跳至主要內容
繁體中文

Cisco ISE 與 Purple WiFi:如何比較及協同工作

本指南說明 Cisco ISE 與 Purple WiFi 如何在企業網路中扮演不同但互補的角色。它詳細介紹了如何使用 Cisco ISE 進行安全的 802.1X 企業存取,同時利用 Purple 進行符合 GDPR 規範的訪客 WiFi、行銷分析和 CRM 整合。

📖 6 分鐘閱讀📝 1,259 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
您是一位高階網路安全顧問,正以自信、權威且談話式的口吻向客戶進行簡報。請清晰且從容不迫地說明,如同向由 IT 總監和網路架構師組成的董事會進行簡報。這是一場專業的技術簡報,而非授課: 歡迎來到 Purple 技術簡報系列。今天我們要探討一個在企業網路設計中經常出現的問題:Cisco ISE 與 Purple WiFi 的比較。它們有何不同?更重要的是,它們如何協同工作?我將在十分鐘內為您提供最直接的解答。 [medium pause] 讓我們從背景脈絡開始。如果您經營的是飯店、零售物業、體育場館或公共部門建築,您的網路幾乎肯定有兩種不同的群體在進行連線。一邊是員工和企業設備,另一邊則是訪客、遊客、球迷或顧客。這兩個群體擁有完全不同的身分驗證需求、不同的資料權益以及不同的業務目標。大多數企業常犯的錯誤是企圖用單一工具來解決這兩個問題。這正是對 Cisco ISE 與 Purple 產生混淆的根源。 [medium pause] 第一部分:Cisco ISE 究竟能做什麼。 Cisco Identity Services Engine(簡稱 ISE)是 Cisco 的企業網路存取控制(Network Access Control)平台。其職責是針對企業設備與員工用戶進行身分驗證與授權。這主要是透過基於連接埠的網路存取控制標準 IEEE 802.1X 來實現。當企業筆記型電腦連線至您的網路時,ISE 會透過 EAP-TLS 檢查其憑證,或透過 PEAP 檢查其憑證,並向 Active Directory 或 Microsoft Entra ID 進行驗證、評估其安全狀態,然後為其分配至帶有正確原則的正確 VLAN。如果設備未通過狀態評估,ISE 可以使用 RADIUS 授權變更(Change of Authorisation,簡稱 CoA)自動將其隔離。 ISE 還能處理 BYOD(攜帶自有設備)配置,將個人設備註冊憑證,以便在沒有共用密碼的情況下進行安全身分驗證。此外,它還能與 Cisco 的 pxGrid 架構整合,讓防火牆和 SIEM 平台等其他安全工具能夠取得即時的身分識別上下文資訊。 ISE 的三種授權方案分別是 Essentials、Advantage 和 Premier。Essentials 涵蓋 802.1X 和基本訪客存取。Advantage 增加了 BYOD、狀態評估以及第三方 MDM 整合。Premier 則增加了被動身分識別服務與進階威脅整合。 [medium pause] 因此,ISE 是一個嚴謹、企業級的安全平台。但關鍵點在於:它的訪客入口網站是功能導向的,而非商業導向。ISE 可以將未經授權的裝置重導向至網頁、收集使用者名稱與密碼或保證人審批,並授予網際網路存取權限。但它無法做到的是:收集符合 GDPR 的行銷同意、運行帶有社群登入的品牌展示頁面、將訪客數據匯入 Salesforce 或 HubSpot、生成人流量熱圖,或針對行銷活動按人口統計特徵對訪客進行細分。這不是 ISE 的設計初衷,試圖將其擴展到該角色只會增加複雜性,而無法帶來商業成效。 您是一位資深網路安全顧問,正在以自信、權威且口語化的口吻繼續進行技術簡報。請清晰且節奏適中地發言。請以標準公認發音(RP)的英式英語發言: 第二部分:Purple 的功能。 Purple 是一個雲端覆蓋平台。我們架設在您現有的 WiFi 基礎架構之上,無論是 Cisco Meraki、Cisco Catalyst、HPE Aruba、Ruckus、Juniper Mist 還是任何其他主要廠商。我們不取代您的硬體。我們不取代 ISE。我們處理的是訪客體驗層。 當訪客連線到您的訪客 SSID 時,Purple 會攔截該連線並呈現品牌化的 Captive Portal。該入口網站可以提供透過 Facebook、Google 或 LinkedIn 的社群登入、自訂數據收集表單、一鍵連線選項,或用於在再次造訪時自動安全重連的 Passpoint。每次登入都會在獲得明確 GDPR 同意的情況下收集第一方數據。這些數據會直接流入您的 CRM、電子郵件行銷平台或會員忠誠度計劃。 Purple 在全球 80,000 個實體場域運作,僅在 2024 年就處理了 4.4 億次登入。