《qinq原理及应用》由会员分享,可在线阅读,更多相关《qinq原理及应用(28页珍藏版)》请在金锄头文库上搜索。
1、QINQ原理及应用,Page 2,第1章 QinQ技术基础 第2章 BPDU Tunnel应用 第3章 灵活QinQ原理与应用,内容介绍,Page 3,学习完此课程,您将会: 理解QinQ基础原理与应用 了解灵活QinQ的原理和应用,目 标,随着以太网技术在运营商网络中的大量部署(即城域以太网),利用802.1Q VLAN对用户进行隔离和标识受到很大限制,因为IEEE802.1Q中定义的VLAN tag域只有12个比特,仅能表示4K个VLAN,这对于城域以太网中需要标识的大量用户捉襟见肘,于是QinQ技术应运而生。,产生背景,QinQ最初主要是为拓展VLAN的数量空间而产生的,它是在原有的80
2、2.1Q报文的基础上又增加一层802.1Q标签实现,使VLAN数量增加到4K*4K,随着城域以太网的发展以及运营商精细化运作的要求,QinQ的双层标签又有了进一步的使用场景,它的内外层标签可以代表不同的信息,如内层标签代表用户,外层标签代表业务,内层tag透明传送,另外,QinQ报文带着两层tag穿越运营商网络是一种简单、实用的VPN技术,因此它又可以作为核心MPLS VPN在城域以太网VPN的延伸,最终形成端到端的VPN技术。,产生背景,QinQ的基本思想是在基于802.1 Q封装的报文的Tag前再加一个Tag以增加Tag数量或以前一个Tag来区分隧道(用户)的一种形象化的称呼. 目前很多厂
3、商的网络设备都能支持这个特性,但是名称各不相同 Cisco 802.1Q Tunneling Extreme Virtual MAN/vMANs Riverstone Stackable VLAN/SVLAN H3C VLAN VPN 总的思想都是将用户私网VLAN Tag封装在公网VLAN Tag中, 报文带着两层Tag穿越服务商的骨干网络,从而为用户提供一种较为简单的二层VPN隧道。,产生背景,QinQ封装,8021Q封装,QinQ封装,同802.1Q的帧相比QinQ在这里插入了一层标签,通常我们称之为外层标签,内层标签,是由用户打上去的,QinQ封装说明,在802.1Q中规定 Tag P
4、rotocol Identifier (TPID) Etype的值为8100, H3C和CISCO内外层标签的Etype相同都是0x8100 Foundry和Extreme,外层标签的Etype为0x9100。(最新版本可能有变化)。 为同外层标签为0x9100、0x9200的设备互通,可提供外层标签可调功能,可以通过命令指定外层标签的值。,QinQ应用示意图简单二层VPN,客户A,LAN1-100,客户A,LAN1-100,客户B,LAN1-200,客户B,LAN1-200,Trunk 端口,运营商网络,VLAN30,VLAN30,VLAN20,VLAN20,VLAN20,VLAN20,:T
5、runk端口,客户侧单tag,运营商侧双tag,外层标签,QinQ原理,先介绍Tunnel端口:配置了支持QinQ的端口,Tunnel端口被配置为属于运营商分配给客户的VLAN,Tunnel端口只在运营商设备上配置。上图中客户A被分配了VLAN20,所有和客户A相连的Tunnel端口,在运营商网络中属于VLAN20 A客户数据(已经有一层客户VLAN标签)到达Tunnel端口,会再添加外层标签,VLAN ID为20,在运营商网络中,带着Tag在VLAN20中按正常二层转发流程转发。 A客户数据离开Tunnel端口,外层标签会被剥离掉,剩下内层客户VLAN标签,到达客户侧交换机按正常的Tag报文
