员工和访客用同一套WiFi,企业无线上网认证该怎么分开管
公司里员工和访客共用一个WiFi,这件事本身并不复杂,但一旦没设计好,问题会接连来。员工的内网资源被访客误访,访客连上了打印机把文件打出来,或者某个外来设备挂在公司网络上跑流量,IT发现了也不知道是谁接的。
这不是极端情况,而是没做好企业无线上网认证隔离的常见结果。今天说说员工和访客如何在同一套无线基础设施上分开管理,管理边界划在哪、用什么技术实现、落地时要注意什么。
先搞清楚为什么要分开
员工和访客对网络的需求从根本上就不同。员工需要访问内网——打印机、文件服务器、OA系统、ERP——这些资源访客不应该碰到。访客要的只是上网,跟员工内网没有交集。
如果两类人用同一个SSID同一套IP段,从网络层面根本做不到隔离。就算口头告诉员工"这个WiFi是员工的不要给外人用",实际上只要知道密码都能连上,根本没有有效管控。
做隔离的标准方案是多SSID策略:在同一套无线AP上广播两个或多个不同的SSID,分别对应员工网络和访客网络,两个SSID走不同的VLAN,物理上隔离,认证方式也不同。员工SSID通常设为隐藏,访客SSID公开可见。
员工认证:账号跟人走,不跟密码走
员工无线认证的核心问题不是"认证方式好不好用",而是"账号管理跟不跟得上人员变动"。
最常见的问题是:员工入职第一天网络账号还没开好,或者员工离职了账号还在,前同事在家用手机还能连上公司WiFi。这不是认证系统设计得不好,而是账号和人员状态没有联动。
蓝海卓越支持与企业现有的AD域/LDAP系统打通,员工直接用域账号或OA账号认证上网,IT不需要单独维护一套网络账号。人力系统里账号禁用的那一刻,网络权限也同步收回。这种对接方式对有AD域的企业来说是最省事的。
如果企业没有AD域,也可以用本地账号管理:批量导入员工账号,设置有效期,支持员工自助改密,管理员可以查看在线记录。不同部门可以设置不同的上网策略——比如技术部门上网时间不限,行政部门工作时段不限外网访问——策略按用户组分配,不用每个人单独配置。
访客认证:快、简单、留记录
访客认证的优先级跟员工认证完全不同。员工要的是安全可控,访客要的是快和不麻烦。
手机短信认证是访客认证最常用的方式:连上WiFi弹出认证页面,输入手机号收验证码,认证通过上网。整个过程通常三十秒内完成,访客自己操作,IT全程不参与。蓝海卓越的Portal页面支持根据终端类型自适应展示——手机看到的是手机版,电脑看到的是电脑版——不会出现手机上打开页面需要横滑才能找到输入框的尴尬情况。
认证成功后,系统记录手机号、设备MAC地址、接入时间、断线时间,日志保存不低于180天,满足公安的上网日志审计要求。这一点对有公安检查需求的企业(酒店、会所、政务机构)是硬性要求,用短信实名认证本身就是最直接的合规手段。
访客认证还有一种更严格的方式——访客扫码授权认证:访客连上WiFi后,需要被访的员工用手机扫访客的二维码,确认授权,访客才能上网。这种方式适合对网络安全要求很高的场景,比如研发中心、重要政务机构,每一个访客进网络都有明确的"担保人",责任链清晰。正常商务场景用这个会让访客觉得麻烦,所以要根据场景判断。
网速和时长怎么控制?
员工和访客共用同一套网络出口带宽,如果访客连上之后大量下载,员工的业务系统就会感受到延迟。
这个问题通过上网策略分级来解决:访客SSID限速,比如每个设备最高5Mbps,同时在线设备超过多少台自动排队;员工SSID根据角色不同给不同的带宽配额,管理层、普通员工、研发人员策略分开。时长限制也可以设——访客认证成功后4小时自动下线,不用IT手动踢人。
蓝海卓越的策略管理在后台通过可视化界面操作,调整一条策略不需要改配置文件,普通IT运维人员就能操作,不需要专门的网络工程师。
多SSID隔离有没有前提条件?
有,而且这个前提很重要:你们的无线AP必须支持多SSID广播,你们的AC控制器必须支持多VLAN划分。
如果现有AP设备老旧,只能广播一个SSID,或者网络拓扑里没有划VLAN的能力,那多SSID隔离方案在现有设备上跑不起来,要么替换设备,要么先做旁路改造。蓝海卓越做方案之前会先评估现有网络环境,而不是直接出一张方案书让客户自己对照验收。
另外,认证系统对接多品牌AC设备的能力也是选型时要问清楚的。华为、H3C、锐捷、TP-Link的AC,协议规范不完全一样。蓝海卓越V7支持华为Portal 1.0/2.0、CMCC协议规范,兼容市面上主流厂商的AC和BRAS,不会出现认证系统选好了结果跟现有AC对不上的情况。
有些企业误以为员工和访客要分开管,就需要两套系统。其实多SSID策略就是一套系统一个后台——按SSID或VLAN分配不同的认证策略,不同类型的用户走不同通道、看到不同页面、受不同策略约束,但维护始终是一个后台。企业无线上网认证做得好不好,不在于系统多复杂,在于用一套系统能不能把不同用户的边界管清楚。
