宽带清查：QinQ配置方法参考

QinQ配置方法参考
一、QinQ原理介绍
QinQ是指将用户私网VLAN Tag封装在公网VLAN Tag中，使报文带着两层VLAN Tag穿越运营商的骨干网络（公网）。

在公网中报文只根据外层VLAN Tag（即公网VLAN Tag）传播，用户的私网VLAN Tag被屏蔽。

带单层VLAN Tag的报文结构如下所示：
D S D
(0~1500B)FC
A (6B)
A
(6B)
E TYP E(8100)
(2B)
用户VL AN TAG
(2B)
E TYP E
(2B)
ATA S
(4B)图1-1带用户VLAN Tag的报文
带双层VLAN Tag的报文结构如下所示：
图1-2封装了外层VLAN Tag的报文
由于QinQ的实现是基于802.1Q协议中的Trunk端口概念，要求隧道上的设备都必须支持802.1Q协议，所以QinQ只适用于小型的、以三层交换机为骨干的企业网或小规模的城域网。

QinQ主要可以解决如下几个问题：
●缓解日益紧缺的公网VLAN ID资源问题；
●用户可以规划自己的私网VLAN ID，不会导致和公网VLAN ID冲突；
●为小型城域网或企业网提供一种较为简单的二层VPN解决方案。

二、QinQ的实现方式
华为系列路由交换机通过以下两种方式实现QinQ：
（1）开启端口的VLAN VPN特性功能
开启端口的VLAN VPN功能后，当该端口接收到报文，无论报文是否带有VLAN Tag，交换机都会为该报文打上本端口缺省VLAN的VLAN Tag。

这样，如果接收到的是已经带有VLAN Tag的报文，该报文就成为双Tag的报文；如果接收到的是Untagged的报文，该报文就成为带有端口缺省VLAN Tag的报文。

（2）配置基于流分类的Nested VLAN
基于流分类的Nested VLAN特性是对QinQ的一种更灵活的实现，即通常所说的灵活QinQ。

用户可以对端口下匹配特定ACL流规则的报文进行如下操作：
●设置报文的外层VLAN Tag
●修改报文的外层VLAN Tag
三、QinQ配置举例
图1-3配置实例网络拓扑图
如图说明：Dslam1的用户VLAN100～199，在S8505下行口打上VLAN1000的外层VLAN；Dslam2的用户VLAN200～299，在LanSwitch下行口打上VALN2000的外层VLAN；Dslam设备的管理NMS VLAN 999，网管VLAN的外层VLAN假设在S8505上为VLAN 1999。

3.1 DSLAM的配置
华为的Dslam设备包括：MA5100、MA5103、MA5105、MA5600、UA5000等等，设备类型的不同配置命令也不同，请根据不同设备命令进行配置，使得每条PVC对应一个VLAN，包括网管VLAN和用户VLAN。

可以使用show pvc all命令查看配置情况。

3.2 LanSwitch配置普通QINQ
华为部分交换机不支持灵活QinQ，此部分配置主要是针对中低端交换机的QinQ部署。

1）全局下配置外层VLAN
[LanSwitch]vlan 2000
2）与Dslam互联的下行口配置
[LanSwitch]interfase GigabitEthernet x/y/z
//进入与Dslam互联的下行口
[LanSwitch- GigabitEthernet x/y/z]description To Dslam_X_Y_Z
//端口描述。

根据实际情况进行描述
[LanSwitch- GigabitEthernet x/y/z] speed 1000
[LanSwitch- GigabitEthernet x/y/z] duplex full
//对端口进行强制
[LanSwitch- GigabitEthernet x/y/z]vlan-vpn enable
//开启端口QinQ特性
[LanSwitch- GigabitEthernet x/y/z]port access vlan 2000
//配置端口外层VLAN TAG
3）配置与BRAS互联的上行口
[LanSwitch]interfase GigabitEthernet x/y/z
//进入与BRAS互联的上行口
[LanSwitch- GigabitEthernet x/y/z]description To BRAS_X_Y_Z
//端口描述。

