Passer au contenu principal

Cisco ISE vs. Purple WiFi : comparaison et synergie

Ce guide explique comment Cisco ISE et Purple WiFi jouent des rôles distincts mais complémentaires au sein des réseaux d'entreprise. Il détaille comment utiliser Cisco ISE pour sécuriser l'accès d'entreprise en 802.1X tout en s'appuyant sur Purple pour proposer un WiFi invité conforme au GDPR, des analyses marketing et une intégration CRM.

📖 6 min de lecture📝 1,259 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Vous êtes un consultant senior en sécurité réseau qui présente un briefing à un client en anglais britannique, sur un ton confiant, autoritaire et conversationnel. Parlez clairement et à un rythme posé, comme si vous vous adressiez à un conseil d'administration composé de directeurs informatiques et d'architectes réseau. Il s'agit d'un briefing technique professionnel, pas d'un cours magistral. Parlez en anglais britannique avec un accent standard de prononciation reçue : Bienvenue dans la série de briefings techniques Purple. Aujourd'hui, nous abordons une question qui revient constamment dans la conception des réseaux d'entreprise : Cisco ISE par rapport à Purple WiFi. Comment se comparent-ils et, plus important encore, comment fonctionnent-ils ensemble ? Je vais vous donner une réponse claire en dix minutes environ. [pause moyenne] Commençons par le contexte. Si vous gérez un hôtel, un parc de magasins, un stade ou un bâtiment du secteur public, vous avez presque certainement deux populations distinctes qui se connectent à votre réseau. Vous avez le personnel et les appareils de l'entreprise, et vous avez les invités, les visiteurs, les supporters ou les clients. Ces deux populations ont des exigences d'authentification, des droits de données et des objectifs commerciaux complètement différents. L'erreur que commettent la plupart des organisations est de vouloir résoudre ces deux problèmes avec un seul outil. C'est de là que vient la confusion entre Cisco ISE et Purple. [pause moyenne] Première section : ce que fait réellement Cisco ISE. Cisco Identity Services Engine, ou ISE, est la plateforme de contrôle d'accès réseau d'entreprise de Cisco. Son rôle est d'authentifier et d'autoriser les appareils de l'entreprise et les membres du personnel. Il le fait principalement via la norme IEEE 802.1X, qui est le standard de contrôle d'accès réseau basé sur les ports. Lorsqu'un ordinateur portable d'entreprise se connecte à votre réseau, ISE vérifie son certificat via EAP-TLS, ou ses identifiants via PEAP, le valide par rapport à Active Directory ou Microsoft Entra ID, évalue sa posture de sécurité, puis l'affecte au bon VLAN avec la politique appropriée. Si l'appareil échoue à l'évaluation de sa posture, ISE peut le mettre en quarantaine automatiquement en utilisant RADIUS Change of Authorisation, ou CoA. ISE gère également l'intégration des terminaux personnels (BYOD), où les appareils personnels sont enregistrés avec un certificat afin de s'authentifier de manière sécurisée sans mot de passe partagé. Et il s'intègre au framework pxGrid de Cisco, ce qui permet à d'autres outils de sécurité comme les pare-feux et les plateformes SIEM d'exploiter le contexte d'identité en temps réel. Les trois niveaux de licence ISE sont Essentials, Advantage et Premier. Essentials couvre le 802.1X et l'accès invité de base. Advantage ajoute le BYOD, l'évaluation de la posture de sécurité et l'intégration MDM tierce. Premier ajoute des services d'identité passive et l'intégration avancée des menaces. [pause moyenne] Ainsi, ISE est une plateforme de sécurité de niveau entreprise très sérieuse. Mais voici le point critique : son portail invité est fonctionnel, et non commercial. ISE peut rediriger un appareil non authentifié vers une page web, recueillir un identifiant et un mot de passe ou une approbation de parrain, et accorder un accès à internet. Ce qu'il ne peut pas faire, c'est capturer le consentement marketing conforme au GDPR, afficher des pages de connexion personnalisées à l'image de la marque avec connexion sociale, envoyer les données des visiteurs vers Salesforce ou HubSpot, générer des cartes de chaleur de fréquentation ou segmenter les visiteurs par données démographiques pour une campagne marketing. Ce n'est pas pour cela que ISE a été conçu, et essayer de lui faire jouer ce rôle crée de la complexité sans produire de résultat commercial. Vous êtes un consultant principal en sécurité réseau et vous poursuivez un briefing technique en anglais britannique avec un ton confiant, autoritaire et conversationnel. Parlez clairement et à un rythme mesuré. Parlez en anglais britannique avec un accent standard de prononciation reçue : Section deux : ce que fait Purple. Purple est une plateforme cloud superposée. Nous nous intégrons au-dessus de votre infrastructure WiFi existante, qu'il s'agisse de Cisco Meraki, Cisco Catalyst, HPE Aruba, Ruckus, Juniper Mist ou de tout autre grand fournisseur. Nous ne remplaçons pas votre matériel. Nous ne remplaçons pas ISE. Nous gérons la couche d'expérience invité. Lorsqu'un visiteur se connecte à votre SSID invité, Purple intercepte cette connexion et présente un Captive Portal personnalisé. Ce portail peut proposer une connexion via les réseaux sociaux (Facebook, Google ou LinkedIn), un formulaire personnalisé de saisie de données, une option de connexion en un clic ou Passpoint pour une reconnexion automatique et sécurisée lors des visites ultérieures. Chaque connexion capture des données de première partie avec un consentement GDPR explicite. Ces données sont transmises directement à votre CRM, à votre plateforme d'email marketing ou à votre programme de fidélité. Purple est déployé dans 80 000 sites actifs et a traité 440 