Zum Hauptinhalt springen

Cisco ISE vs. Purple WiFi: Wie sie im Vergleich abschneiden und zusammenarbeiten

Dieser Leitfaden erklärt, wie Cisco ISE und Purple WiFi unterschiedliche, aber sich ergänzende Rollen in Unternehmensnetzwerken einnehmen. Er beschreibt im Detail, wie Cisco ISE für den sicheren 802.1X Unternehmenszugang genutzt wird, während Purple für DSGVO-konformes Gäste WiFi, Marketing-Analysen und CRM-Integrationen eingesetzt wird.

📖 6 Min. Lesezeit📝 1,259 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Sie sind ein leitender Berater für Netzwerksicherheit, der einen Kunden auf Deutsch mit einem selbstbewussten, autoritären und lockeren, aber professionellen Ton brieft. Sprechen Sie klar und in einem angemessenen Tempo, so als würden Sie vor einem Gremium aus IT-Leitern und Netzwerkarchitekten präsentieren. Dies ist ein professionelles technisches Briefing, kein Vortrag. Sprechen Sie in professionellem Deutsch: Willkommen zur technischen Briefing-Reihe von Purple. Heute befassen wir uns mit einer Frage, die bei der Konzeption von Unternehmensnetzwerken ständig auftaucht: Cisco ISE im Vergleich zu Purple WiFi. Wie stehen sie zueinander im Vergleich und, was noch wichtiger ist, wie arbeiten sie zusammen? Ich werde Ihnen in etwa zehn Minuten die direkte Antwort geben. [medium pause] Fangen wir mit dem Kontext an. Wenn Sie ein Hotel, ein Einzelhandelsgeschäft, ein Stadion oder ein Gebäude des öffentlichen Sektors betreiben, haben Sie fast sicher zwei unterschiedliche Personengruppen, die sich mit Ihrem Netzwerk verbinden. Sie haben Mitarbeiter und firmeneigene Geräte, und Sie haben Gäste, Besucher, Fans oder Kunden. Diese beiden Gruppen haben völlig unterschiedliche Anforderungen an die Authentifizierung, unterschiedliche Datenrechte und unterschiedliche Geschäftsziele. Der Fehler, den die meisten Unternehmen machen, besteht darin, zu versuchen, beide Probleme mit einem einzigen Tool zu lösen. Daher rührt die Verwirrung zwischen Cisco ISE und Purple. [medium pause] Abschnitt eins: Was Cisco ISE eigentlich tut. Cisco Identity Services Engine, oder ISE, ist Ciscos Network Access Control Plattform für Unternehmen. Ihre Aufgabe ist es, firmeneigene Geräte und Mitarbeiter zu authentifizieren und zu autorisieren. Dies geschieht in erster Linie über IEEE 802.1X, dem portbasierten Standard für die Netzwerkzugriffskontrolle. Wenn sich ein Firmen-Laptop mit Ihrem Netzwerk verbindet, prüft ISE dessen Zertifikat über EAP-TLS oder seine Anmeldedaten über PEAP, gleicht sie mit dem Active Directory oder Microsoft Entra ID ab, bewertet den Sicherheitsstatus und weist das Gerät dann mit der richtigen Richtlinie dem korrekten VLAN zu. Wenn das Gerät die Statusbewertung nicht besteht, kann die ISE es mithilfe von RADIUS Change of Authorisation (CoA) automatisch unter Quarantäne stellen. ISE übernimmt auch das BYOD-Onboarding, bei dem persönliche Geräte mit einem Zertifikat registriert werden, sodass sie sich ohne ein gemeinsames Passwort sicher authentifizieren können. Zudem ist es in das pxGrid-Framework von Cisco integriert, was es anderen Sicherheitstools wie Firewalls und SIEM-Plattformen ermöglicht, Identitätskontexte in Echtzeit zu nutzen. Die drei Lizenzstufen der ISE sind Essentials, Advantage und Premier. Essentials deckt 802.1X und den grundlegenden Gastzugang ab. Advantage bietet zusätzlich BYOD, Statusbewertung und MDM-Integration von Drittanbietern. Premier fügt passive Identitätsdienste und fortschrittliche Bedrohungsintegration hinzu. [medium pause] So ist ISE eine erstklassige Sicherheitsplattform für Unternehmen. Aber hier ist der entscheidende Punkt: Das dazugehörige Gästeportal ist funktional, nicht kommerziell. ISE kann ein nicht authentifiziertes Gerät auf eine Webseite umleiten, einen