配置基本QinQ示例
QinQ简介
定义
QinQ(802.1Q-in-802.1Q)技术是一项扩展VLAN空间的技术,通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的功能,可以使私网VLAN透传公网。由于在骨干网中传递的报文有两层802.1Q Tag(一层公网Tag,一层私网Tag),即802.1Q-in-802.1Q,所以称之为QinQ协议。
目的
随着以太网技术在运营商网络中的大量部署(即城域以太网),利用802.1Q VLAN对用户进行隔离和标识受到很大限制。因为IEEE802.1Q中定义的VLAN Tag域只有12个比特,仅能表示4096个VLAN,无法满足城域以太网中标识大量用户的需求,于是QinQ技术应运而生。
QinQ最初主要是为拓展VLAN的数量空间而产生的。它是通过在原有的802.1Q报文的基础上增加一层802.1Q标签来实现的,使得VLAN数量增加到4094×4094。
随着城域以太网的发展以及运营商精细化运作的要求,QinQ的双层标签又有了进一步的使用场景。它的内外层标签可以代表不同的信息,如内层标签代表用户,外层标签代表业务。另外,QinQ报文带着两层Tag穿越运营商网络,内层Tag透明传送,也是一种简单、实用的VPN技术。因此它又可以作为核心MPLS VPN在城域以太网VPN的延伸,最终形成端到端的VPN技术。
由于QinQ方便易用的特点,现在已经在各运营商中得到了广泛的应用,如QinQ技术在城域以太网解决方案中和多种业务相结合。特别是灵活QinQ(Selective QinQ/VLAN Stacking)的出现,使得QinQ业务更加受到了运营商的推崇和青睐,它具有不同用户之间的VLAN与公网VLAN有效分离、最大限度节省运营商网络的VLAN资源等特点。随着城域以太网的大力发展,各个设备提供商都提出了各自的城域以太网的解决方案。QinQ因为其自身简单灵活的特点,在各解决方案中扮演着重要的角色。
受益
QinQ通过增加一层802.1Q的标签头实现了扩展VLAN空间的功能,具有以下价值:
- 扩展VLAN,对用户进行隔离和标识不再受到限制。
- QinQ内外层标签可以代表不同的信息,如内层标签代表用户,外层标签代表业务,更利于业务的部署。
- QinQ封装、终结的方式很丰富,帮助运营商实现业务精细化运营。
基本QinQ原理描述
基本QinQ又称为QinQ二层隧道,是基于接口方式实现的。开启接口的基本QinQ功能后,当该接口接收到报文,设备会为该报文打上本接口缺省VLAN的VLAN Tag。如果接收到的是已经带有VLAN Tag的报文,该报文就成为双Tag的报文;如果接收到的是不带VLAN Tag的报文,该报文就成为带有接口缺省VLAN Tag的报文。
当需要较多的VLAN时,可以配置基本QinQ功能。通过对VLAN增加外层Tag,使得VLAN的可用数目范围变大,解决VLAN数目资源紧缺的问题。
在如图1所示的网络中,企业部门1有两个办公地,部门2有三个办公地,两个部门的各办公地分别和网络中的PE1、PE2相连,部门1和部门2可以任意规划自己的VLAN。
部门1和部门2外层VLAN规划如表1所示:
在PE1和PE2上通过如下思路配置QinQ二层隧道功能,使得每个部门的各个办公地网络可以互通,但两个部门之间不能互通。
-
在PE1上,对于进入接口Port1和Port2的用户报文都封装外层VLAN 10,对于进入接口Port3中用户报文都封装外层VLAN 20。
-
在PE2上,对于进入接口Port1和Port2的用户报文都封装外层VLAN 20。
-
PE1上的接口Port4和PE2上的接口Port3允许VLAN 20的报文通过。
实验需求
如图中所示,网络中有两个企业,企业1有两个分支,企业2有两个分支。这两个企业的各办公地的企业网都分别和运营商网络中的S1和S2相连,且公网中存在其它厂商设备,其外层VLAN Tag的TPID值为0x9100。
现需要实现:
- 企业1和企业2独立划分VLAN,两者互不影响。
- 各企业两分支之间流量通过公网透明传输,相同业务之间互通,不同业务之间互相隔离。
可通过配置QinQ来实现以上需求。利用公网提供的VLAN100使企业1互通,利用公网提供的VLAN200使企业2互通,不同企业之间互相隔离。并通过在连接其它厂商设备的接口上配置修改QinQ外层VLAN Tag的TPID值,来实现与其它厂商设备的互通。
配置思路
采用如下的思路配置:QinQ
-
在S1和S2上均创建VLAN100和VLAN200,配置连接业务的接口为QinQ类型,并分别加入VLAN。实现不同业务添加不同的外层VLAN Tag。
-
配置S1和S2上连接公网的接口加入相应VLAN,实现允许VLAN100和200的报文通过。
-
在S1和S2连接公网的接口上配置外层VLAN tag的TPID值,实现与其它厂商设备的互通。
实验步骤
- 创建VLAN
# 在S1上创建VLAN100和VLAN200
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname S1
[S1]undo info-center enable
Info: Information center is disabled.
[S1]vlan batch 100 200
Info: This operation may take a few seconds. Please wait for a moment...done.
