详解二次封装VLAN技术——QINQ

    QinQ是对802.1Q的扩展，其核心思想是将用户私网VLAN tag封装到公网VLAN tag上，报文带着两层tag穿越服务商的骨干网络，从而为用户提供一种较为简单的二层VPN隧道。其特点是简单而易于管理，不需要信令的支持，仅仅通过静态配置即可实现，特别适用于小型的，以三层交换机为骨干的企业网或小规模城域网。

　　图1为基于传统的802.1Q协议的网络，假设某用户的网络1和网络2位于两个不同地点，并分别通过服务提供商的PE1、PE2接入骨干网，如果用户需要将网络1的VLAN200-300和网络2的VLAN200-300互联起来，那么必须将CE1、PE1、P和PE2、CE2的相连端口都配置为 Trunk属性，并允许通过VLAN200-300，这种配置方法必须使用户的VLAN在骨干网络上可见，不仅耗费服务提供商宝贵的VLAN ID资源（一共只有4094个VLAN ID资源），而且还需要服务提供商管理用户的VLAN号，用户没有自己规划VLAN的权利。

图一

　　为了解决上述问题，QinQ协议向用户提供一个唯一的公网VLAN ID，这个特殊的VLAN ID被称作Customer-ID，将用户私网VLAN tag封装在这个新的Customer-ID中，依靠它在公网中传播，用户私网VLAN ID在公网中被屏蔽，从而大大地节省了服务提供商紧缺的VLAN ID资源，如图2所示。

　　在QinQ模式下，PE上用于用户接入的端口被称作用户端口。在用户端口上使能QinQ功能，并为每个用户分配一个Customer-ID，此处为3，不同的PE上应该为同一网络用户分配相同的Customer-ID.当报文从CE1到达PE1时，带有用户内部网络的VLAN tag 200-300，由于使能了QinQ功能，PE上的用户端口将再次为报文加上另外一层VLAN tag，其ID就是分配给该用户的Customer-ID.此后该报文在服务提供商网络中传播时仅在VLAN 3中进行且全程带有两层VLAN tag（内层为进入PE1时的tag，外层为Customer-ID），但用户网络的VLAN信息对运营商网络来说是透明的。当报文到达PE2，从PE2 上的客户端口转发给CE2之前，外层VLAN tag被剥去，CE2收到的报文内容与CE1发送的报文完全相同。PE1到PE2之间的运营商网络对于用户来说，其作用就是提供了一条可靠的二层链路。