QINQ原理及应用PPT

QINQ原理及应用 1 2 P 第1章QinQ技术基础第2章BPDUTunnel应用第3章灵活QinQ原理与应用 内容介绍 2 P 学习完此课程 您将会 理解QinQ基础原理与应用了解灵活QinQ的原理和应用 目标 3 随着以太网技术在运营商网络中的大量部署 即城域以太网 利用802 1QVLAN对用户进行隔离和标识受到很大限制 因为IEEE802 1Q中定义的VLANtag域只有12个比特 仅能表示4K个VLAN 这对于城域以太网中需要标识的大量用户捉襟见肘 于是QinQ技术应运而生 产生背景 4 2020 4 16 QinQ最初主要是为拓展VLAN的数量空间而产生的 它是在原有的802 1Q报文的基础上又增加一层802 1Q标签实现 使VLAN数量增加到4K 4K 随着城域以太网的发展以及运营商精细化运作的要求 QinQ的双层标签又有了进一步的使用场景 它的内外层标签可以代表不同的信息 如内层标签代表用户 外层标签代表业务 内层tag透明传送 另外 QinQ报文带着两层tag穿越运营商网络是一种简单 实用的VPN技术 因此它又可以作为核心MPLSVPN在城域以太网VPN的延伸 最终形成端到端的VPN技术 产生背景 5 2020 4 16 QinQ的基本思想是在基于802 1Q封装的报文的Tag前再加一个Tag以增加Tag数量或以前一个Tag来区分隧道 用户 的一种形象化的称呼 目前很多厂商的网络设备都能支持这个特性 但是名称各不相同Cisco802 1QTunnelingExtremeVirtualMAN vMANsRiverstoneStackableVLAN SVLANH3CVLANVPN总的思想都是将用户私网VLANTag封装在公网VLANTag中 报文带着两层Tag穿越服务商的骨干网络 从而为用户提供一种较为简单的二层VPN隧道 产生背景 6 2020 4 16 QinQ封装 8021Q封装 QinQ封装 同802 1Q的帧相比QinQ在这里插入了一层标签 通常我们称之为外层标签 内层标签 是由用户打上去的 7 2020 4 16 QinQ封装说明 在802 1Q中规定TagProtocolIdentifier TPID Etype的值为8100 H3C和CISCO内外层标签的Etype相同都是0 x8100Foundry和Extreme 外层标签的Etype为0 x9100 最新版本可能有变化 为同外层标签为0 x9100 0 x9200的设备互通 可提供外层标签可调功能 可以通过命令指定外层标签的值 8 2020 4 16 QinQ应用示意图 简单二层VPN 客户A LAN1 100 客户A LAN1 100 客户B LAN1 200 客户B LAN1 200 Trunk端口 运营商网络 VLAN30 VLAN30 VLAN20 VLAN20 VLAN20 VLAN20 Trunk端口 客户侧单tag 运营商侧双tag 外层标签 9 2020 4 16 QinQ原理 先介绍Tunnel端口 配置了支持QinQ的端口 Tunnel端口被配置为属于运营商分配给客户的VLAN Tunnel端口只在运营商设备上配置 上图中客户A被分配了VLAN20 所有和客户A相连的Tunnel端口 在运营商网络中属于VLAN20A客户数据 已经有一层客户VLAN标签 到达Tunnel端口 会再添加外层标签 VLANID为20 在运营商网络中 带着Tag在VLAN20中按正常二层转发流程转发 A客户数据离开Tunnel端口 外层标签会被剥离掉 剩下内层客户VLAN标签 到达客户侧交换机按正常的Tag报文在客户网络中转发 MAC学习 客户数据到达Tunnel端口 其MAC学习在运营商分配给客户的VLAN中 A客户的数据MAC学习在VLAN20 数据到达客户侧 MAC学习在内层客户VLAN标签标注的VLAN中QinQ功能对客户侧交换机不可见 运营商网络对客户透明 10 2020 4 16 QinQ优点 