CAHIER DES CLAUSES TECHNIQUES PARTICULIERES · 3 1. Objet du marché Ce marché a pour objet l’acquisition et la maintenance des matériels et des logiciels associés dans le cadre

1

CAHIER DES CLAUSES TECHNIQUES PARTICULIERES Renouvellement des équipements et de l’infrastructure WIFI de l’Ecole Nationale Supérieure

d’Architecture de Grenoble

2

TABLE DES MATIERES

1. OBJET DU MARCHE 3

2. CONTEXTE 4

2.1. PRESENTATION DE L’ECOLE NATIONALE SUPERIEURE D’ARCHITECTURE DE GRENOBLE 4 2.2. INFRASTRUCTURE FILAIRE EXISTANTE 4 2.3. INFRASTRUCTURE LOGIQUE EXISTANTE 6 2.4. INFRASTRUCTURE WIFI EXISTANTE 7

3. SPECIFICATIONS DU PROJET, FOURNITURES ET PRESTATIONS ATTENDUES 13

3.1. OBJECTIFS GENERAUX 13 3.2. COUVERTURE RADIO SOUHAITEE 13 3.3. FONCTIONNALITES ATTENDUES 14

3.3.1. Protocoles et fonctionnalités supportés par les équipements Wifi 14 3.3.2. Caractéristiques techniques des bornes Wifi 15 3.3.3. Caractéristiques techniques des contrôleurs 16 3.3.4. Administration et supervision du parc 17 3.3.5. Portail captif 18

3.4. BORNES WIFI 20 3.4.1. Installation des bornes 20 3.4.2. Intégration des bornes dans l’existant 20 3.4.3. Câblage 20

4. PRESTATIONS DE MAINTENANCE ET DE SUPPORT 21

4.1. DESCRIPTION DES BESOINS 21 4.2. DEFINITION ET PERIMETRE 21 4.3. MODALITES D’INTERVENTION 21 4.4. CLAUSES PARTICULIERES 22 4.5. PRESENTATION DE L’OFFRE DE MAINTENANCE 22

5. DEPLOIEMENT ET RECETTE DE LA SOLUTION 22

5.1. PRESTATION DE DEPLOIEMENT DE LA SOLUTION 22 5.2. TRANSFERTS DE COMPETENCES 23 5.3. LIVRABLES 23 5.4. RECETTE DE LA SOLUTION 23

ANNEXE 1 : CONTRAINTES CHS POUR LE DEPLOIEMENT DES POINTS D’ACCES 24

3

1. Objet du marché

Ce marché a pour objet l’acquisition et la maintenance des matériels et des logiciels associés dans le cadre du renouvellement des équipements et de l’infrastructure wifi de l’Ecole Nationale Supérieure d’Architecture de Grenoble.

Une prestation de maintenance et d’assistance logicielle doit être assurée par le titulaire.

Des prestations intellectuelles telles que du transfert de compétence lié aux équipements matériels et logiciels acquis par l’ENSAG dans le cadre de ce marché, des prestations d’expertise technique ou encore une étude en vue d’amélioration de la couverture existante devront être réalisées par le titulaire à la demande de l’Ecole Nationale Supérieure d’Architecture de Grenoble.

4

2. Contexte

2.1. Présentation de l’Ecole Nationale Supérieure d’Architecture de Grenoble

L'Ecole Nationale Supérieure d'Architecture de Grenoble (ENSAG) est un établissement public à caractère administratif d'enseignement supérieur et de recherche, placé sous la tutelle du Ministère de la Culture et de la Communication.

L’ENSAG accueille 1200 personnes sur un seul site dont 1000 étudiants, 200 enseignants, chercheurs et personnels administratifs ainsi que quatre équipes de recherche qui sont hébergées sur le site. L’ENSAG est partenaire de la communauté universitaire et scientifique, de collectivités locales et territoriales.

Le site de l’ENSAG est bâti sur 5 niveaux pour une surface de 13000 m² dont 10000 m² de surface utile nette.

2.2. Infrastructure filaire existante

Le réseau filaire constitue l’infrastructure physique du réseau de données et du réseau téléphonique. Ce réseau, administré par l’équipe informatique de l’ENSAG, est composé de : Une épine dorsale ou « backbone » en Gigabit constituée de liaisons en fibres optiques multimodes 50/125 μm reliant le répartiteur général SR1 au répartiteur secondaire SRLABO03 et à 24 autres sous-répartiteurs (architecture liaisons optiques en étoile et maillage répartiteurs adjacents). Des liaisons en cuivre de catégorie 5e ou 6 viennent compléter le réseau de backbone pour les connexions de postes clients en 10/100/1000Mbs dans les bureaux et salles de cours du bâtiment.

Figure 1: Maillage des répartiteurs et sous-répartiteurs (.dwg disponible en téléchargement)

5

Dans le local réseau principal SR1 on trouve :

- les panneaux de brassage des liaisons réseaux cuivre (de catégorie 5e ou 6) vers les salles et bureaux proches où sont connectés les équipements réseaux terminaux : ordinateurs, imprimantes, téléphones IP ou numériques, fax ;

- les panneaux de brassage des liaisons optiques (50/125µm) qui desservent les locaux du répartiteur secondaire et des sous-répartiteurs ;

- Le cœur de réseau constitué de deux commutateurs Alcatel OmniSwitch 7800 assurant le routage et le filtrage de niveau 3 ;

- Des commutateurs réseau Ethernet de type Alcatel OmniSwitch 6600 desservant les équipements terminaux locaux et compatibles 802.3af (Poe) ;

- Des commutateurs réseau Ethernet de type Alcatel OmniSwitch 6300 desservant les équipements serveurs.

