Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de tunelamento Q-in-Q e túnel Q-in-Q VLAN e tradução de VLAN

Compreender o túnel Q-in-Q e a tradução de VLAN

O tunelamento Q-in-Q e a tradução de VLAN permitem que provedores de serviços criem uma conexão Ethernet de Camada 2 entre dois sites de clientes. Os provedores podem separar o tráfego VLAN de diferentes clientes em um enlace (por exemplo, se os clientes usarem IDs VLAN sobrepostos) ou agrupar VLANs diferentes de clientes em uma única VLAN de serviço. Os data centers podem usar tunelamento Q-in-Q e tradução de VLAN para isolar o tráfego do cliente em um único site ou permitir fluxos de tráfego de clientes entre data centers na nuvem em diferentes locais geográficos.

Usando tunelamento Q-in-Q, os provedores podem separar ou agrupar o tráfego do cliente em menos VLANs ou VLANs diferentes adicionando outra camada de tags 802.1Q. O tunelamento Q-in-Q é útil quando os clientes têm IDs VLAN sobrepostos, porque as tags VLAN (dot1Q) do cliente são preponderadas pela etiqueta VLAN (S-VLAN) do serviço. A Juniper Networks Sistema operacional Junos (Junos OS) de tunelamento Q-in-Q aceita o IEEE padrão 802.1ad.

Este tópico descreve:

Como funciona o tunelamento Q-in-Q

No tunelamento Q-in-Q, conforme um pacote vai de um VLAN (C-VLAN) ao VLAN de um provedor de serviços, uma etiqueta 802.1Q específica do cliente é adicionada ao pacote. Essa etiqueta adicional é usada para separar o tráfego em VLANs de serviço definidas pelo provedor de serviços (S-VLANs). A etiqueta 802.1Q original do pacote permanece e é transmitida de maneira transparente, passando pela rede do provedor de serviços. Conforme o pacote deixa o S-VLAN na direção downstream, a etiqueta extra 802.1Q é removida.

Nota:

Todas as VLANs em uma implementação podem ser VLANs de serviço. Ou seja, se o número total de VLANs suportados for de 4090, todos eles podem ser VLANs de serviço.

Quando o tunelamento Q-in-Q é ativado no Juniper Networks Série EX, Switches de ethernet, assume-se que as interfaces de tronco fazem parte da rede do provedor de serviços e as interfaces de acesso são encaradas pelo cliente. Neste caso, uma interface de acesso pode receber quadros marcados e não etiquetados.

Nota:

A partir do Junos OS 14.1X53-D30, você pode configurar a mesma interface para ser uma interface S-VLAN/NNI e uma interface C-VLAN/UNI. Isso significa que a mesma interface física pode transmitir quadros com única marcação e dupla marcação simultaneamente. Isso permite flexibilidade máxima em sua topologia de rede e permite maximizar o uso de suas interfaces.

Uma interface pode ser membro de várias S-VLANs. Você pode mapear um C-VLAN para um S-VLAN (1:1) ou vários C-VLANs para um S-VLAN (N:1). Os pacotes são etiquetados duas vezes para uma camada adicional de segregação ou agregação de C-VLANs. As tags C-VLAN e S-VLAN são exclusivas; para que você possa ter um C-VLAN 101 e um S-VLAN 101, por exemplo. Você pode limitar o conjunto de tags de cliente aceitas a uma variedade de tags ou a valores discretos. Os valores de classe de serviço (CoS) de C-VLANs não são inalterados na direção downstream. Você pode, opcionalmente, copiar as configurações de CoS de entrada no S-VLAN. Em switches não ELS, você pode usar VLANs privadas para isolar usuários a fim de impedir o encaminhamento do tráfego entre interfaces de usuário, mesmo se as interfaces estão no mesmo VLAN.

Quando o tunelamento Q-in-Q é ativado, assume-se que as interfaces de tronco fazem parte do provedor de serviços ou da rede de data center. Assume-se que as interfaces de acesso são voltadas para o cliente e aceitam quadros etiquetados e não etiquetados. Ao usar a conexão de muitos para um ou mapear uma interface específica, você deve usar a opção de especificar uma S-VLAN para pacotes não etiquetados e priorizados se você quiser aceitar esses native pacotes. (Os pacotes marcados com prioridade têm sua ID VLAN definida como 0, e seus bits de ponto de código de prioridade podem ser configurados com um valor CoS valor).)

Nota:

Os pacotes marcados por prioridade não são suportados com tunelamento Q-in-Q em switches QFX5100 e EX4600 de segurança.

Caso você não especifique um S-VLAN para eles, pacotes não conectados serão descartados. A opção não está disponível para a composição all-in-one, porque não há necessidade de especificar pacotes marcados sem etiquetamento e priorizados quando todos os pacotes são mapeados para native um S-VLAN.

Você pode usar a opção para especificar uma S-VLAN para pacotes não etiquetados e priorizados ao usar o emalinhamento de muitos para um e mapear abordagens de interface específicas para mapear native C-VLANs a S-VLANs. (Isso não se aplica a switches com suporte a ELS.) Caso contrário, os pacotes são descartados. A opção não está disponível para a composição all-in-one, porque não há necessidade de especificar pacotes marcados sem etiquetamento e priorizados quando todos os pacotes são mapeados para native o S-VLAN. Consulte a seção C-VLANs de mapeamento para S-VLANs deste documento para obter informações sobre os métodos de mapeamento de C-VLANs para S-VLANs.

Somente nos sistemas QFabric, você pode usar a opção de aplicar uma etiqueta interna especificada a pacotes que ingressam como não native conectados a interfaces de acesso. Essa funcionalidade é útil se seu sistema QFabric se conectar a servidores que hospedam máquinas virtuais do cliente que enviam tráfego não atagged e o tráfego de cada cliente requer seu próprio VLAN enquanto é transportada pelo QFabric. Em vez de usar VLANs individuais para cada cliente (o que pode levar rapidamente ao exaustão da VLAN), você pode aplicar uma etiqueta interna única (C-VLAN) ao tráfego de cada cliente e aplicar uma única etiqueta externa (S-VLAN) para transporte pelo QFabric. Com isso, você pode separar o tráfego de seus clientes ao mesmo tempo em que consome apenas um QFabric VLAN. Use a inner-tag opção da instrução de mapeamento para conseguir isso.

Nos switches não ELS, filtros de firewall permitem mapear uma interface para uma VLAN com base em uma política. Usar filtros de firewall para mapear uma interface para uma VLAN é útil quando você deseja que um subconjunto de tráfego de uma porta seja mapeado para uma VLAN selecionada, em vez da VLAN indicada. Para configurar um filtro de firewall para mapear uma interface para uma VLAN, a opção precisa ser configurada como parte do filtro de firewall e a opção deve ser especificada na configuração da interface para cada interface lógica usando o vlanmapping policy filtro.

Nota:

Em um switch EX4300, você pode configurar várias interfaces lógicas na mesma porta Ethernet, mas cada interface lógica aceita apenas pacotes com marcação única, e essa etiqueta deve incluir uma ID VLAN diferente das suportadas pelas outras interfaces lógicas. Dada essa situação, você não pode habilitar o tunelamento Q-in-Q em portas Ethernet com várias subinterfaces lógicas.

O tunelamento Q-in-Q não afeta nenhum valor de classe de serviço (CoS) configurados em um C-VLAN. Essas configurações são retidas na etiqueta C-VLAN e podem ser usadas depois que um pacote sai de um S-VLAN. CoS valores não são copiados das tags C-VLAN para tags S-VLAN.

