Passer au contenu principal

Comment configurer des politiques NAC pour le routage VLAN dans Cisco Meraki

Ce guide de référence fournit aux responsables IT, architectes réseau et directeurs de sites un cadre pratique et étape par étape pour configurer les politiques NAC et le routage VLAN dans les environnements Cisco Meraki. Il couvre l'implémentation du protocole 802.1X, l'isolation des appareils IoT via le contournement d'authentification MAC, et l'intégration transparente avec la plateforme d'analyse de WiFi invité de Purple afin de garantir une segmentation réseau sécurisée, conforme et performante dans les déploiements de l'hôtellerie, du commerce de détail et du secteur public.

📖 7 min de lecture📝 1,719 mots🔧 2 exemples concrets3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast
[INTRO] Animateur : Bienvenue dans ce nouveau numéro du Purple Enterprise Networking Brief. Je suis votre hôte, et nous abordons aujourd'hui un scénario de déploiement qui empêche de nombreux directeurs informatiques de dormir : comment configurer des politiques NAC pour l'aiguillage VLAN dans Cisco Meraki. Si vous gérez un site de grande envergure - qu'il s'agisse d'un hôtel de 500 chambres, d'un grand complexe commercial ou d'un stade à forte densité - vous savez déjà qu'un réseau plat est un réseau vulnérable. Vous avez besoin d'une segmentation dynamique. Vous devez garantir que lorsqu'un appareil se connecte à votre SSID, il soit automatiquement profilé, authentifié et placé dans le bon VLAN sans intervention manuelle. Dans ce briefing, nous allons laisser de côté la théorie académique pour plonger directement au cœur de l'architecture pratique. Nous verrons comment implémenter le 802.1X, comment gérer les appareils IoT qui ne peuvent pas exécuter de suppliant, et comment intégrer tout cela de manière transparente avec la plateforme de WiFi invité et d'analyse de Purple. C'est parti. [TECHNICAL DEEP-DIVE] Animateur : Commençons par l'architecture. L'aiguillage VLAN dans un environnement Meraki repose sur le Network Access Control, ou NAC. L'objectif ici est simple : un seul SSID, plusieurs destinations. Au lieu de diffuser des SSID distincts pour le personnel, les invités et l'IoT - ce qui consomme de la bande passante utile et dégrade les performances - nous diffusons un seul SSID sécurisé. Le serveur RADIUS et le tableau de bord Meraki gèrent toute la logique. Lorsqu'un appareil s'associe au point d'accès, l'AP envoie une requête Access-Request au serveur RADIUS. C'est là que le moteur de politique de votre NAC entre en jeu. Le serveur RADIUS vérifie les identifiants, l'état de sécurité de l'appareil ou l'adresse MAC. Il répond ensuite par un message Access-Accept. De manière cruciale, il y inclut des attributs RADIUS - plus précisément Tunnel-Type, Tunnel-Medium-Type et Tunnel-Private-Group-ID. Ce dernier attribut indique précisément à l'AP Meraki quel tag VLAN appliquer au trafic de ce client spécifique. Alors, comment configurer cela dans le tableau de bord Meraki ? Tout d'abord, accédez à Wireless, puis Configure, et sélectionnez Access Control. Sélectionnez votre SSID cible et définissez les conditions d'association sur Enterprise avec 802.1X. C'est la base d'un accès sécurisé basé sur l'identité. Ensuite, vous devez orienter le SSID vers votre serveur RADIUS. Sous les paramètres du serveur RADIUS, saisissez l'adresse IP, le port - généralement 1812 - et le secret partagé. Mais voici l'étape critique pour l'aiguillage VLAN : vous devez faire défiler la page vers le bas et vous assurer que l'option RADIUS override est activée pour les attributions de VLAN. Dans les déploiements Meraki modernes, vous définissez généralement le balisage VLAN sur Use VLAN tag from RADIUS. Maintenant, qu'en est-il des appareils qui ne prennent pas en charge le 802.1X ? Vos caméras IP, vos thermostats connectés, vos terminaux de point de vente ? C'est là que le MAC Authentication Bypass, ou MAB, entre en jeu. Avec le MAB, l'access point utilise l'adresse MAC de l'appareil comme identifiant et mot de passe. Le serveur NAC vérifie cette information par rapport à une base de données de terminaux. Si elle correspond à un profil IoT connu, il renvoie l'identifiant VLAN pour le réseau IoT - par exemple, le VLAN 40. Cela permet de garder vos appareils existants vulnérables complètement isolés de vos données d'entreprise et du trafic invité. [RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER] Animateur : Parlons maintenant des réalités du déploiement. J'ai vu des dizaines de ces lancements, et il y a quelques pièges courants que vous devez éviter. Premièrement : Le dilemme de la tolérance aux pannes (fail-open) par