跳至主要内容

Cisco ISE 对比 Purple WiFi:如何进行对比与协同工作

本指南阐述了 Cisco ISE 和 Purple WiFi 在企业网络中如何承担不同但互补的角色。它详细介绍了如何使用 Cisco ISE 进行安全的 802.1X 企业级访问控制,同时利用 Purple 实现符合 GDPR 的访客 WiFi、营销分析以及 CRM 集成。

📖 6 分钟阅读📝 1,259 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
你是一位资深的网络安全顾问,正在以自信、权威且口语化的英式英语向客户进行简报。发言要清晰且节奏适中,就像在向由 IT 总监和网络架构师组成的董事会进行演示一样。这是一次专业的网络技术简报,而不是讲座。请以标准公认发音(RP)口音的英式英语进行发言: 欢迎来到 Purple 技术简报系列。今天我们要讨论一个在企业网络设计中经常出现的问题:Cisco ISE 与 Purple WiFi。它们之间有何异同,更重要的是,它们如何协同工作?我将在大约十分钟内给您一个直截了当的答案。 [中顿] 让我们先从背景开始。如果您运营着一家酒店、零售物业、体育场或公共部门建筑,您的网络中几乎肯定有两类完全不同的群体在进行连接。一类是员工和公司设备,另一类是宾客、访客、球迷或购物者。这两类群体有着截然不同的认证需求、不同的数据权限和不同的业务目标。大多数组织犯的错误就是试图用单一工具来解决这两个问题。这就是对 Cisco ISE 和 Purple 产生混淆的原因所在。 [中顿] 第一部分:Cisco ISE 的实际作用。 Cisco Identity Services Engine(简称 ISE)是 Cisco 的企业级网络准入控制(Network Access Control)平台。它的核心任务是对公司设备和员工用户进行身份验证与授权。它主要通过 IEEE 802.1X(基于端口的网络准入控制标准)来实现这一点。当一台公司笔记本电脑连接到您的网络时,ISE 会通过 EAP-TLS 验证其证书,或通过 PEAP 验证其凭据,并在 Active Directory 或 Microsoft Entra ID 中进行验证,评估其安全态势,然后将其分配到带有正确策略的正确 VLAN 中。如果设备未能通过态势评估,ISE 可以利用 RADIUS 授权变更(即 CoA)自动将其隔离。 ISE 还负责处理 BYOD 设备注册,将个人设备注册证书,以便在没有共享密码的情况下安全地进行身份验证。此外,它还与 Cisco 的 pxGrid 架构集成,允许防火墙和 SIEM 平台等其他安全工具实时获取身份上下文信息。 ISE 的三个许可级别分别是 Essentials、Advantage 和 Premier。Essentials 涵盖 802.1X 和基础访客接入。Advantage 增加了 BYOD、态势评估以及第三方 MDM 集成。Premier 则增加了被动身份服务和高级威胁集成。 [中顿] 因此,ISE 是一个重磅的、企业级的安全平台。但关键的一点是:它的访客门户功能偏向实用性,而非商业化。ISE 可以将未经验证的设备重定向到网页,收集用户名和密码或赞助人审批,并授予互联网访问权限。但它无法做到的是捕获符合 GDPR 要求的营销同意、运行带有社交登录的品牌展示页面、将访客数据导入 Salesforce 或 HubSpot、生成客流热力图,或根据人口统计学对访客进行细分以进行营销活动。这不是 ISE 的设计初衷,试图将其拉伸到这一角色只会增加复杂性,而无法实现商业结果。 您是一位资深网络安全顾问,正在以自信、权威且口语化的基调继续进行英式英语的技术简报。请清晰且节奏适度地发言。请使用标准公认发音口音的英式英语发言: 第二部分:Purple 的作用。 Purple 是一个云端覆盖平台。我们构建在您现有的 WiFi 基础设施之上,无论它是 Cisco Meraki、Cisco Catalyst、HPE Aruba、Ruckus、Juniper Mist 还是任何其他主流厂商。我们不更换您的硬件。我们不取代 ISE。我们处理的是访客体验层。 当访客连接到您的访客 SSID 时,Purple 会拦截该连接并呈现一个品牌化的 Captive Portal。该门户可以提供通过 Facebook、Google 或 LinkedIn 的社交登录、自定义数据捕获表单、一键连接选项,或用于在再次访问时自动安全重新连接的 Passpoint。每次登录都会在获得明确 GDPR 同意的情况下捕获第一方数据。这些数据会直接流入您的 CRM、您的电子邮件营销平台或您的会员忠诚度计划。 Purple 在 80,000 个活跃场所运行,仅在 2024 年就处理了 4.4 亿次登录。