Benutzernamen und ein Passwort oder eine Sponsorgenehmigung erfassen und den Internetzugang gewähren. Was die Plattform jedoch nicht kann, ist die Erfassung von GDPR-konformen Marketing-Einwilligungen, die Bereitstellung von gebrandeten Splash Pages mit Social Login, die Übertragung von Besucherdaten in Salesforce oder HubSpot, die Erstellung von Heatmaps zur Kundenfrequenz oder die Segmentierung von Besuchern nach demografischen Merkmalen für Marketingkampagnen. Dafür wurde ISE nicht entwickelt, und der Versuch, die Plattform in diese Rolle zu drängen, schafft nur Komplexität, ohne das gewünschte kommerzielle Ergebnis zu liefern. Sie sind ein leitender Berater für Netzwerksicherheit und führen ein technisches Briefing in britischem Englisch mit einem selbstbewussten, autoritären und konversationsorientierten Ton fort. Sprechen Sie klar und in mäßigem Tempo. Sprechen Sie in britischem Englisch mit Standard-Aussprache: Abschnitt zwei: Was Purple tut. Purple ist eine Cloud-Overlay-Plattform. Wir setzen auf Ihrer bestehenden WiFi-Infrastruktur auf, sei es Cisco Meraki, Cisco Catalyst, HPE Aruba, Ruckus, Juniper Mist oder ein anderer der großen Anbieter. Wir ersetzen Ihre Hardware nicht. Wir ersetzen ISE nicht. Wir kümmern uns um die Ebene der Gasterfahrung. Wenn sich ein Besucher mit Ihrer Gäste-SSID verbindet, fängt Purple diese Verbindung ab und zeigt ein gebrandetes Captive Portal an. Dieses Portal kann Social Login über Facebook, Google oder LinkedIn, ein benutzerdefiniertes Datenerfassungsformular, eine Click-to-Connect-Option oder Passpoint für eine automatische, sichere Wiederverbindung bei zukünftigen Besuchen bieten. Jeder Login erfasst First-Party-Daten mit ausdrücklicher GDPR-Einwilligung. Diese Daten fließen direkt in Ihr CRM, Ihre E-Mail-Marketing-Plattform oder Ihr Treueprogramm. Purple wird an 80.000 Live-Standorten eingesetzt und hat allein im Jahr 2024 bereits 440 Millionen Logins verarbeitet. Wir sind nach ISO 27001 zertifiziert, halten die GDPR und den CCPA ein und garantieren eine Betriebszeit von 99,999 %. Zu den namhaften Kunden gehören McDonald's, Harrods, Premier Inn, AGS Airports und die Manchester Airports Group. [mittlere Pause] Abschnitt drei: Wie beide in einer modernen Netzwerktopologie koexistieren. Die Architektur ist einfach, wenn man die Aufteilung der Zuständigkeiten versteht. Sie betreiben zwei oder drei SSIDs auf denselben Access Points. Die Unternehmens-SSID nutzt WPA3-Enterprise mit 802.1X, und ISE fungiert als RADIUS-Server. Jedes Mitarbeitergerät authentifiziert sich mit einem Zertifikat oder Zugangsdaten. ISE weist das Gerät dem richtigen VLAN zu, wendet die entsprechende Richtlinie an und protokolliert die Sitzung. Purple spielt hier keine Rolle. Dies ist ausschließlich der Bereich von ISE. Die Gäste-SSID ist offen oder nutzt WPA3-Personal mit einem Pre-Shared Key für die erste Zuordnung. Der Datenverkehr wird an das Cloud-Portal von Purple umgeleitet. Purple übernimmt die Authentifizierung, die Erfassung der Einwilligung und die Analysen. Der Access Point erzwingt einen Walled Garden, bis Purple die Autorisierung signalisiert, und gibt erst dann den Internetzugang frei. ISE spielt hier keine Rolle. Dies ist der Bereich von Purple. Für komplexere Bereitstellungen können Sie eine dritte SSID für IoT-Geräte hinzufügen und dabei Identity Pre-Shared Keys, oder iPSK, verwenden, wobei jedes Gerät ein einziges Passwort erhält, das einem bestimmten VLAN zugewiesen ist. ISE kann dies für das Unternehmens-IoT verwalten, oder die SecurePass Funktion von Purple übernimmt dies für das IoT vor Ort, wie Kassenterminals und digitale Beschilderung. Wenn Sie eine engere Integration zwischen den beiden Plattformen wünschen, ermöglicht Cisco pxGrid Purple, den Kontext von Gastsitzungen