MARCHE PUBLIC DE FOURNITURES

ET DE SERVICES

Fourniture et installation d'une solution Wi-Fi

avec extension de la couverture sans-fil
de l'tablissement

CAHIER DES CHARGES

INSTITUT FRANCAIS DE MECANIQUE AVANCEE

Page 1 sur 27

Sommaire
Objet du march _______________________________________________________________ 2
Prsentation de l'IFMA __________________________________________________________ 3
Infrastructure filaire existante (cf. Annexe 1) _________________________________________ 4
Infrastructure Wi-Fi existante (cf. Annexe 2) __________________________________________ 4
Implantation et couverture envisage _______________________________________________ 7
Elments techniques souhaits ___________________________________________________ 8
Nature des prestations demandes ________________________________________________ 9
Identification des besoins fonctionnels et spcification darchitecture ____________________ 9
Travaux de cblage et installation des points d'accs ________________________________ 9
Intgration et paramtrage ____________________________________________________ 10
Management centralis et transfert de comptences ________________________________ 10
Maintenance et assistance ____________________________________________________ 11
ANNEXE 1 : Schma rseau physique existant ______________________________________ 12
ANNEXE 2 : Schma rseau logique Wi-Fi existant ___________________________________ 13
ANNEXE 3 : Plans de couverture du site ___________________________________________ 14

Objet du march
Une enqute sur les usages du rseau Wi-Fi, ralise en mars 2012 auprs des utilisateurs, met
en vidence le manque de zones couvertes par le rseau sans-fil dans l'tablissement.
En effet, sur un total de 233 participations, 58,8% disent ne pas tre satisfait de la couverture Wi-Fi
en place actuellement dans l'cole.
De plus, l'explosion actuelle des usages mobiles, entraine notamment par la progression des
ventes de smartphones et tablettes font aujourd'hui voluer les besoins en termes de couverture
mais galement de dbit.
Ce projet vise donc tendre le rseau sans-fil install, tout en bnficiant des technologies radios
de dernire gnration et ainsi optimiser la solution actuellement en place.
Cette opration doit apporter une amlioration significative dans le dbit de transmission ainsi que
dans la qualit de service propos tout en respectant les contraintes sanitaires en vigueur.
L'objectif de ce dploiement est de proposer aux utilisateurs du rseau Wi-Fi, un niveau de confort
acceptable dans l'utilisation de ressources toujours plus consommatrice en bande passante
(streaming, visioconfrence, cloud storage, ...).
La solution propose devra donc s'avrer prenne et oriente vers l'avenir pour encaisser la
monte en charges des services sans-fil qui ne cessent d'voluer.

Page 2 sur 27

Prsentation de l'IFMA
L'Institut Franais de Mcanique Avance a t fond en 1991 et est situ sur le Campus des
Czeaux de Clermont-Ferrand.
L'cole assure la formation d'ingnieurs polyvalents de haut niveau, concepteurs constructeurs
de biens d'quipements industriels en gnie mcanique et en productique.
Ce site, de plus de 20 000 m, est compos de cinq btiments de plusieurs niveaux articuls
autour d'une sphre centrale, correspondant chacun un ple d'enseignement spcifique.
L'cole abrite 7 amphithtres, tous quips en audiovisuel, des cogitos (salles de travail), 11
salles informatiques et 10 laboratoires.
Le Centre de transfert de technologie (CTT) est une halle technique de 3 500 m quips en robots
et quipements de pointe au service des tudiants et des industriels.
Le parc informatique, fort de plus de 600 machines, a dans ce contexte un rle prpondrant, tant
au point de vue logistique que pdagogique.
Sa gestion est assure par le Centre de Ressources Informatiques (CRI) compos de 6
personnes.
Les 115 membres du personnel de l'IFMA accueillent, chaque anne, dans ces locaux prs de
650 lves-ingnieurs.

