QINQ技术原理及配置(精)

QinQ的基本原理及相关特性汪政/01405本文结合低端三层交换机3552产品实现，介绍了QinQ的基本原理，以及TPID, BPDU tunnel等与QinQ 相关的特性。

1QinQ基本应用及原理QinQ（802.1Q in 802.1Q），也叫Vlan VPN，用于扩展Vlan的资源，并加强网络的安全性。

由于IEEE802.1Q中定义的VLAN Tag域只有12个比特，所以交换机最多可以支持4k 个VLAN。

在实际应用中，尤其是在城域网中，需要大量的VLAN来隔离用户，4k个VLAN 远远不能满足需求。

以太网交换机提供的端口VLAN VPN特性，可以给报文打双重VLAN Tag，即在报文原来VLAN Tag的基础上，给报文打上新的VLAN Tag，从而可以最多提供4k X 4k个VLAN，满足城域网对VLAN数量的需求，同时也实现了运营商网络和用户网络在VLAN上的独立规划，互不影响。

如图所示：VLAN VPN 核心网络用户网络2用户网络1S3552 Vlan10,20 Vlan 5(运营商规划) Vlan10,20QinQ端口QinQ端口开启端口的VLAN VPN 功能后，当该端口接收到报文，无论报文是否带有VLAN Tag ，交换机都会为该报文打上本端口缺省VLAN 的VLAN Tag 。

这样，如果接收到的是已经带有VLAN Tag 的报文，该报文就成为双Tag 的报文；如果接收到的是untagged 的报文，该报文就成为带有端口缺省VLAN Tag 的报文。

Vlan VPN 的实现原理：原理很简单，芯片的每个端口有一个标识寄存器，当为1，表示启用QinQ 端口，0表示通端口。

在启用QinQ 的端口，不管端口是Access 类型，还是Trunk/Hybrid 类型，对进入的报文，不论是tag 还是untagged 的，都会被视为untagged 的，从而在入端口被分类为端口PVID 所在的vlan 。

5 QinQ配置关于本章介绍QinQ的基本知识、配置方法和配置实例。

说明S2700SI和S2710SI不支持QinQ。

5.1 QinQ概述QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能，可以使私网VLAN透传公网。

5.2 设备支持的QinQ特性QinQ因为其自身简单灵活的特点，在各解决方案中扮演着重要的角色。

5.3 配置基本QinQ配置基本QinQ功能后，对于从接口进来的报文，加上一层公网Tag，实现用户报文在公网内转发。

5.4 配置灵活QinQ配置二层灵活QinQ接口后，对于从接口进来的带有私网Tag的用户报文，统一加上公网的Tag，实现用户报文在公网内转发。

5.5 配置外层VLAN Tag的TPID值为了实现不同厂商的设备互通，需要配置外层VLAN Tag的TPID值。

5.6 配置VLANIF接口支持QinQ Stacking功能当用户需要从本端设备远程登录到远端设备上进行远端管理时，可在远端设备上的管理VLAN对应的VLANIF接口上部署QinQ Stacking功能实现。

5.7 配置举例配置举例结合组网需求、配置思路来了解实际网络中QinQ的应用场景，并提供配置文件。

5.1 QinQ概述QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能，可以使私网VLAN透传公网。

在基于传统的802.1Q协议的局域网互联模式中，当两个用户网络需要通过ISP互相访问时，ISP必须为每个接入用户的不同VLAN分配不同的VLAN ID，如图5-1所示。

假设用户的网络1和网络2位于两个不同地点，并分别通过ISP的PE1、PE2接入骨干网。

如果用户需要将网络1的VLAN100～VLAN200和网络2的VLAN100～VLAN200互联起来，那么必须将CE1、PE1、P和PE2、CE2的相连接口都配置为Trunk属性，并允许VLAN100～VLAN200通过。

城域以太网解决方案应用案例之QinQ技术一、 QinQ技术简介QinQ技术（也称Stacked VLAN 或Double VLAN）,由IEEE 802.1ad标准定义,实现将用户私网VLAN Tag（C-VLAN）封装在公网VLAN Tag（S-VLAN）中，使报文带着两层VLAN Tag穿越运营商的骨干网络（公网）。

