Cisco ISE 對比 Purple WiFi:兩者如何比較與協同工作
本指南說明 Cisco ISE 與 Purple WiFi 如何在企業網路中扮演不同但互補的角色。內容詳細介紹了如何使用 Cisco ISE 進行安全的 802.1X 企業存取,同時利用 Purple 進行符合 GDPR 規範的訪客 WiFi、行銷分析以及 CRM 整合。
收聽此指南
查看播客逐字稿

執行摘要
企業網路架構要求在企業安全與商業訪客互動之間進行清晰的職責分離。在評估 Cisco ISE 與 Purple WiFi 時,許多 IT 主管常犯的錯誤是將它們視為競爭平台。其實不然。Cisco Identity Services Engine (ISE) 是用於保護員工和企業設備安全的安全網絡存取控制 (NAC) 以及 802.1X 策略引擎的業界標準。Purple 則是一個基於雲端的覆蓋平台,專為處理訪客 Captive Portals、訪客行銷同意書和營運分析而構建。
企圖強迫 Cisco ISE 作為 cisco ise guest portal alternative 來進行商業行銷會引入不必要的複雜性,且無法提供具實用價值的數據。相反地,在 Cisco ISE 旁邊部署 Purple WiFi 可以讓每個平台發揮其所長。Purple 與 Cisco 基礎設施進行原生整合,以分擔複雜的訪客體驗邏輯,同時將核心企業安全策略留給 Cisco ISE。本指南詳細分析了它們在現代企業網路拓撲中的共存方式,為 零售 、 旅宿 和大型公共場所提供實用的部署策略。
技術深度剖析
Cisco ISE 的角色:企業網路存取控制
Cisco ISE 是企業 NAC 的黃金標準。其主要功能是驗證並授權連接到企業網路的已知設備和使用者,主要依賴基於連接埠的網路存取控制標準 IEEE 802.1X。
當企業筆記型電腦連接到交換器連接埠或企業 SSID 時,ISE 將作為 RADIUS 伺服器。它會透過 EAP-TLS 驗證設備憑證,或透過 PEAP 對照 Active Directory 或 Microsoft Entra ID 驗證使用者憑證。接著,ISE 會評估該設備的安全狀態。如果合規,ISE 會分配正確的 VLAN 並套用適當的安全群組標籤 (SGT)。如果設備未通過狀態評估,ISE 可以使用 RADIUS 授權變更 (CoA) 對其進行隔離。若要深入瞭解用戶端配置,請參閱我們的指南 什麼是 802.1X Supplicant?用戶端類型與設備配置 。 ISE 還管理員工自攜設備 (BYOD) 註冊,將個人設備註冊憑證以實現安全且免密碼的存取。此外,它與 Cisco 的 pxGrid 架構整合,允許防火牆和 SIEM 平台利用即時身份內容。ISE 授權分為三個級別:Essentials、Advantage 和 Premier,從基礎的 802.1X 擴展到進階威脅整合。
Purple 的角色:訪客體驗與分析
雖然 ISE 擅長保護企業資產,但其內建的訪客入口網站更偏向實用性而非商業性。它可以為承包商提供基本的網際網路存取,但無法收集符合 GDPR 規範的行銷同意、執行帶有社群登入的品牌展示網頁,或將訪客數據推送到 Salesforce 等 CRM 平台。Purple 正好填補了這一空白。
Purple 是一個與硬體無關的雲端重疊網路。它運行在您現有的 WiFi 基礎架構之上,包括 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。Purple 基本上主導了訪客體驗層。當訪客連接到您的訪客 SSID 時,Purple 會呈現一個品牌化的 Captive Portal。此入口網站提供透過 Facebook、Google 或 LinkedIn 的社群登入、自訂數據收集表單以及 Passpoint 等無縫選項。
每次登入都會透過明確的主動選擇同意來收集第一方數據。Purple 透過其分析引擎處理這些數據,建立人流熱圖和訪客客群特徵,然後將其直接推送到您的行銷工具組合中。Purple 在全球 80,000 多個實體場域運行,並在 2024 年處理了 4.4 億次登入。我們擁有 ISO 27001 認證並符合 GDPR 和 CCPA,以 99.999% 的可用性確保企業級的穩定性。欲深入了解商業效益,請參閱我們的 WiFi Analytics 平台概述。

