Saltar al contenido principal

Cisco ISE frente a Purple WiFi: comparación y cómo funcionan de manera conjunta

Esta guía explica cómo Cisco ISE y Purple WiFi desempeñan funciones distintas pero complementarias en las redes empresariales. Detalla cómo utilizar Cisco ISE para el acceso corporativo seguro mediante 802.1X, al tiempo que se aprovecha Purple para ofrecer un WiFi de invitados que cumpla con el GDPR, análisis de marketing e integración con CRM.

📖 6 min de lectura📝 1,259 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Usted es un consultor sénior de seguridad de redes que informa a un cliente en inglés británico con un tono seguro, autoritario y conversacional. Hable con claridad y a un ritmo pausado, como si estuviera exponiendo ante una junta directiva de directores de TI y arquitectos de redes. Se trata de una sesión informativa técnica y profesional, no de una clase. Hable en inglés británico con un acento estándar de pronunciación recibida: Le damos la bienvenida a la serie de sesiones informativas técnicas de Purple. Hoy vamos a abordar una pregunta que surge constantemente en el diseño de redes empresariales: Cisco ISE frente a Purple WiFi. ¿Cómo se comparan y, lo que es más importante, cómo funcionan de manera conjunta? Le daré la respuesta directa en unos diez minutos. [pausa media] Empecemos con el contexto. Si gestiona un hotel, una red de tiendas, un estadio o un edificio del sector público, es casi seguro que tiene dos poblaciones distintas que se conectan a su red. Por un lado, dispone de personal y dispositivos corporativos; por otro, de huéspedes, visitantes, aficionados o clientes. Estas dos poblaciones tienen requisitos de autenticación, derechos de datos y objetivos comerciales completamente diferentes. El error que cometen la mayoría de las organizaciones es intentar resolver ambos problemas con una sola herramienta. De ahí viene la confusión entre Cisco ISE y Purple. [pausa media] Sección uno: qué hace realmente Cisco ISE. Cisco Identity Services Engine, o ISE, es la plataforma de control de acceso a la red (NAC) empresarial de Cisco. Su función es autenticar y autorizar dispositivos corporativos y usuarios de la plantilla. Esto lo hace principalmente a través de IEEE 802.1X, que es el estándar de control de acceso a la red basado en puertos. Cuando un ordenador portátil corporativo se conecta a su red, ISE comprueba su certificado mediante EAP-TLS, o sus credenciales a través de PEAP, lo valida con Active Directory o Microsoft Entra ID, evalúa su estado de seguridad y, a continuación, lo asigna a la VLAN correcta con la política adecuada. Si el dispositivo no supera la evaluación de seguridad, ISE puede ponerlo en cuarentena automáticamente mediante el cambio de autorización (CoA) de RADIUS. ISE también gestiona la incorporación de dispositivos personales (BYOD), donde estos se registran con un certificado para poder autenticarse de forma segura sin una contraseña compartida. Además, se integra con el entorno de trabajo pxGrid de Cisco, lo que permite que otras herramientas de seguridad, como cortafuegos y plataformas SIEM, consuman el contexto de identidad en tiempo real. Los tres niveles de licencia de ISE son Essentials, Advantage y Premier. Essentials cubre 802.1X y el acceso básico para invitados. Advantage añade BYOD, evaluación del estado de seguridad e integración con MDM de terceros. Premier añade servicios de identidad pasiva e integración avanzada contra amenazas. [pausa media] Por lo tanto, ISE es una plataforma de seguridad seria y de nivel empresarial. Pero aquí está el punto crítico: su portal de invitados es funcional, no comercial. ISE puede redirigir un dispositivo no autenticado a una página web, recopilar