基础知识解读：可扩展的验证协议eap
eap 身份验证方法
使用可扩展的身份验证协议(eap)，任意身份验证机制都可以对远程访问连接进行身份验证。通过远程 vpn 客户端和验证程序(isa服务器或 radius服务器)协商要使用的确切身份验证方案。isa 服务器包括默认情况下支持 message digest 5challenge(md5-challenge) 和 eap-transport level security (eap-tls)。
eap 允许远程vpn客户端和验证程序之间进行开端对话。对话由对身份验证信息的验证程序请求和远程 vpn 客户端的响应组成。例如，当eap与安全标记卡一起使用时，验证程序可以单独查询远程访问客户端的名称、pin和卡标记值。经过提问和回答一轮查询之后，远程访问客户端将通过身份验证的另一个级别。正确回答所有问题之后，将对远程访问客户端进行身份验证。
特定的 eap 身份验证方案称为eap类型。远程访问客户端和验证程序必须支持相同的 eap 类型才能成功进行身份验证。
有关配置身份验证方法的说明，请参阅配置 vpn 身份验证方法。
eap 结构
eap 是一组以插件模块的形式为任何eap类型提供结构支持的内部组件。为了成功进行身份验证，远程访问客户端和验证程序必须安装相同的 eap 身份验证模块。isa服务器支持两种eap 类型：md5-challenge 和 eap-tls。
md5-challenge
message digest 5challenge(md5-challenge) 是一种必需的 eap 类型，其使用与基于 ppp 的chap相同的质询/握手协议，但是质询和响应是作为 eap消息发送的。md5-challenge的典型用法是通过使用用户名和密码安全系统对远程 vpn 客户端的凭据进行身份验证。您还可以使用md5-challenge 来测试eap 的互操作性。
eap-tls
eap-transport level security(eap-tls)是在基于证书的安全环境中使用的 eap 类型。如果您将智能卡用于远程访问身份验证，则必须使用eap-tls身份验证方法。eap-tls 的消息交换可以提供远程vpn客户端和验证程序之间的相互身份验证、加密方法的协商和加密密钥的确定。eap-tls 提供了*强大的身份验证和密钥确定方法。
eap-radius
eap-radius 并不是一种 eap类型，但是可以通过验证程序将任何eap 类型的 eap 消息传递到 radius 服务器，以便进行身份验证。例如，将 isa服务器配置为用于 radius身份验证时，将封装在远程 vpn 客户端和 isa 服务器之间发送的 eap 消息，并在远程访问服务器和radius服务器之间将格式设置为 radius 消息。
eap-radius 用在将 radius作为身份验证提供程序的环境中。使用eap-radius 的优势在于不需要在每个远程访问服务器上安装 eap 类型，只需要在radius 服务器上安装即可。在internet 验证服务 (ias) 中，只需要在 isa 服务器上安装 eap 类型。