第1章 原理介绍 3
1.1 QinQ的实现方式 3
(1) 开启端口的VLAN VPN特性功能 3
(2) 配置基于流分类的Nested VLAN 4
第2章 S8500灵活QinQ命令行配置 4
2.1 配置准备 4
2.2 配置过程 4
2.3 S8500灵活QinQ配置要点 5
(1) 外层vlan上下行仅包含一个端口 5
(2) 内层VLAN在交换机上无需配置 5
第3章 S8500灵活QinQ应用场景配置实例 5
3.1 S8500灵活QinQ配置举例(nested-vlan) 5
3.1.1 组网需求 5
3.1.2 配置过程和解释 6
3.1.3 完整配置 7
3.1.4 配置注意事项 8
3.2 S8500灵活QinQ配置举例(modified-vlan) 8
3.2.1 组网需求 8
3.2.2 配置过程和解释 9
3.2.3 完整配置 11
3.2.4 配置注意事项 12
3.3 灵活QinQ防攻击组网 12
3.3.1 组网需求 12
3.3.2 可能的攻击与防攻击配置 13
第4章 灵活QinQ实际应用中常见问题及注意事项 14
4.1 MAC地址学习问题 14
4.1.1 下行口MAC学习 14
4.1.2 上行口MAC学习 15
4.2 ACL中配置VLAN网段 16
4.3 VLAN过滤 17
4.4 流模板配置 18
4.5 灵活QinQ与聚合 18
S8500灵活QinQ配置指导
关键字:灵活QinQ
摘要: 本文首先简要介绍了灵活QinQ的技术原理,给出在S85交换机上部署灵活QinQ的配置指导和注意事项。
第1章 原理介绍
QinQ是指将用户私网VLAN Tag封装在公网VLAN Tag中,使报文带着两层VLAN Tag穿越运营商的骨干网络(公网)。在公网中报文只根据外层VLAN Tag(即公网VLAN Tag)传播,用户的私网VLAN Tag被屏蔽。
带单层VLAN Tag的报文结构如下所示:
图3-1 带用户VLAN Tag的报文
带双层VLAN Tag的报文结构如下所示:
图3-2 封装了外层VLAN Tag的报文
由于QinQ的实现是基于802.1Q协议中的Trunk端口概念,要求隧道上的设备都必须支持802.1Q协议,所以QinQ只适用于小型的、以三层交换机为骨干的企业网或小规模的城域网。
QinQ主要可以解决如下几个问题:缓解日益紧缺的公网VLAN ID资源问题;用户可以规划自己的私网VLAN ID,不会导致和公网VLAN ID冲突;为小型城域网或企业网提供一种较为简单的二层VPN解决方案。
1.1 QinQ的实现方式
S8500系列路由交换机通过以下两种方式实现QinQ:
(1)开启端口的VLAN VPN特性功能
开启端口的VLAN VPN功能后,当该端口接收到报文,无论报文是否带有VLAN Tag,交换机都会为该报文打上本端口缺省VLAN的VLAN Tag。这样,如果接收到的是已经带有VLAN Tag的报文,该报文就成为双Tag的报文;如果接收到的是Untagged的报文,该报文就成为带有端口缺省VLAN Tag的报文。
(2)配置基于流分类的Nested VLAN
基于流分类的Nested VLAN特性是对QinQ的一种更灵活的实现,即通常所说的灵活QinQ。用户可以对端口下匹配特定ACL流规则的报文进行如下操作:
●设置报文的外层VLAN Tag
●修改报文的外层VLAN Tag
第2章 S8500灵活QinQ命令行配置
2.1 配置准备
●要引用的访问控制列表和子规则已经定义
●nested-vlanid指定的VLAN已经存在
2.2 配置过程
表2-1 基于流分类的Nested VLAN配置过程
| 配置步骤 | 命令 | 说明 | |
| 进入系统视图 | system-view | - | |
| 进入以太网端口视图 | interface interface-type interface-number | - | |
| 对匹配ACL流规则的报文设置外层VLAN Tag | 下发三层流分类规则的命令形式 | traffic-redirect inbound ip-group { acl-number | acl-name } [ rule rule [ system-index index ] ] nested-vlan nested-vlanid | Nested-vlanid必须是已存在的VLAN,否则报文将因找不到出口而被丢弃 |
| 同时下发二层和三层流分类规则的命令形式 | traffic-redirect inbound ip-group { acl-number | acl-name } [ rule rule ] link-group { acl-number | acl-name } [ rule rule ] nested-vlan nested-vlanid | ||
| 下发二层流分类规则的命令形式 | traffic-redirect inbound link-group { acl-number | acl-name } [ rule rule [ system-index index ] ] nested-vlan nested-vlanid | ||
