Passer au contenu principal
Français

Trois SSIDs pour régner sur tous : guide de configuration WiFi pour invités, personnel et IoT

Ce guide de référence technique fait autorité et fournit un plan étape par étape pour implémenter une architecture WiFi à trois SSIDs. Il explique comment segmenter le trafic des invités, du personnel et de l'IoT à l'aide de captive portals, de RADIUS 802.1X et de clés partagées par appareil (xPSK) afin d'optimiser les performances et de garantir la conformité PCI DSS.

📖 7 min de lecture📝 1,519 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
SCRIPT DE PODCAST : « Trois SSID pour régner sur tous : guide de configuration WiFi pour les invités, le personnel et l'IoT » [INTRO & CONTEXTE - 1 min] Vous êtes un consultant réseau senior qui présente un briefing confiant et faisant autorité à un client. S'exprimer avec un ton clair, mesuré et professionnel. Une autorité calme, pas académique. Conversationnel mais précis. Le rythme est régulier et délibéré : Bienvenue dans la série de briefings techniques Purple WiFi Intelligence. Aujourd'hui, nous abordons la conception WiFi à trois SSID - l'architecture qui sépare le trafic des invités, du personnel et de l'IoT sur des réseaux distincts et isolés à l'aide d'une seule infrastructure sans fil. Si vous gérez le WiFi pour un hôtel, un espace de vente au détail, un centre de conférences, un stade ou tout autre lieu où vous exploitez à la fois des réseaux publics et opérationnels, ce briefing vous concerne directement. [PLONGÉE TECHNIQUE - 5 min] Permettez-moi d'abord de situer le contexte. Aujourd'hui, la plupart des sites d'entreprise exploitent au moins cinq ou six SSID. Il y en a un pour les invités, un pour le personnel, un pour les terminaux de point de vente, un pour les appareils IoT, peut-être un masqué pour les sous-traitants, et souvent un ancien dont personne ne sait plus vraiment pourquoi il existe. Chacun de ces SSID diffuse une trame beacon toutes les 100 millisecondes au débit de données le plus bas de la radio. Dans un site dense comptant 50 points d'accès sur le même canal, cela représente des centaines de trames de gestion par seconde qui consomment du temps d'antenne avant même qu'un seul octet de données utilisateur ne soit transmis. Le consensus de l'industrie est clair : ne pas diffuser plus de trois SSID par radio. Trois est le nombre qui équilibre la segmentation de la sécurité et les performances sans fil. La conception à trois SSID est donc la suivante. SSID un : un réseau WiFi invité ouvert avec un Captive Portal pour l'accès des visiteurs. SSID deux : un réseau WPA2 ou WPA3-Enterprise pour le personnel et les invités sécurisés, utilisant l'authentification 802.1X et RADIUS. SSID trois : un réseau xPSK pour les appareils IoT, les terminaux de paiement, l'affichage dynamique et les imprimantes, utilisant des clés pré-partagées par appareil pour attribuer dynamiquement des VLAN en fonction de l'identité de l'appareil. Trois SSID. Trois segments de réseau complètement isolés. Une seule infrastructure sans fil physique. Examinons chacun d'eux en détail. Examinons chacun d'eux en détail. Le SSID un est votre WiFi invité. Vous le configurez comme un réseau ouvert - pas de clé pré-partagée, pas de mot de passe WPA2-Personal. Le point d'accès diffuse le SSID sans chiffrement au niveau de la couche d'association. Lorsqu'un visiteur se connecte, son appareil obtient une adresse IP à partir d'un serveur DHCP sur votre VLAN invité - généralement le VLAN 10. Chaque requête DNS et requête HTTP est interceptée par le contrôleur sans fil ou un équipement Captive Portal dédié, qui redirige le navigateur du visiteur vers votre page de portail. C'est ici que la plateforme de Purple s'intègre. Le Captive Portal gère l'authentification du visiteur, qu'il s'agisse d'une connexion via les réseaux sociaux, d'une inscription par e-mail, d'une vérification par SMS ou d'un code coupon. Il recueille le consentement conformément au GDPR, enregistre les coordonnées du visiteur en tant que données de première partie, puis signale au contrôleur d'accorder l'accès à internet. La session du visiteur est marquée sur le VLAN 10, et votre pare-feu applique une politique stricte : accès internet uniquement, avec une règle de refus global explicite bloquant toute route vers votre espace d'adressage interne RFC 1918. Le « walled garden » (jardin d'enfants) est une étape de configuration cruciale ici. Avant qu'un visiteur ne finalise sa connexion au portail, son appareil doit pouvoir atteindre la page du portail elle-même. Vous configurez un « walled