cahier des clauses techniques particulieres

CAHIER DES CLAUSES TECHNIQUES PARTICULIERES
Renouvellement des équipements et de l’infrastructure WIFI de l’Ecole Nationale Supérieure
d’Architecture de Grenoble
1
TABLE DES MATIERES
1.
OBJET DU MARCHE
3
2.
CONTEXTE
4
2.1.
2.2.
2.3.
2.4.
3.
PRESENTATION DE L’ECOLE NATIONALE SUPERIEURE D’ARCHITECTURE DE GRENOBLE
INFRASTRUCTURE FILAIRE EXISTANTE
INFRASTRUCTURE LOGIQUE EXISTANTE
INFRASTRUCTURE WIFI EXISTANTE
SPECIFICATIONS DU PROJET, FOURNITURES ET PRESTATIONS ATTENDUES
3.1.
OBJECTIFS GENERAUX
3.2.
COUVERTURE RADIO SOUHAITEE
3.3.
FONCTIONNALITES ATTENDUES
3.3.1.
Protocoles et fonctionnalités supportés par les équipements Wifi
3.3.2.
Caractéristiques techniques des bornes Wifi
3.3.3.
Caractéristiques techniques des contrôleurs
3.3.4.
Administration et supervision du parc
3.3.5.
Portail captif
3.4.
BORNES WIFI
3.4.1.
Installation des bornes
3.4.2.
Intégration des bornes dans l’existant
3.4.3.
Câblage
4.
PRESTATIONS DE MAINTENANCE ET DE SUPPORT
4.1.
4.2.
4.3.
4.4.
4.5.
5.
DESCRIPTION DES BESOINS
DEFINITION ET PERIMETRE
MODALITES D’INTERVENTION
CLAUSES PARTICULIERES
PRESENTATION DE L’OFFRE DE MAINTENANCE
DEPLOIEMENT ET RECETTE DE LA SOLUTION
5.1.
5.2.
5.3.
5.4.
PRESTATION DE DEPLOIEMENT DE LA SOLUTION
TRANSFERTS DE COMPETENCES
LIVRABLES
RECETTE DE LA SOLUTION
ANNEXE 1 : CONTRAINTES CHS POUR LE DEPLOIEMENT DES POINTS D’ACCES
4
4
6
7
13
13
13
14
14
15
16
17
18
20
20
20
20
21
21
21
21
22
22
22
22
23
23
23
24
2
1. Objet du marché
Ce marché a pour objet l’acquisition et la maintenance des matériels et des logiciels associés
dans le cadre du renouvellement des équipements et de l’infrastructure wifi de l’Ecole
Nationale Supérieure d’Architecture de Grenoble.
Une prestation de maintenance et d’assistance logicielle doit être assurée par le titulaire.
Des prestations intellectuelles telles que du transfert de compétence lié aux équipements
matériels et logiciels acquis par l’ENSAG dans le cadre de ce marché, des prestations
d’expertise technique ou encore une étude en vue d’amélioration de la couverture existante
devront être réalisées par le titulaire à la demande de l’Ecole Nationale Supérieure
d’Architecture de Grenoble.
3
2. Contexte
2.1. Présentation de l’Ecole Nationale Supérieure d’Architecture de Grenoble
L'Ecole Nationale Supérieure d'Architecture de Grenoble (ENSAG) est un établissement
public à caractère administratif d'enseignement supérieur et de recherche, placé sous la
tutelle du Ministère de la Culture et de la Communication.
L’ENSAG accueille 1200 personnes sur un seul site dont 1000 étudiants, 200 enseignants,
chercheurs et personnels administratifs ainsi que quatre équipes de recherche qui sont
hébergées sur le site. L’ENSAG est partenaire de la communauté universitaire et
scientifique, de collectivités locales et territoriales.
Le site de l’ENSAG est bâti sur 5 niveaux pour une surface de 13000 m² dont 10000 m²
de surface utile nette.
2.2. Infrastructure filaire existante
Le réseau filaire constitue l’infrastructure physique du réseau de données et du réseau
téléphonique. Ce réseau, administré par l’équipe informatique de l’ENSAG, est composé
de :
Une épine dorsale ou « backbone » en Gigabit constituée de liaisons en fibres optiques
multimodes 50/125 μm reliant le répartiteur général SR1 au répartiteur secondaire
SRLABO03 et à 24 autres sous-répartiteurs (architecture liaisons optiques en étoile et
maillage répartiteurs adjacents).
Des liaisons en cuivre de catégorie 5e ou 6 viennent compléter le réseau de backbone pour
les connexions de postes clients en 10/100/1000Mbs dans les bureaux et salles de cours du
bâtiment.
Figure 1: Maillage des répartiteurs et sous-répartiteurs (.dwg disponible en
téléchargement)
4
Dans le local réseau principal SR1 on trouve :
- les panneaux de brassage des liaisons réseaux cuivre (de catégorie 5e ou 6) vers les
salles et bureaux proches où sont connectés les équipements réseaux terminaux :
ordinateurs, imprimantes, téléphones IP ou numériques, fax ;
- les panneaux de brassage des liaisons optiques (50/125µm) qui desservent les locaux
du répartiteur secondaire et des sous-répartiteurs ;
- Le cœur de réseau constitué de deux commutateurs Alcatel OmniSwitch 7800 assurant
le routage et le filtrage de niveau 3 ;
- Des commutateurs réseau Ethernet de type Alcatel OmniSwitch 6600 desservant les
équipements terminaux locaux et compatibles 802.3af (Poe) ;
- Des commutateurs réseau Ethernet de type Alcatel OmniSwitch 6300 desservant les
équipements serveurs.
