Cisco ISE vs. Purple WiFi: Como se Comparam e Trabalham em Conjunto
Este guia explica como o Cisco ISE e a Purple WiFi desempenham funções distintas mas complementares em redes empresariais. Detalha como utilizar o Cisco ISE para acesso corporativo seguro 802.1X enquanto rentabiliza a Purple para WiFi de convidados em conformidade com o GDPR, análises de marketing e integração com CRM.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Análise Técnica Detalhada
- O Papel do Cisco ISE: Corporate Network Access Control
- O Papel da Purple: Experiência de Convidado e Analytics
- Coexistência Arquitetural
- Guia de Implementação
- Passo 1: Segmentação de SSID
- Passo 2: Isolamento de VLAN
- Passo 3: Configuração de Walled Garden
- Passo 4: Integração de RADIUS para Guest WiFi
- Boas Práticas
- Resolução de Problemas e Mitigação de Riscos
- ROI e Impacto no Negócio

Resumo Executivo
A arquitetura de rede empresarial exige uma separação clara de responsabilidades entre a segurança corporativa e o envolvimento comercial de convidados. Ao avaliar o Cisco ISE vs Purple WiFi, o erro que muitos líderes de TI cometem é vê-los como plataformas concorrentes. Não são. O Cisco Identity Services Engine (ISE) é um motor de políticas 802.1X e Network Access Control (NAC) padrão da indústria para proteger dispositivos corporativos e de funcionários. A Purple é uma plataforma overlay baseada na nuvem concebida para gerir Captive Portals de convidados, consentimento de marketing de visitantes e análise operacional.
Tentar forçar o Cisco ISE a servir como uma alternativa de portal de convidados cisco ise para marketing comercial introduz complexidade desnecessária e não fornece dados acionáveis. Pelo contrário, implementar a Purple WiFi juntamente com o Cisco ISE permite que cada plataforma faça o que faz melhor. A Purple integra-se nativamente com a infraestrutura Cisco para descarregar a lógica complexa de experiência do convidado, deixando as políticas de segurança corporativas centrais com o Cisco ISE. Este guia analisa como ambos coexistem numa topologia de rede empresarial moderna, fornecendo estratégias práticas de implementação para retalho , hotelaria e grandes espaços públicos.
Análise Técnica Detalhada
O Papel do Cisco ISE: Corporate Network Access Control
O Cisco ISE é a referência para NAC empresarial. A sua principal função é autenticar e autorizar dispositivos e utilizadores conhecidos que se ligam à rede corporativa, dependendo fortemente do padrão de controlo de acesso à rede baseado em portas IEEE 802.1X.
Quando um computador portátil corporativo se liga a uma porta de switch ou a um SSID corporativo, o ISE atua como um servidor RADIUS. Valida os certificados do dispositivo via EAP-TLS ou as credenciais do utilizador via PEAP face ao Active Directory ou Microsoft Entra ID. O ISE avalia então a postura de segurança do dispositivo. Se estiver em conformidade, o ISE atribui a VLAN correta e aplica a Security Group Tag (SGT) apropriada. Se o dispositivo falhar a avaliação de postura, o ISE pode colocá-lo em quarentena utilizando a Change of Authorisation (CoA) do RADIUS. Para uma análise mais detalhada da configuração do cliente, consulte o nosso guia sobre O que é um Suplicante 802.1X? Tipos de Clientes e Configuração de Dispositivos . O ISE também gere o registo de dispositivos pessoais (BYOD), onde os dispositivos pessoais são inscritos com certificados para um acesso seguro e sem palavra-passe. Adicionalmente, integra-se com a estrutura pxGrid da Cisco, permitindo que as firewalls e as plataformas SIEM utilizem o contexto de identidade em tempo real. O ISE é licenciado em três níveis: Essentials, Advantage e Premier, que escalam desde o 802.1X básico até à integração avançada de ameaças.
O Papel da Purple: Experiência de Convidado e Analytics
Embora o ISE seja excelente na proteção de ativos corporativos, o seu portal de convidados integrado é mais utilitário do que comercial. Pode fornecer acesso básico à internet para prestadores de serviços, mas não consegue recolher consentimento de marketing em conformidade com o GDPR, executar páginas splash personalizadas com login social ou enviar dados de visitantes para plataformas de CRM como a Salesforce. A Purple preenche precisamente esta lacuna.
A Purple é uma sobreposição de nuvem independente de hardware. Funciona sobre a sua infraestrutura de WiFi existente, incluindo Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. A Purple detém essencialmente a camada de experiência de convidado. Quando um visitante se liga ao seu SSID de convidado, a Purple apresenta um Captive Portal personalizado. Este portal oferece login social através do Facebook, Google ou LinkedIn, formulários personalizados de recolha de dados e opções integradas como o Passpoint.