un nombre de usuario y contraseña o la aprobación de un patrocinador, y conceder acceso a internet. Lo que no puede hacer es capturar el consentimiento de marketing de conformidad con el GDPR, ejecutar portales de bienvenida personalizados con inicio de sesión social, enviar datos de visitantes a Salesforce o HubSpot, generar mapas de calor de afluencia o segmentar a los visitantes por datos demográficos para una campaña de marketing. ISE no se diseñó para eso, e intentar forzarlo a cumplir esa función genera complejidad sin ofrecer el resultado comercial. Usted es un consultor senior de seguridad de red que continúa una sesión informativa técnica en inglés británico con un tono seguro, autoritario y conversacional. Hable con claridad y a un ritmo pausado. Hable en inglés británico con un acento estándar de pronunciación recibida: Sección dos: qué hace Purple. Purple es una plataforma de superposición en la nube. Nos situamos por encima de su infraestructura de WiFi existente, ya sea Cisco Meraki, Cisco Catalyst, HPE Aruba, Ruckus, Juniper Mist o cualquiera de los otros principales fabricantes. No reemplazamos su hardware. No reemplazamos ISE. Nosotros nos encargamos de la capa de experiencia del invitado. Cuando un visitante se conecta a su SSID de invitados, Purple intercepta esa conexión y presenta un Captive Portal personalizado. Ese portal puede ofrecer inicio de sesión social a través de Facebook, Google o LinkedIn, un formulario de captura de datos personalizado, una opción de clic para conectar o Passpoint para una reconexión segura automática en visitas posteriores. Cada inicio de sesión captura datos de primera mano con el consentimiento explícito del GDPR. Esos datos fluyen directamente a su CRM, a su plataforma de marketing por correo electrónico o a su programa de fidelización. Purple opera en 80.000 establecimientos activos y ha procesado 440 millones de inicios de sesión solo en 2024. Contamos con la certificación ISO 27001, cumplimos con el GDPR y la CCPA, y mantenemos un tiempo de actividad del 99,999%. Entre los clientes designados se encuentran McDonald's, Harrods, Premier Inn, AGS Airports y Manchester Airports Group. [pausa media] Sección tres: cómo coexisten en una topología de red moderna. La arquitectura es sencilla una vez que se comprende la separación de funciones. Usted ejecuta dos o tres SSID en los mismos puntos de acceso. El SSID corporativo utiliza WPA3-Enterprise con 802.1X, e ISE es el servidor RADIUS. Cada dispositivo del personal se autentica con un certificado o una credencial. ISE asigna el dispositivo a la VLAN correcta, aplica la política correcta y registra la sesión. Purple no tiene ninguna función aquí. Este es el dominio exclusivo de ISE. El SSID de invitados está abierto o utiliza WPA3-Personal con una clave precompartida para la asociación inicial. El tráfico se redirige al portal en la nube de Purple. Purple se encarga de la autenticación, la captura del consentimiento y las analíticas. El punto de acceso aplica un jardín vallado hasta que Purple indica la autorización, momento en el que abre el acceso a internet. ISE no tiene ninguna función aquí. Este es el dominio de Purple.Para despliegues más complejos, puede añadir un tercer SSID para dispositivos IoT utilizando claves precompartidas de identidad (iPSK), donde cada dispositivo obtiene una frase de paso única asociada a una VLAN específica. ISE puede gestionar esto para el IoT corporativo, o la función SecurePass de Purple se encarga de ello para el IoT del establecimiento, como terminales de punto de venta y señalización digital. Si desea una integración más estrecha entre ambas plataformas, pxGrid de Cisco permite a Purple publicar el contexto de