VLAN技术发展及应用

VLAN技术发展及应用

VLAN基础知识

VLAN划分方式及应用

VLAN动态配置技术

VLAN应用技术目录VLAN发展起源L2L2L2L2L2广播域广播报文VLAN发展起源L2L2L2L2L2广播域广播报文使用路由器隔离广播域，减少广播报文对网络的影响VLAN发展起源L2L2L2L2L2广播报文VLAN的引入，为解决广播报文的泛滥提供了新的方法VLAN2VLAN3VLAN4一个VLAN，一个广播域VLAN发展VLAN的优点限制广播域，抑制广播报文隔离用户，保证网络安全虚拟工作组，超越传统网络的工作组方式企业网——虚拟工作组商务楼宇内的中心交换机，根据楼宇内不同公司对端口需求，将每个公司所拥有的端口划分到不同的VLAN，实现公司间业务数据的完全隔离，可以认为每个公司拥有独立的“虚拟交换机”，每个VLAN就是一个“虚拟工作组”。公司A公司B公司CVLAN2VLAN3VLAN4企业网——跨交换机虚拟工作组公司业务发展，部门需要跨越不同的商务楼宇，通过TRUNK端口连接不同楼宇的中心交换机，实现跨不同的交换机的不同公司的业务数据隔离，以及同一公司内业务数据的互通公司A公司B公司C公司A公司B公司CVLAN2VLAN3VLAN4VLAN2VLAN3VLAN4Trunk企业网——虚拟工作组互通对于不同的公司之间的互通需求，可以通过VLAN间互通来解决。对于VLAN终结在一个三层交换机上的组网方式，可以直接在三层交换机上为每个VLAN配置路由虚接口，实现VLAN间路由。如果不允许VLAN之间互通，则可以配置ACL规则。公司A公司B公司CVLAN2VLAN3VLAN4Trunk公司A公司B公司CVLAN3VLAN4VLAN2VLAN2路由虚接口VLAN3路由虚接口VLAN4路由虚接口企业网——虚拟工作组互通为了管理上的方便，以及分担一定的互通流量，VLAN终结在不同的三层交换机。VLAN间的互通需要三层交换机之间的路由来实现，在交换机上需要配置配置静态路由或运行路由协议。公司A公司B公司CVLAN2VLAN3VLAN4Trunk公司A公司B公司CVLAN3VLAN4VLAN2VLAN2路由虚接口VLAN3路由虚接口VLAN4路由虚接口三层路由VLAN5路由虚接口引言VLAN技术的出现，为以太网应用开辟了一个新的舞台。802.1Q的出现把以太网交换机的应用推向了一个新的高峰。1、引入了802.1p优先级，解决了以太网的qos问题2、引入了vlantag的概念，使得跨设备跨距离的应用成为可能，以太网进入园区网甚至城域网VLAN是什么？VLAN，简单说就是一个广播域。广播报文、未知单播会在VLAN内广播。VLAN即虚拟LAN，可以跨越多个物理设备构成一个逻辑LAN。通过VLAN可以灵活构建虚拟工作组，同一工作组的用户不必局限于某一固定的物理范围，网络构建和维护更方便灵活。跨设备VLAN跨设备的VLAN成员之间互连，必然涉及不同VLAN流量的识别问题。如右图。解决办法是在跨设备转发时给报文带上VLAN信息，如打一个VLAN标签。设备根据VLAN标签做出转发决策。IEEE802.1Q中定义了VLAN标签；同时吸纳了802.1p的成果，在Ethernet上引入了优先级。对于跨设备的VLAN成员互连，CISCO有自己的私有封装ISL－InterSwitchLink.LSW1VLAN10VLAN10VLAN20VLAN20LSW2这条链路上如何区分VLAN10、20的流量？802.1Q封装（forethernet）DestSrcDataLen/EtypeTagControlInfoEtype0x8100FCSVLAN-IDCanonicalFormatIndicator662224...DestSrcFCSDataLen/Etype802.1p优先级VLANID12位，0-FFF，0和FFF(4095)不能使用优先级3位，0-78021Q封装VLAN成员连接方式Access连接报文不带tag标签；一般用于和tag-unaware的设备相连，或者不需要区分不同VLAN成员时使用。Trunk连接PVID所属VLAN不带tag，其他VLAN中的报文都必须带tag；用于tag-aware设备之间的互连。Hybrid连接

