我的网络结构，究竟应该怎么接入 WiFi实名认证？

蓝海卓越在 21 年 WiFi认证项目实施过程中，几乎每天都会遇到这个问题。实际上，WiFi实名认证的落地方式并不复杂，核心只取决于一点：

现有网络设备，是否支持外部 Portal 认证。

一、AC 支持外部 Portal 认证：WiFi实名认证可直接软件对接

在中大型酒店、连锁酒店、部分新建公寓项目中，通常会部署 AC 控制器统一管理 AP。

如果 AC 具备以下能力：

• 支持外部 Portal 认证

• 支持 RADIUS / HTTP 回调

• 支持将认证结果交由第三方系统判定

那么 WiFi实名认证可以采用纯软件对接模式。

WiFi实名认证的实现方式

在这种情况下：

• 蓝海卓越 WiFi实名认证系统作为认证中心

• AC 负责流量控制与放行

• 用户认证页面由 WiFi实名认证系统统一提供

• 认证日志由系统集中生成

只需在网络侧额外部署一台日志服务器，即可满足公安对 WiFi实名认证的合规要求。

二、为什么这种模式更适合连锁酒店与集团项目

在 AC 支持外部 Portal 认证的前提下，WiFi实名认证具备以下优势：

• 不需要增加出口设备

• 网络结构保持不变

• 易于多门店统一管理

• 认证策略可集中下发

这也是为什么在酒店集团、连锁品牌、公寓平台中，WiFi实名认证通常以软件系统为核心。

三、AC 不支持或根本没有 AC：WiFi实名认证必须依赖认证网关

但在实际项目中，更常见的情况是：

• AC 型号老旧

• AC 不支持外部 Portal

• 根本没有 AC

• AP 为普通胖 AP

在这种情况下，如果仍然强行做软件对接，WiFi实名认证将无法真正控制用户流量，公安合规也无法保证。

此时，唯一正确的方式就是：部署 WiFi实名认证认证网关。

四、认证网关在 WiFi实名认证中的真实作用

认证网关并不是“多余的设备”，而是承担三个关键角色：

1. 用户流量必经节点

2. 实名认证结果的执行者

3. 上网日志的采集者

只有当所有上网流量经过认证网关，WiFi实名认证才是“可控的”。

五、认证网关的标准部署位置

在蓝海卓越的实施规范中，认证网关通常有三种部署方式：

1️⃣ 串接在主路由器下方

• 主路由器负责外网接入

• 认证网关负责实名认证与审计

• 下联交换机与 AP

这是最常见、也是最稳定的 WiFi实名认证部署方式。

2️⃣ 部署在主交换机下方

• 适用于交换机为核心节点的网络

• 所有出口流量统一经过认证网关

• 不影响内部 VLAN 结构

3️⃣ 旁路部署（特定场景）

• 网络无法中断改造

• 通过策略镜像或引流

• 同样实现 WiFi实名认证审计

无论采用哪种方式，核心目标只有一个：
所有上网行为，必须被 WiFi实名认证系统感知并记录。

六、小型酒店为什么更适合“认证网关型 WiFi实名认证”

在小型酒店、宾馆、旅馆场景中：

• 网络结构简单

• 无 AC

• 不追求复杂功能

• 核心目标是通过检查

此时，采用小型 WiFi实名认证审计网关：

• 部署快

• 改动小

• 稳定性高

• 合规风险最低

比“改网络、换设备”要现实得多。

七、无论哪种方式，WiFi实名认证的结果必须一致

不管是：

• AC 直连外部 Portal

• 还是认证网关控制流量

最终，WiFi实名认证都必须实现以下结果：

• 真实身份认证

• 用户与终端绑定

• 上网行为可追溯

• 日志可随时调取

蓝海卓越所有 WiFi实名认证方案，最终目标都是同一套公安认可的合规结果，而不是“设备形式”。

八、WiFi实名认证不是选设备，而是选“适配方式”

很多整改失败的项目，并不是系统不行，而是：

• 网络条件不匹配

• 部署方式选错

• 责任边界不清

蓝海卓越在项目中始终坚持：
先判断网络条件，再确定 WiFi实名认证形态。

这也是 WiFi实名认证能够长期稳定运行，而不是“应付一次检查”的关键。