Pular para o conteúdo principal

Cisco ISE vs. Purple WiFi: Como Eles se Comparam e Trabalham Juntos

Este guia explica como o Cisco ISE e o Purple WiFi desempenham papéis distintos, porém complementares, em redes corporativas. Ele detalha como usar o Cisco ISE para acesso corporativo seguro 802.1X enquanto aproveita o Purple para WiFi de convidados em conformidade com a GDPR, análise de marketing e integração com CRM.

📖 6 min de leitura📝 1,259 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Você é um consultor sênior de segurança de rede informando um cliente em inglês britânico com um tom confiante, autoritativo e conversacional. Fale claramente e em um ritmo compassado, como se estivesse se apresentando para uma sala de conselho de diretores de TI e arquitetos de rede. Este é um briefing técnico profissional, não uma palestra. Fale em inglês britânico com uma pronúncia padrão: Bem-vindo à série de briefings técnicos da Purple. Hoje vamos abordar uma questão que surge constantemente no design de redes corporativas: Cisco ISE versus Purple WiFi. Como eles se comparam e, mais importante, como eles trabalham juntos? Vou lhe dar a resposta direta em cerca de dez minutos. [medium pause] Vamos começar com o contexto. Se você administra um hotel, uma propriedade de varejo, um estádio ou um prédio do setor público, quase certamente tem duas populações distintas se conectando à sua rede. Você tem funcionários e dispositivos corporativos, e tem hóspedes, visitantes, torcedores ou compradores. Essas duas populações têm requisitos de autenticação completamente diferentes, direitos de dados diferentes e objetivos de negócios diferentes. O erro que a maioria das organizações comete é tentar resolver ambos os problemas com uma única ferramenta. É daí que vem a confusão entre o Cisco ISE e a Purple. [medium pause] Seção um: o que o Cisco ISE realmente faz. O Cisco Identity Services Engine, ou ISE, é a plataforma de Network Access Control corporativo da Cisco. O trabalho dele é autenticar e autorizar dispositivos corporativos e usuários da equipe. Ele faz isso principalmente por meio do IEEE 802.1X, que é o padrão de controle de acesso à rede baseado em porta. Quando um laptop corporativo se conecta à sua rede, o ISE verifica seu certificado via EAP-TLS, ou suas credenciais via PEAP, valida-o em relação ao Active Directory ou Microsoft Entra ID, avalia sua postura de segurança e, em seguida, o atribui à VLAN correta com a política correta. Se o dispositivo falhar na avaliação de postura, o ISE pode colocá-lo em quarentena automaticamente usando RADIUS Change of Authorisation, ou CoA. O ISE também lida com o onboarding de BYOD, onde os dispositivos pessoais são registrados com um certificado para que possam se autenticar com segurança sem uma senha compartilhada. E ele se integra ao framework pxGrid da Cisco, o que permite que outras ferramentas de segurança, como firewalls e plataformas SIEM, consumam contexto de identidade em tempo real. Os três níveis de licença do ISE são Essentials, Advantage e Premier. O Essentials cobre 802.1X e acesso básico de convidados. O Advantage adiciona BYOD, avaliação de postura e integração com MDM de terceiros. O Premier adiciona serviços de identidade passiva e integração avançada contra ameaças. [medium pause] Portanto, o Cisco ISE é uma plataforma de segurança séria de nível corporativo. Mas aqui está o ponto crítico: seu portal de convidados é funcional, não comercial. O Cisco ISE pode redirecionar um dispositivo não autenticado para uma página web, coletar um nome de usuário e senha ou a aprovação de um patrocinador e conceder acesso à internet. O que ele não pode fazer é capturar consentimento de marketing em conformidade com a GDPR, exibir páginas de Captive Portal personalizadas com login social, enviar dados de visitantes para o Salesforce ou HubSpot, gerar mapas de calor de tráfego de pedestres ou segmentar visitantes por dados demográficos para uma campanha de marketing. Não foi para isso que o Cisco ISE foi projetado, e tentar adaptá-lo para essa função cria complexidade sem entregar o resultado comercial. Você é um consultor sênior de segurança de rede continuando um briefing técnico em inglês britânico com um tom confiante, autoritário e de conversação. Fale com clareza e em um ritmo moderado. Fale em inglês britânico com um sotaque de pronúncia padrão recebida (RP): Seção dois: o que a Purple faz. A Purple é uma plataforma de sobreposição em nuvem. Nós operamos no topo da sua infraestrutura de WiFi existente, seja ela Cisco Meraki, Cisco Catalyst, HPE Aruba, Ruckus, Juniper Mist ou qualquer um dos outros grandes fabricantes. Nós não substituímos o seu hardware. Nós não substituímos o Cisco ISE. Nós gerenciamos a camada de experiência do convidado. Quando um visitante se conecta ao seu SSID de convidado, a Purple intercepta essa conexão e apresenta um Captive Portal personalizado. Esse portal pode oferecer login social via Facebook, Google ou LinkedIn, um formulário personalizado de captura de dados, uma opção de clique para conectar ou Passpoint para reconexão segura automática em visitas de retorno. Cada login captura dados primários (first-party data) com consentimento explícito da GDPR. Esses dados fluem diretamente para o seu CRM, sua plataforma de marketing por e-mail ou seu programa de fidelidade. A Purple opera em 80.000 locais ativos e processou 440 milhões de logins apenas