Saltar para o conteúdo principal

Cisco ISE vs. Purple WiFi: Como se Comparam e Trabalham em Conjunto

Este guia explica como o Cisco ISE e a Purple WiFi desempenham funções distintas mas complementares em redes empresariais. Detalha como utilizar o Cisco ISE para acesso corporativo seguro 802.1X enquanto rentabiliza a Purple para WiFi de convidados em conformidade com o GDPR, análises de marketing e integração com CRM.

📖 6 min de leitura📝 1,259 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Você é um consultor sénior de segurança de rede a dar instruções a um cliente em inglês britânico com um tom confiante, autoritário e de conversação. Fale com clareza e a um ritmo compassado, como se estivesse a apresentar numa sala de reuniões de diretores de TI e arquitetos de rede. Esta é uma sessão técnica profissional, não uma palestra. Fale em inglês britânico com um sotaque padrão de pronúncia recebida: Bem-vindo à série de sessões técnicas da Purple. Hoje vamos abordar uma questão que surge constantemente no design de redes empresariais: Cisco ISE contra Purple WiFi. Como se comparam e, mais importante ainda, como funcionam em conjunto? Vou dar-lhe a resposta direta em cerca de dez minutos. [média pausa] Comecemos pelo contexto. Se gere um hotel, um património de retalho, um estádio ou um edifício do setor público, é quase certo que tem duas populações distintas a ligarem-se à sua rede. Tem funcionários e dispositivos corporativos, e tem convidados, visitantes, adeptos ou compradores. Estas duas populações têm requisitos de autenticação completamente diferentes, direitos de dados diferentes e objetivos de negócio diferentes. O erro que a maioria das organizações comete é tentar resolver ambos os problemas com uma única ferramenta. É daí que surge a confusão entre o Cisco ISE e a Purple. [média pausa] Secção um: o que o Cisco ISE realmente faz. O Cisco Identity Services Engine, ou ISE, é a plataforma empresarial de Network Access Control da Cisco. A sua função é autenticar e autorizar dispositivos corporativos e utilizadores da equipa. Faz isto principalmente através do IEEE 802.1X, que é o padrão de controlo de acesso à rede baseado em portas. Quando um portátil corporativo se liga à sua rede, o ISE verifica o seu certificado através de EAP-TLS, ou as suas credenciais através de PEAP, valida-o em relação ao Active Directory ou Microsoft Entra ID, avalia o seu estado de segurança e, em seguida, atribui-o à VLAN correta com a política correta. Se o dispositivo falhar na avaliação do estado, o ISE pode colocá-lo em quarentena automaticamente utilizando a RADIUS Change of Authorisation, ou CoA. O ISE também gere a integração de BYOD, onde os dispositivos pessoais são registados com um certificado para que possam ser autenticados de forma segura sem uma palavra-passe partilhada. E integra-se com a estrutura pxGrid da Cisco, que permite que outras ferramentas de segurança, como firewalls e plataformas SIEM, consumam contexto de identidade em tempo real. Os três níveis de licença do ISE são Essentials, Advantage e Premier. O Essentials abrange o 802.1X e o acesso básico de convidados. O Advantage adiciona BYOD, avaliação de estado e integração de MDM de terceiros. O Premier adiciona serviços de identidade passivos e integração avançada de ameaças. [média pausa] Assim, o ISE é uma plataforma de segurança séria, de nível empresarial. Mas aqui está o ponto crítico: o seu portal de convidados é funcional, não comercial. O ISE pode redirecionar um dispositivo não autenticado para uma página web, recolher um nome de utilizador e palavra-passe ou uma aprovação de patrocinador, e conceder acesso à internet. O que não pode fazer é recolher consentimento de marketing em conformidade com o GDPR, executar splash pages personalizadas com a marca e login social, enviar dados de visitantes para o Salesforce ou HubSpot, gerar mapas de calor de tráfego de pessoas ou segmentar os visitantes por dados demográficos para uma campanha de marketing. Não foi para isso que o ISE foi concebido, e tentar forçá-lo a assumir esse papel cria complexidade sem proporcionar o resultado comercial. É um consultor sénior de segurança de rede que continua um briefing técnico em inglês britânico com um tom confiante, autoritário e de conversação. Fale claramente e a um ritmo medido. Fale em inglês britânico com um sotaque padrão de pronúncia recebida: Secção dois: o que o Purple faz. O Purple é uma plataforma de sobreposição na nuvem. Posicionamo-nos acima da sua infraestrutura de WiFi existente, seja ela Cisco Meraki, Cisco Catalyst, HPE Aruba, Ruckus, Juniper Mist ou qualquer outro dos principais fabricantes. Não substituímos o seu hardware. Não substituímos o ISE. Nós gerimos a camada de experiência do convidado. Quando um visitante se liga ao seu SSID de convidados, o Purple intercetará essa ligação e apresentará um captive portal personalizado com a marca. Esse portal pode oferecer login social via Facebook, Google ou LinkedIn, um formulário personalizado de recolha de dados, uma opção de clique para ligar ou Passpoint para uma religação segura automática nas visitas seguintes. Cada login recolhe dados primários com consentimento explícito em conformidade com o GDPR. Esses dados fluem diretamente para o seu CRM, para a sua plataforma de marketing por e-mail ou para o seu programa de fidelização. O Purple opera em 80 000 espaços ativos