Cisco ISE vs. Purple WiFi: Como Eles se Comparam e Trabalham Juntos
Este guia explica como o Cisco ISE e o Purple WiFi desempenham papéis distintos, porém complementares, em redes corporativas. Ele detalha como usar o Cisco ISE para acesso corporativo seguro 802.1X enquanto aproveita o Purple para WiFi de convidados em conformidade com a GDPR, análise de marketing e integração com CRM.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Análise Técnica Profunda
- O Papel do Cisco ISE: Controle de Acesso à Rede Corporativa
- O papel da Purple: Experiência do Visitante e Analytics
- Coexistência de Arquitetura
- Guia de Implementação
- Passo 1: Segmentação de SSID
- Passo 2: Isolamento de VLAN
- Passo 3: Configuração do Walled Garden
- Passo 4: Integração RADIUS para Guest WiFi
- Melhores Práticas
- Solução de Problemas e Mitigação de Riscos
- ROI e Impacto no Negócio

Resumo Executivo
A arquitetura de rede corporativa exige uma separação clara de responsabilidades entre a segurança corporativa e o engajamento comercial de visitantes. Ao avaliar Cisco ISE vs Purple WiFi, o erro que muitos líderes de TI cometem é considerá-los como plataformas concorrentes. Eles não são. O Cisco Identity Services Engine (ISE) é um mecanismo de política 802.1X e Network Access Control (NAC) padrão do setor para proteger dispositivos corporativos e de funcionários. A Purple é uma plataforma de sobreposição baseada em nuvem desenvolvida para gerenciar Captive Portals de visitantes, consentimento de marketing de visitantes e análises operacionais.
Tentar forçar o Cisco ISE a funcionar como uma alternativa de portal de visitantes do cisco ise para marketing comercial introduz complexidade desnecessária e falha em fornecer dados acionáveis. Por outro lado, implantar o Purple WiFi junto com o Cisco ISE permite que cada plataforma faça o que faz de melhor. A Purple integra-se nativamente com a infraestrutura Cisco para descarregar a lógica complexa de experiência do visitante, enquanto deixa as políticas de segurança corporativa centrais com o Cisco ISE. Este guia detalha como eles coexistem em uma topologia de rede corporativa moderna, fornecendo estratégias práticas de implantação para o setor de varejo , hospitalidade e grandes espaços públicos.
Análise Técnica Profunda
O Papel do Cisco ISE: Controle de Acesso à Rede Corporativa
O Cisco ISE é o padrão de excelência para NAC corporativo. Sua principal função é autenticar e autorizar dispositivos e usuários conhecidos que se conectam à rede corporativa, dependendo fortemente do padrão de controle de acesso à rede baseado em porta IEEE 802.1X.
Quando um notebook corporativo se conecta a uma porta de switch ou a um SSID corporativo, o ISE atua como um servidor RADIUS. Ele valida os certificados do dispositivo via EAP-TLS ou as credenciais do usuário via PEAP em relação ao Active Directory ou Microsoft Entra ID. O ISE então avalia a postura de segurança do dispositivo. Se estiver em conformidade, o ISE atribui a VLAN correta e aplica a Tag de Grupo de Segurança (SGT) apropriada. Se o dispositivo falhar na avaliação de postura, o ISE pode colocá-lo em quarentena usando a Alteração de Autorização (CoA) do RADIUS. Para uma análise mais detalhada da configuração do cliente, revise nosso guia sobre O que é um Suplicante 802.1X? Tipos de Clientes e Configuração de Dispositivos . O ISE também gerencia a integração de Bring Your Own Device (BYOD), onde dispositivos pessoais são registrados com certificados para acesso seguro e sem senha. Além disso, ele se integra ao framework pxGrid da Cisco, permitindo que firewalls e plataformas SIEM utilizem o contexto de identidade em tempo real. O ISE é licenciado em três níveis: Essentials, Advantage e Premier, que escalam desde o 802.1X básico até a integração avançada de ameaças.
O papel da Purple: Experiência do Visitante e Analytics
Embora o ISE seja excelente na segurança de ativos corporativos, seu portal de visitantes integrado é mais utilitário do que comercial. Ele pode fornecer acesso básico à internet para prestadores de serviços, mas não consegue capturar consentimento de marketing em conformidade com a GDPR, operar páginas splash personalizadas com login social ou enviar dados de visitantes para plataformas de CRM como o Salesforce. A Purple preenche exatamente essa lacuna.
