Auf dieser Seite
Konfiguration von Q-in-Q-Tunneling auf Switches der QFX-Serie
Konfiguration von Q-in-Q-Tunneling auf Switches der EX-Serie mit ELS-Unterstützung
Konfiguration von Q-in-Q-Tunneling auf Switches der EX-Serie
Konfiguration von Q-in-Q-Tunneling mit Many-to-Many-Bündelung
Konfigurieren einer spezifischen Schnittstellenzuordnung mit VLAN-ID-Übersetzungsoption
Beispiel: Einrichten von Q-in-Q-Tunneling auf Switches der QFX-Serie
Beispiel: Einrichten von Q-in-Q-Tunneling auf Switches der EX-Serie
Einrichten einer Dual-VLAN-Tag-Übersetzungskonfiguration auf QFX-Switches
Konfiguration von Q-in-Q Tunneling und VLAN Q-in-Q Tunneling und VLAN-Übersetzung
Verstehen von Q-in-Q-Tunneling und VLAN-Übersetzung
Q-in-Q-Tunneling und VLAN-Übersetzung ermöglichen Es Service Providern, eine Layer-2-Ethernet-Verbindung zwischen zwei Kundenstandorten zu erstellen. Anbieter können den VLAN-Datenverkehr verschiedener Kunden auf einem Link trennen (z. B. wenn die Kunden überlappende VLAN-IDs verwenden) oder verschiedene Kunden-VLANs in einem einzigen Service-VLAN zusammenfassen. Datencenter können Q-in-Q-Tunneling und VLAN-Übersetzung verwenden, um den Kundendatenverkehr innerhalb eines einzigen Standorts zu isolieren oder Kundendatenströme zwischen Cloud-Datencentern an verschiedenen geografischen Standorten zu ermöglichen.
Mit Q-in-Q-Tunneling können Anbieter den Kundendatenverkehr in weniger VLANs oder verschiedene VLANs trennen oder bündeln, indem sie eine weitere Ebene mit 802.1Q-Tags hinzufügen. Q-in-Q-Tunneling ist nützlich, wenn Kunden überlappende VLAN-IDs haben, da den 802.1Q (dot1Q)-VLAN-Tags des Kunden das Service-VLAN-Tag (S-VLAN) vorausgestellt ist. Die Implementierung des Q-in-Q-Tunnelings mit Junos OS (Junos OS) von Juniper Networks unterstützt den Standard IEEE 802.1ad.
In diesem Thema wird beschrieben:
- Funktionsweise von Q-in-Q-Tunneling
- Funktionsweise der VLAN-Übersetzung
- Verwendung von Dual-VLAN-Tag-Übersetzung
- Senden und Empfangen von nicht getaggten Paketen
- Deaktivierung von MAC Address Learning
- Zuweisung von C-VLANs zu S-VLANs
- Routing-VLAN-Schnittstellen auf Q-in-Q VLANs
- Einschränkungen für Q-in-Q-Tunneling und VLAN-Übersetzung
Funktionsweise von Q-in-Q-Tunneling
Beim Q-in-Q-Tunneling wird dem Paket ein kundenspezifisches 802.1Q-Tag hinzugefügt, wenn ein Paket von einem Kunden-VLAN (C-VLAN) zum VLAN eines Service Providers wechselt. Dieses zusätzliche Tag wird verwendet, um den Datenverkehr in service providerdefinierte Service-VLANs (S-VLANs) zu trennen. Das ursprüngliche 802.1Q-Tag des Pakets des Kunden bleibt bestehen und wird transparent übertragen und passiert das Netzwerk des Service Providers. Wenn das Paket das S-VLAN in downstream-Richtung verlässt, wird das zusätzliche 802.1Q-Tag entfernt.
Alle VLANs in einer Implementierung können Service-VLANs sein. Das heißt, wenn die Gesamtzahl der unterstützten VLANs 4090 beträgt, können sie alle Service-VLANs sein.
Wenn Q-in-Q-Tunneling auf Den Ethernet-Switches der EX-Serie von Juniper Networks aktiviert ist, wird davon ausgegangen, dass Trunk-Schnittstellen Teil des Service Provider-Netzwerks sind und Access-Schnittstellen kundenorientiert sind. Eine Zugriffsschnittstelle kann in diesem Fall sowohl getaggt als auch nicht getaggt Frames empfangen.
Ab Junos OS 14.1X53-D30 können Sie dieselbe Schnittstelle als S-VLAN/NNI-Schnittstelle und C-VLAN/UNI-Schnittstelle konfigurieren. Das bedeutet, dass dieselbe physische Schnittstelle einzeltagte und doppelt getaggte Frames gleichzeitig übertragen kann. Dies ermöglicht Ihnen maximale Flexibilität in Ihrer Netzwerktopologie und ermöglicht es Ihnen, die Nutzung Ihrer Schnittstellen zu maximieren.
Eine Schnittstelle kann Mitglied mehrerer S-VLANs sein. Sie können ein C-VLAN einem S-VLAN (1:1) oder mehreren C-VLANs einem S-VLAN (N:1) zuordnen. Pakete werden für eine zusätzliche Schicht zur Trennung oder Bündelung von C-VLANs doppelt getaggt. C-VLAN- und S-VLAN-Tags sind eindeutig. sodass Sie beispielsweise sowohl ein C-VLAN 101 als auch ein S-VLAN 101 haben können. Sie können die Menge der akzeptierten Kunden-Tags auf einen Bereich von Tags oder auf einzelne Werte beschränken. Class-of-Service (CoS)-Werte von C-VLANs bleiben in Downstream-Richtung unverändert. Sie können optional die Eingangspriorität und CoS-Einstellungen in das S-VLAN kopieren. Auf Nicht-ELS-Switches können Sie private VLANs verwenden, um Benutzer zu isolieren, um die Weiterleitung von Datenverkehr zwischen Benutzeroberflächen zu verhindern, selbst wenn sich die Schnittstellen im selben VLAN befinden.
Wenn Q-in-Q-Tunneling aktiviert ist, wird angenommen, dass Trunk-Schnittstellen Teil des Service Provider- oder Datencenter-Netzwerks sind. Es wird angenommen, dass Die Zugriffsschnittstellen kundenorientiert sind und akzeptieren sowohl getaggt als auch nicht getaggt Frames. Wenn Sie ein Mehrfach-zu-eins-Paket verwenden oder eine bestimmte Schnittstelle zuordnen, müssen Sie die native Option verwenden, um ein S-VLAN für nicht getaggte Pakete und mit Priorität getaggten Paketen anzugeben, wenn Sie diese Pakete akzeptieren möchten. (Prioritäts-Pakete haben ihre VLAN-ID auf 0 festgelegt, und ihre Prioritätscodepunktbits können mit einem CoS-Wert konfiguriert werden.)
Prioritätspakete werden mit Q-in-Q-Tunneling auf QFX5100- und EX4600-Switches nicht unterstützt.
Wenn Sie dafür kein S-VLAN angeben, werden nicht getaggte Pakete verworfen. Die native Option ist für all-in-One-Bündelung nicht verfügbar, da nicht getaggte und Priorität getaggte Pakete nicht angegeben werden müssen, wenn alle Pakete einem S-VLAN zugeordnet werden.
Sie können die native Option verwenden, ein S-VLAN für nicht getaggte Pakete mit Priorität anzugeben, wenn Sie Viele-zu-Eins-Bündelung verwenden und eine bestimmte Schnittstellenansätze zuordnen, um C-VLANs S-VLANs zu S-VLANs zu zuordnen. (Dies gilt nicht für Switches, die ELS unterstützen.) Andernfalls werden die Pakete verworfen. Die native Option ist für all-in-One-Bündelung nicht verfügbar, da nicht getaggte und Priorität getaggte Pakete nicht angegeben werden müssen, wenn alle Pakete dem S-VLAN zugeordnet werden. Informationen zu den Methoden zur Zuordnung von C-VLANs zu S-VLANs finden Sie im Abschnitt Zuordnung von C-VLANs zu S-VLANs.
Nur auf QFabric-Systemen können Sie die native Option verwenden, ein bestimmtes inneres Tag auf Pakete anzuwenden, die auf Zugriffsschnittstellen als nicht markiert eintreffen. Diese Funktionalität ist nützlich, wenn Ihr QFabric-System eine Verbindung zu Servern herstellt, auf denen virtuelle Maschinen des Kunden gehostet werden, die nicht getaggten Datenverkehr senden und jeder Kunde sein eigenes VLAN benötigt, während er durch QFabric transportiert wird. Anstelle einzelner VLANs für jeden Kunden zu verwenden (was schnell zu VLAN-Erschöpfung führen kann), können Sie ein eigenes inneres (C-VLAN)-Tag auf den Datenverkehr jedes Kunden anwenden und dann ein einzelnes äußeres Tag (S-VLAN) für die Übertragung durch die QFabric anwenden. Auf diese Weise können Sie den Datenverkehr Ihrer Kunden trennen und gleichzeitig nur ein QFabric-VLAN verwenden. Verwenden Sie dazu die inner-tag Option der Zuordnungs-Anweisung .
Auf Nicht-ELS-Switches ermöglichen Firewall-Filter es Ihnen, eine Schnittstelle auf Der Grundlage einer Richtlinie einem VLAN zu zuordnen. Die Verwendung von Firewall-Filtern, um eine Schnittstelle einem VLAN zuzuordnen, ist nützlich, wenn eine Teilmenge des Datenverkehrs von einem Port einem ausgewählten VLAN anstelle des vorgesehenen VLANs zugeordnet werden soll. Um einen Firewall-Filter so zu konfigurieren, dass er eine Schnittstelle einem VLAN zuordnen kann, muss die vlan Option als Teil des Firewall-Filters konfiguriert werden, und die mapping policy Option muss in der Schnittstellenkonfiguration für jede logische Schnittstelle , die den Filter verwendet, angegeben werden.
Auf einem EX4300-Switch können Sie mehrere logische Schnittstellen auf demselben Ethernet-Port konfigurieren, aber jede logische Schnittstelle unterstützt nur einzelne Pakete, und dieses Tag muss eine andere VLAN-ID enthalten als die von den anderen logischen Schnittstellen unterstützten. Vor diesem Hintergrund können Sie Q-in-Q-Tunneling auf Ethernet-Ports mit mehreren logischen Unterschnittstellen nicht aktivieren.
Q-in-Q-Tunneling wirkt sich nicht auf CoS-Werte (Class-of-Service) aus, die auf einem C-VLAN konfiguriert sind. Diese Einstellungen werden im C-VLAN-Tag beibehalten und können verwendet werden, nachdem ein Paket ein S-VLAN verlässt. CoS-Werte werden nicht von C-VLAN-Tags auf S-VLAN-Tags kopiert.
Je nach Schnittstellenkonfiguration müssen Sie möglicherweise den MTU-Wert auf Ihrem Trunk- oder Access-Ports anpassen, um die 4 Bytes zu berücksichtigen, die für das durch Q-in-Q-Tunneling hinzugefügte Tag verwendet werden. Wenn Sie beispielsweise den STANDARD-MTU-Wert von 1514 Bytes auf Ihren Zugriffs- und Trunk-Ports verwenden, müssen Sie eine der folgenden Anpassungen vornehmen:
Reduzieren Sie die MTU auf den Zugriffslinks um mindestens 4 Bytes, sodass die Frames die MTU der Trunkverbindung nicht überschreiten, wenn S-VLAN-Tags hinzugefügt werden.
Erhöhen Sie die MTU auf der Trunk-Verbindung, sodass der Link die größere Framegröße bewältigen kann.
Q-in-Q-Tunneling kann nur an Zugriffsports konfiguriert werden (nicht an Trunk-Ports).
