Q in Q 터널링 및 VLAN Q in Q 터널링 및 VLAN 변환 구성

Q-in-Q 터널링 작동 방식

Q-in-Q 터널링에서 패킷이 고객 VLAN(C-VLAN)에서 서비스 프로바이더의 VLAN까지 이동하므로 고객의 특정한 802.1Q 태그가 패킷에 추가됩니다. 이러한 추가적인 태그는 트래픽을 서비스 프로바이더가 지정한 서비스 VLAN(S-VLAN)으로 분리하는 데 사용됩니다. 패킷의 본래 고객 802.1Q 태그는 그대로 남아 있고 트명하게 전송되어 서비스 프로바이더의 네트워크를 통과합니다. 패킷이 다운스트림 방향으로 S-VLAN을 떠날 때 추가적인 802.1Q 태그가 제거됩니다.

주니퍼 네트웍스 EX 시리즈 이더넷 스위치에서 Q-in-Q 터널링을 사용할 경우, 트렁크 인터페이스는 서비스 프로바이더 네트워크의 일부인 것으로 가정되고, 액세스 인터페이스는 고객 대면 솔루션으로 가정됩니다. 이 경우 액세스 인터페이스는 태그 처리되거나 태그 처리되지 않은 프레임을 모두 수신할 수 있습니다.

인터페이스는 여러 S-VLAN의 구성 요소가 될 수 있습니다. 하나의 C-VLAN을 하나의 S-VLAN(1:1)으로 또는 여러 개의 C-VLAN을 하나의 S-VLAN(N:1)으로 매핑할 수 있습니다. 패킷은 C-VLAN의 분리 또는 묶음에 대한 추가 레이어를 위해 이중으로 태그 처리됩니다. C-VLAN과 S-VLAN 태그는 독특합니다. 예를 들어, C-VLAN 101과 S-VLAN 101을 모두 가질 수 있습니다. 허용된 고객 태그 세트를 다양한 태그 또는 이산 값으로 제한할 수 있습니다. 다운스트림 방향에서 C-VLAN의 CoS(Class of service) 값은 변경되지 않습니다. 선택적으로 수신 우선순위와 CoS 설정을 S-VLAN으로 복사할 수 있습니다. 비-ELS 스위치에서, 프라이빗 VLAN을 사용하여 사용자를 격리하여 인터페이스가 동일한 VLAN에 있더라도 사용자 인터페이스 간의 트래픽 전송을 방지하는 작업을 수행할 수 있습니다.

Q-in-Q 터널링을 사용할 경우, 트렁크 인터페이스는 서비스 프로바이더 또는 데이터센터 네트워크의 일부로 가정됩니다. 액세스 인터페이스는 고객이 직면하는 솔루션으로 가정되며 태그 처리된 프레임 및 태그 처리되지 않은 프레임을 모두 허용합니다. 다대일 묶음이나 특정 인터페이스 매핑 시, native 옵션을 사용하여 패킷을 허용하고 싶은 경우 태그 처리되지 않은 패킷과 우선순위 태그 처리된 패킷에 대해 S-VLAN을 지정해야 합니다. (우선순위 태그 지정된 패킷은 0으로 설정된 VLAN ID 세트를 가지며 우선순위 코드 포인트 비트는 CoS(class of service) 값으로 구성할 수 있습니다.)

이들에 대한 S-VLAN을 지정하지 않은 경우, 태그 처리되지 않은 패킷은 폐기됩니다. native 옵션은 올인원 묶음에 사용할 수 없습니다. 모든 패킷이 S-VLAN으로 매핑될 때 태그가 지정되지 않은 패킷과 우선순위 태그가 지정된 패킷을 지정할 필요가 없기 때문입니다.

