QiQ的简单介绍.docVIP

QinQ分析与应用 前言 随着以太网技术在运营商网络中的大量部属，利用802.1q VLAN对用户进行隔离和标识受到很大限制，因为最多只有4096个VLAN，这对于大型网络来说是不够用的，于是就产生了QinQ技术。 QinQ是指将用户私网vlan tag封装在公网vlan tag中，使报文带着两层vlan tag穿越运营商的骨干网络（公网）。在公网中报文只根据外层vlan tag（即公网vlan tag）传播，用户的私网vlan tag被屏蔽。从而为用户提供一种较为简单的二层VPN隧道。 下图展示了802.1Q封装和QinQ封装的格式： 可以看到，QinQ的报文相对普通802.1Q的数据来讲，多了一层dot1q封装，那么就使得可用VLAN数量达到4096x4096,从而解决了VLAN id紧缺的问题，运营商也可以自由规划VLAN环境，并且能够为小型城域网或企业网提供一种较为简单的二层vpn解决方案。 QinQ网络的搭建 QinQ的典型拓扑为： CE为用户端的交换机，CE通过Trunk方式和PE对接，PE端口采用Access或这Trunk方式并启用基于端口的QinQ功能，用户数据到达PE后，统一封装外层VLAN TAG 10，在中间网络上QinQ报文沿外层VLAN进行传送，到达下游PE设备后，根据端口的Access属性，去掉外层标签，恢复用户数据。 在配置过程中，CE设备按照普通的trunk模式启用即可，这里主要讨论PE设备的配置方式，本例中使用CISCO 3550交换机的配置进行讲述。 系统MTU配置 由于QinQ封装的数据会在普通的802.1Q的数据上面增加4字节的dot1q封装，所以在直接启用QinQ功能的时候系统会出现错误提示，告诉用户系统的MTU需要配置到1504，具体的配置如下： Switch(config)#system mtu 1504 此条配置需要在重启交换机后生效。 接口属性配置 PE设备连接用户交换机的端口需要加上access属性，此举目的在于规定了PE设备内部VLAN标签为10，然后启用dot1q-tunnel模式，这样一来，普通的access口即可接收802.1Q的数据。具体配置如下： Switch(config)#interface FastEthernet0/1 Switch(config-if)# switchport access vlan 10 Switch(config-if)# switchport mode dot1q-tunnel 接下来需要配置PE设备上和P设备连接的接口属性，这个接口只需按照普通的trunk模式配置即可，需要注意的是：native vlan id不能和接口1的access vlan id相同，具体配置过程如下： Switch(config-if)#interface FastEthernet0/3 Switch(config-if)# Switch(config-if)# switchport trunk encapsulation dot1q Switch(config-if)# switchport trunk native vlan 200 Switch(config-if)# switchport mode trunk Switch(config-if)# 到此为止，QinQ网络已经配置完毕，接下来进行数据分析。 QinQ报文分析 CE和PE设备之间转发的数据为普通的802.1Q的数据，没有必要详细讲述，这里主要分析PE和P之间的数据特征。 有一个比较奇怪的现象需要说明一下，由于在试验环境中网络设备不够，P设备被省略，实际中采用一台PC在CE端通过HTT发送正常的UDP数据，另外一台PC在P设备的位置抓包，而抓包显示的数据一直没有802.1Q数据位，刚开启以为是配置问题，然而后来发现这种情况并不是配置或者网络出了什么问题，而是PC端使用新版本的Wireshark，导致数据包在显示的过程中自动过滤了802.1Q的信息，后来该用老版本的ethereal则没有问题。 先来看看P设备位置的抓包截图： 这个报文就是典型的QinQ数据，其中包含了两层dot1q封装，外层的vlan id 为2（即为PE设备内部VLAN标签，配置中为10）；内层vlan id 为100，这是CE设备的VLAN id。 3.3.005版本防火墙支持QinQ功能，其位置可在PE和P，主要功能是产生和解析QinQ数据，接口可以工作在access和trunk模式下，当接口处于access模式时，内层VLAN tag采用access vlan id；当接口处于trunk模式时，内层VLAN tag采用native vlan