Vous êtes sur la page 1sur 31

Module- 3

Le Pontage
(Bridging)
1. Généralités
Les ponts sont des composants matériels ou logiciels qui combinent des
segments de réseau à la couche 2 (Liaison de données) du modèle
OSI. Dans le système RouterOS, les ponts sont implémentés de façon
logicielle pour combiner des interfaces séparées dans un même
réseau.
Il y a quelques années, les équipements MikroTik n’étaient capables de
faire que du pontage logiciel (software bridging). Une fois que le
pontage matériel(hardware bridging) sera disponible, il améliorera les
performances du réseau ponté et réduira la surcharge des
ressources de traitement sur les unités RouterBOARD physiques.
Un pont peut également être utilisé comme une interface de bouclage
virtuelle(virtual loopback interface) pour exécuter OSPF, MPLS ou
d'autres protocoles de routage. Cela permet aux interfaces physiques
connectées au pont d’être activées ou désactivées sans affecter le
protocole car l'interface virtuelle reste active. Ce type d'implémentation
de bouclage virtuel sera traité plus en détails dans le module sur le
Routage.
L’essentiel à savoir sur les ponts (ou bridge en Anglais) :

Les ponts sont des dispositifs d’interconnexion réseau qui
fonctionnenent à la couche 2 (Liaison de données) du modèle OSI.

Un pont est un dispositif transparent.

Il est habituellement employé pour connecter deux segments réseau.

Un pont segmente un domaine de collision en deux parties.

Les commutateurs ethernet sont des ponts qui ont plusieurs interface.
Chaque interface d’un commutateur consititue un domain de collision
pour un équipement.

Tous les hôtes (ou machines) qui sont connectés à un même pont
peuvent communiquer entre eux et partagent ainsi un même domaine
de collisions.

Figure-3.1 : Toutes les machines sont connectées à un même domaine de collisions



Tous les hôtes (ou machines) peuvent communiquer entre eux.

Actuellement, il y a deux domaines de collisions.

Figure-3.2 : Deux domaines domaines de collisions distincts connectés par un pont.



Le pontage (ou bridging en Anglais) est implémenté de façon logicielle
au sein du système RouterOS.

Les interfaces Ethernet, sans-fil, SFP et les tunnels peuvent être
ajoutées à un pont.

La configuration par défaut sur les routeur MikroTik de la gamme
SOHO(Small Office Home Office) permet d’avoir les interfaces sans-fil
(wlan1) et ether2 connectées à un même pont nommé bridge.

Les interfaces Ether2 à 5 sont combinées pour former un
commutateur logiciel. Ether 2 étant l’interface maître (master) de ce
regroupement, les interfaces ether 3 – 5 sont des esclaves(slave).
Dans cette configuration, une puce de commutation (switch chip) est
employée pour accélérer la vitesse de transmission sur les liaisons.

Il est possible de supprimer la configuration master/slave
(maître/esclave) et d’utiliser plutôt le pontage. Dans ce cas, la puce de
commutation (switch chip) ne sera pas utilisée, et il y aura une très forte
consommation de la puissance de calcul du processeur.

On peut ajouter plus de contrôle sur un pont en employant les règles de
pare-feu pour les interfaces qui appartiennent au pont en question.

Compte tenu des limites du standard IEEE802.11, les clients sans-fil
(mode: station) ne supportent pas le pontage (bridging).

RouterOS implémente plusieurs modes pour compenser ces limites.

Les Mode de fonctionnement pour les Ponts Sans-Fil (Wireless
Bridge) :

Station bridge : Liaions entre deux équipements tournant sous
RouterOS.

Pour utiliser le mode station bridge, il faut que ‘’Bridge Mode’’
soit activé sur l’équipement qui servira de point d’accès – AP(Access
Point) comme le montre la figure-3.3.

Station pseudobridge : Liaison entre un équipement tournant sous
RouterOS vers un systèmes autre que RouterOS.

Station wds (Wireless Distribution System) : Liaison entre deux
système tournant sous RouterOS.

Sous l’onglet Wireless de l’interface ‘’wlan1’’ veuillez cliquer sur le
bouton ‘’Advanced Mode’’ et vérifiez si vous avez Bridge Mode :
enable.

Figure-3.3 : Activation de ‘’Bridge Mode’’ sur l’interface AP wlan1


Pour connecter des réseaux physiques entre eux via un pont virtuel,
nous avons besoin de suivre quelques étapes:
1. Créez l'interface de pont (une interface virtuelle).
2. Configurez les fonctionnalités sur le pont.

Acheminement rapide (Fast forward, etc.)
3. Ajoutez des ports physiques au pont.
Les sections suivantes vous guideront à travers les étapes ci-dessus.

