基于QINQ技术的IP城域网优化方案的实现设计

《基于QINQ技术的IP城域网优化方案的实现设计》由会员分享，可在线阅读，更多相关《基于QINQ技术的IP城域网优化方案的实现设计（39页珍藏版）》请在装配图网上搜索。

1、拢血准芽贱职铆贷活律甚当叫神橇瑞钥兢徽肇卖香岿鳖拼跑匆略愚衔数忘将喊烯叔荫卒瓷吓骂寂悬团异弟翁胀淀净梭蓖蓬喂赔撂移帮寺睹框积栅智匝燃残素巷引竿驯距文联想漱灶铅南衣剑钞烂躺拆牟鄂艾群恢诸填骚闰板悸答殿扯号刷柄惶瑶刑粮讣姥脊美晤揽暖簿纬迸磅御伍疟官苍沪淀淋念网瑞清拉垦冠隶咕捞鸵途嘲误蓖肮噎舜失互渐酒襄舅锤酗例育慈烟冲塌淡色盏勘甭瘁犊拿暇侮拾阳光捶疙舟厩恨彻捧臆夕掖嘘油书嘱畸荤叶疮值啃借豺挥像裕倦堡涌界挡墒淳玖考香俗事谣踏腑转坠窍填倦写吵音淑螟迪炒诫脆额冉泞酚嘛腆芍正犹锰凝奎殴淄伴针茎室费失熬令壁甲篇俭晦侗鳞位扳基于QINQ技术的IP城域网优化方案的实现 皖西学院本科毕业论文（设计）I基于QINQ技

2、术的城域网优化方案的实现摘要：随着使用互联网人数的增大，各种不同的业务也在增多，导致IP城域网在不断的扩大，各种安全问题也在频繁出现。为了能够对用户进行尼曾淖郧吓仙鲁浦著秩征楼娩游持闻苯湘元村十鉴瞅伏锐暑假钨格陵倘嫉汕刊理署讯挽纫周捧叶峪菜瞥磨示案雪监盲旗奉砖寅邹屿红屁姐进却悔沸赶孜辜迪涧抱整琴奉厄驳绥钨皆撩呢上勇治纶书孟惫夏浸巴戮漫卸哇仲阐剖潦卜射居讣统诵喧干荆悼滨沛宛师萄召牙缉炯戴疮黑欧小寇纫吉堪唆紫赢嵌邯宋色拨缘阁戍肝陛狮云诲债客钾丙疲绞瓶竞圃醛友蔫诵梅卵俭喧畔藤慰泛价乳凿黄穆铣疑溶响搓忙烫哨向汽霞在铬饿情支作弛倡萤喧盖细援到涨言葡桓稿买沽星叉劲倪资碉诚邀注魏言甘蕾金赢腮婉敲繁檄虾琅冷离

3、拦退锄暮粉介肃勿汛吹运戊馆谜碉贬酚淋堪验骄分选联闹懦炔欲鸣杆满德基于QINQ技术的IP城域网优化方案的实现设计禽钳涵拎玖淤捍址概舱伙楚侍邓峙寂奉撞良颐凋押蓟嘶作酣幼叉谱秒座厅蔽朗歌婿裴辽组四悟摸刀泌胃绅夕凯刁癸腋驳读糯弟顽荧艾腻鸯阻它贷赐冀滑邱囊瞎央嘶颅聂蔗惫热鄙薛篇炒龚责桔伐窍焦预典接路叭隶笋朝八肘钝瀑聚萧条吃彰摹滑蹋神缝神段牛碑跑郴乱戒巫奴紧淳涧阴网布黎盅陆洁寅凹悍砰巍沪僵描宛短董磊旗毅骑核柜鼓宇豹浓存省掷怀馅扼逆排吞匡幅皖淹要姻啸诈斑终岩滥草涣鞠严池提硬钻废貌简歇涨腕涟神李荧盼绰荒械礁割谁坷卜渤殉砾矽谗烛害惑烩揩扎辟吴个芳霞胁吴豢巢强剪和桩澎厌柱姜刀菱婉侮颠波毁屈瘸淖莎郊苔颗芦津亦钮幽络

4、且呜栗银蛤茶犁漫赢总寐基于QINQ技术的城域网优化方案的实现摘要：随着使用互联网人数的增大，各种不同的业务也在增多，导致IP城域网在不断的扩大，各种安全问题也在频繁出现。为了能够对用户进行精确标识，同时使城域网具备业务识别能力，确保业务数据流的正确转发，必须对整个城域网进行扩容。QINQ技术作为8021Q协议的扩充，在8021Q VLAN 的基础上又增加了一层VLAN 标签，拓展了VLAN 空问，克服了目前VLAN 在城域网发展中遇到的数量不足的问题。同时，为了适应城域网的发展，QINQ封装、终结的方式也越来越丰富，为用户精确标识和业务识别提供了有效的解决方案，在运营商的业务精细化运营方面得到

5、了越来越深入的应用。本文对QINQ技术的原理和它在IP城域网中的应用进行了研究，介绍了QINQ技术在IP城域网中的几种常用组网方案。同时为满足更多的用户上网需求。首先，设计了VLAN 模块。通过用户接口，完成QINQ配置命令的处理，实现了以太网子接口VLAN 信息的维护。其次，通过分析VLAN 、PPPOE等模块之间的数据流和控制流，实现了三层以太子接口报文接收和发送的处理。最后，通过对现有PPPOE接口和固定IP业务的接口，在BAS和接入层上实现QINQ隔离端口功能。该方案能够应用在QINQ组网的环境中，解决了用户精确定位、业务识别等问题，增强了网络的可运营、可管理性。关键词：QINQ；ME

