閻 琦

YAN QI

（渤海大學，錦州 121000）

1 QinQ技術的產(chǎn)生

隨著以太網(wǎng)技術在運營商網(wǎng)絡中的廣泛應用，利用802.1Q VLAN對用戶進行隔離和標識受到很大限制，因為IEEE802.1Q中定義的VLAN tag域只有12個比特，僅能表示4K個VLAN，這對于城域以太網(wǎng)中需要標識的大量用戶捉襟見肘，于是QinQ技術應運而生。

QinQ技術，也稱Stacked VLAN 或Double VLAN。標準為IEEE 802.1ad，QinQ最初主要是為拓展VLAN的數(shù)量空間而產(chǎn)生的，它是在原有的802.1Q報文的基礎上又增加一層802.1Q標簽實現(xiàn)，使VLAN數(shù)量增加到4K*4K。

Internet和IP技術的發(fā)展為提高企業(yè)內(nèi)部的信息化程度提供了極大的便利。對于企業(yè)來說，實現(xiàn)不同地點網(wǎng)絡的內(nèi)部互聯(lián)有兩種選擇，一種是建立自己的專用網(wǎng)絡，但對于廣大的中小企業(yè)來說專網(wǎng)方式高昂的費用難以承受。另一種方式是虛擬專用網(wǎng)絡，即VPN方式。

VPN是中小企業(yè)從自建專網(wǎng)向利用運營網(wǎng)絡的重要途徑通。通過部署VPN，可利用廣泛覆蓋、高帶寬的骨干運營網(wǎng)絡來實現(xiàn)企業(yè)網(wǎng)的互連，可為企業(yè)節(jié)省大量的建設費用。

傳統(tǒng)的IP VPN技術主要采用的網(wǎng)絡設備是路由器。近年來，隨著三層交換機的不斷成熟和大量應用，許多企業(yè)網(wǎng)和小型城域網(wǎng)用戶都傾向于使用三層交換機來搭建骨干網(wǎng)，與路由器相比，三層交換機能夠提供更高的轉(zhuǎn)發(fā)速率且具有更加優(yōu)越的性價比。由于以下三個原因，用戶一般都不愿意使用基于MPLS或者IP協(xié)議的VPN。

1）配置配置、維護工作相對比較復雜；

2）許多廠商的三層交換機不支持MPLS功能，如果用戶搭建基于MPLS的VPN要淘汰這些設備，浪費資源。

3）支持MPLLS功能的單板一般價格昂貴，小型用戶難以承受。

2 QinQ報文封裝

QinQ的報文封裝就是在原有802.1Q報文中的TAG頭上再加上一層TAG封裝，用來擴展VLAN的范圍。

QinQ的報文結(jié)構(gòu)如圖1所示。QinQ特性使設備最多可以提供4094X4094個VLAN，滿足城域網(wǎng)對VLAN數(shù)量的需求。

圖1 QinQ的報文結(jié)構(gòu)

QinQ報文有固定的格式，就是在802.1Q的標簽之上再打一層802.1Q標簽，QinQ報文比正常的802.1Q報文多四個字節(jié)，即圖中的外層標簽，外層標簽同內(nèi)層標簽一樣包含了2字節(jié)的TPID和2個字節(jié)的TCI。其中TPID（Tag Protocol Identifier，標簽協(xié)議標識）是VLAN Tag中的一個字段，用于表示VLAN Tag的協(xié)議類型，IEEE 802.1Q協(xié)議規(guī)定該字段的取值為0x8100。不同廠商的設備可能將QinQ報文外層VLAN Tag的TPID字段設為不同的值。華為公司采用默認的0x8100，有些廠家采用0x9100，為了實現(xiàn)互通，華為公司設備支持基于端口的QinQ協(xié)議配置，即用戶可以在設備端口上設置QinQ protocol 0x9100（該值可以由用戶任意指定），這樣端口就會將報文外層VLAN tag中的ETYPE值替換為0x9100再進行發(fā)送，從而使發(fā)送到其他設備端口的QinQ報文可以被設備識別。

3 QinQ的實現(xiàn)方式

QinQ可分為兩種：基本QinQ和靈活 QinQ。

3.1 基本QinQ

基本QinQ是基于端口方式實現(xiàn)的，又稱為標準QINQ封裝，即基于端口打外層標簽的，該端口下所有的用戶數(shù)據(jù)統(tǒng)一封裝一個共同的VLAN標簽，在實際應用中局限性太大。

開啟端口的基本 QinQ功能后，當該端口接收到報文，交換機會為該報文打上本端口缺省VLAN的VLAN Tag。如果接收到的是已經(jīng)帶有VLAN Tag的報文， 該報文就成為雙 Tag的報文；如果接收到的是不帶 VLAN Tag的報文，該報文就成為帶有端口缺省 VLAN Tag的報文。