Cada início de sessão recolhe dados primários com opções claras de consentimento ativo. A Purple processa estes dados através do seu motor de analytics, criando mapas de calor de tráfego de pessoas e dados demográficos dos visitantes, enviando-os depois diretamente para a sua stack de marketing. A Purple opera em mais de 80.000 locais ativos e processou 440 milhões de inícios de sessão em 2024. Detemos a certificação ISO 27001 e cumprimos o GDPR e a CCPA, garantindo estabilidade de nível empresarial com 99,999% de tempo de atividade. Para uma análise mais aprofundada dos benefícios comerciais, consulte a nossa visão geral da plataforma de WiFi Analytics .

Coexistência Arquitetural
Quando separa os SSIDs, a arquitetura torna-se incrivelmente simples. Executa dois ou três SSIDs nos mesmos pontos de acesso. Para uma análise detalhada deste design, leia Três SSIDs para todos dominar: convidado, Passpoint e IoT WiFi .
O SSID corporativo utiliza WPA3-Enterprise com 802.1X, e o ISE é o servidor RADIUS. O ISE atribui o dispositivo à VLAN correta e aplica a política. A Purple não desempenha qualquer papel aqui.
O SSID de convidado utiliza uma rede aberta para a associação inicial ou WPA3-Personal com uma chave pré-partilhada. O tráfego é redirecionado para o portal em nuvem da Purple. A Purple gere a autenticação, a recolha de consentimento e o analytics. O ponto de acesso aplica um walled garden até que a Purple sinalize a autorização, permitindo então o acesso à internet. O ISE não tem qualquer papel aqui.
Para dispositivos IoT de estabelecimentos, tais como terminais de ponto de venda, a funcionalidade SecurePass do Purple pode gerir Identity Pre-Shared Keys (iPSK), ou o ISE pode gerir IoT corporativo.

Guia de Implementação
A implementação do Purple em conjunto com o Cisco ISE requer uma configuração cuidadosa dos seus controladores de LAN sem fios ou dashboards na nuvem.
Passo 1: Segmentação de SSID
Crie SSIDs separados para o tráfego corporativo e de convidados. Configure o SSID corporativo para WPA3-Enterprise e aponte a autenticação RADIUS para os seus nós Cisco ISE. Configure o SSID de convidados para acesso aberto com filtragem de MAC ou WPA3-Personal.
Passo 2: Isolamento de VLAN
Garantir que o tráfego de convidados é isolado do tráfego corporativo na Camada 2. O SSID de convidados deve ser mapeado para uma VLAN dedicada que contorna as tabelas de encaminhamento internas e encaminha diretamente para a firewall da internet. O ISE aplica a atribuição de VLAN para o SSID corporativo com base em políticas.
Passo 3: Configuração de Walled Garden
Para o SSID de convidados, configure o redirecionamento do Captive Portal para apontar para a infraestrutura de nuvem do Purple. Deve configurar um walled garden (ACL de pré-autorização) nos seus pontos de acesso para permitir o tráfego de DNS e HTTP/HTTPS para as gamas de IP e domínios obrigatórios do Purple. Se o walled garden for demasiado restritivo, o Captive Portal não irá carregar.
Passo 4: Integração de RADIUS para Guest WiFi
Configure o seu controlador sem fios para utilizar os servidores RADIUS do Purple para o SSID de convidados. Isto permite ao Purple autorizar o utilizador e monitorizar a duração da sessão e o consumo de largura de banda.
Boas Práticas
- Nunca misture tráfego de convidados e corporativo no mesmo SSID. Isto cria riscos significativos de segurança e conformidade. Utilize sempre SSIDs dedicados mapeados para VLANs isoladas.
- Utilize o Purple para acesso comercial de convidados. Não utilize o portal de convidados integrado do ISE se necessitar de análise de marketing, integração de CRM ou início de sessão social personalizado.
- Aplique largura de banda escalonada. Ofereça um serviço gratuito e básico no SSID de convidados e disponibilize uma opção premium paga para velocidades mais elevadas utilizando os planos Purple Connect, Purple Capture ou Purple Engage.
- Aproveite o Passpoint. Utilize o Passpoint (Hotspot 2.0) através do Purple para permitir que os convidados frequentes se liguem de forma automática e segura, sem verem repetidamente o Captive Portal.
Resolução de Problemas e Mitigação de Riscos
- O Captive Portal não carrega: Isto deve-se quase sempre a um problema de walled garden. Verifique se todos os domínios e endereços IP necessários do Purple estão autorizados na ACL de pré-autenticação do seu hardware Cisco.