Dependendo da configuração da interface, você pode precisar ajustar o valor de MTU em seu tronco ou portas de acesso para acomodar os 4 bytes usados na etiqueta adicionada pelo tunelamento Q-in-Q. Por exemplo, se você usar o valor de MTU padrão de 1.514 bytes em suas portas de acesso e tronco, você precisará fazer um dos seguintes ajustes:

  • Reduza MTU dados nos enlaces de acesso em pelo menos 4 bytes para que os quadros não excedam a MTU do enlace de tronco quando as tags S-VLAN são adicionadas.

  • Aumente a MTU no enlace do tronco para que o enlace possa lidar com o tamanho do quadro maior.

Nota:

Você pode configurar o túnel Q-in-Q somente em portas de acesso (não portas de tronco).

Como funciona a tradução de VLAN

A tradução de VLAN substitui uma etiqueta C-VLAN próxima por uma etiqueta S-VLAN em vez de adicionar uma etiqueta adicional. Portanto, a etiqueta C-VLAN é perdida, e normalmente um pacote com uma única marcação não é etiquetado quando sai do S-VLAN (na outra ponta do enlace). Se um pacote de entrada tiver tido o tunelamento Q-in-Q aplicado antecipadamente, a tradução de VLAN substituirá a etiqueta externa e a etiqueta interna será retida quando o pacote deixar o S-VLAN na outra ponta do enlace. Os pacotes de entrada cujas tags não combinarem com a etiqueta C-VLAN são descartados, a menos que exista configuração de tradução VLAN adicional para essas tags.

Para configurar a tradução de VLAN, use a instrução de mapeamento swap em nível [edit vlans interface] de hierarquia. Enquanto as tags C-VLAN e S-VLAN são exclusivas, você pode configurar mais de uma tradução C-VLAN-para-S-VLAN em uma porta de acesso. Se você está traduzindo apenas uma VLAN em uma interface, você não precisa incluir a dot1q-tunneling instrução na configuração S-VLAN. Se você está traduzindo mais de um VLAN, você deve usar a dot1q-tunneling declaração.

Nota:

Você só pode configurar a tradução de VLAN nas portas de acesso. Não é possível configurá-lo nas portas de tronco e nem configurar o túnel Q-in-Q na mesma porta de acesso. Você pode configurar apenas uma tradução de VLAN para uma determinada VLAN e interface. Por exemplo, você pode criar não mais do que uma tradução para VLAN 100 na interface xe-0/0/0.

Nota:

A tradução de VLAN não é suportada em sistemas QFabric.

Usando a tradução dupla de tags VLAN

A partir do Junos OS Release 14.1X53-D40, você pode usar o recurso de tradução de tags VLAN duplo (também conhecido como reescrito de tags VLAN duplo) para implantar switches em domínios do provedor de serviços, permitindo a entrada ou saída de pacotes VLAN com dois tags, com marcação única e sem etiqueta. Tabela 1 mostra as operações adicionadas para dupla tradução de tags VLAN.

Tabela 1: Operações adicionadas com reescrito de tags dual VLAN

Operação

Função

swap-push

Trocar uma etiqueta VLAN e pressionar uma nova etiqueta VLAN

pop-swap

Pop uma etiqueta VLAN externa e trocar uma etiqueta VLAN interna

swap-swap

Trocar tags VLAN externas e internas

A tradução de tags Dual VLAN aceita:

  • Configuração de S-VLANs (NNI) e C-VLANs (UNI) na mesma interface física

  • Protocolos de controle, como VSTP, OSPF e LACP

  • XING IGMP

  • Configuração de uma VLAN privada (PVLAN) e uma VLAN em uma interface com um único identificador

  • Uso de tecnologia TPID 0x8100 tags VLAN internas e externas

Consulte Configuração de uma configuração de tradução dupla de tags VLAN nos switches QFX.

Envio e recebimento de pacotes não conectados

Para permitir que uma interface envie e receba pacotes não marcados, você deve especificar uma VLAN nativa para uma interface física. Quando a interface recebe um pacote não etiquetado, ela adiciona a ID VLAN da VLAN nativa ao pacote no campo C-VLAN e adiciona a etiqueta S-VLAN também (de forma que o pacote seja etiquetado duas vezes) e envia o pacote recém-identificado para a interface mapeada.

O parágrafo anterior não se aplica a:

  • Switches não ELS.

  • EX4300 comutadores em execução sob uma versão do Junos antes do Junos OS Release 19.3R1.

Quando os switches da lista resumida acima recebem um pacote não etiquetado, eles adicionam a etiqueta S-VLAN ao pacote (para que o pacote seja identificado com uma única marcação) e enviem o pacote recém-marcado para a interface mapeada.

Nota:

Garanta que todos os switches configurados na configuração de Q-in-Q operem com a abordagem de tags única ou com tags duplas. A configuração não funcionará se os switches não tiver a mesma abordagem.

A partir da versão 19.3R1 Junos OS, você pode configurar EX4300 switches para usar a abordagem de tags duplas. Definir a instrução de configuração input-native-vlan-push to e garantir que a instrução de configuração de enableentrada-vlan-map seja definida como, como mostrado push no exemplo a seguir:

Nota:

Nos switches que suportam esse recurso, exceto o switch EX4300, a instrução input-native-vlan-push é definida enable como padrão. (A input-native-vlan-push instrução está definida como disable padrão no switch EX4300.) No entanto, recomendamos que você marque a configuração para garantir que o mapa de entrada-vlan seja definido: o recurso não funcionará se essa configuração push não estiver no local.

Para especificar uma VLAN nativa, use native-vlan-id a instrução em nível [edit interfaces interface-name] de hierarquia. A ID VLAN nativa deve combinar com a ID C-VLAN ou S-VLAN ou ser incluída na lista de ID VLAN especificada na interface lógica.

Por exemplo, em uma interface lógica para uma interface C-VLAN, você pode especificar uma lista de ID C-VLAN de 100 a 200. Na interface física C-VLAN, você pode especificar uma ID VLAN nativa de 150. Essa configuração funcionaria porque a VLAN nativa de 150 está incluída na lista de ID C-VLAN de 100 a 200.

Recomendamos configurar uma VLAN nativa ao usar qualquer uma das abordagens para mapear C-VLANs para S-VLANs. Consulte a seção C-VLANs de mapeamento para S-VLANs neste tópico para obter informações sobre os métodos de mapeamento de C-VLANs para S-VLANs.

Desativação do aprendizado de endereços MAC

Em uma implantação Q-in-Q, pacotes de clientes de interfaces downstream são transportadas sem alterações nos endereços MAC de origem e destino. Você pode desativar o aprendizado de endereços MAC em níveis globais, de interface e de VLAN:

  • Para desativar o aprendizado globalmente, desative o aprendizado de endereços MAC para o switch.

  • Para desativar o aprendizado para uma interface, desative o aprendizado de endereços MAC para todas as VLANs das quais a interface especificada é um membro.

  • Para desativar o aprendizado de uma VLAN, desative o aprendizado de endereços MAC para uma VLAN especificada.

Desativar o aprendizado de endereços MAC em uma interface desativa o aprendizado de todas as VLANs das quais essa interface é membro. Quando você desativa o aprendizado de endereço MAC em uma VLAN, os endereços MAC que já foram aprendidos são liberados.

Se você desativar o aprendizado de endereço MAC em uma interface ou VLAN, você não pode incluir autenticação 802.1X na mesma configuração de VLAN.

Quando uma interface VLAN roteada(RVI)está associada a uma interface ou uma VLAN na qual o aprendizado de endereço MAC está desabilitado, as rotas de Camada 3 são solucionadas nessa VLAN ou nessa interface não são solucionadas com o componente Camada 2. Isso resulta em pacotes roteados inundando todas as interfaces associadas à VLAN.

