RARE 07 - PFR - BEAUMELLE_ROLAND

2 215 vues

Publié le

0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
2 215
Sur SlideShare
0
Issues des intégrations
0
Intégrations
9
Actions
Partages
0
Téléchargements
68
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

RARE 07 - PFR - BEAUMELLE_ROLAND

  1. 1. Projet Fil Rouge RARE H R R B 2 0 / 0 4 / 2 0 1 4 Renaud Beaumelle Hugo Roland Réponse de HRRB à l’appel d’offre de la société Newstore de modernisation de son système d’information.
  2. 2. Projet Fil Rouge RARE 2014 1 Hugo ROLAND Renaud BEAUMELLE Introduction Le présent document constitue la réponse de HRRB à l’appel d’offre émis par la société Newstore de refonte de son système d’information. La solution que nous allons vous présenter se base sur le cahier des charges fonctionnel (ANNEXE A) ainsi que sur les schémas réseaux (ANNEXE B) transmis par la société Newstore. Elle permettra d’accueillir le nouvel ERP GOLD (Aldata) dans les 52 hypermarchés (en France et au Portugal), dans la centrale d’achat et dans la plateforme de stockage. Cette solution permettra à la société Newstore d’améliorer sa compétitivité dans le secteur de la grande distribution grâce à de meilleures performances et une meilleure stabilité. Elle sera aussi plus homogène et robuste afin de réduire les coûts de fonctionnement et apportera un confort d’utilisation supérieur aux utilisateurs. Nous vous proposons aussi de prendre en charge toute l’exploitation du système afin de laisser Newstore se concentrer sur son métier de la grande distribution. Les acteurs majeurs du projet Nom Fonction Société Martin Thibault Maitre d’ouvrage Newstore Deschamps Virginie Assistante maîtrise d’ouvrage Newstore Roland Hugo Chef de projet et expert technique Systèmes et réseaux HRRB Beaumelle Renaud Chef de projet et expert technique Systèmes et réseaux HRRB
  3. 3. Projet Fil Rouge RARE 2014 1 Hugo ROLAND Renaud BEAUMELLE 1 - Présentation PRESENTATION DE L’ENTREPRISE HRRB................................................................... 3 1 Présentation....................................................................................................................... 3 2 Les chiffres clés................................................................................................................. 3 2.1 Chiffre d’affaires............................................................................................................ 3 2.2 Implantation................................................................................................................... 3 3 Nos clients.......................................................................................................................... 4 4 Partenariats........................................................................................................................ 4 RECAPITULATIF DES RISQUES IDENTIFIES ............................................................... 5 PROPOSITION DE SOLUTION ........................................................................................... 7 1 Lot infrastructure réseau étendu..................................................................................... 7 1.1 Rappel du besoin .......................................................................................................... 7 1.2 Réponse fonctionnelle .................................................................................................. 8 1.3 Détails techniques....................................................................................................... 10 2 Lot infrastructure réseau local ...................................................................................... 12 2.1 Rappel du besoin ........................................................................................................ 12 2.2 Réponse fonctionnelle ................................................................................................ 12 2.3 Détails techniques....................................................................................................... 17 2.4 Adressage IP............................................................................................................... 19 2.5 Nommage.................................................................................................................... 20 2.6 Matériel........................................................................................................................ 21 3 Lot serveurs et stockage ................................................................................................ 22 3.1 Rappel du besoin ........................................................................................................ 22 3.2 Réponse fonctionnelle ................................................................................................ 22 3.3 Détails techniques....................................................................................................... 24 4 Lot postes clients............................................................................................................ 30 4.1 Rappel du besoin ........................................................................................................ 30 4.2 Réponse fonctionnelle ................................................................................................ 30 4.3 Détails techniques....................................................................................................... 32 5 Lot téléphonie .................................................................................................................. 34 5.1 Rappel du besoin ........................................................................................................ 34 5.2 Réponse fonctionnelle ................................................................................................ 34 5.3 Détails techniques....................................................................................................... 35 6 Lot messagerie ................................................................................................................ 37 6.1 Rappel du besoin ........................................................................................................ 37 6.2 Réponse fonctionnelle ................................................................................................ 37 6.3 Détails techniques....................................................................................................... 38
  4. 4. Projet Fil Rouge RARE 2014 2 Hugo ROLAND Renaud BEAUMELLE 1 - Présentation 7 Lot sécurité ...................................................................................................................... 39 7.1 Rappel du besoin ........................................................................................................ 39 7.2 Réponse fonctionnelle ................................................................................................ 39 7.3 Détails techniques....................................................................................................... 40 8 Lot procédures................................................................................................................. 53 8.1 Rappel du besoin ........................................................................................................ 53 8.2 Réponse fonctionnelle ................................................................................................ 53 8.3 Détails techniques....................................................................................................... 53 9 Lot déploiement............................................................................................................... 54 9.1 Rappel du besoin ........................................................................................................ 54 9.2 Réponse fonctionnelle ................................................................................................ 54 9.3 Détails techniques....................................................................................................... 56 10 Lot infogérance ............................................................................................................ 58 10.1 Rappel du besoin..................................................................................................... 58 10.2 Réponse fonctionnelle............................................................................................. 58 10.3 Détails techniques ................................................................................................... 58 BILAN FONCTIONNEL ...................................................................................................... 60 BILAN FINANCIER.............................................................................................................. 61 1 Investissement................................................................................................................. 61 2 Coûts annuels.................................................................................................................. 62 3 Temps de retour sur investissement ............................................................................ 63 GLOSSAIRE........................................................................................................................... 64
  5. 5. Projet Fil Rouge RARE 2014 3 Hugo ROLAND Renaud BEAUMELLE 1 - Présentation Présentation de l’entreprise HRRB 1 Présentation HRRB est l'un des leaders des services informatiques et d'ingénierie de proximité, spécialisé dans la gestion des applicatifs et des infrastructures (application and infrastructure management), le conseil en technologies (high-tech engineering) et le testing. De dimension internationale, fort de 21 ans d’expérience, le groupe apporte à ses clients des réponses simples, concrètes et efficaces, avec une gamme complète de solutions sur mesure et innovantes. Sur le territoire national, HRRB accompagne ses clients localement, grâce à une organisation décentralisée, souple et réactive. 2 Les chiffres clés 2.1 Chiffre d’affaires 2.2 Implantation HRRB est implanté dans 20 des 22 régions françaises en métropole et intervient dans tout l’hexagone. Le territoire est couvert par 28 agences ainsi que deux centres de services. HRRB c’est aussi et surtout 2500 collaborateurs expérimentés, répartis en métropole et prêts à intervenir avec toute la réactivité dont ont besoin nos clients. 0 20 000 000 40 000 000 60 000 000 80 000 000 100 000 000 120 000 000 140 000 000 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 EVOLUTION DU CA EN €
  6. 6. Projet Fil Rouge RARE 2014 4 Hugo ROLAND Renaud BEAUMELLE 3 - Nos clients 3 Nos clients Historique de quelques installations : 2009 : Renouvellement du Parc informatique de la TBC avec la participation de Mr Leblanc 2010 : Ajout d’une application de gestion des incidents pour Veolia avec la participation de Mme Butony 2012 : Mise en place d’un plan de sauvegarde sur tous les sites distants des Conforama en France avec la participation de Mr Govare 2013 : Refonte du système de gestion des marchandises du groupe Carrefour via l’installation d’un ERP. 4 Partenariats HRRB a établi quatre alliances stratégiques avec des acteurs du marché : IBM, Cisco, Microsoft et Magic Online. Ces Alliances sont un facteur de succès décisif pour vos projets. Dans le cadre de la maintenance, nous intervenons sur tout type de matériel ou logiciels, quelle que soit leur marque ou éditeur. HRRB travaille depuis de nombreuses années à l’intégration d’ERP pour de grandes sociétés.
  7. 7. Projet Fil Rouge RARE 2014 5 Hugo ROLAND Renaud BEAUMELLE 1 - Risques produit Récapitulatif des risques identifiés Soucieux de vous proposer une solution pérenne nous avons réalisé deux analyses de risque : - une analyse de risque produit - une analyse de risque projet. Ces études font partie des éléments clés qui ont conditionnés la recherche ainsi que la proposition de solution. Elles ont été menées selon la méthode de l’analyse des modes de défaillance, de leurs effets et de leur criticité (AMDEC). 1 Risques produit L’étude de risque produit a portée sur l’un des éléments critiques de l’activité de Newstore : L’activité du secteur caisse. Les risques identifiés concernant la perturbation de l’activité des caissiers sont les suivants : - Baisse du chiffre d’affaires - Dégradation de l’image du groupe - Perte de produits (casse, produits frais,…) - Augmentation des coûts de maintenance Les causes identifiées sont les suivantes : - Présence de points de défaillance unique - Eventuelle faiblesse des procédures - Possibilité de mauvaise connaissance du produit - Performances potentiellement insuffisantes Vous trouverez en ANNEXE C la fiche risque identifiant les causes probables de perturbation de l’activité des caissiers ainsi que les éléments à mis en place afin de diminuer la criticité des causes et des risques. 2 Risques projet L’analyse de risque projet quant à elle traite des risques liés au retard de livraison de la solution proposée. Les risques identifiés concernant les risques liés au retard de livraison de la solution proposée sont les suivants : - Perte de production - Mauvaise publicité client - Mauvaise image Entreprise de Services du Numérique (ESN). - Surcoût ESN
  8. 8. Projet Fil Rouge RARE 2014 6 Hugo ROLAND Renaud BEAUMELLE 2 - Risques projet - Surcoût Client Les causes probables sont les suivantes : - Activité du client - Fournisseurs - Mauvaise procédure de déploiement - Mauvais suivi du déploiement Vous trouverez en ANNEXE D la fiche risque identifiant les causes probables de retard de livraison de la solution proposée ainsi que les éléments à mettre en place afin de diminuer la criticité des causes et des risques.
  9. 9. Projet Fil Rouge RARE 2014 7 Hugo ROLAND Renaud BEAUMELLE 1 - Lot infrastructure réseau étendu Proposition de solution Afin de répondre au mieux au besoin exprimé par la société Newstore, nous allons maintenant vous exposer la solution définie par HRRB en lots techniques. Ces différents lots représentent toutes les briques de l’infrastructure globale qui vous est proposée. Les lots Les différents lots : - Lot Infrastructure Réseau étendu : La connectivité externe et inter-sites. - Lot Infrastructure Réseau local : L’architecture réseau de chaque site. - Lot serveurs et Stockage : L’infrastructure système mise en place. - Lot postes clients : Les postes utilisés par les collaborateurs Newstore. - Lot Téléphonie : Les moyens de téléphonie de l’entreprise. - Lot Messagerie : La solution de messagerie électronique. - Lot Sécurité : Les différents moyens mis en œuvre afin de garantir la sécurité du SI (PSSI, Pare-Feu, QOS, PCA, Autonomie électrique, sauvegarde, supervision) - Lot Processus : Les engagements de HRRB en termes de livraison de procédures - Lot Déploiement : Le calendrier de déploiement de la solution et les moyens mis en œuvre En option : - Lot Infogérance : L’offre d’externalisation de l’exploitation du SI. 1 Lot infrastructure réseau étendu 1.1 Rappel du besoin La société Newstore a besoin de permettre à tous ses sites de communiquer entre eux, ce qui implique leur interconnexion via un réseau étendu (WAN). Récapitulatif des débits nécessaires : Débits nécessaires Charge normale Absorbation de pics Prévision évolution Hypermarché 5,16 Mb/s 6,42 Mb/s Centrale d'achat 643,67 Mb/s 720,39 Mb/s 987,77 Mb/s Plateforme de stockage 643,67 Mb/s 720,39 Mb/s 987,77 Mb/s Hypermarché PRA (cf. Lot sécurité) 317,62 Mb/s 354,81 Mb/s 468,12 Mb/s Notes 15% de pics + 10 Hypermarchés Le détail des débits nécessaires est disponible en ANNEXE E.3. Ce lot traite de l’interconnexion des différents sites.
