當用戶和接入服務器之間的PPPOE建立之后，就可以在上面建立PPP會話。PPP會話的建立分為三個階段：LCP協商、認證、ipCP協商。

　　對于PPP終結和PPP續傳，LCP協商階段是相同的。認證和IPCP協商不同。


LCP協商

　　LCP協商主要完成某些鏈路路特性和認證方式的協商，LCP協商成功后，用戶根據協商的認證方式向接入服務器發起認證請求，用戶認證的方式采用PAP或CHAP方式

PPP終結時的認證和IP地址分配

　　PAP為兩次握手認證，口令為明文。PAP認證過程如下：撥號用戶發送用戶名和口令到接入服務器，接入服務器通過RADIUS協議到RADIUS服務器上去查看是否有此用戶，口令是否正確，然后發送相應的響應。
　　CHAP為三次握手認證，口令為密文。CHAP撥號用戶發送用戶名到接入服務器，接入服務器發送一些隨機產生的報文，交給被撥號用戶，撥號用戶用自己的口令用md5算法進行加密，傳回密文，接入服務器用從RADIUS服務器取得的用戶口令及隨機報文用MD5算法加密，比較二者的密文，根據比較結果返回認證成功或失敗的響應。
　　接入服務器和RADIUS服務器之間通過一個共享密鑰以密文方式通信。
　　在認證階段，假如在用戶數據庫中為該用戶名配置了IP地址，則RADIUS服務器將這個IP地址返回給接入服務器，作為這個用戶上網使用的IP地址。
　　假如用戶在認證階段還沒有獲得IP地址，就需要在IPCP階段協商IP地址。一般來說，運營商為用戶提供接入服務時，應該有一批IP地址，即IP地址池，用戶上網所需要的IP地址就來自與此，當用戶上網時，從IP地址池分配一個IP地址，當用戶下網時，這個IP地址歸還到地址池。在運營商開通接入服務時，將IP地址池配置到接入服務器中，在IPCP階段，接入服務器從IP地址池分配一個空閑的IP地址給用戶，作為用戶上網的IP地址。假如已經沒有可用的IP地址，則IPCP協商失敗，關閉PPP連接，在用戶看來，則是撥號失敗，ISP暫時不能為他提供接入服務。

PPP續傳時的認證和IP地址分配

　　LCP協商結束后，假如經RADIUS服務器檢查這是一個VPN用戶，則接入服務器為這個用戶建立到LNS的會話，假如沒有隧道還要建立隧道。認證分為兩種情況：一次認證和兩次認證。
　　一次認證是指只在LAC的RADIUS服務器上認證一次，LNS信任LAC的RADIUS服務器。用戶的IP地址可以由LAC的RADIUS服務器指定，也可以由用戶和LNS進行IPCP協商獲得。
　　兩次認證是指用戶需要輸入兩次用戶名和口令，一個是接入Internet的權限驗證，一個是進入VPN的權限驗證。認證的時候需要LAC的RADIUS服務器和LNS的RADIUS服務器共同配合。IP地址的可以由LNS的RADIUS服務器指定，也可以由用戶和LNS進行IPCP協商獲得。

RADIUS協議擴展

　　為實現對用戶更全面的治理，在RADIUS協議中，至少應該擴展以下屬性：用戶的接入帶寬、用戶接入所使用的PVC，假如用戶間希望互相通信，需要指明對方的用戶名或IP地址?？蛻舳撕头掌鞫送瑫r支持。