架構共存
當您將 SSID 分開時,架構會變得非常簡單。您在同一個無線基地台上運行兩到三個 SSID。欲了解此設計的詳細分解,請閱讀 三個 SSID 搞定一切:訪客、Passpoint 和 IoT WiFi 。
企業 SSID 使用帶有 802.1X 的 WPA3-Enterprise,而 ISE 是 RADIUS 伺服器。ISE 將設備分配到正確的 VLAN 並執行策略。Purple 在此不參與任何工作。
訪客 SSID 使用開放網路進行初始關聯,或使用帶有預先共用金鑰的 WPA3-Personal。流量會被重定向到 Purple 的雲端入口網站。Purple 管理驗證、同意收集和分析。無線基地台會執行圍牆花園 (walled garden) 限制,直到 Purple 發出授權訊號後,才會啟用網際網路存取。ISE 在此不扮演任何角色。
對於場域的 IoT 設備(例如 POS 終端機),Purple 的 SecurePass 功能可以管理 iPSK,或者由 ISE 來管理企業 IoT。

實作指南
將 Purple 與 Cisco ISE 協同部署需要仔細設定您的無線 LAN 控制器或雲端儀表板。
步驟 1:SSID 分段
為企業與訪客流量建立獨立的 SSID。將企業 SSID 設定為 WPA3 - Enterprise,並將 RADIUS 驗證指向您的 Cisco ISE 節點。將訪客 SSID 設定為開放存取,並搭配 MAC 過濾或 WPA3 - Personal。
步驟 2:VLAN 隔離
確保訪客流量在第 2 層與企業流量隔離。訪客 SSID 必須對應到專用的 VLAN,該 VLAN 會繞過內部路由表並直接路由到網際網路防火牆。ISE 則會根據策略強制執行企業 SSID 的 VLAN 分配。
步驟 3:圍牆花園(Walled Garden)設定
針對訪客 SSID,設定 Captive Portal 重導向以指向 Purple 的雲端基礎架構。您必須在存取點上設定圍牆花園(預先授權 ACL),以允許 DNS 和 HTTP/HTTPS 流量傳送到 Purple 所需的 IP 範圍和網域。如果圍牆花園限制過於嚴格,Captive Portal 將無法載入。
步驟 4:訪客 WiFi 的 RADIUS 整合
設定您的無線控制器,使訪客 SSID 使用 Purple 的 RADIUS 伺服器。這可讓 Purple 授權使用者並追蹤工作階段持續時間與頻寬使用情況。
最佳實踐
- 切勿在同一個 SSID 上混合訪客與企業流量。 這會帶來重大的安全性與合規性風險。請務必使用對應到隔離 VLAN 的專用 SSID。
- 使用 Purple 進行商業訪客存取。 如果您需要行銷分析、CRM 整合或品牌社群登入,請勿使用 ISE 內建的訪客入口網站。
- 實施分級頻寬。 在訪客 SSID 上提供免費的基本服務,並使用 Purple 的 Connect、Capture 或 Engage 方案為更高速度提供付費的高級選項。
- 利用 Passpoint。 透過 Purple 使用 Passpoint(Hotspot 2.0),讓再次到訪的訪客能自動且安全地連線,而無需重複看到 Captive Portal。
疑難排解與風險緩釋
- Captive Portal 無法載入: 這幾乎總是圍牆花園的問題。請驗證您 Cisco 硬體的預先驗證 ACL 中是否已允許所有必要的 Purple 網域和 IP 地址。
- 訪客設備正在存取內部資源: 這表示 VLAN 隔離失敗。請驗證訪客 VLAN 無法在防火牆或核心交換器層路由到企業子網路。
- RADIUS 超時: 如果無線控制器無法連線至 Purple 的 RADIUS 伺服器,訪客驗證將會失敗。請確保您的防火牆允許輸出 UDP 連接埠 1812 與 1813 至 Purple 的基礎架構。
投資報酬率(ROI)與商業影響
將網路存取控制 Cisco ISE 與訪客體驗管理進行分離,其帶來的商業影響極為顯著。透過將訪客 WiFi 的管理職責卸載至 Purple,IT 團隊可以減輕管理臨時帳戶與排查 Portal 頁面問題的營運負擔。
