交换机VLAN和QinQ技术白皮书 v1.01

资料编码

交换机VLAN和QinQ技术白皮书

文档版本V1.01

发布日期2011-12-06

华为技术有限公司

版权所有 ? 华为技术有限公司 2009。保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司

地址：深圳市龙岗区坂田华为总部办公楼邮编：518129

网址：https://www.wendangku.net/doc/1519176686.html,

客户服务邮箱：support@https://www.wendangku.net/doc/1519176686.html,

客户服务电话：0755-******** 4008302118

客户服务传真：0755-********

目录

1VLAN技术介绍 (5)

1.1VLAN产生背景 (5)

1.2VLAN的主要作用 (6)

1.3VLAN原理 (6)

2VLAN Mapping技术介绍 (7)

3Super VLAN介绍 (8)

3.1Super VLAN概念 (8)

3.2Super VLAN应用组网 (9)

3.3Super VLAN特点 (9)

4Voice VLAN介绍 (10)

4.1Voice VlAN概念 (10)

4.2Voice VLAN技术实现 (10)

4.3Voice VLAN的工作模式 (10)

5Guest VLAN介绍 (11)

6MUX VALN介绍 (12)

6.1MUX VLAN概念 (12)

6.2MUX VLAN组网应用 (12)

7QinQ技术介绍 (13)

7.1QinQ的产生背景 (13)

7.2QinQ原理和应用 (13)

7.3QinQ的实现方式 (14)

8VLAN Mapping和灵活QinQ的应用 (16)

8.1城域网个人用户接入 (16)

8.1.11:1 VLAN Mapping和灵活QinQ的应用 (16)

8.1.2根据802.1p优先级分流进行VLAN Mapping的应用 (18)

8.1.3VLAN Mapping后入VLL/VPLS的应用 (18)

8.2企业用户专线互连 (19)

错误！未找到引用源。

摘要：VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准。QinQ是在802.1Q VLAN的基础上又增加了一层VLAN标签，它拓展了VLAN空间，为了适应城域以太网的发展，QinQ封装、终结的方式也越来越丰富，在运营商的业务精细化运营方面得到了越来越深入的应用，本文对VLAN和QinQ技术进行全方位的阐述。

关键词：VLAN，QinQ，灵活QinQ，VLAN Mapping，Voice VLAN，Super VLAN，MUX VLAN，Guest VLAN

缩略语清单：

1 VLAN技术介绍

1.1 VLAN产生背景

早期的以太网组网方式是将若干台主机连接到一条同轴电缆上，如图1所示。

图1传统LAN组网

这样的布局方式存在以下主要问题：

●同一时刻只允许一台主机发送报文，如果两台或两台以上主机同时发送报文就会出现数

据冲突；

●任一台主机发出的报文都会在网络中以广播方式发送，网络中的所有站点都能够接收到

该广播报文，因此该网络同时也是一个广播域。当网络中发送信息的主机数量增多时，

广播流量将会消耗大量带宽；

●所有主机共享一条传输通道，无法保证信息传输的安全。

以太网采用CSMA/CD（Carrier Sense Multiple Access/Collision Detect，载波侦听多路访问/冲突检测）技术保证冲突域中互不影响地传输信息，但是当主机数目较多时仍然会导致冲突严重、广播泛滥、性能显著下降甚至使网络不可用等问题。

为了扩展LAN网络接入以接入更多主机，同时避免冲突的恶化，网桥和二层交换机出现了。网桥用来连接两个冲突域，后来发展为二层交换机，如下图所示。

图2二层交换机组网

网桥和交换机采用交换方式将来自入接口的信息转发到出接口上，克服了共享介质上的访问冲突，从而将冲突域缩小到接口级。和网桥相比，交换机可以隔离多个冲突域。

交换机接收网段上的所有数据帧，根据数据帧中的源MAC地址进行学习，构建MAC地址表，存放MAC地址和接口的对应关系，并基于目的MAC地址进行二层转发，因此具有冲突隔离作用。如果目的MAC地址不在MAC地址表中，交换机会向除了接收接口以外的所有接口广播，这样有可能导致网络中发生广播风暴。

