Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de la tunelización Q-in-Q y la tunelización Q-in-Q de VLAN y traducción de VLAN

Descripción de la tunelización Q-in-Q y la traducción de VLAN

La tunelización Q-in-Q y la traducción de VLAN permiten a los proveedores de servicios crear una conexión Ethernet de capa 2 entre dos sitios de cliente. Los proveedores pueden separar el tráfico de VLAN de diferentes clientes en un vínculo (por ejemplo, si los clientes usan identificadores de VLAN superpuestos) o agrupar VLAN de clientes diferentes en una VLAN de servicio único. Los centros de datos pueden usar la tunelización Q-in-Q y la traducción de VLAN para aislar el tráfico de clientes dentro de un solo sitio o para permitir los flujos de tráfico de clientes entre centros de datos en la nube en diferentes ubicaciones geográficas.

Mediante la tunelización Q-in-Q, los proveedores pueden separar o agrupar el tráfico de clientes en menos VLAN o en diferentes VLAN mediante la adición de otra capa de etiquetas 802.1Q. La tunelización Q-in-Q es útil cuando los clientes tienen ID de VLAN superpuestos, ya que las etiquetas VLAN 802.1Q (dot1Q) del cliente se anteponen a la etiqueta VLAN de servicio (S-VLAN). La implementación del sistema operativo Junos (Junos OS) de Juniper Networks de la tunelización Q-in-Q es compatible con el estándar IEEE 802.1ad.

En este tema se describe:

Cómo funciona la tunelización Q-in-Q

En la tunelización Q-in-Q, a medida que un paquete viaja de una VLAN de cliente (C-VLAN) a la VLAN de un proveedor de servicios, se agrega una etiqueta 802.1Q específica del cliente al paquete. Esta etiqueta adicional se utiliza para separar el tráfico en VLAN de servicio definidos por el proveedor de servicios (S-VLAN). La etiqueta 802.1Q original del cliente del paquete permanece y se transmite de manera transparente, pasando a través de la red del proveedor de servicios. A medida que el paquete sale de la S-VLAN en la dirección descendente, se elimina la etiqueta 802.1Q adicional.

Nota:

Todas las VLAN en una implementación pueden ser VLAN de servicio. Es decir, si la cantidad total de VLAN compatibles es de 4090, todas ellas pueden ser VLAN de servicio.

Cuando se habilita la tunelización Q-in-Q en los conmutadores Ethernet de la serie EX de Juniper Networks, se da por sentado que las interfaces troncales forman parte de la red del proveedor de servicios y que las interfaces de acceso son orientadas al cliente. En este caso, una interfaz de acceso puede recibir tramas etiquetadas y sin etiquetar.

Nota:

A partir de Junos OS 14.1X53-D30, puede configurar la misma interfaz para que sea una interfaz S-VLAN/NNI y una interfaz C-VLAN/UNI. Esto significa que la misma interfaz física puede transmitir tramas con etiqueta única y doble simultáneamente. Esto le permite la máxima flexibilidad en su topología de red y le permite maximizar el uso de sus interfaces.

Una interfaz puede ser miembro de varias S-VLAN. Puede asignar una C-VLAN a una S-VLAN (1:1) o varias C-VLAN a una S-VLAN (N:1). Los paquetes tienen doble etiqueta para obtener una capa adicional de segregación o agrupación de C-VLAN. Las etiquetas C-VLAN y S-VLAN son únicas; para que pueda tener una C-VLAN 101 y una S-VLAN 101, por ejemplo. Puede limitar el conjunto de etiquetas de cliente aceptadas a un rango de etiquetas o a valores discretos. Los valores de clase de servicio (CoS) de las C-VLAN no cambian en la dirección descendente. Opcionalmente, puede copiar la prioridad de entrada y la configuración de CoS en la S-VLAN. En conmutadores que no sean ELS, puede usar VLAN privadas para aislar a los usuarios y evitar el reenvío del tráfico entre interfaces de usuario, incluso si las interfaces se encuentran en la misma VLAN.

Cuando se habilita la tunelización Q-in-Q, se da por sentado que las interfaces troncales forman parte del proveedor de servicios o de la red del centro de datos. Se da por sentado que las interfaces de acceso son orientadas al cliente y aceptan tramas etiquetadas y sin etiquetar. Cuando utilice la agrupación o asignación varios a uno en una interfaz específica, debe utilizar la native opción para especificar una S-VLAN para paquetes etiquetados con prioridad y sin etiquetar si desea aceptar estos paquetes. (Los paquetes etiquetados con prioridad tienen su ID de VLAN establecido en 0 y sus bits de punto de código de prioridad pueden configurarse con un valor CoS).

Nota:

No se admiten paquetes etiquetados con prioridad con tunelización Q-in-Q en conmutadores QFX5100 y EX4600.

Si no especifica una S-VLAN para ellos, los paquetes sin etiqueta se descartan. La native opción no está disponible para la agrupación todo en uno, ya que no es necesario especificar paquetes etiquetados con prioridad y sin etiquetar cuando todos los paquetes se asignan a una S-VLAN.

Puede usar la native opción para especificar una S-VLAN para paquetes etiquetados con prioridad y sin etiquetar cuando utilice una agrupación varios a uno y asignación de una interfaz específica que se acerque a asignar C-VLAN a S-VLAN. (Esto no se aplica a los conmutadores que admiten ELS.) De lo contrario, los paquetes se descartan. La native opción no está disponible para la agrupación todo en uno, ya que no es necesario especificar paquetes etiquetados con prioridad y sin etiquetar cuando todos los paquetes se asignan a la S-VLAN. Consulte la sección Asignación de C-VLAN a S-VLAN de este documento para obtener información sobre los métodos de asignación de C-VLAN a S-VLAN.

Solo en sistemas QFabric, puede usar la native opción para aplicar una etiqueta interna especificada a los paquetes que ingresarán como sin etiquetar en interfaces de acceso. Esta funcionalidad es útil si su sistema QFabric se conecta a servidores que alojan máquinas virtuales de clientes que envían tráfico sin etiquetar y el tráfico de cada cliente requiere su propia VLAN mientras se transporta a través de QFabric. En lugar de usar VLAN individuales para cada cliente (lo que puede llevar rápidamente al agotamiento de VLAN), puede aplicar una etiqueta interna única (C-VLAN) al tráfico de cada cliente y, luego, aplicar una etiqueta externa única (S-VLAN) para el transporte a través de QFabric. Esto le permite separar el tráfico de sus clientes mientras consume solo una VLAN QFabric. Utilice la inner-tag opción de la instrucción de asignación para lograrlo.

En conmutadores que no son ELS, los filtros de firewall le permiten asignar una interfaz a una VLAN según una política. El uso de filtros de firewall para asignar una interfaz a una VLAN es útil cuando desea que un subconjunto de tráfico de un puerto se asigne a una VLAN seleccionada en lugar de la VLAN designada. Para configurar un filtro de firewall para asignar una interfaz a una VLAN, la vlan opción debe configurarse como parte del filtro de firewall y la mapping policy opción debe especificarse en la configuración de interfaz para cada interfaz lógica mediante el filtro.

Nota:

En un conmutador EX4300, puede configurar varias interfaces lógicas en el mismo puerto Ethernet, pero cada interfaz lógica solo admite paquetes con etiqueta única y esa etiqueta debe incluir un ID de VLAN distinto al que admiten las otras interfaces lógicas. Dada esta situación, no puede habilitar la tunelización Q-in-Q en puertos Ethernet con varias subinterfaces lógicas.

La tunelización Q-in-Q no afecta a ningún valor de clase de servicio (CoS) configurado en una C-VLAN. Esta configuración se conserva en la etiqueta C-VLAN y se puede usar después de que un paquete abandone una S-VLAN. Los valores de CoS no se copian de las etiquetas C-VLAN a las etiquetas S-VLAN.

Según la configuración de la interfaz, es posible que deba ajustar el valor de la MTU en los puertos de troncalización o acceso para acomodar los 4 bytes utilizados para la etiqueta agregada por la tunelización Q-in-Q. Por ejemplo, si utiliza el valor predeterminado de MTU de 1514 bytes en sus puertos de acceso y troncalización, debe realizar uno de los siguientes ajustes:

  • Reduzca la MTU en los vínculos de acceso en al menos 4 bytes para que las tramas no superen la MTU del vínculo de troncalización cuando se agregan etiquetas S-VLAN.