rapport à la fermeture en cas de panne (fail-closed). Que se passe-t-il si votre serveur RADIUS tombe en panne ? Si vous configurez en fail-closed, personne n'accède au réseau. Si vous configurez en fail-open, tout le monde bascule sur un VLAN par défaut. Pour les environnements d'entreprise, en particulier dans le commerce de détail et l'hôtellerie, vous devriez configurer un VLAN d'authentification critique. Cela fournit un accès internet de base mais limite l'accès aux ressources internes jusqu'à ce que le serveur NAC soit à nouveau joignable. Deuxièmement : L'accès invité. Vous ne voulez pas gérer les appareils invités via 802.1X. À la place, vous utilisez un SSID ouvert ou avec clé pré-partagée associé à un Captive Portal. C'est là que Purple excelle. Lorsqu'un invité se connecte, il est redirigé vers une page d'accueil hébergée par Purple. Purple gère l'authentification - souvent via un identifiant de réseau social ou un formulaire simple - et capture ces données de première partie essentielles. Le tableau de bord Meraki est ensuite configuré pour attribuer ces utilisateurs non authentifiés à un VLAN invité hautement restreint, généralement le VLAN 30, avec l'isolation des clients activée. Troisièmement : La configuration des ports de commutateur (switchport). Le pilotage de VLAN côté sans fil est inutile si votre infrastructure filaire n'est pas configurée pour le prendre en charge. Les ports de commutateur connectés à vos AP Meraki doivent être configurés comme des trunks, autorisant tous les VLAN potentiels que l'AP pourrait attribuer aux clients. Si vous oubliez d'autoriser le VLAN 20 sur le port trunk, vos appareils d'employés s'authentifieront avec succès mais ne parviendront pas à obtenir une adresse IP. [QUESTIONS-RÉPONSES RAPIDES] Animateur : Passons en revue une série de questions-réponses rapides basées sur les questions courantes des clients. Question une : Puis-je utiliser l'authentification cloud intégrée de Meraki pour le pilotage de VLAN ? Oui, l'authentification cloud Meraki prend en charge l'attribution dynamique de VLAN via des politiques de groupe, mais pour les environnements d'entreprise complexes avec des exigences de conformité strictes telles que PCI-DSS, un NAC dédié sur site ou hébergé dans le cloud comme Cisco ISE ou ClearPass est recommandé. Question deux : Quel est l'impact sur l'itinérance (roaming) ? L'attribution dynamique de VLAN peut introduire de la latence lors de l'itinérance si une authentification 802.1X complète est requise à chaque access point. Vous devez activer la transition BSS rapide, ou 802.11r, pour garantir une itinérance fluide pour les applications voix et vidéo.Troisième question : Comment gérons-nous la randomisation des adresses MAC ? Les smartphones modernes randomisent leurs adresses MAC pour protéger la vie privée. Pour les réseaux invités gérés par Purple, cela est géré de manière fluide via le flux du captive portal. Pour les réseaux du personnel utilisant 802.1X, l'identité est liée au certificat ou aux identifiants de l'utilisateur, et non à l'adresse MAC, la randomisation n'est donc pas un problème. [RÉSUMÉ & PROCHAINES ÉTAPES] Animateur : Pour conclure, la configuration des politiques NAC pour le routage VLAN dans Cisco Meraki est une étape incontournable pour sécuriser les sites modernes à haute densité. Cela réduit la surcharge liée aux SSID, isole les appareils IoT vulnérables et garantit la conformité avec des cadres tels que le GDPR et PCI-DSS. Rappelez-vous les règles d'or : utilisez le 802.1X pour les appareils d'entreprise, le MAB pour l'IoT, et intégrez un captive portal robuste comme Purple pour votre trafic invité. Assurez-vous que vos ports de trunk sont configurés correctement, et planifiez toujours une redondance des serveurs RADIUS. Pour un guide étape par étape complet, incluant des captures d'écran de configuration et des schémas d'architecture, consultez le guide technique complet sur le site Web de Purple. Merci d'avoir suivi ce point sur les réseaux d'entreprise par Purple. Restez en sécurité, et à la prochaine.

Synthèse

Les sites d'entreprise - des stades à haute densité aux complexes hôteliers tentaculaires - ne peuvent pas se permettre de fonctionner sur un réseau plat. La diffusion de plusieurs SSID pour segmenter le trafic dégrade les performances RF, gaspille un temps d'antenne précieux et crée une charge administrative difficilement gérable sur des déploiements multisites. La norme moderne est la segmentation dynamique : diffuser un seul SSID sécurisé et s'appuyer sur le contrôle d'accès au réseau (NAC) pour profiler, authentifier et orienter automatiquement les appareils vers le bon VLAN.