在这种情况下出现了VLAN（Virtual Local Area Network，虚拟局域网）技术，这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。

VLAN 的划分不受物理位置的限制：不在同一物理位置范围的主机可以属于同一个VLAN；一个VLAN 包含的用户可以连接在同一个交换机上，也可以跨越交换机，甚至可以跨越路由器。1.2 VLAN的主要作用

VLAN 的主要作用如下：

●限制广播域。广播域被限制在一个VLAN 内，节省了带宽，提高了网络处理能力。

●增强局域网的安全性。VLAN 间的二层报文是相互隔离的，即一个VLAN 内的用户不能

和其它VLAN 内的用户直接通信，如果不同VLAN 要进行通信，则需通过路由器或三层

交换机等三层设备。

●灵活构建虚拟工作组。用VLAN 可以划分不同的用户到不同的工作组，同一工作组的用

户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

1.3 VLAN原理

要使网络设备能够分辨不同VLAN 的报文，需要在报文中添加标识VLAN 的字段。由于普通

交换机工作在OSI 模型的数据链路层，只能对报文的数据链路层封装进行识别。因此，如果添加识别字段，也需要添加到数据链路层封装中。

IEEE 于1999 年颁布了用以标准化VLAN 实现方案的IEEE 802.1Q 协议标准草案，对带有VLAN 标识的报文结构进行了统一规定。

传统的以太网数据帧在目的MAC地址和源MAC地址之后封装的是上层协议的类型字段，如图3所示。

图3传统以太网帧封装格式

其中DA表示目的MAC 地址，SA 表示源MAC 地址，Type 表示报文所属协议类型。

IEEE 802.1Q 协议规定在目的MAC 地址和源MAC 地址之后封装4 个字节的VLAN

Tag，用以标识VLAN 的相关信息。

图4VLAN Tag的组成字段

如图4所示，VLAN Tag包含四个字段，分别是TPID（Tag Protocol Identifier，标签协议标识符）、Priority、CFI（Canonical Format Indicator，标准格式指示位）和VLAN ID。

●TPID 用来判断本数据帧是否带有VLAN Tag，长度为16bit，缺省取值为0x8100。

●Priority 表示报文的802.1P 优先级，长度为3bit。

●CFI 字段标识MAC 地址在不同的传输介质中是否以标准格式进行封装，长度为1bit，取值为0

表示MAC 地址以标准格式进行封装，为1 表示以非标准格式封装，缺省取值为0。

●VLAN ID 标识该报文所属VLAN 的编号，长度为12bit，取值范围为0～4095。由于0 和4095

为协议保留取值，所以VLAN ID 的取值范围为1～4094。

网络设备利用VLAN ID 来识别报文所属的VLAN，根据报文是否携带VLAN Tag 以及携带的VLAN Tag 值，来对报文进行处理。

2 VLAN Mapping技术介绍

VLAN Mapping（VLAN映射）功能可以修改报文中携带的VLAN Tag，包括以下几种方式：

●单层Tag的1:1 VLAN Mapping：根据报文的外层VLAN映射为新的VLAN，每一个外层

VLAN映射到不同的VLAN上；

●单层Tag的N:1 VLAN Mapping：根据报文的外层VLAN映射为新的VLAN，多个VLAN映

射到同一个新的VLAN上；

●双层Tag的2:2 VLAN Mapping（两层都替换）：根据报文的内外层VLAN映射到新的内

外层VLAN，内外层VLAN同时映射；

●双层Tag的1:1 VLAN Mapping（只替换外层）：根据报文的内、外层VLAN映射到新的

外层VLAN，内层VLAN保持不变；

●双层Tag的N:1 VLAN Mapping（只替换外层）：根据报文的内外层VLAN映射到新的外

层VLAN，内层VLAN不变。可以把某个外层VLAN，某一段内层VLAN的报文，映射到新

的外层VLAN上，内层VLAN保持不变。

3 Super VLAN介绍

3.1 Super VLAN概念

为了在交换机上实现VLAN 间通信，需要为每个VLANIF 接口配置一个IP 地址，以实现VLAN 间互通。如果VLAN 过多，将占用IP 地址资源，造成IP地址浪费。VLAN 聚合（VLAN Aggregation）可以解决多个VLAN 占用多个IP 地址的问题。