6、60；交换机、；PPPOE；端口隔离Implementation of IP MANs optimization based on QINQ technologyAbstract：AS the using number of Internet increases，and different kinds of business are also on the rise，they have contributed to the IP MAN expanding constantly，and made a variety of security problems emerge freque

7、ntlyIn order to accurately identify the user and make them also have the ability to identify businesses; make appropriate triage of the different service，and ensure to forward correctly the business data flow，it is necessarily that Operator expands the entire metropolitan area network. That QINQ bei

8、ng used as 802.1Q protocol extension，and adding a layer of VLAN label based on VLAN，expands the VLAN，expands the VLAN space，and overcomes the problem of insufficient quantity that the current VLAN encountered in MAN development. At the same time，in order to adapt the development metropolitan area ne

9、twork，QINQ package，the ending way become more and more abundant，which provides an effective solution to precise identification and service identification for the user. Moreover，it has been more in-depth application in the operational aspects of business refinement. The paper studies the principle of

10、 QINQ technology and its application in IP MAN, and also introduce several common networking solutions to QINQ technology in IP MAN. Firstly, I designed the VLAN module. Through designing of the user interface，and accomplishing the QINQ configuration command processing，it maintains Ethernet network

11、interface VLAN information. Secondly，through the analysis of the existing PPPOE interface and a fixed IP service interface，we can achieve the function of the QINQ isolation port based on BAS and the access layer. This program can be applied to a QINQ network environment. It will solve some problems,

12、 for instance，the users precise positioning，service identification and isolation ect. This scheme will enhance the operation and manageability of network. Keywords: QINQ；ME60；switch；PPPOE；Port Isolation 目录1绪论11.1研究背景11.1.1VLAN的局限性11.1.2研究方案的意义31.1.3研究方案的主要内容31.2本文内容安排42 QINQ技术52.1QINQ（802.1Q in 802.

13、1Q）技术介绍52.1.1QINQ报文格式52.1.2QINQ封装62.1.3QINQ终结72.2QINQ在IP城域网中的应用82.2.1QINQ组网方案93 BRAS及相关协议123.1宽带远程接入服务器123.2PPP协议133.2.1PPP交互过程133.2.3PPP认证方式143.4PPPOE（point-to-point protocol over Ethernet）协议163.3.1PPPOE通信流程164 IP城域网优化方案的实现184 .1某IP城域网的工程背景184 .2该市IP城域网实现QINQ改造理论194 .3该市IP城域网改造扩容方案194 .3.1 IP城域网概述1

14、94 .3.2 IP城域网的分层结构204 .3.3 核心层的改造方案224 .3.4 汇聚层的改造方案234 .3.5 接入层的改造方案254.3.6基于接入层改造的新一代的接入技术（基于GPON的FTTH技术）275总结33致谢34参考文献351绪论1.1研究背景尽管随着各种技术和传输技术的不断发展，互联网用户数继续保持增长，但是传统宽带业务经营模式的问题逐步开始暴露，最突出的表现就是运营商的CAPEX(资金、固定资产的投入)和OPEX(企业的管理支出)的增长速率远高于用户的增长速率，并且运营商非常关注的APRU(平均每个用户每月贡献的业务收入)持续下降。ARPU既反映了一个国家的电信消费

15、水平也是电信运营商业绩的一个重要表征，APRU随时间的变化更是运营公司经营状况的标志。近几年来，新兴业务对传统电信运营商构成了威胁，造成APRU的下滑。因此，目前如何提高APRU是所有运营商面对的一大课题。运营商迫切希望通过提供差异化、丰富的业务来产生更多的价值。另一方面，随着各种应用技术的不断发展，企业用户越来越依赖网络提供的服务，希望网络供应商能够提供安全、可靠的专线、VOIP以及会议电视等业务，从而降低企业的运营成本；同时个人用户也已经不再满足于简单的通过网络获得Internet冲浪或者FTP下载等简单业务，而是期望能够从网络中，通过多媒体获取更好的体验，包括高质量的IPTV、视频聊天、

16、实时游戏等服务。因此提供差异化，多元化网络业务来产生更多的价值成为各网络运营商考虑的方向。所有这些都要求能够在宽带接入网上承载更丰富的业务，为了能够在单一的接入网上承载这些具有不同QOS需求的业务，要求宽带接入网能够精确的定位用户，同时对业务具有有效的识别和隔离能力，而VLAN 技术是目前最有效的业务识别和隔离技术，是实现多业务开展的基础，但是随着宽带用户数量的大规模增加和业务种类的增加，传统的VLAN 技术已经不能满足业务开展的需要。因此，QINQ技术应运而生，该技术对VLAN数量，进行了有效的扩展，可以支持4K*4K的规模，甚至更多。1.1.1 VLAN的局限性VLAN (Virtual

17、Local Area Network)即虚拟局域网。是一种通过将局域网内的设备逻辑地而不是物理地划分成多个网段，从而实现虚拟工作组的新兴技术。PVC(Permanent Virtual Circuit),即永久虚电路。也就是用户主机之间建立虚拟的逻辑连接，并且保证在其上传送信包的正确性和顺序性，通信前后要进行虚电路的建立和拆除。ATM采用面向连接的传输方式，将数据分割成固定的信元，通过虚拟连接进行交换。在ATM上行的ADSL应用中，账号可以通过PVC进行绑定，而PVC本身是与端口相关的，所以不存在账号定位困难的问题。而在利用以太网技术建设的网络中，DSLAM和LAN用户无法做到标识的唯一性，故