- Dispositivos de convidados estão a aceder a recursos internos: Isto indica uma falha no isolamento de VLAN. Verifique se a VLAN de convidados não consegue encaminhar para sub-redes corporativas na camada da firewall ou do switch principal.
- RADIUS Timeouts: Se o controlador sem fios não conseguir contactar os servidores RADIUS da Purple, a autenticação dos convidados irá falhar. Certifique-se de que a sua firewall permite a saída de portas UDP 1812 e 1813 para a infraestrutura da Purple.
ROI e Impacto no Negócio
O impacto no negócio de separar o controlo de acesso à rede Cisco ISE da gestão da experiência de convidados é altamente significativo. Ao transferir as responsabilidades do WiFi de convidados para a Purple, as equipas de TI podem reduzir a carga operacional de gerir contas temporárias e resolver problemas no portal.
Mais importante ainda, a Purple transforma a rede de convidados num ativo gerador de receitas. Ao recolher dados primários (first-party data) e ao integrá-los com plataformas de CRM, os espaços podem executar campanhas de marketing altamente direcionadas. Por exemplo, a Harrods utilizou uma pergunta simples na sua página de splash para impulsionar as inscrições no seu programa de fidelização, contribuindo diretamente para um ROI de 3x apenas a partir desse grupo de clientes. A AGS Airports obteve um retorno do investimento de 842% ao implementar largura de banda escalonada. Combinar o Cisco ISE para segurança e a Purple para o engagement proporciona tanto tranquilidade como valor comercial mensurável.
Definições Principais
Network Access Control (NAC)
Uma arquitetura de segurança que restringe a disponibilidade da rede a dispositivos terminais em conformidade e autenticados. O Cisco ISE é uma plataforma NAC.
As equipas de TI utilizam o NAC para impedir que dispositivos não autorizados acedam a dados corporativos.
IEEE 802.1X
Uma norma IEEE para controlo de acesso à rede baseado em portas, fornecendo um mecanismo de autenticação para dispositivos que desejam ligar-se a uma LAN ou WLAN.
Utilizado pelo Cisco ISE para proteger SSIDs corporativos utilizando certificados ou credenciais em vez de palavras-passe partilhadas.
Captive Portal
Uma página web que o utilizador de uma rede de acesso público é obrigado a visualizar e com a qual deve interagir antes de lhe ser concedido acesso.
A Purple fornece captive portals altamente personalizáveis para recolher consentimento de marketing e dados de primeira entidade.
VLAN (Virtual Local Area Network)
Uma sub-rede lógica que agrupa uma coleção de dispositivos de diferentes LANs físicas.
Crucial para separar o tráfego de convidados (gerido pela Purple) do tráfego corporativo (gerido pelo ISE).
Walled Garden
Um ambiente restrito que controla o acesso de um utilizador a conteúdos e serviços web antes de este se ter autenticado totalmente.
Deve ser configurado corretamente no hardware Cisco para permitir que os dispositivos alcancem os servidores da Purple para carregar o captive portal.
RADIUS
Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização.
Tanto o ISE como a Purple utilizam RADIUS, mas para fins diferentes: o ISE para acesso corporativo 802.1X, a Purple para contabilização de sessões de convidados.
Passpoint (Hotspot 2.0)
Uma norma que permite aos dispositivos móveis descobrir e ligar-se automaticamente a redes WiFi de forma segura, sem intervenção do utilizador.
A Purple suporta Passpoint para fornecer uma experiência de roaming fluida, semelhante à rede móvel, para convidados recorrentes.
pxGrid
Platform Exchange Grid. Uma estrutura da Cisco que permite a colaboração de sistemas de rede multiplataforma e de vários fornecedores.
Permite à Purple partilhar o contexto da sessão de convidados com o ecossistema Cisco ISE para uma visibilidade de segurança unificada.
Exemplos Práticos
Um hotel de 200 quartos necessita de fornecer WiFi seguro para o pessoal interno (limpeza, gestão) e uma experiência de WiFi personalizada e de recolha de dados para os hóspedes do hotel. Atualmente, utilizam pontos de acesso Cisco Catalyst.
Implemente dois SSIDs. O 'Hotel_Corp' utiliza WPA3-Enterprise. O Cisco ISE atua como o servidor RADIUS, autenticando os dispositivos dos funcionários através de certificados EAP-TLS e atribuindo-os à VLAN de gestão. O 'Hotel_Guest' utiliza um SSID aberto redirecionado para a Purple. A Purple apresenta um captive portal personalizado que oferece início de sessão social ou integração com o PMS. O tráfego de convidados é colocado numa VLAN isolada, encaminhada diretamente para a internet.
