Passer au contenu principal
Français

Résoudre l'erreur "Connecté mais pas d'Internet" sur le WiFi invité

Ce guide de référence technique faisant autorité explique comment les expirations de délai DNS causées par des réseaux encombrés déclenchent l'erreur "Connecté, pas d'Internet" sur le WiFi invité. Il fournit aux architectes réseau et aux responsables informatiques des étapes de mise en œuvre concrètes pour déployer des filtres DNS d'entreprise afin de résoudre ces goulots d'étranglement et d'améliorer l'onboarding des invités.

📖 5 min de lecture📝 1,103 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Résoudre l'erreur "Connecté mais pas d'Internet" sur le WiFi invité — Un briefing technique Purple [INTRODUCTION & CONTEXTE — environ 1 minute] Bienvenue dans la série des briefings techniques Purple. Je suis votre hôte, et aujourd'hui nous nous attaquons à l'un des problèmes les plus persistants et frustrants des réseaux d'entreprise : l'erreur "connecté, pas d'Internet" sur le WiFi invité. Si vous gérez l'infrastructure WiFi d'un hôtel, d'une chaîne de magasins, d'un stade ou d'un centre de conférences, vous y avez déjà été confronté. L'appareil d'un invité affiche un signal maximal, il est associé à votre point d'accès, une adresse IP lui a été attribuée — et pourtant, le navigateur ne charge rien. Le Captive Portal ne s'affiche jamais. L'invité appelle la réception. Votre équipe d'assistance lance un test de ping, tout semble correct sur le papier, et pourtant le problème persiste. Voici la réalité : dans la grande majorité des cas que je rencontre sur les déploiements d'entreprise, il ne s'agit pas d'une panne matérielle, d'une mauvaise configuration du pare-feu, ni d'un problème de bande passante au sens traditionnel. C'est un problème de timing DNS — et il est presque toujours déclenché par la congestion du réseau. Aujourd'hui, je souhaite vous expliquer exactement pourquoi cela se produit, comment le diagnostiquer de manière fiable et comment le déploiement d'un filtre DNS d'entreprise résout définitivement ce goulot d'étranglement. [ANALYSE TECHNIQUE APPROFONDIE — environ 5 minutes] Commençons par les fondamentaux. Lorsqu'un appareil invité se connecte à votre réseau WiFi, la toute première chose qu'il doit faire — avant de pouvoir charger une seule page web, avant que votre Captive Portal ne puisse le rediriger, avant que toute authentification ne puisse avoir lieu — est de résoudre un nom de domaine en une adresse IP via le DNS. Le Domain Name System est l'annuaire d'Internet. Sans lui, votre appareil n'a aucun moyen de savoir où envoyer le trafic. C'est là que le problème commence. La plupart des appareils grand public — iPhones, terminaux Android, ordinateurs portables Windows — disposent d'un mécanisme intégré appelé sonde de détection de Captive Portal. Sur iOS, par exemple, l'appareil envoie une requête HTTP à un point de terminaison Apple connu, tel que captive.apple.com. Sur Android, il interroge connectivitycheck.gstatic.com. Sur Windows, il teste msftconnecttest.com. Ces sondes sont conçues pour détecter si le réseau nécessite une page de connexion avant d'autoriser l'accès à Internet. Le point critique est le suivant : ces sondes dépendent du DNS. L'appareil doit d'abord résoudre le nom de domaine du point de terminaison de la sonde avant de pouvoir envoyer la requête HTTP. Et cette requête DNS a un délai d'expiration (timeout) — généralement compris entre une et cinq secondes selon le système d'exploitation. Si le résolveur DNS de votre réseau ne répond pas dans ce laps de temps, l'appareil en conclut que le réseau n'a pas de connectivité Internet, même s'il est entièrement associé et dispose d'une adresse IP valide. C'est cela, l'erreur "connecté, pas d'Internet". Il ne s'agit pas d'un échec de connectivité — c'est un échec de réponse DNS. Alors, pourquoi le DNS échoue-t-il sur un réseau encombré ? C'est l'aspect qui piège de nombreuses équipes. Par défaut, les requêtes DNS sont envoyées via UDP sur le port 53. L'UDP est un protocole sans connexion : il n'y a pas de poignée de main (handshake), pas d'accusé de réception, pas de retransmission au niveau de la couche transport. Si un paquet DNS est abandonné en raison d'une congestion du réseau, le client attend simplement l'expiration du délai d'attente (timeout), puis