Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de tunelización Q-in-Q y tunelización Q-in-Q de VLAN y traducción de VLAN

Descripción de la tunelización Q-in-Q y la traducción de VLAN

La tunelización Q-in-Q y la traducción de VLAN permiten a los proveedores de servicios crear una conexión Ethernet de capa 2 entre dos sitios de clientes. Los proveedores pueden separar el tráfico VLAN de diferentes clientes en un vínculo (por ejemplo, si los clientes utilizan ID de VLAN superpuestos) o agrupar vlan de cliente diferentes en una sola VLAN de servicio. Los centros de datos pueden usar la tunelización Q-in-Q y la traducción de VLAN para aislar el tráfico de clientes dentro de un solo sitio o para habilitar flujos de tráfico de clientes entre centros de datos de nube en diferentes ubicaciones geográficas.

Mediante la tunelización Q-in-Q, los proveedores pueden segregar o agrupar el tráfico del cliente en menos VLAN o vlan diferentes agregando otra capa de etiquetas 802.1Q. La tunelización Q-in-Q es útil cuando los clientes tienen ID de VLAN superpuestos, ya que las etiquetas VLAN 802.1Q (dot1Q) del cliente se anteponen a la etiqueta VLAN de servicio (S-VLAN). La implementación del sistema operativo Junos (Junos OS) de Juniper Networks junos de tunelización Q-in-Q admite el estándar IEEE 802.1ad.

En este tema se describe lo siguiente:

Cómo funciona la tunelización Q-in-Q

En la tunelización Q-in-Q, como un paquete viaja desde una VLAN del cliente (C-VLAN) a la VLAN de un proveedor de servicios, se agrega una etiqueta 802.1Q específica del cliente al paquete. Esta etiqueta adicional se utiliza para segregar el tráfico en VLAN de servicio definidas por el proveedor de servicios (S-VLAN). La etiqueta 802.1Q del cliente original del paquete permanece y se transmite de manera transparente, pasando por la red del proveedor de servicios. A medida que el paquete deja la S-VLAN en la dirección descendente, se elimina la etiqueta 802.1Q adicional.

Nota:

Todas las VLAN en una implementación pueden ser VLAN de servicio. Es decir, si el número total de VLAN compatibles es 4090, todas ellas pueden ser VLAN de servicio.

Cuando la tunelización Q-in-Q está habilitada en los conmutadores Ethernet de la serie EX de Juniper Networks, se da por sentado que las interfaces de troncalización forman parte de la red del proveedor de servicios y que las interfaces de acceso están orientadas al cliente. En este caso, una interfaz de acceso puede recibir tramas etiquetadas y sin etiquetar.

Nota:

A partir de Junos OS 14.1X53-D30, puede configurar la misma interfaz para que sea una interfaz S-VLAN/NNI y una interfaz C-VLAN/UNI. Esto significa que la misma interfaz física puede transmitir tramas con etiqueta única y con doble etiqueta simultáneamente. Esto le permite la máxima flexibilidad en su topología de red y le permite maximizar el uso de sus interfaces.

Una interfaz puede ser miembro de varias S-VLAN. Puede asignar una C-VLAN a una S-VLAN (1:1) o varias C-VLAN a una S-VLAN (N:1). Los paquetes se etiquetan dos veces para una capa adicional de segregación o agrupación de C-VLAN. Las etiquetas C-VLAN y S-VLAN son únicas; para que pueda tener una C-VLAN 101 y una S-VLAN 101, por ejemplo. Puede limitar el conjunto de etiquetas de cliente aceptadas a un rango de etiquetas o a valores discretos. Los valores de clase de servicio (CoS) de las C-VLAN no cambian en la dirección descendente. Opcionalmente, puede copiar la prioridad de entrada y la configuración de CoS a la S-VLAN. En conmutadores que no sean ELS, puede usar VLAN privadas para aislar a los usuarios y evitar el reenvío de tráfico entre interfaces de usuario, incluso si las interfaces se encuentran en la misma VLAN.

Cuando se habilita la tunelización Q-in-Q, se asume que las interfaces de troncalización forman parte del proveedor de servicios o de la red del centro de datos. Se asume que las interfaces de acceso están orientadas al cliente y aceptan tramas etiquetadas y sin etiquetar. Cuando se utiliza una agrupación o asignación varios a uno de una interfaz específica, debe usar la native opción para especificar una S-VLAN para paquetes etiquetados con prioridad y sin etiquetar si desea aceptar estos paquetes. (Los paquetes etiquetados con prioridad tienen su ID de VLAN establecido en 0, y sus bits de punto de código de prioridad pueden configurarse con un valor de CoS.)

Nota:

Los paquetes etiquetados con prioridad no se admiten con la tunelización Q-in-Q en conmutadores QFX5100 y EX4600.

Si no especifica una S-VLAN para ellos, se descartan los paquetes sin etiquetar. La native opción no está disponible para la agrupación todo en uno, ya que no es necesario especificar paquetes etiquetados con prioridad y sin etiquetar cuando todos los paquetes se asignan a una S-VLAN.

Puede usar la native opción para especificar una S-VLAN para paquetes etiquetados con prioridad y sin etiquetar cuando se utilizan enfoques de agrupación y asignación varios a uno de una interfaz específica para asignar C-VLAN a S-VLAN. (Esto no se aplica a los conmutadores compatibles con ELS.) De lo contrario, los paquetes se descartan. La native opción no está disponible para la agrupación todo en uno, ya que no es necesario especificar paquetes etiquetados con prioridad y sin etiquetar cuando todos los paquetes se asignan a la S-VLAN. Consulte la sección Asignación de C-VLAN a S-VLAN de este documento para obtener información sobre los métodos de asignación de C-VLAN a S-VLAN.

Solo en sistemas QFabric, puede usar la native opción para aplicar una etiqueta interna especificada a los paquetes que ingresan como sin etiquetar en las interfaces de acceso. Esta funcionalidad es útil si el sistema QFabric se conecta a servidores que alojan máquinas virtuales de cliente que envían tráfico sin etiquetar y el tráfico de cada cliente requiere su propia VLAN mientras se transporta a través de la QFabric. En lugar de usar VLAN individuales para cada cliente (lo que puede dar lugar rápidamente al agotamiento de VLAN), puede aplicar una etiqueta interna (C-VLAN) única al tráfico de cada cliente y, luego, aplicar una sola etiqueta externa (S-VLAN) para el transporte a través de QFabric. Esto le permite segregar el tráfico de sus clientes mientras consume solo una VLAN QFabric. Utilice la inner-tag opción de la instrucción de asignación para lograr esto.

En conmutadores que no son ELS, los filtros de firewall le permiten asignar una interfaz a una VLAN basada en una política. El uso de filtros de firewall para asignar una interfaz a una VLAN es útil cuando desea que un subconjunto de tráfico de un puerto se asigne a una VLAN seleccionada en lugar de a la VLAN designada. Para configurar un filtro de firewall para asignar una interfaz a una VLAN, la vlan opción debe configurarse como parte del filtro de firewall y la mapping policy opción debe especificarse en la configuración de interfaz para cada interfaz lógica mediante el filtro.

Nota:

En un conmutador EX4300, puede configurar varias interfaces lógicas en el mismo puerto Ethernet, pero cada interfaz lógica solo admite paquetes con etiqueta única y esa etiqueta debe incluir un ID de VLAN diferente al admitido por las otras interfaces lógicas. Dada esta situación, no puede habilitar la tunelización Q-in-Q en puertos Ethernet con varias subinterfaces lógicas.

La tunelización Q-in-Q no afecta a ningún valor de clase de servicio (CoS) configurado en una C-VLAN. Esta configuración se conserva en la etiqueta C-VLAN y se puede usar después de que un paquete abandone una S-VLAN. Los valores de CoS no se copian de etiquetas C-VLAN a etiquetas S-VLAN.

Según la configuración de la interfaz, es posible que deba ajustar el valor de la MTU en su troncalización o puertos de acceso para acomodar los 4 bytes utilizados para la etiqueta agregada por la tunelización Q-in-Q. Por ejemplo, si utiliza el valor de MTU predeterminado de 1514 bytes en sus puertos de acceso y troncalización, debe realizar uno de los siguientes ajustes:

  • Reduzca la MTU en los vínculos de acceso en al menos 4 bytes para que las tramas no superen la MTU del vínculo troncal cuando se agregan etiquetas S-VLAN.