Dans le local réseau secondaire SRLABO03 on trouve : - les panneaux de brassage des liaisons optiques (50/125µm) qui desservent les locaux

du répartiteur principal et des sous-répartiteurs adjacents; - les panneaux de brassage des liaisons réseaux cuivre (de catégorie 5e ou 6) vers les

salles et bureaux proches où sont connectés les équipements réseaux terminaux : ordinateurs, imprimantes, téléphones IP ou numériques, fax ;

- Des commutateurs réseau Ethernet de type Alcatel OmniSwitch 6300 desservant les équipements serveurs.

Dans les locaux sous-répartiteurs on trouve : - les panneaux de brassage des liaisons réseaux cuivre (de catégorie 5e ou 6) vers les

salles et bureaux proches où sont connectés les équipements réseaux terminaux : ordinateurs, imprimantes, téléphones IP ou numériques, fax ;

- les panneaux de brassage des liaisons optiques (50/125µm) qui desservent les locaux du répartiteur secondaire et des sous-répartiteurs ;

- Des commutateurs réseau Ethernet de type Alcatel OmniSwitch 6600 desservant les équipements terminaux locaux et compatibles 802.3af (Poe).

6

Figure 2: Architecture physique

2.3. Infrastructure logique existante

Au niveau logique, il existe plusieurs réseaux sur le site, chacun adressant des besoins différents. On distingue parmi les plus importants: - le réseau administratif, - le réseau pédagogique, - le réseau Services communs, - Les réseaux de la recherche. L’ensemble de ces réseaux est implémenté sous la forme de VLAN de type VLAN par port.

Tous les VLANs (environ 23) sont commutés par le cœur de réseau composé de deux équipements de type Alcatel OmniSwitch 7800.

Les commutateurs réseau d’extrémités n’assurent que des fonctions réseau de niveau 2 et servent au raccordement des équipements terminaux de type ordinateurs, téléphones ip et imprimantes présents dans les salles desservies par les locaux sous-répartiteurs.

7

EAG - VlansDate: 19 octobre 2005 EAG - Spécifications Architecture v1.3.vsd

6600-SREO2-1

6600-SREO1-1

Stack 1

6600-SRGMB11-1

Stack 1

6600-SREO4-1

Stack 1

6600-SREO3-1

6600-SRGMB31-1

Stack 1

6600-SRGMB32-1

Stack 1

6600-SREE3-1

Stack 1

6600-SRGMB13-1

Stack 1

6300-SRLABO03-1

6600-SRINFO03-1

Stack 1

6600-SREE0

Stack 3Stack 2Stack 1

1/27

3/28

2/27

1/282/28

3/27


1/27

3/28

2/27

1/282/28

3/27

Stack 4Stack 3Stack 2Stack 1

1/27

3/28

2/27

1/282/28

3/27

4/28

4/27

6600-SR1-1

Stack 2Stack 1

1/27

1/282/28

2/27

2/25

3/25

2/25

3/25

1/25

1/26

1/26

1/25

1/25

1/26

1/25

1/27

1/27

1/25

1/25

1/25

1/27

1/27

3/25

2/25

1/26

1/25

6400-SR1-DMZ

1/25

2/25

Vlan 32

Vlan 21/1

1/24

1/231/23

1/24

1/236300-SR1-2

6300-SR1-1

1/24

8/1

8/1

13

/1

ServeursDMZ

Vlan 2

9/2

1/1

1/2

9/1

9/2

1/1

1/2 9/1

LinkAgg0/1

LinkAgg0/1

Vlans14, 20, 30, 70

7800-SR1-2

7800-SR1-1

CompletelAmplivia

Vla

n 3

Cisco2621XM

Vlan 3

1/24 1/23

Stack 1

4102-SR1-1

Port 1

Vlan 60

13/7

ServicePort

Vlans14, 20, 50, 60, 70

Vlans14, 20, 50, 60, 70, 100

Vlans14, 20, 50, 60, 70, 101

Vlans14, 20, 50, 60, 70, 102, 103

Vlans14, 20, 50, 60, 70, 102, 103

Vlans12, 14, 20, 32, 50, 60, 70

Vlans14, 20, 50, 60, 70

Vlans14, 20, 50, 60, 70

Vlans14, 20, 50, 60, 70

Vlans14, 20, 50, 60, 70

Vlans11, 14, 50, 60, 70

Vlans14, 20, 23, 24, 30, 32, 33, 50, 60, 70

Vlans10, 14, 20, 30, 32,

33, 50, 60, 70

Vlans14, 20, 22, 50, 60, 70

Vlans14, 20, 50, 60, 70Vlans

13, 21, 31, 32, 40, 60

Vlans13, 21, 31, 32, 40, 60

Vlans10, 11, 12, 13, 14, 20, 21, 22, 23, 24

30, 31, 32, 3340, 50, 60, 70

100, 101, 102, 103

CommutateurEthernet L3

Alcatel OmniSwitch7800


OmniSwitch6602-24


OmniSwitch6600-P24(Alimentation IP-Phones

et bornes Wifi)


