Gestion de la bande passante pour le WiFi du personnel : lissage, QoS et réduction du trafic

Ce guide détaille les méthodes pratiques pour gérer la bande passante du WiFi du personnel dans les établissements d'entreprise. Il aborde le lissage du trafic, l'implémentation de la QoS et la manière dont le déploiement de Purple Shield réduit la charge réseau sans nécessiter de mise à niveau des infrastructures.

📖 3 min de lecture📝 738 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast

Gestion de la bande passante pour le WiFi du personnel : lissage, QoS et réduction du trafic. Un briefing technique Purple.

Bienvenue. Si vous écoutez ceci, vous êtes probablement confronté à l'une des plaintes les plus courantes dans l'informatique d'entreprise : le personnel qui se plaint de la lenteur du WiFi. C'est peut-être l'équipe d'arrière-boutique de l'hôtel qui a du mal à traiter les arrivées. C'est peut-être une chaîne de magasins où les terminaux POS subissent des interruptions de connexion. Ou c'est peut-être un centre de conférences où l'équipe audiovisuelle ne parvient pas à obtenir une connexion stable lors d'un événement en direct. Quel que soit le contexte, la cause profonde est presque toujours la même : vous avez plus de trafic que ce pour quoi votre réseau a été conçu, et le mauvais trafic est prioritaire.

Dans ce briefing, nous allons aborder trois points : comment le lissage du trafic et la QoS fonctionnent réellement dans un environnement WiFi pour le personnel, à quoi ressemble un déploiement pratique dans différents types d'établissements, et comment le déploiement de Purple Shield pour le blocage des publicités peut réduire de manière significative votre charge réseau globale, sans toucher à la vitesse de votre ligne ni dépenser dans des mises à niveau d'infrastructure.

Entrons dans le vif du sujet.

Section un : Comprendre le problème.

La plupart des établissements d'entreprise utilisent une connexion Internet partagée. Le WiFi du personnel, le WiFi invité, les systèmes de back-office, la vidéosurveillance, les systèmes de gestion technique du bâtiment - ils partagent tous le même canal ascendant. Lorsque ce canal est encombré, tout se dégrade. Mais tous les trafics ne se valent pas. Un appel VoIP qui coupe au milieu d'une phrase est catastrophique. Une mise à jour logicielle qui prend deux minutes de plus est sans importance. Le problème est que sans gestion active, votre réseau ne fait pas la différence.

Le lissage du trafic (traffic shaping) est le mécanisme que vous utilisez pour indiquer au réseau quel trafic est important. La qualité de service, ou QoS, est le cadre qui définit les règles. Ensemble, ils vous permettent de garantir de la bande passante aux applications critiques et de limiter tout le reste.

La norme IEEE 802.11e a introduit la QoS dans les réseaux sans fil grâce à un mécanisme appelé WMM - Wireless Multimedia. Le WMM définit quatre catégories d'accès : voix, vidéo, best effort (au mieux) et arrière-plan. Chaque point d'accès moderne de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist et Ubiquiti UniFi prend en charge le WMM. La question est de savoir si vous l'utilisez correctement.

Du côté filaire, la QoS est implémentée à l'aide de marquages DSCP (Differentiated Services Code Point) dans l'en-tête IP. Le DSCP EF, qui signifie Expedited Forwarding, est utilisé pour le trafic vocal. Le DSCP AF41 est utilisé pour la visioconférence. Le DSCP CS1 est la classe d'arrière-plan : mises à jour logicielles, transferts de masse, tout ce qui peut attendre. Lorsque vous associez le trafic de vos applications aux bons marquages DSCP et configurez vos commutateurs et points d'accès pour les respecter, vous obtenez des performances prévisibles pour les applications qui comptent.

Section deux : Architecture et segmentation.

Avant de configurer la QoS, vous devez segmenter correctement votre réseau. Le WiFi du personnel doit se trouver sur son propre VLAN (Virtual Local Area Network), complètement isolé du WiFi invité et des appareils IoT. Ce n'est pas seulement une exigence de sécurité dans le cadre de PCI DSS et du GDPR ; c'est un prérequis pour une QoS efficace, car vous pouvez appliquer des politiques différentes à différents VLAN.

