Designing WiFi Networks for Multi-Tenant Office Buildings

Ce guide propose aux responsables informatiques, architectes réseau et CTO un modèle neutre vis-à-vis des fournisseurs pour concevoir des réseaux WiFi évolutifs, sécurisés et isolés dans les immeubles de bureaux multi-locataires. Il aborde la segmentation VLAN selon la norme IEEE 802.1Q, l'attribution dynamique de VLAN via 802.1X et RADIUS, la planification RF pour les environnements à haute densité, ainsi que les aspects de conformité liés au GDPR et à la norme PCI DSS. Les exploitants de sites et les gestionnaires d'immeubles y trouveront des conseils d'architecture exploitables, des études de cas réels et les pièges de configuration à éviter avant le déploiement.

📖 9 min de lecture📝 2,022 mots🔧 2 exemples concrets❓ 4 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast

PURPLE TECHNICAL BRIEFING
Designing WiFi Networks for Multi-Tenant Office Buildings
Full Transcript

[SECTION 1: INTRODUCTION AND CONTEXT - 1 MINUTE]

Welcome to the Purple Technical Briefing. I'm a Senior Solutions Architect at Purple, and today we're getting into one of the most technically demanding deployment scenarios in enterprise networking: designing WiFi networks for multi-tenant office buildings.

Whether you're responsible for a grade-A commercial tower with fifteen independent tenants, a mixed-use development combining retail and office space, or a flexible coworking campus, the challenge is fundamentally the same. You need to deliver reliable, secure, isolated connectivity to multiple independent organisations over a single shared physical network. And you need to do it in a way that satisfies compliance requirements, keeps your support desk quiet, and doesn't require a full-time engineer to maintain.

Let's get into the technical architecture.

[SECTION 2: TECHNICAL DEEP-DIVE - 5 MINUTES]

The foundation of any multi-tenant WiFi design is network segmentation. The primary mechanism for achieving that is VLAN tagging, standardised under IEEE 802.1Q. The concept is straightforward: you assign each tenant, or each traffic class, to a distinct virtual LAN. Traffic on VLAN 10 cannot reach traffic on VLAN 20 unless you explicitly permit it through a firewall policy. That logical isolation is your first line of defence.

Now, here's where architects often make their first mistake. They conflate VLAN segmentation with security. VLANs provide isolation, not security. You still need firewall policies between VLANs. You still need access control lists. And you still need to think carefully about what inter-VLAN routing you permit. A misconfigured trunk port can collapse your entire segmentation model in seconds.

In a multi-tenant office building, you typically have a shared physical infrastructure: cabling, switch fabric, and access points serving multiple tenants. The access points broadcast multiple SSIDs, each mapped to a different VLAN. Tenant A connects to their SSID, their traffic is tagged with VLAN 10 at the access point, traverses the shared switch fabric on a trunk port, and arrives at the distribution layer where it's routed into Tenant A's isolated subnet. Tenant B's traffic follows the same physical path but is completely isolated at Layer 2.

Now, historically, network engineers segmented environments by creating a unique SSID for every tenant. But SSID proliferation is a performance killer. Every SSID you broadcast must transmit management frames, called beacons, at the lowest basic mandatory data rate. If you're broadcasting six or seven SSIDs on an access point, you can easily consume twenty to thirty percent of your available wireless airtime just on management overhead. That's before a single byte of actual user data is transmitted.

The modern enterprise standard is Dynamic VLAN Assignment. Instead of multiple SSIDs, you broadcast one secure SSID using IEEE 802.1X authentication. When a user connects, their device exchanges credentials with a RADIUS server. The RADIUS server authenticates the user and sends an Access-Accept message back to the access point. Critically, this message includes specific IETF standard attributes: the Tunnel-Type, the Tunnel-Medium-Type, and the Tunnel-Private-Group-ID, which contains the specific VLAN ID for that user's organisation.

The access point receives these attributes and dynamically drops that user's traffic directly into their dedicated VLAN. A corporate executive and an IoT device can connect to the exact same SSID, but their traffic is completely isolated at Layer 2.

For authentication, WPA3-Enterprise is now the recommended encryption standard. It provides 192-bit security mode and eliminates the vulnerabilities associated with WPA2's four-way handshake. Identity providers like Microsoft Entra ID, Okta, or Google Workspace integrate with your RADIUS infrastructure to manage credentials centrally.

Now let's talk about RF planning, because this is where multi-tenant office deployments get genuinely complex. When you have multiple tenants in adjacent spaces, you have a high-density RF environment. Co-channel interference is your enemy. You need a proper RF planning exercise before deployment: an active site survey that maps signal propagation, identifies interference sources, and informs your channel allocation strategy.