OmniSwitch6600-24


OmniSwitch6300-24

Appliance WifiOmniAccess4102

Lien 802.1Q - Transport des Vlans

Vlan 2 : DMZVlan 3 : InternetVlan 10 : CybercafeVlan 11 : AssociationsVlan 12 : VisioconferenceVlan 13 : Video_On_DemandVlan 14 : InvitesVlan 20 : PedagogieVlan 21 : Serveurs_PedagogieVlan 22 : Imprimantes_PedagogieVlan 23 : CDI_PedagogieVlan 24 : Imprimantes_CDI_PedagogieVlan 30 : AdministrationVlan 31 : Serveurs_AdministrationVlan 33 : Imprimantes AdministrationVlan 40 : Serveurs_CommunsVlan 50 : TelephonieVlan 60 : Admin_Systemes_ReseauVlan 70 : WifiVlan 100 : Labo_CraterreVlan 101 : Labo_CressonVlan 102 : Labo_MontagneVlan 103 : Labo_MHA

6600-SR2-1

6600-SR3-1

3/25

2/25

4/25

3/25


1/27

3/28

2/27

1/282/28

3/27

4/28

4/27

Stack 2Stack 1

5/27

5/28


1/27

1/282/28

2/273/27

3/28

Cisco 2950

5/24

0/1

Vlans10, 14, 20, 30, 32,

33, 50, 60, 70

Borne WifiCisco AP1200

CISC O AIRO NET 1200 I WIRELESS ACCESS PO INT

Vlans14, 20, 30, 32, 60

2/23

4102-SR1-2

11/

11

1/1

Figure 3: Architecture logique

2.4. Infrastructure Wifi existante

Une infrastructure sans-fil servant au réseau de données s’appuie sur ce réseau filaire. Mise en place en 2004, l’infrastructure wifi existante est composée d’un parc de 32 bornes légères Alcatel OAW-1200abg (dont 1 de spare) pilotées par deux « Appliances » OmniAccess 4102 configurées en haute disponibilité et raccordées en gigabit au travers de deux ports 1000base SX sur les cœurs de réseau OmniSwitch 7800. La solution est administrée via un système de gestion centralisé OmniVista Air Control System qui offre la possibilité de configurer, de surveiller et d’administrer le réseau wifi. Les bornes, supportent le protocole IEEE 802.11a/b/g et sont alimentées via Ethernet (PoE/ IEEE 802.3af). Pour chaque borne déployée, un câblage spécifique de type catégorie 6 a été réalisé. Un bloc de prise RJ45 et une prise d’alimentation secteur sont présent à proximité de chaque borne.

8

7800-SR1-2

7800-SR1-1


1/27

3/28

2/27

1/282/28

3/27

Borne WifiOAW-1200ABG

802.11a/b/g

.251

.252

Backup

Master

VRRPvrid : 70

ip :192.168.70.254

EAG - WifiDate: 11 mai 2011 EAG - Spécifications Architecture v1.6.vsd

4102-SR1-1

Wlan Invites

Wlan Pedagogie

Wlan Administration

Vlans14, 20, 30, 70

Vlans14, 20, 30, 70

LWAPP Niveau 2

ManagementInterface

WPA preshared key mode


Filtrage adresse MAC

Virtual Interface (Web Auth) : 192.168.0.1

Correspondance Wlan - Vlan :Interface Vlan_Invites (14) - Wlan_Invites

Interface Vlan_Pedagogie (20) - Wlan_PedagogieInterface Vlan_Administration (30) - Wlan_Administration


4102-SR1-2

Vlans14, 20, 30, 70

Vlans14, 20, 30, 70

Figure 4: Infrastructure wifi

9

L’irrigation dans les différentes zones du bâtiment se fait de la façon suivante :

Bâtiment Niveau

Désignation Localisation zone

Répartiteur associé

Capacité max (personnes)

S Bureau des associations

S81 SREE01 19

1 Amphithéâtre Simounet

188 SREE1 128

1 Espace Design 187 SRGMB13 50

1 Salle d’enseignement

185 SRGMB12 50

1 Laboratoire AE&CC

177 SREO1 25

1 Laboratoire AE&CC

Circulation SREO1 25

1 Espace prototype

150 SR1 25

1 Salle multimédia

158 SRGMB11 19


293 SREE2 50


292 SRGMB23 50


284 SRGMB22 50

2 Laboratoire Cresson

279 SREO2 25

2 Laboratoire Cresson

270 SREO2 25

2 Administration Circulation SR2 25

2 Hall d’accueil 202 SR1 25

10

2 Hall d’accueil CA SR3 25


393 SREE3 50


387 SRGMB33 50


385 SRGMB32 50


351 SRGMB31 100

3 Laboratoire Architecture, Paysage, Montagne

371 SREO3 25

3 Cafétéria 315 SR2 50

3 Amphithéâtre Maglione 2

250 SR1 192

3 Amphithéâtre Maglione 3

360 SR1 148

3 Plateforme informatique

325 SRINFO03 75

3 Documentation 341 SR3 25

3 Documentation Mezzanine SR3 25


489 SREE4 50


486 SRGMB43 50


482 SRGMB41 75

4 Laboratoire Métiers de l’Histoire

Circulation

SREO4 25

Tableau 1: Répartition des APs dans le bâtiment

11

Quatre catégories d’utilisateurs du service wifi sont considérées: - Les personnels administratifs de l’ENSAG - Les étudiants, enseignants et chercheurs de l’ENSAG - Les invités - Les invités enseignants ou étudiants appartenant à un établissement de recherche et

d’enseignement supérieur membres de la fédération EDUROAM Le schéma suivant montre les populations ayant un besoin de connectivité ainsi que les différents modes d’accès aux réseaux de l’ENSAG via le service wifi actuel.

