qinq简介原理

QinQ技术简介,李朝辉 03873 2005/11/17,培训目标,了解QinQ基础知识了解QinQ的原理和应用了解BPDU Tunnel的原理和应用了解灵活QinQ的原理和应用了解我司及C友商QinQ & BPDU Tunnel的配置,解决日益紧缺的公网VLAN ID资源问题 4096个VLAN不能满足大规模网络的需求 运营商需要根据VLAN ID对接入用户进行区分 用户可以规划自己的私网VLAN ID，不会导致和公网VLAN ID冲突 为小型城域网或企业网提供一种较为简单的二层VPN解决方案,产生背景,QinQ的基本思想是在基于802.1 Q封装的报文的Tag前再加一个Tag以增加Tag数量或以前一个Tag来区分隧道(用户)的一种形象化的称呼. 目前很多厂商的网络设备都能支持这个特性，但是名称各不相同 Cisco 802.1Q Tunneling Extreme Virtual MAN/vMANs Riverstone Stackable VLAN/SVLAN H3C VLAN VPN 总的思想都是将用户私网VLAN Tag封装在公网VLAN Tag中， 报文带着两层Tag穿越服务商的骨干网络，从而为用户提供一种较为简单的二层VPN隧道。,产生背景,QinQ封装,8021Q封装,QinQ封装,同802.1Q的帧相比QinQ在这里插入了一层标签,通常我们称之为外层标签,内层标签，是由用户打上去的,QinQ封装说明,在802.1Q中规定 Tag Protocol Identifier (TPID) Etype的值为8100,我司和CISCO，内外层标签的Etype相同都是0x8100Foundry和Extreme，外层标签的Etype为0x9100。(最新版本可能有变化）。为同外层标签为0x9100、0x9200的设备互通,85提供了外层标签可调功能,可以通过命令指定外层标签的值，相关命令如下: 85上的命令:Quidwayvlan-vpn tpid ?HEX Specify the TPID value 注：这条命令是整机生效的。,QinQ应用示意图简单二层VPN,客户A，LAN1-100,客户A，LAN1-100,客户B，LAN1-200,客户B，LAN1-200,Trunk 端口,运营商网络,VLAN30,VLAN30,VLAN20,VLAN20,VLAN20,VLAN20,：Trunk端口，客户侧单tag，运营商侧双tag,外层标签,QinQ原理,先介绍Tunnel端口：配置了支持QinQ的端口，Tunnel端口被配置为属于运营商分配给客户的VLAN，Tunnel端口只在运营商设备上配置。上图中客户A被分配了VLAN20，所有和客户A相连的Tunnel端口，在运营商网络中属于VLAN20 A客户数据（已经有一层客户VLAN标签）到达Tunnel端口，会再添加外层标签，VLAN ID为20，在运营商网络中，带着Tag在VLAN20中按正常二层转发流程转发。 A客户数据离开Tunnel端口，外层标签会被剥离掉，剩下内层客户VLAN标签，到达客户侧交换机按正常的Tag报文在客户网络中转发。 MAC学习：客户数据到达Tunnel端口，其MAC学习在运营商分配给客户的VLAN中（A客户的数据MAC学习在VLAN20）；数据到达客户侧，MAC学习在内层客户VLAN标签标注的VLAN中 QinQ功能对客户侧交换机不可见，运营商网络对客户透明。,QinQ优点,QinQ可以简单认为是报文携带了两层8021Q Tag。 QinQ技术的出现让运营商可以以较低成本为客户提供二层VPN。QinQ完全在运营商网络上实施，用户对QinQ不感知。 在运营商网络中的报文，内层Tag为客户私有VLAN标识，外层Tag为运营商分配给客户的VLAN。客户可以独立规划自己的VLAN ID，运营商网络的变化不影响客户网络。 QinQ不需要单独的信令协议，只需要静态配置，简洁稳定。 QinQ扩展了VLAN资源,为运营商按VLAN区分接入用户提供了可能,QinQ应用注意事项,必须保证报文在运营商分配给客户的VLAN中以Tag转发，即确保客户隧道在运营上网络中一致、贯通。 客户侧PVID所在VLAN的处理 如果PVID所在VLAN报文不带Tag，必须保证客户所有和运营商网络相连的端口的PVID一致。 让PVID所在VLAN也带Tag，CISCO有相关命令，我司没有，只能用Hybrid端口实现。,QinQ应用中的挑战,客户侧带8021Q tag的报文携带了8021p优先级，Tunnel Port打上外层标签后，外层标签以后的报文内容是不可识别的，这会导致客户优先级丢失 。 解决办法之一是在打外层标签时把内层标签的8021P优先级拷贝到外层标签 还有一个问题，运营商期望能根据客户缴纳的费用的不同，分配给客户不同的优先级，而客户内部又可能有不同优先级，这个矛盾如何解决？