Você está confundindo WLAN e VLAN? Os clientes sem fio geralmente decidem qual WLAN eles ingressam (com base no SSID), mas a marcação VLAN geralmente não é exposta a clientes sem fio. Geralmente cabe aos APs, em conjunto com o Controlador WLAN (se houver) e o servidor RADIUS (ou outro AAA) para decidir com qual ID de VLAN o tráfego do cliente deve ser marcado quando o AP o vincula à rede elétrica.
Portanto, se os clientes não conseguirem ingressar na WLAN (SSID) certa, isso provavelmente será um erro de configuração no cliente. Mas se o tráfego deles estiver sendo marcado com o ID de VLAN errado, isso provavelmente é um problema na infraestrutura de rede.
Claro, se você tem um mapeamento 1: 1 entre SSIDs e VLANs, então meu ponto é discutível.
Editar: Mais uma ideia: você tem a autenticação EAP-TLS (também chamada de "cartão inteligente ou outro certificado") ativada e funcionando em seu servidor RADIUS? Porque, se você estiver autenticando seus usuários por meio de outro tipo de EAP (por exemplo, PEAP), pode ser que você ainda não tenha o EAP-TLS funcionando. Você pode tentar usar um certificado de usuário para autenticar como usuário, assim como verificar se o EAP-TLS está funcionando.