REGISTRE VLAN - Site Vonnas¶

Derniere MAJ : 2026-02-11 | Source : Config Fortigate 60F + schema topologie usine Equipement de routage : Fortigate FG-60F (passerelle .254 sur chaque VLAN)

1. VLANs de production¶

VLAN ID	Nom Fortigate	Subnet	Masque	Passerelle	Zone	Description	Statut
1	LAN_ADMIN	128.55.55.0/24	255.255.255.0	128.55.55.250	Bureaux	VLAN par defaut - postes admin, imprimantes, video, Raspberry Pi	Actif
10	LAN_PC	10.1.10.0/24	255.255.255.0	10.1.10.254	Bureaux	PROJET migration postes depuis LAN_ADMIN	Projet
11	LAN_VISITEUR	192.168.0.0/24	255.255.255.0	192.168.0.254	Bureaux	Wifi visiteurs (isole)	Actif
50	LAN_VOIP	10.1.50.0/24	255.255.255.0	10.1.50.254	Bureaux	SBC 3CX + telephones IP	Actif
110	LAN_INDUS_GEST	10.1.1.0/24	255.255.255.0	10.1.1.254	Usine	Gestion IT usine : serveurs, postes, imprimantes, wifi, switches	Actif
120	LAN_INDUS_AUTO	10.1.2.0/24	255.255.255.0	10.1.2.254	Usine	Reseau OT : postes conduite Nutriciel, Moxa NPort, switches	Actif
200	AZURE	10.10.200.0/24	255.255.255.0	10.10.200.254	Cloud	VPN site-to-site Azure - machine AVD	Actif
230	LAN_SERVEUR	10.1.230.0/24	255.255.255.0	10.1.230.254	Bureaux	VMs de production, hyperviseurs, NAS, backup	Actif
240	LAN_BACKUP	10.1.240.0/24	255.255.255.0	10.1.240.254	Bureaux	PROJET isolation serveur sauvegarde	Projet
250	LAN_MGMT	10.1.250.0/24	255.255.255.0	10.1.250.254	Bureaux	Management : iLO, SAN, switches, UPS, bornes wifi	Actif
999	VLAN999	-	-	-	-	Parking VLAN (ports non assignes)	Actif

2. Liens WAN¶

VLAN ID	Nom Fortigate	Subnet	Passerelle FG	Type	Operateur	Statut
23	WAN_FIBRE	185.19.240.246/31	185.19.240.247	Fibre	A COMPLETER	Principal
20	WAN_Backup-4G	192.168.1.0/24	192.168.1.254	4G	A COMPLETER	Backup
21	NET_SYNCHRO	89.90.120.108/31	89.90.120.109	ADSL	A COMPLETER	Synchro

3. VLANs FortiLink (internes Fortinet)¶

VLAN ID	Nom	Subnet	Passerelle	Usage
4088	nac_segment	10.255.13.0/24	10.255.13.1	NAC segmentation automatique
4092	rspan	10.255.12.0/24	10.255.12.1	RSPAN mirroring
4093	quarantine	10.255.11.0/24	10.255.11.1	Quarantaine (Fortinet Security Fabric)

4. Matrice VLAN ↔ Equipements¶

Bureaux¶

Equipement	IP Mgmt	V1	V10	V11	V50	V230	V240	V250	Trunk
Fortigate FG-60F	10.1.250.254	x	x	x	x	x	x	x	Tous
FortiSwitch S124E BAIE_ADMINISTRATION	10.255.1.3	x	x	x	x	x	x	x	Tous (FortiLink)
FortiSwitch S148F BAIE_BUREAU_48POE	10.255.1.6	x	-	x	x	-	-	x	OUI (PoE 48p)
FortiSwitch S124F BAIE_BUREAU_24	10.255.1.4	x	-	-	x	-	-	-	Non (quasi vierge, port6=INDUS_GEST, port22=VOIP)
FortiSwitch S108F-POE BUR_QUALITE_8P	10.255.1.5	x	-	-	x	-	-	-	Non (8p _default+VOIP)
D-Link DGS-3120	128.55.55.249	x	-	-	-	-	-	-	Non

