QinQ技术简介.doc

Q-in-Q技术简介 北研测试三部：傅昕 一、VPLS简介 VPLS（Virtual Private LAN Service）, 是在公网上用隧道协议仿真出来一个局域网，透明地提供跨越公网的LAN服务，VPLS网络的每个边界节点在地址分配和数据包转发机制上，采用的是链路桥的方式而不是网络层的方式。 VPLS提供的是二层VPN服务，和传统二层VPN不同的是：VPLS可以体统点到多点的连接，而不需要为每个连接分配一个接口。 VPLS实际上就是在PE上创建一系列的虚拟交换机租借给用户，虚拟交换机的组网和传统交换机完全相同，这样，用户就可以通过广域网实现自己的LAN。 图1：VPLSVPLS工作原理简介 和传统VLAN不同的是：VPLS中的VLAN ID是本地有效的，也就是说，远端VLAN之间的通信并不是根据VLAN ID的匹配来进行，而是根据VC配置来决定的。 在下图中，就可以根据配置方便地实现左右端PE之间VLAN10到20、20到30…50到60的互通。 下面，以下图为例简单介绍一下传统VPLS的工作过程： 图2：VPLS的工作原理 首先，PE-A和PE-B要根据配置进行远端协商，为各自的需要互通的VLAN之间创建VC，并为VC（Virtual Channel）分配相应的MPLS标签， 当VLAN10用户的报文经交换机CE1来到PE-A时，PE-A将执行如下操作： 根据报文中的VLAN ID给报文加上相应VC（红色）对应的MPLS标签（私网标签）， 给报文加上能够到达PE-B的公网MPLS标签。 向公网转发报文。 报文来到公网上之后，将根据外层公网MPLS标签到达PE-B，PE-B将执行如下操作 除去该报文的所有MPLS标签，并根据私网标签号，匹配上相应VC（红色），再根据VC确定该报文属于VLAN20， 去掉原有的Tag头，为该报文加上新的Tag头，其中VLAN ID为20， 根据VLAN ID（20）向CE2发送该Tag报文 这样，报文就能够经过CE2到达远端的VLAN用户了。 三、传统VPLS实现方式存在的问题 传统VPLS存在如下问题： 1）处于供应商一侧的PE设备往往下接了许多属于不同用户的CE。而这些用户内部本身就划分了许多VLAN，这些VLAN号往往会重叠。在传统实现方式中，VC是和VLAN ID对应的，PE只能根据VLAN ID来分配VC，而不会因为用户不同而分配不同的VC。当不同的用户侧CE下挂的VLAN ID相同时，即使是来自不同的用户，它们也对应了同一VC，这样就无法做到不同用户内部的VLAN ID相同的VLAN之间的隔离了。 如下图：CE1和CE2属于同一用户，CE3和CE4属于同一用户。当有VLAN20的流量经CE3到达PE-A时，PE-A除了将其按VC配置向PE-B转发之外，还会向CE1下挂的VLAN20进行本地转发。同时，流量到了PE-B之后，PE-B无法区分流量是属于CE2的还是CE4的，PE-B将同时向CE2和CE4转发该流量。这样，不同的用户之间无法隔离，用户的安全性就得不到保障了。 图3：Q-in-Q实现方式及问题的解决 Q-in-Q技术就很好地解决了以上问题。Q-in-Q，即QVLAN in QVLAN （Q指802.1Q）。 下面将简单介绍Q-in-Q的工作原理。 图4：向公网转发报文 此时的报文封装如下图所示： 图4：Q-in-Q实现方式和传统VPLS实现方式的比较 Q-in-Q方式与传统VPLS相比有以下区别： PE端口配置方式：在Q-in-Q方式中，PE端口应配成Untag端口，而传统方式中，PE端口应和CE一样配成Trunk端口。 VLAN互通关系：在Q-in-Q方式中，可以实现不同用户的ID相同VLAN之间的隔离，这在传统VPLS方式中是无法实现的，但这是以一个Tag头的额外负担为代价换来的。 互通的远端VLAN ID的对应关系：在传统方式中，用户可以通过配置实现远端不同ID的VLAN之间的互通，而Q-in-Q方式中，只能实现同一用户的ID相同的VLAN之间的互通。其根本原因是：在传统方式中，用户的VLAN信息被带到了PE上，而Q-in-Q则正好相反。