Mapeamento de C-VLANs para S-VLANs

Existem várias maneiras de mapear C-VLANs para uma S-VLAN:

Nota:

Se você configurar vários métodos de mapeamento, o switch prioriza o mapeamento de uma interface específica, em seguida, para muitos para muitos, e duram até o "all-in-one". No entanto, para um método de mapeamento específico, não é suportado criar regras sobrepostas para o mesmo C-VLAN.

  • Aproveitamento all-in-one — Use a edit vlans s-vlan-name dot1q-tunneling declaração sem especificar VLANs do cliente. Todos os pacotes recebidos em todas as interfaces de acesso (incluindo pacotes não conectados) são mapeados para o S-VLAN.

  • Aproveitamento de muitos para um — Use a instrução para especificar edit vlans s-vlan-name dot1q-tunneling customer-vlans quais C-VLANs são mapeadas para s-VLAN. Use esse método quando quiser que um subconjunto das C-VLANs seja parte do S-VLAN. Se você quiser que pacotes não etiquetados ou com prioridade sejam mapeados para o S-VLAN, use native a opção com a customer-vlans instrução. (Os pacotes marcados com prioridade têm sua ID VLAN definida como 0, e seus bits de ponto de código de prioridade podem ser configurados com um valor CoS valor).)

  • Multi-to-many-bundling — Use muitos para muitos quando você deseja que um subconjunto de C-VLANs no switch de acesso seja parte de várias S-VLANs.

  • Mapeamento de uma interface específica — Use edit vlans s-vlan-name interface interface-name mapping a instrução para especificar uma C-VLAN para um determinado S-VLAN. Essa configuração se aplica a apenas uma interface, e não a todas as interfaces de acesso, como no "all-in-one" e no "many-to-one". Se você quiser que pacotes não etiquetados ou com prioridade sejam mapeados para o S-VLAN, use native a opção com a customer-vlans instrução.

    Esse método tem duas opções: trocar e pressionar. Com a opção push, um pacote mantém sua etiqueta e uma etiqueta VLAN adicional é adicionada. Com a opção de troca, a etiqueta de entrada é trocada por uma etiqueta S-VLAN. (Esta é a tradução de VLAN.)

    • Você pode configurar várias regras de push para uma determinada interface e S-VLAN. Ou seja, você pode configurar uma interface para que a mesma etiqueta S-VLAN seja adicionada a pacotes que chegam de várias C-VLANs.

    • Você pode configurar apenas uma regra de swap para uma determinada interface e S-VLAN.

    Normalmente, essa funcionalidade é usada para manter o tráfego de diferentes clientes separados ou para fornecer tratamento individualizado para tráfego em uma determinada interface.

Se você configurar vários métodos, o switch prioriza o mapeamento de uma interface específica, em seguida, para o emalinhamento de muitos para um e, por último, o "all-in-one bundling". No entanto, você não pode ter regras sobrepostas para o mesmo C-VLAN sob uma determinada abordagem. Por exemplo, você não pode usar o "many-to-one bundling" para mapear C-VLAN 100 a dois S-VLANs diferentes.

All-in-One Bundling

Mapeamento all-in-one mapeia todos os pacotes de todas as interfaces C-VLAN até um S-VLAN.

A interface C-VLAN aceita pacotes não etiquetados e com marcação única. Uma tag S-VLAN 802.1Q é adicionada a esses pacotes, e os pacotes são enviados para a interface S-VLAN, que aceita pacotes não etiquetados, com marcação única e com duas tags.

Nota:

As interfaces C-VLAN e S-VLAN aceitam pacotes sem conexão, desde que a instrução seja native-vlan-id configurada nessas interfaces.

"Many-to-One Bundling"

O coquelamento many-to-one é usado para especificar quais C-VLANs são mapeadas para uma S-VLAN. O "bundling many-to-one" está configurado usando a customer-vlans opção.

O coquelamento muitos para um é usado quando você deseja que um subconjunto das C-VLANs no switch de acesso seja parte do S-VLAN. Ao usar pacotes com a marcação muitos para um, pacotes sem etiquetamento e priorizados podem ser mapeados para a S-VLAN quando a opção for especificada junto com a nativecustomer-vlans opção.

Muitos para muitos

A composição de muitos para muitos é usada para especificar quais C-VLANs são mapeadas para quais S-VLANs.

Use a composição de muitos para muitos quando você deseja que um subconjunto das C-VLANs no switch de acesso seja parte de várias S-VLANs. Com muitos para muitos, as interfaces C-VLAN aceitam pacotes não etiquetados e com marcação única. Uma tag S-VLAN 802.1Q é adicionada a esses pacotes, e os pacotes são enviados para as interfaces S-VLAN, que aceitam pacotes não etiquetados, com marcação única e com duas tags.

Nota:

As interfaces C-VLAN e S-VLAN aceitam pacotes sem conexão, desde que a instrução seja native-vlan-id configurada nessas interfaces.

Mapeamento de uma interface específica

Use um mapeamento de interface específico quando quiser designar uma S-VLAN a uma C-VLAN específica em uma interface. A configuração se aplica apenas à interface específica, não a todas as interfaces de acesso.

O mapeamento de interface específico tem duas subopções: push e swap . Quando o tráfego mapeado para uma interface específica é empurrado, o pacote retém a etiqueta original conforme ele se move do C-VLAN para o S-VLAN e uma etiqueta S-VLAN adicional é adicionada ao pacote. Quando o tráfego mapeado para uma interface específica é trocado, a etiqueta de entrada é trocada por uma nova etiqueta VLAN. Isso é às vezes conhecido como reescrita de VLAN ou tradução de VLAN.

Normalmente, esse método é usado para manter dados de diferentes clientes separados ou para fornecer tratamento individualizado dos pacotes em uma determinada interface. Você também pode usar esse método para mapear o tráfego de VLAN de diferentes clientes para um único S-VLAN.

Ao usar o mapeamento de interface específico, as interfaces C-VLAN aceitam pacotes sem etiqueta e com marcação única, enquanto as interfaces S-VLAN aceitam pacotes não etiquetados, com marcação única e com duas tags.

Nota:

As interfaces C-VLAN e S-VLAN aceitam pacotes sem conexão, desde que a instrução seja native-vlan-id configurada nessas interfaces.

Combinação de métodos e restrições de configuração

Se você configurar vários métodos, o switch prioriza o mapeamento de uma interface específica, em seguida, para o emalinhamento de muitos para um e, por último, o "all-in-one bundling". Uma interface de acesso configurada no pacote all-in-one não pode fazer parte de um pacote de muitos para um. Entretanto, ele pode ter mapeamentos adicionais definidos.

Para garantir resultados determinísticos, as seguintes restrições de configuração se aplicam:

  • O mapeamento não pode ser definido para vlans não conectados.

  • Uma interface de acesso pode ter várias variedades de VLAN do cliente, mas uma interface não pode ter tags sobrepostas entre as VLANs.

    Por exemplo, a seguinte configuração não é permitida:

    Como a customer-2 configuração cria customer-vlan intervalos de sobreposição para ge-0/0/0, ela é inválida.

  • Uma interface de acesso pode ter uma única regra que mapeia um pacote não conectado a uma VLAN.

  • Cada interface pode ter no máximo uma regra de troca de mapeamento por VLAN.

  • Você pode pressionar uma etiqueta VLAN somente nas portas de acesso de uma VLAN Q-in-Q. Essa restrição se aplica a todos os três métodos de pressionar uma etiqueta VLAN: ou seja, com a complicação all-in-one, com a coquelagem de muitos para um, e o mapeamento de uma interface específica usando push.

  • Você pode pressionar diferentes tags C-VLAN para uma determinada S-VLAN em diferentes interfaces. Isso pode resultar em vazamento de tráfego em VLANs, dependendo da sua configuração.

