QinQ原理与配置指导书(2)

支持的VPN业务 接口类型 VLANIF接口 说明 ? 通过命令interface vlanif创建VLANIF接口。 ? VLANIF接口是逻辑接口、是三层接口，可配置IP地址，实现网络层互通。 VLL （CCC方式） 不支持 PWE3 不支持 VPLS 支持 L3VPN 支持 区别 ? Dot1q子接口和Dot1q终结子接口功能相同，不同点在于Dot1q子接口在一个子接口上只能封装一个VLAN，而Dot1q终结子接口在一个子接口上可封装多个VLAN。 ? 同一主接口不同子接口下可以同时部署Dot1q终结子接口和QinQ终结子接口。即，同一主接口下既能终结单层Tag的报文，也能终结双层Tag的报文。同一主接口下配置了QinQ终结功能，终结单层Tag报文只能用Dot1q终结子接口，而不能用Dot1q子接口。 Dot1q子接口 通过命令vlan-type支持 对以太网子接口进行的VLAN类型封装。 Dot1q终结子接口 通过命令dot1q 不支持 termination vid配置子接口对一层Tag报文的终结功能。 QinQ终结子接口 通过命令qinq 支持 termination pe-vid ce-vid配置子接口对两层Tag报文的终结功能。

支持 支持 支持 支持 支持 支持 支持 支持 终结子接口具体的实现方法、功能和具体的应用场景有一定关系。如图3所示，QinQ/Dot1q终结子接口支持部署的业务如表4所示：

表4 终结子接口支持部署的业务

支持部署的业务 QinQ/Dot1q终结子接口 IP业务 终结子接口类型 业务子类型 说明 ARP代理 终结子接口通常支持一个范围内的VLAN接入同一网段。位于该同一网段的用户属于不同的VLAN，这样在二层就无法实现互通，需要进行三层IP转发。因此终结子接口需要能够支持ARP代理功能。 DHCP ? 终结子接口支持DHCP Server? DHCP Server 是指在终结子接口可以配置DHCP ? DHCP Relay Server的功能，通过终结子接口为用户分配IP地址。 ? 终结子接口支持DHCP Relay的功能，把用户的Tag信息插入Option82，作为DHCP Server分配IP地址和其他参数的合法性依据和参考。 VRRP 用户往往要求时时与网络其他部分保持通信畅通，这样就需要采用VRRP协议保证终端用户与网络的联系可靠、稳定、不中断，需要终结子接口支持VRRP协议。终结子接口支持VRRP协议提供了一种Dot1q/QinQ用户的主备机制。 组播业务 二层组播 三层组播 QinQ终结子接口 802.1p和DSCP Remark - 802.1p- 和EXP（MPLS）Remark 在终结子接口绑定的VSI上配置运行IGMP Snooping，通过侦听组播设备和主机之间发送的IGMP协议报文消息，就可以获知哪些端口下有组播数据的接收者，则组播数据报文就不会在二层网络中广播，而是进行二层组播，这样就只有组播组成员能够收到组播数据报文。 带有两层Tag的组播协议报文通过UPE接入上层网络。要求在UPE上配置QinQ终结子接口支持IGMP或者Dot1q终结子接口支持IGMP，在UPE上建立组播组成员转发表和路由表，当从用户侧发出的组播协议报文经过时，能被识别并根据业务Tag上送给对应的组播流。而组播流量下发时，能够根据已建立的组播组成员转发表，复制和下发组播流量。 PE设备进行QinQ终结后，报文被发往ISP的IP网络。为了保证用户数据报文中原来的QoS信息不丢失，需要配置两层Tag报文的802.1p值到DSCP的映射。 PE设备进行QinQ终结后，报文被发往ISP的MPLS网络。为了保证用户数据报文中原来的QoS信息不丢失，需要配置两层VLAN Tag报文的802.1p值到EXP的映射。

说明： 终结子接口支持部署的业务不局限于表4所示。

4. 动态QinQ

普通QinQ终结子接口最多可以配置终结16K个不同内外层Tag组合的用户报文。当这样的用户报文超过16K个时，可以使用动态QinQ功能，此时，QinQ终结子接口最多可以配置终结64K个不同内外层Tag组合的用户报文。

说明： QinQ终结子接口下配置动态QinQ功能后，不能再配置该子接口接入VLL、PWE3和VPLS，以及静态ARP和静态DHCP snooping绑定表。

如图4所示，DHCP Client通过两级交换机与DHCP Relay连接，并通过DHCP Relay从DHCP Server申请合法的IP地址。

在DHCP Relay的Client侧的终结子接口上配置动态QinQ，当用户上线时为用户分配VLAN Tag资源。配置ARP和DHCP绑定表联动后，当用户申请到IP地址后发生异常下线，系统可以自动感知，并会自动删除DHCP绑定表中的绑定关系并通知DHCP Server释放IP地址和VLAN Tag资源。

对于配置了动态QinQ的接口，绝大多数情况下都是用户主动发送ARP请求到网关设备。如果设备上同时也配置了ARP严格学习功能，那么该设备的所有接口只会学习自己主动发出ARP请求收到的应答报文，而不会学习其他设备发送的请求报文。这样就可能会导致该设备的动态QinQ接口学习不到用户的ARP表项，出现用户无法上线的现象。此时，可以在配置了动态QinQ的接口上使用arp learning strict force-disable命令，保证该接口可以学习到用户发送的ARP请求。

5. QinQ终结子接口支持URPF

URPF（Unicast Reverse Path Forwarding）是单播逆向路径转发的简称，其主要功能是防止基于源地址欺骗的网络攻击行为。

为防止基于源地址欺骗的网络攻击行为通过QinQ终结子接口进入用户网络，需要QinQ终结子接口要能够支持单播逆向路径转发URPF功能。

QinQ终结子接口URPF功能的实现。首先获取报文的源地址、内外层VLAN tag和入接口信息，然后以报文的源地址为目的地址，在转发表中查找出对应的接口和内外层VLAN tag，并检查是否匹配，如果不匹配，认为源地址是伪装的，丢弃该报文。通过这种方式，URPF就能有效地防范网络中通过修改源地址而进行的恶意攻击行为的发生。

按照检查方式的不同，URPF可以分为两种类型：

松散检查，只要在转发表中存在相应的路由表项就通过URPF检查。

严格检查，不但要求在转发表中存在相应表项，还要求接口信息一定匹配才能通过URPF检查。

说明： ME60的QinQ终结子接口只支持松散检查的URPF。

(三) 总结

QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能。

(四) 思考

QinQ的封装结构

一、 ME60侧配置QinQ

(一) 配置QinQ二层隧道

1. 建立配置任务

在进行QinQ二层隧道配置前了解此特性的应用环境、配置此特性的前置任务和数据准备，可以帮助您快速、准确地完成配置任务。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库QinQ原理与配置指导书(2)在线全文阅读。