LAN vs WAN : comprendre la différence dans les déploiements WiFi

Une référence technique pour les leaders IT et les exploitants de sites sur les différences critiques entre LAN et WAN dans les déploiements WiFi d'entreprise. Ce guide fournit des perspectives architecturales exploitables, des meilleures pratiques de mise en œuvre, et explique comment la compréhension de cette distinction maximise le ROI pour le WiFi invité et l'intelligence opérationnelle.

📖 6 min de lecture📝 1,349 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast

(Musique d'introduction - Mélodie professionnelle, rythmée, axée sur la technologie, s'estompant après 5 secondes)

**Présentateur (Voix assurée, autoritaire, anglais britannique) :** Bonjour et bienvenue dans ce briefing technique de Purple. Je suis votre hôte, et dans la session d'aujourd'hui, nous abordons un concept fondamental qui a des implications majeures pour tout déploiement WiFi à grande échelle : la différence entre un LAN et un WAN. Pour les responsables informatiques et les architectes réseau, maîtriser ce sujet est la clé d'un réseau sécurisé, performant et rentable. Se tromper ? Eh bien, cela conduit à des goulots d'étranglement, des failles de sécurité et une mauvaise expérience utilisateur. Au cours des dix prochaines minutes, nous allons dépasser la théorie pour vous donner les conseils pratiques dont vous avez besoin.

**(Musique de transition - Effet sonore bref et subtil)**

**Présentateur :** Commençons donc par les bases. Le réseau local, ou LAN. Considérez-le comme votre royaume privé. C’est le réseau au sein de vos quatre murs — un seul hôtel, un magasin de détail, un centre de conférence. Il se caractérise par des vitesses très élevées, de l'ordre de plusieurs gigabits par seconde, et une latence incroyablement basse. C'est le réseau qui connecte vos appareils sur site : vos points d'accès WiFi, vos terminaux de point de vente, les ordinateurs de votre personnel. Comme il vous appartient, vous en avez le contrôle total. Vous pouvez mettre en œuvre une sécurité robuste avec des normes telles que le WPA3 et le 802.1X, et vous pouvez le diviser en zones distinctes et sécurisées à l'aide de VLAN. C'est absolument essentiel. Votre trafic WiFi invité ne doit jamais, au grand jamais, se mélanger au trafic de votre entreprise ou de vos systèmes de paiement. Cette séparation s'effectue sur le LAN.

Maintenant, prenons du recul avec le réseau étendu, ou WAN. Si le LAN est votre bâtiment, le WAN est l'autoroute qui relie vos bâtiments entre eux, et au reste du monde via Internet. C'est le réseau que vous achetez généralement sous forme de service auprès d'un fournisseur comme BT, Virgin Media ou un opérateur spécialisé. Il couvre une zone géographique étendue et, par rapport au LAN, il présente une bande passante plus faible et une latence beaucoup plus élevée. Il est également plus coûteux. Le défi pour toute entreprise multi-sites, qu'il s'agisse d'une chaîne de magasins ou d'un groupe hôtelier, est de gérer efficacement cette connectivité WAN. C'est là que des technologies comme le SD-WAN sont devenues si puissantes. Le SD-WAN vous permet de gérer intelligemment plusieurs liaisons WAN, en acheminant vos données de paiement critiques via une connexion fibre hautement fiable, tout en envoyant le trafic invité moins critique via une liaison haut débit standard, garantissant ainsi performance et résilience.

La distinction clé est donc la suivante : le LAN est local, rapide et vous appartient. Le WAN est mondial, plus lent et loué. Vos points d'accès WiFi vivent sur le LAN. Ils se connectent à vos commutateurs locaux. Mais la connexion Internet qu'ils fournissent à vos invités ? Elle dépend entièrement de votre liaison WAN. Un signal WiFi fantastique est inutile si le tuyau menant à Internet est saturé.

