Sur cette page
Configuration de la tunnelisation Q-in-Q sur les commutateurs QFX Series
Configuration de la tunnelisation Q-in-Q sur les commutateurs EX Series avec prise en charge ELS
Configuration de la tunnelisation Q-in-Q sur les commutateurs EX Series
Configuration de la tunnelisation Q-in-Q à l’aide du regroupement tout-en-un
Configuration de la tunnelisation Q-in-Q à l’aide du regroupement plusieurs-à-plusieurs
Configuration d’un mappage d’interface spécifique avec l’option de traduction d’ID VLAN
Exemple : Configuration de la tunnelisation Q-in-Q sur les commutateurs QFX Series
Exemple : Configuration de la tunnelisation Q-in-Q sur les commutateurs EX Series
Configuration d’une double traduction de balise VLAN sur les commutateurs QFX
Vérification du bon fonctionnement de la tunnelisation Q-in-Q sur les commutateurs
Configuration de la tunnelisation Q-in-Q et de la traduction VLAN de la tunnelisation Q-in-Q et de la traduction VLAN
Comprendre les tunnels Q-in-Q et la traduction VLAN
La tunnelisation Q-in-Q et la traduction VLAN permettent aux fournisseurs de services de créer une connexion Ethernet de couche 2 entre deux sites clients. Les fournisseurs peuvent séparer le trafic VLAN de différents clients sur une liaison (par exemple, si les clients utilisent des ID de VLAN qui se chevauchent) ou regrouper différents VLAN client en un seul VLAN de service. Les datacenters peuvent utiliser la tunnelisation Q-in-Q et la traduction VLAN pour isoler le trafic client au sein d’un même site ou pour permettre les flux de trafic client entre des datacenters cloud situés dans différentes zones géographiques.
Grâce à la tunnelisation Q-in-Q, les fournisseurs peuvent séparer ou regrouper le trafic client en un nombre réduit de VLAN ou en différents VLAN en ajoutant une couche supplémentaire de balises 802.1Q. La tunnelisation Q-in-Q est utile lorsque les ID VLAN des clients se chevauchent, car les balises VLAN 802.1Q (dot1Q) du client sont précédées de la balise VLAN de service (S-VLAN). L’implémentation Juniper Networks Système d'exploitation Junos (Junos OS) du tunneling Q-in-Q prend en charge la norme IEEE 802.1ad.
Cette rubrique décrit :
- Fonctionnement des tunnels Q-in-Q
- Fonctionnement de la traduction VLAN
- Utilisation de la traduction de balises VLAN double
- Envoi et réception de paquets non étiquetés
- Désactivation de l’apprentissage de l’adresse MAC
- Mappage de C-VLAN à S-VLAN
- Interfaces VLAN routées sur les VLAN Q-in-Q
- Contraintes pour la tunnelisation Q-in-Q et la traduction VLAN
Fonctionnement des tunnels Q-in-Q
Dans la tunnelisation Q-in-Q, lorsqu’un paquet transite d’un VLAN client (C-VLAN) vers le VLAN d’un fournisseur de services, une balise 802.1Q spécifique au client est ajoutée au paquet. Cette balise supplémentaire est utilisée pour séparer le trafic en VLAN de service définis par le fournisseur de services (S-VLAN). La balise 802.1Q d’origine du paquet est conservée et est transmise de manière transparente via le réseau du fournisseur de services. Lorsque le paquet quitte le S-VLAN en aval, la balise 802.1Q supplémentaire est supprimée.
Tous les VLAN d’une implémentation peuvent être des VLAN de service. En d’autres termes, si le nombre total de VLAN pris en charge est de 4 090, ils peuvent tous être des VLAN de service.
Lorsque la tunnelisation Q-en-Q est activée sur Juniper Networks EX Series Commutateurs Ethernet, les interfaces trunk sont supposées faire partie du réseau du fournisseur de services et les interfaces d’accès sont supposées être orientées client. Dans ce cas, une interface d’accès peut recevoir à la fois des trames balisées et non balisées.
À partir de Junos OS 14.1X53-D30, vous pouvez configurer la même interface pour qu’elle soit une interface S-VLAN/NNI et une interface C-VLAN/UNI. Cela signifie qu’une même interface physique peut transmettre simultanément des trames à une ou deux balises. Votre réseau bénéficie ainsi d’une flexibilité maximale et d’une utilisation maximale de vos interfaces.
Une interface peut être membre de plusieurs S-VLAN. Vous pouvez mapper un C-VLAN à un S-VLAN (1 :1) ou plusieurs C-VLAN à un S-VLAN (N :1). Les paquets sont doublement étiquetés pour une couche supplémentaire de ségrégation ou de regroupement des C-VLAN. Les balises C-VLAN et S-VLAN sont uniques ; Vous pouvez donc avoir à la fois un C-VLAN 101 et un S-VLAN 101, par exemple. Vous pouvez limiter l’ensemble des balises client acceptées à une plage de balises ou à des valeurs discrètes. Les valeurs de classe de service (CoS) des C-VLAN restent inchangées en aval. Vous pouvez, si vous le souhaitez, copier les paramètres de priorité d’entrée et de CoS sur le S-VLAN. Sur les commutateurs non-ELS, vous pouvez utiliser des VLAN privés pour isoler les utilisateurs et empêcher le transfert de trafic entre les interfaces utilisateur, même si les interfaces se trouvent sur le même VLAN.
Lorsque la tunnelisation Q-in-Q est activée, les interfaces jonction sont supposées faire partie du réseau du fournisseur de services ou du centre de données. Les interfaces d’accès sont supposées être orientées client et acceptent à la fois les trames balisées et non balisées. Lorsque vous utilisez le regroupement plusieurs-à-un ou le mappage d’une interface spécifique, vous devez utiliser l’option native permettant de spécifier un S-VLAN pour les paquets non étiquetés et étiquetés prioritaires si vous souhaitez accepter ces paquets. (L’ID VLAN des paquets étiquetés prioritaires est défini sur 0 et leurs bits de point de code de priorité peuvent être configurés avec une valeur CoS.)
Les paquets prioritaires ne sont pas pris en charge avec la tunnelisation Q-in-Q sur les commutateurs QFX5100 et EX4600.
Si vous ne spécifiez pas de S-VLAN pour eux, les paquets non étiquetés sont ignorés. Cette native option n’est pas disponible pour le regroupement tout-en-un, car il n’est pas nécessaire de spécifier des paquets non étiquetés et étiquetés prioritaires lorsque tous les paquets sont mappés à un S-VLAN.
Vous pouvez utiliser l’option permettant de spécifier un S-VLAN pour les paquets non étiquetés et étiquetés prioritaires lors de l’utilisation du regroupement plusieurs-à-un et du mappage d’une native approche d’interface spécifique pour mapper des C-VLAN aux S-VLAN. (Cela ne s’applique pas aux commutateurs prenant en charge ELS.) Dans le cas contraire, les paquets sont jetés. Cette native option n’est pas disponible pour le regroupement tout-en-un, car il n’est pas nécessaire de spécifier des paquets non étiquetés et étiquetés prioritairement lorsque tous les paquets sont mappés au S-VLAN. Reportez-vous à la section Mappage de C-VLAN à S-VLAN de ce document pour plus d’informations sur les méthodes de mappage de C-VLAN à S-VLAN.
Sur les systèmes QFabric uniquement, vous pouvez utiliser l’option permettant d’appliquer native une balise interne spécifiée aux paquets qui entrent en tant que non étiquetés sur les interfaces d’accès. Cette fonctionnalité est utile si votre système QFabric se connecte à des serveurs qui hébergent des machines virtuelles clientes qui envoient du trafic non balisé et que le trafic de chaque client nécessite son propre VLAN lors de son transport via QFabric. Au lieu d’utiliser des VLAN individuels pour chaque client (ce qui peut rapidement entraîner l’épuisement du VLAN), vous pouvez appliquer une balise interne (C-VLAN) unique au trafic de chaque client, puis appliquer une seule balise externe (S-VLAN) pour le transport via le QFabric. Cela vous permet de séparer le trafic de vos clients tout en ne consommant qu’un seul VLAN QFabric. Pour ce faire, utilisez l’option inner-tag de l’instruction de mappage .
Sur les commutateurs non-ELS, les filtres de pare-feu vous permettent de mapper une interface à un VLAN en fonction d’une stratégie. L’utilisation de filtres de pare-feu pour mapper une interface à un VLAN est utile lorsque vous souhaitez qu’un sous-ensemble de trafic provenant d’un port soit mappé à un VLAN sélectionné au lieu du VLAN désigné. Pour configurer un filtre de pare-feu afin de mapper une interface à un VLAN, l’option doit être configurée dans le cadre du filtre de pare-feu et mapping policy doit être spécifiée dans la configuration de l’interface vlan pour chaque interface logique utilisant le filtre.
Sur un commutateur EX4300, vous pouvez configurer plusieurs interfaces logiques sur le même port Ethernet, mais chaque interface logique ne prend en charge que les paquets à balise unique et cette balise doit inclure un ID de VLAN différent de ceux pris en charge par les autres interfaces logiques. Dans ce contexte, il n’est pas possible d’activer la tunnelisation Q-in-Q sur les ports Ethernet comportant plusieurs sous-interfaces logiques.
La tunnelisation Q-in-Q n’affecte pas les valeurs de classe de service (CoS) configurées sur un C-VLAN. Ces paramètres sont conservés dans la balise C-VLAN et peuvent être utilisés une fois qu’un paquet a quitté un S-VLAN. Les valeurs CoS ne sont pas copiées des balises C-VLAN vers les balises S-VLAN.
En fonction de la configuration de votre interface, vous devrez peut-être ajuster la valeur MTU de votre jonction ou de vos ports d’accès pour tenir compte des 4 octets utilisés pour la balise ajoutée par le tunneling Q-in-Q. Par exemple, si vous utilisez la valeur MTU par défaut de 1514 octets sur vos ports d’accès et de jonction, vous devez effectuer l’un des ajustements suivants :
Réduisez la MTU sur les liaisons d’accès d’au moins 4 octets afin que les trames ne dépassent pas la MTU de la liaison principale lors de l’ajout de balises S-VLAN.
Augmentez la MTU sur la liaison principale afin que la liaison puisse gérer une taille de trame plus grande.
Vous pouvez configurer la tunnelisation Q-in-Q uniquement sur les ports d’accès (et non sur les ports trunk).
