PROTOKOL L2TP
Protokol L2TP sering juga disebut sebagai protokol dial-up virtual, karena L2TP memperluas suatu session PPP (Point-to-Point Protocol) dial-up melalui jaringan publik internet, atau sering juga digambarkan seperti koneksi virtual PPP.
III.1. PROTOKOL VIRTUAL PPP
Gambar 3. Remote Client berbasis PPP menggunakan Dial-in
PPP menggambarkan suatu mekanisme enkapsulasi untuk mengangkut paket-paket multiprotocol melalui hubungan point-to-point pada layer 2.
Gambar 4. Susunan Protokol PPP
PPP terdiri dari 4 komponen utama yaitu :
1. EIA/TIA 232 : Layer fisik untuk komunikasi serial.
2. HDLC : Metode untuk enkapsulasi datagram melalui link serial.
3. LCP : Metode untuk pembentukan, konfigurasi, mempertahankan, dan memutuskan jaringan PPP.
4. NCP : Metode pembentukan dan mengkonfigurasi protokol Network Layer yang berbeda (Layer 3 : misalnya IP, IPX, atau apple talk).
Terdapat 2 metode autentifikasi pada PPP :
1. PAP (Password Authentication Protocol)
2. CHAP (Challenge Authenticatoin Protocol)
III.2. PERANGKAT L2TP
Perangkat dasar L2TP :
• Remote Client
Suatu end system atau router pada jaringan remote access (mis. : dial-up client).
• L2TP Access Concentrator (LAC)
Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LNS.
Berada pada sisi remote client/ ISP.
Sebagai pemrakarsa incoming call dan penerima outgoing call.
• L2TP Network Server (LNS)
Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LAC.
Berada pada sisi jaringan korporat.
Sebagai pemrakarsa outgoing call dan penerima incoming call.
• Network Access Server (NAS)
NAS dapat berlaku seperti LAC atau LNS atau kedua-duanya.
III.3. TUNNEL L2TP
Skenario L2TP adalah untuk membentuk tunnel atau terowongan frame PPP antara remote client dengan LNS yang berada pada suatu jaringan korporat.
Terdapat 2 model tunnel L2TP yang dikenal , yaitu compulsory dan voluntary. Perbedaan utama keduanya terletak pada endpoint tunnel-nya. Pada compulsory tunnel, ujung tunnel berada pada ISP, sedangkan pada voluntary ujung tunnel berada pada client remote.
III.3.1. Model Compulsory L2TP
Gambar 6. Model Compulsory L2TP
1. Remote client memulai koneksi PPP ke LAC melalui PSTN. Pada gambar diatas LAC berada di ISP.
2. ISP menerima koneksi tersebut dan link PPP ditetapkan.
3. ISP melakukan partial authentication (pengesahan parsial)untuk mempelajari user name. Database map user untuk layanan-layanan dan endpoint tunnel LNS, dipelihara oleh ISP.
4. LAC kemudian menginisiasi tunnel L2TP ke LNS.
5. Jika LNS menerima koneksi, LAC kemudian mengencapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel yang tepat.
6. LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa.
7. LNS kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP.
III.3.2. Model Voluntary L2TP
Gambar 7. Model Voluntary L2TP
1. Remote client mempunyai koneksi pre- established ke ISP. Remote Client befungsi juga sebagai LAC. Dalam hal ini, host berisi software client LAC mempunyai suatu koneksi ke jaringan publik (internet) melalui ISP.
2. Client L2TP (LAC) menginisiasi tunnel L2TP ke LNS.
3. Jika LNS menerima koneksi, LAC kemudian meng-encapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel.
4. LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa.
5. LNS kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP.
III.4. STRUKTUR PROTOKOL L2TP
Ada dua jenis messages yang digunakan L2TP : control messages dan data messages.
Gambar 8. Struktur Protokol L2TP
Control messages Digunakan untuk :
Establishment (pembentukan)
Maintenance (pemeliharaan)
Pemutusan tunnel L2TP dan interkoneksi
Data messages Digunakan untuk :
Mengenkapsulasi frame PPP yang akan dibawa melalui tunnel
Menggunakan suatu control channel yang reliable didalam L2TP untuk menjamin kepastian paket yang terkirim.
Jika loss packet terjadi, data message tidak akan di kirim kembali (not reliable).
Keterangan gambar :
Frame PPP dienkapsulasi oleh header L2TP dan paket transport (UDP, Frame Relay, ATM, dll), kemudian dilewatkan melalui data channel yang unreliable. Control messages dikirimkan melalui suatu control channel L2TP yang juga mentransmisikan paket in-band melalui paket transport yang sama.
Sequence number diperlukan pada semua control message dan digunakan untuk menyediakan pengiriman yang handal dalam control channel. Data message pun harus menggunakan sequnce number untuk menyusun kembali dan mendeteksi paket yang hilang.
III.5. FORMAT HEADER L2TP
Paket-paket L2TP untuk control channel dan data channel berbagi format header yang sama. Jika Field-field optional (Length, NS, dan NR) memiliki keterangan ‘not present’ maka field-field tersebut tidak akan muncul pada message.
Gambar 9. Format Header L2TP
Keterangan : Type (T) bit :
- Tipe dari message
- 0 = data message, 1 = control message
Length (L) bit :
- L = 1, berarti field length terisi
- Untuk control message harus di-set = 1
X bit :
- Disediakan untuk digunakan kemudian
- Semua bit yang dipesan HARUS di-set 0 pada outgoing messages dan pada incoming messages diabaikan.