réessaie ou abandonne. Sur un réseau WiFi invité comptant des centaines ou des milliers d'appareils simultanés — pensez à un stade pendant un match, un hôtel complet, un centre de conférence pendant une conférence plénière — la liaison montante et le résolveur DNS peuvent très rapidement arriver à saturation. Le problème est aggravé par le fait que les réseaux invités partagent généralement un seul résolveur DNS en amont, souvent le résolveur par défaut du FAI ou un résolveur public comme 8.8.8.8. Lorsque chaque appareil du réseau tente simultanément de détecter le Captive Portal, exécute des mises à jour d'applications en arrière-plan et effectue des requêtes DNS pour les réseaux sociaux et les services de streaming, ce résolveur unique devient un goulot d'étranglement. Les temps de réponse des requêtes passent de la plage normale de moins de 50 millisecondes à des centaines, voire des milliers de millisecondes. Les timeouts commencent à se produire. Les erreurs « connecté, pas d'internet » commencent à affluer. Il existe également un mécanisme secondaire important à comprendre : l'épuisement du TTL. Les réponses DNS incluent une valeur TTL (Time To Live) qui indique à l'appareil récepteur combien de temps il doit conserver en cache l'adresse IP résolue. Sur un réseau encombré où les appareils s'associent et se dissocient constamment — ce qui est fréquent dans les lieux à forte densité — les entrées mises en cache expirent et doivent être résolues à nouveau fréquemment. Cela augmente la charge de requêtes DNS sur le résolveur précisément au moment où le réseau est le plus sollicité. Face à ce problème, la réponse traditionnelle consiste à augmenter la bande passante : mettre à niveau la liaison montante, ajouter des points d'accès, implémenter des politiques de QoS. Ce sont toutes des mesures valables, mais elles ne s'attaquent pas à la cause profonde. La cause profonde est que votre chemin de résolution DNS n'est pas optimisé pour les environnements invités à haute densité. Et c'est précisément ce qu'un filtre DNS d'entreprise résout. Un filtre DNS d'entreprise — tel que la fonctionnalité de filtrage DNS intégrée à la plateforme de WiFi invité de Purple — fonctionne comme un résolveur DNS local à haute performance qui se place entre vos appareils invités et l'internet en amont. Plutôt que de transférer chaque requête vers un résolveur public distant, il maintient un cache local des domaines fréquemment résolus, gère nativement les requêtes de détection de Captive Portal et applique un filtrage basé sur des politiques pour bloquer les domaines malveillants ou non conformes avant même qu'ils n'atteignent le résolveur en amont. Le résultat est une réduction spectaculaire de la latence des requêtes DNS — passant généralement de timeouts de deux à trois secondes à des réponses de moins de 200 millisecondes — ce qui signifie que les requêtes de détection de Captive Portal réussissent dès la première tentative, que l'erreur « connecté, pas d'internet » disparaît et que le temps d'accès des invités diminue considérablement. Du point de vue des normes, cette architecture s'aligne sur les recommandations de l'IEEE 802.11 pour les déploiements à haute densité et favorise la conformité avec les exigences de traitement des données du GDPR en vous permettant d'enregistrer et d'auditer les requêtes DNS — ce qui est particulièrement pertinent si vous opérez sous une licence du secteur public ou de l'hôtellerie. Elle répond également aux exigences de segmentation réseau de la norme PCI DSS en garantissant que le trafic DNS des invités est isolé de l'infrastructure de résolution de votre entreprise. [RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER — environ 2 minutes] Permettez-moi de vous donner des conseils pratiques pour le déploiement. Lorsque vous déployez un filtre DNS d'entreprise sur un réseau WiFi invité, trois décisions de configuration détermineront votre succès ou votre échec. Premièrement, l'emplacement du résolveur. Votre filtre DNS doit être déployé le plus près possible du réseau invité — idéalement sur le même VLAN ou sous-réseau que vos points d'accès invités. Chaque saut entre l'appareil de l'invité et le résolveur ajoute de la latence. Si votre filtre DNS se trouve dans un centre de données distant et que votre réseau invité est dans