Usine - Coeur Fortinet¶

Equipement	Emplacement	V110	V120	V230	V250	Trunk
FortiSwitch S124	Salle Serveur Gestion	x	x	x	x	Tous VLANs
FortiSwitch S108F	Charpente Dosage	x	x	x	x	Tous VLANs
Fortigate FG-60F	Charpente Dosage	x	x	x	x	Tous VLANs

Usine - Switches Gestion (VLAN 110 uniquement)¶

Equipement	IP (.1.x)	Emplacement	V110
HPE 1920s JL381A	.214	Salle Serveurs	x
HPE 1920s JL382A	.215	Poste 3	x
HPE 1920s JL382A	.216	Charpente Dosage	x
HP 1910	.203	Magasin	x
HP 1910	.204	Poste 2	x
HP 1910	.205	Poste 1	x
HP 1910	.206	Presses	x
HP 1910	.208	Ensachage	x
HP 1910	.209	Reception Nord	x
HP 1910	.210	Maintenance	x
HP 1910	.211	Salle controle	x
HP 1910	.212	Mash	x

Usine - Switches Industriel (VLAN 120 uniquement)¶

Equipement	IP (.2.x)	Emplacement	V120	Role
HP 1910	.201	Salle Serveur Indus	x	Racine
HP 1910	.202	Poste 3	x	Hub nord
HP 1910	.203	Magasin	x	Feuille
HP 1910	.204	Poste 2	x	Feuille
HP 1910	.205	Poste 1	x	Feuille
HP 1910	.206	Presses	x	Feuille
HP 1910	.207	Charpente Dosage	x	Hub sud
HP 1910	.208	Ensachage	x	Feuille
HP 1910	.209	Reception Nord	x	Feuille
HP 1910	.210	Maintenance	x	Feuille
HP 1910	.211	Salle controle	x	Feuille
HP 1910	.212	Mash	x	Feuille

5. Liens trunk¶

De	Vers	Type	VLANs transportes
Fortigate FG-60F	FortiSwitch S124E BAIE_ADMINISTRATION	FortiLink	Tous VLANs (FortiLink auto)
BAIE_ADMINISTRATION	FortiSwitch S148F BAIE_BUREAU_48POE	FortiLink	Tous VLANs (FortiLink auto, trunk-id 5)
BAIE_ADMINISTRATION	FortiSwitch S108F BAIE_INDUS	FortiLink	Tous VLANs (FortiLink auto, trunk-id 4)
BAIE_ADMINISTRATION (port5-8)	soresx1	LACP 4x1G	Trunk_ESXI1 (tous VLANs)
BAIE_ADMINISTRATION (port9-12)	soresx2	LACP 4x1G	Trunk_ESXI2 (tous VLANs)
BAIE_ADMINISTRATION (port21-22)	sw_ADMIN (ancien trunk)	LACP 2x1G	V1 (trunk admin legacy)
FortiSwitch S124E BAIE_ADMINISTRATION	FortiSwitch S108F BAIE_INDUS	Fibre 1Gb	Tous VLANs (FortiLink)
FortiSwitch S108F BAIE_INDUS	Fortigate FG-60F (usine)	Trunk	Tous VLANs
FortiSwitch S124 (G0/25)	HPE 1920s .214	Fibre 1Gb	V110
FortiSwitch S124 (G0/17)	HP 1910 .201 Indus	Cuivre 1Gb	V120
FortiSwitch S108F (G0/48-52)	HPE 1920s .215	Cuivre	V110
Fortigate FG-60F (G0/49)	HPE 1920s .216	Cuivre	V110
Fortigate FG-60F (G0/14)	HP 1910 .207 Indus	Cuivre	V120

