QinQ简介原理

QinQ技术简介李朝辉038732005/11/17培训目标•了解QinQ基础知识•了解QinQ的原理和应用•了解BPDUTunnel的原理和应用•了解灵活QinQ的原理和应用•了解我司及C友商QinQ&BPDUTunnel的配置•解决日益紧缺的公网VLANID资源问题–4096个VLAN不能满足大规模网络的需求–运营商需要根据VLANID对接入用户进行区分•用户可以规划自己的私网VLANID，不会导致和公网VLANID冲突•为小型城域网或企业网提供一种较为简单的二层VPN解决方案产生背景•QinQ的基本思想是在基于802.1Q封装的报文的Tag前再加一个Tag以增加Tag数量或以前一个Tag来区分隧道(用户)的一种形象化的称呼.•目前很多厂商的网络设备都能支持这个特性，但是名称各不相同–Cisco802.1QTunneling–ExtremeVirtualMAN/vMANs–RiverstoneStackableVLAN/SVLAN–H3CVLANVPN•总的思想都是将用户私网VLANTag封装在公网VLANTag中，报文带着两层Tag穿越服务商的骨干网络，从而为用户提供一种较为简单的二层VPN隧道。产生背景QinQ封装8021Q封装QinQ封装DASATagLen/EtypeDataFCSEtypeDASATagLen/EtypeDataFCSEtypeTagEtype同802.1Q的帧相比QinQ在这里插入了一层标签,通常我们称之为外层标签内层标签，是由用户打上去的QinQ封装说明•在802.1Q中规定TagProtocolIdentifier(TPID)Etype的值为8100,•我司和CISCO，内外层标签的Etype相同都是0x8100•Foundry和Extreme，外层标签的Etype为0x9100。(最新版本可能有变化）。•为同外层标签为0x9100、0x9200的设备互通,85提供了外层标签可调功能,可以通过命令指定外层标签的值，相关命令如下:–85上的命令:[Quidway]vlan-vpntpid?HEX1-FFFFSpecifytheTPIDvalue注：这条命令是整机生效的。QinQ应用示意图－简单二层VPN客户A，LAN1-100客户A，LAN1-100客户B，LAN1-200客户B，LAN1-200Trunk端口运营商网络VLAN30VLAN30VLAN20VLAN20VLAN20：Tunnel端口，打上或剥掉外层标签VLAN20：Trunk端口，客户侧单tag，运营商侧双tag20headerdatauservlanheaderdatauservlanheaderdatauservlan外层标签QinQ原理•先介绍Tunnel端口：配置了支持QinQ的端口，Tunnel端口被配置为属于运营商分配给客户的VLAN，Tunnel端口只在运营商设备上配置。上图中客户A被分配了VLAN20，所有和客户A相连的Tunnel端口，在运营商网络中属于VLAN20•A客户数据（已经有一层客户VLAN标签）到达Tunnel端口，会再添加外层标签，VLANID为20，在运营商网络中，带着Tag在VLAN20中按正常二层转发流程转发。•A客户数据离开Tunnel端口，外层标签会被剥离掉，剩下内层客户VLAN标签，到达客户侧交换机按正常的Tag报文在客户网络中转发。•MAC学习：客户数据到达Tunnel端口，其MAC学习在运营商分配给客户的VLAN中（A客户的数据MAC学习在VLAN20）；数据到达客户侧，MAC学习在内层客户VLAN标签标注的VLAN中•QinQ功能对客户侧交换机不可见，运营商网络对客户透明。QinQ优点•QinQ可以简单认为是报文携带了两层8021QTag。•QinQ技术的出现让运营商可以以较低成本为客户提供二层VPN。QinQ完全在运营商网络上实施，用户对QinQ不感知。•在运营商网络中的报文，内层Tag为客户私有VLAN标识，外层Tag为运营商分配给客户的VLAN。客户可以独立规划自己的VLANID，运营商网络的变化不影响客户网络。•QinQ不需要单独的信令协议，只需要静态配置，简洁稳定。•QinQ扩展了VLAN资源,为运营商按VLAN区分接入用户提供了可能QinQ应用注意事项•必须保证报文在运营商分配给客户的VLAN中以Tag转发，即确保客户隧道在运营上网络中一致、贯通。•客户侧PVID所在VLAN的处理–如果PVID所在VLAN报文不带Tag，必须保证客户所有和运营商网络相连的端口的PVID一致。–让PVID所在VLAN也带Tag，CISCO有相关命令，我司没有，只能用Hybrid端口实现。QinQ应用中的挑战•客户侧带8021Qtag的报文携带了8021p优先级，TunnelPort打上外层标签后，外层标签以后的报文内容是不可识别的，这会导致客户优先级丢失。–解决办法之一是在打外层标签时把内层标签的8021P优先级拷贝到外层标签–还有一个问题，运营商期望能根据客户缴纳的费用的不同，分配给客户不同的优先级，而客户内部又可能有不同优先级，这个矛盾如何解决？QinQ应用中的挑战•QinQ网络中，运营商网络对客户透明，当客户和运营商网络之间的连接有冗余时必然导致环路问题。（QinQ应用示意图中的A客户。）