Figure 5: Schéma du service wifi actuel

SSID « ENSAG »

Etudiants / Enseignants /

Chercheurs

WPA +

MacFiltering Réseau

pédagogique

SSID « Administration »

Administratifs

WPA +

MacFiltering Réseau

administratif

SSID « invites »

Invités

Portail captif Réseau

invité

SSID et utilisateurs Modes d’accès Réseaux cibles

SSID « eduroam»

Enseignants et étudiants

invités

802.1X(radius)

/WPA2 Réseau

EDUROAM

12

Le parc des équipements clients connectés au réseau wifi est fortement hétérogène. On distingue les types de clients suivants : PC sous Windows, Linux, Free BSD ou MacOs. PDA et Smartphones sous Symbian, Windows Mobile, IOS, Android ou autres. On estime à environ 600 le nombre de clients, sachant que les PDA et Smartphones sont pour l’instant exclus sur le réseau pédagogique et à 120 le nombre de connexions simultanées sur le réseau wifi.

13

3. Spécifications du projet, fournitures et prestations attendues

Rappel - Les points suivants sont expressément convenus entre les parties :

La configuration et les matériels indiqués, qu’ils soient nouveaux ou existants, dans le présent dossier de consultation sont fournis à titre exclusivement indicatif. Les caractéristiques du système proposé doivent dans tous les cas avoir les performances spécifiées au CCTP, répondre aux besoins et assurer les fonctions exigées. Le titulaire proposera toute solution permettant d’améliorer les services rendus en fonction des objectifs indiqués et des résultats et performances attendus.

Une importance primordiale est accordée aux engagements du titulaire en ce qui concerne les prestations de maintenance et de sécurité des systèmes informatiques de l’ENSAG que ce soit avant ou après la période de garantie.

Le titulaire se soumet à une obligation de résultats sur l'ensemble de l'opération, aussi bien au niveau de la réalisation de l'opération et de la conformité du système complet aux spécifications, performances et résultats demandés que pour la maintenance de cet ensemble.

Les mises à jour des logiciels sont faites (et notamment leur installation, leur paramétrage et leur intégration) sous les directives et l’entière responsabilité du titulaire qui ne pourra en aucun cas rejeter quelque responsabilité sur un tiers ou la personne publique.

Le titulaire doit faire évoluer les applications en conformité avec les normes et les usages propres au secteur d'activité de la personne publique.

3.1. Objectifs généraux

L’ENSAG souhaite renouveler son infrastructure wifi, l’adapter aux nouveaux usages et à la diversité des terminaux utilisés par ses populations, améliorer la couverture wifi existante et répondre aux problèmes de densité d’utilisateurs potentiels tout en respectant les contraintes sanitaires en vigueur.

L’accès aux services wifi se fera au travers d’une solution de portail d’authentification web (portail captif) qui devra, en fonction du profil de l’utilisateur et/ou du profil de matériel, autoriser ou non l’accès aux ressources définies.

3.2. Couverture radio souhaitée Il est demandé au candidat de fournir dans sa proposition une implantation type des bornes wifi qu’il préconise afin de satisfaire à la couverture radio souhaitée par l’ENSAG tout en respectant les contraintes d’exposition aux ondes émises par le Comité d’Hygiène et Sécurité de l’école. Le candidat en apportera les preuves écrites et chiffrées. Cette étude sera basée sur les plans du bâtiment au format Autocad fournis par l’ENSAG et téléchargeables durant la durée de la consultation et pourra être complétée par une étude

14

de couverture. Une visite obligatoire sera faite au moins 15 jours avant le rendu des offres. L’infrastructure wifi à mettre en place devra obligatoirement couvrir l’ensemble des bureaux, salles de cours, salles de réunions, amphithéâtres, salles de visioconférence ainsi que les zones passantes (halls, couloirs, cafétéria, etc.…) du bâtiment tels que délimités (en jaune) sur les plans. Elle devra en outre permettre le déplacement (ou « roaming ») des utilisateurs de manière transparente pour eux. L’ENSAG souhaite dans un premier temps offrir une couverture radio de qualité suffisante pour l’échange de données uniquement (service de connectivité IP au-dessus d’un accès radio). Cette couverture devra être de qualité équivalente au réseau filaire (au débit près). Cette couverture pourra évoluer par la suite afin d’offrir aux usagers un service de ToIP sur wifi avec les exigences d’un service de production. Le candidat donnera donc une implantation type des bornes wifi qu’il préconise pour l’échange de données, complétée d’une implantation permettant d’offrir de la ToIP sur wifi sans remise en question sévère de la première implantation proposée. Il précisera notamment dans chacun des cas (service données uniquement et service données+ToIP) le nombre, la localisation et la puissance des bornes wifi. La proposition du candidat tiendra compte des besoins de l’ENSAG en terme de capacités de salles (donc de clients wifi potentiels) exprimées au paragraphe 2.4. Contraintes souhaitées par le Comité d’Hygiène et Sécurité (CHS) L'ENSAG souhaite limiter autant que possible l'exposition des personnes aux ondes électromagnétiques afin de protéger au mieux la santé des personnes. Des règles de déploiement plus contraignantes que les lois et les règlements en vigueur ont été émises par le CHS. Elles sont exposées dans ce document en annexe 1. Le candidat tiendra compte autant que possible de ces contraintes lors de l’élaboration des deux implantations type.

