Layer Two Tunneling Protocol (L2TP)

Pengenalan

L2TP adalah protokol tunneling yang memadukan dua buah protokol tunneling, yaitu L2F (Layer 2 Forwarding) milik Cisco dan PPTP milik Microsoft (Gupta, 2003). Pada awalnya, semua produk Cisco menggunakan L2F untuk mengurus tunneling-nya, sedangkan operating system Microsoft yang terdahulu hanya menggunakan PPTP untuk melayani penggunanya yang ingin bermain dengan tunnel. Namun saat ini, Microsoft Windows NT/2000 telah dapat menggunakan PPTP atau L2TP dalam teknologi VPN-nya. Seperti PPTP, L2TP juga mendukung protokol-protokol non-IP. Protokol L2TP lebih banyak digunakan pada VPN non-internet (frame relay, ATM, dsb).

L2TP biasanya digunakan dalam membuat Virtual Private Dial Network (VPDN) yang dapat bekerja membawa semua jenis protokol komunikasi di dalamnya. L2TP memungkinkan penggunanya untuk tetap dapat terkoneksi dengan jaringan lokal milik mereka dengan policy keamanan yang sama dan dari manapun mereka berada, melalui koneksi VPN atau VPDN. Koneksi ini sering kali dianggap sebagai sarana memperpanjang jaringan lokal milik penggunanya, namun melalui media publik.

Namun, teknologi tunneling ini tidak memiliki mekanisme untuk menyediakan fasilitas enkripsi karena memang benar-benar murni hanya membentuk jaringan tunnel. Fasilitas enkripsi disediakan oleh protokol enkripsi yang lewat di dalam tunnel. Selain itu, apa yang lalu-lalang di dalam tunnel ini dapat ditangkap dan dimonitor dengan menggunakan protocol analizer.

Versi terbaru dari protocol L2TP dirilis pada tahun 2005 dengan nama standar L2TPv3 (RFC 3931). L2TPv3 menyediakan tambahan fitur keamanan dan pengembangan teknik enkapsulasi.

Perangkat Dasar L2TP:
  1. Remote Client

    Suatu end system atau router pada jaringan remote access (misalnya dial-up client).

  2. L2TP Access Concentrator (LAC)
    1. Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LNS
    2. Berada pada sisi remote client/ ISP
    3. Sebagai pemrakarsa incoming call dan penerima outgoing call
  3. L2TP Network Server (LNS)
    1. Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LAC
    2. Berada pada sisi jaringan korporat
    3. Sebagai pemrakarsa outgoing call dan penerima incoming call
  4. Network Access Server (NAS)

    NAS dapat berlaku seperti LAC atau LNS atau kedua-duanya.


Terdapat dua model tunnel L2TP yang dikenal, yaitu compulsory dan voluntary. Perbedaan utama keduanya terletak pada endpoint tunnel-nya. Pada compulsory tunnel, ujung tunnel berada pada ISP. Sedangkan pada voluntary, ujung tunnel berada pada client remote.


  1. Model Compulsory L2TP


    1. Remote client memulai koneksi PPP ke LAC melalui PSTN. Pada gambar diatas LAC berada di ISP.
    2. ISP menerima koneksi tersebut dan link PPP ditetapkan.ISP melakukan partial authentication (pengesahan parsial) untuk mempelajari username.
    3. Database map user untuk layanan-layanan dan endpoint tunnel LNS, dipelihara oleh ISP.
    4. LAC kemudian menginisiasi tunnel L2TP ke LNS.
    5. Jika LNS menerima koneksi, LAC kemudian mengencapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel yang tepat.
    6. LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa.
    7. LNS kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP.
  2. Model Voluntary L2TP

    1. Remote client mempunyai koneksi pre-established ke ISP. Remote Client befungsi juga sebagai LAC. Dalam hal ini, host berisi software client LAC mempunyai suatu koneksi ke jaringan publik (internet) melalui ISP.
    2. Client L2TP (LAC) menginisiasi tunnel L2TP ke LNS.
    3. Jika LNS menerima koneksi, LAC kemudian meng-enkapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel.
    4. LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa.
    5. LNS kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP.

Karakteristik

Beberapa karakteristik dari L2TP:
  1. L2TP bersifat media independen karena dapat bekerja di atas media apapun
  2. L2TP sering disebut sebagai protokol dial-up virtual, karena L2TP memperluas suatu session PPP (Point-to-Point Protocol) dial-up melalui jaringan internet publik
  3. Seluruh paket data L2TP, termasuk penambahan payload dan L2TP Header, dikirim dalam bentuk UDP datagram
  4. L2TP membungkus frame PPP untuk dikirim lewat Jaringan IP, X.25, Frame Relay atau ATM
  5. Biasanya dikombinasikan dengan IPSec (sebagai fasilitas enkripsinya) yang dikenal sebagai L2TP/IPSec (RFC 3193 & 2661)
  6. Dua titik Tunnel L2TP disebut LAC (L2TP Access Concentrator) dan LNS (L2TP Network Server)
  7. Pada saat tunnel sudah terbuat, trafik di jaringan baru melakukan koneksi
  8. LAC / LNS melakukan session pada saat koneksi terjadi, trafik antar session ini dibatasi oleh L2TP
Struktur paket data yang dikirim melalui L2TP dapat digambarkan sebagai berikut:



Cara Kerja

Komponen-komponen pada tunnel, yaitu :
  1. Control channel, fungsinya antara lain:
    1. Setup (membangun) dan teardown (merombak) tunnel
    2. Create (menciptakan) dan teardown (merombak) payload (muatan) calls
      dalam tunnel
  2. Sessions (data channel) untuk delivery data :
    1. Layanan delivery payload
    2. Paket PPP yang di-encapsulasi dikirim pada sessions

Ada 2 langkah untuk membentuk tunnel untuk session PPP pada L2TP :
  1. Pembentukan koneksi kontrol untuk suatu tunnel
    Sebelum incoming atau outgoing call dimulai, tunnel dan koneski kontrol harus terbentuk.
  2. Pembentukan session yang dipicu oleh permintaan incoming atau outgoing call
    Suatu session L2TP harus terbentuk sebelum frame PPP dilewatkan pada tunnel L2TP. Multiple session dapat dibentuk pada satu tunnel, dan beberapa tunnel dapat dibentuk diantara LAC dan LNS yang sama.
Contoh Implementasi - Cisco: Cisco L2TP documentation
- Open source and Linux: OpenL2TP, Linux L2TP/IPsec server
- Microsoft: built-in client included with Windows 2000 and higher; Microsoft L2TP/IPsec VPN Client for Windows 98/Windows Me/Windows NT 4.0
- Apple: built-in client included with Mac OS X 10.3 and higher.

0 comments

Post a Comment