Router Teldat. L2TP: Layer 2 Tunneling Protocol

Transcripción

1 Router Teldat L2TP: Layer 2 Tunneling Protocol Doc. Dm760 Rev Marzo, 2007

2 ÍNDICE Capítulo 1 Protocolo L2TP Introducción Descripción del protocolo Funcionamiento del protocolo L2TP con PPP Funcionamiento del protocolo L2TP-CI Funcionamiento del protocolo L2TP como pseudowire Glosario de términos... 6 Capítulo 2 Configuración del Protocolo L2TP Introducción Comandos de configuración del interfaz PPP Comandos de configuración del interfaz L2TP Añadir interfaces L2TP Borrar interfaces L2TP Configurar interfaces L2TP Comandos de configuración del protocolo L2TP DISABLE ENABLE LISTEN-PORT GROUP a) ACCEPT-DIALIN b) DESTINATION-PORT c) DOMAIN d) HIDE-AVPS e) HOLDOFF f) HOSTNAME g) INITIATE-TO h) INTERFACE i) LISTEN-ADDR j) LOOPBACK k) MAXFAIL l) MULTICAST-ADDR m) MULTICAST-IFC n) MULTIPOINT o) NO p) PERSIST q) PSEUDOWIRE r) REQUEST-DIALIN s) SEQUENCING t) SESSION-LIMIT u) STATIC v) STRICT-IP-CHECK w) TERMINATE-FROM x) TIE-BREAKER y) TIMEOUT z) TIMESLOT aa) TUNNEL-PASSWORD bb) EXIT NO GROUP EXIT Capítulo 3 Monitorización de L2TP Herramientas de monitorización ii -

3 2. TUNNEL-INFO all TUNNEL-INFO summary TUNNEL-INFO state TUNNEL-INFO pseudowire TUNNEL-INFO event-filter SESSION-INFO STOP-SESSION CLEAR-SESSION SHUTDOWN ACTIVATE PATTERN-INSERTION EXIT...43 Capítulo 4 Ejemplos de configuración de L2TP Configuración LAC y LNS para PPP Configuración LAC-CI para PPP Pseudowire L2TP dinámico punto a punto Pseudowire L2TP estático multipunto Ejemplo de configuración de pseudowires iii -

4 Capítulo 1 Protocolo L2TP

5 1. Introducción La RFC de PPP define un mecanismo de encapsulación para transportar paquetes de protocolos diversos a nivel de enlace. En un escenario habitual un usuario obtiene una conexión de nivel 2 a un servidor de acceso a la red (NAS) utilizando alguna técnica (una llamada RTC o RDSI o un enlace ADSL/SHDSL, por ejemplo) y después usa PPP sobre esa conexión. En este escenario, el terminador del enlace y de la sesión PPP residen en el mismo dispositivo físico, es decir, en el servidor de acceso o NAS (por ejemplo, en el caso de ADSL, en el DSLAM). El protocolo de tunelado de nivel 2 (L2TP, de Layer 2 Tunnel Protocol ) extiende el modelo básico del protocolo PPP permitiendo que la terminación del enlace y de la sesión PPP se encuentren en dispositivos distintos (estos dispositivos deben estar interconectados por una red IP). Usando L2TP un usuario establece una conexión punto a punto a un concentrador de acceso, y este concentrador tunela las tramas PPP hacia el servidor de acceso a la red. El proceso de las tramas PPP se separa de la terminación del enlace de nivel 2. La ventaja de este esquema es que la distancia entre el usuario y la terminación del nivel 2 se acorta, de manera que la sesión PPP se puede concentrar en un punto compartido de una red IP a través de una infraestructura compartida. En el caso de escenarios de acceso a través de redes conmutadas el ahorro de costes es evidente (llamada local en lugar de larga distancia). Desde el punto de vista del usuario, el uso del protocolo L2TP es completamente transparente. Además, el protocolo L2TP se puede usar para iniciar túneles de una manera local (siguiendo un esquema similar al de túneles GRE), para encapsular tráfico originado localmente por el router hacia un NAS que ya exista en la red del proveedor de servicios. A esta modalidad se la denomina L2TP iniciado en el cliente (L2TP-CI, de Layer 2 Tunnel Protocol - Client Initiated ). La versión 3 del protocolo L2TP (L2TPv3) definida en la RFC3931 establece otra aplicación del protocolo L2TP: En este caso el protocolo L2TP se utiliza para simular una conexión mediante cable entre dos puntos. De esta forma se establece un túnel y una session L2TP que simula un cable, lo que en la RFC se conoce como Pseudowire. En este documento se definen los comandos del router Teldat relacionados con la configuración y monitorización del protocolo L2TP. Este manual está muy relacionado con el manual Dm710 Interfaz PPP, que describe en detalle la configuración y monitorización del protocolo PPP Descripción del protocolo L2TP utiliza dos tipos de mensajes, mensajes de control y de datos: Los mensajes de control se usan para establecer, mantener y liberar sesiones y túneles. Estos mensajes utilizan un canal fiable de transmisión para garantizar su recepción. Los mensajes de datos encapsulan tramas PPP que se transportan de un extremo a otro del túnel. Los mensajes de datos no se retransmiten cuando se pierden (se confía en que el protocolo de nivel superior fuerce su retransmisión si es necesario). I - 2

6 TRAMAS PPP Tramas L2TP de datos Tramas L2TP de control Canal de transmisión no fiable de L2TP Canal de control L2TP (fiable) UDP IP Red de Datos (Frame Relay ATM, etc.) Figura 1: Estructura del protocolo L2TP La Figura 1 representa la relación de las tramas PPP y de los mensajes de control de L2TP con los canales de transmisión del protocolo. Las tramas PPP se transportan a través de un canal lógico L2TP no fiable, es decir, se les añade una cabecera L2TP y posteriormente se encapsulan en UDP. Sin embargo, los mensajes de control se envían en banda a través de un canal fiable de comunicaciones implementado sobre UDP. Para ello se utilizan números de secuencia en las cabeceras L2TP de los mensajes de control, y se usa un esquema de asentimiento de mensajes con retransmisión por vencimiento de temporizadores Funcionamiento del protocolo L2TP con PPP Los pasos que se siguen para establecer una conexión entre un usuario remoto a través de un LAC (L2TP Access Concentrator) con un LNS (L2TP Network Server) son los siguientes: 1. El usuario remoto inicia una conexión PPP al proveedor de servicios o ISP, utilizando, por ejemplo, un módem RTC o RDSI. 2. El LAC del ISP acepta la conexión y establece el nivel LCP del PPP. 3. Una vez que el nivel LCP está establecido, el LAC solicita al usuario su información de autenticación, utilizando CHAP o PAP. El dominio del usuario PPP se utiliza en el LAC para consultar si se debe establecer un túnel L2TP para ese usuario o no. Si no es el caso (conexión PPP normal), se continúa el proceso de autenticación PPP descrito en el manual del protocolo PPP. Si el dominio tiene algún grupo L2TP asociado, de la definición del grupo se obtienen los parámetros del túnel L2TP asociados a ese dominio. 4. El LAC se dirige al LNS asociado y se autentica si es necesario con él y establecen un túnel L2TP. 5. Una vez creado el túnel L2TP entre el LAC y el LNS, se establece una nueva sesión para el usuario final. 6. El LAC propaga las opciones de LCP negociadas y la información de autenticación PPP al LNS. El LNS atiende a esta información y negocia los parámetros PPP, autenticando el usuario final y negociando los NCP s que procedan. Si la negociación de PPP fallara, el LNS I - 3

