Sau quá trình thiết lập liên kết, khi xác định được mạng yêu cầu xác thực dựa trên 802.1X và EAP, điểm truy cập sẽ gửi thông điệp EAP-Request hoặc trạm sẽ gửi thơng điệp EAP-Start để bắt đầu q trình xác thực bằng EAP.
Với giả thiết máy chủ RADIUS được sử dụng làm máy chủ xác thực, quá trình xác thực trong WLAN dựa trên 802.1X diễn ra như sau:
1. Trạm gửi gói tin EAPOL-Start tới điểm truy cập. (Bước này là tùy chọn) 2. Điểm truy cập gửi khung tin EAP-Request/Identity thông báo với trạm rằng cần phải xác thực 802.1X.
3. Trạm trả lời với khung tin EAP-Response/Identity. Khung tin này sẽ được chuyển tiếp tới máy chủ Radius với vai trị khung tin Radius-Access-Request. 4. Máy chủ Radius gửi gói tin EAP-Request xác định phương pháp xác thực. Gói tin này được bao gói trong khung tin Radius-Access-Challenge gửi tới điểm truy cập. Điểm truy cập sẽ chuyển tiếp khung tin EAP-Request tới trạm. Khung tin EAP-Request thông thường được gọi là EAP-Request/Method trong đó Method là phương pháp EAP được sử dụng (chẳng hạn PEAP, EAP-TLS). 5. Trạm nhận thơng tin trả lời từ người dùng (ví dụ: tên/mật khẩu) và trả lời bằng khung tin EAP-Response. Khung tin này sẽ được điểm truy cập chuyển
thành gói tin Radius-Access-Request với nội dung thách thức được kèm trong thân gói tin.
Bước 4 và 5 có thể phải lặp đi lặp lại nhiều lần để hồn tất q trình xác thực. Khóa cặp chính cũng được chuyển tới điểm truy cập và trạm trong q trình này.
6. Máy chủ RADIUS gửi gói tin RADIUS-Access-Accept thơng báo xác thực thành công. Điểm truy cập sẽ chuyển tiếp gói tin này thành gói tin EAP- Success chuyển tới trạm đồng thời chuyển trạng thái của cổng sang đã xác thực.
7. Ngay sau khi nhận được gói tin Radius-Access-Accept, điểm truy cập thực và trạm thực hiện quá trình bắt tay 4-bước để sinh cây phân cấp khóa thơng qua các thơng điệp EAPOL-Key. (Bước này không xảy ra khi áp dụng 802.1X cho WEP).
8. Khi muốn ngắt kết nối khỏi mạng, trạm gửi gói tin EAPOL-Logoff tới điểm truy cập. Cổng logic tương ứng sẽ được chuyển sang trạng thái chưa xác thực.