  • Aumente la MTU en el vínculo de troncalización para que el vínculo pueda manejar el tamaño de trama más grande.

Nota:

Puede configurar la tunelización Q-in-Q solo en puertos de acceso (no en puertos de troncalización).

Cómo funciona la traducción de VLAN

La traducción de VLAN reemplaza una etiqueta C-VLAN entrante con una etiqueta S-VLAN en lugar de agregar una etiqueta adicional. Por lo tanto, la etiqueta C-VLAN se pierde, por lo que un paquete con etiqueta única normalmente queda sin etiqueta cuando sale de la S-VLAN (al otro extremo del vínculo). Si a un paquete entrante se le ha aplicado la tunelización Q-in-Q de antemano, la traducción de VLAN sustituye a la etiqueta externa y la etiqueta interna se conserva cuando el paquete abandona la S-VLAN en el otro extremo del vínculo. Los paquetes entrantes cuyas etiquetas no coincidan con la etiqueta C-VLAN se pierden, a menos que exista una configuración de traducción de VLAN adicional para esas etiquetas.

Para configurar la traducción de VLAN, utilice la instrucción de asignación swap en el [edit vlans interface] nivel de jerarquía. Siempre que las etiquetas C-VLAN y S-VLAN sean únicas, puede configurar más de una traducción de C-VLAN a S-VLAN en un puerto de acceso. Si está traduciendo solo una VLAN en una interfaz, no es necesario incluir la dot1q-tunneling instrucción en la configuración de S-VLAN. Si está traduciendo más de una VLAN, debe usar la dot1q-tunneling instrucción.

Nota:

Puede configurar la traducción de VLAN solo en puertos de acceso. No puede configurarlo en puertos de troncalización y no puede configurar la tunelización Q-in-Q en el mismo puerto de acceso. Solo puede configurar una traducción de VLAN para una VLAN e interfaz dadas. Por ejemplo, puede crear no más de una traducción para VLAN 100 en la interfaz xe-0/0/0.

Nota:

La traducción de VLAN no se admite en sistemas QFabric.

Uso de la traducción de etiquetas de VLAN dual

A partir de Junos OS versión 14.1X53-D40, puede usar la función de traducción de etiqueta VLAN dual (también conocida como reescritura de etiqueta VLAN dual) para implementar conmutadores en dominios de proveedor de servicios, lo que permite que los paquetes VLAN con etiqueta doble, con etiqueta única y sin etiqueta entrar en el conmutador o salir de él. Tabla 1 muestra las operaciones que se agregan para la traducción de etiquetas de VLAN dual.

Tabla 1: Operaciones agregadas con reescritura de etiquetas VLAN dual

Operación

Función

intercambio-inserción

Cambiar una etiqueta VLAN e insertar una nueva etiqueta VLAN

intercambio de elementos emergentes

Extrae una etiqueta VLAN externa e intercambia una etiqueta VLAN interna

intercambio-intercambio

Intercambiar etiquetas VLAN externas e internas

La traducción de etiquetas de VLAN dual admite:

  • Configuración de S-VLAN (NNI) y C-VLAN (UNI) en la misma interfaz física

  • Protocolos de control como VSTP, OSPF y LACP

  • 5000 IGMP

  • Configuración de una VLAN privada (PVLAN) y VLAN en una interfaz con etiqueta única

  • Uso de 0x8100 TPID en etiquetas VLAN internas y externas

Consulte Configuración de traducción de etiquetas de VLAN dual en conmutadores QFX.

Envío y recepción de paquetes sin etiquetar

Para permitir que una interfaz envíe y reciba paquetes sin etiquetar, debe especificar una VLAN nativa para una interfaz física. Cuando la interfaz recibe un paquete sin etiquetar, agrega el ID de VLAN de la VLAN nativa al paquete en el campo C-VLAN, también agrega la etiqueta S-VLAN (de modo que el paquete tiene doble etiqueta) y envía el paquete recién etiquetado a la interfaz asignada.

El párrafo anterior no se aplica a:

  • Conmutadores que no son ELS.

  • Conmutadores EX4300 que se ejecutan bajo una versión de Junos anterior a Junos OS versión 19.3R1.

Cuando los conmutadores de la breve lista anterior reciben un paquete sin etiquetar, agregan la etiqueta S-VLAN al paquete (por lo que el paquete tiene una sola etiqueta) y envían el paquete recién etiquetado a la interfaz asignada.

Nota:

Asegúrese de que todos los conmutadores configurados en su configuración Q-in-Q funcionen con el enfoque de etiqueta única o de etiqueta doble. La configuración no funcionará si los conmutadores no tienen el mismo enfoque.

A partir de Junos OS versión 19.3R1, puede configurar conmutadores EX4300 para usar el enfoque de etiqueta doble. Establezca la instrucción de configuración input-native-vlan-push en enable y asegúrese de que la instrucción de configuración input-vlan-map se establece pushen , como se muestra en el siguiente ejemplo:

Nota:

En los conmutadores que admiten esta función, excepto para el conmutador EX4300, la instrucción input-native-vlan-push se establece en enable de forma predeterminada. (La input-native-vlan-push instrucción se establece en disable de forma predeterminada en el conmutador EX4300.) Sin embargo, recomendamos que compruebe la configuración para asegurarse de que input-vlan-map está establecido en push— la función no funciona si esa configuración no está implementada.

Para especificar una VLAN nativa, utilice la native-vlan-id instrucción en el [edit interfaces interface-name] nivel de jerarquía. El ID de VLAN nativo debe coincidir con el ID de C-VLAN o S-VLAN o debe incluirse en la lista de ID de VLAN especificada en la interfaz lógica.

Por ejemplo, en una interfaz lógica para una interfaz C-VLAN, puede especificar una lista de ID de C-VLAN de 100-200. Luego, en la interfaz física de C-VLAN, puede especificar un ID de VLAN nativo de 150. Esta configuración funcionaría porque la VLAN nativa de 150 se incluye en la lista de ID de C-VLAN de 100-200.

Recomendamos configurar una VLAN nativa cuando utilice cualquiera de los enfoques para asignar C-VLAN a S-VLAN. Consulte la sección Asignación de C-VLAN a S-VLAN de este tema para obtener información acerca de los métodos de asignación de C-VLAN a S-VLAN.

Deshabilitar aprendizaje de direcciones MAC

En una implementación Q-in-Q, los paquetes de clientes desde interfaces descendentes se transportan sin ningún cambio a las direcciones MAC de origen y destino. Puede deshabilitar el aprendizaje de direcciones MAC a nivel global, de interfaz y de VLAN:

  • Para deshabilitar el aprendizaje globalmente, desactive el aprendizaje de dirección MAC para el conmutador.

  • Para deshabilitar el aprendizaje para una interfaz, desactive el aprendizaje de direcciones MAC para todas las VLAN de las cuales la interfaz especificada es miembro.

  • Para deshabilitar el aprendizaje para una VLAN, desactive el aprendizaje de dirección MAC para una VLAN especificada.

Deshabilitar el aprendizaje de dirección MAC en una interfaz deshabilita el aprendizaje para todas las VLAN de las que esa interfaz es miembro. Cuando deshabilita el aprendizaje de direcciones MAC en una VLAN, las direcciones MAC que ya se han aprendido se limpian.

Si deshabilita el aprendizaje de dirección MAC en una interfaz o VLAN, no puede incluir la autenticación 802.1X en esa misma configuración de VLAN.

Cuando una interfaz de VLAN enrutada (RVI) se asocia con una interfaz o una VLAN en la que el aprendizaje de dirección MAC está deshabilitado, las rutas de capa 3 resueltas en esa VLAN o esa interfaz no se resuelven con el componente de capa 2. Esto da como resultado paquetes enrutados que inundan todas las interfaces asociadas con la VLAN.

Asignación de C-VLAN a S-VLAN

Hay varias maneras de asignar C-VLAN a una S-VLAN:

Nota:

Si configura varios métodos de asignación, el conmutador da prioridad a la asignación de una interfaz específica, luego a la agrupación varios a muchos y, por último, a la agrupación todo en uno. Sin embargo, para un método de asignación determinado, no se admite la configuración de reglas superpuestas para la misma C-VLAN.

  • Agrupación todo en uno: utilice la instrucción sin especificar las edit vlans s-vlan-name dot1q-tunneling VLAN del cliente. Todos los paquetes recibidos en todas las interfaces de acceso (incluidos los paquetes sin etiquetar) se asignan a la S-VLAN.

