网络准入系统上线之后，并不意味着工作结束了。相比于部署阶段的那几个月轰轰烈烈的实施，上线后的日常运维才是真正考验体系的时候。很多企业上了准入系统之后，运维团队并不知道该看什么，日常巡检就是打开系统看一眼告警列表，有告警就处理，没告警就觉得一切正常。这种运维方式不能说错，但确实遗漏了很多值得关注的指标。

这篇文章来聊聊网络准入系统上线后，日常运维过程中真正值得跟踪的几类数据。

接入成功率是最基础的健康指标

接入成功率（Authentication Success Rate）是最直观反映准入系统运行状态的指标。计算方式很简单：成功的认证次数除以总认证次数，比例越高说明系统运行越正常。

但只看比例是不够的，还要关注趋势。如果接入成功率长期维持在 99.5% 以上，突然某天掉到了 98%，这个时候就要警惕——可能意味着网络环境有变化，或者设备更新导致了兼容性问题。准入系统出问题往往不会突然宕机，更多的时候是慢慢出现异常，成功率指标的缓慢下降往往是问题的早期信号。

另外要区分不同认证方式的成功率。802.1X 和 Portal 是两种不同的认证路径，成功率的参考基准不同，混在一起看容易失真。建议在仪表盘上分开统计，先看到整体数字，再下钻到具体认证通道。

还有一点：成功率低不一定是准入系统的问题。如果认证服务器（RADIUS 或者 AD）本身响应慢，802.1X 认证会因为超时失败，根源不在准入而在后端认证链路上。所以出现成功率异常时，第一时间要确认后端认证服务的状态。

未授权接入尝试的频率和来源

未授权接入尝试（Unauthorized Access Attempt）是另一个值得持续关注的数据。这个指标反映的是有多少设备尝试过接入但没有成功。

这个数据通常有两面价值。

第一是安全监控价值。大量未授权接入尝试说明有人在尝试渗透或者扫描网络，可能是外部攻击，也可能是员工私自带设备接入——无论哪种都值得调查。很多企业上了准入系统之后觉得内网安全了，实际上把未授权尝试数据跑一遍才发现，违规接入行为远比想象得多。

第二是系统规划价值。如果某些区域的未授权尝试特别频繁，说明这个区域的物理管理可能存在漏洞——比如会议室、休息区、前台这些外来人员聚集的地方，设备多且杂，准入策略可能需要针对性调整。

在看这个指标的时候，建议同时关注失败原因的分布：是因为密码错误、证书过期、设备不在白名单、还是因为交换机端口配置问题？不同原因对应的处理方式完全不同。

在线终端数量和资产盘点数据

网络准入系统的核心价值之一就是资产盘点能力。上线之后，系统里记录的在线终端数量，应该和企业实际的 IT 资产规模大致匹配。如果两者差距很大，要么说明准入覆盖范围有盲区，要么说明盘点数据本身有问题。

运维团队应该定期做一次资产比对：把准入系统里的终端列表和 IT 资产管理系统里的记录做一次对照。数量对不上的要追查原因：是未注册设备接入了，还是已注册设备长期离线了，还是系统本身存在识别重复计算的问题。

特别要关注的是长期在线但归属不明的设备。这类设备可能是：离职员工留下的设备、测试用设备走的是个人账号、或者干脆就是外来设备接入了但没有触发告警。长期积累下来，资产管理盲区会越来越大。

策略变更记录和异常操作

准入策略不是一成不变的，业务调整、部门变动、人员调动都会触发策略变更需求。策略变更本身是正常的，但变更操作的审计追踪是必须要做的。

运维团队应该关注以下几类操作记录：

谁在什么时间做了策略变更。尤其是将某个设备或者网段设为免认证放行这类高权限操作，必须有完整的操作日志和变更记录。没有审计记录的准入策略变更，在合规审计时是硬伤。

有没有异常的批量策略变更。正常情况下策略变更是零散的、个例性的。如果系统里突然出现大量策略变更记录，可能是配置错误，也可能是账号被盗用做了恶意操作。

策略变更后的生效范围。准入策略修改后有没有真正生效，下一次设备接入时是否应用了新策略，还是因为缓存问题还在用旧策略。这一点在变更密集的阶段要重点确认。

系统自身的运行状态

最后要说的是准入系统本身的运行状态。准入系统部署在服务器上，它本身也是网络架构的一部分，它的状态直接决定了准入能力是否正常。

几个必须定期检查的系统指标：

CPU 和内存占用。准入系统连接数增加时资源消耗会上升，长期不监控可能出现性能瓶颈而不自知。

数据库容量。准入日志和审计数据日积月累，数据库空间不足会导致系统异常，阈值报警要做好。

和各网络设备的通信状态。尤其是旁路方案的准入系统，需要持续和交换机做通信确认，如果心跳断了而没有告警，系统实际上已经失效了但没有任何提示。

和 RADIUS 服务器、AD/LDAP 账号系统的联动状态。这些是准入系统的上游依赖，上游挂了，准入就形同虚设。

说在最后

网络准入系统的运维，不只是"有人报障就处理"这么简单。一套运行良好的准入体系，日常应该有很多可量化的数据在流动——接入成功率、未授权尝试频率、终端资产盘点差异、策略变更记录、系统自身健康度——这些数据如果长期不看，准入系统实际上处于一种"自己不知道自己在干嘛"的状态。

建议运维团队在系统上线稳定之后，花点时间把这些数据维度梳理清楚，建立起定期巡检的习惯。这比出了问题再救火要高效得多。