e processou 440 milhões de logins apenas em 2024. Detemos a certificação ISO 27001, cumprimos o GDPR e a CCPA, e mantemos uma taxa de disponibilidade de 99,999%. Os clientes de referência incluem a McDonald's, Harrods, Premier Inn, AGS Airports e o Manchester Airports Group. [pausa média] Secção três: como coexistem numa topologia de rede moderna. A arquitetura é simples quando compreende a separação de responsabilidades. Executa dois ou três SSIDs nos mesmos pontos de acesso. O SSID corporativo utiliza WPA3-Enterprise com 802.1X, e o ISE é o servidor RADIUS. Cada dispositivo de colaborador autentica-se com um certificado ou credencial. O ISE atribui o dispositivo à VLAN correta, aplica a política correta e regista a sessão. O Purple não tem qualquer papel aqui. Este é inteiramente o domínio do ISE. O SSID de convidados é aberto ou utiliza WPA3-Personal com uma chave pré-partilhada para a associação inicial. O tráfego é redirecionado para o portal na nuvem do Purple. O Purple lida com a autenticação, recolha de consentimento e análises. O ponto de acesso impõe um walled garden até que o Purple sinalize a autorização, abrindo então o acesso à internet. O ISE não tem qualquer papel aqui. Este é o domínio do Purple. Para implementações mais complexas, pode adicionar um terceiro SSID para dispositivos IoT, utilizando chaves pré-partilhadas de identidade, ou iPSK, onde cada dispositivo recebe uma frase-passe única mapeada para uma VLAN específica. O ISE pode gerir isto para IoT empresarial, ou a funcionalidade SecurePass da Purple trata disso para IoT do local, como terminais de ponto de venda e sinalética digital. Se pretender uma integração mais estreita entre as duas plataformas, o pxGrid da Cisco permite que a Purple publique o contexto da sessão de convidado no ecossistema ISE, para que a sua equipa de operações de segurança possa ver a atividade dos convidados juntamente com a atividade empresarial numa vista unificada. [medium pause] Secção quatro: recomendações de implementação e armadilhas comuns. Deixe-me apresentar-lhe os três erros mais comuns que vejo nas implementações. Primeiro: utilizar o portal de convidados integrado do ISE para WiFi de convidados comercial. O portal de convidados do ISE foi concebido para prestadores de serviços e pessoal temporário, não para acessos de convidados orientados para marketing. Não tem integração de CRM, nem gestão de consentimentos, nem análise de dados. Se pertence ao setor da hotelaria, retalho ou eventos, precisa da Purple no SSID de convidados. O ISE trata da parte empresarial. A Purple trata dos convidados. Mantenha-os separados. Segundo: não segmentar as VLAN de forma correta. O tráfego de convidados deve ser isolado do tráfego empresarial na camada dois. A Purple opera numa VLAN separada, encaminhada diretamente para a internet, sem acesso a recursos internos. O ISE impõe a atribuição de VLAN para dispositivos empresariais. Se misturar isto, criará uma exposição de segurança e um problema de conformidade. Terceiro: negligenciar a configuração do walled garden. Quando a Purple é o Captive Portal, o ponto de acesso deve permitir o tráfego DNS e HTTP para os endpoints de nuvem da Purple antes da autenticação. Se o seu walled garden for demasiado restritivo, o portal não irá carregar. Se for demasiado permissivo, os utilizadores podem contornar a autenticação. A documentação de suporte da Purple fornece os intervalos de IP e domínios exatos para colocar na lista de permissões para cada fabricante de hardware. [medium pause] Secção cinco: perguntas rápidas. A Purple substitui o Cisco ISE? Não. Resolvem problemas diferentes para utilizadores diferentes em SSIDs diferentes. Posso executar a Purple em Cisco Meraki sem o ISE? Sim. A Purple integra-se nativamente com o Cisco Meraki através da Meraki API. O ISE não é necessário para o WiFi de convidados. Posso executar ambos nos mesmos pontos de acesso? Sim. Múltiplos SSIDs no mesmo hardware é uma prática comum. A Purple suporta 802.1X? A funcionalidade SecurePass da Purple suporta WPA3-Enterprise com 802.1X para dispositivos de convidados que tenham a aplicação Purple instalada, permitindo uma ligação automática baseada em certificados sem necessidade de um Captive Portal. E quanto à conformidade PCI-DSS? O WiFi de convidados deve ser isolado dos sistemas de cartões de pagamento. A arquitetura de VLAN da Purple cumpre este requisito. O ISE impõe o mesmo isolamento para dispositivos empresariais. [medium pause] Resumo e próximos passos. O modelo de decisão é simples. Se o dispositivo pertence à sua organização ou ao seu pessoal, o ISE assume a autenticação. Se o dispositivo pertence a um convidado, visitante, cliente ou fã, a Purple assume a experiência. As duas plataformas partilham a mesma infraestrutura física, mas operam em camadas lógicas completamente separadas. Para o seu próximo passo, mapeie a sua arquitetura de SSID atual. Identifique quais são os SSIDs corporativos e quais são de convidados. Confirme se o tráfego de convidados está isolado por VLAN. Em seguida, avalie se o seu portal de convidados atual está a fornecer o consentimento de marketing, analítica e integração de CRM que as suas equipas comerciais necessitam. Se não estiver, essa é a lacuna que a Purple preenche. Pode encontrar o guia escrito completo, diagramas de arquitetura e exemplos práticos em purple.ai. Obrigado pelo seu tempo.

