Comment configurer les politiques NAC pour le routage VLAN dans Cisco Meraki

Ce guide de référence offre aux responsables IT, architectes réseau et directeurs d'exploitation de sites un cadre pratique et étape par étape pour configurer les politiques NAC et le routage VLAN dans les environnements Cisco Meraki. Il aborde l'implémentation de la norme 802.1X, l'isolation des appareils IoT via le contournement de l'authentification MAC, ainsi que l'intégration fluide avec la plateforme d'analyse de WiFi invité de Purple afin de garantir une segmentation réseau sécurisée, conforme et hautement performante pour les déploiements dans l'hôtellerie, le commerce de détail et le secteur public.

📖 7 min de lecture📝 1,719 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast

[INTRO]

Animateur : Bienvenue dans ce nouveau numéro du Purple Enterprise Networking Brief. Je suis votre hôte, et nous abordons aujourd'hui un scénario de déploiement qui donne des sueurs froides à de nombreux directeurs informatiques : Comment configurer les politiques NAC pour le routage VLAN dans Cisco Meraki.

Si vous gérez un site de grande envergure — qu'il s'agisse d'un hôtel de 500 chambres, d'un grand complexe commercial ou d'un stade à forte densité — vous savez déjà qu'un réseau plat est un réseau vulnérable. Vous avez besoin d'une segmentation dynamique. Vous devez garantir que lorsqu'un appareil se connecte à votre SSID, il soit automatiquement profilé, authentifié et placé dans le bon VLAN, sans intervention manuelle.

Dans ce briefing, nous allons laisser de côté la théorie académique pour plonger directement dans l'architecture pratique. Nous verrons comment implémenter le 802.1X, comment gérer les appareils IoT qui ne peuvent pas exécuter de suppliant, et comment intégrer tout cela de manière transparente avec la plateforme d'analyse et de guest WiFi de Purple. C'est parti.

[TECHNICAL DEEP-DIVE]

Animateur : Commençons par l'architecture. Le routage VLAN dans un environnement Meraki repose sur le Contrôle d'Accès Réseau, ou NAC. L'objectif est simple : un seul SSID, plusieurs scénarios. Au lieu de diffuser des SSIDs distincts pour le personnel, les invités et l'IoT — ce qui consomme de la bande passante précieuse et dégrade les performances — nous diffusons un unique SSID sécurisé. Le serveur RADIUS et le tableau de bord Meraki gèrent toute la logique.

Lorsqu'un appareil s'associe au point d'accès, l'AP envoie une requête Access-Request au serveur RADIUS. C'est là que votre moteur de politique NAC entre en jeu. Le serveur RADIUS vérifie les identifiants, l'état de sécurité de l'appareil ou l'adresse MAC. Il répond ensuite par un message Access-Accept. Mais surtout, il inclut des attributs RADIUS — plus précisément Tunnel-Type, Tunnel-Medium-Type et Tunnel-Private-Group-ID. Ce dernier attribut indique précisément à l'AP Meraki quel tag VLAN appliquer au trafic de ce client spécifique.

Alors, comment configurer cela dans le tableau de bord Meraki ?

Tout d'abord, accédez à Wireless, puis Configure, et sélectionnez Access Control. Sélectionnez votre SSID cible et configurez les exigences d'association sur Enterprise avec 802.1X. C'est la base d'un accès sécurisé basé sur l'identité.

Ensuite, vous devez diriger le SSID vers votre serveur RADIUS. Dans les paramètres du serveur RADIUS, saisissez l'adresse IP, le port — généralement 1812 — et le secret partagé.

Voici maintenant l'étape essentielle pour le routage VLAN : vous devez faire défiler la page vers le bas et vous assurer que l'option RADIUS override est activée pour les attributions de VLAN. Dans les déploiements Meraki modernes, vous configurez généralement le balisage VLAN sur Use VLAN tag from RADIUS.

Qu'en est-il à présent des appareils qui ne prennent pas en charge le 802.1X ? Vos caméras IP, vos thermostats connectés, vos terminaux de point de vente ? C'est ici que le MAC Authentication Bypass, ou MAB, entre en jeu.

Avec MAB, le point d'accès utilise l'adresse MAC de l'appareil comme nom d'utilisateur et mot de passe. Le serveur NAC vérifie cette information par rapport à une base de données de terminaux. Si elle correspond à un profil IoT connu, il renvoie l'ID du VLAN pour le réseau IoT — par exemple, le VLAN 40. Cela maintient vos appareils existants vulnérables complètement isolés de vos données d'entreprise et du trafic invité.

[RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER]

Animateur : Parlons maintenant des réalités du déploiement. J'ai vu des dizaines de ces lancements, et il y a quelques pièges courants que vous devez éviter.