em 2024. Nós possuímos a certificação ISO 27001, estamos em conformidade com a GDPR e CCPA, e mantemos 99,999% de uptime. Entre os clientes indicados estão McDonald's, Harrods, Premier Inn, AGS Airports e Manchester Airports Group. [pausa média] Seção três: como eles coexistem em uma topologia de rede moderna. A arquitetura é simples quando você entende a separação de responsabilidades. Você executa dois ou três SSIDs nos mesmos pontos de acesso. O SSID corporativo usa WPA3-Enterprise com 802.1X, e o Cisco ISE é o servidor RADIUS. Cada dispositivo de funcionário se autentica com um certificado ou credencial. O Cisco ISE atribui o dispositivo à VLAN correta, aplica a política correta e registra a sessão. A Purple não tem papel aqui. Este é inteiramente o domínio do Cisco ISE. O SSID de convidado é aberto ou usa WPA3-Personal com uma chave pré-compartilhada para a associação inicial. O tráfego é redirecionado para o portal em nuvem da Purple. A Purple gerencia a autenticação, a captura de consentimento e os relatórios analíticos. O ponto de acesso aplica um walled garden até que a Purple sinalize a autorização, e então abre o acesso à internet. O Cisco ISE não tem papel aqui. Este é o domínio da Purple. Para implantações mais complexas, você pode adicionar um terceiro SSID para dispositivos IoT, usando chaves pré-compartilhadas de identidade, ou iPSK, onde cada dispositivo recebe uma senha exclusiva mapeada para uma VLAN específica. O ISE pode gerenciar isso para IoT corporativo, ou o recurso SecurePass da Purple lida com isso para IoT de locais físicos, como terminais de ponto de venda e sinalização digital. Se você deseja uma integração mais estreita entre as duas plataformas, o pxGrid da Cisco permite que a Purple publique o contexto da sessão de visitantes no ecossistema do ISE, para que sua equipe de operações de segurança possa ver a atividade dos visitantes ao lado da atividade corporativa em uma visualização unificada. [medium pause] Seção quatro: recomendações de implementação e armadilhas comuns. Deixe-me apresentar os três erros mais comuns que vejo nas implantações. Primeiro: usar o portal de visitantes integrado do ISE para WiFi de visitantes comerciais. O portal de visitantes do ISE é projetado para prestadores de serviços e funcionários temporários, não para acesso de visitantes focado em marketing. Ele não possui integração com CRM, gerenciamento de consentimento e análises de dados. Se você atua nos setores de hotelaria, varejo ou eventos, precisa da Purple no SSID de visitantes. O ISE lida com o corporativo. A Purple lida com os visitantes. Mantenha-os separados. Segundo: não segmentar as VLANs corretamente. O tráfego de visitantes deve ser isolado do tráfego corporativo na camada dois. A Purple opera em uma VLAN separada roteada diretamente para a internet, sem acesso aos recursos internos. O ISE impõe a atribuição de VLAN para dispositivos corporativos. Se você misturar isso, criará uma exposição de segurança e um problema de conformidade. Terceiro: negligenciar a configuração do walled garden. Quando a Purple é o Captive Portal, o ponto de acesso deve permitir o tráfego de DNS e HTTP para os endpoints de nuvem da Purple antes da autenticação. Se o seu walled garden for muito restritivo, o portal não será carregado. Se for muito permissivo, os usuários poderão burlar a autenticação. A documentação de suporte da Purple fornece os intervalos de IP e domínios exatos para incluir na lista de permissões para cada fabricante de hardware. [medium pause] Seção cinco: perguntas rápidas. A Purple substitui o Cisco ISE? Não. Eles resolvem problemas diferentes para usuários diferentes em SSIDs diferentes. Posso executar a Purple no Cisco Meraki sem o ISE? Sim. A Purple se integra nativamente ao Cisco Meraki por meio da API Meraki. O ISE não é necessário para o WiFi de visitantes. Posso executar ambos nos mesmos pontos de acesso? Sim. Vários SSIDs no mesmo hardware é uma prática padrão. A Purple suporta 802.1X? O recurso SecurePass da Purple suporta WPA3-Enterprise com 802.1X para dispositivos de visitantes que possuem o aplicativo Purple instalado, permitindo a reconexão automática baseada em certificado sem um Captive Portal. E quanto à conformidade com o PCI-DSS? O WiFi de visitantes deve ser isolado dos sistemas de cartões de pagamento. A arquitetura de VLAN da Purple atende a esse requisito. O ISE impõe o mesmo isolamento para dispositivos corporativos. [medium pause] Resumo e próximos passos. O framework de decisão é simples. Se o dispositivo pertence à sua organização ou aos seus funcionários, o ISE é o responsável pela autenticação. Se o dispositivo pertence a um convidado, visitante, comprador ou fã, a Purple é a responsável pela experiência. As duas plataformas compartilham a mesma infraestrutura física, mas operam em camadas lógicas completamente separadas. Para a sua próxima etapa, mapeie sua arquitetura de SSID atual. Identifique quais SSIDs são corporativos e quais são para convidados. Confirme se o tráfego de convidados está isolado por VLAN. Em seguida, avalie se o seu portal de convidados atual está fornecendo o consentimento de marketing, os dados analíticos e a integração de CRM de que suas equipes comerciais precisam. Se não estiver, essa é a lacuna que a Purple preenche. Você pode encontrar o guia escrito completo, diagramas de arquitetura e exemplos práticos em purple.ai. Obrigado pelo seu tempo.

