Eléments actifs du réseau informatique de la MRV - Fourniture, configuration, installation et maintenance

Transcription

1 Eléments actifs du réseau informatique de la MRV Fourniture, CCTP AAPC Pôle de Recherche et d Enseignement Supérieur Centre Informatique de l Université de Toulouse Eléments actifs du réseau informatique de la MRV - Fourniture, configuration, installation et maintenance Marché réseau Cahier des Clauses Techniques Particulières (CCTP) Auteur Entité Fonction Jacques REBISCOUL PRES CIUT Directeur Francis DELBOS PRES-CIUT Ingénieur Systèmes et Réseaux Validation Entité Fonction Jacques-Antoine DARRICAU SATT Alexeï STOUKOV AISE Responsable informatique Christian SCHMIDT IPST-CNAM Responsable informatique Jean RAFENOMANJATO PRES Chargé de mission

2 Table des matières 1. Introduction Description de la MRV et du câblage Situation de la MRV Description des bâtiments Salles de brassage Baie de brassage Connexions extérieures Réseau REMIP et RENATER Réseau de téléphonie publique Occupants de la MRV Architecture générale Marché réseau Fonctionnalités demandées Connexion au réseau Prises RJ45 utilisateur Les prises standards Les prises téléphones Les prises WIFI Les connexions Fibre Optique entre répartiteurs Les prises vers serveurs Autres prises Utilisation des VLANs Sécurité des VLANs Fonctions supportées par les commutateurs WIFI Connexion RENATER et REMIP Administration et configuration du réseau Support de la supervision Icinga Implantation des matériels Support et maintenance Formation et transfert de compétences / 28

3 6. Marché sécurité : Sécurisation du réseau Fonctions demandées Dimensionnement Interface avec la supervision Support et maintenance Formation et transfert de compétences Matériel réutilisable Mission du fournisseur Organisation Etapes de réalisation Spécifications Installation et configuration hors supervision Mise en place de la supervision Formation et transfert de compétence VABF VSR Planning prévisionnel Organisation en phase projet Organisation projet PRES Organisation projet prestataire Réunions de suivi Gestion des problèmes Gestion des demandes Changement de prestataire Annexes Plans de la MRV Plans des armoires de brassage / 28

4 1. Introduction La Maison de la Recherche et de la Valorisation (MRV) a fait l objet d un marché de restauration avec câblage du réseau informatique. L objet de cet appel d offre est la fourniture, l installation, la maintenance des équipements actifs du réseau informatique ainsi que la formation des équipes d exploitation. Cet appel d offre repose sur deux marchés : Marché réseau : o Connecter en réseau les différentes prises et serveurs, o Assurer une couverture WIFI de certaines parties de la MRV, o Fournir les outils nécessaires à la configuration et à l observation, o Assurer la connexion au réseau RENATER et REMIP pour les différentes entités qui vont occuper la MRV. Marché sécurité : sécuriser le réseau (firewall). Pour chaque marché : s interfacer avec l outil de supervision (Icinga). Le présent CCTP s applique aux deux marchés. RENATER REMIP Supervision Connexion REMIP & RENATER Sécurité (firewall) (Marché sécurité) Réseau WIFI Configuration (Marché réseau) 4 / 28

5 2. Description de la MRV et du câblage 2.1. Situation de la MRV Le bâtiment MRV est situé sur le campus Rangueil (118 route de Narbonne, 31 TOULOUSE) : 5 / 28

6 2.2. Description des bâtiments Il est composé de 4 bâtiments : Bâtiment D Bâtiment A Bâtiment B Bâtiment C Le bâtiment A a 3 étages avec une salle de brassage par étage (4 salles de brassage). Le bâtiment B a 2 étages avec une salle de brassage par étage (3 salles de brassage). Le bâtiment C a 1 étage avec une salle de brassage par étage (2 salles de brassage). Le bâtiment D a 1 étage et un répartiteur général desservant le rez-de-chaussée et le 1 er étage. Il héberge la salle informatique dans laquelle se trouve le répartiteur général. Il existe un sous-sol sous le bâtiment A mais qui ne comporte pas de prises réseau. Le sous-sol du bâtiment C comporte des prises réseau, aboutissant à la salle de brassage du rez-de-chaussée du bâtiment C. Les plans de chaque niveau se trouvent en annexe du présent CCTP. 6 / 28

