第05章VLAN高級特性學習目標和素質目標掌握VLAN和Trunk基礎知識和配置實現。掌握MUXVLAN應用場景、工作原理和配置實現。掌握VLAN聚合應用場景、工作原理和配置實現。掌握VLANMapping應用場景、工作原理和配置實現。掌握QinQ應用場景、工作原理和配置實現。激發學生的求真求實意識。提升學生的靈活應變能力。培養學生的進取精神。5.1擴展VLAN技術概述通過在交換機上配置VLAN，可以實現在同一個VLAN內的用戶可以進行二層互訪，而不同VLAN間的用戶被二層隔離。MUXVLAN（MultiplexVLAN）提供了一種通過VLAN進行網絡資源控制的機制。通過MUXVLAN提供的二層流量隔離的機制可以實現企業內部員工之間互相通信，而企業外來訪客之間的互訪是隔離的。VLAN聚合只在super-VLAN接口上配置IP地址，而不必為每個sub-VLAN分配IP地址。VLANMapping可以實現在用戶VLANID（私有VLAN）和運營商VLANID(業務VLAN,也可以說是公有VLAN)之間相互轉換的一個功能。QinQ是基于802.1Q封裝的隧道協議，其核心思想是在用戶私網VLANtag之外封裝公網VLANtag，報文帶著兩層tag穿越公網，從而為用戶提供一種較為簡單的二層VPN隧道。5.1.1VLAN基礎VLAN技術可以將一個物理局域網在邏輯上劃分成多個廣播域,提高了網絡安全性。VLAN技術部署在數據鏈路層，用于隔離二層流量。同一個VLAN內的主機之間可以直接進行二層通信。LAN間的主機屬于不同的廣播域，不能直接實現二層互通。VLAN1VLAN25.1.1VLAN基礎VLAN鏈路分為兩種類型：Access鏈路和Trunk鏈路。用戶主機和交換機之間的鏈路為Access鏈路，交換機與交換機之間的鏈路為Trunk鏈路。TrunkAccessVLAN3VLAN2TrunkTrunkAccessAccessAccessAccess5.1.1VLAN基礎PVID（PortVLANID）表示端口在缺省情況下所屬的VLAN。所有以太網幀在交換機中都是以Tagged的形式來被處理和轉發的，因此交換機必須給端口收到的Untagged數據幀添加上Tag。缺省時X7系列交換機每個端口的PVID都是1。PVID1PVID2PVID2PVID3PVID3PVID1SWASWB主機A主機C主機B主機DVLAN2VLAN2VLAN3VLAN35.1.1VLAN基礎VLAN優點：限制廣播域增強局域網的安全性提高網絡的健壯性靈活構建虛擬工作組VLAN1VLAN25.1.1VLAN基礎VLAN的劃分包括5種方法，基于端口的VLAN劃分方法在實際中最為常見。VLAN5VLAN10基于端口G0/0/1,G0/0/7G0/0/2G0/0/9基于MAC地址00-01-02-03-04-AA00-01-02-03-04-CC00-01-02-03-04-BB00-01-02-03-04-DD基于IP子網劃分10.0.1.*10.0.2.*基于協議劃分IPIPv6基于策略10.0.1.*+G0/0/1+00-01-02-03-04-AA10.0.2.*+G0/0/2+00-01-02-03-04-BBG0/0/1主機A10.0.1.1主機D10.0.2.2主機B10.0.2.1主機C10.0.1.2G0/0/2G0/0/7G0/0/9SWA5.1.1VLAN基礎在交換機上執行vlanvlan-id命令，創建VLAN。執行vlanbatch命令可以創建多個VLAN。在交換機上執行portlink-typeaccess命令配置Access端口。執行portdefaultvlanvlan-id命令，把端口加入VLAN。[SWA]vlan10[SWA-vlan10]quit[SWA]vlanbatch2to3[SWA]interfaceGigabitEthernet0/0/5[SWA-GigabitEthernet0/0/5]portlink-typeaccess[SWA-GigabitEthernet0/0/5]portdefaultvlan2[SWA]interfaceGigabitEthernet0/0/7[SWA-GigabitEthernet0/0/7]portlink-typeaccess[SWA-GigabitEthernet0/0/7]portdefaultvlan2SWASWBG0/0/1G0/0/7G0/0/5主機A主機D主機B主機C5.1.1VLAN基礎驗證VLAN配置結果執行displayvlan