un hôtel à Manchester, vous ajoutez un temps de trajet aller-retour qui va à l'encontre de l'objectif recherché. Utilisez un équipement local ou un filtre DNS basé sur le cloud avec un point de présence régional. Deuxièmement, le passthrough DNS du Captive Portal. C'est la configuration erronée la plus courante que je rencontre. Lorsque vous déployez un filtre DNS, vous devez vous assurer que le propre domaine du Captive Portal — l'URL vers laquelle les invités sont redirigés pour l'authentification — est mis sur liste blanche dans le filtre. Si le filtre bloque ou retarde la résolution du domaine de votre Captive Portal, vous recréerez exactement le problème que vous essayiez de résoudre. Testez toujours explicitement la résolution du Captive Portal après avoir déployé une politique de filtrage DNS. Troisièmement, l'ajustement du TTL. Configurez votre résolveur DNS local pour qu'il serve des TTL courts pour les domaines de test de détection de Captive Portal — Apple, Google, Microsoft — afin que les appareils effectuent des requêtes fréquentes et obtiennent toujours une réponse locale rapide, plutôt que d'attendre l'expiration d'une entrée en cache pour ensuite solliciter un résolveur amont encombré. Un TTL de 30 à 60 secondes pour ces domaines spécifiques constitue un point de départ raisonnable. Le piège à éviter est le sur-filtrage. Certaines équipes déploient des listes de blocage DNS agressives qui bloquent par inadvertance des domaines utilisés par des applications d'invités légitimes — services de streaming, terminaux VPN d'entreprise, stockage cloud. Cela génère un autre type de ticket d'assistance, mais s'avère tout aussi préjudiciable à l'expérience des invités. Commencez par une politique conservatrice, surveillez les journaux de requêtes DNS pour identifier les domaines bloqués, et affinez-la sur une période de deux semaines avant de verrouiller la configuration. [SÉANCE DE QUESTIONS-RÉPONSES RAPIDES — environ 1 minute] Passons en revue les questions que l'on me pose le plus souvent à ce sujet. "Puis-je simplement utiliser 8.8.8.8 comme résolveur DNS invité ?" Vous le pouvez, mais en cas de forte charge, il expirera. Un résolveur local ou régional sera toujours plus performant qu'un résolveur public sur un réseau encombré. « Est-ce que cela affecte les déploiements WPA3 ? » Non — le WPA3 améliore la sécurité de l'authentification mais ne modifie pas le chemin de résolution DNS. Le même problème de timeout DNS se produit quel que soit le standard de chiffrement utilisé. « Comment savoir si le DNS est la cause réelle de mes erreurs "connecté, pas d'Internet" ? » Effectuez une capture de paquets sur le VLAN invité pendant les heures de pointe. Filtrez le trafic sur le port UDP 53. Si vous constatez des requêtes DNS sans réponse correspondante dans les deux secondes, le timeout DNS est votre coupable. « Un filtre DNS d'entreprise aide-t-il à la conformité ? » Oui — la journalisation des requêtes DNS fournit une piste d'audit qui soutient les obligations de responsabilité du GDPR et peut aider à la réponse aux incidents. La plateforme de Purple intègre cette journalisation de manière native. [RÉSUMÉ & PROCHAINES ÉTAPES — environ 1 minute] Pour résumer : l'erreur "connecté, pas d'Internet" sur le WiFi invité est majoritairement un problème de timing DNS causé par une congestion du réseau qui sature un chemin de résolution non optimisé. La solution n'est pas d'augmenter la bande passante — c'est d'utiliser un filtre DNS d'entreprise local et performant qui résout rapidement les requêtes de détection de Captive Portal, maintient un cache local et applique un filtrage basé sur des règles pour réduire la charge des requêtes en amont. Les trois actions à mener cette semaine : effectuez une capture de paquets DNS pendant les heures de pointe pour confirmer le diagnostic ; passez en revue l'emplacement actuel de votre résolveur DNS et identifiez s'il est local ou distant ; et évaluez le déploiement d'un filtre DNS d'entreprise sur votre VLAN invité. Si vous souhaitez approfondir le sujet, la documentation de la plateforme Purple couvre en détail la configuration du filtre DNS, et les guides d'optimisation du WiFi invité sur purple.ai méritent d'être consultés en parallèle de ce briefing. Merci pour votre écoute — à la prochaine. [FIN DE L'ÉPISODE]