1.1.Création des Ponts


[admin@MikroTik]> interface bridge add name="LAN Bridge2"
comment="LAN2"

La nouvelle interface pontée nommée ‘’LAN Bridge2’’ est une interface


isolée qui ne possède aucune adresse IP et aucun trafic réseau n’y entre
ou n’en sort.
1.2.Acheminement rapide – Fast Forward
Dès la sortie de la version 6.39 du système RouterOS, la fonctionnalité
Fast Forward est disponible. Elle permet d’accélérer les connexions sur
un pont auquel deux ou plusieurs interfaces sont attachées.
Pour activer la fonctionnalité Fast Forward sur une nouvelle interface
pontée, employez les commandes suivantes :

>interface bridge add name="LAN Bridge2" comment="LAN2"
fast-forward=yes
1.3.Ajout des interfaces physiques à un Pont
Une fois qu’une interface pont est créée, il faut lui ajouter des interfaces
physiques. Un pont consititue un domaine de diffusion (broadcast
domain).
Supposons par exemple que l’on veuille ajouter les interfaces physiques
ether2 et ether3 dans un seul domaine de diffusion (créé par le pont).
Nous devrions alors créer le pont et lui ajouter les interfaces physiques.

/interface bridge 
add name="LAN Bridge2" comment="LAN2" fast-forward=yes

/interface bridge port 
add interface=ether2 bridge="LAN Bridge2"
add interface=ether3 bridge="LAN Bridge2"
À ce stade, les hôtes connectés aux interfaces ether2 et à ether3
appartiennent au même domaine de diffusion. Après avoir été ajoutées
au pont, ces interfaces physiques fonctionnent en mode «SLAVE». Dans
Winbox, les ports s'afficheront avec un état «R» et «S», indiquant
respectivement les statuts Running et Slave.
Sur la figure de la page suivante, une interface de pont fonctionne avec
les ports Ethernet. Ether1 n'est pas membre du pont, il fonctionne donc
("R") et non en mode esclave. Ether2 et ether4 sont tous deux
connectés et membres du pont, leurs statuts sont donc tous les deux
«RS». L'interface ether3 fait partie du pont mais n'est pas connectée, elle
ne s'affiche donc que sous la forme «S». Les deux interfaces sans fil
wlan1 et wlan2 font partie du pont, donc dans cette configuration, les
hôtes sans fil et filaires font partie du même domaine de diffusion.
1.4.Suppression des interfaces physiques d’un Pont
Pour une raison quelconque, si vous souhaitez annuler vos configurations
pour ramener le réseau dans son état initial, vous pouvez :

soit supprimer complètement l'interface pont,

soit en supprimer des interfaces individuelles.

MISE EN GARDE
Lors de la suppression d’une interface pontée (bridge), le système
RouterOS ne vous demandera pas de confirmer la suppression
même d’autres interfaces physiques lui sont rattachées.
La meilleure pratique qui est recommandée est de supprimer
d’abord chacune des interfaces physiques d’un pont (bridge) et
vous supprimerez finalement l’interface pontée elle même.
Avant toute suppression des interfaces physiques d’un pont sur un
équipement MikroTik, prenez toujours le soin de lister ces interfaces. Cela
vous permettra de bien choisir l’interface que vous devrez supprimer sur le
pont en question.
[admin@MikroTik] > /interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic, H - hw-offload
# INTERFACE BRIDGE HW PVID PRIORITY PATH-COST INTERNAL-PATH-COST HORIZON
0 I ;;; defconf
wlan1 bridge 1 0x80 10 10 none
1 I *F *D 1 0x80 10 10 none
2 I ether4 bridge yes 1 0x80 10 10 none
3 I H ether5 bridge-Hot... yes 1 0x80 10 10 none
4 I H ether7 bridge-Hot... yes 1 0x80 10 10 none
5 I H ether8 bridge-Hot... yes 1 0x80 10 10 none
6 I H ether9 bridge-Hot... yes 1 0x80 10 10 none
7 I sfp1 bridge yes 1 0x80 10 10 none
8 ether3 bridge yes 1 0x80 10 10 none
9 H ether6 bridge-Hot... yes 1 0x80 10 10 none
10 I H ether10 bridge-Hot... yes 1 0x80 10 10 none
11 D cap2 bridge 1 0x80 10 10 none

[admin@MikroTik] > /interface bridge port print number=0


1.5.Suppression d’un Pont
La suppression d’un pont est très simple mais prenez toujours le soin de
bien vérifier si vous allez supprimer le pont en question t non un autre.
Ensuite, employez l’une des commandes suivante :
/interface bridge remove "[Nom-du-Pont]"

/interface bridge remove number="[Nom-du-Pont]"

Exemple de suppression d’un pont :