**(Musique de transition - Effet sonore bref et subtil)**

**Animateur :** Passons maintenant à l'implémentation. Lorsque vous concevez votre réseau, partez toujours de l'expérience utilisateur pour remonter le fil. Combien d'utilisateurs attendez-vous ? Que feront-ils ? Pour un stade à haute densité, vous avez besoin d'une conception de réseau local (LAN) très différente de celle d'un petit café. Votre première étape est une étude de site sans fil pour déterminer l'emplacement des points d'accès (AP). Ne devinez pas. Modélisez-le. Deuxièmement, votre stratégie de VLAN. De base, vous devez séparer les VLAN pour les invités, l'entreprise et tous les systèmes sensibles comme les paiements ou la gestion technique du bâtiment. C'est non négociable pour la sécurité et la conformité aux normes telles que PCI DSS. Troisièmement, votre connexion WAN. N'achetez pas simplement la liaison la moins chère. Calculez vos besoins en bande passante prévus, y compris le trafic invité, et mettez en œuvre la qualité de service, ou QoS. La QoS est votre agent de circulation. Elle garantit qu'une augmentation soudaine du streaming YouTube par les invités ne vienne pas paralyser votre système de point de vente. Priorisez vos applications critiques. Un piège courant consiste à sous-dimensionner le WAN ou à ne pas appliquer de QoS. Un autre consiste à utiliser un réseau plat sans VLAN. Ce sont des erreurs de débutant qui peuvent paralyser un site.

**(Musique de transition - Effet sonore bref et subtil)**

**Animateur :** Passons à une séance de questions-réponses rapide. On me pose ces questions tout le temps.

*Question 1 : Où se situe Purple dans tout cela ?* Purple est une couche d'intelligence supérieure. Nous nous intégrons à l'infrastructure WiFi de votre LAN. Le Captive Portal et les données d'analyse sont hébergés dans notre cloud, auquel votre réseau accède via sa connexion WAN. Nous tirons parti de votre infrastructure pour offrir de la valeur commerciale.

*Question 2 : Dois-je utiliser un seul grand VLAN pour tous mes invités ?* Non. Mauvaise idée. Cela crée un domaine de diffusion gigantesque et des risques de sécurité. La bonne pratique consiste à activer le cloisonnement des clients (Client Isolation) sur vos AP. Cela empêche les appareils des invités de se voir ou de s'attaquer entre eux.

*Question 3 : Le SD-WAN. Est-ce juste un effet de mode ?* Absolument pas. Pour toute entreprise multisite, c'est une véritable révolution. Il offre de meilleures performances, une plus grande fiabilité et souvent un coût inférieur aux configurations WAN traditionnelles. C'est un investissement stratégique.

**(Musique de transition - Effet sonore bref et subtil)**

**Animateur :** Pour résumer, votre LAN est votre fondation. Concevez-le pour qu'il soit robuste, sécurisé et segmenté. Votre WAN est votre connexion avec le monde extérieur. Créez-le pour qu'il soit résilient et orienté applicatif. Comprenez la frontière entre les deux et gérez le flux de trafic grâce à la QoS et au routage intelligent. En configurant correctement cette architecture, vous ne vous contentez pas de fournir du WiFi ; vous bâtissez une plateforme d'intelligence économique, d'engagement client et d'excellence opérationnelle. C'est là que réside le véritable retour sur investissement.

**(Musique de fin - Apparaît en fondu et continue jusqu'à la fin)**

**Animateur :** Merci d'avoir suivi ce point technique Purple. Pour en savoir plus, rendez-vous sur purple.ai. À la prochaine !

Points clés à retenir

✓Un LAN est votre réseau privé sur site (un bâtiment) ; un WAN relie vos sites entre eux (une autoroute).
✓Une conception WiFi efficace repose sur la compréhension de la frontière LAN/WAN pour gérer les performances et les coûts.
✓Utilisez des VLAN pour segmenter le trafic pour des raisons de sécurité (par exemple, Invité vs. Entreprise).
✓Utilisez la QoS sur votre liaison WAN pour prioriser le trafic professionnel critique par rapport à la navigation des invités.
✓Le SD-WAN offre un moyen flexible et résilient de gérer la connectivité pour les entreprises multisites.
✓L'isolation des clients est une fonction de sécurité essentielle pour tout réseau WiFi invité public.
✓Les plateformes d'analyse WiFi comme Purple sont un service de superposition qui s'appuie sur votre LAN/WAN pour fournir de l'intelligence d'affaires.