VLAN聚合又称为Super VLAN，其原理是一个Super VLAN包含多个Sub VLAN，每个Sub VLAN是一个广播域，不同Sub VLAN之间二层相互隔离。Super VLAN可以配置三层接口，Sub VLAN不能配置三层接口。当Sub VLAN内的用户需要进行三层通信时，将使用Super VLAN三层接口的IP地址作为网关地址，这样多个Sub VLAN共用一个IP网段，从而节省了IP地址资源。

同时，为了实现不同Sub VLAN间的三层互通及Sub VLAN与其他网络的互通，需要利用ARP 代理功能。通过ARP代理可以进行ARP请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。

3.2 Super VLAN应用组网

图5Super VLAN应用组网

交换机的接口1 连接Host1，接口2 连接Host2，接口3 连接Host3，接口4 连接Host4。Host1和Host2属于Sub VLAN 2，Host3和Host4属于Sub VLAN 3，Sub VLAN 2和3属于Super VLAN 4，Host1~4的默认网关地址为100.1.1.1，通过ARP Proxy后，VLAN2 和VLAN3 之间可以互相三层通信。

3.3 Super VLAN特点

Super VLAN在使用中有如下特性：

●所有广播包和未知流量都局限在Sub VLAN内部，不会跨越Sub VLAN边界。子

VLAN内部的所有流量只在子VLAN内部交换，这样可以有效的隔离子VLAN之间的

流量。

●主机都放置在子VLAN内。在Super VLAN的路由接口地址范围内，每台主机可以任

意设置一个IP地址。在Sub VLAN内的每台主机的子网掩码都是和Super VLAN定

义的子网掩码相同，并且他们的路由地址即网关就是Super VLAN的路由接口地址。

●Sub VLAN之间的所有流量都是通过Super VLAN来路由的。例如，在Sub VLAN

间不会有ICMP重定向产生，因为Super VLAN为Sub VLAN进行了路由。当一个

Sub VLAN加入到Super VLAN中时，在IP arp表中会自动加入一个arp表项，这

就使得IP单播包可以穿越Sub VLAN。为安全起见，我们可以关闭掉这项功能。

●当Super VLAN启用组播路由协议时，Sub VLAN间的IP组播流量将被路由。

当然，Super VLAN也有它的局限性：

●Sub VLAN不能有其他的路由接口，它的路由只能在Super VLAN上进行。

●Sub VLAN不能成为Super VLAN。

●Sub VLAN不能指定IP地址，即路由接口地址。

●通常，Super VLAN没有成员端口。

●如果客户机从一个Sub VLAN移到另一个Sub VLAN，必须在客户机和交换机上清除

IP arp缓存以继续通讯。

4 Voice VLAN介绍

4.1 Voice VlAN概念

随着语音技术的发展，VoIP电话应用越来越广泛，在宽带网络中经常会同时存在语音、数据等多种流量，语音流量在保证无延迟快速转发的同时还要保证语音的安全性。

提高语音流量传输优先级的传统方法是使用ACL进行流分类，并使用QoS保证传输质量。为简化用户配置、更方便的管理语音流的传输策略，在交换机上提出了Voice VLAN的概念。

Voice VLAN是为用户的语音数据流而专门划分的VLAN。通过划分Voice VLAN并将连接语音设备的端口加入Voice VLAN，可以为语音数据配置QoS（Quality of Service，服务质量），提高语音流量的传输优先级，保证通话质量。

