Cahier des charges du renouvellement du cœur de réseau de l
Transcription
Cahier des charges du renouvellement du cœur de réseau de l
Cahier des charges du renouvellement du cœur de réseau de l’Institut Néel Contexte : Notre cœur de réseau est actuellement un montage de deux commutateurs routeur CISCO Catalyst 3550-12T gérant chacun la moitié des vlan et règles de filtrage définis et utilisés dans notre laboratoire Le routeur en amont, est un Force10 E600i, qui nous permet d’accéder à l’ensemble des laboratoires du polygone scientifique CNRS de Grenoble et Internet L’ensemble de notre réseau en aval est constitué d’environ 80 commutateurs CISCO de type Catalyst 3550, 2950 et 2960 reliés entre eux et à notre cœur de réseau en liaison fibre optique ou cuivre au gigabit. 12 vlans sont définis dans notre cœur de réseau. L’ensemble de nos règles de filtrages est constitué de plus de 4000 ACL configurées en mode étendu (filtrage sur le port source, l’adresse IP source, une partie de l’adresse IP source, le port de destination, l’adresse IP de destination, une partie de l’adresse IP de destination, le protocole). Notre système d’authentification machine actuel utilise le service VMPS de chez CISCO, installé sur deux serveurs linux derrière nos commutateurs routeur Catalyst 3550. Notre connexion externe et celles entre nos commutateurs en interne est de type Trunk 802.1q. Le nouveau cœur de réseau sera constitué de 2 pare-feu montés en cluster qui géreront le filtrage inter-vlans, et de deux commutateurs équipés d’interfaces gigabits et 10 gigabits, montés en châssis virtuel. Prestation demandées et réponses attendues de la part du candidat : La prestation attendue par l’Institut NEEL porte sur : - La fourniture de 2 pare-feu montés en cluster. - La fourniture de 2 commutateurs rapides montés en châssis virtuel comme cœur de réseau (modules et cordons optiques associés) - La mise en production des matériels. - Le transfert de compétence sur les matériels. - La maintenance ou le remplacement des matériels sur 5 ans minimum en J+2 sur site Page1 Cahier des charges du renouvellement du cœur de réseau de l’Institut Néel Fonctionnalités exigées pour l’ensemble de l’installation : L’ensemble du dispositif doit être redondant. Si l’un des quatre éléments tombe en panne ou est indisponible, le cœur de réseau doit pouvoir continuer à fonctionner, sans que les connexions des utilisateurs en soient affectées. Ceci implique la redondance de chaque lien en amont en double attachement vers chacun des commutateurs du cœur de réseau. Fonctionnalités exigées pour le cluster de pare-feu : Chaque boitier intègrera au moins deux interfaces Ethernet 10Gbits (module SFP+). Le débit du firewall ou "firewall throughput » doit être d’au moins 20Gbps. Chaque boitier doit contenir en plus, au moins 8 interfaces Gigabits (4 interfaces SFP et 4 interfaces RJ45). L’ensemble des paramètres doivent être accessible par une interface web intuitive et très facile d’utilisation (y compris bien sûr, la gestion des vlans et des règles de filtrages). La gestion des pare-feu doit pouvoir aussi se faire en ligne de commande (CLI), cette méthode de gestion devra pourvoir être accessible en SSH ou Telnet. La mise en place de nos 4000 règles de filtrage sur les boitiers ne doit pas affecter leur performance. Nous désirons deux boitiers pare-feu qui ont les caractéristiques suivantes : [X] Firewall type UTM (Unified Threat Management) [X] Technologie ASIC intégrée pour de meilleures performances [X] Mode routage statique [X] 802.1q VLAN Trunk [X] Haute Disponibilité (HA) Actif-Actif ou Actif-Passif pour le cluster [X] Filtrage URL [X] Exportation des logs de filtrage par syslog [X] Le nombre d’ACL minimum supportées doit être d’au moins 8000 [X] Toutes les fonctionnalités doivent être compatibles IPV6 [X] NTP client Page2 Cahier des charges du renouvellement du cœur de réseau de l’Institut Néel Un certain nombre d’options doivent être disponibles sur demande ou déjà intégrées et actives [X] [X] VPN Ipsec (prix de la licence et prix par client final) VPN SSL (prix de la licence et prix par client final) Ils devront posséder deux alimentations. Modules SFP+ et SFP associés Il faudra proposer les convertisseurs optiques et cuivre compatibles avec les commutateurs cidessous : 5 modules SFP+ SX (10Gb/s) pour fibre optique multimode (Pour une distance minimum de 170m sur fibre optique 50/125) (Pour l’ensemble des deux équipements) Fonctionnalités exigées pour les commutateurs du cœur de réseau : 2 Commutateurs identiques Ils doivent pouvoir s’interconnecter pour devenir un châssis virtuel avec une seule configuration. Nous désirons deux commutateurs qui ont les