Sequence (S) bit :
- S =1, berarti field Ns dan Nr terisi
- Untuk control message harus di set = 1
Offset (O) bit :
- O = 1, field Size Offset terisi
- Untuk control messages di-set = 0 (nol)
Priority (P) bit :
- P = 1, mendapatkan perlakuan yang istimewa khususnya dalam data message
- Untuk semua control messages di-set = 0
Ver :
- Ver = 2, versi header data message L2TP
- Jika unknown Ver, paket tersebut harus dibuang.
Length field :
- Panjang total dari message (byte).
Tunnel ID :
- Identifier untuk control connection
- Significant lokal saja
Session ID :
- Identifier untuk suatu session di dalam suatu tunnel.
- Significant lokal saja
Ns Sequence Number :
- Sequence number untuk control message
Nr Sequence Number :
- Sequence number control message berikutnya yang diterima.
Offset Field :
- Start dari payload data
III.6. TIPE CONTROL MESSAGE
Di dalam protokol tunnel, control message dipertukarkan secara in-band antara LAC dan LNS. Kontrol koneksi bertanggung jawab untuk pembentukan, pemutusan, dan maintenance session, yang dibawa didalam tunnel dan tunnel itu sendiri.
Tipe control message adalah sebagai berikut :
Control Connection Management
0 (reserved)
1 (SCCRQ) Start-Control-Connection-Request
2 (SCCRP) Start-Control-Connection-Reply
3 (SCCCN) Start-Control-Connection-Connected
4 (StopCCN) Stop-Control-Connection-Notification
5 (reserved)
6 (HELLO) Hello
Call Management
7 (OCRQ) Outgoing-Call-Request
8 (OCRP) Outgoing-Call-Reply
9 (OCCN) Outgoing-Call-Connected
10 (ICRQ) Incoming-Call-Request
11 (ICRP) Incoming-Call-Reply
12 (ICCN) Incoming-Call-Connected
13 (reserved)
14 (CDN) Call-Disconnect-Notify
Error Reporting
15 (WEN) WAN-Error-Notify
PPP Session Control
16 (SLI) Set-Link-Info
Definisi control message diatas adalah sebagai berikut :
• SCCRQ - control message yang digunakan untuk menginisialisasi tunnel antara LNS dan LAC. Dikirim oleh LAC dan LNS untuk proses pembentukan tunnel.
• SCCRP - control message digunakan untuk mengindikasikan bahwa SCCRW telah diterima dan pembentukan tunnel harus dilanjutkan. Dikirim sebagai balasan dari message SCCRQ yang dikirim.
• SCCN - control message yang menyelesaikan proses pembentukan tunnel. Dikirim sebagai jawaban dari SCCRP.
• StopCCN - control message yang dikirim oleh LAC dan LNS untuk menginformasikan peer bahwa tunnel sedang di putus dan hubungan kontrol harus diputus. Lebih lanjut lagi seluruh seluruh koneksi akan terputus (tanpa mengirim explicit call control message).
• OCRQ - control message yang dikirim oleh LNS ke LAC untuk mengindikasikan bahwa outbond call dari LAC terbentuk. Merupakan message pertama dalam pertukaran message yang digunakan untuk membentuk session dalam tunnel L2TP.
• OCRP - control message yang dikirim oleh LAC kepada LNS sebagai respon OCRQ yang dikirim. Merupakan message kedua yang betukar pada pembentukan session dalam tunnel L2TP.
• OCCN - control message yang dikirimkan LAC ke LNS mengikuti OCRP setelah outgoing call terbentuk. Merupakan message terakhir yang bertukar untuk pembentukan session dalam tunnel L2TP. OCCN digunakan juga untuk mengindikasikan hasil dari permintaan ougoing call yang berhasil dan memberikan informasi pada LNS mengenai parameter yang diperoleh setelah panggilan terbentuk seperti tipe message, (TX) connection speed, dan tipe framing.
III.7. AVP (ATTRIBUTE VALUE PAIR)
Pada L2TP metode pengkodean yang sama/seragam harus digunakan untuk tipe dan body message. Pengkodean ini dikenal dengan istilah AVP (Attribute Value Pair).
AVP diperlukan untuk pertukaran dan negosiasi informasi session L2TP yang lebih detil, seperti : windows size, host name, call serial number, dan sebagainya.
Terdapat beberapa jenis AVP yang biasa digunakan, diantaranya :
• Message Type
• Random Vector
• Result Code
• Protocol Version
• Framing Capabilities
• Bearer Capabilities
• Bearer Type
• Tie Breaker
• Firmware Version
• Host Name
• Vendor Name
• Assigend Tunnel ID
Receive Windows Size
• Challenge Respons
• Q.931 Cause Code
• Assigned Session ID
• Call Serial Number
• Framing Type
• Caller Number
• Calling Number
Format AVP seperti di bawah ini :
Gambar 10. Format AVP
Enam bit pertama adalah bit mask yang menunjukan atribut umum dari AVP.
Bit-bit M dan H nilainya didefinisikan, sedangkan bit-bit yang lainnya di reserve untuk pengembangan lebih lanjut. Reserve bit = 0.
