连锁企业、有分支机构的集团公司、多校区机构，做企业无线上网认证面临的最大挑战不是技术，而是管理：总部想统一管控，但每个分支的网络环境不一样，人员规模不一样，IT能力也不一样。怎么做到"统一管，各地跑"？

这篇文章说清楚多分支机构的认证方案在架构上怎么设计、统一管控能做到什么程度，以及实施时要注意的几个坑。

统一管控到底管什么？

先把"统一管控"拆开来看。企业做多分支认证统一管控，通常有几个层面的诉求：

账号统一：员工在哪个分支机构都用同一套账号，不需要到了北京分公司还要找当地IT重新开账号。

策略统一：每个分支的上网策略——哪些资源能访问、访客认证走什么方式、日志怎么存——总部统一定，分支不能自己随便改。

数据统一：所有分支的在线用户、上网记录、日志数据，总部可以统一查询，不用挨个登录每个分支的系统。

这三个层面的统一程度，决定了认证系统的架构选型。

云端部署 vs 分布式本地部署

多分支认证通常有两种主流架构选择：

第一种是认证系统部署在云端（或总部），所有分支的认证请求都回到这个中心节点处理。优点是管理简单，只有一套系统，数据天然集中；缺点是每个分支的认证请求都要走专线或公网回到中心，如果专线带宽不够或者公网延迟高，认证速度会变慢，极端情况下专线断了分支就没法认证上网。

第二种是每个分支部署本地认证节点，本地处理认证请求，不依赖中心网络；账号数据和策略从总部下发，日志数据定期同步回总部。优点是每个分支的认证速度不受网络影响，本地断网也能正常认证；缺点是多了很多本地节点，运维工作量相对更大。

蓝海卓越V7同时支持这两种架构，按分支数量、专线质量、IT团队能力来判断哪种更合适。对于分支数量多但每个分支规模不大的连锁企业（比如银行营业网点），通常是本地认证网关+云端统一管理这种组合：每个网点部署一台认证网关，处理本地认证，所有网点的数据汇聚到总部统一管理平台。

账号在多分支间怎么同步？

多分支机构最常见的账号问题：员工出差到外地分支，连WiFi显示账号不存在。

如果认证系统对接了AD域，这个问题天然不存在，因为AD域本身就是企业全局的账号目录，无论员工在哪个分支，用的是同一套账号，认证节点去AD查账号状态，都能找到。

如果没有AD域，靠认证系统自己管理账号，就需要账号数据在各分支节点之间同步。蓝海卓越的多分支架构支持账号数据从总部统一下发，分支节点本地缓存，本地认证时用本地缓存，定期跟总部同步。这样既保证了本地认证速度，又保证了账号数据的一致性。

有一个细节要注意：账号同步的频率。如果员工入职、离职的频率很高，同步周期太长可能导致新入职的员工账号还没同步到分支，或者已离职的员工账号还在分支有效。对于人员流动频繁的企业，同步周期要设置得短一些，或者支持手动触发即时同步。

总部能看到什么？分支能改什么？

权限分层是多分支管理的核心设计点。

通常的权限模型是：总部管理员可以查看所有分支的数据，可以下发全局策略，可以对所有分支做操作；分支管理员只能查看本分支的数据，可以在总部允许的范围内调整本分支的策略，不能跨分支操作，也不能修改总部下发的核心策略。

蓝海卓越V7支持多级权限管理，可以设置总部管理员、区域管理员、门店管理员等多个层级，每个层级的可见范围和操作权限独立配置。这样一来，分支IT人员能处理本地日常运维（账号异常、设备问题），但动不了总部的策略框架，出了问题责任也好界定。

多分支的认证页面能不能统一品牌？

这个问题对连锁企业比较重要。同一品牌在全国各地的门店，WiFi认证页面的样式、logo、颜色应该统一，不能每个城市的页面看上去都不一样。

认证页面的统一靠页面模板管理来实现。总部制作统一的Portal认证页面模板，推送到所有分支，分支用的是这个模板，不能自己换。如果某个地区有特殊的运营活动需要定制页面，需要总部审核后单独推送，不影响其他分支。

蓝海卓越的Portal页面支持任意网页语言定制，可以做成符合企业VI的样式；模板管理后台支持从总部统一下发，也支持按区域或门店推送不同的页面版本。认证成功后跳转到指定页面的功能也在模板里控制，可以做成跳转到企业官网或本地活动页面。

实施阶段有几个高频问题要提前防。

一是各分支的网络环境差异大。有些分支用的是运营商专线，有些走公网，有些AP设备老旧。提前做一遍各分支网络状况调研，是做方案的前提，不能用一份通用方案直接推全国。

二是专线带宽评估不足。如果选了中心云端认证架构，要估算每个分支的认证高峰期流量，确认专线带宽能撑住。认证请求本身流量不大，但如果专线同时跑业务系统和认证流量，高峰期还是可能出现抢带宽的情况。

三是各分支IT配合程度不一样。有些分支有驻场IT，有些只有个兼职的，设备配置和日常运维的响应速度差别很大。项目实施时要考虑到这种差异，给配合弱的分支提供更多远程支持。

四是验收时遗漏边缘场景。总部和主要分支验收完了，一些小分支或者远程门店就跳过了。结果上线后发现这些地方有特殊问题——某个品牌的AP不兼容、某个网段的VLAN配置不对——这些问题在统一验收时没有覆盖到，到了运营阶段才暴露出来。建议分批验收，每批验收覆盖有代表性的不同类型环境，而不是只验测主要站点就算完。

多分支企业无线上网认证统一管控做好了，对IT运维团队来说省的是长期的管理成本，对企业整体来说省的是分散建设的重复投入。但项目本身的复杂度比单点高出不少，前期需求调研和方案设计的时间不能省。