Dans le local réseau secondaire SRLABO03 on trouve :
- les panneaux de brassage des liaisons optiques (50/125µm) qui desservent les locaux
du répartiteur principal et des sous-répartiteurs adjacents;
- les panneaux de brassage des liaisons réseaux cuivre (de catégorie 5e ou 6) vers les
salles et bureaux proches où sont connectés les équipements réseaux terminaux :
ordinateurs, imprimantes, téléphones IP ou numériques, fax ;
- Des commutateurs réseau Ethernet de type Alcatel OmniSwitch 6300 desservant les
équipements serveurs.
Dans les locaux sous-répartiteurs on trouve :
- les panneaux de brassage des liaisons réseaux cuivre (de catégorie 5e ou 6) vers les
salles et bureaux proches où sont connectés les équipements réseaux terminaux :
ordinateurs, imprimantes, téléphones IP ou numériques, fax ;
- les panneaux de brassage des liaisons optiques (50/125µm) qui desservent les locaux
du répartiteur secondaire et des sous-répartiteurs ;
- Des commutateurs réseau Ethernet de type Alcatel OmniSwitch 6600 desservant les
équipements terminaux locaux et compatibles 802.3af (Poe).
5
Figure 2: Architecture physique
2.3. Infrastructure logique existante
Au niveau logique, il existe plusieurs réseaux sur le site, chacun adressant des besoins
différents. On distingue parmi les plus importants:
- le réseau administratif,
- le réseau pédagogique,
- le réseau Services communs,
- Les réseaux de la recherche.
L’ensemble de ces réseaux est implémenté sous la forme de VLAN de type VLAN par
port.
Tous les VLANs (environ 23) sont commutés par le cœur de réseau composé de deux
équipements de type Alcatel OmniSwitch 7800.
Les commutateurs réseau d’extrémités n’assurent que des fonctions réseau de niveau 2 et
servent au raccordement des équipements terminaux de type ordinateurs, téléphones ip et
imprimantes présents dans les salles desservies par les locaux sous-répartiteurs.
6
EAG - Vlans
Date: 19 octobre 2005
EAG - Spécifications Architecture v1.3.vsd
Vlan 2 : DMZ
Vlan 3 : Internet
Vlan 10 : Cybercafe
Vlan 11 : Associations
Vlan 12 : Visioconference
Vlan 13 : Video_On_Demand
Vlan 14 : Invites
Vlan 20 : Pedagogie
Vlan 21 : Serveurs_Pedagogie
Vlan 22 : Imprimantes_Pedagogie
Vlan 23 : CDI_Pedagogie
Vlan 24 : Imprimantes_CDI_Pedagogie
Vlan 30 : Administration
Vlan 31 : Serveurs_Administration
Vlan 33 : Imprimantes Administration
Vlan 40 : Serveurs_Communs
Vlan 50 : Telephonie
Vlan 60 : Admin_Systemes_Reseau
Vlan 70 : Wifi
Vlan 100 : Labo_Craterre
Vlan 101 : Labo_Cresson
Vlan 102 : Labo_Montagne
Vlan 103 : Labo_MHA
6600-SREO1-1
1/28
2/28
2/27
3/27
3/28
2/25
Stack 1
Stack 2
Stack 3
3/25
1/23
Vlans
14, 20, 50, 60, 70, 100
1/24
Vlans
13, 21, 31, 32, 40, 60
7800-SR1-1
6600-SREO2-1
2/27
3/27
Stack 1
Stack 2
Stack 3
3/25
1/1
1/2
9/1
9/2
3/28
Vlans
14, 20, 50, 60, 70, 101
6600-SREO3-1
1/25
1/26
Stack 1
Stack 1
1/25
Vlan 60
Vlans
14, 20, 30, 70
Vlans
10, 11, 12, 13, 14,
20, 21, 22, 23, 24
30, 31, 32, 33
40, 50, 60, 70
100, 101, 102, 103
Vlans
14, 20, 50, 60, 70, 102, 103
Vlan 2
Stack 1
2/25
0/1
1/27
Stack 1
13/1
8/1
11/1
Vlan 3
Vlan 32
1/23
1/28
2/28
2/27
3/27
3/28
4/28
4/27
5/27
5/28
I WIRELESS ACCESS PO INT
Vlans
14, 20, 30, 32, 60
Stack 1
Stack 2
Stack 3
Stack 4
Stack 5
2/23
3/25
4/25
Vlans
10, 14, 20, 30, 32,
33, 50, 60, 70
5/24
Borne Wifi
Cisco AP1200
6600-SR3-1
1/27
1/28
2/28
2/27
3/27
Cisco
2621XM
Vlans
14, 20, 50, 60, 70
Vlans
14, 20, 22, 50, 60, 70
3/25
CISC O AIRO NET 1200
Vlans
10, 14, 20, 30, 32,
33, 50, 60, 70
1/24
Serveurs
DMZ
3/28
Completel
Amplivia
6600-SRGMB31-1
1/27
1/1
LinkAgg
0/1
1/1
1/2
9/1
9/2
1/25
Stack 1
Stack 2
Stack 3
Stack 4
Cisco 2950
n2
Vlans
12, 14, 20, 32, 50, 60, 70
7800-SR1-2
1/27
4/27
4102-SR1-2
6400-SR1-DMZ
6600-SRGMB32-1
Stack 1
3/28
4/28
Vla
1/25
1/26
2/27
3/27
6600-SR2-1
Port 1
Vlans
14, 20, 50, 60, 70
6600-SRINFO03-1
1/27
1/28
2/28
Service
Port
4102-SR1-1
6600-SRGMB11-1
Stack 1
1/24
1/23
LinkAgg
0/1
Vlans
14, 20, 50, 60, 70, 102, 103
6600-SREO4-1
1/26
8/1
11/1
1/28
2/28
2/25
13/7
1/27
6300-SRLABO03-1
Vlan 3
1/27
6300-SR1-1
Stack 1
Stack 2
Stack 3
2/25
Vlans
14, 20, 23, 24, 30,
32, 33, 50, 60, 70
3/25
6600-SREE0
1/25
Vlans
14, 20, 50, 60, 70
Stack 1
1/26
Vlans
11, 14, 50, 60, 70
