校园网很少有从零新建的机会。大多数改造项目，都是在现有网络基础上做替换和升级。新老设备并行、设备型号不一、厂商各异，这是常态。在这种混合环境下做统一的认证策略，难度比新建设项目要大得多。新建设项目是从零开始设计，改造项目是在跑步中换引擎，两者的工作量根本不是一个量级。

这个问题不是某一家厂商能独立解决的，它是整个网络架构层面的挑战。厂商提供的是设备和服务，真正做架构判断的还得是学校自己的技术团队。

认证策略统一的前提是设备能力对齐。

老的接入交换机可能只支持PAP认证，新上的设备支持CHAP和EAP。再老的设备可能连802.1X都不支持，只能用Portal认证。在这种情况下，要做统一的认证策略，首先要摸清楚每台设备能支持哪些认证方式，在此基础上做能力分级。这件事说起来简单，做起来却需要到每一栋楼的每一台设备上去确认，工程量不小。

分级之后，不是所有设备都用同一种认证方式，而是让每台设备用自己支持的最优方式，同时保证策略效果一致。比如支持802.1X的走802.1X，不支持的走Portal，但账号体系、计费规则、漫游策略都是统一的，用户在不同区域之间切换不应该感受到认证方式的差异。这种体验上的统一，比技术上的统一更重要。

建议在分级完成后画一张认证能力地图，把每台设备的认证能力、所在位置、支持的用户类型标注清楚。这张图不只是给技术团队看的，也要让运维人员熟悉，在后续的故障排查中能快速定位问题设备。

AAA服务器的集中管理是混合组网的核心。

无论有多少种认证方式，最终账号验证、授权下发、计费记录都要集中到一个AAA服务器上。如果老的设备已经有一台AAA服务器在做这部分工作，新上的设备又要连自己的AAA，两套AAA并行运作，用户体验就会碎片化。同一个账号在老校区认证成功，在新校区认证失败，这种问题一旦出现，用户第一反应是系统有bug。

统一AAA是方向，但实施时要特别小心迁移过程。用户数据迁移、策略迁移、现有会话的处理方式，这些细节决定了迁移的平滑程度。建议提前做一份完整的账号数据映射表，明确哪些用户走哪个AAA，新旧AAA之间的数据同步机制怎么建立。这份映射表也是后续对账和审计的依据，不能草率。

迁移窗口的选择也很关键。寒暑假期间用户活跃度低，是做网络层面变更的好时机。建议把AAA迁移安排在开学前两周内完成，并预留足够的问题处理时间，不要在开学第一周还做大的架构调整。

VLAN和策略下发的一致性容易被忽视。

认证通过了，但不同区域的网络策略不一致，这也是混合部署中常见的问题。同一类用户在老校区能访问图书馆资源，在新校区反而访问不了，查了一圈发现是VLAN配置差异导致的。这种问题用户感知不到是认证层面的问题，只会认为系统有问题，然后去投诉。

策略下发的一致性需要在网络架构设计阶段就统一规划，不同区域的同一类用户应该有相同的授权模板，无论他通过哪台设备接入，访问权限是一致的。这个一致性不只是功能层面的，也是体验层面的。如果用户发现他在图书馆用手机和用电脑的访问权限不一样，也会产生困惑。

设备替换计划要有过渡期的混合管理方案。

混合环境不是问题，一直混合才是问题。随着老设备逐步替换，最终目标是全网统一认证。但在这个过程中，必须有一套清晰的设备替换计划和过渡期管理方案。替换顺序、验证流程、异常回滚预案，这些都要提前定好。

建议按区域或按设备类型分批替换，每批替换后做一次完整的认证策略验证，确认用户在任何区域的行为都是一致的，再推进下一批。跳跃式替换风险很大，一旦出现问题影响面广，定位问题也困难，而且每次大范围故障都会损耗用户对系统的信任。

新老混合的校园网认证，统一的是策略，不是设备。理解这一点，才能做好这件事。策略统一是目标，设备替换是手段，两者不能倒过来。