更重要的是,Purple 能將訪客網路轉化為創造營收的資產。藉由收集第一方數據並將其與 CRM 平台整合,場域營運方可以執行高度精準的行銷活動。例如,Harrods 百貨在其歡迎頁面(splash page)上使用了一個簡單的問題,成功推動了其會員計劃的註冊率,單是該客群就直接帶來了 3 倍的 ROI。AGS Airports 則透過實施分級頻寬,獲得了 842% 的投資報酬率。將用於安全防護的 Cisco ISE 與用於互動參與的 Purple 結合,不僅能讓人高枕無憂,更能帶來可衡量的商業價值。
關鍵定義
網路存取控制 (NAC)
一種限制網路可用性,僅允許合規且通過驗證之端點裝置存取的安全架構。Cisco ISE 是一個 NAC 平台。
IT 團隊使用 NAC 來防止未授權的裝置存取企業數據。
IEEE 802.1X
一種用於基於連接埠之網路存取控制的 IEEE 標準,為希望連線到 LAN 或 WLAN 的裝置提供驗證機制。
Cisco ISE 用於使用憑證或認證資訊(而非共用密碼)來保護企業 SSID 的安全。
Captive Portal
公共存取網路的使用者在獲得存取權限之前,必須查看並進行互動的網頁。
Purple 提供高度可自訂的 Captive Portal,用以收集行銷同意聲明與第一方數據。
VLAN (虛擬區域網路)
將來自不同實體區域網路的裝置集合進行分組的邏輯子網路。
對於將訪客流量(由 Purple 管理)與企業流量(由 ISE 管理)進行隔離至關重要。
Walled Garden
在使用者完全通過驗證之前,控制其存取網頁內容與服務的限制環境。
必須在 Cisco 硬體上正確設定,以允許裝置連線到 Purple 的伺服器來載入 Captive Portal。
RADIUS
遠端驗證撥號使用者服務。一種提供集中化驗證、授權和帳務計費管理的網路協定。
ISE 與 Purple 都使用 RADIUS,但用途不同:ISE 用於 802.1X 企業存取,Purple 用於訪客工作階段帳務計費。
Passpoint (Hotspot 2.0)
一種使行動裝置能夠在無需使用者干預的情況下,自動發現並安全連接到 WiFi 網路的標準。
Purple 支援 Passpoint,為再次造訪的訪客提供無縫、類似行動網路的漫遊體驗。
pxGrid
平台交換網格。一個 Cisco 架構,可實現多廠商、跨平台的網路系統協作。
允許 Purple 與 Cisco ISE 生態系統共用訪客工作階段內容,以實現統一的安全可視性。
範例
一家擁有 200 間客房的飯店需要為後勤員工(房務、管理)提供安全的 WiFi,並為飯店訪客提供具備品牌形象與數據收集功能的 WiFi 體驗。他們目前使用 Cisco Catalyst 基地台。
部署兩個 SSID。「Hotel_Corp」使用 WPA3 企業版。Cisco ISE 作為 RADIUS 伺服器,透過 EAP-TLS 憑證對員工裝置進行驗證,並將其分配至管理 VLAN。「Hotel_Guest」則使用重新導向至 Purple 的開放 SSID。Purple 呈現品牌專屬的 Captive Portal,提供社群登入或 PMS 整合。訪客流量則被放置在一個直接路由至網際網路的隔離 VLAN 上。
一家大型連鎖零售商希望在不損害其內部銷售點(POS)網路安全的情況下,利用現有的 Cisco Meraki 基礎設施追蹤 50 家分店的顧客人流量與停留時間。
POS 終端機連接到由 WPA3 企業版和 Cisco ISE 保護的隱藏 SSID。針對顧客則廣播一個公開的「Free_Store_WiFi」SSID。Meraki 管理後台設定為透過 API 與 Purple 整合。Purple 從探測裝置中收集匿名化的定位數據以產生熱圖,並在顧客登入 Captive Portal 時收集明確的第一方數據。
練習題
Q1. 您的行銷總監希望從零售店內使用訪客 WiFi 的顧客中收集電子郵件地址和人口統計數據。網路工程團隊建議啟用現有 Cisco ISE 部署中內建的訪客入口網站功能。這是否為正確的方法?