Interfaces VLAN roteados em VLANs Q-in-Q

As interfaces VLAN roteadas (RVIs) são suportadas em VLANs Q-in-Q.

Os pacotes que chegam em uma RVI que está usando VLANs Q-in-Q serão roteados, independentemente de o pacote ser identificado de forma única ou dupla. Os pacotes roteados de saída contêm uma etiqueta S-VLAN somente quando saem de uma interface de tronco; os pacotes saem da interface sem atagged ao sair de uma interface de acesso.

Restrições para tunelamento Q-in-Q e tradução de VLAN

Saiba as seguintes restrições ao configurar o tunelamento Q-in-Q e a tradução de VLAN:

  • O tunelamento Q-in-Q tem suporte para apenas duas tags VLAN.

  • O tunelamento Q-in-Q não oferece suporte à maioria dos recursos de segurança de porta de acesso. Não existe policiamento por VLAN (cliente) ou modelagem por VLAN (saída) com tunelamento Q-in-Q a menos que você configure esses recursos de segurança usando filtros de firewall.

  • Com as versões do Junos OS Release 13.2X51 anteriores à versão 13.2X51-D20, você não pode criar uma VLAN regular em uma interface se tiver criado um S-VLAN ou C-VLAN na interface para tunelamento Q-in-Q. Isso significa que você não pode criar uma interface integrada de roteamento e conexão (IRB) nessa interface, porque as VLANs regulares são uma parte necessária da configuração de IRB. Com o Junos OS Release 13.2X51-D25, você pode criar uma VLAN regular em uma interface de tronco que tenha uma S-VLAN, o que significa que você também pode criar uma interface IRB no tronco. Nesse caso, a VLAN e a S-VLAN regulares na mesma interface de tronco não podem compartilhar a mesma ID VLAN. O Junos OS Release 13.2X51-D25 não permite que você crie uma VLAN regular em uma interface de acesso que tenha um C-VLAN.

  • A partir do Junos OS Release 14.1X53-D40, as interfaces integradas de roteamento e conexão (IRB) são suportadas em VLANs Q-in-Q — você pode configurar a interface IRB na mesma interface usada por uma S-VLAN, e você pode usar a mesma ID VLAN tanto para a VLAN usada pela interface IRB como para a VLAN usada como S-VLAN.

    Os pacotes que chegam em uma interface IRB que usa VLANs Q-in-Q serão roteados, independentemente de o pacote ter um único tags ou dois tags. Os pacotes roteados de saída contêm uma etiqueta S-VLAN somente quando saem de uma interface de tronco; os pacotes saem da interface sem atagged ao sair de uma interface de acesso.

    Nota:

    Você pode configurar a interface IRB apenas em interfaces S-VLAN (NNI), não em interfaces C-VLAN (UNI).

  • A maioria dos recursos de segurança da porta de acesso não são suportados com tunelamento Q-in-Q e tradução de VLAN.

  • Não há suporte para configuração de tunelamento Q-in-Q e reescrita/tradução de VLAN na mesma porta.

  • Você pode configurar no máximo uma tradução de reescrito/VLAN para uma determinada interface e VLAN. Por exemplo, você pode criar não mais do que uma tradução para VLAN 100 na interface xe-0/0/0.

  • O total combinado de VLANs e regras para tunelamento Q-in-Q e tradução de VLAN não pode exceder 6000. Por exemplo, você pode configurar e cometer 4000 VLANs e regras de 2000 para tunelamento Q-in-Q e tradução de VLAN. No entanto, você não pode configurar 4000 VLANs e 2.500 regras para tunelamento Q-in-Q e tradução de VLAN. Se você tentar cometer uma configuração que exceda o limite, você verá erros de CLI e syslog que informam você sobre o problema.

  • Você não pode usar a ID VLAN nativa.

  • Os endereços MAC são aprendidas com S-VLANs, não C-VLANs.

  • O tráfego broadcast, unicast desconhecido e multicast é encaminhado a todos os membros do S-VLAN.

  • Os seguintes recursos não são suportados com tunelamento Q-in-Q:

    • Transmissão de DHCP

    • Fibre Channel over Ethernet

    • Proteção de origem IP

  • Os seguintes recursos não são suportados com reescrita/tradução de VLAN:

    • Fibre Channel over Ethernet

    • Filtro de firewall aplicado a uma porta ou VLAN na direção de saída

    • VLANs privadas

    • Protocolo VLAN Spanning Tree

    • Relê reflexivo

Configuração de tunelamento Q-in-Q no Switches da Série QFX

O tunelamento Q-in-Q e a tradução de VLAN permitem que provedores de serviços criem uma conexão Ethernet de Camada 2 entre dois sites de clientes. Os provedores podem separar o tráfego VLAN de diferentes clientes em um enlace (por exemplo, se os clientes usarem IDs VLAN sobrepostos) ou agrupar VLANs diferentes de clientes em uma única VLAN de serviço. Os data centers podem usar o tunelamento Q-in-Q para isolar o tráfego do cliente em um único site ou quando o tráfego do cliente flue entre data centers na nuvem em locais geográficas diferentes.

A partir do Junos OS Release 19.4R1, a linha de switches QFX10000 aceita as tags terceiro e quarto Q-in-Q como carga de carga (também conhecida como etiqueta de passagem) juntamente com as duas tags existentes (para correspondência e operações VLAN). Os QFX10000 de nível superior têm suporte para várias tags Q-in-Q para casos de ponte de Camada 2 e EVPN-VXLAN. As interfaces de acesso de Camada 2 aceitam pacotes com três ou quatro tags (todas as tags com o valor TPID 0x8100). Todas as tags que vão além da quarta etiqueta (ou seja, a partir da quinta etiqueta) são consideradas parte da carga de carga da Camada 3 e são encaminhadas de forma transparente.

Nota:

Em um ou dois pacotes marcados, as tags, tags 1 e tag 2 podem carregar quaisquer valores de TPID, como 0x8100, 0x88a8, 0x9100 e 0x9200.

Antes de começar a configurar o tunelamento Q-in-Q, certifique-se de que criou e configurou as VLANs de clientes necessárias nos switches vizinhos. Veja Configuração de VLANs nos switches .

Para configurar o túnel Q-in-Q:

  1. Crie o VLAN de serviço (S-VLAN) e configure uma ID para ela:
  2. Ative o tunelamento Q-in-Q no S-VLAN:
  3. Definir as VLANs do cliente permitidas (C-VLANs) no S-VLAN (opcional). Aqui, as C-VLANs são identificadas por uma variedade:
  4. Configure um valor global para o identificador de protocolo de tags (EtherType) das tags VLAN de serviço (opcional):

Dependendo da configuração da interface, você pode precisar ajustar o valor de MTU em seu tronco ou portas de acesso para acomodar os 4 bytes usados na etiqueta adicionada pelo tunelamento Q-in-Q. Por exemplo, se você usar o valor de MTU padrão de 1.514 bytes em suas portas de acesso e tronco, você precisará fazer um dos seguintes ajustes:

  • Reduza MTU dados nos enlaces de acesso em pelo menos 4 bytes para que os quadros não excedam a MTU do enlace de tronco quando as tags S-VLAN são adicionadas.

  • Aumente a MTU no enlace do tronco para que o enlace possa lidar com o tamanho do quadro maior.

Configuração de tunelamento Q-in-Q em switches da Série EX com suporte a ELS

Nota:

Esta tarefa usa o Junos OS para switches da Série EX com suporte ao estilo de configuração do software de Camada 2 Aprimorada (ELS). Se o switch executa software que não tem suporte para ELS, consulte Como configurar o tunelamento Q-in-Q em switches da série EX. Para detalhes da ELS, consulte Como usar a CLI de software aprimorada de Camada 2.

