QinQ原理与配置指导书.docx

1、QinQ原理与配置指导书一、 QinQ简介 3(一) QinQ概述 3(二) QinQ特性 51. 二层接口的QinQ 52. QinQ Mapping 63. 终结子接口 64. 动态QinQ 95. QinQ终结子接口支持URPF 11(三) 总结 11(四) 思考 11一、 ME60侧配置QinQ 11(一) 配置QinQ二层隧道 111. 建立配置任务 112. 创建QinQ二层接口的外层VLAN 123. 配置二层接口的QinQ功能 124. （可选）配置外层Tag的协议类型 135. 检查配置结果 13(二) 配置二层灵活QinQ 151. 建立配置任务 152. 创建QinQ二层

2、接口的外层VLAN 153. 配置二层灵活QinQ接口 164. （可选）配置外层Tag的协议类型 165. 检查配置结果 17(三) 配置动态QinQ 181. 建立配置任务 182. 配置接口的模式为用户终结模式 193. 配置动态QinQ 194. 配置DHCP Snooping 205. 检查配置结果 20(四) 配置QinQ终结子接口支持URPF 221. 建立配置任务 222. 配置以太网主接口 223. 配置以太网子接口 234. 配置QinQ子接口的URPF功能 235. 检查配置结果 23(五) 配置Bras用户侧QinQ 241. 建立配置任务 242. 创建用户侧VLAN

3、 253. 检查配置结果 25(六) 维护QinQ 261. 6.5.6.13.1 清除QinQ的统计信息 262. 监控终结子接口运行状况 263. 调试QinQ 26二、 ME60侧QinQ配置举例 27(一) 配置QinQ二层隧道示例 271. 组网需求 272. 配置思路 283. 数据准备 284. 操作步骤 285. 配置文件 30(二) 配置二层灵活QinQ示例 321. 组网需求 322. 配置思路 333. 数据准备 334. 操作步骤 335. 配置文件 35(三) 配置动态QinQ示例 371. 组网需求 372. 配置思路 383. 数据准备 384. 操作步骤 395

4、. 配置文件 45(四) 配置QinQ终结子接口支持URPF示例 481. 组网需求 482. 配置思路 493. 数据准备 494. 操作步骤 495. 配置文件 51(五) 配置用户侧QinQ示例 526. 组网需求 527. 配置思路 538. 数据准备 539. 操作步骤 5310. 配置文件 54一、 QinQ简介(一) QinQ概述QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能，可以使私网VLAN透传公网。在基于传统的802.1Q协议的二层局域网互联模式中，当两个用户网络需要通过服务提供商（IS

5、P）互相访问时，ISP必须为每个接入用户的不同VLAN分配不同的VLAN ID，如图1所示。假设用户的网络1和网络2位于两个不同地点，并分别通过ISP的PE1、PE2接入骨干网。如果用户需要将网络1的VLAN100VLAN200和网络2的VLAN100VLAN200互联起来，那么必须将CE1、PE1、P和PE2、CE2的相连端口都配置为Trunk属性，并允许VLAN100VLAN200通过。这种配置方法使得用户的VLAN在骨干网络上可见，而非透明传输。这不仅耗费服务提供商的VLAN ID资源（一般只有4094个VLAN ID），而且还需要服务提供商管理用户的VLAN号，用户也没有自己规划VLA

6、N的权利。当接入的用户数目很多时，可能使ISP网络的VLAN ID不够用（只允许有4094个VLAN ID）。另外，不同的用户也不能使用相同的VLAN ID，用户的VLAN ID需要由ISP统一规划。QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能，可以使私网VLAN透传公网，有效的解决了上述问题。QinQ协议是基于IEEE 802.1Q技术的一种二层隧道协议。由于在骨干网中传递的报文有两层802.1Q Tag头（一层公网Tag，一层私网Tag），即802.1Q-in-802.1Q所以称之为QinQ协议。这样