millions de connexions rien qu'en 2024. Nous détenons la certification ISO 27001, respectons le GDPR et la CCPA, et maintenons une disponibilité de 99,999 %. Parmi nos clients de renom figurent McDonald's, Harrods, Premier Inn, AGS Airports et Manchester Airports Group. [pause moyenne] Section trois : comment ils coexistent dans une topologie de réseau moderne. L'architecture est simple une fois que l'on comprend la séparation des responsabilités. Vous diffusez deux ou trois SSID sur les mêmes points d'accès. Le SSID de l'entreprise utilise le WPA3-Enterprise avec la norme 802.1X, et ISE fait office de serveur RADIUS. Chaque appareil du personnel s'authentifie à l'aide d'un certificat ou d'un identifiant. ISE affecte l'appareil au bon VLAN, applique la bonne politique et enregistre la session. Purple n'intervient pas ici. C'est entièrement le domaine de ISE. Le SSID invité est ouvert ou utilise le WPA3-Personal avec une clé prépartagée pour l'association initiale. Le trafic est redirigé vers le portail cloud de Purple. Purple gère l'authentification, la capture du consentement et les analyses. Le point d'accès applique un accès limité (walled garden) jusqu'à ce que Purple signale l'autorisation, puis ouvre l'accès à internet. ISE n'intervient pas ici. C'est le domaine de Purple.Pour les déploiements plus complexes, vous pouvez ajouter un troisième SSID pour les appareils IoT, en utilisant des clés pré-partagées d'identité, ou iPSK, où chaque appareil reçoit une phrase de passe unique mappée sur un VLAN spécifique. ISE peut gérer cela pour l'IoT d'entreprise, tandis que la fonctionnalité SecurePass de Purple s'en charge pour l'IoT des sites, comme les terminaux de point de vente et l'affichage dynamique. Si vous souhaitez une intégration plus étroite entre les deux plateformes, pxGrid de Cisco permet à Purple de publier le contexte des sessions invités dans l'écosystème ISE, de sorte que votre équipe des opérations de sécurité puisse visualiser l'activité des invités aux côtés de l'activité de l'entreprise dans une vue unifiée. [medium pause] Section quatre : recommandations de mise en œuvre et pièges courants. Permettez-moi de vous présenter les trois erreurs les plus courantes que je constate lors des déploiements. Premièrement : utiliser le portail d'invités intégré d'ISE pour le WiFi invité commercial. Le portail d'invités d'ISE est conçu pour les prestataires et le personnel temporaire, et non pour un accès invité axé sur le marketing. Il ne dispose d'aucune intégration CRM, d'aucune gestion des consentements et d'aucun outil d'analyse. Si vous évoluez dans les secteurs de l'hôtellerie, du commerce de détail ou de l'événementiel, vous avez besoin de Purple sur le SSID invité. ISE gère l'entreprise. Purple gère les invités. Séparez-les. Deuxièmement : ne pas segmenter correctement les VLAN. Le trafic invité doit être isolé du trafic de l'entreprise au niveau de la couche deux. Purple fonctionne dans un VLAN distinct acheminé directement vers Internet, sans aucun accès aux ressources internes. ISE applique l'attribution des VLAN pour les appareils de l'entreprise. Si vous confondez ces deux aspects, vous créez une faille de sécurité et un problème de conformité. Troisièmement : négliger la configuration du walled garden (jardin secret). Lorsque Purple est le Captive Portal, le point d'accès doit autoriser le trafic DNS et HTTP vers les points de terminaison cloud de Purple avant l'authentification. Si votre walled garden est trop restrictif, le portail ne se chargera pas. S'il est trop permissif, les utilisateurs pourront contourner l'authentification. La documentation d'assistance de Purple fournit les plages IP et les domaines exacts à inscrire sur liste blanche pour chaque fournisseur de matériel. [medium pause] Section cinq : questions-réponses rapides. Purple remplace-t-il Cisco ISE ? Non. Ils résolvent des problèmes différents pour des utilisateurs différents sur des SSID différents. Puis-je exécuter Purple sur Cisco Meraki sans ISE ? Oui. Purple s'intègre nativement avec Cisco Meraki via l'API Meraki. ISE n'est pas requis pour le WiFi invité. Puis-je exécuter les deux sur les mêmes points d'accès ? Oui. L'utilisation de plusieurs SSID sur le même matériel est une pratique courante. Purple prend-il en charge le 802.1X ? La fonctionnalité SecurePass de Purple prend en charge le WPA3-Enterprise avec 802.1X pour les appareils invités qui ont installé l'application Purple, permettant une reconnexion automatique basée sur des certificats sans passer par un Captive Portal. Qu'en est-il de la conformité PCI-DSS ? Le WiFi invité doit être isolé des systèmes de cartes de paiement. L'architecture VLAN de Purple répond à cette exigence. ISE applique la même isolation pour les appareils de l'entreprise. [medium pause] Résumé et prochaines étapes. Le cadre de décision est simple. Si l'appareil appartient à votre organisation ou à votre personnel, ISE gère l'authentification. Si l'appareil appartient à un invité, un visiteur, un client ou un fan, Purple gère l'expérience. Les deux plateformes partagent la même infrastructure physique mais fonctionnent dans des couches logiques complètement distinctes. Pour la prochaine étape, cartographiez votre architecture SSID actuelle. Identifiez quels SSIDs sont d'entreprise et lesquels sont destinés aux invités. Confirmez que le trafic invité est isolé par VLAN. Évaluez ensuite si votre Captive Portal actuel fournit le consentement marketing, les analyses et l'intégration CRM dont vos équipes commerciales ont besoin. Si ce n'est pas le cas, c'est précisément ce manque que Purple comble. Vous trouverez le guide écrit complet, les schémas d'architecture et des exemples concrets sur purple.ai. Merci pour votre temps.