garden » — une liste blanche d'adresses IP et de domaines accessibles sans authentification. Celle-ci doit inclure l'IP ou le nom d'hôte de votre serveur de Captive Portal, tous les points de terminaison CDN qu'il utilise, ainsi que les points de terminaison des fournisseurs de connexion sociale, tels que les serveurs OAuth de Facebook ou les points de terminaison d'authentification de Google. Le deuxième SSID est votre Wi-Fi personnel. Celui-ci utilise WPA2-Enterprise ou WPA3-Enterprise, ce qui implique une authentification 802.1X. Lorsqu'un membre du personnel se connecte, son appareil lance un échange EAP avec le point d'accès, qui agit en tant qu'authentificateur et transmet les identifiants à votre serveur RADIUS. Le serveur RADIUS valide l'identité auprès de votre fournisseur d'identité et renvoie un message Access-Accept. La clé de l'attribution dynamique de VLAN réside dans trois attributs RADIUS spécifiques présents dans ce message Access-Accept. L'attribut 64 (Tunnel-Type) doit être configuré sur la valeur 13, qui signifie VLAN. L'attribut 65 (Tunnel-Medium-Type) doit être configuré sur la valeur 6, qui signifie IEEE 802. Et l'attribut 81 (Tunnel-Private-Group-ID) contient l'ID du VLAN réel sous forme de chaîne de caractères. Lorsque le point d'accès reçoit ces attributs, il marque dynamiquement cette session avec le VLAN spécifié. Un membre de l'équipe financière s'authentifie et se retrouve sur le VLAN 20. Un prestataire s'authentifie avec des identifiants différents et se retrouve sur le VLAN 30 avec un accès plus restreint. Même SSID, même réseau physique, mais segments logiques totalement différents. Le service RADIUS cloud de Purple gère la couche d'authentification RADIUS pour le Wi-Fi personnel, en s'intégrant à votre fournisseur d'identité et en renvoyant les attributs de VLAN dynamiques appropriés pour chaque utilisateur. Le troisième SSID est votre Wi-Fi IoT. Le xPSK résout un problème que ni les réseaux ouverts ni le 802.1X ne peuvent traiter correctement. Les appareils IoT, les terminaux de paiement, les lecteurs de signalisation numérique et les imprimantes ne peuvent pas s'authentifier avec le 802.1X. Cependant, vous ne pouvez pas les placer sur un réseau WPA2-Personal classique avec un mot de passe partagé unique, car un appareil compromis aurait alors accès à tous les autres appareils de ce segment. xPSK gère une base de données de mots de passe uniques, à raison d'un par appareil ou groupe d'appareils. L'appareil se connecte à l'aide de sa clé unique. Le contrôleur valide la clé et renvoie les attributs VLAN dynamiques. Un terminal de paiement se connecte et est dirigé vers le VLAN 50, votre réseau de paiement isolé et conforme PCI DSS. Un thermostat intelligent se connecte et est dirigé vers le VLAN 40, votre réseau IoT au routage restreint. La terminologie des fournisseurs varie. Cisco Meraki l'appelle iPSK. HPE Aruba l'appelle MPSK. Ruckus l'appelle DPSK. Juniper Mist et Ubiquiti UniFi l'appellent tous deux PPSK. L'architecture sous-jacente est identique pour les cinq fournisseurs. [RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES - 2 min] Vous êtes un consultant réseau senior qui présente un briefing confiant et faisant autorité à un client. S'exprimer dans un ton clair, mesuré et professionnel. Une autorité calme, pas académique. Conversationnel mais précis. Le rythme est régulier et délibéré : Parlons maintenant des pièges de mise en œuvre et des scénarios réels. Le premier piège est la mauvaise configuration des ports de trunk. Vos ports de commutateur transportant plusieurs VLAN doivent être configurés comme des ports de trunk 802.1Q, et non comme des ports d'accès. Si un port de trunk est accidentellement configuré comme un port d'accès, tout le trafic est regroupé sur un seul VLAN et votre segmentation disparaît discrètement. Inspectez toujours la configuration de vos commutateurs après chaque modification. Le deuxième piège est un « walled garden » incomplet. Si votre page de Captive Portal ne parvient pas à se charger parce que vous n'avez pas mis sur liste blanche les bons points de terminaison, les visiteurs verront un écran vide et supposeront que le WiFi ne fonctionne pas. Testez votre « walled garden » à partir d'un nouvel appareil sans cache DNS avant la mise en service. Le troisième piège est la randomisation des adresses MAC. Les appareils iOS et Android modernes utilisent une adresse MAC aléatoire pour chaque réseau auquel ils se connectent. Si votre système xPSK repose sur l'association de l'adresse MAC pour lier un appareil à sa clé unique, vous rencontrerez