Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de tunelamento Q-in-Q e tunelamento Q-in-Q VLAN e tradução de VLAN

Entender o tunelamento Q-in-Q e a tradução de VLAN

O tunelamento Q-in-Q e a tradução de VLAN permitem que provedores de serviços criem uma conexão Ethernet de Camada 2 entre dois sites de clientes. Os provedores podem segregar o tráfego VLAN de diferentes clientes em um link (por exemplo, se os clientes usarem IDs VLAN sobrepostos) ou empacotar VLANs de clientes diferentes em um único VLAN de serviço. Os data centers podem usar o tunelamento Q-in-Q e a tradução de VLAN para isolar o tráfego do cliente em um único site ou permitir fluxos de tráfego do cliente entre data centers de nuvem em diferentes locais geográficos.

Usando o tunelamento Q-in-Q, os provedores podem segregar ou empacotar o tráfego de clientes em menos VLANs ou VLANs diferentes adicionando outra camada de etiquetas 802.1Q. O tunelamento Q-in-Q é útil quando os clientes têm IDs VLAN sobrepostos, porque as etiquetas VLAN 802.1Q (dot1Q) do cliente são preparadas pela tag VLAN (S-VLAN) de serviço. A implementação do sistema operacional Junos OS (Junos OS) da Juniper Networks oferece suporte ao padrão IEEE 802.1ad.

Este tópico descreve:

Como funciona o tunelamento Q-in-Q

No tunelamento Q-in-Q, enquanto um pacote viaja de um VLAN (C-VLAN) para um VLAN de um provedor de serviços, uma tag 802.1Q específica para o cliente é adicionada ao pacote. Essa tag adicional é usada para segregar o tráfego em VLANs de serviços definidas por provedores de serviços (S-VLANs). A tag 802.1Q do cliente original do pacote permanece e é transmitida de forma transparente, passando pela rede do provedor de serviços. Conforme o pacote deixa o S-VLAN na direção downstream, a tag extra de 802.1Q é removida.

Nota:

Todas as VLANs em uma implementação podem ser VLANs de serviço. Ou seja, se o número total de VLANs suportadas for de 4090, todas elas podem ser VLANs de serviço.

Quando o tunelamento Q-in-Q é habilitado nos switches Ethernet da Série EX da Juniper Networks, as interfaces de tronco são assumidas como parte da rede do provedor de serviços e as interfaces de acesso são assumidas como voltadas para o cliente. Uma interface de acesso pode receber quadros marcados e não registrados neste caso.

Nota:

A partir do Junos OS 14.1X53-D30, você pode configurar a mesma interface para ser uma interface S-VLAN/NNI e uma interface C-VLAN/UNI. Isso significa que a mesma interface física pode transmitir quadros de marcação única e dupla marcação simultaneamente. Isso permite o máximo de flexibilidade em sua topologia de rede e permite maximizar o uso de suas interfaces.

Uma interface pode ser um membro de várias S-VLANs. Você pode mapear um C-VLAN para um S-VLAN (1:1) ou várias C-VLANs para um S-VLAN (N:1). Os pacotes são marcados duas vezes para uma camada adicional de segregação ou agrupamento de C-VLANs. As etiquetas C-VLAN e S-VLAN são exclusivas; para que você possa ter um C-VLAN 101 e um S-VLAN 101, por exemplo. Você pode limitar o conjunto de etiquetas de clientes aceitas a uma variedade de tags ou a valores discretos. Os valores de classe de serviço (CoS) das C-VLANs permanecem inalterados na direção downstream. Você pode, opcionalmente, copiar as configurações de prioridade de ingresso e CoS para o S-VLAN. Em switches não ELS, você pode usar VLANs privadas para isolar usuários para evitar o encaminhamento de tráfego entre interfaces de usuário, mesmo que as interfaces estejam no mesmo VLAN.

Quando o tunelamento Q-in-Q é habilitado, as interfaces de tronco são assumidas como parte da rede de provedor de serviços ou data center. As interfaces de acesso são assumidas como voltadas para o cliente e aceitam quadros marcados e não registrados. Ao usar muitos para um agrupamento ou mapeamento de uma interface específica, você deve usar a opção native para especificar um S-VLAN para pacotes não registrados e marcados de prioridade se quiser aceitar esses pacotes. (Os pacotes marcados por prioridade têm seu ID VLAN definido para 0, e seus bits de ponto de código de prioridade podem ser configurados com um valor cos.)

Nota:

Os pacotes marcados por prioridade não são suportados com tunelamento Q-in-Q nos switches QFX5100 e EX4600.

Se você não especificar um S-VLAN para eles, os pacotes não registrados serão descartados. A opção native não está disponível para agrupamento all-in-one porque não há necessidade de especificar pacotes não registrados e marcados de prioridade quando todos os pacotes são mapeados para um S-VLAN.

Você pode usar a opção native de especificar um S-VLAN para pacotes não registrados e marcados de prioridade ao usar o agrupamento de muitos para um e mapear abordagens de interface específicas para mapear C-VLANs para S-VLANs. (Isso não se aplica a switches que oferecem suporte ao ELS.) Caso contrário, os pacotes são descartados. A opção native não está disponível para agrupamento all-in-one porque não há necessidade de especificar pacotes não registrados e marcados de prioridade quando todos os pacotes são mapeados para o S-VLAN. Consulte a seção de mapeamento de C-VLANs para S-VLANs deste documento para obter informações sobre os métodos de mapeamento de C-VLANs para S-VLANs.

Somente em sistemas QFabric, você pode usar a opção native para aplicar uma tag interna especificada a pacotes que se ingressam como não registrados em interfaces de acesso. Essa funcionalidade é útil se seu sistema QFabric se conectar a servidores que hospedam máquinas virtuais de clientes que enviam tráfego não registrado e o tráfego de cada cliente requer seu próprio VLAN enquanto é transportado pelo QFabric. Em vez de usar VLANs individuais para cada cliente (o que pode levar rapidamente à exaustão do VLAN), você pode aplicar uma tag interna única (C-VLAN) ao tráfego de cada cliente e, em seguida, aplicar uma única tag externa (S-VLAN) para transporte através do QFabric. Isso permite que você segregar o tráfego de seus clientes ao mesmo tempo em que consome apenas um VLAN QFabric. Use a opção inner-tag da declaração de mapeamento para conseguir isso.

Em switches não ELS, os filtros de firewall permitem mapear uma interface para um VLAN com base em uma política. Usar filtros de firewall para mapear uma interface para um VLAN é útil quando você quer que um subconjunto de tráfego de uma porta seja mapeado para um VLAN selecionado em vez do VLAN designado. Para configurar um filtro de firewall para mapear uma interface para um VLAN, a opção vlan precisa ser configurada como parte do filtro de firewall e a opção mapping policy deve ser especificada na configuração da interface para cada interface lógica usando o filtro.

Nota:

Em um switch EX4300, você pode configurar várias interfaces lógicas na mesma porta Ethernet, mas cada interface lógica oferece suporte apenas a pacotes únicos e essa tag deve incluir um ID VLAN diferente daqueles suportados pelas outras interfaces lógicas. Dada essa situação, você não pode habilitar o tunelamento Q-in-Q em portas Ethernet com várias subinterfaces lógicas.

O tunelamento Q-in-Q não afeta nenhum valor de classe de serviço (CoS) configurado em um C-VLAN. Essas configurações são retidas na tag C-VLAN e podem ser usadas após um pacote deixar um S-VLAN. Os valores de CoS não são copiados de tags C-VLAN para tags S-VLAN.

Dependendo da configuração de sua interface, você pode precisar ajustar o valor do MTU em seu tronco ou portas de acesso para acomodar os 4 bytes usados para a tag adicionada pelo tunelamento Q-in-Q. Por exemplo, se você usar o valor MTU padrão de 1514 bytes em suas portas de acesso e tronco, você precisa fazer um dos seguintes ajustes:

  • Reduza o MTU nos links de acesso em pelo menos 4 bytes para que os quadros não excedam o MTU do enlace do tronco quando as tags S-VLAN forem adicionadas.

