企业网络准入里有一个最基础的策略分层，但很多人做项目时没有充分拉开差异：员工认证和访客认证是两套完全不同的逻辑，如果共用同一套策略框架，最终要么员工觉得麻烦，要么访客管不住。这篇文章不讨论技术选型，只讨论策略设计上的几个关键差异点和对应的处理方式。

首先看身份来源的差异。员工的网络身份是从企业内部人力资源系统来的：入职时自动开通，离职时自动注销，中间还有岗位调动、部门变更等状态变化。员工认证的本质是对接企业已有身份体系的自动化准入，不需要员工自己注册账号，也不需要自己管理密码（除非是独立的网络密码）。访客的身份则是临时获取的：来访登记时生成一个一次性账户，离场后自动回收。两种身份的生命周期完全不同，准入策略要能够区分这两条管理线。好的准入系统可以提供独立的访客管理模块，管理员或接待人员可以在系统里直接生成访客账户，指定有效期和访问权限，到期自动失效，不需要手动清理。

其次看认证方式的差异。员工认证追求的是"低摩擦"——最好每天上班连上网就直接通了，不需要每次打开浏览器做登录。常见的做法是采用802.1X证书认证或MAC无感知认证结合LDAP账号，首次认证后系统记录设备MAC地址，后续在有效期内自动放行。而访客认证则偏重"可追溯"——每个访客的接入行为需要被记录和关联到具体身份，方便事后审计。所以访客认证通常采用短信验证、微信扫码、前台自助机取号等方式，强制做一次身份确认。

第三个关键差异是权限控制的策略粒度。员工认证通过后可以访问办公网络、内部应用系统、打印机等资源，但不同的部门或者级别，权限是可以不同的。比如研发部门可以访问代码仓库，市场部门只能访问外网和OA系统。这个权限区分需要准入系统支持基于用户组的策略规则，而不是所有员工一视同仁。访客认证通过后，则只能访问互联网，不能接触任何内部资源。这里有一个实际中容易被忽略的点：访客的终端设备和员工的终端设备是不是在同一VLAN里？如果是，即使逻辑上做了权限限制，二层网络的隔离也需要配套的网络配置。更好的做法是在无线网络层面就通过多SSID实现物理或逻辑隔离——员工连接企业SSID走内部通道，访客连接访客SSID走纯互联网通道。

第四个差异是有效期和时间段控制。员工账户的有效期和劳动合同绑定，通常是长期的，但也可以设置一些时间规则：比如某些敏感岗位的员工账号在非工作时间不允许接入、或者某些承包商员工的账户有效期和合同期限一致。访客账户的有效期就短得多，一天到数天不等，到期自动失效。实际项目里有几个时间控制策略值得考虑：访客账户在指定的会议或访问时间结束后自动锁定、每天凌晨自动清理已过期的访客账户、以及给接待人员设置账户延时权限（比如原定一天有效期的访客临时要多留一天，由接待人员在系统里操作延期，不需要IT介入）。

第五个差异在于审计和追溯的要求不同。员工的网络行为通常需要留存完整日志，包括上网记录、认证日志、操作日志，这些数据一方面是合规要求，另一方面也可以用于内部安全事件排查。访客的审计则更侧重关联追溯——这个访客是谁接待的、什么时间进来的、访问了哪些网络资源、什么时间离开的。如果发生了安全事件，能在日志里快速定位到具体访客的身份信息和接待人信息，这一点比日志本身的完整性更重要。好的准入系统应该支持按照访客姓名、接待人、来访时间等维度进行日志检索，而不是只能按IP地址或者MAC地址查。

还有一个实际操作层面的建议：访客认证的入口页面设计要足够简洁，操作步骤不超过三步。很多访客对企业的网络环境不熟悉，如果认证页面里塞了太多信息和选项，他们大概率会放弃或者找接待人员帮忙，这样就失去了自助准入的意义。理想的设计是：一个输入框填手机号、点获取验证码、输验证码、上网——三步完成。如果是被访人扫码授权的方式做准入，流程也应该是访客连上网络后弹出一个包含被访人信息的二维码页面，由被访人扫码确认即可，前后不超过一分钟。

把员工和访客这两条准入线分清楚，策略各自独立设计，准入系统的落地效果会好很多。

在系统配置层面，建议把员工准入策略和访客准入策略放在两个独立的配置模块里，不要混在一个菜单下。这样不仅降低了误操作的风险，也让管理员在做策略调整时能一眼看清楚当前影响的是哪类用户。另外，访客管理的操作权限建议单独授权给前台或行政角色，不要和员工准入的管理权限绑定在一起，让权限层级和业务管理流程匹配起来。