A Purple é um overlay em nuvem agnóstico de hardware. Ela opera sobre a sua infraestrutura de WiFi existente, incluindo Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. A Purple essencialmente domina a camada de experiência do visitante. Quando um visitante se conecta ao seu SSID de visitantes, a Purple apresenta um Captive Portal personalizado. Este portal oferece login social via Facebook, Google ou LinkedIn, formulários de captura de dados personalizados e opções integradas como o Passpoint.
Cada login captura dados primários com consentimentos de escolha ativa claros. A Purple processa esses dados por meio de seu mecanismo de analytics, criando mapas de calor de fluxo de pessoas e dados demográficos dos visitantes, e depois os envia diretamente para a sua pilha de marketing. A Purple opera em mais de 80.000 locais ativos e processou 440 milhões de logins em 2024. Possuímos certificação ISO 27001 e estamos em conformidade com GDPR e CCPA, garantindo estabilidade de nível corporativo com 99,999% de uptime. Para uma análise mais detalhada dos benefícios comerciais, consulte a nossa visão geral da plataforma de WiFi Analytics .

Coexistência de Arquitetura
Quando você separa os SSIDs, a arquitetura torna-se incrivelmente simples. Você executa dois ou três SSIDs nos mesmos pontos de acesso. Para um detalhamento completo deste design, leia Três SSIDs para governar todos: visitante, Passpoint e WiFi IoT .
O SSID corporativo usa WPA3-Enterprise com 802.1X, e o ISE é o servidor RADIUS. O ISE atribui o dispositivo à VLAN correta e aplica a política. A Purple não participa aqui.
O SSID de visitantes usa uma rede aberta para associação inicial ou WPA3-Personal com uma chave pré-compartilhada. O tráfego é redirecionado para o portal em nuvem da Purple. A Purple gerencia a autenticação, a captura de consentimento e o analytics. O ponto de acesso impõe um jardim murado até que a Purple sinalize a autorização, e então libera o acesso à internet. O ISE não tem papel aqui.
Para dispositivos IoT do local, como terminais de ponto de venda, o recurso SecurePass do Purple pode gerenciar Identity Pre-Shared Keys (iPSK), ou o ISE pode gerenciar o IoT corporativo.

Guia de Implementação
A implantação do Purple junto ao Cisco ISE exige uma configuração cuidadosa dos seus controladores de LAN sem fio ou painéis em nuvem.
Passo 1: Segmentação de SSID
Crie SSIDs separados para o tráfego corporativo e de convidados. Configure o SSID corporativo para WPA3-Enterprise e aponte a autenticação RADIUS para os seus nós do Cisco ISE. Configure o SSID de convidados para acesso aberto com filtragem de MAC ou WPA3-Personal.
Passo 2: Isolamento de VLAN
Garante que o tráfego de convidados seja isolado do tráfego corporativo na Camada 2. O SSID de convidados deve ser mapeado para uma VLAN dedicada que ignora as tabelas de roteamento internas e roteia diretamente para o firewall de internet. O ISE impõe a atribuição de VLAN para o SSID corporativo com base em políticas.
Passo 3: Configuração do Walled Garden
Para o SSID de convidados, configure o redirecionamento do Captive Portal para apontar para a infraestrutura de nuvem do Purple. Você deve configurar um walled garden (ACL de pré-autorização) nos seus pontos de acesso para permitir tráfego DNS e HTTP/HTTPS para as faixas de IP e domínios obrigatórios do Purple. Se o walled garden for muito restritivo, o Captive Portal não será carregado.
Passo 4: Integração RADIUS para Guest WiFi
Configure o seu controlador sem fio para usar os servidores RADIUS do Purple para o SSID de convidados. Isso permite que o Purple autorize o usuário e rastreie a duração da sessão e o uso de largura de banda.
Melhores Práticas
- Nunca misture tráfego de convidados e corporativo no mesmo SSID. Isso cria riscos significativos de segurança e conformidade. Sempre use SSIDs dedicados mapeados para VLANs isoladas.
- Use o Purple para acesso de convidados comercial. Não use o portal de convidados integrado do ISE se você precisar de análises de marketing, integração com CRM ou login social personalizado.
- Aplique largura de banda escalonada. Ofereça um serviço básico gratuito no SSID de convidados e ofereça uma opção paga premium para velocidades mais altas usando os planos Purple Connect, Purple Capture ou Purple Engage.
- Aproveite o Passpoint. Use o Passpoint (Hotspot 2.0) por meio do Purple para permitir que convidados que retornam se conectem de forma automática e segura, sem precisar visualizar o Captive Portal repetidamente.