The 2.4 GHz band gives you three non-overlapping channels in most regulatory domains: channels 1, 6, and 11. The 5 GHz band gives you significantly more capacity. WiFi 6E extends this into the 6 GHz band, giving you clean spectrum largely free from legacy device interference. For new multi-tenant deployments, specifying WiFi 6E capable access points from vendors like Cisco Meraki, HPE Aruba, Ruckus, or Juniper Mist is the right call. The additional spectrum headroom pays dividends in dense environments.

IoT is the other dimension you cannot ignore. In a modern multi-tenant building, you have building management systems, HVAC controllers, smart lighting, access control, and CCTV. These must be on their own isolated VLAN, completely separated from both tenant traffic and guest traffic. IoT devices are notoriously difficult to patch and represent a significant attack surface. Segment them, monitor them, and apply strict egress filtering.

[SECTION 3: IMPLEMENTATION RECOMMENDATIONS AND PITFALLS - 2 MINUTES]

Let me share the three most common pitfalls I see in multi-tenant deployments.

The first is insufficient trunk port configuration. Architects design a beautiful VLAN scheme and then forget to explicitly permit the relevant VLANs on every trunk link in the path. Traffic silently drops, tenants complain, and the support team spends days tracing the issue. Document your trunk configurations meticulously and validate them during commissioning.

The second pitfall is SSID proliferation. Keep your SSID count to no more than four per radio. Use Dynamic VLAN Assignment via RADIUS attributes rather than separate SSIDs to serve multiple tenants.

The third pitfall is neglecting the management plane. Your management VLAN, the one your access points, switches, and controllers communicate on, must be completely isolated from all tenant and guest VLANs. If a tenant can reach your management plane, you have a critical security vulnerability.

I'd also add a fourth: neglecting DHCP lease time management on guest VLANs. In high-turnover environments, devices hold leases after disconnecting. Set guest VLAN lease times to one to two hours to prevent IP address exhaustion.

[SECTION 4: RAPID-FIRE Q AND A - 1 MINUTE]

Let me run through a few questions that come up consistently in these deployments.

Do you need separate physical access points per tenant? No. That's the whole point of VLAN-based multi-tenancy. Multiple tenants share the same access point, with traffic isolation enforced at the network layer.

How do you handle legacy IoT devices that don't support 802.1X? Use MAC Authentication Bypass combined with WPA3-SAE. The RADIUS server identifies the device by its MAC address and assigns it to an isolated IoT VLAN. Apply strict firewall rules to this segment.

Does Dynamic VLAN Assignment affect roaming? Not if you configure it correctly. Enable 802.11r for Fast BSS Transition and Opportunistic Key Caching. Authentication state is cached across your access points, and users roam seamlessly without re-authentication delays.

[SECTION 5: SUMMARY AND NEXT STEPS - 1 MINUTE]

To bring this together: a well-designed multi-tenant WiFi architecture for an office building is built on four pillars.

First, rigorous VLAN segmentation with enforced firewall policies between segments. Second, centralised controller-based management that gives you operational visibility and policy control at scale. Third, a proper RF planning exercise that accounts for the physical environment and the density of the deployment. And fourth, a security model that addresses authentication, encryption, IoT isolation, and compliance requirements from day one.

The organisations that get this right see measurable outcomes: reduced support overhead, faster tenant onboarding, demonstrable compliance posture for audits, and the ability to monetise connectivity as a service rather than treating it as a cost centre.

If you're planning a multi-tenant deployment and want to explore how Purple's platform can provide the analytics, Guest WiFi management, and tenant-level reporting layer on top of your network infrastructure, visit purple dot ai. The resources linked in the guide are a good starting point.

Thanks for listening. Until next time.

Points clés à retenir

✓A flat network in a multi-tenant building is a critical security and compliance liability. Segment every traffic class into its own VLAN from day one.
✓IEEE 802.1Q VLAN tagging provides Layer 2 isolation. A Default-Deny firewall policy between VLANs provides Layer 3 security. You need both.
✓Dynamic VLAN Assignment via 802.1X and RADIUS eliminates SSID proliferation, reducing airtime overhead from 20-30% to under 8% and increasing client throughput by over 40%.
✓Isolating POS terminals on a dedicated VLAN reduces PCI DSS audit scope by approximately 70%, directly lowering compliance costs.
✓Never use VLAN 1 as the native VLAN on trunk ports. Change it to an unused, non-routable VLAN ID to prevent VLAN hopping attacks.
✓Commission an active RF site survey before deployment. Vendor coverage maps are optimistic. Co-channel interference is the primary cause of poor performance in dense environments.
✓Centralised cloud management from vendors like Cisco Meraki, HPE Aruba, or Juniper Mist reduces OpEx and enables consistent policy enforcement across distributed AP estates.

