Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de tunelamento Q-in-Q e tunelamento Q-in-Q VLAN e tradução de VLAN

Entender o tunelamento Q-in-Q e a tradução de VLAN

O tunelamento Q-in-Q e a tradução de VLAN permitem que os provedores de serviços criem uma conexão Ethernet de Camada 2 entre dois sites de clientes. Os provedores podem segregar o tráfego VLAN de diferentes clientes em um link (por exemplo, se os clientes usarem IDs VLAN sobrepostos) ou empacotar VLANs de clientes diferentes em um único VLAN de serviço. Os data centers podem usar tunelamento Q-in-Q e tradução de VLAN para isolar o tráfego do cliente em um único local ou permitir fluxos de tráfego de clientes entre data centers de nuvem em diferentes locais geográficos.

Usando tunelamento Q-in-Q, os provedores podem segregar ou empacotar o tráfego do cliente em menos VLANs ou VLANs diferentes adicionando outra camada de tags 802.1Q. O tunelamento Q-in-Q é útil quando os clientes têm IDs VLAN sobrepostos, porque as etiquetas VLAN 802.1Q (dot1Q) do cliente são preparadas pela tag VLAN de serviço (S-VLAN). A implementação do sistema operacional Junos OS (Junos OS) da Juniper Networks oferece suporte ao padrão IEEE 802.1ad.

Este tópico descreve:

Como funciona o tunelamento Q-in-Q

No tunelamento Q-in-Q, enquanto um pacote viaja de um cliente VLAN (C-VLAN) para o VLAN de um provedor de serviços, uma tag 802.1Q específica para o cliente é adicionada ao pacote. Essa tag adicional é usada para segregar o tráfego em VLANs de serviços definidas por provedores de serviços (S-VLANs). A tag 802.1Q do cliente original do pacote permanece e é transmitida de forma transparente, passando pela rede do provedor de serviços. Conforme o pacote deixa o S-VLAN na direção downstream, a tag extra de 802.1Q é removida.

Nota:

Todas as VLANs em uma implementação podem ser VLANs de serviço. Ou seja, se o número total de VLANs suportadas for de 4090, todas elas podem ser VLANs de serviço.

Quando o tunelamento Q-in-Q é habilitado nos switches Ethernet da Série EX da Juniper Networks, assume-se que as interfaces de tronco fazem parte da rede do provedor de serviços e as interfaces de acesso são assumidas como voltadas para o cliente. Uma interface de acesso pode receber quadros marcados e não registrados neste caso.

Nota:

A partir do Junos OS 14.1X53-D30, você pode configurar a mesma interface para ser uma interface S-VLAN/NNI e uma interface C-VLAN/UNI. Isso significa que a mesma interface física pode transmitir quadros de marca única e dupla marcação simultaneamente. Isso permite a máxima flexibilidade em sua topologia de rede e permite maximizar o uso de suas interfaces.

Uma interface pode ser um membro de várias S-VLANs. Você pode mapear um C-VLAN para um S-VLAN (1:1) ou várias C-VLANs para um S-VLAN (N:1). Os pacotes são marcados duas vezes para uma camada adicional de segregação ou agrupamento de C-VLANs. As tags C-VLAN e S-VLAN são exclusivas; para que você possa ter um C-VLAN 101 e um S-VLAN 101, por exemplo. Você pode limitar o conjunto de tags de clientes aceitas a uma variedade de tags ou a valores discretos. Os valores de classe de serviço (CoS) das C-VLANs permanecem inalterados na direção downstream. Você pode, opcionalmente, copiar as configurações de prioridade de ingresso e CoS para o S-VLAN. Em switches não ELS, você pode usar VLANs privadas para isolar usuários para evitar o encaminhamento de tráfego entre interfaces de usuário, mesmo que as interfaces estejam no mesmo VLAN.

Quando o tunelamento Q-in-Q é habilitado, assume-se que as interfaces de tronco fazem parte da rede de provedores de serviços ou data center. Presume-se que as interfaces de acesso sejam voltadas para o cliente e aceitem quadros marcados e não registrados. Ao usar o agrupamento de muitos para um ou mapear uma interface específica, você deve usar a opção native de especificar um S-VLAN para pacotes marcados sem registro e prioridade se quiser aceitar esses pacotes. (Os pacotes marcados pela prioridade têm seu ID VLAN definido para 0, e seus bits de ponto de código de prioridade podem ser configurados com um valor cos.)

Nota:

Pacotes marcados prioritariamente não são suportados com tunelamento Q-in-Q em switches QFX5100 e EX4600.

Se você não especificar um S-VLAN para eles, pacotes não registrados são descartados. A opção native não está disponível para agrupamento all-in-one porque não há necessidade de especificar pacotes marcados sem registro e prioridade quando todos os pacotes são mapeados para um S-VLAN.

Você pode usar a opção native de especificar um S-VLAN para pacotes marcados não registrados e prioritários ao usar o agrupamento de muitos para um e mapear abordagens de interface específicas para mapear C-VLANs para S-VLANs. (Isso não se aplica a switches com suporte a ELS.) Caso contrário, os pacotes são descartados. A opção native não está disponível para agrupamento all-in-one porque não há necessidade de especificar pacotes marcados sem registro e prioridade quando todos os pacotes são mapeados para o S-VLAN. Veja a seção C-VLANs de mapeamento para S-VLANs deste documento para obter informações sobre os métodos de mapeamento de C-VLANs para S-VLANs.

Somente em sistemas QFabric, você pode usar a opção native de aplicar uma tag interna especificada a pacotes que se ingressam como não registrados em interfaces de acesso. Essa funcionalidade é útil se seu sistema QFabric se conectar a servidores que hospedam máquinas virtuais de clientes que enviam tráfego não registrado e o tráfego de cada cliente requer seu próprio VLAN enquanto é transportado pelo QFabric. Em vez de usar VLANs individuais para cada cliente (o que pode levar rapidamente à exaustão da VLAN), você pode aplicar uma etiqueta interna única (C-VLAN) ao tráfego de cada cliente e, em seguida, aplicar uma única tag externa (S-VLAN) para o transporte através do QFabric. Isso permite segregar o tráfego de seus clientes enquanto consome apenas uma VLAN QFabric. Use a opção inner-tag da declaração de mapeamento para conseguir isso.

Em switches não ELS, os filtros de firewall permitem que você mapeie uma interface para uma VLAN com base em uma política. Usar filtros de firewall para mapear uma interface para uma VLAN é útil quando você quer que um subconjunto de tráfego de uma porta seja mapeado para um VLAN selecionado em vez do VLAN designado. Para configurar um filtro de firewall para mapear uma interface para um VLAN, a opção vlan precisa ser configurada como parte do filtro de firewall e a opção mapping policy deve ser especificada na configuração da interface para cada interface lógica usando o filtro.

Nota:

Em um switch EX4300, você pode configurar várias interfaces lógicas na mesma porta Ethernet, mas cada interface lógica oferece suporte apenas a pacotes de marca única e essa tag deve incluir um ID VLAN diferente daqueles suportados pelas outras interfaces lógicas. Dada essa situação, você não pode habilitar o tunelamento Q-in-Q em portas Ethernet com várias subinterfaces lógicas.

O tunelamento Q-in-Q não afeta nenhum valor de classe de serviço (CoS) configurado em um C-VLAN. Essas configurações são retidas na tag C-VLAN e podem ser usadas após um pacote deixar um S-VLAN. Os valores de CoS não são copiados de tags C-VLAN para tags S-VLAN.

Dependendo da configuração de sua interface, você pode precisar ajustar o valor do MTU em seu tronco ou portas de acesso para acomodar os 4 bytes usados para a tag adicionada pelo tunelamento Q-in-Q. Por exemplo, se você usar o valor MTU padrão de 1514 bytes em suas portas de acesso e tronco, você precisa fazer um dos seguintes ajustes:

  • Reduza o MTU nos links de acesso em pelo menos 4 bytes para que os quadros não excedam o MTU do enlace do tronco quando as tags S-VLAN forem adicionadas.