  • Aumente o MTU no enlace do tronco para que o enlace possa lidar com o tamanho de quadro maior.

Nota:

Você pode configurar o tunelamento Q-in-Q apenas em portas de acesso (e não em portas de tronco).

Como funciona a tradução do VLAN

A tradução de VLAN substitui uma tag C-VLAN recebida por uma tag S-VLAN em vez de adicionar uma tag adicional. Portanto, a tag C-VLAN é perdida, de modo que um pacote com marca única normalmente não é registrado quando sai do S-VLAN (na outra extremidade do link). Se um pacote de entrada tiver aplicado um tunelamento Q-in-Q com antecedência, a tradução de VLAN substitui a tag externa e a tag interna é retida quando o pacote deixa o S-VLAN na outra extremidade do link. Os pacotes recebidos cujas tags não correspondem à tag C-VLAN são descartados, a menos que existam configurações adicionais de tradução de VLAN para essas tags.

Para configurar a tradução de VLAN, use a declaração de mapeamento swap no nível de [edit vlans interface] hierarquia. Enquanto as tags C-VLAN e S-VLAN forem exclusivas, você pode configurar mais de uma tradução C-VLAN-to-S-VLAN em uma porta de acesso. Se você estiver traduzindo apenas um VLAN em uma interface, você não precisa incluir a dot1q-tunneling declaração na configuração S-VLAN. Se você estiver traduzindo mais de um VLAN, você deve usar a dot1q-tunneling declaração.

Nota:

Você pode configurar a tradução de VLAN apenas em portas de acesso. Você não pode configurá-lo nas portas do tronco e não pode configurar o tunelamento Q-in-Q na mesma porta de acesso. Você pode configurar apenas uma tradução de VLAN para um determinado VLAN e interface. Por exemplo, você não pode criar mais do que uma tradução para VLAN 100 na interface xe-0/0/0.

Nota:

A tradução de VLAN não é compatível com sistemas QFabric.

Usando a tradução dupla de tags VLAN

Começando com o Junos OS Release 14.1X53-D40, você pode usar o recurso de tradução dupla de tag VLAN (também conhecido como reescrita de tag VLAN duplo) para implantar switches em domínios de provedores de serviços, permitindo que pacotes VLAN com marcação dupla, marcados por um único e não registrados entrem ou saiam do switch. Tabela 1 mostra as operações adicionadas para a tradução dupla de tags VLAN.

Tabela 1: Operações adicionadas com a reescrita da tag VLAN dupla

Operação

Função

swap-push

Troque uma tag VLAN e empurre uma nova tag VLAN

pop-swap

Coloque uma tag VLAN externa e troque uma tag VLAN interna

swap-swap

Troque as tags VLAN externas e internas

A tradução dupla de tags VLAN oferece suporte:

  • Configuração de S-VLANs (NNI) e C-VLANs (UNI) na mesma interface física

  • Protocolos de controle como VSTP, OSPF e LACP

  • IGMP bisbilhotando

  • Configuração de um VLAN privado (PVLAN) e VLAN em uma interface de marca única

  • Uso de 0x8100 TPID em tags VLAN internas e externas

Veja a configuração de uma configuração de tradução de tag VLAN dupla em switches QFX.

Envio e recebimento de pacotes não registrados

Para permitir que uma interface envie e receba pacotes não registrados, você deve especificar um VLAN nativo para uma interface física. Quando a interface recebe um pacote não registrado, ela adiciona o VLAN ID do VLAN nativo ao pacote no campo C-VLAN e adiciona a tag S-VLAN também (para que o pacote seja marcado duas vezes), e envia o pacote recém-marcado para a interface mapeada.

O parágrafo anterior não se aplica a:

  • Switches não ELS.

  • Switches EX4300 em execução sob uma versão Junos antes do Junos OS Release 19.3R1.

Quando os switches da lista curta acima recebem um pacote não registrado, eles adicionam a tag S-VLAN ao pacote (para que o pacote seja marcado por um único marcador) e enviem o pacote recém-marcado para a interface mapeada.

Nota:

Garanta que todos os switches configurados em sua configuração Q-in-Q operem com a abordagem de tag única ou a abordagem de tag dupla. A configuração não funcionará se os switches não tiverem a mesma abordagem.

A partir do Junos OS Release 19.3R1, você pode configurar switches EX4300 para usar a abordagem de tag dupla. Defina a declaração de configuração de entrada nativa-vlan-push para enable garantir que a declaração de configuração do mapa de entrada vlan esteja definida para push, como mostrado no seguinte exemplo:

Nota:

Em switches que oferecem suporte a enable esse recurso, exceto o switch EX4300, a declaração de entrada nativa-vlan-push é definida por padrão. (A input-native-vlan-push declaração é definida disable por padrão no switch EX4300.) No entanto, recomendamos que você verifique a configuração para garantir que o mapa de entrada vlan esteja definido para push— o recurso não funciona se essa configuração não estiver em vigor.

Para especificar um VLAN nativo, use a native-vlan-id declaração no nível hierárquico [edit interfaces interface-name] . O VLAN ID nativo deve corresponder ao C-VLAN ou S-VLAN ID ou ser incluído na lista de ID VLAN especificada na interface lógica.

Por exemplo, em uma interface lógica para uma interface C-VLAN, você pode especificar uma lista de ID C-VLAN de 100-200. Em seguida, na interface física C-VLAN, você pode especificar um VLAN ID nativo de 150. Essa configuração funcionaria porque o VLAN nativo de 150 está incluído na lista de ID C-VLAN de 100-200.

Recomendamos a configuração de um VLAN nativo ao usar qualquer uma das abordagens para mapear C-VLANs para S-VLANs. Veja a seção mapeamento de C-VLANs para S-VLANs neste tópico para obter informações sobre os métodos de mapeamento de C-VLANs para S-VLANs.

Desativação do aprendizado de endereço MAC

Em uma implantação Q-in-Q, os pacotes de clientes de interfaces downstream são transportados sem qualquer alteração nos endereços MAC de origem e destino. Você pode desativar o aprendizado de endereço MAC em níveis globais, de interface e VLAN:

  • Para desativar o aprendizado globalmente, desabilitar o aprendizado de endereço MAC para o switch.

  • Para desativar o aprendizado de uma interface, desabiibilize o aprendizado de endereço MAC para todas as VLANs das quais a interface especificada é um membro.

  • Para desativar o aprendizado de um VLAN, desabiibilize o aprendizado de endereço MAC para um VLAN especificado.

Desativar o aprendizado de endereço MAC em uma interface desativa o aprendizado para todas as VLANs das quais essa interface é um membro. Quando você desativa o aprendizado de endereço MAC em um VLAN, os endereços MAC que já foram aprendidos são liberados.

Se você desativar o aprendizado de endereço MAC em uma interface ou VLAN, você não pode incluir a autenticação 802.1X nessa mesma configuração de VLAN.

Quando uma interface VLAN (RVI) roteada está associada a uma interface ou um VLAN no qual o aprendizado de endereço MAC é desativado, as rotas de Camada 3 resolvidas nesse VLAN ou essa interface não são resolvidas com o componente de Camada 2. Isso resulta em pacotes roteados inundando todas as interfaces associadas ao VLAN.

Mapeamento de C-VLANs para S-VLANs

Existem várias maneiras de mapear C-VLANs para um S-VLAN:

Nota:

Se você configurar vários métodos de mapeamento, o switch dá prioridade ao mapeamento de uma interface específica e, em seguida, a muitos agrupamentos e por último ao agrupamento all-in-one. No entanto, para um determinado método de mapeamento, a configuração de regras sobrepostas para o mesmo C-VLAN não é suportada.

  • Agrupamento all-in-one — Use a edit vlans s-vlan-name dot1q-tunneling declaração sem especificar VLANs de clientes. Todos os pacotes recebidos em todas as interfaces de acesso (incluindo pacotes não registrados) são mapeados para o S-VLAN.

