04QinQBPDU TUNNEL操作要点.docx
- 文档编号:5382326
- 上传时间:2022-12-15
- 格式:DOCX
- 页数:16
- 大小:77.12KB
04QinQBPDU TUNNEL操作要点.docx
《04QinQBPDU TUNNEL操作要点.docx》由会员分享,可在线阅读,更多相关《04QinQBPDU TUNNEL操作要点.docx(16页珍藏版)》请在冰豆网上搜索。
04QinQBPDUTUNNEL操作要点
第1章QinQ配置
1.1QinQ简介
1.1.1QinQ原理简介
IEEE802.1Q中定义的VLANTag域只有12个比特用于表示VLANID,所以交换机最多可以支持4094个VLAN。
在实际应用中,尤其是在城域网中,需要大量的VLAN来隔离用户,4094个VLAN远远不能满足需求。
S7500E系列交换机提供的QinQ特性是一种简单、灵活的二层VPN技术,它通过在运营商接入端为用户的私网报文封装外层VLANTag,使报文携带两层VLANTag穿越运营商的骨干网络(公网)。
内层VLANTag为用户私网VLANTag,外层VLANTag为运营商分配给用户的VLANTag。
在公网中,报文只根据外层VLANTag进行转发,并将报文的源MAC地址表项学习到外层Tag所在VLAN的MAC地址表中,而用户的私网VLANTag在传输过程中将被当作报文中的数据部分来进行传输。
QinQ的报文结构如图1-1所示。
QinQ特性使设备最多可以提供4094X4094个VLAN,满足城域网对VLAN数量的需求。
图1-1QinQ的报文结构
QinQ主要可以解决如下几个问题:
●缓解日益紧缺的公网VLANID资源问题。
●用户可以规划自己的私网VLANID,不会导致和公网VLANID冲突。
●为小型城域网或企业网提供一种较为简单的二层VPN解决方案。
&说明:
QinQ功能只需在运营商网络进行配置,用户网络不需进行配置。
1.1.2QinQ的实现方式
QinQ可分为两种:
基本QinQ和灵活QinQ。
●基本QinQ
基本QinQ是基于端口方式实现的。
开启端口的基本QinQ功能后,当该端口接收到报文,交换机会为该报文打上本端口缺省VLAN的VLANTag。
如果接收到的是已经带有VLANTag的报文,该报文就成为双Tag的报文;如果接收到的是不带VLANTag的报文,该报文就成为带有端口缺省VLANTag的报文。
●灵活QinQ
灵活QinQ是对QinQ的一种更灵活的实现,它除了能实现所有基本QinQ的功能外,对于同一个端口接收的报文还可以根据报文的内层VLANID添加不同的外层VLANTag。
S7500E系列交换机通过QoS策略实现灵活QinQ功能,即通过定义流分类规则将用户VLANID为指定值的报文进行归类,并通过配置流行为为此类报文封装指定的外层VLANTag。
1.1.3VLANTag的TPID值可调功能
TPID(TagProtocolIdentifier,标签协议标识)是VLANTag中的一个字段,用于表示VLANTag的协议类型,IEEE802.1Q协议规定该字段的取值为0x8100。
IEEE802.1Q协议定义的以太网帧的VLANTag结构如图1-2所示。
图1-1以太网帧的VLANTag结构
S7500E系列交换机可以根据TPID值来识别报文中是否携带对应的VLANTag:
当端口收到报文时,根据设备的TPID值与报文中相应的字段进行比较,如果二者一致,则表示报文中携带相应的VLANTag。
不同厂商的设备可能将QinQ报文外层VLANTag的TPID字段设为不同的值。
为了和这些设备兼容,S7500E系列交换机提供了QinQ报文的TPID值可调功能,可以进行调节的TPID值包括:
●用户网络的TPID值:
用来使交换机判断从用户网络接收的报文是否携带VLANTag,以及当用户报文不带Tag时,为其封装使用该TPID值的标签。
●运营商网络的TPID值:
交换机在为用户报文封装外层Tag时将使用该TPID值,以实现与其他厂商设备的互通,该值还可用于使交换机识别来自运营商网络的报文是否携带VLANTag。
由于TPID字段在以太网报文中所处位置与不带VLANTag的报文中协议类型字段所处位置相同,为避免网络中报文转发和接收造成混乱,不允许用户将TPID值配置为表1-1中列举的常用协议类型值。
表1-1常用协议类型值
协议类型
对应值
ARP
0x0806
PUP
0x0200
RARP