/interface bridge remove BRIDGE-NEW

ou:
/interface bridge remove number=BRIDGE-NEW
1.6.Supervision d’un Pont
Pour afficher l’adresse MAC(Media Access Control) des hôtes
(machines) qui sont connectés à un pont, procédez comme suit :
A la ligne de commandes, l’affichage de l’adresse MAC(Media Access
Control) des hôtes (machines) qui sont connectés à un pont, se fait
comme suit :
[admin@MikroTik]> interface bridge host print
Flags: X - disabled, I - invalid, D - dynamic, L - local, E - external
# MAC-ADDRESS VID ON-INTERFACE BRIDGE AGE
0 D E 00:08:12:B4:00:62 ether6 bridge-HotSpot
1 D E 00:08:14:1F:34:EE ether6 bridge-HotSpot
2 D E 00:08:18:64:A9:21 ether6 bridge-HotSpot
3 D E 00:14:0D:3A:1F:BB ether6 bridge-HotSpot
4 D E 00:19:3B:95:01:40 ether6 bridge-HotSpot
5 D E 00:26:F1:D1:C5:82 ether6 bridge-HotSpot
6 D E 00:27:22:A0:8C:7C ether6 bridge-HotSpot
7 D E 00:8E:F2:FE:F5:B8 ether6 bridge-HotSpot
8 D E 00:A8:B8:A2:22:7B ether6 bridge-HotSpot
9 D E 08:10:76:01:87:50 ether6 bridge-HotSpot
Atelier Pratique (AP) – #1 : Pont

Associez-vous avec quelqu’un et créé le pontage qui est illustré par la
figure ci-après :


Sur chacun des routeurs MikroTik R1 et R2, attribuer respectivement
les adresses IP 198.168.10.2/24 et 192.168.10.4/24 à l’interface bridge.

Le PC1 aura pour adresse IP : 192.168.10.1/24.

Le PC2 aura pour adresse IP : 192.168.10.4/24.

Une fois que les configurations sont faites, depuis l’invite de
commandes de chacun des PC, testez la connectivité entre les deux
PC à l’aide de la commande ping. Vous devriez obtenir une réponse
venant de chacun des PC.
Atelier Pratique (AP) - #2 : Pont + Fonction Sans-fil

Nous allons créer un grand réseau en réalisant le pontage entre les
interfaces locales Ethernet et les interfaces sans-fil (Accès WAN)
AP #2 

Sur la figure de l’AP #2, tous les ordinateurs se retrouveront au sein du
même réseau et l’adresse IP de ce réseau est 192.168.88.0/24.

RAPPEL :

Soyez très prudents lorsque vous créez un pontage de réseau.

Créez une sauvegarde avant d’implémenter cet atelier pratique.

Configuration de l’équipement des apprenants

(1) Mettez votre interface sans-fil – wlan1 en mode station bridge.

(2) Désactiver le serveur DHCP sur votre interface bridge.

(3) Si nous supposons que votre interface wlan1 ait été
précédemment utilisée pour une interconnexion WAN dans laquelle
elle a joué le rôle de client DHCP, cela veut dire qu’elle n’appartenait
plus au pont ‘’bridge’’ qui existe par défaut sur votre équipement
RouterBOARD.

(4) Ajoutez votre interface wlan1 au pont ‘’bridge’’ qui existe par défaut
sur votre équipement.
(1) Mettez
l’interface wlan1
en mode :
Station bridge

[admin@FORMATEUR] > interface wireless set name=wlan1
mode=station-bridge band=2ghz-b/g/n channel-width=20mhz
ssid=AP_CLASSE frequency-mode=regulatory-domain
wireless-protocol=802.11 installation=any
(2) Désactivez le
serveur DHCP
sur votre
interface bridge.

[admin@FORMATEUR] > ip dhcp-server print
Flags: D - dynamic, X - disabled, I - invalid
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME
ADD-ARP
0 X defconf bridge default-dhcp 10m

1 server-DHCP-LA... bridge pool-LAN-FORMATEUR 10m

[admin@FORMATEUR] > ip dhcp-server disable [Nom-Serveur-DHCP]
Menu Bridge > Ports

(3) Ajouter l’interface


wlan1 au pont
‘’bridge’’.

[admin@FORMATEUR] > interface bridge port add interface=wlan1


bridge=bridge

Renouvelez l’adresse IP de votre ordinateur portable.

Vous devriez obtenir une adresse IP (192.168.88.X/24) venant du
routeur du formateur.

Demandez à votre co-équipier son adresse IP et essayez d’exécuter la
commande ping vers cette adresse IP.

RAPPEL : que ceux qui emploient une machine tournant sous
Windows désactivent leur pare-feu pour que leur machine puisse
réponde aux requêtes ICMP (ping).

Votre routeur est dévenu maintenant un pont transparent (transparent
bridge).
2. Ponts et Pare-feu

Une interface bridge sous RouterOS supporte les fonctions d’un Pare-
feu.

Le trafic qui passe par un pont peut être traité par le pare-feu.

Pour permettre cela faite ce réglage: Bridge –> Settings –> Use IP
Firewall

> interface bridge settings set use-ip-firewall=yes


Organigramme du Traitement du Trafic d’un Pont par le
Pare-feu
Comparaison des fonctionnalités d’un Pont suivant
l’évolution des versions de RouterOS
Rendez-vous au
Module 4
pour étudier le
Routage