header_image.png

Résumé opérationnel

L'architecture réseau des entreprises exige une séparation claire des rôles entre la sécurité interne et l'engagement des visiteurs commerciaux. Lors de l'évaluation de Cisco ISE face à Purple WiFi, l'erreur commise par de nombreux responsables informatiques est de les considérer comme des plateformes concurrentes. Ce n'est pas le cas. Cisco Identity Services Engine (ISE) est un moteur de politique de contrôle d'accès réseau (NAC) et 802.1X de référence pour sécuriser les collaborateurs et les terminaux de l'entreprise. Purple est une plateforme cloud complémentaire conçue pour gérer les Captive Portals des invités, le consentement marketing des visiteurs et les analyses opérationnelles.

Tenter de contraindre Cisco ISE à servir d'alternative de portail invité cisco ise pour le marketing commercial introduit une complexité inutile et ne parvient pas à fournir de données exploitables. À l'inverse, déployer Purple WiFi aux côtés de Cisco ISE permet à chaque plateforme d'exceller dans son domaine de prédilection. Purple s'intègre nativement à l'infrastructure Cisco pour décharger la logique complexe de l'expérience invité tout en laissant les politiques de sécurité clés de l'entreprise à Cisco ISE. Ce guide explique comment ils coexistent dans une topologie de réseau d'entreprise moderne, en fournissant des stratégies de déploiement pratiques pour le commerce de détail , l'hôtellerie et les grands espaces publics.