caractéristiques suivantes : [X] [X] [X] [X] [X] [X] [X] [X] [X] [X] [X] [X] [X] [X] VLAN Support Standard 802.1Q Multicast Internet Group Management Protocol (IGMP) Simple Network Management Protocol (SNMP) Rapid Spanning-Tree Protocol PVST, PVST+ Network Time Protocol (NTP client) System logging (syslog) sur IPv4 System logging (syslog) sur IPv6 (en option) Protection router-advertisement IPv6 Multi-Chassis Link Aggregation Group (MC-LAG) Link Aggregation Control Protocol (LACP) Ethernet Ring Protection (ERP) Quality of Service (Fonction de QoS) Fond de panier non-bloquant Page3 Cahier des charges du renouvellement du cœur de réseau de l’Institut Néel Ce double équipement devra avoir chacun un minimum de 24 ports, acceptant des connexions gigabits/s et 10 gigabits/s (Module SFP et SFP+). Ils devront posséder deux alimentations. Modules SFP optiques et cuivre (pour l’ensemble des deux commutateurs) Il faudra proposer les convertisseurs optiques et cuivre compatibles avec les commutateurs cidessus et de la même marque : 10 modules SFP+ SR (10Gb/s) pour fibre optique multimode (Pour une distance minimum de 170m sur fibre optique 50/125) 16 modules SFP SX (1Gb/s) pour fibre optique multimode (Pour une distance minimum de 170m sur fibre optique 50/125) 14 modules SFP cuivre 1000baseT Mise en production de l’ensemble des matériels : Cette étape doit intégrer la mise en place par le prestataire des vlans existants, dans la configuration des nouveaux pare-feu. Cette étape doit intégrer la mise en place de toutes les règles de filtrage pour sécuriser les communications entre les différents vlan, ainsi qu’en entrée et sortie du laboratoire. Le client fournira un document complet des ACL en entrée et en sortie sur chaque vlan défini. Cette étape doit bien sûr intégrer la mise en place de l’ensemble des matériels dans la baie serveurs prévu à cet effet et leurs bons fonctionnement en tant que nouveau cœur de réseau. Formation : Une ou deux journées de formation pour se familiariser avec les différents matériels. Cette formation doit permettre aux membres du service informatique d’être autonome dans la mise en place de nouveaux filtres, de nouveaux vlans, la mise à jour du matériel, la sauvegarde de la configuration et la restauration d’une ancienne configuration de tous les matériels. Page4 Cahier des charges du renouvellement du cœur de réseau de l’Institut Néel Maintenance : La proposition devra comporter un volet maintenance comprise dans le prix initial pour 5 ans minimum avec indication du prix d'année supplémentaire de maintenance pour l’ensemble des matériels. La maintenance logicielle devra permettre les accès aux mises à jour des systèmes d'exploitation de tous les équipements. Une assistance téléphonique illimitée devra être incluse dans le prix de la maintenance. Proposition budgétaire : La proposition devra détailler les prix des différents éléments et prestations. Les options devront être chiffrées séparément. Pour les options VPN, fournir le prix de la licence et le prix par client final. Annexes : Voici en annexe les plans du réseau informatique de l’Institut Néel Annexe1 – Cœur de réseau Institut Néel actuel Annexe2 – Nouveau cœur de réseau (avec nouveau cœur de réseau) Annexe3 – Architecture finale Page5 Brassage D2 Brassage D0_D1 Brassage D3 Brassage E1_E2 E3 Brassage E0 Brassage N Brassage F0_F1 F2 Brassage Brassage F3 C5_Rdc Brassage K 2 x CISCO Cathalyst 3550 Brassage C3_Rdc Brassage L Annexe 1 : Cœur de réseau - Actuel Brassage C1_R+1 Liaison optique Gigabits/s Liaison optique 10 gigabits/s Liaisons cuivre Gigabits/s Convertisseur de media gigabits cuivre / FO Baie de brassage réseau Brassage Z Brassage M Brassage F0_F1 F2 Brassage Brassage F3 C5_Rdc Brassage K Brassage L Pare Feu Brassage E0 Brassage N Pare-Feu Brassage E1_E2 E3 Commutateur Brassage D0_D1 Brassage D3 Commutateur Brassage C3_R+1 Brassage D2 Brassage C3_Rdc Annexe 2 : Nouveau cœur de réseau Brassage C1_R+1 Liaison optique Gigabits/s Liaison optique 10 gigabits/s Liaisons cuivre Gigabits/s Convertisseur de media gigabits cuivre / FO Baie de brassage réseau Brassage M Brassage Z Brassage C1_R+1 Pare-Feu Pare Feu Brassage D2 Brassage C1_MEZZ Brassage D3 Brassage D0_D1 Brassage C3_Rdc Cluster Calcul D1 Brassage E2_E3 Brassage E0_E1 Brassage N Brassage F3 Brassage Brassage F0_F1 C5_Rdc F2 Serveurs Institut F3 Brassage L Serveurs Institut K Brassage M Serveurs calcul K Brassage K Commutateur Brassage C3_R+1 Commutateur Annexe 3 : Architecture finale Brassage B Liaisons cuivre Gigabits/s Liaison optique Gigabits/s Liaison optique 10 gigabits/s Convertisseur de media gigabits cuivre / FO Baie de brassage réseau Connexion Brassage L_M Z