以太网交换机SVLAN技术白皮书.docx

以太网交换机SVLAN技术白皮书.docx

《以太网交换机SVLAN技术白皮书.docx》由会员分享，可在线阅读，更多相关《以太网交换机SVLAN技术白皮书.docx（17页珍藏版）》请在冰豆网上搜索。

以太网交换机SVLAN技术白皮书

以太网交换机SVLAN

技术白皮书

武汉烽火网络有限责任公司

文档版本：

V1.0

时间：

2006-02-08

撰写：

交换机项目组相关人员，技术支持部

审核：

技术支持部

发布：

武汉烽火网络有限责任公司市场部

读者对象：

烽火网络客户，烽火网络市场及客服所有人员

修订记录

修订序号

修订日期

修订内容描述

修订者

版本

声明:

1．本文仅作市场宣传参考，不作合同签定、技术配置的依据。

由于编者技术水平有限，欢迎批评和指导。

2．版权所有，保留一切权力

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书的部分或全部，并不得以任何形式传播。

3．有任何疑问请垂询市场部技术支持部。

目录

一、SVLAN概述5

二、SVLAN的实现5

三、命令说明6

1.配置dtag端口收到数据进行转发时以哪个vlan标记进行6

2.设置dtag外层标记的TPID7

3.设置dtag在端口上使能或者失效8

4.是否失效端口的dot1q功能9

5.是否在dtag端口上进行外层vlan标记TPID判断9

6.查看dtag的全局配置10

7.显示端口的dtag配置信息11

四、配置实例12

1.使用双标记功能实现类似VPN的功能12

2.使用双标记进行多单位的接入14

五、SVLAN技术优势18

摘要

本文介绍武汉烽火网络有限公司F-EngineS3500、F-EngineS2000M、F-EngineS2000MF、F-EngineS2200MA系列以太网交换机的SVLAN功能。

SVLAN是当前电信运营商特别关注的一个技术热点，目前以太网运营商依托以太网开展普通的上网业务、IPTV业务、VOIP等新的增值业务。

从普通的Internet时代的每个用户一个VLAN，到多业务时代的一种业务一个VLAN。

基于VLAN进行用户和业务的标识，是以太网运营的基础。

本文全面地介绍了SVLAN技术，及其配置方式，简要的介绍了F-EngineS3500、F-EngineS2000M、F-EngineS2000MF、F-EngineS2200M系列以太网交换机的SVLAN功能在实际组网中的应用方式。

关键词

VLANSVLANQ-IN-QIPTV

一、SVLAN概述

SVLAN是当前电信运营商特别关注的一个技术热点，目前以太网运营商依托以太网开展普通的上网业务、IPTV业务、VOIP等新的增值业务。

从普通的Internet时代的每个用户一个VLAN，到多业务时代的一种业务一个VLAN。

基于VLAN进行用户和业务的标识，是以太网运营的基础。

SVLAN也称为QINQ，是对802.1Q的扩展，其核心思想是将用户私网VLANtag封装到运营商网络VLANtag里面，报文带着两层tag穿越服务商的骨干网络，从而为用户提供一种二层VPN隧道。

其特点是简单而易于管理，不需要信令的支持，仅仅通过静态配置即可实现，特别适用于以交换机为骨干的小规模城域网。

S2000MA上的DTAG（双标记）功能就是指数据帧中携带两个vlan标记，也就是通常所说的Q-IN-Q功能，数据帧中的第一个vlan标记我们称为外层vlan标记、第二个vlan标记我们称为内层vlan标记。

