嘿，这个问题我刚好碰到过，给你梳理清楚：完全可以实现访客网络的二楼覆盖，而且能保证和主网的安全隔离，关键看你的AP类型和设置方式。

先结合你的连接方式（主路由→无管理交换机→AP）来说：无管理交换机只是单纯转发数据，不会干扰VLAN或者网络隔离，所以核心在AP的配置上：

• 如果用的是支持访客网络配置的AP（比如TP-Link自家的EAP系列，或者其他品牌的「胖AP」）：

  • 要是TP-Link的AP，直接登录AP的管理界面，创建和主路由访客网络同名、同密码、同频段的访客网络，同时开启「访客网络隔离」（禁止访客访问本地主网设备），这样二楼的访客WiFi和一楼的就是同一个，无缝切换，而且朋友的手机、你的游戏主机连这个访客网，完全碰不到主网里的设备，安全得很。
  • 要是其他品牌的胖AP，只要确保AP的访客网络开启了局域网隔离，并且和主路由的访客网络参数匹配，就能实现同样的效果。

• 如果你的AP是「瘦AP」（需要AC控制器管理），而你的TP-Link主路由自带AC功能（不少家用高端路由都有）：
  直接在主路由的AC管理页面里，把已经设置好的访客网络「推送」到这个AP上就行，所有AP都会自动同步访客网络的配置，不用单独去AP里折腾，省心又统一。

• 要是你用的是普通家用路由器当AP用（把它的DHCP功能关掉，用LAN口接交换机）：
  记得在这个“客串AP”的管理界面里单独开启访客网络，并且一定要勾选「禁止访客访问本地网络」的选项，同时把它的WAN口空着别接——要是接了WAN口，会多一层NAT，不仅影响速度，还可能破坏主网和访客网的隔离。

总结一下：只要你的AP能配置访客网络并开启隔离，按照上面的方式设置，二楼就能用上和一楼一样安全的访客网络，完全满足你的需求。

备注：内容来源于stack exchange，提问作者Tintinnabulum