S M L O U VA N A O B M Ě N U A M O D E R N I Z A C I L A N / WA N I N F R A S T R U K T U RY F I N A N Č N Í S P R ÁV Y
S M L O U VA N A O B M Ě N U A M O D E R N I Z A C I L A N / WA N I N F R A S T R U K T U RY F I N A N Č N Í S P R ÁV Y
Číslo smlouvy Objednatele: 21/7700/0198
Číslo smlouvy Poskytovatele: ANECT/GFR_1/2021/003S
Smluvní strany:
Generální finanční ředitelství
se sídlem Xxxxxxxx 00/0, 000 00 Xxxxx 0
IČO: 72080043
bank. spojení: zastoupená:
(dále jen „Objednatel“)
a
ANECT a.s.
se sídlem: Vídeňská 204/125, Přízřenice, 619 00 Brno IČO: 25313029, DIČ: CZ25313029
společnost zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl B, vložka 2113
bank. spojení:
č. účtu:
zastoupená: Xxxxx Xxxxxx, předsedou představenstva (dále jen „Poskytovatel“)
(Objednatel a Poskytovatel dále společně jen „smluvní strany“ anebo samostatně „smluvní strana“)
dnešního dne uzavřely tuto smlouvu v souladu s ustanovením § 1746 odst. 2 a § 2586 a násl. zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „Občanský zákoník“)
(dále jen „Smlouva“)
Smluvní strany, vědomy si svých závazků v této Smlouvě obsažených a s úmyslem být touto Smlouvou vázány, dohodly se na následujícím znění Smlouvy:
1. ÚVODNÍ USTANOVENÍ
1.1 Objednatel prohlašuje, že:
1.1.1 je řízen zákonem č. 456/2011 Sb., o Finanční správě České republiky, ve znění pozdějších předpisů (dále jen „zákon") a jeho územní působnost je stanovena v § 2 tohoto zákona.
1.1.2 splňuje veškeré podmínky a požadavky v této Smlouvě stanovené a je oprávněn tuto Smlouvu uzavřít a řádně plnit závazky v ní obsažené.
1.2 Poskytovatel prohlašuje, že:
1.2.1 je právnickou osobou řádně založenou a existující podle českého právního řádu, splňuje veškeré podmínky a požadavky v této Smlouvě stanovené a je oprávněn tuto Smlouvu uzavřít a řádně plnit závazky v ní obsažené.
1.2.2 je odborníkem v oboru informačních technologií s dostatečnými zkušenostmi a know-how se zaměřením zejména na předmět Xxxxxxx zakázky, jak je tento pojem definován níže,
1.2.3 je plně seznámen s charakteristikami, funkčnostmi, technologiemi, hardware a software poptávaného Objednatelem v rámci Veřejné zakázky, a je proto připraven plnit své povinnosti vyplývající ze Smlouvy a dodat a instalovat Objednateli veškeré hardware a software zařízení v konfiguracích dle této Smlouvy v souladu s principy „best practice“ dle svého nejlepšího vědomí, ve prospěch Objednatele a s ohledem na šetření nákladů Objednatele.
1.2.4 splňuje veškeré podmínky a požadavky v této Smlouvě stanovené a je oprávněn tuto Smlouvu uzavřít a řádně plnit závazky v ní obsažené, a
1.2.5 ke dni uzavření této Smlouvy vůči němu není vedeno řízení dle zákona č. 182/2006 Sb., o úpadku a způsobech jeho řešení (insolvenční zákon), ve znění pozdějších předpisů, a zároveň se zavazuje Objednatele o všech skutečnostech o hrozícím úpadku bezodkladně informovat.
1.3 Objednatel oznámil dne 4. 2. 2021 oznámením otevřeného řízení svůj záměr zadat veřejnou zakázku s názvem „Obměna a modernizace LAN/WAN FS“ (dále jen
„Veřejná zakázka“) dle zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „ZZVZ“), evidenční číslo 4/2021, kdy Objednatel v zadávacím řízení vyhodnotil nabídku Poskytovatele jako nejvhodnější ze všech hodnocených nabídek podaných v rámci Veřejné zakázky. Objednatel se rozhodl realizovat Xxxxxxxx zakázku prostřednictvím Poskytovatele a Poskytovatel je ochoten se na realizaci podílet v souladu s podmínkami stanovenými v této Smlouvě a zadávacími podmínkami Veřejné zakázky.
1.4 Smluvní strany dále prohlašují, že na základě realizace Veřejné zakázky Poskytovatel současně s Objednatelem uzavřel „Servisní smlouvu na zajištění podpory a provozu LAN/WAN infrastruktury finanční správy“, číslo Servisní smlouvy Objednatele 21/7700/0199, číslo Servisní smlouvy Poskytovatele ANECT/GFR_1/2021/003 (dále jen „Servisní smlouva“). Pro veškeré hardware a software zařízení řádně dodané a instalované dle této Smlouvy je Poskytovatel
povinen poskytovat služby podpory a provozu v rozsahu a za podmínek dle Servisní smlouvy.
2. ÚČEL SMLOUVY
2.1 Účelem této Smlouvy je zejména dodání a konfigurace hardware síťové infrastruktury vč. potřebného software (dále jen „Infrastruktura“) a nasazení Infrastruktury do testovacího a ostrého provozu v souladu s požadavky Objednatele definovanými touto Smlouvou.
2.2 Účelem této Smlouvy je dále úprava podmínek pro zajištění oprávnění Objednatele k provozu a podpoře Infrastruktury tak, aby byla otevřená ve smyslu možnosti Objednatele poptávat její další provoz a podporu v soutěži co nejširšího počtu poskytovatelů bez toho, aby byl Objednatel omezen výhradními právy Poskytovatele či třetích osob váznoucích bez řádného důvodu na Infrastruktuře.
2.3 Poskytovatel touto Smlouvou garantuje Objednateli splnění zadání Veřejné zakázky a všech z toho vyplývajících podmínek a povinností podle Zadávací dokumentace Veřejné zakázky (dále jen „Zadávací dokumentace“). Tato garance je nadřazena ostatním podmínkám a garancím uvedeným v této Smlouvě. Pro vyloučení jakýchkoliv pochybností to znamená, že:
2.3.1 v případě jakékoliv nejistoty ohledně výkladu ustanovení této Smlouvy budou tato ustanovení vykládána tak, aby v co nejširší míře zohledňovala účel Veřejné zakázky vyjádřený Zadávací dokumentací;
2.3.2 v případě chybějících ustanovení této Smlouvy budou použita dostatečně konkrétní ustanovení Zadávací dokumentace;
2.3.3 Poskytovatel je vázán svou nabídkou předloženou Objednateli v rámci zadávacího řízení na zadání Veřejné zakázky, která se pro úpravu vzájemných vztahů vyplývajících z této Smlouvy použije subsidiárně.
3. PŘEDMĚT SMLOUVY
3.1 Poskytovatel se touto Smlouvou zavazuje provést pro Objednatele dílo, které spočívá v provedení pevné fáze realizace díla a provedení další variabilní fáze realizace díla spočívající v dodání a instalaci jednotlivých prvků Infrastruktury v daných dílčích lokalitách Objednatele uvedených v Příloze č. 1 této Smlouvy Technická specifikace obnovy komunikační infrastruktury (dále jen „Technická specifikace“) (dále společně jen „Dílo“). Dílo je Poskytovatel povinen provést v rozsahu a za podmínek dle této Smlouvy a jejích příloh.
3.2 V rámci pevné fáze realizace Díla je Poskytovatel povinen:
3.2.1 provést realizaci místního šetření v rozsahu a za podmínek dle Technické specifikace pro provedení pevné fáze realizace Díla;
3.2.2 provést detailní analýzu požadavků Objednatele na obnovu Infrastruktury v souladu s touto Smlouvou a jejími přílohami, včetně realizace návrhu architektury, návrhu adresního plánu, návrhu migrace, popisu souběhu provozu se stávající infrastrukturou, popisu nastavení routování a nezbytných konzultací, a vytvoření dokumentace s návrhem postupu instalace
Infrastruktury (dále jen „Řídící dokumentace“). Řídící dokumentace pro Pilotní projekt, jak je tento pojem definován níže, bude obsahovat:
a) upřesnění technických parametrů Infrastruktury dodané Poskytovatelem dle této Smlouvy a její instalace dle daného typu lokality Infrastruktury, tj. centrála Infrastruktury a vybrané lokality typu A, B, C, CX a D (společně
„centrála a typové lokality Infrastruktury“),
b) detailní vypracování funkčních a dalších parametrů dodávané Infrastruktury pro centrálu a typové lokality Infrastruktury při dodržení základní specifikace hardware a software zařízení a dalšího plnění dle této Smlouvy, která je uvedena v Příloze č. 2 této Smlouvy (dále jen
„Specifikace díla“),
c) další požadavky Objednatele na zpracování Řídící dokumentace dle Technické specifikace a této Smlouvy;
3.2.3 provést realizaci školení a poskytnutí konzultací před zahájením Pilotního projektu, a to v rozsahu a za podmínek dle této Smlouvy, tj. Technické specifikace a Řídící dokumentace;
3.2.4 provést realizaci pilotního projektu, tj. dodávku veškerého hardware a software vč. instalace Infrastruktury pro centrálu a typové lokality Infrastruktury uvedené v Technické specifikaci (dále jen „Pilotní projekt“). Pilotní projekt bude realizován v souladu s Technickou specifikací a akceptovanou Řídící dokumentací;
3.2.5 provést realizaci druhého školení po akceptaci Pilotního projektu vč. zajištění potřebného školení v rozsahu daném výrobcem technologií prvků Infrastruktury, jehož účelem bude ověřování kvality Infrastruktury nasazené po akceptaci Pilotního projektu a její funkčnosti v reálných podmínkách Objednatele a poskytnutí konzultací v rozsahu a za podmínek dle této Smlouvy a všech jejích příloh.
3.3 V rámci variabilní fáze realizace Díla, která bude zahájena až po řádném provedení a akceptaci Pilotního projektu na základě písemného pokynu Objednatele (viz odst.
4.5 této Smlouvy), je Poskytovatel (v rámci každé jednotlivé lokality Infrastruktury požadované Objednatelem) povinen:
3.3.1 provést místní šetření v dané lokalitě Infrastruktury/v daných lokalitách Infrastruktury uvedených v Řídící dokumentaci a vypracovat dílčí řídící dokumentaci pro danou lokalitu/lokality Infrastruktury (dále jen „Dílčí řídící dokumentace“), v rámci které dojde:
a) k upřesnění technických parametrů daného typu lokality Infrastruktury, tj. A, B, C, CX a D dodané a instalované Poskytovatelem v rámci variabilní fáze realizace Díla,
b) k upřesnění ceny Dílčí realizace, jak je tento pojem definován níže, postupem dle této Smlouvy (viz odst. 8.7 a 8.7.1 této Smlouvy),
c) k detailnímu vypracování funkčních a dalších parametrů dodávané Infrastruktury pro příslušnou lokalitu, jejíž základní specifikace je uvedena ve Specifikaci díla,
d) k zpracování dalších požadavků dle Řídící dokumentace;
3.3.2 k dodání a nasazení Infrastruktury v dané lokalitě (dále jen „Dílčí realizace“), a to až po akceptaci Dílčí řídící dokumentace ze strany Objednatele;
3.3.3 provedení školení pro Objednatele po každé Dílčí realizaci v sídle dané lokality Infrastruktury.
3.4 V rámci realizace Díla dle odst. 3.2 a 3.3 Smlouvy je dále Poskytovatel povinen:
3.4.1 dodat hardware a poskytnout software ke každé dodávce Infrastruktury v konfiguracích podle jejich specifikace, jež tvoří Přílohu č. 2 této Smlouvy;
3.4.2 vytvořit a dodat další veškerou požadovanou dokumentaci dle této Smlouvy, tj. zejména uživatelské, administrátorské a jiné příručky požadované Objednatelem (dále jen „Dokumentace“);
3.4.3 provést dopravu veškerého hardware a software řízení dle Smlouvy do místa plnění (na vlastní nebezpečí a náklady), včetně jeho umístění do vhodného přepravního obalu zamezujícího anebo minimalizujícího případné poškození během dopravy;
3.4.4 provést instalaci Infrastruktury včetně případné likvidace odpadů vzniklých při instalaci v místě plnění a poskytnout Objednateli záruku za jakost dle této Smlouvy na provedenou instalaci;
3.4.5 poskytovat další potřebné školení či konzultace v rozsahu a za podmínek dle této Smlouvy a jejích příloh;
3.4.6 případně provést/poskytnout další plnění dle této Smlouvy, Řídící dokumentace a Dílčí řídící dokumentace.
3.5 Nad rámec této Smlouvy se Poskytovatel dále zavazuje poskytovat Objednateli konzultační služby, služby podpory výrobce síťových prvků a služby podpory Infrastruktury v souladu se Servisní smlouvu, kterou uzavřel s Objednatelem.
3.6 Objednatel se zavazuje zaplatit Poskytovateli dohodnutou cenu za řádně a včas provedené Dílo, a to po provedeném akceptačním řízení, tj. po předání a převzetí jednotlivých částí Díla dle této Smlouvy a za podmínek touto Smlouvou dále stanovených (viz odst. 11.3.4 Xxxxxxx).
3.7 Objednatel se touto Smlouvou zavazuje poskytnout Poskytovateli nezbytnou součinnost při provádění Díla v rozsahu, která je vymezena v Technické specifikaci, a může být dále upřesněna v Řídící dokumentaci. Stejně tak se Objednatel zavazuje poskytnout Poskytovateli nezbytnou součinnost při poskytování dalších plnění dle této Smlouvy.
3.8 Poskytovatel se zavazuje alokovat na realizaci Díla dle této Smlouvy kapacity členů realizačního týmu Poskytovatele a realizovat Dílo dle Xxxxxxx za účasti členů realizačního týmu uvedených v Příloze č. 5 této Smlouvy, jimiž Poskytovatel prokázal svou kvalifikaci v zadávacím řízení. Alokací kapacity se rozumí dostupnost kteréhokoliv člena realizačního týmu. Jakákoliv dodatečná změna členů realizačního týmu musí být předem projednána a písemně (např. e-mailem) schválena Objednatelem (bez nutnosti uzavření písemného dodatku k této Smlouvě), přičemž změna bude Objednatelem schválena v případě, že Poskytovatel nahradí osobu realizačního týmu
takovou osobou, která prokazatelně disponuje znalostmi a odbornou kvalifikací alespoň na úrovni, která byla u nahrazované osoby posouzena v rámci zadávacího řízení Veřejné zakázky. Nad rámec členů realizačního týmu se Poskytovatel dále zavazuje realizovat Xxxx prostřednictvím osob uvedených v Řídící dokumentaci či Dílčí řídící dokumentaci.
3.9 Poskytovatel se zavazuje realizovat Xxxx sám, nebo s využitím poddodavatelů uvedených v Příloze č. 5 této Smlouvy. Jakákoliv dodatečná změna osoby poddodavatele nebo rozsahu realizace Díla svěřeného poddodavateli musí být předem písemně (např. e-mailem) schválena Objednatelem (bez nutnosti uzavření písemného dodatku k této Smlouvě), ledaže by plnění původně svěřené poddodavateli realizoval Poskytovatel sám. Smluvní strany výslovně uvádějí, že při realizaci Díla prostřednictvím jakékoliv třetí osoby dle tohoto odstavce má Poskytovatel odpovědnost, jako by Xxxx realizoval sám.
4. DOBA A MÍSTO PLNĚNÍ
4.1 Podrobný přehled činností prováděných v rámci jednotlivých fází zhotovení Díla dle odst. 3.2 a 3.3 Smlouvy je uveden v harmonogramu realizace Díla, který tvoří Přílohu č. 3 této Smlouvy (dále jen „Harmonogram“) a obsahuje mj. závazné termíny předání částí Díla dle této Smlouvy.
4.2 Poskytovatel se touto Smlouvou zavazuje provést plnění dle odst. 3.2 a 3.3 této Smlouvy dle Harmonogramu.
4.3 Smluvní strany prohlašují, že v rámci Řídící dokumentace bude tento harmonogram uvedený v Příloze č. 3 Smlouvy dále detailněji specifikován (dále jen „Detailní harmonogram“), přičemž od akceptace Řídící dokumentace je Poskytovatel povinen provádět Dílo dle tohoto Detailního harmonogramu, který má přednost před Harmonogramem.
4.4 Místem plnění Pilotního projektu jsou místa uvedené v Technické specifikaci a v Řídící dokumentaci.
4.5 Místem plnění Dílčích realizací jsou místa uvedená v Řídící dokumentaci. Každá Dílčí realizace bude zahájena na základě předchozího písemného pokynu Objednatele, který bude zaslán v souladu s Detailním harmonogramem.
4.6 Pokud to povaha plnění této Smlouvy umožňuje a Objednatel vůči tomu nemá výhrady, je Poskytovatel oprávněn poskytovat části plnění také vzdáleným přístupem.
5. ZPŮSOB PLNĚNÍ
5.1 Poskytovatel prohlašuje, že veškeré jeho plnění realizované podle této Smlouvy bude prosté právních vad, a zavazuje se odškodnit v plné výši Objednatele v případě, že třetí osoba úspěšně uplatní autorskoprávní nebo jiný nárok plynoucí z právní vady poskytnutého plnění. V případě, že by nárok třetí osoby vzniklý v souvislosti s plněním Poskytovatele podle této Smlouvy, bez ohledu na jeho oprávněnost, vedl k dočasnému či trvalému soudnímu (či obdobnému) zákazu či omezení užívání Díla či jeho části ze strany Objednatele, zavazuje se Poskytovatel zajistit náhradní řešení a minimalizovat dopady takovéto situace na Objednatele, a to bez dopadu na cenu Díla sjednanou podle této Smlouvy, přičemž současně nebudou dotčeny ani nároky Objednatele na náhradu škody.
5.2 Poskytovatel se zavazuje dodávat Objednateli v rámci realizace Díla takový hardware uvedený ve Specifikaci díla, který bude:
5.2.1 nový, nepoužitý, a nerepasovaný;
5.2.2 plně funkční;
5.2.3 použitelný Objednatelem v České republice. Zejména v této souvislosti Poskytovatel zaručuje Objednateli, že hardware získal veškerá nezbytná osvědčení pro užití v České republice, a to jak z pohledu obecně závazných právních předpisů, tak podmínek výrobce pro poskytování navazujících služeb maintenance. Poskytovatel předá kopie těchto osvědčení při předání hardware;
5.2.4 mít jakost a provedení stanovené v této Smlouvě;
5.2.5 bez materiálových, konstrukčních, výrobních a vzhledových či jiných vad;
5.2.6 splňovat veškeré nároky a požadavky českého právního řádu, zejména zákona o odpadech a zákona o obalech;
5.2.7 dodán včetně všech souvisejících systémových licencí specifikovaných ve Specifikaci díla či jiných systémových licencí nezbytných k řádnému využívání hardware v rozsahu a za podmínek této Smlouvy;
5.2.8 bezpečný, zejména, že dodávky neobsahují radioaktivní materiály a jiné nebezpečné látky a věci, které se mohou stát nebezpečným odpadem ve smyslu zákona o odpadech;
5.2.9 ke kterému Poskytovateli svědčí vlastnické právo a které je bez dalšího oprávněn na objednatele převést;
5.2.10 předmětem dodávky hardware může být i dodávka jednotlivých komponent hardware, jejichž cena je rovněž uvedena v Příloze č. 4 této Smlouvy; a
5.2.11 není zatížen zástavními, předkupními, nájemními či jinými právy třetích osob.
5.3 Poskytovatel je povinen provést dopravu veškerého hardware a software řízení dle Smlouvy do místa plnění (na vlastní nebezpečí a náklady), včetně jeho umístění do vhodného přepravního obalu zamezujícího anebo minimalizujícího případné poškození během dopravy.
5.4 Poskytovatel je povinen dodat veškerý hardware a software legálně a umožnit využití těchto produktů Objednatelem jako koncovým zákazníkem v souladu s distribučními a licenčními podmínkami výrobce těchto zařízení, a to za podmínek dále uvedených v Servisní smlouvě.
5.5 Poskytovatel je povinen do 90 dnů ode dne nabytí účinnosti Smlouvy zřídit pro Objednatele účet u výrobce/výrobců (či u jeho distributora/distributorů v České republice) k ověření dodané technologie/technologií hardware a udělených licencí vč. následného ověření podpory výrobce k software dle Servisní smlouvy. Současně musí mít po celou dobu trvání této Smlouvy Objednatel přístup k tomuto účtu.
5.6 Poskytovatel je povinen (i) dodat veškerý hardware a software dle této Smlouvy Objednateli jako koncovému zákazníkovi a (ii) neomezit Objednatele ve svých nárocích vyplývajících ze záruky výrobce dodávaného zařízení a z podpory, kterou tento výrobce k dodávaným hardware a software zařízením poskytuje. Tato povinnost
zahrnuje i nárok Objednatele na přístup k relevantním software releases a novým verzím software po celou dobu trvání podpory výrobce dle Servisní smlouvy.
5.7 Poskytovatel je vždy povinen provést instalaci Infrastruktury včetně případné likvidace odpadů vzniklých při instalaci v místě plnění a poskytnout Objednateli záruku za jakost dle této Smlouvy na provedenou instalaci.
5.8 Poskytovatel dále zaručuje Objednateli, že v rámci realizace Díla bude dodaný hardware i software bude plně funkční a způsobilý pro použití k určenému účelu, pro užití v České republice, odpovídat sjednané specifikaci, bez faktických vad, a bude splňovat veškeré nároky a požadavky českého právního řádu.
5.9 Poskytovatel prohlašuje, že software nemá žádné právní vady, zejména ohledně něj není veden žádný soudní spor, jsou uhrazeny všechny daně a poplatky týkající se software.
5.10 Poskytovatel vždy provede prezenční zaškolení příslušných lokálních administrátorů Objednatele pro dodanou Infrastrukturu v termínu dle Harmonogramu či Detailního harmonogramu, a pokud takový není, pak v termínu určeném Objednatelem po dohodě s Poskytovatelem. Součástí školení je i poskytnutí dokumentace pro provedení školení a předání komplexní Dokumentace dodané Infrastruktury administrátorům Objednatele. Účelem provedení školení je seznámení administrátorů s dodanou Infrastrukturou do té míry, aby jej byli schopni samostatně užívat v souladu se svým pracovním zařazením u Objednatele.
5.11 Požadavky na školení jsou uvedeny v Technické specifikaci a současně jsou detailněji specifikovány v akceptované Řídící dokumentaci či Dílčí řídící dokumentaci.
5.12 V rámci realizace Díla je Poskytovatel povinen poskytovat Objednateli potřebné konzultace členů realizačního týmu, a to v rozsahu dle této Smlouvy (viz Technická specifikace a Specifikace díla). Ostatní konzultační služby a školení budou poskytovány na základě tzv. objednávek dle Servisní smlouvy.
6. SERVICE DESK A KONTROLA PLNĚNÍ SMLOUVY
6.1 Poskytovatel se zavazuje nejpozději ke dni zahájení Pilotního projektu zřídit řešení, které bude sloužit k dohledu nad realizací Díla a umožní předávání a přijímání informací ke sledování kvalitativních a kvantitativních parametrů Pilotního projektu a další realizace Díla dle Smlouvy (dále jen „Service Desk“) a současně také sledování kvalitativních a kvantitativních parametrů realizace Díla (dále jen „Kontrola plnění Smlouvy“), přičemž bližší specifikace Service Desku a Kontroly plnění Smlouvy je upravena v Technické specifikaci. Service Desk Poskytovatele musí být propojen se Service deskem Objednatele.
6.2 Service Desk, který bude zřízen za účelem dohledu nad realizací Díla a bude umožňovat příjem servisních požadavků, je Poskytovatel povinen udržovat po celou dobu trvání této Smlouvy.
6.3 Na základě Kontroly plnění Smlouvy budou vypracovány a Objednateli doručovány přehledné a kompletní výkazy a výsledky Kontroly plnění Smlouvy, informace ze Service Desku a další informace relevantní pro realizaci Díla, a to formou písemné zprávy o realizaci Díla (dále jen „Zpráva“), ze kterých bude jednoznačně zřejmé, zda byla příslušná část Díla realizována v kvalitě definované v jednotlivých Service Level Agreements (dále jen „SLA“) dle této Smlouvy, a není-li pro určitou část Díla SLA
definováno, zda splňuje specifikaci sjednanou v této Smlouvě. Podoba Zprávy bude upřesněna na základě dohody oprávněných osob v záležitostech obchodních dle odst.
14.1.2 této Smlouvy.
6.4 Zprávy budou vypracovávány vždy pro vyhodnocovací období 1 kalendářního měsíce (dále jen „Vyhodnocovací období“).
6.5 Zprávy podléhají schvalování Objednatelem. Zprávy budou podkladem pro akceptaci dle článku 7 této Smlouvy ze strany Objednatele.
7. AKCEPTACE
7.1 Dílo bude Objednatelem akceptováno na základě akceptační procedury dle tohoto článku 7 Smlouvy. Akceptační procedura zahrnuje ověření, zda Poskytovatelem poskytnuté plnění je výsledkem, ke kterému se Poskytovatel zavázal, a to porovnáním skutečných vlastností Díla či jeho části Poskytovatelem s jejich závaznou specifikací uvedenou v této Smlouvě, Technické specifikaci, Specifikaci díla, Řídící dokumentaci či Dílčí řídící dokumentaci či za využití akceptačních kritérií tam stanovených nebo později pro tento účel dohodnutých smluvními stranami. Pravidla pro akceptaci Díla jsou uvedená v odst. 7.4 této Smlouvy.
7.2 Další pravidla pro akceptaci jednotlivých druhů výstupů poskytovaných v rámci Díla jsou uvedena v odst. 7.5 až 7.7 této Smlouvy. Akceptace Díla jako celku je upravena v odst. 7.8 této Smlouvy.
7.3 Veškerá komunikace v rámci akceptace Díla může probíhat prostřednictvím e-mailu oprávněných osob v záležitostech obchodních dle odst. 14.1.2 této Smlouvy. Akceptační protokoly mohou být podepsány taktéž elektronicky se zaručeným el. podpisem těchto oprávněných osob, nedohodnou-li se smluvní strany prokazatelně jinak.
7.4 Akceptace Díla
7.4.1 Dílčí části Díla, tvořící logický a funkční celek, který představuje samostatný předmět způsobilý přejímky (dále jen „Dílčí plnění“), budou Objednatelem akceptovány na základě akceptační procedury. Akceptační procedura zahrnuje ověření, zda Poskytovatelem poskytnuté Dílčí plnění je výsledkem, ke kterému se Poskytovatel zavázal, a to porovnáním skutečných vlastností jednotlivých Dílčích plnění Poskytovatele s jejich závaznou specifikací uvedenou ve Smlouvě, Technické specifikaci, Specifikaci díla, Řídící dokumentaci či Dílčí řídící dokumentaci, pokud byl Objednatelem akceptován, za využití akceptačních kritérií tam stanovených nebo později pro tento účel dohodnutých smluvními stranami.
7.4.2 Poskytovatel je povinen předložit Objednateli Dílčí plnění v souladu s Harmonogramem či Detailním harmonogramem vždy před koncem příslušné fáze zhotovení dle Harmonogramu či Detailního harmonogramu (konec časové etapy dále jen „Etapy“) tak, aby bylo Objednateli umožněno převzít soubor všech Dílčích plnění v rámci dané Etapy, a to v souladu s Harmonogramem či Detailním harmonogramem.
7.5 Akceptace Řídící dokumentace, Dílčí řídící dokumentace a další Dokumentace
7.5.1 Řídící dokumentace, Dílčí řídící dokumentace a další Dokumentace, které mají být podle této Smlouvy vypracované Poskytovatelem a předané Objednateli, budou Objednatelem schválené a akceptované v souladu s akceptační procedurou definovanou v tomto článku 7.5 Smlouvy, a to tak, že bude akceptační procedurou ověřeno, zda Řídící dokumentace, Dílčí řídící dokumentace a další Dokumenty jsou výsledkem realizace Díla, ke kterému se Poskytovatel zavázal, a to porovnáním jejich skutečných vlastností s jejich závaznou specifikací uvedenou v této Smlouvě, Technické specifikaci a případně již akceptované případně Řídící dokumentaci či Dílčí řídící dokumentaci.
7.5.2 Poskytovatel se zavazuje průběžně konzultovat práce na zhotovení veškerých dokumentů dle tohoto odst. 7.5 Smlouvy s Objednatelem. Poskytovatel je povinen předat veškeré dokumenty dle odst. 7.5 Smlouvy k akceptaci včas tak, aby mohly být dodrženy navazující termíny.
7.5.3 Objednatel je povinen vznést své výhrady nebo připomínky ke každému dokumentu dle odst. 7.5 této Smlouvy do 10 pracovních dnů ode dne jeho doručení. Vznese-li Objednatel výhrady nebo připomínky k dokumentu, zavazuje se Poskytovatel do 10 pracovních dnů provést veškeré potřebné úpravy dokumentu dle výhrad a připomínek Objednatele a takto upravený dokument předat Objednateli v této lhůtě k akceptaci. Pokud výhrady a připomínky Objednatele přetrvávají nebo Objednatel identifikuje výhrady a připomínky nové, je Objednatel oprávněn postupovat podle tohoto odst.
7.5.3 Smlouvy i opakovaně, maximálně však 2 krát, následně bude o vyřešení takových výhrad a připomínek zahájeno jednání smluvních stran.
7.5.4 V případě, že Objednatel nemá k dokumentu připomínky ani výhrady, zavazuje se ve lhůtě 10 pracovních dnů od předložení dokumentu tento dokument akceptovat a potvrdit o tom písemný akceptační protokol.
7.5.5 Bude-li trvání akceptační procedury ovlivněno vznesením výhrad nebo připomínek Objednatele k dokumentu a potřebou jejich vyřešení, nebude to mít vliv na dohodnuté termíny pro akceptaci dokumentu dle Harmonogramu/Detailního harmonogramu.
7.6 Akceptace jiných Dílčích plnění než dokumentů, tj. dodaných a instalovaných hardware prvků Infrastruktury vč. software
7.6.1 Umožňuje-li to povaha plnění Poskytovatele a nestanoví-li tato Smlouva jinak, bude akceptace jednotlivých Dílčích plnění provedena v souladu s akceptační procedurou definovanou v odst. 7.6 Xxxxxxx.
7.6.2 Předání a převzetí Objednatelem objednaného a Poskytovatelem řádně provedeného Dílčího plnění bude probíhat postupně akceptací jednotlivých Dílčích plnění, a to v rámci Harmonogramu či Detailního harmonogramu nebo stanovených v souladu s touto Smlouvou.
7.6.3 Akceptační procedura bude zahrnovat akceptační testy, které budou probíhat na základě specifikace akceptačních testů připravených Poskytovatelem v souladu s jejich specifikací uvedenou ve Specifikaci díla, případně Řídící
dokumentaci a Dílčí řídící dokumentaci, pokud byl Objednatelem akceptován. Nedohodnou-li se smluvní strany jinak, přípravu scénářů, příkladů a dat na akceptační test zajistí Poskytovatel za přiměřené součinnosti Objednatele, a to s ohledem na účel akceptační procedury dle odst. 7.1. Smlouvy. Specifikace akceptačních testů podléhá akceptaci jako dokument v souladu s odst. 7.5. Smlouvy.
7.6.4 Poskytovatel písemně vyzve Objednatele k účasti na akceptační proceduře a tuto písemnou výzvu doručí Objednateli nejméně 5 pracovních dnů před zahájením akceptační procedury. Pokud se Objednatel nedostaví v termínu určeném pro provedení akceptačních testů, přestože byl Poskytovatelem k účasti řádně vyzván, je Poskytovatel oprávněn provést příslušné akceptační testy bez jeho přítomnosti. O průběhu akceptačních testů vyhotoví Poskytovatel písemný záznam, v němž zejména uvede, zda testy prokázaly chyby a jejich specifikaci. Objednateli budou poskytnuty originály veškerých dokumentů vypracovaných v souvislosti s provedením akceptačních testů.
7.6.5 Jestliže jednotlivé Dílčí plnění splní akceptační kritéria akceptačních testů, Poskytovatel se zavazuje nejpozději v pracovní den následující po ukončení akceptačních testů umožnit Objednateli toto Dílčí plnění převzít a Objednatel se zavazuje k jeho převzetí nejpozději do 10 pracovních dnů. Smluvní strany se zavazují o tomto převzetí sepsat akceptační protokol.
7.6.6 Objednatel je povinen Dílčí plnění převzít za předpokladu, že toto plnění nemá žádnou vadu a je plně funkční. Objednatel je oprávněn Dílčí plnění převzít i v případech, kdy počet a/nebo druh vad objektivně nebrání akceptaci Dílčího plnění.
7.6.7 Pokud kterékoliv z jednotlivých Dílčích plnění vykazuje vadu, sdělí Objednatel své připomínky písemně Poskytovateli; pokud Objednatel takové Dílčí plnění současně akceptuje, uvede své připomínky v akceptačním protokolu. Nesdělení připomínek nebo neoznámení některé vady při akceptaci nemá vliv na povinnost Poskytovatele tuto vadu odstranit, pokud o ní ví, dodatečně ji zjistí či mu bude dodatečně oznámena.
7.6.8 Poskytovatel je povinen vypořádat připomínky Objednatele bez zbytečného odkladu, vytknuté vady Dílčího plnění odstranit a do 30 dnů, nedohodou-li se smluvní strany jinak, předložit příslušné Dílčí plnění k opakované akceptaci dle této Smlouvy, za přiměřeného použití ostatních ustanovení tohoto článku 7 Smlouvy. Akceptační procedura, včetně procesu testování a případných následných oprav, se bude opakovat, dokud příslušné Dílčí plnění nesplní akceptační kritéria pro příslušný akceptační test. V případě, že se jedná o vypořádání připomínek k Dílčímu plnění, které již bylo akceptováno, namísto akceptačního protokolu smluvní strany písemně potvrdí, že byly připomínky vypořádány a vytknuté vady byly odstraněny.
7.6.9 Dohodnuté termíny pro předání Dílčího plnění nejsou dotčeny trváním akceptační procedury ani jakýmkoli jejím prodloužením z důvodu vad bránících akceptaci.
7.6.10 Nejpozději v den podpisu akceptačního protokolu jednotlivého Dílčího plnění je Poskytovatel povinen předat Objednateli veškerou požadovanou
Dokumentaci, tj. provozní, uživatelskou a administrátorskou dokumentaci k Dílčímu plnění.
7.7 Akceptace školení (součást Díla):
7.7.1 Dnem uskutečnění prvního (1.) školení dle této Smlouvy je zahájena akceptační procedura bez nutnosti předchozího upozornění. Poskytovatel vyzve po každém jednotlivém školení Objednatele ke sdělení, zda školení proběhlo v souladu s touto Smlouvou, či nikoliv.
7.7.2 Objednatel je povinen Poskytovateli sdělit své připomínky k průběhu školení anebo potvrdit řádný průběh školení. Pokud školení neproběhlo v souladu s touto Smlouvou, je Poskytovatel povinen takové školení nahradit a provést znovu, a to alespoň se stejnými účastníky školení, kteří byli na původním školení. Pokud Objednatel nesdělí své připomínky dle předchozí věty, má se za to, že školení bylo provedeno v souladu s touto Smlouvou.
7.7.3 Smluvní strany sepíšou akceptační protokol do 7 dnů poté, co proběhne příslušné školení v rámci realizace Dílčího plnění, nedohodnou-li se jinak. V akceptačním protokolu si smluvní strany potvrdí provedení školení a součástí akceptačního protokolu bude i prezenční listina účastníků školení.