des échecs d'authentification lorsqu'un appareil renouvellera son adresse. Utilisez les implémentations des fournisseurs qui lient la session à la clé elle-même plutôt qu'à l'adresse MAC. Laissez-moi vous présenter deux scénarios réels. Scénario un : un hôtel de 200 chambres. L'hôtel doit fournir un WiFi invité dans toutes les chambres et les espaces publics, un WiFi personnel pour la réception, le ménage et la direction, et une connectivité IoT pour les thermostats intelligents, les systèmes IPTV et les contrôleurs de verrouillage de porte. Ils déploient trois SSIDs sur leurs points d'accès Cisco Meraki. Le premier SSID, le réseau invité, utilise le Captive Portal de Purple avec inscription par e-mail et capture de consentement conforme au GDPR. Les invités s'authentifient, arrivent sur le VLAN 10 et obtiennent un accès uniquement Internet avec une limite de débit de 20 mégabits par seconde par client. Le deuxième SSID, le réseau du personnel, utilise WPA3-Enterprise avec authentification RADIUS via Microsoft Entra ID. Le personnel de la réception arrive sur le VLAN 20 avec accès au système de gestion de l'établissement. Le personnel de ménage arrive sur le VLAN 21 avec un accès uniquement à l'application de ménage. Le troisième SSID, le réseau IoT, utilise Meraki iPSK. Chaque thermostat intelligent dispose d'une clé unique mappée sur le VLAN 40. Chaque contrôleur de verrouillage de porte dispose d'une clé unique mappée sur le VLAN 41. Les systèmes IPTV ont des clés mappées sur le VLAN 42. Tous les VLANs IoT n'ont pas d'accès Internet et des règles de pare-feu strictes limitent les communications à leurs serveurs de gestion spécifiques. [Q&R RAPIDE - 1 min] Passons maintenant à quelques questions rapides. Ai-je besoin d'un serveur RADIUS distinct pour xPSK ? Cela dépend du fournisseur et de l'échelle. Pour les petits déploiements, Cisco Meraki iPSK et HPE Aruba MPSK-Local peuvent stocker les clés directement sur le contrôleur sans serveur RADIUS. Pour une échelle d'entreprise, vous avez besoin d'un serveur RADIUS central - soit votre propre instance FreeRADIUS ou NPS, soit un service RADIUS cloud comme celui de Purple. Le WPA3-Enterprise est-il obligatoire ? Pas encore, mais déployez-le là où vos appareils clients le prennent en charge. Le mode de sécurité 192 bits du WPA3 et les trames de gestion protégées (PMF) éliminent plusieurs vecteurs d'attaque présents dans le WPA2. Exécutez le WPA3 en mode de transition pour maintenir la compatibilité descendante. Comment gérer le BYOD sur le SSID du personnel ? Utilisez PEAP-MSCHAPv2 pour l'authentification basée sur les identifiants, ce qui fonctionne avec les appareils personnels sans nécessiter le déploiement de certificats. Si vous avez besoin d'une sécurité plus forte, déployez EAP-TLS avec des certificats poussés via votre MDM. Quelle est la configuration minimale viable pour un petit site ? Trois SSIDs, trois VLANs, un pare-feu avec des règles inter-VLAN et un Captive Portal pour les invités. C'est votre base de départ. Vous pourrez ajouter RADIUS et xPSK à mesure que votre parc d'appareils s'agrandit. [RÉSUMÉ ET PROCHAINES ÉTAPES - 1 min] En résumé : la conception à trois SSIDs vous offre la segmentation dont vous avez besoin sans la surcharge de bande passante liée à l'exploitation de cinq ou six réseaux distincts. Le WiFi invité avec un Captive Portal gère l'accès des visiteurs et la conformité au GDPR. Le WiFi du personnel avec 802.1X et l'attribution dynamique de VLAN gère le contrôle d'accès basé sur l'identité. Le WiFi IoT avec xPSK gère les appareils sans écran avec une isolation par appareil. Vos prochaines étapes : auditez votre nombre de SSID actuel. Si vous en diffusez plus de trois, planifiez une consolidation. Examinez la conception de vos VLAN et les règles de pare-feu inter-VLAN. Et si vous n'utilisez pas encore un Captive Portal géré avec capture de données conforme au GDPR, c'est le changement à plus forte valeur ajoutée que vous puissiez apporter à votre réseau invité aujourd'hui. La plateforme de Purple prend en charge cette architecture à trois SSID dans plus de 80 000 sites actifs à travers le monde. Nous fournissons le Captive Portal Guest WiFi, le RADIUS cloud pour le Staff WiFi, ainsi que les intégrations avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist et Ubiquiti UniFi pour faire fonctionner l'ensemble de cette architecture comme un système managé unique. Merci d'avoir écouté ce briefing technique de Purple. Les liens vers le guide écrit complet et les schémas d'architecture se trouvent dans les notes de l'émission.

