L2TP adalah suatu standard IETF (RFC 2661) pada layer 2 yang merupakan
kombinasi dari keunggulan-keunggulan fitur dari protokol L2F
(dikembangkan oleh Cisco) dan PPTP (dikembangkan oleh Microsoft), yang
didukung oleh vendor-vendor : Ascend, Cisco, IBM, Microsoft dan 3Com.
Untuk mendapatkan tingkat keamanan yang lebih baik , L2TP dapat
dikombinasikan dengan protocol tunneling IPSec pada layer 3.
SepertiPPTP, L2TP juga mendukung protokol-protokol non-IP. L2TP lebih
banyak digunakan pada VPN non-internet (frame relay, ATM, dsb).
Protokol L2TP sering juga disebut sebagai protokol dial-up virtual, karena L2TP memperluas suatu session PPP (Point-to-Point Protocol) dial-up melalui jaringan publik internet, sering juga digambarkan seperti koneksi virtual PPP.
Perangkat L2TP
Remote Client: Suatu end system atau router pada jaringan remote access (mis. : dial-up client).
L2TP Access Concentrator (LAC) Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LNS. Berada pada sisi remote client/ ISP. Sebagai pemrakarsa incoming call dan penerima outgoing call.
L2TP Network Server (LNS) Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LAC. Berada pada sisi jaringan korporat. Sebagai pemrakarsa outgoing call dan penerima incoming call.
Network Access Server (NAS) NAS dapat berlaku seperti LAC atau LNS atau kedua-duanya.
L2TP Tunnel
Skenario L2TP adalah untuk membentuk tunnel atau terowongan frame PPP antara remote client dengan LNS yang berada pada suatu jaringan korporat. Terdapat 2 model tunnel L2TP yang dikenal , yaitu compulsory dan voluntary. Perbedaan utama keduanya terletak pada endpoint tunnel-nya. Pada compulsory tunnel, ujung tunnel berada pada ISP, sedangkan pada voluntary ujung tunnel berada pada client remote.
Protokol L2TP sering juga disebut sebagai protokol dial-up virtual, karena L2TP memperluas suatu session PPP (Point-to-Point Protocol) dial-up melalui jaringan publik internet, sering juga digambarkan seperti koneksi virtual PPP.
Perangkat L2TP
Remote Client: Suatu end system atau router pada jaringan remote access (mis. : dial-up client).
L2TP Access Concentrator (LAC) Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LNS. Berada pada sisi remote client/ ISP. Sebagai pemrakarsa incoming call dan penerima outgoing call.
L2TP Network Server (LNS) Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LAC. Berada pada sisi jaringan korporat. Sebagai pemrakarsa outgoing call dan penerima incoming call.
Network Access Server (NAS) NAS dapat berlaku seperti LAC atau LNS atau kedua-duanya.
L2TP Tunnel
Skenario L2TP adalah untuk membentuk tunnel atau terowongan frame PPP antara remote client dengan LNS yang berada pada suatu jaringan korporat. Terdapat 2 model tunnel L2TP yang dikenal , yaitu compulsory dan voluntary. Perbedaan utama keduanya terletak pada endpoint tunnel-nya. Pada compulsory tunnel, ujung tunnel berada pada ISP, sedangkan pada voluntary ujung tunnel berada pada client remote.
Model Compulsory L2TP
Remote client memulai koneksi PPP ke LAC melalui PSTN. Pada gambar diatas LAC berada di ISP. Kemudian ISP menerima koneksi tersebut dan link PPP ditetapkan. Lalu ISP melakukan partial authentication (pengesahan parsial)untuk mempelajari user name. Database map user untuk layanan-layanan dan endpoint tunnel LNS, dipelihara oleh ISP. LAC kemudian menginisiasi tunnel L2TP ke LNS. Jika LNS menerima koneksi, LAC kemudian mengencapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel yang tepat. Kemudian LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa. LNS kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP.
Model Voluntary L2TP
Remote client mempunyai koneksi pre- established ke ISP. Remote Client befungsi juga sebagai LAC. Dalam hal ini, host berisi software client LAC mempunyai suatu koneksi ke jaringan publik (internet) melalui ISP. Client L2TP (LAC) lalu menginisiasi tunnel L2TP ke LNS. Jika LNS menerima koneksi, LAC kemudian meng-encapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel. Kemudian LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa. LNS kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP.
