Trabajo de Investigacion - Q-InQ - Neithan

5/17/2018 Trabajo de Investigacion - Q-InQ - Neithan - slidepdf.com

http://slidepdf.com/reader/full/trabajo-de-investigacion-q-inq-neithan 1/15

UNIVERSIDAD LATINA DE COSTA RICA – SEDE HEREDIA

CONMUTACION Y ENRUTAMIENTO INTERMEDIOS

MAESTRÍA EN REDES Y TELEMÁTICA

802.1Q

Q-in-Q Tunneling

Profesor: Carlos Alfaro Briseño

Alumnos:

Neithan Rojas

Héctor Brenes

Malber

Luis Sibaja

Diciembre 2011 – IV Trimestre



2

Índice

Objetivos ............................................................................................................................................. 3

Introducción ........................................................................................................................................ 4

1. 802.1 Q-in-Q: Descripción. .......................................................................................................... 5

2. Funcionamiento de Túneles Q-in-Q ............................................................................................ 7

3. Desactivación de Aprendizaje de MAC ....................................................................................... 9

4. Limitaciones de un Túnel Q-in-Q ................................................................................................. 9

5. Configuración Básica de Túnel 802.1Q-in-Q ............................................................................. 10

Conclusiones ..................................................................................................................................... 14

Fuentes de Consulta .......................................................................................................................... 15



3

Objetivos

Objetivo General:

Conocer el concepto global de utilización

Objetivos Específicos:

1. Describir las características y operación del Estándar 802.1Q-in-Q dentro de una

red de un proveedor de servicios.

2. Conocer las principales limitaciones al momento de emplear túneles Q-in-Q

3. Presentar una topología simple donde se ejemplifique la configuración básica de

un túnel 802.1Q-in-Q así como capturas de Wireshark para demostrar el doble

etiquetado de paquetes.



4

Introducción

Hoy en día es de uso común que muchos proveedores de servicio regionales o

internacionales quieran y pretendan ofrecer servicios de red LAN transparente que

preserve y brinde la posibilidad de extender las redes LAN virtuales (VLAN) de clientes

específicos desde una oficina a otra, así como de todos los privilegios de acceso y

características que se brindan en una red local, todo esto a través de una red MAN o

WAN.

De acuerdo con esta necesidad los proveedores de servicio han adoptado el estándar de

CISCO 802.1Q también conocido como CISCO 802.1Q-in-Q el cual brinda la posibilidad y el

soporte para crear túneles virtuales dentro de redes MAN y WAN desde un cliente a otro.

Siguiendo la línea de comprensión de la temática 802.1Q-in-Q se presentara a

continuación aspectos teóricos de las características y operación de este estándar así

como su principal uso mediante un ejemplo general.



5

1. 802.1 Q-in-Q: Descripción.

De acuerdo con el modo de comprensión del concepto formulado el marco introductorio

se puede definir que el estándar CISCO 802.1Q habilita a los proveedores de servicio de un

medio para transportar de forma segura la totalidad de las VLAN de un cliente a través del

backbone de red MAN o WAN instalado haciendo uso únicamente de una VLAN como

identificador dentro de la red de transporte desde un punto A hasta un punto B.

En este caso para brindar un descriptor dentro de la red del proveedor de servicio se

añade en el equipo de borde del cliente-proveedor una etiqueta en el trafico del cliente,

esta etiqueta asigna un numero único de identificación de VLAN según sea asignado a los

diferentes clientes, este identificador permite mantener el trafico de cada usuario

separado y principalmente de forma privada.

Esta identificación o marcado de paquetes de trafico de clientes permite enviar a lo largo

de la red de un proveedor de servicio hasta 4096 VLAN, todo esto a través de un único

puerto o túnel configurado para el cliente en especifico. Todas las VLAN de cliente que se

configuran para ser enviadas por el puerto túnel son transportadas de forma separada y

privada por una única VLAN de identificación del proveedor de servicio.

Lo antes mencionado hace referencia a que los proveedores de servicio no tienen que

asignar un identificador o VLAN ID para cada VLAN que los clientes quieran pasar a través

de la red, de lo contrario rápidamente un proveedor de servicio consumiría el total

permitido por la tecnología Ethernet 802.1Q que es de 4096 IDs de VLAN.

Partiendo de la descripción anterior podemos interpretar porque se le asigna el nombre

802.1Q-in-Q a esta tecnología de túnel: Este debido a que se encapsulan múltiples VLAN

802.1Q de clientes dentro de una única VLAN 802.1Q de un proveedor de servicio.