  • Agrupación varios a uno: utilice la edit vlans s-vlan-name dot1q-tunneling customer-vlans instrucción para especificar qué C-VLAN se asignan a la S-VLAN. Utilice este método cuando desee que un subconjunto de las C-VLAN forme parte de la S-VLAN. Si desea que los paquetes etiquetados con prioridad o sin etiqueta se asignen a la S-VLAN, utilice la native opción con la customer-vlans instrucción. (Los paquetes etiquetados con prioridad tienen su ID de VLAN establecido en 0 y sus bits de punto de código de prioridad pueden configurarse con un valor CoS).

  • Agrupación múltiple: utilice la agrupación muchas con muchas cuando desee que un subconjunto de las C-VLAN en el conmutador de acceso forme parte de varias S-VLAN.

  • Asignación de una interfaz específica: utilice la edit vlans s-vlan-name interface interface-name mapping instrucción para especificar una C-VLAN para una S-VLAN determinada. Esta configuración se aplica a una sola interfaz, no a todas las interfaces de acceso, como ocurre con la agrupación "todo en uno" y "varios a uno". Si desea que los paquetes etiquetados con prioridad o sin etiqueta se asignen a la S-VLAN, utilice la native opción con la customer-vlans instrucción.

    Este método tiene dos opciones: intercambio e inserción. Con la opción push, un paquete conserva su etiqueta y se agrega una etiqueta VLAN adicional. Con la opción de intercambio, la etiqueta entrante se sustituye por una etiqueta S-VLAN. (Se trata de traducción de VLAN.)

    • Puede configurar varias reglas de inserción para una S-VLAN e interfaz dadas. Es decir, puede configurar una interfaz de modo que se agregue la misma etiqueta S-VLAN a los paquetes que llegan de varias C-VLAN.

    • Solo puede configurar una regla de intercambio para una S-VLAN e interfaz dadas.

    Esta funcionalidad se utiliza normalmente para mantener separado el tráfico de diferentes clientes o para proporcionar un tratamiento individual al tráfico en una interfaz determinada.

Si configura varios métodos, el conmutador da prioridad a la asignación de una interfaz específica, luego a la agrupación varios a uno y, por último, a la agrupación todo en uno. Sin embargo, no puede tener reglas superpuestas para la misma C-VLAN bajo un enfoque dado. Por ejemplo, no puede usar la agrupación varios a uno para asignar C-VLAN 100 a dos S-VLAN diferentes.

Agrupación todo en uno

La agrupación todo en uno asigna todos los paquetes de todas las interfaces de C-VLAN a una S-VLAN.

La interfaz de C-VLAN acepta paquetes sin etiquetar y con una sola etiqueta. A continuación, se agrega una etiqueta S-VLAN 802.1Q a estos paquetes y los paquetes se envían a la interfaz S-VLAN, que acepta paquetes sin etiquetar, con una sola etiqueta y con doble etiqueta.

Nota:

Las interfaces de C-VLAN y S-VLAN aceptan paquetes sin etiquetar, siempre que la native-vlan-id instrucción esté configurada en estas interfaces.

Agrupación varios a uno

La agrupación varios a uno se utiliza para especificar qué C-VLAN se asignan a una S-VLAN. La agrupación varios a uno se configura con la customer-vlans opción.

La agrupación varios a uno se utiliza cuando desea que un subconjunto de las C-VLAN en el conmutador de acceso forme parte de la S-VLAN. Cuando se utiliza la agrupación varios a uno, los paquetes etiquetados con prioridad y sin etiqueta se pueden asignar a la S-VLAN cuando se especifica la native opción junto con la customer-vlans opción.

Agrupación general

La agrupación multi-to-many se utiliza para especificar qué C-VLAN se asignan a qué S-VLAN.

Utilice la agrupación múltiple cuando desee que un subconjunto de las C-VLAN del conmutador de acceso forme parte de varias S-VLAN. Con una agrupación general, las interfaces de C-VLAN aceptan paquetes sin etiquetar y con etiquetas únicas. A continuación, se agrega una etiqueta S-VLAN 802.1Q a estos paquetes y los paquetes se envían a las interfaces de S-VLAN, las cuales aceptan paquetes sin etiquetar, con una sola etiqueta y con doble etiqueta.

Nota:

Las interfaces de C-VLAN y S-VLAN aceptan paquetes sin etiquetar, siempre que la native-vlan-id instrucción esté configurada en estas interfaces.

Asignación de una interfaz específica

Use una asignación de interfaz específica cuando desee asignar una S-VLAN a una C-VLAN específica en una interfaz. La configuración solo se aplica a la interfaz específica, no a todas las interfaces de acceso.

La asignación de interfaz específica tiene dos subopciones: push y swap. Cuando se inserta tráfico asignado a una interfaz específica, el paquete conserva su etiqueta original a medida que se mueve de la C-VLAN a la S-VLAN y se agrega una etiqueta S-VLAN adicional al paquete. Cuando se intercambia el tráfico asignado a una interfaz específica, la etiqueta entrante se sustituye por una nueva etiqueta VLAN. Esto a veces se conoce como reescritura de VLAN o traducción de VLAN.

Por lo general, este método se utiliza para mantener separados los datos de diferentes clientes o para proporcionar un tratamiento individual de los paquetes en una interfaz determinada. También puede usar este método para asignar tráfico de VLAN de diferentes clientes a una sola S-VLAN.

Cuando se utiliza una asignación de interfaz específica, las interfaces de C-VLAN aceptan paquetes sin etiquetar y con etiqueta única, mientras que las interfaces de S-VLAN aceptan paquetes sin etiquetar, con una sola etiqueta y con doble etiqueta.

Nota:

Las interfaces de C-VLAN y S-VLAN aceptan paquetes sin etiquetar, siempre que la native-vlan-id instrucción esté configurada en estas interfaces.

Combinación de métodos y restricciones de configuración

Si configura varios métodos, el conmutador da prioridad a la asignación de una interfaz específica, luego a la agrupación varios a uno y, por último, a la agrupación todo en uno. Una interfaz de acceso configurada en un paquete todo en uno no puede formar parte de un paquete varios a uno. Sin embargo, puede tener asignaciones adicionales definidas.

Para garantizar resultados deterministas, se aplican las siguientes restricciones de configuración:

  • La asignación no se puede definir para vlan sin etiquetar.

  • Una interfaz de acceso puede tener varios rangos de VLAN de cliente, pero una interfaz no puede tener etiquetas superpuestas en las VLAN.

    Por ejemplo, no se permite la siguiente configuración:

    Dado que la customer-2 configuración crea rangos superpuestos customer-vlan para ge-0/0/0, no es válido.

  • Una interfaz de acceso puede tener una sola regla que asigne un paquete sin etiquetar a una VLAN.

  • Cada interfaz puede tener como máximo una regla de intercambio de asignación por VLAN.

  • Solo puede insertar una etiqueta VLAN en los puertos de acceso de una VLAN Q-in-Q. Esta restricción se aplica a los tres métodos de inserción de una etiqueta VLAN: es decir, agrupación todo en uno, agrupación varios a uno y asignación de una interfaz específica mediante inserción.

  • Puede insertar diferentes etiquetas C-VLAN para una S-VLAN dada en diferentes interfaces. Esto podría dar como resultado una fuga de tráfico a través de VLAN, dependiendo de su configuración.

Interfaces VLAN enrutadas en VLAN Q-in-Q

Las interfaces VLAN enrutadas (RVI) se admiten en VLAN Q-in-Q.

Los paquetes que lleguen a una RVI que use VLAN Q-in-Q se enrutarán independientemente de si el paquete tiene una o doble etiqueta. Los paquetes enrutados salientes contienen una etiqueta S-VLAN solo cuando salen de una interfaz troncal; los paquetes salen de la interfaz sin etiquetar al salir de una interfaz de acceso.

Restricciones para la tunelización Q-in-Q y la traducción de VLAN

Tenga en cuenta las siguientes restricciones al configurar la tunelización Q-in-Q y la traducción de VLAN:

  • La tunelización Q-in-Q solo admite dos etiquetas VLAN.

  • La tunelización Q-in-Q no admite la mayoría de las funciones de seguridad del puerto de acceso. No hay políticas por VLAN (cliente) ni formas y limitaciones por VLAN (de salida) con tunelización Q-in-Q, a menos que configure estas características de seguridad mediante filtros de firewall.

