Cisco ISE vs. Purple WiFi : comparaison et synergie
Ce guide explique comment Cisco ISE et Purple WiFi jouent des rôles distincts mais complémentaires au sein des réseaux d'entreprise. Il détaille comment utiliser Cisco ISE pour sécuriser l'accès d'entreprise en 802.1X tout en s'appuyant sur Purple pour proposer un WiFi invité conforme au GDPR, des analyses marketing et une intégration CRM.
Écouter ce guide
Voir la transcription du podcast
- Résumé opérationnel
- Analyse technique approfondie
- Le rôle de Cisco ISE : contrôle d'accès au réseau d'entreprise
- Le rôle de Purple : Expérience invités et Analytics
- Coexistence architecturale
- Guide d'implémentation
- Étape 1 : Segmentation des SSID
- Étape 2 : Isolation des VLAN
- Étape 3 : Configuration du Walled Garden
- Étape 4 : Intégration RADIUS pour le WiFi invité
- Bonnes pratiques
- Dépannage et atténuation des risques
- ROI et impact commercial

Résumé opérationnel
L'architecture réseau des entreprises exige une séparation claire des rôles entre la sécurité interne et l'engagement des visiteurs commerciaux. Lors de l'évaluation de Cisco ISE face à Purple WiFi, l'erreur commise par de nombreux responsables informatiques est de les considérer comme des plateformes concurrentes. Ce n'est pas le cas. Cisco Identity Services Engine (ISE) est un moteur de politique de contrôle d'accès réseau (NAC) et 802.1X de référence pour sécuriser les collaborateurs et les terminaux de l'entreprise. Purple est une plateforme cloud complémentaire conçue pour gérer les Captive Portals des invités, le consentement marketing des visiteurs et les analyses opérationnelles.
Tenter de contraindre Cisco ISE à servir d'alternative de portail invité cisco ise pour le marketing commercial introduit une complexité inutile et ne parvient pas à fournir de données exploitables. À l'inverse, déployer Purple WiFi aux côtés de Cisco ISE permet à chaque plateforme d'exceller dans son domaine de prédilection. Purple s'intègre nativement à l'infrastructure Cisco pour décharger la logique complexe de l'expérience invité tout en laissant les politiques de sécurité clés de l'entreprise à Cisco ISE. Ce guide explique comment ils coexistent dans une topologie de réseau d'entreprise moderne, en fournissant des stratégies de déploiement pratiques pour le commerce de détail , l'hôtellerie et les grands espaces publics.
Analyse technique approfondie
Le rôle de Cisco ISE : contrôle d'accès au réseau d'entreprise
Cisco ISE est la référence absolue pour le NAC d'entreprise. Sa fonction principale est d'authentifier et d'autoriser les terminaux et les utilisateurs connus se connectant au réseau de l'entreprise, en s'appuyant fortement sur la norme de contrôle d'accès réseau par port IEEE 802.1X.
Lorsqu'un ordinateur portable d'entreprise se connecte à un port de commutateur ou à un SSID d'entreprise, ISE agit comme un serveur RADIUS. Il valide les certificats de l'appareil via EAP-TLS ou les identifiants de l'utilisateur via PEAP par rapport à Active Directory ou Microsoft Entra ID. ISE évalue ensuite le niveau de sécurité de l'appareil. S'il est conforme, ISE attribue le bon VLAN et applique la balise de groupe de sécurité (SGT) appropriée. Si le terminal échoue à l'évaluation, ISE peut le mettre en quarantaine à l'aide d'un changement d'autorisation RADIUS (CoA). Pour un aperçu plus détaillé de la configuration client, consultez notre guide sur Qu'est-ce qu'un supplicant 802.1X ? Types de clients et configuration des terminaux . ISE gère également l'enregistrement des appareils personnels (BYOD), où les terminaux personnels sont enregistrés avec des certificats pour un accès sécurisé et sans mot de passe. De plus, il s'intègre au framework pxGrid de Cisco, permettant aux pare-feux et aux plateformes SIEM d'utiliser le contexte d'identité en temps réel. Les licences de ISE sont réparties en trois niveaux : Essentials, Advantage et Premier, qui évoluent du protocole 802.1X de base à l'intégration avancée des menaces.
Le rôle de Purple : Expérience invités et Analytics
Alors que ISE excelle dans la sécurisation des actifs de l'entreprise, son portail captif intégré est plus utilitaire que commercial. Il peut fournir un accès internet de base aux prestataires, mais il ne peut pas collecter de consentement marketing conforme au GDPR, afficher des portails d'accès personnalisés avec connexion via les réseaux sociaux, ou envoyer les données des visiteurs vers des plateformes CRM comme Salesforce. C'est précisément là que Purple intervient.