Résumé exécutif

Pour les directeurs informatiques et les architectes réseau, la distinction entre un réseau local (LAN) et un réseau étendu (WAN) est fondamentale, pourtant son application pratique dans les déploiements WiFi à grande échelle est souvent source d'une complexité importante et de dépassements budgétaires. Un LAN fournit une connectivité à haut débit et à faible latence au sein d'une zone physique limitée : un seul hôtel, un point de vente ou un espace de conférence. À l'inverse, un WAN connecte plusieurs LAN sur une grande distance géographique, permettant à une chaîne de vente au détail de relier ses magasins ou à un groupe hôtelier de connecter ses établissements à un centre de données central. Une mauvaise compréhension de cette frontière conduit à une conception réseau défaillante, entraînant des goulots d'étranglement de performance, des vulnérabilités de sécurité et une expérience utilisateur dégradée. Ce guide sert de référence pratique, démystifiant les concepts fondamentaux et fournissant un cadre stratégique pour concevoir, déployer et gérer des réseaux WiFi de classe entreprise. Nous explorerons les décisions architecturales, les considérations de sécurité sous des normes telles que le WPA3 et le PCI DSS, ainsi que l'impact commercial d'un réseau bien conçu, en contextualisant la manière dont une plateforme d'intelligence WiFi comme Purple apporte une valeur ajoutée essentielle pour stimuler les revenus et comprendre le comportement des clients.

Analyse technique approfondie

Comprendre la frontière LAN/WAN est crucial pour une conception efficace de réseau WiFi. Le LAN est votre domaine de contrôle interne, englobant tout le matériel sur site, tandis que le WAN est la structure externe reliant vos sites, généralement gérée par un fournisseur d'accès Internet (FAI) ou un opérateur de télécommunications.

Le réseau local (LAN) : le moteur sur site

Un LAN est un réseau privé limité à un seul emplacement géographique, tel qu'un immeuble de bureaux, un stade ou un hôtel. Son objectif principal est de faciliter l'échange de données à haut débit entre les appareils interconnectés au sein de ce périmètre. Dans un déploiement WiFi moderne, le LAN ne se résume pas à des câbles ; c'est un écosystème sophistiqué de composants fonctionnant de concert.

Composants : Le matériel clé comprend les points d'accès sans fil (AP) qui diffusent le signal WiFi (par exemple, fonctionnant sur les normes IEEE 802.11ax/Wi-Fi 6), les commutateurs réseau (Switches) qui agrègent le trafic des AP et d'autres appareils filaires, et un routeur central ou un commutateur de couche 3 qui gère le flux de trafic et dirige les données vers leur destination, y compris vers la passerelle WAN.
Performance : Les LAN se caractérisent par une bande passante très élevée (généralement de 1 Gbps à 10 Gbps ou plus sur Ethernet) et une latence extrêmement faible (souvent inférieure à la milliseconde). Ceci est essentiel pour prendre en charge des environnements à haute densité tels que les centres de conférence ou des applications nécessitant des données en temps réel, comme les systèmes de point de vente (POS) dans le commerce de détail.
Contrôle et sécurité : Comme le réseau LAN est privé, les équipes informatiques ont un contrôle total sur son architecture et sa posture de sécurité. Cela permet de mettre en œuvre des contrôles d'accès granulaires à l'aide de la norme IEEE 802.1X, une segmentation du réseau avec des VLAN pour isoler le trafic des invités du trafic de l'entreprise, et des protocoles de chiffrement robustes comme le WPA3 pour protéger les données en transit.

