PPP 扩展认证协议（EAP）是一个用于 PPP 认证的通用协议，可以支持多种认证方法。EAP 并不在链路控制阶段指定认证方法，而是把这个过程推迟到认证阶段。这样认证方就可以在得到更多的信息以后再决定使用什么认证方法。这种机制还允许 PPP 认证方简单地把收到的认证报文透传给后方的认证服务器，由后方的认证服务器来真正实现各种认证方法。

1. 在链路阶段完成以后，认证方向对端发送一个或多个请求报文。在请求报文中有一个类型字用来指明认证方所请求的信息类型，例如是对端的 ID、MD5 的挑战字、一次密码（OTP）以及通用令牌卡等。MD5 的挑战字对应于 CHAP 认证协议的挑战字。典型情况下，认证方首先发送一个 ID 请求报文随后再发送其他的请求报文。当然，并不是必须要首先发送这个 ID 请求报文，在对端身份是已知的情况下（如租用线、拨号专线等）可以跳过这个步骤。
2. 对端对每一个请求报文回应一个应答报文。和请求报文一样，应答报文中也包含一个类型字段，对应于所回应的请求报文中的类型字段。
3. 认证方通过发送一个成功或者失败的报文来结束认证过程。

　　EAP 可以支持多种认证机制，而无需在 LCP 阶段预协商过程中指定。某些设备（如：网络接入服务器）不需要关心每一个请求报文的真正含义，而是作为一个代理把认证报文直接透传给后端的认证服务器。设备只需关心认证结果是成功还是失败，然后结束认证阶段。

　　EAP 需要在 LCP 中增加一个新的认证协议，这样现有的 PPP 实现要想使用 EAP 就必须进行修改。同时，使用 EAP 也和现有的在 LCP 协商阶段指定认证方法的模型不一致。

• Type ― 3
• Length ― 4
• Authentication-Protocol ― 对于 PPP 中的 EAP，该字段为C227（十六进制）。

• Code ― Code 字段识别 EAP 数据包类型。
• EAP 代码分配如下：1、请求（Request）；2、响应（Response）；3、成功（Success）；4、失败（Failure）
• Identifier ― Identifier 字段用于匹配响应和请求信息。
• Length ― Length 字段表示 EAP 数据包的长度，包括 Code、Identifier、Length 和 Data 字段
• Data ― Data 字段的格式取决于 Code 字段。