概述

Internet和ip技術的發展為提高企業內部的信息化程度提供了極大的便利。對于企業來說，實現不同地點網絡的內部互聯有兩種選擇，一種是建立自己的專用網絡，但對于廣大的中小企業來說，專網方式高昂的費用難以承受。另一種方式是虛擬專用網絡，即VPN方式。

VPN是中小企業從自建專網向利用運營網絡的重要途徑。通過部署VPN，可利用廣泛覆蓋、高帶寬的骨干運營網絡來實現企業網的互連，可為企業節省大量的建設費用。

傳統的IP VPN技術包括GRE/IPSec、L2TP等，主要采用的網絡設備是路由器。近年來，隨著三層交換機的不斷成熟和大量應用，許多企業網和小型城域網用戶都傾向于使用三層交換機來搭建骨干網，與路由器相比，三層交換機能夠提供更高的轉發速率且具有更加優越的性價比。然而，由于目前大部分交換機使用的Asic芯片都無法提供實現VPN所需的復雜功能，對于VPN這一蓬勃興起的市場，中低端交換機一直只能袖手旁觀。

Quidway S3552系列交換機的出現徹底改變了這一狀況。憑借其采用的高性能Asic所提供的QinQ功能（或稱作Nested VLAN），可以在公網上覆蓋實現一個專用的二層網絡，能夠使運營商給客戶提供便捷的VPN接入方式（VLAN VPN方式）。

QinQ是對802.1Q的擴展，其核心思想是將用戶私網VLAN tag封裝到公網VLAN tag上，報文帶著兩層tag穿越服務商的骨干網絡，從而為用戶提供一種較為簡單的二層VPN隧道。其特點是簡單而易于治理，不需要信令的支持，僅僅通過靜態配置即可實現，非凡適用于小型的，以三層交換機為骨干的企業網或小規模城域網。

QinQ的基本原理

 圖1基于802.1 Q協議的互聯模式

圖1為基于傳統的802.1Q協議的網絡，假設某用戶的網絡1和網絡2位于兩個不同地點，并分別通過服務提供商的PE1、PE2接入骨干網，假如用戶需要將網絡1的VLAN200-300和網絡2的VLAN200-300互聯起來，那么必須將CE1、PE1、P和PE2、CE2的相連端口都配置為Trunk屬性，并答應通過VLAN200-300，這種配置方法必須使用戶的VLAN在骨干網絡上可見，不僅耗費服務提供商寶貴的VLAN ID資源（一共只有4094個VLAN ID資源），而且還需要服務提供商治理用戶的VLAN號，用戶沒有自己規劃VLAN的權利。

為了解決上述問題，QinQ協議向用戶提供一個唯一的公網VLAN ID，這個非凡的VLAN ID被稱作Customer-ID，將用戶私網VLAN tag封裝在這個新的Customer-ID中，依靠它在公網中傳播，用戶私網VLAN ID在公網中被屏蔽，從而大大地節省了服務提供商緊缺的VLAN ID資源，如圖2所示。

圖2 QinQ模式的基本原理

在QinQ模式下，PE上用于用戶接入的端口被稱作用戶端口。在用戶端口上使能QinQ功能，并為每個用戶分配一個Customer-ID，此處為3，不同的PE上應該為同一網絡用戶分配相同的Customer-ID。當報文從CE1到達PE1時，帶有用戶內部網絡的VLAN tag 200-300，由于使能了QinQ功能，PE上的用戶端口將再次為報文加上另外一層VLAN tag，其ID就是分配給該用戶的Customer-ID。此后該報文在服務提供商網絡中傳播時僅在VLAN 3中進行且全程帶有兩層VLAN tag（內層為進入PE1時的tag，外層為Customer-ID），但用戶網絡的VLAN信息對運營商網絡來說是透明的。當報文到達PE2，從PE2上的客戶端口轉發給CE2之前，外層VLAN tag被剝去，CE2收到的報文內容與CE1發送的報文完全相同。PE1到PE2之間的運營商網絡對于用戶來說，其作用就是提供了一條可靠的二層鏈路。