7.8 Akceptace Díla jako celku:
7.8.1 Dílo jako celek se považuje za provedené, tj. dokončené, až pokud došlo k akceptaci a protokolárnímu převzetí všech Dílčích plnění tvořících Dílo, které jsou specifikované v Technické specifikaci. Dílo jako celek je tedy akceptováno až provedením poslední Dílčí realizace dle Technické specifikace a Detailního harmonogramu, případně Dílčí realizace stanovené písemným pokynem Objednatele postupem na základě článku 8 Smlouvy.
7.8.2 Smluvní strany sepíšou akceptační protokol bezodkladně poté, co proběhne akceptace Díla jako celku.
7.8.3 Pro vyloučení pochybností smluvní strany prohlašují, že až akceptací Pilotního projektu a každé Dílčí realizace budou k tomuto Dílčímu plnění zahájeny služby podpory výrobce a služby provozu a správy Infrastruktury v souladu se Servisní smlouvou.
7.9 V případě vyhrazené změny dle článku 8.6 Smlouvy se smluvní strany zavazují postupovat taktéž dle tohoto článku 7 Smlouvy.
7.10 Lhůty uvedené článku 7 této Smlouvy platí, pokud se smluvní strany nedohodnou písemně jinak.
8. ZMĚNOVÉ ŘÍZENÍ, VYHRAZENÉ ZMĚNY ZÁVAZKU
8.1 Kterákoliv ze smluvních stran je oprávněna písemně navrhnout změny akceptované Řídící dokumentace a Dílčí řídící dokumentace před dokončením Díla či jeho části.
8.2 Objednatel není povinen navrhovanou změnu akceptovat. Poskytovatel se zavazuje vynaložit veškeré úsilí, které po něm lze rozumně požadovat, aby změnu požadovanou Objednatelem akceptoval.
8.3 Poskytovatel se zavazuje provést hodnocení dopadů kteroukoliv smluvní stranou navrhovaných změn na termíny plnění, cenu, funkcionalitu Infrastruktury a součinnost
Objednatele. Poskytovatel je povinen toto hodnocení provést bez zbytečného odkladu, nejpozději do 15 pracovních dnů ode dne doručení návrhu kterékoliv smluvní strany druhé smluvní straně.
8.4 Jakékoliv změny příslušné součásti Řídící dokumentace a Dílčí řídící dokumentace musí být sjednány písemně, a to formou zápisu o provedené změně, pokud nedojde ke změně Harmonogramu nebo Detailního harmonogramu. Tato změna může být smluvními stranami odsouhlasena i formou e-mailu. V případě Objednatele budou za schválení změn před dokončením Díla výhradně oprávněné osoby uvedené v odst.
14.1.1 této Smlouvy. V případě, že odchylka od Řídící dokumentace a Dílčí řídící dokumentace bude schválena jinými osobami než oprávněnými osobami dle odst.
14.1.1 této Smlouvy, taková změna nebude mít vliv na termíny plnění, cenu Díla dle odst. 11 této Smlouvy a součinnost Objednatele a bude se na ni pohlížet tak, jako by tato změna dle této Smlouvy nenastala.
8.5 Dodatky ke Smlouvě dle § 222 ZZVZ
8.5.1 Jakékoliv změny Smlouvy (s výjimkou předem vyhrazených změn Xxxxxxx a dalších možností aktualizace příloh Smlouvy bez nutnosti uzavření dodatku ke Smlouvě) musí být sjednány v souladu s příslušnými ustanoveními ZZVZ, a to zejména v souladu s ustanovením § 222 ZZVZ.
8.5.2 V případě, že po 4 (čtyřech) letech ode dne nabytí účinnosti Smlouvy (viz odst.
8.7.1 této Smlouvy) až do doby uplynutí doby trvání této Smlouvy vyvstane objektivní potřeba další Dílčí realizace, anebo potřeba dodávky jednotlivého hardware a software, jejichž specifikace je uvedena ve Specifikaci díla, jsou smluvní strany oprávněny jednat o uzavření dodatku k této Smlouvy dle § 222 ZZVZ. Přičemž cena za hardware a software bude vycházet z aktuálních jednotkových cen výrobce (v době uzavření dodatku ke Smlouvě), které budou sníženy o aktuální slevu Poskytovatele z těchto ceníků. Smluvní strany se zavazují, že cena za toto dodatečné plnění do ukončení doby trvání této Smlouvy nepřekročí limit dle § 222 odst. 9 ZZVZ, tj. 30 % původní hodnoty závazku ze Smlouvy. Pro vyloučení pochybností se smluvní strany dohodly, že na uzavření dodatku k této Smlouvě nevzniká Poskytovateli smluvní nárok, Objednatel je případně oprávněn poptat plnění jiným způsobem.
8.6 Předem vyhrazené změny závazku ze Smlouvy dle § 100 odst. 1 ZZVZ:
8.7 Cena za Dílčí realizaci lokality Infrastruktury kategorie A, B, C, CX, a D je v Příloze č. 4 Smlouvy stanovena jako maximální a nepřekročitelná (s výjimkou výhrady dle odst. 8.7.1 Smlouvy). Konečná cena za Dílčí realizaci lokality Infrastruktury kategorie A, B, C, CX, a D bude smluvními stranami stanovena v souladu s § 100 odst. 1 ZZVZ, kdy smluvní strany si vyhrazují možnost cenu za Dílčí realizaci snížit, a to po provedeném místním šetření a na základě akceptované Dílčí řídící dokumentace pro konkrétní lokalitu kategorie Infrastruktur A, B, C, CX a X. Xxxxxxx cena za každou Dílčí realizaci bude odpovídat skutečnému počtu instalovaných hardware a software zařízení v dané lokalitě Infrastruktury kategorie A, B, C, CX, a D, jejichž jednotkové ceny jsou uvedené v Příloze č. 4 této Smlouvy. Smluvní strany souhlasně prohlašují, že v rámci této vyhrazené změny tedy může dojít pouze ke snížení ceny Dílčí realizace, a to o hardware a software, který nebude dle Dílčí řídící dokumentace dodán. V případě potřeby dodávky dodatečných prvků hardware či software se uplatní vyhrazená změna dle odst. 8.7.1 této Smlouvy.
8.7.1 Smluvní strany se dále dohodly, že Objednatel je oprávněn využít vyhrazené změny závazku dle § 100 odst. 1 ZZVZ na poskytování dalších dodávek a nasazení Infrastruktury do doby 4 (čtyř) let ode dne nabytí účinnosti Smlouvy, a to pro (i) další lokality nad rámec lokalit uvedených v Technické dokumentaci či (ii) pro další prvky hardware a software potřebné pro dokončení realizace Pilotního projektu, Dílčí realizace anebo pro jejich rozšíření do doby akceptace Díla jako celku. Za podmínky, že na straně Objednatele vyplyne potřeba (i) změny rozsahu a počtu lokalit (nad rámec počtu lokalit uvedených v Technické specifikaci) či (ii) potřeba dodávky dalších prvků hardware a software potřebných pro dokončení realizace lokalit Pilotního projektu, Dílčí realizace anebo pro jejich rozšíření nad rámec již akceptovaného Pilotního projektu či Dílčí realizace, může Objednatel přistoupit k písemnému pokynu zaslanému Poskytovateli k nacenění tohoto plnění. Počet takových nových lokalit nepřesáhne 20 % počtu požadovaných lokalit uvedených v Technické specifikaci. Cena tohoto dalšího plnění bude počítána z jednotkových cen uvedených v Příloze č. 4 Smlouvy. Cena dalších prvků hardware a software potřebných pro dokončení realizace Pilotního projektu, Dílčí realizace variabilní části plnění nebo pro jejich rozšíření do doby akceptace Díla jako celku nepřesáhne 20 % z celkové ceny za danou lokalitu dle Přílohy č. 4 Smlouvy. Tyto ceny jsou závazné do doby 4 (čtyř) let ode dne nabytí účinnosti Smlouvy. Smluvní strany budou dále při realizaci tohoto plnění postupovat dle této Smlouvy, neboť se jedná o další předem vyhrazené plnění ve smyslu odst. 3.3 této Smlouvy.
8.7.2 Smluvní strany si dále předem ve smyslu § 100 odst. 1 ZZVZ vyhradily, že v případě, že během realizace Díla dojde k tomu, že hardware a software specifikovaný ve Specifikaci díla již nebude výrobcem těchto technologií vyráběn/distribuován, je Poskytovatel (po předchozím písemném souhlasu Objednatele) oprávněn nahradit jej při realizaci Díla novým hardware a/nebo software stejné a/nebo vyšší kvality, přičemž jednotková cena tohoto nového hardware či software musí být stejná jako jednotková cena původního hardware a software uvedeného ve Specifikaci díla, který tento nový hardware a/nebo software nahrazuje.
8.7.3 Smluvní strany výslovně prohlašují, že v případě, že v rámci realizace Smlouvy dojde k naplnění některé z podmínek pro odstoupení Objednatele od této Smlouvy uzavřené s Poskytovatelem, je Objednatel oprávněn uzavřít novou smlouvu s účastníkem zadávacího řízení na veřejnou zakázku (viz detailněji Zadávací dokumentace, která je Přílohou č. 9 této Smlouvy).
9. DALŠÍ POVINNOSTI POSKYTOVATELE
9.1 Poskytovatel se dále zavazuje:
9.1.1 realizovat Dílo podle této Smlouvy vlastním jménem, na vlastní odpovědnost a v souladu s pokyny Objednatele řádně a včas a s péčí řádného hospodáře odpovídající podmínkám sjednaným v této Smlouvě a s procesy „best practice“;
9.1.2 zabalit hardware a další zařízení či jinak opatřit pro přepravu způsobem zabraňujícím poškození zboží nebo znehodnocení;
9.1.3 realizovat Dílo podle této Xxxxxxx s odbornou péčí odpovídající podmínkám sjednaným v této Smlouvě;
9.1.4 upozorňovat Objednatele včas na všechny hrozící vady či výpadky svého plnění při provádění Díla, jakož i poskytovat Objednateli veškeré informace, které jsou pro plnění Smlouvy nezbytné, nejpozději do 3 pracovních dnů od zjištění hrozící vady či výpadku;
9.1.5 neprodleně oznámit písemnou formou Objednateli překážky, které mu brání v realizaci Díla či Dílčího plnění a výkonu dalších činností souvisejících s plněním Smlouvy, nejpozději do 3 pracovních dnů od zjištění takové překážky;
9.1.6 i bez pokynů Objednatele provést nutné úkony, které, ač nejsou předmětem této Smlouvy, budou s ohledem na nepředvídané okolnosti pro plnění Smlouvy nezbytné nebo jsou nezbytné pro zamezení vzniku škody; jde-li o zamezení vzniku škod nezapříčiněných Poskytovatelem, má Poskytovatel právo na úhradu nezbytných a účelně vynaložených nákladů;
9.1.7 v případě potřeby průběžně komunikovat s Objednatelem a třetími osobami, vyžaduje-li to řádné dodání Díla, přičemž veškerá taková komunikace bude probíhat v českém nebo slovenském jazyce;
9.1.8 informovat bezodkladně Objednatele o důležitých skutečnostech, které mohou mít vliv na výkon práv a plnění povinností smluvních stran;
9.1.9 zajistit, aby všechny osoby podílející se na plnění jeho závazků z této Smlouvy, které se budou zdržovat v prostorách nebo na pracovištích Objednatele, dodržovaly účinné právní předpisy o bezpečnosti a ochraně zdraví při práci a veškeré interní předpisy Objednatele, s nimiž Objednatel Poskytovatele obeznámil;
9.1.10 chránit duševní vlastnictví Objednatele a třetích osob;
9.1.11 upozorňovat Objednatele na možné rozšíření či změny Díla za účelem jeho lepšího využívání pro jeho účel;
9.1.12 upozorňovat Objednatele v odůvodněných případech na případnou nevhodnost pokynů Objednatele;
9.1.13 dodržovat ICT dokumentaci Objednatele, které tvoří Přílohu č. 8 této Smlouvy vč. jejich případných aktualizací a další dokumentace nahrazující či doplňující ICT dokumentaci Objednatele po dobu trvání této Smlouvy uvedenou v Příloze č. 8 této Smlouvy. V případě změny Přílohy č. 8 této Smlouvy postačí pouze zaslání písemné notifikace Poskytovateli, jehož přílohou bude aktualizovaná či nová dokumentace.
9.2 Poskytovatel se zavazuje zajistit nejpozději do 10 pracovních dnů od uskutečnění jakékoli podstatné změny Infrastruktury provedené Poskytovatelem na základě této Smlouvy aktualizaci Dokumentace vztahující se k Infrastruktuře. Současně platí, že dojde-li v průběhu kalendářního čtvrtletí pouze k nepodstatným změnám Infrastruktury, pak bude aktualizace o případné nepodstatné změny, k nimž v uplynulém kalendářním čtvrtletí došlo, provedená do skončení 10 pracovních dnů od uplynutí daného kalendářního čtvrtletí.
9.3 Poskytovatel se zavazuje poskytnout Objednateli potřebnou součinnost při výkonu finanční kontroly dle zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění pozdějších předpisů.
9.4 Poskytovatel se dále zavazuje vytvořit do 30 dnů od nabytí účinnosti této Smlouvy tzv. dokumentační základnu Díla (dále jen „Dokumentační základna“), která bude vytvořena v ICT prostředí Objednatele a ve které budou následně obsaženy a uchovávány veškeré dokumenty vztahující se k provádění Díla, Infrastruktuře a plnění této Smlouvy jako celku, a to zejména:
9.4.1 Řídící dokumentaci, Detailní harmonogram, Dílčí řídící dokumentace;
9.4.2 Bezpečnostní dokumentaci dle článku 17 této Smlouvy;
9.4.3 veškeré specifikace, manuály či licenční podmínky veškerého hardware, software a jiného plnění poskytnutého Objednateli po nabytí účinnosti této Smlouvy;
9.4.4 veškeré technické podmínky a normy, dle kterých je Dílo dle této Smlouvy prováděno;
9.4.5 interní předpisy a pokyny Objednatele, se kterými byl Poskytovatel Objednatelem seznámen, přičemž s těmito musí být Dílo dle této Smlouvy v souladu;
9.4.6 veškeré dokumenty, které Poskytovatel obdržel od Objednatele a které se vztahují k Infrastruktuře nebo k poskytování plnění dle této Smlouvy;
9.4.7 veškeré dokumenty, které se vztahují k Infrastruktuře nebo k poskytování plnění dle této Smlouvy a kterými disponuje Poskytovatel ke dni nabytí účinnosti této Smlouvy; a
9.4.8 veškeré smlouvy s poddodavateli Poskytovatele, související s prováděním Díla dle této Smlouvy.
9.5 Dokumentační základna bude rozdělena dle jednotlivých kategorií dokumentů uvedených výše a bude přístupná on-line v ICT prostředí Objednatele. K tomuto ICT prostředí bude mít Poskytovatel po dobu trvání Smlouvy přístup.
9.6 Dokumenty v Dokumentační základně budou po vytvoření a akceptaci (příslušného dokumentu) postupem dle této Smlouvy tvořit Přílohu č. 8 Smlouvy. Poskytovatel je povinen pravidelně prověřit aktuálnost Dokumentační základny tak, aby obsahovala veškeré dokumenty spadající do výše uvedených kategorií vztahující se k realizaci Díla dle této Smlouvy. Každý dokument musí být do Dokumentační základny vložen Poskytovatelem nejpozději do 10 pracovních dnů od provedení akceptace Dílčího plnění dle článku 7 této Smlouvy, ke které se tento dokument vztahuje.
10. POVINNOSTI OBJEDNATELE
10.1 Objednatel se zavazuje stanovit osoby oprávněné závazně řešit a rozhodovat problémy vzniklé v průběhu plnění Smlouvy.
10.2 V případě, že se při realizaci plnění vyskytne potřeba konzultovat některé údaje s oprávněnými osobami Objednatele nebo zajistit určité činnosti ze strany Objednatele, zavazuje se Objednatel poskytnout Poskytovateli veškerou nezbytnou a potřebnou součinnost vyžádanou na základě specifikace předložené zástupcem
Poskytovatele, přičemž tato specifikace může být zaslána e-mailem, dopisem či poskytnuta při osobním jednání.
10.3 Smluvní strany se dále dohodly, že v případě, že Poskytovatel nemůže plnit své povinnosti z důvodu prodlení na straně Objednatele s poskytováním sjednané součinnosti delší než 5 pracovních dní oproti sjednanému termínu a Objednatel byl na tuto skutečnost písemně upozorněn Poskytovatelem, přičemž mu byla poskytnuta lhůta k nápravě, která nesmí být kratší než 3 dny, pak se o dobu odpovídající počtu dní prodlení s poskytováním součinnosti, na základě které Poskytovatel nemohl plnit své povinnosti, prodlužují lhůty uvedené v Harmonogramu/Detailním harmonogramu tímto dotčené, není-li v konkrétním případě uvedeno jinak. Takovéto prodloužení lhůty uvedené v Harmonogramu/Detailním harmonogramu se nepovažuje za porušení této Smlouvy na straně Poskytovatele.
11. CENA A PLATEBNÍ PODMÍNKY
11.1 Cena pevné fáze realizace Díla (Pilotního projektu) a její hrazení:
11.1.1 Cena místního šetření je stanovena ve výši 179 358 Kč bez DPH. Tato cena je nepřekročitelná a zahrnuje cenu místního šetření za pevnou fázi realizace Díla dle této Smlouvy.
11.1.2 Cena Řídící dokumentace je stanovena ve výši 3 288 821 Kč bez DPH. Tato cena je nepřekročitelná a zahrnuje cenu za dodání Řídící dokumentace dle této Smlouvy.
11.1.3 Cena realizace Pilotního projektu je stanovena ve výši 11 694 978 Kč bez DPH. Tato cena je nepřekročitelná a zahrnuje cenu za realizaci Pilotního projektu vč. dodávky veškerého hardware a software a vč. instalace Infrastruktury pro centrálu a typové lokality Infrastruktury uvedené v Technické specifikaci v rámci Pilotního projektu. Cena Pilotního projektu zahrnuje též cenu školení a konzultací dle této Smlouvy.
11.1.4 Celková cena za pevnou fázi realizace Díla činí 15 163 157 Kč bez DPH. Tato cena je celková, maximální a nepřekročitelná a Poskytovatel výslovně prohlašuje, že zahrnuje cenu za veškeré plnění a jiné náklady/poplatky Poskytovatele v rámci realizace pevné fáze realizace Díla, tedy cenu za místní šetření dle odst. 11.1.1 Smlouvy, cenu Řídící dokumentace dle odst. 11.1.2 Smlouvy a cenu Pilotního projektu dle odst. 11.1.3 Xxxxxxx.
11.1.5 Součástí Přílohy č. 4 Smlouvy je položkový rozpis cen pro pevnou fázi realizace Díla.
11.2 Cena variabilní fáze realizace Díla – dle jednotlivých lokalit Infrastruktury kategorie A, B, C, CX a D:
11.2.1 Cena místního šetření za každou jednotlivou lokalitu kategorie A je uvedena v Příloze č. 4 této Smlouvy. Tato cena je nepřekročitelná a zahrnuje cenu místního šetření za každou jednotlivou lokalitu kategorie A.
11.2.2 Cena Dílčí řídící dokumentace pro každou jednotlivou lokalitu kategorie A je uvedena v Příloze č. 4 této Smlouvy. Tato cena je nepřekročitelná a zahrnuje cenu za dodání Dílčí řídící dokumentace každé jednotlivé lokality kategorie A.
11.2.3 Cena Dílčí realizace variabilní fáze realizace Díla za každou jednotlivou lokalitu kategorie A je uvedena v Příloze č. 4 této Smlouvy. Tato cena zahrnuje nabídkovou cenu za Dílčí realizaci variabilní fáze realizace Díla za každou jednotlivoulokalitu kategorie A, vč. dodávky hardware a software a vč. instalace Infrastruktury pro danou kategorii lokality. Cena Dílčí realizace zahrnuje též cenu školení a konzultací dle této Smlouvy.
11.2.4 Cena místního šetření za jednu lokalitu kategorie B je stanovena ve výši 9 003 Kč bez DPH. Tato cena je nepřekročitelná a zahrnuje cenu místního šetření za jednu lokalitu kategorie B.
11.2.5 Cena Dílčí řídící dokumentace pro lokalitu kategorie B je stanovena ve výši 2 952 Kč bez DPH. Tato cena je nepřekročitelná a zahrnuje cenu za dodání Dílčí řídící dokumentace.
11.2.6 Cena Dílčí realizace variabilní fáze realizace Díla za jednu lokalitu kategorie B je stanovena ve výši 298 601 Kč bez DPH. Tato cena zahrnuje nabídkovou cenu za Dílčí realizaci variabilní fáze realizace Díla za jednu lokalitu kategorie B, vč. dodávky hardware a software a vč. instalace Infrastruktury pro danou kategorii lokality. Cena Dílčí realizace zahrnuje též cenu školení a konzultací dle této Smlouvy.
11.2.7 Cena místního šetření za jednu lokalitu kategorie C je stanovena ve výši 4 848 Kč bez DPH. Tato cena je nepřekročitelná a zahrnuje cenu místního šetření za jednu lokalitu kategorie C.
11.2.8 Cena Dílčí řídící dokumentace pro lokalitu kategorie C je stanovena ve výši 2 952 Kč bez DPH. Tato cena je nepřekročitelná a zahrnuje cenu za dodání Dílčí řídící dokumentace.
11.2.9 Cena Dílčí realizace variabilní fáze realizace Díla za jednu lokalitu kategorie C je stanovena ve výši 188 398 Kč bez DPH. Tato cena zahrnuje nabídkovou cenu za Dílčí realizaci variabilní fáze realizace Díla za jednu lokalitu kategorie C, vč. dodávky hardware a software a vč. instalace Infrastruktury pro danou kategorii lokality. Cena Dílčí realizace zahrnuje též cenu školení a konzultací dle této Smlouvy.
11.2.10 Cena místního šetření za jednu lokalitu kategorie CX je stanovena ve výši 4 848 Kč bez DPH. Tato cena je nepřekročitelná a zahrnuje cenu místního šetření za jednu lokalitu kategorie CX.
11.2.11 Cena Dílčí řídící dokumentace pro lokalitu kategorie CX je stanovena ve výši 2 952 Kč. Tato cena je nepřekročitelná a zahrnuje cenu za dodání Dílčí řídící dokumentace.
11.2.12 Cena Dílčí realizace variabilní fáze realizace Díla za jednu lokalitu kategorie CX je stanovena ve výši 203 494 Kč. Tato cena zahrnuje nabídkovou cenu za Dílčí realizaci variabilní fáze realizace Díla za jednu lokalitu kategorie CX, vč. dodávky hardware a software a vč. instalace Infrastruktury pro danou kategorii lokality. Cena Dílčí realizace zahrnuje též cenu školení a konzultací dle této Smlouvy.
11.2.13 Cena místního šetření za jednu lokalitu kategorie D je stanovena ve výši 2 078 Kč bez DPH. Tato cena je nepřekročitelná a zahrnuje cenu místního šetření za jednu lokalitu kategorie D.
11.2.14 Cena Dílčí řídící dokumentace pro lokalitu kategorie D je stanovena ve výši 2 952 Kč bez DPH. Tato cena je nepřekročitelná a zahrnuje cenu za dodání Dílčí řídící dokumentace.
11.2.15 Cena Dílčí realizace variabilní fáze realizace Díla za jednu lokalitu kategorie D je stanovena ve výši 66 937 Kč bez DPH. Tato cena zahrnuje nabídkovou cenu za Dílčí realizaci variabilní fáze realizace Díla za jednu lokalitu kategorie D, vč. dodávky hardware a software a vč. instalace Infrastruktury pro danou kategorii lokality. Cena Dílčí realizace zahrnuje též cenu školení a konzultací dle této Smlouvy.
11.2.16 Součástí Přílohy č. 4 této Smlouvy jsou rovněž jednotkové, maximální a nepřekročitelné ceny veškerého hardware, software a jiných zařízení, které budou použity při Dílčích realizacích.
11.3 Společná cenová ustanovení:
11.3.1 Veškeré ceny dle této Smlouvy jsou uvedeny bez daně z přidané hodnoty (dále jen „DPH“), která bude k příslušné ceně připočítána v zákonem stanovené výši.
11.3.2 Detailní položkový rozpis cen Díla v členění podle jednotlivých částí Díla a Dílčích plnění je uveden v Příloze č. 4 této Smlouvy.
11.3.3 Poskytovateli vzniká nárok na úhradu ceny Dílčího plnění dle Smlouvy, a to na základě daňového dokladu (dále jen „Faktura“) řádně vystaveného Poskytovatelem.
11.3.4 V případech, kdy se k příslušné části Díla vztahují akceptační procedury, platí, že Poskytovatel není oprávněn vystavit Fakturu dle předchozího odstavce Smlouvy za příslušnou část Díla dříve než po úspěšném provedení všech akceptačních procedur této části Díla. Přílohou Faktury musí být vždy příslušné protokoly vztahující se k akceptované části Díla. V případě vyhrazené změny dle článku 8 Smlouvy se tento odstavec Smlouvy uplatní analogicky.
11.4 Platební podmínky
11.4.1 Poskytovateli nebudou Objednatelem poskytovány žádné zálohy.
11.4.2 Splatnost jednotlivých plateb dle této Smlouvy je stanovena na 30 dní od doručení Faktury Objednateli. Poskytovatel odešle Fakturu Objednateli nejpozději následující pracovní den po vystavení.
11.4.3 Všechny Faktury musí splňovat všechny náležitosti daňového dokladu požadované zákonem č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů (dále jen „Zákon o DPH“), avšak výslovně vždy musí obsahovat následující údaje: označení smluvních stran a jejich adresy, IČO, DIČ, údaj o tom, že vystavovatel Faktury je zapsán v obchodním rejstříku včetně spisové značky, označení této Smlouvy, označení poskytnutého plnění, důvod případné slevy poskytnuté dle této Smlouvy, vč. jejího přesného vyčíslení, číslo Faktury, den vystavení a lhůtu splatnosti Faktury, označení peněžního ústavu a číslo účtu, na který se má platit, fakturovanou částku,
razítko a podpis oprávněné osoby. Ke změně bankovního spojení včetně čísla bankovního účtu smluvních stran může dojít pouze písemným dodatkem ke Smlouvě.
11.4.4 Nebude-li Faktura obsahovat stanovené náležitosti či přílohy, nebo v ní nebudou správně uvedené údaje dle této Smlouvy, je Objednatel oprávněn ji vrátit ve lhůtě její splatnosti Poskytovateli. V takovém případě se přeruší běh lhůty splatnosti a nová lhůta splatnosti počne běžet doručením opravené Faktury.
11.4.5 Platby se provádí bankovním převodem ve prospěch účtu druhé smluvní strany uvedeného ve Faktuře.
11.4.6 V případě prodlení kterékoliv smluvní strany se zaplacením peněžité částky, má oprávněná smluvní strana právo na zaplacení úroku z prodlení ve výši stanovené nařízením vlády č. 351/2013 Sb., kterým se určuje výše úroků z prodlení a nákladů spojených s uplatněním pohledávky, určuje odměna likvidátora, likvidačního správce a člena orgánu právnické osoby jmenovaného soudem a upravují některé otázky Obchodního věstníku, veřejných rejstříků právnických a fyzických osob a evidence svěřenských fondů a evidence údajů o skutečných majitelích, ve znění pozdějších předpisů.
11.4.7 Objednatel bude hradit přijaté Faktury pouze na bankovní účty Poskytovatele zveřejněné správcem daně způsobem umožňujícím dálkový přístup ve smyslu
§ 96 odst. 2 zákon č. 235/2004 Sb., o dani z přidané hodnoty. V případě, že Poskytovatel nebude mít svůj bankovní účet tímto způsobem zveřejněn, uhradí Objednatel Poskytovateli pouze základ daně, přičemž DPH uhradí Poskytovateli až po zveřejnění příslušného účtu Poskytovatele v registru plátců a identifikovaných osob Poskytovatelem.
11.4.8 Poskytovatel prohlašuje, že správce daně před uzavřením této Smlouvy nerozhodl, že Poskytovatel je nespolehlivým plátcem ve smyslu § 106a zákona o DPH (dále jen „Nespolehlivý plátce“). V případě, že správce daně rozhodne
o tom, že Poskytovatel je Xxxxxxxxxxxxx plátcem, zavazuje se Poskytovatel
o tomto informovat Objednatele do 2 pracovních dní. Stane-li se Poskytovatel Nespolehlivým plátcem, uhradí Objednatel Poskytovateli pouze základ daně, přičemž DPH bude Objednatelem uhrazena Poskytovateli až po písemném doložení Poskytovatele o jeho úhradě této DPH příslušnému správci daně.
12. VLASTNICKÉ PRÁVO A UŽÍVACÍ PRÁVA
Vlastnické právo
12.1 V případě, že součástí Díla Poskytovatele podle této Smlouvy jsou věci, které se mají stát vlastnictvím Objednatele, nabývá Objednatel vlastnické právo k těmto věcem dnem akceptace takového plnění Objednatelem na základě akceptačního protokolu podepsaného oprávněnými osobami ve věcech obchodních obou smluvních stran. Nebezpečí škody na předaných věcech přechází na Objednatele okamžikem jejich faktického předání do dispozice Objednatele, pokud o takovém předání byl sepsán
písemný záznam, tj. např. dodací list, podepsaný oprávněnými osobami smluvních stran.
12.2 Do okamžiku nabytí vlastnického práva uděluje Poskytovatel Objednateli právo dodané zboží užívat v rozsahu a způsobem, jenž vyplývá z účelu této Smlouvy, a to bez vzniku jakýchkoliv dodatečných finančních nároků nad rámec ceny sjednané v této Smlouvě. Užití zboží nezpůsobuje fikci převzetí zboží ani podpisu akceptace.
Základní rozsah licence
12.3 Vzhledem k tomu, že součástí realizace Díla dle této Smlouvy je i plnění, které ve smyslu zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů (dále jen „autorský zákon“), může naplňovat znaky autorského díla či být považováno za autorské dílo ve smyslu autorského zákona (dále společně jen
„autorská díla“), je k tomuto plnění poskytována, postupována či zprostředkovávána (dále také společně jen „poskytování“) licence či podlicence (dále společně jen
„licence“) za podmínek sjednaných dále v tomto článku Smlouvy.
12.3.1 Objednatel je oprávněn od okamžiku účinnosti poskytnutí licence k autorskému dílu dle odst. 12.3.3 Xxxxxxx užívat toto autorské dílo k jakémukoliv účelu a v rozsahu, v jakém uzná za nezbytné, vhodné či přiměřené. Pro vyloučení pochybností to znamená, že Objednatel je oprávněn užívat autorské dílo v neomezeném množstevním a územním rozsahu, a to všemi v úvahu přicházejícími způsoby a s časovým rozsahem omezeným pouze dobou trvání majetkových autorských práv k takovémuto autorskému dílu.
12.3.2 Licence k autorskému dílu je poskytována jako nevýhradní. Objednatel není povinen licenci využít.
12.3.3 Účinnost licence nastává okamžikem akceptace Dílčího plnění, které příslušné autorské dílo obsahuje; do té doby je Objednatel oprávněn autorské dílo užít v rozsahu a způsobem nezbytným k provedení akceptace příslušného Dílčího plnění.
12.3.4 Udělení licence nelze ze strany Poskytovatele po dobu trvání Smlouvy vypovědět a její účinnost trvá minimálně po dobu sedmi (7) let ode dne nabytí účinnosti této Smlouvy, nedohodnou-li se smluvní strany výslovně jinak.
12.3.5 Pro vyloučení veškerých pochybností smluvní strany výslovně prohlašují, že pokud při realizaci Díla dle této Smlouvy vznikne činností Poskytovatele a Objednatele dílo spoluautorů a nedohodnou-li se smluvní strany výslovně jinak, platí, že k okamžiku vzniku takového díla spoluautorů postoupil Poskytovatel Objednateli právo vykonávat majetková autorská práva k dílu spoluautorů a udělil Objednateli souhlas k jakékoliv změně nebo jinému zásahu do díla spoluautorů. Cena dle této Smlouvy je stanovena se zohledněním tohoto ustanovení a Poskytovateli nevzniknou v případě vytvoření díla spoluautorů žádné nové nároky na odměnu.
12.3.6 Poskytovatel je povinen postupovat tak, aby udělení licence k autorskému dílu dle této Smlouvy včetně oprávnění udělit podlicenci a souvisejících oprávnění zabezpečil, a to bez újmy na právech třetích osob.
Možnost užití standardního software
12.4 Součástí realizace Díla může být tzv. proprietární (standardní) software anebo tzv. open source software Poskytovatele nebo třetích stran (dále společně jen „standardní software“) u kterých Poskytovatel nemůže udělit Objednateli licenci v rozsahu dle odst. 12.4 Smlouvy nebo to po něm nelze spravedlivě požadovat, pouze při splnění některé z následujících podmínek (pro vyloučení veškerých pochybností smluvní strany uvádí, že v případě, kdy je vývoj počítačového programu hrazen Objednatelem na základě této Smlouvy, může Objednatel vždy požadovat udělení oprávnění dle odst. 12.3 Smlouvy):
12.4.1 Jedná se o software, který je v době uzavření Smlouvy prokazatelně užíván v produktivním prostředí nejméně u pěti (5) na sobě nezávislých a vzájemně nepropojených subjektů a jenž je na trhu běžně dostupný, tj. nabízený na území České republiky alespoň třemi (3) na sobě nezávislými a vzájemně nepropojenými subjekty:
a) pokud jsou tyto subjekty oprávněny takovýto software implementovat, přizpůsobovat požadavkům Objednatele a udržovat; nebo
b) pokud k takovému software není poskytnutí licence v rozsahu dle odst.
12.3 Smlouvy účelné (zejména vývojový software, databázový software, kancelářský software, operační systém aj.).
Poskytovatel je povinen poskytnout Objednateli o této skutečnosti písemné prohlášení a na výzvu Objednatele tuto skutečnost prokázat.
12.4.2 Jedná se o software, který je veřejnosti poskytován zdarma, včetně detailně komentovaných zdrojových kódů, úplné uživatelské, provozní a administrátorské dokumentace a práva software měnit. Poskytovatel je povinen poskytnout Objednateli o této skutečnosti písemné prohlášení a na výzvu Objednatele tuto skutečnost prokázat.
12.4.3 Jedná se o software, (i) který je integrální součástí hardware dodávaného jako část plnění Smlouvy nebo (ii) který nad takovým hardware poskytuje pouze abstrakční vrstvu pro správu, konfiguraci, informační bezpečnost, programování aplikací nebo jiné obdobné účely, vše za podmínky, že spouštění takového software je od výrobce příslušného hardware předepsáno pro jeho korektní fungování a zároveň se jedná o software, k němuž není poskytnutí licence v rozsahu dle odst. 12.3 Smlouvy účelné (zejména obslužné programy jako je BIOS či ovladače hardware). Poskytovatel je povinen poskytnout Objednateli o této skutečnosti písemné prohlášení a na výzvu Objednatele tuto skutečnost prokázat.
Poskytovatel je povinen udržovat prohlášení dle tohoto odstavce v platnosti. V případě že Poskytovatel poruší tuto povinnost, nepředloží Objednateli příslušné prohlášení či nejpozději do jednoho (1) měsíce na výzvu Objednatele relevantní skutečnosti neprokáže, je Objednatel oprávněn požadovat úhradu smluvní pokuty ve výši 100.000 Kč za každý jednotlivý případ a bezodkladné zajištění nápravy, a to včetně náhrady příslušného software.