? ? 2.配置接口类型为QinQ
? ? # 在S1上配置接口GE0/0/1、GE0/0/2的类型为QinQ,GE0/0/1的外层tag为VLAN100,GE0/0/2的外层tag为VLAN200。S2的配置与S1类似,不再赘述。
[S1]interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1]port link-type dot1q-tunnel
[S1-GigabitEthernet0/0/1]port default vlan 100
[S1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[S1-GigabitEthernet0/0/2]port link-type dot1q-tunnel
[S1-GigabitEthernet0/0/2]port default vlan 200
[S1-GigabitEthernet0/0/2]quit
? ?3.配置Switch连接公网侧的接口
? ? # 在S1上配置接口GE0/0/3加入VLAN100和VLAN200。S2的配置与S1类似,不再赘述。
[S1]interface GigabitEthernet 0/0/3
[S1-GigabitEthernet0/0/3]port link-type trunk
[S1-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 200
? ?4.配置外层VLAN tag的TPID值
? ?# 在S1上配置外层VLAN tag的TPID值为0x9100。
[S1-GigabitEthernet0/0/3]qinq protocol 9100
[S1-GigabitEthernet0/0/3]quit
? ?5. 验证配置结果
? ? ? ?从企业1一处分支内任意VLAN的一台PC ping企业1另外一处分支同一VLAN内的PC,如果可以ping通则表示企业1内部可以互相通信。
? ? ? 从企业2一处分支内任意VLAN的一台PC ping企业2另外一处分支同一VLAN内的PC,如果可以ping通则表示企业2内部可以互相通信。
? ? ? 从企业1一处分支内任意VLAN的一台PC ping企业2任意一处分支同一VLAN内的PC,如果不能ping通则表示企业1和企业2之间相互隔离。
(1)PC1 ping PC3,两台PC均为内部VLAN10中。
(2)在S1的g0/0/3上抓包结果
PC1 ping PC2 无法ping通
S1配置
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname S1
[S1]vlan batch 100 200
Info: This operation may take a few seconds. Please wait for a moment...done.
[S1]undo info-center enable
Info: Information center is disabled.
[S1]interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1]port link-type dot1q-tunnel
[S1-GigabitEthernet0/0/1]port default vlan 100
[S1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[S1-GigabitEthernet0/0/2]port link-type dot1q-tunnel
[S1-GigabitEthernet0/0/2]port default vlan 200
[S1-GigabitEthernet0/0/2]quit
[S1]interface GigabitEthernet 0/0/3
[S1-GigabitEthernet0/0/3]port link-type trunk
[S1-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 200
[S1-GigabitEthernet0/0/3]quit
[S1]interface GigabitEthernet 0/0/3
[S1-GigabitEthernet0/0/3]qinq protocol 9100
[S1-GigabitEthernet0/0/3]quit
S2配置
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname S2
[S2]undo info-center enable
Info: Information center is disabled.
[S2]vlan batch 100 200
Info: This operation may take a few seconds. Please wait for a moment...done.
[S2]interface GigabitEthernet 0/0/1
[S2-GigabitEthernet0/0/1]port link-type dot1q-tunnel
[S2-GigabitEthernet0/0/1]port default vlan 100
[S2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[S2-GigabitEthernet0/0/2]port link-type dot1q-tunnel
[S2-GigabitEthernet0/0/2]port default vlan 200
[S2-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[S2-GigabitEthernet0/0/3]port link-type trunk
[S2-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 200
[S2-GigabitEthernet0/0/3]quit
[S2]interface GigabitEthernet 0/0/3
[S2-GigabitEthernet0/0/3]qinq protocol 9100
[S2-GigabitEthernet0/0/3]quit
S3配置
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname S3
[S3]undo info-center enable
Info: Information center is disabled.
[S3]vlan batch 10 to 20
Info: This operation may take a few seconds. Please wait for a moment...done.
[S3]interface GigabitEthernet 0/0/2
[S3-GigabitEthernet0/0/2]port link-type access
[S3-GigabitEthernet0/0/2]port default vlan 10
[S3-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/1
[S3-GigabitEthernet0/0/1]port link-type trunk
[S3-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[S3-GigabitEthernet0/0/1]quit
S4配置
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname S4
[S4]undo info-center enable
Info: Information center is disabled.
[S4]vlan batch 21 to 30
Info: This operation may take a few seconds. Please wait for a moment...done.
[S4]interface GigabitEthernet 0/0/2
[S4-GigabitEthernet0/0/2]port link-type access
[S4-GigabitEthernet0/0/2]port default vlan 21
[S4-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/1
[S4-GigabitEthernet0/0/1]port link-type trunk
[S4-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[S4-GigabitEthernet0/0/1]quit
S5配置
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname S5
[S5]undo info-center enable
Info: Information center is disabled.
[S5]vlan batch 10 to 20
Info: This operation may take a few seconds. Please wait for a moment...done.
[S5]interface GigabitEthernet 0/0/2
[S5-GigabitEthernet0/0/2]port link-type access
[S5-GigabitEthernet0/0/2]port default vlan 10
[S5-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/1
[S5-GigabitEthernet0/0/1]port link-type trunk
[S5-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[S5-GigabitEthernet0/0/1]quit
S6配置
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname S6
[S6]undo info-center enable
Info: Information center is disabled.
[S6]vlan batch 21 to 30
Info: This operation may take a few seconds. Please wait for a moment...done.
[S6]interface GigabitEthernet 0/0/2
[S6-GigabitEthernet0/0/2]port link-type access
[S6-GigabitEthernet0/0/2]port default vlan 21
[S6-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/1
[S6-GigabitEthernet0/0/1]port link-type trunk
[S6-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[S6-GigabitEthernet0/0/1]quit
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!