1/25
6600-SR1-1
6300-SR1-2
1/25
1/27
Stack 1
1/25
1/23
6600-SRGMB13-1
Vlans
14, 20, 50, 60, 70
1/24
1/27
Vlans
13, 21, 31, 32, 40, 60
1/28
2/28
2/27
Stack 1
Stack 2
Vlans
14, 20, 50, 60, 70
2/25
6600-SREE3-1
1/27
Stack 1
1/25
Vlans
14, 20, 50, 60, 70
Commutateur
Ethernet L3
Alcatel OmniSwitch7800
Commutateur
Ethernet L2
OmniSwitch6602-24
Commutateur
Ethernet L2
OmniSwitch6600-P24
(Alimentation IP-Phones
et bornes Wifi)
Commutateur
Ethernet L2
OmniSwitch6600-24
Commutateur
Ethernet L2
OmniSwitch6300-24
Appliance Wifi
OmniAccess4102
Lien 802.1Q - Transport des Vlans
Figure 3: Architecture logique
2.4. Infrastructure Wifi existante
Une infrastructure sans-fil servant au réseau de données s’appuie sur ce réseau filaire.
Mise en place en 2004, l’infrastructure wifi existante est composée d’un parc de 32 bornes
légères Alcatel OAW-1200abg (dont 1 de spare) pilotées par deux « Appliances »
OmniAccess 4102 configurées en haute disponibilité et raccordées en gigabit au travers de
deux ports 1000base SX sur les cœurs de réseau OmniSwitch 7800.
La solution est administrée via un système de gestion centralisé OmniVista Air Control
System qui offre la possibilité de configurer, de surveiller et d’administrer le réseau wifi.
Les bornes, supportent le protocole IEEE 802.11a/b/g et sont alimentées via Ethernet
(PoE/ IEEE 802.3af).
Pour chaque borne déployée, un câblage spécifique de type catégorie 6 a été réalisé. Un
bloc de prise RJ45 et une prise d’alimentation secteur sont présent à proximité de chaque
borne.
7
EAG - Wifi
Date: 11 mai 2011
EAG - Spécifications Architecture v1.6.vsd
LWAPP Niveau 2
Wlan Administration
7800-SR1-1
WPA preshared key
mode
Borne Wifi
OAW-1200ABG
802.11a/b/g
Wlan Invites
WPA preshared key
mode
Vlans
14, 20, 30, 70
.251
Vlans
14, 20, 30, 70
Backup
Wlan Pedagogie
VRRP
vrid : 70
ip :192.168.70.254
WPA preshared key
mode
Filtrage adresse MAC
Vlans
14, 20, 30, 70
2/27
3/27
3/28
Stack 1
Stack 2
Stack 3
4102-SR1-1
Vlans
14, 20, 30, 70
Master
1/27
1/28
2/28
Management
Interface
.252
7800-SR1-2
4102-SR1-2
Virtual Interface (Web Auth) : 192.168.0.1
Correspondance Wlan - Vlan :
Interface Vlan_Invites (14) - Wlan_Invites
Interface Vlan_Pedagogie (20) - Wlan_Pedagogie
Interface Vlan_Administration (30) - Wlan_Administration
Figure 4: Infrastructure wifi
8
L’irrigation dans les différentes zones du bâtiment se fait de la façon suivante :
Bâtiment
Niveau
Désignation
Localisation
zone
Répartiteur
associé
Capacité max
(personnes)
S
Bureau des
associations
S81
SREE01
19
1
Amphithéâtre
Simounet
188
SREE1
128
1
Espace Design
187
SRGMB13
50
1
Salle
d’enseignement
185
SRGMB12
50
1
Laboratoire
AE&CC
177
SREO1
25
1
Laboratoire
AE&CC
Circulation
SREO1
25
1
Espace
prototype
150
SR1
25
1
Salle
multimédia
158
SRGMB11
19
2
Salle
d’enseignement
293
SREE2
50
2
Salle
d’enseignement
292
SRGMB23
50
2
Salle
d’enseignement
284
SRGMB22
50
2
Laboratoire
Cresson
279
SREO2
25
2
Laboratoire
Cresson
270
SREO2
25
2
Administration
Circulation
SR2
25
2
Hall d’accueil
202
SR1
25
9
2
Hall d’accueil
CA
SR3
25
3
Salle
d’enseignement
393
SREE3
50
3
Salle
d’enseignement
387
SRGMB33
50
3
Salle
d’enseignement
385
SRGMB32
50
3
Salle
d’enseignement
351
SRGMB31
100
3
Laboratoire
Architecture,
Paysage,
Montagne
371
SREO3
25
3
Cafétéria
315
SR2
50
3
Amphithéâtre
Maglione 2
250
SR1
192
3
Amphithéâtre
Maglione 3
360
SR1
148
3
Plateforme
informatique
325
SRINFO03
75
3
Documentation
341
SR3
25
3
Documentation
Mezzanine
SR3
25
4
Salle
d’enseignement
489
SREE4
50
4
Salle
d’enseignement
486
SRGMB43
50
4
Salle
d’enseignement
482
SRGMB41
75
4
Laboratoire
Métiers de
l’Histoire
Circulation
SREO4
25
Tableau 1: Répartition des APs dans le bâtiment
10
Quatre catégories d’utilisateurs du service wifi sont considérées:
-
Les personnels administratifs de l’ENSAG
Les étudiants, enseignants et chercheurs de l’ENSAG
Les invités
Les invités enseignants ou étudiants appartenant à un établissement de recherche et
d’enseignement supérieur membres de la fédération EDUROAM
Le schéma suivant montre les populations ayant un besoin de connectivité ainsi que les
différents modes d’accès aux réseaux de l’ENSAG via le service wifi actuel.