我們擁有 ISO 27001 認證、符合 GDPR 和 CCPA 規範,並維持 99.999% 的可用性。知名客戶包括麥當勞(McDonald's)、哈洛德百貨(Harrods)、Premier Inn、AGS Airports 以及曼徹斯特機場集團(Manchester Airports Group)。 [中度停頓] 第三部分:它們如何在現代網路拓撲中共存。 一旦您理解了「關注點分離」的概念,架構就變得非常簡單。您在相同的無線基地台(AP)上運行兩個或三個 SSID。企業 SSID 使用支援 802.1X 的 WPA3-Enterprise,而 ISE 則是 RADIUS 伺服器。每部員工裝置都使用憑證或認證資訊進行身分驗證。ISE 會將裝置分配到正確的 VLAN、套用正確的策略並記錄工作階段。Purple 在此不扮演任何角色。這完全是 ISE 的領域。 訪客 SSID 是開放的,或使用帶有預先共用金鑰的 WPA3-Personal 進行初始關聯。流量會被重導向至 Purple 的雲端入口網站。Purple 負責處理身分驗證、同意收集和分析。在 Purple 發出授權訊號之前,無線基地台會執行圍牆花園(walled garden)限制,隨後開啟網際網路存取。ISE 在此不扮演任何角色。這完全是 Purple 的領域。 對於更複雜的部署,您可以針對 IoT 裝置新增第三個 SSID,並使用身分預先共用金鑰(iPSK),讓每個裝置獲得對應至特定 VLAN 的唯一密碼。ISE 可以為企業 IoT 管理此功能,而 Purple 的 SecurePass 功能則可為場域 IoT(例如銷售點終端機和數位看板)處理此功能。 如果您希望兩個平台之間有更緊密的整合,Cisco 的 pxGrid 可讓 Purple 將訪客工作階段登入資訊發布到 ISE 生態系統中,如此一來,您的安全維運團隊就能在統一檢視中同時查看訪客活動與企業活動。 [medium pause] 第四部分:實施建議與常見陷阱。 讓我為您介紹我在部署中常看見的三個最常見錯誤。 第一:將 ISE 內建的訪客入口網站用於商業訪客 WiFi。ISE 的訪客入口網站是為承包商和臨時員工設計的,而非為行銷導向的訪客存取而設計。它沒有 CRM 整合、沒有同意管理,也沒有分析功能。如果您從事餐飲旅宿業、零售業或活動產業,您需要在訪客 SSID 上使用 Purple。ISE 處理企業,Purple 處理訪客。請將它們分開。 第二:未正確分割 VLAN。訪客流量必須在第二層與企業流量隔離。Purple 在獨立的 VLAN 中運作,直接路由至網際網路,無法存取內部資源。ISE 則強制執行企業裝置的 VLAN 指派。如果您將這些混為一談,將會產生安全漏洞與合規性問題。 第三:忽略 walled garden(圍牆花園)設定。當 Purple 作為 Captive Portal 時,無線基地台必須在驗證前允許 DNS 和 HTTP 流量傳送至 Purple 的雲端端點。如果您的 walled garden 限制太嚴格,入口網站將無法載入。如果太寬鬆,使用者則可以繞過驗證。Purple 的支援文件提供了每個硬體廠商需要加入白名單的確切 IP 範圍和網域。 [medium pause] 第五部分:快速問答。 Purple 是否取代 Cisco ISE?否。它們在不同的 SSID 上為不同的使用者解決不同的問題。 我可以在沒有 ISE 的情況下在 Cisco Meraki 上執行 Purple 嗎?可以。Purple 透過 Meraki API 與 Cisco Meraki 進行原生整合。訪客 WiFi 不需要 ISE。 我可以在相同的無線基地台上執行這兩者嗎?可以。在相同的硬體上使用多個 SSID 是標準做法。 Purple 是否支援 802.1X?Purple 的 SecurePass 功能支援搭配 802.1X 的 WPA3-Enterprise,適用於已安裝 Purple 應用程式的訪客裝置,無需 Captive Portal 即可實現自動、基於憑證的重新連線。 那 PCI DSS 合規性呢?訪客 WiFi 必須與付款卡系統隔離。Purple 的 VLAN 架構符合此要求。ISE 對企業裝置強制執行相同的隔離。 [medium pause] 總結與後續步驟。 決策架構非常簡單。如果裝置屬於您的組織或員工,則由 ISE 負責驗證。如果裝置屬於顧客、訪客、消費者或粉絲,則由 Purple 負責體驗。這兩個平台共享相同的實體基礎架構,但在完全獨立的邏輯層中運作。 接下來,請規劃您目前的 SSID 架構。識別哪些 SSID 屬於企業,哪些屬於訪客。確認訪客流量已進行 VLAN 隔離。然後評估您目前的訪客入口網站是否提供了商業團隊所需的行銷同意、分析和 CRM 整合。如果沒有,這正是 Purple 可以填補的差距。 您可以在 purple.ai 找到完整的手冊、架構圖和操作範例。感謝您的撥冗閱讀。

