Hardware

  • Routeur Mikrotik 4G
  • 1 controlleur omada
  • 5 bornes wifi (2ext) omada
  • 3 switchs tp-link
  • 3 bornes dect multicell slave + 1 master
  • 3 téléphones renforcés W59R yealink

    • Schema logique

    SSID (Service Set Identifier)

    Les SSID sont les noms des réseaux Wi-Fi disponibles chez le client. Ils sont utilisés pour identifier et différencier les différents réseaux. Les SSID comprennent "Restaurant", "QUANTIC TELECOM - Wi-Fi Gratuit", "Restaurant - Admin", et "Restaurant - Ateliers". Les restaurateurs, le personnel et les visiteurs peuvent se connecter aux SSID appropriés en fonction de leurs besoins. Les SSID "Restaurant" et "QUANTIC TELECOM - Wi-Fi Gratuit" conduisent vers le même VLAN. le SSID "Restaurant - Admin" conduit vers son propre VLAN. Le SSID "Restaurant - Ateliers" utilise le PPSK comme mode d'authentification. On en parlera plus tard.

    VLANs (Virtual Local Area Networks)

    Un VLAN, ou Virtual Local Area Network (Réseau Local Virtuel en français), est une technologie de segmentation et d'isolation des réseaux informatiques à l'intérieur d'un réseau physique. Elle permet de créer des groupes logiques de dispositifs, qu'ils soient des ordinateurs, des serveurs, des imprimantes ou d'autres appareils réseau, même s'ils ne sont pas physiquement connectés au même commutateur ou routeur. Cette segmentation offre plusieurs avantages en termes de gestion, de performance et de sécurité.

    Un VLAN sépare le réseau en différents domaines virtuels, chacun fonctionnant comme s'il était sur son propre réseau physique distinct. Cela signifie que les dispositifs d'un même VLAN peuvent communiquer directement entre eux, mais pas avec les dispositifs situés dans d'autres VLANs, à moins que des règles spécifiques ne soient configurées pour le permettre.

    Les VLANs sont utilisés pour créer des segments logiques isolés à l'intérieur de l'Entrepôt. Chaque atelier (ou restaurateur) dispose de son propre VLAN, avec un plan d'adressage propre. Les VLANs permettent d'isoler le trafic entre les différents restaurateurs, évitant ainsi les conflits. Le Baccetto dispose aussi d'un VLAN dédié.

    Prises Réseau Filaires et Switchs

    Les ports ethernet des switchs sont configurés de manière à attribuer aux prises réseau filaires dans les ateliers un VLAN spécifique. Cette configuration garantit que les appareils connectés aux prises réseau (imprimantes, caisses...) sont intégrés dans le VLAN correspondant à chaque restaurateur. Les switchs gèrent la distribution du trafic, veillant à ce qu'il soit dirigé vers les VLANs appropriés.

    Téléphonie

    La téléphonie VoIP est intégrée au réseau via des bornes Multicell Yealink W80DM. Les téléphones sont connectés au VLAN dédiés à la téléphonie pour éviter la saturation du réseau en répartissant la charge du traffic. cela impacte la qualité du roaming.

    Authentification et Sécurité

    Le PPSK, ou Pre-Shared Key (Clé Pré-partagée en français), est une méthode d'authentification et de sécurité utilisée dans les réseaux sans fil pour contrôler l'accès aux utilisateurs autorisés. Cette approche est couramment utilisée pour sécuriser les réseaux Wi-Fi en attribuant des clés uniques à chaque utilisateur ou groupe d'utilisateurs, ce qui garantit que seules les personnes autorisées peuvent se connecter au réseau. Lorsque le PPSK est mis en place, chaque groupe d'utilisatueur (ici le restaurateur de son atelier) doit utiliser sa propre clé d'accès pré-partagée. Cette clé est un mot de passe (au même titre qu'une clé WPA2/3 par exemple) pour se connecter au réseau Wi-Fi. Chaque clé est liée à un utilisateur spécifique ou à un groupe d'utilisateurs ayant des privilèges similaires, ou bien dans notre cas à un VLAN. Lorsqu'un utilisateur souhaite se connecter au réseau Wi-Fi, il entre la clé PPSK fournie sur son appareil. Si la clé est correcte et correspond à celle enregistrée dans le système, l'appareil est authentifié et obtient l'accès au réseau. Dans notre cas, chaque clé PPSK sert à diriger le traffic vers un VLAN spécifique à cette clef. Il y a 2 avnatages principaux à utiliser cette méthode : cela évite d'avoir 1 SSID par Atelier, et cela garantit que seules les personnes autorisées ont accès à leurs réseaux respectifs.

