詳解二次封裝VLAN技術(shù)

三Truitk用尸制的配置Tnmk^l.AXTnifikXLA、言嬸」碰PE1juirh?anftiiTrunk'Ll'詳解二次封裝VLAN技術(shù)——INQ1QinQ簡(jiǎn)介4詳解二次封裝三Truitk用尸制的配置Tnmk^l.AXTnifikXLA、言嬸」碰PE1juirh?anftiiTrunk'Ll'QinQ是對(duì)802.1Q的擴(kuò)展，其核心思想是將用戶私網(wǎng)VLANtag封裝到公網(wǎng)VLANtag上，報(bào)文帶著兩層tag穿越服務(wù)商的骨干網(wǎng)絡(luò)，從而為用戶提供一種較為簡(jiǎn)單的二層VPN隧道。其特點(diǎn)是簡(jiǎn)單而易于管理，不需要信令的支持，僅僅通過靜態(tài)配置即可實(shí)現(xiàn)，特別適用于小型的，以三層交換機(jī)為骨干的企業(yè)網(wǎng)或小規(guī)模城域網(wǎng)。圖1為基于傳統(tǒng)的802.1Q協(xié)議的網(wǎng)絡(luò)，假設(shè)某用戶的網(wǎng)絡(luò)1和網(wǎng)絡(luò)2位于兩個(gè)不同地點(diǎn)，并分別通過服務(wù)提供商的PE1、PE2接入骨干網(wǎng)，如果用戶需要將網(wǎng)絡(luò)1的VLAN200-300和網(wǎng)絡(luò)2的VLAN200-300互聯(lián)起來，那么必須將CE1、PE1、P和PE2、CE2的相連端口都配置為Trunk屬性，并允許通過VLAN200-300，這種配置方法必須使用戶的VLAN在骨干網(wǎng)絡(luò)上可見，不僅耗費(fèi)服務(wù)提供商寶貴的VLANID資源（一共只有4094個(gè)VLANID資源），而且還需要服務(wù)提供商管理用戶的VLAN號(hào)，用戶沒有自己規(guī)劃VLAN的權(quán)利。Trunk對(duì)尊說鹽W芾xHmaitlab勿中國(guó)IT實(shí)驗(yàn)室圖一為了解決上述問題，QinQ協(xié)議向用戶提供一個(gè)唯一的公網(wǎng)VLANID，這個(gè)特殊的VLANID被稱作Customer-ID，將用戶私網(wǎng)VLANtag封裝在這個(gè)新的Customer-ID中，依靠它在公網(wǎng)中傳播，用戶私網(wǎng)VLANID在公網(wǎng)中被屏蔽，從而大大地節(jié)省了服務(wù)提供商緊缺的VLANID資源，如圖2所示。Z1?bLVLKfi1U0-M0FE世折痛擇￥Z1?bLVLKfi1U0-M0FE世折痛擇￥智林柯同魅Mfill.小誠(chéng)J、L%、3/mg凝1^1VL.W3GEZ阡ilt備劉LI耐K降讓:ijftAflIr.JEWJYLADiJliilHk站林就鐐曲即旅frlYnihk1i.直Hk-Hn"二京rfffl&ftab中國(guó)IT實(shí)強(qiáng)室在QinQ模式下，PE上用于用戶接入的端口被稱作用戶端口。在用戶端口上使能QinQ功能，并為每個(gè)用戶分配一個(gè)Customer-ID，此處為3,不同的PE上應(yīng)該為同一網(wǎng)絡(luò)用戶分配相同的Customer-ID.當(dāng)報(bào)文從CE1到達(dá)PE1時(shí)，帶有用戶內(nèi)部網(wǎng)絡(luò)的VLANtag200-300，由于使能了QinQ功能，PE上的用戶端口將再次為報(bào)文加上另外一層VLANtag，其ID就是分配給該用戶的Customer-ID.此后該報(bào)文在服務(wù)提供商網(wǎng)絡(luò)中傳播時(shí)僅在VLAN3中進(jìn)行且全程帶有兩層VLANtag（內(nèi)層為進(jìn)入PE1時(shí)的tag，外層為Customer-ID），但用戶網(wǎng)絡(luò)的VLAN信息對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)來說是透明的。當(dāng)報(bào)文到達(dá)PE2，從PE2上的客戶端口轉(zhuǎn)發(fā)給CE2之前，外層VLANtag被剝?nèi)?，CE2收到的報(bào)文內(nèi)容與CE1發(fā)送的報(bào)文完全相同。PE1到PE2之間的運(yùn)營(yíng)商網(wǎng)絡(luò)對(duì)于用戶來說，其作用就是提供了一條可靠的二層鏈路?？