Q-in-Q技术简介Q-in-Q技术简介

Q-in-Q 技术简介
一、VPLS 简介
VPLS （Virtual Private LAN Service ）, 是在公网上用隧道协议仿真出来一个局域网，透明地提供跨越公网的LAN 服务，VPLS 网络的每个边界节点在地址分配和数据包转发机制上，采用的是链路桥的方式而不是网络层的方式。

VPLS 提供的是二层VPN 服务，和传统二层VPN 不同的是：VPLS 可以体统点到多点的连接，而不需要为每个连接分配一个接口。

VPLS 实际上就是在PE 上创建一系列的虚拟交换机租借给用户，虚拟交换机的组网和传统交换机完全相同，这样，用户就可以通过广域网实现自己的LAN 。

图1：VPLS 功能示意图
二、传统VPLS 工作原理简介
和传统VLAN 不同的是：VPLS 中的VLAN ID 是本地有效的，也就是说，远端VLAN 之间的通信并不是根据VLAN ID 的匹配来进行，而是根据VC 配置来决定的。

在下图中，就可以根据配置方便地实现左右端PE 之间VLAN10到20、20到30…50到60的互通。

下面，以下图为例简单介绍一下传统VPLS 的工作过程：
－60
Vlan :
CE2
VLAN 10VLAN 20
VLAN 20VLAN 30
图2：传统VPLS的工作原理
首先，PE-A和PE-B要根据配置进行远端协商，为各自的需要互通的VLAN之间创建VC，并为VC（Virtual Channel）分配相应的MPLS标签，
当VLAN10用户的报文经交换机CE1来到PE-A时，PE-A将执行如下操作：
1)根据报文中的VLAN ID给报文加上相应VC（红色）对应的MPLS标签（私
网标签），
2)给报文加上能够到达PE-B的公网MPLS标签。

3)向公网转发报文。

报文来到公网上之后，将根据外层公网MPLS标签到达PE-B，PE-B将执行如下操作
1)除去该报文的所有MPLS标签，并根据私网标签号，匹配上相应VC（红色），
再根据VC确定该报文属于VLAN20，
2)去掉原有的Tag头，为该报文加上新的Tag头，其中VLAN ID为20，
3)根据VLAN ID（20）向CE2发送该Tag报文
这样，报文就能够经过CE2到达远端的VLAN用户了。

三、传统VPLS实现方式存在的问题
传统VPLS存在如下问题：
1）处于供应商一侧的PE设备往往下接了许多属于不同用户的CE。

而这些用户内部本身就划分了许多VLAN，这些VLAN号往往会重叠。

在传统实现方式中，VC是和VLAN ID 对应的，PE只能根据VLAN ID来分配VC，而不会因为用户不同而分配不同的VC。

当不同的用户侧CE下挂的VLAN ID相同时，即使是来自不同的用户，它们也对应了同一VC，这样就无法做到不同用户内部的VLAN ID相同的VLAN之间的隔离了。

如下图：CE1和CE2属于同一用户，CE3和CE4属于同一用户。

当有VLAN20的流量经CE3到达PE-A时，PE-A除了将其按VC配置向PE-B转发之外，还会向CE1下挂的VLAN20进行本地转发。

同时，流量到了PE-B之后，PE-B无法区分流量是属于CE2的还是CE4的，PE-B将同时向CE2和CE4转发该流量。

这样，不同的用户之间无法隔离，用户的安全性就得不到保障了。

图3：不同用户的VLAN 之间无法隔离
2）不利于扩展。

虽然在初次规划时就可以分配好个用户可以使用的VLAN ID 范围，但是随着用户内部网的扩张，所需VLAN 资源将不断增长，再度规划将变得极为困难。

而且，VLAN 资源是有限的，VLAN 本身也是处于私网之中的，所以让不同的用户分用VLAN 资源是不明智的。

四、Q-in-Q 实现方式及问题的解决
Q-in-Q 技术就很好地解决了以上问题。

Q-in-Q ，即QVLAN in QVLAN （Q 指802.1Q ）。

下面将简单介绍Q-in-Q 的工作原理。

图4：Q-in-Q 的工作原理
在Q-in-Q 的实现方式中，在PE 和CE 的连接中，CE 侧的接口仍然配置成Trunk 端口，而PE 侧的接口则配置成Untag 端口，虽然PE 上来的是Tag 报文，但PE 仍然将其作为Untag 报文处理，即将二层payload 和tag 标记一起作为新报文的二层payload 。

下面将以上图中下端蓝色交换机下所挂VLAN 10用户之间的互通来介绍其具体处理步骤：
60
Vlan :Vlan :10 20 (50)
4
－60
Vlan :Vlan :10 20 (50)
4
首先，PE与PE之间要根据配置进行远端协商，为各自的需要互通的VLAN创建VC，并为VC（Virtual Channel）分配相应的MPLS标签，以上图为例：PE-A和PE-B需建立两条VC连接。

当CE1下挂的VLAN10用户的报文经交换机CE1来到PE-A时，PE-A将执行如下操作：
1)给收到的Tag报文再加上一层VLAN ID为100的Tag头，
2)给报文加上为VLAN 100所对应的VC分配好的MPLS标签，标签号是与VC
一一对应的。

3)给报文加上能够到达PE-B的公网标签。

4)向公网转发报文
此时的报文封装如下图所示：
图4：Q-in-Q的工作方式下在公网上传输的报文
其中：Tag头1由CE1（或CE1以下的交换机）加上，VLAN ID为10，Tag头2由PE-A 加上，VLAN ID为100。

MPLS标签均由PE-A加上，其中私网标签对应的是VC信息，公网标签对应到达PE-B的LSP。

报文来到公网上之后，将根据外层公网标签到达PE-B，PE-B将执行如下操作
1)除去该报文的所有MPLS标签，并根据私网标签号，匹配上相应VC（蓝色），
再根据VC确定该报文属于VLAN100，
2)去掉由PE-A加上的外层Tag标记，此时的报文为VLAN ID为10的Tag报文。

3)将报文经VLAN 100对应的端口向CE2发送该Tag报文
这样，报文就能够经过CE2到达远端的VLAN用户了。

四、Q-in-Q实现方式和传统VPLS实现方式的比较
Q-in-Q方式与传统VPLS相比有以下区别：
1)PE端口配置方式：在Q-in-Q方式中，PE端口应配成Untag端口，而传统方式
中，PE端口应和CE一样配成Trunk端口。

2)VLAN互通关系：在Q-in-Q方式中，可以实现不同用户的ID相同VLAN之间
的隔离，这在传统VPLS方式中是无法实现的，但这是以一个Tag头的额外负
担为代价换来的。

3)互通的远端VLAN ID的对应关系：在传统方式中，用户可以通过配置实现远
端不同ID的VLAN之间的互通，而Q-in-Q方式中，只能实现同一用户的ID
相同的VLAN之间的互通。

其根本原因是：在传统方式中，用户的VLAN信
息被带到了PE上，而Q-in-Q则正好相反。