  10. 10. Projet Fil Rouge RARE 2014 8 Hugo ROLAND Renaud BEAUMELLE 1 - Lot infrastructure réseau étendu 1.2 Réponse fonctionnelle L’architecture retenue est de type MPLS. Cela signifie que tous les sites sont en mesure de communiquer entre eux, via un réseau dédié cloisonné. Les hypermarchés éligibles à l’ADSL ainsi que la centrale d’achat et la plateforme de stockage sont raccordés à internet par le même opérateur. Ils communiquent ainsi directement via le réseau MPLS du dit opérateur. Les hypermarchés situés au Portugal et les hypermarchés non éligibles à l’ADSL se connectent au réseau MPLS via un Réseau Privé Virtuel (VPN). Cette connexion est configurée par l’opérateur sur le routeur fourni. La centrale d’achat et la plateforme de stockage forment une seule et même entité logique « Site Central ». L’accès aux ressources externes (internet, fournisseurs, etc…) pour chaque hypermarché est assurée via l’entité logique « Site Central ». Les commerciaux en clientèle se connecteront en VPN au réseau Newstore via la centrale d’achat (cf. Lot Sécurité). Les avantages de cette architecture : - Les flux en provenance des hypermarchés à destination de l’extérieur (WAN) sont centralisés en un point unique de gestion et de contrôle, le « Site Central ». - Les flux monétiques et VOIP vont directement à leur destination sans passer par ce point de gestion unique : ils sont traités en amont par l’opérateur, dès leur arrivée sur le réseau MPLS Le schéma réseau détaillant cette architecture est disponible en page suivante.
  11. 11. Projet Fil Rouge RARE 2014 9 Hugo ROLAND Renaud BEAUMELLE 1 - Lot infrastructure réseau étendu Schéma architecture WAN Hypermarché France éligible SDSL Hypermarché non éligible SDSL Plateforme de stockage Centrale d’achat WAN 10GBASE-SR 10GBASE-SRWAN 1 2 3 1 2 1 2 Passerelle Monétique Hypermarché portugal VPN MPLS 7 Routeur 14 Liaison commutée 1 Pylône radio 4 Commutateur Ethernet ATM/ FastGB 2 Nuage 2 Pare-feu 1 Passerelle 1 Antenne parabolique Symbole Total Description Symboles Légende Symboles Flux Monétique Flux VOIP Accès au WAN Liaison backup Liaison principale OM4 (50/125) 10GBASE-
  12. 12. Projet Fil Rouge RARE 2014 10 Hugo ROLAND Renaud BEAUMELLE 1 - Lot infrastructure réseau étendu 1.3 Détails techniques Les différents sites seront interconnectés grâce à la solution de VPN MPLS proposé par l’opérateur Magic Online. Cet opérateur a été retenu pour plusieurs raisons : - Les tarifs compétitifs - Cet opérateur est un opérateur de tiers 2. De ce fait, le service « Redondance d’accès » utilise deux réseaux d’opérateurs différents ce qui, en cas de panne, diminue les risques de perte d’accès. - Les services correspondant exactement aux besoins de Newstore :  Le service « Monétique sur IP », collecte directement les flux monétiques dès leur arrivée sur le réseau MPLS.  Le service « Redondance d’accès » assure à chaque site desservi par cet opérateur deux connexions utilisant deux réseaux physiques distincts.  Le service « Agrégation d’accès » permet d’agréger deux liaisons afin de doubler le débit disponible.  Le service « VPN MPLS » permet la connexion au réseau MPLS, indifféremment de l’opérateur.  Le service « VOIP » collecte directement les flux VOIP à destination de l’extérieur dès leur arrivée sur le réseau MPLS.  Le service « QOS », permettant la priorisation de certains type de flux. - La garantie de temps de rétablissement pour tous types de panne est de 4 heures. 1.3.1 Contrats - Pour tous les sites :  Magic Online VPN MPLS - Pour les hypermarchés en France éligibles à l’ADSL :  Deux liaisons Magic Online SDSL 5 Mb/s + Options :  Redondance d'accès  Agrégation de lien - Pour les hypermarchés en France non éligibles à l’ADSL :  WIFIMAX Ozone 10-18Mb/s  Clé Orange Business Essentiel 4G (Les sites sont couverts par la 3G)  Magic Online VPN MPLS + monétique sur IP - Pour l’hypermarché hébergeant les données de PRA :  Fibre Magic Online 1000 Mb/s  Magic Online SDSL 5 Mb/s + Options :  Redondance d'accès  Agrégation de lien - Pour les hypermarchés au Portugal :  Fibre Claranet 10Mb/s (contrats SDSL 8mb/s non disponibles)
  13. 13. Projet Fil Rouge RARE 2014 11 Hugo ROLAND Renaud BEAUMELLE 1 - Lot infrastructure réseau étendu  Fibre Portugal Telecom 10Mb/s (contrats SDSL 8mb/s non disponibles)  Magic Online VPN MPLS + monétique sur IP - Pour la centrale d’achat et la plateforme de stockage :  Fibre Magic Online 1000 Mb/s Les engagements des opérateurs : - Taux de disponibilité du réseau supérieur à 99,9% - Supervision du lien - Statistiques de contrôle de charge du réseau - Délai de rétablissement (GTR) inférieur à 4 heures - Débit garanti 100% du Temps 1.3.2 Adressage IP Nous avons choisi l’adresse de réseau privé 172.16.0.0/12. En se basant sur une politique d’ouverture d’un hypermarché par an, le plan d’adressage proposé ne devra pas être modifié avant 48 ans. Le plan d’adressage IP détaillé est disponible en ANNEXE F. 1.3.3 Matériel Le matériel réseau nécessaire à l’interconnexion des sites se compose ainsi : Pour les hyper-marchés français (éligibles à l’ADSL) : - 2 routeurs CISCO fournis par l’opérateur Magic Online. Pour les hyper-marchés portugais (éligibles à l’ADSL) : - 1 routeur CISCO fourni par l’opérateur Claranet - 1 routeur CISCO fourni par l’opérateur Portugal Télécom Pour les hypermarchés français (Non éligibles à l’ADSL) : - 1 routeur Cisco 819 4G LTE M2M Gateway - 1 Kit de connexion modem + antenne réceptrice fourni par l’opérateur Ozone. Pour la centrale d’achat : - 1 routeur CISCO fourni par l’opérateur Magic Online. Pour la plateforme de stockage : - 1 routeur CISCO fourni par l’opérateur Magic Online. 1.3.4 Qualité de service La QOS (Quality Of Service) est directement configurée par les opérateurs suivant nos directives. Cf. Lot sécurité.
  14. 14. Projet Fil Rouge RARE 2014 12 Hugo ROLAND Renaud BEAUMELLE 2 - Lot infrastructure réseau local 2 Lot infrastructure réseau local 2.1 Rappel du besoin La société Newstore a besoin de permettre à ses salariés d’échanger, de partager et d’accéder aux informations numériques. Une grande partie de ces fonctionnalités repose sur le réseau local (LAN). L’architecture en place a de fortes carences en termes de performance, d’administration, de robustesse mais aussi d’évolutivité (schéma en ANNEXE B). C’est pourquoi cette infrastructure se doit d’être entièrement remaniée afin de garantir aux hypermarchés Newstore toute la compétitivité nécessaire au domaine de la grande distribution. L’infrastructure LAN est propre à chaque site et nous détaillerons ce lot en : - Hypermarchés éligibles au SDSL. - Hypermarchés non éligibles au SDSL. - Site central (Centrale d’achat et plateforme de stockage). 2.2 Réponse fonctionnelle 2.2.1 Hypermarchés L’architecture technique propre aux hypermarchés se base en partie sur l’infrastructure réseau existante, notamment en termes de câblage puisque celui en place répond aux besoins. Le point le plus important pour nous a été d’apporter à Newstore une ligne de caisse performante, robuste et évolutive. Nous avons ensuite maximisé la qualité du service rendu aux autres utilisateurs tout en maitrisant les coûts. C’est donc dans l’optique de gommer les points individuels de défaillance que nous avons construit la solution. Les principales modifications de l’architecture existantes sont axées sur : - La redondance des équipements réseaux. - La sécurité :  Implementation de VLAN (Virtual Local Area Network)  Réseau dédié à l’administration - La gestion de la QOS - La robustesse du service rendu (matériels plus récents, alimentations sans coupure, contrats de maintenance, et garanties constructeurs) - La performance (capacité de commutation accrue, augmentation des débits maximaux des points critiques) Les avantages de cette architecture : - Aucun point de défaillance unique. - Une sécurité renforcée du fait des VLAN. Les deux schémas d’infrastructure des hypermarchés éligibles et non éligibles au SDSL sont disponibles en pages suivantes :
  15. 15. Projet Fil Rouge RARE 2014 13 Hugo ROLAND Renaud BEAUMELLE 2 - Lot infrastructure réseau local Schéma architecture LAN d’un hypermarché éligible au SDSL VLAN VOIP VLAN COMPTA-DIR France TELECOM TEL IP PC Compta PC Direction PC Labo 1 TEL ANA Gondoles Imprimante PC Caisse TPE PC Marchandise PC Informatique Imprimante PC Caisse TPE TEL IP TEL IP TEL IP TEL IP TEL IP Imprimante PC Caisse TPE Imprimante PC Caisse TPE TEL IP VLAN VOIP VLAN CAISSES MPLS Routeur FAIRouteur FAI BDD APPLI ALOHA RDP RODC + DHCP + DNS + HyperV ALOHA IP PABX VLAN PC VLAN SERV RODC + DHCP + DNS +WSUS + HyperV + Imp VLAN ADMIN VLAN ADMIN VLAN ADMIN Imprimante VLAN IMPRIMANTES Lien agrégé CLUSTER Stack VLAN RS 232 Symbole Total Description 9 4 8 2 2 1 4 4 1 2 2 7 1 1 1 2 PC Commutateur distribution/ accès Téléphone IP Commutateur cœur de réseau WAN Gondole Imprimante Tickets TPE Emetteur Radio Liaison commutée Routeur Serveur Gateway SIP IP PABX Imprimante Carte d’administration à distance Légende Symboles Légende Légende liaisons 1000BaseTCat 5e 100BaseTXCat 5 10GBaseT Cat 6e USB
  16. 16. Projet Fil Rouge RARE 2014 14 Hugo ROLAND Renaud BEAUMELLE 2 - Lot infrastructure réseau local Schéma architecture LAN d’un hypermarché non éligible au SDSL VLAN ADMIN France TELECOM VPN vers MPLS TEL IP Routeur WiMax RODC + DHCP + DNS + WSUS + HyperV + Imp 1 TEL ANA Gondoles Imprimante PC Caisse TPE VLAN CAISSE : 50 PC Imprimante PC Caisse TPE TEL IP TEL IP TEL IP TEL IP TEL IP RODC + DHCP + DNS + WSUS + HyperV + Imp Imprimante PC Caisse TPE Imprimante PC Caisse TPE TEL IP VLAN VOIP BDD APPLI ALOHA RDP VLAN ADMIN IPSAN1 IPSAN2 Routeur 4G Réplication Bit à Bit VLAN CAISSES VLAN COMPTA-DIR PC Compta PC Direction PC Labo PC Marchandise PC Informatique VLAN PC VLAN SERV VLAN VOIP IP PABX VLAN ADMIN VLAN ADMIN Imprimante VLAN IMPRIMANTES Lien agrégé Liaison WiMax Liaison 4G CLUSTER Stack VLAN RS 232 Symbole Total Description 9 4 6 8 2 2 1 1 1 4 4 2 1 1 PC Commutateur distribution/ accès Serveur Téléphone IP Commutateur cœur de réseau WAN Routeur FAI Antenne parabolique Gondole Imprimante Tickets TPE IPSAN Routeur Emetteur Radio Légende Symboles 1 Pylône radio 4 Carte d’administration à distance 1 IP PABX 1 Gateway SIP 1 Imprimante Légende Légende liasons Interaction USB 1000BaseTCat 5e 100BaseTXCat 5 10GBaseT Cat 6e
  17. 17. Projet Fil Rouge RARE 2014 15 Hugo ROLAND Renaud BEAUMELLE 2 - Lot infrastructure réseau local 2.2.2 Site Central La centrale d’achats et la plateforme de stockage sont réunies en une seule entité logique que nous appellerons « Site Central ». Le choix de réunir ces deux sites a été motivé par les raisons suivantes : - Simplicité de configuration logicielle : Une seule adresse IP à configurer sur tous les sites. - Redondance et robustesse transparente pour les utilisateurs. - Point de gestion unique : Tous les flux en provenance des hypermarchés passent par ce point unique de gestion, ce qui simplifiera le travail des administrateurs réseaux. - Simplicité et faible coût de raccordement : La liaison fibre existe déjà entre ces deux bâtiments. - Création sans investissement supplémentaire d’un PCA (Plan de Continuité d’Activité) : En effet, l’éloignement géographique des deux bâtiments est suffisant (500 mètres) pour qu’en cas de sinistre (type incendie) les deux sites ne soient pas menacés. D’un point de vue réseau, ces deux sites communiquent entre eux au niveau deux (pas de routeur nécessaire), il s’agit donc d’un seul et même LAN (Local Area Network). L’ajout d’équilibreurs de charge (Load-Balancers) évite la congestion du réseau sur un des deux sites physiques de cette entité. Le schéma de l’infrastructure du site central est disponible en page suivante :
