UNIVERSIDAD LATINA DE COSTA RICA SEDE HEREDIA CONMUTACION Y ENRUTAMIENTO INTERMEDIOS MAESTRA EN REDES Y TELEMTICA

802.1Q
Q-in-Q Tunneling

Profesor: Carlos Alfaro Briseo

Alumnos:
Neithan Rojas Hctor Brenes Malber Luis Sibaja

Diciembre 2011 IV Trimestre

ndice

Objetivos ............................................................................................................................................. 3 Introduccin ........................................................................................................................................ 4 1. 2. 3. 4. 5. 802.1 Q-in-Q: Descripcin. .......................................................................................................... 5 Funcionamiento de Tneles Q-in-Q ............................................................................................ 7 Desactivacin de Aprendizaje de MAC ....................................................................................... 9 Limitaciones de un Tnel Q-in-Q ................................................................................................. 9 Configuracin Bsica de Tnel 802.1Q-in-Q ............................................................................. 10

Conclusiones ..................................................................................................................................... 14 Fuentes de Consulta .......................................................................................................................... 15

Objetivos

Objetivo General:

Conocer el concepto global de utilizacin

Objetivos Especficos:

1. Describir las caractersticas y operacin del Estndar 802.1Q-in-Q dentro de una red de un proveedor de servicios.

2. Conocer las principales limitaciones al momento de emplear tneles Q-in-Q

3. Presentar una topologa simple donde se ejemplifique la configuracin bsica de un tnel 802.1Q-in-Q as como capturas de Wireshark para demostrar el doble etiquetado de paquetes.

Introduccin

Hoy en da es de uso comn que muchos proveedores de servicio regionales o internacionales quieran y pretendan ofrecer servicios de red LAN transparente que preserve y brinde la posibilidad de extender las redes LAN virtuales (VLAN) de clientes especficos desde una oficina a otra, as como de todos los privilegios de acceso y caractersticas que se brindan en una red local, todo esto a travs de una red MAN o WAN.

De acuerdo con esta necesidad los proveedores de servicio han adoptado el estndar de CISCO 802.1Q tambin conocido como CISCO 802.1Q-in-Q el cual brinda la posibilidad y el soporte para crear tneles virtuales dentro de redes MAN y WAN desde un cliente a otro.

Siguiendo la lnea de comprensin de la temtica 802.1Q-in-Q se presentara a continuacin aspectos tericos de las caractersticas y operacin de este estndar as como su principal uso mediante un ejemplo general.

1. 802.1 Q-in-Q: Descripcin.

De acuerdo con el modo de comprensin del concepto formulado el marco introductorio se puede definir que el estndar CISCO 802.1Q habilita a los proveedores de servicio de un medio para transportar de forma segura la totalidad de las VLAN de un cliente a travs del backbone de red MAN o WAN instalado haciendo uso nicamente de una VLAN como identificador dentro de la red de transporte desde un punto A hasta un punto B.

En este caso para brindar un descriptor dentro de la red del proveedor de servicio se aade en el equipo de borde del cliente-proveedor una etiqueta en el trafico del cliente, esta etiqueta asigna un numero nico de identificacin de VLAN segn sea asignado a los diferentes clientes, este identificador permite mantener el trafico de cada usuario separado y principalmente de forma privada.

Esta identificacin o marcado de paquetes de trafico de clientes permite enviar a lo largo de la red de un proveedor de servicio hasta 4096 VLAN, todo esto a travs de un nico puerto o tnel configurado para el cliente en especifico. Todas las VLAN de cliente que se configuran para ser enviadas por el puerto tnel son transportadas de forma separada y privada por una nica VLAN de identificacin del proveedor de servicio. Lo antes mencionado hace referencia a que los proveedores de servicio no tienen que asignar un identificador o VLAN ID para cada VLAN que los clientes quieran pasar a travs de la red, de lo contrario rpidamente un proveedor de servicio consumira el total permitido por la tecnologa Ethernet 802.1Q que es de 4096 IDs de VLAN.

Partiendo de la descripcin anterior podemos interpretar porque se le asigna el nombre 802.1Q-in-Q a esta tecnologa de tnel: Este debido a que se encapsulan mltiples VLAN 802.1Q de clientes dentro de una nica VLAN 802.1Q de un proveedor de servicio.

