MARCHE PUBLIC DE FOURNITURES ET DE SERVICES
Fourniture et installation d'une solution Wi-Fi avec extension de la couverture sans-fil
de l'établissement
CAHIER DES CHARGES
INSTITUT FRANCAIS DE MECANIQUE AVANCEE
Sommaire
Objet du marché _______________________________________________________________ 2 Présentation de l'IFMA __________________________________________________________ 3 Infrastructure filaire existante (cf. Annexe 1) _________________________________________ 4 Infrastructure Wi-Fi existante (cf. Annexe 2) __________________________________________ 4 Implantation et couverture envisagée _______________________________________________ 7 Eléments techniques souhaités ___________________________________________________ 8 Nature des prestations demandées ________________________________________________ 9 Identification des besoins fonctionnels et spécification d’architecture ____________________ 9 Travaux de câblage et installation des points d'accès ________________________________ 9 Intégration et paramétrage ____________________________________________________ 10 Management centralisé et transfert de compétences ________________________________ 10 Maintenance et assistance ____________________________________________________ 11 ANNEXE 1 : Schéma réseau physique existant ______________________________________ 12 ANNEXE 2 : Schéma réseau logique Wi-Fi existant ___________________________________ 13 ANNEXE 3 : Plans de couverture du site ___________________________________________ 14
Objet du marché
Une enquête sur les usages du réseau Wi-Fi, réalisée en mars 2012 auprès des utilisateurs, met en évidence le manque de zones couvertes par le réseau sans-fil dans l'établissement.
En effet, sur un total de 233 participations, 58,8% disent ne pas être satisfait de la couverture Wi-Fi en place actuellement dans l'école.
De plus, l'explosion actuelle des usages mobiles, entrainée notamment par la progression des ventes de smartphones et tablettes font aujourd'hui évoluer les besoins en termes de couverture mais également de débit.
Ce projet vise donc à étendre le réseau sans-fil installé, tout en bénéficiant des technologies radios de dernière génération et ainsi optimiser la solution actuellement en place.
Cette opération doit apporter une amélioration significative dans le débit de transmission ainsi que dans la qualité de service proposé tout en respectant les contraintes sanitaires en vigueur.
L'objectif de ce déploiement est de proposer aux utilisateurs du réseau Wi-Fi, un niveau de confort acceptable dans l'utilisation de ressources toujours plus consommatrice en bande passante (streaming, visioconférence, cloud storage, ...).
La solution proposée devra donc s'avérer pérenne et orientée vers l'avenir pour encaisser la montée en charges des services sans-fil qui ne cessent d'évoluer.
Présentation de l'IFMA
L'Institut Français de Mécanique Avancée a été fondé en 1991 et est situé sur le Campus des Cézeaux de Clermont-Ferrand.
L'école assure la formation d'ingénieurs polyvalents de haut niveau, concepteurs constructeurs de biens d'équipements industriels en génie mécanique et en productique.
Ce site, de plus de 20 000 m², est composé de cinq bâtiments de plusieurs niveaux articulés autour d'une sphère centrale, correspondant chacun à un pôle d'enseignement spécifique.
L'école abrite 7 amphithéâtres, tous équipés en audiovisuel, des cogitos (salles de travail), 11 salles informatiques et 10 laboratoires.
Le Centre de transfert de technologie (CTT) est une halle technique de 3 500 m² équipés en robots et équipements de pointe au service des étudiants et des industriels.
Le parc informatique, fort de plus de 600 machines, a dans ce contexte un rôle prépondérant, tant au point de vue logistique que pédagogique.
Sa gestion est assurée par le Centre de Ressources Informatiques (CRI) composé de 6 personnes.
Les 115 membres du personnel de l'IFMA accueillent, chaque année, dans ces locaux prés de 650 élèves-ingénieurs.
Figure 1 : vue globale de l'IFMA
Infrastructure filaire existante (cf. Annexe 1)
L'architecture réseau de l'IFMA est organisée selon une étoile optique.
Des baies de brassage informatique sont installées dans les bâtiments TCM, SPA, MMS, CTT et irriguent, aux travers de liaisons 100mbits/s, les salles et bureaux avoisinants.
TCM, SPA et MMS héberge les baies informatiques secondaires, lesquels sont raccordés via des liaisons fibre optique au local réseau principal (CTT). L'équipement assurant la commutation centrale de niveau 3 est un commutateur 3Com 4800G.
Un firewall Netasq NG1000-A gère en amont les autorisations d'accès.