in das ISE-Ökosystem zu übertragen, sodass Ihr Security Operations Team die Gastaktivitäten zusammen mit den Unternehmensaktivitäten in einer einheitlichen Ansicht sehen kann. [medium pause] Abschnitt vier: Empfehlungen zur Implementierung und häufige Fehlerquellen. Lassen Sie mich Ihnen die drei häufigsten Fehler nennen, die ich bei Bereitstellungen sehe. Erstens: Die Verwendung des integrierten Gastportals von ISE für kommerzielles Gast-WiFi. Das Gastportal von ISE ist für Auftragnehmer und Zeitarbeiter konzipiert, nicht für marketingorientierten Gastzugang. Es verfügt über keine CRM-Integration, kein Einwilligungsmanagement und keine Analysen. Wenn Sie im Gastgewerbe, im Einzelhandel oder im Eventbereich tätig sind, benötigen Sie Purple auf der Gast-SSID. ISE kümmert sich um das Unternehmen. Purple kümmert sich um die Gäste. Halten Sie diese getrennt. Zweitens: Keine korrekte Segmentierung der VLANs. Der Gast-Datenverkehr muss auf Layer Zwei vom Unternehmens-Datenverkehr isoliert werden. Purple arbeitet in einem separaten VLAN, das direkt ins Internet geroutet wird und keinen Zugriff auf interne Ressourcen hat. ISE erzwingt die VLAN-Zuweisung für Unternehmensgeräte. Wenn Sie dies vermischen, schaffen Sie ein Sicherheitsrisiko und ein Compliance-Problem. Drittens: Vernachlässigung der Walled Garden-Konfiguration. Wenn Purple das Captive Portal ist, muss der Access Point DNS- und HTTP-Verkehr vor der Authentifizierung zu den Cloud-Endpunkten von Purple zulassen. Wenn Ihr Walled Garden zu restriktiv ist, wird das Portal nicht geladen. Wenn er zu freizügig ist, können Benutzer die Authentifizierung umgehen. Die Support-Dokumentation von Purple enthält die genauen IP-Bereiche und Domains, die für jeden Hardware-Hersteller auf die Whitelist gesetzt werden müssen. [medium pause] Abschnitt fünf: Fragen und Antworten im Schnelldurchgang. Ersetzt Purple Cisco ISE? Nein. Sie lösen unterschiedliche Probleme für unterschiedliche Benutzer auf unterschiedlichen SSIDs. Kann ich Purple auf Cisco Meraki ohne ISE betreiben? Ja. Purple lässt sich über die Meraki API nativ in Cisco Meraki integrieren. ISE ist für Gast-WiFi nicht erforderlich. Kann ich beide auf denselben Access Points betreiben? Ja. Mehrere SSIDs auf derselben Hardware zu nutzen, ist gängige Praxis. Unterstützt Purple 802.1X? Die SecurePass Funktion von Purple unterstützt WPA3-Enterprise mit 802.1X für Gastgeräte, auf denen die Purple App installiert ist, und ermöglicht so eine automatische, zertifikatsbasierte Wiederverbindung ohne Captive Portal. Wie sieht es mit der PCI-DSS Compliance aus? Gast-WiFi muss von Systemen für Zahlungskarten isoliert sein. Die VLAN-Architektur von Purple erfüllt diese Anforderung. ISE erzwingt dieselbe Isolierung für Unternehmensgeräte. [medium pause] Zusammenfassung und nächste Schritte. Das Entscheidungsframework ist einfach. Wenn das Gerät Ihrer Organisation oder Ihren Mitarbeitern gehört, übernimmt ISE die Authentifizierung. Wenn das Gerät einem Gast, Besucher, Kunden oder Fan gehört, übernimmt Purple das Erlebnis. Die beiden Plattformen nutzen dieselbe physische Infrastruktur, arbeiten jedoch auf völlig unterschiedlichen logischen Ebenen. Als nächsten Schritt sollten Sie Ihre aktuelle SSID-Architektur kartieren. Identifizieren Sie, welche SSIDs für das Unternehmen und welche für Gäste bestimmt sind. Stellen Sie sicher, dass der Gast-Traffic per VLAN isoliert ist. Prüfen Sie dann, ob Ihr aktuelles Gast-Portal die Marketing-Einwilligungen, Analysen und CRM-Integrationen liefert, die Ihre kommerziellen Teams benötigen. Wenn dies nicht der Fall ist, schließt Purple genau diese Lücke. Den vollständigen schriftlichen Leitfaden, Architekturdiagramme und Praxisbeispiele finden Sie unter purple.ai. Vielen Dank für Ihre Zeit.