header_image.png

নির্বাহী সারাংশ

এন্টারপ্রাইজ নেটওয়ার্ক আর্কিটেকচার কর্পোরেট নিরাপত্তা এবং বাণিজ্যিক অতিথি যুক্ততার মধ্যে উদ্বেগের একটি স্পষ্ট বিভাজনের দাবি রাখে। যখন cisco ise বনাম purple wifi মূল্যায়ন করা হয়, তখন অনেক আইটি লিডার যে ভুলটি করেন তা হলো এগুলোকে প্রতিদ্বন্দ্বী প্ল্যাটফর্ম হিসেবে দেখা। তারা তা নয়। Cisco Identity Services Engine (ISE) হলো সুরক্ষিত কর্মী এবং কর্পোরেট ডিভাইসের জন্য একটি নির্ভরযোগ্য Network Access Control (NAC) এবং 802.1X পলিসি ইঞ্জিন। Purple হলো একটি ক্লাউড-ভিত্তিক ওভারলে প্ল্যাটফর্ম যা গেস্ট Captive Portals, ভিজিটর মার্কেটিং সম্মতি এবং অপারেশনাল অ্যানালিটিক্স পরিচালনা করে।

বাণিজ্যিক মার্কেটিংয়ের জন্য Cisco ISE-কে একটি cisco ise guest portal alternative হিসেবে কাজ করতে বাধ্য করার চেষ্টা অপ্রয়োজনীয় জটিলতা তৈরি করে এবং কার্যকর ডেটা প্রদান করতে ব্যর্থ হয়। বিপরীতভাবে, Cisco ISE-এর পাশাপাশি Purple WiFi স্থাপন করা হলে প্রতিটি প্ল্যাটফর্মকে তাদের নিজস্ব সেরা কাজটি করতে দেয়। মূল এন্টারপ্রাইজ নিরাপত্তা নীতিগুলো Cisco ISE-এর ওপর রেখে, জটিল গেস্ট এক্সপেরিয়েন্স লজিক অফলোড করতে Purple নেটিভভাবে Cisco ইনফ্রাস্ট্রাকচারের সাথে একীভূত হয়। এই নির্দেশিকায় আলোচনা করা হয়েছে কীভাবে তারা একটি আধুনিক এন্টারপ্রাইজ নেটওয়ার্ক টপোলজিতে সহাবস্থান করে, যা খুচরা ব্যবসা , আতিথেয়তা এবং বড় পাবলিক ভেন্যুগুলোর জন্য বাস্তবায়নযোগ্য স্থাপনা কৌশল প্রদান করে।

টেকনিক্যাল ডিপ-ডাইভ

Cisco ISE-এর ভূমিকা: কর্পোরেট নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল

এন্টারপ্রাইজ NAC-এর জন্য Cisco ISE হলো গোল্ড স্ট্যান্ডার্ড। এর প্রাথমিক কাজ হলো কর্পোরেট নেটওয়ার্কের সাথে সংযুক্ত পরিচিত ডিভাইস এবং ব্যবহারকারীদের প্রমাণীকরণ (authenticate) এবং অনুমোদন (authorise) করা। এটি মূলত পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল স্ট্যান্ডার্ড IEEE 802.1X-এর ওপর নির্ভর করে।