12.4.4 Součástí licence je též právo k provedeným změnám konfigurace či nastavením počítačových programů.
Minimální rozsah licence
12.5 Pokud se bude jednat o standardní software dle odst. 12.4 Smlouvy, tak na rozdíl od licence ke zbývajícím částem plnění udělované dle odst. 12.3 Smlouvy postačí, aby udělená licence k takovému software zahrnovala nevýhradní oprávnění užít jej jakýmkoli způsobem nejméně po dobu sedmi (7) let ode dne nabytí účinnosti této Smlouvy, na území České republiky a v množstevním rozsahu, který je objektivně nezbytný pro pokrytí potřeb Objednatele ke dni uzavření této Smlouvy, a to včetně práva Objednatele do standardního software zasahovat, pokud tak stanoví příslušné ustanovení odst. 12.4 Smlouvy.
12.6 Nelze-li to na Poskytovateli spravedlivě požadovat a není-li to v rozporu s ustanoveními odst. 12.4 Smlouvy, nemusí být Objednateli k standardnímu softwaru předány zdrojové kódy a stejně tak nemusí být Objednateli poskytnuto právo do standardního softwaru zasahovat, vždy však musí být předána kompletní uživatelská, administrátorská a provozní dokumentace. Součástí licence je též právo k provedeným změnám konfigurace či nastavením počítačových programů.
12.7 Poskytovatel se zavazuje samostatně zdokumentovat veškeré využití standardního software v rámci realizace Díla a předložit Objednateli ucelený přehled využitého standardního software, jehož součástí budou licenční podmínky takového standardního software a seznam jeho alternativních dodavatelů. Tento přehled je Poskytovatel povinen předložit Objednateli vždy do tří (3) pracovních dnů po akceptaci Dílčího plnění, v jehož rámci Poskytovatel využil standardní software a dále vždy do jednoho (1) měsíce od doručení výzvy Objednatele, kterou může Objednatel učinit kdykoli, nejpozději však do dvou (2) let od skončení účinnosti Smlouvy z jakéhokoli důvodu.
12.8 Jestliže jsou s užitím standardního software spojeny jednorázové či pravidelné poplatky, je Poskytovatel povinen v rámci ceny Díla řádně uhradit všechny tyto poplatky za dobu sedmi (7) let od nabytí účinnosti této Smlouvy. Nad rámec ceny Díla nebudou Poskytovateli hrazeny žádné další poplatky či odměny.
Přechod práv, licenční odměna a garance rozsahu licence
12.9 Práva získaná v rámci plnění této Smlouvy přechází i na případného právního nástupce Objednatele. Případná změna v osobě Poskytovatele (např. právní nástupnictví) nebude mít vliv na oprávnění udělená v rámci této Smlouvy Poskytovatelem Objednateli.
12.10 Bez ohledu na formu uzavření licenční smlouvy platí, že Poskytovatel je vždy povinen zajistit poskytnutí licence dle podmínek stanovených Smlouvou, a to bez ohledu na případný rozdílný obsah standardních licenčních podmínek vykonavatele majetkových práv k takovým autorským dílům.
13. ZÁRUKA
13.1 Poskytovatel poskytuje Objednateli záruku, že každá část Díla má ke dni její akceptace funkční vlastnosti stanovené touto Smlouvou, zejména v Technické specifikaci a akceptované Řídící dokumentaci a Dílčí řídící dokumentaci, a je způsobilá k použití pro účely stanovené v této Smlouvě nebo v souladu s touto Smlouvou, a to po dobu dvou (2) let ode dne akceptace příslušné části Díla (dále jen „Záruční doba“).
13.2 Poskytovatel bude po dobu Záruční doby odstraňovat vady neprodleně, nejpozději však do 10 pracovních dní od jejich nahlášení Poskytovateli.
13.3 Nad rámec Záruční doby je Poskytovatel povinen pro dodané hardware a software zařízení poskytovat podporu výrobce tohoto zařízení, a to v rozsahu a za podmínek dle Servisní smlouvy. Na toto plnění se tedy aplikuje primárně podpora výrobce, nikoli záruka dle odst. 13.1 Smlouvy. Poskytovatel bude po dobu trvání podpory výrobce odstraňovat vady za podmínek stanovených v Servisní smlouvě.
13.4 Objednatel je oprávněn vady Díla nahlásit Poskytovateli kdykoli v průběhu Záruční doby bez ohledu na to, kdy je zjistil, aniž by tím byla jeho práva ze záruky či práva z vad jakkoli dotčena.
13.5 Doba od zjištění vady do jejího odstranění se do trvání Záruční doby nezapočítává.
13.6 Smluvní strany se dohodly, že Objednatel je oprávněn kdykoliv do uplynutí Záruční doby k Dílu požádat Poskytovatele o posouzení Objednatelem zamýšlené změny Infrastruktury. Poskytovatel se v takovém případě zavazuje bez zbytečného odkladu posoudit zamýšlenou změnu Infrastruktury z hlediska zachování řádné funkčnosti ostatních součástí Infrastruktury a Infrastruktury jako celku a Objednatel se zavazuje uhradit Poskytovateli prokázané účelně vynaložené náklady takovéhoto posouzení. Pokud provede Objednatel změnu Infrastruktury nad rámec posuzovaný Poskytovatelem, v rozporu s instrukcemi Poskytovatele a/nebo bez předchozího posouzení změny Poskytovatelem, záruka za vady Infrastruktury provedením změny Infrastruktury zaniká. Objednatel je povinen informovat Poskytovatele o každém zásahu do zdrojového kódu Infrastruktury, který implementuje v průběhu trvání záruky k Dílu.
14. OPRÁVNĚNÉ OSOBY
14.1 Každá ze smluvních stran jmenuje oprávněnou osobu, popř. zástupce oprávněné osoby. Oprávněné osoby budou zastupovat smluvní stranu ve smluvních, obchodních a technických záležitostech souvisejících s plněním této Smlouvy. Pro vyloučení pochybností se smluvní strany dohodly, že:
14.1.1 osoby oprávněné jednat v záležitostech smluvních jsou oprávněny vést s druhou smluvní stranou jednání obchodního charakteru a měnit či rušit tuto Smlouvu a uzavírat k ní dodatky a schválit změnu v rámci změnového řízení dle článku 8 této Smlouvy;
14.1.2 osoby oprávněné v záležitostech obchodních jsou oprávněny vést s druhou smluvní stranou jednání obchodního charakteru, jednat v rámci změnového řízení dle článku 8 Smlouvy, jednat v rámci akceptačních procedur při předávání a převzetí Dílčích plnění dle článku 7 Smlouvy, zejména podepisovat příslušné akceptační, předávací či jiné protokoly dle této Smlouvy, jednat o podobě Service Desku a Kontroly plnění Smlouvy dle čl. 6 Smlouvy a Zpráv dle odst. 6.3 Smlouvy; osoby oprávněné v záležitostech obchodních však nejsou oprávněny tuto Smlouvu měnit či rušit ani k ní uzavírat dodatky této Smlouvy;
14.1.3 osoby oprávněné jednat v záležitostech technických jsou oprávněny vést jednání technického charakteru, poskytovat stanoviska v technických otázkách a jednat jménem smluvních stran v rámci reklamace vad a při
uplatňování záruky podle článku 13 Smlouvy; tyto osoby rovněž nejsou oprávněny tuto Smlouvu měnit či rušit ani k ní uzavírat dodatky.
14.1.4 osoby oprávněné jednat v záležitostech osobních údajů jsou oprávněny vést jednání k problematice zpracování osobních údajů dle této Smlouvy, poskytovat stanoviska v těchto otázkách a jednat jménem smluvních stran o těchto otázkách; tyto osoby rovněž nejsou oprávněny tuto Smlouvu měnit či rušit ani k ní uzavírat dodatky.
14.1.5 osoby oprávněné jednat v záležitostech kybernetické bezpečnosti jsou oprávněny vést jednání k problematice kybernetické bezpečnosti dle této Smlouvy, poskytovat stanoviska v těchto otázkách a jednat jménem smluvních stran o těchto otázkách; tyto osoby rovněž nejsou oprávněny tuto Smlouvu měnit či rušit ani k ní uzavírat dodatky.
14.2 Oprávněné osoby dle odst. 14.1.2 Smlouvy jsou oprávněny jménem smluvních stran provádět veškeré úkony v rámci akceptačních procedur dle této Smlouvy a připravovat dodatky ke Smlouvě pro jejich písemné schválení osobám oprávněným zavazovat smluvní strany (statutárním orgánům), nebo jejich zplnomocněným zástupcům.
14.3 Oprávněné osoby dle odst. 14.1.2 a 14.1.3 Smlouvy nejsou zmocněny k jednání, jež by mělo za přímý následek změnu této Smlouvy nebo jejího předmětu.
14.4 Jména oprávněných osob dle odst. 14.1 Smlouvy jsou uvedena v Příloze č. 6 této Smlouvy a jejich role stanoví tato Smlouva.
14.5 V rámci Řídící dokumentace bude dále vytvořena detailní komunikační matice, která bude následně součástí Přílohy č. 8 Smlouvy. Při provádění Díla je Poskytovatel povinen respektovat tuto komunikační matici. Pokud jsou součástí komunikační matice osoby, které nejsou uvedeny v Příloze č. 6 Smlouvy, nejsou tyto osoby oprávněny tuto Smlouvu měnit a uzavírat k ní dodatky.
14.6 Smluvní strany jsou oprávněny změnit oprávněné osoby, jsou však povinny na takovou změnu druhou smluvní stranu písemně upozornit. Zmocnění zástupce oprávněné osoby musí být písemné s uvedením rozsahu zmocnění.
15. OCHRANA OSOBNÍCH ÚDAJŮ
15.1 S ohledem na předmět této Smlouvy smluvní strany předpokládají, že Poskytovatel bude zpracovávat osobní údaje (dále společně jen „osobní údaje“) obsažené v datech koncových uživatelů Objednatele či osob evidovaných v jednotlivých subsystémech Objednatele, jejichž integrace s Infrastrukturou bude výsledkem provádění Díla.
15.2 Nedílnou součástí Smlouvy je tak i ujednání o zpracování osobních údajů mezi Objednatelem jako správcem a Poskytovatelem jako zpracovatelem, uvedené v Příloze č. 7 této Smlouvy.
15.3 Zpracování osobních údajů bude Poskytovatel provádět jako součást realizace Díla dle této Smlouvy, kdy odměna Poskytovatele za zpracování osobních údajů je součástí ceny Díla dle této Smlouvy.
15.4 Zpracování osobních údajů bude ze strany Poskytovatele probíhat po dobu účinnosti Smlouvy. Povinnosti Poskytovatele týkající se ochrany osobních údajů se Poskytovatel
zavazuje plnit po celou dobu účinnosti Smlouvy, pokud z ustanovení Smlouvy nevyplývá, že mají trvat i po zániku její účinnosti.
16. OCHRANA INFORMACÍ
16.1 Smluvní strany jsou si vědomy toho, že v rámci plnění závazků z této Smlouvy:
16.1.1 mohou si vzájemně vědomě nebo opominutím poskytnout informace, které budou považovány za důvěrné (dále jen „Důvěrné informace“),
16.1.2 mohou jejich zaměstnanci a osoby v obdobném postavení získat vědomou činností druhé strany nebo i jejím opominutím přístup k Důvěrným informacím druhé strany.
16.2 Smluvní strany se zavazují, že žádná z nich nezpřístupní třetí osobě Důvěrné informace, které při plnění této Smlouvy získala od druhé smluvní strany.
16.3 Za třetí osoby podle odst. 16.2 Smlouvy se nepovažují:
16.3.1 zaměstnanci smluvních stran a osoby v obdobném postavení,
16.3.2 orgány smluvních stran a jejich členové,
16.3.3 ve vztahu k Důvěrným informacím Objednatele poddodavatelé Poskytovatele,
16.3.4 ve vztahu k Důvěrným informacím Poskytovatele externí dodavatelé Objednatele, a to i potenciální,
za předpokladu, že se podílejí na plnění této Smlouvy nebo na plnění spojeném s plněním dle této Smlouvy, Důvěrné informace jsou jim zpřístupněny výhradně za tímto účelem a zpřístupnění Důvěrných informací je v rozsahu nezbytně nutném pro naplnění jeho účelu a za stejných podmínek, jaké jsou stanoveny smluvním stranám v této Smlouvě.
16.4 Veškeré informace poskytnuté Objednatelem Poskytovateli se považují za důvěrné, není-li stanoveno jinak. Veškeré informace poskytnuté Poskytovatelem Objednateli se považují za důvěrné, pouze pokud na jejich důvěrnost Poskytovatel Objednatele předem písemně upozornil a Objednatel Poskytovateli písemně potvrdil svůj závazek důvěrnost těchto informací zachovávat. Pokud jsou důvěrné informace Poskytovatele poskytovány v písemné podobě anebo ve formě textových souborů na elektronických nosičích dat (médiích), je Poskytovatel povinen upozornit Objednatele na důvěrnost takového materiálu též jejím vyznačením alespoň na titulní stránce nebo přední straně média.
16.5 Smluvní strany se zavazují v plném rozsahu zachovávat povinnost mlčenlivosti a povinnost chránit důvěrné informace vyplývající z této Smlouvy a též z příslušných právních předpisů, zejména povinnosti vyplývající z nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „nařízení GDPR“) a zákonem č. 110/2019 Sb., o zpracování osobních údajů. Smluvní strany se v této souvislosti zavazují poučit veškeré osoby, které se na jejich straně budou podílet na plnění této Smlouvy, o výše uvedených povinnostech mlčenlivosti a ochrany Důvěrných informací a dále se zavazují vhodným způsobem zajistit dodržování těchto povinností všemi osobami podílejícími se na plnění této Smlouvy.
16.6 Budou-li informace poskytnuté Objednatelem či třetími stranami, které jsou nezbytné pro plnění dle této Smlouvy, obsahovat osobní údaje, zavazuje se Poskytovatel zabezpečit splnění všech ohlašovacích povinností, které citované nařízení vyžaduje a které mohou být dle nařízení GDPR splněny zpracovatelem osobních údajů, a obstarat předepsané souhlasy subjektů osobních údajů předaných ke zpracování, pokud jsou takové souhlasy dle nařízení GDPR v konkrétním případě vyžadovány.
16.7 Veškeré Důvěrné informace zůstávají výhradním vlastnictvím předávající smluvní strany a přijímající smluvní strana vyvine pro zachování jejich důvěrnosti a pro jejich ochranu stejné úsilí, jako by se jednalo o její vlastní důvěrné informace. S výjimkou rozsahu, který je nezbytný pro plnění této Smlouvy, se obě strany zavazují neduplikovat žádným způsobem Důvěrné informace druhé strany, nepředat je třetí straně ani svým vlastním zaměstnancům a zástupcům s výjimkou těch, kteří s nimi potřebují být seznámeni, aby mohli plnit tuto Smlouvu. Obě smluvní strany se zároveň zavazují nepoužít Důvěrné informace druhé strany jinak než za účelem plnění této Smlouvy.
16.8 Bez ohledu na výše uvedená ustanovení se veškeré informace vztahující se k předmětu této Smlouvy a příslušné dokumentaci považují výlučně za Důvěrné informace Objednatele a Poskytovatel je povinen tyto informace chránit v souladu s touto Smlouvou. Poskytovatel při tom bere na vědomí, že povinnost ochrany těchto informací podle tohoto článku se vztahuje pouze na Poskytovatele.
16.9 Za Důvěrné informace Objednatele se dále bezpodmínečně považují veškerá data, která Infrastruktura či její části obsahuje, která do ní mají být, byla nebo budou Poskytovatelem, Objednatelem či třetími osobami vložena i data, která z ní byla získána.
16.10 Bez ohledu na výše uvedená ustanovení se za důvěrné nepovažují informace, které:
16.10.1 se staly veřejně známými, aniž by jejich zveřejněním došlo k porušení závazků přijímající smluvní strany či právních předpisů,
16.10.2 měla přijímající strana prokazatelně legálně k dispozici před uzavřením této Smlouvy, pokud takové informace nebyly předmětem jiné, dříve mezi smluvními stranami uzavřené Smlouvy o ochraně informací,
16.10.3 jsou výsledkem postupu, při kterém k nim přijímající strana dospěje nezávisle a je to schopna doložit svými záznamy nebo důvěrnými informacemi třetí strany,
16.10.4 po podpisu této Xxxxxxx poskytne přijímající straně třetí osoba, jež není omezena v takovém nakládání s informacemi,
16.10.5 je-li zpřístupnění informace vyžadováno zákonem či jiným právním předpisem včetně práva EU nebo závazným rozhodnutím oprávněného orgánu veřejné moci,
16.10.6 jsou obsažené v Smlouvě a/nebo jsou zveřejněné na příslušných webových stránkách dle § 219 ZZVZ.
16.11 Za Důvěrné informace se ve smyslu odst. 16.10 Smlouvy zejména nepovažují:
16.11.1 ustanovení této Smlouvy včetně jejích příloh,
16.11.2 výše ceny uhrazené za plnění dle této Smlouvy v jednotlivém kalendářním roce.
16.12 Bez ohledu na jiná ustanovení této Smlouvy je Objednatel oprávněn uveřejnit na příslušných webových stránkách v souladu s § 219 ZZVZ:
16.12.1 tuto Smlouvu včetně všech jejích změn a dodatků,
16.12.2 výši skutečně uhrazené ceny za plnění Xxxxxxx xxxxxxx.
16.13 Za porušení povinnosti mlčenlivosti smluvní stranou se považují též případy, kdy tuto povinnost poruší kterákoliv z osob uvedených v odst. 16.3 Smlouvě, které daná smluvní strana poskytla Důvěrné informace druhé smluvní strany.
16.14 Poruší-li Poskytovatel povinnosti vyplývající z této Smlouvy ohledně ochrany Důvěrných informací, je povinen zaplatit Objednateli smluvní pokutu ve výši
1.000.000 Kč za každé porušení takové povinnosti.
16.15 Ukončení účinnosti této Smlouvy z jakéhokoliv důvodu se nedotkne ustanovení tohoto článku Smlouvy a jejich účinnost včetně ustanovení o sankcích přetrvá bez omezení i po ukončení účinnosti této Smlouvy.
17. KYBERNETICKÁ BEZPEČNOST
17.1 Poskytovatel tímto bere na vědomí, že:
17.1.1 Objednatel je správcem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon
o kybernetické bezpečnosti) (dále jen „ZKB“), správcem komunikačního systému kritické informační infrastruktury dle ustanovení § 3 písm. d) ZKB a správcem významných informačních systémů dle ustanovení § 3 písm. e) ZKB Poskytovatel dále tímto bere na vědomí, že realizace Díla bude prováděna na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů.
17.1.2 Objednatel chápe Poskytovatele jako významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 vyhlášky č. 82/2018 Sb.,
o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti).
17.2 Smluvní strany potvrzují, že rozsah zapojení Poskytovatele na zajištění bezpečnosti aktiv informačních a komunikačních systémů kritické informační infrastruktury je určeno předmětem této Smlouvy.
17.3 Poskytovatel je povinen v rozsahu plnění této Smlouvy naplnit všechny bezpečnostní požadavky uvedené Zadávací dokumentaci (dále jen „Požadavky na KB“) a to nejpozději do doby akceptace bezpečnostní dokumentace vytvořené v rámci Řídící dokumentace (dále jen „Bezpečnostní dokumentace“).
17.4 Poskytovatel umožní Objednateli v roční periodě po dobu platnosti této Smlouvy, Servisní smlouvy a jeden (1) rok po ukončení trvání Servisní smlouvy provedení zákaznického auditu (kontroly):
17.4.1 jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro potřeby plnění této Smlouvy a uloženými či zpracovávanými daty a informacemi Objednatele v ICT prostředí Poskytovatele, a
17.4.2 jehož předmětem bude naplnění Požadavků na KB a vyhodnocení rizik dle požadavků Objednatele uvedených v Zadávací dokumentaci a Bezpečnostní dokumentaci vytvořené Poskytovatelem dle odst. 17.3 Smlouvy.
17.5 Objednatel je oprávněn při kontrole Požadavků na KB využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, jako by kontrolu prováděl sám, včetně odpovědnosti za způsobenou újmu.
17.6 Poskytovatel umožní Objednateli kontrolu Požadavků na KB provedenou prostředky Objednatele nebo třetí strany, a to v lokalitě Poskytovatele i vzdáleně, pokud to technické prostředky Poskytovatele umožňují.
17.7 Poskytovatel se nad rámec realizace Díla této Smlouvy zavazuje poskytnout Objednateli součinnost minimálně v rozsahu deseti (10) ČD (člověkoden v rozsahu 8 pracovních hodin) při provádění každého zákaznického auditu ze strany Objednatele a pro tuto činnost zajistit účast kvalifikovaných pracovníků.
17.8 Dále se Poskytovatel zavazuje nedostatky zjištěné:
17.8.1 na základě provedení hodnocení rizik dle Zadávací dokumentace a Bezpečnostní dokumentace, nebo
17.8.2 v rámci zákaznického auditu dle odst. 17.4 této Smlouvy
odstranit ve lhůtě určené v písemném oznámení Objednatele nebo ve lhůtě přiměřené.
17.9 Odstavce 17.4 až 17.7 této Smlouvy se neaplikují, pokud je Poskytovatel pro poskytování předmětu plnění orgánem nebo osobou uvedenou v § 3 písm. a) až g) ZKB.
17.10 Poskytovatel se nad rámec článku 9 této Smlouvy také zavazuje:
17.10.1 Poskytnout na vyžádání Objednateli dokumenty a obdobné vstupy, které budou prokazovat naplnění Požadavků na KB.
17.10.2 Na požádání s Objednatelem konzultovat kdykoli v průběhu realizace plnění dle této Smlouvy detailní nastavení bezpečnostních opatření k naplnění Požadavků na KB a pro takovéto konzultace zajistit účast kvalifikovaných pracovníků.
17.10.3 Neprodleně informovat Objednatele o všech významných změnách v naplnění Požadavků na KB, které nastanou kdykoli v průběhu trvání této Smlouvy.
17.10.4 Bezodkladně a s vyvinutím nejlepšího úsilí zajistit náhradní způsob naplnění Požadavků na KB, pokud stávající řešení přestalo být funkční a efektivní.
17.10.5 Bezodkladně, nejpozději do dvou (2) hodin, informovat Objednatele o bezpečnostních incidentech, které mohou ovlivnit realizaci plnění dle této Smlouvy.
17.10.6 Při výkonu své činnosti včas a prokazatelně upozornit Objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahující se k Požadavkům na KB a jejichž následkem může vzniknout újma nebo nesoulad se zákony nebo obecně závaznými právními předpisy.
17.10.7 Komunikovat ohledně veškerých záležitostí souvisejících s kybernetickou bezpečnosti s oprávněnou osobou Objednatele ve věcech kybernetické bezpečnosti oprávněnou, která je uvedena v Příloze č. 6 této Smlouvy.
17.11 Porušení povinností Poskytovatele dle odst. 17.10 této Smlouvy je považováno za porušení smluvní povinnosti dle této Smlouvy a Objednateli vzniká nárok na smluvní pokutu ve výši 50.000 Kč za každý jednotlivý případ porušení povinnosti.
18. KOMUNIKACE MEZI SMLUVNÍMI STRANAMI
18.1 Veškerá komunikace mezi smluvními stranami bude probíhat prostřednictvím oprávněných osob dle článku 14 této Smlouvy, statutárních orgánů smluvních stran, popř. jimi písemně pověřených pracovníků.
18.2 Všechna oznámení mezi smluvními stranami, která se vztahují k této Smlouvě, nebo která mají být učiněna na základě této Smlouvy, musí být učiněna v písemné podobě a druhé smluvní straně doručena buď osobně nebo doporučeným dopisem či jinou formou registrovaného poštovního styku na adresu uvedenou na titulní stránce této Smlouvy, není-li v této Smlouvě stanoveno nebo mezi smluvními stranami písemně dohodnuto jinak. Nemá-li komunikace dle předchozí věty mít vliv na platnost a účinnost Xxxxxxx, připouští se též doručení prostřednictvím e-mailu na adresy uvedené v Xxxxxxx x. 0 xxxx Xxxxxxx.
18.3 Smluvní strany se zavazují, že v případě změny své poštovní adresy nebo e-mailové adresy budou o této změně druhou smluvní stranu informovat nejpozději do 5 pracovních dnů.
18.4 Není-li v této Smlouvě stanoveno výslovně jinak, je možné provádět změny bez uzavření písemného dodatku ke Smlouvě (viz např. vyhrazené změny závazku ze Smlouvy, změna oprávněných osob, změna členů realizačního týmu a změny kontaktních údajů smluvních stran).
19. NÁHRADA ŠKODY A POJIŠTĚNÍ
19.1 Každá ze smluvních stran je povinna nahradit způsobenou škodu druhé smluvní straně, a to v rámci platných právních předpisů a této Smlouvy. Obě smluvní strany se zavazují k vyvinutí maximálního úsilí k předcházení škodám a k minimalizaci vzniklých škod.
19.2 Poskytovatel je povinen nahradit Objednateli veškeré škody způsobené porušením této Smlouvy či účinných právních předpisů. Poskytovatel se zároveň zavazuje Objednatele odškodnit za jakékoliv škody, které mu v důsledku porušení povinností Poskytovatele vzniknou na základě pravomocného rozhodnutí soudu či jiného státního orgánu.
19.3 Žádná ze smluvních stran není povinna nahradit škodu, která vznikla v důsledku věcně nesprávného nebo jinak chybného zadání, které obdržela od druhé smluvní strany. V případě, že Objednatel poskytl Poskytovateli chybné zadání a Poskytovatel s ohledem na svou povinnost dodat Dílo nebo jeho část s odbornou péčí mohl a měl chybnost takového zadání zjistit, smí se ustanovení předchozí věty dovolávat pouze v případě, že na chybné zadání Objednatele písemně upozornil a Objednatel trval na původním zadání.
19.4 Žádná ze smluvních stran nemá povinnost nahradit škodu způsobenou porušením svých povinností vyplývajících z této Smlouvy, bránila-li jí v jejich splnění některá z překážek vylučujících povinnost k náhradě škody ve smyslu § 2913 Občanského zákoníku.
19.5 Smluvní strany se zavazují upozornit druhou smluvní stranu bez zbytečného odkladu na vzniklé překážky vylučující povinnost k náhradě škody bránící řádnému plnění této Smlouvy. Smluvní strany se zavazují k vyvinutí maximálního úsilí k odvrácení a překonání překážek vylučujících povinnost k náhradě škody.
19.6 Případná náhrada škody bude zaplacena v měně platné na území České republiky, přičemž pro propočet na tuto měnu je rozhodný kurs České národní banky ke dni vzniku škody.
19.7 Každá ze smluvních stran je oprávněna požadovat náhradu škody i v případě, že se jedná o porušení povinnosti, na kterou se vztahuje smluvní pokuta či sleva z ceny.
19.8 Poskytovatel se zavazuje udržovat v platnosti a účinnosti po celou dobu účinnosti této Smlouvy pojistnou smlouvu, jejímž předmětem je pojištění odpovědnosti za škodu způsobenou Poskytovatelem třetí osobě (zejména Objednateli), a to tak, že limit pojistného plnění vyplývající z pojistné smlouvy nesmí být nižší než 100.000.000 Kč za rok. Pojistnou smlouvu či pojistný certifikát dle tohoto odstavce je Poskytovatel povinen předložit Objednateli bezodkladně, a to nejpozději do tří (3) pracovních dní po písemném vyžádání Objednatelem. Nepředložením pojistné smlouvy do jednoho
(1) měsíce po vyžádání ze strany Objednatele vzniká právo Objednatele na odstoupení od Smlouvy.
20. BANKOVNÍ ZÁRUKA
20.1 Poskytovatel je povinen předat Objednateli do dvaceti (20) dnů ode dne účinnosti této Smlouvy originál listiny bankovní záruky za řádné splnění jeho závazků dle této Smlouvy. Bankovní záruka musí být platná a účinná ode dne jejího vystavení a platnost a účinnost bankovní záruky nesmí vypršet dříve než do uplynutí šestého (6.) měsíce po zániku smluvního vztahu založeného touto Smlouvou. Veškeré náklady spojené s bankovní zárukou a jejím obstaráním jsou zahrnuty v ceně dle Smlouvy a hradí je Poskytovatel. Objednatel je oprávněn uplatnit své právo z bankovní záruky na první výzvu nebo i opakovaně do vyčerpání částky dle odst. 20.3 Smlouvy; přičemž v případě jejího vyčerpání a pokud nadále trvá lhůta dle tohoto odst. Xxxxxxx, je Poskytovatel povinen předat Objednateli novou bankovní záruku odpovídající podmínkám dle odst.
20.1 až 20.3 Smlouvy, přičemž dané podmínky se na novou bankovní záruku uplatní obdobně. V případě, že platnost a účinnost předložené bankovní záruky uplyne dříve, než je uvedeno v tomto článku Smlouvy, a to z důvodu, že banka Poskytovatele nevystaví bankovní záruku na takto dlouhou dobu, je Poskytovatel povinen předkládat Objednateli maximálně do 3 dnů od uplynutí platnosti a účinnosti původní bankovní záruky novou bankovní záruku, přičemž platnost a účinnost nové bankovní záruky nesmí nastat později, než dnem následujícím po uplynutí planosti a účinnosti původní bankovní záruky. Ostatní podmínky bankovní záruky platí obdobně dle tohoto článku Smlouvy.
20.2 Bankovní záruka musí být sjednána jako bezpodmínečná a neodvolatelná, znějící na první vyžádání Objednatele a bez námitek. Banka se v této bankovní záruce musí zavázat k zaplacení celé částky, a to i na první výzvu Objednatele, pokud Objednatel
v této výzvě uvede, že Xxxxxxxxxxxx nesplnil závazky vyplývající z této Smlouvy. Banka není oprávněna zkoumat, je-li výzva Objednatele důvodná.
20.3 Právo z bankovní záruky je Objednatel oprávněn uplatnit v případech, že Poskytovatel poruší své povinnosti vyplývající z nebo související se Smlouvou anebo neuhradí Objednateli způsobenou škodu, nemajetkovou újmu či smluvní pokutu anebo nárok z titulu odstoupení od Smlouvy nebo jiný peněžitý závazek, k němuž je podle této Smlouvy Poskytovatel povinen. Banka v záruční listině uvede, že uspokojí Objednatele až do výše 20.000.000 Kč, nesplní-li Poskytovatel své závazky dle předchozí věty, resp. dle této Smlouvy. Bankovní záruka neobsahuje jiné podmínky pro výplatu plnění z bankovní záruky, než které jsou běžné pro vydávání obdobných bankovních záruk bankami nebo stanovené touto Smlouvou. Ve vztahu ke škodě nebo nemajetkové újmě je Objednatel oprávněn uplatnit svá práva z bankovní záruky dle tohoto článku Smlouvy až poté, co bude stejný nárok zamítnut či uspokojen v jiné než plné výši ze strany pojišťovny v rámci pojištění dle odst. 19.8 Smlouvy.
20.4 Objednatel je oprávněn nechat si předanou bankovní záruku přezkoumat a schválit od své banky. Bankovní záruka musí být vydána ve formě a s obsahem uspokojivým pro Objednatele. V případě výhrad banky anebo Objednatele k předložené bankovní záruce je Poskytovatel povinen předložit v dodatečné lhůtě dvou (2) týdnů ode dne obdržení výzvy Objednatele novou řádnou bankovní záruku.
20.5 Tato bankovní záruka ve smyslu tohoto článku slouží společně jako bankovní záruka jak pro Smlouvu, tak pro Servisní smlouvu.
21. SANKCE
21.1 Smluvní strany se dohodly, že:
21.1.1 v případě, že Poskytovatel bude k realizaci Díla využívat poddodavatele nebo členy realizačního týmu v rozporu s ustanoveními odst. 3.8 nebo odst. 3.9 této Smlouvy vzniká Objednateli nárok na zaplacení smluvní pokuty ve výši
50.000 Kč za každý jednotlivý případ takového porušení Smlouvy;
21.1.2 v případě prodlení Poskytovatele s předáním Řídící dokumentace dle Harmonogramu vzniká Objednateli nárok na smluvní pokutu ve výši 20.000 Kč za každý i započatý den prodlení;
21.1.3 v případě prodlení Poskytovatele s předáním Dílčí řídící dokumentace dle Detailního harmonogramu vzniká Objednateli nárok na smluvní pokutu ve výši
5.000 Kč za každý i započatý den prodlení;
21.1.4 v případě prodlení Poskytovatele s provedením Pilotního projektu dle Harmonogramu vzniká Objednateli nárok na smluvní pokutu ve výši 10.000 Kč za každý i započatý den prodlení;
21.1.5 v případě prodlení Poskytovatele s provedením Díla jako celku s konečným termínem realizace Díla Harmonogramu vzniká Objednateli nárok na smluvní pokutu ve výši 10.000 Kč za každý i započatý den prodlení;
21.1.6 v případě prodlení Poskytovatele s provedením Dílčí realizace dle Detailního harmonogramu vzniká Objednateli nárok na smluvní pokutu ve výši 3.000 Kč za každý i započatý den prodlení;
21.1.7 v případě porušení jakékoliv povinnosti Poskytovatele dle odst. 5.2 Smlouvy vzniká Objednateli nárok na zaplacení smluvní pokuty ve výši 50.000 Kč za každý jednotlivý případ porušení;
21.1.8 v případě prodlení povinnosti Poskytovatele dle odst. 5.5 Smlouvy vzniká Objednateli nárok na zaplacení smluvní pokuty ve výši 5.000 Kč za každý den prodlení se splněním této povinnosti;
21.1.9 v případě porušení jakékoliv povinnosti Poskytovatele dle odst. 5.3, 5.4, 5.6 a 5.9 Smlouvy vzniká Objednateli nárok na zaplacení smluvní pokuty ve výši
20.000 Kč za každý jednotlivý případ porušení;
21.1.10 v případě porušení povinnosti Poskytovatele doručit Objednateli příslušnou Zprávu nejpozději do 10 dní od ukončení daného Vyhodnocovacího období, dle odst. 6.4 této Smlouvy vzniká Objednateli nárok na smluvní pokutu ve výši
3.000 Kč za každé jednotlivé porušení takovéto povinnosti;
21.1.11 v případě porušení jakékoliv povinnosti Poskytovatele dle článku 9 Smlouvy vzniká Objednateli nárok na zaplacení smluvní pokuty ve výši 50.000 Kč za každý jednotlivý případ porušení;
21.1.12 v případě neposkytnutí záruky dle článku 13 Smlouvy vzniká nárok na smluvní pokutu ve výši 10.000 Kč za každý i započatý den prodlení se splněním povinnosti;
21.1.13 v případě porušení Smlouvy jakékoliv povinnosti Poskytovatele dle článku 12 Smlouvy vzniká nárok na smluvní pokutu ve výši 100.000 Kč za každý i započatý den prodlení se splněním povinnosti;
21.1.14 v případě porušení povinnosti Poskytovatele dle odst. 13.2 Smlouvy vzniká nárok na smluvní pokutu ve výši 10.000 Kč za každý i započatý den prodlení se splněním povinnosti;
21.1.15 v případě prodlení Poskytovatele s předložením pojistné smlouvy, pojistky nebo pojistného certifikátu Objednateli ve lhůtě dle odst. 19.8 Smlouvy vzniká Objednateli nárok na smluvní pokutu ve výši 10.000 Kč za každý i započatý den prodlení;
21.1.16 v případě prodlení Poskytovatele s předložením bankovní záruky Objednateli ve lhůtě dle odst. 20.1 Smlouvy nebo porušení jakékoli jiné povinnosti dle čl. 20 Smlouvy, vzniká Objednateli nárok na smluvní pokutu ve výši 15.000 Kč za každý i započatý den prodlení;
21.1.17 v případě, že Poskytovatel do 7 pracovních dnů ode dne doručení písemné žádosti Objednatele nepředloží (i) potvrzení výrobce o určení dodaného hardware a software zařízení pro evropský trh případně (ii) jiný doklad výrobce prokazující pro dodané hardware a software zařízení provozovaná na území ČR poskytnutí plné podpory výrobce při řešení technických problémů (požadavek uvedený v Technické specifikaci), může Objednatel požadovat po Poskytovateli jednorázovou smluvní pokutu ve výši 500.000 Kč. Současně bude mít Objednatel právo odstoupit od této Smlouvy z důvodu podstatného porušení Smlouvy.