  • Aumente o MTU no enlace do tronco para que o enlace possa lidar com o tamanho maior do quadro.

Nota:

Você pode configurar o tunelamento Q-in-Q apenas em portas de acesso (não em portas de tronco).

Como funciona a tradução de VLAN

A tradução de VLAN substitui uma tag C-VLAN de entrada por uma tag S-VLAN em vez de adicionar uma tag adicional. Portanto, a tag C-VLAN é perdida, de modo que um pacote de marca única normalmente não é registrado quando sai do S-VLAN (na outra extremidade do link). Se um pacote de entrada tiver aplicado um tunelamento Q-in-Q com antecedência, a tradução de VLAN substitui a tag externa e a tag interna é retida quando o pacote deixa o S-VLAN na outra extremidade do enlace. Os pacotes de entrada cujas tags não correspondem à tag C-VLAN são descartados, a menos que existam configurações adicionais de tradução de VLAN para essas tags.

Para configurar a tradução de VLAN, use a declaração de mapeamento swap no nível de [edit vlans interface] hierarquia. Enquanto as tags C-VLAN e S-VLAN forem exclusivas, você pode configurar mais de uma tradução C-VLAN-to-S-VLAN em uma porta de acesso. Se você está traduzindo apenas um VLAN em uma interface, você não precisa incluir a dot1q-tunneling declaração na configuração S-VLAN. Se você está traduzindo mais de um VLAN, você deve usar a dot1q-tunneling declaração.

Nota:

Você pode configurar a tradução de VLAN apenas em portas de acesso. Você não pode configurá-lo em portas de tronco e não pode configurar tunelamento Q-in-Q na mesma porta de acesso. Você pode configurar apenas uma tradução de VLAN para uma determinada VLAN e interface. Por exemplo, você não pode criar mais do que uma tradução para VLAN 100 na interface xe-0/0/0.

Nota:

A tradução de VLAN não é suportada em sistemas QFabric.

Usando a tradução dupla de tags VLAN

A partir do Junos OS Release 14.1X53-D40, você pode usar o recurso de tradução dupla de tags VLAN (também conhecida como reescrita de tag VLAN dupla) para implantar switches em domínios de provedores de serviços, permitindo que pacotes VLAN de marcação dupla, com marcação única e não registrados entrem ou saiam do switch. Tabela 1 mostra as operações adicionadas para a tradução dupla de tags VLAN.

Tabela 1: Operações adicionadas com a reescrita da tag Dual VLAN

Operação

Função

swap-push

Troque uma tag VLAN e empurre uma nova tag VLAN

pop-swap

Coloque uma tag VLAN externa e troque uma tag VLAN interna

swap de swap

Troque tags VLAN externas e internas

A tradução dupla de tags VLAN oferece suporte:

  • Configuração de S-VLANs (NNI) e C-VLANs (UNI) na mesma interface física

  • Protocolos de controle como VSTP, OSPF e LACP

  • Bisbilhotamento de IGMP

  • Configuração de um VLAN privado (PVLAN) e VLAN em uma interface de marca única

  • Uso de 0x8100 de TPID em tags VLAN internas e externas

Veja a configuração de uma configuração de tradução de tag VLAN dupla em switches QFX.

Envio e recebimento de pacotes não registrados

Para permitir que uma interface envie e receba pacotes não registrados, você deve especificar uma VLAN nativa para uma interface física. Quando a interface recebe um pacote não registrado, ela adiciona o ID VLAN da VLAN nativa ao pacote no campo C-VLAN e adiciona a tag S-VLAN também (para que o pacote seja marcado duas vezes), e envia o pacote recém-marcado para a interface mapeada.

O parágrafo anterior não se aplica a:

  • Switches não ELS.

  • Switches EX4300 em execução sob uma versão Junos antes do Junos OS Release 19.3R1.

Quando os switches da lista curta acima recebem um pacote não registrado, eles adicionam a tag S-VLAN ao pacote (para que o pacote seja marcado individualmente) e enviem o pacote recém-marcado para a interface mapeada.

Nota:

Garanta que todos os switches configurados em sua configuração Q-in-Q operem com a abordagem de tag única ou a abordagem de tag dupla. A configuração não funcionará se os switches não tiverem a mesma abordagem.

A partir do Junos OS Release 19.3R1, você pode configurar switches EX4300 para usar a abordagem de tag dupla. Defina a declaração de configuração de entrada nativa-vlan-push e enable garanta que a declaração de configuração do mapa de entrada vlan seja definida como pushmostrado no exemplo a seguir:

Nota:

Em switches que oferecem suporte a enable esse recurso, com exceção do switch EX4300, a declaração de push nativo de entrada é definida por padrão. (A input-native-vlan-push declaração é definida disable por padrão no switch EX4300.) No entanto, recomendamos que você verifique a configuração para garantir que o mapa de entrada vlan esteja definido push— o recurso não funciona se essa configuração não estiver no local.

Para especificar uma VLAN nativa, use a native-vlan-id declaração no nível de [edit interfaces interface-name] hierarquia. O VLAN ID nativo deve combinar com o C-VLAN ou S-VLAN ID ou ser incluído na lista de ID VLAN especificada na interface lógica.

Por exemplo, em uma interface lógica para uma interface C-VLAN, você pode especificar uma lista de ID C-VLAN de 100-200. Em seguida, na interface física C-VLAN, você pode especificar um VLAN ID nativo de 150. Essa configuração funcionaria porque o VLAN nativo de 150 está incluído na lista de ID C-VLAN de 100-200.

Recomendamos configurar uma VLAN nativa ao usar qualquer uma das abordagens para mapear C-VLANs para S-VLANs. Veja a seção C-VLANs de mapeamento para S-VLANs neste tópico para obter informações sobre os métodos de mapeamento de C-VLANs para S-VLANs.

Desativação do aprendizado de endereço MAC

Em uma implantação Q-in-Q, os pacotes de clientes de interfaces downstream são transportados sem alterações nos endereços MAC de origem e destino. Você pode desativar o aprendizado de endereço MAC em níveis globais, de interface e VLAN:

  • Para desativar o aprendizado globalmente, desativar o aprendizado de endereço MAC para o switch.

  • Para desativar o aprendizado de uma interface, desativar o aprendizado de endereço MAC para todas as VLANs das quais a interface especificada é um membro.

  • Para desativar o aprendizado de um VLAN, desabiibilize o aprendizado de endereço MAC para um VLAN especificado.

Desativar o aprendizado de endereço MAC em uma interface desativa o aprendizado para todas as VLANs das quais essa interface é um membro. Quando você desativa o aprendizado de endereço MAC em um VLAN, os endereços MAC que já foram aprendidos são liberados.

Se você desativar o aprendizado de endereço MAC em uma interface ou VLAN, você não pode incluir a autenticação 802.1X nessa mesma configuração VLAN.

Quando uma interface VLAN (RVI) roteada está associada a uma interface ou uma VLAN na qual o aprendizado de endereço MAC é desativado, as rotas de Camada 3 resolvidas nessa VLAN ou essa interface não são resolvidas com o componente de Camada 2. Isso resulta em pacotes roteados inundando todas as interfaces associadas à VLAN.

Mapeamento de C-VLANs para S-VLANs

Existem várias maneiras de mapear C-VLANs para uma S-VLAN:

Nota:

Se você configurar vários métodos de mapeamento, o switch dá prioridade ao mapeamento de uma interface específica, depois a muitos agrupamentos e por último ao agrupamento all-in-one. No entanto, para um método de mapeamento específico, a configuração de regras sobrepostas para o mesmo C-VLAN não é suportada.

  • Agrupamento all-in-one — Use a edit vlans s-vlan-name dot1q-tunneling declaração sem especificar VLANs de clientes. Todos os pacotes recebidos em todas as interfaces de acesso (incluindo pacotes não registrados) são mapeados para o S-VLAN.