Figure 1 : vue globale de l'IFMA

Page 3 sur 27

Infrastructure filaire existante (cf. Annexe 1)

L'architecture rseau de l'IFMA est organise selon une toile optique.
Des baies de brassage informatique sont installes dans les btiments TCM, SPA, MMS, CTT et
irriguent, aux travers de liaisons 100mbits/s, les salles et bureaux avoisinants.
TCM, SPA et MMS hberge les baies informatiques secondaires, lesquels sont raccords via des
liaisons fibre optique au local rseau principal (CTT). L'quipement assurant la commutation
centrale de niveau 3 est un commutateur 3Com 4800G.
Un firewall Netasq NG1000-A gre en amont les autorisations d'accs.
Le contrleur WLAN est install dans la baie informatique TCM3 et cascad sur un switch HP
A3600. Depuis ce local, la liaison s'effectue au travers d'une fibre optique jusqu' l'quipement
cur de rseau.
Les Vlans par port sont employs en interne pour segmenter techniquement et logiquement les
diffrents profils de connexion (pdagogie, imprimante, wifi, ...).
Le service IAS de Microsoft, coupl un annuaire Active Directory, gre l'authentification sans-fil
802.1X.
Remarque :
Deux types de cblages informatiques sont en place dans l'tablissement. La distribution capillaire
des btiments CTT, MMS et PST est ralise avec du cble IBM de type 2 et ncessite la mise en
place de connecteurs baluns "hermaphrodite" sur les prises pour adapter l'impdance.
Les autres btiments (SPA et TCM) sont eux plus rcents et disposent d'un cblage Ethernet
classique.

Infrastructure Wi-Fi existante (cf. Annexe 2)

Matriel
Dsignation
CONTROLEUR WIFI
OmniAccess 4308T - 8 ports 10/100 Power over Ethernet (POE)
et un port uplink 1000BaseT. Support de 16 points d'accs
OmniAccess APxx. Les points d'accs peuvent tre connects
directement ou travers un rseau L2 ou L3.
Module "Policy Enforcement Firewall" pour OmniAccess 4308
(Licence 16 AP).
POINT D'ACCES
OmniAccess AP65 avec antenne intgre (2,4Ghz & 5Ghz).
Support du 802.11a and 802.11b/g.
Kit de Montage pour AP65
POINT D'ACCES
Omniaccess AP105 wireless access point. Dual radio IEEE
802.11 a/b/g/n (draft 2.0) wireless access point with support for
802.11b/g/n and 802.11a/n operation, dual-band integral
antenna, 1X 10/100/1000base-T (RJ45) ethernet interface
(supports 802.3AF power)
Omniaccess AP105 universal AC Power adapter kit
OMNIACCESS AP105 Wall/Ceiling mounting kit

Rfrence
OAW-4308T

Quantit
1

OAW-4308-PEF

OAW-AP65

16

OAW-AP65-MNT
OAW-AP105

16
2

OAW-AP-AC-UN
OAW-AP105-MNT

2
2

Page 4 sur 27

Rsum :
1 contrleur WI-FI 1U install en rack dans le local informatique TCM3 (cascade gigabit ethernet)
Capacit : 16 points d'accs maximum (limite matriel)
16 bornes AP65 lgres (1 HS - 15 en service)
2 bornes AP105 (1 en spare - 1 en service)

Figure 2 : Contrleur WLAN 4308T Baie TCM3

Implantation et couverture actuelle

Implantation des points d'accs par baie et quipement informatique :
TCM3
TCM009C
TCM009D
TCM010C
TCM011G
TCM101P
TCM103A
TCM302A
TCM-102D

Sur contrleur
WLAN

TCM205A

A3600 unit4
port 5

SPA1

MMS410B
PST502H

SPA459A

MMS3

MMS4

A3600Unit2
port 17
A3600Unit2
port 16
A3600Unit4
port 5

PST409B

SPA102D

MMS2

4400 unit1
Port 11

CTT3HALLE3A

SPA0F

CTT3

A3600 Unit2
port 22
A3600Unit2
port 20
A3600Unit2
port 24

Page 5 sur 27

Rseau Wi-Fi en production

Rseau Wi-Fi (SSID)