可根据需要设置某些VLAN报文带tag，某些VLAN报文不带tag；用于同时和tag-aware、tag-unaware设备互连。交换机tag/untag处理原则为了快速高效处理，交换机内部报文一律tag，以统一方式处理。tag报文进入交换机端口端口属性为Access：PVID和tag标明的VLAN一致，接收并处理报文；否则丢弃。端口属性为Trunk/Hybrid：如果端口允许tag中标明的VLAN通过，则接收并处理报文；否则丢弃。untag报文进入交换机端口接收报文，并给报文打上PVID的tag。交换机tag/untag处理原则报文出端口属性为Access：报文不带tag。端口属性为Trunk：报文所在VLAN和PVID相同，则报文不带tag；否则带tag。端口属性为Hybrid：报文所在VLAN配置为tag则报文带tag；否则不带tag。交换机MAC学习方式IVL－－IndependentVLANLearing同一个MAC可以在MAC表中出现多次，学习到不同VLAN。SVL－－SharedVLANLearning同一MAC在MAC表中只能出现一次。SVL设备在组网应用上存在一些局限性。议题VLAN基础知识VLAN划分方式及应用VLAN动态配置技术VLAN应用技术VLAN划分方式基于端口基于子网基于MAC基于协议基于端口和子网的VLAN基于端口的VLAN这是最简洁、最广泛实现的划分方式，把多个端口划入一个VLAN。基于子网根据报文源IP及掩码来确定报文所属VLAN。比如，可以配置/24纳入VLAN100；/24纳入VLAN200；再配置某个端口属于这两个VLAN。在这个端口，对于untag报文：所有源ip在/24内的报文被打上VLAN100标签在VLAN100内转发；在/24内的被打上VLAN200标签。（如果报文是tag的呢？）不要把基于子网的VLAN和三层VLAN的IP配置搞混，两码事，基于子网的VLAN划分时不必考虑三层。基于MAC的VLAN基于MAC的VLAN交换机根据报文的源MAC来确定报文应该在哪个VLAN中进行转发。实际上就是根据终端设备的MAC来划分VLAN。这必然要求交换机能明了MAC和VLAN的映射关系。基于协议的VLAN协议VLAN即根据端口接收到的报文所属的协议（族）类型及封装格式来给报文分配不同的VLANID。如IP、IPX、AppleTalk协议族；EthernetII，802.3，802.3/802.2LLC，802.3/802.2SNAP等封装格式。IEEE802.1v作为对802.1Q的一个补充，初步完成了基于端口和协议的VLAN(port-and-protocol-basedVLAN)的标准草案。目前我司的实现基本遵循8021.v标准，并顺带对IP协议族实现了基于子网的VLAN。协议VLAN原理用户配置协议VLAN，并指定归入本VLAN的报文的“协议模板”；设备上可配置一个端口属于一个或多个协议VLAN和普通VLAN。“协议模板”由“封装格式”+“协议类型”确定，一个协议VLAN可由一个协议模板定义。设备端口接收到untag报文，先识别报文的“协议模板”，接着确定报文所属VLAN：如果端口根本没有配置属于某个协议VLAN，则给报文打端口PVID的tag。如果端口配置了属于某些协议VLAN，且报文的“协议模板”匹配其中某个协议VLAN，则给报文打上该协议VLAN的tag。如果端口配置了属于某些协议VLAN，但报文的“协议模板”和所有协议VLAN不匹配，则给报文打端口PVID的tag。设备端口接收到tag报文，处理方式和基于端口的VLAN一样：端口允许该tag标识的VLAN通过则作正常转发处理；不允许则丢弃报文。协议VLAN－－以太网报文封装格式Type(2)DA&SA(12)DATALength(2)DA&SA(12)DATAEthernetII封装802.3raw封装Type取值: 0x06000xFFFFLength取值: 0x00000x05DC目前只有IPX支持802.3raw封装，以Length紧跟0xFFFF标识。IEEE802.3最初不支持type封装，但type封装使用极为广泛，在1997年后，IEEE802.3接纳了Type封装。所以EthernetII封装在有些场合被成为802.3type封装。