TFE · Défense
Travail de Fin d'Études · IFAPME 2025–2026
En attente du démarrage…
IFAPME
Travail de Fin d'Études · IFAPME · 2025–2026
Déploiement &
Sécurisation
d'un Réseau Scolaire
Avec Sophos XG106
Sophos XG106
Zyxel GS1915EP
VLAN
VMware ESXi 8
Laboratoire physique
Struelens Nicolas Étudiant
Administrateur Réseaux & Systèmes IFAPME · 2025–2026
Van Schooten Yannick Maître de stage
SOPHOS XG106
Stage
réalisé chez
Multimedian — IT & networks solutions
01 / Contexte & Problématique

Pourquoi sécuriser
un réseau scolaire ?

IT Administration
Admin Gestion école
Pédagogique Enseignants
Élèves Postes élèves
PROBLÉMATIQUE
  • Plusieurs profils, un réseau
  • Accès à sécuriser
  • Trafic à filtrer
  • Centraliser la sécurité
RÉPONSE PROPOSÉE
  • Segmentation VLAN
  • Sophos XG106
  • Zones de sécurité
  • Tests sur VMs
02 / Objectifs du TFE

5 étapes pour
sécuriser le réseau

1
Firewall
Sophos XG106
WAN / LAN / Zones
2
VLANs
Un réseau par profil
ADMIN / PEDA / ÉLÈVE
3
Switch
Zyxel GS1915EP
ACCESS / TRUNK
4
ESXi
VMware ESXi 8
VMs de test
5
Tests
DHCP / Internet
Isolation VLAN
Objectif global
Créer un laboratoire scolaire, segmenter les profils, contrôler les flux et valider par des tests.
Fil conducteur du projet
UNE VRAIE LOGIQUE RÉSEAU SÉPARER les profils CONTRÔLER les accès VALIDER par des tests
— Chaque règle devait pouvoir être vérifiée concrètement.
03 / Architecture Réseau

Topologie globale du laboratoire

Port 7 → WAN Sophos 192.168.1.x DHCP TRUNK 802.1Q LAN IT + VLAN 20/30/40 .10.254 IT / Mgmt TRUNK INTERNET BOX PROXIMUS 192.168.1.1/24 Réseau domestique Proximus 192.168.1.0/24 SWITCH ZYXEL RDC GS1915EP Switch domestique Salon · Box PXM SOPHOS XG106 Port WAN (Port 2) 192.168.1.x · DHCP Proximus Port LAN (Port 1) 192.168.10.254/24 Passerelle LAN IT/Management SWITCH ZYXEL LAB · GS1915EP 2e étage · Liaison montante vers Sophos (TRUNK 802.1Q) PC LABO 192.168.10.51 Réseau IT / Management Administration système Accès au Sophos & ESXi DELL R430 · ESXi 8 Management : 192.168.10.119 vmnic0 : VLANs (TRUNK) Hébergement des VMs Port Groups : PG_VLAN20 / 30 / 40 VLAN 20 · ADMIN ID : 20 · 192.168.20.0/24 GW: .20.1 · DHCP: .100–.200 VM-ADMIN Windows 10 Pro IP (DHCP) : 192.168.20.x Administratif scolaire VLAN 30 · PEDA ID : 30 · 192.168.30.0/24 GW: .30.1 · DHCP: .100–.200 VM-PEDA Windows 10 Pro IP (DHCP) : 192.168.30.x Enseignants / Pédagogie VLAN 40 · ELEVE ID : 40 · 192.168.40.0/24 GW: .40.1 · DHCP: .100–.200 VM-ELEVE Windows 11 Pro IP (DHCP) : 192.168.40.x Élèves · Accès restreint
LÉGENDE Lien physique TRUNK 802.1Q VLAN 20 · ADMIN VLAN 30 · PEDA VLAN 40 · ELEVE
04 / Plan d'Adressage IP

Un sous-réseau
par profil utilisateur

Profil
VLAN
Réseau
Passerelle
DHCP
IT / MGMT
natif
192.168.10.0/24
192.168.10.254
.50 → .200
ADMIN
20
192.168.20.0/24
192.168.20.1
.100 → .200
PEDA
30
192.168.30.0/24
192.168.30.1
.100 → .200
ELEVE
40
192.168.40.0/24
192.168.40.1
.100 → .200
AVANTAGES
  • Un profil = un réseau
  • Plan IP lisible
  • Architecture évolutive
ROUTAGE
  • Passerelles sur Sophos
  • Inter-VLAN contrôlé
  • Pas d'accès direct
  • Trafic via firewall
05 / Sophos XG106

