配置基本QinQ示例

QinQ简介

定义

QinQ（802.1Q-in-802.1Q）技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的功能，可以使私网VLAN透传公网。由于在骨干网中传递的报文有两层802.1Q Tag（一层公网Tag，一层私网Tag），即802.1Q-in-802.1Q，所以称之为QinQ协议。

目的

随着以太网技术在运营商网络中的大量部署（即城域以太网），利用802.1Q VLAN对用户进行隔离和标识受到很大限制。因为IEEE802.1Q中定义的VLAN Tag域只有12个比特，仅能表示4096个VLAN，无法满足城域以太网中标识大量用户的需求，于是QinQ技术应运而生。

QinQ最初主要是为拓展VLAN的数量空间而产生的。它是通过在原有的802.1Q报文的基础上增加一层802.1Q标签来实现的，使得VLAN数量增加到4094×4094。

随着城域以太网的发展以及运营商精细化运作的要求，QinQ的双层标签又有了进一步的使用场景。它的内外层标签可以代表不同的信息，如内层标签代表用户，外层标签代表业务。另外，QinQ报文带着两层Tag穿越运营商网络，内层Tag透明传送，也是一种简单、实用的VPN技术。因此它又可以作为核心MPLS VPN在城域以太网VPN的延伸，最终形成端到端的VPN技术。

由于QinQ方便易用的特点，现在已经在各运营商中得到了广泛的应用，如QinQ技术在城域以太网解决方案中和多种业务相结合。特别是灵活QinQ（Selective QinQ/VLAN Stacking）的出现，使得QinQ业务更加受到了运营商的推崇和青睐，它具有不同用户之间的VLAN与公网VLAN有效分离、最大限度节省运营商网络的VLAN资源等特点。随着城域以太网的大力发展，各个设备提供商都提出了各自的城域以太网的解决方案。QinQ因为其自身简单灵活的特点，在各解决方案中扮演着重要的角色。

受益

QinQ通过增加一层802.1Q的标签头实现了扩展VLAN空间的功能，具有以下价值：

• 扩展VLAN，对用户进行隔离和标识不再受到限制。
• QinQ内外层标签可以代表不同的信息，如内层标签代表用户，外层标签代表业务，更利于业务的部署。
• QinQ封装、终结的方式很丰富，帮助运营商实现业务精细化运营。

基本QinQ原理描述

基本QinQ又称为QinQ二层隧道，是基于接口方式实现的。开启接口的基本QinQ功能后，当该接口接收到报文，设备会为该报文打上本接口缺省VLAN的VLAN Tag。如果接收到的是已经带有VLAN Tag的报文，该报文就成为双Tag的报文；如果接收到的是不带VLAN Tag的报文，该报文就成为带有接口缺省VLAN Tag的报文。

当需要较多的VLAN时，可以配置基本QinQ功能。通过对VLAN增加外层Tag，使得VLAN的可用数目范围变大，解决VLAN数目资源紧缺的问题。

在如图1所示的网络中，企业部门1有两个办公地，部门2有三个办公地，两个部门的各办公地分别和网络中的PE1、PE2相连，部门1和部门2可以任意规划自己的VLAN。

部门1和部门2外层VLAN规划如表1所示：

在PE1和PE2上通过如下思路配置QinQ二层隧道功能，使得每个部门的各个办公地网络可以互通，但两个部门之间不能互通。

• 在PE1上，对于进入接口Port1和Port2的用户报文都封装外层VLAN 10，对于进入接口Port3中用户报文都封装外层VLAN 20。

• 在PE2上，对于进入接口Port1和Port2的用户报文都封装外层VLAN 20。

• PE1上的接口Port4和PE2上的接口Port3允许VLAN 20的报文通过。

实验需求

如图中所示，网络中有两个企业，企业1有两个分支，企业2有两个分支。这两个企业的各办公地的企业网都分别和运营商网络中的S1和S2相连，且公网中存在其它厂商设备，其外层VLAN Tag的TPID值为0x9100。