  18. 18. Projet Fil Rouge RARE 2014 16 Hugo ROLAND Renaud BEAUMELLE 2 - Lot infrastructure réseau local Schéma architecture LAN du site central VLAN VOIPVLAN VOIP VLAN SERVEUR VLAN ADMINVLAN ADMIN France TELECOM 1 TEL ANA France TELECOM 1 TEL ANA VLAN VOIP VLAN PC CENTRALE VLAN LB VLAN ROUTEUR Routeur FAI MPLS + WAN Routeur FAI FirewallFirewall Load-Balancer Load-Balancer IPSAN1IPSAN2 SAN Réplication bloc à bloc AD2 DNS DHCP2 HyperV1 HyperV2 AD1 DNS DHCP 1 BDD Oracle BDD Oracle DataGuard Logic APPLI APPLI GOLD SUPERVISION MASTER RDP BACKUPSAUVEGARDE + Impression PLATEFORME DE STOCKAGE CENTRALE D’ACHAT VLAN VOIP VLAN PC CENTRALE SUPERVISION SLAVE VLAN ADMIN VLAN ADMIN VLAN ADMIN VLAN ADMIN VLAN ADMIN Imprimante VLAN IMPRIMANTES Imprimante VLAN IMPRIMANTES IP PABXIP PABX Fibre 10G VRRP Lien agrégé 10GBaseT Cat 6e CLUSTER Stack VLAN 1000BaseTCat 6SFTP Symbole Total Description Symboles Légende Symboles 9 PC 4 Commutateur distribution/accès 6 Serveur 8 Téléphone IP 2 Liaison commutée 2 Commutateur cœur de réseau 2 Wan 2 Routeur FAI 1 Borne RFID 1 Gondole 4 Imprimante tickets 4 TPE Légende Légende liasons 100BaseTXCat 5
  19. 19. Projet Fil Rouge RARE 2014 17 Hugo ROLAND Renaud BEAUMELLE 2 - Lot infrastructure réseau local 2.3 Détails techniques 2.3.1 Hypermarchés Routeurs : Les deux routeurs sont agrégés via le protocole VRRP (Virtual Router Redundancy Protocol Deux commutateurs empilés assurent la fonction de cœur de réseau. Cœur de réseau : Le cœur de réseau des hypermarchés est constitué de deux commutateurs empilés. Téléphones : Les téléphones IP choisis disposent d’un commutateur intégré et ils supportent l’alimentation POE (Power Over Ethernet), ce qui : - Simplifie la gestion du câblage : Un seul câble dessert l’ensemble téléphone/PC. - Simplifie la gestion électrique : Il suffit de faire correspondre un commutateur qui délivre une alimentation électrique via le câble Ethernet. Chaque caisse dispose d’un téléphone partagé avec sa caisse jumelle. Les utilisateurs autres que ceux du secteur caisse se connectent tous sur un commutateur qui alimente directement en électricité les téléphones IP. Caisses : Les postes de caisse sont desservis par trois commutateurs HP Series 2530 48G POE. Il a été choisi de faire arriver deux câbles sur chaque emplacement de caisse, chacun reliés à un commutateur différent. De cette manière, si un des trois commutateurs tombe en panne, les caissières auront un simple geste à effectuer, à savoir brancher le câble de leur téléphone sur la seconde prise réseau. Voir lot procédures. Equilibreurs de charges : Sur chaque hypermarché des équilibreurs de charge virtuels seront positionnés afin de diriger correctement les flux ERP et RDP (Remote Desktop Protocol) dans le but de garantir la disponibilité des destinataires. Ils dirigeront le trafic soit vers le serveur local concerné, soit vers le « Site Central » si ce dernier n’est pas disponible. Autres : Les serveurs, la borne émettrice des étiquettes de gondoles, le nécessaire à la téléphonie ainsi que les routeurs sont directement connectés sur le cœur de réseaux. 2.3.2 Site Central Routeurs : Les routeurs du fournisseur d’accès internet Magic Online sont agrégés via le protocole VRRP (Virtual Router Redundancy Protocol). Ils sont donc considérés d’un point de vue réseau comme une seule entité. Ils disposent chacun de deux instances de routage virtuel. Une destinée à apparaitre sur le réseau MPLS et l’autre destinée à accéder au WAN (Wide Area Network).
  20. 20. Projet Fil Rouge RARE 2014 18 Hugo ROLAND Renaud BEAUMELLE 2 - Lot infrastructure réseau local Les routeurs fournisseurs d’accès internet sont directement connectés sur le cœur de réseau, dans deux VLAN distincts en fonction des instances virtuelles. Cœur de réseau : Quatre commutateurs (deux par site physique) assurent la fonction de cœur de réseau. Ils sont reliés via les deux liens fibre OM4 50/125 existant entre la centrale d’achat et la plateforme de stockage. Chaque commutateur est relié à son homologue local via la technologie VSS (Virtual Switching System). Cela présente plusieurs avantages, notamment : - Un point de gestion unique, les quatre commutateurs n’en forment plus que deux d’un point de vue logique. - Pas d’interruption de service si un équipement tombe en panne et aucune re- convergence de protocoles (les interconnexions d’équipement se basant sur un système de session sont toujours actives). Ces commutateurs assurent le routage d’un VLAN à l’autre, en fonction des règles préétablies. Firewalls : Les deux firewalls forment un cluster actif/actif. Ils permettent la connexion au réseau interne depuis l’extérieur (cas des commerciaux en déplacement) via VPN (Virtual Private Network). Ils gèrent le trafic venant du réseau MPLS à destination du WAN, le trafic en provenance du MPLS à destination du « Site Central » et enfin le trafic du « Site Central » à destination du WAN. Commutateurs d’accès utilisateurs : Ils sont au nombre de deux par site. Ils assurent la connectivité entre le cœur de réseau et les téléphones IP ainsi que les postes clients. Commutateurs d’accès serveur : Ils sont au nombre de deux par sites. Ils assurent la connexion entre les serveurs et le reste du réseau via des liens 10G. Ils sont empilés afin d’en simplifier la gestion. Equilibreurs de charge : Un par site, ils sont également agrégés via le protocole VRRP. Ils permettent de rediriger le trafic vers la destination la plus accessible afin d’éviter les effets de goulot d’étranglement. Autres : Le nécessaire à la téléphonie est directement connecté sur le cœur de réseaux.
  21. 21. Projet Fil Rouge RARE 2014 19 Hugo ROLAND Renaud BEAUMELLE 2 - Lot infrastructure réseau local 2.4 Adressage IP Nous avons choisi d’utiliser deux solutions d’attributions différentes pour les équipements globaux et les équipements utilisateurs :  Les équipements utilisateurs se voient attribuer des adresses IP par les serveurs DHCP.  Les équipements globaux (serveurs, routeurs, commutateurs, …) ont une adresse IP fixe. Afin de garantir la disponibilité du service, les serveurs DHCP sont en cluster de basculement. Les serveurs Windows 2012 permettent cette fonctionnalité en utilisant un script Power Shell. Afin de permettre la diffusion des paquets DHCP dans les différents VLAN, nous utilisons le mode « DHCP relay » supporté par les commutateurs que nous avons choisis. 2.4.1 Hypermarchés Chaque hypermarché se voit attribué un sous réseau en /23. Cela signifie que chaque hypermarché peut contenir 510 hôtes, ce qui permettra de rajouter jusqu’à 361 éléments connectés par site (soit une évolution de 240%). Pour des raisons de sécurité, les réseaux des hypermarchés sont découpés en Sous- Réseaux Virtuels (VLAN). Les VLAN et les équipements qu’ils contiennent sont découpés ainsi : Numéro de VLAN Nom de VLAN Secteur Equipements concernés 11 VOIP Tous Téléphones VOIP 12 CAISSE Secteur caisse Les PC de caisse 13 PC Marchandise, Laboratoire et Informatique PC utilisateurs 14 SERVEUR Tous Les serveurs et les équipements de stockage 15 COMPTA Comptabilité et direction Les PC du service comptabilité et de la direction 16 IMPRIMANTES Tous L’imprimante multifonction présente sur chaque site et le serveur d’impression 2 ADMIN Administration Les cartes d’administration des serveurs et équipements de stockage Le VLAN numéro 2 est dédié aux actions d’administration. Le plan d’adressage IP détaillé est disponible en ANNEXE F.
  22. 22. Projet Fil Rouge RARE 2014 20 Hugo ROLAND Renaud BEAUMELLE 2 - Lot infrastructure réseau local 2.4.2 Site central Le site central dispose du réseau 172.16.200.0/23. Ce réseau est également découpé en VLAN pour des raisons de sécurité. Les VLAN et les équipements qu’ils contiennent sont découpés ainsi : Numéro de VLAN Nom de VLAN Secteur Equipements concernés 990 SERVEUR Tous Les serveurs et équipements de stockage 991 VOIP Tous Les téléphones IP 992 PC Tous Les postes utilisateurs 993 RTRWAN Tous Les instances « WAN » des routeurs 994 RTRMPLS Tous Les instances « MPLS » des routeurs 995 LINKPROOF Tous Les équilibreurs de charge 996 IMPRIMANTES Tous L’imprimante multifonction présente sur chaque site et le serveur d’impression 2 ADMIN Administration Les cartes d’administration tout équipement confondu Le plan d’adressage IP détaillé est disponible en ANNEXE F. 2.5 Nommage Une charte de nommage a été établie. Elle est disponible en ANNEXE G mais voici un récapitulatif : Chaque équipement est nommé selon : Type, Environnement, Spécificité, Site, Utilisation, Critère d’unicité. L’ensemble donne un nom TESSiUxx Equipement Type Environnement Spécificité Site Utilisation Unicité TESSiUxx Exemples d’éléments. Poste, Serveur, … Production, Pré-production, … Constructeur, OS, … CA, PF, Numéro de l’hyper Rôle : Cœur de réseau, caisse, … Numéro assurant l’unicité du nom. 3eme caisse du 14 ème hyper P P W 14 C 03 PPW14C03 Firewall de la centrale F P C CA 0 01 FPCCA001 Serveur RDS de l’hyper 12 S P W 12 R 01 SPW12R01
  23. 23. Projet Fil Rouge RARE 2014 21 Hugo ROLAND Renaud BEAUMELLE 2 - Lot infrastructure réseau local 2.6 Matériel 2.6.1 Hypermarchés Voici le matériel réseau d’un hypermarché type : Commutateurs : - 2 commutateurs HP Series 2920 24G pour le cœur de réseau - 1 commutateur HP Series 2920 48G POE pour l’accès aux utilisateurs - 3 commutateurs HP Series 2530 48G POE pour le secteur caisse Le constructeur HP a été retenu car : - Les prix restent abordables - Le constructeur est fiable et reconnu dans le monde du réseau - Le matériel est garanti à vie Equilibreurs de charge : - 2 ALOHA Load Balancer Virtual Appliance 2.6.2 Site Central Le matériel réseau présent sur le « Site Central » : Commutateurs : - 4 CISCO 4503E constituant le cœur de réseau - 4 CISCO 2960 TSL 24 Ports pour l’accès aux utilisateurs + VOIP - 4 CISCO WS-C3560E-12D-E Firewalls : - 2 CISCO ASA 5550 Equilibreurs de charge : - 2 F5 BIG-IP Local Traffic Manager 2200S
  24. 24. Projet Fil Rouge RARE 2014 22 Hugo ROLAND Renaud BEAUMELLE 3 - Lot serveurs et stockage 3 Lot serveurs et stockage 3.1 Rappel du besoin Tous les logiciels et progiciels nécessitent un système adapté à leurs besoins de fonctionnement. Afin de répondre au mieux à ces besoins, nous avons évalué les équipements en place (utilisation, coûts de maintenance, performance, sécurité). Nous en avons conclu que certains équipements nécessitaient un remplacement. C’est le cas des serveurs, qui ne répondent pas aux besoins, ne sont plus garantis, dont la maintenance est onéreuse et qui ne sont pas redondés. 3.2 Réponse fonctionnelle 3.2.1 Serveurs hypermarchés SDSL L’infrastructure serveur d’un hypermarché éligible au SDSL se doit de fournir les services de : - Contrôleur de domaine en lecture (RODC). - Configuration automatique des paramètres IP (DHCP). - Système de noms de domaine (DNS). - Le service GOLD Shop. - Le répartiteur de charge ALOHA (cf. Lot LAN). - Un service de mises à jour des postes Windows (WSUS). - Les machines virtuelles nécessaires aux postes légers (RDS). Cinq machines virtuelles seront donc nécessaires (une par service). - Un serveur d’impression Nous sommes partis du principe qu’aucun point unique de défaillance ne devait être présent. A priori chaque équipement doit donc être rendu robuste mais aussi être redondé en cas de panne. La redondance et le débit de la connexion internet nous permet néanmoins de mutualiser une partie de cette redondance dans le site central, à savoir le RDS et les accès à l’applicatif GOLD. Le WSUS n’est quant à lui pas suffisamment critique pour nécessiter de redondance. Nous avons donc défini pour les hypermarchés éligibles au SDSL que les serveurs suivant étaient nécessaires : - Un premier serveur hébergeant :  Un RODC, DHCP et DNS sur un HyperV  Les machines virtuelles suivantes :  Un serveur BDD pour Gold Shop.  Un serveur Applicatif pour Gold Shop.  Un serveur ALOHA.  5 machines virtuelles pour les connexions RDS. - Un second serveur hébergeant :  Un RODC, DHCP, DNS et WSUS sur un HyperV.  Une VM ALOHA (cf lot LAN).