  • Aumente la MTU en el vínculo de troncalización para que el vínculo pueda manejar el tamaño de trama más grande.

Nota:

Puede configurar la tunelización Q-in-Q solo en puertos de acceso (no en puertos troncales).

Cómo funciona la traducción de VLAN

La traducción de VLAN reemplaza una etiqueta C-VLAN entrante con una etiqueta S-VLAN en lugar de agregar una etiqueta adicional. Por lo tanto, se pierde la etiqueta C-VLAN, por lo que un paquete con etiqueta única normalmente no se etiqueta cuando sale de la S-VLAN (en el otro extremo del vínculo). Si un paquete entrante ha tenido tunelización Q-in-Q aplicada de antemano, la traducción de VLAN reemplaza la etiqueta externa y la etiqueta interna se conserva cuando el paquete deja la S-VLAN en el otro extremo del vínculo. Los paquetes entrantes cuyas etiquetas no coincidan con la etiqueta C-VLAN se eliminan, a menos que exista una configuración de traducción de VLAN adicional para esas etiquetas.

Para configurar la traducción de VLAN, use la instrucción de asignación swap en el [edit vlans interface] nivel de jerarquía. Mientras las etiquetas C-VLAN y S-VLAN sean únicas, puede configurar más de una traducción de C-VLAN a S-VLAN en un puerto de acceso. Si va a traducir solo una VLAN en una interfaz, no es necesario incluir la dot1q-tunneling instrucción en la configuración de S-VLAN. Si va a traducir más de una VLAN, debe usar la dot1q-tunneling instrucción.

Nota:

Solo puede configurar la traducción de VLAN en puertos de acceso. No puede configurarlo en puertos de troncalización y no puede configurar la tunelización Q-in-Q en el mismo puerto de acceso. Solo puede configurar una traducción de VLAN para una VLAN e interfaz dadas. Por ejemplo, no puede crear más de una traducción para VLAN 100 en la interfaz xe-0/0/0.

Nota:

La traducción de VLAN no se admite en sistemas QFabric.

Uso de la traducción de etiquetas de VLAN dual

A partir de Junos OS versión 14.1X53-D40, puede usar la función de traducción de etiquetas de VLAN dual (también conocida como reescritura de etiquetas VLAN dual) para implementar conmutadores en dominios de proveedores de servicios, lo que permite que los paquetes VLAN con etiqueta doble, con etiqueta única y sin etiqueta entren o salgan del conmutador. Tabla 1 muestra las operaciones que se agregan para la traducción de etiquetas de VLAN dual.

Tabla 1: Operaciones agregadas con reescritura de etiqueta vlan dual

Operación

Función

intercambio-inserción

Cambie una etiqueta VLAN e empuje una nueva etiqueta VLAN

intercambio emergente

Extrae una etiqueta VLAN externa e intercambia una etiqueta VLAN interna

swap-swap

Cambie etiquetas VLAN externas e internas

La traducción de etiquetas de VLAN dual admite:

  • Configuración de S-VLAN (NNI) y C-VLAN (UNI) en la misma interfaz física

  • Protocolos de control como VSTP, OSPF y LACP

  • Espionaje IGMP

  • Configuración de una VLAN privada (PVLAN) y una VLAN en una interfaz con etiqueta única

  • Uso de 0x8100 TPID en etiquetas VLAN internas y externas

Consulte Configurar una configuración de traducción de etiquetas de VLAN dual en conmutadores QFX.

Envío y recepción de paquetes sin etiquetar

Para habilitar una interfaz para enviar y recibir paquetes sin etiquetar, debe especificar una VLAN nativa para una interfaz física. Cuando la interfaz recibe un paquete sin etiquetar, agrega el ID de VLAN de la VLAN nativa al paquete en el campo C-VLAN y agrega también la etiqueta S-VLAN (por lo que el paquete tiene doble etiqueta) y envía el paquete recién etiquetado a la interfaz asignada.

El párrafo anterior no se aplica a:

  • Conmutadores que no son ELS.

  • Conmutadores EX4300 que se ejecutan en una versión de Junos antes de Junos OS versión 19.3R1.

Cuando los conmutadores de la lista corta anterior reciben un paquete sin etiquetar, agregan la etiqueta S-VLAN al paquete (por lo que el paquete tiene una sola etiqueta) y envían el paquete recién etiquetado a la interfaz asignada.

Nota:

Asegúrese de que todos los conmutadores configurados en la configuración Q-in-Q funcionen con el enfoque de etiqueta única o el de etiqueta doble. La configuración no funcionará si los conmutadores no tienen el mismo enfoque.

A partir de Junos OS versión 19.3R1, puede configurar conmutadores EX4300 para que usen el enfoque de etiqueta doble. Establezca la instrucción de configuración input-native-vlan-push en enable y asegúrese de que la instrucción de configuración input-vlan-map esté establecida pushen , como se muestra en el ejemplo siguiente:

Nota:

En los conmutadores que admiten esta función, excepto en el conmutador EX4300, la instrucción input-native-vlan-push se establece en enable de forma predeterminada. (La input-native-vlan-push instrucción se establece de disable forma predeterminada en el conmutador EX4300.) Sin embargo, recomendamos que compruebe la configuración para asegurarse de que input-vlan-map está establecido en push— la función no funciona si esa configuración no está en su lugar.

Para especificar una VLAN nativa, use la native-vlan-id instrucción en el [edit interfaces interface-name] nivel de jerarquía. El ID de VLAN nativo debe coincidir con el ID de C-VLAN o S-VLAN o se debe incluir en la lista de ID de VLAN especificada en la interfaz lógica.

Por ejemplo, en una interfaz lógica para una interfaz C-VLAN, puede especificar una lista de ID de C-VLAN de 100-200. Luego, en la interfaz física de C-VLAN, puede especificar un ID de VLAN nativo de 150. Esta configuración funcionaría porque la VLAN nativa de 150 se incluye en la lista de ID de C-VLAN de 100-200.

Recomendamos configurar una VLAN nativa cuando se usa cualquiera de los enfoques para asignar C-VLAN a S-VLAN. Consulte la sección Asignación de C-VLAN a S-VLAN en este tema para obtener información acerca de los métodos de asignación de C-VLAN a S-VLAN.

Deshabilitar el aprendizaje de direcciones MAC

En una implementación Q-in-Q, los paquetes de clientes desde interfaces descendentes se transportan sin ningún cambio en las direcciones MAC de origen y destino. Puede deshabilitar el aprendizaje de direcciones MAC en niveles globales, de interfaz y vlan:

  • Para deshabilitar el aprendizaje globalmente, desactive el aprendizaje de dirección MAC para el conmutador.

  • Para deshabilitar el aprendizaje para una interfaz, desactive el aprendizaje de dirección MAC para todas las VLAN de las cuales la interfaz especificada es miembro.

  • Para deshabilitar el aprendizaje de una VLAN, desactive el aprendizaje de dirección MAC para una VLAN especificada.

Deshabilitar el aprendizaje de dirección MAC en una interfaz deshabilita el aprendizaje para todas las VLAN de las que esa interfaz es miembro. Cuando deshabilita el aprendizaje de direcciones MAC en una VLAN, se vaciarán las direcciones MAC que ya se han aprendido.

Si deshabilita el aprendizaje de dirección MAC en una interfaz o una VLAN, no puede incluir la autenticación 802.1X en esa misma configuración de VLAN.

Cuando una interfaz VLAN enrutada (RVI) está asociada con una interfaz o una VLAN en la que el aprendizaje de dirección MAC está deshabilitado, las rutas de capa 3 resueltas en esa VLAN o esa interfaz no se resuelven con el componente de capa 2. Esto da como resultado que los paquetes enrutados inundan todas las interfaces asociadas con la VLAN.

Asignación de C-VLAN a S-VLAN

Hay varias maneras de asignar C-VLAN a una S-VLAN:

Nota:

Si configura varios métodos de asignación, el conmutador da prioridad a la asignación de una interfaz específica, luego a la agrupación varios a varios y, por último, a la agrupación todo en uno. Sin embargo, para un método de asignación determinado, no se admite la configuración de reglas superpuestas para la misma C-VLAN.

  • Agrupación todo en uno: utilice la edit vlans s-vlan-name dot1q-tunneling instrucción sin especificar las VLAN del cliente. Todos los paquetes recibidos en todas las interfaces de acceso (incluidos los paquetes sin etiquetar) se asignan a la S-VLAN.

