Convergence IP, mobilité : Avantages et Contraintes Sécurité du SIH Jean-Luc JOUANNIC : Responsable département Infrastructures Réseaux Communications DSI CHU de Bordeaux 13 octobre 2011
Convergence IP : Objectifs et finalités En septembre 2005 le CHU de Bordeaux engage un processus de convergence des réseaux qui se concrétise dans une démarche de Schéma directeur réseaux et télécoms. Ce processus intègre une refondation et une restructuration d ampleur des infrastructures de réseau VDI (Voix, Données, Images). La démarche englobe des projets techniques structurants : généralisation de la mobilité (infrastructures WiFi) Réseau MAN inter établissements (fibre optique) Sécurisation des locaux techniques informatiques renouvellement des installations téléphoniques
Convergence IP : Objectifs et finalités (suite) Cette démarche permet également la réalisation des projets fonctionnels stratégiques : Service Patient ET Dossier Médical Commun Prescriptions et Plan de Soins Informatisés (grâce à l infrastructure WiFi) Réseau d imagerie médicale Projets de convergence IP des structures du bâtiment (GTB, GMAO, Appel malade, sécurité incendie, Gestion de patrimoine (?) )
Mise en place d un plan de continuité d activité (PCA) et d un plan retour à l activité (PRA) Mission d AMO : analyse des risques Restructuration et/ou rénovation des salles informatiques (serveurs) : Pellegrin, Haut Lévêque, Direction Générale. Rénovation, sécurisation des Locaux techniques informatiques (LTI) existants ou création de nouveaux LTI Mise en place de mécanismes de sécurité sur locaux techniques sensibles Badgeuses pour salles serveurs Clefs pour locaux techniques dédiés Baies fermées pour locaux techniques partagés Redondance alimentation électrique (ondulé, normale)
Architectures physiques (État de l art) Page 5 / 71 Locaux Techniques Dimensionnement minimum des locaux techniques : 0,6 m (0,8 x N + (N - 1) x 0,1) m 0,6 m 0,6 m Baie 19 800 x 800 Baie 19 800 x 800 Baie 19 800 x 800 Baie 19 800 x 800 1 m 1,6 m - 1 baie (N=1) : surface de 6,4 m² - 2 baies (N=2) : surface de 9,28 m² - 3 baies (N=3) : surface de 12,16 m² Afin de permettre le passage des baies, la largeur minimum de la porte devra être de 80 cm. Si la largeur de la porte est inférieure à 80 cm, les baies devront obligatoirement être démontables.
Topologie du réseau Infrastructure de Câblage Banalisé Répartiteur de Bâtiment Répartiteur de Campus Option PISTE DE REFLEXION A REPRENDRE Répartiteur de Bâtiment 1500 m max. Câble Vertical de Campus (FO : OS1 ou OM3) FO FO 300 m max. Câble Vertical de Bâtiment (FO ou Cuivre) Répartiteur de Zone Option Répartiteur de Zone 300 m max. Répartiteur de Zone Option Répartiteur de Zone 90 m max. Câble Horizontal Cuivre Point Point d accès d accès Point Point d accès d accès Point d accès optique Point d accès optique Point d accès Point d accès Point Point d accès d accès
Référentiel géographique unique ETABLISSEMENT (1) SITE BATIMENT Ou ESPACE (1) ETAGE Ou NIVEAU SECTEUR Ou UNITE mbre de 2 1 3 2 2 2 1 actères pe Numérique Alphabétique Alphanumérique Alphanumérique Alphanumérique Alphanumérique Alphanumérique ésence Généré Obligatoire 1 er Obligatoire 2 ème et 3 ème Obligatoire Obligatoires (XX si non significatifs) Obligatoire Obligatoire (X si non significatif) eur / mmentaire 01 Direction Générale 02 Saint-André 03 Pellegrin 04 Centre Jean Abadie 05 Xavier-Arnozan 06 Haut-Lévêque 07 Lormont 10 Long sejour X.A. 11 Maison retraite XA D Direction Générale S Saint-André C C.J.Abadie U UCSA J Castéja P Pellegrin X Arnozan H Lévêque L Lormont Obligatoires (XX si non significatifs) Xavier- Haut- S1 1 er sous-sol S2 2 ème Soussol 00 Rez de chaussée E(i) (i) ème étage technique M(i) Mezzanine niveau i (niveau de l étage inférieur) (ij) (ij) ème étage C(k) Couverture (toiture) k niveau de étage inférieur) T(k) Terrasse k (k niveau étage inférieur) Ce champ est fondamental pour les lieux de passage ou les locaux vastes (ex : rotonde au pédiatrique, hall, cour, espace vert, ) PIECE Ou LIEU A la base la pièce est codée sur 2 caractères ; le troisième caractère facultatif est réservé aux éventuels découpages de locaux Intégré à l ensemble des plans du CHU et en cours d intégration avec la GMAO (point développé plus largement dans le cadre de l atelier DTA)
