下载文档原格式
5 QinQ配置关于本章介绍QinQ的基本知识、配置方法和配置实例。
说明S2700SI和S2710SI不支持QinQ。
5.1 QinQ概述QinQ技术是一项扩展VLAN空间的技术,通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能,可以使私网VLAN透传公网。
5.2 设备支持的QinQ特性QinQ因为其自身简单灵活的特点,在各解决方案中扮演着重要的角色。
5.3 配置基本QinQ配置基本QinQ功能后,对于从接口进来的报文,加上一层公网Tag,实现用户报文在公网内转发。
5.4 配置灵活QinQ配置二层灵活QinQ接口后,对于从接口进来的带有私网Tag的用户报文,统一加上公网的Tag,实现用户报文在公网内转发。
5.5 配置外层VLAN Tag的TPID值为了实现不同厂商的设备互通,需要配置外层VLAN Tag的TPID值。
5.6 配置VLANIF接口支持QinQ Stacking功能当用户需要从本端设备远程登录到远端设备上进行远端管理时,可在远端设备上的管理VLAN对应的VLANIF接口上部署QinQ Stacking功能实现。
5.7 配置举例配置举例结合组网需求、配置思路来了解实际网络中QinQ的应用场景,并提供配置文件。
5.1 QinQ概述QinQ技术是一项扩展VLAN空间的技术,通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能,可以使私网VLAN透传公网。
在基于传统的802.1Q协议的局域网互联模式中,当两个用户网络需要通过ISP互相访问时,ISP必须为每个接入用户的不同VLAN分配不同的VLAN ID,如图5-1所示。
假设用户的网络1和网络2位于两个不同地点,并分别通过ISP的PE1、PE2接入骨干网。
如果用户需要将网络1的VLAN100~VLAN200和网络2的VLAN100~VLAN200互联起来,那么必须将CE1、PE1、P和PE2、CE2的相连接口都配置为Trunk属性,并允许VLAN100~VLAN200通过。
华为SR及交换机qinq配置节省IP地址案例一、网络拓扑图如下二、目的:1、节约IP地址使用,各PC分配同一网段IP地址,使用相同网关。
2、各PC实现两层隔离,三层互通。
三、具体配置:1、SR上下行接口A主接口配置:mode user-terminationportswitch下行接口A子接口配置:control-vid (外层vlan号)qinq-terminationqinq termination pe-vid (外层vlan号)ce-vid (内层vlan号)ip address (网关IP地址)arp broadcast enable2、S9312上全局配置:Vlan (外层vlan号)上行接口B配置实现外层vlan透传上联口:port link-type trunkundo port trunk allow-pass vlan 1port trunk allow-pass vlan (外层vlan号)(1)接口C下如需要挂PC,配置如下:全局配置,实现用户IP地址与vlan绑定:user-bind static ip-address(分配给PC的IP地址)vlan(外层vlan号)ce-vlan(内层vlan号)下行接口C配置:undo port hybrid vlan 1port hybrid untagged vlan (外层vlan号)port vlan-stacking untagged stack-vlan (外层vlan号)stack-inner-vlan (内层vlan号)ip source check user-bind enableport-isolate enable group 1(2)S9312下挂S3528后再接PCA、S9312下行接口D配置,实现透传port hybrid untagged vlan (外层vlan号)port vlan-stacking vlan (内层vlan号)stack-vlan(外层vlan号)B、S5328上全局配置:Vlan (内层vlan号)user-bind static ip-address(分配给PC的IP地址)vlan(内层vlan号)上行接口E配置:port link-type trunkundo port trunk allow-pass vlan 1port trunk allow-pass vlan (内层vlan号)下行用户口F配置:port link-type accessport default vlan (内层vlan号)ip source check user-bind enable。
