灵活QINQ应用背景
随着各种IP技术和传输技术的不断发展,互联网用户数继续保持增长,传统宽带业务经营模式的问题逐步开始暴露。最突出的表现就是运营商的投资成本和运营成本的增长速率远高于用户的增长速率,并且运营商非常关注的用户月均话费持续下降,运营商迫切希望通过提供差异化、丰富的业务来产生更多的价值。
随着各种应用技术的不断发展,企业用户越来越依赖网络提供的服务,希望网络能够提供安全、可靠的专线、VOIP以及会议电视等业务,从而降低企业的运营成本;同时个人用户也已经不再满足于简单的通过网络获得Internet冲浪或者FTP下载等简单业务,而是期望能够从网络中通过多媒体获取更好的体验,包括高质量的IPTV、视频聊天、实时游戏等服务。
随着NGN/3G的大规模部署,NGN/3G承载网的建设将会得到运营商的重点关注,如果能够通过宽带接入网来承载NGN/3G业务,这不仅能够加快NGN/3G的部署,并且能够大大降低整网解决方案的成本。
所有这些都要求能够在宽带接入网上承载丰富的业务,为了能够在单一的接入网上承载这些具有不同QOS需求的业务,要求宽带接入网具有有效的业务识别和隔离能力,而VLAN 技术是目前最有效的业务识别和隔离技术,是实现多业务开展的基础。但是随着宽度用户数量的大规模增加和业务种类的增加,传统的VLAN技术已经不能满足业务开展的需要,QinQ 技术应运而生,该技术对VLAN数量进行了有效的扩展,可以支持到4K*4K规模,甚至更多。
普通QINQ技术
QinQ技术〔也称Stacked VLAN或Double VLAN〕。标准出自IEEE802.1ad,其实现将用户私网VLAN Tag封装在公网VLAN Tag中,使报文带着两层VLAN Tag穿越运营商的骨干网络(公网)。在公网中报文只根据外层VLAN Tag(即公网VLAN Tag)传播,用户的私网VLAN Tag被屏蔽。
带单层VLAN Tag的报文结构如图1所示:
DA SA ETYPE(8100)ETYPE DATA
(0~1500B)FCS
(6B)(6B)(2B)
用户VLAN TAG
(2B)(2B)(4B)图1带用户VLAN Tag的报文
图2封装了外层VLAN Tag的报文
QinQ技术上完全可以多层堆叠,没有限制,仅受Ethernet报文长度的限制,具有很好的扩充性。对于QinQ,业界有多种不同的称呼,比如Tag in Tag、VLAN VPN、StackVLAN、SVLAN。
QinQ每增加一层VLAN标签,就可以将所覆盖的用户VLAN数量增加4096倍,两层VLAN标签可以支持4K×4K VLAN,三层VLAN标签可以支持4K×4K×4K VLAN,一般来说两层VLAN就可以满足绝大多数需求了。
相对基于MPLS的二层VPN,QinQ具有如下特点:
?为用户提供了一种更为简单的二层VPN隧道;
?不需要信令协议的支持,可以通过纯静态配置实现;
?由于QinQ的实现是基于802.1Q协议中的Trunk端口概念,要求隧道上的设备都必须支持802.1Q协议。
QinQ主要可以解决如下几个问题:
?缓解日益紧缺的公网VLAN ID资源问题;
?用户可以规划自己的私网VLAN ID,不会导致和公网VLAN ID冲突;
?为小型城域网或企业网提供一种较为简单的二层VPN解决方案;
如上图所示,设备端口使能普通QINQ后,无论报文是否带有VLAN Tag,交换机都会为该报文打上本端口缺省VLAN(pvid=1001)的VLAN Tag。这样,如果接收到的是已经带有VLAN Tag的报文,该报文就成为双Tag的报文;如果接收到的是untagged的报文,该报文就成为带有端口缺省VLAN Tag的报文。由于基于端口的QinQ比较容易实现,所以业界主流厂家的三层交换机都支持。
普通QinQ的缺点是外层Vlan Tag封装方式死板,不能根据业务种类选择外层Vlan Tag 封装的方式,从而很难有效支持多业务的灵活运营。
灵活QINQ技术
普通QINQ的外层VLAN设置是基于端口的,对于每一个用户接入端口(UNI)只能设置一个固定的外层VLAN TAG;灵活QINQ和普通QINQ相比最大的特点是外层VLAN TAG 的设置是可选择的,可以实现内外层VLAN的映射,从而实现业务分流的目的。
中兴qinq配置
1.1中兴网络设备简介
中兴在网设备型号:R10:T160G,T64G,3952,3928,3228;3252;
DSLAM:8220,9210,9203,9806;
R10系列交换机支持SVLAN情况:以上设备均支持。
DSLAM支持4条PVC情况:除8220不支持外,其余设备均支持。
软件版本:R10设备版本均支持可以不升级;DSLAM设备除8220须到现场升级外,其余设备均可通过远程升级方式解决;
1.2网络拓扑
需要说明:1、对于3952fei_1/11上来的vlan1001-vlan1480的数据报文(此范围内vlan假设为新的qinq后pppoe拨号vlan),在3952上打上外层vlan1001通过gei_2/1上传到BARS。
2、对于3952fei_1/11上来的vlan588的数据报文(此范围内vlan假设为原有的pppoe拨号vlan),在3952上透传此vlan,通过gei_2/1上传到BARS。
3、对于3952fei_1/11上来的vlan3888的数据报文(此范围内vlan假设为原有的专线vlan),在3952上透传此vlan,通过gei_2/2上传到SR。
4、对于3952fei_1/11上来的vlan50的数据报文(此范围内vlan假设为dslam的管理vlan),在3952上透传此vlan,通过gei_2/2上传到SR。
1.3配置
对于qinq-svlan业务,交换机需要配置的步骤有:
1.备份交换机上联口和dslam连接口的数据。
2.修改交换机上联口链路类型,由trunk改为hybrid;将需要透传的端口原有的trunk vlan,改为hybrid vlan形式,并打上tag;在上联BARS的上接口上加入用户的外层vlan,
并打上tag,在上联BARS的上接口上加入help-vlan,并打上untag;在上联SR的上接口上加入help-vlan,并打上untag(注:必须与BARS接口的help-vlan不同);修改交换机上联口的qinq模式,由normal改为uplink。
3.修改dslam连接口的链路类型,由trunk改为hybrid;将需要透传的端口原有的trunk vlan,改为hybrid vlan形式,并打上tag;在dslam连接口上加入用户的外层vlan,并打上untag,在dslam连接口上加入help-vlan,并打上untag;修改dslam连接口的native vlan,一般置为用户的外层vlan;修改dslam连接口的qinq模式,由normal改为customer。
4.交换机上联口和dslam连接口之间相应的session配置。
5.将bars的接口mac地址与用户的外层vlan绑定。
6.检查配置后交换机上联口和dslam连接口的数据,以及添加的session配置。
1.4典型配置(以Z TE3952为例)
(1)备份交换机上联口和dslam连接口的数据
假设此交换机的上联口是gei_2/1口(至bars),gei_2/2口(至sr),dslam的连接口是fei_1/1口,这两个端口的原始数据为:
dslam连接口:
interface fei_1/11//下行端口
description XX
negotiation auto
switchport mode trunk//端口链路类型为trunk
switchport trunk native vlan1//端口native vlan为默认值
switchport trunk vlan50//dslam的管理vlan
switchport trunk vlan558//用户原有的pppoe拨号vlan
switchport trunk vlan3888//ad专线vlan
switchport qinq normal//端口的qinq模式为normal
交换机的上联口:
interface gei_2/1//交换机上行至bars的端口
description UPLINK_BARS
hybrid-attribute fiber
negotiation auto
switchport mode trunk//端口链路类型为trunk
switchport trunk native vlan1//端口native vlan为默认值
switchport trunk vlan558//pppoe拨号vlan
switchport trunk vlan958//pppoe拨号vlan
switchport qinq normal//端口的qinq模式为normal
interface gei_2/2//交换机上行至sr的端口
description UPLINK_SR
hybrid-attribute fiber
negotiation auto
switchport mode trunk//端口链路类型为trunk
switchport trunk native vlan1//端口native vlan为默认值
switchport trunk vlan4//交换机管理vlan
switchport trunk vlan50-51//dslam的管理vlan
switchport trunk vlan3888//ad专线vlan
switchport trunk vlan3891//ad专线vlan
switchport qinq normal//端口的qinq模式为normal
dslam的qinq的外层vlan为1001,暂辅助vlan为4093(至sr),4094(至bars)(必须有,而且每个dslam的辅助vlan可以重复)
(2)交换机上联口配置:
ZXR10(config)#interface gei_2/1//进入交换机上行至bars的端口
ZXR10(config-if)#switchport mode hybrid//端口链路类型改为hybrid类型
ZXR10(config-if)#switchport hybrid vlan558,958tag//需要透传的端口原有的trunk
vlan,在uplink口必须为tag ZXR10(config-if)#switchport hybrid vlan1001tag//外层标签,在uplink口必须为tag ZXR10(config-if)#switchport hybrid vlan4094untag
//helper vlan,在uplink口必须为untag ZXR10(config-if)#switchport hybrid native vlan4//建议配置为某种业务vlan的ID,不
要使用缺省值ZXR10(config-if)#switchport qinq uplink//将端口的qinq模式改为uplink
ZXR10(config)#interface gei_2/2//进入交换机上行至sr的端口
ZXR10(config-if)#switchport mode hybrid//端口链路类型改为hybrid类型
ZXR10(config-if)#switchport hybrid vlan4,50-51,3888,3891tag//需要透传的端口原有
的trunk vlan,在uplink口必须为tag ZXR10(config-if)#switchport hybrid vlan4093untag
//helper vlan,在uplink口必须为untag ZXR10(config-if)#switchport qinq uplink//将端口的qinq模式改为uplink
(3)dslam直连口配置:
ZXR10(config)#interface fei_1/11//进入下行端口
ZXR10(config-if)#switchport mode hybrid//端口链路类型改为hybrid类型
ZXR10(config-if)#switchport hybrid vlan50,558,3888tag//需要透传的端口原有的