协议VLAN－－以太网报文封装格式DSAP(1)SSAP(1)Control(1)DA&SA(12)Length(2)DATAOUI(3)PID(2)0xAA0xAA0x03DA&SA(12)Length(2)DATA00-00-00Type(2)0xAA0xAA0x03DA&SA(12)Length(2)DATA802.3/802.2LLC802.3/802.2SNAP802.3/802.2SNAPRFC1042封装LLC中的DSAP和SSAP标识的是上层（链路层或网络层）协议，比如NetBios为0xF0，IPX为0xE0。SNAP封装中，OUI（Organizationally-UniqueIdentifier）代表机构名称，PID是OUI代表的机构分配的私有协议号，指明了报文的上层协议。如苹果公司的OUI为08-00-07，其AppleTalk协议的PID为0x809B。SNAP封装中OUI为00-00-00时，PID有特殊意义：PID字段有和EthernetII封装的type类型同样的意义，即PID被解释为全局唯一的协议号，而不是某组织分配的私有协议号。这就是RFC1042封装。协议VLAN－－协议模板常用的协议类型IP、IPX、AppleTalk在设备命令行中一般都有定义。IP：支持两种封装支持EthernetII和SNAP（RFC1042），Type均为0x0800ARP/RARP需要特殊处理，Type为0x0806IPX：支持所有4种封装EthernetII和SNAP（RFC1042）：type为0x8137802.3raw封装：特征为Length后紧跟0XFFFF802.3/802.2LLC：DSAP/SSAP=0xE0AppleTalk：支持两种封装EthernetII和SNAP（RFC1042）：Type均为0x809B协议VLAN－－自定义协议模板自定义协议模板，即定义“封装格式”+“协议类型”EthernetII封装格式+Type字段。LLC封装格式+DSAP/SSAP。SNAP(RFC1042)封装格式+Type字段。举例定义NetBios协议VLAN，其协议模板可以这样定义：使用802.3/802.2LLC封装，DSAP/SSAP均为0xF0。协议VLAN的一些原则同一个协议VLAN下不能配置相同的“协议模板”无意义的重复不同协议VLAN可配置相同的“协议模板”匹配相同“协议模板”的报文可以分属不同的协议VLAN，入端口不同就可以区分开。不同协议VLAN配置相同的“协议模板”，不能下发到同一个端口很自然的原则，否则overlap时，报文匹配相同的“协议模板”，到底归入哪个VLAN？只有Hybrid端口支持协议VLAN。协议VLAN只处理untag报文，这样Trunk端口支持协议VLAN没有意义；Access端口只属于一个VLAN，支持协议VLAN也没有意义。议题VLAN基础知识VLAN划分方式及应用VLAN动态配置技术VLAN应用技术VLAN动态配置技术VLAN动态配置技术在用户接入的VLAN有不确定性和时效性时尤其有用：如图，LSW5连接一个开放性区域，PC用户上线时通过8021x自动配置到不同的VLAN，从而连入不同的用户组。用户下线则在LSW5上删除对应的VLAN。如果使用静态配置，考虑到STP可能的切换，则必须在LSW2/3/4上配置所有可能用到的VLAN。在LSW5上不接入该VLAN的用户时无谓的扩大了广播域。使用动态VLAN配置技术可以只在LSW5上有该VLAN的用户时，自动在LSW2/3/4上配置该VLAN，用户下线则自动删除。LSW1LSW5group1PCLSW2LSW4VLAN10LSW3VLAN20group2PCVLAN动态配置技术动态VLAN配置技术，简化了VLAN配置管理，减少了因为配置不一致而导致的网络互通问题。动态VLAN能智能的根据用户需要，在一定网络范围内，动态配置VLAN并把相关端口加入动态VLAN中。保证VLAN在该网络范围内的联通性。目前有两种动态VLAN配置技术：GVRP：GARPVLANRegisterProtocol，是GARP协议的一个应用，在IEEE802.1Q中定义。VTP：VLANTrunkProtocol，CISCO的私有协议。议题VLAN基础知识VLAN划分方式及应用VLAN动态配置技术VLAN应用技术VLAN应用技术Isolated-userVLAN

