“层”来自旧的 ISO 抽象分类，该分类已应用于事物在物理世界中的真实运行方式，通常在修辞上相当于大锤。您不应该尝试将分层作为福音，这通常会导致混乱。

SSL/TLS 是一种可以在双向数据隧道上应用的协议，它提供双向数据隧道，具有身份验证（服务器到客户端，或相互）、机密性（通过加密）和验证完整性。就“层”而言，它正好在 OSI 模型的第 4 层和第 6 层之间，这表明“层”的概念无法捕捉 SSL/TLS 的实际位置。

碰巧 SSL/TLS 的身份验证部分（“握手”）包含一系列消息，这些消息以交替顺序交换；请参阅TLS 规范，第 36 页，查看显示该序列的图表。在“正常”SSL/TLS 中，消息通过应用 SSL/TLS 的任何双向数据隧道（通常是 TCP 连接）进行交换。但是，握手的加密属性来自消息内容，而不是它们的发送方式。此时，考虑 EAP：这是一个身份验证协议框架，包含在消息中；EAP 旨在用于任何可以发送消息的传输机制（“第 2 层”，如果您真的想分层考虑）。因此，EAP-TLS 已被定义：这是一种身份验证协议，由一系列消息组成，这些消息是为 SSL/TLS 握手指定的消息——但通过 EAP 使用的传输机制发送了如此多的消息。EAP-TLS 不是 TLS，它不为数据提供隧道；的零件，其发生在TLS连接开始握手。

https://www.omnisecu.com/tcpip/how-ieee-802.1x-port-based-authentication-works.php

如果您查看上面的 802.1x 数据包，它会显示通信发生在第 2 层。