• Mandatory (M) - Mengontrol tindakan yang perlu dilakukan jika AVP yang diterima tidak dikenal. Jika bit M diaktifkan pada AVP yang tidak dikenal di dalam message pada session tertentu, maka session yang terkait akan diputuskan.
Jika M bit diaktifkan pada AVP yang tidak dikenal di dalam message pada keseluruhan tunnel, maka tunnel (dan semua session didalamnya) akan diputuskan.
Jika M bit tidak diaktifkan, maka AVP yang tidak dikenal akan diabaikan.
• Hidden (H) - Mengidentifikasikan data yang disembunyikan pada field Attribute Value dari sebuah AVP. Digunakan untuk mengatasi data-data sensitif yang dilewatkan misalnya password user sebagai clear text pada sebuah AVP.
• Length - Menunjukkan jumlah octet pada AVP tersebut.
• Vendor ID - IANA menentukan nilai “SMI Network Management Private Enterprise
Code”.
III.8. CARA KERJA L2TP
Komponen-komponen pada tunnel, yaitu :
• Control channel, fungsinya :
Setup (membangun) dan teardown (merombak) tunnel
Create (menciptakan) dan teardown (merombak) payload (muatan) calls dalam tunnel.
Menjaga mekanisme untuk mendeteksi tunnel yang outages.
• Sessions (data channel) untuk delivery data :
Layanan delivery payload
Paket PPP yang di-encapsulasi dikirim pada sessions
Ada 2 langkah untuk membentuk tunnel untuk session PPP pada L2TP :
1. Pembentukan koneksi kontrol untuk suatu tunnel.
Sebelum incoming atau outgoing call dimulai, tunnel dan koneski kontrol harus terbentuk.
2. Pembentukan session yang dipicu oleh permintaan incoming atau outgoing call.
Suatu session L2TP harus terbentuk sebelum frame PPP dilewatkan pada tunnel L2TP. Multiple session dapat dibentuk pada satu tunnel, dan beberapa tunnel dapat dibentuk diantara LAC dan LNS yang sama.
Koneksi kontrol adalah koneksi yang paling pertama dibentuk antara LAC dan LNS sebelum session terbentuk. Pembentukan koneksi kontrol termasuk menjamin identitas dari peer, seperti pengidentifikasikan versi L2TP peer, framing, kemampuan bearer, dan sebagainya.
Ada tiga message dipertukarkan yang dilakukan untuk membangun koneksi kontrol (SCCRQ, SCCRP, dan SCCN). Jika tidak ada message lagi yang menunggu dalam antrian peer tersebut, ZLB ACK dikirimkan.
III.10. AUTENTIFIKASI TUNNEL PADA L2TP
Sistem autentifikasi yang digunakan L2TP, hampir sama dengan CHAP selama pembentukan koneksi kontrol.
Autentifikasi tunnel L2TP menggunakan Challenge AVP yang termasuk di dalam message SCCRQ atau SCCRP :
• Jika challenge AVP diterima di SCCRQ atau SCCRP, maka AVP challenge respon harus dikirimkan mengikuti SCCRP atau SCCCN secara berturut-turut.
• Jika respon yang diharapkan dan respon yang diterima tidak sesuai, maka pembentukan tunnel tidak diijinkan.
Untuk dapat menggunakan tunnel, sebuah password single share harus ada diantara LAC dan LNS.
III.11. INCOMING CALL PADA L2TP
Gambar 13.
Session individu dapat terbentuk, setelah koneksi kontrol terbentuk dengan berhasil. Setiap session berhubungan dengan satu aliran PPP antara LAC dan LNS.
Pembentukan session memiliki arah yang sesuai dengan LAC dan LNS. LAC meminta LNS menerima session untuk incoming call, dan LNS meminta LAC menerima session untuk menempatkan outgoing call.
Terdapat 3 message yang terlibat dalam pembentukan session (ICRQ, ICRP, ICCN). Jika tidak ada message lagi yang menunggu dalam antrian peer tersebut, ZLB ACK dikirimkan.
III.12. PENGIRIMAN FRAME PPP
Setiap kali tunnel terbentuk secara lengkap , maka :
• Frame PPP dari remote client diterima pada LAC
• Stripped (pemotongan) CRC
• Menghubungkan frame
Transparansi byte
• Di-enkapsulasi dalam L2TP
• Diteruskan melalui tunnel yang terkait.
LNS menerima paket L2TP dan memproses frame PPP yang terenkapsulasi jika paket tersebut diterima di interface PPP local. Pengirim message dihubungkan dengan session dan tunnel-nya menempatkan session ID dan tunnel ID pada header session ID dan tunnel ID untuk semua outgoing message. Dengan cara ini frame PPP di multiplex dan demultiplex melalui single tunnel antara LAC dan LNS.
Multiple tunnel dapat terbentuk pada sebuah pasangan LAC-LNS, dan multiplesession dapat terbentuk dalam sebuah session.
III.13. PEMUTUSAN SESSION
Dengan cara mengirimkan control message CDN¸ pemutusan session dapat dilakukan oleh LAC atau LNS. Setelah session terakhir terputus, maka koneksi kontrol dapat diputuskan.
III.14. L2TP OVER UDP/IP
L2TP menggunakan port UDP 1701 yang teregister. Inisiator tunnel L2TP akan mengambil satu port UDP source/asal (yang bukan 1701) dan mengirimkan ke tujuan yang dikehendaki dengan alamat port 1701.
