很多企业在找企业无线上网认证方案之前，其实没搞清楚自己要解决的是哪类问题。有人说要"管住访客"，有人说要"和AD域对接"，有人说要"满足合规"——这些需求本质上是不一样的，套在同一套方案里，落地就容易出问题。

把企业无线上网认证的需求拆开来看，大概分三层：

第一层是接入控制，就是谁能连、谁不能连。这是最基础的，没有认证的网络等于开放给任何人，安全隐患是根本。密码接入不算真正的认证，因为密码一旦泄露，控制就失效了。真正有效的接入控制，要做到每个上网行为绑定到一个可追溯的身份。

第二层是策略分级，就是不同用户得到不同的权限。员工能访问内网资源，访客只能上互联网。管理层设备可以不受速率限制，普通员工有带宽上限，访客更紧。这层如果没做好，访客接入之后能访问企业内部系统，那认证做了也是白做。

第三层是行为记录与审计，就是上网日志要留存。这一层通常是被动需求——等保评估、行业监管检查进来之前，大多数企业不太关注这个。但做了前两层如果日志没有，出了安全事件既无法回溯，也无法证明企业已经履行了合规责任。

蓝海卓越V7统一认证计费系统对应的就是这三层需求。接入控制通过Portal认证来实现——用户连上WiFi之后，发起任何http访问都会被重定向到认证页面，没认证通过就无法上网。策略分级则依托多SSID和VLAN机制，员工走一个SSID、访客走另一个，后台对应不同的认证页面、不同的带宽策略、不同的访问权限。日志方面，V7内置日志系统，覆盖上网记录、认证失败记录、Portal推送日志等，可以对接第三方审计系统，满足公安审计要求，日志留存通常不低于180天。

这里有一个常见误区要说清楚：认为企业无线上网认证只是IT基础设施的事，跟业务没关系。实际上，认证页面本身可以承载企业宣传内容，认证成功后可以强制跳转到企业官网或指定页面，这是一个不需要额外成本的品牌触点。连锁行业的企业用这个做过二次营销——访客完成短信认证后，跳转到促销活动页面，转化率比推广短信高不少。当然，这是增值用法，不是所有企业都有这个需求。

关于认证方式的选择，企业场景常见的有这几类：

短信认证：适合访客场景。访客输入手机号，收到随机密码，认证上网。操作简单，身份绑定到手机号，事后可查。前提是企业要有短信网关，或者对接外部短信服务，每条短信有成本，访客量大的企业要估算一下。

用户名密码认证：适合内部员工固定账号场景。账号由管理员在V7后台统一创建，员工用分配的账号密码登录。优点是不依赖短信，适合工厂、园区等手机信号弱的环境。缺点是账号要手动维护，员工离职之后要及时删除，否则账号还在。

LDAP/AD域对接：适合企业已有Windows域或LDAP目录服务的场景。员工用域账号认证，不用另建账号体系，IT维护成本最低。员工入职域账号同步，离职域账号停用，认证系统自动生效，不需要在两个系统分别操作。前提是企业已经搭建了AD域环境，LDAP端口要开放，权限申请不能拖太久。

OA/CRM系统对接：适合企业已有OA或CRM系统，希望员工用现有账号认证的场景。V7支持通过API对接，员工认证时实时查询OA系统账号状态。这个方式的好处是账号生命周期完全由OA系统管理，认证系统不需要单独维护。前提是OA系统要提供接口，API文档要可用，IT部门要配合开放权限。

说完认证方式，再说一个经常被忽视的问题：哑终端的接入。打印机、考勤机、门禁设备、IoT传感器——这类设备不支持浏览器弹窗，Portal认证对它们完全无效。解决方案是MAC白名单，把这类设备的MAC地址加入白名单，认证系统自动放行，不走Portal流程。这一类设备如果在项目设计阶段没想到，上线之后会发现一堆设备连不上网，然后要专门去改配置，费时费力。

蓝海卓越的V7系统在这方面支持无感知认证和二次免认证机制，设备第一次认证通过后，MAC地址绑定，后续自动接入，不用每次重复认证。对于员工自带设备（BYOD）场景，这个功能可以显著降低IT帮台的咨询量。

关于部署方式，V7支持桥接、NAT、旁路三种模式，适用于不同的网络架构。桥接模式对原有网络改动最小，旁路模式不需要串入现有网络链路。选哪种要根据企业当前网络结构来判断，不是所有场景都适合同一种部署方式，这个问题要在方案设计阶段确认，不要等到实施时再临时决定。实际项目里，中小型企业的网络结构相对简单，旁路部署最常见；大型园区或有复杂VLAN规划的企业，桥接方式能更彻底地实现流量管控。

还有一点值得说：企业无线上网认证的Portal认证页面是可以完全定制的，不是非得显示系统默认的白底蓝字登录框。V7的Portal页面支持WEB编辑，可以上传图片、修改文字、设置跳转链接，所见即所得。企业可以在认证页面上放自己的logo、当期活动公告、注意事项，访客在认证时就会看到，这是不需要额外投入但可以做出来的品牌触点。认证页面还支持终端自适应，PC和手机推送不同格式的页面，避免手机端出现缩放显示异常的问题。

最后说一个判断点：企业无线上网认证要做到什么程度，取决于企业的安全需求层级和IT团队的维护能力。没有等保要求、访客量不大的中小企业，短信认证加基本日志往往已经够用，不用追求复杂方案。但如果有等保二级以上要求，或者内网资产对安全要求高，认证方式、日志留存和审计对接就要认真设计，这些不是上线之后能打补丁的东西。