Inscrivez-vous pour le WiFi invité gratuit

Fondamentaux DHCP et DNS pour les administrateurs de réseaux WiFi

An authoritative technical reference for IT leaders and network administrators on the critical roles of DHCP and DNS in enterprise WiFi deployments. This guide provides practical, vendor-neutral guidance for designing, implementing, and troubleshooting robust network services in hospitality, retail, and large-venue environments.

📖 6 min de lecture📝 1,428 mots🔧 2 exemples3 questions📚 8 termes clés

🎧 Écouter ce guide

Voir la transcription
Welcome to the Purple Technical Briefing. I'm a Senior Technical Content Strategist here at Purple, and today we're demystifying two of the most fundamental, yet often overlooked, components of any successful enterprise WiFi deployment: DHCP and DNS. For IT managers, network architects, and operations directors in sectors like hospitality, retail, and large public venues, getting these fundamentals right is not just about keeping the internet on. It's the bedrock of a secure, scalable, and data-rich environment that enhances user experience and delivers powerful business intelligence. Think of DHCP and DNS not as plumbing, but as the central nervous system of your network's connectivity. Let's start with DHCP – the Dynamic Host Configuration Protocol. In simple terms, DHCP is your network's maître d'. When a new device joins your WiFi, it needs a unique table number, or IP address, to communicate. DHCP automates this entire process through a four-step handshake known as DORA. First, the device 'Discovers', shouting into the network, 'Is there a DHCP server out there?' A configured DHCP server then makes an 'Offer', saying, 'Here, you can use this IP address, 192.168.1.50.' The device then 'Requests' that specific address, and finally, the server 'Acknowledges', confirming the lease and providing other critical information like the DNS server address and default gateway. For WiFi networks, especially high-density ones, the 'lease time' is a critical setting. In a busy conference centre or retail chain with high device turnover, a short lease time of, say, one to four hours ensures IP addresses are recycled efficiently. For a hotel or a corporate staff network where users stay connected longer, a 24-hour lease is more appropriate. A common pitfall is underestimating scope size. A 200-room hotel needs far more than 200 IP addresses; a good rule of thumb is to plan for at least two to three devices per room to accommodate phones, laptops, and tablets, especially during peak occupancy. Another key security consideration is DHCP snooping, an essential feature on your switches that prevents unauthorised, or 'rogue', DHCP servers from issuing addresses and potentially hijacking user traffic. Now, let's turn to DNS – the Domain Name System. If DHCP is the maître d', DNS is the internet's universal address book. It translates the human-friendly domain names we type into browsers, like purple.ai, into the machine-readable IP addresses that routers understand. For WiFi administrators, DNS is absolutely critical to the behaviour of captive portals – the login pages that guests see before gaining full internet access. When a guest first connects and tries to visit a website, the network cleverly uses DNS to intercept that request. Instead of returning the real IP for google.com, the local DNS resolver redirects the user's browser to the captive portal's IP address. Only after the user authenticates on that page does the DNS start resolving external addresses normally. A common misconfiguration here is using external DNS servers for guest clients before they've authenticated, which can allow savvy users to bypass the portal entirely. This is where a concept called 'Split DNS' becomes vital. It allows you to present a different set of DNS results to internal users versus external users, ensuring staff can access internal servers by name, while guests are securely firewalled off and properly directed to your portal. So, how do we apply this in the real world? First and foremost: rigorous network segmentation. Your guest WiFi and staff WiFi should exist on entirely separate Virtual LANs, or VLANs. Each VLAN must have its own dedicated DHCP scope and its own DNS resolution policies. This is non-negotiable for security and compliance with standards like PCI DSS. For a multi-site retail chain, a centralised DHCP and DNS server architecture at a head office or data centre, with DHCP relay agents at each store, provides consistency and simplifies management. However, you must ensure the WAN link is resilient, as a failure could bring down local connectivity. For a large, single-site venue like a stadium, deploying redundant, on-site DHCP and DNS servers provides the highest level of performance and resilience, mitigating the risk of a single point of failure impacting thousands of users simultaneously. The most common pitfall we see is DHCP IP address exhaustion. This happens when your scope is too small for the number of connecting devices, leading to new users being unable to get online. Always monitor your DHCP pool utilisation and plan for peak demand, not average use. Let's do a quick rapid-fire Q&A. One: Should I use my firewall or a dedicated server for DHCP? For small deployments, a firewall is fine. For enterprise scale, a dedicated Windows, Linux, or appliance-based DHCP server offers far greater control and scalability. Two: What's the biggest DNS mistake with captive portals? Allowing DNS queries to external servers like Google's 8.8.8.8 before authentication. All DNS traffic must be intercepted and handled by the local portal resolver first. Three: How short should my DHCP lease time be for a public event? Very short. For a one-day conference, a one-hour lease is aggressive but effective at recycling the limited IP address pool for a constantly changing user base. To summarise: DHCP and DNS are foundational pillars of your WiFi network. A well-architected DHCP strategy prevents IP exhaustion and ensures seamless client onboarding. A correctly configured DNS setup is essential for captive portal functionality and robust security. By implementing strict network segmentation, choosing the right server architecture for your deployment model, and setting appropriate lease times, you can build a reliable and high-performing WiFi infrastructure. This not only provides a better experience for your users but also lays the groundwork for advanced capabilities like the rich analytics and guest engagement tools offered by the Purple platform. Thank you for listening.