header_image.png

Synthèse

Pour les directeurs techniques et les architectes réseau qui supervisent des sites à haute densité — tels que ceux du Commerce de détail , de l'Hôtellerie-Restauration Hospitality , de la Santé Healthcare et des Transports Transport —, l'erreur « Connecté, pas d'Internet » sur les réseaux Guest WiFi est un casse-tête opérationnel persistant. Bien qu'elle soit souvent diagnostiquée à tort comme une panne matérielle de point d'accès ou une bande passante ascendante insuffisante, la cause profonde dans les environnements d'entreprise est généralement un dépassement de délai DNS (timeout) causé par la congestion du réseau.

Lorsque des centaines d'appareils tentent simultanément de détecter le Captive Portal (par exemple, via captive.apple.com), les requêtes par défaut sur le port UDP 53 peuvent submerger les résolveurs en amont standards. Si la réponse DNS dépasse la fenêtre de timeout au niveau du système d'exploitation (généralement 1 à 5 secondes), l'appareil suppose qu'aucune connectivité Internet n'existe, ce qui empêche le déclenchement du Captive Portal. Ce guide détaille l'architecture technique de ce mode de défaillance et démontre comment le déploiement d'un filtre DNS d'entreprise résout ce goulot d'étranglement, réduisant la latence des requêtes de plusieurs milliers de millisecondes à moins de 200 ms, garantissant la conformité avec des normes telles que l'IEEE 802.1X et le GDPR, et améliorant considérablement l'expérience d'intégration des invités.

Analyse Technique Approfondie

Le Mécanisme de Détection du Captive Portal

Lorsqu'un appareil client s'associe à un point d'accès et reçoit un bail DHCP, il doit vérifier l'accessibilité d'Internet avant de passer complètement à un état connecté. Cela est réalisé via des sondes de détection de Captive Portal :

  • iOS/macOS : HTTP GET vers captive.apple.com
  • Android : HTTP GET vers connectivitycheck.gstatic.com
  • Windows : HTTP GET vers msftconnecttest.com

Avant que le HTTP GET puisse être émis, l'appareil doit résoudre le nom d'hôte via le DNS. Cette requête DNS initiale est le point de défaillance critique dans les environnements à haute densité.

dns_flow_diagram.png

Pourquoi la Congestion Déclenche des Timeouts DNS

Les requêtes DNS utilisent généralement UDP, un protocole sans connexion et sans retransmission au niveau de la couche transport. Dans un réseau encombré — comme un stade pendant la mi-temps ou un hôtel pendant les heures de pointe du matin —, les paquets UDP sont facilement perdus ou retardés.

Si le site s'appuie sur un résolveur de FAI standard ou un service DNS public (comme 8.8.8.8), le temps de trajet aller-retour (RTT) plus le temps de traitement au niveau du résolveur peuvent dépasser la limite de timeout codée en dur du système d'exploitation. Lorsque le délai expire, l'appareil signale la connexion comme « Connecté, pas d'Internet » et interrompt le processus de redirection vers le Captive Portal. De plus, les valeurs de durée de vie (TTL) courtes sur ces domaines de test exacerbent le problème. Comme les appareils s'associent et se dissocient constamment, les entrées en cache expirent rapidement, déclenchant un flux de requêtes DNS simultanées précisément au moment où le réseau est sous charge maximale.