Une architecture d'établissement d'entreprise typique ressemble à ceci. Vous disposez d'un commutateur central connecté à votre passerelle Internet. À partir de ce commutateur, vous avez plusieurs VLAN : un pour les appareils du personnel, un pour l'accès invité, un pour les systèmes POS et de paiement, un pour la gestion du bâtiment. Chaque VLAN a sa propre politique de QoS. Le VLAN du personnel bénéficie de l'allocation de bande passante garantie la plus élevée. Le VLAN invité reçoit une limite de débit par utilisateur (généralement de deux à cinq mégabits par seconde en aval) afin qu'aucun visiteur ne puisse saturer la connexion à lui seul.

Sur le VLAN du personnel lui-même, vous appliquez une QoS sensible aux applications. Les transactions POS et le trafic d'authentification RADIUS reçoivent le DSCP EF (la priorité la plus élevée). Votre système ERP et vos outils de visioconférence reçoivent le DSCP AF41. La navigation web générale obtient le best effort. Les mises à jour logicielles et les téléchargements de correctifs du système d'exploitation reçoivent le DSCP CS1 : ils s'exécutent en arrière-plan et n'entrent pas en concurrence avec le trafic opérationnel.

Pour l'authentification, les appareils du personnel doivent s'authentifier en utilisant le 802.1X avec EAP-TLS (basé sur des certificats) ou PEAP avec MSCHAPv2 auprès de votre serveur RADIUS. Si vous utilisez Microsoft Entra ID, Okta ou Google Workspace, Purple s'intègre directement avec ces trois solutions via SAML et SCIM, de sorte que votre fournisseur d'identité devient la source unique de vérité pour l'accès au réseau. Lorsqu'un membre du personnel s'en va, vous révoquez son accès dans Entra ID et son accès au réseau disparaît automatiquement.

Section trois : La fuite de bande passante cachée - et comment Shield la résout.

Voici une chose à laquelle la plupart des équipes informatiques ne pensent pas. Une partie importante du trafic sur le WiFi de votre personnel n'a rien à voir avec votre activité. Chaque page web visitée par un membre du personnel charge des dizaines de réseaux publicitaires tiers, de pixels de suivi, de scripts d'analyse et de points de terminaison de télémétrie. Les recherches de Ghostery et d'analyses similaires de blocage des publicités montrent systématiquement que les requêtes de publicités et de trackers représentent entre 25 % et 40 % du total des requêtes HTTP lors d'une session de navigation typique.

Ce trafic consomme de la bande passante réelle. Il consomme de la capacité de requêtes DNS. Il ajoute de la latence à chaque chargement de page. Et il introduit un risque de sécurité : la publicité malveillante (malvertising), les téléchargements furtifs et l'exfiltration de données via des pixels de suivi sont autant de vecteurs d'attaque bien réels.

Purple Shield résout ce problème au niveau du réseau. Plutôt que de s'appuyer sur des extensions de navigateur que le personnel a pu ou non installer, Shield fonctionne comme un filtre au niveau de la couche DNS. Chaque requête DNS du VLAN du personnel passe par la liste de blocage de Shield avant d'être résolue. Les domaines de réseaux publicitaires, les points de terminaison de trackers connus et les domaines malveillants sont bloqués avant même qu'un seul octet de contenu ne soit téléchargé. L'appareil n'établit jamais la connexion. La bande passante n'est jamais consommée.

En pratique, les établissements qui déploient Shield sur le WiFi de leur personnel signalent une réduction du volume total de requêtes DNS d'environ 30 %. C'est de la bande passante qui était auparavant gaspillée en publicités et trackers, désormais disponible pour votre système ERP, vos appels vidéo, vos terminaux POS. Vous obtenez l'équivalent d'une mise à niveau de 30 % de la bande passante sans payer pour une ligne plus rapide.

Shield réduit également votre exposition aux risques de sécurité. En bloquant les domaines malveillants connus au niveau de la couche DNS, vous éliminez une catégorie de menaces que les antivirus de points de terminaison ignorent souvent, en particulier pour les appareils IoT et les terminaux partagés qui n'exécutent pas de logiciels de sécurité traditionnels.

Section quatre : Implémentation en conditions réelles.

Laissez-moi vous présenter deux scénarios.