যখন একটি কর্পোরেট ল্যাপটপ কোনো সুইচ পোর্ট বা কোনো কর্পোরেট SSID-এর সাথে সংযোগ স্থাপন করে, তখন ISE একটি RADIUS সার্ভার হিসেবে কাজ করে। এটি Active Directory বা Microsoft Entra ID-এর বিপরীতে EAP-TLS-এর মাধ্যমে ডিভাইসের সার্টিফিকেট অথবা PEAP-এর মাধ্যমে ব্যবহারকারীর শংসাপত্র যাচাই করে। এরপর ISE ডিভাইসের সিকিউরিটি পশ্চার (security posture) মূল্যায়ন করে। ডিভাইসটি নিয়ম মেনে চললে, ISE এটিকে সঠিক VLAN-এ বরাদ্দ করে এবং উপযুক্ত সিকিউরিটি গ্রুপ ট্যাগ (SGT) প্রয়োগ করে। যদি ডিভাইসটি পশ্চার মূল্যায়নে ব্যর্থ হয়, তবে ISE RADIUS Change of Authorisation (CoA) ব্যবহার করে এটিকে কোয়ারেন্টাইন করতে পারে। ক্লায়েন্ট কনফিগারেশন সম্পর্কে আরও বিশদ ধারণার জন্য, আমাদের 802.1X Supplicant কী? ক্লায়েন্ট ধরণ এবং ডিভাইস কনফিগারেশন নির্দেশিকাটি পর্যালোচনা করুন। ISE এছাড়াও Bring Your Own Device (BYOD) অনবোর্ডিং পরিচালনা করে, যেখানে নিরাপদ এবং পাসওয়ার্ড-মুক্ত অ্যাক্সেসের জন্য সার্টিফিকেট সহ ব্যক্তিগত ডিভাইসগুলি নথিভুক্ত করা হয়। উপরন্তু, এটি Cisco-এর pxGrid ফ্রেমওয়ার্কের সাথে সংহত হয়, যা ফায়ারওয়াল এবং SIEM প্ল্যাটফর্মগুলিকে রিয়েল-টাইম আইডেন্টিটি কনটেক্সট ব্যবহার করতে দেয়। ISE তিনটি স্তরে লাইসেন্সপ্রাপ্ত: Essentials, Advantage, এবং Premier, যা বেসিক 802.1X থেকে অ্যাডভান্সড থ্রেট ইন্টিগ্রেশন পর্যন্ত স্কেল করে।

Purple-এর ভূমিকা: গেস্ট এক্সপেরিয়েন্স এবং অ্যানালিটিক্স

যদিও ISE কর্পোরেট অ্যাসেটগুলি সুরক্ষিত করতে পারদর্শী, তবে এর বিল্ট-ইন গেস্ট পোর্টালটি বাণিজ্যিক ব্যবহারের চেয়ে কেবল কার্যকারিতার দিক থেকেই বেশি উপযোগী। এটি ঠিকাদারদের জন্য বেসিক ইন্টারনেট অ্যাক্সেস প্রদান করতে পারে, কিন্তু এটি GDPR-সম্মত মার্কেটিং সম্মতি ক্যাপচার করতে পারে না, সোশ্যাল লগইন সহ ব্র্যান্ডেড স্প্ল্যাশ পেজ চালাতে পারে না, অথবা Salesforce-এর মতো CRM প্ল্যাটফর্মগুলিতে ভিজিটর ডেটা পাঠাতে পারে না। Purple ঠিক এই শূন্যতাটুকুই পূরণ করে।

Purple হলো একটি হার্ডওয়্যার-অ্যাগনস্টিক ক্লাউড ওভারলে। এটি আপনার বিদ্যমান WiFi অবকাঠামোর উপরে কাজ করে, যার মধ্যে রয়েছে Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme এবং Fortinet। Purple মূলত গেস্ট এক্সপেরিয়েন্স লেয়ারটি পরিচালনা করে। যখন কোনো ভিজিটর আপনার গেস্ট SSID-এর সাথে সংযুক্ত হয়, তখন Purple একটি ব্র্যান্ডেড Captive Portal প্রদর্শন করে। এই পোর্টালটি Facebook, Google বা LinkedIn-এর মাধ্যমে সোশ্যাল লগইন, কাস্টম ডেটা ক্যাপচার ফর্ম এবং Passpoint-এর মতো সহজ বিকল্পগুলি অফার করে।

প্রতিটি লগইনে স্পষ্ট ও সচেতন-পছন্দের অপ্ট-ইন সহ ফার্স্ট-পার্টি ডেটা ক্যাপচার করা হয়। Purple তার অ্যানালিটিক্স ইঞ্জিনের মাধ্যমে এই ডেটা প্রসেস করে, ফুটফল হিটম্যাপ এবং ভিজিটর ডেমোগ্রাফিক্স তৈরি করে এবং তারপর এটি সরাসরি আপনার মার্কেটিং স্ট্যাকে প্রেরণ করে। Purple ৮০,০০০+ লাইভ ভেন্যুতে কাজ করে এবং ২০২৪ সালে ৪৪০ মিলিয়ন লগইন প্রসেস করেছে। আমাদের ISO 27001 সার্টিফিকেশন রয়েছে এবং আমরা GDPR ও CCPA মেনে চলি, যা ৯৯.৯৯৯% আপটাইম সহ এন্টারপ্রাইজ-গ্রেড স্থিতিশীলতা নিশ্চিত করে। বাণিজ্যিক সুবিধাগুলি সম্পর্কে আরও বিস্তারিত জানতে, আমাদের WiFi Analytics প্ল্যাটফর্ম ওভারভিউ দেখুন।