la sesión de invitado en el ecosistema de ISE, de modo que su equipo de operaciones de seguridad pueda ver la actividad de los invitados junto con la actividad corporativa en una vista unificada. [medium pause] Sección cuatro: recomendaciones de implementación y errores comunes. Permítame detallar los tres errores más comunes que veo en los despliegues. Primero: utilizar el portal de invitados integrado de ISE para WiFi de invitados comercial. El portal de invitados de ISE está diseñado para contratistas y personal temporal, no para accesos de invitados orientados al marketing. No tiene integración con CRM, ni gestión de consentimientos, ni analíticas. Si se encuentra en el sector de la hostelería, el comercio minorista o los eventos, necesita Purple en el SSID de invitados. ISE gestiona lo corporativo. Purple gestiona los invitados. Manténgalos separados. Segundo: no segmentar las VLAN correctamente. El tráfico de invitados debe estar aislado del tráfico corporativo en la capa dos. Purple funciona en una VLAN separada enrutada directamente a internet, sin acceso a los recursos internos. ISE impone la asignación de VLAN para los dispositivos corporativos. Si confunde esto, creará un riesgo de seguridad y un problema de cumplimiento. Tercero: descuidar la configuración del walled garden. Cuando Purple es el Captive Portal, el punto de acceso debe permitir el tráfico DNS y HTTP hacia los endpoints en la nube de Purple antes de la autenticación. Si su walled garden es demasiado restrictivo, el portal no se cargará. Si es demasiado permisivo, los usuarios podrán eludir la autenticación. La documentación de soporte de Purple proporciona los rangos de IP y dominios exactos que debe incluir en la lista blanca para cada proveedor de hardware. [medium pause] Sección cinco: preguntas rápidas. ¿Reemplaza Purple a Cisco ISE? No. Resuelven problemas diferentes para usuarios diferentes en SSIDs diferentes. ¿Puedo ejecutar Purple en Cisco Meraki sin ISE? Sí. Purple se integra de forma nativa con Cisco Meraki a través de la API de Meraki. No se requiere ISE para el WiFi de invitados. ¿Puedo ejecutar ambos en los mismos puntos de acceso? Sí. Configurar múltiples SSIDs en el mismo hardware es una práctica estándar. ¿Soporta Purple 802.1X? La función SecurePass de Purple es compatible con WPA3-Enterprise con 802.1X para dispositivos de invitados que tengan instalada la aplicación Purple, lo que permite una reconexión automática basada en certificados sin necesidad de un Captive Portal. ¿Qué pasa con el cumplimiento de PCI-DSS? El WiFi de invitados debe estar aislado de los sistemas de tarjetas de pago. La arquitectura de VLAN de Purple cumple con este requisito. ISE impone el mismo aislamiento para los dispositivos corporativos. [medium pause] Resumen y siguientes pasos. El marco de toma de decisiones es sencillo. Si el dispositivo pertenece a su organización o a su personal, ISE se encarga de la autenticación. Si el dispositivo pertenece a un invitado, visitante, comprador o aficionado, Purple gestiona la experiencia. Ambas plataformas comparten la misma infraestructura física pero operan en capas lógicas completamente independientes. Como siguiente paso, planifique su arquitectura de SSID actual. Identifique qué SSIDs son corporativos y cuáles son de invitados. Confirme que el tráfico de invitados está aislado por VLAN. A continuación, evalúe si su Captive Portal de invitados actual ofrece el consentimiento de marketing, las analíticas y la integración con CRM que necesitan sus equipos comerciales. Si no es así, ese es el vacío que cubre Purple. Puede encontrar la guía escrita completa, los diagramas de arquitectura y ejemplos prácticos en purple.ai. Gracias por su tiempo.

