选网络接入认证系统的时候，最容易把人绕晕的就是认证方式。销售跟你说支持十几种，客户案例里写的都是各种名词，但到自己的场景，到底该用哪种，往往说不清楚。先把常见的五种认证方式说清楚，每个适合什么场景、有什么前提条件，条理说清楚比堆功能列表有用得多。

Portal认证（Web认证）是最常见的方案。用户连上WiFi之后，浏览器自动弹出登录页，输入账号密码或者手机号验证码完成认证。这个方式对终端没有特殊要求，手机、电脑、平板都能用。适合访客场景为主的企业，也适合不愿意在终端装客户端的单位。缺点是认证时需要打开浏览器，如果终端是哑设备或者专用设备，这条路就走不通。另外Portal认证的安全性介于中等水平，安全性要求极高的核心内网区域不适合单独使用，需要和其他控制手段配合。

802.1X认证基于交换机或AC的端口控制，需要在终端安装客户端或者启用系统自带的802.1X功能。这个方式安全性最高，因为是网络层准入，终端不通过认证就连不上交换机端口，连地址都拿不到。适合对安全要求高的企业内网，尤其是财务、研发这类敏感部门。但部署相对复杂，每台终端都要配置，哑设备不支持802.1X，IT团队维护能力跟不上的话，802.1X的实际覆盖率会很低，往往出现一批终端永远跑在开放网络上没人管的情况。

PPPoE认证是宽带接入的老路子，运营商用得多，企业里常见于办公楼宇的宽带接入场景。它通过用户名密码拨号建立会话，认证和接入是同一个过程，带宽控制也顺带解决了。适合有线接入为主、设备数量大且相对固定的环境。无线终端如果不支持PPPoE客户端，用起来就不方便，企业无线网络一般不把PPPoE作为首选方式。更常见的是把PPPoE作为备份接入手段。

短信验证码认证本质上是Portal认证的一种变体，只是账号密码换成了手机号加动态码。这种方式不需要提前开户，访客来了直接认证，短信发出去就能用。适合访客量大的场所，比如商场、会议中心、政务大厅。缺点是每次都要等短信，高峰期短信延迟会直接影响体验。另外短信成本不是零，大批量持续使用时要把这个费用算进去。有的地方短信通道不稳定，要提前测试高峰期会不会漏发。

MAC认证（MAC白名单）是相对特殊的一种方式。终端的MAC地址在系统里登记过，接入时直接放行，不需要输入任何账号密码。无感知，体验最好，但只适合设备固定、数量有限的环境。打印机、门禁系统、监控摄像头这类哑终端，是MAC认证的典型使用场景。员工自带的手机和电脑数量多且流动大，用MAC认证维护成本会非常高，终端换了网卡MAC就变了，IT要不断更新白名单，根本管不过来。

说完五种方式，回到实际选型的问题。大多数企业不是只用一种，而是组合着用。员工用802.1X或者OA账号走Portal认证，确保身份可追溯；访客走短信认证，不需要提前开户；哑终端走MAC白名单，不用人操作。蓝海卓越的V7系统支持多种认证方式并行配置，同一台设备上可以同时开员工SSID和访客SSID，各走各的认证策略。这个组合能力是关键，不是所有认证系统都能做到多协议并行的灵活配置。

还有一点选型时经常被忽略：网络接入认证系统支持的认证方式多，不代表这些方式都能在自己的网络环境里跑通。AD域对接的前提是有AD域，802.1X的前提是交换机支持802.1X且终端能装客户端，短信认证的前提是短信网关接口能对接。先确认自己的网络现状，再决定用什么认证方式，而不是拿着功能列表去套。认证方式没有最好，只有最适合。

选型时还有一个经常被低估的维度：认证系统的性能和并发处理能力。有的认证系统在实验室环境下功能跑通了，但到了高峰期几百人同时认证的时候，Portal页面弹不出来，认证一直转圈，实际体验很差。蓝海卓越V7的Portal认证引擎标称每秒认证4000次以上，这个性能指标在高密度办公园区和大型展馆里是有实际意义的。选型的时候要把自己的实际并发峰值报给方案商，让他们用真实场景来评估，而不是只看纸面参数。

最后说一个选型时很少有人提但其实很关键的维度：运维友好度。有的系统功能很强，但配置界面复杂，三个功能要改五个地方，改完之后不知道影响范围有多大，上线之后反而不敢动。网络接入认证系统是长期跑在线上的东西，运维团队要频繁打交道，界面是不是清晰、日志是不是好查、策略冲突的时候有没有提示，这些细节决定了运维团队愿不愿意用、能不能用好。再好的功能，用不起来也等于零。