  • Agrupamento de muitos para um — Use a edit vlans s-vlan-name dot1q-tunneling customer-vlans declaração para especificar quais C-VLANs são mapeadas para o S-VLAN. Use este método quando quiser que um subconjunto de C-VLANs faça parte do S-VLAN. Se você quiser que pacotes marcados sem registro ou prioridade sejam mapeados para o S-VLAN, use a opção native com a customer-vlans declaração. (Os pacotes marcados pela prioridade têm seu ID VLAN definido para 0, e seus bits de ponto de código de prioridade podem ser configurados com um valor cos.)

  • Agrupamento de muitos para muitos — Use muitos para muitos agrupamentos quando quiser que um subconjunto de C-VLANs no switch de acesso faça parte de várias S-VLANs.

  • Mapeando uma interface específica — use a edit vlans s-vlan-name interface interface-name mapping declaração para especificar um C-VLAN para um determinado S-VLAN. Essa configuração se aplica a apenas uma interface — nem todas as interfaces de acesso como com o agrupamento all-in-one e muitos para um. Se você quiser que pacotes marcados sem registro ou prioridade sejam mapeados para o S-VLAN, use a opção native com a customer-vlans declaração.

    Este método tem duas opções: trocar e pressionar. Com a opção push, um pacote retém sua tag e uma tag VLAN adicional é adicionada. Com a opção de troca, a tag de entrada é substituída por uma tag S-VLAN. (Esta é a tradução de VLAN.)

    • Você pode configurar várias regras de push para um determinado S-VLAN e interface. Ou seja, você pode configurar uma interface para que a mesma tag S-VLAN seja adicionada a pacotes que chegam de várias C-VLANs.

    • Você pode configurar apenas uma regra de swap para um determinado S-VLAN e interface.

    Essa funcionalidade normalmente é usada para manter o tráfego de diferentes clientes separados ou para fornecer tratamento individualizado para o tráfego em uma determinada interface.

Se você configurar vários métodos, o switch dá prioridade ao mapeamento de uma interface específica, depois ao agrupamento de muitos para um e por último ao agrupamento all-in-one. No entanto, você não pode ter regras sobrepostas para o mesmo C-VLAN sob uma determinada abordagem. Por exemplo, você não pode usar muitos para um agrupamento para mapear C-VLAN 100 a duas S-VLANs diferentes.

Agrupamento all-in-one

Mapas de agrupamento all-in-one de todos os pacotes, desde todas as interfaces C-VLAN até um S-VLAN.

A interface C-VLAN aceita pacotes não registrados e com marca única. Uma tag S-VLAN 802.1Q é então adicionada a esses pacotes, e os pacotes são enviados para a interface S-VLAN, que aceita pacotes não registrados, com marca única e dupla marcação.

Nota:

As interfaces C-VLAN e S-VLAN aceitam pacotes não registrados, desde que a native-vlan-id declaração esteja configurada nessas interfaces.

Agrupamento de muitos para um

O agrupamento de muitos para um é usado para especificar quais C-VLANs são mapeadas para uma S-VLAN. O agrupamento de muitos para um está configurado usando a opção customer-vlans .

O agrupamento de muitos para um é usado quando você quer que um subconjunto de C-VLANs no switch de acesso faça parte do S-VLAN. Ao usar pacotes marcados por muitos para um, pacotes marcados sem registro e prioridade podem ser mapeados para o S-VLAN quando a opção native for especificada junto com a opção customer-vlans .

Agrupamento de muitos para muitos

Muitos para muitos agrupamentos são usados para especificar quais C-VLANs são mapeadas para quais S-VLANs.

Use muitos para muitos agrupamentos quando quiser que um subconjunto de C-VLANs no switch de acesso faça parte de várias S-VLANs. Com muitos a muitos agrupamentos, as interfaces C-VLAN aceitam pacotes não registrados e com marca única. Uma tag S-VLAN 802.1Q é então adicionada a esses pacotes, e os pacotes são enviados para as interfaces S-VLAN, que aceitam pacotes não registrados, com marca única e com marcação dupla.

Nota:

As interfaces C-VLAN e S-VLAN aceitam pacotes não registrados, desde que a native-vlan-id declaração esteja configurada nessas interfaces.

Mapeamento de uma interface específica

Use mapeamento de interface específico quando quiser atribuir uma S-VLAN a um C-VLAN específico em uma interface. A configuração se aplica apenas à interface específica, não a todas as interfaces de acesso.

O mapeamento de interface específico tem duas subopções: push e swap. Quando o tráfego mapeado para uma interface específica é empurrado, o pacote retém sua tag original à medida que se move do C-VLAN para o S-VLAN e uma tag S-VLAN adicional é adicionada ao pacote. Quando o tráfego mapeado para uma interface específica é trocado, a tag de entrada é substituída por uma nova tag VLAN. Às vezes, é conhecida a reescrita VLAN ou a tradução de VLAN.

Normalmente, esse método é usado para manter os dados de diferentes clientes separados ou para fornecer tratamento individualizado dos pacotes em uma determinada interface. Você também pode usar esse método para mapear o tráfego VLAN de diferentes clientes para um único S-VLAN.

Ao usar mapeamento de interface específico, as interfaces C-VLAN aceitam pacotes não registrados e com marcação única, enquanto as interfaces S-VLAN aceitam pacotes não registrados, com marca única e com marcação dupla.

Nota:

As interfaces C-VLAN e S-VLAN aceitam pacotes não registrados, desde que a native-vlan-id declaração esteja configurada nessas interfaces.

Combinação de métodos e restrições de configuração

Se você configurar vários métodos, o switch dá prioridade ao mapeamento de uma interface específica, depois ao agrupamento de muitos para um e por último ao agrupamento all-in-one. Uma interface de acesso configurada sob um pacote all-in-one não pode fazer parte de um pacote de muitos para um. No entanto, pode ter mapeamentos adicionais definidos.

Para garantir resultados determinísticos, as seguintes restrições de configuração aplicam-se:

  • O mapeamento não pode ser definido para vlans não registrados.

  • Uma interface de acesso pode ter várias faixas de VLAN do cliente, mas uma interface não pode ter tags sobrepostas nas VLANs.

    Por exemplo, a configuração a seguir não é permitida:

    Como a customer-2 configuração cria faixas sobrepostas customer-vlan para ge-0/0/0, ela é inválida.

  • Uma interface de acesso pode ter uma única regra que mapeia um pacote não registrado para um VLAN.

  • Cada interface pode ter no máximo uma regra de troca de mapeamento por VLAN.

  • Você só pode pressionar uma tag VLAN nas portas de acesso de uma VLAN Q-in-Q. Essa restrição se aplica aos três métodos de empurrar uma tag VLAN: ou seja, agrupamento all-in-one, agrupamento de muitos para um e mapeamento de uma interface específica usando push.

  • Você pode pressionar diferentes tags C-VLAN para um determinado S-VLAN em diferentes interfaces. Isso pode potencialmente resultar em vazamento de tráfego em VLANs, dependendo da sua configuração.

Interfaces VLAN roteadas em VLANs Q-in-Q

Interfaces VLAN roteadas (RVIs) são suportadas em VLANs Q-in-Q.

Os pacotes que chegam em um RVI que está usando VLANs Q-in-Q serão roteados, independentemente de o pacote ser marcado único ou duplo. Os pacotes roteados de saída contêm apenas uma tag S-VLAN ao sair de uma interface de tronco; os pacotes saem da interface sem registro ao sair de uma interface de acesso.

Restrições para tunelamento Q-in-Q e tradução de VLAN

Esteja ciente das seguintes restrições ao configurar o tunelamento Q-in-Q e a tradução de VLAN:

  • O tunelamento Q-in-Q oferece suporte a apenas duas tags VLAN.

  • O tunelamento Q-in-Q não oferece suporte à maioria dos recursos de segurança da porta de acesso. Não há policiamento por VLAN (cliente) ou modelagem e limitação por VLAN (saída) com tunelamento Q-in-Q, a menos que você configure esses recursos de segurança usando filtros de firewall.

