QinQ原理与配置指导书

一、

QinQ简介 ............................................................ 2 (一) QinQ概述 .............................................................. 2 (二) QinQ特性 .............................................................. 4

1. 二层接口的QinQ ...................................................... 4 2. QinQ Mapping ........................................................ 5 3. 终结子接口 .......................................................... 5 4. 动态QinQ ............................................................ 8 5. QinQ终结子接口支持URPF ............................................ 10 (三) 总结 ................................................................. 10 (四) 思考 ................................................................. 10 一、 ME60侧配置QinQ ..................................................... 10

(一) 配置QinQ二层隧道 .................................................... 10

1. 建立配置任务 ....................................................... 10 2. 创建QinQ二层接口的外层VLAN ........................................ 11 3. 配置二层接口的QinQ功能 ............................................ 11 4. （可选）配置外层Tag的协议类型 ..................................... 12 5. 检查配置结果 ....................................................... 12 (二) 配置二层灵活QinQ ..................................................... 14

1. 建立配置任务 ....................................................... 14 2. 创建QinQ二层接口的外层VLAN ........................................ 14 3. 配置二层灵活QinQ接口 .............................................. 15 4. （可选）配置外层Tag的协议类型 ..................................... 15 5. 检查配置结果 ....................................................... 16 (三) 配置动态QinQ ......................................................... 17

1. 建立配置任务 ....................................................... 17 2. 配置接口的模式为用户终结模式 ....................................... 18 3. 配置动态QinQ ....................................................... 18 4. 配置DHCP Snooping .................................................. 19 5. 检查配置结果 ....................................................... 19 (四) 配置QinQ终结子接口支持URPF .......................................... 21

1. 建立配置任务 ....................................................... 21 2. 配置以太网主接口 ................................................... 21 3. 配置以太网子接口 ................................................... 22 4. 配置QinQ子接口的URPF功能 ......................................... 22 5. 检查配置结果 ....................................................... 22 (五) 配置Bras用户侧QinQ .................................................. 23

1. 建立配置任务 ....................................................... 23 2. 创建用户侧VLAN ..................................................... 24 3. 检查配置结果 ....................................................... 24 (六) 维护QinQ ............................................................. 24

1. 6.5.6.13.1 清除QinQ的统计信息 ..................................... 25 2. 监控终结子接口运行状况 ............................................. 25 3. 调试QinQ ........................................................... 25

二、 ME60侧QinQ配置举例 ................................................ 26

(一) 配置QinQ二层隧道示例 ................................................ 26

1. 组网需求 ........................................................... 26 2. 配置思路 ........................................................... 27 3. 数据准备 ........................................................... 27

4. 操作步骤 ........................................................... 27 5. 配置文件 ........................................................... 29 (二) 配置二层灵活QinQ示例 ................................................ 31

1. 组网需求 ........................................................... 31 2. 配置思路 ........................................................... 32 3. 数据准备 ........................................................... 32 4. 操作步骤 ........................................................... 32 5. 配置文件 ........................................................... 34 (三) 配置动态QinQ示例 .................................................... 36

1. 组网需求 ........................................................... 36 2. 配置思路 ........................................................... 37 3. 数据准备 ........................................................... 37 4. 操作步骤 ........................................................... 38 5. 配置文件 ........................................................... 44 (四) 配置QinQ终结子接口支持URPF示例 ..................................... 47

1. 组网需求 ........................................................... 47 2. 配置思路 ........................................................... 48 3. 数据准备 ........................................................... 48 4. 操作步骤 ........................................................... 48 5. 配置文件 ........................................................... 50 (五) 配置用户侧QinQ示例 .................................................. 51

6. 组网需求 ........................................................... 51 7. 配置思路 ........................................................... 52 8. 数据准备 ........................................................... 52 9. 操作步骤 ........................................................... 52 10. 配置文件 ......................................................... 53

一、 QinQ简介

(一) QinQ概述

QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能，可以使私网VLAN透传公网。

在基于传统的802.1Q协议的二层局域网互联模式中，当两个用户网络需要通过服务提供商（ISP）互相访问时，ISP必须为每个接入用户的不同VLAN分配不同的VLAN ID，如图1所示。假设用户的网络1和网络2位于两个不同地点，并分别通过ISP的PE1、PE2接入骨干网。

如果用户需要将网络1的VLAN100～VLAN200和网络2的VLAN100～VLAN200互联起来，那么必须将CE1、PE1、P和PE2、CE2的相连端口都配置为Trunk属性，并允许VLAN100～VLAN200通过。

这种配置方法使得用户的VLAN在骨干网络上可见，而非透明传输。这不仅耗费服务提供商的VLAN ID资源（一般只有4094个VLAN ID），而且还需要服务提供商管理用户的VLAN号，用户也没有自己规划VLAN的权利。

当接入的用户数目很多时，可能使ISP网络的VLAN ID不够用（只允许有4094个VLAN ID）。另外，不同的用户也不能使用相同的VLAN ID，用户的VLAN ID需要由ISP统一规划。

QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能，可以使私网VLAN透传公网，有效的解决了上述问题。

QinQ协议是基于IEEE 802.1Q技术的一种二层隧道协议。由于在骨干网中传递的报文有两层802.1Q Tag头（一层公网Tag，一层私网Tag），即802.1Q-in-802.1Q所以称之为QinQ协议。

这样，ISP网络只需为来自同一用户网络的不同VLAN提供一个VLAN ID，节约了ISP的VLAN ID，以解决日益紧张的ISP网络VLAN ID资源紧张的问题。同时也为小型城域网或者局域网提供一种较为简单的二层VPN解决方案。

QinQ技术虽然至今还没正式的协议，但由于其方便易用的特点，现在已经在各运营商中得到了广泛的应用。如QinQ技术在城域以太网解决方案中和多种业务相结合。特别是灵活QinQ（VLAN Stacking）的出现，使得QinQ业务更加受到了运营商的推崇和青睐，它具有不同用户之间的VLAN与公网VLAN有效分离、最大限度节省运营商网

络的VLAN资源等特点。随着城域以太网的大力发展，各个设备提供商都提出了各自的城域以太网的解决方案，QinQ因为其自身简单灵活的特点，在各解决方案中扮演着重要的角色。