21.1.18 v případě, že v průběhu Záruční doby dle této Smlouvy Objednatel zjistí, že vlastnosti (zejm. technické parametry) hardware a software zařízení jsou prokazatelně v rozporu s touto Smlouvou (nesplňují minimální požadované parametry uvedené v Technické specifikaci), může Objednatel požadovat po Poskytovateli jednorázovou smluvní pokutu ve výši 500.000 Kč. Současně bude mít Objednatel právo odstoupit od této Smlouvy z důvodu podstatného porušení Smlouvy.
21.1.19 v případě porušení povinnosti Poskytovatele dodržet veškeré záruky o technickém a organizačním zabezpečení osobních údajů nebo jiné povinnosti Poskytovatele Přílohy č. 7 Smlouvy je Poskytovatel povinen zaplatit Objednateli smluvní pokutu ve výši 50.000 Kč za každý jednotlivý případ takového porušení;
21.1.20 v případě porušení povinnosti Poskytovatele dodržet veškeré Požadavky na KB nebo jiné povinnosti Poskytovatele dle článku 17 Smlouvy (vyjma odst. 17.10. Smlouvy) je Poskytovatel povinen zaplatit Objednateli smluvní pokutu ve výši
300.000 Kč za každý jednotlivý případ takového porušení.
21.2 Smluvní pokuty a/nebo úroky z prodlení jsou splatné 30. den ode dne doručení písemné výzvy oprávněné smluvní strany k jejich úhradě povinnou smluvní stranou, není-li ve výzvě uvedena lhůta delší.
21.3 Smluvní pokuty je Poskytovatel oprávněn zohlednit při fakturaci ve formě slevy z příslušné ceny, a to pouze po předchozím písemném souhlasu Objednatele.
21.4 Není-li dále stanoveno jinak, zaplacením jakékoliv sjednané smluvní pokuty není dotčen nárok druhé smluvní strany na náhradu škody v plné výši ani povinnost příslušné smluvní strany bezodkladně odstranit závadný stav.
22. PLATNOST A ÚČINNOST SMLOUVY
22.1 Tato Smlouva je platná dnem připojení platného uznávaného elektronického podpisu dle zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů, do této Smlouvy a všech jejích jednotlivých příloh, nejsou-li součástí jediného elektronického dokumentu (tj. všech samostatných souborů tvořících v souhrnu Smlouvy), oběma smluvními stranami.
22.2 Tato Smlouva nabývá účinnosti uveřejněním v registru smluv dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů. Smluvní strany výslovně sjednávají, že uveřejnění této Smlouvy v registru smluv zajistí Objednatel.
22.3 Tato Smlouva je uzavřena na dobu 7 (sedmi) let ode dne nabytí účinnosti této Smlouvy.
22.4 Objednatel je oprávněn bez jakýchkoliv sankcí odstoupit od této Smlouvy:
22.4.1 v případě, že nedojde k akceptaci Řídící dokumentace z důvodu nesplnění akceptačních kritérií stanovených způsobem dle této Smlouvy, a to ani do dvou (2) měsíců od zahájení akceptační procedury Řídící dokumentace;
22.4.2 v případě, že nedojde k akceptaci Pilotního projektu z důvodu nesplnění akceptačních kritérií stanovených způsobem dle této Smlouvy, a to ani do tří
(3) měsíců od zahájení akceptační procedury Pilotního projektu;
22.4.3 v případě prodlení Poskytovatele s předáním jakékoliv části Díla po dobu delší než 20 pracovních dnů oproti termínu plnění stanovenému ve Smlouvě nebo na základě této Smlouvy, pokud Poskytovatel nezjedná nápravu ani v dodatečné přiměřené lhůtě, kterou mu k tomu Objednatel poskytne v písemné výzvě ke splnění povinnosti, přičemž tato lhůta nesmí být kratší než 10 pracovních dnů od doručení takovéto výzvy;
22.4.4 v případě, že nedojde k předložení originálu listiny bankovní záruky ve smyslu odst. 20.1 této Smlouvy, a to ani v dodatečné lhůtě pěti (5) dnů od uplynutí lhůty dle odst. 20.1 této Smlouvy;
22.4.5 v případě, že celková výše smluvních pokut, na jejichž zaplacení by měl Objednatel dle této Smlouvy nárok, dosáhne 5 % z ceny Díla;
22.4.6 v případě jakéhokoli porušení povinnosti ochrany Důvěrných informací a/nebo Kybernetické bezpečnosti dle této Smlouvy ze strany Poskytovatele;
22.4.7 v případě, že na majetek Poskytovatele je prohlášen úpadek nebo Poskytovatel sám podá dlužnický návrh na zahájení insolvenčního řízení;
22.4.8 v případě, že Poskytovatel vstoupí do likvidace; nebo
22.4.9 v případě, že proti Poskytovateli je zahájeno trestní stíhání pro trestný čin podle zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob, ve znění pozdějších předpisů;
22.4.10 v případě, že dle čl. 19 odst. 19.8 Xxxxxxx, tedy nepředložením pojistné smlouvy dle uvedeného ustanovení Smlouvy.
22.5 Poskytovatel je oprávněn bez jakýchkoliv sankcí odstoupit od této Smlouvy v případě:
22.5.1 prodlení Objednatele se zaplacením jakékoliv splatné částky dle této Smlouvy po dobu delší než 30 dnů, pokud Objednatel nezjedná nápravu ani v dodatečné přiměřené lhůtě, kterou mu k tomu Poskytovatel poskytne v písemné výzvě ke splnění povinnosti, přičemž tato lhůta nesmí být kratší než 10 pracovních dnů od doručení takovéto výzvy.
22.6 Účinky odstoupení od Xxxxxxx nastávají dnem doručení písemného oznámení o odstoupení druhé smluvní straně.
22.7 Objednatel je oprávněn Smlouvu jednostranně písemně vypovědět, a to i bez udání důvodu, přičemž výpověď může být zaslána nejdříve po akceptaci Díla jako celku. Smlouva zanikne uplynutím výpovědní doby, která činí 3 (tři) kalendářní měsíce a počíná běžet první den měsíce následujícího po měsíci, ve kterém byla písemná výpověď doručena Poskytovateli.
22.8 Ukončením účinnosti této Smlouvy nejsou dotčena ustanovení Smlouvy týkající se licencí, záruk, práv z vad, povinnosti nahradit škodu a povinnosti hradit smluvní pokuty, ustanovení o ochraně informací, ani další ustanovení a nároky, z jejichž povahy vyplývá, že mají trvat i po zániku účinnosti této Smlouvy.
23. ŘEŠENÍ SPORŮ
23.1 Práva a povinnosti smluvních stran touto Smlouvou výslovně neupravené se řídí příslušnými obecně závaznými právními předpisy, zejména Občanským zákoníkem.
23.2 Smluvní strany se zavazují vyvinout maximální úsilí k odstranění vzájemných sporů vzniklých na základě této Smlouvy nebo v souvislosti s touto Smlouvou, včetně sporů o její výklad či platnost a usilovat o jejich vyřešení nejprve smírně prostřednictvím jednání pověřených osob nebo pověřených zástupců.
23.3 Nebude-li sporná záležitost vyřešena do třiceti (30) dnů od započetí řešení dle odst. 4 této Smlouvy, smluvní strany mají možnost obrátit se se svými nároky na příslušný obecný soud České republiky.
24. ZÁVĚREČNÁ USTANOVENÍ
24.1 Tuto Smlouvu je možné měnit pouze písemnou dohodou smluvních stran ve formě číslovaných dodatků této Smlouvy, podepsaných za každou smluvní stranu osobou nebo osobami oprávněnými jednat jménem smluvních stran, není-li v této Smlouvě výslovně uvedeno jinak. Jakákoliv případná změna této Smlouvy musí být provedena v souladu s příslušnými ustanoveními ZZVZ.
24.2 Poskytovatel dále výslovně souhlasí s tím, aby tato Smlouva, včetně všech jejich změn a dodatků, údajů o výši skutečně uhrazené ceny za plnění Veřejné zakázky a seznam poddodavatelů Poskytovatele, byly v plném rozsahu zveřejněny Objednatelem. Smluvní strany prohlašují, že skutečnosti uvedené v této Smlouvě nepovažují za obchodní tajemství dle § 504 občanského zákoníku a udělují svolení k jejich užití a zveřejnění bez stanovení jakýchkoliv dalších podmínek.
24.3 Veškerá práva a povinnosti vyplývající z této Smlouvy přecházejí, pokud to povaha těchto práv a povinností nevylučuje, na právní nástupce smluvních stran.
24.4 Poskytovatel není oprávněn postoupit peněžité nároky vůči Objednateli na třetí osobu bez předchozího písemného souhlasu Objednatele.
24.5 V případě rozporů mezi touto Smlouvou a jejími přílohami má přednost tato Smlouva.
24.6 V případě rozporů mezi:
24.6.1 Technickou specifikaci a Řídící dokumentací, má přednost Řídící dokumentace
24.6.2 Řídící dokumentací a Dílčí řídící dokumentací, má přednost Dílčí řídící dokumentace.
24.6.3 Harmonogramem a Detailním harmonogramem má přednost Detailní harmonogram.
24.7 Nedílnou součást Smlouvy tvoří tyto přílohy:
Příloha č. 1: | Technická specifikace obnovy komunikační infrastruktury |
Příloha č. 2: | Specifikace Díla |
Příloha č. 3: | Harmonogram |
Příloha č. 4: | Cena |
Příloha č. 5: | Realizační tým a poddodavatelé |
Příloha č. 6: | Oprávněné osoby |
Příloha č. 7: | Ujednání o ochraně a zpracování osobních údajů |
Příloha č. 8: | Dokumentační základna |
Příloha č. 9: | Zadávací dokumentace |
Smluvní strany prohlašují, že si tuto Smlouvu přečetly, že s jejím obsahem souhlasí a na důkaz toho k ní připojují svoje podpisy.
Objednatel
V Praze dne dle data el. podpisu
30. 9. 2021
Poskytovatel
V Praze dne dle data el. podpisu
7. 9. 2021
......
Příloha č. 1
TECHNICKÁ SPECIFIKACE OBNOVY KOMUNIKAČNÍ INFRASTRUKTURY
1 Obsah
1 Obsah1
2 Rozsah projektu2
3 Požadovaná dokumentace3
3.1 Dokumentace požadovaná v rámci Smlouvy o dílo3
4 Požadovaná školení a konzultační práce6
5 Kategorizace lokalit7
6 Pilotní projekt8
7 Technická specifikace9
7.1 Obecná ustanovení9
7.2 Technická specifikace společná pro všechny typy lokalit9
7.2.1 Centrální monitoring/management.13
7.3 Technická specifikace datová centra14
7.3.1 Připojení do WAN sítě datových center14
7.3.2 LAN síť datových center15
7.3.3 WLAN síť datových center15
7.4 Technická specifikace lokality Žitná a Lazarská16
7.4.1 Připojení do WAN sítě na lokalitě Žitná16
7.4.2 Připojení do WAN sítě na lokalitě Lazarská16
7.4.3 WLAN/LAN Žitná a Lazarská17
7.5 Technická specifikace lokalit typu A17
7.5.1 WAN lokalita typu A17
7.5.2 LAN lokalita typu A18
7.5.3 WLAN lokalita typu A18
7.6 Technická specifikace lokalit typu B19
7.6.1 WAN lokalita typu B19
7.6.2 LAN lokalita typu B20
7.6.3 WLAN lokalita typu B21
7.7 Technická specifikace lokalit typu C21
7.7.1 WAN lokalita typu C21
7.7.2 LAN lokalita typu C21
7.7.3 WLAN lokalita typu C22
7.8 Technická specifikace lokalit typu CX22
7.9 Technická specifikace lokalit typu D22
7.9.1 WAN lokalita typu D23
7.9.2 LAN lokalita typu D23
7.9.3 WLAN lokalita typu D23
2 Rozsah projektu
Projekt obnovy LAN/WAN infrastruktury FS zahrnuje následující části:
1. Provedení analýzy rizik ve smyslu ZoKB, v souladu s metodikou Objednatele, jejíž výsledky budou zohledněny v dalších činnostech Poskytovatele. Analýza rizik bude realizována v rozsahu definovaném tímto projektem včetně souvisejících podpůrných systémů/komponent a včetně zohlednění požadavků GDPR.
2. Dodávka a instalace LAN zařízení v jednotlivých lokalitách, datových sálech a technologických místnostech.
3. Dodávka a instalace WAN zařízení v jednotlivých lokalitách, datových sálech a technologických místnostech.
4. Dodávka a instalace WLAN zařízení v jednotlivých lokalitách, datových sálech a technologických místnostech.
5. Dodávka a instalace WAN a WLAN zařízení v datových centrech a datových sálech.
6. Poskytnutí SW vybavení a potřebných licencí v rozsahu dle smlouvy potřebných pro provoz po dobu nejméně 7 let od podpisu smlouvy.
7. Provedení prací potřebných k zprovoznění řešení. Součástí prací je i změna logické topologie dle požadavků Objednatele a místní šetření na všech lokalitách, a to v souladu s požadavky Systému Řízení Bezpečnosti Informací (SŘBI) Objednatele, min. však v rozsahu požadavků § 18 VoKB.
8. Nastavení a napojení prvků infrastruktury pro realizaci zaznamenávání událostí komunikačního systému, jeho uživatelů a administrátorů v souladu s bezpečnostními požadavky SŘBI Objednatele, min. však v rozsahu požadavků § 22 VoKB.
9. Realizace penetračních testů a odstranění zjištěných bezpečnostních nedostatků (technických i organizačních), kdy nedostatky klasifikované jako vysoké a střední musí být odstraněny protiopatřením před uvedením zařízení/řešení do provozu, nedostatky klasifikované jako nízké lze odstranit v dohodnutém termínu i po uvedení do provozu.
10. Vytvoření a předání dokumentace k použité technologii a způsobu nasazení. Rozsah požadované dokumentace je uveden v samostatné kapitole a dále ve smlouvě.
11. Realizace školení. Rozsah požadovaných školení je uveden v samostatné kapitole.
12. Realizace/dodávka ostatních komponent nezbytných k tomu, aby dílo bylo zcela funkční, jako jsou monitoring/management nástroje, uchovávání auditních záznamů, jump servery apod.
Poskytovatel musí nabídnout kompletní řešení, jež bude zahrnovat všechny popsané části nezbytné k tomu, aby síť LAN/WAN/WLAN plnila požadovanou funkcionalitu, viz technická specifikace níže.
Součinnost Objednatele v rámci projektu:
Objednatel poskytne v rámci projektu zejména následující součinnost:
umožnění přístupu na existující aktivní prvky pouze pro čtení, za účelem zjištění dynamických informací (tabulky arp záznamů, mac adres, směrovací tabulky apod.),
fyzické zpřístupnění prostor v pracovní době za účelem místního šetření nebo instalace,
fyzické zpřístupnění prostor pro instalaci i mimo pracovní dobu, pokud bude Objednatelem požadována instalace mimo pracovní dobu,
spolupráce při vypracování testovacích scénářů,
testování na základě testovacích scénářů,
otestování funkčnosti řešení na aplikační úrovni (funkčnost aplikace pro personální systém, ekonomický systém, spisovou službu, pro správu daní a ostatní navazující aplikace).
Součinnost nad stanovený rámec je možná pouze na základě žádosti Poskytovatele a jejího schválení Objednatelem. Veškerá součinnost požadovaná ze strany Poskytovatele musí být v souladu s nejlepší praxí na obdobných projektech a nesmí vést k jakýmkoli vícenákladům.
3 Požadovaná dokumentace
Následující kapitola popisuje dokumentaci, kterou je Poskytovatel povinen vypracovat a předložit Objednateli.
3.1 Dokumentace požadovaná v rámci Smlouvy o dílo
Po podpisu smlouvy a během realizace díla vypracuje Poskytovatel následující dokumentaci (a to zvlášť pro Pilotní projekt a zvlášť pro variabilní fázi realizace díla):
1. Zpráva o hodnocení rizik a plán zvládání rizik.
2. Detailní harmonogram realizace – detailní rozpracování harmonogramu.
3. Podrobný harmonogram dodávek HW a SW.
4. Definice komunikačních kanálů ServiceDesk.
5. Vymezení požadavků na součinnost Objednatele a případných třetích stran při realizaci dodávky.
6. Detailní technická dokumentace budoucího stavu pro pilotní projekt – Low Level Design (LLD). Podle této dokumentace bude realizován pilotní projekt a musí mimo jiné obsahovat následující části:
a. Detailní popis technického řešení. Obsahuje navržené schéma infrastruktury, fyzickou a logickou topologii, směrování, popis scénářů užití a popis ostatních částí nabízeného řešení.
b. Detailní migrační plány.
c. Popis odolnosti proti výpadku – redundance (vysoká dostupnost).
d. Detailní popis HW a SW (vč. kapacitních a výpočetních hodnot).
e. Jmenný seznam osob Poskytovatele podílejících se na plnění předmětu Smlouvy, včetně uvedení odpovědností – formou komunikační matice s definicí RACI odpovědností a to včetně:
i. Identifikace a stanovení odpovědných rolí relevantních pro projekt.
ii. Identifikace neslučitelných rolí z pohledu bezpečnosti (pokud takové vazby existují).
iii. Nominace osob do uvedených rolí relevantních pro Poskytovatele.
f. Definici případných softwarových produktů Poskytovatele nebo třetích osob, které budou tvořit součást dodávky, včetně detailních licenčních podmínek, za kterých budou příslušné softwarové produkty Objednateli poskytnuty.
g. Bezpečnostní dokumentace – obsahující popis bezpečnostních nastavení ve vztahu k požadavkům SŘBI Objednatele, ZoKB a nejlepší běžné praxi. Ve vztahu k ZoKB (resp. VoKB) bude mimo jiné porovnáno nabízené řešení s požadavky na provoz kritické informační infrastruktury. Dokumentace bude obsahovat popis veškerých relevantních oblastí plynoucích z požadavků VoKB.
h. Podmínky realizace a potřebnou součinnost Objednatele při realizaci.
i. Popis Disaster Recovery (DR) scénářů ve vztahu ke komunikační infrastruktuře FS v souladu s ISO/IEC 27031.
j. Popis akceptačních testů a testovacích scénářů pro pilotní fázi.
k. Popis akceptačních testů pro finalizaci jednotlivých celků/etap projektu.
l. Případné další otázky a skutečnosti, jejichž specifikace je pro realizaci dodávek nezbytná.
7. Detailní technická dokumentace budoucího stavu pro jednotlivé celky/etapy. Po ověření pilotního provozu (jak je popsáno výše) bude realizace rozdělena na jednotlivé celky, které budou realizovány po krajích a také postupně uvedeny do provozu. Před realizací každého jednotlivého celku bude vypracována detailní technická dokumentace LLD a bude obsahovat stejné části, jako dokumentace LLD pro pilotní projekt.
8. Po realizaci a zprovoznění jednotlivých částí díla, před zahájením dvouletého provozu bude vypracována následující dokumentace pro všechny zprovozněné části:
a. Administrátorská – bude obsahovat:
i. Přehled architektury.
ii. Fyzickou topologii.
iii. Logickou topologii včetně adresace.
iv. Popis běžných poruch a postupu při jejich odstranění.
v. Postupy spouštění a odstavení chodu systému, včetně postupů obnovy a postupů pro vyšetřování chybových stavů.
vi. Popis oživení, instalaci a testování systémů, konfiguraci a aktualizování jednotlivých komponent, systémů, platforem a technologií řešení napříč různými technologickými vrstvami řešení.
vii. Postup pro zálohování a obnovy dat ve smyslu obnovení funkčnosti komunikační infrastruktury ve formě zálohovacího plánu, testovacího scénáře obnovy dat, systému evidence, zajištění integrity a autenticity zálohovacího média. Záloha jako taková musí být šifrována. Poskytovatel jako součást dodávky dále dodá a nasadí odpovídající technologické řešení, na kterém bude záloha a obnova dat prováděna. Toto řešení musí být nasazeno na všechny komponenty dodávaného řešení, kde to je účelné. Za řešení zálohy dat není považováno řešení technologicky výhradně založené na replikaci dat (replikace diskového pole, souborového systému, snapshotu apod.), záložní média budou uchovávána a expedována v režii Objednatele dle jeho bližší specifikace.
viii. Postup při realizaci změn. Tento postup vycházející z ITIL musí obsahovat systémové testování nových funkčností a změn před implementací do produkčního prostředí.
b. Bezpečnostní – bude obsahovat:
i. Přístupová oprávnění.
ii. Bezpečnostní směrnice.
iii. Výčet legislativních požadavků na dodávaný systém.
iv. Nejlepší běžnou praxi bezpečnosti.
v. Poskytovatel posoudí možná rizika související s ohrožením kontinuity činností, v případě komunikační infrastruktury se jedná o ohrožení funkce sítě a stanoví cíle řízení kontinuity činností. Na základě výsledků vypracuje dokumentaci k řízení kontinuity činností a havarijní plán. Havarijní plán se bude zabývat výhradně postupem a činnostmi nezbytnými pro obnovení funkce po havárii komunikační infrastruktury, která je součástí dodávky ZŘ.
vi. Plán testování obnovy po havárii, a případné následné aktualizace plánu kontinuity činností a havarijního plánu komunikačního systému kritické informační infrastruktury.
vii. Analýzu rizik ve vztahu k předmětu ZŘ viz kapitola 2. Rozsah projektu.
viii. Plán zvládání rizik vyplývajících z analýzy rizik. Poskytovatel současně poskytne potřebné podklady pro nástroje Objednatele pro správu a řízení informačních
/ technologických rizik (risk registr, správa katalogu hrozeb a zranitelností, definice scénářů, výpočet rizik, schvalovací workflow, evidence vlastníků rizik, upomínky, notifikace).
ix. Konfiguraci jednotlivých komponent, systémů, platforem a technologií v návaznosti na nejlepší praxi (security technical implementation guidelines / doporučení výrobců / hardening šablony např. CIS, SANS, NIST), bezpečnostním rámcem Objednatele a požadavky VoKB.
x. Bezpečnostní akceptační protokol: Dokument, který bude validován zástupcem Objednatele, odpovědným za kybernetickou bezpečnost, a na jehož základě proběhne ověření skutečného provedení z pohledu bezpečnosti oproti požadavkům (nastavení, konfigurace, implementace bezpečnostních opatření), ve formě tabulky obsahující seznam aktiv (převážně technických aktiv, tedy relevantních konfiguračních položek) a jednotlivé bezpečnostní požadavky.
xi. Popis procesů řízení technických zranitelností (Vulnerability Management proces), řešící pravidelnou detekci, identifikaci, kategorizaci a klasifikaci zranitelností (výpočet dle CVSS v3) v rámci dodávaného řešení tak, aby vyřešení zranitelnosti (odstranění) bylo adresováno skrze nástroje ITSM.
xii. Popis procesu aktualizování jednotlivých částí dodávky, klasifikace důležitosti, souvisejících priorit, lhůt, testování a QA.
xiii. Provozní pravidla a postupy v souladu s požadavky VoKB.
xiv. Postupy pro zvládání kybernetických bezpečnostních událostí, které souvisí se ZŘ a to včetně popisu řešení log managementu a popisu procesu pro řízení a zvládání kybernetických bezpečnostních událostí. Postupy budou obsahovat procesy identifikace bezpečnostních incidentů, kontaktní osoby a procesy spojené se zvládáním bezpečnostních incidentů.
c. Projektová/Řídící – bude obsahovat:
i. Základní dokument projektu.
ii. WBS/LRM.
iii. ITIL - pravidla provozu.
d. Uživatelská - uživatelská příručka pro uživatele LAN/WAN
e. CMDB - systém, který bude plnit funkci CMDB a ve spolupráci s Objednatelem tento systém integruje do prostředí Objednatele tak, aby umožňoval interakci s dalšími ITSM nástroji.
f. Provozní dokumentace - zapisují se zde všechny podstatné události (úprava, aktualizace, servisní úkon). Provozní dokumentace musí být vedena ke každému aktivnímu prvku, a to v takovém rozsahu, aby bylo možno dohledat jaké úkony, kdy a kým byly prováděny.
g. Bezpečnostní deník – zapisují se zde veškeré incidenty bezpečnostního charakteru.
h. Součinnost při zpracování Plánu odstávek.
i. Prohlášení o souladu bezpečnostní politiky, kterou se bude Poskytovatel řídit při realizaci dodávky s interním bezpečnostním rámcem Objednatele. Stejný požadavek platí pro všechny případné poddodavatele.
j. Vyjádření, zda dané řešení obsahuje či neobsahuje (nebo je deaktivován) autonomní subsystém (SoC v rámci čipové sady či mikroprocesoru jako takového, např. Management Engine, Secure Processor aj.), který je mimo kontrolu vlastního firmware a operačního systému (tímto není míněno zajištění funkcí out of band managementu s BMC na bázi IPMI, např. iLO, iDRAC apod.).
x. Xxxxxxxxxxxx zpracuje dokumentaci pro řízení aktiv – tato dokumentace bude obsahovat:
i. Dokument, kde Poskytovatel vydefinuje primární aktiva a v rámci dodávky identifikuje jejich podpůrná aktiva, stanoví závislosti primárních aktiv Objednatele na podpůrných aktivech.
ii. Dokument, kde Poskytovatel navrhne způsob, jak zabezpečí informační aktiva s ohledem na jejich významnost. Výstupem bude hodnocení CIA triády (důvěrnost, integrita, dostupnost), RTO a RPO. Požadavky na bezpečnost dle významnosti aktiv vychází mimo jiné z těchto bezpečnostních požadavků, interního bezpečnostního rámce Objednatele a nejlepší praxe.
iii. Dokument, kde Poskytovatel definuje přípustné způsoby nakládání s aktivy, jež nemají negativní dopad na jejich bezpečnost, například způsob, jakým budou nahrazeny vadné komponenty, které v konfiguraci obsahují přístupové údaje.
iv. Dokument, kde Poskytovatel navrhne způsoby bezpečné likvidace aktiv.
4 Požadovaná školení a konzultační práce
Součástí tohoto projektu je i realizace následujících školení a poskytnutí konzultační podpory v níže uvedeném rozsahu. Poskytovatel nabídne dotaci v člověkodnech pro tato školení, přičemž každého školení se bude moci účastnit až 20 lidí vybraných Objednatelem. Objednatel si vyhrazuje právo, aby se školení účastnili nejen jeho zaměstnanci, ale i jím vybrané osoby. Školení budou zahrnovat:
1. Školení samotné technologie. Nezahrnuje školení základů networkingu, avšak zahrnuje základy ovládání jednotlivých komponent použitých v řešení. Objednatel může upustit od tohoto školení. (např. proto, že s danou technologií již pracuje a školení by nebylo přínosné). Celková délka nabízeného školení je 15 člověkodnů během celého projektu.
2. Školení způsobu nasazení technologie v prostředí FS. Toto školení seznámí účastníka, jak v případě FS byla konkrétní technologie použita. Délka nabízeného školení je 10 člověkodnů během celého projektu.
3. Seznámení se s postupem hledání a následného odstranění běžných poruch. Cílem školení je poskytnout účastníkům přehled o tom, s jakými problémy se budou nejčastěji potkávat, jak je rychle diagnostikovat a vyřešit. Délka nabízeného školení je 10 člověkodnů.
4. Obecné konzultační práce dle požadavků Objednatele. Délka nabízeného školení je 78 člověkodnů. Objednatel může požadovat školení od jakéhokoliv člena realizačního týmu Poskytovatele, který se účastnil prací na projektu.
5. Školení uživatelů/adminů - školení na vyžádání 1x ročně pro nové pracovníky nebo v případě významných změn v rozsahu 1 člověkoden ročně.
6. Školení pro řešení a zvládání běžných typových bezpečnostních incidentů vztahujících se ke kritické informační infrastruktuře. Celková délka nabízeného školení je 10 člověkodnů během celého projektu.
7. Kromě prezenční formy se uskuteční i on-line webinář, který bude nahrán a Objednatel je oprávněn tento záznam umístit na vnitřní síti, jakož i v rámci KB.
8. Součástí každého školení je podepsaná prezenční listina účastníků (může být i elektronicky).
5 Kategorizace lokalit
Lokality jsou kategorizovány v samostatné Příloze č. 9 a lze je rozdělit do následujících kategorií dle počtu aktivních portů:
1. Lokality kategorie typu A
Jedná se o kategorii lokalit, jejichž dokumentace je součástí ZD (Příloha č.12). Cena HW, licencí, prací a ostatní náklady spojené s realizací jsou nepřekročitelné. Počet lokalit včetně pilotních je 30.
2. Lokalita kategorie typu B
Jedná se o lokalitu, kde počet aktivních LAN portů je vyšší než 240 a menší než 480. Počet lokalit včetně pilotních je 40.
3. Lokalita kategorie typu C
Jedná se o lokality, kde počet aktivních LAN portů je vyšší než 6 a menší než 240. Současně platí, že všechna zařízení jsou umístěná v jednom stojanu. Počet lokalit včetně pilotních je 84.
4. Lokalita kategorie typu CX
Jedná se o lokality, kde počet aktivních LAN portů je vyšší než 6 a menší než 240, kde jsou zařízení umístěná v několika místech (obvykle stojanech). Počet lokalit včetně pilotních je 16.
5. Lokalita kategorie typu D
Jedná se o zařízení s počtem LAN portů do 6. Počet lokalit včetně pilotních je 57.
Objednatel upozorňuje Poskytovatele, že pro účely nabídky a nabídkové ceny stanovuje u kategorie lokalit B, C, CX a D, pro které nejsou zkresleny dílčí plánky, následující počet aktivních portů:
Lokalita B: 336 portů; Lokalita C: 144 portů; Lokalita CX: 144 portů; Lokalita D: 6 portů.
6 Pilotní projekt
Pilotní projekt bude realizován tak, aby zajistil plnou funkcionalitu ve všech pobočkách uvedených v níže uvedené tabulce. Pilotní projekt tak bude zahrnovat plnou realizaci v obou datových centrech v lokalitách SPCSS Vápenka a Zeleneč, v datových sálech Objednatele v Žitné a Lazarské. Pilotní projekt musí zahrnovat všechny části řešení tak, aby realizace dalších lokalit vyžadovala jen přidání konfigurace v datových centrech a instalaci v nově budované lokalitě.
Pilotní projekt bude zahrnovat veškeré centrální komponenty řešení umístěné v obou datových centrech, a to včetně nasazení v modu vysoké dostupnosti, a poskytnutí všech licencí pro centrální prvky, jakož i veškerého HW a SW pro všechny pilotní lokality. Účelem Pilotního projektu je ověření a odladění řešení, a to na vybraném množství lokalit, uvedených v tabulce, a to tak, že celé řešení je funkční i všechny komponenty. Výběr lokalit je proveden s ohledem na pokrytí všech kategorií lokalit a vytvoření migračního rámce pro všechny ostatní lokality.
V rámci Pilotního projektu bude ověřena migrace pilotních lokalit na nové řešení, odstavení stávajících technologií, propojení nového řešení se zbývajícími lokalitami na úrovni existujícího síťového provozu a služeb a v případě akceptace řešení i demontáž a zajištění případného svozu původního HW.
Pilotní projekt se považuje za ukončený ve chvíli, kdy:
1. Řešení je plně funkční.
2. Je dodána veškerá požadovaná dokumentace jak dokumentace společná pro všechny části, tak i dokumentace pro jednotlivé lokality realizované v rámci Pilotního projektu.
3. Je poskytnuto školení dle požadavků Objednatele. Objednatel je během Pilotního projektu oprávněn požadovat realizaci jednotlivých školení dle vlastního uvážení. Maximální rozsah školení je specifikován v kapitole 4. Požadovaná školení a konzultační práce.
4. Pilotní projekt je akceptován Objednatelem v souladu se smlouvou.
Tabulka lokalit, kde bude realizován Pilotní projekt. Plánky lokalit jsou uvedeny v Příloze 12 Zadávací dokumentace.
č. | Adresa | Typ |
1 | Beroun, Tyršova, 1634 | CX |
2 | České Budějovice, Mánesova, 1803/3a | A |
3 | Dačice, Komenského, 39/V | D |
4 | Děčín, Řetězová, 1369/2a | CX |
5 | Dobruška, Xxxxxxxxx xxxxxxx, 00 | C |
6 | Dobříš, Mírové náměstí 1551 | D |
7 | Frýdek-Místek, Na Poříčí, 3208 | B |
8 | Frýdlant nad Ostravicí, Spořitelní, 238 | D |
9 | Hranice, Nádražní, 332 | C |
10 | Jihlava, Tolstého 1455/2 | A |
11 | Jindřichův Hradec, Česká, 1284/II | C |
12 | Klatovy, Machníkova, 129 | B |
13 | Kralovice, Xxxxxxx Xxxxxxxxxx, 000 | D |
14 | Nový Bor, T. G. Masaryka 46, 473 01 | D |
15 | Plzeň, Hálkova, 2790/14 | A |
16 | Praha 10, Petrohradská, 1486/6 | A |
17 | Praha 4, Na Pankráci, 1685/17,19 | A |
18 | Praha 5, Peroutkova, 263/61 | A |
19 | Praha 8, Thamova, 291/27 | B |
20 | Přerov, Wurmova, 2831/4 | C |
00 | Xxxxxxxx, Xxxx xxxxxxx, 000 | CX |
22 | Xxxxxxx, Xxxxxxxxx Xxxx, 845/2 | C |
23 | Slavkov u Brna, Xxxxxxxxx xxxxxxx 00 | D |
24 | Soběslav, Wilsonova, 113 | C |
25 | Vyškov, Palánek, 1 | C |
7 Technická specifikace
7.1 Obecná ustanovení
Při porovnávání výkonnosti jednotlivých zařízení budou použity hodnoty pro IMIX provoz datového listu. IMIX provoz pro potřeby tohoto zadávacího řízení je definován následující tabulkou, přičemž Objednatel připouští odchylku vůči těmto hodnotám. Jednotlivé hodnoty mají u sebe uvedenu maximální povolenou odchylku. Platí, že Objednatel omezuje jen ve směru záměny větších paketů za menší. V obráceném směru není odchylka omezena, pokud byl provoz změřen například na 100% malých paketů délky 48 bytů nebo menších, pak tuto hodnotu Objednatel zcela akceptuje.
