王婕

摘要：隨著計(jì)算機(jī)技術(shù)的日益發(fā)展，網(wǎng)絡(luò)用戶數(shù)量急劇增加，對(duì)網(wǎng)絡(luò)通信體驗(yàn)的要求越來越高。通信公司現(xiàn)有網(wǎng)絡(luò)已經(jīng)無法滿足日益增長(zhǎng)的用戶需求，出現(xiàn)了很多問題，其中安全問題尤為重要。因?yàn)榻M網(wǎng)模型很簡(jiǎn)單，使用核心交換下掛三層交換機(jī)的模式，認(rèn)證方式僅采用IP地址與物理地址綁定的方法進(jìn)行用戶驗(yàn)證，多個(gè)用戶共用一個(gè)VLAN，使得相鄰用戶之間是可見的，頻繁出現(xiàn)因某些病毒等情況引起一棟樓甚至整個(gè)小區(qū)網(wǎng)絡(luò)異常的情況，采用QinQ（多層VLAN）技術(shù)，每個(gè)用戶單獨(dú)使用一個(gè)VLAN，用戶間相互隔離，最大程度降低廣播風(fēng)暴，減少用戶間的相互干擾，保障網(wǎng)絡(luò)及用戶數(shù)據(jù)的正常轉(zhuǎn)發(fā)，提高用戶滿意度，降低外網(wǎng)維護(hù)人員的工作量，提升公司的聲譽(yù)及效益。

關(guān)鍵詞：QinQ；VLAN；廣播風(fēng)暴

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）07-0059-04

Abstract： with the increasing development of computer technology， network user quantity sharp increase， more and more of the requirements of the network communication experience. Company's existing network communication has been unable to meet the growing needs of the user， there are a lot of problems， in which the security is particularly important. Because the network model is simple， the use of core switching over three layer switch mode， only the user authentication mode method is adopted to validate the binding IP address and physical address， multiple users share one VLAN， so that between adjacent users is visible， the frequent emergence of a building or the whole area network abnormalities caused by certain diseases poisonous situation， using QinQ （multi VLAN） technology， each user individually using a VLAN， the mutual isolation between users， minimize the broadcast storm， reduce the interference between users， security network and user number according to the normal forwarding， improve customer satisfaction， reduce the network maintenance workload， enhance the reputation and benefit of the company.

Key words： QinQ； VLAN； broadcast storm

1 通信公司網(wǎng)絡(luò)現(xiàn)狀

隨著計(jì)算機(jī)技術(shù)的日益發(fā)展，網(wǎng)絡(luò)用戶數(shù)量急劇增加，對(duì)網(wǎng)絡(luò)通信體驗(yàn)的要求越來越高。通信公司現(xiàn)有網(wǎng)絡(luò)已經(jīng)無法滿足日益增長(zhǎng)的用戶需求，出現(xiàn)了很多問題，其中安全問題尤為重要，因?yàn)榻M網(wǎng)模型很簡(jiǎn)單，使用核心交換下掛三層交換機(jī)的模式，認(rèn)證方式僅采用IP地址與物理地址綁定的方法進(jìn)行用戶驗(yàn)證，因?yàn)楝F(xiàn)有VLAN ID數(shù)量存在上限的問題（最多4096個(gè)），所以多個(gè)用戶只好共用一個(gè)VLAN，使得相鄰用戶之間是可見的，這樣，就會(huì)出現(xiàn)因某些病毒等情況引起一棟樓甚至整個(gè)小區(qū)網(wǎng)絡(luò)異常的情況，用戶滿意度下降，外網(wǎng)維護(hù)人員工作量加大，公司聲譽(yù)及效益受到影響。

如果單用戶使用自己的vlan，相互之間不可見，就不會(huì)出現(xiàn)這樣的問題，QinQ技術(shù)恰好為我們解決了這個(gè)問題。

采用QinQ（多層VLAN）技術(shù)，每個(gè)用戶單獨(dú)使用一個(gè)VLAN，用戶間相互隔離，最大程度降低廣播風(fēng)暴，減少用戶間的相互干擾，保障網(wǎng)絡(luò)及用戶數(shù)據(jù)的正常轉(zhuǎn)發(fā)，提高用戶滿意度，降低外網(wǎng)維護(hù)人員的工作量，提升公司的聲譽(yù)及效益。

2 QinQ技術(shù)簡(jiǎn)介

2.1 IEEE 802.1Q幀格式的定義

圖1是IEEE 802.1Q定義的幀格式，其中的目的MAC地址（DestMAC）和源MAC地址（SourceMAC）各占6字節(jié)長(zhǎng)，VLAN ID占用12位。因此，在LAN中設(shè)置的最大VLAN數(shù)為4096個(gè)。Type/Length通常表示的是以太網(wǎng)幀承載的業(yè)務(wù)類型，如IP的Type值為0x0800、ARP的Type值為0x0806等。