  • Con las versiones de Junos OS versión 13.2X51 anterior a la versión 13.2X51-D20, no puede crear una VLAN normal en una interfaz si creó una S-VLAN o C-VLAN en esa interfaz para la tunelización Q-in-Q. Esto significa que no puede crear una interfaz de enrutamiento y puentes integrados (IRB) en esa interfaz, ya que las VLAN regulares son una parte necesaria de la configuración de IRB. Con Junos OS versión 13.2X51-D25, puede crear una VLAN regular en una interfaz troncal que tenga una S-VLAN, lo que significa que también puede crear una interfaz IRB en la troncalización. En este caso, la VLAN y S-VLAN normales en la misma interfaz de troncalización no pueden compartir el mismo ID de VLAN. Junos OS versión 13.2X51-D25 no permite crear una VLAN regular en una interfaz de acceso que tenga una C-VLAN.

  • A partir de Junos OS versión 14.1X53-D40, se admiten interfaces de enrutamiento y puente integrados (IRB) en VLAN Q-in-Q: puede configurar la interfaz IRB en la misma interfaz que la utilizada por una S-VLAN, y puede usar el mismo ID de VLAN tanto para la VLAN usada por la interfaz IRB como para la VLAN utilizada como S-VLAN.

    Los paquetes que llegan a una interfaz IRB que usa VLAN Q-in-Q se enrutarán independientemente de si el paquete tiene una etiqueta o una etiqueta doble. Los paquetes enrutados salientes contienen una etiqueta S-VLAN solo cuando salen de una interfaz troncal; los paquetes salen de la interfaz sin etiquetar al salir de una interfaz de acceso.

    Nota:

    Puede configurar la interfaz IRB solo en interfaces S-VLAN (NNI), no en interfaces C-VLAN (UNI).

  • La compatibilidad con conmutadores QFX5K con interfaces Q-in-Q que utilizan la vlan-tags instrucción está limitada a interfaces de capa 2. Es posible que las interfaces de capa 3 configuradas con instrucciones Q-iQ vlan-tags no funcionen como se esperaba.

  • La mayoría de las funciones de seguridad del puerto de acceso no son compatibles con la tunelización Q-in-Q y la traducción de VLAN.

  • No se admite la configuración de la tunelización Q-in-Q y la reescritura/traducción de VLAN en el mismo puerto.

  • Puede configurar como máximo una reescritura/traducción de VLAN para una VLAN e interfaz dadas. Por ejemplo, puede crear no más de una traducción para VLAN 100 en la interfaz xe-0/0/0.

  • El total combinado de VLAN y reglas para la tunelización Q-in-Q y la traducción de VLAN no puede superar los 6000. Por ejemplo, puede configurar y confirmar 4000 VLAN y 2000 reglas para la tunelización Q-in-Q y la traducción de VLAN. Sin embargo, no puede configurar 4000 VLAN y 2500 reglas para la tunelización Q-in-Q y la traducción de VLAN. Si intenta confirmar una configuración que supere el límite, verá errores de CLI y syslog que le informan sobre el problema.

  • No puede usar el ID de VLAN nativo.

  • Las direcciones MAC se aprenden de las S-VLAN, no de las C-VLAN.

  • El tráfico de difusión, unidifusión desconocida y multidifusión se reenvía a todos los miembros de la S-VLAN.

  • No se admiten las siguientes funciones con la tunelización Q-in-Q:

    • Relé DHCP

    • canal de fibra sobre Ethernet

    • Guardia de fuente IP

  • No se admiten las siguientes funciones con la reescritura/traducción de VLAN:

    • canal de fibra sobre Ethernet

    • Filtro de firewall aplicado a un puerto o VLAN en la dirección de salida

    • VLAN privadas

    • Protocolo de árbol de expansión de VLAN

    • Relé reflectante

Configuración de tunelización Q-in-Q en conmutadores de la serie QFX

La tunelización Q-in-Q y la traducción de VLAN permiten a los proveedores de servicios crear una conexión Ethernet de capa 2 entre dos sitios de cliente. Los proveedores pueden separar el tráfico de VLAN de diferentes clientes en un vínculo (por ejemplo, si los clientes usan identificadores de VLAN superpuestos) o agrupar VLAN de clientes diferentes en una VLAN de servicio único. Los centros de datos pueden usar la tunelización Q-in-Q para aislar el tráfico de clientes dentro de un solo sitio o cuando el tráfico de clientes fluye entre centros de datos en la nube en diferentes ubicaciones geográficas.

A partir de Junos OS versión 19.4R1, la línea de conmutadores QFX10000 admite las etiquetas Q-in-Q como carga (también conocida como etiqueta de paso a través) junto con las dos etiquetas existentes (para operaciones y coincidencias de VLAN). Los conmutadores QFX10000 admiten varias etiquetas Q-in-Q para los casos de puentes de capa 2 y EVPN-VXLAN. Las interfaces de acceso de capa 2 aceptan paquetes con tres o cuatro etiquetas (todas las etiquetas con el valor TPID 0x8100). Todas las etiquetas más allá de la cuarta etiqueta (es decir, a partir de la quinta etiqueta) se consideran parte de la carga de capa 3 y se reenvían de forma transparente.

Nota:

En uno o dos paquetes etiquetados, las etiquetas 1 y 2 pueden transportar cualquier valor TPID, como 0x8100, 0x88a8, 0x9100 y 0x9200.

Antes de comenzar a configurar la tunelización Q-in-Q, asegúrese de haber creado y configurado las VLAN de cliente necesarias en los conmutadores vecinos. Consulte Configuración de VLAN en conmutadores.

Para configurar la tunelización Q-in-Q:

  1. Cree la VLAN de servicio (S-VLAN) y configure un ID para ello:
  2. Habilite la tunelización Q-in-Q en la S-VLAN:
  3. Establezca las VLAN de cliente (C-VLAN) permitidas en la S-VLAN (opcional). Aquí, las C-VLAN se identifican por un rango:
  4. Configure un valor global para el identificador de protocolo de etiqueta (EtherType) de las etiquetas VLAN de servicio (opcional):

Según la configuración de la interfaz, es posible que deba ajustar el valor de la MTU en los puertos de troncalización o acceso para acomodar los 4 bytes utilizados para la etiqueta agregada por la tunelización Q-in-Q. Por ejemplo, si utiliza el valor predeterminado de MTU de 1514 bytes en sus puertos de acceso y troncalización, debe realizar uno de los siguientes ajustes:

  • Reduzca la MTU en los vínculos de acceso en al menos 4 bytes para que las tramas no superen la MTU del vínculo de troncalización cuando se agregan etiquetas S-VLAN.

  • Aumente la MTU en el vínculo de troncalización para que el vínculo pueda manejar el tamaño de trama más grande.

Configuración de la tunelización Q-in-Q en conmutadores de la serie EX con soporte ELS

Nota:

Esta tarea usa Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte Configuración de la tunelización Q-in-Q en conmutadores de la serie EX. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

La tunelización Q-in-Q permite a los proveedores de servicios de redes de acceso Ethernet segregar o agrupar el tráfico de clientes en diferentes VLAN mediante la adición de otra capa de etiquetas 802.1Q. Puede configurar la tunelización Q-in-Q en conmutadores de la serie EX.

Nota:

No puede configurar la autenticación de usuario 802.1X en interfaces habilitadas para la tunelización Q-in-Q.

Cuando la tunelización Q-in-Q se configura en conmutadores de la serie EX, se da por sentado que las interfaces de troncalización forman parte de la red del proveedor de servicios y que las interfaces de acceso forman parte de la red del cliente. Por lo tanto, en este tema también se hace referencia a las interfaces de troncalización como interfaces de VLAN (S-VLAN) del proveedor de servicios (interfaces de red a red [NNI]), y a las interfaces de acceso como interfaces VLAN de cliente (C-VLAN) (interfaces de usuario-red [UNI]).

Antes de comenzar a configurar la tunelización Q-in-Q, asegúrese de configurar sus VLAN. Consulte Configuración de VLAN para conmutadores de la serie EX con soporte ELS (procedimiento de CLI) o Configuración de VLAN para conmutadores de la serie EX (procedimiento de J-Web).

Configure la tunelización Q-in-Q mediante uno de los métodos siguientes para asignar C-VLAN a S-VLAN:

Configuración de la agrupación todo en uno

Puede configurar la tunelización Q-in-Q mediante el método de agrupación todo en uno, que asigna paquetes de todas las interfaces de C-VLAN en un conmutador a una S-VLAN.

