Cisco ISE vs. Purple WiFi: Wie sie im Vergleich abschneiden und zusammenarbeiten
Dieser Leitfaden erklärt, wie Cisco ISE und Purple WiFi unterschiedliche, aber sich ergänzende Rollen in Unternehmensnetzwerken einnehmen. Er beschreibt im Detail, wie Cisco ISE für den sicheren 802.1X Unternehmenszugang genutzt wird, während Purple für DSGVO-konformes Gäste WiFi, Marketing-Analysen und CRM-Integrationen eingesetzt wird.
Diesen Leitfaden anhören
Podcast-Transkript ansehen
- Executive Summary
- Technischer Deep-Dive
- Die Rolle von Cisco ISE: Corporate Network Access Control
- Die Rolle von Purple: Gasterlebnis und Analysen
- Architektonische Koexistenz
- Implementierungshandbuch
- Schritt 1: SSID-Segmentierung
- Schritt 2: VLAN-Isolierung
- Schritt 3: Walled-Garden-Konfiguration
- Schritt 4: RADIUS-Integration für Gast-WiFi
- Best Practices
- Fehlerbehebung & Risikominderung
- ROI und geschäftlicher Nutzen

Executive Summary
Die Netzwerkartekturen von Unternehmen erfordern eine klare Trennung der Zuständigkeiten zwischen Unternehmenssicherheit und kommerzieller Interaktion mit Gästen. Beim Vergleich von Cisco ISE vs Purple WiFi machen viele IT-Leiter den Fehler, diese als konkurrierende Plattformen zu betrachten. Das sind sie nicht. Cisco Identity Services Engine (ISE) ist eine branchenübliche Network Access Control (NAC) und 802.1X Policy Engine zur Sicherung von Mitarbeiter- und Unternehmensgeräten. Purple ist eine cloudbasierte Overlay-Plattform, die speziell für die Handhabung von Captive Portals für Gäste, Marketing-Einwilligungen von Besuchern und betriebliche Analysen entwickelt wurde.
Der Versuch, Cisco ISE als Alternative für ein Cisco ISE-Gästeportal im kommerziellen Marketing zu nutzen, führt zu unnötiger Komplexität und liefert keine verwertbaren Daten. Umgekehrt ermöglicht die Bereitstellung von Purple WiFi an der Seite von Cisco ISE, dass jede Plattform das tut, was sie am besten kann. Purple lässt sich nativ in die Cisco-Infrastruktur integrieren, um die komplexe Logik der Gästeerfahrung auszulagern, während die Kernsicherheitsrichtlinien des Unternehmens bei Cisco ISE verbleiben. Dieser Leitfaden zeigt auf, wie beide in einer modernen Unternehmensnetzwerk-Topologie koexistieren und bietet praktische Bereitstellungsstrategien für den Einzelhandel , das Gastgewerbe und große öffentliche Veranstaltungsorte.
Technischer Deep-Dive
Die Rolle von Cisco ISE: Corporate Network Access Control
Cisco ISE ist der Goldstandard für NAC in Unternehmen. Seine Hauptfunktion besteht darin, bekannte Geräte und Benutzer zu authentifizieren und zu autorisieren, die eine Verbindung zum Unternehmensnetzwerk herstellen, wobei es sich stark auf den portbasierten Netzwerkzugriffskontrollstandard IEEE 802.1X stützt.