Fonctionnement de la traduction VLAN
La traduction VLAN remplace une balise C-VLAN entrante par une balise S-VLAN au lieu d’ajouter une balise supplémentaire. La balise C-VLAN est donc perdue, de sorte qu’un paquet à balise unique est normalement non étiqueté lorsqu’il quitte le S-VLAN (à l’autre extrémité de la liaison). Si un paquet entrant a fait l’objet d’une tunnelisation Q-in-Q appliquée à l’avance, la traduction VLAN remplace la balise externe et la balise interne est conservée lorsque le paquet quitte le S-VLAN à l’autre extrémité de la liaison. Les paquets entrants dont les balises ne correspondent pas à la balise C-VLAN sont abandonnés, à moins qu’il n’existe une configuration de traduction VLAN supplémentaire pour ces balises.
Pour configurer la traduction VLAN, utilisez l’instruction de mappage swap au niveau de la [edit vlans interface] hiérarchie. Tant que les balises C-VLAN et S-VLAN sont uniques, vous pouvez configurer plusieurs traductions C-VLAN en S-VLAN sur un port d’accès. Si vous ne traduisez qu’un seul VLAN sur une interface, vous n’avez pas besoin d’inclure l’instruction dot1q-tunneling dans la configuration S-VLAN. Si vous traduisez plusieurs VLAN, vous devez utiliser l’instruction dot1q-tunneling .
Vous ne pouvez configurer la traduction VLAN que sur les ports d’accès. Vous ne pouvez pas le configurer sur les ports trunk, ni sur la tunnelisation Q-in-Q sur le même port d’accès. Vous ne pouvez configurer qu’une seule traduction VLAN pour un VLAN et une interface donnés. Par exemple, vous ne pouvez pas créer plus d’une traduction pour le VLAN 100 sur l’interface xe-0/0/0.
La traduction VLAN n’est pas prise en charge sur les systèmes QFabric.
Utilisation de la traduction de balises VLAN double
À partir de Junos OS version 14.1X53-D40, vous pouvez utiliser la fonctionnalité de traduction de balises VLAN double (également appelée réécriture de balises VLAN doubles) pour déployer des commutateurs dans les domaines de fournisseurs de services, permettant ainsi aux paquets VLAN à double balise, à balise unique et non étiquetés d’entrer ou de sortir du commutateur. Tableau 1 affiche les opérations qui sont ajoutées pour la traduction de balises VLAN doubles.
Opération |
Fonction |
|---|---|
swap-push (échange poussé) |
Permuter une balise VLAN et envoyer une nouvelle balise VLAN |
pop-swap (échange de pops) |
Placer une balise VLAN externe et échanger une balise VLAN interne |
swap-swap |
Permuter les balises VLAN externes et internes |
La traduction des balises VLAN double prend en charge :
Configuration des S-VLAN (NNI) et C-VLAN (UNI) sur la même interface physique
Protocoles de contrôle tels que VSTP, OSPF et LACP
Surveillance IGMP
Configuration d’un VLAN privé (PVLAN) et d’un VLAN sur une interface à balise unique
Utilisation de la 0x8100 TPID sur les balises VLAN internes et externes
Envoi et réception de paquets non étiquetés
Pour permettre à une interface d’envoyer et de recevoir des paquets non balisés, vous devez spécifier un VLAN natif pour une interface physique. Lorsque l’interface reçoit un paquet non étiqueté, elle ajoute l’ID VLAN du VLAN natif au paquet dans le champ C-VLAN et ajoute également la balise S-VLAN (le paquet est donc doublement étiqueté), puis envoie le paquet nouvellement balisé à l’interface mappée.
L’alinéa précédent ne s’applique pas :
Commutateurs non-ELS.
Commutateurs EX4300 exécutés sous une version de Junos antérieure à Junos OS version 19.3R1.
Lorsque les commutateurs de la courte liste ci-dessus reçoivent un paquet non étiqueté, ils ajoutent la balise S-VLAN au paquet (le paquet est donc étiqueté unique) et envoient le paquet nouvellement étiqueté à l’interface mappée.
Assurez-vous que tous les commutateurs configurés dans votre configuration Q-in-Q fonctionnent avec l’approche à une ou deux balises. La configuration ne fonctionnera pas si les commutateurs n’ont pas la même approche.
À partir de Junos OS version 19.3R1, vous pouvez configurer les commutateurs EX4300 pour qu’ils utilisent l’approche à double balise. Définissez l’instruction de configuration input-native-vlan-push sur et assurez-vous que l’instruction de configuration input-vlan-map est définie sur enableinput-vlan-mappush, comme illustré dans l’exemple suivant :
[edit interfaces ge-1/0/45]
flexible-vlan-tagging;
native-vlan-id 20;
input-native-vlan-push enable;
encapsulation extended-vlan-bridge;
unit 10 {
vlan-id-list 10-100;
input-vlan-map push;
output-vlan-map pop;
}
Sur les commutateurs qui prennent en charge cette fonctionnalité, à l’exception du commutateur EX4300, l’instruction input-native-vlan-push est définie sur enable par défaut. (L’instruction input-native-vlan-push est définie par disable défaut sur le commutateur EX4300.) Toutefois, nous vous recommandons de vérifier la configuration pour vous assurer que input-vlan-map est défini sur push—la fonctionnalité ne fonctionne pas si ce paramètre n’est pas en place.
Pour spécifier un VLAN natif, utilisez l’instruction native-vlan-id au niveau de la [edit interfaces interface-name] hiérarchie. L’ID de VLAN natif doit correspondre à l’ID C-VLAN ou S-VLAN ID ou être inclus dans la liste d’ID de VLAN spécifiée sur l’interface logique.
Par exemple, sur une interface logique pour une interface C-VLAN, vous pouvez spécifier une liste d’ID C-VLAN de 100 à 200. Ensuite, sur l’interface physique C-VLAN, vous pouvez spécifier un ID de VLAN natif de 150. Cette configuration fonctionnerait, car le VLAN natif 150 est inclus dans la liste des ID C-VLAN de 100 à 200.
Nous vous recommandons de configurer un VLAN natif lorsque vous utilisez l’une des approches pour mapper des C-VLAN aux S-VLAN. Pour plus d’informations sur les méthodes de mappage des C-VLAN aux S-VLAN, reportez-vous à la section Mappage des C-VLAN aux S-VLAN.
Désactivation de l’apprentissage de l’adresse MAC
Dans un déploiement Q-in-Q, les paquets client provenant des interfaces en aval sont transportés sans aucune modification des adresses MAC source et de destination. Vous pouvez désactiver l’apprentissage de l’adresse MAC au niveau global, de l’interface et du VLAN :
Pour désactiver l’apprentissage global, désactivez l’apprentissage de l’adresse MAC pour le commutateur.
Pour désactiver l’apprentissage pour une interface, désactivez l’apprentissage de l’adresse MAC pour tous les VLAN dont l’interface spécifiée est membre.
Pour désactiver l’apprentissage pour un VLAN, désactivez l’apprentissage de l’adresse MAC pour un VLAN spécifié.
La désactivation de l’apprentissage par adresse MAC sur une interface désactive l’apprentissage pour tous les VLAN dont cette interface est membre. Lorsque vous désactivez l’apprentissage des adresses MAC sur un VLAN, les adresses MAC qui ont déjà été apprises sont vidées.
Si vous désactivez l’apprentissage de l’adresse MAC sur une interface ou un VLAN, vous ne pouvez pas inclure l’authentification 802.1X dans cette même configuration VLAN.
Lorsqu’une interface VLAN routée (RVI) est associée à une interface ou à un VLAN sur lequel l’apprentissage de l’adresse MAC est désactivé, les routes de couche 3 résolues sur ce VLAN ou cette interface ne sont pas résolues avec le composant de couche 2. Il en résulte que les paquets routés inondent toutes les interfaces associées au VLAN.
Mappage de C-VLAN à S-VLAN
Il existe plusieurs façons de mapper des C-VLAN à un S-VLAN :
Si vous configurez plusieurs méthodes de mappage, le commutateur donne la priorité au mappage d’une interface spécifique, puis au regroupement plusieurs-à-plusieurs, et enfin au regroupement tout-en-un. Toutefois, pour une méthode de mappage particulière, la configuration de règles de chevauchement pour le même C-VLAN n’est pas prise en charge.
Regroupement tout-en-un : utilisez l’instruction
edit vlans s-vlan-name dot1q-tunnelingsans spécifier de VLAN client. Tous les paquets reçus sur toutes les interfaces d’accès (y compris les paquets non étiquetés) sont mappés au S-VLAN.Regroupement plusieurs-à-un : utilisez l’instruction
edit vlans s-vlan-name dot1q-tunneling customer-vlanspour spécifier les C-VLAN qui sont mappés au S-VLAN. Utilisez cette méthode lorsque vous souhaitez qu’un sous-ensemble de C-VLAN fasse partie du S-VLAN. Si vous souhaitez que des paquets non étiquetés ou étiquetés prioritaires soient mappés au S-VLAN, utilisez l’option avec l’instructionnativecustomer-vlans. (L’ID VLAN des paquets étiquetés prioritaires est défini sur 0 et leurs bits de point de code de priorité peuvent être configurés avec une valeur CoS.)Regroupement plusieurs-à-plusieurs : utilisez le regroupement plusieurs-à-plusieurs lorsque vous souhaitez qu’un sous-ensemble de C-VLAN sur le commutateur d’accès fasse partie de plusieurs S-VLAN.
Mappage d’une interface spécifique : utilisez l’instruction
edit vlans s-vlan-name interface interface-name mappingpour spécifier un C-VLAN pour un S-VLAN donné. Cette configuration ne s’applique qu’à une seule interface, et non à toutes les interfaces d’accès comme c’est le cas avec les offres groupées tout-en-un et plusieurs-à-un. Si vous souhaitez que des paquets non étiquetés ou étiquetés prioritaires soient mappés au S-VLAN, utilisez l’option avec l’instructionnativecustomer-vlans.Cette méthode comporte deux options : swap et push. Avec l’option push, un paquet conserve sa balise et une balise VLAN supplémentaire est ajoutée. Avec l’option swap, la balise entrante est remplacée par une balise S-VLAN. (Il s’agit d’une traduction VLAN.)
Vous pouvez configurer plusieurs règles push pour un S-VLAN et une interface donnés. En d’autres termes, vous pouvez configurer une interface de manière à ce que la même balise S-VLAN soit ajoutée aux paquets provenant de plusieurs C-VLAN.
Vous ne pouvez configurer qu’une seule règle d’échange pour un S-VLAN et une interface donnés.
Cette fonctionnalité est généralement utilisée pour séparer le trafic de différents clients ou pour fournir un traitement individualisé du trafic sur une interface donnée.
Si vous configurez plusieurs méthodes, le commutateur donne la priorité au mappage d’une interface spécifique, puis au regroupement plusieurs-à-un, et enfin au regroupement tout-en-un. Toutefois, il est impossible de faire chevaucher des règles pour le même C-VLAN dans le cadre d’une approche donnée. Par exemple, vous ne pouvez pas utiliser le regroupement plusieurs-à-un pour mapper le C-VLAN 100 à deux S-VLAN différents.