header_image.png

Resumo Executivo

A arquitetura de rede empresarial exige uma separação clara de responsabilidades entre a segurança corporativa e o envolvimento comercial de convidados. Ao avaliar o Cisco ISE vs Purple WiFi, o erro que muitos líderes de TI cometem é vê-los como plataformas concorrentes. Não são. O Cisco Identity Services Engine (ISE) é um motor de políticas 802.1X e Network Access Control (NAC) padrão da indústria para proteger dispositivos corporativos e de funcionários. A Purple é uma plataforma overlay baseada na nuvem concebida para gerir Captive Portals de convidados, consentimento de marketing de visitantes e análise operacional.

Tentar forçar o Cisco ISE a servir como uma alternativa de portal de convidados cisco ise para marketing comercial introduz complexidade desnecessária e não fornece dados acionáveis. Pelo contrário, implementar a Purple WiFi juntamente com o Cisco ISE permite que cada plataforma faça o que faz melhor. A Purple integra-se nativamente com a infraestrutura Cisco para descarregar a lógica complexa de experiência do convidado, deixando as políticas de segurança corporativas centrais com o Cisco ISE. Este guia analisa como ambos coexistem numa topologia de rede empresarial moderna, fornecendo estratégias práticas de implementação para retalho , hotelaria e grandes espaços públicos.

Análise Técnica Detalhada

O Papel do Cisco ISE: Corporate Network Access Control

O Cisco ISE é a referência para NAC empresarial. A sua principal função é autenticar e autorizar dispositivos e utilizadores conhecidos que se ligam à rede corporativa, dependendo fortemente do padrão de controlo de acesso à rede baseado em portas IEEE 802.1X.