  25. 25. Projet Fil Rouge RARE 2014 23 Hugo ROLAND Renaud BEAUMELLE 3 - Lot serveurs et stockage Voici un tableau récapitulant les besoins en termes de ressources matérielles : BESOINS HYPER SDSL Quantité Stockage Cœurs RAM Débit Serveur virtualisation BDD 1 400 Go 4 12 Go 0 Mb/s APPLI 1 30 Go 4 12 Go 1 000 Mb/s ALOHA 1 10 Go 2 2 Go 1 000 Mb/s RDP+DNS+DHCP 1 156 Go 4 8 Go 2 800 Mb/s Serveur marchandise 1 30 Go 1 2 Go 500 Mb/s TOTAL 1 626 Go 15 36 Go 5 300 Mb/s RODC+DHCP+DNS+ALOHA 1 80 Go 6 8 Go 1 000 Mb/s 3.2.2 Serveurs hypermarchés non éligibles au DSL L’infrastructure serveur d’un hypermarché non éligible au SDSL se doit de fournir les mêmes services que celle d’un hypermarché éligible au SDSL. Nous avons réappliqué le principe selon lequel aucun point unique de défaillance ne devait être présent. Contrairement aux hypermarchés éligibles au SDSL, nous considérons que ces hypermarchés se doivent d’être autonomes, le RDS doit donc être redondé en local. La bande passante étant plus faible, nous préférons aussi éviter qu’en cas de panne du serveur WSUS les mises à jour passent par la connexion. Les services seront donc tous redondés dans ces hypermarchés. Nous avons défini pour les hypermarchés non éligibles au SDSL que deux serveurs en cluster de basculement étaient nécessaires. Ceux-ci hébergent : - RODC, DHCP, DNS, impression et WSUS sur l’HyperV. - Les machines virtuelles suivantes :  Un serveur BDD pour Gold Shop  Un serveur applicatif pour Gold Shop  5 machines virtuelles pour les connexions RDS (une par service).  Une machine virtuelle pour ALOHA (cf. lot LAN). Voici un tableau récapitulant les besoins serveurs pour ces sites : BESOINS HYPER NOSDSL Quantité Stockage Cœurs RAM Débit Serveur virtualisation x2 BDD 1 400 Go 4 12 Go 0 Mb/s APPLI 1 30 Go 4 12 Go 1 000 Mb/s RDP + DNS + DHCP + RODC 1 156 Go 4 8 Go 2 800 Mb/s ALOHA 1 10 Go 2 2 Go 1 000 Mb/s Serveur marchandise 1 30 Go 1 2 Go 500 Mb/s TOTAL 2 626 Go 15 36 Go 5 300 Mb/s
  26. 26. Projet Fil Rouge RARE 2014 24 Hugo ROLAND Renaud BEAUMELLE 3 - Lot serveurs et stockage 3.2.3 Serveurs site central L’infrastructure serveur du site central fournira les services suivants : - L’ERP (base et applicatif) fournissant les services métiers aux utilisateurs et centralisant les informations. - L’annuaire centralisé (Active Directory). - Le système de noms de domaine centralisé (DNS). - La configuration automatique des paramètres IP (DHCP). - La supervision du parc (cf. Lot sécurité). - Le secours RDS des machines virtuelles utilisées dans les hypermarchés éligibles au SDSL pour les postes utilisateurs. - L’archivage et la sauvegarde des données. - Un serveur d’impression. L’archivage, la sauvegarde et le RDS sont les seuls services ne nécessitant pas de redondance des équipements. L’un comme l’autre étant déjà des systèmes de secours. Voici le récapitulatif des besoins de ressources matérielles pour les serveurs du site central : BESOINS CENTRALE D'ACHAT & PLATEFORME Quantité Stockage Cœurs RAM Débit Serveur de virtualisation BDD 2 2 000 Go 16 64 Go 1 000 Mb/s APPLI 2 200 Go 16 64 Go 100 Mb/s TOTAL 2 2 200 Go 32 128 Go 1 100 Mb/s Sauvegarde 1 83 752 Go 8 16 Go 10 000 Mb/s RDP Backup (HyperDSL) 1 2 900 Go 8 16 Go 2 800 Mb/s AD+DHCP+DNS 2 300 Go 4 8 Go 100 Mb/s Monitoring 2 300 Go 8 16 Go 100 Mb/s 3.3 Détails techniques Afin de répondre à ces besoins nous avons évalué les offres de plusieurs constructeurs reconnus (Dell, HP et IBM). Après une étude des différents services, prix, performances, de la fiabilité et du support nous avons choisi IBM pour nous fournir les serveurs (System X) et les racks. Les équipements que nous vous proposons répondent parfaitement aux besoins de Newstore et assurent des possibilités d’évolution sans remettre en cause l’infrastructure.
  27. 27. Projet Fil Rouge RARE 2014 25 Hugo ROLAND Renaud BEAUMELLE 3 - Lot serveurs et stockage Tous les équipements systèmes intègrent les éléments suivants : - Alimentation redondante. En cas de défaillance d’une alimentation il n’y a pas de coupure du service. - Disques système en local, en raid 1. Cela permet de mirrorer toutes les données. En cas de défaillance d’un disque, le système continue de fonctionner et le disque est ensuite remplacé. Il n’y a pas de perte de données. Ces disques étant de faible capacité, le coût est le plus faible des solutions de sécurité RAID. Ces deux éléments matériels sont les plus sujets aux pannes. Cette architecture permet de réduire les probabilités de panne très fortement. Nous avons choisi d’utiliser des serveurs en rack. Cela nous permet d’utiliser moins de place que des châssis standard sans pour autant en coûter le prix, nécessiter la ventilation et la climatisation nécessaire aux serveurs lames. Afin de protéger le matériel intégré au rack et de garantir une autonomie suffisante permettant le démarrage des groupes électrogènes sans arrêt du service en cas de coupure électrique, nous équiperons ces racks de dispositifs d’alimentation sans coupure. Déploiement : Installation et configuration via le serveur de déploiement de HRRB dans les locaux du prestataire. Finalisation de l’installation par les équipes HRRB sur site client. 3.3.1 Equipements hypermarchés SDSL Liste des serveurs nécessaires à un hypermarché dont le secours est mutualisé en site central : Usage Descriptif du serveur Quantité HyperV (DNS DHCP RODC), ALOHA, BDD, APPLI et RDP System X3500 M4 - Rack - 2*E5-2640v2 (8C) - 40Go RAM - 2x300Go SAS 10k rpm Raid1 - 4* 1To SAS 7200 rpm Raid 5 - 2*IBM 750W - Broadcom 2* 10GBaseT - Windows 2012 Datacenter 1 HyperV (DNS, RODC, DHCP, DNS, impression et WSUS), ALOHA System X3250 - Rack - E3-1270v2 (4C) 3,5Ghz - 8Go RAM - 2x300Go SAS 10k rpm Raid1 - 2x IBMM 460W redondante - Intel Dual Port 10GBase T - Windows 2012 Standard 1
  28. 28. Projet Fil Rouge RARE 2014 26 Hugo ROLAND Renaud BEAUMELLE 3 - Lot serveurs et stockage Le serveur hébergeant l’applicatif ainsi que les sessions RDS (et donc les machines virtuelles associées) nécessite un espace de stockage conséquent (3Go). Ces disques étant utilisés pour les données, nous avons choisis des disques SAS de 7200 rpm en raid 5. Ce raid permet de garantir l’intégrité des données sans perdre autant de volumétrie qu’un raid 1. Son principe de fonctionnement est le suivant : Ces serveurs ainsi que les équipements réseaux doivent être placés dans des racks. Au total les équipements occupent 13 U. Nous avons choisi des racks de 25U afin de permettre l’évolution du système d’information. La puissance ASC nécessaire minimale est de 4500 VA. Concernant l’autonomie, nous avons procédé aux calculs nécessaires dont voici les résultats : Site Consommation Puissance ASC nécessaire Autonomie sans batterie Autonomie avec batteries Hyper SDSL 2 927 W 4 435 VA 19 min 57 min Vous trouverez l’ensemble des éléments de ces calculs en ANNEXE E.2. Les 19 minutes d’autonomie des ASC IBM 6000 VA étant suffisantes pour démarrer le groupe électrogène, nous avons sélectionné l’ensemble RACK et ASC suivant : Baie d’accueil et alimentation Quantité IBM S2 25U Static Strandard Rack Cabinet IBM 6000VA LCD 4U Rack UPS (230V) 1 Cas particulier : L’un des hypermarchés éligible au SDSL servira de plan de reprise d’activité en cas de sinistre majeur sur le site central. Les détails sont décrits dans le lot sécurité (sauvegarde). Cet hypermarché sera donc équipé en plus des équipements suivants : Equipement Type Quantité Baie de stockage Qnap TS-EC1679U-SAS-RP (24 slots) 1 Module d’expansion Qnap RexP-1600U-RP Expension enclosure (16 slots) 2 Module 10G Module QNAP 10GbEBaseT Dual port 3 Disques HGST 4To 7200 rpm SAS (HUS724040ALS640) 34 La baie d’accueil rack sera remplacée par la suivante : Baie d’accueil et alimentation Quantité IBM S2 25U Static Standard Rack Cabinet IBM 6000VA LCD 4U Rack UPS (230V) IBM 6000VA UPS 3U Extended Battery Module 1
  29. 29. Projet Fil Rouge RARE 2014 27 Hugo ROLAND Renaud BEAUMELLE 3 - Lot serveurs et stockage 3.3.2 Equipements hypermarchés non éligibles au DSL Liste des serveurs nécessaires à un hypermarché dont le secours est situé sur site : Usage Descriptif du serveur Quantité HyperV (RODC, DHCP, DNS, impression et WSUS), ALOHA, BDD APPLI System X3500 M4 - Rack - 2*E5-2640v2 (8C) - 40Go RAM - 2x300Go SAS 10k rpm Raid1 - 2*IBM 750W - Intel 2* 10GBaseT - Windows 2012 Datacenter 2 Ici, le serveur de secours étant en local nous avons choisi de mettre en place un espace de stockage réseau afin de construire un cluster de machines virtuelles HyperV. La fonction HyperV de mémoire partagée est activée sur la machine virtuelle hébergeant la base de données de l’ERP distribué. Cela permet de réduire au minimum l’interruption de service par une remontée quasi instantanée de la machine virtuelle sur le second nœud. Nous avons donc choisi des équipements connectés en 10GbE et garantissant des performances en IOPS (opérations de lecture / écriture par seconde) suffisante à l’exécution de plusieurs machines virtuelles. Les équipements de stockage réseau choisis sont les suivants : Equipement Quantité Synology RS10613XS+ 2u 2x10GbE 10xSlot HDD HotSwap 2 HDD 1To SAS 7200rpm 12 Ces serveurs ainsi que les équipements réseaux doivent être placés dans des racks. Au total les équipements occupent 15 U. Nous avons choisi des racks de 25U afin de permettre l’évolution du système d’information. Afin de garantir une autonomie suffisante permettant le démarrage des groupes électrogènes, nous avons procédé aux calculs nécessaires dont voici les résultats : Site Consommation Puissance ASC nécessaire Autonomie sans batterie Autonomie avec batteries Hyper NoSDSL 3 391 W 5 138 VA 16 min 47 min Les équipements les plus à même de répondre à ces besoins sont les suivants : Baie d’accueil et alimentation Quantité IBM S2 25U Static Strandard Rack Cabinet IBM 6000VA LCD 4U Rack UPS (230V) IBM 6000VA UPS 3U Extended Battery Module 1