6. Segmentation et securite¶

Isolation inter-VLAN¶

Flux	VLAN source	VLAN dest	Autorise	Notes
Postes → Serveurs	V1 (ADMIN)	V230 (SERVEUR)	OUI	Auth AD, acces fichiers/apps
Postes → Internet	V1 (ADMIN)	V23 (WAN)	OUI	Via Fortigate
Visiteurs → Internet	V11 (VISITEUR)	V23 (WAN)	OUI	Isole du reste
Visiteurs → LAN	V11 (VISITEUR)	V1/V230/V250	NON	Isolation requise
Usine Gest → Serveurs	V110 (INDUS_GEST)	V230 (SERVEUR)	OUI	VMs usine sur soresxback
Usine OT → Usine Gest	V120 (INDUS_AUTO)	V110 (INDUS_GEST)	OUI	Postes conduite → ERP Nutriciel
Usine OT → Internet	V120 (INDUS_AUTO)	V23 (WAN)	OUI	LAN2WAN_INDUS (filtrage strict) + automate Kemin eWon (ALL - risque)
VoIP → Internet	V50 (VOIP)	V23 (WAN)	OUI	SBC 3CX
Azure VPN	V200 (AZURE)	V230 (SERVEUR)	OUI	Machine AVD
Management → tout	V250 (MGMT)	tous	OUI	Administration

Les regles exactes sont documentees dans regles-firewall-fortigate-60f.md (47 regles). Attention : la regle LAN_TO_LAN autorise TOUT le trafic entre 7 zones LAN, rendant la segmentation ineffective.

Alertes segmentation¶

#	Constat	Risque	Action
1	128.55.55.0 (V1) = IP publique en interne	Conflit routage possible	Evaluer migration vers RFC 1918 (10.x ou 172.16.x)
2	Cameras Dahua + GE Security sur V1 (ADMIN)	Video + postes sur meme VLAN	Creer un VLAN dedie securite/video
3	V120 (OT) → Internet : OUVERT	Automate Kemin eWon avec acces ALL vers WAN	Restreindre aux IPs/ports teleassistance
4	LAN_TO_LAN : ALL ↔ ALL	Regle permissive annule la segmentation VLAN	Remplacer par regles specifiques par zone
5	Regle TEST active	LAN_ADMIN_TO_INDUS_TEST : ALL (5.19 GB)	Supprimer - contourne la segmentation IT/OT
4	Pas de VLAN dedie imprimantes	Imprimantes sur V1 et V110	Evaluer VLAN imprimantes si besoin

7. Statistiques¶

Metrique	Valeur
VLANs de production	11 (dont 2 projets)
Liens WAN	3 (Fibre + 4G + ADSL)
VLANs FortiLink	3 (internes)
Total VLANs configures	17
Equipement de routage inter-VLAN	Fortigate FG-60F
Switches bureaux (multi-VLAN/trunk)	5 FortiSwitch (BAIE_ADMIN + BAIE_BUREAU_48POE + BAIE_BUREAU_24 + BUR_QUALITE_8P + BAIE_INDUS) + 1 DGS-3120
Switches usine coeur (trunk)	3 (S124 + S108F + FG-60F)
Switches usine V110 only	12 (3 HPE 1920s + 9 HP 1910)
Switches usine V120 only	12 HP 1910

8. Informations manquantes¶

~~Regles firewall inter-VLAN~~ → 47 regles documentees (matrice-flux-vonnas.md)
~~VLANs portes par les switches bureaux~~ → FortiSwitch configs extraites (BAIE_ADMIN + BAIE_BUREAU_48POE)
VLANs portes par le D-Link DGS-3120 (config switch)
Operateurs WAN (Fibre, 4G, ADSL)
~~Configs FortiSwitch~~ → 5/5 collectees (BAIE_ADMIN, BUREAU_48POE, INDUS, BUREAU_24, QUALITE_8P)
~~Acces OT (V120) vers Internet~~ → Autorise (LAN2WAN_INDUS + eWon ALL)

Voir aussi¶

plan-adressage-ip-vonnas - Plan d'adressage IP detaille par subnet
topologie-reseau-vonnas - Topologie physique et logique du reseau
regles-firewall-fortigate-60f - Regles firewall et matrice de segmentation inter-VLAN

Document genere par NetMapper (A3) le 2026-02-11 | Inclus dans le Pack Panne