header_image.png

Resumen ejecutivo

La arquitectura de red empresarial exige una clara separación de funciones entre la seguridad corporativa y la fidelización comercial de los invitados. Al evaluar Cisco ISE frente a Purple WiFi, el error que cometen muchos líderes de TI es verlas como plataformas de la competencia. No lo son. Cisco Identity Services Engine (ISE) es un motor de políticas 802.1X y de Control de Acceso a la Red (NAC) estándar del sector para proteger los dispositivos corporativos y de los empleados. Purple es una plataforma superpuesta basada en la nube creada para gestionar Captive Portals de invitados, el consentimiento de marketing de los visitantes y el análisis operativo.

Intentar obligar a Cisco ISE a funcionar como una alternativa de portal de invitados de cisco ise para marketing comercial introduce una complejidad innecesaria y no ofrece datos útiles. Por el contrario, la implementación de Purple WiFi junto con Cisco ISE permite que cada plataforma haga lo que mejor sabe hacer. Purple se integra de forma nativa con la infraestructura de Cisco para descargar la compleja lógica de la experiencia del invitado, mientras que deja las políticas de seguridad empresariales principales en manos de Cisco ISE. Esta guía detalla cómo conviven en una topología de red empresarial moderna, proporcionando estrategias de implementación prácticas para el sector minorista , la hostelería y los grandes espacios públicos.

Análisis técnico detallado

El papel de Cisco ISE: Control de Acceso a la Red corporativa

Cisco ISE es el estándar de oro para el NAC empresarial. Su función principal es autenticar y autorizar dispositivos y usuarios conocidos que se conectan a la red corporativa, apoyándose en gran medida en el estándar de control de acceso a la red basado en puertos IEEE 802.1X.

Cuando un ordenador portátil corporativo se conecta a un puerto de switch o a un SSID corporativo, ISE actúa como servidor RADIUS. Valida los certificados de los dispositivos mediante EAP-TLS o las credenciales de usuario mediante PEAP frente a Active Directory o Microsoft Entra ID. A continuación, ISE evalúa el estado de seguridad del dispositivo. Si cumple con los requisitos, ISE asigna la VLAN correcta y aplica la etiqueta de grupo de seguridad (SGT) adecuada. Si el dispositivo no supera la evaluación del estado, ISE puede ponerlo en cuarentena mediante la función de Cambio de Autorización (CoA) de RADIUS. Para un análisis más detallado de la configuración del cliente, revise nuestra guía sobre ¿Qué es un suplicante 802.1X? Tipos de clientes y configuración de dispositivos . ISE also manages Bring Your Own Device (BYOD) onboarding, where personal devices are enrolled with certificates for secure and password-free access. Additionally, it integrates with Cisco's pxGrid framework, allowing firewalls and SIEM platforms to utilise real-time identity context. ISE is licensed in three tiers: Essentials, Advantage, and Premier, which scale from basic 802.1X to advanced threat integration.

Purple's Role: Guest Experience and Analytics

While ISE excels at securing corporate assets, its built-in guest portal is more utilitarian than commercial. It can provide basic internet access for contractors, but it cannot capture GDPR-compliant marketing consent, run branded splash pages with social login, or push visitor data into CRM platforms like Salesforce. Purple fills precisely this gap.

Purple is a hardware-agnostic cloud overlay. It operates on top of your existing WiFi infrastructure, including Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme and Fortinet. Purple essentially owns the guest experience layer. When a visitor connects to your guest SSID, Purple presents a branded Captive Portal. This portal offers social login via Facebook, Google, or LinkedIn, custom data capture forms, and seamless options like Passpoint.

Every login captures first-party data with clear, active-choice opt-ins. Purple processes this data through its analytics engine, creating footfall heatmaps and visitor demographics, and then pushes it directly to your marketing stack. Purple operates across 80,000+ live venues and processed 440 million logins in 2024. We hold ISO 27001 certification and comply with GDPR and CCPA, ensuring enterprise-grade stability with 99.999% uptime. For a deeper dive into the commercial benefits, see our WiFi Analytics platform overview.

architecture_overview.png

Architectural Coexistence

When you separate the SSIDs, the architecture becomes remarkably simple. You run two or three SSIDs on the same access points. For a detailed breakdown of this design, read Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .

The corporate SSID uses WPA3-Enterprise with 802.1X, and ISE is the RADIUS server. ISE assigns the device to the correct VLAN and enforces policy. Purple plays no part here.

The guest SSID uses an open network for initial association or WPA3-Personal with a pre-shared key. Traffic is redirected to Purple's cloud portal. Purple manages authentication, consent capture and analytics. The access point enforces a walled garden until Purple signals authorisation, then enables internet access. ISE has no role here.