0x8035
IP
0x0800
IPv6
0x86DD
PPPoE
0x8863/0x8864
MPLS
0x8847/0x8848
IPX/SPX
0x8137
IS-IS
0x8000
LACP
0x8809
802.1x
0x888E
集群
0x88A7
设备保留
0xFFFD/0xFFFE/0xFFFF
1.2配置基本QinQ功能
表1-1配置基本QinQ功能
操作
命令
说明
进入系统视图
system-view
-
进入以太网端口视图或端口组视图
进入以太网端口视图
interfaceinterface-typeinterface-number
二者必选其一
进入以太网端口视图后,下面进行的配置只在当前端口生效;进入端口组视图后,下面进行的配置将在端口组中的所有端口生效
进入端口组视图
port-group{manualport-group-name|aggregationagg-id}
开启端口的基本QinQ功能
qinqenable
必选
缺省情况下,端口的基本QinQ功能关闭
1.3配置灵活QinQ功能
表1-1配置灵活QinQ功能
操作
命令
说明
进入系统视图
system-view
-
创建类并进入类视图
trafficclassifierclassifier-name[operator{and|or}]
必选
缺省情况下,类视图下各规则之间的关系为and,即逻辑与
配置匹配报文的规则,即指定报文的内层VLANID
if-matchcustomer-vlan-idvlan-id-list
必选
退出至系统视图
quit
-
创建流行为并进入流行为视图
trafficbehaviorbehavior-name
必选
定义流行为,即指定为报文封装的外层VLANID
nesttop-mostvlan-idvlan-id
必选
退出至系统视图
quit
-
创建QoS策略并进入QoS策略视图
qospolicypolicy-name
必选
将之前定义的流分类和指定的流行为进行绑定,组成QoS策略
classifierclassifier-namebehaviorbehavior-name
必选
退出至系统视图
quit
-
进入连接用户网络的以太网端口视图
interfaceinterface-typeinterface-number
-
开启端口的基本QinQ功能
qinqenable
必选
在端口的入方向应用QoS策略
qosapplypolicypolicy-nameinbound
必选
注意:
●开启灵活QinQ前必须先配置端口的基本QinQ功能,灵活QinQ的优先级高于基本QinQ,即当端口接收的报文不能匹配流分类规则的情况下,才根据基本QinQ的功能封装外层VLANTag。
●灵活QinQ的配置是基于QoS策略实现的,关于QoS策略的更多详细信息,请参见本手册“QoS”部分的介绍。
1.4配置VLANTag的TPID值
表1-1配置VLANTag的TPID值
操作
命令
说明
进入系统视图
system-view
-
配置用户网络中的TPID值
qinqethernet-typecustomer-taghex-value
可选
缺省情况下,用户网络中的TPID值为0x8100
进入连接运营商网络的以太网端口视图或端口组视图
进入以太网端口视图
interfaceinterface-typeinterface-number
二者必选其一
进入以太网端口视图后,下面进行的配置只在当前端口生效;进入端口组视图后,下面进行的配置将在端口组中的所有端口生效
进入端口组视图
port-group{manualport-group-name|aggregationagg-id}
配置运营商网络中的TPID值
qinqethernet-typeservice-taghex-value
可选
缺省情况下,运营商网络的TPID值为0x8100
1.5QinQ典型配置举例
1.组网需求
●ProviderA、ProviderB作为运营商网络接入设备。
●CustomerA、CustomerB、CustomerC、CustomerD为用户网络接入设备。
●ProviderA、ProviderB之间通过Trunk端口连接,允许运营商网络的VLAN1000、VLAN2000和VLAN3000通过。
●ProviderA和ProviderB之间,运营商采用其他厂商的设备,TPID值为0x8200。
希望配置完成后达到下列要求:
●CustomerA的VLAN10的报文可以和CustomerB的VLAN10的报文经过运营商网络的VLAN1000转发后互通;
●CustomerA的VLAN20的报文可以和CustomerC的VLAN20的报文经过运营商网络的VLAN2000转发后互通。
●CustomerA的其余VLAN的报文可以通过运营商网络的VLAN3000转发至CustomerD。
2.组网图
图1-1配置QinQ功能组网图
3.配置步骤
&说明:
用户必须通过配置保证运营商网络中的设备之间允许QinQ报文通过。
(1)ProviderA的配置
#进入系统视图。
●Ethernet2/0/1端口的配置
#配置端口为Hybrid端口,且允许VLAN1000、VLAN2000和VLAN3000的报文通过,并且在发送时去掉外层Tag。
[ProviderA]interfaceethernet2/0/1
[ProviderA-Ethernet2/0/1]portlink-typehybrid
[ProviderA-Ethernet2/0/1]porthybridvlan100020003000untagged
#将VLAN3000配置为该端口的缺省VLAN,并配置基本QinQ功能,为接收的报文封装VLAN3000的Tag。
[ProviderA-Ethernet2/0/1]porthybridpvidvlan3000
[ProviderA-Ethernet2/0/1]qinqenable
[ProviderA-Ethernet2/0/1]quit
#创建流分类规则,将CustomerA的VLAN10的报文定义为“A10”类。
[ProviderA]trafficclassifierA10
[ProviderA-classifier-A10]if-matchcustomer-vlan-id10
[ProviderA-classifier-A10]quit
#定义流行为,为报文封装VLAN1000的外层VLANTag,流行为命名为“P1000”。
[ProviderA]trafficbehaviorP1000
[ProviderA-behavior-P1000]nesttop-mostvlan-id1000
[ProviderA-behavior-P1000]quit
#与以上配置类似,创建流分类“A20”匹配用户VLANID为20的报文,并创建流行为,为此类报文封装外层VLAN2000的Tag。
[ProviderA]trafficclassifierA20
[ProviderA-classifier-A20]if-matchcustomer-vlan-id20
[ProviderA-classifier-A20]quit
[ProviderA]trafficbehaviorP2000
[ProviderA-behavior-P2000]nesttop-mostvlan-id2000
[ProviderA-behavior-P2000]quit
#创建QoS策略,将流分类“A10”和流行为“P1000”进行关联,将流分类“A20”和流行为“P2000”关联,策略命名为“qinq”。
[ProviderA]qospolicyqinq
[ProviderA-qospolicy-qinq]classifierA10behaviorP1000
[ProviderA-qospolicy-qinq]classifierA20behaviorP2000
[ProviderA-qospolicy-qinq]quit
#在Ethernet2/0/1端口的接收方向应用“qinq”规则。
[ProviderA]interfaceEthernet2/0/1
[ProviderA-Ethernet2/0/1]qosapplypolicyqinqinbound
●Ethernet2/0/2端口的配置
#配置端口的缺省VLAN为VLAN1000。
[ProviderA]interfaceethernet2/0/2
[ProviderA-Ethernet2/0/2]portaccessvlan1000
#配置端口的基本QinQ功能,将来自VLAN10的报文封装VLANID为1000的外层Tag。
[ProviderA-Ethernet2/0/2]qinqenable
[ProviderA-Ethernet2/0/2]quit
●Ethernet2/0/3端口的配置
#配置端口为Trunk端口,且允许VLAN1000、VLAN2000和VLAN3000的报文通过。