다대일 묶음을 사용하고 C-VLAN를 S-VLAN으로 매핑하기 위해 특정한 인터페이스 접근법 매핑 시 native 옵션을 사용하여 태그 처리되지 않은 패킷 및 우선순위 태그 처리된 패킷을 위해 S-VLAN을 지정할 수 있습니다. (이는 ELS를 지원하는 스위치에는 적용되지 않습니다.) 그렇지 않을 경우 패킷은 폐기됩니다. native 옵션은 올인원 묶음에 사용할 수 없습니다. 모든 패킷이 S-VLAN으로 매핑될 때 태그가 지정되지 않은 패킷과 우선순위 태그가 지정된 패킷을 지정할 필요가 없기 때문입니다. C-VLAN을 S-VLAN으로 매핑하는 방법에 대한 정보는 이 문서의 C-VLAN을 S-VLAN으로 매핑 섹션을 참조하십시오.

QFabric 시스템의 경우에만, native 옵션을 사용하여 지정된 내부 태그를 액세스 인터페이스에서 태그 처리되지 않은 것으로 수신된 패킷에 적용할 수 있습니다. QFabric 시스템이 태그 처리되지 않은 트래픽을 전송하는 고객 가상 시스템을 호스팅하는 서버에 연결되고 QFabric 통해 전송되는 동안 개별 고객의 트래픽에 자체 VLAN이 필요한 경우 이러한 기능이 유용합니다. 각 고객을 위해 개별 VLAN을 사용(이는 VLAN 소모로 빠르게 이어질 수 있음)하는 대신, 내부(C-VLAN) 태그를 각 고객의 트래픽에 적용한 다음 단일 외부(S-VLAN) 태그를 적용하여 QFabric을 통해 전송할 수 있습니다. 이를 통해 하나의 QFabric VLAN만 소비하면서 고객의 트래픽을 분리할 수 있습니다. 이를 완수하기 위해 매핑 명령에 대한 inner-tag 옵션을 사용합니다.

비-ELS 스위치에서 방화벽 필터를 사용하면 정책에 기반하여 VLAN에 인터페이스를 매핑할 수 있습니다. 포트의 트패픽 하위 세트를 지정된 VLAN 대신 선택된 VLAN에 매핑하고자 할 경우 방화벽 필터를 사용하여 VLAN에 대한 인터페이스를 매핑하는 것이 유용합니다. VLAN에 대한 인터페이스를 매핑하기 위해 방화벽 필터를 구성하려면 방화벽 필터의 일부로 vlan옵션을 구성해야 하며 이 방화벽 필터를 사용하여 각 논리 인터페이스에 대한 인터페이스 구성에서 mapping policy옵션을 지정해야 합니다.

Q-in-Q 터널링은 C-VLAN에 구성된 모든 CoS(class of service) 값에 영향을 미치지 않습니다. C-VLAN 태그에서 이러한 설정은 그대로 유지되고 패킷이 S-VLAN을 떠난 후 사용할 수 있습니다. CoS(class of service) 값은 C-VLAN 태그에서 S-VLAN 태그로 복사되지 않습니다.

인터페이스 구성에 따라 트렁크 또는 액세스 포트에 대한 최대 전송 단위(MTU) 값을 조정하여 Q-in-Q 터널링에 의해 추가된 태그에 사용되는 4바이트를 수용할 필요가 있을 수 있습니다. 예를 들어, 액세스 및 트렁크 포트에 대한 1514바이트의 기본 최대 전송 단위(MTU) 값을 사용할 경우, 다음과 같은 조정 중 하나가 필요합니다.

• S-VLAN 태그가 추가된 경우 프레임이 트렁크 링크에 대한 최대 전송 단위(MTU)를 초과하지 않도록 적어도 4바이트까지 액세스 링크에 대한 MTU를 줄여야 합니다.

• 링크가 더 큰 프레임 크기를 다룰 수 있도록 트렁크 링크에 대한 최대 전송 단위(MTU)를 늘려야 합니다.

VLAN 변환 기능 작동 방식

VLAN 변환 기능은 추가 태그를 추가하는 대신 수신 C-VLAN 태그를 S-VLAN 태그로 대체합니다. 따라서 C-VLAN 태그가 손실되므로 (링크의 반대쪽 끝에서) S-VLAN을 떠날 때 단일 태그 처리된 패킷이 일반적으로 태그 해제됩니다. 수신 패킷에 이미 Q-in-Q 터널링이 적용되어 있는 경우, VLAN 변환 기능이 외부 태그를 대체하고 패킷이 링크의 반대쪽 끝에서 S-VLAN을 떠날 때 내부 태그가 그대로 유지됩니다. 이러한 태그에 대한 추가적인 VLAN 변환 구성이 존재하지 않는 한 태그가 C-VLAN 태그와 일치하지 않는 수신 패킷은 누락됩니다.

