一家公司在十几个城市有分支机构，每个办公室都有自己的网络。总部IT提了要求：所有分支的员工上网都要经过portal认证，账号统一管理，日志统一存储。这个需求听起来合理，但实际怎么做，牵涉的问题不少。

集中云控方案：管理方便，但有前提

集中方案的逻辑是：所有分支的AP和认证设备都连接到统一的云控制器，认证请求统一处理，账号在总部后台管理，日志汇总存储。员工出差到任意分支机构，用同一套账号就能联网，IT只需要维护一个后台。

这个方案的前提是各分支机构的网络出口稳定，到总部或云端的延迟可接受。如果某个分支在偏远地区，带宽差，认证请求回传时延高，员工每次连WiFi要等几秒甚至超时，体验会很差。另外，集中方案对云端的依赖性强，一旦云端故障，所有分支认证同时受影响，需要设计好离线降级策略。

分散部署方案：稳定性好，但管理成本高

分散方案是每个分支机构独立部署认证系统，各自管账号、各自存日志。好处是每个站点自治，互不影响，任何一个站点出问题不会波及其他。

坏处也很明显：账号不互通，员工出差要提前申请临时账号；日志分散在各地，要做统一查询需要逐站点导出；IT要维护十几套系统，版本更新、故障排查都是分散的工作量。这个方案适合分支机构IT能力强、相对独立运营的公司，不适合总部想统一管控的场景。

折中方案：云控统一管理 + 本地认证服务器

一个在实际项目里用得比较多的折中方式是：云控制器做统一配置下发和日志收集，但在每个分支本地放一台轻量级认证服务器（或者用网关设备内置的认证模块）。认证请求先在本地处理，不依赖总部网络，认证完成后再把日志同步到云端。

这样，本地认证不受网络波动影响，总部又能有统一的日志和账号视图。代价是每个站点需要一台本地设备，初期硬件成本比纯云端方案高，但长期运维复杂度比纯分散方案低。规模超过5个站点的企业，这套方式性价比通常更高。

账号体系是整个方案的核心

无论选哪种部署方式，账号体系要想清楚。如果公司已经有AD域或者LDAP，认证系统应该对接过来，不要另起一套账号。员工入职就有网络权限，离职账号自动禁用，调岗权限跟着变，这才是合理的管理闭环。

如果没有现成的身份系统，建议在部署企业portal认证的同时考虑上一套轻量级的账号管理平台，把员工账号、设备绑定、权限策略都管起来，后续扩展和运维都会省很多力气。