O tunelamento Q-in-Q permite que provedores de serviços em redes de acesso Ethernet segregaçãom ou empacotam o tráfego do cliente em VLANs diferentes adicionando outra camada de tags 802.1Q. Você pode configurar o túnel Q-in-Q em switches da Série EX.

Nota:

Você não pode configurar a autenticação de usuário 802.1X nas interfaces habilitadas para tunelamento Q-in-Q.

Quando o tunelamento Q-in-Q está configurado em switches da Série EX, assume-se que as interfaces de tronco fazem parte da rede do provedor de serviços e as interfaces de acesso são assumidas como parte da rede do cliente. Portanto, esse tópico também se refere às interfaces de tronco como interfaces VLAN (S-VLAN) do provedor de serviços (interfaces de rede para rede [NNI]), e para acessar interfaces como interfaces de VLAN do cliente (C-VLAN) (interfaces usuário-rede [UNI]).

Antes de começar a configurar o túnel Q-in-Q, certifique-se de configurar suas VLANs. Consulte a configuração de VLANs para switches série EX com suporte a ELS (ClI Procedure) ou Configurando VLANs para Switches da Série EX (J-Web Procedure).

Configure o tunelamento Q-in-Q usando um dos seguintes métodos para mapear C-VLANs para S-VLANs:

Configurando o "All-in-One Bundling"

Você pode configurar o tunelamento Q-in-Q usando o método all-in-one, que mapeia pacotes de todas as interfaces C-VLAN em um switch para um S-VLAN.

Para configurar o método de coquelamento all-in-one em uma interface C-VLAN:

  1. Ative a transmissão de pacotes sem ou uma única etiqueta VLAN 802.1Q:
  2. Ative o encapsulamento de ponte VLAN estendida:
  3. Mapeie pacotes de todos os C-VLANs para uma interface lógica:
    Nota:

    Você não pode aplicar mais do que oito listas de identificadores de VLAN a uma interface física.

  4. Habilitar uma interface C-VLAN para enviar e receber pacotes não atagged:

    Ao especificar uma ID VLAN nativa em uma interface física C-VLAN, o valor deve ser incluído na lista de IDs VLAN especificada na interface lógica C-VLAN na etapa 3.

  5. Especifique que os pacotes que viajam de uma interface C-VLAN para uma interface S-VLAN são marcados com a ID VLAN do S-VLAN:
  6. Especifique que a etiqueta S-VLAN 802.1Q seja removida conforme os pacotes saem de uma interface S-VLAN.
  7. Configure um nome para s-VLAN e associe a interface lógica configurada na etapa 3 com o S-VLAN:

A configuração a seguir na interface C-VLAN ge-0/0/1 permite tunelamento Q-in-Q e pacotes de mapas de C-VLANs 100 a 200 até a interface lógica 10, que por sua vez é associado com S-VLAN v10. Nesta configuração de amostra, um pacote originado em C-VLAN 100 inclui uma etiqueta com a ID VLAN 100. Quando esse pacote vai da interface ge-0/0/1 até a interface S-VLAN, uma tag com ID 10 VLAN é adicionada a ele. Conforme o pacote sai da interface S-VLAN, a etiqueta com a ID VLAN 10 é removida.

Para configurar o método de coquelamento all-in-one em uma interface S-VLAN:

  1. Ative a transmissão de pacotes sem, um ou dois tags VLAN 802.1Q:

  2. Ative o encapsulamento de ponte VLAN estendida:

  3. Mapeie pacotes da interface lógica especificada na configuração da interface C-VLAN até a S-VLAN:

  4. Habilita a interface S-VLAN para enviar e receber pacotes não atagged:

    Ao especificar uma ID VLAN nativa em uma interface física S-VLAN, o valor deve corresponder à ID VLAN especificada na interface lógica S-VLAN na etapa 3.

  5. Associe a interface S-VLAN com a S-VLAN configurada no procedimento de interface C-VLAN:

Por exemplo, a configuração a seguir na interface S-VLAN ge-1/1/1 permite tunelamento Q-in-Q e pacotes de mapas com uma etiqueta ID VLAN de 10 para a interface lógica 10, que por sua vez é associada com S-VLAN v10. .

Configuração de "muitos para muitos"

Você pode configurar o tunelamento Q-in-Q usando o método de composição de muitos para muitos, que mapeia pacotes de vários C-VLANs a vários S-VLANs.

Para configurar o método de "muitos para muitos" em uma interface C-VLAN:

  1. Ative a transmissão de pacotes sem ou uma única etiqueta VLAN 802.1Q:
  2. Ative o encapsulamento de ponte VLAN estendida:
  3. Mapeie pacotes de C-VLANs especificados até uma interface lógica:
  4. Habilitar uma interface C-VLAN para enviar e receber pacotes não atagged:

    Ao especificar uma ID VLAN nativa em uma interface física C-VLAN, o valor deve ser incluído na lista de IDs VLAN especificada na interface lógica C-VLAN na etapa 3.

  5. Especifique que os pacotes que viajam de uma interface C-VLAN para uma interface S-VLAN são marcados com a ID VLAN do S-VLAN:
  6. Especifique que a etiqueta S-VLAN 802.1Q seja removida conforme os pacotes saem de uma interface S-VLAN:
  7. Configure um nome para uma S-VLAN e associe a interface lógica configurada na etapa 3 com o S-VLAN:

A configuração a seguir na interface C-VLAN ge-0/0/1 para o cliente 1 permite tunelamento Q-in-Q e pacotes de mapas de C-VLANs 100 a 120 até a interface lógica 10, que por sua vez está associado ao S-VLAN v10.

A configuração na interface C-VLAN ge-0/0/2 para o cliente 2 permite tunelamento Q-in-Q e pacotes de mapas de C-VLANs 30 a 40, 50 a 60 e de 70 a 80 para a interface lógica 30, que por sua vez está associado com S-VLAN v30.

Nesta configuração de amostra, um pacote originado em C-VLAN 100 inclui uma etiqueta com a ID VLAN 100. Quando esse pacote vai da interface ge-0/0/1 até a interface S-VLAN, uma etiqueta com uma ID VLAN de 10 é adicionada a ele. Conforme o pacote sai da interface S-VLAN, a etiqueta com a ID VLAN de 10 é removida.

Cliente 1

Cliente 2

Para configurar o método de "muitos para muitos" em uma interface S-VLAN:

  1. Ative a transmissão de pacotes sem, um ou dois tags VLAN 802.1Q:

  2. Ative o encapsulamento de ponte VLAN estendida:

  3. Mapeie pacotes de cada interface lógica especificada na configuração da interface C-VLAN para uma S-VLAN:

  4. Habilitar uma interface S-VLAN para enviar e receber pacotes não atagged:

    Ao especificar uma ID VLAN nativa em uma interface física S-VLAN, o valor deve corresponder a uma ID S-VLAN especificada na interface lógica S-VLAN na etapa 3.

  5. Associe a interface S-VLAN às S-VLANs configuradas no procedimento de interface C-VLAN:

Por exemplo, a configuração a seguir na interface S-VLAN ge-1/1/1 permite tunelamento Q-in-Q e mapeia pacotes C-VLAN que chegam às interfaces lógicas 10 e 30, que por sua vez são associados a S-VLANs v10 e v30, respectivamente.

Configurando um mapeamento de interface específico com opção de reescrito de VLAN

Você pode configurar o tunelamento Q-in-Q mapeando pacotes de um C-VLAN especificado para um S-VLAN especificado. Além disso, embora os pacotes sejam transmitidas para e para a S-VLAN, você pode especificar que a etiqueta C-VLAN 802.1Q seja removida e trocada pela etiqueta S-VLAN ou vice-versa.

