qnq что это такое
ИТ База знаний
Полезно
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
Настройка QinQ на оборудовании Mikrotik
Перед тем как говорить о технологии 802.1ad (QinQ) нужно вспомнить о технологии 802.1q. Если коротко, то это технология тегирования трафика, то есть деление его на 2 уровне модели OSI (так как на L3 сеть мы делим уже по маске)
Онлайн курс по Кибербезопасности
Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии
Чем же отличается трафик обычный от тегированного спросите вы? Практически ничем, кроме добавления добавление тега в заголовок фрейма.
Размер такого тега всего 4 байта (32 бита) и он состоит:
Ниже укажу dump трафика вначале обычного 802.1q:
А потом 802.1ad наш QinQ о котором как раз и шла речь:
Как видно из вывода, тип трафика указывается в самом фрейме. (см картинки выше), а далее идёт тег и в случае QinQ ещё один тег.
Практика
А теперь давайте немного попрактикуемся.
Клиенты VPC1 и VPC2 будут находиться в одной подсети, это было сделано для удобства.
Теперь первый Mikrotik, который будет отвечать за access и trunk порты
Mikrotik4 конфигурируется точно по такой же логике
Теперь самое интересное: Mikrotik2
Mikrotik3
Я указал только простую настройку для понимания настройки его на оборудовании Mikrotik. Не стал копать глубоко и указывать что и зачем каждый заголовок значит, так как моей задачей было указать основную настройку оборудования и по какой логике работает Q-in-Q, и с этой задачей я справился. Удачи!
Онлайн курс по Кибербезопасности
Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии
03. Selective QinQ
3.2 Конфигурация Selective QinQ
1. Настройка соответствия между внутренним и внешним тэгом на порту коммутатора;>
2. Включение Selective QinQ на порту коммутатора.
1. Настройка правил сопоставления внешнего тэга внутреннему;
Команда
Описание
dot1q-tunnel selective s-vlan c-vlan
no dot1q-tunnel selective s-vlan c-vlan
! В режиме конфигурации интерфейса
Применение правила сопоставления внешнего тега внутреннему(внутренним)
Удаление правила сопоставления внешнего тега внутреннему(внутренним)
2. Включение функции Selective QinQ.
Команда
Описание
dot1q-tunnel selective enable
no dot1q-tunnel selective enable
! В режиме конфигурации порта
Включить на интерфейсе функцию dot1q-tunnel selective
Выключить на интерфейсе функцию dot1q-tunnel selective
3.3 Пример применения Selective QinQ
Порт Ethernet 1/0/1 коммутатора “Switch A” предоставляет доступ в публичную сеть пользователям PC, а Ethernet 1/0/2 коммутатора “Switch A” предоставляет доступ в публичную сеть пользователям IP-телефонии. Пользователи PC используют VLAN из диапазона от 100 до 200, а пользователи IP-телефонии используют VLAN из диапазона от 201 до 300. Ethernet 1/0/9 подключен к публичной сети.
Ethernet 1/0/1 и Ethernet 1/0/2 коммутатора “Switch B” предоставляют доступ в публичную сеть для пользователей PC в диапазоне VLAN от 100 до 200, и пользователям IP-телефонии в диапазоне VLAN от 201 до 300 соответственно. Ethernet 1/0/9 подключен к публичной сети.
Публичная сеть пропускает пакеты VLAN 1000 и VLAN 2000.
Selective QinQ включен на портах Ethernet 1/0/1 и Ethernet 1/0/2 коммутатора “Switch A” и коммутатора “Switch B” соответственно. К пакетам во VLAN из диапазона от 100 до 200 добавляется внешний тэг 1000, а к пакетам во VLAN из диапазона от 201 до 300 добавляется внешний тэг 2000.