header_image.png

Résumé exécutif

Les exploitants de sites sont confrontés à une crise croissante de congestion du spectre WiFi. Chaque fois que vous diffusez un nouveau SSID pour segmenter le trafic des invités, du personnel, des points de vente et de l'IoT, vous dégradez activement les performances de l'ensemble de votre réseau sans fil. Chaque SSID activé diffuse une trame beacon toutes les 100 millisecondes au débit de données de base le plus bas, consommant jusqu'à 20 % du temps d'antenne disponible avant même qu'un seul paquet de données utilisateur ne soit transmis.

Le consensus du secteur est clair : ne diffusez pas plus de trois SSIDs par radio de point d'accès. Ce guide de référence technique faisant autorité explique comment les équipes informatiques peuvent éliminer la dégradation des performances WiFi en regroupant plusieurs réseaux dédiés en une architecture unique à trois SSIDs. Cette conception équilibre une segmentation logique stricte du réseau avec une utilisation optimale du temps d'antenne sans fil.

Nous explorerons la configuration technique d'un réseau Guest WiFi ouvert avec un Captive Portal, d'un réseau Staff WiFi sous WPA3-Enterprise utilisant le protocole 802.1X pour un accès basé sur l'identité, et d'un réseau IoT WiFi utilisant des clés prépartagées par appareil (xPSK) pour les équipements sans écran (headless). En associant ces trois SSIDs à des VLANs dynamiques via RADIUS, vous obtenez une isolation complète de niveau 2 pour les normes de conformité telles que PCI DSS, sans sacrifier le débit.

Analyse technique approfondie

Pour comprendre pourquoi la prolifération des SSIDs est si préjudiciable, nous devons examiner les trames de gestion 802.11. Chaque SSID activé sur un point d'accès diffuse une trame beacon toutes les 100 millisecondes. Pour garantir que chaque appareil client à la limite de la cellule de couverture puisse entendre le beacon, le point d'accès le transmet au débit de données de base le plus bas, généralement un ou deux mégabits par seconde. Si vous avez un point d'accès diffusant six SSIDs, cela représente 60 beacons par seconde. Dans un environnement dense où un client peut entendre quatre points d'accès sur le même canal, ce canal transporte 240 beacons par seconde. Cette surcharge augmente la latence, provoque du jitter sur les appels vocaux et réduit le débit global.

La solution est la conception à trois SSIDs. Cette architecture fournit des mécanismes d'authentification distincts pour différents types d'appareils tout en maintenant une isolation stricte du backend grâce à l'attribution dynamique de VLAN.

architecture_overview.png

1. Guest WiFi : Ouvert + Captive Portal

Le premier SSID est dédié aux visiteurs. Vous le configurez en tant que réseau ouvert sans mot de passe WPA2-Personal. Lorsqu'un visiteur se connecte, son appareil reçoit une adresse IP d'un serveur DHCP sur votre VLAN invité dédié (par exemple, le VLAN 10).

Chaque requête DNS et requête HTTP est interceptée par le contrôleur sans fil, qui redirige le navigateur du visiteur vers une page de Captive Portal. C'est ici que les plateformes de Guest WiFi comme Purple s'intègrent. Le Captive Portal gère l'authentification des visiteurs via une connexion sociale, une inscription par e-mail ou des codes de bon d'achat. Il recueille les consentements explicites pour la conformité GDPR et enregistre les informations du visiteur en tant que données de première partie.

La session du visiteur reste associée au VLAN 10. Votre pare-feu doit appliquer une politique stricte sur ce sous-réseau : accès Internet uniquement, avec une règle de refus global explicite bloquant toute route vers votre espace d'adressage interne RFC 1918.