Executive summary

Pour les CTO et les architectes réseau qui gèrent des immeubles de bureaux multi-locataires, le défi est de taille : fournir une connectivité fiable, sécurisée et isolée à plusieurs organisations indépendantes sur un seul réseau physique partagé. Une architecture réseau plate dans un environnement multi-locataires constitue un risque majeur. Elle élargit votre périmètre de conformité au GDPR et à la norme PCI DSS, expose les locataires à des menaces de sécurité latérales et crée une charge opérationnelle difficilement gérable à mesure que le nombre de locataires augmente.

Ce guide fournit un modèle neutre vis-à-vis des fournisseurs pour concevoir une architecture WiFi multi-locataires. En mettant en œuvre la segmentation VLAN IEEE 802.1Q, l'attribution dynamique de VLAN via 802.1X et une planification RF rigoureuse, vous pouvez éliminer la prolifération des SSID, réduire l'encombrement de la bande passante sans fil jusqu'à 20 points de pourcentage et garantir une isolation stricte de couche 2 entre les locataires. Nous détaillons les normes techniques, les considérations matérielles des différents équipementiers (notamment Cisco Meraki, HPE Aruba, Ruckus et Juniper Mist) ainsi que les politiques de routage requises pour sécuriser votre infrastructure. Correctement déployée, cette architecture réduit les coûts de support, simplifie les audits de conformité et vous permet de monétiser la connectivité en tant que service.

Analyse technique approfondie

Les arguments contre les réseaux plats

Un réseau plat place chaque appareil, quels que soient le locataire, le type de trafic ou la classification de sécurité, dans un seul domaine de diffusion (broadcast). Chaque appareil reçoit tous les paquets de diffusion. Un appareil invité compromis peut scanner et atteindre les terminaux de point de vente (POS), les systèmes de gestion technique du bâtiment (GTB) et les postes de travail de l'entreprise. L'ensemble de votre réseau entre alors dans le périmètre de la norme PCI DSS. Il ne s'agit pas d'un risque théorique. C'est l'état par défaut de nombreux immeubles multi-locataires câblés avant que la densité du sans-fil ne devienne une contrainte de conception.

La solution réside dans la segmentation logique. Vous n'avez pas besoin d'une infrastructure physique distincte par locataire. Il vous faut une architecture VLAN correctement conçue, un pare-feu bien configuré et une plateforme de gestion centralisée.

IEEE 802.1Q et marquage VLAN (VLAN tagging)

Les réseaux locaux virtuels (VLAN), standardisés sous la norme IEEE 802.1Q, vous permettent de diviser une infrastructure de commutateurs physiques unique en plusieurs réseaux logiques isolés. Lorsqu'un client se connecte à un point d'accès WiFi, le point d'accès marque (tag) les trames de données de ce client avec un identifiant de VLAN (VID) de 12 bits. Les commutateurs lisent ce tag et s'assurent que le trafic d'un VLAN n'est jamais transféré vers les ports d'un autre VLAN, sauf s'il est explicitement routé par un pare-feu.

Un immeuble de bureaux multi-locataires standard nécessite au minimum quatre VLAN :

VLAN	Classe de trafic	Politique de routage
VLAN 10	Entreprise Locataire A	Internet + ressources spécifiques au locataire uniquement
VLAN 20	Entreprise Locataire B	Internet + ressources spécifiques au locataire uniquement
VLAN 30	WiFi Invité (Captive Portal)	Internet uniquement, aucun accès aux VLAN des locataires
VLAN 40	IoT et GTB	Sortie vers les plateformes de gestion désignées uniquement

Pour les immeubles comptant davantage de locataires, il suffit d'étendre ce modèle. Chaque locataire supplémentaire reçoit un VLAN dédié et une politique de pare-feu correspondante. L'infrastructure physique reste partagée.

Attribution dynamique de VLAN via 802.1X et RADIUS

Historiquement, les ingénieurs réseau créaient un SSID distinct pour chaque locataire. Cette approche dégrade les performances. Chaque SSID diffuse des trames de gestion (beacons) au débit de données obligatoire le plus bas pour garantir la connexion des appareils plus anciens. Diffuser six ou sept SSID sur un seul point d'accès peut consommer 20 % à 30 % de la bande passante sans fil disponible avant même qu'une donnée utilisateur ne soit transmise. Dans un immeuble multi-locataires dense, cela est inacceptable.

La norme moderne est l'attribution dynamique de VLAN (Dynamic VLAN Assignment). Vous diffusez un seul SSID sécurisé à l'aide de l'authentification IEEE 802.1X. Lorsqu'un utilisateur se connecte, son appareil (le demandeur ou supplicant) échange des identifiants avec un serveur RADIUS via le point d'accès (l'authentificateur). Le serveur RADIUS valide les identifiants auprès d'un fournisseur d'identité (Microsoft Entra ID, Okta ou Google Workspace) et renvoie un message Access-Accept au point d'accès. Ce message comprend trois attributs RADIUS standard de l'IETF :

Tunnel-Type (attribut 64) : défini sur VLAN
Tunnel-Medium-Type (attribut 65) : défini sur 802
Tunnel-Private-Group-ID (attribut 81) : l'ID de VLAN spécifique pour l'organisation de cet utilisateur

Le point d'accès reçoit ces attributs et place dynamiquement le trafic de l'utilisateur dans son VLAN dédié. Un employé du Locataire A et un employé du Locataire B se connectent au même SSID. Leur trafic est totalement isolé au niveau de la couche 2. Le commutateur les traite comme s'ils étaient connectés à des réseaux physiques entièrement distincts.