4.2 Voice VLAN技术实现

支持Voice VLAN的交换机根据进入端口的数据报文中的源MAC地址字段来判断该数据流是否为语音数据流，源MAC地址符合系统设置的语音设备OUI（Organizationally Unique Identifier，全球统一标识符）地址的报文被认为是语音数据流，被划分到Voice VLAN中传输。OUI地址为MAC地址的前24位，是IEEE为不同设备供应商分配的一个全球唯一的标识符，从OUI地址可以判断出该设备是哪一个厂商的产品。

4.3 Voice VLAN的工作模式

Voice VLAN有两种工作模式：

1、Auto模式（动态模式）

根据报文源MAC地址来识别语音数据，当设备检测到接收端口有语音流通过的时候，自动把端口加入Voice VLAN，并使用老化机制对Voice VLAN内的端口进行维护。在老化时间内，如果该端口没有再次接收到来自这个MAC地址的数据，将自动从Voice VLAN内退

出。

2、静态指定Voice VLAN 成员

静态的将一个端口指定为Voice VLAN 的成员端口。

5 Guest VLAN 介绍

在有的网络中比如校园网或者是企业网中，用户在通过802.1x 认证之前属于一个缺省VLAN （即Guest VLAN ），用户访问该VLAN 内的资源不需要认证，只能访问有限的网络资源，但此时不能够访问其他网络资源，这个VLAN 就是GUEST VLAN 。没有通过认证的客户端计算机处于GUEST VLAN 中，它们只能访问到GUEST VLAN 服务器的资源，用户从处于

GUEST VLAN 的服务器上可以获取802.1x 客户端软件，升级客户端，或执行其他一些应用升级程序（例如防病毒软件、操作系统补丁程序等）这是因为如果没有专用的认证客户端或者客户端版本过低等原因，导致在一定的时间内端口上无客户端认证成功，接入设备会把该端口加入到Guest VLAN 。认证成功后，端口离开Guest VLAN ，用户可以访问其特定的网络资源。

以802.1x 认证方式为例，具体组网如下。

图6 Guest VLAN 组网应用

● NAD 检测到客户端没有安装客户端软件，设置端口VLAN 为Guest VLAN ，只能访问隔离

区，可通过强制URL 推出页面要求用户到软件服务器下载客户端软件。

● 过一段时间（可配置）之后再次发起探测，如果已经安装客户端则进行802.1X 认证，认

证通过后，认证通过后指定端口VLAN 为默认VLAN ，可访问默认权限。

● 客户端通过DHCP 获取IP 地址，和ACS 之间建立连接，进行安全检查，检查通过则通过

CoA 接口下发新的端口VLAN ，该VLAN 可正常访问工作区。

● 如果中间检测到客户端感染了病毒，则更新VLAN 为Guest VLAN ，并可通过重定向URL

要求用户更新病毒库或者打上相应补丁。

● 用户更新后，ACS 检测到用户已经安全，则可通过RADIUS COA 接口更新端口VLAN 。

病毒服

工作区 ACS: Access Control

Server NAD: Network

Access Device 隔离区 软件服务器

6 MUX VALN介绍

6.1 MUX VLAN概念

MUX VLAN提供了一种在VLAN的端口间进行二层流量隔离的机制，其实现的功能与CISCO 的Private VLAN类似。

MUX VLAN是工作在第二层的网络技术。在MUX VLAN的概念中，交换机端口有三种类型：mux-vlan port，Subordinate separate port和Subordinate group port。