  30. 30. Projet Fil Rouge RARE 2014 28 Hugo ROLAND Renaud BEAUMELLE 3 - Lot serveurs et stockage 3.3.3 Equipements site central Liste des serveurs : Usage Descriptif du serveur Quantité ERP System X3750 M4 - 4xE5-4610v2 (8C) - 176 Go 1600Mhz RDIM - 2x300GB SAS 6Gbps 10K RPM Raid 1 - Alim redondantes 900W - 2 cartes Broadcom dual 10GbT 2 AD, DNS, DHCP System X3250 - Rack - E3-1270v2 (4C) 3,5Ghz - 8Go RAM - 2x300Go SAS 10k rpm Raid1 - 2x IBMM 460W redondantes - Windows 2012 Standard 2 Monitoring System X3530 M4 - Rack - E5-2420v2 (8C) 2,2Ghz - 16Go 1600Mhz - 2x300Go 10k rpm RAID 1 + Support RHEL 2 Sauvegarde et impression System X3530 M4 - Rack - E5-2440v2 (8C) 1.9Ghz - 16Go 1600Mhz - 2x300Go 10k rpm RAID 1 - Broadcom Ethernet Dual Port 10G + Support RHEL 1 Secours RDP System X3630 M4 - Rack - E5-2440v2 (8C) 1,9Ghz 1600Mhz - 16 Go RAM - 2x300Go 15k rpm SAS - RAID 1 - Windows 2012 datacenter 1 Tous ces serveurs sont équipés d’alimentations redondantes afin de minimiser le risque de panne d’équipement. La consommation des processeurs a été prise en compte dans leur choix afin d’améliorer l’autonomie des onduleurs, de réduire l’impact sur l’environnement, mais aussi la facture énergétique. Une garantie de temps de rétablissement de 4 heures est souscrite sur tous ces équipements. Ces serveurs sont reliés par des liens 10GBaseT à deux NAS en réplication synchrone continue. Ces équipements de stockage réseau permettent de maitriser la volumétrie, d’assurer l’évolutivité de l’infrastructure et d’apporter plus de souplesse concernant l’allocation de volumétrie. Pour rappel, le besoin est de 82 To afin de répondre à la politique de sauvegarde définie (cf. Lot sécurité) et de 5 To pour le stockage des données de production. Les sauvegardes seront stockées sur des disques 4To à 7200 rpm. Les données de production seront stockées sur des disques 1,2To à 10k rpm. Le matériel choisi est le suivant : Equipements de stockage réseau Quantité Qnap TS-EC1679U-SAS-RP (24 slots) 1 Qnap RexP-1600U-RP Expension enclosure (16 slots) 3 Module QNAP 10GbEBaseT Dual port 4 HGST 4To 7200 rpm SAS (HUS724040ALS640) 34 HGST 1.2To 10k rpm SAS (HUC101212CSS600) 8 Ceci nous permet de stocker 7,2 To de données effectives de production dans la baie principale. Nous stockons jusqu’à 102 To de données effectives de sauvegarde sur les disques placés dans les modules d’extension. Nous assurons ainsi une évolutivité de 4 ans minimum sans ajout de disques.
  31. 31. Projet Fil Rouge RARE 2014 29 Hugo ROLAND Renaud BEAUMELLE 3 - Lot serveurs et stockage Les baies pouvant accueillir encore 28 disques, aucune prévision de changement de matériel n’est à prévoir dans les années à venir. Il est par ailleurs possible d’ajouter des extensions supplémentaires en cas de besoins. L’ensemble des équipements (serveurs, commutateurs réseau, NAS, routeurs, pare-feu,…) de chaque site physique est installé dans une armoire rack munie d’un dispositif d’alimentation sans coupure. Afin de garantir une autonomie suffisante permettant le démarrage des groupes électrogènes, nous avons procédé aux calculs nécessaires dont voici les résultats : Site Consommation Puissance ASC nécessaire Autonomie sans batterie Autonomie avec batteries Centrale 2 756 W 4 176 VA 21 min 61 min Plateforme 2 803 W 4 247 VA 20 min 60 min Les équipements les plus à même de répondre à ces besoins sont les suivants : Baie d’accueil et alimentation Quantité IBM 42U 1200mm Deep Static Rack IBM 6000VA LCD 4U Rack UPS (230V) IBM 6000VA UPS 3U Extended Battery Module 2
  32. 32. Projet Fil Rouge RARE 2014 30 Hugo ROLAND Renaud BEAUMELLE 4 - Lot postes clients 4 Lot postes clients 4.1 Rappel du besoin Les postes clients sont les équipements qui assurent le service final à chaque utilisateur. Ils sont nombreux ce qui en fait un point essentiel de tout système d’information. Nous avons donc analysé l’existant afin de définir si les équipements en place assuraient le service de façon satisfaisante. Il y a dans l’entreprise plusieurs types de postes que nous avons regroupés par catégories : - Les postes caisses utilisés par les caissiers et munis des équipements liés à cette activité (terminaux de paiement bancaire, imprimantes, afficheurs de prix, scanners). - Les postes utilisateurs utilisés par les secteurs de marchandise, de laboratoire, de comptabilité et administratifs. - Les ordinateurs portables nécessaires aux commerciaux. Nous avons identifié les postes utilisateurs (DELL GX520) comme désuets. En effet ceux-ci représentent des coûts de maintenance élevés, des remplacements fréquents ainsi qu’une fiabilité et des performances décroissantes. Les postes de caisses ainsi que les ordinateurs portables des commerciaux répondent quant à eux parfaitement aux besoins et le coût de leur maintenance reste maitrisé. 4.2 Réponse fonctionnelle Afin de rendre un service optimal, nous vous proposons de remplacer les postes utilisateurs dans le but de : - Réduire les coûts - Rendre le service plus fiable - Faciliter leur administration - Sécuriser les postes et donc le système d’information
  33. 33. Projet Fil Rouge RARE 2014 31 Hugo ROLAND Renaud BEAUMELLE 4 - Lot postes clients Voici un tableau récapitulatif des différences entre un client léger et un client lourd : Client Léger Poste Lourd Coût Prix à l’achat ~300€ De 500€ à 1000€ Matériel Composant Un seul ensemble Pas de pièces mécaniques Différents composants avec autant de problème que de composants Taille Boitier Tour Nuisance Sonore Aucune Bruit de disque dur et ventilateur Administration Support technique Support technique beaucoup moins sollicité car 90% des taches d’administration sont centralisés Support technique très sollicité car il doit se déplacer sur le poste de l’utilisateur et doit diagnostiquer la panne peut provenir d’un des nombreux composant du PC ou d’un logiciel Installation des postes Branchement du client léger et l’utilisateur a directement accès aux applications des serveurs grâce à son identifiant Temps de réalisation : 5min Installation et configuration du système d’exploitation et des logiciels Temps de réalisation : 1h Mise à jour Mise à jour des applications uniquement depuis le serveur Mise à jour sur chaque poste Déploiement Ajout de l’utilisateur dans le groupe correspondant pour accès immédiat au logiciel Passage sur le poste de l’utilisateur pour installation et configuration Sécurité Sauvegarde de données Données stockées en totalité sur le serveur donc sauvegardées quotidiennement Majoritairement en local donc en cas de crash du disque dur, il y a une perte totale des données Protection antivirale Protection du serveur uniquement Logiciel antivirus sur chaque poste donc ralentissement du poste pendant le scan et les mises à jour Impact des utilisateurs Pas de modifications possibles des logiciels, ni d’installation de logiciel non supporté par le service informatique Les utilisateurs peuvent faire des modifications sur le système d’exploitation et sur les logiciels ce qui entraine un problème de stabilité et de sécurité Consommation Consommation d’énergie sur une journée Source : Fraunhofer 5 Watts 35 Watts Pour répondre au mieux à nos objectifs, la technologie des clients légers s’avère donc la plus adaptée. En effet de par leur architecture ils sont beaucoup moins sujets aux pannes, sont plus faciles à administrer et hautement évolutifs (l’administration et les évolutions se font sur un serveur plutôt que sur chaque poste).
  34. 34. Projet Fil Rouge RARE 2014 32 Hugo ROLAND Renaud BEAUMELLE 4 - Lot postes clients 4.3 Détails techniques Les dix ordinateurs portables des commerciaux qui sont conservés sont des DELL Latitude D520, 1 go de mémoire, DD 80 Go. Les caisses, elles aussi conservées sont des Epson MR800 (écran non tactile 12.1 pouces). Les imprimantes de tickets et chèques (Epson TM-H6000III), les afficheurs (Epson DMD210) et les scanners (Metrologic Horizon MS7620) sont eux aussi conservés. Les Terminaux de paiement électroniques existants (INGENICO - ICT220-2LS-EM) sont connectés aux caisses sur un port RS232. Ils sont aux normes à minima jusqu’en 2017 (Homologués PCI PED 2.0 et embarquant Bulletin13) et sont donc conservés. Chacun des postes clients (hors ordinateurs portables et caisses) est donc remplacé par un client léger. Il existe des solutions diverses pour virtualiser les environnements clients que l’on peut regrouper en : - Infrastructure de bureau virtuel (VDI) : Chaque utilisateur dispose d’une machine virtuelle distincte sur le serveur.  Avantages :  Sécurisation de l’environnement  Allocations et priorisation des ressources spécifiques à l’utilisateur.  Inconvénients :  Forte utilisation du stockage lors de multiples démarrages/arrêts.  Administration faite par poste (ou via des technologies très coûteuses).  Besoin en ressource plus important - Service de bureau distant (RDS) : Les machines virtuelles du serveur sont partagées par plusieurs utilisateurs, ceux-ci travaillant sur des sessions distinctes.  Avantages :  Plus adapté à des groupes d’utilisateurs effectuant les mêmes taches.  Moins de charge sur le système de stockage.  Administration mutualisée.  Moins de ressources nécessaires.  Moins coûteux.  Inconvénients :  Tous les utilisateurs d’une même machine virtuelle (et donc d’un même service) partagent les mêmes ressources. Il ne peut y avoir de priorité. Nous avons donc choisi d’implémenter la solution la plus adaptée à la problématique : Les sessions RDS.
  35. 35. Projet Fil Rouge RARE 2014 33 Hugo ROLAND Renaud BEAUMELLE 4 - Lot postes clients Voici un schéma du fonctionnement : VM Informatique VM direction VM Laboratoires VM marchandise VM Compta Comptabilité Marchandise Labo Direction Info Chaque service se connectera à une machine virtuelle différente (ce qui permet une sécurité accrue) et chaque utilisateur aura une session distincte. Cela permet de mutualiser les souches des machines virtuelles (par exemple, une mise à jour du module de comptabilité se fera en une fois et n’impactera que le service de comptabilité). Concernant les postes en eux-mêmes nous avons choisi des clients légers de la marque HP (Smart Zero Client T410) qui répondent amplement aux besoins actuels. Eléments de spécification du client choisi : - 1 GB de RAM DDR3 - 2 GB de mémoire interne - Solutions supportées : Citrix, RDS, VMware View - Moniteurs : 2. - Clavier et souris inclus Ces clients permettront donc l’évolutivité vers d’autres solutions ou d’autres changements comme l’ajout d’un second écran par exemple. Déploiement : Configuration manuelle des clients, sur site.