Premier cas : un hôtel de 200 chambres. L'équipe d'arrière-boutique fait fonctionner un logiciel de gestion d'établissement, un système de téléphonie VoIP et une plateforme de vidéosurveillance sur le même réseau. Le WiFi invité est sur un VLAN séparé avec une limite de cinq mégabits par utilisateur, mais le VLAN du personnel n'a pas de politique de QoS. Pendant les périodes de pointe des arrivées, le système de gestion d'établissement ralentit considérablement parce que le personnel écoute de la musique en streaming et que le système de surveillance téléverse des images.

La solution : appliquez le DSCP EF au trafic du système de gestion d'établissement et au système VoIP. Appliquez le DSCP AF41 au trafic de téléversement de la surveillance (il est important mais non sensible à la latence). Appliquez le DSCP CS1 à tout le reste. Déployez Shield sur le VLAN du personnel pour éliminer le trafic de publicités et de trackers. Résultat : les temps de réponse du système de gestion d'établissement diminuent de plus de 40 % pendant les périodes de pointe. La qualité des appels VoIP s'améliore de manière mesurable sur l'échelle Mean Opinion Score utilisée pour évaluer la qualité de la voix.

Deuxième cas : une chaîne de magasins de 50 points de vente. Chaque magasin dispose d'une seule connexion haut débit de 100 mégabits partagée entre le WiFi du personnel, le WiFi invité et les terminaux POS. Pendant les périodes de forte activité commerciale, la navigation du personnel sur des appareils personnels sature la connexion et les transactions POS commencent à subir des interruptions de connexion. La chaîne envisage de passer à des lignes de 200 mégabits pour un coût d'environ 18 000 livres par an sur l'ensemble du parc.

La solution : segmentez les terminaux POS sur un VLAN dédié avec une bande passante garantie. Appliquez des limites de débit par utilisateur sur le VLAN WiFi du personnel (10 mégabits par utilisateur en aval, deux mégabits en amont). Déployez Shield pour éliminer le trafic publicitaire. Cette combinaison réduit l'utilisation de pointe de 35 %, les interruptions de connexion des POS tombent à zéro et la mise à niveau de la ligne est différée indéfiniment. L'économie annuelle sur les seuls coûts de ligne s'élève à 18 000 livres. Le coût de configuration de Shield et de la QoS ne représente qu'une fraction de cette somme.

Section five: Les pièges de l'implémentation.

Quelques points à surveiller.

Le remarquage DSCP. De nombreux FAI et certains commutateurs d'entreprise suppriment ou remarquent les valeurs DSCP à la frontière du réseau. Vérifiez que vos marquages QoS survivent à l'ensemble du parcours, de l'appareil à l'application. Utilisez une capture de paquets au niveau de la passerelle pour le vérifier.

Le WMM et les appareils obsolètes. Certains appareils plus anciens, en particulier les terminaux partagés et les capteurs IoT, ne prennent pas correctement en charge le WMM. Ils peuvent ignorer les marquages QoS ou générer du trafic avec des valeurs DSCP incorrectes. Auditez votre inventaire d'appareils avant de déployer des politiques de QoS.

Limitation du débit et trafic en rafale. Une limite de débit stricte de 10 mégabits par utilisateur semble raisonnable, mais si 20 membres du personnel déclenchent simultanément des mises à jour logicielles, vous atteindrez le plafond global. Utilisez le lissage par seau à jetons (token bucket shaping) avec une tolérance de rafale plutôt qu'un régulateur strict. Cela permet de courtes rafales tout en limitant l'utilisation prolongée d'une bande passante élevée.

Shield et le DNS-over-HTTPS. Si les appareils du personnel utilisent le DNS-over-HTTPS pour contourner votre résolveur DNS, le filtrage de Shield ne s'appliquera pas. Vous devez soit bloquer le DNS-over-HTTPS au niveau du pare-feu, soit configurer vos appareils via un MDM pour qu'ils utilisent votre résolveur DNS interne. Il s'agit d'une étape de configuration unique, et non d'une charge de gestion continue.

Section six : Questions-réponses rapides.

