Skip to main content
Français
Tarifs

Segmentation du réseau WiFi : VLAN, SSID et trafic invité

Ce guide faisant autorité explore le rôle essentiel de la segmentation du réseau WiFi à l'aide de VLAN et de plusieurs SSID. Il fournit des stratégies de mise en œuvre concrètes aux responsables informatiques des secteurs de l'hôtellerie, du commerce de détail et des services publics pour sécuriser les réseaux, isoler le trafic invité et garantir la conformité sans sacrifier les performances.

📖 6 min de lecture📝 1,467 mots🔧 2 exemples3 questions📚 8 termes clés

🎧 Écouter ce guide

Voir la transcription
Welcome to the Purple Technical Briefing series. Today we are tackling one of the most consequential, and most frequently misunderstood, decisions in enterprise wireless network design: WiFi network segmentation. If you are managing a hotel, a retail estate, a conference centre, a stadium, or any venue where you are running both guest-facing and operational WiFi, this episode is directly relevant to you. We are going to cover why segmentation is non-negotiable in 2024, how VLANs and multiple SSIDs work together to deliver it, and what a well-designed deployment actually looks like in practice. This is not a theoretical lecture. By the end of this briefing, you will have a clear framework for evaluating your current network, identifying the gaps, and making a confident decision about your next steps. Let us get into it. So, what exactly is WiFi network segmentation? At its core, it is the practice of dividing a single physical wireless infrastructure into multiple logically isolated networks. Each segment carries different traffic, serves different users or devices, and is governed by different security policies, all running over the same physical access points and cabling. The two technologies that make this possible are VLANs, Virtual Local Area Networks, and SSIDs, Service Set Identifiers. Let us take each in turn. A VLAN is a Layer 2 construct defined in the IEEE 802.1Q standard. It allows a single physical switch or access point to carry multiple, logically separate broadcast domains. Think of it like having multiple separate roads running through the same tunnel. The vehicles, your data packets, are tagged with a VLAN ID as they enter the network, and that tag determines which road they travel on and which exits they can use. VLAN IDs range from 1 to 4094, and in a well-designed enterprise deployment, each traffic class gets its own ID. An SSID is simply the network name that a wireless device sees and connects to. When you configure multiple SSIDs on an access point, each one is mapped to a corresponding VLAN. So your guest network, let us call it VenueGuest, maps to VLAN 10. Your staff network maps to VLAN 20. Your IoT and building management devices map to VLAN 30. And your point-of-sale or payment terminals sit on VLAN 40, which carries the strictest access controls to satisfy PCI DSS requirements. Now, why does this matter so much from a security perspective? The answer is lateral movement. In a flat, unsegmented network, where every device shares the same broadcast domain, a compromised device can communicate directly with every other device on that network. A guest's smartphone infected with malware can, in theory, probe your POS terminals, your staff laptops, your CCTV system. That is not a theoretical risk. It is a documented attack vector. Network segmentation eliminates that attack surface by ensuring that traffic from one segment simply cannot reach another without passing through a firewall or router that enforces explicit policy. From a compliance standpoint, segmentation is often mandatory, not optional. PCI DSS, the Payment Card Industry Data Security Standard, requires that cardholder data environments be isolated from all other network traffic. GDPR imposes obligations around data minimisation and access control that are much easier to satisfy when your network architecture enforces separation by design. In healthcare environments, clinical device networks must be isolated from general-purpose WiFi under NHS Digital guidelines. Let us talk about the architecture in a bit more detail. In a typical enterprise deployment, you will have a core switch connected to your internet uplink and firewall. That switch carries multiple VLANs as tagged traffic, what is called trunk ports, down to your wireless LAN controller or cloud-managed access points. Each access point broadcasts multiple SSIDs simultaneously. Modern enterprise access points from vendors like Cisco Meraki, Aruba, Ruckus, and Ubiquiti can handle between eight and sixteen SSIDs per radio, though best practice is to keep it to four or fewer to minimise management overhead and radio frequency pollution. The wireless LAN controller handles the mapping between SSIDs and VLANs, and also enforces client isolation within each SSID. Client isolation is a critical setting: it prevents devices on the same SSID from communicating directly with each other, which is essential on a guest network where you do not want one guest's device talking to another's. Authentication is the other key dimension. For your guest network, you will typically use an open SSID with a captive portal, a web-based authentication page where guests log in via social media, email, or a voucher code. This is where a platform like Purple's Guest WiFi solution adds significant value: it handles the captive portal, the data capture, the consent management under GDPR, and the downstream marketing analytics, all integrated with your VLAN