Las conexiones L2TP (Layer 2 Tunneling Protocol), también denominadas líneas virtuales, ofrecen acceso a los usuarios remotos a bajo precio, al permitir que un sistema de red de la empresa gestione las direcciones IP asignadas a sus usuarios remotos. Además, las conexiones L2TP ofrecen un acceso seguro a su sistema o red cuando las utilice conjuntamente con IPSec (IP Security).
L2TP soporta dos modalidades de túnel: el túnel voluntario y el túnel obligatorio. La diferencia más importante entre ambos es el punto final. En el túnel voluntario, el túnel termina en el cliente remoto mientras que el túnel obligatorio termina en el proveedor de servicios de Internet (ISP).
Con un túnel obligatorio L2TP, un host remoto inicia la conexión con su ISP. A continuación, ISP establece una conexión L2TP entre el usuario remoto y la red de la empresa. A pesar de que el ISP establece la conexión, deberá decidir cómo proteger el tráfico mediante VPN. Con un túnel obligatorio, ISP debe soportar LT2P.
Con un túnel voluntario L2TP, el usuario remoto crea la conexión , normalmente mediante un cliente de túnel L2TP. Como resultado, el usuario remoto envía los paquetes L2TP a su ISP, que los reenvía a la red de la empresa. Con un túnel voluntario, ISP no necesita soportar L2TP. El escenario Proteger un túnel voluntario L2TP con IPSec proporciona un ejemplo de cómo configurar un sistema de una sucursal para que se conecte con la red corporativa mediante un sistema de pasarela con un túnel L2TP protegido por VPN.
Puede ver una presentación visual sobre el concepto de los Túneles voluntarios L2TP protegidos por IPSec. Para ello, se necesita el Conector Flash. También puede utilizar la versión HTML de esta presentación.
L2TP es en realidad una variación de un protocolo de encapsulado IP. El túnel L2TP se crea al encapsular un marco L2TP dentro de un paquete UDP (Protocolo de datagramas de usuario), que, a su vez, está encapsulado en un paquete IP. Las direcciones de origen y destino de este paquete IP definen los puntos finales de conexión. Debido a que el protocolo de encapsulado exterior es IP, puede aplicar los protocolos IPSec al paquete IP compuesto. De esta forma, se protegen los datos que fluyen dentro del túnel L2TP. A continuación, puede aplicar directamente la cabecera de autenticación (AH), la carga útil de seguridad encapsulada (ESP) y el protocolo de intercambio de claves de Internet (IKE).