华为QuidwayS8500系列核心交换机多块NAT板的配置指导书V1.00.doc

Quidway S8500系列核心交换机大256K路由表路由转发表灵活QinQ同时应用多块NAT板配置指导书V1.00内部公开内部公开 Quidway S8500系列核心交换机大256K路由表路由转发表灵活QinQ配置同时应用多块NAT板配置指导书Huawei-3Com Technologies Co., Ltd. 华为3Com技术有限公司All rights reserved版权所有 侵权必究修订记录日期修订版本描述作者2002006-5-225-58-1291.00初稿完成S8500研发S8500研发郭志滨03353目录1概述42配置要求52.1主控板配置52.2接口板配置52.3NAT板配置53配置指南53.1单实例NAT配置53.2多实例NAT（VPNNAT）配置64配置举例74.1组网需求74.2配置思路85配置命令95.1单实例NAT95.1.1配置步骤95.2多实例NAT（VPNNAT）115.2.1配置步骤116一些说明167相关资料16概述Internet面临着最紧迫的问题是IP地址枯竭。针对这个问题，有两种解决方案：NAT和IPV6。NAT通过地址重用的方式来满足IP地址的需要，它主要是利用了这样一个事实：在一些域中（像一个公司的网络），在一段给定的时间内只有很少的主机需要访问域外的网络，80左右的网络流量都局限于域内部。因此，这些域内的主机都使用私网IP地址（IANA保留了三个网段作为私网地址：10.0.0.0/8、172.16.0.0/12、 192.168.0.0/16)，私网地址无需全球唯一，在不同的私网内可以重复使用，当需要访问域外的网络时，它们的IP地址转换成公网IP地址。随着Internet的发展，综合了IP技术和ATM技术的优点而产生的MPLS（Multiprotocol Label Switching）技术已经得到了越来越多的应用。由于采纳了面向无连接的控制和面向连接的数据转发，MPLS能从IP路由协议和控制协议中得到支持，它路由功能强大、灵活，可以满足许多新应用对网络的要求。通过MPLS技术可以非常容易地实现基于IP技术的VPN业务，而且可以满足VPN可扩展性和管理的需求；通过配置，可将单一接入点形成多种VPN，每种VPN代表不同的业务，使网络能以灵活方式传送不同类型的业务。随着IP转向MPLS继而支持MPLS VPN（三层VPN），私网VPN和公网之间如何互访也成为问题。通过把单实例NAT扩展为多实例NAT是一个自然的想法。NAT多实例就是在普通NAT板（单实例）上增加多实例NAT特性，针对每一个私网实例做NAT，是NAT应用的自然延伸。这样，多实例NAT（VPNNAT）既继承了MPLS组网灵活、VPN安全的特点，又实现了地址重用，可以为用户节省大量资源，可谓一举多得。S8500支持在同一个主机同时配置多块NAT板，可以实现NAT业务的负载分担，提高S8500 NAT业务处理性能。本文对如何在同一个S8500主机上配置多块NAT板进行设置加以介绍。配置要求1.1 主控板配置无特殊要求。接口板配置标S8500所有B类标准型接口板（EX板）均支持单实例NAT；，S8500所有C类标准型MPLS VPN增强型接口板（MX板）均既支持单实例NAT，又可支持多实例NAT。；BOM编码单板类型单板描述0231A03ALSBM1NATB0功能模块-Quidway S8500-LSBM1NATB0-NAT业务处理卡NAT板配置无特殊要求，而且从单实例NAT可以很平滑的升级为到多实例NAT。 BOM编码单板类型单板描述0231A03ALSBM1NATB0功能模块-Quidway S8500-LSBM1NATB0-NAT业务处理卡配置指南本配置指导以学校学生和教师分别走2块NAT板访问公网的组网为例，对单实例NAT和多实例NAT情况下的配置加以介绍。单实例NAT配置2 概述S8500系列（8505、8508、8512）核心交换机在支持基于端口的QinQ基础上，D类单板还目前支持128K和路由转发表基于流的QinQ特性（Selected QinQ），可灵活根据流分类的结果选择打不打外层VLAN tag、打上何种外层VLAN tag：如根据用户Vlan tag、MAC地址、IP协议、源地址、目的地址、优先级、或应用程序的端口号等信息实施灵活QinQ特性。借助上述流分类方法，实际实现了根据不同用户、不同业务、不同优先级等对报文进行外层VLAN tag封装，在网上进行不同承载的方案。S8500系列核心交换机的D类标准型接口板均支持灵活QinQ功能。