  • Com versões do Junos OS Release 13.2X51 anteriores à versão 13.2X51-D20, você não pode criar um VLAN regular em uma interface se tiver criado um S-VLAN ou C-VLAN nessa interface para tunelamento Q-in-Q. Isso significa que você não pode criar uma interface integrada de roteamento e ponte (IRB) nessa interface, porque as VLANs regulares são uma parte necessária da configuração IRB. Com o Junos OS Release 13.2X51-D25, você pode criar um VLAN regular em uma interface de tronco que tem um S-VLAN, o que significa que você também pode criar uma interface IRB no tronco. Nesse caso, o VLAN e o S-VLAN regulares na mesma interface de tronco não podem compartilhar o mesmo VLAN ID. O Junos OS Release 13.2X51-D25 não permite que você crie uma VLAN regular em uma interface de acesso que tenha um C-VLAN.

  • A partir do Junos OS Release 14.1X53-D40, interfaces integradas de roteamento e ponte (IRB) são suportadas em VLANs Q-in-Q — você pode configurar a interface IRB na mesma interface que uma usada por um S-VLAN, e você pode usar o mesmo VLAN ID para o VLAN usado pela interface IRB e para o VLAN usado como um S-VLAN.

    Os pacotes que chegam em uma interface IRB que usa VLANs Q-in-Q serão roteados independentemente de o pacote ser marcado único ou marcado duas vezes. Os pacotes roteados de saída contêm apenas uma tag S-VLAN ao sair de uma interface de tronco; os pacotes saem da interface sem registro ao sair de uma interface de acesso.

    Nota:

    Você pode configurar a interface IRB apenas em interfaces S-VLAN (NNI), não em interfaces C-VLAN (UNI).

  • O suporte para switches QFX5K com interfaces Q-in-Q usando a vlan-tags declaração está limitado a interfaces de Camada 2. Interfaces de Camada 3 configuradas com declarações de Q-iQ vlan-tags podem não funcionar como esperado.

  • A maioria dos recursos de segurança de porta de acesso não é suportada com tunelamento Q-in-Q e tradução de VLAN.

  • A configuração do tunelamento Q-in-Q e a reescrita VLAN/tradução de VLAN na mesma porta não é suportada.

  • Você pode configurar no máximo uma tradução VLAN de reescrita/VLAN para um determinado VLAN e interface. Por exemplo, você não pode criar mais do que uma tradução para VLAN 100 na interface xe-0/0/0.

  • O total combinado de VLANs e regras para tunelamento Q-in-Q e tradução de VLAN não pode exceder 6000. Por exemplo, você pode configurar e comprometer 4000 VLANs e 2000 regras para tunelamento Q-in-Q e tradução de VLAN. No entanto, você não pode configurar 4000 VLANs e 2500 regras para tunelamento Q-in-Q e tradução de VLAN. Se você tentar comprometer uma configuração que excede o limite, você verá erros de CLI e syslog que informam você sobre o problema.

  • Você não pode usar o VLAN ID nativo.

  • Os endereços MAC são aprendidos com S-VLANs, não C-VLANs.

  • Broadcast, unicast desconhecido e tráfego multicast são encaminhados a todos os membros da S-VLAN.

  • Os recursos a seguir não são suportados com tunelamento Q-in-Q:

    • Transmissão de DHCP

    • Fibre Channel over Ethernet

    • Proteção de origem IP

  • Os recursos a seguir não são suportados com reescrita VLAN/tradução VLAN:

    • Fibre Channel over Ethernet

    • Filtro de firewall aplicado a uma porta ou VLAN na direção de saída

    • VLANs privadas

    • Protocolo VLAN Spanning Tree

    • Relé reflexivo

Configuração de tunelamento Q-in-Q em switches da Série QFX

O tunelamento Q-in-Q e a tradução de VLAN permitem que os provedores de serviços criem uma conexão Ethernet de Camada 2 entre dois sites de clientes. Os provedores podem segregar o tráfego VLAN de diferentes clientes em um link (por exemplo, se os clientes usarem IDs VLAN sobrepostos) ou empacotar VLANs de clientes diferentes em um único VLAN de serviço. Os data centers podem usar tunelamento Q-in-Q para isolar o tráfego do cliente em um único local ou quando o tráfego do cliente flui entre data centers de nuvem em diferentes locais geográficos.

A partir do Junos OS Release 19.4R1, a linha de switches QFX10000 oferece suporte à terceira e quarta tags Q-in-Q como carga útil (também conhecida como tag pass-through) juntamente com as duas tags existentes (para correspondência de VLAN e operações). Os switches QFX10000 oferecem suporte a várias tags Q-in-Q para pontes de Camada 2 e casos de EVPN-VXLAN. As interfaces de acesso de Camada 2 aceitam pacotes com três ou quatro tags (todas tags com o valor TPID 0x8100). Todas as tags além da quarta tag (ou seja, a partir da quinta tag em diante) são consideradas parte da carga útil da Camada 3 e são encaminhadas de forma transparente.

Nota:

Em um ou dois pacotes marcados, as etiquetas, a tag 1 e a tag 2 podem transportar quaisquer valores de TPID, como 0x8100, 0x88a8, 0x9100 e 0x9200.

Antes de começar a configurar o tunelamento Q-in-Q, certifique-se de ter criado e configurado as VLANs de clientes necessárias nos switches vizinhos. Veja Configuração de VLANs em switches.

Para configurar o tunelamento Q-in-Q:

  1. Crie o VLAN de serviço (S-VLAN) e configure um ID para ele:
  2. Habilite o tunelamento Q-in-Q na S-VLAN:
  3. Defina as VLANs de clientes (C-VLANs) permitidas no S-VLAN (opcional). Aqui, as C-VLANs são identificadas por uma variedade:
  4. Configure um valor global para o identificador de protocolo de tag (EtherType) das tags VLAN de serviço (opcional):

Dependendo da configuração de sua interface, você pode precisar ajustar o valor do MTU em seu tronco ou portas de acesso para acomodar os 4 bytes usados para a tag adicionada pelo tunelamento Q-in-Q. Por exemplo, se você usar o valor MTU padrão de 1514 bytes em suas portas de acesso e tronco, você precisa fazer um dos seguintes ajustes:

  • Reduza o MTU nos links de acesso em pelo menos 4 bytes para que os quadros não excedam o MTU do enlace do tronco quando as tags S-VLAN forem adicionadas.

  • Aumente o MTU no enlace do tronco para que o enlace possa lidar com o tamanho maior do quadro.

Configuração de tunelamento Q-in-Q em switches da Série EX com suporte a ELS

Nota:

Essa tarefa usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS). Se o seu switch executar um software que não oferece suporte ao ELS, consulte a configuração do tunelamento Q-in-Q nos switches da Série EX. Para obter detalhes do ELS, consulte o uso da CLI aprimorada de software de Camada 2.

O tunelamento Q-in-Q permite que provedores de serviços em redes de acesso Ethernet segregassem ou empacotassem o tráfego de clientes em diferentes VLANs adicionando outra camada de tags 802.1Q. Você pode configurar o tunelamento Q-in-Q em switches da Série EX.

Nota:

Você não pode configurar a autenticação do usuário 802.1X em interfaces que foram habilitadas para tunelamento Q-in-Q.

Quando o tunelamento Q-in-Q é configurado nos switches da Série EX, assume-se que as interfaces de tronco fazem parte da rede do provedor de serviços e as interfaces de acesso são assumidas como parte da rede do cliente. Portanto, esse tópico também se refere às interfaces de tronco como interfaces VLAN (S-VLAN) de provedores de serviços (interfaces de rede a rede [NNI]), e a interfaces de acesso como interfaces VLAN (C-VLAN) do cliente (interfaces de rede de usuário [UNI]).

Antes de começar a configurar o tunelamento Q-in-Q, certifique-se de configurar suas VLANs. Consulte a configuração de VLANs para switches da Série EX com suporte a ELS (procedimento CLI) ou configuração de VLANs para switches da Série EX (Procedimento J-Web).

