Layer Two Tunneling Protocol (L2TP)

Layer Two Tunneling Protocol (L2TP)
Pendahuluan
L2TP adalah suatu standard IETF (RFC 2661) pada layer 2 yang merupakan kombinasi dari keunggulan-keunggulan  fitur dari protokol  L2F (dikembangkan oleh Cisco) dan  PPTP (dikembangkan oleh Microsoft), yang didukung oleh vendor-vendor : Ascend, Cisco, IBM, Microsoft dan 3Com. Untuk mendapatkan tingkat keamanan yang lebih baik , L2TP dapat dikombinasikan dengan protocol tunneling IPSec pada layer 3. Seperti PPTP, L2TP juga mendukung protokol-protokol non-IP. L2TP lebih banyak digunakan pada VPN non-internet (frame relay, ATM, dsb).
Protokol L2TP sering juga disebut sebagai protokol dial-up virtual, karena L2TP memperluas suatu session  PPP (Point-to-Point Protocol) dial-up melalui jaringan publik internet, sering juga digambarkan seperti koneksi virtual PPP.
Perangkat L2TP

1. Remote Client: Suatu end system atau router pada jaringan remote access (mis. : dial-up client).
2. L2TP Access Concentrator (LAC) Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LNS.    Berada pada sisi remote client/ ISP.    Sebagai pemrakarsa incoming call dan penerima outgoing call.
3. L2TP Network  Server (LNS)   Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LAC.   Berada pada sisi jaringan korporat.  Sebagai pemrakarsa outgoing call dan penerima incoming call.
4. Network Access Server (NAS)   NAS dapat berlaku seperti LAC atau LNS atau kedua-duanya.

L2TP Tunnel
Skenario L2TP adalah untuk  membentuk tunnel atau terowongan frame PPP antara remote client dengan LNS yang berada pada suatu jaringan korporat. Terdapat 2 model tunnel L2TP yang dikenal , yaitu compulsory  dan voluntary. Perbedaan utama keduanya terletak pada endpoint tunnel-nya. Pada compulsory tunnel, ujung tunnel berada pada ISP, sedangkan pada voluntary ujung tunnel berada pada client remote.

Model Compulsory L2TP

Remote client memulai koneksi PPP ke LAC melalui PSTN. Pada gambar    diatas LAC berada di ISP.  Kemudian ISP menerima koneksi tersebut dan link PPP ditetapkan. Lalu ISP melakukan partial authentication (pengesahan parsial)untuk mempelajari user name. Database map user untuk layanan-layanan dan endpoint tunnel LNS, dipelihara oleh ISP.  LAC kemudian menginisiasi tunnel L2TP ke LNS.  Jika LNS menerima koneksi, LAC kemudian mengencapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel yang tepat. Kemudian LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa. LNS kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP.

Model Voluntary L2TP

Remote client mempunyai koneksi pre- established ke ISP. Remote Client befungsi juga sebagai LAC. Dalam hal ini, host berisi software client LAC mempunyai suatu koneksi ke  jaringan publik (internet) melalui ISP. Client L2TP (LAC) lalu menginisiasi tunnel L2TP ke LNS. Jika LNS menerima koneksi, LAC kemudian meng-encapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel.  Kemudian LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa. LNS kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP.
Struktur Protokol L2TP
Struktur Protokol L2TP
Dua jenis messages pada L2TP : control messages dan data messages. 
Cara Kerja L2TP
Komponen-komponen pada tunnel, yaitu :
1.  Control channel, fungsinya :

• Setup (membangun) dan teardown (merombak) tunnel
• Create (menciptakan) dan teardown (merombak) payload (muatan) calls dalam tunnel.
• Menjaga mekanisme untuk mendeteksi tunnel yang outages.

2.  Sessions (data channel) untuk delivery data :

• Layanan delivery payload
• Paket PPP yang di-encapsulasi dikirim pada sessions

Ada 2 langkah untuk membentuk tunnel untuk session PPP pada L2TP :

1. Pembentukan koneksi kontrol untuk suatu tunnel. Sebelum incoming atau outgoing call dimulai, tunnel dan koneski kontrol harus terbentuk. Koneksi kontrol adalah koneksi yang paling pertama dibentuk antara LAC dan LNS sebelum session terbentuk. Pembentukan koneksi kontrol termasuk menjamin identitas dari peer, seperti pengidentifikasikan versi L2TP peer, framing, kemampuan bearer, dan sebagainya. Ada tiga message dipertukarkan yang dilakukan untuk membangun koneksi kontrol (SCCRQ, SCCRP, dan SCCN). Jika tidak ada  message lagi yang menunggu dalam antrian  peer tersebut, ZLB ACK dikirimkan.
2. Pembentukan session yang dipicu oleh permintaan incoming atau outgoing call. Suatu session L2TP harus terbentuk sebelum frame PPP dilewatkan pada tunnel L2TP. Multiple session dapat dibentuk pada satu tunnel, dan beberapa tunnel dapat dibentuk diantara LAC dan LNS yang sama.

Autentikasi Tunnel Pada L2TP
Sistem autentifikasi yang digunakan L2TP, hampir sama dengan CHAP selama pembentukan koneksi kontrol.  Autentifikasi tunnel L2TP menggunakan Challenge AVP yang termasuk di dalam message SCCRQ atau SCCRP :    Jika challenge AVP diterima di SCCRQ atau SCCRP, maka AVP challenge respon harus dikirimkan mengikuti SCCRP atau SCCCN secara berturut-turut.     Jika respon yang diharapkan dan respon yang diterima tidak sesuai, maka pembentukan tunnel tidak diijinkan. Untuk dapat menggunakan tunnel, sebuah password single share harus ada diantara LAC dan LNS.
Keamanan Informasi Pada L2TP
L2TP  membentuk tunnel LAC hingga  LNS,  sehingga data yang dilewatkan tidak dapat terlihat secara transparan oleh pengguna jaringan publik.
Ada beberapa bentuk keamanan yang diberikan oleh L2TP, yaitu :
1. Keamanan Tunnel Endpoint
Prosedur autentifikasi tunnel endpoint selama pembentukan tunnel, memiliki atribut yang sama dengan CHAP (Challenge Handshake Authentication Protocol). Mekanisme ini tidak di desain untuk menyediakan autentifikasi setelah proses pembentukan tunnel. Karena bisa saja pihak ketiga yang tidak berhak dapat melakukan pengintaian terhadap aliran data pada tunnel L2TP dan melakukan injeksi terhadap paket L2TP, jika setelah proses pembentukan tunnel terjadi.
2. Keamanan Level Paket
Pengamanan L2TP  memerlukan keterlibatan  transport lapisan bawah  melakukan layanan enkripsi, integritas, dan autentifikasi untuk semua trafik L2TP. Transport yang aman tersebut akan beroperasi pada seluruh paket L2TP dan tidak tergantung fungsi PPP dan protokol yang dibawa oleh PPP.
3. Keamanan End to End
Memproteksi aliran paket L2TP melalui transport yang aman berarti juga memproteksi data di dalam tunnel PPP pada saat diangkut dari LAC menuju LNS. Proteksi seperti ini bukan merupakan pengganti keamanan  end-to-end  antara host  atau aplikasi yang berkomunikasi.