基于接口的qinq实验

S3100-EI系列交换机使用灵活QinQ功能对不同类型的私网数据进行分类处理的配置一、组网需求：（1）SwitchA的端口Ethernet1/0/3连接了PC用户和IP电话用户。

其中PC用户位于VLAN100～VLAN108范围内，IP电话用户位于VLAN200～VLAN230范围内。

SwitchA的端口Ethernet1/0/5连接到公共网络，对端为SwitchB。

（2）SwitchB的Ethernet1/0/11端口接入公共网络，Ethernet1/0/12和Ethernet1/0/13端口分别接入PC 用户服务器所在VLAN100～VLAN108和IP电话用户语音网关所在VLAN200～VLAN230。

（3）公共网络中允许VLAN1000和VLAN1200的报文通过，并配置了QoS策略，对VLAN1200的报文配置有带宽保留等优先传输策略，而VLAN1000的报文传输优先级较低。

（4）在SwitchA和SwitchB上配置灵活QinQ功能，将PC用户和IP电话用户的流量分别在公网的VLAN1000和VLAN1200内传输，以利用QoS策略保证语音数据的传输优先级。

二、组网图：三、配置步骤：（1）配置SwitchA# 在SwitchA上创建VLAN1000、VLAN1200和Ethernet1/0/3的缺省VLAN5。

<SwitchA> system-view [SwitchA] vlan 1000[SwitchA-vlan1000] quit[SwitchA] vlan 1200[SwitchA-vlan1200] quit[SwitchA] vlan 5[SwitchA-vlan5] quit# 配置端口Ethernet1/0/5为Hybrid端口，并在转发VLAN1000和VLAN1200的报文时保留VLAN Tag。

[SwitchA] interface Ethernet 1/0/5[SwitchA-Ethernet1/0/5] port link-type hybrid[SwitchA-Ethernet1/0/5] port hybrid vlan 1000 1200 tagged[SwitchA-Ethernet1/0/5] quit# 配置端口Ethernet1/0/3为Hybrid端口，缺省VLAN为VLAN5，并在转发V LAN5、VLAN1000和VLAN1200的报文时去除VLAN Tag。

PPPOE 拨入QinQ 的方式：
原理小述：在某接口启动QINQ 后，该接口就不例会原始tag 值，而只在该接口进来的报文上再增加一层标签。

后续就按照这层标签的VID 值进行转发（如下面的20和30），从而隐蔽了原始用户的VID 信息。

在BAS 终结的时候，需要终结两层标签。

所以在启动PPPOE OVER QINQ 功能后，用户ID 可以扩展到4096（内层）*4096（外层）个，每个用户由内层标签号和外层标签号唯一标识，两层标签都可以传给RadiusServer 。

这样就大大扩展了用户标识范围，便于用户管理。

应用场合（1）：内层标签相同，外层标签不同
拓朴如下：
PC1和PC2的内层VID 一样，但在BH6802上配置如下：1/1和1/3属于VID=20的VLAN ，1/2和1/3属于VID=30的VLAN 。

同时在1/1和1/3所在VLAN 上启动QINQ,这样一来，虽然PC1和PC2属于一个VID ，但进入BH6802后，就打上了不同的外层标签，分别到BAS 上认证。

如此实现，做到VID 的复用（若没有QINQ 功能，VID 是无法复用的）。

应用场合2：不同内层标签，外层标签相同。

如上图：内层标签不同，但外部标签相同，这样可以大大减少
ISP 网络的VID 资源。

图中，ISP 网络只要有一个VID 即可完成4094个用户的接入。

同上，每个用户也是两层标签来唯在1/1口上启动QINQ ，tag ＝10的报文进来后加外层标签再透传给BAS PC1:内层Tag=10，外层tag ＝20 PC2:内层Tag=10，外层tag ＝30
一的进行标识。

5 QinQ配置关于本章介绍QinQ的基本知识、配置方法和配置实例。

说明S2700SI和S2710SI不支持QinQ。

5.1 QinQ概述QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能，可以使私网VLAN透传公网。

5.2 设备支持的QinQ特性QinQ因为其自身简单灵活的特点，在各解决方案中扮演着重要的角色。

5.3 配置基本QinQ配置基本QinQ功能后，对于从接口进来的报文，加上一层公网Tag，实现用户报文在公网内转发。

5.4 配置灵活QinQ配置二层灵活QinQ接口后，对于从接口进来的带有私网Tag的用户报文，统一加上公网的Tag，实现用户报文在公网内转发。

5.5 配置外层VLAN Tag的TPID值为了实现不同厂商的设备互通，需要配置外层VLAN Tag的TPID值。

5.6 配置VLANIF接口支持QinQ Stacking功能当用户需要从本端设备远程登录到远端设备上进行远端管理时，可在远端设备上的管理VLAN对应的VLANIF接口上部署QinQ Stacking功能实现。

