Stejné funkce jako MPLS-VPN hub and spoke a overlay VPNs, QoS, internet acces... 4. Zatím velmi omezená podpora multicast Only P Dual-Stack / PE Routers 38
Agenda 1. Strategie přechodu na infrastrukturu 2. prefix a jeho alokace v privátní síti 3. Metody integrace 4. Nasazení v LAN a campus sítích 5. Nasazení ve WAN sítích 6. Jak se připravit? 39
Proces implementace Analýza aplikací a služeb pro 1 Sestavení projektového týmu pro 2 Analýza současného stavu a připravenosti na nasazení 3 Plánování vzdělávání 4 Získání prefixu 5 Volba architektury a postupu nasazení, příprava designu 6 Implementace pilotního projektu, testování 7 Specifikace bezpečnostní politiky 8 Specifikace výjimek z 9 40
Plánování implementace (1) 1. Analýza externích a interních aplikací a služeb pro Analýza interních i externích požadavků na služby Definice seznamu služeb aplikací s podporou včetně stanovení harmonogramu a priority jejich implementace 2. Sestavení projektového týmu pro implementaci Pokrytí - aplikace a operační systémy, serverová infrastruktura, síťová infrastruktura, bezpečnost, PM, externí konzultanti (Cisco, Microsoft, atd.) Stanovení cílů, postupů, harmonogramu 3. Analýza současného stavu a připravenosti na nasazení Kontrola infrastruktury podpora na stávajících zařízeních, potřeba upgradu Podpora pro SW operační systémy, aplikace, SW zařízení jako požadavek při nákupu nového HW/SW Příprava plánu upgradu 41
Plánování implementace (2) 4. Plánování vzdělávání Provozní personál musí být schopen pracovat s Síťový architekt musí znát možnosti a požadavky Bezpečnostní architekt musí znát a s ním spojené rizika 5. Získání prefixu Může být přiřazen service providerem (PA) nebo Provider Independent (PI) 6. Volba architektury a postupu nasazení, příprava designu Zpracování Hig Level Designu popis architektury nasazení Zpracování Low Level Designu adresní plán, postup nasazení 42
Plánování implementace (3) 7. Implementace pilotního projektu, testování ověření funkčnosti a navrženého způsobu implementace testování síťové infrastruktury i vybraných aplikací získání praktických zkušeností 8. Definice bezpečnostní politiky podobná rizika jako u Eliminace rizik identifikovaných při pilotním nasazení 9. Specifikace výjimek z Identifikování komponent, které zůstanou na Důvody: technické, procesní, finanční atd. 43
Implementace podpora ze strany společnosti Cisco 1. Studie Nasazení ve státní správě 2. Cisco demobox 3. Audit připravenosti stávající komunikační infrastruktury 44
45