QinQ可以简单认为是报文携带了两层8021QTag QinQ技术的出现让运营商可以以较低成本为客户提供二层VPN QinQ完全在运营商网络上实施 用户对QinQ不感知 在运营商网络中的报文 内层Tag为客户私有VLAN标识 外层Tag为运营商分配给客户的VLAN 客户可以独立规划自己的VLANID 运营商网络的变化不影响客户网络 QinQ不需要单独的信令协议 只需要静态配置 简洁稳定 QinQ扩展了VLAN资源 为运营商按VLAN区分接入用户提供了可能 11 2020 4 16 P 以上介绍的QinQ为基于端口的QinQ 其实现机理如下 当该设备端口接收到报文 无论报文是否带有VLANTag 交换机都会为该报文打上本端口缺省VLAN的VLANTag 这样 如果接收到的是已经带有VLANTag的报文 该报文就成为双Tag的报文 如果接收到的是untagged的报文 该报文就成为带有端口缺省VLANTag的报文新的挑战QinQ网络中 运营商网络对客户透明 当客户和运营商网络之间的连接有冗余时必然导致环路问题 QinQ应用示意图中的A客户 这一挑战要求运营商网络能透明传输STP RSTP MSTP报文 这样客户可以跨运营商网络构建自己的STP树 切断冗余链路 BPDU Tunnel运营商提出了新的要求 不按用户接入端口来划分VLAN 而是按其用户的VID或其他特征来对用户进行分组 灵活QinQ QinQ技术的挑战 12 P QinQBPDUTunnel 二层协议报文 也称BPDU报文在运营商网络的透传 我们称为Layer2Protocoltunnel或者BPDUtunnel BPDU报文在运营商QinQ网络中的透传 必须达到以下要求 同一个客户网络的所有分支必须都能收到自己的BPDU报文 不同客户网络中的BPDU必须隔离 不能互相影响 两个问题可以一起解决 在Tunnel端口收到BPDU时 给BPDU打上运营商分配给客户的一个标识 根据这个标识来区分不同VPN的BPDU 同时在运营商网络中BPDU报文按正常的数据报文进行转发为了避免客户BPDU报文被运营商网络设备处理 需要给封装的BPDU赋一个特殊的组播MAC作为目的MAC 这一方面可以保证报文能在运营商分配给客户的VLAN中被发送到各个分支 在出Tunnel端口时 去掉VLANtag并把目的MAC改回BPDU的MAC BPDUTunnel原理 13 P QinQBPDUTunnel Tunnel端口收到BPDU后 把目的MAC修改为一个组播MAC 01 00 0c cd cd d0 在FCS前插入用户信息等相关标识 组播MAC保证报文在VLAN内广播 同时标识这个报文是个BPDU Tunnel报文 交换机在收到这个报文时上送CPU处理 还原其BPDU身份 并根据报文中的用户信息标识部分的内容 把报文送到相应的客户网络 BPDU TunnelPacket BPDUPacket 修改了BPDU的目的地址为多播MAC 增加了该字段用来区分是那一个用户网络 BPDUTunnel的实现 14 城域以太网QinQ应用案例 15 2020 4 16 城域以太网QinQ应用案例 某运营商新建城域以太网如上图所示 用户A和用户B各地市通过接入城域以太网络实现远程互访 受早期网络规划的影响 用户A和用户B接入VLAN C VLAN 都为VLAN20 业务接入城域以太网后 要求在用户接入VLAN不变的情况下 实现Q地市的用户A1和M地市的用户A2 以及Q地市的用户B1和M地市的用户B2间业务互访 同时 还要保证用户A和用户B业务相互隔离 16 2020 4 16 城域以太网QinQ应用案例 技术关键点 不同用户携带相同C VLAN接入城域以太网 为保证业务相互隔离 可以通过在CE设备上配置QinQ 使不同用户的业务数据报文打上不同的外层VLANtag S VLAN PE上配置根据外层VLAN映射至不同的VPLS专线 从而实现相同用户业务的远程互访 不同用户的业务隔离 如下图所示 17 2020 4 16 城域以太网QinQ应用案例 