Segmenter un réseau invité : séparer l'accès Internet du réseau interne

Un réseau invité ne doit pas être une simple clé WiFi partagée avec les visiteurs. Dès qu'une entreprise accueille des clients, partenaires, candidats, prestataires, résidents, étudiants ou événements, le réseau invité doit être séparé du réseau interne par une vraie segmentation : SSID dédié, VLAN, règles firewall, isolation client, DNS contrôlé et supervision.

L'objectif est simple : donner de l'accès Internet sans exposer les postes, serveurs, imprimantes, caméras, téléphones, équipements de salle, systèmes de paiement ou outils métier.

Ce qu'il faut retenir

  • Un réseau invité doit être séparé du réseau interne, idéalement via un VLAN dédié, un SSID spécifique et des règles firewall explicites.
  • La règle de base est de bloquer les flux invités vers les réseaux internes, puis d'autoriser seulement ce qui est nécessaire : Internet, DNS, DHCP et services décidés.
  • L'isolation client limite les échanges entre appareils invités, utile dans les hôtels, commerces, lieux partagés, événements et salles d'attente.
  • Le portail captif n'est pas une mesure de sécurité suffisante à lui seul : il doit s'appuyer sur une architecture réseau correcte.
  • La documentation et la supervision sont essentielles pour éviter qu'un changement de switch, borne ou firewall reconnecte les invités au mauvais réseau.

En bref

Pour segmenter un réseau invité, créez un SSID invité, associez-le à un VLAN dédié, attribuez-lui une plage IP séparée, bloquez l'accès aux réseaux internes par firewall, activez l'isolation client si le contexte s'y prête, puis supervisez les clients, les logs et les règles. Le réseau invité doit pouvoir sortir vers Internet sans voir le réseau de production.

Le bon design dépend du site : bureau, hôtel, restaurant, commerce, coworking, école, événement ou immeuble multi-occupants n'ont pas les mêmes contraintes de durée, débit, responsabilité, portail et support.

ÉlémentRôlePoint de vigilance
SSID invitéRéseau WiFi visible par les visiteurs.Éviter de réutiliser le SSID interne ou le même mot de passe.
VLAN invitéSéparation logique sur switches, bornes et firewall.Vérifier les trunks, ports access, VLAN natif et tags 802.1Q.
DHCP et DNSAdresse les clients et résout les noms.Ne pas exposer par défaut les DNS ou serveurs internes.
FirewallBloque les flux vers le LAN et autorise Internet.Écrire des règles lisibles et testées, pas seulement implicites.
Isolation clientEmpêche les invités de communiquer entre eux.À valider si des usages locaux doivent fonctionner.
Portail captifPrésente des conditions, une marque ou un accès contrôlé.Ne remplace pas VLAN, firewall et supervision.
Architecture type d'un réseau invité segmenté

1. Commencer par les usages invités

Avant de créer un VLAN, il faut définir qui utilisera le réseau invité et pour quoi faire. Un réseau pour quelques visiteurs en bureau n'a pas les mêmes règles qu'un WiFi hôtelier, un restaurant, une école, une salle d'attente, un showroom ou un événement avec des centaines d'utilisateurs.

Les questions importantes sont concrètes : durée d'accès, débit attendu, filtrage, portail captif, traçabilité, support, accès aux imprimantes, Chromecast ou AirPlay, équipements IoT, paiement, sécurité et horaires d'ouverture.

  • Identifier les profils : visiteurs ponctuels, clients, résidents, prestataires, candidats, étudiants ou participants événementiels.
  • Décider si les invités doivent seulement accéder à Internet ou aussi à un service local précis.
  • Évaluer le volume : quelques connexions par jour, salles de réunion, lieu public ou événement dense.
  • Préciser les contraintes : portail captif, filtrage DNS, limites de débit, horaires, logs, support et conformité.

2. Créer un VLAN invité propre

Le VLAN invité sépare le trafic des visiteurs du reste du réseau. Les bornes WiFi doivent taguer le SSID invité vers ce VLAN, les switches doivent transporter ce VLAN correctement, et le firewall ou routeur doit contrôler ce qui sort et ce qui est bloqué.

Une erreur fréquente consiste à créer un SSID invité côté WiFi sans vérifier la chaîne complète : port de borne, trunk, VLAN natif, DHCP, passerelle, routes et règles firewall. Le résultat peut être un réseau invité qui fuit vers le LAN, ou au contraire un réseau qui ne fonctionne qu'à moitié.

3. Bloquer le LAN par défaut

La règle utile est simple : les invités ne doivent pas pouvoir joindre les plages internes. On bloque donc les sous-réseaux utilisateurs, serveurs, imprimantes, caméras, téléphonie, contrôle d'accès, administration et management. Ensuite seulement, on autorise les flux nécessaires.

Les règles doivent être explicites et documentées. Une exception temporaire pour une imprimante, un écran de salle ou un outil événementiel doit avoir une raison, une portée et une date de revue.

