QINQ原理及应用

什么是QinQQinQ是对802.1Q的扩展，其核心思想是将用户私网VLAN tag封装到公网VLAN tag上，报文带着两层tag穿越服务商的骨干网络，从而为用户提供一种较为简单的二层VPN隧道。

其特点是简单而易于管理，不需要信令的支持，仅仅通过静态配置即可实现，特别适用于小型的，以三层交换机为骨干的企业网或小规模城域网。

图1为基于传统的802.1Q协议的网络，假设某用户的网络1和网络2位于两个不同地点，并分别通过服务提供商的PE1、PE2接入骨干网，如果用户需要将网络1的VLAN200-300和网络2的VLAN200-300互联起来，那么必须将CE1、PE1、P和PE2、CE2的相连端口都配置为Trunk属性，并允许通过VLAN200-300，这种配置方法必须使用户的VLAN在骨干网络上可见，不仅耗费服务提供商宝贵的VLAN ID资源（一共只有4094个VLAN ID资源），而且还需要服务提供商管理用户的VLAN号，用户没有自己规划VLAN的权利。

为了解决上述问题，QinQ协议向用户提供一个唯一的公网VLAN ID，这个特殊的VLAN ID 被称作Customer-ID，将用户私网VLAN tag封装在这个新的Customer-ID中，依靠它在公网中传播，用户私网VLAN ID在公网中被屏蔽，从而大大地节省了服务提供商紧缺的VLAN ID资源，在QinQ模式下，PE上用于用户接入的端口被称作用户端口。

在用户端口上使能QinQ功能，并为每个用户分配一个Customer-ID，此处为3，不同的PE上应该为同一网络用户分配相同的Customer-ID。

当报文从CE1到达PE1时，带有用户内部网络的VLAN tag 200-300，由于使能了QinQ功能，PE上的用户端口将再次为报文加上另外一层VLAN tag，其ID就是分配给该用户的Customer-ID。

此后该报文在服务提供商网络中传播时仅在VLAN 3中进行且全程带有两层VLAN tag（内层为进入PE1时的tag，外层为Customer-ID），但用户网络的VLAN信息对运营商网络来说是透明的。

PPPOE 拨入QinQ 的方式：
原理小述：在某接口启动QINQ 后，该接口就不例会原始tag 值，而只在该接口进来的报文上再增加一层标签。

后续就按照这层标签的VID 值进行转发（如下面的20和30），从而隐蔽了原始用户的VID 信息。

在BAS 终结的时候，需要终结两层标签。

所以在启动PPPOE OVER QINQ 功能后，用户ID 可以扩展到4096（内层）*4096（外层）个，每个用户由内层标签号和外层标签号唯一标识，两层标签都可以传给RadiusServer 。

这样就大大扩展了用户标识范围，便于用户管理。

应用场合（1）：内层标签相同，外层标签不同
拓朴如下：
PC1和PC2的内层VID 一样，但在BH6802上配置如下：1/1和1/3属于VID=20的VLAN ，1/2和1/3属于VID=30的VLAN 。

同时在1/1和1/3所在VLAN 上启动QINQ,这样一来，虽然PC1和PC2属于一个VID ，但进入BH6802后，就打上了不同的外层标签，分别到BAS 上认证。

如此实现，做到VID 的复用（若没有QINQ 功能，VID 是无法复用的）。

应用场合2：不同内层标签，外层标签相同。

如上图：内层标签不同，但外部标签相同，这样可以大大减少
ISP 网络的VID 资源。

图中，ISP 网络只要有一个VID 即可完成4094个用户的接入。

同上，每个用户也是两层标签来唯在1/1口上启动QINQ ，tag ＝10的报文进来后加外层标签再透传给BAS PC1:内层Tag=10，外层tag ＝20 PC2:内层Tag=10，外层tag ＝30
一的进行标识。

QinQ的基本原理及相关特性汪政/01405本文结合低端三层交换机3552产品实现，介绍了QinQ的基本原理，以及TPID, BPDU tunnel等与QinQ 相关的特性。