Demikian pula penerima akan mengambil sebuah port yang bebas (selain 1701) pada sistemnya, dan mengirim balik kepada inisiator dengan alamat port UDP (port 1701).
Setiap kali port asal dan tujuan ,dan alamat terbentuk maka alamat port yang digunakan pun akan tetap/static. Jika port yang digunakan berubah-rubah, maka mekanisme L2TP melewati perangkat NAT akan lebih kompleks.
Fragmentasi IP dapat terjadi pada L2TP seperti paket L2TP melewati melalui substrat IP. L2TP tidak mempunyai perlakuan khusus untuk mengoptimalkannya. Implementasi LACsehingga paket L2TP dapat dilewatkan dengan nilai MTU yang konsisten.
Secara default pada beberapa implementasi L2TP UDP checksum harus digunakan untuk kontol dan data message. UDP checksum pada data message boleh tidak digunakan, tetapi penggunaan checksum pada control message direkomendasikan.
III.15. KEAMANAN INFORMASI PADA L2TP
L2TP membentuk tunnel LAC hingga LNS, sehingga data yang dilewatkan tidak dapat terlihat secara transparan oleh pengguna jaringan publik.
Ada beberapa bentuk keamanan yang diberikan oleh L2TP, yaitu :
• Keamanan Tunnel Endpoint
Prosedur autentifikasi tunnel endpoint selama pembentukan tunnel, memiliki atribut yang sama dengan CHAP (Challenge Handshake Authentication Protocol).
Mekanisme ini tidak di desain untuk menyediakan autentifikasi setelah proses pembentukan tunnel. Karena bisa saja pihak ketiga yang tidak berhak dapat melakukan pengintaian terhadap aliran data pada tunnel L2TP dan melakukan injeksi terhadap paket L2TP, jika setelah proses pembentukan tunnel terjadi.
• Keamanan Level Paket
Pengamanan L2TP memerlukan keterlibatan transport lapisan bawah melakukan layanan enkripsi, integritas, dan autentifikasi untuk semua trafik L2TP. Transport yang aman tersebut akan beroperasi pada seluruh paket L2TP dan tidak tergantung fungsi PPP dan protokol yang dibawa oleh PPP.
• Keamanan
Keamanan End to End Memproteksi aliran paket L2TP melalui transport yang aman berarti juga memproteksi data di dalam tunnel PPP pada saat diangkut dari LAC menuju LNS. Proteksi seperti ini bukan merupakan pengganti keamanan end-to-end antara host atau aplikasi yang berkomunikasi.
• Kombinasi antara L2TP dan IPsec
Pada saat berjalan pada IP (layer 3), IPSec dipergunakan untuk mengenkapsulasi paket dan bisa juga dipergunakan untuk enkripsi dalam protokol tunneling lainnya. IPSec menyediakan keamanan level paket menggunakan 2 protokol, yaitu :
AH (Authentication Header)
Memungkinkan verifikasi identitas pengirim dan ada pengecekkan integritas dari
pesan/ informasi.
ESP (Encapsulating Security Payload)
Memungkinkan enkripsi informasi sehingga tetap rahasia. IP original dibungkus dan outer IP header biasanya berisi gateway tujuan. Tidak ada jaminan integrity dari outer IP header, maka digunakan bersama dengan protokol AH.
IPsec menyediakan mode operasi yang dapat melakukan tunneling paket IP. Enkripsi dan autentifikasi pada level paket disediakan oleh mode IPSec tunnel.
Jadi untuk menjamin keamanan L2TP yang lebih handal digunakan transport yang aman dan juga mengimplementasikan IPSec pada tunneling layer 3. Metode ini dikenal dengan L2TP over IPSec. (lihat tugas : R M Dikshie Fauzie, NIM : 23201093, “Tinjauan Mekanisme dan Aplikasi IPSec : Studi Kasus VPN”)
VI. KESIMPULAN
1. Untuk mengembangkan jaringan perusahaan dengan biaya yang relatif rendah dan aman, VPN adalah merupakan salah satu solusinya.
2. Ada beberapa protokol tunneling untuk VPN pada layer 2, yaitu : L2F, PPTP dan L2TP.
3. L2TP menghadirkan fitur-fitur yang terbaik yang merupakan kombinasi antara protokol L2F dan PPTP.
4. Ada dua model tunnel yang didukung oleh L2TP adalah compulsory dan voluntary. Perbedaannya pada end point tunnel. Pada compulsory tunnel berakhir pada ISP dan voluntary tunnel berakhir pada remote client.
5. L2TP menyediakan metode autentifikasi PPP, yaitu PAP dan CHAP.
6. L2TP menggunakan dua jenis message, yaitu control message dan data message. Control message digunakan pada establishment, maintenance dan clearing tunnel dan call. Data message digunakan untuk meng-enkapsulasi frame PPP yang dibawa melalui tunnel.
7. Untuk komunikasi tunnel L2TP menggunakan port UDP 1701.
8. Beberapa jenis keamanan yang disediakan oleh protokol L2TP,
yaitu : keamanan end point tunnel, keamanan level paket, keamanan end-to-end, dan kombinasi antara protokol L2TP dengan IPSec.
9. L2TP (layer 2) dapat dikombinasikan dengan IPSec (layer 3), untuk memberikan koneksi yang lebih aman melalui internet, karena dengan enkapsulasi IPSec menambah kekuatan enkripsi dan autentifikasi.