SSID et utilisateurs
Modes d’accès
Réseaux cibles SSID « ENSAG » Etudiants / Enseignants / Chercheurs WPA + MacFiltering Réseau pédagogique WPA + MacFiltering Réseau administratif Portail captif
Réseau invité 802.1X(radius) /WPA2 Réseau EDUROAM SSID « Administration » Administratifs SSID « invites » Invités SSID « eduroam» Enseignants et étudiants invités Figure 5: Schéma du service wifi actuel
11
Le parc des équipements clients connectés au réseau wifi est fortement hétérogène. On
distingue les types de clients suivants :
PC sous Windows, Linux, Free BSD ou MacOs.
PDA et Smartphones sous Symbian, Windows Mobile, IOS, Android ou autres.
On estime à environ 600 le nombre de clients, sachant que les PDA et Smartphones sont
pour l’instant exclus sur le réseau pédagogique et à 120 le nombre de connexions
simultanées sur le réseau wifi.
12
3. Spécifications du projet, fournitures et prestations attendues
Rappel - Les points suivants sont expressément convenus entre les parties :
La configuration et les matériels indiqués, qu’ils soient nouveaux ou existants, dans le présent
dossier de consultation sont fournis à titre exclusivement indicatif. Les caractéristiques du
système proposé doivent dans tous les cas avoir les performances spécifiées au CCTP,
répondre aux besoins et assurer les fonctions exigées. Le titulaire proposera toute solution
permettant d’améliorer les services rendus en fonction des objectifs indiqués et des résultats et
performances attendus.
Une importance primordiale est accordée aux engagements du titulaire en ce qui concerne les
prestations de maintenance et de sécurité des systèmes informatiques de l’ENSAG que ce soit
avant ou après la période de garantie.
Le titulaire se soumet à une obligation de résultats sur l'ensemble de l'opération, aussi bien au
niveau de la réalisation de l'opération et de la conformité du système complet aux
spécifications, performances et résultats demandés que pour la maintenance de cet ensemble.
Les mises à jour des logiciels sont faites (et notamment leur installation, leur paramétrage et
leur intégration) sous les directives et l’entière responsabilité du titulaire qui ne pourra en
aucun cas rejeter quelque responsabilité sur un tiers ou la personne publique.
Le titulaire doit faire évoluer les applications en conformité avec les normes et les usages
propres au secteur d'activité de la personne publique.
3.1. Objectifs généraux
L’ENSAG souhaite renouveler son infrastructure wifi, l’adapter aux nouveaux usages et à
la diversité des terminaux utilisés par ses populations, améliorer la couverture wifi
existante et répondre aux problèmes de densité d’utilisateurs potentiels tout en respectant
les contraintes sanitaires en vigueur.
L’accès aux services wifi se fera au travers d’une solution de portail d’authentification
web (portail captif) qui devra, en fonction du profil de l’utilisateur et/ou du profil de
matériel, autoriser ou non l’accès aux ressources définies.
3.2. Couverture radio souhaitée
Il est demandé au candidat de fournir dans sa proposition une implantation type des
bornes wifi qu’il préconise afin de satisfaire à la couverture radio souhaitée par l’ENSAG
tout en respectant les contraintes d’exposition aux ondes émises par le Comité d’Hygiène
et Sécurité de l’école. Le candidat en apportera les preuves écrites et chiffrées. Cette étude
sera basée sur les plans du bâtiment au format Autocad fournis par l’ENSAG et
téléchargeables durant la durée de la consultation et pourra être complétée par une étude
13
de couverture. Une visite obligatoire sera faite au moins 15 jours avant le rendu des offres.
L’infrastructure wifi à mettre en place devra obligatoirement couvrir l’ensemble des
bureaux, salles de cours, salles de réunions, amphithéâtres, salles de visioconférence ainsi
que les zones passantes (halls, couloirs, cafétéria, etc.…) du bâtiment tels que délimités
(en jaune) sur les plans. Elle devra en outre permettre le déplacement (ou « roaming ») des
utilisateurs de manière transparente pour eux.
L’ENSAG souhaite dans un premier temps offrir une couverture radio de qualité
suffisante pour l’échange de données uniquement (service de connectivité IP au-dessus
d’un accès radio). Cette couverture devra être de qualité équivalente au réseau filaire (au
débit près).
Cette couverture pourra évoluer par la suite afin d’offrir aux usagers un service de ToIP
sur wifi avec les exigences d’un service de production.