header_image.png

Synthèse

Pour l'entreprise moderne, le WiFi destiné aux invités et au personnel n'est plus une simple commodité ; c'est un service essentiel qui sous-tend les opérations, l'engagement client et la business intelligence. Cependant, la stabilité et la sécurité de ces réseaux dépendent entièrement de services fondamentaux souvent considérés comme acquis : le protocole DHCP (Dynamic Host Configuration Protocol) et le système de noms de domaine (DNS). Pour les directeurs techniques, les responsables informatiques et les directeurs de sites, une compréhension nuancée de ces protocoles n'est pas un simple exercice technique : c'est une question d'atténuation des risques, d'optimisation des ressources et de création d'une expérience utilisateur supérieure. De mauvaises configurations peuvent entraîner des pannes de service critiques, des failles de sécurité et une expérience dégradée qui impactent directement la satisfaction client et les revenus. Ce guide fournit un cadre pratique et exploitable pour concevoir l'architecture des services DHCP et DNS pour les réseaux WiFi à grande échelle. Il va au-delà de la théorie académique pour aborder les défis du monde réel, de la gestion des adresses IP dans les lieux à haute densité aux mécanismes DNS complexes qui régissent la fonctionnalité du Captive Portal. En adoptant les meilleures pratiques décrites, les organisations peuvent s'assurer que leur infrastructure WiFi est non seulement fiable et sécurisée, mais qu'elle constitue également un atout puissant pour la collecte de données et la croissance de l'entreprise.

Analyse technique approfondie

Le rôle du DHCP dans les réseaux WiFi

Le DHCP est le moteur de l'automatisation des adresses IP. Dans un contexte WiFi, où des centaines ou des milliers d'appareils peuvent se connecter et se déconnecter de manière fluide, l'attribution manuelle d'adresses IP est une impossibilité opérationnelle. Le DHCP automatise cela via le processus DORA en quatre étapes (Discover, Offer, Request, Acknowledge), garantissant que chaque client reçoit une adresse IP unique et la configuration nécessaire pour communiquer sur le réseau.

dhcp_dora_process.png

Paramètres DHCP clés pour le WiFi :

  • Durée du bail (Lease Time) : Elle détermine combien de temps un appareil peut conserver une adresse IP. Dans les environnements à forte rotation comme un café ou une conférence, des durées de bail courtes (par ex. 1 à 4 heures) sont essentielles pour recycler efficacement les adresses IP. Dans un hôtel ou un bureau d'entreprise, des baux plus longs (par ex. 24 heures) sont plus adaptés aux appareils résidents.
  • Taille de l'étendue (Scope Size) : Un point de défaillance courant est le sous-dimensionnement du pool d'adresses IP. Un sous-réseau /24 (254 adresses IP utilisables) est souvent insuffisant pour les réseaux invités d'entreprise. La règle générale est de prévoir au moins 2 à 3 appareils par utilisateur ou par chambre. Pour un hôtel de 200 chambres, cela signifie prévoir 400 à 600 appareils simultanés, ce qui nécessite un sous-réseau plus grand (par ex. un /22) pour éviter l'épuisement des adresses IP pendant les pics d'affluence.
  • Options DHCP : Au-delà de l'adresse IP, le DHCP fournit aux clients des informations critiques, notamment la passerelle par défaut (l'adresse IP du routeur) et l'adresse du serveur DNS. L'option 43 peut également être utilisée pour fournir des informations spécifiques au fournisseur aux points d'accès pour la découverte du contrôleur.