header_image.png

Executive Summary

Die Netzwerkartekturen von Unternehmen erfordern eine klare Trennung der Zuständigkeiten zwischen Unternehmenssicherheit und kommerzieller Interaktion mit Gästen. Beim Vergleich von Cisco ISE vs Purple WiFi machen viele IT-Leiter den Fehler, diese als konkurrierende Plattformen zu betrachten. Das sind sie nicht. Cisco Identity Services Engine (ISE) ist eine branchenübliche Network Access Control (NAC) und 802.1X Policy Engine zur Sicherung von Mitarbeiter- und Unternehmensgeräten. Purple ist eine cloudbasierte Overlay-Plattform, die speziell für die Handhabung von Captive Portals für Gäste, Marketing-Einwilligungen von Besuchern und betriebliche Analysen entwickelt wurde.

Der Versuch, Cisco ISE als Alternative für ein Cisco ISE-Gästeportal im kommerziellen Marketing zu nutzen, führt zu unnötiger Komplexität und liefert keine verwertbaren Daten. Umgekehrt ermöglicht die Bereitstellung von Purple WiFi an der Seite von Cisco ISE, dass jede Plattform das tut, was sie am besten kann. Purple lässt sich nativ in die Cisco-Infrastruktur integrieren, um die komplexe Logik der Gästeerfahrung auszulagern, während die Kernsicherheitsrichtlinien des Unternehmens bei Cisco ISE verbleiben. Dieser Leitfaden zeigt auf, wie beide in einer modernen Unternehmensnetzwerk-Topologie koexistieren und bietet praktische Bereitstellungsstrategien für den Einzelhandel , das Gastgewerbe und große öffentliche Veranstaltungsorte.

Technischer Deep-Dive

Die Rolle von Cisco ISE: Corporate Network Access Control

Cisco ISE ist der Goldstandard für NAC in Unternehmen. Seine Hauptfunktion besteht darin, bekannte Geräte und Benutzer zu authentifizieren und zu autorisieren, die eine Verbindung zum Unternehmensnetzwerk herstellen, wobei es sich stark auf den portbasierten Netzwerkzugriffskontrollstandard IEEE 802.1X stützt.

Wenn sich ein Laptop des Unternehmens mit einem Switch-Port oder einer Unternehmens-SSID verbindet, fungiert ISE als RADIUS-Server. Er validiert Gerätezertifikate über EAP-TLS oder Benutzeranmeldeinformationen über PEAP mit Active Directory oder Microsoft Entra ID. ISE bewertet anschließend den Sicherheitsstatus des Geräts. Wenn dieses konform ist, weist ISE das richtige VLAN zu und wendet das entsprechende Security Group Tag (SGT) an. Wenn das Gerät die Statusbewertung nicht besteht, kann ISE es mithilfe von RADIUS Change of Authorisation (CoA) unter Quarantäne stellen. Für einen tieferen Einblick in die Client-Konfiguration lesen Sie unseren Leitfaden Was ist ein 802.1X Supplicant? Client-Typen & Gerätekonfiguration .ISE verwaltet auch das Onboarding von Bring Your Own Device (BYOD), bei dem persönliche Geräte mit Zertifikaten für einen sicheren und passwortfreien Zugriff registriert werden. Darüber hinaus lässt es sich in das pxGrid-Framework von Cisco integrieren, sodass Firewalls und SIEM-Plattformen Identitätskontexte in Echtzeit nutzen können. ISE ist in drei Stufen lizenziert: Essentials, Advantage und Premier, die von grundlegendem 802.1X bis hin zur erweiterten Bedrohungsintegration skalieren.

Die Rolle von Purple: Gasterlebnis und Analysen

Während ISE sich bei der Sicherung von Unternehmenswerten auszeichnet, ist das integrierte Gästeportal eher pragmatisch als kommerziell ausgerichtet. Es kann Auftragnehmern einen einfachen Internetzugang bereitstellen, ist jedoch nicht in der Lage, DSGVO-konforme Marketing-Einwilligungen zu erfassen, markenspezifische Splash-Pages mit Social-Login bereitzustellen oder Besucherdaten in CRM-Plattformen wie Salesforce zu übertragen. Genau diese Lücke schließt Purple.

Purple ist ein hardwareunabhängiges Cloud-Overlay. Es läuft auf Ihrer bestehenden WiFi-Infrastruktur, einschließlich Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet. Purple übernimmt im Wesentlichen die Ebene des Gasterlebnisses. Wenn sich ein Besucher mit Ihrer Gäste-SSID verbindet, zeigt Purple ein markengeschütztes Captive Portal an. Dieses Portal bietet Social-Login über Facebook, Google oder LinkedIn, benutzerdefinierte Formulare zur Datenerfassung und nahtlose Optionen wie Passpoint.

