Architecture réseau IP pour bâtiments

Architecture réseau convergente : un seul réseau, tous les usages

L'évolution des bâtiments intelligents impose une infrastructure réseau IP unifiée capable de transporter simultanément l'ensemble des flux numériques : données bureautiques, téléphonie sur IP (ToIP), vidéoprotection, contrôle d'accès, détection d'intrusion, GTB/GTC et IoT. Cette approche, dite de réseau convergent, remplace les multiples réseaux physiques dédiés par une seule infrastructure Ethernet mutualisée.

Suretec Ingénierie conçoit des architectures réseau IP adaptées à chaque bâtiment, en garantissant la performance, la disponibilité et la sécurité de chaque flux grâce à une segmentation rigoureuse par VLAN, une politique de QoS (Quality of Service) et des mécanismes de redondance avancés. Notre expertise s'appuie sur un câblage VDI structuré et dimensionné pour vos besoins en courants forts et faibles.

Les avantages d'un réseau convergent sont multiples :

• Réduction des coûts d'infrastructure : un seul réseau de câblage structuré, un seul jeu de switches et un seul système de supervision
• Simplification de l'exploitation : administration centralisée, monitoring unifié, maintenance simplifiée
• Évolutivité : ajout de nouveaux services (visioconférence, capteurs IoT, affichage dynamique) sans refonte du câblage
• Interopérabilité : les systèmes de sûreté, de GTB et les applications métiers communiquent nativement via IP

Topologies réseau : du bâtiment au data center

Le choix de la topologie réseau conditionne les performances, la résilience et l'évolutivité de l'infrastructure. Suretec Ingénierie maîtrise les principales architectures déployées dans les bâtiments et les data centers :

Topologie en étoile

Architecture la plus courante dans les bâtiments tertiaires. Chaque poste ou équipement IP est relié à un switch d'accès centralisé dans le local technique d'étage. Simple à déployer et à dépanner, elle est adaptée aux petites et moyennes structures jusqu'à environ 200 ports.

Architecture 3 tiers : cœur — distribution — accès

Modèle hiérarchique standard pour les bâtiments de grande taille et les campus. Le cœur de réseau (core) assure le routage haute performance entre les bâtiments. La couche de distribution agrège les flux et applique les politiques de sécurité (ACL, VLAN inter-sites). La couche d'accès connecte les équipements terminaux (postes, téléphones, caméras, bornes Wi-Fi). Cette architecture offre une excellente redondance grâce au dual-homing et aux protocoles de spanning tree (RSTP, MSTP).

Architecture Spine-Leaf pour data centers

Topologie à deux niveaux où chaque switch leaf (accès) est connecté à tous les switches spine (dorsale). Ce modèle garantit une latence prévisible (deux sauts maximum), un débit non bloquant et une capacité d'extension horizontale (scale-out). Il est privilégié pour les salles serveurs, les environnements de virtualisation et les infrastructures hyperconvergées.

Équipements actifs : switches, routeurs, firewalls et contrôleurs Wi-Fi

Le choix des équipements actifs est déterminant pour la fiabilité et l'évolutivité du réseau. Suretec Ingénierie sélectionne et dimensionne chaque composant en fonction des contraintes du projet :

Switches manageables (L2/L3)

Les switches manageables de niveau 2 (Layer 2) assurent la commutation Ethernet et la gestion des VLAN. Ils supportent le spanning tree (STP/RSTP/MSTP), l'agrégation de liens (LACP/802.3ad), le port mirroring pour le diagnostic et le contrôle d'accès 802.1X. Les switches de niveau 3 (Layer 3) ajoutent le routage inter-VLAN, les ACL avancées et le routage dynamique (OSPF, BGP), indispensables en cœur de réseau.

Critères de sélection : nombre de ports Gigabit/10G/25G, capacité de commutation (switching fabric), table d'adresses MAC, budget PoE, empilage (stacking) et redondance d'alimentation.

Routeurs et firewalls

Les routeurs assurent l'interconnexion WAN (fibre, MPLS, SD-WAN) et le routage inter-sites. Les firewalls de nouvelle génération (NGFW) protègent le réseau contre les menaces extérieures et intérieures : inspection de paquets en profondeur (DPI), filtrage applicatif, détection/prévention d'intrusion (IDS/IPS) et VPN.