为用户提供了一种比较简单的二层VPN隧道技术。

QinQ技术按照其实现方式不同，分为基本QinQ和灵活QinQ两种。

1.1. 基本QinQ基本QinQ是基于端口方式实现的。

当端口上配置了基本QinQ功能后，不论从该端口收到报文是否带有VLAN Tag，设备都会为该报文打上本端口缺省VLAN的Tag：l 如果收到的是带有VLAN Tag的报文，该报文就成为带双Tag的报文；l 如果收到的是不带VLAN Tag的报文，该报文就成为带有本端口缺省VLAN Tag 的报文。

1.2. 灵活QinQ灵活QinQ是端口QinQ功能的扩展，可以实现：l 为匹配流分类的报文添加外层VLAN Tag。

l 根据报文内层VLAN的802.1p优先级标记外层VLAN的802.1p优先级。

通过使用灵活QinQ技术，在能够隔离运营商网络和用户网络的同时，又能够提供丰富的业务特性和更加灵活的组网能力。

二、 QinQ技术在城域以太网中的应用VPLS专线是城域以太网解决方案中的典型组网应用之一，即：将汇聚层交换机配置为VPLS专线的PE设备，在骨干网上部署VPLS专线，从而实现跨汇聚设备下的不同CE设备间的二层互访。

通常情况下，接入交换机为上送数据报文打上运营商所分配的VLAN tag，运营商VPLS的PE设备根据报文接入端口和VLAN tag信息将报文映射至不同的VPLS 专线，穿越VPLS网络，从而实现用户网络间的远程互访。

上述情况下，要求汇聚交换机以下网络中，相同用户都存在于同一个VLAN内，适用于中小型用户网络的接入。

QinQ 目录目录第1章 QinQ配置....................................................................................................................1-11.1 QinQ简介...........................................................................................................................1-11.1.1 原理介绍..................................................................................................................1-11.1.2 QinQ的实现方式......................................................................................................1-21.1.3 QinQ报文的TPID值可调功能...................................................................................1-21.2 配置端口的VLAN VPN特性功能.........................................................................................1-31.2.1 配置准备..................................................................................................................1-31.2.2 配置过程..................................................................................................................1-31.3 配置基于流分类的Nested VLAN........................................................................................1-41.3.1 配置准备..................................................................................................................1-41.3.2 配置过程..................................................................................................................1-41.4 配置端口的QinQ报文TPID值可调功能...............................................................................1-51.4.1 配置准备..................................................................................................................1-51.4.2 配置过程..................................................................................................................1-51.5 配置VLAN-VPN Tunnel......................................................................................................1-61.5.1 VLAN-VPN Tunnel简介...........................................................................................1-61.5.2 VLAN-VPN Tunnel配置...........................................................................................1-71.6 QinQ的显示与维护.............................................................................................................1-71.7 QinQ典型配置举例.............................................................................................................1-81.7.1 基于流分类的Nested VLAN配置过程举例...............................................................1-81.7.2 端口的QinQ报文TPID值可调功能配置过程举例......................................................1-91.7.3 VLAN-VPN Tunnel典型配置举例...........................................................................1-11第1章 QinQ 配置下表列出了本章所包含的内容。

利用QinQ技术配置IPv6校园网摘要：介绍了IPv6校园网建设的现状及QinQ技术原理，给出了利用QinQ技术实现IPv4/IPv6双栈配置的一种方法。

关键词：IPv6；校园网；QinQ1 IPv6校园网建设目前，绝大多数高校已完成校园网络的基础建设，为了避免过多的投资浪费，必须充分考虑现有的网络环境，更好地继承和取代原有的IPv4校园网。