Configure o tunelamento Q-in-Q usando um dos seguintes métodos para mapear C-VLANs para S-VLANs:

Configuração do agrupamento all-in-one

Você pode configurar o tunelamento Q-in-Q usando o método de agrupamento all-in-one, que mapeia pacotes de todas as interfaces C-VLAN em um switch para um S-VLAN.

Para configurar o método de agrupamento all-in-one em uma interface C-VLAN:

  1. Habilite a transmissão de pacotes sem uma única tag VLAN 802.1Q:
  2. Habilite o encapsulamento estendido da ponte VLAN:
  3. Mapeie pacotes de todas as C-VLANs para uma interface lógica:
    Nota:

    Você não pode aplicar mais do que oito listas de identificadores VLAN em uma interface física.

  4. Habilite uma interface C-VLAN para enviar e receber pacotes não registrados:

    Ao especificar um VLAN ID nativo em uma interface física C-VLAN, o valor deve ser incluído na lista VLAN ID especificada na interface lógica C-VLAN na etapa 3.

  5. Especifique que os pacotes que viajam de uma interface C-VLAN para uma interface S-VLAN são marcados com o ID VLAN da S-VLAN:
  6. Especifique que a tag S-VLAN 802.1Q é removida à medida que os pacotes saem de uma interface S-VLAN.
  7. Configure um nome para o S-VLAN e associe a interface lógica configurada na etapa 3 com o S-VLAN:

A configuração a seguir na interface C-VLAN ge-0/0/1 permite tunelamento Q-in-Q e pacotes de mapas de C-VLANs de 100 a 200 para a interface lógica 10, que por sua vez está associada ao S-VLAN v10. Nesta configuração de amostra, um pacote originado em C-VLAN 100 inclui uma tag com o VLAN ID 100. Quando este pacote viaja da interface ge-0/0/1 para a interface S-VLAN, uma tag com VLAN ID 10 é adicionada a ela. Conforme o pacote sai da interface S-VLAN, a tag com o VLAN ID 10 é removida.

Para configurar o método de agrupamento all-in-one em uma interface S-VLAN:

  1. Habilite a transmissão de pacotes sem nenhuma, uma ou duas tags VLAN 802.1Q:

  2. Habilite o encapsulamento estendido da ponte VLAN:

  3. Mapeie pacotes da interface lógica especificada na configuração da interface C-VLAN para o S-VLAN:

  4. Habilite a interface S-VLAN para enviar e receber pacotes não registrados:

    Ao especificar um VLAN ID nativo em uma interface física S-VLAN, o valor deve combinar com o VLAN ID especificado na interface lógica S-VLAN na etapa 3.

  5. Associe a interface S-VLAN com a S-VLAN configurada no procedimento de interface C-VLAN:

Por exemplo, a configuração a seguir na interface S-VLAN ge-1/1/1 permite tunelamento Q-in-Q e pacotes de mapas com uma tag VLAN ID de 10 a interface lógica 10, que por sua vez está associada ao S-VLAN v10. .

Configurando o agrupamento de muitos para muitos

Você pode configurar o tunelamento Q-in-Q usando o método de agrupamento de muitos para muitos, que mapeia pacotes de várias C-VLANs a várias S-VLANs.

Para configurar o método de agrupamento de muitos para muitos em uma interface C-VLAN:

  1. Habilite a transmissão de pacotes sem uma única tag VLAN 802.1Q:
  2. Habilite o encapsulamento estendido da ponte VLAN:
  3. Mapeie pacotes de C-VLANs especificados para uma interface lógica:
  4. Habilite uma interface C-VLAN para enviar e receber pacotes não registrados:

    Ao especificar um VLAN ID nativo em uma interface física C-VLAN, o valor deve ser incluído na lista VLAN ID especificada na interface lógica C-VLAN na etapa 3.

  5. Especifique que os pacotes que viajam de uma interface C-VLAN para uma interface S-VLAN são marcados com o ID VLAN da S-VLAN:
  6. Especifique que a tag S-VLAN 802.1Q é removida conforme os pacotes saem de uma interface S-VLAN:
  7. Configure um nome para um S-VLAN e associe a interface lógica configurada na etapa 3 com o S-VLAN:

A configuração a seguir na interface C-VLAN ge-0/0/1 para o cliente 1 permite tunelamento Q-in-Q e pacotes de mapas de C-VLANs de 100 a 120 para interface lógica 10, que por sua vez está associada ao S-VLAN v10.

A configuração na interface C-VLAN ge-0/0/2 para o cliente 2 permite tunelamento Q-in-Q e pacotes de mapas de C-VLANs de 30 a 40, 50 a 60 e de 70 a 80 para a interface lógica 30, que por sua vez está associada ao S-VLAN v30.

Nesta configuração de amostra, um pacote originado em C-VLAN 100 inclui uma tag com o VLAN ID 100. Quando este pacote viaja da interface ge-0/0/1 para a interface S-VLAN, uma tag com um VLAN ID de 10 é adicionada a ela. Conforme o pacote sai da interface S-VLAN, a tag com o VLAN ID de 10 é removida.

Cliente 1

Cliente 2

Para configurar o método de agrupamento de muitos para muitos em uma interface S-VLAN:

  1. Habilite a transmissão de pacotes sem nenhuma, uma ou duas tags VLAN 802.1Q:

  2. Habilite o encapsulamento estendido da ponte VLAN:

  3. Mapeie pacotes de cada interface lógica especificada na configuração da interface C-VLAN para um S-VLAN:

  4. Habilite uma interface S-VLAN para enviar e receber pacotes não registrados:

    Ao especificar um VLAN ID nativo em uma interface física S-VLAN, o valor deve combinar com um ID S-VLAN especificado na interface lógica S-VLAN na etapa 3.

  5. Associe a interface S-VLAN com as S-VLANs configuradas no procedimento de interface C-VLAN:

Por exemplo, a configuração a seguir na interface S-VLAN ge-1/1/1 permite tunelamento Q-in-Q e mapas de entrada de pacotes C-VLAN para interfaces lógicas 10 e 30, que por sua vez estão associadas a S-VLANs v10 e v30, respectivamente.

Configurando um mapeamento de interface específico com a opção de reescrever VLAN

Você pode configurar o tunelamento Q-in-Q mapeando pacotes de um C-VLAN especificado para um S-VLAN especificado. Além disso, enquanto os pacotes são transmitidos de e para o S-VLAN, você pode especificar que a tag C-VLAN 802.1Q seja removida e substituída pela tag S-VLAN ou vice-versa.

Para configurar um mapeamento de interface específico com a reescrita de VLAN na interface C-VLAN:

  1. Habilite a transmissão de pacotes sem uma tag VLAN 802.1Q:
  2. Habilite o encapsulamento estendido da ponte VLAN:
  3. Mapeie pacotes de um C-VLAN especificado para uma interface lógica:
  4. Habilite a interface C-VLAN para enviar e receber pacotes não registrados:

    Ao especificar um VLAN ID nativo em uma interface física C-VLAN, o valor deve combinar com o VLAN ID especificado na interface lógica C-VLAN na etapa 3.

  5. Especifique que a tag 802.1Q C-VLAN existente é removida de pacotes que viajam de uma interface C-VLAN para uma interface S-VLAN e substituídos pela tag S-VLAN 802.1Q:
  6. Especifique que a tag S-VLAN 802.1Q existente é removida de pacotes que viajam de uma interface S-VLAN para uma interface C-VLAN e substituídos pela tag C-VLAN 802.1Q:
  7. Configure um nome para o S-VLAN e associe a interface lógica configurada na etapa 3 com o S-VLAN:

Por exemplo, a configuração a seguir na interface C-VLAN ge-0/0/1 permite tunelamento Q-in-Q e mapas de entrada de pacotes de C-VLAN 150 para interface lógica 200, que por sua vez está associada ao VLAN v200. Além disso, conforme os pacotes viajam da interface C-VLAN ge-0/0/1 para uma interface S-VLAN, a tag C-VLAN 150 é removida e substituída pela tag S-VLAN 200. Conforme os pacotes viajam de uma interface S-VLAN para a interface C-VLAN ge-0/0/1, a tag S-VLAN 200 é removida e substituída pela tag C-VLAN de 150.

