给企业做无线覆盖，认证这一层看起来是个小模块，真到上线的时候才发现它是所有矛盾的交点。员工要方便，IT要可控，管理层要合规，访客要走独立通道，老系统要能对接，新设备不能乱加。企业办公无线认证并不是一个能直接套模板的事情，它在不同规模、不同管理习惯的公司里，长出来的样子完全不一样。见过不少项目，方案阶段说得通，上线第一天投诉就堆起来，问题几乎都出在认证边界没有提前想清楚。

第一个常被忽略的边界，是员工认证和访客认证不是同一件事，却经常被放在同一个逻辑里处理。员工认证的核心诉求是：一次认证、多设备可控、与现有账号体系打通。访客认证的核心诉求是：隔离、限速、时效、可追溯，最好还能对接到预约系统或前台登记。把两套需求混在一起，要么员工体验差，要么访客隔离形同虚设。实际做的时候，认证网关需要支持不同的认证流程和不同的权限模板，员工走802.1X或企业Portal，访客走临时账号或短信认证，认证通过后进入不同的VLAN或不同的策略组。这个分层不是可选项，而是企业无线认证能不能跑稳的基础结构。

第二个边界，是关于认证日志和追溯能力的。很多企业只在意认证能不能通，不在意认证日志存多久、能查多细。等到真的需要追溯的时候，才发现日志不全或者格式对不上。企业办公无线认证里的日志，至少应该覆盖几个维度：什么人、什么设备、什么时间、认证通过还是失败、IP和MAC是什么、走了哪个接入点。这些字段看起来基础，但如果认证网关本身不支持按字段导出，或者日志存储周期太短，后面要做审计或排查问题的时候就会非常被动。有些行业对日志留存时间有明确要求，这个边界如果在方案阶段没有写清楚，上线以后再补成本会很高。

第三个边界，是企业现有身份系统能接多少、怎么接。很多企业在选无线认证方案的时候，会希望直接对接公司现有的LDAP、AD或者统一身份认证平台。这个方向是对的，但实际能做多少，取决于两个东西：一是认证网关是否支持标准协议，二是企业现有身份系统的开放程度。并不是所有企业的AD都允许第三方系统直接读账号，也不是所有统一认证平台都愿意开放认证接口。碰到这种情况，比较现实的做法是做分级认证：核心系统走严格的802.1X加证书，一般办公区域走Portal加账号密码，访客区域走完全独立的认证链路。企业办公无线认证做到这个程度，管理的颗粒度和用户体验之间才容易找到平衡点。

企业在做无线认证规划的时候，容易被功能清单带着走，忽略了自己真正的管理边界在哪里。认证网关、Portal服务器、账号数据源、日志系统、网络设备，这几个部分各自有自己的参数和限制，真正稳定的方案不是把功能堆得最多，而是把边界划得最清楚。企业办公无线认证这件事，值得在方案阶段多花一点时间把边界想清楚，后面省下来的运维精力和用户投诉处理成本，会比预期的多。