Wenn sich ein Laptop des Unternehmens mit einem Switch-Port oder einer Unternehmens-SSID verbindet, fungiert ISE als RADIUS-Server. Er validiert Gerätezertifikate über EAP-TLS oder Benutzeranmeldeinformationen über PEAP mit Active Directory oder Microsoft Entra ID. ISE bewertet anschließend den Sicherheitsstatus des Geräts. Wenn dieses konform ist, weist ISE das richtige VLAN zu und wendet das entsprechende Security Group Tag (SGT) an. Wenn das Gerät die Statusbewertung nicht besteht, kann ISE es mithilfe von RADIUS Change of Authorisation (CoA) unter Quarantäne stellen. Für einen tieferen Einblick in die Client-Konfiguration lesen Sie unseren Leitfaden Was ist ein 802.1X Supplicant? Client-Typen & Gerätekonfiguration .ISE verwaltet auch das Onboarding von Bring Your Own Device (BYOD), bei dem persönliche Geräte mit Zertifikaten für einen sicheren und passwortfreien Zugriff registriert werden. Darüber hinaus lässt es sich in das pxGrid-Framework von Cisco integrieren, sodass Firewalls und SIEM-Plattformen Identitätskontexte in Echtzeit nutzen können. ISE ist in drei Stufen lizenziert: Essentials, Advantage und Premier, die von grundlegendem 802.1X bis hin zur erweiterten Bedrohungsintegration skalieren.
Die Rolle von Purple: Gasterlebnis und Analysen
Während ISE sich bei der Sicherung von Unternehmenswerten auszeichnet, ist das integrierte Gästeportal eher pragmatisch als kommerziell ausgerichtet. Es kann Auftragnehmern einen einfachen Internetzugang bereitstellen, ist jedoch nicht in der Lage, DSGVO-konforme Marketing-Einwilligungen zu erfassen, markenspezifische Splash-Pages mit Social-Login bereitzustellen oder Besucherdaten in CRM-Plattformen wie Salesforce zu übertragen. Genau diese Lücke schließt Purple.
Purple ist ein hardwareunabhängiges Cloud-Overlay. Es läuft auf Ihrer bestehenden WiFi-Infrastruktur, einschließlich Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet. Purple übernimmt im Wesentlichen die Ebene des Gasterlebnisses. Wenn sich ein Besucher mit Ihrer Gäste-SSID verbindet, zeigt Purple ein markengeschütztes Captive Portal an. Dieses Portal bietet Social-Login über Facebook, Google oder LinkedIn, benutzerdefinierte Formulare zur Datenerfassung und nahtlose Optionen wie Passpoint.
Bei jeder Anmeldung werden First-Party-Daten mit klaren, aktiven Opt-ins erfasst. Purple verarbeitet diese Daten über seine Analyse-Engine, erstellt Heatmaps zur Besucherfrequenz und demografische Daten der Besucher und leitet sie dann direkt an Ihre Marketing-Systeme weiter. Purple ist an über 80.000 Live-Standorten im Einsatz und verarbeitete im Jahr 2024 440 Millionen Anmeldungen. Wir sind nach ISO 27001 zertifiziert und halten die DSGVO und CCPA ein, wodurch wir Stabilität auf Enterprise-Niveau mit einer Verfügbarkeit von 99,999 % gewährleisten. Für einen tieferen Einblick in die kommerziellen Vorteile lesen Sie unsere Übersicht zur Plattform für WiFi-Analysen .

Architektonische Koexistenz
Wenn Sie die SSIDs trennen, wird die Architektur bemerkenswert einfach. Sie betreiben zwei oder drei SSIDs auf denselben Access Points. Für eine detaillierte Aufschlüsselung dieses Designs lesen Sie Drei SSIDs, um sie alle zu steuern: Gäste-, Passpoint- und IoT-WiFi .
Die Unternehmens-SSID verwendet WPA3-Enterprise mit 802.1X, und ISE fungiert als RADIUS-Server. ISE weist das Gerät dem richtigen VLAN zu und setzt Richtlinien durch. Purple spielt hierbei keine Rolle.
Die Gäste-SSID verwendet ein offenes Netzwerk für die erste Zuordnung oder WPA3-Personal mit einem Pre-Shared Key. Der Datenverkehr wird an das Cloud-Portal von Purple umgeleitet. Purple verwaltet die Authentifizierung, die Erfassung von Einwilligungen und Analysen. Der Access Point erzwingt einen Walled Garden, bis Purple die Autorisierung signalisiert, und gibt dann den Internetzugang frei. ISE spielt hierbei keine Rolle.