Ai-je besoin de QoS si je dispose de beaucoup de bande passante ? Oui. La bande passante n'est pas synonyme de performance. Une connexion de 1 gigabit sans QoS offrira toujours une mauvaise qualité VoIP si un seul appareil effectue un transfert de fichiers volumineux. La QoS garantit que le trafic sensible à la latence obtient la priorité de file d'attente dont il a besoin, quel que soit le débit total.

Puis-je déployer Shield sans modifier mon matériel existant ? Oui. Shield fonctionne comme une superposition DNS. Vous pointez votre serveur DHCP vers les résolveurs DNS de Purple et Shield s'applique immédiatement. Il fonctionne avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet, sans aucune modification matérielle.

Comment mesurer l'impact ? Suivez trois indicateurs avant et après le déploiement : le pourcentage d'utilisation de pointe sur votre liaison montante, le volume de requêtes DNS par heure et les temps de réponse des applications pour vos systèmes critiques. Le tableau de bord de Purple affiche ces trois indicateurs en temps réel.

Section sept : Résumé et prochaines étapes.

En résumé. Gérer la bande passante pour le WiFi du personnel ne consiste pas à acheter plus de bande passante. Il s'agit de s'assurer que la bande passante dont vous disposez va aux bons endroits. Le lissage du trafic et la QoS vous donnent le contrôle. Purple Shield vous apporte la réduction. Ensemble, ils offrent des améliorations mesurables des performances des applications sans dépenses d'infrastructure.

Vos prochaines étapes : auditez votre structure VLAN actuelle et confirmez que le WiFi du personnel est isolé du trafic invité et IoT. Associez vos applications critiques aux classes DSCP. Déployez Shield sur votre VLAN du personnel et mesurez la réduction des requêtes DNS. Examinez vos limites de débit par utilisateur chaque trimestre en fonction de l'évolution du nombre d'appareils.

Si vous souhaitez approfondir le sujet, le guide écrit complet est disponible sur purple.ai. Il couvre en détail l'architecture technique, comprend des exemples de configuration pour les principales plateformes matérielles et détaille le calcul du ROI pour le déploiement de Shield.

Merci pour votre écoute. C'était un briefing technique Purple.

Points clés à retenir

✓Segmentez le WiFi du personnel sur un VLAN dédié pour permettre une gestion efficace du trafic.
✓Implémentez la QoS à l'aide de DSCP et WMM pour donner la priorité aux applications critiques comme la VoIP et les POS.
✓Déployez Purple Shield pour bloquer le trafic de publicités et de trackers au niveau de la couche DNS.
✓Le déploiement de Shield réduit généralement la consommation totale de bande passante de 30 %.
✓Un lissage efficace du trafic permet de différer le besoin de mises à niveau de lignes coûteuses.
✓Utilisez le lissage par seau à jetons (token bucket shaping) pour les limites de débit afin d'absorber les pics de trafic.
✓Vérifiez que les marquages QoS survivent à l'ensemble du parcours réseau sans être supprimés par des commutateurs intermédiaires.

Résumé opérationnel

La gestion de la bande passante pour le WiFi du personnel exige plus qu'une simple augmentation de la vitesse de la ligne. Les établissements d'entreprise sont constamment confrontés à la congestion du réseau, car les applications critiques pour l'activité entrent en concurrence avec les tâches d'arrière-plan et le trafic non essentiel. Ce guide présente l'implémentation technique du lissage du trafic et de la qualité de service (QoS) pour garantir les performances des systèmes essentiels. De plus, il démontre comment le déploiement de Purple Shield pour le blocage des publicités au niveau de la couche DNS élimine jusqu'à 30 % du trafic inutile avant qu'il ne consomme de la bande passante. En combinant une QoS sensible aux applications avec une protection contre les menaces au niveau du réseau, vous optimisez l'infrastructure existante et différez les mises à niveau de lignes coûteuses.

Analyse technique approfondie : Architecture et normes

Une architecture réseau robuste isole les types de trafic pour appliquer des politiques spécifiques. Le WiFi du personnel doit fonctionner sur un VLAN dédié, entièrement segmenté du Guest WiFi et des appareils IoT. Cette segmentation est une exigence fondamentale pour la conformité avec des normes telles que PCI DSS et le GDPR, et elle constitue la base d'une gestion efficace du trafic.

