Réduire le nombre de SSIDs sur un réseau est discrètement devenu un sport de compétition. Passez un après-midi sur n'importe quel forum de mise en réseau et vous trouverez des avis tranchés, des règles empiriques de fournisseurs et parfois des discussions animées sur le nombre maximum à ne pas dépasser. Certains disent de s'en tenir à trois ou quatre par radio. D'autres affirment que les points d'accès modernes en gèrent bien plus sans sourciller. Les recommandations varient réellement, car la réponse honnête dépend de votre déploiement.
Voici notre point de vue. Le temps d'antenne consommé par les balises (beacons) est réel, mais il ne devient un problème que lorsque vous avez de nombreux points d'accès qui se chevauchent sur le même canal. Si vos points d'accès sont bien espacés, avec peu de chevauchement de canaux secondaires, vous pouvez exécuter plusieurs SSIDs en toute sécurité. Avant de tout démonter, saisissez vos propres chiffres dans notre calculateur de surcharge de balises et de SSID pour voir où vous vous situez réellement.
Cela dit, nous aimons aussi l'ordre. Même lorsque l'impact sur les performances est négligeable, une liste de SSIDs qui s'est allongée réseau par réseau est plus difficile à documenter, plus difficile à sécuriser et plus difficile à transmettre à l'ingénieur suivant. Donc, si vous souhaitez consolider, voici l'architecture vers laquelle nous revenons toujours : trois SSIDs, chacun associé à un mode d'authentification, tout le reste étant géré par des VLANs.
Là où la taxe sur le temps d'antenne est réelle, et là où elle ne l'est pas
Chaque SSID sur chaque radio envoie des trames de balise (beacon frames) plusieurs fois par seconde, au débit de base obligatoire le plus bas, qu'un seul client y soit associé ou non. Ce coût s'entend par canal. Un point d'accès diffusant une poignée de SSIDs sur son propre canal pose rarement problème. Les ennuis commencent lorsque plusieurs points d'accès se trouvent sur le même canal et s'entendent mutuellement : leurs balises entrent alors en compétition pour le même temps d'antenne, et la surcharge s'accumule pour chaque SSID sur chacun d'entre eux.
La véritable variable est donc le chevauchement de canaux secondaires, et non le nombre brut de SSIDs. Un déploiement dense avec de nombreuses cellules qui se chevauchent sur la bande 2,4 GHz, un débit de base maintenu à 1 Mbps et huit SSIDs peut réellement dégrader le débit. Une poignée de points d'accès bien espacés exécutant ces mêmes huit SSIDs peut très bien fonctionner. C'est une mesure concrète plutôt qu'une simple opinion : le calculateur de surcharge prend en compte vos SSIDs par radio, l'intervalle des balises et le débit de base, puis renvoie le pourcentage de temps d'antenne du canal consommé par vos balises. En dessous de 2 %, la situation est saine ; entre 2 % et 6 %, cela mérite d'être examiné ; et au-dessus de 6 %, c'est là que les problèmes commencent. Vérifiez vos chiffres avant de décider qu'il y a un problème à résoudre.
Le choix de la clarté
Supposons que le calculateur vous indique que vous vous situez largement dans la zone saine. Y a-t-il tout de même une raison de consolider ? Nous le pensons, et cela n'a rien à voir avec le temps d'antenne (airtime). Un SSID est une limite d'authentification, pas une limite de segmentation. Lorsque vous créez un nouveau SSID pour chaque nouveau besoin (un pour les caisses, un pour les imprimantes, un pour l'affichage dynamique, un pour les sous-traitants), vous vous retrouvez avec une liste interminable où personne ne sait vraiment quel réseau fait quoi, quelles clés sont encore utilisées ou où un nouvel appareil doit être connecté. En réduisant cela à trois, chacun associé à un moyen clair de prouver son identité, le réseau commence à se documenter de lui-même. Vous séparez les caisses, les caméras et les résidents grâce aux VLAN et aux règles de pare-feu, et vous n'utilisez un SSID distinct que lorsqu'un groupe d'appareils nécessite réellement une méthode d'authentification différente. Il n'en existe que trois.