Funktionsweise der VLAN-Übersetzung
Die VLAN-Übersetzung ersetzt ein eingehendes C-VLAN-Tag durch ein S-VLAN-Tag, anstatt ein zusätzliches Tag hinzuzufügen. Das C-VLAN-Tag geht daher verloren, sodass ein einzelnes getaggtes Paket normalerweise untagtiert wird, wenn es das S-VLAN (am anderen Ende der Verbindung) verlässt. Wenn auf ein eingehendes Paket im Voraus Q-in-Q-Tunneling angewendet wurde, ersetzt die VLAN-Übersetzung das äußere Tag und das innere Tag wird beibehalten, wenn das Paket das S-VLAN am anderen Ende der Verbindung verlässt. Eingehende Pakete, deren Tags nicht mit dem C-VLAN-Tag übereinstimmen, werden gelöscht, es sei denn, es gibt eine zusätzliche VLAN-Übersetzungskonfiguration für diese Tags.
Verwenden Sie die Zuordnungs-Anweisung auf mapping swap Hierarchieebene, um die [edit vlans interface] VLAN-Übersetzung zu konfigurieren. Solange die C-VLAN- und S-VLAN-Tags eindeutig sind, können Sie mehr als eine C-VLAN-zu-S-VLAN-Übersetzung an einem Zugriffsport konfigurieren. Wenn Sie nur ein VLAN auf einer Schnittstelle übersetzen, müssen Sie die dot1q-tunneling Anweisung nicht in die S-VLAN-Konfiguration aufnehmen. Wenn Sie mehr als ein VLAN übersetzen, müssen Sie die dot1q-tunneling Anweisung verwenden.
Sie können die VLAN-Übersetzung nur auf Zugriffsports konfigurieren. Sie können es nicht auf Trunk-Ports konfigurieren und Q-in-Q-Tunneling nicht auf demselben Zugriffsport konfigurieren. Sie können nur eine VLAN-Übersetzung für ein bestimmtes VLAN und eine bestimmte Schnittstelle konfigurieren. Sie können beispielsweise nicht mehr als eine Übersetzung für VLAN 100 auf Schnittstelle xe-0/0/0 erstellen.
VLAN-Übersetzung wird auf QFabric-Systemen nicht unterstützt.
Verwendung von Dual-VLAN-Tag-Übersetzung
Ab Junos OS Version 14.1X53-D40 können Sie die Funktion für duale VLAN-Tag-Übersetzung (auch als Dual-VLAN-Tag-Rewrite bezeichnet) verwenden, um Switches in Service-Provider-Domänen bereitzustellen, sodass dual getaggte, single-getaggte und nicht getaggte VLAN-Pakete in den Switch kommen oder von ihnen verlassen können. Tabelle 1 zeigt die Vorgänge an, die für duale VLAN-Tag-Übersetzung hinzugefügt werden.
Vorgang |
Funktion |
|---|---|
Swap-Push |
Austauschen eines VLAN-Tags und Push eines neuen VLAN-Tags |
Pop-Swap |
Ein äußeres VLAN-Tag auffüllen und ein inneres VLAN-Tag austauschen |
Swap-Swap |
Tauschen Sie sowohl äußere als auch innere VLAN-Tags aus |
Dual-VLAN-Tag-Übersetzung unterstützt:
Konfiguration von S-VLANs (NNI) und C-VLANs (UNI) auf derselben physischen Schnittstelle
Steuerungsprotokolle wie VSTP, OSPF und LACP
IGMP-Snooping
Konfiguration von privatem VLAN (PVLAN) und VLAN auf einer Single-Tagged-Schnittstelle
Verwendung von TPID-0x8100 sowohl auf inneren als auch auf äußeren VLAN-Tags
Siehe Einrichten einer Dual-VLAN-Tag-Übersetzungskonfiguration auf QFX-Switches.
Senden und Empfangen von nicht getaggten Paketen
Um einer Schnittstelle das Senden und Empfangen von nicht getaggten Paketen zu ermöglichen, müssen Sie ein natives VLAN für eine physische Schnittstelle angeben. Wenn die Schnittstelle ein nicht getaggtes Paket empfängt, fügt sie die VLAN-ID des nativen VLANs dem Paket im C-VLAN-Feld hinzu und fügt auch das S-VLAN-Tag hinzu (sodass das Paket doppelt getaggt ist), und sendet das neu getaggte Paket an die zugeordnete Schnittstelle.
Der vorstehende Absatz gilt nicht für:
Switches ohne ELS.
EX4300-Switches, die unter einer Junos-Version vor Junos OS Version 19.3R1 ausgeführt werden.
Wenn die Switches in der obigen Kurzen Liste ein nicht getaggtes Paket empfangen, fügen sie dem Paket das S-VLAN-Tag hinzu (das Paket ist also single-tagged) und senden das neu getaggte Paket an die zugeordnete Schnittstelle.
Stellen Sie sicher, dass alle Switches, die in Ihrer Q-in-Q-Einrichtung konfiguriert sind, entweder mit dem Single-Tag- oder dem Double-Tag-Ansatz arbeiten. Die Einrichtung funktioniert nicht, wenn die Switches nicht den gleichen Ansatz haben.
Ab Junos OS Version 19.3R1 können Sie EX4300-Switches so konfigurieren, dass sie den Double-Tag-Ansatz verwenden. Legen Sie die Konfigurationsaussage input-native-vlan-push auf enable fest, und stellen Sie sicher, dass die Konfigurationsaussage input-vlan-map auf pushfestgelegt ist, wie im folgenden Beispiel dargestellt:
[edit interfaces ge-1/0/45]
flexible-vlan-tagging;
native-vlan-id 20;
input-native-vlan-push enable;
encapsulation extended-vlan-bridge;
unit 10 {
vlan-id-list 10-100;
input-vlan-map push;
output-vlan-map pop;
}
Auf Switches, die diese Funktion unterstützen, mit Ausnahme des EX4300-Switches, ist die input-native-vlan-push-Anweisung standardmäßig auf enable festgelegt. (Die input-native-vlan-push Anweisung ist auf dem SWITCH EX4300 standardmäßig auf disable festgelegt.) Wir empfehlen jedoch, die Konfiguration zu überprüfen, um sicherzustellen, dass input-vlan-map auf push— die Funktion funktioniert nicht, wenn diese Einstellung nicht vorhanden ist.
Verwenden Sie die native-vlan-id Anweisung auf [edit interfaces interface-name] Hierarchieebene, um ein natives VLAN anzugeben. Die native VLAN-ID muss mit der C-VLAN - oder S-VLAN-ID übereinstimmen oder in die auf der logischen Schnittstelle angegebene VLAN-ID-Liste aufgenommen werden.
Auf einer logischen Schnittstelle für eine C-VLAN-Schnittstelle können Sie beispielsweise eine C-VLAN-ID-Liste mit 100-200 angeben. Dann können Sie auf der physischen C-VLAN-Schnittstelle eine native VLAN-ID mit 150 angeben. Diese Konfiguration würde funktionieren, weil das native VLAN von 150 in der C-VLAN-ID-Liste von 100-200 enthalten ist.
Wir empfehlen, ein natives VLAN zu konfigurieren, wenn sie einen der Ansätze zur Zuordnung von C-VLANs zu S-VLANs verwenden. Im Abschnitt Zuordnung von C-VLANs zu S-VLANs in diesem Thema finden Sie Informationen zu den Methoden zur Zuordnung von C-VLANs zu S-VLANs.
Deaktivierung von MAC Address Learning
In einer Q-in-Q-Bereitstellung werden Kundenpakete von Downstream-Schnittstellen ohne Änderungen an Quell- und Ziel-MAC-Adressen transportiert. Sie können das Lernen von MAC-Adressen auf globaler, Schnittstellen- und VLAN-Ebene deaktivieren:
Um das Lernen weltweit zu deaktivieren, deaktivieren Sie das Lernen von MAC-Adressen für den Switch.
Um das Lernen für eine Schnittstelle zu deaktivieren, deaktivieren Sie das Lernen von MAC-Adressen für alle VLANs, deren Mitglied die angegebene Schnittstelle ist.
Um das Lernen für ein VLAN zu deaktivieren, deaktivieren Sie das Lernen von MAC-Adressen für ein bestimmtes VLAN.
Durch die Deaktivierung des Lernens von MAC-Adressen auf einer Schnittstelle wird das Lernen für alle VLANs deaktiviert, deren Mitglied diese Schnittstelle ist. Wenn Sie das Lernen von MAC-Adressen in einem VLAN deaktivieren, werden bereits gelernte MAC-Adressen überflutet.
Wenn Sie das Lernen von MAC-Adressen auf einer Schnittstelle oder einem VLAN deaktivieren, kann die 802.1X-Authentifizierung nicht in dieselbe VLAN-Konfiguration einbezogen werden.
Wenn eine geroutete VLAN-Schnittstelle (RVI) entweder einer Schnittstelle oder einem VLAN zugeordnet ist, auf dem das Lernen der MAC-Adresse deaktiviert ist, werden die Layer-3-Routen in diesem VLAN oder dieser Schnittstelle nicht mit der Layer-2-Komponente aufgelöst. Dies führt dazu, dass geroutete Pakete alle schnittstellen überfluten, die mit dem VLAN verbunden sind.
Zuweisung von C-VLANs zu S-VLANs
Es gibt mehrere Möglichkeiten, C-VLANs einem S-VLAN zu zuordnen:
Wenn Sie mehrere Zuordnungsmethoden konfigurieren, erhält der Switch Priorität für die Zuordnung einer bestimmten Schnittstelle, dann für das "Many-to-Many-Bündeln" und zuletzt für "All-in-One-Bündelung". Für eine bestimmte Zuordnungsmethode wird das Einrichten von überlappenden Regeln für dasselbe C-VLAN jedoch nicht unterstützt.
All-in-One-Bündelung: Verwenden Sie die
edit vlans s-vlan-name dot1q-tunnelingAnweisung, ohne Kunden-VLANs anzugeben. Alle von allen Zugangsschnittstellen empfangenen Pakete (einschließlich nicht getaggter Pakete) werden dem S-VLAN zugeordnet.Many-to-One-Bündelung: Verwenden Sie die
edit vlans s-vlan-name dot1q-tunneling customer-vlansAnweisung, um anzugeben, welche C-VLANs dem S-VLAN zugeordnet sind. Verwenden Sie diese Methode, wenn ein Teil der C-VLANs Teil des S-VLANs sein soll. Verwenden Sie dienativeOption mitcustomer-vlansder Anweisung, wenn nicht getaggt oder mit Priorität getaggte Pakete dem S-VLAN zugeordnet werden sollen. (Prioritäts-Pakete haben ihre VLAN-ID auf 0 festgelegt, und ihre Prioritätscodepunktbits können mit einem CoS-Wert konfiguriert werden.)Many-to-Many-Bündelung: Verwenden Sie "Many-to-Many"-Bündelung, wenn ein Teil der C-VLANs auf dem Zugriffs-Switch Teil mehrerer S-VLANs sein soll.
Zuordnung einer bestimmten Schnittstelle: Verwenden Sie die
edit vlans s-vlan-name interface interface-name mappingAnweisung, um ein C-VLAN für ein bestimmtes S-VLAN anzugeben. Diese Konfiguration gilt nur für eine Schnittstelle – nicht für alle Zugangsschnittstellen wie bei All-in-One- und Many-to-One-Bündelung. Verwenden Sie dienativeOption mitcustomer-vlansder Anweisung, wenn nicht getaggt oder mit Priorität getaggte Pakete dem S-VLAN zugeordnet werden sollen.Diese Methode hat zwei Optionen: austauschen und pushen. Mit der Push-Option behält ein Paket sein Tag und ein zusätzliches VLAN-Tag wird hinzugefügt. Mit der Swap-Option wird das eingehende Tag durch ein S-VLAN-Tag ersetzt. (Dies ist VLAN-Übersetzung.)
