Présentation du projet – BTS SIO
Ce projet a été réalisé dans le cadre de la formation BTS Services Informatiques aux Organisations, option SISR. Il a pour objectif de mettre en place une infrastructure réseau professionnelle intégrant un réseau Wi‑Fi sécurisé, segmenté et administrable, conforme aux attentes d’un environnement d’entreprise.
L’infrastructure repose sur l’utilisation d’un pare-feu OPNsense, d’un switch Cisco Catalyst 2960 et d’une borne Wi‑Fi UniFi administrée via le contrôleur UniFi Network. L’ensemble de la solution est basé sur une segmentation logique du réseau à l’aide de VLAN afin de séparer les flux et d’améliorer la sécurité.
Le besoin principal était de proposer deux réseaux Wi‑Fi distincts sur une même borne. Le premier réseau est destiné aux utilisateurs internes de l’entreprise et nécessite une authentification sécurisée via un serveur RADIUS. Le second réseau est un Wi‑Fi invité permettant uniquement l’accès à Internet, sans possibilité de communication avec le réseau interne.
Pour répondre à ce besoin, deux VLAN ont été mis en place. Le VLAN 422 correspond au Wi‑Fi interne et sert également de VLAN de management pour la borne Wi‑Fi UniFi, laquelle possède une adresse IP dans ce réseau. Le VLAN 423 est dédié aux invités et transporte uniquement le trafic des clients connectés au SSID invité. Cette séparation garantit l’isolation complète entre les utilisateurs internes et les visiteurs.
Le switch Cisco 2960 a été configuré de manière à transporter plusieurs VLAN sur un seul port physique reliant la borne Wi‑Fi. Le port concerné est configuré en mode trunk, avec le VLAN 422 défini comme VLAN natif et le VLAN 423 en VLAN taggé. Cette configuration permet à la borne de diffuser plusieurs SSID tout en associant chaque SSID à son VLAN correspondant.
Sur le pare-feu OPNsense, chaque VLAN a été créé puis associé à une interface dédiée. Un serveur DHCP est configuré sur chaque interface afin d’attribuer automatiquement des adresses IP aux clients. Des règles de pare-feu spécifiques ont été mises en place pour contrôler les flux réseau. Le VLAN invité est strictement limité aux services nécessaires à son fonctionnement, tels que le DHCP, le DNS, le NTP et l’accès à Internet. Toute tentative d’accès vers le réseau interne est bloquée.
La configuration UniFi permet de définir des réseaux Wi‑Fi associés à des VLAN spécifiques. Le SSID interne est lié au VLAN 422 et utilise une authentification RADIUS, tandis que le SSID invité est associé au VLAN 423 avec un accès Internet uniquement. La borne Wi‑Fi diffuse ainsi simultanément deux réseaux distincts, répondant aux exigences de sécurité et de séparation des usages.
Ce projet met en œuvre des compétences clés du référentiel BTS SIO, notamment la segmentation réseau, la configuration et l’administration de VLAN, la mise en œuvre de règles de sécurité sur un pare-feu, la gestion des accès Wi-Fi et l’intégration de solutions professionnelles interopérables.
La mise en place de la segmentation par VLAN permet de cloisonner les flux réseau et de limiter les risques de sécurité. Le VLAN interne est destiné aux utilisateurs autorisés et bénéficie d’un niveau de confiance plus élevé, tandis que le VLAN invité est volontairement restreint afin d’empêcher tout accès aux ressources internes. Cette logique correspond aux bonnes pratiques de sécurité réseau en entreprise.
L’utilisation d’OPNsense comme pare-feu central permet de contrôler précisément les flux entrants et sortants. Les règles appliquées sur chaque interface VLAN ont été pensées de manière progressive, en autorisant uniquement les services indispensables au fonctionnement des utilisateurs. Cette approche garantit le respect du principe de moindre privilège et facilite le diagnostic en cas de dysfonctionnement.
La solution Wi-Fi repose sur une administration centralisée via UniFi Network, ce qui permet une gestion simplifiée des bornes, des réseaux sans fil et des politiques de sécurité. L’association de chaque SSID à un VLAN spécifique démontre la capacité à intégrer une solution Wi-Fi professionnelle dans une infrastructure existante. L’authentification RADIUS mise en place pour le réseau interne renforce la sécurité et permet un contrôle individualisé des accès utilisateurs.
Ce projet illustre une situation concrète rencontrée en entreprise, où il est nécessaire de fournir un accès réseau différencié selon les profils tout en garantissant la sécurité globale du système d’information. Il démontre la capacité à analyser un besoin, concevoir une architecture adaptée, la déployer techniquement et assurer son bon fonctionnement dans un contexte professionnel.