宽带清查：QinQ配置方法参考

QinQ配置方法参考一、QinQ原理介绍QinQ是指将用户私网VLANTag封装在公网VLANTag中，使报文带着两层VLANTag穿越运营商的骨干网络(公网)。在公网中报文只根据外层VLANTag(即公网VLANTag)传播,用户的私网VLANTag被屏蔽。带单层VLANTag的报文结构如下所示：DA(6B)SA(6B)ETYPE(8100)(2B)用户VLANTAG ETYPE(2B)DATA(0~1500B)FCS(4B)图1-1带用户VLANTag的报文带双层VLANTag的报文结构如下所示：DASAETYPENestedVLANTAGETYPEUserVLANTAGETYPEDATAFCS(6B)(6B)(2B)(2B)(2B)(2B)(2B)(0~1500B) (4B)图1-2封装了外层VLANTag的报文由于QinQ的实现是基于802.1Q协议中的Trunk端口概念，要求隧道上的设备都必须支持802.1Q协议，所以QinQ只适用于小型的、以三层交换机为骨干的企业网或小规模的城域网。QinQ主要可以解决如下几个问题：缓解日益紧缺的公网VLANID资源问题；用户可以规划自己的私网VLANID，不会导致和公网VLANID冲突；为小型城域网或企业网提供一种较为简单的二层VPN解决方案。二、 QinQ的实现方式华为系列路由交换机通过以下两种方式实现QinQ：(1)开启端口的VLANVPN特性功能开启端口的VLANVPN功能后，当该端口接收到报文，无论报文是否带有VLANTag，交换机都会为该报文打上本端口缺省VLAN的VLANTag。这样，如果接收到的是已经带有VLANTag的报文，该报文就成为双Tag的报文；如果接收到的是Untagged的报文，该报文就成为带有端口缺省VLANTag的报文。(2)配置基于流分类的NestedVLAN基于流分类的NestedVLAN特性是对QinQ的一种更灵活的实现，即通常所说的灵活QinQ。用户可以对端口下匹配特定ACL流规则的报文进行如下操作：设置报文的外层VLANTag修改报文的外层VLANTag三、 QinQ配置举例如图说明：Dslaml的用户VLAN100〜199,在S8505下行口打上VLAN1000的外层VLAN；Dslam2的用户VLAN200〜299，在LanSwitch下行口打上VALN2000的外层VLAN；Dslam设备的管理NMSVLAN999,网管VLAN的外层VLAN假设在S8505上为VLAN1999。DSLAM的配置华为的Dslam设备包括：MA5100、MA5103、MA5105、MA5600、UA5000等等，设备类型的不同配置命令也不同，请根据不同设备命令进行配置，使得每条PVC对应一个VLAN,包括网管VLAN和用户VLAN。可以使用showpvcall命令查看配置情况。LanSwitch配置普通QINQ华为部分交换机不支持灵活QinQ,此部分配置主要是针对中低端交换机的QinQ部署。全局下配置外层VLAN[LanSwitch]vlan2000与Dslam互联的下行口配置[LanSwitch]interfaseGigabitEthernetx/y/z//进入与Dslam互联的下行口[LanSwitch-GigabitEthernetx/y/z]descriptionToDslam_X_Y_Z//端口描述。根据实际情况进行描述[LanSwitch-GigabitEthernetx/y/z]speed1000[LanSwitch-GigabitEthernetx/y/z]duplexfull//对端口进行强制[LanSwitch-GigabitEthernetx/y/z]vlan-vpnenable〃开启端口QinQ特性[LanSwitch-GigabitEthernetx/y/z]portaccessvlan2000//配置端口外层VLANTAG3）配置与BRAS互联的上行口[LanSwitch]interfaseGigabitEthernetx/y/z//进入与BRAS互联的上行口[LanSwitch-GigabitEthernetx/y/z]descriptionToBRAS_X_Y_Z//端口描述。根据实际情况进行描述[LanSwitch-GigabitEthernetx/y/z]speed1000[LanSwitch-GigabitEthernetx/y/z]duplexfull//对端口进行强制[LanSwitch-GigabitEthernetx/y/z]portlink-typetrunk[LanSwitch-GigabitEthernetx/y/z]undoporttrunkpermitvlan1[LanSwitch-GigabitEthernetx/y/z]porttrunkpermitvlan2000//对VLAN报文透传到BARSBARS与LanSwitch互联上QinQ配置Dslam上NMSVLAN和用户VLAN相当于两种业务，由于中低端交换机不支持灵活QinQ交换机上的普通QinQ无法对这两种业务进行区分，必须在BARS上进行区分1） 配置与LanSwitch互联的下行口[BRAS]interfaseGigabitEthernetx/y/z//进入与LanSwitch互联的下行口[BRAS-GigabitEthernetx/y/z]descriptionToLanSwitch_X_Y_Z//端口描述。根据实际情况进行描述[BRAS-GigabitEthernetx/y/z]speed1000[BRAS-GigabitEthernetx/y/z]duplexfull//对端口进行强制2） 在与LanSwitch互联的下行口配置QINQ,终结用户VLAN[BRAS]interfaseGigabitEthernetx/y/z.2000[BRAS-GigabitEthernetx/y/z.1000]descriptionToLanSwitch_X_Y_Z[BRAS-GigabitEthernetx/y/z.1000]qinq-vlan2000〃配置网络侧QinQVLAN即外层VLAN[BRAS-GigabitEthernetx/y/z.1000]user-vlan200299〃配置用户侧QinQVLAN即内层VLAN[BRAS-GigabitEthernetx/y/z.1000]bas[BRAS-GigabitEthernetx/y/z.1000-bas]。。。//配置正确的用户接入类型的认证方式，根据实际情况配置不同3） 在与LanSwitch互联的下行口配置QINQ,终结网管VLAN[BRAS]interfaseGigabitEthernetx/y/z.999[BRAS-GigabitEthernetx/y/z.999]descriptionToLanSwitch_X_Y_Z[BRAS-GigabitEthernetx/y/z.999]qinq-vlan2000[BRAS-GigabitEthernetx/y/z.999]user-vlan999//配置终结的网管VLAN[BRAS-GigabitEthernetx/y/z.1000]bas[BRAS-GigabitEthernetx/y/z.1000-bas]。。。