Bei jeder Anmeldung werden First-Party-Daten mit klaren, aktiven Opt-ins erfasst. Purple verarbeitet diese Daten über seine Analyse-Engine, erstellt Heatmaps zur Besucherfrequenz und demografische Daten der Besucher und leitet sie dann direkt an Ihre Marketing-Systeme weiter. Purple ist an über 80.000 Live-Standorten im Einsatz und verarbeitete im Jahr 2024 440 Millionen Anmeldungen. Wir sind nach ISO 27001 zertifiziert und halten die DSGVO und CCPA ein, wodurch wir Stabilität auf Enterprise-Niveau mit einer Verfügbarkeit von 99,999 % gewährleisten. Für einen tieferen Einblick in die kommerziellen Vorteile lesen Sie unsere Übersicht zur Plattform für WiFi-Analysen .

architecture_overview.png

Architektonische Koexistenz

Wenn Sie die SSIDs trennen, wird die Architektur bemerkenswert einfach. Sie betreiben zwei oder drei SSIDs auf denselben Access Points. Für eine detaillierte Aufschlüsselung dieses Designs lesen Sie Drei SSIDs, um sie alle zu steuern: Gäste-, Passpoint- und IoT-WiFi .

Die Unternehmens-SSID verwendet WPA3-Enterprise mit 802.1X, und ISE fungiert als RADIUS-Server. ISE weist das Gerät dem richtigen VLAN zu und setzt Richtlinien durch. Purple spielt hierbei keine Rolle.

Die Gäste-SSID verwendet ein offenes Netzwerk für die erste Zuordnung oder WPA3-Personal mit einem Pre-Shared Key. Der Datenverkehr wird an das Cloud-Portal von Purple umgeleitet. Purple verwaltet die Authentifizierung, die Erfassung von Einwilligungen und Analysen. Der Access Point erzwingt einen Walled Garden, bis Purple die Autorisierung signalisiert, und gibt dann den Internetzugang frei. ISE spielt hierbei keine Rolle.

Für IoT-Geräte am Standort, wie z. B. Kassenterminals, kann die SecurePass Funktion von Purple Identity Pre-Shared Keys (iPSK) verwalten, während ISE das Unternehmens-IoT steuern kann.

comparison_chart.png

Implementierungshandbuch

Die Bereitstellung von Purple neben Cisco ISE erfordert eine sorgfältige Konfiguration Ihrer Wireless-LAN-Controller oder Cloud-Dashboards.

Schritt 1: SSID-Segmentierung

Erstellen Sie separate SSIDs für den Unternehmens- und den Gast-Datenverkehr. Konfigurieren Sie die Unternehmens-SSID für WPA3-Enterprise und leiten Sie die RADIUS-Authentifizierung an Ihre Cisco ISE-Knoten weiter. Konfigurieren Sie die Gäste-SSID für offenen Zugriff mit MAC-Filterung oder WPA3-Personal.

Schritt 2: VLAN-Isolierung

Stellen Sie sicher, dass der Gast-Datenverkehr auf Layer 2 vom Unternehmens-Datenverkehr isoliert ist. Die Gäste-SSID muss einem dedizierten VLAN zugewiesen werden, das interne Routing-Tabellen umgeht und direkt zur Internet-Firewall leitet. ISE erzwingt die VLAN-Zuweisung für die Unternehmens-SSID basierend auf Richtlinien.

Schritt 3: Walled-Garden-Konfiguration

Konfigurieren Sie für die Gäste-SSID die Captive Portal-Weiterleitung so, dass sie auf die Cloud-Infrastruktur von Purple verweist. Sie müssen einen Walled Garden (Pre-Authorisation-ACL) auf Ihren Access Points konfigurieren, um DNS- und HTTP/HTTPS-Datenverkehr zu den erforderlichen IP-Bereichen und Domains von Purple zuzulassen. Wenn der Walled Garden zu restriktiv ist, wird das Captive Portal nicht geladen.

Schritt 4: RADIUS-Integration für Gast-WiFi

Konfigurieren Sie Ihren Wireless-Controller so, dass er die RADIUS-Server von Purple für die Gäste-SSID verwendet. Dies ermöglicht es Purple, den Benutzer zu autorisieren und die Sitzungsdauer sowie die Bandbreitennutzung zu verfolgen.

