電信運(yùn)營商城域網(wǎng)架構(gòu)關(guān)鍵技術(shù)-QinQ雙層標(biāo)簽

QinQ技術(shù)的應(yīng)用場景：

       在運(yùn)營商的網(wǎng)絡(luò)中每一個(gè)用戶都需要放入一個(gè)單獨(dú)的VLAN中，以便實(shí)現(xiàn)進(jìn)行各用戶之間的隔離，但是由于802.1q中VLAN TAG只有12比特，導(dǎo)致 vlan數(shù)量最多只能有4096個(gè)無法滿足城域網(wǎng)中大量用戶的隔離需求，這時(shí)就用到了QinQ技術(shù)。

       QinQ技術(shù)是通過在原有的802.1q的基礎(chǔ)上增加了一層802.1q標(biāo)簽來實(shí)現(xiàn)的，使得VLAN數(shù)量擴(kuò)展到4094 * 4094個(gè)。如下圖：

下面通過實(shí)驗(yàn)來詳細(xì)說明，通過華為設(shè)備在運(yùn)營商城域網(wǎng)中如何部署QINQ技術(shù)。

實(shí)驗(yàn)拓?fù)?/span>

使用eNSP模擬器（版本V100R002C00 1.2.00.370）

環(huán)境描述

       城域網(wǎng)用戶的接入大致拓?fù)錇椋?/span>BRAS設(shè)備（理解為路由器，只是多了寬帶接入功能）→OLT設(shè)備（理解為一個(gè)大交換機(jī)就行了）→分光器（純物理層設(shè)備）→ONU設(shè)備（理解為用戶接入交換機(jī)就行了）→家庭用戶，如上圖所示通過在ONU設(shè)備上劃分VLAN對(duì)用戶進(jìn)行隔離，每個(gè)用戶屬于一個(gè)VLAN，如果這樣的話，一臺(tái)OLT下的VLAN ID明顯不夠用，圖中只接了2個(gè)ONU設(shè)備，在真實(shí)環(huán)境下一臺(tái)OLT的下面一定掛著很多ONU設(shè)備這時(shí)4096個(gè)VLAN肯定不夠用的，這時(shí)可以使用QinQ技術(shù)解決OLT下VLAN ID不夠的問題！因?yàn)閮蓪訕?biāo)簽的情況下，VLAN的數(shù)量可以達(dá)到4096*4096個(gè)，一臺(tái)OLT設(shè)備下不可能掛這么多的用戶的。