5.7 配置举例配置举例结合组网需求、配置思路来了解实际网络中QinQ的应用场景，并提供配置文件。

5.1 QinQ概述QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能，可以使私网VLAN透传公网。

在基于传统的802.1Q协议的局域网互联模式中，当两个用户网络需要通过ISP互相访问时，ISP必须为每个接入用户的不同VLAN分配不同的VLAN ID，如图5-1所示。

假设用户的网络1和网络2位于两个不同地点，并分别通过ISP的PE1、PE2接入骨干网。

如果用户需要将网络1的VLAN100～VLAN200和网络2的VLAN100～VLAN200互联起来，那么必须将CE1、PE1、P和PE2、CE2的相连接口都配置为Trunk属性，并允许VLAN100～VLAN200通过。

EsayPath EPON QInQ功能介绍目录1.QINQ简介 (3)1.1Q IN Q的作用和原理 (3)1.2Q IN Q的报文结构 (3)2．ESAYPATH EPON的QINQ功能 (3)2.1OLT侧基于端口的VLAN转换功能 (4)2.2OLT侧的灵活Q IN Q功能 (6)2.3OLT侧PON上的Q IN Q功能 (10)2.4OLT侧的TPID可调配置 (11)2.5ONU侧的Q IN Q功能 (13)2.6E SAY P ATH EPON的Q IN Q功能和数据转发 (13)3 配置案例 (14)3.1案例一 (14)3.2案例二 (15)3.3案例三 (16)1. QinQ简介1.1 QinQ的作用和原理802.1Q中定义的VLAN TAG域中只有12个比特位用来表示VID，所以最多只能支持4094个VLAN。

但是在实际应用中，往往需要用大量的VLAN来隔离用户。

这样的话，4094个VLAN是远远不能满足需求的。

设备提供的端口QinQ 特性是一种简单、灵活的二层VPN 技术，它通过在运营商网络边缘设备上为用户的私网报文封装外层VLAN Tag，使报文携带两层VLAN Tag穿越运营商的骨干网络（公网）。

在公网中，设备只根据外层VLAN Tag 对报文进行转发，并将报文的源MAC 地址表项学习到外层Tag 所在VLAN 的MAC 地址表中，而用户的私网VLAN Tag 在传输过程中将被当作报文中的数据部分来进行传输。

QinQ 特性使网络最多可以提供4094X4094 个VLAN，满足城域网对VLAN 数量的需求，它主要解决了如下几个问题：●缓解日益紧缺的公网VLAN ID 资源问题。

●用户可以规划自己的私网VLAN ID，不会导致和公网VLAN ID 冲突。

●为小型城域网或企业网提供一种较为简单的二层VPN 解决方案。

1.2 QinQ的报文结构QinQ报文在公网传输时带有双层VLAN Tag，内层VLAN Tag为用户私网VLAN Tag，外层VLAN Tag为运营商分配给用户的VLAN Tag，报文结构如下图所示。

计算机接口技术实验报告学号：姓名：提交日期：成绩：东北大学秦皇岛分校计算机与通信工程学院实验1、IO地址译码一、实验目的掌握8253的基本工作原理和编程方法。

二、实验内容按图16虚线连接电路，将计数器0设置为方式0，计数器初值为N（N≤0FH），用手动逐个输入单脉冲，编程使计数值在屏幕上显示，并同时用逻辑笔观察OUT0电平变化（当输入N+1个脉冲后OUT0变高电平）。