  • Agrupación varios a uno: utilice la edit vlans s-vlan-name dot1q-tunneling customer-vlans instrucción para especificar qué C-VLAN se asignan a la S-VLAN. Utilice este método cuando desee que un subconjunto de las C-VLAN forme parte de la S-VLAN. Si desea que los paquetes etiquetados con prioridad o sin etiquetar se asignen a la S-VLAN, utilice la native opción con la customer-vlans instrucción. (Los paquetes etiquetados con prioridad tienen su ID de VLAN establecido en 0, y sus bits de punto de código de prioridad pueden configurarse con un valor de CoS.)

  • Agrupación varios a varios: utilice la agrupación varios a varios cuando desee que un subconjunto de las C-VLAN del conmutador de acceso forme parte de varias S-VLAN.

  • Asignación de una interfaz específica: utilice la edit vlans s-vlan-name interface interface-name mapping instrucción para especificar una C-VLAN para una S-VLAN dada. Esta configuración se aplica a una sola interfaz, no a todas las interfaces de acceso como con la agrupación "todo en uno" y "varios a uno". Si desea que los paquetes etiquetados con prioridad o sin etiquetar se asignen a la S-VLAN, utilice la native opción con la customer-vlans instrucción.

    Este método tiene dos opciones: intercambio e inserción. Con la opción push, un paquete conserva su etiqueta y se agrega una etiqueta VLAN adicional. Con la opción de intercambio, la etiqueta entrante se sustituye por una etiqueta S-VLAN. (Esto es traducción de VLAN.)

    • Puede configurar varias reglas de inserción para una S-VLAN e interfaz dadas. Es decir, puede configurar una interfaz para que se agregue la misma etiqueta S-VLAN a los paquetes que llegan de varias C-VLAN.

    • Solo puede configurar una regla de intercambio para una S-VLAN e interfaz dadas.

    Esta funcionalidad se utiliza normalmente para mantener separado el tráfico de diferentes clientes o para proporcionar un tratamiento individualizado para el tráfico en una interfaz determinada.

Si configura varios métodos, el conmutador da prioridad a la asignación de una interfaz específica, luego a la agrupación varios a uno y, por último, a la agrupación todo en uno. Sin embargo, no puede tener reglas superpuestas para la misma C-VLAN bajo un enfoque determinado. Por ejemplo, no puede utilizar una agrupación de varios a uno para asignar C-VLAN 100 a dos S-VLAN diferentes.

Agrupación todo en uno

La agrupación todo en uno asigna todos los paquetes de todas las interfaces de C-VLAN a una S-VLAN.

La interfaz C-VLAN acepta paquetes sin etiquetar y con etiqueta única. A continuación, se agrega una etiqueta S-VLAN 802.1Q a estos paquetes y los paquetes se envían a la interfaz S-VLAN, la cual acepta paquetes sin etiquetar, con una sola etiqueta y con doble etiqueta.

Nota:

Las interfaces C-VLAN y S-VLAN aceptan paquetes sin etiquetar, siempre que la native-vlan-id instrucción esté configurada en estas interfaces.

Agrupación varios a uno

La agrupación varios a uno se utiliza para especificar qué C-VLAN se asignan a una S-VLAN. La agrupación varios a uno se configura mediante la customer-vlans opción.

La agrupación varios a uno se utiliza cuando desea que un subconjunto de las C-VLAN del conmutador de acceso forme parte de la S-VLAN. Cuando se utiliza la agrupación varios a uno, los paquetes etiquetados con prioridad y sin etiquetar se pueden asignar a la S-VLAN cuando se especifica la native opción junto con la customer-vlans opción.

Agrupación de muchos a varios

La agrupación varios a varios se utiliza para especificar qué C-VLAN se asignan a qué S-VLAN.

Utilice la agrupación varios a varios cuando desee que un subconjunto de las C-VLAN del conmutador de acceso forme parte de varias S-VLAN. Con la agrupación de varios a varios, las interfaces de C-VLAN aceptan paquetes sin etiquetar y con etiqueta única. A continuación, se agrega una etiqueta S-VLAN 802.1Q a estos paquetes y los paquetes se envían a las interfaces de S-VLAN, las cuales aceptan paquetes sin etiquetar, con una sola etiqueta y con doble etiqueta.

Nota:

Las interfaces C-VLAN y S-VLAN aceptan paquetes sin etiquetar, siempre que la native-vlan-id instrucción esté configurada en estas interfaces.

Asignación de una interfaz específica

Utilice una asignación de interfaz específica cuando desee asignar una S-VLAN a una C-VLAN específica en una interfaz. La configuración solo se aplica a la interfaz específica, no a todas las interfaces de acceso.

La asignación de interfaz específica tiene dos subopciones: push y swap. Cuando se inserta tráfico asignado a una interfaz específica, el paquete conserva su etiqueta original a medida que se mueve de la C-VLAN a la S-VLAN y se agrega una etiqueta S-VLAN adicional al paquete. Cuando se intercambia el tráfico asignado a una interfaz específica, la etiqueta entrante se sustituye por una nueva etiqueta VLAN. A veces, esto se conoce como reescritura de VLAN o traducción de VLAN.

Por lo general, este método se usa para mantener separados los datos de diferentes clientes o para proporcionar un tratamiento individualizado de los paquetes en una interfaz determinada. También puede usar este método para asignar tráfico VLAN de diferentes clientes a una sola S-VLAN.

Cuando se usa una asignación de interfaz específica, las interfaces C-VLAN aceptan paquetes sin etiquetar y con etiqueta única, mientras que las interfaces S-VLAN aceptan paquetes sin etiquetar, con una sola etiqueta y con doble etiqueta.

Nota:

Las interfaces C-VLAN y S-VLAN aceptan paquetes sin etiquetar, siempre que la native-vlan-id instrucción esté configurada en estas interfaces.

Combinación de métodos y restricciones de configuración

Si configura varios métodos, el conmutador da prioridad a la asignación de una interfaz específica, luego a la agrupación varios a uno y, por último, a la agrupación todo en uno. Una interfaz de acceso configurada en un paquete todo en uno no puede formar parte de un paquete varios a uno. Sin embargo, puede tener asignaciones adicionales definidas.

Para garantizar resultados deterministas, se aplican las siguientes restricciones de configuración:

  • No se puede definir la asignación para vlan sin etiquetar.

  • Una interfaz de acceso puede tener varios rangos de VLAN de cliente, pero una interfaz no puede tener etiquetas superpuestas en las VLAN.

    Por ejemplo, no se permite la siguiente configuración:

    Dado que la customer-2 configuración crea intervalos superpuestos customer-vlan para ge-0/0/0, no es válido.

  • Una interfaz de acceso puede tener una sola regla que asigne un paquete sin etiquetar a una VLAN.

  • Cada interfaz puede tener como máximo una regla de intercambio de asignación por VLAN.

  • Solo puede insertar una etiqueta VLAN en los puertos de acceso de una VLAN Q-in-Q. Esta restricción se aplica a los tres métodos de inserción de una etiqueta VLAN: es decir, agrupación todo en uno, agrupación varios a uno y asignación de una interfaz específica mediante inserción.

  • Puede insertar diferentes etiquetas C-VLAN para una S-VLAN dada en interfaces diferentes. Esto podría dar lugar a que el tráfico se filtre por redes VLAN, dependiendo de su configuración.

Interfaces VLAN enrutadas en VLAN Q-in-Q

Las interfaces VLAN enrutadas (RVI) se admiten en VLAN Q-in-Q.

Los paquetes que llegan a una RVI que usa VLAN Q-in-Q se enrutarán independientemente de si el paquete tiene una o dos etiquetas. Los paquetes enrutados salientes contienen una etiqueta S-VLAN solo cuando salen de una interfaz troncal; los paquetes salen de la interfaz sin etiquetar al salir de una interfaz de acceso.

Restricciones para la tunelización Q-in-Q y la traducción de VLAN

Tenga en cuenta las siguientes restricciones al configurar la tunelización Q-in-Q y la traducción de VLAN:

  • La tunelización Q-in-Q solo admite dos etiquetas VLAN.

  • La tunelización Q-in-Q no admite la mayoría de las funciones de seguridad del puerto de acceso. No hay políticas por VLAN (cliente) ni forma y limitación por VLAN (saliente) con tunelización Q-in-Q, a menos que configure estas funciones de seguridad mediante filtros de firewall.

