Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
ZMĚNOVÝ POŽADAVEK
ZP014_GFŘ
NÁVRH NA ZMĚNU PROJEKTU (ZP)
Project ID Projekt GFŘ
Objednatel GFŘ
Krátký název ZP WAN HUBy
Datum podání 14.05.2020
Datum aktualizace ZP 22.9.2020
Priorita Střední
Předkladatel GFŘ, vedoucí Projektu za Objednatele
Zhotovitel , vedoucí Projektu
SPCSS,
za Poskytovatele
1. ZADÁNÍ
1.1 Shrnutí zadání
Předmětem změnového požadavku je poskytnutí kapacity centrálních směrovačů
k terminaci šifrovaných VPN tunelů a následné směrování komunikace k aplikacím
FS/GFŘ, provozovaných v datových centrech SPCSS.
Součástí směrování komunikace je i komunikace do lokalit GFŘ v rámci Prahy,
připojených prostřednictvím MAN MF.
Součástí změnového požadavku je nasazení certifikační autority pro DMVPN síť dle
projektu předaného ze strany GFŘ.
1.2 Zadání požadované změny
Požadavek na dodání kapacity centrálních směrovačů (WAN HUBy) k terminaci
datové konektivity z jednotlivých lokalit FS. Centrální směrovače budou připojeny
k Interconnectu CMS prostřednictvím nové VPN zakončené na hraničních zařízeních
operátora NAKIT v lokalitách datových center SPCSS. Centrální směrovače musí
umožnit zakončení DMVPN tunelů z jednotlivých lokalit FS dle projektu předaného ze
strany GFŘ.
1.2.1 Popis požadované změny
Stávající design DMVPN se sestává ze dvou stejných Hub směrovačů, které jsou
fyzicky umístěny v lokalitách Letenská (mfwan-gw) a Lazarská (mfwan-gw2). Jedná se
o výkonné směrovače Cisco ASR1001-X.
Plánovaná změna spočívá v přenesení rolí DMVPN směrovačů (HUBů) ze stávajících
směrovačů na směrovače SPCSS Cisco ASR 1001-X, jejichž kapacita bude poskytována
v rámci Služby. Kapacita linek bude následující 2x1Gbps do CMS2 jako nové propoje.
1/8
Změnový požadavek ZP014 - GFŘ
1.2.2 Dopady na stávající Službu
Jedná se o novou službu, která se tímto změnovým požadavkem stane službou se
samostatným KL GFŘ/007.
V současnosti je funkcionalita poptávaná v rámci této podslužby řešena
prostřednictvím infrastruktury MF a je poskytována pro cca 210 koncových lokalit FS.
Migrace centrální služby z lokalit MF do infrastruktury SPCSS proběhne bez výpadku
provozu.
1.2.3 Specifikace SW a HW požadavků
Požadujeme dodání výkonu dvou kusů směrovačů s podporou technologie DMVPN
tunelů. Podpora připojeni pro všechny lokality FS, komunikující přes stávající
směrovače mfwan-gw, resp. mfwan-gw2 (cca 200 lokalit) technologií DMVPN.
Připojení k operátorskému Interconnectu CMS NAKIT dvěma nezávislými datovými
okruhy s podporou šifrování IPSeC o kapacitě 1Gbps pro každý datový okruh.
1.3 Popis zajištění realizace změny
S ohledem na stávajícího provozovatele změnou dotčených prvků komunikační
infrastruktury MF a FS požadujeme, aby migraci celého provozu ze všech lokalit FS ze
stávajícího řešení na nové provedla společnost ANECT.
1.4 Monitoring služby
Provozní monitoring směrovačů Cisco ASR 1001-X bude realizován pomocí CA UIM
do něhož jsou potřebné informace z boxů zaznamenávány. CA UIM je pro autorizované
uživatele GFŘ přístupný. Seznam parametrů bude součástí analýzy ZP.
1.5 Dostupnost služby
Definice SLA bude řešena v detailním popisu řešení a v KL GFŘ/007
Případné změny SLA oproti KL GFŘ/004 budou mít přímý dopad na cenu Služby.
1.6 Zdůvodnění změny
Stávající technické parametry dotčených prvků komunikační infrastruktury
Govbone po provedené konsolidaci HW ADIS již nesplňuje požadavky FS na propustnost
a stabilitu provozu. Z tohoto důvodu jsme se rozhodli na úpravě a zjednodušení
komunikační infrastruktury FS a přímé připojení do infrastruktury SPCSS.