Struktur Protokol L2TP
Struktur Protokol L2TP
Dua jenis messages pada L2TP : control messages dan data messages.
Cara Kerja L2TP
Komponen-komponen pada tunnel, yaitu :
1. Control channel, fungsinya :
Setup (membangun) dan teardown (merombak) tunnel
Create (menciptakan) dan teardown (merombak) payload (muatan) calls dalam tunnel.
Menjaga mekanisme untuk mendeteksi tunnel yang outages.
2. Sessions (data channel) untuk delivery data :
Layanan delivery payload
Paket PPP yang di-encapsulasi dikirim pada sessions
Ada 2 langkah untuk membentuk tunnel untuk session PPP pada L2TP :
Pembentukan koneksi kontrol untuk suatu tunnel. Sebelum incoming atau outgoing call dimulai, tunnel dan koneski kontrol harus terbentuk. Koneksi kontrol adalah koneksi yang paling pertama dibentuk antara LAC dan LNS sebelum session terbentuk. Pembentukan koneksi kontrol termasuk menjamin identitas dari peer, seperti pengidentifikasikan versi L2TP peer, framing, kemampuan bearer, dan sebagainya. Ada tiga message dipertukarkan yang dilakukan untuk membangun koneksi kontrol (SCCRQ, SCCRP, dan SCCN). Jika tidak ada message lagi yang menunggu dalam antrian peer tersebut, ZLB ACK dikirimkan.
Pembentukan session yang dipicu oleh permintaan incoming atau outgoing call. Suatu session L2TP harus terbentuk sebelum frame PPP dilewatkan pada tunnel L2TP. Multiple session dapat dibentuk pada satu tunnel, dan beberapa tunnel dapat dibentuk diantara LAC dan LNS yang sama.
Autentikasi Tunnel Pada L2TP
Sistem autentifikasi yang digunakan L2TP, hampir sama dengan CHAP selama pembentukan koneksi kontrol. Autentifikasi tunnel L2TP menggunakan Challenge AVP yang termasuk di dalam message SCCRQ atau SCCRP : Jika challenge AVP diterima di SCCRQ atau SCCRP, maka AVP challenge respon harus dikirimkan mengikuti SCCRP atau SCCCN secara berturut-turut. Jika respon yang diharapkan dan respon yang diterima tidak sesuai, maka pembentukan tunnel tidak diijinkan. Untuk dapat menggunakan tunnel, sebuah password single share harus ada diantara LAC dan LNS.
Keamanan Informasi Pada L2TP
L2TP membentuk tunnel LAC hingga LNS, sehingga data yang dilewatkan tidak dapat terlihat secara transparan oleh pengguna jaringan publik.
Ada beberapa bentuk keamanan yang diberikan oleh L2TP, yaitu :
1. Keamanan Tunnel Endpoint
Prosedur
autentifikasi tunnel endpoint selama pembentukan tunnel, memiliki
atribut yang sama dengan CHAP (Challenge Handshake Authentication
Protocol). Mekanisme ini tidak di desain untuk menyediakan autentifikasi
setelah proses pembentukan tunnel. Karena bisa saja pihak ketiga yang
tidak berhak dapat melakukan pengintaian terhadap aliran data pada
tunnel L2TP dan melakukan injeksi terhadap paket L2TP, jika setelah
proses pembentukan tunnel terjadi.
2. Keamanan Level Paket
2. Keamanan Level Paket
Pengamanan
L2TP memerlukan keterlibatan transport lapisan bawah melakukan
layanan enkripsi, integritas, dan autentifikasi untuk semua trafik L2TP.
Transport yang aman tersebut akan beroperasi pada seluruh paket L2TP
dan tidak tergantung fungsi PPP dan protokol yang dibawa oleh PPP.
3. Keamanan End to End
3. Keamanan End to End
Memproteksi
aliran paket L2TP melalui transport yang aman berarti juga memproteksi
data di dalam tunnel PPP pada saat diangkut dari LAC menuju LNS.
Proteksi seperti ini bukan merupakan pengganti keamanan end-to-end
antara host atau aplikasi yang berkomunikasi.