  • Con las versiones de Junos OS versión 13.2X51 anteriores a la versión 13.2X51-D20, no puede crear una VLAN regular en una interfaz si ha creado una S-VLAN o C-VLAN en esa interfaz para la tunelización Q-in-Q. Esto significa que no puede crear una interfaz de enrutamiento y puente integrados (IRB) en esa interfaz porque las VLAN regulares son una parte necesaria de la configuración IRB. Con la versión 13.2X51-D25 de Junos OS, puede crear una VLAN regular en una interfaz troncal que tenga una S-VLAN, lo que significa que también puede crear una interfaz IRB en el troncalización. En este caso, la VLAN regular y la S-VLAN en la misma interfaz de troncalización no pueden compartir el mismo ID de VLAN. Junos OS versión 13.2X51-D25 no le permite crear una VLAN regular en una interfaz de acceso que tenga una C-VLAN.

  • A partir de Junos OS versión 14.1X53-D40, las interfaces de enrutamiento y puente integrados (IRB) se admiten en VLAN Q-in-Q: puede configurar la interfaz IRB en la misma interfaz que la utilizada por una S-VLAN, y puede usar el mismo ID de VLAN para la VLAN utilizada por la interfaz IRB y para la VLAN utilizada como S-VLAN.

    Los paquetes que llegan a una interfaz IRB que usa VLAN Q-in-Q se enrutarán independientemente de si el paquete tiene una sola etiqueta o una etiqueta doble. Los paquetes enrutados salientes contienen una etiqueta S-VLAN solo cuando salen de una interfaz troncal; los paquetes salen de la interfaz sin etiquetar al salir de una interfaz de acceso.

    Nota:

    Puede configurar la interfaz IRB solo en interfaces S-VLAN (NNI), no en interfaces C-VLAN (UNI).

  • La compatibilidad con conmutadores QFX5K con interfaces Q-in-Q mediante la vlan-tags instrucción se limita a interfaces de capa 2. Es posible que las interfaces de capa 3 configuradas con instrucciones Q-iQ vlan-tags no funcionen como se esperaba.

  • La mayoría de las funciones de seguridad de puerto de acceso no son compatibles con la tunelización Q-in-Q y la traducción de VLAN.

  • No se admite la configuración de la tunelización Q-in-Q y la reescritura/traducción de VLAN en el mismo puerto.

  • Puede configurar como máximo una reescritura/traducción de VLAN para una VLAN e interfaz dadas. Por ejemplo, no puede crear más de una traducción para VLAN 100 en la interfaz xe-0/0/0.

  • El total combinado de VLAN y reglas para la tunelización Q-in-Q y la traducción de VLAN no puede superar los 6000. Por ejemplo, puede configurar y confirmar 4000 VLAN y 2000 reglas para tunelización Q-in-Q y traducción de VLAN. Sin embargo, no puede configurar 4000 VLAN y 2500 reglas para la tunelización Q-in-Q y la traducción de VLAN. Si intenta confirmar una configuración que supera el límite, verá errores de CLI y syslog que le informan sobre el problema.

  • No puede usar el ID de VLAN nativo.

  • Las direcciones MAC se aprenden de las S-VLAN, no de las C-VLAN.

  • El tráfico de difusión, unidifusión desconocida y multidifusión se reenvía a todos los miembros de la S-VLAN.

  • Las siguientes funciones no se admiten con la tunelización Q-in-Q:

    • Relé DHCP

    • canal de fibra sobre Ethernet

    • Protección de origen IP

  • Las siguientes funciones no se admiten con la reescritura/traducción de VLAN:

    • canal de fibra sobre Ethernet

    • Filtro de firewall aplicado a un puerto o VLAN en la dirección de salida

    • VLAN privadas

    • Protocolo de árbol de expansión de VLAN

    • Relé reflectante

Configuración de tunelización Q-in-Q en conmutadores de la serie QFX

La tunelización Q-in-Q y la traducción de VLAN permiten a los proveedores de servicios crear una conexión Ethernet de capa 2 entre dos sitios de clientes. Los proveedores pueden separar el tráfico VLAN de diferentes clientes en un vínculo (por ejemplo, si los clientes utilizan ID de VLAN superpuestos) o agrupar vlan de cliente diferentes en una sola VLAN de servicio. Los centros de datos pueden usar la tunelización Q-in-Q para aislar el tráfico de clientes dentro de un solo sitio o cuando el tráfico de clientes fluye entre centros de datos en la nube en diferentes ubicaciones geográficas.

A partir de Junos OS versión 19.4R1, la línea de conmutadores QFX10000 admite las etiquetas Q-in-Q tercera y cuarta como carga (también conocida como etiqueta de paso) junto con las dos etiquetas existentes (para la coincidencia de VLAN y las operaciones). Los conmutadores QFX10000 admiten varias etiquetas Q-in-Q para puentes de capa 2 y casos de EVPN-VXLAN. Las interfaces de acceso de capa 2 aceptan paquetes con tres o cuatro etiquetas (todas las etiquetas con el valor TPID 0x8100). Todas las etiquetas más allá de la cuarta etiqueta (es decir, a partir de la quinta etiqueta) se consideran parte de la carga de capa 3 y se reenvían de forma transparente.

Nota:

En uno o dos paquetes etiquetados, las etiquetas, la etiqueta 1 y la etiqueta 2 pueden llevar cualquier valor TPID, como 0x8100, 0x88a8, 0x9100 y 0x9200.

Antes de comenzar a configurar la tunelización Q-in-Q, asegúrese de haber creado y configurado las VLAN de cliente necesarias en los conmutadores vecinos. Consulte Configuración de VLAN en conmutadores.

Para configurar la tunelización Q-in-Q:

  1. Cree la VLAN de servicio (S-VLAN) y configure un ID para ella:
  2. Habilite la tunelización Q-in-Q en la S-VLAN:
  3. Establezca las VLAN de cliente permitidas (C-VLAN) en la S-VLAN (opcional). Aquí, las C-VLAN se identifican por un intervalo:
  4. Configure un valor global para el identificador de protocolo de etiqueta (EtherType) de las etiquetas VLAN de servicio (opcional):

Según la configuración de la interfaz, es posible que deba ajustar el valor de la MTU en su troncalización o puertos de acceso para acomodar los 4 bytes utilizados para la etiqueta agregada por la tunelización Q-in-Q. Por ejemplo, si utiliza el valor de MTU predeterminado de 1514 bytes en sus puertos de acceso y troncalización, debe realizar uno de los siguientes ajustes:

  • Reduzca la MTU en los vínculos de acceso en al menos 4 bytes para que las tramas no superen la MTU del vínculo troncal cuando se agregan etiquetas S-VLAN.

  • Aumente la MTU en el vínculo de troncalización para que el vínculo pueda manejar el tamaño de trama más grande.

Configuración de tunelización Q-in-Q en conmutadores de la serie EX con soporte ELS

Nota:

Esta tarea utiliza Junos OS para conmutadores de la serie EX con soporte para el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte Configuración de tunelización Q-in-Q en conmutadores de la serie EX. Para obtener más información sobre ELS, consulte Uso de la CLI mejorada de software de capa 2.

La tunelización Q-in-Q permite a los proveedores de servicios en redes de acceso Ethernet segregar o agrupar el tráfico de clientes en distintas VLAN mediante la adición de otra capa de etiquetas 802.1Q. Puede configurar la tunelización Q-in-Q en conmutadores de la serie EX.

Nota:

No puede configurar la autenticación de usuario 802.1X en interfaces habilitadas para la tunelización Q-in-Q.

Cuando la tunelización Q-in-Q está configurada en conmutadores de la serie EX, se da por sentado que las interfaces de troncalización forman parte de la red del proveedor de servicios y que las interfaces de acceso forman parte de la red del cliente. Por lo tanto, este tema también se refiere a interfaces troncales como interfaces VLAN de proveedor de servicios (S-VLAN) (interfaces de red a red [NNI]) y a interfaces de acceso como interfaces VLAN del cliente (C-VLAN) (interfaces de red de usuario [UNI]).

Antes de comenzar a configurar la tunelización Q-in-Q, asegúrese de configurar las VLAN. Consulte Configurar VLAN para conmutadores de la serie EX con compatibilidad con ELS (procedimiento de CLI) o Configurar VLAN para conmutadores de la serie EX (procedimiento J-Web).