在IPv6建设初期，用户相对较少的情况下，可实验性接入CERNET2。

对现有IPv4校园网内只支持IPv4的主机通过NAT-PT这样的转换技术在IPv4和IPv6报文之间进行转换，实现与IPv6主机的通信。

安装了IPv4/IPv6双协议栈的主机在现有校园网上建立隧道链路将其连接到出口路由器，并通过出口路由器与CERNET2进行互联，就能够实现和IPv6的骨干网CERNET2的互通。

在IPv6的组网建设中，应采用同时支持IPv6/IPv4的网络设备，使得校园网平台同时支持两种业务流的承载和互通。

校园网核心采用支持双栈的三层交换机，汇聚接入使用普通IPv4交换机即可，所有关于IPv6的三层功能均交由核心处理，而不在汇聚层进行。

也可考虑汇聚使用双栈三层交换机，形成层次化的IPv6网络。

为了让更多的用户直接在校园网学习、使用IPv6技术，可在校园网内局部建设IPv6试验网，然后再根据需求把边界设备升级为双栈路由器，把有需要的部分IPv4网络采用隧道技术与外网连接，并逐步把原有IPv4网络升级为全面融合的IPv4/IPv6双协议栈网络，最后逐步向纯IPv6网的过渡。

这样既充分保证了教学科研的需要，又安全稳妥地以最少代价实现了校园网的升级。

2 QinQ技术原理QinQ技术也称Stacked VLAN或DoubleVLAN。

标准出自IEEE 802.1ad，目前该标准仍处于草案阶段。

其实现为在802.1q协议标签前再次封装802.1q协议标签，其中一层标识用户系统网络，一层标识网络运营网络，有效地扩展了VLAN数目，使VLAN的数目可达4096x4096个甚至更多。

QinQ配置参考2009-3-20福建星网锐捷网络有限公司版权所有侵权必究目录1 QinQ配置1.1 QinQ简介QinQ是一种二层交换技术，在服务商网络边缘连接用户网络的交换机（即PE）上配置，实现了“用户数据跨服务商网络透明传输”，达到VPN的效果。

PE接收到的用户数据帧很可能已经被用户自己的交换机打了一层802.1q Tag（即C-Tag）。

PE将该数据帧再打上一层802.1q Tag（即S-Tag），转发到服务商网络中。

在服务商网络中，数据帧根据S-Tag进行转发，到达对端PE。

对端PE剥去S-Tag，将数据帧转发到用户网络中。

关于文中出现的技术术语/缩略语，后文“附录”中有简要解释。

1.2 QinQ配置指导注意事项缺省状态下，QinQ功能是关闭的。

☹配置QinQ有如下注意事项：●路由口不能设置为Tunnel Port●Ap口可以设置成Tunnel Port●配置为Tunnel的端口不能再启用802.1x功能●配置为Tunnel的端口上不能启用集群●配置为Tunnel的端口上不加入STP算法●配置为Tunnel的端口上不能启用GVRP●配置为Tunnel的端口无法使能System-guard步骤1：根据实际网络需求，选定一种基本配置模型QinQ 有三种基本配置模型：●基于端口的QinQ基于端口的QinQ，也称为“基本QinQ”。

仅能够实现“用户数据帧跨服务商网络透明传输”。

广泛适用。

●基于C-Tag的QinQ基于C-Tag的QinQ，是“灵活QinQ”的一种。

在实现“用户数据帧跨服务商网络透明传输”的同时，能够在服务商网络中识别出C-Tag属于特定范围的用户数据帧。

●基于流特征的QinQ基于流特征的QinQ，是“灵活QinQ”的一种。

在实现“用户数据帧跨服务商网络透明传输”的同时，能够在服务商网络中识别出具有特定数据流特征的用户数据帧。

步骤2：配置“基本配置模型”和“可选配置”1.参照“基本配置模型”，完成QinQ必选配置。

QINQ技术简介一、QINQ的产生背景IEEE802.1Q中定义的VLAN Tag域中只有12个比特位用于表示VLAN ID，所以设备最多可以支持4094个VLAN。