  36. 36. Projet Fil Rouge RARE 2014 34 Hugo ROLAND Renaud BEAUMELLE 5 - Lot téléphonie 5 Lot téléphonie 5.1 Rappel du besoin La communication au sein d’une l’entreprise ne peut se faire uniquement de manière asynchrone. Il est parfois nécessaire d’avoir un échange en temps réel. Le besoin d’une nouvelle solution de téléphonie pour Newstore nous a semblé évident au vu de l’ampleur de la refonte informatique engagée. Les évolutions récentes de la téléphonie sur IP nous permettent de proposer une solution simple, fiable et peu coûteuse. 5.2 Réponse fonctionnelle Le fournisseur d’accès internet Magic Online propose dans son catalogue un service de VOIP (IP Centrex) relativement onéreux (15€ HT/par utilisateur et par mois). Après négociation, cet opérateur nous a proposé, dans le cadre de son service MPLS, une redirection peu coûteuse des flux VOIP : tous les flux tagués VOIP à destination de leur Datacenter seront directement redirigés vers leurs opérateurs partenaires (SFR, FREE, LEVEL3, TATA COMMUNICATION, NUMERICABLE, BOUYGUES TELECOM, etc…). Nous avons donc choisi d’implémenter un IP PABX sur chaque site, afin de rediriger directement les flux VOIP vers leur destination : - les appels à destination de l’extérieur seront envoyés vers le Datacenter de l’opérateur. - Les flux internes seront directement redirigés vers l’IP PABX du site cible. Nous avons donc choisi d’implémenter un IP PABX sur chaque site, afin de rediriger directement les flux VOIP vers leur destination. Ainsi, les appels à destination de l’extérieur seront envoyés vers le Datacenter de l’opérateur. Les flux internes seront directement redirigé vers l’IP PABX du site cible.
  37. 37. Projet Fil Rouge RARE 2014 35 Hugo ROLAND Renaud BEAUMELLE 5 - Lot téléphonie 5.3 Détails techniques Le protocole de communication retenu est SIP pour les raison suivantes : - C’est un protocole standardisé par l’IETF donc le plus compatible, ce qui laisse la porte ouverte en termes d’évolution. - Les communications, une fois établies, ne passent par aucun équipement intermédiaire. - La solution proposée par l’opérateur est compatible SIP. Le codec audio utilisé sera G.729. C’est le codec audio le plus adapté à la VOIP en raison de sa nature économe en bande passante. Il offre une qualité audio très satisfaisante (3,9/5 au test subjectif Mean Opinion Score) et opère à un débit de 8 kbits/s. Chaque site disposera donc d’un autocommutateur privé (IP PABX ou IP Private Automatic Branch eXchange). Ceux-ci seront connectés sur le cœur de réseau dans le VLAN VOIP. Voici le schéma du fonctionnement de la solution : Schéma du fonctionnement VoIP Téléphones IP Hyper 1 Hyper 2 Téléphones IP MPLS WAN ROUTEUR IP PABX IP PABX ROUTEUR MPLS Sortant Flux VOIP Inter-Site Interne
  38. 38. Projet Fil Rouge RARE 2014 36 Hugo ROLAND Renaud BEAUMELLE 5 - Lot téléphonie 5.3.1 Hypermarchés Chaque hypermarché se verra donc intégrer un IP PABX supportant 150 utilisateurs et 45 communications simultanés. IP PABX : Switchvox AA310 Appliance 150 utilisateurs / 45 communications simultanées. TELEPHONES : Digium ex.D40 (50 téléphones par hypermarché) 5.3.2 Site central Les besoins en communication au niveau du site central étant moindres, le modèle d’IP PABX sera de capacité inférieure : IP PABX : Switchvox AA80 Appliance 30 utilisateurs / 12 communications simultanées TELEPHONES : Digium ex.D40 (2 téléphones pour chacun des deux sites constituant le site central) Déploiement: Les configurations seront déployées directement sur le PABX via des fichiers CSV du type suivant: ext,fname,lname,email,password,phone_password,mac_address 100,Joe,Smith,jsmith@home.com,100,s3CurEp@S$,0019159C0646 101,Jane,Doe,jdoe@home.com,101,c@nT6ueSS,0013174C5532 102,Dan,Jackson,djackson@home.com,102,g0ODP@$$,
  39. 39. Projet Fil Rouge RARE 2014 37 Hugo ROLAND Renaud BEAUMELLE 6 - Lot messagerie 6 Lot messagerie 6.1 Rappel du besoin La communication par email tient une place importante des échanges quotidiens entre les collaborateurs de Newstore. Il est donc nécessaire de proposer une messagerie : - Simple d’utilisation. - A transmission rapide. - Accessible depuis l’interne ou l’externe. - Sécurisée. - Disponible à tout moment. 6.2 Réponse fonctionnelle La messagerie est une technologie singulière, qui nécessite une expertise particulière pour être gérée efficacement, ainsi qu’une architecture matérielle différente des autres services. Pour ces raisons, nous avons choisi de l’externaliser. Plusieurs sociétés proposent ce service, géré par un département complet dédié. Les avantages sont nombreux : - Maitrise des coûts grâce à un contrat clair avec le prestataire - Limiter les coûts de maintenance par un allègement du haut de bilan (les coûts de personnel deviennent des coûts de prestation de service). - Souplesse dans les changements. - Evolutivité. - Responsabilité déportée. Au prix d’un inconvénient : - Dépendance vis-à-vis du prestataire.
  40. 40. Projet Fil Rouge RARE 2014 38 Hugo ROLAND Renaud BEAUMELLE 6 - Lot messagerie 6.3 Détails techniques Au vue de ces éléments et des besoins définis, nous avons choisi le prestataire Magic Online et son offre Exchange Basic parmi les offres concurrentes étudiées : Messagerie Annuel HT OVH OVH Privé (50Go, FR, Exchange, 99,99%) 190 104 € OVH Public (50Go, FR, Exchange, 99,99%), SSL Privé, Paramétrable 189 504 € GMAIL GMAIL Standard (30Go, ?, Gmain+Drive, 99,9%) 192 000 € GMAIL Standard +Vault(30Go, ?, Gmain+Drive, 99,9%), Archivage données critiques, recherche grande echelle 460 800 € MICROSOFT MICROSOFT Plan 1 (50Go, ?, Exchange, ?) 190 080 € MICROSOFT Plan 2 (50Go, ?, Exchange, ?), Archivage permanent et illimité, messagerie vocale hébergée, Archivage données critiques 374 400 € ONLINE ONLINE Exchange Basic (10Go, FR, Exchange, 99,9%) No Docs, No Mobiles 63 360 € ONLINE Messagerie Pro (2Go, FR, Zimbra, ?), Docs, Synchro mobiles, Messagerie instantannée 115 200 € ONLINE Exchange Standard (25Go, FR, Exchange, ?), Docs, Synchro mobiles 224 640 € Voici les caractéristiques de l’offre : - Engagement de service : GTR 4h 24/7, Assistance technique entreprise, Supervision pro active - Espace de stockage : 10 Go. - Sécurité : Disponibilité 99.9%, Anti-virus et anti-spam, Stockage haute disponibilité, accessibilité depuis n’importe où (Webmail ou Outlook). - Outils collaboratifs : Rendez-vous, annuaire partagé, réunions, tâches, agenda, … - Synchronisation mobile : Pour les nomades (commerciaux) : Support IPhone, Windows Mobile et Android. - Prix : 1,1€ HT / mois / compte
  41. 41. Projet Fil Rouge RARE 2014 39 Hugo ROLAND Renaud BEAUMELLE 7 - Lot sécurité 7 Lot sécurité 7.1 Rappel du besoin Ce lot détaille la proposition de réponse à l’impératif de sécurité exprimé au travers de l’analyse fonctionnelle précédemment réalisée. 7.2 Réponse fonctionnelle Voici comment la solution répond aux piliers fondamentaux de la sécurité informatique : Intégrité : Les données doivent être celles attendues, et ne doivent pas être altérées de façon fortuite ou volontaire. - Solution de contrôle d’intégrité des systèmes d’exploitation (antivirus). - Une Solution de sauvegarde Confidentialité : Seules les personnes autorisées ont accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché. - Le cloisonnement virtuel et physique des réseaux (VLAN et Pare-Feu) - Le contrôle d’accès aux équipements du SI - Politique de gestion des données Disponibilité : Le système doit fonctionner sans faille durant les plages d'utilisation prévues, garantir l'accès aux services et ressources installées avec le temps de réponse attendu. - La priorisation des flux critiques (QOS) - Une solution de sauvegarde - Un Plan de Continuité d’Activité (Autonomie électrique, redondance d’équipements) - Une solution de supervision Non-répudiation : Aucun utilisateur ne doit pouvoir contester les opérations qu'il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s'attribuer les actions d'un autre utilisateur. - Collecte et analyse journalière des journaux d’évènements. - Système de serveur mandataire Authentification : L'identification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail pertinents et maintenir la confiance dans les relations d'échange. - Système de clés partagées pour la communication inter-équipements. - Contrôle des accès aux informations numériques de Newstore (Annuaire LDAP) Les différents moyens mis en œuvre afin de garantir la sécurité du SI constituent le PSSI (Plan de Sécurité du Système Informatique).
  42. 42. Projet Fil Rouge RARE 2014 40 Hugo ROLAND Renaud BEAUMELLE 7 - Lot sécurité La sécurité informatique, afin d’être correctement appliquée de bout en bout doit être correctement intégrée par tous les collaborateurs de Newstore. C’est pourquoi nous recommandons de faire signer à tous collaborateur un exemplaire de la charte informatique proposée en ANNEXE H. Toute modification de cette charte informatique doit faire l’objet d’une nouvelle version à signer par les collaborateurs. De plus, nous proposons de planifier des sessions régulières de sensibilisation à la sécurité informatique du personnel de Newstore. La première de ces sessions sera inclue à la formation des utilisateurs au nouveau système (cf. ANNEXE I). 7.3 Détails techniques 7.3.1 Antivirus La solution antivirus retenue est la « complete security suite » de l’éditeur Sophos. Ce choix a été motivé par les raisons suivantes : - Le coût - Le fait que cette suite logicielle a été notée supérieure (Magic Quadrant du groupe Gartner) à celles des autres éditeurs de solutions antivirales notamment sur les points suivants : o Les options de déploiement o Les fonctionnalités o L’efficacité o La performance o La facilité d’utilisation o La protection des données o Le support technique
  43. 43. Projet Fil Rouge RARE 2014 41 Hugo ROLAND Renaud BEAUMELLE 7 - Lot sécurité Source : Gartner (janvier 2014) Les principaux avantages de la solution « complete security suite » de Sophos sont les suivants : - L’interface de management est, par conception, très simple d’utilisation, ce qui diminuera le besoin en formation des administrateurs de Newstore. Elle fourni un management centralisé des protections terminales, ce qui diminuera la charge de travail des administrateurs au quotidien. - Cette suite fourni aussi une solution de monitoring des vulnérabilités afin d’aider à réduire la surface d’attaque des équipements. - La partie « vShield » de la solution permet la sécurisation sans agents des machines virtuelles, ce qui réduit la consommation des ressources des systèmes de virtualisation. - Le filtrage d’url des protections terminales bloque les sites malveillants connus et complète avantageusement la solution de proxy internet. - La protection des données a vu son champ d’application agrandi grâce aux nouvelles fonctionnalités de chiffrement des lecteurs amovibles, ce qui permettra de protéger correctement l’ensemble des données de l’entreprise. Cette suite sera administrée depuis un serveur du « Site Central » et déployée par ce biais sur éléments suivants : - Les postes utilisateurs finaux, incluant les postes de caisse. - Les serveurs, incluant les serveurs de virtualisation ainsi que les serveurs hébergeant l’ERP Gold. Les mises à jour des protections terminales se dérouleront la nuit, après la sauvegarde, afin de ne pas saturer le réseau pendant le temps de travail.