Sie können mehrere Push-Regeln für ein bestimmtes S-VLAN und eine bestimmte Schnittstelle konfigurieren. Das heißt, Sie können eine Schnittstelle so konfigurieren, dass dasselbe S-VLAN-Tag zu Paketen hinzugefügt wird, die von mehreren C-VLANs kommen.
Sie können nur eine Auslagerungsregel für ein bestimmtes S-VLAN und eine bestimmte Schnittstelle konfigurieren.
Diese Funktionalität wird in der Regel verwendet, um Datenverkehr von verschiedenen Kunden getrennt zu halten oder um den Datenverkehr auf einer bestimmten Schnittstelle individuell zu behandeln.
Wenn Sie mehrere Methoden konfigurieren, erhält der Switch Priorität für die Zuordnung einer bestimmten Schnittstelle, dann für die Multi-to-One-Bündelung und zuletzt für die All-in-One-Bündelung. Sie können jedoch keine überlappenden Regeln für dasselbe C-VLAN in einem bestimmten Ansatz haben. So können Sie beispielsweise keine Bündelung verwenden, um C-VLAN 100 zwei verschiedenen S-VLANs zuzuordnen.
- All-in-One-Bündelung
- Many-to-One-Bündelung
- Many-to-Many-Bündelung
- Zuordnung einer bestimmten Schnittstelle
- Kombinieren von Methoden und Konfigurationsbeschränkungen
All-in-One-Bündelung
All-in-One-Bündelung ordnet alle Pakete von allen C-VLAN-Schnittstellen zu einem S-VLAN zu.
Die C-VLAN-Schnittstelle akzeptiert nicht getaggte und einfach getaggte Pakete. Dann wird ein S-VLAN 802.1Q-Tag zu diesen Paketen hinzugefügt, und die Pakete werden an die S-VLAN-Schnittstelle gesendet, die nicht getaggte, single-tagged und doppelt getaggt Pakete akzeptiert.
Die C-VLAN- und S-VLAN-Schnittstellen akzeptieren nicht getaggte Pakete, sofern die native-vlan-id Anweisung auf diesen Schnittstellen konfiguriert ist.
Many-to-One-Bündelung
Die Many-to-One-Bündelung wird verwendet, um anzugeben, welche C-VLANs einem S-VLAN zugeordnet werden. Die Many-to-One-Bündelung wird mit der customer-vlans Option konfiguriert.
Die Many-to-One-Bündelung wird verwendet, wenn ein Teil der C-VLANs auf dem Zugriffs-Switch Teil des S-VLANs sein soll. Bei Der Verwendung von Many-to-One-Bündelung können nicht getaggte und Priorität getaggte Pakete dem S-VLAN zugeordnet werden, wenn die native Option zusammen mit der customer-vlans Option angegeben wird.
Many-to-Many-Bündelung
Die "Many-to-Many"-Bündelung wird verwendet, um anzugeben, welche C-VLANs welchen S-VLANs zugeordnet werden.
Verwenden Sie "Many-to-Many"-Bündelung, wenn ein Teil der C-VLANs auf dem Zugriffs-Switch Teil mehrerer S-VLANs sein soll. Mit vielen zu vielen Bündelung akzeptieren die C-VLAN-Schnittstellen nicht getaggte und single-getaggt Pakete. Dann wird ein S-VLAN 802.1Q-Tag zu diesen Paketen hinzugefügt, und die Pakete werden an die S-VLAN-Schnittstellen gesendet, die nicht getaggte, single-tagged und doppelt getaggt Pakete akzeptieren.
Die C-VLAN- und S-VLAN-Schnittstellen akzeptieren nicht getaggte Pakete, sofern die native-vlan-id Anweisung auf diesen Schnittstellen konfiguriert ist.
Zuordnung einer bestimmten Schnittstelle
Verwenden Sie eine spezifische Schnittstellenzuordnung, wenn Sie einem bestimmten C-VLAN auf einer Schnittstelle ein S-VLAN zuweisen möchten. Die Konfiguration gilt nur für die spezifische Schnittstelle, nicht für alle Zugriffsschnittstellen.
Spezifische Schnittstellenzuordnung hat zwei Unteroptionen: push und swap. Wenn Datenverkehr, der einer bestimmten Schnittstelle zugeordnet wird, übertragen wird, behält das Paket sein ursprüngliches Tag, während es vom C-VLAN in das S-VLAN verlagert wird, und ein zusätzliches S-VLAN-Tag wird dem Paket hinzugefügt. Wenn Datenverkehr, der einer bestimmten Schnittstelle zugeordnet wird, ausgetauscht wird, wird das eingehende Tag durch ein neues VLAN-Tag ersetzt. Dies ist manchmal bekannt VLAN-Rewriting oder VLAN-Übersetzung.
In der Regel wird diese Methode verwendet, um Daten von verschiedenen Kunden getrennt zu halten oder um eine individuelle Behandlung der Pakete auf einer bestimmten Schnittstelle zu ermöglichen. Sie können auch diese Methode verwenden, um VLAN-Datenverkehr von verschiedenen Kunden einem einzigen S-VLAN zuzuordnen.
Bei der Verwendung einer spezifischen Schnittstellenzuordnung akzeptieren die C-VLAN-Schnittstellen nicht getaggte und single-tagged Pakete, während die S-VLAN-Schnittstellen nicht getaggte, single-getaggt und doppelt getaggte Pakete akzeptieren.
Die C-VLAN- und S-VLAN-Schnittstellen akzeptieren nicht getaggte Pakete, sofern die native-vlan-id Anweisung auf diesen Schnittstellen konfiguriert ist.
Kombinieren von Methoden und Konfigurationsbeschränkungen
Wenn Sie mehrere Methoden konfigurieren, erhält der Switch Priorität für die Zuordnung einer bestimmten Schnittstelle, dann für die Multi-to-One-Bündelung und zuletzt für die All-in-One-Bündelung. Eine Zugriffsschnittstelle, die unter dem All-in-One-Paket konfiguriert ist, kann nicht Teil eines Many-to-One-Pakets sein. Es können jedoch zusätzliche Zuordnungen definiert werden.
Um deterministische Ergebnisse zu gewährleisten, gelten die folgenden Konfigurationseinschränkungen:
Die Zuordnung für nicht getaggte Vlans kann nicht definiert werden.
Eine Zugriffsschnittstelle kann mehrere VLAN-Bereiche des Kunden haben, aber eine Schnittstelle darf keine überlappenden Tags in den VLANs haben.
Die folgende Konfiguration ist beispielsweise nicht zulässig:
vlans { customer-1 { vlan-id 100; /* S-VLAN */ interfaces ge-0/0/0.0; /* Downstream */ interfaces ge-0/0/1.0; /* Downstream */ interfaces xe-0/1/0.0; /* trunk */ dot1q-tunnelling customer-vlans 100-200 300-400 } } customer-2 { vlan-id 200; interfaces ge-0/0/0.0; /* Downstream */ interfaces xe-0/1/0.0; /* trunk */ dot1q-tunnelling customer-vlans 250-350 } } customer-3 { vlan-id 300; interfaces ge-0/0/1.0; /* Downstream */ interfaces xe-0/1/0.0; /* trunk */ dot1q-tunnelling customer-vlans 500-600 } }Da die
customer-2Konfiguration überlappendecustomer-vlanBereiche für ge-0/0/0 erzeugt, ist sie ungültig.Eine Zugriffsschnittstelle kann eine einzige Regel haben, die ein nicht getaggtes Paket einem VLAN zuordnet.
Jede Schnittstelle kann höchstens eine Mapping-Swap-Regel pro VLAN haben.
Sie können ein VLAN-Tag nur auf die Zugriffsports eines Q-in-Q-VLANs übertragen. Diese Einschränkung gilt für alle drei Methoden zum Pushen eines VLAN-Tags: das heißt All-in-One-Bündelung, Many-to-One-Bunding und Zuordnung einer bestimmten Schnittstelle mit Push.
Sie können verschiedene C-VLAN-Tags für ein bestimmtes S-VLAN auf verschiedene Schnittstellen übertragen. Dies kann je nach Konfiguration zu Datenverkehrslecks über VLANs führen.
Routing-VLAN-Schnittstellen auf Q-in-Q VLANs
Routing-VLAN-Schnittstellen (RVIs) werden auf Q-in-Q-VLANs unterstützt.
Pakete, die über eine RVI mit Q-in-Q-VLANs ankommen, werden geroutet, unabhängig davon, ob das Paket single oder doppelt getaggt ist. Die ausgehenden gerouteten Pakete enthalten ein S-VLAN-Tag nur, wenn sie eine Trunk-Schnittstelle verlassen. verlassen die Pakete die Schnittstelle ohne Tag, wenn sie eine Zugriffsschnittstelle verlassen.
Einschränkungen für Q-in-Q-Tunneling und VLAN-Übersetzung
Beachten Sie die folgenden Einschränkungen bei der Konfiguration von Q-in-Q-Tunneling und VLAN-Übersetzung:
-
Q-in-Q-Tunneling unterstützt nur zwei VLAN-Tags.
-
Q-in-Q-Tunneling unterstützt die meisten Sicherheitsfunktionen für Zugriffsport nicht. Mit Q-in-Q-Tunneling gibt es kein Policing pro VLAN (Customer) oder per VLAN (ausgehendes) Shaping und Begrenzung, es sei denn, Sie konfigurieren diese Sicherheitsfunktionen mithilfe von Firewall-Filtern.
-
Mit Versionen von Junos OS Version 13.2X51 vor Version 13.2X51-D20 können Sie kein normales VLAN auf einer Schnittstelle erstellen, wenn Sie ein S-VLAN oder C-VLAN auf dieser Schnittstelle für Q-in-Q-Tunneling erstellt haben. Das bedeutet, dass Sie keine integrierte Routing- und Bridging -Schnittstelle (IRB) auf dieser Schnittstelle erstellen können, da normale VLANs ein erforderlicher Bestandteil der IRB-Konfiguration sind. Mit Junos OS Version 13.2X51-D25 können Sie ein normales VLAN auf einer Trunk-Schnittstelle mit S-VLAN erstellen, was bedeutet, dass Sie auch eine IRB-Schnittstelle auf dem Trunk erstellen können. In diesem Fall können das normale VLAN und S-VLAN auf derselben Trunk-Schnittstelle nicht dieselbe VLAN-ID gemeinsam nutzen. Junos OS Version 13.2X51-D25 ermöglicht es Ihnen nicht, ein normales VLAN auf einer Zugriffsschnittstelle mit einem C-VLAN zu erstellen.
-
Ab Junos OS Version 14.1X53-D40 werden integrierte Routing- und Bridging-Schnittstellen (IRB) auf Q-in-Q-VLANs unterstützt. Sie können die IRB-Schnittstelle auf derselben Schnittstelle konfigurieren, die von einem S-VLAN verwendet wird, und Sie können dieselbe VLAN-ID sowohl für das VLAN, das von der IRB-Schnittstelle verwendet wird, als auch für das VLAN, das als S-VLAN verwendet wird, verwenden.
Pakete, die über eine IRB-Schnittstelle eintreffen, die Q-in-Q-VLANs verwendet, werden geroutet, unabhängig davon, ob das Paket single tagged oder double tagged ist. Die ausgehenden gerouteten Pakete enthalten ein S-VLAN-Tag nur, wenn sie eine Trunk-Schnittstelle verlassen. verlassen die Pakete die Schnittstelle ohne Tag, wenn sie eine Zugriffsschnittstelle verlassen.
HINWEIS:Sie kann die IRB-Schnittstelle nur auf S-VLAN-Schnittstellen (NNI) konfigurieren, nicht auf C-VLAN (UNI)-Schnittstellen.