1QinQ基本应用及原理QinQ（802.1Q in 802.1Q），也叫Vlan VPN，用于扩展Vlan的资源，并加强网络的安全性。

由于IEEE802.1Q中定义的VLAN Tag域只有12个比特，所以交换机最多可以支持4k 个VLAN。

在实际应用中，尤其是在城域网中，需要大量的VLAN来隔离用户，4k个VLAN 远远不能满足需求。

以太网交换机提供的端口VLAN VPN特性，可以给报文打双重VLAN Tag，即在报文原来VLAN Tag的基础上，给报文打上新的VLAN Tag，从而可以最多提供4k X 4k个VLAN，满足城域网对VLAN数量的需求，同时也实现了运营商网络和用户网络在VLAN上的独立规划，互不影响。

如图所示：VLAN VPN 核心网络用户网络2用户网络1S3552 Vlan10,20 Vlan 5(运营商规划) Vlan10,20QinQ端口QinQ端口开启端口的VLAN VPN 功能后，当该端口接收到报文，无论报文是否带有VLAN Tag ，交换机都会为该报文打上本端口缺省VLAN 的VLAN Tag 。

这样，如果接收到的是已经带有VLAN Tag 的报文，该报文就成为双Tag 的报文；如果接收到的是untagged 的报文，该报文就成为带有端口缺省VLAN Tag 的报文。

Vlan VPN 的实现原理：原理很简单，芯片的每个端口有一个标识寄存器，当为1，表示启用QinQ 端口，0表示通端口。

在启用QinQ 的端口，不管端口是Access 类型，还是Trunk/Hybrid 类型，对进入的报文，不论是tag 还是untagged 的，都会被视为untagged 的，从而在入端口被分类为端口PVID 所在的vlan 。

Special Technology专题技术DCWIEEE802.1Q 中定义的VLAN 标记域中只有12位用于表示VLAN ID ，因此设备最多可以支持4094个VLAN 。

在实际应用中，尤其是在MAN 中，需要大量VLAN 来隔离用户。

4094个VLAN 远远不能满足需求，因此生产了QINQ 技术来解决这个问题。

QINQ 技术（又称为Stacked VLAN 或Double VLAN ），它的全称为802.1Q-in-802.1Q 。

QINQ 是802.1q 封装的一种隧道协议，QINQ 的核心思想是除了用户专用网络（内部）vlan 标签标签标签标签标签标签外，还封装了公共网络（外部）vlan 标签标签标签标签。

带有两层标记的消息遍历公共网络。

也就是说，在公共网络中，只根据外部VLAN 标记转发消息。

私有网络VLAN 标记是透明转发的，因此只要外部VLAN 标记被重用，就可以重用不同的用户私有网络VLAN 标记。

标签是因特网上唯一的一个。

因此也就扩大了VLAN 的标签数量，单层VLAN 数量为4094个，QINQ 双层VLAN 数量为4094*4094个，以此类推，因此，为用户提供了一个简单的两层VPN 隧道。

其特点是简单易管理，无需信令支持，只需通过静态配置即可实现，适用于企业网或小规模城域网。

在利用QINQ 技术解决小型人或企业网络中VLAN ID 资源不足的问题时，用户可以规划自己的私有VLAN ID ，不会导致与公网VLAN ID 的重叠和冲突，并提供一个简单的两层VPN 解决方案。

下面我们将对QINQ 的报文格式及QINQ 两种实现方式的组网特点（以小城域网组网为例）进行逐一的介绍。

1 Q INQ的报文格式（图一）QINQ 报文具有固定的报文格式，就是在802.1Q 的标签（TAG ）和SA （源mac 地址）之间插入了4个字节长度的VLAN tag 。

理论上嵌套是可以进行无限嵌套的，即在外层标签的前面可以再次嵌套四个字节，形成三层VLAN 嵌套，以此类推。

QINQ技术简介一、QINQ的产生背景IEEE802.1Q中定义的VLAN Tag域中只有12个比特位用于表示VLAN ID，所以设备最多可以支持4094个VLAN。

在实际运用中，尤其在城域网中，需要大量的VLAN 来隔离用户，4094个VLAN远远不能满足需求。

二、QINQ的作用及原理设备提供的端口QINQ特性是一种简单、灵活的二层VPN技术，它通过在运营商网络边缘设备上为用户的私网报文封装外层VLAN Tag，使报文携带两层VLAN Tag 穿越运营商的骨干网络（公网）。

