第二层隧道协议(英语:Layer Two Tunneling Protocol,缩写为L2TP)是一种虚拟隧道协议,通常用于虚拟专用网。L2TP协议自身不提供加密与可靠性验证的功能,可以和安全协议搭配使用,从而实现数据的加密传输。经常与L2TP协议搭配的加密协议是IPsec,当这两个协议搭配使用时,通常合称L2TP/IPsec。
L2TP支持包括IP、ATM、帧中继、X.25在内的多种网络。在IP网络中,L2TP协议使用注册端口UDP 1701。因此,在某种意义上,尽管L2TP协议的确是一个数据链路层协议,但在IP网络中,它又的确是一个会话层协议。
1999年8月,互联网工程任务组发布RFC 2661,制定了L2TP协议的标准。
2005年,互联网工程任务组发布RFC 3931,制定了该协议标准的新版本——L2TPv3。
整个L2TP数据包,包括有效附载(payload)及标头(header),皆是用用户数据报协议(UDP)来发送。L2TP本身并不提供加密和认证,但常用IPsec来确保L2TP的安全及完整性,两种协议的组合一般被称为L2TP/IPsec。L2TP tunnel的两端分别是LAC(L2TP Access Concentrator)与 LNS (L2TP Network Server)。LAC扮演起始者的角色;LNS则是服务器,等待新的隧道创建。而一旦隧道创建之后,两点之间的沟通就是双向性的。为了让更高层级的协议更容易使用L2TP隧道,每个更高层协议,例如:PPP,都会在隧道中创建一个L2TP会话(或称为"通话")。无论是LAC或是LNS都可以开启会话,而每个会话的流量都会被L2TP隔开,因此在一个隧道之中可以创建多个虚拟网络。运行L2TP的时候应要考虑最大传输单元(MTU)。在L2TP隧道中交换的的数据包可分类为控制数据包或是数据包。L2TP提供控制数据包的可靠性,数据包则没有。