Pour les segments invités, routez le trafic via un VLAN invité dédié vers un Captive Portal. La plateforme Guest WiFi de Purple gère la gestion des consentements conforme au GDPR, l'intégration sécurisée et les WiFi Analytics sur un segment isolé sans aucun accès de routage vers les réseaux d'entreprise. Pour un aperçu plus large de l'architecture de contrôle d'accès, consultez notre guide sur les systèmes de contrôle d'accès réseau .

WPA3-Enterprise et normes de chiffrement

WPA3-Enterprise est la norme de chiffrement recommandée pour les déploiements multi-locataires. Elle offre un mode de sécurité 192 bits, élimine les vulnérabilités de la poignée de main en quatre étapes (four-way handshake) de WPA2 et impose les trames de gestion protégées (PMF) selon la norme IEEE 802.11w. Pour les environnements traitant des données de cartes de paiement ou des informations d'entreprise sensibles, laPA3-Enterprise avec EAP-TLS (authentification mutuelle basée sur des certificats) élimine entièrement les vecteurs de vol d'identifiants.

Pour les segments invités où le déploiement de certificats n'est pas pratique, WPA3-SAE (Simultaneous Authentication of Equals) offre une confidentialité persistante, garantissant qu'une clé de session compromise ne compromet pas le trafic historique.

Planification RF dans les environnements à haute densité

L'interférence cocanal (CCI) est la cause principale des mauvaises performances WiFi dans les immeubles de bureaux multi-locataires. Lorsque des points d'accès adjacents émettent sur le même canal de fréquence, les appareils doivent attendre que le canal soit libre avant de transmettre. Dans un bâtiment comptant plusieurs locataires et une forte densité d'appareils, une allocation de canaux non planifiée crée un environnement RF encombré qu'aucune quantité de bande passante ne peut corriger.

Une étude de site RF active sur site est obligatoire avant le déploiement. Les cartes de couverture des fournisseurs sont optimistes. Vous avez besoin de mesures réelles du signal dans l'espace physique, en tenant compte des matériaux des murs, de la construction des planchers et de l'environnement RF des bâtiments voisins.

La bande 2,4 GHz fournit trois canaux sans chevauchement (1, 6 et 11) dans la plupart des domaines réglementaires. La bande 5 GHz offre une capacité nettement supérieure. Le WiFi 6E s'étend dans la bande 6 GHz, offrant un spectre propre largement exempt d'interférences provenant d'appareils existants. Pour les nouveaux déploiements multi-locataires, spécifier des points d'accès compatibles WiFi 6E de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist ou Ubiquiti UniFi fournit la marge de spectre requise pour les environnements denses.

Isolation de l'IoT

Les immeubles de bureaux modernes contiennent des systèmes de gestion technique de bâtiment (GTB), des contrôleurs CVC, de l'éclairage intelligent, du contrôle d'accès et de la vidéosurveillance. Ces appareils sont notoirement difficiles à corriger et représentent une surface d'attaque importante. Ils doivent être isolés sur un VLAN dédié avec un filtrage de sortie strict, n'autorisant les communications sortantes que vers leurs plateformes de gestion désignées. Aucun accès de routage vers les VLAN des locataires. Aucun accès de routage vers le VLAN invité. C'est non négociable, tant du point de vue de la sécurité que du GDPR.

Guide de mise en œuvre

Étape 1 : Concevez votre architecture logique avant de toucher au matériel. Cartographiez votre nombre de locataires, vos classes de trafic (entreprise, invité, IoT, paiement, gestion) et attribuez les VLAN. Documentez votre plan d'adressage IP. Définissez votre politique de routage inter-VLAN : qui peut communiquer avec quoi, et ce qui est absolument interdit.

Étape 2 : Commandez une étude de site RF active. Ne vous fiez pas aux cartes de couverture des fournisseurs. Vous avez besoin de mesures réelles du signal dans l'espace physique pour guider l'emplacement des points d'accès et l'allocation des canaux.

Étape 3 : Configurez votre pare-feu central avec une politique de refus par défaut (Default-Deny). Bloquez tout routage inter-VLAN par défaut. Ajoutez uniquement des exceptions explicites et spécifiques aux ports. Chaque chemin inter-VLAN doit être justifié et documenté.