在公网中，设备只根据外层VLAN Tag对报文进行转发，并将报文的源MAC地址表项学习到外层Tag所在VLAN的MAC地址表中，而用户的私网VLAN Tag在传输过程中将被当作报文中的数据部分来进行传输。

QINQ特性使得运营商可以用一个VLAN为含有多个VLAN的用户网络服务。

如图1所示，用户网络A的私网VLAN 为VLAN 1~10，用户网络B的私网VLAN为VLAN 1~20。

运营商为用户网络A分配的VLAN为VLAN 3，为用户网络B分配的VLAN为VLAN 4。

当用户网络A的带VLAN Tag的报文进入运营商网络时，报文外面会被封装上一层VLAN ID为3的VLAN Tag；当用户网络B的带VLAN Tag的报文进入运营商网络时，报文外面会被封装上一层VLAN ID为4的VLAN Tag。

这样，不同用户网络的报文在公网传输时被完全分开，即使两个用户网络的VLAN范围存在重叠，在公网传输时也不会产生混淆。

用户网络A (VLAN 1~10)RO--------RO\ /\ / 用户网络A VLAN 1-10\ / RO ------------RORO || 运营商网络 ||VLAN 3 |VLAN 3RO --- .... ------RO|VLAN 4 |VLAN 4| || |RO RO ------ RO用户网络B(VLAN 1-20) 用户网络B(VLAN 1-20)图1 QINQ功能示意图QINQ特性使网络最多可以提供4094X4094个VLAN，满足城域网对VLAN数量的需求，它主要解决了如下几个问题。

第6章 QinQ技术本章着重介绍QinQ技术及其应用。

本章主要内容：z业务发展提出的新需求z QinQ支持多业务z QinQ实现方式z QinQ应用场景介绍6.1业务发展提出的新需求随着技术的发展，用户希望根据需求，划分自己内部网络VLAN，实现内部网络的安全、可靠。

网络提供商对用户支持的VLAN数及VLAN ID有特殊的要求，不同的用户需要的VLAN ID范围可能重叠，从而限制了用户内部网络的划分。

随着业务的发展，需要越来越多的VLAN来支持业务识别和隔离，网络提供商的VLAN ID最大个数为4K。

在实际应用中，当大量用户存在时，VLAN ID将被分配殆尽，不能满足需求。

QinQ技术应运而生，对VLAN技术进行扩展，通过双层标签，使VLAN个数增加为4K×4K。

6.2QinQ支持多业务什么是QinQQinQ技术，叫做VLAN dot1q tunnel、802.1Q tunnel、VLAN Stacking技术，标准出自于IEEE 802.1ad，基于802.1Q协议的扩展，在原有的802.1Q报文包头上又增加一层802.1Q标签（VLAN标签）实现，通过双层标签，使VLAN个数增加为4094×4094。

QinQ将用户私网VLAN Tag封装在公网VLAN Tag中，使报文带着两层VLAN Tag穿越运营商的骨干网络（公网）。

在公网中，报文根据外层VLAN Tag（即公网VLAN Tag）传播，用户私网VLAN Tag被屏蔽。

普通802.1Q单层VLAN TAG报文和QinQ双层VLAN TAG报文的格式如下图所示：图 6-1 普通VLAN 报文和QinQ 报文格式两层VLAN标签可以支持4K×4K 个VLAN，可以满足绝大部分要求。