Mode d'accs

WIFI-IFMA-SECURE

authentification forte 802.1X

EAP/PEAP avec MSCHAPv2
serveur d'authenfication IAS
annuaire Active Directory
chiffrement wep dynamique

personnels
enseignants
tudiants
chercheurs

WIFI-IFMA-PUBLIC

scurit et service minimum

connexion simplifie
portail captif non chiffr
authentification sur base locale
du contrleur

invits
entrepriseshberges

scurit et service minimum

connexion simplifie
annuaire Active Directory
portail captif non chiffr

personnels
enseignants
tudiants
chercheurs

authentification forte 802.1X

EAP/PEAP avec MSCHAPv2
serveur d'authenfication IAS
annuaire Active Directory
chiffrement WPA2 AES

personnels
enseignants
tudiants
chercheurs

WIFI-IFMA-MOBILE

EDUROAM

Population

Informations complmentaires :
Le rseau WIFI-IFMA-MOBILE est optimis pour les appareils mobiles grce une page
d'authentification dont le design s'adapte au terminal (CSS responsive). Le candidat devra prciser
si la solution propose permet la personnalisation du portail d'authentification.
Le chiffrement "wep dynamique" utilis sur le rseau "WIFI-IFMA-SECURE" devra tre renforc
avec la nouvelle solution et voluer vers le WPA2.
Le rseau EDUROAM est ddi aux invits enseignants et tudiants appartenant un
tablissement de recherche et denseignement suprieur membres de la fdration EDUROAM.
Il permet aux utilisateurs de se connecter au rseau avec les identifiants de leur tablissement
d'origine.

Page 6 sur 27

Implantation et couverture envisage

Emplacements des nouvelles zones de couverture envisages dans l'extension
Une proposition d'implantation de nouveaux points d'accs a t ralise d'aprs les rsultats
d'une enqute effectue auprs des utilisateurs et partir des besoins identifis en termes de
couverture radio.
Zones
Btiment/tage

Point
d'accs
ajouter

Local
informatique

Alimentation
lectrique

Proposition
d'implantation

SPA0

SPA1

Equipement POE

Salle SPA008

SPA2

SPA1

Equipement POE

Amphi Poincar
Salle SPA205

SPA3

SPA1

Equipement POE

Salle SPA303

SPA4

SPA1

Equipement POE

Cogitos SPA407

TCM0

TCM3

Equipement POE

Salle TCM002
Salle TCM007

MMS1

MMS2

Equipement POE

Salle MMS102

MMS2

MMS2

Equipement POE

Salle MMS206

MMS4

MMS4

Equipement POE

Salle MMS453

MMS5

MMS4

Equipement POE

Salle MMS558

PST2

MMS2

Equipement POE

Salle PST202

PST3

MMS3

Equipement POE

Salle PST302

PST4

MMS4

Equipement POE Amphi Timoshenko

PST5

MMS4

Equipement POE

Salle PST551

CTT4

CTT3

Equipement POE

Salle CTT490

Il est demand au candidat de valider cette proposition selon ses prconisations en matire de
couverture Wi-Fi. Le candidat en apportera les preuves crites et chiffres.
Une tude pourra tre propose et base sur les plans des btiments disponibles au
tlchargement durant la dure de la consultation.
Cette dmarche devra permettre d'assurer une couverture satisfaisante sur la totalit des zones
spcifies dans l'annexe 3. Apparaissent sur cette annexe la couverture des nouveaux points
d'accs (couleur orange) ainsi que les zones couvertes par les bornes en place et remplace dans
le march (couleur bleue).
Le Comit d'Hygine, de Scurit et des Conditions de Travail de l'tablissement impose
une distance de 10m entre l'mission d'un point d'accs Wi-Fi et le bureau d'un personnel ;
cette contrainte devra tre prise en compte et respecte.
La solution propose sera galement confirme aux lois et rglementations en vigueur en France
concernant les technologies, les frquences et puissances d'mission utilises.
Page 7 sur 27

