QinQ简介原理.ppt

QinQ技术简介 培训目标 了解QinQ基础知识 了解QinQ的原理和应用 了解BPDU Tunnel的原理和应用 了解灵活QinQ的原理和应用 了解我司及C友商QinQ BPDU Tunnel的配置 产生背景 解决日益紧缺的公网VLAN ID资源问题 4096个VLAN不能满足大规模网络的需求 运营商需要根据VLAN ID对接入用户进行区分 用户可以规划自己的私网VLAN ID，不会导致和公网VLAN ID冲突 为小型城域网或企业网提供一种较为简单的二层VPN解决方案 产生背景 QinQ的基本思想是在基于802.1 Q封装的报文的Tag前再加一个Tag以增加Tag数量或以前一个Tag来区分隧道(用户)的一种形象化的称呼. 目前很多厂商的网络设备都能支持这个特性，但是名称各不相同 Cisco 802.1Q Tunneling Extreme Virtual MAN/vMANs Riverstone Stackable VLAN/SVLAN H3C VLAN VPN 总的思想都是将用户私网VLAN Tag封装在公网VLAN Tag中， 报文带着两层Tag穿越服务商的骨干网络，从而为用户提供一种较为简单的二层VPN隧道。 QinQ封装 QinQ封装说明 在802.1Q中规定 Tag Protocol Identifier (TPID) Etype的值为8100, 我司和CISCO，内外层标签的Etype相同都是0x8100 Foundry和Extreme，外层标签的Etype为0x9100。(必威体育精装版版本可能有变化）。 为同外层标签为0x9100、0x9200的设备互通,85提供了外层标签可调功能,可以通过命令指定外层标签的值，相关命令如下: 85上的命令:[Quidway]vlan-vpn tpid ? HEX1-FFFF Specify the TPID value 注：这条命令是整机生效的。 QinQ应用示意图－简单二层VPN QinQ原理 QinQ优点 QinQ可以简单认为是报文携带了两层8021Q Tag。 QinQ技术的出现让运营商可以以较低成本为客户提供二层VPN。QinQ完全在运营商网络上实施，用户对QinQ不感知。 在运营商网络中的报文，内层Tag为客户私有VLAN标识，外层Tag为运营商分配给客户的VLAN。客户可以独立规划自己的VLAN ID，运营商网络的变化不影响客户网络。 QinQ不需要单独的信令协议，只需要静态配置，简洁稳定。 QinQ扩展了VLAN资源,为运营商按VLAN区分接入用户提供了可能 QinQ应用注意事项 QinQ应用中的挑战 QinQ应用中的挑战 BPDU Tunnel BPDU Tunnel－－H3C的实现 Tunnel端口收到BPDU后，把目的MAC修改为一个组播MAC（01-00-0c-cd-cd-d0），在FCS前插入用户信息等相关标识,组播MAC保证报文在VLAN内广播，同时标识这个报文是个BPDU-Tunnel报文，交换机在收到这个报文时上送CPU处理，还原其BPDU身份，并根据报文中的用户信息标识部分的内容，把报文送到相应的客户网络。 灵活QinQ 在前面所讲的QinQ中，只能以物理端口来划分用户，当多个不同用户以不同的VLAN接入到同一个端口时无法区分用户； 前面的QinQ是一种简单二层VPN的应用，在运行营商接入环境中往往需要根据用户的应用或接入地点（设备）来区分用户； 灵活QinQ的出现为以上应用提功了解决方案； 灵活QinQ可以根据用户报文的Tag或其他特征(IP/MAC等)，给用户报文打上相应的外层Tag，以达到区分不同用户的目的； 灵活QinQ配置 创建一个创建ACL规则，用于对用户报文的分类 [Quidway]acl number 4001 [Quidway-acl-link-4001]rule 0 permit ingress c-tag-vlan 300 下发ACL规则到指定端口并指定外层标签 [Quidway-GigabitEthernet2/1/1]traffic-redirect inbound link-group 4001 nested-vlan 1001 802.1Q Tunneling的配置_Cisco Access端口下使能802.1Q Tunneling Switch(config-if)# switchport mode dot1q-tunnel 使能Layer 2 Protocol Tunn