Analyse technique approfondie

Le rôle de Cisco ISE : contrôle d'accès au réseau d'entreprise

Cisco ISE est la référence absolue pour le NAC d'entreprise. Sa fonction principale est d'authentifier et d'autoriser les terminaux et les utilisateurs connus se connectant au réseau de l'entreprise, en s'appuyant fortement sur la norme de contrôle d'accès réseau par port IEEE 802.1X.

Lorsqu'un ordinateur portable d'entreprise se connecte à un port de commutateur ou à un SSID d'entreprise, ISE agit comme un serveur RADIUS. Il valide les certificats de l'appareil via EAP-TLS ou les identifiants de l'utilisateur via PEAP par rapport à Active Directory ou Microsoft Entra ID. ISE évalue ensuite le niveau de sécurité de l'appareil. S'il est conforme, ISE attribue le bon VLAN et applique la balise de groupe de sécurité (SGT) appropriée. Si le terminal échoue à l'évaluation, ISE peut le mettre en quarantaine à l'aide d'un changement d'autorisation RADIUS (CoA). Pour un aperçu plus détaillé de la configuration client, consultez notre guide sur Qu'est-ce qu'un supplicant 802.1X ? Types de clients et configuration des terminaux . ISE gère également l'enregistrement des appareils personnels (BYOD), où les terminaux personnels sont enregistrés avec des certificats pour un accès sécurisé et sans mot de passe. De plus, il s'intègre au framework pxGrid de Cisco, permettant aux pare-feux et aux plateformes SIEM d'utiliser le contexte d'identité en temps réel. Les licences de ISE sont réparties en trois niveaux : Essentials, Advantage et Premier, qui évoluent du protocole 802.1X de base à l'intégration avancée des menaces.

Le rôle de Purple : Expérience invités et Analytics

Alors que ISE excelle dans la sécurisation des actifs de l'entreprise, son portail captif intégré est plus utilitaire que commercial. Il peut fournir un accès internet de base aux prestataires, mais il ne peut pas collecter de consentement marketing conforme au GDPR, afficher des portails d'accès personnalisés avec connexion via les réseaux sociaux, ou envoyer les données des visiteurs vers des plateformes CRM comme Salesforce. C'est précisément là que Purple intervient.

Purple est une surcouche cloud indépendante du matériel. Elle fonctionne au-dessus de votre infrastructure WiFi existante, y compris Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet. Purple prend essentiellement en charge la couche d'expérience des invités. Lorsqu'un visiteur se connecte à votre SSID invité, Purple présente un Captive Portal personnalisé. Ce portail propose une connexion via les réseaux sociaux (Facebook, Google ou LinkedIn), des formulaires de capture de données personnalisés et des options fluides comme Passpoint.

Chaque connexion permet de capturer des données de première main grâce à des options d'adhésion claires et actives. Purple traite ces données via son moteur d'analyse, créant des cartes de chaleur de fréquentation et des données démographiques sur les visiteurs, puis les envoie directement vers vos outils marketing. Purple est présent dans plus de 80 000 sites physiques et a traité 440 millions de connexions en 2024. Nous détenons la certification ISO 27001 et respectons le GDPR et la CCPA, garantissant une stabilité de niveau entreprise avec un taux de disponibilité de 99,999 %. Pour en savoir plus sur les avantages commerciaux, consultez la présentation de notre plateforme WiFi Analytics .

architecture_overview.png

Coexistence architecturale

Lorsque vous séparez les SSIDs, l'architecture devient remarquablement simple. Vous diffusez deux ou trois SSIDs sur les mêmes points d'accès. Pour une analyse détaillée de cette conception, lisez Trois SSIDs pour régner sur tous : WiFi invités, Passpoint et IoT .

Le SSID d'entreprise utilise WPA3-Enterprise avec 802.1X, et ISE fait office de serveur RADIUS. ISE attribue l'appareil au bon VLAN et applique la politique de sécurité. Purple n'intervient pas ici.

Le SSID invité utilise un réseau ouvert pour l'association initiale ou WPA3-Personal avec une clé pré-partagée. Le trafic est redirigé vers le portail cloud de Purple. Purple gère l'authentification, la capture de consentement et les analyses. Le point d'accès applique un accès restreint (walled garden) jusqu'à ce que Purple signale l'autorisation, puis active l'accès internet. ISE n'a aucun rôle ici.Pour les appareils IoT du site, tels que les terminaux de point de vente, la fonctionnalité SecurePass de Purple peut gérer les iPSK (Identity Pre-Shared Keys), tandis qu'ISE peut gérer l'IoT d'entreprise.

comparison_chart.png

Guide d'implémentation

Le déploiement de Purple aux côtés de Cisco ISE nécessite une configuration minutieuse de vos contrôleurs LAN sans fil ou de vos tableaux de bord cloud.

