Cisco ISE vs. Purple WiFi: Come si Confrontano e Come Collaborano
Questa guida spiega come Cisco ISE e Purple WiFi svolgano ruoli distinti ma complementari nelle reti aziendali. Descrive in dettaglio come utilizzare Cisco ISE per l'accesso aziendale sicuro tramite 802.1X, sfruttando al contempo Purple per il WiFi ospiti conforme al GDPR, l'analisi di marketing e l'integrazione CRM.
Ascolta questa guida
Visualizza trascrizione del podcast
- Executive Summary
- Approfondimento Tecnico
- Il ruolo di Cisco ISE: Controllo degli Accessi alla Rete Aziendale
- Il ruolo di Purple: Esperienza Ospiti e Analytics
- Coesistenza Architetturale
- Guida all'implementazione
- Passo 1: Segmentazione SSID
- Passo 2: Isolamento VLAN
- Passo 3: Configurazione del Walled Garden
- Passo 4: Integrazione RADIUS per Guest WiFi
- Best Practice
- Risoluzione dei problemi e mitigazione dei rischi
- ROI e Impatto Aziendale

Executive Summary
L'architettura di rete aziendale richiede una chiara separazione delle competenze tra sicurezza aziendale e coinvolgimento commerciale dei visitatori. Quando si valuta Cisco ISE rispetto a Purple WiFi, l'errore commesso da molti responsabili IT è considerare queste piattaforme come concorrenti. Non lo sono. Cisco Identity Services Engine (ISE) è un motore di policy 802.1X e Network Access Control (NAC) leader del settore, progettato per proteggere i dispositivi aziendali e dei dipendenti. Purple è una piattaforma overlay basata su cloud creata per gestire i Captive Portals per gli ospiti, il consenso al marketing dei visitatori e la reportistica analitica operativa.
Tentare di forzare Cisco ISE a fungere da cisco ise guest portal alternative per il marketing commerciale introduce una complessità non necessaria e non riesce a fornire dati utili. Al contrario, l'implementazione di Purple WiFi insieme a Cisco ISE consente a ciascuna piattaforma di fare ciò che sa fare meglio. Purple si integra nativamente con l'infrastruttura Cisco per alleggerire la complessa logica della guest experience, lasciando al contempo le policy di sicurezza aziendali principali a Cisco ISE. Questa guida analizza come le due soluzioni coesistono in una moderna topologia di rete aziendale, fornendo strategie di implementazione pratiche per il settore retail , hospitality e grandi spazi pubblici.
Approfondimento Tecnico
Il ruolo di Cisco ISE: Controllo degli Accessi alla Rete Aziendale
Cisco ISE rappresenta lo standard di riferimento per il NAC aziendale. La sua funzione primaria è quella di autenticare e autorizzare i dispositivi e gli utenti noti che si connettono alla rete aziendale, affidandosi principalmente allo standard IEEE 802.1X per il controllo degli accessi di rete basato su porta.
Quando un computer portatile aziendale si connette a una porta dello switch o a un SSID aziendale, ISE agisce come un server RADIUS. Valuta i certificati dei dispositivi tramite EAP-TLS o le credenziali dell'utente tramite PEAP a fronte di Active Directory o Microsoft Entra ID. Successivamente, ISE esamina lo stato di sicurezza del dispositivo. Se conforme, ISE assegna la VLAN corretta e applica il Security Group Tag (SGT) adeguato. Se il dispositivo non supera la verifica di sicurezza, ISE può metterlo in quarantena utilizzando la funzione RADIUS Change of Authorisation (CoA). Per un esame più approfondito della configurazione del client, consulta la nostra guida su Che cos'è un supplicant 802.1X? Tipi di client e configurazione del dispositivo . ISE gestisce anche l'onboarding Bring Your Own Device (BYOD), dove i dispositivi personali vengono registrati con certificati per un accesso sicuro e senza password. Inoltre, si integra con il framework pxGrid di Cisco, consentendo a firewall e piattaforme SIEM di utilizzare il contesto di identità in tempo reale. Le licenze di ISE sono suddivise in tre livelli: Essentials, Advantage e Premier, che scalano dal modulo base 802.1X fino all'integrazione avanzata delle minacce.
Il ruolo di Purple: Esperienza Ospiti e Analytics
Sebbene ISE eccella nella protezione delle risorse aziendali, il suo portale ospiti integrato è più utilitaristico che commerciale. Può fornire un accesso di base a Internet per i collaboratori esterni, ma non è in grado di acquisire il consenso di marketing conforme al GDPR, gestire splash page personalizzate con il brand e login social, o inviare i dati dei visitatori a piattaforme CRM come Salesforce. Purple colma esattamente questa lacuna.
