Page 1 sur 27

MARCHE PUBLIC DE FOURNITURES ET DE SERVICES

Fourniture et installation d'une solution Wi-Fi avec extension de la couverture sans-fil

de l'établissement

CAHIER DES CHARGES

INSTITUT FRANCAIS DE MECANIQUE AVANCEE

Page 2 sur 27

Sommaire Objet du marché _______________________________________________________________ 2

Présentation de l'IFMA __________________________________________________________ 3

Infrastructure filaire existante (cf. Annexe 1) _________________________________________ 4

Infrastructure Wi-Fi existante (cf. Annexe 2) __________________________________________ 4

Implantation et couverture envisagée _______________________________________________ 7

Eléments techniques souhaités ___________________________________________________ 8

Nature des prestations demandées ________________________________________________ 9

Identification des besoins fonctionnels et spécification d’architecture ____________________ 9

Travaux de câblage et installation des points d'accès ________________________________ 9

Intégration et paramétrage ____________________________________________________ 10

Management centralisé et transfert de compétences ________________________________ 10

Maintenance et assistance ____________________________________________________ 11

ANNEXE 1 : Schéma réseau physique existant ______________________________________ 12

ANNEXE 2 : Schéma réseau logique Wi-Fi existant ___________________________________ 13

ANNEXE 3 : Plans de couverture du site ___________________________________________ 14

Objet du marché Une enquête sur les usages du réseau Wi-Fi, réalisée en mars 2012 auprès des utilisateurs, met en évidence le manque de zones couvertes par le réseau sans-fil dans l'établissement. En effet, sur un total de 233 participations, 58,8% disent ne pas être satisfait de la couverture Wi-Fi en place actuellement dans l'école. De plus, l'explosion actuelle des usages mobiles, entrainée notamment par la progression des ventes de smartphones et tablettes font aujourd'hui évoluer les besoins en termes de couverture mais également de débit. Ce projet vise donc à étendre le réseau sans-fil installé, tout en bénéficiant des technologies radios de dernière génération et ainsi optimiser la solution actuellement en place. Cette opération doit apporter une amélioration significative dans le débit de transmission ainsi que dans la qualité de service proposé tout en respectant les contraintes sanitaires en vigueur. L'objectif de ce déploiement est de proposer aux utilisateurs du réseau Wi-Fi, un niveau de confort acceptable dans l'utilisation de ressources toujours plus consommatrice en bande passante (streaming, visioconférence, cloud storage, ...). La solution proposée devra donc s'avérer pérenne et orientée vers l'avenir pour encaisser la montée en charges des services sans-fil qui ne cessent d'évoluer.

Page 3 sur 27

Présentation de l'IFMA L'Institut Français de Mécanique Avancée a été fondé en 1991 et est situé sur le Campus des Cézeaux de Clermont-Ferrand. L'école assure la formation d'ingénieurs polyvalents de haut niveau, concepteurs constructeurs de biens d'équipements industriels en génie mécanique et en productique. Ce site, de plus de 20 000 m², est composé de cinq bâtiments de plusieurs niveaux articulés autour d'une sphère centrale, correspondant chacun à un pôle d'enseignement spécifique. L'école abrite 7 amphithéâtres, tous équipés en audiovisuel, des cogitos (salles de travail), 11 salles informatiques et 10 laboratoires. Le Centre de transfert de technologie (CTT) est une halle technique de 3 500 m² équipés en robots et équipements de pointe au service des étudiants et des industriels. Le parc informatique, fort de plus de 600 machines, a dans ce contexte un rôle prépondérant, tant au point de vue logistique que pédagogique. Sa gestion est assurée par le Centre de Ressources Informatiques (CRI) composé de 6 personnes. Les 115 membres du personnel de l'IFMA accueillent, chaque année, dans ces locaux prés de 650 élèves-ingénieurs.