Le réseau étendu (WAN) : Connecter l'entreprise

Un WAN interconnecte plusieurs LAN sur de vastes zones géographiques, allant de quelques kilomètres à l'ensemble du globe. Internet lui-même est le plus grand WAN, mais pour les entreprises, un WAN fait généralement référence aux liaisons privées ou publiques utilisées pour connecter des sites distants.

Connectivité : Les liaisons WAN sont fournies par des prestataires de services tiers et peuvent inclure diverses technologies telles que les lignes de fibre optique, le MPLS (Multi-Protocol Label Switching) ou, de plus en plus, le SD-WAN (Software-Defined WAN). Le SD-WAN offre une approche de gestion de la connectivité WAN plus flexible, rentable et sensible aux applications, permettant aux équipes informatiques de router dynamiquement le trafic sur plusieurs types de liaisons (par exemple, MPLS, haut débit, 4G/5G) en fonction de la priorité de l'application.
Performance : Les performances du WAN sont limitées par le coût et la disponibilité des liaisons des fournisseurs de services. La bande passante est considérablement plus faible et plus coûteuse que sur le LAN, et la latence est beaucoup plus élevée en raison des distances physiques impliquées. Une liaison à travers le pays peut avoir une latence de 50 à 100 ms, un contraste saisissant avec la latence inférieure à 1 ms sur le LAN.
Sécurité et gestion : La sécurisation du WAN implique des pare-feux, des VPN (Virtual Private Networks) et des systèmes de détection d'intrusion en périphérie de réseau. La gestion d'un WAN est complexe, car elle implique de se coordonner avec plusieurs opérateurs et de garantir l'application cohérente des politiques sur tous les sites. C'est un autre domaine dans lequel le SD-WAN offre des avantages considérables grâce à un contrôle centralisé et une orchestration simplifiée des politiques.

La place de Purple dans l'architecture

Purple est une plateforme de superposition (overlay) qui fonctionne au-dessus de votre infrastructure LAN et WAN existante. Elle s'intègre aux AP WiFi de votre LAN pour gérer l'expérience des utilisateurs invités via un captive portal. Lorsqu'un invité se connecte, son authentification et son trafic Web ultérieur sont gérés par la plateforme cloud de Purple, accessible via la connexion WAN de votre site. Purple capture ensuite des données d'analyse anonymisées de localisation et de présence, les traite dans le cloud et les présente aux exploitants de sites via un tableau de bord. Cette couche d'intelligence ne remplace pas votre infrastructure LAN ou WAN, mais s'appuie sur elle pour révéler des informations exploitables sur le comportement des visiteurs, vous permettant ainsi de fidéliser vos clients, d'augmenter vos revenus et d'améliorer votre efficacité opérationnelle.

Guide de mise en œuvre

Définir les exigences du site : Pour chaque emplacement, documentez la zone physique, la densité d'appareils attendue et les besoins en performance des applications. Un hôtel nécessite une couverture fluide dans les chambres et les espaces communs, tandis qu'un magasin de détail doit prendre en charge les systèmes POS, le WiFi invité et les appareils du personnel.
Conception du réseau LAN et positionnement des AP : Réalisez une étude de site sans fil pour déterminer le nombre et l'emplacement optimaux des AP. Utilisez des outils capables de modéliser la propagation RF pour la configuration spécifique de votre bâtiment. Assurez-vous que votre infrastructure de commutation dispose d'une capacité de ports suffisante et d'un budget Power over Ethernet (PoE) adapté pour alimenter tous les AP.
Stratégie de segmentation du réseau : Implémentez des VLAN pour séparer logiquement les différents types de trafic. Un modèle standard comprend des VLAN distincts pour : le WiFi invité, le réseau sans fil d'entreprise, les appareils IoT (par exemple, thermostats intelligents, caméras de sécurité) et le trafic de gestion.
Approvisionnement de la connectivité WAN : Évaluez les options WAN en fonction de la criticité du site et des besoins en bande passante. Pour un magasin de détail phare, une liaison fibre principale avec une sauvegarde 4G/5G via SD-WAN offre une haute disponibilité. Pour les petits bureaux satellites, une simple connexion haut débit professionnelle peut suffire.
Configuration de la sécurité d'accès (Edge) : Déployez un pare-feu de nouvelle génération (NGFW) à la périphérie WAN de chaque LAN. Configurez des politiques pour appliquer les contrôles d'accès, prévenir les intrusions et garantir la conformité avec des normes telles que PCI DSS si des données de cartes de paiement sont traitées.
Intégrer Purple : Une fois le réseau sous-jacent stable, intégrez votre contrôleur WiFi ou vos AP à la plateforme cloud Purple. Cela consiste généralement à pointer le Captive Portal ou les paramètres d'authentification RADIUS vers les points de terminaison du service Purple. Testez minutieusement le parcours invité, de la connexion à l'authentification et à l'accès Internet.

