您是手动管理 AP 还是由中央控制器管理？

如果它们通过控制器（如 UniFi 控制器）进行管理，则您的交换机端口只需配置您用于 AP 管理接口的任何 VLAN ID（以上行连接到控制器）。SSID 使用的 VLAN ID 封装在一种隧道（LWAPP 或 CAPWAP）中，因此交换机将不知道这些标签。您只需要将控制器放在中继接口上，以便它可以根据需要在每个 VLAN ID 上进行通信。

如果您手动管理 AP（您登录每个 AP 以直接配置 AP），那么是的，您需要将交换机端口设置为中继模式，并允许您为每个 SSID 使用的任何 VLAN ID。

至于限制访客网络的访问，大多数控制器（如果您正在使用控制器）都能够将 SSID 标记为“访客”网络，这通常会自动将其限制为仅限互联网访问。如果没有，或者如果您没有控制器，您可以随时添加 ACL 以过滤掉任何不需要的网络。例如，如果您只使用 IPv4，则可以过滤掉 RFC 1918 定义的所有网络。ACL 的示例可能如下所示：

access-list from_guest extended deny ip any 10.0.0.0 255.0.0.0
access-list from_guest extended deny ip any 172.16.0.0 255.240.0.0
access-list from_guest extended deny ip any 192.168.0.0 255.255.0.0
access-list from_guest extended permit ip any any

这将过滤掉所有 IPv4 专用网络范围，但允许其他所有内容（如任何公共 IPv4 网络）。

如果您希望访客流量位于其自己的广播域中，那么是的，您需要在交换机/AP 上创建一个新 VLAN。您还需要跨路由器和交换机/AP 的中继端口。中继端口将承载多个 VLAN。

如果您只需要两个 VLAN，您可以将现有流量保留在 native-vlan 中，并且只为访客创建一个新 VLAN。

希望这可以帮助。