Purple è un overlay cloud agnostico rispetto all'hardware. Funziona al di sopra della tua infrastruttura WiFi esistente, inclusi Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Purple controlla essenzialmente il livello dell'esperienza ospiti. Quando un visitatore si connette al tuo SSID ospiti, Purple presenta un Captive Portal personalizzato con il brand. Questo portale offre il social login tramite Facebook, Google o LinkedIn, moduli personalizzati per l'acquisizione dei dati e opzioni fluide come Passpoint.
Ogni accesso acquisisce dati di prima parte con opt-in chiari e basati su una scelta attiva. Purple elabora questi dati attraverso il suo motore di analytics, creando mappe di calore delle presenze e dati demografici dei visitatori, per poi inviarli direttamente al tuo stack di marketing. Purple opera in oltre 80.000 sedi attive e ha elaborato 440 milioni di accessi nel 2024. Disponiamo della certificazione ISO 27001 e siamo conformi a GDPR e CCPA, garantendo una stabilità di livello enterprise con un uptime del 99,999%. Per approfondire i vantaggi commerciali, consulta la nostra panoramica sulla piattaforma WiFi Analytics .

Coesistenza Architetturale
Quando si separano gli SSID, l'architettura diventa straordinariamente semplice. Si eseguono due o tre SSID sugli stessi access point. Per un'analisi dettagliata di questo design, leggi Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .
L'SSID aziendale utilizza WPA3-Enterprise con 802.1X, e ISE funge da server RADIUS. ISE assegna il dispositivo alla VLAN corretta e applica le policy. In questo contesto Purple non interviene.
L'SSID ospiti utilizza una rete aperta per l'associazione iniziale o WPA3-Personal con una chiave precondivisa. Il traffico viene reindirizzato al portale cloud di Purple. Purple gestisce l'autenticazione, l'acquisizione del consenso e gli analytics. L'access point applica un walled garden fino a quando Purple non segnala l'avvenuta autorizzazione, abilitando quindi l'accesso a Internet. In questo ambito ISE non ha alcun ruolo. Per i dispositivi IoT della sede, come i terminali per i punti vendita, la funzione SecurePass di Purple può gestire le Identity Pre-Shared Keys (iPSK), mentre ISE può gestire i dispositivi IoT aziendali.

Guida all'implementazione
L'implementazione di Purple insieme a Cisco ISE richiede un'attenta configurazione dei controller LAN wireless o delle dashboard cloud.
Passo 1: Segmentazione SSID
Creare SSID separati per il traffico aziendale e quello degli ospiti. Configurare l'SSID aziendale per WPA3-Enterprise e indirizzare l'autenticazione RADIUS ai nodi Cisco ISE. Configurare l'SSID per gli ospiti per l'accesso aperto con filtraggio MAC o WPA3-Personal.
Passo 2: Isolamento VLAN
Assicurarsi che il traffico degli ospiti sia isolato da quello aziendale a livello Layer 2. L'SSID degli ospiti deve essere mappato su una VLAN dedicata che esclude le tabelle di routing interne e instrada direttamente al firewall internet. ISE applica l'assegnazione della VLAN per l'SSID aziendale in base alle policy.
Passo 3: Configurazione del Walled Garden
Per l'SSID degli ospiti, configurare il reindirizzamento del Captive Portal per puntare all'infrastruttura cloud di Purple. È necessario configurare un walled garden (ACL di pre-autorizzazione) sui punti di accesso per consentire il traffico DNS e HTTP/HTTPS verso gli intervalli IP e i domini richiesti da Purple. Se il walled garden è troppo restrittivo, il Captive Portal non si caricherà.
Passo 4: Integrazione RADIUS per Guest WiFi
Configurare il controller wireless per utilizzare i server RADIUS di Purple per l'SSID degli ospiti. Ciò consente a Purple di autorizzare l'utente e di monitorare la durata della sessione e l'utilizzo della larghezza di banda.
Best Practice
- Non mischiare mai il traffico degli ospiti e quello aziendale sullo stesso SSID. Questo comporta notevoli rischi per la sicurezza e la conformità. Utilizzare sempre SSID dedicati mappati su VLAN isolate.
- Utilizzare Purple per l'accesso commerciale degli ospiti. Non utilizzare il portale ospiti integrato di ISE se si necessita di analisi di marketing, integrazione CRM o login social personalizzato.
- Applicare una larghezza di banda a livelli. Offrire un servizio di base gratuito sull'SSID degli ospiti e un'opzione premium a pagamento per velocità più elevate utilizzando i piani Purple Connect, Purple Capture o Purple Engage.
- Sfruttare Passpoint. Utilizzare Passpoint (Hotspot 2.0) tramite Purple per consentire agli ospiti che ritornano di connettersi in modo automatico e sicuro senza dover visualizzare ripetutamente il Captive Portal.