Le contrôleur WLAN est installé dans la baie informatique TCM3 et cascadé sur un switch HP A3600. Depuis ce local, la liaison s'effectue au travers d'une fibre optique jusqu'à l'équipement cœur de réseau.
Les Vlans par port sont employés en interne pour segmenter techniquement et logiquement les différents profils de connexion (pédagogie, imprimante, wifi, ...).
Le service IAS de Microsoft, couplé à un annuaire Active Directory, gère l'authentification sans-fil 802.1X.
Remarque :
Deux types de câblages informatiques sont en place dans l'établissement. La distribution capillaire des bâtiments CTT, MMS et PST est réalisée avec du câble IBM de type 2 et nécessite la mise en place de connecteurs baluns "hermaphrodite" sur les prises pour adapter l'impédance.
Les autres bâtiments (SPA et TCM) sont eux plus récents et disposent d'un câblage Ethernet classique.
Infrastructure Wi-Fi existante (cf. Annexe 2)
Matériel
Désignation Référence Quantité
CONTROLEUR WIFI
OmniAccess 4308T - 8 ports 10/100 Power over Ethernet (POE) et un port uplink 1000BaseT. Support de 16 points d'accès OmniAccess APxx. Les points d'accès peuvent être connectés directement ou à travers un réseau L2 ou L3.
OAW-4308T 1
Module "Policy Enforcement Firewall" pour OmniAccess 4308 (Licence 16 AP).
OAW-4308-PEF 1 POINT D'ACCES
OmniAccess AP65 avec antenne intégrée (2,4Ghz & 5Ghz).
Support du 802.11a and 802.11b/g.
OAW-AP65 16
Kit de Montage pour AP65 OAW-AP65-MNT 16
POINT D'ACCES
Omniaccess AP105 wireless access point. Dual radio IEEE 802.11 a/b/g/n (draft 2.0) wireless access point with support for 802.11b/g/n and 802.11a/n operation, dual-band integral
antenna, 1X 10/100/1000base-T (RJ45) ethernet interface (supports 802.3AF power)
OAW-AP105 2
Omniaccess AP105 universal AC Power adapter kit OAW-AP-AC-UN 2 OMNIACCESS AP105 Wall/Ceiling mounting kit OAW-AP105-MNT 2
Résumé :
1 contrôleur WI-FI 1U installé en rack dans le local informatique TCM3 (cascade gigabit ethernet) Capacité : 16 points d'accès maximum (limite matériel)
16 bornes AP65 légères (1 HS - 15 en service) 2 bornes AP105 (1 en spare - 1 en service)
Figure 2 : Contrôleur WLAN 4308T Baie TCM3
Implantation et couverture actuelle
Implantation des points d'accès par baie et équipement informatique :
TCM3 SPA1 CTT3 MMS2 MMS3 MMS4
TCM009C
Sur contrôleur WLAN TCM009D
TCM010C TCM011G TCM101P TCM103A TCM302A TCM-102D
TCM205A A3600 unit4 port 5
CTT3HALLE3A 4400 unit1
Port 11
PST409B A3600Unit2
port 17
MMS410B A3600Unit2
port 16
PST502H A3600Unit4
port 5
SPA0F A3600 Unit2
port 22
SPA102D A3600Unit2
port 20
SPA459A A3600Unit2
port 24
Réseau Wi-Fi en production
EDUROAM
authentification forte 802.1X EAP/PEAP avec MSCHAPv2
serveur d'authenfication IAS annuaire Active Directory
chiffrement WPA2 AES
personnels enseignants étudiants chercheurs WIFI-IFMA-MOBILE
sécurité et service minimum connexion simplifiée annuaire Active Directory
portail captif non chiffré
personnels enseignants étudiants chercheurs WIFI-IFMA-PUBLIC
sécurité et service minimum connexion simplifiée portail captif non chiffré authentification sur base locale
du contrôleur
invités entreprises- hébergées WIFI-IFMA-SECURE
authentification forte 802.1X EAP/PEAP avec MSCHAPv2
serveur d'authenfication IAS annuaire Active Directory chiffrement wep dynamique
personnels enseignants étudiants chercheurs
Réseau Wi-Fi (SSID) Mode d'accès Population
Informations complémentaires :
Le réseau WIFI-IFMA-MOBILE est optimisé pour les appareils mobiles grâce à une page d'authentification dont le design s'adapte au terminal (CSS responsive). Le candidat devra préciser si la solution proposée permet la personnalisation du portail d'authentification.
Le chiffrement "wep dynamique" utilisé sur le réseau "WIFI-IFMA-SECURE" devra être renforcé avec la nouvelle solution et évoluer vers le WPA2.
