Application Notes: VLAN-Translate & QinQ. Utilização e exemplos de aplicação

(1)

Application Notes: VLAN-Translate & QinQ

(2)

Application Notes: VLAN-Translate & QinQ

Utilização e exemplos de aplicação

Documento de Uso Público. Data 17/06/2010, Revisão 1.2

Parecer Introdução Desenvolvimento

Configurações

Configurações VLAN-Translate

Configurações VLAN-Translate para Dm3000 Exemplos de Utilização do Vlan-Translate e QinQ seletivo

Exemplo 1: VLAN-Translate, comunicação entre VLANs distintas

Exemplo 2: VLAN-Translate, alteração do TAG de VLAN para transporte Exemplo 3 : QinQ Seletivo-Dm4000

Exemplo 4 : QinQ Seletivo-Dm3000

Exemplo 5 : Inserção de dois TAGs de VLAN

Exemplo 6 : QinQ Seletivo-Dm3000 (Exemplo mais completo)

Parecer

Este documento tem o objetivo de explicar a funcionalidade do Vlan-Translate, e do QinQ. Também serão demonstrados algums exemplos de utilização destas features.

Introdução

O Vlan-Translate proporciona a alteração do TAG de VLAN na entrada e/ou na saída de uma interface ethernet. Esta funcionalidade é utilizada, por exemplo, para separar o trafego entrante de dois clientes que utilizam a mesma CVLAN (customer VLAN). Utilizando o Vlan-Translate também podemos separar o tráfego tagged, vindo de um DSLAM por exemplo, quando estamos usando o double TAG (QinQ). Existe ainda o QinQ seletivo, onde utilizando o Vlan-Translate, podemos passar uma parte do tráfego com CVLAN e SVLAN (service VLAN), e outra parte apenas com a CVLAN.

Com Vlan-Translate apenas conseguimos alterar a outer VLAN (VLAN mais externa), esta funcionalidade somente está diponível nos modelos da sério Dm4000. Para os modelos da série Dm3000 pode-se utilizar as ferramentas de filtros, e para alguns casos usaremos um Loop físico.

Este documento também engloba algumas funcionalidades do QinQ, como o QinQ seletivo, onde pode-se optar por não adicionar o segundo TAG em algumas VLANs.

(3)

Desenvolvimento

Configurações

Configurações VLAN-Translate

Uma observação importante é que para o Vlan-Translate funcionar, ele necessita que o Vlan-QinQ esteja habilitado. Para evitar problemas, um warning é mostrado no momento em que ele é configurado.

Dm4004(config)#vlan-translate ingress-table replace ethernet 3/1 source-vlan 50 new-vlan 50 % Warning:

This configuration is functional only with Double Tagging (QinQ) enabled

Configurando Vlan-Translate:

Dm4004(config)#vlan qinq

Dm4004(config)#vlan-translate <?>

egress-table Add an entry or entries to the egress VLAN translation table ingress-table Add an entry or entries to the ingress VLAN translation table

Dm4004(config)#vlan-translate egress-table <?> ethernet Ethernet interface

port-channel Port channel interface

Dm4004(config)#vlan-translate egress-table ethernet <?> all All Ethernet interfaces

range Range of Ethernet interfaces

1-5/1-13 Unit number/Ethernet interface number

Dm4004(config)#vlan-translate egress-table ethernet <SLOT>/<PORTA> source-vlan <ID> new-vlan <ID> <?> priority Assign a new priority to the packet

<enter> Preserve the packet priority

Dm4004(config)#vlan-translate ingress-table <?> add Add a new VLAN ID to the packet

replace Replace the packet source VLAN ID

Dm4004(config)#vlan-translate ingress-table add <?> ethernet Ethernet interface

port-channel Port channel interface

Dm4004(config)#vlan-translate ingress-table add ethernet <?> source-vlan Source VLAN ID

Dm4004(config)#vlan-translate ingress-table add ethernet <SLOT>/<PORTA> source-vlan <ID> new-vlan <ID> <?> priority Assign a new priority to the packet

<enter> Preserve the packet priority

Comando Descrição

ingress Táfego que entra no switch egress Tráfego que sai do switch ingress add Adiciona um TAG ao tráfego ingress replace Altera o TAG que chega na porta

(4)

As portas que forem utilizadas para fazer o VLAN-Translate ingress e/ou egress, deverão possuir as seguintes configurações :

interface ethernet <SLOT>/<PORTA> switchport qinq external

switchport vlan-translate egress switchport vlan-translate ingress

Observação: Caso uma porta seja utilizada para fazer VLAN-Translate apenas na saída, o "switchport

vlan-translate ingress" não é necessário, o mesmo vale se for só para entrada, aí o "switchport vlan-translate egress" é que não será necessário.

