詳解二次封裝VLAN技術——QINQ

詳解二次封裝VLAN技術——QINQ

QinQ是對802.1Q的擴展，其核心思想是將用戶私網VLAN tag封裝到公網VLANtag上，報文帶着兩層tag穿越服務商的骨幹網絡，從而爲用戶提供一種較爲簡單的二層×××隧道。其特色是簡單而易於管理，不須要信令的支持，僅僅經過靜態配置便可實現，特別適用於小型的，以三層交換機爲骨幹的企業網或小規模城域網。圖1爲基於傳統的802.1Q協議的網絡，假設某用戶的網絡1和網絡2位於兩個不一樣地點，並分別經過服務提供商的PE1、PE2接入骨幹網，若是用戶須要將網絡1的VLAN200-300和網絡2的VLAN200-300互聯起來，那麼必須將CE1、PE1、P和PE2、CE2的相連端口都配置爲Trunk屬性，並容許經過VLAN200-300，這種配置方法必使用戶的VLAN在骨幹網絡上可見，不只耗費服務提供商寶貴的VLAN ID資源（一共只有4094個VLAN ID資源），並且還須要服務提供商管理用戶的VLAN號，用戶沒有本身規劃VLAN的權利。

爲了解決上述問題，QinQ協議向用戶提供一個惟一的公網VLAN ID，這個特殊的VLANID被稱做Customer-ID，將用戶私網VLAN tag封裝在這個新的Customer-ID中，依靠它在公網中傳播，用戶私網VLANID在公網中被屏蔽，從而大大地節省了服務提供商緊缺的VLAN ID資源，如圖2所示。

在QinQ模式下，PE上用於用戶接入的端口被稱做用戶端口。在用戶端口上使能QinQ功能，並爲每一個用戶分配一個Customer-ID，此處爲3，不一樣的PE上應該爲同一網絡用戶分配相同的Customer-ID.當報文從CE1到達PE1時，帶有用戶內部網絡的VLANtag 200-300，因爲使能了QinQ功能，PE上的用戶端口將再次爲報文加上另一層VLAN tag，其ID就是分配給該用戶的Customer-ID.此後該報文在服務提供商網絡中傳播時僅在VLAN 3中進行且全程帶有兩層VLAN tag（內層爲進入PE1時的tag，外層爲Customer-ID），但用戶網絡的VLAN信息對運營商網絡來講是透明的。當報文到達PE2，從PE2 上的客戶端口轉發給CE2以前，外層VLANtag被剝去，CE2收到的報文內容與CE1發送的報文徹底相同。PE1到PE2之間的運營商網絡對於用戶來講，其做用就是提供了一條可靠的二層鏈路。

可見，使用QinQ組建×××具備以下特色：

●無需信令來維持隧道的創建，經過簡單的靜態配置便可實現，免去了繁雜的配置，維護工

做。

●運營商只需爲每一個用戶分配一個Customer-ID，提高了能夠同時支持的用戶數目；而用戶也具備選擇和管理VLAN ID資源的最大自由度（從1-4096中任意選擇）。

●在運營商網絡的內部，P設備無需支持QinQ功能，即傳統的三層交換機徹底能夠知足需求，極大地保護了運營商的投資。

●戶網絡具備較高的獨立性，在服務提供商升級網絡時，用戶網絡沒必要更改原有的配置。

所以，不管是對於運營商仍是用戶來講，採用QinQ方式組建×××都是一種低成本，簡便易行，易於管理的理想方式。

QinQ典型組網

下面經過一個典型的組網方案來講明QinQ的應用。

如圖3所示，該網有兩個用戶，用戶1須要將本身在A點的VLAN 1-100和D點的VLAN 1-100連接起來，用戶2須要將本身在B點的VLAN 1-200和C點的VLAN 1-200鏈接起來，傳統的802.1Q組網是不可能實現這一需求的，由於兩個用戶所使用的VLAN ID號有衝突，可是利用QinQ卻可輕易地實現這一需求。

在圖3中，中間的網絡爲服務提供商的網絡，它由四臺S3552實現×××用戶的接入（網絡中可能還有其它交換機，此處爲簡單起見，略去），相互之間經過環狀千兆鏈路鏈接實現鏈路備份，使能STP協議。這四臺設備之間經過Trunk端口鏈接，可透傳任意VLAN報文，爲了達到自動VLAN學習的目的，還可啓動GVRP協議。須要注意的是，全部這些二層協議只能在網絡側的端口使能，而不能在用戶接入端口上使能，避免用戶私有網絡受到服務提供商網絡的干擾。用戶1使用Customer-ID 30的QinQ端口進行接入，用戶2使用Customer-ID 40的QinQ端口進行接入，保證它們在公網上經過Trunk端口進行傳輸，互不影響。用戶可在私網內部運行STP協議，實現鏈路備份。例如，用戶1的A點使用了兩條鏈路連到S3552，STP可自動地將一條鏈路斷開，避免造成環路。注意，此時S3552的兩個QinQ接入端口均不能使能STP協議，這是由於它們屬於用戶私網拓撲，與公網無關。QinQ對其它特性的影響因爲在用戶接入端口使能了QinQ，致使×××用戶的報文在網絡上傳播時帶有兩層VLANtag，此時三層交換機的三層交換功能對於這種特殊的報文失效，由於交換機沒法正確地獲取報文內攜帶的IP地址等信息。但咱們沒必要爲此擔憂，由於×××報文只在Customer-ID對應的VLAN內做二層轉發，根本無需使用三層信息進行轉發。而對於運營商網絡內的其它普通報文，因爲屬於不一樣的VLAN，三層轉發不會受到影響。在使能QinQ的用戶接入端口，仍然可使用acl規則對報文進行流分類，流限速，重定向等qos/acl*做，這無疑有利於運營商面向不一樣用戶提供不一樣層次的差異服務。對於用戶來講，選擇適合本身需求的服務可以節省開支；而運營商也能夠藉此吸引更普遍的用戶對象。