(二) QinQ特性

QinQ因为其自身简单灵活的特点，在各解决方案中扮演着重要的角色。

1. 二层接口的QinQ

? QinQ二层隧道

? 灵活QinQ（VLAN Stacking） ? QinQ 内、外层Tag EType兼容性

如图1所示，在802.1Q中规定TPID（Tag Protocol Identifier）的EType的值为0x8100。在QinQ封装中，各个设备厂商的内层TPID的EType的值为0x8100，但是对于外层TPID的EType，各个厂商所使用的值不相同。

ME60支持QinQ外层Tag EType兼容性，即支持识别和封装不同外层EType值的报文，实现与不同厂商设备的互通。

说明： 在IEEE 802.1ad中规定外层TPID的 EType字段的定义为0x88a8。 如图2所示，ME60B的入接口能够识别出外层EType值为0x9100的QinQ报文，并在出接口，根据不同厂商的设备设置不同的外层TPID的EType值，例如0x9100，0x8100或者其他数值，以保证和不同厂商设备间的互通。

2. QinQ Mapping

在实际组网中，QinQ Mapping功能可以将用户的VLAN Tag映射为运营商的VLAN Tag，从而起到屏蔽不同用户VLAN Tag的作用。

QinQ Mapping功能一般部署在ME边缘设备上，对用户侧上送的报文进行映射操作。将用户报文携带的Tag映射用户指定的Tag后再接入公网。QinQ Mapping功能常应用于但不局限于以下场景：

? 新局点和老局点部署的VLAN ID冲突，但是新局点需要与老局点互通。 ? 接入公网的各个局点规划不一致，导致VLAN ID冲突，但是各个局点之间不

需要互通。

? 公网两端的VLAN ID规划不对称。 目前，ME60支持以下映射方式： ? 1 to 1的映射方式

当部署QinQ Mapping功能设备上的子接口收到带有一层Tag的报文时，将报文中携带的一层Tag映射为指定的一层Tag。

3. 终结子接口

终结主要是指设备对报文的单层或者双层Tag进行识别，然后根据后续的转发行为对单层或者双层Tag进行剥离或继续传送。

终结一般在路由子接口上执行，即：终结子接口。

? 如果子接口是对报文的单层Tag终结，那么该子接口称为Dot1q终结子接口。 ? 如果子接口是对报文的双层Tag终结，那么该子接口称为QinQ终结子接口。 VLANIF接口、Dot1q子接口、Dot1q和QinQ终结子接口区别如表1所示。

支持的VPN业务 接口类型 VLANIF接口 说明 ? 通过命令interface vlanif创建VLANIF接口。 ? VLANIF接口是逻辑接口、是三层接口，可配置IP地址，实现网络层互通。 VLL （CCC方式） 不支持 PWE3 不支持 VPLS 支持 L3VPN 支持 区别 ? Dot1q子接口和Dot1q终结子接口功能相同，不同点在于Dot1q子接口在一个子接口上只能封装一个VLAN，而Dot1q终结子接口在一个子接口上可封装多个VLAN。 ? 同一主接口不同子接口下可以同时部署Dot1q终结子接口和QinQ终结子接口。即，同一主接口下既能终结单层Tag的报文，也能终结双层Tag的报文。同一主接口下配置了QinQ终结功能，终结单层Tag报文只能用Dot1q终结子接口，而不能用Dot1q子接口。 Dot1q子接口 通过命令vlan-type支持 对以太网子接口进行的VLAN类型封装。 Dot1q终结子接口 通过命令dot1q 不支持 termination vid配置子接口对一层Tag报文的终结功能。 QinQ终结子接口 通过命令qinq 支持 termination pe-vid ce-vid配置子接口对两层Tag报文的终结功能。

支持 支持 支持 支持 支持 支持 支持 支持 终结子接口具体的实现方法、功能和具体的应用场景有一定关系。如图3所示，QinQ/Dot1q终结子接口支持部署的业务如表4所示：

表4 终结子接口支持部署的业务

支持部署的业务 QinQ/Dot1q终结子接口 IP业务 终结子接口类型 业务子类型 说明 ARP代理 终结子接口通常支持一个范围内的VLAN接入同一网段。位于该同一网段的用户属于不同的VLAN，这样在二层就无法实现互通，需要进行三层IP转发。因此终结子接口需要能够支持ARP代理功能。 DHCP ? 终结子接口支持DHCP Server? DHCP Server 是指在终结子接口可以配置DHCP ? DHCP Relay Server的功能，通过终结子接口为用户分配IP地址。 ? 终结子接口支持DHCP Relay的功能，把用户的Tag信息插入Option82，作为DHCP Server分配IP地址和其他参数的合法性依据和参考。 VRRP 用户往往要求时时与网络其他部分保持通信畅通，这样就需要采用VRRP协议保证终端用户与网络的联系可靠、稳定、不中断，需要终结子接口支持VRRP协议。终结子接口支持VRRP协议提供了一种Dot1q/QinQ用户的主备机制。 组播业务 二层组播 三层组播 QinQ终结子接口 802.1p和DSCP Remark - 802.1p- 和EXP（MPLS）Remark 在终结子接口绑定的VSI上配置运行IGMP Snooping，通过侦听组播设备和主机之间发送的IGMP协议报文消息，就可以获知哪些端口下有组播数据的接收者，则组播数据报文就不会在二层网络中广播，而是进行二层组播，这样就只有组播组成员能够收到组播数据报文。 带有两层Tag的组播协议报文通过UPE接入上层网络。要求在UPE上配置QinQ终结子接口支持IGMP或者Dot1q终结子接口支持IGMP，在UPE上建立组播组成员转发表和路由表，当从用户侧发出的组播协议报文经过时，能被识别并根据业务Tag上送给对应的组播流。而组播流量下发时，能够根据已建立的组播组成员转发表，复制和下发组播流量。 PE设备进行QinQ终结后，报文被发往ISP的IP网络。为了保证用户数据报文中原来的QoS信息不丢失，需要配置两层Tag报文的802.1p值到DSCP的映射。 PE设备进行QinQ终结后，报文被发往ISP的MPLS网络。为了保证用户数据报文中原来的QoS信息不丢失，需要配置两层VLAN Tag报文的802.1p值到EXP的映射。

