有个客户跟我吐槽，说他们上了网络接入认证系统之后，配了很多策略，结果发现策略根本没生效——访客能访问财务内网，普通员工上网速度跟管理员一样快，周末没人用的时候系统还在跑定时策略。他怀疑是系统有bug，我过去一看，问题出在策略配置的逻辑上。

这个客户用的是4W策略，也就是When（时间）、Where（地点）、Who（用户）、What（指定页面）。4W策略本身是个好设计，但很多人配的时候把它当成填空题——把四个维度都填满了，就以为策略生效了。实际上4W策略的核心是优先级判断和多条件匹配，配错了等于没配。

蓝海卓越的网络接入认证系统把这套体系扩展成了4W+B——多了一个Browser（浏览器自适应）。

不是四个维度都填满才算配置成功

4W策略的基本逻辑是：终端发起认证请求之后，系统会拿这个请求去匹配所有策略。匹配的规则是：请求同时满足某个策略的所有条件，这个策略就生效。如果没有任何策略完全匹配，就走默认策略。

问题往往出在"默认策略"这个环节。很多实施工程师把4W策略配得很细，但忘了配默认策略——默认策略配置的是最宽松的那一组条件，理论上应该是在所有具体策略都不匹配的时候才走。结果就是：访客连进来了，因为访客的终端类型或者IP段没有被任何具体策略覆盖，直接走了默认策略，而默认策略里带宽没限制、访问权限没限制，就相当于没做任何管控。

正确的配置顺序应该是：先配默认策略，把它当作兜底防线，配得严格一些；再配具体策略，给特定人群放开口子。切忌把默认策略配成最宽松的，然后把所有管控都押注在具体策略上——只要有任何一条匹配规则没考虑到，默认策略就会兜底，管控就失效了。

Who维度：用户组划分比想象的复杂

Who就是指定用户，听起来最简单，但配置的时候最容易出错。常见的错误是把用户组划分得太粗——把所有员工都扔进"员工"组，把所有访客扔进"访客"组。这种划分能满足基本需求，但如果要做精细化管控，粒度就不够。

更好的做法是按业务属性划分用户组。比如在制造企业，可以把用户分成：研发组、生产车间组、行政后勤组、外协施工单位组、常驻访客组、临时访客组。每个组的带宽上限、在线时长、可访问网段、认证有效期都单独配置。这样做的好处是：外协施工单位的人即使连上了网，也只能访问外网和必要的业务系统，财务和生产内网碰不到；临时访客的账号2小时自动失效，不需要人工去删。

蓝海卓越平台支持按用户组设置不同的上网策略，包括上下行带宽限制、并发终端数、每日上网时长、允许接入时间段。这些策略在用户认证通过的那一刻就自动绑定，不需要手动干预。

Where维度：指的不是地理位置，是设备位置

Where指定地点，但在无线网络里，"地点"这个概念是通过AP来体现的。具体来说，Where维度配置的是AP组、APID或者ACIP——也就是说，系统根据终端从哪个AP接入的，来判断它在哪个"地点"。

这个设计背后的逻辑是：在同一栋楼里，一楼大厅和三楼研发区的安全需求不一样，访客在一楼连WiFi和访客在会议室连WiFi，管控策略也应该不一样。通过Where维度，可以让同一个用户在不同的AP下拿到不同的认证页面和访问权限。

实施的时候需要注意AP的分组规划。如果前期部署AP的时候没有做分组规划，所有AP都混在一个默认组里，Where策略就没有用武之地了。正确的做法是：AP部署之前就跟业务部门确认清楚，每个区域的功能定位是什么，然后按区域给AP打标签、做分组，后期配置Where策略的时候才能真正落地。

When维度：时间策略的坑在节假日

When指定时间，这个维度看起来最简单——工作日几点到几点允许上网，周末能不能用。但实际配置的时候，有一个坑很多人没注意到：节假日。

很多企业的时间策略配的是"工作日8:00-18:00"，结果一到国庆节、春节，系统发现这些天不是工作日，策略匹配不上，走了默认策略。如果默认策略里没有做兜底限制，那整个节假日期间网络就完全放开了，没有任何管控。这个问题在政务系统里尤其要命，因为政务外网有合规要求，节假日不能随意开放。

解决方案有两个：一是把节假日单独做策略配置，在节假日前手动更新策略生效时间；二是系统支持对接法定节假日日历，自动排除工作日逻辑里包含的节假日时段。蓝海卓越的策略系统支持按自定义时间模板配置，可以预设工作日、休息日、节假日三种时间模板，在策略里直接引用，比手动逐条配置要可靠得多。

What维度：指定页面不只是跳转

What指定页面，大多数人理解为"认证成功之后跳转到哪个网址"。这只是最基础的功能。What维度还有另一个作用：可以根据不同的用户组和接入位置，推送不同的Portal认证页面。

比如在酒店场景里，大堂的访客和客房住客拿到的认证页面不同：住客的页面可以推酒店品牌信息和周边服务广告，访客的页面可以限制带宽并推商务服务信息。在连锁企业场景里，不同城市门店的访客连WiFi后，认证页面可以显示当地门店的促销信息，实现精准推送。

这个能力考验的是Portal模板系统的灵活性。蓝海卓越的Portal模板支持源码级自定义，可以用HTML、CSS、JS做任意设计，同时支持终端自适应——PC和手机拿到不同的页面版本，用户体验有保障。

Browser维度：自适应是标配不是加分项

Browser是4W+B里多出来的那个"B"。它的意思是，根据终端浏览器的类型，适配不同的认证页面和认证流程。多终端时代，这个能力已经是标配了。

如果Portal页面不支持自适应，手机用户看到的页面是PC端的缩小版，操作困难，认证成功率会明显下降。蓝海卓越的Portal系统支持根据User-Agent判断终端类型，然后推送适配的页面版本——PC端推送PC端页面，手机端推送手机端页面，平板端也有对应的版本。用户在手机上认证，页面不需要左右滑动、放大缩小，体验跟原生APP差不多。

策略生效的判断标准：测试的时候测的是什么

最后说一个实操问题：4W策略配完之后，怎么验证它真的生效了？

标准做法是：用至少三组不同属性的终端去做测试。网络接入认证系统的4W策略验证，一组是普通员工账号连普通区域的WiFi，验证基础策略是否生效；一组是访客账号连访客区域的WiFi，验证访客策略是否严格；一组是故意制造"边界条件"——比如用员工账号连访客区域的WiFi，看策略有没有被触发。如果员工用自己的账号连上了访客区域的WiFi，但拿到了员工组的策略（而不是访客组的策略），说明Where维度的优先级可能出了问题。

边界条件测试是最容易发现问题的环节。很多配置错误不会在正常场景里暴露，只有故意制造边界条件的时候才会暴露。系统上线前多做这一步，后期运维会省很多事。