,QinQ应用中的挑战,QinQ网络中，运营商网络对客户透明，当客户和运营商网络之间的连接有冗余时必然导致环路问题。（QinQ应用示意图中的A客户。） 这一挑战要求运营商网络能透明传输STP/RSTP/MSTP报文，这样客户可以跨运营商网络构建自己的STP树，切断冗余链路BUPU-Tunnel(Cisco:Layer 2 Protocol Tunneling)。 为了保证客户全网VLAN配置的一致性，动态VLAN协议如GVRP、VTP等也要求通过运营商网络透传。如果客户使用GMRP作组播应用的话，GMRP报文也要求透传。 运营商提出了新的要求,不按用户接入端口来划分VLAN，而是按其用户的VID或其他特征来对用户进行分组灵活QinQ的出现 QinQ报文中，三层以上的字段无法识别，导致了不少局限性，如对QinQ报文只能根据MAC进行过滤。,BPDU Tunnel,二层协议报文，也称BPDU报文在运营商网络的透传，我们称为Layer2 Protocol tunnel或者BPDU tunnel。 BPDU报文在运营商网络中的透传，必须达到以下要求： 同一个客户网络的所有分支必须都能收到自己的BPDU报文。 不同客户网络中的BPDU必须隔离，不能互相影响。 两个问题可以一并解决： 在Tunnel端口收到BPDU时，对给BPDU打上运营商分配给客户的VLAN Tag，这样在运营商网络中BPDU报文按正常的数据报文进行转发； 为了避免客户BPDU报文被运营商网络设备处理，需要给封装的BPDU赋一个特殊的组播MAC作为目的MAC，这一方面可以保证报文能在运营商分配给客户的VLAN中被发送到各个分支，同时也是一种身份的象征，在出Tunnel端口时，去掉VLAN tag并把目的MAC改回BPDU的MAC。,BPDU TunnelH3C的实现,Tunnel端口收到BPDU后，把目的MAC修改为一个组播MAC（01-00-0c-cd-cd-d0），在FCS前插入用户信息等相关标识,组播MAC保证报文在VLAN内广播，同时标识这个报文是个BPDU-Tunnel报文，交换机在收到这个报文时上送CPU处理，还原其BPDU身份，并根据报文中的用户信息标识部分的内容，把报文送到相应的客户网络。,BPDU-Tunnel Packet,BPDU Packet,修改了BPDU的目的地址为多播MAC,增加了该字段用来区分是那一个用户网络,灵活QinQ,在前面所讲的QinQ中，只能以物理端口来划分用户，当多个不同用户以不同的VLAN接入到同一个端口时无法区分用户；前面的QinQ是一种简单二层VPN的应用，在运行营商接入环境中往往需要根据用户的应用或接入地点（设备）来区分用户；灵活QinQ的出现为以上应用提功了解决方案；灵活QinQ可以根据用户报文的Tag或其他特征(IP/MAC等)，给用户报文打上相应的外层Tag，以达到区分不同用户的目的；,按应用的不同把用户划分到不同的VLAN（外层tag）中去,实现不同应用的隔离。,每个用户一个VLAN（内层tag），实现用户的隔离。,QinQ的配置_Quidway,Access端口下使能QinQ Quidway-GigabitEthernet2/2/2vlan-vpn enable 使能BPDU-Tunnel Quidwayvlan-vpn tunnel 修改TPID Quidwayvlan-vpn tpid 9100 使能UpLink Port Quidway-GigabitEthernet2/2/1vlan-vpn uplink enable,QinQ的配置_Quidway,灵活QinQ配置 创建一个创建ACL规则，用于对用户报文的分类 Quidwayacl number 4001 Quidway-acl-link-4001rule 0 permit ingress c-tag-vlan 300 下发ACL规则到指定端口并指定外层标签 Quidway-GigabitEthernet2/1/1traffic-redirect inbound link-group 4001 nested-vlan 1001,802.1Q Tunneling的配置_Cisco,Access端口下使能802.1Q Tunneling Switch(config-if)# switchport mode dot1q-tunnel 使能Layer 2 Protocol Tunneling Switch(config-if)# l2protocol-tunnel stp,参考资料,Huawei-3COM系列培训课程_VLAN 作者：陈旭盛 Catalyst 3550 Configuration Guide作者：Cisco QinQ业务的新应用灵活QinQ 作者：庞宁,