3.2 靈活QinQ

靈活QinQ是對QinQ 的一種更靈活的實現(xiàn)，它是基于端口與 VLAN 相結(jié)合的方式實現(xiàn)的。除了能實現(xiàn)所有基本QinQ的功能外，對于同一個端口接收的報文還可以根據(jù)不同的內(nèi)層VLAN ID添加不同的外層VLAN Tag。靈活QinQ可以實現(xiàn)以下功能：

1）為具有不同內(nèi)層VLAN ID的報文添加不同的外層VLAN Tag。

2）根據(jù)報文的原有內(nèi)層VLAN的802.1p優(yōu)先級標記外層VLAN報文的802.1p優(yōu)先級。

3）可以在添加外層VLAN Tag的同時對內(nèi)層用戶VLAN ID進行修改。

4 Qinq優(yōu)點

QinQ技術可以在公網(wǎng)上實現(xiàn)一個專用的二層網(wǎng)絡，能夠使運營商給客戶提供便捷的二層VPN解決方案，不需要依依協(xié)議的支持，可以通過純靜態(tài)配置實現(xiàn)，而且只需要網(wǎng)絡邊緣設備支持QinQ，內(nèi)部只需要有支持802.1Q的設備即可，所以很多小型用戶傾向于使用該功能構(gòu)建自己的VPN。

QinQ提供接入時具有以下優(yōu)點：

1）解決日益緊缺的公網(wǎng)VLAN ID資源；

2）可以規(guī)劃自己的私網(wǎng)VLAN ID，不會導致與公網(wǎng)VLAN ID沖突；

3）提供一種較為簡單的二層VLN解決方案；

4）使用網(wǎng)絡具有較高的獨立性，在服務提供商升級網(wǎng)絡時，用戶網(wǎng)絡不必要更改原有的配置；

5）可以按不同層次的VLAN ID來區(qū)分不同的業(yè)務；

6）QinQ技術上完全可以多層嵌套，沒有限制，僅受Ethernet報文長度的限制，具有很好的擴充性。對于QinQ，業(yè)界有多種不同的稱呼，比如Tag in Tag、VLAN VPN、StackVLAN、SVLAN。QinQ每增加一層VLAN標簽，就可以將所覆蓋的用戶VLAN數(shù)量增加4096倍，兩層VLAN標簽可以支持4K×4K VLAN，一般來說兩層VLAN就可以滿足絕大多數(shù)需求。

5 MAC-in-MAC技術

盡管Qinq 技術有很多優(yōu)點，但也存在一些缺陷。首先，雖然 QinQ 技術解決了 VLAN ID 資源不足的問題，但同時運營商所能夠支持的用戶數(shù)大大增多，而且對于二層報文，其報文頭中的源MAC地址和目的 MAC地址仍然是發(fā)送數(shù)據(jù)報文和最終接受數(shù)據(jù)報文的用戶端設備的 MAC地址，所以對于運營商網(wǎng)絡中的交換設備，就不得不維護一個非常龐大的 MAC轉(zhuǎn)發(fā)表。另外，用戶網(wǎng)絡和運營商網(wǎng)絡分開管理后，對于每個 VLAN，應該能夠單獨運行自己的二層協(xié)議，如STP 協(xié)議和GVRP 協(xié)議等，但是二層協(xié)議BPDU 報文的目的MAC地址是一個統(tǒng)一的地址，這樣當用戶網(wǎng)絡的BPDU報文進入到運營商網(wǎng)絡時，設備就無法區(qū)分這些報文是本網(wǎng)絡的還是從用戶網(wǎng)絡進入的，從而對運營商網(wǎng)絡的拓撲維護等功能造成破壞。

為彌補Qinq的不足，部分廠商提出了MAC-in-MAC (IEEE802.1ah)的處理方式，它包括用戶網(wǎng)絡／運營商網(wǎng)絡的 MAC 地址隔離、用戶網(wǎng)絡控制協(xié)議透傳性、服務的區(qū)分和擴展性等問題。MAC-in-MAC技術也同樣具有流量工程的能力。運營商網(wǎng)絡在 UNI 處，首先在來自用戶網(wǎng)絡的以太幀中，嵌入運營商網(wǎng)絡的源地址、目標地址、提供商VLAN Tag 標簽和Service Label服務標簽等域。

MAC-in-MAC技術是基于 QinQ 技術的一種改進。當用戶網(wǎng)絡的數(shù)據(jù)包進入到運營商網(wǎng)絡中時，同樣會再插入一層 VLAN Tag，而為了與QinQ 技術中的 S-VLAN Tag 相區(qū)分，這個 VLAN Tag被稱為 B-Tag ，相應的 VLAN 被稱為骨干網(wǎng)VLAN (Backbone-VLAN , B-VLAN) 。同時，數(shù)據(jù)包中還會插入一層額外的二層以太網(wǎng)頭，其中源MAC地址是數(shù)據(jù)包進入運營商網(wǎng)絡時的網(wǎng)絡邊緣交換機的 MAC地址，目的 MAC地址是數(shù)據(jù)包離開運營商網(wǎng)絡時的邊緣交換機的 MAC地址。而數(shù)據(jù)包原有的以太網(wǎng)頭則被作為數(shù)據(jù)載荷封裝起來。正是因為在二層 MAC 頭外又增加了一層MAC頭，所以這種技術被稱為 MAC-in-MAC 技術。由于數(shù)據(jù)包在運營商網(wǎng)絡中的轉(zhuǎn)發(fā)是使用運營商網(wǎng)絡設備的 MAC地址，所以節(jié)省了設備中的MAC 表項資源。