SuperVLAN端口隔离QinQ（VMAN）组播VLAN其他讨论Isolated-UserVLAN商业以太网接入的快速发展对传统VLAN网络提出了挑战，从安全性考虑出发，运营商一般要求接入用户互相隔离。VLAN是天然的隔离手段，很自然的一个想法是每个用户一个VLAN。但是，对于运营商来说，4094个VLAN远远不够。而且VLAN是需要三层终结的，为每个只包含一个用户的VLAN进行三层终结？Impossible！Isolated-UserVLAN（CISCO称PVLAN－－PrivateVLAN）技术首先被用来应对这个问题。Isolated-UserVLANIsolated-UserVLAN把多个SecondaryVLAN映射到一个PrimaryVLAN。SecondaryVLAN用于连接接入用户，SecondaryVLAN之间互相隔离。PrimaryVLAN用于上行，上行连接的设备只知道PrimaryVLAN。理论上每个PrimaryVLAN可以包含4094个SecondaryVLAN，所以相当于提供了4094×4094个VLAN。V10V2V5V8LSW1LSW2LSW2上启动Isolated-userVLAN功能SecondaryVLAN:VLAN2、5、8PrimaryVLAN:VLAN10VLAN2、5、8映射到VLAN10VLAN2、5、8对LSW1不可见Isolated-UserVLAN实现原理V10V2V5V8LSW1LSW2P2P1P3P4LSW2上启动Isolated-UserVLAN功能SecondaryVLAN:VLAN2、5、8PrimaryVLAN:VLAN10VLAN2、5、8映射到VLAN10我司使用端口的Hybrid属性实现Isolated-UserVLAN功能。配置了secondayVLAN到PrimaryVLAN的映射后，图中：P1：hybrid端口；PVID，10；属于VLAN10、2、5、8，均为untag。P2：hybrid端口；PVID，2；属于VLAN10、2，均为untag。P3、P4和P2类似。Isolated-UserVLAN用户访问外部网络PC/240-0-2LSW1LSW2P2：2、10P1：10、2、5、8网关：/24，0-0-1OUT:IN:LSW2的MAC表：0-0-2VLAN2P20-0-2VLAN10P20-0-1VLAN10P10-0-1VLAN2P1PC1发送ARP请求网关MAC到达P2，P2的PVID为2，ARP报文在VLAN2内转发，因为P1也在VLAN2内，网关能收到这个ARP报文。（注意PC的MAC同时学习到PrimaryVLAN）网关给PC回应ARP报文（单播），到达P1，P1的PVID为10，所以报文在VLAN10内转发。P2同时在VLAN10中，因为VLAN10中的MAC和VLAN2中进行了同步，所以报文从P2中发到PC。PC学到了网关MAC后，后续的访问外部网络的流量在网关和PC之间转发：出报文在SecondaryVLAN中转发；入报文在PrimaryVLAN中转发。Isolated-UserVLAN用户间互访要求LSW1启动ARPProxy功能。ARP转发流程和MAC学习跟前面讲的类似。网关收到请求的ARP时，会发送一个请求的ARP。收到ARP请求后把自己的MAC：0-0-3回给网关。网关欺骗说的MAC为自己的MAC：0-0-1。后续访问的流量都经过网关作三层转发。访问类似。V2/240-0-2LSW1LSW2P2：2、10P1：10、2、5、8网关：/24，0-0-1V5/240-0-3P3：5、10Isolated-UserVLAN的局限性按前面提到的使用端口Hybrid属性实现Isolated-userVLAN，则不能tag上行。这一局限大大限制了Isolated-UserVLAN的使用，组网不够灵活。SecondaryVLAN之间的互通需要使用ARPProxy，较大的增加了三层设备的负担。在监控中的应用NVR双IP组网：—Isolate-user-VLAN在交换机上可以使用Isolate-User-VLAN来解决安全问题。将NVR直连接口加入到Isolate-user-VLAN，将其内网口和外网口加入到不同的SecondaryVLAN中#配置VLAN5为Isolate-user-VLAN。[DeviceB]vlan5[DeviceB-vlan5]isolate-user-vlanenable#创建SecondaryVLAN23。[DeviceB]vlan2to3#配置Isolate-user-VLAN和SecondaryVLAN间的映射关系。[DeviceB]isolate-user-vlan5secondary2to3#配置NVR连接口GigabitEthernet1/0/5在VLAN5中工作在promiscuous模式。[DeviceB]interfacegigabitethernet1/0/5[DeviceB-GigabitEthernet1/0/5]portisolate-user-vlan5promiscuous#将外网口添加到VLAN3，并配置它们工作在host模式。