可見，使用QinQ組建VPN具有如下特點：

l         無需信令來維持隧道的建立，通過簡單的靜態配置即可實現，免去了繁雜的配置，維護工作。

l         運營商只需為每個用戶分配一個Customer-ID，提升了可以同時支持的用戶數目；而用戶也具有選擇和治理VLAN ID資源的最大自由度（從1-4096中任意選擇）。

l         在運營商網絡的內部，P設備無需支持QinQ功能，即傳統的三層交換機完全可以滿足需求，極大地保護了運營商的投資。

l         戶網絡具有較高的獨立性，在服務提供商升級網絡時，用戶網絡不必更改原有的配置。

因此，無論是對于運營商還是用戶來說，采用QinQ方式組建VPN都是一種低成本，簡便易行，易于治理的理想方式。

QinQ典型組網

下面通過一個典型的組網方案來說明QinQ的應用。

如圖3所示，該網有兩個用戶，用戶1需要將自己在A點的VLAN 1-100和D點的VLAN 1-100連接起來，用戶2需要將自己在B點的VLAN 1-200和C點的VLAN 1-200連接起來，傳統的802.1Q組網是不可能實現這一需求的，因為兩個用戶所使用的VLAN ID號有沖突，但是利用QinQ卻可輕易地實現這一需求。

圖3 QinQ的典型組網范例

在圖3中，中間的網絡為服務提供商的網絡，它由四臺S3552實現VPN用戶的接入（網絡中可能還有其它交換機，此處為簡單起見，略去），相互之間通過環狀千兆鏈路連接實現鏈路備份，使能STP協議。這四臺設備之間通過Trunk端口連接，可透傳任意VLAN報文，為了達到自動VLAN學習的目的，還可啟動GVRP協議。需要注重的是，所有這些二層協議只能在網絡側的端口使能，而不能在用戶接入端口上使能，避免用戶私有網絡受到服務提供商網絡的干擾。

用戶1使用Customer-ID 30的QinQ端口進行接入，用戶2使用Customer-ID 40的QinQ端口進行接入，保證它們在公網上通過Trunk端口進行傳輸，互不影響。

用戶可在私網內部運行STP協議，實現鏈路備份。例如,用戶1的A點使用了兩條鏈路連到S3552，STP可自動地將一條鏈路斷開，避免形成環路。注重，此時S3552的兩個QinQ接入端口均不能使能STP協議，這是因為它們屬于用戶私網拓撲，與公網無關。

QinQ對其它特性的影響

由于在用戶接入端口使能了QinQ，導致VPN用戶的報文在網絡上傳播時帶有兩層VLAN tag，此時三層交換機的三層交換功能對于這種非凡的報文失效，因為交換機無法正確地獲取報文內攜帶的IP地址等信息。但我們不必為此擔心，因為VPN報文只在Customer-ID對應的VLAN內作二層轉發，根本無需使用三層信息進行轉發。而對于運營商網絡內的其它普通報文，由于屬于不同的VLAN，三層轉發不會受到影響。

在使能QinQ的用戶接入端口，仍然可以使用acl規則對報文進行流分類，流限速，重定向等qos/acl操作，這無疑有利于運營商面向不同用戶提供不同層次的差別服務。對于用戶來說，選擇適合自己需求的服務能夠節省開支；而運營商也可以借此吸引更廣泛的用戶對象。

總結

Quidway S3552的QinQ功能為小型城域網或企業網提供了一種輕量極的，簡潔的二層VPN解決方案。該方案具有組網簡單，網絡投資小，用戶治理靈活等多種優點，適用于以三層交換機為核心設備的網絡。隨著三層交換機的普及，QinQ將有更為廣闊的應用空間。