Architecture de réseau LAN - WAN Une augmentation constante de la bande passante Statistiques MRTG du Lien DG - Pellegrin Coefficient moyen de progression annuelle = 2,20
Architecture de réseau LAN - WAN Évolution WAN L architecture actuelle est limitée à 34 Mbps entre les sites. Axiome : doublement annuel des besoins en bande passante (cf graphes MRTG). DG Pellegrin Haut-Lévêque - Pellegrin St-André Pellegrin Actuel : 14 Mbps Actuel : 7 Mbps Actuel : 2 Mbps Limite des 34 Mbps An +1 : 28 Mbps An +1 : 14 Mbps An +1 : 4 Mbps An +2 : 56 Mbps An +2 : 28 Mbps An +2 : 8 Mbps An +3 : 128 Mbps An +3 : 56 Mbps An +3 : 16 Mbps An +4 : 256 Mbps An +4 : 112 Mbps An +4 : 32 Mbps An +5 : 512 Mbps An +5 : 224 Mbps An +5 : 64 Mbps Limite des 34 Mbp Saturation possible du lien DG Pellegrin dans 15 mois! Les serveurs doivent être déplacés sur le site de Pellegrin (~ 60% des utilisateurs). Sécurisation des liens WAN Doublement des équipements (ATM ou Ethernet selon scénario retenu)
Architecture WAN Scénario 1 : Boucle Fibres optiques GH Pellegrin GH Saint André 2500 m 7400 m 2900 m MHL XA 1200 m 7000 m GH SUD Direction Générale Fibre optique monomode 24 brins Jarretière optique
Le réseau Inter établissements Hôtel Saint Marc H CMLS Lormont Pellegrin H H Giga Giga 10 Giga Giga H Xavier Arnozan Giga H 10 Giga 10 Giga H SaintAndré Giga Haut Lévèque 10 Giga H H CJA Direction Générale Giga H UCSA (Maison d arrêt de Gradignan) Fibre optique : location de fibres noires exploitées par le CHU de Bordeaux
Architecture LAN Schéma de base principe Commutateur «bâtiment» Commutateur «bâtiment» Fibre optique monomode 24 brins Commutateur cœur de réseau Commutateur cœur de réseau
Infrastructures WIFI mises en oeuvre 15 204 Arnozan Châssis 6000 + 1 Carte M3 512 + 1 Carte M3 512 en Redondancy 1000 PELLEGRIN 17 2 Châssis 6000 + 1 Carte M3 512 en Master + 1 Carte M3 512 Hôtel St Marc 10 43 CMLS Lormont 495 Haut LEVEQUE Châssis 6000 + 1 Carte M3 512 15 Architecture MAN Châssis 6000 + 1 Caerz M3 512 + 1 Carte M3 512 en Redondancy Centre Jean Abadie 380 Saint André Châssis 6000 +1 Carte M3 512 36 50 DIRECTION GENERALE Redondance 7 xx xx Contrôleur fonctionnant en Mode «LOCAL» Contrôleur fonctionnant en Mode «Maî tre» Nb de points accès Nb de points accès INDOOR / site OUTDOOR / site Nb de points accès à un même contrôleur (Mode nominal) Plus de 2200 bornes opérationnelles
Réseaux WiFi Principes d intégration des réseaux LAN et WLAN Bornes AP65 Câblage Commutation WIFI Commutateur POE Commutateur d accés Etoile Optique de distribution Cœur de réseau Commutation LAN Contrôleur Gestion des Bornes - Intégration de l infrastructure Wifi ARUBA sur le réseau LAN ALCATEL
Configurations des réseaux mobiles WIFI Applications actuelles et futures GRE IP est connect Pour Chaque SSID / Reseau WIFI, un tunnel GRE IP est connecté au contrôleur. 1. Géoloc / PTI (en lien avec le RGU) é jusqu au contrôleur. 2. Gestion des compteurs d eau 3. Téléphonie Tunnels GRE 4. Lecteurs codes à barres (maintenance des équipements bio-médicaux ou techniques d un local) 5. Gestion de patrimoine (tags WiFi) W0xxxxxxxxxx Les configurations mises en place autorisent en fonction des autorisations liées à la session (serveur Radius) accès à des réseaux dédiés de type Hotspot visiteur, informatique CHU, téléphonie, PDA pou Smartphone, Hotspot patients. CHUBXPDA CHUBXCYBER CHUBXSPOT CHUBXD CHUBXV
Présentation grandes lignes du projet Téléphonie Présentation du projet : Une nouvelle architecture de communication Saisir des opportunités de changement De nouveaux services associés Environ 12 000 Postes dont : 5000 postes analogiques 2300 postes IP (économie de câblage) 700 postes mobiles WIFI 1000 postes DECT (remplacement par mobiles WiFi sur 2010 et 2011) 3 600 postes patients (analogiques) Les points forts de la solution de téléphonie : La capacité hybride du système -> migration progressive Un nouvel accueil téléphonique Des postes évolués IP pour l ensemble des secrétariats Un annuaire téléphonique LDAP enrichi et facile d utilisation Un dispositif d audio conférence IP Des applications supplémentaires : Annuaire, messagerie évoluée, TWP Evolution de l offre de mobilité (WIFI, dual mode wifi Gsm)
