Difficulté : Intermédiaire

Guide OMNITRADE

Guide pratique : configurer un réseau local performant pour une PME

Votre réseau local ralentit vos équipes ? Suivez ce guide pour configurer un réseau gigabit sécurisé et segmenté en 45 minutes. Vous obtiendrez des débits stables à 950 Mbit/s, une séparation réseau efficace et une priorisation automatique du trafic voix.

Le pas-à-pas : configurer un réseau local performant

Ce qu’il vous faut :

Switch managé 24 ports Gigabit (Ubiquiti UniFi Switch Pro 24 PoE ou équivalent)
Routeur pfSense 2.7.0 ou routeur managé
Câbles Ethernet Cat6a minimum
Ordinateur avec client SSH (Putty 0.8x ou Terminal Linux)
Temps estimé : 45 minutes

Avant de commencer Débranchez temporairement tous les équipements du switch sauf votre poste de configuration. Une mauvaise configuration VLAN peut isoler vos machines du réseau. Notez l’adresse IP actuelle de votre switch (usine : 192.168.1.20) et assurez-vous d’avoir un accès physique pour la réinitialisation matérielle si nécessaire.

Connectez-vous en SSH au switch et activez le mode configuration

Ouvrez Putty ou votre terminal. Connectez-vous par SSH à l’adresse IP du switch avec les identifiants administrateur.

# Windows (Putty)
putty.exe -ssh admin@192.168.1.20

# Linux/macOS
ssh admin@192.168.1.20

# Mot de passe par défaut : ubnt (à changer immédiatement)

Résultat attendu : « [nom-switch] > » ou « admin@switch:~$ ». Si vous voyez « Connection timed out », vérifiez votre IP réseau (doit être 192.168.1.x/24).

Créez les VLANs pour segmenter votre réseau

Créez 4 VLANs essentiels : management (10), employés (20), invités (30) et serveurs (40). Les IDs sont arbitraires mais doivent être cohérents.

configure
vlan 10
name Management
exit
vlan 20
name Employees
exit
vlan 30
name Guests
exit
vlan 40
name Servers
exit

Résultat attendu : Après « show vlan », vous devez voir « VLAN 10 Management active ». Si vous voyez « Invalid input », vous n’êtes pas en mode configuration (manque « configure »).

Configurez les ports en mode access pour les postes employés

Assignez les ports 1-16 au VLAN employés (20) en mode access. Ces ports accepteront uniquement le trafic non étiqueté qu’ils placeront dans VLAN 20.

interface 0/1-0/16
switchport mode access
switchport access vlan 20
exit

Résultat attendu : « show interfaces switchport 0/1 » affiche « Operational Mode: access » et « Access Mode VLAN: 20 ». Si « show vlan » ne liste pas les ports, la commande a échoué.

Configurez le port trunk vers votre routeur

Le port 24 doit transporter tous les VLANs vers le routeur. Configurez-le en mode trunk avec les VLANs autorisés.

interface 0/24
switchport mode trunk
switchport trunk allowed vlan 10,20,30,40
exit

Résultat attendu : « show interfaces switchport 0/24 » affiche « Operational Mode: trunk » et « Trunking VLANs Enabled: 10,20,30,40 ». Si vous perdez la connexion, vous avez inclus le VLAN management (10) : reconnectez-vous sur un port access temporaire.

Activez le DHCP Snooping pour sécuriser le réseau

Protegez-vous contre les serveurs DHCP pirates. Activez le DHCP Snooping sur les VLANs employés et invités.

ip dhcp snooping
ip dhcp snooping vlan 20,30
interface 0/24
ip dhcp snooping trust
exit

Résultat attendu : « show ip dhcp snooping » affiche « DHCP snooping is enabled » et le port 24 comme « trusted ». Si « show ip dhcp snooping binding » reste vide après reconnexion d’un poste, vérifiez que le port trunk est bien « trust ».

Configurez la QoS pour prioriser la voix IP

Donnez la priorité maximale au trafic VoIP (DSCP 46). Configurez une file prioritaire sur les ports employés.

class-map match-any VOICE
match dscp 46
exit
policy-map QOS-PME
class VOICE
priority percent 30
exit
exit
interface 0/1-0/16
service-policy input QOS-PME
exit

Résultat attendu : « show policy-map interface 0/1 » affiche « Class VOICE » avec « 30% priority ». Si vous voyez « Policy-map not attached », réappliquez la policy-map sur l’interface.