Quando um computador portátil corporativo se liga a uma porta de switch ou a um SSID corporativo, o ISE atua como um servidor RADIUS. Valida os certificados do dispositivo via EAP-TLS ou as credenciais do utilizador via PEAP face ao Active Directory ou Microsoft Entra ID. O ISE avalia então a postura de segurança do dispositivo. Se estiver em conformidade, o ISE atribui a VLAN correta e aplica a Security Group Tag (SGT) apropriada. Se o dispositivo falhar a avaliação de postura, o ISE pode colocá-lo em quarentena utilizando a Change of Authorisation (CoA) do RADIUS. Para uma análise mais detalhada da configuração do cliente, consulte o nosso guia sobre O que é um Suplicante 802.1X? Tipos de Clientes e Configuração de Dispositivos . O ISE também gere o registo de dispositivos pessoais (BYOD), onde os dispositivos pessoais são inscritos com certificados para um acesso seguro e sem palavra-passe. Adicionalmente, integra-se com a estrutura pxGrid da Cisco, permitindo que as firewalls e as plataformas SIEM utilizem o contexto de identidade em tempo real. O ISE é licenciado em três níveis: Essentials, Advantage e Premier, que escalam desde o 802.1X básico até à integração avançada de ameaças.

O Papel da Purple: Experiência de Convidado e Analytics

Embora o ISE seja excelente na proteção de ativos corporativos, o seu portal de convidados integrado é mais utilitário do que comercial. Pode fornecer acesso básico à internet para prestadores de serviços, mas não consegue recolher consentimento de marketing em conformidade com o GDPR, executar páginas splash personalizadas com login social ou enviar dados de visitantes para plataformas de CRM como a Salesforce. A Purple preenche precisamente esta lacuna.

A Purple é uma sobreposição de nuvem independente de hardware. Funciona sobre a sua infraestrutura de WiFi existente, incluindo Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. A Purple detém essencialmente a camada de experiência de convidado. Quando um visitante se liga ao seu SSID de convidado, a Purple apresenta um Captive Portal personalizado. Este portal oferece login social através do Facebook, Google ou LinkedIn, formulários personalizados de recolha de dados e opções integradas como o Passpoint.

Cada início de sessão recolhe dados primários com opções claras de consentimento ativo. A Purple processa estes dados através do seu motor de analytics, criando mapas de calor de tráfego de pessoas e dados demográficos dos visitantes, enviando-os depois diretamente para a sua stack de marketing. A Purple opera em mais de 80.000 locais ativos e processou 440 milhões de inícios de sessão em 2024. Detemos a certificação ISO 27001 e cumprimos o GDPR e a CCPA, garantindo estabilidade de nível empresarial com 99,999% de tempo de atividade. Para uma análise mais aprofundada dos benefícios comerciais, consulte a nossa visão geral da plataforma de WiFi Analytics .

architecture_overview.png

Coexistência Arquitetural

Quando separa os SSIDs, a arquitetura torna-se incrivelmente simples. Executa dois ou três SSIDs nos mesmos pontos de acesso. Para uma análise detalhada deste design, leia Três SSIDs para todos dominar: convidado, Passpoint e IoT WiFi .

O SSID corporativo utiliza WPA3-Enterprise com 802.1X, e o ISE é o servidor RADIUS. O ISE atribui o dispositivo à VLAN correta e aplica a política. A Purple não desempenha qualquer papel aqui.

O SSID de convidado utiliza uma rede aberta para a associação inicial ou WPA3-Personal com uma chave pré-partilhada. O tráfego é redirecionado para o portal em nuvem da Purple. A Purple gere a autenticação, a recolha de consentimento e o analytics. O ponto de acesso aplica um walled garden até que a Purple sinalize a autorização, permitindo então o acesso à internet. O ISE não tem qualquer papel aqui.

Para dispositivos IoT de estabelecimentos, tais como terminais de ponto de venda, a funcionalidade SecurePass do Purple pode gerir Identity Pre-Shared Keys (iPSK), ou o ISE pode gerir IoT corporativo.

comparison_chart.png

Guia de Implementação

A implementação do Purple em conjunto com o Cisco ISE requer uma configuração cuidadosa dos seus controladores de LAN sem fios ou dashboards na nuvem.