Le DNS et son impact sur l'expérience utilisateur WiFi

Le DNS traduit les noms de domaine lisibles par l'homme (par ex. purple.ai) en adresses IP lisibles par la machine. Dans le contexte du WiFi invité, son rôle est central, en particulier pour les Captive Portals.

L'interception du Captive Portal :

Lorsqu'un nouvel appareil invité se connecte, il est isolé de l'Internet public par un pare-feu. Lorsque l'utilisateur ouvre un navigateur et tente de naviguer vers un site web, le serveur DNS du réseau intercepte cette requête. Au lieu de résoudre le domaine demandé vers son adresse IP publique, le serveur DNS répond avec l'adresse IP du serveur du Captive Portal lui-même. Cela force le navigateur de l'utilisateur à charger la page d'authentification. Il s'agit d'une forme de détournement DNS contrôlé, fondamentale pour le flux de travail du Captive Portal.

dns_captive_portal_flow.png

Mauvaises configurations DNS courantes :

  • Autoriser un DNS externe : Si les règles du pare-feu permettent aux clients invités d'envoyer des requêtes DNS à des résolveurs externes (comme le 8.8.8.8 de Google ou le 1.1.1.1 de Cloudflare) avant l'authentification, le Captive Portal peut être contourné. Tout le trafic DNS provenant de clients non authentifiés doit être forcé vers le résolveur interne.
  • DNS Split-Horizon : Dans les environnements comportant à la fois des réseaux invités et internes, une architecture DNS split-horizon (ou split-brain) est essentielle. Cela signifie que votre serveur DNS fournit des réponses différentes selon l'auteur de la requête. Un employé sur le WiFi du personnel interrogeant un nom de serveur interne devrait obtenir une adresse IP privée, tandis qu'un invité ne devrait pas pouvoir résoudre ce nom du tout. Il s'agit d'une frontière de sécurité critique.

Guide de mise en œuvre

La conception de l'architecture DHCP et DNS pour le WiFi d'entreprise nécessite une approche structurée. Ce qui suit fournit un modèle de déploiement indépendant des fournisseurs.

Étape 1 : Segmentation du réseau

C'est la fondation absolue. Le trafic des invités et celui du personnel/de l'entreprise doivent être séparés logiquement à l'aide de VLAN. Il s'agit d'une exigence fondamentale pour les normes de sécurité telles que PCI DSS et le GDPR.

  • VLAN Invité : Accès illimité à Internet (post-authentification), mais complètement isolé de toutes les ressources internes de l'entreprise par un pare-feu.
  • VLAN Personnel : Accès à Internet et accès spécifique, basé sur les rôles, aux ressources internes (serveurs de fichiers, bases de données, etc.).
  • VLAN de gestion : Pour les équipements d'infrastructure réseau tels que les points d'accès, les commutateurs et les contrôleurs.

network_segmentation_overview.png

Étape 2 : Architecture des serveurs DHCP et DNS

  • Modèle centralisé : Pour les organisations multisites (par ex. les chaînes de magasins), un serveur DHCP/DNS centralisé au siège social ou dans un centre de données offre une gestion cohérente. Chaque site distant utilise des agents relais DHCP (IP helpers) sur son routeur/commutateur local pour transférer les requêtes DHCP au serveur central. Risque : Forte dépendance à la liaison WAN.
  • Modèle décentralisé/distribué : Pour les grands sites uniques (stades, aéroports) ou lorsque l'autonomie du site est critique, le déploiement local de serveurs DHCP/DNS redondants est la meilleure pratique. Cela offre une résilience et des performances maximales, car une panne du WAN n'impactera pas les services du réseau local.
  • Modèle basé sur le Cloud : Certaines solutions de réseau gérées dans le Cloud offrent des services DHCP et DNS intégrés. Cela simplifie la gestion mais nécessite une évaluation minutieuse de la sécurité et de l'ensemble des fonctionnalités.