VLAN 변환 기능을 구성하려면 [edit vlans interface] 계층 수준에서 매핑 swap 명령문을 사용해야 합니다. C-VLAN 및 S-VLAN 태그가 고유하기만 하다면, 액세스 포트에서 둘 이상의 C-VLAN-S-VLAN 변환을 구성할 수 있습니다. 인터페이스에서 하나의 VLAN만 변환하고 있는 경우, S-VLAN 구성에서 dot1q-tunneling 명령문을 포함할 필요가 없습니다. 둘 이상의 VLAN를 변환하고 있는 경우, dot1q-tunneling 명령문을 사용해야 합니다.

이중 VLAN 태그 변환 사용

Junos OS 릴리스 14.1X53-D40부터 시작하여 이중 VLAN 태그 변환(이중 VLAN 태그 재작성이라고도 함) 기능을 사용하여 서비스 프로바이더 도메인에 스위치를 구축할 수 있습니다. 이를 통해 이중 태그 처리, 단일 태그 처리 및 태그 처리되지 않은 VLAN 패킷이 스위치로 들어가거나 나가도록 허용할 수 있습니다. 표 1에는 이중 VLAN 태그 변환 기능을 위해 추가된 작업이 제시되어 있습니다.

이중 VLAN 태그 변환 지원:

• 동일한 물리 인터페이스에 S-VLAN(NNI) 및 C-VLAN(UNI) 구성

• VSTP, OSPF, LACP와 같은 제어 프로토콜

• IGMP 스누핑

• 단일 태그 처리된 인터페이스에서 프라이빗 VLAN(PVLAN) 및 VLAN 구성

• 내부 및 외부 VLAN 태그 모두에 TPID 0x8100 사용

QFX 스위치에서 이중 VLAN 태그 변환 구성 설정을 참조하십시오.

태그 처리되지 않은 패킷 송수신

인터페이스를 사용하여 태그 처리되지 않은 패킷을 송수신하려면 물리 인터페이스에 대한 네이티브 VLAN을 지정해야 합니다. 인터페이스가 태그 처리되지 않은 패킷을 수신할 경우, 네이티브 VLAN의 VLAN ID를 C-VLAN 필드의 패킷에 추가하고 S-VLAN 태그(패킷이 이중 태그 처리됨)를 추가하고 새롭게 태그 처리된 패킷을 매핑 인터페이스에 보냅니다.

이전 단락은 다음에 적용되지 않습니다.

• 비-ELS 스위치.

• Junos OS 릴리스 19.3R1 이전 Junos 릴리스 상에서 실행되는 EX4300 스위치.

위 짧은 목록의 스위치가 태그 처리되지 않은 패킷을 수신하면 S-VLAN 태그를 패킷에 추가하고(따라서 패킷이 단일 태그 처리됨) 새롭게 태그 처리된 패킷을 매핑 인터페이스에 보냅니다.

Junos OS 릴리스 19.3R1부터는 EX4300 스위치를 구성하여 이중 태그 접근 방식을 사용할 수 있습니다. enable에 대한 input-native-vlan-push 구성 명령문을 설정하고 다음 예제에 제시되어 있는 바와 같이 input-vlan-map 구성 명령문이 push(으)로 설정되도록 보장합니다.

네이티브 VLAN을 지정하려면 [edit interfaces interface-name] 계층 수준에서 native-vlan-id명령문을 사용하십시오. 네이티브 VLAN ID는 C-VLAN 또는 S-VLAN ID와 일치하거나 논리 인터페이스에 지정된 VLAN ID 목록에 포함되어야 합니다.

예를 들어, C-VLAN 인터페이스에 대한 논리 인터페이스에서, 100-200의 C-VLAN ID 목록을 지정할 수 있습니다. 그런 다음, C-VLAN 물리 인터페이스에서, 150의 네이티브 VLAN ID를 지정할 수 있습니다. 150의 네이티브 VLAN가 100-200의 C-VLAN ID 목록에 포함되어 있기 때문에 이 구성이 효과적일 수 있습니다.

