Comment configurer un hotspot WiFi pour votre entreprise
Ce guide de référence propose aux responsables informatiques, architectes réseau et directeurs de site un plan pratique et indépendant des fournisseurs pour déployer des hotspots WiFi invités sécurisés, conformes et performants. Il couvre les décisions architecturales critiques - de la segmentation VLAN et la configuration de Captive Portal à la conformité GDPR et la régulation du trafic - et démontre comment transformer l'infrastructure réseau d'un centre de coûts en une plateforme d'analyse génératrice de revenus grâce aux fonctionnalités de WiFi invité et d'analyse de Purple.
Écouter ce guide
Voir la transcription du podcast
- Résumé opérationnel
- Analyse technique approfondie : Architecture et segmentation
- Segmentation du réseau via les VLAN
- Le flux d'authentification du Captive Portal
- Normes sans fil et planification des fréquences
- Guide de mise en œuvre : Matériel, configuration et déploiement
- Étape 1 : Dimensionnement du FAI et de la liaison montante
- Étape 2 : Sélection et placement des points d'accès
- Étape 3 : Configuration du commutateur géré et du VLAN
- Étape 4 : Pare-feu et limitation de bande passante
- Étape 5 : Configuration du Captive Portal
- Bonnes pratiques et conformité
- GDPR et confidentialité des données
- Journalisation des sessions et conformité légale
- WPA3 et normes de chiffrement
- Gestion de la randomisation des adresses MAC
- Dépannage et atténuation des risques
- ROI et impact commercial

Résumé opérationnel
Pour les établissements physiques - qu'il s'agisse de chaînes de magasins, de groupes hôteliers, de centres de conférences ou de grandes institutions publiques - le WiFi invité est passé du statut de commodité optionnelle à celui de point de contact numérique critique. Les clients et les visiteurs s'attendent désormais à une connectivité rapide et fiable comme norme de base. Pourtant, l'écart opérationnel et juridique entre un routeur grand public et un point d'accès d'entreprise correctement déployé est énorme. Un réseau mal implémenté expose les actifs de l'entreprise à des attaques par mouvement latéral, crée des responsabilités en vertu du GDPR et de la législation sur la cybercriminalité, et gaspille l'opportunité de collecter de précieuses données de première main.
Ce guide offre aux responsables informatiques et aux architectes réseau chargés de déployer ou de mettre à niveau un service WiFi public un modèle pragmatique et indépendant des fournisseurs. Nous détaillons l'architecture technique requise pour fournir un point d'accès sécurisé et segmenté, en mettant l'accent sur la conception des VLAN, le flux d'authentification du Captive Portal, la gestion de la bande passante et les exigences de conformité, notamment le GDPR, le PCI-DSS et la norme IEEE 802.1X. Nous explorons également comment l'intégration d'une plateforme gérée telle que Guest WiFi transforme la connectivité brute en WiFi Analytics exploitables, permettant aux exploitants de sites de comprendre les schémas de fréquentation, de mesurer le temps de visite et de générer un retour sur investissement marketing mesurable.
Analyse technique approfondie : Architecture et segmentation
Le principe fondamental de tout déploiement de point d'accès d'entreprise est l'isolation. À chaque couche de la pile réseau, le trafic invité doit être séparé de manière cryptographique et logique des données de l'entreprise. Ne pas appliquer cette séparation est l'erreur la plus courante - et la plus lourde de conséquences - dans les déploiements de WiFi publics.
Segmentation du réseau via les VLAN
Déployer un réseau plat dans lequel les invités et les systèmes de point de vente (POS) partagent le même sous-réseau est une faille de sécurité catastrophique. Les déploiements en entreprise utilisent des réseaux locaux virtuels (VLAN) pour segmenter le trafic au niveau du commutateur géré, imposant des limites logiques indépendamment de la topologie physique.