Настройка может быть разбита на следующие шаги:
# Создать VLAN 1000 и VLAN 2000 на коммутаторе “Switch A”.
# Настроить Ethernet1/0/1 в режим Hybrid и настроить его для снятия тэга при передаче пакета VLAN 1000.
# Настроить правило сопоставления selective QinQ на Ehernet1/0/1 для добавления тэга VLAN 1000 как внешней метки в пакетах с тэгами из диапазона VLAN от 100 до 200.
# Включить selective QinQ на Ethernet1/0/1.
# Настроить порт Ethernet 1/0/2 в режим Hybrid, настроить его для удаления тэга VLAN при приеме пакета с тэгом VLAN 2000.
# Настроить правило сопоставления selective QinQ на Ehernet1/0/2 для добавления тэга VLAN 2000 как внешней метки в пакетах с тэгами из диапазона VLAN от 201 до 300.
# Включить selective QinQ на Ethernet1/0/2.
# Настроить порт Ethernet 1/0/9 в режим Hybrid, настроить его для удаления тэга VLAN при приеме пакета с тэгом VLAN 1000 и VLAN 2000.
После настройки коммутатора “Switch A” пакеты с VLAN из диапазона от 100 до 200 из порта Ethernet1/0/1 будут автоматически тегироваться VLAN 1000 в качестве внешней метки, пакеты с VLAN из диапазона от 200 до 301 из порта Ethernet1/0/1 будут автоматически тегироваться VLAN 2000 в качестве внешней метки.
Конфигурация коммутатора “Switch B” похожа на конфигурацию коммутатора “Switch A” и выглядит следующим образом:
3.4. Решение проблем при настройке Selective QinQ
Функции Selective QinQ и dot1q-tunnel не должны настраиваться одновременно на одном и том же порту.
Виртуальные локальные сети (VLAN)
Q-in-Q VLAN
Формат кадра Q-in-Q
На рис. 6.18 изображены форматы обычного кадра Ethernet, кадра Ethernet с тегом 802.1Q, кадра Ethernet с двумя тегами 802.1Q.
Реализации Q-in-Q
Существует две реализации функции Q-in-Q: Port-based Q-in-Q и Selective Q-in-Q. Функция Port-based Q-in-Q по умолчанию присваивает любому кадру, поступившему на порт доступа граничного коммутатора провайдера, идентификатор SP-VLAN, равный идентификатору PVID порта. Порт маркирует кадр независимо от того, является он маркированным или немаркированным. При поступлении маркированного кадра в него добавляется второй тег с идентификатором, равным SP-VLAN. Если на порт пришел немаркированный кадр, в него добавляется только тег с SP-VLAN порта.
Функция Selective Q-in-Q является более гибкой по сравнению с Port-based Q-in-Q. Она позволяет:
Значения TPID в кадрах Q-in-Q
В теге VLAN имеется поле идентификатора протокола тега (TPID, Tag Protocol IDentifier), который определяет тип протокола тега. По умолчанию значение этого поля для стандарта IEEE 802.1Q равно 0x8100.
На устройствах разных производителей TPID внешнего тега VLAN кадров Q-in-Q может иметь разные значения по умолчанию. Для того чтобы кадры Q-in-Q могли передаваться по общедоступным сетям через устройства разных производителей, рекомендуется использовать значение TPID внешнего тега равное 0x88A8, согласно стандарту IEEE 802.1ad.
Роли портов в Port-based Q-in-Q и Selective Q-in-Q
Все порты граничного коммутатора, на котором используются функции Port-based Q-in-Q или Selective Q-in-Q, должны быть настроены как порты доступа (UNI) или Uplink-порты (NNI):
Политики назначения внешнего тега и приоритета в Q-in-Q
Базовая архитектура сети с функцией Port-based Q-in-Q
Русские Блоги
Основы QinQ
Введение в QinQ
определение:
В связи с массовым развертыванием технологии Ethernet в сети использование 802.1Q VLAN для изоляции и идентификации пользователей значительно ограничено. Поскольку поле тега VLAN, определенное в IEEE802.1Q, имеет только 12 бит и может представлять только 4096 VLAN, оно не может удовлетворить потребности в идентификации большого количества пользователей в Ethernet, поэтому появилась технология QinQ.