  • Agrupamento de muitos para um — Use a edit vlans s-vlan-name dot1q-tunneling customer-vlans declaração para especificar quais C-VLANs são mapeadas para o S-VLAN. Use este método quando quiser que um subconjunto de C-VLANs faça parte do S-VLAN. Se você quiser que pacotes não registrados ou marcados por prioridades sejam mapeados para o S-VLAN, use a opção native com a customer-vlans declaração. (Os pacotes marcados por prioridade têm seu ID VLAN definido para 0, e seus bits de ponto de código de prioridade podem ser configurados com um valor cos.)

  • Agregação de muitos para muitos — Use muitos para muitos agrupamentos quando quiser que um subconjunto de C-VLANs no switch de acesso faça parte de várias S-VLANs.

  • Mapeamento de uma interface específica — use a edit vlans s-vlan-name interface interface-name mapping declaração para especificar um C-VLAN para um determinado S-VLAN. Essa configuração se aplica a apenas uma interface — nem todas as interfaces de acesso como com o agrupamento all-in-one e de muitos para um. Se você quiser que pacotes não registrados ou marcados por prioridades sejam mapeados para o S-VLAN, use a opção native com a customer-vlans declaração.

    Este método tem duas opções: troca e empurra. Com a opção push, um pacote retém sua tag e uma tag VLAN adicional é adicionada. Com a opção de troca, a tag de entrada é substituída por uma tag S-VLAN. (Esta é a tradução de VLAN.)

    • Você pode configurar várias regras de push para um determinado S-VLAN e interface. Ou seja, você pode configurar uma interface para que a mesma tag S-VLAN seja adicionada a pacotes que chegam de várias C-VLANs.

    • Você pode configurar apenas uma regra de swap para um determinado S-VLAN e interface.

    Essa funcionalidade normalmente é usada para manter o tráfego de diferentes clientes separados ou para fornecer tratamento individualizado para o tráfego em uma determinada interface.

Se você configurar vários métodos, o switch dá prioridade ao mapeamento de uma interface específica, depois ao agrupamento de muitos para um e por último ao agrupamento all-in-one. No entanto, você não pode ter regras sobrepostas para o mesmo C-VLAN sob uma determinada abordagem. Por exemplo, você não pode usar muitos para um agrupamento para mapear C-VLAN 100 a duas S-VLANs diferentes.

Agrupamento all-in-one

Mapas de agrupamento all-in-one de todos os pacotes, desde todas as interfaces C-VLAN até um S-VLAN.

A interface C-VLAN aceita pacotes não registrados e com marca única. Uma tag S-VLAN 802.1Q é então adicionada a esses pacotes, e os pacotes são enviados para a interface S-VLAN, que aceita pacotes não registrados, marcados por um único e com marcação dupla.

Nota:

As interfaces C-VLAN e S-VLAN aceitam pacotes não registrados desde que a native-vlan-id declaração esteja configurada nessas interfaces.

Agrupamento de muitos para um

O agrupamento de muitos para um é usado para especificar quais C-VLANs são mapeadas para um S-VLAN. O agrupamento de muitos para um está configurado usando a opção customer-vlans .

O agrupamento de muitos para um é usado quando você quer que um subconjunto de C-VLANs no switch de acesso faça parte do S-VLAN. Ao usar pacotes agrupados de muitos para um, pacotes marcados de prioridade e não registrados podem ser mapeados para o S-VLAN quando a opção native for especificada junto com a opção customer-vlans .

Agrupamento de muitos para muitos

Muitos para muitos agrupamentos são usados para especificar quais C-VLANs são mapeadas para quais S-VLANs.

Use muitos para muitos agrupamentos quando quiser que um subconjunto de C-VLANs no switch de acesso faça parte de várias S-VLANs. Com muitos a muitos agrupamentos, as interfaces C-VLAN aceitam pacotes não registrados e de marca única. Uma tag S-VLAN 802.1Q é então adicionada a esses pacotes, e os pacotes são enviados para as interfaces S-VLAN, que aceitam pacotes não registrados, marcados por um único e com marcação dupla.

Nota:

As interfaces C-VLAN e S-VLAN aceitam pacotes não registrados desde que a native-vlan-id declaração esteja configurada nessas interfaces.

Mapeamento de uma interface específica

Use mapeamento de interface específico quando quiser atribuir um S-VLAN a um C-VLAN específico em uma interface. A configuração se aplica apenas à interface específica, não a todas as interfaces de acesso.

O mapeamento específico da interface tem duas subopções: push e swap. . Quando o tráfego mapeado para uma interface específica é empurrado, o pacote retém sua tag original à medida que se move do C-VLAN para o S-VLAN e uma tag S-VLAN adicional é adicionada ao pacote. Quando o tráfego mapeado para uma interface específica é trocado, a tag de entrada é substituída por uma nova tag VLAN. Às vezes, é conhecida a reescrita de VLAN ou tradução de VLAN.

Normalmente, esse método é usado para manter os dados de diferentes clientes separados ou para fornecer tratamento individualizado dos pacotes em uma determinada interface. Você também pode usar esse método para mapear o tráfego VLAN de clientes diferentes para um único S-VLAN.

Ao usar mapeamento de interface específico, as interfaces C-VLAN aceitam pacotes não registrados e com marcação única, enquanto as interfaces S-VLAN aceitam pacotes não registrados, com marca única e com marcação dupla.

Nota:

As interfaces C-VLAN e S-VLAN aceitam pacotes não registrados desde que a native-vlan-id declaração esteja configurada nessas interfaces.

Combinação de métodos e restrições de configuração

Se você configurar vários métodos, o switch dá prioridade ao mapeamento de uma interface específica, depois ao agrupamento de muitos para um e por último ao agrupamento all-in-one. Uma interface de acesso configurada sob o pacote all-in-one não pode fazer parte de um pacote de muitos para um. No entanto, pode ter mapeamentos adicionais definidos.

Para garantir resultados determinísticos, as seguintes restrições de configuração aplicam-se:

  • O mapeamento não pode ser definido para vlans não registrados.

  • Uma interface de acesso pode ter várias faixas de VLAN do cliente, mas uma interface não pode ter etiquetas sobrepostas nas VLANs.

    Por exemplo, a seguinte configuração não é permitida:

    Como a customer-2 configuração cria faixas sobrepostas customer-vlan para ge-0/0/0, ela é inválida.

  • Uma interface de acesso pode ter uma única regra que mapeia um pacote não registrado para um VLAN.

  • Cada interface pode ter no máximo uma regra de swap de mapeamento por VLAN.

  • Você pode pressionar uma tag VLAN apenas nas portas de acesso de um VLAN Q-in-Q. Essa restrição se aplica aos três métodos de uso de uma tag VLAN: ou seja, agrupamento all-in-one, agrupamento de muitos para um e mapeamento de uma interface específica usando push.

  • Você pode pressionar diferentes tags C-VLAN para um determinado S-VLAN em diferentes interfaces. Isso pode potencialmente resultar em vazamento de tráfego em VLANs, dependendo da sua configuração.

Interfaces VLAN roteada em VLANs Q-in-Q

As interfaces de VLAN roteadas (RVIs) são suportadas em VLANs Q-in-Q.

Os pacotes que chegam em um RVI que está usando VLANs Q-in-Q serão roteados, independentemente de o pacote ser marcado único ou duplo. Os pacotes roteados de saída contêm apenas uma tag S-VLAN ao sair de uma interface de tronco; os pacotes saem da interface sem registro ao sair de uma interface de acesso.

Restrições para tunelamento Q-in-Q e tradução de VLAN

Esteja ciente das seguintes restrições ao configurar o tunelamento Q-in-Q e a tradução de VLAN:

  • O tunelamento Q-in-Q oferece suporte a apenas duas tags VLAN.

  • O tunelamento Q-in-Q não oferece suporte à maioria dos recursos de segurança da porta de acesso. Não há policiamento por VLAN (cliente) ou modelagem e limitação por VLAN (saída) com tunelamento Q-in-Q, a menos que você configure esses recursos de segurança usando filtros de firewall.