Para configurar um mapeamento de interface específico com a reescrita de VLAN na interface S-VLAN:

  1. Habilite a transmissão de pacotes sem nenhuma, uma ou duas tags VLAN 802.1Q:

  2. Habilite o encapsulamento estendido da ponte VLAN:

  3. Mapeie pacotes da interface lógica especificada na configuração da interface C-VLAN para o S-VLAN:

  4. Habilite a interface S-VLAN para enviar e receber pacotes não registrados:

    Ao especificar um VLAN ID nativo em uma interface física S-VLAN, o valor deve combinar com o VLAN ID especificado na interface lógica S-VLAN na etapa 3.

  5. Associe a interface S-VLAN com a S-VLAN configurada no procedimento de interface C-VLAN: :

Por exemplo, a configuração a seguir na interface S-VLAN ge-1/1/1 permite tunelamento Q-in-Q e pacotes de mapas com VLAN ID 200 para interface lógica 200, que por sua vez está associada ao S-VLAN v200.

Configuração de tunelamento Q-in-Q em switches da Série EX

Nota:

Essa tarefa usa o Junos OS para switches da Série EX que não suportam o estilo de configuração de Software de Camada 2 (ELS) aprimorado.

O tunelamento Q-in-Q permite que provedores de serviços em redes de acesso Ethernet segregassem ou empacotassem o tráfego de clientes em diferentes VLANs adicionando outra camada de tags 802.1Q. Você pode configurar o tunelamento Q-in-Q em switches da Série EX.

Nota:

Você não pode configurar a autenticação do usuário 802.1X em interfaces que foram habilitadas para tunelamento Q-in-Q.

Antes de começar a configurar o tunelamento Q-in-Q, certifique-se de configurar suas VLANs. Veja a configuração de VLANs para switches da Série EX ou a configuração de VLANs para switches da Série EX (procedimento J-Web).

Para configurar o tunelamento Q-in-Q:

  1. Habilite o tunelamento Q-in-Q na S-VLAN:
  2. Defina as C-VLANs permitidas no S-VLAN (opcional). Aqui, as C-VLANs são identificadas pela faixa VLAN:
  3. Altere o valor global do Ethertype (opcional):
  4. Desativar o aprendizado de endereço MAC no S-VLAN (opcional):

Configuração do tunelamento Q-in-Q na Série ACX

SUMMARY 

Tunelamento Q-in-Q na visão geral da Série ACX

O tunelamento Q-in-Q permite que os provedores de serviços criem uma conexão Ethernet de Camada 2 entre dois sites de clientes. Os provedores podem segregar o tráfego VLAN de diferentes clientes em um link (por exemplo, se os clientes usarem IDs VLAN sobrepostos) ou empacotar VLANs de clientes diferentes em um único VLAN de serviço. Os provedores de serviços podem usar o tunelamento Q-in-Q para isolar o tráfego do cliente em um único local ou permitir fluxos de tráfego de clientes em locais geográficos.

O tunelamento Q-in-Q adiciona uma tag VLAN de serviço antes das tags VLAN 802.1Q do cliente. A implementação do sistema operacional Junos da Juniper Networks de tunelamento Q-in-Q oferece suporte ao padrão IEEE 802.1ad.

No tunelamento Q-in-Q, enquanto um pacote viaja de um cliente VLAN (C-VLAN) para o VLAN (S-VLAN) de um provedor de serviços, outra tag 802.1Q para o S-VLAN apropriado é adicionada antes da tag C-VLAN. A tag C-VLAN permanece e é transmitida pela rede. Conforme o pacote sai do espaço S-VLAN, na direção downstream, a tag S-VLAN 802.1Q é removida.

Nos roteadores da Série ACX, você pode configurar o tunelamento Q-in-Q configurando explicitamente um mapa VLAN de entrada com push função em interfaces voltadas para o cliente em um domínio de ponte.

Você pode configurar o tunelamento Q-in-Q na interface Ethernet agregada configurando o mapa VLAN de entrada e saída.

Configuração do tunelamento Q-in-Q na Série ACX

Para configurar o tunelamento Q-in-Q, você precisa configurar a interface lógica conectada à rede do cliente (interfaces de usuário para rede (UNI) e a interface lógica conectada à rede do provedor de serviços (interface de rede para rede (NNI)).

O exemplo a seguir é configurar uma interface lógica conectada a uma rede do cliente:

O exemplo a seguir é configurar uma interface lógica conectada a uma rede de provedores de serviços:

O exemplo a seguir é configurar o domínio da ponte:

Você pode configurar o tunelamento Q-in-Q na interface Ethernet agregada conectada à rede do cliente (UNI) e na interface lógica conectada à rede do provedor de serviços (NNI).

Configuração do tunelamento Q-in-Q usando o agrupamento all-in-one

Você pode configurar o tunelamento Q-in-Q usando o método de agrupamento all-in-one, que encaminha todos os pacotes que se ingressam em uma interface C-VLAN para um S-VLAN. (Os pacotes são encaminhados para o S-VLAN, independentemente de serem marcados ou não antes da entrada.) O uso dessa abordagem economiza o esforço de especificar um mapeamento específico para cada C-VLAN.

Primeiro configure o S-VLAN e sua interface:

  1. Atribua uma interface lógica (unidade) para ser um membro da S-VLAN.
    Nota:

    Não use a unidade de interface lógica 0. Mais tarde, você deve vincular um ID da tag VLAN à unidade que você especifica nesta etapa e não pode vincular um ID da tag VLAN à unidade 0. Observe também que você não cria um ID VLAN para o S-VLAN. O ID é criado automaticamente para a interface lógica apropriada.

  2. Habilite a interface para transmitir pacotes com duas tags VLAN de 802.1Q:
  3. Habilite o encapsulamento estendido da ponte VLAN na interface:
    Nota:

    Se você configurar uma configuração no estilo empresarial, como o PVLAN na mesma interface física na qual você está configurando tunelamento Q-in-Q, use set encapsulation flexible-ethernet-services . Veja a compreensão do encapsulamento flexível dos serviços de ethernet nos switches.

  4. Habilite a interface S-VLAN para enviar e receber pacotes não registrados:
  5. Vincule a interface lógica (unidade) da interface que você especificou na etapa 1 ao VLAN ID criado automaticamente para o S-VLAN:
Nota:

Se você configurar flexible-ethernet-services, configure vlan-bridge o encapsulamento na interface lógica:

Por exemplo, a configuração a seguir faz do xe-0/0/0,10 um membro do VLAN 10, permite o tunelamento Q-in-Q na interface xe-0/0/0, permite que xe-0/0/0 aceite pacotes não registrados e vincula o ID VLAN do S-VLAN v10 a uma interface lógica de xe-0/0/0/0.

Agora configure o agrupamento all-in-one em uma interface C-VLAN:

  1. Atribua uma interface lógica (unidade) da interface C-VLAN para ser um membro da S-VLAN.

  2. Habilite a interface para transmitir pacotes com tags VLAN de 802,1Q:

  3. Habilite o encapsulamento estendido da ponte VLAN na interface:

  4. Habilite a interface C-VLAN para enviar e receber pacotes não registrados:

  5. Configure uma interface lógica para receber e encaminhar qualquer pacote marcado cuja tag VLAN ID corresponda à lista de IDs VLAN que você especifica:

    CUIDADO:

    Você não pode aplicar mais do que oito listas de identificadores VLAN em uma interface física. Essa limitação não se aplica aos switches QFX10000.

  6. Configure o sistema para adicionar uma tag S-VLAN (tag externa) à medida que os pacotes viajam de uma interface C-VLAN para o S-VLAN:

    Nota:

    Você pode configurar vlan-idinput-vlan-map, mas isso é opcional.