7 hecho por M.A. Berrojo Teldat Atlas hecho por M.A. Berrojo Teldat Atlas cerraría la sesión L2TP establecida en el paso 5, y si procede también se cerraría el túnel al que esa sesión está asociada. Durante todo este proceso para el usuario final sólo ha existido una negociación PPP entre él mismo y el LNS, de manera que el equipo que hace de LAC es transparente para el usuario final Funcionamiento del protocolo L2TP-CI En este caso el router cliente (LAC) es capaz de negociar y establecer un túnel directamente contra el LNS, sin la mediación de un NAS. La negociación del túnel entre el LAC y el LNS se establece tan pronto existe conectividad IP entre ambos, sin la posibilidad de que sea disparada por tráfico interesante como en el caso anterior. En este modo de funcionamiento el router cliente usa un interfaz virtual PPP. Este interfaz virtual agrega la encapsulación de nivel 2 a los paquetes de nivel 3, permitiendo que sean enviados al LNS sobre el túnel L2TP Funcionamiento del protocolo L2TP como pseudowire La característica principal de este modo de funcionamiento es la simulación de un circuito físico de nivel 2 entre dos nodos IP a través de un túnel L2TP. En cada equipo, tanto en el LAC como en el LNS, se asocia un interfaz del equipo al túnel L2TP. El túnel L2TP se establece entre los dos interfaces físicos asociados de ambos equipos y simula una conexión física entre estos interfaces a través de una red IP a la que están conectados sendos equipos, por lo que recibe el nombre de pseudowire (ver Figura 2). Cada pseudowire tiene un identificador que lo distingue del resto. INTERFAZ SERIE (tráfico HDLC) TUNEL L2TP (sobre red IP) INTERFAZ SERIE (tráfico HDLC) PSEUDOWIRE eqivalente Figura 2: Pseudowire sobre L2TP En este modo de funcionamiento se han definido dos tipos de túneles por la forma en que se establecen: dinámicos y estáticos. Los túneles dinámicos se negocian y establecen dinámicamente entre el LAC y el LNS. Los túneles estáticos se definen en la configuración del equipo y se consideran establecidos desde que el equipo se inicia. También existen túneles punto a punto y túneles multipunto. Se han creado los túneles estáticos multipunto para poder realizar difusión de tráfico multicast a través de túneles L2TP. Los túneles L2TP estáticos multipunto sólo permiten tráfico en un sentido (de bajada), para poder enviar tráfico en el sentido contrario (de subida) hay que establecer túneles dinámicos entre cada extremo unicast y el lado multicast, a lo que llamamos túnel dinámico multipunto (ver la Figura 3). Por tanto los túneles multipunto necesitan la definición de dos grupos, uno estático mutipunto y uno dinámico multipunto. Para más detalles sobre cómo se deben configurar este tipo de túneles es conveniente ver los ejemplos de configuración que se explican en el capitulo 4. I - 4

8 Teldat hecho por M.A. Berrojo Atlas Teldat Teldat hecho por M.A. Berrojo hecho por M.A. Berrojo Atlas Atlas Teldat hecho por M.A. Berrojo Atlas CABECERA TUNEL DINAMICO MULTIPUNTO (Tráfico unicast subida) TUNEL ESTATICO MULTIPUNTO (Tráfico multicast bajada) ESTACION ESTACION ESTACION Figura 3: Túneles L2TP multipunto La negociación de los túneles dinámicos se inicia tanto si se ha levantado el interfaz asociado al pseudowire de uno de los routers, como si uno de los routers recibe tráfico que debe encapsular y transmitir a través del túnel. Como hemos dicho anteriormente los túneles estáticos están siempre establecidos y habrá comunicación extremo a extremo siempre que coincida la definición del túnel en ambos extremos, es decir, que tanto el identificador del túnel como el identificador de la sesión, como el identificador del pseudowire sean los mismos en ambos extremos. Actualmente sólo se soportan los interfaces serie síncronos, serie asíncronos y G703 I - 5

9 2. Glosario de términos Par Atributo-Valor (par AV): Un par de valores que se intercambian el LNS y el LAC. Por ejemplo, en el par AV domain = teldat.es, el atributo es domain y el valor teldat.es. Challenge Handshake Authentication Protocol (CHAP): Es un protocolo de autenticación usado en PPP que no envía el password del usuario en claro por la red. De esta manera se permite el intercambio de claves entre los dos extremos de una conexión PPP de una manera segura. Cliente o Usuario: la entidad que inicia una sesión PPP. Mensajes de Control: mensajes intercambiados entre el LAC y el LNS, y que se envían en banda por un canal fiable de comunicaciones L2TP. Estos mensajes manejan la lógica del protocolo L2TP en sí: establecimiento y liberación de túneles y sesiones, establecimiento del canal lógico fiable, manejo de opciones del protocolo, etc. L2TP: El protocolo de tunelado de nivel 2 es una extensión del protocolo PPP muy usado en redes privadas virtuales. El L2TP surgió como una fusión de los protocolos PPTP de Microsoft y el L2F de Cisco. Actualmente su especificación está recogida en la RFC LCP: El protocolo de control de enlace es la parte responsable de establecer, configurar y comprobar el estado de los enlaces punto a punto en una conexión PPP. LAC: se denomina así de manera resumida al concentrador de acceso, que multiplexa conexiones PPP en sesiones y túneles L2TP. De esta manera, encapsula tramas PPP en túneles L2TP y viceversa. LNS: se denomina así al punto en el que terminan los túneles L2TP y, por tanto, donde se procesan y generan las tramas PPP por los protocolos de nivel superior. El LNS se ocupa de recibir solicitudes de establecimiento de túneles L2TP y de procesar las tramas PPP recibidas y pasarlas al nivel superior. NAS: servidor de acceso a la red, es un dispositivo que proporciona acceso temporal a una red a usuarios remotos. En general el acceso se realiza a través de enlaces de la última milla, como llamadas RTC/ISDN o enlaces ADSL. En un escenario L2TP el NAS es a la vez LAC. NCP: protocolo de control de red, es la parte del PPP responsable de la negociación de los parámetros del nivel 3. En particular, el IPCP es el NCP para IP del protocolo PPP. PAP: Protocolo de autenticación basado en Password, es un esquema simple de autenticación usado en PPP en el cuál se transmiten el usuario y el password en claro por la línea. Esta característica le hace mucho menos seguro que el CHAP, y por eso se tiende a usar más éste último. PPP: protocolo de transmisión punto a punto, encapsula paquetes a través de enlaces. Está descrito con detalle en el STD0051. RTC: Red Telefónica Conmutada. Túnel: una conexión virtual entre el LAC y el LNS que puede manejar varias sesiones PPP simultáneas. Pseudowire: es la conexión que se establece a través de un túnel L2TP entre dos nodos IP y que simula un circuito físico de nivel 2 entre los dos nodos. I - 6