Bonnes pratiques

Gestion centralisée : Utilisez une plateforme de gestion de réseau basée sur le cloud pour configurer et surveiller vos AP, commutateurs et pare-feux sur l'ensemble des sites. Cela simplifie les mises à jour des politiques et offre une interface unique pour le dépannage.
Contrôle d'accès basé sur les rôles (RBAC) : Appliquez le principe du moindre privilège. Utilisez la norme IEEE 802.1X pour authentifier les utilisateurs et les appareils, en les attribuant au VLAN approprié et en appliquant des politiques d'accès spécifiques en fonction de leur rôle.
Conformité dès la conception (Compliance by Design) : Lors de la conception de votre réseau, intégrez dès le départ des contrôles pour répondre aux exigences réglementaires. Pour le GDPR, cela signifie s'assurer que le consentement de l'invité est correctement recueilli au niveau du Captive Portal. Pour PCI DSS, cela nécessite une séparation stricte de l'environnement des données de titulaires de cartes de tous les autres réseaux, y compris le WiFi invité.
Audits réguliers : Auditez périodiquement la configuration de votre réseau, les règles de pare-feu et les journaux d'accès pour identifier les failles de sécurité potentielles ou les mauvaises configurations. Des outils automatisés peuvent aider à rationaliser ce processus.

Résolution des problèmes et atténuation des risques

Mode de défaillance courant : Saturation de la liaison WAN. Un problème courant survient lorsque le trafic WiFi invité sature la liaison WAN principale, ce qui impacte les applications métier critiques. Atténuation : Implémentez des politiques de qualité de service (QoS) sur votre routeur/pare-feu périphérique afin de hiérarchiser le trafic critique pour l'entreprise (ex : terminaux de point de vente, voix) par rapport au trafic invité. Limitez le débit des utilisateurs invités à un seuil de bande passante raisonnable.
Mode de défaillance courant : Épuisement des adresses IP. Dans les lieux à forte affluence, la plage DHCP du VLAN invité peut se retrouver à court d'adresses IP disponibles, empêchant ainsi les nouveaux utilisateurs de se connecter. Atténuation : Utilisez un sous-réseau /22 ou /21 pour votre VLAN invité afin de fournir des milliers d'adresses disponibles. Surveillez l'utilisation de la plage DHCP et configurez des alertes lorsqu'elle dépasse 80 %.
Risque : Réseau invité non sécurisé. Un réseau invité mal configuré peut servir de point de pivot à un attaquant pour accéder au LAN de l'entreprise. Atténuation : Assurez-vous que

Définitions clés

Local Area Network (LAN)

Un réseau informatique privé couvrant une zone physique restreinte, telle qu'une maison, un bureau ou un bâtiment unique sur un campus.

Il s'agit de votre réseau sur site. Les équipes informatiques ont un contrôle total sur le LAN, ce qui en fait le domaine idéal pour les communications internes et l'accès WiFi à haut débit et sécurisés.