trunk vlan,在uplink口必须为tag ZXR10(config-if)#switchport hybrid vlan1001untag//加入dslam拨号用户的外层的
外层vlan,在customer口必须为untag ZXR10(config-if)#switchport hybrid vlan4093-4094untag//helper vlan,在uplink口必须
为untag ZXR10(config-if)#switchport hybrid native vlan1001//建议将端口native vlan修改为某
种业务的外层标签,此处配置为拨号用户的外层vlan ZXR10(config-if)#switchport qinq customer//qinq customer端口
(4)相关session配置:
ZXR10(config)#vlan qinq session-no1customer-port fei_1/11uplink-port gei_2/1in-vlan1001-1800ovlan1001//customer口fei_1/11收到的vlan为1001-1800的数据报文,uplink口为gei_2/1,打上外层标签1001发给BRAS设备
ZXR10(config)#vlan qinq session-no2customer-port fei_1/11uplink-port gei_2/1in-vlan558 untag helper-vlan4094
ZXR10(config)#vlan qinq session-no3customer-port fei_1/11uplink-port gei_2/2in-vlan 50,3888untag helper-vlan4093
注:1.session-no从1开始,依次往下排,不能重复
2.对于session-no2与session-no3可以不必配置!可以把端口fei_1/11、端口gei_2/1与端口gei_2/2的native vlan设为相同值即可(即把要与端口fei_1/11进行通信的所有端口模式改为hybrid,然后添加相同的native vlan),这样就可以实现session-no2与session-no3想实现的功能。
(5)MAC绑定:
ZXR10(config)#mac add static****.****.****ethernet gei_2/1vlan1001//为了避免qinq后用户猫学习bars的错误而引起拨号676、678等问题的出现,其中****.****.****为bars的接口mac地址。
做完后端口信息:
交换机上联口:
interface gei_2/1
hybrid-attribute fiber
negotiation auto
switchport mode hybrid
switchport hybrid native vlan1001
switchport hybrid vlan558tag
switchport hybrid vlan958tag
switchport hybrid vlan1001tag
switchport hybrid vlan4094untag
switchport qinq uplink
interface gei_2/2
hybrid-attribute fiber
negotiation auto
switchport mode hybrid
switchport hybrid native vlan4
switchport hybrid vlan4tag
switchport hybrid vlan51-51tag
switchport hybrid vlan3888tag
switchport hybrid vlan3891tag
switchport hybrid vlan4093untag
switchport qinq uplink
dslam端口:
interface fei_1/11
description XX
negotiation auto
switchport mode hybrid
switchport hybrid native vlan1001
switchport hybrid vlan50tag
switchport hybrid vlan558tag
switchport hybrid vlan3888tag
switchport hybrid vlan1001untag
switchport hybrid vlan4094untag
switchport qinq customer
S6506QINQ配置
1.1S6506灵活QINQ功能的外层标签设置支持以下种类:
?根据内层标签的VLAN ID实现一对一映射。例如把内层的VLAN100映射到外层VLAN1001,内层VLAN200映射到外层VLAN2001。
?根据内层标签的VLAN ID实现多对一映射(VLAN区间映射),例如把内层的VLAN100~VLAN200映射到外层VLAN1001,把内层VLAN300~VLAN400映射到外层VLAN2001,如下图所示。
?根据报文的内容来指定外层VLAN,例如可以根据报文的目的IP、源IP、协议类型等内容字段指定外层VLAN TAG(基于流的灵活QINQ)。
?根据报文的内层VLAN TAG决定是否打外层VLAN TAG,如下图所示,专线用户可以选择带一层TAG出去。
1.2应用配置指导
多上行口,直接在65分别上行到SR或BRAS
每个下行端口内的用户通过不同内层vlan隔离。不同下行端口间相互隔离,没有互通需要。上行可以根据不同的外层vlan标记,分流到不同上行设备。
通常需要对用户vlan区间根据不同用户或业务类型作整体规划,例如:
(1)需求描述:
整机有两个上行口,一个上行口终结PPPoe流量,另一个上行口终结企业专线用户;下行口上来的PPPoe流量需要做内外层VLAN映射,而且不同的下行口映射到不同的外层VLAN(该端口PVID);下行口上来的企业专线用户映射到不同的外层VLAN(规划的SPVID);各个下行口下面的企业用户没有二层互通的需求。
(2)端口配置:
全局视图下:
先创建vlan
[SX-XY-BinXian-6506R]vlan1001
[SX-XY-BinXian-6506R]vlan1002
[SX-XY-BinXian-6506R]vlan4001
[SX-XY-BinXian-6506R]vlan4002
[SX-XY-BinXian-6506R]vlan4003
[SX-XY-BinXian-6506R]vlan4004
PortA(上行口1)端口视图下:
port link-type hybrid
port hybrid vlan3801tagged
port hybrid vlan3802tagged
port hybrid vlan4001un tagged
port hybrid vlan4002un tagged
PortB(上行口2)端口视图下:
port link-type hybrid
port hybrid vlan888tagged
port hybrid vlan999tagged
port hybrid vlan1001tagged
port hybrid vlan1002tagged
port hybrid vlan4003un tagged
port hybrid vlan4004un tagged
Port1(下行口)端口视图下:
port link-type hybrid
port hybrid vlan888tagged
port hybrid vlan3801tagged
port hybrid vlan1001untagged
port hybrid vlan4001untagged
port hybrid vlan4003untagged
port hybrid pvid vlan1001
undo ntdp enable
vlan-vpn enable
vlan-vpn vid4001uplink PortA
raw-vlan-id inbound3801
vlan-vpn vid4003uplink PortB
raw-vlan-id inbound888
vlan-vpn vid1001uplink PortB
raw-vlan-id inbound1001to1900
Port2端口(下行口)视图下:
port link-type hybrid
port hybrid vlan999tagged
port hybrid vlan3802tagged
port hybrid vlan1002untagged
port hybrid vlan4002untagged
port hybrid vlan4004untagged
port hybrid pvid vlan1002
undo ntdp enable
vlan-vpn enable
vlan-vpn vid4002uplink PortA
raw-vlan-id inbound3802
vlan-vpn vid4004uplink PortB
raw-vlan-id inbound999
vlan-vpn vid1002uplink PortB
raw-vlan-id inbound1001to1900
mac绑定:(bars的接口mac地址与dslam上联接口的pvid绑定)进入PortB
mac-address static00e0-fc81-00fb vlan1001
mac-address static00e0-fc81-00fb vlan1002
报文转发流程分析
【上行流量】
上行流量:Port1进来的PPPoe流量(内存VLAN1001~1999),会直接打上一层外层标签VLAN1001,,同时MAC地址会学习到端口PVID所在VLAN1001;由于PortB为VLAN1001的tagged端口,所以PPPoe用户从PortB出去时带两层标签,格式为(V1001,1001-1999)。
对于上行的企业专线用户流量,Port1进来的企业专线用户(VLAN3801)做内外层映射到外层标签VLAN4001,在VLAN4001内转发。由于PortA口是VLAN4001的untagged 端口,因此专线用户从PortA出去时去除标签,形式为(V3801)。
对于上行到bas的企其他用户流量,Port1进来的企业专线用户(VLAN888)做内外层映射到外层标签VLAN4003,在VLAN4003内转发。由于PortA口是VLAN4003的untagged端口,因此专线用户从PortA出去时去除标签,形式为(V888)。
Port2端口进来的流量处理流程和Port1类似。
【下行流量】
PortB进来的PPPoe流量分为两种,一种是外层VLAN1001(去往Port1),另一种是外层VLAN1002(去往Port2);PortA进来的企业专线流量分为两种,一种是VLAN3801报文(去往Port1),另一种是VLAN3802报文(去往Port2)。
对于PPPoe下行流量,如果外层VLAN是VLAN1001的,它将在VLAN1001中转发,由于下行口Port1是VLAN1001的UNTAG成员,这部分流量被转发到Port1并去掉外层TAG出去;同理,外层VLAN1002的双TAG报文会发往Port2并去掉外层VLAN TAG出去。
配置方法二:
端口配置:
全局视图下:
先创建vlan
[SX-XY-BinXian-6506R]vlan1001 [SX-XY-BinXian-6506R]vlan1002 [SX-XY-BinXian-6506R]vlan4001 [SX-XY-BinXian-6506R]vlan4002 PortA(上行口1)端口视图下:port link-type hybrid
port hybrid vlan3801tagged
port hybrid vlan3802tagged
port hybrid vlan4001un tagged port hybrid vlan4002un tagged PortB(上行口2)端口视图下:port link-type hybrid
port hybrid vlan888tagged