6、在客户网络中转发。 MAC学习:客户数据到达Tunnel端口,其MAC学习在运营商分配给客户的VLAN中(A客户的数据MAC学习在VLAN20);数据到达客户侧,MAC学习在内层客户VLAN标签标注的VLAN中 QinQ功能对客户侧交换机不可见,运营商网络对客户透明。,QinQ优点,QinQ可以简单认为是报文携带了两层8021Q Tag。 QinQ技术的出现让运营商可以以较低成本为客户提供二层VPN。QinQ完全在运营商网络上实施,用户对QinQ不感知。 在运营商网络中的报文,内层Tag为客户私有VLAN标识,外层Tag为运营商分配给客户的VLAN。客户可以独立规划自己的VLAN ID,运营商
7、网络的变化不影响客户网络。 QinQ不需要单独的信令协议,只需要静态配置,简洁稳定。 QinQ扩展了VLAN资源,为运营商按VLAN区分接入用户提供了可能,Page 12,以上介绍的QinQ为基于端口的QinQ,其实现机理如下: 当该设备端口接收到报文,无论报文是否带有VLAN Tag,交换机都会为该报文打上本端口缺省VLAN的VLAN Tag。这样,如果接收到的是已经带有VLAN Tag的报文,该报文就成为双Tag的报文;如果接收到的是untagged的报文,该报文就成为带有端口缺省VLAN Tag的报文 新的挑战 QinQ网络中,运营商网络对客户透明,当客户和运营商网络之间的连接有冗余时必
8、然导致环路问题。(QinQ应用示意图中的A客户。) 这一挑战要求运营商网络能透明传输STP/RSTP/MSTP报文,这样客户可以跨运营商网络构建自己的STP树,切断冗余链路BPDU-Tunnel 运营商提出了新的要求,不按用户接入端口来划分VLAN,而是按其用户的VID或其他特征来对用户进行分组灵活QinQ,QinQ技术的挑战,Page 13,QinQ BPDU Tunnel,二层协议报文,也称BPDU报文在运营商网络的透传,我们称为Layer2 Protocol tunnel或者BPDU tunnel。 BPDU报文在运营商QinQ网络中的透传,必须达到以下要求: 同一个客户网络的所有分支必
9、须都能收到自己的BPDU报文。 不同客户网络中的BPDU必须隔离,不能互相影响。 两个问题可以一起解决: 在Tunnel端口收到BPDU时,给BPDU打上运营商分配给客户的一个标识,根据这个标识来区分不同VPN的BPDU,同时在运营商网络中BPDU报文按正常的数据报文进行转发 为了避免客户BPDU报文被运营商网络设备处理,需要给封装的BPDU赋一个特殊的组播MAC作为目的MAC,这一方面可以保证报文能在运营商分配给客户的VLAN中被发送到各个分支,在出Tunnel端口时,去掉VLAN tag并把目的MAC改回BPDU的MAC。,BPDU Tunnel 原理,Page 14,QinQ BPDU
10、Tunnel,Tunnel端口收到BPDU后,把目的MAC修改为一个组播MAC(01-00-0c-cd-cd-d0),在FCS前插入用户信息等相关标识,组播MAC保证报文在VLAN内广播,同时标识这个报文是个BPDU-Tunnel报文,交换机在收到这个报文时上送CPU处理,还原其BPDU身份,并根据报文中的用户信息标识部分的内容,把报文送到相应的客户网络。,BPDU-Tunnel Packet,BPDU Packet,修改了BPDU的目的地址为多播MAC,增加了该字段用来区分是那一个用户网络,BPDU Tunnel 的实现,城域以太网QinQ应用案例,城域以太网QinQ应用案例,某运营商新建城
11、域以太网如上图所示,用户A和用户B各地市通过接入城域以太网络实现远程互访。受早期网络规划的影响,用户A和用户B接入VLAN(C-VLAN)都为VLAN20。业务接入城域以太网后,要求在用户接入VLAN不变的情况下,实现Q地市的用户A1和M地市的用户A2、以及Q地市的用户B1和M地市的用户B2间业务互访;同时,还要保证用户A和用户B业务相互隔离。,城域以太网QinQ应用案例,技术关键点: 不同用户携带相同C-VLAN接入城域以太网,为保证业务相互隔离,可以通过在CE设备上配置QinQ,使不同用户的业务数据报文打上不同的外层VLAN tag(S-VLAN),PE上配置根据外层VLAN映射至不同的V