Para configurar um mapeamento de interface específico com reescrita de VLAN na interface C-VLAN:

  1. Habilitar a transmissão de pacotes sem ou uma tag VLAN 802.1Q:
  2. Ative o encapsulamento de ponte VLAN estendida:
  3. Mapeie pacotes de um C-VLAN especificado para uma interface lógica:
  4. Habilita a interface C-VLAN para enviar e receber pacotes não atagged:

    Ao especificar uma ID VLAN nativa em uma interface física C-VLAN, o valor deve corresponder à ID VLAN especificada na interface lógica C-VLAN na etapa 3.

  5. Especifique que a etiqueta C-VLAN existente 802.1Q seja removida dos pacotes que viajam de uma interface C-VLAN para uma interface S-VLAN e substituída pela etiqueta S-VLAN 802.1Q:
  6. Especifique que a etiqueta S-VLAN 802.1Q existente seja removida dos pacotes que viajam de uma interface S-VLAN para uma interface C-VLAN e substituída pela etiqueta C-VLAN 802.1Q:
  7. Configure um nome para s-VLAN e associe a interface lógica configurada na etapa 3 com o S-VLAN:

Por exemplo, a configuração a seguir na interface C-VLAN ge-0/0/1 permite tunelamento Q-in-Q e mapeia pacotes de entrada de C-VLAN 150 até a interface lógica 200, que por sua vez está associado ao VLAN v200. Além disso, conforme os pacotes viajam da interface C-VLAN ge-0/0/1 para uma interface S-VLAN, a etiqueta C-VLAN 150 é removida e trocada pela etiqueta S-VLAN 200. Conforme os pacotes viajam de uma interface S-VLAN até a interface C-VLAN ge-0/0/1, a etiqueta S-VLAN 200 é removida e trocada pela etiqueta C-VLAN de 150.

Para configurar um mapeamento de interface específico com reescrita de VLAN na interface S-VLAN:

  1. Ative a transmissão de pacotes sem, um ou dois tags VLAN 802.1Q:

  2. Ative o encapsulamento de ponte VLAN estendida:

  3. Mapeie pacotes da interface lógica especificada na configuração da interface C-VLAN até a S-VLAN:

  4. Habilita a interface S-VLAN para enviar e receber pacotes não atagged:

    Ao especificar uma ID VLAN nativa em uma interface física S-VLAN, o valor deve corresponder à ID VLAN especificada na interface lógica S-VLAN na etapa 3.

  5. Associe a interface S-VLAN com a S-VLAN configurada no procedimento de interface C-VLAN: :

Por exemplo, a configuração a seguir na interface S-VLAN ge-1/1/1 permite tunelamento Q-in-Q e pacotes de mapas com VLAN ID 200 para interface lógica 200, que por sua vez está associado ao S-VLAN v200.

Configuração de tunelamento Q-in-Q em switches da Série EX

Nota:

Essa tarefa usa o Junos OS para switches da Série EX que não suportam o estilo de configuração do Software enhanced Layer 2 (ELS).

O tunelamento Q-in-Q permite que provedores de serviços em redes de acesso Ethernet segregaçãom ou empacotam o tráfego do cliente em VLANs diferentes adicionando outra camada de tags 802.1Q. Você pode configurar o túnel Q-in-Q em switches da Série EX.

Nota:

Você não pode configurar a autenticação de usuário 802.1X nas interfaces habilitadas para tunelamento Q-in-Q.

Antes de começar a configurar o túnel Q-in-Q, certifique-se de configurar suas VLANs. Consulte a configuração de VLANs para switches da Série EX ou VLANs de Configuração para Switches da Série EX (Procedimento J-Web).

Para configurar o túnel Q-in-Q:

  1. Ative o tunelamento Q-in-Q no S-VLAN:
  2. Detone os C-VLANs permitidos no S-VLAN (opcional). Aqui, as C-VLANs são identificadas pela linha VLAN:
  3. Alterar o valor global de Ethertype (opcional):
  4. Desative o aprendizado de endereço MAC no S-VLAN (opcional):

Configuração de tunelamento Q-in-Q usando o "all-in-one" (tudo em um)

Você pode configurar o tunelamento Q-in-Q usando o método all-in-one bundling, que encaminha todos os pacotes que ingressam em uma interface C-VLAN para uma S-VLAN. (Os pacotes são encaminhados para a S-VLAN, independentemente de eles ser etiquetados ou não antes da entrada.) Usar essa abordagem economiza o esforço de especificar um mapeamento específico para cada C-VLAN.

Primeiro configure o S-VLAN e sua interface:

  1. Atribua uma interface lógica (unidade) para ser um membro da S-VLAN.
    Nota:

    Não use a unidade de interface lógica 0. Mais tarde, você deve vincular uma ID de tags VLAN à unidade especificada nesta etapa, e não pode vincular uma ID da etiqueta VLAN à unidade 0. Observe também que você não cria uma ID VLAN para a S-VLAN. A ID é criada automaticamente para a interface lógica adequada.

  2. Permita que a interface transmita pacotes com duas tags VLAN 802.1Q:
  3. Ative o encapsulamento de ponte VLAN estendida na interface:
    Nota:

    Se você configurar uma configuração no estilo empresarial, como PVLAN, na mesma interface física na qual configura o túnel Q-in-Q, use set encapsulation flexible-ethernet-services . Consulte Entender o encapsulamento de serviços ethernet flexíveis nos switches.

  4. Habilita a interface S-VLAN para enviar e receber pacotes não atagged:
  5. Vincular a interface lógica (unidade) da interface especificada na etapa 1 à ID VLAN criada automaticamente para a S-VLAN:
Nota:

Se você tiver flexible-ethernet-services configurado, configure vlan-bridge o encapsulamento na interface lógica:

Por exemplo, a configuração a seguir faz com que xe-0/0/0.10 seja membro da VLAN 10, habilita o tunelamento Q-in-Q na interface xe-0/0/0, permite que xe-0/0/0 aceite pacotes não ativados e vincula a ID VLAN da S-VLAN v10 a uma interface lógica de xe-0/0/0.

Agora configure a conexão all-in-one em uma interface C-VLAN:

  1. Atribua uma interface lógica (unidade) da interface C-VLAN para ser um membro da S-VLAN.

  2. Permita que a interface transmita pacotes com tags VLAN 802.1Q :

  3. Ative o encapsulamento de ponte VLAN estendida na interface:

  4. Habilita a interface C-VLAN para enviar e receber pacotes não atagged:

  5. Configure uma interface lógica para receber e encaminhá-lo a qualquer pacote marcado cuja etiqueta de ID VLAN corresponde à lista de IDs VLAN especificadas por você:

    CUIDADO:

    Você não pode aplicar mais do que oito listas de identificadores de VLAN a uma interface física. Essa limitação não se aplica a QFX10000 switches.

  6. Configure o sistema para adicionar uma etiqueta S-VLAN (etiqueta externa) à medida que os pacotes viajam de uma interface C-VLAN até a S-VLAN:

    Nota:

    Você pode vlan-idinput-vlan-map configurar, mas fazer isso é opcional.

  7. Configure o sistema para remover a etiqueta S-VLAN quando os pacotes são encaminhados (internamente) da interface S-VLAN para a interface C-VLAN:

Por exemplo, a configuração a seguir faz com que xe-0/0/1.10 seja membro da S-VLAN v10, habilita tunelamento Q-in-Q, mapeia pacotes de C-VLANs 100 a 200 até S-VLAN 10 e permite que xe-0/0/0/1 aceite pacotes não atagados. Se um pacote tiver origem em C-VLAN 100 e precisar ser enviado pela S-VLAN, uma etiqueta com ID 10 VLAN é adicionada ao pacote. Quando um pacote é encaminhado (internamente) da interface S-VLAN para a interface xe-0/0/1, a etiqueta com ID VLAN 10 é removida.

