简单的QinQ配置实例

5 QinQ配置关于本章介绍QinQ的基本知识、配置方法和配置实例。

说明S2700SI和S2710SI不支持QinQ。

5.1 QinQ概述QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能，可以使私网VLAN透传公网。

5.2 设备支持的QinQ特性QinQ因为其自身简单灵活的特点，在各解决方案中扮演着重要的角色。

5.3 配置基本QinQ配置基本QinQ功能后，对于从接口进来的报文，加上一层公网Tag，实现用户报文在公网内转发。

5.4 配置灵活QinQ配置二层灵活QinQ接口后，对于从接口进来的带有私网Tag的用户报文，统一加上公网的Tag，实现用户报文在公网内转发。

5.5 配置外层VLAN Tag的TPID值为了实现不同厂商的设备互通，需要配置外层VLAN Tag的TPID值。

5.6 配置VLANIF接口支持QinQ Stacking功能当用户需要从本端设备远程登录到远端设备上进行远端管理时，可在远端设备上的管理VLAN对应的VLANIF接口上部署QinQ Stacking功能实现。

5.7 配置举例配置举例结合组网需求、配置思路来了解实际网络中QinQ的应用场景，并提供配置文件。

5.1 QinQ概述QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能，可以使私网VLAN透传公网。

在基于传统的802.1Q协议的局域网互联模式中，当两个用户网络需要通过ISP互相访问时，ISP必须为每个接入用户的不同VLAN分配不同的VLAN ID，如图5-1所示。

假设用户的网络1和网络2位于两个不同地点，并分别通过ISP的PE1、PE2接入骨干网。

如果用户需要将网络1的VLAN100～VLAN200和网络2的VLAN100～VLAN200互联起来，那么必须将CE1、PE1、P和PE2、CE2的相连接口都配置为Trunk属性，并允许VLAN100～VLAN200通过。

华为SR及交换机qinq配置节省IP地址案例一、网络拓扑图如下二、目的：1、节约IP地址使用，各PC分配同一网段IP地址，使用相同网关。

2、各PC实现两层隔离，三层互通。

三、具体配置：1、SR上下行接口A主接口配置：mode user-terminationportswitch下行接口A子接口配置：control-vid （外层vlan号）qinq-terminationqinq termination pe-vid （外层vlan号）ce-vid （内层vlan号）ip address （网关IP地址）arp broadcast enable2、S9312上全局配置：Vlan （外层vlan号）上行接口B配置实现外层vlan透传上联口：port link-type trunkundo port trunk allow-pass vlan 1port trunk allow-pass vlan （外层vlan号）（1）接口C下如需要挂PC，配置如下：全局配置，实现用户IP地址与vlan绑定：user-bind static ip-address（分配给PC的IP地址）vlan（外层vlan号）ce-vlan（内层vlan号）下行接口C配置：undo port hybrid vlan 1port hybrid untagged vlan （外层vlan号）port vlan-stacking untagged stack-vlan （外层vlan号）stack-inner-vlan （内层vlan号）ip source check user-bind enableport-isolate enable group 1（2）S9312下挂S3528后再接PCA、S9312下行接口D配置，实现透传port hybrid untagged vlan （外层vlan号）port vlan-stacking vlan （内层vlan号）stack-vlan（外层vlan号）B、S5328上全局配置：Vlan （内层vlan号）user-bind static ip-address（分配给PC的IP地址）vlan（内层vlan号）上行接口E配置：port link-type trunkundo port trunk allow-pass vlan 1port trunk allow-pass vlan （内层vlan号）下行用户口F配置：port link-type accessport default vlan （内层vlan号）ip source check user-bind enable。

基于流的灵活QinQ配置举例2009-11-01 23:08组网需求1.要求配置基于流的灵活QinQ，满足如下需求：l为VLAN 10发出的报文封装VLAN 100的外层Tag，使VLAN 10内的客户端可以通过运营商网络，访问Switch B连接的网络中VLAN 10内的服务器；l为VLAN 20发出的源MAC地址为1234-5678-9000/40的报封装VLAN 200的外层Tag，使VLAN 20内的这些客户端可以通过运营商网络，访问Switch C连接的网络中VLAN 20内的服务器；l为VLAN 20内其他客户端发出的报文封装VLAN 100的外层Tag，使VLAN 20内的这些客户端可以通过运营商网络，访问Switch B连接的网络中VLAN 20内的服务器。

2. 组网图3. 配置步骤(1)Switch A上的配置# 定义二层ACL 4000，对源MAC地址为1234-5678-9000/40的报文进行分类。

<H3C> system-view[H3C] acl number 4000[H3C-acl-link-4000] rule permit ingress 1234-5678-9000 ffff-ffff-ff00[H3C-acl-link-4000] quit# 配置端口GigabitEthernet2/0/2为Hybrid端口，并且在转发VLAN 100和VLAN 200的报文时保留VLAN Tag。