Le réseau EDUROAM est dédié aux invités enseignants et étudiants appartenant à un établissement de recherche et d’enseignement supérieur membres de la fédération EDUROAM.
Il permet aux utilisateurs de se connecter au réseau avec les identifiants de leur établissement d'origine.
Implantation et couverture envisagée
Emplacements des nouvelles zones de couverture envisagées dans l'extension
Une proposition d'implantation de nouveaux points d'accès a été réalisée d'après les résultats d'une enquête effectuée auprès des utilisateurs et à partir des besoins identifiés en termes de couverture radio.
Zones Bâtiment/étage
Point d'accès à ajouter
Local informatique
Alimentation électrique
Proposition d'implantation
SPA0 1 SPA1 Equipement POE Salle SPA008
SPA2 2 SPA1 Equipement POE Amphi Poincaré
Salle SPA205
SPA3 1 SPA1 Equipement POE Salle SPA303
SPA4 1 SPA1 Equipement POE Cogitos SPA407
TCM0 2 TCM3 Equipement POE Salle TCM002
Salle TCM007
MMS1 1 MMS2 Equipement POE Salle MMS102
MMS2 1 MMS2 Equipement POE Salle MMS206
MMS4 1 MMS4 Equipement POE Salle MMS453
MMS5 1 MMS4 Equipement POE Salle MMS558
PST2 1 MMS2 Equipement POE Salle PST202
PST3 1 MMS3 Equipement POE Salle PST302
PST4 1 MMS4 Equipement POE Amphi Timoshenko
PST5 1 MMS4 Equipement POE Salle PST551
CTT4 1 CTT3 Equipement POE Salle CTT490
Il est demandé au candidat de valider cette proposition selon ses préconisations en matière de couverture Wi-Fi. Le candidat en apportera les preuves écrites et chiffrées.
Une étude pourra être proposée et basée sur les plans des bâtiments disponibles au téléchargement durant la durée de la consultation.
Cette démarche devra permettre d'assurer une couverture satisfaisante sur la totalité des zones spécifiées dans l'annexe 3. Apparaissent sur cette annexe la couverture des nouveaux points d'accès (couleur orange) ainsi que les zones couvertes par les bornes en place et remplacée dans le marché (couleur bleue).
Le Comité d'Hygiène, de Sécurité et des Conditions de Travail de l'établissement impose une distance de 10m entre l'émission d'un point d'accès Wi-Fi et le bureau d'un personnel ; cette contrainte devra être prise en compte et respectée.
La solution proposée sera également confirme aux lois et réglementations en vigueur en France concernant les technologies, les fréquences et puissances d'émission utilisées.
Eléments techniques
Le candidat indiquera si les éléments proposés supportent les fonctionnalités suivantes : Infrastructure
Contrôleur Wi-Fi (dans le cas d'une infrastructure Wlan centralisée) Point d'accès léger (dans le cas d'une infrastructure Wlan centralisée) Point d'accès lourd (dans le cas d'une infrastructure Wlan distribuée) Installation en rack
Antenne omnidirectionnelle sur les AP Dispositif anti-vandalisme/antivol Support fixation mural sécurisé (antivol) Port Ethernet 1gb
Bi-bande, 5 GHz (802.11 a/n) et 2,4 GHz (802.11 b/g/n) 802.11n
Support du POE (802.3af) et alimentation individuelle Exploitation
Administration web sécurisée (HTTPS) Administration mode console, SSH Administration centralisée
Installation en rack
Gestion des Vlans, support du 802.1q
Serveur DHCP (réservation, exclusion, gestion des plages d'adresses) Intégration des plans de l'établissement dans l'application
Support des différents systèmes d'exploitation : ios, macos, linux, symbian, android, ...
Gestion automatique de la puissance du signal radio
Gestion supérieur à 30 points d'accès (possibilité d'extension du nombre de points d'accès) Page d'authentification personnalisable pour adaptation à la charte graphique de l'établissement (images, textes, liens, ...)
