🛡️
TFE · Défense
Travail de Fin d'Études · IFAPME 2025–2026
En attente du démarrage…
tfe_defense.sh — Nicolas Struelens · IFAPME 2025-2026 --/--/---- - --:--:--
nicolas@ifapme:~/tfe$ ./tfe_defense.sh --user=struelens.nicolas --year=2025-2026
[INFO] Initialisation de la défense TFE...
[ OK ] Vérification du matériel.................. PASSED
[ OK ] Authentification Sophos XG106......... AUTHORIZED
[ OK ] Chargement du dossier TFE.............. READY
[ OK ] Connexion au laboratoire scolaire...... CONNECTED
[ OK ] Configuration VLANs (20/30/40).......... VALID
[INFO] Validation de la configuration réseau...
[ OK ] Préparation du jury IFAPME.............. STANDBY
[ OK ] Vérification que le jury est bien réveillé.. OK ☕
[ OK ] Niveau de stress Nicolas................ ACCEPTABLE 😅
[ OK ] Synchronisation présentation............ SYNC
[INFO] Démarrage du système de défense...
[READY] Tous les systèmes sont opérationnels.
[INFO] La défense peut commencer.
READY
nicolas@ifapme:~/tfe$
IFAPME
Travail de Fin d'Études · IFAPME · 2025–2026
Déploiement &
Sécurisation
d'un Réseau Scolaire
Avec Sophos XG106
🛡️ Sophos XG106
🔌 Zyxel GS1915EP
🔀 VLAN
💾 VMware ESXi 8
⚡ Laboratoire physique
Struelens Nicolas Étudiant
Administrateur Réseaux & Systèmes IFAPME · 2025–2026
Van Schooten Yannick Maître de stage
🛡️
SOPHOS XG106
Stage
réalisé chez
Multimedian — IT & networks solutions
01 / Contexte & Problématique

Pourquoi sécuriser
un réseau scolaire ?

🛠️ IT Administration
Accès de gestion
💼 Admin Gestion école
Ressources internes
📚 Pédagogique Enseignants
Accès Internet standard
🎒 Élèves Postes élèves
Accès Internet encadré
⚠️ PROBLÉMATIQUE
  • Plusieurs profils sur un même réseau
  • Besoin d'isolation entre groupes
  • Accès Internet à encadrer
  • Sécurité à centraliser
🎯 RÉPONSE PROPOSÉE
  • Architecture segmentée par VLAN
  • Firewall central Sophos XG106
  • Règles de filtrage par profil
  • Laboratoire réel, non déployé en production
02 / Objectifs du TFE

5 étapes pour un
réseau scolaire sécurisé

1
Firewall
Déployer Sophos XG106
WAN / LAN / Zones
2
VLAN
Créer un VLAN
par profil
3
Switch
Configurer Zyxel
ACCESS & TRUNK
4
ESXi
VMware ESXi 8
Port Groups VLAN
5
Tests
Valider DHCP
Isolation, Internet
🎯
Objectif global
Créer un laboratoire proche d'un réseau scolaire, séparer les profils utilisateurs, contrôler les flux avec le Sophos et vérifier le résultat par des tests.
Fil conducteur du projet
Le but n'était pas seulement
de connecter des VMs à Internet.
Le but était de montrer
une vraie logique réseau :
séparer les profils, contrôler les accès
et vérifier par des tests.
— Dans mon projet, chaque règle devait pouvoir être vérifiée par un test.
03 / Architecture Réseau

Topologie globale du laboratoire

Port 7 → WAN Sophos 192.168.1.x DHCP TRUNK 802.1Q LAN IT + VLAN 20/30/40 .10.254 IT / Mgmt TRUNK INTERNET 📦 BOX PROXIMUS 192.168.1.1/24 Réseau domestique Proximus 192.168.1.0/24 🔀 SWITCH ZYXEL RDC GS1915EP Switch domestique Salon · Box PXM 🛡️ SOPHOS XG106 Port WAN (Port 2) 192.168.1.x · DHCP Proximus Port LAN (Port 1) 192.168.10.254/24 Passerelle LAN IT/Management 🔀 SWITCH ZYXEL LAB · GS1915EP 2e étage · Liaison montante vers Sophos (TRUNK 802.1Q) 🛠️ PC LABO 192.168.10.51 Réseau IT / Management Administration système Accès au Sophos & ESXi 💾 DELL R430 · ESXi 8 Management : 192.168.10.119 vmnic0 : VLANs (TRUNK) Hébergement des VMs Port Groups : PG_VLAN20 / 30 / 40 💼 VLAN 20 · ADMIN ID : 20 · 192.168.20.0/24 GW: .20.1 · DHCP: .100–.200 🖥️ VM-ADMIN Windows 10 Pro IP (DHCP) : 192.168.20.x Administratif scolaire 📚 VLAN 30 · PEDA ID : 30 · 192.168.30.0/24 GW: .30.1 · DHCP: .100–.200 🖥️ VM-PEDA Windows 10 Pro IP (DHCP) : 192.168.30.x Enseignants / Pédagogie 🎒 VLAN 40 · ELEVE ID : 40 · 192.168.40.0/24 GW: .40.1 · DHCP: .100–.200 🖥️ VM-ELEVE Windows 11 Pro IP (DHCP) : 192.168.40.x Élèves · Accès restreint
LÉGENDE Lien physique TRUNK 802.1Q VLAN 20 · ADMIN VLAN 30 · PEDA VLAN 40 · ELEVE
04 / Plan d'Adressage IP

