Tweet
Kỹ thuật cấu hình và quản trị 802.1q tunneling (q-in-q) trên cisco switch
[ CCNP - ENCOR] KỸ THUẬT CẤU HÌNH VÀ QUẢN TRỊ 802.1Q TUNNELING (Q-IN-Q) TRÊN CISCO SWITCH
Trong hạ tầng mạng dịch vụ đô thị (Metro Ethernet) hoặc nhà cung cấp dịch vụ (Service Provider), nhu cầu kết nối thông suốt các chi nhánh của khách hàng tại Lớp 2 (Layer 2 VPN) là rất lớn. Giải pháp 802.1Q Tunneling (thường gọi là Q-in-Q) được phát triển như một kỹ thuật đơn giản, hiệu quả cao để đóng gói chồng nhãn (Double-Tagging). Cơ chế này cho phép nhà cung cấp truyền tải minh bạch toàn bộ các VLAN của khách hàng qua lõi mạng của mình mà không cần can thiệp vào cấu trúc định tuyến hoặc chia sẻ cơ sở dữ liệu VLAN với khách hàng.
Bài viết này sẽ phân tích chi tiết nguyên lý lồng nhãn, các yêu cầu đặc thù về phần cứng MTU và quy trình từng bước để cấu hình, xác thực Q-in-Q trên hệ điều hành Cisco IOS. 1. Nguyên lý vận hành và kiến trúc lồng nhãn Double-Tagging
Khi một doanh nghiệp có nhiều chi nhánh kết nối qua mạng Metro Ethernet, họ muốn các VLAN nội bộ (ví dụ: VLAN 10, VLAN 20) của các chi nhánh tự thông tuyến với nhau. Nếu sử dụng đường trung kế (Trunking) tiêu chuẩn của nhà cung cấp dịch vụ (SP), các dải VLAN của các khách hàng khác nhau sẽ bị trùng lặp và xung đột.
Giải pháp Q-in-Q giải quyết triệt để vấn đề này bằng cách chèn thêm một thẻ nhãn 802.1Q thứ hai vào khung dữ liệu. Cấu trúc khung dữ liệu Q-in-Q lúc này sẽ sở hữu hai loại nhãn phân cấp rõ ràng:
Một hệ quả kỹ thuật cực kỳ quan trọng khi triển khai Q-in-Q là sự thay đổi kích thước của khung dữ liệu vật lý:
Nếu các cổng vật lý kết nối đường trục giữa các Switch nội bộ của nhà cung cấp vẫn giữ nguyên cấu hình giới hạn phần cứng Lớp 2 MTU mặc định là 1500 Byte (hoặc kích thước khung Ethernet tiêu chuẩn 1518/1522 Byte), các khung dữ liệu Q-in-Q 1526 Byte này sẽ ngay lập tức bị hệ thống coi là quá khổ (Oversized) và bị hủy bỏ (Drop) tại tầng phần cứng.
3. Quy trình triển khai cấu hình Q-in-Q trên Cisco IOS Switch
Xét mô hình triển khai: Switch biên của nhà cung cấp (Switch-SP) kết nối với Switch của khách hàng (Switch-Customer) tại cổng vật lý FastEthernet 0/1. Mạng lõi của nhà cung cấp sẽ chuyển tải lưu lượng này thông qua phân vùng mạng VLAN 100 (S-VLAN). Bước 1: Cấu hình trên Switch biên của Nhà cung cấp (Switch-SP)
Tại thiết bị của nhà cung cấp, chúng ta khởi tạo phân vùng mạng S-VLAN định danh cho khách hàng và thiết lập cổng interface giao tiếp sang dạng đường hầm đường hầm chuyên dụng (dot1q-tunnel):
Plaintext
SP-Switch(config)# vlan 100
SP-Switch(config-vlan)# name CLIENT-A-SVLAN
SP-Switch(config-vlan)# exit
SP-Switch(config)# interface fastEthernet 0/1
SP-Switch(config-if)# switchport access vlan 100
SP-Switch(config-if)# switchport mode dot1q-tunnel
Ý nghĩa hành vi: Cổng dot1q-tunnel vận hành tương tự như một cổng Access đặc biệt. Mọi khung dữ liệu đi vào cổng này (dù là dữ liệu không nhãn hay đã có sẵn nhãn C-VLAN từ khách hàng) đều bị ép buộc chèn thêm nhãn VLAN 100 ở phía ngoài trước khi chuyển tiếp vào mạng lõi. Bước 2: Cấu hình truyền tải giao thức Lớp 2 (Tùy chọn nâng cao)