Wide Area Network (WAN)

Un réseau informatique qui s'étend sur une grande distance géographique, reliant plusieurs LAN entre eux.

C'est ainsi que vos différents sites (par exemple, plusieurs magasins ou hôtels) se connectent entre eux et à Internet. Les performances et les coûts sont des facteurs clés, car ce réseau dépend d'opérateurs tiers.

Access Point (AP)

Un appareil matériel qui permet à d'autres appareils Wi-Fi de se connecter à un réseau câblé. Un AP agit comme un émetteur et un récepteur central de signaux radio sans fil.

Il s'agit des appareils qui créent votre réseau WiFi. Le positionnement et la configuration corrects des AP sont essentiels pour garantir une bonne couverture et des performances optimales.

Router

Un équipement réseau qui transfère des paquets de données entre des réseaux informatiques. Les routeurs assurent les fonctions de direction du trafic sur Internet.

Le routeur est la passerelle de votre LAN. Il connecte votre réseau interne au WAN externe (Internet) et prend les décisions concernant l'acheminement du trafic.

Switch

Un équipement réseau qui connecte des appareils entre eux sur un réseau informatique en utilisant la commutation de paquets pour recevoir, traiter et transférer des données vers l'appareil de destination.

Les commutateurs (switches) sont l'épine dorsale de votre LAN câblé, connectant vos AP, serveurs et autres appareils câblés entre eux à grande vitesse.

VLAN (Virtual LAN)

Un réseau local virtuel est un domaine de diffusion qui est partitionné et isolé dans un réseau informatique au niveau de la couche de liaison de données (couche OSI 2).

Les VLANs sont un outil de sécurité essentiel. Ils vous permettent de créer des réseaux distincts et isolés sur le même matériel physique, par exemple pour séparer complètement le trafic invité de votre trafic d'entreprise.

SD-WAN (Software-Defined WAN)

Un réseau étendu défini par logiciel est une architecture WAN virtuelle qui permet aux entreprises de s'appuyer sur n'importe quelle combinaison de services de transport – y compris le MPLS, la LTE et les services Internet haut débit – pour connecter de manière sécurisée les utilisateurs aux applications.

Pour les entreprises disposant de plusieurs sites, le SD-WAN offre un moyen plus intelligent, plus rentable et plus résilient de gérer la connectivité WAN par rapport aux approches traditionnelles.

Captive Portal

Une page web que l'utilisateur d'un réseau d'accès public est obligé de consulter et avec laquelle il doit interagir avant que l'accès ne lui soit accordé.

Il s'agit de la page de connexion que les invités voient lorsqu'ils se connectent à votre WiFi. Purple utilise le Captive Portal pour gérer l'authentification, présenter les conditions générales et proposer des options d'inscription marketing.

Exemples concrets

Un hôtel de luxe de 200 chambres souhaite moderniser son WiFi afin d'offrir une expérience fluide et performante à ses clients, tout en séparant de manière sécurisée ce trafic de son système de gestion interne de l'établissement (PMS). Le groupe hôtelier souhaite également centraliser l'analyse des données clients sur ses 10 établissements.

La solution repose sur une approche en deux volets. Sur le réseau LAN, chaque hôtel déploiera un réseau Wi-Fi 6 (802.11ax) haute densité avec des bornes d'accès (AP) dans chaque chambre et espace commun. Un commutateur central agrège le trafic, et des VLAN sont utilisés pour créer des réseaux logiquement séparés : VLAN 10 pour les invités, VLAN 20 pour le personnel, VLAN 30 pour l'IoT (serrures intelligentes, minibars) et VLAN 40 pour le PMS. Un pare-feu sur site inspecte l'ensemble du trafic. Pour le WAN, chaque hôtel est connecté à Internet via une liaison principale en fibre de 1 Gbps et une liaison sans fil secondaire 5G, gérées par un équipement SD-WAN. Le SD-WAN est configuré pour acheminer les données d'analyse des invités Purple et les données du PMS via la liaison fibre sécurisée à faible latence, tandis que le trafic Internet général des invités peut être acheminé localement. Purple est intégré au contrôleur WiFi sur site, utilisant RADIUS pour authentifier les invités auprès de sa plateforme cloud, ce qui permet au groupe hôtelier de visualiser les analyses des 10 établissements sur un seul tableau de bord.