Un sous-réseau
par profil utilisateur

Type
Nom
Réseau
Passerelle
DHCP
VLAN ID
LAN natif
IT / MGMT
192.168.10.0/24
192.168.10.254
.50 → .200
VLAN 20
ADMIN
192.168.20.0/24
192.168.20.1
.100 → .200
20
VLAN 30
PEDA
192.168.30.0/24
192.168.30.1
.100 → .200
30
VLAN 40
ELEVE
192.168.40.0/24
192.168.40.1
.100 → .200
40
✅ AVANTAGES
  • Un réseau par profil
  • Une passerelle par VLAN
  • Une lecture simple des IP
  • Architecture extensible (VLAN 50, 60…)
🔀 ROUTAGE
  • Routage inter-VLAN assuré par le Sophos
  • Chaque VLAN possède sa propre passerelle
  • Les VLANs ne communiquent pas directement entre eux
  • Tout le trafic transite par le firewall
05 / Sophos XG106

Le firewall :
cœur de l'infrastructure

5 Fonctions clés
4 Réseaux gérés
🔀
Routage inter-VLAN
Sous-interfaces Port1.20/30/40
📡
Serveur DHCP par VLAN
Une portée par sous-interface
🌐
NAT vers Internet (SNAT/MASQUERADE)
Tous les VLANs → IP WAN du Sophos
🛡️
Règles firewall & filtrage
Isolation + accès Internet par profil
📋
Journalisation centralisée
Logs réseau pour vérifier les flux autorisés et bloqués
Interfaces Sophos
Port 2 (WAN)DHCP Box Proximus
Port 1 (LAN)192.168.10.254/24
Port1.20192.168.20.1/24 · ADMIN
Port1.30192.168.30.1/24 · PEDA
Port1.40192.168.40.1/24 · ELEVE
🔑
Interface d'administration
HTTPS sur 192.168.10.254:4444
Accessible uniquement depuis le LAN IT
Dans ce projet, le Sophos est le point central : il distribue les IP, route les VLANs, applique les règles et garde les traces dans les logs.
06 / Zones de Sécurité

Un VLAN =
une zone de sécurité

🌐
WAN
Port 2
Non fiable
Internet
🛠️
LAN
Port 1 (natif)
Élevé
IT / Management
💼
ZONE_ADMIN
VLAN 20
Élevé
Administratif
📚
ZONE_PEDA
VLAN 30
Moyen
Pédagogique
🎒
ZONE_ELEVE
VLAN 40
Faible
Restreint
✅ AVANTAGES DU ZONAGE
  • Règles plus lisibles : "ZONE_ELEVE → WAN"
  • Politique par profil
  • Évolutivité : nouveau VLAN = nouvelle zone
  • Logs filtrables par zone source/destination
🔐 PRINCIPE APPLIQUÉ
  • Un élève n'a pas les mêmes droits qu'un administrateur
  • Plus le réseau est critique, plus il doit être protégé
  • Trafic inter-zone bloqué par défaut
  • Tout flux transite par le Sophos
07 / Switch Zyxel