●Separate：Separate port属于separate VLAN，separate port只能和mux-vlan port

通信，从separate port发出的流量只能转发到mux-vlan port，MUX VLAN丢弃除了

从mux-vlan port发出的所有到separate port的流量。

●Group：Group port属于group VLAN，Group ports之间可以相互通信，也可以跟

对应的mux-vlan port通信。Group port和separate port之间二层隔离。

●Mux-vlan：mux-vlan也就是主VLAN，mux-vlan port可以与所有接口通信，包括

Separate port和Group port。前面两类端口对应得VLAN需要和mux-vlan绑定在

一起。

与CISCO Private VLAN概念中的对应关系如下：

Mux-vlan port ---- promiscuous port

Subordinate separate port ---- isolated port

Subordinate group port ---- community port

6.2 MUX VLAN组网应用

图7MUX VLAN组网图

如图7所示，VLAN 2 并作为MUX VLAN，加入交换机端口1，创建VLAN 3 作为group VLAN，加入端口4 和5，创建VLAN 4 作为separate VLAN，加入端口2 和3。通过MUX VLAN技术可以实现如下结果：

HostA 和HostB、HostC 可以互相ping 通。

HostA 和HostD、HostE 可以互相ping 通。

HostB 和HostC 可以互相ping 通。

HostD 和HostE 不可以互相ping 通。

HostB、HostC 和HostD、HostE 不可以互相ping 通。

MUX VLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，用户只需与自己的默认网关连接，一个MUX VLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接，所有的用户都接入MUX VLAN，从而实现了所有用户与默认网关的连接，而与MUX VLAN 内的其他用户没有任何访问。MUX VLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信，这样即使同一VLAN中的用户，相互之间也不会受到广播的影响。

7 QinQ技术介绍

7.1 QinQ的产生背景

IEEE802.1Q 中定义的VLAN Tag 域中只有12 bits用于表示VLAN ID，所以设备最多可以支持4094 个VLAN。在实际应用中，尤其是在城域网中，需要大量的VLAN 来隔离用户，4094 个VLAN 远远不能满足需求，而QinQ就正是为解决VLAN局限提出来的。

7.2 QinQ原理和应用

QinQ技术〔也称Stacking VLAN〕，标准出自IEEE 802.1ad，其实现是将用户私网VLAN Tag封装在公网VLAN Tag中，使报文带着两层VLAN Tag穿越运营商的骨干网络（公网）。在公网中报文只根据外层VLAN Tag（即公网VLAN Tag）传播，用户的私网VLAN Tag在传输过程中被当作报文中的数据部分来进行传输。因此QinQ技术也是一种简单、灵活的二层VPN技术，它可以作为核心MPLS VPN在城域以太网的延伸，最终形成端到端的VPN技术。

图8QinQ报文格式

QinQ报文有固定的格式，就是在802.1Q的标签之上再打一层802.1Q标签，QinQ报文比正常的802.1Q报文多四个字节。

QinQ技术上完全可以多层堆叠，没有限制，仅受Ethernet报文长度的限制，具有很好的扩充性。对于QinQ，业界有多种不同的称呼，比如Tag in Tag、VLAN VPN、Stack VLAN、SVLAN 等。

QinQ每增加一层VLAN标签，就可以将所覆盖的用户VLAN数量增加4096倍，两层VLAN标签可以支持4K×4K VLAN，一般来说两层VLAN就可以满足绝大多数需求了。

QinQ主要可以解决如下几个问题：

●缓解日益紧缺的公网VLAN ID资源问题；

●用户可以规划自己的私网VLAN ID，不会导致和公网VLAN ID冲突；

●为小型城域网或企业网提供一种较为简单的二层VPN解决方案；

相对基于MPLS的二层VPN，QinQ具有如下特点：

●为用户提供了一种更为简单的二层VPN隧道；

●不需要信令协议的支持，可以通过纯静态配置实现；

另外，对于QinQ报文的TPID值，不同的厂家有不同的设置，华为公司采用默认的0x8100，有些厂家采用0x9100，为了实现互通，华为公司设备支持基于端口的QinQ协议配置，即用户可以在设备端口上设置QinQ protocol 0x9100（该值可以由用户任意指定），这样端口就会将报文外层VLAN tag中的TPID值替换为0x9100再进行发送，从而使发送到其他设备端口的QinQ报文可以被识别。