Para configurar el método de agrupación todo en uno en una interfaz de C-VLAN:

  1. Habilite la transmisión de paquetes sin etiqueta VLAN 802.1Q o sin una sola:
  2. Habilite la encapsulación de puente VLAN extendida:
  3. Asigne paquetes de todas las C-VLAN a una interfaz lógica:
    Nota:

    Puede aplicar no más de ocho listas de identificadores de VLAN a una interfaz física.

  4. Habilite una interfaz de C-VLAN para enviar y recibir paquetes sin etiquetar:

    Cuando se especifica un ID de VLAN nativo en una interfaz física de C-VLAN, el valor debe incluirse en la lista de ID de VLAN especificada en la interfaz lógica de C-VLAN en el paso 3.

  5. Especifique que los paquetes que viajan desde una interfaz C-VLAN a una interfaz de S-VLAN se etiquetan con el ID de VLAN de la S-VLAN:
  6. Especifique que la etiqueta S-VLAN 802.1Q se elimina a medida que los paquetes salen de una interfaz de S-VLAN.
  7. Configure un nombre para la S-VLAN y asocie la interfaz lógica configurada en el paso 3 con la S-VLAN:

La siguiente configuración en la interfaz de C-VLAN ge-0/0/1 permite la tunelización Q-in-Q y asigna paquetes de C-VLAN 100 a 200 a la interfaz lógica 10, que a su vez está asociada con S-VLAN v10. En esta configuración de ejemplo, un paquete originado en C-VLAN 100 incluye una etiqueta con el ID de VLAN 100. Cuando este paquete viaja desde la interfaz ge-0/0/1 a la interfaz S-VLAN, se agrega una etiqueta con ID de VLAN 10. A medida que el paquete sale de la interfaz S-VLAN, se elimina la etiqueta con el ID de VLAN 10.

Para configurar el método de agrupación todo en uno en una interfaz de S-VLAN:

  1. Habilite la transmisión de paquetes con ninguna, una o dos etiquetas VLAN 802.1Q:

  2. Habilite la encapsulación de puente VLAN extendida:

  3. Asigne paquetes desde la interfaz lógica especificada en la configuración de interfaz de C-VLAN a la S-VLAN:

  4. Habilite la interfaz de S-VLAN para enviar y recibir paquetes sin etiquetar:

    Cuando se especifica un ID de VLAN nativo en una interfaz física de S-VLAN, el valor debe coincidir con el ID de VLAN especificado en la interfaz lógica de S-VLAN en el paso 3.

  5. Asocie la interfaz de S-VLAN con la S-VLAN que se configuró en el procedimiento de interfaz de C-VLAN:

Por ejemplo, la siguiente configuración en la interfaz de S-VLAN ge-1/1/1 permite la tunelización Q-in-Q y asigna paquetes con una etiqueta de ID de VLAN de 10 a la interfaz lógica 10, que a su vez está asociada con S-VLAN v10. .

Configuración de la agrupación de varios a muchos

Puede configurar la tunelización Q-in-Q mediante el método de agrupación varios a muchos, que asigna paquetes desde varias C-VLAN a varias S-VLAN.

Para configurar el método de agrupación varios a muchos en una interfaz de C-VLAN:

  1. Habilite la transmisión de paquetes sin etiqueta VLAN 802.1Q o sin una sola:
  2. Habilite la encapsulación de puente VLAN extendida:
  3. Asigne paquetes desde C-VLAN especificadas a una interfaz lógica:
  4. Habilite una interfaz de C-VLAN para enviar y recibir paquetes sin etiquetar:

    Cuando se especifica un ID de VLAN nativo en una interfaz física de C-VLAN, el valor debe incluirse en la lista de ID de VLAN especificada en la interfaz lógica de C-VLAN en el paso 3.

  5. Especifique que los paquetes que viajan desde una interfaz C-VLAN a una interfaz de S-VLAN se etiquetan con el ID de VLAN de la S-VLAN:
  6. Especifique que la etiqueta S-VLAN 802.1Q se elimina a medida que los paquetes salen de una interfaz de S-VLAN:
  7. Configure un nombre para una S-VLAN y asocie la interfaz lógica configurada en el paso 3 con la S-VLAN:

La siguiente configuración en la interfaz de C-VLAN ge-0/0/1 para el cliente 1 permite la tunelización Q-in-Q y asigna paquetes de C-VLAN 100 a 120 a la interfaz lógica 10, que a su vez está asociada con S-VLAN v10.

La configuración en la interfaz de C-VLAN ge-0/0/2 para el cliente 2 permite la tunelización Q-in-Q y asigna paquetes de C-VLAN 30 a 40, de 50 a 60 y de 70 a 80 a la interfaz lógica 30, que a su vez está asociada con S- VLAN v30.

En esta configuración de ejemplo, un paquete originado en C-VLAN 100 incluye una etiqueta con el ID de VLAN 100. Cuando este paquete viaja desde la interfaz ge-0/0/1 a la interfaz S-VLAN, se agrega una etiqueta con un ID de VLAN de 10. A medida que el paquete sale de la interfaz S-VLAN, se elimina la etiqueta con el ID de VLAN de 10.

Cliente 1

Cliente 2

Para configurar el método de agrupación varios a muchos en una interfaz de S-VLAN:

  1. Habilite la transmisión de paquetes con ninguna, una o dos etiquetas VLAN 802.1Q:

  2. Habilite la encapsulación de puente VLAN extendida:

  3. Asigne paquetes desde cada interfaz lógica especificada en la configuración de interfaz de C-VLAN a una S-VLAN:

  4. Habilite una interfaz de S-VLAN para enviar y recibir paquetes sin etiquetar:

    Cuando se especifica un ID de VLAN nativo en una interfaz física de S-VLAN, el valor debe coincidir con un ID de S-VLAN especificado en la interfaz lógica de S-VLAN en el paso 3.

  5. Asocie la interfaz de S-VLAN con las S-VLAN que se configuraron en el procedimiento de interfaz de C-VLAN:

Por ejemplo, la siguiente configuración en la interfaz de S-VLAN ge-1/1/1 permite la tunelización Q-in-Q y asigna paquetes de C-VLAN entrantes a interfaces lógicas 10 y 30, que a su vez están asociadas con las S-VLAN v10 y v30, respectivamente.

Configuración de una asignación de interfaz específica con la opción de reescritura de VLAN

Puede configurar la tunelización Q-in-Q asignando paquetes desde una C-VLAN especificada a una S-VLAN especificada. Además, mientras los paquetes se transmiten hacia y desde la S-VLAN, puede especificar que la etiqueta C-VLAN 802.1Q se elimine y reemplace por la etiqueta S-VLAN o viceversa.

Para configurar una asignación de interfaz específica con reescritura de VLAN en la interfaz de C-VLAN:

  1. Habilite la transmisión de paquetes con ninguna o una etiqueta VLAN 802.1Q:
  2. Habilite la encapsulación de puente VLAN extendida:
  3. Asigne paquetes desde una C-VLAN especificada a una interfaz lógica:
  4. Habilite la interfaz de C-VLAN para enviar y recibir paquetes sin etiquetar:

    Cuando se especifica un ID de VLAN nativo en una interfaz física de C-VLAN, el valor debe coincidir con el ID de VLAN especificado en la interfaz lógica de C-VLAN en el paso 3.

  5. Especifique que la etiqueta C-VLAN 802.1Q existente se elimina de los paquetes que viajan desde una interfaz de C-VLAN a una interfaz S-VLAN y se sustituye por la etiqueta S-VLAN 802.1Q:
  6. Especifique que la etiqueta S-VLAN 802.1Q existente se elimina de los paquetes que viajan desde una interfaz de S-VLAN a una interfaz C-VLAN y se sustituye por la etiqueta C-VLAN 802.1Q:
  7. Configure un nombre para la S-VLAN y asocie la interfaz lógica configurada en el paso 3 con la S-VLAN:

Por ejemplo, la siguiente configuración en la interfaz de C-VLAN ge-0/0/1 permite la tunelización Q-in-Q y asigna paquetes entrantes de C-VLAN 150 a la interfaz lógica 200, que a su vez está asociada con VLAN v200. Además, a medida que los paquetes viajan desde la interfaz de C-VLAN ge-0/0/1 a una interfaz S-VLAN, la etiqueta C-VLAN 150 se elimina y se sustituye por la etiqueta S-VLAN 200. A medida que los paquetes viajan de una interfaz S-VLAN a una interfaz de C-VLAN ge-0/0/1, la etiqueta S-VLAN 200 se elimina y se sustituye por la etiqueta C-VLAN de 150.