基于流的灵活QinQ配置举例2009-11-01 23:08组网需求1.要求配置基于流的灵活QinQ,满足如下需求:l为VLAN 10发出的报文封装VLAN 100的外层Tag,使VLAN 10内的客户端可以通过运营商网络,访问Switch B连接的网络中VLAN 10内的服务器;l为VLAN 20发出的源MAC地址为1234-5678-9000/40的报封装VLAN 200的外层Tag,使VLAN 20内的这些客户端可以通过运营商网络,访问Switch C连接的网络中VLAN 20内的服务器;l为VLAN 20内其他客户端发出的报文封装VLAN 100的外层Tag,使VLAN 20内的这些客户端可以通过运营商网络,访问Switch B连接的网络中VLAN 20内的服务器。
2. 组网图3. 配置步骤(1)Switch A上的配置# 定义二层ACL 4000,对源MAC地址为1234-5678-9000/40的报文进行分类。
<H3C> system-view[H3C] acl number 4000[H3C-acl-link-4000] rule permit ingress 1234-5678-9000 ffff-ffff-ff00[H3C-acl-link-4000] quit# 配置端口GigabitEthernet2/0/2为Hybrid端口,并且在转发VLAN 100和VLAN 200的报文时保留VLAN Tag。
[H3C] interface GigabitEthernet 2/0/2[H3C-GigabitEthernet2/0/2] port link-type hybrid[H3C-GigabitEthernet2/0/2] port hybrid vlan 100 200 tagged[H3C-GigabitEthernet2/0/2] quit# 配置端口GigabitEthernet2/0/1为Hybrid端口,缺省VLAN为VLAN 100,并且在转发VLAN 100和VLAN 200的报文时去除VLAN Tag。
配置基本QinQ示例组网需求如图,某数据中心的租户1位于不同的地理位置,租户2位于不同的地理位置。
SwitchA和SwitchB 为数据中心的边缘设备,通过核心/骨干网连接,且核心/骨干网中存在其它厂商设备,其外层VLAN Tag的TPID值为0x9100。
现需要实现:∙租户1和租户2独立划分VLAN,两者互不影响。
∙两租户之间流量通过核心/骨干网透明传输,相同租户之间互通,不同租户之间互相隔离。
可通过配置QinQ来实现以上需求。
利用核心/骨干网提供的VLAN100使数据中心的租户1互通,利用核心/骨干网提供的VLAN200使数据中心的租户2互通,不同租户之间互相隔离。
并通过在连接其它厂商设备的接口上配置修改QinQ外层VLAN Tag的TPID值,来实现与其它厂商设备的互通。
配置思路采用如下的思路配置QinQ:1.在SwitchA和SwitchB上均创建VLAN100和VLAN200,配置连接租户的接口为QinQ类型,并分别加入VLAN。
实现不同租户添加不同的外层VLAN Tag。
2.配置SwitchA和SwitchB上连接核心/骨干网的接口加入相应VLAN,实现允许VLAN100和200的报文通过。
3.在SwitchA和SwitchB连接核心/骨干网的接口上配置外层VLAN tag的TPID值,实现与其它厂商设备的互通。
操作步骤1.创建VLAN# 在SwitchA上创建VLAN100和VLAN200<<SPAN class=keyword>HUAWEI> system-view[~HUAWEI] sysname SwitchA[*HUAWEI] commit[~SwitchA] vlan batch 100 200[*SwitchA] commit# 在SwitchB上创建VLAN100和VLAN200<<SPAN class=keyword>HUAWEI> system-view[~HUAWEI] sysname SwitchB[*HUAWEI] commit[~SwitchB] vlan batch 100 200[*SwitchB] commit2.配置接口类型为QinQ# 在SwitchA上配置接口10GE1/0/1、10GE1/0/2的类型为QinQ,10GE1/0/1的外层tag为VLAN100,10GE1/0/2的外层tag为VLAN200。
电信公司华为交换机QINQ配置实例电信公司华为交换机QINQ配置实例时下最兴的QINQ,电信公司正在全网改造,这是下一代网络必须的。