Für IoT-Geräte am Standort, wie z. B. Kassenterminals, kann die SecurePass Funktion von Purple Identity Pre-Shared Keys (iPSK) verwalten, während ISE das Unternehmens-IoT steuern kann.

Implementierungshandbuch
Die Bereitstellung von Purple neben Cisco ISE erfordert eine sorgfältige Konfiguration Ihrer Wireless-LAN-Controller oder Cloud-Dashboards.
Schritt 1: SSID-Segmentierung
Erstellen Sie separate SSIDs für den Unternehmens- und den Gast-Datenverkehr. Konfigurieren Sie die Unternehmens-SSID für WPA3-Enterprise und leiten Sie die RADIUS-Authentifizierung an Ihre Cisco ISE-Knoten weiter. Konfigurieren Sie die Gäste-SSID für offenen Zugriff mit MAC-Filterung oder WPA3-Personal.
Schritt 2: VLAN-Isolierung
Stellen Sie sicher, dass der Gast-Datenverkehr auf Layer 2 vom Unternehmens-Datenverkehr isoliert ist. Die Gäste-SSID muss einem dedizierten VLAN zugewiesen werden, das interne Routing-Tabellen umgeht und direkt zur Internet-Firewall leitet. ISE erzwingt die VLAN-Zuweisung für die Unternehmens-SSID basierend auf Richtlinien.
Schritt 3: Walled-Garden-Konfiguration
Konfigurieren Sie für die Gäste-SSID die Captive Portal-Weiterleitung so, dass sie auf die Cloud-Infrastruktur von Purple verweist. Sie müssen einen Walled Garden (Pre-Authorisation-ACL) auf Ihren Access Points konfigurieren, um DNS- und HTTP/HTTPS-Datenverkehr zu den erforderlichen IP-Bereichen und Domains von Purple zuzulassen. Wenn der Walled Garden zu restriktiv ist, wird das Captive Portal nicht geladen.
Schritt 4: RADIUS-Integration für Gast-WiFi
Konfigurieren Sie Ihren Wireless-Controller so, dass er die RADIUS-Server von Purple für die Gäste-SSID verwendet. Dies ermöglicht es Purple, den Benutzer zu autorisieren und die Sitzungsdauer sowie die Bandbreitennutzung zu verfolgen.
Best Practices
- Mischen Sie niemals Gast- und Unternehmens-Datenverkehr auf derselben SSID. Dies führt zu erheblichen Sicherheits- und Compliance-Risiken. Verwenden Sie immer dedizierte SSIDs, die isolierten VLANs zugewiesen sind.
- Nutzen Sie Purple für den kommerziellen Gastzugang. Verwenden Sie nicht das integrierte Gästeportal von ISE, wenn Sie Marketinganalysen, CRM-Integrationen oder gebrandete Social-Logins benötigen.
- Setzen Sie gestaffelte Bandbreiten durch. Bieten Sie einen kostenlosen Basisdienst auf der Gäste-SSID an und stellen Sie über die Tarife Connect, Capture oder Engage von Purple eine kostenpflichtige Premium-Option für höhere Geschwindigkeiten bereit.
- Nutzen Sie Passpoint. Verwenden Sie Passpoint (Hotspot 2.0) über Purple, um wiederkehrenden Gästen eine automatische und sichere Verbindung zu ermöglichen, ohne dass sie das Captive Portal wiederholt sehen müssen.
Fehlerbehebung & Risikominderung
- Captive Portal lädt nicht: Dies ist fast immer ein Problem mit dem Walled Garden. Stellen Sie sicher, dass alle erforderlichen Domains und IP-Adressen von Purple in der Pre-Authentication-ACL Ihrer Cisco-Hardware zugelassen sind.