2.2 QinQ技術(shù)原理

QinQ技術(shù)〔也稱Stacked VLAN 或Double VLAN〕。標(biāo)準(zhǔn)出自IEEE 802.1ad，其實(shí)現(xiàn)將用戶私網(wǎng)VLAN Tag封裝在公網(wǎng)VLAN Tag中，使報(bào)文帶著兩層VLAN Tag穿越運(yùn)營(yíng)商的骨干網(wǎng)絡(luò)（公網(wǎng)）。在公網(wǎng)中只根據(jù)外層VLAN標(biāo)簽傳播，私網(wǎng)VLAN標(biāo)簽被屏蔽，這樣，不僅對(duì)數(shù)據(jù)流進(jìn)行了區(qū)分，而且由于私網(wǎng)VLAN標(biāo)簽被透明傳送，不同的用戶VLAN標(biāo)簽可以重復(fù)使用，只需要外層VLAN標(biāo)簽的在公網(wǎng)上唯一即可，實(shí)際上也擴(kuò)大了可利用的VLAN標(biāo)簽數(shù)量。

3 利用QinQ技術(shù)組網(wǎng)方案圖

4 數(shù)據(jù)規(guī)劃原則

1）管理vlan：接入層管理用vlan20，vlan21，vlan22，vlan23，vlan24，目前用的是vlan20，如果地址不夠用，可以順延VLAN及接口地址。比如目前用的vlanif 20：10.0.1.1/24，vlanif 21：10.0.2.1/24， vlanif 22：10.0.3.1/24，vlanif 23：10.0.4.1/24， vlanif 24：10.0.5.1/24.匯聚層管理用vlan25，接口地址：10.0.10.1/24.網(wǎng)關(guān)都在ZXR10 8912上。

2）接入層內(nèi)層標(biāo)簽：以每個(gè)匯聚層為一個(gè)單位，內(nèi)層標(biāo)簽為1001—2999。比如匯聚A下 的接入層的VLAN從1001---2999，匯聚B下的接入層的vlan也是從1001——2999。

3）匯聚層打上外層標(biāo)簽：也是以每個(gè)匯聚層為一個(gè)單位，一個(gè)匯聚層1個(gè)外層標(biāo)簽，外層標(biāo)簽從vlan3001——vlan3999。

4）預(yù)留vlan：一般情況下，在中興系統(tǒng)下直接接入服務(wù)器，可以考慮用vlan4001——vlan4094。如果是臨時(shí)過度vlan，可以考慮用1000以下的vlan，目前考慮用vlan500-vlan999.如果遇到特殊情況，可以考慮用500以下的，只要不沖突就可以。

5）PPPOE地址池：目前地址池全部做在VBUI1接口里面，可以建立多個(gè)地址段。目前建立的地址池為：start-ip 192.168.184.2 end-ip 192.168.191.254，共八個(gè)C。

6）設(shè)備命名：小區(qū)名稱+樓棟單元號(hào)+設(shè)備型號(hào)，比如：GuangChangQu_10-1#-2950，如果有兩臺(tái)命名為：GuangChangQu_10-1#-2950-1和GuangChangQu_10-1#-2950-2。

5 利用QinQ技術(shù)配置

5.1 核心交換機(jī)ZXR10 8912配置

如上配置，在修改端口的native vlan時(shí)需要注意和匯聚層的native vlan不一致。

5.2 匯聚層交換機(jī)配置

需要將小區(qū)內(nèi)的接入設(shè)備透?jìng)魃蟻淼膙lan打上相應(yīng)的外層標(biāo)簽，如規(guī)劃所示，外層標(biāo)簽從vlan3001——vlan3999.并配置上管理地址，管理vlan，比如目前匯聚層的管理vlan25，interface vlan 25，ip address 10.0.10.2 255.255.255.0，第二臺(tái)、第三臺(tái)、第N臺(tái)匯聚順延，并作靜態(tài)路由指向網(wǎng)關(guān)：ip route 0.0.0.0 0.0.0.0 10.0.10.1。如果匯聚層交換機(jī)存在固定IP，規(guī)劃vlan從500開始到999，比如做interface vlan 500，ip address 192.168.84.1 255.255.255.224.那么在匯聚連接其他接入層設(shè)備時(shí)需要switchport access vlan 500。在ZXR10 8912上做回程路由ip route 192.168.84.0 255.255.255.240 10.0.10.2。

5.3 接入層ZXR10 2950數(shù)據(jù)配置

如果配置第二臺(tái)ZXR10 2950，需要更改是IP地址，比如順延：10.0.1.3/24，接入VLAN：從1025—1048。第三臺(tái)，第四臺(tái)---順延。

6 實(shí)施QinQ技術(shù)后的效果

目前，QinQ技術(shù)已經(jīng)應(yīng)用在油區(qū)，解決了用戶之間相互干擾的問題，網(wǎng)絡(luò)通信質(zhì)量有了很大的提高，網(wǎng)絡(luò)安全得到了充分的保障。

參考文獻(xiàn)：

[1] 華為技術(shù)有限公司QinQ技術(shù)白皮書.

[2] 馬賓.QinQ技術(shù)的研究與在BRAS中的實(shí)現(xiàn)[D].天津大學(xué)，2008.

[3] 閻琦. 關(guān)于QINQ技術(shù)的探討[J].制造業(yè)自動(dòng)化， 2010（11）.