[

vlan-id

[

verbose

]]命令，可以查看指定VLAN的詳細信息。執行displayvlan

vlan-id

statistics命令，可以查看指定VLAN中的流量統計信息。執行displayvlan

summary命令，可以查看系統中所有VLAN的匯總信息。[SWA]displayvlanThetotalnumberofvlansis:2------------------------------------------------------------U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;--------------------------------------------------------------VIDTypePorts--------------------------------------------------------------2commonUT:GE0/0/5(U)GE0/0/7(U)5.1.1VLAN基礎Trunk技術使得在一條物理線路上可以傳送多個VLAN的信息。當Trunk端口收到幀時，如果該幀不包含Tag，將添加上端口的PVID；如果該幀包含Tag，則不改變。當Trunk端口發送幀時，該幀的VLANID在Trunk的允許發送列表中：若與端口的PVID相同時，則剝離Tag發送；若與端口的PVID不同時，則直接發送。主機A主機C主機B主機DUntaggedUntaggedFrame20UntaggedSWASWBUntaggedUntaggedPVID1PVID20PVID1PVID20PVID1PVID15.1.1VLAN基礎VLANIEEE802.1Q幀格式中，VLAN標簽長4個字節，直接添加在以太網幀頭中。通過Tag區分不同VLAN。沒有攜帶Tag的幀攜帶Tag的幀0x8100PRICFIVLANID（12b）2bytes2bytesDMACDataSMACTypeFCS6bytes6bytes2bytes46-1500bytes4bytesDMACDataSMACTypeFCS6bytes6bytes2bytes46-1500bytes4bytesTagTPIDTCI4bytes5.1.1VLAN基礎配置Trunk端口：portlink-typetrunk命令修改端口的類型為Trunkporttrunkallow-passvlan

{{

vlan-id1

[

to

vlan-id2

]}|

all

}命令配置端口允許的VLANporttrunkpvidvlan

vlan-id命令可以修改Trunk端口的PVID[SWA-GigabitEthernet0/0/1]portlink-typetrunk[SWA-GigabitEthernet0/0/1]porttrunkallow-passvlan23SWASWBG0/0/1G0/0/1主機A主機D主機B主機C5.1.1VLAN基礎驗證Trunk配置，TG表明該端口在轉發對應VLAN的數據幀時，不會剝離標簽，直接進行轉發。[SWA]displayvlanThetotalnumberofvlansis:4------------------------------------------------------------U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;--------------------------------------------------------------VIDTypePorts--------------------------------------------------------------1commonUT:GE0/0/1(U)……2commonUT:GE0/0/7(D)TG:GE0/0/1(U)

commonUT:GE0/0/5(U)TG:GE0/0/1(U)10common……5.1.2MUXVLAN

MuxVLAN基本原理:MUXVLAN提供了一種在VLAN的端口間進行二層流量隔離的機制。部門AVLAN2部門AVLAN2部門BVLAN2部門BVLAN2Server部門A的員工之間不能互訪，而部門B的員工之間可以互訪，但是部門A和部門B不能互訪，而公司所有員工均可以訪問公司的服務器。5.1.2MUXVLANMUXVLAN分為主VLAN（PrincipalVLAN）和從VLAN（SubordinateVLAN），SubordinateVLAN又分為隔離VLAN（SeparateVLAN）和、互通VLAN（GroupVLAN）。SeparateportPrincipalportGroupportMUXVLANPrincipalVLANSeparateVLANGroupVLANPrincipalport可以和MUXVLAN內的所有接口進行通信。Separateport只能和Principalport進行通信，和其他類型的接口實現完全隔離。每個SeparateVLAN必須綁定一個PrincipalVLAN。Groupport可以和Principalport進行通信，在同一組內的接口也可互相通信，但不能和其他組接口或Separateport通信。每個GroupVLAN必須綁定一個PrincipalVLAN。綁定SubordinateVLAN5.1.2MUXVLANMUXVLAN應用舉例：根據MUXVLAN特性，企業可以用主接口連接企業服務器，隔離接口連接企業客戶，互通接口連接企業員工。這樣就能夠實現企業客戶、企業員工都能夠訪問企業服務器，而企業員工內部可以通信、企業客戶間不能通信、企業客戶和企業員工之間不能互訪的目的。5.1.2MUXVLANMUXVLAN配置步驟：VLAN視圖下執行mux-vlan命令配置主VLAN的MUXVLAN功能。VLAN視圖下執行subordinategroup{