18 2020 4 16 灵活QinQ 在前面所讲的QinQ中 只能以物理端口来划分用户 当多个不同用户以不同的VLAN接入到同一个端口时无法区分用户 前面的QinQ是一种简单二层VPN的应用 在运行营商接入环境中往往需要根据用户的应用或接入地点 设备 来区分用户 灵活QinQ 即基于流封装的QINQ的出现为以上应用提功了解决方案 19 2020 4 16 基于流的QinQ封装可以对进入端口的数据首先进行流分类 然后对于不同的数据流选择是否打外层TAG 打何种外层TAG 因此也叫灵活QinQ 灵活QinQ根据流分类的方法又可细分如下 根据报文中的VLANID区间分流当同一用户的不同业务使用不同的VLANID时 可以根据VLANID区间进行分流 比如PC上网的VLANID范围是101 200 IPTV的VLANID范围是201 300 大客户的VLAN范围是301 400 面向用户的设备收到用户数据后 根据VLANID范围 对PC上网业务打上100的外层标签 对IPTV打上300的外层标签 对大客户打上500的外层标签 灵活QinQ 20 2020 4 16 灵活QinQ 根据报文中的VLANID Priority进行分流不同的业务有不同的优先级 当同一用户的多种业务使用相同的VLANID时 可以根据不同业务的Priority进行区分 然后打上不同的外层标签 根据目的IP进行QinQ封装当同一台PC既包括上网业务 又包括语音业务时 不同业务的目的IP不同 可以对目的IP进行分流 然后打上不同的外层标签 根据ETYPE进行QinQ封装当同一用户既包括PPPOE的上网业务 又包括IPOE的IPTV业务时 可以根据ETYPE进行数据分流 IPOE的协议号为0 x0800 PPPOE的协议号为0 x8863 8864 这样 上网业务和IPTV业务就能打上不同的外层标签 21 2020 4 16 P 灵活QinQ原理与应用 根据端口的VLAN区间分流 比如普通上网用户PC的VLAN范围1 1K IPTV用户的VLAN范围1K 2K 大客户互联网接入的VLAN范围2K 3K 灵活QinQ应用场景一 22 P 灵活QinQ原理与应用 根据报文的协议号分流 比如普通上网PC采用PPPoE IPTV采用IPoE 这些终端都通过一个VLAN上行 可以根据PPPoE和IPoE报文不同的协议号作为QinQ的分流依据 灵活QinQ应用场景二 23 P 灵活QinQ原理与应用 根据报文的目标IP地址分流 对于相同源IP地址 相同报文封装的不同的业务应用报文 比如PC上的SoftPhone产生的报文 需要根据报文的目的IP地址实施灵活QinQ进行业务分流 灵活QinQ应用场景三 24 P 灵活QinQ原理与应用 灵活QinQ典型应用 每个用户一个VLAN 内层tag 实现用户的隔离 按应用的不同把用户划分到不同的VLAN 外层tag 中去 实现不同应用的隔离 25 P 灵活QinQ原理与应用 组网需求园区接入的用户VLAN101 200是属于普通用户接入 85给它分配使用的公网VLAN是1001 VLAN201 300的用户为园区接入的VIP用户 85给它分配的公网VLAN是1002 这些用户对网络的性能要求高 因此需要通过QOS保证VIP用户的带宽 DSLAM接入的ADSL用户他们也是VLAN101 300 他们通过PPPOE拨号获取IP从而访问internet 85给它分配的公网VLAN是1003 Vlan301是专门用于组播的VLAN 不管DSLAM还是园区接入交换机还是DSLAM的IPTV用户都是通过VLAN301来收看组播节目的 IPTV客户端首先在DHCP服务器上获取到IP 然后通过在85上进行IGMP组加入来收看组播节目 对于上网用户来说 85只是将在上网用户的报文上又增加了一层公网的tag而送交BASE处理 用户在BASE上实现认证鉴权和二层的终结 灵活QinQ典型应用 26 配置举例 配置端口QINQsystem view IPA200 inter