在实际运用中，尤其在城域网中，需要大量的VLAN 来隔离用户，4094个VLAN远远不能满足需求。

二、QINQ的作用及原理设备提供的端口QINQ特性是一种简单、灵活的二层VPN技术，它通过在运营商网络边缘设备上为用户的私网报文封装外层VLAN Tag，使报文携带两层VLAN Tag 穿越运营商的骨干网络（公网）。

在公网中，设备只根据外层VLAN Tag对报文进行转发，并将报文的源MAC地址表项学习到外层Tag所在VLAN的MAC地址表中，而用户的私网VLAN Tag在传输过程中将被当作报文中的数据部分来进行传输。

QINQ特性使得运营商可以用一个VLAN为含有多个VLAN的用户网络服务。

如图1所示，用户网络A的私网VLAN 为VLAN 1~10，用户网络B的私网VLAN为VLAN 1~20。

运营商为用户网络A分配的VLAN为VLAN 3，为用户网络B分配的VLAN为VLAN 4。

当用户网络A的带VLAN Tag的报文进入运营商网络时，报文外面会被封装上一层VLAN ID为3的VLAN Tag；当用户网络B的带VLAN Tag的报文进入运营商网络时，报文外面会被封装上一层VLAN ID为4的VLAN Tag。

这样，不同用户网络的报文在公网传输时被完全分开，即使两个用户网络的VLAN范围存在重叠，在公网传输时也不会产生混淆。

用户网络A (VLAN 1~10)RO--------RO\ /\ / 用户网络A VLAN 1-10\ / RO ------------RORO || 运营商网络 ||VLAN 3 |VLAN 3RO --- .... ------RO|VLAN 4 |VLAN 4| || |RO RO ------ RO用户网络B(VLAN 1-20) 用户网络B(VLAN 1-20)图1 QINQ功能示意图QINQ特性使网络最多可以提供4094X4094个VLAN，满足城域网对VLAN数量的需求，它主要解决了如下几个问题。

一、QinQ简介 (2)(一)QinQ概述 (2)(二)QinQ特性 (4)1.二层接口的QinQ (4)2.QinQ Mapping (5)3.终结子接口 (5)4.动态QinQ (8)5.QinQ终结子接口支持URPF (10)(三)总结 (10)(四)思考 (10)一、ME60侧配置QinQ (10)(一)配置QinQ二层隧道 (10)1.建立配置任务 (10)2.创建QinQ二层接口的外层VLAN (11)3.配置二层接口的QinQ功能 (11)4.（可选）配置外层Tag的协议类型 (12)5.检查配置结果 (12)(二)配置二层灵活QinQ (14)1.建立配置任务 (14)2.创建QinQ二层接口的外层VLAN (14)3.配置二层灵活QinQ接口 (15)4.（可选）配置外层Tag的协议类型 (15)5.检查配置结果 (16)(三)配置动态QinQ (17)1.建立配置任务 (17)2.配置接口的模式为用户终结模式 (18)3.配置动态QinQ (18)4.配置DHCP Snooping (19)5.检查配置结果 (19)(四)配置QinQ终结子接口支持URPF (21)1.建立配置任务 (21)2.配置以太网主接口 (21)3.配置以太网子接口 (22)4.配置QinQ子接口的URPF功能 (22)5.检查配置结果 (22)(五)配置Bras用户侧QinQ (23)1.建立配置任务 (23)2.创建用户侧VLAN (24)3.检查配置结果 (24)(六)维护QinQ (24)1. 6.5.6.13.1 清除QinQ的统计信息 (25)2.监控终结子接口运行状况 (25)3.调试QinQ (25)二、ME60侧QinQ配置举例 (26)(一)配置QinQ二层隧道示例 (26)1.组网需求 (26)2.配置思路 (27)3.数据准备 (27)4.操作步骤 (27)5.配置文件 (29)(二)配置二层灵活QinQ示例 (31)1.组网需求 (31)2.配置思路 (32)3.数据准备 (32)4.操作步骤 (32)5.配置文件 (34)(三)配置动态QinQ示例 (36)1.组网需求 (36)2.配置思路 (37)3.数据准备 (37)4.操作步骤 (38)5.配置文件 (44)(四)配置QinQ终结子接口支持URPF示例 (47)1.组网需求 (47)2.配置思路 (48)3.数据准备 (48)4.操作步骤 (48)5.配置文件 (50)(五)配置用户侧QinQ示例 (51)6.组网需求 (51)7.配置思路 (52)8.数据准备 (52)9.操作步骤 (52)10.配置文件 (53)一、QinQ简介(一)QinQ概述QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能，可以使私网VLAN透传公网。