Le rôle du filtre DNS d'entreprise

Un filtre DNS d'entreprise, tel que celui intégré à la plateforme WiFi Analytics de Purple, agit comme un résolveur haute performance, local ou proche de la périphérie (edge). En interceptant les requêtes DNS avant qu'elles ne traversent la liaison WAN encombrée, le filtre :

  1. Met en cache les domaines à haute fréquence : Sert les domaines de test localement, réduisant le RTT à des niveaux inférieurs à la milliseconde.
  2. Application des politiques : Rejette immédiatement les requêtes pour les domaines malveillants ou bloqués, préservant ainsi la bande passante WAN.
  3. Journalisation d'audit : Fournit une piste d'audit pour la sécurité informatique , facilitant la conformité au GDPR et la réponse aux incidents.

venue_comparison_chart.png

Guide d'implémentation

Le déploiement d'un filtre DNS d'entreprise nécessite une planification architecturale minutieuse pour éviter d'introduire de nouveaux points de défaillance.

1. Emplacement du résolveur et optimisation de la latence

Déployez le filtre DNS le plus près possible de la périphérie du réseau. Pour les chaînes de vente au détail distribuées, un nœud périphérique fourni par le cloud est approprié ; pour les grands sites uniques comme les stades, une appliance localisée ou une machine virtuelle sur le commutateur central est préférable. L'objectif est de minimiser le nombre de sauts de routage entre le VLAN invité et le résolveur.

2. Liste blanche du Captive Portal (Passthrough)

L'étape de configuration la plus critique consiste à s'assurer que le domaine de votre Captive Portal est explicitement mis sur liste blanche. Si le filtre DNS retarde ou bloque la résolution du portail d'authentification lui-même, vous provoquerez l'erreur exacte que vous tentez de résoudre.

3. Ajustement du TTL et gestion du cache

Configurez le résolveur local pour mettre en cache de manière agressive les domaines de test du Captive Portal. Bien que le respect des TTL en amont soit une pratique standard, forcer les TTL pour captive.apple.com et les domaines similaires à un minimum de 60 secondes localement peut réduire considérablement le volume de requêtes en amont lors des pics d'association.

4. Intégration avec l'infrastructure existante

Assurez-vous que le déploiement du filtre DNS s'aligne sur votre segmentation réseau existante. Le trafic DNS invité doit rester isolé de l'infrastructure DNS de l'entreprise pour maintenir la conformité PCI DSS. Cette isolation est cruciale, que vous soyez en train d' optimiser le WiFi des hôtels pour les voyageurs d'affaires ou de sécuriser un déploiement dans le secteur public.

Écoutez notre podcast de briefing technique pour plus de contexte sur ces étapes d'implémentation :

Bonnes Pratiques

  • Éviter les résolveurs publics pour les réseaux invités : S'appuyer sur 8.8.8.8 ou 1.1.1.1 comme DNS principal attribué par DHCP pour les réseaux invités à haute densité introduit une variabilité de latence inacceptable.
  • Implémenter le DNS over HTTPS (DoH) avec prudence : Bien que le DoH améliore la confidentialité, il contourne le filtrage traditionnel du port 53. Assurez-vous que votre solution DNS d'entreprise peut inspecter ou gérer le trafic DoH si la politique de l'établissement l'exige.
  • Surveiller les pertes de paquets UDP Port 53 : Configurez votre pare-feu ou votre commutateur central pour qu'il alerte en cas de pertes excessives de paquets sur le port UDP 53, ce qui est un indicateur clé de l'imminence de délais d'attente DNS dépassés.
  • Réviser régulièrement les listes de blocage : Un filtrage trop agressif peut bloquer des applications légitimes. Examinez les journaux de requêtes DNS chaque semaine pour identifier les faux positifs.

Pour les déploiements dans le secteur public, garantir une connectivité robuste fait partie d'initiatives plus larges d'inclusion numérique, comme cela a été récemment souligné lorsque Purple Appoints Iain Fox as VP Growth – Public Sector .

Dépannage et Atténuation des Risques

Lorsque l'erreur « Connecté, Pas d'Internet » se produit, les équipes informatiques doivent suivre un parcours de diagnostic structuré plutôt que de supposer immédiatement une saturation de la bande passante.