Podemos verificar a utilização e a capacidade disponível do VLAN-translate com os comandos:

Dm4004#show vlan-translate usage Entries

Unit Block Table Total Used Free ---- -- 4 ingress 1022 2 1020 4 egress 1022 2 1020 5 ingress 1022 3 1019 5 egress 1022 3 1019

Dm4004(config)#show vlan-translate table

Source New 802.1p Interface Table VLAN ID VLAN ID Action Priority --- --- --- --- --- --- Eth 4/ 1 ingress 18 50 REP Eth 4/ 1 ingress 24 100 REP Eth 5/ 1 ingress 26 100 REP Eth 5/ 1 ingress 20 50 REP Eth 5/ 2 ingress 28 100 REP Eth 4/ 1 egress 50 18 REP Eth 4/ 1 egress 100 24 REP Eth 5/ 1 egress 50 20 REP Eth 5/ 1 egress 100 26 REP Eth 5/ 2 egress 100 28 REP

-Configurações VLAN-Translate para Dm3000

Para a série de switches da linha Dm3000, não existe a configuração de VLAn-Translate, por limitações de hardware, necessitamos usar alguns artifícios para configuração de QinQ seletivo no Dm3000. Como não existe a configuração de VLAN translate para Dm3000, utilizaremos um loop entre 2 portas, onde uma é membro da SVLAN, e a outra da CVLAN (no caso esta será a VLAN que sairá do switch sem o double TAG de VLAN).

(5)

Exemplos de Utilização do Vlan-Translate e QinQ seletivo

Exemplo 1: VLAN-Translate, comunicação entre VLANs distintas

Neste exemplo, demonstraremos a comunicação de duas VLANs em uma porta de entrada, e cada uma comunicandos-se com outras duas VLANs, em duas portas de saída diferente. O desenho da topologia mostra de forma mais clara a ideia deste exemplo:

A interface (4/1) recebe os pacotes com TAG de VLAN 18, que serão transmitidos para as interfaces (5/1) e (5/2), com TAGS 20 e 22, respectivamente. O teste é realizado de forma bidirecional, e a VLAN 50 é utilizada como SVLAN, ela é quem irá fazer o transporte do tráfego. Desta forma quando o switch recebe o tráfego com TAG 18, 20 ou 22, este TAG é alterado para 50 na entrada, e para 18,20 ou 22 na saída, dependendo do sentindo em que tráfego está indo. O mesmo serve para as VLANs 24, 26 e 28, só que estas utilizam a SVLAN 100. A figura abaixo ilustra a comutação interna destes pacotes:

Configurações utilizadas no exemplo:

Dm4000# !

vlan qinq !

interface vlan 50

set-member tagged ethernet 4/1

set-member tagged ethernet range 5/1 5/2 !

(6)

interface ethernet 4/1 switchport qinq external

switchport vlan-translate egress switchport vlan-translate ingress !

interface ethernet range 5/1 5/2 switchport qinq external

vlan-translate ingress-table replace ethernet 4/1 source-vlan 18 new-vlan 50 vlan-translate ingress-table replace ethernet 4/1 source-vlan 24 new-vlan 100 vlan-translate ingress-table replace ethernet 5/1 source-vlan 20 new-vlan 50 vlan-translate ingress-table replace ethernet 5/1 source-vlan 26 new-vlan 100 vlan-translate ingress-table replace ethernet 5/2 source-vlan 28 new-vlan 100 !

vlan-translate egress-table ethernet 4/1 source-vlan 50 new-vlan 18 vlan-translate egress-table ethernet 4/1 source-vlan 100 new-vlan 24 vlan-translate egress-table ethernet 5/1 source-vlan 50 new-vlan 20 vlan-translate egress-table ethernet 5/1 source-vlan 100 new-vlan 26 vlan-translate egress-table ethernet 5/2 source-vlan 100 new-vlan 28 !

Exemplo 2: VLAN-Translate, alteração do TAG de VLAN para

transporte

Neste exemplo, demonstramos como fazer a alteração do TAG de VLAN, para o transporte do tráfego, entregando os pacotes com o mesmo TAG da entrada na porta de saída. A topologia abaixo ilustra o exmplo:

O tráfego que entra na porta (4/1) com TAG de VLAN 18, é encaminhado para a porta (5/1) usando o TAG de VLAN 50, e é entregue na porta (5/1) com o mesmo TAG 18. O tráfego que entra na porta (4/1) com TAG de VLAN 24, é encaminhado para as portas (5/1) e (5/2), usando o TAG de VLAN 100, e é entregue com o mesmo TAG 24 inicial.

