02.1x认证方式概述：EAP中继认证(eap)、EAP终结认证(chap)与PAP

以下是根据提供的内容重构的文本：

802.1x认证方式有三种，分别是EAP中继认证、EAP终结认证和PAP。其中，EAP中继认证也叫EAP透传认证，由网络接入设备直接把802.1X用户的认证信息以及EAP报文直接封装到RADIUS报文的属性字段中，发送给RADIUS服务器，而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。可以支持的认证方式包括MD5-Challenge、EAP-TLS和EAP-PEAP等。这些认证方式都有各自的优缺点。例如，MD5-Challenge认证方式简单，但安全性较低；EAP-TLS认证方式安全性较好，但需要配置证书等复杂操作；EAP-PEAP认证方式安全性也较好，但要求操作系统支持等。需要注意的是，CE系列交换机不支持除此之外的中继认证方式，并且要求RADIUS服务器支持相应的认证方法。

另外两种802.1x认证方式分别是EAP终结认证和PAP。EAP终结认证由网络接入设备终结用户的EAP报文，解析出用户名和密码，并对密码进行加密，再将EAP报文转换成标准的RADIUS报文后发给RADIUS服务器来完成认证。这种方式减轻了服务器压力，但设备端处理较为复杂。

02.1X认证系统使用可扩展认证协议EAP(Extensible Authentication Protocol)来实现客户端、设备端和认证服务器之间认证信息的交换，各实体之间EAP协议报文的交互形式如下:

- 在客户端与设备端之间，EAP协议报文使用EAPOL封装格式，并直接承载于LAN环境中。

- 在设备端与RADIUS服务器之间，EAP协议报文可以使用以下两种方式进行交互：

1. EAPOL中继：EAP协议报文由设备端进行中继，设备将EAP报文使用EAPOR(EAP over RADIUS)封装格式承载于RADIUS协议中，发送给RADIUS服务器进行认证。该认证方式的优点是设备处理简单，可支持多种类型的EAP认证方法，例如MD5-Challenge、EAP-TLS、PEAP等，但要求服务器端支持相应的认证方法。

2. EAP终结：EAP协议报文由设备端进行终结，设备将客户端认证信息封装在标准RADIUS报文中，与服务器之间采用密码验证协议PAP(Password Authentication Protocol)或质询握手验证协议CHAP(Challenge Handshake Authentication Protocol)方式进行认证。该认证方式的优点是现有的RADIUS服务器基本均可支持PAP和CHAP认证，无需升级服务器，但设备处理较为复杂，且不能支持除MD5-Challenge之外的其它EAP认证方法。

设备支持如下EAP协议：EAP-CHAP(EAP-MD5)、EAP-PAP、EAP-TLS、EAP-TTLS和EAP-PEAP。

在配置802.1x认证方式时，可以使用以下命令：

```plaintext

dot1x authentication-method { chap | pap | eap }

```

缺省情况下，802.1x认证方式为CHAP。PAP是一种两次握手认证协议，它采用明文方式加载到RADIUS报文中传送口令。该方式安全性较低，不建议使用。CHAP是一种三次握手认证协议，它只在RADIUS报文中传输用户名，而并不传输口令。相比之下，CHAP认证保密性较好，更为安全可靠。如果是基于安全性的考虑，建议采用该方式。EAP认证功能，设备不对接收到的包含用户认证信息的EAP报文作任何处理，直接封装到RADIUS报文中发送给RADIUS服务器完成认证，这个技术也称之为EAPOR(EAP over Radius)。如果采用EAP-MD5认证方法，只需启动EAP认证即可。其中PAP和CHAP认证属于终结认证，EAP方式属于中继认证方式。

可在系统视图或接口视图下配置，在系统视图下配置对设备的所有接口生效，在接口视图下配置仅对指定接口生效。若同时在系统视图和接口视图下配置，则以接口视图下的配置为准。

操作步骤如下：

1. 在系统视图下配置：

- 执行命令`system-view`,进入系统视图。

- 执行命令`dot1x authentication-method { chap | pap | eap },配置802.1x认证方式。`

- 缺省情况下，802.1x认证方式为CHAP。

2. 在接口视图下配置：

- 执行命令`system-view`,进入系统视图。

- 执行命令`interface interface-type interface-number`,进入接口视图。

- 执行命令`dot1x authentication-method { chap | pap | eap },配置802.1x认证方式。`

- 缺省情况下，802.1x认证方式为CHAP。

新版本的radius命令是：`radius-server template a1`。

要取消对域名的限制，可以使用以下命令：

```

undo radius-server user-name domain-included

```

在日志中查看，仍然收到了带有域名的用户名。但是在修改模式后，即使用户输入了带有域名的用户名，也无法收到。

另一个解决方案是在ACS上配置用户名时直接添加@域名。例如：`dot1x authentication-method eap @domain.com`。这样可以避免识别带有域名的用户名。

如果需要识别带域名的用户名，可以考虑使用Windows Radius Server。