10 Capítulo 2 Configuración del Protocolo L2TP

11 1. Introducción Los pasos a seguir para configurar el protocolo L2TP para PPP son: Añadir y configurar el interfaz PPP asociado al túnel (para el caso de LAC) o cuyos interfaces base van a ser los interfaces L2TP (para el caso de LAC-CI y LNS). Sobre este paso se habla en detalle en el manual Dm710_Interfaz_PPP.doc Añadir y configurar un interfaz L2TP (para el caso de LAC-CI y LNS) Habilitar el protocolo L2TP (comando enable) Definir el grupo o grupos de túneles L2TP. Para cada grupo se debe: o Definir el destino del túnel L2TP (la dirección del LNS al que nos queremos conectar) o Especificar el dominio PPP al que está asociado el grupo. o Especificar el tipo de grupo. o Opcionalmente se puede modificar el puerto destino del túnel o especificar parámetros de autenticación (password del túnel)/seguridad (ocultación de AVPS). Los pasos a seguir para configurar el protocolo L2TP para pseudowire son: Habilitar el protocolo L2TP (comando enable) Definir el grupo o grupos de túneles L2TP. Según el tipo de túnel debemos realizar distintos pasos: o Túneles punto a punto: Poner identificador al pseudowire. Definir el destino del túnel L2TP (la dirección del equipo remoto al que nos queremos conectar). Asignar el interfaz físico asociado al pseudowire. Indicar si somos LAC, LNS o los dos. También se pueden definir características adicionales como la persistencia del túnel, quién abre el túnel si es dinámico y el control de los números de secuencia y el reordenamiento de paquetes. o Túneles estáticos multipunto: Poner el identificador del pseudowire. La dirección multicast que utiliza el túnel. Asignar el interfaz físico asociado al túnel. Definir el identificador de túnel y de sesión estáticos. o Túneles dinámicos multipunto: Poner el identificador del pseudowire. Indicar que es multipunto y que acepta conexiones. Asignar el interfaz asociado. En el siguiente apartado se describen todos estos comandos de configuración. II - 8

12 2. Comandos de configuración del interfaz PPP Para añadir y configurar interfaces PPP, refiérase al manual Dm710. Tan solo los parámetros relacionados con L2TP se explican aquí. Para establecer los parámetros específicos de L2TP debe teclearse el comando L2TP dentro del menú de configuración del interfaz PPP. Config>NETWORK ppp1 -- Generic PPP User Configuration -- ppp1 config>l2tp -- L2TP Configuration -- ppp1 L2TP config> Los comandos disponibles en el menú de configuración del interfaz PPP son los siguientes: ppp1 L2TP config>? lac Set L2TP (LAC) configuration lns Set L2TP (LNS) configuration no Negate a command or set its defaults ppp1 L2TP config> Comando Función? (AYUDA) Muestra los comandos u opciones disponibles. LAC Especifica parámetros de L2TP funcionando como LAC puro. LNS Especifica parámetros de L2TP funcionando como LNS. NO Configura el valor por defecto de una determinada opción, deshabilita parámetros o borra elementos de configuración previamente añadidos. EXIT Sale de la configuración de L2TP del interfaz PPP. LAC Las opciones disponibles son: ppp1 L2TP config>lac? enable Enable L2TP (LAC) ppp1 L2TP config> enable Si se configura esta opción, el router actuará como LAC puro, tal y como se describe en la sección 1.3 del Capítulo 1. LNS Las opciones disponibles son: ppp1 L2TP config>lns? enable Enable this interface as L2TP (LNS) template max-tunnels Tunnels to infere from this interface ppp1 L2TP config> II - 9

13 enable max-tunnels Si se configura esta opción, el router actuará como plantilla del servidor de túneles (LNS). Es importante notar que en el caso de que sólo se vaya a abrir un túnel contra el router, no es necesario que se habilite el interfaz PPP para actuar como plantilla de túneles. La misión de una plantilla de túneles es clonar el interfaz PPP y L2TP correspondiente las veces que sea necesario para atender los distintos túneles que pueden abrirse contra el equipo. Además de habilitarlo, es necesario especificar un número máximo de túneles con la opción siguiente Esta opción especifica el número máximo de interfaces que pueden ser clonados de la plantilla del servidor de túneles. Es un valor entre 0 y 75, donde 0 es el valor por defecto (e indica que no se clonará ningún interfaz). La misión de una plantilla de túneles es clonar el interfaz PPP y L2TP correspondiente las veces que sea necesario para atender los distintos túneles que pueden abrirse contra el equipo. II - 10

