QinQ技术与Portal技术
QinQ
- 802.1Q-in-802.1Q,是一种扩展VLAN标签技术。在城域网中,需要大量的VLAN来隔离区分不同的用户,但是原有的802.1Q只有12个比特,仅能标识4096个VLAN
- QinQ即在802.1Q的基础上,再增加一层外层标签。使得可以标识4096*4096个标签,大大增加了可以划分的VLAN数量
- 数据帧拥有两层标签后,内外层标签信息可以代表着不同的信息。比如内层标签来区分用户,外层标签区分业务。内层标签在运营商网络透明传输,有助于运营商实现业务精细化运营
- 基本原理
- 封装两层VLAN标签后,在公网中传输,设备只根据外层的VLAN标签指导转发,并学习MAC地址,内层的VLAN标签会被作为数据部分直接转发
- 在运营商的PE侧,可以将用户的不同私网VLAN打上相同的外层公网VLAN标签,公网设备根据外层标签指导转发,到达对端的PE设备后,剥离外层的标签,再交给用户网络的CE设备
- 封装方式
- 由于增加了一层标签,所以数据帧的大小也会变大,所以就需要设置转发设备接口所能发出的最大帧长(默认是1500)
- QinQ实现方式
- 基本QinQ
- 根据接口进行外层标签的封装。
- 无论收到的数据帧是否含有标签,都会再原有的基础上添加一层本端口所属的缺省标签
- 灵活QinQ
- 基于接口、VLAN、802.1p优先级来封装外层标签
- 收到没有标签的数据帧则增加一层缺省VLAN标签;收到有一层标签的数据帧,可以根据内层的标签范围打上相应的外层标签;收到有一层标签的数据帧,可以根据内层标签的802.1p优先级标记外层标签的优先级,并打上外层标签
- 基本QinQ
- QinQ的封装反方式
- 基于接口
- 即QinQ二层隧道。对于进入相同接口的流量全部封装相同的VLAN标签,封装方式不够灵活,不能细致区分不同的业务
- 基于流
- 即二层灵活QinQ。对于进入相同接口的流量,可以根据不同的数据流,选择是否进行外层标签的封装以及封装什么标签
- 在路由器基于子接口
- QinQ Stacking子接口。QinQ一般是在二层接口上进行封装。但是当MPLS/IP核心网采用PWE3/VLL/VPLS透传业务数据时,NPE上的路由子接口可以根据用户VLAN ID封装外层VLAN ID,通过外层VLAN ID接入VLL/PWE3。通过一个子接口,透传多个标识用户的VLAN
- QinQ Stacking子接口只能和L2VPN(PWE3/VLL/VPLS)业务结合起来才有意义,不支持三层转发功能
- 不同运营商的系统可能将QinQ帧外层VLAN标记的TPID设置为不同值。为实现与这些系统的兼容性,可以修改TPID值,使QinQ帧发送到公网时,承载与特定运营商相同的TPID值,从而实现与该运营商设备之间的互操作性
- 基于接口
- QinQ Mapping
- 功能类似于NAT技术,可以将私网的VLAN标签替换为运营商分配的VLAN标签,一次达到屏蔽不同用户VLAN的作用
- 适用场景:
- 新局点和老局点部署的VLAN ID冲突,但是新局点需要与老局点互通
- 接入公网的各个局点规划不一致,导致VLAN ID冲突,但是各个局点之间不需要互通
- 公网两端的VLAN ID规划不对称
- 映射方式
- 一对一:收到只有一层标签的数据报文,直接将标签映射为指定的一层标签
- 二对一:收到有两层标签的数据报文,只将外层标签映射为指定的一层标签
- QinQ Mapping与VLAN Mapping
Mapping类型 |
相同点 |
不同点 |
1 to 1 |
接口收到Tagged帧后,将帧中的一层Tag映射为用户指定的一层Tag |
|
2 to 1 |
入接口收到的帧带有两层Tag。将帧中的外层Tag映射为用户指定的一层Tag,内层Tag作为业务数据透传 |
|
- 配置
- 华为
#基本QinQ interface g0/0/1 port default vlan vlan-id |
#灵活QinQ port hybrid untagged vlan vlan-id qinq vlan-translation enable port vlan-stacking vlan vlan-id1 stack-vlan vlan-id3 port vlan-stacking vlan vlan-id1 stack-vlan vlan-id2 map-vlan vlan-id4 |
- 华三 & 锐捷
description to SXS-1F port link-type trunk port trunk permit vlan port trunk pvid vlan * qinq enable qinq transparent-vlan * |
switchport mode dot1q-tunnel |
- Portal认证也称为Web认证。当用户未认证时,会被强制登录到特定站点,用户可以免费访问其中的服务。当用户需要访问互联网时,就需要在门户网站(即Portal认证界面)中进行认证,认证通过后才可以正常上网
- 用户可以主动访问门户网站进行认证(主动认证),也可以通过访问其他HTTP网站流量触发强制跳转到门户网站进行认证(强制认证)
- Portal认证体系机构包括有外置的Portal认证服务器和内置的Portal认证服务器
Portal认证方式
- 二层认证
- 认证客户端与设备直连,或者中间只有二层设备,设备可以直接学习到用户的MAC地址,通过IP和MAC地址来标识用户
- 二层认证流程简单,安全性高,但由于限制了用户只能与接入设备处于同一网段,降低了组网的灵活性
- 三层认证
- Portal认证服务器部署在汇聚或核心层,认证客户端与设备之间存在三层转发设备,设备无法直接学习到认证客户端的MAC地址,只能通过IP地址来识别认证客户端
- 三层认证组网灵活,容易实现远程控制,但由于只有IP可以用来标识一个用户,所以安全性不高
- Portal认证探测与逃生功能
- 当Portal服务器与设备之间的网络出现故障,或Portal服务器自身出现故障,则会造成新的Portal认证用户无法上线,已经在线的Portal用户无法正常下线,会给用户带来不便,甚至带来计费不准确的问题
- Portal探测和逃生功能可以保证在网络故障或Portal服务器无法正常工作的情况下,用户仍然可以正常使用网络,可以通过日志和Trap的方式报告故障。设备可以通过用户信息同步机制,保证Portal服务器与设备上用户信息的一致性,以避免出现计费不准确的问题
Portal认证协议
- Portal接入协议
- HTTP/HTTPS协议:描述了客户端和Portal服务器之间的协议交互。客户端通过HTTP/HTTPS协议依次向Portal服务器发起连接请求和Portal认证请求
- Portal认证协议
- Portal协议:描述了Portal服务器和接入设备之间的协议交互,可以用来传递用户名和密码等参数
- HTTP/HTTPS协议:描述了客户端和接入设备之间的协议交互,可以用来传递用户名和密码等参数
Portal认证用户下线
- 客户端主动下线
- 接入设备控制客户端下线
- 可以强制将用户下线,也可以通过用户探测功能,探测用户是否在线,若不在线则删除用户表项
- 认证服务器强制用户下线
- Redius服务器通过DM报文强制用户下线
- Portal认证服务器强制用户下线
以上内容均属原创,如有不详或错误,敬请指出。
本文作者: 坏坏
本文链接:http://t.csdn.cn/q6VMm
版权声明: 转载请联系作者注明出处并附带本文链接!