QinQ特点：（1）为用户提供一种较为简单的二层VPN隧道。

（2）不需要协议和信令支持，通过静态配置实现。

QinQ主要解决的问题：（1）通过屏蔽用户的VLAN ID ，从而大大地节省了紧缺的服务商公网VLAN ID资源。

家庭宽带 qinq原理
家庭宽带QinQ（即“802.1ad”或“双层标记”）是一种虚拟
局域网（VLAN）技术，用于在一个VLAN中封装另一个VLAN。

这种
技术通常用于提供多层次的VLAN隔离和标记，以便在一个物理接口
上传输多个VLAN的数据。

在家庭宽带网络中，QinQ可以用于实现
多租户业务或者不同业务的隔离。

QinQ的原理是在传输数据时添加额外的VLAN标记，这样可以
在一个VLAN中传输另一个VLAN的数据。

在家庭宽带网络中，运营
商可以使用QinQ技术将不同用户或业务的数据进行隔离，确保它们
在传输过程中不会相互干扰。

这意味着不同用户的数据可以通过同
一条物理线路传输，但在逻辑上彼此独立，从而提高网络资源的利
用率。

具体来说，QinQ技术通过在原始以太网帧的头部添加一个或多
个802.1Q头来实现。

这些额外的802.1Q头包含了额外的VLAN标记，允许在一个VLAN中封装另一个VLAN的数据。

在家庭宽带网络中，
这意味着运营商可以在传输用户数据时添加额外的VLAN标记，以实
现不同用户或业务的隔离。

总的来说，家庭宽带QinQ技术的原理是通过在数据传输过程中添加额外的VLAN标记，实现不同用户或业务的隔离和区分，从而提高网络资源的利用率和安全性。

这种技术在多租户或多业务场景下具有重要的应用意义，能够有效地提高网络的灵活性和可管理性。

一、QinQ简介 (2)(一)QinQ概述 (2)(二)QinQ特性 (4)1.二层接口的QinQ (4)2.QinQ Mapping (5)3.终结子接口 (5)4.动态QinQ (8)5.QinQ终结子接口支持URPF (10)(三)总结 (10)(四)思考 (10)一、ME60侧配置QinQ (10)(一)配置QinQ二层隧道 (10)1.建立配置任务 (10)2.创建QinQ二层接口的外层VLAN (11)3.配置二层接口的QinQ功能 (11)4.（可选）配置外层Tag的协议类型 (12)5.检查配置结果 (12)(二)配置二层灵活QinQ (14)1.建立配置任务 (14)2.创建QinQ二层接口的外层VLAN (14)3.配置二层灵活QinQ接口 (15)4.（可选）配置外层Tag的协议类型 (15)5.检查配置结果 (16)(三)配置动态QinQ (17)1.建立配置任务 (17)2.配置接口的模式为用户终结模式 (18)3.配置动态QinQ (18)4.配置DHCP Snooping (19)5.检查配置结果 (19)(四)配置QinQ终结子接口支持URPF (21)1.建立配置任务 (21)2.配置以太网主接口 (21)3.配置以太网子接口 (22)4.配置QinQ子接口的URPF功能 (22)5.检查配置结果 (22)(五)配置Bras用户侧QinQ (23)1.建立配置任务 (23)2.创建用户侧VLAN (24)3.检查配置结果 (24)(六)维护QinQ (24)1. 6.5.6.13.1 清除QinQ的统计信息 (25)2.监控终结子接口运行状况 (25)3.调试QinQ (25)二、ME60侧QinQ配置举例 (26)(一)配置QinQ二层隧道示例 (26)1.组网需求 (26)2.配置思路 (27)3.数据准备 (27)4.操作步骤 (27)5.配置文件 (29)(二)配置二层灵活QinQ示例 (31)1.组网需求 (31)2.配置思路 (32)3.数据准备 (32)4.操作步骤 (32)5.配置文件 (34)(三)配置动态QinQ示例 (36)1.组网需求 (36)2.配置思路 (37)3.数据准备 (37)4.操作步骤 (38)5.配置文件 (44)(四)配置QinQ终结子接口支持URPF示例 (47)1.组网需求 (47)2.配置思路 (48)3.数据准备 (48)4.操作步骤 (48)5.配置文件 (50)(五)配置用户侧QinQ示例 (51)6.组网需求 (51)7.配置思路 (52)8.数据准备 (52)9.操作步骤 (52)10.配置文件 (53)一、QinQ简介(一)QinQ概述QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能，可以使私网VLAN透传公网。

QinQ基础知识⼯作中需要了解QinQ的知识，找到了⼀篇不错的⽂章，转载⼀下。

QinQ简介定义： QinQ（802.1Q-in-802.1Q）技术是⼀项扩展VLAN空间的技术，通过在802.1Q标签报⽂的基础上再增加⼀层802.1Q的Tag来达到扩展VLAN空间的功能，可以使私⽹VLAN透传公⽹。