三、编程提示8253控制寄存器地址283H计数器0地址280H计数器1地址281HCLK0连接时钟1MHZASM程序：ioport equ 0d400h-0280hio8253a equ ioport+283hio8253b equ ioport+280hcode segmentassume cs:codestart: mov al,14h ;设置8253通道0为工作方式2,二进制计数mov dx,io8253aout dx,almov dx,io8253b ;送计数初值为0FHmov al,0fhout dx,allll: in al,dx ;读计数初值call disp ;调显示子程序push dxmov ah,06hmov dl,0ffhint 21hpop dxjz lllmov ah,4ch ;退出int 21hdisp proc near ;显示子程序push dxand al,0fh ;首先取低四位mov dl,alcmp dl,9 ;判断是否<=9jle num ;若是则为'0'-'9',ASCII码加30Hadd dl,7 ;否则为'A'-'F',ASCII码加37Hnum: add dl,30hmov ah,02h ;显示int 21hmov dl,0dh ;加回车符int 21hmov dl,0ah ;加换行符int 21hpop dxret;子程序返回disp endpcode endsend start实验现象：开始时代表低电平的灯亮，按单脉冲信号5次后高电平的等亮实验2、简单并行接口一、实验目的掌握8253的基本工作原理和编程方法。

在标准QinQ中，通常是以物理端口来划分用户或用户网络，当多个不同用户以不同的VLAN接入到同一个端口时则无法区分用户。

标准QinQ方案是一种简单二层VPN的应用，在运行营商接入环境中往往需要根据用户的应用或接入地点（设备）来区分用户，基于这种应用产生了灵活QinQ方案。

运营商采用灵活QinQ 方案。

简单讲灵活QinQ就是根据用户报文的Tag或其他特征（IP/MAC等），给用户报文打上相应的外层Tag，以达到区分不同用户或应用的目的。

当前灵活QinQ主要应用在运营商的接入网络中，在运营商网络中给接入用户分配一个VLAN，以达到便于问题追踪和防止不同用户间互访，用外层标签区分用户的应用；或在接入的环境中用外层标签来区分不同的接入地点，用内外两层标签唯一标识出一个接入用户。

在这样的应用中需要BRAS/SR设备支持QinQ 的应用（能够终结双Tag）。

灵活QinQ需要两层标签，第一层标签是CVLAN，一般用在区分用户；第二层标签是SVLAN，可以用于区分用户所拥有的不同服务，比如把IP数据业务（PPoE），IPTV，VOIP，分别封装在不同的SVLAN。

具体可以看看华为中兴的灵活QinQ白皮书：灵活QINQ在城域接入网中的应用方案。

下面举例说明：目前城域网上业务主要分为宽带上网、VOIP、视频点播，企业专线，NGN及3G等，其中企业专线、NGN和3G业务一般通过专线接入或通过固定的端口接入，如果需要业务区分，使用标准的QINQ即可（如果在同一物理端口接入多个企业业务时，也可使用灵活QINQ进行区分），宽带上网，VOIP及视频点播一般涉及同一用户的不同业务，接入端依靠同一物理介质，为了对不同业务进行区分及实行不同的QOS标准，必须使用灵活QINQ进行操作。

下面专门针对华为公司对公众业务上网/VOIP/及视频点播使用灵活QINQ解决方案进行阐述：DSLAM用户三PVC接入解决方案[img] [/img]备注：灵活QINQ VLAN标签规划设备业务内层VLAN标签外层VLAN标签流分类原则DSLAM1 宽带上网 1001-2000 1001 VLAN标签区间DSLAM1 VOIP 2001-3000 2001 VLAN标签区间DSLAM1 IPTV 3001-4000 3001 VLAN标签区间DSLAM2 宽带上网 1001-2000 1002 VLAN标签区间DSLAM2 VOIP 2001-3000 2002 VLAN标签区间DSLAM2 IPTV 3001-4000 3002 VLAN标签区间如上所示，DSLAM支持三PVC接入，每个用户分配三个VLAN，每VLAN对应一个PVC并对应一种业务，比如DSLAM1下的用户甲，分配三个VLAN,VLAN标签值分别为1001，2001，3001，VLAN1001对应宽带上网，VLAN2001对应VOIP业务，VLAN3001对应VOD业务，在业务进入S85交换机的下行端口后，下行端口启用灵活QINQ功能，根据用户VLAN ID分别打上不同的外层标签，如果用户数据外层标签为1001，直接在外层增加一层标签1001（该标签在公网唯一），业务进入S85上的宽带上网 VLAN1001，数据分流到BAS设备，如果标签为2001，根据流规则，外层增加VLAN TAG2001，业务分流到SR设备，同理，标签为3001的数据会增加一层外层标签3001，然后分流到SR。