Configure la tunelización Q-in-Q mediante uno de los siguientes métodos para asignar C-VLAN a S-VLAN:

Configuración de la agrupación todo en uno

Puede configurar la tunelización Q-in-Q mediante el método de agrupación todo en uno, que asigna paquetes de todas las interfaces C-VLAN de un conmutador a una S-VLAN.

Para configurar el método de agrupación todo en uno en una interfaz C-VLAN:

  1. Habilite la transmisión de paquetes con ninguna o una sola etiqueta VLAN 802.1Q:
  2. Habilite la encapsulación de puente VLAN extendida:
  3. Asigne paquetes de todas las C-VLAN a una interfaz lógica:
    Nota:

    No puede aplicar más de ocho listas de identificadores vlan a una interfaz física.

  4. Habilite una interfaz C-VLAN para enviar y recibir paquetes sin etiquetar:

    Cuando se especifica un ID de VLAN nativo en una interfaz física de C-VLAN, el valor se debe incluir en la lista de ID de VLAN especificada en la interfaz lógica de C-VLAN en el paso 3.

  5. Especifique que los paquetes que viajan desde una interfaz C-VLAN a una interfaz S-VLAN se etiquetan con el ID de VLAN de la S-VLAN:
  6. Especifique que la etiqueta S-VLAN 802.1Q se elimina a medida que los paquetes salen de una interfaz S-VLAN.
  7. Configure un nombre para la S-VLAN y asocie la interfaz lógica configurada en el paso 3 con la S-VLAN:

La siguiente configuración en la interfaz C-VLAN ge-0/0/1 permite la tunelización Q-in-Q y asigna paquetes de C-VLAN de 100 a 200 a la interfaz lógica 10, que a su vez está asociada con S-VLAN v10. En esta configuración de ejemplo, un paquete originado en C-VLAN 100 incluye una etiqueta con el ID de VLAN 100. Cuando este paquete viaja desde la interfaz ge-0/0/1 a la interfaz S-VLAN, se agrega una etiqueta con ID de VLAN 10. A medida que el paquete sale de la interfaz S-VLAN, se elimina la etiqueta con el ID 10 de VLAN.

Para configurar el método de agrupación todo en uno en una interfaz S-VLAN:

  1. Habilite la transmisión de paquetes sin etiquetas VLAN 802.1Q, una o dos:

  2. Habilite la encapsulación de puente VLAN extendida:

  3. Asigne paquetes desde la interfaz lógica especificada en la configuración de interfaz C-VLAN a la S-VLAN:

  4. Habilite la interfaz S-VLAN para enviar y recibir paquetes sin etiquetar:

    Cuando se especifica un ID de VLAN nativo en una interfaz física S-VLAN, el valor debe coincidir con el ID de VLAN especificado en la interfaz lógica S-VLAN en el paso 3.

  5. Asocie la interfaz S-VLAN con la S-VLAN configurada en el procedimiento de interfaz C-VLAN:

Por ejemplo, la siguiente configuración en la interfaz S-VLAN ge-1/1/1 habilita la tunelización Q-in-Q y asigna paquetes con una etiqueta de ID de VLAN de 10 a la interfaz lógica 10, que a su vez está asociada con S-VLAN v10. .

Configuración de agrupación de varios a varios

Puede configurar la tunelización Q-in-Q mediante el método de agrupación varios a varios, que asigna paquetes de varias C-VLAN a varias S-VLAN.

Para configurar el método de agrupación varios a varios en una interfaz C-VLAN:

  1. Habilite la transmisión de paquetes con ninguna o una sola etiqueta VLAN 802.1Q:
  2. Habilite la encapsulación de puente VLAN extendida:
  3. Asigne paquetes de C-VLAN especificadas a una interfaz lógica:
  4. Habilite una interfaz C-VLAN para enviar y recibir paquetes sin etiquetar:

    Cuando se especifica un ID de VLAN nativo en una interfaz física de C-VLAN, el valor se debe incluir en la lista de ID de VLAN especificada en la interfaz lógica de C-VLAN en el paso 3.

  5. Especifique que los paquetes que viajan desde una interfaz C-VLAN a una interfaz S-VLAN se etiquetan con el ID de VLAN de la S-VLAN:
  6. Especifique que la etiqueta S-VLAN 802.1Q se elimina a medida que los paquetes salen de una interfaz S-VLAN:
  7. Configure un nombre para una S-VLAN y asocie la interfaz lógica configurada en el paso 3 con la S-VLAN:

La siguiente configuración en la interfaz C-VLAN ge-0/0/1 para el cliente 1 permite la tunelización Q-in-Q y asigna paquetes de C-VLAN de 100 a 120 a la interfaz lógica 10, que a su vez está asociada con S-VLAN v10.

La configuración en la interfaz C-VLAN ge-0/0/2 para el cliente 2 permite la tunelización Q-in-Q y asigna paquetes de C- VLAN del 30 al 40, del 50 al 60 y del 70 al 80 a la interfaz lógica 30, que a su vez está asociada con S- VLAN v30.

En esta configuración de ejemplo, un paquete originado en C-VLAN 100 incluye una etiqueta con el ID de VLAN 100. Cuando este paquete viaja desde la interfaz ge-0/0/1 a la interfaz S-VLAN, se agrega una etiqueta con un ID de VLAN de 10. A medida que el paquete sale de la interfaz S-VLAN, se elimina la etiqueta con el ID de VLAN de 10.

Cliente 1

Cliente 2

Para configurar el método de agrupación varios a varios en una interfaz S-VLAN:

  1. Habilite la transmisión de paquetes sin etiquetas VLAN 802.1Q, una o dos:

  2. Habilite la encapsulación de puente VLAN extendida:

  3. Asigne paquetes de cada interfaz lógica especificada en la configuración de interfaz C-VLAN a una S-VLAN:

  4. Habilite una interfaz S-VLAN para enviar y recibir paquetes sin etiquetar:

    Cuando se especifica un ID de VLAN nativo en una interfaz física S-VLAN, el valor debe coincidir con un ID de S-VLAN especificado en la interfaz lógica S-VLAN en el paso 3.

  5. Asocie la interfaz S-VLAN con las S-VLAN configuradas en el procedimiento de interfaz C-VLAN:

Por ejemplo, la siguiente configuración en la interfaz S-VLAN ge-1/1/1 permite la tunelización Q-in-Q y asigna paquetes C-VLAN entrantes a interfaces lógicas 10 y 30, que a su vez están asociadas con S-VLAN v10 y v30, respectivamente.

Configuración de una asignación de interfaz específica con la opción de reescritura de VLAN

Puede configurar la tunelización Q-in-Q asignando paquetes de una C-VLAN especificada a una S-VLAN especificada. Además, mientras los paquetes se transmiten hacia y desde la S-VLAN, puede especificar que la etiqueta C-VLAN 802.1Q se elimine y reemplace por la etiqueta S-VLAN o viceversa.

Para configurar una asignación de interfaz específica con reescritura de VLAN en la interfaz C-VLAN:

  1. Habilite la transmisión de paquetes con ninguna etiqueta VLAN 802.1Q o una sola:
  2. Habilite la encapsulación de puente VLAN extendida:
  3. Asigne paquetes de una C-VLAN especificada a una interfaz lógica:
  4. Habilite la interfaz C-VLAN para enviar y recibir paquetes sin etiquetar:

    Cuando se especifica un ID de VLAN nativo en una interfaz física de C-VLAN, el valor debe coincidir con el ID de VLAN especificado en la interfaz lógica de C-VLAN en el paso 3.

  5. Especifique que la etiqueta C-VLAN 802.1Q existente se elimina de los paquetes que viajan desde una interfaz C-VLAN a una interfaz S-VLAN y se sustituye por la etiqueta S-VLAN 802.1Q:
  6. Especifique que la etiqueta S-VLAN 802.1Q existente se elimina de los paquetes que viajan desde una interfaz S-VLAN a una interfaz C-VLAN y se sustituye por la etiqueta C-VLAN 802.1Q:
  7. Configure un nombre para la S-VLAN y asocie la interfaz lógica configurada en el paso 3 con la S-VLAN:

Por ejemplo, la siguiente configuración en la interfaz C-VLAN ge-0/0/1 permite la tunelización Q-in-Q y asigna paquetes entrantes de C-VLAN 150 a la interfaz lógica 200, que a su vez está asociada con vlan v200. Además, a medida que los paquetes viajan desde la interfaz C-VLAN ge-0/0/1 a una interfaz S-VLAN, la etiqueta C-VLAN 150 se elimina y se sustituye por la etiqueta S-VLAN 200. A medida que los paquetes viajan desde una interfaz S-VLAN a la interfaz C-VLAN ge-0/0/1, la etiqueta S-VLAN 200 se elimina y se sustituye por la etiqueta C-VLAN de 150.