Protokol L2TP sering juga disebut sebagai protokol dial-up virtual, karena L2TP memperluas suatu session PPP (Point-to-Point Protocol) dial-up melalui jaringan publik internet, atau sering juga digambarkan seperti koneksi virtual PPP.
III.1. PROTOKOL VIRTUAL PPP
Gambar 3. Remote Client berbasis PPP menggunakan Dial-in
PPP menggambarkan suatu mekanisme enkapsulasi untuk mengangkut paket-paket multiprotocol melalui hubungan point-to-point pada layer 2.
Gambar 4. Susunan Protokol PPP
PPP terdiri dari 4 komponen utama yaitu :
1. EIA/TIA 232 : Layer fisik untuk komunikasi serial.
2. HDLC : Metode untuk enkapsulasi datagram melalui link serial.
3. LCP : Metode untuk pembentukan, konfigurasi, mempertahankan, dan memutuskan jaringan PPP.
4. NCP : Metode pembentukan dan mengkonfigurasi protokol Network Layer yang berbeda (Layer 3 : misalnya IP, IPX, atau apple talk).
Terdapat 2 metode autentifikasi pada PPP :
1. PAP (Password Authentication Protocol)
2. CHAP (Challenge Authenticatoin Protocol)
III.2. PERANGKAT L2TP
Perangkat dasar L2TP :
• Remote Client
Suatu end system atau router pada jaringan remote access (mis. : dial-up client).
• L2TP Access Concentrator (LAC)
Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LNS.
Berada pada sisi remote client/ ISP.
Sebagai pemrakarsa incoming call dan penerima outgoing call.
• L2TP Network Server (LNS)
Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LAC.
Berada pada sisi jaringan korporat.
Sebagai pemrakarsa outgoing call dan penerima incoming call.
• Network Access Server (NAS)
NAS dapat berlaku seperti LAC atau LNS atau kedua-duanya.
III.3. TUNNEL L2TP
Skenario L2TP adalah untuk membentuk tunnel atau terowongan frame PPP antara remote client dengan LNS yang berada pada suatu jaringan korporat.
Terdapat 2 model tunnel L2TP yang dikenal , yaitu compulsory dan voluntary. Perbedaan utama keduanya terletak pada endpoint tunnel-nya. Pada compulsory tunnel, ujung tunnel berada pada ISP, sedangkan pada voluntary ujung tunnel berada pada client remote.
III.3.1. Model Compulsory L2TP
Gambar 6. Model Compulsory L2TP
1. Remote client memulai koneksi PPP ke LAC melalui PSTN. Pada gambar diatas LAC berada di ISP.
2. ISP menerima koneksi tersebut dan link PPP ditetapkan.
3. ISP melakukan partial authentication (pengesahan parsial)untuk mempelajari user name. Database map user untuk layanan-layanan dan endpoint tunnel LNS, dipelihara oleh ISP.
4. LAC kemudian menginisiasi tunnel L2TP ke LNS.
5. Jika LNS menerima koneksi, LAC kemudian mengencapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel yang tepat.
6. LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa.
7. LNS kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP.
III.3.2. Model Voluntary L2TP
Gambar 7. Model Voluntary L2TP
1. Remote client mempunyai koneksi pre- established ke ISP. Remote Client befungsi juga sebagai LAC. Dalam hal ini, host berisi software client LAC mempunyai suatu koneksi ke jaringan publik (internet) melalui ISP.
2. Client L2TP (LAC) menginisiasi tunnel L2TP ke LNS.
3. Jika LNS menerima koneksi, LAC kemudian meng-encapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel.
4. LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa.
5. LNS kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP.
III.4. STRUKTUR PROTOKOL L2TP
Ada dua jenis messages yang digunakan L2TP : control messages dan data messages.
Gambar 8. Struktur Protokol L2TP
Control messages Digunakan untuk :
Establishment (pembentukan)
Maintenance (pemeliharaan)
Pemutusan tunnel L2TP dan interkoneksi
Data messages Digunakan untuk :
Mengenkapsulasi frame PPP yang akan dibawa melalui tunnel
Menggunakan suatu control channel yang reliable didalam L2TP untuk menjamin kepastian paket yang terkirim.
Jika loss packet terjadi, data message tidak akan di kirim kembali (not reliable).
Keterangan gambar :
Frame PPP dienkapsulasi oleh header L2TP dan paket transport (UDP, Frame Relay, ATM, dll), kemudian dilewatkan melalui data channel yang unreliable. Control messages dikirimkan melalui suatu control channel L2TP yang juga mentransmisikan paket in-band melalui paket transport yang sama.
Sequence number diperlukan pada semua control message dan digunakan untuk menyediakan pengiriman yang handal dalam control channel. Data message pun harus menggunakan sequnce number untuk menyusun kembali dan mendeteksi paket yang hilang.
III.5. FORMAT HEADER L2TP
Paket-paket L2TP untuk control channel dan data channel berbagi format header yang sama. Jika Field-field optional (Length, NS, dan NR) memiliki keterangan ‘not present’ maka field-field tersebut tidak akan muncul pada message.
Gambar 9. Format Header L2TP
Keterangan : Type (T) bit :
- Tipe dari message
- 0 = data message, 1 = control message
Length (L) bit :
- L = 1, berarti field length terisi
- Untuk control message harus di-set = 1
X bit :
- Disediakan untuk digunakan kemudian
- Semua bit yang dipesan HARUS di-set 0 pada outgoing messages dan pada incoming messages diabaikan.