说明： 终结子接口支持部署的业务不局限于表4所示。

4. 动态QinQ

普通QinQ终结子接口最多可以配置终结16K个不同内外层Tag组合的用户报文。当这样的用户报文超过16K个时，可以使用动态QinQ功能，此时，QinQ终结子接口最多可以配置终结64K个不同内外层Tag组合的用户报文。

说明： QinQ终结子接口下配置动态QinQ功能后，不能再配置该子接口接入VLL、PWE3和VPLS，以及静态ARP和静态DHCP snooping绑定表。

如图4所示，DHCP Client通过两级交换机与DHCP Relay连接，并通过DHCP Relay从DHCP Server申请合法的IP地址。

在DHCP Relay的Client侧的终结子接口上配置动态QinQ，当用户上线时为用户分配VLAN Tag资源。配置ARP和DHCP绑定表联动后，当用户申请到IP地址后发生异常下线，系统可以自动感知，并会自动删除DHCP绑定表中的绑定关系并通知DHCP Server释放IP地址和VLAN Tag资源。

对于配置了动态QinQ的接口，绝大多数情况下都是用户主动发送ARP请求到网关设备。如果设备上同时也配置了ARP严格学习功能，那么该设备的所有接口只会学习自己主动发出ARP请求收到的应答报文，而不会学习其他设备发送的请求报文。这样就可能会导致该设备的动态QinQ接口学习不到用户的ARP表项，出现用户无法上线的现象。此时，可以在配置了动态QinQ的接口上使用arp learning strict force-disable命令，保证该接口可以学习到用户发送的ARP请求。

5. QinQ终结子接口支持URPF

URPF（Unicast Reverse Path Forwarding）是单播逆向路径转发的简称，其主要功能是防止基于源地址欺骗的网络攻击行为。

为防止基于源地址欺骗的网络攻击行为通过QinQ终结子接口进入用户网络，需要QinQ终结子接口要能够支持单播逆向路径转发URPF功能。

QinQ终结子接口URPF功能的实现。首先获取报文的源地址、内外层VLAN tag和入接口信息，然后以报文的源地址为目的地址，在转发表中查找出对应的接口和内外层VLAN tag，并检查是否匹配，如果不匹配，认为源地址是伪装的，丢弃该报文。通过这种方式，URPF就能有效地防范网络中通过修改源地址而进行的恶意攻击行为的发生。

按照检查方式的不同，URPF可以分为两种类型：

松散检查，只要在转发表中存在相应的路由表项就通过URPF检查。

严格检查，不但要求在转发表中存在相应表项，还要求接口信息一定匹配才能通过URPF检查。

说明： ME60的QinQ终结子接口只支持松散检查的URPF。

(三) 总结

QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能。

(四) 思考

QinQ的封装结构

一、 ME60侧配置QinQ

(一) 配置QinQ二层隧道

1. 建立配置任务

在进行QinQ二层隧道配置前了解此特性的应用环境、配置此特性的前置任务和数据准备，可以帮助您快速、准确地完成配置任务。

5. 检查配置结果

二层灵活QinQ配置成功后，您可以查看到VLAN是否使能广播功能、VLAN的状态、是否使能地址学习，并且配置了QinQ二层隧道的接口为QinQ Stack接口等内容。 1. 前提条件

已经完成二层灵活QinQ功能的所有配置。 2. 操作步骤

执行命令display vlan [ vlan-id [ verbose ] ]，查看VLAN信息。

执行命令display bpdu-tunnelinterface config，查看接口的外层Tag EType封装值。 3. 任务示例

执行display vlan命令，可以看到VLAN是否使能广播功能、VLAN的状态、是否使能地址学习，并且配置了二层灵活QinQ的接口为QinQ Stack接口。例如：

display vlan 10 verbose VLAN ID : 10 VLAN Type : Common Description : VLAN 0010 Status : Enable Broadcast : Enable MAC learning : Enable Statistics : Disable ----------------

QinQ-stack Port: GigabitEthernet1/0/0

在设备上执行命令display bpdu-tunnel interface config命令可以看到TPID配置情况。例如：

system-view

[HUAWEI] interface gigabitethernet 1/0/1

[HUAWEI-GigabitEthernet1/0/1] display bpdu-tunnel interface config

BpduDot1qStatus disable BpduOneQStatus disable BpduTwoQStatus disable EtherType 9100 Dot1qVlan TwoQList

(三) 配置动态QinQ

在DHCP Relay的Client侧的终结子接口上配置动态QinQ，当用户上线时为用户分配VLAN Tag资源。用户申请到IP地址后发生异常下线，系统可以自动感知，并会自动删除DHCP绑定表中的绑定关系并通知DHCP Server释放IP地址和VLAN Tag资源。

1. 建立配置任务

在进行动态QinQ配置前了解此特性的应用环境、配置此特性的前置任务和数据准备，可以帮助您快速、准确地完成配置任务。 1) 应用环境

普通QinQ终结子接口最多可以配置终结16K个不同内外层Tag组合的用户报文。当这样的用户报文超过16K个时，可以使用动态QinQ功能，此时，QinQ终结子接口最多可以配置终结64K个不同内外层Tag组合的用户报文。

在DHCP Relay的Client侧的终结子接口上配置动态QinQ，当用户上线时为用户分配VLAN Tag资源。配置ARP和DHCP绑定表联动后，当用户申请到IP地址后发生异常下线，系统可以自动感知，并会自动删除DHCP绑定表中的绑定关系并通知DHCP Server释放IP地址和VLAN Tag资源。 2) 前置任务

在配置动态QinQ之前，需完成以下任务： 设备之间正确连接。

正确配置用户所在的VLAN，使得子接口收到的用户报文带有两层VLAN Tag。

2. 配置接口的模式为用户终结模式

接口只有工作在用户终结模式下，才能使用子接口下的dot1q和QinQ的相关配置命令。

操作步骤

执行命令system-view，进入系统视图。

执行命令interfaceinterface-type interface-number，进入接收用户报文的以太网接口视图。

执行命令mode user-termination，配置接口模式为用户终结模式。 在主接口下使用该命令时，需要保证该主接口下没有配置子接口。

3. 配置动态QinQ

普通QinQ终结子接口最多可以配置终结16K个不同内外层Tag组合的用户报文。当不同内外层Tag组合超过16K个时，可以使用动态QinQ功能。此时，QinQ终结子接口最多可以配置终结32K（单块单板）个不同内外层Tag组合的用户报文。