7、，ISP网络只需为来自同一用户网络的不同VLAN提供一个VLAN ID，节约了ISP的VLAN ID，以解决日益紧张的ISP网络VLAN ID资源紧张的问题。同时也为小型城域网或者局域网提供一种较为简单的二层VPN解决方案。QinQ技术虽然至今还没正式的协议，但由于其方便易用的特点，现在已经在各运营商中得到了广泛的应用。如QinQ技术在城域以太网解决方案中和多种业务相结合。特别是灵活QinQ（VLAN Stacking）的出现，使得QinQ业务更加受到了运营商的推崇和青睐，它具有不同用户之间的VLAN与公网VLAN有效分离、最大限度节省运营商网络的VLAN资源等特点。随着城域以太网的大力发展，

8、各个设备提供商都提出了各自的城域以太网的解决方案，QinQ因为其自身简单灵活的特点，在各解决方案中扮演着重要的角色。(二) QinQ特性QinQ因为其自身简单灵活的特点，在各解决方案中扮演着重要的角色。1. 二层接口的QinQ QinQ二层隧道 灵活QinQ（VLAN Stacking） QinQ 内、外层Tag EType兼容性如图1所示，在802.1Q中规定TPID（Tag Protocol Identifier）的EType的值为0x8100。在QinQ封装中，各个设备厂商的内层TPID的EType的值为0x8100，但是对于外层TPID的EType，各个厂商所使用的值不相同。ME60支

9、持QinQ外层Tag EType兼容性，即支持识别和封装不同外层EType值的报文，实现与不同厂商设备的互通。说明： 在IEEE 802.1ad中规定外层TPID的 EType字段的定义为0x88a8。如图2所示，ME60B的入接口能够识别出外层EType值为0x9100的QinQ报文，并在出接口，根据不同厂商的设备设置不同的外层TPID的EType值，例如0x9100，0x8100或者其他数值，以保证和不同厂商设备间的互通。2. QinQ Mapping在实际组网中，QinQ Mapping功能可以将用户的VLAN Tag映射为运营商的VLAN Tag，从而起到屏蔽不同用户VLAN Tag的

10、作用。QinQ Mapping功能一般部署在ME边缘设备上，对用户侧上送的报文进行映射操作。将用户报文携带的Tag映射用户指定的Tag后再接入公网。QinQ Mapping功能常应用于但不局限于以下场景： 新局点和老局点部署的VLAN ID冲突，但是新局点需要与老局点互通。 接入公网的各个局点规划不一致，导致VLAN ID冲突，但是各个局点之间不需要互通。 公网两端的VLAN ID规划不对称。目前，ME60支持以下映射方式： 1 to 1的映射方式当部署QinQ Mapping功能设备上的子接口收到带有一层Tag的报文时，将报文中携带的一层Tag映射为指定的一层Tag。3. 终结子接口终结主要

11、是指设备对报文的单层或者双层Tag进行识别，然后根据后续的转发行为对单层或者双层Tag进行剥离或继续传送。终结一般在路由子接口上执行，即：终结子接口。 如果子接口是对报文的单层Tag终结，那么该子接口称为Dot1q终结子接口。 如果子接口是对报文的双层Tag终结，那么该子接口称为QinQ终结子接口。VLANIF接口、Dot1q子接口、Dot1q和QinQ终结子接口区别如表1所示。接口类型说明支持的VPN业务区别VLLPWE3VPLSL3VPN（CCC方式）VLANIF接口 通过命令interface vlanif创建VLANIF接口。 VLANIF接口是逻辑接口、是三层接口，可配置IP地址，实

12、现网络层互通。不支持不支持支持支持 Dot1q子接口和Dot1q终结子接口功能相同，不同点在于Dot1q子接口在一个子接口上只能封装一个VLAN，而Dot1q终结子接口在一个子接口上可封装多个VLAN。 同一主接口不同子接口下可以同时部署Dot1q终结子接口和QinQ终结子接口。即，同一主接口下既能终结单层Tag的报文，也能终结双层Tag的报文。同一主接口下配置了QinQ终结功能，终结单层Tag报文只能用Dot1q终结子接口，而不能用Dot1q子接口。Dot1q子接口通过命令vlan-type对以太网子接口进行的VLAN类型封装。支持支持支持支持Dot1q终结子接口通过命令dot1q term