Povolená odchylka se počítá vůči hodnotě v tabulce:
Délka IP (byty) | Povolená odchylka délky paketu | Procent paketů (%) | Povolená odchylka |
40 | + 85% | 58,3 | + neomezeno -10% |
570 | + 20% | 33,3 | +15% -15% |
1500 | + 10% | 8,3 | +10% -neomezeno |
7.2 Technická specifikace společná pro všechny typy lokalit
V této kapitole jsou definovány požadavky, které jsou společné pro všechny typy lokalit (A, B, C, CX, D) nebo jsou společné pro celou WAN/LAN/WLAN a nebylo by účelné je uvádět pro každou kapitolu zvlášť. Zařízení, SW vybavení, licence a ostatní součásti navrhovaného řešení musí splnit následující podmínky:
1. Všechna zařízení musí být nová.
2. Pokud jsou v popisu typových lokalit použity parametry, které jsou zadány formou intervalu, pak pro návrh typové lokality musí být použita hodnota, která je pro Objednatele výhodnější. Například u počtu portů bude použita nejvyšší hodnota, pokud by parametrem byla například chybovost, pak bude použita nejnižší hodnota.
3. Všechna Ethernetová rozhraní na dodávaných zařízeních musí být aktivní bez nutnosti dokupování licence.
4. Musí se jednat o zařízení, na která nebyl vyhlášen konec prodeje nebo u nichž není známa jiná skutečnost, ze které by bylo možné předpokládat, že výrobce ukončí HW nebo SW podporu pro tato zařízení. Zařízení musí být schopná poskytovat služby minimálně 7 let od podpisu Xxxxxxx.
5. Přístupové přepínače. Musí být možné sloučit minimálně 5 přístupových přepínačů do jednoho logického. Je přípustné jak použití speciálního rozhraní s kabelem, tak i standardní datový propoj, Datový propoj mezi takto sloučenými přepínači, musí být minimálně 20 Gbps.
6. Veškerý SW a licence musí být zajištěny na dobu minimálně 7 let od podpisu Smlouvy. Je preferováno řešení, kdy po skončení platnosti licencí nedojde k nefunkčnosti řešení ani zásadnímu omezení funkcionalit. Samotný fakt vypršení platnosti licencí nesmí vytvářet finanční nároky vůči FS – např. automatická obnova. Pokud řešení, které Poskytovatel nabízí, neumožňuje plnou funkcionalitu bez obnovení licencí, pak Poskytovatel popíše všechna omezení, která nastanou poté, co platnost licencí nebude obnovena do Specifikace díla, část A (Příloha č. 2 Smlouvy). Základní funkcionalita však musí být zachována.
7. V každém stavebním bloku WAN/LAN/WLAN budou pro konkrétní funkci použita jen zařízení od jediného výrobce. Je možné kombinovat jednotlivé výrobce dle funkcí, které zařízení poskytuje, avšak konzistentně přes celou WAN/LAN/WLAN. Například jiný výrobce může být použit pro směrovače a jiný pro FW – blok WAN. Avšak FW na lokalitách musí být od shodného výrobce jako FW v datových centrech, pokud bude zvoleno takové řešení.
8. Přístupové přepínače musí být vysoké maximálně 1U.
9. Všechna zařízení WAN/LAN/WLAN musí být spravovatelná z centrálních nástrojů pro správu a monitoring, který poskytne kompletní podporu správcům při hledání příčiny nefunkčnosti, sledování trendů a při dalších činnostech.
10. Objednatel požaduje možnost sledování všech datových toků na všech rozhraních mezi WAN a LAN zařízeními, a k tomu současně požaduje možnost sledování datového toku na libovolném portu LAN pro minimálně jeden souběžný port, a to na každé lokalitě s výjimkou datových center. Objednatel umožňuje zajištění této funkcionality pomocí dalšího externího zařízení, které bude součástí nabídnutého řešení. V takovém případě nesmí u lokality typu D toto zařízení snížit počet použitelných rozhraní.
11. Řešení by mělo být navrženo tak, aby provoz aplikací byl možný i v případě nedostupnosti cloudových služeb, které by v řešení byly případně použity. Je preferováno řešení s využitím vlastních zařízení. Pro navrhované řešení musí být garantována funkčnost 10 let od data akceptace projektu. Nesplnění požadavku na funkčnost i bez cloudových služeb nevylučuje účastníka zadávacího řízení ze zadávacího řízení, ale má vliv na hodnocení kvality navrhovaného řešení.
12. Řešení musí umožnit autentizaci uživatelů při přístupu do sítě LAN na lokalitách. Tato autentizace není požadována pro LAN v datových centrech a v ostatních případech, kdy network access controll není možné realizovat. V těchto případech je přístup řízen fyzickou bezpečností. Bez úspěšné autentizace/autorizace nesmí mít uživatel přístup do sítě LAN, s výjimkou samotného protokolu sloužícího pro autentizaci (EAPoL). Služby autentizačních serverů musí být vysoce dostupné.
Řešení musí umožnit omezit přístup jednotlivým uživatelům na základě výsledků autorizace, a to do úrovně jednotlivého uživatele. Jako zdroje k autentizaci musí být minimálně možné
použít kombinaci jména/hesla, certifikát, MAC adresu. Musí být možné použít jednotné zdroje identit v síti, jako je Active Directory. V budoucnu musí být možné nasadit dvoufaktorovou autentizaci. Řešení musí umožnit přístup do sítě pro hosty LAN/WLAN, která bude zcela oddělená od vnitřní sítě. Autentizace jednotlivých uživatelů hostovské sítě musí být možná po zadání jména a hesla na centrálním webovém portále anebo certifikátem či pomocí MAC adresy.
Řešení musí umožnit odděleně autentizovat zařízení IP telefonie a koncová zařízení, autentizovat více zařízení za jedním portem. Řešení musí podporovat změnu autorizace vynucenou AAA serverem. Součástí řešení je dodávka HW/SW a licencí pro AAA server pro 60 000 konkurentních uživatelů, a všechna dodávaná zařízení. V případě nefunkčnosti některé z komponent (výpadek WAN, nefunkčnost autentizačních serverů apod.) musí řešení být funkční.
13. Nedostupnost služeb připojení k Internetu v datových centrech nesmí způsobit nedostupnost služeb přenosu dat. Výjimkou je nedostupnost části WAN, která používá Internet jako přenosové médium. V takovém případě je použito primární MPLS připojení, případně LTE APN. V případě řešení striktně požadující cloudové služby tuto podmínku nelze splnit. Objednatel proto připouští i řešení nesplňující tuto podmínku.
14. Monitoring WAN/LAN/WLAN bude centrální a bude poskytovat informace pro hledání poruch, sledování trendů ve všech částech komunikační infrastruktury s možností identifikace poruchy napříč WAN/LAN/WLAN. V budoucnu, pokud se bude jednat o technologii podporovanou výrobcem, musí umožnit integraci s datacentrovou infrastrukturou.
15. Bude konfigurováno dynamické řízení směrování ve WAN v závislosti na kvalitativních parametrech linky, minimálně dle parametrů variace odchylky zpoždění (jitter), zpoždění (latency) a ztrátovosti paketů (loss). Směrování musí umožnit současné využití všech linek, balancování a redundanci na základě parametrů linky a charakteru provozu. Například: kritické aplikace budou směrovány přes MPLS, provoz do Internetu bude směrován přes šifrované spoje používající Internet jako přenosové médium. V případě výpadku služby MPLS bude šifrovaný spoj přes Internet použit jako záložní trasa.
16. Bude umožněna detekce typu provozu na základě informací v aplikační vrstvě (L7), nejen na základě L4 informací. Tato informace musí být využitelná pro směrování provozu přes WAN linku.
17. Použitá kryptografie musí být v souladu s požadavky § 26 VoKB a doporučením NÚKIB pro kryptografickou ochranu. Jako výhoda bude hodnocena možnost implementace postkvantové kryptografie a možnost doplnit v budoucnu šifrovací algoritmus pomocí změny software. Veškerý provoz WAN musí být šifrován, včetně IP MPLS linek.
18. Kryptografie obecně musí umožnit použití takových algoritmů, které jsou v souladu s doporučenými algoritmy NÚKIB. Nesmí se jednat o algoritmy označované jako „dožívající“ v doporučení NÚKIB. Šifrování AES 256 případně vyšší je považováno jako zcela dostačující.
19. Všechny komponenty řešení musí umožnit vnitřní kontrolu integrity a autenticity firmware při spuštění. Objednatel si je vědom, že pro cloudové řešení to není možné, a proto nesplnění tohoto kritéria nevylučuje účastníka zadávacího řízení ze zadávacího řízení, ale má vliv na hodnocení kvality navrhovaného řešení.
20. Přístup pro administraci prvků je možný pouze šifrovaným spojením. Ověření identity musí být centralizované.
21. Přístup pro administraci prvků v on-premise i cloudovém řešení bude možný jen přes server (např. jump server nebo podobné řešení), který bude monitorovat jejich aktivitu, omezovat přístup na dané technologie, umožní sledovat aktivitu pracovníka v reálném čase. Řešení musí být vysoce dostupné a je součástí dodávky. Veškeré nástroje pro administraci využívající cloudové řešení musí podporovat dvoufaktorovou autentizaci. Řešení musí být součástí
dodávky. Školení zaměstnanců (dle čl. 5 bodu 1) Objednatele pro správu jump serveru bude nejpozději do 30 dní od jeho nasazení. Jump server bude po zaškolení předán do správy Objednatele.
22. Řešení musí umožnit řízení provozu (QoS).
23. Při návrhu řešení musí být součástí dodávky i HW nezbytný pro běh aplikací nutných pro provoz komunikační infrastruktury FS (management, monitoring apod.). Objednatel neuvažuje o možnosti využití existujícího HW pro tento projekt (například instalací aplikací na své virtualizační platformě). Toto se nevztahuje na řešení umístěné v cloudu.
24. Bezpečnostní politika v nově budované WAN/LAN/WLAN musí být konzistentní napříč všemi sítěmi, centrálně řízená, umožňující pracovat s identitami uživatelů/zařízení. Musí být možné na základě identity uživatele i zařízení, ze kterého přistupuje, řídit úroveň jeho přístupu. Tento požadavek může být řešen i softwarovými prostředky včetně instalace SW na stanicích jednotlivých uživatelů. V takovém případě musí nabídka obsahovat veškerý HW/SW/práci pro zajištění tohoto požadavku, který má vliv na hodnocení kvality navrhovaného řešení.
25. Na lokalitě musí být dostupná funkce uchovávání auditních záznamů po dobu 14 dní v případě nedostupnosti WAN spojení a jejich následné zaslání v okamžiku obnovení spojení bez manuální intervence. Tato funkce může být realizována na kterémkoliv dodávaném prvku WAN/LAN/WLAN nebo samostatným zařízením připojeným do LAN. V případě samostatného připojení nesmí u lokality typu D dojít ke zmenšení počtu dostupných aktivních portů. Pro vyloučení jakýchkoliv pochybností zadavatel upřesňuje, že požadavek na uchování logů (auditních záznamů) po dobu 14 dní se nevztahuje na informace o datových tocích, tak jak jsou definovány v čl. 7 odst. 7.2 bodu 10 tohoto dokumentu.
26. Logy musí být uchovávány po dobu 18 měsíců, přičemž není přípustná žádná ztráta dat. Logy mohou být archivovány tak, aby pro vyhledávání „aktivních“ záznamů bylo možné použít posledních 6 měsíců. Starší logy mohou být přístupné na nosiči dat, který vyžaduje manipulaci a obnovení ze zálohy, např. na páskách apod.
27. Poskytovatel nadefinuje potřebné parametry pro umístění technologie, zejména prostor ve stojanech, napájení a případné další provozní podmínky pro umísťovaná zařízení.
28. Wireless LAN (WLAN) bude centrálně spravovaná. To zahrnuje centrální řízení jednotlivých přístupových bodů s automatickým řízením RF pásma, detekcí zdrojů rušení, bez nutnosti konfigurovat jednotlivé přístupové body v jednotlivých lokalitách. WLAN bude řízena z centrálního management nástroje.
29. WLAN umožní realizovat následující scénáře užití:
a. Připojení do vnitřní sítě pro zařízení FS.
b. Připojení zařízení zaměstnanců do sítě vyhrazené jen pro přístup k Internetu.
c. Připojení hostů do sítě vyhrazené jen pro přístup k Internetu s automatickým vypršením přístupu pro jednotlivého hosta po předem definované době.
30. Instalace WLAN na lokalitách v sobě zahrnuje měření na lokalitě, návrh bude obsahovat optimální rozložení AP, aby byl signál co nejlepší po dohodě s místním technikem, konfigurace všech částí WLAN infrastruktury a souvisejících systémů (AAA server, QoS apod.) a ostatní práce dle požadavků technologie tak, aby po instalaci byla WLAN plně funkční.
31. Celkový počet WiFi AP je 1000, distribuce po jednotlivých lokalitách bude upřesněna v budoucnu, jednotlivá AP musí podporovat kmitočet 2.4GHz a 5 GHz a protokoly 802.11 a/g 802.11b/g. 802.11n, 802.11ac Wave 2, 802.11ax. Každé AP musí umožnit vysílat minimálně 8 SSID.
Objednatel upozorňuje Poskytovatele, že pro účely nabídky budou naceněny následující počty přístupových bodů WLAN (AP) pro jednotlivé modelové lokality, které pro potřeby nabídky Poskytovatele v sumě činí 997 kusů a to následovně:
Lokalita A: 14 ks/lokalita; Lokalita B: 8 ks/lokalita; Lokalita C: 2 ks/lokalita; Lokalita CX: 2 ks/lokalita; Lokalita D:1 ks/lokalita.
32. WLAN musí podporovat autentizaci/šifrování dle standardu minimálně WPA2 (IEEE 802.11i) a vyšší.
33. WLAN musí umožnit autentizaci protokoly:
a. PEAP s vnitřní autentizační metodou MSCHAP verze 2, (jméno/heslo),
b. EAP-TLS (certifikát),
x. Xxxxxxx klíč s možnosti definovat několik PSK na jednom SSID.
34. WLAN musí umožnit šifrování pomocí Advanced Encryption Standard (AES) viz požadované standardy.
35. WLAN, s výjimkou lokalit typu D, musí být realizována samostatnými Wi-Fi zařízeními – přístupovými body. Není přípustné, aby některé zařízení například LAN nebo WAN plnilo roli přístupového bodu.
36. Řešení musí obsahovat možnost centrálního řízení přístupu na jednotlivé komponenty komunikační infrastruktury s možností definování rolí jednotlivých administrátorů. Centrální řízení musí umožnit využívat identity z Active Directory, minimálně musí být možné definovat roli s maximálním oprávněním (administrátor) a roli umožňující čtení bez možnosti změny (operátor). V případě řešení s cloud managementem je přípustné ověřování identity správců zařízení proti Active directory s využitím integrace prostřednictvím Single sign-on.
37. Každá funkcionalita řešení musí před jejich vykonáním (například změna konfigurace zařízení) ověřit, zda identita, která funkcionalitu požaduje, na ni má oprávnění.
38. Řešení dokumentuje změnu či odebrání rozsahu přístupu pro uživatele či správce.
39. Řešení nesmí obsahovat činnost, kde není jednoznačně identifikována osoba, jež požadavek na uvedenou činnost inicializovala.
40. Řešení musí umožnit audit činností administrátorů tak, aby bylo možné v případě forenzní analýzy dohledat, kdo a kdy provedl změny. Zároveň systém musí umožnit oddělení rolí tak, aby ten, kdo změny provádí, nemohl modifikovat auditní záznamy.
41. Minimální počet podporovaných WAN poboček bez nutnosti výměny centrálních HW zařízení je 300.
7.2.1 Centrální monitoring/management.
Centrální monitoring/management je klíčovým prvkem celého řešení. Centrální monitoring a management musí umožnit snadný dohled, správu a konfiguraci napříč celým řešením. Není zcela nezbytné, aby pro správu a monitoring WAN/LAN/WLAN byl použit jeden univerzální nástroj, ale počet nástrojů použitých při monitoringu a správě musí být přiměřený a umožnit následující funkce:
1. Rychlé a efektivní nalezení nefunkčnosti ve všech částech dodávané komunikační infrastruktury WAN/LAN/WLAN.
2. Proaktivní monitoring, který bude automaticky sledovat stav jednotlivých zařízení, linek a ostatních komponent komunikační infrastruktury a v případech, kdy identifikuje nestandardní stav, o tom informuje administrátory.
3. Možnost sledovat jednotlivé datové toky ve všech částech dodávané komunikační infrastruktury WAN/LAN/WLAN.
4. Rychlá konfigurace a nastavení WAN zařízení bez nutnosti přítomnosti kvalifikovaného pracovníka na lokalitě.
5. Hromadné konfigurace pomocí vzorů i konfigurace jednotlivých prvků. Musí být možné distribuovat změnu konfigurace napříč celou sítí WAN/LAN/WLAN.
6. Uživatelsky komfortní grafické rozhraní s možností vizualizace stavu komunikační infrastruktury.
7. Automatizovaný upgrade SW vybavení komunikačních prvků komunikační infrastruktury.
8. Řešení musí umožnit detekci odchylek konfigurace od vzorové konfigurace/template a případné nedostatky budou následně kategorizovány, klasifikovány. Funkci lze realizovat interním i externím nástrojem.
9. Možnost přeposílat auditní záznamy (logy) do SIEMu Objednatele. Pokud to je technicky možné pouze za cenu dodatečného SW nebo HW, pak nabídka tuto možnost musí obsahovat.
7.3 Technická specifikace datová centra
7.3.1 Připojení do WAN sítě datových center
Blok WAN bude umístěn v lokalitách datových center Zeleneč a Vápenka v jednotlivých stojanech. Dodávka stojanů pro umístění technologie není součástí zadávacího řízení; zde Poskytovatel nabídne umístění centrální části technologie, která zrealizuje propojení jednotlivých lokalit s datovými centry – sítí WAN.
Datová centra a datový sál Žitná budou mezi sebou propojeny dedikovaným propojem, který umožňuje pouze přenos na L3 vrstvě rychlostí 2x10Gbps a je oddělený od vnitřní komunikace. Topologicky pak tvoří trojúhelník Vápenka-Zeleneč-Žitná.
WAN blok ve dvou datových centrech musí zajistit následující funkce:
1. Datové propojení se zařízeními poskytovatelů služeb pro realizaci WAN sítě. Poskytovatelé budou připojeni takovým rozhraním, aby kapacitně zvládnul služby poskytované současnými poskytovateli s možností navýšení o 100 %. Zařízení musí umožnit připojení MPLS sítě, Internetu použitého jako přenosové médium, LTE (min. 50 Mbps download / 25 Mbps upload) a případně (není požadováno) 5G APN (APN bude zakončena rozhraním Ethernet).
Jedno rozhraní musí zůstat volné za účelem snadné migrace k novému poskytovateli. Rychlost propojení se zařízením poskytovatele s každou jednotlivou sítí (MPLS, Internet jako přenosové médium, LTE (min. 50 Mbps download / 25 Mbps upload) a případně (není požadováno) 5G APN) musí být minimálně 10 Gbps nebo kapacitnější.
2. Stavební blok musí zajistit funkce WAN pro rychlost minimálně 5 Gbbps plně šifrovaného IMIX provozu.
3. Datové propojení WAN s LAN datového centra, které musí být plně redundantní. Předpokládá se, že Objednatel poskytne redundantní LAN infrastrukturu v datovém centru. Rychlost propojení s LAN datového centra musí být 10 Gbps nebo kapacitnější.
4. Veškeré služby poskytované v datových centrech musí být vysoce dostupné bez SPOF. Je přípustné, aby vysoká dostupnost byla zabezpečena redundancí mezi oběma datovými centry. Upozorňujeme, že propoj mezi datovými centry poskytuje jen L3 propojení.
5. Management WAN jako součást centrálního managementu, obsahující možnosti konfigurace podle předem definovaných šablon, individuální konfiguraci jednotlivého WAN zařízení.
6. Monitoring WAN jako součást centrální monitoringu včetně zasílání upozornění pracovníkům.
7. Zpracování logů od jednotlivých WAN/LAN zařízení a možnost jejich zaslání do externích bezpečnostních komponent pro jejich vyhodnocení.
8. Nástroje pro rychlé hledání nefunkčnosti WAN jako součást centralizovaného nástroje pro rychlé hledání nefunkčnosti.
9. Služby pro automatizovanou instalaci WAN zařízení v lokalitě bez přítomnosti správce.
10. Integraci s centrálními nástroji pro řízení identit.
11. Všechny prvky musí být odolné proti nefunkčnosti jednoho napájecího zdroje. Výpadek zdroje nesmí mít vliv na funkci kteréhokoliv zařízení. Přípustné jsou redundantní zdroje v prvcích, slučování zdrojů N+1 nebo centrálně řešené zálohování zdrojů. Poskytovatel může použít i jiné zde neuvedené řešení, které zajistí tuto funkcionalitu.
12. Poskytovatel musí dle zvolené technologie zahrnout do řešení všechny nezbytné služby pro správnou funkcionalitu celého řešení a tyto podrobně popsat v Příloze č. 2 Smlouvy.
7.3.2 LAN síť datových center
Dodávka LAN sítě v datových centrech není součástí zadávacího řízení. Poskytovatel v místním šetření zjistí, jak nabízenou technologii připojí do datového centra (jakými rozhraními), kolik místa ve stojanech bude zapotřebí, jaké napájení a chlazení bude nezbytné pro nabízenou technologii. V LAN datových center budou umístěny technologie, které Poskytovatel potřebuje pro provoz nabízeného řešení, například autentizační servery, management a monitoring servery a ostatní zařízení dle požadavků Poskytovatele.
Poskytovatel následně specifikuje potřebné parametry pro umístění technologie v datových centrech. Součástí požadavků musí být mimo jiné:
1. Požadavky na prostor ve stojanech.
2. Požadavky na rozhraní pro připojení do sítě LAN DC.
3. Požadavky na chlazení.
4. Požadavky na napájení.
5. Požadavky na síťovou konektivitu mezi datovými centry, resp. jaké množství provozu bude ze současných 2x10Gbps využíváno pro potřeby projektu komunikační infrastruktury FS.
6. Ostatní požadavky v závislosti na zvolené technologii.
7.3.3 WLAN síť datových center
V datových centrech bude umístěna veškerá infrastruktura Wireless LAN s výjimkou jednotlivých přístupových bodů (resp. některý přístupový bod může být pro potřeby správců umístěn v datovém centru). V případě, že řešení bude mít distribuovanou strukturu, tedy všechny funkce nebudou centralizovány, je nezbytné, aby bylo ovládáno z centrálního managementu, u kterého je připuštěno i cloudové řešení.
Stavební blok Wireless LAN musí zajistit následující funkce/služby:
1. Centralizované/distribuované řízení jednotlivých přístupových bodů v lokalitách. Zahrnuje řízení RF pásma včetně zvýšení výkonů jednotlivých AP při výpadku některého z AP, řízení rozmístění jednotlivých SSID v lokalitách.
2. Xxxxxxxxx přístup pro uživatele využívající WLAN jen pro přístup k Internetu; xxxxxxxxx přístup musí být oddělen od ostatního provozu.
3. Přístup do Internetu nebo k vybraným vnitřním službám pro zařízení zaměstnanců BYOD. Tato funkcionalita bude nasazena dle uvážení Objednatele a Objednatel se může rozhodnout ji nenasadit.
4. Přístup do vnitřní sítě pro zařízení Objednatele.
5. Integraci s centrálními nástroji pro řízení identit.
6. Zpracování logů jednotlivých WLAN zařízení a možnost jejich zaslání do externích bezpečnostních komponent pro jejich vyhodnocení.
7. Řízení kvality služeb QoS v RF části a značkování paketů v Ethernetové části.
8. Možnost plynulého přechodu mezi jednotlivými AP v lokalitě bez delší ztráty spojení a nutnosti se znovu autentizovat - roaming.
9. Všechny prvky musí být odolné proti nefunkčnosti jednoho napájecího zdroje. Výpadek zdroje nesmí mít vliv na funkci kteréhokoliv zařízení. Přípustné jsou redundantní zdroje v prvcích, slučování zdrojů N+1 nebo centrálně řešené zálohování zdrojů. Poskytovatel může použít i jiné zde neuvedené řešení, které zajistí tuto funkcionalitu.
10. Integraci s centrálními nástroji monitoringu, managementu, vyhodnocování auditní záznamů a ostatními službami.
7.4 Technická specifikace lokality Žitná a Lazarská
7.4.1 Připojení do WAN sítě na lokalitě Žitná
Tento stavební blok zajišťuje připojení do sítě WAN v lokalitě Žitná. V této lokalitě je umístěn datový sál, ve kterém po omezenou dobu mohou zůstat servery poskytující služby klientům na lokalitách. Je proto nezbytné, aby klienti přistupovali přes WAN přímo k těmto službám. Z pohledu WAN topologie se však jedná jen o další, byť důležitou lokalitu, na které však nebudou umístěny technologie pro řízení celé WAN.
Musí zajistit následující funkce:
1. Datové propojení se zařízeními poskytovatelů služeb pro realizaci WAN sítě. V tomto případě Objednatel předpokládá připojení rychlost minimálně 1 Gbps s možností rozšíření na 2 Gbps. Bude zde realizována přípojka MPLS sítě, Internetu jako přenosového média pro WAN, LTE APN rozhraním Ethernet.
2. Stavební blok musí zajistit funkce WAN pro rychlost minimálně 2 Gbps plně šifrovaného IMIX provozu.
3. Vysokou dostupnost služeb poskytovaných v lokalitě Žitná v případě výpadku WAN zařízení přes datová centra Vápenka nebo Zeleneč. V případě výpadku WAN zařízení musí být možné směrovat data do lokalit datovým propojen 2x10Gbps přes MAN Zeleneč-Vápenka-Žitná.
4. Datové propojení WAN a LAN Žitná minimálně rychlostí 10 Gbps.
5. Poskytování informací nezbytných pro centrální monitoring, centrální management, sledování datových toků, vyhodnocování auditních záznamů a ostatní informace nezbytné pro provoz technologie.
6. Všechny prvky musí být odolné proti nefunkčnosti jednoho napájecího zdroje. Výpadek zdroje nesmí mít vliv na funkci kteréhokoliv zařízení. Přípustné jsou redundantní zdroje v prvcích, slučování zdrojů N+1 nebo centrálně řešené zálohování zdrojů. Poskytovatel může použít i jiné zde neuvedené řešení, které zajistí tuto funkcionalitu.
7. Ostatní funkce viz kapitola 7.2 „Technická specifikace společná pro všechny typy lokalit“
(šifrování, dynamické směrování provozu, QoS, atd.).
7.4.2 Připojení do WAN sítě na lokalitě Lazarská
Lokalita Lazarská je z hlediska připojení do sítě WAN shodná s lokalitou Žitná. Jediným rozdílem je omezení z hlediska redundantních propojů. Lokalita Lazarská je připojena pouze do lokality Žitná.
7.4.3 WLAN/LAN Žitná a Lazarská
Lokalita Žitná/Lazarská je lokalita kategorie A, viz kapitola 7.5 „Technická specifikace lokalit typu A“.
7.5 Technická specifikace lokalit typu A
7.5.1 WAN lokalita typu A
V lokalitách typu A Poskytovatel navrhne na základě dodané projektové dokumentace, jakým typem připojení bude lokalita připojena do WAN a následně pak navrhne pro jednotlivé lokality WAN blok, jenž bude splňovat následující požadavky:
1. Zajistit datové propojení se zařízeními poskytovatelů služeb pro realizaci WAN sítě. Zařízení musí umožnit připojení MPLS sítě, Internetu použitého jako přenosové médium, LTE (min. 50 Mbps download / 25 Mbps upload) a případně (není požadováno) 5G APN rozhraním mobilních sítí. Jedno Ethernet rozhraní musí zůstat volné za účelem snadné migrace k novému poskytovateli. Rozhraní musí být minimálně 1 Gbps pro každý typ připojení typu Ethernet. Rozhraní mobilních operátorů je LTE (min. 50 Mbps download / 25 Mbps upload) a případně (není požadováno) 5G.
2. Stavební blok musí zajistit funkce WAN pro rychlost minimálně 500 Mbps plně šifrovaného IMIX provozu.
3. Jednotlivá WAN zařízení musí podporovat rozhraní českých mobilních operátorů dle standardu LTE (min. 50 Mbps download / 25 Mbps upload) a případně (není požadováno) 5G.
4. Zajistit datové propojení WAN s LAN minimálně rychlostí 10 Gbps.
5. Umožní směrování vybraného provozu přímo do Internetu bez nutnosti využívat služeb poskytovaných v datových centrech.
6. Umožnit v budoucnu realizovat funkci FW, která zajistí kontrolu provozu přímo směrovaného do Internetu pomocí statefull zone base firewallu nebo vyšší stupeň ochrany pro aplikace poskytované z cloudu.
7. Zajistit QoS na WAN linkách.
8. Zajistit dynamické směrování ve WAN viz kapitola 8.2 „Technická specifikace společná pro všechny typy lokalit“.
9. Poskytovat údaje pro všechny monitorovací, management a bezpečnostní nástroje viz kapitola
7.2 „Technická specifikace společná pro všechny typy lokalit“.
10. Umožňovat centralizovanou správu, management, monitoring a vyhodnocování datových toků.
11. Umožňovat výměnu HW v případě poruchy tak, aby po výměně vadného HW došlo k automatickému připojení do centrálních management nástrojů bez nutnosti fyzické přítomnosti kvalifikovaného pracovníka na lokalitě.
12. Požadavky stanovené v kapitole 7.2 „Technická specifikace společná pro všechny typy lokalit“.
13. Všechny prvky musí být odolné proti nefunkčnosti jednoho napájecího zdroje. Výpadek zdroje nesmí mít vliv na funkci kteréhokoliv zařízení. Přípustné jsou redundantní zdroje v prvcích, slučování zdrojů N+1 nebo centrálně řešené zálohování zdrojů. Poskytovatel může použít i jiné zde neuvedené řešení, které zajistí tuto funkcionalitu.
13. Poskytovatel musí dle zvolené technologie zahrnout do řešení všechny nezbytné služby pro správnou funkcionalitu celého řešení a tyto podrobně popsat v Příloze č. 2 Smlouvy.
7.5.2 LAN lokalita typu A
Stavební blok LAN sítě lokality je závislý na konkrétní lokalitě. Jeden FÚ či ÚzP často sídlí v několika budovách, které jsou propojeny datovými spoji. Stavební blok musí splňovat následující parametry:
1. Umožnit připojení koncových zařízení rychlostí 10/100/1000 Mbps metalickými porty RJ45.
2. Všechny porty LAN musí být napájeny dle standardů IEEE 802.3at* a minimální požadovaný power budget pro jeden 48 portový switch musí činit alespoň 740W (tj. 15,4W per port).
3. Umožnit řízení provozu pro aplikace citlivé na parametry přenosu QoS.
4. V síti musí existovat centrální přepínač, který umožní segmentaci provozu. Přepínač bude disponovat minimálně dvěma rozhraními 10Gbps SFP+.
5. Musí být možné spojit několik fyzických propojů do jednoho logického.
6. Jednotlivá zařízení musí disponovat ochranou proti podvržení IP adresy DHCP protokolem, ochranou proti útokům na IPv6 a ochranou před útoky na L2.
7. Zařízení musí umožnit řízení přístupu do sítě, viz kapitola 7.2 „Technická specifikace společná pro všechny typy lokalit“.
8. Zařízení musí poskytovat informace pro centrální monitoring.
9. Zařízení musí umožnit centrální management.
10. Centrální prvky, které zajišťují L3 funkce, musí být odolné proti nefunkčnosti jednoho napájecího zdroje. Přípustné jsou redundantní zdroje v prvcích, slučování zdrojů N+1 nebo centrálně řešené zálohování zdrojů. Poskytovatel může použít i jiné zde neuvedené řešení, které zajistí tuto funkcionalitu.
11. Zařízení musí poskytovat informace pro sledování datových toků, viz kapitola 7.2 „Technická specifikace společná pro všechny typy lokalit“.
7.5.3 WLAN lokalita typu A
1. Stavební blok WLAN obsahuje Wi-Fi přístupové body, které budou napájeny z přepínačů a centrálně spravovány z datových center. Poskytovatel rozmístí přístupové body na základě měření šíření signálu dle požadavků Objednatele, viz kapitola 7.2 „Technická specifikace společná pro všechny typy lokalit“.
* Objednatel připouští použití i jiných, kvalitativně a technicky rovnocenných řešení, která naplní Objednatelem požadovanou či odborníkovi zřejmou funkcionalitu (byť jiným způsobem).
7.6 Technická specifikace lokalit typu B
Zjednodušené schéma lokality typu B
Internet
MPLS
APN LTE/5G
Stavební
blok WAN připojení lokality
Zařízení WAN s
funkcí FW
Stavební
blok LAN připojení lokality
Zařízení LAN s
L3
funkcionalitou
nx Zařízení LAN
Stavební
blok WLAN v
lokalitě
Sii
Datový propoj Datový propoj WiFi
7.6.1 WAN lokalita typu B
WAN blok připojení lokality typu B (počet aktivních LAN portů se u tohoto typu lokality pohybuje mezi 241 až 480) musí splňovat následující požadavky:
1. Zajistit datové propojení se zařízeními poskytovatelů služeb pro realizaci WAN sítě. Zařízení musí umožnit připojení MPLS sítě, Internetu použitého jako přenosové médium, LTE APN. Jedno rozhraní musí zůstat volné za účelem snadné migrace k novému poskytovateli. Rozhraní musí být minimálně 1 Gbps pro každý typ připojení typu Ethernet. Rozhraní mobilních operátorů je LTE (min. 50 Mbps download / 25 Mbps upload) a případně (není požadováno) 5G.
2. Zajistit datové propojení WAN s LAN.
3. Stavební blok musí zajistit funkce WAN pro rychlost minimálně 300 Mbps plně šifrovaného IMIX provozu.
4. Umožní směrování vybraného provozu přímo do Internetu bez nutnosti využívat služeb poskytovaných v datových centrech.
5. Umožnit v budoucnu realizovat funkci statefull zone based firewallu nebo vyšší stupeň ochrany provozu přímo směrovaného do Internetu pro aplikace poskytované z cloudu.
6. Zajistit QoS na WAN linkách.
7. Zajistit dynamické směrování ve WAN, viz kapitola 7.2 „Technická specifikace společná pro všechny typy lokalit“.
8. Poskytovat údaje pro všechny monitorovací, management a bezpečnostní nástroje, viz kapitola 7.2 „Technická specifikace společná pro všechny typy lokalit“.
9. Umožňovat centralizovanou správu, management, monitoring a vyhodnocování datových toků.
10. Umožňovat automatizovanou výměnu HW v případě poruchy bez nutnosti přítomnosti kvalifikovaného pracovníka.
11. Požadavky stanovené v kapitole 7.2 „Technická specifikace společná pro všechny typy lokalit“.
12. Všechny prvky musí být odolné proti nefunkčnosti jednoho napájecího zdroje. Výpadek zdroje nesmí mít vliv na funkci kteréhokoliv zařízení. Přípustné jsou redundantní zdroje v prvcích, slučování zdrojů N+1 nebo centrálně řešené zálohování zdrojů. Poskytovatel může použít i jiné zde neuvedené řešení, které zajistí tuto funkcionalitu.
13. Poskytovat ostatní služby nezbytné pro řešení, doplní Poskytovatel dle zvolené technologie.
7.6.2 LAN lokalita typu B
Celkový počet požadovaných napájených portů dle standardu IEEE 802.3at* se pohybuje mezi 241 -
480. Stavební blok musí splňovat následující parametry:
1. Umožnit připojení koncových zařízení v počtu 240 až 480 aktivních portů rychlostí 10/100/1000 Mbps metalickými porty RJ45.
2. Musí umožnit propojení několika budov v lokalitě datovým propojem, ať už optickým vláknem nebo jiným způsobem. Bude se jednat o existující propojení a fyzická infrastruktura není součástí ZŘ.