根据实际情况进行描述
[LanSwitch- GigabitEthernet x/y/z] speed 1000
[LanSwitch- GigabitEthernet x/y/z] duplex full
//对端口进行强制
[LanSwitch- GigabitEthernet x/y/z]port link-type trunk
[LanSwitch- GigabitEthernet x/y/z]undo port trunk permit vlan 1
[LanSwitch- GigabitEthernet x/y/z]port trunk permit vlan 2000
//对VLAN报文透传到BARS
BARS与LanSwitch互联上QinQ配置
Dslam上NMS VLAN和用户VLAN相当于两种业务，由于中低端交换机不支持灵活QinQ，交换机上的普通QinQ无法对这两种业务进行区分，必须在BARS上进行区分
1）配置与LanSwitch互联的下行口
[BRAS]interfase GigabitEthernet x/y/z
//进入与LanSwitch互联的下行口
[BRAS - GigabitEthernet x/y/z]description To LanSwitch_X_Y_Z
//端口描述。

根据实际情况进行描述
[BRAS - GigabitEthernet x/y/z] speed 1000
[BRAS - GigabitEthernet x/y/z] duplex full
//对端口进行强制
2）在与LanSwitch互联的下行口配置QINQ，终结用户VLAN
[BRAS] interfase GigabitEthernet x/y/z.2000
[BRAS - GigabitEthernet x/y/z.1000] description To LanSwitch_X_Y_Z
[BRAS - GigabitEthernet x/y/z.1000]qinq-vlan 2000
//配置网络侧QinQ VLAN即外层VLAN
[BRAS - GigabitEthernet x/y/z.1000]user-vlan 200 299
//配置用户侧QinQ VLAN即内层VLAN
[BRAS - GigabitEthernet x/y/z.1000]bas
[BRAS - GigabitEthernet x/y/z.1000-bas]。

//配置正确的用户接入类型的认证方式，根据实际情况配置不同
3）在与LanSwitch互联的下行口配置QINQ，终结网管VLAN
[BRAS] interfase GigabitEthernet x/y/z.999
[BRAS - GigabitEthernet x/y/z.999]description To LanSwitch_X_Y_Z
[BRAS - GigabitEthernet x/y/z.999]qinq-vlan 2000
[BRAS - GigabitEthernet x/y/z.999]user-vlan 999
//配置终结的网管VLAN
[BRAS - GigabitEthernet x/y/z.1000]bas
[BRAS - GigabitEthernet x/y/z.1000-bas]。

//需要按照静态用户业务的配置方式在全局和子接口下进行配置
3.3 S8505配置灵活QINQ
华为S8505交换机支持配置灵活QinQ，但需要特别类型的单板：
Release1600系列目前只有LSB1GP24D、LSB1GT24D、LSB1GV48D 单板支持traffic-redirect { nested-vlan | modified-vlan }命令；
Release1200系列目前只有后缀为DB 或者DC 的单板支持traffic-redirect { nested-vlan | modified-vlan }命令；
使用display version查看软件版本，display device查看单板型号。

1）全局下配置外层VLAN
[S8505]vlan 1000
[S8505]vlan 1999
2）配置流模板
[S8505]flow-template user-defined slot X s-tag-vlan
//定义了流分类采用报文携带的最外层VLAN ID，其中的X表示与Dslam互联的端
口所在单板槽位
3）配置报文ACL流规则
[S8505]acl number 3000
[S8505-acl-link-3000]rule 10 permit s-tag-vlan 100 to 199 ingress any egress any
[S8505-acl-link-3000]rule 20 permit s-tag-vlan 999 ingress any egress any
[S8505-acl-link-3000]rule 100 deny any
//配置tag是100～199、999的报文从上行口出去时打上外层VLAN TAG 4）与Dslam互联的下行口配置
[S8505]interfase GigabitEthernet x/y/z
//进入与Dslam互联的下行口
[S8505- GigabitEthernet x/y/z]description To Dslam_X_Y_Z
//端口描述。

根据实际情况进行描述
[S8505- GigabitEthernet x/y/z] speed 1000
[S8505- GigabitEthernet x/y/z] duplex full
//对端口进行强制
[S8505- GigabitEthernet x/y/z]port link-type hybrid
[S8505- GigabitEthernet x/y/z]port hybrid permit vlan 999 tagged
[S8505- GigabitEthernet x/y/z]port hybrid permit vlan 1000 1999 untagged
//允许VLAN1000和VLAN1999通过，下行口上外层VLAN需配成untagged
[S8505- GigabitEthernet x/y/z] vlan filter disable
//关闭VLAN过滤功能
[S8505- GigabitEthernet x/y/z] flow-template user-defined
//应用流模板
[S8505-GigabitEthernet x/y/z]traffic-redirect inbound link-group 3000 rule 10 system-index 1 nested-vlan 1000
//端口下下发流分类规则
5）配置与BRAS互联的上行口
[S8505]interfase GigabitEthernet x/y/z
//进入与BRAS互联的上行口
[S8505- GigabitEthernet x/y/z]description To BRAS_X_Y_Z
//端口描述。