port hybrid vlan999tagged
port hybrid vlan1001tagged
port hybrid vlan1002tagged
port hybrid vlan4001un tagged port hybrid vlan4002un tagged Port1(下行口)端口视图下:port link-type hybrid
port hybrid vlan888tagged
port hybrid vlan3801tagged
port hybrid vlan1001untagged port hybrid vlan4001untagged port hybrid pvid vlan4001
undo ntdp enable
vlan-vpn enable
vlan-vpn vid1001uplink PortB raw-vlan-id inbound1001to1900 Port2端口(下行口)视图下:port link-type hybrid
port hybrid vlan999tagged
port hybrid vlan3802tagged
port hybrid vlan1002untagged port hybrid vlan4002untagged port hybrid pvid vlan4002
undo ntdp enable
vlan-vpn enable
vlan-vpn vid1002uplink PortB raw-vlan-id inbound1001to1900
mac绑定:(bars的接口mac地址与dslam上联接口的pvid绑定)
进入PortB
mac-address static00e0-fc81-00fb vlan4001
mac-address static00e0-fc81-00fb vlan4002
华为3528交换机qinq模板
假设此交换机的上联口是Ethernet1/0/1口,dslam的连接口是Ethernet1/0/11口,这两个端口的原始数据为:
交换机的上联口
interface Ethernet1/0/1
port link-type hybrid
port hybrid vlan43462394819033031tagged
description UP_LINK
dslam的连接口
interface Ethernet1/0/11
port link-type trunk
port trunk permit vlan432394819033031
description GangBe i_MA5300
Dslam的qinq的外层vlan为1045-1047,暂时qinq采用第一个vlan,其余做预留,辅助vlan 为4010(必须有,而且每个dslam的辅助vlan不能重复)
1.创建dslam外层vlan
[GangGuanChangBeiQu]vlan1045to1047
创建dslam辅助vlan
[GangGuanChangBeiQu]vlan4010
2.进入交换机上联口
[GangGuanChangBeiQu]interface Ethernet1/0/1
[GangGuanChangBeiQu-Ethernet1/0/1]port hybrid vlan1045to1047tagged [GangGuanChangBeiQu-Ethernet1/0/1]port hybrid vlan4010untagged [GangGuanChangBeiQu-Ethernet1/0/1]mac-address static00e0-fc81-00fb vlan4010
3.进入dslam上联口
[GangGuanChangBeiQu]interface Ethernet1/0/11
先把dslam上联口的vlan采集出来
port trunk permit vlan432394819033031
进入dslam上联口
修改端口类型
[GangGuanChangBeiQu-Ethernet1/0/1]port link-type access
[GangGuanChangBeiQu-Ethernet1/0/1]port link-type hybrid
[GangGuanChangBeiQu-Ethernet1/0/1]port hybrid vlan1045to10474010untagged [GangGuanChangBeiQu-Ethernet1/0/1]port hybrid pvid vlan4010 [GangGuanChangBeiQu-Ethernet1/0/1]qinq enable
[GangGuanChangBeiQu-Ethernet1/0/1]qinq vid1045
[GangGuanChangBeiQu-Ethernet1/0/11-vid-1045]raw-vlan-id inbound1001to1800
4.做好后的交换机上联口和dslam上联口
交换机上联口
interface Ethernet1/0/1
port link-type hybrid
port hybrid vlan43462394819031045to10473031tagged
port hybrid vlan14010untagged
dslam上行口
interface Ethernet1/0/11
port link-type hybrid
port hybrid vlan432394819033031tagged
port hybrid vlan11045to10474010untagged
port hybrid pvid vlan4010
description GangBe i_MA5300
qinq enable
qinq vid1045
raw-vlan-id inbound1001to1800
华为3928交换机qinq模板
假设此交换机的上联口是GigabitEthernet1/1/1口,dslam的连接口是Ethernet1/0/11口,这两个端口的原始数据为:
交换机的上联口
interface GigabitEthernet1/1/1
port link-type trunk
undo port trunk permit vlan1
port trunk permit vlan33659162201220235239243751753to756
port trunk permit vlan763to7644001to4002
undo jumboframe enable
description To S7810-1.MAN GE1/0/3
dslam的连接口
interface Ethernet1/0/11
port link-type trunk
port trunk trunk vlan36751
undo port trunk vlan1
description To MA5300
1.创建acl
acl number4011
rule0permit c-tag-vlan36
rule1permit c-tag-vlan751
2.创建dslam外层vlan
[YouDianBeiYuan]vlan1001
[YouDianBeiYuan]vlan4001
3.进入交换机上联口
[YouDianBeiYuan]interface GigabitEthernet1/1/1
[YouDianBeiYuan-GigabitEthernet1/1/1]port trunk permit vlan10014001
[YouDianBeiYuan-GigabitEthernet1/1/1]mac-address static00e0-fc81-00fb vlan4001
4.进入dslam上联口
[YouDianBeiYuan]interface Ethernet1/0/11
[YouDianBeiYuan-Ethernet1/0/11]port link-type access
[YouDianBeiYuan-Ethernet1/0/11]port link-type hybrid
[YouDianBeiYuan-Ethernet1/0/11]port hybrid vlan36751tagged
[YouDianBeiYuan-Ethernet1/0/11]port hybrid vlan10014001untagged
[YouDianBeiYuan-Ethernet1/0/11]undo port hybrid vlan1
[YouDianBeiYuan-Ethernet1/0/11]port hybrid pvid vlan4001
[YouDianBeiYuan-Ethernet1/0/11]vlan-vpn enable
[YouDianBeiYuan-Ethernet1/0/11]traffic-redirect inbound link-group4011rule0interface GigabitEthernet1/1/1untagged
[YouDianBeiYuan-Ethernet1/0/11]traffic-redirect inbound link-group4011rule1interface GigabitEthernet1/1/1untagged
[YouDianBeiYuan-Ethernet1/0/11]vlan-vpn vid1020
[YouDianBeiYuan-Ethernet1/0/11-vid-1020]raw-vlan-id inbound1001to1450
5.做好后的交换机上联口和dslam上联口
交换机上联口
interface GigabitEthernet1/1/1
port link-type trunk
undo port trunk permit vlan1
port trunk permit vlan3367514000
mac-address static00e0-fc81-00fb vlan4001
description To S7810-1.MAN GE1/0/3
dslam上行口
interface Ethernet1/0/11
port link-type hybrid
port hybrid vlan36751tagged
port hybrid vlan10014001untagged
undo port hybrid vlan1
port hybrid pvid vlan4001
vlan-vpn enable
description To MA5300
traffic-redirect inbound link-group4011rule0interface GigabitEthernet1/1/1untagged
traffic-redirect inbound link-group4011rule1interface GigabitEthernet1/1/1untagged
vlan-vpn vid1001
raw-vlan-id inbound1001to1450
中兴dslam精绑步骤
9203,9806和9210命令相同,以下以9210为例
一.TELNET设备IP地址登陆设备
二.登陆进设备后输入命令enable,输入enable密码
三.在特权模式下输入config ftp-server username target password target
四.然后输入命令copy running-config startup-config
五.FTP服务器配置
最后单击按钮,FTP服务器配置完成。
六.XY_XiShiYang_Z TE9203$copy running-config network
Please input new FTP server IP address:61.185.21.209//电脑的IP地址(最好为固定IP)Please input new file name(*.cfg):61.185.38.111.cfg//给备份的配置文件取的名字Upload start://为先前备份的配置文件名称,用IP地址作为配置文件名称,可
以确保其唯一性
......