Figure 1 : vue globale de l'IFMA

Page 4 sur 27

Infrastructure filaire existante (cf. Annexe 1) L'architecture réseau de l'IFMA est organisée selon une étoile optique. Des baies de brassage informatique sont installées dans les bâtiments TCM, SPA, MMS, CTT et irriguent, aux travers de liaisons 100mbits/s, les salles et bureaux avoisinants. TCM, SPA et MMS héberge les baies informatiques secondaires, lesquels sont raccordés via des liaisons fibre optique au local réseau principal (CTT). L'équipement assurant la commutation centrale de niveau 3 est un commutateur 3Com 4800G. Un firewall Netasq NG1000-A gère en amont les autorisations d'accès. Le contrôleur WLAN est installé dans la baie informatique TCM3 et cascadé sur un switch HP A3600. Depuis ce local, la liaison s'effectue au travers d'une fibre optique jusqu'à l'équipement cœur de réseau. Les Vlans par port sont employés en interne pour segmenter techniquement et logiquement les différents profils de connexion (pédagogie, imprimante, wifi, ...). Le service IAS de Microsoft, couplé à un annuaire Active Directory, gère l'authentification sans-fil 802.1X. Remarque : Deux types de câblages informatiques sont en place dans l'établissement. La distribution capillaire des bâtiments CTT, MMS et PST est réalisée avec du câble IBM de type 2 et nécessite la mise en place de connecteurs baluns "hermaphrodite" sur les prises pour adapter l'impédance. Les autres bâtiments (SPA et TCM) sont eux plus récents et disposent d'un câblage Ethernet classique.

Infrastructure Wi-Fi existante (cf. Annexe 2) Matériel

Désignation Référence Quantité

CONTROLEUR WIFI OmniAccess 4308T - 8 ports 10/100 Power over Ethernet (POE) et un port uplink 1000BaseT. Support de 16 points d'accès OmniAccess APxx. Les points d'accès peuvent être connectés directement ou à travers un réseau L2 ou L3.

OAW-4308T 1

Module "Policy Enforcement Firewall" pour OmniAccess 4308 (Licence 16 AP).

OAW-4308-PEF 1

POINT D'ACCES OmniAccess AP65 avec antenne intégrée (2,4Ghz & 5Ghz). Support du 802.11a and 802.11b/g.

OAW-AP65 16

Kit de Montage pour AP65 OAW-AP65-MNT 16

POINT D'ACCES Omniaccess AP105 wireless access point. Dual radio IEEE 802.11 a/b/g/n (draft 2.0) wireless access point with support for 802.11b/g/n and 802.11a/n operation, dual-band integral antenna, 1X 10/100/1000base-T (RJ45) ethernet interface (supports 802.3AF power)

OAW-AP105 2

Omniaccess AP105 universal AC Power adapter kit OAW-AP-AC-UN 2

OMNIACCESS AP105 Wall/Ceiling mounting kit OAW-AP105-MNT 2

Page 5 sur 27

Résumé : 1 contrôleur WI-FI 1U installé en rack dans le local informatique TCM3 (cascade gigabit ethernet) Capacité : 16 points d'accès maximum (limite matériel) 16 bornes AP65 légères (1 HS - 15 en service) 2 bornes AP105 (1 en spare - 1 en service)

Figure 2 : Contrôleur WLAN 4308T Baie TCM3

Implantation et couverture actuelle

Implantation des points d'accès par baie et équipement informatique :