  7. Configure o sistema para remover a tag S-VLAN quando os pacotes são encaminhados (internamente) da interface S-VLAN para a interface C-VLAN:

Por exemplo, a configuração a seguir faz do xe-0/0/1.10 um membro do S-VLAN v10, permite tunelamento Q-in-Q, mapeia pacotes de C-VLANs de 100 a 200 para S-VLAN 10 e permite que xe-0/0/1 aceite pacotes não registrados. Se um pacote tiver origem no C-VLAN 100 e precisar ser enviado pelo S-VLAN, uma tag com VLAN ID 10 será adicionada ao pacote. Quando um pacote é encaminhado (internamente) da interface S-VLAN para a interface xe-0/0/1, a tag com VLAN ID 10 é removida.

Configuração do tunelamento Q-in-Q usando o agrupamento de muitos para muitos

Você pode configurar o tunelamento Q-in-Q usando o método de agrupamento de muitos para muitos, que mapeia pacotes de várias C-VLANs a várias S-VLANs. Esse método é conveniente para mapear uma variedade de C-VLANs sem precisar especificar cada uma individualmente. (Você também pode usar este método para configurar apenas um C-VLAN a ser mapeado para um S-VLAN.)

Primeiro configure as S-VLANs e atribua-as a uma interface:

  1. Atribua uma interface lógica (unidade) para ser um membro de uma das S-VLANs. Não use a unidade de interface lógica 0.
    Nota:

    Observe que você não cria um VLAN ID para o S-VLAN. O ID é criado automaticamente para a interface lógica apropriada.

  2. Repita a etapa 1 para as outras S-VLANs.
  3. Habilite a interface física para transmitir pacotes com duas tags VLAN de 802,1Q:
  4. Habilite o encapsulamento estendido da ponte VLAN na interface:
  5. Habilite a interface S-VLAN para enviar e receber pacotes não registrados:
  6. Vincule uma das unidades lógicas da interface ao VLAN ID para uma das S-VLANs.
  7. Repita a etapa 6 para vincular os IDs VLAN criados automaticamente para as outras S-VLANs às outras unidades lógicas da interface:

Por exemplo, a configuração a seguir cria S-VLANs v10 e v30 e as associa com interface xe-0/0/0,10, permite tunelamento Q-in-Q, permite que xe-0/0/0 aceita pacotes não registrados e mapas que chegam pacotes C-VLAN para S-VLANs v10 e v30.

Para configurar o método de agrupamento de muitos para muitos em uma interface C-VLAN, execute as seguintes etapas para cada cliente:

  1. Atribua uma interface lógica (unidade) de uma interface C-VLAN para ser um membro de uma S-VLAN.

  2. Repita a etapa 1 para designar outra interface C-VLAN (interface física) para ser um membro de outro S-VLAN.

  3. Habilite a interface para transmitir pacotes com tags VLAN de 802,1Q:

  4. Habilite o encapsulamento estendido da ponte VLAN na interface:

  5. Habilite a interface C-VLAN para enviar e receber pacotes não registrados:

  6. Para cada interface física, configure uma interface lógica (unidade) para receber e encaminhar qualquer pacote marcado cuja tag VLAN ID corresponda à lista de IDs VLAN que você especifica:

    Para configurar apenas um C-VLAN a ser mapeado para um S-VLAN, especifique apenas um ID VLAN após a lista vlan-id.

    CUIDADO:

    Você não pode aplicar mais do que oito listas de identificadores VLAN em uma interface física. Essa limitação não se aplica aos switches QFX10000.

  7. Para cada interface física, configure o sistema para adicionar uma tag S-VLAN (tag externa) à medida que os pacotes viajam da interface C-VLAN para o S-VLAN:

  8. Para cada interface física, configure o sistema para remover a tag S-VLAN quando os pacotes são encaminhados da interface S-VLAN para a interface C-VLAN:

Por exemplo, a configuração a seguir faz do xe-0/0/1.10 um membro do S-VLAN v10, permite tunelamento Q-in-Q e mapeia pacotes de C-VLANs de 10 a 20 a S-VLAN 10. A configuração para o cliente 2 faz do xe-0/0/2,30 um membro do S-VLAN v30, permite tunelamento Q-in-Q e mapeia pacotes de C-VLANs de 30 a 40, 50 a 60 e de 70 a 80 para S-VLAN 30. Ambas as interfaces estão configuradas para aceitar pacotes não registrados.

Se um pacote tiver origem no C-VLAN 10 e precisar ser enviado pelo S-VLAN, uma tag com um VLAN ID 10 será adicionada ao pacote. Se um pacote for encaminhado internamente da interface S-VLAN para xe-0/0/1.10, a tag com VLAN ID 10 será removida. Os mesmos princípios se aplicam às C-VLANs configuradas na interface xe-0/0/2.

Nota:

Observe que você pode usar o mesmo valor de tag para um S-VLAN e C-VLAN. Por exemplo, a configuração para o cliente 1 mapeia C-VLAN ID 10 a S-VLAN ID 10. As tags C-VLAN e S-VLAN usam espaços de nome separados, de modo que essa configuração seja permitida.

Configuração para o cliente 1:

Configuração para o cliente 2:

Configurando um mapeamento de interface específico com a opção de tradução de ID VLAN

Você pode configurar o tunelamento Q-in-Q mapeando pacotes de um C-VLAN especificado para um S-VLAN especificado. Além disso, você pode configurar o sistema para substituir uma tag C-VLAN por uma tag S-VLAN ou substituir uma tag S-VLAN por uma tag C-VLAN (em vez de marcação dupla). Trata-se de tradução VLAN ou reescrita de VLAN. A tradução de VLAN é particularmente útil se a rede de Camada 2 de um provedor de serviços que conecta sites de um cliente não oferece suporte a pacotes com marca dupla.

Quando você usa a tradução de VLAN, ambas as extremidades do enlace normalmente devem ser capazes de trocar as tags adequadamente. Ou seja, ambas as extremidades do enlace devem ser configuradas para trocar a tag C-VLAN pela tag S-VLAN e trocar a tag S-VLAN pela tag C-VLAN para que o tráfego em ambas as direções seja marcado adequadamente durante o trânsito e após a chegada.

Primeiro configure o S-VLAN e sua interface:

  1. Atribua uma interface lógica para ser um membro da S-VLAN. Não use a unidade 0.
    Nota:

    Observe que você não cria um VLAN ID para o S-VLAN. O ID é criado automaticamente para a interface lógica apropriada.

  2. Habilite a interface para transmitir pacotes com tags VLAN de 802,1Q:
  3. Habilite a interface S-VLAN para enviar e receber pacotes não registrados:
  4. Habilite o encapsulamento estendido da ponte VLAN na interface:
  5. Vincule a interface lógica (unidade) da interface que você especificou anteriormente ao VLAN ID para o S-VLAN:

Por exemplo, a configuração a seguir cria o S-VLAN v200, faz do xe-0/0/0,200 um membro dessa VLAN, permite tunelamento Q-in-Q na interface xe-0/0/0, permite que xe-0/0/0/0 aceite pacotes não registrados e vincula uma interface lógica de xe-0/0/0 ao VLAN ID do VLAN v200.

