企业在选无线认证系统之前，经常会遇到一个困惑：产品手册上写了很多功能，但这些东西到底对应什么实际需求，能不能解决自己的问题，看完还是模糊。

下面把几个核心能力掰开说，不堆功能列表，按企业实际关心的问题来组织。

认证方式：不是越多越好，而是对不对

企业无线认证系统的认证方式通常有：短信认证、Portal页面认证、802.1X、有线WEB认证、AD/LDAP对接、企业微信/钉钉扫码。听起来很多，但不同规模、不同安全等级的企业，需要的组合不一样。

中小型企业用Portal认证最常见——用户在浏览器里输入账号密码，体验直观，部署也简单。员工比较多的企业，可以再加一个企业微信扫码登录，账号统一管理，离职之后在微信侧关掉即可。

有等保要求的企业，802.1X配合AD域认证是标准做法。每个接入终端都有数字证书，网络层和身份层双重校验，安全级别高，但对网络设备有要求，需要客户端配合，有些场景部署成本不低。

选型的时候建议先明确自己的安全等级，再看哪种认证方式组合能满足。不要被"支持12种认证方式"这个数字迷惑，对上了才有用，没对上的等于没有。

账号管理：能不能跟现有系统打通

认证系统里的账号，如果要IT手工维护，跟HR系统、门禁系统、OA系统各维护一套，那上线之后运维成本会比较高。

好的认证系统应该能跟现有的系统对接：员工入职自动创建网络账号，离职自动禁用；访客临时账号发出去，过期自动回收，不需要人工清理。

这个能力在人员流动比较快的连锁企业里特别关键。我见过一家餐饮连锁，每个门店三四十人，每个月人员变动二三十人次，如果账号全靠人工维护，光这一项就要占用一个专职IT的工作时间。

策略分级：不同的人走不同的通道

企业无线认证系统通常支持按角色分配上网策略：带宽上下限、在线时长、可访问的资源范围、是否允许共享热点。

实际项目里最容易出的问题是：员工和访客用了同一个策略，或者策略分了但没设置生效条件，导致"访客限速"变成了空文。

策略配置的逻辑要跟组织架构对应：总部员工访问范围宽，分支机构受限；正式员工走高速通道，访客走低速通道；会议室区域单独一组策略，开会的时候自动生效。

这套逻辑搭好之后，日常运维会省事很多，不需要临时改配置。

日志和追溯：出了事能不能找到人

这是合规要求最直接的一项。认证系统的日志至少要记录：谁（账号）、什么时候、从哪个终端接入、访问了什么资源。

有等保要求的企业，还要看系统能不能跟第三方审计系统对接，数据格式是不是符合公安部门的规范。

实际项目里容易忽略的是日志的存储周期。有的系统认证日志只保留一个月，但合规要求是半年以上。选了之后再扩容，成本高而且麻烦。

运维便利性：IT用不用得动

认证系统不是上线就结束了，后期的日常运维占大头。几个经常被问到的运维问题：

• 员工密码忘了，能不能自助找回，还是每次都要IT介入
• 新员工入职，能不能批量导入账号，还是要一个个手工添加
• 出了故障，有没有清晰的日志可以排查，还是只能靠经验猜
• 后台操作界面是不是足够直观，新来的IT能快速上手

这些细节在选型阶段容易被忽略，上线之后才会发现成本。建议在POC阶段就让实际负责运维的人试用一下，感受会比看产品手册真实得多。

部署方式对后期运维的影响

选型阶段还有一个要提前确认的：这套系统是本地部署还是云端部署，对后期的运维方式影响很大。

本地部署的系统需要自己维护服务器，系统升级、数据库备份、日志清理这些事情都要自己处理。好处是数据在自己这边，安全性要求高的政企单位通常倾向这种模式。

云端部署的好处是免维护，供应商负责升级和备份。坏处是所有流量和账号数据都在云端，要确认供应商的数据安全保障措施是否达到企业要求。连锁门店数量多的企业，云端方案的运维优势会更明显。

企业无线认证系统最重要的价值不是哪个功能有多强，而是它能不能跟你现有的网络架构、人员管理体系、运维流程衔接起来。选的时候看适配，不看参数。