Ce guide fournit aux architectes informatiques seniors et aux directeurs des opérations un modèle pratique pour configurer les politiques NAC pour l'orientation VLAN dans Cisco Meraki. Nous laissons de côté la théorie académique pour nous concentrer sur les réalités du déploiement : appliquer la norme IEEE 802.1X pour les appareils de l'entreprise, utiliser le MAC Authentication Bypass (MAB) pour les systèmes IoT sans écran, et s'intégrer de manière transparente avec les plateformes de Guest WiFi comme Purple pour garantir un accès sécurisé et conforme dans le Retail , l' Hospitality et d'autres environnements d'entreprise. En maîtrisant ces configurations, les organisations peuvent atténuer les risques de sécurité, garantir la conformité PCI-DSS et optimiser le débit du réseau - le tout à partir d'un seul SSID géré de manière centralisée.

header_image.png

Analyse technique approfondie

L'architecture de l'orientation VLAN dynamique

L'orientation VLAN dans un environnement Meraki repose sur l'interaction entre trois composants clés : le point d'accès Meraki (qui agit comme authentificateur), l'appareil client (le suppliant) et le serveur NAC/RADIUS (le serveur d'authentification). Ce modèle à trois parties est défini par la norme IEEE 802.1X et constitue l'épine dorsale de tout déploiement de contrôle d'accès de classe entreprise.

Lorsqu'un appareil s'associe au réseau, le point d'accès intercepte le trafic et transmet une requête Access-Request au serveur RADIUS. Une fois l'authentification réussie, le serveur RADIUS répond par un message Access-Accept. Pour que l'orientation VLAN ait lieu, il est essentiel que ce message contienne des attributs RADIUS standard de l'IETF spécifiques qui indiquent au point d'accès quel VLAN appliquer :

Attribut RADIUS ID Valeur Objectif
Tunnel-Type 64 13 (VLAN) Spécifie le protocole de tunneling
Tunnel-Medium-Type 65 6 (802) Spécifie le support de transport
Tunnel-Private-Group-ID 81 ex. 20 Spécifie l'ID du VLAN cible

Lorsque le point d'accès Meraki reçoit ces attributs, il marque dynamiquement le trafic du client avec l'ID du VLAN désigné avant de le transmettre sur le port du commutateur. Ce processus est transparent pour l'utilisateur final et se termine dans les millisecondes qui suivent l'association. vlan_architecture_overview.png

Mécanismes d'authentification

Les réseaux d'entreprise exigent généralement une approche d'authentification à plusieurs niveaux, car le parc d'appareils présents sur un site donné est hétérogène. Il existe trois principaux mécanismes :

IEEE 802.1X (EAP-TLS ou PEAP) est la référence absolue pour les appareils de l'entreprise et du personnel. L'authentification repose sur des certificats numériques (EAP-TLS) ou des identifiants sécurisés (PEAP-MSCHAPv2), offrant un chiffrement fort et une vérification d'identité rigoureuse. C'est l'approche recommandée pour tout appareil géré par la plateforme MDM de l'organisation.

Le contournement de l'authentification MAC (MAB) est requis pour les appareils sans interface utilisateur - caméras IP, terminaux de point de vente, capteurs de gestion technique du bâtiment et téléviseurs connectés - qui ne peuvent pas exécuter de demandeur 802.1X. L'adresse MAC sert d'identifiant. Bien que cette méthode soit moins sécurisée que l'authentification par certificat (les adresses MAC pouvant être usurpées), le MAB associé à des ACL de VLAN strictes offre un niveau de sécurité acceptable pour les segments IoT isolés. Pour un aperçu complet de ce sujet, consultez notre guide sur la Gestion de la sécurité des appareils IoT avec le NAC et le MPSK .