architecture. For your corporate staff network, you should be running WPA3-Enterprise, which uses IEEE 802.1X authentication against a RADIUS server, typically integrated with your Active Directory or Azure AD. This means each staff member authenticates with their corporate credentials, and the network can apply per-user policies based on role or department. For IoT devices, the challenge is different. Most IoT devices do not support 802.1X, so you will use WPA2-PSK or WPA3-SAE with a strong, rotated passphrase, combined with strict firewall rules that limit what those devices can reach. Many organisations also deploy MAC address filtering as an additional control on IoT VLANs, though this should be treated as a secondary measure rather than a primary security control. One more architecture consideration worth flagging: bandwidth management. On your guest VLAN, you should implement per-client rate limiting, typically somewhere between 5 and 20 megabits per second downstream, depending on your total uplink capacity and expected concurrent user count. This prevents any single guest from saturating your uplink and degrading the experience for everyone else. Now let me give you the practical implementation framework. I would break this into five phases. Phase one: traffic classification. Before you touch a single switch port, document every device type and traffic class in your environment. Guest devices, staff devices, IoT, payment terminals, building management systems, CCTV. Each one needs a home. Phase two: VLAN design. Assign a VLAN ID and IP subnet to each traffic class. Keep your guest VLAN on a completely separate subnet with no route to your internal address space. Your firewall should have an explicit deny-all rule between the guest VLAN and everything internal, with only outbound internet access permitted. Phase three: SSID mapping. Configure your SSIDs on your wireless controller, map each to its VLAN, enable client isolation on the guest SSID, and set your authentication method per segment. Phase four: firewall policy. This is where most deployments fall short. The VLAN architecture is only as strong as the inter-VLAN routing rules on your firewall. Document every permitted flow explicitly. Default-deny everything else. Phase five: monitoring and validation. Deploy a network monitoring tool and validate that your segmentation is actually working. Run periodic penetration tests, or at minimum use a scanning tool from a guest device to confirm you cannot reach internal subnets. Now, the pitfalls. The most common one I see is misconfigured trunk ports. If a switch port carrying multiple VLANs is accidentally configured as an access port, all traffic collapses onto a single VLAN and your segmentation disappears silently. Always audit your switch configurations after any change. The second pitfall is SSID proliferation. Every additional SSID you broadcast consumes airtime for beacon frames, even when no clients are connected. In a dense venue with hundreds of access points, broadcasting eight SSIDs per AP can meaningfully degrade throughput. Keep it lean. The third pitfall is forgetting the wired network. WiFi segmentation is pointless if your wired infrastructure is not equally segmented. A guest who plugs into an Ethernet port in a conference room and finds themselves on your corporate network has bypassed your entire wireless security architecture. Let me run through a few questions I hear regularly from clients. How many SSIDs should we broadcast? No more than four per radio band. Three is ideal: guest, corporate, IoT. Do we need a separate physical access point for guests? No. Modern enterprise APs handle multiple SSIDs and VLANs on the same hardware. Physical separation is unnecessary and expensive. Can Purple's platform work with existing wireless infrastructure? Yes. Purple integrates with all major enterprise wireless vendors via standard RADIUS and VLAN tagging. You do not need to replace your APs. Is WPA3 mandatory for guest networks? Not yet mandatory, but strongly recommended. WPA3's Simultaneous Authentication of Equals protocol eliminates the dictionary attack vulnerability present in WPA2-PSK. Deploy it where your client device mix supports it. What is the minimum viable segmentation for a small venue? At minimum: one guest VLAN, one staff VLAN, one IoT VLAN. That is three VLANs, three SSIDs, and a firewall with inter-VLAN rules. That is your baseline. To wrap up: WiFi network segmentation using VLANs and multiple SSIDs is the foundational security and compliance architecture for any enterprise or venue wireless deployment. It is not optional if you are handling guest traffic, payment data, or clinical devices. It is the difference between a network that is defensible and one that is a liability. The key takeaways are these. First: map every device type to a dedicated VLAN before you design anything. Second: your firewall inter-VLAN rules are as important as the VLAN architecture itself. Default-deny, explicit-permit. Third: keep your SSID count low, enable client isolation on guest networks, and implement per-client rate limiting. Fourth: validate your segmentation regularly. Do not assume it is working because you configured it once. If you are looking to add a managed guest WiFi layer with GDPR-compliant data capture, captive portal authentication, and marketing analytics on top of your segmented architecture, Purple's platform is designed to slot directly into this architecture. You can find out more at purple dot ai. Thanks for listening. Until next time.