Configuração de tunelamento Q-in-Q usando muitos para muitos

Você pode configurar o tunelamento Q-in-Q usando o método de composição de muitos para muitos, que mapeia pacotes de vários C-VLANs a vários S-VLANs. Esse método é conveniente para mapear uma variedade de C-VLANs sem precisar especificar cada um individualmente. (Você também pode usar esse método para configurar apenas um C-VLAN a ser mapeado para uma S-VLAN.)

Primeiro configure as S-VLANs e atribua-as a uma interface:

  1. Atribua uma interface lógica (unidade) para ser um membro de uma das S-VLANs. Não use a unidade de interface lógica 0.
    Nota:

    Observe que você não cria uma ID VLAN para a S-VLAN. A ID é criada automaticamente para a interface lógica adequada.

  2. Repetir a etapa 1 para as outras S-VLANs.
  3. Permita que a interface física transmita pacotes com duas tags VLAN 802.1Q:
  4. Ative o encapsulamento de ponte VLAN estendida na interface:
  5. Habilita a interface S-VLAN para enviar e receber pacotes não atagged:
  6. Vincular uma das unidades lógicas da interface à ID VLAN para uma das S-VLANs.
  7. Repetir a etapa 6 para vincular as IDs VLAN criadas automaticamente para as outras S-VLANs às outras unidades lógicas da interface:

Por exemplo, a configuração a seguir cria S-VLANs v10 e v30 e as associou à interface xe-0/0/0.10, capacita o tunelamento Q-in-Q, permite que xe-0/0/0 aceite pacotes não marcados e mapeie pacotes C-VLAN nas S-VLANs v10 e v30.

Para configurar o método de "muitos para muitos" em uma interface C-VLAN, execute as seguintes etapas para cada cliente:

  1. Atribua uma interface lógica (unidade) de uma interface C-VLAN para ser membro de uma S-VLAN.

  2. Repetir a etapa 1 para designar outra interface C-VLAN (interface física) como membro de outro S-VLAN.

  3. Permita que a interface transmita pacotes com tags VLAN 802.1Q:

  4. Ative o encapsulamento de ponte VLAN estendida na interface:

  5. Habilita a interface C-VLAN para enviar e receber pacotes não atagged:

  6. Para cada interface física, configure uma interface lógica (unidade) para receber e encaminhá-lo a qualquer pacote marcado cuja etiqueta ID VLAN corresponde à lista de IDs VLAN especificadas:

    Para configurar apenas um C-VLAN a ser mapeado para uma S-VLAN, especifique apenas uma ID VLAN após a lista vlan-id.

    CUIDADO:

    Você não pode aplicar mais do que oito listas de identificadores de VLAN a uma interface física. Essa limitação não se aplica a QFX10000 switches.

  7. Para cada interface física, configure o sistema para adicionar uma etiqueta S-VLAN (etiqueta externa) à medida que os pacotes viajam da interface C-VLAN até a S-VLAN:

  8. Para cada interface física, configure o sistema para remover a etiqueta S-VLAN quando os pacotes são encaminhados da interface S-VLAN para a interface C-VLAN:

Por exemplo, a configuração a seguir torna xe-0/0/1.10 membro do S-VLAN v10, habilita tunelamento Q-in-Q e mapeia pacotes de C-VLANs de 10 a 20 até S-VLAN 10. A configuração para o cliente 2 faz com que xe-0/0/2.30 seja membro do S-VLAN v30, habilita tunelamento Q-in-Q e mapeia pacotes de C-VLANs de 30 a 40, 50 a 60 e de 70 a 80 para S-VLAN 30. Ambas as interfaces estão configuradas para aceitar pacotes não conectados.

Se um pacote tiver origem em C-VLAN 10 e precisar ser enviado pelo S-VLAN, uma etiqueta com uma ID VLAN 10 é adicionada ao pacote. Se um pacote for encaminhado internamente da interface S-VLAN para xe-0/0/1.10, a etiqueta com ID VLAN 10 é removida. Os mesmos princípios se aplicam às C-VLANs configuradas na interface xe-0/0/2.

Nota:

Observe que você pode usar o mesmo valor de tags para um S-VLAN e um C-VLAN. Por exemplo, a configuração para 1 mapas do cliente ID C-VLAN 10 para ID S-VLAN 10. As tags C-VLAN e S-VLAN usam espaços de nome separados, para que essa configuração seja permitida.

Configuração para o cliente 1:

Configuração para o cliente 2:

Configurando um mapeamento de interface específico com opção de tradução de ID VLAN

Você pode configurar o tunelamento Q-in-Q mapeando pacotes de um C-VLAN especificado para um S-VLAN especificado. Além disso, você pode configurar o sistema para substituir uma etiqueta C-VLAN por uma etiqueta S-VLAN ou substituir uma etiqueta S-VLAN por uma etiqueta C-VLAN (em vez de duas tags). Isso se chama tradução de VLAN ou reescrita de VLAN. A tradução de VLAN é especialmente útil se a rede de Camada 2 de um provedor de serviços que conecta os sites de um cliente não dar suporte a pacotes com dois tags.

Quando você usa a tradução de VLAN, ambas as extremidades do enlace normalmente precisam ser capazes de trocar as tags de maneira adequada. Ou seja, ambas as extremidades do enlace precisam ser configuradas para trocar a etiqueta C-VLAN pela etiqueta S-VLAN e trocar a etiqueta S-VLAN pela etiqueta C-VLAN para que o tráfego em ambas as direções seja etiquetado adequadamente durante o trânsito e após a chegada.

Primeiro configure o S-VLAN e sua interface:

  1. Atribua uma interface lógica para ser um membro da S-VLAN. Não use a unidade 0.
    Nota:

    Observe que você não cria uma ID VLAN para a S-VLAN. A ID é criada automaticamente para a interface lógica adequada.

  2. Permita que a interface transmita pacotes com tags VLAN 802.1Q:
  3. Habilita a interface S-VLAN para enviar e receber pacotes não atagged:
  4. Ative o encapsulamento de ponte VLAN estendida na interface:
  5. Vincular a interface lógica (unidade) da interface especificada anteriormente à ID VLAN do S-VLAN:

Por exemplo, a configuração a seguir cria S-VLAN v200, torna xe-0/0/0.200 um membro dessa VLAN, habilita o tunelamento Q-in-Q na interface xe-0/0/0, permite que xe-0/0/0 aceite pacotes não atagged e vincula uma interface lógica de xe-0/0/0 à ID VLAN do VLAN v200.

Configure um mapeamento de interface específico com a tradução de ID VLAN opcional na interface C-VLAN:

  1. Atribua uma interface lógica da interface C-VLAN para ser um membro da S-VLAN.

  2. Permita que a interface transmita pacotes com tags VLAN 802.1Q:

  3. Habilita a interface C-VLAN para enviar e receber pacotes não atagged:

  4. Ative o encapsulamento de ponte VLAN estendida na interface:

  5. Configure uma interface lógica (unidade) para receber e encaminhá-lo a qualquer pacote marcado cuja etiqueta ID VLAN seja igual às IDs VLAN especificadas por você:

  6. Configure o sistema para remover a etiqueta C-VLAN existente e substituí-la pela etiqueta S-VLAN quando os pacotes entrarem na interface C-VLAN e são encaminhados para a S-VLAN:

  7. Configure o sistema para remover a etiqueta S-VLAN existente e substituí-la pela etiqueta C-VLAN quando os pacotes são encaminhados da interface S-VLAN para a interface C-VLAN:

  8. Para configurar uma S-VLAN e associá-la à interface C-VLAN adequada:

Por exemplo, a configuração a seguir na interface C-VLAN xe-0/0/1.200 permite o tunelamento Q-in-Q, permite que xe-0/0/1 aceite pacotes não conectados e mapeie pacotes de entrada do C-VLAN 150 até a interface lógica 200, que é membro da S-VLAN 200. Além disso, quando os pacotes saídas da interface C-VLAN xe-0/0/1 e viajam até a interface S-VLAN, a etiqueta C-VLAN de 150 é removida e substituída pela etiqueta S-VLAN de 200. Quando os pacotes viajam da interface S-VLAN até a interface C-VLAN, a etiqueta S-VLAN de 200 é removida e trocada pela etiqueta C-VLAN de 150.