L'authentification par Captive Portal est utilisée pour l'accès invité. L'appareil est maintenu dans un état pré-authentification restreint jusqu'à ce que l'utilisateur termine le parcours de connexion - généralement via un réseau social, une inscription par e-mail ou un simple clic - hébergé par une plateforme comme Purple. Cela permet de collecter des données de première main tout en orientant l'appareil vers un VLAN invité isolé.

nac_policy_decision_flow.png

Guide de mise en œuvre

Étape 1 : Planifier votre architecture VLAN

Avant de configurer le tableau de bord Meraki, définissez votre stratégie de segmentation VLAN. Un déploiement typique sur un site d'entreprise utilise la structure suivante :

ID VLAN Nom Objectif Méthode d'authentification
10 Gestion Infrastructure réseau Statique
20 Personnel Appareils d'entreprise, systèmes internes 802.1X (EAP-TLS)
30 Invité Accès Internet des visiteurs Captive Portal (Purple)
40 IoT Caméras, capteurs, appareils intelligents MAB
50 POS Terminaux de paiement (périmètre PCI) 802.1X (Certificat)
999 Quarantaine Échec d'authentification, appareils inconnus Aucun

Étape 2 : Configurer l'infrastructure de commutateurs

Avant de configurer les paramètres sans fil, l'infrastructure filaire doit être préparée. Les ports de commutateur connectés aux points d'accès Meraki doivent être configurés en ports trunk, autorisant tous les VLAN que le point d'accès peut attribuer de manière dynamique. Il s'agit de l'omission la plus courante lors des échecs de déploiement.

Dans le tableau de bord Meraki, naviguez vers Switch > Monitor > Switch ports, sélectionnez les ports connectés à vos AP, définissez le Type sur Trunk, configurez le Native VLAN (généralement votre VLAN de gestion), et dans le champ Allowed VLANs, spécifiez explicitement tous les VLAN clients potentiels (ex. 20,30,40,50,999).

Étape 3 : Configurer le SSID Meraki pour le 802.1X

Naviguez vers Wireless > Configure > Access control et sélectionnez le SSID cible. Sous Network access, choisissez Enterprise with 802.1X. Faites défiler vers le bas jusqu'à la section RADIUS servers et ajoutez les détails de votre serveur NAC : adresse IP, port (par défaut 1812 pour l'authentification, 1813 pour l'accounting), et le secret partagé. Pour la redondance, ajoutez un serveur RADIUS secondaire.

Étape 4 : Activer le RADIUS Override pour le balisage VLAN

Il s'agit de l'étape critique qui permet à l'AP Meraki d'accepter les attributions de VLAN provenant du serveur NAC. Sur cette même page Access control, faites défiler vers le bas jusqu'à la section Addressing and traffic. Définissez Client IP assignment sur Bridge mode - cela garantit que les clients reçoivent des adresses IP du serveur DHCP local sur leur VLAN attribué, et non du NAT de l'AP. Sous VLAN tagging, sélectionnez Use VLAN tag from RADIUS.

Étape 5 : Configurer l'accès invité avec Purple

Pour le réseau invité, créez un SSID distinct configuré avec une association ouverte et l'intégration de la Captive Portal. Définissez Network access sur Open (no encryption) et configurez la Splash page pour pointer vers l'URL de votre portail Purple. Définissez VLAN tagging pour attribuer tout le trafic pré-authentifié à un VLAN invité dédié et isolé (ex. VLAN 30) et activez Client isolation pour empêcher tout mouvement latéral entre les appareils des invités. La plateforme d' Analyses WiFi de Purple gérera le flux d'authentification et la capture de données.

Bonnes pratiques

Mettez en œuvre une posture de fermeture sécurisée avec des VLAN d'authentification critiques. Si le serveur RADIUS devient injoignable, n'ouvrez pas l'accès par défaut pour accorder un accès complet au réseau. Configurez un VLAN d'authentification critique qui fournit une connectivité internet de base mais bloque l'accès à toutes les ressources internes jusqu'à ce que le serveur NAC soit rétabli. Cela est particulièrement vital pour les environnements de vente au détail où les terminaux de point de vente doivent continuer à traiter les paiements même pendant une panne RADIUS.

Activez le Fast BSS Transition (802.11r) pour une itinérance fluide. L'attribution dynamique de VLAN peut introduire de la latence lors de l'itinérance car l'appareil doit se réauthentifier sur chaque AP. L'activation de la norme 802.11r garantit des transferts fluides pour les applications voix et vidéo sur l'ensemble du site. C'est une condition non négociable pour les environnements hôteliers où les clients se déplacent constamment dans l'établissement. Comprendre les Fréquences WiFi : Un guide des fréquences WiFi en 2026 peut également aider à optimiser la planification des canaux pour les déploiements denses.Segmentez le trafic IoT de manière agressive. Ne mélangez jamais les appareils IoT avec le trafic d'entreprise ou des invités. Utilisez le MAB pour identifier ces appareils et les diriger vers des VLANs dédiés avec des règles de pare-feu de couche 3 strictes qui n'autorisent que les ports et destinations spécifiques requis pour le fonctionnement de l'appareil. Une caméra IP compromise ne devrait jamais pouvoir accéder à votre réseau POS ou à vos serveurs de fichiers d'entreprise.