Le candidat donnera donc une implantation type des bornes wifi qu’il préconise pour
l’échange de données, complétée d’une implantation permettant d’offrir de la ToIP sur
wifi sans remise en question sévère de la première implantation proposée. Il précisera
notamment dans chacun des cas (service données uniquement et service données+ToIP) le
nombre, la localisation et la puissance des bornes wifi. La proposition du candidat tiendra
compte des besoins de l’ENSAG en terme de capacités de salles (donc de clients wifi
potentiels) exprimées au paragraphe 2.4.
Contraintes souhaitées par le Comité d’Hygiène et Sécurité (CHS)
L'ENSAG souhaite limiter autant que possible l'exposition des personnes aux ondes
électromagnétiques afin de protéger au mieux la santé des personnes. Des règles de
déploiement plus contraignantes que les lois et les règlements en vigueur ont été émises
par le CHS. Elles sont exposées dans ce document en annexe 1.
Le candidat tiendra compte autant que possible de ces contraintes lors de l’élaboration des
deux implantations type.
3.3. Fonctionnalités attendues
Le réseau Wifi devra s’intégrer au réseau filaire existant. Le réseau sans fil ne représente
que le prolongement du réseau filaire.
Le candidat devra fournir dans sa proposition la description technique détaillée des bornes
et contrôleurs qu’il préconise pour le site de l’ENSAG.
La solution proposée sera conforme aux lois et réglementations en vigueur en France
concernant les technologies, les fréquences, les puissances d’émission utilisées, ainsi
qu’aux lois et réglementations françaises relatives à la sécurité des personnes et à la
compatibilité électromagnétique des équipements.
Enfin, la solution proposée devra être conforme à l’état de l’art concernant les risques
connus dans le domaine.
Les différents composants devront répondre aux caractéristiques techniques et aux critères
de maintenance décrits dans le présent document.
3.3.1. Protocoles et fonctionnalités supportés par les équipements Wifi
La solution wifi devra être compatible avec les protocoles wifi usuels : IEEE
802.11b/g/n, 802.3af, 802.1x, etc...
Le candidat indiquera si les équipements proposés supportent :
- La gestion du roaming niveau 2 et 3
- La possibilité de partager la charge entre les AP (Load Balancing)
14
-
La possibilité de partager la charge entre 2.4Ghz et 5Ghz
L’optimisation de l’accès au média des clients lents et rapides, et l’équilibrage de
trafic
L’alimentation des AP en POE standard et alimentation séparée
L’administration centralisée
Une politique de sécurité centralisée quelle que soit l’architecture et le nombre de
contrôleurs
Un analyseur de spectre intégré, n’obligeant pas à dédier des bornes à cet usage
La mise à jour centralisée et automatique des AP
L’ajout simple des nouveaux AP, possibilité de restreindre les APs autorisées par
authentification
La calibration automatique et continue des AP, partage de charge et auto correctif
sur panne
L’installation automatique des AP sur profile préétabli
La détection et localisation des trous de couvertures
La détection et localisation des interférences wifi et non wifi
La visualisation en temps réel de la couverture radio et la géo-localisation des
clients wifi.
Le « PMK Caching »
la détection des équipements wifi non déclarés au service informatique avec
possibilité pour l’administrateur de les classer « ami » ou « pirate »
un IDS pour l’infrastructure wifi
Les fonctionnalités de l’infrastructure wifi existante exposée au paragraphe 2.4
doivent obligatoirement être supportées par les équipements proposés par le candidat.
Les composants de la nouvelle infrastructure wifi doivent notamment obligatoirement
supporter l’affectation dynamique de vlans suite à une authentification basée sur
802.1x (WPA2 avec cryptage AES-CCMP). Le support d’au moins 24 vlans
affectables dynamiquement est demandé.
Le candidat précisera le nombre maximum de vlans supportés par les équipements
qu’il propose.
Le support du trafic unicast et multicast IPv4 et IPv6 est demandé.
La solution doit permettre le support des clients hétérogènes de l’ENSAG décrits au
paragraphe 2.4 et prendre en compte l’explosion du nombre de Smartphones et pda au
sein de l’établissement.
3.3.2. Caractéristiques techniques des bornes Wifi
Les points d’accès devront être certifiés par la Wifi Alliance et auront comme
caractéristiques principales d’être :
- Bi bandes et capables de gérer les réseaux utilisant la bande de fréquence des 5
GHz (802.11 a/n) et celle des 2,4 GHz (802.11 b/g/n), disposant d’une
alimentation en Power Over Ethernet
Compatibles 802.11i
15
-
Compatibles 802.11e et 802.11p pour la gestion de la bande passante
-
Prévus pour supporter la Voix sur Wifi
-
Munis d’un kit de fixation mural
L’intégration de nouvelles bornes wifi dans la nouvelle infrastructure doit être simple
et aisée (notamment pour déployer un service de toip sur wifi).
Les points d'accès devront comporter un accès réseau filaire à 1000 Mb/s Ethernet et
supporter la norme 802.3af pour leur alimentation électrique.
Pour le ou les modèles de points d’accès proposés le candidat précisera en particulier :
- Le nombre et le type des interfaces radio présentes sur chaque point d’accès ;
- Le ou les types de liens de collecte réseau possibles (type et débit de l’interface
filaire);
- Le type, les caractéristiques et la procédure de mise en œuvre des antennes
utilisées ;
- Si le point d’accès est certifié pour un déploiement en faux-plafond (si oui,
dans quelles conditions) ;
- Les recommandations de déploiement du constructeur, en particulier
concernant la compatibilité électromagnétique et la sécurité des personnes ;
- Si le point d’accès peut être utilisé de façon autonome sans le reste de la
solution (éventuellement au prix d’opérations de reconfiguration).