梢姡褂肣inQ組建VPN具有如下特點(diǎn)：?無需信令來維持隧道的建立，通過簡(jiǎn)單的靜態(tài)配置即可實(shí)現(xiàn)，免去了繁雜的配置，維護(hù)工作。?運(yùn)營(yíng)商只需為每個(gè)用戶分配一個(gè)Customer-ID，提升了可以同時(shí)支持的用戶數(shù)目；而用戶也具有選擇和管理VLANID資源的最大自由度（從1-4096中任意選擇）。?在運(yùn)營(yíng)商網(wǎng)絡(luò)的內(nèi)部，P設(shè)備無需支持QinQ功能，即傳統(tǒng)的三層交換機(jī)完全可以滿足需求，極大地保護(hù)了運(yùn)營(yíng)商的投資。?戶網(wǎng)絡(luò)具有較高的獨(dú)立性，在服務(wù)提供商升級(jí)網(wǎng)絡(luò)時(shí)，用戶網(wǎng)絡(luò)不必更改原有的配因此，無論是對(duì)于運(yùn)營(yíng)商還是用戶來說，采用QinQ方式組建VPN都是一種低成本，簡(jiǎn)便易行，易于管理的理想方式。QinQ典型組網(wǎng)下面通過一個(gè)典型的組網(wǎng)方案來說明QinQ的應(yīng)用。如圖3所示，該網(wǎng)有兩個(gè)用戶，用戶1需要將自己在A點(diǎn)的VLAN1-100和D點(diǎn)的VLAN1-100連接起來，用戶2需要將自己在B點(diǎn)的VLAN1-200和C點(diǎn)的VLAN1-200連接起來，傳統(tǒng)的802.1Q組網(wǎng)是不可能實(shí)現(xiàn)這一需求的，因?yàn)閮蓚€(gè)用戶所使用的VLANID號(hào)有沖突，但是利用QinQ卻可輕易地實(shí)現(xiàn)這一需求。在圖3中，中間的網(wǎng)絡(luò)為服務(wù)提供商的網(wǎng)絡(luò)，它由四臺(tái)S3552實(shí)現(xiàn)VPN用戶的接入（網(wǎng)絡(luò)中可能還有其它交換機(jī)，此處為簡(jiǎn)單起見，略去），相互之間通過環(huán)狀千兆鏈路連接實(shí)現(xiàn)鏈路備份，使能STP協(xié)議。這四臺(tái)設(shè)備之間通過Trunk端口連接，可透?jìng)魅我釼LAN報(bào)文，為了達(dá)到自動(dòng)VLAN學(xué)習(xí)的目的，還可啟動(dòng)GVRP協(xié)議。需要注意的是，所有這些二層協(xié)議只能在網(wǎng)絡(luò)側(cè)的端口使能，而不能在用戶接入端口上使能，避免用戶私有網(wǎng)絡(luò)受到服務(wù)提供商網(wǎng)絡(luò)的干擾。用戶1使用Customer-ID30的QinQ端口進(jìn)行接入，用戶2使用Customer-ID40的QinQ端口進(jìn)行接入，保證它們?cè)诠W(wǎng)上通過Trunk端口進(jìn)行傳輸，互不影響。用戶可在私網(wǎng)內(nèi)部運(yùn)行STP協(xié)議，實(shí)現(xiàn)鏈路備份。例如，用戶1的A點(diǎn)使用了兩條鏈路連到S3552，STP可自動(dòng)地將一條鏈路斷開，避免形成環(huán)路。注意，此時(shí)S3552的兩個(gè)QinQ接入端口均不能使能STP協(xié)議，這是因?yàn)樗鼈儗儆谟脩羲骄W(wǎng)拓?fù)?，與公網(wǎng)無關(guān)。QinQ對(duì)其它特性的影響由于在用戶接入端口使能了QinQ，導(dǎo)致VPN用戶的報(bào)文在網(wǎng)絡(luò)上傳播時(shí)帶有兩層VLANtag，此時(shí)三層交換機(jī)的三層交換功能對(duì)于這種特殊的報(bào)文失效，因?yàn)榻粨Q機(jī)無法正確地獲取報(bào)文內(nèi)攜帶的IP地址等信息。但我們不必為此擔(dān)心，因?yàn)閂PN報(bào)文只在Customer-ID對(duì)應(yīng)的VLAN內(nèi)作二層轉(zhuǎn)發(fā)，根本無需使用三層信息進(jìn)行轉(zhuǎn)發(fā)。而對(duì)于運(yùn)營(yíng)商網(wǎng)絡(luò)內(nèi)的其它普通報(bào)文，由于屬于不同的VLAN，三層轉(zhuǎn)發(fā)不會(huì)受到影響。