由于在⾻⼲⽹中传递的报⽂有两层802.1Q Tag（⼀层公⽹Tag，⼀层私⽹Tag），即802.1Q-in-802.1Q，所以称之为QinQ协议。

##⽬的： 随着以太⽹技术在⽹络中的⼤量部署，利⽤802.1Q VLAN对⽤户进⾏隔离和标识受到很⼤限制。

因为IEEE802.1Q中定义的VLAN Tag 域只有12个⽐特，仅能表⽰4096个VLAN，⽆法满⾜以太⽹中标识⼤量⽤户的需求，于是QinQ技术应运⽽⽣。

QinQ是通过在原有的802.1Q报⽂的基础上增加⼀层802.1Q标签来实现的，使得VLAN数量增加到4094×4094，扩展了VLAN空间。

随着以太⽹的发展以及精细化运作的要求，QinQ的双层标签⼜有了进⼀步的使⽤场景。

它的内外层标签可以代表不同的信息，如内层标签代表⽤户，外层标签代表业务。

另外，QinQ报⽂带着两层Tag穿越公⽹时，内层Tag透明传送，也是⼀种简单、实⽤的VPN技术。

因此它⼜可以作为核⼼MPLS VPN在以太⽹VPN的延伸，最终形成端到端的VPN技术。

优点：扩展VLAN，对⽤户进⾏隔离和标识不再受到限制。

QinQ内外层标签可以代表不同的信息，如内层标签代表⽤户，外层标签代表业务，更利于业务的部署。

QinQ封装、终结的⽅式很丰富，帮助运营商实现业务精细化运营。

1. 解决⽇益紧缺的公⽹VLAN ID 资源问题2. ⽤户可以规划⾃⼰的私⽹VLNA ID3. 提供⼀种较为简单的⼆层VPN解决⽅案4. 使⽤户⽹络具有较⾼的独⽴性原理描述基本原理： QinQ是指在802.1Q VLAN的基础上增加⼀层802.1Q VLAN标签，从⽽拓展VLAN的使⽤空间。

姓名：项文海部门：质量管理部职位：软件测试EPON-QinQ的实现原理与应用摘要：EPON-QinQ技术（也称Stacked VLAN 或Double VLAN）是指将用户私网VLAN标签封装在公网VLAN标签中，使报文带着两层VLAN标签穿越运营商的骨干网络，在公网中只根据外层VLAN标签传播，私网VLAN标签被屏蔽，这样，不仅对数据流进行了区分，而且由于私网VLAN标签被透明传送，不同的用户VLAN标签可以重复使用，只需要外层VLAN标签的在公网上唯一即可，实际上也扩大了可利用的VLAN标签数量；还具有不同私网用户之间相同VLAN不透传，与公网有效分离，最大限度节省VLAN的特点。

封装外层VLAN标签有两种方法，一种是标准QINQ封装，即基于端口打外层标签的，该端口下所有的用户数据统一封装一个共同的VLAN标签，在实际应用中局限性太大，另外一种是灵活QINQ封装方法，既可以根据一些特性对用户数据进行流分类（VOIP，宽带，IPTV），然后不同的类别封装不同的外层VLAN标签。

关键词：EPON，QinQ，Stacked-VLAN，Double-VLAN，灵活QinQ，一．概述QinQ业务简单的说就是在原有的802.1Q的报文基础上，再增加一个802.1Q 标签头；QinQ又称VLAN堆叠，因为标准vlan id有限（1-4094），通过在原有802.1Q tag标签的之外再增加一个VLAN 标签（4094×4094）。

从而实现私网VLAN可以透传公网达到二层VPN的应用效果。

另一方面它还具有不同私网用户之间相同VLAN不透传，与公网有效分离，最大限度节省VLAN的特点。

外层VLAN标签通常称为Service Provider VLAN(SVLAN)这一层标签可以将内层VLAN标签（也称为Customer VLAN，CVLAN）屏蔽起来，将用户私网VLAN 标签封装在公网VLAN标签中，使报文带着两层VLAN标签穿越运营商的骨干网络，在公网中只根据外层VLAN标签传播，私网VLAN标签被屏蔽，经过服务提供商的网络透明传输，到达边缘交换设备时再去除外层的VLAN标签。

电信公司华为交换机QINQ配置实例电信公司华为交换机QINQ配置实例时下最兴的QINQ，电信公司正在全网改造，这是下一代网络必须的。

QINQ相关东东IP数据网的构架中，使用交换机做为接入设备，采用LAN作为接入方式时，往往应该考虑一个重要的问题就是用户之间的隔离，因为接入到LAN的用户往往处于同一广播域中，用户的通信信息可以被处于同一广播域中的其他用户监听到，影响了网络的安全性。

