企业在选择无线认证方案时，市面上常见的技术路线有四种：Portal网页认证、802.1X企业级认证、MAC地址白名单认证、短信验证码认证。每种方案都有它的适用场景和硬伤，没有哪种是万能解。我们在这几个项目里实际部署和对比过这些方案，把真实表现整理出来，供正在选型的团队参考。

Portal网页认证普及度最高。用户连接SSID后自动弹出认证页面，输入账号密码或手机号即可上网。实施难度低、用户接受度高、扩展性好。但局限性也很明显：Portal页面在移动设备上的体验参差不齐，部分手机系统会自动拦截弹窗导致认证失败；认证过程依赖浏览器，物联网设备完全无法使用；安全性依赖于Portal页面的加密实现，使用明文传输时账号密码有被窃取的风险；在密集场景下性能下降明显，上千个用户同时发起认证请求时，页面加载缓慢甚至超时是常见问题。

802.1X认证是四种方案中技术门槛最高的，安全等级也最高。它基于Radius协议，在接入层做身份验证，支持EAP-PEAP、EAP-TLS等多种认证方式。企业AD域控、LDAP目录服务都可以作为账号数据源，IT部门不需要维护两套账号体系。802.1X的优势在于：认证发生在设备接入层，未通过认证的设备从一开始就无法接入网络；支持证书双向认证，安全性远超Portal；能够和有线网络统一策略管控，员工不管是用网线还是WiFi，权限一致。但802.1X的缺点同样突出：需要客户端软件支持，不同操作系统的兼容性需要逐个验证；物联网设备大量存在时，几乎没有设备能支持802.1X协议；有线和无线统一管控的配置复杂度较高，需要专业的网络和安全团队才能维护好。

MAC地址白名单看起来是最简单的方式——把允许上网的设备MAC地址录入系统，设备连上来就能用，不需要任何交互。实际项目里，这种方案适合设备数量少、变化不频繁且完全物理可控的场景，比如工厂车间里的固定工控设备。它的致命缺陷是没有任何身份验证能力，MAC地址可以被伪造，而且维护成本随设备数量线性增长。几百台设备之后，管理员基本无法手动维护，必须上自动化管理工具，但这样就又回到了系统建设的轨道上。

短信验证码认证本质上是Portal认证的一个变种，用手机号替代了账号密码。核心优势是用户体验好——用户不需要记账号密码，手机号人人都有，接收验证码的速度也快。这个方案在酒店、展厅、商场等面向公众的访客场景里非常流行。但在企业内部使用时，问题就出来了：短信通道依赖运营商，部分厂区位置偏僻信号不好，验证码接收延迟甚至失败；高峰期大量员工同时认证时短信通道压力很大；更重要的是，手机号本身不是企业身份标识，无法和内部HR系统或者AD域打通，员工离职后需要手动注销，不能和HR系统做联动，安全管理上存在漏洞。

选型有一个简单框架：如果以办公人员为主且对安全有一定要求，优先考虑802.1X和Portal混合部署——员工用802.1X，访客用Portal；如果物联网设备占比高，需要单独为这部分设备设计认证方案，不能强行套用人的认证逻辑；如果面向公众开放，短信验证码或者Portal是最务实的选择；如果企业规模在100人以内，IT运维能力有限，Portal认证的维护成本最低。

还有几个坑需要在选型阶段就想清楚：一是认证系统和无线控制器、AP之间的关系，有些无线设备的认证只能在AP层面做，不能在AC层面统一管控，这种约束会直接影响方案设计；二是多分支机构的统一管控问题，总部和工厂是否需要统一的认证策略，还是各自独立运行，这决定了认证系统的架构是集中式还是分布式；三是BYOD场景的处理，员工用自己的手机和电脑连网时，认证策略是否和公司设备一致，要不要做设备指纹识别。这些问题不提前想清楚，选型阶段确定的方案很可能会在实施阶段被迫调整。