MARCHE PUBLIC DE FOURNITURES ET DE SERVICES Fourniture et installation d'une solution Wi-Fi avec extension de la couverture sans-fil de l'établissement CAHIER DES CHARGES INSTITUT FRANCAIS DE MECANIQUE AVANCEE Page 1 sur 27
Sommaire Objet du marché 2 Présentation de l'ifma 3 Infrastructure filaire existante (cf. Annexe 1) 4 Infrastructure Wi-Fi existante (cf. Annexe 2) 4 Implantation et couverture envisagée 7 Eléments techniques souhaités 8 Nature des prestations demandées 9 Identification des besoins fonctionnels et spécification d architecture 9 Travaux de câblage et installation des points d'accès 9 Intégration et paramétrage 10 Management centralisé et transfert de compétences 10 Maintenance et assistance 11 ANNEXE 1 : Schéma réseau physique existant 12 ANNEXE 2 : Schéma réseau logique Wi-Fi existant 13 ANNEXE 3 : Plans de couverture du site 14 Objet du marché Une enquête sur les usages du réseau Wi-Fi, réalisée en mars 2012 auprès des utilisateurs, met en évidence le manque de zones couvertes par le réseau sans-fil dans l'établissement. En effet, sur un total de 233 participations, 58,8% disent ne pas être satisfait de la couverture Wi-Fi en place actuellement dans l'école. De plus, l'explosion actuelle des usages mobiles, entrainée notamment par la progression des ventes de smartphones et tablettes font aujourd'hui évoluer les besoins en termes de couverture mais également de débit. Ce projet vise donc à étendre le réseau sans-fil installé, tout en bénéficiant des technologies radios de dernière génération et ainsi optimiser la solution actuellement en place. Cette opération doit apporter une amélioration significative dans le débit de transmission ainsi que dans la qualité de service proposé tout en respectant les contraintes sanitaires en vigueur. L'objectif de ce déploiement est de proposer aux utilisateurs du réseau Wi-Fi, un niveau de confort acceptable dans l'utilisation de ressources toujours plus consommatrice en bande passante (streaming, visioconférence, cloud storage,...). La solution proposée devra donc s'avérer pérenne et orientée vers l'avenir pour encaisser la montée en charges des services sans-fil qui ne cessent d'évoluer. Page 2 sur 27
Présentation de l'ifma L'Institut Français de Mécanique Avancée a été fondé en 1991 et est situé sur le Campus des Cézeaux de Clermont-Ferrand. L'école assure la formation d'ingénieurs polyvalents de haut niveau, concepteurs constructeurs de biens d'équipements industriels en génie mécanique et en productique. Ce site, de plus de 20 000 m², est composé de cinq bâtiments de plusieurs niveaux articulés autour d'une sphère centrale, correspondant chacun à un pôle d'enseignement spécifique. L'école abrite 7 amphithéâtres, tous équipés en audiovisuel, des cogitos (salles de travail), 11 salles informatiques et 10 laboratoires. Le Centre de transfert de technologie (CTT) est une halle technique de 3 500 m² équipés en robots et équipements de pointe au service des étudiants et des industriels. Le parc informatique, fort de plus de 600 machines, a dans ce contexte un rôle prépondérant, tant au point de vue logistique que pédagogique. Sa gestion est assurée par le Centre de Ressources Informatiques (CRI) composé de 6 personnes. Les 115 membres du personnel de l'ifma accueillent, chaque année, dans ces locaux prés de 650 élèves-ingénieurs. Figure 1 : vue globale de l'ifma Page 3 sur 27
Infrastructure filaire existante (cf. Annexe 1) L'architecture réseau de l'ifma est organisée selon une étoile optique. Des baies de brassage informatique sont installées dans les bâtiments TCM, SPA, MMS, CTT et irriguent, aux travers de liaisons 100mbits/s, les salles et bureaux avoisinants. TCM, SPA et MMS héberge les baies informatiques secondaires, lesquels sont raccordés via des liaisons fibre optique au local réseau principal (CTT). L'équipement assurant la commutation centrale de niveau 3 est un commutateur 3Com 4800G. Un firewall Netasq NG1000-A gère en amont les autorisations d'accès. Le contrôleur WLAN est installé dans la baie informatique TCM3 et cascadé sur un switch HP A3600. Depuis ce local, la liaison s'effectue au travers d'une fibre optique jusqu'à l'équipement cœur de réseau. Les Vlans