QinQ技术与Portal技术相关推荐
- Portal技术白皮书
Portal技术白皮书 摘 要:Portal认证也叫Web认证,即通过HTTP页面接受用户输入的用户名和密码,对用户进行认证.本文档主要介绍了Portal认证的基本流程和典型组网应用. 缩略语: ...
- Portal技术在SOA系统集成应用中的实现
导读: Portal技术在SOA系统集成应用中的实现 一. 引言 1.1项目背景 凤凰医疗设备有限公司(以下简称"凤凰",虚构的名字,便于讲解)是一家专门制造和营销专业医疗器械和实 ...
- Portal技术详解,很实用
/ Portal简介/ Portal在英语中是入口的意思.Portal认证通常也称为WEB认证,一般将Portal认证网站称为门户网站. 未认证的用户上网时,设备强制用户登录到特定站点,用户可以免费访 ...
- Portal技术介绍
Portal技术介绍 目 录 Portal Portal简介 Portal扩展功能 Portal的系统组成 使用本地Portal服务器的Portal认证系统 系统组成 认证客户端和本地Portal服 ...
- AMiner新功能:技术趋势分析—挖掘技术源头、近期热度和全局热度
来源:学术头条 本文约2500字,建议阅读5分钟. 本文介绍了AMiner新开放功能的应用. 开放全新功能 技术趋势分析 近日,AMiner开放了一个全新功能,复制下方网址在浏览器打开,或点击文末&q ...
- 奇点、技术失控与技术启示录
来源:资本实验室 回顾过去,我们可以看到历史上各个时期涌现出的众多超越时代的新公司.新产品.新思维和新模式.尽管绝大多数创新产品最终都失败了,但先行者们致力于要解决所在时代各种问题和困难的精神,却影响 ...
- “技术崇拜”与“技术恐惧”都会阻碍 AI 创新,“技术节制”才是正道
来源:36氪 概要:我们需要的是一种能够理解我们不断变化的想法的工具,而不是一个一直试图去模仿我们习惯的工具. 我们需要的是一种能够理解我们不断变化的想法的工具,而不是一个一直试图去模仿我们习惯的工具 ...
- php redis 管道技术,Redis管道技术这么厉害,你都用对了吗
Redis是一种基于客户端-服务端模型以及请求/响应协议的TCP服务.这意味着通常情况下一个请求会遵循以下步骤: 客户端向服务端发送一个查询请求,并监听Socket返回,通常是以阻塞模式,等待服务端响 ...
- LINQ技术、EF技术都出来蛮久了,软件开发者、软件公司是否还有必要有自己的代码生成器?...
为什么80%的码农都做不了架构师?>>> 有一段时间,也怀疑自己,是否有必要继续维护代码生成器?因为微软的LINQ技术.EF技术都出来了,而且资料也开始越来越多了,代码生成器的 ...
最新文章
- linux攻击端口,Linux 常见攻击端口封杀表
- 吴恩达推荐笔记:22 张图总结深度学习全部知识
- 英伟达推出GAN“超级缝合体”,输入文字草图语义图都能生成逼真照片
- Android在ListView中嵌套一个GridView时只显示一行的原因及解决方法
- 关于asp.net2.0资源文件本地化多语言版本的一些小技巧
- 集群、分布式、微服务概念和区别
- android录音播放并上传
- Linux - iptables
- 3分钟理解完java中的回调函数
- 利用python搭建socket server服务器
- 傅里叶变换与时域频域关系
- xp 无线网络 搜索 服务器,WinXP系统搜索不到无线网络的解决方法【图】
- Vue中禁止鼠标滑轮事件
- 计算机视觉、图像处理学习资料汇总(转)
- Qt编写密钥生成器+使用demo(开源)
- 独立站好做吗?独立站跨境电商怎么做?
- 【STM32/FreeRTOS】精准延时的实现
- 浅谈分布式集群管理系统
- 云笔记是干什么用的,看云笔记的优点和使用心得分享
- java性能调优jstat使用方法