QINQ相关东东IP数据网的构架中,使用交换机做为接入设备,采用LAN作为接入方式时,往往应该考虑一个重要的问题就是用户之间的隔离,因为接入到LAN的用户往往处于同一广播域中,用户的通信信息可以被处于同一广播域中的其他用户监听到,影响了网络的安全性。
而且广播域中,大量的广播信息带来的带宽消耗和网络延迟也影响了网络的影响。
VLAN技术的提出实现了LAN接入用户的隔离,不仅提高了安全性,也通过对广播域在细分减少了网络中的广播信息。
VLAN技术就是在逻辑上把一个LAN 划分成逻辑上相互隔离的虚拟网络,VLAN中的各个成员处于统一广播域中,而VLAN间通信必须通过第三层路由。
VLAN的划分方式有很多,常用的包括基于端口的VLAN、基于MAC 的VLAN、基于网络层的VLAN等。
VLAN的技术实现中最常见的采用帧标签的方式,IEEE802.1Q提供了帧标签的标准,在VLAN Tag标签中,包含有VLAN ID是一个12位的域,可以支持4096个VLAN 实例,而User Priority则是一个3位的帧优先级,共有8种优先级。
网络中以太数据帧能够通过VLAN ID和User Priority来区别不同的网络流量。
当前由于交换芯片的限制,许多交换机VLAN范围即同时可配置的基于tag VLAN的ID的范围只能在n~n+512个的范围内。
活动VLAN即指交换机同时可以配置的基于tag VLAN 的个数一般在256个以内。
目前很多运营商要求端到端的安全辨识,希望每个用户一个VLAN,但面临的问题是标准的VLAN资源仅4096个,这就限制了宽带接入网络的组网规模。
比如,将来一个家庭用户将涉及多种业务的接入,除了普通宽带数据业务外,还有语音业务如VoIP、视频业务如IPTV 等。
那么在运营中就需要通过VLAN来区分不同的业务,一个用户就会占用多个VLAN。
一、简单原理介绍QinQ是指将用户私网VLAN Tag封装在公网VLAN Tag中,使报文带着两层VLAN Tag穿越运营商的骨干网络(公网)。
在公网中报文只根据外层VLAN Tag(即公网VLAN Tag)传播,用户的私网VLAN Tag被屏蔽。
带单层VLAN Tag的报文结构如下所示:带双层VLAN Tag的报文结构如下所示:由于QinQ的实现是基于802.1Q协议中的Trunk端口概念,要求隧道上的设备都必须支持802.1Q协议,所以QinQ只适用于小型的、以三层交换机为骨干的企业网或小规模的城域网。
QinQ主要可以解决如下几个问题:(1)、缓解日益紧缺的公网VLAN ID资源问题。
(2)、用户可以规划自己的私网VLAN ID,不会导致和公网VLAN ID冲突。
(3)、为小型城域网或企业网提供一种较为简单的二层VPN解决方案。
二、S8500典型配置实例2.1 组网需求S8500系列交换机作为运营商网络接入设备,即组网图中的Switch C、Switch D;S2000系列交换机为用户网络接入设备,即组网图中的Switch A、Switch B;Switch C与Switch D设备之间通过Trunk端口实现连接,通过配置使能VLAN-VPN TUNNEL功能,从而使用户网络与运营商网络之间实现透明传输。
2.2 组网图2.3 配置命令Switch A的基本配置:#stp enable#vlan 10#interface Ethernet3/8port link-type trunkport trunk permit vlan 1 10 Switch B的基本配置:#stp enable#vlan 10#interface Ethernet0/20 port link-type trunkport trunk permit vlan 1 10 Switch C的基本配置:#stp enable#vlan 10#vlan 20#interface Ethernet3/1/30 stp disableport access vlan 20vlan-vpn enable#interface Ethernet3/1/34 port link-type trunkport trunk permit vlan all #vlan-vpn tunnelSwitch D的基本配置:#stp enable#vlan 10#vlan 20#interface Ethernet4/1/30stp disableport access vlan 20vlan-vpn enable#interface Ethernet4/1/34port link-type trunkport trunk permit vlan all#vlan-vpn tunnel三、正常状态信息查看#查看eth3/8的stp的基本状态,可见,Eth 3/8为STP树在此交换机中的根端口。
