Laboratoire VLAN sur MikroTik RouterOS 7
📌 Objectif pédagogique: Comprendre, configurer et tester le fonctionnement des VLANs sur un routeur MikroTik en environnement réel.
1. Introduction aux VLANs
Qu'est-ce qu'un VLAN ?
Un VLAN (Virtual Local Area Network) est un réseau logique qui permet de segmenter un réseau physique en plusieurs sous-réseaux indépendants. Il fonctionne au niveau 2 (liaison de données) du modèle OSI.
📌 Pourquoi utilise-t-on des VLANs ?
Isolation des réseaux: Séparer les différents services (ex : administration, utilisateurs, invités) pour améliorer la sécurité.
Réduction de la congestion: En limitant le broadcast à un seul VLAN,, on améliore les performances du réseau.
Flexibilité: Les VLANs permettent de regrouper des utilisateurs logiquement, même s'ils sont physiquement éloignés.
Sécurité accrue: Un VLAN ne peut pas communiquer avec un autre VLAN sans configuration spécifique (ex : routage inter-VLAN, pare-feu).
📌 Exemple d'application
VLAN 10 - Administration (accès total aux ressources)
VLAN 20 - Employés (accès restreint)
VLAN 30 - Invités (accès uniquement à Internet)
2. Ports Tagged et Untagged
Différence entre un port "tagged" et "untagged"
Un port "untagged" (ou "access") appartient à un seul VLAN et ne marque pas les paquets.
Un port "tagged" (ou "trunk") transporte plusieurs VLANs et ajoute un identifiant VLAN (VLAN ID).
📌 Exemple pratique
ether2 (untagged VLAN 10) → Connecté à un PC de l’administration
ether3 (untagged VLAN 20) → Connecté à un PC des employés
ether4 (untagged VLAN 30) → Connecté à un PC invité
Si on avait un switch managé, on utiliserait ether1 en mode trunk (tagged) pour relier le switch et faire transiter plusieurs VLANs sur un seul câble.
3. Configuration du laboratoire
Matériel requis
Un routeur MikroTik sous RouterOS 7
Trois PC ou machines virtuelles
Câbles Ethernet
Topologie utilisée
VLAN | Nom | ID | Sous-réseau | Port affecté |
|---|---|---|---|---|
1 | VLAN_Admin | 10 | 192.168.10.0/24 | ether2 |
2 | VLAN_Users | 20 | 192.168.20.0/24 | ether3 |
3 | VLAN_Guest | 30 | 192.168.30.0/24 | ether4 |
4. Configuration du MikroTik
Étape 1 : Création d'un Bridge
Étape 2 : Ajout des VLANs
Étape 3 : Attribution des adresses IP
Étape 4 : Configuration des ports Access (Untagged)
5. Simulation du VLAN Invité avec Restrictions
📌 Problème: Les invités ne doivent avoir accès qu’à Internet et ne doivent pas pouvoir communiquer avec les autres VLANs.
📌 Solution: Ajouter une règle de pare-feu pour bloquer la communication entre VLANs.
Ajout d'une règle de pare-feu pour isoler VLAN 30
Autoriser VLAN 30 à accéder à Internet
6. Validation du laboratoire
📌 Méthodes de vérification :
1. Vérifier les VLANs configurés
2. Vérifier les adresses IP
3. Tester l'obtention des IPs (sur un PC)
Windows:
ipconfigLinux:
ip a
4. Tester la connectivité avec PING
📌 Résultat attendu:
VLANs 10 et 20 peuvent se pinguer.
VLAN 30 ne peut pas pinguer VLAN 10 ou VLAN 20, mais a accès à Internet.
7. Conclusion
✅ L’utilité des VLANs.
✅ La configuration sur MikroTik RouterOS 7.
✅ Comment tester et sécuriser une configuration VLAN.
📌 Travail supplémentaire :
Demandez aux étudiants d’ajouter une règle permettant uniquement le DHCP dans VLAN 30 tout en bloquant le reste. 🎯