7 2.3. Salles de brassage Il y a en tout 9 salles de brassage et un répartiteur général. Chaque salle de brassage contient une ou deux baies de brassage. Le nombre de baies et de prises RJ45 de chaque salle est indiqué dans le tableau ci-dessous : Bâtiment Niveau Baies Nb prises Standard Téléphone WIFI A A A A B B B C C D TOTAL Note 1 : le nombre de prises WIFI ne préjuge pas du nombre de bornes qui sera à déterminer par le soumissionnaire en fonction de leur couverture. Note 2 : ces chiffres peuvent varier mais faiblement, le soumissionnaire devra prévoir un remplissage non complet des commutateurs. Les plans de chaque baie de brassage se trouvent en annexe du présent CCTP. Les salles de brassage et le répartiteur général sont connectés par des fibres optiques suivant le schéma ci-dessous où une ligne représente 12 fibres optiques monomodes. Les connecteurs fibre optique sont de type SC à férule céramique. 7 / 28

8 Le système de câblage cuivre est de Catégorie 6a de classe Ea avec des prises terminales RJ45. La convention de câblage des couleurs est la convention EIA/TIA 568 A, câblage 100 ohms. Les cordons de brassage RJ45 sont fournis Baie de brassage Chaque salle de brassage comporte une ou deux baies de 1000 x 800 de 42U, avec un équipement comprenant : 1 Porte avant transparente fermant à clé 1 Porte arrière pleine démontable fermant à clé. 2 Panneaux latéraux démontables 1 Toit plein avec joint à balai, pouvant recevoir une ventilation (si besoin) 1 Bandeau de prises de courants équipé d'au minimum 8 PC. Les modules de brassage optique et RJ45 L'emplacement disponible pour les éléments actifs au format 19" Un plateau disponible de 2u pour du matériel actif Un onduleur 3kVA. Le répartiteur général a aussi une baie de 1000 x 800 de 42U, placée dans la salle serveur au rez-de-chaussée du bâtiment D similaire à celle des salles de brassage mais sans onduleur 3 kva (l alimentation de la salle serveur est ondulée). Il reçoit les tiroirs optiques : des arrivées extérieures FO (2x12 brins), de la boucle Fibre Optique interne (2x 12 brins) Connexions extérieures Réseau REMIP et RENATER La connexion entre la MRV et les réseaux REMIP et RENATER sont réalisés par 2 fibres optiques (F.O.) de 12 brins arrivant depuis le bâtiment 1CN de l Université Toulouse III Paul Sabatier (lieu de connexion à REMIP et RENATER) en deux points du bâtiment par des chemins différents (le plan du Campus Rangueil est disponible sur le site de l Université Paul- Sabatier Les fibres optiques monomodes sont de type 9/125 μm et sont conformes à la norme EN , et ISO/CEI is Elles satisfont aux performances de catégorie OS1. Elles sont raccordées au répartiteur général. La longueur maximale de fibre optique est inférieure à 1500 mètres Réseau de téléphonie publique Le réseau de téléphonie publique sera directement raccordé sur l autocommutateur IP. Ce raccordement ne fait pas partie de la prestation. 3. Occupants de la MRV Plusieurs entités vont occuper la MRV : L IPST-CNAM (Centre universitaire de formation tout au long de la vie) 8 / 28

9 Le CFA-Midisup (Centre de Formation des Apprentis) qui est géré informatiquement par l IPST-CNAM ; à ce titre ils ne sont plus traités comme entité dans le reste du document Le PRES Université de Toulouse avec : o le département Recherche et Doctorat (DRD) o les entités URFIST (Unité Régionale de Formation à l Information Scientifique Technique) et CFCB (Centre Régional de Formation aux Carrières des Bibliothèques) du SICD (Service Inter établissements de Coopération Documentaire) o le CIUT (Centre Informatique de l Université de Toulouse) AISE : Atelier Interuniversitaire des Sciences de l Environnement SATT : Société d Accélération de Transfert Technologique Chacune de ces entités souhaite avoir un réseau indépendant, tout en profitant de services communs comme la ToIP (Téléphonie sur IP) assurée par un autocommutateur commun, le WIFI 9 / 28