Para configurar una asignación de interfaz específica con reescritura de VLAN en la interfaz S-VLAN:

  1. Habilite la transmisión de paquetes sin etiquetas VLAN 802.1Q, una o dos:

  2. Habilite la encapsulación de puente VLAN extendida:

  3. Asigne paquetes desde la interfaz lógica especificada en la configuración de interfaz C-VLAN a la S-VLAN:

  4. Habilite la interfaz S-VLAN para enviar y recibir paquetes sin etiquetar:

    Cuando se especifica un ID de VLAN nativo en una interfaz física S-VLAN, el valor debe coincidir con el ID de VLAN especificado en la interfaz lógica S-VLAN en el paso 3.

  5. Asocie la interfaz S-VLAN con la S-VLAN configurada en el procedimiento de interfaz C-VLAN: :

Por ejemplo, la siguiente configuración en la interfaz S-VLAN ge-1/1/1 permite la tunelización Q-in-Q y asigna paquetes con ID de VLAN 200 a interfaz lógica 200, que a su vez está asociada con S-VLAN v200.

Configuración de tunelización Q-in-Q en conmutadores de la serie EX

Nota:

Esta tarea utiliza Junos OS para conmutadores de la serie EX que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS).

La tunelización Q-in-Q permite a los proveedores de servicios de redes de acceso Ethernet segregar o agrupar el tráfico de clientes en distintas VLAN mediante la adición de otra capa de etiquetas 802.1Q. Puede configurar la tunelización Q-in-Q en conmutadores de la serie EX.

Nota:

No puede configurar la autenticación de usuario 802.1X en interfaces habilitadas para la tunelización Q-in-Q.

Antes de comenzar a configurar la tunelización Q-in-Q, asegúrese de configurar las VLAN. Consulte Configurar VLAN para conmutadores de la serie EX o Configurar VLAN para conmutadores de la serie EX (procedimiento J-Web).

Para configurar la tunelización Q-in-Q:

  1. Habilite la tunelización Q-in-Q en la S-VLAN:
  2. Establezca las C-VLAN permitidas en la S-VLAN (opcional). Aquí, las C-VLAN se identifican por intervalo de VLAN:
  3. Cambie el valor ethertype global (opcional):
  4. Deshabilitar el aprendizaje de dirección MAC en la S-VLAN (opcional):

Configuración de tunelización Q-in-Q en la serie ACX

SUMMARY 

Descripción general de la tunelización Q-in-Q en la serie ACX

La tunelización Q-in-Q permite a los proveedores de servicios crear una conexión Ethernet de capa 2 entre dos sitios de clientes. Los proveedores pueden separar el tráfico VLAN de diferentes clientes en un vínculo (por ejemplo, si los clientes utilizan ID de VLAN superpuestos) o agrupar vlan de cliente diferentes en una sola VLAN de servicio. Los proveedores de servicios pueden usar la tunelización Q-in-Q para aislar el tráfico de clientes dentro de un solo sitio o para habilitar flujos de tráfico de clientes en ubicaciones geográficas.

La tunelización Q-in-Q agrega una etiqueta VLAN de servicio antes de las etiquetas VLAN 802.1Q del cliente. La implementación del sistema operativo de Juniper Networks Junos de tunelización Q-in-Q admite el estándar IEEE 802.1ad.

En la tunelización Q-in-Q, a medida que un paquete viaja desde una VLAN del cliente (C-VLAN) a la VLAN (S-VLAN) de un proveedor de servicios, se agrega otra etiqueta 802.1Q para la S-VLAN adecuada antes de la etiqueta C-VLAN. La etiqueta C-VLAN permanece y se transmite a través de la red. A medida que el paquete sale del espacio de S-VLAN, en la dirección descendente, se elimina la etiqueta S-VLAN 802.1Q.

En los enrutadores serie ACX, puede configurar la tunelización Q-in-Q configurando explícitamente un mapa VLAN de entrada con push función en interfaces orientadas al cliente en un dominio de puente.

Puede configurar la tunelización Q-in-Q en la interfaz Ethernet agregada mediante la configuración de la asignación de VLAN de entrada y salida.

Configuración de tunelización Q-in-Q en la serie ACX

Para configurar la tunelización Q-in-Q, debe configurar la interfaz lógica conectada a la red del cliente (interfaces de usuario a red (UNI)) y la interfaz lógica conectada a la red del proveedor de servicios (interfaz de red a red (NNI)).

A continuación, se muestra un ejemplo para configurar una interfaz lógica conectada a una red de cliente:

A continuación, se muestra un ejemplo para configurar una interfaz lógica conectada a una red de proveedores de servicios:

El siguiente es un ejemplo para configurar el dominio de puente:

Puede configurar la tunelización Q-in-Q en una interfaz Ethernet agregada conectada a la red del cliente (UNI) y a la interfaz lógica conectada a la red del proveedor de servicios (NNI).

Configuración de tunelización Q-in-Q mediante agrupación todo en uno

Puede configurar la tunelización Q-in-Q mediante el método de agrupación todo en uno, que reenvía todos los paquetes que ingresan en una interfaz C-VLAN a una S-VLAN. (Los paquetes se reenvían a la S-VLAN, independientemente de si están etiquetados o sin etiquetar antes de la entrada.) El uso de este enfoque le ahorra el esfuerzo de especificar una asignación específica para cada C-VLAN.

Primero configure la S-VLAN y su interfaz:

  1. Asigne una interfaz lógica (unidad) para que sea miembro de la S-VLAN.
    Nota:

    No utilice la unidad de interfaz lógica 0. Posteriormente, debe enlazar un ID de etiqueta VLAN a la unidad que especifique en este paso y no puede enlazar un ID de etiqueta VLAN a la unidad 0. También tenga en cuenta que no crea un ID de VLAN para la S-VLAN. El ID se crea automáticamente para la interfaz lógica adecuada.

  2. Habilite la interfaz para transmitir paquetes con dos etiquetas VLAN 802.1Q:
  3. Habilite la encapsulación de puente VLAN extendida en la interfaz:
    Nota:

    Si configura una configuración de estilo empresarial como PVLAN en la misma interfaz física en la que está configurando la tunelización Q-in-Q, utilice set encapsulation flexible-ethernet-services . Consulte Descripción de la encapsulación flexible de servicios Ethernet en conmutadores.

  4. Habilite la interfaz S-VLAN para enviar y recibir paquetes sin etiquetar:
  5. Enlazar la interfaz lógica (unidad) de la interfaz que especificó en el paso 1 al ID de VLAN creado automáticamente para la S-VLAN:
Nota:

Si configuró flexible-ethernet-services, configure vlan-bridge la encapsulación en la interfaz lógica:

Por ejemplo, la siguiente configuración hace que xe-0/0/0.10 sea miembro de VLAN 10, habilita la tunelización Q-in-Q en la interfaz xe-0/0/0, habilita xe-0/0/0 para aceptar paquetes sin etiquetar y enlaza el ID de VLAN de S-VLAN v10 a una interfaz lógica de xe-0/0/0.

Ahora configure la agrupación todo en uno en una interfaz C-VLAN:

  1. Asigne una interfaz lógica (unidad) de la interfaz C-VLAN para que sea miembro de la S-VLAN.

  2. Habilite la interfaz para transmitir paquetes con etiquetas VLAN 802.1Q :

  3. Habilite la encapsulación de puente VLAN extendida en la interfaz:

  4. Habilite la interfaz C-VLAN para enviar y recibir paquetes sin etiquetar:

  5. Configure una interfaz lógica para recibir y reenviar cualquier paquete etiquetado cuya etiqueta de ID de VLAN coincida con la lista de ID de VLAN que especifique:

    PRECAUCIÓN:

    No puede aplicar más de ocho listas de identificadores vlan a una interfaz física. Esta limitación no se aplica a los conmutadores QFX10000.

  6. Configure el sistema para agregar una etiqueta S-VLAN (etiqueta externa) a medida que los paquetes viajan desde una interfaz C-VLAN a la S-VLAN:

    Nota:

    Puede configurar vlan-id en input-vlan-map, pero hacerlo es opcional.

