在大部分公司，客人用的WiFi和员工用的WiFi都是分开的。从理论上来说，这样有利于局域网的信息安全。但是有些员工缺乏安全意识，会有意无意的泄漏办公WiFi的密码，甚至公开张贴WiFi密码，再加上一些共享WiFi密码的app；实际上你自认为安全的办公WiFi密码实际上并不安全。

一旦来宾、其他人员接入了公司WiFi，就可以直接访问到企业内网，这时候勒索病毒、黑客入侵就已经离你不远了。所以，企业在提供WiFi时，安全是头等大事，绝对不容忽视。

本文，我们将探讨如何禁止客人wifi访问到公司内部的局域网？具体方案如下：

1. 来宾网络和办公网络处于不同的VLAN。

2. 登记员工的电脑和手机，配置IP-mac绑定。

3. 对来宾网段不启用IP-mac绑定。

4. 对办公网络和来宾网络配置不同的带宽和上网策略。

这样配置后，即使知道了无线密码，来宾连接办公网络是获取不到IP的，从而也无法进入办公网络。

一些相关的配置截图如下：

1) VLAN划分

网络配置->接口设置->内网口

办公网络和来宾网络划分不同的VLAN。  

192.168.100.1    ->  办公VLAN

192.168.101.1    ->  来宾网络VLAN

2) IP-mac绑定

a.登记办公人员的手机和电脑，进行IP-MAC绑定。

b.对办公网段严格限制，未经绑定的设备既获取不到IP，也无法上网。