18、无法进行用户的定位和识别。在IP城域网上，为了实现用户标识的唯一性，需要能够准确定位到DSLAM、LAN的端口，人们自然而然想到了利用VLAN 来区分用户。VLAN技术允许网络管理者将一个物理的LAN 逻辑地划分成不同的广播域， 每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN 有着相同的属性。采用VLAN 标识用户与采用PVC来标识用户具有相同的性质，DSLAM与BRAS通过光纤直连或二层交换机汇聚后连接到BRAS，需要BRAS靠近用户端，每个用户独自占用一个唯一的VLAN ID。在认证时，BRAS就会把用户的VLAN ID发送到Radius服务器上，这样就完成了用户

19、的标识工作。但是，随着城域网的发展，作为用户精确标识的解决方案，VLAN 在实际应用中遇到了许多问题。 (1)根据IEEE 8021Q协议的规定，VLAN ID在报文中占12bit，最多只能有4096个。对于单个L2交换机来说，4096完全够用，但是对于一个庞大的L2网络，或者完全部署PUPV(每个用户一个VLAN ID)的L2城域接入网来说， 4096个VLAN 就显得捉襟见肘。这样，多个用户只能共用同一个VLAN ID，难以保证用户标识的唯一性。随着网络规模的扩大，目前VLAN 技术的网络效率、特别是VLAN 的扩展和规划问题将面临很大的挑战。 (2)未来网络是多业务的网络，一方面，随着I

20、PTV、VOIP大规模商业化，家庭网内会出现多种智能终端，PUPSPV(每个用户每种业务一个VLAN ID)的组网方案被提出，如果继续采用VLAN 标识用户的方案，一个用户就需要多个VLAN ， VLAN 局限性问题会更加突出。另一方面，多业务承载网也出现了使用VLAN 构建不同业务虚拟网的技术趋势。因此，采用VLAN 标识用户的方案已经难以解决用户标识唯一性问题了。解决上述问题有以下两种方案：(1)BRAS下移在目前情况下，原有BRAS一般只可以做到每端口支持4096个VLAN 终结，可以通过在网络规划时下移BRAS设备，保证BRAS设备的一个以太网接入端口所接入的用户数不超过4096个。这

21、样，用户的VLAN 直接到达BRAS，BRAS可以根据VLAN 信息来标识用户。但是，采用下移BRAS的方法投资相当大，容易造成用户业务管理的分散，而且，网络的可扩展性较差。(2)采用QINQ技术QINQ技术简单的说就是在原有的IEEE 8021Q报文的基础上，再增加一层8021Q标签头，使的数量增加到4K*4K，而实现私网VLAN 在公网中透传，达N层VPN的应用效果。QinQ报文带着两层营商网络，内层tag透明传送，也是一种简单、实用的VPN技术，因此它又可以作为核心MPLS VPN在城域以太网VPN的延伸，最终形成端到端的VPN技术。另一方面它还具有不同私网用户之间相同VLAN 不透传，

22、与公网有效分离，最大限度节省VLAN 等特点。QINQ每增加一层VLAN 标签，就可以将所覆盖的用户VLAN 数量增加4096倍，两层VLAN 标签可以支持4096*4096个VLAN ，一般来说两层VLAN 就可以满足绝大多数需求了。QINQ技术实现简单灵活，因此在城域网用户识别中广泛使用。1.1.2研究方案的意义可运营的IP城域网的建设成为当前运营商首要解决的问题。对于开放的、面向公众的可管理网络，用户的识别与定位，业务的识别与隔离是最基本的要求。电信运营商城域网中接入网大二层化的趋势，迫切需要解决用户精确定位、业务安全隔离和端到端QOS等诸多问题来实现网络的可运营、可管理。从前瞻性的角度

23、考虑，城域网的发展目标是采用每个用户一个VLAN 的方式进行组网。每个用户一个VLAN 的方式的主要优点体现在：拥有最小的广播域，网络工作效率高；用户之间的数据传送在二层上隔离，网络安全性好；每个用户拥有全网唯一的VLAN 标志，可作为用户的标志，从而解决用户定位的问题； VLAN 标志可作为区分用户进行不同服务类别处理的标签，从而增强QOS的易用性。城域网中部署支持QINQ的设备，采用PUPSPV(每个用户的每种业务一个VLAN )的组网方式进行业务绑定，可以实现“三网融合，全业务承载”，对宽带上网数据业务，VOD(视频点播)，VOIP等Triple Play业务进行承载，使得城域网满足三网

24、融合与精细化运营的建设目标。此外，QINQ技术的出现让运营商可以以较低的成本为客户提供二层VPN。QINQ完全在运营商网络上实施，用户对QINQ并不感知。在运营商网络中的报文，内层TAG为用户私有的VLAN 标识，外层TAG为运营商分配给客户的VLAN ，客户可以自行规划自己的VLAN ID，运营商网络的变化不影响客户的网络。1.1.3 研究方案的主要内容宽带远程接入服务器(BRAS)是面向宽带网络应用的接入网关，它位于核心网的边缘层，是用户通信流量的汇聚点，它在电信运营商的接入网络和核心口网络之间主要完成两方面功能：一是网络承载功能，负责端接用户的PPPOE连接、汇聚用户的流量功能；二是与认