Para configurar una asignación de interfaz específica con reescritura de VLAN en la interfaz de S-VLAN:

  1. Habilite la transmisión de paquetes con ninguna, una o dos etiquetas VLAN 802.1Q:

  2. Habilite la encapsulación de puente VLAN extendida:

  3. Asigne paquetes desde la interfaz lógica especificada en la configuración de interfaz de C-VLAN a la S-VLAN:

  4. Habilite la interfaz de S-VLAN para enviar y recibir paquetes sin etiquetar:

    Cuando se especifica un ID de VLAN nativo en una interfaz física de S-VLAN, el valor debe coincidir con el ID de VLAN especificado en la interfaz lógica de S-VLAN en el paso 3.

  5. Asocie la interfaz de S-VLAN con la S-VLAN que se configuró en el procedimiento de interfaz de C-VLAN: :

Por ejemplo, la siguiente configuración en la interfaz S-VLAN ge-1/1/1 permite la tunelización Q-in-Q y asigna paquetes con el ID de VLAN 200 a la interfaz lógica 200, que a su vez está asociada con S-VLAN v200.

Configuración de la tunelización Q-in-Q en conmutadores de la serie EX

Nota:

Esta tarea usa Junos OS para conmutadores de la serie EX que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS).

La tunelización Q-in-Q permite a los proveedores de servicios en redes de acceso Ethernet segregar o agrupar el tráfico de clientes en diferentes VLAN mediante la adición de otra capa de etiquetas 802.1Q. Puede configurar la tunelización Q-in-Q en conmutadores de la serie EX.

Nota:

No puede configurar la autenticación de usuario 802.1X en interfaces habilitadas para la tunelización Q-in-Q.

Antes de comenzar a configurar la tunelización Q-in-Q, asegúrese de configurar sus VLAN. Consulte Configuración de VLAN para conmutadores de la serie EX o Configuración de VLAN para conmutadores de la serie EX (procedimiento J-Web).

Para configurar la tunelización Q-in-Q:

  1. Habilite la tunelización Q-in-Q en la S-VLAN:
  2. Establezca las C-VLAN permitidas en la S-VLAN (opcional). Aquí, las C-VLAN se identifican por el rango de VLAN:
  3. Cambie el valor del Ethertype global (opcional):
  4. Desactive el aprendizaje de dirección MAC en la S-VLAN (opcional):

Configuración de la tunelización Q-in-Q en la serie ACX

SUMMARY 

Descripción general de la tunelización Q-in-Q en la serie ACX

La tunelización Q-in-Q permite a los proveedores de servicios crear una conexión Ethernet de capa 2 entre dos sitios de clientes. Los proveedores pueden separar el tráfico de VLAN de diferentes clientes en un vínculo (por ejemplo, si los clientes usan identificadores de VLAN superpuestos) o agrupar VLAN de clientes diferentes en una VLAN de servicio único. Los proveedores de servicios pueden usar la tunelización Q-in-Q para aislar el tráfico de clientes dentro de un solo sitio o para habilitar los flujos de tráfico de clientes a través de ubicaciones geográficas.

La tunelización Q-in-Q agrega una etiqueta VLAN de servicio antes de las etiquetas VLAN 802.1Q del cliente. La implementación del sistema operativo Junos de Juniper Networks de la tunelización Q-in-Q es compatible con el estándar IEEE 802.1ad.

En la tunelización Q-in-Q, a medida que un paquete viaja de una VLAN de cliente (C-VLAN) a la VLAN de un proveedor de servicios (S-VLAN), se agrega otra etiqueta 802.1Q para la S-VLAN adecuada antes de la etiqueta C-VLAN. La etiqueta C-VLAN permanece y se transmite a través de la red. A medida que el paquete sale del espacio S-VLAN, en la dirección descendente, se elimina la etiqueta S-VLAN 802.1Q.

En los enrutadores serie ACX, puede configurar la tunelización Q-in-Q configurando explícitamente una asignación de VLAN de entrada con push función en interfaces orientadas al cliente en un dominio de puente.

Puede configurar la tunelización Q-in-Q en la interfaz Ethernet agregada mediante la configuración de la asignación de VLAN de entrada y salida.

Configuración de la tunelización Q-in-Q en la serie ACX

Para configurar la tunelización Q-in-Q, debe configurar la interfaz lógica conectada a la red del cliente (interfaces de usuario a red (UNI) y la interfaz lógica conectada a la red del proveedor de servicios (interfaz de red a red (NNI)).

El siguiente es un ejemplo para configurar una interfaz lógica conectada a una red de cliente:

El siguiente es un ejemplo para configurar una interfaz lógica conectada a una red de proveedor de servicios:

El siguiente es un ejemplo para configurar el dominio de puente:

Puede configurar la tunelización Q-in-Q en una interfaz Ethernet agregada conectada a la red del cliente (UNI) y a la interfaz lógica conectada a la red del proveedor de servicios (NNI).

Configurar la tunelización Q-in-Q mediante la agrupación todo en uno

Puede configurar la tunelización Q-in-Q mediante el método de agrupación todo en uno, que reenvía todos los paquetes que entradan en una interfaz C-VLAN a una S-VLAN. (Los paquetes se reenvían a la S-VLAN, independientemente de si están etiquetados o sin etiquetar antes de la entrada.) El uso de este enfoque le ahorra el esfuerzo de especificar una asignación específica para cada C-VLAN.

Primero configure la S-VLAN y su interfaz:

  1. Asigne una interfaz lógica (unidad) para ser miembro de la S-VLAN.
    Nota:

    No utilice la unidad de interfaz lógica 0. Posteriormente, debe enlazar un ID de etiqueta VLAN a la unidad especificada en este paso y no puede enlazar un ID de etiqueta VLAN a la unidad 0. Tenga en cuenta también que no crea un ID de VLAN para la S-VLAN. El ID se crea automáticamente para la interfaz lógica adecuada.

  2. Habilite la interfaz para transmitir paquetes con dos etiquetas VLAN 802.1Q:
  3. Habilite la encapsulación de puente VLAN extendida en la interfaz:
    Nota:

    Si configura una configuración de estilo empresarial, como PVLAN, en la misma interfaz física en la que está configurando la tunelización Q-in-Q, utilice set encapsulation flexible-ethernet-services . Consulte Descripción de la encapsulación de servicios Ethernet flexibles en conmutadores.

  4. Habilite la interfaz de S-VLAN para enviar y recibir paquetes sin etiquetar:
  5. Enlazar la interfaz lógica (unidad) de la interfaz que especificó en el paso 1 al ID de VLAN creado automáticamente para la S-VLAN:
Nota:

Si configuró flexible-ethernet-services, configure vlan-bridge la encapsulación en la interfaz lógica:

Por ejemplo, la siguiente configuración hace que xe-0/0/0.10 sea miembro de VLAN 10, habilita la tunelización Q-in-Q en la interfaz xe-0/0/0, permite que xe-0/0/0 acepte paquetes sin etiquetar y enlaza el ID de VLAN de S-VLAN v10 a una interfaz lógica de xe-0/0/0.

Ahora configure la agrupación todo en uno en una interfaz de C-VLAN:

  1. Asigne una interfaz lógica (unidad) de la interfaz C-VLAN para que sea miembro de la S-VLAN.

  2. Habilite la interfaz para transmitir paquetes con etiquetas VLAN 802.1Q:

  3. Habilite la encapsulación de puente VLAN extendida en la interfaz:

  4. Habilite la interfaz de C-VLAN para enviar y recibir paquetes sin etiquetar:

  5. Configure una interfaz lógica para recibir y reenviar cualquier paquete etiquetado cuya etiqueta de ID de VLAN coincida con la lista de ID de VLAN que especifique:

    Precaución:

    Puede aplicar no más de ocho listas de identificadores de VLAN a una interfaz física. Esta limitación no se aplica a los conmutadores QFX10000.

  6. Configure el sistema para agregar una etiqueta S-VLAN (etiqueta externa) a medida que los paquetes viajan desde una interfaz de C-VLAN a la S-VLAN:

    Nota:

    Puede configurar vlan-id en input-vlan-map, pero hacerlo es opcional.