  • Com os lançamentos do Junos OS Release 13.2X51 anteriores ao lançamento de 13.2X51-D20, você não pode criar um VLAN regular em uma interface se tiver criado um S-VLAN ou C-VLAN nessa interface para tunelamento Q-in-Q. Isso significa que você não pode criar uma interface de roteamento e ponte integrada (IRB) nessa interface, porque as VLANs regulares são uma parte necessária da configuração da IRB. Com o Junos OS Release 13.2X51-D25, você pode criar um VLAN regular em uma interface de tronco que tenha um S-VLAN, o que significa que você também pode criar uma interface IRB no tronco. Nesse caso, o VLAN e o S-VLAN regulares na mesma interface de tronco não podem compartilhar o mesmo VLAN ID. O Junos OS Release 13.2X51-D25 não permite que você crie um VLAN regular em uma interface de acesso que tenha um C-VLAN.

  • Começando com o Junos OS Release 14.1X53-D40, interfaces de roteamento e ponte integradas (IRB) são suportadas em VLANs Q-in-Q — você pode configurar a interface IRB na mesma interface que uma usada por um S-VLAN, e você pode usar o mesmo VLAN ID para o VLAN usado pela interface IRB e para o VLAN usado como um S-VLAN.

    Os pacotes que chegam em uma interface IRB que está usando VLANs Q-in-Q serão roteados, independentemente de o pacote ser marcado único ou marcado duas vezes. Os pacotes roteados de saída contêm apenas uma tag S-VLAN ao sair de uma interface de tronco; os pacotes saem da interface sem registro ao sair de uma interface de acesso.

    Nota:

    Você pode configurar a interface IRB apenas em interfaces S-VLAN (NNI), não em interfaces C-VLAN (UNI).

  • O suporte para switches QFX5K com interfaces Q-in-Q usando a vlan-tags declaração está limitado a interfaces de Camada 2. As interfaces de camada 3 configuradas com declarações de Q-iQ vlan-tags podem não funcionar como esperado.

  • A maioria dos recursos de segurança da porta de acesso não tem suporte para tunelamento Q-in-Q e tradução de VLAN.

  • A configuração do tunelamento Q-in-Q e da reescrita VLAN/tradução de VLAN na mesma porta não é compatível.

  • Você pode configurar no máximo uma tradução VLAN/reescrita/VLAN para um determinado VLAN e interface. Por exemplo, você não pode criar mais do que uma tradução para VLAN 100 na interface xe-0/0/0.

  • O total combinado de VLANs e regras para tunelamento Q-in-Q e tradução de VLAN não pode exceder 6000. Por exemplo, você pode configurar e cometer 4000 VLANs e 2000 regras para tunelamento Q-in-Q e tradução de VLAN. No entanto, você não pode configurar 4000 VLANs e 2500 regras para tunelamento Q-in-Q e tradução de VLAN. Se você tentar cometer uma configuração que exceda o limite, você verá erros de CLI e syslog que informam você sobre o problema.

  • Você não pode usar o ID VLAN nativo.

  • Os endereços MAC são aprendidos com S-VLANs, não C-VLANs.

  • Broadcast, unicast desconhecido e tráfego multicast são encaminhados a todos os membros da S-VLAN.

  • Os recursos a seguir não são suportados com tunelamento Q-in-Q:

    • Transmissão de DHCP

    • Fibre Channel over Ethernet

    • Guarda de origem IP

  • Os recursos a seguir não são compatíveis com a reescrita/tradução VLAN da VLAN:

    • Fibre Channel over Ethernet

    • Filtro de firewall aplicado a uma porta ou VLAN na direção de saída

    • VLANs privadas

    • Protocolo VLAN de árvores de abrangência

    • Relé reflexivo

Configuração de tunelamento Q-in-Q em switches da Série QFX

O tunelamento Q-in-Q e a tradução de VLAN permitem que provedores de serviços criem uma conexão Ethernet de Camada 2 entre dois sites de clientes. Os provedores podem segregar o tráfego VLAN de diferentes clientes em um link (por exemplo, se os clientes usarem IDs VLAN sobrepostos) ou empacotar VLANs de clientes diferentes em um único VLAN de serviço. Os data centers podem usar o tunelamento Q-in-Q para isolar o tráfego do cliente em um único local ou quando o tráfego do cliente flui entre data centers de nuvem em diferentes locais geográficos.

A partir do Junos OS Release 19.4R1, a linha de switches QFX10000 oferece suporte a terceira e quarta etiquetas Q-in-Q como carga (também conhecida como tag pass-through) junto com as duas etiquetas existentes (para correspondência de VLAN e operações). Os switches QFX10000 oferecem suporte a várias tags Q-in-Q para pontes de Camada 2 e casos de EVPN-VXLAN. As interfaces de acesso de Camada 2 aceitam pacotes com três ou quatro tags (todas as tags com o valor TPID 0x8100). Todas as etiquetas além da quarta tag (ou seja, a partir da quinta tag em diante) são consideradas parte da carga da Camada 3 e são encaminhadas de maneira transparente.

Nota:

Em um ou dois pacotes marcados, as etiquetas, a tag 1 e a tag 2 podem transportar quaisquer valores de TPID, como 0x8100, 0x88a8, 0x9100 e 0x9200.

Antes de começar a configurar o tunelamento Q-in-Q, certifique-se de ter criado e configurado as VLANs de clientes necessárias nos switches vizinhos. Veja Configuração de VLANs em switches.

Para configurar o tunelamento Q-in-Q:

  1. Crie o VLAN de serviço (S-VLAN) e configure um ID para ele:
  2. Habilite o tunelamento Q-in-Q no S-VLAN:
  3. Defina as VLANs de clientes permitidas (C-VLANs) no S-VLAN (opcional). Aqui, as C-VLANs são identificadas por uma faixa:
  4. Configure um valor global para o identificador de protocolo de tag (EtherType) das tags VLAN de serviço (opcional):

Dependendo da configuração de sua interface, você pode precisar ajustar o valor do MTU em seu tronco ou portas de acesso para acomodar os 4 bytes usados para a tag adicionada pelo tunelamento Q-in-Q. Por exemplo, se você usar o valor MTU padrão de 1514 bytes em suas portas de acesso e tronco, você precisa fazer um dos seguintes ajustes:

  • Reduza o MTU nos links de acesso em pelo menos 4 bytes para que os quadros não excedam o MTU do enlace do tronco quando as tags S-VLAN forem adicionadas.

  • Aumente o MTU no enlace do tronco para que o enlace possa lidar com o tamanho de quadro maior.

Configuração de tunelamento Q-in-Q em switches da Série EX com suporte a ELS

Nota:

Essa tarefa usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS). Se o seu switch executa um software que não aceita ELS, veja a configuração do tunelamento Q-in-Q nos switches da Série EX. Para obter detalhes do ELS, consulte usando o CLI de software de camada 2 aprimorado.

O tunelamento Q-in-Q permite que provedores de serviços em redes de acesso Ethernet segregassem ou empacotassem o tráfego de clientes em diferentes VLANs adicionando outra camada de etiquetas 802.1Q. Você pode configurar o tunelamento Q-in-Q em switches da Série EX.

Nota:

Você não pode configurar a autenticação do usuário 802.1X em interfaces que foram habilitadas para tunelamento Q-in-Q.

Quando o tunelamento Q-in-Q é configurado em switches da Série EX, assume-se que as interfaces de tronco fazem parte da rede do provedor de serviços e as interfaces de acesso são assumidas como parte da rede do cliente. Portanto, esse tópico também se refere às interfaces de tronco como interfaces VLAN (S-VLAN) de provedores de serviços (interfaces de rede a rede [NNI]), e para interfaces de acesso como interfaces VLAN do cliente (C-VLAN) (interfaces de rede de usuário [UNI]).

Antes de começar a configurar o tunelamento Q-in-Q, certifique-se de configurar suas VLANs. Consulte a configuração de VLANs para switches da Série EX com suporte a ELS (procedimento de CLI) ou configuração de VLANs para switches da Série EX (Procedimento J-Web).