Load has finished.
七.XY_XiShiYang_Z TE9203$show running-config//记录下VPN和静态用户的相关VLAN
和配置信息(端口相关信息用show interface3/1full查看并且记录)
八.在(config)#模式下配置vlan相关信息
XY_XiShiYang_Z TE9203(config)#add-vlan1001-1480pvc pvc4//用于配置绑定到PVC4的pppoeVLAN,命令后的PVC4一定要。
XY_XiShiYang_Z TE9203(config)#add-vlan2285pvc pvc3//用于配置绑定到PVC3的IPTV VLAN,命令后的PVC3一定要。
XY_XiShiYang_Z TE9203(config)#add-vlan2785pvc pvc2//用于配置绑定到PVC2的NGN VLAN,命令后的PVC2一定要。
XY_XiShiYang_Z TE9203(config)#add-vlan3285pvc pvc1//用于配置绑定到PVC1的ITMS VLAN,命令后的PVC1一定要。
XY_XiShiYang_Z TE9203(config)#vlan1001-10964/1tag//将上联口加入的各种业务VLAN中,配置时根据实际情况选择上联口
XY_XiShiYang_Z TE9203(config)#vlan22854/1tag
XY_XiShiYang_Z TE9203(config)#vlan27854/1tag
XY_XiShiYang_Z TE9203(config)#vlan32854/1tag
XY_XiShiYang_Z TE9203(config)#vlan1001-10961-3/1-32untag one-to-one//将不同的业务VLAN和用户端口绑定,这是绑定PVC4的PPPOE业务VLAN。其中one-to-one参数数一定要的
XY_XiShiYang_Z TE9203(config)#vlan22851-3/1-32u//将IPTV vlan和所有的用户端口绑定,不需要one-to-one参数。
XY_XiShiYang_Z TE9203(config)#vlan27851-3/1-32u//将NGN vlan和所有的用户端口绑定,不需要one-to-one参数。
XY_XiShiYang_Z TE9203(config)#vlan32851-3/1-32u//将ITMS vlan和所有的用户端口绑定,不需要one-to-one参数。
九.为了方便操作节约时间,中兴9210和9203设备可以对用户板进行批量配置,可以批量对一个用户板进行操作,操作完一个,再进入下一个用户板进行操作,直到完成所以的用户板。
XY_XiShiYang_Z TE9203(config)#slot dsl-mpvc1//进入第一块用户板,对第一块用户板进行批量配置。
pvid1001-1032pvc4//因为每个用户板32个用户,每个端口的PVC4PPPOE业务分别对应一个VLAN,该命令是将该这块用户板上的所以的端口的PVC4的PVID设置的和每个端口的VLAN号一样,否则会出现用户上不了网的现象。
pvid2285pvc3//该命令是将该用户板的所有的端口的pvc3的PVID设置成2285
pvid2785pvc2//该命令是将该用户板的所有的端口的pvc2的PVID设置成2785
pvid3285pvc1//该命令是将该用户板的所有的端口的pvc2的PVID设置成3285
atm pvc8:46pvc1//设置该用户板上的所以端口的PVC1的PVC值
atm pvc8:45pvc2//设置该用户板上的所以端口的PVC2的PVC值
atm pvc8:43pvc3//设置该用户板上的所以端口的PVC3的PVC值
atm pvc0:35pvc4//设置该用户板上的所以端口的PVC4的PVC值
atm status disable pvc1//关闭PVC1
atm status enable pvc4//打开PVC4
exit
XY_XiShiYang_Z TE9203(config)#slot dsl-mpvc2
….
…..
exit
XY_XiShiYang_Z TE9203(config)#slot dsl-mpc3
….
….
exit
直到最后一块用户板。
十.查看记录下的VPN和静态用户的VLAN和端口相关信息
修改VPN和静态用户的PVID和PVC任用PVC1,改回原来的PVID,例如原来13/5是静态用户,它原来是3004VLAN的原来的业务是在PVC1上的并且PVC1的PVC是0:35,由于刚才的批量操作破坏了原来的静态用户的相关信息,现在根据一开始记录的静态用户和VPN信息还原原来的静态和VPN的信息。
在(config)#下输入interface dsl-mpvc13/5进入端口模式
XY_XiShiYang_Z TE9203(config)#interface dsl-mpvc13/5
XY_XiShiYang_Z TE9203(cfg-if-dsl(m)-13/5)#Pvid3004pvc1//修改PVC1的PVID值使得PVID的值和原来的一样
XY_XiShiYang_Z TE9203(cfg-if-dsl(m)-13/5)#atm pvc8:84pvc4//修改PVC4的PVC值使得PVC的值和原来的一样
XY_XiShiYang_Z TE9203(cfg-if-dsl(m)-13/5)#atm pvc0:67pvc1//修改PVC1的PVC值使得PVC的值和原来的一样
XY_XiShiYang_Z TE9203(cfg-if-dsl(m)-13/5)#atm pvc8:82pvc2//修改PVC2的PVC值使得PVC的值和原来的一样
XY_XiShiYang_Z TE9203(cfg-if-dsl(m)-13/5)#atm pvc8:83pvc3//修改PVC3的PVC值使得PVC的值和原来的一样
XY_XiShiYang_Z TE9203(cfg-if-dsl(m)-13/5)#atm status enable pvc1//打开PVC1
XY_XiShiYang_Z TE9203(cfg-if-dsl(m)-13/5)#atm status disable pvc4//关闭PVC4
到此13/15的静态修改完毕
直到修改完成所以的静态和VPN
十一.配置结束,保存。
XY_XiShiYang_Z TE9203$copy running-config startup-config
十二.可以用XY-QYBQ-9210#show running-config//查看配置文件
用XY-QYBQ-9210#show interface2/3full//查看端口配置信息
XY-QYBQ-9210#show adsl status slot2//查看用户上线信息
十三.如果想恢复为原来的数据可以,打开FTP软件,FTP软件的设置第5、一样,目录为先前备分的配置文件所在的目录。
XY-QYBQ-9210$copy network startup-config
Please input new FTP server IP address:61.185.21.209
Please input new file name:61.185.38.111.cfg//为先前备份的配置文件名称,用IP地址作为Download start://文件名称,以保证备份文件的唯一性
pvid1001-1032pvc4//第1块用户板对应的VLAN和PVID
pvid1033-1064pvc4//第2块用户板对应的VLAN和PVID
pvid1065-1096pvc4第3块用户板对应的VLAN和PVID
pvid1097-1128pvc4第4块用户板对应的VLAN和PVID
pvid1129-1160pvc4第5块用户板对应的VLAN和PVID
pvid1161-1192pvc4第6块用户板对应的VLAN和PVID
pvid1193-1224pvc4第7块用户板对应的VLAN和PVID
pvid1225-1256pvc4第8块用户板对应的VLAN和PVID
pvid1257-1288pvc4第9块用户板对应的VLAN和PVID
pvid1289-1320pvc4第10块用户板对应的VLAN和PVID
pvid1321-1352pvc4第11块用户板对应的VLAN和PVID
pvid1353-1384pvc4第12块用户板对应的VLAN和PVID
pvid1385-1416pvc4第13块用户板对应的VLAN和PVID
pvid1417-1448pvc4第14块用户板对应的VLAN和PVID
pvid1449-1480pvc4第15块用户板对应的VLAN和PVID
华为dslam精绑步骤
一.5100精绑:
5100精绑跟加新用户的PVC一样,在修改pppoe用户VLAN的时候删除原先单板的PVC,然后按照添加新的PVC步骤进行添加。精绑需要添加的三个新业务的VLAN,和添加pppoe 的PVC一样。
由于MA5100LAN板在IPDSLAM模式下才支持4K VLAN,所以,LAN板不是IPDSLAM的设备需要更改LAN板模式为IPDSLAM模式。
从general或IPCASCADE切换到IPDSLAM时如下,切换后普通VLAN、专线PVC被删除,小区VLAN和小区PVC还存在,可以远程修改LAN板模式,但不推荐远程操作。
确定lan板所在的槽位号:
1.MA5100#show board0
框号框名框类型对应主框SEP板槽号对应主框SEP板端口号
------------------------------------------------------
0Main Frame主框
--------------------------------------------------槽位板的类型板的名称板的状态一号扣板类型二号扣板类型---------------------------------------------------------
0ADLC板H511ADLC正常--
1空板----
2VDLA板H511VDLA正常--
3LAND板H511LAND正常H511E8FS-
4空板----
5空板----
6空板----
7复用板H511MMXA主用正常155M双路单模-
8空板----
9CES板H511CESC正常E1E1
10空板----
11空板----
12空板----
13LANC板H512LANC正常--
14空板----
15空板-------------------------------------------------------------------
2.更改lan板模式
SZ_SHIYANSHI_5100A(config-LAN-0/13)#operation-mode ipdslam
请在模式切换前删除当前单板所有专线PVC(LAN-NMS PVC除外).