Best Practices

  1. Mischen Sie niemals Gast- und Unternehmens-Datenverkehr auf derselben SSID. Dies führt zu erheblichen Sicherheits- und Compliance-Risiken. Verwenden Sie immer dedizierte SSIDs, die isolierten VLANs zugewiesen sind.
  2. Nutzen Sie Purple für den kommerziellen Gastzugang. Verwenden Sie nicht das integrierte Gästeportal von ISE, wenn Sie Marketinganalysen, CRM-Integrationen oder gebrandete Social-Logins benötigen.
  3. Setzen Sie gestaffelte Bandbreiten durch. Bieten Sie einen kostenlosen Basisdienst auf der Gäste-SSID an und stellen Sie über die Tarife Connect, Capture oder Engage von Purple eine kostenpflichtige Premium-Option für höhere Geschwindigkeiten bereit.
  4. Nutzen Sie Passpoint. Verwenden Sie Passpoint (Hotspot 2.0) über Purple, um wiederkehrenden Gästen eine automatische und sichere Verbindung zu ermöglichen, ohne dass sie das Captive Portal wiederholt sehen müssen.

Fehlerbehebung & Risikominderung

  • Captive Portal lädt nicht: Dies ist fast immer ein Problem mit dem Walled Garden. Stellen Sie sicher, dass alle erforderlichen Domains und IP-Adressen von Purple in der Pre-Authentication-ACL Ihrer Cisco-Hardware zugelassen sind.
  • Gastgeräte greifen auf interne Ressourcen zu: Dies deutet auf einen Fehler bei der VLAN-Isolierung hin. Überprüfen Sie, ob das Gäste-VLAN auf Firewall- oder Core-Switch-Ebene nicht zu den Subnetzen des Unternehmens routen kann.* RADIUS-Timeouts: Wenn der Wireless-Controller die RADIUS-Server von Purple nicht erreichen kann, schlägt die Authentifizierung der Gäste fehl. Stellen Sie sicher, dass Ihre Firewall ausgehende UDP-Ports 1812 und 1813 zur Infrastruktur von Purple zulässt.

ROI und geschäftlicher Nutzen

Die geschäftlichen Auswirkungen der Trennung von Netzwerkzugriffskontrolle über Cisco ISE und der Verwaltung des Gäste-Erlebnisses sind äußerst signifikant. Durch die Auslagerung der Gast-WiFi-Aufgaben an Purple können IT-Teams den operativen Aufwand für die Verwaltung temporärer Konten und die Behebung von Portal-Problemen reduzieren.

Noch wichtiger ist, dass Purple das Gast-Netzwerk in ein umsatzgenerierendes Asset verwandelt. Durch das Sammeln von First-Party-Daten und deren Integration in CRM-Plattformen können Veranstaltungsorte hochgradig zielgerichtete Marketingkampagnen durchführen. Beispielsweise nutzte Harrods eine einfache Frage auf ihrer Splash-Page, um Anmeldungen für ihr Treueprogramm zu fördern, was direkt zu einem 3-fachen ROI allein aus dieser Kohorte beitrug. AGS Airports verzeichnete durch die Implementierung von gestaffelter Bandbreite eine Investitionsrendite von 842 %. Die Kombination von Cisco ISE für Sicherheit und Purple für Interaktion bietet sowohl Sorgenfreiheit als auch messbaren kommerziellen Wert.

Schlüsseldefinitionen

Network Access Control (NAC)

Eine Sicherheitsarchitektur, die die Netzwerkverfügbarkeit auf konforme und authentifizierte Endgeräte beschränkt. Cisco ISE ist eine NAC-Plattform.

IT-Teams nutzen NAC, um zu verhindern, dass unbefugte Geräte auf Unternehmensdaten zugreifen.

IEEE 802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Wird von Cisco ISE verwendet, um Unternehmens-SSIDs mithilfe von Zertifikaten oder Anmeldedaten anstelle von gemeinsam genutzten Passwörtern zu sichern.

Captive Portal

Eine Webseite, die der Nutzer eines öffentlich zugänglichen Netzwerks ansehen und mit der er interagieren muss, bevor ihm der Zugriff gewährt wird.

Purple bietet hochgradig anpassbare Captive Portals zur Erfassung von Marketing-Einwilligungen und First-Party-Daten.

VLAN (Virtual Local Area Network)

Ein logisches Teilnetzwerk, das eine Gruppe von Geräten aus verschiedenen physischen LANs zusammenfasst.

