VLAN w sieci operatora – QinQ

W rozległych sieciach, kiedy komunikacja pomiędzy użytkownikami w sieciach lokalnych jest realizowana przez sieć dostawcy usług transmisji danych, wykorzystywana jest technologia QinQ, czasem nazywana VLAN-em operatorskim.

Podstawy tej technologii zostały opracowane w standardzie 802.1ad. Technologia QinQ określana jest również jako tunelowanie 802.1Q (dot1q) lub VLAN Stacking.
QinQ jest mechanizmem pozwalającym przełącznikowi na obsługę podwójnie tagowanych ramek VLAN 802.1Q. Dodanie drugiego tagu do ramki ethernetowej wprowadza dodatkowy poziom zarządzania, pozwalając na utworzenie kilku niezależnych sieci wirtualnych w ramach jednej nadrzędnej sieci.

Dodatkowy tag jest umieszczany pomiędzy adresem źródłowym MAC a pierwszym tagiem. Dla rozróżnienia tagów stosuje się określenia „tag wewnętrzny” i „tag zewnętrzny”. Dodatkowy, zewnętrzny tag jest często określany mianem Service VLAN Tag (S-VLAN), natomiast wewnętrzny - Customer VLAN Tag (C-VLAN).

S-VLAN tag jest dodawany przez operatora na brzegu sieci do ramek klienta (zawierających już C-VLAN tag), przychodzących do sieci operatora. S-VLAN tag jest usuwany z tych ramek ponownie na brzegu sieci operatora, gdy ramki wychodzą z sieci operatora do sieci klienta.

W sieci operatora C-VLAN tag jest niewidoczny dla operatora (dlatego numery C-VLAN mogą się pokrywać), natomiast S-VLAN tag w obrębie sieci operatora jest unikatowy dla każdego klienta. Taki podział zapewnia separację ruchu poszczególnych klientów.

Na rysunku mamy dwóch klientów: A oraz B. Obaj używają VLAN-u 25 do przesyłania danych między lokalizacjami 1 i 2. Bez zastosowania QinQ ruch z VLAN-u 25 klienta A oraz VLAN-u 25 klienta B nie będzie odseparowany od siebie. W celu odseparowania ruchu dodany jest zewnętrzny S-VLAN tag o ID 10 dla klienta A oraz S-VLAN tag o ID 20 dla klienta B.

Przesyłany ruch jest podwójnie tagowany wewnątrz sieci operatora pomiędzy urządzeniami brzegowymi ES1 i ES2. Na wyjściu w stronę przełączników klienckich zewnętrzne tagi są usuwane.

Powyższa konfiguracja to tzw. podstawowe QinQ, wykorzystujące porty trunk (switchport mode trunk) na interfejsach pomiędzy lokalizacjami klientów A i B oraz operatora, jak również wewnątrz sieci operatora pomiędzy jego urządzeniami brzegowymi. Odmianą mechanizmu QinQ jest tzw. selective QinQ, umożliwiające tagowanie określonych VLAN-ów klienckich różnymi zewnętrznymi tagami na jednym porcie przełącznika brzegowego operatora.

Konfiguracja selective QinQ wymaga zdefiniowania portu brzegowego pomiędzy klientem a operatorem w trybie hybrid (switchport mode hybrid) oraz określenia konkretnych S-VLAN-ów i C-VLAN-ów tunelowanych na tym porcie (s-vlan 200 c-vlan 100, s-vlan 250 c-vlan 150). W opisany powyżej sposób mechanizm QinQ realizuje prosty tunel punkt-punkt w warstwie L2 dla użytkowników.

Za pomocą QinQ dostawcy usług sieciowych mogą separować ruch klientów we własnej sieci, tworząc dla nich dedykowane VLAN-y, bez konieczności ingerowania w konfigurację VLAN-ów po stronie klientów (np. wielu klientów może wykorzystywać te same VLAN ID we własnych sieciach).

Funkcjonalność dostępna jest na profesjonalnych przełącznikach sieciowych wielu czołowych producentów sprzętu sieciowego.