我们持有 ISO 27001 认证,符合 GDPR 和 CCPA 规范,并保持 99.999% 的在线率。知名客户包括麦当劳、哈罗德百货 (Harrods)、Premier Inn、AGS Airports 和曼彻斯特机场集团 (Manchester Airports Group)。 [中顿] 第三部分:它们在现代网络拓扑中如何共存。 一旦您理解了关注点分离,架构就会变得非常简单。您在相同的接入点上运行两到三个 SSID。企业 SSID 使用带有 802.1X 的 WPA3-Enterprise,且 ISE 作为 RADIUS 服务器。每台员工设备都使用证书或凭证进行身份验证。ISE 将设备分配到正确的 VLAN,应用正确的策略,并记录会话。Purple 在这里没有任何角色。这完全是 ISE 的领域。 访客 SSID 是开放的,或者使用带有预共享密钥的 WPA3-Personal 进行初始关联。流量被重定向到 Purple 的云端门户。Purple 处理身份验证、同意捕获和分析。接入点执行围墙花园(Walled Garden)限制,直到 Purple 发出授权信号,然后开启互联网访问。ISE 在这里没有任何角色。这是 Purple 的领域。 对于更复杂的部署,您可以使用身份预共享密钥(即 iPSK)为 IoT 设备添加第三个 SSID,其中每个设备都会获得映射到特定 VLAN 的唯一密码。ISE 可以为企业 IoT 管理此功能,或者由 Purple 的 SecurePass 功能处理场所 IoT(例如销售点终端和数字标牌)。 如果您希望这两个平台之间实现更紧密的集成,Cisco 的 pxGrid 允许 Purple 将访客会话上下文发布到 ISE 生态系统中,以便您的安全运营团队可以在统一视图中查看访客活动与企业活动。 [medium pause] 第四部分:实施建议和常见陷阱。 让我为您介绍一下我在部署中遇到的三个最常见错误。 第一:使用 ISE 内置的访客门户来进行商业访客 WiFi。ISE 的访客门户是为承包商和临时员工设计的,而不是为营销驱动的访客接入设计的。它没有 CRM 集成,没有同意管理,也没有分析功能。如果您从事酒店、零售或活动行业,您需要在访客 SSID 上使用 Purple。ISE 处理企业,Purple 处理访客。请将它们分开。 第二:未正确划分 VLAN。访客流量必须在第二层与企业流量隔离。Purple 在一个独立的 VLAN 中运行,该 VLAN 直接路由到互联网,无法访问内部资源。ISE 对企业设备强制执行 VLAN 分配。如果您将这两者混为一谈,就会造成安全漏洞和合规性问题。 第三:忽略了 Walled Garden(围墙花园)配置。当 Purple 作为 Captive Portal 时,接入点必须在身份验证之前允许 DNS 和 HTTP 流量流向 Purple 的云端点。如果您的 Walled Garden 过于严格,门户将无法加载。如果过于宽松,用户则可以绕过身份验证。Purple 的支持文档提供了针对每个硬件厂商需要加白名单的确切 IP 范围和域名。 [medium pause] 第五部分:快速问答。 Purple 是否会取代 Cisco ISE?不会。它们在不同的 SSID 上为不同的用户解决不同的问题。 我可以在没有 ISE 的情况下在 Cisco Meraki 上运行 Purple 吗?可以。Purple 通过 Meraki API 与 Cisco Meraki 进行原生集成。访客 WiFi 不需要 ISE。 我可以在相同的接入点上运行这两者吗?可以。在同一硬件上运行多个 SSID 是标准做法。 Purple 支持 802.1X 吗?Purple 的 SecurePass 功能为安装了 Purple 应用程序的访客设备提供支持 802.1X 的 WPA3-Enterprise,从而无需 Captive Portal 即可实现基于证书的自动重新连接。 关于 PCI-DSS 合规性如何?访客 WiFi 必须与支付卡系统隔离。Purple 的 VLAN 架构满足这一要求。ISE 对企业设备强制执行相同的隔离。 [medium pause] 总结和后续步骤。 决策框架非常简单。如果设备属于您的组织或员工,则由 ISE 负责身份验证。如果设备属于顾客、访客、购物者或粉丝,则由 Purple 负责体验。这两个平台共享相同的物理基础设施,但在完全独立的逻辑层中运行。 接下来的步骤,请规划您当前的 SSID 架构。确定哪些 SSID 是企业级,哪些是访客级。确认访客流量已实现 VLAN 隔离。然后评估您当前的访客门户是否能够提供商业团队所需的营销授权、数据分析和 CRM 集成。如果没有,这正是 Purple 所能填补的空白。 您可以在 purple.ai 找到完整的书面指南、架构图和操作示例。感谢您的时间。