1.7 Očekávané důsledky způsobených nedostatečnou
Eliminace stávajících provozních omezení
propustností komunikační infrastruktury Govbone.
2/8
Změnový požadavek ZP014 - GFŘ
VÝSLEDEK Dále zpracovávat Nerealizovat Přepracovat
Odložit
Jméno Schválil (SPCSS) Schválil (XXX)
Datum
Podpis manažer služby za SPCSS manažer služby za GFŘ
22. 9. 2020 23. 9. 2020
3/8
Změnový požadavek ZP014 - GFŘ
2. ANALÝZA ZP – TECHNICKÉ ŘEŠENÍ
2.1 Detailní popis řešení
2.1.1 Popis současného stavu
Současné L1 propojení na straně MFČR, relevantní ke komunikaci z WAN MF/GFŘ
na služby umístěné v SPCSS je znázorněno na následujícím obrázku:
L3 prvky v této topologii, směrující provoz z WAN do SPCSS, jsou směrovače
mfwan-gw/gw2, L3 přepínač mf-gw1, virtuální FW gateway INT a EXTERN (na
firewallové soustavě Check Point VSX mf00fw02 a mf00fw03) a směrovače Govbone-
gw/gw2.
Úzkými místy v této topologii jsou:
- Govbone-gw/gw2 směrovače, směrující provoz mj. do SPCSS, a připojené 1Gb/s
linky
- Firewallová soustava
- L3 přepínače mf-gw2, mf-gw1 (mf-gw1 je single-point-of failure pro komunikaci
z WAN do SPCSS)
2.1.2 Cílový stav
Cílový stav předpokládá migraci služby obou DMVPN WAN hubů, nyní
implementovaných na mfwan-gw a mfwan-gw2, do SPCSS a zákaznického modulu GFŘ.
DMVPN WAN huby budou připojeny do NDC bloku a operátorského interconnectu MV
(NAKIT). Pro co nejjednodušší migraci, spojenou s minimalizací topologických změn
v infrastruktuře MF i SPCSS, je pro implementaci DMVPN hub funkcionality v SPCSS
předpokladem využití dvou nových fyzických zařízení v SPCSS. Předpokládaný cílový
4/8
Změnový požadavek ZP014 - GFŘ
stav v SPCSS je znázorněn na následujícím obrázku (L3 topologie, červeně jsou
znázorněny nově plánované části):
Zařízení CISCO ASR 1001-X, plnící funkci centrálních směrovačů DMVPN GFŘ
budou ve správě GFŘ. Zařízení nebudou sdílená pro další zákazníky ani Poskytovatele.
Řešení bude mít následující přínosy:
- Migrace funkcionality DMVPN hubů z MF do SPCSS přinese výrazné snížení zátěže
výše popsaných úzkých míst infrastruktury MF. Komunikace z MF do SPCSS,
která je nyní z WAN (MF), se přesune přímo do SPCSS a kompletně mine úzká
místa infrastruktury MF. Naopak opačným směrem (ze SPCSS do MF) po migraci
mírně naroste komunikace, spojená s WAN komunikací AO MFČR a finančních
úřadů na služby, které zůstanou umístěné ve stávajících centrálních/MAN
lokalitách MF a GFŘ (především lokality Letenská, Voctářova, Lazarská a Žitná).
- Migrace DMVPN hubů do datových center SPCSS je v souladu s cílovým řešením
plánovaného oddělení infrastruktury MF a FS.
- Použití nových směrovačů pro implementaci DMVPN hubů výrazně sníží dopady
na topologické změny na straně MF. Stávající huby v MF budou odpojeny od
WAN, nicméně se na nich zachová stávající směrování mezi
uživatelskými a serverovými VLANy GFŘ a administrativně zůstanou
součástí stávající ZKZ služby.
5/8
Změnový požadavek ZP014 - GFŘ
- Nové směrovače pro DMVPN huby poskytne SPCSS formou služby a nebudou tak
ve vlastnictví GFŘ. Fyzická migrace stávajících DMVPN hubů z MF do SPCSS bude
spojena až s další fází oddělování infrastruktury FS a MF.
- SPCSS rovněž zajistí WAN konektivitu do MPLS VPN pro nové DMVPN huby od
operátora provozující stávající hub přípojky; cílově půjde o 2x1Gb/s.
