Cisco ISE 对比 Purple WiFi:如何进行对比与协同工作
本指南阐述了 Cisco ISE 和 Purple WiFi 在企业网络中如何承担不同但互补的角色。它详细介绍了如何使用 Cisco ISE 进行安全的 802.1X 企业级访问控制,同时利用 Purple 实现符合 GDPR 的访客 WiFi、营销分析以及 CRM 集成。
收听本指南
查看播客转录

核心摘要
企业网络架构要求在企业安全与商业访客互动之间进行清晰的职责分离。在评估 Cisco ISE 与 Purple WiFi 时,许多 IT 决策者常犯的错误是将其视为竞争平台。事实上,它们并非竞争关系。Cisco Identity Services Engine (ISE) 是用于保护员工和企业设备安全的行业标准网络准入控制 (NAC) 和 802.1X 策略引擎。而 Purple 是一个基于云的覆盖平台,专为处理访客 Captive Portals、访客营销授权及运营分析而构建。
试图强行将 Cisco ISE 用作商业营销的 cisco ise 访客门户替代方案,不仅会引入不必要的复杂性,还无法提供具有实际指导意义的数据。相反,将 Purple WiFi 与 Cisco ISE 协同部署可以让每个平台各司其职。Purple 与 Cisco 基础设施原生集成,以分担复杂的访客体验逻辑,同时将核心企业安全策略留给 Cisco ISE。本指南剖析了它们如何在现代企业网络拓扑中共存,并为 零售 、 酒店 及大型公共场馆提供了实用的部署策略。
技术深度剖析
Cisco ISE 的角色:企业网络准入控制
Cisco ISE 是企业 NAC 的黄金标准。其主要功能是依靠基于端口的网络准入控制标准 IEEE 802.1X,对连接到企业网络的已知设备和用户进行身份验证与授权。
当企业笔记本电脑连接到交换机端口或企业 SSID 时,ISE 将充当 RADIUS 服务器。它通过 EAP-TLS 验证设备证书,或通过 PEAP 针对 Active Directory 或 Microsoft Entra ID 验证用户凭据。随后,ISE 会评估设备的安全性状态。如果符合合规要求,ISE 会分配正确的 VLAN 并应用相应的安全组标签 (SGT)。如果设备未能通过安全性状态评估,ISE 可以使用 RADIUS 授权变更 (CoA) 对其进行隔离。如需深入了解客户端配置,请参阅我们的指南: 什么是 802.1X 客户端?客户端类型与设备配置 。 ISE 还可以管理“携带自备设备”(BYOD)的入网,将个人设备注册证书,以实现安全且免密码的访问。此外,它与 Cisco 的 pxGrid 框架集成,允许防火墙和 SIEM 平台利用实时身份上下文。ISE 的许可分为三个级别:Essentials、Advantage 和 Premier,从基础的 802.1X 扩展到高级威胁集成。
Purple 的角色:访客体验与分析
虽然 ISE 在保护企业资产方面表现出色,但其内置的访客门户更偏向实用性而非商业化。它可以为承包商提供基础的互联网访问,但无法收集符合 GDPR 的营销授权,无法运行带有社交媒体登录的品牌展示页面,也无法将访客数据推送到 Salesforce 等 CRM 平台。Purple 正好填补了这一空白。
Purple 是一种与硬件无关的云端覆盖层。它运行在您现有的 WiFi 基础设施之上,包括 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。Purple 从根本上掌控了访客体验层。当访客连接到您的访客 SSID 时,Purple 会呈现一个品牌化的 Captive Portal。该门户提供通过 Facebook、Google 或 LinkedIn 进行的社交登录、自定义数据收集表单以及类似 Passpoint 的无缝选项。
每次登录都会通过清晰的主动选择同意选项收集第一方数据。Purple 通过其分析引擎处理这些数据,生成客流热力图和访客人口统计数据,然后将其直接推送到您的营销技术栈。Purple 在全球 80,000 多个活跃场所运营,并在 2024 年处理了 4.4 亿次登录。我们持有 ISO 27001 认证并符合 GDPR 和 CCPA,确保 99.999% 正常运行时间的企业级稳定性。如需深入了解商业优势,请参阅我们的 WiFi Analytics 平台概述。

架构共存
当您将 SSID 分开时,架构会变得非常简单。您在相同的接入点上运行两个或三个 SSID。有关此设计的详细分析,请阅读 管理一切的三个 SSID:访客、Passpoint 和 IoT WiFi 。
企业 SSID 使用带有 802.1X 的 WPA3-Enterprise,并且 ISE 作为 RADIUS 服务器。ISE 将设备分配到正确的 VLAN 并执行策略。Purple 在此处不参与任何工作。
访客 SSID 使用开放网络进行初始关联,或使用带有预共享密钥的 WPA3-Personal。流量将被重定向到 Purple 的云门户。Purple 负责管理身份验证、同意书收集和分析。接入点在 Purple 发出授权信号之前执行围墙花园限制,随后允许互联网访问。ISE 在此处不参与任何工作。 对于场所 IoT 设备(如 POS 终端),Purple 的 SecurePass 功能可以管理个人预共享密钥 (iPSK),或者由 ISE 来管理企业 IoT。

