來(lái)賓用戶、流動(dòng)人員比較多的局域網(wǎng)，如果不對(duì)來(lái)賓上網(wǎng)進(jìn)行管控，不但會(huì)占用企業(yè)帶寬資源，還會(huì)帶來(lái)安全隱患和政策風(fēng)險(xiǎn)。對(duì)于企業(yè)環(huán)境來(lái)說(shuō)，一般推薦來(lái)賓和辦公網(wǎng)絡(luò)采用不同的無(wú)線SSID，分開進(jìn)行管控。具體方案如下：

1. 來(lái)賓和辦公網(wǎng)絡(luò)采用不同的無(wú)線SSID。
   

2. 對(duì)來(lái)賓和辦公采用不同的限速和行為管理策略。

3. 來(lái)賓和辦公網(wǎng)絡(luò)采用不同的VLAN，并且不允許來(lái)賓訪問(wèn)公司內(nèi)網(wǎng)。

4. 不但要設(shè)置不同的無(wú)線密碼，而且需要進(jìn)行IP-MAC綁定等策略，禁止來(lái)賓用戶接入到辦公網(wǎng)絡(luò)。

以上的方案，我們?cè)谶@篇文章中已經(jīng)有了詳細(xì)的介紹：無(wú)線AP如何區(qū)分來(lái)賓（流動(dòng)）用戶和正常用戶？

對(duì)于一些小型的網(wǎng)絡(luò)環(huán)境，比如只有一個(gè)無(wú)線AP，無(wú)法設(shè)置不同的VLAN和SSID。這種情況下，也需要對(duì)來(lái)賓用戶進(jìn)行上網(wǎng)行為管理，可以采用下面的方案：

a. 對(duì)固定人員的電腦和手機(jī)進(jìn)行ip-mac綁定。

b. 來(lái)賓用戶自動(dòng)獲取IP。且自動(dòng)獲取IP的范圍（DHCP）和固定人員的IP范圍要區(qū)分開。

c. 固定人員和來(lái)賓用戶采用不同的限速和行為管理策略。

一些配置如下圖：

1. 對(duì)固定人員的手機(jī)和電腦進(jìn)行ip-mac綁定

2. DHCP的IP分配范圍和固定人員的IP要區(qū)分開

3. 固定辦公人員的IP要求嚴(yán)格綁定

4. 來(lái)賓和固定人員采用不同的帶寬和上網(wǎng)行為管理策略。

經(jīng)過(guò)以上步驟，即可對(duì)來(lái)賓用戶進(jìn)行有效的管理。當(dāng)然，有條件的話，還是應(yīng)當(dāng)考慮分開不同的VLAN，這樣安全性會(huì)更高一些。另外推薦再開啟短信認(rèn)證、微信認(rèn)證等認(rèn)證手段，記錄來(lái)賓的微信和手機(jī)號(hào)，從而使上網(wǎng)記錄有據(jù)可查。