QinQ基础知识⼯作中需要了解QinQ的知识，找到了⼀篇不错的⽂章，转载⼀下。

QinQ简介定义： QinQ（802.1Q-in-802.1Q）技术是⼀项扩展VLAN空间的技术，通过在802.1Q标签报⽂的基础上再增加⼀层802.1Q的Tag来达到扩展VLAN空间的功能，可以使私⽹VLAN透传公⽹。

由于在⾻⼲⽹中传递的报⽂有两层802.1Q Tag（⼀层公⽹Tag，⼀层私⽹Tag），即802.1Q-in-802.1Q，所以称之为QinQ协议。

##⽬的： 随着以太⽹技术在⽹络中的⼤量部署，利⽤802.1Q VLAN对⽤户进⾏隔离和标识受到很⼤限制。

因为IEEE802.1Q中定义的VLAN Tag 域只有12个⽐特，仅能表⽰4096个VLAN，⽆法满⾜以太⽹中标识⼤量⽤户的需求，于是QinQ技术应运⽽⽣。

QinQ是通过在原有的802.1Q报⽂的基础上增加⼀层802.1Q标签来实现的，使得VLAN数量增加到4094×4094，扩展了VLAN空间。

随着以太⽹的发展以及精细化运作的要求，QinQ的双层标签⼜有了进⼀步的使⽤场景。

它的内外层标签可以代表不同的信息，如内层标签代表⽤户，外层标签代表业务。

另外，QinQ报⽂带着两层Tag穿越公⽹时，内层Tag透明传送，也是⼀种简单、实⽤的VPN技术。

因此它⼜可以作为核⼼MPLS VPN在以太⽹VPN的延伸，最终形成端到端的VPN技术。

优点：扩展VLAN，对⽤户进⾏隔离和标识不再受到限制。

QinQ内外层标签可以代表不同的信息，如内层标签代表⽤户，外层标签代表业务，更利于业务的部署。

QinQ封装、终结的⽅式很丰富，帮助运营商实现业务精细化运营。

1. 解决⽇益紧缺的公⽹VLAN ID 资源问题2. ⽤户可以规划⾃⼰的私⽹VLNA ID3. 提供⼀种较为简单的⼆层VPN解决⽅案4. 使⽤户⽹络具有较⾼的独⽴性原理描述基本原理： QinQ是指在802.1Q VLAN的基础上增加⼀层802.1Q VLAN标签，从⽽拓展VLAN的使⽤空间。

姓名：项文海部门：质量管理部职位：软件测试EPON-QinQ的实现原理与应用摘要：EPON-QinQ技术（也称Stacked VLAN 或Double VLAN）是指将用户私网VLAN标签封装在公网VLAN标签中，使报文带着两层VLAN标签穿越运营商的骨干网络，在公网中只根据外层VLAN标签传播，私网VLAN标签被屏蔽，这样，不仅对数据流进行了区分，而且由于私网VLAN标签被透明传送，不同的用户VLAN标签可以重复使用，只需要外层VLAN标签的在公网上唯一即可，实际上也扩大了可利用的VLAN标签数量；还具有不同私网用户之间相同VLAN不透传，与公网有效分离，最大限度节省VLAN的特点。

封装外层VLAN标签有两种方法，一种是标准QINQ封装，即基于端口打外层标签的，该端口下所有的用户数据统一封装一个共同的VLAN标签，在实际应用中局限性太大，另外一种是灵活QINQ封装方法，既可以根据一些特性对用户数据进行流分类（VOIP，宽带，IPTV），然后不同的类别封装不同的外层VLAN标签。