3. Všechny porty LAN musí být napájeny dle standardů IEEE 802.3at* a minimální požadovaný power budget pro jeden 48 portový switch musí činit alespoň 740W (tj. 15,4W per port).
4. Umožnit řízení provozu pro aplikace citlivé na parametry přenosu QoS.
5. V síti musí existovat centrální přepínač, který umožní segmentaci provozu. Přepínač bude disponovat minimálně dvěma rozhraními 10Gbps SFP+.
6. Musí být možné spojit několik fyzických propojů do jednoho logického.
7. Jednotlivá zařízení musí disponovat ochranou proti podvržení IP adresy DHCP protokolem, ochranou proti útokům na IPv6 a ochranou před útoky na L2.
8. Z hlediska bezpečnosti zařízení musí umožnit řízení přístupu do sítě, viz kapitola 7.2 „Technická specifikace společná pro všechny typy lokalit“.
9. Zařízení musí poskytovat informace pro centrální monitoring.
10. Zařízení musí umožnit centrální management.
11. Centrální prvky, které zajišťují L3 funkce, musí být odolné proti nefunkčnosti jednoho napájecího zdroje. Přípustné jsou redundantní zdroje v prvcích, slučování zdrojů N+1 nebo centrálně řešené zálohování zdrojů. Poskytovatel může použít i jiné zde neuvedené řešení, které zajistí tuto funkcionalitu.
12. Zařízení musí poskytovat informace pro sledování datových toků, viz kapitola 7.2 „Technická specifikace společná pro všechny typy lokalit“.
* Objednatel připouští použití i jiných, kvalitativně a technicky rovnocenných řešení, která naplní Objednatelem požadovanou či odborníkovi zřejmou funkcionalitu (byť jiným způsobem).
7.6.3 WLAN lokalita typu B
Stavební blok WLAN obsahuje Wi-Fi přístupové body, které budou napájeny z přepínačů a centrálně spravovány z datových center. Poskytovatel rozmístí přístupové body na základě měření šíření signálu dle požadavků Objednatele, viz kapitola 7.2 „Technická specifikace společná pro všechny typy lokalit“.
7.7 Technická specifikace lokalit typu C
Lokalita typu C, (počet aktivních LAN portů se u tohoto typu lokality pohybuje mezi 7 až 240) se od lokality typu B liší jen velikostí a s tím souvisejícími odlišnými parametry. Jednotlivé prvky musí splnit všechny požadavky jako lokalita B; rozdíly jsou popsány v následujících kapitolách.
Zjednodušené schéma lokality typu C
Internet
MPLS
APN LTE/5G
Stavební
blok WAN připojení lokality
Zařízení WAN
Stavební
blok LAN připojení lokality
Sii
Zařízení LAN s
L3
funkcionalitou
Stavební
blok WLAN v
lokalitě
Datový propoj Datový propoj WiFi
7.7.1 WAN lokalita typu C
Je shodná s lokalitou typu B.
7.7.2 LAN lokalita typu C
Stavební blok musí splňovat následující parametry:
1. Umožnit připojení koncových zařízení v počtu 7 až 240 aktivních portů rychlostí 10/100/1000 Mbps metalickými porty RJ45.
2. Všechna zařízení LAN a WAN se nacházejí ve společném stojanu; lokalita je umístěna v jedné budově.
3. Centrální prvky, které zajišťují L3 funkce, musí být odolné proti nefunkčnosti jednoho napájecího zdroje. Přípustné jsou redundantní zdroje v prvcích, slučování zdrojů N+1 nebo centrálně řešené zálohování zdrojů. Poskytovatel může použít i jiné zde neuvedené řešení, které zajistí tuto funkcionalitu.
7.7.3 WLAN lokalita typu C
Je shodná s lokalitou typu B.
7.8 Technická specifikace lokalit typu CX
Je shodná s lokalitou typu C, jen v části LAN je nezbytné zohlednit skutečnost, že všechny prvky se nenachází v jednom stojanu a LAN může být rozmístěna v různých budovách spojených některým z datových propojů, například temné vlákno, mikrovlnný spoj apod.
7.9 Technická specifikace lokalit typu D
Zjednodušené schéma lokality typu D
Stavební
blok WAN/ LAN/ WLAN
Zařízení WAN
Zařízení LAN
Zařízení WLAN
MPLS
APN LTE/5G
Může být
realizováno jedním zařízením
Datový propoj Datový propoj WiFi
Lokalita typu D je nejmenší z lokalit, oproti lokalitě typu C se liší v níže popsaných bodech.
7.9.1 WAN lokalita typu D
Stavební blok musí splňovat následující parametry:
1. Zajistit datové propojení se zařízeními poskytovatelů služeb pro realizaci WAN sítě. Zařízení musí umožnit připojení MPLS sítě a LTE (min. 50 Mbps download / 25 Mbps upload) a případně (není požadováno) 5GAPN bezdrátově. Rozhraní musí být minimálně 100 Mbps pro MPLS.
2. Stavební blok musí zajistit funkce WAN pro rychlost minimálně 100 Mbps plně šifrovaného IMIX provozu.
7.9.2 LAN lokalita typu D
Stavební blok musí splňovat následující parametry:
1. Umožnit připojení koncových zařízení v počtu 6 aktivních portů rychlostí 10/100/1000 Mbps metalickými porty RJ45.
2. Porty nemusí být napájeny všechny, postačí 4 napájené porty dle standardu PoE+ (IEEE 802.3at*).
3. Je přípustné kombinovat LAN/WAN/WLAN zařízení včetně možnosti kombinace všech zařízení v jednom.
4. Nejsou vyžadovány redundantní napájecí zdroje.
7.9.3 WLAN lokalita typu D
V této malé lokalitě se připouští použití zařízení LAN nebo WAN pro WLAN. Je nezbytné zajistit, aby takové řešení mělo všechny požadované parametry jako při použití dedikovaných přístupových bodů, zejména jednotnou správu a management, popř. ostatní požadované parametry.
Příloha č. 2
Specifikace Díla
A. TEXTOVÁ ČÁST:
Technická specifikace řešení
Popis architektury celého řešení
Základní principy a topologie
Architektura řešení ctí zásady formulované v Příloze č. 11 ZD Referenční architektura a vyhovuje požadavkům specifikovaným v Příloze č. 1 Smlouvy – Technická specifikace obnovy komunikační infrastruktury.
Nabízené řešení je založeno na technologiích společnosti Cisco Systems. Popis řešení je rozdělen do následujících částí:
* Objednatel připouští použití i jiných, kvalitativně a technicky rovnocenných řešení, která naplní Objednatelem požadovanou či odborníkovi zřejmou funkcionalitu (byť jiným způsobem).
WAN blok
LAN blok
WLAN blok
Centrální komponenty, management a správa
Dodávané komponenty řešení jsou z hlediska nasazení „on-premise“. On-premise nasazení umožní maximální kontrolu Zadavatele nad dodávaným řešením z hlediska zajištění souhlasu s bezpečnostními požadavky pro kritickou infrastrukturu státu, a to i do budoucna při případných změnách či zpřísnění současných požadavků.
Celý návrh zaručuje vysokou flexibilitu z pohledu možných topologických návrhů a umožňuje tak reflektovat jak stávající topologii, tak i změny požadované Zadavatelem anebo vyplývající z rekognoskací.
WAN blok
Zásadní změnou oproti současnému řešení sítě Finanční správy je v nabízeném řešení nasazení SD- WAN technologie Cisco. Použití SD-WAN infrastruktury pro kompletní WAN Finanční správy přinese významné výhody a nové možnosti proti současnému stavu:
Jednotná management platforma:
o Správa kompletního WAN prostředí pomocí platformy vManage s webovým rozhraním. Tato platforma zahrnuje správu celého životního cyklu WAN zařízení, konfigurační změny, SW a inventory management i sledování výkonnostních parametrů z jednoho rozhraní. Viz také níže část „Centrální komponenty, management a správa“.
Integrované sledování SLA parametrů:
o Veškeré dostupné linky ve WAN jsou systémem kontinuálně měřeny. Výsledek lze použít ke kontrole plnění SLA parametrů poskytovatelů služeb a k dynamickým změnám ve směrovací strategii, které mohou být zcela automatizovány.
Použití internetu jako bezpečného transportního prostředí (včetně použití požadovaného LTE):
o Virtuální topologii lze vystavět nad libovolným transportním médiem, včetně přípojek k veřejné síti internet. Uživatelský provoz je implicitně zabezpečen silným šifrovacím algoritmem (AES 256 GCM). Možnost budovat redundantní přípojky v podobě běžných přípojek k veřejné síti internet.
Snížení závislosti na stávajících poskytovatelích:
o Snadné konfigurační změny poskytovatelů na jednotlivých WAN lokalitách řízené centrálně z management platformy vManage.
Dynamické řízení toku aplikací nad více přípojkami:
o Pro lokality s více fyzickými přípojkami lze dynamicky řídit využití těchto linek na základě okamžitých SLA parametrů a provozovaných aplikací. Systém Cisco SD-WAN podporuje až osm uplink rozhraní do WAN sítě. V nabízeném řešení uplinky plně korespondují s požadavky Zadávací dokumentace.
Bezpečný lokální přístup k internetu:
o Centrální přípojky k internetu v datových centrech jsou kritickým místem infrastruktury. Pokud se do budoucna bude využívat více cloudových služeb, jako např. Office365, bude vhodné řešit lokální přístup k internetu z jednotlivých WAN lokalit. Systém SD- WAN poskytuje možnost zabezpečení lokální přípojek k internetu s centrálním řízením bezpečnostních politik a nabízí několik možností zabezpečení provozu – firewall, IPS, bezpečné DNS, URL filtraci a funkce Advanced Malware Protection.
Snadné úpravy struktury VPN sítí:
o Podpora L3 VPN sítí umožní, bude-li v budoucnu potřeba, vytvářet virtuální topologie pro jednotlivé VPN sítě, a tak rozdělit WAN na více oddělených logických sítí se svojí vlastní topologií. Veškeré změny jsou řízeny centrálně z jednoho rozhraní platformy vManage.
Přehledné udržování jednotných konfiguračních politik pro WAN lokality:
o Veškeré konfigurace jsou spravovány formou konfiguračních šablon centrálně z platformy vManage, a je tak zajištěna maximální konzistence konfigurací na všech pobočkách.
Cisco SD-WAN řešení sestává z oddělené orchestrační, management, řídící (control) a datové vrstvy (data plane):
Orchestration plane – vrstva, která zajišťuje úvodní připojování prvků do SD-WAN řešení a orchestruje komunikaci mezi všemi komponentami SD-WAN.
Control plane – komponenta udržující topologii celého řešení a řídící provoz v rámci SD-WAN.
Data plane – zajišťuje forwarding paketů na základě informací z control plane.
Management plane – zajišťuje správu a monitoring SD-WAN řešení.
Jednotlivé vrstvy a vztahy mezi nimi jsou zobrazeny na následujícím schématu:
Orchestration plane zajišťuje centralizovaná komponenta vBond, v nabízeném řešení v redundantním active/active nasazení napříč DC Vápenka a DC Zeleneč.
Management plane zajišťuje komponenta vManage, v nabízeném řešení v redundantním active/standby nasazení napříč DC.
Control plane zajišťuje centralizovaná komponenta vSmart, v nabízeném řešení v redundantním active/active nasazení napříč DC.
Data plane představují WAN směrovače umístěné v jednotlivých lokalitách.
Cisco SD-WAN poskytuje širokou škálu různých typů propojení na LAN bloky jednotlivých lokalit. Příklad vybraných topologických propojení jednotlivých lokalit a datových center společně s variantami připojení LAN bloku na WAN blok znázorňuje následující přehledové schéma:
V případě nabízeného řešení je v rámci pobočkové sítě využit princip propojení, znázorněný na příkladovém obrázku výše jako lokalita „Branch 2“ nebo „Branch 3“ (vpravo nahoře) s jedním pobočkovým WAN směrovačem.
Nabízená Cixxx XD-WAN pracuje s „overlay“ sítí, z hlediska topologie nezávislé na „underlay“ typu propojení jednotlivých lokalit. Komplexní pohled na směrování v Cisco SD-WAN síti je zobrazeno na následujícím schématu:
K obrázku: V rámci underlay sítě je řešeno připojení vůči jednotlivým operátorům, ať už jde o MPLS VPN, LTE internet anebo jinou podporovanou technologii. Směrování v underlay je odděleno v rámci VPN0 a bude typicky zajištěno statickými směrovacími záznamy, anebo dynamicky protokolem BGP. V případě statických záznamů lze používat konkurenční defaultní směrovací záznamy k různým operátorům (viz obrázek výše). WAX xxxxxxxx xa základě next-hop je schopen rozlišit, kterou z odchozích defaultních směrů má použít. Underlay vrstva slouží k zajištění konektivity pro tunely overlay vrstvy, přes kterou pak běží samotný uživatelský provoz. Overlay síť a její topologie je založena na zabezpečených IPSec tunelech (otázka šifrování je rozvedena v kapitole níže). Dynamické směrovací informace o jednotlivých uživatelských sítích se mezi jednotlivými lokalitami vyměňují zabezpečeným protokolem OMP (derivát BGP), kdy vSmart komponenta je v obdobné roli jako v BGP Route Reflector.
Cisco SD-WAN umožňuje segmentaci a oddělení provozu i v rámci WAN sítě. Segmentace i na této úrovni bývá klíčová pro realizaci různých bezpečnostních strategií Zadavatele. Segmentace je řešena přes tzv. VPN a umožňuje oddělení nejen na úrovni uživatelského provozu, ale i na úrovni směrovacích tabulek. To zajišťuje, že uživatel nemůže poslat provoz z jedné VPN do druhé, pokud to není explicitně povoleno. Pro identifikaci VPN při komunikaci přes WAN se používá ESP label. Princip segmentace v rámci SD-WAN a možnosti mapování na LAN blok jsou znázorněny na následujícím obrázku:
LAN blok
Při návrhu LAN bloku je pro zajištění naprosto shodného souboru vlastností přístupových přepínačů zvolen přístup, kdy ve všech typech lokalit budou implementovány stejné modely přístupových přepínačů. To znamená, že i v lokalitách typu D budou místo integrovaných přepínacích modulů využity samostatné přístupové přepínače.
Propojení v rámci LAN bloku a připojení na WAN blok v rámci lokality je obecně propojení znázorněno na následujícím obrázku:
Jak je uvedeno na obrázku, na každé lokalitě bude L2/L3 přepínač, nebo stoh přepínačů, zajišťující L3 funkcionalitu a sloužící jako agregační prvek. Bude zajišťovat propojení na WAN směrovač a případně na ostatní přepínače, nebo na stohy přepínačů v dané lokalitě. Na základě rekognoskací budou na vhodné přepínače připojeny Wi-Fi access pointy. Propojení mezi stohy může být redundantní i neredundantní, v závislosti na možnostech a počtech propojů mezi místnostmi v dané lokalitě. Kapacita propojů bude 1 Gb/s nebo 10 Gb/S, v závislosti na velikosti stohů, případně na typu kabelů (optika vs. metalika) mezi místnostmi. Konkrétní propojení bude uvedeno v projektu na základě místních šetření.
LAN blok, společně s WLAN blokem, je spravován centrálně z DC nástrojem Cisco DNA Center (DNAC).
WLAN blok
WLAN blok je řízen redundantní dvojicí kontrolérů a společně s LAN blokem spravován centrálně nástrojem Cisco DNAC. Tyto komponenty budou umístěny v lokalitách datových center.
Řešení umožňuje konfiguraci access pointů (AP) v několika módech, z nichž v rámci projektu lze využít dva:
Local mód, kdy AP naváže CAPWAP tunely proti kontroléru, kdy datový provoz je bridgován na kontrolér a z kontroléru směrován do sítě.
FlexConnect mód, kdy datový provoz je switchován do sítě lokálně. Konfigurace je možná per SSID s mapováním do 802.1Q vlan.
Ve výchozím nastavení datový provoz teče zabezpečeným CAPWAP tunelem na kontroléry. Určení módu AP bude záviset i na bezpečnostních požadavcích, předpokládaném objemu bezdrátové komunikace a zvoleném způsobu komunikace (např. pokud bude „guest“ provoz nebo uživatelský provoz odcházet do internetu lokální přípojkou na pobočce, může pro dané guest SSID být využit FlexConnect mód).
V jednotlivých lokalitách nasazované access pointy (AP) budou do LAN bloku připojovány typicky 1 Gb/s ethernet propojem.
Centrální správa a řízení
Navrhované řešení zabezpečí centrální správu, monitoring a řízení celé WAN/LAN/WLAN infrastruktury. Centrální prvky budou umístěny v obou lokalitách DC, kritické prvky pak redundantně (viz také níže kapitola „HA a balancování provozu“). Půjde o následující komponenty:
Cisco DNA Center (DNAC) – centrální management pro campus zařízení (přepínače a access pointy) ve všech lokalitách
Cisco SD-WAN kontroléry – redundantní centrální kontroléry vBond a vSmart a centrální management vManage pro SD-WAN část řešení
Windows Server s Remote Desktop Services – jump server
Syslog-ng – logovací server
Cisco WLC – redundantní wireless kontroléry Catalyst 9800-CL
Cisco Identity Service Engine (ISE) – redundantní kontroléry bezpečnostních politik celého řešení, včetně TACACS+ služby
Podrobnější popis řešení centrálních komponent je uveden v kapitole „Popis pilotního projektu“, v jehož rámci se tato část bude realizovat.
Propojení s existujícími systémy GFŘ
V průběhu migrace je nutné mít zajištěné propojení mezi stávající a nově budovanou síťovou infrastrukturou tak, aby všechny systémy a služby ve stávající infrastruktuře byly dostupné z nově budované infrastruktury (a naopak). Kritické je z tohoto pohledu propojení mezi stávající WAN a nově budovanou SD-WAN. Návrh proto počítá s paralelním připojením datových center Vápenka a Zeleneč jak do stávající WAN (které vznikne v rámci stěhování WAN hubů do DC), tak do SD-WAN. Komunikace mezi pobočkami na stávající WAN a pobočkami migrovanými do SD-WAN tak bude probíhat přes lokality DC. Směrování mezi stávající a nově budovanou infrastrukturou bude v těchto propojovacích uzlech zajištěno dynamickým směrovacím protokolem BGP. V rámci LAN každého DC bude stávající i nový WAN směrovač fyzicky připojen preferovaně (ale ne nutně) do stejného prvku (LAN přepínače).
Důležité v tomto konceptu je, že bude možné sdílet konektivitu k poskytovateli (tj. stejné linky) pro stávající WAN i novou SD-WAN.
V rámci jednotlivých lokalit (tedy s výjimkou výše uvedených lokalit DC) obecně uvažujeme vždy nejdříve s přepojením dané lokality do SD-WAN s následnou obnovou LAN/WLAN bloku v této lokalitě. V malých lokalitách (typicky lokality typu D, případně C a CX) by to bylo provedené v rámci jediného kroku, ve velkých lokalitách bude pravděpodobně obnova a přepojování LAN/WLAN bloku postupná.
Konkrétní popis propojení stávající a nově budované infrastruktury a způsobu migrace bude ovšem až součástí pilotního projektu a bude reflektovat skutečný stav v okamžiku implementace nové infrastruktury.
Šifrování
Jako nedůvěryhodné zóny, kde se bude provoz v rámci nabízeného řešení šifrovat, považujeme bloky WAN (část SD-WAN infrastruktury realizovanou nad linkami poskytovatelů) a WLAN (bezdrátovou část komunikace).
SD-WAN
Řešení Cisco SD-WAN je od základu navrženo s ohledem na bezpečnost na těchto následujících stavebních kamenech:
Ověřování – řešení zajišťuje, že pouze autentická zařízení mohou spolu komunikovat. Šifrování – veškerá komunikace mezi každou dvojicí zařízení je automaticky šifrovaná. Integrita – pro zajištění integrity se nepoužívají skupinové klíče ani key servery.
Následující schéma zobrazuje použité bezpečné kanály pro komunikaci jednotlivých komponent řešení Cisco SD-WAN.
Control plane SD-WAN
Základem pro bezpečný control plane Cisco SD-WAN řešení jsou protokoly Datagram Transport Layer Security (DTLS) a Transport Layer Security (TLS). Řadič vSmart, který je centrálním řídícím prvkem, vytváří a udržuje DTLS/TLS spojení ke všem zařízením Cisco SD-WAN v overlay síti: k routerům, orchestrátorům vBond, k Cisco vManage a dalším řadičům vSmart. Tato spojení nesou řídící provoz. Technologie DTLS/TLS poskytuje zabezpečení pomocí šifrovacího algoritmu Advanced Encryption Standard (AES-256) Pro ověřování si zařízení Cisco SD-WAN vyměňují digitální certifikáty s 2048 bitovými RSA klíči. Tyto certifikáty, které jsou buď nainstalovány softwarově, nebo pevně zakódovány do hardwaru, identifikují zařízení a umožňují odlišit pravá zařízení od podvrhů. Pro kontrolu integrity používají DTLS/TLS kryptografický algoritmus AES-256-GCM s hashovací funkcí SHA-384.
Data plane SD-WAN
Data plane používá pro zabezpečení protokol IPSec. Nepoužívá se ovšem IKE protokol pro vzájemné ověření identity a výměnu šifrovacích klíčů. Místo toho se využívá již sestavených zabezpečených control plane komunikačních kanálů. V tradičním modelu výměny klíčů vSmart odesílá IPSec šifrovací klíče každému směrovači (zabezpečeným control plane kanálem). V modelu párových klíčů vSmart odesílá směrovačům veřejné hodnoty Diffie-Hellman, a ty si generují párové šifrovací klíče IPSec pomocí ECDH a křivky P-384. Pro samotné datové přenosy se používá upravená verze ESP protokolu, která pro kontrolu integrity paketu podobnou protokolu AH kontroluje také vnější záhlaví IP a UDP. Šifrování dat se provádí pomocí šifry AES-256-GCM s hashovací funkcí HMAC-SHA1.
Wireless LAN
Zabezpečit bezdrátovou síť znamená:
Zajistit bezpečnost řídící části sítě – tzv. control plane.
Zajistit bezpečnost uživatelů, jejich autentizaci a enkrypci provozu tak, aby nikdo jiný nemohl odposlouchávat cizí provoz a případně podvrhovat cizí identitu, a to jak na rádiové části sítě, tak i na drátové části mezi access pointem a kontrolérem.
Control plane Wireless LAN
Control plane provoz mezi access pointy a kontrolérem je zabezpečen protokolem DTLS s následujícími používanými kryptografickými metodami:
Autentizace a šifrování: AES-128-GCM nebo AES-256-GCM, 128 nebo 256 bitové AES šifrování s Galois/Counter Mode
Hashovací funkce: HMAC-SHA-256
Sestavení klíčů a autentizace: RSA 2048 bitů
Data plane Wireless LAN
Data plane provoz na rádiové části sítě může být zabezpečen relativně novým standardem WPA3- Enterprise, který používá tyto kryptografické metody:
Autentizace a šifrování: AES-256-GCM, 256 bitové AES šifrování s Galois/Counter Mode
Hashovací funkce: HMAC-SHA384
Sestavení klíčů a autentizace: ECDH (Elliptic Curve Diffie-Hellman) a ECSDA (Elliptic Curve Digital Signature Algorithm) s 384 bitovou eliptickou křivkou
Ochrana management rámců: BIP-GMAC-256 (256 bit Broadcast/Multicast Integrity Protocol Galois Message Authentication Code)
Nasazení WPA3-Enterprise ovšem dnes typicky narazí na nepodporované klienty, kterých je stále dost v užívání. Síť je ovšem na tento standard plně připravena. Samozřejmě je zde podpora WPA2- Enterprise, které je stále uznáváno jako dostačující zabezpečení rádiové části sítě.
Data plane provoz na drátové části mezi access pointy a kontrolérem může být zabezpečen pomocí protokolu DTLS, tzv. Data DTLS. Šifrování se pak netýká jen control plane paketů mezi AP a kontrolérem, ale i uživatelského provozu. Použité algoritmy jsou tedy stejné, jako v případě šifrování control plane.
HA a balancování provozu
SD-WAN
Všechny centrální komponenty řešení Cisco SD-WAN budou nasazeny ve vysoké dostupnosti napříč oběma datovými centry takto:
vBond a vSmart budou nasazeny redundantně napříč oběma DC v active/active režimu.
vBond kontroléry budou mít jediný FQDN záznam pro oba kontroléry.
vSmart kontroléry budou tvořit cluster a budou mít mezi sebou peering navzájem. WAN směrovače budou mít nativně spojení na oba vSmart kontroléry.
vManage rovněž bude nasazen redundantně v active/standby režimu, kdy umístění aktivní instance plánujeme do DC Vápenka.
Redundantní rovněž bude připojení celé WAN do DC. Pro DC Vápenka a DC Xxxxxxx se počítá pro každé DC po jednom směrovači. Tyto směrovače se navzájem zastupují v režimu active/active a tvoří tak vstupní bod pro uživatelský provoz z WAN do datových center.
Jednotlivé směrovače na lokalitách nebudou nasazeny ve vysoké dostupnosti. Jejich odolnost vůči výpadku bude založena na redundantním připojení k různým transportním sítím (KIVS, Internet, LTE).
Oproti tradičním IP sítím umožňuje Cisco SD-WAN dynamické řízení toku aplikací nad více přípojkami a využívání veškerého dostupného pásma připojených transportních linek pomocí definovaných politik. Tomuto mechanismu se říká Application-Aware Routing (AAR). Pro lokality s více fyzickými přípojkami lze dynamicky řídit využití těchto linek na základě okamžitých SLA parametrů a provozovaných aplikací. Systém Cisco SD-WAN podporuje až 8 rozhraní do různých transportních WAN sítí.
Application-Aware Routing se skládá ze tří prvků:
Identifikace –aplikace se definuje ve vManage na základě výběru z listu známých aplikací na základě DPI a NBAR2 anebo na základě položek v L3 a L4 záhlavích.
Monitorování a měření – řešení používá BFD k nepřetržitému monitorování datového provozu v tunelech mezi směrovači a periodickému měření výkonových charakteristik tunelu ztrátovosti, latence a jitteru.
Mapování provozu aplikace na konkrétní transportní síť – datový provoz aplikace se přiřadí na tunel, který poskytuje požadovaný výkon aplikace. Výběr je založen na dvou kritériích:
kritéria nejlepší cesty vypočítaná z měření provedených na WAN připojeních,
omezení specifikovaná v politikách specifických pro směrování dané aplikace.
Pro data aplikace je možné vybrat z následujících akcí:
Preferred color – datový provoz je poslán přes vybrané WAN transporty, pokud tyto splňují požadovaná SLA. Pokud je vybráno více transportů WAN a transporty splňují požadavky SLA, provede směrovač ECMP rozklad zátěže napříč transporty.
Strict – datový provoz bude zahozen, pokud všechny transporty WAN nesplňují požadovanou SLA.
Backup preferred color – datový provoz je poslán vybraným WAN transportem pouze pokud žádný transport nesplňuje specifikovanou SLA a není povolena možnost Strict.
Wireless LAN
HA pro bezdrátové řešení je zajištěno na úrovni redundance kontrolérů Cisco Catalyst 9800-CL. Kontroléry samotné poběží na dvou různých UCS serverech pro případ výpadku jednoho z nich.
Vlastnost Stateful Switch Over (SSO) na kontrolérech zajišťuje, že Access pointy navazují CAPWAP tunel pouze s aktivním kontrolérem. Aktivní kontrolér sdílí svá data o připojených AP a klientech se záložním kontrolérem, a ten v případě výpadku přebírá jeho funkci. Access pointy v tom případě nemusejí procházet discovery stavem a nedochází k odpojení klientů.
Quality of Service
Řešení Cisco SD-WAN podporuje modifikaci výchozího toku paketů směrovačem pomocí QoS politik. Tyto politiky je potřeba vytvořit a aplikovat na konkrétní rozhraní v příslušném směru (příchozí/odchozí s ohledem na směrovač v síti). Obrázek níže ilustruje dostupné QoS mechanismy.
QoS obecně funguje tak, že klasifikuje pakety vstupující na okraji sítě. Skrze politiky a ACL lze provést klasifikaci příchozích dat do tříd na základě důležitosti a charakteru provozu a posléze namapovat třídy na různé fronty odchozích rozhraní. Frontám se pak přiřadí příslušná šířka pásma, úroveň vyrovnávacích pamětí a profily pro přetečení. Na základě podmínek definovaných v QoS mapě jsou pak pakety předávány do dalšího směrování. Na zařízeních Cisco IOS XE SD-WAN má každé rozhraní osm front, které jsou očíslovány od 0 do 7. Fronta 0 je vyhrazena a používá se jak pro řídící provoz, tak pro provoz s nízkou latencí (LLQ). Fronty 1 až 7 jsou k dispozici pro datový provoz a výchozí algoritmus pro těchto sedm front je Weighted-Round-Xxxxx (WRR). Váhy je možno definovat podle potřeby. Pokud QoS není nakonfigurován, provoz odchází výchozí frontou č. 2.
Protože pakety typicky ze směrovače opouštějí síť, kterou mám pod kontrolou, lze před jejich přenosem přepsat QoS bity, aby splňovaly zásady pro přenosovou síť, do které vstupují. Politiky pro přepis se používají k nastavení hodnoty DSCP na odchozích paketech, aby nesla informace o třídě a prioritě pro algoritmy předcházející zahlcení (RED/WRED).
Směrovače mají rovněž možnost nakonfigurovat policing tak, aby řídil maximální rychlost přenosu odeslaného nebo přijatého na rozhraní a rozdělil případně provoz na několik úrovní (conform/exceed/violate). Rovněž je k dispozici shaping pro řízení maximální rychlosti odesílaného provozu. Lze nakonfigurovat agregovanou rychlost přenosu na rozhraní tak, aby byla nižší než rychlost linky, takže nedochází k zahazování provozu na straně poskytovatele.
Cisco SD-WAN část řešení je vedle toho schopná na základě kontinuálního monitorování dostupnosti a kvality WAN trasy řídit směrování aplikací tak, aby zajistila pro aplikaci definovanou kvalitu služby. Tyto SLA parametry se definují v centrálním nástroji vManage. Princip „application aware“ směrování je uveden na následujícím obrázku:
Služby management, monitoring a podpora
Pro poskytování služeb Managementu, monitoringu a podpory budou v maximální možné míře využity stávající prostředky Objednatele a prostředky dodané v rámci této zakázky.
Nově vybudovaný systém managementu a monitoringu odpovídá specifikovaným zadáním v rozsahu tohoto výběrového řízení a umožní plánované plynulé převzetí správy systému pracovníky Objednatele.
Tento systém je primárně založen na nejmodernějších technologiích Cisco vManage a Cisco DNAC, umožňujícím snadný dohled, správu a konfiguraci napříč celým řešením.
Ze stávajících systémů bude využit Service Desk Objednatele, který bude výchozím zdrojem evidence požadavků souvisejících s předmětem plnění veřejné zakázky a bude provozovaný na produktu ALVAO. Service Desk Objednatele bude rovněž referenčním místem pro výpočet SLA.
Pro poskytování následné podpory využijeme integraci mezi Service Deskem Objednatele a Service Deskem ANECT, která zajistí plnohodnotné využití služeb Technické podpory.
Všechny procesy mezi Objednatelem a Uchazečem budou popsány, odsouhlaseny a nastaveny v přípravné fázi projektu.
Služby technické podpory představují jeden z nosných pilířů naší společnosti, a proto nepřetržitě pracujeme na tom, abychom si vysoký standard služeb, na který jsou naši zákazníci zvyklí, udrželi.
Jak jsme toho dosáhli?
Používáme moderní metodiku řízení provozu IT.
Jsme svým zákazníkům k dispozici 24 hodin denně, 7 dní v týdnu.
Zaměstnáváme kompetentní pracovníky s vysoce odbornými znalostmi.
Disponujeme rozsáhlou škálou náhradních dílů a garantujeme opravu vadného zařízení ve velmi krátkých časech na celém území České i Slovenské republiky.
Dokážeme pružně reagovat na Vaše přání a operativně upravovat parametry poskytovaných služeb tak, aby přesně odpovídaly Vašim aktuálním potřebám.
Pravidelně přezkoumáváme plnění SLA. Každý požadavek na technickou podporu sledujeme i po manažerské linii, a pokud dojde k nedodržení smluvně dohodnutých dob služeb, je o tom management společnosti automaticky informován.
Důsledně dodržujeme procesy řízení kvality a pravidelně podstupujeme audity dle norem ISO.
Dohled
Dohled je prvním krokem k zajištění vysoké dostupnosti, spolehlivosti, důvěryhodnosti a bezpečnosti dat a informací poskytovaných informačními a komunikačními systémy zákazníka. Společně s dalšími produkty (službami) jako servis, odborná podpora apod. vytváří komplexní systém garantující vysokou dostupnost Vašeho informačního a komunikačního systému.
Službu zajišťuje dohledové centrum ANECT (DCA) v nepřetržitém režimu 7x24 (24 hodin denně, 7 dní v týdnu, 365 dní v roce), služba je personálně zajištěna operátory DCA, kteří se střídají ve směnném, denním a nočním provozu, jsou trvale fyzicky přítomni na pracovišti, dostupní v kteroukoliv denní či noční hodinu.
Dispečink Technické podpory
Dispečink TP ANECT je centrálním místem pro řízení služeb Technické podpory. Dispečeři organizují řešení všech požadavků na TP a dohlížení na plnění smluvně garantovaných parametrů jednotlivých požadavků.
Pro kontaktování dispečinku TP může Objednatel kromě propojení Service Desků využít bezplatné zelené linky ANECT nebo mobilní číslo + , případně e-mail na adresu
. Hovory i e-mailové požadavky odbavuje dispečer technické podpory ANECT 24 hodin denně, 7 dní v týdnu.
Všechny požadavky na TP jsou sledovány i po manažerské linii, a díky vhodně nastaveným kontrolním mechanismům jsou včas eskalovány na příslušné zodpovědné osoby.
Servis
Služba Servis slouží k odstranění náhlých závad jak na vašem HW, tak SW vybavení. Součástí služby je i poskytování náhradních dílů z vlastních servisních skladů. Servisní zásahy budeme provádět buď u Vás, nebo vzdáleným přístupem. Pracovníci ANECT, kteří drží servisní pohotovost a provádějí servisní zásahy, jsou vyškolení specialisté a držitelé řady odborných certifikací.
Správa
Správa komunikační a systémové infrastruktury slouží k provozování Vašich systémů tak, aby odpovídaly aktuálním potřebám uživatelů.
Součástí služby jsou pravidelné činnosti, které mají za cíl předcházet poruchovým stavům, jako jsou kontroly logů, dostupnosti nových verzí SW, aktuální stavy systémů a pravidelná údržba.
Dále služba reaguje na změny provozovaného prostředí, a to buď na vyžádání, nebo v důsledku detekovaných událostí.
Odborná podpora
Služba Odborná podpora spočívá v poskytování odborné pomoci při řešení konkrétního problému souvisejícího s Vaším IT prostředím, a to po telefonu, e-mailu či přímo na místě. Jejím cílem je předání odborných rad, abyste svůj problém dokázali rychle a kvalifikovaně vyřešit. V rámci této služby můžeme rovněž na Vaši žádost provést změny konfiguraci, případně otestovat nové technologie. Ochotně Vám dokonce poradíme v oblastech, které přímo technologicky nesouvisejí s Vašimi aktuálně provozovanými systémy a infrastrukturou.
Service Level Management
SLM není samostatnou službou, nicméně je pod ní zahrnutý soubor aktivit, které garantují spokojenost Objednatele s poskytováním služeb.