Elments techniques
Le candidat indiquera si les lments proposs supportent les fonctionnalits suivantes :
Infrastructure
Contrleur Wi-Fi (dans le cas d'une infrastructure Wlan centralise)
Point d'accs lger (dans le cas d'une infrastructure Wlan centralise)
Point d'accs lourd (dans le cas d'une infrastructure Wlan distribue)
Installation en rack
Antenne omnidirectionnelle sur les AP
Dispositif anti-vandalisme/antivol
Support fixation mural scuris (antivol)
Port Ethernet 1gb
Bi-bande, 5 GHz (802.11 a/n) et 2,4 GHz (802.11 b/g/n)
802.11n
Support du POE (802.3af) et alimentation individuelle
Exploitation
Administration web scurise (HTTPS)
Administration mode console, SSH
Administration centralise
Installation en rack
Gestion des Vlans, support du 802.1q
Serveur DHCP (rservation, exclusion, gestion des plages d'adresses)
Intgration des plans de l'tablissement dans l'application
Support des diffrents systmes d'exploitation : ios, macos, linux, symbian, android, ...
Gestion automatique de la puissance du signal radio
Gestion suprieur 30 points d'accs (possibilit d'extension du nombre de points d'accs)
Page d'authentification personnalisable pour adaptation la charte graphique de l'tablissement
(images, textes, liens, ...)
Gestion du trafic rseau selon des priorits, QoS (802.11e, 802.1P,DiffServ)
Gestion de la bande passante par client/profil/utilisateur connect
Partage de la charge entre les AP (load balancing)
Optimisation de laccs au mdia des clients lents et rapides, et quilibrage du trafic
Supervision
Mise jour centralise des AP
Visualisation en temps rel de la couverture radio et go-localisation des clients
Dtection des zones blanches
Dtection et localisation des interfrences Wi-Fi et non Wi-Fi
Systme de traabilit et identification des invits
Scurit
Pare-feu intgr au contrleur ou aux AP
Niveau de chiffrement le plus lev WPA/WPA2 (AES)
Dtection et classification des points d'accs "sauvages"
Dtection des usurpations MAC/IP et des diffrentes attaques
Possibilit de neutraliser un quipement identifi comme malveillant
Alimentation redondante
Sauvegarde de toute la configuration
Authentification
Authentification 802.1X avec tous les EAP
Authentification via portail captif
Authentification possible via Radius et IAS
Affectation dynamique de Vlans sur authentification 802.1X
Connecteur LDAP et Active Directory
Remontes d'alarmes
Support du SNMP
Journalisation dtaille
Rapports par AP et par utilisateurs
Page 8 sur 27

Graphes
Fonction d'analyse des logs
Mobilit
Support de la VoIP
Support des matriels htrognes : smartphone, pda, tablette, ...
Gestion du nomadisme
Accs utilisateurs
Base utilisateurs locale au contrleur
Gestion de l'expiration des comptes Wi-Fi (tranches horaires, expiration automatique)
Gestion des droits d'accs par profil utilisateur
Attribution dynamique des droits d'accs aprs authentification
Interface de type "hotspot" pour l'auto enregistrement d'un utilisateur invit
Interface web "light" (droits restreints) pour dlguer la cration de compte Wi-Fi
Import en masse de comptes utilisateurs locaux (csv, )
Gestion des droits des utilisateurs en fonction de sa localisation gographique

Nature des prestations demandes

Les prestations attendues sont les suivantes :

Identification des besoins fonctionnels et spcification darchitecture.

Travaux de cblage et installation des points d'accs.
Intgration et paramtrage.
Management centralis et transfert de comptences.
Maintenance et assistance.