QinQ配置方法参考一、QinQ原理介绍QinQ是指将用户私网VLAN Tag封装在公网VLAN Tag中，使报文带着两层VLAN Tag穿越运营商的骨干网络（公网）。

在公网中报文只根据外层VLAN Tag（即公网VLAN Tag）传播，用户的私网VLAN Tag被屏蔽。

带单层VLAN Tag的报文结构如下所示：D S D(0~1500B)FCA (6B)A(6B)E TYP E(8100)(2B)用户VL AN TAG(2B)E TYP E(2B)ATA S(4B)图1-1带用户VLAN Tag的报文带双层VLAN Tag的报文结构如下所示：图1-2封装了外层VLAN Tag的报文由于QinQ的实现是基于802.1Q协议中的Trunk端口概念，要求隧道上的设备都必须支持802.1Q协议，所以QinQ只适用于小型的、以三层交换机为骨干的企业网或小规模的城域网。

QinQ主要可以解决如下几个问题：●缓解日益紧缺的公网VLAN ID资源问题；●用户可以规划自己的私网VLAN ID，不会导致和公网VLAN ID冲突；●为小型城域网或企业网提供一种较为简单的二层VPN解决方案。

二、QinQ的实现方式华为系列路由交换机通过以下两种方式实现QinQ：（1）开启端口的VLAN VPN特性功能开启端口的VLAN VPN功能后，当该端口接收到报文，无论报文是否带有VLAN Tag，交换机都会为该报文打上本端口缺省VLAN的VLAN Tag。

这样，如果接收到的是已经带有VLAN Tag的报文，该报文就成为双Tag的报文；如果接收到的是Untagged的报文，该报文就成为带有端口缺省VLAN Tag的报文。

（2）配置基于流分类的Nested VLAN基于流分类的Nested VLAN特性是对QinQ的一种更灵活的实现，即通常所说的灵活QinQ。

用户可以对端口下匹配特定ACL流规则的报文进行如下操作：●设置报文的外层VLAN Tag●修改报文的外层VLAN Tag三、QinQ配置举例图1-3配置实例网络拓扑图如图说明：Dslam1的用户VLAN100～199，在S8505下行口打上VLAN1000的外层VLAN；Dslam2的用户VLAN200～299，在LanSwitch下行口打上VALN2000的外层VLAN；Dslam设备的管理NMS VLAN 999，网管VLAN的外层VLAN假设在S8505上为VLAN 1999。

华为SR及交换机qinq配置节省IP地址案例一、网络拓扑图如下二、目的：1、节约IP地址使用，各PC分配同一网段IP地址，使用相同网关。

2、各PC实现两层隔离，三层互通。

三、具体配置：1、SR上下行接口A主接口配置：mode user-terminationportswitch下行接口A子接口配置：control-vid （外层vlan号）qinq-terminationqinq termination pe-vid （外层vlan号）ce-vid （内层vlan号）ip address （网关IP地址）arp broadcast enable2、S9312上全局配置：Vlan （外层vlan号）上行接口B配置实现外层vlan透传上联口：port link-type trunkundo port trunk allow-pass vlan 1port trunk allow-pass vlan （外层vlan号）（1）接口C下如需要挂PC，配置如下：全局配置，实现用户IP地址与vlan绑定：user-bind static ip-address（分配给PC的IP地址）vlan（外层vlan号）ce-vlan（内层vlan号）下行接口C配置：undo port hybrid vlan 1port hybrid untagged vlan （外层vlan号）port vlan-stacking untagged stack-vlan （外层vlan号）stack-inner-vlan （内层vlan号）ip source check user-bind enableport-isolate enable group 1（2）S9312下挂S3528后再接PCA、S9312下行接口D配置，实现透传port hybrid untagged vlan （外层vlan号）port vlan-stacking vlan （内层vlan号）stack-vlan（外层vlan号）B、S5328上全局配置：Vlan （内层vlan号）user-bind static ip-address（分配给PC的IP地址）vlan（内层vlan号）上行接口E配置：port link-type trunkundo port trunk allow-pass vlan 1port trunk allow-pass vlan （内层vlan号）下行用户口F配置：port link-type accessport default vlan （内层vlan号）ip source check user-bind enable。