Une étape de configuration essentielle ici est le "walled garden" (espace d'accès limité). Avant qu'un visiteur ne finalise sa connexion sur le portail, son appareil doit pouvoir atteindre la page du portail elle-même. Vous configurez un "walled garden", une liste blanche d'adresses IP et de domaines accessibles sans authentification. Celle-ci doit inclure le nom d'hôte de votre serveur de Captive Portal, tous les points de terminaison CDN et les points de terminaison des fournisseurs de connexion sociale comme Microsoft Entra ID ou Google Workspace.

2. Staff WiFi : WPA2/3-Enterprise + 802.1X

Le deuxième SSID est destiné aux appareils de l'entreprise. Celui-ci utilise le WPA2-Enterprise ou le WPA3-Enterprise, nécessitant une authentification 802.1X. Lorsqu'un membre du personnel se connecte, son appareil lance un échange EAP (Extensible Authentication Protocol) avec le point d'accès, qui transmet les identifiants à votre serveur RADIUS.

Le serveur RADIUS valide l'identité et renvoie un message Access-Accept contenant trois attributs standards de l'IETF spécifiques :

  • Attribut 64 (Tunnel-Type) : défini sur la valeur 13 (VLAN)
  • Attribut 65 (Tunnel-Medium-Type) : défini sur la valeur 6 (IEEE 802)
  • Attribut 81 (Tunnel-Private-Group-ID) : contient la chaîne de l'ID du VLAN réel

Lorsque le point d'accès reçoit ces attributs, il attribue dynamiquement cette session au VLAN spécifié. Un membre de l'équipe financière se retrouve sur le VLAN 20. Un prestataire s'authentifie avec des identifiants différents et se retrouve sur le VLAN 30. Un seul SSID de diffusion fournit ainsi plusieurs segments logiques.

Pour la sélection de la méthode EAP, PEAP avec MSCHAPv2 est le point de départ pragmatique pour la plupart des sites, car il utilise un certificat côté serveur et des identifiants utilisateur-mot de passe. EAP-TLS utilise une authentification mutuelle par certificat et constitue l'option la plus sécurisée, mais nécessite une plateforme MDM (Mobile Device Management) pour déployer les certificats de manière transparente.

3. IoT WiFi : PSK par appareil (xPSK)

Le troisième SSID résout un problème que ni les réseaux ouverts ni le 802.1X ne peuvent traiter. Les appareils IoT sans interface graphique, les terminaux de carte bancaire, la signalisation numérique et les imprimantes ne peuvent pas s'authentifier avec le 802.1X car ils ne disposent pas de magasin de certificats ni de navigateur. Cependant, les placer sur un réseau WPA2-Personal classique avec un seul mot de passe partagé crée un risque de mouvement latéral.

Le xPSK fonctionne sur un SSID standard WPA2 ou WPA3-Personal. Le contrôleur sans fil maintient une base de données de mots de passe uniques. Lorsqu'un appareil se connecte en utilisant son mot de passe spécifique, le contrôleur reconnaît cette clé et utilise les attributs RADIUS pour attribuer dynamiquement cette session au bon VLAN.

Un terminal de paiement se connecte avec sa clé unique et arrive sur le VLAN 50, votre réseau de paiement isolé conformément à la norme PCI DSS. Un thermostat intelligent se connecte et arrive sur le VLAN 40, votre réseau IoT restreint.

Les fabricants de matériel utilisent différents termes pour cette architecture : Cisco Meraki l'appelle iPSK, HPE Aruba l'appelle MPSK, Ruckus l'appelle DPSK, et Juniper Mist ainsi qu'Ubiquiti UniFi l'appellent PPSK.

vlan_ssid_mapping_table.png

Guide d'implémentation

Phase 1 : Classification du trafic et conception des VLAN

Avant de toucher à un port de switch, documentez chaque type d'appareil dans votre environnement. Attribuez un ID de VLAN et un sous-réseau IP à chaque classe de trafic. Maintenez votre VLAN invité sur un sous-réseau complètement distinct, sans aucune route vers votre espace d'adressage interne.

Phase 2 : Configuration des ports de switch

Configurez les ports de switch connectés à vos points d'accès en tant que ports trunk 802.1Q. Si un port trunk est configuré par erreur comme un port d'accès, tout le trafic s'effondre sur un seul VLAN et votre segmentation disparaît silencieusement.

Phase 3 : Configuration du contrôleur

Mappez vos trois SSIDs sur votre contrôleur sans fil.

