現在大部分局域網都提供了無線上網的功能。無線主要用于滿足以下幾種需求：

無線辦公的需要，比如無線pos機等辦公設備。

員工無線上網的需要。

來賓、客人的無線上網。

這樣就帶來了相關的安全性問題：

來賓有可能通過無線接入到企業內網，導致安全隱患。

員工有可能通過來賓的無線網絡上網，從而繞開公司的行為管理策略，影響工作效率。

目前大部分解決方案都是來賓網絡和內部無線網絡使用不同的無線SSID和密碼。但是實際上這個方案存在很大的漏洞：密碼泄漏。來賓可以直接詢問到內網的無線密碼，甚至很多無線密碼都是公開張貼的。而企業員工更是可以直接通過來賓網絡上網。

本文將結合WFilter NGF的相關功能，來介紹更進階的解決方案。

方案一：IP-mac綁定

該方案的具體策略如下：

來賓網絡和辦公網絡處于不同的VLAN。

登記員工的電腦和手機，配置IP-mac綁定。

對來賓網段不啟用IP-mac綁定。

對辦公網絡和來賓網絡配置不同的帶寬和上網策略。

這樣配置后，來賓連接辦公網絡是獲取不到IP的，從而也無法進入辦公網絡。而員工即使連上了來賓網絡也無法上網。

一些相關的配置截圖如下：

1)? VLAN劃分

辦公網絡和來賓網絡劃分不同的VLAN。

2) IP-mac綁定

登記辦公人員的手機和電腦，進行IP-MAC綁定。

對辦公網段嚴格限制，未經綁定的設備既獲取不到IP，也無法上網。

方案二：用戶認證

該方案主要由以下方面組成：

無線用戶上網時，需要輸入用戶名和口令登錄。

辦公人員用自己的用戶名密碼。

來賓用來賓的guest賬號。

這樣配置后，即使來賓知道了辦公網絡的無線密碼，但是由于不知道個人的賬號密碼，所以還是無法使用辦公網絡的無線。但是該方案存在以下缺點：

來賓雖然不能使用辦公無線上網，但是可以連接到辦公的無線網絡，可能會訪問到內網敏感資源。

用戶名密碼仍然存在泄漏的可能。

無法阻止辦公人員使用來賓的無線。

WFilter NGF中的“Web認證”功能，可以對無線網絡進行身份認證，微信Wifi認證、短信認證等。從而認證上網人員的身份，記錄上網內容，并且可以和本地賬號、域賬號、郵箱賬號進行集成。如圖：

綜上所述，“IP-mac綁定”和“Web認證”都可以區分無線AP的來賓用戶和正常用戶。建議您根據自己的管理需要進行選擇。嚴格一些就用IP-mac綁定，否則就用Web認證。

轉載于:https://blog.51cto.com/12800391/2131782

總結

以上是生活随笔為你收集整理的无线AP如何区分来宾（流动）用户和正常用户？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。