关键词：EPON，QinQ，Stacked-VLAN，Double-VLAN，灵活QinQ，一．概述QinQ业务简单的说就是在原有的802.1Q的报文基础上，再增加一个802.1Q 标签头；QinQ又称VLAN堆叠，因为标准vlan id有限（1-4094），通过在原有802.1Q tag标签的之外再增加一个VLAN 标签（4094×4094）。

从而实现私网VLAN可以透传公网达到二层VPN的应用效果。

另一方面它还具有不同私网用户之间相同VLAN不透传，与公网有效分离，最大限度节省VLAN的特点。

外层VLAN标签通常称为Service Provider VLAN(SVLAN)这一层标签可以将内层VLAN标签（也称为Customer VLAN，CVLAN）屏蔽起来，将用户私网VLAN 标签封装在公网VLAN标签中，使报文带着两层VLAN标签穿越运营商的骨干网络，在公网中只根据外层VLAN标签传播，私网VLAN标签被屏蔽，经过服务提供商的网络透明传输，到达边缘交换设备时再去除外层的VLAN标签。

电信公司华为交换机QINQ配置实例电信公司华为交换机QINQ配置实例时下最兴的QINQ，电信公司正在全网改造，这是下一代网络必须的。

QINQ相关东东IP数据网的构架中，使用交换机做为接入设备，采用LAN作为接入方式时，往往应该考虑一个重要的问题就是用户之间的隔离，因为接入到LAN的用户往往处于同一广播域中，用户的通信信息可以被处于同一广播域中的其他用户监听到，影响了网络的安全性。

而且广播域中，大量的广播信息带来的带宽消耗和网络延迟也影响了网络的影响。

VLAN技术的提出实现了LAN接入用户的隔离，不仅提高了安全性，也通过对广播域在细分减少了网络中的广播信息。

VLAN技术就是在逻辑上把一个LAN 划分成逻辑上相互隔离的虚拟网络，VLAN中的各个成员处于统一广播域中，而VLAN间通信必须通过第三层路由。

VLAN的划分方式有很多，常用的包括基于端口的VLAN、基于MAC 的VLAN、基于网络层的VLAN等。

VLAN的技术实现中最常见的采用帧标签的方式，IEEE802.1Q提供了帧标签的标准，在VLAN Tag标签中，包含有VLAN ID是一个12位的域，可以支持4096个VLAN 实例，而User Priority则是一个3位的帧优先级，共有8种优先级。

网络中以太数据帧能够通过VLAN ID和User Priority来区别不同的网络流量。

当前由于交换芯片的限制，许多交换机VLAN范围即同时可配置的基于tag VLAN的ID的范围只能在n~n+512个的范围内。

活动VLAN即指交换机同时可以配置的基于tag VLAN 的个数一般在256个以内。

目前很多运营商要求端到端的安全辨识，希望每个用户一个VLAN，但面临的问题是标准的VLAN资源仅4096个，这就限制了宽带接入网络的组网规模。

比如，将来一个家庭用户将涉及多种业务的接入，除了普通宽带数据业务外，还有语音业务如VoIP、视频业务如IPTV 等。

那么在运营中就需要通过VLAN来区分不同的业务，一个用户就会占用多个VLAN。

qinq原理QINQ原理QINQ（全称为"Quadruple VLAN Tagging"）是一种VLAN（Virtual Local Area Network）扩展技术，它通过在以太网帧中添加额外的VLAN标签来实现多层次的VLAN隔离。

QINQ原理是一种重要的网络技术，本文将详细介绍QINQ原理及其应用。

一、QINQ原理简介QINQ原理基于以太网帧，通过在原有的VLAN标签（802.1Q标签）的基础上添加一个额外的VLAN标签，从而实现多层次的VLAN隔离。

QINQ技术可以将不同的用户流量通过不同的VLAN标签进行区分，提供更灵活的网络配置和管理。

QINQ技术的核心是将用户的数据流量封装在多层次的VLAN标签中，实现更细粒度的隔离和管理。

二、QINQ原理的实现方式QINQ原理的实现方式主要包括两种：S-TAG和C-TAG。

S-TAG （Service VLAN Tag）是在用户数据帧的外层添加的VLAN标签，用于区分用户流量；C-TAG（Customer VLAN Tag）是在用户数据帧的内层添加的VLAN标签，用于区分不同用户的流量。