  7. Configure el sistema para quitar la etiqueta S-VLAN cuando los paquetes se reenvían (internamente) desde la interfaz de S-VLAN a la interfaz C-VLAN:

Por ejemplo, la siguiente configuración hace que xe-0/0/1.10 sea miembro de S-VLAN v10, habilita la tunelización Q-in-Q, asigna paquetes de C-VLAN 100 a 200 a S-VLAN 10 y permite que xe-0/0/1 acepte paquetes sin etiquetar. Si un paquete se origina en C-VLAN 100 y debe enviarse a través de la S-VLAN, se agrega una etiqueta con ID de VLAN 10 al paquete. Cuando un paquete se reenvía (internamente) desde la interfaz S-VLAN a la interfaz xe-0/0/1, se elimina la etiqueta con ID de VLAN 10.

Configuración de la tunelización Q-in-Q mediante la agrupación varios a muchos

Puede configurar la tunelización Q-in-Q mediante el método de agrupación varios a muchos, que asigna paquetes desde varias C-VLAN a varias S-VLAN. Este método es conveniente para asignar un rango de C-VLAN sin tener que especificar cada una de ellas individualmente. (También puede usar este método para configurar solo una C-VLAN para asignarse a una S-VLAN.)

Primero configure las S-VLAN y asígnelas a una interfaz:

  1. Asigne una interfaz lógica (unidad) para ser miembro de una de las S-VLAN. No utilice la unidad de interfaz lógica 0.
    Nota:

    Tenga en cuenta que no crea un ID de VLAN para la S-VLAN. El ID se crea automáticamente para la interfaz lógica adecuada.

  2. Repita el paso 1 para las otras S-VLAN.
  3. Habilite la interfaz física para transmitir paquetes con dos etiquetas VLAN 802.1Q:
  4. Habilite la encapsulación de puente VLAN extendida en la interfaz:
  5. Habilite la interfaz de S-VLAN para enviar y recibir paquetes sin etiquetar:
  6. Enlazar una de las unidades lógicas de la interfaz al ID de VLAN para una de las S-VLAN.
  7. Repita el paso 6 para enlazar los IDENTIFICADORes de VLAN creados automáticamente para las otras S-VLAN a las otras unidades lógicas de la interfaz:

Por ejemplo, la siguiente configuración crea las S-VLAN v10 y v30 y las asocia con la interfaz xe-0/0/0.10, habilita la tunelización Q-in-Q, permite que xe-0/0/0 acepte paquetes sin etiquetar y asigna paquetes C-VLAN entrantes a S-VLAN v10 y v30.

Para configurar el método de agrupación varios a muchos en una interfaz de C-VLAN, realice los pasos siguientes para cada cliente:

  1. Asigne una interfaz lógica (unidad) de una interfaz C-VLAN para que sea miembro de una S-VLAN.

  2. Repita el paso 1 para asignar otra interfaz C-VLAN (interfaz física) para ser miembro de otra S-VLAN.

  3. Habilite la interfaz para transmitir paquetes con etiquetas VLAN 802.1Q:

  4. Habilite la encapsulación de puente VLAN extendida en la interfaz:

  5. Habilite la interfaz de C-VLAN para enviar y recibir paquetes sin etiquetar:

  6. Para cada interfaz física, configure una interfaz lógica (unidad) para recibir y reenviar cualquier paquete etiquetado cuya etiqueta de ID de VLAN coincida con la lista de ID de VLAN que especifique:

    Para configurar solo una C-VLAN para que se asigne a una S-VLAN, especifique solo un ID de VLAN después de vlan-id-list.

    Precaución:

    Puede aplicar no más de ocho listas de identificadores de VLAN a una interfaz física. Esta limitación no se aplica a los conmutadores QFX10000.

  7. Para cada interfaz física, configure el sistema para agregar una etiqueta S-VLAN (etiqueta externa) a medida que los paquetes viajan desde la interfaz de C-VLAN a la S-VLAN:

  8. Para cada interfaz física, configure el sistema para quitar la etiqueta S-VLAN cuando los paquetes se reenvían desde la interfaz de S-VLAN a la interfaz C-VLAN:

Por ejemplo, la siguiente configuración hace que xe-0/0/1.10 sea miembro de S-VLAN v10, habilita la tunelización Q-in-Q y asigna paquetes de C-VLAN 10 a 20 a S-VLAN 10. La configuración del cliente 2 hace que xe-0/0/2.30 sea miembro de S-VLAN v30, habilita la tunelización Q-in-Q y asigna paquetes de C-VLAN 30 a 40, de 50 a 60 y de 70 a 80 a S-VLAN 30. Ambas interfaces están configuradas para aceptar paquetes sin etiquetar.

Si un paquete se origina en C-VLAN 10 y debe enviarse a través de la S-VLAN, se agrega una etiqueta con un ID de VLAN 10 al paquete. Si un paquete se reenvía internamente desde la interfaz de S-VLAN a xe-0/0/1.10, se elimina la etiqueta con ID de VLAN 10. Los mismos principios se aplican a las C-VLAN configuradas en la interfaz xe-0/0/2.

Nota:

Observe que puede usar el mismo valor de etiqueta para S-VLAN y C-VLAN. Por ejemplo, la configuración del cliente 1 asigna el ID de C-VLAN 10 al ID de S-VLAN 10. Las etiquetas C-VLAN y S-VLAN usan espacios de nombre separados, por lo que se permite esta configuración.

Configuración para el cliente 1:

Configuración para el cliente 2:

Configuración de una asignación de interfaz específica con la opción de traducción de ID de VLAN

Puede configurar la tunelización Q-in-Q asignando paquetes desde una C-VLAN especificada a una S-VLAN especificada. Además, puede configurar el sistema para reemplazar una etiqueta C-VLAN por una etiqueta S-VLAN o reemplazar una etiqueta S-VLAN por una etiqueta C-VLAN (en lugar de doble etiquetado). Esto es llamada traducción de VLAN o reescritura de VLAN. La traducción de VLAN es particularmente útil si la red de capa 2 de un proveedor de servicios que conecta los sitios de un cliente no admite paquetes con doble etiqueta.

Cuando se utiliza la traducción de VLAN, normalmente ambos extremos del vínculo deben poder intercambiar las etiquetas de manera adecuada. Es decir, se deben configurar ambos extremos del vínculo para cambiar la etiqueta C-VLAN por la etiqueta S-VLAN e intercambiar la etiqueta S-VLAN por la etiqueta C-VLAN, de modo que el tráfico en ambas direcciones se etiquete adecuadamente durante el tránsito y después de la llegada.

Primero configure la S-VLAN y su interfaz:

  1. Asigne una interfaz lógica para ser miembro de la S-VLAN. No utilice la unidad 0.
    Nota:

    Tenga en cuenta que no crea un ID de VLAN para la S-VLAN. El ID se crea automáticamente para la interfaz lógica adecuada.

  2. Habilite la interfaz para transmitir paquetes con etiquetas VLAN 802.1Q:
  3. Habilite la interfaz de S-VLAN para enviar y recibir paquetes sin etiquetar:
  4. Habilite la encapsulación de puente VLAN extendida en la interfaz:
  5. Enlazar la interfaz lógica (unidad) de la interfaz que especificó anteriormente al ID de VLAN para la S-VLAN:

Por ejemplo, la siguiente configuración crea S-VLAN v200, hace que xe-0/0/0.200 sea miembro de esa VLAN, habilita la tunelización Q-in-Q en la interfaz xe-0/0/0, permite que xe-0/0/0 acepte paquetes sin etiquetar y enlaza una interfaz lógica de xe-0/0/0 al ID de VLAN de VLAN v200.