Un déploiement multi-locataire standard définit généralement au moins deux VLAN :
| VLAN | Objectif | ID type | Politique de routage |
|---|---|---|---|
| Corporate | Appareils du personnel, terminaux POS, serveurs administratifs | VLAN 10 | Accès interne complet |
| Guest | Accès internet public uniquement | VLAN 20 | Internet uniquement ; pas de routage interne |
| IoT/Bâtiment | Vidéosurveillance, CVC, contrôle d'accès aux portes | VLAN 30 | Isolé ; pas d'internet |
Le trafic sur le VLAN invité est routé directement vers Internet via un pare-feu Unified Threat Management (UTM), configuré avec des listes de contrôle d'accès (ACL) strictes qui rejettent tout paquet destiné aux sous-réseaux internes. Cette segmentation est un contrôle obligatoire en vertu de la spécification PCI-DSS Requirement 1.3, qui stipule que l'environnement des données de cartes de paiement doit être isolé des réseaux non sécurisés. Pour les opérateurs du secteur de la vente au détail et de l'hôtellerie exploitant des terminaux de paiement sur la même infrastructure physique, cela est non négociable.
Le flux d'authentification du Captive Portal
Lorsqu'un appareil invité s'associe à un point d'accès (AP), il obtient une adresse IP via DHCP. À ce stade, le pare-feu bloque tout le trafic Internet sortant. La séquence d'authentification complète fonctionne comme suit :
- Association : L'appareil se connecte au SSID ouvert (ou à un SSID OpenRoaming sécurisé via 802.1X/EAP).
- Attribution DHCP : Le serveur DHCP du VLAN invité attribue une adresse IP, une passerelle par défaut et des serveurs DNS.
- Interception : Lorsque l'appareil tente une requête HTTP (ou que le système d'exploitation déclenche une sonde de Captive Portal vers une URL connue), le réseau intercepte la requête via une redirection DNS et redirige l'utilisateur vers le serveur du Captive Portal.
- Authentification : L'utilisateur est accueilli par une page de connexion personnalisée. Il s'authentifie par e-mail, connexion sociale (OAuth), un code unique envoyé par SMS, ou un fournisseur d'identité transparent tel que OpenRoaming.
- Capture du consentement : Les conditions d'utilisation acceptables (AUP) sont présentées à l'utilisateur, ainsi qu'une case à cocher explicite de consentement préalable (opt-in) si des données sont collectées à des fins de marketing.
- Signal d'autorisation : Le serveur du portail communique avec le contrôleur LAN sans fil ou le pare-feu via RADIUS ou une API REST pour autoriser l'adresse MAC ou l'adresse IP de l'appareil à accéder à Internet.
- Accès accordé : Les règles du pare-feu se mettent à jour de manière dynamique et l'utilisateur est redirigé vers sa destination initiale.

Pour les environnements nécessitant une authentification d'entreprise basée sur des certificats pour les appareils du personnel au-delà du portail invité, consultez notre guide Comment configurer un réseau WiFi d'entreprise avec 802.1X sur iOS et macOS (également disponible en portugais : Como Configurar WiFi Corporativo em iOS e macOS com 802.1X ).
Normes sans fil et planification des fréquences
Les déploiements d'entreprise doivent se standardiser sur des points d'accès 802.11ax (WiFi 6) ou 802.11be (WiFi 7). Le WiFi 6 a introduit l'OFDMA (Orthogonal Frequency-Division Multiple Access), qui améliore considérablement les performances dans les environnements à haute densité en permettant à un seul AP de desservir simultanément plusieurs clients sur des sous-canaux plutôt que de manière séquentielle. Cela est particulièrement critique dans les établissements de santé , les centres de conférence et les déploiements de stades, où des centaines d'appareils peuvent se connecter à un seul AP pendant les périodes de pointe.
L'allocation des bandes doit suivre ces principes. La bande 2.4 GHz offre une plus grande portée et une meilleure pénétration à travers les murs, ce qui la rend adaptée aux appareils existants et aux grands espaces ouverts. Cependant, elle ne dispose que de trois canaux sans chevauchement (1, 6, 11) et est très sensible aux interférences co-canal dans les déploiements denses. La bande 5 GHz offre plus de 24 canaux sans chevauchement et un débit nettement supérieur, mais à portée réduite. Les contrôleurs sans fil d'entreprise modernes prennent en charge le band steering, une fonctionnalité qui encourage activement les appareils compatibles double bande à se connecter en 5 GHz, libérant ainsi le spectre 2.4 GHz pour les clients existants.