Para los dispositivos IoT de las instalaciones, como los terminales de punto de venta, la función SecurePass de Purple puede gestionar las claves precompartidas de identidad (iPSK), o bien ISE puede gestionar el IoT corporativo.

comparison_chart.png

Guía de implementación

La implementación de Purple junto con Cisco ISE requiere una configuración cuidadosa de sus controladores LAN inalámbricos o paneles de control en la nube.

Paso 1: Segmentación de SSID

Cree SSIDs independientes para el tráfico corporativo y el de invitados. Configure el SSID corporativo para WPA3-Enterprise y dirija la autenticación RADIUS a sus nodos de Cisco ISE. Configure el SSID de invitados para acceso abierto con filtrado MAC o WPA3-Personal.

Paso 2: Aislamiento de VLAN

Asegúrese de que el tráfico de invitados esté aislado del tráfico corporativo en la Capa 2. El SSID de invitados debe estar asignado a una VLAN dedicada que omita las tablas de enrutamiento internas y se dirija directamente al firewall de Internet. ISE aplica la asignación de VLAN para el SSID corporativo en función de las políticas.

Paso 3: Configuración de Walled Garden

Para el SSID de invitados, configure la redirección del Captive Portal para que apunte a la infraestructura en la nube de Purple. Debe configurar un walled garden (ACL de preautorización) en sus puntos de acceso para permitir el tráfico DNS y HTTP/HTTPS a los rangos de IP y dominios requeridos por Purple. Si el walled garden es demasiado restrictivo, el Captive Portal no se cargará.

Paso 4: Integración de RADIUS para WiFi de invitados

Configure su controlador inalámbrico para utilizar los servidores RADIUS de Purple para el SSID de invitados. Esto permite a Purple autorizar al usuario y realizar un seguimiento de la duración de la sesión y el uso del ancho de banda.

Buenas prácticas

  1. Nunca mezcle el tráfico de invitados y el corporativo en el mismo SSID. Esto genera riesgos importantes de seguridad y cumplimiento. Utilice siempre SSIDs dedicados asignados a VLANs aisladas.
  2. Utilice Purple para el acceso comercial de invitados. No utilice el portal de invitados integrado de ISE si necesita análisis de marketing, integración con CRM o inicio de sesión social personalizado.
  3. Aplique un ancho de banda escalonado. Ofrezca un servicio básico gratuito en el SSID de invitados y ofrezca una opción premium de pago para velocidades más altas utilizando los planes Connect, Capture o Engage de Purple.
  4. Aproveche Passpoint. Utilice Passpoint (Hotspot 2.0) a través de Purple para permitir que los invitados que regresan se conecten de forma automática y segura sin tener que ver el Captive Portal repetidamente.

Resolución de problemas y mitigación de riesgos

  • El Captive Portal no se carga: Esto casi siempre se debe a un problema con el walled garden. Verifique que todos los dominios y direcciones IP requeridos de Purple estén permitidos en la ACL de preautenticación de su hardware Cisco.
  • Los dispositivos de invitados acceden a recursos internos: Esto indica un fallo en el aislamiento de la VLAN. Verifique que la VLAN de invitados no pueda enrutarse a las subredes corporativas en la capa del firewall o del switch principal.* Tiempos de espera de RADIUS: si el controlador inalámbrico no puede comunicarse con los servidores RADIUS de Purple, la autenticación de invitados fallará. Asegúrese de que su cortafuegos permita los puertos UDP salientes 1812 y 1813 hacia la infraestructura de Purple.

ROI e impacto empresarial

El impacto empresarial de separar el control de acceso a la red de Cisco ISE de la gestión de la experiencia de los invitados es sumamente significativo. Al delegar las responsabilidades del WiFi para invitados en Purple, los equipos de TI pueden reducir la carga operativa de gestionar cuentas temporales y resolver problemas con el portal.