Adems se considera de gran importancia mencionar que al momento de que un proveedor de servicios brinda el servicio de trasporte de VLAN de clientes via 802.1Q tunneling demuestra a los clientes que posee una red enfocada de forma escalable al ofrecimiento de servicios Ethernet de extremo a extremo, lo que permite no solo el trfico de datos de clientes sino que adems habilita al cliente para el transporte de servicios en capa 2 como lo son Spanning Tree, CDP (Cisco Discovery Protocol, VLAN Trunking Protocol, entre otros). En pocas palabras, Q-in-Q permite a un proveedor de servicio brindarle a los clientes puertos de acceso que son mapeados a una VLAN dentro de la red de transporte, permitiendo adems que el usuario utilice un tnel dot1Q sin tener que preocuparse por las colisiones generadas por los choques de VLAN ID. Un puerto configurado para soportar 802.1Q tunneling es llamado o conocido como tunnel port, este puerto est ubicado del lado del equipo del proveedor de servicios. EL cliente nicamente debe configurar el puerto local de conexin hacia la red borde como un puerto 802.1Q regular. Dentro de la nube de transporte del proveedor de servicios la informacin de cliente se transporta como si fueran un enlace troncal entre puertos dot1q. La imagen siguiente ilustra una forma simplificada de este comportamiento.
Figura No.1 Comportamiento Simplificado 802.1Q-in-Q

Fuente: http://irwanp.wordpress.com/2008/06/23/qinq-8021q-tunneling-on-cisco-switches/

2. Funcionamiento de Tneles Q-in-Q

Al momento de configurar y hacer uso de un tnel Q-in-Q, tal y como se ha definido un paquete viaja desde una VLAN del cliente hacia una VLAN del proveedor de servicio, donde al momento de encapsularse dentro de la VLAN del proveedor de servicio los paquetes son etiquetados segn un numero de VLAN ID referente al estndar 802.1Q.

Este etiquetado adicional que se le realiza a los paquetes es usado para separar el trfico dentro de la VLAN de servicio definida (S-VLAN). La etiqueta original del paquete puesta por el cliente permanece invariante y se transmite de forma transparente a lo largo de toda la red de transporte del proveedor de servicios, al momento de entrar o salir de la red del proveedor la etiqueta puesta por la S-VLAN es removida, dejando la informacin del cliente tal y como se envo desde la oficina fuente.

Cuando un tnel Q-in-Q est habilitado, las interfaces troncales para el transporte de los datos se consideran como parte de la red del proveedor de servicio, y las interfaces de acceso se asocian como el punto de partida de cara al cliente. Una interfaz de acceso puede recibir tanto tramas etiquetadas o sin etiquetar.

Un puerto troncal o interfaz troncal puede ser miembro de mltiples VLAN de servicio SVLAN, una VLAN de cliente (C-VLAN) puede ser mapeada a una VLAN de Servicio o mltiples VLAN de cliente a una VLAN de servicio.

Al momento de emplear Q-in-Q se permite tambin poder etiquetar doblemente un paquete, esto para lograr capa adicional de separacin o agrupacin de VLAN de cliente, las VLAN de cliente y las VLAN de servicio son nicas.

En la imagen siguiente se ilustra de forma ms descriptica el funcionamiento de un tnel Q-in-Q al momento de pasar paquetes de un cliente desde un sitio A hacia un sitio B pasando por la red del proveedor de servicio. Adems se puede apreciar la forma en que dentro de la trama original proveniente del equipo del cliente se van agregando los identificadores de VLAN local del cliente como de la VLAN de Servicio del proveedor dentro de la Red.
Figura No.2 Funcionamiento y encapsulado de Identificadores de VLAN 802.1Q-in-Q

Fuente: http://packetlife.net/blog/2010/jul/12/ieee-802-1q-tunneling/

3. Desactivacin de Aprendizaje de MAC

Empleando Q-in-Q, los paquetes de datos de un cliente desde que salen de la interfaz local son transportados sin ningn cambio desde la fuente hasta la MAC de destino, para lograr esto el proveedor de servicios debe aprender y conmutar gran cantidad de direcciones MAC, y esta gran cantidad de direcciones aprendidas se reflejan y repercuten en un bajo rendimiento del canal de transporte. Por tal razn, un administrador de red puede deshabilitar el aprendizaje de direcciones MAC tanto a nivel de interfaz o bien a nivel de VLAN.

