Quá trình xác thực người dùng trong L2TP điễn ra trong 3 giai đoạn: giai đoạn 1 diễn ra tại ISP, giai đoạn 2 và giai đoạn 3 (tuỳ chọn) điễn ra ở máy chủ của mạng riêng.
Trong giai đoạn đầu, ISP sử dụng số điện thoại của người dùng hoặc tên người dùng để xác định dịch vụ L2TP được yêu cầu và khởi tạo kết nối đường hầm đến máy chủ mạng riêng. Khi đường hầm được thiết lập, LAC của ISP chỉ định một số nhận dạng cuộc gọi (Call ID) mới để định danh cho kết nối trong đường hầm và khởi tạo phiên bằng cách chuyển thông tin xác thực đến máy chủ của mạng riêng. Máy chủ của mạng riêng sẽ tiến hành tiếp bước thứ 2.
Giai đoạn 2, máy chủ của mạng riêng quyết định chấp nhận hay từ chối cuộc gói. Cuộc goi từ ISP chuyển đến có thể mạng thông tin CHAP, PAP hay bất kỳ thông tin xác thực nào, máy chủ sẽ dựa vào các thông tin này để quyết định chấp nhận hay từ chối.
Sau khi cuộc gọi được chấp nhận thì máy chủ có thể khởi động giai đoạn thứ 3 của quá trình xác thực (tại lớp PPP), đây là giai đoạn tuỳ chọn. bước này xem như máy chủ xác thực một người dùng quay số truy cập vào thẳng máy chủ. Kết quả của 3 giai đoạn này cho phép người dùng, ISP và máy chủ của mạng riêng xác định được tính chính xác của cuộc gọi nhưng vẫn chưa bảo mật cho dữ liệu.
Để việc xác thực trong L2TP hiệu quả thì cần phải phân phối khoá. Mặc dù phân phối bằng tay có thể khả thi trong một số trường hợp nhưng về cơ bản thì cần phải có một giao thức quản lý khoá.
e) Đường hầm kết nối LAN-LAN
Mục đích ban đầu của L2TP là để quay số truy cập VPN sử dụng client PPP, nhưng L2TP cũng thích hợp cho kết nối LAN-LAN trong VPN.
Đường hầm kết nối LAN-LAN được thiết lập giữa hai máy chủ L2TP nhưng ít nhất một trong 2 máy chủ phải có kết nối tới ISP để khởi tạo phiên làm việc PPP. Hai máy chủ đóng vai trò vừa là LAC, vừa là LNS và có thể khởi tạo hay kết thúc đường hầm khi cần.
Hình 2.18: Đường hầm kết nối LAN-LAN