- Gastgeräte greifen auf interne Ressourcen zu: Dies deutet auf einen Fehler bei der VLAN-Isolierung hin. Überprüfen Sie, ob das Gäste-VLAN auf Firewall- oder Core-Switch-Ebene nicht zu den Subnetzen des Unternehmens routen kann.* RADIUS-Timeouts: Wenn der Wireless-Controller die RADIUS-Server von Purple nicht erreichen kann, schlägt die Authentifizierung der Gäste fehl. Stellen Sie sicher, dass Ihre Firewall ausgehende UDP-Ports 1812 und 1813 zur Infrastruktur von Purple zulässt.
ROI und geschäftlicher Nutzen
Die geschäftlichen Auswirkungen der Trennung von Netzwerkzugriffskontrolle über Cisco ISE und der Verwaltung des Gäste-Erlebnisses sind äußerst signifikant. Durch die Auslagerung der Gast-WiFi-Aufgaben an Purple können IT-Teams den operativen Aufwand für die Verwaltung temporärer Konten und die Behebung von Portal-Problemen reduzieren.
Noch wichtiger ist, dass Purple das Gast-Netzwerk in ein umsatzgenerierendes Asset verwandelt. Durch das Sammeln von First-Party-Daten und deren Integration in CRM-Plattformen können Veranstaltungsorte hochgradig zielgerichtete Marketingkampagnen durchführen. Beispielsweise nutzte Harrods eine einfache Frage auf ihrer Splash-Page, um Anmeldungen für ihr Treueprogramm zu fördern, was direkt zu einem 3-fachen ROI allein aus dieser Kohorte beitrug. AGS Airports verzeichnete durch die Implementierung von gestaffelter Bandbreite eine Investitionsrendite von 842 %. Die Kombination von Cisco ISE für Sicherheit und Purple für Interaktion bietet sowohl Sorgenfreiheit als auch messbaren kommerziellen Wert.
Schlüsseldefinitionen
Network Access Control (NAC)
Eine Sicherheitsarchitektur, die die Netzwerkverfügbarkeit auf konforme und authentifizierte Endgeräte beschränkt. Cisco ISE ist eine NAC-Plattform.
IT-Teams nutzen NAC, um zu verhindern, dass unbefugte Geräte auf Unternehmensdaten zugreifen.
IEEE 802.1X
Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.
Wird von Cisco ISE verwendet, um Unternehmens-SSIDs mithilfe von Zertifikaten oder Anmeldedaten anstelle von gemeinsam genutzten Passwörtern zu sichern.
Captive Portal
Eine Webseite, die der Nutzer eines öffentlich zugänglichen Netzwerks ansehen und mit der er interagieren muss, bevor ihm der Zugriff gewährt wird.
Purple bietet hochgradig anpassbare Captive Portals zur Erfassung von Marketing-Einwilligungen und First-Party-Daten.
VLAN (Virtual Local Area Network)
Ein logisches Teilnetzwerk, das eine Gruppe von Geräten aus verschiedenen physischen LANs zusammenfasst.
Entscheidend für die Trennung des Gästedatenverkehrs (verwaltet von Purple) vom Unternehmensdatenverkehr (verwaltet von ISE).
Walled Garden
Eine eingeschränkte Umgebung, die den Zugriff eines Nutzers auf Webinhalte und -dienste kontrolliert, bevor er sich vollständig authentifiziert hat.
Muss auf der Cisco Hardware korrekt konfiguriert sein, damit Geräte die Server von Purple erreichen können, um das Captive Portal zu laden.
RADIUS
Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Verwaltung der Authentifizierung, Autorisierung und Kontoführung (Accounting) ermöglicht.
Sowohl ISE als auch Purple nutzen RADIUS, jedoch für unterschiedliche Zwecke: ISE für den 802.1X Unternehmenszugang, Purple für das Session-Accounting der Gäste.