TCM3 SPA1 CTT3 MMS2 MMS3 MMS4

TCM009C

Sur contrôleur WLAN

TCM009D

TCM010C

TCM011G

TCM101P

TCM103A

TCM302A

TCM-102D

TCM205A A3600 unit4

port 5

CTT3HALLE3A 4400 unit1

Port 11

PST409B A3600Unit2

port 17

MMS410B A3600Unit2

port 16

PST502H A3600Unit4

port 5

SPA0F A3600 Unit2

port 22

SPA102D A3600Unit2

port 20

SPA459A A3600Unit2

port 24

Page 6 sur 27

Réseau Wi-Fi en production

EDUROAM

authentification forte 802.1X

EAP/PEAP avec MSCHAPv2

serveur d'authenfication IAS

annuaire Active Directory

chiffrement WPA2 AES

personnels

enseignants

étudiants

chercheurs

WIFI-IFMA-MOBILE

sécurité et service minimum

connexion simplifiée

annuaire Active Directory

portail captif non chiffré

personnels

enseignants

étudiants

chercheurs

WIFI-IFMA-PUBLIC

sécurité et service minimum

connexion simplifiée

portail captif non chiffré

authentification sur base locale

du contrôleur

invités

entreprises-

hébergées

WIFI-IFMA-SECURE

authentification forte 802.1X

EAP/PEAP avec MSCHAPv2

serveur d'authenfication IAS

annuaire Active Directory

chiffrement wep dynamique

personnels

enseignants

étudiants

chercheurs

Réseau Wi-Fi (SSID) Mode d'accès Population

Informations complémentaires : Le réseau WIFI-IFMA-MOBILE est optimisé pour les appareils mobiles grâce à une page d'authentification dont le design s'adapte au terminal (CSS responsive). Le candidat devra préciser si la solution proposée permet la personnalisation du portail d'authentification. Le chiffrement "wep dynamique" utilisé sur le réseau "WIFI-IFMA-SECURE" devra être renforcé avec la nouvelle solution et évoluer vers le WPA2. Le réseau EDUROAM est dédié aux invités enseignants et étudiants appartenant à un établissement de recherche et d’enseignement supérieur membres de la fédération EDUROAM. Il permet aux utilisateurs de se connecter au réseau avec les identifiants de leur établissement d'origine.

Page 7 sur 27

Implantation et couverture envisagée

Emplacements des nouvelles zones de couverture envisagées dans l'extension Une proposition d'implantation de nouveaux points d'accès a été réalisée d'après les résultats d'une enquête effectuée auprès des utilisateurs et à partir des besoins identifiés en termes de couverture radio.

Zones Bâtiment/étage

Point d'accès

à ajouter

Local informatique

Alimentation électrique

Proposition d'implantation

SPA0 1 SPA1 Equipement POE Salle SPA008

SPA2 2 SPA1 Equipement POE Amphi Poincaré Salle SPA205

SPA3 1 SPA1 Equipement POE Salle SPA303

SPA4 1 SPA1 Equipement POE Cogitos SPA407

TCM0 2 TCM3 Equipement POE Salle TCM002 Salle TCM007

MMS1 1 MMS2 Equipement POE Salle MMS102

MMS2 1 MMS2 Equipement POE Salle MMS206

MMS4 1 MMS4 Equipement POE Salle MMS453

MMS5 1 MMS4 Equipement POE Salle MMS558

PST2 1 MMS2 Equipement POE Salle PST202

PST3 1 MMS3 Equipement POE Salle PST302

PST4 1 MMS4 Equipement POE Amphi Timoshenko

PST5 1 MMS4 Equipement POE Salle PST551

CTT4 1 CTT3 Equipement POE Salle CTT490

Il est demandé au candidat de valider cette proposition selon ses préconisations en matière de couverture Wi-Fi. Le candidat en apportera les preuves écrites et chiffrées. Une étude pourra être proposée et basée sur les plans des bâtiments disponibles au téléchargement durant la durée de la consultation. Cette démarche devra permettre d'assurer une couverture satisfaisante sur la totalité des zones spécifiées dans l'annexe 3. Apparaissent sur cette annexe la couverture des nouveaux points d'accès (couleur orange) ainsi que les zones couvertes par les bornes en place et remplacée dans le marché (couleur bleue). Le Comité d'Hygiène, de Sécurité et des Conditions de Travail de l'établissement impose une distance de 10m entre l'émission d'un point d'accès Wi-Fi et le bureau d'un personnel ; cette contrainte devra être prise en compte et respectée. La solution proposée sera également confirme aux lois et réglementations en vigueur en France concernant les technologies, les fréquences et puissances d'émission utilisées.

