Los puertos están bloqueados por defecto, bloqueando el tráfico normal (EAP puede pasar), hasta que el usuario se autentique con unas credenciales válidas. Hay un intermediario (Autenticador) que se encarga de revisar las credenciales contra un servidor de autenticación (Radius, por ejemplo).
Es un protocolo que define un mecanismo de transporte de credenciales (Extensible Authentication Protocol) entre el usuario (suplicante) y el servidor de autenticación. Este protocolo es el único que puede atravessar puertos bloqueados. EAP se tiene que apoyar en otro tipo de portocolos ya que solo define la infraestructura para el transporte de credenciales, pero no las mueve. Los protocolos más usados para la transmisión de credenciales suelen ser:
Hay que distinguir el protocolo de transporte, el protocolo EAP y los credenciales, son cosas diferentes. Normalmente el intermediario solicita la identidar al usuario (suplicante), saca el paquete EAP del 802.1X y se lo pasa al server de autenticación