即将发布的R002B002版本将支持256K两种路由表路由转发表规格，。其中128K路由表路由转发表作为基本规格，目前销售的GV48D所有的单板、GP48D、GT24D、GP24D均能支持，其他单板不能支持。；，256K路由表路由转发表因为需要更大的内存支持空间，所以需要使用配置时对单板类型有所要求，目前新型的MPLS VPN增强型业务接口板和L3+业务处理板可对256K路由表进行有效支持。 & 说明：本文涉及的128K和256K均指路由转发表规格，路由转发表与路由表是两个不同的概念，路由转发表（FIB）是在各个接口板转发芯片中指导转发数据报文时使用的，而路由表是在主控板上进行路由学习时生成的，路由转发表是路由表与其他相关表项综合而成的，是路由表的子集。3 配置要求3.1 主控板配置1) 128K路由表路由转发表规格：所有主控板均能支持128K路由表路由转发表，配置128K路由表路由转发表时，对主控板无特殊要求。2) 256K路由表路由转发表规格：所有主控板均能基本支持256K路由表路由转发表，但为了获得更好的性能，配置256K路由表路由转发表时，建议使用带有1G内存的LSBM1SRP1N3型主控板，或者如下所述将其他主控板内存升级为1G容量。a、LSBM1SRP1N3型主控板：标准配置1G内存。表1 LSBM1SRP1N3型主控板BOM编码型号定义单板描述0231A4440231A639LSBM1SRP1N3Quidway S8500-交换路由处理板-带时钟模块含时钟模块的SRP1N交换路由处理板b、主控板内存升级：除LSBM1SRP1N3型主控板外，其他主控板内存的标准配置为512M。当系统需要配置256K路由转发表时，为了获得更好的性能，建议将主控板内存升级为1G容量。因为主控板上内存条的插座只有一个，所以只能使用LSBM1SDRAM 型1G内存条将原有512M内存条替换掉。LSBM1SDRAM型1G内存条BOM编码型号定义模块描述0231A01BLSBM1SDRAMQuidway S8500-1G内存条无特殊要求。& 说明：除LSBM1SRP1N3型主控板内存为1G外，其余主控板内存均为512M，目前不提供主控板内存升级服务？，需要配置256K路由表路由转发表规格时，为了更好的性能表现，建议直接使用LSBM1SRP1N3型主控板。3.2 业务接口板配置3.33.4 S8500所有D类标准型接口板均支持灵活QinQ功能（D类单板IPv6硬件ready，但不支持MPLS），目前支持该特性的单板列表为（其中GV48DB 1:4收敛，其余为线速板）：1) 128K路由表路由转发表规格：所有业务接口板均能支持128K路由表路由转发表，配置128K路由表路由转发表时，对业务板接口板无特殊要求。2) 256K路由表路由转发表规格：只有新型CA类MPLS VPN增强型业务接口板和L3+业务处理板支持256K路由表路由转发表规格，其余类型单接口板（标准型业务接口板和老型C类MPLS VPN增强型业务接口板）均只支持128K路由表路由转发表。配置256K路由表路由转发表时，系统中所有业务接口板必须为新型CA类MPLS VPN增强型业务接口板和或L3+业务处理板。a、新型MPLS VPN增强型业务接口板具体类型：表2 新型MPLS VPN增强型业务接口板型号列表型号定义单板描述LSB2FT48CA48端口百兆以太网电接口板（CA）LSB1FP20CA20端口百兆以太网光接口板 (CA)LSB1GP12CA12端口千兆以太网光接口板（CA）LSB1GT12CA12端口千兆以太网电接口板(CA)LSB1P4G8CA4端口OC-3c POS光接口及8端口千兆光接口板(CA)LSB1F32GCA32端口百兆以太网电接口及4端口千兆以太网光接口板（CA）LSBM1GT24CA0LSB1GT24CAQuidway S8500-24端口千兆以太网电接口业务板（CA）24端口千兆以太网电接口板(CA)LSBM1GP24CA0LSB1GP24CAQuidway S8500-24端口千兆以太网光接口业务板（CA）24端口千兆以太网光接口板(CA)LSBM1XK1CA0LSB1XK1CAQuidway S8500-1端口万兆以太网光接口业务板 （CA）1端口万兆以太网光接口板 (CA)LSBM1XP2CA0LSB1XP2CAQuidway S8500-2端口万兆以太网光接口业务板（CA）2端口万兆以太网光接口板(CA)LSBM1XP4CA0LSB1XP4CAQuidway S8500-4端口万兆以太网光接口业务板-1:2（CA）4端口万兆以太网光接口板-1:2(CA)LSBM1SP4CA0LSB1SP4CAQuidway S8500-4端口OC-48c-POS光接口业务板 （CA）4端口OC-48c-POS光接口板 (CA)LSBM1UP1CA0LSB1UP1CAQuidway S8500-1端口OC-192c-POS光接口业务板（CA）1端口OC-192c-POS光接口板（CA）0231A03ELSB1VP2CA2*10G RPR光接口板（CA）新型MPLS VPN增强型单接口板的型号编码统一以CA0结尾，所有该类单板均支持256K路由表路由转发表规格；原有C类MPLS VPN增强型单接口板型号编码以C0结尾，仅支持128K路由表路由转发表规格。