header_image.png

Resumo Executivo

A arquitetura de rede corporativa exige uma separação clara de responsabilidades entre a segurança corporativa e o engajamento comercial de visitantes. Ao avaliar Cisco ISE vs Purple WiFi, o erro que muitos líderes de TI cometem é considerá-los como plataformas concorrentes. Eles não são. O Cisco Identity Services Engine (ISE) é um mecanismo de política 802.1X e Network Access Control (NAC) padrão do setor para proteger dispositivos corporativos e de funcionários. A Purple é uma plataforma de sobreposição baseada em nuvem desenvolvida para gerenciar Captive Portals de visitantes, consentimento de marketing de visitantes e análises operacionais.

Tentar forçar o Cisco ISE a funcionar como uma alternativa de portal de visitantes do cisco ise para marketing comercial introduz complexidade desnecessária e falha em fornecer dados acionáveis. Por outro lado, implantar o Purple WiFi junto com o Cisco ISE permite que cada plataforma faça o que faz de melhor. A Purple integra-se nativamente com a infraestrutura Cisco para descarregar a lógica complexa de experiência do visitante, enquanto deixa as políticas de segurança corporativa centrais com o Cisco ISE. Este guia detalha como eles coexistem em uma topologia de rede corporativa moderna, fornecendo estratégias práticas de implantação para o setor de varejo , hospitalidade e grandes espaços públicos.