Étape 1 : Segmentation des SSID

Créez des SSIDs distincts pour le trafic d'entreprise et le trafic invité. Configurez le SSID d'entreprise pour WPA3-Enterprise et orientez l'authentification RADIUS vers vos nœuds Cisco ISE. Configurez le SSID invité pour un accès ouvert avec filtrage MAC ou WPA3-Personal.

Étape 2 : Isolation des VLAN

Assurez-vous que le trafic invité est isolé du trafic d'entreprise au niveau de la couche 2. Le SSID invité doit être mappé à un VLAN dédié qui contourne les tables de routage internes et s'oriente directement vers le pare-feu Internet. ISE applique l'attribution de VLAN pour le SSID d'entreprise en fonction des politiques.

Étape 3 : Configuration du Walled Garden

Pour le SSID invité, configurez la redirection du Captive Portal pour pointer vers l'infrastructure cloud de Purple. Vous devez configurer un walled garden (ACL de pré-autorisation) sur vos points d'accès pour autoriser le trafic DNS et HTTP/HTTPS vers les plages d'adresses IP et les domaines requis par Purple. Si le walled garden est trop restrictif, le Captive Portal ne se chargera pas.

Étape 4 : Intégration RADIUS pour le WiFi invité

Configurez votre contrôleur sans fil pour utiliser les serveurs RADIUS de Purple pour le SSID invité. Cela permet à Purple d'autoriser l'utilisateur et de suivre la durée de la session ainsi que l'utilisation de la bande passante.

Bonnes pratiques

  1. Ne mélangez jamais le trafic invité et le trafic d'entreprise sur le même SSID. Cela crée des risques importants en matière de sécurité et de conformité. Utilisez toujours des SSIDs dédiés mappés à des VLANs isolés.
  2. Utilisez Purple pour l'accès invité commercial. N'utilisez pas le portail invité intégré d'ISE si vous avez besoin d'analyses marketing, d'une intégration CRM ou d'une connexion sociale personnalisée.
  3. Appliquez une bande passante différenciée. Offrez un service de base gratuit sur le SSID invité, et proposez une option payante premium pour des vitesses plus élevées en utilisant les offres Purple Connect, Purple Capture ou Purple Engage.
  4. Tirez parti de Passpoint. Utilisez Passpoint (Hotspot 2.0) via Purple pour permettre aux invités réguliers de se connecter automatiquement et de manière sécurisée sans voir le Captive Portal à répétition.

Dépannage et atténuation des risques

  • Le Captive Portal ne se charge pas : Il s'agit presque toujours d'un problème de walled garden. Vérifiez que tous les domaines et adresses IP requis par Purple sont autorisés dans l'ACL de pré-authentification de votre matériel Cisco.
  • Les appareils invités accèdent aux ressources internes : Cela indique un échec de l'isolation du VLAN. Vérifiez que le VLAN invité ne peut pas acheminer le trafic vers les sous-réseaux de l'entreprise au niveau du pare-feu ou du commutateur principal (core switch).* Timeouts RADIUS : Si le contrôleur sans fil ne parvient pas à joindre les serveurs RADIUS de Purple, l'authentification des invités échouera. Assurez-vous que votre pare-feu autorise les ports UDP sortants 1812 et 1813 vers l'infrastructure de Purple.

ROI et impact commercial

L'impact commercial de la séparation du contrôle d'accès réseau Cisco ISE et de la gestion de l'expérience invité est extrêmement important. En confiant les responsabilités du WiFi invité à Purple, les équipes informatiques peuvent réduire la charge opérationnelle liée à la gestion des comptes temporaires et à la résolution des problèmes de portail.