Le Sophos
au centre du labo

SOPHOS XG106 Passerelle centrale VLANS Passerelles DHCP IP par profil NAT Internet FIREWALL Règles d'accès LOGS Vérification
Interfaces
WANBox Proximus
LANIT / Management
VLAN 20 → ADMIN
VLAN 30 → PEDA
VLAN 40 → ELEVE
Il centralise les passerelles, les règles et les logs.
06 / Zones de Sécurité

Un VLAN =
une zone de sécurité

Non fiable Sensible / protégé
WAN
Internet
Non fiable
ZONE_ELEVE
VLAN 40
Restreint
ZONE_PEDA
VLAN 30
Moyen
ZONE_ADMIN
VLAN 20
Élevé
LAN IT
Port 1
Management
AVANTAGES
  • Règles plus lisibles
  • Politique par profil
  • Logs par zone
  • Architecture évolutive
PRINCIPE
  • Un profil = une zone
  • Droits différents
  • Inter-zone contrôlé
  • Sophos obligatoire
07 / Switch Zyxel

Ports ACCESS & TRUNK

PORT ACCESS
1 port = 1 VLAN Équipement final Non taggé
1 VLAN dédié — VLAN 20 / 30 / 40 selon le port
PORT TRUNK 802.1Q
1 port = plusieurs VLANs Sophos / Switch / ESXi Taggé 802.1Q
LAN IT VLAN 20 VLAN 30 VLAN 40
Port
Rôle
Mode
VLANs autorisés
PVID
P1
ESXi Dell R430
TRUNK
LAN IT + 20 / 30 / 40
1
P3
Test ADMIN
ACCESS
20
20
P4
Test PEDA
ACCESS
30
30
P5
Test ELEVE
ACCESS
40
40
P8
LAN Sophos
TRUNK
LAN IT + 20 / 30 / 40
1
PVID = VLAN appliqué aux trames non taggées
08 / Virtualisation

VMware ESXi 8 :
3 profils sur 1 serveur

1serveur physique
3VMs de test
3VLANs séparés
DELL R430 · ESXi 8 Serveur physique · hyperviseur vmnic0 · TRUNK vSwitch0 802.1Q · 3 Port Groups
VM-ADMIN
Windows 10 Pro
Port Group : PG_VLAN20
VLAN ID : 20
VM-PEDA
Windows 10 Pro
Port Group : PG_VLAN30
VLAN ID : 30
VM-ELEVE
Windows 11 Pro
Port Group : PG_VLAN40
VLAN ID : 40
Point critique : le VLAN ID doit être identique dans ESXi, Sophos et Zyxel.
vmnic0 en TRUNK vSwitch0 · 802.1Q Mgmt 192.168.10.119
09 / Politique Firewall

Qui peut parler
à qui ?

Principe : autoriser le nécessaire, bloquer le reste.
SRC → DST
IT
ADMIN
PEDA
ELEVE
WAN
IT
ALLOW
ALLOW
ALLOW
ALLOW
ADMIN
DROP
DROP
DROP
ALLOW
PEDA
DROP
DROP
DROP
ALLOW
ELEVE
DROP
DROP
DROP
LIMITÉ
Autorisé Bloqué Limité Même zone
ÉLÈVE → WAN : DNS / HTTP / HTTPS / ICMP
IT administre
VLANs isolés
ÉLÈVE limité
Logs Sophos — tous les flux sont vérifiables
10 / Tests & Validation

Méthodologie
de validation

Même méthode, résultats comparables.
5 tests par profil
1
DHCP
ipconfig
2
Passerelle
ping GW
3
Internet
ping 8.8.8.8
4
Isolation
ping inter-VLAN
5
Logs
Sophos
Profils testés
LAN IT
LAN natif
192.168.10.0/24
ADMIN
VLAN 20
192.168.20.0/24
PEDA
VLAN 30
192.168.30.0/24
ÉLÈVE
VLAN 40
192.168.40.0/24
11 / Tests par profil