- Offre groupée tout-en-un
- Regroupement plusieurs-à-un
- Regroupement plusieurs-à-plusieurs
- Mappage d’une interface spécifique
- Combinaison de méthodes et de restrictions de configuration
Offre groupée tout-en-un
Le regroupement tout-en-un mappe tous les paquets de toutes les interfaces C-VLAN à un S-VLAN.
L’interface C-VLAN accepte les paquets non étiquetés et les paquets étiquetés individuellement. Une balise S-VLAN 802.1Q est ensuite ajoutée à ces paquets, et les paquets sont envoyés à l’interface S-VLAN, qui accepte les paquets non étiquetés, étiquetés individuellement et doublement.
Les interfaces C-VLAN et S-VLAN acceptent les paquets non balisés à condition que l’instruction native-vlan-id soit configurée sur ces interfaces.
Regroupement plusieurs-à-un
Le regroupement plusieurs-à-un permet de spécifier quels C-VLAN sont mappés à un S-VLAN. Le regroupement plusieurs-à-un est configuré à l’aide de l’option customer-vlans .
Le regroupement plusieurs-à-un est utilisé lorsque vous souhaitez qu’un sous-ensemble des C-VLAN sur le commutateur d’accès fasse partie du S-VLAN. Lors de l’utilisation du regroupement plusieurs-à-un, les paquets non étiquetés et étiquetés prioritaires peuvent être mappés au S-VLAN lorsque l’option est spécifiée avec l’option nativecustomer-vlans .
Regroupement plusieurs-à-plusieurs
Le regroupement plusieurs-à-plusieurs permet de spécifier quels C-VLAN sont mappés à quels S-VLAN.
Utilisez le regroupement plusieurs-à-plusieurs lorsque vous souhaitez qu’un sous-ensemble de C-VLAN sur le commutateur d’accès fasse partie de plusieurs S-VLAN. Grâce au regroupement plusieurs-à-plusieurs, les interfaces C-VLAN acceptent les paquets non étiquetés et les paquets étiquetés individuellement. Une balise S-VLAN 802.1Q est ensuite ajoutée à ces paquets, qui sont envoyés aux interfaces S-VLAN, qui acceptent les paquets non étiquetés, étiquetés individuellement et doublement.
Les interfaces C-VLAN et S-VLAN acceptent les paquets non balisés à condition que l’instruction native-vlan-id soit configurée sur ces interfaces.
Mappage d’une interface spécifique
Utilisez un mappage d’interface spécifique lorsque vous souhaitez affecter un S-VLAN à un C-VLAN spécifique sur une interface. La configuration s’applique uniquement à l’interface spécifique, et non à toutes les interfaces d’accès.
Le mappage d’interface spécifique comporte deux sous-options : push et swap. Lorsque le trafic mappé à une interface spécifique est envoyé, le paquet conserve sa balise d’origine lorsqu’il passe du C-VLAN au S-VLAN, et une balise S-VLAN supplémentaire est ajoutée au paquet. Lorsque le trafic mappé à une interface spécifique est permuté, la balise entrante est remplacée par une nouvelle balise VLAN. C’est ce que l’on appelle parfois la réécriture VLAN ou la traduction de VLAN.
En règle générale, cette méthode est utilisée pour séparer les données de différents clients ou pour fournir un traitement individualisé des paquets sur une certaine interface. Vous pouvez également utiliser cette méthode pour mapper le trafic VLAN de différents clients vers un seul S-VLAN.
Lors de l’utilisation d’un mappage d’interface spécifique, les interfaces C-VLAN acceptent les paquets non étiquetés et étiquetés individuellement, tandis que les interfaces S-VLAN acceptent les paquets non étiquetés, étiquetés individuellement et doublement étiquetés.
Les interfaces C-VLAN et S-VLAN acceptent les paquets non balisés à condition que l’instruction native-vlan-id soit configurée sur ces interfaces.
Combinaison de méthodes et de restrictions de configuration
Si vous configurez plusieurs méthodes, le commutateur donne la priorité au mappage d’une interface spécifique, puis au regroupement plusieurs-à-un, et enfin au regroupement tout-en-un. Une interface d’accès configurée dans le cadre d’une offre groupée tout-en-un ne peut pas faire partie d’une offre groupée plusieurs-à-un. Cependant, des mappages supplémentaires peuvent être définis.
Pour garantir des résultats déterministes, les restrictions de configuration suivantes s’appliquent :
Le mappage ne peut pas être défini pour les VLAN non balisés.
Une interface d’accès peut avoir plusieurs plages de VLAN client, mais aucune interface ne peut avoir de balises qui se chevauchent sur les VLAN.
Par exemple, la configuration suivante n’est pas autorisée :
vlans { customer-1 { vlan-id 100; /* S-VLAN */ interfaces ge-0/0/0.0; /* Downstream */ interfaces ge-0/0/1.0; /* Downstream */ interfaces xe-0/1/0.0; /* trunk */ dot1q-tunnelling customer-vlans 100-200 300-400 } } customer-2 { vlan-id 200; interfaces ge-0/0/0.0; /* Downstream */ interfaces xe-0/1/0.0; /* trunk */ dot1q-tunnelling customer-vlans 250-350 } } customer-3 { vlan-id 300; interfaces ge-0/0/1.0; /* Downstream */ interfaces xe-0/1/0.0; /* trunk */ dot1q-tunnelling customer-vlans 500-600 } }Étant donné que la
customer-2configuration crée des plages qui se chevauchentcustomer-vlanpour ge-0/0/0, elle n’est pas valide.Une interface d’accès peut avoir une règle unique qui mappe un paquet non étiqueté à un VLAN.
Chaque interface peut avoir au maximum une règle d’échange de mappage par VLAN.
Vous ne pouvez envoyer une balise VLAN que sur les ports d’accès d’un VLAN Q-in-Q. Cette restriction s’applique aux trois méthodes d’envoi d’une balise VLAN : c’est-à-dire le regroupement tout-en-un, le regroupement plusieurs-à-un et le mappage d’une interface spécifique à l’aide de Push.
Vous pouvez envoyer différentes balises C-VLAN pour un S-VLAN donné sur différentes interfaces. Selon votre configuration, cela peut entraîner des fuites de trafic entre les VLAN.
Interfaces VLAN routées sur les VLAN Q-in-Q
Les interfaces VLAN routées (RVI) sont prises en charge sur les VLAN Q-in-Q.
Les paquets arrivant sur un RVI qui utilise des VLAN Q-in-Q seront acheminés, qu’il s’agisse d’un paquet à simple ou double balisage. Les paquets acheminés sortants contiennent une balise S-VLAN uniquement lorsqu’ils quittent une interface trunk ; Les paquets quittent l’interface sans balise lorsqu’ils quittent une interface d’accès.
Contraintes pour la tunnelisation Q-in-Q et la traduction VLAN
Tenez compte des contraintes suivantes lors de la configuration des tunnels Q-in-Q et de la traduction VLAN :
-
La tunnelisation Q-in-Q ne prend en charge que deux balises VLAN.
-
Le tunneling Q-in-Q ne prend pas en charge la plupart des fonctionnalités de sécurité des ports d’accès. Il n’y a pas de contrôle par VLAN (client) ou de mise en forme et de limitation par VLAN (sortant) avec la tunnelisation Q-in-Q, sauf si vous configurez ces fonctionnalités de sécurité à l’aide de filtres de pare-feu.
-
Avec les versions de Junos OS version 13.2X51 antérieures à la version 13.2X51-D20, vous ne pouvez pas créer un VLAN standard sur une interface si vous avez créé un S-VLAN ou un C-VLAN sur cette interface pour le tunneling Q-in-Q. Cela signifie que vous ne pouvez pas créer d’interface de routage et de pontage intégré (IRB) sur cette interface, car les VLAN standard font partie intégrante de la configuration IRB. Avec Junos OS version 13.2X51-D25, vous pouvez créer un VLAN standard sur une interface trunk dotée d’un S-VLAN, ce qui signifie que vous pouvez également créer une interface IRB sur la jonction. Dans ce cas, le VLAN standard et le S-VLAN sur la même interface trunk ne peuvent pas partager le même ID de VLAN. Junos OS version 13.2X51-D25 ne permet pas de créer un VLAN standard sur une interface d’accès dotée d’un C-VLAN.
-
À partir de Junos OS version 14.1X53-D40, les interfaces de routage et de pontage intégrées (IRB) sont prises en charge sur les VLAN Q-in-Q : vous pouvez configurer l’interface IRB sur la même interface que celle utilisée par un S-VLAN, et vous pouvez utiliser le même ID de VLAN pour le VLAN utilisé par l’interface IRB et pour le VLAN utilisé comme S-VLAN.
Les paquets arrivant sur une interface IRB qui utilise des VLAN Q-in-Q seront acheminés, que le paquet soit étiqueté simplement ou doublement. Les paquets acheminés sortants contiennent une balise S-VLAN uniquement lorsqu’ils quittent une interface trunk ; Les paquets quittent l’interface sans balise lorsqu’ils quittent une interface d’accès.
REMARQUE :Vous ne pouvez configurer l’interface IRB que sur les interfaces S-VLAN (NNI), et non sur les interfaces C-VLAN (UNI).
-
La prise en charge des commutateurs QFX5K avec des interfaces Q-in-Q à l’aide de l’instruction
vlan-tagsest limitée aux interfaces de couche 2. Les interfaces de couche 3 configurées avec des instructions Q-iQvlan-tagspeuvent ne pas fonctionner comme prévu. -
La plupart des fonctionnalités de sécurité des ports d’accès ne sont pas prises en charge par la tunnelisation Q-in-Q et la traduction VLAN.
-
La configuration de la tunnelisation Q-in-Q et de la réécriture/traduction VLAN sur le même port n’est pas prise en charge.
-
Vous pouvez configurer au maximum une réécriture VLAN/traduction VLAN pour un VLAN et une interface donnés. Par exemple, vous ne pouvez pas créer plus d’une traduction pour le VLAN 100 sur l’interface xe-0/0/0.
-
Le total combiné des VLAN et des règles pour la tunnelisation Q-in-Q et la traduction VLAN ne peut pas dépasser 6 000. Par exemple, vous pouvez configurer et valider 4 000 VLAN et 2 000 règles pour la tunnelisation Q-in-Q et la traduction de VLAN. Toutefois, vous ne pouvez pas configurer 4 000 VLAN et 2 500 règles pour la tunnelisation Q-in-Q et la traduction de VLAN. Si vous essayez de valider une configuration qui dépasse la limite, des erreurs CLI et syslog s’affichent pour vous informer du problème.