Gestion du trafic réseau selon des priorités, QoS (802.11e, 802.1P,DiffServ) Gestion de la bande passante par client/profil/utilisateur connecté
Partage de la charge entre les AP (load balancing)
Optimisation de l’accès au média des clients lents et rapides, et équilibrage du trafic Supervision
Mise à jour centralisée des AP
Visualisation en temps réel de la couverture radio et géo-localisation des clients Détection des zones blanches
Détection et localisation des interférences Wi-Fi et non Wi-Fi Système de traçabilité et identification des invités
Sécurité
Pare-feu intégré au contrôleur ou aux AP
Niveau de chiffrement le plus élevé WPA/WPA2 (AES) Détection et classification des points d'accès "sauvages"
Détection des usurpations MAC/IP et des différentes attaques Possibilité de neutraliser un équipement identifié comme malveillant Alimentation redondante
Sauvegarde de toute la configuration Authentification
Authentification 802.1X avec tous les EAP Authentification via portail captif
Authentification possible via Radius et IAS
Affectation dynamique de Vlans sur authentification 802.1X Connecteur LDAP et Active Directory
Remontées d'alarmes Support du SNMP Journalisation détaillée
Rapports par AP et par utilisateurs
Graphes
Fonction d'analyse des logs Mobilité
Support de la VoIP
Support des matériels hétérogènes : smartphone, pda, tablette, ...
Gestion du nomadisme Accès utilisateurs
Base utilisateurs locale au contrôleur
Gestion de l'expiration des comptes Wi-Fi (tranches horaires, expiration automatique) Gestion des droits d'accès par profil utilisateur
Attribution dynamique des droits d'accès après authentification
Interface de type "hotspot" pour l'auto enregistrement d'un utilisateur invité Interface web "light" (droits restreints) pour déléguer la création de compte Wi-Fi Import en masse de comptes utilisateurs locaux (csv, …)
Gestion des droits des utilisateurs en fonction de sa localisation géographique
Nature des prestations demandées
Les prestations attendues sont les suivantes :
Identification des besoins fonctionnels et spécification d’architecture.
Travaux de câblage et installation des points d'accès.
Intégration et paramétrage.
Management centralisé et transfert de compétences.
Maintenance et assistance.
Identification des besoins fonctionnels et spécification d’architecture
La solution proposée devra faire partie intégrante du LAN existant, basé sur des commutateurs déjà présents, avec une politique de VLAN par port.
Les interfaces des commutateurs existants permettent un débit de 100Mbps. L'ajout de nouveaux éléments actifs "Gigabit" est à l'étude ; la solution devra être entièrement compatible avec cette nouvelle norme.
Définition des règles applicatives à mettre en œuvre sur le réseau de communication radio.
Validation technique et fonctionnelle.
Validation des emplacements des bornes WIFI.
Définition des règles de sécurité et fonctionnelles à mettre en place : authentification, SSID, chiffrement…
Les matériels fournis seront garantis conformes aux normes françaises en vigueur et à la norme CE, particulièrement au regard de l’émission de rayonnement électromagnétique et pour un usage en milieu pédagogique.
Travaux de câblage et installation des points d'accès
Ce travail englobe une partie de l'installation physique de la solution et plus particulièrement l'ensemble des travaux de câblage à réaliser pour implanter les points d'accès.
Les travaux suivants seront à réaliser :
Assemblage – montage sécurisé des interfaces / sous interfaces.
Remplacement de la distribution capillaire IBM type 2 par du Gigabit Ethernet pour l’interconnexion des points d'accès des bâtiments CTT, PST, MMS (1ère phase).
Réalisation de la distribution capillaire cuivre catégorie 5E ou 6 pour l’interconnexion des nouveaux points d'accès.
Ce travail comprend, si nécessaire, la fixation d'un panneau RJ45 côté local technique ainsi qu'un boitier ou plastron RJ45 côté point d'accès.
La convention de nommage des prises ajoutées sera fournie par le CRI durant les travaux.
Le brassage dans la baie informatique sera effectué par le CRI.
Installation sécurisée (hors de portée) des points d’accès (mur, plafond, …).
Cette étape comprend le remplacement des points d'accès déjà en production ainsi que l'installation des nouvelles bornes prévues dans l'extension.
Remarques :
Le câblage informatique des bâtiments CTT, PST et MMS utilise des liaisons IBM type 2.
Cette architecture ne permet pas d'atteindre des débits supérieurs à 100Mbps et d'utiliser la technologie POE.
La distribution capillaire des points d'accès en place dans ces zones sera donc à refaire sur la base d'un câblage en Gigabit Ethernet classique.
La technologie POE (Power Over Ethernet) sera privilégiée pour l'alimentation des nouveaux points d'accès. Les injecteurs de courant et blocs d'alimentation en place seront donc retirés.
Le point d'accès de la zone CTT3 est raccordé avec une solution temporaire. Son câblage, courant fort et courant faible, devra être repris.
Ces travaux devront faire l'objet d'une certification et de la remise d'un cahier de recette à l'issu du chantier.
Intégration et paramétrage
Constitution et chargement de la configuration sur les équipements (reprise de la configuration actuelle sur les nouveaux équipements).