14 3. Comandos de configuración del interfaz L2TP En los casos de L2TP funcionando como LAC-CI ó LNS, será necesario añadir y configurar un interfaz L2TP que actúe como interfaz base del interfaz PPP anterior. En el caso de psewdowires esto no es necesario Añadir interfaces L2TP Para crear interfaces L2TP se debe teclear el comando add device l2tp <identificador de interfaz L2TP> desde el menú general de configuración. Una vez añadido, se muestra el interfaz PPP que se ha creado. Config>add device l2tp 1 Config> Se puede comprobar que se ha añadido correctamente el interfaz creado listando los interfaces existentes en el equipo: Config>list devices Interface Connector Type of interface ethernet0/0 FE0/LAN1 Fast Ethernet interface ethernet0/1 FE1/LAN2 Fast Ethernet interface serial0/0 SERIAL0/WAN1 X25 serial0/1 SERIAL1/WAN2 X25 x25-node --- Router->Node hssi1/0 SLOT1 High Speed Serial Interface ppp1 --- Generic PPP l2tp1 --- L2TP 3.2. Borrar interfaces L2TP Para borrar un interfaz L2TP emplearemos el comando NO DEVICE, en el menú general de configuración. Sintaxis: Config>NO DEVICE <interface_name> <interface_name> es el nombre del interfaz a borrar (l2tpx, X=Identificador de interfaz). Ejemplo: *CONFIG Config>NO DEVICE L2TP1 Config> Se puede comprobar que se ha borrado correctamente el interfaz creado listando los interfaces existentes en el equipo: II - 11

15 Config>list devices Interface Connector Type of interface ethernet0/0 FE0/LAN1 Fast Ethernet interface ethernet0/1 FE1/LAN2 Fast Ethernet interface serial0/0 SERIAL0/WAN1 X25 serial0/1 SERIAL1/WAN2 X25 x25-node --- Router->Node hssi1/0 SLOT1 High Speed Serial Interface ppp1 --- Generic PPP l2tp1 --- L2TP Config>no device l2tp1 Config>list devices Interface Connector Type of interface ethernet0/0 FE0/LAN1 Fast Ethernet interface ethernet0/1 FE1/LAN2 Fast Ethernet interface serial0/0 SERIAL0/WAN1 X25 serial0/1 SERIAL1/WAN2 X25 x25-node --- Router->Node hssi1/0 SLOT1 High Speed Serial Interface ppp1 --- Generic PPP Config> 3.3. Configurar interfaces L2TP Para acceder al menú de configuración de un interfaz L2TP se debe teclear NETWORK <interfaz L2TP> desde el menú general de configuración. Por ejemplo, si se quiere acceder al interfaz l2tp2, se debe teclear: Config>network l2tp2 -- L2TP (virtual) Interface Configuration -- l2tp2 config> Los comandos disponibles en el menú de configuración del interfaz L2TP son los siguientes: l2tp2 config>? description list no shutdown type update l2tp2 config> Enter interface description Show L2TP interface configuration parameters Negates a command or sets its defaults Change state to administratively down Set type of L2TP interface Update a level indicator Hay ciertos comandos comunes para todos los interfaces del equipo. Estos comandos se describen en el manual de configuración común de interfaces (Dm772 Configuración Común de Interfaces). Comando Función? (AYUDA) Muestra los comandos u opciones disponibles. LIST Lista la configuración del interfaz L2TP. NO Configura el valor por defecto de una determinada opción, deshabilita parámetros o borra elementos de configuración previamente añadidos. TYPE Configura el tipo del interfaz L2TP. EXIT Sale de la configuración del interfaz PPP. II - 12

16 TYPE Este comando permite especificar el tipo del interfaz L2TP. Las opciones disponibles son: l2tp2 config>type? lac-ci L2TP Access Concentrator (Client-Initiated) lns L2TP Network Server l2tp2 config> lac-ci lns Se configura esta opción cuando se desea que el interfaz L2TP actúe como un LAC Client-Initiated. Ésta es la opción por defecto. configura esta opción cuando se desea que el interfaz L2TP actúe como servidor de túneles. Hay que tener en cuenta que existe una tercera opción (L2TP como LAC puro) en la que no se necesita crear un interfaz L2TP. II - 13

17 4. Comandos de configuración del protocolo L2TP Para acceder al menú de configuración del protocolo L2TP se debe teclear protocol L2TP desde el menú general de configuración. Por ejemplo: Config>protocol l2tp -- Layer 2 Tunneling Protocol user configuration -- L2TP config> Los comandos disponibles en el menú de configuración del protocolo L2TP son los siguientes: L2TP config>? disable enable group list listen-port no Disable L2TP protocol Enable L2TP protocol Group definition List L2TP config UDP Port for L2TP protocol Negates a command or sets its defaults Comando Función? (AYUDA) Muestra los comandos u opciones disponibles. DISABLE Deshabilita el protocolo L2TP. ENABLE Habilita el protocolo L2TP. GROUP Permite acceder al submenu de configuración de un grupo. LISTEN-PORT Define el puerto UDP local que utiliza el protocolo L2TP. LIST Muestra la configuración actual del protocolo L2TP. NO Configura el valor por defecto de una determinada opción, deshabilita parámetros o borra elementos de configuración previamente añadidos. EXIT Sale de la configuración del protocolo L2TP DISABLE El comando disable, deshabilita el protocolo L2TP de manera global. Cualquier configuración de L2TP se ignora si el protocolo L2TP está deshabilitado. Sintaxis: L2TP config>disable Ejemplo: L2TP config>disable L2TP config> II - 14

18 4.2. ENABLE Este comando habilita el protocolo L2TP. Si no se especifica este comando, cualquier configuración adicional de L2TP no tendrá efecto sobre el funcionamiento del equipo. Sintaxis: L2TP config>enable Ejemplo: L2TP config>enable L2TP config> 4.3. LISTEN-PORT Este comando define el puerto UDP local que se utiliza para el protocolo L2TP. Por defecto es el puerto Sintaxis: L2TP config>listen-port <port> port Puerto local UDP desde el que se enviarán los paquetes UDP (en el caso de que el equipo actúe como LAC) o en el que se escuchen peticiones de establecimiento de túnel de otros LAC (cuando el equipo actúe como LNS). Ejemplo: L2TP config> listen-port 2025 L2TP config> 4.4. GROUP Este comando da acceso al submenú de configuración de grupos de L2TP Sintaxis: L2TP config>group <group-number> group-number Número de grupo que se desea configurar. Actualmente se soportan como máximo 100 grupos L2TP, numerados del 1 al 100 ambos inclusive. Ejemplo: L2TP config>group 1 -- L2TP group configuration -- L2TP-group 1 config> El menú de configuración de un grupo dispone de los siguientes comandos: II - 15