Imposez le WPA3 sur les SSIDs d'entreprise. Lorsque la compatibilité des appareils le permet, configurez les SSIDs d'entreprise pour utiliser le WPA3-Enterprise. Cela offre un chiffrement plus fort et élimine les vulnérabilités associées aux attaques PMKID du WPA2.

Dépannage et atténuation des risques

Modes de défaillance courants

Les clients ne parviennent pas à obtenir une adresse IP. Il s'agit presque toujours d'un problème de configuration du port du commutateur. Vérifiez que le port du commutateur connecté à l'AP est configuré en tant que trunk et que le VLAN attribué dynamiquement est autorisé sur ce trunk. Vérifiez également que le serveur DHCP dispose d'une plage active pour ce VLAN et que l'agent de relais DHCP (le cas échéant) est correctement configuré.

Délais d'expiration de l'authentification. Si les appareils subissent des délais d'expiration lors de la liaison 802.1X, vérifiez la latence réseau entre les APs Meraki et le serveur RADIUS. Une latence élevée peut entraîner l'expiration des minuteries EAP. Le journal d'événements du tableau de bord Meraki affichera un événement 8021x_auth_timeout si cela se produit.

Attribution de VLAN incorrecte. Utilisez le journal d'événements du tableau de bord Meraki pour afficher le message Access-Accept du RADIUS. Vérifiez que le serveur NAC envoie le bon attribut Tunnel-Private-Group-ID. S'il est manquant ou incorrect, le problème réside dans la configuration de la politique du NAC, et non dans l'AP Meraki. La plupart des plateformes NAC (Cisco ISE, ClearPass) fournissent des journaux d'authentification RADIUS détaillés qui indiquent exactement quels attributs ont été renvoyés.

L'anonymisation des adresses MAC perturbe le MAB. Les appareils iOS et Android modernes génèrent des adresses MAC aléatoires par défaut. Pour les réseaux invités gérés par Purple, cela est géré de manière fluide via le flux du Captive Portal - l'identité est établie par la connexion de l'utilisateur, et non par l'adresse MAC. Pour les appareils IoT utilisant le MAB, assurez-vous que la véritable adresse MAC matérielle est enregistrée dans la base de données des terminaux, car ces appareils n'utilisent pas d'adresses MAC aléatoires.

ROI et impact commercial

La mise en œuvre d'un pilotage VLAN piloté par le NAC offre une valeur commerciale mesurable pour les sites d'entreprise sur plusieurs dimensions :

Résultat commercial Mécanisme Impact mesurable
Réduction des coûts opérationnels Moins de SSIDs à gérer Réduction de 60 à 70 % du nombre de SSIDs
Posture de sécurité renforcée Micro-segmentation automatisée Rayon d'impact limité en cas de faille
Facilitation de la conformité Contrôle d'accès basé sur l'identité Alignement PCI DSS, GDPR, ISO 27001
Capture des données invités Intégration du Captive Portal Purple Données de première partie à grande échelle
Performance réseau Réduction de la surcharge des trames de gestion Meilleur débit dans les zones à haute densité

Pour les opérateurs de l'hôtellerie et du commerce de détail, l'intégration avec la plateforme de WiFi invité de Purple transforme le réseau invité d'un centre de coûts en un actif générateur de revenus. Chaque session d'invité authentifiée devient un point de données, alimentant l'automatisation du marketing, les programmes de fidélité et les analyses de site - le tout pendant que la politique NAC sous-jacente garantit que le trafic des invités ne touche jamais les systèmes internes.


Écouter le Briefing

Pour approfondir les stratégies de déploiement et les pièges courants, écoutez notre podcast de briefing technique de 10 minutes :

Définitions clés

Contrôle d'accès au réseau (NAC)

Une architecture de sécurité qui applique des politiques aux appareils cherchant à accéder aux ressources du réseau, évaluant généralement l'identité, la posture de l'appareil et l'état de conformité avant d'accorder l'accès et d'assigner un segment de réseau.

Les équipes informatiques déploient des plateformes NAC (telles que Cisco ISE ou Aruba ClearPass) pour servir de moteur de politique centralisé, déterminant le VLAN auquel appartient un appareil en fonction de son identité, de sa nature et de son état.

Orientation VLAN (attribution dynamique de VLAN)

Le processus d'attribution automatique d'un appareil client à un réseau local virtuel (VLAN) spécifique après une authentification réussie, quel que soit le port physique ou l'SSID auquel il se connecte.

Indispensable pour les sites à forte densité afin de réduire le nombre d'SSID diffusés tout en maintenant une segmentation de sécurité stricte entre les populations d'invités, de personnel et d'appareils IoT.