Définition et implémentation des règles applicatives (SSID, VLAN, sécurisation, chiffrement, authentification).
Paramétrage en mode console et au travers de l’interface.
Paramétrage et mise à niveau des équipements raccordés aux bornes si nécessaires.
Management centralisé et transfert de compétences
Phase 1 : Intégration et mise en œuvre de la plateforme de management sans-fil.
Les prestations d’intégration sont les suivantes :
o Définition et spécification de la configuration o Implantation de l’appliance
o Raccordement sur le LAN existant
o Configuration : adresse IP, découverte et adaptation de la puissance des points d'accès, choix de la fréquence en fonction de l'environnement
Paramétrages selon préconisations.
Phase 2 : Transfert de compétence sur site.
Le candidat prévoira la formation d'une partie de l'équipe informatique à l'utilisation des équipements installés.
Seront abordés la présentation de l'interface de gestion du système et les fonctionnalités sous- jacentes (liste non exhaustive) :
Centralisation de l'exploitation
La gestion des erreurs et des alarmes
L’ajout de nouveaux points d’accès
L’ajout de nouveaux utilisateurs
L’implémentation de nouvelles applications
Le changement de paramètres de sécurité
La prise en compte du filtrage par adresse MAC
Le paramétrage et l’implémentation des nouveaux points d’accès
....
Maintenance et assistance
Besoin
La prestation demandée concerne à la fois les aspects logiciels et matériels. Elle doit traiter tout problème de configuration, paramétrage et de panne affectant en totalité ou partiellement les équipements de la solution proposée.
Il est demandé au prestataire de mettre à disposition de l'IFMA un numéro d’appel téléphonique (type Hotline) ainsi qu’une adresse électronique afin de soumettre les demandes.
Le prestataire devra prendre en compte les demandes d’intervention faites par téléphone ou par message électronique :
- En ouvrant un ticket d’incident,
- En désignant un de ses ingénieurs ou techniciens comme étant le correspondant de l’équipe réseau de l'IFMA
- En proposant une solution ou, à défaut, un plan d’action correctif.
Définition et périmètre
A la date d’admission des équipements, le prestataire doit proposer une assistance technique sur les matériels et logiciels embarqués et prévoir la remise en fonctionnement à un niveau identique des équipements de la solution proposée subissant une panne.
Le fournisseur est invité à proposer une ou plusieurs offres de maintenance intégrant un délai d'intervention ainsi qu'un délai de rétablissement.
La proposition devra se rapprocher de l'offre de maintenance suivante :
Sévérité En ligne Sur site
Critique 1h 8h
Haute 4h Next business day
Normale 8h 2 jours
Faible Next business day -
En cas d’impossibilité de réparer le matériel sur site, le fournisseur livre, installe et configure gratuitement un matériel de remplacement présentant des caractéristiques équivalentes dans un délai de deux jours ouvrés à compter du lendemain du jour d’intervention.
ANNEXE 1 : Schéma réseau physique existant
ANNEXE 2 : Schéma réseau logique Wi-Fi existant
ANNEXE 3 : Plans de couverture du site
Bâtiment /Etages
Phase de construction
Baie Info.
AP existantes
à renouveler
AP supplémentaires
envisagés
AP
supplémentaires préconisés par le
candidat SPA0
2ème Phase Câblage Ethernet
SPA1 1
SPA1 SPA1 1
SPA2 SPA1 2
SPA3 SPA1 1
SPA4 SPA1 1 1
TCM-1 TCM3 1
TCM0 TCM3 4 2
TCM1 TCM3 2
TCM2 TCM3 1
TCM3 TCM3 1
MMS1
1ère phase Câblage IBM
type 2 (PoE non supporté)
MMS2 1
MMS2 MMS2 1
MMS3 MMS3
MMS4 MMS4 1 1
MMS5 MMS4 1
ACC0 SPA1 1
ACC2 SPA1
PST2 MMS2 1
PST3 MMS3 1
PST4 MMS4 1 1
PST5 MMS4 1 1
CTT3 CTT3 1
CTT4 CTT3 1
Total 16 16
Points d'accès en production
Points d'accès prévus dans l'extension
Couverture souhaitée dans les zones des points d'accès remplacés Couverture souhaitée des nouvelles
zones à couvrir Baie informatique
CTT3
CTT4
MMS1
MMS2 et PST2
MMS3 et PST3
MMS4 et PST4
MMS5 et PST5
TCM-1
TCM0, ACC0 et SPA0
TCM1 et SPA1
TCM2, ACC2 et SPA2
TCM3 et SPA3
SPA4