一、QinQ简介 (2)(一)QinQ概述 (2)(二)QinQ特性 (4)1.二层接口的QinQ (4)2.QinQ Mapping (5)3.终结子接口 (5)4.动态QinQ (8)5.QinQ终结子接口支持URPF (10)(三)总结 (10)(四)思考 (10)一、ME60侧配置QinQ (10)(一)配置QinQ二层隧道 (10)1.建立配置任务 (10)2.创建QinQ二层接口的外层VLAN (11)3.配置二层接口的QinQ功能 (11)4.（可选）配置外层Tag的协议类型 (12)5.检查配置结果 (12)(二)配置二层灵活QinQ (14)1.建立配置任务 (14)2.创建QinQ二层接口的外层VLAN (14)3.配置二层灵活QinQ接口 (15)4.（可选）配置外层Tag的协议类型 (15)5.检查配置结果 (16)(三)配置动态QinQ (17)1.建立配置任务 (17)2.配置接口的模式为用户终结模式 (18)3.配置动态QinQ (18)4.配置DHCP Snooping (19)5.检查配置结果 (19)(四)配置QinQ终结子接口支持URPF (21)1.建立配置任务 (21)2.配置以太网主接口 (21)3.配置以太网子接口 (22)4.配置QinQ子接口的URPF功能 (22)5.检查配置结果 (22)(五)配置Bras用户侧QinQ (23)1.建立配置任务 (23)2.创建用户侧VLAN (24)3.检查配置结果 (24)(六)维护QinQ (24)1. 6.5.6.13.1 清除QinQ的统计信息 (25)2.监控终结子接口运行状况 (25)3.调试QinQ (25)二、ME60侧QinQ配置举例 (26)(一)配置QinQ二层隧道示例 (26)1.组网需求 (26)2.配置思路 (27)3.数据准备 (27)4.操作步骤 (27)5.配置文件 (29)(二)配置二层灵活QinQ示例 (31)1.组网需求 (31)2.配置思路 (32)3.数据准备 (32)4.操作步骤 (32)5.配置文件 (34)(三)配置动态QinQ示例 (36)1.组网需求 (36)2.配置思路 (37)3.数据准备 (37)4.操作步骤 (38)5.配置文件 (44)(四)配置QinQ终结子接口支持URPF示例 (47)1.组网需求 (47)2.配置思路 (48)3.数据准备 (48)4.操作步骤 (48)5.配置文件 (50)(五)配置用户侧QinQ示例 (51)6.组网需求 (51)7.配置思路 (52)8.数据准备 (52)9.操作步骤 (52)10.配置文件 (53)一、QinQ简介(一)QinQ概述QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能，可以使私网VLAN透传公网。

QinQ配置参考2009-3-20福建星网锐捷网络有限公司版权所有侵权必究目录1 QinQ配置1.1 QinQ简介QinQ是一种二层交换技术，在服务商网络边缘连接用户网络的交换机（即PE）上配置，实现了“用户数据跨服务商网络透明传输”，达到VPN的效果。

PE接收到的用户数据帧很可能已经被用户自己的交换机打了一层802.1q Tag（即C-Tag）。

PE将该数据帧再打上一层802.1q Tag（即S-Tag），转发到服务商网络中。

在服务商网络中，数据帧根据S-Tag进行转发，到达对端PE。

对端PE剥去S-Tag，将数据帧转发到用户网络中。

关于文中出现的技术术语/缩略语，后文“附录”中有简要解释。

1.2 QinQ配置指导注意事项缺省状态下，QinQ功能是关闭的。

☹配置QinQ有如下注意事项：●路由口不能设置为Tunnel Port●Ap口可以设置成Tunnel Port●配置为Tunnel的端口不能再启用802.1x功能●配置为Tunnel的端口上不能启用集群●配置为Tunnel的端口上不加入STP算法●配置为Tunnel的端口上不能启用GVRP●配置为Tunnel的端口无法使能System-guard步骤1：根据实际网络需求，选定一种基本配置模型QinQ 有三种基本配置模型：●基于端口的QinQ基于端口的QinQ，也称为“基本QinQ”。