  44. 44. Projet Fil Rouge RARE 2014 42 Hugo ROLAND Renaud BEAUMELLE 7 - Lot sécurité 7.3.2 Cloisonnement virtuel et physique des réseaux Le cloisonnement du réseau de Newstore se fera par l’implémentation de VLAN (détaillés dans le lot infrastructure réseau LAN) ainsi que par la mise en place de pare-feu. Les pare-feu, de modèle CISCO ASA 5550, seront positionnés uniquement sur le « Site Central », celui-ci étant le point de sortie du réseau Newstore vers l’extérieur. Il sera disposé un pare-feu par site physique composant le « Site Central » et ceux-ci assureront un service de haute disponibilité en mode « Actif/Actif ». Ils ne représenteront ainsi qu’un seul point de gestion. Il n’est pas nécessaire de disposer d’un système de pare-feu sur chaque site, l’opérateur assurant déjà cette fonctionnalité lors du passage des flux via le réseau MPLS. Les options choisies : Bundle « Any Connect 10User » : Permettra l’accès au réseau Newstore depuis l’extérieur pour les 10 commerciaux par une connexion VPN via l’agent CISCO ANY CONNECT. Bundle "Cisco Proxy" : permettra quant à lui de contrôler très simplement l’accès aux ressources internet extérieures. Le modèle de pare-feu CISCO ASA 5550 retenu bénéficie des fonctionnalités suivantes : - La capacité de commutation est de 1,2 Gb inspecté par seconde - Jusqu’à 650000 sessions concurrentes - Capacité de 33000 connexions par seconde - 5000 connexions VPN CISCO ANY CONNECT simultanées. - Supporte 400 VLAN 7.3.3 Contrôle d’accès aux équipements du SI Le cloisonnement physique du réseau a pour but d’empêcher toute interaction physique indésirable sur les éléments du SI. La sécurité étant actuellement géré par un service dédié dans Newstore, voici les recommandations que nous lui adressons : Actuellement, l’accès aux salles informatiques est restreint par l’utilisation de portes à serrure trois points. Nous recommandons la conservation de ce système. En complément, sur chaque site, l’accès aux salles informatiques sera contrôlé par les équipes de sécurité locales. Celles-ci auront pour mission de contrôler la validité des accès des individus tentant d’accéder aux salles informatiques et seront détenteurs des moyens d’accès (clefs). Les administrateurs réseau de Newstore auront la responsabilité de définir les listes d’autorisation d’accès, les maintenir à jour et les communiquer aux équipes locales de sécurité.
  45. 45. Projet Fil Rouge RARE 2014 43 Hugo ROLAND Renaud BEAUMELLE 7 - Lot sécurité Enfin, nous rappelons au service dédié à la sécurité de Newstore qu’il lui revient d’assurer le respect de la réglementation relative à la sécurité physique des personnes et des bâtiments dans les salles informatique. 7.3.4 Solution de sauvegarde La perte ou la modification des données sur un poste client ou sur un serveur pouvant avoir des conséquences désastreuses pour l’entreprise, il est capital de se munir d’un système de sauvegarde permettant la rétention de données. Pour ce faire, nous sauvegarderons les éléments suivants : - En site central :  Les deux serveurs d’Active Directory (ainsi que DNS et DHCP) centraux.  Le serveur de secours RDS (regroupant tous les profils et documents des utilisateurs du SI (hors caisses).  Les deux serveurs de supervision.  Les deux serveurs applicatifs GOLD. - Dans les hypermarchés :  Les serveurs HyperV et les machines virtuelles hébergées (disques et configurations). Nous avons choisi le logiciel de sauvegarde Tivoli Storage Manager de IBM pour les raisons suivantes : - En tant qu’acteur majeur du marché, IBM TSM offre des possibilités complètes de sauvegarde et de restauration (de la machine isolée au Cloud en passant par les plus grands réseaux d’entreprise). - TSM permet des sauvegardes incrémentielles largement éprouvées ainsi qu’une gestion très complète basée sur des politiques de sauvegarde et de rétention. - L’évolutivité, la robustesse du code ainsi que l’excellente qualité du support. - La santé financière du fournisseur. Le logiciel de sauvegarde est celui qui sera capable de restaurer les données. Il est impensable de ne plus avoir de support sur ce produit. - Le prix. En effet, pour notre architecture, TSM s’avère parmi les moins onéreux. - Enfin et surtout, TSM supporte la déduplication des données à la source, permettant de réduire la bande passante et l’espace de stockage nécessaire à la sauvegarde.
  46. 46. Projet Fil Rouge RARE 2014 44 Hugo ROLAND Renaud BEAUMELLE 7 - Lot sécurité Source : http://www.gartner.com/technology/reprints.do?id=1-1FYXRLK&ct=130611&st=sg La sauvegarde de toutes les données est donc assurée par le logiciel IBM Tivoli Storage Manager qui est installé en tant que serveur sur le serveur de sauvegarde et en agent sur tous les autres serveurs. Les clients légers et les caisses (n’hébergeant aucune donnée) ne nécessitant pas de sauvegarde nous n’avons pas de besoin en sauvegarde de postes. La politique de rétention choisie est différente en fonction des équipements (par exemple, pour les serveurs redondés, nous ne conservons pas autant de sauvegardes du second nœud). Le cas particulier des données comptables est géré par une rétention particulière : la rétention annuelle de 10 ans. Toutes les données seront sauvegardées sur les NAS du site central et ceux-ci ont été dimensionnés en fonction (cf. Lot serveurs et stockage). Une sauvegarde externalisée est mise en place dans un hypermarché éligible à la fibre optique. Cet hypermarché est équipé d’une connexion fibre optique 1000 Mb/s ainsi que d’un NAS dimensionné pour.
  47. 47. Projet Fil Rouge RARE 2014 45 Hugo ROLAND Renaud BEAUMELLE 7 - Lot sécurité Voici la politique définie sous forme de tableau : Site Serveur Sauvegarde Volumétrie Rétention quoti Rétention hebdo Rétention mensuelle Rétention annuelle Besoin en stockage dédupliqué Site Central Supervision 1 OS+conf 10 Go 2 5 Go DATA 10 Go 8 4 6 27 Go Supervision 2 OS+conf 10 Go 2 5 Go DATA 8 4 0 Go RDS Backup OS 20 Go 2 10 Go DATA 2 900 Go 32 4 6 9 570 Go AD1 OS 20 Go 2 10 Go DATA 50 Go 8 4 6 135 Go AD2 OS 20 Go 2 10 Go DATA 8 4 0 Go HyperV1 OS 60 Go 2 30 Go DATA 2 200 Go 32 4 6 7 260 Go HyperV2 OS 60 Go 2 30 Go DATA 8 4 0 Go Données comptables 20 Go 10 200 Go Hyper noDSL HyperV1 OS 200 Go 2 200 Go DATA 426 Go 8 4 6 2 300 Go HyperV2 OS 200 Go 2 200 Go DATA 0 Go Hyper SDSL HyperV1 OS 200 Go 2 5 000 Go DATA 426 Go 8 4 6 57 510 Go HyperV2 OS 50 Go 2 1 250 Go DATA 0 Go TOTAL 83 752 Go Le logiciel de sauvegarde choisi (TSM) intègre les fonctions de déduplication des données à la source ce qui nous permet de réduire d’environ 85% le besoin en volumétrie selon les études réalisées. Le dimensionnement choisi est basé sur une réduction de 75% de la volumétrie. Les NAS centrale d’achat, plateforme de stockage et hypermarché « PRA » seront donc équipés pour héberger les 82 To de volumétrie nécessaire (cf. Lot serveurs et stockage).
  48. 48. Projet Fil Rouge RARE 2014 46 Hugo ROLAND Renaud BEAUMELLE 7 - Lot sécurité 7.3.5 Politique de gestion des données La politique de gestion des données a pour but d’éliminer les risques légaux et économiques relatifs à la circulation des données de l’entreprise. Elle sera formalisée dans le PSSI final. Celle-ci aborde les points suivants : - La gestion de la fin de vie des éléments contenant des données (notamment les disques durs) afin d’assurer une confidentialité des données de bout en bout. - Les moyens de respecter les obligations légales (déclaration des données utilisateurs ou clients collectées à la CNIL) afin de respecter la législation en vigueur. - La gestion de la fin de vie de tout équipement soumis aux normes : o DEEE (Déchets d'équipements électriques et électroniques) o Convention de Bâle o Convention de Stockholm o Directive RoHS (Restriction of Hazardous Substances) 7.3.6 Priorisation des flux et équilibrage de charge Les techniques de priorisation de flux sont aussi connues sous le nom de QoS (Quality of Service). Elles permettent de prioriser un type de flux par rapport aux autres afin d’assurer une qualité de service. Un flux VOIP, par exemple, a besoin d’avoir une priorité suffisamment élevée pour permettre une conversation sans saccades. La QOS sera assurée à trois niveaux : - En interne dans chaque hypermarché :  Lors de l’arrivée des flux sur le cœur de réseau. - Sur tous les sites lors de la sortie des flux vers le réseau MPLS, à deux endroits :  Sur les routeurs fournis par les fournisseurs d’accès internet.  Dans le Datacenter de l’opérateur - En interne au niveau du « Site Central » :  Par les commutateurs d’accès serveur  Lors de l’arrivée des flux sur le cœur de réseau. D’un point de vue technique, le mécanisme de QoS interne sera de type Layer 4 prioritization (Priorisation couche 4 - basée sur les numéros de ports). Celle-ci est la plus souple et personnalisable. Le tableau ci-dessous décrit les priorités de chaque type de flux : Flux Criticité Ordre de priorité VOIP Le plus critique 1 ERP et monétique Critique 2 SAUVEGARDE Critique 3 RDP Critique 4 MAIL Moins critique 5 INTERNET Le moins critique 6
  49. 49. Projet Fil Rouge RARE 2014 47 Hugo ROLAND Renaud BEAUMELLE 7 - Lot sécurité L’équilibrage de charge permet d’assurer un service de haute disponibilité, tolérant à la défaillance d’un élément. La solution d’équilibrage de charge servira à assurer un service de haute disponibilité pour les besoin d’interconnexion de l’ERP et ceux des clients légers. Les équilibreurs de charge seront présents sur tous les sites. Au niveau des hypermarchés éligibles à l’ADSL seront présents des instances virtuelles d’équilibreurs de charge (Load-Balancers). La solution d’équilibrage de charge retenu est ALOHA Load Balancer Virtual Appliance de l’éditeur HAPROXY Technologies. Sur le « Site Central », les équilibreurs de charge seront quant à eux des boitiers physiques BIG-IP Local Traffic Manager 2200S de l’éditeur F5. Voici le principe de fonctionnement des équilibreurs de charge : - Sur les hypermarchés éligibles à l’ADSL, les équilibreurs de charge déterminent si les serveurs locaux hébergeant l’ERP et le RDS sont disponibles :  S’ils sont disponibles, le flux est redirigé en local  S’ils ne sont pas disponibles, le flux est redirigé vers le « Site Central » - Sur les hypermarchés non éligibles à l’ADSL, les équilibreurs de charge déterminent lequel des deux serveurs locaux hébergeant l’ERP est disponible et redirigent le flux en fonction. - Sur le « Site Central », les équilibreurs de charge déterminent sur quel site physique le trafic doit être redirigé en fonction de la charge globale et de la disponibilité des équipements. Le schéma présent sur la page suivante explicite le fonctionnement décrit ci-dessus.