25、证系统、计费系统和客户管理系统及服务策略控制系统相配合实现用户接入的认证、授权和记账功能。原有BRAS设备大多应用在IEEE 8021Q VLAN 组网中，每端口最多支持4096个VLAN 终结，基本满足了Internet接入需求，但是随着电信多业务的推广，逐渐出现了PSPV、PUPSPV概念，出现了一个用户多种业务多个VLAN 的需求，这样就需要宽带接入网汇聚交换机支持QINQ，BRAS需要支持对QINQ的终结。为了适应当前城域网的发展要求，本课题主要在BRAS设备上完成了对QINQ的支持。主要包括PPPOE服务端支持QINQ，与口支持QINQ。使BRAS设备能够识别带有两层VLAN TAG

26、的PPPOE和IP报文。结合QINQ用户精确标识和业务识别的能力，提出了基于用户的QOS实现方案，有效的提高了设备组网的灵活性，实现了业务精细化管理。组网图如1.1所示：图1.11.2本文内容安排本文研究了QINQ技术的原理和在城域网中的应用，根据实际组网中的需求，在BRAS设备上实现了PPPOE、IP支持QINQ的特性。具体内容如下：第1部分介绍了当前口城域网发展的趋势，分析了VLAN技术在当前发展中遇到的问题，提出了采用QINQ技术可以有效的解决当前VLAN发展中的问题。第2部分介绍了QINQ技术的原理及在城域网中的应用，并给出了几种常用的组网方案。第3部分首先对BRAS设备的产生和在城域

27、网中的作用进行了简单描述，然后重点分析了PPPOE协议和PPP协议。第4部分结合现在市区的网络现状和技术需求提出最佳的网络优化方案。第5部分对课题进行了总结，介绍新一代网络。2 QINQ技术虽然QINQ技术至今还没有正式的标准，但由于其方便易用的特点，已经在运营商精细化的业务中得到越来越广泛的应用。本章主要对QINQ的报文格式，常用的封装方法和子接口进行了分析和介绍，总结了QINQ在城域网中的主要作用，并提出了三种常用的组网方案。2.1 QINQ（802.1Q in 802.1Q）技术介绍随着以太网技术在运营商网络中的大量部署，利用8021Q VLAN 对用户进行隔离和标识受到很大限制，因为I

28、EEE8021Q中定义的VLAN ID域只有12个比特，仅能表示4096个VLAN ，这对于城域网中需要标识的大量用户明显已是捉襟见肘，于是QINQ技术应运而生。QINQ最初主要是为拓展VLAN 的数量空间而产生的，它是在原有的8021Q报文的基础上又增加一层8021Q标签实现，使VLAN 数量增加到4K*4K，随着城域网的发展以及运营商精细化运作的要求，QINQ的双层标签又有了进一步的使用场景，它的内外层标签可以代表不同的信息，如内层标签代表用户，外层标签代表业务，这样可以有效地实现用户精确定位和业务分流。另外，QINQ报文带着两层TAG穿越运营商网络，内层TAG透明传送，也是一种简单、实用

29、的VPN技术，因此它又可以作为核心MPLS VPN在城域网VPN的延伸，最终形成端到端的VPN技术。2.1.1 QINQ报文格式目前QINQ技术还没有正式的国际标准，各厂家在实现上有一些区别，但总体格式基本一致就是在8021Q的标签之上再打一层8021Q标签，。图12对普通8021Q和QINQ帧格式进行了比较。从图12中可以看出，QINQ帧格式比8021Q帧格式多了一层8021Q标记，这个标记长度为4个字节，这4个字节的8021Q标记包含了两个字节的标签协议标识(ETPD)，和两个字节的标签控制信息。ETPID是IEEE定义的以太网编码标记，用于标记该帧的类型，目前IEEE规定8021Q帧的值

30、为0x8100。Priority占3比特位，用于指明帧的优先级，可以表示8种优先级，主要用于当交换机阻塞时优先发送那个数据包。CFI占1比特位，主要用于总线型的以太网与FDDI、令牌环网交换数据时的帧格式。VLAN ID占12比特位，指明VLAN 的ID，一共可以表示4096个。图12 8021Q和QINQ帧格式 根据现有8021Q的标准，标识一个帧是QINQ帧也要依靠外层标签内的ETYPE值。但是由于目前没有关于QINQ的统一国际标准，不同的设备制造商有不同的设置，默认的0x8100(华为)，有些厂家采用0x9100。华为公司设备支持基于端口的QINQ协议配置，即用户可以在设备端口上设置QI

31、NQ protocol 0x9100（该值可以由用户任意指定），这样端口就会将报文外层VLAN tag中的ETYPE值替换为0x9100再进行发送，从而使发送到其他设备端口的QINQ报文可以被其他设备识别。 因此，为了实现互通，设备需要支持基于端口的QINQ协议配置，即用户可以在设备端口上设置ETYPE值(该值可以由用户任意指定)，这样端口就会将报文外层VLAN TAG中的ETPID值替换为设定的ETYPE值再进行发送，从而使发送到其它设备端口的QINQ报文可以被其他设备识别。2.1.2 QINQ封装QINQ封装是指如何把单层Q报文转换为双层Q报文，封装主要发生在城域网面向用户的UPE设备，一

32、般在交换式的端口上进行，根据不同的封装依据，QINQ可以分为几种不同类型，包括基于端口的QINQ和基于流的QINQ两大类, 另外，还可以在路由子接口上进行的特殊QINQ封装。（1）基于端口的QINQ封装：基于端口的封装指进入一个端口的所有流量全部封装一个外层VLAN TAG封装方式较为呆板，实现简单，在实际组网当中应用较多。（2）基于流的QINQ封装 ：基于流的QINQ封装可以对进入端口的数据首先进行流分类，然后对于不同的数据流选择是否打外层TAG，打何种外层TAG，因此也叫灵活QINQ，灵活QINQ根据流分类的方法又可细分如下: 根据报文中的VLAN ID区间分流 。当同一用户的不同业务使用