- La liste des certifications supportées ;
- Les dimensions et la masse ;
- Les gains horizontaux et verticaux en fonction des fréquences radios.
Le candidat précisera les différentes procédures que peuvent employer les points
d'accès pour trouver leurs contrôleurs et récupérer leur configuration.
3.3.3. Caractéristiques techniques des contrôleurs
Les contrôleurs proposés par le candidat devront obligatoirement être capables de
fonctionner en redondance.
Le candidat précisera pour les contrôleurs WIFI employés :
- Les dimensions des appareils,
- La consommation électrique,
- Le nombre d'interfaces gigabit restant disponible afin d'augmenter le nombre de
liens,
- Les débits supportés,
- La liste des RFC supportés,
- La liste des normes IEEE supportées,
- Toute autre caractéristique utile.
Les contrôleurs Wifi devront supporter le standard 802.1Q (Vlan trunking) pour
l'ensemble de leurs ports en connexion.
Le protocole Spanning tree devra être supporté. Il pourra être désactivé.
Le protocole Spanning Tree par VLAN devra être supporté. Il pourra être désactivé.
16
Les contrôleurs devront être capables de gérer le trafic réseau en fonction de sa classe
de service (priorité). C'est-à-dire interpréter les marquages QOS (802.11e, 802.1P,
DiffServ).
Le candidat précisera si un firewall est intégré au contrôleur et précisera les
fonctionnalités et la granularité de sa solution.
Performances et robustesse de l’architecture
Les contrôleurs proposés par le candidat doivent obligatoirement pouvoir fonctionner
en redondance.
L’adaptation des puissances sur les bornes par les contrôleurs wifi n’est pas une
fonctionnalité obligatoire, l’ENSAG privilégiant une redondance physique des bornes
dans les zones nécessitant une forte disponibilité du wifi comme par exemple les
amphithéâtres.
Le candidat décrira le fonctionnement de la solution qu’il préconise en l’absence de
panne :
Les contrôleurs fonctionnent-ils en actif/actif, en actif/passif ?
Dans le cas actif/actif, les contrôleurs pratiquent-ils le partage de charge, par exemple
en se répartissant équitablement le nombre de bornes à gérer ?
Comment les équipements gèrent-ils les problèmes de saturation de canaux ?
Le candidat décrira également le fonctionnement de la solution qu’il préconise en cas
de panne d’un contrôleur :
Les étapes de reconfiguration à partir de la panne du contrôleur ;
La durée de ces opérations ;
L’impact sur le service rendu aux utilisateurs (nature et durée des perturbations de
service).
3.3.4. Administration et supervision du parc
L’administration et la supervision de la nouvelle infrastructure wifi seront effectuées,
comme aujourd’hui, par les membres de l’équipe informatique de l’ENSAG.
Le candidat donnera une description détaillée des fonctionnalités offertes par sa
solution d’administration de parc wifi et précisera si l’ENSAG doit fournir une plateforme matérielle pour cette solution d’administration et de supervision.
L’administration du parc wifi devra pouvoir se faire à distance et via une connexion
sécurisée de type SSH ou HTTPS.
L’ENSAG demande également la possibilité de pouvoir se connecter à distance aux
contrôleurs de bornes en mode ligne de commande et/ou en mode web sécurisé.
La solution d’administration devra offrir des fonctionnalités classiques telles que la
journalisation des évènements, les remontées d’alertes en cas de dysfonctionnement
d’un des composants de l’infrastructure, la mise à jour des différentes configurations
des équipements wifi du parc, la mise à jour des versions des bornes et contrôleurs,
etc.… .
Le candidat indiquera si les équipements du parc supportent le protocole SNMP.
Le candidat précisera l'ensemble des fonctionnalités configurables par l’outil
d’administration.
Le candidat expliquera dans quelle mesure chacun des éléments du réseau dispose
d’un protocole sécurisé entre les différents éléments composant le réseau Wifi
(Dialogues entre contrôleurs, entre contrôleurs et points d’accès, entre Management
centralisé et contrôleurs).
17
Le candidat précisera si sa solution permet d’établir des statistiques et en précisera les
fonctionnalités (taux d’occupation des bornes, pourcentage d’utilisation des différents
services, nombre de clients sur un période donnée, etc.…).
3.3.5. Portail captif
La solution proposée par le candidat devra être intégrée et ne pas nécessiter l’ajout
d’équipements externes tel que serveur web ou proxy.
Un accès à l’intranet de l’ENSAG pour les enseignants, chercheurs et les personnels
administratifs se fera via le SSID « ENSA-Grenoble », le mode de protection sera le
802.1X/WPA2 avec affectation du vlan correspondant au groupe d’appartenance;
Un accès à l’intranet de l’ENSAG pour tous les étudiants se fera via le SSID
« ENSAG » au travers du portail captif et selon une authentification basée sur l’AD;
Un accès au réseau Eduroam pour les enseignants, étudiants et personnels invités
affiliés aux établissements d’enseignement supérieur membres de la fédération
Eduroam. Cette connectivité se fera au travers du SSID « eduroam » protégé en
802.1X/WPA2.
Un accès au réseau visiteurs pour les invités extérieurs se fera via le SSID « Invités »
protégé par un compte informatique crée en local et à la demande au niveau du portail
captif.