-
Die Unterstützung für QFX5K-Switches mit Q-in-Q-Schnittstellen, die die
vlan-tagsAnweisung verwenden, ist auf Layer-2-Schnittstellen beschränkt. Layer-3-Schnittstellen, die mit Q-iQ-Anweisungenvlan-tagskonfiguriert sind, funktionieren möglicherweise nicht wie erwartet. -
Die meisten Zugriffs-Port-Sicherheitsfunktionen werden mit Q-in-Q-Tunneling und VLAN-Übersetzung nicht unterstützt.
-
Die Konfiguration von Q-in-Q-Tunneling und VLAN-Umschreibung/VLAN-Übersetzung am selben Port wird nicht unterstützt.
-
Sie können höchstens eine VLAN-Umschreibung/VLAN-Übersetzung für ein bestimmtes VLAN und eine bestimmte Schnittstelle konfigurieren. Sie können beispielsweise nicht mehr als eine Übersetzung für VLAN 100 auf Schnittstelle xe-0/0/0 erstellen.
-
Die Gesamtsumme der VLANs und Regeln für Q-in-Q-Tunneling und VLAN-Übersetzung darf 6000 nicht überschreiten. Sie können beispielsweise 4000 VLANs und 2000 Regeln für Q-in-Q-Tunneling und VLAN-Übersetzung konfigurieren und festlegen. Sie können jedoch keine 4000 VLANs und 2500 Regeln für Q-in-Q-Tunneling und VLAN-Übersetzung konfigurieren. Wenn Sie versuchen, eine Konfiguration zu bestätigen, die die Obergrenze überschreitet, werden CLI- und Syslog-Fehler angezeigt, die Sie über das Problem informieren.
-
Sie können die native VLAN-ID nicht verwenden.
-
MAC-Adressen werden von S-VLANs gelernt, nicht von C-VLANs.
-
Broadcast-, unbekannter Unicast- und Multicast-Datenverkehr wird an alle Mitglieder im S-VLAN weitergeleitet.
-
Die folgenden Funktionen werden mit Q-in-Q-Tunneling nicht unterstützt:
-
DHCP-Relay
-
Fibre Channel over Ethernet
-
IP Source Guard
-
-
Die folgenden Funktionen werden von der VLAN-Umschreibung/VLAN-Übersetzung nicht unterstützt:
-
Fibre Channel over Ethernet
-
Firewall-Filter, der auf einen Port oder VLAN in Ausgaberichtung angewendet wird
-
Private VLANs
-
VLAN Spanning Tree Protocol
-
Reflektierendes Relay
-
Konfiguration von Q-in-Q-Tunneling auf Switches der QFX-Serie
Q-in-Q-Tunneling und VLAN-Übersetzung ermöglichen Es Service Providern, eine Layer-2-Ethernet-Verbindung zwischen zwei Kundenstandorten zu erstellen. Anbieter können den VLAN-Datenverkehr verschiedener Kunden auf einem Link trennen (z. B. wenn die Kunden überlappende VLAN-IDs verwenden) oder verschiedene Kunden-VLANs in einem einzigen Service-VLAN zusammenfassen. Datencenter können Q-in-Q-Tunneling verwenden, um den Kundendatenverkehr innerhalb eines einzigen Standorts zu isolieren oder wenn der Kundendatenverkehr zwischen Cloud-Datencentern an verschiedenen geografischen Standorten fließt.
Ab Junos OS Version 19.4R1 unterstützen die Switches der QFX10000-Reihe die dritten und vierten Q-in-Q-Tags als Payload (auch bekannt als Pass-Through-Tag) zusammen mit den vorhandenen beiden Tags (für VLAN-Abgleich und Betrieb). Die QFX10000-Switches unterstützen mehrere Q-in-Q-Tags für Layer-2-Bridging- und EVPN-VXLAN-Fälle. Die Layer-2-Zugriffsschnittstellen akzeptieren Pakete mit drei oder vier Tags (alle Tags mit dem TPID-Wert 0x8100). Alle Tags über das vierte Tag hinaus (also ab dem fünften Tag) werden als Teil der Layer-3-Nutzlast betrachtet und transparent weitergeleitet.
In einem oder zwei getaggten Paketen können die Tags, Tag 1 und Tag 2 beliebige TPID-Werte wie 0x8100, 0x88a8, 0x9100 und 0x9200 enthalten.
Bevor Sie Q-in-Q-Tunneling einrichten, stellen Sie sicher, dass Sie die erforderlichen Kunden-VLANs auf den benachbarten Switches erstellt und konfiguriert haben. Siehe Konfiguration von VLANs auf Switches.
So konfigurieren Sie Q-in-Q-Tunneling:
Je nach Schnittstellenkonfiguration müssen Sie möglicherweise den MTU-Wert auf Ihrem Trunk- oder Access-Ports anpassen, um die 4 Bytes zu berücksichtigen, die für das durch Q-in-Q-Tunneling hinzugefügte Tag verwendet werden. Wenn Sie beispielsweise den STANDARD-MTU-Wert von 1514 Bytes auf Ihren Zugriffs- und Trunk-Ports verwenden, müssen Sie eine der folgenden Anpassungen vornehmen:
Reduzieren Sie die MTU auf den Zugriffslinks um mindestens 4 Bytes, sodass die Frames die MTU der Trunkverbindung nicht überschreiten, wenn S-VLAN-Tags hinzugefügt werden.
Erhöhen Sie die MTU auf der Trunk-Verbindung, sodass der Link die größere Framegröße bewältigen kann.
Konfiguration von Q-in-Q-Tunneling auf Switches der EX-Serie mit ELS-Unterstützung
Dieser Task verwendet Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil der erweiterten Layer 2-Software (ELS). Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, lesen Sie Konfigurieren von Q-in-Q-Tunneling auf Switches der EX-Serie. Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Q-in-Q-Tunneling ermöglicht Es Service Providern in Ethernet-Zugangsnetzwerken, den Kundendatenverkehr durch Hinzufügen einer weiteren Schicht von 802.1Q-Tags zu trennen oder in verschiedene VLANs zu bündeln. Sie können Q-in-Q-Tunneling auf Switches der EX-Serie konfigurieren.
Sie können die 802.1X-Benutzerauthentifizierung nicht auf Schnittstellen konfigurieren, die für Q-in-Q-Tunneling aktiviert wurden.
Wenn Q-in-Q-Tunneling auf Switches der EX-Serie konfiguriert wird, wird davon ausgegangen, dass Trunk-Schnittstellen Teil des Service-Provider-Netzwerks sind, und Die Zugriffsschnittstellen werden als Teil des Kundennetzwerks angenommen. Daher bezieht sich dieses Thema auch auf Trunk-Schnittstellen als Service-Provider-VLAN-Schnittstellen (Network-to-Network-Schnittstellen [NNI]) und den Zugriff auf Schnittstellen als Kunden-VLAN-Schnittstellen (Benutzer-Netzwerkschnittstellen [UNI]).
Stellen Sie sicher, dass Sie Ihre VLANs einrichten, bevor Sie mit der Konfiguration von Q-in-Q-Tunneling beginnen. Siehe Konfigurieren von VLANs für Switches der EX-Serie mit ELS-Unterstützung (CLI-Prozedur) oder Konfigurieren von VLANs für Switches der EX-Serie (J-Web Procedure).
Konfigurieren Sie Q-in-Q-Tunneling, indem Sie eine der folgenden Methoden verwenden, um C-VLANs zu S-VLANs zu zuordnen:
- Konfiguration der All-in-One-Bündelung
- Konfigurieren von Many-to-Many-Bündelung
- Konfigurieren einer spezifischen Schnittstellenzuordnung mit VLAN-Rewrite-Option
Konfiguration der All-in-One-Bündelung
Sie können Q-in-Q-Tunneling konfigurieren, indem Sie die All-in-One-Bündelungsmethode verwenden, die Pakete von allen C-VLAN-Schnittstellen auf einem Switch zu einem S-VLAN ordnet.
So konfigurieren Sie die All-in-One-Bündelungsmethode auf einer C-VLAN-Schnittstelle:
Die folgende Konfiguration auf der C-VLAN-Schnittstelle ge-0/0/1 ermöglicht Q-in-Q-Tunneling und ordnet Pakete von C-VLANs 100 bis 200 auf die logische Schnittstelle 10 zu, die wiederum mit S-VLAN v10 verknüpft ist. In dieser Beispielkonfiguration enthält ein Paket, das aus C-VLAN 100 stammt, ein Tag mit der VLAN-ID 100. Wenn dieses Paket von der Schnittstelle ge-0/0/1 zur S-VLAN-Schnittstelle wechselt, wird ein Tag mit der VLAN-ID 10 hinzugefügt. Wenn das Paket die S-VLAN-Schnittstelle verlässt, wird das Tag mit der VLAN-ID 10 entfernt.
set interfaces ge-0/0/1 flexible-vlan-tagging set interfaces ge-0/0/1 encapsulation extended-vlan-bridge set interfaces ge-0/0/1 unit 10 vlan-id-list 100-200 set interfaces ge-0/0/1 native-vlan-id 150 set interfaces ge-0/0/1 unit 10 input-vlan-map push set interfaces ge-0/0/1 unit 10 output-vlan-map pop set vlans v10 interface ge-0/0/1.10
So konfigurieren Sie die All-in-One-Bündelungsmethode auf einer S-VLAN-Schnittstelle:
Ermöglichen sie die Übertragung von Paketen ohne, ein oder zwei 802.1Q VLAN-Tags:
[edit interfaces interface-name] user@switch# set flexible-vlan-tagging
Aktivieren Sie die erweiterte VLAN-Bridge-Kapselung:
[edit interfaces interface-name] user@switch# set encapsulation extended-vlan-bridge
Zuordnen von Paketen von der in der C-VLAN-Schnittstellenkonfiguration angegebenen logischen Schnittstelle zum S-VLAN:
[edit interfaces interface-name unit logical-unit-number] user@switch# set vlan-id number
Aktivieren Sie die S-VLAN-Schnittstelle zum Senden und Empfangen von nicht getaggten Paketen:
[edit interfaces interface-name] user@switch# set native-vlan-id vlan-id
Wenn Sie eine native VLAN-ID auf einer physischen S-VLAN-Schnittstelle angeben, muss der Wert mit der VLAN-ID übereinstimmen, die in Schritt 3 auf der logischen S-VLAN-Schnittstelle angegeben wurde.
Zuordnen der S-VLAN-Schnittstelle mit dem S-VLAN, das in der C-VLAN-Schnittstellenprozedur konfiguriert wurde:
[edit vlans vlan-name] user@switch# set interface interface-name.logical-unit-number
Die folgende Konfiguration auf der S-VLAN-Schnittstelle ge-1/1/1 ermöglicht beispielsweise Q-in-Q-Tunneling und ordnet Pakete mit einem VLAN-ID-Tag von 10 bis zur logischen Schnittstelle 10 zu, die wiederum mit S-VLAN v10 verknüpft ist. .
set interfaces ge-1/1/1 flexible-vlan-tagging set interfaces ge-1/1/1 encapsulation extended-vlan-bridge set interfaces ge-1/1/1 unit 10 vlan-id 10 set interfaces ge-1/1/1 native-vlan-id 10 set vlans v10 interface ge-1/1/1.10
Konfigurieren von Many-to-Many-Bündelung
Sie können Q-in-Q-Tunneling mit der Many-to-Many-Bündelungsmethode konfigurieren, die Pakete von mehreren C-VLANs auf mehrere S-VLANs ordnet.
So konfigurieren Sie die Many-to-Many-Bündelungsmethode auf einer C-VLAN-Schnittstelle:
Die folgende Konfiguration auf der C-VLAN-Schnittstelle ge-0/0/1 für Kunde 1 ermöglicht Q-in-Q-Tunneling und ordnet Pakete von C-VLANs 100 bis 120 bis zur logischen Schnittstelle 10 zu, die wiederum mit S-VLAN v10 verbunden ist.
