跳至主要內容

Cisco ISE 對比 Purple WiFi:兩者如何比較與協同工作

本指南說明 Cisco ISE 與 Purple WiFi 如何在企業網路中扮演不同但互補的角色。內容詳細介紹了如何使用 Cisco ISE 進行安全的 802.1X 企業存取,同時利用 Purple 進行符合 GDPR 規範的訪客 WiFi、行銷分析以及 CRM 整合。

📖 6 分鐘閱讀📝 1,259 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
您是一位資深的網路安全顧問,正以自信、權威且口語化的英式英語向客戶進行簡報。請清晰且從容不迫地發言,就像在向 IT 總監和網路架構師組成的董事會進行簡報一樣。這是一場專業的技術簡報,而不是一堂課。請以標準英式發音(RP 腔調)發言: 歡迎收看 Purple 技術簡報系列。今天我們要探討一個在企業網路設計中經常出現的問題:Cisco ISE 與 Purple WiFi 的對決。兩者該如何比較?更重要的是,它們該如何協同運作?我將在接下來的大約十分鐘內為您提供最直接的答案。 [medium pause] 讓我們從背景脈絡開始。如果您經營的是飯店、零售物業、體育場館或公共部門建築,您的網路中幾乎肯定有兩種截然不同的群體在進行連接。您有員工與企業裝置,同時也有顧客、訪客、球迷或購物者。這兩種群體有著完全不同的驗證需求、不同的資料權限以及不同的業務目標。大多數組織犯的錯誤,就是試圖用單一工具來解決這兩個問題。這就是對 Cisco ISE 和 Purple 之間產生混淆的來源。 [medium pause] 第一部分:Cisco ISE 的實際功能。 Cisco Identity Services Engine(簡稱 ISE)是 Cisco 的企業網路存取控制(Network Access Control)平台。它的職責是驗證和授權企業裝置及員工使用者。這主要是透過 IEEE 802.1X(基於連接埠的網路存取控制標準)來實現。當企業筆記型電腦連線到您的網路時,ISE 會透過 EAP-TLS 檢查其憑證,或透過 PEAP 檢查其憑證,並比對 Active Directory 或 Microsoft Entra ID 進行驗證,評估其安全狀態,然後為其分配具有正確策略的正確 VLAN。如果裝置未能通過狀態評估,ISE 可以使用 RADIUS 授權變更(簡稱 CoA)自動將其隔離。 ISE 還能處理 BYOD 註冊,將個人裝置註冊憑證,以便在沒有共享密碼的情況下進行安全驗證。它還與 Cisco 的 pxGrid 架構整合,允許防火牆和 SIEM 平台等其他安全工具取用即時的身分識別內容。 這三種 ISE 授權級別分別為 Essentials、Advantage 和 Premier。Essentials 涵蓋 802.1X 和基本訪客存取。Advantage 增加了 BYOD、狀態評估以及第三方 MDM 整合。Premier 則增加了被動身分識別服務和進階威脅整合。 [medium pause] 所以 ISE 是一個嚴謹的企業級安全平台。但關鍵點在於:它的訪客入口網站是功能導向,而非商業導向。ISE 可以將未經身分驗證的裝置重導向至網頁、收集使用者名稱與密碼或保證人審批,並授予網際網路存取權限。但它無法做到的,是擷取符合 GDPR 規範的行銷同意書、執行具有社群登入功能的品牌 Splash 頁面、將訪客資料匯入 Salesforce 或 HubSpot、產生人流熱圖,或依人口統計資料對訪客進行區隔以進行行銷活動。這並非 ISE 的設計初衷,試圖將其擴展到該角色只會增加複雜性,而無法帶來商業成果。 您是一位資深網路安全顧問,正在以自信、權威且口語的語調進行英式英語的技術簡報。請清晰且步調沉穩地發言。請以標準英式發音(RP 腔調)的英式英語發言: 第二部分:Purple 的功能。 Purple 是一個雲端重疊平台。我們建置在您現有的 WiFi 基礎架構之上,無論是 Cisco Meraki、Cisco Catalyst、HPE Aruba、Ruckus、Juniper Mist 還是任何其他主要廠商。我們不取代您的硬體。我們不取代 ISE。我們處理的是訪客體驗層。 當訪客連線到您的訪客 SSID 時,Purple 會攔截該連線並呈現品牌專屬的 Captive Portal。該入口網站可以提供透過 Facebook、Google 或 LinkedIn 的社群登入、自訂資料擷取表單、一鍵連線選項,或用於在日後造訪時自動安全重新連線的 Passpoint。每次登入都會在取得明確 GDPR 同意的情況下擷取第一方資料。這些資料會直接流向您的 CRM、電子郵件行銷平台或會員忠誠度計畫。 Purple 在全球 80,000 個實體場域運作,僅在 2024 年就處理了 4.4 億次登入。