C-VLAN를 S-VLAN으로 매핑하는 모든 접근 방식을 사용할 때 네이티브 VLAN을 구성하는 것이 좋습니다. C-VLAN을 S-VLAN으로 매핑하는 방법에 대한 정보는 이 주제의 C-VLAN을 S-VLAN으로 매핑 섹션을 참조하십시오.

MAC 주소 학습 비활성

Q-in-Q 구축 과정에서 소스 및 대상 MAC 주소를 변경하지 않고 다운스트림 인터페이스의 고객 패킷을 전송합니다. 글로벌, 인터페이스 및 VLAN 수준에서 MAC 주소 학습을 비활성화할 수 있습니다.

• 전역적으로 학습을 비활성화하려면 스위치에 대한 MAC 주소 학습을 비활성화해야 합니다.

• 인터페이스를 위한 학습을 비활성화하려면 지정된 인터페이스가 멤버인 모든 VLAN에 대해 MAC 주소 학습을 비활성화해야 합니다.

• VLAN에 대한 학습을 비활성화하려면 지정된 VLAN에 대한 MAC 주소 학습을 비활성화해야 합니다.

인터페이스에서 MAC 주소 학습을 비활성화하면 해당 인터페이스가 하나의 구성 요소인 모든 VLAN에 대한 학습이 비활성화됩니다. VLAN에서 MAC 주소 학습을 비활성화할 때 이미 학습한 MAC 주소가 플러시됩니다.

인터페이스 또는 VLAN에서 MAC 주소 학습을 비활성화하면 동일한 VLAN 구성으로 802.1X 인증을 포함할 수 없습니다.

라우팅된 VLAN 인터페이스(RVI)가 MAC 주소 학습이 비활성화되어 있는 인터페이스 또는 VLAN과 관련이 있을 경우, 해당 VLAN 또는 해당 인터페이스에서 해결된 계층 3 경로는 계층 2 구성 요소로 해결되지 않습니다. 이로 인해 라우팅된 패킷은 VLAN과 관련된 모든 인터페이스를 플러딩합니다.

C-VLAN을 S-VLAN으로 매핑

C-VLAN을 S-VLAN으로 매핑하는 여러 가지 방법이 있습니다.

• 올인원 묶음 - 고객 VLAN을 지정하지 않고 edit vlans s-vlan-name dot1q-tunneling 명령문을 사용합니다. 모든 액세스 인터페이스에서 수신된 모든 패킷(태그 처리되지 않은 패킷 포함)은 S-VLAN으로 매핑됩니다.

• 다대일 묶음 - 어떠한 C-VLAN이 S-VLAN으로 매핑되는지 지정하기 위해 edit vlans s-vlan-name dot1q-tunneling customer-vlans 명령문을 사용합니다. C-VLAN의 하위 집합이 S-VLAN의 일부가 되기를 원할 때 이 방법을 사용합니다. 태그 처리되지 않거나 우선순위 태그 처리된 패킷을 S-VLAN으로 매핑하려면 customer-vlans 명령문과 함께 native 옵션을 사용합니다. (우선순위 태그 지정된 패킷은 0으로 설정된 VLAN ID 세트를 가지며 우선순위 코드 포인트 비트는 CoS(class of service) 값으로 구성할 수 있습니다.)

• 다대다 묶음 - 액세스 스위치에서 C-VLAN의 하위 집합이 여러 S-VLAN의 일부가 되기를 원할 때 다대다 묶음을 사용합니다.

• 특정 인터페이스 매핑 - 해당 S-VLAN을 위한 C-VLAN을 지정하려면 edit vlans s-vlan-name interface interface-name mapping 명령문을 사용해야 합니다. 이러한 구성은 올인원 및 다대일 묶음을 갖는 모든 액세스 인터페이스가 아닌 하나의 인터페이스에만 적용됩니다. 태그 처리되지 않거나 우선순위 태그 처리된 패킷을 S-VLAN으로 매핑하려면 customer-vlans 명령문과 함께 native 옵션을 사용합니다.