header_image.png

核心摘要

企业网络架构要求在企业安全与商业访客互动之间进行清晰的职责分离。在评估 Cisco ISE 与 Purple WiFi 时,许多 IT 决策者常犯的错误是将其视为竞争平台。事实上,它们并非竞争关系。Cisco Identity Services Engine (ISE) 是用于保护员工和企业设备安全的行业标准网络准入控制 (NAC) 和 802.1X 策略引擎。而 Purple 是一个基于云的覆盖平台,专为处理访客 Captive Portals、访客营销授权及运营分析而构建。

试图强行将 Cisco ISE 用作商业营销的 cisco ise 访客门户替代方案,不仅会引入不必要的复杂性,还无法提供具有实际指导意义的数据。相反,将 Purple WiFi 与 Cisco ISE 协同部署可以让每个平台各司其职。Purple 与 Cisco 基础设施原生集成,以分担复杂的访客体验逻辑,同时将核心企业安全策略留给 Cisco ISE。本指南剖析了它们如何在现代企业网络拓扑中共存,并为 零售酒店 及大型公共场馆提供了实用的部署策略。

技术深度剖析

Cisco ISE 的角色:企业网络准入控制

Cisco ISE 是企业 NAC 的黄金标准。其主要功能是依靠基于端口的网络准入控制标准 IEEE 802.1X,对连接到企业网络的已知设备和用户进行身份验证与授权。

当企业笔记本电脑连接到交换机端口或企业 SSID 时,ISE 将充当 RADIUS 服务器。它通过 EAP-TLS 验证设备证书,或通过 PEAP 针对 Active Directory 或 Microsoft Entra ID 验证用户凭据。随后,ISE 会评估设备的安全性状态。如果符合合规要求,ISE 会分配正确的 VLAN 并应用相应的安全组标签 (SGT)。如果设备未能通过安全性状态评估,ISE 可以使用 RADIUS 授权变更 (CoA) 对其进行隔离。如需深入了解客户端配置,请参阅我们的指南: 什么是 802.1X 客户端?客户端类型与设备配置 。 ISE 还可以管理“携带自备设备”(BYOD)的入网,将个人设备注册证书,以实现安全且免密码的访问。此外,它与 Cisco 的 pxGrid 框架集成,允许防火墙和 SIEM 平台利用实时身份上下文。ISE 的许可分为三个级别:Essentials、Advantage 和 Premier,从基础的 802.1X 扩展到高级威胁集成。