我們擁有 ISO 27001 認證,符合 GDPR 與 CCPA 規範,並維持 99.999% 的正常執行時間。知名客戶包括麥當勞、Harrods、Premier Inn、AGS Airports 以及 Manchester Airports Group。 [中頓] 第三部分:它們如何在現代網路拓撲中並存。 一旦您理解了關注點分離,架構就會變得非常簡單。您在相同的存取點上執行兩到三個 SSID。企業 SSID 使用 WPA3 企業版搭配 802.1X,而 ISE 是 RADIUS 伺服器。每個員工裝置都使用憑證或認證進行身分驗證。ISE 會將裝置分配到正確的 VLAN、套用正確的原則,並記錄該工作階段。Purple 在此處不扮演任何角色。這完全是 ISE 的領域。 訪客 SSID 是開放的,或使用 WPA3 個人版搭配預先共用金鑰進行初始關聯。流量會重導向至 Purple 的雲端入口網站。Purple 處理身分驗證、同意書擷取與分析。存取點會強制執行圍牆花園(Walled Garden),直到 Purple 發出授權訊號,然後開放網際網路存取。ISE 在此處不扮演任何角色。這完全是 Purple 的領域。 對於更複雜的部署,您可以為 IoT 裝置新增第三個 SSID,並使用身分預共用金鑰(iPSK),讓每個裝置獲得對應至特定 VLAN 的唯一密碼。ISE 可以為企業 IoT 管理此功能,而 Purple 的 SecurePass 功能則可為銷售終端系統和數位看板等場域 IoT 處理此功能。 如果您希望這兩個平台之間有更緊密的整合,Cisco 的 pxGrid 允許 Purple 將訪客工作階段內容發佈到 ISE 生態系統中,如此一來,您的安全營運團隊就可以在統一的檢視中,同時看到訪客活動與企業活動。 [medium pause] 第四部分:實施建議與常見陷阱。 讓我為您說明我在部署中常看到的三個最常見錯誤。 第一:將 ISE 內建的訪客入口網站用於商業訪客 WiFi。ISE 的訪客入口網站是專為承包商和臨時員工設計的,而非針對行銷導向的訪客存取。它不具備 CRM 整合、同意管理,也沒有分析功能。如果您身處旅宿業、零售業或活動產業,您需要在訪客 SSID 上使用 Purple。ISE 負責處理企業,Purple 則負責處理訪客。請將它們分開。 第二:未正確切割 VLAN。訪客流量必須在第二層與企業流量進行隔離。Purple 在獨立的 VLAN 中運作,並直接路由至網際網路,無法存取內部資源。ISE 則強制執行企業裝置的 VLAN 分配。如果您將兩者混為一談,就會產生安全漏洞與合規性問題。 第三:忽略 walled garden(圍牆花園)設定。當 Purple 作為 Captive Portal 時,無線基地台必須在驗證前允許 DNS 和 HTTP 流量傳送至 Purple 的雲端端點。如果您的 walled garden 限制太嚴格,入口網站將無法載入。如果太寬鬆,使用者則可以繞過驗證。Purple 的支援文件提供了針對每個硬體廠商需要列入白名單的確切 IP 範圍和網域。 [medium pause] 第五部分:快速問答。 Purple 是否會取代 Cisco ISE?不會。它們在不同的 SSID 上為不同的使用者解決不同的問題。 我可以在沒有 ISE 的情況下,在 Cisco Meraki 上執行 Purple 嗎?可以。Purple 透過 Meraki API 與 Cisco Meraki 進行原生整合。訪客 WiFi 不需要 ISE。 我可以在相同的無線基地台上同時執行這兩者嗎?可以。在相同硬體上執行多個 SSID 是標準做法。 Purple 支援 802.1X 嗎?Purple 的 SecurePass 功能支援 WPA3-Enterprise 搭配 802.1X,適用於安裝了 Purple 應用程式的訪客裝置,可實現無 Captive Portal 的自動、憑證式重新連線。 那 PCI-DSS 合規性呢?訪客 WiFi 必須與付款卡系統隔離。Purple 的 VLAN 架構符合此要求。ISE 則對企業裝置強制執行相同的隔離。 [medium pause] 摘要與後續步驟。 決策框架非常簡單。如果裝置屬於您的組織或員工,則由 ISE 負責進行驗證。如果裝置屬於訪客、遊客、顧客或粉絲,則由 Purple 主導其體驗。這兩個平台共享相同的實體基礎架構,但在完全不同的邏輯層運作。 接下來的步驟,請規劃您目前的 SSID 架構。識別哪些 SSID 屬於企業,哪些屬於訪客。確認訪客流量是否已進行 VLAN 隔離。然後評估您目前的訪客入口網站是否能提供業務團隊所需的行銷同意、分析以及 CRM 整合。如果無法提供,這就是 Purple 可以補足的差距。 您可以在 purple.ai 找到完整的書面指南、架構圖和實作範例。感謝您的寶貴時間。