(7)

vlan qinq !

interface vlan 50

set-member tagged ethernet 4/1 set-member tagged ethernet 5/1 !

interface vlan 100

interface ethernet 4/1 switchport qinq external

interface ethernet range 5/1 5/2 switchport qinq external

vlan-translate ingress-table add ethernet range 4/1 5/1 source-vlan 18 new-vlan 50 vlan-translate ingress-table add ethernet range 4/1 5/2 source-vlan 24 new-vlan 100 !

vlan-translate egress-table ethernet range 4/1 5/1 source-vlan 50 new-vlan 18 vlan-translate egress-table ethernet range 4/1 5/2 source-vlan 100 new-vlan 24

Exemplo 3 : QinQ Seletivo-Dm4000

O QinQ seletivo pode ser utilizado em uma situação onde se deseja adiconar um segundo TAG as VLANs de clientes, mas não na VLAN utilizada para gerência do equipamento. No exemplo mostrado abaixo, todas as CVLANs serão transportadas pela SVLAN 100, e a VLAN de gerência 12, não receberá um TAG adicional, seguirá como VLAN 12.

Configurações utilizadas no exemplo:

interface vlan 12

name >VLAN-Gerencia-DSLAM-Dot1Q< set-member tagged ethernet 3/1 set-member tagged ethernet 3/12 !

(8)

name >VLAN-DSLAM-MA5100-QinQ< set-member tagged ethernet 3/1 set-member untagged ethernet 3/12 !

interface ethernet 3/12 switchport native vlan 100 switchport qinq external

switchport vlan-translate ingress !

vlan-translate ingress-table replace ethernet 3/12 source-vlan 12 new-vlan 12

Exemplo 4 : QinQ Seletivo-Dm3000

Para demonstração do QinQ Seletivo no Dm3000 utilizaremos a VLAN 12, como VLAN de gerência, e a VLAN 200, representando uma VLAN de cliente. Como já mencionado neste documento, utilizaremos um Loop entre duas portas para retirar o double TAG, adicionado pelo QinQ na entrada do switch.

Topologia:

Para uma melhor compreensão, observemos o desenho abaixo, que demonstra como isto irá funcionar internamente no switch.

(9)

A figura acima parece um pouco complexa, mas agora vamos olhar detalhadamente cada etapa de entrada e saída dos pacotes com TAG de VLAN 200 e 12.

1. Tráfego da VLAN 200 no sentido da entrada para porta de UPLINK.

Situação 1: Tráfego com TAG de CVLAN 200 entra na porta (1/28), recebe o SVLAN 400. Situação 2: Tráfego broadcast e dlf são enviados para todas portas membro da VLAN 400 (1/26

e 1/27), mas o tráfego unicast é enviado apenas para porta (1/27).

Situação 3: Tráfego enviado para porta (1/26), que é untagged, chega na porta (1/25) apenas

com o tag 200, então é descartado, pois a porta (1/25) não é membro da VLAN 200.

Passo 2:

2. Tráfego da VLAN 12 no sentido da entrada para porta de UPLINK.

Situação 1: Tráfego de CVLAN 12 entra na porta (1/28), recebe o SVLAN 400

Situação 2: Tráfego broadcast, dlf e unicast são enviados para porta (1/26) membro da VLAN

400, mas não são enviados para porta 1/27. Estes pacotes não são enviados para porta (1/27), porque criamos um filtro *"egress-block" da porta (1/28) para (1/27). Sem este filtro, seriam enviados pacotes com TAG 12 e 400/12 para porta (1/27), e não queremos que isto ocorra.

Situação 3: Tráfego que é encaminhado pela porta (1/26), chega na porta (1/25) apenas com o

CVLAN 12, pois a porta (1/26) é untagged na VLAN 400. Como a porta (1/25) é tagged na

(10)

membro desta VLAN, e onde o mac-address de destino deve ter sido aprendido (caso do tráfego unicast). É importante salientar que o mac-address que entrou na porta (1/28), e foi aprendido

nesta porta como membro da VLAN 400, agora é aprendido na porta (1/25) como membro da VLAN 12.

Este detalhe será importante para observarmos o caminho de volta destes pacotes da VLAN 12. 3. Tráfego da VLAN 400/200 da porta de UPLINK para porta de entrada.

Situação 1: Tráfego Broadcast e dlf são enviados para todas portas membro da VLAN 400 (1/26

e 1/28), mas o tráfego unicast é enviado apenas para porta (1/28).

Situação 2: Tráfego enviado para porta (1/26), que é untagged, chega na porta (1/25) apenas

com o tag 200, então é descartado, pois a porta (1/25) não é membro da VLAN 200. 4. Tráfego da VLAN 12 da porta de UPLINK para porta de entrada.

Situação 1: Tráfego Broadcast, dlf e unicast são enviados para unica porta membro, além da

porta de UPLINK, da VLAN 12 (1/25).