Al momento de desactivar el aprendizaje de direcciones MAC en un puerto en especifico, deshabilita el aprendizaje de todas las VLAN de las cuales el puerto es miembro. Cuando se deshabilita el aprendizaje en la VLAN las direcciones MAC aprendidas son descartadas. Cuando una interfaz de VLAN ruteada es asociada con un puerto o VLAN de Servicio donde fue deshabilitado el aprendizaje de MAC, la ruta de los paquetes ser resulta en capa 3 y no en capa 2.

4. Limitaciones de un Tnel Q-in-Q

Una de las principales limitaciones ante el uso de tneles 802.1Q es que no se pueden agregar etiquetas a los paquetes sin identificar de entrada al equipo de cliente, o bien remover la etiqueta de VLAN de cliente hacia la direccin destino, todo esto dentro de la red del proveedor de servicio.

Otro aspecto importante es que al momento de emplear Q-in-Q no existe nivel de compatibilidad con IGMP u otras caractersticas de seguridad para los puertos de acceso.

5. Configuracin Bsica de Tnel 802.1Q-in-Q

Teniendo pleno conocimiento de cmo trabaja un tnel Q-in-Q de acuerdo con los apartados anteriores, se presenta una topologa de configuracin bsica para un tnel Qin-Q. Para el ejemplo se empleara la topologa mostrada en la figura No.1. Los pasos de configuracin son realizados para los equipos de la red del proveedor de servicios.
Figura No.3 Topologa Ejemplo para Configuracin de tnel 802.1Q-in-Q

Fuente: http://irwanp.wordpress.com/2008/06/23/qinq-8021q-tunneling-on-cisco-switches/

Paso 1: Antes iniciar con la configuracin del tnel, se debe verificar que todos los Switches que forman parte de la red suporten un MTU (maximun transmission unit) recomendado de 1504 bytes. Se puede observar el tamao del MTU haciendo uso del comando: Show system mtu. Para hacer un cambio en el tamao del MTU se debe hacer uso del comando system mtu xxx, pero debemos recordar que para que esto surta efecto se deber reiniciar el equipo.

10

Paso 2: Luego de la verificacin o reconfiguracin del MTU se debe configurar el enlace troncal para el transporte de las VLAN de los clientes A y B, para los cuales se han asignado las VLAN de servicio 118 y 209 respectivamente. Para lo anterior se debe configurar un enlace troncal 802.1Q en ambos switches del proveedor de servicios, la ltima lnea de configuracin indica la restriccin del enlace troncal para que nicamente permita el paso de las VLAN 118 y 209

Paso 3: En este paso se debe configurar la interfaz que ser la frontera de conexin con el cliente, para este caso se debe asignar cada interfaz a una VLAN especifica y su modo de operacin en dot1q segn el tnel creado.

Adems se debe habilitar el protocolo de tnel de capa 2 para lograr llevar de forma transparente CDP y otros protocolos de capa 2 entre los equipos terminales del cliente CPEs.

11

Paso 4: Hasta este punto ya el enlace troncal est configurado, por lo tanto se debe realizar una revisin de todas las interfaces que se configuraron como tnel 802.1Q

Con la configuracin realizada el tnel 802.1Q esta complete, cada VLAN de cliente tiene una conectividad de A hacia B completamente transparente.

La imagen siguiente representa una captura tomada con Wireshark y muestra como un paquete ping del cliente es doblemente etiquetada dentro de dos encabezados 802.1Q a todo lo largo de la red de transporte del proveedor de servicios. Cabe sealar que todo el trafico de cliente sin etiquetar, como por ejemplo el trafico a travs de la VLAN 1 nativa es etiquetada una vez por el proveedor de servicios.

12

Figura No.4 Captura de Wireshark para doble etiquetado de VLAN 10 dentro de VLAN 118

Fuente: http://irwanp.wordpress.com/2008/06/23/qinq-8021q-tunneling-on-cisco-switches/

Figura No.5 Captura de Wireshark para doble etiquetado de VLAN 20 dentro de VLAN 209

Fuente: http://irwanp.wordpress.com/2008/06/23/qinq-8021q-tunneling-on-cisco-switches/

13

Conclusiones

14

Fuentes de Consulta

http://www.networkur.com/q-in-q-tunnel-configuration/

http://www.juniper.net/techpubs/en_US/junos9.5/topics/concept/qinq-tunnelingex-series.html

http://irwanp.wordpress.com/2008/06/23/qinq-8021q-tunneling-on-ciscoswitches/

http://ccnprecertification.com/2004/03/17/8021q-tunneling/

15