Guide de mise en œuvre : Matériel, configuration et déploiement
Étape 1 : Dimensionnement du FAI et de la liaison montante
Avant de sélectionner le matériel, calculez la bande passante de liaison montante requise. Pour un réseau invité à usage général, une estimation prudente est de 1 - 2 Mbps par utilisateur simultané. Pour un site accueillant 300 invités simultanés, une connexion fibre symétrique de 500 Mbps minimum est recommandée, une connexion de 1 Gbps offrant une marge de croissance. Pour les hubs de transport ou les grands espaces événementiels, envisagez plusieurs liaisons montantes agrégées ou un basculement SD-WAN.
Étape 2 : Sélection et placement des points d'accès
Utilisez des points d'accès gérés 802.11ax d'un fournisseur d'entreprise. Ces AP doivent prendre en charge le PoE+ (Power over Ethernet Plus, IEEE 802.3at), permettant à un seul câble Cat6 de transporter à la fois les données et l'alimentation du commutateur géré vers l'AP. Cela élimine le besoin d'installer des prises électriques locales à chaque emplacement d'AP, réduisant ainsi considérablement les coûts d'installation.
L'emplacement des AP doit être déterminé par une étude de site RF professionnelle, et non par approximation. Cette étude doit prendre en compte :
- L'atténuation : Perte de signal à travers les murs en béton, les étagères métalliques et les cloisons vitrées.
- Le chevauchement de couverture : Les AP doivent se chevaucher d'environ 15 - 20 % pour assurer un itinérance transparente sans zones d'ombre.
- La planification de la capacité : Les zones à haute densité (salles de conférence, aires de restauration, halls) nécessitent plus d'AP à puissance d'émission plus faible pour desservir de nombreux clients sur de courtes distances, plutôt que quelques AP à haute puissance.
Étape 3 : Configuration du commutateur géré et du VLAN
Déployez un commutateur managé de niveau 2/niveau 3 disposant d'un budget PoE+ suffisant pour alimenter tous les points d'accès. Configurez le marquage VLAN 802.1Q sur toutes les liaisons montantes et les ports trunk des points d'accès. Les ports d'accès connectant les terminaux POS ou les postes de travail du personnel doivent être attribués au VLAN de l'entreprise en tant que membres non marqués. Les ports des points d'accès doivent être configurés comme des ports trunk acheminant tous les VLAN requis, le contrôleur sans fil associant chaque SSID à son VLAN correspondant.
Étape 4 : Pare-feu et limitation de bande passante
Le pare-feu UTM est le point d'application de toutes les politiques de sécurité et de bande passante. Les configurations clés comprennent :
- Règles de routage VLAN : Autoriser le VLAN invité à accéder à Internet ; refuser au VLAN invité l'accès à tous les sous-réseaux internes.
- Limites de bande passante par utilisateur : Implémentez des politiques de limitation du trafic pour plafonner le débit individuel. Un point de départ standard est de 5 Mbps descendants / 2 Mbps montants par utilisateur. Cela évite qu'un seul utilisateur visionnant une vidéo 4K ne dégrade l'expérience de tous les autres invités.
- Contrôle des applications : Bloquez les protocoles de partage de fichiers en pair à pair (BitTorrent, eDonkey) et les autres applications illégales ou à forte consommation de bande passante au niveau du pare-feu.
- Filtrage DNS : Implémentez un filtrage de contenu basé sur le DNS pour bloquer l'accès aux domaines malveillants, aux sites de phishing et aux catégories de contenu inappropriées. Pour un guide détaillé sur cette couche, consultez Protéger votre réseau grâce à un DNS et une sécurité robustes .
Étape 5 : Configuration du Captive Portal
Le Captive Portal est le composant le plus visible du déploiement et le principal mécanisme de capture de données. Lors de la configuration du portail, assurez-vous que :
- La page d'accueil est diffusée via HTTPS avec un certificat SSL valide et publiquement approuvé afin d'éviter les avertissements de sécurité du navigateur.
- Les options d'authentification incluent, au minimum, l'e-mail/mot de passe et la connexion via les réseaux sociaux (Google, Facebook, Apple) afin de maximiser les taux de conversion.
- L'AUP est clairement affichée et nécessite une acceptation explicite avant que l'accès ne soit accordé.
- Le consentement GDPR pour les communications marketing est recueilli via une case à cocher d'opt-in distincte et non cochée par défaut.