-
Vous ne pouvez pas utiliser l’ID VLAN natif.
-
Les adresses MAC sont apprises à partir des S-VLAN, et non des C-VLAN.
-
Le trafic de diffusion, unicast inconnu et multicast est transféré à tous les membres du S-VLAN.
-
Les fonctionnalités suivantes ne sont pas prises en charge par le tunneling Q-in-Q :
-
Relais DHCP
-
Fibre Channel over Ethernet
-
IP Source Guard
-
-
Les fonctionnalités suivantes ne sont pas prises en charge par la réécriture/traduction VLAN :
-
Fibre Channel over Ethernet
-
Filtre de pare-feu appliqué à un port ou à un VLAN dans le sens de la sortie
-
VLAN privé
-
Protocole VLAN Spanning Tree
-
Relais réfléchissant
-
Configuration de la tunnelisation Q-in-Q sur les commutateurs QFX Series
La tunnelisation Q-in-Q et la traduction VLAN permettent aux fournisseurs de services de créer une connexion Ethernet de couche 2 entre deux sites clients. Les fournisseurs peuvent séparer le trafic VLAN de différents clients sur une liaison (par exemple, si les clients utilisent des ID de VLAN qui se chevauchent) ou regrouper différents VLAN client en un seul VLAN de service. Les datacenters peuvent utiliser la tunnelisation Q-in-Q pour isoler le trafic client au sein d’un même site ou lorsque le trafic client circule entre des datacenters cloud situés dans différentes zones géographiques.
À partir de Junos OS version 19.4R1, la gamme QFX10000 de commutateurs prend en charge les troisième et quatrième balises Q-in-Q en tant que charge utile (également appelées balises pass-through) en plus des deux balises existantes (pour la correspondance VLAN et les opérations). Les commutateurs QFX10000 prennent en charge plusieurs balises Q-in-Q pour les cas de pontage de couche 2 et EVPN-VXLAN. Les interfaces d’accès de couche 2 acceptent les paquets avec trois ou quatre balises (toutes les balises avec la valeur TPID 0x8100). Toutes les balises situées au-delà de la quatrième balise (c’est-à-dire à partir de la cinquième) sont considérées comme faisant partie de la charge utile de couche 3 et sont transférées de manière transparente.
Dans un paquet à une ou deux balises, les balises, les balises 1 et 2 peuvent porter n’importe quelle valeur TPID telle que 0x8100, 0x88a8, 0x9100 et 0x9200.
Avant de commencer à configurer la tunnelisation Q-in-Q, assurez-vous d’avoir créé et configuré les VLAN client nécessaires sur les commutateurs voisins. Reportez-vous à la section Configuration des VLAN sur les commutateurs.
Pour configurer la tunnelisation Q-in-Q :
En fonction de la configuration de votre interface, vous devrez peut-être ajuster la valeur MTU de votre jonction ou de vos ports d’accès pour tenir compte des 4 octets utilisés pour la balise ajoutée par le tunneling Q-in-Q. Par exemple, si vous utilisez la valeur MTU par défaut de 1514 octets sur vos ports d’accès et de jonction, vous devez effectuer l’un des ajustements suivants :
Réduisez la MTU sur les liaisons d’accès d’au moins 4 octets afin que les trames ne dépassent pas la MTU de la liaison principale lors de l’ajout de balises S-VLAN.
Augmentez la MTU sur la liaison principale afin que la liaison puisse gérer une taille de trame plus grande.
Configuration de la tunnelisation Q-in-Q sur les commutateurs EX Series avec prise en charge ELS
Cette tâche utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Configuration de la tunnelisation Q-in-Q sur les commutateurs EX Series. Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Sur les réseaux d’accès Ethernet, la tunnelisation Q-in-Q permet aux fournisseurs de services de séparer ou de regrouper le trafic client dans différents VLAN en ajoutant une couche supplémentaire de balises 802.1Q. Vous pouvez configurer la tunnelisation Q-in-Q sur les commutateurs EX Series.
Vous ne pouvez pas configurer l’authentification utilisateur 802.1X sur les interfaces qui ont été activées pour le tunneling Q-in-Q.
Lorsque la tunnelisation Q-in-Q est configurée sur les commutateurs EX Series, les interfaces trunk sont supposées faire partie du réseau du fournisseur de services et les interfaces d’accès sont supposées faire partie du réseau client. Par conséquent, cette rubrique fait également référence aux interfaces trunk en tant qu’interfaces VLAN fournisseur de services (S-VLAN) (interfaces réseau à réseau [NNI]) et aux interfaces d’accès en tant qu’interfaces VLAN client (C-VLAN) (interfaces utilisateur-réseau [UNI]).
Avant de commencer à configurer la tunnelisation Q-in-Q, assurez-vous de configurer vos VLAN. Reportez-vous à la section Configuration des VLAN pour les commutateurs EX Series avec prise en charge ELS (procédure CLI) ou Configuration des VLAN pour les commutateurs EX Series (procédureJ-Web).
Configurez la tunnelisation Q-in-Q à l’aide de l’une des méthodes suivantes pour mapper des C-VLAN aux S-VLAN :
- Configuration de l’offre groupée tout-en-un
- Configuration du regroupement plusieurs-à-plusieurs
- Configuration d’un mappage d’interface spécifique avec l’option de réécriture VLAN
Configuration de l’offre groupée tout-en-un
Vous pouvez configurer la tunnelisation Q-in-Q à l’aide de la méthode de regroupement tout-en-un, qui mappe les paquets de toutes les interfaces C-VLAN d’un commutateur vers un S-VLAN.
Pour configurer la méthode de regroupement tout-en-un sur une interface C-VLAN :
La configuration suivante sur l’interface C-VLAN ge-0/0/1 permet la tunnelisation Q-in-Q et mappe les paquets des C-VLAN 100 à 200 à l’interface logique 10, elle-même associée au S-VLAN v10. Dans cet exemple de configuration, un paquet provenant du C-VLAN 100 inclut une balise avec l’ID de VLAN 100. Lorsque ce paquet passe de l’interface ge-0/0/1 à l’interface S-VLAN, une balise portant l’ID VLAN 10 lui est ajoutée. Lorsque le paquet quitte l’interface S-VLAN, la balise avec l’ID VLAN 10 est supprimée.
set interfaces ge-0/0/1 flexible-vlan-tagging set interfaces ge-0/0/1 encapsulation extended-vlan-bridge set interfaces ge-0/0/1 unit 10 vlan-id-list 100-200 set interfaces ge-0/0/1 native-vlan-id 150 set interfaces ge-0/0/1 unit 10 input-vlan-map push set interfaces ge-0/0/1 unit 10 output-vlan-map pop set vlans v10 interface ge-0/0/1.10
Pour configurer la méthode de regroupement tout-en-un sur une interface S-VLAN :
Activez la transmission de paquets sans balise VLAN 802.1Q unique, sans balise ou avec deux balises VLAN 802.1Q :
[edit interfaces interface-name] user@switch# set flexible-vlan-tagging
Activer l’encapsulation de pont VLAN étendue :
[edit interfaces interface-name] user@switch# set encapsulation extended-vlan-bridge
Mappez les paquets de l’interface logique spécifiée dans la configuration de l’interface C-VLAN vers le S-VLAN :
[edit interfaces interface-name unit logical-unit-number] user@switch# set vlan-id number
Activez l’interface S-VLAN pour envoyer et recevoir des paquets non étiquetés :
[edit interfaces interface-name] user@switch# set native-vlan-id vlan-id
Lors de la spécification d’un ID de VLAN natif sur une interface physique S-VLAN, la valeur doit correspondre à l’ID de VLAN spécifié sur l’interface logique S-VLAN à l’étape 3.
Associez l’interface S-VLAN au S-VLAN configuré dans la procédure d’interface C-VLAN :
[edit vlans vlan-name] user@switch# set interface interface-name.logical-unit-number
Par exemple, la configuration suivante sur l’interface S-VLAN ge-1/1/1 permet la tunnelisation Q-in-Q et mappe les paquets avec une étiquette d’ID VLAN de 10 à l’interface logique 10, qui est à son tour associée au S-VLAN v10. .
set interfaces ge-1/1/1 flexible-vlan-tagging set interfaces ge-1/1/1 encapsulation extended-vlan-bridge set interfaces ge-1/1/1 unit 10 vlan-id 10 set interfaces ge-1/1/1 native-vlan-id 10 set vlans v10 interface ge-1/1/1.10
Configuration du regroupement plusieurs-à-plusieurs
Vous pouvez configurer la tunnelisation Q-in-Q à l’aide de la méthode de regroupement plusieurs-à-plusieurs, qui mappe les paquets de plusieurs C-VLAN à plusieurs S-VLAN.
Pour configurer la méthode de regroupement plusieurs-à-plusieurs sur une interface C-VLAN :
La configuration suivante sur l’interface C-VLAN ge-0/0/1 pour le client 1 permet la tunnelisation Q-in-Q et mappe les paquets des C-VLAN 100 à 120 vers l’interface logique 10, elle-même associée au S-VLAN v10.
La configuration de l’interface C-VLAN ge-0/0/2 pour le client 2 permet la tunnelisation Q-in-Q et mappe les paquets des C-VLAN 30 à 40, 50 à 60 et 70 à 80 vers l’interface logique 30, elle-même associée au S-VLAN v30.
Dans cet exemple de configuration, un paquet provenant du C-VLAN 100 inclut une balise avec l’ID de VLAN 100. Lorsque ce paquet passe de l’interface ge-0/0/1 à l’interface S-VLAN, une balise avec un ID de VLAN de 10 lui est ajoutée. Lorsque le paquet quitte l’interface S-VLAN, la balise dont l’ID de VLAN est 10 est supprimée.
