PPTP va L2F protokollaridek L2TP protokolida himoyalangan virtual kanalni shakllantirish uch bosqichda amalga oshiriladi: - lokal tarmoqning masofadan foydalanish serveri bilan ulanishni o‘rnatish; - foydalanuvchini autentifikatsiyalash; - himoyalangan tunnelni konfiguratsiyalash. Birinchi bosqichda lokal tarmoqning masofadan foydalanish serveri bilan ulanishni o‘rnatish uchun masofadagi foydalanuvchi provayder ISP bilan PPP – ulashni boshlab beradi. Provayder serveri ISPda ishlovchi foydalanish kontsentratori bu ulanishni qabul qiladi va kanal PPPni o‘rnatadi. So‘ngra foydalanuvchi kontsentratori LAC oxirgi uzel va uning foydalanuvchisini qisman autentifikatsiyalaydi. Provayder ISP faqat foydalanuvchining ismidan foydalangan holda unga L2TP tunnellash servisining kerakligini xal qiladi. Agar bunday servis kerak bo‘lsa, foydalanish kontsentratori LAC tunneli ulanish o‘rnatilishi lozim bo‘lgan tarmoq serveri LNS adresini aniqlashga o‘tadi. Foydalanuvchi va foydalanuvchi tarmog‘iga xizmat ko‘rsatuvchi server LNS orasidagi muvofiqlikni aniqlashning kulayligini ta’minlash maqsadida provayder ISP tomonidan o‘zining mijozlari uchun madadlanuvchi ma’lumotlar bazasidan foydalanish mumkin. LNS serverining IP-adresi aniqlanganidan so‘ng L2TPning bu server bilan tunneli bor yoki yo‘qligi tekshiriladi. Agar bunday tunnel bo‘lmasa, u o‘rnatiladi. Provayderning foydalanish kontsentratori LAC va lokal tarmoqning tarmoq serveri LNS orasida L2TP protokol bo‘yicha sessiya o‘rnatiladi. Transportga o‘zaro aloqanning "no‘qta-nuqta" paket rejimini madadalashi talabi qo‘yiladi. LAC va LNS orasida tunnel yaratishda bu tunnel doirasida yangi ulanishga chaqirish identifikatori Call ID deb ataluvchi identifikator beriladi. Kontsentrator LAC tarmoq serveriga ushbu Call ID bilan chaqiriq xususidagi bildirish bo‘lgan paket jo‘natadi. LNS serveri chaqiriqni qabul qilishi yoki rad etishi mumkin. Ikkinchi bosqichda lokal tarmoqning tarmoq serveri LNS foydalanuvchini autentifikatsiyalash jarayonini bajaradi. Buning uchun autentifikatsiyalashning standart algoritmlaridan biri, xususan CHAP algoritmi ishlatilishi mumkin. Ta’kidlash lozimki, L2TP protokolining spetsifikatsiyasida autentifikatsiyalash usullarining tavsifi keltirilmagan. Chaqiriq xususidagi bildirish tarkibida tarmoq serveri LNS tomonidan foydalanuvchini autentifikatsiyalash uchun axborot bo‘lishi mumkin. Bu axborotni kontsentrator LAC foydalanuvchi bilan muloqot jarayonida yig‘adi. Autentifikatsiyalashning CHAP protokolidan foydalanilganda bildirish paketida chaqirish-so‘zi, foydalanuvchi ismi va uning javobi bo‘ladi. PAP protokoli uchun bu axborot foydalanuvchi ismi va shifrlanmagan paroldan iborat bo‘ladi. Tarmoq serveri LNS bu axborotdan, masofadagi foydalanuvchini o‘z ma’lumotlarini qaytadan kiritishga majbur qilmaslik va autentifikatsiyalashning qo‘shimcha tsiklini bajarmaslik maqsadida, birdaniga foydalanish mumkin. Autentifikatsiya natijasi jo‘natilishida tarmoq serveri LNS xam foydalanish kontsentratori LACga foydalanuvchi uzelining IP-adresini uzatishi mumkin. Moxiyati bo‘yicha foydalanish kontsentratori LAC masofadagi foydalanuvchi uzeli va lokal tarmoqning tarmoq serveri orasida vositachi vazifasini bajaradi. Masofadagi uzelga korporativ tarmoqning adreslar pulidan adresning ajratilishi foydalanuvchiga provayder adreslar pulidan oddiy adres olinishidagi noqulayliklardan kutilishiga imkon beradi. Uchinchi bosqichda provayderning foydalanish kontsentratori LAC va lokal tarmoqning serveri LNS orasida himoyalangan tunnel yaratiladi. Natijada inkapsulyatsiyalangan kadrlar PPP tunnel orqali kontsentrator LAC va tarmoq serveri LNS orasida ikala yo‘nalishda uzatilishi mumkin. Masofadagi foydalanuvchidan PPP kadri kelganida kontsentrator LAC undan kadrni qoplagan baytlarni, nazorat yig‘indi baytlarini chiqarib tashlaydi, so‘ngra uni L2TP protokol yordamida tarmoq protokoliga inkapsulyatsiyalaydi va tunnel orqali tarmoq serveri LNSga jo‘natadi. LNS server L2TP protokoldan foydalanib, kelgan paketdan PPP kadrni chiqarib olib ishlaydi. Tunnelning zaruriy qiymatlarini sozlash boshqarish xabarlari yordamida amalga oshiriladi. L2TP protokoli har qanday paketni kommutatsiyalovchi transport ustidan ishlashi mumkin. Umumiy holda, bu transport, masalan UDP protokoli, paketlarni kafolatli etkazish ni ta’minlamaydi. Shu sababli L2TP protokoli bu masalalarni har bir masofadagi foydalanuvchi uchun tunnel ichida ulanishlarni o‘rnatish muolajalaridan foydalanib, mustaqil xal etadi. Ta’kidlash lozimki, L2TP protokoli kriptohimoyaning muayyan usullarini belgilamaydi va shifrlashni turli standartlaridan foydalanish mumkinligini faraz qiladi. Agar himoyalangan tunnelning IP-tarmoqda shakllantirilishi rejalashtirilgan bo‘lsa, kriptohimoyani amalga oshirishda IPSec protokolidan foydalaniladi. L2TP protokoli PPP algoritmiga nisbatan ma’lumotlarni himoyalashning yuqori saviyasini ta’minlaydi, chunki unda 3DES (Triple Data Encryption Standard) shifrlash algoritmi ishlatiladi. Agar himoyaning bundan yuqori saviyasi kerak bo‘lmasa bitta 56 xonali kalitli DES algoritmidan foydalanish mumkin. Undan tashqari L2TP protokoli HMAC (Hash Massage Authentication Code) algoritmi yordamida ma’lumotlarni autentifikatsiyalashni ta’minlaydi. Autentifikatsiyalash uchun bu algoritm uzunligi 128 xonaga teng bo‘lgan "xesh"ni yaratadi. Shunday qilib, PPTP va L2TP protokollarining funktsional imkoniyatlari turlicha, PPTP protokoli faqat IP-tarmoqlarda ishlatilishi mumkin va unga tunnelni yaratishi va ishlatishi uchun aloxida TCP ulanish zarur. L2TP protokoli nafaqat IP-tarmoqlarda ishlatilishi mumkin, tunnelni yaratish va u orqali ma’lumotlarni tashishda xizmatchi xabarlar bir xil format va protokollardan foydalanadi. L2TP protokoli tashkilot uchun muxim bo‘lgan ma’lumotlarning qariyb 100%li xavfsizligini kafolatlashi mumkin.