S2000MA的QinQ为运营商提供了一种廉价、简洁的二层VPN解决方案，越来越多的小型用户倾向于使用该功能构建自己的VPN网络。

二、SVLAN的实现

基于SVLAN技术实现多业务的支持如下图所示：

要在城域网大范围实现基于VLAN技术来实现对不同业务的标识、隔离、及QoS保证。

必须采用SVLAN（QINQ）技术来扩展传统交换机4KVLAN的限制。

SVLAN取值范围：

4K×4K，突破了传统的4096个VLAN的限制，使基于VLAN的运营成为可能。

上图中，多业务终端（家庭网关）或接入支持按不同的业务划分不同的VLAN，VLAN从最初的宽带用户标识演变为对业务的标识。

在园区交换机上按不同的业务标记出不同的外层VLAN标签，这样可以使用外层标签对业务进行标识。

同种业务的不同用户（内层标签）到达园区交换机时可以通过SVLAN技术分配一个外层标签,这样后续设备就可以根据外层标签来对不同的业务实现不同的优先级保证。

通过SVLAN技术实现的两个功能：

◆解决了传统VLAN4K的限制。

◆通过外层标签完成了对业务和用户的唯一标识。

SVLAN技术对以太网交换机提出了新的要求：

1、要求交换机支持基本的SVLAN技术。

2、要求交换机支持基于SVLAN的策略控制。

3、要求SVLAN的优先级映射。

4、要求可以根据内层VLAN标签灵活分配外层标签。

5、SVLAN外层标签的ETHERNETTYPE字段值必须可以配置。

SVLAN内外层标签可以理解宽带号码，相当于窄带电话网的电话号码。

SVLAN的外层标签相当于局号，内层标签相当于分机号。

通过SVLAN技术可以在城域网范围内对用户和业务的唯一标识。

三、命令说明

1.配置dtag端口收到数据进行转发时以哪个vlan标记进行

【命令格式】

dtagforward-tag（first|second）

【参数说明】

参数first表示交换机在使能了双标记的端口上接收到数据时，以外层vlan标记进行数据转发；参数second表示交换机在使能了双标记功能的端口上接收到数据时，以内层vlan标记进行转发转发。

【配置模式】

全局配置模式

【功能说明】

本命令配置在使能了双标记功能的端口上接收到数据时，根据哪个vlan标记进行数据转发，缺省是以内层vlan标记进行数据转发。

本命令执行后将影响所有使能了双标记功能的端口。

【命令举例】

S2000MA（config）#dtagforward-tagfirst

上面的命令执行后在使能双标记功能的端口上将以外层vlan标记进行数据转发。

2.设置dtag外层标记的TPID

【命令格式】

dtagprotocol<1-65535>

【参数说明】

参数是一个十进制表示的数值，当使能了双标记的端口有数据发送出去时、外层vlan标记使用的TPID值将使用该命令设置的数值。

缺省双标记使用的TPID是0X8100、即十进制的33024。

【配置模式】

全局配置模式

【功能说明】

本命令用于设置外层vlan标记使用的TPID值，本命令设置后会影响所有的使能了双标记的端口。

【命令举例】

S2000MA（config）#dtagprotocol33025

上面的命令执行后使能双标记功能的端口发送出去的数据的外层vlan标记的TPID值将为16进制的0X8101。

3.设置dtag在端口上使能或者失效

【命令格式】

dtag（enable|disable）

【参数说明】

参数enable表示在这个端口上使能双标记功能，也即从这个端口发送出去的数据将添加一个外层vlan标记；参数disable表示当有数据从这个端口发送出去时不添加一个外层vlan标记

【配置模式】

端口配置模式

【功能说明】

本命令用于在某个端口上使能或者失效双标记功能。

特别注明：

当一个端口使能双标记功能后，从这个端口发送出去的数据将添加一个vlan标记，该标记中的vlanid为该数据的入端口的PVID，即如果端口1使能双标记、2号端口接收到的数据要从端口1转发出去时，如果2号端口的PVID是3，那么从端口1发送出去的数据的外层vlan标记中的vlan字段将为3；如果3号端口也有数据从端口1转发出去，而且3号端口的PVID是5，那么这个数据从1号端口发送出去时外层vlan标记中的vlan字段数值将是5。

使能dtag功能后，接入端口建议在所有的vlan中都是标记端口，即不直接连接最终用户、而是连接以太网交换机，并且接入端口对端的交换机发送给S2000MA交换机的数据都需要是vlan标记数据。

【命令举例】

S2000MA（config-eth-1）#dtagenable

上面的命令执行后将会导致1号端口使能双标记功能

4.是否失效端口的dot1q功能

【命令格式】

dtagdot1q（enable|disable）

【参数说明】

参数enable表示在该端口上使能dot1q功能，即收到数据时如果数据中携带有vlan标记，那么将以vlan标记中的vlanid进行数据转发；参数disable表示在该端口上失效dot1q功能，即收到数据时只以端口的PVID进行数据转发（即使收到的数据携带有vlan标记也不以vlan标记中的vlanid进行数据转发）。