Configurez l'agrégation de liens (LAG) pour les serveurs

Groupez les ports 22-23 en LAG pour doubler le débit vers votre serveur NAS/sauvegarde.

interface 0/22
channel-group 1 mode active
exit
interface 0/23
channel-group 1 mode active
exit
interface port-channel 1
switchport mode trunk
switchport trunk allowed vlan 40
exit

Résultat attendu : « show interfaces port-channel 1 » affiche « Status: up » et « Members: 0/22-23 ». Si « Status: down », vérifiez les câbles et la configuration du serveur (doit supporter LACP).

Sauvegardez la configuration et redémarrez

Enregistrez la configuration dans la mémoire flash et redémarrez pour vérifier la persistance.

write memory
reload

Résultat attendu : Après le reboot, « show running-config » affiche toutes vos configurations. Si le switch redémarre avec la config d’usine, la sauvegarde a échoué : vérifiez l’espace disque avec « show flash ».

Astuce OMNITRADE Pour mesurer le débit réel, installez iperf3 sur deux postes. Sur le serveur : « iperf3 -s ». Sur le client : « iperf3 -c [IP serveur] -t 30 ». Vous devez obtenir > 900 Mbit/s sur ports Gigabit. En dessous de 800 Mbit/s, vérifiez vos câbles Cat6a et la configuration des ports.

Checklist Réseau PME 2024

Le PDF complet avec : diagramme de cablage, commandes de vérification, template de documentation des ports, et script de sauvegarde automatique. 12 pages imprimables.

Recevoir le dossier complet gratuitement

Pour comprendre le pourquoi et les cas avancés, poursuivez ci-dessous.

Comprendre en profondeur

Pourquoi ça fonctionne : la technique expliquée

La segmentation VLAN crée des réseaux logiques indépendants sur un même équipement physique. Chaque VLAN possède sa propre table MAC et son domaine de broadcast. Lorsqu’un paquet arrive sur un port access VLAN 20, le switch ajoute un tag 802.1Q avec l’ID 20, sauf sur le port access où il reste untagged. Le port trunk conserve les tags pour permettre au routeur de router entre VLANs avec des règles de firewall distinctes.

Le fonctionnement précis du tagging 802.1Q repose sur l’insertion d’un champ de 4 octets entre l’en-tête source MAC et le champ EtherType du paquet Ethernet. Ce tag contient l’ID VLAN (12 bits, soit 4094 VLANs possibles), un champ de priorité CoS (Class of Service, 3 bits) et un indicateur CFI (Canonical Format Identifier, 1 bit). Sur un port trunk, tous les paquets sont taggués, sauf pour le VLAN natif (par défaut VLAN 1) qui transite untagged. Cette particularité peut constituer un vecteur d’attaque si vous ne changez pas le VLAN natif sur vos trunks inter-switchs.

En pratique, configurez vos ports access avec des commandes explicites. Sur un EdgeSwitch Ubiquiti, la séquence complète est : set interfaces ethernet ethX switchport mode access puis set interfaces ethernet ethX switchport access vlan Y. Pour un trunk vers votre routeur pfsense/OPNsense, utilisez : set interfaces ethernet eth24 switchport mode trunk et set interfaces ethernet eth24 switchport trunk allowed-vlan 10,20,30. N’oubliez jamais d’exclure le VLAN 1 non utilisé avec set interfaces ethernet eth24 switchport trunk native-vlan 999 (VLAN fantôme).

set interfaces ethernet ethX switchport mode access

set interfaces ethernet ethX switchport access vlan Y

set interfaces ethernet eth24 switchport mode trunk

set interfaces ethernet eth24 switchport trunk allowed-vlan 10,20,30

set interfaces ethernet eth24 switchport trunk native-vlan 999

Erreur fréquente : fuite inter-VLANSi vos clients obtiennent des adresses IP du mauvais VLAN, vérifiez d’abord que le port access est correctement assigné avec show interfaces ethernet ethX switchport. Le plus souvent, le VLAN n’a pas été créé sur le switch avec set vlans vlan-id X. Sans cette déclaration préalable, le switch rejette silencieusement les paquets taggués.

Le DHCP Snooping fonctionne comme un pare-feu DHCP. Il interroge les paquets DHCP DISCOVER et OFFER. Seuls les ports déclarés « trusted » (ici le port 24 vers le routeur) peuvent émettre des OFFER. Les autres ports sont « untrusted ». Si une machine malveillante tente de diffuser un serveur DHCP, le switch bloque le paquet et logue l’incident. Cela protège contre les attaques d’empoisonnement DHCP qui redirigent le trafic vers des passerelles malveillantes.

