企业网络接入认证主要有两种主流方案：portal认证和802.1X认证。两个方案都能实现"员工上网要验身份"这个目标，但适用场景不同，部署成本不同，运维难度也不同。很多公司在选型时容易被技术名词带偏，觉得802.1X听起来更专业就选了，结果落地的时候才发现维护成本远超预期。

portal认证是怎么工作的

portal认证的逻辑很直观：终端设备连上WiFi，发出HTTP请求，被网络设备重定向到认证页面，用户输入账号密码（或者手机号验证码、微信扫码等方式），认证通过后放行流量。

整个过程不需要在终端设备上安装任何软件，不需要修改系统网络配置，浏览器能打开就能完成认证。对员工来说上手门槛极低，对IT来说部署周期短，账号管理集中在后台，改起来方便。

802.1X是怎么工作的

802.1X是基于端口的网络访问控制，认证过程发生在数据链路层，比portal更底层。终端设备要安装supplicant（请求方）软件或使用系统内置的802.1X客户端，连接时向RADIUS服务器发起认证请求，认证通过后端口才被授权。

802.1X的安全性更高，不容易被绕过，但部署要求也更高：需要RADIUS服务器，需要在所有终端上配置客户端，访客设备通常没有supplicant，必须另外处理。一旦RADIUS出问题，整个认证体系就瘫了。

什么情况下选portal认证

设备类型复杂、有大量访客接入需求、IT运维人力有限的场景，portal认证更合适。员工BYOD（自带设备）比较普遍的公司，portal认证对各种设备的兼容性更好，不需要给每台设备单独配置。中小企业、初创公司、有大量访客接待需求的公司，portal是首选。

什么情况下选802.1X

安全要求极高、设备类型可控、有专职IT运维的场景，802.1X更合适。金融机构、政府单位、有严格内网隔离要求的企业，802.1X能提供更强的接入控制能力。但前提是IT团队能撑住这套体系的运维复杂度，否则会变成一个经常出问题的负担。

两种方案可以并存

实际上，很多成熟的企业网络是两套方案并用：内部正式员工走802.1X，实现强认证和最小权限控制；访客和临时人员走portal认证，快速接入，走独立出口，和内网隔离。企业portal认证在这种架构里承担的是"低摩擦快速接入"这一层，而不是替代802.1X。选型不是二选一，是根据接入对象分层配置。