Contrôleurs Wi-Fi

Les contrôleurs Wi-Fi (physiques ou cloud) centralisent la gestion des bornes d'accès (AP), automatisent l'attribution des canaux et de la puissance, assurent le roaming transparent (802.11r/k/v) et appliquent les politiques de sécurité (WPA3-Enterprise, 802.1X, RADIUS). Ils fournissent également des tableaux de bord de supervision avec cartographie de couverture et statistiques par client.

Segmentation réseau : VLAN, ACL et contrôle d'accès 802.1X

La segmentation réseau est le pilier de la sécurité et de la performance dans un réseau convergent. Elle consiste à créer des domaines logiques isolés pour chaque catégorie de flux :

VLAN (Virtual Local Area Network)

Suretec Ingénierie définit une politique de VLAN adaptée à chaque bâtiment. Les VLAN typiques incluent :

• VLAN Données : postes de travail, serveurs, imprimantes réseau
• VLAN Voix : téléphones IP, passerelles SIP, IPBX — priorité QoS élevée
• VLAN Sûreté : caméras de vidéoprotection, contrôleurs d'accès, centrales d'intrusion — isolation stricte
• VLAN IoT / GTB : capteurs de température, compteurs d'énergie, actionneurs CVC, éclairage DALI — accès restreint
• VLAN Management : interfaces d'administration des switches, routeurs, firewalls — accès limité aux administrateurs
• VLAN Invités : accès Internet isolé pour les visiteurs, sans accès au réseau interne

ACL (Access Control Lists)

Les ACL définissent les règles de communication inter-VLAN. Par exemple, le VLAN Sûreté peut communiquer avec le serveur de supervision mais pas avec le VLAN Invités. Chaque flux autorisé est documenté dans une matrice de flux qui sert de référence pour la configuration et l'audit.

Contrôle d'accès réseau 802.1X (NAC)

Le protocole 802.1X authentifie chaque équipement avant de lui accorder l'accès au réseau. Un serveur RADIUS vérifie l'identité (certificat machine, identifiants utilisateur, adresse MAC) et attribue dynamiquement le VLAN approprié. Les équipements non authentifiés sont placés dans un VLAN de quarantaine. Cette approche, dite NAC (Network Access Control), est indispensable pour empêcher la connexion d'équipements non autorisés.

Wi-Fi bâtiment : couverture, performance et densité

Le déploiement Wi-Fi dans un bâtiment exige une approche méthodique pour garantir une couverture homogène, un débit suffisant et un roaming transparent. Suretec Ingénierie intègre l'étude Wi-Fi dès la phase de conception réseau.

Étude de couverture (site survey)

Nous réalisons des études de couverture prédictives (sur plans) et des site surveys actifs (mesures sur site) pour déterminer le nombre et le positionnement optimal des points d'accès (AP). Les paramètres étudiés incluent : niveau de signal (RSSI), rapport signal/bruit (SNR), chevauchement de canaux (co-channel interference), zones mortes et densité d'utilisateurs par zone.

Technologies Wi-Fi : Wi-Fi 6, 6E et 7

Les dernières générations de Wi-Fi apportent des améliorations majeures :

• Wi-Fi 6 (802.11ax) : OFDMA, MU-MIMO, BSS Coloring, Target Wake Time — débit théorique de 9,6 Gbit/s, optimisé pour les environnements denses
• Wi-Fi 6E : extension dans la bande 6 GHz (5925-6425 MHz en Europe), canaux larges de 160 MHz, moins d'interférences — idéal pour la vidéo HD et la réalité augmentée
• Wi-Fi 7 (802.11be) : MLO (Multi-Link Operation), canaux 320 MHz, 4K-QAM — débit théorique de 46 Gbit/s, latence ultra-faible pour les applications critiques

Roaming et mobilité

Les protocoles 802.11r (Fast BSS Transition), 802.11k (radio resource management) et 802.11v (BSS transition management) assurent un basculement transparent entre AP, essentiel pour la téléphonie Wi-Fi et les terminaux mobiles en déplacement dans le bâtiment.

Dimensionnement de la densité d'AP

Le nombre d'AP dépend de la surface, du nombre d'utilisateurs simultanés, du débit requis par utilisateur et des matériaux de construction (béton armé, cloisons métalliques, vitrage). En environnement dense (amphithéâtres, salles de réunion, open spaces), nous prévoyons un AP pour 25 à 30 utilisateurs simultanés avec un recouvrement de -67 dBm minimum.

PoE (Power over Ethernet) : alimenter le réseau par le câble

Le PoE simplifie considérablement le déploiement des équipements IP en supprimant la nécessité d'une alimentation électrique locale pour chaque appareil. Une seule prise RJ45 fournit la connectivité réseau et l'alimentation électrique.

