Installer un réseau d'entreprise Omada : retour d'expérience
Retour d'expérience sur la mise en place d'un réseau Omada avec VLAN, LAG, Wi-Fi, ACL et séparation des usages dans un environnement résidentiel et professionnel.
Segmenter un réseau par usages, isoler les invités, préparer la vidéosurveillance et garder une administration centralisée : ce sont des besoins qu’on retrouve autant en PME qu’en installation résidentielle avancée. Ce retour d’expérience décrit la mise en place d’un réseau Omada TP-Link dans une maison qui sert aussi de bureau professionnel — avec des contraintes proches d’une petite infrastructure d’entreprise.
Partir des usages, pas du matériel
Le projet a démarré pendant la construction, en parallèle des autres lots techniques (électricité, chauffage, ventilation). La première étape a consisté à inventorier les besoins pièce par pièce :
- Nombre de prises RJ45 par zone
- Usages attendus : poste de travail, jeu en ligne, télévision, audio, domotique, caméra, invité
- Équipements à privilégier en filaire plutôt qu’en Wi-Fi
- Zones nécessitant une couverture radio forte, intérieur comme extérieur
- Emplacements des points d’accès (mur ou plafond)
- Marge pour les évolutions futures
Le bureau a été traité comme une zone prioritaire : travail sur l’IA, transferts volumineux, stabilité réseau et isolation des équipements d’administration. La vidéosurveillance a été anticipée dès le câblage, même si les caméras et le NVR n’étaient pas encore installés.
Cette phase évite l’erreur classique : déployer du Wi-Fi partout et découvrir ensuite que les usages fixes (postes, TV, caméras) manquent de stabilité.
Pourquoi Omada
Omada n’a pas été retenu par défaut, mais comme compromis entre pilotage centralisé, coût, disponibilité du matériel et complexité maîtrisable.
Le besoin concret : un routeur, deux switches administrables, plusieurs points d’accès, du PoE, des VLAN, des ACL, un LAG entre switches et une supervision unique — le tout exploitable au quotidien sans empiler plusieurs outils.
Les solutions à licences cloud récurrentes ont été écartées pour des raisons de coût et de proportion. Les approches plus flexibles mais plus longues à mettre en œuvre n’étaient pas adaptées à ce chantier. Omada couvre l’ensemble du périmètre dans une seule console, ce qui convient bien à une installation hybride résidence / bureau.
Le matériel retenu
| Équipement | Rôle |
|---|---|
| Freebox Pro | Accès internet opérateur |
| ER8411 | Routeur principal Omada |
| SG3428XMPP | Switch cœur, ports PoE haute puissance |
| SG3452P | Switch de densité |
| OC300 | Contrôleur matériel Omada |
| EAP772 / TL-EAP772-OUT | Points d’accès intérieur et extérieur |
| Câblage Cat6A | Liaisons fixes vers pièces, AP, caméras |
| Modules TL-SM5310-T | SFP+ 10G vers RJ45 |
| NVR et caméras IP | Prévus sur un réseau Surveillance dédié |
| Sonos Pro | Prévus sur un réseau IoT-Audio alimenté en PoE |
Point d’attention : les modules SFP+ 10G TL-SM5310-T ne sont pas compatibles avec les ports SFP 1G du SG3452P. Pour les liens inter-switches, les liaisons RJ45 Cat6A ont été privilégiées.
Le local technique comme point de convergence
Tout le câblage converge vers un local technique : arrivée internet, routeur, switches, contrôleur et équipements critiques (onduleur). Ce choix simplifie la maintenance, le brassage des ports et les évolutions futures.
Le dispatch a été pensé pour ne pas dépendre du Wi-Fi sur les usages fixes. Chaque point d’accès dispose de sa propre arrivée réseau ; les emplacements caméra ont été prévus à l’avance.
Schéma physique
| Liaison | Départ | Arrivée | Rôle |
|---|---|---|---|
| Internet | Freebox Pro 10G | ER8411 SFP+ WAN1 | Accès opérateur |
| Cœur réseau | ER8411 SFP+ WAN/LAN2 | SW-CORE port 25 | Uplink routeur → switch cœur |
| LAG câble 1 | SW-CORE port 23 | SW-DENSITY port 47 | Agrégation inter-switches |
| LAG câble 2 | SW-CORE port 24 | SW-DENSITY port 48 | Agrégation inter-switches |
| Contrôleur | OC300 | SW-DENSITY port 46 | Administration Omada |
| Vidéosurveillance | NVR | SW-DENSITY port 45 | Réseau Surveillance |
Le double lien SW-CORE ↔ SW-DENSITY forme un LAG 2 Gbps pour absorber le trafic cumulé entre bureau, chambres, Wi-Fi, audio, caméras et flux inter-zones.
Plan VLAN
La première décision structurante : sortir du VLAN 1 par défaut. Dans Omada, le réseau « Default » existe toujours, mais il peut être réaffecté.
| Réseau | VLAN | Usage |
|---|---|---|
| Management | 10 | Routeur, switches, OC300, points d’accès |
| Data | 20 | Postes utilisateurs, usages bureau |
| Surveillance | 30 | Caméras et NVR |
| IoT-Audio | 40 | Sonos, audio connecté, objets spécialisés |
| Guest | 60 | Invités |
Chaque VLAN dispose de son propre sous-réseau privé (/24). Le plan Management a été choisi après vérification des plages déjà utilisées par la box opérateur, pour éviter tout conflit d’adressage.