10 4. Architecture générale La MRV propose aux entités les services suivants : La téléphonie sur IP (ToIP), La connexion vers REMIP (niveau 2 et 3) ou RENATER (niveau 3), les connexions niveau 2 de REMIP correspondent à des VLANs provenant d un autre site de l entité, Le WIFI dans certaines zones, L hébergement de serveurs en salle machine dont ceux en DMZ (Zone DéMilitarisée), La sécurité, Une administration et une supervision commune. Les principes de fonctionnement sont : Le réseau est partitionné en VLANs (VLAN voix pour la ToIP, VLAN WIFI, des VLANs par entité, ) Les connexions externes arrivent au niveau du réseau sous forme de VLANs. Seule la partie sécurité fait le routage entre les VLANs. Un VLAN peut être accessible de toute prise (si configuré) et n est visible de la partie sécurité que si nécessaire. Pour une entité connectée à REMIP, les cas d usage sont alors les suivants : REMIP L2 Autre site de l entité L3 L2 Sécurité (firewall) (Marché sécurité) Routage entre VLANs Réseau (Marché réseau) VLANs niveau 2 Réseau de l entité Serveurs de l entité dont DMZ Serveurs communs : Supervision DNS NTP Contrôleur WIFI Portail captif Contrôle d accès Configuration Serveur de logs ToIP 1. Suivant le VLAN, Les paquets provenant d autres sites de l entité via REMIP L2 passent directement vers l entité. 10 / 28

11 2. Suivant le VLAN, Les paquets provenant d autres sites de l entité via REMIP L2 traversent le firewall où ils sont filtrés et routés. 3. Les paquets du VLAN data provenant de REMIP L3 passent par le firewall qui les filtre et les route vers un des VLANs de l entité. 4. Suivant le VLAN de l entité, les paquets provenant du réseau de l entité ou des serveurs de l entité sont filtrés et routés vers un autre VLAN de l entité ou vers REMIP L3. 5. Suivant le VLAN les paquets de ou vers les serveurs de l entité passent directement vers le réseau de l entité. 6. Les paquets de ou vers le VLAN des serveurs communs sont filtrés et routés. 7. Un utilisateur sur Internet ou REMIP peut se connecter en VPN via le firewall et être connecté à un VLAN. Afin de ne pas charger le firewall, la ToIP n est pas traitée par le firewall ainsi que les sauvegardes ou les téléchargements importants comme des images systèmes par exemple (cas 4). 11 / 28

12 5. Marché réseau 5.1. Fonctionnalités demandées Le réseau de la MRV doit apporter les fonctionnalités suivantes : Connexion au réseau des prises utilisateur (réseau des entités), des serveurs, de l autocommutateur IP, etc. Couverture WIFI de certaines zones Connexions vers RENATER et REMIP Administration et configuration du réseau Support de la supervision Icinga Support et maintenance. RENATER REMIP L3 L2 Connexion Bâtiment 1R1 Bâtiment 1R1 FO FO Supervision Connexion Bâtiment MRV Bâtiment MRV Réseau WIFI Réseau Réseau entité entité n n Réseau entité n Firewall (Marché sécurité) Configuration Serveurs entité n DMZ entité DMZ entité n VoIP Autocom IP 5.2. Connexion au réseau La connexion au réseau est réalisée par les équipements actifs situés dans les baies de brassage et dans la baie du répartiteur général. Les connexions vers RENATER et REMIP sont décrites au / 28

13 4 7 PQRS * 1 2 ABC 4 5 GHI JKL 7 8 PQRS TUV 3 DEF 6 MNO 9 WXYZ * 0 # CISCO IP PHONE 7911 SERIES CIUT Prises RJ45 utilisateur On distingue 3 types de prises RJ45 : Les prises standards, Les prises téléphones, Les prises WIFI Les prises standards Les prises standards sont destinées à des équipements réseau type PC, imprimantes, etc. Elles n ont pas d alimentation PoE. Elles doivent pouvoir recevoir plusieurs VLANs. La vitesse de transmission doit être adaptable (négociable par l équipement connecté) jusqu à 1 Gb/s. Ces prises doivent également pouvoir recevoir le VLAN voix afin de connecter des périphériques particuliers. Exceptionnellement un commutateur niveau 2 pourra être branché sur une prise standard pour connecter plusieurs équipements (maximum 5) Les prises téléphones Les prises téléphones sont destinées à recevoir un poste téléphonique alimenté en PoE de classe 2 avec une vitesse pouvant aller jusqu à 1 Gb/s. Un téléphone IP pourra être mis en chaîne avec un autre dispositif, comme le PC ci-dessous : Les éléments actifs devront supporter la connexion automatique au VLAN voix (détection, LLDP, ) par le téléphone IP et la double connexion sur la même prise (cf schéma). Le soumissionnaire indiquera les protocoles et/ou méthodes supportés pour cette connexion. LLDP est un protocole obligatoire. Le soumissionnaire précisera les poste téléphoniques pour lesquels ils supportent cette fonction et dans quelle version. D autres périphériques nécessitant une alimentation PoE pourront se connecter à ce type de prise comme des interphones, des caméras, etc. La qualité de service doit être implémentée sur le VLAN voix pour la ToIP Les prises WIFI Les prises WIFI vont connecter des bornes WIFI en PoE (voir 5.3) Les connexions Fibre Optique entre répartiteurs Les connexions fibre optique relient les salles de brassage entre elles et au répartiteur général. La vitesse de ces liaisons est de 10 Gb/s. La panne d un élément actif ne doit pas interrompre la connexion. La coupure d un brin ne doit pas interrompre la connexion. 13 / 28

