Das Layer 2 Tunneling Protokoll (L2TP) ist ein Tunneling-Protokoll auf PPP-Ebene welches von der Internet Engineering Task Force (IETF) in RFC 2661 definiert wurde. Cisco Systems trieb die Entwicklung voran und sorgte damit für den Status als  Industriestandard. L2TP ist eine Weiterentwicklung der Protokolle L2F (Layer 2 Forwarding) und PPTP (Point-to-Point-Tunneling Protocol) und verbindet die Vorteile der beiden miteinander.  Das L2TP kann im Unterschied zu PPTP jedes Netzwerkprotokoll im PPP-Umfeld unterstützen, während PPTP nur IP, IPX und NetBEUI unterstützt. 

L2TP und VPN
Das L2TP wird zur Integration von Einzelrechnern im VPN-Routing eingesetzt. Konkret werden PPP-Verbindungen (Point-to-Point-Protocol) zwischen 2 Netzwerkteilnehmern oder 2 Netzen über ein IP-Netzwerk ermöglicht.  In einem VPN verfügt beispielsweise ein mobiler Teilnehmer über eine mobile Internetverbindung und über eine getunnelte Verbindung zum Firmennetzwerk (VPN).  Damit ein VPN-Netzwerk reibungslos mit den Geräten auf den Nachbarnetzen kommunizieren kann, werden die Netzwerkpakete mit einem VPN-Protokoll  versehen und in ein entsprechendes Datenpaket verwandelt. Daher kommt bei einem VPN-Netzwerk auch der Ausdruck VPN-Tunnel.  Die VPN-Pakete werden dann mit einer sekundären Adressierung versehen, so dass sich die VPN-Datenpakete unabhängig von ihrem Inhalt versenden lassen.  Auch Dial-Up-Lösungen zu Service Providern werden unterstützt. Aufgrund seiner Protokollvielfalt entstehen bei dem L2TP viele Kontroll- und Steuerungsdaten so dass der Nutzdatendurchsatz dementsprechend reduziert ist. 

L2TP-Architektur
Bevor eine Verbindung aufgebaut wird muss vom LAC (L2TP Access Concentrator, Eingangskonzentrator) und dem L2TP-Network-Server (LNS, Ausstiegspunkt) eine Kontrollverbindung hergestellt werden (in-band-Lösung).  Die L2TP-Architektur besteht aus einem L2TP-Server und dem LAC (L2TP Access Concentrator).  Der L2TP- Network-Server (LNS) fungiert als Knoten und formt das Peer zum L2TP Access Concentrator (LAC). Zum Aufbau eines L2TP-Tunnels kann entweder eine Dial-In-Lösung (Kommunikationsanforderung an einen Endteilnehmer) oder eine Dial-Out-Lösung  (Mandanten-Tunnel) fungieren. Zwischen dem LAC und dem LNS können mehrere Tunnel mit eigenen Kontrollverbindungen aufgebaut werden. Innerhalb eines L2TP-Tunnels können mehrere logische PPP-Verbindungen  errichtet werden. Der LAC ist zuständig für die Verbindungsverwaltung und stellt den Kontakt zum LNS her. Aufgaben des LAC-Servers sind das Routing und die Kontrolle der Datenpakete. Im L2TP wird  der Austausch des Kontroll- und Datenflusses zwischen LAC und LNS definiert. Innerhalb eines PPP-Tunnels befinden sich also 2 Kanäle: für Kontrolldaten und für Nutzdaten. Die Kontrolldaten laufen in einer gesicherten Verbindung,  die Nutzdaten in einer ungesicherten. Innerhalb des LAC kann ein Network Access Server implementiert sein, der eine temporäre Remote-Verbindung herstellt.  Die PPP-Session wird vom L2TP-Server logisch abgeschlossen und vom VPN zum Eingangskonzentrator getunnelt.  Der LAC-Client ist in der Lage, einen L2TP-Tunnel auf zu bauen, der über PPP mit dem LAC-Concentrator interagiert.  Dem Nutzdatenpaket werden vier Protokoll-Header hinzugefügt: L2TP-Tunnel-Header: zur Bestimmung des Eingangs (LAC) und Ausgangs (LNS), L2TP-Header (Tunnel-ID, Session-ID), UDP-Header (Ports: Absender und Empfänger (1701) und der  PPP-Header (Protokolltyp). Die genaue Identifizierung einer PPP-Session innerhalb des L2TP-Tunnels erfolgt über die Session-ID und die Tunnel-ID.  Der L2TP-Concentrator sendet die Daten an den L2TP-Server. Letzterer ist mit dem Firmen-Netzwerk verbunden und erhält auch von dort seine IP-Adressen.  Es können paketvermittelnde Protokolle wie PPP, Frame Relay, X25, Ethernet und ATM eingesetzt werden. Zur Verschlüsselung wird IPSec eingesetzt.  Die Authentifizierung erfolgt über das Password Authentification Protocol (PAP) und das Challenge Handshake Authentification Protocol (CHAP).  Um den Durchsatz zu verbessern wird der Kontrolldatenverkehr durch einen Kompressionsalgorithmus beschleunigt. Eine aktive Datenflusskontrolle soll Kollisionen vermeiden und den notwendigen Verkehr minimieren.  Für den eigentlichen Tunnel-Aufbau gibt es 2 Methoden: Compulsory Tunneling (vom L2F-Protokoll abgeleitet) und Voluntary Tunneling (vom PPTP Protokoll abgeleitet). 

Compulsory Tunneling
Ausgangspunkt des Compulsory Tunneling ist der LAC des ISP, welcher für den Tunnelaufbau verantwortlich ist. Der L2TP-Tunnel findet im LNS des Kundennetzwerkes seinen Endpunkt. 

Voluntary Tunneling
Beim Voluntary Tunneling wird das Layer 2 Tunneling Protocol im Ende-zu-Ende-Prinzip umgesetzt. Das Voluntary Tunneling wurde vom PPTP-Protokoll abgeleitet. Hier besteht kein Zwang des Client, die Daten über den Tunnel zu  senden, der vom Provider aufgebaut werden muss. Ein sogenannter 'Virtual LAC' errichtet den L2TP-Tunnel zum LNS. Die LAC-Eigenschaften des Remote Access Concentrators des ISP werden auf den Client übertragen.  Da der Client L2TP-fähig ist, übernimmt er das Tunneling. Der Tunnel geht vom Client aus; dieser entscheidet auch, ob und wann der Tunnel aufgebaut wird. Für den Service Provider enthält der Tunnel keine verdeckten Daten, da er nicht mehr über  L2TP-spezifische Voraussetzungen verfügen muss: es werden lediglich die IP-Datenpakete zwischen dem LNS und dem Client übertragen.