Cahier des charges du renouvellement du cœur de réseau de l

Cahier des charges du renouvellement du
cœur de réseau de l’Institut Néel
Contexte :
Notre cœur de réseau est actuellement un montage de deux commutateurs routeur CISCO
Catalyst 3550-12T gérant chacun la moitié des vlan et règles de filtrage définis et utilisés dans
notre laboratoire
Le routeur en amont, est un Force10 E600i, qui nous permet d’accéder à l’ensemble des
laboratoires du polygone scientifique CNRS de Grenoble et Internet
L’ensemble de notre réseau en aval est constitué d’environ 80 commutateurs CISCO de type
Catalyst 3550, 2950 et 2960 reliés entre eux et à notre cœur de réseau en liaison fibre optique
ou cuivre au gigabit.
12 vlans sont définis dans notre cœur de réseau.
L’ensemble de nos règles de filtrages est constitué de plus de 4000 ACL configurées en mode
étendu (filtrage sur le port source, l’adresse IP source, une partie de l’adresse IP source, le
port de destination, l’adresse IP de destination, une partie de l’adresse IP de destination, le
protocole).
Notre système d’authentification machine actuel utilise le service VMPS de chez CISCO,
installé sur deux serveurs linux derrière nos commutateurs routeur Catalyst 3550.
Notre connexion externe et celles entre nos commutateurs en interne est de type Trunk
802.1q.
Le nouveau cœur de réseau sera constitué de 2 pare-feu montés en cluster qui géreront le
filtrage inter-vlans, et de deux commutateurs équipés d’interfaces gigabits et 10 gigabits,
montés en châssis virtuel.
Prestation demandées et réponses attendues de la part du candidat :
La prestation attendue par l’Institut NEEL porte sur :
- La fourniture de 2 pare-feu montés en cluster.
- La fourniture de 2 commutateurs rapides montés en châssis virtuel comme cœur de
réseau (modules et cordons optiques associés)
- La mise en production des matériels.
- Le transfert de compétence sur les matériels.
- La maintenance ou le remplacement des matériels sur 5 ans minimum en J+2 sur site
Page1
Cahier des charges du renouvellement du
cœur de réseau de l’Institut Néel
Fonctionnalités exigées pour l’ensemble de l’installation :
L’ensemble du dispositif doit être redondant.
Si l’un des quatre éléments tombe en panne ou est indisponible, le cœur de réseau doit
pouvoir continuer à fonctionner, sans que les connexions des utilisateurs en soient affectées.
Ceci implique la redondance de chaque lien en amont en double attachement vers chacun des
commutateurs du cœur de réseau.
Fonctionnalités exigées pour le cluster de pare-feu :
Chaque boitier intègrera au moins deux interfaces Ethernet 10Gbits (module SFP+).
Le débit du firewall ou "firewall throughput » doit être d’au moins 20Gbps.
Chaque boitier doit contenir en plus, au moins 8 interfaces Gigabits (4 interfaces SFP et 4
interfaces RJ45).
L’ensemble des paramètres doivent être accessible par une interface web intuitive et très
facile d’utilisation (y compris bien sûr, la gestion des vlans et des règles de filtrages).
La gestion des pare-feu doit pouvoir aussi se faire en ligne de commande (CLI), cette
méthode de gestion devra pourvoir être accessible en SSH ou Telnet.
La mise en place de nos 4000 règles de filtrage sur les boitiers ne doit pas affecter leur
performance.
Nous désirons deux boitiers pare-feu qui ont les caractéristiques suivantes :
[X]
Firewall type UTM (Unified Threat Management)
[X]
Technologie ASIC intégrée pour de meilleures performances
[X]
Mode routage statique
[X]
802.1q VLAN Trunk
[X]
Haute Disponibilité (HA) Actif-Actif ou Actif-Passif pour le cluster
[X]
Filtrage URL
[X]
Exportation des logs de filtrage par syslog
[X]
Le nombre d’ACL minimum supportées doit être d’au moins 8000
[X]
Toutes les fonctionnalités doivent être compatibles IPV6
[X]
NTP client
Page2
Cahier des charges du renouvellement du
cœur de réseau de l’Institut Néel
Un certain nombre d’options doivent être disponibles sur demande ou déjà intégrées et actives
[X]
[X]
VPN Ipsec (prix de la licence et prix par client final)
VPN SSL (prix de la licence et prix par client final)
Ils devront posséder deux alimentations.
Modules SFP+ et SFP associés
Il faudra proposer les convertisseurs optiques et cuivre compatibles avec les commutateurs cidessous :
5
modules SFP+ SX (10Gb/s) pour fibre optique multimode
(Pour une distance minimum de 170m sur fibre optique 50/125)
(Pour l’ensemble des deux équipements)
Fonctionnalités exigées pour les commutateurs du cœur de réseau :
2 Commutateurs identiques
Ils doivent pouvoir s’interconnecter pour devenir un châssis virtuel avec une seule
configuration.