Situação 2: Trafego que é encaminhado pela porta (1/25), chega na porta (1/26) e recebe um

TAg adicional, (400/12) pois a porta 1/26 é untagged e nativa na VLAN 400. O tráfego unicast chega na porta (1/25) porque foi onde o mac-address de origem foi aprendido, vide item 2 situação 3.

Situação 3: Tráfego broadcast e dlf que sai da porta (1/26) deveria ser encaminhado para todas

portas membro desta VLAN (1/27 e 1/28). Porém como este tráfego chegou pela porta (1/27), só que em outra VLAN, precisamos criar o mesmo filtro de "egress-block", da porta (1/26) para porta (1/27), já sitado anteriormente. Desta forma o unico destino dos pacotes fica sendo a porta (1/28).

* O "egress-block" é uma ação disponível em nossos filtros. Esta ação permite que se crie um filtro impedindo que o tráfego que entra em uma porta, seja encaminhado para outra porta. Neste caso não queremos que todo tráfego que entra pela porta (1/28), seja bloqueado para (1/27). Para isto usamos um match na inner-VLAN (VLAN interna), que neste caso é a VLAN 12. Então os pacotes com o TAG 400/12, que entram na porta (1/28), não são encaminhados para porta (1/27).

Configuração:

vlan qinq !

interface vlan 12

interface vlan 400

set-member untagged ethernet 1/26 set-member tagged ethernet 1/27 set-member untagged ethernet 1/28 !

interface ethernet 1/26 switchport qinq external switchport native vlan 400 !

interface ethernet 1/28 switchport native vlan 400 switchport qinq external !

(11)

É importante salientar que a latência destes pacotes irá dobrar, pois irão passar por duas portas a

mais do que deveriam passar normalmente. O tempo de comutação do Dm3000 é de aproximadamente 4.380 microsegundos, para pacotes de 64 KB. Isto significa que utilizando este Loop, a latência ficará em

torno de 8.760 microsegundos.

Precauções a serem tomadas

Como estamos utilizando um loop, precisamos ser muito cuidadosos com as configurações, para evitar problemas em toda rede. Listaremos alguns itens que não devem ser esquecidos:

Retirar as portas membro da vlan 1 (no set-member ethernet).

As portas em loop não devem ser membro de outras VLANs, e muito menos de uma mesma VLAN. Cuidar para não usar uma porta de entrada giga e usar o loop em uma porta fast, pois a capacidade da porta é 10x menor.

Exemplo 5 : Inserção de dois TAGs de VLAN

Em algumas situações tem-se a necessidade de inserir duas TAGS de VLAN nos pacotes que chegam sem TAG algum ao switch. Para isto utilizaremos novamente o artfício de fazer um loop físico entre duas interfaces. Pacote entra em uma interface, recebe o TAG, passa pelo loop, entrando novamente no switch, recebendo assim um segundo TAG de VLAN.

Configuração :

vlan qinq !

interface vlan 10

set-member tagged ethernet 1/25 set-member untagged ethernet 1/28 !

interface vlan 100

set-member untagged ethernet 1/26 set-member tagged ethernet 1/27 !

interface ethernet 1/26 switchport native vlan 100 !

(12)

Exemplo 6 : QinQ Seletivo-Dm3000 (Exemplo mais completo)

Usando a mesma idéia explicada nos exemplos quatro e cinco, agora demonstraremos uma configuração um pouco mais completa, utilizando as duas idéias no mesmo exemplo, e acresentando mais portas de entrada. Desta forma o exemplo irá mostrar algo parecido com o que ocorre

Descrição do teste

Tráfego entra na porta (1/10) com TAG (40), sai pela porta 15, entra na porta 16 e recebe novo TAG (50).

QinQ seletivo, várias VLANs chegando na porta 1/28, e a VLAN 12 deverá ser encaminhada sem a SVLAN.

Trafego entra na porta 1/12 sem TAG, recebe TAG 10, passa pelo Loop nas portas (1/8) e (1/9), e recebe o segundo TAG (100).

Configuração :

vlan qinq !

interface vlan 10

set-member tagged ethernet 1/8 set-member untagged ethernet 1/12 !

interface vlan 12

(13)

!

interface vlan 50

interface vlan 100

interface vlan 400

set-member untagged ethernet 1/26 set-member tagged ethernet 1/27 set-member untagged ethernet 1/28 !

interface ethernet 1/26 switchport qinq external switchport native vlan 400 !

filter 1 action egress-block ethernet 1/27 match vlan-inner 12 ingress ethernet 1/28 filter 2 action egress-block ethernet 1/27 ingress ethernet 1/26

!

interface vlan 1 no set-member