| 对匹配ACL流规则的报文修改外层VLAN Tag | 下发三层流分类规则的命令形式 | traffic-redirect inbound ip-group { acl-number | acl-name } [ rule rule [ system-index index ] ] modified-vlan modified-vlanid | 该命令修改的是报文最外层的VLAN Tag |
| 同时下发二层和三层流分类规则的命令形式 | traffic-redirect inbound ip-group { acl-number | acl-name } [ rule rule ] link-group { acl-number | acl-name } [ rule rule ] modified-vlan modified-vlanid | ||
| 下发二层流分类规则的命令形式 | traffic-redirect inbound link-group { acl-number | acl-name } [ rule rule [ system-index index ] ] modified-vlan modified-vlanid | ||
(1) 外层vlan上下行仅包含一个端口
配置灵活QinQ的端口上无法正常学习MAC,因此上下行流量会在VLAN内广播;为避免出现不必要的流量复制占用带宽,建议外层VLAN仅包含一个上行端口和一个下行端口。
注:
一个聚合组仅相当于一个端口。
(2) 内层VLAN在交换机上无需配置
内层VLAN在S8500下行端口上无需配置,可以提高VLAN的复用,以及简化网络配置。只需在下行端口上配置vlan filter disable即可。
第3章 S8500灵活QinQ应用场景配置实例
3.1 S8500灵活QinQ配置举例(nested-vlan)
3.1.1 组网需求
如下组网中,DSLAM上通过VLAN隔离每个用户,VLAN 1000~2999为普通上网业务,要求到达S8500后增加外层Tag 10送BRAS处理。BTV业务由GSR通过vlan 3000送到DSLAM,由DSLAM进行组播复制,把组播流复制到用户VLAN。
这样要求S8500需要对g2/1/1端口进入的VLAN为1000~2999的报文增加Tag 10后通过VLAN 10转发到BRAS。VLAN 3000进入的报文则不增加tag,可以在VLAN 3000进行二层组播报文转发。对这种要求S8500可以通过根据ACL规则对不同的VLAN增加不同Tag的方法实现。
1. 组网图
图4-1 基于流分类的Nested VLAN配置
3.1.2 配置过程和解释
#配置DSLAM设备
DSLAM设置上网用户映射到VLAN 1000~2999;配置组播VLAN 3000,组播子VLAN为1000-2999;上行口连接S8500,要求允许VLAN 1000~3000通过。
#配置S8500设备
1) 配置匹配VLAN 1000~2999的ACL
[Quidway] acl number 4000
[Quidway-acl-link-4000]rule 0 permit ingress 1000 to 2999
2) 创建VLAN 10和3000
[Quidway]vlan 10 3000
3) 配置连接DSLAM的端口,端口允许VLAN 10和VLAN 3000通过,且下行口上外层VLAN 10需配置为untagged模式,取消端口的VLAN过滤属性,配置nested-vlan使匹配ACL 4000规则的报文增加VLAN Tag 10
[Quidway]interface GigabitEthernet 2/1/1
[Quidway-GigabitEthernet2/1/1]port link-type hybrid
[Quidway-GigabitEthernet2/1/1]port hybrid vlan 10 untagged
[Quidway-GigabitEthernet2/1/1]port hybrid vlan 3000 tagged
[Quidway-GigabitEthernet2/1/1]vlan filter disable
[Quidway-GigabitEthernet2/1/1]traffic-redirect inbound link-group 4000 rule 0 nested-vlan 10
4)分别配置连接GSR和BRAS的端口
[Quidway]interface g2/1/2
[Quidway-GigabitEthernet2/1/2]port link-type trunk
[Quidway-GigabitEthernet2/1/2]port trunk permit vlan 3000
[Quidway-GigabitEthernet2/1/2]interface g2/1/3
[Quidway-GigabitEthernet2/1/3]port link-type trunk