  • Cisco Meraki : Naviguez vers Wireless > Access Control. Configurez le SSID Guest en mode Open avec un portail de connexion click-through. Configurez le SSID Staff avec WPA2-Enterprise et pointez vers votre serveur RADIUS. Configurez le SSID IoT avec WPA2 et iPSK avec RADIUS.
  • HPE Aruba : Dans Aruba Central, configurez le SSID Guest avec un profil de Captive Portal externe. Configurez le SSID Staff avec 802.1X. Configurez le SSID IoT avec MPSK, en l'intégrant avec ClearPass Policy Manager pour une échelle d'entreprise.
  • Ruckus : Dans SmartZone, configurez le WLAN Guest avec un portail Hotspot (WISPr). Configurez le WLAN Staff avec 802.1X. Activez le DPSK sur le WLAN IoT et configurez la base de données DPSK.

Phase 4 : Politique de pare-feu

L'architecture VLAN n'est forte que dans la mesure où les règles de routage inter-VLAN sur votre pare-feu le sont. Documentez explicitement chaque flux autorisé. Bloquez tout le reste par défaut (Default-deny).

Bonnes pratiques

  • Limiter le nombre de SSID : Diffusez un maximum de trois SSIDs par radio pour préserver la bande passante hertzienne et les performances du WiFi.
  • Automatiser le cycle de vie des clés : Ne gérez pas des milliers de mots de passe xPSK uniques dans un tableur. Intégrez votre plateforme xPSK à votre système de gestion immobilière (PMS) ou à votre fournisseur d'identité via une API.
  • Prendre en compte la randomisation des adresses MAC : Les appareils mobiles modernes utilisent des adresses MAC aléatoires. Assurez-vous que votre implémentation xPSK lie la session à la clé elle-même plutôt qu'à l'adresse MAC afin d'éviter les échecs d'authentification.
  • Activer l'isolation des clients : Activez toujours l'isolation des clients sur votre SSID Invité afin d'empêcher les appareils de communiquer directement entre eux, limitant ainsi les attaques de pair à pair.
  • Implémenter la limitation de débit : Appliquez des limites de bande passante par client (ex. 10-20 Mbps) sur le SSID Invité pour éviter qu'un seul utilisateur ne sature la liaison Internet.

Dépannage et atténuation des risques

  • Échec du chargement du Captive Portal : Il s'agit presque toujours d'un walled garden incomplet. Si les visiteurs voient un écran blanc, testez le walled garden depuis un nouvel appareil sans DNS mis en cache. Assurez-vous que tous les points de terminaison CDN et les URL des fournisseurs de connexion sociale sont sur liste blanche.
  • Échec de l'attribution dynamique de VLAN : Vérifiez que votre serveur RADIUS envoie exactement l'Attribut 64 (valeur 13), l'Attribut 65 (valeur 6) et l'Attribut 81 (la chaîne de l'ID de VLAN correcte). Utilisez des captures de paquets pour inspecter le message Access-Accept.
  • Impossible de connecter les appareils IoT : Vérifiez la complexité de la clé. Certains anciens appareils IoT ont des difficultés avec les clés de plus de 32 caractères ou contenant des caractères spéciaux. Harmonisez sur des clés alphanumériques de 16 à 24 caractères.

ROI et impact commercial

La consolidation vers un modèle à trois SSID offre une valeur commerciale mesurable dans les secteurs de l' Hôtellerie , du Commerce de détail et des Transports .

En récupérant 15 à 20 % de votre temps d'antenne sans fil (airtime), vous prolongez la durée de vie utile de vos points d'accès existants, retardant ainsi les cycles de renouvellement matériel coûteux. L'amélioration des performances réduit la latence pour les appareils de voix sur IP du personnel et augmente le débit des transactions aux points de vente.

Du point de vue de la conformité, l'attribution dynamique de VLAN offre la segmentation réseau vérifiable requise par les auditeurs PCI DSS 4.0. L'isolement des terminaux de paiement sur un VLAN dédié via xPSK exclut votre réseau d'entreprise global du champ d'application de l'audit, réduisant considérablement les coûts et les risques liés à la conformité.

Enfin, la standardisation de la couche WiFi Invité avec le Captive Portal de Purple permet aux établissements de capturer des données de première partie (first-party), alimentant ainsi des campagnes marketing ciblées via la plateforme WiFi Analytics . Cela transforme le réseau sans fil, qui passe d'un centre de coûts informatiques à un actif générateur de revenus.

Définitions clés

VLAN (Virtual Local Area Network)

Un concept de couche 2 défini dans la norme IEEE 802.1Q qui permet à une seule infrastructure réseau physique de transporter plusieurs domaines de diffusion logiquement distincts.