需要保留当前单板的LAN-NMS PVC数据吗?(y/n)[y]:y
可能存在配置数据丢失,确认要切换工作模式并复位当前单板吗?(y/n)[n]:y
复位命令已成功下发给单板.
工作模式切换成功.
3.配置PVC从ADSL端口到逻辑VLAN
给每个ADSL端口添加pppoe vlan(每个端口的pppoe vlan各异):
MA5100(config)#pvc adsl0/0/0
{general,region,vpi}:vpi
{
{
{atm,adsl,lan,fr,ces-sdt,ces-uni,ces-udt,ces-v35,nms,aiu,vdsl}:lan
{vlanId,anyvlanId}:vlanId
{disable,inner-vlanId,anyInnervlanId}:disable
添加PVC成功,CID= 1.
即pvc adsl0/0/0vpi035lan0/13vlanId1001disable off anyvport_l411 pvc adsl0/0/1vpi035lan0/13vlanId1002disable off anyvport_l411 pvc adsl0/0/2vpi035lan0/13vlanId1003disable off anyvport_l411 ------
pvc adsl1/0/0vpi035lan0/13vlanId1033disable off anyvport_l411 ------
给每个端口添加3个新的业务vlan:
先创建3个业务vlan:
a.创建VOIP vlan:
MA5100(config-LAN-0/13)#vlan add
{general,region}:region
增加VLAN成功.
b.创建ITMS vlan:
MA5100(config-LAN-0/13)#vlan add
{general,region}:region
增加VLAN成功.
c.创建IPTV vlan:
MA5100(config-LAN-0/13)#vlan add
{general,region}:region
S3100-EI系列交换机使用灵活QinQ功能对不同类型的私网数据进行分类处理的配置 一、组网需求: (1)SwitchA的端口Ethernet1/0/3连接了PC用户和IP电话用户。其中PC用户位于VLAN100~VLAN108范围内,IP电话用户位于VLAN200~VLAN230范围内。SwitchA的端口Ethernet1/0/5连接到公共网络,对端为SwitchB。 (2)SwitchB的Ethernet1/0/11端口接入公共网络,Ethernet1/0/12和Ethernet1/0/13端口分别接入PC 用户服务器所在VLAN100~VLAN108和IP电话用户语音网关所在VLAN200~VLAN230。 (3)公共网络中允许VLAN1000和VLAN1200的报文通过,并配置了QoS策略,对VLAN1200的报文配置有带宽保留等优先传输策略,而VLAN1000的报文传输优先级较低。 (4)在SwitchA和SwitchB上配置灵活QinQ功能,将PC用户和IP电话用户的流量分别在公网的VLAN1000和VLAN1200内传输,以利用QoS策略保证语音数据的传输优先级。 二、组网图:
三、配置步骤: (1)配置SwitchA # 在SwitchA上创建VLAN1000、VLAN1200和Ethernet1/0/3的缺省VLAN5。
什么是QinQ QinQ是对802.1Q的扩展,其核心思想是将用户私网VLAN tag封装到公网VLAN tag上,报文带着两层tag穿越服务商的骨干网络,从而为用户提供一种较为简单的二层VPN隧道。其特点是简单而易于管理,不需要信令的支持,仅仅通过静态配置即可实现,特别适用于小型的,以三层交换机为骨干的企业网或小规模城域网。 图1为基于传统的802.1Q协议的网络,假设某用户的网络1和网络2位于两个不同地点,并分别通过服务提供商的PE1、PE2接入骨干网,如果用户需要将网络1的VLAN200-300和网络2的VLAN200-300互联起来,那么必须将CE1、PE1、P和PE2、CE2的相连端口都配置为Trunk属性,并允许通过VLAN200-300,这种配置方法必须使用户的VLAN在骨干网络上可见,不仅耗费服务提供商宝贵的VLAN ID资源(一共只有4094个VLAN ID资源),而且还需要服务提供商管理用户的VLAN号,用户没有自己规划VLAN的权利。 为了解决上述问题,QinQ协议向用户提供一个唯一的公网VLAN ID,这个特殊的VLAN ID 被称作Customer-ID,将用户私网VLAN tag封装在这个新的Customer-ID中,依靠它在公网中传播,用户私网VLAN ID在公网中被屏蔽,从而大大地节省了服务提供商紧缺的VLAN ID资源, 在QinQ模式下,PE上用于用户接入的端口被称作用户端口。在用户端口上使能QinQ功能,并为每个用户分配一个Customer-ID,此处为3,不同的PE上应该为同一网络用户分配相同的Customer-ID。当报文从CE1到达PE1时,带有用户内部网络的VLAN tag 200-300,由于使能了QinQ功能,PE上的用户端口将再次为报文加上另外一层VLAN tag,其ID就是分配给该用户的Customer-ID。此后该报文在服务提供商网络中传播时仅在VLAN 3中进行且全程带有两层VLAN tag(内层为进入PE1时的tag,外层为Customer-ID),但用户网络的VLAN信息对运营商网络来说是透明的。当报文到达PE2,从PE2上的客户端口转发给CE2之前,外层VLAN tag被剥去,CE2收到的报文内容与CE1发送的报文完全相同。PE1到PE2之间的运营商网络对于用户来说,其作用就是提供了一条可靠的二层链路。 可见,使用QinQ组建VPN具有如下特点: l 无需信令来维持隧道的建立,通过简单的静态配置即可实现,免去了繁杂的配置,维护工作。 l 运营商只需为每个用户分配一个Customer-ID,提升了可以同时支持的用户数目;而用户也具有选择和管理VLAN ID资源的最大自由度(从1-4096中任意选择)。 l 在运营商网络的内部,P设备无需支持QinQ功能,即传统的三层交换机完全可以满足需求,极大地保护了运营商的投资。 l 户网络具有较高的独立性,在服务提供商升级网络时,用户网络不必更改原有的配置。 因此,无论是对于运营商还是用户来说,采用QinQ方式组建VPN都是一种低成本,简便易行,易于管理的理想方式。
EPON灵活QINQ典型配置指导手册 编号: 版本:V1.0 编制:技术中心热线部 审核:熊志军 批准: 瑞斯康达科技发展股份有限公司
文档修订记录 文档说明: 本文档主要用于指导工程师完成EPON灵活QINQ典型配置,本文以某商用网络为例,介绍了新在EPON系统上具体的配置操作步骤和注意事项。
前言 读者对象: 本文档适合ISCOM5000系列EPON设备灵活QinQ操作维护管理人员使用,主要面向各区域工程师。本文档介绍ISCOM5000系列EPON设备根据灵活QinQ的配置、常用故障排查方法、FAQ 等内容。 编写时间:2010年3月 相关参考手册: ISCOM 5000 EPON设备主要手册及用途如下
目录 前言 (3) 一、Q-IN-Q概述 (6) 二、技术介绍 (6) 2.1 QinQ报文格式 (6) 2.2 QinQ封装 (7) 2.2.1 基于端口的QinQ封装 (7) 2.2.2 基于流的QinQ封装 (7) 三、典型案例配置 (8) 3.1 EPON交换端口VLAN配置 (8) 3.2 根据以太网报文类型灵活Q-IN-Q 应用拓扑 (10) 3.3三种数据的业务流向及处理过程 (12) 3.4配置流程 (13) 3.5 具体数据配置流程: (14) 1) 创建加载板卡 (14) 2) 在olt上配置数据业务,创建vlan ,修改TPID值 (14) 3)配置3槽位PON板第一个PON口 (14) 4)配置上联GE口(PORT 11) (15) 5)配置上联GE口(PORT 12) (15) 6)配置网管地址及网关 (15) 7)EPON 以太网报文类型灵活Q-IN-Q配置实例 (15) 8)灵活Q-IN-Q抓包样本 (15) 四、常见故障处理FAQ (16) EPON以太网报文类型灵活Q-IN-Q常见FAQ (16) Q1:在配置根据以太网报文的灵活Q-IN-Q时,若两种数据存在一样的以太网报文类 型,该怎么区分? (16) Q2:为什么从OLT上无法PING通EOC及交换机的网管地址,而经过USR或者BRAS 的网管服务器可以PING通EOC、交换机及OLT。 (16) Q3:为什么同一台电脑在测试过一个业务后,马上测试另外一种业务,该电脑会存在
1. 概念 QinQ技术也称Stacked VLAN,Double VLAN,是指将用户私网VLAN标签封装在公网VLAN标签中,使报文带着两层VLAN标签穿越运营商的骨干网络,在公网中只根据外层VLAN标签传播,私网VLAN标签被屏蔽。 这样,不仅对数据流进行了区分,而且由于私网VLAN标签被透明传送,不同的用户VLAN标签可以重复使用,只需要外层VLAN标签的在公网上唯一即可,实际上也扩大了可利用的VLAN标签数量。QinQ的标准是IEEE802.1ad,该标准是在2006年5月份才形成正式标准的,所以当前常见的各厂商实现的QinQ和该标准有较大的不同,但各厂商的实现均大同小异。 2. QinQ的产生 随着三层交换机的不断成熟和大量应用,许多企业网和小型城域网用户都倾向于使用三层交换机来搭建骨干网,由于以下三个原因,这些用户一般都不愿意使用基于MPLS或者IP协议的VPN: 1.配置、维护工作相对比较繁杂。 2.许多厂商的三层交换机不支持MPLS功能,如果用户搭建基于MPLS的VPN,势必要淘汰这些设备,浪费资源。 3.支持MPLS功能的单板一般价格昂贵,小型用户难以承受。 而QinQ可以提供一种廉价、简洁的二层VPN解决方案,不需要信令协议的支持,可以通过纯静态配置实现,而且只需要网络边缘设备支持QinQ,内部只需要可以支持802.1Q 的设备即可,所以越来越多的小型用户倾向于使用该功能构建自己的VPN网络。
运营商在通过Ethernet提供Internet接入业务时需要对客户标识,做到精细化管理,而且随着新业务的开展(如Triple-Play、Wholesale、VPN),运营商还需要对业务进行细分,以区别提供不同的管道、QoS策略。原有基于802.1Q只有4096个vlan标识不能满足这样的需要,QinQ正好可以扩展这样的标识,同时还可以利用不同的VLAN来区分运营商的服务和不同的客户。利用QinQ提供接入时具用以下的优点: 1.可以解决日益紧缺的公网VLAN ID资源问题; 2.用户可以规划自己的私网VLAN ID,不会导致与公网VLAN ID冲突; 3.提供一种较为简单的二层VPN解决方案; 4.使用户网络具有较高的独立性,在服务提供商升级网络时,用户网络不必更改原有的配置; 5.可以按不同层次的VLAN ID来区分不同的业务; QinQ技术上完全可以多层嵌套,没有限制,仅受Ethernet报文长度的限制,具有很好的扩充性。 3. QinQ报文 1.QinQ的报文封装 QinQ的报文封装就是在原有802.1Q报文中的TAG头上再加上一层TAG封装,用来扩展VLAN的范围,如下图所示:
配置灵活QinQ示例-VLAN Mapping接入 组网需求 如图所示,家庭网关连接的用户业务有PC上网业务、IPTV业务、VoIP业务。 楼道交换机分配各种业务的VLAN为: PC上网业务独立的VLAN:VLAN1000~VLAN1100 IPTV业务共享的VLAN:VLAN1101 VoIP业务共享的VLAN:VLAN1102 家庭网关共享的VLAN:VLAN1103 每个小区交换机下行与50个楼道交换机相连,对楼道交换机上送的PC上网业务VLAN分别映射为VLAN101、VLAN102、VLAN103、……VLAN150。 运营商的汇聚交换机下行与50个小区交换机相连,对小区交换机上送的报文添加外层VLAN,分别为:VLAN21、VLAN22、VLAN23、……VLAN70。 配置思路 采用如下的思路配置灵活QinQ以及VLAN Mapping:
在SwitchA和SwitchB上创建相关VLAN。 在SwitchB上配置VLAN Mapping功能,并将接口加入VLAN。 在SwitchA上配置灵活QinQ功能,并将接口加入VLAN。 SwitchA和SwitchB的其他下行接口配置与GE0/0/1类似,此处不再赘述。 SwitchA的其他下行小区交换机配置与SwitchB类似,此处不再赘述。 数据准备 为完成此配置例,需准备如下的数据: 在SwitchB上配置接口GE0/0/1以Tagged方式加入VLAN1000~VLAN1100、VLAN1101、VLAN1102、VLAN1103、VLAN101。 在SwitchB上配置接口GE0/0/2以Tagged方式加入VLAN101~VLAN150、VLAN1101、VLAN1102、VLAN1103。 在SwitchA上配置接口GE0/0/1以Tagged方式加入VLAN1101、VLAN1102、VLAN1103。 在SwitchA上配置接口GE0/0/1以Untagged方式加入VLAN21。 在SwitchB接口GE0/0/1上配置VLAN Mapping功能。 在SwitchA接口GE0/0/1上配置灵活QinQ功能。 操作步骤 配置SwitchA # 创建VLAN < Quidway> system-view [Quidway] vlan batch 21 to 70 1101 to 1103 # 配置接口加入VLAN [Quidway] interface gigabitethernet 0/0/1 [Quidway-GigabitEthernet0/0/1] port hybrid untagged vlan 21 [Quidway-GigabitEthernet0/0/1] port hybrid tagged vlan 1101 to 1103 [Quidway-GigabitEthernet0/0/1] quit # 配置接口灵活QinQ功能
详解二次封装VLAN技术——QINQ QinQ是对802.1Q的扩展,其核心思想是将用户私网VLAN tag封装到公网VLAN tag 上,报文带着两层tag穿越服务商的骨干网络,从而为用户提供一种较为简单的二层VPN 隧道。其特点是简单而易于管理,不需要信令的支持,仅仅通过静态配置即可实现,特别适用于小型的,以三层交换机为骨干的企业网或小规模城域网。 图1为基于传统的802.1Q协议的网络,假设某用户的网络1和网络2位于两个不同地点,并分别通过服务提供商的PE1、PE2接入骨干网,如果用户需要将网络1的VLAN200-300和网络2的VLAN200-300互联起来,那么必须将CE1、PE1、P和PE2、CE2的相连端口都配置为Trunk属性,并允许通过VLAN200-300,这种配置方法必须使用户的VLAN在骨干网络上可见,不仅耗费服务提供商宝贵的VLAN ID资源(一共只有4094个VLAN ID资源),而且还需要服务提供商管理用户的VLAN号,用户没有自己规划VLAN的权利。 图一 为了解决上述问题,QinQ协议向用户提供一个唯一的公网VLAN ID,这个特殊的VLAN ID被称作Customer-ID,将用户私网VLAN tag封装在这个新的Customer-ID中,依靠它在公网中传播,用户私网VLAN ID在公网中被屏蔽,从而大大地节省了服务提供商紧缺的VLAN ID资源,如图2所示。 图二 在QinQ模式下,PE上用于用户接入的端口被称作用户端口。在用户端口上使能QinQ 功能,并为每个用户分配一个Customer-ID,此处为3,不同的PE上应该为同一网络用户分配相同的Customer-ID.当报文从CE1到达PE1时,带有用户内部网络的VLAN tag 200-300,由于使能了QinQ功能,PE上的用户端口将再次为报文加上另外一层VLAN tag,其ID就是分配给该用户的Customer-ID.此后该报文在服务提供商网络中传播时仅在VLAN 3中进行且全程带有两层VLAN tag(内层为进入PE1时的tag,外层为Customer-ID),但用户网络的VLAN信息对运营商网络来说是透明的。当报文到达PE2,从PE2 上的客户端口转发给CE2之前,外层VLAN tag被剥去,CE2收到的报文内容与CE1发送的报文完全相同。PE1到PE2之间的运营商网络对于用户来说,其作用就是提供了一条可靠的二层链路。
QinQ 目录 目录 第1章 QinQ配置....................................................................................................................1-1 1.1 QinQ简介...........................................................................................................................1-1 1.1.1 原理介绍..................................................................................................................1-1 1.1.2 QinQ的实现方式......................................................................................................1-2 1.1.3 QinQ报文的TPID值可调功能...................................................................................1-2 1.2 配置端口的VLAN VPN特性功能.........................................................................................1-3 1.2.1 配置准备..................................................................................................................1-3 1.2.2 配置过程..................................................................................................................1-3 1.3 配置基于流分类的Nested VLAN........................................................................................1-4 1.3.1 配置准备..................................................................................................................1-4 1.3.2 配置过程..................................................................................................................1-4 1.4 配置端口的QinQ报文TPID值可调功能...............................................................................1-5 1.4.1 配置准备..................................................................................................................1-5 1.4.2 配置过程..................................................................................................................1-5 1.5 配置VLAN-VPN Tunnel......................................................................................................1-6 1.5.1 VLAN-VPN Tunnel简介...........................................................................................1-6 1.5.2 VLAN-VPN Tunnel配置...........................................................................................1-7 1.6 QinQ的显示与维护.............................................................................................................1-7 1.7 QinQ典型配置举例.............................................................................................................1-8 1.7.1 基于流分类的Nested VLAN配置过程举例...............................................................1-8 1.7.2 端口的QinQ报文TPID值可调功能配置过程举例......................................................1-9 1.7.3 VLAN-VPN Tunnel典型配置举例...........................................................................1-11