操作步骤

执行命令system-view，进入系统视图。

interfaceinterface-type interface-number.subinterface-number，进入PE的CE侧以太网子接口或Eth-Trunk子接口视图。

执行命令control-vidvidqinq-terminationdynamic，配置子接口支持动态QinQ。 执行命令qinq-dynamic max-access-useraccess-user-number，预分配动态QinQ资源。

执行命令

qinq-dynamic user-queuequeue-numberbandwidthbandwidth

{ inbound | outbound }，预分配QinQ动态带宽cir资源。

说明： 对于配置了动态QinQ的接口，绝大多数情况下都是用户主动发送ARP请求到网关设备。如果设备上同时也配置了ARP严格学习功能，那么该设备的所有接口只会学习自己主动发出ARP请求收到的应答报文，而不会学习其他设备发送的请求报文。这样就可能会导致该设备的动态QinQ接口学习不到用户的ARP表项，出现用户无法上线的现象。此时，可以在配置了动态QinQ的接口上使用arp learning strict force-disable命令，保证该接口可以学习到用户发送的ARP请求。

执行命令qinq terminationpe-vidpe-vidce-vid { low-ce-vid [ tohigh-ce-vid ] | any } [ vlan-groupgroup-id ]，配置QinQ子接口终结功能。

4. 配置DHCP Snooping

DHCP Snooping是一种DHCP安全特性，可以过滤不信任的DHCP消息并建立和维护一个DHCP snooping绑定表。该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLAN ID、接口信息。DHCP Snooping的作用就如同在DHCP Client和DHCP Server之间建立一道防火墙。

操作步骤

执行命令system-view，进入系统视图。

interfaceinterface-type interface-number.subinterface-number，进入已经成功配置QinQ终结子接口视图。

配置DHCP Snooping

DHCP Snooping的配置步骤，请参见《HUAWEI ME60多业务控制网关 配置指南-安全》中的“DHCP Snooping配置”

说明： 对于DHCP Relay，需要在QinQ终结子接口使用dhcp option82 insert enable或者dhcp option82 rebuild enable命令使能对DHCP报文插入Option82功能。

如果QinQ终结子接口不使能对DHCP报文插入Option82功能，对于QinQ终结子接口接入DHCP Relay业务，QinQ终结子接口向用户侧发送DHCP报文时，系统只封装该终结子接口下配置的最小VLAN值，而对其他VLAN不做处理。

对于DHCP Server，必须支持Option82带回功能，即，从DHCP Server返回的Offer或者ACK报文需要含有Option82信息。

使用arp learning strict force-disable命令，使动态QinQ接口不受全局ARP严格学习功能的限制，保证动态QinQ接口可以学习到用户发送的ARP请求。

5. 检查配置结果

动态QinQ配置成功后，您可以查看到QinQ终结子接口上的具体配置信息。 1) 前提条件

已经完成动态QinQ的所有配置。

2) 操作步骤

执行命令display qinq information { termination | stacking | mapping } [ interfaceinterface-type interface-number [.subinterface-number ] ]，查看QinQ终结的信息。

执行命令display dhcp snooping global，查看DHCP Snooping配置信息。 3) 任务示例

在PE上执行命令display qinq informationtermination，可以看到接口上QinQ终结的具体信息。例如：

display qinq information termination interface gigabitethernet 2/0/0

GigabitEthernet2/0/0.1 Total QinQ Num: 1

qinq termination pe-vid 1000 ce-vid 100 to 200 vlan-group 1 Total vlan-group Num: 1 vlan-group 1

control-vid 1 qinq-termination

在DHCP-Relay上执行命令display dhcp snooping global，可以看到全局和接口视图下已经使能DHCP Snooping功能，并查看向网管告警的统计信息。

display dhcp snooping global dhcp snooping enable

dhcp snooping nomatch-packet ip action discard dhcp snooping nomatch-packet arp action discard dhcp snooping check dhcp-rate enable dhcp snooping check dhcp-rate alarm enable dhcp snooping check dhcp-rate 90

dhcp snooping check dhcp-rate alarm threshold 40

(四) 配置QinQ终结子接口支持URPF

配置QinQ终结子接口支持URPF，可以有效防止基于源地址欺骗的网络攻击行为通过QinQ终结子接口进入用户网络。

1. 建立配置任务

在进行QinQ终结子接口支持URPF功能配置前了解此特性的应用环境、配置此特性的前置任务和数据准备，有助于快速、准确地完成配置任务。 1) 应用环境

在运营级的网络里，网络中的ME设备可能收到伪装源地址的报文。在这种情况下，为避免ME设备遭受基于源地址的欺骗攻击，往往需要在相应的接口上配置URPF检查。

当ME设备收到的用户数据报文中带有两层Tag时，需要在QinQ终结子接口上应用URPF检查。 2) 前置任务

在配置QinQ终结子接口支持URPF功能之前，需完成以下任务： 配置接口的物理特性 配置接口的链路层协议 配置接口的IP地址

2. 配置以太网主接口

接口只有工作在QinQ终结模式下，才能使用子接口下的QinQ的相关配置命令。 1) 背景信息

在 ME设备上进行如下配置。 2) 操作步骤

执行命令system-view，进入系统视图。

执行命令interface { gigabitethernet | eth-trunk } interface-number，进入以太网主接口的接口视图。

执行命令mode user-termination，配置以太网主接口模式为用户终结模式。

3. 配置以太网子接口

需要配置终结子接口终结收到的用户报文中的两层Tag。 1) 背景信息

在 ME设备上进行如下配置。 2) 操作步骤

执行命令system-view，进入系统视图。

执行命令interface { gigabitethernet | eth-trunk } interface-number.subinterface-number，进入以太网子接口的接口视图。

执行命令control-vidvidqinq-termination [ local-switch | [ rt-protocol | dynamic ] * ]，设定终结子接口的VLAN ID和对带两层Tag的用户报文进行终结。

执行命令qinq termination pe-vidpe-vidce-vidlow-ce-vid [ tohigh-ce-vid ]，配置QinQ子接口终结功能。