3.3. Fonctionnalités attendues

Le réseau Wifi devra s’intégrer au réseau filaire existant. Le réseau sans fil ne représente que le prolongement du réseau filaire. Le candidat devra fournir dans sa proposition la description technique détaillée des bornes et contrôleurs qu’il préconise pour le site de l’ENSAG. La solution proposée sera conforme aux lois et réglementations en vigueur en France concernant les technologies, les fréquences, les puissances d’émission utilisées, ainsi qu’aux lois et réglementations françaises relatives à la sécurité des personnes et à la compatibilité électromagnétique des équipements. Enfin, la solution proposée devra être conforme à l’état de l’art concernant les risques connus dans le domaine. Les différents composants devront répondre aux caractéristiques techniques et aux critères de maintenance décrits dans le présent document.

3.3.1. Protocoles et fonctionnalités supportés par les équipements Wifi La solution wifi devra être compatible avec les protocoles wifi usuels : IEEE 802.11b/g/n, 802.3af, 802.1x, etc... Le candidat indiquera si les équipements proposés supportent :

- La gestion du roaming niveau 2 et 3

- La possibilité de partager la charge entre les AP (Load Balancing)

15

- La possibilité de partager la charge entre 2.4Ghz et 5Ghz

- L’optimisation de l’accès au média des clients lents et rapides, et l’équilibrage de trafic

- L’alimentation des AP en POE standard et alimentation séparée

- L’administration centralisée

- Une politique de sécurité centralisée quelle que soit l’architecture et le nombre de contrôleurs

- Un analyseur de spectre intégré, n’obligeant pas à dédier des bornes à cet usage

- La mise à jour centralisée et automatique des AP

- L’ajout simple des nouveaux AP, possibilité de restreindre les APs autorisées par authentification

- La calibration automatique et continue des AP, partage de charge et auto correctif sur panne

- L’installation automatique des AP sur profile préétabli

- La détection et localisation des trous de couvertures

- La détection et localisation des interférences wifi et non wifi

- La visualisation en temps réel de la couverture radio et la géo-localisation des clients wifi.

- Le « PMK Caching » - la détection des équipements wifi non déclarés au service informatique avec

possibilité pour l’administrateur de les classer « ami » ou « pirate » - un IDS pour l’infrastructure wifi

Les fonctionnalités de l’infrastructure wifi existante exposée au paragraphe 2.4 doivent obligatoirement être supportées par les équipements proposés par le candidat. Les composants de la nouvelle infrastructure wifi doivent notamment obligatoirement supporter l’affectation dynamique de vlans suite à une authentification basée sur 802.1x (WPA2 avec cryptage AES-CCMP). Le support d’au moins 24 vlans affectables dynamiquement est demandé. Le candidat précisera le nombre maximum de vlans supportés par les équipements qu’il propose. Le support du trafic unicast et multicast IPv4 et IPv6 est demandé. La solution doit permettre le support des clients hétérogènes de l’ENSAG décrits au paragraphe 2.4 et prendre en compte l’explosion du nombre de Smartphones et pda au sein de l’établissement. 3.3.2. Caractéristiques techniques des bornes Wifi Les points d’accès devront être certifiés par la Wifi Alliance et auront comme caractéristiques principales d’être : - Bi bandes et capables de gérer les réseaux utilisant la bande de fréquence des 5

GHz (802.11 a/n) et celle des 2,4 GHz (802.11 b/g/n), disposant d’une alimentation en Power Over Ethernet

- Compatibles 802.11i

16

- Compatibles 802.11e et 802.11p pour la gestion de la bande passante

- Prévus pour supporter la Voix sur Wifi

- Munis d’un kit de fixation mural

L’intégration de nouvelles bornes wifi dans la nouvelle infrastructure doit être simple et aisée (notamment pour déployer un service de toip sur wifi).

Les points d'accès devront comporter un accès réseau filaire à 1000 Mb/s Ethernet et supporter la norme 802.3af pour leur alimentation électrique.

Pour le ou les modèles de points d’accès proposés le candidat précisera en particulier : - Le nombre et le type des interfaces radio présentes sur chaque point d’accès ; - Le ou les types de liens de collecte réseau possibles (type et débit de l’interface

filaire); - Le type, les caractéristiques et la procédure de mise en œuvre des antennes

utilisées ; - Si le point d’accès est certifié pour un déploiement en faux-plafond (si oui,

dans quelles conditions) ; - Les recommandations de déploiement du constructeur, en particulier

concernant la compatibilité électromagnétique et la sécurité des personnes ; - Si le point d’accès peut être utilisé de façon autonome sans le reste de la

solution (éventuellement au prix d’opérations de reconfiguration). - La liste des certifications supportées ; - Les dimensions et la masse ; - Les gains horizontaux et verticaux en fonction des fréquences radios.

Le candidat précisera les différentes procédures que peuvent employer les points d'accès pour trouver leurs contrôleurs et récupérer leur configuration.