Análise Técnica Profunda

O Papel do Cisco ISE: Controle de Acesso à Rede Corporativa

O Cisco ISE é o padrão de excelência para NAC corporativo. Sua principal função é autenticar e autorizar dispositivos e usuários conhecidos que se conectam à rede corporativa, dependendo fortemente do padrão de controle de acesso à rede baseado em porta IEEE 802.1X.

Quando um notebook corporativo se conecta a uma porta de switch ou a um SSID corporativo, o ISE atua como um servidor RADIUS. Ele valida os certificados do dispositivo via EAP-TLS ou as credenciais do usuário via PEAP em relação ao Active Directory ou Microsoft Entra ID. O ISE então avalia a postura de segurança do dispositivo. Se estiver em conformidade, o ISE atribui a VLAN correta e aplica a Tag de Grupo de Segurança (SGT) apropriada. Se o dispositivo falhar na avaliação de postura, o ISE pode colocá-lo em quarentena usando a Alteração de Autorização (CoA) do RADIUS. Para uma análise mais detalhada da configuração do cliente, revise nosso guia sobre O que é um Suplicante 802.1X? Tipos de Clientes e Configuração de Dispositivos . O ISE também gerencia a integração de Bring Your Own Device (BYOD), onde dispositivos pessoais são registrados com certificados para acesso seguro e sem senha. Além disso, ele se integra ao framework pxGrid da Cisco, permitindo que firewalls e plataformas SIEM utilizem o contexto de identidade em tempo real. O ISE é licenciado em três níveis: Essentials, Advantage e Premier, que escalam desde o 802.1X básico até a integração avançada de ameaças.

O papel da Purple: Experiência do Visitante e Analytics

Embora o ISE seja excelente na segurança de ativos corporativos, seu portal de visitantes integrado é mais utilitário do que comercial. Ele pode fornecer acesso básico à internet para prestadores de serviços, mas não consegue capturar consentimento de marketing em conformidade com a GDPR, operar páginas splash personalizadas com login social ou enviar dados de visitantes para plataformas de CRM como o Salesforce. A Purple preenche exatamente essa lacuna.

A Purple é um overlay em nuvem agnóstico de hardware. Ela opera sobre a sua infraestrutura de WiFi existente, incluindo Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. A Purple essencialmente domina a camada de experiência do visitante. Quando um visitante se conecta ao seu SSID de visitantes, a Purple apresenta um Captive Portal personalizado. Este portal oferece login social via Facebook, Google ou LinkedIn, formulários de captura de dados personalizados e opções integradas como o Passpoint.

Cada login captura dados primários com consentimentos de escolha ativa claros. A Purple processa esses dados por meio de seu mecanismo de analytics, criando mapas de calor de fluxo de pessoas e dados demográficos dos visitantes, e depois os envia diretamente para a sua pilha de marketing. A Purple opera em mais de 80.000 locais ativos e processou 440 milhões de logins em 2024. Possuímos certificação ISO 27001 e estamos em conformidade com GDPR e CCPA, garantindo estabilidade de nível corporativo com 99,999% de uptime. Para uma análise mais detalhada dos benefícios comerciais, consulte a nossa visão geral da plataforma de WiFi Analytics .

architecture_overview.png

Coexistência de Arquitetura

Quando você separa os SSIDs, a arquitetura torna-se incrivelmente simples. Você executa dois ou três SSIDs nos mesmos pontos de acesso. Para um detalhamento completo deste design, leia Três SSIDs para governar todos: visitante, Passpoint e WiFi IoT .

O SSID corporativo usa WPA3-Enterprise com 802.1X, e o ISE é o servidor RADIUS. O ISE atribui o dispositivo à VLAN correta e aplica a política. A Purple não participa aqui.

O SSID de visitantes usa uma rede aberta para associação inicial ou WPA3-Personal com uma chave pré-compartilhada. O tráfego é redirecionado para o portal em nuvem da Purple. A Purple gerencia a autenticação, a captura de consentimento e o analytics. O ponto de acesso impõe um jardim murado até que a Purple sinalize a autorização, e então libera o acesso à internet. O ISE não tem papel aqui.