18
SSID et utilisateurs
Modes d’accès
Réseaux cibles SSID « ENSA‐Grenoble » Enseignants / Chercheurs/Administratifs 802.1X (radius) /WPA2 avec affectation du vlan
Réseau interne 802.1X (radius) /WPA2 Réseau EDUROAM SSID « eduroam » Etudiants / Enseignants invités Eduroam SSID « INVITES » Invités extérieurs Portail d’authentification web base locale de comptes d’invités Réseau invité SSID « ENSAG » Etudiants de l’ENSAG Portail d’authentification web basé sur l’annuaire AD
Réseau interne Le candidat indiquera la possibilité ou non de pouvoir personnaliser simplement la page
d’accueil du portail captif et de l’enrichir par ajout de texte, d’images ou de liens vers
d’autres pages web.
Le candidat précisera la possibilité ou non de limiter la bande passante ou le nombre de
connexions TCP/UDP par utilisateur.
Le candidat indiquera le nombre de comptes d’invités possibles dans la base locale de
gestion des comptes.
19
Le candidat indiquera les possibilités de déléguer la création de comptes d’invités dans la
base locale du portail captif.
Le candidat indiquera les possibilités de distinguer les terminaux susceptibles de se
connecter au réseau wifi et en fonction du type (smartphone, tablette, ordinateur portable),
la possibilité d’appliquer des règles plus restrictives à l’accès aux ressources.
3.4. Bornes wifi
Le titulaire procédera à l’installation des matériels, logiciels et câblages nécessaires au
bon fonctionnement de l’ensemble du système. L’installation comprend également la
configuration des différents éléments du système.
3.4.1. Installation des bornes
La prestation comprend :
-
La fourniture et l’installation des bornes avec un système de fixation polyvalent de la
borne (mur, plafond, …).
-
Un système de protection antivol pourra être proposé en option.
Le titulaire du marché devra fournir, sur l’ensemble du bâtiment, la meilleure qualité
possible du signal radio avec :
-
Réglage de la puissance des bornes en fonction de la surface à couvrir
-
Choix de la fréquence à utiliser en fonction de l'environnement.
3.4.2. Intégration des bornes dans l’existant
Le candidat doit tenir compte des contraintes relatives à notre infrastructure réseau. Les
points d'accès, l’administration du réseau doivent s'intégrer à l'architecture actuelle du
réseau. En particulier, les points d'accès seront raccordés sur le commutateur filaire le plus
proche sans nécessiter de reconfiguration de celui-ci ( Vlan, …) et sans risquer de faille de
sécurité.
3.4.3. Câblage
Le câblage de chaque point d’accès supplémentaire est à la charge du titulaire. Le câblage
sera de catégorie 6 et devra faire l’objet d’une certification et de la remise d’un cahier de
recette à l’issu du chantier.
20
4. Prestations de maintenance et de support
4.1. Description des besoins
La prestation demandée concerne à la fois les aspects logiciels et matériels. Elle doit
traiter tout problème de configuration, paramétrage et de panne affectant en totalité ou
partiellement les équipements de la solution proposée.
Il est demandé au prestataire de mettre à disposition de l’ENSAG un numéro d’appel
téléphonique (type Hotline) ainsi qu’une adresse électronique afin de soumettre les
demandes.
Le prestataire devra prendre en compte les demandes d’intervention faites par téléphone
ou par message électronique :
- En ouvrant un ticket d’incident,
- En désignant un de ses ingénieurs ou techniciens comme étant le correspondant de
l’équipe réseau de l’ENSAG,
- En proposant une solution ou, à défaut, un plan d’action correctif.
4.2. Définition et périmètre
A la date d’admission des équipements, le prestataire doit proposer une assistance
technique sur les matériels et logiciels embarqués et prévoir la remise en fonctionnement à
un niveau identique des équipements de la solution proposée subissant une panne.
Les pannes qui sont à traiter dans le cadre de cette prestation peuvent :
- Affecter totalement ou partiellement l’exploitation et les performances du service ;
- N’avoir, éventuellement, aucun effet sur les performances ou l’exploitation ;
- La prestation de Maintenance doit prévoir notamment l’échange standard d’un
composant qui serait devenu hors service.
Cette assistance consiste également à :
- Mettre à disposition de l’équipe informatique de l’ENSAG les logiciels des
constructeurs dont dépendent les équipements concernés (versions logicielles
majeures et mineures) ;
- Répondre à toute question technique relevant du paramétrage, de la configuration
et du fonctionnement de ces logiciels sur les équipements concernés. Dans ce
cadre, l’assistance qui est demandée n’est pas forcément corrélée à une panne mais
peut répondre, par exemple, à un besoin d’implémentation de nouvelles
fonctionnalités sur les équipements concernés ;
- Informer le personnel de l’équipe réseau de toute évolution logicielle et matérielle
recommandées par les constructeurs, par exemple pour des raisons de sécurité ou
d’obsolescence ;
- Mettre à disposition des personnels de l’équipe réseau les éléments permettant à
ceux-ci d’accéder aux sites web des constructeurs de façon privilégiée si cette
possibilité existe.
4.3. Modalités d’intervention
Le prestataire devra respecter les modalités générales d’intervention décrites au
paragraphe 4.1. Le délai maximum de prise en compte d’une demande est de 1 jour ouvré.
Avant expiration de ces délais, le prestataire doit engager :
21
-
Le remplacement d’un composant si celui-ci est jugé hors service au moment de
l’enregistrement de l’appel ;
Ou un plan d’action correctif dans le cas contraire ;
Ou bien une procédure d’escalade auprès du constructeur.