4. 配置QinQ子接口的URPF功能

设备的终结子接口只支持松散检查的URPF。 1) 背景信息

在 ME设备上进行如下配置。 2) 操作步骤

执行命令system-view，进入系统视图。

执行命令interface { gigabitethernet | eth-trunk } interface-number.subinterface-number，进入QinQ终结以太网子接口的接口视图。

执行命令ip urpfloose [ allow-default ]，使能接口URPF功能。只要在转发表中存在表项就通过URPF检查，不要求接口一定匹配。

5. 检查配置结果

在QinQ终结子接口支持URPF配置成功后，可以有效防止伪造源IP地址的报文攻击。 1) 操作步骤

执行display qinq informationtermination [ interfaceinterface-

typeinterface-number [.subinterface-number ] ]命令查看QinQ终结的信息。 2) 任务示例

在PE上执行命令display qinq informationtermination interface，可以看到接口上QinQ终结的具体信息。例如：

display qinq information termination interface gigabitethernet 1/0/0

GigabitEthernet1/0/0.1 Total QinQ Num: 1

qinq termination pe-vid 10 ce-vid 100 Total vlan-group Num: 0 control-vid 1 qinq-termination

(五) 配置Bras用户侧QinQ

配置以太网子接口下的用户VLAN时，可以指定开始VLAN号和结束VLAN号，还可以指定起始QinQ VLAN号和结束QinQ VLAN号，但一次最多只能连续配置16个QinQ VLAN。设备下挂两层交换机，接近用户的交换机标记内层VLAN，再往上一层的交换机标记QinQ VLAN。

1. 建立配置任务

在进行Bras用户侧QinQ功能配置前了解此特性的应用环境、配置此特性的前置任务和数据准备，有助于快速、准确地完成配置任务。 1) 应用环境

当单个接口下需要接入的VLAN数量大于4k时，则需要配置QinQ，增加VLAN的数量。 2) 前置任务

在配置用户侧QinQ之前，需要完成以下任务。 配置相关接口的物理参数

配置相关接口的IP地址或者BRAS属性

2. 创建用户侧VLAN

当二层普通用户通过以太网子接口接入时，需要配置用户侧VLAN。 1) 背景信息

请在ME60上进行以下配置。 2) 操作步骤

执行命令system-view，进入系统视图。

执行命令interfaceinterface-type interface-number.sub-interface-nmuber，进入指定子接口视图。

执行命令user-vlan { start-vlan-id [ end-vlan-id ] [ qinqstart-qinq-id end-qinq-id ] | any-other }，创建子接口的用户侧VLAN。

配置以太网子接口下的用户侧VLAN时，可以指定开始VLAN号和结束VLAN号，也可以通过any-other参数指定所有VLAN（包括4094*4094个双层VLAN和4094个单层VLAN中所有没有被其它子接口配置的VLAN）。但是如果某些VLAN已经被其他子接口所使用，则any-other参数对这些VLAN不生效。

配置以太网子接口下的用户侧VLAN时，还可以指定QinQ VLAN。ME60下挂两层交换机，接近用户的交换机标记内层VLAN（start-vlan-id），再往上一层的交换机标记外层QinQ VLAN（qinq-id）。QinQ的具体描述请参见QinQ配置。

缺省情况下，以太网子接口下未配置用户侧VLAN。

3. 检查配置结果

在Bras用户侧QinQ配置成功后，用户可以通过子接口接入网络。 1) 前提条件

已经完成Bras用户侧QinQ的配置。 2) 操作步骤

在用户侧子接口下执行display this命令，查看子接口QinQ配置情况。

(六) 维护QinQ

QinQ相关维护命令包括清除QinQ的统计信息、调试QinQ功能等。

1. 6.5.6.13.1 清除QinQ的统计信息

通过reset命令可以将QinQ统计计数置0，便于重新统计。 1) 背景信息

注意： 清除QinQ的统计信息后，以前的信息将无法恢复，务必仔细确认。 2) 操作步骤

请在用户视图下执行reset qinq statistic interfaceinterface-typeinterface-number.subinterface-numbervlan-groupgroup-id命令，清除QinQ的统计信息。

2. 监控终结子接口运行状况

在日常维护工作中，可以在任意视图下选择执行相关display命令，了解QinQ/Dot1q终结子接口的运行状况，便于故障定位。

操作步骤

在任意视图下执行

display dot1q information termination

[ interfaceinterface-typeinterface-number [.subinterface-number ] ]命令，了解dot1q终结的运行状况。

在任意视图下执行

display qinq information termination

[ interfaceinterface-typeinterface-number [.subinterface-number ] ]命令，了解QinQ终结的运行状况。

在任意视图下执行

display qinq information stacking

[ interfaceinterface-typeinterface-number [.subinterface-number ] ]命令，了解QinQ Stacking接口的运行状况。

3. 调试QinQ

在QinQ功能出现运行故障时，请在用户视图下执行debugging命令进行调试，查看调试信息，并定位故障的原因。 1) 背景信息

注意： 打开调试开关将影响系统的性能。调试完毕后，应及时执行undo debugging all命令关闭调试开关。

2) 操作步骤

在用户视图下执行debugging qinq { all | error | event | message | packet

[

interfaceinterface-typeinterface-number

[

vidvid

[ cevidcevid ] ] ] }命令，调试QinQ。

二、 ME60侧QinQ配置举例

配置举例结合组网需求、配置思路和数据准备来了解实际网络中QinQ的应用场景，并提供配置文件。

(一) 配置QinQ二层隧道示例

从典型的应用场景描述了使用QinQ二层隧道后，不同的企业可以任意规划自己的VLAN，使得同一企业的不同办公地可以互相通信，但是不同的企业之间无法通信

1. 组网需求

在如图1所示的网络中，企业1有两个办公地，企业2有三个办公地，两个企业的各办公地分别和运营商网络中的ME60A、ME60B相连。企业1和企业2可以任意规划自己的VLAN。

