電信公司華為交換機(jī)QINQ配置實(shí)例

電信公司華為交換機(jī)QINQ配置實(shí)例時下最興的QINQ，電信公司正在全網(wǎng)改造，這是下一代網(wǎng)絡(luò)必須的。

QINQ相關(guān)東東

IP數(shù)據(jù)網(wǎng)的構(gòu)架中，使用交換機(jī)做為接入設(shè)備，采用LAN作為接入方式時，往往應(yīng)該考慮一個重要的問題就是用戶之間的隔離，因?yàn)榻尤氲絃AN的用戶往往處于同一廣播域中，用戶的通信信息可以被處于同一廣播域中的其他用戶監(jiān)聽到，影響了網(wǎng)絡(luò)的安全性。而且廣播域中，大量的廣播信息帶來的帶寬消耗和網(wǎng)絡(luò)延遲也影響了網(wǎng)絡(luò)的影響。

VLAN技術(shù)的提出實(shí)現(xiàn)了LAN接入用戶的隔離，不僅提高了安全性，也通過對廣播域在細(xì)分減少了網(wǎng)絡(luò)中的廣播信息。VLAN技術(shù)就是在邏輯上把一個LAN劃分成邏輯上相互隔離的虛擬網(wǎng)絡(luò)，VLAN中的各個成員處于統(tǒng)一廣播域中，而VLAN間通信必須通過第三層路由。VLAN的劃分方式有很多，常用的包括基于端口的VLAN、基于MAC的VLAN、基于網(wǎng)絡(luò)層的VLAN等。VLAN的技術(shù)實(shí)現(xiàn)中最常見的采用幀標(biāo)簽的方式，IEEE802.1Q提供了幀標(biāo)簽的標(biāo)準(zhǔn)，在VLANTag標(biāo)簽中，包含有VLANID是一個12位的域，可以支持4096個VLAN實(shí)例，而UserPriority則是一個3位的幀優(yōu)先級，共有8種優(yōu)先級。網(wǎng)絡(luò)中以太數(shù)據(jù)幀能夠通過VLANID和UserPriority來區(qū)別不同的網(wǎng)絡(luò)流量。

當(dāng)前由于交換芯片的限制，許多交換機(jī)VLAN范圍即同時可配置的基于tagVLAN的ID的范圍只能在n~n+512個的范圍內(nèi)?；顒覸LAN即指交換機(jī)同時可以配置的基于tagVLAN的個數(shù)一般在256個以內(nèi)。目前很多運(yùn)營商要求端到端的安全辨識，希望每個用戶一個VLAN，但面臨的問題是標(biāo)準(zhǔn)的VLAN資源僅4096個，這就限制了寬帶接入網(wǎng)絡(luò)的組網(wǎng)規(guī)模。比如，將來一個家庭用戶將涉及多種業(yè)務(wù)的接入，除了普通寬帶數(shù)據(jù)業(yè)務(wù)外，還有語音業(yè)務(wù)如VoIP、視頻業(yè)務(wù)如IPTV等。那么在運(yùn)營中就需要通過VLAN來區(qū)分不同的業(yè)務(wù)，一個用戶就會占用多個VLAN。此時，標(biāo)準(zhǔn)的VLAN資源可服務(wù)的用戶數(shù)將小于4096個，很可能一兩棟樓的用戶就將VLANID的資源用盡了，不利于部署全網(wǎng)的vlan。匯聚層交換機(jī)通過對Q-in-Q技術(shù)的支持，可有效擴(kuò)展城域網(wǎng)中VLAN的數(shù)量，使VLAN數(shù)量可以達(dá)到4096*4096個，可在整個小區(qū)的網(wǎng)內(nèi)規(guī)劃VLANID，給管理帶來了很大的方便。比如，可以分配給每個用戶一個外層VLANID號，如果通過內(nèi)層的VLANID號區(qū)分不同業(yè)務(wù)類型，這樣只用查看ID號就可以得知業(yè)務(wù)類型了。

通過使用Q-in-Q創(chuàng)新技術(shù)，在城域以太網(wǎng)的組網(wǎng)能力上突破了4096個VLAN的極限，既擴(kuò)展了采用VLAN組建二層網(wǎng)絡(luò)的能力，并可通過該方式實(shí)現(xiàn)城域網(wǎng)內(nèi)的二層VPN，特別適用于城域以太網(wǎng)廣域網(wǎng)服務(wù)。

Q-in-Q工作原理就是：數(shù)據(jù)在私網(wǎng)中傳輸時帶一個私網(wǎng)的tag，定義為C－VLANTag，數(shù)據(jù)進(jìn)入到服務(wù)商的骨干網(wǎng)后，在打上一層公網(wǎng)的VLANtag，定義為P－VLANTag。到目的私網(wǎng)后再把P－VLANTag剝除，為用戶提供了一種較為簡單的二層VPN隧道。

