做企业无线网络改造的时候，认证方案的选型决策往往在项目初期就被忽略了。很多IT负责人的思路是：先把AP铺好，再随便接一个认证系统。结果改造完之后，认证系统和AP的联动不顺畅，Policy配置来回调，甚至推翻重来的情况都有。这篇文章想从方案对比的角度，把企业无线上网认证的四种主流方式摆出来，说清楚各自的适用场景和实际使用中容易碰到的问题。

Portal认证（Web认证）

Portal认证是目前企业无线上网认证里用得最广的一种。用户连上Wi-Fi之后，发起HTTP请求，AC设备把流量重定向到Portal认证页面，用户在页面上完成认证后放行。整个过程不需要在终端上预装任何客户端，手机、电脑、平板通用。

Portal认证的灵活性比较高：认证页面可以高度定制，可以加企业Logo、放广告位、设置不同语言版本；认证方式可以叠加，短信、账号密码、微信、扫码都可以在Portal页面上实现；还可以基于时间、地点、用户组推送不同的认证页面，对大型企业来说这很有用。

Portal认证的局限在于它依赖HTTP重定向，有些特殊场景会出问题。比如用户直接访问HTTPS站点，重定向就不一定能弹出来，需要AC配合做DNS拦截或者HTTPS强制跳转。另外，Portal认证对网络架构有一定要求，AC或者旁路网关必须能拦截未认证流量并做重定向，如果网络设备不支持或者支持的Portal协议版本不对，对接就会很麻烦。

实际项目里，Portal认证的对接成本主要取决于AC设备品牌。华为、H3C、锐捷等主流品牌的Portal协议文档比较完整，对接通常没有大问题。但有些小品牌的AC，或者比较老的AP控制器，Portal协议实现不标准，会导致重定向时序混乱、认证页面显示异常等问题，调试起来比较耗时。

802.1X认证

802.1X是基于端口的网络接入控制协议，认证在网络层完成，不依赖Web页面。终端需要安装802.1X客户端，或者操作系统自带支持（Windows、macOS都内置了802.1X支持）。认证通过后，接入端口才会放行流量。

802.1X的安全性比Portal高，不需要捕获HTTP请求，认证在底层完成，绕过难度大；同时可以直接与AD域或Radius服务器集成，员工用域账号登录电脑的同时完成Wi-Fi认证，体验上几乎无感知。

但802.1X的门槛也更高。客户端配置比较复杂，特别是批量推送证书或者配置文件，需要MDM（移动设备管理）系统配合，不是所有企业都有这个基础设施。另外，802.1X对终端类型的支持有限制，物联网设备、老旧打印机、会议室大屏等通常不支持802.1X，需要单独走MAC旁路认证或者放入白名单，管理起来比Portal认证复杂。

从成本角度看，802.1X的初期部署成本比Portal高，特别是需要PKI证书体系的时候。但对已经有AD域、已经在用MDM的企业来说，802.1X是比较自然的企业无线上网认证选择，可以和现有IT基础设施配合得比较好。

MAC无感知认证

MAC无感知认证不是独立的认证方式，而是建立在第一次认证通过之后的免认证机制。原理是：用户第一次用Portal或802.1X完成认证，系统记录该终端的MAC地址；之后只要同一MAC地址的设备接入同一网络，直接放行，不需要重新输入账号密码。

这个方式对员工体验提升很明显，早上到公司，手机连上Wi-Fi，自动认证通过，根本感觉不到有认证这个步骤。但它的安全前提是MAC地址可信，而MAC地址在现代操作系统里是可以被伪造或随机化的。iOS 14以后默认开启MAC地址随机化，同一个iPhone在不同时间可能呈现不同的MAC，会导致MAC无感知认证频繁失效。

如果企业员工的设备以iPhone为主，需要在认证系统里做特殊处理，或者引导员工关闭特定网络下的随机MAC设置。这个问题不是不可解决，但需要提前知道有这个坑，而不是上线之后才发现员工每天都在重新认证。

MAC无感知认证更适合的场景是：物联网设备（没有用户操作界面）、公司发放的固定设备（MAC地址受管控）、访客设备的二次访问（同一天内多次进出）。

LDAP/企业OA对接认证

这种方式的本质是：用企业现有的用户数据库作为认证源，而不是在认证平台里单独维护一套账号。员工用OA账号、企业微信账号、钉钉账号等已有身份来完成企业无线上网认证。

账号管理成本低是它最大的好处，人员变动、入职离职只需要在OA系统里操作一次，认证系统实时同步，不需要IT手动维护两套账号体系。对中大型企业来说，光是这一点就能节省大量运维精力。

技术实现上，LDAP对接比较成熟，主流认证平台都支持；钉钉、企业微信的对接则需要走第三方API，接口稳定性和访问频率都有限制，要在设计阶段评估清楚。

需要注意的一个细节：对接认证时，系统查询OA的频率要配置合理。如果每次认证都实时查询OA，OA接口压力大，且OA如果临时不可用，会直接影响无线认证。比较稳妥的做法是设置缓存，允许短时间内的离线认证（比如OA故障时，已缓存的账号仍然可以正常认证）。

怎么选：几个关键判断维度

企业规模在500人以下，设备类型简单，预算有限：Portal认证加短信验证，能满足基本需求，部署成本低，运维压力小。

已经有AD域、有MDM体系的企业：802.1X和Portal双轨并行，员工设备走802.1X，访客和老旧设备走Portal，覆盖面全，管理规范。

有大量外部访客的场所（展会、培训机构、政务大厅等）：Portal认证加短信认证或扫码授权选一种，重点是流程简单、记录完整。

制造业、有IoT设备的环境：必须规划MAC白名单策略，单纯Portal认证解决不了哑终端的准入问题，需要认证平台支持MAC旁路认证并允许手动维护白名单。

企业无线上网认证方案的选择没有标准答案，取决于企业的用户规模、设备类型、现有IT基础设施、安全合规要求这四个维度。提前把这四个维度想清楚，选型的时候才不会走弯路。