Commentaire de l'examinateur : Cette approche hybride équilibre parfaitement les performances sur site et la gestion centralisée. L'utilisation du SD-WAN est essentielle pour garantir à la fois la résilience et un routage intelligent du trafic, évitant ainsi que le volume important de trafic des invités n'impacte les opérations critiques de l'hôtel. La stratégie de VLAN offre une segmentation de sécurité robuste, indispensable pour la conformité PCI DSS du PMS. La centralisation des analyses via Purple fournit l'intelligence d'affaires requise par le groupe hôtelier sans compromettre les performances des différents établissements.

Une chaîne de vente au détail comptant 50 magasins au Royaume-Uni doit déployer un WiFi invité pour encourager l'adoption de son application de fidélité. Les magasins disposent d'un personnel informatique limité sur site et l'entreprise doit garantir un déploiement cohérent et sécurisé dans tous les points de vente.

Un modèle de provisionnement sans contact (zero-touch), basé sur des modèles, constitue la solution optimale. Pour le LAN, chaque magasin reçoit un ensemble standardisé d'équipements : 5 à 10 AP et une passerelle de sécurité intégrée unique qui combine routage, commutation et pare-feu. La configuration est standardisée via une plateforme de gestion cloud. Pour le WAN, une solution haut débit double sur chaque site, gérée par un réseau superposé SD-WAN, offre une connexion rentable et résiliente. La clé réside dans la configuration centralisée : un modèle de réseau unique est créé dans le contrôleur cloud. Ce modèle définit les SSID, les VLAN (Invité, Entreprise, TPE), les règles de pare-feu et les politiques de QoS. Lorsqu'un nouveau magasin est mis en ligne, un employé local branche simplement la passerelle, qui télécharge alors automatiquement toute sa configuration depuis le cloud. Purple est intégré au niveau du modèle, de sorte que chaque magasin utilise automatiquement le même Captive Portal personnalisé, qui met en évidence un lien pour télécharger l'application de fidélité.

Commentaire de l'examinateur : Cette solution donne la priorité à l'évolutivité et à la cohérence, qui sont essentielles pour un déploiement sur 50 sites. Le provisionnement sans contact réduit considérablement les coûts de déploiement et le besoin de techniciens qualifiés sur chaque site. L'utilisation d'une architecture réseau gérée dans le cloud garantit l'application uniforme des politiques de sécurité, limitant ainsi le risque de mauvaise configuration. L'intégration de Purple au niveau du modèle garantit une expérience de marque cohérente et assure que l'objectif commercial principal, à savoir l'adoption de l'application de fidélité, est atteint dans chaque point de vente.

Questions d'entraînement

Q1. Vous concevez le réseau d'un nouveau centre de conférences de 5 étages. Le site accueillera plusieurs événements simultanément, avec jusqu'à 1 000 utilisateurs simultanés par étage. Comment structureriez-vous votre stratégie de VLAN et d'adressage IP pour le réseau invité ?

Conseil : Prenez en compte le nombre d'appareils, le trafic de diffusion (broadcast) et la nécessité d'isoler les différents événements.

Voir la réponse type

Un seul grand VLAN pour tous les invités serait inefficace et créerait un domaine de diffusion massif. Une meilleure approche consiste à utiliser un VLAN distinct pour chaque étage (par exemple, VLAN 101 pour le 1er étage, VLAN 102 pour le 2e étage). Chaque VLAN se verrait attribuer un sous-réseau /21 (par exemple, 10.101.0.0/21), fournissant 2 046 adresses IP utilisables, ce qui est plus que suffisant pour 1 000 utilisateurs. Pour assurer l'isolation entre les différents événements sur un même étage, vous pouvez utiliser des VLAN privés ou simplement vous appuyer sur l'isolation des clients au niveau de l'AP. Tous les VLAN invités seraient routés via une politique de pare-feu commune qui limite strictement leur accès à l'Internet uniquement.