IEEE 802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau local ou un WLAN, en utilisant le framework EAP.

La référence absolue pour l'authentification des ordinateurs portables d'entreprise et des smartphones du personnel, garantissant que seuls les utilisateurs vérifiés disposant d'identifiants ou de certificats valides peuvent accéder aux ressources internes.

Contournement de l'authentification MAC (MAB)

Une méthode d'authentification de secours où l'adresse MAC d'un appareil est utilisée comme identifiant de sécurité lorsqu'il ne peut pas prendre en charge le 802.1X. L'adresse MAC est envoyée au serveur RADIUS à la fois comme nom d'utilisateur et mot de passe.

Crucial pour l'intégration d'appareils IoT sans écran - imprimantes, caméras, capteurs et terminaux de point de vente - sur un réseau sécurisé et segmenté sans nécessiter d'intervention humaine.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA) pour les utilisateurs et les appareils se connectant à un service réseau.

Le protocole utilisé par le point d'accès Meraki pour communiquer avec le serveur NAC. Le point d'accès envoie des messages Access-Request ; le serveur NAC répond par Access-Accept (incluant les attributs VLAN) ou Access-Reject.

Captive Portal

Une page web qu'un utilisateur d'un réseau public est obligé de consulter et avec laquelle il doit interagir avant de bénéficier d'un accès complet au réseau. Généralement utilisée pour l'acceptation des conditions d'utilisation, la connexion ou la capture de données.

La méthode principale pour accueillir les utilisateurs invités dans l'hôtellerie, le commerce de détail et les secteurs publics. Des plateformes comme Purple hébergent le Captive Portal, collectant des données analytiques et appliquant les conditions d'utilisation.

Isolation des clients

Une fonctionnalité de sécurité sans fil qui empêche les appareils connectés au même SSID ou VLAN de communiquer directement entre eux, forçant tout le trafic à passer par la passerelle.

Un paramètre obligatoire pour les VLAN invités afin d'empêcher les acteurs malveillants d'analyser ou d'attaquer les appareils des autres invités. Doit être activé sur tout SSID où des appareils non approuvés sont attendus.

Transition BSS rapide (802.11r)

Un amendement à la norme IEEE 802.11 qui permet des transferts rapides et sécurisés d'un point d'accès à un autre en pré-mettant en cache les clés d'authentification, réduisant la latence d'itinérance de plusieurs centaines de millisecondes à moins de 50 ms.

Doit être activé lors de l'utilisation de 802.1X et de l'attribution dynamique de VLAN dans les lieux où les utilisateurs sont mobiles, afin d'éviter les coupures de appels vocaux ou de flux vidéo lorsque les utilisateurs se déplacent entre les points d'accès.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Une méthode d'authentification mutuelle au sein du framework 802.1X qui utilise des certificats numériques tant sur le client que sur le serveur d'authentification, offrant le niveau de sécurité le plus élevé pour l'authentification sans fil.

La méthode d'authentification recommandée pour les appareils entrant dans le périmètre PCI-DSS et tout environnement où le vol d'identifiants est un risque important. Nécessite une infrastructure PKI pour émettre et gérer les certificats clients.

Exemples concrets

Un hôtel de 400 chambres doit déployer un réseau sans fil sécurisé. Il exige que le personnel accède en toute sécurité aux systèmes de réservation internes, que les invités accèdent à Internet via un Captive Portal personnalisé, et que les téléviseurs intelligents des chambres se connectent à un serveur multimédia local. Il souhaite minimiser la diffusion des SSID afin de garantir des performances optimales dans les zones à forte densité.

L'équipe informatique doit déployer deux SSID. SSID 1 : "Hotel_Secure" configuré pour le 802.1X. Le personnel s'authentifie en utilisant le protocole EAP-TLS avec des certificats d'entreprise émis par la PKI de l'hôtel. Le serveur NAC (Cisco ISE) reconnaît l'identité du personnel et renvoie des attributs RADIUS les affectant au VLAN 20 (Personnel), qui dispose d'un accès complet au PMS et aux systèmes de réservation. Les téléviseurs intelligents, dépourvus de capacités 802.1X, sont identifiés par contournement d'authentification MAC (MAB). Le serveur NAC reconnaît les préfixes OUI de l'adresse MAC des téléviseurs et les affecte au VLAN 40 (IoT), qui dispose de règles ACL autorisant uniquement l'accès au serveur multimédia sur le port 8080 et à Internet. SSID 2 : "Hotel_Guest" configuré en mode ouvert avec un Captive Portal Purple. Les invités se connectent, sont redirigés vers la page de connexion Purple et, après s'être connectés via un réseau social ou enregistrés par e-mail, sont affectés au VLAN 30 (Invité) avec l'isolation des clients activée. La plateforme Purple capture les données de première partie pour le CRM et l'automatisation marketing de l'hôtel.