b、L3+业务板具体类型表3 L3+业务板型号列表BOM编码型号定义单板描述0231A03ALSB1NATBNAT板（B）0231A03BLSB1VPNBVPLS板（B）所有类型的L3+板因为采用NP（网络处理器）进行业务处理，均可视为支持256K路由表路由转发表规格。cb、系统路由表路由转发表规格适用就低原则，即系统路由表路由转发表规格和所有业务单板板中路由表路由转发表规格最小的相同，因此如果系统需要支持256K路由表路由转发表规格，则所有业务接口板都必须采用支持256K路由表路由转发表规格的单板类型。专用业务处理板配置128K路由转发表规格：所有专用业务处理板均能支持128K路由转发表，配置128K路由转发表时，对专用业务处理板无特殊要求。256K路由转发表规格：所有专用业务处理板均能支持256K路由转发表，配置256K路由转发表时，对专用业务处理板无特殊要求。3.4.1.1.1.a.i.1.1 专用业务处理板型号列表BOM编码型号定义单板描述0231A03ALSBM1NATB0Quidway S8500-NAT业务处理板（B）0231A03BLSBM1VPNB0Quidway S8500-VPLS业务处理板（B）BOM编码单板描述0231A05EQuidway S8500-LSBM1GV48DB0-48端口带POE千兆以太网电接口业务板(DB)0231A03KQuidway S8500-LSBM1GP24DB0-24端口千兆以太网光接口业务板(DB)0231A03LQuidway S8500-LSBM1GP24DC0-24端口千兆以太网光接口业务板(DC)0231A02TQuidway S8500-LSBM1GT24DB0-24端口千兆以太网电接口业务板(DB)到下一跳S8500 NAT基本配置：l 配置ACL规则（必选）l 配置QACL报文重定向动作（必选）l 配置EACL报文重定向下一跳的动作（必选）l NAT Address Pool 配置（非必选）NAT Outbound （必选） 说明：相关配置命令请参见S8500用户手册配置项命令说明配置ACL规则参考“07-QACL操作”相关章节 必选配置QACL动作参考“07-QACL操作”相关章节必选 配置EACL动作参考“07-QACL操作”相关章节必选配置地址池参考“14-NAT&URPF&VPLS操作” 可选配置NAT绑定参考“14-NAT&URPF&VPLS操作”必选多实例NAT（VPNNAT）配置到下一跳的S8500 VPNNAT基本配置：l MPLS配置（可选）l VPN配置（必选）l 配置ACL规则（必选）l 配置QACL报文重定向动作（必选）l 配置EACL报文重定向下一跳的动作（必选）l NAT Address Pool 配置（非必选）NAT Outbound （必选）说明：相关配置命令请参见S8500用户手册配置项命令说明配置MPLS参考“08-MPLS操作”相关章节可选配置VPN参考“08-MPLS操作”相关章节必选配置ACL规则参考“07-QACL操作”相关章节 必选配置QACL动作参考“07-QACL操作”相关章节必选 配置EACL动作参考“07-QACL操作”相关章节必选配置地址池参考“14-NAT&URPF&VPLS操作” 可选配置NAT绑定参考“14-NAT&URPF&VPLS操作”必选配置举例组网需求下面介绍的是在S8500上同时插入多块NAT板进行流量负载分担的组网配置，此处以2块为例。PE S8500作为用户侧的接入设备，同时作为NAT转换和策略路由设备，把符合不同规则的报文分别分流到对端的不同设备，如下图所示：图 1 图1 NAT策略路由组网图NAT业务板所在槽位：PE的slot 6和slot 7。环境设定：假设现在学校里学生和老师的IP地址是可以区分的，比如学生是10.XX.XX.XX，而老师的是20.XX.XX.XX；现在有2块NAT板，一块给学生用，一块给老师用，学生和教师都需要做NAT；而且规定，学生的流量走出接口Vlan100，采用地址池1，而教师的流量走出接口Vlan101，采用地址池2，软件保证地址池1和地址池2不会相同，如下图所示。 