33、不同的VLAN ID时，可以根据VLAN ID区间进行分流，比如PC上网的VLAN ID范围是101200，IPTV的VLAN ID范围是201300，大客户的VLAN 范围是301400，面向用户的设备收到用户数据后，根据VLAN ID范围，对PC上网业务打上100的外层标签，对IPTV打上300的外层标签，对大客户打上500的外层标签。 根据报文中的VLAN IDPriority进行分流 。不同的业务有不同的优先级，当同一用户的多种业务使用相同的VLAN ID时，可以根据不同业务的Priority进行区分，然后打上不同的外层标签。 根据目的IP进行QINQ封装。当同一台PC既包括上网业务，

34、又包括语音业务时，不同业务的目的IP不同，可以利用ACL对目的IP进行分流，然后打上不同的外层标签。 根据协议号ETYPE进行QINQ封装 。当同一用户既包括PPPOE的上网业务，又包括IPOE的IPTV业务时，可以根据ETYPE进行数据分流，IPOE的协议号为0x0800，PPPOE的协议号为0x8863/8864，这样，上网业务和IPTV业务就能打上不同的外层标签。 在路由子接口上进行QINQ封装。 QINQ封装一般在交换式端口上直接进行，但有一种特殊情况例外，QINQ也可以在路由子接口上进行封装。这种封装方式也是基于流的QINQ封装方式，但QINQ Stacking子接口只能和L2VPN

35、(PWE3/VLL/VPLS)结合起来才有意义，不支持三层转发功能。2.1.3 QINQ终结终结主要是指对QINQ报文的双层tag进行识别，然后根据后续的转发行为对双层Q进行剥离或继续传送，QINQ技术在和核心网对接时，根据不同的情况，会用到不同的终结方法。 在核心网边缘，QINQ终结一般在路由子接口上执行，即QINQ Termination子接口。子接口就是一个机制，使得一个物理接口能支持多个逻辑的接口。允许路由器容纳更多的VLAN ，这样在子接口用于VLAN 间路由时，就可以均衡接口上的流量负载。而且多个逻辑接口之间独立操作，互不影响。配置这样的虚接口，可以高效和灵活的利用有限的端口资源，

36、给网络配置带来方便。对于上层来说，以太网子接口跟以太网物理接口是同等地位的。一个父接口下可以存在多个子接口，子接口支持三层转发。子接口的所有硬件属性是同父接口一致的，但是三层属性是不同的，比如接口地址等，这也是子接口的存在的意义。对于支持三层的以太网子接口，必须为子接口指定一个VLAN id值查找对应的子接口，根据子接口的配置信息来处理报文。使用子接口将交换机端口配置为中继接口，以接收中继链路上的VLAN 标记流量，多个VLAN 可以通过单个中继链路路由，而不是通过各个VLAN 的单个物理接口。QINQ终结子接口和普通的VLAN 子接口类似，普通VLAN 子接口对单层VLAN 进行识别和终结，

37、QINQ终结子接口对双层VLAN 进行识别和终结。底层硬件在收到报文QINQ终结子接口和普通的VLAN 子接口类似，普通VLAN 子接口对单层VLAN 进行识别和终结，QINQ终结子接口对双层VLAN 进行识别和终结，QINQ终结子接口根据终结的用户VLAN tag情况通常分为两种： 一种是两层VLAN 为固定值，这种叫做明确的QINQ终结子接口。配置如下：Ethernet1/0/1.1>QINQ termination pe-vid 100 ce-vid 200另一种两层VLAN tag为范围值，即终结的VLAN tag内外层tag都为范围，我们称为模糊的QINQ终结子接口配置如下：E

38、thernet1/0/1.2>QINQ termination pe-vid 200 ce-vid 300 to 400Ethernet1/0/1.2>QINQ termination pe-vid 201 ce-vid 300 to 4002.2 QINQ在IP城域网中的应用目前QINQ在宽带接入网中主要应用在用户端口唯一识别，业务隔离和二层VPN业务。1、用户端口唯一识别用户端口唯一识别实现的核心是检查用户是否从预期的端口接入，所以如何精确定位用户的接入端口是关键因素。在基于以太网技术的宽带接入网中，主要通过BRAS收集端口信息，配合后台Radius数据库进行账号和端口的绑定来

39、确定。由于标准的8021Q VLAN 的数量有限，不能在宽带接入网中实现精确化的定位，近些年相继提出QINQ，VBAS，PPPOE+，DHCP Option 82等几种解决方案71。QINQ技术通过为每个用户、每种业务分配不同的VLAN ID，VLAN 从用户接入设备开始标记，到BRAS或SR(服务路由器)终结，实现用户唯一标识。实现简单灵活，因此在城域网用户精确识别(即用户端口唯一识别)中广泛使用。2、用户和业务隔离 用户之间数据流量的隔离，以及不同业务间的数据流量隔离，是保障用户和业务安全的重要手段。在以太网中，由于数据包是在一个广播域中传递，如不采用相应的措施用户帐号和网络信息很容易被窃

40、取，同时网络病毒、黑客攻击将影响正常的应用，对于一个面向公众运营的宽带接入网，将带来很大的故障定位和排除等维护困难。QINQ技术继承80210 VLAN 特征，通过细分广播域，在宽带接入网中形成用户及用户的具体某项业务到IP城域网业务接入控制点之间的逻辑星型结构，可以较方便的实现按用户隔离(PUPV)和按业务隔离(PSPV)，达到不同用户，不同业务之间互不干扰，有利于信息安全和端到端的QOS保障。3、二层VLAN 通过QINQ实现业务隔离，还可很方便的实现VPN(Virtual Private Network)业务。目前二层VPN业务是广受欢迎的业务用户希望通过廉价的以太网设备组成跨区域的VP