Plus important encore, Purple transforme le réseau invité en un actif générateur de revenus. En collectant des données de première main et en les intégrant aux plateformes CRM, les points de vente peuvent mener des campagnes de marketing hautement ciblées. Par exemple, Harrods a utilisé une question simple sur sa page de destination pour stimuler les inscriptions à son programme de fidélité, contribuant directement à un ROI multiplié par 3 pour cette seule cohorte. AGS Airports a constaté un retour sur investissement de 842 % en mettant en place une bande passante échelonnée. Associer Cisco ISE pour la sécurité et Purple pour l'engagement offre à la fois une tranquillité d'esprit et une valeur commerciale mesurable.

Définitions clés

Contrôle d'accès au réseau (NAC)

Une architecture de sécurité qui limite l'accès au réseau aux terminaux conformes et authentifiés. Cisco ISE est une plateforme NAC.

Les équipes informatiques utilisent le NAC pour empêcher les appareils non autorisés d'accéder aux données de l'entreprise.

IEEE 802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, fournissant un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau local ou un réseau WLAN.

Utilisé par Cisco ISE pour sécuriser les SSID d'entreprise à l'aide de certificats ou d'identifiants plutôt que de mots de passe partagés.

Captive Portal

Une page web que l'utilisateur d'un réseau public est obligé de consulter et avec laquelle il doit interagir avant de se voir accorder l'accès.

Purple propose des portails captifs hautement personnalisables pour recueillir le consentement marketing et des données de première partie.

VLAN (Virtual Local Area Network)

Un sous-réseau logique qui regroupe un ensemble d'appareils provenant de différents réseaux locaux physiques.

Indispensable pour séparer le trafic des invités (géré par Purple) du trafic d'entreprise (géré par ISE).

Walled Garden (Espace restreint)

Un environnement restreint qui contrôle l'accès d'un utilisateur aux contenus et services web avant qu'il ne soit entièrement authentifié.

Doit être correctement configuré sur le matériel Cisco pour permettre aux appareils d'atteindre les serveurs de Purple afin de charger le Captive Portal.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la traçabilité.

ISE et Purple utilisent tous deux le protocole RADIUS, mais à des fins différentes : ISE pour l'accès d'entreprise 802.1X, Purple pour la gestion des sessions invités.

Passpoint (Hotspot 2.0)

Une norme permettant aux appareils mobiles de détecter et de se connecter automatiquement et de manière sécurisée aux réseaux WiFi sans intervention de l'utilisateur.

Purple prend en charge Passpoint pour offrir une expérience de roaming fluide, similaire à celle des réseaux mobiles, pour les clients qui reviennent.

pxGrid

Platform Exchange Grid. Un framework de Cisco qui permet la collaboration de systèmes réseau multi-éditeurs et multi-plateformes.

Permet à Purple de partager le contexte de session invité avec l'écosystème Cisco ISE pour une visibilité unifiée de la sécurité.

Exemples concrets

Un hôtel de 200 chambres doit fournir un WiFi sécurisé pour son personnel de service (ménage, direction) ainsi qu'une expérience WiFi personnalisée aux couleurs de sa marque avec collecte de données pour ses clients. L'établissement utilise actuellement des points d'accès Cisco Catalyst.

Déployez deux SSID. 'Hotel_Corp' utilise WPA3-Enterprise. Cisco ISE fait office de serveur RADIUS, authentifiant les appareils du personnel via des certificats EAP-TLS et les affectant au VLAN d'administration. 'Hotel_Guest' utilise un SSID ouvert redirigé vers Purple. Purple affiche un Captive Portal personnalisé qui propose une connexion via les réseaux sociaux ou une intégration avec le système de gestion de l'hôtel. Le trafic des invités est placé sur un VLAN isolé directement routé vers Internet.

Commentaire de l'examinateur : Cette approche sépare parfaitement les rôles. ISE sécurise les actifs de l'entreprise, tandis que Purple gère l'aspect commercial lié à la collecte des données des invités pour l'équipe marketing de l'hôtel. L'isolation des VLAN garantit la conformité PCI-DSS.

Une grande chaîne de magasins souhaite suivre la fréquentation et le temps de visite des clients dans ses 50 points de vente en utilisant son infrastructure Cisco Meraki existante, sans compromettre la sécurité de son réseau interne de terminaux de point de vente (TPV).

Les terminaux de point de vente se connectent à un SSID masqué, sécurisé par WPA3-Enterprise et Cisco ISE. Un SSID public 'Free_Store_WiFi' est diffusé pour les clients. Le tableau de bord Meraki est configuré pour s'intégrer à Purple via une API. Purple collecte les données de présence anonymisées des appareils qui émettent des requêtes de recherche pour générer des cartes thermiques, et recueille des données de première partie explicites lorsque les clients se connectent au Captive Portal.