图2 报文流向示意图3.5 配置思路l 报文从LPU板到NAT板不再采用FIB重定向的办法，而是采用QACL重定向的办法，这样无论是EX板还是MX板均可实现；配置不同的规则，使不同网段的路由（即用户为学生或教师）的报文分别被分流到不同的NAT板上；l 在NAT板上配置EACL策略路由（采用跟QACL同样的规则，保证前后一致）；强行指定符合规则的报文走到期望的出口上（如图3，学生从V100出，而教师从V101出），这时候要求Vlan100和Vlan101对应的下一跳Nexthop1Nextop2，而且接口要UP起来。 图3 LPU板和NAT板间的流程配置命令单实例NAT使用的版本软件版本：Quidway S8500 Software Version V100R002B002D0 硬件版本：Quidway S8500 Product Version S8500-VRP31 配置步骤I：配置ACL规则：Quidwayacl number 2000Quidway-acl-basic-2000rule permit source 10.0.0.0 0.255.255.255Quidway-acl-basic-2000dis this#acl number 2000 rule 0 permit source 10.0.0.0 0.255.255.255#return Quidwayacl number 2001Quidway-acl-basic-2001rule permit source 20.0.0.0 0.255.255.255Quidway-acl-basic-2001dis this#acl number 2001 rule 0 permit source 10.0.0.0 0.255.255.255#returnII：在入口上配置QACL规则（我们假定报文从Vlan31的Port进入LPU板，port为e4/1/1,NAT板1在6槽，NAT板2在7槽）Quidway-Ethernet4/1/1traffic-redirect inbound ip-group 2000 slot 6 31Quidway-Ethernet4/1/1traffic-redirect inbound ip-group 2001 slot 7 31Quidway-Ethernet4/1/1dis this#interface Ethernet4/1/1 port access vlan 31 traffic-redirect inbound ip-group 2000 rule 0 system-index 1 slot 6 31traffic-redirect inbound ip-group 2001 rule 0 system-index 1 slot 7 31#return注：命令格式为traffic-redirect inbound ip-group ACLnumber slot slotnumber（NAT板槽号）destination VLAN ID我们对Ethernet4/1/1这个端口属于那个Vlan并不关心，我们关心的是什么样的报文（ACL Rule）会被重定向到那个NAT板上（NAT板 Slot number）的哪个Vlan（destination VLAN ID），尤其是destination VLAN ID，它直接决定了被QACL重定向到NAT板的报文所带的VlanIDdestination VLAN ID， 因此，为了保证报文的正确性，我们牺牲一个Vlan（在此例中为Vlan31），作为报文的源Vlan，然后对此源Vlan来的报文做EACL动作。III：在Vlan视图下配置各自的EACL重定向动作Quidway-vlan31traffic-redirect inbound ip-group 2000 next-hop 100.100.100.100 slot 6 Quidway-vlan31traffic-redirect inbound ip-group 2001 next-hop 101.101.101.101 slot 7这2个命令配置成功后会分别在NAT板1和NAT板2的NP的ACL表里生成1个表项。该命令格式为：traffic-redirect inbound ip-group ACLnumber next-hop NexthopIP slot slotnumber（NAT板槽号）其中，ACLnumber跟接口视图下保持一致；NexthopIP一定要是那个要做NAT的出接口所对应的下一跳，而且对应的端口一定要UP，否则该命令无效。