par port sont employés en interne pour segmenter techniquement et logiquement les différents profils de connexion (pédagogie, imprimante, wifi,...). Le service IAS de Microsoft, couplé à un annuaire Active Directory, gère l'authentification sans-fil 802.1X. Remarque : Deux types de câblages informatiques sont en place dans l'établissement. La distribution capillaire des bâtiments CTT, MMS et PST est réalisée avec du câble IBM de type 2 et nécessite la mise en place de connecteurs baluns "hermaphrodite" sur les prises pour adapter l'impédance. Les autres bâtiments (SPA et TCM) sont eux plus récents et disposent d'un câblage Ethernet classique. Infrastructure Wi-Fi existante (cf. Annexe 2) Matériel Désignation Référence Quantité CONTROLEUR WIFI OAW-4308T 1 OmniAccess 4308T - 8 ports 10/100 Power over Ethernet (POE) et un port uplink 1000BaseT. Support de 16 points d'accès OmniAccess APxx. Les points d'accès peuvent être connectés directement ou à travers un réseau L2 ou L3. Module "Policy Enforcement Firewall" pour OmniAccess 4308 OAW-4308-PEF 1 (Licence 16 AP). POINT D'ACCES OAW-AP65 16 OmniAccess AP65 avec antenne intégrée (2,4Ghz & 5Ghz). Support du 802.11a and 802.11b/g. Kit de Montage pour AP65 OAW-AP65-MNT 16 POINT D'ACCES OAW-AP105 2 Omniaccess AP105 wireless access point. Dual radio IEEE 802.11 a/b/g/n (draft 2.0) wireless access point with support for 802.11b/g/n and 802.11a/n operation, dual-band integral antenna, 1X 10/100/1000base-T (RJ45) ethernet interface (supports 802.3AF power) Omniaccess AP105 universal AC Power adapter kit OAW-AP-AC-UN 2 OMNIACCESS AP105 Wall/Ceiling mounting kit OAW-AP105-MNT 2 Page 4 sur 27
Résumé : 1 contrôleur WI-FI 1U installé en rack dans le local informatique TCM3 (cascade gigabit ethernet) Capacité : 16 points d'accès maximum (limite matériel) 16 bornes AP65 légères (1 HS - 15 en service) 2 bornes AP105 (1 en spare - 1 en service) Figure 2 : Contrôleur WLAN 4308T Baie TCM3 Implantation et couverture actuelle Implantation des points d'accès par baie et équipement informatique : TCM009C TCM009D TCM010C TCM011G TCM101P TCM103A TCM302A TCM-102D TCM205A CTT3HALLE3A PST409B MMS410B PST502H SPA0F SPA102D SPA459A TCM3 SPA1 CTT3 MMS2 MMS3 MMS4 Sur contrôleur WLAN A3600 unit4 port 5 A3600 Unit2 port 22 A3600Unit2 port 20 A3600Unit2 port 24 4400 unit1 Port 11 A3600Unit2 port 17 A3600Unit2 port 16 A3600Unit4 port 5 Page 5 sur 27
Réseau Wi-Fi en production Réseau Wi-Fi (SSID) Mode d'accès Population WIFI-IFMA-SECURE authentification forte 802.1X EAP/PEAP avec MSCHAPv2 serveur d'authenfication IAS annuaire Active Directory chiffrement wep dynamique personnels enseignants étudiants chercheurs WIFI-IFMA-PUBLIC sécurité et service minimum connexion simplifiée portail captif non chiffré authentification sur base locale du contrôleur invités entrepriseshébergées WIFI-IFMA-MOBILE sécurité et service minimum connexion simplifiée annuaire Active Directory portail captif non chiffré personnels enseignants étudiants chercheurs EDUROAM authentification forte 802.1X EAP/PEAP avec MSCHAPv2 serveur d'authenfication IAS annuaire Active Directory chiffrement WPA2 AES personnels enseignants étudiants chercheurs Informations complémentaires : Le réseau WIFI-IFMA-MOBILE est optimisé pour les appareils mobiles grâce à une page d'authentification dont le design s'adapte au terminal (CSS responsive). Le candidat devra préciser si la solution proposée permet la personnalisation du portail d'authentification. Le chiffrement "wep dynamique" utilisé sur le réseau "WIFI-IFMA-SECURE" devra être renforcé avec la nouvelle solution et évoluer vers le WPA2. Le réseau EDUROAM est dédié aux invités enseignants et étudiants appartenant à un établissement de recherche et d enseignement supérieur membres de la fédération EDUROAM. Il permet aux utilisateurs de se connecter au réseau avec les identifiants de leur établissement d'origine. Page 6 sur 27