Lo que es más importante, Purple convierte la red de invitados en un activo generador de ingresos. Al recopilar datos de primera mano e integrarlos con plataformas de CRM, los recintos pueden ejecutar campañas de marketing muy específicas. Por ejemplo, Harrods utilizó una pregunta sencilla en su página de bienvenida para impulsar los registros en su programa de fidelización, lo que contribuyó directamente a un ROI de 3 veces más de lo invertido solo en ese grupo. AGS Airports obtuvo un retorno de la inversión del 842% gracias a la implementación de un ancho de banda estructurado por niveles. La combinación de Cisco ISE para la seguridad y Purple para el engagement ofrece tanto tranquilidad como un valor comercial medible.

Definiciones clave

Control de Acceso a la Red (NAC)

Una arquitectura de seguridad que restringe la disponibilidad de la red a los dispositivos de punto final compatibles y autenticados. Cisco ISE es una plataforma NAC.

Los equipos de TI utilizan NAC para evitar que dispositivos no autorizados accedan a los datos corporativos.

IEEE 802.1X

Un estándar de la IEEE para el control de acceso a redes basado en puertos, que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

Utilizado por Cisco ISE para proteger los SSID corporativos mediante certificados o credenciales en lugar de contraseñas compartidas.

Captive Portal

Una página web que el usuario de una red de acceso público está obligado a ver y con la que debe interactuar antes de que se le conceda el acceso.

Purple proporciona captive portals altamente personalizables para capturar el consentimiento de marketing y datos de primera mano.

VLAN (Red de Área Local Virtual)

Una subred lógica que agrupa una colección de dispositivos de diferentes LAN físicas.

Crucial para separar el tráfico de invitados (gestionado por Purple) del tráfico corporativo (gestionado por ISE).

Walled Garden

Un entorno restringido que controla el acceso de un usuario a contenidos y servicios web antes de que se haya autenticado por completo.

Debe configurarse correctamente en el hardware de Cisco para permitir que los dispositivos lleguen a los servidores de Purple para cargar el captive portal.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de la autenticación, autorización y contabilidad.

Tanto ISE como Purple utilizan RADIUS, pero con fines diferentes: ISE para el acceso corporativo 802.1X, Purple para la contabilidad de sesiones de invitados.

Passpoint (Hotspot 2.0)

Un estándar que permite a los dispositivos móviles descubrir y conectarse automáticamente a redes WiFi de forma segura sin intervención del usuario.

Purple admite Passpoint para proporcionar una experiencia de roaming fluida, similar a la red celular, para los invitados que regresan.

pxGrid

Platform Exchange Grid. Un marco de trabajo de Cisco que permite la colaboración de sistemas de red multiplataforma y de múltiples proveedores.

Permite a Purple compartir el contexto de la sesión de invitados con el ecosistema de Cisco ISE para obtener una visibilidad de seguridad unificada.

Ejemplos prácticos

Un hotel de 200 habitaciones necesita proporcionar un WiFi seguro para el personal interno (limpieza, administración) y una experiencia de WiFi de marca con captura de datos para los huéspedes del hotel. Actualmente utilizan puntos de acceso Cisco Catalyst.

Desplegar dos SSID. "Hotel_Corp" utiliza WPA3-Enterprise. Cisco ISE actúa como el servidor RADIUS, autenticando los dispositivos del personal mediante certificados EAP-TLS y asignándolos a la VLAN de gestión. "Hotel_Guest" utiliza un SSID abierto redireccionado a Purple. Purple presenta un captive portal de marca que ofrece inicio de sesión social o integración con el PMS. El tráfico de invitados se ubica en una VLAN aislada que se enruta directamente a internet.

Comentario del examinador: Este enfoque separa a la perfección las responsabilidades. ISE protege los activos corporativos, mientras que Purple gestiona el requisito comercial de capturar datos de invitados para el equipo de marketing del hotel. El aislamiento de VLAN garantiza el cumplimiento de la normativa PCI-DSS.

Una gran cadena minorista desea realizar un seguimiento de la afluencia y el tiempo de permanencia de los compradores en 50 tiendas utilizando su infraestructura existente de Cisco Meraki, sin comprometer la seguridad de su red interna de puntos de venta (POS).

