跳至主要内容
简体中文

Cisco ISE 对比 Purple WiFi:如何比较以及如何协同工作

本指南阐述了 Cisco ISE 和 Purple WiFi 在企业网络中如何承担不同但互补的角色。它详细介绍了如何使用 Cisco ISE 进行安全的 802.1X 企业级访问,同时利用 Purple 进行符合 GDPR 要求的客用 WiFi、营销分析和 CRM 集成。

📖 6 分钟阅读📝 1,259 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
您是一位资深的网络安全顾问,正在以自信、权威且口语化的口吻向客户进行英式英语汇报。请清晰且节奏适中地发言,就像在向由 IT 总监和网络架构师组成的董事会进行演讲一样。这是一次专业的技能简报,而不是讲座。请使用标准的公认发音(RP)口音和英式英语进行发言: 欢迎收看 Purple 技术简报系列。今天我们将探讨企业网络设计中经常出现的一个问题:Cisco ISE 与 Purple WiFi。它们有何异同?更重要的是,它们如何协同工作?我将在大约十分钟内为您提供直接的答案。 [medium pause] 让我们先从背景信息开始。如果您经营着一家酒店、一片零售物业、一座体育场或一栋公共部门大楼,您的网络中几乎肯定有两群截然不同的用户在进行网络连接。一类是员工和企业设备,另一类是宾客、访客、粉丝或购物者。这两类群体具有完全不同的身份验证需求、不同的数据权限和不同的业务目标。大多数组织犯的错误是试图用同一种工具来解决这两个问题。这就是人们对 Cisco ISE 和 Purple 产生混淆的原因。 [medium pause] 第一部分:Cisco ISE 究竟能做什么。 Cisco Identity Services Engine(简称 ISE)是 Cisco 的企业级网络准入控制平台。它的主要工作是对企业设备和员工用户进行身份验证和授权。它主要通过 IEEE 802.1X(基于端口的网络准入控制标准)来实现这一点。当企业笔记本电脑连接到您的网络时,ISE 会通过 EAP-TLS 检查其证书,或通过 PEAP 检查其凭据,对照 Active Directory 或 Microsoft Entra ID 进行验证,评估其安全态势,然后应用正确的策略将其分配到正确的 VLAN 中。如果设备未能通过态势评估,ISE 可以利用 RADIUS 授权变更(CoA)对其进行自动隔离。 ISE 还可以处理 BYOD 引导,将个人设备注册证书,以便它们无需共享密码即可安全地进行身份验证。它还与 Cisco 的 pxGrid 框架集成,允许防火墙和 SIEM 平台等其他安全工具使用实时身份上下文信息。 ISE 的三种许可级别分别是 Essentials、Advantage 和 Premier。Essentials 涵盖 802.1X 和基础访客接入。Advantage 增加了 BYOD、态势评估以及第三方 MDM 集成。Premier 则增加了被动身份服务和高级威胁集成。 [medium pause] ISE 是一款严谨的企业级安全平台。但关键在于:它的访客门户是功能型的,而非商业型的。ISE 可以将未授权设备重定向到网页,收集用户名和密码或赞助商审批,并授予互联网访问权限。但它无法做到的是捕获符合 GDPR 的营销同意、运行带有社交登录的品牌展示页面、将访客数据导入 Salesforce 或 HubSpot、生成人流量热力图,或根据人口统计数据对访客进行细分以进行营销活动。这并不是 ISE 的设计初衷,试图强行让它承担这一角色只会增加复杂性,而无法带来商业成果。 您是一位资深网络安全顾问,正在以自信、权威且口语化的语调继续进行英式英语的技术简报。请清晰且有节奏地发言。请使用标准英式发音(Received Pronunciation)的英式英语发言: 第二部分:Purple 的作用。 Purple 是一个云端覆盖平台。我们运行在您现有的 WiFi 基础设施之上,无论是 Cisco Meraki、Cisco Catalyst、HPE Aruba、Ruckus、Juniper Mist 还是任何其他主流厂商。我们不替换您的硬件。我们不替换 ISE。我们负责处理访客体验层。 当访客连接到您的访客 SSID 时,Purple 会拦截该连接并呈现一个品牌化的 Captive Portal。该门户可以提供通过 Facebook、Google 或 LinkedIn 的社交登录、自定义数据捕获表单、一键连接选项,或用于在再次访问时自动安全重新连接的 Passpoint。每次登录都会在获得明确 GDPR 同意的情况下捕获第一方数据。这些数据会直接流向您的 CRM、电子邮件营销平台或客户忠诚度计划。 Purple 在 80,000 个活跃场所运营,仅在 2024 年就处理了 4.4 亿次登录。