Adressage Management
Tous les équipements réseau partagent le même sous-réseau Management, avec des adresses statiques réservées pour le routeur, le contrôleur, les switches et les points d’accès.
La migration du VLAN Management a été l’étape la plus sensible : contrôleur, switches et points d’accès devaient se retrouver sur le même sous-réseau avant de poursuivre la configuration.
Option DHCP 138
Avec un contrôleur matériel OC300, l’option DHCP 138 indique aux équipements où trouver le contrôleur. Elle pointe vers l’adresse IP du contrôleur sur le VLAN Management et a été appliquée sur les différents réseaux pour garantir la réadoption après redémarrage.
LAG entre switches
Deux câbles RJ45 en agrégation LACP :
| Câble | SW-CORE | SW-DENSITY |
|---|---|---|
| Câble 1 | Port 23 | Port 47 |
| Câble 2 | Port 24 | Port 48 |
Configuration finale :
- SW-DENSITY : LAG1 en Active LACP, ports 47 et 48
- SW-CORE : LAG1 en Passive LACP, ports 23 et 24
- Native Network : Management(10)
- Network Tags Setting : Allow All
Piège rencontré : activer LACP d’un seul côté a provoqué une perte temporaire de liaison. La configuration a été finalisée avec SW-DENSITY en Active et SW-CORE en Passive.
Ports structurants
| Switch | Port | Nom | Configuration |
|---|---|---|---|
| SW-CORE | 23-24 | LAG-SW-DENSITY | Trunk, LACP, Management natif |
| SW-CORE | 25 | ER8411-Uplink | Trunk, Management natif |
| SW-DENSITY | 45 | NVR-Surveillance | Access, Surveillance(30) |
| SW-DENSITY | 46 | OC300 | Access, Management(10) |
| SW-DENSITY | 47-48 | LAG-SW-CORE | Trunk, LACP, Management natif |
Stratégie PoE
Le SG3428XMPP offre deux profils de puissance : ports 1-8 jusqu’à 90 W, ports 9-24 jusqu’à 30 W.
Répartition sur SW-CORE :
| Ports | Usage | VLAN | PoE |
|---|---|---|---|
| 1-5 | Points d’accès Omada | Management(10) | Activé |
| 6-11 | Sonos / audio IoT | IoT-Audio(40) | Activé |
| 12-15 | Caméras extérieures | Surveillance(30) | Activé |
| 16-22 | Réserve | — | Désactivé |
| 23-24 | LAG vers SW-DENSITY | Trunk | — |
Sur SW-DENSITY, le PoE a été désactivé partout où il n’était pas nécessaire. Sur les ports LAG, l’interface Omada peut afficher du PoE disponible sans qu’une alimentation soit réellement fournie : le 802.3af/at ne délivre du courant que si l’équipement connecté présente une signature PoE.
Réseaux Wi-Fi
Trois SSID, chacun rattaché à un VLAN :
| SSID | Usage | VLAN |
|---|---|---|
| Réseau principal | Usages quotidiens | Data(20) |
| Invités | Visiteurs | Guest(60) |
| IoT | Audio et objets connectés | IoT-Audio(40) |
Le 6 GHz est réservé au réseau principal. Pour les invités et l’IoT, le 2,4 GHz et le 5 GHz suffisent. Le MLO (multi-link operation) a été désactivé : avec plusieurs points d’accès, le roaming entre bornes prime sur le gain MLO sur un seul AP.
Le filtrage MAC n’a pas été retenu : peu de sécurité réelle, contournable, et incompatible avec les adresses MAC aléatoires des appareils modernes.
Règles ACL
Trois règles de refus, sans règle permissive générale :
- Bloquer Guest vers les réseaux internes
- Bloquer Data, IoT-Audio et Surveillance vers Management
- Bloquer Surveillance vers les autres réseaux internes
Cela traduit la segmentation réseau attendue : les invités accèdent à internet uniquement, les clients ne peuvent pas administrer les équipements réseau, et les caméras restent confinées.
Pièges rencontrés
- Modules SFP+ 10G incompatibles avec les ports SFP 1G du SG3452P
- LACP activé d’un seul côté : coupure de liaison
- Changement de VLAN Management sans contrôler l’IP du contrôleur : équipements isolés
- Conflit de sous-réseau avec la box opérateur
- Réseau Default Omada réaffecté pour éviter le VLAN 1
Ces incidents ont conduit à recréer un site Omada propre, avec le VLAN Management stabilisé avant de reprendre LAG, ports d’accès, SSID et ACL.
Ordre de configuration recommandé
- Créer le site Omada
- Définir le plan VLAN et réaffecter Default hors VLAN 1
- Configurer Management et l’option DHCP 138
- Adopter les équipements
- Vérifier que tous les devices sont en IP Management
- Configurer trunks et LAG
- Configurer les ports d’accès
- Créer les SSID
- Ajouter les ACL
- Désactiver le PoE inutile
En résumé
Cette installation montre qu’une segmentation de type entreprise — management isolé, usages séparés, ACL, LAG 2 Gbps, SSID par VLAN — est réalisable sur une infrastructure Omada sans devenir un projet d’opérateur.
Les leçons transférables à une PME : partir des usages réels, anticiper le câblage, sortir du VLAN 1, stabiliser le management avant le reste, et documenter la topologie (un point souvent absent dans les audits SI). Le résultat est une base solide, prête à accueillir de nouveaux points d’accès, caméras et équipements connectés.