Identification des besoins fonctionnels et spcification darchitecture

La solution propose devra faire partie intgrante du LAN existant, bas sur des commutateurs
dj prsents, avec une politique de VLAN par port.
Les interfaces des commutateurs existants permettent un dbit de 100Mbps. L'ajout de
nouveaux lments actifs "Gigabit" est l'tude ; la solution devra tre entirement compatible
avec cette nouvelle norme.
Dfinition des rgles applicatives mettre en uvre sur le rseau de communication radio.
Validation technique et fonctionnelle.
Validation des emplacements des bornes WIFI.
Dfinition des rgles de scurit et fonctionnelles mettre en place : authentification, SSID,
chiffrement
Les matriels fournis seront garantis conformes aux normes franaises en vigueur et la
norme CE, particulirement au regard de lmission de rayonnement lectromagntique et
pour un usage en milieu pdagogique.

Travaux de cblage et installation des points d'accs

Ce travail englobe une partie de l'installation physique de la solution et plus particulirement
l'ensemble des travaux de cblage raliser pour implanter les points d'accs.
Les travaux suivants seront raliser :

Assemblage montage scuris des interfaces / sous interfaces.

Remplacement de la distribution capillaire IBM type 2 par du Gigabit Ethernet pour

linterconnexion des points d'accs des btiments CTT, PST, MMS (1re phase).

Ralisation de la distribution capillaire cuivre catgorie 5E ou 6 pour linterconnexion des

nouveaux points d'accs.
Ce travail comprend, si ncessaire, la fixation d'un panneau RJ45 ct local technique ainsi
qu'un boitier ou plastron RJ45 ct point d'accs.
Page 9 sur 27

La convention de nommage des prises ajoutes sera fournie par le CRI durant les travaux.
Le brassage dans la baie informatique sera effectu par le CRI.
Installation scurise (hors de porte) des points daccs (mur, plafond, ).

Cette tape comprend le remplacement des points d'accs dj en production ainsi que
l'installation des nouvelles bornes prvues dans l'extension.
Remarques :
Le cblage informatique des btiments CTT, PST et MMS utilise des liaisons IBM type 2.
Cette architecture ne permet pas d'atteindre des dbits suprieurs 100Mbps et d'utiliser la
technologie POE.
La distribution capillaire des points d'accs en place dans ces zones sera donc refaire sur la
base d'un cblage en Gigabit Ethernet classique.
La technologie POE (Power Over Ethernet) sera privilgie pour l'alimentation des nouveaux
points d'accs. Les injecteurs de courant et blocs d'alimentation en place seront donc retirs.
Le point d'accs de la zone CTT3 est raccord avec une solution temporaire. Son cblage, courant
fort et courant faible, devra tre repris.
Ces travaux devront faire l'objet d'une certification et de la remise d'un cahier de recette
l'issu du chantier.

Intgration et paramtrage

Constitution et chargement de la configuration sur les quipements (reprise de la configuration

actuelle sur les nouveaux quipements).
Dfinition et implmentation des rgles applicatives (SSID, VLAN, scurisation, chiffrement,
authentification).
Paramtrage en mode console et au travers de linterface.
Paramtrage et mise niveau des quipements raccords aux bornes si ncessaires.

Management centralis et transfert de comptences

Phase 1 : Intgration et mise en uvre de la plateforme de management sans-fil.

Les prestations dintgration sont les suivantes :

o Dfinition et spcification de la configuration
o Implantation de lappliance
o Raccordement sur le LAN existant
o Configuration : adresse IP, dcouverte et adaptation de la puissance des points
d'accs, choix de la frquence en fonction de l'environnement
Paramtrages selon prconisations.

Phase 2 : Transfert de comptence sur site.

Le candidat prvoira la formation d'une partie de l'quipe informatique l'utilisation des
quipements installs.
Seront abords la prsentation de l'interface de gestion du systme et les fonctionnalits sousjacentes (liste non exhaustive) :

Centralisation de l'exploitation

La gestion des erreurs et des alarmes

Lajout de nouveaux points daccs

Lajout de nouveaux utilisateurs

Page 10 sur 27

Limplmentation de nouvelles applications

Le changement de paramtres de scurit
La prise en compte du filtrage par adresse MAC
Le paramtrage et limplmentation des nouveaux points daccs
....