header_image.png

Résumé Exécutif

Pour les entreprises – qu'il s'agisse d'un environnement Retail animé, d'une chaîne Hospitality multisite ou d'un campus Healthcare complexe – l'époque du réseau sans fil plat est révolue. Les architectes réseau d'aujourd'hui sont confrontés à une multitude d'exigences concurrentes : prendre en charge des milliers d'appareils invités simultanés, sécuriser les données d'entreprise sensibles, activer les systèmes de point de vente et intégrer un parc croissant de capteurs IoT.

Tenter de faire fonctionner ces classes de trafic disparates sur un réseau unique et non segmenté n'est pas seulement inefficace ; c'est une vulnérabilité de sécurité critique. La segmentation du réseau WiFi, mise en œuvre via les Virtual Local Area Networks (VLAN) et les Service Set Identifiers (SSID), est l'architecture fondamentale requise pour atténuer les risques de mouvement latéral, garantir la conformité réglementaire (telle que PCI DSS et GDPR) et offrir des performances prévisibles.

Ce guide fournit aux professionnels informatiques seniors un plan complet et indépendant des fournisseurs pour la conception, le déploiement et la validation d'un réseau sans fil segmenté. Nous explorons les mécanismes sous-jacents de la couche 2, détaillons le processus de mise en œuvre étape par étape et soulignons comment l'intégration d'une plateforme Guest WiFi gérée comme Purple peut dynamiser à la fois la sécurité et l'analyse des lieux.

Approfondissement technique : Les mécanismes de la segmentation

À la base, la segmentation du réseau WiFi est la pratique consistant à diviser une infrastructure sans fil physique unique en plusieurs domaines de diffusion logiquement isolés. Cette isolation garantit que le trafic d'un segment – tel que le smartphone d'un invité – ne peut pas interagir avec les appareils d'un autre segment, tel qu'un ordinateur portable d'entreprise ou un appareil clinique.

Le rôle des VLAN (IEEE 802.1Q)

Le mécanisme principal de cette séparation logique est le VLAN, défini par la norme IEEE 802.1Q. Un VLAN permet aux administrateurs réseau de partitionner un seul commutateur physique ou point d'accès en plusieurs réseaux distincts. Lorsque les paquets de données traversent le réseau, ils sont marqués d'un ID de VLAN spécifique (allant de 1 à 4094). Cette balise dicte le routage du paquet et garantit qu'il reste confiné à son chemin logique désigné.

Dans un déploiement d'entreprise typique, le trafic est catégorisé en VLAN spécifiques. Par exemple :

  • VLAN 10 : Guest WiFi
  • VLAN 20 : Entreprise/Personnel
  • VLAN 30 : IoT et Gestion des bâtiments
  • VLAN 40 : Terminaux de point de vente (POS)

vlan_architecture_overview.png

Mappage des SSID aux VLAN

Alors que les VLAN gèrent le backhaul filaire et le routage logique, le SSID (Service Set Identifier) est la face sans fil du réseau. Les points d'accès d'entreprise modernes peuvent diffuser plusieurs SSID simultanément. L'étape cruciale de la segmentation consiste à mapper chaque SSID à son VLAN correspondant.