Entscheidend für die Trennung des Gästedatenverkehrs (verwaltet von Purple) vom Unternehmensdatenverkehr (verwaltet von ISE).

Walled Garden

Eine eingeschränkte Umgebung, die den Zugriff eines Nutzers auf Webinhalte und -dienste kontrolliert, bevor er sich vollständig authentifiziert hat.

Muss auf der Cisco Hardware korrekt konfiguriert sein, damit Geräte die Server von Purple erreichen können, um das Captive Portal zu laden.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Verwaltung der Authentifizierung, Autorisierung und Kontoführung (Accounting) ermöglicht.

Sowohl ISE als auch Purple nutzen RADIUS, jedoch für unterschiedliche Zwecke: ISE für den 802.1X Unternehmenszugang, Purple für das Session-Accounting der Gäste.

Passpoint (Hotspot 2.0)

Ein Standard, der es mobilen Geräten ermöglicht, sich ohne Benutzereingriff automatisch und sicher mit WiFi-Netzwerken zu verbinden.

Purple unterstützt Passpoint, um wiederkehrenden Gästen ein reibungsloses, mobilfunkähnliches Roaming-Erlebnis zu bieten.

pxGrid

Platform Exchange Grid. Ein Cisco Framework, das eine herstellerübergreifende, plattformübergreifende Zusammenarbeit von Netzwerksystemen ermöglicht.

Ermöglicht Purple, den Kontext von Gästesitzungen mit dem Cisco ISE Ökosystem zu teilen, um eine einheitliche Sicherheitstransparenz zu gewährleisten.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss sicheres WiFi für das Personal im Hintergrund (Reinigung, Management) und ein gebrandetes, Daten erfassendes WiFi-Erlebnis für Hotelgäste bereitstellen. Derzeit werden Cisco Catalyst Access Points genutzt.

Richten Sie zwei SSIDs ein. 'Hotel_Corp' verwendet WPA3-Enterprise. Cisco ISE fungiert als RADIUS-Server, authentifiziert die Geräte der Mitarbeiter über EAP-TLS-Zertifikate und weist sie dem Management-VLAN zu. 'Hotel_Guest' nutzt eine offene SSID, die zu Purple weitergeleitet wird. Purple zeigt ein gebrandetes Captive Portal an, das Social Login oder PMS-Integration bietet. Der Datenverkehr der Gäste wird auf einem isolierten VLAN direkt ins Internet geroutet.

Kommentar des Prüfers: Dieser Ansatz trennt die Zuständigkeiten perfekt. ISE sichert die Unternehmensressourcen, während Purple die kommerziellen Anforderungen zur Erfassung von Gästedaten für das Marketingteam des Hotels übernimmt. Die VLAN-Isolierung gewährleistet die Einhaltung der PCI-DSS-Richtlinien.

Eine große Einzelhandelskette möchte die Besucherfrequenz und Verweildauer in 50 Filialen mithilfe ihrer bestehenden Cisco Meraki Infrastruktur analysieren, ohne die Sicherheit des internen Point-of-Sale-Netzwerks (POS) zu gefährden.

Die POS-Terminals verbinden sich mit einer versteckten SSID, die durch WPA3-Enterprise und Cisco ISE gesichert ist. Für Kunden wird eine öffentliche SSID 'Free_Store_WiFi' ausgestrahlt. Das Meraki-Dashboard wird so konfiguriert, dass es über eine API in Purple integriert ist. Purple erfasst anonymisierte Präsenzdaten von suchenden Geräten, um Heatmaps zu erstellen, und erfasst explizite First-Party-Daten, sobald sich Kunden im Captive Portal anmelden.

Kommentar des Prüfers: Die Nutzung des Cloud-Overlays von Purple mit Meraki erfordert keine neue Hardware. Die Einzelhandelskette erhält tiefe Analysen und Marketingdaten, während ISE sicherstellt, dass das POS-Netzwerk abgeriegelt und konform bleibt.

Übungsfragen

Q1. Ihr Marketingleiter möchte E-Mail-Adressen und demografische Daten von Besuchern erfassen, die das Gast-WiFi in Ihren Einzelhandelsgeschäften nutzen. Das Netzwerk-Engineering-Team schlägt vor, die integrierte Gast-Portal-Funktion Ihrer bestehenden Cisco ISE-Bereitstellung zu aktivieren. Ist dies der richtige Ansatz?

Hinweis: Berücksichtigen Sie die kommerziellen Funktionen des Cisco ISE Guest Portals im Vergleich zu einer dedizierten Overlay-Plattform.