Commentaire de l'examinateur : Cette approche équilibre parfaitement sécurité et performance. En regroupant le personnel et l'IoT sur un seul SSID 802.1X et en utilisant le routage VLAN dynamique, le site réduit les coûts de gestion et les interférences radio. Le SSID invité reste distinct afin de permettre l'association ouverte requise pour le flux du Captive Portal. L'isolation du trafic des invités garantit la conformité et empêche les mouvements latéraux. Les ACL du VLAN IoT respectent le principe du moindre privilège - les téléviseurs ne peuvent accéder qu'à ce dont ils ont strictement besoin.

Une chaîne de magasins déploie de nouveaux terminaux de point de vente (POS) sans fil dans 50 points de vente. Ces appareils doivent être strictement segmentés pour être conformes aux exigences PCI-DSS. Cependant, l'équipe informatique s'inquiète de ce qui se passerait si le serveur RADIUS central tombait en panne pendant les heures de pointe.

Les terminaux POS doivent se connecter à un SSID compatible 802.1X, en utilisant une authentification basée sur les certificats (EAP-TLS) pour garantir une validation d'identité forte. La politique NAC dirigera ces appareils vers un VLAN POS dédié et hautement restreint (VLAN 50) avec des règles de pare-feu de couche 3 autorisant le trafic uniquement vers les adresses IP de la passerelle de paiement sur les ports requis. Pour atténuer le risque de panne du serveur RADIUS, l'équipe informatique doit configurer un VLAN d'authentification critique sur les points d'accès Meraki. Si le point d'accès ne parvient pas à contacter le serveur RADIUS dans le délai configuré, il basculera automatiquement les terminaux POS dans ce VLAN critique. Ce VLAN doit être configuré avec des ACL strictes qui autorisent uniquement le trafic vers les passerelles de traitement des paiements essentielles, garantissant ainsi la continuité des transactions tout en bloquant tout autre accès au réseau. Un serveur RADIUS secondaire sur chaque site offre un niveau de redondance supplémentaire.

Commentaire de l'examinateur : Cette solution démontre une compréhension approfondie de l'atténuation des risques dans les environnements d'entreprise. L'approche de blocage en cas de panne (fail-closed) via un VLAN d'authentification critique garantit la continuité des activités pour les opérations critiques - la prise de paiements - sans compromettre la posture de sécurité globale ni enfreindre les exigences de conformité PCI-DSS. L'utilisation d'EAP-TLS plutôt que de PEAP élimine le risque de vol d'identifiants et est fortement recommandée pour tout appareil entrant dans le périmètre PCI.

Questions d'entraînement

Q1. Un directeur informatique d'hôpital signale que des caméras IP sans fil nouvellement installées ne parviennent pas à se connecter au SSID 'Med_Secure', configuré pour le 802.1X. Les caméras ne prennent pas en charge l'authentification par certificat et n'ont pas d'interface utilisateur. Comment l'architecture réseau doit-elle être ajustée pour intégrer ces appareils de manière sécurisée ?

Conseil : Considérez comment les appareils sans écran sont profilés et authentifiés lorsqu'ils ne peuvent pas exécuter de suppliant 802.1X.

Voir la réponse type

L'équipe informatique doit utiliser le MAC Authentication Bypass (MAB) sur le serveur NAC. Les adresses MAC des caméras doivent être ajoutées à la base de données des terminaux et profilées comme 'IoT_Camera'. Lorsqu'une caméra tente de se connecter, le serveur NAC utilisera l'adresse MAC comme identifiant d'authentification et renverra les attributs RADIUS pour orienter la caméra vers un VLAN IoT isolé. Des ACL de couche 3 strictes doivent être appliquées à ce VLAN, autorisant le trafic uniquement vers le serveur de gestion des caméras et bloquant tout autre accès au réseau interne. L'hôpital devrait également envisager d'utiliser le fingerprinting DHCP comme méthode de profilage secondaire pour vérifier que le type d'appareil correspond au profil attendu pour l'adresse MAC enregistrée.

Q2. Lors d'un audit de réseau dans une chaîne de magasins, on découvre que les ordinateurs portables du personnel sur le VLAN dynamique s'authentifient avec succès via 802.1X (le journal d'événements montre des messages Access-Accept avec le bon ID de VLAN) mais ne reçoivent pas d'adresses IP. Les appareils invités sur un SSID distinct fonctionnent normalement. Quelle est l'erreur de configuration la plus probable et comment la résoudriez-vous ?