Utilisé pour isoler le trafic des invités, du personnel et de l'IoT sur le réseau filaire.

Captive Portal

Une page web qui intercepte le trafic DNS et HTTP, redirigeant les utilisateurs pour s'authentifier avant de leur accorder l'accès au réseau.

Utilisé sur l'SSID WiFi Invité pour obtenir le consentement, authentifier les visiteurs et collecter des données de première partie.

Walled Garden

Une liste blanche d'adresses IP et de domaines accessibles par un appareil client avant qu'il ne termine son authentification sur le captive portal.

Indispensable pour permettre aux appareils d'accéder à la page du portail, aux ressources du CDN et aux fournisseurs d'identité sociale comme Microsoft Entra ID.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, qui fournit un mécanisme d'authentification pour les appareils souhaitant se connecter à un réseau LAN ou WLAN.

Utilisé sur l'SSID WiFi du personnel pour authentifier les utilisateurs auprès d'un serveur RADIUS à l'aide de leurs identifiants d'entreprise.

xPSK (Per-Device Pre-Shared Key)

Un terme générique pour les technologies qui permettent d'utiliser plusieurs mots de passe uniques sur un seul SSID WPA2/3-Personal, chaque mot de passe étant lié à un appareil et un VLAN spécifiques.

Utilisé sur l'SSID WiFi IoT pour sécuriser les appareils sans écran qui ne peuvent pas prendre en charge l'authentification 802.1X.

RADIUS

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA) pour les utilisateurs qui se connectent et utilisent un service réseau.

Le serveur principal qui valide les identifiants et renvoie les attributs de VLAN dynamiques.

Trame de balise (Beacon Frame)

Une trame de gestion 802.11 diffusée périodiquement par un point d'accès pour annoncer la présence d'un réseau sans fil.

La cause principale de la surcharge de temps d'antenne lorsque trop de SSIDs sont activés.

Isolation des clients

Une fonctionnalité de contrôleur sans fil qui empêche les appareils connectés au même SSID de communiquer directement entre eux.

Un contrôle de sécurité essentiel sur les réseaux WiFi invités pour empêcher les attaques de pair-à-pair.

Exemples concrets

Un hôtel de 200 chambres doit fournir un WiFi invité dans toutes les chambres, un WiFi pour le personnel de la réception et du ménage, ainsi qu'une connectivité IoT pour les thermostats intelligents et les contrôleurs de verrouillage des portes.

Déployez trois SSIDs sur Cisco Meraki. L'SSID 1 (Invité) utilise le captive portal de Purple ; les invités sont orientés vers le VLAN 10 avec un accès Internet uniquement. L'SSID 2 (Personnel) utilise WPA3-Enterprise avec RADIUS pour s'authentifier auprès de Microsoft Entra ID ; le personnel de réception est orienté vers le VLAN 20, le ménage vers le VLAN 21. L'SSID 3 (IoT) utilise Meraki iPSK ; les thermostats utilisent une clé unique associée au VLAN 40, les verrous de porte utilisent une clé associée au VLAN 41. Tous les VLANs IoT ont des règles de pare-feu strictes et aucun accès Internet.

Commentaire de l'examinateur : Cette approche équilibre l'expérience utilisateur et une segmentation stricte. L'utilisation de l'attribution dynamique de VLAN via RADIUS et iPSK évite de devoir diffuser cinq SSIDs distincts, préservant ainsi le temps d'antenne tout en garantissant que le système de gestion de propriété est isolé du trafic des invités et de l'IoT.

Une chaîne de vente au détail comptant 50 magasins doit sécuriser ses terminaux de paiement par carte, ses écrans de signalisation numérique, ses terminaux portables pour le personnel et fournir un WiFi aux clients.

Déployez trois SSIDs à l'aide de points d'accès HPE Aruba. L'SSID 1 (Client) utilise un captive portal Purple pour capturer des données de première partie. L'SSID 2 (Personnel) utilise WPA2-Enterprise avec RADIUS pour s'authentifier auprès d'Okta, attribuant le personnel au VLAN 20. L'SSID 3 (IoT/POS) utilise Aruba MPSK avec ClearPass Policy Manager. Les terminaux de carte se connectent avec des clés uniques et sont orientés vers le VLAN 50, un réseau dans le périmètre PCI DSS avec des règles de pare-feu n'autorisant que le HTTPS sortant vers la passerelle de paiement. Les écrans de signalisation numérique sont associés au VLAN 45.

