قرارداد تونل‌زنی لایه ۲

پروتکل تونل‌زنی لایه ۲ (به انگلیسی: Layer 2 Tunneling Protocol یا L2TP) یک پروتکل تونل‌زنی است که برای پشتیبانی از شبکه‌های خصوصی مجازی (VPN) یا به‌عنوان بخشی از ارائه‌دهی خدمات توسط ISPها استفاده می‌شود. این پروتکل از ویژگی‌های پروتکل‌های PPTP (متعلق به مایکروسافت) و L2F (متعلق به سیسکو) الهام گرفته شده‌است.

L2TP خودش رمزنگاری یا محرمانگی ارائه نمی‌دهد. بلکه برای آنکه ارتباط امن باشد، اغلب با پروتکل IPsec همراه می‌شود. ترکیب این دو پروتکل به صورت L2TP/IPsec شناخته می‌شود که یکی از متداول‌ترین پیاده‌سازی‌های VPN به شمار می‌رود.

L2TP معمولاً در یکی از دو سناریو زیر استفاده می‌شود:

1. تونل‌زنی داوطلبانه (Voluntary tunneling): کاربر (کلاینت) مستقیماً یک تونل L2TP به سمت ارائه‌دهندهٔ خدمات VPN برقرار می‌کند.
2. تونل‌زنی اجباری (Compulsory tunneling): تونل‌زنی توسط فراهم‌کنندهٔ دسترسی به اینترنت انجام می‌شود و کاربر از این فرآیند آگاه نیست.

از آنجا که L2TP هیچگونه رمزنگاری داخلی ندارد، به‌تنهایی امن محسوب نمی‌شود. به همین دلیل، معمولاً با IPsec ترکیب می‌شود تا:

• رمزنگاری داده‌ها فراهم شود،
• صحت اطلاعات تضمین گردد،
• اصالت دو طرف تأیید شود.

L2TP داده‌ها را درون بسته‌هایی کپسوله می‌کند که دارای دو بخش هستند:

• هدر L2TP
• پی‌لود لایه ۲ (مثلاً فریم PPP)

L2TP روی پروتکل UDP و پورت شماره 1701 اجرا می‌شود. هنگام استفاده همراه با IPsec، معمولاً از پورت‌های زیر استفاده می‌شود:

• UDP 500 (برای مذاکره IKE)
• UDP 4500 (در صورت استفاده از NAT)
• پروتکل ESP (شماره پروتکل IP: 50)

در مقایسه با پروتکل‌هایی مثل PPTP و OpenVPN، L2TP/IPsec از امنیت بیشتری نسبت به PPTP برخوردار است، اما پیکربندی آن نسبت به OpenVPN پیچیده‌تر است و ممکن است در پشت فایروال‌ها یا NAT به مشکل بخورد، مگر اینکه به‌درستی تنظیم شود.