La table de liaison DHCP (binding table) constitue le cœur de cette protection. Elle stocke les associations MAC-IP autorisées avec un TTL (Time To Live) correspondant au bail DHCP. Sur un EdgeSwitch, activez-la avec set service dhcp-snooping puis déclarez le VLAN concerné : set service dhcp-snooping vlan 10,20,30. Le port trust se configure via set interfaces ethernet eth24 dhcp-snooping trust. La table se consulte en temps réel avec show dhcp-snooping binding. Vous y verrez chaque entrée avec le VLAN, l’adresse MAC, l’IP assignée, le type de bail et l’interface.

set service dhcp-snooping

set service dhcp-snooping vlan 10,20,30

set interfaces ethernet eth24 dhcp-snooping trust

show dhcp-snooping binding

Pour les environnements sensibles, activez l’option 82 (Agent Information). Elle ajoute dans le paquet DHCP l’ID du switch et du port d’origine, permettant au serveur DHCP de prendre des décisions basées sur la localisation physique du client. Cette option est indispensable si vous utilisez des politiques d’adressage dynamique par zone géographique. La commande est set service dhcp-snooping information option.

set service dhcp-snooping information option

Astuce de dépannage DHCP SnoopingSi des clients légitimes ne reçoivent plus d’IP après activation, vérifiez deux points : 1) Le port vers votre serveur DHCP (ou routeur) est-il bien en « trust » ? 2) La table de liaison n’est-elle pas saturée ? La capacité maximale est de 8192 entrées sur la plupart des EdgeSwitch. Purgez les anciennes entrées avec clear dhcp-snooping binding.

La QoS (Quality of Service) utilise les champs DSCP (Differentiated Services Code Point) dans l’en-tête IP. Le marquage DSCP 46 correspond à EF (Expedited Forwarding), norme pour la voix IP. Le switch place ces paquets dans une file strict-priority qui se vide avant toutes les autres. Le « percent 30 » garantit que même en saturation, la voix utilisera 30% de la bande passante. En pratique, un appel G.711 utilise 87 kbit/s, donc 30% sur 1 Gbit/s = 300 Mbit/s suffisent pour 3400 appels simultanés.

Le mécanisme interne des files de priorité est plus complexe. Un switch gère généralement 8 files de sortie par port (queues 0-7). La file 7 est réservée au trafic de contrôle (STP, LLDP). La file 6 accueille le trafic EF (DSCP 46). Les files 0-5 utilisent un algorithme WRR (Weighted Round Robin) ou WDRR (Weighted Deficit Round Robin) pour le trafic best-effort. La configuration « percent 30 » signifie qu’en cas de congestion, la file EF peut consommer jusqu’à 30% de la bande passante, mais elle peut aussi utiliser 100% si les autres files sont vides.

Pour les applications vidéo (visioconférence), ajoutez un deuxième marquage DSCP 34 (AF41). Configurez une file avec un minimum bandwidth guarantee de 20% : set class-of-service traffic-classifier 2 match ip dscp 34 puis set class-of-service traffic-policy 2 shaper min-bandwidth 20. Cela garantit la fluidité des flux vidéo sans bloquer les autres applications.

set class-of-service traffic-classifier 2 match ip dscp 34

set class-of-service traffic-policy 2 shaper min-bandwidth 20

Le monitoring de la QoS se fait via show interfaces ethernet ethX queue. Vous observez les compteurs de paquets par file, les taux de drop en cas de saturation et les statistiques WRED (Weighted Random Early Detection) si activé. Pour un déploiement critique, activez le sFlow sur le port avec set service sflow interface ethX et analysez les flux avec un collecteur type ntopng ou PRTG.

show interfaces ethernet ethX queue

set service sflow interface ethX

Configurer la QoS pour la voix IP

Créez une ACL pour identifier le trafic : set firewall group port-group VOIP-PORTS port 5060,16384-32767

Marquer les paquets

Appliquez le marquage sur le port d’entrée : set interfaces ethernet ethX firewall in name MARK-VOIP avec une règle qui set-dscp 46

Appliquer la politique de sortie

Sur le port de sortie (vers le routeur), activez la file prioritaire : set interfaces ethernet ethY traffic-policy out VOIP-PRIORITY

L’agrégation de liens (LAG) utilise le protocole LACP (Link Aggregation Control Protocol). Les paquets sont répartis selon un algorithme de hachage (source MAC, destination MAC, ou IP). Cela ne double pas la bande passante pour un flux unique, mais permet 2 flux à 1 Gbit/s simultanés. Pour un serveur NAS avec 20 postes clients, cela évite la saturation du lien montant. Le hash doit être identique des deux côtés : configurez votre serveur Linux avec « mode=4 » (802.3ad) et les mêmes options LACP.

