连锁企业做网络接入管控，难度不在单个门店，在于"集中管理"和"本地适配"怎么同时兼顾。总部要统一策略、查看数据，门店实际情况各异——有的门店用的是运营商宽带，有的用的是自建专线，有的门店IT力量几乎为零。

这类场景的Portal认证方案怎么设计，下面说几个实际项目中验证过的思路。

一、集中认证还是本地认证，先分清楚

连锁企业做Portal认证，首先要想清楚一件事：所有门店的认证请求，是统一发到总部平台处理，还是各门店自己处理？

两种方式的差异在于网络架构和运维模式。集中认证的好处是数据统一、口径一致，总部能实时看到所有门店的接入数据；代价是对网络质量有要求，门店到总部之间断了，门店的认证就瘫痪。

本地认证则是把认证能力下沉到各门店，本地处理认证请求，定期上报数据到总部。这种方式对网络的依赖更低，但各门店的配置和策略一致性更难保证。

实际选型时，门店数量多、网络条件参差不齐的，建议优先考虑本地认证加集中数据汇总的混合模式。纯集中认证只适合网络质量有保障、专线或SD-WAN覆盖良好的场景。

连锁企业通常有两类接入用户：总部员工和门店顾客/员工。这两类用户的管控需求完全不同。

总部员工需要接入内网、访问OA和业务系统，权限要求高，安全管控也要跟得上；门店顾客只需要访问互联网，不应该接触到总部内网；门店员工（如店长、店员）需要访问总部系统，但权限范围和总部员工不同。

Portal认证方案里，通过不同的SSID对应不同的认证策略：顾客走短信或扫码认证，路由到隔离的访客网络；门店员工用自己的工号认证，权限限制在必要的业务系统；总部员工走AD域或企业微信认证，权限最宽。

这个分层逻辑在一开始就要设计清楚，而不是上线以后遇到一个问题加一条策略，搞成一团乱麻。

连锁企业的门店数量通常会增长，尤其是快速扩张期，今年20家明年可能就到50家。Portal认证设备的选型如果按当前门店数量配，并发认证能力很可能在扩张期很快触顶。

建议在选型阶段就引入扩展性评估：当前峰值并发是多少，未来12个月预计增长到多少，单台设备的认证上限是多少，扩容方式是增加设备还是升级配置。宁可多留20%的余量，不要等到认证高峰时系统扛不住。

几十家门店靠工程师上门配置是不现实的。Portal认证方案里，门店设备的配置要支持远程下发和集中管理：新开一家门店，设备寄到当地接上网络，配置从总部平台远程推送下去，门店人员只需要做物理接线。

如果做不到这点，每新开一家店都要派人上门调试，扩张速度会被IT交付能力卡住。

连锁企业同样面临合规要求：总部统一管控的情况下，所有门店的互联网日志都要符合留存标准，并且能统一提供查询接口。

如果各门店用的是本地认证，日志格式和留存周期是否一致、能否统一导出推送，这些问题在方案评审阶段就要确认清楚。不同门店日志格式不统一，一旦遇到监管检查，总部临时去拼凑数据会非常被动。

建议在合同或技术协议里明确：各门店认证日志的格式标准、上报周期、数据留存时长，以及总部平台对各节点日志的查询权限。

连锁企业Portal认证方案最常见的两个极端。

一个是总部策略管得太死，门店连自己的SSID名称都没权决定，配置改一个字符要走三层审批。这种模式下门店会绕过系统，自己接一个路由器解决，管控体系实际上被架空了。

另一个是总部放权太松，各门店自己选设备、自己配策略，结果一年下来总部看不清楚各门店的真实接入情况，数据全是碎片。这类企业回过头想做统一合规，要比一开始就统一架构多花三到五倍的成本。

找到总部统一管控和本地灵活运营的平衡点，比选哪个技术方案更重要。