我们持有 ISO 27001 认证,符合 GDPR 和 CCPA,并保持 99.999% 的在线率。知名客户包括麦当劳、哈罗德百货(Harrods)、Premier Inn、AGS Airports 以及曼彻斯特机场集团(Manchester Airports Group)。 [中等停顿] 第三部分:它们如何在现代网络拓扑中共存。 一旦您理解了关注点分离,架构就会变得非常简单。您在相同的接入点上运行两到三个 SSID。企业 SSID 使用带有 802.1X 的 WPA3-Enterprise,而 ISE 是 RADIUS 服务器。每台员工设备都使用证书或凭据进行身份验证。ISE 将设备分配到正确的 VLAN,应用正确的策略,并记录会话。Purple 在此不参与。这完全是 ISE 的领域。 访客 SSID 是开放的,或使用带有预共享密钥的 WPA3-Personal 进行初始关联。流量会被重定向到 Purple 的云端门户。Purple 处理身份验证、同意捕获和分析。接入点会执行围墙花园(Walled Garden)限制,直到 Purple 发出授权信号,然后开放互联网访问。ISE 在此不参与。这是 Purple 的领域。 对于更复杂的部署,您可以为 IoT 设备添加第三个 SSID,并使用身份预共享密钥(即 iPSK),这样每个设备都会获得映射到特定 VLAN 的唯一密码。ISE 可以为企业 IoT 管理此功能,而 Purple 的 SecurePass 功能则可以处理诸如 POS 终端和数字标牌之类的场所 IoT。 如果您希望这两个平台之间实现更紧密的集成,Cisco 的 pxGrid 允许 Purple 将访客会话上下文发布到 ISE 生态系统中,以便您的安全运营团队可以在统一视图中查看访客活动与企业活动。 [medium pause] 第四部分:实施建议和常见误区。 让我为您介绍一下我在部署中遇到的三个最常见错误。 第一:使用 ISE 的内置访客门户来处理商业访客 WiFi。ISE 的访客门户是为承包商和临时员工设计的,而不是为营销驱动的访客访问设计的。它没有 CRM 集成、没有同意管理,也没有分析。如果您身处酒店、零售或活动行业,您需要在访客 SSID 上使用 Purple。ISE 处理企业,Purple 处理访客。保持它们相互独立。 第二:没有正确细分 VLAN。访客流量必须在第二层与企业流量隔离开来。Purple 在一个直接路由到互联网的独立 VLAN 中运行,无法访问内部资源。ISE 对企业设备强制执行 VLAN 分配。如果您混淆了这些,就会造成安全风险和合规性问题。 第三:忽视了 Walled Garden(围墙花园)的配置。当 Purple 作为 Captive Portal 时,接入点必须在身份验证之前允许 DNS 和 HTTP 流量流向 Purple 的云端点。如果您的 Walled Garden 过于严格,门户将无法加载。如果过于宽松,用户则可以绕过身份验证。Purple 的支持文档提供了针对每个硬件供应商需要加入白名单的确切 IP 范围和域名。 [medium pause] 第五部分:快速问答。 Purple 可以替代 Cisco ISE 吗?不能。它们为不同的 SSID 上的不同用户解决不同的问题。 我可以在没有 ISE 的情况下在 Cisco Meraki 上运行 Purple 吗?可以。Purple 通过 Meraki API 与 Cisco Meraki 进行原生集成。访客 WiFi 不需要 ISE。 我可以在相同的接入点上同时运行两者吗?可以。在同一硬件上运行多个 SSID 是标准做法。 Purple 支持 802.1X 吗?Purple 的 SecurePass 功能为安装了 Purple 应用的访客设备提供支持 802.1X 的 WPA3-Enterprise,从而在无需 Captive Portal 的情况下实现基于证书的自动重新连接。 那么 PCI DSS 合规性呢?访客 WiFi 必须与支付卡系统隔离。Purple 的 VLAN 架构满足此要求。ISE 对企业设备实施相同的隔离。 [medium pause] 总结和后续步骤。 决策框架非常简单。如果设备属于您的组织或员工,则由 ISE 负责身份验证。如果设备属于访客、游客、顾客或粉丝,则由 Purple 负责体验。这两个平台共享相同的物理基础设施,但在完全独立的逻辑层中运行。 下一步,请规划您当前的 SSID 架构。确定哪些 SSID 是企业级的,哪些是访客专用的。确认访客流量已进行 VLAN 隔离。然后评估您当前的访客门户是否提供了商业团队所需的营销同意、分析和 CRM 集成。如果未能提供,这正是 Purple 能够填补的空白。 您可以在 purple.ai 找到完整的书面指南、架构图和工作示例。感谢您的宝贵时间。