3.3.3. Caractéristiques techniques des contrôleurs Les contrôleurs proposés par le candidat devront obligatoirement être capables de fonctionner en redondance. Le candidat précisera pour les contrôleurs WIFI employés : - Les dimensions des appareils, - La consommation électrique, - Le nombre d'interfaces gigabit restant disponible afin d'augmenter le nombre de

liens, - Les débits supportés, - La liste des RFC supportés, - La liste des normes IEEE supportées, - Toute autre caractéristique utile. Les contrôleurs Wifi devront supporter le standard 802.1Q (Vlan trunking) pour l'ensemble de leurs ports en connexion. Le protocole Spanning tree devra être supporté. Il pourra être désactivé. Le protocole Spanning Tree par VLAN devra être supporté. Il pourra être désactivé.

17

Les contrôleurs devront être capables de gérer le trafic réseau en fonction de sa classe de service (priorité). C'est-à-dire interpréter les marquages QOS (802.11e, 802.1P, DiffServ). Le candidat précisera si un firewall est intégré au contrôleur et précisera les fonctionnalités et la granularité de sa solution. Performances et robustesse de l’architecture Les contrôleurs proposés par le candidat doivent obligatoirement pouvoir fonctionner en redondance. L’adaptation des puissances sur les bornes par les contrôleurs wifi n’est pas une fonctionnalité obligatoire, l’ENSAG privilégiant une redondance physique des bornes dans les zones nécessitant une forte disponibilité du wifi comme par exemple les amphithéâtres. Le candidat décrira le fonctionnement de la solution qu’il préconise en l’absence de panne : Les contrôleurs fonctionnent-ils en actif/actif, en actif/passif ? Dans le cas actif/actif, les contrôleurs pratiquent-ils le partage de charge, par exemple en se répartissant équitablement le nombre de bornes à gérer ? Comment les équipements gèrent-ils les problèmes de saturation de canaux ? Le candidat décrira également le fonctionnement de la solution qu’il préconise en cas de panne d’un contrôleur : Les étapes de reconfiguration à partir de la panne du contrôleur ; La durée de ces opérations ; L’impact sur le service rendu aux utilisateurs (nature et durée des perturbations de service). 3.3.4. Administration et supervision du parc L’administration et la supervision de la nouvelle infrastructure wifi seront effectuées, comme aujourd’hui, par les membres de l’équipe informatique de l’ENSAG. Le candidat donnera une description détaillée des fonctionnalités offertes par sa solution d’administration de parc wifi et précisera si l’ENSAG doit fournir une plate-forme matérielle pour cette solution d’administration et de supervision. L’administration du parc wifi devra pouvoir se faire à distance et via une connexion sécurisée de type SSH ou HTTPS. L’ENSAG demande également la possibilité de pouvoir se connecter à distance aux contrôleurs de bornes en mode ligne de commande et/ou en mode web sécurisé.

La solution d’administration devra offrir des fonctionnalités classiques telles que la journalisation des évènements, les remontées d’alertes en cas de dysfonctionnement d’un des composants de l’infrastructure, la mise à jour des différentes configurations des équipements wifi du parc, la mise à jour des versions des bornes et contrôleurs, etc.… .

Le candidat indiquera si les équipements du parc supportent le protocole SNMP.

Le candidat précisera l'ensemble des fonctionnalités configurables par l’outil d’administration. Le candidat expliquera dans quelle mesure chacun des éléments du réseau dispose d’un protocole sécurisé entre les différents éléments composant le réseau Wifi (Dialogues entre contrôleurs, entre contrôleurs et points d’accès, entre Management centralisé et contrôleurs).

18

Le candidat précisera si sa solution permet d’établir des statistiques et en précisera les fonctionnalités (taux d’occupation des bornes, pourcentage d’utilisation des différents services, nombre de clients sur un période donnée, etc.…).

3.3.5. Portail captif La solution proposée par le candidat devra être intégrée et ne pas nécessiter l’ajout d’équipements externes tel que serveur web ou proxy.

Un accès à l’intranet de l’ENSAG pour les enseignants, chercheurs et les personnels administratifs se fera via le SSID « ENSA-Grenoble », le mode de protection sera le 802.1X/WPA2 avec affectation du vlan correspondant au groupe d’appartenance;

Un accès à l’intranet de l’ENSAG pour tous les étudiants se fera via le SSID « ENSAG » au travers du portail captif et selon une authentification basée sur l’AD;

Un accès au réseau Eduroam pour les enseignants, étudiants et personnels invités affiliés aux établissements d’enseignement supérieur membres de la fédération Eduroam. Cette connectivité se fera au travers du SSID « eduroam » protégé en 802.1X/WPA2.

Un accès au réseau visiteurs pour les invités extérieurs se fera via le SSID « Invités » protégé par un compte informatique crée en local et à la demande au niveau du portail captif.

19

Le candidat indiquera la possibilité ou non de pouvoir personnaliser simplement la page d’accueil du portail captif et de l’enrichir par ajout de texte, d’images ou de liens vers d’autres pages web.

Le candidat précisera la possibilité ou non de limiter la bande passante ou le nombre de connexions TCP/UDP par utilisateur.

Le candidat indiquera le nombre de comptes d’invités possibles dans la base locale de gestion des comptes.