Risoluzione dei problemi e mitigazione dei rischi
- Il Captive Portal non si carica: Questo problema è quasi sempre dovuto al walled garden. Verificare che tutti i domini e gli indirizzi IP richiesti da Purple siano consentiti nell'ACL di pre-autenticazione dell'hardware Cisco.
- I dispositivi degli ospiti accedono alle risorse interne: Questo indica un errore nell'isolamento della VLAN. Verificare che la VLAN degli ospiti non possa instradare verso le sottoreti aziendali a livello di firewall o di switch principale.* RADIUS Timeout: Se il controller wireless non riesce a raggiungere i server RADIUS di Purple, l'autenticazione degli ospiti fallirà. Assicurati che il tuo firewall consenta le porte UDP in uscita 1812 e 1813 verso l'infrastruttura di Purple.
ROI e Impatto Aziendale
L'impatto aziendale derivante dalla separazione del controllo degli accessi di rete Cisco ISE dalla gestione della guest experience è estremamente significativo. Delegando le responsabilità del guest WiFi a Purple, i team IT possono ridurre il carico operativo legato alla gestione degli account temporanei e alla risoluzione dei problemi del portale.
Ancora più importante, Purple trasforma la rete guest in una risorsa in grado di generare ricavi. Raccogliendo dati di prima parte e integrandoli con le piattaforme CRM, le location possono avviare campagne di marketing altamente mirate. Ad esempio, Harrods ha utilizzato una semplice domanda sulla propria splash page per incrementare le iscrizioni al proprio programma fedeltà, contribuendo direttamente a un ROI di 3 volte superiore solo per quel gruppo di utenti. AGS Airports ha registrato un ritorno sull'investimento dell'842% implementando una larghezza di banda a livelli. La combinazione di Cisco ISE per la sicurezza e Purple per l'engagement offre sia tranquillità che un valore commerciale misurabile.
Definizioni chiave
Network Access Control (NAC)
Un'architettura di sicurezza che limita la disponibilità della rete ai soli dispositivi endpoint conformi e autenticati. Cisco ISE è una piattaforma NAC.
I team IT utilizzano il controllo degli accessi di rete per impedire ai dispositivi non autorizzati di accedere ai dati aziendali.
IEEE 802.1X
Uno standard IEEE per il controllo dell'accesso alla rete basato su porta, che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.
Utilizzato da Cisco ISE per proteggere gli SSID aziendali tramite certificati o credenziali anziché password condivise.
Captive Portal
Una pagina web che l'utente di una rete ad accesso pubblico è obbligato a visualizzare e con cui deve interagire prima che l'accesso venga concesso.
Purple fornisce captive portal altamente personalizzabili per acquisire il consenso al marketing e i dati di prima parte.
VLAN (Virtual Local Area Network)
Una sottorete logica che raggruppa una serie di dispositivi appartenenti a diverse LAN fisiche.
Fondamentale per separare il traffico degli ospiti (gestito da Purple) da quello aziendale (gestito da ISE).
Walled Garden
Un ambiente limitato che controlla l'accesso dell'utente a contenuti e servizi web prima che sia avvenuta la completa autenticazione.
Deve essere configurato correttamente sull'hardware Cisco per consentire ai dispositivi di raggiungere i server di Purple per caricare il captive portal.
RADIUS
Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento delle attività.
Sia ISE che Purple utilizzano lo standard RADIUS, ma per scopi diversi: ISE per l'accesso aziendale 802.1X, Purple per la gestione delle sessioni degli ospiti.
Passpoint (Hotspot 2.0)
Uno standard che consente ai dispositivi mobili di rilevare e connettersi automaticamente alle reti WiFi in modo sicuro senza l'intervento dell'utente.
Purple supporta lo standard Passpoint per offrire un'esperienza di roaming fluida, simile a quella cellulare, per gli ospiti che ritornano.
pxGrid
Platform Exchange Grid. Un framework di Cisco che consente la collaborazione tra sistemi di rete multivendor e multipiattaforma.
Consente a Purple di condividere il contesto delle sessioni degli ospiti con l'ecosistema Cisco ISE per una visibilità unificata della sicurezza.
Esempi pratici
Un hotel di 200 camere ha l'esigenza di fornire un accesso WiFi sicuro per il personale interno (servizio pulizie, direzione) e un'esperienza WiFi con captive portal personalizzato e acquisizione dati per gli ospiti dell'hotel. Attualmente utilizzano access point Cisco Catalyst.