[H3C] interface GigabitEthernet 2/0/2[H3C-GigabitEthernet2/0/2] port link-type hybrid[H3C-GigabitEthernet2/0/2] port hybrid vlan 100 200 tagged[H3C-GigabitEthernet2/0/2] quit# 配置端口GigabitEthernet2/0/1为Hybrid端口，缺省VLAN为VLAN 100，并且在转发VLAN 100和VLAN 200的报文时去除VLAN Tag。

配置基本QinQ示例组网需求如图，某数据中心的租户1位于不同的地理位置，租户2位于不同的地理位置。

SwitchA和SwitchB 为数据中心的边缘设备，通过核心/骨干网连接，且核心/骨干网中存在其它厂商设备，其外层VLAN Tag的TPID值为0x9100。

现需要实现：∙租户1和租户2独立划分VLAN，两者互不影响。

∙两租户之间流量通过核心/骨干网透明传输，相同租户之间互通，不同租户之间互相隔离。

可通过配置QinQ来实现以上需求。

利用核心/骨干网提供的VLAN100使数据中心的租户1互通，利用核心/骨干网提供的VLAN200使数据中心的租户2互通，不同租户之间互相隔离。

并通过在连接其它厂商设备的接口上配置修改QinQ外层VLAN Tag的TPID值，来实现与其它厂商设备的互通。

配置思路采用如下的思路配置QinQ：1.在SwitchA和SwitchB上均创建VLAN100和VLAN200，配置连接租户的接口为QinQ类型，并分别加入VLAN。

实现不同租户添加不同的外层VLAN Tag。

2.配置SwitchA和SwitchB上连接核心/骨干网的接口加入相应VLAN，实现允许VLAN100和200的报文通过。

3.在SwitchA和SwitchB连接核心/骨干网的接口上配置外层VLAN tag的TPID值，实现与其它厂商设备的互通。

操作步骤1.创建VLAN# 在SwitchA上创建VLAN100和VLAN200<<SPAN class=keyword>HUAWEI> system-view[~HUAWEI] sysname SwitchA[*HUAWEI] commit[~SwitchA] vlan batch 100 200[*SwitchA] commit# 在SwitchB上创建VLAN100和VLAN200<<SPAN class=keyword>HUAWEI> system-view[~HUAWEI] sysname SwitchB[*HUAWEI] commit[~SwitchB] vlan batch 100 200[*SwitchB] commit2.配置接口类型为QinQ# 在SwitchA上配置接口10GE1/0/1、10GE1/0/2的类型为QinQ，10GE1/0/1的外层tag为VLAN100，10GE1/0/2的外层tag为VLAN200。

电信公司华为交换机QINQ配置实例电信公司华为交换机QINQ配置实例时下最兴的QINQ，电信公司正在全网改造，这是下一代网络必须的。

QINQ相关东东IP数据网的构架中，使用交换机做为接入设备，采用LAN作为接入方式时，往往应该考虑一个重要的问题就是用户之间的隔离，因为接入到LAN的用户往往处于同一广播域中，用户的通信信息可以被处于同一广播域中的其他用户监听到，影响了网络的安全性。

而且广播域中，大量的广播信息带来的带宽消耗和网络延迟也影响了网络的影响。

VLAN技术的提出实现了LAN接入用户的隔离，不仅提高了安全性，也通过对广播域在细分减少了网络中的广播信息。

VLAN技术就是在逻辑上把一个LAN 划分成逻辑上相互隔离的虚拟网络，VLAN中的各个成员处于统一广播域中，而VLAN间通信必须通过第三层路由。

VLAN的划分方式有很多，常用的包括基于端口的VLAN、基于MAC 的VLAN、基于网络层的VLAN等。

VLAN的技术实现中最常见的采用帧标签的方式，IEEE802.1Q提供了帧标签的标准，在VLAN Tag标签中，包含有VLAN ID是一个12位的域，可以支持4096个VLAN 实例，而User Priority则是一个3位的帧优先级，共有8种优先级。

网络中以太数据帧能够通过VLAN ID和User Priority来区别不同的网络流量。

当前由于交换芯片的限制，许多交换机VLAN范围即同时可配置的基于tag VLAN的ID的范围只能在n~n+512个的范围内。

活动VLAN即指交换机同时可以配置的基于tag VLAN 的个数一般在256个以内。

目前很多运营商要求端到端的安全辨识，希望每个用户一个VLAN，但面临的问题是标准的VLAN资源仅4096个，这就限制了宽带接入网络的组网规模。

比如，将来一个家庭用户将涉及多种业务的接入，除了普通宽带数据业务外，还有语音业务如VoIP、视频业务如IPTV 等。

那么在运营中就需要通过VLAN来区分不同的业务，一个用户就会占用多个VLAN。