QinQ的基本原理及相关特性.doc

文档名称文档密级QinQ的基本原理及相关特性 汪政/01405本文结合低端三层交换机3552产品实现，介绍了QinQ的基本原理，以及TPID, BPDU tunnel等与QinQ相关的特性。1 QinQ基本应用及原理QinQ（802.1Q in 802.1Q），也叫Vlan VPN，用于扩展Vlan的资源，并加强网络的安全性。由于IEEE802.1Q中定义的VLAN Tag域只有12个比特，所以交换机最多可以支持4k个VLAN。在实际应用中，尤其是在城域网中，需要大量的VLAN来隔离用户，4k个VLAN远远不能满足需求。以太网交换机提供的端口VLAN VPN特性，可以给报文打双重VLAN Tag，即在报文原来VLAN Tag的基础上，给报文打上新的VLAN Tag，从而可以最多提供4k X 4k个VLAN，满足城域网对VLAN数量的需求，同时也实现了运营商网络和用户网络在VLAN上的独立规划，互不影响。如图所示： VLAN VPN核心网络用户网络2用户网络1S3552S3552Vlan10,20Vlan 5(运营商规划)Vlan10,20QinQ端口QinQ端口HeaderTag Vlan 10 User DataHeaderTag Vlan 20 User DataHeaderTag Vlan 10 User DataHeaderTag Vlan 20 User DataHeaderTag Vlan 5 Tag vlan 20User DataHeaderTag Vlan 5 Tag vlan 10User DataVlan 10数据流Vlan 20数据流开启端口的VLAN VPN功能后，当该端口接收到报文，无论报文是否带有VLAN Tag，交换机都会为该报文打上本端口缺省VLAN的VLAN Tag。这样，如果接收到的是已经带有VLAN Tag的报文，该报文就成为双Tag的报文；如果接收到的是untagged的报文，该报文就成为带有端口缺省VLAN Tag的报文。 Vlan VPN的实现原理：原理很简单，芯片的每个端口有一个标识寄存器，当为1，表示启用QinQ端口，0表示通端口。在启用QinQ的端口，不管端口是Access类型，还是Trunk/Hybrid类型，对进入的报文，不论是tag还是untagged的，都会被视为untagged的，从而在入端口被分类为端口PVID 所在的vlan。其他的情况，就与标准的交换机VLAN报文转发一样了。在出端口（普通端口），如果出端口pvid不同于QinQ端口的pvid，将会打上双tag。注意：像其他的VPN网络一样，QinQ的设备配置必须符合对称使用的原则，有加双tag的设备就必须有解双tag的设备，否则会造成混乱。这个原则同样适用于后面介绍的Vlan-vpn TPID, BPDU tunnel特性。配置举例:LswA3552A3552BLswBE0/2E0/2E0/1E0/1PCAPCBLswA和LswB为任意二层交换机，3552A和3552B 起Vlan VPN。 各交换机端口的配置如下：LswA：.#vlan 1#vlan 10#interface Ethernet0/1 port link-type trunk port trunk permit vlan all#interface Ethernet0/2 port access vlan 10#pc接在E0/2上，access vlan 10，从E0/1出去带上vlan 10的tag。 S3528A:#vlan 1#vlan 100#interface Aux0/0#interface Ethernet0/1 port link-type trunk port trunk permit vlan all#interface Ethernet0/2 port access vlan 100 vlan-vpn enable undo ntdp enable# vlan-vpn tunnel# #带tag10的报文进入E0/2的QinQ端口,被识别为vlan 100的报文。从E0/1带上二层tag 100出去。S3528B:#vlan 1#vlan 100#interface Aux0/0#interface Ethernet0/1 port access vlan 100 vlan-vpn enable undo ntdp enable#interface Ethernet0/2 port link-type trunk port trunk permit vlan all# vlan-vpn tunnel# #带二层tag的报文从E0/2口进入，在vlan 100中转发，转发到QinQ端口E0/1，去掉tag100转发出去。lswB:#vlan 1#vlan 10#interface Aux0/0#interface Ethernet0/1 port access vlan 10#interface Ethernet0/2 port link-type trunk port trunk permit vlan all# vlan 10的报文从E0/2进入，在vlan 10转发，从e0/1 untag出去，到达PCB# 回程的报文一样！2 关于Vlan-vpn TPID 按照802.1Q标准，以太网帧中的Ethertype字段如果为0x8100，则表示带Vlan tag, 0x8100字段则被称为TPID，如图：.DMACSMACTPID(0x8100）TCI( Prio+VlanID)DataCRCVlan tag但是，某些厂家的设备在使用QinQ时，其外层tag的TPID值可能不是0x8100，可能是0x9100或其他。为了能和这些设备正常互通，提供了更改TPID值的命令。该命令对所有没有启用vlan-vpn的普通端口有效，表示从这个端口发出的tag报文的TPID字段会填入设置的值，对接收到的报文只有TPID字段与设置的相同，才认为是带tag的报文。命令行： Quidwayvlan-vpn tpid ? HEX Range of TPID 实际上，这个选项与QinQ没有直接关系，但是可能经常在应用QinQ时遇到这样的需求。3 BPDU Tunnel如果两地的用户网络启用STP，那么两地网络会互传BPDU报文以进行生成树计算，当BPDU报文穿越QinQ网络时，可能会碰到问题。这里有两种情况：第一种情况，如果QinQ网络中的设备没有启用STP，那么，BPDU会作为普通组播在QinQ网络中转发。这不会有问题。第二种情况，如果QinQ网络中的设备启用了STP，那么，BPDU会因为启用了STP协议而被捕获到CPU，不会从运营商网络透传出去，导致两地的用户网络不能进行统一的STP计算，可能造成混乱。为了能使运营商网络和用户网络分开进行各自的STP生成树计算，互不影响，3552提供了BPDU Tunnel功能。命令行是，系统视图下：vlan-vpn tunnel配置了这条命令后，会向芯片下发一条表项，将符合Dmac为01-00-0c-cd-cd-d0报文捕获（trap）到CPU。实现原理如图：3552A3552B3552C3552DBPDU TunnelBPDU Tunnel01-00-0c-cd-cd-d00180-c200-00000180-c200-0000当BPDU报文从用户网络3552A进入启用vlan-vpn tunnel的设备3552B，如果3552B没有启用STP，那么BPDU会作为普通组播打上tag直接被透传出去。如果3552B启用了STP，BPDU会被捕获到CPU，由软件替换目的MAC，也就是将DMAC 替换成一个多播目的MAC 01-00-0c-cd-cd-d0，而然后将报文在接收Vlan内转发出去，发出的报文会打上入端口的PVID vlan tag。当同样起用了vlan-vpn tunnel的3552C收到此报文后，又会将这个DMAC的报文捕获到CPU,由软件还原回BPDU形式，发往用户网络3