Passo 1: Segmentação de SSID

Crie SSIDs separados para o tráfego corporativo e de convidados. Configure o SSID corporativo para WPA3-Enterprise e aponte a autenticação RADIUS para os seus nós Cisco ISE. Configure o SSID de convidados para acesso aberto com filtragem de MAC ou WPA3-Personal.

Passo 2: Isolamento de VLAN

Garantir que o tráfego de convidados é isolado do tráfego corporativo na Camada 2. O SSID de convidados deve ser mapeado para uma VLAN dedicada que contorna as tabelas de encaminhamento internas e encaminha diretamente para a firewall da internet. O ISE aplica a atribuição de VLAN para o SSID corporativo com base em políticas.

Passo 3: Configuração de Walled Garden

Para o SSID de convidados, configure o redirecionamento do Captive Portal para apontar para a infraestrutura de nuvem do Purple. Deve configurar um walled garden (ACL de pré-autorização) nos seus pontos de acesso para permitir o tráfego de DNS e HTTP/HTTPS para as gamas de IP e domínios obrigatórios do Purple. Se o walled garden for demasiado restritivo, o Captive Portal não irá carregar.

Passo 4: Integração de RADIUS para Guest WiFi

Configure o seu controlador sem fios para utilizar os servidores RADIUS do Purple para o SSID de convidados. Isto permite ao Purple autorizar o utilizador e monitorizar a duração da sessão e o consumo de largura de banda.

Boas Práticas

  1. Nunca misture tráfego de convidados e corporativo no mesmo SSID. Isto cria riscos significativos de segurança e conformidade. Utilize sempre SSIDs dedicados mapeados para VLANs isoladas.
  2. Utilize o Purple para acesso comercial de convidados. Não utilize o portal de convidados integrado do ISE se necessitar de análise de marketing, integração de CRM ou início de sessão social personalizado.
  3. Aplique largura de banda escalonada. Ofereça um serviço gratuito e básico no SSID de convidados e disponibilize uma opção premium paga para velocidades mais elevadas utilizando os planos Purple Connect, Purple Capture ou Purple Engage.
  4. Aproveite o Passpoint. Utilize o Passpoint (Hotspot 2.0) através do Purple para permitir que os convidados frequentes se liguem de forma automática e segura, sem verem repetidamente o Captive Portal.

Resolução de Problemas e Mitigação de Riscos

  • O Captive Portal não carrega: Isto deve-se quase sempre a um problema de walled garden. Verifique se todos os domínios e endereços IP necessários do Purple estão autorizados na ACL de pré-autenticação do seu hardware Cisco.
  • Dispositivos de convidados estão a aceder a recursos internos: Isto indica uma falha no isolamento de VLAN. Verifique se a VLAN de convidados não consegue encaminhar para sub-redes corporativas na camada da firewall ou do switch principal.
  • RADIUS Timeouts: Se o controlador sem fios não conseguir contactar os servidores RADIUS da Purple, a autenticação dos convidados irá falhar. Certifique-se de que a sua firewall permite a saída de portas UDP 1812 e 1813 para a infraestrutura da Purple.

ROI e Impacto no Negócio

O impacto no negócio de separar o controlo de acesso à rede Cisco ISE da gestão da experiência de convidados é altamente significativo. Ao transferir as responsabilidades do WiFi de convidados para a Purple, as equipas de TI podem reduzir a carga operacional de gerir contas temporárias e resolver problemas no portal.

Mais importante ainda, a Purple transforma a rede de convidados num ativo gerador de receitas. Ao recolher dados primários (first-party data) e ao integrá-los com plataformas de CRM, os espaços podem executar campanhas de marketing altamente direcionadas. Por exemplo, a Harrods utilizou uma pergunta simples na sua página de splash para impulsionar as inscrições no seu programa de fidelização, contribuindo diretamente para um ROI de 3x apenas a partir desse grupo de clientes. A AGS Airports obteve um retorno do investimento de 842% ao implementar largura de banda escalonada. Combinar o Cisco ISE para segurança e a Purple para o engagement proporciona tanto tranquilidade como valor comercial mensurável.