Commentaire de l'examinateur : L'utilisation de la solution cloud de Purple en superposition avec Meraki ne nécessite aucun nouveau matériel. La chaîne de magasins obtient des analyses approfondies et des données marketing, tandis qu'ISE garantit que le réseau des points de vente reste verrouillé et conforme.

Questions d'entraînement

Q1. Votre directeur marketing souhaite collecter les adresses e-mail et les données démographiques des visiteurs utilisant le WiFi invité dans vos magasins. L'équipe d'ingénierie réseau suggère d'activer la fonctionnalité de portail invité intégrée à votre déploiement Cisco ISE existant. Est-ce la bonne approche ?

Conseil : Pensez aux capacités commerciales du portail invité de Cisco ISE par rapport à celles d'une plateforme d'overlay dédiée.

Voir la réponse type

Non. Le portail invité de Cisco ISE est conçu pour un accès fonctionnel (par exemple, pour des prestataires), et non pour le marketing commercial. Il ne dispose pas d'intégrations CRM natives, de workflows de gestion du consentement GDPR, ni d'analyses détaillées sur les visiteurs. La bonne approche consiste à implémenter Purple sur l'SSID invité pour gérer la capture de données et les analyses, tout en laissant Cisco ISE gérer le réseau d'entreprise.

Q2. Un invité se connecte à l'SSID géré par Purple, mais son navigateur affiche une erreur de délai d'attente (timeout) au lieu de la page de redirection du Captive Portal. Les utilisateurs de l'entreprise sur l'SSID géré par Cisco ISE ne rencontrent aucun problème. Quelle est la cause la plus probable ?

Conseil : Pensez aux étapes indispensables avant que l'authentification ne soit finalisée sur un réseau à Captive Portal.

Voir la réponse type

La cause la plus probable est un walled garden (ACL de pré-authentification) mal configuré sur le point d'accès sans fil ou le contrôleur. L'appareil ne parvient pas à contacter l'infrastructure cloud de Purple pour charger le portail. Vous devez vous assurer que les domaines et plages IP spécifiques de Purple sont bien inscrits sur liste blanche.

Q3. Vous concevez le réseau d'un nouveau siège social. Vous devez prendre en charge les ordinateurs portables du personnel, les téléphones personnels des employés (BYOD) et les clients de passage. Comment devez-vous structurer les SSIDs et l'authentification ?

Conseil : Séparez les populations d'utilisateurs en fonction de la propriété des appareils et du niveau d'accès requis.

Voir la réponse type

Déployez deux SSIDs. L'SSID d'entreprise utilise WPA3-Enterprise. Cisco ISE gère l'authentification 802.1X pour les ordinateurs portables du personnel et l'enrôlement des certificats pour les appareils BYOD des employés, en les affectant à des VLANs internes. L'SSID invité est ouvert et redirigé vers Purple. Purple gère l'authentification par Captive Portal pour les clients de passage, en les plaçant sur un VLAN isolé avec un accès internet uniquement.

Continuer la lecture de cette série

Configuration de l'authentification RADIUS pour les réseaux WiFi invités et collaborateurs

Ce guide de référence technique présente l'architecture, la configuration et le déploiement de l'authentification RADIUS pour les réseaux WiFi d'entreprise destinés aux invités et aux collaborateurs. Il fournit aux architectes réseau et aux responsables informatiques les protocoles exacts, les normes de sécurité et les méthodologies de dépannage requis pour concevoir des systèmes de contrôle d'accès sans fil sécurisés et évolutifs.

Lire le guide →

Passpoint et OpenRoaming : Le Guide Complet

Ce guide de référence technique fournit une analyse complète des frameworks Passpoint (Hotspot 2.0) et WBA OpenRoaming au sein des réseaux WiFi d'entreprise. Il détaille les protocoles d'authentification sous-jacents, les composants architecturaux et les stratégies de déploiement nécessaires pour établir une connectivité invité sécurisée et fluide. Les architectes réseau et les responsables informatiques apprendront à concevoir, implémenter et dépanner ces normes afin d'éliminer les obstacles à la connexion manuelle tout en maintenant une sécurité de niveau entreprise.

Lire le guide →

Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur

Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.

Lire le guide →