L’algorithme de hachage détermine la répartition des flux. Par défaut, les EdgeSwitch utilisent src-dst-mac. Pour un serveur NAS, cela signifie que tous les flux depuis un même client vers le NAS empruntent le même lien du LAG. Si un client fait un transfert massif, il saturera un lien à 1 Gbit/s tandis que le second lien restera inutilisé. Pour optimiser, changez le hash en src-dst-ip : set interfaces ethernet ethX ethX bond hash-policy layer3+4. Cela répartit les flux au niveau IP, permettant à un même client d’utiliser les deux liens pour des connexions TCP multiples.

set interfaces ethernet ethX ethX bond hash-policy layer3+4

Le timer LACP est crucial. La valeur par défaut de 30 secondes (slow) peut causer des timeouts lors de la perte d’un lien. Pour une convergence plus rapide, passez en fast (1 seconde) : set interfaces ethernet ethX bond lacp-rate fast. Cela nécessite une configuration identique côté serveur. Sous Linux, modifiez /etc/network/interfaces avec lacp_rate fast dans la définition du bond.

set interfaces ethernet ethX bond lacp-rate fast

La capacité du LAG n’est pas théoriquement limitée à 2 liens. Vous pouvez agréger jusqu’à 8 liens sur la plupart des EdgeSwitch, mais attention à la consommation CPU. Chaque paquet supplémentaire nécessite un calcul de hash. Au-delà de 4 liens, le gain marginal devient négligeable pour une PME. De plus, la répartition n’est jamais parfaite : avec 4 liens, vous observerez généralement une répartition 30%/25%/25%/20% selon la distribution de vos flux.

Piège de configuration LACPNe jamais configurer un LAG sur les deux côtés simultanément sans préparer la console série. Si le LACP ne négocie pas correctement (mode actif/passif incompatible, clé de port différente), vous risquez une boucle de broadcast. Activez d’abord le mode passif sur le switch (set interfaces ethernet ethX bond mode passive), configurez le serveur en mode actif, puis basculez le switch en actif une fois la connexion établie.

La mémoire du switch stocke la configuration dans deux fichiers : running-config (RAM) et startup-config (Flash). La commande « write memory » copie RAM vers Flash. Sans cela, le reboot recharge la startup-config ancienne. Le firmware EdgeSwitch utilise un système de commits : certaines versions nécessitent « commit » avant « write ». Vérifiez toujours avec « show running-config » avant de quitter la session.

Le mécanisme de commit est une sécurité contre les erreurs humaines. Lorsque vous tapez une commande, elle s’applique immédiatement à la running-config (effet immédiat sur le trafic), mais n’est pas persistante. La commande commit valide les changements dans une zone de staging. write memory ou save transfère vers la startup-config. Certaines versions EdgeOS proposent un rollback automatique : si vous perdez la connexion après un commit, le switch revient à la configuration précédente au bout de 10 minutes. Activez cette fonction avec set system commit rollback-on-failure.

set system commit rollback-on-failure

Pour les sauvegardes automatisées, configurez un serveur TFTP ou SCP : set system task-scheduler task backup-config crontab-spec "0 2 * * *" puis set system task-scheduler task backup-config executable path /config/scripts/backup.sh. Le script peut contenir : cli-command "show configuration" | save /tmp/config.cfg && scp /tmp/config.cfg admin@backup-server:/switches/$(hostname)-$(date +%Y%m%d).cfg. Cela garantit une sauvegarde quotidienne de vos configurations.

set system task-scheduler task backup-config crontab-spec "0 2 * * *"

set system task-scheduler task backup-config executable path /config/scripts/backup.sh

cli-command "show configuration" | save /tmp/config.cfg && scp /tmp/config.cfg admin@backup-server:/switches/$(hostname)-$(date +%Y%m%d).cfg

La gestion des versions de firmware est critique. Avant toute mise à jour, sauvegardez la configuration et la licence : show system license et show version. Le firmware EdgeSwitch stocke deux images (image1 et image2). Vous pouvez flasher la nouvelle version sur l’image inactive et démarrer dessus sans risque : add system image http://server/firmware.bin image2 puis set system boot image image2. Si le démarrage échoue, un redémarrage physique revient automatiquement sur l’image1 stable.