Implantation et couverture envisagée Emplacements des nouvelles zones de couverture envisagées dans l'extension Une proposition d'implantation de nouveaux points d'accès a été réalisée d'après les résultats d'une enquête effectuée auprès des utilisateurs et à partir des besoins identifiés en termes de couverture radio. Zones Bâtiment/étage Point d'accès à ajouter Local informatique Alimentation électrique Proposition d'implantation SPA0 1 SPA1 Equipement POE Salle SPA008 SPA2 2 SPA1 Equipement POE Amphi Poincaré Salle SPA205 SPA3 1 SPA1 Equipement POE Salle SPA303 SPA4 1 SPA1 Equipement POE Cogitos SPA407 TCM0 2 TCM3 Equipement POE Salle TCM002 Salle TCM007 MMS1 1 MMS2 Equipement POE Salle MMS102 MMS2 1 MMS2 Equipement POE Salle MMS206 MMS4 1 MMS4 Equipement POE Salle MMS453 MMS5 1 MMS4 Equipement POE Salle MMS558 PST2 1 MMS2 Equipement POE Salle PST202 PST3 1 MMS3 Equipement POE Salle PST302 PST4 1 MMS4 Equipement POE Amphi Timoshenko PST5 1 MMS4 Equipement POE Salle PST551 CTT4 1 CTT3 Equipement POE Salle CTT490 Il est demandé au candidat de valider cette proposition selon ses préconisations en matière de couverture Wi-Fi. Le candidat en apportera les preuves écrites et chiffrées. Une étude pourra être proposée et basée sur les plans des bâtiments disponibles au téléchargement durant la durée de la consultation. Cette démarche devra permettre d'assurer une couverture satisfaisante sur la totalité des zones spécifiées dans l'annexe 3. Apparaissent sur cette annexe la couverture des nouveaux points d'accès (couleur orange) ainsi que les zones couvertes par les bornes en place et remplacée dans le marché (couleur bleue). Le Comité d'hygiène, de Sécurité et des Conditions de Travail de l'établissement impose une distance de 10m entre l'émission d'un point d'accès Wi-Fi et le bureau d'un personnel ; cette contrainte devra être prise en compte et respectée. La solution proposée sera également confirme aux lois et réglementations en vigueur en France concernant les technologies, les fréquences et puissances d'émission utilisées. Page 7 sur 27
Eléments techniques Le candidat indiquera si les éléments proposés supportent les fonctionnalités suivantes : Infrastructure Contrôleur Wi-Fi (dans le cas d'une infrastructure Wlan centralisée) Point d'accès léger (dans le cas d'une infrastructure Wlan centralisée) Point d'accès lourd (dans le cas d'une infrastructure Wlan distribuée) Installation en rack Antenne omnidirectionnelle sur les AP Dispositif anti-vandalisme/antivol Support fixation mural sécurisé (antivol) Port Ethernet 1gb Bi-bande, 5 GHz (802.11 a/n) et 2,4 GHz (802.11 b/g/n) 802.11n Support du POE (802.3af) et alimentation individuelle Exploitation Administration web sécurisée (HTTPS) Administration mode console, SSH Administration centralisée Installation en rack Gestion des Vlans, support du 802.1q Serveur DHCP (réservation, exclusion, gestion des plages d'adresses) Intégration des plans de l'établissement dans l'application Support des différents systèmes d'exploitation : ios, macos, linux, symbian, android,... Gestion automatique de la puissance du signal radio Gestion supérieur à 30 points d'accès (possibilité d'extension du nombre de points d'accès) Page d'authentification personnalisable pour adaptation à la charte graphique de l'établissement (images, textes, liens,...) Gestion du trafic réseau selon des priorités, QoS (802.11e, 802.1P,DiffServ) Gestion de la bande passante par client/profil/utilisateur connecté Partage de la charge entre les AP (load balancing) Optimisation de l accès au média des clients lents et rapides, et équilibrage du trafic Supervision Mise à jour centralisée des AP Visualisation en temps réel de la couverture radio et géo-localisation des clients Détection des zones blanches Détection et localisation des interférences Wi-Fi et non Wi-Fi Système de traçabilité et identification des invités Sécurité Pare-feu intégré au contrôleur ou aux AP Niveau de chiffrement le plus élevé WPA/WPA2 (AES) Détection et classification des points d'accès "sauvages" Détection des usurpations MAC/IP et des différentes attaques Possibilité de neutraliser un équipement identifié comme malveillant Alimentation redondante Sauvegarde de toute la configuration Authentification Authentification 802.1X avec tous les EAP Authentification via portail captif Authentification possible via Radius et IAS Affectation dynamique de Vlans sur authentification 802.1X Connecteur LDAP et Active Directory Remontées d'alarmes Support du SNMP Journalisation détaillée Rapports par AP et par utilisateurs Page 8 sur 27