Definições Principais

Network Access Control (NAC)

Uma arquitetura de segurança que restringe a disponibilidade da rede a dispositivos terminais em conformidade e autenticados. O Cisco ISE é uma plataforma NAC.

As equipas de TI utilizam o NAC para impedir que dispositivos não autorizados acedam a dados corporativos.

IEEE 802.1X

Uma norma IEEE para controlo de acesso à rede baseado em portas, fornecendo um mecanismo de autenticação para dispositivos que desejam ligar-se a uma LAN ou WLAN.

Utilizado pelo Cisco ISE para proteger SSIDs corporativos utilizando certificados ou credenciais em vez de palavras-passe partilhadas.

Captive Portal

Uma página web que o utilizador de uma rede de acesso público é obrigado a visualizar e com a qual deve interagir antes de lhe ser concedido acesso.

A Purple fornece captive portals altamente personalizáveis para recolher consentimento de marketing e dados de primeira entidade.

VLAN (Virtual Local Area Network)

Uma sub-rede lógica que agrupa uma coleção de dispositivos de diferentes LANs físicas.

Crucial para separar o tráfego de convidados (gerido pela Purple) do tráfego corporativo (gerido pelo ISE).

Walled Garden

Um ambiente restrito que controla o acesso de um utilizador a conteúdos e serviços web antes de este se ter autenticado totalmente.

Deve ser configurado corretamente no hardware Cisco para permitir que os dispositivos alcancem os servidores da Purple para carregar o captive portal.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização.

Tanto o ISE como a Purple utilizam RADIUS, mas para fins diferentes: o ISE para acesso corporativo 802.1X, a Purple para contabilização de sessões de convidados.

Passpoint (Hotspot 2.0)

Uma norma que permite aos dispositivos móveis descobrir e ligar-se automaticamente a redes WiFi de forma segura, sem intervenção do utilizador.

A Purple suporta Passpoint para fornecer uma experiência de roaming fluida, semelhante à rede móvel, para convidados recorrentes.

pxGrid

Platform Exchange Grid. Uma estrutura da Cisco que permite a colaboração de sistemas de rede multiplataforma e de vários fornecedores.

Permite à Purple partilhar o contexto da sessão de convidados com o ecossistema Cisco ISE para uma visibilidade de segurança unificada.

Exemplos Práticos

Um hotel de 200 quartos necessita de fornecer WiFi seguro para o pessoal interno (limpeza, gestão) e uma experiência de WiFi personalizada e de recolha de dados para os hóspedes do hotel. Atualmente, utilizam pontos de acesso Cisco Catalyst.

Implemente dois SSIDs. O 'Hotel_Corp' utiliza WPA3-Enterprise. O Cisco ISE atua como o servidor RADIUS, autenticando os dispositivos dos funcionários através de certificados EAP-TLS e atribuindo-os à VLAN de gestão. O 'Hotel_Guest' utiliza um SSID aberto redirecionado para a Purple. A Purple apresenta um captive portal personalizado que oferece início de sessão social ou integração com o PMS. O tráfego de convidados é colocado numa VLAN isolada, encaminhada diretamente para a internet.

Comentário do Examinador: Esta abordagem separa perfeitamente as funções. O ISE protege os ativos corporativos, enquanto a Purple lida com o requisito comercial de captar dados de convidados para a equipa de marketing do hotel. O isolamento de VLAN garante a conformidade com a norma PCI-DSS.

Uma grande cadeia de retalho pretende monitorizar a afluência e o tempo de permanência dos clientes em 50 lojas utilizando a sua infraestrutura Cisco Meraki existente, sem comprometer a segurança da sua rede interna de pontos de venda (POS).

Os terminais POS ligam-se a um SSID oculto protegido por WPA3-Enterprise e Cisco ISE. É transmitido um SSID público 'Free_Store_WiFi' para os clientes. O painel Meraki está configurado para se integrar com a Purple através de API. A Purple recolhe dados de presença anonimizados a partir de dispositivos em busca de rede para gerar mapas térmicos, e recolhe dados explícitos de primeira entidade quando os clientes iniciam sessão no captive portal.