Page 8 sur 27

Eléments techniques Le candidat indiquera si les éléments proposés supportent les fonctionnalités suivantes : Infrastructure Contrôleur Wi-Fi (dans le cas d'une infrastructure Wlan centralisée) Point d'accès léger (dans le cas d'une infrastructure Wlan centralisée) Point d'accès lourd (dans le cas d'une infrastructure Wlan distribuée) Installation en rack Antenne omnidirectionnelle sur les AP Dispositif anti-vandalisme/antivol Support fixation mural sécurisé (antivol) Port Ethernet 1gb Bi-bande, 5 GHz (802.11 a/n) et 2,4 GHz (802.11 b/g/n) 802.11n Support du POE (802.3af) et alimentation individuelle Exploitation Administration web sécurisée (HTTPS) Administration mode console, SSH Administration centralisée Installation en rack Gestion des Vlans, support du 802.1q Serveur DHCP (réservation, exclusion, gestion des plages d'adresses) Intégration des plans de l'établissement dans l'application Support des différents systèmes d'exploitation : ios, macos, linux, symbian, android, ... Gestion automatique de la puissance du signal radio Gestion supérieur à 30 points d'accès (possibilité d'extension du nombre de points d'accès) Page d'authentification personnalisable pour adaptation à la charte graphique de l'établissement (images, textes, liens, ...) Gestion du trafic réseau selon des priorités, QoS (802.11e, 802.1P,DiffServ) Gestion de la bande passante par client/profil/utilisateur connecté Partage de la charge entre les AP (load balancing) Optimisation de l’accès au média des clients lents et rapides, et équilibrage du trafic Supervision Mise à jour centralisée des AP Visualisation en temps réel de la couverture radio et géo-localisation des clients Détection des zones blanches Détection et localisation des interférences Wi-Fi et non Wi-Fi Système de traçabilité et identification des invités Sécurité Pare-feu intégré au contrôleur ou aux AP Niveau de chiffrement le plus élevé WPA/WPA2 (AES) Détection et classification des points d'accès "sauvages" Détection des usurpations MAC/IP et des différentes attaques Possibilité de neutraliser un équipement identifié comme malveillant Alimentation redondante Sauvegarde de toute la configuration Authentification Authentification 802.1X avec tous les EAP Authentification via portail captif Authentification possible via Radius et IAS Affectation dynamique de Vlans sur authentification 802.1X Connecteur LDAP et Active Directory Remontées d'alarmes Support du SNMP Journalisation détaillée Rapports par AP et par utilisateurs

Page 9 sur 27

Graphes Fonction d'analyse des logs Mobilité Support de la VoIP Support des matériels hétérogènes : smartphone, pda, tablette, ... Gestion du nomadisme Accès utilisateurs Base utilisateurs locale au contrôleur Gestion de l'expiration des comptes Wi-Fi (tranches horaires, expiration automatique) Gestion des droits d'accès par profil utilisateur Attribution dynamique des droits d'accès après authentification Interface de type "hotspot" pour l'auto enregistrement d'un utilisateur invité Interface web "light" (droits restreints) pour déléguer la création de compte Wi-Fi Import en masse de comptes utilisateurs locaux (csv, …) Gestion des droits des utilisateurs en fonction de sa localisation géographique

Nature des prestations demandées Les prestations attendues sont les suivantes : Identification des besoins fonctionnels et spécification d’architecture. Travaux de câblage et installation des points d'accès. Intégration et paramétrage. Management centralisé et transfert de compétences. Maintenance et assistance.