7.3 QinQ的实现方式

QinQ的实现可分为两种：基本QinQ和灵活QinQ。

（1）基本QinQ

基本QinQ 是基于端口方式实现的。开启端口的基本QinQ 功能后，当该端口接收到报文，设备会为该报文打上本端口缺省VLAN 的VLAN Tag。如果接收到的是已经带有VLAN Tag 的报文，该报文就成为双Tag 的报文；如果接收到的是不带VLAN Tag 的报文，该报文就成为带有端口缺省VLAN Tag 的报文。

图9基本QinQ功能实现过程

基本QinQ的报文处理过程如图9所示：

1. 交换机LS-1 收到一个VLAN ID为10和20的报文，将该报文发给交换机LS-2。

2. 交换机LS-2 收到该报文后，在该报文原有Tag 的外侧再添加一层VLAN ID 为100 的外层

Tag。

3. 带着两层Tag 的用户数据报文在网络中按照正常的二层转发流程转发。

4. 交换机LS-3 收到VLAN100 的报文后，剥离报文的外层Tag（VLAN ID 为100）。将报文

发送给交换机LS-4，此时报文只有一层Tag（VLAN ID 为10或20）。

5. 交换机LS-4 收到该报文，根据VLAN ID和目的MAC地址进行相应的转发。

基于端口的QinQ的缺点是外层VLAN Tag封装方式死板，不能根据业务种类选择外层VLAN Tag封装的方式，从而很难有效支持多业务的灵活运营。

（2）灵活QinQ

灵活QinQ（Selective QinQ）可根据流分类的结果选择是否打外层VLAN Tag，打上何种外层VLAN Tag。灵活QinQ可根据用户的VLAN标签、优先级、MAC地址、IP协议、IP源地址、IP 目的地址、或应用程序的端口号进行流分类。

图10灵活QinQ功能实现过程

灵活QinQ的报文处理过程如图10所示。

1. 交换机LS-1 收到VLAN ID 为10和20的报文，将该报文转发给交换机LS-2。

2. 交换机LS-2收到VLAN ID为10的报文后，将原有的Tag替换为30，同时添加一层VLAN

ID 为100 的外层Tag；交换机LS-2收到VLAN ID为20的报文后，保持原有的Tag不变，

添加一层VLAN ID为200的外层Tag。

3. 带着两层Tag 的用户数据帧在网络中按照正常的二层转发流程转发。

4. 交换机LS-3 收到报文后，剥离报文的外层Tag（VLAN ID 为100或200）。将报文发送给

交换机LS-4，此时报文只有一层Tag（VLAN ID 为30或20）。

5. 交换机LS-4收到报文，根据VLAN ID和目的MAC地址进行相应的转发。

8 VLAN Mapping和灵活QinQ的应用

8.1 城域网个人用户接入

利用VLAN Mapping 和灵活QinQ技术，可以非常方便地实现根据不同用户、不同业务、不同优先级等对报文进行外层VLAN tag封装，对不同业务实施不同的承载方案。

VLAN Mapping和灵活QinQ技术已广泛应用于城域网中。

8.1.1 1:1 VLAN Mapping和灵活QinQ的应用

图11VLAN Mapping和灵活QinQ在城域网中的应用

如上图所示，城域网采用简单实用的QinQ方式，宽带用户采用两种接入方式，一种是ADSL 接入，另一种是LAN接入。同一用户使用多种业务，包括HSI、VoIP和IPTV。

ADSL接入时，DSLAM支持多PVC接入，使用不同的PVC对应不同的业务，比如PVC 1代表HSI业务、PVC 2代表IPTV业务、PVC 3代表VoIP业务，所有的HG采用相同的配置，免去了单独配置HG的麻烦。DSLAM根据端口和PVC把PVC映射成相应的VLAN，映射关系如图11所示，比如PC上网的VLAN ID范围是1001～2000，VOD业务的VLAN ID范围是2001～3000，VoIP的VLAN范围是3001～4000，对于BTV业务采用统一的组播VLAN 100。