Commentaire de l'examinateur : En plaçant les terminaux POS sur un VLAN attribué de manière dynamique à l'aide de MPSK, le détaillant parvient à la conformité PCI DSS sans nécessiter de points d'accès physiques dédiés ou d'un SSID de diffusion séparé pour les caisses. ClearPass centralise la gestion du cycle de vie des clés.

Questions d'entraînement

Q1. Vous déployez un nouveau réseau WiFi invité. Les visiteurs se plaignent que la page du Captive Portal est vide et qu'ils ne peuvent pas se connecter. Quelle est la cause la plus probable ?

Conseil : Réfléchissez à l'accès dont dispose un appareil avant de finaliser l'authentification.

Voir la réponse type

La configuration du walled garden est incomplète. L'appareil ne peut pas atteindre le serveur du Captive Portal, les points de terminaison du CDN ou les URL du fournisseur de connexion sociale. Vous devez autoriser ces domaines dans la liste de contrôle d'accès de pré-authentification.

Q2. L'équipe informatique d'un stade souhaite déployer 8 SSID pour segmenter le trafic des supporters, de la billetterie, des VIP, des médias, des opérations, de la gestion du bâtiment, des sous-traitants et des appareils existants. Pourquoi est-ce une mauvaise conception, et quelle est l'alternative ?

Conseil : Considérez l'impact des trames de gestion 802.11 sur le temps d'antenne sans fil.

Voir la réponse type

La diffusion de 8 SSID entraînera une grave dégradation des performances en raison de la surcharge des trames de balise (beacon), consommant un temps d'antenne excessif au débit de données le plus bas. L'alternative est une conception à trois SSID utilisant l'attribution dynamique de VLAN via RADIUS (pour le 802.1X) et xPSK (pour les appareils sans écran) afin d'assurer une segmentation logique sans la surcharge sans fil.

Q3. Vous configurez l'attribution dynamique de VLAN pour le WiFi du personnel à l'aide d'un serveur RADIUS. L'authentification réussit, mais l'utilisateur est redirigé vers le VLAN par défaut au lieu du VLAN qui lui a été attribué. Quels attributs RADIUS devez-vous vérifier ?

Conseil : Il existe trois attributs standard de l'IETF requis pour le routage VLAN.

Voir la réponse type

Vous devez vérifier que le message RADIUS Access-Accept contient l'attribut 64 (Tunnel-Type) défini sur 13, l'attribut 65 (Tunnel-Medium-Type) défini sur 6, et l'attribut 81 (Tunnel-Private-Group-ID) contenant la chaîne d'identifiant VLAN correcte.

Continuer la lecture de cette série

Authentification WiFi d'entreprise sans Active Directory ni serveur sur site

Ce guide explique comment déployer une authentification WiFi WPA2/3-Enterprise sécurisée sans Active Directory sur site, sans Windows NPS ni serveur RADIUS. Il aborde l'incompatibilité de protocole entre les fournisseurs d'identité cloud et 802.1X, les arguments en faveur d'EAP-TLS par rapport à PEAP-MSCHAPv2, et comment déployer un RADIUS cloud avec des certificats émis par MDM pour Microsoft Entra ID, Okta ou Google Workspace. Conçu pour les responsables informatiques des organisations cloud-first et à forte composante Mac/Chromebook prêtes à abandonner leur infrastructure sur site.

Lire le guide →

Comment révoquer l'accès WiFi lors du départ d'un employé

Ce guide détaille comment révoquer l'accès WiFi lors du départ d'un employé, en remplaçant les mots de passe partagés non sécurisés par des certificats 802.1X par utilisateur ou par iPSK. Il traite du déprovisionnement automatisé via SCIM afin de répondre aux exigences d'audit ISO 27001 et SOC 2.

Lire le guide →

Authentification WiFi Google Workspace : Intégration de Chromebook et LDAP

Une référence technique définitive pour les administrateurs informatiques déployant un WiFi sécurisé dans les environnements Google Workspace. Ce guide couvre le déploiement de certificats 802.1X sur les Chromebooks gérés via la console d'administration Google, l'intégration de Google Secure LDAP en tant que serveur back-end RADIUS, et les décisions d'architecture pour les secteurs de l'éducation, des médias et des entreprises. Il fournit des étapes de mise en œuvre concrètes, des études de cas réels et une comparaison directe des méthodes EAP pour aider les équipes à passer de clés PSK partagées vulnérables à un contrôle d'accès réseau robuste et basé sur l'identité.

Lire le guide →