【配置模式】

端口配置模式

【功能说明】

本命令用于设置某个端口是否失效IEEE802.1Q中对于接收到vlan标记数据时的处理流程。

特别注明：

不要在使能了DTAG功能的端口上失效dot1q功能。

当使用的设备是S2016M-A或者S2024M-A时，一定要在接入端口上（即没有使能dtag、但是有数据需要从dtag端口转发出去的接入端口）失效dot1q功能；如果使用的设备是S2008M-A，那么接入端口可以不用失效dot1q功能。

【命令举例】

S2000MA（config-eth-1）dtagdot1qdisable

上面的命令执行后，1号端口接收到数据时将以该端口的PVID进行数据转发。

5.是否在dtag端口上进行外层vlan标记TPID判断

【命令格式】

dtagprotocol（enable|disable）

【参数说明】

enable表示当该端口接收到数据时，检查收到的数据的第一个vlan标记的TPID值是否与全局配置的TPID相同，如果相同，则认为这是一个双标记数据、那么在转发到其它端口时应该剥外层vlan标记；如果不相同，则认为这不是一个双标记数据，那么将进行正常的数据转发。

Disable表示当该端口接收到数据时，不检查收到数据的第一个vlan标记的TPID值是否与全局配置的TPID相同，统统都认为是双标记数据。

【配置模式】

端口配置模式

【功能说明】

本命令用于配置是否在端口上进行双标记协议值（TPID）检查。

【命令举例】

S2000MA（config-eth-1）#dtagprotocolenable

上面的命令执行后将导致1号端口收到数据时进行TPID的检查。

6.查看dtag的全局配置

【命令格式】

showdtag

【参数说明】

本命令没有参数

【配置模式】

特权模式

【功能说明】

本命令用于查看dtag的全局配置信息

【命令举例】

showdtag

protocol:

33024

forwardTag:

second

上面的显示表示：

使能双标记的端口发送数据出去时外层vlan标记使用的TPID值是十六进制的0x8100，使能双标记的端口收到数据时将以内层vlan标记进行数据转发。

7.显示端口的dtag配置信息

【命令格式】

showinterfacedtag

【参数说明】

本命令无需输入参数

【配置模式】

特权模式

【功能说明】

本命令用于显示端口的双标记配置情况

【命令举例】

S2024MA#showinterfacedtag

Port1

DTagStatus:

disable

ProtocolStatus:

disable

Dot1qStatus:

enable

Port2

DTagStatus:

disable

ProtocolStatus:

disable

Dot1qStatus:

enable

上面的显示表示端口1没有使能双标记，端口的IEEE802.1Q功能有效，不检查收到数据的TPID是否与DTAG的全局配置是否一致。

四、配置实例

1.使用双标记功能实现类似VPN的功能

i.需求说明

某大学有A、B两个校区，位于城市的两个不同的位置，两个分校区都划分了很多的在校园内有效的vlan、目前希望两个校区之间可以直接进行2层的数据通信。

由于两个校区之间没有铺设专门的光纤线路，导致两个校区之间不能直接，于是租用运营商的线路把两个小区连接起来。

由于校区数据携带一些校园内私有的vlan信息，运营商为了在目前的城域网上能够直接将两个校区的数据进行转发，因此决定直接使用Q-IN-Q将两个校区连接起来。

假设运营商为这个大学分配的城域网有效的vlanid为100，A校区有大学私有vlan1、2、3、4，B校区有私有vlan1、2、3、4。

ii.使用设备以及拓扑

在该大学的A、B两校区分别使用1台S2008M-A设备作为实现Q-IN-Q的交换机，运营商的城域网使用普通交换机进行两个校区的互联。

之所以使用S2008M-A而不是S2024M-A是因为下面的拓扑中S2008MA交换机只使用了2个端口。

为了简化配置，我们将拓扑简化为：

iii.配置

A）城域网交换机

假设城域网交换机使用1号接口连接S2008M-A1，使用2号接口连接S2008M-A2。

城域网交换机的配置比较简单：

创建vlan100，把1号端口划到vlan100，并作为vlan100的tag端口；把2号端口划分到vlan100、并作为vlan100的tag端口。

B）S2008M-A1

假设S2008M-A1使用端口1与城域网交换机连接，使用端口2与A校区的汇聚交换机连接。

S2008M-A1的配置为：

创建vlan100，把端口1、2都加入van100并作为tag端口；

在端口1上使能DTAG功能；

创建vlan1、2、3、4，把端口1、2都加入这些vlan并作为tag端口；

端口2的PVID设置为vlan100；

配置dtag转发时以内层vlan标记进行转发。

说明：

当A校区的汇聚交换机的数据（vlan标记数据）到达S2008M-A1的2号端口时，将会从1号端口发送出去（因为端口1、2都属于vlan1、2、3、4），又因为1号端口使能了双标记，所以数据从1号端口发送出去时将携带两个vlan标记，外层vlan标记是100、内层vlan标记是汇聚交换机发送上来时携带的vlan标记。

当城域网交换机接收到S2008M-A1的数据时，因为城域网交换机是普通交换机，因此将以外层vlan进行转发，从而数据将被发送到该交换机与B校区连接的2号端口，这样，S2008MA2收到的数据将会是携带有两个vlan标记的数据帧，其外层vlan标记是100、内层vlan标记是校园内的私有vlan。

同样，当城域网交换机的数据发送给S2008M-A1时，将会携带两个vlan标记，因为S2008M-A1的1号端口使能了双标记，所以1号端口收到数据时将剥去数据的外层vlan标记，又因为dtag配置转发时以内层vlan标记进行转发，所以数据将会从2号端口发送出去、并且数据只携带1个vlan标记（vlanid从1至4），这样A校区与B校区的这4个vlan就可以互相通信了。

C）S2008M-A2

在结构上S2008M-A2与S2008M-A1完全一样，所以配置也是完全一样的。

2.使用双标记进行多单位的接入

i.需求说明

有多个单位需要连接到互联网，这些单位内部需要划分多个vlan，但是这些单位并不想在单位内部安装3层交换机或者路由器来实现vlan之间的路由，于是需要运营商使用3层路由设备来实现这些单位内部vlan之间的数据交换。

又因为这些单位内部的vlan只在单位内部有意义，运营商的城域网不允许这些单位的内部数据直接连接到城域网交换机中，所以需要使用Q-IN-Q来屏蔽单位的内部vlan。

ii.使用设备以及拓扑

在单位的出口处部署一台S2024M-A，在运营商的机房中部署一台S2024M-A，一台3层交换机，拓扑如下：

注：

有多少个单位需要连接到运营商、那么S2024M-A2与3层交换机之间就需要有多少根网线连接。

iii.配置说明

1.普通交换机1

该普通交换机使用2－7号端口连接vlan1的多个用户，使用端口1连接S2024M-A1的2号端口。

配置：

创建vlan1，把2－7号端口作为untag端口加入vlan1，2－7号端口的pvid都设置为1。

把1号端口加入vlan1作为tag端口；

2.普通交换机2

该普通交换机使用2－7号端口连接vlan2的多个用户，使用端口1连接S2024M-A1的3号端口。

配置：

创建vlan2，把2－7号端口作为untag端口加入vlan2，2－7号端口的pvid都设置为2。

把1号端口加入vlan2作为tag端口；

3.普通交换机3

该普通交换机使用2－7号端口连接vlan3的多个用户，使用端口1连接S2024M-A1的4号端口。

配置：

创建vlan3，把2－7号端口作为untag端口加入vlan3，2－7号端口的pvid都设置为3。

把1号端口加入vlan3作为tag端口；

4.S2024M-A1

该交换机是这个单位的汇聚交换机、也充当Q－IN－Q出口（使用端口1与城域网连接）的角色，假设运营商为这个单位分配的城域网有效vlanid为100。

配置：

创建vlan1、2、3、100；

端口2作为tag端口加入vlan1以及vlan100，pvid设置为100，并且失效dot1q功能；端口3作为tag端口加入vlan2以及vlan100，pvid设置为100，并且失效dot1q功能；