6

Además se considera de gran importancia mencionar que al momento de que un

proveedor de servicios brinda el servicio de trasporte de VLAN de clientes via 802.1Q

tunneling demuestra a los clientes que posee una red enfocada de forma escalable al

ofrecimiento de servicios Ethernet de extremo a extremo, lo que permite no solo el tráfico

de datos de clientes sino que además habilita al cliente para el transporte de servicios en

capa 2 como lo son Spanning Tree, CDP (Cisco Discovery Protocol, VLAN Trunking Protocol,

entre otros).

En pocas palabras, Q-in-Q permite a un proveedor de servicio brindarle a los clientes

puertos de acceso que son mapeados a una VLAN dentro de la red de transporte,

permitiendo además que el usuario utilice un túnel dot1Q sin tener que preocuparse por

las colisiones generadas por los choques de VLAN ID.

Un puerto configurado para soportar 802.1Q tunneling es llamado o conocido como

tunnel port, este puerto está ubicado del lado del equipo del proveedor de servicios. EL

cliente únicamente debe configurar el puerto local de conexión hacia la red borde como

un puerto 802.1Q regular. Dentro de la nube de transporte del proveedor de servicios la

información de cliente se transporta como si fueran un enlace troncal entre puertos

dot1q. La imagen siguiente ilustra una forma simplificada de este comportamiento.

Figura No.1Comportamiento Simplificado 802.1Q-in-Q

Fuente: http://irwanp.wordpress.com/2008/06/23/qinq-8021q-tunneling-on-cisco-switches/



7

2. Funcionamiento de Túneles Q-in-Q

Al momento de configurar y hacer uso de un túnel Q-in-Q, tal y como se ha definido un

paquete viaja desde una VLAN del cliente hacia una VLAN del proveedor de servicio,donde al momento de encapsularse dentro de la VLAN del proveedor de servicio los

paquetes son etiquetados según un numero de VLAN ID referente al estándar 802.1Q.

Este etiquetado adicional que se le realiza a los paquetes es usado para separar el tráfico

dentro de la VLAN de servicio definida (S-VLAN). La etiqueta original del paquete puesta

por el cliente permanece invariante y se transmite de forma transparente a lo largo de

toda la red de transporte del proveedor de servicios, al momento de entrar o salir de la

red del proveedor la etiqueta puesta por la S-VLAN es removida, dejando la información

del cliente tal y como se envío desde la oficina fuente.

Cuando un túnel Q-in-Q está habilitado, las interfaces troncales para el transporte de los

datos se consideran como parte de la red del proveedor de servicio, y las interfaces de

acceso se asocian como el punto de partida de cara al cliente. Una interfaz de acceso

puede recibir tanto tramas etiquetadas o sin etiquetar.

Un puerto troncal o interfaz troncal puede ser miembro de múltiples VLAN de servicio S-

VLAN, una VLAN de cliente (C-VLAN) puede ser mapeada a una VLAN de Servicio o

múltiples VLAN de cliente a una VLAN de servicio.

Al momento de emplear Q-in-Q se permite también poder etiquetar doblemente un

paquete, esto para lograr capa adicional de separación o agrupación de VLAN de cliente,

las VLAN de cliente y las VLAN de servicio son únicas.



8

En la imagen siguiente se ilustra de forma más descriptica el funcionamiento de un túnel

Q-in-Q al momento de pasar paquetes de un cliente desde un sitio A hacia un sitio B

pasando por la red del proveedor de servicio. Además se puede apreciar la forma en que

dentro de la trama original proveniente del equipo del cliente se van agregando los

identificadores de VLAN local del cliente como de la VLAN de Servicio del proveedor

dentro de la Red.

Figura No.2Funcionamiento y encapsulado de Identificadores de VLAN 802.1Q-in-Q

Fuente: http://packetlife.net/blog/2010/jul/12/ieee-802-1q-tunneling/



9

3. Desactivación de Aprendizaje de MAC

Empleando Q-in-Q, los paquetes de datos de un cliente desde que salen de la interfaz local

son transportados sin ningún cambio desde la fuente hasta la MAC de destino, para lograr

esto el proveedor de servicios debe aprender y conmutar gran cantidad de direcciones

MAC, y esta gran cantidad de direcciones aprendidas se reflejan y repercuten en un bajo

rendimiento del canal de transporte. Por tal razón, un administrador de red puede

deshabilitar el aprendizaje de direcciones MAC tanto a nivel de interfaz o bien a nivel de

VLAN.