12、PLS专线,从而实现相同用户业务的远程互访,不同用户的业务隔离,如下图所示。,城域以太网QinQ应用案例,灵活QinQ,在前面所讲的QinQ中,只能以物理端口来划分用户,当多个不同用户以不同的VLAN接入到同一个端口时无法区分用户; 前面的QinQ是一种简单二层VPN的应用,在运行营商接入环境中往往需要根据用户的应用或接入地点(设备)来区分用户; 灵活QinQ,即基于流封装的QINQ的出现为以上应用提功了解决方案;,基于流的QinQ封装可以对进入端口的数据首先进行流分类,然后对于不同的数据流选择是否打外层TAG,打何种外层TAG,因此也叫灵活QinQ,灵活QinQ根据流分类的方法又可细分如下:
13、 根据报文中的VLAN ID区间分流 当同一用户的不同业务使用不同的VLAN ID时,可以根据VLAN ID区间进行分流,比如PC上网的VLAN ID范围是101200,IPTV的VLAN ID范围是201300,大客户的VLAN范围是301400,面向用户的设备收到用户数据后,根据VLAN ID范围,对PC上网业务打上100的外层标签,对IPTV打上300的外层标签,对大客户打上500的外层标签。,灵活QinQ,灵活QinQ,根据报文中的VLAN IDPriority进行分流 不同的业务有不同的优先级,当同一用户的多种业务使用相同的VLAN ID时,可以根据不同业务的Priority进行区分
14、,然后打上不同的外层标签。 根据目的IP进行QinQ封装 当同一台PC既包括上网业务,又包括语音业务时,不同业务的目的IP不同,可以对目的IP进行分流,然后打上不同的外层标签。 根据ETYPE进行QinQ封装 当同一用户既包括PPPOE的上网业务,又包括IPOE的IPTV业务时,可以根据ETYPE进行数据分流,IPOE的协议号为0x0800,PPPOE的协议号为0x8863/8864,这样,上网业务和IPTV业务就能打上不同的外层标签。,Page 22,灵活QinQ原理与应用,根据端口的VLAN区间分流:比如普通上网用户PC的VLAN范围11K,IPTV用户的VLAN范围1K2K,大客户互联网
15、接入的VLAN范围2K3K.,灵活QinQ应用场景一,Page 23,灵活QinQ原理与应用,根据报文的协议号分流:比如普通上网PC采用PPPoE、IPTV采用IPoE,这些终端都通过一个VLAN上行,可以根据PPPoE和IPoE报文不同的协议号作为QinQ的分流依据,灵活QinQ应用场景二,Page 24,灵活QinQ原理与应用,根据报文的目标IP地址分流:对于相同源IP地址,相同报文封装的不同的业务应用报文,比如PC上的SoftPhone产生的报文,需要根据报文的目的IP地址实施灵活QinQ进行业务分流;,灵活QinQ应用场景三,Page 25,灵活QinQ原理与应用,灵活QinQ典型应用
16、,每个用户一个VLAN(内层tag),实现用户的隔离。,按应用的不同把用户划分到不同的VLAN(外层tag)中去,实现不同应用的隔离。,Page 26,灵活QinQ原理与应用,组网需求 园区接入的用户VLAN101-200是属于普通用户接入,85给它分配使用的公网VLAN是1001。VLAN201-300的用户为园区接入的VIP用户,85给它分配的公网VLAN是1002。这些用户对网络的性能要求高,因此需要通过QOS保证VIP用户的带宽。 DSLAM接入的ADSL用户他们也是VLAN 101-300,他们通过PPPOE拨号获取IP从而访问internet。85给它分配的公网VLAN是1003。 Vlan 301是专门用于组播的VLAN,不管DSLAM还是园区接入交换机还是DSLAM的IPTV用户都是通过VLAN 301来收看组播节目的。IPTV客户端首先在DHCP服务器上获取到IP,然后通过在85上进行IGMP组加入来收
