QinQ技术与Portal技术

QinQ

802.1Q-in-802.1Q，是一种扩展VLAN标签技术。在城域网中，需要大量的VLAN来隔离区分不同的用户，但是原有的802.1Q只有12个比特，仅能标识4096个VLAN
QinQ即在802.1Q的基础上，再增加一层外层标签。使得可以标识4096*4096个标签，大大增加了可以划分的VLAN数量
数据帧拥有两层标签后，内外层标签信息可以代表着不同的信息。比如内层标签来区分用户，外层标签区分业务。内层标签在运营商网络透明传输，有助于运营商实现业务精细化运营
基本原理
- 封装两层VLAN标签后，在公网中传输，设备只根据外层的VLAN标签指导转发，并学习MAC地址，内层的VLAN标签会被作为数据部分直接转发
- 在运营商的PE侧，可以将用户的不同私网VLAN打上相同的外层公网VLAN标签，公网设备根据外层标签指导转发，到达对端的PE设备后，剥离外层的标签，再交给用户网络的CE设备
封装方式

由于增加了一层标签，所以数据帧的大小也会变大，所以就需要设置转发设备接口所能发出的最大帧长（默认是1500）

QinQ实现方式
- 基本QinQ
  - 根据接口进行外层标签的封装。
  - 无论收到的数据帧是否含有标签，都会再原有的基础上添加一层本端口所属的缺省标签
- 灵活QinQ
  - 基于接口、VLAN、802.1p优先级来封装外层标签
  - 收到没有标签的数据帧则增加一层缺省VLAN标签；收到有一层标签的数据帧，可以根据内层的标签范围打上相应的外层标签；收到有一层标签的数据帧，可以根据内层标签的802.1p优先级标记外层标签的优先级，并打上外层标签
QinQ的封装反方式
- 基于接口
  - 即QinQ二层隧道。对于进入相同接口的流量全部封装相同的VLAN标签，封装方式不够灵活，不能细致区分不同的业务
- 基于流
  - 即二层灵活QinQ。对于进入相同接口的流量，可以根据不同的数据流，选择是否进行外层标签的封装以及封装什么标签
- 在路由器基于子接口
  - QinQ Stacking子接口。QinQ一般是在二层接口上进行封装。但是当MPLS/IP核心网采用PWE3/VLL/VPLS透传业务数据时，NPE上的路由子接口可以根据用户VLAN ID封装外层VLAN ID，通过外层VLAN ID接入VLL/PWE3。通过一个子接口，透传多个标识用户的VLAN
  - QinQ Stacking子接口只能和L2VPN(PWE3/VLL/VPLS)业务结合起来才有意义，不支持三层转发功能
- 不同运营商的系统可能将QinQ帧外层VLAN标记的TPID设置为不同值。为实现与这些系统的兼容性，可以修改TPID值，使QinQ帧发送到公网时，承载与特定运营商相同的TPID值，从而实现与该运营商设备之间的互操作性
QinQ Mapping
- 功能类似于NAT技术，可以将私网的VLAN标签替换为运营商分配的VLAN标签，一次达到屏蔽不同用户VLAN的作用
- 适用场景：
  - 新局点和老局点部署的VLAN ID冲突，但是新局点需要与老局点互通
  - 接入公网的各个局点规划不一致，导致VLAN ID冲突，但是各个局点之间不需要互通
  - 公网两端的VLAN ID规划不对称
- 映射方式
  - 一对一：收到只有一层标签的数据报文，直接将标签映射为指定的一层标签
  - 二对一：收到有两层标签的数据报文，只将外层标签映射为指定的一层标签
QinQ Mapping与VLAN Mapping

