Cisco ISE vs. Purple WiFi: cómo se comparan y cómo funcionan en conjunto
Esta guía explica cómo Cisco ISE y Purple WiFi desempeñan roles distintos pero complementarios en las redes empresariales. Detalla cómo utilizar Cisco ISE para el acceso corporativo seguro mediante 802.1X mientras se aprovecha Purple para el WiFi de invitados compatible con GDPR, analíticas de marketing e integración con CRM.
Escucha esta guía
Ver transcripción del podcast
- Resumen Ejecutivo
- Análisis Técnico Detallado
- El Rol de Cisco ISE: Control de Acceso a la Red Corporativa
- El rol de Purple: Experiencia de invitado y analíticas
- Coexistencia arquitectónica
- Guía de implementación
- Paso 1: Segmentación de SSID
- Paso 2: Aislamiento de VLAN
- Paso 3: Configuración de Walled Garden
- Paso 4: Integración de RADIUS para WiFi de invitados
- Mejores prácticas
- Resolución de problemas y mitigación de riesgos
- ROI e impacto comercial

Resumen Ejecutivo
La arquitectura de red empresarial exige una clara separación de funciones entre la seguridad corporativa y la interacción comercial de los invitados. Al evaluar Cisco ISE frente a Purple WiFi, el error que cometen muchos líderes de TI es verlos como plataformas de la competencia. No lo son. Cisco Identity Services Engine (ISE) es un motor de políticas de control de acceso a la red (NAC) y 802.1X estándar de la industria para asegurar los dispositivos de la fuerza laboral y corporativos. Purple es una plataforma de superposición basada en la nube creada para gestionar Captive Portals de invitados, el consentimiento de marketing de los visitantes y el análisis operativo.
Intentar forzar a Cisco ISE a funcionar como una alternativa de portal de invitados de Cisco ISE para marketing comercial introduce una complejidad innecesaria y no ofrece datos prácticos. Por el contrario, implementar Purple WiFi junto con Cisco ISE permite que cada plataforma haga lo que mejor sabe hacer. Purple se integra de forma nativa con la infraestructura de Cisco para descargar la lógica compleja de la experiencia del invitado, mientras deja las políticas de seguridad empresariales principales en Cisco ISE. Esta guía detalla cómo conviven en una topología de red empresarial moderna, proporcionando estrategias de implementación prácticas para el comercio minorista , la hospitalidad y los grandes lugares públicos.
Análisis Técnico Detallado
El Rol de Cisco ISE: Control de Acceso a la Red Corporativa
Cisco ISE es el estándar de oro para el NAC empresarial. Su función principal es autenticar y autorizar dispositivos y usuarios conocidos que se conectan a la red corporativa, apoyándose en gran medida en el estándar de control de acceso a la red basado en puertos IEEE 802.1X.
Cuando una laptop corporativa se conecta a un puerto de switch o a un SSID corporativo, ISE actúa como un servidor RADIUS. Valida los certificados del dispositivo a través de EAP-TLS o las credenciales del usuario a través de PEAP contra Active Directory o Microsoft Entra ID. Luego, ISE evalúa el estado de seguridad del dispositivo. Si cumple con los requisitos, ISE asigna la VLAN correcta y aplica la etiqueta de grupo de seguridad (SGT) adecuada. Si el dispositivo no supera la evaluación de estado, ISE puede ponerlo en cuarentena utilizando el cambio de autorización (CoA) de RADIUS. Para un análisis más detallado de la configuración del cliente, revise nuestra guía sobre ¿Qué es un suplicante 802.1X? Tipos de clientes y configuración de dispositivos . ISE también gestiona la incorporación de Bring Your Own Device (BYOD), donde los dispositivos personales se registran con certificados para un acceso seguro y sin contraseñas. Además, se integra con el framework pxGrid de Cisco, lo que permite a los firewalls y plataformas SIEM utilizar el contexto de identidad en tiempo real. ISE se licencia en tres niveles: Essentials, Advantage y Premier, que escalan desde el 802.1X básico hasta la integración avanzada de amenazas.
El rol de Purple: Experiencia de invitado y analíticas
Aunque ISE destaca en la seguridad de los activos corporativos, su portal de invitados integrado es más utilitario que comercial. Puede proporcionar acceso básico a internet para contratistas, pero no puede capturar el consentimiento de marketing de conformidad con el GDPR, ejecutar páginas de bienvenida de marca con inicio de sesión social ni enviar datos de visitantes a plataformas CRM como Salesforce. Purple cubre precisamente este vacío.
