这个问题在方案阶段问得最多，答案往往是"看情况"，但"情况"是什么，多数人说不清楚。

先搞清楚两件事的定位。无线认证系统，本质上管的是无线接入的用户——谁可以用这个SSID，认证通过之后能访问什么资源，认证失败怎么限制。有线802.1X，是基于交换机端口的认证机制——终端设备必须通过认证才能使用这个网口，没通过认证的设备连交换机都进不去。两件事解决的问题不一样，适用场景也不同。

什么时候无线认证够用？ 你的网络里大部分终端是笔记本、手机、平板这类移动设备，主要通过Wi-Fi接入，有线网口只有少量固定工位。这种情况下，无线认证系统（Portal认证、微信认证、APP认证等）就能覆盖绝大多数场景。V7支持的微信认证体验最好，用户首次认证后可以配置MAC无感知，二次接入自动通过，不用每次都弹页面。这种模式在企业办公区、酒店、校园无线覆盖区域都很成熟。

什么时候必须上802.1X？ 有两种情况。

第一种：有线侧的终端存在接入风险。比如财务部门的台式机、打印服务器、IP电话，这些设备通常固定在工位上，走有线接入，如果不加控制，任何人拿一台电脑接上网线就能进内网。802.1X可以在交换机端口层面做控制，只有通过认证的设备才能使用这个端口，没认证的设备插上网线也没用。

第二种：安全合规要求。有线认证的安全等级是最高的，基于端口控制，认证不通过则端口关闭。银行网点、政府政企单位、核心企业区域，往往要求有线也必须做认证，不能只靠无线覆盖。V7支持与交换机联动实现802.1X认证，也支持PEAP、EAP-SIM等高级安全认证协议，满足这类场景的要求。

两种方式可以同时用吗？ 可以，而且这是很多中等规模以上企业的标准做法。无线用户走Portal认证，有线终端走802.1X认证，两套体系在后台共用同一套用户数据库和认证策略。V7的统一认证架构支持这种混合部署模式，用户不需要维护两套账号体系。

例外情况： 802.1X有个前提条件——交换机必须支持802.1X协议并且开启了相应配置。老旧交换机组网或者设备品牌过杂的环境，改交换机配置的工程量可能比部署无线认证系统还大。这种时候优先用无线认证覆盖，能解决问题就行，不用强行上802.1X。

说到底，纯无线场景用无线认证系统就够；有线终端需要端口级别控制或者有合规要求，上802.1X；两种场景并存就做混合部署。关键判断点是"终端的接入方式"和"安全要求级别"，不是选哪个系统更高级的问题。