QinQ реализуется путем добавления уровня тегов 802.1Q на основе исходных пакетов 802.1Q, что увеличивает количество VLAN до 4094 × 4094, что расширяет пространство VLAN.
преимущество:
QinQ имеет широкий спектр методов инкапсуляции и завершения, помогая операторам добиваться оптимальных бизнес-операций.
Описание принципа
Фундаментальные:
QinQ относится к добавлению уровня тега 802.1Q VLAN на основе 802.1Q VLAN, тем самым расширяя пространство использования VLAN. В процессе передачи по общедоступной сети устройство пересылает сообщение только в соответствии с тегом внешней VLAN и изучает MAC-адрес в соответствии с тегом внешней VLAN сообщения, а тег VLAN частной сети пользователя будет рассматриваться как часть данных сообщения. передача инфекции.
Сообщение QinQ:
Сообщения QinQ имеют фиксированный формат, то есть метка 802.1Q добавляется к метке 802.1Q. Сообщения QinQ имеют на четыре байта больше, чем сообщения 802.1Q.
Рисунок; Формат кадра QinQ
Объяснение поля:
| поле | длина | смысл |
|---|---|---|
| Destination address | 6 байтов | MAC-адрес назначения. |
| Source address | 6 байтов | MAC-адрес источника. |
| Type | 2 байта | Длина составляет 2 байта, что указывает на тип кадра. Когда значение равно 0x8100, это указывает на кадр тега 802.1Q. Если устройство, не поддерживающее 802.1Q, получит такой кадр, оно отбросит его. Для внутреннего тега VLAN устанавливается значение 0x8100;Для внешнего тега VLAN существуют следующие типы: 0x8100: 0x88A8 для маршрутизаторов Cisco: 0x9100 для коммутаторов Extreme Networks: 0x9100 для маршрутизаторов Juniper: 0x9200 для нескольких маршрутизаторов |
| PRI | 3 бита | Приоритет длиной 3 бита указывает приоритет кадра в диапазоне от 0 до 7. Чем больше значение, тем выше приоритет. Используется, когда коммутатор заблокирован, приоритет отдается отправке пакетов с более высоким приоритетом. |
| CFI | 1 бит | CFI (индикатор канонического формата), длина составляет 1 бит, что указывает на то, имеет ли MAC-адрес классический формат. CFI, равный 0, указывает на классический формат, а CFI, равный 1, указывает на неклассический формат. Используется для различения кадров Ethernet, кадров FDDI (волоконно-распределенного цифрового интерфейса) и кадров сети Token Ring. В Ethernet значение CFI равно 0. |
| VID | 12 бит | Идентификатор LAN длиной 12 бит указывает VLAN, к которой принадлежит кадр. В VRP настраиваемый идентификатор VLAN находится в диапазоне от 1 до 4094. |
| Length/Type | 2 байта | Относится к байтовой длине последующих данных, но не включает контрольный код CRC. |
| Data | 42 |
1500 байт
Пример сообщения:
Рис.: Пример захвата пакета QinQ
Пакет QinQ:
Инкапсуляция QinQ относится к тому, как преобразовать однослойное Q-сообщение в двухуровневое Q-сообщение.
По разным данным пакета QinQ можно разделить на несколько разных типов, включая базовый QinQ и гибкий QinQ. Базовый QinQ относится к QinQ на основе интерфейса, а гибкий QinQ включает QinQ на основе идентификатора VLAN и QinQ на основе приоритета 802.1p, а именно:
Интерфейсная упаковка QinQ
Инкапсуляция на основе интерфейса означает, что весь трафик, входящий в интерфейс, инкапсулируется с помощью одного и того же внешнего тега VLAN. Метод инкапсуляции недостаточно гибок, а различия в пользовательских услугах недостаточно подробно описаны. Этот метод инкапсуляции также называется базовым QinQ.