architecture_overview.png

আর্কিটেকচারাল সহাবস্থান

আপনি যখন SSID গুলিকে আলাদা করবেন, তখন আর্কিটেকচারটি অত্যন্ত সহজ হয়ে যায়। আপনি একই অ্যাক্সেস পয়েন্টে দুটি বা তিনটি SSID চালান। এই ডিজাইনের বিস্তারিত বিশ্লেষণের জন্য, Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi পড়ুন।

কর্পোরেট SSID-টি 802.1X সহ WPA3-Enterprise ব্যবহার করে এবং ISE হলো RADIUS সার্ভার। ISE ডিভাইসটিকে সঠিক VLAN-এ অ্যাসাইন করে এবং পলিসি প্রয়োগ করে। এখানে Purple-এর কোনো ভূমিকা নেই।

গেস্ট SSID-টি প্রাথমিক অ্যাসোসিয়েশনের জন্য একটি ওপেন নেটওয়ার্ক বা প্রি-শেয়ার্ড কী সহ WPA3-Personal ব্যবহার করে। ট্রাফিক Purple-এর ক্লাউড পোর্টালে রিডাইরেক্ট করা হয়। Purple অথেন্টিকেশন, সম্মতি ক্যাপচার এবং অ্যানালিটিক্স পরিচালনা করে। Purple অথরাইজেশন সিগন্যাল না দেওয়া পর্যন্ত অ্যাক্সেস পয়েন্টটি একটি ওয়াল্ড গার্ডেন প্রয়োগ করে, তারপর ইন্টারনেট অ্যাক্সেস চালু করে। এখানে ISE-এর কোনো ভূমিকা নেই।

পয়েন্ট-অফ-সেল টার্মিনালের মতো ভেন্যু IoT ডিভাইসগুলির জন্য, Purple-এর SecurePass ফিচারটি আইডেন্টিটি প্রি-শেয়ার্ড কী (iPSK) পরিচালনা করতে পারে, অথবা ISE কর্পোরেট IoT পরিচালনা করতে পারে।

comparison_chart.png

ইমপ্লিমেন্টেশন গাইড

Cisco ISE-এর পাশাপাশি Purple স্থাপন করতে আপনার ওয়্যারলেস LAN কন্ট্রোলার বা ক্লাউড ড্যাশবোর্ডগুলির যত্নশীল কনফিগারেশন প্রয়োজন।

ধাপ ১: SSID সেগমেন্টেশন

কর্পোরেট এবং গেস্ট ট্রাফিকের জন্য আলাদা SSID তৈরি করুন। কর্পোরেট SSID-কে WPA3-Enterprise-এর জন্য কনফিগার করুন এবং RADIUS অথেন্টিকেশন আপনার Cisco ISE নোডগুলিতে নির্দেশ করুন। গেস্ট SSID-কে MAC ফিল্টারিং বা WPA3-Personal সহ ওপেন অ্যাক্সেসের জন্য কনফিগার করুন।

ধাপ ২: VLAN আইসোলেশন

লেয়ার টু-তে গেস্ট ট্রাফিক যাতে কর্পোরেট ট্রাফিক থেকে আইসোলেটেড থাকে তা নিশ্চিত করুন। গেস্ট SSID-কে অবশ্যই একটি ডেডিকেটেড VLAN-এ ম্যাপ করতে হবে যা অভ্যন্তরীণ রাউটিং টেবিলকে বাইপাস করে সরাসরি ইন্টারনেট ফায়ারওয়ালে রাউট করে। ISE পলিসির ওপর ভিত্তি করে কর্পোরেট SSID-এর জন্য VLAN অ্যাসাইনমেন্ট কার্যকর করে।