Passpoint (Hotspot 2.0)
Ein Standard, der es mobilen Geräten ermöglicht, sich ohne Benutzereingriff automatisch und sicher mit WiFi-Netzwerken zu verbinden.
Purple unterstützt Passpoint, um wiederkehrenden Gästen ein reibungsloses, mobilfunkähnliches Roaming-Erlebnis zu bieten.
pxGrid
Platform Exchange Grid. Ein Cisco Framework, das eine herstellerübergreifende, plattformübergreifende Zusammenarbeit von Netzwerksystemen ermöglicht.
Ermöglicht Purple, den Kontext von Gästesitzungen mit dem Cisco ISE Ökosystem zu teilen, um eine einheitliche Sicherheitstransparenz zu gewährleisten.
Ausgearbeitete Beispiele
Ein Hotel mit 200 Zimmern muss sicheres WiFi für das Personal im Hintergrund (Reinigung, Management) und ein gebrandetes, Daten erfassendes WiFi-Erlebnis für Hotelgäste bereitstellen. Derzeit werden Cisco Catalyst Access Points genutzt.
Richten Sie zwei SSIDs ein. 'Hotel_Corp' verwendet WPA3-Enterprise. Cisco ISE fungiert als RADIUS-Server, authentifiziert die Geräte der Mitarbeiter über EAP-TLS-Zertifikate und weist sie dem Management-VLAN zu. 'Hotel_Guest' nutzt eine offene SSID, die zu Purple weitergeleitet wird. Purple zeigt ein gebrandetes Captive Portal an, das Social Login oder PMS-Integration bietet. Der Datenverkehr der Gäste wird auf einem isolierten VLAN direkt ins Internet geroutet.
Eine große Einzelhandelskette möchte die Besucherfrequenz und Verweildauer in 50 Filialen mithilfe ihrer bestehenden Cisco Meraki Infrastruktur analysieren, ohne die Sicherheit des internen Point-of-Sale-Netzwerks (POS) zu gefährden.
Die POS-Terminals verbinden sich mit einer versteckten SSID, die durch WPA3-Enterprise und Cisco ISE gesichert ist. Für Kunden wird eine öffentliche SSID 'Free_Store_WiFi' ausgestrahlt. Das Meraki-Dashboard wird so konfiguriert, dass es über eine API in Purple integriert ist. Purple erfasst anonymisierte Präsenzdaten von suchenden Geräten, um Heatmaps zu erstellen, und erfasst explizite First-Party-Daten, sobald sich Kunden im Captive Portal anmelden.
Übungsfragen
Q1. Ihr Marketingleiter möchte E-Mail-Adressen und demografische Daten von Besuchern erfassen, die das Gast-WiFi in Ihren Einzelhandelsgeschäften nutzen. Das Netzwerk-Engineering-Team schlägt vor, die integrierte Gast-Portal-Funktion Ihrer bestehenden Cisco ISE-Bereitstellung zu aktivieren. Ist dies der richtige Ansatz?
Hinweis: Berücksichtigen Sie die kommerziellen Funktionen des Cisco ISE Guest Portals im Vergleich zu einer dedizierten Overlay-Plattform.
Musterlösung anzeigen
Nein. Das Cisco ISE Gast-Portal ist für den funktionalen Zugriff (z. B. für externe Dienstleister) konzipiert, nicht für kommerzielles Marketing. Es fehlen native CRM-Integrationen, Workflows zur Verwaltung von DSGVO-Einwilligungen und detaillierte Besucheranalysen. Der richtige Ansatz besteht darin, Purple auf der Gast-SSID zu implementieren, um die Datenerfassung und -analyse zu übernehmen, während Cisco ISE weiterhin das Unternehmensnetzwerk verwaltet.