Purple est une surcouche cloud indépendante du matériel. Elle fonctionne au-dessus de votre infrastructure WiFi existante, y compris Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet. Purple prend essentiellement en charge la couche d'expérience des invités. Lorsqu'un visiteur se connecte à votre SSID invité, Purple présente un Captive Portal personnalisé. Ce portail propose une connexion via les réseaux sociaux (Facebook, Google ou LinkedIn), des formulaires de capture de données personnalisés et des options fluides comme Passpoint.
Chaque connexion permet de capturer des données de première main grâce à des options d'adhésion claires et actives. Purple traite ces données via son moteur d'analyse, créant des cartes de chaleur de fréquentation et des données démographiques sur les visiteurs, puis les envoie directement vers vos outils marketing. Purple est présent dans plus de 80 000 sites physiques et a traité 440 millions de connexions en 2024. Nous détenons la certification ISO 27001 et respectons le GDPR et la CCPA, garantissant une stabilité de niveau entreprise avec un taux de disponibilité de 99,999 %. Pour en savoir plus sur les avantages commerciaux, consultez la présentation de notre plateforme WiFi Analytics .

Coexistence architecturale
Lorsque vous séparez les SSIDs, l'architecture devient remarquablement simple. Vous diffusez deux ou trois SSIDs sur les mêmes points d'accès. Pour une analyse détaillée de cette conception, lisez Trois SSIDs pour régner sur tous : WiFi invités, Passpoint et IoT .
Le SSID d'entreprise utilise WPA3-Enterprise avec 802.1X, et ISE fait office de serveur RADIUS. ISE attribue l'appareil au bon VLAN et applique la politique de sécurité. Purple n'intervient pas ici.
Le SSID invité utilise un réseau ouvert pour l'association initiale ou WPA3-Personal avec une clé pré-partagée. Le trafic est redirigé vers le portail cloud de Purple. Purple gère l'authentification, la capture de consentement et les analyses. Le point d'accès applique un accès restreint (walled garden) jusqu'à ce que Purple signale l'autorisation, puis active l'accès internet. ISE n'a aucun rôle ici.Pour les appareils IoT du site, tels que les terminaux de point de vente, la fonctionnalité SecurePass de Purple peut gérer les iPSK (Identity Pre-Shared Keys), tandis qu'ISE peut gérer l'IoT d'entreprise.

Guide d'implémentation
Le déploiement de Purple aux côtés de Cisco ISE nécessite une configuration minutieuse de vos contrôleurs LAN sans fil ou de vos tableaux de bord cloud.
Étape 1 : Segmentation des SSID
Créez des SSIDs distincts pour le trafic d'entreprise et le trafic invité. Configurez le SSID d'entreprise pour WPA3-Enterprise et orientez l'authentification RADIUS vers vos nœuds Cisco ISE. Configurez le SSID invité pour un accès ouvert avec filtrage MAC ou WPA3-Personal.
Étape 2 : Isolation des VLAN
Assurez-vous que le trafic invité est isolé du trafic d'entreprise au niveau de la couche 2. Le SSID invité doit être mappé à un VLAN dédié qui contourne les tables de routage internes et s'oriente directement vers le pare-feu Internet. ISE applique l'attribution de VLAN pour le SSID d'entreprise en fonction des politiques.
Étape 3 : Configuration du Walled Garden
Pour le SSID invité, configurez la redirection du Captive Portal pour pointer vers l'infrastructure cloud de Purple. Vous devez configurer un walled garden (ACL de pré-autorisation) sur vos points d'accès pour autoriser le trafic DNS et HTTP/HTTPS vers les plages d'adresses IP et les domaines requis par Purple. Si le walled garden est trop restrictif, le Captive Portal ne se chargera pas.
Étape 4 : Intégration RADIUS pour le WiFi invité
Configurez votre contrôleur sans fil pour utiliser les serveurs RADIUS de Purple pour le SSID invité. Cela permet à Purple d'autoriser l'utilisateur et de suivre la durée de la session ainsi que l'utilisation de la bande passante.
Bonnes pratiques
- Ne mélangez jamais le trafic invité et le trafic d'entreprise sur le même SSID. Cela crée des risques importants en matière de sécurité et de conformité. Utilisez toujours des SSIDs dédiés mappés à des VLANs isolés.
- Utilisez Purple pour l'accès invité commercial. N'utilisez pas le portail invité intégré d'ISE si vous avez besoin d'analyses marketing, d'une intégration CRM ou d'une connexion sociale personnalisée.
- Appliquez une bande passante différenciée. Offrez un service de base gratuit sur le SSID invité, et proposez une option payante premium pour des vitesses plus élevées en utilisant les offres Purple Connect, Purple Capture ou Purple Engage.
- Tirez parti de Passpoint. Utilisez Passpoint (Hotspot 2.0) via Purple pour permettre aux invités réguliers de se connecter automatiquement et de manière sécurisée sans voir le Captive Portal à répétition.