  7. Configure el sistema para quitar la etiqueta S-VLAN cuando los paquetes se reenvían (internamente) desde la interfaz S-VLAN a la interfaz C-VLAN:

Por ejemplo, la siguiente configuración hace que xe-0/0/1.10 sea miembro de S-VLAN v10, habilita la tunelización Q-in-Q, asigna paquetes de C-VLAN de 100 a 200 a S-VLAN 10 y permite que xe-0/0/1 acepte paquetes sin etiquetar. Si un paquete se origina en C-VLAN 100 y necesita enviarse a través de la S-VLAN, se agrega una etiqueta con ID de VLAN 10 al paquete. Cuando se reenvía un paquete (internamente) desde la interfaz S-VLAN a la interfaz xe-0/0/1, se elimina la etiqueta con ID de VLAN 10.

Configuración de tunelización Q-in-Q mediante agrupación de varios a varios

Puede configurar la tunelización Q-in-Q mediante el método de agrupación varios a varios, que asigna paquetes de varias C-VLAN a varias S-VLAN. Este método es conveniente para asignar un rango de C-VLAN sin tener que especificar cada una individualmente. (También puede usar este método para configurar solo una C-VLAN que se asignará a una S-VLAN.)

Primero configure las S-VLAN y asígnelas a una interfaz:

  1. Asigne una interfaz lógica (unidad) para que sea miembro de una de las S-VLAN. No utilice la unidad de interfaz lógica 0.
    Nota:

    Tenga en cuenta que no crea un ID de VLAN para la S-VLAN. El ID se crea automáticamente para la interfaz lógica adecuada.

  2. Repita el paso 1 para las otras S-VLAN.
  3. Habilite la interfaz física para transmitir paquetes con dos etiquetas VLAN 802.1Q:
  4. Habilite la encapsulación de puente VLAN extendida en la interfaz:
  5. Habilite la interfaz S-VLAN para enviar y recibir paquetes sin etiquetar:
  6. Enlazar una de las unidades lógicas de la interfaz al ID de VLAN para una de las S-VLAN.
  7. Repita el paso 6 para enlazar los ID de VLAN creados automáticamente para las otras S-VLAN a las otras unidades lógicas de la interfaz:

Por ejemplo, la siguiente configuración crea S-VLAN v10 y v30 y las asocia con la interfaz xe-0/0/0.10, habilita la tunelización Q-in-Q, habilita xe-0/0/0 para aceptar paquetes sin etiquetar y asigna paquetes C-VLAN entrantes a S-VLAN v10 y v30.

Para configurar el método de agrupación varios a varios en una interfaz C-VLAN, realice los siguientes pasos para cada cliente:

  1. Asigne una interfaz lógica (unidad) de una interfaz C-VLAN para que sea miembro de una S-VLAN.

  2. Repita el paso 1 para asignar otra interfaz C-VLAN (interfaz física) para que sea miembro de otra S-VLAN.

  3. Habilite la interfaz para transmitir paquetes con etiquetas VLAN 802.1Q:

  4. Habilite la encapsulación de puente VLAN extendida en la interfaz:

  5. Habilite la interfaz C-VLAN para enviar y recibir paquetes sin etiquetar:

  6. Para cada interfaz física, configure una interfaz lógica (unidad) para recibir y reenviar cualquier paquete etiquetado cuya etiqueta de ID de VLAN coincida con la lista de ID de VLAN que especifique:

    Para configurar solo una C-VLAN que se asigne a una S-VLAN, especifique solo un ID de VLAN después de vlan-id-list.

    PRECAUCIÓN:

    No puede aplicar más de ocho listas de identificadores vlan a una interfaz física. Esta limitación no se aplica a los conmutadores QFX10000.

  7. Para cada interfaz física, configure el sistema para agregar una etiqueta S-VLAN (etiqueta externa) a medida que los paquetes viajan desde la interfaz C-VLAN a la S-VLAN:

  8. Para cada interfaz física, configure el sistema para quitar la etiqueta S-VLAN cuando los paquetes se reenvían desde la interfaz S-VLAN a la interfaz C-VLAN:

Por ejemplo, la siguiente configuración hace que xe-0/0/1.10 sea miembro de S-VLAN v10, habilita la tunelización Q-in-Q y asigna paquetes de C-VLAN del 10 al 20 a S-VLAN 10. La configuración para el cliente 2 hace que xe-0/0/2.30 sea miembro de S-VLAN v30, habilita la tunelización Q-in-Q y asigna paquetes de C-VLAN de 30 a 40, de 50 a 60 y de 70 a 80 a S-VLAN 30. Ambas interfaces están configuradas para aceptar paquetes sin etiquetar.

Si un paquete se origina en C-VLAN 10 y necesita enviarse a través de la S-VLAN, se agrega una etiqueta con un ID de VLAN 10 al paquete. Si un paquete se reenvía internamente desde la interfaz S-VLAN a xe-0/0/1.10, se elimina la etiqueta con ID de VLAN 10. Los mismos principios se aplican a las C-VLAN configuradas en la interfaz xe-0/0/2.

Nota:

Observe que puede usar el mismo valor de etiqueta para una S-VLAN y C-VLAN. Por ejemplo, la configuración para el cliente 1 asigna el ID de C-VLAN 10 al ID de S-VLAN 10. Las etiquetas C-VLAN y S-VLAN utilizan espacios de nombres independientes, por lo que se permite esta configuración.

Configuración para el cliente 1:

Configuración para el cliente 2:

Configuración de una asignación de interfaz específica con opción de traducción de ID de VLAN

Puede configurar la tunelización Q-in-Q asignando paquetes de una C-VLAN especificada a una S-VLAN especificada. Además, puede configurar el sistema para reemplazar una etiqueta C-VLAN por una etiqueta S-VLAN o reemplazar una etiqueta S-VLAN por una etiqueta C-VLAN (en lugar de un etiquetado doble). Esto es llamada traducción de VLAN o reescritura de VLAN. La traducción de VLAN es particularmente útil si la red de capa 2 de un proveedor de servicios que conecta los sitios de un cliente no admite paquetes con etiqueta doble.

Cuando se utiliza la traducción de VLAN, ambos extremos del vínculo normalmente deben ser capaces de intercambiar las etiquetas adecuadamente. Es decir, ambos extremos del vínculo se deben configurar para cambiar la etiqueta C-VLAN por la etiqueta S-VLAN y cambiar la etiqueta S-VLAN por la etiqueta C-VLAN para que el tráfico en ambas direcciones se etiquete adecuadamente mientras está en tránsito y después de la llegada.

Primero configure la S-VLAN y su interfaz:

  1. Asigne una interfaz lógica para que sea miembro de la S-VLAN. No utilice la unidad 0.
    Nota:

    Tenga en cuenta que no crea un ID de VLAN para la S-VLAN. El ID se crea automáticamente para la interfaz lógica adecuada.

  2. Habilite la interfaz para transmitir paquetes con etiquetas VLAN 802.1Q:
  3. Habilite la interfaz S-VLAN para enviar y recibir paquetes sin etiquetar:
  4. Habilite la encapsulación de puente VLAN extendida en la interfaz:
  5. Enlazar la interfaz lógica (unidad) de la interfaz que especificó anteriormente con el ID de VLAN para la S-VLAN:

Por ejemplo, la siguiente configuración crea S-VLAN v200, hace que xe-0/0/0.200 sea miembro de esa VLAN, habilita la tunelización Q-in-Q en la interfaz xe-0/0/0, habilita xe-0/0/0 para aceptar paquetes sin etiquetar y enlaza una interfaz lógica de xe-0/0/0 al ID de VLAN de VLAN v200.