header_image.png

執行摘要

企業網路架構要求在企業安全與商業訪客互動之間進行清晰的職責分離。在評估 Cisco ISE 與 Purple WiFi 時,許多 IT 主管常犯的錯誤是將它們視為競爭平台。其實不然。Cisco Identity Services Engine (ISE) 是用於保護員工和企業設備安全的安全網絡存取控制 (NAC) 以及 802.1X 策略引擎的業界標準。Purple 則是一個基於雲端的覆蓋平台,專為處理訪客 Captive Portals、訪客行銷同意書和營運分析而構建。

企圖強迫 Cisco ISE 作為 cisco ise guest portal alternative 來進行商業行銷會引入不必要的複雜性,且無法提供具實用價值的數據。相反地,在 Cisco ISE 旁邊部署 Purple WiFi 可以讓每個平台發揮其所長。Purple 與 Cisco 基礎設施進行原生整合,以分擔複雜的訪客體驗邏輯,同時將核心企業安全策略留給 Cisco ISE。本指南詳細分析了它們在現代企業網路拓撲中的共存方式,為 零售旅宿 和大型公共場所提供實用的部署策略。

技術深度剖析

Cisco ISE 的角色:企業網路存取控制

Cisco ISE 是企業 NAC 的黃金標準。其主要功能是驗證並授權連接到企業網路的已知設備和使用者,主要依賴基於連接埠的網路存取控制標準 IEEE 802.1X。

當企業筆記型電腦連接到交換器連接埠或企業 SSID 時,ISE 將作為 RADIUS 伺服器。它會透過 EAP-TLS 驗證設備憑證,或透過 PEAP 對照 Active Directory 或 Microsoft Entra ID 驗證使用者憑證。接著,ISE 會評估該設備的安全狀態。如果合規,ISE 會分配正確的 VLAN 並套用適當的安全群組標籤 (SGT)。如果設備未通過狀態評估,ISE 可以使用 RADIUS 授權變更 (CoA) 對其進行隔離。若要深入瞭解用戶端配置,請參閱我們的指南 什麼是 802.1X Supplicant?用戶端類型與設備配置 。 ISE 還管理員工自攜設備 (BYOD) 註冊,將個人設備註冊憑證以實現安全且免密碼的存取。此外,它與 Cisco 的 pxGrid 架構整合,允許防火牆和 SIEM 平台利用即時身份內容。ISE 授權分為三個級別:Essentials、Advantage 和 Premier,從基礎的 802.1X 擴展到進階威脅整合。