Dépannage et atténuation des risques
- Le Captive Portal ne se charge pas : Il s'agit presque toujours d'un problème de walled garden. Vérifiez que tous les domaines et adresses IP requis par Purple sont autorisés dans l'ACL de pré-authentification de votre matériel Cisco.
- Les appareils invités accèdent aux ressources internes : Cela indique un échec de l'isolation du VLAN. Vérifiez que le VLAN invité ne peut pas acheminer le trafic vers les sous-réseaux de l'entreprise au niveau du pare-feu ou du commutateur principal (core switch).* Timeouts RADIUS : Si le contrôleur sans fil ne parvient pas à joindre les serveurs RADIUS de Purple, l'authentification des invités échouera. Assurez-vous que votre pare-feu autorise les ports UDP sortants 1812 et 1813 vers l'infrastructure de Purple.
ROI et impact commercial
L'impact commercial de la séparation du contrôle d'accès réseau Cisco ISE et de la gestion de l'expérience invité est extrêmement important. En confiant les responsabilités du WiFi invité à Purple, les équipes informatiques peuvent réduire la charge opérationnelle liée à la gestion des comptes temporaires et à la résolution des problèmes de portail.
Plus important encore, Purple transforme le réseau invité en un actif générateur de revenus. En collectant des données de première main et en les intégrant aux plateformes CRM, les points de vente peuvent mener des campagnes de marketing hautement ciblées. Par exemple, Harrods a utilisé une question simple sur sa page de destination pour stimuler les inscriptions à son programme de fidélité, contribuant directement à un ROI multiplié par 3 pour cette seule cohorte. AGS Airports a constaté un retour sur investissement de 842 % en mettant en place une bande passante échelonnée. Associer Cisco ISE pour la sécurité et Purple pour l'engagement offre à la fois une tranquillité d'esprit et une valeur commerciale mesurable.
Définitions clés
Contrôle d'accès au réseau (NAC)
Une architecture de sécurité qui limite l'accès au réseau aux terminaux conformes et authentifiés. Cisco ISE est une plateforme NAC.
Les équipes informatiques utilisent le NAC pour empêcher les appareils non autorisés d'accéder aux données de l'entreprise.
IEEE 802.1X
Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, fournissant un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau local ou un réseau WLAN.
Utilisé par Cisco ISE pour sécuriser les SSID d'entreprise à l'aide de certificats ou d'identifiants plutôt que de mots de passe partagés.
Captive Portal
Une page web que l'utilisateur d'un réseau public est obligé de consulter et avec laquelle il doit interagir avant de se voir accorder l'accès.
Purple propose des portails captifs hautement personnalisables pour recueillir le consentement marketing et des données de première partie.
VLAN (Virtual Local Area Network)
Un sous-réseau logique qui regroupe un ensemble d'appareils provenant de différents réseaux locaux physiques.
Indispensable pour séparer le trafic des invités (géré par Purple) du trafic d'entreprise (géré par ISE).
Walled Garden (Espace restreint)
Un environnement restreint qui contrôle l'accès d'un utilisateur aux contenus et services web avant qu'il ne soit entièrement authentifié.
Doit être correctement configuré sur le matériel Cisco pour permettre aux appareils d'atteindre les serveurs de Purple afin de charger le Captive Portal.
RADIUS
Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la traçabilité.
ISE et Purple utilisent tous deux le protocole RADIUS, mais à des fins différentes : ISE pour l'accès d'entreprise 802.1X, Purple pour la gestion des sessions invités.
Passpoint (Hotspot 2.0)
Une norme permettant aux appareils mobiles de détecter et de se connecter automatiquement et de manière sécurisée aux réseaux WiFi sans intervention de l'utilisateur.
Purple prend en charge Passpoint pour offrir une expérience de roaming fluide, similaire à celle des réseaux mobiles, pour les clients qui reviennent.
pxGrid
Platform Exchange Grid. Un framework de Cisco qui permet la collaboration de systèmes réseau multi-éditeurs et multi-plateformes.
Permet à Purple de partager le contexte de session invité avec l'écosystème Cisco ISE pour une visibilité unifiée de la sécurité.
Exemples concrets
Un hôtel de 200 chambres doit fournir un WiFi sécurisé pour son personnel de service (ménage, direction) ainsi qu'une expérience WiFi personnalisée aux couleurs de sa marque avec collecte de données pour ses clients. L'établissement utilise actuellement des points d'accès Cisco Catalyst.
Déployez deux SSID. 'Hotel_Corp' utilise WPA3-Enterprise. Cisco ISE fait office de serveur RADIUS, authentifiant les appareils du personnel via des certificats EAP-TLS et les affectant au VLAN d'administration. 'Hotel_Guest' utilise un SSID ouvert redirigé vers Purple. Purple affiche un Captive Portal personnalisé qui propose une connexion via les réseaux sociaux ou une intégration avec le système de gestion de l'hôtel. Le trafic des invités est placé sur un VLAN isolé directement routé vers Internet.
