Routeur 4G pour entreprise: l'accès de secours
Guide d'ingénierie pour déployer la 4G en back-up: architecture de bascule, réglages radio et réseau, voix, dimensionnement data, sécurité et supervision.
Routeur 4G pour entreprise: l’accès de secours
Quand un lien principal tombe, un site ne doit pas devenir aveugle. La 4G permet de reprendre la main sans attendre un rétablissement fibre, à condition de l’intégrer proprement dans l’architecture existante. En avant-vente, notre objectif est de s’insérer proprement dans l’existant: une bascule maîtrisée, un retour automatique et une expérience acceptable pendant l’incident. La 4G n’est pas un raccourci, c’est un filet de sécurité efficace dès lors que l’architecture, les réglages radio et la supervision sont traités avec sérieux.
Pour la vue offres et performances, consultez le réseau 4G pro. Ici, on traite le comment et le pourquoi techniques.
Quand la 4G a vraiment du sens
La 4G tient sa promesse lorsque la priorité est la continuité d’activité à court terme. C’est typiquement le cas lors d’une rupture fortuite, d’un déménagement, d’un chantier ou d’une coupure programmée. Sur un site critique ou très bavard en bande passante, on ne la substitue pas à une fibre dédiée FTTO. On la positionne en secours, avec un périmètre d’usages défini à l’avance pour éviter les mauvaises surprises.
En pratique, la bureautique et les applications SaaS se comportent correctement si la radio est saine. La voix sur IP reste utilisable à faible volume, à condition de contrôler la gigue et d’accepter une qualité légèrement dégradée. La visio tolère mal une radio instable. Le succès d’un déploiement se joue souvent dans ces arbitrages assumés en amont et partagés avec les équipes.
Architecture de bascule: le montage recommandé
Je place le routeur 4G en second WAN derrière le pare-feu. L’interface WAN2 reçoit le routage depuis la 4G, en DHCP ou via une IP publique fournie par l’APN entreprise. La détection de panne s’appuie sur deux cibles: un service externe de référence et un point interne exposé. Cela évite les faux positifs liés au DNS ou à une panne hors de votre périmètre. Les seuils de pertes et le délai de retour au normal sont réglés pour éviter les pompages, la bascule doit rester exceptionnelle et réversible sans intervention manuelle.
Lorsque des VPN site à site entrent en jeu, la stratégie dépend de l’APN. En présence de CGNAT, la terminaison des tunnels se fait côté siège. Avec une IP publique côté 4G, j’autorise l’initiation locale mais je documente les comportements de rekey et les éventuels changements d’adresse. Dans tous les cas, la cohérence des politiques de sécurité est conservée entre les deux liens pour éviter des écarts de posture pendant l’incident.
Trois points radio à vérifier
- Niveau et qualité radio stables sur site, avec un SINR propre et un RSRP cohérent avec l’emplacement réel.
- Placement soigné: éviter les baies métalliques, privilégier un point dégagé; passer en antenne MIMO externe si nécessaire.
- Choix de bande et agrégation mesurés pour stabiliser la cellule et éviter les sauts intempestifs en période de charge.
Réglages réseau qui changent tout
La 4G n’a pas la même MTU qu’un lien filaire. J’active un clamp MSS côté pare-feu et je contrôle le DNS avec un cache local pour amortir la variabilité de latence. En NAT, j’anticipe le double NAT lié au CGNAT: flux entrants et certaines applications temps réel doivent être traités au cas par cas. Quand un service doit rester atteignable, je privilégie une exposition côté siège derrière un pare-feu NGFW plutôt qu’une ouverture en 4G.
Paramètres clés à consigner
- Surveillance multi-cibles avec seuils distincts pour la bascule et le retour à la normale.
- NAT et parcours des flux en cas de double NAT; impact sur IPSec et reverse proxy.
- Politique DNS homogène entre lien principal et secours.
Voix sur IP pendant la bascule
La voix fonctionne sur 4G si l’on reste mesuré. Je désactive l’ALG SIP du routeur, je privilégie des codecs efficaces et je paramètre des gabarits de gigue raisonnables côté IPBX et terminaux. En appels sortants de faible volume, le résultat est acceptable. Pour un centre d’appels, je recommande de restreindre temporairement l’activité. L’objectif n’est pas de reproduire la vie normale, mais d’éviter l’arrêt complet du service au pire moment. Pour les bases techniques voix et métriques qualité, voir RTP et RTCP.
Dimensionner la data sans calculs fumeux
Je dimensionne par scénario d’usage puis j’ajoute une marge d’apprentissage. Une dizaine de collaborateurs en bureautique consomment peu; la visio fait rapidement grimper la facture si l’on n’y prend pas garde. La voix représente une charge modérée par appel mais cumulative. Je propose de démarrer à 100 Go avec des alertes de seuil à 50 et 80 pour cent, puis d’ajuster après une semaine d’observation. Les synchronisations lourdes et les sauvegardes sont suspendues pendant la bascule afin de préserver la data utile.
Mise en service et recette
Une mise en service utile se déroule en quatre temps. D’abord l’activation APN et la vérification de l’adressage. Ensuite la configuration du monitoring multi-cibles avec des seuils réalistes. Puis la simulation de panne du lien principal et la validation des parcours applicatifs clés, y compris un test VoIP si nécessaire. Enfin le retour au lien filaire avec un temps d’observation, purge des sessions NAT anormales et contrôle des métriques. Ce rituel simple évite les surprises le jour d’un incident réel.
Indicateurs de supervision à suivre
- Temps de bascule et délai de retour au lien principal comme mesures de référence opérationnelle.
- Latence moyenne et taux de pertes pendant l’incident.
- Consommation de data par journée et par familles d’usage.
- Incidents téléphonie constatés si la voix est utilisée.
Sécurité et conformité pendant l’incident
Le secours ne doit pas contourner la politique de sécurité. J’aligne les catégories URL, l’inspection TLS et la journalisation entre lien principal et 4G. En APN entreprise, la séparation logique et l’option IP publique simplifient la collecte des logs et l’analytique. À défaut, je durcis l’essentiel: pas d’administration distante, aucune exposition directe et un envoi systématique des journaux vers le SIEM. Les accès distants restent pilotés par le VPN d’entreprise, pas par des ouvertures éphémères.
Limites assumées et arbitrages
La 4G assure la continuité pendant que l’on répare le socle, elle ne remplace pas une fibre dédiée sur un site critique. La 5G peut apporter une latence plus régulière selon la zone, mais le positionnement reste celui d’un accès de secours. Traité comme une bretelle de service bornée, avec une supervision sérieuse et un plan de reprise clair, le secours 4G protège vos équipes et vos clients sans complexifier votre architecture.
FAQ
La 4G peut-elle remplacer une fibre dédiée
Non. C’est un filet de sécurité. Pour la production critique, on reste sur un lien fixe garanti.
La téléphonie est-elle utilisable en secours
Oui, avec parcimonie. On limite le volume d’appels et on accepte une qualité légèrement dégradée.
Faut-il une IP publique
Souvent oui pour simplifier les tunnels. Sinon, on termine les VPN côté siège et on évite toute exposition directe pendant la bascule.