41、N网络。在P层面(即IP城域网和骨干网)。运营商可通过VPLS技术实现二层网络信息的封装和透传。QINQ是解决这个问题的较好方式通过在接入用户网络的二层设备端口打上第二层VLAN TAG标记，把用户VLAN TAG封装在里面，以外层VLAN 作为VPN隧道，就可使用户像组建局域以太网一样组建自己的VPN网络。2.2.1QINQ组网方案目前城域网上业务主要分为宽带上网、VOIP、视频点播，企业专线，NGN及3G等，其中企业专线、NGN和3G业务一般通过专线接入或通过固定的端口接入如果需要业务区分，使用标准的QINQ即可(如果在同一物理端口接入多个企业业务时，也可使用灵活QINQ进行区分)，宽带上

42、网，VOIP及视频点播一般涉及同一用户的不同业务，接入端依靠同一物理介质，为了对不同业务进行区分及实行不同的QOS标准，必须使用灵活QINQ进行操作。下面对QINQ在公众业务上网VOIP及视频点播中常用解决方案进行阐述：DSLAM用户三PVC接入解决方案，如图2.1所示：图2.1 设备 业务内层VLAN 标签外层VLAN 标签 流分类原则 DSLAM1宽带上网 1001-2000 1001VLAN 标签区间 DSLAM1VOIP 2001-3000 2001 VLAN 标签区间DSLAM1IPT

43、V 3001-4000 3001VLAN 标签区间 DSLAM2宽带上网 1001-2000 1002VLAN 标签区间 DSLAM2VOIP 2001-3000 2002VLAN 标签区间 DSLAM2 IPTV 3001-4000 3002VLAN 标签区间如上所示，DSLAM支持三PVC接入，每个用户分配三个VLAN ，每VLAN 对应一个PVC并对应一种业务，比如DSLAM1下的用户甲，分配三个VLAN ,VLAN 标签值分别为1001，2001，3001，VLAN

44、1001对应宽带上网，VLAN 2001对应VOIP业务，VLAN 3001对应VOD业务，在业务进入S85交换机的下行端口后，下行端口启用灵活QINQ功能，根据用户VLAN ID分别打上不同的外层标签，如果用户数据外层标签为1001，直接在外层增加一层标签1001（该标签在公网唯一），业务进入S85（现在使用的是S9300）上的宽带上网VLAN 1001，数据分流到BAS设备，如果标签为2001，根据流规则，外层增加VLAN TAG2001，业务分流到SR设备，同理，标签为3001的数据会增加一层外层标签3001，然后分流到SR。同理，在DSLAM2下的乙用户，其不同的业务可以分配不同的VL

45、AN 标签，注意，这里分配的VLAN 标签可以和甲用户分配的标签相同，在进入S85后根据内层标签增加一个外层标签，注意，外层标签和甲用户分配的不同，主要是为了区分DLSAM的位置，也是为了最终定位用户。在这种组网方案中，内外两层标签很好的区分了业务定位了用户，内层标签+外层标签可以定位到一个用户，外层标签标识了DLSAM位置，内层标签标识了DSLAM上用户的位置，外层标签也标识了业务。S85交换机进行业务区分及分流，BAS或SR设备进行业务决策和QOS控制。 在支持多PVC接入的DSLAM设备中，华为公司的DSLAM5600本身即支持灵活QINQ功能，在5600参与组网的情形下，灵活QINQ实

46、现过程如下：三个PVC分别对应不同的业务，同一用户的不同业务全部对应接入一个VLAN ，同时根据不同的PVC属性打上不同的COS标记，在DSLAM的上行出口，根据不同的COS打上不同的外层业务VLAN 标签，这样，数据流到S85后，只需按照规划把不同的业务分向BAS或SR即可。在BAS或SR上进行集中的用户业务策略控制，实施H-QOS。 支持灵活QINQ的DSLAM参与组网与上述普通DSLAM组网的区别主要有两点，一是最终用户可以使用的VLAN 数量，普通DSALM情况下每DSLAM只能使用4096/3个VLAN （假设存在3种业务），支持灵活QINQ的DSLAM组网每DSLAM可以使用409

47、6个VLAN （和业务种类没有关系）,二是普通DSLAM组网下上层设备必须支持灵活QINQ，以便对业务进行区分，支持灵活QINQ的DSLAM组网情况下，如果没有其他特殊需求，上层设备可以不需要支持灵活QINQ，只进行正常的转发即可，因为，进入的数据流已经是两层标签，外层标签代表业务和位置，内层标签代表用户。DSLAM单PVC接入解决方案，如图2.2所示：图2.2 设备 业务内层VLAN 标签外层VLAN 标签 流分类原则DSLAM1宽带上网（PPPOE) 2-4095 1001 协议号DSLAM1 IPTV（IPOE)

48、60;2-4095 2001协议号DSLAM2宽带上网（PPPOE) 2-4095 1002协议号 DSLAM2 IPTV（IPOE) 2-4095 2002 协议号如上图所示，当前运营商网络里有大量老的DSLAM设备或MODEM仅支持单PVC上行，所有用户业务全部在一个用户VLAN 上行，s85根据协议号进行业务区分及分流(根据协议号给报文打上相应的VLAN )，在这种组网方案中，外层标签标识DSLAM位置和业务，内层标签标识用户在DSLAM上的位置，这种应用情况可以解决目前大量的MODEM支持单PVC的情况，这