[Quidway-GigabitEthernet2/1/3]port trunk permit vlan 10
5)在VLAN 3000上启用二层组播
[Quidway]igmp-snooping enable
[Quidway]igmp-snooping nonflooding-enable
[Quidway]vlan 3000
[Quidway-vlan3000]igmp-snooping enable
#配置BRAS和GSR设备
配置BRAS可以处理带双VLAN Tag 的报文,并终结PPPOE报文。配置GSR启用三层组播,作为组播路由器。
说明:
报文从S8500=>BRAS的转发过程如下:
●来自VLAN 1000至2999的报文进入S8500的端口GigabitEthernet2/1/1后,匹配上了4000号ACL的0号子规则,交换机为它打上两层VLAN Tag,外层VLAN ID为10,内层仍为原有的用户VLAN ID。
●S8500将带双层VLAN Tag的报文从GigabitEthernet2/1/3转发出去。
●双层TAG报文在BRAS进行终结。
报文从S8500=>GSR的转发流程如下:
●来自VLAN 3000的报文进入S8500的端口GigabitEthernet2/1/1后,直接从GigabitEthernet2/1/2转发出去。
3.1.3 完整配置
#
igmp-snooping enable
igmp-snooping nonflooding-enable
#
acl number 4000
rule 0 permit ingress 1000 to 2999 egress any
#
vlan 1
#
vlan 10
#
vlan 3000
igmp-snooping enable
#
interface GigabitEthernet2/1/1
port link-type hybrid
port hybrid vlan 3000 tagged
port hybrid vlan 10 untagged
vlan filter disable
traffic-redirect inbound link-group 4000 rule 0 nested-vlan 10
#
interface GigabitEthernet2/1/2
port link-type trunk
port trunk permit vlan 1 3000
#
interface GigabitEthernet2/1/3
port link-type trunk
port trunk permit vlan 1 10
#
3.1.4 配置注意事项
1.灵活QinQ功能只有D类单板能够支持;
2.因为启用灵活QinQ的端口只配置允许VLAN Tag增加、修改后的报文以及其他业务报文通过,为了使从端口进入的各种VLAN的数据可以被处理,需要把端口的VLAN过滤功能关闭,即在端口下配置vlan filter disable;
3.为了让通过灵活QinQ增加VLAN Tag的报文的回应报文在出端口(连接DSLAM的端口)去掉外层Tag,需要把端口设置为hybrid端口,使端口对应外层Tag的VLAN为untagged模式。
3.2 S8500灵活QinQ配置举例(modified-vlan)
3.2.1 组网需求
如下组网中,DSLAM和接入层交换机具备QinQ功能,给用户VLAN分别打上外层VLAN tag 11和10。而在S8500上,则需要按VLAN规划,根据不同的内层VLAN,分配不同的外层VLAN,对g2/1/1端口进入的用户VLAN为1000~2000、外层VLAN为10的报文修改外层VLAN Tag 为100后通过VLAN 100转发到SR,并对用户VLAN为2000、外层VLAN为10的语音报文修改COS值;对g2/1/2端口进入的用户VLAN为1000~2000外层VLAN为11的报文修改外层VLAN Tag 为101后通过VLAN 101转发到SR;其他报文则直接透传。
对这种要求S8500可以通过根据ACL规则对不同的VLAN修改不同Tag以及COS的方法实现。
1. 组网图
图4-2 基于流分类的modified VLAN配置
3.2.2 配置过程和解释
#配置接入层交换机设备
设置上网用户映射到VLAN 1000~2000,并打上外层TAG 10 ;上行口连接S8500,要求允许VLAN 10通过。
#配置DSLAM设备
DSLAM设置上网用户映射到VLAN 1000~2000,并打上外层TAG 11 ;上行口连接S8500,要求允许VLAN 11通过。
#配置S8500设备
1) 配置匹配VLAN 1000~2000的ACL
[Quidway]flow-template user-defined slot 2 s-tag-vlan c-tag-vlan c-tag-cos
[Quidway]acl number 4000
[Quidway-acl-link-4000] rule 0 permit s-tag-vlan 10 ingress c-tag-vlan 1000 to 2000