Purple es una capa en la nube que no depende del hardware. Funciona sobre su infraestructura de WiFi existente, incluyendo Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Purple posee esencialmente la capa de experiencia del invitado. Cuando un visitante se conecta a su SSID de invitado, Purple presenta un Captive Portal de marca. Este portal ofrece inicio de sesión social a través de Facebook, Google o LinkedIn, formularios personalizados de captura de datos y opciones fluidas como Passpoint.
Cada inicio de sesión captura datos de primera mano con opciones de consentimiento claras y de elección activa. Purple procesa estos datos a través de su motor de analíticas, creando mapas de calor de afluencia y datos demográficos de los visitantes, para luego enviarlos directamente a su pila de marketing. Purple opera en más de 80,000 establecimientos activos y procesó 440 millones de inicios de sesión en 2024. Contamos con la certificación ISO 27001 y cumplimos con GDPR y CCPA, lo que garantiza una estabilidad de nivel empresarial con un tiempo de actividad del 99.999%. Para profundizar en los beneficios comerciales, consulte nuestra descripción general de la plataforma de analíticas de WiFi .

Coexistencia arquitectónica
Al separar los SSIDs, la arquitectura se vuelve increíblemente sencilla. Usted ejecuta dos o tres SSIDs en los mismos puntos de acceso. Para obtener un desglose detallado de este diseño, lea Tres SSIDs para gobernarlos a todos: invitado, Passpoint y WiFi de IoT .
El SSID corporativo utiliza WPA3-Enterprise con 802.1X, e ISE es el servidor RADIUS. ISE asigna el dispositivo a la VLAN correcta y aplica la política. Purple no interviene aquí.
El SSID de invitado utiliza una red abierta para la asociación inicial o WPA3-Personal con una clave precompartida. El tráfico se redirige al portal en la nube de Purple. Purple gestiona la autenticación, la captura de consentimiento y las analíticas. El punto de acceso aplica un jardín vallado hasta que Purple señala la autorización, y luego habilita el acceso a internet. ISE no tiene ningún rol aquí.
Para los dispositivos IoT del establecimiento, como las terminales de punto de venta, la función SecurePass de Purple puede administrar las claves previamente compartidas de identidad (iPSK), o ISE puede administrar la IoT corporativa.

Guía de implementación
Desplegar Purple junto con Cisco ISE requiere una configuración cuidadosa de sus controladores de LAN inalámbrica o de los paneles en la nube.
Paso 1: Segmentación de SSID
Cree SSIDs independientes para el tráfico corporativo y de invitados. Configure el SSID corporativo para WPA3-Enterprise y dirija la autenticación RADIUS a sus nodos de Cisco ISE. Configure el SSID de invitados para acceso abierto con filtrado MAC o WPA3-Personal.
Paso 2: Aislamiento de VLAN
Asegúrese de que el tráfico de invitados esté aislado del tráfico corporativo en la Capa 2. El SSID de invitados debe estar mapeado a una VLAN dedicada que omita las tablas de ruteo internas y se dirija directamente al firewall de internet. ISE aplica la asignación de VLAN para el SSID corporativo de acuerdo con las políticas.
Paso 3: Configuración de Walled Garden
Para el SSID de invitados, configure el direccionamiento del Captive Portal para que apunte hacia la infraestructura en la nube de Purple. Debe configurar un walled garden (lista de control de acceso previa a la autorización) en sus puntos de acceso para permitir el tráfico DNS y HTTP/HTTPS hacia los dominios y rangos de IP requeridos por Purple. Si el walled garden es demasiado restrictivo, el Captive Portal no se cargará.
Paso 4: Integración de RADIUS para WiFi de invitados
Configure su controlador inalámbrico para utilizar los servidores RADIUS de Purple para el SSID de invitados. Esto permite a Purple autorizar al usuario y realizar el seguimiento de la duración de la sesión y el uso del ancho de banda.
Mejores prácticas
- Nunca mezcle el tráfico de invitados y el corporativo en el mismo SSID. Esto genera riesgos significativos de seguridad y cumplimiento. Utilice siempre SSIDs dedicados mapeados a VLANs aisladas.
- Utilice Purple para el acceso comercial de invitados. No utilice el portal de invitados integrado de ISE si necesita análisis de marketing, integración con CRM o inicio de sesión con redes sociales personalizado.
- Aplique un ancho de banda escalonado. Ofrezca un servicio gratuito y básico en el SSID de invitados, y ofrezca una opción premium de pago para velocidades más altas utilizando los planes Connect, Capture o Engage de Purple.