[ProviderA]interfaceethernet2/0/3
[ProviderA-Ethernet2/0/3]portlink-typetrunk
[ProviderA-Ethernet2/0/3]porttrunkpermitvlan100020003000
#为与公共网络中的设备进行互通,配置运营商网络的TPID为0x8200,即配置端口在添加外层Tag时使用的TPID值为0x8200。
[ProviderA-Ethernet2/0/3]qinqethernet-typeservice-tag8200
(2)ProviderB的配置
●Ethernet2/0/1端口的配置
#配置端口为Trunk端口,且允许VLAN1000、VLAN2000和VLAN3000的报文通过。
[ProviderB]interfaceethernet2/0/1
[ProviderB-Ethernet2/0/1]portlink-typetrunk
[ProviderB-Ethernet2/0/1]porttrunkpermitvlan100020003000
#为与公共网络中的设备进行互通,配置运营商网络的TPID为0x8200,即配置端口添加外层Tag时使用的TPID值为0x8200。
[ProviderB-Ethernet2/0/1]qinqethernet-typeservice-tag8200
[ProviderB-Ethernet2/0/1]quit
●Ethernet2/0/2端口的配置
#配置端口的缺省VLAN为VLAN2000。
[ProviderB]interfaceethernet2/0/2
[ProviderB-Ethernet2/0/2]portaccessvlan2000
#配置端口的基本QinQ功能,将来自VLAN20的报文封装VLANID为2000的外层Tag。
[ProviderB-Ethernet2/0/2]qinqenable
[ProviderB-Ethernet2/0/2]quit
●Ethernet2/0/3端口的配置
#配置端口的缺省VLAN为VLAN3000。
[ProviderB]interfaceethernet2/0/3
[ProviderB-Ethernet2/0/3]portaccessvlan3000
#配置端口的基本QinQ功能,为来自所有用户VLAN的报文封装VLANID为3000的外层Tag。
[ProviderB-Ethernet2/0/3]qinqenable
(3)公共网络设备的配置
由于ProviderA和ProviderB之间使用的公共网络设备可能来自于其他厂商,这里只介绍基本原理:
配置公共网络中与ProviderA的Ethernet2/0/3端口和ProviderB的Ethernet2/0/1端口连接的设备,使其相应的端口允许VLAN1000、VLAN2000和VLAN3000的报文携带VLANTag进行发送即可。
第2章BPDUTUNNEL配置
2.1BPDUTUNNEL简介
2.1.1BPDUTUNNEL的作用
为了避免网络中出现环路,用户可以开启设备的STP功能。
但是,由于BPDU报文(STP协议通过在设备之间传递BPDU报文来确定网络的拓扑结构)是二层组播报文,所有开启STP功能的设备都会接收并处理,因此不同网络的生成树一起计算,导致每个网络都无法生成正确的生成树,当网络中存在冗余链路时必然出现环路。
BPDUTUNNEL功能可以解决上述问题,它可使运行STP功能的不同网络拥有各自的生成树,互不干扰,它具有下列作用:
●可以对不同网络的BPDU报文进行隔离,本网络中的拓扑结构计算不会受其它网络的BPDU报文的影响。
●可以使同一个用户网络的BPDU报文在运营商网络内指定的VLAN中进行广播,使得在不同地域的同一个用户网络可以跨越运营商网络进行统一的生成树计算。
2.1.2BPDUTUNNEL的工作原理
BPDUTUNNEL可以实现下列两个功能:
●对BPDU报文进行隔离
●对BPDU报文进行透明传输
1.对BPDU报文进行隔离
当端口收到BPDU报文时,将之丢弃,使之不参与生成树的计算。
用户可以使用“2.2配置BPDU报文隔离”配置来实现该功能。
2.对BPDU报文进行透明传输
图2-1中,上部为运营商网络,下部为用户网络,用户网络分为用户网络A和用户网络B两个部分。