Les tests confirment
l'isolation des profils

VLAN 40
ÉLÈVE
DHCP · 192.168.40.x
Passerelle · .40.1
Internet · limité
Ping VLAN 20 · bloqué
Ping VLAN 30 · bloqué
VLAN 20
ADMIN
DHCP · 192.168.20.x
Passerelle · .20.1
Internet · standard
Ping VLAN 30 · bloqué
Ping VLAN 40 · bloqué
VLAN 30
PEDA
DHCP · 192.168.30.x
Passerelle · .30.1
Internet · standard
Ping VLAN 20 · bloqué
Ping VLAN 40 · bloqué
Invite de commandes - ping VLAN 20 et 30 depuis la VM Eleve, bloques
Preuve · VM-ÉLÈVE
Ping VLAN 20 · bloqué
Ping VLAN 30 · bloqué
Logs Sophos · blocage confirmé
LAN IT · administration autorisée
Conclusion : les profils sont isolés et les blocages sont vérifiés dans Sophos.
11b / Les 3 VMs créées
VM ADMIN — VLAN 20
VM PEDA — VLAN 30
VM ÉLÈVES — VLAN 40
VLAN 20 · ADMIN · 192.168.20.x
VLAN 30 · PEDA · 192.168.30.x
VLAN 40 · ÉLÈVES · 192.168.40.x
12 / Résultats

Partie réseau
validée

Validé
DHCP fonctionnel
Tous les VLANs distribuent une IP
Segmentation VLANs
VLAN 20 / 30 / 40 opérationnels
Accès Internet fonctionnel
Selon les règles prévues
Isolation des profils
Confirmée par les tests de ping & logs Sophos
Journalisation
Logs Sophos centralisés
Point limité
Filtrage web avancé
Licence Sophos commerciale non active
À retenir : la segmentation réseau est validée. Le filtrage web avancé reste limité par la licence Sophos.
13 / Retours d'Expérience

Ce qui m'a fait
progresser

Cohérence
Réseau
Sophos · Zyxel · ESXi
ACCESS / TRUNK
Poste final ≠ lien réseau
SOPHOS
Passerelle · Zone · DHCP par VLAN
ESXi
Port Group = bon VLAN ID
FIREWALL
L'ordre des règles compte
Ce que je retiens : tout doit être cohérent de bout en bout.
À retenir

5 idées clés
en synthèse

1
Le Sophos contrôle les flux.
2
Les VLANs séparent les profils.
3
Le switch Zyxel transporte les VLANs.
4
ESXi simule les postes utilisateurs.
5
Les tests confirment l'isolation.
14 / Conclusion & Perspectives

Bilan & évolutions
possibles

Objectif atteint
Séparer les profils · Contrôler les accès · Valider par les tests
Aujourd'hui validé
Segmentation VLAN
4 réseaux distincts
Isolation des profils
ADMIN · PEDA · ÉLÈVE séparés
Accès Internet contrôlé
Règles par zone
Demain possible
VPN
Administration distante sécurisée
RADIUS
Authentification centralisée
Supervision
Suivi de l'infrastructure
Une base réseau sécurisée, testée et évolutive.
Présentation terminée
Merci pour
votre attention
// Questions ? //
STRUELENS NICOLAS IFAPME · Administrateur Réseaux & Systèmes · 2025–2026
Sophos XG106 VLAN VMware ESXi 8 Zyxel GS1915EP
Maître de stage
Van Schooten Yannick
Multimedian — IT & networks solutions
SESSION QUESTIONS / RÉPONSES
Galerie du laboratoire · TFE Struelens Nicolas
01/15
MATÉRIELSophos XG106 — Pare-feu central du laboratoire
MATÉRIELBox Proximus — Connexion Internet (WAN)
MATÉRIELSwitch Zyxel GS1915-8EP — Transport des VLANs (TRUNK)
MATÉRIELDell PowerEdge R430 — Hyperviseur VMware ESXi 8
SOPHOSSophos Firewall — Page de connexion sécurisée
SOPHOSInterfaces réseau — Port1 LAN / Port2 WAN
SOPHOSRègles de pare-feu — Isolation entre les zones (ADMIN / PEDA / ELEVE)
SOPHOSVisionneuse de journaux — Blocages ICMP entre VLANs confirmés
SWITCHZyxel — Configuration des ports ACCESS & TRUNK (802.1Q)
VSPHEREvSphere — Vue d'ensemble de l'hyperviseur (Dell R430)
VSPHERECommutateurs virtuels — VLAN 20 / 30 / 40 séparés
VSPHEREPort Groups VLAN — Vue détaillée des associations VM ↔ VLAN
VMVM ADMIN — Bureau actif, accès Internet et site IFAPME
VMVM PEDA — Multimedian accessible, partage pédagogique
VMVM ÉLÈVE — Microsoft 365 OK, services autorisés uniquement