Points d'Accès et VLAN

S'applique À : Points d'Accès Gérés par WatchGuard Cloud (AP130, AP230W, AP330, AP332CR, AP430CR, AP432)

Vous pouvez utiliser des VLAN (LANs virtuels) avec vos points d'accès Wi-Fi in WatchGuard Cloud. Si différents points d'accès sont connectés au même réseau physique, vous pouvez utiliser les VLAN pour séparer logiquement le trafic entre les SSID.

Par exemple, vous pouvez créer des VLAN pour séparer le trafic du réseau Wi-Fi approuvé privé et du réseau Wi-Fi invité, ou séparer le trafic en fonction des VLAN existants de votre réseau câblé.

Les VLAN vous permettent de renforcer la sécurité, gérer l'accès et réduire le trafic de diffusion de vos réseaux.

À Propos des VLAN Dynamiques

Avec le microprogramme du point d'accès v2.2 et les versions ultérieures et l'authentification WPA2 ou WPA3 Enterprise, vous pouvez également utiliser les VLAN Dynamiques de manière à attribuer dynamiquement des VLAN à un client sans fil en fonction des informations retournées par un serveur RADIUS concernant l'utilisateur suite à une authentification réussie.

Vous réduisez ainsi la gestion nécessaire pour attribuer les connexions à des VLAN spécifiques, car les VLAN sont automatiquement attribués en fonction de l'appartenance de l'utilisateur ou du groupe à votre serveur RADIUS, par exemple un serveur NPS (Network Policy Server) d'Active Directory.

Pour de plus amples informations, accédez à Configurer les VLAN Dynamiques des Points d'Accès.

À Propos de la Configuration VLAN

Un VLAN peut être marqué ou non marqué. Un VLAN marqué utilise un Identifiant de VLAN spécifique qui est ajouté à un paquet réseau, conformément à la norme IEEE 802.1Q. Cet Identifiant de VLAN permet au trafic d'être correctement géré par les commutateurs réseau ou les autres périphériques réseau dont le marquage VLAN 802.1Q est activé sur leurs ports. Le trafic réseau ne peut être communiqué qu'aux autres ports du commutateur configurés avec cet Identifiant de VLAN.

Un VLAN non marqué signifie que le trafic réseau ne se voit pas attribuer d'Identifiant de VLAN spécifique. Lorsque le trafic non marqué atteint le commutateur réseau ou un autre périphérique de passerelle, le trafic est géré dans le cadre du VLAN par défaut ou natif, tel que le VLAN 0, et peut être communiqué à n'importe quel autre port du périphérique vers d'autres commutateurs ou périphériques réseau.

Si vous activez le marquage VLAN pour les SSID d'un point d'accès WatchGuard ou si vous activez un VLAN de gestion marqué sur un point d'accès, vous devez également activer les VLAN sur le commutateur réseau, le Firebox ou tout autre périphérique de passerelle auquel le point d'accès est connecté.'

Dans la configuration par défaut, lorsque vous ajoutez un point d'accès à WatchGuard Cloud, le point d'accès a besoin d'un VLAN non marqué pour se connecter au réseau et communiquer avec WatchGuard Cloud.

Pour de plus amples informations concernant la configuration du marquage VLAN sur un commutateur réseau, accédez à Configurer les VLAN sur un Commutateur Réseau Géré.
Pour de plus amples informations concernant les VLAN sur un Firebox, accédez à Configurer les VLAN sur un Firebox.
Pour obtenir des informations plus générales sur les VLAN, le Marquage et les Fireboxes WatchGuard, accédez à À propos des Réseaux Locaux Virtuels (VLAN).

Exemple de VLAN de Réseau Sans Fil

Pour séparer le trafic entre vos réseaux Wi-Fi privés et invités, vous pouvez attribuer les identifiants de VLAN suivants au trafic de gestion du point d'accès ainsi qu'à vos SSID sans fil privés et invités :

VLAN de Gestion — Dans la plupart des environnements, le trafic du VLAN de gestion des points d'accès est généralement non marqué de manière à éviter la déconnexion des points d'accès de l'accès de gestion sans fil. Dans la configuration par défaut, lorsque vous ajoutez un point d'accès à WatchGuard Cloud, le point d'accès nécessite une connexion à un réseau VLAN non marqué pour se connecter à Internet et communiquer avec WatchGuard Cloud.

Si vous souhaitez utiliser un VLAN de gestion marqué pour le déploiement de votre point d'accès, assurez-vous que le point d'accès est déjà connecté au réseau et communique avec WatchGuard Cloud sur un VLAN non marqué avant de paramétrer le VLAN de gestion en tant que VLAN marqué.
Dans cet exemple, nous utilisons l'Identifiant de VLAN 10 pour les communications de gestion avec le point d'accès.

Réseau Wi-Fi Privé (Identifiant de VLAN 20) — VLAN marqué du SSID privé assurant les connexions sans fil à votre réseau approuvé.

Réseau Wi-Fi Invité (Identifiant de VLAN 30) — VLAN marqué du SSID invité assurant l'accès invité sans fil à Internet.

Configurer un VLAN de Gestion sur un Point d'Accès

Avant de configurer un VLAN marqué assurant les communications de gestion vers un point d'accès, assurez-vous que le point d'accès peut initialement se connecter au réseau et à Internet à partir d'un réseau VLAN non marqué.

Dans sa configuration par défaut, le point d'accès nécessite une connexion à un réseau VLAN non marqué pour se connecter à WatchGuard Cloud et obtenir une configuration.