SSID 1 : réseau invité ouvert avec un captive portal
Le réseau des visiteurs est ouvert, de sorte que n'importe quel appareil peut s'y associer sans clé pré-partagée, et un captive portal gère la connexion. Page d'accueil personnalisée aux couleurs de la marque, acceptation explicite (opt-in), connexion via les réseaux sociaux, e-mail ou SMS, puis accès à Internet sur un VLAN isolé qui ne peut pas voir votre back-office.
C'est le seul réseau qui doit fonctionner pour un téléphone que l'établissement n'a jamais vu auparavant, la seule exigence est donc un navigateur et rien d'autre. C'est également là que se trouve la valeur commerciale : des données de première partie (first-party data) collectées avec consentement, conformes au GDPR, capturées au moment de la connexion et envoyées directement dans votre CRM. Purple gère cela sous forme de Guest WiFi sur plus de 80 000 sites, et cela reste un seul SSID, quel que soit le nombre de locataires ou de zones qui se trouvent derrière.
SSID 2 : WPA2/3-Enterprise pour le personnel et les invités sécurisés
Le deuxième SSID est chiffré et basé sur l'identité. Il utilise WPA2/3-Enterprise avec 802.1X , s'appuie sur RADIUS, et dessert deux populations sur la même diffusion : votre personnel et vos invités de confiance.
Voici la partie qui permet à un seul SSID de faire double emploi. Lorsqu'un appareil s'authentifie, RADIUS ne se contente pas de dire oui ou non. Il renvoie le VLAN auquel cette identité appartient. Les membres du personnel se connectent une seule fois avec leurs identifiants Microsoft Entra ID, Okta ou Google Workspace existants, en utilisant EAP-TLS pour les ordinateurs portables managés et PEAP pour les appareils hérités (legacy), et arrivent sur le VLAN du personnel. Un sous-traitant ou un invité de longue durée s'authentifie avec ses propres identifiants attribués et arrive sur un VLAN distinct et verrouillé. Même SSID, même chiffrement, deux réseaux complètement isolés, déterminés par identité au moment de la connexion.
C'est toute la différence entre un mot de passe partagé sur un tableau blanc et un véritable contrôle d'accès. Lorsqu'un collaborateur s'en va, vous le désactivez dans le fournisseur d'identité et son accès WiFi s'arrête le jour même – pas besoin de modifier une clé commune à tout le bâtiment, aucun appareil ne reste connecté alors qu'il ne devrait plus l'être. Purple propose cela via Staff WiFi avec cloud RADIUS , et les équipes informatiques constatent généralement une baisse d'environ 80 % des tickets de support WiFi une fois les mots de passe supprimés. Il est certifié ISO 27001 et fonctionne avec les points d'accès que vous possédez déjà.
SSID 3 : xPSK pour les caisses, les écrans, les imprimantes et l'IoT
Le troisième SSID est destiné à tout ce qui ne peut pas exécuter de Captive Portal et ne prend pas en charge la norme 802.1X : terminaux de paiement, signalisation numérique, imprimantes d'étiquettes et de reçus, capteurs de bâtiment, téléviseurs connectés et tous les autres objets connectés (IoT). Ces appareils n'ont ni navigateur ni supplicant, mais ils peuvent stocker une clé prépartagée. La solution consiste donc à utiliser une clé par appareil plutôt qu'un mot de passe unique partagé pour l'ensemble.
Chaque grand constructeur a son propre nom pour cela. Cisco Meraki l'appelle iPSK , HPE Aruba l'appelle MPSK, Ruckus l'appelle DPSK, et Juniper Mist et Ubiquiti UniFi le proposent sous forme de clés prépartagées uniques ou multiples. Le terme générique est xPSK. Le mécanisme reste le même dans chaque cas : un seul SSID, de nombreuses clés uniques, chaque clé étant liée à un appareil ou à un propriétaire et associée à un VLAN spécifique.
