大多数企业在部署企业无线上网认证时都会遇到这个问题：员工和访客都要用WiFi，但两类人的权限应该完全不同。员工要能访问内网打印机、内部系统、文件共享；访客只能上公网，不能碰内部资源。如果让这两类人在同一张网上跑，问题很明显——要么权限开太大，访客能访问不该访问的东西；要么权限收太紧，员工体验也变差。

解决这个问题的核心是多SSID策略。简单说就是：在同一套无线设备上，广播两个（或多个）不同名称的WiFi，每个SSID对应不同的VLAN、不同的认证方式、不同的上网策略。员工连员工的SSID，访客连访客的SSID，后台统一管理，但网络逻辑上已经完全隔离。

具体是怎么实现的：AC控制器（无线控制器）负责管理所有AP，在AC上配置多个SSID，每个SSID绑定一个VLAN。蓝海卓越的Portal服务器针对不同的SSID推送不同的认证页面——员工SSID弹出域账号登录页，访客SSID弹出手机短信认证页。认证通过后，各自的流量走各自的VLAN，互不干扰。

这里要说一个常见的实施误区：以为多SSID就是多密码，换个密码就能区分员工和访客。这不是真正的隔离，密码泄露之后隔离就失效了，而且密码方式没有绑定身份，无法追溯是谁在上网。真正的分区管理，要做到认证层面的身份绑定 + VLAN层面的网络隔离。

员工网络的典型配置：SSID名称通常设置为隐藏（不广播），员工通过手动输入SSID名称连接，或者IT提前配置好员工设备的WiFi连接信息。认证方式用AD域账号或OA账号，员工用日常工作账号完成认证，不需要额外记密码。认证通过后可以访问内网资源，带宽策略不限速或按角色分级。员工设备支持MAC绑定，绑定后再次连接自动无感知认证，不需要每次重新输入账号密码。

访客网络的典型配置：SSID名称公开广播，访客可以直接搜索到。认证方式用短信认证，访客输入手机号收验证码，完成认证后只能访问互联网，内网资源全部隔离。带宽通常有限速设置，防止单个访客大量占用带宽影响其他人。有效期可以设定——比如访客认证有效8小时，到期自动下线，不会出现访客离开之后账号还持续在线的情况。

蓝海卓越V7的上网策略分级功能就是针对这个场景设计的——两类用户在认证完成后，分别走各自的策略，速率限制、在线时长、访问范围都可以独立配置，在同一个后台统一管理，不需要分别操作两套系统。

说一个更细的设计点：认证成功跳转。访客完成短信认证后，可以设置自动跳转到指定页面，比如公司官网、当天活动通知、欢迎页面。这是一个不额外增加IT工作量但可以带来品牌曝光的功能。员工认证成功后也可以跳转，比如跳到内网门户，直接进入工作状态。认证页面本身也支持定制，可以加入公司logo、公告内容，不用显示千篇一律的系统默认页。

还有一类情况需要单独设计：来访的高安全性场景。比如涉密企业的访客接待区，访客不止要短信认证，还要绑定被访人审核。蓝海卓越V7支持"协助扫码认证"——访客连接WiFi后，被访人通过二维码扫码为访客授权，一对一的准入方式，入网行为绑定到具体被访人，审计追溯能力更强。这个方式适合网络安全要求高的企业，普通办公场景不一定需要做到这个程度，根据实际需要选。

部署之前有几件事要确认：

一是AC是否支持多SSID和VLAN划分。市面上大多数主流品牌的AC都支持，但老设备可能有SSID数量限制，要提前确认。蓝海卓越V7兼容华为、中兴、H3C、锐捷、TPLINK等主流厂商的AC，不用因为认证系统换掉现有网络设备。

二是VLAN在交换机和路由层的配置是否已经到位。多SSID对应多VLAN，如果交换机没有配置相应的VLAN，流量还是会混在一起，隔离效果为零。这个工作通常要IT网络团队和认证系统方案方协作完成。

三是访客网络的出口策略。访客VLAN的流量要走独立出口或单独的NAT规则，确保访客流量不能路由到内网。这是企业无线上网认证里最容易被忽视的安全盲点——认证做了，但内网隔离没做，访客上网之后通过路由扫描还是能访问内部资源。认证和隔离要同时做，不能只做其中一件事。

关于哑终端在多SSID场景下的处理，打印机、IoT设备、门禁这类设备无法走Portal认证流程，通常的做法是单独建一个仅对MAC白名单开放的SSID，或者在员工SSID下配置MAC白名单策略让这些设备免认证通过。设备数量少的话，在V7后台逐台录入MAC地址即可；设备数量多的企业，要提前整理哑终端设备清单，批量导入，不然实施阶段会很混乱。

有一类特殊情况值得单独说：企业的会议室和大堂访客区，往往是同一个物理空间，但对应的策略需求不同。会议室里可能有内部研讨，访客不应该接入；大堂是开放接待区，访客接入没问题。多SSID可以解决这个问题，但AP的物理部署和SSID信号覆盖范围也要配合——会议室的AP只广播员工SSID，不广播访客SSID。这个细节在网络规划图里就要标注清楚，靠后期调试来修通常成本更高，信号覆盖不是软件配置能随意改的。说白了，企业无线上网认证的方案能不能落地，网络层的配合至少和认证系统本身一样重要，两个方向要同步推进，不是一先一后的关系。