实施指南
在 Cisco ISE 的基础上部署 Purple,需要仔细配置您的无线 LAN 控制器或云端仪表板。
第 1 步:SSID 细分
为企业和访客流量创建独立的 SSID。将企业 SSID 配置为 WPA3-Enterprise,并将 RADIUS 身份验证指向您的 Cisco ISE 节点。将访客 SSID 配置为使用 MAC 过滤或 WPA3-Personal 的开放访问。
第 2 步:VLAN 隔离
确保访客流量在第 2 层与企业流量隔离。访客 SSID 必须映射到专用 VLAN,该 VLAN 绕过内部路由表并直接路由到互联网防火墙。ISE 会根据策略强制为企业 SSID 分配 VLAN。
第 3 步:围墙花园(Walled Garden)配置
对于访客 SSID,配置 Captive Portal 重定向以指向 Purple 的云端基础设施。您必须在接入点上配置围墙花园(预授权 ACL),以允许 DNS 和 HTTP/HTTPS 流量流向 Purple 所需的 IP 范围和域名。如果围墙花园限制过于严格,Captive Portal 将无法加载。
第 4 步:访客 WiFi 的 RADIUS 集成
配置您的无线控制器为访客 SSID 使用 Purple 的 RADIUS 服务器。这使 Purple 能够授权用户并跟踪会话时长和带宽使用情况。
最佳实践
- **切勿在同一个 SSID 上混用访客和企业流量。**这会带来巨大的安全与合规风险。请务必使用映射到隔离 VLAN 的专用 SSID。
- **使用 Purple 进行商业访客接入。**如果您需要营销分析、CRM 集成或品牌化社交登录,请勿使用 ISE 的内置访客门户。
- **强制执行分层带宽。**在访客 SSID 上提供免费的基础服务,并使用 Purple 的 Connect、Capture 或 Engage 方案为更高的网速提供优质的付费选项。
- **利用 Passpoint。**通过 Purple 使用 Passpoint (Hotspot 2.0),让再次光顾的访客自动且安全地连接,而无需反复看到 Captive Portal。
故障排除与风险缓解
- **Captive Portal 无法加载:**这几乎总是围墙花园配置的问题。请验证您的 Cisco 硬件预授权 ACL 中是否允许了所有必需的 Purple 域名和 IP 地址。
- **访客设备正在访问内部资源:**这表明 VLAN 隔离失败。请验证在防火墙或核心交换机层,访客 VLAN 无法路由到企业子网。
- RADIUS 超时: 如果无线控制器无法连接到 Purple 的 RADIUS 服务器,访客身份验证将失败。请确保您的防火墙允许向外发送 UDP 端口 1812 和 1813 的流量到 Purple 的基础设施。
投资回报率(ROI)与业务影响
将网络准入控制 Cisco ISE 与访客体验管理分离对业务有着极其重大的影响。通过将访客 WiFi 的职责分流给 Purple,IT 团队可以减轻管理临时账户和排查门户页面问题的运营负担。
更重要的是,Purple 将访客网络转化为了一项可创造收入的资产。通过收集第一方数据并将其与 CRM 平台整合,场所可以开展精准的针对性营销活动。例如,Harrods 在其欢迎页面(splash page)上通过一个简单的问题来引导用户注册其会员计划,这直接为该特定群体带来了 3 倍的投资回报率。AGS Airports 则通过实施分级带宽实现了 842% 的投资回报率。将用于安全的 Cisco ISE 与用于互动的 Purple 相结合,既能让您高枕无忧,又能带来可衡量的商业价值。
关键定义
网络准入控制 (NAC)
一种安全架构,它将网络可用性限制在合规且已通过身份验证的终端设备上。Cisco ISE 是一个 NAC 平台。
IT 团队使用 NAC 来防止未经授权的设备访问企业数据。
IEEE 802.1X
一种用于基于端口的网络准入控制的 IEEE 标准,为希望连接到 LAN 或 WLAN 的设备提供身份验证机制。
Cisco ISE 使用它来通过证书或凭据(而非共享密码)确保企业 SSID 的安全。
Captive Portal
公共访问网络的用户在被授予访问权限之前,必须查看并与之交互的网页。
Purple 提供高度可定制的 Captive Portal,用以收集营销同意和第一方数据。
VLAN (虚拟局域网)
将来自不同物理 LAN 的设备集合进行分组的逻辑子网。
这对于将访客流量(由 Purple 管理)与企业流量(由 ISE 管理)进行隔离至关重要。
Walled Garden
一种限制性的环境,用于在用户完成完全身份验证之前,控制其对网页内容和服务的访问。
必须在 Cisco 硬件上正确配置,以允许设备访问 Purple 的服务器来加载 Captive Portal。
RADIUS
远程用户拨号认证服务。一种提供集中化身份验证、授权和计费管理的网络协议。