Configure o tunelamento Q-in-Q usando um dos seguintes métodos para mapear C-VLANs para S-VLANs:

Configuração do agrupamento all-in-one

Você pode configurar o tunelamento Q-in-Q usando o método de agrupamento all-in-one, que mapeia pacotes de todas as interfaces C-VLAN em um switch para um S-VLAN.

Para configurar o método de agrupamento all-in-one em uma interface C-VLAN:

  1. Habilite a transmissão de pacotes sem uma única tag VLAN 802.1Q:
  2. Habilite o encapsulamento estendido da ponte VLAN:
  3. Mapeie pacotes de todas as C-VLANs para uma interface lógica:
    Nota:

    Você não pode aplicar mais do que oito listas de identificadores VLAN em uma interface física.

  4. Habilite uma interface C-VLAN para enviar e receber pacotes não registrados:

    Ao especificar um VLAN ID nativo em uma interface física C-VLAN, o valor deve ser incluído na lista de ID VLAN especificada na interface lógica C-VLAN na etapa 3.

  5. Especifique que os pacotes que viajam de uma interface C-VLAN para uma interface S-VLAN são marcados com o ID VLAN da S-VLAN:
  6. Especifique que a tag S-VLAN 802.1Q é removida quando os pacotes saem de uma interface S-VLAN.
  7. Configure um nome para o S-VLAN e associe a interface lógica configurada na etapa 3 com o S-VLAN:

A configuração a seguir na interface C-VLAN ge-0/0/1 permite o tunelamento Q-in-Q e pacotes de mapas de C-VLANs de 100 a 200 para a interface lógica 10, que por sua vez está associada ao S-VLAN v10. Nesta configuração de amostra, um pacote originado em C-VLAN 100 inclui uma tag com o VLAN ID 100. Quando este pacote viaja da interface ge-0/0/1 para a interface S-VLAN, uma tag com VLAN ID 10 é adicionada a ele. Conforme o pacote sai da interface S-VLAN, a tag com o VLAN ID 10 é removida.

Para configurar o método de agrupamento all-in-one em uma interface S-VLAN:

  1. Habilite a transmissão de pacotes sem, um ou dois tags VLAN 802.1Q:

  2. Habilite o encapsulamento estendido da ponte VLAN:

  3. Mapeie pacotes da interface lógica especificada na configuração da interface C-VLAN para o S-VLAN:

  4. Habilite a interface S-VLAN para enviar e receber pacotes não registrados:

    Ao especificar um VLAN ID nativo em uma interface física S-VLAN, o valor deve corresponder ao VLAN ID especificado na interface lógica S-VLAN na etapa 3.

  5. Associe a interface S-VLAN com o S-VLAN configurado no procedimento de interface C-VLAN:

Por exemplo, a configuração a seguir na interface S-VLAN ge-1/1/1 permite tunelamento Q-in-Q e pacotes de mapas com uma tag VLAN ID de 10 a interface lógica 10, que por sua vez está associada ao S-VLAN v10. .

Configurando o agrupamento de muitos para muitos

Você pode configurar o tunelamento Q-in-Q usando o método de agrupamento de muitos para muitos, que mapeia pacotes de várias C-VLANs a várias S-VLANs.

Para configurar o método de agrupamento de muitos para muitos em uma interface C-VLAN:

  1. Habilite a transmissão de pacotes sem uma única tag VLAN 802.1Q:
  2. Habilite o encapsulamento estendido da ponte VLAN:
  3. Mapeie pacotes de C-VLANs especificados para uma interface lógica:
  4. Habilite uma interface C-VLAN para enviar e receber pacotes não registrados:

    Ao especificar um VLAN ID nativo em uma interface física C-VLAN, o valor deve ser incluído na lista de ID VLAN especificada na interface lógica C-VLAN na etapa 3.

  5. Especifique que os pacotes que viajam de uma interface C-VLAN para uma interface S-VLAN são marcados com o ID VLAN da S-VLAN:
  6. Especifique que a tag S-VLAN 802.1Q é removida quando os pacotes saem de uma interface S-VLAN:
  7. Configure um nome para um S-VLAN e associe a interface lógica configurada na etapa 3 com o S-VLAN:

A configuração a seguir na interface C-VLAN ge-0/0/1 para o cliente 1 permite tunelamento Q-in-Q e pacotes de mapas de C-VLANs de 100 a 120 para a interface lógica 10, que por sua vez está associada ao S-VLAN v10.

A configuração na interface C-VLAN ge-0/0/2 para o cliente 2 permite tunelamento Q-in-Q e pacotes de mapas de C-VLANs de 30 a 40, 50 a 60 e de 70 a 80 para a interface lógica 30, que por sua vez está associada ao S-VLAN v30.

Nesta configuração de amostra, um pacote originado em C-VLAN 100 inclui uma tag com o VLAN ID 100. Quando este pacote viaja da interface ge-0/0/1 para a interface S-VLAN, uma tag com um VLAN ID de 10 é adicionada a ele. Conforme o pacote sai da interface S-VLAN, a tag com o VLAN ID de 10 é removida.

Cliente 1

Cliente 2

Para configurar o método de agrupamento de muitos a muitos em uma interface S-VLAN:

  1. Habilite a transmissão de pacotes sem, um ou dois tags VLAN 802.1Q:

  2. Habilite o encapsulamento estendido da ponte VLAN:

  3. Mapeie pacotes de cada interface lógica especificados na configuração da interface C-VLAN para um S-VLAN:

  4. Habilite uma interface S-VLAN para enviar e receber pacotes não registrados:

    Ao especificar um VLAN ID nativo em uma interface física S-VLAN, o valor deve corresponder a um ID S-VLAN especificado na interface lógica S-VLAN na etapa 3.

  5. Associe a interface S-VLAN com as S-VLANs que foram configuradas no procedimento de interface C-VLAN:

Por exemplo, a seguinte configuração na interface S-VLAN ge-1/1/1 permite tunelamento Q-in-Q e mapas que estão chegando em pacotes C-VLAN para interfaces lógicas 10 e 30, que por sua vez estão associadas a S-VLANs v10 e v30, respectivamente.

Configuração de um mapeamento de interface específico com opção de reescrita de VLAN

Você pode configurar o tunelamento Q-in-Q mapeando pacotes de um C-VLAN especificado para um S-VLAN especificado. Além disso, enquanto os pacotes são transmitidos de e para o S-VLAN, você pode especificar que a tag C-VLAN 802.1Q seja removida e substituída pela tag S-VLAN ou vice-versa.

Para configurar um mapeamento de interface específico com a reescrita de VLAN na interface C-VLAN:

  1. Habilite a transmissão de pacotes sem nenhuma tag VLAN 802.1Q:
  2. Habilite o encapsulamento estendido da ponte VLAN:
  3. Mapeie pacotes de um C-VLAN especificado para uma interface lógica:
  4. Habilite a interface C-VLAN para enviar e receber pacotes não registrados:

    Ao especificar um VLAN ID nativo em uma interface física C-VLAN, o valor deve corresponder ao VLAN ID especificado na interface lógica C-VLAN na etapa 3.

  5. Especifique que a tag 802.1Q C-VLAN existente é removida de pacotes que viajam de uma interface C-VLAN para uma interface S-VLAN e substituídos pela tag S-VLAN 802.1Q:
  6. Especifique que a tag S-VLAN existente do 802.1Q é removida de pacotes que viajam de uma interface S-VLAN para uma interface C-VLAN e substituídos pela tag C-VLAN 802.1Q:
  7. Configure um nome para o S-VLAN e associe a interface lógica configurada na etapa 3 com o S-VLAN:

Por exemplo, a configuração a seguir na interface C-VLAN ge-0/0/1 permite tunelamento Q-in-Q e mapas de entrada de pacotes de C-VLAN 150 para interface lógica 200, que por sua vez está associada ao VLAN v200. Além disso, conforme os pacotes viajam da interface C-VLAN ge-0/0/1 para uma interface S-VLAN, a tag C-VLAN 150 é removida e substituída pela tag S-VLAN 200. Conforme os pacotes viajam de uma interface S-VLAN para a interface C-VLAN ge-0/0/1, a tag S-VLAN 200 é removida e substituída pela tag C-VLAN de 150.