  1. Capture de paquets (PCAP) : Exécutez une capture de paquets sur le VLAN invité en filtrant sur le udp port 53. Recherchez les requêtes sans réponse correspondante dans une fenêtre de 2 secondes.
  2. Simuler le test de sonde : Utilisez curl ou wget depuis un appareil de test sur le VLAN invité pour interroger manuellement http://captive.apple.com/hotspot-detect.html. Mesurez le temps de résolution DNS par rapport au temps de réponse HTTP.
  3. Vérifier les règles du pare-feu : Vérifiez qu'aucune politique de limitation de débit ou de QoS ne bride par inadvertance le trafic du port UDP 53 provenant du sous-réseau invité.
  4. Vérifier les fonctionnalités hors ligne : Dans les environnements avec une connectivité WAN intermittente, envisagez des fonctionnalités telles que le Purple's Offline Maps Mode pour maintenir un certain niveau d'engagement des utilisateurs même lorsque l'accès Internet en amont est dégradé.

ROI et Impact Commercial

La résolution des délais d'attente DNS dépassés a un impact direct sur le chiffre d'affaires des exploitants de sites.

  • Réduction des coûts de support : L'erreur « Connecté, Pas d'Internet » est l'un des principaux facteurs de tickets de support de niveau 1 dans l'hôtellerie et le commerce de détail. Son élimination réduit les dépenses opérationnelles informatiques.
  • Augmentation de la collecte de données : Un échec de chargement du Captive Portal signifie une opportunité perdue de collecte de données et d'authentification des utilisateurs. En garantissant un affichage rapide du portail, les établissements maximisent le ROI de leurs plateformes de WiFi Analytics .
  • Amélioration de la satisfaction des invités : Une connectivité fluide est une attente fondamentale. Minimiser les frictions lors de la connexion est directement corrélé à l'amélioration des Net Promoter Scores (NPS) et aux avis positifs sur l'établissement.

En changeant de perspective pour passer de « nous avons besoin de plus de bande passante » à « nous avons besoin d'une résolution DNS optimisée », les architectes réseau peuvent proposer un WiFi invité de qualité entreprise qui s'adapte parfaitement sous la pression.

Définitions clés

Sonde de détection de Captive Portal

Une requête HTTP automatisée envoyée par un système d'exploitation mobile (par exemple, vers captive.apple.com) immédiatement après l'association au réseau pour déterminer si une page de connexion est requise.

Si cette sonde échoue en raison d'un timeout DNS, le système d'exploitation suppose qu'il n'y a pas d'accès Internet et affiche l'erreur.

Timeout DNS

L'événement par lequel un appareil client abandonne une requête DNS parce que le résolveur a mis trop de temps à répondre (généralement >2-5 secondes).

La principale cause technique des erreurs « Connecté, pas d'Internet » dans les environnements à haute densité.

Filtre DNS d'entreprise

Un résolveur DNS dédié qui met en cache les requêtes localement et applique un blocage basé sur des politiques pour empêcher l'accès aux domaines malveillants ou indésirables.

Utilisé pour décharger le volume de requêtes des résolveurs en amont encombrés et réduire la latence.

Port UDP 53

Le protocole de transport standard sans connexion et le port utilisé pour les requêtes DNS.

Comme l'UDP n'offre aucune garantie de livraison, les paquets DNS sont facilement abandonnés en cas de congestion du réseau.

Time-To-Live (TTL)

Une valeur dans un enregistrement DNS qui détermine combien de temps un résolveur ou un client doit mettre en cache l'adresse IP avant d'effectuer une nouvelle requête.

Les TTL courts sur les domaines de sonde provoquent des requêtes fréquentes, ce qui aggrave la congestion.

IEEE 802.1X

Une norme pour le contrôle d'accès réseau basé sur les ports (PNAC) fournissant un mécanisme d'authentification aux appareils souhaitant se connecter à un LAN ou un WLAN.

Bien que sécurisés, les environnements 802.1X dépendent toujours d'une infrastructure DNS robuste pour le routage post-authentification.

Breakout Internet local

Routage du trafic destiné à Internet directement depuis une succursale vers Internet, plutôt que de le renvoyer vers un centre de données centralisé.