Lorsqu'un utilisateur se connecte au "Guest_WiFi" SSID, le point d'accès marque automatiquement tout le trafic de cet appareil avec l'ID de VLAN attribué au réseau invité (par exemple, VLAN 10). Ce trafic est ensuite acheminé vers le commutateur central et le pare-feu, où des listes de contrôle d'accès (ACL) strictes dictent son flux – généralement en n'autorisant que l'accès sortant à Internet et en bloquant tout routage interne.

ssid_segmentation_comparison.png

Facteurs de sécurité et de conformité

Le principal moteur de la segmentation du réseau est l'atténuation des risques. Dans un réseau plat, un appareil IoT compromis ou un acteur malveillant sur le réseau invité peut facilement sonder les systèmes internes, se déplaçant latéralement pour accéder à des données sensibles. La segmentation arrête ce mouvement latéral.

De plus, les cadres de conformité exigent l'isolation :

  • PCI DSS : Exige une isolation stricte de l'environnement de données des titulaires de carte (CDE) de tout autre trafic réseau.
  • GDPR : Impose la protection des données dès la conception ; l'isolation du trafic invité garantit que les utilisateurs publics ne peuvent pas accéder aux systèmes hébergeant des informations personnellement identifiables (PII).
  • Normes de santé : Comme détaillé dans notre guide WiFi in Hospitals: A Guide to Secure Clinical Networks , les appareils cliniques doivent être strictement séparés des réseaux des patients et des visiteurs.

Guide de mise en œuvre : Une approche par phases

Le déploiement d'une architecture sans fil segmentée nécessite une planification rigoureuse. Suivez cette approche par phases pour garantir un déploiement sécurisé et performant.

Phase 1 : Classification et audit du trafic

Avant de configurer les ports de commutateur, effectuez un audit complet de tous les types d'appareils fonctionnant sur le site. Classez ces appareils en groupes logiques : invités, personnel d'entreprise, cadres, capteurs IoT, systèmes POS et gestion des bâtiments. Chaque catégorie représente une classe de trafic distincte qui nécessite son propre VLAN et sa propre politique de sécurité.

Phase 2 : Conception des VLAN et des sous-réseaux

Attribuez un ID de VLAN unique et un sous-réseau IP dédié à chaque classe de trafic. Il est crucial de s'assurer que le VLAN invité fonctionne sur un sous-réseau complètement séparé de votre espace d'adressage interne RFC 1918.

Au niveau du pare-feu, implémentez une politique de refus par défaut pour le routage inter-VLAN. Le VLAN invité doit avoir une règle explicite autorisant le trafic sortant vers Internet (ports 80 et 443) et des règles explicites refusant l'accès à tous les sous-réseaux internes.

Phase 3 : Configuration du SSID et isolation des clients

Configurez les SSID requis sur votre contrôleur de réseau local sans fil ou votre plateforme de gestion cloud.

  1. Limiter le nombre de SSID : Ne diffusez pas plus de trois ou quatre SSID par bande radio. Un nombre excessif de SSID génère une surcharge importante de trames de gestion (balises), ce qui dégrade le temps d'antenne global et le débit. Pour plus d'informations sur l'optimisation des performances des AP, consultez Votre guide pour un point d'accès sans fil Ruckus .
  2. Activer l'isolation des clients : Sur le guest SSID, il est impératif d'activer l'isolation des clients (parfois appelée isolation AP ou blocage pair-à-pair). Cela empêche les appareils connectés au même réseau invité de communiquer entre eux, protégeant ainsi les invités des attaques pair-à-pair.