Premièrement : Le dilemme entre l'ouverture en cas de panne (fail-open) et la fermeture en cas de panne (fail-closed). Que se passe-t-il si votre serveur RADIUS tombe en panne ? En mode fail-closed, personne n'accède au réseau. En mode fail-open, tout le monde bascule sur un VLAN par défaut. Pour les environnements d'entreprise, en particulier dans le commerce de détail et l'hôtellerie, vous devriez configurer un VLAN d'authentification critique. Cela fournit un accès Internet de base mais limite l'accès aux ressources internes jusqu'à ce que le serveur NAC soit à nouveau joignable.

Deuxièmement : L'accès des invités. Vous ne voulez pas gérer les appareils des invités via 802.1X. À la place, vous utilisez un SSID ouvert ou avec clé prépartagée associé à un Captive Portal. C'est là que Purple excelle. Lorsqu'un invité se connecte, il est redirigé vers une page de destination hébergée par Purple. Purple gère l'authentification — souvent via une connexion sociale ou un simple formulaire — et capture ces précieuses données de première partie. Le tableau de bord Meraki est ensuite configuré pour attribuer ces utilisateurs non authentifiés à un VLAN Invité très restreint, généralement le VLAN 30, avec l'isolation des clients activée.

Troisièmement : La configuration des ports de commutateur. L'orientation des VLAN côté sans fil est inutile si votre infrastructure filaire n'est pas configurée pour la prendre en charge. Les ports de commutateur connectés à vos AP Meraki doivent être configurés en mode trunk, autorisant tous les VLAN potentiels que l'AP pourrait attribuer aux clients. Si vous oubliez d'autoriser le VLAN 20 sur le port trunk, les appareils de vos collaborateurs s'authentifieront avec succès mais ne parviendront pas à obtenir une adresse IP.

[SÉANCE DE QUESTIONS-RÉPONSES RAPIDES]

Animateur : Passons en revue une rapide série de questions-réponses basées sur les interrogations courantes des clients.

Question un : Puis-je utiliser l'authentification cloud intégrée de Meraki pour l'orientation des VLAN ? Oui, l'authentification cloud Meraki prend en charge l'attribution dynamique de VLAN via des stratégies de groupe, mais pour les environnements d'entreprise complexes soumis à des exigences de conformité strictes comme PCI DSS, un NAC dédié sur site ou hébergé dans le cloud comme Cisco ISE ou ClearPass est recommandé.

Question deux : Quel est l'impact sur l'itinérance (roaming) ? L'attribution dynamique de VLAN peut introduire de la latence lors de l'itinérance si une authentification 802.1X complète est requise à chaque point d'accès. Vous devez activer la transition BSS rapide, ou 802.11r, pour garantir une itinérance fluide pour les applications vocales et vidéo.

Troisième question : Comment gérons-nous la randomisation des adresses MAC ? Les smartphones modernes randomisent leurs adresses MAC pour protéger la vie privée. Pour les réseaux invités gérés par Purple, cela est géré de manière fluide via le flux du Captive Portal. Pour les réseaux du personnel utilisant le 802.1X, l'identité est liée au certificat ou aux identifiants de l'utilisateur, et non à l'adresse MAC, la randomisation ne pose donc aucun problème.

[RÉSUMÉ & ÉTAPES SUIVANTES]

Hôte : Pour conclure, la configuration des politiques NAC pour l'aiguillage VLAN dans Cisco Meraki est une étape incontournable pour sécuriser les sites modernes à haute densité. Elle réduit la surcharge des SSID, isole les appareils IoT vulnérables et garantit la conformité avec des cadres tels que le GDPR et PCI DSS.

Rappelez-vous des règles d'or : utilisez le 802.1X pour les appareils d'entreprise, le MAB pour l'IoT, et intégrez un Captive Portal robuste comme Purple pour votre trafic invité. Assurez-vous que vos ports de trunk sont configurés correctement, et prévoyez toujours une redondance des serveurs RADIUS.

Pour un guide complet étape par étape, incluant des captures d'écran de configuration et des diagrammes d'architecture, consultez le guide technique complet sur le site web de Purple. Merci d'avoir suivi ce point sur les réseaux d'entreprise Purple. Restez sécurisés, et à la prochaine fois.

Points clés à retenir

✓L'aiguillage VLAN dynamique via NAC élimine le besoin de multiplier les SSIDs, améliorant les performances RF et simplifiant la gestion multi-site.
✓Utilisez IEEE 802.1X avec EAP-TLS pour une authentification robuste et basée sur des certificats pour tous les appareils de l'entreprise et du personnel.
✓Implémentez le contournement d'authentification MAC (MAB) pour intégrer et isoler de manière sécurisée les appareils IoT sans écran qui ne peuvent pas prendre en charge le 802.1X.
✓Le port de commutateur physique connectant l'AP Meraki au commutateur central DOIT être configuré comme un trunk avec tous les VLANs potentiels explicitement autorisés.
✓Le serveur RADIUS doit renvoyer les trois attributs VLAN — [64] Tunnel-Type, [65] Tunnel-Medium-Type et [81] Tunnel-Private-Group-ID — pour que l'AP Meraki applique la bonne balise VLAN.
✓Intégrez les réseaux invités avec le Captive Portal de Purple pour garantir un accès sécurisé et conforme aux normes de la RGPD tout en collectant des données analytiques de première partie à grande échelle.
✓Configurez toujours un VLAN d'authentification critique et un serveur RADIUS secondaire pour maintenir la connectivité essentielle et la continuité de l'activité si le serveur NAC principal échoue.