vlan-id1

[

to

vlan-id2

]}命令配置GroupVLAN功能。一個主VLAN下最多配置128個GroupVLAN。VLAN視圖下執行subordinateseparatevlan-id命令配置SeparateVLAN功能。一個主VLAN下只能配置一個SeparateVLAN。接口視圖下執行portmux-vlanenablevlanvlan-id命令使能接口MUXVLAN功能。5.1.2MUXVLANMUXVLAN配置舉例SW1配置如下：[SW1]vlanbatch102030100 #創建所有VLAN[SW1]vlan100[SW1-vlan100]mux-vlan #指定VLAN100為主VLAN

[SW1-vlan100]subordinategroup1020#指定VLAN10，20為互通型從VLAN[SW1-vlan100]subordinateseparate30#指定VLAN30為隔離型從VLAN[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typeaccess[SW1-GigabitEthernet0/0/1]portdefaultvlan10[SW1-GigabitEthernet0/0/1]portmux-vlanenablevlan10#接口加入相關VLAN，并且激活MUXVLAN功能#其他接口與GE0/0/1配置類似，此處省略PC1PC2PC3PC4PC5PC6部門AVLAN10部門BVLAN20訪客區VLAN30SW1ServerGE0/0/1GE0/0/2GE0/0/3GE0/0/4GE0/0/5GE0/0/6GE0/0/24VLAN1005.1.2MUXVLAN查看VLAN配置結果，通過ping命令檢測PC5（192.168.1.5/24）與PC6（192.168.1.6/24）之間的網絡連通性。[SW1]displayvlanThetotalnumberofvlansis:5------------------------------------------------------------------------------U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;------------------------------------------------------------VIDTypePorts------------------------------------------------------------10mux-subUT:GE0/0/1(U)GE0/0/2(U)20mux-subUT:GE0/0/3(U)GE0/0/4(U)30mux-subUT:GE0/0/5(U)GE0/0/6(U)100muxUT:GE0/0/24(U)PC1PC2PC3PC4PC5PC6部門AVLAN10部門BVLAN20訪客區VLAN30SW1ServerGE0/0/1GE0/0/2GE0/0/3GE0/0/4GE0/0/5GE0/0/6GE0/0/24VLAN1005.1.3VLAN聚合通過VLAN接口實現VLAN間通信時，需要為每個VLAN的VLAN接口配置一個IP地址。如果VLAN很多，將占用許多IP地址資源，導致IP地址的浪費。VLAN聚合,也稱為Super-VLAN，就是在一個物理網絡內，用多個VLAN隔離廣播域，使不同的VLAN屬于同一個子網。用于隔離廣播域的VLAN叫做sub-VLAN，與該子網對應的VLAN叫做super-VLAN。多個sub-VLAN組成一個super-VLAN。不同sub-VLAN下的主機不能互通。5.1.3VLAN聚合在一般的三層交換機中，通常是采用一個VLAN對應一個VLANIF接口的方式實現廣播域之間的互通，這在某些情況下導致了IP地址的浪費。因為一個VLAN對應的子網中，子網號、子網廣播地址、子網網關地址不能用作VLAN內的主機IP地址，且子網中實際接入的主機可能少于可用IP地址數量，空閑的IP地址也會因不能再被其他VLAN使用而被浪費掉。VLAN10192.168.1.0/26VLAN20192.168.1.64/26VLAN30192.168.1.128/26網關：VLANIF10：192.168.1.62/26VLANIF20：192.168.1.126/26VLANIF30:：192.168.1.190/26如何既能實現廣播域的劃分，又可以避免IP地址的浪費呢？？