Die Konfiguration auf der C-VLAN-Schnittstelle ge-0/0/2 für Kunde 2 ermöglicht Q-in-Q-Tunneling und ordnet Pakete von C-VLANs 30 bis 40, 50 bis 60 und 70 bis 80 bis zur logischen Schnittstelle 30 zu, die wiederum mit S-VLAN v30 verbunden ist.
In dieser Beispielkonfiguration enthält ein Paket, das aus C-VLAN 100 stammt, ein Tag mit der VLAN-ID 100. Wenn dieses Paket von der Schnittstelle ge-0/0/1 zur S-VLAN-Schnittstelle wechselt, wird ein Tag mit einer VLAN-ID von 10 hinzugefügt. Wenn das Paket die S-VLAN-Schnittstelle verlässt, wird das Tag mit der VLAN-ID 10 entfernt.
Kunde 1
set interfaces ge-0/0/1 flexible-vlan-tagging set interfaces ge-0/0/1 encapsulation extended-vlan-bridge set interfaces ge-0/0/1 unit 10 vlan-id-list 100-120 set interfaces ge-0/0/1 native-vlan-id 100 set interfaces ge-0/0/1 unit 10 input-vlan-map push set interfaces ge-0/0/1 unit 10 output-vlan-map pop set vlans v10 interface ge-0/0/1.10
Kunde 2
set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 encapsulation extended-vlan-bridge set interfaces ge-0/0/2 unit 30 vlan-id-list 30-40 set interfaces ge-0/0/2 unit 30 vlan-id-list 50-60 set interfaces ge-0/0/2 unit 30 vlan-id-list 70-80 set interfaces ge-0/0/2 native-vlan-id 30 set interfaces ge-0/0/2 unit 30 input-vlan-map push set interfaces ge-0/0/2 unit 30 output-vlan-map pop set vlans v30 interface ge-0/0/2.30
So konfigurieren Sie die Many-to-Many-Bündelungsmethode auf einer S-VLAN-Schnittstelle:
Ermöglichen sie die Übertragung von Paketen ohne, ein oder zwei 802.1Q VLAN-Tags:
[edit interfaces interface-name] user@switch# set flexible-vlan-tagging
Aktivieren Sie die erweiterte VLAN-Bridge-Kapselung:
[edit interfaces interface-name] user@switch# set encapsulation extended-vlan-bridge
Zuordnen von Paketen von jeder logischen Schnittstelle, die in der C-VLAN-Schnittstellenkonfiguration angegeben ist, einem S-VLAN:
[edit interfaces interface-name unit logical-unit-number] user@switch# set native-vlan-id number
Aktivieren Sie eine S-VLAN-Schnittstelle zum Senden und Empfangen von nicht getaggten Paketen:
[edit interfaces interface-name] user@switch# set native-vlan-id vlan-id
Wenn Sie eine native VLAN-ID auf einer physischen S-VLAN-Schnittstelle angeben, muss der Wert mit einer S-VLAN-ID übereinstimmen, die in Schritt 3 auf der logischen S-VLAN-Schnittstelle angegeben wurde.
Zuordnen der S-VLAN-Schnittstelle mit den S-VLANs, die in der C-VLAN-Schnittstellenprozedur konfiguriert wurden:
[edit vlans vlan-name] user@switch# set interface interface-name.logical-unit-number
Die folgende Konfiguration auf der S-VLAN-Schnittstelle ge-1/1/1 ermöglicht beispielsweise Q-in-Q-Tunneling und ordnet eingehende C-VLAN-Pakete den logischen Schnittstellen 10 und 30 zu, die wiederum mit S-VLANs v10 bzw. v30 verknüpft sind.
set interfaces ge-1/1/1 flexible-vlan-tagging set interfaces ge-1/1/1 encapsulation extended-vlan-bridge set interfaces ge-1/1/1 unit 10 vlan-id 10 set interfaces ge-1/1/1 unit 30 vlan-id 30 set interfaces ge-1/1/1 native-vlan-id 10 set vlans v10 interface ge-1/1/1.10 set vlans v30 interface ge-1/1/1.30
Konfigurieren einer spezifischen Schnittstellenzuordnung mit VLAN-Rewrite-Option
Sie können Q-in-Q-Tunneling konfigurieren, indem Sie Pakete von einem angegebenen C-VLAN zu einem angegebenen S-VLAN zuordnen. Darüber hinaus können Sie während der Übertragung der Pakete an und vom S-VLAN angeben, dass das 802.1Q C-VLAN-Tag entfernt und durch das S-VLAN-Tag ersetzt wird oder umgekehrt.
So konfigurieren Sie eine bestimmte Schnittstellenzuordnung mit VLAN-Neuschreibung auf der C-VLAN-Schnittstelle:
Die folgende Konfiguration auf der C-VLAN-Schnittstelle ge-0/0/1 ermöglicht beispielsweise Q-in-Q-Tunneling und ordnet eingehende Pakete von C-VLAN 150 auf die logische Schnittstelle 200 zu, die wiederum mit VLAN v200 verknüpft ist. Wenn Pakete von der C-VLAN-Schnittstelle ge-0/0/1 zu einer S-VLAN-Schnittstelle geleitet werden, wird das C-VLAN-Tag 150 entfernt und durch das S-VLAN-Tag 200 ersetzt. Wenn Pakete von einer S-VLAN-Schnittstelle zur C-VLAN-Schnittstelle ge-0/0/1 geleitet werden, wird das S-VLAN-Tag 200 entfernt und durch das C-VLAN-Tag von 150 ersetzt.
set interfaces ge-0/0/1 flexible-vlan-tagging set interfaces ge-0/0/1 encapsulation extended-vlan-bridge set interfaces ge-0/0/1 unit 200 vlan-id 150 set interfaces ge-0/0/1 native-vlan-id 150 set interfaces ge-0/0/1 unit 200 input-vlan-map swap set interfaces ge-0/0/1 unit 200 output-vlan-map swap set vlans v200 interface ge-0/0/1.200
So konfigurieren Sie eine bestimmte Schnittstellenzuordnung mit VLAN-Umschreibung auf der S-VLAN-Schnittstelle:
Ermöglichen sie die Übertragung von Paketen ohne, ein oder zwei 802.1Q VLAN-Tags:
[edit interfaces interface-name] user@switch# set flexible-vlan-tagging
Aktivieren Sie die erweiterte VLAN-Bridge-Kapselung:
[edit interfaces interface-name] user@switch# set encapsulation extended-vlan-bridge
Zuordnen von Paketen von der in der C-VLAN-Schnittstellenkonfiguration angegebenen logischen Schnittstelle zum S-VLAN:
[edit interfaces interface-name unit logical-unit-number] user@switch# set vlan-id number
Aktivieren Sie die S-VLAN-Schnittstelle zum Senden und Empfangen von nicht getaggten Paketen:
[edit interfaces interface-name] user@switch# set native-vlan-id vlan-id
Wenn Sie eine native VLAN-ID auf einer physischen S-VLAN-Schnittstelle angeben, muss der Wert mit der VLAN-ID übereinstimmen, die in Schritt 3 auf der logischen S-VLAN-Schnittstelle angegeben wurde.
Zuordnen der S-VLAN-Schnittstelle mit dem S-VLAN, das in der C-VLAN-Schnittstellenprozedur konfiguriert wurde: :
[edit vlans vlan-name] user@switch# set interface interface-name.logical-unit-number
Die folgende Konfiguration auf der S-VLAN-Schnittstelle ge-1/1/1 ermöglicht beispielsweise Q-in-Q-Tunneling und ordnet Pakete mit VLAN-ID 200 der logischen Schnittstelle 200 zu, die wiederum mit S-VLAN v200 verknüpft ist.
set interfaces ge-1/1/1 flexible-vlan-tagging set interfaces ge-1/1/1 encapsulation extended-vlan-bridge set interfaces ge-1/1/1 unit 200 vlan-id 200 set interfaces ge-1/1/1 native-vlan-id 200 set vlans v200 interface ge-1/1/1.200
Konfiguration von Q-in-Q-Tunneling auf Switches der EX-Serie
Dieser Task verwendet Junos OS für Switches der EX-Serie, die den ElS-Konfigurationsstil (Enhanced Layer 2 Software) nicht unterstützen.
Q-in-Q-Tunneling ermöglicht Es Service Providern in Ethernet-Zugangsnetzwerken, den Kundendatenverkehr durch Hinzufügen einer weiteren Schicht von 802.1Q-Tags zu trennen oder in verschiedene VLANs zu bündeln. Sie können Q-in-Q-Tunneling auf Switches der EX-Serie konfigurieren.
Sie können die 802.1X-Benutzerauthentifizierung nicht auf Schnittstellen konfigurieren, die für Q-in-Q-Tunneling aktiviert wurden.
Stellen Sie sicher, dass Sie Ihre VLANs einrichten, bevor Sie mit der Konfiguration von Q-in-Q-Tunneling beginnen. Siehe Konfigurieren von VLANs für Switches der EX-Serie oder Konfigurieren von VLANs für Switches der EX-Serie (J-Web-Prozedur).
So konfigurieren Sie Q-in-Q-Tunneling:
Konfiguration von Q-in-Q-Tunneling auf der ACX-Serie
SUMMARY
Q-in-Q-Tunneling auf der ACX-Serie – Überblick
Q-in-Q-Tunneling ermöglicht Es Service Providern, eine Layer-2-Ethernet-Verbindung zwischen zwei Kundenstandorten zu erstellen. Anbieter können den VLAN-Datenverkehr verschiedener Kunden auf einem Link trennen (z. B. wenn die Kunden überlappende VLAN-IDs verwenden) oder verschiedene Kunden-VLANs in einem einzigen Service-VLAN zusammenfassen. Service Provider können Q-in-Q-Tunneling verwenden, um den Kundendatenverkehr innerhalb eines einzelnen Standorts zu isolieren oder Kundendatenströme über geografische Standorte hinweg zu ermöglichen.
Q-in-Q-Tunneling fügt vor den 802.1Q-VLAN-Tags des Kunden ein Service-VLAN-Tag hinzu. Die Junos-Betriebssystemimplementierung von Q-in-Q-Tunneling von Juniper Networks unterstützt den IEEE 802.1ad-Standard.
Bei Q-in-Q-Tunneling, wenn ein Paket von einem Kunden-VLAN (C-VLAN) zum VLAN (S-VLAN) eines Service Providers (S-VLAN) wechselt, wird vor dem C-VLAN-Tag ein weiteres 802.1Q-Tag für das entsprechende S-VLAN hinzugefügt. Das C-VLAN-Tag bleibt und wird über das Netzwerk übertragen. Wenn das Paket in Downstream-Richtung aus dem S-VLAN-Bereich beendet wird, wird das S-VLAN 802.1Q-Tag entfernt.
In Routern der ACX-Serie können Sie Q-in-Q-Tunneling konfigurieren, indem Sie explizit eine Eingabe-VLAN-Karte mit push Funktion für kundenorientierte Schnittstellen in einer Bridge-Domain konfigurieren.
Sie können Q-in-Q-Tunneling auf einer aggregierten Ethernet-Schnittstelle konfigurieren, indem Sie die VLAN-Zuordnung für Ein- und Ausgabe konfigurieren.
Konfiguration von Q-in-Q-Tunneling auf der ACX-Serie
Um Q-in-Q-Tunneling zu konfigurieren, müssen Sie die logische Schnittstelle konfigurieren, die mit dem Kundennetzwerk (Benutzer-zu-Netzwerk-Schnittstellen (UNI)) verbunden ist, und die logische Schnittstelle, die mit dem Service Provider-Netzwerk (Network-to-Network Interface (NNI)) verbunden ist.