通过在运营商网络两端的报文输入/输出设备上配置“2.3配置BPDU报文透明传输”,可以实现用户网络的BPDU报文在运营商网络中进行透明传输,且不同用户网络的生成树独立进行计算。
图2-1BPDUTUNNEL网络层次示意图
●在报文输入端,设备将来自用户网络的BPDU报文的目的MAC地址0x0180-C200-0000修改为特殊的组播MAC地址(默认为0x010F-E200-0003)。
在运营商网络中,修改后的BPDU报文被当作数据报文在用户所属的VLAN中进行转发。
●在报文输出端,设备将目的MAC地址为BPDUTUNNEL报文特有的组播MAC地址(默认为0x010F-E200-0003)的报文识别出来,将其目的MAC地址还原为BPDU报文的原目的MAC地址0x0180-C200-0000,然后将BPDU报文送到指定的用户网络。
&说明:
用户必须通过配置保证用户网络的BPDU报文在运营商网络中进行透明传输的过程中,其VLANTag不能被改变也不能被去掉,否则,系统无法对用户网络的BPDU报文进行正确的透明传输。
2.2配置BPDU报文隔离
开启全局和端口的BPDUTUNNEL功能后,该端口可以对BPDU报文进行隔离。
表2-1配置BPDU报文隔离
操作
命令
说明
进入系统视图
system-view
-
开启全局的BPDUTUNNEL功能
bpdu-tunneldot1qenable
可选
缺省情况下,全局BPDUTUNNEL功能处于开启状态
进入以太网端口视图或端口组视图
进入以太网端口视图
interfaceinterface-typeinterface-number
二者必选其一
进入以太网端口视图后,下面进行的配置只在当前端口生效;进入端口组视图后,下面进行的配置将在端口组中的所有端口生效
进入端口组视图
port-group{manualport-group-name|aggregationagg-id}
开启端口的BPDUTUNNEL功能
bpdu-tunneldot1qenable
必选
缺省情况下,所有端口的BPDUTUNNEL功能关闭
&说明:
●只有全局BPDUTUNNEL功能打开后,端口的BPDUTUNNEL功能才能生效。
●BPDUTUNNEL功能与GVRP功能不兼容,两者不可以同时应用。
关于GVRP的介绍,请参见“VLAN”部分的介绍。
2.3配置BPDU报文透明传输
在打开BPDUTUNNEL功能的端口上开启端口的STP协议的BPDUTUNNEL功能后,该端口收到的用户网络的BPDU报文可以在运营商网络中进行透明传输。
表2-1配置BPDU报文透明传输
操作
命令
说明
进入系统视图
system-view
-
开启全局的BPDUTUNNEL功能
bpdu-tunneldot1qenable
可选
缺省情况下,全局BPDUTUNNEL功能打开
进入以太网端口视图或端口组视图
进入以太网端口视图
interfaceinterface-typeinterface-number
二者必选其一
进入以太网端口视图后,下面进行的配置只在当前端口生效;进入端口组视图后,下面进行的配置将在端口组中的所有端口生效
进入端口组视图
port-group{manualport-group-name|aggregationagg-id}
开启端口的BPDUTUNNEL功能
bpdu-tunneldot1qenable
必选
缺省情况下,所有端口的BPDUTUNNEL功能关闭
关闭端口的STP功能
stpdisable
必选
缺省情况下,端口的STP功能处于开启状态
开启端口的STP协议的BPDUTUNNEL功能
bpdu-tunneldot1qstp
必选
缺省情况下,端口的STP协议的BPDUTUNNEL功能没有开启
&说明:
●只有全局BPDUTUNNEL功能打开后,端口的BPDUTUNNEL功能才能生效。
●BPDUTUNNEL功能与GVRP功能不兼容,两者不可以同时应用。
关于GVRP的介绍,请参见“VLAN”部分的介绍。
2.4配置BPDUTUNNEL报文采用的组播目的MAC地址
BPDUTUNNEL报文采用的组播目的MAC地址默认为0x010F-E200-0003,用户可以通过下面的配置将其修改为0x0100-0CCD-CDD0、0x0100-0CCD-CDD1或0x
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 04QinQBPDU TUNNEL操作要点 04 QinQBPDU TUNNEL 操作 要点