header_image.png

নির্বাহী সারাংশ

এন্টারপ্রাইজ নেটওয়ার্ক আর্কিটেকচার কর্পোরেট নিরাপত্তা এবং বাণিজ্যিক অতিথি যুক্ততার মধ্যে উদ্বেগের একটি স্পষ্ট বিভাজনের দাবি রাখে। যখন cisco ise বনাম purple wifi মূল্যায়ন করা হয়, তখন অনেক আইটি লিডার যে ভুলটি করেন তা হলো এগুলোকে প্রতিদ্বন্দ্বী প্ল্যাটফর্ম হিসেবে দেখা। তারা তা নয়। Cisco Identity Services Engine (ISE) হলো সুরক্ষিত কর্মী এবং কর্পোরেট ডিভাইসের জন্য একটি নির্ভরযোগ্য Network Access Control (NAC) এবং 802.1X পলিসি ইঞ্জিন। Purple হলো একটি ক্লাউড-ভিত্তিক ওভারলে প্ল্যাটফর্ম যা গেস্ট Captive Portals, ভিজিটর মার্কেটিং সম্মতি এবং অপারেশনাল অ্যানালিটিক্স পরিচালনা করে।

বাণিজ্যিক মার্কেটিংয়ের জন্য Cisco ISE-কে একটি cisco ise guest portal alternative হিসেবে কাজ করতে বাধ্য করার চেষ্টা অপ্রয়োজনীয় জটিলতা তৈরি করে এবং কার্যকর ডেটা প্রদান করতে ব্যর্থ হয়। বিপরীতভাবে, Cisco ISE-এর পাশাপাশি Purple WiFi স্থাপন করা হলে প্রতিটি প্ল্যাটফর্মকে তাদের নিজস্ব সেরা কাজটি করতে দেয়। মূল এন্টারপ্রাইজ নিরাপত্তা নীতিগুলো Cisco ISE-এর ওপর রেখে, জটিল গেস্ট এক্সপেরিয়েন্স লজিক অফলোড করতে Purple নেটিভভাবে Cisco ইনফ্রাস্ট্রাকচারের সাথে একীভূত হয়। এই নির্দেশিকায় আলোচনা করা হয়েছে কীভাবে তারা একটি আধুনিক এন্টারপ্রাইজ নেটওয়ার্ক টপোলজিতে সহাবস্থান করে, যা খুচরা ব্যবসা , আতিথেয়তা এবং বড় পাবলিক ভেন্যুগুলোর জন্য বাস্তবায়নযোগ্য স্থাপনা কৌশল প্রদান করে।

টেকনিক্যাল ডিপ-ডাইভ

Cisco ISE-এর ভূমিকা: কর্পোরেট নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল

এন্টারপ্রাইজ NAC-এর জন্য Cisco ISE হলো গোল্ড স্ট্যান্ডার্ড। এর প্রাথমিক কাজ হলো কর্পোরেট নেটওয়ার্কের সাথে সংযুক্ত পরিচিত ডিভাইস এবং ব্যবহারকারীদের প্রমাণীকরণ (authenticate) এবং অনুমোদন (authorise) করা। এটি মূলত পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল স্ট্যান্ডার্ড IEEE 802.1X-এর ওপর নির্ভর করে।