Das folgende Beispiel dient der Konfiguration einer logischen Schnittstelle, die mit einem Kundennetzwerk verbunden ist:
[edit]
interface ge-1/0/1 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
unit 0 {
encapsulation vlan-bridge;
vlan-id-list 10-20;
input-vlan-map {
push;
vlan-id 500;
}
output-vlan-map pop;
}
}
Im folgenden Beispiel können Sie eine logische Schnittstelle konfigurieren, die mit einem Service Provider-Netzwerk verbunden ist:
[edit] interface ge-1/0/2; { flexible-vlan-tagging; encapsulation flexible-ethernet-services; unit 0 { encapsulation vlan-bridge; vlan-id 500; } }
Im folgenden Beispiel können Sie die Bridge-Domäne konfigurieren:
[edit] bridge-domains { qnq-stag-500{ interface ge-1/0/1; interface ge-1/0/2; } }
Sie können Q-in-Q-Tunneling auf einer aggregierten Ethernet-Schnittstelle konfigurieren, die mit dem Kundennetzwerk (UNI) und der logischen Schnittstelle verbunden ist, die mit dem Service Provider-Netzwerk (NNI) verbunden ist.
Q-in-Q-Tunneling mit All-in-One-Bündelung konfigurieren
Sie können Q-in-Q-Tunneling mit der All-in-One-Bündelungsmethode konfigurieren, die alle Pakete, die über eine C-VLAN-Schnittstelle eingehender werden, an ein S-VLAN weiterleite. (Pakete werden an das S-VLAN weitergeleitet, unabhängig davon, ob sie vor dem Eingang getaggt oder enttagiert wurden.) Mit diesem Ansatz sparen Sie den Aufwand, eine spezifische Zuordnung für jedes C-VLAN festzulegen.
Konfigurieren Sie zunächst das S-VLAN und seine Schnittstelle:
Wenn Sie konfiguriert flexible-ethernet-serviceshaben, konfigurieren Sie vlan-bridge die Kapselung auf der logischen Schnittstelle:
[edit interfaces interface-name unit logical-unit-number] user@switch# set encapsulation vlan-bridge
Die folgende Konfiguration macht z. B. xe-0/0/0.10 zu einem Mitglied von VLAN 10, ermöglicht Q-in-Q-Tunneling auf der Schnittstelle xe-0/0/0, ermöglicht xe-0/0/0,0 die Annahme nicht getaggter Pakete und bindet die VLAN-ID von S-VLAN v10 an eine logische Schnittstelle von xe-0/0/0.
set vlans v10 interface xe-0/0/0.10 set interfaces xe-0/0/0 flexible-vlan-tagging set interfaces xe-0/0/0 native-vlan-id 10 set interfaces xe-0/0/0 encapsulation extended-vlan-bridge set interfaces xe-0/0/0 unit 10 vlan-id 10
Konfigurieren Sie jetzt die All-in-One-Bündelung auf einer C-VLAN-Schnittstelle:
Weisen Sie eine logische Schnittstelle (Einheit) der C-VLAN-Schnittstelle als Mitglied des S-VLANs zu.
[edit vlans vlan-name] user@switch# set interface interface-name.unit-number
Ermöglichen Sie der Schnittstelle die Übertragung von Paketen mit 802.1Q VLAN-Tags:
[edit interfaces interface-name] user@switch# set flexible-vlan-tagging
Aktivieren Sie die erweiterte VLAN-Bridge-Kapselung auf der Schnittstelle:
[edit interfaces interface-name] user@switch# set encapsulation extended-vlan-bridge
Aktivieren Sie die C-VLAN-Schnittstelle, um nicht getaggte Pakete zu senden und zu empfangen:
[edit interfaces interface-name] user@switch# set native-vlan-id vlan-id
Konfigurieren Sie eine logische Schnittstelle zum Empfangen und Weiterleiten von getaggten Paketen, deren VLAN-ID-Tag der Liste der von Ihnen angegebenen VLAN-IDs entspricht:
[edit interfaces interface-name unit logical-unit-number] user@switch# set vlan-id-list vlan-id-numbers
VORSICHT:Sie können nicht mehr als acht VLAN-Bezeichnerlisten auf eine physische Schnittstelle anwenden. Diese Einschränkung gilt nicht für QFX10000-Switches.
Konfigurieren Sie das System, ein S-VLAN-Tag (äußeres Tag) hinzuzufügen, wenn Pakete von einer C-VLAN-Schnittstelle zum S-VLAN wandern:
[edit interfaces interface-name unit logical-unit-number] user@switch# set input-vlan-map push
HINWEIS:Sie können auf
input-vlan-mapkonfigurierenvlan-id, aber dies ist optional.Konfigurieren Sie das System so, dass das S-VLAN-Tag entfernt wird, wenn Pakete (intern) von der S-VLAN-Schnittstelle an die C-VLAN-Schnittstelle weitergeleitet werden:
[edit interfaces interface-name unit logical-unit-number] user@switch# set output-vlan-map pop
Die folgende Konfiguration macht z. B. xe-0/0/1.10 zu einem Mitglied von S-VLAN v10, ermöglicht Q-in-Q-Tunneling, ordnet Pakete von C-VLANs 100 bis 200 bis S-VLAN 10 zu und ermöglicht es xe-0/0/1, nicht getaggte Pakete zu akzeptieren. Wenn ein Paket aus C-VLAN 100 stammt und über das S-VLAN gesendet werden muss, wird dem Paket ein Tag mit der VLAN-ID 10 hinzugefügt. Wenn ein Paket (intern) von der S-VLAN-Schnittstelle an die Schnittstelle xe-0/0/1 weitergeleitet wird, wird das Tag mit der VLAN-ID 10 entfernt.
set vlans v10 interface xe-0/0/1.10 set interfaces xe-0/0/1 flexible-vlan-tagging set interfaces xe-0/0/1 encapsulation extended-vlan-bridge set interfaces xe-0/0/1 unit 10 vlan-id-list 100-200 set interfaces xe-0/0/1 native-vlan-id 150 set interfaces xe-0/0/1 unit 10 input-vlan-map push set interfaces xe-0/0/1 unit 10 output-vlan-map pop
Konfiguration von Q-in-Q-Tunneling mit Many-to-Many-Bündelung
Sie können Q-in-Q-Tunneling mit der Many-to-Many-Bündelungsmethode konfigurieren, die Pakete von mehreren C-VLANs zu mehreren S-VLANs ordnet. Diese Methode ist praktisch, um eine Reihe von C-VLANs zu zuordnen, ohne dass jedes einzeln angegeben werden muss. (Sie können mit dieser Methode auch nur ein C-VLAN konfigurieren, das einem S-VLAN zugeordnet wird.)
Konfigurieren Sie zunächst die S-VLANs und weisen Sie sie einer Schnittstelle zu:
Die folgende Konfiguration erstellt beispielsweise S-VLANs v10 und v30 und verknüpft sie mit der Schnittstelle xe-0/0/0.10, ermöglicht Q-in-Q-Tunneling, ermöglicht xe-0/0/0 die Annahme nicht getaggter Pakete und ordnet eingehende C-VLAN-Pakete den S-VLANs v10 und v30 zu.
set vlans v10 interface xe-0/0/0.10 set vlans v30 interface xe-0/0/0.10 set interfaces xe-0/0/0 flexible-vlan-tagging set interfaces xe-0/0/0 native-vlan-id 10 set interfaces xe-0/0/0 encapsulation extended-vlan-bridge set interfaces xe-0/0/0 unit 10 vlan-id 10 set interfaces xe-0/0/0 unit 30 vlan-id 30
Führen Sie für jeden Kunden die folgenden Schritte aus, um die Many-to-Many-Bündelungsmethode auf einer C-VLAN-Schnittstelle zu konfigurieren:
Weisen Sie eine logische Schnittstelle (Einheit) einer C-VLAN-Schnittstelle als Mitglied eines S-VLANs zu.
[edit vlans vlan-name] user@switch# set interface interface-name.unit-number
Wiederholen Sie Schritt 1, um eine weitere C-VLAN-Schnittstelle (physische Schnittstelle) als Mitglied eines anderen S-VLANs zuzuweisen.
Ermöglichen Sie der Schnittstelle die Übertragung von Paketen mit 802.1Q VLAN-Tags:
[edit interfaces interface-name] user@switch# set flexible-vlan-tagging
Aktivieren Sie die erweiterte VLAN-Bridge-Kapselung auf der Schnittstelle:
[edit interfaces interface-name] user@switch# encapsulation extended-vlan-bridge
Aktivieren Sie die C-VLAN-Schnittstelle, um nicht getaggte Pakete zu senden und zu empfangen:
[edit interfaces interface-name] user@switch# set native-vlan-id vlan-id
Konfigurieren Sie für jede physische Schnittstelle eine logische Schnittstelle (Einheit), um alle getaggten Pakete zu empfangen und weiterzuleiten, deren VLAN-ID-Tag der Liste der von Ihnen angegebenen VLAN-IDs entspricht:
[edit interfaces interface-name unit logical-unit-number] user@switch# set vlan-id-list vlan-id-numbers
Um nur ein C-VLAN zu konfigurieren, das einem S-VLAN zugeordnet wird, geben Sie nach vlan-id-list nur eine VLAN-ID an.
VORSICHT:Sie können nicht mehr als acht VLAN-Bezeichnerlisten auf eine physische Schnittstelle anwenden. Diese Einschränkung gilt nicht für QFX10000-Switches.
Konfigurieren Sie für jede physische Schnittstelle das System, ein S-VLAN-Tag (äußeres Tag) hinzuzufügen, wenn Pakete von der C-VLAN-Schnittstelle zum S-VLAN geleitet werden:
[edit interfaces interface-name unit logical-unit-number] user@switch# set input-vlan-map push
Konfigurieren Sie das System für jede physische Schnittstelle so, dass das S-VLAN-Tag entfernt wird, wenn Pakete von der S-VLAN-Schnittstelle an die C-VLAN-Schnittstelle weitergeleitet werden:
[edit interfaces interface-name unit logical-unit-number] user@switch# set output-vlan-map pop
Die folgende Konfiguration macht z. B. xe-0/0/1.10 zu einem Mitglied von S-VLAN v10, ermöglicht Q-in-Q-Tunneling und ordnet Pakete von C-VLANs 10 bis 20 bis S-VLAN 10 zu. Die Konfiguration für Kunde 2 macht xe-0/0/2.30 zu einem Mitglied von S-VLAN v30, ermöglicht Q-in-Q-Tunneling und ordnet Pakete von C-VLANs 30 bis 40, 50 bis 60 und 70 bis 80 auf S-VLAN 30 zu. Beide Schnittstellen sind so konfiguriert, dass sie nicht getaggte Pakete akzeptieren.
Wenn ein Paket aus C-VLAN 10 stammt und über das S-VLAN gesendet werden muss, wird dem Paket ein Tag mit einer VLAN-ID 10 hinzugefügt. Wenn ein Paket intern von der S-VLAN-Schnittstelle an xe-0/0/1.10 weitergeleitet wird, wird das Tag mit der VLAN-ID 10 entfernt. Die gleichen Prinzipien gelten für die C-VLANs, die auf Schnittstelle xe-0/0/2 konfiguriert sind.
Beachten Sie, dass Sie den gleichen Tag-Wert für ein S-VLAN und C-VLAN verwenden können. Die Konfiguration für Kunde 1 ordnet beispielsweise die C-VLAN-ID 10 der S-VLAN-ID 10 zu. C-VLAN- und S-VLAN-Tags verwenden separate Namensräume, sodass diese Konfiguration zulässig ist.