- Lokalita Žitná bude připojena prostřednictvím služby WAN operátora k lokalitě
Vápenka pomocí dvou geograficky oddělených datových okruhů. Datové okruhy
budou realizovány službou DWDM umožňující objednání přenosových tras o
rychlostech 1 nebo 10 Gbps. Po ukončení výstavby DC Zeleneč dojde k přeložení
jednoho datového okruhu přímo do lokality Zeleneč. Tato služba není předmětem
tohoto ZP. Je součástí ZP016.
- DMVPN technologie využívá k vytváření VPN tunelů technologii IPsec. Na
sestavování L2L IPsec tunelu je použit protokol IKEv1.
- Při sestavování tunelů je na autentizaci použita metoda RSA. Tedy každý VPN
uzel musí mít platný certifikát vydaný certifikační autoritou (dále jen CA). Nic
jiného (SN certifikátu, CN, OU…) se nekontroluje. Nekontroluje se CRL list.
Certifikát musí mít platnou lhůtu platnosti.
Společná CA bude realizována pomocí nových Cisco směrovačů DMVPN Cisco
ISR4321-SEC/K9 s platnou Encription Right licencí.
2.1.3 Realizované činnosti
Nutnou podmínkou pro realizaci ZP je:
1. Vypracování technického projektu, který není součástí tohoto projektového
záměru. Tvorbu technického projektu zajistí GFŘ
2. Vypracování migračního projektu, implementace DMVPN hubů v SPCSS a
migrace jsou součástí tohoto projektového záměru
3. Realizace změny na straně SPCSS v součinnosti MF a GFŘ (Nutnou součinnost
MF, NAKIT zajistí GFŘ)
ID Činnost Zodpovědnost
1. Vypracování Technického projektu GFŘ/ANECT
2. Příprava a konfigurace prostředí SPCSS pro migraci
3. Migrace pilotních 9 lokalit SPCSS/ANECT
3. Vyhodnocení pilotního provozu GFŘ/ANECT
4. Migrace zbývajících lokalit
GFŘ/ANECT/SPCSS
GFŘ/ANECT
6/8
Změnový požadavek ZP014 - GFŘ
2.1.4 Požadovaná součinnost
Projekt bude vyžadovat úzkou součinnost mezi GFŘ, MF, NAKIT a SPCSS. SPCSS
zajistí implementaci služby WAN linek a DMVPN hubů. Předpokladem je zpracování
technického projektu cílového řešení před zahájením implementace služby. MF musí
zajistit součinnost při změnách ve své komunikační infrastruktuře (především na straně
směrovačů a firewallové soustavy).
2.2 Dopady do kvalitativních parametrů poskytované Služby
SLA bude realizováno jako pro Službu Bezpečné připojení. (CMS2)
2.3 Harmonogram realizace
1. Tvorba technického projektu (GFŘ)
2. Příprava a konfigurace prostředí pro migraci T+3 týdny
3. Migrace pilotních 9 lokalit T+3 týdny
4. Vyhodnocení pilotního provozu T+2 týdny
5. Migrace zbývajících lokalit T+4 týdny
6. Dokončení
2.4 Rizika
200 lokalit pro migraci a řešení problémů z čehož vyplývá prodloužení realizace ZP.
Potřebná součinnost GFŘ(NAKIT,MV) a SPCSS, odsouhlasení napojení do CMS2 (vytvoření
dedikovaného poolu a propoje do KIVS).
2.5 Cenové ohodnocení pracnosti a nákladů (pokud budou nad rámec
Služby)
Finanční náklady na zřízení a provoz datových okruhů budou hrazeny z rozpočtu GFŘ.
Celková cena V Kč bez DPH
Příprava - hrazena jednorázově 400 910,00
Měsíční cena 99 779,00
2.6 Dopady do dokumentací Popis změny
ID Název aktualizace dokumentu
1.
7/8
Změnový požadavek ZP014 - GFŘ
3. SPOLEČNÁ SEKCE
Rozhodnutí
Datum Realizovat Nerealizovat Přepracovat Odložit
Výsledek Ano Ne Není potřeba
rozhodnutí
Podepsaná
aktualizace
smlouvy?
Podpisem oprávněné osoby potvrzujeme, že s návrhem změny výše popsané dle
výsledku rozhodnutí souhlasíme. V případě výsledku Realizovat, je možné ihned zahájit
práce na implementaci ZP.
V Praze dne:
Objednatel Zhotovitel
Jméno: Jméno:
2. 2. 2021 29. 1. 2021
Podpis: ___________________________ Podpis: ___________________________
Jméno: Jméno:
29. 1. 2021 27. 1. 2021
Podpis: ___________________________ Podpis: ___________________________
8/8
Změnový požadavek ZP014 - GFŘ