Purple 的角色:访客体验与分析

虽然 ISE 在保护企业资产方面表现出色,但其内置的访客门户更偏向实用性而非商业化。它可以为承包商提供基础的互联网访问,但无法收集符合 GDPR 的营销授权,无法运行带有社交媒体登录的品牌展示页面,也无法将访客数据推送到 Salesforce 等 CRM 平台。Purple 正好填补了这一空白。

Purple 是一种与硬件无关的云端覆盖层。它运行在您现有的 WiFi 基础设施之上,包括 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。Purple 从根本上掌控了访客体验层。当访客连接到您的访客 SSID 时,Purple 会呈现一个品牌化的 Captive Portal。该门户提供通过 Facebook、Google 或 LinkedIn 进行的社交登录、自定义数据收集表单以及类似 Passpoint 的无缝选项。

每次登录都会通过清晰的主动选择同意选项收集第一方数据。Purple 通过其分析引擎处理这些数据,生成客流热力图和访客人口统计数据,然后将其直接推送到您的营销技术栈。Purple 在全球 80,000 多个活跃场所运营,并在 2024 年处理了 4.4 亿次登录。我们持有 ISO 27001 认证并符合 GDPR 和 CCPA,确保 99.999% 正常运行时间的企业级稳定性。如需深入了解商业优势,请参阅我们的 WiFi Analytics 平台概述。

architecture_overview.png

架构共存

当您将 SSID 分开时,架构会变得非常简单。您在相同的接入点上运行两个或三个 SSID。有关此设计的详细分析,请阅读 管理一切的三个 SSID:访客、Passpoint 和 IoT WiFi

企业 SSID 使用带有 802.1X 的 WPA3-Enterprise,并且 ISE 作为 RADIUS 服务器。ISE 将设备分配到正确的 VLAN 并执行策略。Purple 在此处不参与任何工作。

访客 SSID 使用开放网络进行初始关联,或使用带有预共享密钥的 WPA3-Personal。流量将被重定向到 Purple 的云门户。Purple 负责管理身份验证、同意书收集和分析。接入点在 Purple 发出授权信号之前执行围墙花园限制,随后允许互联网访问。ISE 在此处不参与任何工作。 对于场所 IoT 设备(如 POS 终端),Purple 的 SecurePass 功能可以管理个人预共享密钥 (iPSK),或者由 ISE 来管理企业 IoT。

comparison_chart.png

实施指南

在 Cisco ISE 的基础上部署 Purple,需要仔细配置您的无线 LAN 控制器或云端仪表板。

第 1 步:SSID 细分

为企业和访客流量创建独立的 SSID。将企业 SSID 配置为 WPA3-Enterprise,并将 RADIUS 身份验证指向您的 Cisco ISE 节点。将访客 SSID 配置为使用 MAC 过滤或 WPA3-Personal 的开放访问。

第 2 步:VLAN 隔离

确保访客流量在第 2 层与企业流量隔离。访客 SSID 必须映射到专用 VLAN,该 VLAN 绕过内部路由表并直接路由到互联网防火墙。ISE 会根据策略强制为企业 SSID 分配 VLAN。

第 3 步:围墙花园(Walled Garden)配置

对于访客 SSID,配置 Captive Portal 重定向以指向 Purple 的云端基础设施。您必须在接入点上配置围墙花园(预授权 ACL),以允许 DNS 和 HTTP/HTTPS 流量流向 Purple 所需的 IP 范围和域名。如果围墙花园限制过于严格,Captive Portal 将无法加载。