Convergence IP et Mobilité : la cible Infrastructures physiques (SI ) Architecture de réseau MAN + LAN s Ethernet/IP/ WIFI Mobilité Messagerie vocale Messagerie unifiée Depuis 2005 se sont ajoutés 1. supervision GTB 2. MOBICALL 3. Appel malade 4. Contrôle d accès 5. Sécurité incendie (UAE) 6. GMAO CTI Serveur SMTP Meta Annuaire CHU Appli annuaire LDAP Système téléphonique multisites Accueil télé phonique IP
FOCUS «MOBICALL» Un serveur mobicall permet les fonctions suivantes Appel téléphonique sur poste analogique ou poste IP ou poste DECT mais aussi poste Wifi et GSM Email de confirmation Messagerie Diverses applications Appel d urgence médical Alarmes techniques de haute importance (exemple arrêt d un onduleur) Alarmes liées à la sécurité incendie, Alarmes liées à une intrusion ou un contrôle d accès SAMU : Gestion et déclenchement des moyens
BILAN CONVERGENCE IP INFRASTRUCTURE AVANTAGES Réutilisation des équipements de réseau communs à l informatique, la téléphonie, la mobilité, réseaux techniques : une seule infrastructure de réseau Réutilisation du câblage Ethernet Sécurisation des réseaux techniques (vigilance quant à l utilisation du DHCP : nécessite des réservations d @ IP fixes pour les systèmes techniques) Sécurisation des accès aux systèmes Amélioration de la sécurité de la télémaintenance grâce aux accès VPN Flexibilité des configurations téléphonie (serveurs SIP ) Plus d attachement du poste filaire : facilité de déménagement Mutualisation des infrastructures de supervision : informatique + téléphonie
BILAN CONVERGENCE IP INFRASTRUCTURE INCONVENIENTS et AXES de PROGRESSION Sécurité des infrastructures à renforcer pour garantir la qualité de service Respect systématique des règles d ingénierie (LTI, RGU, câblage, ) dans les projets nouveaux Standards d interopérabilité récents parfois insuffisamment éprouvés Vigilance et rigueur quant aux mises à jour de sécurité sur les systèmes (Windows, antivirus à jour sur les serveurs notamment les serveurs du biomédical)
BILAN CONVERGENCE IP Ouverture Les standards existent VS stratégie de développement de solutions propriétaires par les constructeurs Evolution des métiers : mutualisation des compétences Nécessité de partage des bonnes pratiques Compétences en ingénierie réseau renforcées pour la maitrise des technologies induit des formations Ethernet / IP à minima pour les techniciens et ingénieurs des services techniques et bio-médicaux. La DSI interdit formellement de connecter des équipements sur le réseau sans son accord et son intervention préalables Gestion du changement Pédagogie et accompagnement pour l acceptation par tous (instances et intervenants) de la mise en œuvre de nouvelles technologies
Synthèse : évolution des Réseaux et Télécom au regard de l ingénierie LTI / Règles d ingénierie Fibre optique OS1 OM1, OM2, OM3 Dimensionnement des locaux VDI avec les contraintes d environnement électrique clim etc Câblage catégorie 6a Les différentes réalisations en GTB La supervision GTB est sur réseau IP depuis 2000 Un alpha serveur récupérant toutes les données de terrain issues des automates industriels 6 postes de supervision (dispatching, fluides médicaux, traitement d air et sanitaire, centrale électrique, bureau d étude et salle informatique ingénierie. Depuis 2007 mise sur réseau IP des automates TREND. A horizon 2012/2013 : centralisation de la GTB.
Synthèse sur l évolution des Réseaux et Télécom au regard de l ingénierie UAE (unité d aide à l exploitation en sécurité incendie) L ensemble des UAE du CHU de Bordeaux sont sur le réseau IP, chaque site est équipé d une UAE SDI et CMSI à terme l objectif est qu un site peut se substituer à un autre. Les données de terrain avec les différents SSI des bâtiments sont également sur le réseau IP
CONCLUSION Facteurs clés de succès Alignement stratégique du projet de convergence IP Intégration à un projet d infrastructure global Une équipe DSI mobilisée en synergie avec les SI et la DPTI Volonté d innovation et construction d une infrastructure pérenne Des standards stabilisés Une économie visible générée par le projet
Merci de votre attention