Comentário do Examinador: A utilização da sobreposição na nuvem da Purple com a Meraki não requer hardware novo. A cadeia de retalho obtém análises profundas e dados de marketing, enquanto o ISE garante que a rede POS permanece bloqueada e em conformidade.

Perguntas de Prática

Q1. O seu diretor de marketing quer captar endereços de email e dados demográficos dos visitantes que utilizam o WiFi de convidados nas suas lojas de retalho. A equipa de engenharia de rede sugere a ativação da funcionalidade de portal de convidados integrada na sua implementação Cisco ISE existente. É esta a abordagem correta?

Dica: Considere as capacidades comerciais do portal de convidados do ISE em comparação com uma plataforma de sobreposição dedicada.

Ver resposta modelo

Não. O portal de convidados do Cisco ISE foi concebido para acesso funcional (por exemplo, subempreiteiros), não para marketing comercial. Carece de integrações nativas com CRM, fluxos de gestão de consentimento em conformidade com o GDPR e analítica detalhada de visitantes. A abordagem correta é implementar o Purple no SSID de convidados para gerir a captura de dados e analítica, deixando o ISE a gerir a rede corporativa.

Q2. Um convidado liga-se ao SSID gerido pelo Purple, mas o seu navegador apresenta um erro de limite de tempo excedido (timeout) em vez da página de boas-vindas do Captive Portal. Os utilizadores corporativos no SSID gerido pelo ISE não são afetados. Qual é a causa mais provável?

Dica: Pense no que deve acontecer antes de a autenticação estar concluída numa rede com Captive Portal.

Ver resposta modelo

A causa mais provável é uma walled garden (ACL pré-autenticação) configurada incorretamente no ponto de acesso wireless ou no controlador. O dispositivo está a ser impedido de aceder à infraestrutura de cloud do Purple para carregar o portal. Deve garantir que os domínios e intervalos de IP específicos do Purple estão na lista de permissões.

Q3. Está a desenhar uma rede para uma nova sede corporativa. Precisa de suportar portáteis de colaboradores, telemóveis pessoais de colaboradores (BYOD) e clientes visitantes. Como deve desenhar a arquitetura dos SSIDs e da autenticação?

Dica: Separe as populações com base na propriedade dos dispositivos e nos níveis de acesso necessários.

Ver resposta modelo

Implemente dois SSIDs. O SSID corporativo utiliza WPA3-Enterprise. O Cisco ISE lida com a autenticação 802.1X para os portáteis dos colaboradores e gere o registo de certificados para os dispositivos BYOD dos colaboradores, atribuindo-os a VLANs internas. O SSID de convidados é aberto e redirecionado para o Purple. O Purple lida com a autenticação de Captive Portal para os clientes visitantes, colocando-os numa VLAN isolada apenas com acesso à Internet.

Continue a ler esta série

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Este guia de referência técnica descreve a arquitetura, configuração e implementação de autenticação RADIUS para redes WiFi empresariais de convidados e funcionários. Fornece aos arquitetos de rede e gestores de TI os protocolos exatos, normas de segurança e metodologias de resolução de problemas necessários para construir sistemas de controlo de acesso sem fios seguros e escaláveis.

Ler o guia →

Passpoint e OpenRoaming: Guia Completo

Este guia de referência técnica fornece uma análise abrangente das frameworks Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implementação necessárias para estabelecer uma conectividade de convidados segura e sem atritos. Os arquitetos de rede e líderes de TI aprenderão a desenhar, implementar e resolver problemas destes padrões para eliminar as barreiras de início de sessão manual, mantendo simultaneamente uma segurança de nível empresarial.

Ler o guia →

Como Implementar SCEP para Integração Segura de BYOD e Redes no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gestores de TI um plano neutro em termos de fornecedor para implementar a emissão de certificados baseada em SCEP para proteger as redes dos campus do ensino superior. Detalha como migrar de PEAP baseado em palavra-passe para 802.1X EAP-TLS, automatizar a integração de BYOD e impor uma segmentação robusta de VLAN.

Ler o guia →