Los terminales POS se conectan a un SSID oculto protegido por WPA3-Enterprise y Cisco ISE. Se transmite un SSID público "Free_Store_WiFi" para los compradores. El panel de Meraki se configura para integrarse con Purple mediante API. Purple captura datos de presencia anonimizados de los dispositivos que emiten sondas para generar mapas de calor, y captura datos de primera mano explícitos cuando los compradores inician sesión en el captive portal.

Comentario del examinador: El uso de la superposición en la nube de Purple con Meraki no requiere hardware nuevo. La cadena minorista obtiene análisis profundos y datos de marketing, mientras que ISE garantiza que la red POS permanezca bloqueada y conforme con las normativas.

Preguntas de práctica

Q1. Tu director de marketing desea capturar direcciones de correo electrónico y datos demográficos de los visitantes que utilizan el WiFi de invitados en tus tiendas de retail. El equipo de ingeniería de red sugiere activar la función de portal de invitados integrada en tu despliegue actual de Cisco ISE. ¿Es este el enfoque correcto?

Sugerencia: Considera las capacidades comerciales del portal de invitados de ISE frente a una plataforma superpuesta dedicada.

Ver respuesta modelo

No. El portal de invitados de Cisco ISE está diseñado para el acceso funcional (por ejemplo, contratistas), no para el marketing comercial. Carece de integraciones nativas con CRM, flujos de gestión de consentimiento para GDPR y análisis detallados de visitantes. El enfoque correcto es implementar Purple en el SSID de invitados para gestionar la captura de datos y el análisis, mientras se deja que ISE gestione la red corporativa.

Q2. Un invitado se conecta al SSID gestionado por Purple pero su navegador muestra un error de tiempo de espera agotado en lugar de la página de inicio del Captive Portal. Los usuarios corporativos en el SSID gestionado por ISE no se ven afectados. ¿Cuál es la causa más probable?

Sugerencia: Piensa en lo que debe ocurrir antes de que se complete la autenticación en una red con Captive Portal.

Ver respuesta modelo

La causa más probable es un walled garden (ACL de preautenticación) configurado incorrectamente en el punto de acceso inalámbrico o controlador. Se está bloqueando el acceso del dispositivo a la infraestructura de nube de Purple para cargar el portal. Debes asegurarte de que los dominios y rangos de IP específicos de Purple estén en la lista blanca.

Q3. Estás diseñando una red para una nueva sede corporativa. Necesitas dar soporte a portátiles del personal, teléfonos personales del personal (BYOD) y clientes visitantes. ¿Cómo deberías estructurar los SSID y la autenticación?

Sugerencia: Separa las poblaciones en función de la propiedad del dispositivo y los niveles de acceso requeridos.

Ver respuesta modelo

Despliega dos SSID. El SSID corporativo utiliza WPA3-Enterprise. Cisco ISE gestiona la autenticación 802.1X para los portátiles del personal y gestiona el registro de certificados para los dispositivos BYOD del personal, asignándolos a VLAN internas. El SSID de invitados está abierto y se redirige a Purple. Purple gestiona la autenticación del Captive Portal para los clientes visitantes, ubicándolos en una VLAN aislada solo con acceso a Internet.

Continúe leyendo esta serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Esta guía de referencia técnica describe la arquitectura, configuración y despliegue de la autenticación RADIUS para redes WiFi empresariales de invitados y de personal. Proporciona a los arquitectos de redes y responsables de TI los protocolos exactos, los estándares de seguridad y las metodologías de resolución de problemas necesarios para crear sistemas de control de acceso inalámbrico seguros y escalables.

Leer la guía →

Passpoint y OpenRoaming: Guía completa

Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue necesarias para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de redes y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras mantienen una seguridad de nivel empresarial.

Leer la guía →

Cómo implementar SCEP para un BYOD seguro y registro de red en educación superior

Esta guía técnica proporciona a arquitectos de red y directores de TI un plan de acción independiente del proveedor para desplegar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.

Leer la guía →