[Quidway-acl-link-4000] rule 1 permit s-tag-vlan 11 ingress c-tag-vlan 1000 to 2000
[Quidway-acl-link-4000] rule 2 permit s-tag-vlan 10 c-tag-cos voice ingress c-tag-vlan 2000
[Quidway-acl-link-4000] rule 3 permit s-tag-vlan 100 ingress c-tag-vlan 1000 to 2000
[Quidway-acl-link-4000] rule 4 permit s-tag-vlan 101 ingress c-tag-vlan 1000 to 2000
2) 创建VLAN 10、11、100和101
[Quidway]vlan 10 11 100 101
3) 配置连接接入层交换机的端口,端口允许VLAN 10和100通过,配置modified-vlan使匹配ACL 4000 rule 0规则的报文修改外层VLAN Tag 为100,remark匹配ACL 4000 rule 2规则的报文的外层COS值为excellent-effort(3)。
[Quidway]interface GigabitEthernet 2/1/1
[Quidway-GigabitEthernet2/1/1]port link-type trunk
[Quidway-GigabitEthernet2/1/1]port trunk permit vlan 10 100
[Quidway-GigabitEthernet2/1/1]flow-template user-defined
[Quidway-GigabitEthernet2/1/1]traffic-priority inbound link-group 4000 rule 2 remark-policed-service untrusted dscp 50 cos 3 local-precedence 3 drop-priority 0
[Quidway-GigabitEthernet2/1/1]traffic-redirect inbound link-group 4000 rule 0 modified-vlan 100
4) 配置连接DSLAM的端口,端口允许VLAN 11和101通过,配置modified-vlan使匹配ACL 4000 rule 1规则的报文修改外层VLAN Tag 为101。
[Quidway]interface GigabitEthernet 2/1/2
[Quidway-GigabitEthernet2/1/2]port link-type trunk
[Quidway-GigabitEthernet2/1/2]port trunk permit vlan 11 101
[Quidway-GigabitEthernet2/1/2]flow-template user-defined
[Quidway-GigabitEthernet2/1/2]traffic-redirect inbound link-group 4000 rule 1 modified-vlan 101
5)配置连接SR的端口
[Quidway]interface g2/1/3
[Quidway-GigabitEthernet2/1/3]port link-type trunk
[Quidway-GigabitEthernet2/1/3]port trunk permit vlan 10 11 100 101
[Quidway-GigabitEthernet2/1/3]flow-template user-defined
[Quidway-GigabitEthernet2/1/3]traffic-redirect inbound link-group 4000 rule 3 modified-vlan 10
[Quidway-GigabitEthernet2/1/3] traffic-redirect inbound link-group 4000 rule 4 modified-vlan 11
#配置SR设备
配置SR可以处理带双VLAN Tag 的报文。
3.2.3 完整配置
#
flow-template user-defined slot 2 s-tag-vlan c-tag-vlan c-tag-cos
#
acl number 4000
rule 0 permit s-tag-vlan 10 ingress c-tag-vlan 1000 to 2000
rule 1 permit s-tag-vlan 11 ingress c-tag-vlan 1000 to 2000
rule 2 permit s-tag-vlan 10 c-tag-cos voice ingress c-tag-vlan 2000
rule 3 permit s-tag-vlan 100 ingress c-tag-vlan 1000 to 2000
