很多企业在选网络接入认证系统之前，对这套系统能管什么、管到什么程度，心里其实没底。销售说功能很全，招标参数也写得漂亮，但实际项目做完，发现该管的没管住，不该投入的投了一堆。

先说清楚网络接入认证系统的核心管控范围，分三层来看。

第一层管的是"谁可以接入"。认证方式是入口关卡——访客用短信验证码，员工用OA账号或AD域，设备用MAC白名单。这一层把住了，未知人员就进不了内网。但很多企业做完认证只到这层就停了，这才是问题所在。认证只解决"你证明你是你"的问题，不解决"你能干什么"的问题，这两个是不同的能力层次，混在一起谈就容易出问题。

第二层管的是"进来之后能干什么"。网络接入认证系统可以按用户组、时间、终端类型、IP地址等维度设策略——员工能访问OA和邮件，但访客只能上外网；某个IP段不允许访问核心数据库；超过晚上六点访客账号自动失效。这些策略是认证之后的行为管控，不是认证本身。很多人把这两层搞混，以为认证做了就等于管控做了，实际差得很远。认证是发钥匙，策略是决定这把钥匙能开哪扇门，两件事要分开做。

第三层是"谁干了什么要能查出来"。上网日志留存是这一层的核心。等保合规要求至少留存180天，能查到什么人、什么时间、从哪个终端接入、访问了什么地址。日志不存或者查不到，前两层做得再严也等于裸奔。实际项目里，第三层是最容易被压缩成本的环节——预算不够先砍日志，这是最不应该砍的地方。日志的完整性决定了这套系统能不能在出问题时真正派上用场。

三层管到位，网络接入认证系统才算真正发挥作用。只买认证功能但不加策略管控，系统就只是多了一道登录页，实际安全效果很有限。见过太多项目花钱上了认证系统，安全检查时访客终端还是能扫到内网地址，根本原因就是策略层没做隔离。

方案规划容易出现的问题有两个。

一是把认证和策略混为一谈。选型的时候问的是"支持哪些认证方式"，实际项目落地之后才发现策略配置一团乱，不同部门的权限全靠一个通用策略撑着。有的企业IT觉得自己有认证就算管控了，安全检查时一测，访客终端接入后能扫到财务IP段，才发现策略根本没做隔离。认证和策略是两套独立的配置体系，选型时要把策略维度问清楚，这个问题的答案比认证方式本身更重要。

二是忽视日志合规要求。不是说有了上网记录就算合规，日志格式、留存时长、调取方式都有具体要求。等保二级以上180天留存是底线，不是建议。有些系统默认只存30天，项目实施时没改这个参数，测评时才傻眼。另外日志字段够不够用也很关键——有些系统只记"某IP认证成功"，记不住这个IP对应的是哪个人、哪个部门，真出事了查无可查。

还有一种情况值得单独说：很多企业在采购网络接入认证系统之前，网络里已经部署了有线接入设备和无线AC，认证系统是新加进去的。这种场景下，认证系统和现有网络设备的对接兼容性就变得特别重要——不是所有认证系统都能跟各品牌AC无缝对接，协议版本不匹配、Portal推送方式不兼容的情况很常见。选型时要做对接测试，不要只看功能列表就下单。蓝海卓越V7的Portal认证支持华为Portal 1.0/2.0和CMCC协议，能兼容大多数主流AC设备，这个能力在多品牌混合组网的环境里很关键。

判断一套网络接入认证系统是否适合自己企业，有三个问题必须先有答案：现有网络设备是什么品牌、这次要管的是员工还是员工加访客、有没有等保合规要求。把这三个问题的答案拿到手，再去看方案和报价，会清楚很多。

还有一个判断维度是运维团队的能力边界。网络接入认证系统功能再强，最终要有人会用才能发挥作用。802.1X听着很美，但终端装客户端、版本兼容性、日常故障排查都需要IT人员懂这套东西。有些企业的IT团队只有两三个人，维护能力有限，上一套复杂的认证系统，实际用起来反而成负担。选型的时候把运维能力也算进去，选一套用得起来的，比选一套功能多但用不起来的要好得多。

规划阶段多花的时间，比上线之后再返工要值得多。前期想清楚三层管控的边界在哪里，比后期救火要省事得多。

还有一个经常被忽视的点是网络接入认证系统的可扩展性。企业不是一成不变的，组织架构在变，员工数量在变，接入场景也在变。今天只有两个分支，明天可能一下扩到十个。今天只管员工，明天可能就要把访客、外协人员、IoT设备全部管进来。选型的时候要把未来两三年的扩展需求考虑进去，看系统能不能支撑账号数量的增长、新增的认证方式、分布式节点的扩容。这件事在签合同之前谈比签合同之后谈要容易得多，也便宜得多。