যখন একটি কর্পোরেট ল্যাপটপ কোনো সুইচ পোর্ট বা কোনো কর্পোরেট SSID-এর সাথে সংযোগ স্থাপন করে, তখন ISE একটি RADIUS সার্ভার হিসেবে কাজ করে। এটি Active Directory বা Microsoft Entra ID-এর বিপরীতে EAP-TLS-এর মাধ্যমে ডিভাইসের সার্টিফিকেট অথবা PEAP-এর মাধ্যমে ব্যবহারকারীর শংসাপত্র যাচাই করে। এরপর ISE ডিভাইসের সিকিউরিটি পশ্চার (security posture) মূল্যায়ন করে। ডিভাইসটি নিয়ম মেনে চললে, ISE এটিকে সঠিক VLAN-এ বরাদ্দ করে এবং উপযুক্ত সিকিউরিটি গ্রুপ ট্যাগ (SGT) প্রয়োগ করে। যদি ডিভাইসটি পশ্চার মূল্যায়নে ব্যর্থ হয়, তবে ISE RADIUS Change of Authorisation (CoA) ব্যবহার করে এটিকে কোয়ারেন্টাইন করতে পারে। ক্লায়েন্ট কনফিগারেশন সম্পর্কে আরও বিশদ ধারণার জন্য, আমাদের 802.1X Supplicant কী? ক্লায়েন্ট ধরণ এবং ডিভাইস কনফিগারেশন নির্দেশিকাটি পর্যালোচনা করুন। ISE এছাড়াও Bring Your Own Device (BYOD) অনবোর্ডিং পরিচালনা করে, যেখানে নিরাপদ এবং পাসওয়ার্ড-মুক্ত অ্যাক্সেসের জন্য সার্টিফিকেট সহ ব্যক্তিগত ডিভাইসগুলি নথিভুক্ত করা হয়। উপরন্তু, এটি Cisco-এর pxGrid ফ্রেমওয়ার্কের সাথে সংহত হয়, যা ফায়ারওয়াল এবং SIEM প্ল্যাটফর্মগুলিকে রিয়েল-টাইম আইডেন্টিটি কনটেক্সট ব্যবহার করতে দেয়। ISE তিনটি স্তরে লাইসেন্সপ্রাপ্ত: Essentials, Advantage, এবং Premier, যা বেসিক 802.1X থেকে অ্যাডভান্সড থ্রেট ইন্টিগ্রেশন পর্যন্ত স্কেল করে।

Purple-এর ভূমিকা: গেস্ট এক্সপেরিয়েন্স এবং অ্যানালিটিক্স

যদিও ISE কর্পোরেট অ্যাসেটগুলি সুরক্ষিত করতে পারদর্শী, তবে এর বিল্ট-ইন গেস্ট পোর্টালটি বাণিজ্যিক ব্যবহারের চেয়ে কেবল কার্যকারিতার দিক থেকেই বেশি উপযোগী। এটি ঠিকাদারদের জন্য বেসিক ইন্টারনেট অ্যাক্সেস প্রদান করতে পারে, কিন্তু এটি GDPR-সম্মত মার্কেটিং সম্মতি ক্যাপচার করতে পারে না, সোশ্যাল লগইন সহ ব্র্যান্ডেড স্প্ল্যাশ পেজ চালাতে পারে না, অথবা Salesforce-এর মতো CRM প্ল্যাটফর্মগুলিতে ভিজিটর ডেটা পাঠাতে পারে না। Purple ঠিক এই শূন্যতাটুকুই পূরণ করে।

Purple হলো একটি হার্ডওয়্যার-অ্যাগনস্টিক ক্লাউড ওভারলে। এটি আপনার বিদ্যমান WiFi অবকাঠামোর উপরে কাজ করে, যার মধ্যে রয়েছে Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme এবং Fortinet। Purple মূলত গেস্ট এক্সপেরিয়েন্স লেয়ারটি পরিচালনা করে। যখন কোনো ভিজিটর আপনার গেস্ট SSID-এর সাথে সংযুক্ত হয়, তখন Purple একটি ব্র্যান্ডেড Captive Portal প্রদর্শন করে। এই পোর্টালটি Facebook, Google বা LinkedIn-এর মাধ্যমে সোশ্যাল লগইন, কাস্টম ডেটা ক্যাপচার ফর্ম এবং Passpoint-এর মতো সহজ বিকল্পগুলি অফার করে।

প্রতিটি লগইনে স্পষ্ট ও সচেতন-পছন্দের অপ্ট-ইন সহ ফার্স্ট-পার্টি ডেটা ক্যাপচার করা হয়। Purple তার অ্যানালিটিক্স ইঞ্জিনের মাধ্যমে এই ডেটা প্রসেস করে, ফুটফল হিটম্যাপ এবং ভিজিটর ডেমোগ্রাফিক্স তৈরি করে এবং তারপর এটি সরাসরি আপনার মার্কেটিং স্ট্যাকে প্রেরণ করে। Purple ৮০,০০০+ লাইভ ভেন্যুতে কাজ করে এবং ২০২৪ সালে ৪৪০ মিলিয়ন লগইন প্রসেস করেছে। আমাদের ISO 27001 সার্টিফিকেশন রয়েছে এবং আমরা GDPR ও CCPA মেনে চলি, যা ৯৯.৯৯৯% আপটাইম সহ এন্টারপ্রাইজ-গ্রেড স্থিতিশীলতা নিশ্চিত করে। বাণিজ্যিক সুবিধাগুলি সম্পর্কে আরও বিস্তারিত জানতে, আমাদের WiFi Analytics প্ল্যাটফর্ম ওভারভিউ দেখুন।

