访客管理是网络准入系统里最容易被忽视、但出问题最麻烦的一块。

很多项目的逻辑是：内部员工管住就行，访客随便用。这种做法在小型办公室没问题，但到了工厂、医院、政务大厅这类场所，访客来源杂、滞留时间不确定、访问目的不一样，没有管控就会出现各种麻烦——有人在公共区域用网络挖矿，有人占满带宽影响办公，有人出了事根本查不到人。

访客管理的核心不是"能不能接入"，而是"接入之后能不能管住"。

访客账号的生命周期要可控

访客账号最怕的情况是：发出去一个账号，对方用了一天、两天、一周，但什么时候走不知道，账号什么时候该失效也不清楚。

好的访客管理设计应该支持按时间自动失效。比如访客当天有效，过了午夜12点自动失效；或者访客进场时开通，离场时扫码主动销权。没有这个机制，"临时账号"就会慢慢变成"永久账号"，安全边界越撑越大。

访客和被访人要绑定

单纯的访客账号（张三的访客、李四的访客都用同一个WiFi密码）只能管住"谁接入了网络"，管不住"谁该为这个账号的行为负责"。如果出了问题要看日志，只能看到"这个IP这个时间上了网"，但不知道是谁带来的访客。

高级一点的方案是访客必须关联到被访人。访客进场时，填写被访人信息，系统记录"访客A由员工B邀请"这样的关系链。出了安全问题，能追溯到邀请人。

访客的权限要有梯度

不是所有访客都一样。检查人员需要访问内网某些业务系统，供应商只需要上网查资料，客户只需要访问互联网。共用一个访客网络的话，要么权限给大了（供应商能通内网），要么权限给小了（检查人员访问不了业务系统）。

准入系统应该支持按访客类型分配不同权限：不同的SSID、不同的上网策略、不同的可访问范围。这需要和角色管理配合，不是简单的一个访客账号走天下。

访客记录要能查、能导出

很多项目上线时谈好了"访客实名登记"，但真到了公安检查的时候，发现系统只能查"谁上了网"，查不到"这个时间段这个区域有哪些访客"。这个差别很大。

选型时要问清楚：访客上网记录能不能按时间、按区域、按被访人导出？格式符不符合公安合规的要求？如果系统不支持导出，或者导出格式对不上，上线之后再补就很麻烦。

访客管理看起来简单，做好不容易。核心是把"账号从哪来到哪去"这条链路管清楚，而不是只管"能不能接入"这一头。能管住接入的，不一定能管住行为；能管住行为的，还要看日志能不能用、导出合不合规。