add system image http://server/firmware.bin image2

set system boot image image2

Cas avancés et optimisation poussée

Pour les PME de 50+ postes, activez Spanning Tree Protocol (STP) en mode RSTP pour éviter les boucles. Configurez spanning-tree mode rapid-pvst et définissez le switch principal avec spanning-tree priority 0. Les switches secondaires auront priority 4096. Cela garantit une convergence en 6 secondes au lieu de 50 secondes en STP classique. Pour les postes critiques (caisse, direction), activez PortFast : spanning-tree portfast sur ces ports access. Cela bypass les états listening et learning et passe directement à forwarding.

spanning-tree mode rapid-pvst

spanning-tree priority 0

spanning-tree portfast

La convergence RSTP repose sur les messages BPDU (Bridge Protocol Data Unit) version 2. Le switch racine émet un BPDU toutes les 2 secondes (hello-time). Les switches désignés le retransmettent sur leurs ports root. Lors d’un changement de topologie, un switch edge envoie un BPDU Topology Change Notification qui se propage jusqu’à la racine en 3 sauts maximum. La racine diffuse alors un BPDU avec le flag TC (Topology Change) pendant forward-delay + max-age secondes, forçant tous les switches à vider leur table MAC en 15 secondes.

forward-delay + max-age

Pour les postes critiques, PortFast est indispensable mais dangereux si mal configuré. Il doit être réservé aux ports access uniquement. Activez-le avec BPDU Guard pour sécuriser : spanning-tree portfast bpduguard enable. Si un BPDU est reçu sur un port PortFast, celui-ci passe immédiatement en err-disabled, coupant la boucle. Sur un EdgeSwitch, la commande complète est : set interfaces ethernet ethX spanning-tree portfast enable et set interfaces ethernet ethX spanning-tree bpduguard enable.

spanning-tree portfast bpduguard enable

set interfaces ethernet ethX spanning-tree portfast enable

set interfaces ethernet ethX spanning-tree bpduguard enable

Pour les liens inter-switchs, activez Root Guard sur les ports désignés : spanning-tree guard root. Cela empêche un switch non-autorisé de devenir racine. Si un BPDU supérieur est reçu, le port passe en root-inconsistent (blocking). C’est essentiel si vous connectez des switchs d’autres départements ou bâtiments.

spanning-tree guard root

Le monitoring SNMP vous permet de superviser l’état STP. Configurez un community string sécurisé : set service snmp community PMEMONITOR authorization read-only puis interrogez l’OID 1.3.6.1.2.1.17.2.15 (dot1dStpRootCost) pour connaître le coût jusqu’à la racine. Un coût élevé (>100) indique un chemin non optimal. L’OID 1.3.6.1.2.1.17.2.16 donne l’adresse MAC de la racine actuelle.

set service snmp community PMEMONITOR authorization read-only

Optimisation pour les hyperviseursSi vous connectez un serveur ESXi ou Proxmox avec plusieurs NICs en mode « route based on IP hash », désactivez PortFast sur ces ports et configurez-les comme des liens point-to-point RSTP : set interfaces ethernet ethX spanning-tree link-type point-to-point. Cela accélère la détection de panne du lien physique.

Pour la sécurité renforcée, activez Dynamic ARP Inspection (DAI) conjointement au DHCP Snooping. DAI valide les paquets ARP contre la table de liaison DHCP. Si une machine tente une attaque ARP spoofing avec une IP non assignée via DHCP, le switch bloque le paquet. La configuration est simple : set service dhcp-snooping puis set service dynamic-arp-inspection vlan 10,20,30. Les ports trust DHCP sont automatiquement trust ARP.

set service dhcp-snooping

set service dynamic-arp-inspection vlan 10,20,30

IP Source Guard va plus loin en filtrant tout paquet dont l’IP source ne correspond pas à la liaison DHCP. Cela empêche les attaques d’usurpation d’IP statique. Activez-le avec set service ip-source-guard vlan 10,20,30. Attention, cela bloque les machines avec IP statiques (serveurs, imprimantes). Pour ces exceptions, créez des adresses IP statiques dans la table DHCP Snooping : set service dhcp-snooping static-binding mac 00:11:22:33:44:55 ip 192.168.10.50 vlan 10 interface eth15.