仅能够实现“用户数据帧跨服务商网络透明传输”。

广泛适用。

●基于C-Tag的QinQ基于C-Tag的QinQ，是“灵活QinQ”的一种。

在实现“用户数据帧跨服务商网络透明传输”的同时，能够在服务商网络中识别出C-Tag属于特定范围的用户数据帧。

●基于流特征的QinQ基于流特征的QinQ，是“灵活QinQ”的一种。

在实现“用户数据帧跨服务商网络透明传输”的同时，能够在服务商网络中识别出具有特定数据流特征的用户数据帧。

步骤2：配置“基本配置模型”和“可选配置”1.参照“基本配置模型”，完成QinQ必选配置。

QinQ典型配置用例基本QinQ实现二层VPN业务拓扑图企业A和企业B有办公地点，每个办公地点都有自己的网络。

如下图所示， Customer A1、Customer A2、Customer B1、Customer B2分别为企业用户A、企业用户B所在网络的边缘设备。

Customer A1和Customer B1通过服务提供商边缘设备Provider A接入到公网，Customer A2和Customer B2通过服务提供商边缘设备Provider B接入到公网。

Customer A1-A2使用的办公网络VLAN范围为VLAN1-100，Customer B1-B2使用的办公网络VLAN 范围为VLAN1-200。

Provider A和Provider B之间为其他厂商的设备，其TPID值为0x9100。

图 1 基本QinQ实现二层VPN业务应用拓扑应用需求服务提供商为企业A和企业B提供VPN服务，具体要求如下：1、两个企业的数据在传送至对端时可以保留原有VLAN信息2、两个企业相同VLAN编号的数据在服务提供商网络中传输时不会产生冲突配置要点1、下连用户网络的数据无需区分，在服务提供商边缘设备（本例为Provider A和Provider B）上启用基本QinQ即能满足需求。

2、锐捷交换机的TPID值与其他厂商不一致，需在在服务提供商边缘设备（本例为Provider A 和Provider B）Uplink接口上将TPID值调整为与第三方设备一样的值。

说明 1、在QinQ配置模型中，当边缘设备连接服务商网络的上链口或服务提供商设备之间相互连接的的接口为Trunk port、Hybrid port的时候，请避免将Trunk port 或Hybrid port的Native vlan设置为tunnel口的缺省vlan。

因为当报文从Trunk port或Hybrid port输出时，会被剥去VID为其Native vlan的Tag。

1．S3900的灵活QinQ实现原理S3900的灵活QinQ报文转发流程如下：首先报文从下行口（开启灵活QINQ功能）进入，交换机不管报文是否带TAG，都会打上值为PVID的外层Tag，并PVID所在的VLAN中进行转发，找到出端口；然后通过内部ACL根据内层VLAN（c-tag-vlan）值修改外层VLAN ID为配置的值（此处就是灵活QINQ 的配置VLAN ID值）。

需要特殊说明的是：一、S3900的灵活QinQ下，为了支持上行口出去带外层Tag，要求下行端口PVID对应的VLAN在上行口出去一定要带Tag，想要不带Tag则通过重定向去掉Tag的方式处理；二、下行口上来的报文首先带PVID对应的外层VLAN，学习到的MAC地址也是在PVID对应的VLAN中，所以需要配置MAC地址映射，以避免上游下来的下行数据在S3900上广播。

2．S3900的灵活QinQ配置指导组网：说明：S3900的e1/0/1为下行用户端口，g1/1/1，g1/1/2为上行端口，g1/1/1,g1/1/2为一个汇聚组。

Vlan 18为网管VLAN，vlan 1538为PPPOE用户的外层VLAN，vlan 11为专线vlan，vlan200为除PPPOE业务外需要透传双层标签的业务VLAN；S3900上网管vlan接口的虚MAC地址为00e0-fc12-3457要求：S8500，S3900，DSLAM/lanswitch的管理VLAN相同，管理地址在同一网段。

要求管理地址之间可以互通，并且网管VLAN，专线，及VPN用户数据报文要求在S3900上单层VLAN透传。

配置步骤：步骤1：配置普通QinQ上行通路在e1/0/1上配置PVID（举例1538）和端口类型和使能普通QinQ；同时在上行口上把VLAN 1538设置成带Tag上行，由于两个上行口配置相同，以下步骤都只列出一个上行口G1/1/1。

vlan 1538#interface Ethernet1/0/1undo ntdp enablestp disableport link-type hybridport hybrid vlan 1538untaggedundo port hybrid vlan 1port hybrid pvid vlan 1538vlan-vpn enable#interface GigabitEthernet1/1/1undo ntdp enablestp disableport link-type hybridport hybrid vlan 1538 taggedundo port hybrid vlan 1配置之后，上行数据从下行口上来时，无论报文带什么Tag，都会打上1538外层Tag，然后在VLAN 1538内转发，MAC地址学习在VLAN 1538中，如果确定需要从G1/1/1出去，则带双层Tag。