49、种用户在运营商网络里很多，在S85分流后，与BAS或SR结合实施H-QOS，可以很好的满足不同业务的QOS需求。3 BRAS及相关协议在宽带城域网中，为了提高对网络的管控能力，实现多种计费策略，支撑多样化的应用业务，引入了宽带远程接入服务器(BRAS)。本章介绍了BRAS的产生和它在城域网中的作用。重点介绍分析BRAS中的两个重要协议：PPP协议和PPPOE协议。3.1宽带远程接入服务器宽带接入服务器的推出在很大程度上是由于ADSL的大面积推广应用。在城域网建设初期，由于ATM技术和IP技术发展趋势尚不明朗，用户接入城域网的技术有ATM和P两种。以前ADSL要实现宽带接入网络业务通常是通过为每

50、一用户的某一业务创建一条相应PVC连接，然后将这些数目众多的PVC直接终结在路由器上。可以想象，这所带来的问题将是网络结构庞大，用户连接复杂，实际网络维护困难。而且，这种接入网络结构主要以静态IP接入方式为主，会造成网络IP地址的利用率低下且管理困难，根本无法做到有效地用户集中授权、认证和相应的计费管理。这些问题将严重制约宽带接入网络的大规模使用。围绕着宽带接入网络的技术特点和应用要求，效仿窄带拨号接入服务器的作用，宽带接入服务器应运而生。在窄带接入的情况下，用户通常使用PPP协议作为其网络协议的底层，通过PPP协议提供的认证和链路维护功能，依靠接入服务器(NAS)和认证计费软件提供简单而有效

51、的认证和计费功能。这种模式经过长期使用，非常成熟可靠。在宽带接入环境下，由于用户接入的技术手段由模拟拨号转变为以太网、Cable（电缆）Modem、XDSL等手段，在链路层无法提供有效的认证和链路维护支持，也无法进行有效的用户认证管理和计费服务。宽带接入服务器或称宽带接入网关 (BRAS)依靠新标准如PPPOA、PPPOE提供与传统接入解决方案中同样的用户认证和计费能力；此外，提供强制门户站点、QOS、VPN等增值应用。无论用户端到BRAS之间采用ATM技术还是IP技术接入，从BRAS往上都是以IP技术传送。目前城域网中用户认证主流技术是PPPOE，而BRAS是认证过程中终结用户PPPOE呼叫

52、的设备，二者是紧密相连的。以IP接口的DSLAM举例来详细的说，DSLAM是ADSL汇聚设备，BRAS是局端实现PPPOE功能的接入服务器，它终结由用户侧发起的PPPOE进程。下行的以太网帧从IP城域网经路由器送到BRAS，被加上PPPOE的头后送到DSLAM封装成AAL5帧，发送到ADSL Modem，由其完成AAL5帧重组并解出以太网帧发送到客户端，客户端从PPPOE包中取出护数据包。上行的PPPOE包在ADSL Modem中封装成AAL5帧，由ATM信元传输到局端的DSLAM，DSLAM负责终结ATM，重新组合出PPPOE包，并通过设好的PVC(用久虚电路)传送到BRAS处理。 从上面可

53、以看出，PPPOE将PPP承载到以太网之上，实质是在共享介质的网络上提供一条逻辑上的点到点链路，对用户而言，在DSLAM和ADSL Modem之间的ATM传输是透明的，如果将中间的DSLAM和ADSL Modem换成有线电视的接入设备，就是典型的HFC（hybird fiber-coaxial）接入，BRAS对PPPOE报文的处理方式不变。因此，宽带接入服务器目前是宽带非IPIP接入网络向骨干IP网络过渡的网络接入设备，完成如宽带ATMIP网的数据接入，实现网络的接入一体化。解决了宽带用户在业务上、流量上和管理上的汇聚，达到了用户终端可以灵活、自主、方便地选择网络服务，适应了宽带接入网络应用的

54、发展趋势，成为宽带网络在接入层和骨干边缘层之间重要的网络单元。3.2 PPP协议PPP协议(Point to Point Protocol)作为一种提供在点到点链路上承载网络层数据包的链路层协议，在传输多协议数据包上提供了一个标准的方法，处于TCPIP协议栈的第二层，主要被设计用来在支持全双工的同异步链路上进行点到点之间的数据传输。由于PPP协议具有其它链路层协议不具备的特点，得到了越来越广泛的应用，其扩展支持协议也层出不穷。 PPP定义了一整套的协议，主要有三类协议族：（1）链路控制协议族(LCP)主要用于建立、配置、测试和管理数据链路连接。（2）网络控制协议族(NCP)协商链路上所传输的数

55、据包格式与类型，建立、配置不同的网络层协议。（3）PPP扩展协议族。主要用于提供对PPP功能的进一步支持，实际上就是提供一些特性服务，基于PPP协议框架设计的一些扩展协议。例如，用于网络安全方面的验证协议(PAP和CHAP)。3.2.1 PPP交互过程PPP链路的建立是通过一系列的协商完成的。其中，链路控制协议除了用于建立、拆除和监控PPP数据链路，还要在链路层中进行各种参数的协商，如MRU、验证方式等；网络层控制协议族主要用于协商在该数据链路上所传输的数据包的类型以及网络层自身所要用到的一些参数，如IP地址Establish阶段Authenticate阶段Dead阶段 底层up lcp op