Étape 4 : Désactivez le VLAN 1 sur tous les ports trunk. Remplacez le VLAN natif sur les ports trunk par un ID de VLAN inutilisé et non routable. Cela empêche les attaques par saut de VLAN (VLAN hopping) qui exploitent le VLAN natif par défaut.

Étape 5 : Validez les configurations des ports trunk. Autorisez explicitement tous les ID de VLAN requis sur chaque liaison trunk dans le chemin allant du point d'accès à la couche de distribution. Les balises VLAN manquantes entraînent des pertes de trafic silencieuses qui sont longues à diagnostiquer.

Étape 6 : Déployez une gestion cloud centralisée. Les plateformes de Cisco Meraki, HPE Aruba, Juniper Mist et Ruckus fournissent des politiques de bande passante par SSID, des rapports par locataire et une intégration avec votre infrastructure RADIUS. La charge opérationnelle liée à la gestion d'un parc de points d'accès distribués sans contrôleur n'est pas viable à grande échelle.

Étape 7 : Définissez les durées de bail DHCP par segment. VLAN d'entreprise : 8 à 24 heures. VLAN WiFi invité : 1 à 2 heures. Des durées de bail courtes sur les segments invités évitent l'épuisement des adresses IP dans les environnements à forte rotation.

Étape 8 : Isolez le plan de gestion. Votre VLAN de gestion doit être complètement isolé de tous les VLAN locataires et invités. Appliquez des ACL strictes au trafic de gestion. Si un locataire peut atteindre votre plan de gestion, vous présentez une vulnérabilité de sécurité critique.

Bonnes pratiques

Le tableau suivant résume les principales normes de configuration pour un déploiement WiFi multi-locataire conforme.

Contrôle	Norme	Justification
Segmentation VLAN	IEEE 802.1Q	Isolation de couche 2 entre les locataires
Authentification	IEEE 802.1X avec WPA3-Enterprise	Élimine les vecteurs de vol d'identifiants
Attribution dynamique de VLAN	RADIUS avec attributs de tunnel	Réduit le nombre de SSID, préserve le temps d'antenne
Accueil des invités	Captive Portal avec consentement GDPR	Conformité et collecte de données
Isolation de l'IoT	VLAN dédié avec ACL de sortie	Limite la surface d'attaque des appareils non corrigés
Planification RF	Étude de site active	Atténue les interférences cocanaux
Roaming	Transition BSS rapide 802.11r	Transfert transparent entre les points d'accès
VLAN natif	ID de VLAN inutilisé et non routable	Prévient les attaques par saut de VLAN

Pour les déploiements dans le secteur de l' hôtellerie , l'isolation du VLAN invité est essentielle. Pour les environnements de commerce de détail , l'isolation des terminaux de point de vente (POS) sur un VLAN dédié réduit directement la portée de l'audit PCI DSS. Pour les hubs de transport et les établissements de santé , les mêmes principes de segmentation s'appliquent, avec une attention particulière portée au volume de connexions simultanées et à la diversité des types d'appareils.

Pour les sites envisageant des liaisons montantes WAN par satellite, le guide de Purple sur comment configurer un captive portal sur Starlink couvre les considérations spécifiques aux environnements isolés et maritimes.

Dépannage et atténuation des risques

Pertes de trafic silencieuses. Le mode de défaillance le plus courant dans les déploiements multi-locataires. Causé par des balises VLAN manquantes sur les ports trunk. Un utilisateur s'authentifie avec succès via 802.1X, le serveur RADIUS les affecte au VLAN 40, mais le VLAN 40 n'est pas autorisé sur le port trunk. Le trafic est abandonné. L'utilisateur ne reçoit aucune adresse IP. Documentez méticuleusement les configurations de trunk et validez-les lors de la mise en service.

Prolifération des SSID. Chaque SSID que vous diffusez consomme du temps d'antenne pour les trames de balise (beacon frames). Dans un environnement dense, la diffusion de huit ou dix SSID par AP dégrade les performances pour tout le monde. Limitez le nombre de SSID à quatre maximum par radio. Utilisez l'attribution dynamique de VLAN (Dynamic VLAN Assignment) via les attributs RADIUS plutôt que des SSID distincts pour desservir plusieurs locataires.

Exposition du plan de gestion. Si votre VLAN de gestion n'est pas isolé, un locataire qui y accède peut modifier les configurations des AP, interrompre le service ou intercepter le trafic de gestion. Utilisez une gestion hors bande (out-of-band) dans la mesure du possible. Appliquez des ACL strictes à toutes les interfaces de gestion.

Prolifération des appareils IoT. Les gestionnaires d'immeubles ajoutent fréquemment des appareils IoT sans en informer l'équipe réseau. Implémentez des politiques de contrôle d'accès au réseau (NAC) qui exigent une autorisation explicite avant qu'un nouvel appareil ne reçoive une adresse IP sur le VLAN IoT.

