企业无线网络有一个很现实的问题：员工要用，访客也要用，但两者的安全需求完全不同。员工要访问内部系统和数据库，访客理论上只能上外网。如果两个群体走的是同一张网络，网络接入认证系统的隔离策略就变得特别关键。隔离不做好，认证就只是形式上的门，实际形同虚设。

最常见的做法是分SSID。员工用一个SSID，访客用另一个SSID。员工SSID走802.1X或者OA账号Portal认证，访客SSID走短信验证码或者一键登录。两个SSID对应两个不同的VLAN，走到不同的网络出口。这个方案配置直观，容易理解，维护也相对简单。

但分SSID不是银弹。SSID可以被扫描出来，如果访客知道员工SSID的名字，尝试用弱密码接入，也不是不可能。有的企业员工SSID设了简单密码或者干脆没加密，靠员工自觉不分享，但这种"安全"是脆弱的。所以SSID分完之后，网络接入认证系统的策略隔离必须跟上——不是光把两个SSID设成不同的认证方式就完事了，而是要把两个群体的上网权限、上网速度、访问时段全部隔开。

策略隔离至少要管三件事。

第一件事是出口隔离。访客VLAN的流量必须走独立的出口或者做单独的NAT转换，不能和员工内网混在同一个路由域里。如果访客VLAN和内网VLAN在同一个三层交换域里，即便认证分开做了，访客终端理论上仍然可以通过ARP扫描或者简单路由探测到内部地址。这是网络接入认证系统部署时最容易被忽视的安全盲点——认证做了，但隔离没做等于没做。

第二件事是带宽限制。访客上网不能影响员工办公的带宽体验。给访客SSID设一个带宽上限，比如每终端下行50Mbps，同时限制总并发连接数，是比较通用的做法。蓝海卓越V7可以按用户组设不同的限速策略，这个能力在选型阶段就要问清楚，不是所有系统都支持细粒度的带宽控制。

第三件事是时段控制。访客账号设有效期，过了时间自动失效。展会上临时接入的访客，活动结束就失效，不用人工去关账号。有些网络接入认证系统支持批量设置账号有效期，这个功能在展会、活动、培训等临时场景里很实用。

还有一种场景值得单独说：有些企业既有员工又有外协人员，外协人员和访客的安全需求又不一样。外协人员往往有临时的项目接入需求，但要对内网访问做限制；访客只能上外网。外协人员用OA账号漫游认证，访客用短信，分三类比混在一起管要好。

哑终端的隔离问题也经常被问到。打印机、门禁系统、监控摄像头这类设备，既不能弹Portal也不能输验证码，接入网络的需求是真实存在的。这类设备通常是单独建一个哑终端SSID，走MAC白名单放行，同时把哑终端VLAN和员工VLAN做物理隔离，确保即便哑终端被入侵，也不会成为横向渗透的跳板。哑终端的数量少则十几台，多则上百台，白名单录入是实施阶段要提前安排的工作量。

补充一个实际场景里经常出现的问题：访客认证做完之后，访客终端上能看到公司内网的共享打印机和文件服务器。这个问题不是因为认证没做好，而是因为访客VLAN和内网VLAN之间的广播域没做隔离，或者打印机所在的网段没有做访问控制列表拦截。解决这个问题，要在网络层做VLAN间访问控制，认证系统本身管不到这一层。网络接入认证系统管的是准入，网络层的隔离是另外一层配置，两者配合才能真正做到隔离。

总结一下：SSID分层是基础，VLAN隔离是核心，带宽和时段控制是必要补充。三件事一起做，认证的钱才没有白花。

还有一个细节值得提一下：网络接入认证系统在做SSID和VLAN规划时，要跟企业现有的网络分区策略对齐。企业内部通常已经有按部门或楼层划分的VLAN，认证系统的SSID设计如果跟现有VLAN打架，改起来会很麻烦。常见的问题是：访客SSID对应的VLAN跟某个内部部门VLAN段重叠了，访客终端接入后拿到的是内网IP段，不是外网IP段，直接导致无法访问外网。这个问题排查起来不复杂，但往往要到上线之后用户投诉才发现，根源在于规划和实施阶段没有核对地址池的规划。

还有一个管理上的细节：SSID多了之后，日常的运维管理要跟上。企业规模大了，可能不同楼层的AP由不同的IT人员负责，SSID策略一变，所有人都要同步更新。没有一个清晰的SSID命名规范和变更通知机制，时间长了就会出现某些区域的SSID配置和总部策略不一致的情况，甚至出现废弃SSID还在广播、无人认领的状况。规划阶段就把SSID命名规范和废弃SSID的清理流程定下来，比出了问题再打补丁要省事得多。

多SSID环境下，日常监控也很重要——要能看清楚每个SSID的在线用户数量、流量分布、有没有异常接入行为。这个能力在选型网络接入认证系统时也要考虑进去，不是光能管到就行，还要能看清楚管了之后的效果。