2024年-QINQ原理及应用

QINQ原理及应用1

2P第1章QinQ技术基础第2章BPDUTunnel应用第3章灵活QinQ原理与应用内容介绍2P学习完此课程，您将会：理解QinQ基础原理与应用了解灵活QinQ的原理和应用目标3随着以太网技术在运营商网络中的大量部署（即城域以太网），利用802.1QVLAN对用户进行隔离和标识受到很大限制，因为IEEE802.1Q中定义的VLANtag域只有12个比特，仅能表示4K个VLAN，这对于城域以太网中需要标识的大量用户捉襟见肘，于是QinQ技术应运而生。产生背景42024/5/12QinQ最初主要是为拓展VLAN的数量空间而产生的，它是在原有的802.1Q报文的基础上又增加一层802.1Q标签实现，使VLAN数量增加到4K*4K，随着城域以太网的发展以及运营商精细化运作的要求，QinQ的双层标签又有了进一步的使用场景，它的内外层标签可以代表不同的信息，如内层标签代表用户，外层标签代表业务，内层tag透明传送，另外，QinQ报文带着两层tag穿越运营商网络是一种简单、实用的VPN技术，因此它又可以作为核心MPLSVPN在城域以太网VPN的延伸，最终形成端到端的VPN技术。产生背景52024/5/12QinQ的基本思想是在基于802.1Q封装的报文的Tag前再加一个Tag以增加Tag数量或以前一个Tag来区分隧道(用户)的一种形象化的称呼.目前很多厂商的网络设备都能支持这个特性，但是名称各不相同Cisco

802.1QTunnelingExtreme VirtualMAN/vMANsRiverstone StackableVLAN/SVLANH3C VLANVPN总的思想都是将用户私网VLANTag封装在公网VLANTag中，报文带着两层Tag穿越服务商的骨干网络，从而为用户提供一种较为简单的二层VPN隧道。产生背景62024/5/12QinQ封装8021Q封装QinQ封装DASATagLen/EtypeDataFCSEtypeDASATagLen/EtypeDataFCSEtypeTagEtype同802.1Q的帧相比QinQ在这里插入了一层标签,通常我们称之为外层标签内层标签，是由用户打上去的72024/5/12QinQ封装说明在802.1Q中规定TagProtocolIdentifier(TPID)Etype的值为8100,H3C和CISCO内外层标签的Etype相同都是0x8100Foundry和Extreme，外层标签的Etype为0x9100。(最新版本可能有变化）。为同外层标签为0x9100、0x9200的设备互通,可提供外层标签可调功能,可以通过命令指定外层标签的值。82024/5/12QinQ应用示意图－简单二层VPN客户A，LAN1-100客户A，LAN1-100客户B，LAN1-200客户B，LAN1-200Trunk端口运营商网络VLAN30VLAN30VLAN20VLAN20VLAN20：Tunnel端口，打上或剥掉外层标签VLAN20：Trunk端口，客户侧单tag，运营商侧双tag20headerdatauservlanheaderdatauservlanheaderdatauservlan外层标签92024/5/12QinQ原理先介绍Tunnel端口：配置了支持QinQ的端口，Tunnel端口被配置为属于运营商分配给客户的VLAN，Tunnel端口只在运营商设备上配置。上图中客户A被分配了VLAN20，所有和客户A相连的Tunnel端口，在运营商网络中属于VLAN20A客户数据（已经有一层客户VLAN标签）到达Tunnel端口，会再添加外层标签，VLANID为20，在运营商网络中，带着Tag在VLAN20中按正常二层转发流程转发。A客户数据离开Tunnel端口，外层标签会被剥离掉，剩下内层客户VLAN标签，到达客户侧交换机按正常的Tag报文在客户网络中转发。MAC学习：客户数据到达Tunnel端口，其MAC学习在运营商分配给客户的VLAN中（A客户的数据MAC学习在VLAN20）；数据到达客户侧，MAC学习在内层客户VLAN标签标注的VLAN中QinQ功能对客户侧交换机不可见，运营商网络对客户透明。