Dans l’éventualité où le problème, qui aura été pris en charge dans le délai demandé et
n’aurait pas entraîné de remplacement de composant, ne peut être résolu par le prestataire,
il est demandé à celui-ci d’indiquer aux personnels de l’équipe réseau de l’ENSAG la
procédure d’escalade envisagée. Une information à ce propos doit être rendue par le
prestataire au bout de 2 jours ouvrés au maximum depuis l’enregistrement de l’incident
par l’ENSAG. Les personnels réseau de l’ENSAG devront être régulièrement tenus
informés de l’état d’avancement de la résolution de l’incident.
4.4. Clauses particulières
L’ENSAG, en fonction de ses besoins, se réserve le droit de faire évoluer son architecture
réseau sans avertir expressément le titulaire du marché. A ce titre, l’ENSAG pourra
installer sur son réseau des équipements commercialisés par un autre fournisseur, installer
des équipements qui ne sont pas dans les périmètres définis ci-dessus, et modifier la
configuration des équipements couverts par la maintenance.
Afin de faciliter le diagnostic d’un incident soumis par l’ENSAG dans le cadre de la
prestation d’Assistance ou de la prestation de Maintenance, le prestataire pourra solliciter
une intervention sur le site de l’ENSAG. L’ENSAG donnera son accord et fixera les
limites de cette intervention. Le déplacement du prestataire sera à la charge de ce dernier.
4.5. Présentation de l’offre de maintenance
Afin que l’ENSAG puisse évaluer les différentes offres, le candidat devra :
- fournir un référentiel de clients dont il assure la maintenance de l’infrastructure
wifi,
- décrire la gestion de son stock de maintenance des matériels qui sont dans le
périmètre que doit couvrir la prestation de maintenance matérielle,
- présenter son niveau d’expertise sur les équipements qui sont l’objet de la
prestation d’assistance logicielle,
- décrire les procédures et moyens qu’il compte mettre en œuvre afin d’assurer au
mieux la prestation demandée par l’ENSAG.,
- préciser les conditions et la durée de la garantie proposée par le constructeur pour
les équipements concernés.
5. Déploiement et recette de la solution
5.1. Prestation de déploiement de la solution
Le candidat assurera une prestation de déploiement de la solution en collaboration avec les
personnels de l’équipe réseau de l’ENSAG.
Dans son offre, le candidat détaillera chaque étape du déploiement et fournira tous les
éléments utiles permettant d’apprécier la valeur technique de son offre.
22
Le candidat précisera dans sa réponse :
Les conditions, pré-requis et configurations à mettre en place par les personnels de
l’ENSAG pour la bonne réalisation de la prestation.
La durée maximale de réalisation de la prestation de déploiement : il s’agit d’un
engagement à réaliser la prestation dans ce délai une fois que les conditions pour démarrer
sont réunies.
5.2. Transferts de compétences
Le candidat retenu devra être en mesure de proposer à l’ENSAG un ensemble de transferts
de compétences sur l’exploitation des matériels et logiciels acquis dans le cadre de ce
marché.
Les prestations de transferts de compétences proposées seront dispensées en français, dans
les locaux de l’ENSAG et leur contenu sera synthétisé dans un support de cours au format
papier ou électronique (CD-ROM).
Une documentation au format électronique à usage des administrateurs et des utilisateurs
sera également fournie avec la solution proposée par le candidat.
5.3. Livrables
Le candidat fournira un dossier d’ouvrage exécuté comprenant :
-
Un dossier technique des matériels installés
-
Les plans d’installation des bornes après déploiement (ces plans devront être
intégrés dans le logiciel de gestion des bornes).
-
Le compte rendu de la couverture radio après déploiement.
-
Le cahier de recette du câblage catégorie 6
-
La documentation en français de la console d’administration et de supervision
5.4. Recette de la solution
Une recette sera organisée permettant de valider le bon fonctionnement de l’ensemble des
fonctionnalités demandées dans le présent document.
La recette consistera à vérifier entre autres :
-
La bonne couverture wifi des zones ;
-
La fonctionnalité de haute disponibilité ;
-
Le bon fonctionnement des connexions au travers du portail captif.
23
Annexe 1 : Contraintes CHS pour le déploiement des points d’accès
L’ENSAG souhaite réduire autant que possible l'exposition des personnes aux ondes
électromagnétiques afin de protéger au mieux la santé des personnes. Des règles de
déploiement plus contraignantes que les lois et les règlements en vigueur sont donc
préconisées par le Comité d’Hygiène et Sécurité (CHS) de l’Ecole Nationale Supérieure
d’Architecture de Grenoble.
Ces contraintes définies par le CHS viennent en complément des lois et des règlements en
vigueur ainsi que des autres conditions de déploiement demandées par l’ENSAG dans le
présent CCTP.
Aucune borne ne doit être installée dans un bureau, les bornes se trouvent toujours dans un
lieu de passage (couloir, salle de réunion, hall, etc.…), à plus de 2,5 mètres d’un poste de
travail et de préférence en faux plafond, à l’exception des bornes présentes dans les locaux
répartiteurs réseaux.
La puissance maximale d'émission (PIRE) de l'ensemble constitué par les points d'accès et les
antennes associées que le candidat propose dans son offre ne dépasse en aucun cas 100mW en
crête dans les conditions de déploiement. Si cette limite de puissance de 100mW pose des
contraintes de déploiement de la solution, le candidat les décrit dans son offre.
En aucun lieu du bâtiment le champ électrique global (cumulé) émis par la solution ne
dépasse 0,6 V/m. Cette limite s'entend dans les conditions de mesure du protocole ANFR/DR
15-3, mais en ne tenant pas compte des sources d'émissions autres que la solution.
24