5.1.3VLAN聚合VLAN聚合（VLANAggregation，也稱Super-VLAN）:指在一個物理網絡內，用多個VLAN（稱為Sub-VLAN）隔離廣播域，并將這些Sub-VLAN聚合成一個邏輯的VLAN（稱為Super-VLAN），這些Sub-VLAN使用同一個IP子網和缺省網關，進而達到節約IP地址資源的目的。Sub-VLAN：只包含物理接口，不能建立三層VLANIF接口，用于隔離廣播域。每個Sub-VLAN內的主機與外部的三層通信是靠Super-VLAN的三層VLANIF接口來實現的。Super-VLAN：只建立三層VLANIF接口，不包含物理接口，與子網網關對應。與普通VLAN不同，Super-VLAN的VLANIF接口狀態取決于所包含Sub-VLAN的物理接口狀態。Sub-VLAN10廣播域1Sub-VLAN20廣播域2Sub-VLAN30廣播域3Super-VLAN100VLANIF100:192.168.1.254/24192.168.1.0/245.1.3VLAN聚合每個Sub-VLAN對應一個廣播域，多個Sub-VLAN和一個Super-VLAN關聯，只給Super-VLAN分配一個IP子網，所有Sub-VLAN都使用Super-VLAN的IP子網和缺省網關進行三層通信。Sub-VLAN10192.168.1.0-192.168.1.63/24Sub-VLAN20192.168.1.64-192.168.1.127/24Sub-VLAN30192.168.1.128-192.168.1.191/24所有主機的默認網關都是192.168.1.254/24Super-VLAN100VLANIF100:192.168.1.254/245.1.3VLAN聚合傳統VLAN方式每一個VLAN需要劃分不同的IP地址網段，在本例中需要耗費4個IP網段和產生4條路由條目；Super-VLAN方式只需要分配一個IP地址網段，下屬二層VLAN共用同一個IP地址網段，共用同一個三層網關，同時VLAN之間保持二層隔離。三層網關三層網關VLAN210.10.1.0/24VLAN310.10.2.0/24VLAN410.10.3.0/24VLAN510.10.4.0/24VLAN210.10.1.0/24VLAN310.10.1.0/24VLAN410.10.1.0/24VLAN510.10.1.0/24四個VLAN，四個網關Super-VLAN8分支網絡分支網絡四個子VLAN，一個聚合VLAN的VLANIF作為網關傳統VLAN劃分分支網絡中每個業務分配一個VLAN，每個VLAN分配一個網段。Super-VLAN劃分分支網絡采用一個Super-VLAN聚合所有二層VLAN，所有二層VLAN共享同一個IP網段，同時保證二層隔離。5.1.3VLAN聚合相同Sub-VLAN內部通信：同一個Sub-VLAN之間屬于同一個廣播域，因此相同Sub-VLAN之間可以通過二層直接通信。二層通信二層通信Sub-VLAN10192.168.1.0/24Sub-VLAN20192.168.1.0/24Super-VLAN100VLANIF100:192.168.1.254/245.1.3VLAN聚合Super-VLANVLANIF100開啟ARP代理之后PC1和PC2之間通信過程如下：PC1發現PC2與自己在同一網段，且自己ARP表無PC2對應表項，則直接發送ARP廣播請求PC2的MAC地址。作為網關的Super-VLAN對應的VLANIF100收到PC1的ARP請求，由于網關上使能Sub-VLAN間的ARP代理功能，則向Super-VLAN100的所有Sub-VLAN接口發送一個ARP廣播，請求PC2的MAC地址。PC2收到網關發送的ARP廣播后，對此請求進行ARP應答。網關收到PC2的應答后，就把自己的MAC地址回應給PC1，PC1之后要發給PC2的報文都先發送給網關，由網關做三層轉發。SuperVLAN100VLANIF100：192.168.1.254/241243PC1Sub-VLAN10192.168.1.1/24PC2Sub-VLAN20192.168.1.129/24開啟ARP代理功能5.1.3VLAN聚合Sub-VLAN與外部網絡的三層通信:當Sub-VLAN內的PC需要與其他網絡進行三層通信時，首先將數據發往默認網關，即Super-VLAN對應的VLANIF，再進行路由。

