nocip.ssh@mail.ru
Главная  >  Cisco Switching

Cisco QinQ

Создана 16.05.2026
Отредактирована 16.05.2026
QinQ (произносится "вин-вин") — это технология, также известная как IEEE 802.1ad или двойное тегирование VLAN. В оборудовании Cisco она позволяет добавлять второй внешний тег VLAN к уже существующему тегу кадра Ethernet
Простыми словами, это «матрёшка» для VLAN-тегов, которая решает главную проблему: ограничение в 4096 VLAN недостаточно для крупных провайдеров.

Как это работает

Обычный Ethernet-кадр имеет один тег VLAN (Customer Tag, или C-Tag) . При использовании QinQ провайдер "заворачивает" его в ещё один тег (Service Tag, или S-Tag).
  • Внутренний тег (C-Tag): Принадлежит клиенту. Клиент может использовать свои собственные VLAN ID (например, 10, 20, 100), даже не сообщая провайдеру.
  • Внешний тег (S-Tag): Принадлежит провайдеру. Он изолирует трафик одного клиента от другого в сети оператора.

Типы QinQ в Cisco:

  1. Layer 2 QinQ (Туннелирование 802.1Q): Классический режим. Трафик коммутируется на втором уровне модели OSI. Порт, который принимает кадры от клиента, настраивается как dot1q-tunnel port . Часто используется в сочетании с L2PT (Layer 2 Protocol Tunneling) для проброса протоколов клиента (CDP, STP) через сеть оператора.
  2. Layer 3 QinQ: Более сложная функция. Позволяет маршрутизировать трафик с двойными тегами. Это используется в VPN уровня L3, позволяя создавать огромное количество виртуальных интерфейсов (до 4094*4094) на одном физическом порту.

Зачем это нужно (Основные сценарии)

  1. Решение проблемы 4094 VLAN: Оператор может обслуживать тысячи клиентов, у каждого из которых может быть своя нумерация VLAN (даже пересекающаяся с другими клиентами), не смешивая их трафик.
  2. Прозрачность для клиента: Клиент не знает, что его трафик проходит через чужую сеть. Он продолжает управлять своими VLAN (например, создавать транки между своими офисами), как если бы они были соединены прямым проводом.
  3. Увеличение адресного пространства: Теоретически позволяет создать до 16 миллионов (4096 × 4096) изолированных каналов передачи данных.

Сравнение с Private VLAN

Важно не путать QinQ с Private VLAN (PVLAN). Это принципиально разные вещи:
  • QinQ (Инкапсуляция): Добавляет второй тег. Решает проблему масштабирования сети оператора и разделения клиентов на магистральном уровне.
  • Private VLAN (Фильтрация): Работает внутри одного VLAN. Решает проблему изоляции хостов друг от друга на коммутаторе доступа (чтобы клиенты не видели друг друга, но видели шлюз).

Пример конфигурации на Cisco IOS

Обычно на стороне клиента порт настроен как Trunk (передает свои теги). На стороне оператора порт на коммутаторе доступа к сети настроен как Access в определенный VLAN, но с функцией туннелирования. Команды выглядят так: 
interface GigabitEthernet0/1
 description srv-v01
 switchport mode dot1q-tunnel
 switchport access vlan 100
 no shutdown
Как это работает:
  • Клиент присылает кадр с тегом VLAN 10.
  • Коммутатор Cisco получает его на порту dot1q-tunnel.
  • Коммутатор добавляет сверху тег VLAN 100 (S-Tag).
  • В магистрали сети оператора кадр гуляет с двумя тегами (100 → 10).
  • На выходе у другого клиентского порта внешний тег 100 снимается, и клиент получает свой родной кадр с тегом 10.

Важное замечание по совместимости

  • Стандарт: Изначально Cisco использовала термин QinQ. Позже появился стандарт IEEE 802.1ad (теперь часть 802.1Q). В современных руководствах Cisco часто можно встретить именно IEEE 802.1ad как синоним QinQ.
  • EtherType: В зависимости от оборудования (Cisco Nexus, старые Catalyst) внешний тег может использовать разные EtherType (0x8100, 0x88a8, 0x9100). При стыковке оборудования важно, чтобы эти значения совпадали.