Client 1
set interfaces ge-0/0/1 flexible-vlan-tagging set interfaces ge-0/0/1 encapsulation extended-vlan-bridge set interfaces ge-0/0/1 unit 10 vlan-id-list 100-120 set interfaces ge-0/0/1 native-vlan-id 100 set interfaces ge-0/0/1 unit 10 input-vlan-map push set interfaces ge-0/0/1 unit 10 output-vlan-map pop set vlans v10 interface ge-0/0/1.10
Client 2
set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 encapsulation extended-vlan-bridge set interfaces ge-0/0/2 unit 30 vlan-id-list 30-40 set interfaces ge-0/0/2 unit 30 vlan-id-list 50-60 set interfaces ge-0/0/2 unit 30 vlan-id-list 70-80 set interfaces ge-0/0/2 native-vlan-id 30 set interfaces ge-0/0/2 unit 30 input-vlan-map push set interfaces ge-0/0/2 unit 30 output-vlan-map pop set vlans v30 interface ge-0/0/2.30
Pour configurer la méthode de regroupement plusieurs-à-plusieurs sur une interface S-VLAN :
Activez la transmission de paquets sans balise VLAN 802.1Q unique, sans balise ou avec deux balises VLAN 802.1Q :
[edit interfaces interface-name] user@switch# set flexible-vlan-tagging
Activer l’encapsulation de pont VLAN étendue :
[edit interfaces interface-name] user@switch# set encapsulation extended-vlan-bridge
Mappez les paquets de chaque interface logique spécifiée dans la configuration de l’interface C-VLAN à un S-VLAN :
[edit interfaces interface-name unit logical-unit-number] user@switch# set native-vlan-id number
Activez une interface S-VLAN pour envoyer et recevoir des paquets non étiquetés :
[edit interfaces interface-name] user@switch# set native-vlan-id vlan-id
Lors de la spécification d’un ID de VLAN natif sur une interface physique S-VLAN, la valeur doit correspondre à un ID DE VLAN S-VLAN spécifié sur l’interface logique S-VLAN à l’étape 3.
Associez l’interface S-VLAN aux S-VLAN configurés dans la procédure d’interface C-VLAN :
[edit vlans vlan-name] user@switch# set interface interface-name.logical-unit-number
Par exemple, la configuration suivante sur l’interface S-VLAN ge-1/1/1 permet la tunnelisation Q-in-Q et mappe les paquets C-VLAN entrants aux interfaces logiques 10 et 30, qui sont à leur tour associées aux S-VLAN v10 et v30, respectivement.
set interfaces ge-1/1/1 flexible-vlan-tagging set interfaces ge-1/1/1 encapsulation extended-vlan-bridge set interfaces ge-1/1/1 unit 10 vlan-id 10 set interfaces ge-1/1/1 unit 30 vlan-id 30 set interfaces ge-1/1/1 native-vlan-id 10 set vlans v10 interface ge-1/1/1.10 set vlans v30 interface ge-1/1/1.30
Configuration d’un mappage d’interface spécifique avec l’option de réécriture VLAN
Vous pouvez configurer la tunnelisation Q-in-Q en mappant les paquets d’un C-VLAN spécifié vers un S-VLAN spécifié. En outre, lorsque les paquets sont transmis vers et depuis le S-VLAN, vous pouvez spécifier que la balise C-VLAN 802.1Q soit supprimée et remplacée par la balise S-VLAN ou vice versa.
Pour configurer un mappage d’interface spécifique avec réécriture VLAN sur l’interface C-VLAN :
Par exemple, la configuration suivante sur l’interface C-VLAN ge-0/0/1 permet la tunnelisation Q-in-Q et mappe les paquets entrants du C-VLAN 150 à l’interface logique 200, qui est à son tour associée au VLAN v200. De plus, lorsque les paquets voyagent de l’interface C-VLAN ge-0/0/1 vers une interface S-VLAN, la balise C-VLAN 150 est supprimée et remplacée par la balise S-VLAN 200. Lorsque les paquets voyagent d’une interface S-VLAN vers l’interface C-VLAN ge-0/0/1, la balise S-VLAN 200 est supprimée et remplacée par la balise C-VLAN 150.
set interfaces ge-0/0/1 flexible-vlan-tagging set interfaces ge-0/0/1 encapsulation extended-vlan-bridge set interfaces ge-0/0/1 unit 200 vlan-id 150 set interfaces ge-0/0/1 native-vlan-id 150 set interfaces ge-0/0/1 unit 200 input-vlan-map swap set interfaces ge-0/0/1 unit 200 output-vlan-map swap set vlans v200 interface ge-0/0/1.200
Pour configurer un mappage d’interface spécifique avec réécriture VLAN sur l’interface S-VLAN :
Activez la transmission de paquets sans balise VLAN 802.1Q unique, sans balise ou avec deux balises VLAN 802.1Q :
[edit interfaces interface-name] user@switch# set flexible-vlan-tagging
Activer l’encapsulation de pont VLAN étendue :
[edit interfaces interface-name] user@switch# set encapsulation extended-vlan-bridge
Mappez les paquets de l’interface logique spécifiée dans la configuration de l’interface C-VLAN vers le S-VLAN :
[edit interfaces interface-name unit logical-unit-number] user@switch# set vlan-id number
Activez l’interface S-VLAN pour envoyer et recevoir des paquets non étiquetés :
[edit interfaces interface-name] user@switch# set native-vlan-id vlan-id
Lors de la spécification d’un ID de VLAN natif sur une interface physique S-VLAN, la valeur doit correspondre à l’ID de VLAN spécifié sur l’interface logique S-VLAN à l’étape 3.
Associez l’interface S-VLAN au S-VLAN configuré dans la procédure d’interface C-VLAN : :
[edit vlans vlan-name] user@switch# set interface interface-name.logical-unit-number
Par exemple, la configuration suivante sur l’interface S-VLAN ge-1/1/1 active la tunnelisation Q-in-Q et mappe les paquets avec l’ID VLAN 200 à l’interface logique 200, elle-même associée au S-VLAN v200.
set interfaces ge-1/1/1 flexible-vlan-tagging set interfaces ge-1/1/1 encapsulation extended-vlan-bridge set interfaces ge-1/1/1 unit 200 vlan-id 200 set interfaces ge-1/1/1 native-vlan-id 200 set vlans v200 interface ge-1/1/1.200
Configuration de la tunnelisation Q-in-Q sur les commutateurs EX Series
Cette tâche utilise Junos OS pour les commutateurs EX Series qui ne prend pas en charge le style de configuration ELS (Enhanced L2 Software).
La tunnelisation Q-in-Q permet aux fournisseurs de services sur les réseaux d’accès Ethernet de séparer ou de regrouper le trafic des clients dans différents VLAN en ajoutant une couche supplémentaire de balises 802.1Q. Vous pouvez configurer la tunnelisation Q-in-Q sur les commutateurs EX Series.
Vous ne pouvez pas configurer l’authentification utilisateur 802.1X sur les interfaces qui ont été activées pour le tunneling Q-in-Q.
Avant de commencer à configurer la tunnelisation Q-in-Q, assurez-vous de configurer vos VLAN. Reportez-vous à la section Configuration des VLAN pour les commutateurs EX Series ou Configuration des VLAN pour les commutateurs EX Series (procédure J-Web).Configuration des VLAN pour les commutateurs EX Series
Pour configurer la tunnelisation Q-in-Q :
Configuration des tunnels Q-in-Q sur ACX Series
SUMMARY
Présentation des tunnels Q-in-Q sur ACX Series
La tunnelisation Q-in-Q permet aux fournisseurs de services de créer une connexion Ethernet de couche 2 entre deux sites clients. Les fournisseurs peuvent séparer le trafic VLAN de différents clients sur une liaison (par exemple, si les clients utilisent des ID de VLAN qui se chevauchent) ou regrouper différents VLAN client en un seul VLAN de service. Les fournisseurs de services peuvent utiliser la tunnelisation Q-in-Q pour isoler le trafic client au sein d’un même site ou pour permettre aux flux de trafic client d’effectuer plusieurs emplacements géographiques.
Le tunneling Q-in-Q ajoute une balise VLAN de service avant les balises VLAN 802.1Q du client. L’implémentation Juniper Networks Système d'exploitation Junos de la tunnelisation Q-in-Q prend en charge la norme IEEE 802.1ad.
Dans la tunnelisation Q-in-Q, lorsqu’un paquet transite d’un VLAN client (C-VLAN) vers le VLAN d’un fournisseur de services (S-VLAN), une autre balise 802.1Q pour le S-VLAN approprié est ajoutée avant la balise C-VLAN. La balise C-VLAN est conservée et transmise via le réseau. Lorsque le paquet sort de l’espace S-VLAN, en sens aval, la balise S-VLAN 802.1Q est supprimée.
Dans les routeurs ACX Series, vous pouvez configurer la tunnelisation Q-in-Q en configurant explicitement une carte VLAN d’entrée avec push fonction sur les interfaces client dans un domaine de pont.
Vous pouvez configurer la tunnelisation Q-in-Q sur une interface Ethernet agrégée en configurant des cartes VLAN d’entrée et de sortie.
Configuration des tunnels Q-in-Q sur ACX Series
Pour configurer la tunnelisation Q-in-Q, vous devez configurer l’interface logique connectée au réseau client (interfaces utilisateur-réseau (UNI)) et l’interface logique connectée au réseau du fournisseur de services (interface réseau à réseau (NNI)).
Voici un exemple de configuration d’une interface logique connectée à un réseau client :
[edit]
interface ge-1/0/1 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
unit 0 {
encapsulation vlan-bridge;
vlan-id-list 10-20;
input-vlan-map {
push;
vlan-id 500;
}
output-vlan-map pop;
}
}
Voici un exemple de configuration d’une interface logique connectée au réseau d’un fournisseur de services :
[edit] interface ge-1/0/2; { flexible-vlan-tagging; encapsulation flexible-ethernet-services; unit 0 { encapsulation vlan-bridge; vlan-id 500; } }
Voici un exemple de configuration du domaine de pont :
[edit] bridge-domains { qnq-stag-500{ interface ge-1/0/1; interface ge-1/0/2; } }
Vous pouvez configurer la tunnelisation Q-in-Q sur l’interface Ethernet agrégée connectée au réseau client (UNI) et l’interface logique connectée au réseau du fournisseur de services (NNI).
Configuration de la tunnelisation Q-in-Q à l’aide du regroupement tout-en-un
Vous pouvez configurer la tunnelisation Q-in-Q à l’aide de la méthode de regroupement tout-en-un, qui transfère tous les paquets entrant sur une interface C-VLAN vers un S-VLAN. (Les paquets sont transférés au S-VLAN, qu’ils soient étiquetés ou non avant l’entrée.) Cette approche vous évite de spécifier un mappage spécifique pour chaque C-VLAN.
Configurez d’abord le S-VLAN et son interface :
Si vous avez configuré flexible-ethernet-services, configurez vlan-bridge l’encapsulation sur l’interface logique :
[edit interfaces interface-name unit logical-unit-number] user@switch# set encapsulation vlan-bridge
Par exemple, la configuration suivante fait de xe-0/0/0.10 un membre du VLAN 10, active la tunnelisation Q-in-Q sur l’interface xe-0/0/0, permet à xe-0/0/0 d’accepter des paquets non étiquetés et lie l’ID de VLAN de S-VLAN v10 à une interface logique de xe-0/0/0.
set vlans v10 interface xe-0/0/0.10 set interfaces xe-0/0/0 flexible-vlan-tagging set interfaces xe-0/0/0 native-vlan-id 10 set interfaces xe-0/0/0 encapsulation extended-vlan-bridge set interfaces xe-0/0/0 unit 10 vlan-id 10
Configurez maintenant le regroupement tout-en-un sur une interface C-VLAN :
Attribuez à une interface logique (unité) de l’interface C-VLAN un membre du S-VLAN.