FluxDécision habituellePourquoi
Invité vers InternetAutoriserC'est le besoin principal du réseau invité.
Invité vers LAN utilisateursBloquerÉvite l'accès aux postes internes et partages.
Invité vers serveurs et NASBloquerProtège les données et services métier.
Invité vers imprimantesBloquer ou exception cibléeL'impression invité doit être volontairement conçue.
Invité vers caméras, contrôle d'accès, IoTBloquerCes équipements doivent rester sur des réseaux métier séparés.
Invité vers management réseauBloquer strictementLes interfaces de bornes, switches et firewalls ne doivent jamais être exposées aux invités.
Règles firewall fréquentes pour un réseau invité

4. Activer l'isolation client quand c'est pertinent

L'isolation client empêche les appareils invités de communiquer directement entre eux sur le même réseau. C'est utile dans les hôtels, commerces, lieux partagés, espaces publics et événements, car un visiteur n'a généralement aucune raison de voir les appareils des autres visiteurs.

Il faut toutefois tester les exceptions. Certains usages comme le partage d'écran local, l'impression ou certains équipements de salle peuvent nécessiter une approche différente, avec un réseau dédié ou une exception contrôlée plutôt qu'une ouverture générale.

5. Le portail captif ne suffit pas

Un portail captif peut afficher des conditions d'utilisation, une page de marque, une authentification simple ou une limitation de durée. Mais il ne remplace pas la segmentation. Une page d'accueil ne protège pas le réseau interne si le VLAN, les routes et les règles firewall sont mal conçus.

Le portail doit donc être vu comme une couche d'expérience et de contrôle d'accès, pas comme le cœur de la sécurité.

6. Superviser, documenter et tester

La segmentation doit rester vraie dans le temps. Un changement de switch, une borne remplacée, un trunk mal configuré ou une règle firewall ajoutée en urgence peuvent casser l'isolation. Il faut donc documenter les VLAN, SSID, ports, plages IP, règles firewall, portail et procédures d'incident.

Un test simple doit être répété après modification : depuis le réseau invité, vérifier l'accès Internet, puis vérifier que les sous-réseaux internes, interfaces de management, imprimantes et équipements sensibles ne répondent pas.

ContrôleRésultat attendu
Connexion au SSID invitéLe client reçoit une IP du VLAN invité.
Accès InternetNavigation, DNS et usages autorisés fonctionnent.
Accès aux sous-réseaux internesLes réseaux utilisateurs, serveurs, caméras, téléphonie et management sont bloqués.
Communication entre invitésBloquée si l'isolation client est attendue.
Logs et supervisionLes connexions, alertes et incidents sont visibles par l'équipe support.
DocumentationVLAN, SSID, règles, plages IP, équipements et exceptions sont décrits.
Checklist de validation

Exemples selon le contexte

Dans un bureau, le réseau invité peut servir aux visiteurs, candidats et partenaires de passage. Dans un hôtel ou un restaurant, il devient un service client et doit être plus robuste, avec isolation, débit, support et parfois portail. Dans un coworking ou un lieu partagé, il faut souvent séparer les visiteurs, les résidents, l'exploitation du site et les équipements techniques.

Dans tous les cas, le principe reste le même : ne jamais traiter les invités comme des utilisateurs internes.

Pages utiles pour approfondir

Pour cadrer l'architecture, consultez nos pages réseau d'entreprise, WiFi professionnel, sécurité réseau, Cisco Meraki, Ubiquiti UniFi et le guide Meraki ou UniFi.

Questions fréquentes

Un réseau invité doit-il toujours avoir son propre VLAN ?

Oui, dans une architecture professionnelle c'est la méthode la plus lisible. Le VLAN invité sépare les flux des visiteurs et permet au firewall d'appliquer des règles différentes du réseau interne.

Un mot de passe WiFi invité suffit-il à sécuriser le réseau ?

Non. Le mot de passe contrôle l'accès au SSID, mais il ne garantit pas la séparation avec les postes, serveurs, imprimantes ou équipements internes. La segmentation et les règles firewall restent nécessaires.

Faut-il un portail captif pour les invités ?

Pas toujours. Il peut être utile pour un hôtel, un commerce, un événement ou un lieu recevant du public. Dans un bureau, un SSID invité correctement segmenté peut suffire selon le contexte.

Les invités peuvent-ils accéder à une imprimante ?

C'est possible, mais il faut le concevoir comme une exception ciblée. Ouvrir tout le réseau interne pour une imprimante est une mauvaise pratique.

Comment vérifier que la segmentation fonctionne ?

Connectez un appareil au réseau invité, vérifiez qu'il reçoit une IP du bon VLAN, qu'Internet fonctionne, puis testez que les sous-réseaux internes et interfaces de management ne sont pas joignables.

Sources

4 références

Séparer vos invités du réseau interne

Nous pouvons auditer vos SSID, VLAN, règles firewall et équipements pour construire un réseau invité propre, documenté et supervisé.

Auditer votre réseau invité

Articles liés

Quelques notes du blog autour du même sujet.

Tous les articles