[DeviceB]interfacegigabitethernet1/0/1[DeviceB-GigabitEthernet1/0/1]portaccessvlan3[DeviceB-GigabitEthernet1/0/1]portisolate-user-vlanhost#将所有的内网口添加到VLAN2，并配置它们工作在host模式。[DeviceB]interfacegigabitethernet1/0/2[DeviceB-GigabitEthernet1/0/2]portaccessvlan2[DeviceB-GigabitEthernet1/0/2]portisolate-user-vlanhost外网内网IP1IP2IPC1NVRXP1IPC2XP2网口1网口2注：交换机需要支持Isolate-User-VLAN，对交换机型号有一定的要求，推荐交换机类型：H3C：S5500，价格较高VLAN应用技术Isolate-userVLANSuperVLAN端口隔离QinQ（VMAN）组播VLAN其他讨论SuperVLANSuperVLAN由RFC3069定义，SuperVLAN也称为VLAN聚合技术。SuperVLAN技术的主要目的是为了节省IP地址，并提高编址灵活性：VLAN需要三层终结，传统的VLAN技术采用一个VLAN一个三层接口终结的方式。网络内子网号和子网广播地址不能使用，VLAN三层接口子网划分过细会浪费大量地址。传统VLAN三层终结方式，导致编址缺乏灵活性，网络升级麻烦。SuperVLANSuperVLAN引入super-VLAN和sub-VLAN的概念。一个super-VLAN可以包含一个或多个sub-VLAN。sub-VLAN没有单独的子网网段，共用super-VLAN的网段。不同sub-VLAN属于不同的广播域，实现广播隔离。同一个super-VLAN中，无论主机属于哪一个sub-VLAN，其IP地址都在super-VLAN对应的子网网段内。SuperVLAN实现传统配置了三层接口的VLAN，包含若干物理端口，并绑定路由域ID、IP地址、对应的MAC地址。super-VLAN和传统VLAN的区别是不包含物理端口，使用Sub-VLAN的端口。sub-VLAN和传统VLAN的唯一区别是没有绑定IP地址，共同使用super-VLAN的IP地址。VLAN2VLAN22VLAN21sub-VLAN用户访问外部网络和互访host1LSW1VLAN2：super-VLAN，作为host1、2的网关VLAN21、22：sub-VLAN，隶属于VLAN2VLAN3：正常VLAN，上行VLAN3host2出方向：收到host1发送的请求网关MAC的ARP时，回应的MAC？回应sub-VLAN对应的MAC或super-VLAN对应的MAC均可，只要和设备收到报文，作转发决策对目的MAC进行检查时使用的MAC一致即可。入方向：回到host1的报文在VLAN2所在的路由域转发？VLAN2没有端口！上层软件在构建host1的ARP表项时，根据映射关系，出接口对应到sub-VLAN21，在VLAN21内转发。sub-VLAN用户之间的访问需要使用ARPProxy。internetSuperVLAN的局限性各sub-VLAN内主机地址可以随意分配，这会导致管理混乱，有一定安全隐患，同时也导致实施sub-VLAN间的访问策略困难。对于安全上的考虑，RFC建议尽量给sub-VLAN分配固定范围的地址，如果在某个sub-VLAN上收到源IP非本sub-VLAN内地址的IP或ARP报文应该丢弃，并产生log信息。VLAN应用技术Isolate-userVLANSuperVLAN端口隔离QinQ（VMAN）组播VLAN其他讨论反思…….为了实现用户隔离而采用一个用户一个VLAN的策略，结果导致VLAN不够，所以才有了Isolated-UserVLAN。隔离用户非得采用一个用户一个VLAN？SuperVLAN的提出是因为：为了限制广播域，不得不划分VLAN，VLAN划分过细会导致IP地址浪费。能否不划分VLAN也能限制广播域？端口隔离配置为隔离端口的端口之间广播、组播和单播报文都不能互通。隔离组中的端口可以属于不同VLAN。端口隔离提供了较好的安全性，同时节省了VLAN资源端口隔离是否能解决上页提到的问题？端口隔离没有什么原理，通过硬件芯片进行限制。隔离端口，CISCO中称为ProtectedPort。端口隔离优缺点优点为以太网接入提供了一种额外的低成本安全解决方案。一些原来需要使用Isolated-UserVLAN和SuperVLAN的地方也可以使用端口隔离。端口隔离功能由芯片直接提供，实现简洁，稳定性、安全性较好。缺点功能过于简单，难以提供端口间灵活的互访策略。芯片能提供的端口隔离组一般都有限。监控应用：NVR双IP组网—端口隔离可以在交换机上使用端口隔离来解决安全隔离问题。交换机上所有内网接口禁止与外网口通信，外网口仅可以与NVR的接口通信，NVR的接口可以与所有的网口通信。推荐交换机：TP-LINKTL-SF1008L8口楼道交换机（参考价225元）