- Les délais d'expiration des sessions et les intervalles de réauthentification sont configurés pour équilibrer le confort de l'utilisateur et la sécurité.
Bonnes pratiques et conformité

GDPR et confidentialité des données
Si vous collectez des données utilisateur à des fins de marketing, un consentement explicite et éclairé est obligatoire en vertu du UK GDPR et du EU GDPR. Les exigences légales sont sans ambiguïté : les cases de consentement pré-cochées sont interdites ; le consentement doit être donné librement, être spécifique, éclairé et univoque ; et les utilisateurs doivent pouvoir retirer leur consentement aussi facilement qu'ils l'ont donné. Votre Captive Portal doit indiquer clairement quelles données sont collectées, la base légale du traitement, comment les données seront utilisées et combien de temps elles seront conservées.
Journalisation des sessions et conformité légale
Au Royaume-Uni, le Regulation of Investigatory Powers Act (RIPA) et les lois associées peuvent exiger que les exploitants de sites conservent les journaux de connexion - y compris les adresses MAC, les horodatages et les attributions d'adresses IP - afin d'aider les forces de l'ordre en cas d'activité illégale sur le réseau. Consultez votre conseiller juridique pour déterminer les obligations de conservation spécifiques qui s'appliquent à votre organisation et à votre juridiction.
WPA3 et normes de chiffrement
Pour tout SSID utilisant une clé pré-partagée (par exemple, un réseau pour le personnel), imposez le WPA3-Personal (SAE) plutôt que le WPA2. Le WPA3 élimine la vulnérabilité aux attaques par dictionnaire hors ligne inhérente à la liaison à quatre voies du WPA2. Pour les réseaux du personnel d'entreprise utilisant l'authentification par certificat 802.1X, le WPA3-Enterprise en mode 192 bits offre le plus haut niveau d'assurance. Pour en savoir plus sur la sécurisation des couches physiques et logiques de votre infrastructure sans fil, consultez Access Point Security: Your 2026 Enterprise Guide .
Gestion de la randomisation des adresses MAC
Les appareils modernes iOS (depuis iOS 14) et Android (depuis Android 10) utilisent par défaut la randomisation des adresses MAC, générant une adresse MAC aléatoire unique pour chaque réseau WiFi. Cela signifie que l'on ne peut plus se fier aux adresses MAC pour identifier les visiteurs récurrents ou établir des profils d'utilisateurs à long terme. La réponse architecturale correcte consiste à imposer une authentification basée sur l'identité au niveau du Captive Portal - en exigeant que les utilisateurs se connectent par e-mail ou via un compte de réseau social - de sorte que le profil de l'utilisateur, plutôt qu'un identifiant matériel, devienne l'entité de suivi persistante.
Dépannage et atténuation des risques
Même un réseau bien conçu rencontrera des problèmes opérationnels. Le tableau ci-dessous résume les modes de défaillance les plus courants et les mesures d'atténuation recommandées.
| Mode de défaillance | Cause racine | Atténuation |
|---|---|---|
| Épuisement du DHCP | Sous-réseau trop petit ou durées de bail trop longues par rapport à la fréquentation | Utilisez un sous-réseau /22 ou plus grand ; raccourcissez les durées de bail à 30-60 minutes |
| Interférence co-canal | Plusieurs points d'accès sur le même canal dans des zones de couverture qui se chevauchent | Activez l'attribution dynamique des canaux sur le contrôleur sans fil |
| Erreurs SSL du Captive Portal | Certificat invalide ou auto-signé sur le serveur du portail | Déployez un certificat d'autorité de certification publique valide ; utilisez Let's Encrypt |
| Itinérance lente | Les points d'accès ne partagent pas les données d'association des clients | Activez le 802.11r (Fast BSS Transition) sur le contrôleur sans fil |
| Saturation de la bande passante | Limitation du trafic par utilisateur non configurée | Mettez en œuvre des politiques de QoS par utilisateur sur le pare-feu |
| Mouvement latéral invité-vers-entreprise | Réseau plat ou ACL mal configurées | Auditez les ACL du VLAN ; testez d'intrusion le VLAN invité |
ROI et impact commercial
Un point d'accès correctement déployé dépasse sa fonction d'infrastructure informatique - il devient un moteur de données propriétaires et un canal de marketing direct. Les arguments commerciaux en faveur de l'investissement dans une plateforme gérée de WiFi invité sont convaincants dans tous les secteurs d'activité.