Konfiguration für Kunde 1:
set vlans v10 interface xe-0/0/1.10 set interfaces xe-0/0/1 flexible-vlan-tagging set interfaces xe-0/0/1 encapsulation extended-vlan-bridge set interfaces xe-0/0/1 unit 10 vlan-id-list 10-20 set interfaces xe-0/0/1 native-vlan-id 15 set interfaces xe-0/0/1 unit 10 input-vlan-map push set interfaces xe-0/0/1 unit 10 output-vlan-map pop
Konfiguration für Kunde 2:
set vlans v30 interface xe-0/0/2.30 set interfaces xe-0/0/2 flexible-vlan-tagging set interfaces xe-0/0/2 encapsulation extended-vlan-bridge set interfaces xe-0/0/2 unit 30 vlan-id-list 30-40 set interfaces xe-0/0/2 unit 30 vlan-id-list 50-60 set interfaces xe-0/0/2 unit 30 vlan-id-list 70-80 set interfaces xe-0/0/2 native-vlan-id 75 set interfaces xe-0/0/2 unit 30 input-vlan-map push set interfaces xe-0/0/2 unit 30 output-vlan-map pop
Konfigurieren einer spezifischen Schnittstellenzuordnung mit VLAN-ID-Übersetzungsoption
Sie können Q-in-Q-Tunneling konfigurieren, indem Sie Pakete von einem angegebenen C-VLAN zu einem angegebenen S-VLAN zuordnen. Darüber hinaus können Sie das System so konfigurieren, dass ein C-VLAN-Tag durch ein S-VLAN-Tag ersetzt wird oder ein S-VLAN-Tag durch ein C-VLAN-Tag ersetzt wird (anstelle von Double-Tagging). Dies wird als VLAN-Übersetzung oder VLAN-Neuschreibung bezeichnet. VLAN-Übersetzung ist besonders nützlich, wenn das Layer-2-Netzwerk eines Service Providers, das die Standorte eines Kunden verbindet, keine doppelt getaggten Pakete unterstützt.
Wenn Sie VLAN-Übersetzung verwenden, müssen normalerweise beide Enden des Links in der Lage sein, die Tags angemessen auszutauschen. Das heißt, beide Enden der Verbindung müssen so konfiguriert werden, dass sie den C-VLAN-Tag gegen den S-VLAN-Tag und den S-VLAN-Tag gegen das C-VLAN-Tag austauschen, damit der Datenverkehr in beide Richtungen während der Übertragung und nach dem Eintreffen angemessen getaggt wird.
Konfigurieren Sie zunächst das S-VLAN und seine Schnittstelle:
Die folgende Konfiguration erstellt beispielsweise S-VLAN v200, macht xe-0/0/0.200 zu einem Mitglied dieses VLANs, aktiviert Q-in-Q-Tunneling auf der Schnittstelle xe-0/0/0, ermöglicht xe-0/0/0,0 die Annahme nicht getaggter Pakete und bindet eine logische Schnittstelle von xe-0/0/0 an die VLAN-ID von VLAN v200.
set vlans v200 interface xe-0/0/0.200 set interfaces xe-0/0/0 flexible-vlan-tagging set interfaces xe-0/0/0 native-vlan-id 150 set interfaces xe-0/0/0 encapsulation extended-vlan-bridge set interfaces xe-0/0/0 unit 200 vlan-id 200
Konfigurieren Sie nun eine spezifische Schnittstellenzuordnung mit optionaler VLAN-ID-Übersetzung auf der C-VLAN-Schnittstelle:
Weisen Sie eine logische Schnittstelle der C-VLAN-Schnittstelle als Mitglied des S-VLANs zu.
[edit vlans vlan-name] user@switch# set interface interface-name.unit-number
Ermöglichen Sie der Schnittstelle die Übertragung von Paketen mit 802.1Q VLAN-Tags:
[edit interfaces interface-name] user@switch# set flexible-vlan-tagging
Aktivieren Sie die C-VLAN-Schnittstelle, um nicht getaggte Pakete zu senden und zu empfangen:
[edit interfaces interface-name] user@switch# set native-vlan-id vlan-id
Aktivieren Sie die erweiterte VLAN-Bridge-Kapselung auf der Schnittstelle:
[edit interfaces interface-name] user@switch# set encapsulation extended-vlan-bridge
Konfigurieren Sie eine logische Schnittstelle (Einheit), um alle getaggten Pakete zu empfangen und weiterzuleiten, deren VLAN-ID-Tag den von Ihnen angegebenen VLAN-IDs entspricht:
[edit interfaces interface-name unit logical-unit-number] user@switch# set vlan-id number
Konfigurieren Sie das System so, dass das vorhandene C-VLAN-Tag entfernt und durch das S-VLAN-Tag ersetzt wird, wenn Pakete über die C-VLAN-Schnittstelle eingehender Pakete und an das S-VLAN weitergeleitet werden:
[edit interfaces interface-name unit logical-unit-number] user@switch# set input-vlan-map swap
Konfigurieren Sie das System, um das vorhandene S-VLAN-Tag zu entfernen und durch das C-VLAN-Tag zu ersetzen, wenn Pakete von der S-VLAN-Schnittstelle an die C-VLAN-Schnittstelle weitergeleitet werden:
[edit interfaces interface-name unit logical-unit-number] user@switch# set output-vlan-map swap
So konfigurieren Sie ein S-VLAN und weisen es mit der entsprechenden C-VLAN-Schnittstelle zu:
[edit vlans vlan-name] user@switch# set interface interface-name
Die folgende Konfiguration auf der C-VLAN-Schnittstelle xe-0/0/1.200 ermöglicht beispielsweise Q-in-Q-Tunneling, ermöglicht xe-0/0/1 die Annahme nicht getaggter Pakete und ordnet eingehende Pakete von C-VLAN 150 der logischen Schnittstelle 200 zu, die Mitglied von S-VLAN 200 ist. Wenn Pakete von der C-VLAN-Schnittstelle xe-0/0/1 gesendet und zur S-VLAN-Schnittstelle geleitet werden, wird das C-VLAN-Tag von 150 entfernt und durch das S-VLAN-Tag von 200 ersetzt. Wenn Pakete von der S-VLAN-Schnittstelle zur C-VLAN-Schnittstelle geleitet werden, wird das S-VLAN-Tag von 200 entfernt und durch das C-VLAN-Tag von 150 ersetzt.
set vlans v200 interface xe-0/0/1.200 set interfaces xe-0/0/1 flexible-vlan-tagging set interfaces xe-0/0/1 native-vlan-id 150 set interfaces xe-0/0/1 encapsulation extended-vlan-bridge set interfaces xe-0/0/1 unit 200 vlan-id 200 set interfaces xe-0/0/1 unit 200 output-vlan-map swap set interfaces xe-0/0/1 unit 200 input-vlan-map swap
Beispiel: Einrichten von Q-in-Q-Tunneling auf Switches der QFX-Serie
Service Provider können Q-in-Q-Tunneling verwenden, um Layer-2-VLAN-Datenverkehr transparent zwischen Kundenstandorten zu leiten, ohne die VLAN-Tags oder CoS-Einstellungen des Kunden zu entfernen oder zu ändern. Datencenter können Q-in-Q-Tunneling verwenden, um den Kundendatenverkehr innerhalb eines einzigen Standorts zu isolieren oder wenn der Kundendatenverkehr zwischen Cloud-Datencentern an verschiedenen geografischen Standorten fließt.
In diesem Beispiel wird eine Junos OS-Version verwendet, die den ELS-Konfigurationsstil (Enhanced Layer 2 Software) nicht unterstützt. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS unterstützt, lesen Sie Konfigurieren von Q-in-Q-Tunneling auf QFX-, NFX- und EX4600-Switches mit ELS-Unterstützung.
In diesem Beispiel wird beschrieben, wie Sie Q-in-Q-Tunneling einrichten:
Anforderungen
In diesem Beispiel ist ein Gerät der QFX-Serie mit Junos OS Version 12.1 oder höher erforderlich.
Bevor Sie Q-in-Q-Tunneling einrichten, stellen Sie sicher, dass Sie die erforderlichen Kunden-VLANs auf den benachbarten Switches erstellt und konfiguriert haben. Siehe Konfiguration von VLANs auf Switches.
Übersicht und Topologie
In diesem Service Provider-Netzwerk gibt es mehrere Kunden-VLANs, die einem Service-VLAN zugeordnet sind.
Tabelle 2 listet die Einstellungen für die Beispieltopologie auf.
| Schnittstelle | Beschreibung |
|---|---|
|
Tagged S-VLAN Trunk-Port |
|
Nicht getaggter Kundenzugriffsport |
|
Nicht getaggter Kundenzugriffsport |
|
Tagged S-VLAN Trunk-Port |
Konfiguration
CLI-Schnellkonfiguration
Um Q-in-Q-Tunneling schnell zu erstellen und zu konfigurieren, kopieren Sie die folgenden Befehle und fügen sie in das Switch-Terminal-Fenster ein:
[edit] set vlans service-vlan vlan-id 1000 set vlans service-vlan dot1q-tunneling customer-vlans 1-100 set vlans service-vlan dot1q-tunneling customer-vlans 201-300 set interfaces xe-0/0/11 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 1000 set interfaces xe-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 1000 set interfaces xe-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 1000 set interfaces xe-0/0/14 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 1000 set ethernet-switching-options dot1q-tunneling ether-type 0x9100
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie Q-in-Q-Tunneling:
Setzen Sie die VLAN-ID für das S-VLAN:
[edit vlans] user@switch# set service-vlan vlan-id 1000
Aktivieren Sie Q-in-Q-Tunneling und geben Sie die VLAN-Bereiche des Kunden an:
[edit vlans] user@switch# set service-vlan dot1q-tunneling customer-vlans 1-100 user@switch# set service-vlan dot1q-tunneling customer-vlans 201-300
Legen Sie den Portmodus und die VLAN-Informationen für die Schnittstellen fest:
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 1000 user@switch# set xe-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 1000 user@switch# set xe-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 1000 user@switch# set xe-0/0/14 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 1000
Legen Sie den Q-in-Q Ethertype-Wert fest (optional):
[edit] user@switch# set ethernet-switching-options dot1q-tunneling ether-type 0x9100
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show configuration vlans service-vlan
vlan-id 1000 {
dot1q-tunneling {
customer-vlans [ 1-100 201-300 ];
}
user@switch> show configuration interfaces
xe-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan members 1000;
}
}
}
xe-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan members 1000;
}
}
}
xe-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan members 1000;
}
}
}
xe-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan members 1000;
}
}
}
user@switch> show ethernet-switching-options
dot1q-tunneling {
ether-type 0x9100;
}
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfung der Aktivierung von Q-in-Q-Tunneling
Zweck
Stellen Sie sicher, dass Q-in-Q-Tunneling ordnungsgemäß aktiviert ist.
Aktion
Verwenden Sie den show vlans Folgenden Befehl:
user@switch> show vlans service-vlan extensive
VLAN: service-vlan, Created at: Wed Mar 14 07:17:53 2012
802.1Q Tag: 1000, Internal index: 18, Admin State: Enabled, Origin: Static
Dot1q Tunneling Status: Enabled
Customer VLAN ranges:
1-100
201-300
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
xe-0/0/11.0, tagged, trunk
xe-0/0/14.0, tagged, trunk
xe-0/0/12.0, untagged, access
xe-0/0/13.0, untagged, access
Bedeutung
Die Ausgabe zeigt an, dass Q-in-Q-Tunneling aktiviert ist und dass das VLAN getaggt ist, und zeigt die zugehörigen Kunden-VLANs an.
Beispiel: Einrichten von Q-in-Q-Tunneling auf Switches der EX-Serie
Service Provider können Q-in-Q-Tunneling verwenden, um Layer-2-VLAN-Datenverkehr von einem Kundenstandort durch das Service Provider-Netzwerk transparent an einen anderen Kundenstandort zu leiten, ohne die VLAN-Tags oder CoS-Einstellungen des Kunden zu entfernen oder zu ändern. Sie können Q-in-Q-Tunneling auf Switches der EX-Serie konfigurieren.