Součástí těchto aktivit je pravidelný reporting o kvalitě poskytovaných služeb, pravidelné schůzky se zákazníkem a průběžná kontrola plnění. Pracovníci zapojení do tohoto procesu jsou v pravidelném kontaktu s pracovníky Objednatele a společně řídí úpravy poskytovaných služeb.
Popis pilotního projektu
Popis technického řešení
WAN blok
Navržená architektura WAN bloku staví na inteligentním software-defined WAN (SD-WAN) řešení firmy Cisco Systems. Popis SD-WAN architektury je uveden v kapitole „Popis architektury celého řešení“.
WAN blok využívá pro datová centra, datové sály, lokality typu A, B, C a CX poslední generaci „edge“ směrovačů Cisco Catalyst 8500/8300 a pro lokality typu D pak směrovače Cisco ISR 1100.
Všechny směrovače jsou licencovány s SD-WAN image. Směrovače budou centrálně řízeny ze Cisco vManage a v nabídce jsou pro vManage licencovány DNA Essentials předplatným.
Podrobné vlastnosti jednotlivých modelů směrovačů WAN bloku jsou uvedeny v datových listech:
Catalyst C8500L-8S4X (lokality DC): xxxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxxxxx/xxxxxxxxxx/xxxxxxx/xxxxxxxx-0000-xxxxxx-xxxx- platforms/datasheet-c78-744089.html
Catalyst řady C8300 (lokality DS, A, B, C, CX):
xxxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxxxxx/xxxxxxxxxx/xxxxxxx/xxxxxxxx-0000-xxxxxx-xxxx- platforms/datasheet-c78-744088.html
Cisco ISR C1121-4PLTEP (lokality D): xxxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxxxxx/xxxxxxxxxx/xxxxxxx/0000-xxxxxx-xxxxxxxxxx-xxxxxxxx-xxxxxxx- isr/datasheet-c78-739512.html
Následující tabulka uvádí rozdělovník XXX xxxxxxxxx pro jednotlivé lokality pilotního projektu:
č. | Adresa | Typ lok. | Model směrovače |
- | Praha 3, Na Vápence 915/14 | DC | C8500L-8S4X |
- | Zeleneč, Čsl. Armády 435/81 | DC | C8500L-8S4X |
- | Praha 2, Žitná, 563/12 | DS | C8300-1N1S-4T2X |
- | Praha 1, Lazarská, 15/7 | DS | C8300-1N1S-4T2X |
1 | Beroun, Tyršova, 1634 | CX | C8300-1N1S-6T + P-LTEA (LTE modem) |
2 | České Budějovice, Mánesova, 1803/3a | A | C8300-1N1S-6T + NIM-1X (10Gb) + P-LTEA (LTE modem) |
3 | Dačice, Komenského, 39/V | D | C1121-4PLTE + P-LTE-GB (LTE modem) |
4 | Děčín, Řetězová, 1369/2a | CX | C8300-1N1S-6T + P-LTEA (LTE modem) |
0 | Xxxxxxxx, Xxxxxxxxx xxxxxxx, 00 | X | X0000-1N1S-6T + P-LTEA (LTE modem) |
6 | Dobříš, Mírové náměstí 1551 | D | C1121-4PLTE + P-LTE-GB (LTE modem) |
7 | Frýdek- Místek, Na Poříčí, 3208 | B | C8300-1N1S-6T + P-LTEA (LTE modem) |
8 | Frýdlant nad Ostravicí, Spořitelní, 238 | D | C1121-4PLTE + P-LTE-GB (LTE modem) |
9 | Hranice, Nádražní, 332 | C | C8300-1N1S-6T + P-LTEA (LTE modem) |
1 0 | Jihlava, Tolstého 1455/2 | A | C8300-1N1S-6T + NIM-1X (10Gb) + P-LTEA (LTE modem) |
1 1 | Jindřichův Hradec, | C | C8300-1N1S-6T + P-LTEA (LTE modem) |
č. | Adresa | Typ lok. | Model směrovače |
Česká, 1284/II | |||
1 2 | Klatovy, Machníkova, 129 | B | C8300-1N1S-6T + P-LTEA (LTE modem) |
1 3 | Kralovice, Náměstí Osvobození, 886 | D | C1121-4PLTE + P-LTE-GB (LTE modem) |
1 4 | Nový Bor, T. G. Masaryka 46, 473 01 | D | C1121-4PLTE + P-LTE-GB (LTE modem) |
1 5 | Plzeň, Hálkova, 2790/14 | A | C8300-1N1S-6T + NIM-1X (10Gb) + P-LTEA (LTE modem) |
1 6 | Praha 10, Petrohradská , 1486/6 | A | C8300-1N1S-6T + NIM-1X (10Gb) + P-LTEA (LTE modem) |
1 7 | Praha 4, Na Pankráci 1685/17,19 | A | C8300-1N1S-6T + NIM-1X (10Gb) + P-LTEA (LTE modem) |
1 8 | Praha 5, Peroutkova, 263/61 | A | C8300-1N1S-6T + NIM-1X (10Gb) + P-LTEA (LTE modem) |
0 0 | Xxxxx 0, Xxxxxxx, 291/27 | B | C8300-1N1S-6T + P-LTEA (LTE modem) |
2 0 | Přerov, Wurmova, 2831/4 | C | C8300-1N1S-6T + P-LTEA (LTE modem) |
2 1 | Rokycany, Malé náměstí, 118 | CX | C8300-1N1S-6T + P-LTEA (LTE modem) |
2 2 | Rumburk, Františka Nohy, 845/2 | C | C8300-1N1S-6T + P-LTEA (LTE modem) |
2 3 | Slavkov u Brna, Xxxxxxxxx xxxxxxx 00 | D | C1121-4PLTE + P-LTE-GB (LTE modem) |
2 4 | Soběslav, Wilsonova, 113 | C | C8300-1N1S-6T + P-LTEA (LTE modem) |
2 5 | Vyškov, Palánek, 1 | C | C8300-1N1S-6T + P-LTEA (LTE modem) |
V každé lokalitě bude umístěn vždy 1 kus v tabulce uvedeného směrovače. Konfigurace směrovačů v datových centrech Zeleneč a Vápenka bude provedena tak, že se budou vzájemně zálohovat s využitím dynamického směrovacího protokolu přes L3 DCI (L3 spojnice obou datových center). Jako směrovací protokol předpokládáme použití BGP, definitivně bude ale určeno v rámci projektové dokumentace pro pilot.
Podrobný seznam komponent použitých v řešení WAN bloku je vložen níže v části „Podrobný soupis komponent pro pilot“.
LAN blok
Při návrhu LAN bloku je pro zajištění naprosto shodného souboru vlastností přístupových přepínačů zvolen přístup, kdy ve všech typech lokalit budou implementovány stejné modely přístupových přepínačů. To znamená, že i v lokalitách typu D budou místo integrovaných přepínacích modulů využity samostatné přístupové přepínače.
Celé řešení LAN bloku všech lokalit bude spravované centrálně z management nástroje Cisco DNAC (viz kapitola „Centrální komponenty, management a správa“).
Pro LAN blok v rámci pilotních lokalit navrhujeme jako přístupové a L3 přepínače Cisco Catalyst 9200L. Poznamenejme, že následně v rámci roll-out jsou ve vybraných velkých lokalitách použity dedikované agregační přepínače Cisco Catalyst 9500, viz níže.
Všechny přepínače, tedy i přístupové, jsou dodávány jednotně s L3 funkcionalitou.
V návrhu jsou využity 48portové modely Catalyst 9200L s uplinky 4x10 Gb/s (C9200L-48P-4X-E) anebo s uplinky 4x1 Gb/s (C9200L-48P-4G-E), podle požadavků v popisu typu lokality a velikosti implementovaných stohů. Výjimkou v rámci pilotu jsou lokality Dačice a Nový Bor, kde byl požadován počet portů 24 a 8 – v nich jsou využity 24portové modely s 4x1 Gb/s uplinky (C9200L-24P-4G-E).
Přepínače Catalyst 9200L jsou stohovatelné, kde maximální počet přepínačů ve stohu je osm. Stoh je propojen speciálními kabely s propustností 80 Gb/s.
Všechny přepínače v roli L3 agregačních přepínačů jsou vybaveny redundantním napájecím zdrojem.
Všechny přepínače Catalyst 9200L podporují PoE+ (až 30 W na port), kde každý zdroj ve 48portových přepínačích má PoE budget 740 W.
Podrobné vlastnosti modelu Catalyst 9200L, použitém v LAN bloku pilotního projektu, jsou uvedeny v následujícím datovém listu:
xxxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxxxxx/xxxxxxxxxx/xxxxxxxx/xxxxxxxx-0000-xxxxxx-xxxxxxxx/xx-00- cat9200-ser-data-sheet-cte-en.html
Následující schémata znázorňují umístění prvků LAN bloků v rámci jednotlivých lokalit a počty propojů využitých mezi místnostmi. Upozorňujeme, že schémata neuvádějí WAN zařízení a uvedené umístění, a propojení LAN prvků je předběžné. Uvedené umístění ve stozích, resp. rozvodných skříních a vzájemné propojení se můžou změnit na základě rekognoskací prováděných v rámci pilotního projektu.
LAN blok, Beroun, Tyršova, 1634: Osazení směrovači: 4 ks C9200L-48P-4G-E Schéma:
2x MM SX
Legenda
Nx MM Nx SM
Nx STP/UTP
Cataly st 9200L 48 PoE+4x1G
1 X 12 X 1 3X 24 X 25 X 36 X 3 7X 4 8X G 1 G 2 G 3 G 4
Cataly st 9200L 48 PoE+4x1G
1 X 12 X 1 3X 24 X 25 X 36 X 3 7X 4 8X G 1 G 2 G 3 G 4
Místnost 1 - serverovna Portů: 96
Racků: 1
Místnost 2
Portů: 96
Racků: 1 Cataly st 9200L 48 PoE+4x1G
1 X 12 X 1 3X 24 X 25 X 36 X 3 7X 4 8X G 1 G 2 G 3 G 4
Cataly st 9200L 48 PoE+4x1G
1 X 12 X 1 3X 24 X 25 X 36 X 3 7X 4 8X G 1 G 2 G 3 G 4
Počet vícevidových propojů Počet jednovidových propojů Počet metalických propojů
LAN blok, České Budějovice, Mánesova, 1803/3a
Internet
Místnost
A020
Portů: 48
Racků: 1
Místnost
A112
Portů: 48
Racků: 1
Ca ta lys t 92 0 0L 48 Po E+ 4x1 G
Ca tl ya st 9 20 0L 4 8 Po E+ 4x1 G
1X
12X 13X
2 4X 25X
3 6X 3 7X
48X G 1 G 2 G 3 G 4
1X
12X 13X 24X 2 5X 36X 37X
48 X G 1 G 2 G 3 G 4
Ca tl ay st 9 20 0L 4 8 Po E+ 4x1 G
48 X G 1 G 2 G 3 G 4 Místnost A717
1X
12X 13X
24X 2 5X
36X 37X
Ca tl ay st 9 20 0L 4 8 Po E+ 4x1 G
Portů: 96
Racků: 1
48 X G 1 G 2 G 3 G 4
1X
12X 13X
24X 2 5X
36X 37X
Ca tl ay st 9 20 0L 4 8 Po E+ 4x1 G
1X
12X 13X
24X 2 5X
36X 37X
48 X
G 1 G 2 G 3 G 4
Ca tl ay st 9 20 0L 4 8 Po E+ 4x1 G
48 X G 1 G 2 G 3 G 4
1X
12X 13X
24X 2 5X
36X 37X
Ca tl ay st 9 20 0L 4 8 Po E+ 4x1 G
48 X G 1 G 2 G 3 G 4
1X
12X 13X
24X 2 5X
36X 37X
Ca ta lys t 92 0 0L 48 Po E+ 4x1 G
Místnost A140 - serverovna
Portů: 144
Racků: 1
2x MM
48X G 1 G 2 G 3 G 4 Místnost A319
1X
12X 13X
2 4X 25X
3 6X 3 7X
Ca ta lys t 92 0 0L 48 Po E+ 4x1 G
Portů: 192
Racků: 1
1X
12X 13X
2 4X 25X
3 6X 3 7X
48X
G 1 G 2 G 3 G 4
Ca tl ay st 9 20 0L 4 8 Po E+ 4x1 G
48 X G 1 G 2 G 3 G 4
1X
12X 13X
24X 2 5X
36X 37X
MPLS
Ca tl ay st 9 20 0L 4 8 Po E+ 4x1 G
48 X G 1 G 2 G 3 G 4
1X
12X 13X
24X 2 5X
36X 37X
Legenda
Místnost AS042
Portů: 48
Racků: 1
Ca ta lys t 92 0 0L 48 Po E+ 4x1 G
Počet vícevidových propojů
Počet jednovidových propojů Počet metalických propojů
48X G 1 G 2 G 3 G 4
1X
12X 13X
2 4X 25X
3 6X 3 7X
Nx MM Nx SM
Nx STP/UTP
UTP
2x MM
Místnost A100
Portů: x Racků: 2
1x MM
UTP
UTP
1x UTP
1xUTP
Osazení směrovači: 1 ks C9200L-48P-4X-E, 11 ks C9200L-48P-4G-E Schéma:
LAN blok, Dačice, Komenského, 39/V: Osazení směrovači: 1 ks C9200L-24P-4G-E Schéma:
Cataly st 920024 PoE +
C9200-NM-BLA NK
1 X 12 X 13 X 2 4X
Místnost A320 - serverovna Portů: 24
Racků: 1
Místnost
404
Portů: 96
Racků: 1
1 X 12 X 1 3X 2 4X 25 X 3 6X 3 7X
Cata ly st 9200 L 48 Po E+ 4x1G
48X G 1 G 2 G 3 G 4
Cata yl st 9200 L 48 Po E+ 4x1G
1 X 12 X 1 3X 2 4X 25 X 3 6X 3 7X 48X G 1 G 2 G 3 G 4
1x MM
1x MM
LAN blok, Děčín, Řetězová 1369/2a Osazení směrovači: 6 ks C9200L-48P-4G-E Schéma:
Místnost
103
Portů: 48
Racků: 1
Cata ly st 9200 L 48 Po E+ 4x1G
1 X
12 X 1
48X G 1 G 2 G 3 G 4
Internet
WAN
3 6X 3 7X
2 4X 25 X
3X
Cata ly st 9200 L 48 Po E+ 4x1G
1 X 12 X 1 3X 2 4X 25 X 3 6X 3 7X 48X G 1 G 2 G 3 G 4
Cata ly st 9200 L 48 Po E+ 4x1G
1 X 12 X 1 3X 2 4X 25 X 3 6X 3 7X 48X G 1 G 2 G 3 G 4
Ca tlays t9 2 00 L 48 Po E+ 4 x1 G
1 X 12 X 13 X 24 X 25X 36X 37 X 48 X G 1 G 2 G 3 G 4
Místnost 407 - serverovna Portů: 144
Racků: 2
Legenda
Nx MM Nx SM
Nx STP/UTP
Počet vícevidových propojů Počet jednovidových propojů Počet metalických propojů
LAN blok, Dobruška, Šxxxxxxxx xxxxxxx, 00 Xsazení směrovači: 1 ks C9200L-48P-4G-E Schéma:
MPLS
1x STP/UTP
Catlay st 9200L 48 P oE+ 4x1G
1 X 12 X 13 X 24 X 25 X 3 6X 37 X 48 X G 1 G 2 G 3 G 4
Centrální serverovna Portů: 48
Racků: 1
Legenda
Nx MM Nx SM
Nx STP/UTP
Počet vícevidových propojů
Počet jednovidových propojů Počet metalických propojů
LAN blok, Dobříš, Mírové náměstí 1551 Osazení směrovači: 1 ks C9200L-48P-4G-E Schéma:
Ca tlays t9 2 00 L 4 8 Po E+ 4x 1G
1 X 1 2X 1 3X 2 4X 2 5X 3 6X 3 7X 48 X G 1 G 2 G 3 G 4
Místnost 1 - serverovna Portů: 48
Racků: 1
LAN blok, Frýdek-Místek, Na Poříčí, 3208
Místnost 528
Portů: 96
Racků: 1
Ca tlays t9 2 00 L 4 8 Po E+ 4 x1 G
1 X
12 X 13 X
2 4X 25 X
3 6X 3 7X
48X G 1 G 2 G 3 G 4
Ca tlays t9 2 00 L 4 8 Po E+ 4 x1 G
1 X
12 X 13 X
2 4X 25 X
3 6X 3 7X
48X G 1 G 2 G 3 G 4
Internet
WAN
Ca ta ly st 92 0 0L 4 8 Po E+ 4x1 G
1 X
12X 13 X 24 X 2 5X 36X 37 X
48 X G 1 G 2 G 3 G 4
Ca ta ly st 92 0 0L 4 8 Po E+ 4x1 G
1 X
12X 13 X
24 X 2 5X
36X 37 X
48 X G 1 G 2 G 3 G 4
Ca ta ly st 92 0 0L 4 8 Po E+ 4x1 G
1 X
12X 13 X
24 X 2 5X
36X 37 X
48 X G 1 G 2 G 3 G 4
Ca ta ly st 92 0 0L 4 8 Po E+ 4x1 G
1 X
12X 13 X
24 X 2 5X
36X 37 X
48 X G 1 G 2 G 3 G 4
Ca ta ly st 92 0 0L 4 8 Po E+ 4x1 G
1 X
12X 13 X
24 X 2 5X
36X 37 X
48 X G 1 G 2 G 3 G 4
Ca ta ly st 92 0 0L 4 8 Po E+ 4x1 G
1 X
12X 13 X
24 X 2 5X
36X 37 X
48 X G 1 G 2 G 3 G 4
Legenda
Nx MM Nx SM
Nx STP/UTP
Počet vícevidových propojů
Počet jednovidových propojů Počet metalických propojů
Místnost 463 - serverovna
Portů: 288
Racků: 2
2x UTP
Osazení směrovači: 1 ks C9200L-48P-4X-E, 7 ks C9200L-48P-4G-E Schéma:
LAN blok, Frýdlant nad Ostravicí, Spořitelní, 238 Osazení směrovači: 1 ks C9200L-48P-4G-E Schéma:
Ctaa ly st 92 0 0L 4 8 Po E+ 4x 1 G
Internet
WAN
4 8X G 1 G 2 G 3 G 4
1 X
1 2X 1 3X
24X 25 X
36X 37X
Místnost 29 - serverovna
Portů: 48
Racků: 1
LAN blok, Hranice, Nádražní, 332 Osazení směrovači: 2 ks C9200L-48P-4G-E Schéma:
Internet
WAN
Ctaa ly st 92 00 L 4 8 PoE+ 4 x1 G
1 X
12 X 13X
24X 25X
36X 3 7X 4 8X G 1 G 2 G 3 G 4
Ctaa ly st 92 00 L 4 8 PoE+ 4 x1 G
1 X
12 X 13X
24X 25X
36X 3 7X
4 8X G 1 G 2 G 3 G 4
Legenda
Nx MM Nx SM
Nx STP/UTP
Počet vícevidových propojů
Počet jednovidových propojů Počet metalických propojů
Místnost 216 - serverovna
Portů: 96
Racků: 2
LAN blok, Jihlava, Tolstého 1455/2
Místnost 257
Portů: 144
Racků: 1
Místnost 117
Portů: 192
Racků: 1
Catlays t 9200L 48 PoE+ 4x 1G
4 8X G 1 G 2 G 3 G 4
1 X
1 2X 13 X
24 X 25 X
36 X 3 7X
Cataly st 9200L 48 PoE+ 4x 1G
Catlays t 9200L 48 PoE+ 4x 1G
48 X G 1 G 2 G 3 G 4
4 8X G 1 G 2 G 3 G 4
1X
1 2X 13 X
2 4X 2 5X
3 6X 37 X
1 X
1 2X 13 X
24 X 25 X
36 X 3 7X
Cataly st 9200L 48 PoE+ 4x 1G
Cataly st 9200L 48 PoE+ 4x 1G
48 X G 1 G 2 G 3 G 4
1X
1 2X 13 X
2 4X 2 5X
3 6X 37 X
48 X G 1 G 2 G 3 G 4
1X
1 2X 13 X
2 4X 2 5X
3 6X 37 X
Cataly st 9200L 48 PoE+ 4x 1G
Cataly st 9200L 48 PoE+ 4x 1G
48 X G 1 G 2 G 3 G 4
1X
1 2X 13 X
2 4X 2 5X
3 6X 37 X
48 X G 1 G 2 G 3 G 4
1X
1 2X 13 X
2 4X 2 5X
3 6X 37 X
Internet
Catlays t 9200L 48 PoE+ 4x 1G
1 X
1 2X 13 X
24 X 25 X
36 X 3 7X
4 8X G 1 G 2 G 3 G 4
???
Catlays t 9200L 48 PoE+ 4x 1G
4 8X G 1 G 2 G 3 G 4
1 X
1 2X 13 X
24 X 25 X
36 X 3 7X
Cataly st 9200L 48 PoE+ 4x 1G
48 X G 1 G 2 G 3 G 4
1X
1 2X 13 X 2 4X 2 5X
3 6X 37 X
Catlays t 9200L 48 PoE+ 4x 1G
1 X
1 2X 13 X
24 X 25 X
36 X 3 7X
4 8X G 1 G 2 G 3 G 4
Catlays t 9200L 48 PoE+ 4x 1G
4 8X G 1 G 2 G 3 G 4
1 X
1 2X 13 X
24 X 25 X
36 X 3 7X
MPLS
Cataly st 9200L 48 PoE+ 4x 1G
???
48 X G 1 G 2 G 3 G 4
1X
1 2X 13 X
2 4X 2 5X
3 6X 37 X
Legenda
Nx MM Nx SM
Nx STP/UTP
Počet vícevidových propojů
Počet jednovidových propojů Počet metalických propojů
Místnost 425 - serverovna
Portů: 288
Racků: 2
2x UTP
2x UTP
Osazení směrovači: 1 ks C9200L-48P-4X-E, 12 ks C9200L-48P-4G-E Schéma:
2x UTP
LAN blok, Jindřichův Hradec, Česká, 1284/II Osazení směrovači: 5 ks C9200L-48P-4G-E Schéma:
Internet
MPLS
UTP
Legenda
Nx MM Nx SM
Nx STP/UTP
Počet vícevidových propojů
Počet jednovidových propojů Počet metalických propojů
UTP
Místnost A305 - serverovna
Portů: 240
Racků: 1
4 8 X
G 1 G 2 G 3 G 4
36 X 3 7X
2 4X 2 5 X
12 X 13 X
1X
Cataly s t9200L 48P oE+ 4x1G
4 8 X
G 1 G 2 G 3 G 4
36 X 3 7X
2 4X 2 5 X
12 X 13 X
1X
Cataly s t9200L 48P oE+ 4x1G
4 8 X
G 1 G 2 G 3 G 4
36 X 3 7X
2 4X 2 5 X
12 X 13 X
1X
Cataly s t9200L 48P oE+ 4x1G
4 8 X
G 1 G 2 G 3 G 4
36 X 3 7X
2 4X 2 5 X
12 X 13 X
1X
Cataly s t9200L 48P oE+ 4x1G
4 8 X
G 1 G 2 G 3 G 4
36 X 3 7X
2 4X 2 5 X
12 X 13 X
1X
Cataly s t9200L 48P oE+ 4x1G
LAN blok, Klatovy, Machníkova, 129
2x MM SX
2x MM SX
Osazení směrovači: 2 ks C9200L-48P-4X-E, 8 ks C9200L-48P-4G-E Schéma:
MPLS
1x STP/UTP
Catalyst 92 00L4 8 PoE + 4x1 G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
Catalyst 9200L 48 Po E+ 4x1G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
Catalyst 92 00L4 8 PoE + 4x1 G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
Catalyst 92 00L4 8 PoE + 4x1 G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
Catalyst 9200L 48 Po E+ 4x1G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
Catalyst 9200L 48 Po E+ 4x1G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
Catalyst 9200L 48 Po E+ 4x1G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
Catalyst 9200L 48 Po E+ 4x1G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
Catalyst 9200L 48 Po E+ 4x1G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
Catalyst 9200L 48 Po E+ 4x1G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
Centrální serverovna Portů: 480
Racků: 4
2x MM SX
Legenda
Nx MM
Nx SM
Nx STP/UTP
Počet vícevidových propojů Počet jednovidových propojů Počet metalických propojů
LAN blok, Kralovice, Náměstí Osvobození, 886 Osazení směrovači: 1 ks C9200L-48P-4G-E Schéma:
MPLS 1x STP/UTP
Catalyst 92 00L 48 PoE+ 4x1 G
Legenda
Nx MM Nx SM
Nx STP/UTP
Počet vícevidových propojů Počet jednovidových propojů Počet metalických propojů
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
Centrální serverovna Portů: 48
Racků: 1
LAN blok, Nový Bor, T. G. Masaryka 46, 473 01 Osazení směrovači: 1 ks C9200L-24P-4G-E Schéma:
Internet
WAN
Catlay st 9200 24 PoE+
C9200-NM -BLANK
1X 1 2X 13 X 24 X
Místnost 1 - serverovna Portů: 8
Racků: 1
Legenda
Nx MM Nx SM
Nx STP/UTP
Počet vícevidových propojů Počet jednovidových propojů Počet metalických propojů
LAN blok, Plzeň, Hálkova, 2790/14
MPLS
1x UTP
Zakončení WAN
Portů: 48
Racků: 1
Catalyst 920 0L 48 Po E+ 4x1 G
36X 37X 48X G 1 G 2 G 3 G 4
1X
12X 13X
24X 25X
Legenda
Nx MM Nx SM
Nx STP/UTP
Počet vícevidových propojů
Počet jednovidových propojů Počet metalických propojů
Catalyst 92 00L 4 8 Po E+ 4x1G
48X G 1 G 2 G 3 G 4
1X
12X 13X
24X 25X
36X 37X
Catalyst 920 0L 48 Po E+ 4x1 G
48X G 1 G 2 G 3 G 4
1X
12X 13X
24X 25X
36X 37X
Catalyst 920 0L 48 Po E+ 4x1 G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
Catalyst 920 0L 48 Po E+ 4x1 G
48X G 1 G 2 G 3 G 4
1X
12X 13X
24X 25X
36X 37X
Catalyst 920 0L 48 Po E+ 4x1 G
48X G 1 G 2 G 3 G 4
1X
12X 13X
24X 25X
36X 37X
Catalyst 92 00L 4 8 Po E+ 4x1G
48X G 1 G 2 G 3 G 4
1X
12X 13X
24X 25X
36X 37X
Catalyst 920 0L 48 Po E+ 4x1 G
Centrální serverovna
Portů: 480
Racků: 2
48X G 1 G 2 G 3 G 4
1X
12X 13X
24X 25X
36X 37X
Catalyst 920 0L 48 Po E+ 4x1 G
48X G 1 G 2 G 3 G 4
1X
12X 13X
24X 25X
36X 37X
Catalyst 920 0L 48 Po E+ 4x1 G
48X G 1 G 2 G 3 G 4
1X
12X 13X
24X 25X
36X 37X
Catalyst 920 0L 48 Po E+ 4x1 G
48X G 1 G 2 G 3 G 4
1X
12X 13X
24X 25X
36X 37X
2x UTP
2x UTP
Osazení směrovači: 1 ks C9200L-48P-4X-E, 10 ks C9200L-48P-4G-E Schéma:
LAN blok, Praha 10, Petrohradská, 1486/6
m.č. 104.
Portů: 144
Racků: 1
m.č. PBX.
Portů: 48
Racků: 1
Catlay st 9200L48 PoE+4x 1G
1 X
1 2X 1 3X
2 4X 2 5 X
36 X 3 7 X
48 X G 1 G 2 G 3 G 4
Catlay st 9200L48 PoE+4x 1G
1 X
1 2X 1 3X
2 4X 2 5 X
36 X 3 7 X
48 X G 1 G 2 G 3 G 4
Catlay st 9200L48 PoE+4x 1G
1x UTP
Catlay st 9200L48 PoE+4x 1G
1 X
1 2X 1 3X
2 4X 2 5 X
36 X 3 7 X
48 X G 1 G 2 G 3 G 4
1 X
1 2X 1 3X
2 4X 2 5 X
36 X 3 7 X
48 X G 1 G 2 G 3 G 4
domeček
Portů: 48
Racků: 1
Catlay st 9200L48 PoE+4x 1G
1 X
1 2X 1 3X
2 4X 2 5 X
36 X 3 7 X
48 X G 1 G 2 G 3 G 4
Catlay st 9200L48 PoE+4x 1G
1 X
1 2X 1 3X
2 4X 2 5 X
36 X 3 7 X
48 X G 1 G 2 G 3 G 4
Catlay st 9200L48 PoE+4x 1G
Catlay st 9200L48 PoE+4x 1G
1 X 1 2X 1 3X 2 4X 2 5 X
36 X 3 7 X
48 X G 1 G 2 G 3 G 4
1 X
1 2X 1 3X
2 4X 2 5 X
36 X 3 7 X
48 X G 1 G 2 G 3 G 4
Catlay st 9200L48 PoE+4x 1G
1 X
1 2X 1 3X
2 4X 2 5 X
36 X 3 7 X
48 X G 1 G 2 G 3 G 4
Catlay st 9200L48 PoE+4x 1G
1 X
1 2X 1 3X
2 4X 2 5 X
36 X 3 7 X
48 X G 1 G 2 G 3 G 4
Catlay st 9200L48 PoE+4x 1G
1 X
1 2X 1 3X
2 4X 2 5 X
36 X 3 7 X
48 X G 1 G 2 G 3 G 4
Catlay st 9200L48 PoE+4x 1G
1 X
1 2X 1 3X
2 4X 2 5 X
36 X 3 7 X
48 X G 1 G 2 G 3 G 4
Catlay st 9200L48 PoE+4x 1G
1 X
1 2X 1 3X
2 4X 2 5 X
36 X 3 7 X
48 X G 1 G 2 G 3 G 4
Catlay st 9200L48 PoE+4x 1G
1 X
1 2X 1 3X
2 4X 2 5 X
36 X 3 7 X
48 X G 1 G 2 G 3 G 4
Catlay st 9200L48 PoE+4x 1G
MAN
Nx SM
1 X
1 2X 1 3X
2 4X 2 5 X
36 X 3 7 X
48 X G 1 G 2 G 3 G 4
Catlay st 9200L48 PoE+4x 1G
1 X 1 2X 1 3X
2 4X 2 5 X 36 X 3 7 X
48 X G 1 G 2 G 3 G 4
Legenda
Centrální serverovna m.č. 318P
Portů: 528
Racků: 4
Nx MM Nx SM
Nx STP/UTP
Počet vícevidových propojů
Počet jednovidových propojů Počet metalických propojů
1x UTP Cat5e
Centrální serverovna m.č. 318L Portů: 144
Racků: 1
Catlays t 9200L48 PoE+ 4x1G
1 X 12 X 13 X 24 X 25 X 3 6X 3 7X 4 8X G 1 G 2 G 3 G 4
Catlays t 9200L48 PoE+ 4x1G
1 X 12 X 13 X 24 X 25 X 3 6X 3 7X 4 8X G 1 G 2 G 3 G 4
Catlays t 9200L48 PoE+ 4x1G
1 X 12 X 13 X 24 X 25 X 3 6X 3 7X 4 8X G 1 G 2 G 3 G 4
2x UTP Cat6
2x UTP
2x MM
Osazení směrovači: 2 ks C9200L-48P-4X-E, 17 ks C9200L-48P-4G-E Schéma:
LAN blok, Praha 4, Na Pankráci, 1685/17,19
1x UTP
Osazení směrovači: 1 ks C9200L-48P-4X-E, 11 ks C9200L-48P-4G-E Schéma:
Serverovna B – 2. patro
Portů: 48
Racků: 1
C taalys t9200L 48 PoE+ 4x 1G
1x UTP
1X
1 2X 1 3X 24 X 25 X
3 6X 3 7X
4 8 X G 1 G 2 G 3 G 4
C taalys t9200L 48 PoE+ 4x 1G
1X
1 2X 1 3X
24 X 25 X
3 6X 3 7X
4 8 X G 1 G 2 G 3 G 4
C taalys t9200L 48 PoE+ 4x 1G
1X
1 2X 1 3X
24 X 25 X
3 6X 3 7X
4 8 X G 1 G 2 G 3 G 4
C taalys t9200L 48 PoE+ 4x 1G
1X
1 2X 1 3X
24 X 25 X
3 6X 3 7X
4 8 X G 1 G 2 G 3 G 4
C taalys t9200L 48 PoE+ 4x 1G
1X
1 2X 1 3X
24 X 25 X
3 6X 3 7X
4 8 X G 1 G 2 G 3 G 4
Centrální serverovna
Portů: 192
Racků: 1
1x SM
C taalys t9200L 48 PoE+ 4x 1G
1X 1 2X 1 3X 24 X 25 X 3 6X 3 7X 4 8 X G 1 G 2 G 3 G 4
Serverovna F - suterén Portů: 48
Racků: 1
C taalys t9200L 48 PoE+ 4x 1G
1X 1 2X 1 3X 24 X 25 X 3 6X 3 7X 4 8 X G 1 G 2 G 3 G 4
Serverovna E – 5. patro Portů: 48
Racků: 1
Serverovna D – 5. patro Portů: 192
Racků: 1
C taalys t9200L 48 PoE+ 4x 1G
1X 1 2X 1 3X 24 X 25 X 3 6X 3 7X 4 8 X G 1 G 2 G 3 G 4
C taalys t9200L 48 PoE+ 4x 1G
1X 1 2X 1 3X 24 X 25 X 3 6X 3 7X 4 8 X G 1 G 2 G 3 G 4
C taalys t9200L 48 PoE+ 4x 1G
1X 1 2X 1 3X 24 X 25 X 3 6X 3 7X 4 8 X G 1 G 2 G 3 G 4
C taalys t9200L 48 PoE+ 4x 1G
1X 1 2X 1 3X 24 X 25 X 3 6X 3 7X 4 8 X G 1 G 2 G 3 G 4
Serverovna C – 2. patro Portů: 48
Racků: 1
C taalys t9200L 48 PoE+ 4x 1G
1X 1 2X 1 3X 24 X 25 X 3 6X 3 7X 4 8 X G 1 G 2 G 3 G 4
1x UTP
Legenda
Nx MM Nx SM
Nx STP/UTP
Počet vícevidových propojů Počet jednovidových propojů Počet metalických propojů
LAN blok, Praha 5, Peroutkova, 263/61
Osazení směrovači: 1 ks C9200L-48P-4X-E, 10 ks C9200L-48P-4G-E Schéma:
Místnost 320
Portů: 288
Racků: 3
Catalyst 9200L 48P oE+ 4x1G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
Catalyst 9200L 48P oE+ 4x1G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
C atlayst 9200L48 PoE+ 4x1G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
C atlayst 9200L48 PoE+ 4x1G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
Catalyst 9200L 48P oE+ 4x1G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
Catalyst 9200L 48P oE+ 4x1G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
C atlayst 9200L48 PoE+ 4x1G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
C atlayst 9200L48 PoE+ 4x1G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
C atlayst 9200L48 PoE+ 4x1G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
C atlayst 9200L48 PoE+ 4x1G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
C atlayst 9200L48 PoE+ 4x1G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
Místnost 345 - centrální serverovna
Portů: 240
Racků: 2
2x MM SX
Legenda
Nx MM Nx SM
Nx STP/UTP
Počet vícevidových propojů Počet jednovidových propojů Počet metalických propojů
LAN blok, Praha 8, Thamova, 291/27
Osazení směrovači: 1 ks C9200L-48P-4X-E, 5 ks C9200L-48P-4G-E Schéma:
Kancelář 209
Portů: 96
Racků: 1
C atalys t 9200L48 PoE+ 4x 1G
1 X 1 2X 1 3X 24 X 2 5X 36 X 37 X 4 8X
G 1 G 2 G 3 G 4
C atalys t 9200L48 PoE+ 4x 1G
4 8X G 1 G 2 G 3 G 4
1 X 1 2X 1 3X
24 X 2 5X
36 X 37 X
Cataly s t 9200L48 PoE+ 4x 1G
48X G 1 G 2 G 3 G 4
1 X
1 2X 1 3X
2 4X 2 5X
3 6X 3 7X
Cataly s t 9200L48 PoE+ 4x 1G
48X G 1 G 2 G 3 G 4
1 X
1 2X 1 3X
2 4X 2 5X
3 6X 3 7X
Cataly s t 9200L48 PoE+ 4x 1G
48X G 1 G 2 G 3 G 4
1 X
1 2X 1 3X
2 4X 2 5X
3 6X 3 7X
Cataly s t 9200L48 PoE+ 4x 1G
48X G 1 G 2 G 3 G 4
1 X
1 2X 1 3X
2 4X 2 5X
3 6X 3 7X
Centrální serverovna
Portů: 192
Racků: 1
2x MM SX
Legenda
Nx MM Nx SM
Nx STP/UTP
Počet vícevidových propojů Počet jednovidových propojů Počet metalických propojů
Internet
WAN
Catalyst 92 00L4 8P oE+ 4x1G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
Catalyst 92 00L4 8P oE+ 4x1G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
Catalyst 92 00L4 8P oE+ 4x1G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
Legenda
Nx MM Nx SM
Nx STP/UTP
Počet vícevidových propojů
Počet jednovidových propojů Počet metalických propojů
Místnost 510A - serverovna
Portů: 144
Racků: 2
2x UTP
LAN blok, Přerov, Wurmova, 2831/4 Osazení směrovači: 4 ks C9200L-48P-4G-E Schéma:
Místnost 422
Portů: 48
Racků: 1
Ca tlayst 9200L 48 PoE + 4x1G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
MPLS
1x UTP
Zakončení WAN
Portů: 48
Racků: 1
Ca talys t 92 00L 48 PoE+ 4x1 G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
Legenda
Nx MM
Počet vícevidových propojů
Počet jednovidových propojů Počet metalických propojů
Ca talys t 92 00L 48 PoE+ 4x1 G
Nx SM
Nx STP/UTP
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
Ca talys t 92 00L 48 PoE+ 4x1 G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
Centrální serverovna
Portů: 96
Racků: 5
2x MM SX
LAN blok, Rokycany, Malé náměstí, 118 Osazení směrovači: 3 ks C9200L-48P-4G-E Schéma:
LAN blok, Rumburk, Františka Nohy, 845/2 Osazení směrovači: 2 ks C9200L-48P-4G-E Schéma:
Internet
WAN
C atalyst 9200L 48 Po E+ 4x1G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
C atalyst 9200L 48 Po E+ 4x1G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
Místnost 302/1 - serverovna Portů: 96
Racků: 2
Legenda
Nx MM
Nx SM
Nx STP/UTP
Počet vícevidových propojů Počet jednovidových propojů Počet metalických propojů
LAN blok, Slavkov u Brna, Paxxxxxxx xxxxxxx 00 Xsazení směrovači: 1 ks C9200L-48P-4G-E Schéma:
Internet
???