  50. 50. Projet Fil Rouge RARE 2014 48 Hugo ROLAND Renaud BEAUMELLE 7 - Lot sécurité Schémas de fonctionnement des équilibreurs de charge Clients légers Hypermarché SDSL Site Central MPLS ROUTEUR Load Balancers ROUTEUR MPLS Serveur GOLD 1 non accessible Flux Serveur GOLD 1 accessible Caisses Serveur GOLD Serveur RDP Serveur GOLD 1 Serveur GOLD 2 Hypermarché sans SDSL Load Balancers Caisse Serveur GOLD 1 Serveur GOLD 2Caisse Accès applicatif Serveur RDP Backup Load Balancers Serveur RDP local non accessible Flux Serveur local accessible Accès serveurs Serveur GOLD 1 non accessible Flux Serveur GOLD 1 accessible Serveur RDP hyper non accessible Serveur GOLD local non accessible
  51. 51. Projet Fil Rouge RARE 2014 49 Hugo ROLAND Renaud BEAUMELLE 7 - Lot sécurité 7.3.7 PCA/PRA Le PCA (Plan de Continuité d’Activité) permet de pallier à une défaillance majeure du SI. Le PRA (Plan de Reprise d’Activité) permet la reconstruction de l’infrastructure informatique de l’entreprise et la remise en route des applications supportant son activité. La différence entre ces deux plans tiens au fait que le PCA est censé assurer la continuité de l’activité sans interruption, au contraire du PRA. Le PCA proposé est simplement l’élimination de tous les points de défaillance unique. Ainsi la solution proposée est particulièrement tolérante à la défaillance d’un ou plusieurs éléments du S.I. Résumé des éléments redondés (détail dans les lots concernés) : Site concerné Elément Redondé Emplacement de l’élément redondé Lot(s) concerné(s) Tous Commutateurs Sur place LAN Hypermarchés Fonctions système RODC, DHCP et DNS Sur place Système « Site central » Serveurs Sur l’homologue constituant le « Site central » Système « Site central » Sauvegardes Un hypermarché « PRA » Sécurité – Solution de sauvegarde Hypermarché éligible au SDSL Applicatif (GOLD et base de données) « Site central » Système Hypermarché non éligible au SDSL Applicatif (GOLD et base de données) Sur site Système Hypermarché éligible au SDSL Serveur de bureau à distance « Site central » Système Hypermarché non éligible au SDSL Serveur de bureau à distance Sur site Système Tous Accès WAN (Routeurs et liens) Sur site WAN « Site central » Liens de niveau 2 vers l’homologue (Fibre OM4 50/125) Sur site LAN Le routage des flux applicatifs et de bureau à distance est assuré par les équilibreurs de charge afin d’assurer une continuité de service. L’implémentation d’onduleurs permet de s’affranchir des pannes électriques pour les éléments système et réseau. Le PRA proposé est l’externalisation de la sauvegarde des données de l’entreprise effectuée sur le « Site central » vers un hypermarché distant.
  52. 52. Projet Fil Rouge RARE 2014 50 Hugo ROLAND Renaud BEAUMELLE 7 - Lot sécurité 7.3.8 Solution de supervision Une solution de supervision permet de détecter les incidents informatiques de manière proactive dans l’idéal avant les utilisateurs. Les incidents sont donc directement identifiés et traités avant qu’ils ne deviennent critiques. La solution de supervision retenue est le logiciel open source Shinken. Shinken est une réécriture en langage Python du cœur du logiciel open source de supervision le plus connu : Nagios. Shinken, de par son découpage en modules, offre une grande flexibilité et permet ainsi la supervision d’un nombre quasi infini d’éléments en monopolisant trois fois moins de ressource que son ancêtre Nagios. Cette solution de supervision est orientée « business impact », c’est-à-dire qu’elle permet de superviser directement la disponibilité des services métiers critiques pour l’entreprise par l’intermédiaire de règles simples. Exemple avec l’ERP : Le service ERP dépend de plusieurs services redondés. L’ERP sera donc toujours accessible pour les utilisateurs, en mode dégradé, si un élément de chaque service tombe ne panne. De plus, cette solution de supervision intègre par défaut des fonctionnalités de métrologie, ce qui permettra à terme d’améliorer la gestion de la capacité. La solution de supervision sera assurée par 2 serveurs de supervision en cluster de basculement sur le « site central » assurant une haute disponibilité de la solution (1 par site physique). Lorsqu’une alerte est détectée, les administrateurs recevront automatiquement une notification via le média de leurs choix (mail, sms, appel téléphonique).
  53. 53. Projet Fil Rouge RARE 2014 51 Hugo ROLAND Renaud BEAUMELLE 7 - Lot sécurité Une formation sur ces outils à destination des administrateurs réseaux de Newstore est prévue et est planifiée dans le planning global de formation disponible en ANNEXE I. 7.3.9 Journaux d’évènements Newstore à une obligation légale de conservation des journaux d’évènements des équipements qui composent son S.I. En effet, pour être en conformité avec le PCI DSS (Payment Card Industry Data Security Standard, en français le « standard de sécurité des données pour l’industrie des cartes de paiement »), toutes les actions doivent être consignées. Nous proposons la centralisation des journaux d’événements sur les serveurs de supervision Shinken qui collecterons les logs via le logiciel gratuit (et Open-Source) php-syslog-ng. Ce logiciel permettra de stocker les journaux d’évènements dans une base de données relationnelle et de les consulter de manière simple et intuitive. Les éléments qui remonteront leurs journaux d’évènements sont les suivants : - Les serveurs  Unix par l’intermédiaire du logiciel gratuit syslogd  Windows par l’intermédiaire du logiciel gratuit EL2SL (Event Log to SysLog) - Les routeurs, commutateurs et pare-feu, en leurs spécifiant simplement le serveur de collecte. - Les baies de stockage, en leurs spécifiant simplement le serveur de collecte. En plus de la collecte, sera également mise en place une surveillance active des journaux d’évènement de chaque équipement grâce à la solution de supervision Shinken. 7.3.10 Serveur mandataire Il est indispensable d’intégrer un système de serveur mandataire filtrant et enregistrant pour plusieurs raisons : - Protéger le S.I. de Newstore d’éventuelles ressources externes malveillantes - Limiter l’utilisation non professionnelle des éléments du S.I. - Se mettre en conformité avec la loi : la loi pour la confiance dans l'économie numérique impose de permettre à la justice de lier une action sur internet à une personne. Nous proposons l’implémentation de la fonction « Web Proxy » (serveur mandataire) sur les pare-feu CISCO ASA 5550. Cette solution a été retenue car : - Elle ne nécessite pas l’acquisition de ressource matérielle supplémentaire - Son coût est négligeable
  54. 54. Projet Fil Rouge RARE 2014 52 Hugo ROLAND Renaud BEAUMELLE 7 - Lot sécurité - L’interface de gestion est simple et intuitive Les enregistrements seront envoyés en temps réel aux serveurs centralisant les journaux d’évènement. 7.3.11 Sécurisation des communications inter-équipement Il est indispensable de sécuriser les communications inter-équipement afin de se prémunir des attaques de type « man in the middle » (L’attaquant écoute de manière passive les échanges entre équipements, en se faisant passer pour une passerelle par exemple. Attaque très courante.). Le protocole IPSec (Internet Protocol Security) sera mis en place afin de limiter la surface d’attaque du S.I. de Newstore. Tous les serveurs utiliseront le protocole « IP Sec » (Internet Protocol Security) pour communiquer entre eux. Cela assurera non seulement l’authentification mais également l’intégrité ainsi que la confidentialité des échanges. 7.3.12 Annuaire LDAP L’authentification des utilisateurs sera basée sur l’utilisation d’un annuaire LDAP. LDAP (Lightweight Directory Access Protocol) est un protocole qui permet l’interrogation et la modification des services d’annuaire. Un annuaire LDAP respecte généralement le modèle X.500 édicté par l'UIT-T (Union internationale des télécommunications) : c'est une structure arborescente dont chacun des nœuds est constitué d'attributs associés à leurs valeurs. L’implémentation de LDAP choisie est la technologie Active Directory de Microsoft. L'objectif principal d'Active Directory est de fournir des services centralisés d'identification et d'authentification d’utilisateurs, de serveurs ou encore de services. Active Directory permet également l'attribution et l'application de stratégies, la distribution de logiciels, et l'installation de mises à jour critiques par les administrateurs. Active Directory répertorie les éléments d'un réseau administré tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources partagées, et les administrateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de distribution, de duplication, de partitionnement et de sécurisation des accès aux ressources répertoriées. Il est de la responsabilité des administrateurs du S.I. de Newstore de maintenir à jours l’annuaire Active Directory (création, modification, suppression d’utilisateurs, de ressources, etc.).
  55. 55. Projet Fil Rouge RARE 2014 53 Hugo ROLAND Renaud BEAUMELLE 8 - Lot procédures 8 Lot procédures 8.1 Rappel du besoin Afin de définir l’utilisation du système d’information, des processus doivent être établis. Ces processus sont définis par des procédures et une suite d’actions nécessaires au rendu d’un service donné. Ils seront fournis dans leur globalité à la livraison du projet. 8.2 Réponse fonctionnelle La liste (non exhaustive) des processus qu’HRRB s’engage à vous fournir afin de garantir la qualité des services est la suivante : - Procédures techniques de rétablissement (une procédure par cas de sinistres majeurs : perte de la centrale d’achat, perte de la plateforme de stockage, perte des deux sites). - Procédure de bascule réseau d’une caisse (cas d’un switch défaillant), détaillée ci-dessous en exemple. 8.3 Détails techniques Voici en qualité d’exemple le logigramme d’une procédure. L’ensemble des procédures nécessaires à l’exploitation du SI seront rédigées et livrées avec la solution. Voici en exemple la procédure à suivre par un hypermarché dans le cas d’une indisponibilité d’une (ou plusieurs) caisse(s) : - Déclencheur : indisponibilité d’un service de caisse. - Intervenant : caissière. - Processus : Hypermarché Service informatique CaissièreCaissecentrale Assistance technique Indisponibilité d’un service de caisse Branchement du câbleréseau sur la prise de secours (jaune) Attente 30 secondes Test de rétablissement Servicerétabli? Oui Non Contrôle du fonctionnement des autres caisses en service Les autres caisses sont elles impactées? Non Oui Création d’un incident Fin Procédurede changement de caisse Résolution de l’incident Ouverture incident Fin
  56. 56. Projet Fil Rouge RARE 2014 54 Hugo ROLAND Renaud BEAUMELLE 9 - Lot déploiement 9 Lot déploiement 9.1 Rappel du besoin La société Newstore a émis plusieurs contraintes quant à l’installation de la solution, notamment : - L’intégration des informations numérique antérieures - Le respect des normes, règles et préconisations suivantes :  Norme ISO 27001  Référentiel ITIL  Loi pour la confiance en l’économie numérique - Ne pas porter atteinte au bon fonctionnement de l’entreprise 9.2 Réponse fonctionnelle Nous avons pris en compte les exigences de Newstore, la réglementation ainsi que les impératifs techniques propres à la solution proposée afin d’établir un modèle de déploiement respectant toutes les contraintes identifiées. Le plan de déploiement a été produit via MS Project. Une visualisation est fournie en ANNEXE I. Nous avons choisi de planifier un déploiement en 7 étapes. Pour chaque étape, certaines des opérations sont effectuées dans les locaux de HRRB (procédures, pré-configuration, tests de matériel, …). Chaque étape de réalisation prévoit une procédure de retour arrière. Il est donc possible de revenir à l’infrastructure initiale. Chacune des étapes de déploiement (1 à 4) suit le même processus global de mise en œuvre : • Déploiement du site central Initialisation • Déploiement d'un hypermarché pilote • Optimisation des procédures suivant les retoursPilote • Déploiement de 7 hypermarchés en parallèle. • Industrialisation des procédures en fonction des retoursIndustrialisation • Déploiement des 44 hypermarchés restants, 11 par lots Déploiement • Mesure des indicateurs • Bilan fonctionnelRecette • Ajustements éventuels • Vérification du service régulierAjustements • Démantèlement de l'ancien système. • Tests de non régressionDémantèlement • Après un mois d'exploitation, nouvelle mesure des indicateurs et recueil des avis utilisateursPIR
  57. 57. Projet Fil Rouge RARE 2014 55 Hugo ROLAND Renaud BEAUMELLE 9 - Lot déploiement Les étapes 5 à 7 suivent leur processus propre. La recette, ou test d’acceptation, sert à s’assurer formellement que la solution mise en place répond aux spécifications contractuelles. La recette de la solution se compose de deux types de recettes : - La recette fonctionnelle (validation des fonctionnalités exprimées dans le cahier des charges fonctionnelle), qui est du ressort de la MOA. Cette étape sera réalisée par Newstore. - La recette technique (contrôle des caractéristiques techniques de la solution mise en place), qui est du ressort de la MOE. Cette étape sera donc réalisée par HRRB. La recette technique sera donc le processus de contrôle de la solution, par rapport aux spécifications techniques prévues. Une recette technique sera réalisée à chaque étape. Elle permettra de valider le passage à l’étape suivante, en accord avec la MOA. Les ajustements sont les modifications mineures qu’il sera éventuellement nécessaire d’effectuer après la recette. La solution sera ensuite validée par la VSR. Le démantèlement est le retrait des équipements de l’ancien SI non utilisés. Il sera effectué par HRRB dans le respect de la directive D3E. Les supports de données seront détruits conformément à la politique de gestion des données. Le PIR PIR signifie Post Implementation Review (Audit post implémentation), il se déroule quelques semaines ou mois après le déploiement (6 semaines à 6 mois généralement).

×