端口4作为tag端口加入vlan3以及vlan100，pvid设置为100，并且失效dot1q功能；

端口1作为tag端口加入vlan1、2、3、100，并且设置为tag端口，pvid无所谓是上述vlan的哪一个，使能dtag功能，不能失效dot1q功能；

设置dtag转发以内层vlan标记进行；

启用端口隔离功能隔离2、3、4端口。

5.S2024M-A2

本交换机是运营商用于接入这些单位并终结Q-IN-Q的设备，假设使用端口1用于接入这些单位，使用2号端口连接3层交换机（2号端口对应上图中的那个单位）。

配置：

创建vlan1、2、3、100；

端口1作为tag端口加入vlan1、2、3、100，使能dtag功能，不失效dot1q功能；

端口2作为tag端口加入vlan1、2、3、100，不使能dtag功能，pvid为100，失效dot1q功能；

启用端口隔离功能隔离2号端口与后面的端口。

6.3层交换机

假设3层交换机使用端口1连接S2024M-A2。

配置：

创建vlan1、2、3；

把端口1作为tag端口加入vlan1、2、3；

分别为vlan1、2、3配置IP地址以及子网掩码。

iv.通信流程说明：

以vlan1的某台PC通过ARP请求3层交换机的mac地址为例：

A.假设VLAN1的某个用户发出ARP请求3层交换机对应IP的mac地址，这个数据将会到达普通交换机1（PC机发出的数据都是非标记数据）；

B.当普通交换机1的接收到这个非标记数据时，该ARP请求将以该端口的pvid（即vlan1）进行转发、并从端口1发送出去；又因为端口1在vlan1中是标记端口，所以从端口1发送出去的数据将携带vlan1的标记；

C.当该数据到达S2024M-A1的端口2时，因为端口2失效了dot1q功能，所以数据将根据端口2的pvid（100）进行转发，从而数据将被转发到端口1；又因为端口1使能了DTAG功能，所以从端口1发送出去的数据将携带两个vlan标记，外层vlan为100（因为数据的入端口2的pvid为100）、内层vlan为1。

D.当S2024M-A2的1号端口收到该数据时，1号端口使能了DTAG、所以交换机将剥去该数据的外层vlan标记，因为S2024M-A2的DTAG转发时以内部vlan进行，所以该数据将依据内层vlan1进行转发、并从端口2发送出去；又因为端口2在vlan1中是标记端口，所以从端口2发送出去的数据将携带vlan1的标记；

E.当3层交换机收到这个数据时，根据vlan标记1判断该ARP请求的目的IP是vlan1的ip地址，所以进行ARP应答。

因为3层交换机的端口1在vlan1中是tag端口，所以arp应答发送出去时将携带vlan1的标记；

F.当S2024M-A2从2号端口接收到该ARP应答时，由于2号端口失效了dot1q功能，所以该应答将根据2号端口的PVID（100）进行转发、从而需要从端口1发送出去；由于端口1使能了DTAG，因此ARP应答发送出去将再附加一个vlan标记，即外层vlan标记为100、内层vlan标记为1；

G.当S2024M-A1从1号口收到这个数据时，由于1号端口使能了DTAG、所以先需要剥去外层vlan标记；由于DTAG在这台交换机上配置转发以DTAG的内层vlan标记进行，所以这个ARP应答将以内层vlan1进行转发、从而从端口2发送出去，发送出去的数据将只携带一个vlan标记（vlan1）；

H.当ARP应答到达普通交换机1的端口1时，交换机将根据vlan标记中的vlan1进行数据转发，并根据mac地址发送到该PC机所在的端口，由于该交换机的接入端口在vlan1中都是untag端口，所以发送出去的arp应答将剥掉vlan标记；

I.用户的PC收到不携带vlan标记的ARP应答，进行正确的处理，于是学习到了3层交换机对应IP的MAC地址。

五、SVLAN技术优势

QinQ协议在解决小型城域网或企业网方案时，具有以下优点：

●可以解决日益紧缺的公网VLANID资源问题；

●用户可以规划自己的私网VLANID，不会导致与公网VLANID冲突；

●提供一种较为简单的二层VPN解决方案；

●使用户网络具有较高的独立性，在服务提供商升级网络时，用户网络不必更改原有的配置。