14 La coupure d une fibre optique du rez-de-chaussée (12 brins) ne doit pas interrompre les connexions Les prises vers serveurs Les prises vers serveurs sont à fournir dans le répartiteur de brassage. Elles permettront de connecter la ou les baies d une entité situées dans la salle machine (salle du répartiteur général). La prise vers serveurs d une entité peut être connectée par une connexion 1Gb/s cuivre RJ45, ou une connexion 10Gb/s en fibre optique SFP. La panne d un élément actif ne doit pas interrompre les connexions. La panne d une interface réseau ne doit pas interrompre la connexion. Les connexions dans les baies de l entité seront à la charge de l entité. 6 connexions entité sont à prévoir (4 effectives, 1 pour une zone commune et une en réserve). Les câbles de connexion sont à fournir et doivent tenir compte de la taille de la salle machine Autres prises Dans la salle machine pourront être connectées d autres systèmes : Firewall : connexion 10 Gb/s (x2 en agrégation par sécurité) ToIP : connexion 1 Gb/s (x2 en agrégation par sécurité) Utilisation des VLANs Chaque entité peut partitionner son réseau en VLANs. Plusieurs VLANs n appartiennent à aucune entité en particulier : le VLAN voix, le VLAN administration ainsi que d autres VLANs qui seraient nécessaire au fonctionnement (WIFI par exemple). Le nombre exact de VLANs sera déterminé lors de la phase de spécifications. On les limitera à 16 par entité plus les VLANs communs. Le même VLAN voix est aussi utilisé sur le site du PRES 15 rue des lois pour la ToIP. L autocommutateur ToIP, présent actuellement sur le site rue des lois, sera déménagé sur le site MRV mais continuera à traiter les téléphones IP de la rue des lois via le VLAN voix transporté par REMIP. Des TP (Travaux Pratiques) sur les réseaux et leur administration (mise en œuvre d'architectures et d'équipements divers, plans d'adressages IP en tout genre) peuvent entraîner des perturbations sur le réseau (conflits d'adresses IP, boucles STP, trafics de signalisation inattendus, trafics de simulations de montée en charge, voire d'attaques ). Le réseau supportant ces manipulations doit pouvoir être isolé de tout autre réseau et ne pas perturber le fonctionnement général Sécurité des VLANs Les VLANs devront être protégés par des filtres garantissant la sécurité. Le soumissionnaire indiquera ceux qu ils proposent de configurer en particulier pour le VLAN voix. A moins d une bonne raison, les firewalls ne devraient pas être impliqués dans la sécurisation des VLANs voix et administration (le VLAN administration doit pouvoir fonctionner en l absence de firewall). 14 / 28

15 Sur certains ports l attribution dynamique de VLAN en fonction de l adresse MAC doit être possible. La norme x avec un serveur Radius fourni par l entité pourra être mise en œuvre sur certains VLANs. La SATT utilisera un réseau isolé filtré par le Firewall. Les salles de TP de l IPST-CNAM seront isolées également sur un réseau filtré par le Firewall Fonctions supportées par les commutateurs Les commutateurs devront supporter les fonctionnalités suivantes : Configuration des trunks IEEE 802.1q Gestion des VLAN : GVRP Pas d utilisation du VLAN 1 sur les ports par défaut PortFast BPDU guard Auto négiociation Jumbo frames Agrégation IEEE 803.ad (LACP) Qualité de service IGMP snooping version 2 et 3 Restriction d accès à un port en fonction d adresses MAC IEEE 802.1x Attribution dynamique des VLANs en fonction de l'adresse MAC Traffic storm control DHCP snooping IP source guard / dynamic IP lockdown Dynamic ARP inspection Port unicast and multicast flood blocking MAC address notification activable par VLAN Port mirroring (notamment pour visualiser avec une date et heure les paquets échangés avec la partie sécurité) Blocage d une adresse MAC Association statique d une adresse MAC à un port NTP pour la synchronisation des dates et heures Envoi des logs datés (date et heure calendaire) à un serveur de logs Connexion ssh avec une bannière indiquant que les connexions non autorisées sont interdites LLDP et LLDP-MED Si une des fonctions n est pas supportée, le soumissionnaire justifiera son absence et fournira une fonction équivalente. La fonction deux mémoires pour faire les mises à jour de logiciel ou les retours arrière sur une configuration serait appréciée. 15 / 28