Инкапсуляция QinQ на основе идентификатора VLAN (гибкий QinQ)
Инкапсуляция QinQ на основе идентификатора VLAN позволяет выбирать, инкапсулировать ли внешние теги и какие внешние теги инкапсулировать для различных потоков данных.Поэтому этот метод инкапсуляции также называется гибким QinQ.
Например: когда разные службы одного пользователя используют разные идентификаторы VLAN, трафик можно разделить в соответствии с интервалом идентификатора VLAN. Предположим, что диапазон идентификаторов VLAN для ПК для выхода в Интернет составляет 101-200; диапазон идентификаторов VLAN для IPTV составляет 201-300; диапазон идентификаторов VLAN для VoIP составляет 301-400. В соответствии с диапазоном идентификаторов VLAN, внешний тег 100 инкапсулируется для Интернет-услуг ПК, внешний тег 300 инкапсулируется для IPTV, а внешний тег 500 инкапсулируется для VoIP.
Инкапсуляция QinQ на основе приоритета 802.1p (гибкий QinQ на основе потоков)
Инкапсуляция QinQ на основе приоритета 802.1p позволяет выбирать, следует ли инкапсулировать внешние теги и какие внешние теги инкапсулировать для потоков данных с разными приоритетами.Поэтому этот метод инкапсуляции также называется гибким QinQ.
Например: когда разные службы одного и того же пользователя используют разные приоритеты, такие как голос, видео, данные и т. Д. Для этих услуг могут быть установлены разные каналы передачи данных в соответствии с их приоритетами, чтобы облегчить различие между услугами.
Реализация QinQ:
QinQ можно реализовать двумя способами:
Благодаря использованию гибкой технологии QinQ, будучи способным изолировать сети операторов и пользователей, он также может предоставлять богатые сервисные функции и более гибкие сетевые возможности.
Подинтерфейс завершения QinQ / Dot1q:
Завершение в основном означает, что устройство распознает одноуровневые или двухуровневые теги пакета, а затем удаляет или продолжает передавать одноуровневые или двухуровневые теги в соответствии с последующим поведением пересылки.
Завершение обычно выполняется на субинтерфейсе маршрутизации, то есть субинтерфейсе завершения.
Когда технология QinQ подключена к базовой сети MPLS / IP, будут использоваться разные методы завершения в зависимости от различных ситуаций.
нота:
Субинтерфейс завершения Dot1q и субинтерфейс завершения QinQ не поддерживают прозрачную передачу пакетов без VLAN, и пакеты без VLAN будут напрямую отбрасываться.
Базовый QinQ:
Базовый QinQ реализован на основе метода интерфейса. После включения базовой функции QinQ интерфейса, когда интерфейс получает пакет, устройство помечает пакет настроенным внешним тегом. Если полученный пакет уже помечен тегом VLAN, добавьте к нему тег внешнего VLAN; если полученный пакет не имеет тега VLAN, сначала добавьте к нему тег внутреннего VLAN, а затем добавьте Верхний внешний тег.
Гибкий QinQ:
Гибкая функция QinQ является расширением базовой функции QinQ, которая более гибкая, чем базовая функция QinQ. Основные различия между ними:
TPID(Tag Protocol Identifier):
Тег VLAN кадра Ethernet, определенный протоколом IEEE802.1Q. Тег 802.1Q расположен между SA (адрес источника) и длиной / типом. Проверяя соответствующее значение TPID, устройство может определить, содержит ли полученный кадр тег VLAN оператора или тег VLAN пользователя. После получения кадра устройство сравнивает настроенное значение TPID со значением поля TPID в кадре. Если они совпадают, кадр содержит соответствующий тег VLAN. Например, если кадр содержит тег VLAN со значением TPID 0x8100, а значение TPID тега VLAN пользовательской сети настроено как 0x8200, устройство будет считать, что кадр не имеет тега VLAN пользователя. Другими словами, устройство считает этот кадр нетегированным пакетом.
