老旧网络的准入改造是网络准入认证系统项目里最棘手的类型。网络设备已经用了十几年，交换机型号不支持新协议，网络文档残缺不全，有些地方连一根新增的网络线缆都很难走。在这种情况下推进准入控制，需要的不仅是技术方案，还有对整个项目节奏的现实判断。本文从几个实际层面，聊一下老旧网络改造做准入系统时会碰到的问题以及怎么应对。

交换机不支持 802.1X 时，只能走 MAC 认证

老旧网络最核心的问题是接入层交换机支持情况。802.1X 是最理想的有线准入认证协议，但十年前买的交换机很多根本不支持 802.1X，或者支持的版本是更老的、功能不全的子集。一旦交换机不支持 802.1X，准入认证就只能降级到 MAC 地址认证。

MAC 认证比没有认证要好，但它有几个先天性的弱点：MAC 地址可以被伪造，同一台交换机下的所有设备都走同一条策略（因为交换机不支持 VLAN 动态分配），不能根据设备类型划分到不同 VLAN。安全性上，MAC 认证和 802.1X 不在一个量级。

因此，在老旧网络改造项目里，一个重要的前置决策是：是否需要把不支持 802.1X 的交换机逐步替换掉。如果预算不允许全面替换，那就接受 MAC 认证方案，同时做好交换机升级的时间规划——先换核心区域的交换机，再换普通区域的，分阶段推进。

还有一个现实技巧：如果交换机支持"Multi-Auth"模式（支持同一端口上多个终端各自独立认证），即使是在老交换机上，也可以获得比单纯 MAC 认证更好的控制能力。在确认交换机型号后，应该去查它的 802.1X 功能支持列表，看是否支持 Multi-Auth、MAC-Auth-Bypass 等扩展特性。

网络设备配置不统一，策略下发困难

老旧网络往往经历过多次扩建和改造，不同批次的交换机由不同的集成商部署，配置风格不统一。这样带来的问题是：准入系统需要大量手动配置交换机参数，而且每个交换机的配置方式可能不同。

如果使用支持交换机策略自动化下发的准入系统（如通过 Telnet/SSH 或者 SNMP 来自动配置交换机），在老旧网络上通常会遇到困难——交换机版本太老不支持对应的 API 或 MIB 库，认证配置的指令集在不同型号之间不一致，管理 IP 不通，密码缺失。

针对这个问题的务实处理方式是：不要一开始就追求自动化策略下发，先手动配置交换机，并对每台交换机的 RADIUS 配置做严格的一致性检查。把自动化策略下发作为一个阶段性目标，在交换机逐步替换更新后逐步启用。

网络拓扑不清晰，准入边界难以划定

老网络里通常缺少完整的网络拓扑图。经历了多次改建之后，各层设备之间的连接关系、端口映射关系、VLAN 划分情况，要么没有文档，要么文档严重过时。在这种条件下要划定准入认证的边界，难度可想而知。

如果没有准确的网络拓扑信息，准入系统实施时就会出现两个典型问题：一是漏掉了某个边缘交换机或者 HUB，导致大量非受控端口存在，准入边界有缺口；二是接入层交换机上 VLAN 配置不对，认证后的 VLAN 切换没生效，导致终端被分到了错误的网段。

应对方法是：在做准入方案设计之前，先用 LLDP 协议扫描网络，绘制一份尽可能完整的拓扑图（哪怕不够完美）。扫描出来的拓扑图要和实际物理环境对照，确认每个交换机的管理 IP 和端口分布。这份拓扑图不需要精确到每个端口的线缆标签，但至少要能看出哪台设备在哪个层级，以便确定哪些交换机需要配置 RADIUS。

IP 地址规划混乱，现有 VLAN 划分不合理

老旧网络里经常能看到 IP 地址混乱的情况：同一个 IP 网段跨越多个 VLAN，某个 VLAN 里的 IP 已经快用完了，办公室和车间的设备混在同一个子网里。在这样的环境里做准入，把设备按各自的角色划分到正确的 VLAN 是一项体力活。

现实做法是先接受现状，不做大规模 VLAN 重划，只把认证和 VLAN 分配的前提条件做好。认证规则部署完毕后，再逐步进行 IP 重置和 VLAN 重划。一次性把所有设备重新分配 VLAN 的风险太高——一旦某个 VLAN 配置有问题，整个楼层的业务就断了。

具体的分步策略：第一步，按照设备类型（办公终端、打印机、摄像头、服务器）划分 VLAN，每种类型的 VLAN 编号和 IP 网段确定下来。第二步，对主要办公区域的新设备接入生效新策略，老设备保持不变。第三步，分区域、分大楼逐个把老设备迁移到新 VLAN 里。

设备老化导致认证失败率偏高

老旧网络不光是交换机老化，终端设备老化的比例也高——有运行 Windows 7 甚至 XP 的老旧 PC、老式打印机、使用十几年的大屏显示屏。这些设备对 802.1X 的支持往往不稳定，即使配置正确，认证失败的频率也比新设备高。

这类问题的本质不是网络层面而是资产管理层面——需要有人推动这些老旧终端的更新换代。在换代完成之前，准入系统的处理策略是：对这些已知老旧设备做白名单豁免，不要求 802.1X 认证，只做 MAC 地址登记。同时把豁免设备清单列出来，推给资产管理部门，作为设备更新的依据。

缺乏足够的人员和设备投入

老旧网络改造做准入认证项目，相比全新部署要多花两到三倍的工程时间。因为每台交换机都需要人工排查配置、测试认证效果、做一些可能的排错调整。如果项目团队的人手不够，工期就会一拖再拖。

在项目启动前，项目经理需要和决策层明确一个问题：这个项目需要投入多少工程资源？交换机配置谁来做？终端 Agent 部署谁来做？验收测试谁来做？如果内部人员不够，需要外部集成商支持多少天？把这些信息提前讲清楚，才能避免项目推进到一半因为人手不足而暂停。

另外，项目期间的平行运行周期也会拉长——老旧网络上的准入策略应该按照"先旁路、再告警、再执行"的节奏推进，每个阶段给两周到一个月的时间，观察设备行为，确认没有大规模误判。不能一次上线就全部开启强制模式，那样做几乎一定会出问题。

老旧网络改造做准入系统，说到底是"摸底"和"节奏"的问题。先摸清网络和设备现在的状态，再设计一个务实的分阶段推进路径，而不是按方案书上的理想环境来操作。走得慢一点，但每步走稳，比一次大跃进后收拾烂摊子要划算。