Sequence (S) bit :
- S =1, berarti field Ns dan Nr terisi
- Untuk control message harus di set = 1
Offset (O) bit :
- O = 1, field Size Offset terisi
- Untuk control messages di-set = 0 (nol)
Priority (P) bit :
- P = 1, mendapatkan perlakuan yang istimewa khususnya dalam data message
- Untuk semua control messages di-set = 0
Ver :
- Ver = 2, versi header data message L2TP
- Jika unknown Ver, paket tersebut harus dibuang.
Length field :
- Panjang total dari message (byte).
Tunnel ID :
- Identifier untuk control connection
- Significant lokal saja
Session ID :
- Identifier untuk suatu session di dalam suatu tunnel.
- Significant lokal saja
Ns Sequence Number :
- Sequence number untuk control message
Nr Sequence Number :
- Sequence number control message berikutnya yang diterima.
Offset Field :
- Start dari payload data
III.6. TIPE CONTROL MESSAGE
Di dalam protokol tunnel, control message dipertukarkan secara in-band antara LAC dan LNS. Kontrol koneksi bertanggung jawab untuk pembentukan, pemutusan, dan maintenance session, yang dibawa didalam tunnel dan tunnel itu sendiri.
Tipe control message adalah sebagai berikut :
Control Connection Management
0 (reserved)
1 (SCCRQ) Start-Control-Connection-Request
2 (SCCRP) Start-Control-Connection-Reply
3 (SCCCN) Start-Control-Connection-Connected
4 (StopCCN) Stop-Control-Connection-Notification
5 (reserved)
6 (HELLO) Hello
Call Management
7 (OCRQ) Outgoing-Call-Request
8 (OCRP) Outgoing-Call-Reply
9 (OCCN) Outgoing-Call-Connected
10 (ICRQ) Incoming-Call-Request
11 (ICRP) Incoming-Call-Reply
12 (ICCN) Incoming-Call-Connected
13 (reserved)
14 (CDN) Call-Disconnect-Notify
Error Reporting
15 (WEN) WAN-Error-Notify
PPP Session Control
16 (SLI) Set-Link-Info
Definisi control message diatas adalah sebagai berikut :
• SCCRQ - control message yang digunakan untuk menginisialisasi tunnel antara LNS dan LAC. Dikirim oleh LAC dan LNS untuk proses pembentukan tunnel.
• SCCRP - control message digunakan untuk mengindikasikan bahwa SCCRW telah diterima dan pembentukan tunnel harus dilanjutkan. Dikirim sebagai balasan dari message SCCRQ yang dikirim.
• SCCN - control message yang menyelesaikan proses pembentukan tunnel. Dikirim sebagai jawaban dari SCCRP.
• StopCCN - control message yang dikirim oleh LAC dan LNS untuk menginformasikan peer bahwa tunnel sedang di putus dan hubungan kontrol harus diputus. Lebih lanjut lagi seluruh seluruh koneksi akan terputus (tanpa mengirim explicit call control message).
• OCRQ - control message yang dikirim oleh LNS ke LAC untuk mengindikasikan bahwa outbond call dari LAC terbentuk. Merupakan message pertama dalam pertukaran message yang digunakan untuk membentuk session dalam tunnel L2TP.
• OCRP - control message yang dikirim oleh LAC kepada LNS sebagai respon OCRQ yang dikirim. Merupakan message kedua yang betukar pada pembentukan session dalam tunnel L2TP.
• OCCN - control message yang dikirimkan LAC ke LNS mengikuti OCRP setelah outgoing call terbentuk. Merupakan message terakhir yang bertukar untuk pembentukan session dalam tunnel L2TP. OCCN digunakan juga untuk mengindikasikan hasil dari permintaan ougoing call yang berhasil dan memberikan informasi pada LNS mengenai parameter yang diperoleh setelah panggilan terbentuk seperti tipe message, (TX) connection speed, dan tipe framing.
III.7. AVP (ATTRIBUTE VALUE PAIR)
Pada L2TP metode pengkodean yang sama/seragam harus digunakan untuk tipe dan body message. Pengkodean ini dikenal dengan istilah AVP (Attribute Value Pair).
AVP diperlukan untuk pertukaran dan negosiasi informasi session L2TP yang lebih detil, seperti : windows size, host name, call serial number, dan sebagainya.
Terdapat beberapa jenis AVP yang biasa digunakan, diantaranya :
• Message Type
• Random Vector
• Result Code
• Protocol Version
• Framing Capabilities
• Bearer Capabilities
• Bearer Type
• Tie Breaker
• Firmware Version
• Host Name
• Vendor Name
• Assigend Tunnel ID
Receive Windows Size
• Challenge Respons
• Q.931 Cause Code
• Assigned Session ID
• Call Serial Number
• Framing Type
• Caller Number
• Calling Number
Format AVP seperti di bawah ini :
Gambar 10. Format AVP
Enam bit pertama adalah bit mask yang menunjukan atribut umum dari AVP.
Bit-bit M dan H nilainya didefinisikan, sedangkan bit-bit yang lainnya di reserve untuk pengembangan lebih lanjut. Reserve bit = 0.
• Mandatory (M) - Mengontrol tindakan yang perlu dilakukan jika AVP yang diterima tidak dikenal. Jika bit M diaktifkan pada AVP yang tidak dikenal di dalam message pada session tertentu, maka session yang terkait akan diputuskan.