Conseil : L'authentification réussit - le problème se situe au niveau du chemin des données après l'application du tag VLAN.

Voir la réponse type

Le problème le plus probable est que le port de commutateur physique reliant l'AP Meraki au commutateur central n'est pas configuré correctement. Bien que l'AP authentifie avec succès le client et tague le trafic avec l'ID du VLAN du personnel, le port du commutateur est probablement configuré comme un port d'accès (ou un port trunk auquel il manque le VLAN du personnel dans sa liste autorisée). Le port du commutateur doit être configuré en mode trunk, et le VLAN du personnel attribué dynamiquement doit être explicitement listé dans les VLAN autorisés. L'équipe informatique doit se rendre dans Switch > Monitor > Switch ports dans le tableau de bord Meraki, sélectionner le port connecté à l'AP, vérifier qu'il est défini sur le type Trunk et confirmer que l'ID du VLAN du personnel est inclus dans le champ Allowed VLANs.

Q3. Un stade souhaite offrir un WiFi fluide à 50 000 supporters lors d'événements tout en connectant de manière sécurisée des terminaux de point de vente et de la signalisation numérique. L'équipe réseau actuelle propose de diffuser cinq SSID différents pour séparer le trafic. Pourquoi est-ce une mauvaise conception pour un environnement à haute densité, et quelle est l'architecture recommandée ?

Conseil : Considérez l'impact des trames de gestion sur le temps d'antenne sans fil dans un environnement à haute densité.

Voir la réponse type

La diffusion de cinq SSID crée une surcharge excessive de trames de gestion - chaque SSID nécessite ses propres trames balises (beacons) diffusées à intervalles réguliers par chaque point d'accès. Dans un environnement à haute densité comme un stade avec des centaines d'AP, cette surcharge de trames de gestion consomme une part importante du temps d'antenne disponible, réduisant directement le débit disponible pour les données des utilisateurs. L'approche recommandée est de diffuser un maximum de deux SSID : un SSID ouvert avec un Captive Portal Purple pour les 50 000 supporters, les orientant vers un VLAN invité avec isolation des clients ; et un SSID sécurisé activé pour le 802.1X pour tous les appareils de l'entreprise. La politique NAC orientera ensuite dynamiquement les terminaux de point de vente vers un VLAN conforme PCI et la signalisation numérique vers un VLAN IoT en fonction de leur identité, sans nécessiter de SSID supplémentaires.

Continuer la lecture de cette série

Qu'est-ce qu'un WLC (Wireless LAN Controller) et en avez-vous encore besoin ?

Ce guide complet explore l'évolution des Wireless LAN Controllers (WLC) et fournit un cadre technique pour déterminer la bonne architecture en 2026. Il couvre les modèles matériels traditionnels, gérés dans le cloud et sans contrôleur, en détaillant leur impact sur la conformité, l'évolutivité et l'expérience client.

Lire le guide →

Power over Ethernet (PoE) pour Points d'Accès : Un Guide d'Implémentation

Ce guide fournit aux techniciens d'infrastructure, architectes réseau et décideurs informatiques une référence technique définitive pour le déploiement de points d'accès Power over Ethernet (PoE) dans les sites d'entreprise, y compris les hôtels, les parcs de vente au détail, les stades et les installations du secteur public. Il couvre les normes IEEE de 802.3af à 802.3bt, le calcul du budget de puissance, les exigences de câblage, la segmentation VLAN et la conformité de sécurité, avec des scénarios d'implémentation concrets et des critères de ROI mesurables. Comprendre l'architecture PoE est fondamental pour tout déploiement de [Guest WiFi](/guest-wifi) ou de [WiFi Analytics](/guest-wifi-marketing-analytics-platform), car la fiabilité de la couche physique détermine directement la qualité de la capture de données, l'expérience utilisateur et la disponibilité opérationnelle.

Lire le guide →

Mesh Network vs Access Points : Quelle est la meilleure option pour les grands espaces ?

Ce guide technique propose une comparaison définitive entre les réseaux mesh et les points d'accès filaires traditionnels pour les espaces de grande envergure, couvrant l'architecture, les compromis de performance et la stratégie de déploiement. Il fournit aux responsables informatiques, architectes réseau et CTO des cadres exploitables pour concevoir des infrastructures WiFi performantes et conformes pour l'hôtellerie, le commerce de détail, l'événementiel et le secteur public. Le guide associe également ces décisions architecturales à la plateforme d'analyse et de WiFi invité agnostique de Purple, démontrant comment le bon choix d'infrastructure génère des résultats commerciaux mesurables.

Lire le guide →