根据实际情况进行描述
[S8505- GigabitEthernet x/y/z] speed 1000
[S8505- GigabitEthernet x/y/z] duplex full
//对端口进行强制
[S8505- GigabitEthernet x/y/z]port link-type trunk
[S8505- GigabitEthernet x/y/z]undo port trunk permit vlan 1
[S8505- GigabitEthernet x/y/z]port trunk permit vlan 1000 999
//对VLAN报文透传到BARS
6）如果S8505的业务单板为B类板，升级软件版本后支持灵活QinQ，不支持traffic-redirect { nested-vlan | modified-vlan }命令，需要修改S8505与Dslam互联的
下行口配置
[S8505- GigabitEthernet x/y/z]port link-type hybrid
[S8505- GigabitEthernet x/y/z] port hybrid vlan 999 tagged
[S8505- GigabitEthernet x/y/z]port hybrid vlan 1000 untagged
[S8505- GigabitEthernet x/y/z]port hybrid pvid vlan 1999
[S8505- GigabitEthernet x/y/z]vlan-vpn enable
[S8505- GigabitEthernet x/y/z]vlan filter disable
[S8505- GigabitEthernet x/y/z]traffic-redirect inbound link-group 4010 rule 10 system-index 1 internet GigabitEthernet x/y/z 1000
BARS与S8505互联上QinQ配置
以BARS设备华为MA5200G，软件版本V3R2为例。

不同的版本配置命令和功能有些区别，需要参考MA5200G的操作手册和命令手册。

1）配置与S8505互联的下行口
[BRAS]interfase GigabitEthernet x/y/z
//进入与S8505互联的下行口
[BRAS - GigabitEthernet x/y/z]description To S8505_X_Y_Z
//端口描述。

根据实际情况进行描述
[BRAS - GigabitEthernet x/y/z] speed 1000
[BRAS - GigabitEthernet x/y/z] duplex full
//对端口进行强制
2）在与S8505互联的下行口配置QINQ，终结用户VLAN
[BRAS] interfase GigabitEthernet x/y/z.1000
[BRAS - GigabitEthernet x/y/z.1000] description To S8505_X_Y_Z
[BRAS - GigabitEthernet x/y/z.1000]qinq-vlan 1000
//配置网络侧QinQ VLAN即外层VLAN
[BRAS - GigabitEthernet x/y/z.1000]user-vlan 100 199
//配置用户侧QinQ VLAN即内层VLAN
[BRAS - GigabitEthernet x/y/z.1000]bas
[BRAS - GigabitEthernet x/y/z.1000-bas]。

//配置正确的用户接入类型的认证方式，根据实际情况配置不同
3）在与S8505互联的下行口配置QINQ，终结网管VLAN
[BRAS] interfase GigabitEthernet x/y/z.999
[BRAS - GigabitEthernet x/y/z.999] description To S8505_X_Y_Z
[BRAS - GigabitEthernet x/y/z.999]vlan-type dot1q vid 999
//配置终结的网管VLAN
[BRAS - GigabitEthernet x/y/z.999]ip address x.x.x.x y.y.y.y
//配置Dslam设备网管的网关
四、注意事项
1、交换机S8505不是所有的业务单板都支持灵活QinQ，其中D类单板支持，B类、C
类需要将软件版本升级至Release1640或更高版本后支持；
2、中低端交换机不支持灵活QinQ，有些型号过低的交换机同样不支持普通QinQ；
3、BARS设备如MA5200G在子接口下配置qinq-vlan时，V3版本每个子接口只能配一
个VLAN，同一接口的不同子接口配置的qinq-vlan不能重复，MA5200G版本V3
23XX及后续版本可以重复；V5版本每个子接口可以配置多个qinq-vlan。

从V3
升级到V5，MA5200G所有QinQ配置都需要重新配置；
4、交换机双上行至BARS设备的情况配置类似。

5、灵活QINQ根据流分类实现PSPUPV，对多种业务实施不同承载的方案。