IV：分别在各自的出接口上绑定NAT（我们假定100.100.100.100是Vlan100直连的对端IP，101.101.101.101是Vlan101直连的对端IP）Quidwayint vlan 100Quidway-Vlan-interface100 nat outbound 2000 address-group 0 slot 6Quidwayint vlan 101Quidway-Vlan-interface101 nat outbound 2001 address-group 1 slot 7需要注意的是NAToutbounding的规则跟EACL规则的关系要考虑清楚，什么样的报文做NAT，什么样的报文不做NAT，要分清楚，两处的规则可以不一样。多实例NAT（VPNNAT）多实例和单实例有所不同，可以有另外的配置思路，比如，设定学生和教师的网段分别为10.X.X.X和20.X.X.X，并分别属于不同的VPN，这样可以通过设置QACL把不同的VPN报文重定向到不同的NAT板即可，而不需要再设置EACL。但本配置书里，为了能保持版本间的平滑升级，还是沿用上面的思路。使用的版本软件版本：Quidway S8500 Software Version V100R002B002D0 硬件版本：Quidway S8500 Product Version S8500-VRP31配置步骤I：配置VPN：Quidwayip vpn-instance vpn1Quidway-vpn-vpn1route-distinguisher 100:1Quidway-vpn-vpn1 vpn-target 100:1 both Quidway nat vpn limit vpn-instance vpn11 100 100000Quidway interface Vlan-interface31Quidway-Vlan-interface31 ip binding vpn-instance vpn1Quidway-Vlan-interface31 ip address 31.31.31.1 255.255.255.0II：配置MPLS（可选）：Quidway mpls lsr-id 1.1.1.1(推荐用Loopback口地址)Quidway mplsQuidway-mpls mpls ldp.Quidway interface Vlan-interface100Quidway-Vlan-interface100 ip address 100.100.100.1 24Quidway-Vlan-interface100 mplsQuidway-Vlan-interface100 mpls ldp enableQuidway interface Vlan-interface101Quidway-Vlan-interface100 ip address 101.101.101.1 24Quidway-Vlan-interface100 mplsQuidway-Vlan-interface100 mpls ldp enableIII：配置BGP(可选)：Quidway-bgpgroup 100Quidway-bgpbgp 100 Quidway-bgp peer 100 connect-interface LoopBack0Quidway-bgp peer 2.2.2.2 group 100 （）Quidway-bgp peer 3.3.3.3 group 100Quidway-bgp ipv4-family vpn-instance vpn1Quidway -bgp-af-vpn-instance import-route directQuidway -bgp-af-vpn-instance import-route staticQuidway-bgp ipv4-family vpnv4 Quidway -bgp-af-vpn peer 100 enableQuidway -bgp-af-vpn peer 2.2.2.2 group 100Quidway -bgp-af-vpn peer 3.3.3.3 group 100IV：配置ACL规则：Quidwayacl number 2000Quidway-acl-basic-2000rule permit source 10.0.0.0 0.255.255.255Quidway-acl-basic-2000dis