Solução de Problemas e Mitigação de Riscos
- O Captive Portal não carrega: Isso quase sempre é um problema de walled garden. Verifique se todos os domínios e endereços IP obrigatórios do Purple estão permitidos na ACL de pré-autenticação do seu hardware Cisco.
- Dispositivos de convidados estão acessando recursos internos: Isso indica uma falha no isolamento de VLAN. Verifique se a VLAN de convidados não consegue rotear para sub-redes corporativas na camada de firewall ou switch central.* RADIUS Timeouts: Se o controlador sem fio não conseguir alcançar os servidores RADIUS do Purple, a autenticação do convidado falhará. Certifique-se de que seu firewall permita portas UDP de saída 1812 e 1813 para a infraestrutura do Purple.
ROI e Impacto no Negócio
O impacto no negócio de separar o controle de acesso à rede Cisco ISE do gerenciamento da experiência de convidados é altamente significativo. Ao transferir as responsabilidades do WiFi para convidados para o Purple, as equipes de TI podem reduzir a carga operacional de gerenciar contas temporárias e solucionar problemas do Captive Portal.
Mais importante ainda, o Purple transforma a rede de convidados em um ativo gerador de receita. Ao coletar dados primários e integrá-los com plataformas de CRM, os locais podem executar campanhas de marketing altamente direcionadas. Por exemplo, a Harrods usou uma pergunta simples em sua splash page para impulsionar as inscrições em seu programa de fidelidade, contribuindo diretamente para um ROI de 3x apenas a partir desse grupo. A AGS Airports obteve um retorno sobre o investimento de 842% ao implementar largura de banda em camadas. Combinar Cisco ISE para segurança e Purple para engajamento entrega tanto paz de espírito quanto valor comercial mensurável.
Definições principais
Controle de Acesso à Rede (NAC)
Uma arquitetura de segurança que restringe a disponibilidade da rede a dispositivos finais em conformidade e autenticados. O Cisco ISE é uma plataforma NAC.
As equipes de TI usam NAC para impedir que dispositivos não autorizados acessem dados corporativos.
IEEE 802.1X
Um padrão IEEE para controle de acesso à rede baseado em porta, fornecendo um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.
Usado pelo Cisco ISE para proteger SSIDs corporativos usando certificados ou credenciais em vez de senhas compartilhadas.
Captive Portal
Uma página web que o usuário de uma rede de acesso público é obrigado a visualizar e interagir antes que o acesso seja concedido.
O Purple fornece portals cativos altamente personalizáveis para capturar consentimento de marketing e dados primários.
VLAN (Virtual Local Area Network)
Uma sub-rede lógica que agrupa uma coleção de dispositivos de diferentes LANs físicas.
Crucial para separar o tráfego de convidados (gerenciado pelo Purple) do tráfego corporativo (gerenciado pelo ISE).
Walled Garden
Um ambiente restrito que controla o acesso de um usuário a conteúdos e serviços da web antes que ele tenha se autenticado totalmente.
Deve ser configurado corretamente no hardware Cisco para permitir que os dispositivos alcancem os servidores do Purple para carregar o Captive Portal.
RADIUS
Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Tarifação (Accounting).
Tanto o ISE quanto o Purple usam RADIUS, mas para finalidades diferentes: o ISE para acesso corporativo 802.1X, o Purple para tarifação de sessão de convidados.
Passpoint (Hotspot 2.0)
Um padrão que permite que dispositivos móveis descubram e se conectem automaticamente a redes WiFi de forma segura, sem a intervenção do usuário.
O Purple suporta Passpoint para fornecer uma experiência de roaming contínua e semelhante à rede celular para convidados que retornam.
pxGrid
Platform Exchange Grid. Um framework da Cisco que possibilita a colaboração de sistemas de rede multiplataforma e de múltiplos fornecedores.
Permite que o Purple compartilhe o contexto da sessão de convidados com o ecossistema do Cisco ISE para uma visibilidade de segurança unificada.
Exemplos práticos
Um hotel de 200 quartos precisa fornecer WiFi seguro para a equipe interna (limpeza, gerência) e uma experiência de WiFi personalizada com captura de dados para os hóspedes do hotel. Atualmente, eles utilizam pontos de acesso Cisco Catalyst.