Standards PoE et puissances

Dimensionnement du budget PoE

Chaque switch dispose d'un budget PoE total (exprimé en watts) qui correspond à la puissance maximale qu'il peut délivrer sur l'ensemble de ses ports. Suretec Ingénierie calcule le budget PoE nécessaire en additionnant la consommation réelle de chaque équipement connecté, avec une marge de 20 % pour l'évolutivité. Par exemple, un switch 24 ports alimentant 8 caméras PoE+ (25 W), 12 téléphones IP (7 W) et 4 AP Wi-Fi 6 (20 W) nécessite un budget minimum de : (8 x 25) + (12 x 7) + (4 x 20) = 364 W, soit un budget recommandé de 440 W.

Considérations de câblage

Le PoE impose des contraintes sur le câblage : câble Cat.5e minimum (Cat.6A recommandé pour PoE++), longueur maximale de 100 m (norme Ethernet), qualité des connecteurs RJ45 (pour éviter les échauffements) et dimensionnement des chemins de câbles (dissipation thermique). La liaison avec l'infrastructure VDI est donc essentielle dès la phase de conception.

QoS (Quality of Service) : prioriser les flux critiques

Dans un réseau convergent, tous les flux ne se valent pas. Un appel téléphonique sur IP ne tolère pas la même latence qu'un transfert de fichiers. La QoS garantit que chaque type de trafic bénéficie du niveau de service approprié.

Marquage DSCP (Differentiated Services Code Point)

Chaque paquet IP est marqué avec un code DSCP qui indique sa classe de service. Les marquages standards incluent :

• EF (Expedited Forwarding, DSCP 46) : voix sur IP — latence minimale, perte de paquets quasi nulle
• AF41 (DSCP 34) : vidéo temps réel (vidéoprotection, visioconférence) — bande passante garantie
• AF21 (DSCP 18) : données transactionnelles (applications métiers) — priorité moyenne
• CS1 (DSCP 8) : trafic de fond (sauvegardes, mises à jour) — best effort amélioré
• BE (Best Effort, DSCP 0) : navigation web, e-mail — aucune garantie

Files d'attente et ordonnancement

Les switches et routeurs utilisent des files d'attente (queues) pour traiter les paquets selon leur priorité. Les mécanismes courants sont :

• Strict Priority (SP) : la file prioritaire est toujours servie en premier — utilisée pour la voix
• Weighted Round Robin (WRR) : chaque file reçoit un pourcentage garanti de la bande passante
• WRED (Weighted Random Early Detection) : détruit proactivement les paquets basse priorité avant congestion pour protéger les flux critiques

Dimensionnement de la bande passante

Suretec Ingénierie calcule les besoins en bande passante pour chaque VLAN : un flux vidéo H.265 en 4K consomme environ 8-12 Mbit/s, un appel VoIP G.711 nécessite 87 kbit/s, un poste bureautique génère en moyenne 2-5 Mbit/s. Ces données permettent de dimensionner les liens uplink (1G, 10G, 25G) entre les couches d'accès, de distribution et de cœur.

Réseau dédié sûreté : isolation, redondance et disponibilité

Les systèmes de sûreté (vidéoprotection, contrôle d'accès, détection d'intrusion) ont des exigences spécifiques en termes de disponibilité, d'intégrité et de confidentialité. Suretec Ingénierie conçoit des réseaux dédiés sûreté adaptés au niveau de risque du site.

Isolation physique ou logique

Deux approches sont possibles :

• Réseau physiquement séparé : switches, câblage et baies dédiés — niveau de sécurité maximal, recommandé pour les sites sensibles (défense, data centers, établissements pénitentiaires)
• Isolation logique par VLAN : VLAN dédiés sur l'infrastructure mutualisée, avec ACL strictes et 802.1X — bon compromis pour les bâtiments tertiaires et les ERP

Redondance et haute disponibilité

La continuité des systèmes de sûreté impose des mécanismes de redondance :

• Spanning Tree (RSTP/MSTP) : convergence rapide en cas de rupture de lien (< 1 seconde avec RSTP)
• LACP (Link Aggregation Control Protocol) : agrégation de plusieurs liens physiques pour augmenter la bande passante et assurer le failover
• Stacking de switches : plusieurs switches physiques fonctionnent comme un seul switch logique, avec basculement automatique
• Double alimentation : alimentations redondantes sur les switches critiques, onduleurs (UPS) dédiés
• Double attachement : chaque switch d'accès sûreté est relié à deux switches de distribution pour éliminer les points de défaillance uniques (SPOF)

Latence et disponibilité cible

Pour la vidéoprotection temps réel, la latence réseau doit rester inférieure à 150 ms bout en bout. Pour le contrôle d'accès, le temps de réponse réseau doit être inférieur à 500 ms pour garantir un badge fluide. Suretec Ingénierie dimensionne le réseau pour atteindre une disponibilité de 99,99 % (soit moins de 53 minutes d'interruption par an) sur le segment sûreté.