this#acl number 2000 rule 0 permit source 10.0.0.0 0.255.255.255#return Quidwayacl number 2001Quidway-acl-basic-2001rule permit source 20.0.0.0 0.255.255.255Quidway-acl-basic-2001dis this#acl number 2001 rule 0 permit source 10.0.0.0 0.255.255.255#returnQuidwayacl number 3000Quidway-acl-adv-3000rule permit ip vpn-instance vpn1Quidway-acl-adv-3000dis this#acl number 3000 rule 0 permit ip vpn-instance vpn1#return说明：这个ACL规则是为了NAT绑定用II：在入口上配置QACL规则（我们假定报文从Vlan31的Port进入LPU板，port为e4/1/1,NAT板1在6槽，NAT板2在7槽）Quidway-Ethernet4/1/1traffic-redirect inbound ip-group 2000 slot 6 31Quidway-Ethernet4/1/1traffic-redirect inbound ip-group 2001 slot 7 31Quidway-Ethernet4/1/1dis this#interface Ethernet4/1/1 port access vlan 31 traffic-redirect inbound ip-group 2000 rule 0 system-index 1 slot 6 31traffic-redirect inbound ip-group 2001 rule 0 system-index 1 slot 7 31#return注：命令格式为traffic-redirect inbound ip-group ACLnumber slot slotnumber（NAT板槽号）destination VLAN ID我们对Ethernet4/1/1这个端口属于那个Vlan并不关心，我们关心的是什么样的报文（ACL Rule）会被重定向到那个NAT板上（NAT板 Slot number）的哪个Vlan（destination VLAN ID），尤其是destination VLAN ID，它直接决定了被QACL重定向到NAT板的报文所带的VlanIDdestination VLAN ID， 因此，为了保证报文的正确性，我们牺牲一个Vlan（在此例中为Vlan31），作为报文的源Vlan，然后对此源Vlan来的报文做EACL动作。V：分别在Vlan视图下配置各自的EACL重定向动作Quidway-vlan31traffic-redirect inbound ip-group 2000 next-hop 100.100.100.100 slot 6 Quidway-vlan31traffic-redirect inbound ip-group 2001 next-hop 101.101.101.101 slot 7这2个命令配置成功后会分别在NAT板1和NAT板2的NP的ACL表里生成1个表项。该命令格式为：traffic-redirect inbound ip-group ACLnumber next-hop NexthopIP slot slotnumber（NAT板槽号）其中，ACLnumber跟接口视图下保持一致；NexthopIP一定要是那个要做NAT的出接口所对应的下一跳，而且对应的端口一定要UP，否则该命令无效。VI：在Vlan视图下绑定VPNQuidwayint vlan 31Quidway-Vlan-interface31 ip binding vpn-instance vpn1Quidway-Vlan-interface31 ip address 31.31.31.1 255.255.255.0Quidway-Vlan-interface31 dis this#interface Vlan-interface31 ip binding vpn-instance vpn1 ip address 31.31.31.1 255.255.255.0#return 注意：因为ACL不支持VPN，所以在配置QACL和EACL的动作时不能应用含有VPN限制的规则！