Maintenance et assistance
Besoin
La prestation demande concerne la fois les aspects logiciels et matriels. Elle doit traiter tout
problme de configuration, paramtrage et de panne affectant en totalit ou partiellement les
quipements de la solution propose.
Il est demand au prestataire de mettre disposition de l'IFMA un numro dappel tlphonique
(type Hotline) ainsi quune adresse lectronique afin de soumettre les demandes.
Le prestataire devra prendre en compte les demandes dintervention faites par tlphone ou par
message lectronique :
- En ouvrant un ticket dincident,
- En dsignant un de ses ingnieurs ou techniciens comme tant le correspondant de lquipe
rseau de l'IFMA
- En proposant une solution ou, dfaut, un plan daction correctif.
Dfinition et primtre
A la date dadmission des quipements, le prestataire doit proposer une assistance technique sur
les matriels et logiciels embarqus et prvoir la remise en fonctionnement un niveau identique
des quipements de la solution propose subissant une panne.
Le fournisseur est invit proposer une ou plusieurs offres de maintenance intgrant un dlai
d'intervention ainsi qu'un dlai de rtablissement.
La proposition devra se rapprocher de l'offre de maintenance suivante :
Svrit
Critique
Haute
Normale
Faible

En ligne
1h
4h
8h
Next business day

Sur site
8h
Next business day
2 jours
-

En cas dimpossibilit de rparer le matriel sur site, le fournisseur livre, installe et configure
gratuitement un matriel de remplacement prsentant des caractristiques quivalentes dans un
dlai de deux jours ouvrs compter du lendemain du jour dintervention.

Page 11 sur 27

ANNEXE 1 : Schma rseau physique existant

Page 12 sur 27

ANNEXE 2 : Schma rseau logique Wi-Fi existant

Page 13 sur 27

ANNEXE 3 : Plans de couverture du site

Btiment
/Etages

SPA0
SPA1
SPA2
SPA3
SPA4
TCM-1
TCM0
TCM1
TCM2
TCM3
MMS1
MMS2
MMS3
MMS4
MMS5
ACC0
ACC2
PST2
PST3
PST4
PST5
CTT3
CTT4
Total

Phase de
construction

2me Phase
Cblage
Ethernet

1re phase
Cblage IBM
type 2
(PoE non
support)

Baie
Info.

SPA1
SPA1
SPA1
SPA1
SPA1
TCM3
TCM3
TCM3
TCM3
TCM3
MMS2
MMS2
MMS3
MMS4
MMS4
SPA1
SPA1
MMS2
MMS3
MMS4
MMS4
CTT3
CTT3

AP
existantes

renouveler

AP
supplmentaires
envisags

1
1

1
1
4
2
1
1

2
1
1
2

AP
supplmentaires
prconiss par le
candidat

Points d'accs en production

Points d'accs prvus dans
l'extension
Couverture souhaite dans les
zones des points d'accs remplacs
Couverture souhaite des nouvelles
zones couvrir
Baie informatique

1
1
1

1
1

1
1
1
16

1
1
1
1
1
16

Page 14 sur 27

CTT3

Page 15 sur 27

CTT4

Page 16 sur 27

MMS1

Page 17 sur 27

MMS2 et PST2

Page 18 sur 27

MMS3 et PST3

Page 19 sur 27

MMS4 et PST4

Page 20 sur 27

MMS5 et PST5

Page 21 sur 27

TCM-1

Page 22 sur 27

TCM0, ACC0 et SPA0

Page 23 sur 27

TCM1 et SPA1

Page 24 sur 27

TCM2, ACC2 et SPA2

Page 25 sur 27

TCM3 et SPA3

Page 26 sur 27

SPA4

Page 27 sur 27