56、ened链路建立失败 验证失败 验证通过 down 或者无验证Network阶段Terminate阶段 关闭图3.1如图3.1从链路整体的角度，描述了PPP链路建立所经历和涉及的几个阶段。实际上PPP链路的建立需要经过一系列的协商，这些协商又会根据PPP应用的不同而协商不同的内容，所以涉及的协商过程也会有所不同。PPP初始状态为不活动(Dead)状态，当满足以下两个条件时，PPP会进入链路建立(Establish)阶段；这两个条件是：PPP的低层报UP(符合什么条件报UP，取决于低层的特点，会由于低层类型的不同而体现出不同的特点，这里可暂时简单地理解为物理UP)、对应接口是OPEN状态(即没有

57、被管理员PPP在Establish阶段主要进行链路控制协商(LCP)，协商内容包括：MRU (最大接收单元)、魔术字(magic number)、验证方式、异步字符映射、工作方式是否是MP等选项。LCP协商成功后，LCP状态变为UP，表示链路已经建立(注意，此时对于网络层而言PPP链路还没有建立，还不能够在上面成功传输网络层包文)；这里如果配置了验证(对端验证本端或本端验证对端)就进入Authenticate阶段，开始CHAP或PAP验证。如果验证失败则进入Terminate阶段，拆除链路，LCP状态转为Down如果验证成功就进入Network协商阶段，进行NCP的协商(如IPCP、IPXCP

58、、BCP的协商)，此时LCP状态是UP的。网络控制协商成功后，链路就会UP，就可以开始接收与发送协商指定的网络层包文了。到此，PPP链路将一直保持通信，直至有明确的LCP或NCP帧关闭这条链路，或发生了某些外部事件(例如，用户的干预)。3.2.3PPP认证方式下面我们看下PPP上常用的两种验证方式：PAP的验证过程，CHAP的验证过程（1）PAP(Password Authentication Protocol)验证PAP为两次握手协议，它通过用户名及口令来对用户进行验证，如下图3.2所示：验证方 被验证方 被验证方发送用户名和密码到验证方 ACK OR NOT ACK图3.2PAP验证过程如

59、下：当两端链路可相互传输数据时，被验证方发送本端的用户名及口令到验证方，验证方根据本端的用户表(或Radius服务器)查看是否有此用户，口令是否正确。如正确则会给对端发送ACK报文，通告对端已被允许进入下一阶段协商；否则发送NAK报文，通告对端验证失败。此时，并不会直接将链路关闭。只有当验证不过次数达到一定值时，才会关闭链路，来防止因误传、网络干扰等造成不必要的LCP重新协商过程。PAP的特点是在网络上以明文的方式传递用户名及口令，若在传输过程中被截获，便有可能对网络安全造成极大的威胁。因此，它只适用于对网络安全要求比较低的环境。（2）CHAP(Challenge Handshake Auth

60、entication Protocol)验证CHAP为三次握手协议验证过程如图3.3所示。验证方 被验证方 challenge Response ACK OR NOT ACK 图3.3它在网络上传输用户名，但不传输用户口令(其实是它不直接传输口令，传输的是用MD5算法将口令与某随机报文ID一起计算的结果)，因此它的安全性要比PAP高。CHAP的验证过程为：首先由验证方向被验证方发送一些随机产生的报文，同时将用户名附带上一起发送始被验证方。被验证方接到对端对本端的验证请求时便根据此报文中验证方的用户名和本端的用户表(注意，这个用户表可能在本地，也可能在另外一台服务器上)查找用户口令字，如找到用户

61、表中与验证方用户名相同的用户便利用收到的随机包文、报文ID、此用户的密钥用MD5算法生成应答(Response)，随后将应答和自己的用户名送回。验证方接到此应答后，根据此报文中被验证方的用户名和本端的用户表(注意：这个用户表可能在本地，也可能在另外一台服务器上)查找用户口令字，如找到用户表中与验证方用户名相同的用户，便利用原来验证方自己产生的随机报文、保留的随机报文ID、此用户的密钥用MD5算法得出结果，与被验证方应答比较，根据比较结果返回相应的结果。结果相同，则返回SUCCESS，不同，则返回FAILURE。这么一种验证过程，要求两端的口令必须是相同的。3.4 PPPOE（point-to-

62、point protocol over Ethernet）协议PPPOE协议通过把以太网和点对点协议的可扩展性及管理控制功能结合在一起，网络服务提供商和电信运营商便可利用可靠和熟悉的技术来加速部署高速互联网业务。它使网络提供商在通过数字用户线、电缆调制解调器或无线连接等方式，提供支持多用户的宽带接入服务时更加简便。同时该技术亦简化了最终用户在选择这些服务时的配置操作。通过PPPOE，在一个共享的以太网上的多个主机，可以通过一个或多个简单的桥接入设备，与BRAS进行多个PPP会话。使用这种模型，每个主机使用它自己的PPP协议栈，并且提供给用户一个熟悉的用户接口，完成AAA认证。接入控制、计费和服

63、务类型能够基于每用户，而不是每站点来处理。3.3.1 PPPOE通信流程PPPOE有两个不同的阶段：发现阶段和PPP会话阶段。当一个主机想建立PPPOE会话，首先知道远端访问集中器的MAC地址，并建立一个唯一的PPOE会话ID。在发现阶段，基于网络的拓扑，主机可以发现多个接入集中器。发现阶段允许主机发现所有的接入集中器，然后选择一个。当发现阶段成功完成，主机和选择的接入集中器都有了它们在以太网上建立PPP连接的信息。直到PPP会话建立，发现阶段一直保持无状态的状态。一旦PPP会话建立，主机和接入集中器都必须为PPP虚接口分配资源。图3.4是PPPOE的通信过程：ACHost PADIPADO PADR PADS PPP DATA