13、ination vid配置子接口对一层Tag报文的终结功能。不支持支持支持支持QinQ终结子接口通过命令qinq termination pe-vid ce-vid配置子接口对两层Tag报文的终结功能。支持支持支持终结子接口具体的实现方法、功能和具体的应用场景有一定关系。如图3所示，QinQ/Dot1q终结子接口支持部署的业务如表4所示：表4 终结子接口支持部署的业务终结子接口类型支持部署的业务业务子类型说明QinQ/Dot1q终结子接口IP业务ARP代理终结子接口通常支持一个范围内的VLAN接入同一网段。位于该同一网段的用户属于不同的VLAN，这样在二层就无法实现互通，需要进行三层IP转发。

14、因此终结子接口需要能够支持ARP代理功能。DHCP DHCP Server DHCP Relay 终结子接口支持DHCP Server是指在终结子接口可以配置DHCP Server的功能，通过终结子接口为用户分配IP地址。 终结子接口支持DHCP Relay的功能，把用户的Tag信息插入Option82，作为DHCP Server分配IP地址和其他参数的合法性依据和参考。VRRP用户往往要求时时与网络其他部分保持通信畅通，这样就需要采用VRRP协议保证终端用户与网络的联系可靠、稳定、不中断，需要终结子接口支持VRRP协议。终结子接口支持VRRP协议提供了一种Dot1q/QinQ用户的主备机制。

15、组播业务二层组播在终结子接口绑定的VSI上配置运行IGMP Snooping，通过侦听组播设备和主机之间发送的IGMP协议报文消息，就可以获知哪些端口下有组播数据的接收者，则组播数据报文就不会在二层网络中广播，而是进行二层组播，这样就只有组播组成员能够收到组播数据报文。三层组播带有两层Tag的组播协议报文通过UPE接入上层网络。要求在UPE上配置QinQ终结子接口支持IGMP或者Dot1q终结子接口支持IGMP，在UPE上建立组播组成员转发表和路由表，当从用户侧发出的组播协议报文经过时，能被识别并根据业务Tag上送给对应的组播流。而组播流量下发时，能够根据已建立的组播组成员转发表，复制和下发组

16、播流量。QinQ终结子接口802.1p和DSCP Remark-PE设备进行QinQ终结后，报文被发往ISP的IP网络。为了保证用户数据报文中原来的QoS信息不丢失，需要配置两层Tag报文的802.1p值到DSCP的映射。802.1p和EXP（MPLS）Remark-PE设备进行QinQ终结后，报文被发往ISP的MPLS网络。为了保证用户数据报文中原来的QoS信息不丢失，需要配置两层VLAN Tag报文的802.1p值到EXP的映射。说明： 终结子接口支持部署的业务不局限于表4所示。4. 动态QinQ普通QinQ终结子接口最多可以配置终结16K个不同内外层Tag组合的用户报文。当这样的用户报文

17、超过16K个时，可以使用动态QinQ功能，此时，QinQ终结子接口最多可以配置终结64K个不同内外层Tag组合的用户报文。说明： QinQ终结子接口下配置动态QinQ功能后，不能再配置该子接口接入VLL、PWE3和VPLS，以及静态ARP和静态DHCP snooping绑定表。如图4所示，DHCP Client通过两级交换机与DHCP Relay连接，并通过DHCP Relay从DHCP Server申请合法的IP地址。在DHCP Relay的Client侧的终结子接口上配置动态QinQ，当用户上线时为用户分配VLAN Tag资源。配置ARP和DHCP绑定表联动后，当用户申请到IP地址后发生异

18、常下线，系统可以自动感知，并会自动删除DHCP绑定表中的绑定关系并通知DHCP Server释放IP地址和VLAN Tag资源。对于配置了动态QinQ的接口，绝大多数情况下都是用户主动发送ARP请求到网关设备。如果设备上同时也配置了ARP严格学习功能，那么该设备的所有接口只会学习自己主动发出ARP请求收到的应答报文，而不会学习其他设备发送的请求报文。这样就可能会导致该设备的动态QinQ接口学习不到用户的ARP表项，出现用户无法上线的现象。此时，可以在配置了动态QinQ的接口上使用arp learning strict force-disable命令，保证该接口可以学习到用户发送的ARP请求。5