Agora configure um mapeamento de interface específico com a tradução VLAN ID opcional na interface C-VLAN:

  1. Atribua uma interface lógica da interface C-VLAN para ser um membro da S-VLAN.

  2. Habilite a interface para transmitir pacotes com tags VLAN de 802,1Q:

  3. Habilite a interface C-VLAN para enviar e receber pacotes não registrados:

  4. Habilite o encapsulamento estendido da ponte VLAN na interface:

  5. Configure uma interface lógica (unidade) para receber e encaminhar qualquer pacote marcado cuja tag VLAN ID corresponda aos IDs VLAN que você especifica:

  6. Configure o sistema para remover a tag C-VLAN existente e substituí-la pela tag S-VLAN quando os pacotes forem ingressos na interface C-VLAN e forem encaminhados para o S-VLAN:

  7. Configure o sistema para remover a tag S-VLAN existente e substituí-la pela tag C-VLAN quando os pacotes são encaminhados da interface S-VLAN para a interface C-VLAN:

  8. Para configurar um S-VLAN e associá-lo à interface C-VLAN apropriada:

Por exemplo, a configuração a seguir na interface C-VLAN xe-0/0/1.200 permite o tunelamento Q-in-Q, permite que xe-0/0/1 aceite pacotes não registrados e mapee pacotes de entrada de C-VLAN 150 para interface lógica 200, que é um membro do S-VLAN 200. Além disso, quando os pacotes são retirados da interface C-VLAN xe-0/0/1 e viajam para a interface S-VLAN, a tag C-VLAN de 150 é removida e substituída pela tag S-VLAN de 200. Quando os pacotes viajam da interface S-VLAN para a interface C-VLAN, a tag S-VLAN de 200 é removida e substituída pela tag C-VLAN de 150.

Example: Configuração de tunelamento Q-in-Q em switches da Série QFX

Os provedores de serviços podem usar o tunelamento Q-in-Q para passar de maneira transparente o tráfego VLAN de Camada 2 entre os sites dos clientes sem remover ou alterar as tags VLAN do cliente ou as configurações de classe de serviço (CoS). Os data centers podem usar tunelamento Q-in-Q para isolar o tráfego do cliente em um único local ou quando o tráfego do cliente flui entre data centers de nuvem em diferentes locais geográficos.

Nota:

Este exemplo usa uma versão do Junos OS que não oferece suporte ao estilo de configuração de Software de Camada 2 Aprimorada (ELS). Se o seu switch executar um software que oferece suporte ao ELS, consulte a configuração de tunelamento Q-in-Q nos switches QFX Series, NFX Series e EX4600 com suporte a ELS.

Este exemplo descreve como configurar o tunelamento Q-in-Q:

Requisitos

Este exemplo requer um dispositivo da Série QFX com o Junos OS Release 12.1 ou posterior.

Antes de começar a configurar o tunelamento Q-in-Q, certifique-se de ter criado e configurado as VLANs de clientes necessárias nos switches vizinhos. Veja Configuração de VLANs em switches.

Visão geral e topologia

Nesta rede de provedores de serviços, existem várias VLANs de clientes mapeadas para uma VLAN de serviço.

Tabela 2 lista as configurações para a topologia da amostra.

Tabela 2: Componentes da topologia para configurar o tunelamento Q-in-Q
Interface Descrição

xe-0/0/11.0

Porta-tronco S-VLAN marcada

xe-0/0/12.0

Porta de acesso não registrada voltada para o cliente

xe-0/0/13.0

Porta de acesso não registrada voltada para o cliente

xe-0/0/14.0

Porta-tronco S-VLAN marcada

Configuração

Configuração rápida da CLI

Para criar e configurar rapidamente o tunelamento Q-in-Q, copie os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento

Procedimento passo a passo

Para configurar o tunelamento Q-in-Q:

  1. Defina o VLAN ID para o S-VLAN:

  2. Habilite o tunelamento Q-in-Q e especifique as faixas VLAN do cliente:

  3. Defina o modo de porta e as informações de VLAN para as interfaces:

  4. Defina o valor do Ethertype Q-in-Q (opcional):

Resultados

Confira os resultados da configuração:

Verificação

Confirme que a configuração está funcionando corretamente.

Verificar se o tunelamento Q-in-Q foi habilitado

Propósito

Verifique se o tunelamento Q-in-Q foi devidamente habilitado.

Ação

Use o show vlans comando:

Significado

A saída indica que o tunelamento Q-in-Q está habilitado e que o VLAN é marcado e mostra as VLANs de clientes associadas.

Example: Configuração de tunelamento Q-in-Q em switches da Série EX

Os provedores de serviços podem usar o tunelamento Q-in-Q para passar de maneira transparente o tráfego VLAN de Camada 2 de um site do cliente, pela rede do provedor de serviços, para outro site do cliente sem remover ou alterar as tags VLAN do cliente ou as configurações de classe de serviço (CoS). Você pode configurar o tunelamento Q-in-Q em switches da Série EX.

Este exemplo descreve como configurar Q-in-Q:

Requisitos

Este exemplo requer um switch da Série EX com o Junos OS Release 9.3 ou posterior para switches da Série EX.

Antes de começar a configurar o tunelamento Q-in-Q, certifique-se de ter criado e configurado as VLANs de clientes necessárias. Veja a configuração de VLANs para switches da Série EX ou a configuração de VLANs para switches da Série EX (procedimento J-Web).

Visão geral e topologia

Nesta rede de provedores de serviços, existem várias VLANs de clientes mapeadas para uma VLAN de serviço.

Tabela 3 lista as configurações para a topologia de exemplo.

Tabela 3: Componentes da topologia para configurar o tunelamento Q-in-Q
Interface Descrição

ge-0/0/11.0

Porta-tronco S-VLAN marcada

ge-0/0/12.0

Porta de acesso não registrada voltada para o cliente

ge-0/0/13.0

Porta de acesso não registrada voltada para o cliente

ge-0/0/14.0

Porta-tronco S-VLAN marcada

Configuração

Configuração rápida da CLI

Para criar e configurar rapidamente o tunelamento Q-in-Q, copie os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento

Procedimento passo a passo

Para configurar o tunelamento Q-in-Q:

  1. Defina o VLAN ID para o S-VLAN:

  2. Habilite a tuennling Q-in-Q e especifique as faixas de VLAN do cliente:

  3. Defina o modo de porta e as informações de VLAN para as interfaces:

  4. Defina o valor do Ethertype Q-in-Q:

Resultados

Confira os resultados da configuração:

Verificação

Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:

Verificar se o tunelamento Q-in-Q foi habilitado

Propósito

Verifique se o tunelamento Q-in-Q foi devidamente habilitado no switch.

Ação

Use o show vlans comando:

Significado

A saída indica que o tunelamento Q-in-Q está habilitado e que o VLAN é marcado e mostra as VLANs de clientes associadas.

Configuração de uma configuração de tradução de tag VLAN dupla em switches QFX

A partir do Junos OS Release 14.1X53-D40, você pode usar o recurso de tradução dupla de tags VLAN (também conhecida como reescrita de tag VLAN dupla) para implantar switches em domínios de provedores de serviços, permitindo que pacotes VLAN de marcação dupla, com marcação única e não registrados entrem ou saiam do switch.

A configuração do exemplo a seguir mostra o uso das operações de swap-swap, pop-swap e swap-push dual tag.

Verificar se o tunelamento Q-in-Q está funcionando em switches

Propósito

Depois de criar uma VLAN Q-in-Q, verifique se ela está configurada corretamente.

Ação

  1. Use o show configuration vlans comando para determinar se você criou com sucesso as configurações de VLAN primária e secundária:

  2. Use o show vlans comando para visualizar as informações de VLAN e o status do link:

Significado

A saída confirma que o tunnling Q-in-Q está habilitado e que o VLAN está marcado, e lista as VLANs do cliente associadas à VLAN marcada.

Tabela de histórico de liberação
Versão
Descrição
19.4R1
A partir do Junos OS Release 19.4R1, a linha de switches QFX10000 oferece suporte à terceira e quarta tags Q-in-Q como carga útil (também conhecida como tag pass-through) juntamente com as duas tags existentes (para correspondência de VLAN e operações).
14.1X53-D40
A partir do Junos OS Release 14.1X53-D40, você pode usar o recurso de tradução dupla de tags VLAN (também conhecida como reescrita de tag VLAN dupla) para implantar switches em domínios de provedores de serviços, permitindo que pacotes VLAN de marcação dupla, com marcação única e não registrados entrem ou saiam do switch.
14.1X53-D30
A partir do Junos OS 14.1X53-D30, você pode configurar a mesma interface para ser uma interface S-VLAN/NNI e uma interface C-VLAN/UNI.