19 Comando accept-dialin Propósito Se aceptan llamadas entrantes. destination-port Cambia el puerto UDP destino del establecimiento del túnel. domain Establece el dominio asociado a este grupo L2TP. hide-avps Oculta el intercambio de los pares atributo valor entre el LAC y el LNS cuando es posible. holdoff Tiempo de espera hasta se intenta un reestablecimiento de la sesión. hostname Nombre local que se envia al remoto. initiate-to Establece la dirección destino del túnel L2TP de este grupo, debe ser la dirección IP del LNS al que nos queremos conectar. interface Interfaz asociado al grupo. listen-addr Dirección de escucha para el protocolo L2TP. loopback Habilita el modo loopback. maxfail Número máximo de fallos de reintentos de reestablecimiento de sesión. multicast-addr Dirección IP-Multicast. multicast-ifc Interfaz asociado en grupo multicast. multipoint Túnel dinámico multipunto. no Elimina un parámetro de la configuración. persist Grupo de tipo persistente. Se intenta mantener la sesión establecida. pseudowire Establece grupo de tipo pseudowire. request-dialin Configura este grupo como LAC, es decir, iniciador de túneles L2TP al recibir llamadas PPP. Secuencia y reordenación. session-limit Número máximo de sesiones. static Grupo estático. strict-ip-check No acepta datagramas que no sean de la dirección ip configurada. terminate-from Identificador del extremo remoto. tie-breaker Habilita tie breaker. timeout Timeout de cola de paquetes desordenados. timeslot Timeslot del interfaz G703. tunnel-password Configura el password del túnel L2TP. Finaliza la configuración del grupo. En los siguientes apartados se explican con mayor detalle estos comandos. a) ACCEPT-DIALIN Marca este grupo como grupo LNS, es decir, que acepta peticiones de establecimiento de un túnel L2TP procedentes de un LAC. II - 16

20 Por defecto está desactivado. Sintaxis: L2TP-group 1 config> accept-dialin Ejemplo: L2TP-group 1 config> accept-dialin L2TP-group 1 config> b) DESTINATION-PORT Este comando define el puerto UDP destino contra el que se intentarán establecer túneles L2TP. Debe coincidir con el puerto configurado en el LNS para escuchar peticiones de establecimiento de túneles entrantes. Por defecto es el puerto Sintaxis: L2TP-group 1 config> destination-port <port> Ejemplo: Port L2TP-group 1 config> destination-port 2342 L2TP-group 1 config> c) DOMAIN Puerto UDP del LNS contra el que se establecerán los túneles L2TP. Es un valor entero entre 1 y Este comando establece el dominio asociado a este grupo L2TP. Por ejemplo, si queremos que los usuarios de PPP que pertenezcan al dominio teldat.es se asocien a los parámetros del grupo 1 L2TP debemos ejecutar el comando domain teldat.es. Por defecto no hay dominio definido. Sintaxis: L2TP-group 1 config> domain <domain> Ejemplo: dominio L2TP-group 1 config> domain teldat.es L2TP-group 1 config> Dominio al que se asocian los parámetros de este grupo L2TP. d) HIDE-AVPS Este comando indica al equipo que debe intentar encriptar los pares AV enviados por la red siempre que sea posible. De esta manera se protegen los datos enviados contra ataques maliciosos de otros usuarios de la red, aumentando por tanto el nivel de seguridad. Por defecto está desactivado. II - 17

21 Sintaxis: L2TP-group 1 config> hide-avps L2TP-group 1 config> Ejemplo: L2TP-group 1 config> hide-avps L2TP-group 1 config> e) HOLDOFF En un grupo que se ha configurado como persistente mediante el comando persist, el comando holdoff indica el tiempo que debe pasar antes de restablecer la sesión después de que está se haya caído y el intervalo entre cada intento fallido de restablecimiento de la sesión y el siguiente. Este comando no tiene efecto si el grupo no tiene configurado el comando persist. El valor por defecto es 10 segundos. Sintaxis: L2TP-group 1 config> holdoff <time_in_seconds> Ejemplo: time_in_seconds L2TP-group 1 config> holdoff 60 L2TP-group 1 config> Tiempo que debe esperar el router antes de intentar restablecer la sesión L2TP. f) HOSTNAME Especifica el nombre de host local que se envía por L2TP para identificar al router durante la negociación y el establecimiento del túnel. Para que en el equipo remoto se verifique este nombre, el grupo del equipo remoto debe tener configurado el mismo nombre con el comando terminate-from. Si no se especifica un nombre mediante el comando hostname, se envía el hostname global que tenga configurado el router. Sintaxis: L2TP-group 1 config> hostname <hostname> Ejemplo: hostname Nombre local de 1 a 32 caracteres que se envía en los paquetes que negocian el establecimiento del túnel L2TP y que identifican al router en el equipo remoto. L2TP-group 1 config> hostname ESTACION-ATOCHA L2TP-group 1 config> II - 18

22 g) INITIATE-TO Este comando establece la dirección IP destino del túnel L2TP, que debe coincidir con la dirección del LNS contra el que nos queramos conectar. Sintaxis: L2TP-group 1 config>initiate-to <lns-address> lns-address Dirección ip del LNS con el que iniciar el túnel L2TP. Ejemplo: L2TP-group 1 config> initiate-to L2TP-group 1 config> h) INTERFACE Este comando permite asociar un interfaz del equipo al grupo. En el caso de pseudowire, este interfaz es por el que se realiza la emulación de circuito. Por defecto no hay ningún interfaz asociado al grupo L2TP. Sintaxis: L2TP-group 1 config>interface <interface> interface Nombre del interfaz del equipo al que se asocia el grupo y por tanto la sesión L2TP. Ejemplo: L2TP-group 1 config>interface ser0/0 L2TP-group 1 config> i) LISTEN-ADDR Especifica la dirección destino que deben tener los paquetes L2TP que entran en el equipo, tanto de control como de datos, para ser aceptados por este grupo. Este comando es muy útil por ejemplo en el caso de utilizar routers virtuales con el protocolo VRRP, ya que en este caso pondremos la dirección del router virtual como dirección destino de los paquetes recibidos. Si un paquete L2TP recibido tiene una dirección distinta a la especificada con el comando listenaddr, no se considera que esté destinado a este grupo. También se puede utilizar este comando en el caso de que se quieran utilizar interfaces loopback como origen y destino de los paquetes L2TP. Por defecto la dirección de escucha es la dirección principal del interfaz por el que entran los paquetes L2TP en el equipo. Sintaxis: L2TP-group 1 config>listen-addr <ip-address> ip-address Dirección destino con la que se aceptan paquetes L2TP tanto de control como de datos. II - 19