16 5.3. WIFI Le WIFI est prévu pour fournir une connexion WIFI dans certaines salles (réunion, formation ). Les types d utilisateurs qui vont se connecter sont : Des invités pour lesquels un compte devra être créé localement. Ils peuvent être des utilisateurs non avertis qui doivent se connecter sans avoir à entrer une configuration particulière de WIFI. Pour accéder à Internet, ils devront donner un login et un mot de passe sur un portail captif. Des personnes de l enseignement supérieur ou de la recherche ayant une identification sur eduroam Des étudiants ou personnels ayant une authentification sur la fédération d identité RENATER et qui se connecteront par eduspot Des utilisateurs faisant partie du personnel d une des entités occupantes. Une authentification leur sera demandée pour la connexion WIFI. Ces utilisateurs accèdent alors à un des VLANs de l entité qui est ensuite routé suivant la politique de l entité. Des étudiants venant suivre des cours et à même de se connecter à un VLAN particulier. Pour les utilisateurs faisant partie du personnel, il y aura un SSID (et donc un VLAN) par entité. Pour les étudiants venant suivre des cours, il pourra y avoir plusieurs SSID par entité, le nombre sera déterminé lors de la phase de spécification. Les salles à couvrir en WIFI sont : Bât. Etage Repère Nb connexions simultanées Salle A 0 AR Studio visio conférence A 0 AR Salle de réunion A 0 AR Salle de formation A 0 AR Salle de réunion D 0 DR Espace documentation D 0 DR Espace de convivialité D 0 DR Salle de formation D 0 DR Salle de cours D 0 DR Amphithéâtre Mignonac D 0 DR Amphithéâtre JP Riba D 0 DR Amphithéâtre III A 1 AR Open Space B 1 BR Salle de réunion D 1 DR Salle du conseil Lacroux A 2 AR Salle de cours & réunion A 2 AR Salle de cours & réunion A 2 AR Salle de cours & réunion A 2 AR Salle de cours & réunion B 2 BR Salle informatique 16 / 28

17 Bât. Etage Repère Nb connexions simultanées Salle B 2 BR Salle informatique B 2 BR Salle de réunion B 2 BR Salle informatique B 2 BR Salle informatique C 2 CR Salle de cours A 3 AR Salle 20 postes en réseau A 3 AR Salle 20 postes en réseau A 3 AR Salle 20 postes en réseau A 3 AR Salle de cours & réunion A 3 AR Salle 20 postes en réseau A 3 AR Salle stagiaires A 3 AR Visio conférence A 3 AR Télé présentation A 3 AR Visio conférence A 3 AR Salle stagiaires A 3 AR Salle de cours & réunion A 3 AR Labo langues Le soumissionnaire précisera les performances qu il garantit. Le système proposé devra garantir le respect de la législation concernant les connexions d extérieurs. Le soumissionnaire détaillera ce point pour en permettre l appréciation. 17 / 28

