420-2Q5-AA - Réseaux Locaux Help

Solutions

1️⃣ Création du bridge principal avec filtrage VLAN

/interface bridge add name=bridge1 vlan-filtering=yes comment="Bridge pour tous les VLANs"

2️⃣ Création des interfaces VLAN sur le bridge

/interface vlan add name=vlan101 interface=bridge1 vlan-id=101 comment="VLAN Administration" add name=vlan102 interface=bridge1 vlan-id=102 comment="VLAN Employés" add name=vlan103 interface=bridge1 vlan-id=103 comment="VLAN Invités"

3️⃣ Attribution des adresses IP aux passerelles de chaque VLAN

/ip address add address=10.10.101.1/24 interface=vlan101 comment="Passerelle VLAN 101" add address=172.16.102.1/24 interface=vlan102 comment="Passerelle VLAN 102" add address=10.10.103.1/24 interface=vlan103 comment="Passerelle VLAN 103"

4️⃣ Configuration des ports en Access et Trunk

# Trunk vers switch managé (tagged uniquement, optionnel) /interface bridge port add bridge=bridge1 interface=ether1 frame-types=admit-only-vlan-tagged comment="Trunk VLANs 101-103" # Access ports (untagged) avec PVID add bridge=bridge1 interface=ether2 pvid=101 frame-types=admit-only-untagged-and-priority-tagged comment="Access VLAN 101" add bridge=bridge1 interface=ether3 pvid=102 frame-types=admit-only-untagged-and-priority-tagged comment="Access VLAN 102" add bridge=bridge1 interface=ether4 pvid=103 frame-types=admit-only-untagged-and-priority-tagged comment="Access VLAN 103"

5️⃣ Définition des VLANs sur le bridge

/interface bridge vlan add bridge=bridge1 tagged=ether1 vlan-ids=101,102,103 add bridge=bridge1 untagged=ether2 vlan-ids=101 add bridge=bridge1 untagged=ether3 vlan-ids=102 add bridge=bridge1 untagged=ether4 vlan-ids=103

6️⃣ DHCP pour le VLAN Invités (Optionnel)

/ip pool add name=dhcp_guest_pool ranges=10.10.103.10-10.10.103.254 comment="Pool DHCP VLAN 103" /ip dhcp-server add name=dhcp_guest interface=vlan103 address-pool=dhcp_guest_pool lease-time=1h disabled=no comment="DHCP VLAN Invités" /ip dhcp-server network add address=10.10.103.0/24 gateway=10.10.103.1 comment="Network DHCP VLAN 103"

7️⃣ Firewall : isolation du VLAN Invités et bloc DNS interne

/ip firewall filter # Bloquer DNS (UDP/53) vers le VLAN Administration add chain=forward src-address=10.10.103.0/24 dst-address=10.10.101.0/24 protocol=udp dst-port=53 action=drop comment="Bloquer DNS vers VLAN 101" # Bloquer tout trafic guest → employés add chain=forward src-address=10.10.103.0/24 dst-address=172.16.102.0/24 action=drop comment="Bloquer guest vers employés" # Bloquer employés → guest add chain=forward src-address=172.16.102.0/24 dst-address=10.10.103.0/24 action=drop comment="Bloquer employés vers guest" # Bloquer admin → guest add chain=forward src-address=10.10.101.0/24 dst-address=10.10.103.0/24 action=drop comment="Bloquer admin vers guest"

8️⃣ NAT pour permettre l'accès Internet au VLAN Invités

/ip firewall nat add chain=srcnat src-address=10.10.103.0/24 action=masquerade comment="NAT Internet VLAN 103"

9️⃣Tester le ping

  • VLAN 101 ↔︎ 102 (réussi)

  • VLAN 103 → 101/102 (échec)

  • VLAN 103 → Internet (réussi)

Last modified: 26 May 2025
Sommatif : Configuration de VLANs et Firewall - 30% De votre session.Laboratoire - Firewall