Synthèse

Pour les sites d'entreprise — des stades à haute densité aux complexes hôteliers tentaculaires — un réseau plat est un réseau compromis. La diffusion de multiples SSID pour segmenter le trafic dégrade les performances RF, gaspille un temps d'antenne précieux et crée une charge administrative difficilement gérable sur des déploiements multisites. La norme moderne est la segmentation dynamique : diffuser un unique SSID sécurisé et s'appuyer sur le Contrôle d'Accès Réseau (NAC) pour profiler, authentifier et diriger automatiquement les appareils vers le bon VLAN.

Ce guide fournit aux architectes informatiques seniors et aux directeurs des opérations un plan d'action pratique pour configurer les politiques NAC pour le routage VLAN dans Cisco Meraki. Nous laissons de côté la théorie académique pour nous concentrer sur les réalités du déploiement : implémenter IEEE 802.1X pour les appareils d'entreprise, utiliser le MAC Authentication Bypass (MAB) pour les systèmes IoT sans interface, et s'intégrer de manière transparente avec les plateformes de Guest WiFi comme Purple pour garantir un accès sécurisé et conforme dans le Retail , l' Hospitality et d'autres environnements d'entreprise. En maîtrisant ces configurations, les organisations peuvent atténuer les risques de sécurité, assurer la conformité PCI DSS et optimiser le débit du réseau — le tout à partir d'un seul SSID géré de manière centralisée.

Analyse Technique Approfondie

L'Architecture du Routage VLAN Dynamique

Le routage VLAN dans un environnement Meraki repose sur l'interaction entre trois composants clés : le point d'accès Meraki (faisant office d'authentificateur), l'appareil client (le suppliant) et le serveur NAC/RADIUS (le serveur d'authentification). Ce modèle tripartite est défini par la norme IEEE 802.1X et constitue la base de tout déploiement de contrôle d'accès de classe entreprise.

Lorsqu'un appareil s'associe au réseau, le point d'accès intercepte le trafic et transmet une requête d'accès (Access-Request) au serveur RADIUS. Une fois l'authentification réussie, le serveur RADIUS répond par un message d'acceptation d'accès (Access-Accept). Pour que le routage VLAN ait lieu, ce message doit impérativement inclure des attributs RADIUS standard de l'IETF qui indiquent au point d'accès quel VLAN appliquer :

Attribut RADIUS	ID	Valeur	Objectif
Tunnel-Type	64	13 (VLAN)	Spécifie le protocole de tunneling
Tunnel-Medium-Type	65	6 (802)	Spécifie le support de transport
Tunnel-Private-Group-ID	81	ex. `20`	Spécifie l'ID du VLAN cible

Lorsque le point d'accès Meraki reçoit ces attributs, il étiquette dynamiquement le trafic du client avec l'ID de VLAN spécifié avant de le transmettre au port du commutateur. Ce processus est transparent pour l'utilisateur final et se termine en quelques millisecondes après l'association.

Mécanismes d'Authentification

Les réseaux d'entreprise exigent généralement une approche d'authentification à plusieurs niveaux, car le parc d'appareils de tout site donné est hétérogène. Les trois mécanismes principaux sont :

IEEE 802.1X (EAP-TLS ou PEAP) est la référence absolue pour les appareils de l'entreprise et du personnel. L'authentification repose sur des certificats numériques (EAP-TLS) ou des identifiants sécurisés (PEAP-MSCHAPv2), offrant un chiffrement robuste et une validation d'identité. C'est l'approche recommandée pour tout appareil géré par la plateforme MDM de l'organisation.

MAC Authentication Bypass (MAB) est indispensable pour les appareils sans interface utilisateur — caméras IP, terminaux de point de vente, capteurs de gestion technique du bâtiment et téléviseurs connectés — qui ne peuvent pas exécuter un suppliant 802.1X. L'adresse MAC est utilisée comme identifiant. Bien que moins sécurisé que l'authentification par certificat (les adresses MAC pouvant être usurpées), le MAB associé à des ACL de VLAN strictes offre un niveau de sécurité acceptable pour les segments IoT isolés. Pour un traitement complet de ce sujet, reportez-vous à notre guide sur la Gestion de la Sécurité des Appareils IoT avec le NAC et le MPSK .