Q2. Une chaîne de magasins de détail constate des lenteurs lors des transactions aux points de vente (POS) pendant les heures de pointe. Elle dispose d'une unique connexion haut débit de 100 Mbps sur chaque site, partagée entre les terminaux POS, les appareils du personnel et le WiFi invité gratuit. Quelle est la cause la plus probable et quelles mesures immédiates devez-vous prendre ?

Conseil : Pensez à la congestion du trafic sur la liaison WAN.

Voir la réponse type

La cause la plus probable est la saturation de la liaison WAN, où le volume élevé de trafic du WiFi invité consomme toute la bande passante disponible, laissant très peu de ressources pour les transactions POS sensibles à la latence. Les mesures immédiates sont : 1) Mettre en œuvre une politique de qualité de service (QoS) sur le routeur de bordure pour garantir un certain pourcentage de bande passante au trafic du système POS et lui attribuer la priorité absolue. 2) Appliquer une limite de bande passante (par exemple, 5 Mbps par utilisateur) aux utilisateurs du WiFi invité pour les empêcher de monopoliser la connexion. Une solution à long terme consisterait à ajouter une liaison WAN secondaire et à utiliser le SD-WAN pour router le trafic POS sur la liaison la plus fiable.

Q3. Votre entreprise déploie une solution de WiFi invité dans 100 stades. Le CISO s'inquiète des risques de sécurité liés à l'autorisation de plus de 50 000 appareils inconnus sur le réseau par événement. Quel contrôle de sécurité clé doit être activé sur l'infrastructure sans fil pour atténuer une grande partie de ce risque ?

Conseil : Comment empêcher les invités connectés de s'attaquer entre eux ou d'attaquer d'autres appareils sur le même réseau ?

Voir la réponse type

Le contrôle de sécurité le plus critique dans ce scénario public à haute densité est l'Isolation des clients (également appelée isolation AP ou isolation de port). Lorsqu'elle est activée sur l'SSID invité, cette fonctionnalité empêche les clients sans fil de communiquer directement entre eux au niveau de la couche 2. Chaque appareil ne peut communiquer qu'avec la passerelle (le routeur), et non avec un autre appareil sur le même réseau WiFi. Cela neutralise efficacement le risque qu'un appareil invité compromis tente de scanner, d'attaquer ou d'infecter les appareils d'autres utilisateurs, réduisant ainsi considérablement la surface d'attaque interne du réseau invité.

Continuer la lecture de cette série

Gestion du WiFi pour les clients d'hôtels : Intégration du PMS, des portails et des normes de marque

Ce guide technique détaille comment concevoir des réseaux WiFi hôteliers de classe entreprise, en se concentrant sur la segmentation VLAN, l'intégration PMS pour la gestion automatisée des sessions et l'optimisation du Captive Portal pour une collecte de données conforme au GDPR.

Comment configurer un WiFi invité : Guide de configuration d'entreprise sécurisé

Ce guide de référence fournit aux responsables informatiques et aux architectes réseau un plan d'action définitif pour déployer un WiFi invité d'entreprise sécurisé. Il couvre l'architecture essentielle, la migration vers le WPA3, la segmentation VLAN et l'intégration de Captive Portal pour protéger les systèmes internes tout en collectant des données de première partie conformes.

Gestion de la bande passante pour le WiFi du personnel : lissage, QoS et réduction du trafic

Ce guide détaille les méthodes pratiques pour gérer la bande passante du WiFi du personnel dans les établissements d'entreprise. Il aborde le lissage du trafic, l'implémentation de la QoS et la manière dont le déploiement de Purple Shield réduit la charge réseau sans nécessiter de mise à niveau des infrastructures.