Dans l'industrie de l'hôtellerie , les données WiFi invités permettent aux hôtels de comprendre quels services les clients utilisent avant et après s'être connectés, de personnaliser les communications durant leur séjour et de stimuler les réservations répétées grâce à des campagnes automatisées après leur départ. Un hôtel de 300 chambres collectant 200 inscriptions par e-mail par jour développe une base de données marketing de 70 000 contacts opt-in par an - un atout CRM majeur.
Dans le secteur de la vente au détail , l'analyse WiFi fournit des cartes de chaleur de fréquentation, des temps de séjour par zone et des taux de visites répétées - des données qui n'étaient auparavant accessibles que par le biais d'enquêtes manuelles coûteuses. Les détaillants peuvent utiliser ces données pour optimiser l'agencement des magasins, mesurer l'impact des affichages promotionnels et déclencher des campagnes de fidélisation lorsqu'un client connu entre dans le magasin.
Pour les opérateurs du secteur public et des transports , la proposition de valeur réside dans l'efficacité opérationnelle : comprendre les périodes de forte affluence, optimiser les effectifs et fournir des services numériques pratiques aux citoyens et aux passagers.
Des plateformes telles que le Guest WiFi et le WiFi Analytics de Purple fournissent la couche d'infrastructure managée qui connecte le réseau brut à ces résultats commerciaux. Comme le montre l'expansion stratégique de Purple - y compris les récents développements vers de nouveaux secteurs verticaux, comme le souligne l'annonce de l'arrivée de Tim Peers, VP of Education, au sein de l'équipe - la valeur des espaces intelligents et connectés se développe rapidement dans tous les secteurs de l'économie.
La transition d'une connectivité Internet de base vers un réseau intelligent piloté par les données est la caractéristique définissant un déploiement WiFi d'entreprise moderne. Les coûts d'infrastructure sont largement fixes ; l'investissement progressif dans une couche de plateforme managée offre des rendements cumulés à mesure que la base de données marketing se développe et que les flux de travail automatisés gagnent en maturité.
Définitions clés
Captive Portal
Une page web qu'un utilisateur d'un réseau d'accès public est obligé de consulter et avec laquelle il doit interagir avant d'obtenir l'accès à Internet. Il intercepte le trafic HTTP via une redirection DNS et présente un portail de connexion pour l'authentification et le recueil du consentement.
Le mécanisme principal pour appliquer les politiques d'utilisation acceptable, authentifier les utilisateurs et capturer des données marketing de première main sur les réseaux WiFi invités.
VLAN (Virtual Local Area Network)
Un sous-réseau logique qui regroupe un ensemble d'appareils de différents LAN physiques, appliqué au niveau du commutateur géré via le marquage 802.1Q.
Indispensable pour isoler le trafic WiFi des invités des réseaux d'entreprise sensibles. Un contrôle obligatoire pour la conformité PCI-DSS dans tout établissement qui traite des données de cartes de paiement.
Limitation du trafic (QoS)
Le contrôle du trafic réseau pour optimiser ou garantir les performances en limitant la bande passante disponible pour les utilisateurs individuels ou les types d'applications.
Utilisé pour empêcher un petit nombre d'utilisateurs intensifs de consommer la majorité de la bande passante montante disponible, garantissant ainsi une expérience de base cohérente pour tous les invités simultanés.
Randomisation MAC
Une fonctionnalité de confidentialité dans les systèmes d'exploitation modernes (iOS 14+, Android 10+) qui génère une adresse MAC aléatoire unique lors de la connexion à différents réseaux WiFi, empêchant ainsi le suivi persistant basé sur le matériel.
Force les exploitants de sites à utiliser des connexions via Captive Portal basées sur l'identité plutôt que le suivi des adresses matérielles pour identifier et réengager les visiteurs de retour.
Épuisement DHCP
Un état de défaillance du réseau dans lequel le serveur DHCP a attribué toutes les adresses IP disponibles dans son pool configuré, empêchant les nouveaux appareils d'obtenir une adresse IP et de se connecter au réseau.