Al momento de desactivar el aprendizaje de direcciones MAC en un puerto en especifico,

deshabilita el aprendizaje de todas las VLAN de las cuales el puerto es miembro. Cuando

se deshabilita el aprendizaje en la VLAN las direcciones MAC aprendidas son descartadas.

Cuando una interfaz de VLAN ruteada es asociada con un puerto o VLAN de Servicio donde

fue deshabilitado el aprendizaje de MAC, la ruta de los paquetes será resulta en capa 3 y

no en capa 2.

4. Limitaciones de un Túnel Q-in-Q

Una de las principales limitaciones ante el uso de túneles 802.1Q es que no se pueden

agregar etiquetas a los paquetes sin identificar de entrada al equipo de cliente, o bien

remover la etiqueta de VLAN de cliente hacia la dirección destino, todo esto dentro de la

red del proveedor de servicio.

Otro aspecto importante es que al momento de emplear Q-in-Q no existe nivel de

compatibilidad con IGMP u otras características de seguridad para los puertos de acceso.



10

5. Configuración Básica de Túnel 802.1Q-in-Q

Teniendo pleno conocimiento de cómo trabaja un túnel Q-in-Q de acuerdo con los

apartados anteriores, se presenta una topología de configuración básica para un túnel Q-in-Q. Para el ejemplo se empleara la topología mostrada en la figura No.1. Los pasos de

configuración son realizados para los equipos de la red del proveedor de servicios.

Figura No.3Topología Ejemplo para Configuración de túnel 802.1Q-in-Q


Paso 1:

Antes iniciar con la configuración del túnel, se debe verificar que todos los Switches que

forman parte de la red suporten un MTU (maximun transmission unit) recomendado de

1504 bytes.

Se puede observar el tamaño del MTU haciendo uso del comando: Show system mtu. Para

hacer un cambio en el tamaño del MTU se debe hacer uso del comando system mtu xxx,

pero debemos recordar que para que esto surta efecto se deberá reiniciar el equipo.



11

Paso 2:

Luego de la verificación o reconfiguración del MTU se debe configurar el enlace troncal

para el transporte de las VLAN de los clientes A y B, para los cuales se han asignado las

VLAN de servicio 118 y 209 respectivamente.

Para lo anterior se debe configurar un enlace troncal 802.1Q en ambos switches del

proveedor de servicios, la última línea de configuración indica la restricción del enlace

troncal para que únicamente permita el paso de las VLAN 118 y 209

Paso 3:

En este paso se debe configurar la interfaz que será la frontera de conexión con el cliente,

para este caso se debe asignar cada interfaz a una VLAN especifica y su modo de

operación en dot1q según el túnel creado.

Además se debe habilitar el protocolo de túnel de capa 2 para lograr llevar de forma

transparente CDP y otros protocolos de capa 2 entre los equipos terminales del cliente

CPEs.



12

Paso 4:

Hasta este punto ya el enlace troncal está configurado, por lo tanto se debe realizar una

revisión de todas las interfaces que se configuraron como túnel 802.1Q

Con la configuración realizada el túnel 802.1Q esta complete, cada VLAN de cliente tiene

una conectividad de A hacia B completamente transparente.

La imagen siguiente representa una captura tomada con Wireshark y muestra como un

paquete ping del cliente es doblemente etiquetada dentro de dos encabezados 802.1Q a

todo lo largo de la red de transporte del proveedor de servicios. Cabe señalar que todo el

trafico de cliente sin etiquetar, como por ejemplo el trafico a través de la VLAN 1 nativa es

etiquetada una vez por el proveedor de servicios.



13

Figura No.4Captura de Wireshark para doble etiquetado de VLAN 10 dentro de VLAN 118


Figura No.5Captura de Wireshark para doble etiquetado de VLAN 20 dentro de VLAN 209




14

Conclusiones



15

Fuentes de Consulta

http://www.networkur.com/q-in-q-tunnel-configuration/

http://www.juniper.net/techpubs/en_US/junos9.5/topics/concept/qinq-tunneling-

ex-series.html

http://irwanp.wordpress.com/2008/06/23/qinq-8021q-tunneling-on-cisco-

switches/

http://ccnprecertification.com/2004/03/17/8021q-tunneling/

Trabajo de Investigacion - Q-InQ - Neithan

Documents

Transcript of Trabajo de Investigacion - Q-InQ - Neithan