我认为你正在错误地看待这个。

通常，您会拥有多个 SSID，其中一个用于访客。访客 SSID 的 VLAN 将只允许路由到 Internet，而其他 SSID 将位于具有各种内部访问限制的网络上，或者没有。

通常，802.1X 用于此类身份验证，但还有其他身份验证方法，思科 WLC 支持多种（请参阅无线 LAN 控制器配置示例上的身份验证）。访客只能在访客 SSID 上进行身份验证，因为其他 SSID 的访客凭证将不存在。

WLC 上的身份验证

思科统一无线网络 (UWN) 安全解决方案将潜在复杂的第 1 层、第 2 层和第 3 层 802.11 接入点 (AP) 安全组件捆绑到一个简单的策略管理器中，该管理器可在每个无线 LAN (WLAN) 上自定义系统范围的安全策略） 基础。Cisco UWN 安全解决方案提供简单、统一和系统的安全管理工具。

这些安全机制可以在 WLC 上实施。

第 1 层解决方案

根据连续失败的尝试次数限制客户端访问。

第 2 层解决方案

无身份验证— 从第 2 层安全下拉列表中选择此选项时，不会在 WLAN 上执行第 2 层身份验证。这与 802.11 标准的开放认证相同。

静态 WEP — 使用静态有线等效保密 (WEP)，特定 WLAN 上的所有 AP 和客户端无线电 NIC 必须使用相同的加密密钥。每个发送站在传输前使用 WEP 密钥对每个帧的正文进行加密，接收站在接收时使用相同的密钥对其进行解密。

802.1x —将 WLAN 配置为使用基于 802.1x 的身份验证。IEEE 802.1X 的使用提供了一个有效的框架，以验证和控制受保护网络的用户流量，以及动态改变加密密钥。802.1X 将称为可扩展身份验证协议 (EAP) 的协议与有线和 WLAN 媒体联系在一起，并支持多种身份验证方法。

静态 WEP + 802.1x —此第 2 层安全设置同时启用 802.1x 和静态 WEP。客户端可以使用静态 WEP 或 802.1x 身份验证来连接到网络。

Wi-Fi 保护访问 (WPA) —WPA 或 WPA1 和 WPA2 是来自 Wi-Fi 联盟的基于标准的安全解决方案，可为 WLAN 系统提供数据保护和访问控制。WPA1 与 IEEE 802.11i 标准兼容，但在标准批准之前实施。WPA2 是 Wi-Fi 联盟对已批准的 IEEE 802.11i 标准的实施。

默认情况下，WPA1 使用临时密钥完整性协议 (TKIP) 和消息完整性检查 (MIC) 来保护数据。WPA2 使用更强大的高级加密标准加密算法，使用计数器模式和密码块链接消息身份验证代码协议 (AES-CCMP)。默认情况下，WPA1 和 WPA2 都使用 802.1X 进行身份验证的密钥管理。但是，这些选项也可用：PSK、CCKM 和 CCKM+802.1x。如果选择 CCKM，Cisco 只允许支持 CCKM 的客户端。如果您选择 CCKM+802.1x，Cisco 也允许非 CCKM 客户端。

CKIP — Cisco 密钥完整性协议 (CKIP) 是 Cisco 专有的用于加密 802.11 媒体的安全协议。CKIP 使用密钥排列、MIC 和消息序列号提高了基础设施模式下的 802.11 安全性。软件版本 4.0 支持带有静态密钥的 CKIP。要使此功能正常运行，您必须为 WLAN 启用 Aironet 信息元素 (IE)。WLAN 中指定的 CKIP 设置对于任何尝试关联的客户端都是必需的。如果为 CKIP 密钥排列和 MMH MIC 配置了 WLAN，则客户端必须同时支持两者。如果 WLAN 仅配置为这些功能之一，则客户端必须仅支持此 CKIP 功能。WLC 仅支持静态 CKIP（如静态 WEP）。WLC 不支持 802.1x（动态 CKIP）的 CKIP。

第 3 层解决方案

无— 从第 3 层安全下拉列表中选择此选项时，不会在 WLAN 上执行第 3 层身份验证。

注意：无第三层认证和无第二层认证的配置示例在无认证部分说明。

Web 策略（Web 身份验证和 Web 直通） —Web 身份验证通常由想要部署访客访问网络的客户使用。在访客接入网络中，有初始用户名和密码认证，但后续流量不需要安全性。典型的部署可以包括“热点”位置，例如 T-Mobile 或 Starbucks。

Cisco WLC 的 Web 身份验证在本地完成。您创建一个接口，然后将 WLAN/服务集标识符 (SSID) 与该接口相关联。

Web 身份验证提供简单的身份验证，无需请求方或客户端。请记住，Web 身份验证不提供数据加密。Web 身份验证通常用作对“热点”或校园氛围的简单访客访问，其中唯一关心的是连接性。

Web passthrough 是一种解决方案，无线用户通过该解决方案被重定向到可接受的使用策略页面，而无需在他们连接到 Internet 时进行身份验证。此重定向由 WLC 本身负责。唯一的要求是为网络直通配置 WLC，这基本上是网络身份验证，无需输入任何凭据。

VPN Passthrough — VPN Passthrough是一项功能，它允许客户端仅与特定 VPN 服务器建立隧道。因此，如果您需要安全地访问配置的 VPN 服务器以及另一台 VPN 服务器或 Internet，则在控制器上启用 VPN Passthrough 时这是不可能的。

您可以使用思科 ISE 执行此操作。这个想法是为您的用户分配不同的访客类型，ISE 将根据访客类型向 WLC 返回一个 ACL 名称。然后，您将调整 WLC 上的 ACL 以允许访问任何合适的资源。

尽管如此，我倾向于同意 Ron Maupin 的回答，因为您可能希望通过使用不同的 SSID 来区分与员工和客人一样根本不同的类别，并使用我上面描述的机制来区分客人（例如短期和长期客人，或客人与员工 BYOD 设备......）。

还要记住，ISE 和 WLC 上的配置并不完全直观，并且 - 至少在我看来 - 容易出现相对微妙的错误，这些错误可能会产生严重的安全后果。