18 5.4. Connexion RENATER et REMIP Les entités pourront être connectées soit à REMIP, soit à RENATER. La connexion RENATER est une connexion IP niveau 3 où seules circulent les adresses publiques de l entité. Elle peut être doublée avec agrégation. La connexion REMIP comporte deux flux par entité : Un flux IP (L3) où seules circulent les adresses publiques de l entité. Un flux de niveau 2 (L2) qui véhicule des VLANs entre les différents sites de l entité. La vitesse de ces flux est de 1 Gb/s. REMIP fournira pour chaque type de flux au moins 2 connexions 1 Gb/s en agrégation (3 sont figurées sur le dessin). L agrégation pourra être étendue pour augmenter la bande passante. REMIP Agrégation L3 L2 Agrégation Equipement 1CN 2 ou plusieurs brins F.O. 2 ou plusieurs brins F.O. Equipement MRV Effectuer la connexion du réseau consiste à fournir les équipements actifs dans le bâtiment 1CN et dans le bâtiment MRV qui utilisent les liaisons fibre optique pour transporter ces flux à la MRV. La perte d un élément matériel ne doit pas interrompre la liaison 1CN - MRV. La coupure d une fibre optique (12 brins) ou d un ou quelques brins (de la même fibre optique) ne doit pas interrompre la liaison 1CN - MRV. La perte d un élément matériel côté MRV ne doit pas interrompre les liaisons. Pour les connexions RENATER qui ne seraient pas doublées, la perte de l élément matériel ayant la connexion fera perdre cette connexion. Débrancher le câble d un élément perdu et le brancher sur un autre élément actif doit être suffisant pour réactiver la liaison. 18 / 28

19 5.5. Administration et configuration du réseau Un outil de configuration sera fourni, il permettra d effectuer les configurations nécessaires de manière simple sans avoir par exemple besoin de répéter une commande autant de fois que de ports concernés. L accès à l interface de l outil sera possible à distance et de manière sécurisée. Le soumissionnaire fournira les informations nécessaires pour pouvoir apprécier l ergonomie de l outil. L outil permettra de sauvegarder et de restaurer des configurations. L outil permettra d effectuer les mises à jour des logiciels sans intervenir sur chacun des éléments. L outil permettra de faire un suivi dans le temps des paramètres dimensionnant de chaque élément. Seront visualisables en particulier les débits sur chaque port et chaque liaison. L outil présentera un synoptique permettant de localiser rapidement tout élément en défaut Support de la supervision Icinga Le système mis en place permettra une surveillance SNMP pour le bon fonctionnement de tout élément. Les logs devront être envoyés vers la supervision en syslog. La mise hors service de tout élément ou partie d élément (ventilateur, alimentation, port, disque, ) devra être détectée par Icinga et déclencher une alerte. La fourniture de tous les plug-ins Icinga nécessaires ainsi que la documentation associée (notamment la description des MIB) à la configuration de Icinga font partie de la prestation demandée, de même que la configuration d un équipement s il doit être répété un grand nombre de fois (exemple : surveillance d un commutateur, d une borne WIFI ) Implantation des matériels Le soumissionnaire fournira la liste des matériels installés dans chaque baie avec la consommation globale, la puissance calorifique dissipée afin que le PRES puisse vérifier la compatibilité avec les salles de brassage Support et maintenance Le niveau de service demandé est qu aucune panne d un élément ne puisse provoquer d interruption de service supérieure à 4 heures ouvrées. Dans le cas où des matériels de rechange seraient proposés, ils seraient entreposés sur le site de la MRV et les procédures de remplacement seront fournies pour pouvoir être exécutées par le personnel d exploitation. Le support comprend toutes les mises à jour nécessaires au bon fonctionnement et à la sécurité (microcodes, ), les nouvelles versions majeures et mineures et la documentation. L engagement de support et maintenance est sur 4 ans Formation et transfert de compétences Une formation sera dispensée pour 5 personnes et un transfert de compétences sur la configuration mise en place (un support de cours sera fourni). 19 / 28