（1）简单的数据业务onu上来的报文带内层vlan 200,在epon线卡上打外层vlan 4001。

配置灵活qinq之后，将外层4001转为1025，从上联端口送出到核心网。

SMARTBITS-----ONU-----（EPON）C220(EIGM)||SMARTBITS（2）PPPOE拨号业务测试组网onu上来的报文带内层vlan 200,在epon线卡上打外层vlan 4001。

配置灵活qinq之后，将外层4001转为1025，从上联端口送到BAS。

PC-----ONU-----（EPON）C220(EIGM)||ZXR10 3952 (3952上要启用qinq功能，接BAS的端口要配置为customer端口) ||BAS具体配置方法:1.在config模式下使能灵活qinqZXAN(config)#vlan-qinq enable2.配置vlan-qinq条目基于cvlan范围vlan-qinq session-no 1 ingress-port epon-olt_0/1/1(对应PON口) in-svlan 4001（对应epon线卡打上来的tlsvlan值） in-cvlan 200(内层VLAN值) mask 0x0fff（对应内层VLANid反掩码） out-svlan 1025（需要修改的最终外层VLAN）基于以太网类型vlan-qinq session-no 2 ingress-port epon-olt_0/1/1(对应PON口) in-svlan 4001（tlsvlan值）ether-type 0x8863(对应pppoe discovery阶段) out-svlan 1025（需要修改的最终外层VLAN）vlan-qinq session-no 3 ingress-port epon-olt_0/1/1(对应PON口) in-svlan 4001（tlsvlan值）ether-type 0x8864(对应pppoe session阶段) out-svlan 1025（需要修改的最终外层VLAN）3.查看命令show vlan-qinq参考一下实现方案。

『居善地』接⼝测试—11、接⼝签名sign原理⽬录1、什么是加密以及解密?出于信息保密的⽬的，在信息传输或存储中，采⽤密码技术对需要保密的信息进⾏处理。

使得处理后的信息不能被⾮受权者(含⾮法者)读懂或解读，这⼀过程称为加密。

在加密处理过程中，需要保密的信息称为“明⽂，经加密处理后的信息称为“密⽂”。

加密即是将“明⽂”变为“密⽂”的过程。

与此类似，将“密⽂”变为“明⽂”的过程被称为解密。

2、加密⽅式的分类（1）对称加密对称加密是最快速、最简单的⼀种加密⽅式，加密（encryption）与解密（decryption）⽤的是同样的密钥（secret key）。

对称加密有很多种算法，由于它效率很⾼，所以被⼴泛使⽤在很多加密协议的核⼼当中。

对称加密通常使⽤的是相对较⼩的密钥，⼀般⼩于256 bit。

因为密钥越⼤，加密越强，但加密与解密的过程越慢。

如果你只⽤1 bit来做这个密钥，那⿊客们可以先试着⽤0来解密，不⾏的话就再⽤1解；但如果你的密钥有1 MB⼤，⿊客们可能永远也⽆法破解，但加密和解密的过程要花费很长的时间。

密钥的⼤⼩既要照顾到安全性，也要照顾到效率，对称加密的⼀⼤缺点是，密钥的管理与分配。

换句话说，如何把密钥发送到需要解密你的消息的⼈的⼿⾥是⼀个问题。

在发送密钥的过程中，密钥有很⼤的风险会被⿊客们拦截。

现实中通常的做法是将对称加密的密钥进⾏⾮对称加密，然后传送给需要它的⼈。

常见的对称加密算法有DES、3DES、Blowfish、RC4、RC5、RC6和AES 。

（2）⾮对称加密⾮对称加密为数据的解加密与密提供了⼀个⾮常安全的⽅法，它使⽤了⼀对密钥，公钥（public key）和私钥（private key）。

私钥只能由⼀⽅安全保管，不能外泄，⽽公钥则可以发给任何请求它的⼈。

⾮对称加密使⽤这对密钥中的⼀个进⾏加密，⽽解密则需要另⼀个密钥。

⽐如，你向银⾏请求公钥，银⾏将公钥发给你，你使⽤公钥对消息加密，那么只有私钥的持有⼈：银⾏，才能对你的消息解密。