Ports ACCESS & TRUNK

🔌 PORT ACCESS
Un port = un VLAN. Connecte un équipement final (PC, imprimante, AP). Les trames sortent non taggées : l'équipement ne voit pas le VLAN.
🖥️
🔀
1 VLAN dédié (trame non taggée)
🔗 PORT TRUNK (802.1Q)
Un port = plusieurs VLANs. Relie deux équipements réseau (firewall, switch, hyperviseur). Les trames conservent leur tag VLAN.
🛡️
💾
VLAN 20 ADMIN VLAN 30 PEDA VLAN 40 ELEVE
Port
Équipement Switch LAB
Mode
VLANs autorisés
PVID
P1
Dell PowerEdge R430
TRUNK
LAN IT + 20, 30, 40
1
P3
Test VLAN20 ADMIN
ACCESS
20
20
P4
Test VLAN30 PEDA
ACCESS
30
30
P5
Test VLAN40 ELEVE
ACCESS
40
40
P8
LAN Sophos XG106
TRUNK
LAN IT + 20, 30, 40
1
08 / Virtualisation

VMware ESXi 8 :
3 profils sur 1 serveur

1 Serveur physique
3 VMs Windows
3 Port Groups VLAN
1 VLAN par VM
VM-ADMIN
Windows 10 Pro
Port Group : PG_VLAN20
VLAN ID : 20
VM-PEDA
Windows 10 Pro
Port Group : PG_VLAN30
VLAN ID : 30
VM-ELEVE
Windows 11 Pro
Port Group : PG_VLAN40
VLAN ID : 40
⚠️ Point critique : le VLAN ID dans ESXi doit correspondre exactement à celui configuré dans le Sophos et le switch Zyxel. Une erreur à un seul endroit suffit à empêcher la VM d'arriver dans le bon réseau.
vmnic0 en TRUNK vSwitch0 · 802.1Q Mgmt 192.168.10.119
09 / Politique Firewall

Qui peut parler
à qui ?

Principe : autoriser le nécessaire, bloquer les communications inutiles. Le détail des règles est repris dans le dossier.
SRC → DST
🛠️ IT
💼 ADMIN
📚 PEDA
🎒 ELEVE
🌐 WAN
🛠️ IT
✓ ALLOW
✓ ALLOW
✓ ALLOW
✓ ALLOW
💼 ADMIN
✗ DROP
✗ DROP
✗ DROP
✓ ALLOW
📚 PEDA
✗ DROP
✗ DROP
✗ DROP
✓ ALLOW
🎒 ELEVE
✗ DROP
✗ DROP
✗ DROP
⚠ LIMITÉ
DNS/HTTP/HTTPS/ICMP
IT = administre VLANs utilisateurs isolés entre eux ELEVE = accès limité 📋 Tout est journalisé · Logs Sophos
10 / Tests & Validation

Méthodologie
de validation

🔬 PROTOCOLE PAR PROFIL
1️⃣ ipconfig — Vérifier IP DHCP dans le bon /24 DHCP
2️⃣ ping passerelle — 192.168.10.254 (LAN IT) ou 192.168.X.1 (VLANs) GW
3️⃣ ping 8.8.8.8 + navigation web NET
4️⃣ ping inter-VLAN — Vérifier isolation ISO
5️⃣ logs Sophos — Confirmation des blocages LOG
🎯 VLAN TESTÉS
LAN IT
192.168.10.0/24
PC LABO → 192.168.10.51
VLAN 20
192.168.20.0/24
VM-ADMIN (Win10)
VLAN 30
192.168.30.0/24
VM-PEDA (Win10)
VLAN 40
192.168.40.0/24
VM-ELEVE (Win11)
🧪 PRINCIPE
Même protocole sur chaque profil pour comparer les résultats proprement : IP reçue, passerelle, Internet, isolation, puis logs Sophos.
11 / Tests par profil

Les tests confirment
l'isolation des profils

🎒
VLAN 40
ELEVE
DHCP · 192.168.40.x
Passerelle · .40.1
Internet · DNS/HTTP/HTTPS
Ping VLAN 20 · bloqué
Ping VLAN 30 · bloqué
💼
VLAN 20
ADMIN
DHCP · 192.168.20.x
Passerelle · .20.1
Internet · standard
Ping VLAN 30 · bloqué
Ping VLAN 40 · bloqué
📚
VLAN 30
PEDA
DHCP · 192.168.30.x
Passerelle · .30.1
Internet · standard
Ping VLAN 20 · bloqué
Ping VLAN 40 · bloqué
VM-ELEVE ping bloqué — VLAN Élèves
Capture clé · VM-ELEVE
Capture clé : le VLAN Élèves ne peut pas joindre les autres VLANs. Le blocage est vérifié dans les logs Sophos.
🛠️ LAN IT : réseau d'administration. Accès aux VLANs via la règle IT_TO_INTERNAL.
Conclusion : les VLANs ADMIN, PEDA et ELEVE sont mutuellement isolés. Tous les blocages sont confirmés dans les logs Sophos.
11b / Les 3 VMs créées
VM ADMIN — VLAN 20
VM PEDA — VLAN 30
VM ÉLÈVES — VLAN 40
VLAN 20 · ADMIN · 192.168.20.x
VLAN 30 · PEDA · 192.168.30.x
VLAN 40 · ÉLÈVES · 192.168.40.x
12 / Résultats