ধাপ ৩: Walled Garden কনফিগারেশন

গেস্ট SSID-এর জন্য, Captive Portal রিডাইরেক্টিকে Purple-এর ক্লাউড ইনফ্রাস্ট্রাকচারের দিকে নির্দেশ করতে কনফিগার করুন। DNS এবং HTTP/HTTPS ট্রাফিককে Purple-এর প্রয়োজনীয় IP রেঞ্জ এবং ডোমেনগুলিতে অ্যাক্সেস দেওয়ার জন্য আপনাকে অবশ্যই আপনার অ্যাক্সেস পয়েন্টগুলিতে walled garden (প্রি-অথেন্টিকেশন ACL) কনফিগার করতে হবে। walled garden যদি খুব বেশি সীমাবদ্ধ হয়, তবে Captive Portal লোড হতে ব্যর্থ হবে।

ধাপ ৪: গেস্ট WiFi-এর জন্য RADIUS ইন্টিগ্রেশন

গেস্ট SSID-এর জন্য Purple-এর RADIUS সার্ভারগুলি ব্যবহার করতে আপনার ওয়্যারলেস কন্ট্রোলারটি কনফিগার করুন। এটি Purple-কে ব্যবহারকারীকে অথেন্টিকেট করতে এবং সেশনের সময়কাল ও ব্যান্ডউইথ ব্যবহার ট্র্যাক করতে সাহায্য করে।

সেরা অনুশীলনসমূহ

১. একই SSID-তে গেস্ট এবং কর্পোরেট ট্রাফিক কখনও মিশ্রিত করবেন না। এটি উল্লেখযোগ্য নিরাপত্তা এবং কমপ্লায়েন্স ঝুঁকি তৈরি করে। সর্বদা আইসোলেটেড VLAN-এ ম্যাপ করা ডেডিকেটেড SSID ব্যবহার করুন। ২. কমার্শিয়াল গেস্ট অ্যাক্সেসের জন্য Purple ব্যবহার করুন। আপনার যদি মার্কেটিং অ্যানালিটিক্স, CRM ইন্টিগ্রেশন বা ব্র্যান্ডেড সোশ্যাল লগইন-এর প্রয়োজন হয়, তবে ISE-এর বিল্ট-ইন গেস্ট পোর্টাল ব্যবহার করবেন না। ৩. টায়ার্ড ব্যান্ডউইথ প্রয়োগ করুন। গেস্ট SSID-এ একটি ফ্রি, বেসলাইন পরিষেবা অফার করুন, এবং Purple-এর Connect, Capture, বা Engage প্ল্যান ব্যবহার করে উচ্চতর গতির জন্য একটি প্রিমিয়াম, পেইড অপশন অফার করুন। ৪. Passpoint-এর সুবিধা নিন। বারবার Captive Portal না দেখেই ফিরে আসা গেস্টদের স্বয়ংক্রিয়ভাবে এবং নিরাপদে কানেক্ট করার অনুমতি দিতে Purple-এর মাধ্যমে Passpoint (Hotspot 2.0) ব্যবহার করুন।

ট্রাবলশুটিং ও ঝুঁকি প্রশমন

  • Captive Portal লোড হতে ব্যর্থ হচ্ছে: এটি প্রায় সব সময়ই একটি walled garden সংক্রান্ত সমস্যা। আপনার Cisco হার্ডওয়্যারের প্রি-অথেন্টিকেশন ACL-এ সমস্ত প্রয়োজনীয় Purple ডোমেন এবং IP অ্যাড্রেস অনুমোদিত কিনা তা যাচাই করুন।
  • গেস্ট ডিভাইসগুলি অভ্যন্তরীণ রিসোর্স অ্যাক্সেস করছে: এটি VLAN আইসোলেশনের ব্যর্থতা নির্দেশ করে। গেস্ট VLAN যাতে ফায়ারওয়াল বা কোর সুইচ লেয়ারে কর্পোরেট সাবনেটগুলিতে রাউট করতে না পারে তা যাচাই করুন।
  • RADIUS টাইমআউট: ওয়্যারলেস কন্ট্রোলার যদি Purple-এর RADIUS সার্ভারগুলিতে পৌঁছাতে না পারে, তবে গেস্ট অথেন্টিকেশন ব্যর্থ হবে। আপনার ফায়ারওয়াল যাতে Purple-এর ইনফ্রাস্ট্রাকচারে আউটবাউন্ড UDP পোর্ট ১৮১২ এবং ১৮১৩ অনুমোদন করে তা নিশ্চিত করুন।

ROI এবং ব্যবসায়িক প্রভাব

guest experience management থেকে network access control cisco ise-কে আলাদা করার ব্যবসায়িক প্রভাব অত্যন্ত তাৎপর্যপূর্ণ। Purple-এ গেস্ট WiFi-এর দায়িত্ব হস্তান্তর করার মাধ্যমে, IT টিমগুলো অস্থায়ী অ্যাকাউন্ট পরিচালনা এবং পোর্টালের সমস্যা সমাধানের অপারেশনাল চাপ কমাতে পারে।

