认证客户端为STA，接入设备为AC，认证服务器为Radius服务器

客户端发送认证接入请求

接入设备要求用户提供用户名（封装在EPOL-Packet中）

客户端发送用户名给接入设备（封装在EPOL-Packet中）

接入设备将此报文封装在Radius报文中发送给认证服务器

认证服务器收到用户名之后，接下来服务器就会发起TLS通道建立请求

建立TLS通道

服务器决定使用PEAP进行用户的接入认证，发起建立TLS通道隧道的请求（接入交换机将Radius报文解封装，然后封装EPOL发送给用户）

用户收到之后，会发送一个Client hello报文；包含自己的TLS版本、以及自身支持的加密集，去协商使用哪一种加密算法加密TLS隧道，还会携带随机数（用于后面生成加密隧道的密钥）（接入交换机将EPOL报文解封装，然后封装Radius发送给服务器）

Radius服务器会选择双方能够支持的最好的加密算法进行隧道加密；然后检查TLS版本是否支持并生成随机数（TLS版本不支持会认证失败）；然后发送一个Server hello报文，包含自己的TLS版本的服务器证书、随机数、选择的加密算法发给用户（用户通过证书校验服务器）

终端收到之后会校验服务器的证书是否合法，校验成功后会生成随机密钥串（和随机数一样也是用于生成加密的密钥），然后使用服务器证书的公钥为随机密钥串加密，发给服务器

服务器通过私钥解密，得到随机密钥串；然后服务器根据随机密钥串、终端随机数、服务器随机数结合之前协商的算法去计算出TLS隧道使用的加密密钥；然后告诉终端使用此加密算法和密钥

终端同意后后对其回应，TLS通道建立成功

服务器证书的作用

1、终端校验证书的合法性

2、合法性通过之后，用于终端通过证书公钥加密自己随机生成的密钥串

注意事项

Windows7只支持公有证书的校验，如果服务器使用私有证书或者证书过期，则Windows7可能会校验失败

可以在Windows取消证书校验，或把服务器的证书换为公有证书

通道内对无线用户进行认证

通过采用CHAPv2的方式进行对用户进行认证（双向认证）

紫色服务器认证用户蓝色用户认证服务器

服务器去请求用户的用户名

用户将用户名提交给服务器

服务器生成16字节随机数发给终端

终端收到后，本身也生成随机数，然后利用两个随机数、用户名、此用户名对应的密码计算出一个24字节的密文，将此密文和自己生成的16字节随机数发给服务器

服务器收到客户端的随机数后，根据两个随机数，服务器上配置的用户名和对应的密码生成24字节密文；将其与收到的密文做对比，如果一致则说明用户认证通过了，服务器认证用户是合法的；此时用户还需要认证服务器是否合法，因此服务器把之前计算出来的24字节密文再进行计算（2者的随机数、用户名、密码对此密文计算）发给客户端

客户端收到此密文后，同样对之前加密了的24字节密文再此进行计算，将其结果与接收到的密文对比，两边一致则服务器的认证通过；发送认证通过报文给服务器

服务器收到后发送EAP认证成功报文；其中包含了MPPE密钥（微软的点对点加密，里面含PMK可以生成PKT数据加密密钥）

根据需要进行计费（认证通过之后计费）