Une défaillance courante et facilement évitable dans les lieux à forte fréquentation avec des sous-réseaux sous-dimensionnés ou des durées de bail DHCP excessivement longues.
Orientation de bande
Une fonctionnalité de contrôleur sans fil qui détecte les appareils clients compatibles double bande et les encourage ou les force activement à se connecter à la bande 5 GHz plutôt qu'à la bande 2,4 GHz, plus encombrée.
Améliore les performances globales du réseau dans les déploiements à haute densité en répartissant les clients sur le spectre disponible et en réduisant les interférences co-canal sur la bande 2,4 GHz.
OpenRoaming
Une norme de fédération de la Wireless Broadband Alliance (WBA) qui permet des connexions WiFi automatiques et sécurisées sur les réseaux participants à l'aide de l'authentification 802.1X/EAP, sans nécessiter d'interaction des utilisateurs avec un Captive Portal.
Fournit une expérience de connectivité fluide, similaire au réseau cellulaire, pour les utilisateurs des fournisseurs d'identité participants. Purple fonctionne comme un fournisseur d'identité au sein de la fédération OpenRoaming sous sa licence Connect.
PCI DSS (Payment Card Industry Data Security Standard)
Un ensemble de normes de sécurité imposées par les principaux réseaux de cartes (Visa, Mastercard, Amex) exigeant que toute organisation qui accepte, traite, stocke ou transmet des données de cartes de paiement maintienne un environnement réseau sécurisé et segmenté.
Directement pertinent pour tout déploiement WiFi de commerce de détail ou d'hôtellerie où les terminaux de paiement partagent l'infrastructure réseau physique avec les points d'accès invités. La condition 1.3 impose une isolation stricte de l'environnement des données de titulaires de carte vis-à-vis des réseaux non sécurisés.
UTM Firewall (Unified Threat Management)
Un équipement de sécurité réseau qui regroupe plusieurs fonctions de sécurité - y compris l'inspection d'état des paquets, la prévention des intrusions, le contrôle des applications, le filtrage DNS et le VPN - au sein d'une plateforme gérée unique.
Le point d'application central pour les règles de routage VLAN, les politiques de bande passante par utilisateur et le filtrage de contenu dans un déploiement WiFi invité d'entreprise.
Exemples concrets
Un hôtel de 200 chambres modernise son WiFi invité. Pendant les heures de pointe en soirée, les clients se plaignent de ralentissements et de déconnexions, bien que l'hôtel dispose d'une liaison montante en fibre symétrique de 1 Gbps. L'enquête révèle que la configuration actuelle utilise un unique sous-réseau plat /24 pour le personnel et les invités, sans aucune régulation du trafic configurée. L'hôtel souhaite également commencer à collecter les adresses e-mail des invités pour un programme marketing post-séjour.
Étape 1 - Refonte du réseau :
- Mettre en œuvre la segmentation VLAN. Déplacer tous les appareils du personnel, les terminaux de point de vente et le système de gestion de l'établissement vers le VLAN 10 (sous-réseau /24). Déplacer les invités vers le VLAN 20 avec un sous-réseau /22 (1 022 adresses IP utilisables) pour absorber les pics d'occupation avec plusieurs appareils par invité.
- Configurer le pare-feu UTM avec des listes de contrôle d'accès (ACL) strictes : le VLAN invité 20 dispose uniquement d'un accès internet ; toutes les routes vers le VLAN 10 sont explicitement refusées.
Étape 2 - Optimisation des performances : 3. Configurer des limites de bande passante par utilisateur de 10 Mbps en descente / 5 Mbps en montée sur le pare-feu. Cela garantit que la liaison de 1 Gbps est répartie équitablement entre plus de 400 appareils connectés simultanément. 4. Activer le Band Steering sur le contrôleur sans fil afin de diriger les appareils compatibles vers la bande 5 GHz, moins encombrée. 5. Réduire la durée de bail DHCP de 24 heures par défaut à 2 heures pour éviter l'épuisement des adresses IP pendant les périodes d'affluence à l'arrivée.