আরও গুরুত্বপূর্ণভাবে, Purple গেস্ট নেটওয়ার্ককে একটি রাজস্ব-উৎপাদনকারী সম্পদে পরিণত করে। ফার্স্ট-পার্টি ডেটা সংগ্রহ করে এবং এটিকে CRM প্ল্যাটফর্মের সাথে একীভূত করে, ভেন্যুগুলো অত্যন্ত লক্ষ্যযুক্ত মার্কেটিং ক্যাম্পেইন পরিচালনা করতে পারে। উদাহরণস্বরূপ, Harrods তাদের লয়্যালটি প্রোগ্রামের সাইন-আপ বাড়াতে তাদের স্প্ল্যাশ পেজে একটি সাধারণ প্রশ্ন ব্যবহার করেছিল, যা সরাসরি শুধুমাত্র সেই দল থেকেই ৩ গুণ ROI অর্জনে অবদান রেখেছিল। AGS Airports স্তরভিত্তিক ব্যান্ডউইথ প্রয়োগ করে ৮৪২% return on investment দেখতে পেয়েছে। সুরক্ষার জন্য Cisco ISE এবং এনগেজমেন্টের জন্য Purple-এর সমন্বয় মনের শান্তি এবং পরিমাপযোগ্য বাণিজ্যিক মূল্য উভয়ই প্রদান করে।

關鍵定義

網路存取控制 (NAC)

一種限制合規且已驗證之端點裝置存取網路的安全性架構。Cisco ISE 即是一個 NAC 平台。

IT 團隊使用 NAC 來防止未授權的裝置存取企業數據。

IEEE 802.1X

一種基於連接埠的網路存取控制 IEEE 標準,為希望連線到 LAN 或 WLAN 的裝置提供驗證機制。

Cisco ISE 使用它來透過憑證或認證資訊(而非共用密碼)來保護企業 SSID。

Captive Portal

公共存取網路的使用者在獲准存取前,必須瀏覽並與之互動的網頁。

Purple 提供高度可客製化的 Captive Portal,用以收集行銷同意與第一方數據。

VLAN (虛擬區域網路)

一種邏輯子網路,可將來自不同實體 LAN 的裝置群組在一起。

對於將訪客流量(由 Purple 管理)與企業流量(由 ISE 管理)進行隔離至關重要。

Walled Garden (圍牆花園)

一種限制性環境,在使用者完全通過驗證之前,控制其對網頁內容和服務的存取。

必須在 Cisco 硬體上進行正確設定,以允許裝置連線至 Purple 的伺服器來載入 Captive Portal。

RADIUS

遠端用戶撥入驗證服務。一種提供集中化驗證、授權和計費管理(AAA)的網路協定。

ISE 和 Purple 都使用 RADIUS,但用途不同:ISE 用於 802.1X 企業存取,Purple 用於訪客工作階段計費。

Passpoint (Hotspot 2.0)

一種使行動裝置能夠在無使用者介入的情況下,自動安全地探索並連線到 Wi-Fi 網路的標準。

Purple 支援 Passpoint,為回訪訪客提供無縫、類似行動網路的漫遊體驗。

pxGrid

平台交換網格(Platform Exchange Grid)。一個 Cisco 架構,可實現多廠商、跨平台的網路系統協作。

允許 Purple 與 Cisco ISE 生態系統共享訪客工作階段內容,以實現統一的安全能見度。

範例

一間擁有 200 間客房的飯店需要為後勤員工(房務、管理人員)提供安全的 WiFi,並為飯店訪客提供具備品牌形象與數據擷取功能的 WiFi 體驗。他們目前使用 Cisco Catalyst 基地台。

部署兩個 SSID。"Hotel_Corp" 使用 WPA3-Enterprise。Cisco ISE 作為 RADIUS 伺服器,透過 EAP-TLS 憑證對員工裝置進行驗證,並將其指派至管理 VLAN。"Hotel_Guest" 使用開放式 SSID 並重新導向至 Purple。Purple 呈現客製化的品牌 Captive Portal,提供社群登入或 PMS 整合。訪客流量則被分配到直接路由至網際網路的隔離 VLAN。

考官評語: 此方法完美地劃分了權責。ISE 保護了企業資產,而 Purple 則滿足了為飯店行銷團隊擷取訪客數據的商業需求。VLAN 隔離可確保符合 PCI DSS 規範。

一家大型連鎖零售商希望在不損害其內部銷售時點情報系統(POS)網路安全的前提下,利用現有的 Cisco Meraki 基礎架構,追蹤 50 家分店的顧客人流量和停留時間。