P-VLANTag標(biāo)簽是嵌在以太網(wǎng)源MAC地址和目的MAC地址之后。也包含一個12位的P-VLANID，可支持4096個VLAN。P-VLANCoS域包含3位，支持8個級別的優(yōu)先級。在基于Q-in-Q網(wǎng)絡(luò)中，運(yùn)營商為每個VLAN分配一個P-VLANID，然后把用戶的C-VLANID實(shí)例映射到這些P-VLANID上。因此，用戶的C－VLANID就被保護(hù)起來。

舉個例子，假定一個用戶希望使用C-VLANID4，50和6的數(shù)據(jù)需要穿過公網(wǎng)到達(dá)另一物理位置的用戶網(wǎng)絡(luò)。公網(wǎng)承載這個穿透服務(wù)，并分配了P-VLANID78來聚集這些C-VLANIDs。即把用戶的C-VLANID4，50和6映射到P-VLANID78，這樣數(shù)據(jù)在公網(wǎng)中傳輸時，P-VLANID是透明的，而C-VLANID則被隱藏了起來。而且用戶能夠根據(jù)業(yè)務(wù)的要求自由地分配自己網(wǎng)絡(luò)中的C-VLAN數(shù)目和設(shè)置這些C-VLANCoS域的優(yōu)先級。

簡單來說就是二次封裝VLAN

這是上述RAR里的東東:

interfaceEthernet1/0/4

portlink-typehybrid

undoporthybridvlan1

porthybridvlan321tagged

porthybridvlan3006untagged

porthybridpvidvlan3006

descriptionto_trk_yijingyuan_2#_2danyuan

vlan-checkdisable

qinqvid3006

raw-vlan-idinbound3216to3287

mac-mirroring0src-vlan3216to3287dest-vlan3006

#

interfaceEthernet1/0/5

portlink-typehybrid

undoporthybridvlan1

porthybridvlan321tagged

porthybridvlan3006untagged

porthybridpvidvlan3006

descriptionto_trk_yijingyuan_3#_1danyuan

vlan-checkdisable

qinqvid3006

raw-vlan-idinbound3289to3359

mac-mirroring0src-vlan3289to3359dest-vlan3006

#

interfaceEthernet1/0/6

portlink-typehybrid

undoporthybridvlan1

porthybridvlan321tagged

porthybridvlan3006untagged

porthybridpvidvlan3006

descriptionto_trk_yijingyuan_2#_2danyuan

vlan-checkdisable

qinqvid3006

raw-vlan-idinbound3360to3431

mac-mirroring0src-vlan3360to3431dest-vlan3006

#

interfaceEthernet1/0/7

portlink-typehybrid

undoporthybridvlan1

porthybridvlan321tagged

porthybridvlan3006untagged

porthybridpvidvlan3006

descriptionto_trk_yijingyuan_3#_1danyuan

vlan-checkdisable

qinqvid3006

raw-vlan-idinbound3432to3503

mac-mirroring0src-vlan3432to3503dest-vlan3006

#

interfaceEthernet1/0/8

portlink-typehybrid

undoporthybridvlan1

porthybridvlan321tagged

porthybridvlan3006untagged

porthybridpvidvlan3006

descriptionto_trk_yijingyuan_3#_2danyuan

vlan-checkdisable

qinqvid3006

raw-vlan-idinbound3504to3575

mac-mirroring0src-vlan3504to3575dest-vlan3006

#

interfaceEthernet1/0/9

portlink-typehybrid

undoporthybridvlan1

porthybridvlan321tagged

porthybridvlan3006untagged

porthybridpvidvlan3006

vlan-checkdisable

qinqvid3006

raw-vlan-idinbound3801to3900

mac-mirroring0src-vlan3801to3900dest-vlan3006

#

interfaceEthernet1/0/10

#

interfaceEthernet1/0/11

#

interfaceEthernet1/0/12

#

interfaceEthernet1/0/13

#

interfaceEthernet1/0/14

#

interfaceEthernet1/0/15

#

interfaceEthernet1/0/16

#

interfaceEthernet1/0/17

#

interfaceEthernet1/0/18

#

interfaceEthernet1/0/19

#

interfaceEthernet1/0/20

#

interfaceEthernet1/0/21

#

interfaceEthernet1/0/22

#

interfaceEthernet1/0/23

portaccessvlan2918

descriptionto_lan_huizefangdichan

#

interfaceEthernet1/0/24

portlink-typetrunk

undoporttrunkpermitvlan1

porttrunkpermitvlan1693213652918300630863238

descriptionto_trk_S3928e14

#

interfaceGigabitEthernet1/1/1

#

interfaceGigabitEthernet1/1/2

portlink-typetrunk

undoporttrunkpermitvlan1

porttrunkpermitvlan16929183006

descriptionto_trk_HW85

#

interfaceGigabitEthernet1/1/3

#

interfaceGigabitEthernet1/1/4

portaccessvlan3006

#

iproute-static0.0.0.00.0.0.0216.51.192.9

#

snmp-agent

snmp-agentlocal-engineid000007DB7F00000100002EB2

snmp-agentcommunityreadzdwangguan

snmp-agentsys-infoversionall

snmp-agenttarget-hosttrap