102024/5/12QinQ优点QinQ可以简单认为是报文携带了两层8021QTag。QinQ技术的出现让运营商可以以较低成本为客户提供二层VPN。QinQ完全在运营商网络上实施，用户对QinQ不感知。在运营商网络中的报文，内层Tag为客户私有VLAN标识，外层Tag为运营商分配给客户的VLAN。客户可以独立规划自己的VLANID，运营商网络的变化不影响客户网络。QinQ不需要单独的信令协议，只需要静态配置，简洁稳定。QinQ扩展了VLAN资源,为运营商按VLAN区分接入用户提供了可能112024/5/12P以上介绍的QinQ为基于端口的QinQ，其实现机理如下：当该设备端口接收到报文，无论报文是否带有VLANTag，交换机都会为该报文打上本端口缺省VLAN的VLANTag。这样，如果接收到的是已经带有VLANTag的报文，该报文就成为双Tag的报文；如果接收到的是untagged的报文，该报文就成为带有端口缺省VLANTag的报文新的挑战QinQ网络中，运营商网络对客户透明，当客户和运营商网络之间的连接有冗余时必然导致环路问题。（QinQ应用示意图中的A客户。）这一挑战要求运营商网络能透明传输STP/RSTP/MSTP报文，这样客户可以跨运营商网络构建自己的STP树，切断冗余链路

BPDU-Tunnel运营商提出了新的要求,不按用户接入端口来划分VLAN，而是按其用户的VID或其他特征来对用户进行分组灵活QinQQinQ技术的挑战12PQinQBPDUTunnel二层协议报文，也称BPDU报文在运营商网络的透传，我们称为Layer2Protocoltunnel或者BPDUtunnel。BPDU报文在运营商QinQ网络中的透传，必须达到以下要求：同一个客户网络的所有分支必须都能收到自己的BPDU报文。不同客户网络中的BPDU必须隔离，不能互相影响。两个问题可以一起解决：在Tunnel端口收到BPDU时，给BPDU打上运营商分配给客户的一个标识，根据这个标识来区分不同VPN的BPDU，同时在运营商网络中BPDU报文按正常的数据报文进行转发为了避免客户BPDU报文被运营商网络设备处理，需要给封装的BPDU赋一个特殊的组播MAC作为目的MAC，这一方面可以保证报文能在运营商分配给客户的VLAN中被发送到各个分支，在出Tunnel端口时，去掉VLANtag并把目的MAC改回BPDU的MAC。BPDUTunnel原理13PQinQBPDUTunnelTunnel端口收到BPDU后，把目的MAC修改为一个组播MAC（01-00-0c-cd-cd-d0），在FCS前插入用户信息等相关标识,组播MAC保证报文在VLAN内广播，同时标识这个报文是个BPDU-Tunnel报文，交换机在收到这个报文时上送CPU处理，还原其BPDU身份，并根据报文中的用户信息标识部分的内容，把报文送到相应的客户网络。BPDU-TunnelPacketDSAP(1)0x42SSAP(1)0x42Control(1)0x03Length(2)ProtocolDataDA01-80-C2-00-00-00SA00-0F-E2-07-F2-E0FCSDSAP(1)0x42SSAP(1)0x42Control(1)0x03Length(2)ProtocolDataDA01-00-0C-CD-CD-D0SA00-0F-E2-07-F2-E0FCSUser_InfoBPDUPacket修改了BPDU的目的地址为多播MAC增加了该字段用来区分是那一个用户网络BPDUTunnel的实现14城域以太网QinQ应用案例152024/5/12城域以太网QinQ应用案例某运营商新建城域以太网如上图所示，用户A和用户B各地市通过接入城域以太网络实现远程互访。受早期网络规划的影响，用户A和用户B接入VLAN（C-VLAN）都为VLAN20。业务接入城域以太网后，要求在用户接入VLAN不变的情况下，实现Q地市的用户A1和M地市的用户A2、以及Q地市的用户B1和M地市的用户B2间业务互访；同时，还要保证用户A和用户B业务相互隔离。