GFA-SW-A0主控板QinQ功能配置指导一. 说明GFA6700的主控板分两种:GFA-SW-A0和GFA-SW-B0,通常情况下发货的主控都是A0板卡;B0板卡是定制板卡,支持灵活QinQ功能(根据以太网类型等字段配置QinQ),只在个别客户处使用。
本文档只对GFA-SW-A0板卡的QinQ功能进行说明。
注意,因为加了4个字节的外层标签,所以最大数据帧大小变成了1526(>1522),所以需要在OLT上打开对超长帧的支持,命令如下:GFA6700(config)#jumbo receive length 1600 (将可接受帧长设置为1600)另外要设置OLT的PON芯片对超长帧的支持,命令如下:GFA6700(config)#pon jumbo length 1596二. 方案1(推荐):在ONU上实现QinQ前提条件:1)GFA6700需要升级到V1R07B137版本。
2)目前只有GT811_A/GT812_A/GT815三种类型的ONU支持该方案。
优点:1) OLT上不需要做特殊配置,和普通应用下的配置一样。
2) OLT和ONU上对普通VLAN的配置和普通应用一样。
3)QinQ的改造可以逐个ONU进行,改造某个ONU时,对其它ONU没有影响。
缺点:1) OLT上每个PON口只支持一个外层标签,并且PON口必须用untag方式添加到外层标签VLAN中。
2)每个ONU上最多支持8个内层标签3) ONU安装后,在没有进行配置前,用户不能使用默认的VLAN 1上网。
因为用户在VLAN 1内的数据到达OLT上联的BAS设备后,会打上外层VLAN标签(没有内层标签),用户是否可以上网,决定于BAS上的业务配置情况。
配置实例:1) ONU编号为5/1/1,OLT上联口是1/1。
2) ONU上端口1接普通VLAN用户,id号为100;端口2上用户应用QinQ模式,VLAN id号为200。
3) VLAN 100的数据在OLT上按普通VLAN进行转发(向BAS转发的数据带VLAN 100标签),VLAN 200的数据在OLT上添加VLAN 1000的外层标签。
S3100-EI系列交换机使用灵活QinQ功能对不同类型的私网数据进行分类处理的配置
一、组网需求:
(1)SwitchA的端口Ethernet1/0/3连接了PC用户和IP电话用户。
其中PC用户位于VLAN100~VLAN108范围内,IP电话用户位于VLAN200~VLAN230范围内。
SwitchA的端口Ethernet1/0/5连接到公共网络,对端为SwitchB。
(2)SwitchB的Ethernet1/0/11端口接入公共网络,Ethernet1/0/12和Ethernet1/0/13端口分别接入PC 用户服务器所在VLAN100~VLAN108和IP电话用户语音网关所在VLAN200~VLAN230。
(3)公共网络中允许VLAN1000和VLAN1200的报文通过,并配置了QoS策略,对VLAN1200的报文配置有带宽保留等优先传输策略,而VLAN1000的报文传输优先级较低。
(4)在SwitchA和SwitchB上配置灵活QinQ功能,将PC用户和IP电话用户的流量分别在公网的VLAN1000和VLAN1200内传输,以利用QoS策略保证语音数据的传输优先级。
二、组网图:
三、配置步骤:
(1)配置SwitchA
# 在SwitchA上创建VLAN1000、VLAN1200和Ethernet1/0/3的缺省VLAN5。
<SwitchA> system-view [SwitchA] vlan 1000
[SwitchA-vlan1000] quit
[SwitchA] vlan 1200
[SwitchA-vlan1200] quit
[SwitchA] vlan 5
[SwitchA-vlan5] quit
# 配置端口Ethernet1/0/5为Hybrid端口,并在转发VLAN1000和VLAN1200的报文时保留VLAN Tag。
[SwitchA] interface Ethernet 1/0/5
[SwitchA-Ethernet1/0/5] port link-type hybrid
[SwitchA-Ethernet1/0/5] port hybrid vlan 1000 1200 tagged
[SwitchA-Ethernet1/0/5] quit
# 配置端口Ethernet1/0/3为Hybrid端口,缺省VLAN为VLAN5,并在转发V LAN5、VLAN1000和VLAN1200的报文时去除VLAN Tag。
[SwitchA] interface Ethernet 1/0/3
[SwitchA-Ethernet1/0/3] port link-type hybrid
[SwitchA-Ethernet1/0/3] port hybrid pvid vlan 5