Épuisement du DHCP sur les VLAN invités. Dans les environnements à forte rotation, les appareils conservent les baux DHCP après s'être déconnectés. Un sous-réseau /24 fournit 254 adresses. Dans un centre de conférence ou un espace de coworking très fréquenté, cela s'épuise rapidement. Définissez des durées de bail de 1 à 2 heures et dimensionnez le sous-réseau de votre VLAN invité pour répondre aux pics de connexions simultanées d'appareils.

ROI et impact commercial

Une architecture WiFi multi-locataire correctement segmentée offre des résultats mesurables sur trois dimensions.

Réduction des coûts de conformité. L'isolation des terminaux de paiement (POS) sur un VLAN dédié avec des contrôles de pare-feu stricts réduit le périmètre d'audit PCI DSS d'environ 70 %, selon les données de déploiement propres à Purple. Cela réduit directement les coûts d'audit annuels et le temps requis par l'équipe informatique pour la documentation de conformité.

Efficacité opérationnelle. La gestion centralisée dans le cloud réduit les OpEx associés à la gestion d'un parc d'AP distribué. Le provisionnement sans contact (zero-touch provisioning), l'application globale des politiques et les rapports par locataire éliminent le besoin de modifications de configuration sur site. L'intégration des nouveaux locataires passe de quelques jours à quelques heures.

Génération de revenus. Un réseau sécurisé et performant permet aux gestionnaires d'immeubles de monétiser la connectivité en tant que service. Des forfaits de bande passante échelonnés, des SLA par locataire et des informations basées sur l'analyse transforment le WiFi d'un centre de coûts en une source de revenus. Purple est présent dans plus de 80 000 sites actifs et a traité 440 millions de connexions en 2024 (données internes Purple, 2024), fournissant l'infrastructure d'analyse nécessaire pour soutenir ce modèle à grande échelle.

Pour en savoir plus sur la manière dont la connectivité WiFi soutient des objectifs plus larges d'inclusion numérique, consultez notre article sur la Journée mondiale du WiFi 2026 . Pour une introduction aux considérations d'architecture WAN pertinentes pour les déploiements multisites, consultez notre guide de définition informatique du WAN .

Définitions clés

IEEE 802.1Q

The networking standard that defines VLAN tagging for Ethernet frames. It adds a 4-byte tag to each frame containing a 12-bit VLAN Identifier (VID), allowing switches to maintain multiple isolated broadcast domains over shared physical infrastructure.

The foundational protocol for multi-tenant network segmentation. Every enterprise switch and access point supports 802.1Q. Without it, logical isolation between tenants is impossible.

Dynamic VLAN Assignment

A method where a RADIUS server assigns a specific VLAN to a user or device upon successful 802.1X authentication, using IETF RADIUS attributes (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) to instruct the access point which VLAN to place the user into.

The standard approach for serving multiple tenants from a single SSID. Eliminates SSID proliferation and preserves wireless airtime while maintaining full Layer 2 isolation between tenants.

IEEE 802.1X

The IEEE standard for port-based Network Access Control (PNAC). It defines a three-party authentication model: the supplicant (client device), the authenticator (access point or switch), and the authentication server (RADIUS). The authenticator blocks all traffic until the supplicant is authenticated.

The authentication framework used to enforce Dynamic VLAN Assignment. Required for WPA3-Enterprise deployments. Integrates with identity providers including Microsoft Entra ID, Okta, and Google Workspace.

RADIUS

Remote Authentication Dial-In User Service. A networking protocol that provides centralised Authentication, Authorisation, and Accounting (AAA) management. In WiFi deployments, the RADIUS server validates user credentials and returns VLAN assignment attributes to the access point.

The server infrastructure that enforces Dynamic VLAN Assignment. Can be deployed on-premises or as a cloud service. Integrates with identity providers via LDAP, SAML, or SCIM.

Co-channel interference (CCI)

Interference caused when two or more access points broadcast on the same frequency channel within range of each other. Devices must wait for clear airtime before transmitting, reducing effective throughput for all users on that channel.

The primary cause of poor WiFi performance in dense multi-tenant buildings. Mitigated through active RF site surveys and careful channel allocation across the 2.4 GHz, 5 GHz, and 6 GHz bands.

Native VLAN

The VLAN on an 802.1Q trunk port that carries untagged traffic. By default, most switches use VLAN 1 as the native VLAN, creating a well-known attack vector for VLAN hopping.

A security risk that must be addressed in every multi-tenant deployment. Change the native VLAN on all trunk ports to an unused, non-routable VLAN ID to prevent VLAN hopping attacks.

Captive portal

A web page that a user must interact with before being granted network access. In WiFi deployments, the user connects to an open or WPA2-Personal SSID, is redirected to a splash page for authentication or terms acceptance, and is then granted internet-only access on an isolated VLAN.

The standard onboarding mechanism for Guest WiFi segments. Enables GDPR-compliant consent collection, identity verification, and analytics. Must be deployed on a VLAN with zero routing access to corporate or tenant networks.