Ahora configure una asignación de interfaz específica con traducción opcional de ID de VLAN en la interfaz C-VLAN:

  1. Asigne una interfaz lógica de la interfaz C-VLAN para que sea miembro de la S-VLAN.

  2. Habilite la interfaz para transmitir paquetes con etiquetas VLAN 802.1Q:

  3. Habilite la interfaz de C-VLAN para enviar y recibir paquetes sin etiquetar:

  4. Habilite la encapsulación de puente VLAN extendida en la interfaz:

  5. Configure una interfaz lógica (unidad) para recibir y reenviar cualquier paquete etiquetado cuya etiqueta de ID de VLAN coincida con los ID de VLAN que especifique:

  6. Configure el sistema para eliminar la etiqueta C-VLAN existente y reemplazarla por la etiqueta S-VLAN cuando los paquetes entren en la interfaz C-VLAN y se reenvíen a la S-VLAN:

  7. Configure el sistema para eliminar la etiqueta S-VLAN existente y reemplazarla por la etiqueta C-VLAN cuando los paquetes se reenvíen desde la interfaz S-VLAN a la interfaz C-VLAN:

  8. Para configurar una S-VLAN y asociarla con la interfaz de C-VLAN adecuada:

Por ejemplo, la siguiente configuración en la interfaz de C-VLAN xe-0/0/1.200 permite la tunelización Q-in-Q, permite que xe-0/0/1 acepte paquetes sin etiquetar y asigna paquetes entrantes desde C-VLAN 150 a la interfaz lógica 200, que es miembro de S-VLAN 200. Además, cuando los paquetes salida de la interfaz C-VLAN xe-0/0/1 y viajan a la interfaz S-VLAN, la etiqueta C-VLAN de 150 se elimina y se sustituye por la etiqueta S-VLAN de 200. Cuando los paquetes viajan de la interfaz S-VLAN a la interfaz C-VLAN, la etiqueta S-VLAN de 200 se elimina y se sustituye por la etiqueta C-VLAN de 150.

Ejemplo: Configuración de la tunelización Q-in-Q en conmutadores de la serie QFX

Los proveedores de servicios pueden usar la tunelización Q-in-Q para pasar de forma transparente el tráfico de VLAN de capa 2 entre los sitios del cliente sin eliminar o cambiar la configuración de las etiquetas VLAN del cliente o la clase de servicio (CoS). Los centros de datos pueden usar la tunelización Q-in-Q para aislar el tráfico de clientes dentro de un solo sitio o cuando el tráfico de clientes fluye entre centros de datos en la nube en diferentes ubicaciones geográficas.

Nota:

En este ejemplo, se usa una versión de Junos OS que no admite el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software compatible con ELS, consulte Configuración de la tunelización Q-in-Q en conmutadores serie QFX, serie NFX y EX4600 con soporte ELS.

En este ejemplo se describe cómo configurar la tunelización Q-in-Q:

Requisitos

En este ejemplo, se requiere un dispositivo de la serie QFX con Junos OS versión 12.1 o posterior.

Antes de comenzar a configurar la tunelización Q-in-Q, asegúrese de haber creado y configurado las VLAN de cliente necesarias en los conmutadores vecinos. Consulte Configuración de VLAN en conmutadores.

Descripción general y topología

En esta red de proveedores de servicios, hay varias VLAN de clientes asignadas a una VLAN de servicio.

Tabla 2 enumera la configuración de la topología de ejemplo.

Tabla 2: Componentes de la topología para configurar la tunelización Q-in-Q
Interfaz Description

xe-0/0/11.0

Etiquetado como puerto troncal S-VLAN

xe-0/0/12.0

Puerto de acceso sin etiquetar para el cliente

xe-0/0/13.0

Puerto de acceso sin etiquetar para el cliente

xe-0/0/14.0

Etiquetado como puerto troncal S-VLAN

Configuración

Configuración rápida de CLI

Para crear y configurar rápidamente la tunelización Q-in-Q, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento

Procedimiento paso a paso

Para configurar la tunelización Q-in-Q:

  1. Establezca el ID de VLAN para la S-VLAN:

  2. Habilite la tunelización Q-in-Q y especifique los rangos de VLAN del cliente:

  3. Establezca el modo de puerto y la información de VLAN para las interfaces:

  4. Establezca el valor Ethertype Q-in-Q (opcional):

Resultados

Compruebe los resultados de la configuración:

Verificación

Confirme que la configuración funciona correctamente.

Verificar que la tunelización Q-in-Q estaba habilitada

Propósito

Compruebe que la tunelización Q-in-Q estaba correctamente habilitada.

Acción

Utilice el show vlans comando:

Significado

El resultado indica que la tunelización Q-in-Q está habilitada y que la VLAN está etiquetada y muestra las VLAN de cliente asociadas.

Ejemplo: Configuración de la tunelización Q-in-Q en conmutadores de la serie EX

Los proveedores de servicios pueden usar la tunelización Q-in-Q para pasar de forma transparente el tráfico de VLAN de capa 2 desde un sitio del cliente, a través de la red del proveedor de servicios, a otro sitio del cliente, sin eliminar ni cambiar las etiquetas de VLAN del cliente o la configuración de clase de servicio (CoS). Puede configurar la tunelización Q-in-Q en conmutadores de la serie EX.

En este ejemplo, se describe cómo configurar Q-in-Q:

Requisitos

En este ejemplo, se requiere un conmutador de la serie EX con junos OS versión 9.3 o posterior para los conmutadores de la serie EX.

Antes de comenzar a configurar la tunelización Q-in-Q, asegúrese de haber creado y configurado las VLAN de cliente necesarias. Consulte Configuración de VLAN para conmutadores de la serie EX o Configuración de VLAN para conmutadores de la serie EX (procedimiento J-Web).

Descripción general y topología

En esta red de proveedores de servicios, hay varias VLAN de clientes asignadas a una VLAN de servicio.

Tabla 3 enumera la configuración de la topología de ejemplo.

Tabla 3: Componentes de la topología para configurar la tunelización Q-in-Q
Interfaz Description

ge-0/0/11.0

Etiquetado como puerto troncal S-VLAN

ge-0/0/12.0

Puerto de acceso sin etiquetar para el cliente

ge-0/0/13.0

Puerto de acceso sin etiquetar para el cliente

ge-0/0/14.0

Etiquetado como puerto troncal S-VLAN

Configuración

Configuración rápida de CLI

Para crear y configurar rápidamente la tunelización Q-in-Q, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento

Procedimiento paso a paso

Para configurar la tunelización Q-in-Q:

  1. Establezca el ID de VLAN para la S-VLAN:

  2. Habilite la tuennling Q-in-Q y especifique los rangos de VLAN del cliente:

  3. Establezca el modo de puerto y la información de VLAN para las interfaces:

  4. Establezca el valor Ethertype Q-in-Q:

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar que la tunelización Q-in-Q estaba habilitada

Propósito

Compruebe que la tunelización Q-in-Q se habilitó correctamente en el conmutador.

Acción

Utilice el show vlans comando:

Significado

El resultado indica que la tunelización Q-in-Q está habilitada y que la VLAN está etiquetada y muestra las VLAN de cliente asociadas.

Configuración de una configuración de traducción de etiquetas de VLAN dual en conmutadores QFX

A partir de Junos OS versión 14.1X53-D40, puede usar la función de traducción de etiqueta VLAN dual (también conocida como reescritura de etiqueta VLAN dual) para implementar conmutadores en dominios de proveedor de servicios, lo que permite que los paquetes VLAN con etiqueta doble, con etiqueta única y sin etiqueta entrar en el conmutador o salir de él.

En la configuración de ejemplo siguiente se muestra el uso de las operaciones de etiqueta dual swap-swap, pop-swap y push.

Verificar que la tunelización Q-in-Q funciona en conmutadores

Propósito

Después de crear una VLAN Q-in-Q, compruebe que está configurada correctamente.

Acción

  1. Use el show configuration vlans comando para determinar si creó correctamente las configuraciones de VLAN principal y secundaria:

  2. Utilice el comando para ver la show vlans información de la VLAN y el estado del vínculo:

Significado

El resultado confirma que el tunnling Q-in-Q está habilitado y que la VLAN está etiquetada, y enumera las VLAN de cliente que están asociadas con la VLAN etiquetada.

Tabla de historial de versiones
Liberación
Descripción
19.4R1
A partir de Junos OS versión 19.4R1, la línea de conmutadores QFX10000 admite las etiquetas Q-in-Q como carga (también conocida como etiqueta de paso a través) junto con las dos etiquetas existentes (para operaciones y coincidencias de VLAN).
14.1X53-D40
A partir de Junos OS versión 14.1X53-D40, puede usar la función de traducción de etiqueta VLAN dual (también conocida como reescritura de etiqueta VLAN dual) para implementar conmutadores en dominios de proveedor de servicios, lo que permite que los paquetes VLAN con etiqueta doble, con etiqueta única y sin etiqueta entrar en el conmutador o salir de él.
14.1X53-D30
A partir de Junos OS 14.1X53-D30, puede configurar la misma interfaz para que sea una interfaz S-VLAN/NNI y una interfaz C-VLAN/UNI.