访客网络隔离是家庭路由器中一项实用但常被忽视的功能，它允许你为客人提供一个独立的Wi-Fi信号，同时确保访客设备无法访问主网络中的NAS、打印机或电脑共享文件。这一原理基于VLAN或IP子网分离——大多数家用路由器会将访客网络分配到192.168.x.x中的一个独立子网（如192.168.2.x），并通过iptables规则禁止该子网与主局域网（一般为192.168.1.x或192.168.0.x）互相通信。下面以一台支持访客网络的路由器为例，通过三步配置并实测效果。

第一步：登录路由器管理界面（通常为192.168.1.1或192.168.0.1），找到“无线设置”或“Wi-Fi”菜单中的“访客网络”选项。不同品牌名称略有差异：TP-Link叫“访客网络”，小米路由称“共享Wi-Fi”，华硕则为“访客网络”并附带“访问内部网络”开关。必须关闭该开关（即选择“禁止访问内部网络”），否则隔离失效。

第二步：设置访客网络的IP地址段。在“局域网设置”或“DHCP服务器”中，为访客网络指定一个与主网络不同的子网，例如主网络为192.168.1.0/24，则访客网络设为192.168.2.0/24。掩码保持255.255.255.0，网关和DNS分别设为192.168.2.1和公共DNS如8.8.8.8。同时开启“AP隔离”或“客户端隔离”，防止访客设备之间互相访问。

第三步：配置带宽限制和访问权限。在“访客网络高级设置”中可以限制每个访客的最大带宽，比如上传1Mbps、下载2Mbps，避免客人占用主网络带宽。部分路由器还支持仅在特定时段开放访客网络，适合出租屋或临时场景。保存设置并重启Wi-Fi。

实测对比：我用一台主网设备（IP 192.168.1.101）和一部访客手机（连接访客网络后获取192.168.2.105）进行互Ping。主网Ping访客IP超时100%，访客Ping主网同样失败，证明隔离生效。但访客手机访问外网（百度）正常，延迟仅增加2ms——QoS限制未对上网浏览造成明显影响。尝试通过访客手机访问主网NAS的SMB共享（192.168.1.200）直接提示“无法连接”，安全目标达成。若关闭“禁止访问内部网络”开关，则访客手机可以轻松打开NAS中的文件，隐私风险暴露无遗。

问：我设置了访客网络隔离，为什么客人还能看到我的主网设备？

答：这种情况通常是因为你未正确关闭“允许访问内部网络”选项。我在帮朋友调试时遇到类似问题：他用的是某杂牌路由器，访客网络默认允许互访。进入后台将“互联网访问限制”设为“仅限WAN”后，问题解决。如果路由器连这个选项都没有，建议升级固件或使用OpenWrt刷机实现彻底隔离。

问：访客网络隔离后，客人无法使用我主网上的打印机怎么办？

答：这是隔离的副作用。如果你希望客人能打印，但又不愿开放全部内网，可以在路由器上添加一条“允许访问打印机IP”的防火墙规则。比如主网打印机IP为192.168.1.200，则在访客网络的iptables中放行此IP的9100端口。不过部分家用路由器不提供这么细的规则，此时可以考虑将打印机同时连接到两个网络（双网口）或启用打印机的Wi-Fi Direct。

问：为什么我设置完访客网络后，主网网速变慢了？

答：实测发现，如果路由器硬件性能较弱（如单核600MHz），开启访客网络且启用QoS限制会额外消耗CPU资源，导致主网吞吐量下降10%-15%。我的解决方法是：在主网络繁忙时段（如晚上8-10点）关闭访客网络，或降低访客网络的带宽上限（例如下载限500Kbps）。也可以在路由器中开启“硬件NAT加速”来缓解，但要注意硬件NAT与QoS互斥——二者只能选其一。