Mặc định, các gói tin điều khiển như Spanning Tree (BPDU), CDP, VTP của khách hàng sẽ bị Switch PE chặn lại. Để truyền trong suốt các giao thức này giữa các chi nhánh khách hàng, cần kích hoạt tính năng Layer 2 Protocol Tunneling:
Plaintext
SP-Switch(config)# interface fastEthernet 0/1
SP-Switch(config-if)# l2protocol-tunnel cdp
SP-Switch(config-if)# l2protocol-tunnel stp
SP-Switch(config-if)# l2protocol-tunnel vtp
Bước 3: Cấu hình đầu cổng phía khách hàng (Switch-Customer)
Phía khách hàng hoàn toàn không cần biết cấu hình của nhà cung cấp. Họ chỉ cần cấu hình cổng kết nối lên nhà cung cấp như một đường trung kế Trunking standard để truyền các VLAN nội bộ của mình:
Plaintext
Customer-Switch(config)# interface fastEthernet 0/1
Customer-Switch(config-if)# switchport trunk encapsulation dot1q
Customer-Switch(config-if)# switchport mode trunk
4. Kỹ thuật kiểm tra và xác thực trạng thái kết nối
Để giám sát và bảo đảm trạng thái vận hành của đường hầm Lớp 2 trên Switch của nhà cung cấp, kỹ sư thực thi các câu lệnh quản trị sau: 4.1. Xác thực chế độ hoạt động của cổng Interface
Plaintext
SP-Switch# show interfaces fastEthernet 0/1 switchport
Hệ thống hiển thị thông tin biên dịch phần cứng:
Plaintext
Name: Fa0/1
Switchport: Enabled
Administrative Mode: tunnel
Operational Mode: tunnel
Access Mode VLAN: 100 (CLIENT-A-SVLAN)
Để kiểm tra xem các gói tin quản trị của khách hàng có được đóng gói chuyển tiếp an toàn qua đường hầm hay không, sử dụng lệnh:
Plaintext
SP-Switch# show l2protocol-tunnel interface fastEthernet 0/1
Kết xuất hệ thống trả về bảng thống kê:
Plaintext
Port Protocol Shutdown Threshold Counter Drop
--------- ---------- -------- --------- -------- ---------
Fa0/1 cdp --- --- 245 0
stp --- --- 1204 0
🎓 CHUYÊN SÂU CÔNG NGHỆ METRO ETHERNET VÀ VPN LỚP 2 TẠI VNPRO
Kỹ thuật đóng gói lồng nhãn nâng cao 802.1Q Tunneling (Q-in-Q), tối ưu hóa cấu trúc gói tin lớn Jumbo Frame, thiết lập hệ thống truyền tải giao thức Lớp 2 (L2PT) cùng các giải pháp mạng Provider Edge là những khối lượng kiến thức thực hành thực tế chuyên sâu thuộc phân hệ tối ưu hóa hạ tầng doanh nghiệp lớn và nhà cung cấp dịch vụ của chương trình đào tạo CCNP Enterprise và CCIE Enterprise Infrastructure. Để trực tiếp triển khai các kịch bản Lab giả lập kết nối đa chi nhánh, phân tích luồng nhãn Double-Tagging qua phần mềm Wireshark trên hệ thống Lab thiết bị thật Cisco chính hãng, quý học viên có thể tham khảo lộ trình đào tạo chuyên gia tại VnPro.
Trong hạ tầng mạng dịch vụ đô thị (Metro Ethernet) hoặc nhà cung cấp dịch vụ (Service Provider), nhu cầu kết nối thông suốt các chi nhánh của khách hàng tại Lớp 2 (Layer 2 VPN) là rất lớn. Giải pháp 802.1Q Tunneling (thường gọi là Q-in-Q) được phát triển như một kỹ thuật đơn giản, hiệu quả cao để đóng gói chồng nhãn (Double-Tagging). Cơ chế này cho phép nhà cung cấp truyền tải minh bạch toàn bộ các VLAN của khách hàng qua lõi mạng của mình mà không cần can thiệp vào cấu trúc định tuyến hoặc chia sẻ cơ sở dữ liệu VLAN với khách hàng.