WPA3-Enterprise

The latest WiFi security protocol for enterprise networks, standardised by the Wi-Fi Alliance. Provides 192-bit cryptographic strength (CNSA suite), requires 802.1X authentication, mandates Protected Management Frames (PMF) under IEEE 802.11w, and eliminates the vulnerabilities in WPA2's four-way handshake.

The recommended encryption standard for multi-tenant corporate WiFi segments. Required for environments handling payment card data or sensitive corporate information. Supported by all major enterprise AP vendors.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. A certificate-based 802.1X authentication method that requires both the client and the RADIUS server to present X.509 digital certificates, providing mutual authentication and eliminating password-based credential theft.

The most secure 802.1X authentication method. Used in high-security multi-tenant environments where credential theft is a primary concern. Requires a Public Key Infrastructure (PKI) to issue and manage client certificates.

MAC Authentication Bypass (MAB)

A fallback authentication method that uses a device's MAC address as its identity when the device does not support 802.1X. The RADIUS server looks up the MAC address and assigns the device to a predefined VLAN.

Used for IoT devices, printers, and other equipment that cannot perform 802.1X authentication. Because MAC addresses can be spoofed, MAB must always be combined with strict firewall rules on the assigned VLAN.

Exemples concrets

A 350-room hotel group with 12 properties needs to secure its network. Currently, guest smartphones, staff laptops, POS terminals, and building management systems all share a single flat network. The IT team spends 40 hours monthly on PCI DSS compliance documentation because the entire network is in scope. The CTO wants to reduce compliance overhead and improve security posture before the next audit.

Deploy a four-VLAN architecture using IEEE 802.1Q across all 12 properties via a centralised cloud management platform. Assign VLANs as follows: VLAN 10 for Staff Corporate (802.1X authenticated, routed to internal resources and internet), VLAN 20 for Guest WiFi (captive portal, internet only), VLAN 30 for POS Terminals (802.1X authenticated, routed only to payment processor endpoints), and VLAN 40 for IoT and BMS (MAC Authentication Bypass, egress to BMS management platform only). Configure a Default-Deny firewall policy between all VLANs. Integrate Purple's Guest WiFi platform on VLAN 20 for GDPR-compliant consent management and analytics. Validate trunk port configurations on every switch in the path during commissioning.

Commentaire de l'examinateur : This approach reduces PCI DSS audit scope by approximately 70% by isolating the POS segment. The strict firewall policy prevents lateral movement from a compromised guest device to payment infrastructure. The IT team recovers the 40 hours monthly previously spent on compliance documentation. The centralised cloud management platform enables consistent policy enforcement across all 12 properties without on-site visits.

A coworking operator manages a 15-floor office building with 40 independent member companies. Each company needs its own isolated WiFi network. The current architecture broadcasts a separate SSID per company, resulting in 40 SSIDs per floor. WiFi performance is poor across the building despite a 10 Gbps fibre uplink. The network team wants to resolve performance issues without replacing hardware.

Consolidate to a single secure SSID using WPA3-Enterprise and IEEE 802.1X authentication. Deploy a RADIUS server integrated with the building's identity provider (Microsoft Entra ID or Okta). Configure the RADIUS server to return Dynamic VLAN Assignment attributes (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) for each authenticated user, placing them into their company's dedicated VLAN. Retain a separate Guest WiFi SSID with a captive portal for visitor access. This reduces the SSID count from 40 to two per radio. Conduct an active RF site survey to validate channel allocation and AP placement following the SSID consolidation.

Commentaire de l'examinateur : Reducing the SSID count from 40 to two per radio eliminates the beacon management overhead that was consuming 20% to 30% of available airtime. Average client throughput increases significantly. The Dynamic VLAN Assignment approach maintains full Layer 2 isolation between all 40 member companies without any change to the physical infrastructure. The RF site survey ensures channel allocation is optimised following the configuration change.

Questions d'entraînement

Q1. You are deploying WiFi for a new mixed-use building with 20 independent retail tenants on the ground floor and 10 office tenants on floors 1 to 5. The building owner wants each tenant to have their own secure WiFi network, plus a shared Guest WiFi network for visitors. What is the most efficient architectural approach, and what is the maximum number of SSIDs you should broadcast per access point?

Conseil : Consider the impact of broadcasting 30 separate SSIDs on wireless airtime. Think about how Dynamic VLAN Assignment can serve multiple tenants from a single SSID.

Voir la réponse type

Deploy a single secure SSID using WPA3-Enterprise and IEEE 802.1X authentication for all corporate tenants. Use a RADIUS server integrated with the building's identity provider to perform Dynamic VLAN Assignment, placing each tenant's devices into their own isolated VLAN upon authentication. Deploy a second SSID for Guest WiFi with a captive portal. This results in two SSIDs per radio, well within the four-SSID maximum. Each of the 30 tenants receives a dedicated VLAN with a corresponding Default-Deny firewall policy. The Guest WiFi VLAN has zero routing access to any tenant VLAN.