而且广播域中，大量的广播信息带来的带宽消耗和网络延迟也影响了网络的影响。

VLAN技术的提出实现了LAN接入用户的隔离，不仅提高了安全性，也通过对广播域在细分减少了网络中的广播信息。

VLAN技术就是在逻辑上把一个LAN 划分成逻辑上相互隔离的虚拟网络，VLAN中的各个成员处于统一广播域中，而VLAN间通信必须通过第三层路由。

VLAN的划分方式有很多，常用的包括基于端口的VLAN、基于MAC 的VLAN、基于网络层的VLAN等。

VLAN的技术实现中最常见的采用帧标签的方式，IEEE802.1Q提供了帧标签的标准，在VLAN Tag标签中，包含有VLAN ID是一个12位的域，可以支持4096个VLAN 实例，而User Priority则是一个3位的帧优先级，共有8种优先级。

网络中以太数据帧能够通过VLAN ID和User Priority来区别不同的网络流量。

当前由于交换芯片的限制，许多交换机VLAN范围即同时可配置的基于tag VLAN的ID的范围只能在n~n+512个的范围内。

活动VLAN即指交换机同时可以配置的基于tag VLAN 的个数一般在256个以内。

目前很多运营商要求端到端的安全辨识，希望每个用户一个VLAN，但面临的问题是标准的VLAN资源仅4096个，这就限制了宽带接入网络的组网规模。

比如，将来一个家庭用户将涉及多种业务的接入，除了普通宽带数据业务外，还有语音业务如VoIP、视频业务如IPTV 等。

那么在运营中就需要通过VLAN来区分不同的业务，一个用户就会占用多个VLAN。

qinq原理QINQ原理QINQ（全称为"Quadruple VLAN Tagging"）是一种VLAN（Virtual Local Area Network）扩展技术，它通过在以太网帧中添加额外的VLAN标签来实现多层次的VLAN隔离。

QINQ原理是一种重要的网络技术，本文将详细介绍QINQ原理及其应用。

一、QINQ原理简介QINQ原理基于以太网帧，通过在原有的VLAN标签（802.1Q标签）的基础上添加一个额外的VLAN标签，从而实现多层次的VLAN隔离。

QINQ技术可以将不同的用户流量通过不同的VLAN标签进行区分，提供更灵活的网络配置和管理。

QINQ技术的核心是将用户的数据流量封装在多层次的VLAN标签中，实现更细粒度的隔离和管理。

二、QINQ原理的实现方式QINQ原理的实现方式主要包括两种：S-TAG和C-TAG。

S-TAG （Service VLAN Tag）是在用户数据帧的外层添加的VLAN标签，用于区分用户流量；C-TAG（Customer VLAN Tag）是在用户数据帧的内层添加的VLAN标签，用于区分不同用户的流量。

通过组合S-TAG 和C-TAG，可以实现对用户流量的多层次隔离和管理。

三、QINQ原理的应用场景QINQ技术在现实网络环境中有着广泛的应用，主要包括以下几个方面：1. 大型企业内部网络：QINQ技术可以实现企业内部网络的多层次隔离，不同部门或不同楼层的用户可以通过不同的VLAN标签进行隔离，提高网络的安全性和管理效率。

2. 多租户数据中心：QINQ技术可以实现多个租户在同一个物理网络上的隔离，不同租户的用户可以通过不同的VLAN标签进行隔离，保护租户数据的安全性。

3. ISP网络：QINQ技术可以实现ISP网络中的用户流量隔离，不同用户的流量可以通过不同的VLAN标签进行隔离，提供更灵活的网络服务。

4. 宽带接入网：QINQ技术可以实现宽带接入网中的用户隔离，不同用户的流量可以通过不同的VLAN标签进行隔离，提供更稳定和安全的宽带服务。

一、简单原理介绍QinQ是指将用户私网VLAN Tag封装在公网VLAN Tag中，使报文带着两层VLAN Tag穿越运营商的骨干网络（公网）。

在公网中报文只根据外层VLAN Tag（即公网VLAN Tag）传播，用户的私网VLAN Tag被屏蔽。

带单层VLAN Tag的报文结构如下所示：带双层VLAN Tag的报文结构如下所示：由于QinQ的实现是基于802.1Q协议中的Trunk端口概念，要求隧道上的设备都必须支持802.1Q协议，所以QinQ只适用于小型的、以三层交换机为骨干的企业网或小规模的城域网。