Mapping类型	相同点	不同点
1 to 1	接口收到Tagged帧后，将帧中的一层Tag映射为用户指定的一层Tag	QinQ Mapping的映射动作发生在子接口上，并且主要用于接入VPLS网络 VLAN Mapping的映射动作发生在主接口上，并且主要用于通过VLAN转发的二层网络
2 to 1	入接口收到的帧带有两层Tag。将帧中的外层Tag映射为用户指定的一层Tag，内层Tag作为业务数据透传	QinQ Mapping的映射动作发生在子接口上，并且主要用于接入VPLS网络 VLAN Mapping的映射动作发生在主接口上，并且主要用于通过VLAN转发的二层网络

配置
- 华为

#基本QinQ

interface g0/0/1
port link-type dot1q-tunnel

port default vlan vlan-id

#灵活QinQ
interface g0/0/1
port link-type hybrid

port hybrid untagged vlan vlan-id

qinq vlan-translation enable

port vlan-stacking vlan vlan-id1 stack-vlan vlan-id3

port vlan-stacking vlan vlan-id1 stack-vlan vlan-id2 map-vlan vlan-id4

华三 & 锐捷

description to SXS-1F

port link-type trunk

port trunk permit vlan

port trunk pvid vlan *

qinq enable

qinq transparent-vlan *

switchport mode dot1q-tunnel
switchport dot1q-tunnel allowed vlan add tagged *
switchport dot1q-tunnel allowed vlan add untagged *
switchport dot1q-tunnel native vlan *
dot1q outer-vid * register inner-vid *

Portal认证也称为Web认证。当用户未认证时，会被强制登录到特定站点，用户可以免费访问其中的服务。当用户需要访问互联网时，就需要在门户网站（即Portal认证界面）中进行认证，认证通过后才可以正常上网
用户可以主动访问门户网站进行认证（主动认证），也可以通过访问其他HTTP网站流量触发强制跳转到门户网站进行认证（强制认证）
Portal认证体系机构包括有外置的Portal认证服务器和内置的Portal认证服务器

Portal认证方式

二层认证
- 认证客户端与设备直连，或者中间只有二层设备，设备可以直接学习到用户的MAC地址，通过IP和MAC地址来标识用户
- 二层认证流程简单，安全性高，但由于限制了用户只能与接入设备处于同一网段，降低了组网的灵活性

三层认证
- Portal认证服务器部署在汇聚或核心层，认证客户端与设备之间存在三层转发设备，设备无法直接学习到认证客户端的MAC地址，只能通过IP地址来识别认证客户端
- 三层认证组网灵活，容易实现远程控制，但由于只有IP可以用来标识一个用户，所以安全性不高
Portal认证探测与逃生功能
- 当Portal服务器与设备之间的网络出现故障，或Portal服务器自身出现故障，则会造成新的Portal认证用户无法上线，已经在线的Portal用户无法正常下线，会给用户带来不便，甚至带来计费不准确的问题
- Portal探测和逃生功能可以保证在网络故障或Portal服务器无法正常工作的情况下，用户仍然可以正常使用网络，可以通过日志和Trap的方式报告故障。设备可以通过用户信息同步机制，保证Portal服务器与设备上用户信息的一致性，以避免出现计费不准确的问题

Portal认证协议

Portal接入协议
- HTTP/HTTPS协议：描述了客户端和Portal服务器之间的协议交互。客户端通过HTTP/HTTPS协议依次向Portal服务器发起连接请求和Portal认证请求
Portal认证协议
- Portal协议：描述了Portal服务器和接入设备之间的协议交互，可以用来传递用户名和密码等参数
- HTTP/HTTPS协议：描述了客户端和接入设备之间的协议交互，可以用来传递用户名和密码等参数

Portal认证用户下线

客户端主动下线
接入设备控制客户端下线
- 可以强制将用户下线，也可以通过用户探测功能，探测用户是否在线，若不在线则删除用户表项
认证服务器强制用户下线
- Redius服务器通过DM报文强制用户下线
Portal认证服务器强制用户下线

以上内容均属原创，如有不详或错误，敬请指出。

本文作者：坏坏

本文链接：http://t.csdn.cn/q6VMm