Identification des besoins fonctionnels et spécification d’architecture La solution proposée devra faire partie intégrante du LAN existant, basé sur des commutateurs

déjà présents, avec une politique de VLAN par port. Les interfaces des commutateurs existants permettent un débit de 100Mbps. L'ajout de nouveaux éléments actifs "Gigabit" est à l'étude ; la solution devra être entièrement compatible avec cette nouvelle norme.

Définition des règles applicatives à mettre en œuvre sur le réseau de communication radio. Validation technique et fonctionnelle. Validation des emplacements des bornes WIFI. Définition des règles de sécurité et fonctionnelles à mettre en place : authentification, SSID,

chiffrement… Les matériels fournis seront garantis conformes aux normes françaises en vigueur et à la

norme CE, particulièrement au regard de l’émission de rayonnement électromagnétique et pour un usage en milieu pédagogique.

Travaux de câblage et installation des points d'accès Ce travail englobe une partie de l'installation physique de la solution et plus particulièrement l'ensemble des travaux de câblage à réaliser pour implanter les points d'accès. Les travaux suivants seront à réaliser : Assemblage – montage sécurisé des interfaces / sous interfaces. Remplacement de la distribution capillaire IBM type 2 par du Gigabit Ethernet pour

l’interconnexion des points d'accès des bâtiments CTT, PST, MMS (1ère phase). Réalisation de la distribution capillaire cuivre catégorie 5E ou 6 pour l’interconnexion des

nouveaux points d'accès. Ce travail comprend, si nécessaire, la fixation d'un panneau RJ45 côté local technique ainsi qu'un boitier ou plastron RJ45 côté point d'accès.

Page 10 sur 27

La convention de nommage des prises ajoutées sera fournie par le CRI durant les travaux. Le brassage dans la baie informatique sera effectué par le CRI.

Installation sécurisée (hors de portée) des points d’accès (mur, plafond, …). Cette étape comprend le remplacement des points d'accès déjà en production ainsi que l'installation des nouvelles bornes prévues dans l'extension. Remarques : Le câblage informatique des bâtiments CTT, PST et MMS utilise des liaisons IBM type 2. Cette architecture ne permet pas d'atteindre des débits supérieurs à 100Mbps et d'utiliser la technologie POE. La distribution capillaire des points d'accès en place dans ces zones sera donc à refaire sur la base d'un câblage en Gigabit Ethernet classique. La technologie POE (Power Over Ethernet) sera privilégiée pour l'alimentation des nouveaux points d'accès. Les injecteurs de courant et blocs d'alimentation en place seront donc retirés. Le point d'accès de la zone CTT3 est raccordé avec une solution temporaire. Son câblage, courant fort et courant faible, devra être repris. Ces travaux devront faire l'objet d'une certification et de la remise d'un cahier de recette à l'issu du chantier.

Intégration et paramétrage Constitution et chargement de la configuration sur les équipements (reprise de la configuration

actuelle sur les nouveaux équipements). Définition et implémentation des règles applicatives (SSID, VLAN, sécurisation, chiffrement,

authentification). Paramétrage en mode console et au travers de l’interface. Paramétrage et mise à niveau des équipements raccordés aux bornes si nécessaires.

Management centralisé et transfert de compétences Phase 1 : Intégration et mise en œuvre de la plateforme de management sans-fil. Les prestations d’intégration sont les suivantes :

o Définition et spécification de la configuration o Implantation de l’appliance o Raccordement sur le LAN existant o Configuration : adresse IP, découverte et adaptation de la puissance des points

d'accès, choix de la fréquence en fonction de l'environnement Paramétrages selon préconisations.

Phase 2 : Transfert de compétence sur site. Le candidat prévoira la formation d'une partie de l'équipe informatique à l'utilisation des équipements installés. Seront abordés la présentation de l'interface de gestion du système et les fonctionnalités sous-jacentes (liste non exhaustive) : Centralisation de l'exploitation La gestion des erreurs et des alarmes L’ajout de nouveaux points d’accès L’ajout de nouveaux utilisateurs

Page 11 sur 27

L’implémentation de nouvelles applications Le changement de paramètres de sécurité La prise en compte du filtrage par adresse MAC Le paramétrage et l’implémentation des nouveaux points d’accès ....