實(shí)驗(yàn)規(guī)劃

Win7 （VLAN 100）：192.168.100.10/24

C2 （VLAN 200）：192.168.100.20/24

C3 （VLAN 300）：192.168.200.10/24

C4 （VLAN 400）：192.168.200.20/24

OLT  G0/0/1 （VLAN 10）

OLT  G0/0/2 （VLAN 20）

實(shí)驗(yàn)需求

1.在OLT設(shè)備上配置QinQ解決VLAN ID不夠問

2.在BRAS設(shè)備上配置子接口脫兩層標(biāo)簽終結(jié)VLAN

3.在BRAS設(shè)備上配置PPPOE撥號(hào)功能，模擬實(shí)現(xiàn)家庭用戶撥號(hào)上網(wǎng)。

4.抓包分析PPPOE報(bào)文。

實(shí)驗(yàn)配置

SW1配置：都是基本的交換要常規(guī)配置

<SW1>system-view

[SW1]vlanbatch 100 200

[SW1]inte0/0/1

[SW1-Ethernet0/0/1]portlink-type access

[SW1-Ethernet0/0/1]portdefault vlan 100

[SW1-Ethernet0/0/1]inte0/0/2

[SW1-Ethernet0/0/2]portlink-type access

[SW1-Ethernet0/0/2]portdefault vlan 200

[SW1-Ethernet0/0/2]intg0/0/1

[SW1-GigabitEthernet0/0/1]portlink-type trunk

[SW1-GigabitEthernet0/0/1]porttrunk allow-pass vlan 100 200

SW2配置：

<SW2>system-view

[SW2]vlanbatch 300 400

[SW2]inte0/0/1

[SW2-Ethernet0/0/1]portlink-type access

[SW2-Ethernet0/0/1]portdefault vlan 300

[SW2-Ethernet0/0/1]inte0/0/2

[SW2-Ethernet0/0/2]portlink-type access

[SW2-Ethernet0/0/2]portdefault vlan 400

[SW2-Ethernet0/0/2]intg0/0/1

[SW2-GigabitEthernet0/0/1]portlink-type trunk

[SW2-GigabitEthernet0/0/1]porttrunk allow-pass vlan 300 400

OLT配置：

[OLT]vlanbatch 10 20

[OLT]intg0/0/1

[OLT-GigabitEthernet0/0/1]portlink-type dot1q-tunnel      //配置端口類型為dot1q-tunnel

[OLT-GigabitEthernet0/0/1]portdefault vlan 10               //配置外層VLAN ID（這里使用的是靜態(tài)的外層VLAN標(biāo)記技術(shù)，現(xiàn)網(wǎng)通常使用靈活QINQ技術(shù)打外層標(biāo)簽）

[OLT-GigabitEthernet0/0/1]intg0/0/2

[OLT-GigabitEthernet0/0/2]portlink-type dot1q-tunnel

[OLT-GigabitEthernet0/0/2]portdefault vlan 20

[OLT-GigabitEthernet0/0/3]portlink-type trunk                 //配置端口類型為TRUNK

[OLT-GigabitEthernet0/0/3]porttrunk allow-pass vlan 10 20    //允許VLAN 10 和 VLAN 20流量通過，簡稱上行口透傳業(yè)務(wù)VLAN。

BRAS配置：

[BRAS]intg0/0/0.10             //配置子接口

[BRAS-GigabitEthernet0/0/0.10]qinqtermination pe-vid 10 ce-vid 100 to 200   //配置終結(jié)雙層TAG  pe-vid為外層TAG，ce-vid為內(nèi)層TAG

在最新版的華為模擬器中只有Router路由器支持終結(jié)多個(gè)內(nèi)層VLAN，在AR系列路由器中是沒有”to vlan-id”命令的。

[BRAS-GigabitEthernet0/0/0.10]ipadd 192.168.100.1 24

[BRAS-GigabitEthernet0/0/0.10]intg0/0/0.20

[BRAS-GigabitEthernet0/0/0.20]qinqtermination pe-vid 20 ce-vid 300 to 400

[BRAS-GigabitEthernet0/0/0.20]ipadd 192.168.200.1 24

用win7  ping BRAS設(shè)備，并在OLT的G0/0/3端口上抓包驗(yàn)證

會(huì)發(fā)現(xiàn)有2層VLAN 標(biāo)簽，外層為VLAN10，內(nèi)層為VLAN100（PC1）

用C3 ping BRAS設(shè)備，并在OLT G0/0/3端口上抓包驗(yàn)證

如圖外層為LAN 20，內(nèi)層為VLAN 300（PC3）

通過以上驗(yàn)證說明QinQ配置生效，現(xiàn)在OLT設(shè)備上一個(gè)端口下就可以掛4094個(gè)VLAN（華為設(shè)備0和4095保留了）

這里思考一個(gè)問題：我用win 7ping BRAS的時(shí)候是雙層TAG，那么BRAS回包的時(shí)候是否有TAG呢?如果有，那BRAS是如何區(qū)分內(nèi)層TAG到底是VLAN 100 還是 VLAN 300 的呢？

抓取一個(gè)ICMP的reply報(bào)文

通過上圖可以發(fā)現(xiàn)BRAS的回報(bào)依然是雙層TAG，那么他是如何區(qū)分內(nèi)層VLAN是VLAN 100 還是 VLAN 200 呢？

在BRAS上通過命令“display arp”來查看ARP表

通過上圖可以得出結(jié)論如下結(jié)論

BRAS對(duì)于下行的數(shù)據(jù)流，根據(jù)ARP表項(xiàng)信息，對(duì)IP報(bào)文進(jìn)行MAC地址及雙層VLAN封裝！

PPPOE配置：

BRAS配置

[BRAS]aaa

[BRAS-aaa]authentication-scheme test   //配置認(rèn)證方案，名稱為test

[BRAS-aaa-authen-test]authentication-mode local //配置認(rèn)證模式為本地認(rèn)證

[BRAS-aaa-authen-test]quit

[BRAS-aaa]domain pppoe                  //指定一個(gè)域名

[BRAS-aaa-domain-pppoe]authorization-schemetest   //配置域的認(rèn)證方案，名稱必須為已認(rèn)證的方案名稱