Exemplo: Configuração de tunelamento Q-in-Q no Switches da Série QFX

Os provedores de serviços podem usar o tunelamento Q-in-Q para passar o tráfego VLAN da Camada 2 de forma transparente entre os locais dos clientes sem remover ou alterar as tags VLAN do cliente ou configurações de classe de serviço (CoS). Os data centers podem usar o tunelamento Q-in-Q para isolar o tráfego do cliente em um único site ou quando o tráfego do cliente flue entre data centers na nuvem em locais geográficas diferentes.

Nota:

Este exemplo usa uma versão do Junos OS que não suporta o estilo de configuração do Software enhanced Layer 2 (ELS). Se o switch executa software compatível com ELS, consulte Como configurar o tunelamento Q-in-Qna Série QFX, na Série NFX e EX4600 switches com suporte a ELS.

Este exemplo descreve como configurar o tunelamento Q-in-Q:

Requisitos

Este exemplo requer um dispositivo da Série QFX com o Junos OS Release 12.1 ou mais tarde.

Antes de começar a configurar o tunelamento Q-in-Q, certifique-se de que criou e configurou as VLANs de clientes necessárias nos switches vizinhos. Veja Configuração de VLANs nos switches .

Visão geral e topologia

Nesta rede de provedores de serviços, existem várias VLANs ao cliente mapeadas para uma VLAN de serviço.

Tabela 2 lista as configurações da topologia da amostra.

Tabela 2: Componentes da topologia para configuração de tunelamento Q-in-Q
Interface Descrição

xe-0/0/11.0

Porta-tronco S-VLAN etiquetada

xe-0/0/12.0

Porta de acesso voltada para o cliente sem atagged

xe-0/0/13.0

Porta de acesso voltada para o cliente sem atagged

xe-0/0/14.0

Porta-tronco S-VLAN etiquetada

Configuração

Configuração rápida CLI

Para criar e configurar rapidamente o túnel Q-in-Q, copie os seguintes comandos e os confique na janela do terminal do switch:

Procedimento

Procedimento passo a passo

Para configurar o túnel Q-in-Q:

  1. Definir a ID de VLAN para s-VLAN:

  2. Ative o tunelamento Q-in-Q e especifique as variedades de VLAN do cliente:

  3. De definir o modo de porta e as informações de VLAN para as interfaces:

  4. De definir o valor de Ethertype Q-in-Q (opcional):

Resultados

Veja os resultados da configuração:

Verificação

Confirmar se a configuração está funcionando corretamente.

verificar se o tunelamento Q-in-Q estava ativado

Propósito

Verificar se o tunelamento Q-in-Q estava corretamente ativado.

Ação

Use o show vlans comando:

Significado

A saída indica que o tunelamento Q-in-Q está ativado e que a VLAN está etiquetada e mostra as VLANs do cliente associadas.

Exemplo: Configuração de tunelamento Q-in-Q em switches da Série EX

Os provedores de serviços podem usar o tunelamento Q-in-Q para passar o tráfego VLAN da Camada 2 de forma transparente de um site do cliente, pela rede do provedor de serviços, até outro local do cliente sem remover ou alterar as configurações de classe de serviço (CoS) do cliente. Você pode configurar o túnel Q-in-Q em switches da Série EX.

Este exemplo descreve como configurar Q-in-Q:

Requisitos

Este exemplo requer um switch série EX com Junos OS Release 9.3 ou mais tarde para switches da Série EX.

Antes de começar a configurar o túnel Q-in-Q, certifique-se de ter criado e configurado as VLANs do cliente necessárias. Consulte a configuração de VLANs para switches da Série EX ou VLANs de Configuração para Switches da Série EX (Procedimento J-Web).

Visão geral e topologia

Nesta rede de provedores de serviços, existem várias VLANs ao cliente mapeadas para uma VLAN de serviço.

Tabela 3 lista as configurações da topologia por exemplo.

Tabela 3: Componentes da topologia para configuração de tunelamento Q-in-Q
Interface Descrição

ge-0/0/11.0

Porta-tronco S-VLAN etiquetada

ge-0/0/12.0

Porta de acesso voltada para o cliente sem atagged

ge-0/0/13.0

Porta de acesso voltada para o cliente sem atagged

ge-0/0/14.0

Porta-tronco S-VLAN etiquetada

Configuração

Configuração rápida CLI

Para criar e configurar rapidamente o túnel Q-in-Q, copie os seguintes comandos e os confique na janela do terminal do switch:

Procedimento

Procedimento passo a passo

Para configurar o túnel Q-in-Q:

  1. Definir a ID de VLAN para s-VLAN:

  2. Ative as disputas Q-in-Q e especifique as faixas de VLAN do cliente:

  3. De definir o modo de porta e as informações de VLAN para as interfaces:

  4. De definir o valor de Ethertype Q-in-Q:

Resultados

Veja os resultados da configuração:

Verificação

Para confirmar se a configuração está funcionando corretamente, realize essas tarefas:

verificar se o tunelamento Q-in-Q estava ativado

Propósito

Verificar se o tunelamento Q-in-Q estava corretamente ativado no switch.

Ação

Use o show vlans comando:

Significado

A saída indica que o tunelamento Q-in-Q está ativado e que a VLAN está etiquetada e mostra as VLANs do cliente associadas.

Configuração de uma configuração de tradução dupla de tags VLAN nos switches QFX

A partir do Junos OS Release 14.1X53-D40, você pode usar o recurso de tradução de tags VLAN duplo (também conhecido como reescrito de tags VLAN duplo) para implantar switches em domínios do provedor de serviços, permitindo a entrada ou saída de pacotes VLAN com dois tags, com marcação única e sem etiqueta.

A configuração de exemplo a seguir mostra o uso das operações de dupla tag swap-swap, pop-swap e swap-push.

Verificar se o tunelamento Q-in-Q está funcionando com switches

Propósito

Depois de criar uma VLAN Q-in-Q, verifique se ela está configurada corretamente.

Ação

  1. Use o comando para determinar se você criou as configurações VLAN primárias e show configuration vlans secundárias com sucesso:

  2. Use o show vlans comando para exibir informações de VLAN e status do link:

Significado

A saída confirma que o tunnling Q-in-Q está ativado e que a VLAN está etiquetada e lista as VLANs do cliente associadas à VLAN etiquetada.

Tabela de histórico de liberação
Versão
Descrição
19.4R1
A partir do Junos OS Release 19.4R1, a linha de switches QFX10000 aceita as tags terceiro e quarto Q-in-Q como carga de carga (também conhecida como etiqueta de passagem) juntamente com as duas tags existentes (para correspondência e operações VLAN).
14.1X53-D40
A partir do Junos OS Release 14.1X53-D40, você pode usar o recurso de tradução de tags VLAN duplo (também conhecido como reescrito de tags VLAN duplo) para implantar switches em domínios do provedor de serviços, permitindo a entrada ou saída de pacotes VLAN com dois tags, com marcação única e sem etiqueta.
14.1X53-D30
A partir do Junos OS 14.1X53-D30, você pode configurar a mesma interface para ser uma interface S-VLAN/NNI e uma interface C-VLAN/UNI.