Configurare due SSID. 'Hotel_Corp' utilizza lo standard WPA3-Enterprise. Cisco ISE funge da server RADIUS, autenticando i dispositivi del personale tramite certificati EAP-TLS e assegnandoli alla VLAN di gestione. 'Hotel_Guest' utilizza un SSID aperto con reindirizzamento a Purple. Purple presenta un captive portal personalizzato che offre il login social o l'integrazione con il PMS. Il traffico degli ospiti viene instradato su una VLAN isolata con accesso diretto a internet.
Una grande catena di negozi desidera monitorare l'afflusso e il tempo di permanenza dei clienti in 50 punti vendita utilizzando l'infrastruttura Cisco Meraki esistente, senza compromettere la sicurezza della rete interna dei punti cassa (POS).
I terminali POS si connettono a un SSID nascosto protetto da WPA3-Enterprise e Cisco ISE. Un SSID pubblico 'Free_Store_WiFi' viene trasmesso per i clienti. La dashboard Meraki viene configurata per integrarsi con Purple tramite API. Purple acquisisce dati di presenza anonimizzati dai dispositivi in ricerca di rete per generare mappe di calore, e acquisisce dati di prima parte espliciti quando i clienti accedono al captive portal.
Domande di esercitazione
Q1. Il tuo direttore marketing desidera acquisire indirizzi email e dati demografici dai visitatori che utilizzano il WiFi ospiti nei tuoi punti vendita. Il team di ingegneria di rete suggerisce di abilitare la funzionalità di portale ospiti integrata nella tua installazione esistente di Cisco ISE. È questo l'approccio corretto?
Suggerimento: Considera le funzionalità commerciali del portale ospiti ISE rispetto a una piattaforma overlay dedicata.
Visualizza risposta modello
No. Il portale ospiti di Cisco ISE è progettato per l'accesso funzionale (ad es. appaltatori), non per il marketing commerciale. Manca di integrazioni native con i CRM, di flussi di gestione del consenso GDPR e di analisi dettagliate dei visitatori. L'approccio corretto consiste nell'implementare Purple sull'SSID ospiti per gestire l'acquisizione dei dati e l'analisi, lasciando che ISE gestisca la rete aziendale.
Q2. Un ospite si connette all'SSID gestito da Purple ma il suo browser mostra un errore di timeout invece della splash page del Captive Portal. Gli utenti aziendali sull'SSID gestito da ISE non riscontrano problemi. Qual è la causa più probabile?
Suggerimento: Pensa a cosa deve accadere prima che l'autenticazione sia completata su una rete con Captive Portal.
Visualizza risposta modello
La causa più probabile è un walled garden (ACL di pre-autenticazione) configurato in modo errato sull'access point wireless o sul controller. Al dispositivo viene impedito di raggiungere l'infrastruttura cloud di Purple per caricare il portale. È necessario assicurarsi che i domini e gli intervalli IP specifici di Purple siano inseriti nella whitelist.
Q3. Stai progettando una rete per una nuova sede aziendale. Devi supportare i laptop del personale, i telefoni personali del personale (BYOD) e i clienti in visita. Come dovresti progettare gli SSID e l'autenticazione?
Suggerimento: Separa i gruppi di utenti in base alla proprietà del dispositivo e ai livelli di accesso richiesti.
Visualizza risposta modello
Distribuisci due SSID. L'SSID aziendale utilizza WPA3-Enterprise. Cisco ISE gestisce l'autenticazione 802.1X per i laptop del personale e gestisce la registrazione dei certificati per i dispositivi BYOD del personale, assegnandoli a VLAN interne. L'SSID ospiti è aperto e reindirizzato a Purple. Purple gestisce l'autenticazione del Captive Portal per i clienti in visita, posizionandoli su una VLAN isolata con solo accesso a Internet.
Continua a leggere questa serie
Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Questa guida di riferimento tecnica descrive l'architettura, la configurazione e l'implementazione dell'autenticazione RADIUS per le reti WiFi aziendali per ospiti e personale. Fornisce ai network architect e ai manager IT i protocolli esatti, gli standard di sicurezza e le metodologie di risoluzione dei problemi necessari per creare sistemi di controllo degli accessi wireless sicuri e scalabili.
Passpoint and OpenRoaming: Complete Guide
Questa guida di riferimento tecnico fornisce un'analisi completa dei framework Passpoint (Hotspot 2.0) e WBA OpenRoaming all'interno delle reti WiFi aziendali. Descrive in dettaglio i protocolli di autenticazione sottostanti, i componenti architetturali e le strategie di implementazione necessarie per stabilire una connettività guest sicura e senza attriti. I progettisti di rete e i responsabili IT impareranno a progettare, implementare e risolvere i problemi di questi standard per eliminare le barriere di accesso manuale mantenendo al contempo una sicurezza di livello enterprise.
Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore
Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.