set service ip-source-guard vlan 10,20,30

set service dhcp-snooping static-binding mac 00:11:22:33:44:55 ip 192.168.10.50 vlan 10 interface eth15

Le buffer tuning est souvent négligé mais critique pour les performances. Les switchs ont des buffers partagés par groupe de ports. Sur un EdgeSwitch 24-port, les ports 1-6 partagent un buffer, 7-12 un autre, etc. Si un port reçoit un burst de paquets, il peut vider le buffer de son groupe, causant des drops sur d’autres ports. Pour les ports connectés à des serveurs NAS ou des hyperviseurs, augmentez la taille de buffer avec set interfaces ethernet ethX qos queue-profile Q0 buffer-size 4096. La valeur par défaut est 1024 paquets. Un buffer de 4096 supporte un burst de 500 Mbit/s pendant 50 ms sans drop.

set interfaces ethernet ethX qos queue-profile Q0 buffer-size 4096

Enfin, pour les PME avec des sites distants, considérez le VRRP (Virtual Router Redundancy Protocol) sur vos routeurs. Si le routeur principal tombe, un routeur secondaire prend l’adresse IP virtuelle en moins de 3 secondes. Configurez sur le routeur principal : vrrp 10 priority 200 et sur le secondaire vrrp 10 priority 100. Le switch doit avoir une route statique par défaut vers l’IP virtuelle : set protocols static route 0.0.0.0/0 next-hop 192.168.10.254.

set protocols static route 0.0.0.0/0 next-hop 192.168.10.254

Comment migrer un réseau plat vers des VLANs sans coupure ?

Planifiez une fenêtre de maintenance. 1) Configurez les VLANs sur le switch et le routeur sans activer les ports. 2) Créez des interfaces VLAN sur le routeur avec des IPs temporaires. 3) Déplacez un poste test sur le nouveau VLAN et vérifiez la connectivité. 4) Utilisez un script pour changer les VLANs par lots de 5 ports toutes les 10 minutes. 5) Gardez une console série ouverte pour revenir en arrière si nécessaire.

Quelle est la différence entre LACP actif et passif ?

LACP actif envoie des LACPDU (Link Aggregation Control Protocol Data Units) toutes les secondes pour négocier le LAG. LACP passif écoute uniquement et ne négocie que si reçoit des LACPDU. Si les deux côtés sont passifs, le LAG ne se forme pas. Si les deux sont actifs, ça fonctionne. La meilleure pratique : switch en actif, serveur en passif pour centraliser le contrôle.

Pourquoi ma QoS ne semble pas fonctionner malgré la configuration ?

Vérifiez trois points : 1) Le marquage DSCP est-il préservé end-to-end ? Certains OS (Windows) réinitialisent DSCP à 0 par défaut. Utilisez un ACL sur le switch pour forcer le remarking. 2) La congestion se produit-elle vraiment ? La QoS n’a d’effet que si le port est saturé. 3) Les files sont-elles activées en sortie ? show interfaces ethernet ethX queue doit montrer des paquets dans la file prioritaire.

Puis-je connecter un switch non-VLAN aware sur un port trunk ?

Oui, mais uniquement pour un VLAN. Configurez le port trunk avec un VLAN natif unique : set interfaces ethernet ethX switchport trunk native-vlan 20 et set interfaces ethernet ethX switchport trunk allowed-vlan 20. Le switch distant recevra des paquets untagged. C’est utile pour connecter des équipements anciens ou des points d’accès Wi-Fi basiques.

Comment monitorer la santé du réseau en temps réel ?

Déployez trois outils : 1) SNMP avec LibreNMS ou Observium pour les graphiques de ports et erreurs. 2) sFlow vers ntopng pour l’analyse des flux et détection d’anomalies. 3) Syslog centralisé (Graylog) pour les logs d’événements switch. Configurez sur le switch : set system syslog host 192.168.10.100 facility all level info.

Le verdict OMNITRADE

La configuration d’un réseau local performant pour une PME nécessite une approche méthodique : segmentation VLAN rigoureuse, protection DHCP Snooping, QoS adaptée à vos applications, et agrégation de liens pour les points de congestion. Pour une PME de 20 à 100 postes, un switch managé de niveau entreprise comme l’Ubiquiti EdgeSwitch 24 ou 48 ports offre le meilleur rapport performance/prix. Budgétisez environ 500-800€ par switch et 2-3 jours de configuration et test. La sécurité et la stabilité de votre réseau en dépendent. Pour les équipements et configurations recommandés, consultez notre guide d’achat détaillé.

📊