19、. QinQ终结子接口支持URPFURPF（Unicast Reverse Path Forwarding）是单播逆向路径转发的简称，其主要功能是防止基于源地址欺骗的网络攻击行为。为防止基于源地址欺骗的网络攻击行为通过QinQ终结子接口进入用户网络，需要QinQ终结子接口要能够支持单播逆向路径转发URPF功能。QinQ终结子接口URPF功能的实现。首先获取报文的源地址、内外层VLAN tag和入接口信息，然后以报文的源地址为目的地址，在转发表中查找出对应的接口和内外层VLAN tag，并检查是否匹配，如果不匹配，认为源地址是伪装的，丢弃该报文。通过这种方式，URPF就能有效地防范网络中通过修改

20、源地址而进行的恶意攻击行为的发生。按照检查方式的不同，URPF可以分为两种类型：松散检查，只要在转发表中存在相应的路由表项就通过URPF检查。严格检查，不但要求在转发表中存在相应表项，还要求接口信息一定匹配才能通过URPF检查。说明： ME60的QinQ终结子接口只支持松散检查的URPF。(三) 总结QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能。(四) 思考QinQ的封装结构一、 ME60侧配置QinQ(一) 配置QinQ二层隧道1. 建立配置任务在进行QinQ二层隧道配置前了解此特性的应用环境、配置此特

21、性的前置任务和数据准备，可以帮助您快速、准确地完成配置任务。1) 应用环境当需要较多的VLAN时，可以配置QinQ二层隧道功能。通过对VLAN增加外层Tag，使得VLAN的可用数目范围变大，解决VLAN数目资源紧缺的问题。2) 前置任务在配置QinQ二层隧道之前，需完成以下任务：设备正确上电，且工作正常以太网接口的基本属性的配置2. 创建QinQ二层接口的外层VLAN配置二层灵活QinQ，使得报文带有不同的外层Tag传输，并且QinQ Tag的EType可以灵活配置。在需要配置QinQ二层隧道功能的设备上进行如下配置。操作步骤:执行命令system-view，进入系统视图。执行命令vlanvl

22、an-id，创建VLAN并进入VLAN视图。 该VLAN ID为QinQ二层隧道功能中指定的外层Tag值，取值范围是14094。3. 配置二层接口的QinQ功能配置二层灵活QinQ接口后，对于从接口进来的带有私网Tag的用户报文，统一加上公网的Tag，实现用户报文在公网内转发。在需要配置QinQ二层隧道功能的设备上进行如下配置。操作步骤:执行命令system-view，进入系统视图。执行命令interfaceinterface-type interface-number，进入需要配置QinQ二层隧道功能的以太网接口视图。（可选）执行命令portswitch，设置接口为二层接口。 如果接口已经是

23、二层接口，则不需要执行此步配置。执行命令port link-type dot1q-tunnel，配置接口类型为QinQ二层接口。执行命令port default vlanvlan-id，配置外层Tag值（即接口的缺省VLAN ID）。 说明： 此处配置的外层Tag值应该与创建QinQ二层接口的外层VLAN中创建的VLAN ID一致。4. （可选）配置外层Tag的协议类型不同的设备互连，当配置了QinQ功能时，各个设备厂商的内层TPID的EType的值为0x8100，但是对于外层TPID的EType，各个厂商所使用的值不相同。为了实现不同厂商的设备互通，需要配置外层Tag的协议类型。在需要配置Q

24、inQ二层隧道功能的设备上进行如下配置。操作步骤执行命令system-view，进入系统视图。执行命令interfaceinterface-type interface-number，进入需要配置QinQ二层隧道功能的以太网接口视图。执行命令qinq protocolethertype-value，配置外层Tag的协议类型。 在IEEE 802.1ad中规定外层TPID的 EType字段的定义为0x88a8。ethertype-value的取值范围是0x06000xFFFF。缺省值是0x8100。说明： qinq protocol只对带两层Tag的报文起作用，对带一层Tag的报文不起作用。5.