Para dispositivos IoT do local, como terminais de ponto de venda, o recurso SecurePass do Purple pode gerenciar Identity Pre-Shared Keys (iPSK), ou o ISE pode gerenciar o IoT corporativo.

comparison_chart.png

Guia de Implementação

A implantação do Purple junto ao Cisco ISE exige uma configuração cuidadosa dos seus controladores de LAN sem fio ou painéis em nuvem.

Passo 1: Segmentação de SSID

Crie SSIDs separados para o tráfego corporativo e de convidados. Configure o SSID corporativo para WPA3-Enterprise e aponte a autenticação RADIUS para os seus nós do Cisco ISE. Configure o SSID de convidados para acesso aberto com filtragem de MAC ou WPA3-Personal.

Passo 2: Isolamento de VLAN

Garante que o tráfego de convidados seja isolado do tráfego corporativo na Camada 2. O SSID de convidados deve ser mapeado para uma VLAN dedicada que ignora as tabelas de roteamento internas e roteia diretamente para o firewall de internet. O ISE impõe a atribuição de VLAN para o SSID corporativo com base em políticas.

Passo 3: Configuração do Walled Garden

Para o SSID de convidados, configure o redirecionamento do Captive Portal para apontar para a infraestrutura de nuvem do Purple. Você deve configurar um walled garden (ACL de pré-autorização) nos seus pontos de acesso para permitir tráfego DNS e HTTP/HTTPS para as faixas de IP e domínios obrigatórios do Purple. Se o walled garden for muito restritivo, o Captive Portal não será carregado.

Passo 4: Integração RADIUS para Guest WiFi

Configure o seu controlador sem fio para usar os servidores RADIUS do Purple para o SSID de convidados. Isso permite que o Purple autorize o usuário e rastreie a duração da sessão e o uso de largura de banda.

Melhores Práticas

  1. Nunca misture tráfego de convidados e corporativo no mesmo SSID. Isso cria riscos significativos de segurança e conformidade. Sempre use SSIDs dedicados mapeados para VLANs isoladas.
  2. Use o Purple para acesso de convidados comercial. Não use o portal de convidados integrado do ISE se você precisar de análises de marketing, integração com CRM ou login social personalizado.
  3. Aplique largura de banda escalonada. Ofereça um serviço básico gratuito no SSID de convidados e ofereça uma opção paga premium para velocidades mais altas usando os planos Purple Connect, Purple Capture ou Purple Engage.
  4. Aproveite o Passpoint. Use o Passpoint (Hotspot 2.0) por meio do Purple para permitir que convidados que retornam se conectem de forma automática e segura, sem precisar visualizar o Captive Portal repetidamente.

Solução de Problemas e Mitigação de Riscos

  • O Captive Portal não carrega: Isso quase sempre é um problema de walled garden. Verifique se todos os domínios e endereços IP obrigatórios do Purple estão permitidos na ACL de pré-autenticação do seu hardware Cisco.
  • Dispositivos de convidados estão acessando recursos internos: Isso indica uma falha no isolamento de VLAN. Verifique se a VLAN de convidados não consegue rotear para sub-redes corporativas na camada de firewall ou switch central.* RADIUS Timeouts: Se o controlador sem fio não conseguir alcançar os servidores RADIUS do Purple, a autenticação do convidado falhará. Certifique-se de que seu firewall permita portas UDP de saída 1812 e 1813 para a infraestrutura do Purple.

ROI e Impacto no Negócio

O impacto no negócio de separar o controle de acesso à rede Cisco ISE do gerenciamento da experiência de convidados é altamente significativo. Ao transferir as responsabilidades do WiFi para convidados para o Purple, as equipes de TI podem reduzir a carga operacional de gerenciar contas temporárias e solucionar problemas do Captive Portal.