Authentification par Captive Portal est utilisée pour l'accès invité. Les appareils sont placés dans un état pré-authentification restreint jusqu'à ce que l'utilisateur termine un parcours de connexion — généralement via un réseau social, une inscription par e-mail ou un simple clic — hébergé par une plateforme comme Purple. Cela permet de collecter des données de première main tout en orientant l'appareil vers un VLAN invité isolé.

Guide de Mise en Œuvre

Étape 1 : Planifiez votre Architecture VLAN

Avant de modifier le tableau de bord Meraki, définissez votre stratégie de segmentation VLAN. Un déploiement typique sur un site d'entreprise utilise la structure suivante :

ID VLAN	Nom	Objectif	Méthode d'Authentification
10	Management	Infrastructure réseau	Statique
20	Staff	Appareils d'entreprise, systèmes internes	802.1X (EAP-TLS)
30	Guest	Accès Internet visiteurs	Captive Portal (Purple)
40	IoT	Caméras, capteurs, appareils connectés	MAB
50	POS	Terminaux de paiement (périmètre PCI)	802.1X (Certificat)
999	Quarantine	Échec d'authentification, appareils inconnus	Aucune

Étape 2 : Configurez l'Infrastructure de Commutation

Avant de configurer les paramètres sans fil, l'infrastructure filaire doit être préparée. Les ports de commutation connectés aux AP Meraki doivent être configurés en ports Trunk, autorisant tous les VLAN que l'AP est susceptible d'attribuer de manière dynamique. Il s'agit de l'oubli le plus fréquent lors des déploiements infructueux.

Dans le tableau de bord Meraki, accédez à Switch > Monitor > Switch ports, sélectionnez les ports connectés à vos AP, définissez le Type sur Trunk, configurez le Native VLAN (généralement votre VLAN de gestion), et dans le champ Allowed VLANs, spécifiez explicitement tous les VLAN clients potentiels (ex. 20,30,40,50,999).

Étape 3 : Configurer le SSID Meraki pour le 802.1X

Accédez à Wireless > Configure > Access control et sélectionnez le SSID cible. Sous Network access, sélectionnez Enterprise with 802.1X. Faites défiler vers le bas jusqu'à la section RADIUS servers et ajoutez les détails de votre serveur NAC : adresse IP, port (par défaut 1812 pour l'authentification, 1813 pour l'accounting) et le secret partagé. Pour la redondance, ajoutez un serveur RADIUS secondaire.

Étape 4 : Activer la surcharge RADIUS pour le marquage VLAN

C'est l'étape critique qui permet à l'AP Meraki d'accepter les attributions de VLAN provenant du serveur NAC. Sur la même page Access control, faites défiler jusqu'à la section Addressing and traffic. Définissez Client IP assignment sur Bridge mode — cela garantit que les clients reçoivent des adresses IP du serveur DHCP local sur leur VLAN attribué, et non du NAT de l'AP. Sous VLAN tagging, sélectionnez Use VLAN tag from RADIUS.

Étape 5 : Configurer l'accès invité avec Purple

Pour les réseaux invités, créez un SSID distinct configuré avec une association ouverte et une intégration de Captive Portal. Définissez Network access sur Open (no encryption) et configurez la Splash page pour qu'elle pointe vers l'URL de votre portail Purple. Configurez le VLAN tagging pour attribuer tout le trafic pré-authentifié à un VLAN invité dédié et isolé (ex. VLAN 30) et activez Client isolation pour empêcher les mouvements latéraux entre les appareils invités. La plateforme de WiFi Analytics de Purple gérera le flux d'authentification et la capture de données.

Bonnes pratiques

Mettre en œuvre une posture de fermeture en cas de défaillance (Fail-Closed) avec des VLAN d'authentification critique. Si le serveur RADIUS devient inaccessible, n'ouvrez pas l'accès et n'accordez pas un accès complet au réseau. Configurez un VLAN d'authentification critique qui fournit une connectivité Internet de base mais bloque l'accès à toutes les ressources internes jusqu'à la restauration du serveur NAC. C'est particulièrement important pour les environnements de vente au détail où les terminaux de point de vente doivent continuer à traiter les paiements même en cas de panne de RADIUS.

Activer le Fast BSS Transition (802.11r) pour un itinérance fluide. L'attribution dynamique de VLAN peut introduire de la latence lors de l'itinérance car l'appareil doit se réauthentifier sur chaque AP. Activer le 802.11r garantit des transitions fluides pour les applications voix et vidéo à travers le site. C'est non négociable pour les environnements de l'hôtellerie où les clients se déplacent continuellement dans l'établissement. Comprendre les Wi Fi Frequencies: A Guide to Wi-Fi Frequencies in 2026 peut également aider à optimiser la planification des canaux pour les déploiements denses. Segmentez le trafic IoT de manière agressive. Ne mélangez jamais les appareils IoT avec le trafic d'entreprise ou des invités. Utilisez le MAB pour identifier ces appareils et les orienter vers des VLAN dédiés avec des règles de pare-feu de couche 3 strictes n'autorisant que les ports et destinations spécifiques requis pour le fonctionnement de l'appareil. Une caméra IP compromise ne devrait jamais pouvoir accéder à votre réseau POS ou à vos serveurs de fichiers d'entreprise.