- Aproveche Passpoint. Utilice Passpoint (Hotspot 2.0) a través de Purple para permitir que los invitados recurrentes se conecten de forma automática y segura sin ver el Captive Portal repetidamente.
Resolución de problemas y mitigación de riesgos
- El Captive Portal no se carga: Esto casi siempre es un problema de walled garden. Verifique que todos los dominios y direcciones IP requeridos de Purple estén permitidos en la lista de control de acceso previa a la autenticación de su hardware Cisco.
- Los dispositivos de invitados acceden a recursos internos: Esto indica una falla en el aislamiento de la VLAN. Verifique que la VLAN de invitados no pueda rutease hacia las subredes corporativas en la capa del firewall o del switch central.* Tiempos de espera de RADIUS: si el controlador inalámbrico no puede comunicarse con los servidores RADIUS de Purple, la autenticación de invitados fallará. Asegúrese de que su firewall permita los puertos UDP de salida 1812 y 1813 hacia la infraestructura de Purple.
ROI e impacto comercial
El impacto comercial de separar el control de acceso a la red de Cisco ISE de la gestión de la experiencia de invitados es sumamente significativo. Al delegar las responsabilidades de WiFi para invitados en Purple, los equipos de TI pueden reducir la carga operativa de gestionar cuentas temporales y resolver problemas del portal.
Más importante aún, Purple convierte la red de invitados en un activo generador de ingresos. Al recopilar datos de primera mano e integrarlos con plataformas de CRM, los establecimientos pueden ejecutar campañas de marketing altamente segmentadas. Por ejemplo, Harrods utilizó una pregunta sencilla en su página de bienvenida para impulsar los registros en su programa de lealtad, lo que contribuyó directamente a un ROI de 3x solo en ese grupo. AGS Airports obtuvo un retorno de inversión del 842% al implementar un ancho de banda escalonado. Combinar Cisco ISE para la seguridad y Purple para el engagement ofrece tanto tranquilidad como un valor comercial mensurable.
Definiciones clave
Network Access Control (NAC)
Una arquitectura de seguridad que restringe la disponibilidad de la red a dispositivos de punto final autenticados y que cumplen con las políticas. Cisco ISE es una plataforma NAC.
Los equipos de TI utilizan NAC para evitar que dispositivos no autorizados accedan a los datos corporativos.
IEEE 802.1X
Un estándar IEEE para el control de acceso a redes basado en puertos, que proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN.
Utilizado por Cisco ISE para proteger los SSID corporativos mediante certificados o credenciales en lugar de contraseñas compartidas.
Captive Portal
Una página web que el usuario de una red de acceso público está obligado a ver e interactuar con ella antes de que se le conceda el acceso.
Purple proporciona captive portals altamente personalizables para capturar el consentimiento de marketing y datos de primera fuente.
VLAN (Virtual Local Area Network)
Una subred lógica que agrupa una colección de dispositivos de diferentes LAN físicas.
Crucial para separar el tráfico de invitados (gestionado por Purple) del tráfico corporativo (gestionado por ISE).
Walled Garden
Un entorno restringido que controla el acceso de un usuario a contenidos y servicios web antes de que se haya autenticado por completo.
Debe configurarse correctamente en el hardware de Cisco para permitir que los dispositivos lleguen a los servidores de Purple para cargar el captive portal.
RADIUS
Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA).
Tanto ISE como Purple utilizan RADIUS, pero para diferentes propósitos: ISE para el acceso corporativo 802.1X, Purple para el registro de sesiones de invitados.
Passpoint (Hotspot 2.0)
Un estándar que permite a los dispositivos móviles descubrir y conectarse automáticamente a redes WiFi de forma segura sin intervención del usuario.
Purple es compatible con Passpoint para proporcionar una experiencia de roaming fluida, similar a la de las redes celulares, para los huéspedes que regresan.
pxGrid
Platform Exchange Grid. Un marco de trabajo de Cisco que habilita la colaboración de sistemas de red multiplataforma y de múltiples proveedores.
Permite a Purple compartir el contexto de la sesión de invitados con el ecosistema de Cisco ISE para una visibilidad de seguridad unificada.
Ejemplos resueltos
Un hotel de 200 habitaciones necesita proporcionar WiFi seguro para el personal interno (limpieza, administración) y una experiencia de WiFi con marca propia que capture datos para los huéspedes del hotel. Actualmente utilizan puntos de acceso Cisco Catalyst.