第 4 步:访客 WiFi 的 RADIUS 集成

配置您的无线控制器为访客 SSID 使用 Purple 的 RADIUS 服务器。这使 Purple 能够授权用户并跟踪会话时长和带宽使用情况。

最佳实践

  1. **切勿在同一个 SSID 上混用访客和企业流量。**这会带来巨大的安全与合规风险。请务必使用映射到隔离 VLAN 的专用 SSID。
  2. **使用 Purple 进行商业访客接入。**如果您需要营销分析、CRM 集成或品牌化社交登录,请勿使用 ISE 的内置访客门户。
  3. **强制执行分层带宽。**在访客 SSID 上提供免费的基础服务,并使用 Purple 的 Connect、Capture 或 Engage 方案为更高的网速提供优质的付费选项。
  4. **利用 Passpoint。**通过 Purple 使用 Passpoint (Hotspot 2.0),让再次光顾的访客自动且安全地连接,而无需反复看到 Captive Portal。

故障排除与风险缓解

  • **Captive Portal 无法加载:**这几乎总是围墙花园配置的问题。请验证您的 Cisco 硬件预授权 ACL 中是否允许了所有必需的 Purple 域名和 IP 地址。
  • **访客设备正在访问内部资源:**这表明 VLAN 隔离失败。请验证在防火墙或核心交换机层,访客 VLAN 无法路由到企业子网。
  • RADIUS 超时: 如果无线控制器无法连接到 Purple 的 RADIUS 服务器,访客身份验证将失败。请确保您的防火墙允许向外发送 UDP 端口 1812 和 1813 的流量到 Purple 的基础设施。

投资回报率(ROI)与业务影响

将网络准入控制 Cisco ISE 与访客体验管理分离对业务有着极其重大的影响。通过将访客 WiFi 的职责分流给 Purple,IT 团队可以减轻管理临时账户和排查门户页面问题的运营负担。

更重要的是,Purple 将访客网络转化为了一项可创造收入的资产。通过收集第一方数据并将其与 CRM 平台整合,场所可以开展精准的针对性营销活动。例如,Harrods 在其欢迎页面(splash page)上通过一个简单的问题来引导用户注册其会员计划,这直接为该特定群体带来了 3 倍的投资回报率。AGS Airports 则通过实施分级带宽实现了 842% 的投资回报率。将用于安全的 Cisco ISE 与用于互动的 Purple 相结合,既能让您高枕无忧,又能带来可衡量的商业价值。

关键定义

网络准入控制 (NAC)

一种安全架构,它将网络可用性限制在合规且已通过身份验证的终端设备上。Cisco ISE 是一个 NAC 平台。

IT 团队使用 NAC 来防止未经授权的设备访问企业数据。

IEEE 802.1X

一种用于基于端口的网络准入控制的 IEEE 标准,为希望连接到 LAN 或 WLAN 的设备提供身份验证机制。

Cisco ISE 使用它来通过证书或凭据(而非共享密码)确保企业 SSID 的安全。

Captive Portal

公共访问网络的用户在被授予访问权限之前,必须查看并与之交互的网页。

Purple 提供高度可定制的 Captive Portal,用以收集营销同意和第一方数据。

VLAN (虚拟局域网)

将来自不同物理 LAN 的设备集合进行分组的逻辑子网。

这对于将访客流量(由 Purple 管理)与企业流量(由 ISE 管理)进行隔离至关重要。

Walled Garden

一种限制性的环境,用于在用户完成完全身份验证之前,控制其对网页内容和服务的访问。

必须在 Cisco 硬件上正确配置,以允许设备访问 Purple 的服务器来加载 Captive Portal。

RADIUS

远程用户拨号认证服务。一种提供集中化身份验证、授权和计费管理的网络协议。

ISE 和 Purple 都使用 RADIUS,但用途不同:ISE 用于 802.1X 企业级访问控制,Purple 用于访客会话计费。

Passpoint (Hotspot 2.0)