SSID « ENSA‐Grenoble »

Enseignants /

Chercheurs/Administratifs

802.1X (radius)

/WPA2 avec

affectation du vlan

Réseau

interne

SSID « eduroam »

Etudiants / Enseignants

invités Eduroam

802.1X (radius)

/WPA2 Réseau

EDUROAM

SSID « INVITES »

Invités extérieurs

Portail

d’authentification

web base locale

de comptes

d’invités

Réseau

invité

SSID et utilisateurs Modes d’accès Réseaux cibles

SSID « ENSAG »

Etudiants de l’ENSAG Portail

d’authentification

web basé sur

l’annuaire AD

Réseau

interne

20

Le candidat indiquera les possibilités de déléguer la création de comptes d’invités dans la base locale du portail captif.

Le candidat indiquera les possibilités de distinguer les terminaux susceptibles de se connecter au réseau wifi et en fonction du type (smartphone, tablette, ordinateur portable), la possibilité d’appliquer des règles plus restrictives à l’accès aux ressources.

3.4. Bornes wifi Le titulaire procédera à l’installation des matériels, logiciels et câblages nécessaires au bon fonctionnement de l’ensemble du système. L’installation comprend également la configuration des différents éléments du système.

3.4.1. Installation des bornes

La prestation comprend :

- La fourniture et l’installation des bornes avec un système de fixation polyvalent de la borne (mur, plafond, …).

- Un système de protection antivol pourra être proposé en option.

Le titulaire du marché devra fournir, sur l’ensemble du bâtiment, la meilleure qualité possible du signal radio avec :

- Réglage de la puissance des bornes en fonction de la surface à couvrir

- Choix de la fréquence à utiliser en fonction de l'environnement.

3.4.2. Intégration des bornes dans l’existant

Le candidat doit tenir compte des contraintes relatives à notre infrastructure réseau. Les points d'accès, l’administration du réseau doivent s'intégrer à l'architecture actuelle du réseau. En particulier, les points d'accès seront raccordés sur le commutateur filaire le plus proche sans nécessiter de reconfiguration de celui-ci ( Vlan, …) et sans risquer de faille de sécurité.

3.4.3. Câblage

Le câblage de chaque point d’accès supplémentaire est à la charge du titulaire. Le câblage sera de catégorie 6 et devra faire l’objet d’une certification et de la remise d’un cahier de recette à l’issu du chantier.

21

4. Prestations de maintenance et de support

4.1. Description des besoins La prestation demandée concerne à la fois les aspects logiciels et matériels. Elle doit traiter tout problème de configuration, paramétrage et de panne affectant en totalité ou partiellement les équipements de la solution proposée. Il est demandé au prestataire de mettre à disposition de l’ENSAG un numéro d’appel téléphonique (type Hotline) ainsi qu’une adresse électronique afin de soumettre les demandes. Le prestataire devra prendre en compte les demandes d’intervention faites par téléphone ou par message électronique :

- En ouvrant un ticket d’incident, - En désignant un de ses ingénieurs ou techniciens comme étant le correspondant de

l’équipe réseau de l’ENSAG, - En proposant une solution ou, à défaut, un plan d’action correctif.

4.2. Définition et périmètre

A la date d’admission des équipements, le prestataire doit proposer une assistance technique sur les matériels et logiciels embarqués et prévoir la remise en fonctionnement à un niveau identique des équipements de la solution proposée subissant une panne. Les pannes qui sont à traiter dans le cadre de cette prestation peuvent :

- Affecter totalement ou partiellement l’exploitation et les performances du service ; - N’avoir, éventuellement, aucun effet sur les performances ou l’exploitation ; - La prestation de Maintenance doit prévoir notamment l’échange standard d’un

composant qui serait devenu hors service. Cette assistance consiste également à :

- Mettre à disposition de l’équipe informatique de l’ENSAG les logiciels des constructeurs dont dépendent les équipements concernés (versions logicielles majeures et mineures) ;

- Répondre à toute question technique relevant du paramétrage, de la configuration et du fonctionnement de ces logiciels sur les équipements concernés. Dans ce cadre, l’assistance qui est demandée n’est pas forcément corrélée à une panne mais peut répondre, par exemple, à un besoin d’implémentation de nouvelles fonctionnalités sur les équipements concernés ;

- Informer le personnel de l’équipe réseau de toute évolution logicielle et matérielle recommandées par les constructeurs, par exemple pour des raisons de sécurité ou d’obsolescence ;

- Mettre à disposition des personnels de l’équipe réseau les éléments permettant à ceux-ci d’accéder aux sites web des constructeurs de façon privilégiée si cette possibilité existe.

4.3. Modalités d’intervention Le prestataire devra respecter les modalités générales d’intervention décrites au paragraphe 4.1. Le délai maximum de prise en compte d’une demande est de 1 jour ouvré. Avant expiration de ces délais, le prestataire doit engager :

22

- Le remplacement d’un composant si celui-ci est jugé hors service au moment de l’enregistrement de l’appel ;

- Ou un plan d’action correctif dans le cas contraire ; - Ou bien une procédure d’escalade auprès du constructeur.

Dans l’éventualité où le problème, qui aura été pris en charge dans le délai demandé et n’aurait pas entraîné de remplacement de composant, ne peut être résolu par le prestataire, il est demandé à celui-ci d’indiquer aux personnels de l’équipe réseau de l’ENSAG la procédure d’escalade envisagée. Une information à ce propos doit être rendue par le prestataire au bout de 2 jours ouvrés au maximum depuis l’enregistrement de l’incident par l’ENSAG. Les personnels réseau de l’ENSAG devront être régulièrement tenus informés de l’état d’avancement de la résolution de l’incident.