Q2. During a post-deployment audit of a multi-tenant office building, you discover that traffic from the Guest WiFi VLAN (VLAN 30) can successfully ping devices on the IoT VLAN (VLAN 40). Both are on separate VLANs. What is the most likely cause, and what is the immediate remediation step?

Conseil : VLANs separate broadcast domains at Layer 2. What handles traffic routing between different subnets at Layer 3?

Voir la réponse type

The core router or firewall is missing a Default-Deny inter-VLAN routing policy. By default, routers pass traffic between all connected subnets. The immediate remediation is to configure an explicit Deny rule on the firewall blocking all traffic from VLAN 30 to VLAN 40. Audit all other inter-VLAN routing policies at the same time to confirm no other unintended paths exist. The long-term fix is to implement a Default-Deny policy across all VLANs with only explicit, documented exceptions permitted.

Q3. A tenant in a multi-tenant office building reports that their devices can authenticate to the WiFi network successfully, but they never receive an IP address and cannot access the internet. Other tenants on the same access points are working normally. The RADIUS server logs show successful authentication and a VLAN 50 assignment for the affected tenant. What is the first configuration you should check?

Conseil : Think about the physical path that VLAN-tagged traffic takes from the access point to the core switch. What must be configured on that path for VLAN 50 traffic to pass?

Voir la réponse type

Check the 802.1Q trunk port configuration on the switch port connected to the access point. Verify that VLAN 50 is explicitly listed as an allowed VLAN on the trunk. If VLAN 50 is not permitted on the trunk, the switch drops all VLAN 50 tagged frames, and the client never receives a DHCP response. Add VLAN 50 to the trunk's allowed VLAN list and verify the client receives an IP address. Also confirm that a DHCP scope exists for the VLAN 50 subnet.

Q4. A building operator wants to add 50 new IoT sensors to monitor energy consumption across a multi-tenant office building. The sensors do not support 802.1X authentication. How should you onboard these devices securely, and what firewall policy should apply to their VLAN?

Conseil : Consider the authentication method available for devices that cannot perform 802.1X, and the security implications of that method.

Voir la réponse type

Use MAC Authentication Bypass (MAB) to onboard the IoT sensors. Register each sensor's MAC address in the RADIUS server and configure the server to assign authenticated MAC addresses to the dedicated IoT VLAN (e.g., VLAN 40). Because MAC addresses can be spoofed, apply strict egress firewall rules to VLAN 40: permit outbound traffic only to the designated energy management platform IP addresses, and block all other outbound and all inbound traffic. Apply strict ACLs to prevent any device on VLAN 40 from initiating connections to any tenant VLAN or the management VLAN.

Continuer la lecture de cette série

Temps moyen d'innocence : comment prouver que le WiFi n'est pas en cause

Le temps moyen d'innocence (MTTI) est la métrique critique qui définit le temps passé par les équipes informatiques à prouver qu'un problème réseau n'est pas de leur faute. Ce guide détaille une méthodologie d'observabilité en cinq étapes pour éliminer le jeu des reproches dans les environnements multi-tenant, en remplaçant les accusations par des preuves partagées afin de réduire le temps moyen de résolution (MTTR).

Bandwidth Management and Quality of Service (QoS) in Co-Working Spaces

Un guide de référence technique faisant autorité pour les responsables informatiques, les architectes réseau et les directeurs d'exploitation de sites sur la mise en œuvre de cadres robustes de gestion de la bande passante et de qualité de service (QoS) dans les environnements de coworking. Ce guide détaille la segmentation du réseau, la priorisation du trafic, les configurations indépendantes des fournisseurs et les mesures de ROI réelles pour offrir une connectivité de classe entreprise. Il couvre les normes IEEE 802.11e/WMM, la conception de VLAN, la limitation du débit par utilisateur et les stratégies de dépannage avec des résultats commerciaux mesurables.

Bonnes pratiques de segmentation VLAN pour les environnements multi-locataires

Ce guide fournit aux responsables informatiques, architectes réseau, CTO et directeurs d'exploitation de sites un modèle faisant autorité et indépendant des fournisseurs pour implémenter la segmentation VLAN dans les environnements WiFi multi-locataires. Il couvre la norme IEEE 802.1Q, l'attribution dynamique de VLAN via 802.1X et RADIUS, ainsi que des conseils de déploiement étape par étape pour l'hôtellerie, le commerce de détail, les stades et les sites du secteur public. Une segmentation VLAN appropriée est le contrôle fondamental pour la conformité PCI DSS et GDPR, la prévention des mouvements latéraux et la fourniture d'une connectivité sans fil haute performance sur une infrastructure physique partagée.