因此，为了支持VPN，需要把QACL重定向后的destination VLAN 绑定VPN，间接的来实现多实例VII：设定VPN内到公网的静态路由Quidwayip route-static vpn-instance vpn1 100.100.100.0 24 100.100.100.100 publicQuidwayip route-static vpn-instance vpn1 101.101.101.0 24 101.101.101.101 public这两个命令和EACL重定向命令配合使用，保证不同规则的报文走不同的出接口，注意是24位掩码的地址！Quidwayip route-static vpn-instance vpn1 0.0.0.0 0 30.30.30.30 public这个命令是默认不符合上面两个规则的报文从Vlan300出去Quidwaydis ip routing-table vpn-instance vpn1 vpn1 Route Information Routing Table: vpn1 Route-Distinguisher: 100:1Destination/Mask Protocol Pre Cost Nexthop Interface0.0.0.0/0 STATIC 60 0 30.30.30.30 Vlan-interface300.VIII：分别在各自的出接口上绑定NAT（我们假定100.100.100.100是Vlan100直连的对端IP，101.101.101.101是Vlan101直连的对端IP）Quidwayint vlan 100Quidway-Vlan-interface100 nat outbound 3000 address-group 0 slot 6Quidwayint vlan 101Quidway-Vlan-interface101 nat outbound 3000 address-group 1 slot 7注意：NAToutbounding的规则3000跟EACL规则2000、2001的关系要考虑清楚，什么样的报文做NAT，什么样的报文不做NAT，要分清楚。一些说明理论上，在S8500上可以插入任意多块NAT板，前提是要有足够多的插槽！一般来说需要至少一块主控板、至少一块接口板，多块NAT板可以插在任意的槽位本配置是以不同业务为例来介绍的，实际上只要所配置的ACL规则能区分，即使相同的业务也可以分流到不同的NAT板上来做负载分担的本配置由于是ACLNAT的基本思路，所以对于某块NAT板来说性能可能会稍有下降，但不会太大；而且因为应用了多块NAT板，总的容量得到了扩展本配置的要求比较苛刻，配置时要注意，入接口和出接口一定要UP，如果接口Down掉了或改变了会导致配置失效，需要重新配置！相关资料S8500配置操作手册和命令手册LSB1GV4848端口千兆以太网电接口板-1:4-POELSB1GP4848端口千兆以太网光接口板-1:4LSB1GP24D24端口千兆以太网光接口板LSB1GT24D24端口千兆以太网电接口板典型组网配置举例A用户侧BASSRIPTVSERVER大客户接入服务应用1NGN应用2互联网应用nIPTV大客户组接入服务大客户专线B110001001-20002001-30003001-40002S850005用户接入交换机345在用户侧，每个用户的每个应用占有分配一个VLAN（PSPV），通过用户接入交换机向85汇聚，用户接入交换机和S8500之间只有一条链路。在85上的A处通过配置灵活QinQ相关的ACL规则，在同一个端口下能够达到如下效果：源VLANID为2102410002047的报文封装两层802.1QTag上送BRAS，即外层Tag中的Vlan ID为24001，内层Tag中的Vlan ID为2102410002047，如上图的上网业务；源VLANID为1001220001023的报文封装两层802.1QTag，即外层Tag中的Vlan ID为2，内层Tag中的Vlan ID为10012000不打外层VLAN tag，直接上送SR进行IPTV处理，如上图的IPTV业务；源VLANID为20014830003071的报文封装两层802.1QTag送往另外一台S8500，即外层Tag中的Vlan ID为24005，内层Tag中的Vlan ID为200148300071，如上图的同城互联业务；在上面的组网中，实现了在同一个端口，根据内层VLAN tag的不同，选择打不同外层VLAN tag或者不打外层VLAN tag的功能。源VLANID为30014000的报文封装两层8