Implementar dos SSID. "Hotel_Corp" utiliza WPA3-Enterprise. Cisco ISE actúa como el servidor RADIUS, autenticando los dispositivos del personal a través de certificados EAP-TLS y asignándolos a la VLAN de administración. "Hotel_Guest" utiliza un SSID abierto redireccionado a Purple. Purple presenta un captive portal con la marca del hotel que ofrece inicio de sesión social o integración con el PMS. El tráfico de invitados se coloca en una VLAN aislada que se enruta directamente a internet.
Una gran cadena minorista desea realizar un seguimiento de la afluencia y el tiempo de permanencia de los compradores en 50 tiendas utilizando su infraestructura Cisco Meraki existente, sin comprometer la seguridad de su red interna de puntos de venta (POS).
Las terminales POS se conectan a un SSID oculto protegido por WPA3-Enterprise y Cisco ISE. Se transmite un SSID público "Free_Store_WiFi" para los compradores. El panel de administración de Meraki está configurado para integrarse con Purple a través de una API. Purple captura datos de presencia anonimizados de los dispositivos que emiten señales de búsqueda para generar mapas de calor, y captura datos de primera fuente explícitos cuando los compradores inician sesión en el captive portal.
Preguntas de práctica
Q1. Su director de marketing desea capturar direcciones de correo electrónico y datos demográficos de los visitantes que utilizan el WiFi de invitados en sus tiendas minoristas. El equipo de ingeniería de red sugiere activar la función de portal de invitados integrada en su implementación existente de Cisco ISE. ¿Es este el enfoque correcto?
Sugerencia: Considere las capacidades comerciales del portal de invitados de ISE en comparación con una plataforma overlay dedicada.
Ver respuesta modelo
No. El portal de invitados de Cisco ISE está diseñado para acceso funcional (por ejemplo, contratistas), no para marketing comercial. Carece de integraciones nativas con CRM, flujos de trabajo para la gestión de consentimiento de GDPR y analíticas detalladas de visitantes. El enfoque correcto es implementar Purple en el SSID de invitados para manejar la captura de datos y las analíticas, mientras se deja que ISE gestione la red corporativa.
Q2. Un invitado se conecta al SSID gestionado por Purple pero su navegador muestra un error de tiempo de espera agotado en lugar de la página de inicio del Captive Portal. Los usuarios corporativos en el SSID gestionado por ISE no se ven afectados. ¿Cuál es la causa más probable?
Sugerencia: Piense en lo que debe ocurrir antes de que se complete la autenticación en una red con Captive Portal.
Ver respuesta modelo
La causa más probable es un walled garden (ACL de preautenticación) configurado incorrectamente en el punto de acceso inalámbrico o controlador. Se está bloqueando el dispositivo para que no alcance la infraestructura en la nube de Purple para cargar el portal. Debe asegurarse de que los dominios y rangos de IP específicos de Purple estén en la lista de permitidos.
Q3. Está diseñando una red para una nueva sede corporativa. Necesita dar soporte a las laptops del personal, los teléfonos personales del personal (BYOD) y los clientes que nos visitan. ¿Cómo debería diseñar la arquitectura de los SSID y la autenticación?
Sugerencia: Separe a las poblaciones según la propiedad del dispositivo y los niveles de acceso requeridos.
Ver respuesta modelo
Implemente dos SSID. El SSID corporativo utiliza WPA3-Enterprise. Cisco ISE maneja la autenticación 802.1X para las laptops del personal y gestiona el enrolamiento de certificados para los dispositivos BYOD del personal, asignándolos a VLAN internas. El SSID de invitados es abierto y se redirige a Purple. Purple maneja la autenticación del Captive Portal para los clientes visitantes, colocándolos en una VLAN aislada que solo tiene acceso a internet.
Continúe leyendo esta serie
Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Esta guía de referencia técnica describe la arquitectura, configuración e implementación de la autenticación RADIUS para redes WiFi empresariales de invitados y empleados. Proporciona a los arquitectos de red y gerentes de TI los protocolos exactos, los estándares de seguridad y las metodologías de solución de problemas requeridas para crear sistemas de control de acceso inalámbrico seguros y escalables.
Passpoint y OpenRoaming: Guía completa
Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue requeridas para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de red y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras se mantiene la seguridad de nivel empresarial.
Cómo implementar SCEP para un BYOD seguro y el registro de redes en la educación superior
Esta guía técnica proporciona a los arquitectos de red y directores de TI un plan de acción independiente del proveedor para implementar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.