architecture_overview.png

আর্কিটেকচারাল সহাবস্থান

আপনি যখন SSID গুলিকে আলাদা করবেন, তখন আর্কিটেকচারটি অত্যন্ত সহজ হয়ে যায়। আপনি একই অ্যাক্সেস পয়েন্টে দুটি বা তিনটি SSID চালান। এই ডিজাইনের বিস্তারিত বিশ্লেষণের জন্য, Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi পড়ুন।

কর্পোরেট SSID-টি 802.1X সহ WPA3-Enterprise ব্যবহার করে এবং ISE হলো RADIUS সার্ভার। ISE ডিভাইসটিকে সঠিক VLAN-এ অ্যাসাইন করে এবং পলিসি প্রয়োগ করে। এখানে Purple-এর কোনো ভূমিকা নেই।

গেস্ট SSID-টি প্রাথমিক অ্যাসোসিয়েশনের জন্য একটি ওপেন নেটওয়ার্ক বা প্রি-শেয়ার্ড কী সহ WPA3-Personal ব্যবহার করে। ট্রাফিক Purple-এর ক্লাউড পোর্টালে রিডাইরেক্ট করা হয়। Purple অথেন্টিকেশন, সম্মতি ক্যাপচার এবং অ্যানালিটিক্স পরিচালনা করে। Purple অথরাইজেশন সিগন্যাল না দেওয়া পর্যন্ত অ্যাক্সেস পয়েন্টটি একটি ওয়াল্ড গার্ডেন প্রয়োগ করে, তারপর ইন্টারনেট অ্যাক্সেস চালু করে। এখানে ISE-এর কোনো ভূমিকা নেই।

পয়েন্ট-অফ-সেল টার্মিনালের মতো ভেন্যু IoT ডিভাইসগুলির জন্য, Purple-এর SecurePass ফিচারটি আইডেন্টিটি প্রি-শেয়ার্ড কী (iPSK) পরিচালনা করতে পারে, অথবা ISE কর্পোরেট IoT পরিচালনা করতে পারে।

comparison_chart.png

ইমপ্লিমেন্টেশন গাইড

Cisco ISE-এর পাশাপাশি Purple স্থাপন করতে আপনার ওয়্যারলেস LAN কন্ট্রোলার বা ক্লাউড ড্যাশবোর্ডগুলির যত্নশীল কনফিগারেশন প্রয়োজন।

ধাপ ১: SSID সেগমেন্টেশন

কর্পোরেট এবং গেস্ট ট্রাফিকের জন্য আলাদা SSID তৈরি করুন। কর্পোরেট SSID-কে WPA3-Enterprise-এর জন্য কনফিগার করুন এবং RADIUS অথেন্টিকেশন আপনার Cisco ISE নোডগুলিতে নির্দেশ করুন। গেস্ট SSID-কে MAC ফিল্টারিং বা WPA3-Personal সহ ওপেন অ্যাক্সেসের জন্য কনফিগার করুন।

ধাপ ২: VLAN আইসোলেশন

লেয়ার টু-তে গেস্ট ট্রাফিক যাতে কর্পোরেট ট্রাফিক থেকে আইসোলেটেড থাকে তা নিশ্চিত করুন। গেস্ট SSID-কে অবশ্যই একটি ডেডিকেটেড VLAN-এ ম্যাপ করতে হবে যা অভ্যন্তরীণ রাউটিং টেবিলকে বাইপাস করে সরাসরি ইন্টারনেট ফায়ারওয়ালে রাউট করে। ISE পলিসির ওপর ভিত্তি করে কর্পোরেট SSID-এর জন্য VLAN অ্যাসাইনমেন্ট কার্যকর করে।