Phase 4 : Authentification et contrôle d'accès

Adaptez la méthode d'authentification au segment :

  • Entreprise/Personnel : Implémentez WPA3-Enterprise en utilisant l'authentification IEEE 802.1X contre un serveur RADIUS (par exemple, Active Directory). Cela fournit une authentification par utilisateur et une attribution dynamique de VLAN. Pour les appareils personnels, consultez notre guide Sécurité WiFi BYOD : Comment autoriser en toute sécurité les appareils personnels sur votre réseau .
  • Guest WiFi : Utilisez un SSID ouvert associé à un captive portal. C'est là que la plateforme Purple excelle, offrant une authentification transparente, une capture de données conforme au GDPR et de riches WiFi Analytics .
  • IoT : Utilisez WPA3-SAE (ou WPA2-PSK avec une phrase secrète forte et renouvelée) combiné avec le filtrage d'adresses MAC et des ACL de pare-feu strictes, car la plupart des appareils IoT ne prennent pas en charge 802.1X.

Phase 5 : Gestion de la bande passante

Pour éviter qu'un seul utilisateur ou un petit groupe d'utilisateurs ne sature la liaison montante Internet du site, implémentez une limitation de débit par client sur le guest VLAN. Plafonner la bande passante invité (par exemple, à 5-10 Mbps par appareil) assure une expérience de base cohérente pour tous les utilisateurs tout en préservant la capacité pour le trafic opérationnel critique.

Bonnes pratiques pour les sites d'entreprise

  1. Adopter une posture de refus par défaut : Le pare-feu est le fondement d'une segmentation sécurisée. Si un flux de trafic n'est pas explicitement requis pour les opérations commerciales, il doit être refusé.
  2. Sécuriser l'infrastructure filaire : La segmentation sans fil est facilement contournée si le réseau filaire sous-jacent est plat. Assurez-vous que tous les ports de commutation physiques dans les zones publiques (par exemple, chambres d'hôtel, centres de conférence) sont attribués au guest VLAN ou sont protégés par l'authentification 802.1X basée sur les ports.
  3. Tirer parti de Purple pour l'identité des invités : Lors du déploiement du segment invité, intégrez le captive portal de Purple. Sous la licence Connect, Purple agit comme un fournisseur d'identité gratuit pour des services comme OpenRoaming, simplifiant l'intégration sécurisée des invités tout en capturant des données de première partie précieuses.
  4. Auditer régulièrement les ports Trunk : Un mode de défaillance courant est la mauvaise configuration d'un port trunk (qui transporte plusieurs VLAN) en tant que port d'accès. Cela supprime les balises VLAN et regroupe le trafic sur un seul réseau. Des audits de configuration réguliers sont essentiels.

Dépannage et atténuation des risques

Même avec une conception robuste, les déploiements de segmentation peuvent rencontrer des problèmes. Voici les modes de défaillance courants et les stratégies d'atténuation :

Mode de défaillance Symptôme Stratégie d'atténuation
Surcharge du SSID Utilisation élevée du canal, vitesses client lentes, connexions interrompues. Consolidez les SSIDs. Limitez-vous aux SSIDs Invité, Entreprise et IoT. Supprimez les SSIDs hérités ou inutilisés.
Fuite de VLAN Les appareils invités reçoivent des adresses IP de la portée DHCP de l'entreprise. Auditez les configurations des ports de commutation. Assurez-vous que les liaisons montantes des AP sont configurées comme des ports trunk étiquetés, et non comme des ports d'accès non étiquetés.
Échec du Captive Portal Les invités se connectent au WiFi mais le portal ne se charge pas. Vérifiez les ACL du pare-feu. Assurez-vous que le guest VLAN peut atteindre les serveurs DNS externes et les adresses IP du captive portal Purple.
Problèmes de connectivité IoT Les appareils sans interface échouent à se connecter au réseau. Vérifiez la compatibilité d'authentification. Si l'appareil ne prend pas en charge 802.1X, assurez-vous qu'il se connecte au SSID IoT WPA2/3-PSK.