在使能QinQ的用戶接入端口，仍然可以使用acl規(guī)則對(duì)報(bào)文進(jìn)行流分類，流限速，重定向等qos/acl*作，這無疑有利于運(yùn)營(yíng)商面向不同用戶提供不同層次的差別服務(wù)。對(duì)于用戶來說，選擇適合自己需求的服務(wù)能夠節(jié)省開支;而運(yùn)營(yíng)商也可以借此吸引更廣泛的用戶對(duì)象。QinQ簡(jiǎn)介i.i.i原理介紹qinq是指將用戶私網(wǎng)vlantag封裝在公網(wǎng)vlantag中，使報(bào)文帶著兩層vlantag穿越運(yùn)營(yíng)商的骨干網(wǎng)絡(luò)（公網(wǎng)）。在公網(wǎng)中報(bào)文只根據(jù)外層vlantag（即公網(wǎng)vlantag）傳播，用戶的私網(wǎng)vlantag被屏蔽。帶單層vlantag的報(bào)文結(jié)構(gòu)如下所示：DASAET?PE(S100)用戶吐ANTAGETYPEDATAFCS(6B).(迫㈣"(-2B)（口罰500日》.（4日）圖1-1帶用戶ML崢JTag的報(bào)文帶雙層vlantag的報(bào)文結(jié)構(gòu)如下所示:DA(PB)SA餌日）ETYPEt2BjNestedTAGETYPEUservLWJTAGErrPEab：iD<AtD?15D0BlFCS(4B)圖1心封溪了外層VLANT日g的報(bào)玄相對(duì)基于mpls的二層vpn，qinq具有如下特點(diǎn)：為用戶提供了一種更為簡(jiǎn)單的二層vpn隧道。不需要信令協(xié)議的支持，可以通過純靜態(tài)配置實(shí)現(xiàn)。由于qinq的實(shí)現(xiàn)是基于802.1q協(xié)議中的trunk端口概念，要求隧道上的設(shè)備都必須支持802.1q協(xié)議，所以qinq只適用于小型的、以三層交換機(jī)為骨干的企業(yè)網(wǎng)或小規(guī)模的城域網(wǎng)。qinq主要可以解決如下幾個(gè)問題：緩解日益緊缺的公網(wǎng)vlanid資源問題。用戶可以規(guī)劃自己的私網(wǎng)vlanid，不會(huì)導(dǎo)致和公網(wǎng)vlanid沖突。為小型城域網(wǎng)或企業(yè)網(wǎng)提供一種較為簡(jiǎn)單的二層vpn解決方案。1.1.2qinq的實(shí)現(xiàn)方式s9500系列路由交換機(jī)通過以下兩種方式實(shí)現(xiàn)qinq：（1）開啟端口的vlanvpn特性功能開啟端口的vlanvpn功能后，當(dāng)該端口接收到報(bào)文，無論報(bào)文是否帶有vlantag，交

換機(jī)都會(huì)為該報(bào)文打上本端口缺省vlan的vlantag。這樣，如果接收到的是已經(jīng)帶有vlantag的報(bào)文，該報(bào)文就成為雙tag的報(bào)文；如果接收到的是untagged的報(bào)文，該報(bào)文就成為帶有端口缺省vlantag的報(bào)文。（2）配置基于流分類的nestedvlan基于流分類的nestedvlan，即靈活qinq，是對(duì)qinq的一種更靈活的實(shí)現(xiàn)。用戶可以對(duì)端口下匹配特定acl流規(guī)則的報(bào)文進(jìn)行如下操作：設(shè)置報(bào)文的外層vlantag修改報(bào)文的外層vlantag1.1.3qinq報(bào)文的tpid值可調(diào)功能tpid（tagprotocolidentifier，標(biāo)簽協(xié)議標(biāo)識(shí)）是vlantag中的一個(gè)字段，ieee802.1q協(xié)議規(guī)定該字段的取值為0x8100。ieee802.1q協(xié)議定義的以太網(wǎng)幀的tag報(bào)文結(jié)構(gòu)如下:DASA'DASA'Tag..FrameLoadFCSTPIDUserPriorityCFIVLANID2bytes3bits國(guó)1-3赤太網(wǎng)植的Tag報(bào)玄靖梅1bit12bitss9500系列交換機(jī)缺省采用協(xié)議規(guī)定的tpid值（0x8100）。某些廠商的設(shè)備將qinq報(bào)文外層tag的tpid值設(shè)