Mais importante ainda, o Purple transforma a rede de convidados em um ativo gerador de receita. Ao coletar dados primários e integrá-los com plataformas de CRM, os locais podem executar campanhas de marketing altamente direcionadas. Por exemplo, a Harrods usou uma pergunta simples em sua splash page para impulsionar as inscrições em seu programa de fidelidade, contribuindo diretamente para um ROI de 3x apenas a partir desse grupo. A AGS Airports obteve um retorno sobre o investimento de 842% ao implementar largura de banda em camadas. Combinar Cisco ISE para segurança e Purple para engajamento entrega tanto paz de espírito quanto valor comercial mensurável.

Definições principais

Controle de Acesso à Rede (NAC)

Uma arquitetura de segurança que restringe a disponibilidade da rede a dispositivos finais em conformidade e autenticados. O Cisco ISE é uma plataforma NAC.

As equipes de TI usam NAC para impedir que dispositivos não autorizados acessem dados corporativos.

IEEE 802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta, fornecendo um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.

Usado pelo Cisco ISE para proteger SSIDs corporativos usando certificados ou credenciais em vez de senhas compartilhadas.

Captive Portal

Uma página web que o usuário de uma rede de acesso público é obrigado a visualizar e interagir antes que o acesso seja concedido.

O Purple fornece portals cativos altamente personalizáveis para capturar consentimento de marketing e dados primários.

VLAN (Virtual Local Area Network)

Uma sub-rede lógica que agrupa uma coleção de dispositivos de diferentes LANs físicas.

Crucial para separar o tráfego de convidados (gerenciado pelo Purple) do tráfego corporativo (gerenciado pelo ISE).

Walled Garden

Um ambiente restrito que controla o acesso de um usuário a conteúdos e serviços da web antes que ele tenha se autenticado totalmente.

Deve ser configurado corretamente no hardware Cisco para permitir que os dispositivos alcancem os servidores do Purple para carregar o Captive Portal.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Tarifação (Accounting).

Tanto o ISE quanto o Purple usam RADIUS, mas para finalidades diferentes: o ISE para acesso corporativo 802.1X, o Purple para tarifação de sessão de convidados.

Passpoint (Hotspot 2.0)

Um padrão que permite que dispositivos móveis descubram e se conectem automaticamente a redes WiFi de forma segura, sem a intervenção do usuário.

O Purple suporta Passpoint para fornecer uma experiência de roaming contínua e semelhante à rede celular para convidados que retornam.

pxGrid

Platform Exchange Grid. Um framework da Cisco que possibilita a colaboração de sistemas de rede multiplataforma e de múltiplos fornecedores.

Permite que o Purple compartilhe o contexto da sessão de convidados com o ecossistema do Cisco ISE para uma visibilidade de segurança unificada.

Exemplos práticos

Um hotel de 200 quartos precisa fornecer WiFi seguro para a equipe interna (limpeza, gerência) e uma experiência de WiFi personalizada com captura de dados para os hóspedes do hotel. Atualmente, eles utilizam pontos de acesso Cisco Catalyst.

Implante dois SSIDs. 'Hotel_Corp' usa WPA3-Enterprise. O Cisco ISE atua como o servidor RADIUS, autenticando os dispositivos da equipe por meio de certificados EAP-TLS e atribuindo-os à VLAN de gerência. 'Hotel_Guest' usa um SSID aberto redirecionado para o Purple. O Purple apresenta um Captive Portal personalizado que oferece login social ou integração com PMS. O tráfego de convidados é colocado em uma VLAN isolada e roteado diretamente para a internet.

Comentário do examinador: Esta abordagem separa perfeitamente as responsabilidades. O ISE protege os ativos corporativos, enquanto o Purple lida com o requisito comercial de capturar dados de convidados para a equipe de marketing do hotel. O isolamento de VLAN garante a conformidade com o PCI-DSS.

Uma grande rede de varejo deseja monitorar o fluxo de clientes e o tempo de permanência em 50 lojas usando sua infraestrutura Cisco Meraki existente, sem comprometer a segurança de sua rede interna de ponto de venda (POS).