In diesem Beispiel wird die Einrichtung von Q-in-Q beschrieben:
Anforderungen
Für dieses Beispiel ist ein Switch der EX-Serie mit Junos OS Version 9.3 oder höher für Switches der EX-Serie erforderlich.
Bevor Sie Q-in-Q-Tunneling einrichten, stellen Sie sicher, dass Sie die erforderlichen Kunden-VLANs erstellt und konfiguriert haben. Siehe Konfigurieren von VLANs für Switches der EX-Serie oder Konfigurieren von VLANs für Switches der EX-Serie (J-Web-Prozedur).
Übersicht und Topologie
In diesem Service Provider-Netzwerk gibt es mehrere Kunden-VLANs, die einem Service-VLAN zugeordnet sind.
Tabelle 3 listet die Einstellungen für die Beispieltopologie auf.
| Schnittstelle | Beschreibung |
|---|---|
ge-0/0/11.0 |
Tagged S-VLAN Trunk-Port |
ge-0/0/12.0 |
Nicht getaggter Kundenzugriffsport |
ge-0/0/13.0 |
Nicht getaggter Kundenzugriffsport |
ge-0/0/14.0 |
Tagged S-VLAN Trunk-Port |
Konfiguration
CLI-Schnellkonfiguration
Um Q-in-Q-Tunneling schnell zu erstellen und zu konfigurieren, kopieren Sie die folgenden Befehle und fügen sie in das Switch-Terminal-Fenster ein:
[edit] set vlans qinqvlan vlan-id 4001 set vlans qinqvlan dot1q-tunneling customer-vlans 1-100 set vlans qinqvlan dot1q-tunneling customer-vlans 201-300 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 4001 set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching vlan members 4001 set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching vlan members 4001 set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/14 unit 0 family ethernet-switching vlan members 4001 set ethernet-switching-options dot1q-tunneling ether-type 0x9100
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie Q-in-Q-Tunneling:
Setzen Sie die VLAN-ID für das S-VLAN:
[edit vlans] user@switch# set qinqvlan vlan-id 4001
Aktivieren Sie Q-in-Q-Tuennling und geben Sie die VLAN-Bereiche des Kunden an:
[edit vlans] user@switch# set qinqvlan dot1q-tunneling customer-vlans 1-100 user@switch# set qinqvlan dot1q-tunneling customer-vlans 201-300
Legen Sie den Portmodus und die VLAN-Informationen für die Schnittstellen fest:
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/11 unit 0 family ethernet-switching vlan members 4001 user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching vlan members 4001 user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching vlan members 4001 user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/14 unit 0 family ethernet-switching vlan members 4001
Legen Sie den Q-in-Q Ethertype-Wert fest:
[edit] user@switch# set ethernet-switching-options dot1q-tunneling ether-type 0x9100
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show configuration vlans qinqvlan
vlan-id 4001 {
dot1q-tunneling {
customer-vlans [ 1-100 201-300 ];
}
user@switch> show configuration interfaces
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan members 4001;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan members 4001;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan members 4001;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan members 4001;
}
}
}
user@switch> show ethernet-switching-options
dot1q-tunneling {
ether-type 0x9100;
}
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfung der Aktivierung von Q-in-Q-Tunneling
Zweck
Stellen Sie sicher, dass Q-in-Q-Tunneling auf dem Switch ordnungsgemäß aktiviert ist.
Aktion
Verwenden Sie den show vlans Folgenden Befehl:
user@switch> show vlans qinqvlan extensive
VLAN: qinqvlan, Created at: Thu Sep 18 07:17:53 2008
802.1Q Tag: 4001, Internal index: 18, Admin State: Enabled, Origin: Static
Dot1q Tunneling Status: Enabled
Customer VLAN ranges:
1-100
201-300
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 4 (Active = 0)
ge-0/0/11.0, tagged, trunk
ge-0/0/14.0, tagged, trunk
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
Bedeutung
Die Ausgabe zeigt an, dass Q-in-Q-Tunneling aktiviert ist und dass das VLAN getaggt ist, und zeigt die zugehörigen Kunden-VLANs an.
Einrichten einer Dual-VLAN-Tag-Übersetzungskonfiguration auf QFX-Switches
Ab Junos OS Version 14.1X53-D40 können Sie die Funktion für duale VLAN-Tag-Übersetzung (auch als Dual-VLAN-Tag-Rewrite bezeichnet) verwenden, um Switches in Service-Provider-Domänen bereitzustellen, sodass dual getaggte, single-getaggte und nicht getaggte VLAN-Pakete in den Switch kommen oder von ihnen verlassen können.
Die folgende Beispielkonfiguration zeigt die Verwendung von Swap-Swap-, Pop-Swap- und Swap-Push-Dual-Tag-Operationen.
[edit] set interfaces ge-0/0/1 unit 503 description UNI-3 set interfaces ge-0/0/1 unit 503 encapsulation vlan-bridge set interfaces ge-0/0/1 unit 503 vlan-tags outer 503 set interfaces ge-0/0/1 unit 503 vlan-tags inner 504 set interfaces ge-0/0/1 unit 503 input-vlan-map swap-swap set interfaces ge-0/0/1 unit 503 input-vlan-map vlan-id 500 set interfaces ge-0/0/1 unit 503 input-vlan-map inner-vlan-id 514 set interfaces ge-0/0/1 unit 503 output-vlan-map swap-swap set interfaces ge-0/0/0 description NNI set interfaces ge-0/0/0 flexible-vlan-tagging set interfaces ge-0/0/0 encapsulation flexible-ethernet-services set interfaces ge-0/0/0 unit 500 description "SVLAN500 port" set interfaces ge-0/0/0 unit 500 encapsulation vlan-bridge set interfaces ge-0/0/0 unit 500 vlan-id 500 set interfaces ge-0/0/0 unit 600 description "SVLAN600 port" set interfaces ge-0/0/0 unit 600 encapsulation vlan-bridge set interfaces ge-0/0/0 unit 600 vlan-id 600 set interfaces ge-0/0/0 unit 700 description "SVLAN700 port" set interfaces ge-0/0/0 unit 700 encapsulation vlan-bridge set interfaces ge-0/0/0 unit 700 vlan-id 700 set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members v1000 set interfaces ge-0/0/0 unit 1100 description UNI-SVLAN1100 set interfaces ge-0/0/0 unit 1100 encapsulation vlan-bridge set interfaces ge-0/0/0 unit 1100 vlan-tags outer 1101 set interfaces ge-0/0/0 unit 1100 vlan-tags inner 1102 set interfaces ge-0/0/0 unit 1100 input-vlan-map swap-swap set interfaces ge-0/0/0 unit 1100 input-vlan-map vlan-id 1100 set interfaces ge-0/0/0 unit 1100 input-vlan-map inner-vlan-id 2101 set interfaces ge-0/0/0 unit 1100 output-vlan-map swap-swap set interfaces ge-0/0/0 unit 1200 description UNI-SVLAN1200 set interfaces ge-0/0/0 unit 1200 encapsulation vlan-bridge set interfaces ge-0/0/0 unit 1200 vlan-id 1201 set interfaces ge-0/0/0 unit 1200 input-vlan-map swap-push set interfaces ge-0/0/0 unit 1200 input-vlan-map inner-vlan-id 2200 set interfaces ge-0/0/0 unit 1200 output-vlan-map pop-swap set interfaces ge-0/0/2 description UNI set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 encapsulation flexible-ethernet-services set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members v1000 set interfaces ge-0/0/2 unit 603 description UNI-3 set interfaces ge-0/0/2 unit 603 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 603 vlan-tags outer 603 set interfaces ge-0/0/2 unit 603 vlan-tags inner 604 set interfaces ge-0/0/2 unit 603 input-vlan-map swap-swap set interfaces ge-0/0/2 unit 603 input-vlan-map vlan-id 600 set interfaces ge-0/0/2 unit 603 input-vlan-map inner-vlan-id 614 set interfaces ge-0/0/2 unit 603 output-vlan-map swap-swap set interfaces ge-0/0/3 description UNI set interfaces ge-0/0/3 flexible-vlan-tagging set interfaces ge-0/0/3 encapsulation flexible-ethernet-services set interfaces ge-0/0/3 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members v1000 set interfaces ge-0/0/3 unit 703 description UNI-3 set interfaces ge-0/0/3 unit 703 encapsulation vlan-bridge set interfaces ge-0/0/3 unit 703 vlan-tags outer 703 set interfaces ge-0/0/3 unit 703 vlan-tags inner 704 set interfaces ge-0/0/3 unit 703 input-vlan-map swap-swap set interfaces ge-0/0/3 unit 703 input-vlan-map vlan-id 700 set interfaces ge-0/0/3 unit 703 input-vlan-map inner-vlan-id 714 set interfaces ge-0/0/3 unit 703 output-vlan-map swap-swap set interfaces ge-0/0/3 unit 701 encapsulation vlan-bridge set interfaces ge-0/0/3 unit 701 vlan-id 701 set interfaces ge-0/0/3 unit 701 input-vlan-map swap-push set interfaces ge-0/0/3 unit 701 input-vlan-map inner-vlan-id 780 set interfaces ge-0/0/3 unit 701 output-vlan-map pop-swap set interfaces ge-0/0/3 unit 1100 description SVLAN1100-NNI set interfaces ge-0/0/3 unit 1100 encapsulation vlan-bridge set interfaces ge-0/0/3 unit 1100 vlan-id 1100 set interfaces ge-0/0/3 unit 1200 description SVLAN1200-NNI set interfaces ge-0/0/3 unit 1200 encapsulation vlan-bridge set interfaces ge-0/0/3 unit 1200 vlan-id 1200 set vlans SVLAN500 interface ge-0/0/0.500 set vlans SVLAN500 interface ge-0/0/1.503 set vlans SVLAN600 interface ge-0/0/0.600 set vlans SVLAN600 interface ge-0/0/2.603 set vlans SVLAN600 interface ge-0/0/3.701 set vlans SVLAN700 interface ge-0/0/0.700 set vlans SVLAN700 interface ge-0/0/3.703 set vlans v1000 vlan-id 1000 set vlans SVLAN1100 interface ge-0/0/0.1100 set vlans SVLAN1100 interface ge-0/0/3.1100 set vlans SVLAN1200 interface ge-0/0/3.1200 set vlans SVLAN1200 interface ge-0/0/0.1200
Überprüfung, ob Q-in-Q-Tunneling auf Switches funktioniert
Zweck
Stellen Sie nach dem Erstellen eines Q-in-Q-VLANs sicher, dass es richtig eingerichtet ist.
Aktion
Verwenden Sie den
show configuration vlansBefehl, um zu bestimmen, ob Sie die primären und sekundären VLAN-Konfigurationen erfolgreich erstellt haben:user@switch> show configuration vlans svlan { vlan-id 300; dot1q-tunneling { customer-vlans [ 101–200 ]; } }Verwenden Sie den
show vlansBefehl, um VLAN-Informationen und Linkstatus anzuzeigen:user@switch> show vlans s-vlan-name extensive VLAN: svlan, Created at: Thu Oct 23 16:53:20 2008 802.1Q Tag: 300, Internal index: 2, Admin State: Enabled, Origin: Static Dot1q Tunneling Status: Enabled Customer VLAN ranges: 101–200 Protocol: Port Mode Number of interfaces: Tagged 1 (Active = 0), Untagged 1 (Active = 0) xe-0/0/1, tagged, trunk xe-0/0/2, untagged, access
Bedeutung
Die Ausgabe bestätigt, dass Q-in-Q-Tunnling aktiviert ist und dass das VLAN getaggt ist, und listet die Kunden-VLANs auf, die dem getaggten VLAN zugeordnet sind.