QinQ主要可以解决如下几个问题：（1）、缓解日益紧缺的公网VLAN ID资源问题。

（2）、用户可以规划自己的私网VLAN ID，不会导致和公网VLAN ID冲突。

（3）、为小型城域网或企业网提供一种较为简单的二层VPN解决方案。

二、S8500典型配置实例2.1 组网需求S8500系列交换机作为运营商网络接入设备，即组网图中的Switch C、Switch D；S2000系列交换机为用户网络接入设备，即组网图中的Switch A、Switch B；Switch C与Switch D设备之间通过Trunk端口实现连接，通过配置使能VLAN-VPN TUNNEL功能，从而使用户网络与运营商网络之间实现透明传输。

2.2 组网图2.3 配置命令Switch A的基本配置:#stp enable#vlan 10#interface Ethernet3/8port link-type trunkport trunk permit vlan 1 10 Switch B的基本配置:#stp enable#vlan 10#interface Ethernet0/20 port link-type trunkport trunk permit vlan 1 10 Switch C的基本配置：#stp enable#vlan 10#vlan 20#interface Ethernet3/1/30 stp disableport access vlan 20vlan-vpn enable#interface Ethernet3/1/34 port link-type trunkport trunk permit vlan all #vlan-vpn tunnelSwitch D的基本配置:#stp enable#vlan 10#vlan 20#interface Ethernet4/1/30stp disableport access vlan 20vlan-vpn enable#interface Ethernet4/1/34port link-type trunkport trunk permit vlan all#vlan-vpn tunnel三、正常状态信息查看#查看eth3/8的stp的基本状态，可见，Eth 3/8为STP树在此交换机中的根端口。

灵活QinQ实现原理（核⼼交换机配置）1．S3900的灵活QinQ实现原理S3900的灵活QinQ报⽂转发流程如下：⾸先报⽂从下⾏⼝（开启灵活QINQ功能）进⼊，交换机不管报⽂是否带TAG，都会打上值为PVID的外层Tag，并PVID所在的VLAN中进⾏转发，找到出端⼝；然后通过内部ACL根据内层VLAN（c-tag-vlan）值修改外层VLAN ID为配置的值（此处就是灵活QINQ的配置VLAN ID值）。

需要特殊说明的是：需要特殊说明的是⼀、 S3900的灵活QinQ下，为了⽀持上⾏⼝出去带外层Tag，要求下⾏端⼝PVID对应的VLAN在上⾏⼝出去⼀定要带Tag，想要不带Tag则通过重定向去掉Tag的⽅式处理；⼆、下⾏⼝上来的报⽂⾸先带PVID对应的外层VLAN，学习到的MAC地址也是在PVID对应的VLAN中，所以需要配置MAC地址映射，以避免上游下来的下⾏数据在S3900上⼴播。

2．S3900的灵活QinQ配置指导组⽹：说明：S3900的e1/0/1为下⾏⽤户端⼝，g1/1/1，g1/1/2为上⾏端⼝，g1/1/1,g1/1/2为⼀个汇聚组。

Vlan 18为⽹管VLAN，vlan 1538为PPPOE⽤户的外层VLAN，vlan 11为专线vlan，vlan200为除PPPOE业务外需要透传双层标签的业务VLAN；S3900上⽹管vlan接⼝的虚MAC地址为00e0-fc12-3457要求：S8500，S3900，DSLAM/lanswitch的管理VLAN相同，管理地址在同⼀⽹段。

要求管理地址之间可以互通，并且⽹管VLAN，专线，及VPN⽤户数据报⽂要求在S3900上单层VLAN透传。

配置步骤：步骤1：配置普通QinQ上⾏通路在e1/0/1上配置PVID（举例1538）和端⼝类型和使能普通QinQ；同时在上⾏⼝上把VLAN 1538设置成带Tag上⾏，由于两个上⾏⼝配置相同，以下步骤都只列出⼀个上⾏⼝G1/1/1。