Partie réseau
validée

DHCP fonctionnel
Tous les VLANs distribuent une IP
Accès Internet fonctionnel
Selon les règles prévues
Segmentation VLANs
VLAN 20 / 30 / 40 opérationnels
Isolation des profils
Confirmée par les tests de ping et les logs Sophos
Journalisation
Logs Sophos centralisés
Filtrage web avancé
Non démontré complètement à cause de la licence Sophos
À retenir : la partie réseau est validée. Le seul point non démontré complètement concerne le filtrage web par catégorie, lié à l'absence de licence Sophos commerciale active — pas à la segmentation.
13 / Retours d'Expérience

Ce qui m'a fait
progresser

🔌 ACCESS vs TRUNK J'ai dû bien comprendre la différence entre un port pour un poste et un port qui transporte plusieurs VLANs.
🧱 Sophos & sous-interfaces Chaque VLAN devait avoir sa passerelle, sa zone et son DHCP.
💾 VMware ESXi Les Port Groups devaient correspondre exactement aux VLANs configurés sur le switch et le Sophos.
📋 Règles firewall J'ai appris l'importance de l'ordre des règles : le Sophos lit de haut en bas.
💡
Ce que je retiens surtout : un réseau fonctionne seulement si tous les équipements sont cohérents entre eux — firewall, switch et hyperviseur doivent être configurés dans la même logique.
À retenir

5 idées clés
en synthèse

1
Le Sophos contrôle les flux.
2
Les VLANs séparent les profils.
3
Le Zyxel transporte les VLANs.
4
ESXi simule les postes utilisateurs.
5
Les tests confirment l'isolation.
14 / Conclusion & Perspectives

Bilan & évolutions
possibles

🎯
OBJECTIF PRINCIPAL ATTEINT
Le laboratoire sépare les profils utilisateurs, contrôle les accès avec le Sophos et valide le fonctionnement par des tests.
✅ ACQUIS DU PROJET
Architecture VLAN complète 4 réseaux distincts, routage inter-VLAN par le Sophos
Isolation des profils ADMIN, PEDA, ELEVE mutuellement bloqués
Accès Internet encadré par profil Services autorisés selon la zone
🚀 PERSPECTIVES
VPN Administration à distance sécurisée
RADIUS Authentification réseau
Supervision Suivi de l'état de l'infrastructure
🛡️
Présentation terminée
Merci pour
votre attention
// Questions ? //
STRUELENS NICOLAS IFAPME · Administrateur Réseaux & Systèmes · 2025–2026
🛡️ Sophos XG106 🔀 VLAN 💾 VMware ESXi 8 🔌 Zyxel GS1915EP
Maître de stage
Van Schooten Yannick
Multimedian — IT & networks solutions
SESSION QUESTIONS / RÉPONSES
Galerie du laboratoire · TFE Struelens Nicolas
01/15
MATÉRIELSophos XG106 — Pare-feu central du laboratoire
MATÉRIELBox Proximus — Connexion Internet (WAN)
MATÉRIELSwitch Zyxel GS1915-8EP — Transport des VLANs (TRUNK)
MATÉRIELDell PowerEdge R430 — Hyperviseur VMware ESXi 8
SOPHOSSophos Firewall — Page de connexion sécurisée
SOPHOSInterfaces réseau — Port1 LAN / Port2 WAN
SOPHOSRègles de pare-feu — Isolation entre les zones (ADMIN / PEDA / ELEVE)
SOPHOSVisionneuse de journaux — Blocages ICMP entre VLANs confirmés
SWITCHZyxel — Configuration des ports ACCESS & TRUNK (802.1Q)
VSPHEREvSphere — Vue d'ensemble de l'hyperviseur (Dell R430)
VSPHERECommutateurs virtuels — VLAN 20 / 30 / 40 séparés
VSPHEREPort Groups VLAN — Vue détaillée des associations VM ↔ VLAN
VMVM ADMIN — Bureau actif, accès Internet et site IFAPME
VMVM PEDA — Multimedian accessible, partage pédagogique
VMVM ÉLÈVE — Microsoft 365 OK, services autorisés uniquement
EN ATTENTE DE VOS QUESTIONS · Galerie en lecture continue