ISE 和 Purple 都使用 RADIUS,但用途不同:ISE 用于 802.1X 企业级访问控制,Purple 用于访客会话计费。
Passpoint (Hotspot 2.0)
一种使移动设备能够自动发现并安全地连接到 WiFi 网络而无需用户干预的标准。
Purple 支持 Passpoint,以便为再次到访的访客提供类似于蜂窝网络无缝漫游的体验。
pxGrid
平台交换网格。一个 Cisco 框架,支持多供应商、跨平台的网络系统网络协同工作流的网络系统协作。
允许 Purple 与 Cisco ISE 生态系统共享访客会话上下文,以实现统一的安全可视性。
应用实例
一家拥有 200 间客房的酒店需要为后台员工(客房部、管理层)提供安全的 WiFi,并为酒店访客提供一个带有品牌标识且能收集数据的 WiFi 体验。他们目前使用的是 Cisco Catalyst 接入点。
部署两个 SSID。“Hotel_Corp” 使用 WPA3-Enterprise。Cisco ISE 作为 RADIUS 服务器,通过 EAP-TLS 证书对员工设备进行身份验证并将其分配到管理 VLAN。“Hotel_Guest” 使用一个重定向到 Purple 的开放 SSID。Purple 提供带有品牌标识的 Captive Portal,提供社交媒体登录或 PMS 集成。访客流量被放置在一个直接路由到互联网的隔离 VLAN 上。
一家大型连锁零售商希望使用其现有的 Cisco Meraki 基础设施来追踪 50 家门店的顾客人流量和停留时间,同时不损害其内部销售点 (POS) 网络的安全性。
POS 终端连接到由 WPA3-Enterprise 和 Cisco ISE 保护的隐藏 SSID。为顾客广播一个公共的 “Free_Store_WiFi” SSID。Meraki 控制面板配置为通过 API 与 Purple 集成。Purple 从探测设备中获取匿名的存在数据以生成热力图,并在顾客登录 Captive Portal 时收集明确的第一方数据。
练习题
Q1. 您的营销总监希望从使用零售店访客 WiFi 的访客中收集电子邮件地址和人口统计信息。网络工程团队建议启用现有 Cisco ISE 部署中内置的访客门户功能。这是否是正确的方法?
提示:考虑 ISE 访客门户与专用覆盖平台相比的商业功能。
查看标准答案
否。Cisco ISE 访客门户专为功能性访问(例如承包商)而设计,并非用于商业营销。它缺乏原生 CRM 集成、GDPR 同意管理工作流程以及详细的访客分析。正确的方法是在访客 SSID 上实施 Purple 来处理数据收集和分析,同时保留 ISE 来管理公司网络。
Q2. 访客连接到由 Purple 管理的 SSID,但其浏览器显示超时错误,而不是 Captive Portal 强制网络门户页面。而在由 ISE 管理的 SSID 上的企业用户未受影响。最可能的原因是什么?
提示:思考在强制网络门户网络上完成认证之前必须发生什么。
查看标准答案
最可能的原因是无线接入点或控制器上配置了不正确的 walled garden(认证前访问控制列表 ACL)。设备在访问 Purple 云基础设施以加载门户时被阻止。您必须确保特定的 Purple 域名和 IP 范围已加入白名单。
Q3. 您正在为新的公司总部设计网络。您需要支持员工笔记本电脑、员工个人手机 (BYOD) 以及到访客户。您应该如何构建 SSID 和认证架构?
提示:根据设备所有权和所需的访问权限级别来区分人群。
查看标准答案
部署两个 SSID。企业 SSID 使用 WPA3-Enterprise。Cisco ISE 处理员工笔记本电脑的 802.1X 认证,并管理员工 BYOD 设备的证书注册,将它们分配到内部 VLAN。访客 SSID 是开放的并重定向到 Purple。Purple 处理到访客户的 Captive Portal 强制网络门户认证,将他们置于隔离的仅限互联网的 VLAN 上。
继续阅读本系列
为访客和员工 WiFi 网络配置 RADIUS 认证
本技术参考指南概述了企业访客和员工 WiFi 网络的 RADIUS 认证架构、配置和部署。它为网络架构师和 IT 经理提供了构建安全、可扩展的无线访问控制系统所需的准确协议、安全标准和故障排除方法。
Passpoint and OpenRoaming: 完整指南
本技术参考指南对企业 WiFi 网络中的 Passpoint (Hotspot 2.0) 和 WBA OpenRoaming 框架进行了全面分析。它详细介绍了建立安全、无摩擦访客连接所需的底层身份验证协议、架构组件和部署策略。网络架构师和 IT 负责人将学习如何设计、实施这些标准并对其进行故障排除,从而在保持企业级安全性的同时消除手动登录障碍。
如何面向高等教育机构实施 SCEP 以实现安全的 BYOD 和网络注册
本技术指南为网络架构师和 IT 经理提供了一个与厂商无关的蓝图,用于部署基于 SCEP 的证书注册,以保障高等教育校园网络的安全。它详细介绍了如何从基于密码的 PEAP 迁移到 802.1X EAP-TLS、自动执行 BYOD 引导以及实施强大的 VLAN 细分。