Le rôle de la QoS et du WMM

La qualité de service (QoS) garantit que le trafic sensible à la latence reçoit la priorité. Dans les environnements sans fil, cela est régi par la norme IEEE 802.11e, qui a introduit le Wireless Multimedia (WMM). Le WMM classe le trafic en quatre niveaux d'accès : voix, vidéo, best effort (au mieux) et arrière-plan. Le matériel d'entreprise de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet prend entièrement en charge le WMM.

Sur l'infrastructure filaire, la QoS s'appuie sur les marquages DSCP (Differentiated Services Code Point) au sein de l'en-tête IP.

DSCP EF (Expedited Forwarding) est attribué au trafic vocal et aux systèmes critiques tels que les transactions POS.
DSCP AF41 gère la visioconférence et les applications ERP.
DSCP CS1 gère les tâches d'arrière-plan telles que les mises à jour logicielles.

Gestion des identités et des accès

Les appareils du personnel doivent s'authentifier en utilisant le 802.1X avec EAP-TLS ou PEAP auprès d'un serveur RADIUS. Purple s'intègre directement avec Microsoft Entra ID, Okta et Google Workspace. Cela garantit que l'accès au réseau est lié au fournisseur d'identité central. Lorsque vous révoquez l'accès dans Entra ID, l'accès au réseau prend fin immédiatement.

Guide d'implémentation : Lissage et réduction

1. Segmentation du réseau

Déployez des VLAN distincts pour le personnel, les invités et le matériel opérationnel. Appliquez une limite de débit par utilisateur sur le VLAN invité (par exemple, 5 Mbps en aval) pour empêcher les utilisateurs individuels de saturer la connexion. Sur le VLAN du personnel, allouez des pourcentages de bande passante minimale garantis aux applications critiques.

2. Configuration de la QoS sensible aux applications

Associez vos applications professionnelles aux marquages DSCP appropriés. Assurez-vous que vos commutateurs centraux et vos points d'accès sont configurés pour respecter ces marquages sur l'ensemble du parcours réseau. Vérifiez que votre FAI ne supprime pas les balises DSCP au niveau de la passerelle.

3. Déploiement de Purple Shield pour la réduction du trafic

Une partie importante du trafic web du personnel est constituée de réseaux publicitaires tiers et de pixels de suivi. Ce trafic consomme de la bande passante, augmente la charge des requêtes DNS et introduit des vulnérabilités de sécurité. Purple Shield fonctionne comme un filtre au niveau de la couche DNS. En pointant votre serveur DHCP vers les résolveurs DNS de Purple, Shield bloque les requêtes vers les réseaux publicitaires connus et les domaines malveillants avant que la connexion ne soit établie.

Les établissements qui déploient Shield constatent généralement une réduction de 30 % du volume total de requêtes DNS. Cela libère efficacement de la bande passante pour les applications professionnelles, fonctionnant comme une mise à niveau de ligne sans les coûts associés.

Bonnes pratiques

Utilisez le lissage par seau à jetons (Token Bucket Shaping) : Au lieu de limites de débit strictes, utilisez le lissage par seau à jetons avec une tolérance de rafale. Cela permet d'absorber les pics de trafic de courte durée, comme une mise à jour logicielle soudaine, sans affecter les performances à long terme.
Auditez les appareils obsolètes : Certains terminaux partagés plus anciens peuvent ne pas prendre en charge correctement le WMM. Identifiez ces appareils et appliquez des politiques de QoS basées sur les ports si nécessaire.
Surveillez et ajustez : Examinez régulièrement les indicateurs d'utilisation de pointe et les volumes de requêtes DNS à l'aide de WiFi Analytics . Ajustez les limites de débit à mesure que les effectifs du personnel et les exigences des applications évoluent.

Dépannage et atténuation des risques

Remarquage DSCP : Si les politiques de QoS semblent inefficaces, effectuez une capture de paquets au niveau de la passerelle. Certains commutateurs d'entreprise remarquent les valeurs DSCP aux paramètres par défaut, annulant ainsi votre configuration.
Contournement par DNS-over-HTTPS : Si les appareils du personnel utilisent le DNS-over-HTTPS, ils contournent le résolveur DNS local, rendant Shield inefficace. Bloquez le DNS-over-HTTPS au niveau du pare-feu ou configurez les appareils gérés via un MDM pour qu'ils utilisent le résolveur interne.