Imposez le WPA3 sur les SSIDs d'entreprise. Lorsque la compatibilité des appareils le permet, configurez les SSIDs d'entreprise pour utiliser WPA3-Enterprise. Cela offre un chiffrement plus fort et élimine les vulnérabilités associées aux attaques PMKID WPA2.

Dépannage et atténuation des risques

Modes de défaillance courants

Les clients ne parviennent pas à obtenir une adresse IP. Il s'agit presque toujours d'un problème de configuration du port de commutateur (switchport). Vérifiez que le port de commutateur connecté à l'AP est configuré en tant que trunk et que le VLAN attribué dynamiquement est autorisé sur ce trunk. Vérifiez également que le serveur DHCP dispose d'une plage active pour ce VLAN et que l'agent de relais DHCP (le cas échéant) est correctement configuré.

Délais d'expiration de l'authentification (Timeouts). Si les appareils subissent des délais d'expiration lors de la négociation 802.1X, vérifiez la latence réseau entre les AP Meraki et le serveur RADIUS. Une latence élevée peut entraîner l'expiration des minuteurs EAP. Le journal des événements du tableau de bord Meraki affichera des événements 8021x_auth_timeout si ce problème survient.

Attribution de VLAN incorrecte. Utilisez le journal des événements du tableau de bord Meraki pour afficher les messages Access-Accept RADIUS. Vérifiez que le serveur NAC envoie le bon attribut Tunnel-Private-Group-ID. S'il est manquant ou incorrect, le problème réside dans la configuration de la politique du NAC, et non dans l'AP Meraki. La plupart des plateformes NAC (Cisco ISE, ClearPass) fournissent des journaux d'authentification RADIUS détaillés qui affichent exactement les attributs renvoyés.

La randomisation des adresses MAC bloque le MAB. Les appareils iOS et Android modernes randomisent leurs adresses MAC par défaut. Pour les réseaux invités gérés par Purple, cela est géré de manière transparente via le flux du Captive Portal — l'identité est établie par la connexion de l'utilisateur, et non par l'adresse MAC. Pour les appareils IoT utilisant le MAB, assurez-vous que l'adresse MAC matérielle réelle est enregistrée dans la base de données des terminaux, car ces appareils ne pratiquent pas la randomisation.

ROI et impact commercial

La mise en œuvre de l'orientation VLAN pilotée par NAC offre une valeur commerciale mesurable pour les sites d'entreprise dans plusieurs dimensions :

Résultat commercial	Mécanisme	Impact mesurable
Réduction des frais généraux d'exploitation	Moins de SSIDs à gérer	Réduction de 60 à 70 % du nombre de SSIDs
Posture de sécurité renforcée	Micro-segmentation automatisée	Rayon d'impact limité en cas de faille
Conformité facilitée	Contrôle d'accès basé sur l'identité	Alignement PCI DSS, GDPR, ISO 27001
Capture des données invités	Intégration du Captive Portal Purple	Données de première partie à grande échelle
Performances réseau	Réduction de la surcharge des trames de gestion	Amélioration du débit dans les zones à haute densité

Pour les opérateurs de la Santé et des Transports , l'argument de la conformité justifie à lui seul l'investissement. La capacité de démontrer que les dossiers des patients se trouvent sur un VLAN strictement isolé, ou que les systèmes de billetterie sont séparés du WiFi public, constitue une atténuation matérielle des risques qui donne satisfaction tant aux audits internes qu'aux exigences réglementaires externes.

Pour les opérateurs de l'hôtellerie et du commerce de détail, l'intégration avec la plateforme de WiFi pour invités de Purple transforme le réseau invités d'un centre de coûts en un actif générateur de revenus. Chaque session d'invité authentifiée devient un point de données, alimentant l'automatisation du marketing, les programmes de fidélité et l'analyse des points de vente — le tout pendant que la politique NAC sous-jacente garantit que le trafic des invités ne touche jamais les systèmes internes.

Écouter le briefing

Pour approfondir les stratégies de déploiement et les pièges courants, écoutez notre podcast de briefing technique de 10 minutes :

Définitions clés

Network Access Control (NAC)

Une architecture de sécurité qui applique des politiques aux appareils cherchant à accéder aux ressources du réseau, évaluant généralement l'identité, la posture de l'appareil et l'état de conformité avant d'accorder l'accès et d'attribuer un segment de réseau.