Crucial pour réduire la latence DNS dans les réseaux distribués de vente au détail ou d'hôtellerie.

WPA3

La dernière norme de sécurité Wi-Fi qui offre un chiffrement amélioré pour les réseaux ouverts et protégés par mot de passe.

Le WPA3 améliore la sécurité mais ne modifie pas le chemin de résolution DNS fondamental et n'atténue pas les problèmes de timeout.

Exemples concrets

Un hôtel de 400 chambres fait face à une vague de plaintes concernant l'erreur "Connecté, pas d'Internet" chaque matin entre 7h30 et 8h30, lorsque les clients se réveillent et se connectent au WiFi. La liaison WAN de 1 Gbps ne montre qu'une utilisation de 40 % pendant cette période.

  1. Exécuter une capture de paquets sur le VLAN invité en filtrant le port UDP 53 pendant le pic matinal.
  2. Identifier que la résolution des requêtes DNS vers les domaines de test du Captive Portal (par exemple, captive.apple.com) prend plus de 3000 ms via le DNS par défaut du FAI.
  3. Déployer un filtre DNS d'entreprise local sur le sous-réseau invité.
  4. Configurer le serveur DHCP pour attribuer l'IP du filtre DNS local aux appareils des invités.
  5. Ajouter le domaine du Captive Portal de l'hôtel à la liste blanche du filtre.
  6. Surveiller les temps de résolution, qui devraient chuter à moins de 50 ms.
Commentaire de l'examinateur : Cette approche identifie correctement que la bande passante n'est pas le problème (utilisée à seulement 40 %). En déplaçant la résolution DNS vers la périphérie (edge), l'hôtel contourne le chemin de résolution encombré du FAI, garantissant ainsi le succès immédiat des tests du Captive Portal.

Une grande chaîne de vente au détail déploie un nouveau réseau WiFi invité dans 50 magasins, mais les utilisateurs des magasins phares à forte fréquentation ne parviennent pas à charger le Captive Portal, tandis que les utilisateurs des magasins plus petits ne rencontrent aucun problème.

  1. Analyser l'architecture : les 50 magasins acheminent le trafic invité via un tunnel vers un pare-feu de centre de données central, qui transmet ensuite les requêtes DNS à un résolveur public.
  2. Dans les magasins à forte fréquentation, le volume même d'événements d'association simultanés épuise les tables d'état NAT/PAT sur le pare-feu central, entraînant le rejet des paquets du port UDP 53.
  3. Mettre en œuvre un filtre DNS d'entreprise fourni par le cloud.
  4. Reconfigurer les routeurs des succursales locales pour qu'ils transmettent les requêtes DNS des invités directement au filtre cloud via un accès Internet local (local breakout), plutôt que de les acheminer vers le centre de données.
Commentaire de l'examinateur : L'acheminement du trafic DNS invité vers un hub central introduit une latence inutile et des risques d'épuisement des tables d'état. L'accès Internet local pour le DNS, combiné à un filtre basé sur le cloud, offre une bien meilleure évolutivité pour les environnements de vente au détail distribués.

Questions d'entraînement

Q1. Un directeur informatique de stade constate que pendant la mi-temps, des milliers d'utilisateurs se connectent au WiFi mais ne parviennent pas à accéder au Captive Portal. Le commutateur central affiche d'importantes pertes de paquets UDP. Doit-il augmenter la bande passante WAN de 2 Gbps à 5 Gbps ?

Conseil : Considérez quel protocole est rejeté et si cela est lié à la bande passante de la charge utile ou aux limites d'état de connexion.

Voir la réponse type

Non. Augmenter la bande passante WAN ne résoudra pas le problème. Les pertes de paquets UDP indiquent que le pare-feu ou le résolveur ne peut pas gérer le volume massif de requêtes DNS simultanées (épuisement de la table d'état ou limites du processeur). La bonne approche consiste à déployer un filtre DNS local haute performance à la périphérie pour mettre en cache et répondre à ces requêtes localement, en contournant complètement le goulot d'étranglement du WAN.

