每个学校的网络中心负责人都会面临一个看似简单、实际上细节极多的问题：外面来的人怎么上网。学术交流的专家、来开家长会的家长、暑期培训班的学生、施工队的项目经理、物业外包人员、考试巡视组——这些人既不能给正式学工号，也不能让人家干瞪眼没网上。但如果把这个口子开得太随意，又会出现更大的麻烦：有人用访客账号在校园网上传非法内容、IP溯源找不到人、临时账号被批量倒卖给校外人员。访客上网看起来是个小功能，实际上是一个安全、体验、管理三难问题。

访客上网方案选型：三种主流做法，各有各的坑

第一种做法是开放式访客WiFi，不需要认证，连上就能用。这种方式施工方最喜欢，因为不用跟计费系统对接，单独拉一个SSID、配一个独立VLAN、出口直接走一条单独宽带就行。但你作为信息中心负责人，这种做法最大的风险是实名制合规。按照网络安全法的要求，提供公共上网服务必须要做实名认证，出了事查不到人，责任全在你身上。所以这几年越来越多的学校已经把这个方案淘汰了，只在极少数临时场景（比如操场上的大型活动）保留，而且也会配合短信验证码做最低限度的实名留痕。

第二种做法是手机短信验证码登录。访客连上WiFi后跳转到Portal页面，输入手机号、收验证码、填验证码、上网。这种做法的优点是人人都能操作，不需要提前注册账号。但问题是短信通道要花钱，一条短信几分钱看着不多，但一个两万人的学校每年学术会议、培训、招生活动加起来，访客流量能到几千到上万人次，光短信费一年就要几千块。还有一个隐蔽的问题是短信到达率，尤其是高校的地理位置普遍在郊区，有些运营商的信号覆盖存在盲区，家长连WiFi半天收不到验证码，体验很差。

第三种做法是自服务生成临时账号，也就是现在比较主流的一类方案：由一个已经认证过的校内人员（比如行政老师、辅导员、研究生导师）在计费系统的自助页面或者微信小程序里，为来访人员生成一个有时效限制的临时上网账号。可以设置账号有效期（一天、三天、一周），设置流量或者时长的配额上限。生成的账号要么是一个随机数字串，要么是一个二维码，访客拿这个凭证在Portal页输入或者扫码就能上网。这种做法的好处是把认证责任下放给了校内人员，出了事能顺着生成人追查，而且不产生短信费用。缺点是校内人员的操作门槛——如果生成临时账号的流程超过三步或者需要登录一个很复杂的管理后台，行政老师大概率不会愿意用。

实际场景的分类管理：不是所有访客都一个待遇

真正落地的访客管理方案，应该把访客分成几类，不同类别走不同的通道。第一类是高频学术访客，比如合作单位的教授、经常来开会的企业人员，这类人应该给长期访客账号，有效期可以设到三个月甚至半年，绑定手机号和身份证号，入网日志也一样留存。第二类是低频短期访客，比如来参加一场讲座的、来面试的学生、来看孩子的家长，走短信验证码或者校内人员生成临时账号都行，有效期不超过三天。第三类是批量访客，比如暑期培训班一下来两百个学生，这时候走短信验证码或临时生成账号都不太现实，比较务实的做法是从计费系统批量导入一批临时账号，统一设置有效期和配额，开班那天在报到处发账号密码纸条。

还有一类特殊访客需要单独处理：考试巡考组和上级检查人员。这些人的上网权限不能走常规访客流程，因为你不知道他们什么时候来、来几个人。比较稳妥的做法是在计费系统里预设一个"VIP访客"账号组，验证方式绑定一个通用的考试专用密码，但这个密码只在考试期间启用，考完立刻失效。权限上给最大配额，但日志照样留存。

最容易踩的坑：临时账号的回收和日志留存

临时账号最容易出问题的不是生成环节，是回收环节。很多学校上线访客功能的时候只关注了能不能让访客上网，没关注过期账号怎么处理。结果就是大量已经过期的临时账号还挂在系统里，占用数据库资源倒是小事，真正的问题是这些过期账号变成了安全漏洞。如果有人在有效期内拿到了临时账号和密码，等失效后系统没有自动禁用这个账号对应的MAC绑定和设备指纹，那这个设备下次连上WiFi可能还能绕过认证直接上网。

正确的做法是：账号有效期一到，计费系统不仅要把账号状态改成"已失效"，还要同步清理该账号所有的在线会话、MAC绑定缓存、以及RADIUS或者Portal的已认证设备列表。有的计费系统在这一点上设计得不彻底，只改了账号表的status字段，没通知接入层踢人下线，导致已经连上的设备还能继续用。

日志留存方面，临时访客账号的上网日志跟正式账号一样，至少要保留六个月。一个常见的问题：访客账号是用手机号注册的，但出境的时候系统只记了一个临时账号ID，没有把手机号和账号ID关联到日志里。将来公安来调记录，你只能给出"账号A123在什么时间访问了什么IP"，没办法对应到具体的人。所以从上线的第一天就要把访客账号的实名信息（手机号、或者生成人的身份）和上网日志做强绑定。