做过几个网络准入项目的同行都有一个体会：准入认证系统的选型，最难的往往不是功能对比，而是准入策略到底怎么定。功能清单各家拉出来都差不多，但策略一旦设计错了，上线后的体验、安全和运维成本是截然不同的。

第一个要搞清楚的策略问题是准入的粒度：设备级准入还是用户级准入。设备级准入指的是判断这台设备是否被授权接入网络，典型方式是通过MAC地址白名单或802.1X证书校验，你只要设备过了就全过。用户级准入则是进一步验证"用这台设备的人是不是授权用户"，比如Portal页面输入账号密码、LDAP认证、企业微信扫码。两种粒度对应完全不同的安全等级和管理成本。如果你的场景是办公区固定工位、设备不流动、安全要求中等，设备级准入足够用。如果是多人共用终端、外部访客频繁、或者安全等级要求高，那用户级准入就必须做。有的项目一开始想得简单，按设备级准入做了，后来发现访客来了不知道怎么管，再改就麻烦了。

第二个容易被忽略的策略问题是：准入失败的默认动作是什么。很多人在选型阶段只关注"准入成功之后怎么样"，不太关心"准不成功会怎样"。实际上准入失败的处理策略直接影响用户体验和网络可用性。常见的有三种：直接拒绝（用户完全访问不了任何资源）、放入隔离VLAN（只能访问有限资源，比如访客门户或IT支持页面）、放行但标记告警（先让用户上网，事后审计）。三种策略各有利弊，直接拒绝最安全但体验最差，放行告警最友好但安全最弱。实际项目中，多数场景建议采用隔离VLAN策略，既保证了核心网络的安全，又不会让用户在准入失败时完全失联、不知道发生了什么。关键在于要提前定义清楚哪些资源在隔离VLAN里是可达的，避免隔离VLAN本身成为一个被忽视的安全缺口。

第三个策略问题是准入的时机控制。有些场景要求用户一连上网络就立即触发准入认证，这叫预准入；有些场景允许用户在未认证状态下访问一些基础应用，等需要访问敏感资源时再触发认证，这叫按需准入。行政办公、政府机关这些场景通常要求预准入，安全性优先。而大型企业、智慧园区则可能更适合按需准入，先把上网体验做顺，再在关键节点做认证拦截。这里有一个实际经验可以分享：预准入和按需准入不是二选一的关系，好的准入系统应该支持混合策略——比如办公区预准入、公共区按需准入，或者办公时段预准入、非办公时段按需准入。如果系统只能全网用一种准入策略，在多场景并存的真实环境里就会很受限。

第四个策略问题是终端类型的差异化准入。现在一个网络里接入的设备类型比过去复杂多了：员工笔记本、办公台式机、手机平板、哑终端（打印机、摄像头）、物联网设备、BYOD设备。不同类型终端的认证能力和安全要求差异很大。手机和电脑可以走Portal或802.1X认证，但哑终端没有交互界面，只能走MAC认证或证书认证。物联网设备可能没有802.1X客户端，需要专门考虑准入方式。选型时要拿着自己实际网络里的设备清单逐一对应，看看系统能不能为不同类型的终端提供合适的准入方案。关键不是系统支持多少种认证方式，而是能不能在同一网络里按终端类型自动匹配不同的准入方法。如果每次接入一台打印机还需要人工配置MAC白名单，那准入管理成本就太高了。

第五个核心策略问题是准入策略的变更管理。准入策略不是一上线就定死的，组织架构调整、新业务上线、安全合规要求变化，都会触发准入策略的修改。好的准入系统应该支持策略的可视化管理和变更审计，每一次准入规则的调整都能追溯到操作人和操作时间。更重要的是，策略变更应该支持灰度发布和回滚——在正式推全之前，先在少量设备或用户上验证策略效果，确认无误后再全量生效。没有这个能力的系统，策略变更就是一次赌博，影响范围和后果都不可控。

以上五个策略问题，在选型阶段逐一和厂商确认清楚，明确系统在策略粒度、失败处理、准入时机、终端差异化和变更管理上的真实支持能力，比把功能清单从头到尾过一遍更有实际价值。功能清单可以写得很长，但策略设计的灵活性才是决定项目成败的底层能力。

最后补充一个容易被忽略的采购判断点：准入策略配置的复杂度直接影响运维团队的学习曲线。有些系统功能很强，但策略配置界面设计复杂，需要专门培训才能操作；有些系统配置相对简洁，但灵活性有局限。选型时建议让运维团队实际体验一下策略配置流程，看看日常操作是不是在可接受的复杂度范围内。功能强大但运维不会用，效果也出不来。