ROI et impact commercial

La mise en œuvre d'une architecture WiFi segmentée offre des retours mesurables en matière de sécurité, de conformité et d'opérations marketing.

Du point de vue de la sécurité, le ROI se mesure en termes d'évitement des risques. En éliminant les mouvements latéraux, les sites réduisent drastiquement les dommages financiers et de réputation potentiels d'une violation de données. De plus, la segmentation simplifie les audits de conformité pour PCI DSS et GDPR, réduisant la charge opérationnelle requise pour maintenir la certification.

Commercialement, la segmentation permet le déploiement d'un réseau invité dédié et performant. En acheminant ce trafic via la plateforme Purple, les sites transforment un centre de coûts en un actif générateur de revenus. Le réseau invité isolé capture des données démographiques et comportementales riches, stimulant les campagnes marketing personnalisées, augmentant la fréquentation et dynamisant la fidélité des clients, tout en maintenant le réseau d'entreprise hermétiquement scellé.

Écoutez le briefing

Pour une exploration plus approfondie des stratégies de déploiement abordées dans ce guide, écoutez notre podcast de briefing technique de 10 minutes.

Termes clés et définitions

VLAN (Virtual Local Area Network)

A logical grouping of network devices that behave as if they are on the same physical network, regardless of their actual physical location.

Used by IT teams to isolate different types of traffic (e.g., guest vs. corporate) on the same physical switches and cabling.

SSID (Service Set Identifier)

The public name of a wireless network that users see on their devices when searching for WiFi.

Enterprise APs broadcast multiple SSIDs, mapping each one to a specific VLAN to enforce segmentation at the wireless edge.

Client Isolation

A wireless controller setting that prevents devices connected to the same SSID from communicating directly with each other.

Crucial for Guest WiFi networks to prevent a malicious user's device from attacking another guest's device on the same network.

Lateral Movement

The technique used by cyber attackers to move through a network, searching for sensitive data or high-value assets after gaining initial access.

Network segmentation is the primary defence against lateral movement, stopping a breach in the guest network from reaching the corporate servers.

Trunk Port

A switch port configured to carry traffic for multiple VLANs simultaneously by using 802.1Q tags.

The connection between a network switch and an enterprise access point must be a trunk port to support multiple SSIDs mapped to different VLANs.

802.1X

An IEEE standard for port-based network access control that provides an authentication mechanism to devices wishing to attach to a LAN or WLAN.

The gold standard for corporate network authentication, ensuring only authorised staff with valid credentials can access the internal VLAN.

Captive Portal

A web page that the user of a public-access network is obliged to view and interact with before access is granted.

Used on the Guest VLAN to capture user consent, present terms of service, and collect marketing data via platforms like Purple.

PCI DSS

Payment Card Industry Data Security Standard; a set of security standards designed to ensure that all companies that accept, process, store or transmit credit card information maintain a secure environment.

Requires strict network segmentation to isolate point-of-sale terminals from general corporate and guest traffic.

Études de cas

A 300-room hotel currently operates a single flat network for guests, back-office staff, and smart room thermostats. The IT Director needs to secure the network to achieve PCI DSS compliance for the front desk while ensuring guests cannot access the thermostats.

The IT team must implement a segmented architecture using three distinct VLANs. VLAN 10 (Guest) is mapped to the 'Hotel_Guest' SSID with client isolation enabled and a captive portal for authentication. VLAN 20 (Corporate/POS) is mapped to a hidden SSID using WPA3-Enterprise (802.1X) for staff and POS terminals. VLAN 30 (IoT) is mapped to a hidden 'Hotel_IoT' SSID using WPA3-SAE for the thermostats. The core firewall is configured to block all routing between VLAN 10, 20, and 30, with VLAN 10 only permitted outbound internet access.

Notes de mise en œuvre : This approach successfully isolates the CDE (Cardholder Data Environment) on VLAN 20, satisfying PCI DSS requirements. By placing the thermostats on VLAN 30 and blocking inter-VLAN routing, guests on VLAN 10 are physically unable to reach the IoT devices, mitigating the risk of lateral movement or tampering.