现需要实现：

• 企业1和企业2独立划分VLAN，两者互不影响。
• 各企业两分支之间流量通过公网透明传输，相同业务之间互通，不同业务之间互相隔离。

可通过配置QinQ来实现以上需求。利用公网提供的VLAN100使企业1互通，利用公网提供的VLAN200使企业2互通，不同企业之间互相隔离。并通过在连接其它厂商设备的接口上配置修改QinQ外层VLAN Tag的TPID值，来实现与其它厂商设备的互通。

配置思路

采用如下的思路配置：QinQ

1. 在S1和S2上均创建VLAN100和VLAN200，配置连接业务的接口为QinQ类型，并分别加入VLAN。实现不同业务添加不同的外层VLAN Tag。

2. 配置S1和S2上连接公网的接口加入相应VLAN，实现允许VLAN100和200的报文通过。

3. 在S1和S2连接公网的接口上配置外层VLAN tag的TPID值，实现与其它厂商设备的互通。

实验步骤

1. 创建VLAN

   # 在S1上创建VLAN100和VLAN200

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.	
[Huawei]sysname S1[S1]undo info-center enable 
Info: Information center is disabled.[S1]vlan batch 100 200
Info: This operation may take a few seconds. Please wait for a moment...done.

    2.配置接口类型为QinQ

    # 在S1上配置接口GE0/0/1、GE0/0/2的类型为QinQ，GE0/0/1的外层tag为VLAN100，GE0/0/2的外层tag为VLAN200。S2的配置与S1类似，不再赘述。

[S1]interface GigabitEthernet 0/0/1	
[S1-GigabitEthernet0/0/1]port link-type dot1q-tunnel 	
[S1-GigabitEthernet0/0/1]port default vlan 100[S1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2	
[S1-GigabitEthernet0/0/2]port link-type dot1q-tunnel 	
[S1-GigabitEthernet0/0/2]port default vlan 200	
[S1-GigabitEthernet0/0/2]quit 

   3.配置Switch连接公网侧的接口

    # 在S1上配置接口GE0/0/3加入VLAN100和VLAN200。S2的配置与S1类似，不再赘述。

[S1]interface GigabitEthernet 0/0/3	
[S1-GigabitEthernet0/0/3]port link-type trunk 	
[S1-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 200	

   4.配置外层VLAN tag的TPID值

   # 在S1上配置外层VLAN tag的TPID值为0x9100。

[S1-GigabitEthernet0/0/3]qinq protocol 9100	
[S1-GigabitEthernet0/0/3]quit 

   5. 验证配置结果

       从企业1一处分支内任意VLAN的一台PC ping企业1另外一处分支同一VLAN内的PC，如果可以ping通则表示企业1内部可以互相通信。

      从企业2一处分支内任意VLAN的一台PC ping企业2另外一处分支同一VLAN内的PC，如果可以ping通则表示企业2内部可以互相通信。

      从企业1一处分支内任意VLAN的一台PC ping企业2任意一处分支同一VLAN内的PC，如果不能ping通则表示企业1和企业2之间相互隔离。

（1）PC1 ping PC3，两台PC均为内部VLAN10中。

（2）在S1的g0/0/3上抓包结果

PC1 ping PC2 无法ping通

S1配置

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.	
[Huawei]sysname S1[S1]vlan batch 100 200
Info: This operation may take a few seconds. Please wait for a moment...done.[S1]undo info-center enable 
Info: Information center is disabled.[S1]interface GigabitEthernet 0/0/1	
[S1-GigabitEthernet0/0/1]port link-type dot1q-tunnel 	
[S1-GigabitEthernet0/0/1]port default vlan 100[S1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2	
[S1-GigabitEthernet0/0/2]port link-type dot1q-tunnel 	
[S1-GigabitEthernet0/0/2]port default vlan 200	
[S1-GigabitEthernet0/0/2]quit [S1]interface GigabitEthernet 0/0/3	
[S1-GigabitEthernet0/0/3]port link-type trunk 	
[S1-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 200	
[S1-GigabitEthernet0/0/3]quit [S1]interface GigabitEthernet 0/0/3	
[S1-GigabitEthernet0/0/3]qinq protocol 9100	
[S1-GigabitEthernet0/0/3]quit 