Une grande chaîne de magasins souhaite suivre la fréquentation et le temps de visite des clients dans ses 50 points de vente en utilisant son infrastructure Cisco Meraki existante, sans compromettre la sécurité de son réseau interne de terminaux de point de vente (TPV).
Les terminaux de point de vente se connectent à un SSID masqué, sécurisé par WPA3-Enterprise et Cisco ISE. Un SSID public 'Free_Store_WiFi' est diffusé pour les clients. Le tableau de bord Meraki est configuré pour s'intégrer à Purple via une API. Purple collecte les données de présence anonymisées des appareils qui émettent des requêtes de recherche pour générer des cartes thermiques, et recueille des données de première partie explicites lorsque les clients se connectent au Captive Portal.
Questions d'entraînement
Q1. Votre directeur marketing souhaite collecter les adresses e-mail et les données démographiques des visiteurs utilisant le WiFi invité dans vos magasins. L'équipe d'ingénierie réseau suggère d'activer la fonctionnalité de portail invité intégrée à votre déploiement Cisco ISE existant. Est-ce la bonne approche ?
Conseil : Pensez aux capacités commerciales du portail invité de Cisco ISE par rapport à celles d'une plateforme d'overlay dédiée.
Voir la réponse type
Non. Le portail invité de Cisco ISE est conçu pour un accès fonctionnel (par exemple, pour des prestataires), et non pour le marketing commercial. Il ne dispose pas d'intégrations CRM natives, de workflows de gestion du consentement GDPR, ni d'analyses détaillées sur les visiteurs. La bonne approche consiste à implémenter Purple sur l'SSID invité pour gérer la capture de données et les analyses, tout en laissant Cisco ISE gérer le réseau d'entreprise.
Q2. Un invité se connecte à l'SSID géré par Purple, mais son navigateur affiche une erreur de délai d'attente (timeout) au lieu de la page de redirection du Captive Portal. Les utilisateurs de l'entreprise sur l'SSID géré par Cisco ISE ne rencontrent aucun problème. Quelle est la cause la plus probable ?
Conseil : Pensez aux étapes indispensables avant que l'authentification ne soit finalisée sur un réseau à Captive Portal.
Voir la réponse type
La cause la plus probable est un walled garden (ACL de pré-authentification) mal configuré sur le point d'accès sans fil ou le contrôleur. L'appareil ne parvient pas à contacter l'infrastructure cloud de Purple pour charger le portail. Vous devez vous assurer que les domaines et plages IP spécifiques de Purple sont bien inscrits sur liste blanche.
Q3. Vous concevez le réseau d'un nouveau siège social. Vous devez prendre en charge les ordinateurs portables du personnel, les téléphones personnels des employés (BYOD) et les clients de passage. Comment devez-vous structurer les SSIDs et l'authentification ?
Conseil : Séparez les populations d'utilisateurs en fonction de la propriété des appareils et du niveau d'accès requis.
Voir la réponse type
Déployez deux SSIDs. L'SSID d'entreprise utilise WPA3-Enterprise. Cisco ISE gère l'authentification 802.1X pour les ordinateurs portables du personnel et l'enrôlement des certificats pour les appareils BYOD des employés, en les affectant à des VLANs internes. L'SSID invité est ouvert et redirigé vers Purple. Purple gère l'authentification par Captive Portal pour les clients de passage, en les plaçant sur un VLAN isolé avec un accès internet uniquement.
Continuer la lecture de cette série
Configuration de l'authentification RADIUS pour les réseaux WiFi invités et collaborateurs
Ce guide de référence technique présente l'architecture, la configuration et le déploiement de l'authentification RADIUS pour les réseaux WiFi d'entreprise destinés aux invités et aux collaborateurs. Il fournit aux architectes réseau et aux responsables informatiques les protocoles exacts, les normes de sécurité et les méthodologies de dépannage requis pour concevoir des systèmes de contrôle d'accès sans fil sécurisés et évolutifs.
Passpoint et OpenRoaming : Le Guide Complet
Ce guide de référence technique fournit une analyse complète des frameworks Passpoint (Hotspot 2.0) et WBA OpenRoaming au sein des réseaux WiFi d'entreprise. Il détaille les protocoles d'authentification sous-jacents, les composants architecturaux et les stratégies de déploiement nécessaires pour établir une connectivité invité sécurisée et fluide. Les architectes réseau et les responsables informatiques apprendront à concevoir, implémenter et dépanner ces normes afin d'éliminer les obstacles à la connexion manuelle tout en maintenant une sécurité de niveau entreprise.
Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur
Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.