Bài viết này sẽ phân tích chi tiết nguyên lý lồng nhãn, các yêu cầu đặc thù về phần cứng MTU và quy trình từng bước để cấu hình, xác thực Q-in-Q trên hệ điều hành Cisco IOS. 1. Nguyên lý vận hành và kiến trúc lồng nhãn Double-Tagging
Khi một doanh nghiệp có nhiều chi nhánh kết nối qua mạng Metro Ethernet, họ muốn các VLAN nội bộ (ví dụ: VLAN 10, VLAN 20) của các chi nhánh tự thông tuyến với nhau. Nếu sử dụng đường trung kế (Trunking) tiêu chuẩn của nhà cung cấp dịch vụ (SP), các dải VLAN của các khách hàng khác nhau sẽ bị trùng lặp và xung đột.
Giải pháp Q-in-Q giải quyết triệt để vấn đề này bằng cách chèn thêm một thẻ nhãn 802.1Q thứ hai vào khung dữ liệu. Cấu trúc khung dữ liệu Q-in-Q lúc này sẽ sở hữu hai loại nhãn phân cấp rõ ràng:
- Nhãn nội bộ (Customer VLAN Tag - C-VLAN): Là thẻ nhãn 802.1Q gốc do thiết bị Switch của khách hàng chèn vào để định danh các phòng ban nội bộ (VLAN ID từ 1 đến 4094). Nhãn này nằm sâu bên trong và được giữ nguyên vẹn suốt hành trình đi qua mạng lõi của nhà cung cấp.
- Nhãn nhà cung cấp (Service Provider VLAN Tag - S-VLAN): Là thẻ nhãn 802.1Q thứ hai được Switch biên của nhà cung cấp (Provider Edge - PE) chủ động chèn thêm vào phía trước nhãn C-VLAN ngay khi khung dữ liệu đi vào cổng kết nối khách hàng (Dot1q-tunnel port). Mỗi khách hàng sẽ được gán một S-VLAN duy nhất (ví dụ: Khách hàng X dùng S-VLAN 100, Khách hàng Y dùng S-VLAN 200) để cô lập lưu lượng hoàn toàn trong mạng lõi.
Một hệ quả kỹ thuật cực kỳ quan trọng khi triển khai Q-in-Q là sự thay đổi kích thước của khung dữ liệu vật lý:
- Khung dữ liệu của khách hàng sau khi đã có nhãn C-VLAN có kích thước tối đa là 1522 Byte.
- Khi Switch PE chèn thêm nhãn S-VLAN (tốn thêm 4 Byte), kích thước tổng thể của khung dữ liệu tăng lên thành 1526 Byte.
Nếu các cổng vật lý kết nối đường trục giữa các Switch nội bộ của nhà cung cấp vẫn giữ nguyên cấu hình giới hạn phần cứng Lớp 2 MTU mặc định là 1500 Byte (hoặc kích thước khung Ethernet tiêu chuẩn 1518/1522 Byte), các khung dữ liệu Q-in-Q 1526 Byte này sẽ ngay lập tức bị hệ thống coi là quá khổ (Oversized) và bị hủy bỏ (Drop) tại tầng phần cứng.
Quy chuẩn triển khai: Kỹ sư hệ thống bắt buộc phải thực hiện nâng cấu hình giới hạn kích thước gói tin phần cứng (System MTU hoặc Interface MTU) trên toàn bộ các thiết bị dọc theo tuyến đường di chuyển của nhà cung cấp dịch vụ lên các mức an toàn của khung dữ liệu lớn (Jumbo Frame), thông thường là từ 1550 Byte đến 9000 Byte.