rule 4 permit s-tag-vlan 101 ingress c-tag-vlan 1000 to 2000
#
vlan 1
#
vlan 10
#
vlan 11
#
vlan 100
#
vlan 101
#
interface GigabitEthernet 2/1/1
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 10 100
flow-template user-defined
traffic-priority inbound link-group 4000 rule 2 remark-policed-service untrusted dscp 50 cos 3 local-precedence 3 drop-priority 0
traffic-redirect inbound link-group 4000 rule 0 modified-vlan 100
#
interface GigabitEthernet 2/1/2
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 11 101
flow-template user-defined
traffic-redirect inbound link-group 4000 rule 1 modified-vlan 101
#
interface GigabitEthernet 2/1/3
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 10 11 100 101
flow-template user-defined
traffic-redirect inbound link-group 4000 rule 3 modified-vlan 10
traffic-redirect inbound link-group 4000 rule 4 modified-vlan 11
#
3.2.4 配置注意事项
1.配置modified-vlan时,如果需要根据内层VLAN等信息匹配ACL规则时,那么要配置自定义流模板;
2.修改VLAN Tag的应用中,一般将上下行端口都配置为trunk端口或者hybrid的tagged模式,使端口能带着相应的外层Tag转发报文。
3.3 灵活QinQ防攻击组网
3.3.1 组网需求
S8500整机有两个上行口,一个上行口终结PPPOE流量(双TAG),另一个上行口终结企业专线用户(双TAG);下行口上来的PPPOE流量需要作内外层VLAN映射,且不同的下行口映射到不同的外层VLAN TAG(该端口PVID);下行口上来的企业专线用户映射到不同的外层VLAN TAG(规划的PVLAN ID);各个下行口下面的企业用户没有二层互通的需求。
1. 组网图
图4-3 灵活QinQ与防攻击
3.3.2 可能的攻击与防攻击配置
2. 攻击类型——ARP
攻击手段:ARP攻击。
对于去往BRAS的PPPOE用户来说,ARP报文是没有用的,需要被过滤,以减少ARP报文冲击设备,同时业务报文必须做灵活QINQ透传到BRAS;从SR和BRAS下来的报文都是带双tag的报文,不会上85的CPU,所以不存在从SR或BRAS到85的ARP攻击。
#在报文的入端口配置规则,过滤去往BRAS的PPPOE用户ARP报文:
PORT1: GigabitEthernet3/1/1
PORT2: GigabitEthernet3/1/2
[QUIDWAY]flow-template user-defined slot 3 ethernet-protocol vlanid dport ip-protocol sip 0.0.0.0
[QUIDWAY]acl number 4000
[QUIDWAY-acl-link-4000]rule 0 deny arp ingress 1001 to 1999
[QUIDWAY-acl-link-4000]rule 1 permit ingress 1001 to 1999
[QUIDWAY]interface GigabitEthernet 3/1/1
[QUIDWAY-GigabitEthernet3/1/1]port link-type hybrid
[QUIDWAY-GigabitEthernet3/1/1]vlan filter disable
[QUIDWAY-GigabitEthernet3/1/1]port hybrid vlan 2001 untagged
[QUIDWAY-GigabitEthernet3/1/1]flow-template user-defined
[QUIDWAY-GigabitEthernet3/1/1]packet-filter inbound link-group 4000 rule 0
[QUIDWAY-GigabitEthernet3/1/1]traffic-redirect inbound link-group 4000 rule 1 nested-vlan 2001