Os terminais POS conectam-se a um SSID oculto protegido por WPA3-Enterprise e Cisco ISE. Um SSID público 'Free_Store_WiFi' é transmitido para os clientes. O painel do Meraki é configurado para se integrar ao Purple via API. O Purple captura dados de presença anonimizados de dispositivos em busca de rede para gerar mapas de calor, e captura dados primários explícitos quando os clientes fazem login no Captive Portal.

Comentário do examinador: O uso da sobreposição de nuvem do Purple com o Meraki não exige nenhum hardware novo. A rede de varejo obtém análises profundas e dados de marketing, enquanto o ISE garante que a rede POS permaneça bloqueada e em conformidade.

Questões práticas

Q1. Seu diretor de marketing deseja capturar endereços de e-mail e dados demográficos dos visitantes que usam o WiFi de visitantes em suas lojas de varejo. A equipe de engenharia de rede sugere ativar o recurso de Captive Portal integrado à implantação existente do Cisco ISE. Essa é a abordagem correta?

Dica: Considere os recursos comerciais do portal de visitantes do Cisco ISE em comparação com uma plataforma overlay dedicada.

Ver resposta modelo

Não. O portal de visitantes do Cisco ISE foi projetado para acesso funcional (por exemplo, prestadores de serviços), não para marketing comercial. Ele não possui integrações nativas de CRM, fluxos de trabalho de gerenciamento de consentimento da GDPR e análises detalhadas de visitantes. A abordagem correta é implementar o Purple no SSID de visitantes para lidar com a captura de dados e análises, deixando o Cisco ISE para gerenciar a rede corporativa.

Q2. Um visitante se conecta ao SSID gerenciado pelo Purple, mas o navegador exibe um erro de tempo limite (timeout) em vez da tela de login do Captive Portal. Os usuários corporativos no SSID gerenciado pelo Cisco ISE não são afetados. Qual é a causa mais provável?

Dica: Pense no que deve acontecer antes que a autenticação seja concluída em uma rede com Captive Portal.

Ver resposta modelo

A causa mais provável é um jardim murado (walled garden / ACL pré-autenticação) configurado incorretamente no access point sem fio ou na controladora. O dispositivo está sendo impedido de alcançar a infraestrutura de nuvem do Purple para carregar o portal. Você deve garantir que os domínios e intervalos de IP específicos do Purple estejam na lista de permissões.

Q3. Você está projetando uma rede para uma nova sede corporativa. Precisa oferecer suporte a notebooks de funcionários, celulares pessoais de funcionários (BYOD) e clientes visitantes. Como você deve arquitetar os SSIDs e a autenticação?

Dica: Separe os grupos com base na propriedade do dispositivo e nos níveis de acesso exigidos.

Ver resposta modelo

Implante dois SSIDs. O SSID corporativo usa WPA3-Enterprise. O Cisco ISE lida com a autenticação 802.1X para os notebooks dos funcionários e gerencia o registro de certificados para os dispositivos BYOD dos funcionários, atribuindo-os às VLANs internas. O SSID de visitantes é aberto e redirecionado para o Purple. O Purple lida com a autenticação do Captive Portal para os clientes visitantes, colocando-os em uma VLAN isolada apenas com acesso à internet.

Continue a ler esta série

Configurando Autenticação RADIUS para Redes WiFi de Convidados e Funcionários

Este guia de referência técnica descreve a arquitetura, configuração e implantação da autenticação RADIUS para redes WiFi corporativas de convidados e funcionários. Ele fornece aos arquitetos de rede e gerentes de TI os protocolos exatos, padrões de segurança e metodologias de solução de problemas necessários para criar sistemas de controle de acesso sem fio seguros e escaláveis.

Ler o guia →

Passpoint and OpenRoaming: Complete Guide

Este guia de referência técnica fornece uma análise abrangente das estruturas Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Ele detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implantação necessárias para estabelecer uma conectividade de visitantes segura e sem atrito. Arquitetos de rede e líderes de TI aprenderão como projetar, implementar e solucionar problemas desses padrões para eliminar as barreiras de login manual, mantendo a segurança de nível empresarial.

Ler o guia →

Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.

Ler o guia →