Nous désirons deux commutateurs qui ont les caractéristiques suivantes :
[X]
[X]
[X]
[X]
[X]
[X]
[X]
[X]
[X]
[X]
[X]
[X]
[X]
[X]
VLAN Support
Standard 802.1Q
Multicast Internet Group Management Protocol (IGMP)
Simple Network Management Protocol (SNMP)
Rapid Spanning-Tree Protocol PVST, PVST+
Network Time Protocol (NTP client)
System logging (syslog) sur IPv4
System logging (syslog) sur IPv6 (en option)
Protection router-advertisement IPv6
Multi-Chassis Link Aggregation Group (MC-LAG)
Link Aggregation Control Protocol (LACP)
Ethernet Ring Protection (ERP)
Quality of Service (Fonction de QoS)
Fond de panier non-bloquant
Page3
Cahier des charges du renouvellement du
cœur de réseau de l’Institut Néel
Ce double équipement devra avoir chacun un minimum de 24 ports, acceptant des connexions
gigabits/s et 10 gigabits/s (Module SFP et SFP+).
Ils devront posséder deux alimentations.
Modules SFP optiques et cuivre (pour l’ensemble des deux commutateurs)
Il faudra proposer les convertisseurs optiques et cuivre compatibles avec les commutateurs cidessus et de la même marque :
10
modules SFP+ SR (10Gb/s) pour fibre optique multimode
(Pour une distance minimum de 170m sur fibre optique 50/125)
16
modules SFP SX (1Gb/s) pour fibre optique multimode
(Pour une distance minimum de 170m sur fibre optique 50/125)
14
modules SFP cuivre 1000baseT
Mise en production de l’ensemble des matériels :
Cette étape doit intégrer la mise en place par le prestataire des vlans existants, dans la
configuration des nouveaux pare-feu.
Cette étape doit intégrer la mise en place de toutes les règles de filtrage pour sécuriser les
communications entre les différents vlan, ainsi qu’en entrée et sortie du laboratoire.
Le client fournira un document complet des ACL en entrée et en sortie sur chaque vlan défini.
Cette étape doit bien sûr intégrer la mise en place de l’ensemble des matériels dans la baie
serveurs prévu à cet effet et leurs bons fonctionnement en tant que nouveau cœur de réseau.
Formation :
Une ou deux journées de formation pour se familiariser avec les différents matériels.
Cette formation doit permettre aux membres du service informatique d’être autonome dans la
mise en place de nouveaux filtres, de nouveaux vlans, la mise à jour du matériel, la
sauvegarde de la configuration et la restauration d’une ancienne configuration de tous les
matériels.
Page4
Cahier des charges du renouvellement du
cœur de réseau de l’Institut Néel
Maintenance :
La proposition devra comporter un volet maintenance comprise dans le prix initial pour 5 ans
minimum avec indication du prix d'année supplémentaire de maintenance pour l’ensemble des
matériels.
La maintenance logicielle devra permettre les accès aux mises à jour des systèmes
d'exploitation de tous les équipements.
Une assistance téléphonique illimitée devra être incluse dans le prix de la maintenance.
Proposition budgétaire :
La proposition devra détailler les prix des différents éléments et prestations.
Les options devront être chiffrées séparément.
Pour les options VPN, fournir le prix de la licence et le prix par client final.
Annexes :
Voici en annexe les plans du réseau informatique de l’Institut Néel
Annexe1 – Cœur de réseau Institut Néel actuel
Annexe2 – Nouveau cœur de réseau (avec nouveau cœur de réseau)
Annexe3 – Architecture finale
Page5
Brassage
D2
Brassage
D0_D1
Brassage
D3
Brassage
E1_E2
E3
Brassage
E0
Brassage
N
Brassage
F0_F1
F2
Brassage Brassage
F3
C5_Rdc
Brassage
K
2 x CISCO Cathalyst 3550
Brassage
C3_Rdc
Brassage
L
Annexe 1 : Cœur de réseau - Actuel
Brassage
C1_R+1
Liaison optique Gigabits/s
Liaison optique 10 gigabits/s
Liaisons cuivre Gigabits/s
Convertisseur de media gigabits cuivre / FO
Baie de brassage réseau
Brassage
Z
Brassage
M
Brassage
F0_F1
F2
Brassage Brassage
F3
C5_Rdc
Brassage
K
Brassage
L
Pare Feu
Brassage
E0
Brassage
N
Pare-Feu
Brassage
E1_E2
E3
Commutateur
Brassage
D0_D1
Brassage
D3
Commutateur
Brassage
C3_R+1
Brassage
D2
Brassage
C3_Rdc
Annexe 2 : Nouveau cœur de réseau
Brassage
C1_R+1
Liaison optique Gigabits/s
Liaison optique 10 gigabits/s
Liaisons cuivre Gigabits/s
Convertisseur de media gigabits cuivre / FO
Baie de brassage réseau
Brassage
M
Brassage
Z
Brassage
C1_R+1
Pare-Feu
Pare Feu
Brassage
D2
Brassage
C1_MEZZ
Brassage
D3
Brassage
D0_D1
Brassage
C3_Rdc
Cluster
Calcul
D1
Brassage
E2_E3
Brassage
E0_E1
Brassage
N
Brassage
F3
Brassage Brassage
F0_F1
C5_Rdc
F2
Serveurs
Institut
F3
Brassage
L
Serveurs
Institut
K
Brassage
M
Serveurs
calcul
K
Brassage
K
Commutateur
Brassage
C3_R+1
Commutateur
Annexe 3 : Architecture finale
Brassage
B
Liaisons cuivre Gigabits/s
Liaison optique Gigabits/s
Liaison optique 10 gigabits/s
Convertisseur de media gigabits cuivre / FO
Baie de brassage réseau
Connexion Brassage
L_M
Z