ধাপ ৩: Walled Garden কনফিগারেশন

গেস্ট SSID-এর জন্য, Captive Portal রিডাইরেক্টিকে Purple-এর ক্লাউড ইনফ্রাস্ট্রাকচারের দিকে নির্দেশ করতে কনফিগার করুন। DNS এবং HTTP/HTTPS ট্রাফিককে Purple-এর প্রয়োজনীয় IP রেঞ্জ এবং ডোমেনগুলিতে অ্যাক্সেস দেওয়ার জন্য আপনাকে অবশ্যই আপনার অ্যাক্সেস পয়েন্টগুলিতে walled garden (প্রি-অথেন্টিকেশন ACL) কনফিগার করতে হবে। walled garden যদি খুব বেশি সীমাবদ্ধ হয়, তবে Captive Portal লোড হতে ব্যর্থ হবে।

ধাপ ৪: গেস্ট WiFi-এর জন্য RADIUS ইন্টিগ্রেশন

গেস্ট SSID-এর জন্য Purple-এর RADIUS সার্ভারগুলি ব্যবহার করতে আপনার ওয়্যারলেস কন্ট্রোলারটি কনফিগার করুন। এটি Purple-কে ব্যবহারকারীকে অথেন্টিকেট করতে এবং সেশনের সময়কাল ও ব্যান্ডউইথ ব্যবহার ট্র্যাক করতে সাহায্য করে।

সেরা অনুশীলনসমূহ

১. একই SSID-তে গেস্ট এবং কর্পোরেট ট্রাফিক কখনও মিশ্রিত করবেন না। এটি উল্লেখযোগ্য নিরাপত্তা এবং কমপ্লায়েন্স ঝুঁকি তৈরি করে। সর্বদা আইসোলেটেড VLAN-এ ম্যাপ করা ডেডিকেটেড SSID ব্যবহার করুন। ২. কমার্শিয়াল গেস্ট অ্যাক্সেসের জন্য Purple ব্যবহার করুন। আপনার যদি মার্কেটিং অ্যানালিটিক্স, CRM ইন্টিগ্রেশন বা ব্র্যান্ডেড সোশ্যাল লগইন-এর প্রয়োজন হয়, তবে ISE-এর বিল্ট-ইন গেস্ট পোর্টাল ব্যবহার করবেন না। ৩. টায়ার্ড ব্যান্ডউইথ প্রয়োগ করুন। গেস্ট SSID-এ একটি ফ্রি, বেসলাইন পরিষেবা অফার করুন, এবং Purple-এর Connect, Capture, বা Engage প্ল্যান ব্যবহার করে উচ্চতর গতির জন্য একটি প্রিমিয়াম, পেইড অপশন অফার করুন। ৪. Passpoint-এর সুবিধা নিন। বারবার Captive Portal না দেখেই ফিরে আসা গেস্টদের স্বয়ংক্রিয়ভাবে এবং নিরাপদে কানেক্ট করার অনুমতি দিতে Purple-এর মাধ্যমে Passpoint (Hotspot 2.0) ব্যবহার করুন।

ট্রাবলশুটিং ও ঝুঁকি প্রশমন

  • Captive Portal লোড হতে ব্যর্থ হচ্ছে: এটি প্রায় সব সময়ই একটি walled garden সংক্রান্ত সমস্যা। আপনার Cisco হার্ডওয়্যারের প্রি-অথেন্টিকেশন ACL-এ সমস্ত প্রয়োজনীয় Purple ডোমেন এবং IP অ্যাড্রেস অনুমোদিত কিনা তা যাচাই করুন।
  • গেস্ট ডিভাইসগুলি অভ্যন্তরীণ রিসোর্স অ্যাক্সেস করছে: এটি VLAN আইসোলেশনের ব্যর্থতা নির্দেশ করে। গেস্ট VLAN যাতে ফায়ারওয়াল বা কোর সুইচ লেয়ারে কর্পোরেট সাবনেটগুলিতে রাউট করতে না পারে তা যাচাই করুন।
  • RADIUS টাইমআউট: ওয়্যারলেস কন্ট্রোলার যদি Purple-এর RADIUS সার্ভারগুলিতে পৌঁছাতে না পারে, তবে গেস্ট অথেন্টিকেশন ব্যর্থ হবে। আপনার ফায়ারওয়াল যাতে Purple-এর ইনফ্রাস্ট্রাকচারে আউটবাউন্ড UDP পোর্ট ১৮১২ এবং ১৮১৩ অনুমোদন করে তা নিশ্চিত করুন।

ROI এবং ব্যবসায়িক প্রভাব

guest experience management থেকে network access control cisco ise-কে আলাদা করার ব্যবসায়িক প্রভাব অত্যন্ত তাৎপর্যপূর্ণ। Purple-এ গেস্ট WiFi-এর দায়িত্ব হস্তান্তর করার মাধ্যমে, IT টিমগুলো অস্থায়ী অ্যাকাউন্ট পরিচালনা এবং পোর্টালের সমস্যা সমাধানের অপারেশনাল চাপ কমাতে পারে।