Étape 3 - Captive Portal et collecte de données : 6. Déployer un Captive Portal personnalisé (par exemple, via Purple Guest WiFi) nécessitant une authentification par e-mail. 7. Configurer la page de connexion avec une case d'acceptation GDPR explicite et non pré-cochée pour le programme marketing post-séjour. 8. Intégrer l'API du portail au CRM de l'hôtel pour synchroniser les profils des invités authentifiés et déclencher des campagnes d'e-mailing automatisées après le séjour.
Une chaîne de vente au détail de 50 magasins souhaite utiliser son WiFi invité gratuit pour enrichir sa base de données marketing. Elle utilise actuellement une clé pré-partagée WPA2 (mot de passe imprimé sur les reçus) dans tous les magasins et n'a aucune visibilité sur les personnes qui se connectent ou sur la durée de leur visite. L'équipe marketing souhaite envoyer des e-mails promotionnels hebdomadaires aux utilisateurs du WiFi, et l'équipe informatique s'inquiète de la conformité PCI-DSS étant donné que les terminaux de paiement se trouvent sur les mêmes commutateurs physiques.
Étape 1 — Supprimer la clé pré-partagée : Faites passer le SSID invité vers un réseau ouvert (sans mot de passe) qui redirige immédiatement vers un Captive Portal. Cela élimine la vulnérabilité liée au secret partagé et permet une authentification par utilisateur.
Étape 2 — Segmentation VLAN pour PCI-DSS : Créez un VLAN invité dédié (par exemple, VLAN 20) sur tous les commutateurs gérés. Attribuez les terminaux de point de vente au VLAN d'entreprise existant (VLAN 10). Configurez des ACL sur le pare-feu pour imposer une isolation stricte entre les deux VLAN. Documentez cette segmentation dans le cadre du schéma réseau PCI-DSS.
Étape 3 — Captive Portal avec consentement conforme au GDPR : Déployez une plateforme gérée de Captive Portal. Configurez le portail de connexion pour exiger une authentification via Email, Google ou Facebook. Incluez une case à cocher d'opt-in non pré-cochée et clairement formulée : « J'accepte de recevoir des e-mails promotionnels de la part de [Nom de la marque]. Vous pouvez vous désabonner à tout moment. »
Étape 4 — Intégration CRM et automatisation : Connectez l'API du portail au CRM du détaillant (par exemple, Salesforce, Klaviyo). Synchronisez les profils d'utilisateurs authentifiés, les horodatages des visites et les données de localisation du magasin. Configurez un e-mail de bienvenue automatisé déclenché lors de la première connexion, ainsi qu'une campagne de réengagement déclenchée lorsqu'un utilisateur connu ne s'est pas connecté depuis 30 jours.
Questions d'entraînement
Q1. Votre équipe marketing souhaite collecter les adresses e-mail des invités via le nouveau point d'accès WiFi. Elle suggère de configurer la durée du bail DHCP sur 24 heures afin que les invités n'aient pas à se connecter à plusieurs reprises au cours de la journée. Votre site accueille 3 000 visiteurs uniques par jour. Votre sous-réseau invité est un /23 (510 IP utilisables). Quel est le défaut d'architecture de cette demande, et comment le résolvez-vous tout en répondant aux exigences de l'équipe marketing ?
Conseil : Considérez la relation entre le nombre de visiteurs quotidiens, la taille du sous-réseau et la durée du bail. Pensez ensuite à la manière de séparer la problématique de la couche réseau de celle de la couche applicative.
Voir la réponse type
Le défaut d'architecture est qu'une durée de bail de 24 heures sur un sous-réseau /23 avec 3 000 visiteurs quotidiens entraînera une saturation rapide du DHCP. Une fois que 510 appareils se seront connectés, aucun nouvel appareil ne recevra d'adresse IP pendant une période allant jusqu'à 24 heures. La solution est double : Premièrement, étendre le sous-réseau à au moins un /21 (2 046 IP) pour s'adapter au pic d'appareils simultanés. Deuxièmement, réduire la durée du bail DHCP à 30 - 60 minutes pour recycler les adresses IP au fur et à mesure que les invités quittent le site. Pour satisfaire l'exigence de l'équipe marketing afin que les invités n'aient pas à se réauthentifier à plusieurs reprises, configurez le contrôleur du Captive Portal pour mémoriser les adresses MAC authentifiées (ou les jetons d'identité utilisateur) pendant 24 heures. Cela permet à un appareil qui revient d'obtenir une nouvelle IP via DHCP tout en contournant la page de connexion, offrant ainsi l'expérience fluide souhaitée par l'équipe marketing sans perturber le réseau.