[QUIDWAY-GigabitEthernet3/1/2]interface GigabitEthernet 3/1/2
[QUIDWAY-GigabitEthernet3/1/2]port link-type hybrid
[QUIDWAY-GigabitEthernet3/1/2]vlan filter disable
[QUIDWAY-GigabitEthernet3/1/2]port hybrid vlan 2002 untagged
[QUIDWAY-GigabitEthernet3/1/2]flow-template user-defined
[QUIDWAY-GigabitEthernet3/1/2]packet-filter inbound link-group 4000 rule 0
[QUIDWAY-GigabitEthernet3/1/2]traffic-redirect inbound link-group 4000 rule 1 nested-vlan 2002
注意:
防攻击过滤配置一定要配置在QinQ重定向之前,否则不能起到防攻击的效果。
3. 攻击类型——MAC
攻击手段:上行流量存在源MAC是SR,或者是BRAS MAC的攻击报文,在内层VLAN学习MAC的情况下导致业务不通。
按照灵活QinQ配置指导要求,85上不应该创建报文内层VLAN,并且在入端口上需要配置
[QUIDWAY-GigabitEthernet3/1/1]vlan filter disable
所以本来就是不学MAC的,不需要考虑此类攻击。
第4章 灵活QinQ实际应用中常见问题及注意事项
4.1 MAC地址学习问题
4.1.1 下行口MAC学习
由于入报文首先进入MAC地址学习流程,然后再匹配ACL进行添加TAG或者换TAG的操作,因此,在配置灵活QinQ的端口上,入报文的源MAC不会学在外层VLAN上,也不会学在内层VLAN上(配置了vlan filter disable,没有允许内层VLAN通过时)。
如上例3.1 中,对于GigabitEthernet2/1/1的报文进行分析,相关配置如下:
#
acl number 4000
rule 0 permit ingress 1000 to 2999 egress any
#
interface GigabitEthernet2/1/1
port link-type hybrid
port hybrid vlan 3000 tagged
port hybrid vlan 10 untagged
vlan filter disable
traffic-redirect inbound link-group 4000 rule 0 system-index 1 nested-vlan 10
#
带着VLAN 1000的单层TAG报文进入端口后,首先进入MAC地址学习流程,由于GigabitEthernet2/1/1上并未配置允许1000通过,因此MAC地址无法学习到VLAN 1000;随后报文匹配ACL规则4000的rule 0,打上外层TAG 10,即在VLAN 10内进行转发,不再进行MAC学习,因此MAC地址也无法学习到VLAN 10。
modified-vlan的情况与nested-vlan类似。
如果GigabitEthernet2/1/1上配置允许内层VLAN,例如VLAN 1000通过,那么带着单层TAG 1000、源MAC为Mac-1的报文进入端口后,进入MAC地址学习流程,GigabitEthernet2/1/1上会将Mac-1学习到VLAN 1000;随后报文匹配ACL规则4000的rule 0,打上外层TAG 10,在VLAN 10内进行转发。但下行报文是带着外层TAG也就是VLAN 10进入上行口的,查询MAC时,只会查询VLAN 10内是否有学习目的MAC地址Mac-1,VLAN 10中没有匹配记录,因此还是在VLAN 10中广播转发。也就是说,内层TAG上学习MAC对于转发是没有意义的,因此我们通常在QinQ端口上都不配置内层VLAN通过。这样就不用学习MAC;而且对内层TAG不可感知,设备上就可以配置内层VLAN ID用作其他用途,大大提高了VLAN的复用性。
4.1.2 上行口MAC学习
S8500设备透传双层TAG报文时,将其看作普通单层TAG一样处理,源MAC地址正常学习在外层TAG上。
需要注意的是,虽然上行口入报文的MAC可正常学习,但对于灵活QinQ的单播报文转发也是没有意义的。如下1.1 4.2.1 1. (1)图5-1所示,VLAN 1999的上行报文打上100的外层TAG后,双上行到BAS 1和BAS 2,假设BAS 1先回应,在端口1上可正常在VLAN 100学习BAS 1的mac1。虽然后续该下行流量仅需和BAS 1进行交互,但之前我们也介绍过,入报文处理流程中,首先进行MAC地址处理,在下行口的入报文处理时,设备仍然首先在VLAN 1999中查询mac1,因此还是无法匹配MAC实现单播转发。
图5-1 双上行组网
双上行时,上行流量会在上行口广播。