20 6. Marché sécurité : Sécurisation du réseau 6.1. Fonctions demandées Afin de protéger le réseau, une fonction firewall sera déployée. Elle ne gèrera pas la sécurité du VLAN voix qui sera assurée par les commutateurs. La sécurisation du réseau assurera : l isolation entre VLANs en limitant les échanges à ceux qui seront demandés, la protection des VLANs vis-à-vis des réseaux externes, la protection des DMZ où sont installés les serveurs, le routage inter VLAN avec notamment du PBR (Policy Base Routing) afin de positionner les paquets à destination d adresses IP externes dans le bon VLAN de destination (celui de l entité). la translation d adresse pour certains VLANs, le filtrage d URL pour certains VLANs, l établissement de VPN avec certains VLANs, un service DHCP pour certains VLANs, un log des trames filtrées avec le temps de l émission/réception, pour lever les doutes de fonctionnement entre les firewalls et le réseau. La sécurisation n a pas vocation à traiter les gros transferts d information qu il pourra y avoir entre le réseau de l entité et ses serveurs (comme des téléchargements d images système pour initialisation des ordinateurs de formation ou des sauvegardes). Il n est pas demandé de traitement antivirus ni antispam dans les mails par le firewall. Les règles à intégrer dans les équipements de sécurisation seront déterminées pendant la phase de spécification. Cette détermination sera basée sur les règles existantes actuellement pour les entités PRES et IPST-CNAM. Elles sont à définir pour les entités SATT et AISE. Les règles de la SATT sont celles d une entité ayant des données sensibles. Le réseau de la SATT, et les salles TP de l IPST-CNAM doivent être isolé via le Firewall des autres réseaux. Les règles de l AISE seront voisines de celles de l IPST-CNAM. La définition de ces règles et leur configuration fait partie de la prestation. Le soumissionnaire indiquera les méthodes de mise à jour des logiciels et données des firewalls, en particulier si les firewalls utilisent des adresses publiques. Les firewalls fournies devront être compatibles pour ouvrir des futurs tunnels VPN avec les firewalls utilisés au sein de l université de Toulouse ( NetAsq, Juniper, Checkpoint, ) Dimensionnement Un débit de 6 Gb/s maximum devra être supporté avec 100 VPN simultanés. On peut estimer le nombre d utilisateurs simultanés à moins de 600. La connexion au réseau sera assurée par une connexion à 10 Gb/s doublée par agrégation pour la sécurité. La perte d un élément de la sécurisation ne doit pas interrompre le fonctionnement. 20 / 28

21 6.3. Interface avec la supervision La mise hors service de tout élément ou partie d élément (ventilateur, alimentation, disque, interface, basculement ) devra être détectée par Icinga et déclenchera une alerte. Les logs devront être envoyés vers la supervision en syslog. La fourniture de tous les plug-ins Icinga nécessaires ainsi que la documentation nécessaire (notamment la description des MIB) à la configuration d Icinga font partie de la prestation demandée Support et maintenance Le support comprend toutes les mises à jour nécessaires au bon fonctionnement et à la sécurité (microcodes, bases de données pour les filtrages, ), les nouvelles versions majeures et mineures et la documentation. Un support téléphonique sera disponible les jours ouvrés de 9h à 18h avec un temps de réponse inférieur à 4 heures. L engagement de support et maintenance est renouvelable chaque année. Le renouvellement doit pouvoir être fait pendant 5 ans. Le temps de remise en route d un élément défectueux n empêchant pas le fonctionnement doit être de moins de 5 jours ouvrés. Il doit être de 4 heures ouvrées pour un élément empêchant le fonctionnement Formation et transfert de compétences Une formation sera dispensée pour 5 personnes et un transfert de compétences sur la configuration mise en place (un support de cours sera fourni). 21 / 28

22 7. Matériel réutilisable Les matériels ci-dessous deviendront disponibles à partir du déménagement : Commutateur CISCO WS-C PS-E (48 ports 10/100 PoE) Commutateur CISCO WS-C PST-S (48 ports 10/100 PoE) Le site du PRES rue des lois est connecté à REMIP qui peut transporter les VLANs du site MRV. Il dispose pour le WIFI : Contrôleur CISCO AIR-WLC2106-K9 Portail captif UCOPIA UCP-SV20 L utilisation de ces matériels suppose leur mutualisation avec le site du PRES rue des lois pour continuer à assurer ces fonctions sur ce site. 22 / 28

23 8. Mission du fournisseur Le soumissionnaire assurera la fourniture, installation dans les baies, paramétrages et tests du réseau. 23 / 28

24 9. Le soumissionnaire assurera la fourniture, installation dans les baies, paramétrages et tests du réseau. Organisation 9.1. Etapes de réalisation Les étapes du Marché réseau sont similaires à celles du Marché sécurité Spécifications Entrées : CCTP Réponse du prestataire Actions : Organisation de la réunion de lancement Ecriture des spécifications par le prestataire Réunions avec le groupe de travail Présentation des spécifications pour validation Validation du dossier de spécifications Ecriture du cahier de recette (par le prestataire) Validation du cahier de recette Sorties : Dossier de spécifications Cahier de recette Compte rendu de la réunion de validation Installation et configuration hors supervision Le lancement de cette étape est soumis à la réception du bâtiment MRV dont la date prévisionnelle est le 21 janvier Le prestataire doit prévoir que des retards puissent survenir sans compensation possible. L installation et la configuration du Marché réseau interviendra avant celle du Marché sécurité. Entrées : Dossier de spécifications Cahier de recette Actions : Installation et configuration des matériels sur site Recette suivant cahier de recette La recette concernant le VLAN voix sera faite avec l autocommutateur localisé au PRES site rue des lois Sorties : Dossier de spécifications mis à jour Cahier de recette validé Mise en place de la supervision Les deux marchés suivent cette étape. 24 / 28