[edit vlans vlan-name] user@switch# set interface interface-name.unit-number
Permettre à l’interface de transmettre des paquets avec des balises VLAN 802.1Q :
[edit interfaces interface-name] user@switch# set flexible-vlan-tagging
Activez l’encapsulation de pont VLAN étendue sur l’interface :
[edit interfaces interface-name] user@switch# set encapsulation extended-vlan-bridge
Activez l’interface C-VLAN pour envoyer et recevoir des paquets non étiquetés :
[edit interfaces interface-name] user@switch# set native-vlan-id vlan-id
Configurez une interface logique pour recevoir et transférer tout paquet balisé dont la balise d’ID de VLAN correspond à la liste des ID de VLAN que vous spécifiez :
[edit interfaces interface-name unit logical-unit-number] user@switch# set vlan-id-list vlan-id-numbers
ATTENTION :Vous ne pouvez pas appliquer plus de huit listes d’identificateurs VLAN à une interface physique. Cette limitation ne s’applique pas aux commutateurs QFX10000.
Configurez le système pour ajouter une balise S-VLAN (balise externe) lorsque les paquets transitent d’une interface C-VLAN vers le S-VLAN :
[edit interfaces interface-name unit logical-unit-number] user@switch# set input-vlan-map push
REMARQUE :Vous pouvez configurer
vlan-idsurinput-vlan-map, mais cette option est facultative.Configurez le système pour supprimer la balise S-VLAN lorsque des paquets sont transférés (en interne) de l’interface S-VLAN vers l’interface C-VLAN :
[edit interfaces interface-name unit logical-unit-number] user@switch# set output-vlan-map pop
Par exemple, la configuration suivante fait de xe-0/0/1.10 un membre du S-VLAN v10, permet la tunnelisation Q-in-Q, mappe les paquets des C-VLAN 100 à 200 au S-VLAN 10 et permet à xe-0/0/1 d’accepter les paquets non étiquetés. Si un paquet provient du C-VLAN 100 et doit être envoyé via le S-VLAN, une balise avec l’ID de VLAN 10 est ajoutée au paquet. Lorsqu’un paquet est transféré (en interne) de l’interface S-VLAN vers l’interface xe-0/0/1, la balise avec l’ID VLAN 10 est supprimée.
set vlans v10 interface xe-0/0/1.10 set interfaces xe-0/0/1 flexible-vlan-tagging set interfaces xe-0/0/1 encapsulation extended-vlan-bridge set interfaces xe-0/0/1 unit 10 vlan-id-list 100-200 set interfaces xe-0/0/1 native-vlan-id 150 set interfaces xe-0/0/1 unit 10 input-vlan-map push set interfaces xe-0/0/1 unit 10 output-vlan-map pop
Configuration de la tunnelisation Q-in-Q à l’aide du regroupement plusieurs-à-plusieurs
Vous pouvez configurer la tunnelisation Q-in-Q à l’aide de la méthode de regroupement plusieurs-à-plusieurs, qui mappe les paquets de plusieurs C-VLAN à plusieurs S-VLAN. Cette méthode est pratique pour mapper une plage de C-VLAN sans avoir à spécifier chacun d’entre eux individuellement. (Vous pouvez également utiliser cette méthode pour configurer un seul C-VLAN à mapper à un S-VLAN.)
Configurez d’abord les S-VLAN et affectez-les à une interface :
Par exemple, la configuration suivante crée des S-VLAN v10 et v30 et les associe à l’interface xe-0/0/0.10, active la tunnelisation Q-in-Q, permet à xe-0/0/0 d’accepter des paquets non étiquetés et mappe les paquets C-VLAN entrants aux S-VLAN v10 et v30.
set vlans v10 interface xe-0/0/0.10 set vlans v30 interface xe-0/0/0.10 set interfaces xe-0/0/0 flexible-vlan-tagging set interfaces xe-0/0/0 native-vlan-id 10 set interfaces xe-0/0/0 encapsulation extended-vlan-bridge set interfaces xe-0/0/0 unit 10 vlan-id 10 set interfaces xe-0/0/0 unit 30 vlan-id 30
Pour configurer la méthode de regroupement plusieurs-à-plusieurs sur une interface C-VLAN, effectuez les opérations suivantes pour chaque client :
Affectez une interface logique (unité) d’une interface C-VLAN comme membre d’un S-VLAN.
[edit vlans vlan-name] user@switch# set interface interface-name.unit-number
Répétez l’étape 1 pour affecter une autre interface C-VLAN (interface physique) à un autre S-VLAN.
Activez l’interface pour qu’elle transmette des paquets avec des balises VLAN 802.1Q :
[edit interfaces interface-name] user@switch# set flexible-vlan-tagging
Activez l’encapsulation de pont VLAN étendue sur l’interface :
[edit interfaces interface-name] user@switch# encapsulation extended-vlan-bridge
Activez l’interface C-VLAN pour envoyer et recevoir des paquets non étiquetés :
[edit interfaces interface-name] user@switch# set native-vlan-id vlan-id
Pour chaque interface physique, configurez une interface logique (unité) pour recevoir et transférer tout paquet balisé dont la balise d’ID de VLAN correspond à la liste des ID de VLAN que vous spécifiez :
[edit interfaces interface-name unit logical-unit-number] user@switch# set vlan-id-list vlan-id-numbers
Pour configurer un seul C-VLAN à mapper à un S-VLAN, spécifiez un seul ID de VLAN après vlan-id-list.
ATTENTION :Vous ne pouvez pas appliquer plus de huit listes d’identificateurs VLAN à une interface physique. Cette limitation ne s’applique pas aux commutateurs QFX10000.
Pour chaque interface physique, configurez le système afin d’ajouter une balise S-VLAN (balise externe) à mesure que les paquets transitent de l’interface C-VLAN vers le S-VLAN :
[edit interfaces interface-name unit logical-unit-number] user@switch# set input-vlan-map push
Pour chaque interface physique, configurez le système afin qu’il supprime la balise S-VLAN lorsque des paquets sont transférés de l’interface S-VLAN vers l’interface C-VLAN :
[edit interfaces interface-name unit logical-unit-number] user@switch# set output-vlan-map pop
Par exemple, la configuration suivante fait de xe-0/0/1.10 un membre du S-VLAN v10, permet la tunnelisation Q-in-Q et mappe les paquets des C-VLAN 10 à 20 au S-VLAN 10. La configuration du client 2 fait de xe-0/0/2.30 un membre du S-VLAN v30, permet la tunnelisation Q-in-Q et mappe les paquets des C-VLAN 30 à 40, 50 à 60 et 70 à 80 au S-VLAN 30. Les deux interfaces sont configurées pour accepter des paquets non balisés.
Si un paquet provient du C-VLAN 10 et doit être envoyé via le S-VLAN, une balise portant l’ID de VLAN 10 est ajoutée au paquet. Si un paquet est transféré en interne de l’interface S-VLAN vers xe-0/0/1.10, la balise avec l’ID VLAN 10 est supprimée. Les mêmes principes s’appliquent aux C-VLAN configurés sur l’interface xe-0/0/2.
Notez que vous pouvez utiliser la même valeur de balise pour un S-VLAN et un C-VLAN. Par exemple, la configuration du client 1 mappe l’ID C-VLAN 10 à l’ID S-VLAN 10. Les balises C-VLAN et S-VLAN utilisent des espaces de noms distincts, cette configuration est donc autorisée.
Configuration pour le client 1 :
set vlans v10 interface xe-0/0/1.10 set interfaces xe-0/0/1 flexible-vlan-tagging set interfaces xe-0/0/1 encapsulation extended-vlan-bridge set interfaces xe-0/0/1 unit 10 vlan-id-list 10-20 set interfaces xe-0/0/1 native-vlan-id 15 set interfaces xe-0/0/1 unit 10 input-vlan-map push set interfaces xe-0/0/1 unit 10 output-vlan-map pop
Configuration pour le client 2 :
set vlans v30 interface xe-0/0/2.30 set interfaces xe-0/0/2 flexible-vlan-tagging set interfaces xe-0/0/2 encapsulation extended-vlan-bridge set interfaces xe-0/0/2 unit 30 vlan-id-list 30-40 set interfaces xe-0/0/2 unit 30 vlan-id-list 50-60 set interfaces xe-0/0/2 unit 30 vlan-id-list 70-80 set interfaces xe-0/0/2 native-vlan-id 75 set interfaces xe-0/0/2 unit 30 input-vlan-map push set interfaces xe-0/0/2 unit 30 output-vlan-map pop
Configuration d’un mappage d’interface spécifique avec l’option de traduction d’ID VLAN
Vous pouvez configurer la tunnelisation Q-in-Q en mappant les paquets d’un C-VLAN spécifié vers un S-VLAN spécifié. En outre, vous pouvez configurer le système pour remplacer une balise C-VLAN par une balise S-VLAN ou remplacer une balise S-VLAN par une balise C-VLAN (au lieu d’un double balisage). C’est ce qu’on appelle la traduction VLAN ou la réécriture VLAN. La traduction VLAN est particulièrement utile si le réseau de couche 2 d’un fournisseur de services qui connecte les sites d’un client ne prend pas en charge les paquets à double balise.
Lorsque vous utilisez la traduction VLAN, les deux extrémités du lien doivent normalement être en mesure d’échanger les balises de manière appropriée. En d’autres termes, les deux extrémités de la liaison doivent être configurées pour remplacer la balise C-VLAN par la balise S-VLAN et la balise S-VLAN par la balise C-VLAN afin que le trafic dans les deux sens soit balisé de manière appropriée pendant le transit et après l’arrivée.
Configurez d’abord le S-VLAN et son interface :
Par exemple, la configuration suivante crée le S-VLAN v200, fait de xe-0/0/0.200 un membre de ce VLAN, active la tunnelisation Q-in-Q sur l’interface xe-0/0/0, permet à xe-0/0/0 d’accepter les paquets non étiquetés et lie une interface logique de xe-0/0/0 à l’ID de VLAN du VLAN v200.
set vlans v200 interface xe-0/0/0.200 set interfaces xe-0/0/0 flexible-vlan-tagging set interfaces xe-0/0/0 native-vlan-id 150 set interfaces xe-0/0/0 encapsulation extended-vlan-bridge set interfaces xe-0/0/0 unit 200 vlan-id 200
Configurez maintenant un mappage d’interface spécifique avec la traduction facultative de l’ID VLAN sur l’interface C-VLAN :
Attribuez à une interface logique de l’interface C-VLAN un membre du S-VLAN.
