1、WEB+mab快速认证流程简介

Mac认证协议采用终端的MAC地址radius认证，只要在SMP服务器记录了该终端的MAC地址，该终端即可接入网络，认证过程为下图所示：

用户第一次关联SSID时，AC获取用户的MAC地址，AC封装该MAC地址，先到AAA服务器进行MAC认证。如果认证失败，AC记录本次用户认证失败的状态，当用户浏览器访问网络的时候，AC根据用户MAC认证失败的记录，推送web认证界面给用户。如果认证成功，AC记录用户在线状态，不推送web界面给用户，用户可直接上网。

备注：SMP为了解决web用户异常掉线的问题，将MAC信息提供手动变更为自动提交，即用户通过web认证后终端MAC地址将自动提交到系统移动终端列表，如果该web对应的SSID开启了MAB认证，后续用户都将通过MAC认证接入网络。

2、WEB+mab快速认证流程详解

1、上网用户第一次接入网网路时，在移动终端上打开WIFI 连接SSID，无线AC 接收到连接请求后，向SMP/ESS 发起Radius 认证(Mac By Pass 方式)，由于移动终端未在SMP/ESS 上注册，所以认证失败；

2、用户打开终端浏览器输入任意域名或跨网段的地址，无线AC 拦截访问的URL，并自动重定向到Portal 的认证页面，终端根据重定向报文访问Portal服务器，Portal服务器响应用户请求，终端显示认证界面；

3、上网用户输入正确的用户名、密码进行认证，用户信息通过Portal页面提交到Portal服务器；

4、 Portal 服务器接收到认证请求后，将认证请求通过Portal协议转发给无线AC；

备注：锐捷Portal暂时只支持v1.0版本（由于Portal协议没有对应的RFC每个厂家实现方式有一定差异，在项目实施过程需要注意友商支持的Portal协议属于那种）。

5、无线AC 接收到Portal下发的用户名和密码后发起Radius认证（PAP 方式）。

6、SMP/ESS 接收到Radius 认证(PAP)，首先校验用户名、密码，如果正确则判断上网用户所在用户组是否启用移动终端绑定功能，如果启用则学习移动终端信息，并返回认证成功给无线AC；

7、无线AC 将认证结果通过Portal 协议转发给Portal 服务器

8、 Portal 服务器根据认证结果展示结果页面给上网用户；

备注：此时SMP/ESS 已经成功学习到上网用户的移动终端信息，后续用户在关联此SSID时即可通过MAC认证完成用户身份认证。

9、上网用户下线后再次使用该移动终端打开WIFI 连接SSID，无线接收到连接请求后，向SMP/ESS

发起Radius 认证(Mac By Pass 方式)，Radius请求报文中的用户名/密码均为终端MAC地址，由于SMP/ESS 已经学习到该移动终端信息，所以认证成功。