23 Ejemplo: L2TP-group 1 config>listen-addr L2TP-group 1 config> j) LOOPBACK Mediante este comando ponemos el túnel L2TP en modo loopback de forma que transmite todos los datos que recibe como si fuese un espejo. Este modo es de gran utilidad a la hora de probar el funcionamiento del túnel. A la hora de probar túneles L2TP que van a través de un canal o canales de un interfaz G703, es necesario utilizar el comando LOOPBACK del menú de configuración del protocolo L2TP. Esto es así porque no es posible poner el canal o canales del interfaz G703 en modo loopback desde el menú de configuración del Interfaz G703. Por defecto el modo loopback está desactivado. Sintaxis: L2TP-group 1 config>loopback Ejemplo: L2TP-group 1 config>loopback L2TP-group 1 config> k) MAXFAIL Mediante este comando especificamos el número máximo de reintentos de restablecer la sesión definida por el grupo. Cada reintento se ejecuta con el intervalo de tiempo definido mediante el comando holdoff. El valor por defecto es de 5 intentos. Para que este comando tenga efecto se debe haber configurado el comando persist. Sintaxis: L2TP-group 1 config>maxfail <attempts-number> attempts-number Número de reintentos de restablecer la sesión. Ejemplo: L2TP-group 1 config>maxfail 300 L2TP-group 1 config> l) MULTICAST-ADDR Con este comando configuramos la dirección IP multicast para un túnel estático multipunto. Para que los túneles estáticos multipunto funcionen correctamente es necesario habilitar el Proxy IGMP del router y en este configurar como upstream el interfaz de salida de los paquetes L2TP (interfaz conectado a la red IP). La dirección debe ser de tipo multicast, es decir, debe estar comprendida entre y El interfaz asociado al protocolo L2TP de este grupo debe asignarse mediante el comando multicast-ifc. II - 20

24 Sintaxis: L2TP-group 1 config>multicast-addr <ip-address> ip-address Dirección IP multicast a la que se envían los paquetes L2TP de datos en un túnel estático multipunto. Ejemplo: L2TP-group 1 config>multicast-addr L2TP-group 1 config> m) MULTICAST-IFC Con este comando indicamos el interfaz o los interfaces asociados a un túnel estático multipunto. En el lado del túnel emisor de tráfico multicast, hay un único interfaz asociado, pero en los extremos receptores puede haber más de uno. En estos, el trafico multicast recibido por el túnel L2TP se envía por todos los interfaces asociados que esten configurados con este comando. El router que transmite en multicast se distingue de los demás porque tiene configurado un grupo con el mismo interfaz asociado y el mismo identificador de pseudowire en el que aparece el comando multipoint. Contra este grupo, configurado con el comando multipoint, los routers receptores del tráfico multicast abrirán túneles dinámicos para enviar el tráfico de subida, ya que un túnel estático multipunto sólo puede transmitir datos en el sentido de bajada. Los túneles estáticos necesitan tener configurado con el comando static los identificadores de túnel y de sesión. Ver la descripción del comando static más abajo. Sintaxis: L2TP-group 1 config>multicast-ifc <ifc-name> Ifc-name Nombre del interfaz asociado a un túnel estático multicast. Ejemplo: L2TP-group 1 config>multicast-ifc serial0/0 L2TP-group 1 config>multicast-ifc serial0/1 L2TP-group 1 config> n) MULTIPOINT El comando multipoint permite configurar un túnel dinámico multipunto. Con este comando permitimos al router aceptar túneles sobre un único interfaz asociado. El tráfico recibido por todos los túneles se enviará por el interfaz asociado. Como ya hemos comentado en la descripción del comando anterior, este comando se utiliza para que los extremos remotos de un túnel estático multipunto abran túneles dinámicos para encaminar el tráfico L2TP de subida, uno entre cada router remoto y el router central. La configuración en los routers remotos será como la de un grupo para un túnel punto a punto. II - 21

25 Sintaxis: L2TP-group 1 config>multipoint Ejemplo: L2TP-group 1 config>multipoint L2TP-group 1 config> o) NO Este comando elimina la configuración establecida por cualquiera de los otros comandos de configuración del grupo L2TP. Sintaxis: L2TP-group 1 config>no [accept-dialin destination-port domain holdoff hostname hide-avps initiate-to interface listen-addr maxfail multicastaddr multicast-ifc multipoint persist pseudowire request-dialin session-limit static strict-ip-check terminate-from tie-breaker timeout timeslot tunnel-password] Ejemplo: L2TP-group 1 config>no tunnel-password L2TP-group 1 config> p) PERSIST Por medio de este comando se indica al router que debe restablecer la sesión en caso de que esta se caiga por algún motivo. El número de intentos de restablecer la sesión que llevará a cabo el router se indica mediante el comando maxfail. El intervalo de tiempo entre intentos se establece mediante el comando holdoff. Sintaxis: L2TP-group 1 config>persist Ejemplo: L2TP-group 1 config>persist L2TP-group 1 config> q) PSEUDOWIRE Con este comando se define como tipo pseudowire el enlace L2TP. Además se le asigna un identificador al pseudowire para distinguirlo de los demás. Por defecto el comando no está activo. Sintaxis: L2TP-group 1 config>pseudowire <pseudowire-name> pseudowire-name Identificador del pseudowire de 1 a 32 caracteres. II - 22

26 Ejemplo: L2TP-group 1 config>pseudowire RTT L2TP-group 1 config> r) REQUEST-DIALIN Marca este grupo como grupo LAC, es decir, que recibe llamadas PPP y las tunela en L2TP hacia un equipo LNS. También permite iniciar sesiones cuando el grupo es pseudowire. Sintaxis: L2TP-group 1 config> request-dialin Ejemplo: L2TP-group 1 config> request-dialin L2TP-group 1 config> s) SEQUENCING Con este comando se activa el envío de números de secuencia en los paquetes de datos de una sesión L2TP de tipo pseudowire. Además del envío de números de secuencia se activa la cola de reordenamiento de paquetes con una ventana de tamaño 10. De esta forma se reordenan paquetes en caso de que la red los desordene. Por defecto este comando está desactivado. Sintaxis: L2TP-group 1 config> Ejemplo: L2TP-group 1 config> L2TP-group 1 config> t) SESSION-LIMIT Este comando permite establecer un número máximo de sesiones para un grupo. Por defecto el número de sesiones de un grupo no está limitado. Sintaxis: L2TP-group 1 config>session-limit <max-sessions> max-sessions Número máximo de sesiones para un grupo L2TP, entre 1 y Ejemplo: L2TP-group 1 config>session-limit 10 L2TP-group 1 config> II - 23