Étape 3 : Configuration de l'étendue et des baux DHCP

Pour chaque VLAN, créez une étendue DHCP dédiée.

Réseau ID VLAN Exemple de sous-réseau Durée de bail recommandée Considérations clés
WiFi Invité 10 10.10.0.0/21 1 à 8 heures Dimensionner pour la capacité maximale (3x utilisateurs). Bail court.
WiFi Personnel 20 192.168.20.0/24 24 heures Bail plus long pour les appareils persistants.
IoT / Scanners 30 192.168.30.0/24 7 jours / Statique Utiliser des réservations statiques pour l'infrastructure critique.

Meilleures pratiques

  • Activer le DHCP Snooping : Il s'agit d'une fonctionnalité de sécurité de couche 2 sur les commutateurs qui valide les messages DHCP. Elle empêche l'introduction de serveurs DHCP malveillants sur le réseau, ce qui est un vecteur d'attaque courant.
  • Surveiller l'utilisation de l'étendue DHCP : Surveillez activement le nombre d'adresses IP disponibles dans vos pools DHCP. Configurez des alertes pour vous avertir lorsque l'utilisation dépasse un seuil (par ex. 85 %) afin de prévenir de manière proactive l'épuisement des adresses.
  • Utiliser des serveurs redondants : Pour tout déploiement de niveau entreprise, les services DHCP et DNS doivent être déployés en paire redondante (par ex. un cluster de basculement) pour éliminer les points de défaillance uniques.
  • Documenter les réservations DHCP : Pour les équipements d'infrastructure critiques qui nécessitent une adresse IP constante (par ex. imprimantes, serveurs, points d'accès), utilisez des réservations DHCP liées à l'adresse MAC de l'appareil. Cela centralise la gestion des adresses IP plutôt que d'utiliser des adresses IP statiques configurées sur les appareils eux-mêmes.

Dépannage et atténuation des risques

Symptôme Cause potentielle Atténuation / Solution
Les utilisateurs n'obtiennent pas d'adresse IP. Épuisement de l'étendue DHCP : Le pool d'adresses IP disponibles est vide. Augmenter la taille du sous-réseau. Réduire la durée du bail DHCP pour recycler les adresses plus rapidement.
Les utilisateurs obtiennent une adresse IP « auto-assignée ». Aucun serveur DHCP joignable : Le paquet DHCP Discover du client n'atteint pas de serveur. Vérifier les mauvaises configurations de VLAN. S'assurer que les adresses de relais DHCP/IP Helper sont correctement configurées sur les routeurs/commutateurs L3.
Les utilisateurs sont dirigés vers de mauvais sites web. Serveur DHCP malveillant ou détournement DNS : Un appareil non autorisé émet des paramètres réseau malveillants. Activer le DHCP Snooping sur tous les commutateurs d'accès. Utiliser les extensions de sécurité DNS (DNSSEC) si elles sont prises en charge.
La page du Captive Portal ne se charge pas. Contournement DNS : Le client utilise un serveur DNS externe. Problème de pare-feu : Le trafic vers le serveur du portail est bloqué. Créer des règles de pare-feu pour bloquer tout le trafic DNS sortant (Port 53) des clients non authentifiés, à l'exception du résolveur interne.

ROI et impact commercial

Une infrastructure DHCP et DNS bien conçue offre une valeur commerciale tangible au-delà de la simple fourniture d'un accès à Internet. Le principal ROI découle de la réduction des risques et de l'efficacité opérationnelle. Un réseau stable minimise les temps d'arrêt coûteux et réduit le nombre de tickets d'assistance liés aux problèmes de connectivité. Pour un grand hôtel, éviter une seule heure de panne du WiFi invité lors d'une conférence majeure peut prévenir d'importants dommages à la réputation et des demandes de crédits de service. De plus, le fonctionnement fiable du Captive Portal, qui dépend du DNS, est la passerelle vers la collecte de données clients précieuses pour le marketing et l'analyse, facilitée par des plateformes comme Purple. Ces données permettent un engagement personnalisé, favorisent la fidélité et fournissent des analyses de fréquentation qui peuvent optimiser l'agencement et les opérations du site, offrant un impact direct et mesurable sur les revenus.

Termes clés et définitions

DHCP Lease Time

The duration for which a DHCP server grants a client the right to use an assigned IP address.

