Description du service

Le service d’accès WAN sans fil Wi-Fi RITM enrichit le répertoire de produits et services RITM tel que prévu au contrat. L’introduction de ce service comporte :

  • Le service d’accès WAN sans fil Wi-Fi universel permet à chaque ministère ou organisme (MO) d’offrir un accès sans fil à l’intérieur des zones de couverture définies. Ce type de service permet aux MO de combiner un accès privé à son réseau local ainsi qu'un accès à l'Internet. 
  • Le service d’accès WAN sans fil Wi-Fi Internet permet à chaque ministère ou organisme (MO) d’offrir un accès Internet sans fil à l’intérieur des zones de couvertures définies. Ce service offre un accès à l’Internet exclusivement.

Description générale

Les services d’accès WAN sans fil Wi-Fi permettent la mobilité des utilisateurs en leur assurant un accès sans fil au réseau local et/ou à l’Internet pour des zones définies. Les normes 802.11a/b/g/n/ac Wave 1 et 2 sont utilisées afin d’assurer la transmission sans fil sur deux fréquences radios 2.4 GHz et 5 GHz. Au niveau de la gestion de la sécurité du service, la norme 802.11w est déployée sur la demande du client. Les services d’accès WAN sans fil Wi-Fi sont maintenant disponibles avec des options à la carte. Il est maintenant possible de choisir les options qui vous conviennent afin de créer le service adapté à vos besoins.

Pré-requis

Un service d’accès IP/MPLS-RITM est requis au site afin de permettre la surveillance (Wi-Fi universel) et la maintenance des équipements par le prestataire de service. Le service Wi-Fi peut être offert également en mode multi-sites où le site principal a le seul accès IP/MPLS et les sites secondaires y sont raccordés sans pour autant que chacun des sites n'ait un accès indépendant de lien IP/MPLS. Le service IP/MPLS est utilisé afin de permettre la communication avec les contrôleurs Wi-Fi, l’accès au serveur d’authentification client et l’accès à l’Internet pour certaines options.

Sécurité - Authentification et journalisation

L’authentification et la journalisation des accès utilisateurs du service d’accès WAN sans fil Wi-Fi RITM seront également effectuées et disponibles selon les processus de sécurité.

OptionsMéthode d'authentification
Accès réseau localAuthentification portail Web ou 802.1x via l'AD/LDAP/radius/serveur de jeton du client
Internet sécuriséAuthentification 802.1x via l'AD/LDAP/radius/serveur de jeton du client + traçabilité 
Internet du clientAuthentification portail Web ou 802.1x via l'AD/LDAP/radius/serveur de jeton du client Sans authentification (WAP2-PSK ou ouvert)
Internet « invité »Authentification portail Web + traçabilité Sans authentification (WAP2-PSK ou ouvert)
Internet partagéSans authentification (WAP2-PSK ou ouvert) 

À l’exception de l’option Internet du client et de l’option Internet partagé, toutes les options Internet utilisent le filtrage URL par catégories de sites selon la politique gouvernementale. Certaines catégories peuvent être modifiées et il est possible d’ajouter jusqu’à 10 URL à bloquer lorsqu’un service d’authentification est utilisé.

Toute désactivation d’une catégorie définie par la politique gouvernementale demande l’approbation d’une personne en autorité dans l’organisation.

Responsabilités du prestataire de services

Le prestataire de services réalise:

  • les services d’ingénierie prévente permettant d’identifier les requis pour le déploiement des points d’accès sans fil Wi-Fi;
  • une étude de couverture sur plan pour déterminer avec précision la couverture et la quantité de points d’accès à installer en fonction de la couverture désirée;
  • la mise en place et l’installation des points d’accès sans fil Wi-Fi;
  • la surveillance proactive des points d’accès;
  • une prestation de service conformément aux composantes et aux niveaux de services prévus dans cette offre.

Toutefois, le prestataire de services n’est pas responsable:

  • de l’utilisation faite par les utilisateurs;
  • de l’application des politiques de sécurité en vigueur;
  • du déploiement des clients sur les stations lorsque requis.

Responsabilités du client

Le client doit :

  • transmettre les plans de plancher des édifices concernés au prestataire de services de manière à initier les travaux d’ingénierie;
  • ajuster la commande P@rc en nombre de points d’accès conformément à l’ingénierie de site produite par le prestataire de services;
  • respecter les normes de câblage 802.3ab et EIA/TIA-854;
  • prévoir et mettre à la disposition du prestataire de services un port de commutateur supportant les normes de PoE+ et 802.1q par point d’accès (ou 2 ports Gbps de commutateur en mode «LAG» si le client veut bénéficier de la vitesse maximale de protocole 802.11ac wave 2);
  • fournir un VLAN unique par site pour relier les points d’accès au routeur WAN RITM (GQWFI);
  • fournir un VLAN unique pour relier les points d’accès au réseau local (LAN);
  • assurer le bon fonctionnement de son LAN par lequel transite le service d’accès WAN sans fil Wi-Fi. Advenant une défaillance du LAN causée par le client, la procédure des frais de dérangement déjà prévue dans le processus de gestion des incidents s’applique;
  • identifier jusqu’à 3 intervenants de type ambassadeur pour l’option « invité ». Ces intervenants assureront la gestion des comptes invités;
  • émettre, communiquer et gérer l’application des politiques de sécurité pour l’utilisation des services Internet;
  • définir les mécanismes d’authentification des utilisateurs: Authentification simple ou forte;
  • faire une demande de modification de règles de sécurité sur son coupe-feu virtuel RITM pour permettre au service d'accès sans fil Wi-Fi de rejoindre son serveur d'authentification.