  이 방법은 다음과 같은 두 가지 옵션이 있습니다. 스왑 및 푸시. 푸시 옵션으로, 패킷이 자체 태그를 유지하고 추가 VLAN 태그가 추가됩니다. 스왑 옵션으로 수신 태그가 S-VLAN 태그로 대체됩니다. (이것이 VLAN 변환입니다.)

  • 해당 S-VLAN 및 인터페이스에 대한 여러 푸시 규칙을 구성할 수 있습니다. 즉, 여러 C-VLAN에서 도착하는 패킷에 동일한 S-VLAN 태그가 추가되도록 인터페이스를 구성할 수 있습니다.

  • 해당 S-VLAN 및 인터페이스에 대한 한 가지 스왑 규칙만 구성할 수 있습니다.

  이러한 기능은 일반적으로 다양한 고객의 트래픽을 분리된 상태로 유지하거나 특정 인터페이스에서 트래픽에 대한 개별화된 처리 기능을 제공하는 데 사용합니다.

여러 방법을 구성할 경우, 스위치는 특정 인터페이스에 대한 매핑, 그 다음 다대다 묶음, 마지막으로 올인원 묶음 순으로 우선순위를 부여합니다. 그러나 해당 접근 방식에 따라 동일한 C-VLAN에 대한 중첩 규칙을 가질 수 없습니다. 예를 들어, 다대일 묶음을 사용하여 C-VLAN 100을 2개의 서로 다른 S-VLAN을 매핑할 수 없습니다.

• 올인원 묶음
• 다대일 묶음
• 다대다 묶음
• 특정 인터페이스 매핑
• 결합 방법 및 구성 제한

Q-in-Q VLAN에 라우팅된 VLAN 인터페이스

라우팅 VLAN 인터페이스(RVI)는 Q-in-Q VLAN에서 지원됩니다.

Q-in-Q VLAN을 사용하는 RVI에 도착한 패킷은 패킷이 단일 또는 이중으로 태그 처리되어 있는지 여부에 관계없이 라우팅됩니다. 발신 라우팅 패킷은 트렁크 인터페이스를 빠져나올 때만 S-VLAN 태그를 포함합니다. 액세스 인터페이스를 빠져나올 때 패킷이 태그 처리되지 않은 인터페이스를 빠져나옵니다.

Q-in-Q 터널링 및 VLAN 변환에 대한 제약

Q-in-Q 터널링 및 VLAN 변환 구성 시 다음과 같은 제약을 인식하십시오.

• Q-in-Q 터널링은 두 개의 VLAN 태그만 지원합니다.

• Q-in-Q 터널링은 대부분의 액세스 보안 기능을 지원하지 않습니다. 방화벽 필터를 사용하여 이러한 보안 기능을 구성하지 않는 한 VLAN(고객)당 폴리싱 또는 VLAN(발신)당 쉐이핑 및 Q-in-Q 터널링을 사용한 제한이 없습니다.

• Q-in-Q 터널링을 위한 해당 인터페이스에 S-VLAN 또는 C-VLAN을 생성하면 릴리스 13.2X51-D20 이전의 Junos OS 릴리스 13.2X51 릴리스를 사용하여 인터페이스에서 정규 VLAN을 생성할 수 없습니다. 즉, 해당 인터페이스에서 통합된 라우팅 및 브리징(IRB) 인터페이스를 생성할 수 없습니다. 정규 VLAN이 IRB 구성의 필수 부분이기 때문입니다. Junos OS 릴리스 13.2X51-D25를 사용하여 S-VLAN을 갖는 트렁크 인터페이스에서 정규 VLAN을 생성할 수 있습니다. 즉, 트렁크에서 IRB 인터페이스를 생성할 수도 있습니다. 이 경우, 동일한 트렁크 인터페이스의 정규 VLAN 및 S-VLAN은 동일한 VLAN ID를 공유할 수 없습니다. Junos OS 릴리스 13.2X51-D25는 C-VLAN을 갖는 액세스 인터페이스에서 정규 VLAN을 생성하도록 허용하지 않습니다.