5.1.3VLAN聚合[Huawei-vlan100]aggregate-vlan創建Super-VLANSuper-VLAN中不能包含任何物理接口，VLAN1不能配置為Super-VLAN。Super-VLAN中的VLANID與Sub-VLAN中的VLANID必須使用不同的VLANID。[Huawei-vlan100]access-vlan{vlan-id1[to

vlan-id2]}將Sub-VLAN加入Super-VLAN將Sub-VLAN加入到Super-VLAN中時，必須保證Sub-VLAN沒有創建對應的VLANIF接口。[Huawei-vlanif100]arp-proxyinter-sub-vlan-proxyenable（可選）使能Super-VLAN對應的VLANIF接口的ProxyARP使能Sub-VLAN間的ProxyARP功能。5.1.3VLAN聚合VLAN聚合配置舉例[S1]vlanbatch2to310[S1]vlan10[S1-vlan10]aggregate-vlan//將VLAN10配置為SuperVLAN[S1-vlan10]access-vlan2to3//將SubVLAN加入SuperVLAN中[S1]interfaceVlanif10[S1-Vlanif10]ipaddress10.1.1.254255.255.255.0[S1-Vlanif10]arp-proxyinter-sub-vlan-proxyenable//啟動VLAN間ProxyARP功能[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typeaccess[S1-GigabitEthernet0/0/1]portdefaultvlan2[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]portlink-typeaccess[S1-GigabitEthernet0/0/2]portdefaultvlan3S1的配置如下：5.1.3VLAN聚合驗證VLAN聚合配置：<S1>displayvlan2to10--------------------------------------------------------------------------------U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;--------------------------------------------------------------------------------VIDTypePorts--------------------------------------------------------------------------------2

sub

UT:GE0/0/1(U)3

subUT:GE0/0/2(U)super

<S1>displayarpIPADDRESSMACADDRESSEXPIRE(M)TYPEINTERFACEVPN-INSTANCEVLAN------------------------------------------------------------------------------10.1.1.2544c1f-cc4d-689cI-Vlanif1010.1.1.25489-98a8-29de8D-0GE0/0/2310.1.1.15489-98e9-5c7b20D-0GE0/0/12------------------------------------------------------------------------------Total:3Dynamic:2Static:0Interface:15.1.4VLANMappingVLANMapping也叫做VLANtranslation，可以實現在用戶VLANID（私有VLAN）和運營商VLANID(業務VLAN,也可以說是公有VLAN)之間相互轉換的一個功能。通過替換VLANTag實現VLAN匯聚功能，使用戶業務按照運營商的網絡規劃進行傳輸。5.1.4VLANMappingVLANMapping發生在報文從入端口接收進來之后，從出端口轉發出去之前。當在端口配置了VLANID映射后，端口在向外發送本地VLAN的幀時，將幀中的VLANTag替換成外部VLAN的VLANTag；在接收外部VLAN的幀時，將幀中的VLANTag替換成本地VLAN的VLANTag，這樣不同VLAN間就實現了互相通信。InternetVLANMappingfrom100to10VLANMappingfrom10to100VLAN10VLAN100VLAN100VLAN10VLAN10GE1/0/15.1.4VLANMappingVLANMapping應用場景5.1.4VLANMappingVLANMapping的配置步驟：接口視圖下執行portlink-typetrunk命令配置鏈路類型為Trunk。接口視圖下執行qinqvlan-translationenable命令使能接口VLAN轉換功能。接口視圖下執行portvlan-mappingvlanvlan-id1[tovlan-id2]map-vlanvlan-id3命令配置接口的單層Tag的VLANMapping功能。5.1.4VLANMappingVLANMapping配置舉例[S1]vlanbatch2100[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typetrunk[S1-GigabitEthernet0/0/1]porttrunkallow-passvlan100[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]qinqvlan-translationenable[S1-GigabitEthernet0/0/2]portlink-typetrunk[S1-GigabitEthernet0/0/2]porttrunkallow-passvlan2100[S1-GigabitEthernet0/0/2]portvlan-mappingvlan2map-vlan100[S2]vlanbatch3100[S2]interfaceGigabitEthernet0/0/1[S2-GigabitEthernet0/0/1]portlink-typetrunk[S2-GigabitEthernet0/0/1]porttrunkallow-passvlan100[S2]interfaceGigabitEthernet0/0/2[S2-GigabitEthernet0/0/2]qinqvlan-translationenable[S2-GigabitEthernet0/0/2]portlink-typetrunk[S2-GigabitEthernet0/0/2]porttrunkallow-passvlan3100[S2-GigabitEthernet0/0/2]portvlan-mappingvlan3map-vlan1005.1.4VLANMapping驗證VLANMapping配置[S1]displayvlan100--------------------------------------------------------------------------------U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;--------------------------------------------------------------------------------VIDTypePorts--------------------------------------------------------------------------------100commonTG:GE0/0/1(U)GE0/0/2(U)