Q2. Vous venez de déployer un filtre DNS d'entreprise sur le réseau invité d'un hôtel. Les clients peuvent désormais résoudre rapidement les sites web publics, mais lorsqu'ils se connectent pour la première fois, ils ne sont pas redirigés vers la page de connexion de l'hôtel. Quelle est l'erreur de configuration la plus probable ?

Conseil : Pensez au nom de domaine de la page de connexion elle-même.

Voir la réponse type

L'erreur la plus probable est que le propre domaine du Captive Portal n'a pas été explicitement mis sur liste blanche (passthrough) dans le filtre DNS. Le filtre bloque ou retarde la résolution de l'URL du portail, empêchant ainsi la redirection de s'effectuer.

Q3. Une organisation du secteur public exige que tout le trafic WiFi des invités soit enregistré pendant 90 jours pour se conformer aux politiques de sécurité. Comment le déploiement d'un filtre DNS d'entreprise aide-t-il à répondre à cette exigence ?

Conseil : Considérez quelles données un filtre DNS traite par rapport à un pare-feu standard.

Voir la réponse type

Un filtre DNS d'entreprise enregistre nativement toutes les requêtes DNS effectuées par les appareils clients. Cela fournit une piste d'audit claire et consultable des domaines demandés et à quel moment, répondant ainsi à l'exigence de journalisation de 90 jours sans avoir besoin d'effectuer une inspection approfondie des paquets sur l'ensemble du trafic chiffré HTTPS.

Continuer la lecture de cette série

Top 10 des causes de timeouts DHCP sur les réseaux sans fil à haute densité

Ce guide de référence technique de premier plan identifie les dix principales causes de timeouts DHCP sur les réseaux sans fil à haute densité et propose des stratégies de remédiation exploitables et indépendantes des fournisseurs. Conçu pour les décideurs informatiques, les architectes réseau et les directeurs d'exploitation de sites, il détaille des principes d'ingénierie approfondis, des processus de déploiement étape par étape et des résultats commerciaux mesurables. Découvrez comment éliminer les goulots d'étranglement de connexion et optimiser votre infrastructure sans fil pour offrir une connectivité fluide dans les environnements d'entreprise les plus exigeants.

Lire le guide →

Utiliser la capture de paquets (PCAP) pour diagnostiquer les lenteurs de performance WiFi

Ce guide de référence technique fournit aux responsables informatiques, architectes réseau et directeurs d'exploitation de sites une méthodologie structurée au niveau des paquets pour diagnostiquer et résoudre les lenteurs de performance des réseaux WiFi d'entreprise grâce à l'analyse de capture de paquets (PCAP). En décortiquant les trames 802.11 brutes — y compris les taux de retransmission, l'utilisation du temps d'antenne et les métadonnées de la couche physique — les équipes peuvent isoler avec précision les goulots d'étranglement de la couche RF des problèmes filaires ou applicatifs. Applicable aux sites à haute densité tels que les hôtels, les chaînes de magasins, les stades et les centres de conférence, ce guide propose des flux de diagnostic exploitables, des études de cas réels et des étapes de remédiation de configuration pour récupérer de la capacité réseau et préserver l'expérience client.

Lire le guide →

Résolution des échecs d'authentification 802.1X (RADIUS/EAP)

Ce guide fournit une référence complète et exploitable pour les responsables informatiques, les architectes réseau et les directeurs d'exploitation de sites sur le diagnostic et la résolution des échecs d'authentification 802.1X au sein des infrastructures RADIUS et EAP. Il couvre l'ensemble de la chaîne d'authentification — de la mauvaise configuration du supplicant et de l'expiration des certificats aux discordances de clés secrètes partagées RADIUS et à la fragmentation du transit réseau — avec des études de cas réelles issues des secteurs de l'hôtellerie et de la vente au détail. Les équipes responsables de la conformité PCI DSS, des déploiements WPA3-Enterprise et du contrôle d'accès réseau multi-sites y trouveront des cadres de diagnostic structurés, des listes de contrôle de mise en œuvre et des stratégies de atténuation des risques directement applicables à leurs opérations.

Lire le guide →