简介
Q in Q技术(也称Stacked VLAN 或Double VLAN)。标准出自IEEE 802.1ad,将用户私网VLAN Tag封装在公网VLAN Tag中,使报文带着两层VLAN Tag穿越运营商的骨干网络(公网),即把过来的VLAN打上外层标签,就是所谓的TAG,然后启用dot1q-tunnel模式。Q in Q也叫802.1Q Tunneling , 802.1Q支持隧道特性,允许服务提供商在其VLAN内部传输用户VLAN,保留单独客户的VLAN分配,而无需要求它们的VLAN分配是唯一的。
对于很多运营商都希望能实现端到端的安全辨识,希望每个用户一个VLAN,而现在的的问题是大多交换机标准的VLAN资源仅4096个,这就限制了宽带接入网络的组网规模。比如,将来一个家庭用户将涉及多种业务的接入,除了普通宽带数据业务外,还有语音业务如VoIP、视频业务如IPTV等。那么在运营中就需要通过VLAN来区分不同的业务,一个用户就会占用多个VLAN。此时,标准的VLAN资源可服务的用户数将小于4096个,很可能一两栋楼的用户就将VLAN ID的资源用尽了,不利于部署全网的vlan。
如果汇聚层交换机通过对Q-in-Q技术的支持,既可有效扩展城域网中VLAN的数量,使VLAN数量可以达到4096*4096个,可在整个小区的网内规划VLAN ID,给管理带来了很大的方便。比如,可以分配给每个用户一个外层VLAN ID号,如果通过内层的VLAN ID号区分不同业务类型,这样只用查看ID号就可以得知业务类型了。
P-VLAN Tag标签是嵌在以太网源 MAC 地址和目的MAC地址之后。也包含一个12位的P-VLAN ID,可支持4096个VLAN。P-VLAN CoS域包含3位,支持8个级别的优先级。在基于Q-in-Q网络中,运营商为每个VLAN分配一个P-VLAN ID,然后把用户的C-VLAN ID实例映射到这些P-VLAN ID上。因此,用户的C-VLAN ID就被保护起来。
比如,假定一个用户希望使用C-VLAN ID 4,50和6的数据需要穿过公网到达另一物理位置的用户网络。公网承载这个穿透服务,并分配了P-VLAN ID 78来聚集这些C-VLAN IDs。即把用户的C-VLAN ID 4,50和6映射到P-VLAN ID 78,这样数据在公网中传输时,P-VLAN ID是透明的,而C-VLAN ID则被隐藏了起来。而且用户能够根据业务的要求自由地分配自己网络中的C-VLAN 数目和设置这些C-VLAN CoS域的优先级。
工作原理
数据在私网中传输时带一个私网的tag,定义为C-VLAN Tag,数据进入到服务商的骨干网后,再打上一层公网的VLAN tag,定义为P-VLAN Tag。到目的私网后再把P-VLAN Tag剥除,为用户提供了一种较为简单的二层VPN隧道。 P-VLAN Tag标签是嵌在以太网源 MAC 地址和目的MAC地址之后。也包含一个12位的P-VLAN ID,可支持1-4094个VLAN。P-VLAN CoS域包含3位,支持8个级别的优先级。在基于Q-in-Q网络中,运营商为每个VLAN分配一个P-VLAN ID,然后把用户的C-VLAN ID实例映射到这些P-VLAN ID上。因此,用户的C-VLAN ID就被保护起来。
Q-IN-Q VPN:这是运营商级别的2层VPN,普通用户基本无意义。
主要特点
相对基于MPLS的二层VPN,Q-in-Q具有如下特点:
1.为用户提供了一种更为简单的二层VPN隧道;
2.不需要信令协议的支持,可以通过纯静态配置实现;
3.由于Q-in-Q的实现是基于802.1Q协议中的Trunk端口概念,要求隧道上的设备都必须支持802.1Q协议;
4.Q-in-Q主要可以解决如下几个问题:
1)缓解日益紧缺的公网VLAN ID资源问题;
2)用户可以规划自己的私网VLAN ID,不会导致和公网VLAN ID冲突;
3)为小型城域网或企业网提供一种较为简单的二层VPN解决方案
5.没有协议交互过程,不需要任何配置;
6.与业务不关联,对DSLAM无影响;
7.扩展了4k VLAN;
8.二层VLAN统一规划,同时要求运营商二层网络必须支持二层VLAN tag,对设备要求比较高;
9.报文有效载荷降低,同时造成可能分片、重组;
10.协议扩展性不强,不支持用户其他控制属性。
Q-in-Q功能应用场景:
Internet 业务、VOD/VoIP、大客户接入及VPN、FMC全业务
应用优点
1、Q-in-Q可以简单认为是报文携带了两层802.1Q Tag。