•这一挑战要求运营商网络能透明传输STP/RSTP/MSTP报文，这样客户可以跨运营商网络构建自己的STP树，切断冗余链路BUPU-Tunnel(Cisco:Layer2ProtocolTunneling)。•为了保证客户全网VLAN配置的一致性，动态VLAN协议如GVRP、VTP等也要求通过运营商网络透传。如果客户使用GMRP作组播应用的话，GMRP报文也要求透传。•运营商提出了新的要求,不按用户接入端口来划分VLAN，而是按其用户的VID或其他特征来对用户进行分组灵活QinQ的出现•QinQ报文中，三层以上的字段无法识别，导致了不少局限性，如对QinQ报文只能根据MAC进行过滤。BPDUTunnel•二层协议报文，也称BPDU报文在运营商网络的透传，我们称为Layer2Protocoltunnel或者BPDUtunnel。•BPDU报文在运营商网络中的透传，必须达到以下要求：–同一个客户网络的所有分支必须都能收到自己的BPDU报文。–不同客户网络中的BPDU必须隔离，不能互相影响。•两个问题可以一并解决：–在Tunnel端口收到BPDU时，对给BPDU打上运营商分配给客户的VLANTag，这样在运营商网络中BPDU报文按正常的数据报文进行转发；–为了避免客户BPDU报文被运营商网络设备处理，需要给封装的BPDU赋一个特殊的组播MAC作为目的MAC，这一方面可以保证报文能在运营商分配给客户的VLAN中被发送到各个分支，同时也是一种身份的象征，在出Tunnel端口时，去掉VLANtag并把目的MAC改回BPDU的MAC。BPDUTunnel－－H3C的实现•Tunnel端口收到BPDU后，把目的MAC修改为一个组播MAC（01-00-0c-cd-cd-d0），在FCS前插入用户信息等相关标识,组播MAC保证报文在VLAN内广播，同时标识这个报文是个BPDU-Tunnel报文，交换机在收到这个报文时上送CPU处理，还原其BPDU身份，并根据报文中的用户信息标识部分的内容，把报文送到相应的客户网络。BPDU-TunnelPacketDSAP(1)0x42SSAP(1)0x42Control(1)0x03Length(2)ProtocolDataDA01-80-C2-00-00-00SA00-0F-E2-07-F2-E0FCSDSAP(1)0x42SSAP(1)0x42Control(1)0x03Length(2)ProtocolDataDA01-00-0C-CD-CD-D0SA00-0F-E2-07-F2-E0FCSUser_InfoBPDUPacket修改了BPDU的目的地址为多播MAC增加了该字段用来区分是那一个用户网络灵活QinQ•在前面所讲的QinQ中，只能以物理端口来划分用户，当多个不同用户以不同的VLAN接入到同一个端口时无法区分用户；•前面的QinQ是一种简单二层VPN的应用，在运行营商接入环境中往往需要根据用户的应用或接入地点（设备）来区分用户；•灵活QinQ的出现为以上应用提功了解决方案；•灵活QinQ可以根据用户报文的Tag或其他特征(IP/MAC等)，给用户报文打上相应的外层Tag，以达到区分不同用户的目的；internet8505BAS园区接入交换机PC上网IPTV组播业务路由器DHCPSERVERVlan101－301Vlan1001－1003Vlan302Vlan303301DSLAMRTUPC上网IPTVVlan101－301按应用的不同把用户划分到不同的VLAN（外层tag）中去,实现不同应用的隔离。每个用户一个VLAN（内层tag），实现用户的隔离。QinQ的配置_Quidway•Access端口下使能QinQ–[Quidway-GigabitEthernet2/2/2]vlan-vpnenable•使能BPDU-Tunnel–[Quidway]vlan-vpntunnel•修改TPID–[Quidway]vlan-vpntpid9100•使能UpLinkPort–[Quidway-GigabitEthernet2/2/1]vlan-vpnuplinkenableQinQ的配置_Quidway•灵活QinQ配置•创建一个创建ACL规则，用于对用户报文的分类–[Quidway]aclnumber4001–[Quidway-acl-link-4001]rule0permitingressc-tag-vlan300•下发ACL规则到指定端口并指定外层标签–[Quidway-GigabitEthernet2/1/1]traffic-redirectinboundlink-group4001nested-vlan1001802.1QTunneling的配置_Cisco•Access端口下使能802.1QTunneling–Switch(config-if)#switchportmodedot1q-tunnel•使能Layer2ProtocolTunneling–Switch(config-if)#l2protocol-tunnelstp参考资料•《Huawei-3COM系列培训课程_VLAN》作者：陈旭盛•《Catalyst3550ConfigurationGuide》作者：Cisco•《QinQ业务的新应用－灵活QinQ》作者：庞宁谢谢!