Q2. Un client du secteur de la vente au détail souhaite mettre en œuvre un Captive Portal mais s'inquiète du coût de remplacement de ses commutateurs non gérés existants. Il demande s'il peut faire fonctionner le WiFi invité sur les mêmes commutateurs physiques non gérés que ses terminaux de point de vente, le réseau invité utilisant simplement un SSID différent.
Conseil : L'application des VLAN nécessite du matériel de commutation géré. Considérez ce qui arrive au trafic sur un commutateur non géré.
Voir la réponse type
Cette configuration n'est pas acceptable du point de vue de la sécurité ou de la conformité. Les commutateurs non gérés ne prennent pas en charge le marquage VLAN 802.1Q, ce qui signifie que tout le trafic sur le commutateur - quel que soit le SSID - se trouve sur le même domaine de diffusion. Un appareil invité sur le SSID "invité" serait capable d'atteindre les terminaux de point de vente sur le même commutateur, ce qui enfreint la condition 1.3 de la norme PCI DSS. Le client doit remplacer les commutateurs non gérés par des commutateurs gérés de couche 2 prenant en charge le marquage VLAN 802.1Q. Le coût d'investissement des commutateurs gérés est minime par rapport aux risques de responsabilité d'une violation de la norme PCI DSS ou aux amendes associées à un compromis de données.
Q3. Vous déployez des points d'accès dans un centre de conférence à haute densité qui accueille des événements avec jusqu'à 1 500 utilisateurs WiFi simultanés. Vous remarquez une latence importante et des pertes de paquets sur le spectre 2.4 GHz pendant les événements, alors que le spectre 5 GHz semble sous-utilisé. Comment devez-vous configurer le contrôleur sans fil pour résoudre ce problème, et quelle considération matérielle supplémentaire devez-vous prendre en compte ?
Conseil : Pensez à la manière de déplacer les appareils compatibles hors de la bande de fréquences encombrée, et considérez la relation entre la puissance de transmission des points d'accès et la densité de clients.
Voir la réponse type
Activez le Band Steering sur le contrôleur sans fil. Cette fonctionnalité détecte si un appareil client est capable de se connecter à la bande 5 GHz et encourage ou force activement l'appareil à s'y associer, libérant ainsi la bande 2.4 GHz pour les appareils plus anciens. De plus, réduisez la puissance de transmission sur tous les points d'accès. De manière contre-intuitive, dans les déploiements à haute densité, une puissance de transmission plus faible améliore les performances en réduisant les interférences co-canal entre les points d'accès adjacents et en encourageant les clients à s'associer au point d'accès le plus proche plutôt qu'à un point d'accès éloigné avec un signal fort. Envisagez de déployer des points d'accès supplémentaires à faible puissance plutôt que moins de points d'accès à haute puissance. Activez également la norme 802.11r (Fast BSS Transition) pour permettre un roaming fluide à mesure que les utilisateurs se déplacent dans le site.
Continuer la lecture de cette série
Captive Portal pour Ruijie : configurez-le avec le WiFi invité Purple
Découvrez comment le WiFi invité cloud de Purple se superpose aux points d'accès Ruijie RG Series en utilisant l'authentification web et RADIUS, configuré en ligne de commande, et où trouver les étapes exactes de configuration.
Conception de Captive Portals B2B : Collecter le Nom Enregistré et les Données de l'Entreprise
Ce guide fournit aux responsables informatiques et aux exploitants de sites un cadre technique indépendant des fournisseurs pour concevoir des Captive Portals B2B. Il détaille comment structurer les champs d'inscription pour capturer le nom enregistré et les données de l'entreprise, garantissant des taux de complétion élevés tout en maintenant la conformité GDPR et en développant une intelligence au niveau des comptes.
Architecture de Captive Portal : Sécurité, redirection et bonnes pratiques
Une référence technique définitive sur l'architecture de captive portal d'entreprise. Ce guide détaille l'isolation réseau, la redirection DNS, l'authentification RADIUS et la conformité en matière de sécurité pour les responsables informatiques déployant des réseaux WiFi invités sécurisés et riches en données.