Para configurar um mapeamento de interface específico com reescrita de VLAN na interface S-VLAN:

  1. Habilite a transmissão de pacotes sem, um ou dois tags VLAN 802.1Q:

  2. Habilite o encapsulamento estendido da ponte VLAN:

  3. Mapeie pacotes da interface lógica especificada na configuração da interface C-VLAN para o S-VLAN:

  4. Habilite a interface S-VLAN para enviar e receber pacotes não registrados:

    Ao especificar um VLAN ID nativo em uma interface física S-VLAN, o valor deve corresponder ao VLAN ID especificado na interface lógica S-VLAN na etapa 3.

  5. Associe a interface S-VLAN com o S-VLAN configurado no procedimento de interface C-VLAN: :

Por exemplo, a seguinte configuração na interface S-VLAN ge-1/1/1 permite tunelamento Q-in-Q e pacotes de mapas com VLAN ID 200 para interface lógica 200, que por sua vez está associada ao S-VLAN v200.

Configuração de tunelamento Q-in-Q em switches da Série EX

Nota:

Essa tarefa usa o Junos OS para switches da Série EX que não oferece suporte ao estilo de configuração de Software de Camada 2 (ELS).

O tunelamento Q-in-Q permite que provedores de serviços em redes de acesso Ethernet segregassem ou empacotassem o tráfego de clientes em diferentes VLANs adicionando outra camada de etiquetas 802.1Q. Você pode configurar o tunelamento Q-in-Q em switches da Série EX.

Nota:

Você não pode configurar a autenticação do usuário 802.1X em interfaces que foram habilitadas para tunelamento Q-in-Q.

Antes de começar a configurar o tunelamento Q-in-Q, certifique-se de configurar suas VLANs. Consulte a configuração de VLANs para switches da Série EX ou a configuração de VLANs para switches da Série EX (Procedimento J-Web).

Para configurar o tunelamento Q-in-Q:

  1. Habilite o tunelamento Q-in-Q no S-VLAN:
  2. Defina as C-VLANs permitidas no S-VLAN (opcional). Aqui, as C-VLANs são identificadas pela faixa VLAN:
  3. Altere o valor global do Ethertype (opcional):
  4. Desativar o aprendizado de endereço MAC no S-VLAN (opcional):

Configuração do tunelamento Q-in-Q na Série ACX

SUMMARY 

Visão geral do tunelamento Q-in-Q da Série ACX

O tunelamento Q-in-Q permite que provedores de serviços criem uma conexão Ethernet de Camada 2 entre dois sites de clientes. Os provedores podem segregar o tráfego VLAN de diferentes clientes em um link (por exemplo, se os clientes usarem IDs VLAN sobrepostos) ou empacotar VLANs de clientes diferentes em um único VLAN de serviço. Os provedores de serviços podem usar o tunelamento Q-in-Q para isolar o tráfego do cliente em um único local ou permitir fluxos de tráfego do cliente em locais geográficos.

O tunelamento Q-in-Q adiciona uma tag VLAN de serviço antes das etiquetas VLAN 802.1Q do cliente. A implementação do sistema operacional Junos da Juniper Networks de tunelamento Q-in-Q oferece suporte ao padrão IEEE 802.1ad.

No tunelamento Q-in-Q, enquanto um pacote viaja de um cliente VLAN (C-VLAN) para o VLAN (S-VLAN) de um provedor de serviços, outra tag 802.1Q para o S-VLAN apropriado é adicionada antes da tag C-VLAN. A tag C-VLAN permanece e é transmitida pela rede. Conforme o pacote sai do espaço S-VLAN, na direção downstream, a tag S-VLAN 802.1Q é removida.

Nos roteadores da Série ACX, você pode configurar o tunelamento Q-in-Q configurando explicitamente um mapa VLAN de entrada com push função nas interfaces voltadas ao cliente em um domínio de ponte.

Você pode configurar o tunelamento Q-in-Q na interface Ethernet agregada configurando o mapa VLAN de entrada e saída.

Configuração do tunelamento Q-in-Q na Série ACX

Para configurar o tunelamento Q-in-Q, você precisa configurar a interface lógica conectada à rede do cliente (interfaces de usuário para rede (UNI)) e a interface lógica conectada à rede do provedor de serviços (interface de rede para rede (NNI)).

O exemplo a seguir é configurar uma interface lógica conectada a uma rede do cliente:

O exemplo a seguir é configurar uma interface lógica conectada a uma rede de provedores de serviços:

O exemplo a seguir é configurar o domínio da ponte:

Você pode configurar o tunelamento Q-in-Q na interface Ethernet agregada conectada à rede do cliente (UNI) e na interface lógica conectada à rede de provedores de serviços (NNI).

Configuração de tunelamento Q-in-Q usando o agrupamento all-in-one

Você pode configurar o tunelamento Q-in-Q usando o método de agrupamento all-in-one, que encaminha todos os pacotes que se ingressam em uma interface C-VLAN para um S-VLAN. (Os pacotes são encaminhados para o S-VLAN, independentemente de serem marcados ou não antes da entrada.) O uso dessa abordagem economiza o esforço de especificar um mapeamento específico para cada C-VLAN.

Configure primeiro o S-VLAN e sua interface:

  1. Atribua uma interface lógica (unidade) para ser um membro do S-VLAN.
    Nota:

    Não use a unidade de interface lógica 0. Mais tarde, você deve vincular um ID de tag VLAN à unidade que você especifica nesta etapa e não pode vincular um ID da tag VLAN à unidade 0. Observe também que você não cria um VLAN ID para o S-VLAN. O ID é criado automaticamente para a interface lógica apropriada.

  2. Habilite a interface para transmitir pacotes com duas etiquetas VLAN de 802.1Q:
  3. Habilite o encapsulamento estendido da ponte VLAN na interface:
    Nota:

    Se você configurar uma configuração no estilo empresarial, como o PVLAN na mesma interface física na qual você está configurando o tunelamento Q-in-Q, use set encapsulation flexible-ethernet-services . Veja a compreensão do encapsulamento flexível de serviços de ethernet nos switches.

  4. Habilite a interface S-VLAN para enviar e receber pacotes não registrados:
  5. Vincule a interface lógica (unidade) da interface que você especificou na etapa 1 ao VLAN ID criado automaticamente para o S-VLAN:
Nota:

Se você configurar flexible-ethernet-services, configure vlan-bridge o encapsulamento na interface lógica:

Por exemplo, a configuração a seguir faz do xe-0/0/0,10 um membro do VLAN 10, permite o tunelamento Q-in-Q na interface xe-0/0/0, permite que xe-0/0/0 aceite pacotes não registrados e vincula o ID VLAN do S-VLAN v10 a uma interface lógica de xe-0/0/0/0.

Agora configure o agrupamento all-in-one em uma interface C-VLAN:

  1. Atribua uma interface lógica (unidade) da interface C-VLAN para ser um membro do S-VLAN.

  2. Habilite a interface para transmitir pacotes com etiquetas VLAN de 802.1Q:

  3. Habilite o encapsulamento estendido da ponte VLAN na interface:

  4. Habilite a interface C-VLAN para enviar e receber pacotes não registrados:

  5. Configure uma interface lógica para receber e encaminhar qualquer pacote marcado cuja tag VLAN ID corresponda à lista de IDs VLAN que você especifica:

    CUIDADO:

    Você não pode aplicar mais do que oito listas de identificadores VLAN em uma interface física. Essa limitação não se aplica aos switches QFX10000.

  6. Configure o sistema para adicionar uma tag S-VLAN (tag externa) à medida que os pacotes viajam de uma interface C-VLAN para o S-VLAN:

    Nota:

    Você pode configurar vlan-id , input-vlan-mapmas fazê-lo é opcional.