• Junos OS 릴리스 14.1X53-D40부터 시작하여, 통합 라우팅 및 브리징(IRB) 인터페이스는 Q-in-Q VLAN에서 지원됩니다. S-VLAN이 사용하는 것과 동일한 인터페이스에서 IRB 인터페이스를 구성할 수 있으며, IRB 인터페이스가 사용하는 VLAN과 S-VLAN으로 사용되는 VLAN 모두에 대해 동일한 VLAN ID를 사용할 수 있습니다.

  Q-in-Q VLAN을 사용하는 IRB 인터페이스에 유입된 패킷은 패킷이 단일 태그 처리 또는 이중 태그 처리 여부에 관계없이 라우팅됩니다. 발신 라우팅 패킷은 트렁크 인터페이스를 빠져나올 때만 S-VLAN 태그를 포함합니다. 액세스 인터페이스를 빠져나올 때 패킷이 태그 처리되지 않은 인터페이스를 빠져나옵니다.

  주:

  C-VLAN(UNI) 인터페이스가 아닌 S-VLAN(NNI) 인터페이스에서만 IRB 인터페이스를 구성할 수 있습니다.

• vlan-tags 명령문을 사용하여 Q-in-Q 인터페이스가 있는 QFX5K 스위치를 지원하는 기능은 레이어 2 인터페이스로 제한됩니다. Q-iQ vlan-tags 명령문으로 구성된 레이어 3 인터페이스는 예상대로 작동하지 않을 수 있습니다.

• 대부분의 액세스 포트 보안 기능은 Q-in-Q 터널링 및 VLAN 변환으로 지원되지 않습니다.

• 동일한 포트에서 Q-in-Q 터널링 및 VLAN 재작성/VLAN변환을 구성하는 기능은 지원되지 않습니다.

• 해당 VLAN과 인터페이스의 경우 최대 하나의 VLAN 재작성/VLAN 변환을 구성할 수 있습니다. 예를 들어, 인터페이스 xe-0/0/0에서 VLAN 100을 위해 단 한번의 변환 기능만 생성할 수 있습니다.

• Q-in-Q 터널링 및 VLAN 변환에 대한 VLAN과 규칙의 총 합계는 6000을 초과할 수 없습니다. 예를 들어, Q-in-Q 터널링 및 VLAN 변환을 위해 4000 VLAN 및 2000 규칙을 구성하고 커밋할 수 있습니다. 그러나 Q-in-Q 터널링 및 VLAN 변환을 위해 4000 VLAN 및 2500 규칙을 구성할 수 없습니다. 한도를 초과하는 구성을 커밋하려고 하면 CLI 및 syslog 오류가 표시되어 문제에 대해 알려줍니다.

• 네이티브 VLAN ID를 사용할 수 없습니다.

• MAC 주소는 C-VLAN이 아닌 S-VLAN에서 학습합니다.

• 브로드캐스트, 알 수 없는 유니캐스트 및 멀티캐스트 트래픽은 S-VLAN의 모든 구성 요소에 전달됩니다.

• 다음 기능은 Q-in-Q 터널링으로 지원되지 않습니다.

  • DHCP 릴레이

  • Fibre Channel over Ethernet

  • IP Source Guard

• 다음 기능은 VLAN 재작성/VLAN 변환으로 지원되지 않습니다.

  • Fibre Channel over Ethernet

  • 출력 방향으로 포트 또는 VLAN에 적용된 방화벽 필터

  • 프라이빗 VLAN

  • VLAN 스패닝 트리 프로토콜

  • 반사 계전기

목적

Q-in-Q를 생성한 후, 제대로 설정되었는지 확인합니다.

작업

1. show configuration vlans 명령을 사용하여 1차 및 2차 VLAN 구성이 성공적으로 생성되었는지 결정합니다.

2. show vlans 명령을 사용하여 VLAN 정보 및 링크 상태를 봅니다.

의미

출력은 Q-in-Q 터널링이 활성화되어 있고 VLAN이 태그가 되어 있음을 확인하고, 태그된 VLAN과 연계된 고객 VLAN을 나열합니다.