选网络准入系统的时候，经常会遇到一个选择题：802.1X还是Portal？很多人在这一步纠结很久，厂商各说各的好，销售说802.1X更安全，售前说Portal更灵活。但实际上，这不是一个技术选型问题，而是一个"你到底要解决什么问题"的问题。

先说区别。

802.1X是基于端口的认证协议，设备接入网络时先"卡在门口"，认证通过了端口才放行，没通过就连不上。这个过程不需要浏览器，适合哑终端、打印机、生产设备这类没有交互界面的设备。安全性高，但需要客户端软件或者设备本身支持EAP协议。不是所有设备都能支持，Windows和macOS一般没问题，但老型号的工控机、网络摄像头这类东西，往往就是不支持。

Portal认证也叫Web认证，用户接入网络后会弹出一个网页，要求输入账号密码或者扫码。这是我们最熟悉的场景——连上WiFi，跳出一个登录页面，输入手机号收验证码。这个方式对终端没有特殊要求，任何能开浏览器的设备都能用。但弹页面有时候会影响体验，特别是有些设备（比如某些投屏设备、广告机）打开浏览器本身就费劲。

那什么情况下选802.1X？

有线网络环境优先考虑。工厂车间、医院、银行网点这类有线设备多的场景，有线的物理端口如果不加管控，任何人拿台电脑接上去就能通网络。802.1X可以把每个网口"锁死"，设备必须先通过认证才能通信。这里有个细节：如果你们办公楼里的PC都是IT统一配发的，那还好；如果有很多自带设备进来，或者是开放区域，802.1X的价值就大了。

安全等级要求高的场景也要选802.1X。比如金融单位、政府核心区域，监管部门可能明确要求"接入必须强认证"。这时候Portal的体验虽然好，但达不到合规要求，就得硬着头皮上802.1X。这里的成本不是软件费用，而是终端客户端的推广——让所有人装客户端、学会用，这本身就是个运维负担。

什么情况下选Portal？

访客为主的场景。酒店、商场、景区这类地方，来访者的设备五花八门，802.1X的客户端根本没法部署。用Portal弹个页面，扫码或者输手机号，成本最低、覆盖最广。但这里也有个问题：访客认证要不要实名？有些景区对实名没要求，有些酒店要能追溯到具体房间。选型时要确认清楚。

无线为主的环境也适合Portal。无线终端本身已经经过了WiFi层面的认证（密码或者WPA企业认证），再在网络层做802.1X就显得重复了。这种情况下用Portal做第二层管控，既不影响体验，又能记录上网账号。

还有一种更常见的做法是混合部署：有线用802.1X，无线用Portal，两套系统各司其职，统一管理后台。这不是偷懒，而是根据场景合理分配。

选之前先问自己三个问题：第一，我的网络里有多少哑终端，必须用802.1X才能管住？第二，我的安全合规要求有多高，是不是必须用强认证？第三，我的用户群体是什么，是员工为主还是访客为主？答案清晰了，选哪个就不难了。