在有的网络中比如校园网或者是企业网中,用户在通过802.1x 认证之前属于一个缺省VLAN(即Guest VLAN),

用户访问该VLAN 内的资源不需要认证,只能访问有限的网络资源,但此时不能够访问其他网络资源 。这个VLAN就是GUEST VLAN。

没有通过认证的客户端计算机处于GUEST VLAN中,它们只能访问到GUEST VLAN服务器的资源,用户从处于GUEST VLAN的服务器上可以获取802.1x客户端软件,升级客户端,或执行其他一些应用升级程序(例如防病毒软件、操作系统补丁程序等)这是因为如果没有专用的认证客户端或者客户端版本过低等原因,导致在一定的时间内端口上无客户端认证成功,接入设备会把该端口加入到Guest VLAN。

认证成功后,端口离开Guest VLAN,用户可以访问其特定的网络资源。

在上面的例子里连接端口1的计算机通过认证以后,端口1被交换机自动地添加到VLAN10里面,这个时候客户端计算机可以访问服务器2中的资源。 而客户端2和客户端3没有通过认证,只能继续留在Guest VLAN中,只可以访问服务器1的资源,而不能访问服务器2的资源。

需要注意的是:Guest vlan 仅支持基于端口的802.1X协议,不支持基于MAC地址的802.1X协议。