当客户端和 radius 服务器启动连接时，事情是如何工作的？

EAP 请求者（即您的问题中的客户端）和 RADIUS 服务器之间的通信被配置为使用多种不同的 EAP 方法之一。这些已经开发了数十年，用于各种应用和用途。

因此，需要在两者之间协商的第一件事是使用哪种 EAP 方法。

是否总是 tls 连接

不，一般来说，它并不总是 TLS 连接。许多 EAP 方法不使用加密，因为它们的应用方式不需要加密。

如果您谈论的是特定类型的应用程序，以 802.11 身份验证为例，那么我所知道的用于此功能的所有 EAP 方法都使用 TLS 隧道。至少有两个最常见的（EAP-PEAP 和 EAP-TTLS）实际上在仅用于建立 TLS 隧道的外部 EAP 方法中建立 EAP 身份验证（可能不使用加密）。

并且在验证证书（如经典 https 连接）后是否使用对称加密？

根据所讨论的确切 EAP 方法，是的，它通常与在 HTTPS 连接中使用 TLS 非常相似。