Les équipes informatiques déploient des plateformes NAC (telles que Cisco ISE ou Aruba ClearPass) pour servir de moteur de politique centralisé, déterminant le VLAN auquel appartient un appareil en fonction de son identité, de sa nature et de son état.

VLAN Steering (Dynamic VLAN Assignment)

Le processus d'attribution automatique d'un appareil client à un réseau local virtuel (VLAN) spécifique lors d'une authentification réussie, quel que soit le port physique ou le SSID auquel il se connecte.

Indispensable pour les sites à forte densité afin de réduire le nombre de SSID diffusés tout en maintenant une segmentation stricte de la sécurité entre les populations d'invités, de personnel et d'appareils IoT.

IEEE 802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un LAN ou à un WLAN, en utilisant le framework EAP (Extensible Authentication Protocol).

La référence absolue pour l'authentification des ordinateurs portables d'entreprise et des smartphones du personnel, garantissant que seuls les utilisateurs vérifiés disposant d'identifiants ou de certificats valides peuvent accéder aux ressources internes.

MAC Authentication Bypass (MAB)

Une méthode d'authentification de secours dans laquelle l'adresse MAC d'un appareil est utilisée comme identifiant lorsque celui-ci ne peut pas prendre en charge le 802.1X. L'adresse MAC est envoyée au serveur RADIUS à la fois comme nom d'utilisateur et mot de passe.

Crucial pour l'intégration d'appareils IoT sans interface utilisateur — imprimantes, caméras, capteurs et terminaux de point de vente — sur un réseau sécurisé et segmenté sans nécessiter d'intervention de l'utilisateur.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour les utilisateurs et les appareils se connectant à un service réseau.

Le protocole utilisé par l'AP Meraki pour communiquer avec le serveur NAC. L'AP envoie des messages Access-Request ; le serveur NAC répond par Access-Accept (incluant les attributs VLAN) ou Access-Reject.

Captive Portal

Une page web qu'un utilisateur d'un réseau public est obligé de consulter et avec laquelle il doit interagir avant d'obtenir un accès complet au réseau. Généralement utilisée pour l'acceptation des conditions d'utilisation, la connexion ou la capture de données.

La principale méthode d'intégration des utilisateurs invités dans les secteurs de l'hôtellerie, du commerce de détail et du secteur public. Les plateformes comme Purple hébergent le Captive Portal, capturant les données d'analyse et appliquant les conditions d'utilisation.

Client Isolation

Une fonctionnalité de sécurité sans fil qui empêche les appareils connectés au même SSID ou VLAN de communiquer directement entre eux, forçant tout le trafic à passer par la passerelle.

Un paramètre obligatoire pour les VLAN invités afin d'empêcher les acteurs malveillants de scanner ou d'attaquer les appareils des autres invités. Doit être activé sur tout SSID où des appareils non approuvés sont attendus.

Fast BSS Transition (802.11r)

Un amendement IEEE 802.11 qui permet des transferts rapides et sécurisés d'un point d'accès à un autre en pré-mettant en cache les clés d'authentification, réduisant ainsi la latence d'itinérance de plusieurs centaines de millisecondes à moins de 50 ms.

Doit être activé lors de l'utilisation du 802.1X et de l'attribution dynamique de VLAN dans les lieux où les utilisateurs sont mobiles, afin d'éviter les coupures d'appels vocaux ou de flux vidéo lorsque les utilisateurs se déplacent entre les points d'accès.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Une méthode d'authentification mutuelle au sein du framework 802.1X qui utilise des certificats numériques à la fois sur le client et sur le serveur d'authentification, offrant le plus haut niveau de sécurité pour l'authentification sans fil.

La méthode d'authentification recommandée pour les appareils entrant dans le périmètre PCI DSS et tout environnement où le vol d'identifiants représente un risque important. Nécessite une infrastructure PKI pour émettre et gérer les certificats clients.

Exemples concrets

Un hôtel de 400 chambres doit déployer un réseau sans fil sécurisé. Il souhaite que le personnel accède en toute sécurité aux systèmes de réservation internes, que les clients accèdent à Internet via un Captive Portal personnalisé, et que les téléviseurs connectés des chambres se connectent à un serveur multimédia local. Il souhaite également minimiser la diffusion de SSID afin de garantir des performances optimales dans les zones à forte densité.