আরও গুরুত্বপূর্ণভাবে, Purple গেস্ট নেটওয়ার্ককে একটি রাজস্ব-উৎপাদনকারী সম্পদে পরিণত করে। ফার্স্ট-পার্টি ডেটা সংগ্রহ করে এবং এটিকে CRM প্ল্যাটফর্মের সাথে একীভূত করে, ভেন্যুগুলো অত্যন্ত লক্ষ্যযুক্ত মার্কেটিং ক্যাম্পেইন পরিচালনা করতে পারে। উদাহরণস্বরূপ, Harrods তাদের লয়্যালটি প্রোগ্রামের সাইন-আপ বাড়াতে তাদের স্প্ল্যাশ পেজে একটি সাধারণ প্রশ্ন ব্যবহার করেছিল, যা সরাসরি শুধুমাত্র সেই দল থেকেই ৩ গুণ ROI অর্জনে অবদান রেখেছিল। AGS Airports স্তরভিত্তিক ব্যান্ডউইথ প্রয়োগ করে ৮৪২% return on investment দেখতে পেয়েছে। সুরক্ষার জন্য Cisco ISE এবং এনগেজমেন্টের জন্য Purple-এর সমন্বয় মনের শান্তি এবং পরিমাপযোগ্য বাণিজ্যিক মূল্য উভয়ই প্রদান করে।

关键定义

网络准入控制 (NAC)

一种安全架构,它限制符合合规要求且经过身份验证的端点设备对网络的可达性。Cisco ISE 是一种 NAC 平台。

IT 团队使用 NAC 来阻止未经授权的设备访问企业数据。

IEEE 802.1X

一个基于端口的网络准入控制的 IEEE 标准,为希望连接到 LAN 或 WLAN 的设备提供身份验证机制。

由 Cisco ISE 使用,通过证书或凭证而非共享密码来保护企业 SSID 的安全。

Captive Portal

公共访问网络用户在获得访问权限之前,必须查看并进行交互的网页。

Purple 提供高度可定制的 Captive Portal,以收集营销许可和第一方数据。

VLAN (虚拟局域网)

一个逻辑子网,它将来自不同物理局域网的设备集合进行分组。

对于将宾客流量(由 Purple 管理)与企业流量(由 ISE 管理)进行分离至关重要。

Walled Garden (围墙花园)

一种受限环境,可在用户完全通过身份验证之前,控制其对 Web 内容和服务的访问。

必须在 Cisco 硬件上正确配置,以允许设备访问 Purple 的服务器来加载 Captive Portal。

RADIUS

远程用户拨号认证系统。一种提供集中式身份验证、授权和计费(AAA)管理的网络协议。

ISE 和 Purple 都使用 RADIUS,但用途不同:ISE 用于 802.1X 企业级访问,Purple 用于客用会话计费。

Passpoint (Hotspot 2.0)

一种使移动设备能够安全地自动发现并连接到 Wi-Fi 网络而无需人工干预的标准。

Purple 支持 Passpoint,以便为再次到访的宾客提供无缝的、类似于蜂窝网络的漫游体验。

pxGrid

平台交换网格(Platform Exchange Grid)。一个 Cisco 框架,可实现多厂商、跨平台的网络系统协同工作。

允许 Purple 与 Cisco ISE 生态系统共享客用会话上下文,以实现统一的安全可视性。

应用实例

一家拥有 200 间客房的酒店需要为后台员工(客房服务、管理层)提供安全的 WiFi,并为酒店宾客提供具有品牌特色、可收集数据的 WiFi 体验。他们目前使用 Cisco Catalyst 接入点。

部署两个 SSID。“Hotel_Corp”使用 WPA3-Enterprise。Cisco ISE 作为 RADIUS 服务器,通过 EAP-TLS 证书对员工设备进行身份验证,并将其分配到管理 VLAN。“Hotel_Guest”使用开放式 SSID 并重定向到 Purple。Purple 呈现品牌化的 Captive Portal,提供社交媒体登录或 PMS 集成。宾客流量被放置在一个隔离的 VLAN 中,直接路由到互联网。

考官评语: 这种方法完美地实现了关注点分离。ISE 确保企业资产安全,而 Purple 则处理为酒店营销团队收集宾客数据的商业需求。VLAN 隔离确保了 PCI DSS 合规性。