Musterlösung anzeigen

Nein. Das Cisco ISE Gast-Portal ist für den funktionalen Zugriff (z. B. für externe Dienstleister) konzipiert, nicht für kommerzielles Marketing. Es fehlen native CRM-Integrationen, Workflows zur Verwaltung von DSGVO-Einwilligungen und detaillierte Besucheranalysen. Der richtige Ansatz besteht darin, Purple auf der Gast-SSID zu implementieren, um die Datenerfassung und -analyse zu übernehmen, während Cisco ISE weiterhin das Unternehmensnetzwerk verwaltet.

Q2. Ein Gast verbindet sich mit der von Purple verwalteten SSID, aber sein Browser zeigt einen Timeout-Fehler anstelle der Captive Portal-Begrüßungsseite an. Unternehmensbenutzer auf der von Cisco ISE verwalteten SSID sind nicht betroffen. Was ist die wahrscheinlichste Ursache?

Hinweis: Denken Sie darüber nach, was geschehen muss, bevor die Authentifizierung in einem Captive Portal-Netzwerk abgeschlossen ist.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist ein falsch konfigurierter Walled Garden (Pre-Authentication-ACL) auf dem Wireless Access Point oder Controller. Das Gerät wird daran gehindert, die Cloud-Infrastruktur von Purple zu erreichen, um das Portal zu laden. Sie müssen sicherstellen, dass die spezifischen Domains und IP-Bereiche von Purple auf der Whitelist stehen.

Q3. Sie entwerfen ein Netzwerk für eine neue Unternehmenszentrale. Sie müssen Laptops von Mitarbeitern, persönliche Telefone von Mitarbeitern (BYOD) und Gastkunden unterstützen. Wie sollten Sie die SSIDs und die Authentifizierung strukturieren?

Hinweis: Trennen Sie die Zielgruppen basierend auf dem Gerätebesitz und den erforderlichen Zugriffsebenen.

Musterlösung anzeigen

Stellen Sie zwei SSIDs bereit. Die Unternehmens-SSID verwendet WPA3-Enterprise. Cisco ISE übernimmt die 802.1X-Authentifizierung für Laptops von Mitarbeitern und verwaltet die Zertifikatsregistrierung für BYOD-Geräte von Mitarbeitern, wobei sie internen VLANs zugewiesen werden. Die Gast-SSID ist offen und wird zu Purple umgeleitet. Purple übernimmt die Captive Portal-Authentifizierung für Gastkunden und platziert diese in einem isolierten VLAN, das nur Zugang zum Internet hat.

Weiterlesen in dieser Reihe

Konfigurieren von RADIUS-Authentifizierung für Gäste- und Mitarbeiter-WiFi-Netzwerke

Dieses technische Referenzhandbuch beschreibt die Architektur, Konfiguration und Bereitstellung der RADIUS-Authentifizierung für WiFi-Netzwerke von Unternehmen für Gäste und Mitarbeiter. Es bietet Netzwerkarchitekten und IT-Managern die genauen Protokolle, Sicherheitsstandards und Fehlerbehebungsmethoden, die für den Aufbau sicherer, skalierbarer drahtloser Zugriffskontrollsysteme erforderlich sind.

Leitfaden lesen →

Passpoint und OpenRoaming: Das vollständige Handbuch

Dieses technische Referenzhandbuch bietet eine umfassende Analyse der Passpoint (Hotspot 2.0) und WBA OpenRoaming Frameworks in Enterprise WiFi Netzwerken. Es beschreibt detailliert die zugrundeliegenden Authentifizierungsprotokolle, Architekturkomponenten und Bereitstellungsstrategien, die für den Aufbau einer sicheren, reibungslosen Gastkonnektivität erforderlich sind. Netzwerkarchitekten und IT-Leiter erfahren, wie sie diese Standards entwerfen, implementieren und Fehler beheben, um manuelle Anmeldebarrieren zu beseitigen und gleichzeitig die Sicherheit auf Enterprise-Niveau aufrechtzuerhalten.

Leitfaden lesen →

Implementierung von SCEP für sichere BYOD- und Netzwerkanmeldung im Hochschulbereich

Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern ein herstellerunabhängiges Konzept für die Bereitstellung von SCEP-basierten Zertifikatsanmeldungen zur Sicherung von Campusnetzwerken an Hochschulen. Er beschreibt im Detail die Migration von passwortbasiertem PEAP zu 802.1X EAP-TLS, die Automatisierung des BYOD-Onboardings und die Durchsetzung einer robusten VLAN-Segmentierung.

Leitfaden lesen →