De plus :

  • en fonction du type de serveur d’authentification utilisé, il se peut que le client doive installer un logiciel sur ses dispositifs mobiles permettant de supporter le protocole d’authentification 802.1X associé au type de serveur d’authentification. Le client est alors responsable d'acquérir, d’installer et de supporter les logiciels clients nécessaires au bon fonctionnement du service Wi-Fi;
  • conformément aux plans produits par le prestataire de services dans la phase d’ingénierie des sites, le client est responsable de la mise en place des infrastructures de câblage testées pour des vitesses allant jusqu’à 1 Gbps ou plus permettant le raccordement des points d’accès Wi-Fi.

Services sur demande

  • En ce qui concerne les méthodes d'authentification des utilisateurs, il est possible, pour un ministère ou organisme d'utiliser son propre serveur d'identité (ISE). Ceci permet aux ministères ou organismes de fournir un accès sécurisé à l'Internet ou à son réseau local, tout en conservant le contrôle d'accès à leur réseau via un serveur d'authentification localisé chez le client. Le bon fonctionnement de ce serveur d'authentification (ISE) est sous l'entière responsabilité du client tant au niveau de l'acquisition, de l'entretien, de l'installation, de la configuration et de la surveillance. Ce serveur doit être raccordé à un annuaire interne (AD), compatible LDAP, radius ou via un serveur RSA SecurID (radius Token) du client. Le raccordement de cet annuaire est également de la responsabilité du client et déterminera le type d'authentification client à utiliser.
  • Contrôleurs sans fil hébergés chez le client: Dans certains cas ou pour des raisons de capacité, il peut s'avérer intéressant autant pour le fournisseur et le client de localiser les contrôleurs sans fil chez celui-ci. La décision de placer des contrôleurs sans fil dans le site d'un client revient uniquement aux responsables de l'architecture du service sans fil chez le fournisseur avec l'approbation du gouvernement.
  • Déploiement en mode haute densité: Cette méthode de livraison permet de tirer profit des performances élevées prévues avec la norme 802.11ac. Cette livraison implique la désactivation des radios 2.4 Ghz. Le déploiement en mode haute densité peut considérablement faire augmenter le nombre de points d'accès à installer.
  • Test post-implantation de type «actif»: Avec l'arrivée de la norme 802.11ac, le déploiement de la solution peut être évalué selon un concept de densité/performance introduisant ainsi la notion de haute densité (HD). Comme le rapport signal/bruit est déterminant afin d'offrir la meilleure performance possible pour l'utilisateur, la densité des points d'accès doit être analysée. Le test de couverture «actif» permet d'évaluer les vitesses de transmission plutôt que simplement la puissance.

Processus d'approvisionnement du service

Le processus d’approvisionnement comporte deux phases distinctes.

La phase I débute lorsque le client émet une première réquisition P@RC (analyse préliminaire).  Une commande sera alors émise par le gouvernement au prestataire du service pour préparer une étude de couverture sur plan (et sur site, si demandée par le client).  Suite à cette étude, une proposition budgétaire sera préparée par le prestataire de services.  L'étude et la proposition budgétaire seront présentées au client par le conseiller ou la conseillère du gouvernement. Le délai de cette analyse préliminaire est de 12 jours ouvrables à partir de la date de la première réquisition P@RC.

La phase II débute lorsque le client accepte l’étude et la  proposition budgétaire. À cet effet, le client émet une deuxième réquisition P@RC. Cette réquisition permet au client de confirmer officiellement les détails du projet et son acceptation. Une fiche technique sera alors complétée par le prestataire de services et suite à l’approbation de cette dernière, le prestataire livrera le service tel que convenu. Le délai de cette phase peut varier selon le nombre de points d’accès requis. Un délai de 33 jours ouvrables est considéré suite à l’envoi de cette deuxième réquisition P@RC pour un projet de 20 points d’accès et moins (délai total de 45 jours ouvrables pour la phase I et II). Référez-vous à la Grille des délais de service  ci-dessous pour connaitre le délai total (Phase I et II) requis pour compléter votre projet.

Grille des délais de service

Installation/Déménagement/Déplacement

ServiceDélai
Service Wi-Fi jusqu'à 20 points d'accès (PA)45
Service Wi-Fi de 21 à 30 points d'accès (PA)50
Service Wi-Fi de 31 à 40 points d'accès (PA)55
Service Wi-Fi de 41 à 50 points d'accès (PA)60
Installation de points d'accès Wi-Fi additionnels (maximum 4)32
Étude de couverture du site/1 500 mètres carré/site15

Débranchement

ServiceDélai
Débranchement partiel du service*32
Débranchement complet du service15

*Nécessite une mise à jour du plan d'implantation (simulation logicielle)

Changement

ServiceDéla
Changement de service Wi-Fi Internet < > Wi-Fi universel32
Remplacement d'une option (Wi-Fi Internet)17
Ajout/Retrait d'une option17
Modification à la bande passante de l'option Internet invité/Internet sécurisé17
Ajout/Retrait d'un SSID19
Modification au chiffrement sur option Internet17
Changement de nom d'un SSID17
Modification à la configuration LDAP d'une option19
Modification aux catégories de filtrage Wi-Fi17
Modification à la page d'accueil Internet partagé12
Modification aux comptes ambassadeurs option Internet Invité5
Modification de l'adresse générique - rapports de gestion (Wi-Fi Universel)5