Purple 的角色:訪客體驗與分析

雖然 ISE 擅長保護企業資產,但其內建的訪客入口網站更偏向實用性而非商業性。它可以為承包商提供基本的網際網路存取,但無法收集符合 GDPR 規範的行銷同意、執行帶有社群登入的品牌展示網頁,或將訪客數據推送到 Salesforce 等 CRM 平台。Purple 正好填補了這一空白。

Purple 是一個與硬體無關的雲端重疊網路。它運行在您現有的 WiFi 基礎架構之上,包括 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。Purple 基本上主導了訪客體驗層。當訪客連接到您的訪客 SSID 時,Purple 會呈現一個品牌化的 Captive Portal。此入口網站提供透過 Facebook、Google 或 LinkedIn 的社群登入、自訂數據收集表單以及 Passpoint 等無縫選項。

每次登入都會透過明確的主動選擇同意來收集第一方數據。Purple 透過其分析引擎處理這些數據,建立人流熱圖和訪客客群特徵,然後將其直接推送到您的行銷工具組合中。Purple 在全球 80,000 多個實體場域運行,並在 2024 年處理了 4.4 億次登入。我們擁有 ISO 27001 認證並符合 GDPR 和 CCPA,以 99.999% 的可用性確保企業級的穩定性。欲深入了解商業效益,請參閱我們的 WiFi Analytics 平台概述。

architecture_overview.png

架構共存

當您將 SSID 分開時,架構會變得非常簡單。您在同一個無線基地台上運行兩到三個 SSID。欲了解此設計的詳細分解,請閱讀 三個 SSID 搞定一切:訪客、Passpoint 和 IoT WiFi

企業 SSID 使用帶有 802.1X 的 WPA3-Enterprise,而 ISE 是 RADIUS 伺服器。ISE 將設備分配到正確的 VLAN 並執行策略。Purple 在此不參與任何工作。

訪客 SSID 使用開放網路進行初始關聯,或使用帶有預先共用金鑰的 WPA3-Personal。流量會被重定向到 Purple 的雲端入口網站。Purple 管理驗證、同意收集和分析。無線基地台會執行圍牆花園 (walled garden) 限制,直到 Purple 發出授權訊號後,才會啟用網際網路存取。ISE 在此不扮演任何角色。

對於場域的 IoT 設備(例如 POS 終端機),Purple 的 SecurePass 功能可以管理 iPSK,或者由 ISE 來管理企業 IoT。

comparison_chart.png

實作指南

將 Purple 與 Cisco ISE 協同部署需要仔細設定您的無線 LAN 控制器或雲端儀表板。

步驟 1:SSID 分段

為企業與訪客流量建立獨立的 SSID。將企業 SSID 設定為 WPA3 - Enterprise,並將 RADIUS 驗證指向您的 Cisco ISE 節點。將訪客 SSID 設定為開放存取,並搭配 MAC 過濾或 WPA3 - Personal。

步驟 2:VLAN 隔離

確保訪客流量在第 2 層與企業流量隔離。訪客 SSID 必須對應到專用的 VLAN,該 VLAN 會繞過內部路由表並直接路由到網際網路防火牆。ISE 則會根據策略強制執行企業 SSID 的 VLAN 分配。

步驟 3:圍牆花園(Walled Garden)設定

針對訪客 SSID,設定 Captive Portal 重導向以指向 Purple 的雲端基礎架構。您必須在存取點上設定圍牆花園(預先授權 ACL),以允許 DNS 和 HTTP/HTTPS 流量傳送到 Purple 所需的 IP 範圍和網域。如果圍牆花園限制過於嚴格,Captive Portal 將無法載入。

