了解一些關于接入網協議的常識還是非常有用的，這里我們主要介紹創建PPP鏈路、用戶驗證，包括介紹口令驗證接入網協議、微軟挑戰-握手驗證接入網協議等方面。因為第2層隧道協議在很大程度上依靠PPP協議的各種特性，因此有必要對PPP協議進行深入的探討。PPP接入網協議主要是設計用來通過撥號或專線方式建立點對點連接發送數據。PPP協議將IP，IPX和NETBEUI包封裝在PP楨內通過點對點的鏈路發送。PPP接入網協議主要應用于連接撥號用戶和NAS。 PPP撥號會話過程可以分成4個不同的階段。分別如下：

階段1：創建PPP鏈路

PPP使用鏈路控制協議（LCP）創建，維護或終止一次物理連接。在LCP階段的初期，將對基本的通訊方式進行選擇。應當注意在鏈路創建階段，只是對驗證協議進行選擇，用戶驗證將在第2階段實現。同樣，在LCP階段還將確定鏈路對等雙方是否要對使用數據壓縮或加密進行協商。實際對數據壓縮/加密算法和其它細節的選擇將在第4階段實現。

階段2：用戶驗證

在第2階段，客戶會PC將用戶的身份明發給遠端的接入服務器。該階段使用一種安全驗證方式避免第三方竊取數據或冒充遠程客戶接管與客戶端的連接。大多數的PPP方案只提供了有限的驗證方式，包括口令驗證協議（PAP），挑戰握手驗證協議（CHAP）和微軟挑戰握手驗證協議（MSCHAP）。

1.口令驗證接入網協議（PAP）
PAP是一種簡單的明文驗證方式。NAS要求用戶提供用戶名和口令，PAP以明文方式返回用戶信息。很明顯，這種驗證方式的安全性較差，第三方可以很容易的獲取被傳送的用戶名和口令，并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以，一旦用戶密碼被第三方竊取，PAP無法提供避免受到第三方攻擊的保障措施。

2.挑戰-握手驗證接入網協議（CHAP）
CHAP是一種加密的驗證方式，能夠避免建立連接時傳送用戶的真實密碼。NAS向遠程用戶發送一個挑戰口令（challenge），其中包括會話ID和一個任意生成的挑戰字串（arbitrary challengestring）。遠程客戶必須使用MD5單向哈希算法（one-wayhashingalgorithm）返回用戶名和加密的挑戰口令，會話ID以及用戶口令，其中用戶名以非哈希方式發送。
CHAP對PAP進行了改進，不再直接通過鏈路發送明文口令，而是使用挑戰口令以哈希算法對口令進行加密。因為服務器端存有客戶的明文口令，所以服務器可以重復客戶端進行的操作，并將結果與用戶返回的口令進行對照。CHAP為每一次驗證任意生成一個挑戰字串來防止受到再現攻擊（replay attack).在整個連接過程中，CHAP將不定時的向客戶端重復發送挑戰口令，從而避免第3方冒充遠程客戶（remoteclient impersonation)進行攻擊。

3.微軟挑戰-握手驗證接入網協議（MS-CHAP）
與CHAP相類似，MS-CHAP也是一種加密驗證機制。同CHAP一樣，使用MS-CHAP時，NAS會向遠程客戶發送一個含有會話ID和任意生成的挑戰字串的挑戰口令。遠程客戶必須返回用戶名以及經過MD4哈希算法加密的挑戰字串，會話ID和用戶口令的MD4哈希值。采用這種方式服務器端將只存儲經過哈希算法加密的用戶口令而不是明文口令，這樣就能夠提供進一步的安全保障。此外，MS-CHAP同樣支持附加的錯誤編碼，包括口令過期編碼以及允許用戶自己修改口令的加密的客戶-服務器（client-server)附加信息。使用MS-CHAP，客戶端和NAS雙方各自生成一個用于隨后數據加密的起始密鑰。MS-CHAP使用基于MPPE的數據加密，這一點非常重要，可以解釋為什么啟用基于MPPE的數據加密時必須進行MS-CHAP驗證。