工厂场景下的网络准入，和办公楼里的企业场景差别很大。不是一个"员工账号+密码"就能解决的——生产设备哑终端多、访客来源杂、人员流动率高，上线之后遇到的问题往往不是功能不够，而是当初选型时没考虑到这些细节。

说几个工厂场景里最常踩的坑。

坑一：哑终端入网没提前规划

工厂里有大量不会"主动认证"的设备：生产线上的传感器、扫码枪、看板、工控机。这类设备没有键盘、没有浏览器，连输入账号密码的界面都调不出来，但如果不管控它们入网，办公网的安全策略就形同虚设了。

有些工厂上线准入系统之后发现，这些哑终端要么绕过了认证直接通，要么得一个个手动加白名单，运维工作量巨大。提前规划好哑终端的认证策略，比如基于MAC地址自动放行，或者通过设备指纹识别分类管理，比上线之后打补丁要省事得多。

坑二：访客渠道没想清楚

工厂访客类型多：检查人员、供应商、客户、领导。不同类型的访客需要不同的认证方式和权限策略。有的工厂只提供一种访客账号，所有人共用一个密码，结果查账时发现"这个账号今天被20个人用过"，根本没法追溯到具体是谁。

选型时要想清楚：访客认证是否需要和被访人绑定？访客的上网权限要不要做限速或限时？访客记录能不能满足合规要求？这些问题在方案阶段想清楚，比上线之后改要容易很多。

坑三：人员流动率高的管理问题

工厂的工人流动率高，离职当天账号能不能立刻失效？临时工、季节工、设备维保人员，这些账号的生命周期怎么管理？如果每进一个人要手工开户、离一个人要手工停账号，运维团队早晚会崩溃。

更好的方式是提前规划好和人事系统的联动逻辑：新员工入职自动开户，离职自动停账号。这样即使人员流动性大，账号管理也能跟上节奏，不会出现"人都走了账号还在"的安全隐患。

坑四：和生产网的关系没理清

有些工厂部署准入系统时，碰到了生产网和办公网的隔离问题。生产网里的设备不能接受任何干扰，但办公网又需要严格的准入管控。如果准入系统部署不当，可能影响生产网络的稳定性。

常见做法是"办公网走准入、生产网做隔离"，两者逻辑上分开，但实际运维上又能统一管理。这需要在方案设计阶段就和IT部门、生产部门一起确认边界，别等上线了再来吵。

工厂场景选准入系统，提前把这些边界条件想清楚，上线之后才能少踩坑。