IT teams must balance lease time against device turnover. Short leases in high-traffic venues prevent IP exhaustion, while long leases in corporate environments reduce unnecessary network chatter.

DHCP Scope

A defined range of IP addresses that a DHCP server is authorized to distribute to clients on a specific subnet.

This is the pool of available addresses. If the scope is too small for the number of connecting devices, new users will be denied access, leading to service outages.

DHCP Relay Agent (IP Helper)

A router or switch configuration that forwards DHCP broadcast packets from one subnet to a DHCP server on another subnet.

This is essential for centralized DHCP management. It allows a single DHCP server in a data center to serve multiple VLANs and remote sites without needing a server in every location.

DHCP Snooping

A Layer 2 security feature that filters DHCP messages, blocking responses from untrusted ports to prevent rogue DHCP servers.

This is a critical security control to prevent man-in-the-middle attacks where an attacker's device could start issuing malicious IP configurations to clients.

Captive Portal

A web page that a user of a public-access network is obliged to view and interact with before access is granted.

For venue operators, this is the primary mechanism for user authentication, presenting terms of service, and capturing marketing data. Its functionality is entirely dependent on correct DNS and firewall configuration.

Split-Horizon DNS (Split-Brain DNS)

A DNS configuration where the server provides different responses (different IP addresses) for the same domain name depending on the source of the query.

This is used to securely separate internal and external users. It ensures an employee can resolve `intranet.company.com` to a private IP while a guest on the public WiFi cannot resolve it at all.

VLAN (Virtual Local Area Network)

A method of creating logically separate networks on the same physical network infrastructure.

This is the fundamental tool for network segmentation. IT teams must use VLANs to isolate guest traffic from secure corporate and payment-card (PCI) traffic as a baseline security measure.

IP Address Exhaustion

A state where all available IP addresses in a DHCP scope have been leased, preventing new devices from connecting to the network.

This is the most common failure mode for poorly planned guest WiFi networks. It is a direct result of underestimating device density and setting lease times that are too long for the environment.

Études de cas

A 500-room luxury hotel is experiencing frequent complaints about WiFi connectivity, especially during large conferences. Guests report being unable to connect, and the IT team is constantly "rebooting the router". They are using a single /24 subnet for their guest network, provided by their ISP's basic firewall.

The core issue is DHCP scope exhaustion and a lack of enterprise-grade architecture.

  1. Immediate Triage: Lower the DHCP lease time on the existing firewall from the default (often 24 hours) to 1 hour. This will more rapidly recycle the limited IP addresses as conference attendees come and go.
  2. Strategic Redesign: Procure and deploy two dedicated servers to run as a DHCP failover cluster. This provides redundancy.
  3. Implement VLANs: Create a new, dedicated Guest WiFi VLAN (e.g., VLAN 100).
  4. Expand IP Scope: Assign a significantly larger subnet to the new guest VLAN, such as a /21 (which provides 2046 usable IPs). This accommodates the 500 rooms plus multiple devices per guest and conference attendees (500 rooms * 3 devices/room = 1500 IPs needed at a minimum).
  5. Configure DHCP Relay: On the hotel's core switch/router, configure an IP Helper address on the Guest VLAN interface, pointing to the new DHCP servers. This directs all guest DHCP requests to the dedicated servers.
  6. Monitoring: Implement monitoring on the new DHCP servers to track scope utilization in real-time.
Notes de mise en œuvre : This solution correctly identifies that the root cause is a failure to plan for device density. Simply rebooting the router was releasing some leases, providing temporary relief, but not solving the underlying architectural flaw. By moving to a dedicated, redundant DHCP server model and rightsizing the IP subnet, the hotel can provide a stable service that scales with demand. The use of DHCP relay is the correct technical mechanism to centralize DHCP services while serving multiple network segments.

A retail chain with 100 stores wants to implement a branded guest WiFi captive portal to gather marketing data. They notice that some tech-savvy customers are able to get online without ever seeing the login page. Their current setup has a simple guest network at each store using the local ISP router.

The problem is DNS leakage, allowing clients to bypass the captive portal redirect.