Ahora configure una asignación de interfaz específica con traducción de ID de VLAN opcional en la interfaz C-VLAN:

  1. Asigne una interfaz lógica de la interfaz C-VLAN para que sea miembro de la S-VLAN.

  2. Habilite la interfaz para transmitir paquetes con etiquetas VLAN 802.1Q:

  3. Habilite la interfaz C-VLAN para enviar y recibir paquetes sin etiquetar:

  4. Habilite la encapsulación de puente VLAN extendida en la interfaz:

  5. Configure una interfaz lógica (unidad) para recibir y reenviar cualquier paquete etiquetado cuya etiqueta de ID de VLAN coincida con los ID de VLAN que especifique:

  6. Configure el sistema para quitar la etiqueta C-VLAN existente y reemplazarla por la etiqueta S-VLAN cuando los paquetes ingresan en la interfaz C-VLAN y se reenvían a la S-VLAN:

  7. Configure el sistema para quitar la etiqueta S-VLAN existente y reemplazarla por la etiqueta C-VLAN cuando los paquetes se reenvían desde la interfaz S-VLAN a la interfaz C-VLAN:

  8. Para configurar una S-VLAN y asociarla a la interfaz C-VLAN adecuada:

Por ejemplo, la siguiente configuración en la interfaz C-VLAN xe-0/0/1.200 permite la tunelización Q-in-Q, habilita xe-0/0/1 para aceptar paquetes sin etiquetar y asigna paquetes entrantes de C-VLAN 150 a la interfaz lógica 200, que es miembro de S-VLAN 200. Además, cuando los paquetes de salida de la interfaz C-VLAN xe-0/0/1 y viajan a la interfaz S-VLAN, la etiqueta C-VLAN de 150 se elimina y se sustituye por la etiqueta S-VLAN de 200. Cuando los paquetes viajan desde la interfaz S-VLAN a la interfaz C-VLAN, la etiqueta S-VLAN de 200 se elimina y se sustituye por la etiqueta C-VLAN de 150.

Ejemplo: Configuración de tunelización Q-in-Q en conmutadores de la serie QFX

Los proveedores de servicios pueden usar la tunelización Q-in-Q para pasar de forma transparente el tráfico de VLAN de capa 2 entre los sitios del cliente sin eliminar ni cambiar las etiquetas VLAN del cliente o la configuración de clase de servicio (CoS). Los centros de datos pueden usar la tunelización Q-in-Q para aislar el tráfico de clientes dentro de un solo sitio o cuando el tráfico de clientes fluye entre centros de datos en la nube en diferentes ubicaciones geográficas.

Nota:

En este ejemplo, se utiliza una versión de Junos OS que no admite el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software compatible con ELS, consulte Configuración de tunelización Q-in-Q en conmutadores serie QFX, NFX y EX4600 con compatibilidad con ELS.

En este ejemplo, se describe cómo configurar la tunelización Q-in-Q:

Requisitos

En este ejemplo, se requiere un dispositivo serie QFX con Junos OS versión 12.1 o posterior.

Antes de comenzar a configurar la tunelización Q-in-Q, asegúrese de haber creado y configurado las VLAN de cliente necesarias en los conmutadores vecinos. Consulte Configuración de VLAN en conmutadores.

Descripción general y topología

En esta red de proveedor de servicios, hay varias VLAN de cliente asignadas a una VLAN de servicio.

Tabla 2 enumera la configuración de la topología de ejemplo.

Tabla 2: Componentes de la topología para configurar la tunelización Q-in-Q
Interfaz Descripción

xe-0/0/11.0

Puerto de troncalización S-VLAN etiquetado

xe-0/0/12.0

Puerto de acceso sin etiquetar orientado al cliente

xe-0/0/13.0

Puerto de acceso sin etiquetar orientado al cliente

xe-0/0/14.0

Puerto de troncalización S-VLAN etiquetado

Configuración

Configuración rápida de CLI

Para crear y configurar rápidamente la tunelización Q-in-Q, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento

Procedimiento paso a paso

Para configurar la tunelización Q-in-Q:

  1. Establezca el ID de VLAN para la S-VLAN:

  2. Habilite la tunelización Q-in-Q y especifique los rangos de VLAN del cliente:

  3. Establezca el modo de puerto y la información de VLAN para las interfaces:

  4. Establezca el valor Ethertype Q-in-Q (opcional):

Resultados

Compruebe los resultados de la configuración:

Verificación

Confirme que la configuración funciona correctamente.

Verificar que la tunelización Q-in-Q estaba habilitada

Propósito

Verifique que la tunelización Q-in-Q esté habilitada correctamente.

Acción

Utilice el show vlans comando:

Significado

El resultado indica que la tunelización Q-in-Q está habilitada y que la VLAN está etiquetada y muestra las VLAN del cliente asociadas.

Ejemplo: Configuración de tunelización Q-in-Q en conmutadores de la serie EX

Los proveedores de servicios pueden usar la tunelización Q-in-Q para pasar de forma transparente el tráfico de VLAN de capa 2 desde un sitio de cliente, a través de la red del proveedor de servicios, a otro sitio de cliente sin eliminar ni cambiar las etiquetas VLAN del cliente o la configuración de clase de servicio (CoS). Puede configurar la tunelización Q-in-Q en conmutadores de la serie EX.

En este ejemplo, se describe cómo configurar Q-in-Q:

Requisitos

En este ejemplo, se requiere un conmutador de la serie EX con Junos OS versión 9.3 o posterior para conmutadores de la serie EX.

Antes de comenzar a configurar la tunelización Q-in-Q, asegúrese de haber creado y configurado las VLAN de cliente necesarias. Consulte Configurar VLAN para conmutadores de la serie EX o Configurar VLAN para conmutadores de la serie EX (procedimiento J-Web).

Descripción general y topología

En esta red de proveedor de servicios, hay varias VLAN de cliente asignadas a una VLAN de servicio.

Tabla 3 enumera la configuración de la topología de ejemplo.

Tabla 3: Componentes de la topología para configurar la tunelización Q-in-Q
Interfaz Descripción

ge-0/0/11.0

Puerto de troncalización S-VLAN etiquetado

ge-0/0/12.0

Puerto de acceso sin etiquetar orientado al cliente

ge-0/0/13.0

Puerto de acceso sin etiquetar orientado al cliente

ge-0/0/14.0

Puerto de troncalización S-VLAN etiquetado

Configuración

Configuración rápida de CLI

Para crear y configurar rápidamente la tunelización Q-in-Q, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento

Procedimiento paso a paso

Para configurar la tunelización Q-in-Q:

  1. Establezca el ID de VLAN para la S-VLAN:

  2. Habilite la tuennling Q-in-Q y especifique los rangos de VLAN del cliente:

  3. Establezca el modo de puerto y la información de VLAN para las interfaces:

  4. Establezca el valor Ethertype Q-in-Q:

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar que la tunelización Q-in-Q estaba habilitada

Propósito

Verifique que la tunelización Q-in-Q esté habilitada correctamente en el conmutador.

Acción

Utilice el show vlans comando:

Significado

El resultado indica que la tunelización Q-in-Q está habilitada y que la VLAN está etiquetada y muestra las VLAN del cliente asociadas.

Configuración de una configuración de traducción de etiquetas de VLAN dual en conmutadores QFX

A partir de Junos OS versión 14.1X53-D40, puede usar la función de traducción de etiquetas de VLAN dual (también conocida como reescritura de etiquetas VLAN dual) para implementar conmutadores en dominios de proveedores de servicios, lo que permite que los paquetes VLAN con etiqueta doble, con etiqueta única y sin etiqueta entren o salgan del conmutador.

En la siguiente configuración de ejemplo se muestra el uso de las operaciones de etiqueta dual swap-swap, pop-swap e swap-push.

Verificar que la tunelización Q-in-Q funciona en conmutadores

Propósito

Después de crear una VLAN Q-in-Q, compruebe que está configurada correctamente.

Acción

  1. Utilice el show configuration vlans comando para determinar si creó correctamente las configuraciones de VLAN principal y secundaria:

  2. Utilice el comando para ver la show vlans información de VLAN y el estado del vínculo:

Significado

El resultado confirma que la tunnling Q-in-Q está habilitada y que la VLAN está etiquetada y enumera las VLAN del cliente que están asociadas con la VLAN etiquetada.

Tabla de historial de versiones
Liberación
Descripción
19.4R1
A partir de Junos OS versión 19.4R1, la línea de conmutadores QFX10000 admite las etiquetas Q-in-Q tercera y cuarta como carga (también conocida como etiqueta de paso) junto con las dos etiquetas existentes (para la coincidencia de VLAN y las operaciones).
14.1X53-D40
A partir de Junos OS versión 14.1X53-D40, puede usar la función de traducción de etiquetas de VLAN dual (también conocida como reescritura de etiquetas VLAN dual) para implementar conmutadores en dominios de proveedores de servicios, lo que permite que los paquetes VLAN con etiqueta doble, con etiqueta única y sin etiqueta entren o salgan del conmutador.
14.1X53-D30
A partir de Junos OS 14.1X53-D30, puede configurar la misma interfaz para que sea una interfaz S-VLAN/NNI y una interfaz C-VLAN/UNI.