[SwitchA-Ethernet1/0/3] port hybrid vlan 5 1000 1200 untagged
# 配置全局灵活QinQ映射规则,为内层VLAN是100至108的报文封装VLAN1000的外层Tag;为内层VLAN是200至230的报文封装VLAN1200的外层Tag。
[SwitchA-Ethernet1/0/3] quit
[SwitchA] vlan-vpn vid 1000
[SwitchA-vid-1000] raw-vlan-id inbound 100 to 108
[SwitchA-vid-1000] quit
[SwitchA] vlan-vpn vid 1200
[SwitchA-vid-1200] raw-vlan-id inbound 200 to 230
# 开启端口Ethernet1/0/3端口的灵活QinQ功能。
[SwitchA-vid-1200] quit
[SwitchA] interface Ethernet 1/0/3
[SwitchA-Ethernet1/0/3] vlan-vpn selective enable
经过上述配置,在SwitchA向公共网络转发报文时,会自动将VLAN100~VLAN108(PC用户)的报文封装外层Tag为VLAN1000,将VLAN200~VLAN230(IP电话用户)的报文封装外层Tag为VLAN1200。
(2)配置SwitchB
# 创建VLAN1000、VLAN1200以及Ethernet1/0/12和Ethernet1/0/13端口的缺省VLAN12和VLAN13。
<SwitchB> system-view
[SwitchB] vlan 1000
[SwitchB-vlan1000] quit
[SwitchB] vlan 1200
[SwitchB-vlan1200] qui t
[SwitchB] vlan 12 to 13
# 配置端口Ethernet1/0/11为Hybrid端口,并在发送VLAN12、VLAN13、VLAN1000和VLAN1200的报文时保留VLAN Tag。
<SwitchB> system-view
[SwitchB] interface Ethernet 1/0/11
[SwitchB-Ethernet1/0/11] port link-type hybrid
[SwitchB-Ethernet1/0/11] port hybrid vlan 12 13 1000 1200 tagged
# 配置端口Ethernet1/0/12为Hybrid端口,缺省VLAN为VLAN12,在发送VLAN12和VLAN1000的报文时去掉VLAN Tag。
[SwitchB] interface Ethernet 1/0/12
[SwitchB-Ethernet1/0/12] port link-type hybrid
[SwitchB-Ethernet1/0/12] port hybrid pvid vlan 12 [SwitchB-Ethernet1/0/12] port hybrid vlan 12 1000 untagged [SwitchB-Ethernet1/0/12] quit
# 配置端口Ethernet1/0/13为Hybrid端口,缺省VLAN为VLAN13,在发送VLAN13和VLAN1200的报文时去掉VLAN Tag。
[SwitchB] interface Ethernet 1/0/13
[SwitchB-Ethernet1/0/13] port link-type hybrid
[SwitchB-Ethernet1/0/13] port hybrid pvid vlan 13 [SwitchB-Ethernet1/0/13] port hybrid vlan 13 1200 untagged
经过上述配置,SwitchB可以将公网中VLAN1000和VLAN1200的数据分别通过Ethernet1/0/12和Ethernet1/0/13端口发送到相应的服务器。
为使服务器端返回的数据能够使用同样的传输方式返回客户端,需要在SwitchB上也配置相应的灵活QinQ映射规则,并在Ethernet1/0/12和Ethernet1/0/13端口开启灵活QinQ功能,配置方法与SwitchA类似,这里不再赘述。
四、配置关键点:
由于开启灵活QinQ的设备会为用户报文封装其他VLAN的外层Tag,不会按报文中原始的Tag进行转发,因此不需要在设备上配置用户的VLAN。
在启动了灵活QinQ的端口必须允许本端口的缺省VLAN通过,同时,接入公网的端口也必须允许该VLAN 通过。