4.4. Clauses particulières

L’ENSAG, en fonction de ses besoins, se réserve le droit de faire évoluer son architecture réseau sans avertir expressément le titulaire du marché. A ce titre, l’ENSAG pourra installer sur son réseau des équipements commercialisés par un autre fournisseur, installer des équipements qui ne sont pas dans les périmètres définis ci-dessus, et modifier la configuration des équipements couverts par la maintenance. Afin de faciliter le diagnostic d’un incident soumis par l’ENSAG dans le cadre de la prestation d’Assistance ou de la prestation de Maintenance, le prestataire pourra solliciter une intervention sur le site de l’ENSAG. L’ENSAG donnera son accord et fixera les limites de cette intervention. Le déplacement du prestataire sera à la charge de ce dernier.

4.5. Présentation de l’offre de maintenance Afin que l’ENSAG puisse évaluer les différentes offres, le candidat devra :

- fournir un référentiel de clients dont il assure la maintenance de l’infrastructure wifi,

- décrire la gestion de son stock de maintenance des matériels qui sont dans le périmètre que doit couvrir la prestation de maintenance matérielle,

- présenter son niveau d’expertise sur les équipements qui sont l’objet de la prestation d’assistance logicielle,

- décrire les procédures et moyens qu’il compte mettre en œuvre afin d’assurer au mieux la prestation demandée par l’ENSAG.,

- préciser les conditions et la durée de la garantie proposée par le constructeur pour les équipements concernés.

5. Déploiement et recette de la solution

5.1. Prestation de déploiement de la solution Le candidat assurera une prestation de déploiement de la solution en collaboration avec les personnels de l’équipe réseau de l’ENSAG.

Dans son offre, le candidat détaillera chaque étape du déploiement et fournira tous les éléments utiles permettant d’apprécier la valeur technique de son offre.

23

Le candidat précisera dans sa réponse :

Les conditions, pré-requis et configurations à mettre en place par les personnels de l’ENSAG pour la bonne réalisation de la prestation.

La durée maximale de réalisation de la prestation de déploiement : il s’agit d’un engagement à réaliser la prestation dans ce délai une fois que les conditions pour démarrer sont réunies.

5.2. Transferts de compétences Le candidat retenu devra être en mesure de proposer à l’ENSAG un ensemble de transferts de compétences sur l’exploitation des matériels et logiciels acquis dans le cadre de ce marché. Les prestations de transferts de compétences proposées seront dispensées en français, dans les locaux de l’ENSAG et leur contenu sera synthétisé dans un support de cours au format papier ou électronique (CD-ROM). Une documentation au format électronique à usage des administrateurs et des utilisateurs sera également fournie avec la solution proposée par le candidat.

5.3. Livrables

Le candidat fournira un dossier d’ouvrage exécuté comprenant :

- Un dossier technique des matériels installés

- Les plans d’installation des bornes après déploiement (ces plans devront être intégrés dans le logiciel de gestion des bornes).

- Le compte rendu de la couverture radio après déploiement.

- Le cahier de recette du câblage catégorie 6

- La documentation en français de la console d’administration et de supervision

5.4. Recette de la solution

Une recette sera organisée permettant de valider le bon fonctionnement de l’ensemble des fonctionnalités demandées dans le présent document. La recette consistera à vérifier entre autres :

- La bonne couverture wifi des zones ;

- La fonctionnalité de haute disponibilité ;

- Le bon fonctionnement des connexions au travers du portail captif.

24

Annexe 1 : Contraintes CHS pour le déploiement des points d’accès L’ENSAG souhaite réduire autant que possible l'exposition des personnes aux ondes électromagnétiques afin de protéger au mieux la santé des personnes. Des règles de déploiement plus contraignantes que les lois et les règlements en vigueur sont donc préconisées par le Comité d’Hygiène et Sécurité (CHS) de l’Ecole Nationale Supérieure d’Architecture de Grenoble. Ces contraintes définies par le CHS viennent en complément des lois et des règlements en vigueur ainsi que des autres conditions de déploiement demandées par l’ENSAG dans le présent CCTP. Aucune borne ne doit être installée dans un bureau, les bornes se trouvent toujours dans un lieu de passage (couloir, salle de réunion, hall, etc.…), à plus de 2,5 mètres d’un poste de travail et de préférence en faux plafond, à l’exception des bornes présentes dans les locaux répartiteurs réseaux. La puissance maximale d'émission (PIRE) de l'ensemble constitué par les points d'accès et les antennes associées que le candidat propose dans son offre ne dépasse en aucun cas 100mW en crête dans les conditions de déploiement. Si cette limite de puissance de 100mW pose des contraintes de déploiement de la solution, le candidat les décrit dans son offre. En aucun lieu du bâtiment le champ électrique global (cumulé) émis par la solution ne dépasse 0,6 V/m. Cette limite s'entend dans les conditions de mesure du protocole ANFR/DR 15-3, mais en ne tenant pas compte des sources d'émissions autres que la solution.

Documents

CAHIER DES CLAUSES TECHNIQUES PARTICULIERES · 3 1. Objet du marché Ce marché a pour objet l’acquisition et la maintenance des matériels et des logiciels associés dans le cadre