POS 終端機連線至由 WPA3-Enterprise 和 Cisco ISE 保護的隱藏 SSID。針對顧客,則廣播一個公開的 "Free_Store_WiFi" SSID。Meraki 控制面板設定為透過 API 與 Purple 整合。Purple 從探測裝置中擷取匿名化的存在數據以產生熱圖,並在顧客登入 Captive Portal 時擷取明確的第一方數據。

考官評語: 搭配 Meraki 使用 Purple 的雲端疊加方案不需要任何新硬體。該零售連鎖店可獲得深入的分析與行銷數據,而 ISE 則可確保 POS 網路保持鎖定且合規。

練習題

Q1. 您的行銷總監希望從在零售店中使用訪客 WiFi 的顧客那裡收集電子郵件地址和人口統計資料。網路工程團隊建議啟用現有 Cisco ISE 部署中內建的 Guest Portal 功能。這是否為正確的做法?

提示:請考慮 ISE Guest Portal 與專用覆蓋平台(overlay platform)在商業功能上的差異。

查看標準答案

否。Cisco ISE Guest Portal 是專為功能性存取(例如承包商)而設計,而非商業行銷。它缺乏原生 CRM 整合、GDPR 同意管理工作流程以及詳細的訪客分析。正確的做法是在訪客 SSID 上實作 Purple 來處理資料收集和分析,同時讓 ISE 繼續管理企業網路。

Q2. 訪客連線到 Purple 管理的 SSID,但其瀏覽器顯示逾時錯誤,而不是 Captive Portal 認證頁面。而使用 ISE 管理的 SSID 的企業使用者則不受影響。最可能的原因是什麼?

提示:思考在 Captive Portal 網路上完成驗證之前必須發生什麼事。

查看標準答案

最可能的原因是無線基地台或控制器上設定了不正確的 Walled Garden(預先驗證 ACL)。該裝置在載入入口網站時,連線至 Purple 雲端基礎架構的存取被阻擋。您必須確保特定的 Purple 網域和 IP 範圍已列入白名單。

Q3. 您正在為新的企業總部設計網路。您需要支援員工筆電、員工個人手機 (BYOD) 以及來訪的客戶。您應該如何規劃 SSID 與驗證架構?

提示:根據裝置所有權和所需的存取權限級別來區分使用者群組。

查看標準答案

部署兩個 SSID。企業 SSID 使用 WPA3-Enterprise。Cisco ISE 處理員工筆電的 802.1X 驗證,並管理員工 BYOD 裝置的憑證註冊,將其分配到內部 VLAN。訪客 SSID 則是開放的,並重新導向至 Purple。Purple 負責處理來訪客戶的 Captive Portal 驗證,並將其放置在隔離的僅限網際網路 VLAN 中。

繼續閱讀本系列

Server RADIUS: a comprehensive guide for businesses

本指南為 IT 經理、網路架構師和 CTO 提供企業級 WiFi 的 Server RADIUS 驗證權威技術參考。內容涵蓋 AAA 架構、802.1X 架構、EAP 方法選擇、雲端與地端部署權衡,以及動態 VLAN 分配。飯店、零售、活動和公共部門等場域營運商將能在此獲得實用的實作指南、真實案例研究,以及從不安全的預共用金鑰移轉至安全、識別導向之網路存取控制架構所需的決策框架。

閱讀指南 →

Aruba ClearPass vs. Purple WiFi: 比較功能與協同部署

一份詳盡的技術指南,深入剖析 Aruba ClearPass 與 Purple WiFi 的協同部署架構。內容涵蓋 RADIUS 代理設定、動態 VLAN 分配,以及在企業級網路存取控制(NAC)旁,提供安全且具備分析功能的訪客網路之最佳實踐。

閱讀指南 →

EAP-TLS 對決 EAP-TTLS:您應該選擇哪種基於憑證的 Wi-Fi 協定?

本指南針對 IEEE 802.1X 架構下的企業級 Wi-Fi 驗證,對 EAP-TLS 與 EAP-TTLS 進行了權威的全面對比。它解釋了雙向憑證驗證與僅伺服器憑證通道之間的架構差異,並為 IT 經理、網路架構師和 CISO 提供了一個基於裝置管理能力和合規要求的清晰決策框架。Purple 支援員工 Wi-Fi 的 EAP-TLS 和 EAP-TTLS 驗證路徑,本指南可協助企業在決定採用任一方法之前,了解基礎設施的權衡取捨。

閱讀指南 →