L'équipe informatique doit déployer deux SSIDs. SSID 1 : "Hotel_Secure" configuré pour le 802.1X. Le personnel s'authentifie via EAP-TLS avec des certificats d'entreprise émis par la PKI de l'hôtel. Le serveur NAC (Cisco ISE) reconnaît l'identité du personnel et renvoie les attributs RADIUS les attribuant au VLAN 20 (Personnel), qui dispose d'un accès complet au PMS et aux systèmes de réservation. Les téléviseurs connectés, ne prenant pas en charge le 802.1X, sont profilés à l'aide du contournement d'authentification MAC (MAB). Le serveur NAC reconnaît les préfixes OUI MAC des téléviseurs et les attribue au VLAN 40 (IoT), qui dispose d'ACL autorisant uniquement l'accès au serveur multimédia sur le port 8080 et à Internet. SSID 2 : "Hotel_Guest" configuré en mode Open avec un Captive Portal Purple. Les clients se connectent, sont redirigés vers la page de démarrage Purple et, après une connexion sociale ou une inscription par e-mail réussie, sont attribués au VLAN 30 (Client) avec l'isolation des clients activée. La plateforme Purple capture les données de première main pour le CRM et l'automatisation du marketing de l'hôtel.

Commentaire de l'examinateur : Cette approche équilibre parfaitement sécurité et performances. En regroupant le personnel et l'IoT sur un seul SSID 802.1X et en utilisant un routage VLAN dynamique, l'établissement réduit les coûts de gestion et les interférences RF. Le SSID client est maintenu séparé pour permettre l'association ouverte requise pour le flux du Captive Portal. L'isolation du trafic client avec l'isolation des clients garantit la conformité et empêche les mouvements latéraux. Les ACL du VLAN IoT respectent le principe du moindre privilège : les téléviseurs ne peuvent accéder qu'à ce dont ils ont besoin.

Une chaîne de magasins déploie de nouveaux terminaux de point de vente (POS) sans fil dans 50 points de vente. Ces appareils doivent être strictement segmentés pour répondre aux exigences de conformité PCI DSS. Cependant, l'équipe informatique s'inquiète de ce qui se passerait si le serveur RADIUS central tombait en panne pendant les heures de pointe.

Les terminaux POS doivent se connecter à un SSID compatible 802.1X, en utilisant une authentification basée sur des certificats (EAP-TLS) pour garantir une validation d'identité forte. La politique NAC orientera ces appareils vers un VLAN POS dédié et hautement restreint (VLAN 50) avec des règles de pare-feu de couche 3 autorisant le trafic uniquement vers les IP des passerelles de paiement sur les ports requis. Pour atténuer le risque de panne du serveur RADIUS, l'équipe informatique doit configurer un VLAN d'authentification critique sur les points d'accès Meraki. Si le point d'accès ne peut pas joindre le serveur RADIUS dans le délai configuré, il basculera automatiquement les terminaux POS dans ce VLAN critique. Ce VLAN doit être configuré avec des ACL strictes qui autorisent uniquement le trafic vers les passerelles de traitement des paiements essentielles, garantissant ainsi la continuité des transactions tout en bloquant tout autre accès au réseau. Un serveur RADIUS secondaire sur chaque site offre un niveau de redondance supplémentaire.

Commentaire de l'examinateur : Cette solution démontre une compréhension approfondie de l'atténuation des risques dans les environnements d'entreprise. L'approche de repli via un VLAN d'authentification critique garantit la continuité des activités pour les opérations critiques (l'encaissement des paiements) sans compromettre la sécurité globale ni enfreindre les exigences de conformité PCI DSS. L'utilisation d'EAP-TLS plutôt que de PEAP élimine le risque de vol d'identifiants et est fortement recommandée pour tout appareil entrant dans le périmètre PCI.

Questions d'entraînement

Q1. Un directeur informatique d'hôpital signale que des caméras IP sans fil récemment installées ne parviennent pas à se connecter au SSID 'Med_Secure', qui est configuré pour le 802.1X. Les caméras ne prennent pas en charge l'authentification basée sur les certificats et ne disposent d'aucune interface utilisateur. Comment l'architecture réseau doit-elle être ajustée pour intégrer ces appareils de manière sécurisée ?

Conseil : Considérez la façon dont les appareils sans tête (headless) sont profilés et authentifiés lorsqu'ils ne peuvent pas exécuter de suppléant 802.1X.

Voir la réponse type

L'équipe informatique doit utiliser le MAC Authentication Bypass (MAB) sur le serveur NAC. Les adresses MAC des caméras doivent être ajoutées à la base de données des terminaux et profilées en tant que 'IoT_Camera'. Lorsqu'une caméra tente de se connecter, le serveur NAC utilisera l'adresse MAC comme identifiant d'authentification et renverra les attributs RADIUS pour orienter la caméra vers un VLAN IoT isolé. Des ACL de couche 3 strictes doivent être appliquées à ce VLAN, autorisant le trafic uniquement vers le serveur de gestion des caméras et bloquant tout autre accès au réseau interne. L'hôpital devrait également envisager d'utiliser le fingerprinting DHCP comme méthode de profilage secondaire pour vérifier que le type d'appareil correspond au profil attendu pour l'adresse MAC enregistrée.