Ainsi, les terminaux de paiement reçoivent une clé qui les place sur le VLAN segmenté PCI, la signalisation reçoit une clé qui l'envoie sur un VLAN de contenu sans accès latéral, et un nouveau capteur IoT reçoit sa propre clé que vous pouvez révoquer individuellement sans toucher au reste. Si une clé est compromise, vous ne remplacez que celle-ci. Vous ne coupez jamais tout le réseau. Dans les sites résidentiels et multi-locataires, il s'agit du même modèle de clé prépartagée d'identité qui place chaque appareil de résident dans sa propre bulle isolée – tous les détails figurent dans notre guide du WiFi multi-locataire .
Comment trois SSIDs couvrent l'intégralité des besoins
Associez n'importe quel appareil d'un site à l'une de ces trois questions pour trouver sa place :
- Peut-il ouvrir une page web et s'agit-il d'un visiteur non approuvé ? SSID invité ouvert avec Captive Portal.
- Appartient-il à une personne dont vous gérez l'identité ? SSID WPA2/3-Enterprise, VLAN par identité.
- S'agit-il d'un appareil sans écran qui ne peut stocker qu'une clé ? SSID xPSK, VLAN par clé.
Tout le reste n'est que segmentation, et la segmentation est le rôle des VLAN. La voix, la vidéosurveillance, les paiements, la signalisation, la gestion technique du bâtiment et l'isolation par locataire cohabitent tous sous forme de VLAN derrière ces trois SSIDs, orientés par les attributs RADIUS ou par la clé présentée par l'appareil. Vous conservez exactement le même niveau de séparation qu'avec dix SSIDs, mais avec une liste suffisamment courte pour que le prochain ingénieur puisse la comprendre en un coup d'œil.
Réduire le nombre de SSIDs améliore-t-il vraiment les performances ?
Parfois, et principalement lorsque le chevauchement de canaux adjacents est élevé. Si vous disposez de nombreux points d'accès partageant les mêmes canaux, passer de huit ou dix SSIDs à trois réduit proportionnellement les trames de balise (beacon frames) sur chaque radio en chevauchement, et l'augmentation du débit de base pour que les balises se transmettent plus rapidement amplifie cette économie. Si vos points d'accès se chevauchent à peine, le gain est marginal et la clarté de l'infrastructure est une bien meilleure raison de le faire. Dans tous les cas, soumettez vos chiffres avant/après au calculateur de surcharge afin de prendre une décision basée sur des preuves plutôt que sur une simple règle empirique.
Qu'en est-il des invités, de l'IoT et du personnel qui ont tous besoin d'une sécurité différente ?
Ils ont en effet besoin d'une sécurité différente, et c'est précisément pour cela qu'il y a trois SSIDs plutôt qu'un seul. Chaque SSID correspond à une méthode d'authentification distincte – réseau ouvert avec portail, 802.1X, et clé par appareil – ce qui est la seule chose qui justifie une diffusion distincte. Les différents niveaux de confiance au sein d'une même méthode sont gérés par les VLAN et les politiques de pare-feu, et non par l'ajout de SSIDs supplémentaires. Vous obtenez ainsi une isolation plus stricte qu'avec l'approche désordonnée, car chaque limite est imposée par l'identité ou par une clé, plutôt qu'en espérant que personne n'ait deviné le mot de passe du personnel.
En résumé
Le fait que votre nombre de SSIDs vous coûte ou non du temps d'antenne dépend principalement du niveau de chevauchement de vos points d'accès ; vérifiez donc le calculateur avant de supposer le pire. Cependant, il est facile de créer trop de SSIDs alors qu'un réseau bien ordonné est plus simple à gérer. Ainsi, lorsque vous consolidez, associez chaque SSID à un mode d'authentification et reléguez toutes les autres distinctions au niveau du VLAN. Trois est tout ce dont un site a besoin : un accès invité ouvert avec un portail, le WPA2/3-Enterprise pour les utilisateurs, et l'xPSK pour les objets. Cela fonctionne sur Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi et tous les autres, car si vos points d'accès supportent le protocole RADIUS, Purple fonctionne avec eux.
Besoin d'aide pour réduire une liste de SSIDs surchargée sans perdre en segmentation ? Contactez un expert et nous associerons vos appareils aux trois réseaux qui les couvrent.