LAN接入时，HG使用不同的VLAN对应不同的业务，比如VLAN 1代表HSI业务、VLAN 2代表IPTV业务、VLAN 3代表VoIP业务，所有的HG都使用相同的配置。由接入交换机对VLAN进行映射，映射关系如图11所示，BTV业务同样采用组播VLAN 100。

汇聚交换机根据不同的VLAN ID区间打上不同的外层VLAN，比如在端口1对PC上网业务打上1001的外层标签，对VOD业务打上2001的外层标签，对VoIP业务打上3001的外层标签，此时内层VLAN代表了用户信息，外层VLAN代表了业务信息，同时也可以代表DSLAM或接入交换机的位置信息（不同的DSLAM或接入交换机打上不同的外层VLAN），然后用户数据根据外层VLAN和MAC地址转发到NPE设备，NPE终结QinQ后进入IP转发或进入对应的VPN。

根据需要，NPE可以根据双层标签作H-QoS调度，可以生成DHCP绑定表，防止网络攻击，还可以根据双层VLAN信息及其他进行DHCP+认证等，另外，可以在NPE处启用QinQ的VRRP，

保证业务的可靠接入。

8.1.2 根据802.1p优先级分流进行VLAN Mapping的应用

由于各个网络采用的接入方式不同，区分业务流的方式也各不相同。当同一用户的多种业务使用相同的VLAN ID时，不同的业务有不同的802.1p优先级，根据不同业务的Priority进行区分，然后映射到相应的业务VLAN。

图12基于VLAN ID + Priority分流的VLAN Mapping

●AGG上行将业务流量从用户接口分离到正确的业务VLAN中；即DSLAM打用户VLAN，

业务用802.1p标识；AGG根据802.1p将用户VLAN转成业务VLAN，不同用户采用相同的业务VLAN，减少SR和BNG对VLAN终结的压力；

●不同的DSLAM上来的报文，AGG转换后使用不同的业务VLAN，用于区分DSLAM；

●AGG在下行方向，必须基于用户地址将流量从每个业务的VLAN中转发到正确的用户接

口

●组播业务全网使用MVLAN，AGG识别IGMP控制报文，上行放入组播VLAN中。

8.1.3 VLAN Mapping后入VLL/VPLS的应用

城域网除了采用简单实用的VLAN或QinQ方式外，还可以采用EoMPLS技术通过MPLS管道进行业务承载。

图13VLAN Mapping后入VLL/VPLS应用

●AGG上行将用户流量从用户VLAN映射到统一的业务VLAN中，然后入VLL隧道；即

DSLAM打用户VLAN，不同用户采用相同的业务VLAN，减少SR和BNG对VLAN终结的压力；

●不同的DSLAM上来的报文，AGG转换后使用不同的业务VLAN，用于区分DSLAM；

●AGG在下行方向，必须基于用户地址将流量从业务VLAN中转发到正确的用户接口。

8.2 企业用户专线互连

图14VLAN Mapping和灵活QinQ在企业专线业务中的应用

某个企业在不同的地方有两个站点，分别是公司总部和分公司，两个站点之间可以相互访问。

运营商在骨干网采用VPLS技术，在ME网络采用简单实用的QinQ方式。图中左下方的公司总部所在的VLAN为VLAN 10，当用户数据进入城域网络时，交换机LS-1利用QinQ技术打上一层总部所在地的城域网分配的外层VLAN 100，在城域范围内携带两层Tag进行传输。

用户数据通过VPLS穿越骨干网到达分公司所在地的城域网，由于两地的城域网VLAN划分各不相同，交换机LS-3利用2:2的VLAN Mapping技术同时改变两层Tag，外层VLAN从100映射为200，内层VLAN从10映射为20，用户数据携带两层Tag 200和20在城域内传输，交换机LS-4剥离

外层Tag，将用户数据转发到分公司网络中。