/197287.htmlTP-LINKTL-SF1016L16口楼道交换机（参考价389元）

/252688.htmlTP-LINKTL-SF1024L24口楼道交换机（参考价589元）

/197288.html配置手册：/download/2012920171258.pdf

（page18～page19——编辑端口）

外网内网IP1IP2IPC1NVRXP1IPC2XP2网口1网口2VLAN应用技术Isolate-userVLANSuperVLAN端口隔离QinQ（VMAN）组播VLAN其他讨论QinQQinQ可以简单认为是报文携带了两层8021Qtag。QinQ技术的出现让运营商可以以较低成本为客户提供二层VPN。QinQ完全在运营商网络上实施，用户对QinQ不感知。在运营上网络中的报文，内层tag为客户私有VLAN标识，外层tag为运营商分配给客户的VLAN。客户可以独立规划自己的VLANID，运营商网络的变化不影响客户网络。QinQ不需要单独的信令协议，只需要静态配置，简洁稳定。当然，还有：节省VLAN资源！QinQ应用示意图客户A，LAN1-100客户A，LAN1-100客户B，LAN1-200客户B，LAN1-200Trunk端口运营商网络VLAN30VLAN30VLAN20VLAN20VLAN20：Tunnel端口，打上或剥掉外层标签VLAN20：Trunk端口，客户侧单tag，运营商侧双tag20headerdatauservlanheaderdatauservlanheaderdatauservlanQinQ报文结构我司和CISCO，内外层标签的Etype相同都是0x8100Foundry和Extreme，外层标签的Etype为0x9100。(最新版本可能有变化)。QinQ原理先介绍tunnel端口：配置了支持QinQ的端口，tunnel端口被配置为属于运营商分配给客户的VLAN，tunnel端口只在运营商设备上配置。上图中客户A被分配了VLAN20，所有和客户A相连的tunnel端口，在运营商网络中属于VLAN20A客户数据（已经有一层客户VLAN标签）到达tunnel端口，会再添加一层标签，VLANID为20，在运营上网络中，带着tag在VLAN20中按正常二层转发流程转发。A客户数据离开tunnel端口，外层标签会被剥掉，剩下内层客户VLAN标签，到达客户侧交换机按正常的tag报文在客户网络中转发。MAC学习：客户数据到达tunnel端口，其MAC学习在运营商分配给客户的VLAN中（A客户的数据MAC学习在VLAN20）；数据到达客户侧，MAC学习在内层客户VLAN标签标注的VLAN中QinQ功能对客户侧交换机不可见，运营商网络对客户透明。QinQ应用注意事项必须保证报文在运营商分配给客户的VLAN中以Tag转发，即确保客户隧道在运营上网络中一致、贯通。客户侧PVID所在VLAN的处理

如果PVID所在VLAN报文不带tag，必须保证客户所有和运营商网络相连的端口的PVID一致。让PVID所在VLAN也带tag，CISCO有相关命令，我司没有，只能用hybrid端口实现。QinQ应用中的挑战客户侧带8021Qtag的报文携带了8021p优先级，TunnelPort打上外层标签后，外层标签以后的报文内容是不可识别的，这会导致客户优先级丢失。解决办法之一是在打外层标签时把内层标签的8021p优先级拷贝到外层标签还有一个问题，运营商期望能根据客户缴纳的费用的不同，分配给客户不同的优先级，而客户内部又可能有不同优先级，这个矛盾如何解决？QinQ应用中的挑战QinQ网络中，运营商网络对客户透明，当客户和运营商网络之间的连接有冗余时必然导致环路问题。（QinQ应用示意图中的A客户。）这一挑战要求运营商网络能透明传输STP/RSTP/MSTP报文，这样客户可以跨运营商网络构建自己的STP树，切断冗余链路。为了保证客户全网VLAN配置的一致性，动态VLAN协议如GVRP、VTP等也要求通过运营商网络透传。如果客户使用GMRP作组播应用的话，GMRP报文也要求透传。QinQ的局限性QinQ报文中，三层以上的字段无法识别，导致了不少局限性，如对QinQ报文只能根据MAC进行过滤。VLAN应用技术Isolate-userVLANSuperVLAN端口隔离QinQ（VMAN）组播VLAN其他讨论组播