2、Q-in-Q技术的出现让运营商可以以较低成本为客户提供二层Vlan。Q-in-Q完全在运营商网络上实施,用户对Q-in-Q不感知。
3、在运营商网络中的报文,内层Tag为客户私有VLAN标识,外层Tag为运营商分配给客户的VLAN。客户可以独立规划自己的VLAN ID,运营商网络的变化不影响客户网络。
4、Q-in-Q不需要单独的信令协议,只需要静态配置,简洁稳定。
5、Q-in-Q扩展了VLAN资源,为运营商按VLAN区分接入用户提供了可能
配置命令
思科:
SwX(confit-if)#switchport access vlan 100 划入ISP的VLAN
SwX confit-if)#switchport mode dotlq-tunnel 启动Q-in-Q
华为(基于端口的Q-IN-Q):
[SWB-Ethernet1/0/1]port link-type dot1q-tunnel—配置为q in q模式
[SWB-Ethernet1/0/1]port default vlan 3---指定外层tag
配置实例
- 公司在IDC机房的3层有互联网业务服务器,由于用户激增,现准备上架数台服务器。由于IDC机房3楼没有空闲机柜,所以新上架的网络设备与服务器都要放在4楼机房,此时就面临着如何跨楼层的问题。
3层核心为堆叠
- 需求:
4层接入上联到4层汇聚再上联到3层核心;
3层和4层交换机之间要实现通过VTP进行VLAN信息同步;
实现VLAN之间的通信。
- 难点:
3层和4层之间由于缺少ODF而无法实现直连,若想链接必须通过ISP的交换机进行数据中转;
ISP交换机不允许公司透过数量较大的VLAN。
- 配置:
SW1和SW2:
interface FastEthernet0/1 channel-protocol lacp channel-group 1 mode active switchport trunk encapsulation dot1q switchport mode trunk ! interface FastEthernet0/2 channel-protocol lacp channel-group 1 mode active switchport trunk encapsulation dot1q switchport mode trunk
SWA-ISP:
interface FastEthernet0/1 channel-protocol lacp channel-group 1 mode active switchport access vlan 100 switchport mode access switchport mode dot1q-tunnel l2protocol-tunnel cdp l2protocol-tunnel stp l2protocol-tunnel vtp l2protocol-tunnel point-to-point lacp l2protocol-tunnel point-to-point udld ! interface FastEthernet0/2 channel-protocol lacp channel-group 1 mode active switchport access vlan 100 switchport mode access switchport mode dot1q-tunnel l2protocol-tunnel cdp l2protocol-tunnel stp l2protocol-tunnel vtp l2protocol-tunnel point-to-point lacp l2protocol-tunnel point-to-point udld interface FastEthernet0/3 channel-protocol lacp channel-group 2 mode active switchport access vlan 100 switchport mode access ! interface FastEthernet0/4 channel-protocol lacp channel-group 2 mode active switchport access vlan 100 switchport mode access
system mtu 1504 /*更改设备的MTU,因为打了双层TAG所以要把默认的1500改为1504
vlan dot1q tag native /*为native vlan打标签