通过组合S-TAG 和C-TAG，可以实现对用户流量的多层次隔离和管理。

三、QINQ原理的应用场景QINQ技术在现实网络环境中有着广泛的应用，主要包括以下几个方面：1. 大型企业内部网络：QINQ技术可以实现企业内部网络的多层次隔离，不同部门或不同楼层的用户可以通过不同的VLAN标签进行隔离，提高网络的安全性和管理效率。

2. 多租户数据中心：QINQ技术可以实现多个租户在同一个物理网络上的隔离，不同租户的用户可以通过不同的VLAN标签进行隔离，保护租户数据的安全性。

3. ISP网络：QINQ技术可以实现ISP网络中的用户流量隔离，不同用户的流量可以通过不同的VLAN标签进行隔离，提供更灵活的网络服务。

4. 宽带接入网：QINQ技术可以实现宽带接入网中的用户隔离，不同用户的流量可以通过不同的VLAN标签进行隔离，提供更稳定和安全的宽带服务。

一、简单原理介绍QinQ是指将用户私网VLAN Tag封装在公网VLAN Tag中，使报文带着两层VLAN Tag穿越运营商的骨干网络（公网）。

在公网中报文只根据外层VLAN Tag（即公网VLAN Tag）传播，用户的私网VLAN Tag被屏蔽。

带单层VLAN Tag的报文结构如下所示：带双层VLAN Tag的报文结构如下所示：由于QinQ的实现是基于802.1Q协议中的Trunk端口概念，要求隧道上的设备都必须支持802.1Q协议，所以QinQ只适用于小型的、以三层交换机为骨干的企业网或小规模的城域网。

QinQ主要可以解决如下几个问题：（1）、缓解日益紧缺的公网VLAN ID资源问题。

（2）、用户可以规划自己的私网VLAN ID，不会导致和公网VLAN ID冲突。

（3）、为小型城域网或企业网提供一种较为简单的二层VPN解决方案。

二、S8500典型配置实例2.1 组网需求S8500系列交换机作为运营商网络接入设备，即组网图中的Switch C、Switch D；S2000系列交换机为用户网络接入设备，即组网图中的Switch A、Switch B；Switch C与Switch D设备之间通过Trunk端口实现连接，通过配置使能VLAN-VPN TUNNEL功能，从而使用户网络与运营商网络之间实现透明传输。

2.2 组网图2.3 配置命令Switch A的基本配置:#stp enable#vlan 10#interface Ethernet3/8port link-type trunkport trunk permit vlan 1 10 Switch B的基本配置:#stp enable#vlan 10#interface Ethernet0/20 port link-type trunkport trunk permit vlan 1 10 Switch C的基本配置：#stp enable#vlan 10#vlan 20#interface Ethernet3/1/30 stp disableport access vlan 20vlan-vpn enable#interface Ethernet3/1/34 port link-type trunkport trunk permit vlan all #vlan-vpn tunnelSwitch D的基本配置:#stp enable#vlan 10#vlan 20#interface Ethernet4/1/30stp disableport access vlan 20vlan-vpn enable#interface Ethernet4/1/34port link-type trunkport trunk permit vlan all#vlan-vpn tunnel三、正常状态信息查看#查看eth3/8的stp的基本状态，可见，Eth 3/8为STP树在此交换机中的根端口。

GFA-SW-A0主控板QinQ功能配置指导一. 说明GFA6700的主控板分两种：GFA-SW-A0和GFA-SW-B0，通常情况下发货的主控都是A0板卡；B0板卡是定制板卡，支持灵活QinQ功能(根据以太网类型等字段配置QinQ)，只在个别客户处使用。