要求通过在运营商的ME60A和ME60B上配置QinQ二层隧道功能，使得每个企业的各个办公地网络可以互通，但两个企业之间不能互通。

2. 配置思路

采用如下的思路配置QinQ二层隧道的基本功能： 配置缺省的外层VLAN。 配置二层接口的QinQ功能。

配置没有启用QinQ功能的其他接口，允许带指定外层Tag的报文通过。

3. 数据准备

为完成此配置例，需准备如下的数据： 企业1与企业2接入的接口编号。

企业1与企业2接入的QinQ二层接口的缺省VLAN ID值。

4. 操作步骤

创建二层接口的缺省外层VLAN

# 配置ME60A。 system-view [HUAWEI] sysname ME60A

[ME60A] vlan batch 10 20 # 配置ME60B。 system-view [HUAWEI] sysname ME60B [ME60B] vlan batch 20 配置二层接口的QinQ功能。 # 配置ME60A。

[ME60A] interface gigabitethernet 1/0/1 [ME60A-GigabitEthernet1/0/1] portswitch

[ME60A-GigabitEthernet1/0/1] port link-type dot1q-tunnel [ME60A-GigabitEthernet1/0/1] port default vlan 10 [ME60A-GigabitEthernet1/0/1] undo shutdown [ME60A-GigabitEthernet1/0/1] quit [ME60A] interface gigabitethernet 2/0/1 [ME60A-GigabitEthernet2/0/1] portswitch

[ME60A-GigabitEthernet2/0/1] port link-type dot1q-tunnel [ME60A-GigabitEthernet2/0/1] port default vlan 20 [ME60A-GigabitEthernet2/0/1] undo shutdown [ME60A-GigabitEthernet2/0/1] quit [ME60A] interface gigabitethernet 3/0/1 [ME60A-GigabitEthernet3/0/1] portswitch

[ME60A-GigabitEthernet3/0/1] port link-type dot1q-tunnel [ME60A-GigabitEthernet3/0/1] port default vlan 10 [ME60A-GigabitEthernet3/0/1] undo shutdown [ME60A-GigabitEthernet3/0/1] quit # 配置ME60B。

[ME60B] interface gigabitethernet 1/0/1 [ME60B-GigabitEthernet1/0/1] portswitch

[ME60B-GigabitEthernet1/0/1] port link-type dot1q-tunnel [ME60B-GigabitEthernet1/0/1] port default vlan 20 [ME60B-GigabitEthernet1/0/1] undo shutdown [ME60B-GigabitEthernet1/0/1] quit

[ME60B] interface gigabitethernet 2/0/1 [ME60B-GigabitEthernet2/0/1] portswitch

[ME60B-GigabitEthernet2/0/1] port link-type dot1q-tunnel [ME60B-GigabitEthernet2/0/1] port default vlan 20 [ME60B-GigabitEthernet2/0/1] undo shutdown [ME60B-GigabitEthernet2/0/1] quit 配置其它接口

# 在ME60A上配置接口GE4/0/1允许VLAN20的报文通过。 [ME60A] interface gigabitethernet 4/0/1 [ME60A-GigabitEthernet4/0/1] portswitch

[ME60A-GigabitEthernet4/0/1] port trunk allow-pass vlan 20 [ME60A-GigabitEthernet4/0/1] undo shutdown [ME60A-GigabitEthernet4/0/1] quit

# 在ME60B上配置接口GE3/0/1允许VLAN20的报文通过。 [ME60B] interface gigabitethernet 3/0/1 [ME60B-GigabitEthernet3/0/1] portswich

[ME60B-GigabitEthernet3/0/1] port trunk allow-pass vlan 20 [ME60B-GigabitEthernet3/0/1] undo shutdown [ME60B-GigabitEthernet3/0/1] quit

验证配置结果

企业1不同办公地的同一VLAN内的主机可以互相Ping通。 企业2不同办公地的同一VLAN内的主机可以互相Ping通。 企业1和企业2的任意主机都不能互相Ping通。

5. 配置文件

ME60A #

sysname ME60A #

vlan batch 10 20 #

interface GigabitEthernet1/0/1

undo shutdown portswitch

port link-type dot1q-tunnel port default vlan 10 #

interface GigabitEthernet2/0/1 undo shutdown portswitch

port link-type dot1q-tunnel port default vlan 20 #

interface GigabitEthernet3/0/1 undo shutdown portswitch

port link-type dot1q-tunnel port default vlan 10 #

interface GigabitEthernet4/0/1 undo shutdown portswitch

port trunk allow-pass vlan 20 # return ME60B #

sysname ME60B #

vlan batch 20 #

interface GigabitEthernet1/0/1 undo shutdown portswitch

port link-type dot1q-tunnel port default vlan 20 #

interface GigabitEthernet2/0/1 undo shutdown portswitch

port link-type dot1q-tunnel port default vlan 20 #

interface GigabitEthernet3/0/1 undo shutdown portswitch

port trunk allow-pass vlan 20 # return

(二) 配置二层灵活QinQ示例

二层灵活QinQ功能是对QinQ二层隧道功能的扩展，它比QinQ二层隧道的功能更灵活。通过示例描述了二层灵活QinQ对进入二层QinQ接口的帧，可以根据不同的内层Tag而加上不同的外层Tag，对于用户VLAN的划分更加细致。

1. 组网需求

在如图1所示的网络中，企业1有多个办公地，企业2也有多个办公地。 企业1的网络中使用VLAN2～VLAN500。 企业2的网络中使用VLAN500～VLAN4094。

ME60A的GE1/0/1接口同时收到两个企业不同VLAN的报文。

要求通过在运营商的ME60A的GE1/0/1上配置二层灵活QinQ功能，使得每个企业的各个办公地网络可以互通，但两个企业之间不能互通。

2. 配置思路

采用如下的思路配置二层灵活QinQ的基本功能： 配置缺省的外层VLAN。 配置二层接口的灵活QinQ功能

配置没有启用灵活QinQ功能的其他接口，允许带指定外层Tag的报文通过。

3. 数据准备

为完成此配置例，需准备如下的数据： 企业1与企业2接入的接口编号。

ME60A和ME60B的二层接口上为不同企业的报文所打的外层Tag值。

4. 操作步骤

创建二层接口的缺省外层VLAN

# 配置ME60A。 system-view [HUAWEI] sysname ME60A [ME60A] vlan batch 10 20 # 配置ME60B。 system-view [HUAWEI] sysname ME60B [ME60B] vlan batch 20 配置二层接口的灵活QinQ功能 # 配置ME60A。

