胖熊ed2k 部长:灵活QinQ(VLAN-VPN功能的一种增强应用)[H3C3100EI]

灵活QinQ是VLAN-VPN功能的一种增强应用，使用灵活QinQ，用户可以配置内外层Tag映射规则，为具有不同内层Tag的报文按映射规则封装不同的外层Tag。

灵活QinQ功能可以使运营商的网络构架更为灵活，在连接接入层设备的端口上可以根据VLAN Tag对不同的终端用户进行分类，为各类用户封装不同的外层Tag，并在公网中按外层Tag配置QoS策略，灵活配置数据的传输优先级，使各类用户获得相应的服务。以图2-1为例。

图2-1 灵活QinQ典型应用

SwitchA为运营商的接入设备，接入用户分为普通用户（VLAN8～100）、大客户（VLAN101～200）及IP电话用户（VLAN201～300）。这三类用户的报文全部由Switch A转发到公共网络。

在SwitchA连接用户的端口上配置了灵活QinQ及相应的内外层标签映射规则后，该端口将根据内层VLAN Tag为报文封装外层Tag。例如，在IP电话用户（内层Tag为201～300）的数据外层封装VLAN1002的Tag，并传送到负责IP电话业务的VoIP设备进行处理。

为保证语音报文的传输质量，可以在公共网络配置QoS策略，对VLAN1002的报文采取保留带宽、优先发送的规则。

该方法可以对不同类型用户的数据配置转发策略，提高网络管理灵活性；而且能够节省公网VLAN资源，又使同类用户之间因内层VLAN Tag的不同而保持隔离状态，保证了一定的安全性。

灵活QinQ配置举例

2.3.1 使用灵活QinQ功能对不同类型的私网数据进行分类处理

1. 组网需求

l              SwitchA的端口Ethernet1/0/3连接了PC用户和IP电话用户。其中PC用户位于VLAN100～VLAN108范围内，IP电话用户位于VLAN200～VLAN230范围内。SwitchA的端口Ethernet1/0/5连接到公共网络，对端为SwitchB。

l              SwitchB的Ethernet1/0/11端口接入公共网络，Ethernet1/0/12和Ethernet1/0/13端口分别接入PC用户服务器所在VLAN100～VLAN108和IP电话用户语音网关所在VLAN200～VLAN230。

l              公共网络中允许VLAN1000和VLAN1200的报文通过，并配置了QoS策略，对VLAN1200的报文配置有带宽保留等优先传输策略，而VLAN1000的报文传输优先级较低。

l              在SwitchA和SwitchB上配置灵活QinQ功能，将PC用户和IP电话用户的流量分别在公网的VLAN1000和VLAN1200内传输，以利用QoS策略保证语音数据的传输优先级。

2. 组网图

图2-2 灵活QinQ组网示意图

3. 配置步骤

l              配置SwitchA

# 在SwitchA上创建VLAN1000、VLAN1200和Ethernet1/0/3的缺省VLAN5。

system-view

[SwitchA] vlan 1000

[SwitchA-vlan1000] quit

[SwitchA] vlan 1200

[SwitchA-vlan1200] quit

[SwitchA] vlan 5

[SwitchA-vlan5] quit

# 配置端口Ethernet1/0/5为Hybrid端口，并在转发VLAN1000和VLAN1200的报文时保留VLAN Tag。

[SwitchA] interface Ethernet 1/0/5

[SwitchA-Ethernet1/0/5] port link-type hybrid

[SwitchA-Ethernet1/0/5] port hybrid vlan 1000 1200 tagged

[SwitchA-Ethernet1/0/5] quit

# 配置端口Ethernet1/0/3为Hybrid端口，缺省VLAN为VLAN5，并在转发VLAN5、VLAN1000和VLAN1200的报文时去除VLAN Tag。

[SwitchA] interface Ethernet 1/0/3

[SwitchA-Ethernet1/0/3] port link-type hybrid

[SwitchA-Ethernet1/0/3] port hybrid pvid vlan 5

[SwitchA-Ethernet1/0/3] port hybrid vlan 5 1000 1200 untagged

# 配置全局灵活QinQ映射规则，为内层VLAN是100至108的报文封装VLAN1000的外层Tag；为内层VLAN是200至230的报文封装VLAN1200的外层Tag。

[SwitchA-Ethernet1/0/3] quit

[SwitchA] vlan-vpn vid 1000

[SwitchA-vid-1000] raw-vlan-id inbound 100 to 108

[SwitchA-vid-1000] quit

[SwitchA] vlan-vpn vid 1200

[SwitchA-vid-1200] raw-vlan-id inbound 200 to 230

# 开启端口Ethernet1/0/3端口的灵活QinQ功能。

[SwitchA-vid-1200] quit

[SwitchA] interface Ethernet 1/0/3

[SwitchA-Ethernet1/0/3] vlan-vpn selective enable

经过上述配置，在SwitchA向公共网络转发报文时，会自动将VLAN100～VLAN108（PC用户）的报文封装外层Tag为VLAN1000，将VLAN200～VLAN230（IP电话用户）的报文封装外层Tag为VLAN1200。

l              配置SwitchB

# 创建VLAN1000、VLAN1200以及Ethernet1/0/12和Ethernet1/0/13端口的缺省VLAN12和VLAN13。

system-view

[SwitchB] vlan 1000

[SwitchB-vlan1000] quit

[SwitchB] vlan 1200

[SwitchB-vlan1200] quit

[SwitchB] vlan 12 to 13

# 配置端口Ethernet1/0/11为Hybrid端口，并在发送VLAN12、VLAN13、VLAN1000和VLAN1200的报文时保留VLAN Tag。

system-view

[SwitchB] interface Ethernet 1/0/11

[SwitchB-Ethernet1/0/11] port link-type hybrid

[SwitchB-Ethernet1/0/11] port hybrid vlan 12 13 1000 1200 tagged

# 配置端口Ethernet1/0/12为Hybrid端口，缺省VLAN为VLAN12，在发送VLAN12和VLAN1000的报文时去掉VLAN Tag。

[SwitchB] interface Ethernet 1/0/12

[SwitchB-Ethernet1/0/12] port link-type hybrid

[SwitchB-Ethernet1/0/12] port hybrid pvid vlan 12

[SwitchB-Ethernet1/0/12] port hybrid vlan 12 1000 untagged

[SwitchB-Ethernet1/0/12] quit

# 配置端口Ethernet1/0/13为Hybrid端口，缺省VLAN为VLAN13，在发送VLAN13和VLAN1200的报文时去掉VLAN Tag。

[SwitchB] interface Ethernet 1/0/13

[SwitchB-Ethernet1/0/13] port link-type hybrid

[SwitchB-Ethernet1/0/13] port hybrid pvid vlan 13

[SwitchB-Ethernet1/0/13] port hybrid vlan 13 1200 untagged

经过上述配置，SwitchB可以将公网中VLAN1000和VLAN1200的数据分别通过Ethernet1/0/12和Ethernet1/0/13端口发送到相应的服务器。

为使服务器端返回的数据能够使用同样的传输方式返回客户端，需要在SwitchB上也配置相应的灵活QinQ映射规则，并在Ethernet1/0/12和Ethernet1/0/13端口开启灵活QinQ功能，配置方法与SwitchA类似，这里不再赘述。

& 说明：

l      由于开启灵活QinQ的设备会为用户报文封装其他VLAN的外层Tag，不会按报文中原始的Tag进行转发，因此不需要在设备上配置用户的VLAN。

l      在启动了灵活QinQ的端口必须允许本端口的缺省VLAN通过，同时，接入公网的端口也必须允许该VLAN通过。