我们正在架构一个无线网络。我们提出了分支VLAN结构，也就是说一个需要认证的入口和一个只能进入互联网的入口。一旦一个无线用户被确定只能访问互联网，那么我们希望能够将他们送到一个显示免责声明的网站，然后再让他们访问互联网。你有任何建议应该如何做吗？

　　有两种办法可以实现你的想法。一个是在AP做决定，另一个是在无线网关/交换机做决定。

　　为了在AP做决定，你需要使用可以支持基于SSID的VLAN标签的AP。将一个SSID分配给不需要认证的互联网访问（VLAN #1），另一个SSID分配给需要认证的私网访问（VLAN #2）。然后将AP连到支持VLAN的交换机，把VLAN #1的通讯和VLAN #2的通讯分流。你可以把VLAN #1的通讯送到门户网站，如NoCatSplash，以显示你的免责声明。

　　为了在无线网关/交换机做出决定，可以使用任何AP以及一个或多个SSID（取决于连接层安全架构）。网关/交换机负责作为网络门户，显示登陆页面，让客人不经过认证通过，为其他人提供用户认证，并强制使用基于角色的访问控制等等事情。许多无线网关和交换机可以使用基于认证角色的VLAN标签。Andy Doran为Network杂志写了一篇很好的关于无线局域网网关和交换机的综述；你可以在那上面找到大量厂家产品的URL。