As ligações Layer 2 Tunneling Protocol (L2TP), também chamadas linhas virtuais, proporcionam um acesso pouco dispendioso a utilizadores remotos, ao permitir ao sistema de rede de uma empresa gerir os endereços de IP atribuídos aos respectivos utilizadores remotos. Além disso, as ligações do L2TP fornecem acesso protegido ao sistema ou à rede quando as utiliza em conjunto com o IP Security (IPSec).
O L2TP suporta dois modos de túnel: túnel voluntário e túnel obrigatório. A maior diferença entre estes dois tipos de túnel é o terminal. No túnel voluntário, o túnel termina no cliente remoto, enquanto que no túnel obrigatório termina no ISP (Internet Service Provider - fornecedor de serviços de internet).
Com um túnel obrigatório de L2TP, um sistema central remoto inicia uma ligação ao respectivo ISP. O ISP estabelece então uma ligação L2TP entre o utilizador remoto e a rede da empresa. Apesar de o ISP estabelecer a ligação, é o utilizador quem decide a forma de proteger o tráfego através da VPN. Com um túnel obrigatório, o ISP tem de suportar o LT2P.
Com um túnel voluntário de L2TP, a ligação é criada pelo utilizador remoto, de modo geral através de um cliente de túnel L2TP. Por conseguinte, o utilizador remoto envia pacotes L2TP ao respectivo ISP, que os remete para a rede da empresa. Com um túnel voluntário, o ISP não necessita de suportar L2TP. O cenário Proteger um túnel voluntário de L2TP com IPSec, fornece um exemplo de configuração de um sistema para uma sucursal a fim de estabelecer ligação com a rede através de um sistema de porta de ligação com um túnel de L2TP protegido pela VPN.
Pode ver uma apresentação visual sobre o conceito de túneis voluntários de L2TP protegidos por IPSec. É necessário o plug-in de Flash. Em alternativa, pode utilizar a versão HTML desta apresentação.
Na realidade, o L2TP é uma variante de um protocolo de encapsulamento de IP. O túnel de L2TP é criado pelo encapsulamento de uma estrutura L2TP dentro de um pacote do Protocolo User Datagram (UDP), que, por sua vez, é encapsulado dentro de um pacote IP. Os endereços de origem e destino deste pacote IP definem os extremos da ligação. Uma vez que o protocolo de encapsulamento externo é o IP, pode aplicar os protocolos IPSec ao pacote de IP composto. Este procedimento protege os dados que fluem no túnel de L2TP. Em seguida, pode aplicar os protocolos Authentication Header (AH), Encapsulated Security Payload (ESP) e Internet Key Exchange (IKE) de uma forma simples.