Graphes Fonction d'analyse des logs Mobilité Support de la VoIP Support des matériels hétérogènes : smartphone, pda, tablette,... Gestion du nomadisme Accès utilisateurs Base utilisateurs locale au contrôleur Gestion de l'expiration des comptes Wi-Fi (tranches horaires, expiration automatique) Gestion des droits d'accès par profil utilisateur Attribution dynamique des droits d'accès après authentification Interface de type "hotspot" pour l'auto enregistrement d'un utilisateur invité Interface web "light" (droits restreints) pour déléguer la création de compte Wi-Fi Import en masse de comptes utilisateurs locaux (csv, ) Gestion des droits des utilisateurs en fonction de sa localisation géographique Nature des prestations demandées Les prestations attendues sont les suivantes : Identification des besoins fonctionnels et spécification d architecture. Travaux de câblage et installation des points d'accès. Intégration et paramétrage. Management centralisé et transfert de compétences. Maintenance et assistance. Identification des besoins fonctionnels et spécification d architecture La solution proposée devra faire partie intégrante du LAN existant, basé sur des commutateurs déjà présents, avec une politique de VLAN par port. Les interfaces des commutateurs existants permettent un débit de 100Mbps. L'ajout de nouveaux éléments actifs "Gigabit" est à l'étude ; la solution devra être entièrement compatible avec cette nouvelle norme. Définition des règles applicatives à mettre en œuvre sur le réseau de communication radio. Validation technique et fonctionnelle. Validation des emplacements des bornes WIFI. Définition des règles de sécurité et fonctionnelles à mettre en place : authentification, SSID, chiffrement Les matériels fournis seront garantis conformes aux normes françaises en vigueur et à la norme CE, particulièrement au regard de l émission de rayonnement électromagnétique et pour un usage en milieu pédagogique. Travaux de câblage et installation des points d'accès Ce travail englobe une partie de l'installation physique de la solution et plus particulièrement l'ensemble des travaux de câblage à réaliser pour implanter les points d'accès. Les travaux suivants seront à réaliser : Assemblage montage sécurisé des interfaces / sous interfaces. Remplacement de la distribution capillaire IBM type 2 par du Gigabit Ethernet pour l interconnexion des points d'accès des bâtiments CTT, PST, MMS (1 ère phase). Réalisation de la distribution capillaire cuivre catégorie 5 E ou 6 pour l interconnexion des nouveaux points d'accès. Ce travail comprend, si nécessaire, la fixation d'un panneau RJ45 côté local technique ainsi qu'un boitier ou plastron RJ45 côté point d'accès. Page 9 sur 27
La convention de nommage des prises ajoutées sera fournie par le CRI durant les travaux. Le brassage dans la baie informatique sera effectué par le CRI. Installation sécurisée (hors de portée) des points d accès (mur, plafond, ). Cette étape comprend le remplacement des points d'accès déjà en production ainsi que l'installation des nouvelles bornes prévues dans l'extension. Remarques : Le câblage informatique des bâtiments CTT, PST et MMS utilise des liaisons IBM type 2. Cette architecture ne permet pas d'atteindre des débits supérieurs à 100Mbps et d'utiliser la technologie POE. La distribution capillaire des points d'accès en place dans ces zones sera donc à refaire sur la base d'un câblage en Gigabit Ethernet classique. La technologie POE (Power Over Ethernet) sera privilégiée pour l'alimentation des nouveaux points d'accès. Les injecteurs de courant et blocs d'alimentation en place seront donc retirés. Le point d'accès de la zone CTT3 est raccordé avec une solution temporaire. Son câblage, courant fort et courant faible, devra être repris. Ces travaux devront faire l'objet d'une certification et de la remise d'un cahier de recette à l'issu du chantier. Intégration et paramétrage Constitution et chargement de la configuration sur les équipements (reprise de la configuration actuelle sur les nouveaux équipements). Définition et implémentation des règles applicatives (SSID, VLAN, sécurisation, chiffrement, authentification). Paramétrage en mode console et au travers de l interface. Paramétrage et mise à niveau des équipements raccordés aux bornes si nécessaires. Management centralisé et transfert de compétences Phase 1 : Intégration et mise en œuvre de la plateforme de management sans-fil. Les prestations d intégration sont les suivantes : o Définition et spécification de la configuration o Implantation de l appliance o Raccordement sur le LAN existant o Configuration : adresse IP, découverte et adaptation de la puissance des points d'accès, choix de la fréquence en fonction de l'environnement Paramétrages selon préconisations. Phase 2 : Transfert de compétence sur site. Le candidat prévoira la formation d'une partie de l'équipe informatique à l'utilisation des équipements installés. Seront abordés la présentation de l'interface de gestion du système et les fonctionnalités sousjacentes (liste non exhaustive) : Centralisation de l'exploitation La gestion des erreurs et des alarmes L ajout de nouveaux points d accès L ajout de nouveaux utilisateurs Page 10 sur 27
L implémentation de nouvelles applications Le changement de paramètres de sécurité La prise en compte du filtrage par adresse MAC Le paramétrage et l implémentation des nouveaux points d accès... Maintenance et assistance Besoin La prestation demandée concerne à la fois les aspects logiciels et matériels. Elle doit traiter tout problème de configuration, paramétrage et de panne affectant en totalité ou partiellement les équipements de la solution proposée. Il est demandé au prestataire de mettre à disposition de l'ifma un numéro d appel téléphonique (type Hotline) ainsi qu une adresse électronique afin de soumettre les demandes. Le prestataire devra prendre en compte les demandes d intervention faites par téléphone ou par message électronique : - En ouvrant un ticket d incident, - En désignant un de ses ingénieurs ou techniciens comme étant le correspondant de l équipe réseau de l'ifma - En proposant une solution ou, à défaut, un plan d action correctif. Définition et périmètre A la date d admission des équipements, le prestataire doit proposer une assistance technique sur les matériels et logiciels embarqués et prévoir la remise en fonctionnement à un niveau identique des équipements de la solution proposée subissant une panne. Le fournisseur est invité à proposer une ou plusieurs offres de maintenance intégrant un délai d'intervention ainsi qu'un délai de rétablissement. La proposition devra se rapprocher de l'offre de maintenance suivante : Sévérité En ligne Sur site Critique 1h 8h Haute 4h Next business day Normale 8h 2 jours Faible Next business day - En cas d impossibilité de réparer le matériel sur site, le fournisseur livre, installe et configure gratuitement un matériel de remplacement présentant des caractéristiques équivalentes dans un délai de deux jours ouvrés à compter du lendemain du jour d intervention. Page 11 sur 27
ANNEXE 1 : Schéma réseau physique existant Page 12 sur 27
ANNEXE 2 : Schéma réseau logique Wi-Fi existant Page 13 sur 27
ANNEXE 3 : Plans de couverture du site Bâtiment /Etages SPA0 Phase de construction SPA1 SPA1 1 AP AP Baie existantes supplémentaires Info. à envisagés renouveler SPA1 1 SPA2 SPA1 2 SPA3 SPA1 1 SPA4 2ème Phase SPA1 1 1 Câblage TCM-1 Ethernet TCM3 1 TCM0 TCM3 4 2 TCM1 TCM3 2 TCM2 TCM3 1 TCM3 TCM3 1 MMS1 MMS2 1 MMS2 MMS2 1 MMS3 MMS3 MMS4 MMS4 1 1 MMS5 MMS4 1 1ère phase ACC0 Câblage IBM SPA1 1 ACC2 type 2 SPA1 PST2 (PoE non MMS2 1 supporté) PST3 MMS3 1 PST4 MMS4 1 1 PST5 MMS4 1 1 CTT3 CTT3 1 CTT4 CTT3 1 Total 16 16 AP supplémentaires préconisés par le candidat Points d'accès en production Points d'accès prévus dans l'extension Couverture souhaitée dans les zones des points d'accès remplacés Couverture souhaitée des nouvelles zones à couvrir Baie informatique Page 14 sur 27
CTT3 Page 15 sur 27
CTT4 Page 16 sur 27
MMS1 Page 17 sur 27
MMS2 et PST2 Page 18 sur 27
MMS3 et PST3 Page 19 sur 27
MMS4 et PST4 Page 20 sur 27
MMS5 et PST5 Page 21 sur 27
TCM-1 Page 22 sur 27
TCM0, ACC0 et SPA0 Page 23 sur 27
TCM1 et SPA1 Page 24 sur 27
TCM2, ACC2 et SPA2 Page 25 sur 27
TCM3 et SPA3 Page 26 sur 27
SPA4 Page 27 sur 27