综上所述,我们推荐的配置方式为VLAN内仅包含两个端口,一个上行一个下行,这样就不会存在VLAN内广播的问题,而且下行端口不学习MAC可以省去MAC地址学习的时间、节省单板的MAC地址表的使用(可在端口或者VLAN视图下配置mac-address max-mac-count 0强制不学习MAC)。
反之,如果VLAN内配置了多个端口,就会造成往下行口的流量在VLAN内端口广播复制,极大的浪费了带宽。
案例:在某电信局点的测试中,由于错误的将所有下行口都封装了同一个外层VLAN tag,出方向发生拥塞,导致端口出现丢包。
4.2 ACL中配置VLAN网段
在应用中,我们可能需要对一段范围的VLAN实行同样的操作,如对于201至300范围的私网VLAN都添加外层VLAN为4024:
[Quidway]dis acl con all
Link ACL 4000, 4 rules,
rule 0 permit mpls ingress any egress any
rule 1 permit mpls ingress any egress 00e0-fc07-0034 0000-0000-0000
rule 2 permit ingress 101 to 200 egress any
rule 3 permit ingress 201 to 300 egress any
[Quidway]int g2/1/9
[Quidway-GigabitEthernet2/1/9]dis this
#
interface GigabitEthernet2/1/9
port link-type hybrid
port hybrid vlan 1 4024 untagged
traffic-redirect inbound link-group 4000 rule 3 system-index 3 nested-vlan 4024
#
这里需要注意一下ACL资源的占用情况,rule中配置单个vlan时,端口下规则的下发会占用底层一条RULE资源;而每块单板的芯片上底层RULE资源目前仅支持1024条,也就是说规则中使用公网或私网VLAN较多时,资源很容易就耗尽。
规格说明:LSB1GV48D单板支持1K;LSB1GP24D/LSB1GT24D单板为双芯片单板,支持2K资源。
VLAN网段配置方式无疑大大节约了资源的占用情况,一段范围的配置通常才占用几条底层资源,具体占用情况我们可以通过display acl remaining entry slot进行查询。
同时,为节约资源,我们在规划网段时,需尽量遵循2的指数值。
如0 to 63, to 127,128 to 255等,都只占用1条规则。简单来说,value1 to value2的范围,假设value1为2的指数,且(value2 – value1+1)为2的指数,那么这么范围段就仅占用一条规则。
如果是256 to 351(256 to 319,320 to 351)则占用两条规则,依此类推。
4.3VLAN过滤
在QinQ端口上配置nested-vlan模式时,该端口上不需允许配置内层VLAN通过;配置modified-vlan模式时,该端口也可不配置原外层TAG通过。此时,端口上一定需要相应的配置vlan filter disable,将VLAN范围过滤功能关闭,否则,由于进行过滤操作时还未匹配ACL进行相应的TAG操作,会认为端口不在VLAN而将报文直接丢弃。
4.4流模板配置
交换机每块单板支持两个流模板。一个是系统默认流模板,另一个是用户自定义流模板。端口上只能选择配置其一,不能同时配置两种模板。
说明:
目前系统默认流模板为:
ip-protocol tcp-flag sport dport icmp-type icmp-code sip 0.0.0.0 dip 0.0.0.0 vlanid。
由于默认流模板一般不能满足灵活QinQ业务的需求,一般都需要我们配置自定义流模板进行操作。在定义流模板时,模板中所有的元素大小之和要不大于16个字节。
4.5 灵活QinQ与聚合
配置灵活QinQ时,上下行口上均支持聚合,但存在一定。
5.2.1.1.1.1QinQ端口聚合
上行口聚合时,上行流量在内层VLAN 1999内匹配MAC失败后,作为未知单播报文在上行聚合口进行负载分担,此时仅能根据VLAN ID+源端口进行HASH。
下行口聚合时,下行流量在VLAN 100内匹配MAC,由于下行口不学习MAC,因此此时的流量在下行聚合口也只能作为未知单播报文进行负载分担,根据VLAN ID+源端口进行HASH。
根据VLAN ID进行HASH时,对于两端口/四端口聚合情况下的负载分担效果较好。经验证,两端口聚合时,可根据VLAN ID奇偶值进行分担。四端口聚合同样根据VLAN ID可较好的实现分担。
可以看到,在端口通过VLAN范围较大时,分担效果明显。上行聚合由于VLAN、端口较多,可基本实现分担; 但下行端口通常只允许少量VLAN通过,因此聚合基本上不可行,因此下行聚合不推荐使用,建议使用DSLAM双上行、SmartLink、或改用千兆或使用普通QINQ(如果暂时没有灵活QINQ需求的话)来解决。下载本文
