Wi-Fi Multi-SSID

Introduction

Le Wi-Fi multi-SSID avec tagging VLAN est une configuration réseau qui permet de diffuser plusieurs SSID (réseaux Wi-Fi distincts) …​

…​

à partir des mêmes points d’accès tout en associant chaque SSID à un VLAN spécifique.

…​

Cela permet de segmenter le trafic et de garantir l’isolation entre différents types d’utilisateurs (par exemple, invités, employés, IoT).

Principe du Wi-Fi Multi-SSID avec VLAN Tagging

SSID (Service Set Identifier) :

Chaque SSID représente un réseau Wi-Fi distinct (par exemple, Guest, Employees).

Les utilisateurs qui se connectent à un SSID rejoignent le VLAN associé.

VLAN Tagging (802.1Q) :

Le point d’accès tague le trafic de chaque SSID avec un identifiant VLAN unique.

…​

Le switch réseau transporte ce trafic tagué jusqu’au routeur ou au pare-feu, qui applique des règles spécifiques (routage, isolation, etc.).

Pré-requis Techniques

Points d’Accès (AP) Compatibles VLAN :

Points d’accès capables de gérer plusieurs SSID et de taguer les VLANs.

Exemples :

Ubiquiti UniFi, Cisco Meraki, Aruba Instant On.

Switch Géré avec Support VLAN (802.1Q) :

Le switch doit transporter les VLANs tagués via des ports trunk.

Routeur ou Pare-feu :

Nécessaire pour le routage inter-VLANs (si besoin) ou l’isolation complète entre VLANs.

DHCP :

Chaque VLAN doit avoir un serveur DHCP pour attribuer des adresses IP aux clients Wi-Fi.

Étapes de Configuration

1. Configurer les VLANs sur le Switch

Définissez les VLANs nécessaires pour chaque SSID.

Exemple sur un switch Cisco :

vlan 10
 name VLAN_EMPLOYEES
vlan 20
 name VLAN_GUEST
vlan 30
 name VLAN_IOT

Configurez les ports trunk pour transporter les VLANs tagués :

interface GigabitEthernet0/1
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30

2. Configurer les SSID et le Tagging VLAN sur les Points d’Accès

Chaque SSID doit être associé à un VLAN spécifique.

Exemple pour un point d’accès Ubiquiti UniFi :

  • Accédez à l’interface de gestion UniFi.

Allez dans Wi-Fi Networks et créez un nouveau SSID :

  • SSID Name : Guest Wi-Fi

  • VLAN ID : 20

Répétez pour les autres SSID :

  • Employees Wi-Fi → VLAN ID 10 IoT Wi-Fi → VLAN ID 30.

3. Configurer les Ports du Switch Reliant les AP

Configurez le port du switch connecté au point d’accès en mode trunk.

Exemple sur un switch Cisco :

interface GigabitEthernet0/2
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30

4. Configurer le Routage et l’Isolation

Si le trafic doit être isolé (par exemple, les invités ne doivent pas accéder au réseau interne), configurez des règles de pare-feu ou d’ACL.

Exemple d’ACL sur un routeur Cisco pour isoler la VLAN Guest :

access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 100 permit ip 192.168.20.0 0.0.0.255 any

Appliquez l’ACL sur l’interface de la VLAN Guest :

interface Vlan20
 ip access-group 100 in

Exemple d’Architecture Multi-SSID avec VLAN Tagging

[Internet]
     |
[Routeur/Pare-feu] -- (ports trunk) -- [Switch Géré] -- (ports trunk) -- [Points d'Accès]
     |                                  |                              |
VLAN 10 (Employees)        VLAN 20 (Guest)                 VLAN 30 (IoT Devices)

DHCP et Adressage IP

Chaque VLAN doit avoir un pool d’adresses IP distinct via un serveur DHCP.

Exemple de configuration DHCP sur un routeur Cisco :

ip dhcp pool VLAN10_EMPLOYEES
 network 192.168.10.0 255.255.255.0
 default-router 192.168.10.1
 dns-server 8.8.8.8

…​

ip dhcp pool VLAN20_GUEST
 network 192.168.20.0 255.255.255.0
 default-router 192.168.20.1
 dns-server 8.8.8.8

ip dhcp pool VLAN30_IOT
 network 192.168.30.0 255.255.255.0
 default-router 192.168.30.1
 dns-server 8.8.8.8

Sécurité Supplémentaire

Isolation Wi-Fi (Client Isolation) :

Activez l’isolation des clients dans les SSID Guest et IoT pour éviter la communication directe entre appareils.

QoS (Qualité de Service) :

Priorisez le trafic des employés sur le trafic invité pour garantir de meilleures performances.

Monitoring :

Utilisez des outils comme SNMP ou des solutions de monitoring (PRTG, SolarWinds) pour surveiller l’utilisation du réseau.

Avantages du Wi-Fi Multi-SSID avec VLAN Tagging

Segmentation Réseau :

Chaque SSID est isolé dans son propre VLAN, renforçant la sécurité.

Flexibilité :

Permet d’ajouter facilement de nouveaux SSID/VLAN sans modifier l’architecture existante.

Contrôle :

Gestion granulaire du trafic par SSID/VLAN via des ACL ou des règles de pare-feu.

Conclusion

Multi-SSID avec VLAN dédié par usage : Pro (chiffré, 802.1X), Invité (isolé, captif), IoT (segmenté).

Voir aussi : Wi-Fi · VLAN · 802.1X · ACL