MP:GE0/0/2(U)5.1.5QinQ隨著以太網技術在網絡中的大量部署，利用VLAN對用戶進行隔離和標識受到很大限制。因為IEEE802.1Q中定義的VLANTag域只有12個比特，僅能表示4096個VLAN，無法滿足城域以太網中標識大量用戶的需求，于是QinQ技術應運而生。QinQ（802.1Qin802.1Q）技術是一項擴展VLAN空間的技術，通過在802.1Q標簽報文的基礎上再增加一層802.1Q的Tag來達到擴展VLAN空間的功能。如下圖所示用戶報文在公網上傳遞時攜帶了兩層Tag，內層是私網Tag，外層是公網Tag。私網Tag公網Tag用戶報文企業總部企業分支Publicnetwork5.1.5QinQQinQ的核心思想是將用戶私網VLANTag封裝在公網VLANTag中，報文帶著兩層Tag穿越網絡運營商的骨干網絡，從而為用戶提供一種較為簡單的二層VPN隧道。Trunk

VLAN200-300TrunkVLAN200-300QinQ協議接入端口屬于VLAN3SWBSWCISPNetworkTrunkVLAN200-300SWA主機ALANASWD主機BLANBInternetQinQ協議接入端口屬于VLAN35.1.5QinQQinQ封裝報文是在無標簽的以太網數據幀的源MAC地址字段后面加上兩個VLAN標簽構成。PRIVLANID（12bit）CFI0x8100TPIDTCIDATA外層TAGSAFCSTYPE內層TAGDADATASAFCSTYPE/LENGTHDAUntaggedFrameQinQ封裝QinQ工作原理在公網的傳輸過程中，設備只根據外層VLANTag轉發報文，并根據報文的外層VLANTag進行MAC地址學習，而用戶的私網VLANTag將被當作報文的數據部分進行傳輸。即使私網VLANTag相同，也能通過公網VLANTag區分不同用戶。企業A報文企業B報文QinQ接入端口企業A企業B企業A企業BPE1PE2CE1CE2CE4CE3VLAN1-20VLAN1-20VLAN1-10VLAN1-10VLAN3VLAN41-101~2041~1031-20PublicnetworkVLAN4VLAN31-201-10QinQ實現方式-基本QinQ

基本QinQ的報文處理過程:SW1收到VLANID為10和20的報文，將該報文發給SW2。SW2收到該報文后，在該報文原有Tag的外側再添加一層VLANID為100的外層Tag。帶著兩層Tag的用戶數據報文在網絡中按照正常的二層轉發流程轉發。SW3收到VLAN100的報文后，剝離報文的外層Tag（VLANID為100）。將報文發送給SW4，此時報文只有一層Tag（VLANID為10或20）。SW4收到該報文，根據VLANID和目的MAC地址進行相應的轉發。VLAN10VLAN20VLAN10VLAN20用戶報文VLANTAG10SW2SW3SW4SW12010201010020100QinQ實現方式-基本QinQ

QinQ配置舉例-基本QinQSW1SW2GE0/0/1GE0/0/2GE0/0