Кроме того, системы разных операторов могут устанавливать для TPID тега внешней VLAN кадра QinQ разные значения. Для достижения совместимости с этими системами значение TPID можно изменить так, чтобы при отправке кадра QinQ в сеть общего пользования он имел то же значение TPID, что и конкретный оператор, тем самым достигая взаимодействия с оборудованием оператора. TPID кадра Ethernet имеет ту же позицию, что и поле типа протокола кадра без тега VLAN. Чтобы избежать проблем при пересылке и обработке пакетов данных в сети, значение TPID не может быть установлено в любое значение в следующей таблице:
Таблица описания типа протокола и соответствующего значения:
| тип соглашения | Соответствующее значение |
|---|---|
| ARP | 0x0806 |
| RARP | 0x8035 |
| IP | 0x0800 |
| IPv6 | 0x86DD |
| PPPoE | 0x8863/0x8864 |
| MPLS | 0x8847/0x8848 |
| IPX/SPX | 0x8137 |
| LACP | 0x8809 |
| 802.1x | 0x888E |
| HGMP | 0x88A7 |
| Бронирование оборудования | 0xFFFD/0xFFFE/0xFFFF |
Конфигурация QinQ
Настройте базовый QinQ (уровень 2):
Как показано на рисунке ниже, путем настройки базового QinQ осуществляется передача клиентской сети в сети оператора.
Рис.: Базовая топология конфигурации QinQ
Файл конфигурации:
LSW1 и LSW4 имеют одинаковую конфигурацию:
LSW3 и LSW4 имеют одинаковую конфигурацию:
Гибкая конфигурация QinQ (уровень 2):
Топология такая же, как указано выше, а конфигурация LSW1 и LSW4 такая же, как и выше.
Конфигурация LSW2 и LSW3 следующая:
Примечание:
Интеллектуальная рекомендация
[MyBatis] О кеше
Уровень 1 кеш (локальный кеш) По умолчанию он всегда включен. Он действителен после запроса из Mapper и помещения в локальный. Он действителен в сеансе. Например, объект 01 отправляет sql, объект 02 т.
Учебка летакода: классификация цвета
Spring Framework IOC контейнер и анализ АОП
Базовая структура Spring в основном включает шесть модулей: DAO, ORM, AOP, JEE, WEB, CORE. Spring DAO: Spring обеспечивает поддержку операций для JDBC: класс инструментальных шаблонов JdbcTempl.
Базовый обзор веб-интерфейса_day07_JavaScript advanced
Расширенный JavaScript JavaScript = ECMAScript + BOM + DOM; 1. Объект спецификации Объектная модель браузера. Объектная модель браузера; Доступ и управление различными компонентами браузера для предос.
Использование pthread_join () и pthread_detach () для многопоточности
Потоки делятся на присоединяемые и несоединяемые. Ассоциируемый поток может быть освобожден и уничтожен другими потоками. Отдельный поток не может быть уничтожен или восстановлен другими потоками. Про.
Qnq что это такое
Q-in-Q, так же это называют dot1q tunneling, это система двойного тегирования вланов. То есть, допустим у нас есть канал на некую техплощадку, на которой подключены клиенты, клиенты должны быть изолированы друг от друга с помощью vlan, но транспорт не позволяет обеспечить нужное количество вланов на каждого клиента, а владельцы транспорта дают один влан и как говорится крутись как хочешь. Вот для таких случаев замечательно подходит dot1q тунелирование, когда внутрь одного влана на входе упаковываются вланы, а на выходе транспорта распаковываются. Остается добавить, что не все виды коммутаторов поддерживают Q-in-Q, среди коммутаторов Cisco поддерживают Q-in-Q 35хх, 37xx, 45xx. Среди продуктов D-Link поддерживает Des-3825, тут Q-in-Q называется Double Vlan. И все коммутаторы производства ExtremeNetworks, они называют эту технологию vMan.