25 Entrées : Dossier de spécifications Icinga installé et fonctionnel Actions : Installation et configuration d Icinga (faite par le PRES à l aide des documentations fournies par le prestataire) Recette suivant cahier de recette Sorties : Dossier de spécifications mis à jour Icinga configuré Cahier de recette validé Formation et transfert de compétence Formation sur site de 5 personnes et transfert de compétence VABF La vérification d aptitude au bon fonctionnement a lieu pendant 1 mois. Durant cette période, l équipe d exploitation fait les interventions avec une assistance téléphonique «rapprochée» des personnes ayant fait l installation. La VABF est dite passée lorsqu aucune interruption de service n a eu lieu VSR La vérification de service régulier a lieu pendant 3 mois. La VSR est dite passée lorsqu il n y a eu aucune interruption de service pendant 3 mois et que l équipe d exploitation a pu effectuer les réparations éventuelles et les changements de configuration Planning prévisionnel Le planning prévisionnel ci-dessous montre l enchaînement des étapes et les contraintes qui existent entre les deux marchés. Il est basé sur une recette du bâtiment MRV au 21 janvier 2013 et un démarrage au 24 janvier 2013 des marchés. Ces dates sont estimatives et ne constituent pas un engagement du PRES, la durée des tâches n est fixée que pour représentation dans le diagramme. Le soumissionnaire proposera les durées qu il estime correspondre à son offre sous la contrainte que l emménagement des services concernés doit se faire au 31 mars au plus tard. 25 / 28

26 9.3. Organisation en phase projet Organisation projet PRES L organisation du PRES pour le projet comporte : Un chef de projet qui est l interlocuteur unique du titulaire Un groupe de travail comportant un représentant de chaque entité et les représentants des équipes d exploitation : o auquel le chef de projet peut se référer pour toute décision technique o qui valide les spécifications o qui valide les plannings o qui accepte ou refuse toute modification de spécifications o qui participe à la recette Organisation projet prestataire Le titulaire nommera un chef de projet qui sera l interlocuteur unique du PRES et un responsable commercial à même de traiter les problèmes financiers. Ces deux personnes dialogueront avec le chef du projet du PRES Réunions de suivi Le suivi de l avancement est fait lors de réunions hebdomadaires entre le chef de projet PRES et le chef de projet du titulaire Gestion des problèmes Lorsqu un problème est détecté, il est signalé aux chefs de projet PRES et titulaire qui conviennent d un délai pour le résoudre. Au-delà de ce délai, si l un des chefs de projets le juge nécessaire, une cellule de crise est formée comportant : Pour le PRES : Le chef de projet Toute personne choisie par le chef de projet susceptible d aider dans la résolution du problème Pour le titulaire o Le chef de projet o Le responsable direct du chef de projet ou un responsable hiérarchique de niveau supérieur o Toute personne choisie par le titulaire susceptible d aider dans la résolution du problème La fréquence des réunions est alors hebdomadaire. Si le problème met en péril la réussite du projet, une alerte est montée. Des réunions journalières ont alors lieu entre les participants de la cellule de crise, un représentant de chaque entité concernée et la personne responsable au niveau national de l activité du titulaire. Cette procédure pourra être appliquée pour tout incident bloquant survenant après la VSR (durant la période de maintenance). 26 / 28

27 Gestion des demandes Une demande peut être une demande d intervention sur un point particulier ou une demande de changement (modification ou évolution) à l initiative du titulaire ou du PRES. Un outil de gestion des demandes sera mis à disposition par le PRES pour gérer et suivre ces demandes (outil Redmine). Dans le cas où le soumissionnaire proposerait son propre outil de gestion des demandes, un export des données de cet outil vers l outil du PRES en fin de projet devra être proposé en fin de VSR Changement de prestataire A la fin du contrat ou à une date ultérieure si la prestation est reconduite, une sortie de service pourra être demandée. Elle consiste à fournir toutes les informations utiles à la reprise de l activité par un autre fournisseur d application : Fourniture du document de spécifications à jour Fourniture de tout code, mot de passe de sécurité Passation de la maintenance des matériels au successeur. Le coût de ce changement de prestataire sera indiqué par le soumissionnaire. 27 / 28

28 10. Annexes Plans de la MRV Plans des armoires de brassage 28 / 28