  7. Configure o sistema para remover a tag S-VLAN quando os pacotes forem encaminhados (internamente) da interface S-VLAN para a interface C-VLAN:

Por exemplo, a configuração a seguir faz de xe-0/0/1,10 um membro do S-VLAN v10, permite tunelamento Q-in-Q, mapeia pacotes de C-VLANs de 100 a 200 para S-VLAN 10 e permite que xe-0/0/1 aceite pacotes não registrados. Se um pacote se originar no C-VLAN 100 e precisar ser enviado através do S-VLAN, uma tag com VLAN ID 10 é adicionada ao pacote. Quando um pacote é encaminhado (internamente) da interface S-VLAN para a interface xe-0/0/1, a tag com VLAN ID 10 é removida.

Configuração de tunelamento Q-in-Q usando agrupamento de muitos para muitos

Você pode configurar o tunelamento Q-in-Q usando o método de agrupamento de muitos para muitos, que mapeia pacotes de várias C-VLANs a várias S-VLANs. Este método é conveniente para mapear uma variedade de C-VLANs sem precisar especificar cada uma individualmente. (Você também pode usar este método para configurar apenas um C-VLAN a ser mapeado para um S-VLAN.)

Configure primeiro as S-VLANs e atribua-as a uma interface:

  1. Atribua uma interface lógica (unidade) para ser um membro de uma das S-VLANs. Não use a unidade de interface lógica 0.
    Nota:

    Observe que você não cria um VLAN ID para o S-VLAN. O ID é criado automaticamente para a interface lógica apropriada.

  2. Repita a etapa 1 para as outras S-VLANs.
  3. Habilite a interface física para transmitir pacotes com duas etiquetas VLAN de 802.1Q:
  4. Habilite o encapsulamento estendido da ponte VLAN na interface:
  5. Habilite a interface S-VLAN para enviar e receber pacotes não registrados:
  6. Vincule uma das unidades lógicas da interface ao VLAN ID para uma das S-VLANs.
  7. Repita a etapa 6 para vincular os IDs VLAN criados automaticamente para as outras S-VLANs às outras unidades lógicas da interface:

Por exemplo, a configuração a seguir cria S-VLANs v10 e v30 e as associa à interface xe-0/0/0,10, permite o tunelamento Q-in-Q, permite que xe-0/0/0 aceite pacotes não registrados e mapee pacotes C-VLAN recebidos para S-VLANs v10 e v30.

Para configurar o método de agrupamento de muitos para muitos em uma interface C-VLAN, execute as seguintes etapas para cada cliente:

  1. Atribua uma interface lógica (unidade) de uma interface C-VLAN para ser um membro de um S-VLAN.

  2. Repita a etapa 1 para atribuir outra interface C-VLAN (interface física) para ser um membro de outro S-VLAN.

  3. Habilite a interface para transmitir pacotes com etiquetas VLAN de 802.1Q:

  4. Habilite o encapsulamento estendido da ponte VLAN na interface:

  5. Habilite a interface C-VLAN para enviar e receber pacotes não registrados:

  6. Para cada interface física, configure uma interface lógica (unidade) para receber e encaminhar qualquer pacote marcado cuja tag VLAN ID corresponda à lista de IDs VLAN que você especifica:

    Para configurar apenas um C-VLAN a ser mapeado para um S-VLAN, especifique apenas um ID VLAN após a lista vlan-id.

    CUIDADO:

    Você não pode aplicar mais do que oito listas de identificadores VLAN em uma interface física. Essa limitação não se aplica aos switches QFX10000.

  7. Para cada interface física, configure o sistema para adicionar uma tag S-VLAN (tag externa) à medida que os pacotes viajam da interface C-VLAN para o S-VLAN:

  8. Para cada interface física, configure o sistema para remover a tag S-VLAN quando os pacotes forem encaminhados da interface S-VLAN para a interface C-VLAN:

Por exemplo, a configuração a seguir faz do xe-0/0/1,10 um membro do S-VLAN v10, permite tunelamento Q-in-Q e mapeia pacotes de C-VLANs de 10 a 20 para S-VLAN 10. A configuração para o cliente 2 faz do xe-0/0/2,30 um membro do S-VLAN v30, permite tunelamento Q-in-Q e mapeia pacotes de C-VLANs de 30 a 40, 50 a 60 e de 70 a 80 para S-VLAN 30. Ambas as interfaces estão configuradas para aceitar pacotes não registrados.

Se um pacote se originar no C-VLAN 10 e precisar ser enviado pelo S-VLAN, uma tag com um VLAN ID 10 é adicionada ao pacote. Se um pacote for encaminhado internamente da interface S-VLAN para xe-0/0/1.10, a tag com VLAN ID 10 será removida. Os mesmos princípios se aplicam às C-VLANs configuradas na interface xe-0/0/2.

Nota:

Observe que você pode usar o mesmo valor de tag para um S-VLAN e C-VLAN. Por exemplo, a configuração para o cliente 1 mapeia C-VLAN ID 10 a S-VLAN ID 10. As etiquetas C-VLAN e S-VLAN usam espaços de nome separados, de modo que essa configuração seja permitida.

Configuração para o cliente 1:

Configuração para o cliente 2:

Configuração de um mapeamento de interface específico com opção de tradução de ID VLAN

Você pode configurar o tunelamento Q-in-Q mapeando pacotes de um C-VLAN especificado para um S-VLAN especificado. Além disso, você pode configurar o sistema para substituir uma tag C-VLAN por uma tag S-VLAN ou substituir uma tag S-VLAN por uma tag C-VLAN (em vez de marcação dupla). Esta é a tradução de VLAN ou reescrita de VLAN. A tradução de VLAN é particularmente útil se a rede de Camada 2 de um provedor de serviços que conecta os sites de um cliente não oferecer suporte a pacotes duplos marcados.

Quando você usa a tradução de VLAN, as duas extremidades do enlace normalmente devem ser capazes de trocar as tags adequadamente. Ou seja, ambas as extremidades do link devem ser configuradas para trocar a tag C-VLAN pela tag S-VLAN e trocar a tag S-VLAN pela tag C-VLAN para que o tráfego em ambas as direções seja marcado adequadamente durante o trânsito e após a chegada.

Configure primeiro o S-VLAN e sua interface:

  1. Atribua uma interface lógica para ser um membro do S-VLAN. Não use a unidade 0.
    Nota:

    Observe que você não cria um VLAN ID para o S-VLAN. O ID é criado automaticamente para a interface lógica apropriada.

  2. Habilite a interface para transmitir pacotes com etiquetas VLAN de 802.1Q:
  3. Habilite a interface S-VLAN para enviar e receber pacotes não registrados:
  4. Habilite o encapsulamento estendido da ponte VLAN na interface:
  5. Vincule a interface lógica (unidade) da interface que você especificou anteriormente ao VLAN ID para o S-VLAN:

Por exemplo, a configuração a seguir cria o S-VLAN v200, faz do xe-0/0/0,200 um membro desse VLAN, permite o tunelamento Q-in-Q na interface xe-0/0/0, permite que xe-0/0/0 aceite pacotes não registrados e vincula uma interface lógica de xe-0/0/0 ao ID VLAN do VLAN v200.