一种使移动设备能够自动发现并安全地连接到 WiFi 网络而无需用户干预的标准。

Purple 支持 Passpoint,以便为再次到访的访客提供类似于蜂窝网络无缝漫游的体验。

pxGrid

平台交换网格。一个 Cisco 框架,支持多供应商、跨平台的网络系统网络协同工作流的网络系统协作。

允许 Purple 与 Cisco ISE 生态系统共享访客会话上下文,以实现统一的安全可视性。

应用实例

一家拥有 200 间客房的酒店需要为后台员工(客房部、管理层)提供安全的 WiFi,并为酒店访客提供一个带有品牌标识且能收集数据的 WiFi 体验。他们目前使用的是 Cisco Catalyst 接入点。

部署两个 SSID。“Hotel_Corp” 使用 WPA3-Enterprise。Cisco ISE 作为 RADIUS 服务器,通过 EAP-TLS 证书对员工设备进行身份验证并将其分配到管理 VLAN。“Hotel_Guest” 使用一个重定向到 Purple 的开放 SSID。Purple 提供带有品牌标识的 Captive Portal,提供社交媒体登录或 PMS 集成。访客流量被放置在一个直接路由到互联网的隔离 VLAN 上。

考官评语: 这种方法完美地将关注点分离。ISE 确保了企业资产的安全,而 Purple 则满足了酒店营销团队收集访客数据的商业需求。VLAN 隔离确保了 PCI-DSS 合规性。

一家大型连锁零售商希望使用其现有的 Cisco Meraki 基础设施来追踪 50 家门店的顾客人流量和停留时间,同时不损害其内部销售点 (POS) 网络的安全性。

POS 终端连接到由 WPA3-Enterprise 和 Cisco ISE 保护的隐藏 SSID。为顾客广播一个公共的 “Free_Store_WiFi” SSID。Meraki 控制面板配置为通过 API 与 Purple 集成。Purple 从探测设备中获取匿名的存在数据以生成热力图,并在顾客登录 Captive Portal 时收集明确的第一方数据。

考官评语: 使用 Purple 的云端覆盖网络与 Meraki 配合无需新增任何硬件。该零售连锁店获得了深度分析和营销数据,同时 ISE 确保了 POS 网络保持锁定状态且符合合规性要求。

练习题

Q1. 您的营销总监希望从使用零售店访客 WiFi 的访客中收集电子邮件地址和人口统计信息。网络工程团队建议启用现有 Cisco ISE 部署中内置的访客门户功能。这是否是正确的方法?

提示:考虑 ISE 访客门户与专用覆盖平台相比的商业功能。

查看标准答案

否。Cisco ISE 访客门户专为功能性访问(例如承包商)而设计,并非用于商业营销。它缺乏原生 CRM 集成、GDPR 同意管理工作流程以及详细的访客分析。正确的方法是在访客 SSID 上实施 Purple 来处理数据收集和分析,同时保留 ISE 来管理公司网络。

Q2. 访客连接到由 Purple 管理的 SSID,但其浏览器显示超时错误,而不是 Captive Portal 强制网络门户页面。而在由 ISE 管理的 SSID 上的企业用户未受影响。最可能的原因是什么?

提示:思考在强制网络门户网络上完成认证之前必须发生什么。

查看标准答案

最可能的原因是无线接入点或控制器上配置了不正确的 walled garden(认证前访问控制列表 ACL)。设备在访问 Purple 云基础设施以加载门户时被阻止。您必须确保特定的 Purple 域名和 IP 范围已加入白名单。

Q3. 您正在为新的公司总部设计网络。您需要支持员工笔记本电脑、员工个人手机 (BYOD) 以及到访客户。您应该如何构建 SSID 和认证架构?

提示:根据设备所有权和所需的访问权限级别来区分人群。

查看标准答案

部署两个 SSID。企业 SSID 使用 WPA3-Enterprise。Cisco ISE 处理员工笔记本电脑的 802.1X 认证,并管理员工 BYOD 设备的证书注册,将它们分配到内部 VLAN。访客 SSID 是开放的并重定向到 Purple。Purple 处理到访客户的 Captive Portal 强制网络门户认证,将他们置于隔离的仅限互联网的 VLAN 上。