MPLS
???
Catalyst 9200L 48 PoE+ 4x1G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
Bučovice, Slovenská 910 Místnost 41 - serverovna Portů: 48
Racků: 2
Legenda
Nx MM
Nx SM
Nx STP/UTP
Počet vícevidových propojů Počet jednovidových propojů Počet metalických propojů
LAN blok, Soběslav, Wilsonova, 113 Osazení směrovači: 2 ks C9200L-48P-4G-E Schéma:
Internet
Cat layst 9200L 48P oE+ 4x1 G
UTP
1X
12X 13X
24X 25X
36X 37X 48X G 1 G 2 G 3 G 4
Cat layst 9200L 48P oE+ 4x1 G
1X
12X 13X
24X 25X
36X 37X
48X G 1 G 2 G 3 G 4
MPLS
UTP
Místnost A214 - serverovna
Portů: 96
Racků: 1
Legenda
Nx MM
Nx SM
Nx STP/UTP
Počet vícevidových propojů Počet jednovidových propojů Počet metalických propojů
LAN blok, Vyškov, Palánek, 1
C atalyst 920 0L 48 P oE+ 4x1G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
C atalyst 920 0L 48 P oE+ 4x1G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
C atalyst 920 0L 48 P oE+ 4x1G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
C atalyst 920 0L 48 P oE+ 4x1G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
Místnost 415b - serverovna Portů: 192
Racků: 2
Místnost 2.15 Det. Pracoviště
Masarykovo nám. 165
Portů: 48
Racků: 1
Catalyst 92 00L4 8P oE+ 4x1G
1X 12X 13X 24X 25X 36X 37X 48X G 1 G 2 G 3 G 4
60GHz
Osazení směrovači: 5 ks C9200L-48P-4G-E Schéma:
Internet
???
MPLS
???
Legenda
Nx MM
Nx SM
Nx STP/UTP
x GHz
Počet vícevidových propojů Počet jednovidových propojů Počet metalických propojů Nosná frekvence rádiového spoje
Podrobný seznam komponent použitých v pilotním řešení LAN bloku je vložen níže v části „Podrobný soupis komponent pro pilot“.
WLAN blok
WLAN blok využívá access pointů Cisco Catalyst C9105AXI-E řízených redundantní dvojicí kontrolérů Catalyst 9800-CL. Kontroléry budou umístěny v datových centrech, viz kapitola „Centrální komponenty, management a správa“.
Centrální monitoring je zajištěn management nástrojem Cisco DNAC.
Podrobné vlastnosti navrženého modelu access pointu jsou uvedeny v následujícím datovém listu: xxxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxxxxx/xxxxxxxxxx/xxxxxxxx/xxxxxxxx-0000xx-xxxxxx-xxxxxx/xxxxxxxxx- c78-744062.html
Řešení umožňuje konfiguraci access pointů (AP) v několika módech, z nichž v rámci projektu lze využít dva:
- Local (default) mód, kdy AP naváže CAPWAP tunely proti kontroléru, kdy datový provoz je bridgován na kontrolér a z kontroléru směrován do sítě.
- FlexConnect mód, kdy datový provoz je přeposílán do sítě lokálně. Konfigurace je možná per SSID s mapováním do 802.1Q vlan.
Určení módu bude záviset i na bezpečnostních požadavcích, předpokládaném objemu bezdrátové komunikace a zvoleném způsobu komunikace (např. pokud bude „guest“ provoz odcházet do internetu lokální přípojkou na pobočce, může pro dané guest SSID být využit FlexConnect mód).
Cílové počty a umístění jednotlivých access pointů v lokalitách budou určeny na základě rekognoskací, provedených v rámci pilotního projektu. Pro nacenění je na základě požadavků ZD uvažováno s následujícími počty access pointů v jednotlivých pilotních lokalitách:
č. | Adresa | Typ lok. | Počet kusů C9105AXI- E |
1 | Beroun, Tyršova, 1634 | CX | 2 |
2 | České Budějovice, Mánesova, 1803/3a | A | 14 |
3 | Dačice, Komenského, 39/V | D | 1 |
4 | Děčín, Řetězová, 1369/2a | CX | 2 |
5 | Dobruška, Xxxxxxxxx xxxxxxx, 00 | X | 0 |
6 | Dobříš, Mírové náměstí 1551 | D | 1 |
7 | Frýdek-Místek, Na Poříčí, 3208 | B | 8 |
8 | Frýdlant nad Ostravicí, Spořitelní, 238 | D | 1 |
9 | Hranice, Nádražní, 332 | C | 2 |
10 | Jihlava, Tolstého 1455/2 | A | 14 |
11 | Jindřichův Hradec, Česká, 1284/II | C | 2 |
12 | Klatovy, Machníkova, 129 | B | 8 |
13 | Kralovice, Náměstí Osvobození, 886 | D | 1 |
14 | Nový Bor, T. G. Masaryka 46, 473 01 | D | 1 |
15 | Plzeň, Hálkova, 2790/14 | A | 14 |
16 | Praha 10, Petrohradská, 1486/6 | A | 14 |
17 | Praha 4, Na Pankráci, 1685/17,19 | A | 14 |
18 | Praha 5, Peroutkova, 263/61 | A | 14 |
19 | Praha 8, Thamova, 291/27 | B | 8 |
20 | Přerov, Wurmova, 2831/4 | C | 2 |
00 | Xxxxxxxx, Xxxx xxxxxxx, 000 | XX | 0 |
22 | Xxxxxxx, Xxxxxxxxx Xxxx, 845/2 | C | 2 |
23 | Slavkov u Brna, Xxxxxxxxx xxxxxxx 00 | X | 0 |
24 | Soběslav, Wilsonova, 113 | C | 2 |
25 | Vyškov, Palánek, 1 | C | 2 |
Podrobný seznam komponent použitých v pilotním řešení WLAN bloku je vložen níže v části „Podrobný soupis komponent pro pilot“
Centrální komponenty, management a správa
V rámci pilotního projektu budou do DC Vápenka a DC Zeleneč umístěny centrální řídicí a servisní komponenty celého řešení
Cisco DNA Center (DNAC) – centrální management pro campus zařízení (přepínače a access pointy) ve všech lokalitách
Cisco SD-WAN kontroléry – redundantní centrální kontroléry vBond a vSmart a centrální management vManage pro SD-WAN část řešení
Windows Server s Remote Desktop Services – jump server
Syslog-ng – logovací server
Cisco WLC – redundantní wireless kontrolery Catalyst 9800-CL
Cisco Identity Service Engine (ISE) – redundantní kontroléry bezpečnostních politik celého řešení, včetně TACACS+ služby
Cisco DNAC a ISE poběží na dedikovaných appliance výrobce, ostatní komponenty poběží ve virtualizovaném prostředí KVM na dvou serverech Cisco UCS.
Předpokládané umístění centrálních komponent v obou DC (může se změnit na základě projektu):
Komponenta | DC Vápenka | DC Zeleneč |
Cisco UCS Server s KVM | x | x |
vManage/vBond/vSmart | x | x |
Syslog-ng | - | x |
Jump server | x | - |
Cisco WLC kontrolér | x | x |
Cisco DNAC | x | - |
Cisco ISE | x | x |
Virtualizace pro řídicí a servisní komponenty
Pro běh řídicích a servisních komponent v obou DC budou určeny dva fyzické 1U rack servery Cisco UCS C220-M5, každý s 96 GB DRAM, 2x1, 8 TB SAS HDD, 2x480 GB SATA SSD a 2x10 core
procesorem Intel 4210. Disky budou řízeny RAID kontrolérem. Servery budou do okolní infrastruktury připojeny přes 2x10 Gb SR Ethernet.
Podrobné vlastnosti serverů použitých v řešení je zde: xxxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxxxxx/xxxxxxxxxx/xxxxxxx-xxxxxxx-xxxxxxxxx/xxx-x-xxxxxx-xxxx- servers/datasheet-c78-739281.html
Tyto fyzické servery jsou určeny pro běh následujících řídicích a servisních komponent:
SDWAN management a kontroléry Cisco vManage/vBond/vSmart
WLAN kontroléry Cisco Catalyst 9800-CL
Log kolektor syslog-ng
Jump server Windows RDS
Fyzické servery budou pro tyto účely virtualizovány na technologii KVM. Na serverech poběží OS Ubuntu 20.04 LTS.
Cisco DNA Center
Cisco DNA Center (DNAC) je komplexní centrální nástroj určený pro řízení a monitoring LAN/WLAN/WAN. V nabízeném řešení bude ovšem využit jen pro monitoring a řízení campus části (LAN/WLAN). SD-WAN část nabízeného řešení bude řízena vlastním management nástrojem (viz níže).
Jednotlivá zařízení v rámci nabízeného řešení budou pro DNAC licencována DNA předplatným. DNA Center bude dodáván jako 1U fyzická appliance v „large“ verzi (DN2-HW-APL-L).
Podrobné vlastnosti DNAC jsou uvedeny na následujícím odkazu: xxxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxxxxx/xxxxxxxxxx/xxxxx-xxxxxxx-xxxxxxxxxx/xxx-xxxxxx/xx-00-xxx- center-data-sheet-cte-en.html
SD-WAN kontrolery
Centrální komponenty Cisco SD-WAN umístěné v obou datových centrech jsou:
vBond – komponenta, která zajišťuje úvodní autentizaci WAN směrovačů při připojování do SD- WAN řešení a orchestruje komunikaci mezi všemi komponentami SD-WAN řešení (vSmart, vManage a WAN směrovače)
vSmart – komponenta, představující centralizovaný control plane SD-WAN řešení
vManage – centralizovaný management SD-WAN řešení
Všechny tyto komponenty poběží on-premise na UCS serverech, které jsou součástí nabízeného řešení v KVM virtualizaci.
vBond a vSmart budou nasazeny redundantně napříč oběma DC v active/active režimu. V případě vBond kontrolérů to bude zajištěno konfigurací jediného FQDN záznamu pro oba kontroléry. V případě vSmart kontrolérů budou oba vSmart kontroléry peerovat navzájem a WAN směrovače budou mít nativně peering také s oběma vSmart kontroléry.
vManage předpokládáme nasadit také redundantně v active/standby režimu, kdy umístění aktivní instance navrhujeme do DC Vápenka.
Podrobný popis Cisco SD-WAN řešení je na následujícím odkazu:
xxxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxxxxxx/xxxxxxxxxx/xxxxxxxxxx-xxxxxxxx/xx-xxx/xx-00-xx-xxx-xx-xxx- en.html
WLAN kontroléry
V rámci pilotního projektu bude implementována redundantní dvojice virtuálních kontrolérů Cisco Catalyst 9800-CL. Kontroléry poběží na UCS serverech, nad KVM, a to v „medium deployment“ implementaci. Medium deployment podporuje připojení až 3000 access pointů (AP).
Při nasazení AP v lokálním módu, kdy datový provoz teče CAPWAP tunelem přes kontroléry, poskytuje řešení propustnost kolem 2 Gb/s (maximální udávaná propustnost medium deploymentu je 5 Gb/s, viz datový list). Nicméně určení způsobu nasazení AP a využití lokálního nebo FlexConnect módu bude předmětem pilotního projektu.
Podrobné vlastnosti nabízeného WLAN kontroléru jsou uvedeny zde: xxxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxxxxx/xxxxxxxxxx/xxxxxxxx/xxxxxxxx-0000-xx-xxxxxxxx-xxxxxxxxxx- cloud/nb-06-cat9800-cl-cloud-wirel-data-sheet-ctp-en.html
Jump Server
Jump Server poběží ve VM nad virtualizovaným servisním a management serverem Cisco UCS. Dimenzace HW prostředků pro tento server bude následující:
2 vCPU, 16 GB RAM, 200 GB HDD
Operačním systémem na tomto VM bude Windows Server 2019 Standard Edition. Pro vzdálený přístup k serveru bude využit RDP protokol, a k tomuto účelu bude server vybaven deseti licencemi pro konkurenční Remote Desktop Services.
Na Jump Serveru budou nainstalovány potřebné nástroje/prohlížeče pro přístup na ovládací prvky infrastruktury (DNAC, vManage, …) a případně doplňkové a podpůrné nástroje pro správu infrastruktury (SSH klient, Postman API klient).
Log server
Pro Log server dedikujeme další VM na fyzickém servisním a management serveru UCS. HW prostředky vyhrazené pro tento účel budou následující:
2 vCPU, 8 GB RAM, 1 TB HDD
Operačním systémem bude Ubuntu Linux, na kterém poběží server sloužící pro sběr logů (syslog-ng Open Source Edition).
Datový list syslog-ng je zde:
xxxxx://xxx.xxxxxx-xx.xxx/xxxxxxxxx/xxxxxx-xx-xxxx-xxxxxx-xxxxxxx-xxxxxxxxx-000000.xxx
Směrovače ve WAN budou konfigurovány přes logging template pro persistent logging. To znamená, že i když směrovač nebude schopen své logy poslat na Log server z důvodů nedostupnosti lokality, bude tyto logy stále uschovávat ve file systému na lokální flash paměti. Přepínače budou konfigurovány pro logování do souboru na lokálním flashfs. Na Log serveru poběží Python script, který se bude pravidelně každou minutu dotazovat na dostupnost zařízení ve WAN přes API komponenty vManage, konkrétně dotazem GET /device /unreachable. Na každou nedostupnou lokalitu se po jejím opětovném zviditelnění připojí protokolem SSH, z každého zařízení získá directory listing uložených logů a přes SCP příslušné chybějící logy stáhne k sobě. Následně použitím raw syslog zpráv tyto chybějící záznamy odešle do systému pro sběr logů tak, aby zůstaly zachovány původní časové známky.
Cisco ISE
Cisco ISE bude zajišťovat AAA služby a vynucovat bezpečnostní politiky pro celé řešení. V budoucnu bude využito jako centrální komponenta pro řízení přístupu přes 802.1X.
Jako jedna z kritických komponent řešení je navržena ve vysoké dostupnosti. V nabídce je zahrnuto 6 kusů 1U appliance Cisco SNS-3655 pro „large“ deployment s dedikovanými appliance pro jednotlivé tzv. persony v rámci ISE nasazení. Předpokládáme umístění vždy tří a tří kusů appliance v každém DC. Dvě appliance budou dedikované jako ISE Policy Service Node (PSN).
Součástí nabídky je požadovaných 60 000 předplatných pro licencování AAA přístupů vč. 802.1X, Web autentizace, MACSec, SAML, Guest portálu a dalších možností vynucování bezpečnostních politik. Na obou dedikovaných PSN bude navíc zalicencován TACACS+ pro administraci zařízení.
Vlastnosti a možnosti Cisco ISE jsou detailněji popsány v následujícím produktovém listu:
xxxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxxxxx/xxxxxxxxxx/xxxxxxxx/xxxxxxxx-xxxxxxxx-xxxxxx/xxxx_xxxxx_x00- 656174.html
Parametry appliance Cisco SNS-3655 jsou uvedeny v následujícím produktovém listu:
xxxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxxxxx/xxxxxxxxxx/xxxxxxxx/xxxxxxxx-xxxxxxxx-xxxxxx/xxxxxxxxx-x00- 726524.html
Souhrnný soupis komponent pro pilot
Označení výrobce | Popis prvku | Počet kusů |
C9200L-48P- 4X-E-COVID | Catalyst 9200L 48-port PoE+, 4 x 10G, Network Essentials, redund. AC zdroj | 10 |
C9200L-48P- 4X-E-COVID | Catalyst 9200L 48-port PoE+, 4 x 10G, Network Essentials | 1 |
C9200L-48P- 4G-E-COVID | Catalyst 9200L 48-port PoE+, 4 x 1G, Network Essentials, redund. AC zdroj | 10 |
C9200L-48P- 4G-E-COVID | Catalyst 9200L 48-port PoE+, 4 x 1G, Network Essentials | 119 |
C9200L-24P- 4G-E-COVID | Catalyst 9200L 24-port PoE+, 4 x 1G, Network Essentials | 2 |
GLC-SX- MMD=- COVID | 1000BASE-SX SFP transceiver module, MMF, 850nm, DOM | 52 |
GLC-LH- SMD=-COVID | 1000BASE-LX/LH SFP transceiver module, MMF/SMF, 1310nm, DOM | 2 |
GLC-TE=- COVID | 1000BASE-T SFP transceiver module for Category 5 copper wire | 56 |
C8500L- 8S4X-COVID | Cisco Catalyst 8500 Series 12-port SFP+, 8x1GE,4x10GE | 2 |
C8300-1N1S- 4T2X-COVID | Cisco Catalyst C8300- 1N1S-4T2X Router | 2 |
C8300-1N1S- 6T-COVID | Cisco Catalyst C8300- 1N1S-6T Router + NIM-1X + P-LTEA | 6 |
C8300-1N1S- 6T-COVID | Cisco Catalyst C8300- 1N1S-6T Router + P-LTEA | 13 |
C1121- 4PLTEP- COVID | ISR 1100 4P Dual GE SFP Router Pluggable SMS/GPS + P-LTE-GB | 6 |
C9105AXI-E- COVID | Cisco Catalyst 9105AX Series | 134 |
C9800-CL- K9-COVID | Cisco Catalyst 9800-CL Wireless Controller | 2 |
DN2-HW- APL-L | Cisco DNA Center Appliance (Gen 2) - 56 Core | 1 |
SFP-H10GB- ACU7M= | Active Twinax cable assembly, 7m | 2 |
UCSC-C220- M5SX-COVID | UCS C220 M5 SFF 10 HD w/o CPU, mem, HD, PCIe, PSU | 2 |
SNS-3655- K9-COVID | Medium Secure Network Server for ISE Applications | 6 |
ISE-E-LIC- COVID | Cisco Identity Service Engine Essentials Subscription | 60000 |
L-ISE- TACACS- ND=-COVID | Cisco ISE Device Admin Node License | 2 |
Návrh harmonogramu realizace Pilotního projektu
Uvedený harmonogram je pouze orientační, termín zahájení/dokončení jednotlivých částí závisí na poskytovaných součinnostech. Předpokládáme součinnost v takových termínech, které budou oboustranně dohodnuty v příslušných projektových dokumentech.
Popis | Termín zahájení |
Nabití účinnosti smlouvy = Zahájení projektu | T |
Přípravná fáze pilotního projektu | |
Provedení místního šetření pro vytvoření Řídící dokumentace = rekognoskace lokalit | T + 1 měsíc |
Vytvoření a předání Řídící dokumentace k zahájení akceptační procedury | T + 3 měsíce |
Akceptace Řídící dokumentace, Objednávka HW | T + 4 měsíce |
Realizaci úvodního školení a poskytnutí konzultací v sídle Objednatele před zahájením Pilotního projektu | T + 5 měsíců |
Dodání potřebného HW | T + 5 měsíců |
Realizace pilotního projektu | |
Zahájení realizace pilotního projektu | T + 6 měsíců |
Implementace centrálních komponent a systémů řízení, monitoringu a správy v DC Vápenka a Zeleneč, vč. implementace WAN zařízení, vč. akceptačních testů | T + 7 měsíců |
Migrace (připojení) datových sálů do SD WAN řešení, vč. akceptačních testů | T + 8 měsíce |
Postupná implementace LAN/WLAN řešení v ostatních pilotních lokalitách a jejich migrace do SD WAN řešení, vč. akceptačních testů | T + 9,5 měsíců |
Popis | Termín zahájení |
Aktualizace řídící (provozní) dokumentace | T + 10 měsíců |
Akceptace pilotního projektu a předání do rutinního provozu | T + 11 měsíců |
Návrh realizace a řízení pilotního projektu
Naše společnost klade velký důraz na řízení projektů. Projekt bude řízen naším projektovým manažerem, který je držitelem mezinárodní certifikace IPMA (International Project Management Association).
Životní cyklus, etapy a fáze pilotního projektu
Projektové řízení je standardně zajišťováno základním životním cyklem projektu, který je rozdělen do jednotlivých projektových etap. Tyto etapy v sobě obsahují dílčí výstupy projektu, které jsou dohodnuté se zákazníkem. Současně má každá etapa dopředu určena akceptační kritéria, po jejichž splnění je možné považovat danou etapu za ukončenou. Ke každé etapě rovněž definujeme ve spolupráci se zákazníkem jeho participaci (součinnost).
ETAPA
Fáze Ukončení
Fáze Realizace
Fáze Inicializace
Výstup projektu
Fáze Plánování
Řízení rizik pilotního projektu
V průběhu celého životního cyklu pilotního projektu se také identifikují a řídí rizika související zejména s:
předmětem a kvalitou dodávky, resp. implementace,
termíny projektu,
cenou, resp. pracností,
kapacitním zajištěním zdrojů.
Tato rizika se zaznamenávají již v první etapě do Projektové dokumentace, kde jsou následně aktualizována dle potřeby a pracuje se s nimi dle definovaného Risk management plánu. Tento plán v sobě zahrnuje informace týkající se postupu identifikace rizik, metrik ohodnocení a stanovení strategie pro vlastní práci s nimi.
Řízení změn na pilotním projektu
V průběhu pilotního projektu se může vyskytnout celá řada změn, a z toho důvodu je nutné na projektu stanovit proces Řízení změn, které mají vliv zejména na:
předmět a kvalitu dodávky, resp. implementace,
termíny projektu,
cenu, resp. pracnost,
kapacitní zajištění zdrojů (interních i externích).
Tyto změny jsou realizovány v rámci definovaného a odsouhlaseného plánu Změnového řízení.
Komunikace a řízení pilotního projektu
Jedním z nejdůležitějších prvků projektového řízení je zajištění správné komunikace týmů a jednotlivců pracujících na pilotním projektu. Projektový manažer hned v počátku pilotního projektu nastavuje spolu se zákazníkem jasná pravidla projektové komunikace. Dohodnutá pravidla jsou sumarizována v projektové dokumentaci.
Prostředky pro komunikaci v rámci plánu kvality:
Zápis z jednání | Xxxx vypracován po každém jednání v rámci projektu a poté distribuován na všechny členy týmu. |
Zpráva o průběhu projektu | Vypracuje projektový manažer ANECT na základě požadavku řídicí komise projektu. |
Požadavek na změnu | Předkládá projektový manažer zákazníka, o jeho zapracování/odmítnutí rozhoduje řídicí komise. |
Předávací protokol | Bude vytvořen vždy po předání komponenty projektu, dokumentace či jiné činnosti, kterou je potřeba zdokumentovat. Zákazník svým podpisem stvrzuje převzetí/provedení činnosti. V případě neshody musí být stanoveny podmínky jejího odstranění. |
Protokol o dohodě projektových manažerů | Bude obsahovat dohody a ujednání mezi projektovým manažerem ANECT a zákazníka. |
Organizace projektu
Řízení projektu probíhá prostřednictvím standardní organizační struktury projektu:
Řídící výbor Sponzoři projektu
Projektoví vedoucí
Výkonný výbor Vedoucí projektu (Zákazník) Vedoucí projektu (ANECT)
Přizvaní vedoucí týmů
Projektové týmy Vedoucí projektového týmu
Členové projektového týmu (ANECT)
Členové projektového týmu (Zákazník)
V rámci pilotního projektu budou vypracovány následující dokumenty:
Zpráva o hodnocení rizik a plán zvládání rizik
Detailní harmonogram realizace
Podrobný harmonogram dodávek HW a SW
Definice komunikačních kanálů ServiceDesk
Vymezení požadavků na součinnost Objednatele a případných třetích stran při realizaci dodávky
Detailní technická dokumentace budoucího stavu pro pilotní projekt – Low Level Design (LLD)
Popis variabilní fáze projektu
Popis technického řešení – lokality typu A
Pro lokality typu A jsou k dispozici plánky lokalit v Příloze č. 12 ZD (pdf/visio). Na základě informací v ZD a následného Vysvětlení je řešení a nacenění pro lokality typu A provedeno individuálně podle těchto plánků.
WAN blok
WAN blok je součástí Cisco SD-WAN řešení. V lokalitách typu A je řešen jednotně a je reprezentován směrovačem Catalyst 8300-1N1S-6T s redundantními zdroji. Směrovač je vybaven 6x1 Gbps ethernet rozhraními a navíc i 1x10 Gb modulem NIM-1X pro připojení do LAN bloku. Dále je vybaven modulem s LTE modemem pro případné připojení do internetu. Udávaná propustnost při IMIX provozu je 1750 Mb/s.
Podrobný popis vlastností Catalyst 8300-1N1S-6T je součástí následujícího datového listu:
xxxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxxxxx/xxxxxxxxxx/xxxxxxx/xxxxxxxx-0000-xxxxxx-xxxx- platforms/datasheet-c78-744088.html
Správa a monitoring je v rámci SD-WAN návrhu zajištěna centrálně redundantní komponentou vManage, umístěnou v lokalitách datových center.
LAN blok
LAN blok je navržen individuálně na základě plánků z Přílohy č. 12 ZD. Rozdělovník přepínačů pro jednotlivé nepilotní lokality typu A je uveden níže v tabulce.
Řešení vždy zahrnuje agregační přepínač, typicky ve formě L2/L3 stohu access/agregačních přepínačů Catalyst 9200L. Minimálně jeden z nich, Catalyst C9200L-48P-4X (48x1 Gbps + 4x1/10 Gbps SFP uplink), je navržen pro roli agregačního přepínače a je navržen s redundantními zdroji.
Ve vybraných velkých lokalitách je nad rámce požadavků ZD použit dedikovaný 10 Gb agregační přepínač (či přepínače) Catalyst 9500 s 16x nebo 24x10 Gb/s SFP tak, aby se zajistil smysluplnější návrh LAN bloku. Rozhraní Catalyst 9500 jsou vždy navíc oproti požadovaným počtům přístupových portů a slouží výhradně k agregaci přístupových přepínačů v dané lokalitě. Jde o lokality: Brno, nám. Svobody; Brno-střed, Příkop; Xxxxx 0, Xxxxxxxx; Xxxxx 0, Xxxxxxxxx; Xxxxx 0, nábřeží Kapitána Jaroše.
V případě access přepínače jde vždy o přepínače Catalyst 9200L, ve variantě s 10 Gb (C9200L-48P- 4X) nebo 1 Gb uplinky (C9200L-48P-4G). Varianta byla v návrhu zvolena podle předpokládaného počtu přepínačů ve stohu, vzhledem k možné redundanci připojení mezi stohy na agregační přepínače, anebo i dle typu kabelů (metalický vs. optický), které jsou k dispozici mezi místnostmi.
Přepínače Catalyst 9200L jsou stohovatelné (maximálně 8 přepínačů ve stohu) s dedikovaným propojením stohu o kapacitě 80 Gb/s. Všechny zdroje přepínačů v roli přístupových (access) nebo v roli smíšené access/agregační jsou vybavené zdroji podporující PoE+, v případě 48portových přepínačů s PoE budgetem 740 W.
Podrobný popis vlastností přepínačů Catalyst 9200L je uveden v tomto datovém listu:
xxxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxxxxx/xxxxxxxxxx/xxxxxxxx/xxxxxxxx-0000-xxxxxx-xxxxxxxx/xx-00- cat9200-ser-data-sheet-cte-en.html
Podrobný popis vlastností dedikovaných agregačních přepínačů Catalyst 9500 je uveden zde:
xxxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxxxxx/xxxxxxxxxx/xxxxxxxx/xxxxxxxx-0000-xxxxxx-xxxxxxxx/xx-00- cat9500-ser-data-sheet-cte-en.html
Správa a monitoring LAN bloku je v rámci řešení zajištěna centrálně komponentou Cisco DNA Center, umístěnou v lokalitě datového centra.
WLAN blok
WLAN blok lokalit typu A je řešen jednotně a je reprezentován access pointem (AP) Catalyst 9105AXI. Navržené AP podporuje standard 802.11ax (tzv. Wi-Fi 6). Umístění AP v rámci lokality bude určeno na základě místního šetření a připevnění se předpokládá typicky na strop. Připojení AP do síťové infrastruktury (do LAN bloku) počítá s kabeláží připravenou Zadavatelem.
Výchozí nastavení AP uvažuje s uživatelskou komunikací CAPWAP tunelem na centrální kontroléry, nicméně finální nastavení bude určeno v rámci pilotního projektu..
Pro nacenění je dle požadavků ZD uvažováno se 14 kusy access pointů na lokalitu typu A. Podrobný popis navrženého modelu access pointu je v následujícím datovém listu:
xxxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxxxxx/xxxxxxxxxx/xxxxxxxx/xxxxxxxx-0000xx-xxxxxx-xxxxxx/xxxxxxxxx- c78-744062.html
Správa a monitoring WLAN bloku (stejně jako LAN bloku) je v rámci řešení zajištěna centrálně komponentou Cisco DNA Center.
Rozdělovník komponent v nepilotních lokalitách typu A
Rozpis předpokládaného osazení nepilotních lokalit typu A jednotlivými prvky WAN, LAN a WLAN bloku je uveden v následující tabulce (pilotní lokality typu A jsou uvedeny v rámci popisu Pilotního projektu).
Adresa lokality | Naceněné počty a kusy prvků | |
Brno, nám. | WAN: 1 ks C8300-1N1S-6T + NIM-1X (10 Gb) + P- | |
Svobody, 98/4 | LTEA (LTE modem) | |
LAN: 1 ks C9500-16X-E (24x10Gb, red. zdroj), 23 ks | ||
C9200L-48P-4G | ||
WLAN: 14 ks C9105AXI | ||
Brno-Střed, | WAN: 1 ks C8300-1N1S-6T + NIM-1X (10 Gb) + P- | |
Masarykova | LTEA (LTE modem) | |
427/31 | LAN: 2 ks C9200L-48P-4X (red. zdroj), 4 ks C9200L- | |
48P-4X, 10 ks C9200L-48P-4G | ||
WLAN: 14 ks C9105AXI | ||
Brno-Střed, | WAN: 1 ks C8300-1N1S-6T + NIM-1X (10 Gb) + P- | |
Příkop, 819/25 | LTEA (LTE modem) | |
LAN: 1 ks C9500-16X-E (red. zdroj), 20 ks C9200L- | ||
48P-4G | ||
WLAN: 14 ks C9105AXI | ||
Brno-střed, | WAN: 1 ks C8300-1N1S-6T + NIM-1X (10 Gb) + P- | |
Šumavská, | LTEA (LTE modem) | |
519/35 | LAN: 1 ks C9200L-48P-4X (red. zdroj), 10 ks C9200L- | |
48P-4G | ||
WLAN: 14 ks C9105AXI | ||
České | WAN: 1 ks C8300-1N1S-6T + NIM-1X (10 Gb) + P- | |
Budějovice, F. | LTEA (LTE modem) | |
X. Xxxxxxxxx, | LAN: 1 ks C9200L-48P-4X (red. zdroj), 9 ks C9200L- | |
5/1 | 48P-4G | |
WLAN: 14 ks C9105AXI | ||
Hradec | WAN: 1 ks C8300-1N1S-6T + NIM-1X (10 Gb) + P- | |
Králové, | LTEA (LTE modem) | |
Habrmannova, | LAN: 1 ks C9200L-48P-4X (red. zdroj), 1 ks C9200L- | |
19 | 48P-4G | |
WLAN: 14 ks C9105AXI | ||
Hradec | WAN: 1 ks C8300-1N1S-6T + NIM-1X (10 Gb) + P- | |
Králové, | LTEA (LTE modem) | |
Horova, 17 | LAN: 1 ks C9200L-48P-4X (red. zdroj), 7 ks C9200L- | |
48P-4G | ||
WLAN: 14 ks C9105AXI | ||
Chotilsko, | WAN: 1 ks C8300-1N1S-6T + NIM-1X (10 Gb) + P- | |
Smilovice, 90 | LTEA (LTE modem) | |
LAN: 4 ks C9200L-48P-4X (z toho 1 ks s red. zdrojem), | ||
9 ks C9200L-48P-4G | ||
WLAN: 14 ks C9105AXI | ||
Karlovy Vary, | WAN: 1ks C8300-1N1S-6T + NIM-1X (10Gb) + P-LTEA | |
Krymská, 2a | (LTE modem) | |
LAN: 1ks C9200L-48P-4X (red.zdroj), 5ks C9200L-48P- | ||
4G | ||
WLAN: 14ks C9105AXI |