Laboratoire - VLAN

Contexte des VLAN :

VLAN 10: Réseau Étudiants (192.168.10.0/24)
VLAN 20: Réseau Professeurs (192.168.20.0/24)
VLAN 99: VLAN de Gestion (192.168.99.0/24)

Chaque VLAN dispose d’un serveur DHCP dédié directement sur le MikroTik.

Schéma :

[Ordinateur étudiant]                   [Ordinateur professeur]
 192.168.10.100 (DHCP)                    192.168.20.100 (DHCP)
          | (untagged VLAN10)                      | (untagged VLAN20)
          |                                       |
Port2 (untagged VLAN10)               Port3 (untagged VLAN20)
                  \                        /
                   \                      /
            MikroTik RouterOS v7 (Bridge VLAN Filtering activé)
                                |
                      Port4 (Tagged VLAN 10,20,99)
                                |
                       Switch administrable

Configuration sous RouterOS v7 :

1. Créer un bridge et activer VLAN Filtering :

/interface bridge
add name=bridge-vlan vlan-filtering=yes

2. Ajouter les ports physiques au bridge :

/interface bridge port
add bridge=bridge-vlan interface=ether2 pvid=10
add bridge=bridge-vlan interface=ether3 pvid=20
add bridge=bridge-vlan interface=ether4

pvid= spécifie le VLAN ID par défaut appliqué sur un port untagged.

3. Définir explicitement les VLAN autorisés sur chaque port : :

/interface bridge vlan
add bridge=bridge-vlan tagged=ether4,bridge-vlan untagged=ether2 vlan-ids=10
add bridge=bridge-vlan tagged=ether4,bridge-vlan untagged=ether3 vlan-ids=20
add bridge=bridge-vlan tagged=ether4,bridge-vlan vlan-ids=99

4. Ajouter des interfaces VLAN au bridge pour permettre le routage entre VLAN :

/interface vlan
add interface=bridge-vlan name=vlan10 vlan-id=10
add interface=bridge-vlan name=vlan20 vlan-id=20
add interface=bridge-vlan name=vlan99 vlan-id=99

5. Ajout des interfaces VLAN pour le routage et DHCP :

/ip address
add address=192.168.10.254/24 interface=vlan10
add address=192.168.20.254/24 interface=vlan20
add address=192.168.99.254/24 interface=vlan99

Les adresses x.x.x.254 serviront de passerelles (gateways) pour chaque VLAN.

6. Configuration des serveurs DHCP intégrés pour chaque VLAN :

/ip pool
add name=pool-vlan10 ranges=192.168.10.100-192.168.10.200
add name=pool-vlan20 ranges=192.168.20.100-192.168.20.200
add name=pool-vlan99 ranges=192.168.99.100-192.168.99.200

/ip dhcp-server
add name=dhcp-vlan10 interface=vlan10 address-pool=pool-vlan10 lease-time=8h disabled=no
add name=dhcp-vlan20 interface=vlan20 address-pool=pool-vlan20 lease-time=8h disabled=no
add name=dhcp-vlan99 interface=vlan99 address-pool=pool-vlan99 lease-time=8h disabled=no

/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.254 dns-server=8.8.8.8,8.8.4.4
add address=192.168.20.0/24 gateway=192.168.20.254 dns-server=8.8.8.8,8.8.4.4
add address=192.168.99.0/24 gateway=192.168.99.254 dns-server=8.8.8.8,8.8.4.4

Vérification inter-VLAN :

Vérification du fonctionnement une fois la configuration terminée :

L'ordinateur étudiant branché sur le port Ethernet 2 reçoit automatiquement une adresse IP en DHCP, comme 192.168.10.100, avec passerelle 192.168.10.254.
L'ordinateur professeur sur Ethernet 3 obtient une IP du réseau professeurs (ex. : 192.168.20.100) avec passerelle 192.168.20.254.
L'ordinateur étudiant communique vers professeur via le routeur.
La communication inter-VLAN passe nécessairement par la passerelle (le routeur), permettant un contrôle précis du trafic par des règles de firewall si nécessaire.

Exemple de communication inter-VLAN :

Si l’ordinateur étudiant (192.168.10.100) veut communiquer avec l’ordinateur professeur (192.168.20.100) :

Le paquet part de 192.168.10.100 vers la passerelle 192.168.10.254.
Le routeur reçoit et route le paquet vers le VLAN20, interface vlan20.
Le paquet est ensuite livré à l'ordinateur professeur via Ethernet 3.

Points importants à retenir :

Un port untagged reçoit uniquement un VLAN sans tags visibles par l’appareil connecté.
Un port tagged transporte plusieurs VLAN avec tags visibles pour identifier clairement chaque trafic.
RouterOS permet facilement d’intégrer un serveur DHCP par VLAN.
Le routage inter-VLAN se fait directement via le routeur grâce à l'assignation d'adresses IP aux interfaces VLAN.

Last modified: 26 May 2025