本文档只对GFA-SW-A0板卡的QinQ功能进行说明。

注意，因为加了4个字节的外层标签，所以最大数据帧大小变成了1526(>1522），所以需要在OLT上打开对超长帧的支持，命令如下：GFA6700(config)#jumbo receive length 1600 （将可接受帧长设置为1600）另外要设置OLT的PON芯片对超长帧的支持，命令如下：GFA6700(config)#pon jumbo length 1596二. 方案1（推荐）：在ONU上实现QinQ前提条件：1）GFA6700需要升级到V1R07B137版本。

2）目前只有GT811_A/GT812_A/GT815三种类型的ONU支持该方案。

优点：1) OLT上不需要做特殊配置，和普通应用下的配置一样。

2) OLT和ONU上对普通VLAN的配置和普通应用一样。

3）QinQ的改造可以逐个ONU进行，改造某个ONU时，对其它ONU没有影响。

缺点：1) OLT上每个PON口只支持一个外层标签，并且PON口必须用untag方式添加到外层标签VLAN中。

2）每个ONU上最多支持8个内层标签3) ONU安装后，在没有进行配置前，用户不能使用默认的VLAN 1上网。

因为用户在VLAN 1内的数据到达OLT上联的BAS设备后，会打上外层VLAN标签（没有内层标签），用户是否可以上网，决定于BAS上的业务配置情况。

配置实例：1) ONU编号为5/1/1，OLT上联口是1/1。

2) ONU上端口1接普通VLAN用户，id号为100；端口2上用户应用QinQ模式，VLAN id号为200。

3) VLAN 100的数据在OLT上按普通VLAN进行转发(向BAS转发的数据带VLAN 100标签)，VLAN 200的数据在OLT上添加VLAN 1000的外层标签。

灵活QinQ实现原理（核⼼交换机配置）1．S3900的灵活QinQ实现原理S3900的灵活QinQ报⽂转发流程如下：⾸先报⽂从下⾏⼝（开启灵活QINQ功能）进⼊，交换机不管报⽂是否带TAG，都会打上值为PVID的外层Tag，并PVID所在的VLAN中进⾏转发，找到出端⼝；然后通过内部ACL根据内层VLAN（c-tag-vlan）值修改外层VLAN ID为配置的值（此处就是灵活QINQ的配置VLAN ID值）。

需要特殊说明的是：需要特殊说明的是⼀、 S3900的灵活QinQ下，为了⽀持上⾏⼝出去带外层Tag，要求下⾏端⼝PVID对应的VLAN在上⾏⼝出去⼀定要带Tag，想要不带Tag则通过重定向去掉Tag的⽅式处理；⼆、下⾏⼝上来的报⽂⾸先带PVID对应的外层VLAN，学习到的MAC地址也是在PVID对应的VLAN中，所以需要配置MAC地址映射，以避免上游下来的下⾏数据在S3900上⼴播。

2．S3900的灵活QinQ配置指导组⽹：说明：S3900的e1/0/1为下⾏⽤户端⼝，g1/1/1，g1/1/2为上⾏端⼝，g1/1/1,g1/1/2为⼀个汇聚组。

Vlan 18为⽹管VLAN，vlan 1538为PPPOE⽤户的外层VLAN，vlan 11为专线vlan，vlan200为除PPPOE业务外需要透传双层标签的业务VLAN；S3900上⽹管vlan接⼝的虚MAC地址为00e0-fc12-3457要求：S8500，S3900，DSLAM/lanswitch的管理VLAN相同，管理地址在同⼀⽹段。

要求管理地址之间可以互通，并且⽹管VLAN，专线，及VPN⽤户数据报⽂要求在S3900上单层VLAN透传。

配置步骤：步骤1：配置普通QinQ上⾏通路在e1/0/1上配置PVID（举例1538）和端⼝类型和使能普通QinQ；同时在上⾏⼝上把VLAN 1538设置成带Tag上⾏，由于两个上⾏⼝配置相同，以下步骤都只列出⼀个上⾏⼝G1/1/1。