Uma grande cadeia de retalho pretende monitorizar a afluência e o tempo de permanência dos clientes em 50 lojas utilizando a sua infraestrutura Cisco Meraki existente, sem comprometer a segurança da sua rede interna de pontos de venda (POS).
Os terminais POS ligam-se a um SSID oculto protegido por WPA3-Enterprise e Cisco ISE. É transmitido um SSID público 'Free_Store_WiFi' para os clientes. O painel Meraki está configurado para se integrar com a Purple através de API. A Purple recolhe dados de presença anonimizados a partir de dispositivos em busca de rede para gerar mapas térmicos, e recolhe dados explícitos de primeira entidade quando os clientes iniciam sessão no captive portal.
Perguntas de Prática
Q1. O seu diretor de marketing quer captar endereços de email e dados demográficos dos visitantes que utilizam o WiFi de convidados nas suas lojas de retalho. A equipa de engenharia de rede sugere a ativação da funcionalidade de portal de convidados integrada na sua implementação Cisco ISE existente. É esta a abordagem correta?
Dica: Considere as capacidades comerciais do portal de convidados do ISE em comparação com uma plataforma de sobreposição dedicada.
Ver resposta modelo
Não. O portal de convidados do Cisco ISE foi concebido para acesso funcional (por exemplo, subempreiteiros), não para marketing comercial. Carece de integrações nativas com CRM, fluxos de gestão de consentimento em conformidade com o GDPR e analítica detalhada de visitantes. A abordagem correta é implementar o Purple no SSID de convidados para gerir a captura de dados e analítica, deixando o ISE a gerir a rede corporativa.
Q2. Um convidado liga-se ao SSID gerido pelo Purple, mas o seu navegador apresenta um erro de limite de tempo excedido (timeout) em vez da página de boas-vindas do Captive Portal. Os utilizadores corporativos no SSID gerido pelo ISE não são afetados. Qual é a causa mais provável?
Dica: Pense no que deve acontecer antes de a autenticação estar concluída numa rede com Captive Portal.
Ver resposta modelo
A causa mais provável é uma walled garden (ACL pré-autenticação) configurada incorretamente no ponto de acesso wireless ou no controlador. O dispositivo está a ser impedido de aceder à infraestrutura de cloud do Purple para carregar o portal. Deve garantir que os domínios e intervalos de IP específicos do Purple estão na lista de permissões.
Q3. Está a desenhar uma rede para uma nova sede corporativa. Precisa de suportar portáteis de colaboradores, telemóveis pessoais de colaboradores (BYOD) e clientes visitantes. Como deve desenhar a arquitetura dos SSIDs e da autenticação?
Dica: Separe as populações com base na propriedade dos dispositivos e nos níveis de acesso necessários.
Ver resposta modelo
Implemente dois SSIDs. O SSID corporativo utiliza WPA3-Enterprise. O Cisco ISE lida com a autenticação 802.1X para os portáteis dos colaboradores e gere o registo de certificados para os dispositivos BYOD dos colaboradores, atribuindo-os a VLANs internas. O SSID de convidados é aberto e redirecionado para o Purple. O Purple lida com a autenticação de Captive Portal para os clientes visitantes, colocando-os numa VLAN isolada apenas com acesso à Internet.
Continue a ler esta série
Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Este guia de referência técnica descreve a arquitetura, configuração e implementação de autenticação RADIUS para redes WiFi empresariais de convidados e funcionários. Fornece aos arquitetos de rede e gestores de TI os protocolos exatos, normas de segurança e metodologias de resolução de problemas necessários para construir sistemas de controlo de acesso sem fios seguros e escaláveis.
Passpoint e OpenRoaming: Guia Completo
Este guia de referência técnica fornece uma análise abrangente das frameworks Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implementação necessárias para estabelecer uma conectividade de convidados segura e sem atritos. Os arquitetos de rede e líderes de TI aprenderão a desenhar, implementar e resolver problemas destes padrões para eliminar as barreiras de início de sessão manual, mantendo simultaneamente uma segurança de nível empresarial.
Como Implementar SCEP para Integração Segura de BYOD e Redes no Ensino Superior
Este guia técnico fornece aos arquitetos de rede e gestores de TI um plano neutro em termos de fornecedor para implementar a emissão de certificados baseada em SCEP para proteger as redes dos campus do ensino superior. Detalha como migrar de PEAP baseado em palavra-passe para 802.1X EAP-TLS, automatizar a integração de BYOD e impor uma segmentação robusta de VLAN.