A large retail chain is deploying Purple Guest WiFi across 50 stores. They want to capture customer data via a captive portal but are concerned that guests might consume all available bandwidth, disrupting the store's inventory scanners.

The network architect deploys two VLANs: VLAN 50 for the inventory scanners (mapped to a WPA3-Enterprise SSID) and VLAN 60 for Guest WiFi (mapped to an open SSID with the Purple captive portal). On the wireless LAN controller, the architect configures a per-client rate limit of 5 Mbps downstream and 2 Mbps upstream specifically for the Guest SSID. Furthermore, QoS (Quality of Service) tags are applied at the switch level to prioritize traffic from VLAN 50 over VLAN 60.

Notes de mise en œuvre : This solution addresses both security and performance. The VLAN segmentation ensures the inventory scanners are secure from public access. The per-client rate limiting prevents any single guest from monopolizing the internet uplink, while the QoS tagging ensures that critical operational traffic always takes precedence over guest browsing.

Analyse de scénario

Q1. A stadium IT team wants to deploy a new fleet of wireless digital signage screens. They currently have a Guest SSID (VLAN 10) and a Staff SSID (VLAN 20). The signage vendor requests the screens be put on the Guest network so they can easily pull updates from the internet. What is the correct architectural decision?

💡 Astuce :Consider the security implications of placing unmanaged devices on a public network, and the impact of client isolation.

Afficher l'approche recommandée

Do not place the screens on the Guest VLAN. Create a new, dedicated IoT/Signage VLAN (e.g., VLAN 30) and map it to a hidden SSID. The Guest network has client isolation enabled, which might interfere with local management of the screens. More importantly, placing corporate assets on a public network exposes them to tampering from guests. The new VLAN 30 should have firewall rules allowing outbound internet access for updates, but blocking inbound traffic from the Guest network.

Q2. After deploying a new segmented network, the network administrator notices that devices connected to the 'Corp_Secure' SSID are receiving IP addresses in the 192.168.10.x range, which is the subnet designated for the Guest VLAN. What is the most likely configuration error?

💡 Astuce :Think about how VLAN tags are processed between the access point and the switch.

Afficher l'approche recommandée

The switch port connecting to the access point is likely misconfigured as an 'Access' port on VLAN 10, rather than a 'Trunk' port. Because it is not operating as a trunk, it is stripping the 802.1Q VLAN tags from the AP's traffic and dumping all traffic (from both the Guest and Corp SSIDs) onto the native VLAN configured on that port (in this case, the Guest VLAN).

Q3. A retail client wants to broadcast 8 different SSIDs to cater to various internal departments (Sales, Management, Warehouse, etc.) in addition to Guest WiFi. How should the Senior Solutions Architect advise them?

💡 Astuce :Consider the impact of management frame overhead on wireless performance.

Afficher l'approche recommandée

The architect should advise against this. Broadcasting 8 SSIDs will consume a massive amount of airtime just for beacon frames, severely degrading actual data throughput for all users. The solution is to consolidate the internal departments onto a single 'Corporate' SSID using WPA3-Enterprise (802.1X). The RADIUS server can then dynamically assign users to different VLANs (Sales VLAN, Warehouse VLAN) based on their Active Directory credentials, keeping the SSID count to a maximum of 3 or 4.

À propos de nous
Carrières
Rapport B Corp
Forfaits
Fonctionnalités WiFi invité
Tarification WiFi invité
Services professionnels
Réserver une démo
Passwordless WiFi
RADIUS-as-a-Service
WPA-Enterprise
Captive Portal Software
Politiques
Mentions légales
Politique de confidentialité
Conditions d'utilisation
Mes données
Politique en matière de cookies
SLA standard
Support et conseils
Calculateur de ROI
Calculateur de prix
Support Purple
Whatsapp
© 2026 Purple. Tous droits réservés.
Gérer les préférences de cookies