ROI et impact commercial

L'impact commercial principal d'une gestion efficace de la bande passante est l'évitement des coûts. En implémentant la QoS et en déployant Shield, un établissement peut différer des mises à niveau coûteuses de lignes louées. Pour une chaîne de Retail de taille moyenne, éviter une mise à niveau de ligne sur 50 magasins peut permettre d'économiser des dizaines de milliers de livres par an. De plus, la priorisation du trafic POS et ERP améliore directement l'efficacité opérationnelle et réduit les temps d'arrêt pendant les périodes de forte activité commerciale.

Écoutez notre podcast de briefing technique pour plus de détails :

Définitions clés

QoS (Quality of Service)

Un ensemble de technologies qui gèrent le trafic réseau pour garantir les performances des applications critiques.

Indispensable pour garantir le fonctionnement fiable des systèmes VoIP et POS en cas de congestion du réseau.

DSCP (Differentiated Services Code Point)

Un champ dans l'en-tête IP utilisé pour classifier le trafic réseau à des fins de QoS.

Utilisé par les commutateurs réseau pour déterminer quels paquets sont prioritaires dans la file d'attente.

WMM (Wireless Multimedia)

Une certification de la Wi-Fi Alliance basée sur la norme IEEE 802.11e qui fournit des fonctionnalités de QoS pour les réseaux sans fil.

Garantit que les points d'accès accordent la priorité au trafic voix et vidéo par rapport aux données générales.

VLAN (Virtual Local Area Network)

Un sous-réseau logique qui regroupe un ensemble d'appareils, isolant leur trafic du reste du réseau.

Utilisé pour séparer les appareils du personnel des réseaux invités pour des raisons de sécurité et de gestion du trafic.

DNS-layer filtering

Le processus de blocage de l'accès à des domaines spécifiques en interceptant et en refusant les requêtes de résolution DNS.

Le mécanisme utilisé par Purple Shield pour empêcher les appareils de se connecter aux réseaux publicitaires et aux sites malveillants.

Token bucket shaping

Un algorithme de gestion de la bande passante qui autorise de courtes rafales de trafic tout en imposant une limite de débit moyen à long terme.

Offre une meilleure expérience utilisateur qu'une limitation stricte du débit en absorbant les pics brefs comme les chargements de pages.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, fournissant un mécanisme d'authentification pour les appareils souhaitant se connecter à un LAN ou un WLAN.

La méthode standard pour sécuriser le WiFi du personnel en entreprise, souvent intégrée à RADIUS.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité.

Utilisé en conjonction avec 802.1X pour vérifier les identifiants du personnel auprès de fournisseurs d'identité comme Microsoft Entra ID.

Exemples concrets

Un hôtel de 200 chambres doit s'assurer que son logiciel de gestion d'établissement et ses téléphones VoIP restent stables pendant les périodes de pointe des arrivées, alors que le personnel utilise également le réseau pour la navigation générale.

Segmentez le réseau en plaçant le personnel sur un VLAN dédié. Appliquez le DSCP EF au système de gestion d'établissement et au trafic VoIP. Appliquez le DSCP CS1 à la navigation générale et aux mises à jour en arrière-plan. Déployez Purple Shield sur le VLAN du personnel pour éliminer le trafic de publicités et de trackers, libérant ainsi de la capacité de base.

Commentaire de l'examinateur : Cette approche garantit la bande passante pour les applications sensibles à la latence tout en réduisant simultanément la charge totale de trafic. En bloquant les publicités au niveau de la couche DNS, le réseau traite moins de requêtes HTTP, ce qui améliore directement les temps de réponse du système de gestion d'établissement.

Une chaîne de magasins de 50 points de vente subit des interruptions de connexion des terminaux de point de vente (POS) pendant les périodes d'affluence, car les appareils du personnel saturent la connexion haut débit partagée de 100 Mbps.

Isolez les terminaux POS sur un VLAN dédié avec une priorité QoS stricte. Sur le VLAN WiFi du personnel, implémentez une limite de débit par utilisateur de 10 Mbps en aval et 2 Mbps en amont à l'aide du lissage par seau à jetons (token bucket shaping). Déployez Purple Shield pour bloquer le trafic publicitaire non professionnel.