Jika M bit diaktifkan pada AVP yang tidak dikenal di dalam message pada keseluruhan tunnel, maka tunnel (dan semua session didalamnya) akan diputuskan.
Jika M bit tidak diaktifkan, maka AVP yang tidak dikenal akan diabaikan.
• Hidden (H) - Mengidentifikasikan data yang disembunyikan pada field Attribute Value dari sebuah AVP. Digunakan untuk mengatasi data-data sensitif yang dilewatkan misalnya password user sebagai clear text pada sebuah AVP.
• Length - Menunjukkan jumlah octet pada AVP tersebut.
• Vendor ID - IANA menentukan nilai “SMI Network Management Private Enterprise
Code”.
III.8. CARA KERJA L2TP
Komponen-komponen pada tunnel, yaitu :
• Control channel, fungsinya :
Setup (membangun) dan teardown (merombak) tunnel
Create (menciptakan) dan teardown (merombak) payload (muatan) calls dalam tunnel.
Menjaga mekanisme untuk mendeteksi tunnel yang outages.
• Sessions (data channel) untuk delivery data :
Layanan delivery payload
Paket PPP yang di-encapsulasi dikirim pada sessions
Ada 2 langkah untuk membentuk tunnel untuk session PPP pada L2TP :
1. Pembentukan koneksi kontrol untuk suatu tunnel.
Sebelum incoming atau outgoing call dimulai, tunnel dan koneski kontrol harus terbentuk.
2. Pembentukan session yang dipicu oleh permintaan incoming atau outgoing call.
Suatu session L2TP harus terbentuk sebelum frame PPP dilewatkan pada tunnel L2TP. Multiple session dapat dibentuk pada satu tunnel, dan beberapa tunnel dapat dibentuk diantara LAC dan LNS yang sama.
Koneksi kontrol adalah koneksi yang paling pertama dibentuk antara LAC dan LNS sebelum session terbentuk. Pembentukan koneksi kontrol termasuk menjamin identitas dari peer, seperti pengidentifikasikan versi L2TP peer, framing, kemampuan bearer, dan sebagainya.
Ada tiga message dipertukarkan yang dilakukan untuk membangun koneksi kontrol (SCCRQ, SCCRP, dan SCCN). Jika tidak ada message lagi yang menunggu dalam antrian peer tersebut, ZLB ACK dikirimkan.
III.10. AUTENTIFIKASI TUNNEL PADA L2TP
Sistem autentifikasi yang digunakan L2TP, hampir sama dengan CHAP selama pembentukan koneksi kontrol.
Autentifikasi tunnel L2TP menggunakan Challenge AVP yang termasuk di dalam message SCCRQ atau SCCRP :
• Jika challenge AVP diterima di SCCRQ atau SCCRP, maka AVP challenge respon harus dikirimkan mengikuti SCCRP atau SCCCN secara berturut-turut.
• Jika respon yang diharapkan dan respon yang diterima tidak sesuai, maka pembentukan tunnel tidak diijinkan.
Untuk dapat menggunakan tunnel, sebuah password single share harus ada diantara LAC dan LNS.
III.11. INCOMING CALL PADA L2TP
Gambar 13.
Session individu dapat terbentuk, setelah koneksi kontrol terbentuk dengan berhasil. Setiap session berhubungan dengan satu aliran PPP antara LAC dan LNS.
Pembentukan session memiliki arah yang sesuai dengan LAC dan LNS. LAC meminta LNS menerima session untuk incoming call, dan LNS meminta LAC menerima session untuk menempatkan outgoing call.
Terdapat 3 message yang terlibat dalam pembentukan session (ICRQ, ICRP, ICCN). Jika tidak ada message lagi yang menunggu dalam antrian peer tersebut, ZLB ACK dikirimkan.
III.12. PENGIRIMAN FRAME PPP
Setiap kali tunnel terbentuk secara lengkap , maka :
• Frame PPP dari remote client diterima pada LAC
• Stripped (pemotongan) CRC
• Menghubungkan frame
Transparansi byte
• Di-enkapsulasi dalam L2TP
• Diteruskan melalui tunnel yang terkait.
LNS menerima paket L2TP dan memproses frame PPP yang terenkapsulasi jika paket tersebut diterima di interface PPP local. Pengirim message dihubungkan dengan session dan tunnel-nya menempatkan session ID dan tunnel ID pada header session ID dan tunnel ID untuk semua outgoing message. Dengan cara ini frame PPP di multiplex dan demultiplex melalui single tunnel antara LAC dan LNS.
Multiple tunnel dapat terbentuk pada sebuah pasangan LAC-LNS, dan multiplesession dapat terbentuk dalam sebuah session.
III.13. PEMUTUSAN SESSION
Dengan cara mengirimkan control message CDN¸ pemutusan session dapat dilakukan oleh LAC atau LNS. Setelah session terakhir terputus, maka koneksi kontrol dapat diputuskan.
III.14. L2TP OVER UDP/IP
L2TP menggunakan port UDP 1701 yang teregister. Inisiator tunnel L2TP akan mengambil satu port UDP source/asal (yang bukan 1701) dan mengirimkan ke tujuan yang dikehendaki dengan alamat port 1701.