Pour configurer un VLAN marqué pour les communications de gestion vers un point d'accès, à partir de WatchGuard Cloud :

Connectez le point d'accès à un réseau avec un VLAN non marqué possédant un accès au réseau et à Internet.
Le point d'accès peut ainsi conserver une connexion au réseau après avoir reçu la configuration de WatchGuard Cloud.
Sélectionnez Configurer > Périphériques.
Sélectionnez un point d'accès géré sur le cloud.
Sélectionnez Configuration du Périphérique.
Dans la mosaïque Paramètres, sélectionnez Paramètres du Périphérique.

Screen shot of the management VLAN configuration in the device settings for an access point in WatchGuard Cloud

Cochez la case à cocher Activer le VLAN de Gestion.
Sélectionnez un Identifiant de VLAN compris entre 1 et 4 094.
Dans cet exemple, nous utilisons le VLAN 10.
Cliquez sur Enregistrer.
Déployez la configuration sur le point d'accès.

Si votre réseau VLAN de gestion non marqué n'a pas accès à Internet, vous devez configurer manuellement les paramètres VLAN du point d'accès du VLAN de gestion à partir de la CLI (Interface en Ligne de Commande) du point d'accès. Lorsque vous enregistrez la configuration sur le point d'accès à partir de la CLI et que le périphérique est configuré sur le VLAN correct, le périphérique peut alors se connecter à WatchGuard Cloud et recevoir la configuration cloud. Pour de plus amples informations, accédez à Interface en Ligne de Commande du Point d'Accès.

Mettez à jour vos périphériques réseau tels que votre commutateur réseau, votre Firebox ou d'autres périphériques réseau, de manière à utiliser le même Identifiant de VLAN marqué.

Configurer des VLAN sur un SSID

Pour configurer un VLAN marqué sur un SSID de réseau sans fil, à partir de WatchGuard Cloud :

Sélectionnez Configurer > Périphériques.
Sélectionnez un point d'accès géré sur le cloud.
Sélectionnez Configuration du Périphérique.
Dans la mosaïque Réseaux Wi-Fi, sélectionnez SSID.
Sélectionnez un SSID existant pour votre réseau Wi-Fi privé ou créez un nouveau SSID.
Dans la section Réseau de la configuration sans fil, cochez la case à cocher Activer le VLAN.
Sélectionnez un Identifiant de VLAN compris entre 1 et 4 094.
Dans cet exemple, nous utilisons le VLAN 20 pour le réseau Wi-Fi privé.

Screen shot of the VLAN configuration on an SSID in WatchGuard Cloud

Cliquez sur Enregistrer.
Répétez ces étapes pour définir l'identifiant de VLAN de votre réseau Wi-Fi invité sur 30.

Screen shot of the VLAN configuration on an SSID in WatchGuard Cloud

Déployez la configuration sur le point d'accès.
Mettez à jour vos périphériques réseau, tels que votre commutateur réseau, votre Firebox ou d'autres périphériques réseau, afin d'utiliser les mêmes Identifiants de VLAN marqués.

Configurer les VLAN sur un Firebox

Si vous connectez votre point d'accès à une interface Firebox, vous devez configurer les VLAN sur les interfaces Firebox de manière à activer le marquage VLAN de vos SSID.

Sur l'interface Firebox à laquelle vous connectez votre point d'accès, paramétrez le Type d'Interface sur VLAN. Configurez ensuite les VLAN à utiliser pour le point d'accès.

Pour de plus amples informations concernant la création d'un VLAN sur un Firebox, accédez à Configurer les VLAN d'un Firebox.

Configurez les VLAN sur le Firebox que chaque SSID utilise pour envoyer le trafic marqué sur l'interface VLAN.
Si la connexion de gestion de votre point d'accès est configurée en tant que VLAN non marqué (aucun Identifiant de VLAN de Gestion configuré), configurez sur le Firebox un VLAN que la connexion de gestion du point d'accès utilise pour envoyer le trafic non marqué à l'interface VLAN.
Si vous activez un VLAN de gestion marqué pour votre point d'accès, configurez sur le Firebox un VLAN que la connexion de gestion du point d'accès utilise pour envoyer le trafic marqué à l'interface VLAN.
Activez le serveur DHCP ou le relais DHCP pour chaque VLAN.
Le point d'accès obtient une adresse IP auprès du serveur DHCP sur le VLAN utilisé pour les communications de gestion.
Les clients sans fil qui se connectent à un SSID obtiennent une adresse IP du serveur DHCP sur le VLAN de ce SSID.

Configurer les VLAN sur un Commutateur Réseau Géré

Si vous activez le marquage VLAN et que vous souhaitez connecter votre point d'accès à un commutateur géré, vous devez également configurer les VLAN sur le commutateur. Le commutateur doit prendre en charge le marquage VLAN 802.1Q.

Sur le commutateur, vous devez :

Ajouter des VLAN portant les mêmes identifiants que les VLAN configurés sur le point d'accès et les SSID.
Configurer les interfaces du commutateur connectées au point d'accès de manière à envoyer et recevoir le trafic marqué des VLAN attribués à chaque SSID.
Si vous activez un VLAN de gestion marqué pour votre point d'accès, configurez les interfaces du commutateur connectées au point d'accès de manière à envoyer et recevoir le trafic marqué pour la gestion du point d'accès.

Consultez la documentation de votre commutateur réseau afin d'apprendre à activer et configurer les VLAN sur votre commutateur.

Si vous avez activé le marquage VLAN sur les SSID de votre point d'accès, ne connectez pas votre point d'accès à un commutateur ne prenant pas en charge le marquage VLAN 802.1Q.

Rubriques Connexes

Configurer les Paramètres SSID d'un Point d'Accès

Configurer les Paramètres du Périphérique d'un Point d'Accès

© 2025 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.