Cybersécurité réseau : protéger l'infrastructure

La convergence des réseaux augmente la surface d'attaque. Suretec Ingénierie intègre la cybersécurité dès la conception de l'architecture réseau, conformément aux recommandations de l'ANSSI et aux bonnes pratiques internationales (NIST, ISO 27001).

Segmentation et micro-segmentation

La segmentation par VLAN est le premier niveau de défense. Pour les environnements critiques, la micro-segmentation (via des firewalls distribués ou des solutions SDN) permet d'isoler chaque équipement ou groupe d'équipements, limitant la propagation latérale en cas de compromission.

Gestion des firmwares et des patchs

Les switches, routeurs, firewalls et points d'accès Wi-Fi doivent être maintenus à jour. Suretec Ingénierie définit une politique de mise à jour des firmwares incluant : veille de vulnérabilités (CVE), qualification des mises à jour en environnement de test, déploiement planifié et procédure de rollback.

Durcissement des équipements

• Changement des mots de passe par défaut et politique de mots de passe complexes
• Désactivation des services inutiles : Telnet, HTTP (utiliser SSH et HTTPS), SNMP v1/v2 (utiliser SNMPv3)
• Restriction des accès d'administration : VLAN management dédié, ACL sur les interfaces de gestion, authentification RADIUS/TACACS+
• Désactivation des ports non utilisés et configuration en VLAN de quarantaine (blackhole VLAN)

Journalisation et supervision

Tous les équipements réseau envoient leurs logs vers un serveur syslog centralisé ou un SIEM (Security Information and Event Management). Les événements surveillés incluent : tentatives d'authentification échouées, changements de configuration, alarmes spanning tree, violations de port security et anomalies de trafic. La corrélation de ces événements avec la supervision/hypervision permet une détection rapide des incidents.

Dimensionnement réseau : méthodologie et livrables

Le dimensionnement d'une architecture réseau repose sur une analyse rigoureuse des besoins actuels et futurs du bâtiment. Suretec Ingénierie applique une méthodologie éprouvée en plusieurs étapes.

Audit des besoins

• Inventaire des équipements IP : postes de travail, téléphones, caméras, AP Wi-Fi, capteurs IoT, automates GTB, imprimantes, écrans
• Cartographie des flux : matrice source/destination, protocoles, débits, contraintes de latence
• Projection de croissance : anticipation de l'augmentation du nombre d'équipements et de la bande passante sur 5 à 10 ans

Calcul de la bande passante

Chaque segment du réseau est dimensionné pour supporter la charge de pointe avec une marge de 30 %. Les liens d'agrégation (uplinks) entre les couches sont dimensionnés par un ratio de sursouscription maîtrisé : typiquement 4:1 en accès-distribution et 2:1 en distribution-cœur.

Nombre d'équipements par switch

Le nombre de ports par switch d'accès (24 ou 48 ports) est déterminé par la densité d'équipements par local technique. Les ports uplink (SFP+ 10G, SFP28 25G) sont dimensionnés en conséquence. Chaque switch dispose de ports de réserve (20 % minimum) pour l'évolutivité.

Livrables Suretec Ingénierie

• Synoptique réseau : schéma global de l'architecture (cœur, distribution, accès, Wi-Fi)
• Schémas de baies : implantation des équipements dans les baies de brassage (faces avant et arrière)
• Matrice de VLAN et de flux : documentation complète de la segmentation
• CCTP réseau : cahier des clauses techniques particulières pour la consultation des entreprises
• Plans d'exécution AutoCAD/Revit : cheminements de câbles, implantation des prises, locaux techniques
• Dossier DOE réseau : plans de recollement, configurations, tests de recette

Notre approche s'intègre avec les études courants forts et courants faibles et le câblage VDI pour garantir la cohérence globale de l'infrastructure technique du bâtiment.