  1. Firewall Policy Implementation: At each store, the firewall controlling the guest network must be configured with a new outbound rule. This rule should DENY all traffic from the Guest WiFi subnet with a destination port of 53 (DNS), for all destination IPs EXCEPT for the IP address of the store's own internal DNS resolver (which may be the router itself or a designated server).
  2. DNS Interception: Ensure the internal DNS resolver is configured to intercept all DNS queries from unauthenticated clients and redirect them to the captive portal's IP address.
  3. Centralized Management (Optional but Recommended): For better consistency, deploy a standardized firewall configuration to all 100 stores using a central management platform (e.g., Meraki, FortiManager). This ensures the anti-bypass rule is applied uniformly and cannot be accidentally misconfigured by local staff.
Notes de mise en œuvre : This is a classic captive portal bypass scenario. The solution correctly focuses on controlling DNS traffic at the network edge. By explicitly blocking access to external DNS servers for clients that have not yet authenticated, the network forces them to use the internal resolver, which can then perform the necessary redirect to the portal. This is a critical step in securing the portal and ensuring the business can achieve its data collection objectives.

Analyse de scénario

Q1. You are designing the network for a new 10,000-seat sports stadium. The client wants seamless WiFi for all attendees. What DHCP lease time would you recommend for the public guest network and why?

💡 Astuce :Consider the duration of an average event and the sheer volume of unique devices over a short period.

Afficher l'approche recommandée

A very short lease time, such as 30-60 minutes, is recommended. During a 3-4 hour event, thousands of devices will connect and disconnect. A short lease ensures that IP addresses from departed fans are rapidly recycled and made available to new or reconnecting devices, preventing IP address exhaustion in such a high-density, high-turnover environment.

Q2. A hospital wants to provide guest WiFi but is concerned about security and compliance with health data regulations (e.g., HIPAA). What is the single most important architectural principle you must enforce regarding their guest and internal networks?

💡 Astuce :How do you ensure guest devices can never, under any circumstances, communicate with internal clinical systems?

Afficher l'approche recommandée

The single most important principle is strict network segmentation using VLANs and restrictive firewall rules. The guest WiFi network must be on its own isolated VLAN and all traffic from this VLAN must be explicitly denied from reaching any internal network segment, especially those containing clinical systems or patient data. There should be zero trust and zero connectivity between the two environments.

Q3. Your company's CFO is questioning the expense of dedicated DHCP/DNS servers, arguing that the firewall provided by the ISP should be sufficient. How do you justify the investment in terms of business risk?

💡 Astuce :Translate technical benefits (redundancy, scalability) into business outcomes (risk mitigation, uptime, user experience).

Afficher l'approche recommandée

The justification is a risk-mitigation and business continuity argument. While the ISP firewall provides basic functionality, it represents a single point of failure with limited scalability and management features. For an enterprise, a DHCP or DNS failure is not an IT issue; it's a business outage. For a hotel, it means unhappy guests and refunds. For a retail store, it means point-of-sale systems or customer analytics could fail. Investing in redundant, dedicated servers is like buying insurance; it protects against costly downtime and ensures the network can scale with business demand, directly protecting revenue and customer satisfaction.

Points clés à retenir

  • DHCP and DNS are foundational services that determine the stability and security of any enterprise WiFi network.
  • Always right-size your DHCP scope for peak device density (The 3:1 Rule) and use short lease times in high-turnover venues.
  • Strict network segmentation using VLANs to separate guest and staff traffic is a non-negotiable security requirement.
  • Captive portal functionality relies on intercepting and redirecting DNS queries; block external DNS for unauthenticated users to prevent bypass.
  • Use DHCP Snooping to prevent rogue DHCP servers and other man-in-the-middle attacks.
  • For enterprise scale, use redundant, dedicated DHCP/DNS servers to eliminate single points of failure and ensure business continuity.
  • Monitor DHCP scope utilization proactively to prevent IP address exhaustion before it impacts users.
À propos de nous
Carrières
Rapport B Corp
Forfaits
Fonctionnalités WiFi invité
Tarification WiFi invité
Services professionnels
Réserver une démo
Politiques
Mentions légales
Politique de confidentialité
Conditions d'utilisation
Mes données
Politique en matière de cookies
SLA standard
Support et conseils
Calculateur de ROI
Calculateur de prix
Support Purple
Whatsapp
© 2026 Purple. Tous droits réservés.
Gérer les préférences de cookies