提示:考慮 ISE 訪客入口網站與專用重疊平台(overlay platform)在商業功能上的差異。
查看標準答案
否。Cisco ISE 訪客入口網站是專為功能性存取(例如:承包商)而設計,而非商業行銷。它缺乏原生 CRM 整合、GDPR 同意管理工作流程以及詳細的訪客分析。正確的方法是在訪客 SSID 上實作 Purple 來處理數據收集和分析,同時讓 ISE 繼續管理企業網路。
Q2. 訪客連接到 Purple 管理的 SSID,但其瀏覽器顯示逾時錯誤,而不是 Captive Portal 登入頁面。而使用 ISE 管理的 SSID 的企業用戶則不受影響。最可能的原因是什麼?
提示:思考在 Captive Portal 網路完成驗證之前必須發生什麼事。
查看標準答案
最可能的原因是無線基地台或控制器上設定了不正確的 Walled Garden(驗證前 ACL)。裝置被阻擋而無法連線至 Purple 的雲端基礎架構以載入入口網站。您必須確保已將特定的 Purple 網域和 IP 範圍列入白名單。
Q3. 您正在為新的企業總部設計網路。您需要支援員工筆記型電腦、員工個人手機(BYOD)以及來訪的客戶。您應該如何架構 SSID 和驗證?
提示:根據裝置所有權和所需的存取權限級別來區分使用者群體。
查看標準答案
部署兩個 SSID。企業 SSID 使用 WPA3-Enterprise。Cisco ISE 處理員工筆記型電腦的 802.1X 驗證,並管理員工 BYOD 裝置的憑證註冊,將其分配至內部 VLAN。訪客 SSID 則是開放的,並重導向至 Purple。Purple 處理訪客客戶的 Captive Portal 驗證,將他們置於隔離且僅限網際網路的 VLAN 中。
繼續閱讀本系列
為訪客與員工 WiFi 網路配置 RADIUS 驗證
本技術參考指南概述了企業訪客和員工 WiFi 網路的 RADIUS 驗證架構、配置與部署。它為網路架構師和 IT 經理提供了構建安全、可擴展的無線存取控制系統所需的確切協定、安全標準與疑難排解方法。
Passpoint and OpenRoaming: 完整指南
本技術參考指南針對企業 WiFi 網路中的 Passpoint (Hotspot 2.0) 和 WBA OpenRoaming 架構提供全面分析。內容詳述了建立安全、無摩擦的訪客連線所需的底層驗證協定、架構元件和部署策略。網路架構師和 IT 領導者將學習如何設計、實作這些標準並進行疑難排解,以便在維持企業級安全性的同時,消除手動登入的障礙。
如何在大專院校實施 SCEP 以實現安全的 BYOD 與網路註冊
本技術指南為網路架構師和 IT 經理提供了一個與廠商無關的藍圖,用於部署基於 SCEP 的憑證註冊,以保護大專院校校園網路的安全。它詳細介紹了如何從基於密碼的 PEAP 遷移到 802.1X EAP-TLS、自動化 BYOD 註冊,以及實施強大的 VLAN 區隔。