Maintenance et assistance Besoin La prestation demandée concerne à la fois les aspects logiciels et matériels. Elle doit traiter tout problème de configuration, paramétrage et de panne affectant en totalité ou partiellement les équipements de la solution proposée. Il est demandé au prestataire de mettre à disposition de l'IFMA un numéro d’appel téléphonique (type Hotline) ainsi qu’une adresse électronique afin de soumettre les demandes. Le prestataire devra prendre en compte les demandes d’intervention faites par téléphone ou par message électronique : - En ouvrant un ticket d’incident, - En désignant un de ses ingénieurs ou techniciens comme étant le correspondant de l’équipe réseau de l'IFMA - En proposant une solution ou, à défaut, un plan d’action correctif. Définition et périmètre A la date d’admission des équipements, le prestataire doit proposer une assistance technique sur les matériels et logiciels embarqués et prévoir la remise en fonctionnement à un niveau identique des équipements de la solution proposée subissant une panne. Le fournisseur est invité à proposer une ou plusieurs offres de maintenance intégrant un délai d'intervention ainsi qu'un délai de rétablissement. La proposition devra se rapprocher de l'offre de maintenance suivante :

Sévérité En ligne Sur site

Critique 1h 8h

Haute 4h Next business day

Normale 8h 2 jours

Faible Next business day -

En cas d’impossibilité de réparer le matériel sur site, le fournisseur livre, installe et configure gratuitement un matériel de remplacement présentant des caractéristiques équivalentes dans un délai de deux jours ouvrés à compter du lendemain du jour d’intervention.

Page 12 sur 27

ANNEXE 1 : Schéma réseau physique existant

Page 13 sur 27

ANNEXE 2 : Schéma réseau logique Wi-Fi existant

Page 14 sur 27

ANNEXE 3 : Plans de couverture du site

Bâtiment /Etages

Phase de construction

Baie Info.

AP existantes

à renouveler

AP supplémentaires

envisagés

AP supplémentaires préconisés par le

candidat

SPA0

2ème Phase Câblage Ethernet

SPA1

1

SPA1 SPA1 1

SPA2 SPA1

2

SPA3 SPA1

1

SPA4 SPA1 1 1

TCM-1 TCM3 1

TCM0 TCM3 4 2

TCM1 TCM3 2

TCM2 TCM3 1

TCM3 TCM3 1

MMS1

1ère phase Câblage IBM

type 2 (PoE non supporté)

MMS2

1

MMS2 MMS2

1

MMS3 MMS3

MMS4 MMS4 1 1

MMS5 MMS4

1

ACC0 SPA1 1

ACC2 SPA1

PST2 MMS2

1

PST3 MMS3

1

PST4 MMS4 1 1

PST5 MMS4 1 1

CTT3 CTT3 1

CTT4 CTT3

1

Total 16 16

Points d'accès en production

Points d'accès prévus dans l'extension

Couverture souhaitée dans les zones des points d'accès remplacés

Couverture souhaitée des nouvelles zones à couvrir

Baie informatique

Page 15 sur 27

CTT3

Page 16 sur 27

CTT4

Page 17 sur 27 Page 17 sur 27

MMS1

Page 18 sur 27 Page 18 sur 27

MMS2 et PST2

Page 19 sur 27 Page 19 sur 27

MMS3 et PST3

Page 20 sur 27 Page 20 sur 27

MMS4 et PST4

Page 21 sur 27 Page 21 sur 27

MMS5 et PST5

Page 22 sur 27

TCM-1

Page 23 sur 27

TCM0, ACC0 et SPA0

Page 24 sur 27

TCM1 et SPA1

Page 25 sur 27

TCM2, ACC2 et SPA2

Page 26 sur 27

TCM3 et SPA3

Page 27 sur 27

SPA4