Q2. Ein Gast verbindet sich mit der von Purple verwalteten SSID, aber sein Browser zeigt einen Timeout-Fehler anstelle der Captive Portal-Begrüßungsseite an. Unternehmensbenutzer auf der von Cisco ISE verwalteten SSID sind nicht betroffen. Was ist die wahrscheinlichste Ursache?
Hinweis: Denken Sie darüber nach, was geschehen muss, bevor die Authentifizierung in einem Captive Portal-Netzwerk abgeschlossen ist.
Musterlösung anzeigen
Die wahrscheinlichste Ursache ist ein falsch konfigurierter Walled Garden (Pre-Authentication-ACL) auf dem Wireless Access Point oder Controller. Das Gerät wird daran gehindert, die Cloud-Infrastruktur von Purple zu erreichen, um das Portal zu laden. Sie müssen sicherstellen, dass die spezifischen Domains und IP-Bereiche von Purple auf der Whitelist stehen.
Q3. Sie entwerfen ein Netzwerk für eine neue Unternehmenszentrale. Sie müssen Laptops von Mitarbeitern, persönliche Telefone von Mitarbeitern (BYOD) und Gastkunden unterstützen. Wie sollten Sie die SSIDs und die Authentifizierung strukturieren?
Hinweis: Trennen Sie die Zielgruppen basierend auf dem Gerätebesitz und den erforderlichen Zugriffsebenen.
Musterlösung anzeigen
Stellen Sie zwei SSIDs bereit. Die Unternehmens-SSID verwendet WPA3-Enterprise. Cisco ISE übernimmt die 802.1X-Authentifizierung für Laptops von Mitarbeitern und verwaltet die Zertifikatsregistrierung für BYOD-Geräte von Mitarbeitern, wobei sie internen VLANs zugewiesen werden. Die Gast-SSID ist offen und wird zu Purple umgeleitet. Purple übernimmt die Captive Portal-Authentifizierung für Gastkunden und platziert diese in einem isolierten VLAN, das nur Zugang zum Internet hat.
Weiterlesen in dieser Reihe
Konfigurieren von RADIUS-Authentifizierung für Gäste- und Mitarbeiter-WiFi-Netzwerke
Dieses technische Referenzhandbuch beschreibt die Architektur, Konfiguration und Bereitstellung der RADIUS-Authentifizierung für WiFi-Netzwerke von Unternehmen für Gäste und Mitarbeiter. Es bietet Netzwerkarchitekten und IT-Managern die genauen Protokolle, Sicherheitsstandards und Fehlerbehebungsmethoden, die für den Aufbau sicherer, skalierbarer drahtloser Zugriffskontrollsysteme erforderlich sind.
Passpoint und OpenRoaming: Das vollständige Handbuch
Dieses technische Referenzhandbuch bietet eine umfassende Analyse der Passpoint (Hotspot 2.0) und WBA OpenRoaming Frameworks in Enterprise WiFi Netzwerken. Es beschreibt detailliert die zugrundeliegenden Authentifizierungsprotokolle, Architekturkomponenten und Bereitstellungsstrategien, die für den Aufbau einer sicheren, reibungslosen Gastkonnektivität erforderlich sind. Netzwerkarchitekten und IT-Leiter erfahren, wie sie diese Standards entwerfen, implementieren und Fehler beheben, um manuelle Anmeldebarrieren zu beseitigen und gleichzeitig die Sicherheit auf Enterprise-Niveau aufrechtzuerhalten.
Implementierung von SCEP für sichere BYOD- und Netzwerkanmeldung im Hochschulbereich
Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern ein herstellerunabhängiges Konzept für die Bereitstellung von SCEP-basierten Zertifikatsanmeldungen zur Sicherung von Campusnetzwerken an Hochschulen. Er beschreibt im Detail die Migration von passwortbasiertem PEAP zu 802.1X EAP-TLS, die Automatisierung des BYOD-Onboardings und die Durchsetzung einer robusten VLAN-Segmentierung.