[edit vlans vlan-name] user@switch# set interface interface-name.unit-number
Activez l’interface pour qu’elle transmette des paquets avec des balises VLAN 802.1Q :
[edit interfaces interface-name] user@switch# set flexible-vlan-tagging
Activez l’interface C-VLAN pour envoyer et recevoir des paquets non étiquetés :
[edit interfaces interface-name] user@switch# set native-vlan-id vlan-id
Activez l’encapsulation de pont VLAN étendue sur l’interface :
[edit interfaces interface-name] user@switch# set encapsulation extended-vlan-bridge
Configurez une interface logique (unité) pour recevoir et transférer tout paquet balisé dont la balise d’ID de VLAN correspond aux ID de VLAN que vous spécifiez :
[edit interfaces interface-name unit logical-unit-number] user@switch# set vlan-id number
Configurez le système pour supprimer la balise C-VLAN existante et la remplacer par la balise S-VLAN lorsque des paquets pénètrent sur l’interface C-VLAN et sont transférés vers le S-VLAN :
[edit interfaces interface-name unit logical-unit-number] user@switch# set input-vlan-map swap
Configurez le système pour supprimer la balise S-VLAN existante et la remplacer par la balise C-VLAN lorsque des paquets sont transférés de l’interface S-VLAN vers l’interface C-VLAN :
[edit interfaces interface-name unit logical-unit-number] user@switch# set output-vlan-map swap
Pour configurer un S-VLAN et l’associer à l’interface C-VLAN appropriée :
[edit vlans vlan-name] user@switch# set interface interface-name
Par exemple, la configuration suivante sur l’interface C-VLAN xe-0/0/1.200 active la tunnelisation Q-in-Q, permet à xe-0/0/1 d’accepter des paquets non étiquetés et mappe les paquets entrants du C-VLAN 150 à l’interface logique 200, qui est membre du S-VLAN 200. De plus, lorsque les paquets sortent de l’interface C-VLAN xe-0/0/1 et se dirigent vers l’interface S-VLAN, la balise C-VLAN 150 est supprimée et remplacée par la balise S-VLAN 200. Lorsque les paquets voyagent de l’interface S-VLAN vers l’interface C-VLAN, la balise S-VLAN 200 est supprimée et remplacée par la balise C-VLAN 150.
set vlans v200 interface xe-0/0/1.200 set interfaces xe-0/0/1 flexible-vlan-tagging set interfaces xe-0/0/1 native-vlan-id 150 set interfaces xe-0/0/1 encapsulation extended-vlan-bridge set interfaces xe-0/0/1 unit 200 vlan-id 200 set interfaces xe-0/0/1 unit 200 output-vlan-map swap set interfaces xe-0/0/1 unit 200 input-vlan-map swap
Exemple : Configuration de la tunnelisation Q-in-Q sur les commutateurs QFX Series
Les fournisseurs de services peuvent utiliser la tunnelisation Q-in-Q pour transmettre de manière transparente le trafic VLAN de couche 2 entre les sites des clients, sans supprimer ni modifier les balises VLAN client ou les paramètres de classe de service (CoS). Les datacenters peuvent utiliser la tunnelisation Q-in-Q pour isoler le trafic client au sein d’un même site ou lorsque le trafic client circule entre des datacenters cloud situés dans différentes zones géographiques.
Cet exemple utilise une version de Junos OS qui ne prend pas en charge le style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel prenant en charge ELS, reportez-vous à la section Configuration de la tunnelisation Q-in-Q sur les commutateurs QFX Series, NFX Series et EX4600 avec prise en charge ELS.
Cet exemple décrit comment configurer la tunnelisation Q-in-Q :
Conditions préalables
Cet exemple nécessite un équipement QFX Series avec Junos OS version 12.1 ou ultérieure.
Avant de commencer à configurer la tunnelisation Q-in-Q, assurez-vous d’avoir créé et configuré les VLAN client nécessaires sur les commutateurs voisins. Reportez-vous à la section Configuration des VLAN sur les commutateurs.
Vue d’ensemble et topologie
Dans ce réseau de fournisseur de services, plusieurs VLAN client sont mappés à un VLAN de service.
Tableau 2 Répertorie les paramètres de l’exemple de topologie.
| Interface | Description |
|---|---|
|
Mots-clefs : port trunk S-VLAN |
|
Port d’accès client non étiqueté |
|
Port d’accès client non étiqueté |
|
Mots-clefs : port trunk S-VLAN |
Configuration
Configuration rapide de l’interface de ligne de commande
Pour créer et configurer rapidement la tunnelisation Q-in-Q, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans service-vlan vlan-id 1000 set vlans service-vlan dot1q-tunneling customer-vlans 1-100 set vlans service-vlan dot1q-tunneling customer-vlans 201-300 set interfaces xe-0/0/11 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 1000 set interfaces xe-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 1000 set interfaces xe-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 1000 set interfaces xe-0/0/14 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 1000 set ethernet-switching-options dot1q-tunneling ether-type 0x9100
Procédure
Procédure étape par étape
Pour configurer la tunnelisation Q-in-Q :
Définissez l’ID de VLAN pour le S-VLAN :
[edit vlans] user@switch# set service-vlan vlan-id 1000
Activez la tunnelisation Q-in-Q et spécifiez les plages de VLAN client :
[edit vlans] user@switch# set service-vlan dot1q-tunneling customer-vlans 1-100 user@switch# set service-vlan dot1q-tunneling customer-vlans 201-300
Définissez le mode de port et les informations VLAN pour les interfaces :
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 1000 user@switch# set xe-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 1000 user@switch# set xe-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 1000 user@switch# set xe-0/0/14 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 1000
Définissez la valeur Q-in-Q Ethertype (facultatif) :
[edit] user@switch# set ethernet-switching-options dot1q-tunneling ether-type 0x9100
Résultats
Vérifiez les résultats de la configuration :
user@switch> show configuration vlans service-vlan
vlan-id 1000 {
dot1q-tunneling {
customer-vlans [ 1-100 201-300 ];
}
user@switch> show configuration interfaces
xe-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan members 1000;
}
}
}
xe-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan members 1000;
}
}
}
xe-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan members 1000;
}
}
}
xe-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan members 1000;
}
}
}
user@switch> show ethernet-switching-options
dot1q-tunneling {
ether-type 0x9100;
}
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de l’activation du tunneling Q-in-Q
But
Vérifiez que le tunneling Q-in-Q a été correctement activé.
Action
Utilisez la show vlans commande :
user@switch> show vlans service-vlan extensive
VLAN: service-vlan, Created at: Wed Mar 14 07:17:53 2012
802.1Q Tag: 1000, Internal index: 18, Admin State: Enabled, Origin: Static
Dot1q Tunneling Status: Enabled
Customer VLAN ranges:
1-100
201-300
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
xe-0/0/11.0, tagged, trunk
xe-0/0/14.0, tagged, trunk
xe-0/0/12.0, untagged, access
xe-0/0/13.0, untagged, access
Sens
La sortie indique que la tunnelisation Q-in-Q est activée et que le VLAN est balisé et affiche les VLAN client associés.
Exemple : Configuration de la tunnelisation Q-in-Q sur les commutateurs EX Series
Les fournisseurs de services peuvent utiliser la tunnelisation Q-in-Q pour transférer de manière transparente le trafic VLAN de couche 2 d’un site client vers un autre site client, en passant par le réseau du fournisseur de services, sans supprimer ni modifier les balises VLAN client ou les paramètres de classe de service (CoS). Vous pouvez configurer la tunnelisation Q-in-Q sur les commutateurs EX Series.
Cet exemple décrit comment configurer Q-in-Q :
Conditions préalables
Cet exemple nécessite un commutateur EX Series avec Junos OS version 9.3 ou ultérieure pour les commutateurs EX Series.
Avant de commencer à configurer la tunnelisation Q-in-Q, assurez-vous d’avoir créé et configuré les VLAN client nécessaires. Reportez-vous à la section Configuration des VLAN pour les commutateurs EX Series ou Configuration des VLAN pour les commutateurs EX Series (procédure J-Web).Configuration des VLAN pour les commutateurs EX Series
Vue d’ensemble et topologie
Dans ce réseau de fournisseur de services, plusieurs VLAN client sont mappés à un VLAN de service.
Tableau 3 Répertorie les paramètres de l’exemple de topologie.
| Interface | Description |
|---|---|
GE-0/0/11.0 |
Mots-clefs : port trunk S-VLAN |
GE-0/0/12.0 |
Port d’accès client non étiqueté |
GE-0/0/13.0 |
Port d’accès client non étiqueté |
GE-0/0/14.0 |
Mots-clefs : port trunk S-VLAN |
Configuration
Configuration rapide de l’interface de ligne de commande
Pour créer et configurer rapidement la tunnelisation Q-in-Q, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans qinqvlan vlan-id 4001 set vlans qinqvlan dot1q-tunneling customer-vlans 1-100 set vlans qinqvlan dot1q-tunneling customer-vlans 201-300 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 4001 set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching vlan members 4001 set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching vlan members 4001 set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/14 unit 0 family ethernet-switching vlan members 4001 set ethernet-switching-options dot1q-tunneling ether-type 0x9100
Procédure
Procédure étape par étape
Pour configurer la tunnelisation Q-in-Q :
Définissez l’ID de VLAN pour le S-VLAN :
[edit vlans] user@switch# set qinqvlan vlan-id 4001
Activez le réglage Q-in-Q et spécifiez les plages de VLAN client :
[edit vlans] user@switch# set qinqvlan dot1q-tunneling customer-vlans 1-100 user@switch# set qinqvlan dot1q-tunneling customer-vlans 201-300
Définissez le mode de port et les informations VLAN pour les interfaces :
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/11 unit 0 family ethernet-switching vlan members 4001 user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching vlan members 4001 user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching vlan members 4001 user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/14 unit 0 family ethernet-switching vlan members 4001
Définissez la valeur Q-in-Q Ethertype :
[edit] user@switch# set ethernet-switching-options dot1q-tunneling ether-type 0x9100
Résultats
Vérifiez les résultats de la configuration :
user@switch> show configuration vlans qinqvlan
vlan-id 4001 {
dot1q-tunneling {
customer-vlans [ 1-100 201-300 ];
}
user@switch> show configuration interfaces
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan members 4001;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan members 4001;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan members 4001;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan members 4001;
}
}
}
user@switch> show ethernet-switching-options
dot1q-tunneling {
ether-type 0x9100;
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de l’activation du tunneling Q-in-Q
But
Vérifiez que le tunneling Q-in-Q a été correctement activé sur le commutateur.