162024/5/12城域以太网QinQ应用案例技术关键点：不同用户携带相同C-VLAN接入城域以太网，为保证业务相互隔离，可以通过在CE设备上配置QinQ，使不同用户的业务数据报文打上不同的外层VLANtag（S-VLAN），PE上配置根据外层VLAN映射至不同的VPLS专线，从而实现相同用户业务的远程互访，不同用户的业务隔离，如下图所示。172024/5/12城域以太网QinQ应用案例182024/5/12灵活QinQ在前面所讲的QinQ中，只能以物理端口来划分用户，当多个不同用户以不同的VLAN接入到同一个端口时无法区分用户；前面的QinQ是一种简单二层VPN的应用，在运行营商接入环境中往往需要根据用户的应用或接入地点（设备）来区分用户；灵活QinQ，即基于流封装的QINQ的出现为以上应用提功了解决方案；192024/5/12基于流的QinQ封装可以对进入端口的数据首先进行流分类，然后对于不同的数据流选择是否打外层TAG，打何种外层TAG，因此也叫灵活QinQ，灵活QinQ根据流分类的方法又可细分如下：根据报文中的VLANID区间分流当同一用户的不同业务使用不同的VLANID时，可以根据VLANID区间进行分流，比如PC上网的VLANID范围是101～200，IPTV的VLANID范围是201～300，大客户的VLAN范围是301～400，面向用户的设备收到用户数据后，根据VLANID范围，对PC上网业务打上100的外层标签，对IPTV打上300的外层标签，对大客户打上500的外层标签。灵活QinQ202024/5/12灵活QinQ根据报文中的VLANID＋Priority进行分流不同的业务有不同的优先级，当同一用户的多种业务使用相同的VLANID时，可以根据不同业务的Priority进行区分，然后打上不同的外层标签。根据目的IP进行QinQ封装当同一台PC既包括上网业务，又包括语音业务时，不同业务的目的IP不同，可以对目的IP进行分流，然后打上不同的外层标签。根据ETYPE进行QinQ封装当同一用户既包括PPPOE的上网业务，又包括IPOE的IPTV业务时，可以根据ETYPE进行数据分流，IPOE的协议号为0x0800，PPPOE的协议号为0x8863/8864，这样，上网业务和IPTV业务就能打上不同的外层标签。212024/5/12P灵活QinQ原理与应用根据端口的VLAN区间分流：比如普通上网用户PC的VLAN范围1～1K，IPTV用户的VLAN范围1K～2K，大客户互联网接入的VLAN范围2K～3K...灵活QinQ应用场景一城域网VLAN10VLAN1-XXXVLAN20VLAN1XXXVLAN30VLAN2XXXVLAN2VLAN1001VLAN2001VLAN3VLAN1002VLAN2002TrunkTrunk22P灵活QinQ原理与应用根据报文的协议号分流：比如普通上网PC采用PPPoE、IPTV采用IPoE，这些终端都通过一个VLAN上行，可以根据PPPoE和IPoE报文不同的协议号作为QinQ的分流依据灵活QinQ应用场景二城域网VLAN10PPPOEVLAN20IPOEVLAN3VLAN223P灵活QinQ原理与应用根据报文的目标IP地址分流：对于相同源IP地址，相同报文封装的不同的业务应用报文，比如PC上的SoftPhone产生的报文，需要根据报文的目的IP地址实施灵活QinQ进行业务分流；灵活QinQ应用场景三城域网VLAN10DAIPVLAN20DAVOIPService控制24P灵活QinQ原理与应用灵活QinQ典型应用internetBRASVLAN1001-1003组播路由器DHCP服务器VLAN302VLAN303S8500VLAN101-301园区接入交换机DSLAM每个用户一个VLAN（内层tag），实现用户的隔离。按应用的不同把用户划分到不同的VLAN（外层tag）中去,实现不同应用的隔离。25P灵活QinQ原理与应用组网需求园区接入的用户VLAN101-200是属于普通用户接入，85给它分配使用的公网VLAN是1001。VLAN201-300的用户为园区接入的VIP用户，85给它分配的公网VLAN是1002。这些用户对网络的性能要求高，因此需要通过QOS保