Q2. Lors d'un audit de réseau dans une chaîne de magasins, on découvre que les ordinateurs portables du personnel sur le VLAN dynamique s'authentifient avec succès via 802.1X (le journal d'événements affiche des messages Access-Accept avec l'ID de VLAN correct) mais ne reçoivent pas d'adresses IP. Les appareils des invités sur un SSID distinct fonctionnent normalement. Quelle est l'erreur de configuration la plus probable et comment la résoudriez-vous ?

Conseil : L'authentification réussit — le problème se situe au niveau du chemin des données après l'application du tag VLAN.

Voir la réponse type

Le problème le plus probable est que le port de commutateur physique reliant l'AP Meraki au commutateur central n'est pas configuré correctement. Bien que l'AP authentifie avec succès le client et tague le trafic avec l'ID du VLAN du personnel, le port du commutateur est probablement configuré comme un port d'accès (ou un port trunk auquel il manque le VLAN du personnel dans sa liste autorisée). Le port du commutateur doit être configuré en trunk, et le VLAN du personnel attribué dynamiquement doit être explicitement répertorié dans les VLAN autorisés. L'équipe informatique doit se rendre sur Switch > Monitor > Switch ports dans le tableau de bord Meraki, sélectionner le port connecté à l'AP, vérifier qu'il est configuré sur le type Trunk et confirmer que l'ID du VLAN du personnel est inclus dans le champ Allowed VLANs.

Q3. Un stade souhaite offrir un WiFi fluide à 50 000 supporters lors des événements tout en connectant de manière sécurisée les terminaux de point de vente et la signalisation numérique. L'équipe réseau actuelle propose de diffuser cinq SSIDs différents pour séparer le trafic. Pourquoi s'agit-il d'une mauvaise conception pour un environnement à haute densité, et quelle est l'architecture recommandée ?

Conseil : Considérez l'impact des trames de gestion sur le temps d'antenne sans fil dans un environnement à haute densité.

Voir la réponse type

La diffusion de cinq SSIDs crée une surcharge excessive de trames de gestion — chaque SSID nécessite ses propres trames balises (beacon frames) diffusées à intervalles réguliers par chaque point d'accès. Dans un environnement à haute densité comme un stade doté de centaines d'AP, cette surcharge de trames de gestion consomme une proportion importante du temps d'antenne disponible, réduisant directement le débit disponible pour les données des utilisateurs. L'approche recommandée consiste à diffuser un maximum de deux SSIDs : un SSID ouvert avec un Captive Portal Purple pour les 50 000 supporters, les orientant vers un VLAN invité avec isolation des clients ; et un SSID sécurisé activé pour le 802.1X pour tous les appareils de l'entreprise. La politique NAC orientera ensuite de manière dynamique les terminaux de point de vente vers un VLAN conforme à la norme PCI et la signalisation numérique vers un VLAN IoT en fonction de leur identité, sans nécessiter de SSIDs supplémentaires.

Continuer la lecture de cette série

Qu'est-ce qu'un WLC (Wireless LAN Controller) et en avez-vous encore besoin ?

Ce guide complet explore l'évolution des Wireless LAN Controllers (WLC) et fournit un cadre technique pour déterminer la bonne architecture en 2026. Il couvre les modèles matériels traditionnels, gérés dans le cloud et sans contrôleur, en détaillant leur impact sur la conformité, l'évolutivité et l'expérience client.

Power over Ethernet (PoE) pour les points d'accès : un guide d'implémentation

Ce guide fournit aux techniciens d'infrastructure, aux architectes réseau et aux décideurs informatiques une référence technique définitive pour le déploiement de points d'accès Power over Ethernet (PoE) au sein des sites d'entreprise, notamment les hôtels, les commerces, les stades et les établissements du secteur public. Il couvre les normes IEEE de 802.3af à 802.3bt, le calcul du budget de puissance, les exigences de câblage, la segmentation VLAN et la conformité de sécurité, avec des scénarios d'implémentation concrets et des indicateurs de ROI mesurables. Comprendre l'architecture PoE est fondamental pour tout déploiement de [Guest WiFi](/guest-wifi) ou de [WiFi Analytics](/guest-wifi-marketing-analytics-platform), car la fiabilité de la couche physique détermine directement la qualité de la capture des données, l'expérience utilisateur et le temps de fonctionnement opérationnel.

Mesh Network vs Access Points : Quelle est la meilleure option pour les grands espaces ?

Ce guide technique propose une comparaison définitive entre les réseaux mesh et les points d'accès filaires traditionnels pour les espaces de grande envergure, couvrant l'architecture, les compromis de performance et la stratégie de déploiement. Il fournit aux responsables informatiques, architectes réseau et CTO des cadres exploitables pour concevoir des infrastructures WiFi performantes et conformes pour l'hôtellerie, le commerce de détail, l'événementiel et le secteur public. Le guide associe également ces décisions architecturales à la plateforme d'analyse et de WiFi invité agnostique de Purple, démontrant comment le bon choix d'infrastructure génère des résultats commerciaux mesurables.