Agora configure um mapeamento de interface específico com tradução VLAN ID opcional na interface C-VLAN:

  1. Atribua uma interface lógica da interface C-VLAN para ser um membro do S-VLAN.

  2. Habilite a interface para transmitir pacotes com etiquetas VLAN de 802.1Q:

  3. Habilite a interface C-VLAN para enviar e receber pacotes não registrados:

  4. Habilite o encapsulamento estendido da ponte VLAN na interface:

  5. Configure uma interface lógica (unidade) para receber e encaminhar qualquer pacote marcado cuja tag VLAN ID corresponda aos IDs VLAN que você especifica:

  6. Configure o sistema para remover a tag C-VLAN existente e substituí-la pela tag S-VLAN quando os pacotes forem ingressos na interface C-VLAN e forem encaminhados para o S-VLAN:

  7. Configure o sistema para remover a tag S-VLAN existente e substituí-la pela tag C-VLAN quando os pacotes são encaminhados da interface S-VLAN para a interface C-VLAN:

  8. Para configurar um S-VLAN e associá-lo à interface C-VLAN apropriada:

Por exemplo, a seguinte configuração na interface C-VLAN xe-0/0/1.200 permite o tunelamento Q-in-Q, permite que xe-0/0/1 aceite pacotes não registrados e mapee pacotes recebidos do C-VLAN 150 para a interface lógica 200, que é um membro do S-VLAN 200. Além disso, quando os pacotes são retirados da interface C-VLAN xe-0/0/1 e viajam para a interface S-VLAN, a tag C-VLAN de 150 é removida e substituída pela tag S-VLAN de 200. Quando os pacotes viajam da interface S-VLAN para a interface C-VLAN, a tag S-VLAN de 200 é removida e substituída pela tag C-VLAN de 150.

Exemplo: Configuração de tunelamento Q-in-Q em switches da Série QFX

Os provedores de serviços podem usar o tunelamento Q-in-Q para passar de forma transparente o tráfego VLAN de Camada 2 entre os sites dos clientes sem remover ou alterar as tags VLAN do cliente ou configurações de classe de serviço (CoS). Os data centers podem usar o tunelamento Q-in-Q para isolar o tráfego do cliente em um único local ou quando o tráfego do cliente flui entre data centers de nuvem em diferentes locais geográficos.

Nota:

Este exemplo usa uma versão do Junos OS que não oferece suporte ao estilo de configuração do Software de Camada 2 (ELS). Se o seu switch executa um software que oferece suporte a ELS, veja a configuração de tunelamento Q-in-Q na Série QFX, Série NFX e switches EX4600 com suporte a ELS.

Este exemplo descreve como configurar o tunelamento Q-in-Q:

Requisitos

Este exemplo requer um dispositivo da Série QFX com o Junos OS Release 12.1 ou posterior.

Antes de começar a configurar o tunelamento Q-in-Q, certifique-se de ter criado e configurado as VLANs de clientes necessárias nos switches vizinhos. Veja Configuração de VLANs em switches.

Visão geral e topologia

Nesta rede de provedores de serviços, existem várias VLANs de clientes mapeadas para um VLAN de serviço.

Tabela 2 lista as configurações para a topologia da amostra.

Tabela 2: Componentes da topologia para configurar o tunelamento Q-in-Q
Interface Descrição

xe-0/0/11.0

Porta-tronco S-VLAN marcada

xe-0/0/12.0

Porta de acesso não registrada voltada para o cliente

xe-0/0/13.0

Porta de acesso não registrada voltada para o cliente

xe-0/0/14.0

Porta-tronco S-VLAN marcada

Configuração

Configuração rápida de CLI

Para criar e configurar rapidamente o tunelamento Q-in-Q, copie os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento

Procedimento passo a passo

Para configurar o tunelamento Q-in-Q:

  1. Defina o VLAN ID para o S-VLAN:

  2. Habilite o tunelamento Q-in-Q e especifique as faixas de VLAN do cliente:

  3. Defina o modo de porta e as informações de VLAN para as interfaces:

  4. Defina o valor do Ethertype Q-in-Q (opcional):

Resultados

Verifique os resultados da configuração:

Verificação

Confirme se a configuração está funcionando corretamente.

Verificar se o tunelamento Q-in-Q estava habilitado

Propósito

Verifique se o tunelamento Q-in-Q estava devidamente ativado.

Ação

Use o show vlans comando:

Significado

A saída indica que o tunelamento Q-in-Q está habilitado e que o VLAN é marcado e mostra as VLANs de clientes associadas.

Exemplo: Configuração de tunelamento Q-in-Q em switches da Série EX

Os provedores de serviços podem usar o tunelamento Q-in-Q para passar de maneira transparente o tráfego VLAN de Camada 2 de um site do cliente, através da rede de provedores de serviços, para outro site do cliente sem remover ou alterar as tags VLAN do cliente ou configurações de classe de serviço (CoS). Você pode configurar o tunelamento Q-in-Q em switches da Série EX.

Este exemplo descreve como configurar o Q-in-Q:

Requisitos

Este exemplo requer um switch da Série EX com o Junos OS Release 9.3 ou posterior para switches da Série EX.

Antes de começar a configurar o tunelamento Q-in-Q, certifique-se de ter criado e configurado as VLANs de clientes necessárias. Consulte a configuração de VLANs para switches da Série EX ou a configuração de VLANs para switches da Série EX (Procedimento J-Web).

Visão geral e topologia

Nesta rede de provedores de serviços, existem várias VLANs de clientes mapeadas para um VLAN de serviço.

Tabela 3 lista as configurações para a topologia de exemplo.

Tabela 3: Componentes da topologia para configurar o tunelamento Q-in-Q
Interface Descrição

ge-0/0/11.0

Porta-tronco S-VLAN marcada

ge-0/0/12.0

Porta de acesso não registrada voltada para o cliente

ge-0/0/13.0

Porta de acesso não registrada voltada para o cliente

ge-0/0/14.0

Porta-tronco S-VLAN marcada

Configuração

Configuração rápida de CLI

Para criar e configurar rapidamente o tunelamento Q-in-Q, copie os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento

Procedimento passo a passo

Para configurar o tunelamento Q-in-Q:

  1. Defina o VLAN ID para o S-VLAN:

  2. Habilite a tuennling Q-in-Q e especifique as faixas de VLAN do cliente:

  3. Defina o modo de porta e as informações de VLAN para as interfaces:

  4. Defina o valor do Ethertype Q-in-Q:

Resultados

Verifique os resultados da configuração:

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificar se o tunelamento Q-in-Q estava habilitado

Propósito

Verifique se o tunelamento Q-in-Q estava devidamente habilitado no switch.

Ação

Use o show vlans comando:

Significado

A saída indica que o tunelamento Q-in-Q está habilitado e que o VLAN é marcado e mostra as VLANs de clientes associadas.

Configuração de uma configuração de tradução de tag VLAN dupla em switches QFX

Começando com o Junos OS Release 14.1X53-D40, você pode usar o recurso de tradução dupla de tag VLAN (também conhecido como reescrita de tag VLAN duplo) para implantar switches em domínios de provedores de serviços, permitindo que pacotes VLAN com marcação dupla, marcados por um único e não registrados entrem ou saiam do switch.

A configuração do exemplo a seguir mostra o uso das operações de swap-swap, pop-swap e swap-push dual tag.

Verificar se o tunelamento Q-in-Q está funcionando em switches

Propósito

Depois de criar um VLAN Q-in-Q, verifique se ele está configurado corretamente.

Ação

  1. Use o show configuration vlans comando para determinar se você criou com sucesso as configurações de VLAN primária e secundária:

  2. Use o show vlans comando para visualizar as informações do VLAN e o status do link:

Significado

A saída confirma que o tunnling Q-in-Q está habilitado e que o VLAN está marcado, e lista as VLANs de clientes associadas ao VLAN marcado.

Tabela de histórico de liberação
Versão
Descrição
19.4R1
A partir do Junos OS Release 19.4R1, a linha de switches QFX10000 oferece suporte a terceira e quarta etiquetas Q-in-Q como carga (também conhecida como tag pass-through) junto com as duas etiquetas existentes (para correspondência de VLAN e operações).
14.1X53-D40
Começando com o Junos OS Release 14.1X53-D40, você pode usar o recurso de tradução dupla de tag VLAN (também conhecido como reescrita de tag VLAN duplo) para implantar switches em domínios de provedores de serviços, permitindo que pacotes VLAN com marcação dupla, marcados por um único e não registrados entrem ou saiam do switch.
14.1X53-D30
A partir do Junos OS 14.1X53-D30, você pode configurar a mesma interface para ser uma interface S-VLAN/NNI e uma interface C-VLAN/UNI.