    Switchs et Prises en Distribution

    Les switchs et les prises en distribution, comme SW0, SW1 et SW2, acheminent le trafic entre les différents VLANs et segments du réseau. Ils assurent également la connectivité avec des équipements tels que les bornes Wi-Fi, les systèmes téléphoniques et les prises réseau filaires.

    PPPoE

    Le PPPoE, ou Point-to-Point Protocol over Ethernet (Protocole Point-à-Point sur Ethernet en français), est une technologie de mise en réseau utilisée pour établir des connexions Internet à haut débit via des réseaux Ethernet, notamment dans les environnements DSL (Digital Subscriber Line) ou xDSL mais aussi FFTO (Fiber To The Office). Le PPPoE encapsule les paquets PPP dans des trames Ethernet, ce qui permet aux fournisseurs d'accès Internet (FAI) de gérer et de fournir des connexions haut débit à leurs abonnés. Le PPPoE fonctionne en encapsulant les paquets PPP dans des trames Ethernet. Cela signifie que les données PPP, qui sont généralement utilisées pour établir des connexions point-à-point, sont encapsulées dans des paquets Ethernet pour être transmises via des réseaux Ethernet plus larges, tels que les réseaux DSL. Cette encapsulation permet aux fournisseurs d'accès Internet de gérer efficacement les connexions des abonnés tout en bénéficiant de la large adoption de la technologie Ethernet. Le choix du PPPoE pour notre solution de backup 4G chez le client vise à minimiser les interruptions de connectivité entre la connexion principale et la solution de secours. En utilisant un script exécuté toutes les 30 secondes sur le routeur, nous vérifions en permanence l'état de la liaison WAN. Si la liaison WAN est défaillante, l'interface LTE (déclarée comme WAN sur le routeur) prend automatiquement le relai. Cette configuration permet de réduire les coupures à un maximum de 30 secondes entre la fin de l'exécution du script, la coupure et la prise en charge par la solution de secours (4G). Ainsi, nous assurons une transition fluide et rapide en cas de défaillance de la connexion principale.

    Script backup 4G 
     
:if ([/interface pppoe-client get pppoe-out1-wan]=true) do={
    /interface lte disable lte1
} else={
    /interface lte enable lte1
}

    Mise en place technique

    Nous avons débuté par la création des Virtual Local Area Networks (VLANs) adaptés à chaque groupe d'utilisateurs sur notre contrôleur TP-Link Omada. Pour chaque VLAN, nous avons généré des clés PPSK uniques, garantissant un niveau de sécurité individuel pour chaque utilisateur ou groupe d'utilisateurs.

    Une fois les VLANs et les clés PPSK en place, nous avons procédé à l'attribution de ces VLANs aux ports appropriés de notre réseau de commutation. Cela a permis de segmenter le trafic de manière efficace, isolant chaque groupe d'utilisateurs dans son propre espace virtuel, tout en facilitant le contrôle des flux de données.

    Parallèlement, nous avons créé les VLANs correspondants sur notre routeur pour maintenir la cohérence de la segmentation à tous les niveaux du réseau.

    La création de serveurs DHCP dédiés pour chaque VLAN sur le routeur a permis de garantir des adresses IP appropriées à chaque groupe, contribuant à une gestion de réseau plus ordonnée et évite de tout conflit d'adresses.