Commentaire de l'examinateur : Au lieu de passer à des lignes de 200 Mbps sur 50 sites, cette configuration donne la priorité au trafic générateur de revenus et limite l'utilisation non essentielle. Shield permet une réduction immédiate de la consommation totale de bande passante, résolvant les interruptions de connexion des POS sans dépenses d'investissement.

Questions d'entraînement

Q1. Vous gérez un établissement du secteur [Hospitality](/industries/hospitality) où le réseau invité sature fréquemment la connexion de 500 Mbps, provoquant des déconnexions du système ERP du back-office. Vous disposez d'un réseau plat unique. Quelle est la première étape pour résoudre ce problème ?

Conseil : Considérez les prérequis pour appliquer des politiques de QoS efficaces.

Voir la réponse type

La première étape est la segmentation du réseau. Vous devez séparer les appareils du personnel et le système ERP sur un VLAN dédié, isolé du réseau invité. Une fois segmenté, vous pouvez appliquer une limite de débit stricte par utilisateur au VLAN invité et configurer la QoS sur le VLAN du personnel pour donner la priorité au trafic ERP.

Q2. Après avoir configuré les marquages DSCP EF pour votre trafic VoIP sur le VLAN du personnel, les utilisateurs signalent toujours une mauvaise qualité d'appel pendant les heures de pointe. Quelle est la cause la plus probable ?

Conseil : Pensez à ce qui arrive aux en-têtes de paquets lorsqu'ils traversent différents équipements réseau.

Voir la réponse type

La cause la plus probable est le remarquage DSCP. Soit un commutateur d'entreprise intermédiaire, soit la passerelle du FAI supprime ou réinitialise les valeurs DSCP par défaut (best effort). Vous devez effectuer une capture de paquets au niveau de la passerelle pour vérifier si les marquages QoS survivent tout au long du parcours.

Q3. Vous devez réduire la consommation globale de bande passante sur le réseau du personnel sans impact sur les applications professionnelles. Quelle est l'approche la plus efficace ?

Conseil : Considérez quel trafic non essentiel consomme automatiquement une bande passante importante.

Voir la réponse type

Déployez Purple Shield pour filtrer le trafic au niveau de la couche DNS. En bloquant les requêtes vers les réseaux publicitaires et les pixels de suivi avant que les connexions ne soient établies, Shield élimine une partie importante du trafic non professionnel, réduisant généralement le volume total de requêtes DNS et la consommation de bande passante jusqu'à 30 %.

Continuer la lecture de cette série

Gestion du WiFi pour les clients d'hôtels : Intégration du PMS, des portails et des normes de marque

Ce guide technique détaille comment concevoir des réseaux WiFi hôteliers de classe entreprise, en se concentrant sur la segmentation VLAN, l'intégration PMS pour la gestion automatisée des sessions et l'optimisation du Captive Portal pour une collecte de données conforme au GDPR.

Comment configurer un WiFi invité : Guide de configuration d'entreprise sécurisé

Ce guide de référence fournit aux responsables informatiques et aux architectes réseau un plan d'action définitif pour déployer un WiFi invité d'entreprise sécurisé. Il couvre l'architecture essentielle, la migration vers le WPA3, la segmentation VLAN et l'intégration de Captive Portal pour protéger les systèmes internes tout en collectant des données de première partie conformes.

Comment réduire le nombre de SSIDs WiFi grâce au PSK par appareil (iPSK, DPSK, MPSK)

Ce guide de référence technique faisant autorité explique comment les équipes informatiques peuvent éliminer la dégradation des performances WiFi causée par la surcharge des balises SSID en regroupant plusieurs réseaux dédiés en un seul SSID à l'aide du PSK par appareil (xPSK). Il couvre le paysage des constructeurs à travers Cisco iPSK, HPE Aruba MPSK, Ruckus DPSK, Juniper Mist PPSK et Ubiquiti UniFi PPSK, avec des conseils pratiques de mise en œuvre sur l'attribution dynamique de VLAN, l'intégration de l'IoT et la conformité PCI DSS. Les exploitants de sites dans l'hôtellerie, le commerce de détail, les stades et les organisations du secteur public y trouveront des conseils d'architecture exploitables et des exemples concrets.