Je vais changer de routeur, j'ai actuellement un switch cisco qui fait du routage avec des acl.
Je vais migrer vers un fortigate 80  
J'aurais aimé trouver un outil pour inventorier les ports ouverts/fermés entre chaque vlan, genre script nmap. Mais comment faire le serveur qui écoute sur les ports et se balade sur tous les vlan ?

tu prends tes ACL et tu regardes ?

y en a 1500 lignes...

Tu script un bout de code qui parse les acl de ton routeur genre :
 
lecture acl routeur :
acl_name
 seq 1 permit <protocole> <ip_src> <ip_dest> <port_dest>
 
vers  
 
config firewall policy
    edit xx
        set name "acl_name"
        set srcintf "<src_intf_vlan>"
        set dstintf "<dst_intf_vlan>"
        set srcaddr "<ip_src>"
        set dstaddr "<ip_dest>"
        set service "<port_dest>"
 
etc, bref tu as l'idée.. ;-)
 
langage de templating : https://jinja.palletsprojects.com/en/3.1.x/
Un des modules dispo qui peut parser des commandes Cisco du type : show ip access-list : https://github.com/google/textfsm
Utilisable avec Python ou Ansible si jamais.
 
Sinon, faut faire à la main.. :-). Je conseil la piste que je viens de t'indiquer, même si cela te prendra à comprendre les concepts etc.. mais c'est la porte ouverte à l'automation, surtout pour un truc où tu dois te taper 1500+ de lignes à lire et à reporter dans un tout autre format..
 

+1000

j'en profite pour faire le grand ménage et ajouter de la rigueur  sur un routeur géré par 5 personnes qui ne sont pas du métier, moi le premier.

tu fermes tout et tu n'ouvres que les ports pour lesquels les gens gueulent  

ca va finir comme ca...

Déjà tu peux pas analyser aujourd'hui le trafic qui passe pour recréer que ce qui est nécessaire ?

Si, c'est ce que je veux faire, une photo avant la migration pour voir ce qui est ouvert.
Y a il un outil pour faire un scan d'un vlan à un autre pour faire un tableau récapitulatif