27 u) STATIC Comando que permite definir un túnel y una sesión como estáticos. Para definirlos sólo es necesario introducir los identificadores del túnel y de la sesión. Los identificadores de túnel y de sesión deben ser únicos, ya que el protocolo L2TP considera que cualquier túnel con el mismo identificador es un único túnel y cualquier sesión dentro de un mismo túnel con un mismo identificador será la misma sessión. Al contrario a como sucede en los túneles dinámicos el identificador local y remoto del túnel estático es el mismo. Por eso para poder comunicar dos extremos por un túnel estático hay que configurar los mismos identificadores de túnel y de sesión en ambos extremos. El router se encarga de que estos identificadores no puedan ser asignados a túneles dinámicos. Por defecto este comando está inactivo. Sintaxis: L2TP-group 1 config>static tid <tunnel-id> sid <session-id> tunnel-id Identificador del túnel estático con un valor entre 1 y session-id Identificador de la sesión estática con un valor entre 1 y Ejemplo: L2TP-group 1 config>static tid 1 sid 10 L2TP-group 1 config> v) STRICT-IP-CHECK Mediante este comando indicamos al router que no debe aceptar paquetes de datos que lleguen por una sesión L2TP con una dirección origen distinta a la que negoció el establecimiento de la sesión. Por defecto está desactivado. Sintaxis: L2TP-group 1 config>strict-ip-check Ejemplo: L2TP-group 1 config>strict-ip-check L2TP-group 1 config> w) TERMINATE-FROM Con este comando indicamos al router que sólo debe aceptar conexiones que vengan de un determinado equipo. Para poder hacerlo indicamos el nombre del router al que queremos permitir el establecimiento de conexiones por L2TP. En el extremo remoto se puede introducir el nombre mediante el comando hostname del submenú de definición de grupo o por defecto para todos los grupos con el comando hostname global del router. Por defecto está desactivado y se permiten conexiones a todos los routers independientemente de su nombre. II - 24

28 Sintaxis: L2TP-group 1 config>terminate-from hostname <peername> peername Nombre del equipo remoto al que permitimos el establecimiento de conexiones L2TP de 1 a 32 caracteres. Ejemplo: L2TP-group 1 config>terminate-from hostname ESTACION-CENTRAL L2TP-group 1 config> x) TIE-BREAKER En el caso de un pseudowire punto a punto en el que ambos extremos puedan iniciar el túnel o la sesión simultáneamente (LAC to LAC) y en el que sólo queramos que se abra un único túnel y una única sesión para el mismo grupo, debemos activar la funcionalidad de tie-breaker. Mediante este comando se activa esta funcionalidad que evita que se dupliquen sesiones y túneles entre dos equipos para un mismo grupo. Los dos extremos compiten por abrir un túnel y sólo uno de los dos gana el tie-break, el que pierde está obligado a eliminar el túnel que intentaba abrir y seguir con la negociación del que ha ganado. Del mismo modo sucede en la negociación de una sesión. Por defecto está desactivado. Sólo tiene efecto en grupos configurados como pseudowire y cuando ambos extremos pueden comenzar la negociación (tienen configurado tanto acceptdialin como request-dialin). Sintaxis: L2TP-group 1 config>tie-breaker Ejemplo: L2TP-group 1 config>tie-breaker L2TP-group 1 config> y) TIMEOUT Con este comando especificamos un tiempo de vencimiento de la cola de paquetes desordenados que se utiliza para reordenamiento y que se activa con el comando. Una vez que vence este timeout los paquetes que esten en la cola de paquetes desordenados se envían y el paquete que se estaba esperando se da por perdido. En definitiva es el tiempo máximo que se espera a un paquete antes de darlo por perdido. Se debe elegir muy bien este valor de forma que funcione correctamente la cola y no se den por perdidos paquetes que llegan desordenados, y no se espere demasiado a paquetes que se han perdido y nunca van a llegar. El valor por defecto es 25 ms. Sintaxis: L2TP-group 1 config>timeout <timeout-in-ms> timeout-in-ms Tiempo de espera máximo a paquetes desordenados entre 1 y 5000 milisegundos. II - 25

29 Ejemplo: L2TP-group 1 config>timeout 50 L2TP-group 1 config> z) TIMESLOT Este comando permite asignar a un pseudowire un canal de Nx64 kbps de un enlace E1 de 2048 kbps. Para asignarlo simplemente tenemos que indicar el número del canal elegido entre 1 y 32. Para que tenga efecto el interfaz asociado al pseudowire debe ser de tipo E1 de 2048 kbps. Sintaxis: L2TP-group 1 config>timeslot <timeslot-number> Timeslot-number Numero del canal de un interfaz E1 asignado al pseudowire. Ejemplo: L2TP-group 1 config>timeslot 12 L2TP-group 1 config> aa) TUNNEL-PASSWORD bb) EXIT Configura la palabra clave que se usará para los procesos de autenticación con el otro extremo del túnel L2TP. Su utilización es opcional. Si no se configura palabra clave mediante el uso de este comando no se utilizará ninguno para intentar establecer el túnel L2TP. Finaliza la configuración del grupo. Sintaxis: L2TP-group 1 config> Ejemplo: L2TP-group 1 config> L2TP config> 4.5. NO GROUP Borra la configuración existente de un grupo L2TP. Sintaxis: L2TP config>no group <group-number> group-number Número de grupo que se desea configurar. Actualmente se soportan como máximo 100 grupos L2TP, numerados del 1 al 100 ambos inclusive. II - 26

30 Ejemplo: L2TP config>no group 2 L2TP config> 4.6. EXIT Finaliza la configuración del protocolo L2TP. Sintaxis: L2TP config> Ejemplo: L2TP config> Config> II - 27

31 Capítulo 3 Monitorización de L2TP

32 1. Herramientas de monitorización El protocolo L2TP dispone de los siguientes mecanismos de monitorización: 1. El menú del protocolo L2TP dentro del proceso de monitorización del Router TELDAT. 2. Eventos del subsistema L2TP. 3. Eventos del subsistema UDP. A continuación se muestran los comandos que se deben ejecutar para acceder al menú de monitorización del protocolo L2TP: *PROCESS 3 +PROTOCOL L2TP L2TP+ Dentro de este menú existen varios comandos que nos muestran información sobre el funcionamiento del protocolo L2TP. A continuación se enumeran cada uno de ellos, explicando brevemente la información que muestran y mostrando algunos ejemplos prácticos de uso. *PROCESS 3 Console Operator +PROTOCOL L2TP L2TP+? CLEAR-SESSION STOP-SESSION SHUTDOWN ACTIVATE SESSION-INFO TUNNEL-INFO PATTERN-INSERTION EXIT L2TP+ III - 29