步驟 4:訪客 WiFi 的 RADIUS 整合

設定您的無線控制器,使訪客 SSID 使用 Purple 的 RADIUS 伺服器。這可讓 Purple 授權使用者並追蹤工作階段持續時間與頻寬使用情況。

最佳實踐

  1. 切勿在同一個 SSID 上混合訪客與企業流量。 這會帶來重大的安全性與合規性風險。請務必使用對應到隔離 VLAN 的專用 SSID。
  2. 使用 Purple 進行商業訪客存取。 如果您需要行銷分析、CRM 整合或品牌社群登入,請勿使用 ISE 內建的訪客入口網站。
  3. 實施分級頻寬。 在訪客 SSID 上提供免費的基本服務,並使用 Purple 的 Connect、Capture 或 Engage 方案為更高速度提供付費的高級選項。
  4. 利用 Passpoint。 透過 Purple 使用 Passpoint(Hotspot 2.0),讓再次到訪的訪客能自動且安全地連線,而無需重複看到 Captive Portal。

疑難排解與風險緩釋

  • Captive Portal 無法載入: 這幾乎總是圍牆花園的問題。請驗證您 Cisco 硬體的預先驗證 ACL 中是否已允許所有必要的 Purple 網域和 IP 地址。
  • 訪客設備正在存取內部資源: 這表示 VLAN 隔離失敗。請驗證訪客 VLAN 無法在防火牆或核心交換器層路由到企業子網路。
  • RADIUS 超時: 如果無線控制器無法連線至 Purple 的 RADIUS 伺服器,訪客驗證將會失敗。請確保您的防火牆允許輸出 UDP 連接埠 1812 與 1813 至 Purple 的基礎架構。

投資報酬率(ROI)與商業影響

將網路存取控制 Cisco ISE 與訪客體驗管理進行分離,其帶來的商業影響極為顯著。透過將訪客 WiFi 的管理職責卸載至 Purple,IT 團隊可以減輕管理臨時帳戶與排查 Portal 頁面問題的營運負擔。

更重要的是,Purple 能將訪客網路轉化為創造營收的資產。藉由收集第一方數據並將其與 CRM 平台整合,場域營運方可以執行高度精準的行銷活動。例如,Harrods 百貨在其歡迎頁面(splash page)上使用了一個簡單的問題,成功推動了其會員計劃的註冊率,單是該客群就直接帶來了 3 倍的 ROI。AGS Airports 則透過實施分級頻寬,獲得了 842% 的投資報酬率。將用於安全防護的 Cisco ISE 與用於互動參與的 Purple 結合,不僅能讓人高枕無憂,更能帶來可衡量的商業價值。

關鍵定義

網路存取控制 (NAC)

一種限制網路可用性,僅允許合規且通過驗證之端點裝置存取的安全架構。Cisco ISE 是一個 NAC 平台。

IT 團隊使用 NAC 來防止未授權的裝置存取企業數據。

IEEE 802.1X

一種用於基於連接埠之網路存取控制的 IEEE 標準,為希望連線到 LAN 或 WLAN 的裝置提供驗證機制。

Cisco ISE 用於使用憑證或認證資訊(而非共用密碼)來保護企業 SSID 的安全。

Captive Portal

公共存取網路的使用者在獲得存取權限之前,必須查看並進行互動的網頁。

Purple 提供高度可自訂的 Captive Portal,用以收集行銷同意聲明與第一方數據。

VLAN (虛擬區域網路)

將來自不同實體區域網路的裝置集合進行分組的邏輯子網路。

對於將訪客流量(由 Purple 管理)與企業流量(由 ISE 管理)進行隔離至關重要。

Walled Garden

在使用者完全通過驗證之前,控制其存取網頁內容與服務的限制環境。

必須在 Cisco 硬體上正確設定,以允許裝置連線到 Purple 的伺服器來載入 Captive Portal。

RADIUS

遠端驗證撥號使用者服務。一種提供集中化驗證、授權和帳務計費管理的網路協定。

ISE 與 Purple 都使用 RADIUS,但用途不同:ISE 用於 802.1X 企業存取,Purple 用於訪客工作階段帳務計費。

Passpoint (Hotspot 2.0)