3. Quy trình triển khai cấu hình Q-in-Q trên Cisco IOS Switch
Xét mô hình triển khai: Switch biên của nhà cung cấp (Switch-SP) kết nối với Switch của khách hàng (Switch-Customer) tại cổng vật lý FastEthernet 0/1. Mạng lõi của nhà cung cấp sẽ chuyển tải lưu lượng này thông qua phân vùng mạng VLAN 100 (S-VLAN). Bước 1: Cấu hình trên Switch biên của Nhà cung cấp (Switch-SP)
Tại thiết bị của nhà cung cấp, chúng ta khởi tạo phân vùng mạng S-VLAN định danh cho khách hàng và thiết lập cổng interface giao tiếp sang dạng đường hầm đường hầm chuyên dụng (dot1q-tunnel):
Plaintext
SP-Switch(config)# vlan 100
SP-Switch(config-vlan)# name CLIENT-A-SVLAN
SP-Switch(config-vlan)# exit
SP-Switch(config)# interface fastEthernet 0/1
SP-Switch(config-if)# switchport access vlan 100
SP-Switch(config-if)# switchport mode dot1q-tunnel
Ý nghĩa hành vi: Cổng dot1q-tunnel vận hành tương tự như một cổng Access đặc biệt. Mọi khung dữ liệu đi vào cổng này (dù là dữ liệu không nhãn hay đã có sẵn nhãn C-VLAN từ khách hàng) đều bị ép buộc chèn thêm nhãn VLAN 100 ở phía ngoài trước khi chuyển tiếp vào mạng lõi. Bước 2: Cấu hình truyền tải giao thức Lớp 2 (Tùy chọn nâng cao)
Mặc định, các gói tin điều khiển như Spanning Tree (BPDU), CDP, VTP của khách hàng sẽ bị Switch PE chặn lại. Để truyền trong suốt các giao thức này giữa các chi nhánh khách hàng, cần kích hoạt tính năng Layer 2 Protocol Tunneling:
Plaintext
SP-Switch(config)# interface fastEthernet 0/1
SP-Switch(config-if)# l2protocol-tunnel cdp
SP-Switch(config-if)# l2protocol-tunnel stp
SP-Switch(config-if)# l2protocol-tunnel vtp
Bước 3: Cấu hình đầu cổng phía khách hàng (Switch-Customer)
Phía khách hàng hoàn toàn không cần biết cấu hình của nhà cung cấp. Họ chỉ cần cấu hình cổng kết nối lên nhà cung cấp như một đường trung kế Trunking standard để truyền các VLAN nội bộ của mình:
Plaintext
Customer-Switch(config)# interface fastEthernet 0/1
Customer-Switch(config-if)# switchport trunk encapsulation dot1q
Customer-Switch(config-if)# switchport mode trunk
4. Kỹ thuật kiểm tra và xác thực trạng thái kết nối
Để giám sát và bảo đảm trạng thái vận hành của đường hầm Lớp 2 trên Switch của nhà cung cấp, kỹ sư thực thi các câu lệnh quản trị sau: 4.1. Xác thực chế độ hoạt động của cổng Interface
Plaintext
SP-Switch# show interfaces fastEthernet 0/1 switchport
Hệ thống hiển thị thông tin biên dịch phần cứng:
Plaintext
Name: Fa0/1
Switchport: Enabled
Administrative Mode: tunnel
Operational Mode: tunnel
Access Mode VLAN: 100 (CLIENT-A-SVLAN)
- Thông số Administrative Mode và Operational Mode ghi nhận trạng thái tunnel xác nhận cổng đã khóa chặt chế độ đóng gói Q-in-Q thành công.
Để kiểm tra xem các gói tin quản trị của khách hàng có được đóng gói chuyển tiếp an toàn qua đường hầm hay không, sử dụng lệnh:
Plaintext
SP-Switch# show l2protocol-tunnel interface fastEthernet 0/1
Kết xuất hệ thống trả về bảng thống kê:
Plaintext
Port Protocol Shutdown Threshold Counter Drop
--------- ---------- -------- --------- -------- ---------
Fa0/1 cdp --- --- 245 0
stp --- --- 1204 0
- Cột Counter liên tục tăng số lượng gói tin minh chứng các lưu lượng điều khiển lớp 2 của khách hàng đang được mã hóa và chuyển tải xuyên suốt qua hạ tầng mạng lõi một cách hoàn hảo.
🎓 CHUYÊN SÂU CÔNG NGHỆ METRO ETHERNET VÀ VPN LỚP 2 TẠI VNPRO
Kỹ thuật đóng gói lồng nhãn nâng cao 802.1Q Tunneling (Q-in-Q), tối ưu hóa cấu trúc gói tin lớn Jumbo Frame, thiết lập hệ thống truyền tải giao thức Lớp 2 (L2PT) cùng các giải pháp mạng Provider Edge là những khối lượng kiến thức thực hành thực tế chuyên sâu thuộc phân hệ tối ưu hóa hạ tầng doanh nghiệp lớn và nhà cung cấp dịch vụ của chương trình đào tạo CCNP Enterprise và CCIE Enterprise Infrastructure. Để trực tiếp triển khai các kịch bản Lab giả lập kết nối đa chi nhánh, phân tích luồng nhãn Double-Tagging qua phần mềm Wireshark trên hệ thống Lab thiết bị thật Cisco chính hãng, quý học viên có thể tham khảo lộ trình đào tạo chuyên gia tại VnPro.
- 📲 Hotline/Zalo hỗ trợ tư vấn: 093 3427 079
- 🌐 Website: vnpro.vn
Attached Files