S2配置

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.[Huawei]sysname S2[S2]undo info-center  enable 
Info: Information center is disabled.[S2]vlan batch 100 200
Info: This operation may take a few seconds. Please wait for a moment...done.[S2]interface GigabitEthernet 0/0/1	
[S2-GigabitEthernet0/0/1]port link-type dot1q-tunnel 	
[S2-GigabitEthernet0/0/1]port default vlan 100[S2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2	
[S2-GigabitEthernet0/0/2]port link-type dot1q-tunnel 	
[S2-GigabitEthernet0/0/2]port default vlan 200[S2-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3	
[S2-GigabitEthernet0/0/3]port link-type trunk 	
[S2-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 200	
[S2-GigabitEthernet0/0/3]quit [S2]interface GigabitEthernet 0/0/3	
[S2-GigabitEthernet0/0/3]qinq protocol 9100	
[S2-GigabitEthernet0/0/3]quit 

S3配置

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.[Huawei]sysname S3[S3]undo info-center enable 
Info: Information center is disabled.[S3]vlan batch 10 to 20
Info: This operation may take a few seconds. Please wait for a moment...done.[S3]interface GigabitEthernet 0/0/2	
[S3-GigabitEthernet0/0/2]port link-type access 	
[S3-GigabitEthernet0/0/2]port default vlan 10[S3-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/1	
[S3-GigabitEthernet0/0/1]port link-type trunk 	
[S3-GigabitEthernet0/0/1]port trunk allow-pass vlan all 
[S3-GigabitEthernet0/0/1]quit 

S4配置

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.[Huawei]sysname S4[S4]undo info-center enable 
Info: Information center is disabled.[S4]vlan batch 21 to 30
Info: This operation may take a few seconds. Please wait for a moment...done.[S4]interface GigabitEthernet 0/0/2	
[S4-GigabitEthernet0/0/2]port link-type access 	
[S4-GigabitEthernet0/0/2]port default vlan 21[S4-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/1	
[S4-GigabitEthernet0/0/1]port link-type trunk 	
[S4-GigabitEthernet0/0/1]port trunk allow-pass vlan all 	
[S4-GigabitEthernet0/0/1]quit 

S5配置

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.[Huawei]sysname S5[S5]undo info-center enable 
Info: Information center is disabled.[S5]vlan batch 10 to 20
Info: This operation may take a few seconds. Please wait for a moment...done.[S5]interface GigabitEthernet 0/0/2	
[S5-GigabitEthernet0/0/2]port link-type access 	
[S5-GigabitEthernet0/0/2]port default vlan 10[S5-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/1	
[S5-GigabitEthernet0/0/1]port link-type trunk 	
[S5-GigabitEthernet0/0/1]port trunk allow-pass vlan all 	
[S5-GigabitEthernet0/0/1]quit 

S6配置

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.[Huawei]sysname S6[S6]undo info-center enable 
Info: Information center is disabled.[S6]vlan batch 21 to 30
Info: This operation may take a few seconds. Please wait for a moment...done.[S6]interface GigabitEthernet 0/0/2	
[S6-GigabitEthernet0/0/2]port link-type access 	
[S6-GigabitEthernet0/0/2]port default vlan 21[S6-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/1	
[S6-GigabitEthernet0/0/1]port link-type trunk 	
[S6-GigabitEthernet0/0/1]port trunk allow-pass vlan all 	
[S6-GigabitEthernet0/0/1]quit