Action
Utilisez la show vlans commande :
user@switch> show vlans qinqvlan extensive
VLAN: qinqvlan, Created at: Thu Sep 18 07:17:53 2008
802.1Q Tag: 4001, Internal index: 18, Admin State: Enabled, Origin: Static
Dot1q Tunneling Status: Enabled
Customer VLAN ranges:
1-100
201-300
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 4 (Active = 0)
ge-0/0/11.0, tagged, trunk
ge-0/0/14.0, tagged, trunk
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
Sens
La sortie indique que la tunnelisation Q-in-Q est activée et que le VLAN est balisé et affiche les VLAN client associés.
Configuration d’une double traduction de balise VLAN sur les commutateurs QFX
À partir de Junos OS version 14.1X53-D40, vous pouvez utiliser la fonctionnalité de traduction de balises VLAN double (également appelée réécriture de balises VLAN doubles) pour déployer des commutateurs dans les domaines de fournisseurs de services, permettant ainsi aux paquets VLAN à double balise, à balise unique et non étiquetés d’entrer ou de sortir du commutateur.
L’exemple de configuration suivant montre l’utilisation des opérations de double balise swap-swap, pop-swap et swap-push.
[edit] set interfaces ge-0/0/1 unit 503 description UNI-3 set interfaces ge-0/0/1 unit 503 encapsulation vlan-bridge set interfaces ge-0/0/1 unit 503 vlan-tags outer 503 set interfaces ge-0/0/1 unit 503 vlan-tags inner 504 set interfaces ge-0/0/1 unit 503 input-vlan-map swap-swap set interfaces ge-0/0/1 unit 503 input-vlan-map vlan-id 500 set interfaces ge-0/0/1 unit 503 input-vlan-map inner-vlan-id 514 set interfaces ge-0/0/1 unit 503 output-vlan-map swap-swap set interfaces ge-0/0/0 description NNI set interfaces ge-0/0/0 flexible-vlan-tagging set interfaces ge-0/0/0 encapsulation flexible-ethernet-services set interfaces ge-0/0/0 unit 500 description "SVLAN500 port" set interfaces ge-0/0/0 unit 500 encapsulation vlan-bridge set interfaces ge-0/0/0 unit 500 vlan-id 500 set interfaces ge-0/0/0 unit 600 description "SVLAN600 port" set interfaces ge-0/0/0 unit 600 encapsulation vlan-bridge set interfaces ge-0/0/0 unit 600 vlan-id 600 set interfaces ge-0/0/0 unit 700 description "SVLAN700 port" set interfaces ge-0/0/0 unit 700 encapsulation vlan-bridge set interfaces ge-0/0/0 unit 700 vlan-id 700 set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members v1000 set interfaces ge-0/0/0 unit 1100 description UNI-SVLAN1100 set interfaces ge-0/0/0 unit 1100 encapsulation vlan-bridge set interfaces ge-0/0/0 unit 1100 vlan-tags outer 1101 set interfaces ge-0/0/0 unit 1100 vlan-tags inner 1102 set interfaces ge-0/0/0 unit 1100 input-vlan-map swap-swap set interfaces ge-0/0/0 unit 1100 input-vlan-map vlan-id 1100 set interfaces ge-0/0/0 unit 1100 input-vlan-map inner-vlan-id 2101 set interfaces ge-0/0/0 unit 1100 output-vlan-map swap-swap set interfaces ge-0/0/0 unit 1200 description UNI-SVLAN1200 set interfaces ge-0/0/0 unit 1200 encapsulation vlan-bridge set interfaces ge-0/0/0 unit 1200 vlan-id 1201 set interfaces ge-0/0/0 unit 1200 input-vlan-map swap-push set interfaces ge-0/0/0 unit 1200 input-vlan-map inner-vlan-id 2200 set interfaces ge-0/0/0 unit 1200 output-vlan-map pop-swap set interfaces ge-0/0/2 description UNI set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 encapsulation flexible-ethernet-services set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members v1000 set interfaces ge-0/0/2 unit 603 description UNI-3 set interfaces ge-0/0/2 unit 603 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 603 vlan-tags outer 603 set interfaces ge-0/0/2 unit 603 vlan-tags inner 604 set interfaces ge-0/0/2 unit 603 input-vlan-map swap-swap set interfaces ge-0/0/2 unit 603 input-vlan-map vlan-id 600 set interfaces ge-0/0/2 unit 603 input-vlan-map inner-vlan-id 614 set interfaces ge-0/0/2 unit 603 output-vlan-map swap-swap set interfaces ge-0/0/3 description UNI set interfaces ge-0/0/3 flexible-vlan-tagging set interfaces ge-0/0/3 encapsulation flexible-ethernet-services set interfaces ge-0/0/3 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members v1000 set interfaces ge-0/0/3 unit 703 description UNI-3 set interfaces ge-0/0/3 unit 703 encapsulation vlan-bridge set interfaces ge-0/0/3 unit 703 vlan-tags outer 703 set interfaces ge-0/0/3 unit 703 vlan-tags inner 704 set interfaces ge-0/0/3 unit 703 input-vlan-map swap-swap set interfaces ge-0/0/3 unit 703 input-vlan-map vlan-id 700 set interfaces ge-0/0/3 unit 703 input-vlan-map inner-vlan-id 714 set interfaces ge-0/0/3 unit 703 output-vlan-map swap-swap set interfaces ge-0/0/3 unit 701 encapsulation vlan-bridge set interfaces ge-0/0/3 unit 701 vlan-id 701 set interfaces ge-0/0/3 unit 701 input-vlan-map swap-push set interfaces ge-0/0/3 unit 701 input-vlan-map inner-vlan-id 780 set interfaces ge-0/0/3 unit 701 output-vlan-map pop-swap set interfaces ge-0/0/3 unit 1100 description SVLAN1100-NNI set interfaces ge-0/0/3 unit 1100 encapsulation vlan-bridge set interfaces ge-0/0/3 unit 1100 vlan-id 1100 set interfaces ge-0/0/3 unit 1200 description SVLAN1200-NNI set interfaces ge-0/0/3 unit 1200 encapsulation vlan-bridge set interfaces ge-0/0/3 unit 1200 vlan-id 1200 set vlans SVLAN500 interface ge-0/0/0.500 set vlans SVLAN500 interface ge-0/0/1.503 set vlans SVLAN600 interface ge-0/0/0.600 set vlans SVLAN600 interface ge-0/0/2.603 set vlans SVLAN600 interface ge-0/0/3.701 set vlans SVLAN700 interface ge-0/0/0.700 set vlans SVLAN700 interface ge-0/0/3.703 set vlans v1000 vlan-id 1000 set vlans SVLAN1100 interface ge-0/0/0.1100 set vlans SVLAN1100 interface ge-0/0/3.1100 set vlans SVLAN1200 interface ge-0/0/3.1200 set vlans SVLAN1200 interface ge-0/0/0.1200
Prise en charge du swap-push/pop-swap pour les commutateurs QFX et EX
Le tunneling Q-in-Q avec prise en charge des swaps-push/pop-swaps L2 est un scénario spécifique dans lequel la balise VLAN CLIENT (C-VLAN) est permutée avec la balise, et la balise VLAN DE SERVICE (S-VLAN) définie par le fournisseur de services lui est appliquée (pour le trafic circulant entre le client et le inner-vlan-id site du fournisseur de services). Ce trafic est envoyé au réseau du fournisseur de services avec une double balise (S-VLAN + C-VLAN). Pour le trafic circulant du réseau du fournisseur de services vers le réseau client, la balise S-VLAN est supprimée et la balise C-VLAN est remplacée par l’ID VLAN configuré sur l’interface logique UNI.
L’exemple suivant illustre les opérations de double balise swap-push/pop-swap.
- Swap-push : pour les trames à balise unique entrantes d’UNI, le C-VLAN (VLAN ID 100) permute avec l’inner-vlan-id (200) configuré sur l’interface logique et le S-VLAN (VLAN ID 900) pousse sur la trame. La trame à double balise sort du NNI.
- Pop-swap : pour les trames à double balise entrantes du NNI, la balise S-VLAN apparaît (ID VLAN 900) à partir de la trame et l’ID VLAN 100 de l’interface logique remplace la balise C-VLAN. La trame à balise unique sort de l’UNI.
set interfaces ge-0/0/1 description UNI set interfaces ge-0/0/1 flexible-vlan-tagging set interfaces ge-0/0/1 encapsulation flexible-ethernet-services set interfaces ge-0/0/1 unit 100 encapsulation vlan-bridge set interfaces ge-0/0/1 unit 100 vlan-id 100 set interfaces ge-0/0/1 unit 100 input-vlan-map swap-push set interfaces ge-0/0/1 unit 100 input-vlan-map vlan-id 900 set interfaces ge-0/0/1 unit 100 input-vlan-map inner-vlan-id 200 set interfaces ge-0/0/1 unit 100 output-vlan-map pop-swap set interfaces ge-0/0/2 description NNI set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 encapsulation flexible-ethernet-services set interfaces ge-0/0/2 unit 900 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 900 vlan-id 900 set vlans vlan-900 interface ge-0/0/1.100 set vlans vlan-900 interface ge-0/0/2.900
Si vous configurez l’interface logique avec une liste d’ID de VLAN et que l’input-vlan-map et le vlan-map de sortie sont configurés en tant que swap-push/pop-swap, il en résulte un comportement indésirable car le trafic régressant hors de l’UNI a un numéro d’unité logique au lieu de l’ID de VLAN client d’origine de la liste d’ID de VLAN configurée.
Vérification du bon fonctionnement de la tunnelisation Q-in-Q sur les commutateurs
But
Après avoir créé un VLAN Q-in-Q, vérifiez qu’il est correctement configuré.
Action
Utilisez la
show configuration vlanscommande pour déterminer si vous avez correctement créé les configurations VLAN primaire et secondaire :user@switch> show configuration vlans svlan { vlan-id 300; dot1q-tunneling { customer-vlans [ 101–200 ]; } }Utilisez la commande pour afficher les informations VLAN et l’état de la
show vlansliaison :user@switch> show vlans s-vlan-name extensive VLAN: svlan, Created at: Thu Oct 23 16:53:20 2008 802.1Q Tag: 300, Internal index: 2, Admin State: Enabled, Origin: Static Dot1q Tunneling Status: Enabled Customer VLAN ranges: 101–200 Protocol: Port Mode Number of interfaces: Tagged 1 (Active = 0), Untagged 1 (Active = 0) xe-0/0/1, tagged, trunk xe-0/0/2, untagged, access
Sens
La sortie confirme que le tunnling Q-in-Q est activé et que le VLAN est balisé, et répertorie les VLAN client associés au VLAN balisé.
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.