25、 检查配置结果QinQ二层隧道配置成功后，您可以查看到VLAN是否使能广播功能、VLAN的状态、是否使能地址学习，并且配置了QinQ二层隧道的接口为QinQ Stack接口等内容。1) 前提条件已经完成QinQ二层隧道功能的所有配置。2) 操作步骤执行命令display vlan vlan-id verbose ，查看VLAN信息。执行命令display bpdu-tunnelinterface config，查看接口的外层Tag EType封装值。3) 任务示例执行display vlan命令，可以看到VLAN是否使能广播功能、VLAN的状态、是否使能地址学习，并且配置了QinQ二层隧道的接

26、口为Untagged接口。例如：display vlan 10 verbose VLAN ID : 10 VLAN Type : Common Description : VLAN 0010 Status : Enable Broadcast : Enable MAC learning : Enable Statistics : Disable - Untagged Port: GigabitEthernet1/0/0在设备上执行命令display bpdu-tunnel interface config命令可以看到TPID配置情况。例如：system-viewHUAWEI interface

27、 gigabitethernet 1/0/1HUAWEI-GigabitEthernet1/0/1 display bpdu-tunnel interface configBpduDot1qStatus disableBpduOneQStatus disableBpduTwoQStatus disableEtherType 9100Dot1qVlan TwoQList父主题：配置QinQ二层隧道(二) 配置二层灵活QinQ配置二层灵活QinQ，使得报文带有不同的外层Tag传输，并且QinQ Tag的EType可以灵活配置。1. 建立配置任务在进行二层灵活QinQ配置前了解此特性的应用环境、配置

28、此特性的前置任务和数据准备，可以帮助您快速、准确地完成配置任务。1) 应用环境二层灵活QinQ功能是对QinQ二层隧道功能的扩展，它比QinQ接口的功能更灵活。二者之间的主要区别是：QinQ二层隧道：对进入二层QinQ接口的所有帧都加上相同的外层Tag。二层灵活QinQ：对进入二层QinQ接口的帧，可以根据不同的内层Tag而加上不同的外层Tag。2) 前置任务在配置二层灵活QinQ之前，需完成以下任务：设备正确上电，且工作正常。以太网接口的基本属性的配置。2. 创建QinQ二层接口的外层VLAN配置二层灵活QinQ，使得报文带有不同的外层Tag传输，并且QinQ Tag的EType可以灵活配置

29、。在需要配置QinQ二层隧道功能的设备上进行如下配置。操作步骤执行命令system-view，进入系统视图。执行命令vlanvlan-id，创建VLAN并进入VLAN视图。 该VLAN ID为QinQ二层隧道功能中指定的外层Tag值，取值范围是14094。3. 配置二层灵活QinQ接口配置二层灵活QinQ接口后，对于从接口进来的带有私网Tag的用户报文，统一加上公网的Tag，实现用户报文在公网内转发。请在需要配置二层灵活QinQ功能的设备上进行如下配置。操作步骤执行命令system-view，进入系统视图。执行命令interface ethernet | gigabitethernet | e

30、th-trunk interface-number，进入需要配置二层灵活QinQ功能的以太网接口视图。 （可选）执行命令portswitch，设置接口为二层接口。 如果接口已经是二层接口，则不需要执行此步配置。port vlan-stacking vlanvlan-id1 tovlan-id2 stack-vlanvlan-id3，配置接口类型为二层灵活QinQ接口。 此步骤中vlan-id1和vlan-id2为接口收到帧的内层Tag范围，vlan-id3为接口为帧加上的外层Tag值。4. （可选）配置外层Tag的协议类型不同的设备互连，当配置了QinQ功能时，各个设备厂商的内层TPID的EType的值为0x8100，但是对于外层TPID的EType，各个厂商所使用的值不相同。为了实现不同厂商的设备互通，需要配置外层Tag的协议类型。在需要配置QinQ二层隧道功能的设备上进行如下配置。操作步骤执行命令system-view，进入系统视图。执行命令interfaceinterface-type interface-number，进入需要配置QinQ二层隧道功能的以太网接口视图。执行命令qinq protocolethertype-value，配置外层Tag的协议类型。 在IEEE 802.1ad中规定外层TPID的 EType字段的定义为0x88a8。ethert