在 MAC-in-MAC 里提供商 VLAN Tag 標簽與在 QinQ 中的格式是一樣的，提供商 VLAN ID 域仍然用于識別提供商 VLAN 以及被它所映射的用戶的VLAN ID。P-VALN CoS 域確定幀優(yōu)先級并支持流量工程。Service Label的Service ID 域用于標識運營商網(wǎng)絡的服務實例，MAC-in-MAC 網(wǎng)絡是基于運營商網(wǎng)絡 MAC 地址的數(shù)據(jù)交換和發(fā)送。因為交換和傳輸數(shù)據(jù)幀是在運營商網(wǎng)絡內(nèi)部進行，用戶的以太幀等被封裝在M-in-M的隧道里，僅僅作為數(shù)據(jù)被傳輸，所以這項技術解決了允許用戶 MAC 地址和運營商網(wǎng)絡 MAC 地址的重疊。因為用戶的以太幀是經(jīng)過隧道傳輸，而用戶和運營商網(wǎng)絡是隔離的。

MAC-in-MAC是IEEE對城域以太網(wǎng)的重要貢獻之一。MAC-in-MAC技術是在IEEE 802.1ah標準中提出的。IEEE 802.1ah標準在運營商網(wǎng)絡的邊界點將用戶以太網(wǎng)幀之外再封裝運營商的以太網(wǎng)幀頭，從體系架構(gòu)上將傳統(tǒng)以太網(wǎng)革新為層次化的結(jié)構(gòu)，從而避免了傳統(tǒng)以太網(wǎng)的平面結(jié)構(gòu)帶來的MAC地址學習與泛濫、STP協(xié)議相互影響等安全隱患。

MAC-in-MAC技術主要具有如下優(yōu)點：

1）安全

由于在客戶和網(wǎng)絡提供商網(wǎng)絡之間有一個清晰的分界點，從而顯著增強了網(wǎng)絡、服務和應用的安全性。

2）穩(wěn)定

服務提供商的網(wǎng)絡現(xiàn)在更加穩(wěn)定，它不僅與廣播風暴分隔開來，還與可能在最終客戶網(wǎng)絡中創(chuàng)建的轉(zhuǎn)發(fā)環(huán)路隔離開。

3）運營的便捷

服務提供商可以規(guī)劃自己的網(wǎng)絡，而無需擔心相關資源與客戶重疊。

4）運營成本的降低

MAC-in-MAC由于采用了二層技術，沒有復雜的信令機制，因此設備成本、建網(wǎng)和運維成本較低。

6 結(jié)束語

從標準以太網(wǎng)到Qinq，再到MAC in MAC，以太網(wǎng)通過對幀結(jié)構(gòu)的擴展，實現(xiàn)了對用戶數(shù)據(jù)的透明傳輸。Qinq技術通過雙層VLAN tag擴展了以太網(wǎng)的功能，使城域以太網(wǎng)應用逐漸成熟。MAC in MAC技術通過雙層MAC地址分割了用戶和運營商的地址，解決了城域以太網(wǎng)應用中遇到的一些問題，使以太網(wǎng)應用于運營商的骨干網(wǎng)絡。

[1] 王寅,孫磊.基于QinQ+PPPOE技術在校園網(wǎng)中的應用[J].計算機與信息技術,2008,10：68-70.

[2] 董喜明,QinQVLAN技術在城域以太網(wǎng)組網(wǎng)中的應用[J].計算機工程與科學,2005,27(6)：18-21.

[3] 王玲,鹿凱寧,802.1QinQ的實現(xiàn)及驗證[J].電子測量技術,2007,9：96-99.

[4] 李馥娟.以太網(wǎng)透傳技術及應用研究[J].微計算機應用,2009,(7)：8-13.

[5] Mick Seaman.Large Scale Q-in-Q-(1) Scalable Address Learning[EB/OL].http：//www.ieee802.org/1/files/public/docs2003/ScalableQinQLearning.pdf,2003.

[6] Jeffree,Tony.IEEE802.1AD[EB/OL],http：//www.ieee802.org/1/pages/802.1ad.html,2007.

[7] Stephen Haddock.802.1ad Architecture,Diagrams[EB/OL].http：//www.ieee802.org/1/files/public/docs2003/802-1adarchitecture-Haddock.pdf,2003.

[8] Bottorf,Paul.IEEE802.1AH[EB/OL].http：//www.ieee802.org/1/pages/802.1ah.html 2007.