Implante dois SSIDs. 'Hotel_Corp' usa WPA3-Enterprise. O Cisco ISE atua como o servidor RADIUS, autenticando os dispositivos da equipe por meio de certificados EAP-TLS e atribuindo-os à VLAN de gerência. 'Hotel_Guest' usa um SSID aberto redirecionado para o Purple. O Purple apresenta um Captive Portal personalizado que oferece login social ou integração com PMS. O tráfego de convidados é colocado em uma VLAN isolada e roteado diretamente para a internet.
Uma grande rede de varejo deseja monitorar o fluxo de clientes e o tempo de permanência em 50 lojas usando sua infraestrutura Cisco Meraki existente, sem comprometer a segurança de sua rede interna de ponto de venda (POS).
Os terminais POS conectam-se a um SSID oculto protegido por WPA3-Enterprise e Cisco ISE. Um SSID público 'Free_Store_WiFi' é transmitido para os clientes. O painel do Meraki é configurado para se integrar ao Purple via API. O Purple captura dados de presença anonimizados de dispositivos em busca de rede para gerar mapas de calor, e captura dados primários explícitos quando os clientes fazem login no Captive Portal.
Questões práticas
Q1. Seu diretor de marketing deseja capturar endereços de e-mail e dados demográficos dos visitantes que usam o WiFi de visitantes em suas lojas de varejo. A equipe de engenharia de rede sugere ativar o recurso de Captive Portal integrado à implantação existente do Cisco ISE. Essa é a abordagem correta?
Dica: Considere os recursos comerciais do portal de visitantes do Cisco ISE em comparação com uma plataforma overlay dedicada.
Ver resposta modelo
Não. O portal de visitantes do Cisco ISE foi projetado para acesso funcional (por exemplo, prestadores de serviços), não para marketing comercial. Ele não possui integrações nativas de CRM, fluxos de trabalho de gerenciamento de consentimento da GDPR e análises detalhadas de visitantes. A abordagem correta é implementar o Purple no SSID de visitantes para lidar com a captura de dados e análises, deixando o Cisco ISE para gerenciar a rede corporativa.
Q2. Um visitante se conecta ao SSID gerenciado pelo Purple, mas o navegador exibe um erro de tempo limite (timeout) em vez da tela de login do Captive Portal. Os usuários corporativos no SSID gerenciado pelo Cisco ISE não são afetados. Qual é a causa mais provável?
Dica: Pense no que deve acontecer antes que a autenticação seja concluída em uma rede com Captive Portal.
Ver resposta modelo
A causa mais provável é um jardim murado (walled garden / ACL pré-autenticação) configurado incorretamente no access point sem fio ou na controladora. O dispositivo está sendo impedido de alcançar a infraestrutura de nuvem do Purple para carregar o portal. Você deve garantir que os domínios e intervalos de IP específicos do Purple estejam na lista de permissões.
Q3. Você está projetando uma rede para uma nova sede corporativa. Precisa oferecer suporte a notebooks de funcionários, celulares pessoais de funcionários (BYOD) e clientes visitantes. Como você deve arquitetar os SSIDs e a autenticação?
Dica: Separe os grupos com base na propriedade do dispositivo e nos níveis de acesso exigidos.
Ver resposta modelo
Implante dois SSIDs. O SSID corporativo usa WPA3-Enterprise. O Cisco ISE lida com a autenticação 802.1X para os notebooks dos funcionários e gerencia o registro de certificados para os dispositivos BYOD dos funcionários, atribuindo-os às VLANs internas. O SSID de visitantes é aberto e redirecionado para o Purple. O Purple lida com a autenticação do Captive Portal para os clientes visitantes, colocando-os em uma VLAN isolada apenas com acesso à internet.
Continue a ler esta série
Configurando Autenticação RADIUS para Redes WiFi de Convidados e Funcionários
Este guia de referência técnica descreve a arquitetura, configuração e implantação da autenticação RADIUS para redes WiFi corporativas de convidados e funcionários. Ele fornece aos arquitetos de rede e gerentes de TI os protocolos exatos, padrões de segurança e metodologias de solução de problemas necessários para criar sistemas de controle de acesso sem fio seguros e escaláveis.
Passpoint and OpenRoaming: Complete Guide
Este guia de referência técnica fornece uma análise abrangente das estruturas Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Ele detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implantação necessárias para estabelecer uma conectividade de visitantes segura e sem atrito. Arquitetos de rede e líderes de TI aprenderão como projetar, implementar e solucionar problemas desses padrões para eliminar as barreiras de login manual, mantendo a segurança de nível empresarial.
Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior
Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.