Demikian pula penerima akan mengambil sebuah port yang bebas (selain 1701) pada sistemnya, dan mengirim balik kepada inisiator dengan alamat port UDP (port 1701).
Setiap kali port asal dan tujuan ,dan alamat terbentuk maka alamat port yang digunakan pun akan tetap/static. Jika port yang digunakan berubah-rubah, maka mekanisme L2TP melewati perangkat NAT akan lebih kompleks.
Fragmentasi IP dapat terjadi pada L2TP seperti paket L2TP melewati melalui substrat IP. L2TP tidak mempunyai perlakuan khusus untuk mengoptimalkannya. Implementasi LACsehingga paket L2TP dapat dilewatkan dengan nilai MTU yang konsisten.
Secara default pada beberapa implementasi L2TP UDP checksum harus digunakan untuk kontol dan data message. UDP checksum pada data message boleh tidak digunakan, tetapi penggunaan checksum pada control message direkomendasikan.
III.15. KEAMANAN INFORMASI PADA L2TP
L2TP membentuk tunnel LAC hingga LNS, sehingga data yang dilewatkan tidak dapat terlihat secara transparan oleh pengguna jaringan publik.
Ada beberapa bentuk keamanan yang diberikan oleh L2TP, yaitu :
• Keamanan Tunnel Endpoint
Prosedur autentifikasi tunnel endpoint selama pembentukan tunnel, memiliki atribut yang sama dengan CHAP (Challenge Handshake Authentication Protocol).
Mekanisme ini tidak di desain untuk menyediakan autentifikasi setelah proses pembentukan tunnel. Karena bisa saja pihak ketiga yang tidak berhak dapat melakukan pengintaian terhadap aliran data pada tunnel L2TP dan melakukan injeksi terhadap paket L2TP, jika setelah proses pembentukan tunnel terjadi.
• Keamanan Level Paket
Pengamanan L2TP memerlukan keterlibatan transport lapisan bawah melakukan layanan enkripsi, integritas, dan autentifikasi untuk semua trafik L2TP. Transport yang aman tersebut akan beroperasi pada seluruh paket L2TP dan tidak tergantung fungsi PPP dan protokol yang dibawa oleh PPP.
• Keamanan
Keamanan End to End Memproteksi aliran paket L2TP melalui transport yang aman berarti juga memproteksi data di dalam tunnel PPP pada saat diangkut dari LAC menuju LNS. Proteksi seperti ini bukan merupakan pengganti keamanan end-to-end antara host atau aplikasi yang berkomunikasi.
• Kombinasi antara L2TP dan IPsec
Pada saat berjalan pada IP (layer 3), IPSec dipergunakan untuk mengenkapsulasi paket dan bisa juga dipergunakan untuk enkripsi dalam protokol tunneling lainnya. IPSec menyediakan keamanan level paket menggunakan 2 protokol, yaitu :
AH (Authentication Header)
Memungkinkan verifikasi identitas pengirim dan ada pengecekkan integritas dari
pesan/ informasi.
ESP (Encapsulating Security Payload)
Memungkinkan enkripsi informasi sehingga tetap rahasia. IP original dibungkus dan outer IP header biasanya berisi gateway tujuan. Tidak ada jaminan integrity dari outer IP header, maka digunakan bersama dengan protokol AH.
IPsec menyediakan mode operasi yang dapat melakukan tunneling paket IP. Enkripsi dan autentifikasi pada level paket disediakan oleh mode IPSec tunnel.
Jadi untuk menjamin keamanan L2TP yang lebih handal digunakan transport yang aman dan juga mengimplementasikan IPSec pada tunneling layer 3. Metode ini dikenal dengan L2TP over IPSec. (lihat tugas : R M Dikshie Fauzie, NIM : 23201093, “Tinjauan Mekanisme dan Aplikasi IPSec : Studi Kasus VPN”)
VI. KESIMPULAN
1. Untuk mengembangkan jaringan perusahaan dengan biaya yang relatif rendah dan aman, VPN adalah merupakan salah satu solusinya.
2. Ada beberapa protokol tunneling untuk VPN pada layer 2, yaitu : L2F, PPTP dan L2TP.
3. L2TP menghadirkan fitur-fitur yang terbaik yang merupakan kombinasi antara protokol L2F dan PPTP.
4. Ada dua model tunnel yang didukung oleh L2TP adalah compulsory dan voluntary. Perbedaannya pada end point tunnel. Pada compulsory tunnel berakhir pada ISP dan voluntary tunnel berakhir pada remote client.
5. L2TP menyediakan metode autentifikasi PPP, yaitu PAP dan CHAP.
6. L2TP menggunakan dua jenis message, yaitu control message dan data message. Control message digunakan pada establishment, maintenance dan clearing tunnel dan call. Data message digunakan untuk meng-enkapsulasi frame PPP yang dibawa melalui tunnel.
7. Untuk komunikasi tunnel L2TP menggunakan port UDP 1701.
8. Beberapa jenis keamanan yang disediakan oleh protokol L2TP,
yaitu : keamanan end point tunnel, keamanan level paket, keamanan end-to-end, dan kombinasi antara protokol L2TP dengan IPSec.
9. L2TP (layer 2) dapat dikombinasikan dengan IPSec (layer 3), untuk memberikan koneksi yang lebih aman melalui internet, karena dengan enkapsulasi IPSec menambah kekuatan enkripsi dan autentifikasi.
0 Comments to "Resum Persentasi L2TP"