[ME60A] interface gigabitethernet 1/0/1 [ME60A-GigabitEthernet1/0/1] portswitch

[ME60A-GigabitEthernet1/0/1] port vlan-stacking vlan 2 to 500 stack-vlan 10 [ME60A-GigabitEthernet1/0/1] port vlan-stacking vlan 1000 to 2000 stack-vlan 20 [ME60A-GigabitEthernet1/0/1] undo shutdown [ME60A-GigabitEthernet1/0/1] quit [ME60A] interface gigabitethernet 2/0/1 [ME60A-GigabitEthernet2/0/1] portswitch

[ME60A-GigabitEthernet2/0/1] port vlan-stacking vlan 100 to 500 stack-vlan 10 [ME60A-GigabitEthernet2/0/1] undo shutdown [ME60A-GigabitEthernet2/0/1] quit # 配置ME60B。

[ME60B] interface gigabitethernet 1/0/1 [ME60B-GigabitEthernet1/0/1] portswitch

[ME60B-GigabitEthernet1/0/1] port vlan-stacking vlan 1000 to 4094 stack-vlan 20 [ME60B-GigabitEthernet1/0/1] undo shutdown [ME60B-GigabitEthernet1/0/1] quit [ME60B] interface gigabitethernet 2/0/1 [ME60B-GigabitEthernet2/0/1] portswitch

[ME60B-GigabitEthernet2/0/1] port vlan-stacking vlan 500 to 2500 stack-vlan 20 [ME60B-GigabitEthernet2/0/1] undo shutdown [ME60B-GigabitEthernet2/0/1] quit

配置其它接口

# 在ME60A上配置接口GE3/0/1允许VLAN20的报文通过。 [ME60A] interface gigabitethernet 3/0/1 [ME60A-GigabitEthernet3/0/1] portswitch

[ME60A-GigabitEthernet3/0/1] port trunk allow-pass vlan 20 [ME60A-GigabitEthernet3/0/1] undo shutdown [ME60A-GigabitEthernet3/0/1] quit

# 在ME60B上配置接口GE3/0/1允许VLAN20的报文通过。 [ME60B] interface gigabitethernet 3/0/1 [ME60B-GigabitEthernet3/0/1] portswich

[ME60B-GigabitEthernet3/0/1] port trunk allow-pass vlan 20 [ME60B-GigabitEthernet3/0/1] undo shutdown [ME60B-GigabitEthernet3/0/1] quit

验证配置结果

企业1不同办公地的同一VLAN内的主机可以互相Ping通。 企业2不同办公地的同一VLAN内的主机可以互相Ping通。 企业1和企业2的任意主机都不能互相Ping通。

5. 配置文件

ME60A #

sysname ME60A #

vlan batch 10 20 #

interface GigabitEthernet1/0/1 undo shutdown portswitch

port vlan-stacking vlan 2 to 500 stack-vlan 10 port vlan-stacking vlan 1000 to 2000 stack-vlan 20 #

interface GigabitEthernet2/0/1

undo shutdown portswitch

port vlan-stacking vlan 100 to 500 stack-vlan 10 #

interface GigabitEthernet3/0/1 undo shutdown portswitch

port trunk allow-pass vlan 20 # return ME60B #

sysname ME60B #

vlan batch 20 #

interface GigabitEthernet1/0/1 undo shutdown portswitch

port vlan-stacking vlan 1000 to 4094 stack-vlan 20 #

interface GigabitEthernet2/0/1 undo shutdown portswitch

port vlan-stacking vlan 500 to 2500 stack-vlan 20 #

interface GigabitEthernet3/0/1 undo shutdown portswitch

port trunk allow-pass vlan 20 # return

(三) 配置动态QinQ示例

普通QinQ终结子接口最多可以配置终结16K个不同内外层Tag组合的用户报文。当不同内外层Tag组合超过16K个时，可以使用动态QinQ功能，此时，QinQ终结子接口最多可以配置终结32K个不同内外层Tag组合的用户报文。终结子接口下配置了动态QinQ功能后，就不能配置该子接口支持VLL、PWE3和VPLS，以及静态ARP和静态DHCP snooping绑定表。

1. 组网需求

如图1所示，DHCP Client通过两级交换机与DHCP Relay连接，并通过DHCP Relay从DHCP Server申请合法的IP地址。DHCP服务器支持Option82带回功能。网段10.1.1.0/24内的地址租用期限为10天12小时，域名为huawei.com，DNS地址为10.1.1.2，NetBIOS地址为10.1.1.3。

两级交换机为DHCP Client发送到DHCP Relay的报文打上两层Tag。配置DHCP Relay的Client侧的子接口能够终结Client报文中的两层Tag和支持DHCP Relay功能。

此外，DHCP Relay上还需要部署以下特性： 动态QinQ

在DHCP Relay的Client侧的终结子接口上配置动态QinQ，当用户上线时为用户分配资源。用户申请到IP地址后发生异常下线，系统可以自动感知，并会自动删除DHCP绑定表中的绑定关系并通知DHCP Server释放IP地址。

安全特性

? DHCP Relay能够防止以下类型的DHCP攻击： ? DHCP Server仿冒者攻击。

? 中间人攻击与IP/MAC Spoofing攻击。 ? 改变CHADDR值的DoS攻击。 ? 仿冒DHCP续租报文攻击。 ? 发送DHCP Request报文攻击。

2. 配置思路

采用如下的思路配置动态QinQ的基本功能： 配置DHCP Relay的接口模式为用户终结模式。 配置DHCP Relay的基本功能。 配置DHCP Server的基本功能。

配置QinQ终结子接口支持DHCP Relay和动态QinQ功能。 配置DHCP Snooping的基本功能。

配置ARP与DHCP Snooping联动功能。使DHCP Relay可以动态感知用户上下线。 配置Switch的二层转发功能和QinQ功能。

3. 数据准备

为完成此配置例，需准备如下的数据： 要实现DHCP中继功能的接口的IP地址。 DHCP Server的地址池范围。

QinQ终结子接口终结的Tag值。 DHCP报文上送CPU的速率。 向网管发出告警的阈值。

4. 操作步骤

配置DHCP Relay接口的模式为用户终结模式 system-view

[HUAWEI] sysname DHCP-Relay

[DHCP-Relay] interface gigabitethernet 1/0/0

[DHCP-Relay-GigabitEthernet1/0/0] mode user-termination [DHCP-Relay-GigabitEthernet1/0/0] undo shutdown [DHCP-Relay-GigabitEthernet1/0/0] quit 配置DHCP Relay的基本功能 # 使能DHCP服务。 [DHCP-Relay] dhcp enable # 配置接口GE2/0/0接口地址。