//需要按照静态用户业务的配置方式在全局和子接口下进行配置S8505配置灵活QINQ华为S8505交换机支持配置灵活QinQ,但需要特别类型的单板：Release1600系列目前只有LSB1GP24D、LSB1GT24D、LSB1GV48D单板支持traffic-redirect{nested-vlan|modified-vlan}命令；Release1200系列目前只有后缀为DB或者DC的单板支持traffic-redirect{nested-vlan|modified-vlan}命令；使用displayversion查看软件版本，displaydevice查看单板型号。全局下配置外层VLAN[S8505]vlan1000[S8505]vlan1999配置流模板[S8505]flow-templateuser-definedslotXs-tag-vlan〃定义了流分类采用报文携带的最外层VLANID，其中的X表示与Dslam互联的端口所在单板槽位配置报文ACL流规则[S8505]aclnumber3000[S8505-acl-link-3000]rule10permits-tag-vlan100to199ingressanyegressany[S8505-acl-link-3000]rule20permits-tag-vlan999ingressanyegressany[S8505-acl-link-3000]rule100denyany〃配置tag是100〜199、999的报文从上行口出去时打上外层VLANTAG与Dslam互联的下行口配置[S8505]interfaseGigabitEthernetx/y/z//进入与Dslam互联的下行口[S8505-GigabitEthernetx/y/z]descriptionToDslam_X_Y_Z//端口描述。根据实际情况进行描述[S8505-GigabitEthernetx/y/z]speed1000[S8505-GigabitEthernetx/y/z]duplexfull//对端口进行强制[S8505-GigabitEthernetx/y/z]portlink-typehybrid[S8505-GigabitEthernetx/y/z]porthybridpermitvlan999tagged[S8505-GigabitEthernetx/y/z]porthybridpermitvlan10001999untagged〃允许VLAN1000和VLAN1999通过，下行口上外层VLAN需配成untagged[S8505-GigabitEthernetx/y/z]vlanfilterdisable//关闭VLAN过滤功能[S8505-GigabitEthernetx/y/z]flow-templateuser-defined//应用流模板[S8505-GigabitEthernetx/y/z]traffic-redirectinboundlink-group3000rule10system-index1nested-vlan1000//端口下下发流分类规则配置与BRAS互联的上行口[S8505]interfaseGigabitEthernetx/y/z//进入与BRAS互联的上行口[S8505-GigabitEthernetx/y/z]descriptionToBRAS_X_Y_Z//端口描述。根据实际情况进行描述[S8505-GigabitEthernetx/y/z]speed1000[S8505-GigabitEthernetx/y/z]duplexfull//对端口进行强制[S8505-GigabitEthernetx/y/z]portlink-typetrunk[S8505-GigabitEthernetx/y/z]undoporttrunkpermitvlan1[S8505-GigabitEthernetx/y/z]porttrunkpermitvlan1000999//对VLAN报文透传到BARS6）如果S8505的业务单板为B类板，升级软件版本后支持灵活 QinQ,不支持traffic-redirect{nested-vlan|modified-vlan}命令，需要修改S8505与Dslam互联的下行口配置[S8505-GigabitEthernetx/y/z]portlink-typehybrid[S8505-GigabitEthernetx/y/z]porthybridvlan999tagged[S8505-GigabitEthernetx/y/z]porthybridvlan1000untagged[S8505-GigabitEthernetx/y/z]porthybridpvidvlan1999[S8505-GigabitEthernetx/y/z]vlan-vpnenable[S8505-GigabitEthernetx/y/z]vlanfilterdisable[S8505-GigabitEthernetx/y/z]traffic-redirectinboundlink-group4010rule10system-index1internetGigabitEthernetx/y/z1000BARS与S8505互联上QinQ配置以BARS设备华为MA5200G，软件版本V3R2为例。不同的版本配置命令和功能有些区别，需要参考MA5200G的操作手册和命令手册。1） 配置与S8505互联的下行口[BRAS]interfaseGigabitEthernetx/y/z//进入与S8505互联的下行口[BRAS-GigabitEthernetx/y/z]descriptionToS8505_X_Y_Z//端口描述。根据实际情况进行描述[BRAS-GigabitEthernetx/y/z]speed1000[BRAS-GigabitEthernetx/y/z]duplexfull//对端口进行强制2） 在与S8505互联的下行口配置QINQ,终结用户VLAN[BRAS]interfaseGigabitEthernetx/y/z.1000[BRAS-GigabitEthernetx/y/z.1000]descriptionToS8505_X_Y_Z[BRAS-GigabitEthernetx/y/z.1000]qinq-vlan1000//配置网络侧QinQVLAN即外层VLAN[BRAS-GigabitEthernetx/y/z.1000]user-vlan100199//配置用户侧QinQVLAN即内层VLAN[BRAS-GigabitEthernetx/y/z.10