Схема коммутации для создания Q-in-Q будет выглядеть так: 
На сервере (он является маршрутизатором для клиентов) терминируются все клиентские вланы(11,12, 13, 14, 15), порт GigabitEthernet 1/0/1 Switch 1, находится в режиме транка, и имеет такую конфигурацию:
Порт GigabitEthernet1/0/2 соенденен со Switch 2 порт GigabitEthernet1/0/1, нужно это для того, что бы отдать пакеты в порт который будет заворачивать весь трафик в Q-in-Q и имеет такую конфигурацию:
Порт Switch2 GigabitEthernet1/0/1 находится в режиме Q-in-Q, то есть все приходящие пакеты инкапсулирует во влан 10, и для всех устройств находящихся далее по цепочке виден только один влан, в нашем случае влан 10. А конфигурация порта GigabitEthernet1/0/1 на втором свитче будет такая:
Теперь все приходящее на этот порт будет упаковываться внутрь 10-го влана и соответственно выходить через порт GigabitEthernet1/0/28, его настройки будут такие:
Далее идет оборудование компании предоставляющей транспорт до нашей техплощадки, на схеме это все оборудование обозначено как некое облако, о содержимом которого мы ничего не знаем, да и знать нам не надо.
На удаленной техплощадке наш влан приходит в порт GigabitEthernet1/0/28 Switch3 с конфигурацией идентичной настроенной на Switch 2 порт GigabitEthernet1/0/28.
Трафик приходит на порт GigabitEthernet1/0/28 Switch3 имеющий двойной тег, то есть Q-in-Qшный, теперь его надо распаковать, соответственно порт GigabitEthernet1/0/1 находится в режиме Q-in-Q. Настройки его такие:
Остался последний свитч Switch4, в который и включаются все клиенты. Со Switch3 он соенденен через порт GigabitEthernet1/0/1 со своей стороны и в GigabitEthernet1/0/1 на Switch3.
Настройки GigabitEthernet1/0/1 на Switch4 такие:
interface GigabitEthernet1/0/1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 11-15 switchport mode trunk speed nonegotiate no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable
А настройки клиентских портов будут, для первого клиента во влан 11, порт GigabitEthernet1/0/2:
второго, подключенного в GigabitEthernet1/0/3, и ходящего по 12 влану, такие:
Ну и так далее, идентично для остальных клиентов.
На этом настройка закончена. Остается только добавить, что схему можно немного упростить физически, построив ее на основе 2 свичей вместо 4-х, для этого необходимо соорудить так называемый Q-in-Q Loop. Об этом я расскажу несколько позднее. И совсем необязательно применять для терминации клиентов равнозначные свитчи, им хватит и свитча попроще, но Q-in-Q прийдется строить все равно на базе как минимум Cisco Catalyst 35xx. Причем функция Q-in-Q в них не документирована, но работает.
> но Q-in-Q прийдется строить все равно на базе
> как минимум Cisco Catalyst 35xx. Причем функция
> Q-in-Q в них не документирована, но работает
By Nickolay, 22.12.2009 @ 10:18
Отличная статья, просто без воды на живом примере — автору респект
У меня под управлением сейчас есть толькл 29XX и 37ХХ, проверить не могу. Поэтому и достоверно ответить не могу. А на предыдущей работе строил на 35-й, только вот на какой модели и с каким IOS не помню.
By Андрей, 30.12.2009 @ 19:35
>>Далее идет оборудование компании предоставляющей транспорт до нашей техплощадки, на схеме это все оборудование обозначено как некое облако, о содержимом которого мы ничего не знаем, да и знать нам не надо.
Тут сомнительно по-моему. Надо понимать что из себя представляет сеть оператора. Через EoMPLS вроде должно работать http://ccie-in-3-months.blogspot.com/2009/05/configuring-8021q-tunnels-over-vlan.html
Еще пишут люди что mtu надо увеличивать на 4 байта.
switch(config)#system mtu 1504
Честно говоря у меня в системе везде jumbo фреймы включены.