QinQ配置 1.1 QinQ简介 1.1.1 QinQ原理介绍 QinQ是指将用户私网VLAN Tag封装在公网VLAN Tag中,使报文带着两层VLAN Tag穿越运营商的骨干网络(公网)。在公网中报文只根据外层VLAN Tag (即公网VLAN Tag)传播,用户的私网VLAN Tag被屏蔽。携带单层VLAN Tag 的报文结构如图1-1所示: 图1-1 携带单层VLAN Tag的报文结构 携带双层VLAN Tag的报文结构如图1-2所示: 图1-2 携带双层VLAN Tag的报文结构 相对基于MPLS的二层VPN,QinQ具有如下特点:为用户提供了一种更为简单的二层VPN隧道。不需要信令协议的支持,可以通过纯静态配置实现。QinQ主要可以解决如下几个问题:缓解日益紧缺的公网VLAN ID资源问题。用户可以规划自己的私网VLAN ID,不会导致和公网VLAN ID冲突。为小型城域网或企业网提供一种较为简单的二层VPN解决方案。 1.1.2 QinQ的实现方式 通过开启端口的QinQ特性功能,可以实现QinQ。开启端口的QinQ功能后,当该端口接收到报文,无论报文是否带有VLAN Tag,交换机都会为该报文打上本端口缺省VLAN的VLAN Tag。这样,如果接收到的是已经带有VLAN Tag的报文,该报文就成为双Tag的报文;如果接收到的是不带VLAN Tag的报文,该报文就成为带有端口缺省VLAN Tag的报文。 1.2 配置端口的QinQ特性功能 1.2.1 配置准备 端口的GVRP、GMRP、NTDP、STP、802.1x或Voice VLAN功能均未启动。 注意:如果某端口的GVRP、GMRP、NTDP、STP、802.1x或Voice VLAN功能中的任一个已经启动,则不允许用户开启端口的QinQ特性。缺省情况下,设备的STP 和NTDP协议是开启的。需要在相应端口下应用stp disable命令和undo ntdp enable命令来关闭相应协议。 1.2.2 配置过程 表1-1 配置端口的QinQ特性
电信公司华为交换机QINQ配置实例 时下最兴的QINQ,电信公司正在全网改造,这是下一代网络必须的。 QINQ相关东东 IP数据网的构架中,使用交换机做为接入设备,采用LAN作为接入方式时,往往应该考虑一个重要的问题就是用户之间的隔离,因为接入到LAN的用户往往处于同一广播域中,用户的通信信息可以被处于同一广播域中的其他用户监听到,影响了网络的安全性。而且广播域中,大量的广播信息带来的带宽消耗和网络延迟也影响了网络的影响。 VLAN技术的提出实现了LAN接入用户的隔离,不仅提高了安全性,也通过对广播域在细分减少了网络中的广播信息。VLAN技术就是在逻辑上把一个LAN 划分成逻辑上相互隔离的虚拟网络,VLAN中的各个成员处于统一广播域中,而VLAN间通信必须通过第三层路由。VLAN的划分方式有很多,常用的包括基于端口的VLAN、基于MAC的VLAN、基于网络层的VLAN等。VLAN的技术实现中最常见的采用帧标签的方式,IEEE802.1Q提供了帧标签的标准,在VLAN Tag标签中,包含有VLAN ID是一个12位的域,可以支持4096个VLAN实例,而User Priority则是一个3位的帧优先级,共有8种优先级。网络中以太数据帧能够通过VLAN ID和User Priority来区别不同的网络流量。 当前由于交换芯片的限制,许多交换机VLAN范围即同时可配置的基于tag VLAN的ID的范围只能在n~n+512个的范围内。活动VLAN即指交换机同时可以配置的基于tag VLAN 的个数一般在256个以内。目前很多运营商要求端到端的安全辨识,希望每个用户一个VLAN,但面临的问题是标准的VLAN资源仅4096个,这就限制了宽带接入网络的组网规模。比如,将来一个家庭用户将涉及多种业务的接入,除了普通宽带数据业务外,还有语音业务如VoIP、视频业务如IPTV 等。那么在运营中就需要通过VLAN来区分不同的业务,一个用户就会占用多个VLAN。此时,标准的VLAN资源可服务的用户数将小于4096个,很可能一两栋楼的用户就将VLAN ID的资源用尽了,不利于部署全网的vlan。汇聚层交换机通过对Q-in-Q技术的支持,可有效扩展城域网中VLAN的数量,使VLAN数量可以达到4096*4096个,可在整个小区的网内规划VLAN ID,给管理带来了很大的方便。比如,可以分配给每个用户一个外层VLAN ID号,如果通过内层的VLAN ID号区分不同业务类型,这样只用查看ID号就可以得知业务类型了。
华为交换机QINQ+组播vlan配置 达川广电-冷静 一、 拓扑图 IPTV机顶盒互动点播业务采用IPoE方式获取IP地址,部署有QinQ,内层3900,外层3999;直播业务采用组播方式,组播vlan 号4000。 二、 具体配置 1.S3700: 组播配置: igmp-snooping enable vlan 4000 igmp-snooping enable
multicast-vlan enable multicast-vlan user-vlan 3900 quit vlan 3900 igmp-snooping enable quit 上联口配置: interface GigabitEthernet0/0/1 description S7706 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 3999 to 4000 quit 下行口配置: interface Ethernet0/0/24 qinq vlan-translation enable port hybrid tagged vlan 3900 port hybrid untagged vlan 3999 port vlan-stacking vlan 3900 to 3999 stack-vlan 3999 quit 2.S2700: 组播配置:
igmp-snooping enable vlan 3900 igmp-snooping enable quit 上联口配置: interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 777 3900 undo port trunk allow-pass vlan 1 quit 下行口配置: interface Ethernet0/0/2 port hybrid pvid vlan 3900 port hybrid untagged vlan 3900 quit 三、 业务验证
QinQ配置方法参考 一、QinQ原理介绍 QinQ是指将用户私网VLAN Tag封装在公网VLAN Tag中,使报文带着两层VLAN Tag穿越运营商的骨干网络(公网)。在公网中报文只根据外层VLAN Tag(即公网VLAN Tag)传播,用户的私网VLAN Tag被屏蔽。 带单层VLAN Tag的报文结构如下所示: D S D (0~1500B)FC A (6B) A (6B) E TYP E(8100) (2B) 用户VL AN TAG (2B) E TYP E (2B) ATA S (4B)图1-1带用户VLAN Tag的报文 带双层VLAN Tag的报文结构如下所示: 图1-2封装了外层VLAN Tag的报文 由于QinQ的实现是基于802.1Q协议中的Trunk端口概念,要求隧道上的设备都必须支持802.1Q协议,所以QinQ只适用于小型的、以三层交换机为骨干的企业网或小规模的城域网。 QinQ主要可以解决如下几个问题: ●缓解日益紧缺的公网VLAN ID资源问题; ●用户可以规划自己的私网VLAN ID,不会导致和公网VLAN ID冲突; ●为小型城域网或企业网提供一种较为简单的二层VPN解决方案。 二、QinQ的实现方式 华为系列路由交换机通过以下两种方式实现QinQ: (1)开启端口的VLAN VPN特性功能 开启端口的VLAN VPN功能后,当该端口接收到报文,无论报文是否带有VLAN Tag,交换机都会为该报文打上本端口缺省VLAN的VLAN Tag。这样,如果接收到的是已经带有VLAN Tag的报文,该报文就成为双Tag的报文;如果接收到的是Untagged的报文,该报文就成为带有端口缺省VLAN Tag的报文。 (2)配置基于流分类的Nested VLAN 基于流分类的Nested VLAN特性是对QinQ的一种更灵活的实现,即通常所说的灵活QinQ。用户可以对端口下匹配特定ACL流规则的报文进行如下操作: ●设置报文的外层VLAN Tag ●修改报文的外层VLAN Tag 三、QinQ配置举例
C H A P T E R 23 Configuring IEEE 802.1Q Tunneling This chapter describes how to configure IEEE 802.1Q tunneling in Cisco IOS Release 12.2SX. Note ? For complete syntax and usage information for the commands used in this chapter, see the Cisco IOS Master Command List, Release 12.2SX, at this URL: https://www.doczj.com/doc/0d16390516.html,/en/US/docs/ios/mcl/122sxmcl/12_2sx_mcl_book.html ? The WS-X6548-GE-TX, WS-X6548V-GE-TX, WS-X6148-GE-TX, and WS-X6148V-GE-TX switching modules do not support IEEE 802.1Q tunneling. Tip For additional information about Cisco Catalyst 6500 Series Switches (including configuration examples and troubleshooting information), see the documents listed on this page: https://www.doczj.com/doc/0d16390516.html,/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html This chapter consists of these sections: ?Understanding 802.1Q Tunneling, page 23-1 ?802.1Q Tunneling Configuration Guidelines and Restrictions, page 23-3? Configuring 802.1Q Tunneling, page 23-6 Understanding 802.1Q Tunneling 802.1Q tunneling enables service providers to use a single VLAN to support customers who have multiple VLANs, while preserving customer VLAN IDs and keeping traffic in different customer VLANs segregated. A port configured to support 802.1Q tunneling is called a tunnel port. When you configure tunneling, you assign a tunnel port to a VLAN that you dedicate to tunneling, which then becomes a tunnel VLAN. To keep customer traffic segregated, each customer requires a separate tunnel VLAN, but that one tunnel VLAN supports all of the customer’s VLANs. 802.1Q tunneling is not restricted to point-to-point tunnel configurations. Any tunnel port in a tunnel VLAN is a tunnel entry and exit point. An 802.1Q tunnel can have as many tunnel ports as are needed to connect customer switches.
