评论

收藏

[其他] QinQ

网络安全 网络安全 发布于:2021-07-13 10:05 | 阅读数:279 | 评论:0

  7.3.1 QinQ技术诞生的背景
    QinQ是在传统802.1Q VLAN标签头基础上再增加一层新的802.1Q VLAN标签头,如图7-12所示。由此可知,QinQ帧比传统的802.1Q帧多了四个字节,即新增的802.1Q VLAN标签。

  1.    基本QinQ封装
  如在图7-13所示的网络中,企业部门1(Department1)有两个办公地,部门2(Department2)有三个办公地,两个部门的各办公地分别和网络中的PE1、PE2相连,部门1和部门2可以任意规划自己的VLAN。这样,可在PE1和PE2上通过如下思路配置QinQ二层隧道功能,使得每个部门的各个办公地网络可以互通,但两个部门之间不能互通。
  l  PE1上的端口Port4和PE2上的端口Port3允许VLAN 20的用户数据帧通过,以便实现连接在PE1的Port3上部门2的用户与连接在PE2的Port1和Port2上部门2的用户互通。
  图7-13 基本QinQ典型应用示例
l  基于VLAN ID的灵活QinQ:它是基于数据帧中不同的内层标签的VLAN ID来添加不同的外层标签。即具有相同内层标签的帧添加相同的外层VLAN标签,具有不同内层标签的帧添加不同的外层VLAN标签。这就要求不同用户的内层VLAN ID或VLAN ID范围绝对不能重叠或交叉。华为S系列交换机中的S2700、S3700、S5700、S6700仅支持基于VLAN ID的灵活QinQ功能
  以上三种灵活QinQ的配置方法将在本章后面具体介绍。
  【说明】封装一般在交换式端口上进行,但也可以在路由子接口上进行(终结只能在路由子接口上进行)。此种方法可以通过一个子接口来透传多个标识用户的,这种子接口也叫子接口。这种封装方式也是基于流的封装方式,但子接口只能和业务结合起来才有意义,不支持三层转发功能。
  图7-14 灵活QinQ典型应用示例
  l  对于进入PE1的Port2端口的用户数据帧,如果VLAN ID在100~500之间,则封装VLAN ID为10的外层标签;
  l  在PE1和PE2的Port3端口上允许VLAN 20的帧通过,以便实现连接在PE1的Port1端口下连接的部门2用户与连接在PE2的Port1和Port2的部门2的用户互通。
  QinQ/Dot1q终结是指设备对数据帧的双层或者单层VLAN标签进行识别,根据后续的转发行为对帧中的双层或者单层VLAN标签进行剥离,然后继续传送。也就是这些VLAN标签仅在此之前生效,后面的数据传输和处理不再依据帧中的这些VLAN标签。
      l  对接口发送规则       l口再发送。
  l  明确的QinQ终结子接口:两层VLAN标签为固定的值。

  
关注下面的标签,发现更多相似文章