802.1x认证中的chap/pap/eap认证

您好：

chap：启用EAP终结方式，并支持与RADIUS服务器之间采用CHAP类型的认证方法。

eap：启用EAP中继方式，并支持客户端与RADIUS服务器之间所有类型的EAP认证方法。

pap：启用EAP终结方式，并支持与RADIUS服务器之间采用PAP类型的认证方法。

【使用指导】

在EAP终结方式下：设备将收到的客户端EAP报文中的用户认证信息重新封装在标准的RADIUS报文中，然后采用PAP或CHAP认证方法与RADIUS服务器完成认证交互。该方式的优点是，现有的RADIUS服务器基本均可支持PAP和CHAP认证，无需升级服务器，但设备处理较为复杂，且目前仅能支持MD5-Challenge类型的EAP认证以及iNode 802.1X客户端发起的“用户名+密码”方式的EAP认证。有关PAP和CHAP两种认证方法的详细介绍如下：

·     PAP（Password Authentication Protocol，密码验证协议）通过用户名和口令来对用户进行验证，其特点是在网络上以明文方式传送用户名和口令，仅适用于对网络安全要求相对较低的环境。目前，H3C iNode 802.1X客户端支持此认证方法。

·     CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）采用客户端与服务器端交互挑战信息的方式来验证用户身份，其特点是在网络上以明文方式传送用户名，以密文方式传输口令。与PAP相比，CHAP认证保密性较好，更为安全可靠。

在EAP中继方式下：设备将收到的客户端EAP报文直接封装到RADIUS报文的属性字段中，发送给RADIUS服务器完成认证。该方式的优点是，设备处理简单，且可支持多种类型的EAP认证方法，例如MD5-Challenge、EAP-TLS、PEAP等，但要求服务器端支持相应的EAP认证方法。

采用远程RADIUS认证时，PAP、CHAP、EAP认证的最终实现，需要RADIUS服务器支持相应的PAP、CHAP、EAP认证方法。

mac-trigger实现无感知的介绍可以参考该连接说明：https://www.h3c.com/cn/d_202210/1710060_30005_0.htm#_Toc117016304

若采用EAP认证方法，则RADIUS方案下的user-name-format配置无效，user-name-format的介绍请参见“用户接入与认证命令参考”中的“AAA”。