企业园区的WiFi认证需求和酒店、学校都不一样，难点不在技术，而在用户类型太杂。同一张网络上，有正式员工、有外包人员、有访客、有合作伙伴，还有打印机、监控摄像头这些根本不会输密码的设备。如果认证策略搞一刀切，要么安全漏洞一堆，要么员工天天骂体验差。

蓝海卓越在做园区WiFi认证方案时，通常第一步要做的事不是选型，而是把用户类型先梳理清楚。这步没做好，后面什么方案都是白搭。

一般来说，企业园区的网络用户可以分成四类：正式员工、临时/外包人员、外来访客、哑终端设备。这四类人（和设备）的认证逻辑、权限范围、使用时长都不一样，必须分别处理。

正式员工的认证方案

多数企业都有AD域（Active Directory），员工上班用的电脑账号就是AD账号。V7认证系统支持LDAP对接，可以直接用AD账号做WiFi认证。优点明显：员工不需要记两套密码，IT不需要单独维护一个WiFi账号数据库，员工离职在AD里禁用账号，WiFi权限同步失效，不会出现离职人员还能接入内网的问题。

如果企业用的是企业微信、钉钉或飞书，也可以用这些APP做认证入口，员工扫码或者APP内跳转完成认证，不用额外记账号密码。这种方式在员工入职频繁、流动性大的企业里用起来比LDAP更顺手，因为办公APP是员工第一天就装好的，不需要额外操作。

MAC无感知认证在这里很重要。员工第一次用账号登录后，系统绑定这台设备的MAC地址，之后在园区内漫游时自动免认证接入，从宿舍走到食堂再到办公室，业务不中断，不用每次进区域都重新登录。

临时人员和外包的管理

这类人员的特点是：不在AD里，有效期有限，而且经常换人。如果给他们正式员工账号，管起来太复杂；如果让他们走访客通道，权限又不够。

比较常见的处理方式是在认证系统里设置一个独立的临时账号池，IT或者部门负责人通过后台批量生成账号，指定有效期（比如3个月、6个月），账号到期自动失效。临时人员登录后分配到一个专用VLAN，可以访问内网特定资源，但访问范围比正式员工要窄，不能随便进核心业务系统。

这样管理员不需要逐个运维，有效期到了系统自动清理，不会留下一堆僵尸账号。

外来访客的认证

访客情况更复杂。有的是来开会的合作伙伴，有的是来维保的供应商，有的是客户参观团。这些人不能进内网，但也不能完全不管，公安的日志要求对他们同样适用。

最常见的方案是短信认证走访客VLAN。访客连上一个单独的访客SSID，跳转页面填手机号，收验证码通过后能上互联网，但和企业内网完全隔离。这个方案的好处是自助完成，不占前台人力；缺点是无法限制单个访客的访问时长，如果访客敏感度高，可以设置每次认证有效时间（比如8小时）。

对于来访时间固定、需要访问特定内网资源的合作伙伴，可以由对接的部门申请临时账号，IT后台审批，访客用临时账号登录后进入受限内网区域，访问范围只限申请时指定的资源。

哑终端的问题

这是很多企业容易忽略的盲区。打印机、会议室大屏、无线摄像头、门禁控制器、智能空调……这些设备联网，但不会自己填账号密码，也不会接收短信验证码。

处理方式是MAC地址白名单。IT提前在认证系统里录入这些设备的MAC地址，标记为免认证设备，连上网络后自动放行，但日志里有记录，不是真正的"免管"。白名单要定期核查，一旦某台设备报废或者被替换，旧MAC要及时从白名单里删掉，否则这个MAC一旦被伪造，就成了一个免认证的后门。

802.1X是另一条路

如果企业对安全要求很高，特别是金融、政府、研究院这类机构，账号密码加上VLAN隔离可能还不够，这时候可以考虑802.1X认证。这是基于端口级别的认证，没认证通过，端口就不通，比Portal认证的安全等级高一个档次。

不过802.1X的部署复杂度也更高：客户端需要配置认证客户端软件，网络设备需要支持802.1X，IT运维的门槛上去了。中小型企业如果没有专职安全团队，通常不建议盲目上802.1X，运维压力会很大。有AD域的大型企业更适合，因为域控和802.1X可以结合，终端入域了自动完成认证，用户几乎感知不到。

多园区场景下的统一认证

有些企业在不同城市有多个园区，员工需要到处出差。如果每个园区一套独立的认证系统，员工每到一个地方都要申请账号，很麻烦。蓝海卓越支持多园区统一认证架构，集中式认证管理中心统一维护用户数据库和认证策略，各园区部署接入节点，员工在北京的账号到上海分公司直接能用，权限配置和总部保持一致，不需要重新申请。

这个场景下的审计日志也是集中存储的，合规检查时不需要跑到各园区分别导出，一个后台全看了。

落地时有几个地方容易出问题。

第一，认证有效期没设好。有效期设太短，员工几个小时就被踢下线，体验差；设太长，离职或临时人员的账号变成长期后门。建议正式员工用无期限账号由AD管理，临时人员设6个月有效期，访客设8-24小时有效期，不同类型分别配置。

第二，VLAN规划和认证没有联动。认证通过了，但VLAN分配逻辑没配对，结果员工连上去发现上不了业务系统，或者访客进了内网，这是配置层面的问题，和认证系统本身无关，但实际上很容易出错。

第三，哑终端MAC没有统一台账。设备多了，没人知道白名单里每个MAC对应什么设备，旧设备替换了也没更新，白名单越来越长，里面充斥着无效记录。建议IT维护一份设备-MAC对照表，和采购记录挂钩，定期审查。