Q-in-Q VLAN (также известная как Double VLAN, 802.1Q Tunneling, VLAN Tunneling) — это технология, которая позволяет инкапсулировать одну метку VLAN внутри другой для передачи данных через сети провайдеров Ethernet. Эта технология особенно полезна при предоставлении услуг интернет-провайдерами (ISP), когда несколько клиентов используют общую инфраструктуру.
Как работает Q-in-Q?
В обычной сети Ethernet используется одна метка VLAN (VLAN tag) для идентификации трафика разных подсетей. Однако в случае Q-in-Q добавляется еще одна метка поверх существующей. Это позволяет провайдеру передавать трафик нескольких клиентов через свою сеть, сохраняя их независимыми друг от друга.
Процесс выглядит следующим образом:
- Клиентская сеть: Клиенты отправляют данные с уже присвоенной им меткой VLAN. Например, клиент может использовать VLAN 10 для своего трафика.
- Инкапсуляция: Когда этот трафик попадает к провайдеру, он добавляет вторую метку (например, VLAN 100). Таким образом, исходная метка клиента (VLAN 10) оказывается вложена внутрь новой метки провайдера (VLAN 100).
- Передача: Провайдер передает этот двойной тегированный пакет через свою магистральную сеть до точки назначения.
- Декапсуляция: В точке назначения вторая метка (VLAN 100) удаляется, оставляя оригинальную метку клиента (VLAN 10). После этого трафик передается клиенту без изменений.
Преимущества использования Q-in-Q VLAN
- Масштабируемость: Позволяет провайдерам обслуживать большое количество клиентов, используя ограниченное число VLAN. Вместо того чтобы выделять каждому клиенту отдельный диапазон VLAN, провайдеры могут использовать всего несколько своих собственных меток для обслуживания множества клиентов.
- Безопасность: Благодаря тому, что каждый клиент имеет свой уникальный идентификатор VLAN под внешним слоем, обеспечивается изоляция между клиентами, даже если они используют одни и те же номера VLAN.
- Упрощение управления: Снижает сложность настройки сети у провайдера, так как ему нужно управлять меньшим количеством VLAN-меток.
Применение Q-in-Q VLAN
Технология Q-in-Q широко применяется в сетях операторов связи, предоставляющих услуги Ethernet, а также в корпоративных сетях, где требуется поддержка большого количества независимых сегментов сети.
Ограничения
Несмотря на все преимущества, есть некоторые ограничения, связанные с использованием Q-in-Q:
- Максимальная глубина вложений: Стандарт IEEE 802.1ad допускает только два уровня вложения (то есть две метки VLAN). Это накладывает ограничение на возможность дальнейшего расширения.
- Совместимость оборудования: Для работы с Q-in-Q необходимо, чтобы оборудование поддерживало эту технологию. Не все коммутаторы и маршрутизаторы поддерживают вложенную инкапсуляцию.
Существуют различные способы реализации этой технологии: Selective Q-in-Q и Port-based Q-in-Q. Давайте рассмотрим различия между этими двумя подходами.
Port-Based Q-in-Q VLAN
Этот метод предполагает, что весь трафик, проходящий через определенный физический порт коммутатора, автоматически получает дополнительную метку VLAN (внешний тег). Независимо от того, какой внутренний VLAN использует клиентский трафик, внешний VLAN всегда одинаков для данного порта.
Основные характеристики:
- Прозрачность для клиента: внутренние VLAN клиенты остаются неизменными, просто добавляется внешний VLAN провайдера.
- Ограниченность: внешняя метка VLAN фиксирована для каждого порта, что делает невозможным использование разных внешних VLAN для разных клиентов на одном порту.
Пример использования:
Предположим, у вас есть три клиента, использующих VLAN10, VLAN 20 и VLAN 30 соответственно. Все три клиента подключены к одному порту коммутатора провайдера. При использовании Port-based Q-in-Q все эти клиенты будут получать одинаковый внешний VLAN, скажем, VLAN 100.
Selective Q-in-Q VLAN
Этот подход позволяет применять различные внешние VLAN в зависимости от внутреннего VLAN клиента. Другими словами, разные клиенты могут иметь свои уникальные комбинации внутренних и внешних VLAN.
Основные характеристики:
- Гибкость: возможность назначать разные внешние VLAN разным клиентам на одном и том же порту, основываясь на внутреннем VLAN каждого клиента.
- Усложнённая настройка: требуется дополнительная конфигурация для сопоставления внутренних и внешних VLAN. Необходимо поддерживать таблицу соответствия.
- Расширенные возможности изоляции: Позволяет лучше контролировать и изолировать трафик разных клиентов.
Пример использования:
Допустим, тот же самый сценарий, что и выше, у нас три клиента: первый использует VLAN 10, второй — VLAN 20, третий — VLAN 30. С помощью Selective Q-in-Q можно назначить каждому из них свой уникальный внешний VLAN: VLAN 100, VLAN 200 и VLAN 300 соответственно. А можно настроить и так, чтобы VLAN 100 и VLAN 200 получили одинаковый внешний тег, например 1000, а VLAN 30 — свой уникальный тег 300.
Основное отличие
Основное различие между этими методами заключается в следующем:
- В Port Based Q-in-Q, все клиенты на одном физическом порту получают одинаковую внешнюю метку VLAN независимо от внутренней метки.
- В Selective Q-in-Q внешняя метка назначается динамически в зависимости от внутренней метки клиента, что дает больше возможностей для изоляции и управления трафиком.
Когда использовать каждый метод?
- Port-Based Q-in-Q VLAN: Подходит для простых сценариев, когда не требуется сложная сегментация трафика или когда все клиенты используют одинаковые внутренние VLAN. Это проще в настройке и управлении.
- Selective Q-in-Q VLAN: Используется в случаях, когда требуется высокая степень контроля над трафиком и нужна гибкая система назначения внешних VLAN. Подходит для крупных провайдеров, работающих с множеством клиентов, каждый из которых использует собственные VLAN.
Далее рассмотрим настройку Q-in-Q VLAN на коммутаторах D-Link со стандартным и D-Link CLI.
Настройка Port-based Q-in-Q VLAN на коммутаторах D-Link
Настройка Selective Q-in-Q VLAN на коммутаторах D-Link