РРР ЕАР (Extensible Authentication Protocol) является общим протоколом аутентификации РРР, который поддерживает множество аутентификационных механизмов. ЕАР не производит выбор конкретного аутентификационного механизма на этапе контроля соединения, но откладывает этот выбор до этапа аутентификации. Этот сценарий позволяет аутентификатору запросить больше информации до определения конкретного аутентификационного механизма. Кроме того, это дает возможность использовать "внутренний" сервер, который реально запускает различные механизмы, тогда как аутентификатор РРР служит лишь для обмена аутентификационными данными.
Рисунок 2. Аутентификация РРР ЕАР
Маршрутизатор отделения пытается провести аутентификацию сервера сетевого доступа (NAS) или “аутентификатора”. По завершении этапа установления связи аутентификатор отправляет один или несколько запросов для аутентификации вызывающей машины. В запросе имеется поле типа запроса, где указано, что именно запрашивается. Так, например, здесь можно указать такие типы запросов, как аутентификация MD5, S/Key, аутентификация с использованием аппаратной карты для генерирования паролей и т.д. Запрос типа MD5 очень схож с протоколом аутентификации CHAP. Обычно аутентификатор отправляет первоначальный аутентификационный запрос, за которым следует один или несколько дополнительных запросов о предоставлении аутентификационной информации. При этом первоначальный запрос не является обязательным и может опускаться в случаях, когда аутентификация обеспечивается иными способами (при связи по выделенным каналам, выделенным номерам и т.д.). В этих случаях вызывающая машина отправляет пакет ответных данных в ответ на каждый запрос.