33 2. TUNNEL-INFO all Este comando ofrece un resumen del funcionamiento general del protocolo L2TP. También se ejecuta el mismo comando si únicamente escribimos tunnel-info. Los datos que muestra son: En primer lugar, el número total de túneles que actualmente están activos en el equipo. En segundo lugar, el número total de sesiones activas. A continuación para cada túnel, se listan los siguientes parámetros: o RemoteIP: dirección IP del nodo remoto contra el que se ha establecido este túnel. o LocalIP: dirección IP del nodo local contra el que se ha establecido este túnel. o Port: puerto del nodo remoto contra el que se ha establecido este túnel. o RemoteName: nombre del nodo remoto contra el que se ha establecido este túnel. o State: estado en el que se encuentra el túnel. El estado puede tomar uno de estos valores: Idle: sin actividad. wait-ctl-rep: esperando respuesta de control. wait-ctl-con: esperando conexión entrante. Established: establecido. rec-stop-ccn: recibida solicitud de cierre. sent-stop-ccn: enviada solicitud de cierre. Se puede encontrar una explicación detallada de la máquina de estados del protocolo L2TP en la RFC o LocalID: identificador local del túnel. o RemoteID: identificador remoto del túnel. o Sessions: número de sesiones establecidas a través de este túnel. o Group: número de grupo de la configuración que negoció el túnel. o Multicast: si el túnel es de tipo multicast aparecerá la dirección multicast que utiliza el túnel. o Static: si el túnel es estático aparece la palabra static. o A continuación para cada sesión del túnel, se listan los siguientes parámetros: Pseudowire: identificador del pseudowire. Interface: interfaz asociado al pseudowire. Sequencing: indica si los números de secuencia y el reordenamiento de paquetes están activados para la sesión. LNS/LAC: indica el tipo de equipo que somos para esta sesión, LAC si iniciamos la negociación. LocalID: identificador local de la sesión. RemoteID: identificador remoto de la sesión. State: estado de la sesión. Los estados posibles son: o idle: sin actividad. o wait-tunnel: esperando a que el túnel se establezca. o wait-reply: esperando respuesta del otro extremo. o wait-conn: esperando notificación de conexión. III - 30

34 o established: establecida. Se puede encontrar una explicación detallada de la máquina de estados del protocolo L2TP en la RFC LastChange: tiempo que ha transcurrido desde el último cambio de estado de la sesión. Events: indica si se muestran los eventos que corresponden a esta sesión al activar el sistema de eventos de L2TP, los valores pueden ser show o hide. Encaps: estadístico del número de paquetes enviados por el equipo a través del túnel. Decaps: estadístico del número de paquetes recibidos a través del túnel. Missed: estadístico del número de paquetes que no han llegado a través del túnel y se han dado por perdidos. Dropped: estadístico del número de paquetes desechados tanto en transmisión como en recepción. L2TP+tunnel-info all Number of L2TP Tunnels: 2 Number of L2TP Sessions: 2 RemoteIP: LocalIP: Port:1701 RemoteName:unknown State:established LocalID:2 RemoteID:2 Sessions:1 group 3, multicast: , static Pseudowire:CTC Interface:serial0/1 Sequencing:on LNS LocalID:20 RemoteID:20 State:established LastChange:1w1d22h34m26s Events:Show encaps:0 decaps:0 missed:0 dropped:0 RemoteIP: LocalIP: Port:1701 RemoteName:ESTACION-CENTRAL State:established LocalID:13882 RemoteID:11667 Sessions:1 group 2 L2TP+ Pseudowire:AUX1 Interface:serial0/0 Sequencing:on LNS LocalID:14988 RemoteID:50862 State:established LastChange:1w1d22h32m49s Events:Show encaps: decaps:3134 missed:0 dropped:0 III - 31

35 3. TUNNEL-INFO summary Este comando ofrece un resumen del funcionamiento general del protocolo L2TP. Los datos que muestra son: En primer lugar, el número total de túneles que actualmente están activos en el equipo. En segundo lugar, el número total de sesiones activas. A continuación para cada túnel, se listan los siguientes parámetros: o LocalID: identificador local del túnel. o RemoteID: identificador remoto del túnel. o Sessions: número de sesiones establecidas a través de este túnel. o RemoteName: nombre del nodo remoto contra el que se ha establecido este túnel. o RemoteAddress: dirección IP del nodo remoto contra el que se ha establecido este túnel. o Port: puerto del nodo remoto contra el que se ha establecido este túnel. o State: estado en el que se encuentra el túnel. El estado puede tomar uno de estos valores: Idle: sin actividad. wait-ctl-rep: esperando respuesta de control. wait-ctl-con: esperando conexión entrante. Established: establecido. rec-stop-ccn: recibida solicitud de cierre. sent-stop-ccn: enviada solicitud de cierre. Se puede encontrar una explicación detallada de la máquina de estados del protocolo L2TP en la RFC A continuación se muestra el resultado de la ejecución de este comando en un equipo con 2 sesiones L2TP establecidas a través de un túnel: L2TP+tunnel-info summary Number of L2TP Tunnels: 1 Number of L2TP Sessions: 2 LocalID RemoteID Sessions RemoteName RemoteAddress Port State gafotas established L2TP+ III - 32

36 4. TUNNEL-INFO state Este comando es muy similar al anterior, pero da información del tiempo que lleva el túnel en el estado actual. Los datos que muestra son: En primer lugar, el número total de túneles que actualmente están activos en el equipo. En segundo lugar, el número total de sesiones activas. A continuación para cada túnel, se listan los siguientes parámetros: o LocalID: identificador local del túnel. o RemoteID: identificador remoto del túnel. o RemoteName: nombre del nodo remoto contra el que se ha establecido este túnel. o State: estado en el que se encuentra el túnel. El estado puede tomar uno de estos valores: Idle: sin actividad. wait-ctl-rep: esperando respuesta de control. wait-ctl-con: esperando conexión entrante. Established: establecido. rec-stop-ccn: recibida solicitud de cierre. sent-stop-ccn: enviada solicitud de cierre. Se puede encontrar una explicación detallada de la máquina de estados del protocolo L2TP en la RFC o Last-Chg: tiempo que lleva el túnel en el estado actual. A continuación se muestra el resultado de la ejecución de este comando para un túnel que lleva 7 minutos y 22 segundos en estado established: L2TP+tunnel-info state Number of L2TP Tunnels: 1 Number of L2TP Sessions: 2 LocalID RemoteID RemoteName State Last-Chg gafotas established 7m22s L2TP+ III - 33