一種使行動裝置能夠在無需使用者干預的情況下,自動發現並安全連接到 WiFi 網路的標準。

Purple 支援 Passpoint,為再次造訪的訪客提供無縫、類似行動網路的漫遊體驗。

pxGrid

平台交換網格。一個 Cisco 架構,可實現多廠商、跨平台的網路系統協作。

允許 Purple 與 Cisco ISE 生態系統共用訪客工作階段內容,以實現統一的安全可視性。

範例

一家擁有 200 間客房的飯店需要為後勤員工(房務、管理)提供安全的 WiFi,並為飯店訪客提供具備品牌形象與數據收集功能的 WiFi 體驗。他們目前使用 Cisco Catalyst 基地台。

部署兩個 SSID。「Hotel_Corp」使用 WPA3 企業版。Cisco ISE 作為 RADIUS 伺服器,透過 EAP-TLS 憑證對員工裝置進行驗證,並將其分配至管理 VLAN。「Hotel_Guest」則使用重新導向至 Purple 的開放 SSID。Purple 呈現品牌專屬的 Captive Portal,提供社群登入或 PMS 整合。訪客流量則被放置在一個直接路由至網際網路的隔離 VLAN 上。

考官評語: 這種方法完美地將權責分離。ISE 負責保護企業資產的安全,而 Purple 則滿足為飯店行銷團隊收集訪客數據的商業需求。VLAN 隔離確保了符合 PCI DSS 規範。

一家大型連鎖零售商希望在不損害其內部銷售點(POS)網路安全的情況下,利用現有的 Cisco Meraki 基礎設施追蹤 50 家分店的顧客人流量與停留時間。

POS 終端機連接到由 WPA3 企業版和 Cisco ISE 保護的隱藏 SSID。針對顧客則廣播一個公開的「Free_Store_WiFi」SSID。Meraki 管理後台設定為透過 API 與 Purple 整合。Purple 從探測裝置中收集匿名化的定位數據以產生熱圖,並在顧客登入 Captive Portal 時收集明確的第一方數據。

考官評語: 使用 Purple 的雲端重疊搭配 Meraki 不需要新增任何硬體。該零售鏈能獲得深入的分析與行銷數據,而 ISE 則確保 POS 網路保持鎖定且合規。

練習題

Q1. 您的行銷總監希望從零售店內使用訪客 WiFi 的顧客中收集電子郵件地址和人口統計數據。網路工程團隊建議啟用現有 Cisco ISE 部署中內建的訪客入口網站功能。這是否為正確的方法?

提示:考慮 ISE 訪客入口網站與專用重疊平台(overlay platform)在商業功能上的差異。

查看標準答案

否。Cisco ISE 訪客入口網站是專為功能性存取(例如:承包商)而設計,而非商業行銷。它缺乏原生 CRM 整合、GDPR 同意管理工作流程以及詳細的訪客分析。正確的方法是在訪客 SSID 上實作 Purple 來處理數據收集和分析,同時讓 ISE 繼續管理企業網路。

Q2. 訪客連接到 Purple 管理的 SSID,但其瀏覽器顯示逾時錯誤,而不是 Captive Portal 登入頁面。而使用 ISE 管理的 SSID 的企業用戶則不受影響。最可能的原因是什麼?

提示:思考在 Captive Portal 網路完成驗證之前必須發生什麼事。

查看標準答案

最可能的原因是無線基地台或控制器上設定了不正確的 Walled Garden(驗證前 ACL)。裝置被阻擋而無法連線至 Purple 的雲端基礎架構以載入入口網站。您必須確保已將特定的 Purple 網域和 IP 範圍列入白名單。

Q3. 您正在為新的企業總部設計網路。您需要支援員工筆記型電腦、員工個人手機(BYOD)以及來訪的客戶。您應該如何架構 SSID 和驗證?

提示:根據裝置所有權和所需的存取權限級別來區分使用者群體。

查看標準答案

部署兩個 SSID。企業 SSID 使用 WPA3-Enterprise。Cisco ISE 處理員工筆記型電腦的 802.1X 驗證,並管理員工 BYOD 裝置的憑證註冊,將其分配至內部 VLAN。訪客 SSID 則是開放的,並重導向至 Purple。Purple 處理訪客客戶的 Captive Portal 驗證,將他們置於隔離且僅限網際網路的 VLAN 中。