一家大型零售连锁店希望利用其现有的 Cisco Meraki 基础设施,在 50 家门店中跟踪顾客客流量和驻留时间,同时不危及其内部销售终端(POS)网络的安全。

POS 终端连接到一个由 WPA3-Enterprise 和 Cisco ISE 保护的隐藏 SSID。为顾客广播一个公共的“Free_Store_WiFi” SSID。Meraki 控制面板配置为通过 API 与 Purple 集成。Purple 从探测设备中获取匿名化的存在数据以生成热力图,并在顾客登录 Captive Portal 时获取明确的第一方数据。

考官评语: 将 Purple 的云端覆盖与 Meraki 结合使用,无需新增硬件。该零售连锁店获得了深度的分析和营销数据,同时 ISE 确保 POS 网络保持锁定状态并符合合规要求。

练习题

Q1. 您的营销总监希望收集在零售店中使用访客 WiFi 的顾客的电子邮件地址和人口统计数据。网络工程团队建议启用现有 Cisco ISE 部署中内置的访客门户功能。这是否是正确的方法?

提示:对比 ISE 访客门户与专用覆盖平台(overlay platform)的商业功能。

查看标准答案

不是。Cisco ISE 访客门户旨在进行功能性访问管理(例如针对承包商),而非商业营销。它缺乏原生的 CRM 集成、GDPR 合规同意管理工作流以及详细的访客分析。正确的方法是在访客 SSID 上部署 Purple 来处理数据捕获和分析,同时让 ISE 继续管理企业网络。

Q2. 访客连接到由 Purple 管理的 SSID,但其浏览器显示超时错误,而不是 Captive Portal 登录页面。使用 ISE 管理的 SSID 的企业用户未受影响。最可能的原因是什么?

提示:思考在 Captive Portal 网络上完成身份验证之前必须发生什么。

查看标准答案

最可能的原因是无线接入点或控制器上的围墙花园(预认证 ACL)配置错误。设备在尝试访问 Purple 的云基础设施以加载门户时被阻止。您必须确保已将特定的 Purple 域名和 IP 范围列入白名单。

Q3. 您正在为新的企业总部设计网络。您需要支持员工笔记本电脑、员工个人手机(BYOD)以及来访客户。您应该如何构建 SSID 和身份验证架构?

提示:根据设备所有权和所需的访问级别对人群进行分类。

查看标准答案

部署两个 SSID。企业 SSID 使用 WPA3-Enterprise。Cisco ISE 处理员工笔记本电脑的 802.1X 身份验证,并管理员工 BYOD 设备的证书注册,将其分配到内部 VLAN。访客 SSID 保持开放并重定向到 Purple。Purple 处理来访客户的 Captive Portal 身份验证,将其放置在隔离的仅互联网 VLAN 中。

继续阅读本系列

Server RADIUS:面向企业的全面指南

本指南为 IT 经理、网络架构师和 CTO 提供关于企业 WiFi 的 server RADIUS 身份验证的权威技术参考。它涵盖了 AAA 框架、802.1X 架构、EAP 方法选择、云端与本地部署的权衡以及动态 VLAN 分配。酒店、零售、活动和公共部门的场所运营商将获得可行的实施指导、真实案例研究以及从不安全的预共享密钥迁移到安全的、身份驱动的网络访问控制架构所需的决策框架。

阅读指南 →

Aruba ClearPass vs. Purple WiFi: 比较功能与协同部署

一份全面的技术指南,详细介绍了 Aruba ClearPass 和 Purple WiFi 的协同部署架构。内容涵盖 RADIUS 代理配置、动态 VLAN 分配,以及在企业级 NAC 旁部署安全且由数据分析驱动的访客网络的最佳实践。

阅读指南 →

EAP-TLS 与 EAP-TTLS:您应该选择哪种基于证书的 WiFi 协议?

本指南针对 IEEE 802.1X 下的企业 WiFi 身份验证,对 EAP-TLS 和 EAP-TTLS 进行了权威的直接对比。它解释了双向证书身份验证与仅服务器证书隧道之间的架构差异,并根据设备管理能力和合规要求为 IT 经理、网络架构师和 CISO 提供了清晰的决策框架。Purple 在员工 WiFi 中同时支持 EAP-TLS 和 EAP-TTLS 身份验证路径,本指南旨在帮助组织在确定采用哪种方案之前了解基础设施的权衡取舍。

阅读指南 →