QinQ配置参考 2009-3-20 福建星网锐捷网络有限公司版权所有侵权必究
目录
1 QinQ配置1.1 QinQ简介 QinQ是一种二层交换技术,在服务商网络边缘连接用户网络的交换 机(即PE)上配置,实现了“用户数据跨服务商网络透明传输”, 达到VPN的效果。 PE接收到的用户数据帧很可能已经被用户自己的交换机打了一层 802.1q Tag(即C-Tag)。PE将该数据帧再打上一层802.1q Tag(即 S-Tag),转发到服务商网络中。在服务商网络中,数据帧根据S-Tag 进行转发,到达对端PE。对端PE剥去S-Tag,将数据帧转发到用户 网络中。 关于文中出现的技术术语/缩略语,后文“附录”中有简要解释。 1.2 QinQ配置指导 注意事项 缺省状态下,QinQ功能是关闭的。 ?配置QinQ有如下注意事项: ●路由口不能设置为Tunnel Port ●Ap口可以设置成Tunnel Port ●配置为Tunnel的端口不能再启用802.1x功能 ●配置为Tunnel的端口上不能启用集群 ●配置为Tunnel的端口上不加入STP算法 ●配置为Tunnel的端口上不能启用GVRP
●配置为Tunnel的端口无法使能System-guard 步骤1:根据实际网络需求,选定一种基本配置模型 QinQ 有三种基本配置模型: ●基于端口的QinQ 基于端口的QinQ,也称为“基本QinQ”。仅能够实现“用 户数据帧跨服务商网络透明传输”。广泛适用。 ●基于C-Tag的QinQ 基于C-Tag的QinQ,是“灵活QinQ”的一种。在实现“用 户数据帧跨服务商网络透明传输”的同时,能够在服务商网 络中识别出C-Tag属于特定范围的用户数据帧。 ●基于流特征的QinQ 基于流特征的QinQ,是“灵活QinQ”的一种。在实现“用 户数据帧跨服务商网络透明传输”的同时,能够在服务商网 络中识别出具有特定数据流特征的用户数据帧。 步骤2:配置“基本配置模型”和“可选配置” 1.参照“基本配置模型”,完成QinQ必选配置。 2.参照“可选配置”,实现用户的特殊需求。如: ●修改S-Tag中的TPID值 当PE上联端口上设置的TPID值与对端不一致时,必须修 改之。 ●复制Tag优先级 当服务商网络针对C-Tag中User Priority设置了QoS策略 时,必须将C-Tag中User Priority字段复制到S-Tag中。 ●透传STP协议报文 透传STP协议报文,可以实现用户网络内部的生成树实例 不间断。 ●透传GVRP协议报文 透传GVRP协议报文,可以实现用户网络内部VLAN划分 信息同步。 ?如果“基本配置模型”已经可以满足客户需求,建议不设置“可选配置”。
QinQ典型配置用例 基本QinQ实现二层VPN业务 拓扑图 企业A和企业B有办公地点,每个办公地点都有自己的网络。如下图所示, Customer A1、Customer A2、Customer B1、Customer B2分别为企业用户A、企业用户B所在网络的边缘设备。Customer A1和Customer B1通过服务提供商边缘设备Provider A接入到公网,Customer A2和Customer B2通过服务提供商边缘设备Provider B接入到公网。 Customer A1-A2使用的办公网络VLAN范围为VLAN1-100,Customer B1-B2使用的办公网络VLAN 范围为VLAN1-200。 Provider A和Provider B之间为其他厂商的设备,其TPID值为0x9100。 图 1 基本QinQ实现二层VPN业务应用拓扑 应用需求 服务提供商为企业A和企业B提供VPN服务,具体要求如下: 1、两个企业的数据在传送至对端时可以保留原有VLAN信息 2、两个企业相同VLAN编号的数据在服务提供商网络中传输时不会产生冲突 配置要点 1、下连用户网络的数据无需区分,在服务提供商边缘设备(本例为Provider A和Provider B) 上启用基本QinQ即能满足需求。
2、锐捷交换机的TPID值与其他厂商不一致,需在在服务提供商边缘设备(本例为Provider A 和Provider B)Uplink接口上将TPID值调整为与第三方设备一样的值。 说明 1、在QinQ配置模型中,当边缘设备连接服务商网络的上链口或服务提供商设备之 间相互连接的的接口为Trunk port、Hybrid port的时候,请避免将Trunk port 或Hybrid port的Native vlan设置为tunnel口的缺省vlan。因为当报文从Trunk port或Hybrid port输出时,会被剥去VID为其Native vlan的Tag。 2、由于开启QinQ功能的设备会为用户报文封装其他VLAN的外层Tag,不会按报 文中原始的VLAN进行转发,因此不需要在设备上创建用户的VLAN。 配置步骤 1)配置Provider A 第一步,创建服务商VLAN 10、20用于区别两个用户的数据 Ruijie#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Ruijie(config)#vlan 10 Ruijie(config-vlan)#exit Ruijie(config)#vlan 20 Ruijie(config-vlan)#exit 第二步,在连接企业A网络的接口上启用基本QinQ功能,使用VLAN10对企业A网络的数据 进行隧道传输。 Ruijie(config)#interface gigabitEthernet 0/1 Ruijie(config-if-GigabitEthernet 0/1)#switchport mode dot1q-tunnel Ruijie(config-if-GigabitEthernet 0/1)#switchport dot1q-tunnel native vlan 10 Ruijie(config-if-GigabitEthernet 0/1)#switchport dot1q-tunnel allowed vlan add untagged 10 第三步,在连接企业B网络的接口上启用基本QinQ功能,使用VLAN20对企业B网络的数据 进行隧道传输。 Ruijie(config)#interface gigabitEthernet 0/2 Ruijie(config-if-GigabitEthernet 0/2)#switchport mode dot1q-tunnel Ruijie(config-if-GigabitEthernet 0/2)#switchport dot1q-tunnel native vlan 20 Ruijie(config-if-GigabitEthernet 0/2)#switchport dot1q-tunnel allowed vlan add untagged 20 第四步,配置Uplink口 Ruijie(config)# interface gigabitEthernet 0/5 Ruijie(config-if-GigabitEthernet 0/5)#switchport mode uplink