[BRAS-aaa-domain-pppoe]quit

[BRAS-aaa]local-user jack password cipherabc123   //創(chuàng)建一個(gè)撥號(hào)賬號(hào)

[BRAS-aaa]local-user jack service-type ppp            //將賬號(hào)類型設(shè)為PPP

[BRAS-aaa]quit    

[BRAS]ip pool pppoe                             //創(chuàng)建一個(gè)地址池

[BRAS-ip-pool-pppoe]gateway-list 10.10.10.1    //配置地址池出口的網(wǎng)關(guān)地址

[BRAS-ip-pool-pppoe]network 10.10.10.0 mask24   //配置地址池范圍

[BRAS-ip-pool-pppoe]quit

[BRAS]interface Virtual-Template 1          //創(chuàng)建一個(gè)虛擬接口模板視圖

[BRAS-Virtual-Template1]ip address 10.10.1.124  //配置虛擬接口地址，該地址必須和地址池內(nèi)地址在同一段

[BRAS-Virtual-Template1]remote address poolpppoe //指定為客戶機(jī)分配地址的地址池

[BRAS-Virtual-Template1]pppauthentication-mode pap domain pppoe

//配置驗(yàn)證方式為pap，指定用戶采用pppoe域認(rèn)證

[BRAS-Virtual-Template1]ppp ipcp dns 8.8.8.8  //配置DNS

[BRAS-Virtual-Template1]quit

[BRAS]interface g0/0/0.10

[BRAS-GigabitEthernet0/0/0.10]pppoe-serverbind virtual-template 1

//在接口上啟用PPPOE協(xié)議并綁定虛擬接口認(rèn)證

[BRAS-GigabitEthernet0/0/0.10]intg0/0/0.20

[BRAS-GigabitEthernet0/0/0.20]pppoe-serverbind virtual-template 1

Win7撥號(hào)驗(yàn)證

通過驗(yàn)證發(fā)現(xiàn)撥到的地址為地址池范圍內(nèi)的地址，DNS為BRAS指定的DNS說明配置生效。

抓包分析PPPOE報(bào)文

PPPOE分為“發(fā)現(xiàn)階段和會(huì)話階段”

發(fā)現(xiàn)階段分為如下4個(gè)報(bào)文：

客戶端廣播請(qǐng)求PADI，查找網(wǎng)絡(luò)中的服務(wù)器

服務(wù)器響應(yīng)PADO，將自己的一些信息告知客戶端

客戶端向此服務(wù)器發(fā)送PADR，請(qǐng)求會(huì)話號(hào)

服務(wù)器端響應(yīng)PADS，將分配的會(huì)話號(hào)告知對(duì)方

PPPOE發(fā)現(xiàn)階段主要的任務(wù)就是請(qǐng)求會(huì)話號(hào)

四種報(bào)文

PADI

PADO

PADR

PADS

PPPOE會(huì)話階段

會(huì)話階段有三個(gè)過程：

LCP協(xié)商：完成二層的建鏈和參數(shù)協(xié)商

認(rèn)證：主要使用PAP（明文）\CHAP（密文）\MSCHAP

NCP協(xié)商：使用IPCP協(xié)議，完成三層的配置

數(shù)據(jù)傳輸

LCP協(xié)商階段

LACP認(rèn)證

總結(jié)：通過本實(shí)驗(yàn)可以知道運(yùn)營商的城域網(wǎng)，每個(gè)家庭用戶之間是通過用戶VALN（C-VLAN）相互隔離的，即使你家和鄰居家連接到同一臺(tái)ONU設(shè)備，由于VLAN不同也是相互隔離的。在上層的OLT或者匯聚層交換機(jī)上，為了保證VLAN數(shù)量夠用，需要使用到第二層標(biāo)簽，稱為運(yùn)營商VLAN（P-VLAN）再次隔離。帶著兩層標(biāo)簽的用戶業(yè)務(wù)數(shù)據(jù)到達(dá)路由器BRAS后，會(huì)通過終結(jié)兩層標(biāo)簽的方式取出三層數(shù)據(jù)。同時(shí)運(yùn)營商網(wǎng)絡(luò)為了實(shí)現(xiàn)用戶的身份驗(yàn)證和計(jì)費(fèi)等操作，使用了PPPOE技術(shù)。