上个月有个客户跟我吐槽，说他们公司上了一套网络认证系统，结果实施完发现这套系统跟现有的网络设备完全对不上。AC是H3C的，认证系统只能对接锐捷，改网络架构又来不及，最后只能换供应商，白白浪费了两个月时间。

这类问题在选型阶段其实完全可以避免，今天把几个容易踩坑的点整理出来。

第一个坑：接入方式兼容性没确认就下单

企业网络认证系统能不能用，不只看功能强不强，首先看能不能接入你现有的网络架构。

现在市面上主流的认证方式有AC旁挂、串联、单机部署、RADIUS对接、Portal认证、802.1X……每家厂商支持的组合不一样，有的只支持一两种，有的号称支持但实际对接时一堆bug。

我见过一个真实的案例：某园区物业上了一套认证系统，招标的时候说是支持锐捷和华为的AC，结果实施阶段才发现只能对接锐捷，华为那台设备要改配置才能兼容。改完之后又发现跟园区的计费系统对不上，项目拖了一个多月才验收。

建议：选型前把现有网络设备的型号列表发给供应商，让对方白纸黑字确认兼容方案。不要只看产品手册上的"支持XX认证方式"就觉得万事大吉，手册和实际能跑通是两回事。

第二个坑：不问清楚最大并发会话数

认证系统标称能支持一万用户，不代表在你实际场景下能稳定运行。

我见过一个案例：厂商说系统可以支持5000并发，结果客户公司高峰期只有800人同时在线，系统就开始频繁掉线。后来排查才发现，这个"5000并发"是实验室数据，实际能稳定运行的只有1500。

这个问题特别容易出现在员工数量在500~2000人这个区间的企业，因为正好卡在中小规模和中等规模的边界，厂商要么报小规模方案（性能不够），要么报大规模方案（浪费成本）。

选型时一定要问清楚：在你的网络规模和架构下，实测能跑多少？最好能安排一次现场测试或者测试账号模拟，实在不行就让厂商提供同规模客户的名字，自己打电话问。

第三个坑：忽略多分支机构的统一管理需求

如果企业有多个分支机构，每个点都部署一套独立的认证系统，后期运维会非常痛苦——账号不统一、策略不统一、出了问题要登录多个后台查。

我接触过一家有十二个分部连锁企业，每家分部各上一套认证系统，总部IT想查全公司在线终端数，要登录十二个后台分别导出数据。这种架构下，IT运维成本比系统本身还贵。

这时候要问供应商：系统支不支持总部集中管理？各分支的设备能不能统一接入同一套认证平台？权限怎么分配？大中型企业的选型，POC阶段建议专门测这一项。

第四个坑：认为认证系统上线就万事大吉

认证系统上线只是第一步，后面的运维才是重点。

账号的开通和撤销流程有没有SOP？员工离职后账号能不能及时回收？访客接入的临时权限怎么管理？这些问题如果没提前想好，系统上线后会变成IT部门每天都要处理的杂事。

我见过最夸张的一个案例：某公司上了认证系统，但账号申请要走IT部门的工单系统，申请表打印出来找领导签字，签完再交给厂商开通。一个新员工入职，光等账号就要三天。

建议在选型阶段就让供应商演示完整的运营后台流程，看看日常操作是否足够便捷。如果连演示都要联系厂商才能操作，正式上线后你自己团队的运维压力可想而知。

几个实战参数，选型前一定要确认

一、当前在线终端数的峰值是多少，认证系统能不能扛住。

二、有没有多分支机构，如果有，能不能统一管理。

三、跟现有网络设备（AC、路由器、防火墙）能不能对接，提前要兼容性清单。

四、账号生命周期管理支不支持自动化，能不能跟HR系统或者OA联动。

五、运营后台的操作流畅度，找一个非技术人员现场试一下。