[DHCP-Relay] interface gigabitethernet 2/0/0

[DHCP-Relay-GigabitEthernet2/0/0] ip address 100.1.1.1 24 [DHCP-Relay-GigabitEthernet2/0/0] undo shutdown [DHCP-Relay-GigabitEthernet2/0/0] quit

# 配置要实现DHCP中继功能的子接口，为其配置IP地址和地址掩码，使其和DHCP Client属于同一个网段。

[DHCP-Relay] interface gigabitethernet 1/0/0.1

[DHCP-Relay–GigabitEthernet1/0/0.1] ip address 10.1.1.1 24 [DHCP-Relay-GigabitEthernet1/0/0.1] ip relay address 100.1.1.2 [DHCP-Relay-GigabitEthernet1/0/0.1] dhcp select relay [DHCP-Relay-GigabitEthernet1/0/0.1] undo shutdown [DHCP-Relay-GigabitEthernet1/0/0.1] quit 配置DHCP服务器 # 启动DHCP服务。 system-view

[HUAWEI] sysname DHCP-Server

# 配置接口GE1/0/0下的客户端从全局地址池中获取IP地址。

[DHCP-Server] interface gigabitethernet 1/0/0 [DHCP-Server-GigabitEthernet1/0/0] undo shutdown

[DHCP-Server-GigabitEthernet1/0/0] ip address 100.1.1.2 24 [DHCP-Server-GigabitEthernet1/0/0] quit

# 配置DHCP地址池1属性（地址池范围、域名、出口网关、DNS地址、地址租用期）。 [DHCP-Server] ip pool 1 server

[DHCP-Server-dhcp-1] gateway 10.1.1.1 255.255.255.0 [DHCP-Server-dhcp-1] section 0 10.1.1.5 10.1.1.100

[DHCP-Server-dhcp-1] excluded-ip-address 10.1.1.1 10.1.1.3 [DHCP-Server-dhcp-1] dns-suffix huawei.com [DHCP-Server-dhcp-1] dns-server 10.1.1.2

[DHCP-Server-dhcp-1] netbios-name-server 10.1.1.3 [DHCP-Server-dhcp-1] lease 10 12 [DHCP-Server-dhcp-1] quit

配置DHCP Relay的QinQ终结子接口和动态QinQ [DHCP-Relay] interface gigabitethernet 1/0/0.1

[DHCP-Relay-GigabitEthernet1/0/0.1] control-vid 1 qinq-termination dynamic [DHCP-Relay-GigabitEthernet1/0/0.1] qinq-dynamic max-access-user 3

[DHCP-Relay-GigabitEthernet1/0/0.1] qinq-dynamic user-queue 1024 bandwidth 51200 inbound

[DHCP-Relay-GigabitEthernet1/0/0.1] qinq termination pe-vid 1 ce-vid 1 to 4094 [DHCP-Relay-GigabitEthernet1/0/0.1] qinq termination pe-vid 2 ce-vid 1 to 4094 [DHCP-Relay-GigabitEthernet1/0/0.1] dhcp option82 insert enable [DHCP-Relay-GigabitEthernet1/0/0.1] arp broadcast enable

[DHCP-Relay-GigabitEthernet1/0/0.1] arp learning strict force-disable [DHCP-Relay-GigabitEthernet1/0/0.1] undo shutdown [DHCP-Relay-GigabitEthernet1/0/0.1] quit

说明： 对于DHCP Relay，需要在QinQ终结子接口使用dhcp option82 insert enable或者dhcp option82 rebuild enable命令使能对DHCP报文插入Option82功能。

如果QinQ终结子接口不使能对DHCP报文插入Option82功能，对于QinQ终结子接口接入DHCP Relay业务，QinQ终结子接口向用户侧发送DHCP报文时，系统只封装该终结子接口下配置的最小VLAN值，而对其他VLAN不做处理。

对于DHCP Server，必须支持Option82带回功能，即，从DHCP Server返回的Offer或者ACK报文需要含有Option82信息。

使用arp learning strict force-disable命令，使动态QinQ接口不受全局ARP严格学习功能的限制，保证动态QinQ接口可以学习到用户发送的ARP请求。

使能DHCP Snooping功能

使能全局和接口的DHCP Snooping功能。 [DHCP-Relay] dhcp snooping enable

[DHCP-Relay] interface gigabitethernet 1/0/0.1

[DHCP-Relay-GigabitEthernet1/0/0.1] dhcp snooping enable [DHCP-Relay-GigabitEthernet1/0/0.1] quit [DHCP-Relay] interface gigabitethernet 2/0/0

[DHCP-Relay-GigabitEthernet2/0/0] dhcp snooping enable [DHCP-Relay-GigabitEthernet2/0/0] quit 配置Trusted接口

# 将连接DHCP Server侧的接口配置为“Trusted”，将连接DHCP Client侧的所有接口使能DHCP snooping（如果用户侧接口没有配置“Trusted”模式，那么使能了接口的Snooping特性后，接口模式默认为“Untrusted”），这样可以防止DHCP Server仿冒者攻击。

[DHCP-Relay] interface gigabitethernet 2/0/0

[DHCP-Relay-GigabitEthernet2/0/0] dhcp snooping trusted [DHCP-Relay-GigabitEthernet2/0/0] quit 配置对特定报文的检查

# 在DHCP Client侧的接口进行ARP报文和IP报文检查，这样可以防止中间人攻击与IP/MAC Spoofing攻击。

[DHCP-Relay] interface gigabitethernet 1/0/0.1

[DHCP-Relay-GigabitEthernet1/0/0.1] dhcp snooping check arp enable [DHCP-Relay-GigabitEthernet1/0/0.1] dhcp snooping check ip enable [DHCP-Relay-GigabitEthernet1/0/0.1] quit

# 在DHCP Client侧的接口进行DHCP Request报文检查，这样可以防止仿冒DHCP续租报文的攻击。

[DHCP-Relay] interface gigabitethernet 1/0/0.1

本文来源：https://www.bwwdw.com/article/xxmg.html