Настройка selective qinq на коммутаторах MES

Данная функция позволяет на основе сконфигурированных правил фильтрации по номерам внутренних VLAN (Customer VLAN) производить добавление внешнего SPVLAN (Service Provider’s VLAN), подменять Customer VLAN, а также запрещать прохождения трафика.

!!! В режиме acl-only команды конфигурирования правил Selective Q-in-Q недоступны

!!! Наличие хотя бы одного правила Selective Q-in-Q на интерфейсе запрещает включение функции логирования широковещательного шторма на этом интерфейсе.

Рассмотрим несколько типовых примеров настройки Sqinq

1) Задача: пропустить vlan 31 без изменения, на остальные vlan, приходящие в порт 11 добавить метку 30

interface gigabitethernet1/0/11
switchport mode general
switchport general allowed vlan add 31 tagged
switchport general allowed vlan add 30 untagged
selective-qinq list ingress permit ingress_vlan 31
selective-qinq list ingress add_vlan 30
exit
!
interface gigabitethernet1/0/12
switchport mode trunk
switchport trunk allowed vlan add 30-31
exit

2) Для vlan 68,456,905 добавить метку 3. Для vlan 234,324,657 добавить метку 4 

interface gigabitethernet 1/0/1
switchport mode general
switchport general allowed vlan add 3,4 untagged
selective-qinq list ingress add_vlan 3 ingress_vlan 68,456,905
selective-qinq list ingress add_vlan 4 ingress_vlan 234,324,657
exit

3) Перемаркировка влан. Для входящего трафика vlan 856 -> vlan 3, vlan 68 -> vlan 4. Для исходящего трафика vlan 3 -> vlan 856, vlan 4 -> vlan 68

interface gigabitethernet 1/0/8
switchport mode general 
switchport general allowed vlan add 3-4 tagged
selective-qinq list ingress override_vlan 3 ingress_vlan 856 
selective-qinq list ingress override_vlan 4 ingress_vlan 68
selective-qinq list egress override_vlan 856 ingress_vlan 3
selective-qinq list egress override_vlan 68 ingress_vlan 4
exit

4) Для всего трафика приходящего на порт 11 добавить метку 30

interface gigabitethernet1/0/11
switchport mode general
switchport general allowed vlan add 30 untagged
selective-qinq list ingress add_vlan 30
exit

или

interface gigabitethernet 1/0/11 
switchport mode customer 
switchport customer vlan 30
exit

Как можно на входе Ethernet порта произвести добавление метки SPVLAN (Service Provider’s VLAN) ко всем VLAN?

Возможны два варианта настройки:

1. с помощью режима порта «customer»
2. c помощью Selective Q-inQ

1. Настройка с помощью режима порта «customer»

В данном примере описывается добавление метки SPVLAN 1906 ко всем на входе порта gigabitethernet 1/0/6:

• interface gigabitethernet 1/0/6
• switchport mode customer
• switchport customer vlan 1906
• exit

На выходе порта SPVLAN будет сниматься.

2. Настройка с помощью Selective Q-inQ

В данном примере описывается добавление метки SPVLAN 1906 ко всем VLAN на входе порта gigabitethernet 1/0/6:

• interface gigabitethernet 1/0/6
• switchport mode general
• switchport general allowed vlan add all untagged
• selective-qinq list ingress add_vlan 1906
• exit

На выходе порта SPVLAN будет сниматься.

Типы Network Address Translation (NAT)

В свое время, когда я пытался понять как работают различные типы NAT маршрутизаторов. С одной стороны количество статей на эту тему оказалось крайне мало. С другой стороны, исходя из того что было, понять их было крайне сложно. Попробую написать понятное объяснение с максимумом картинок и минимумом определений. Перевод оригинальной английской терминологии на русский язык резанул по ушам, поэтому решил ее оставить как есть.

Cone NAT

Внутренний адрес (192.168.0.2:2210) проецируются на внешний адрес (1.1.1.2:8801). Любой пакет посланный с 192.168.0.2:2210 будет послан через 1.1.1.2:8801. Любой пакет с внешнего хоста, посланный на адрес 1.1.1.2:8801 будет отправлен на 192.168.0.2:2210

Full cone nat

Address-Restricted cone NAT или Restricted cone NAT.

Внутренний адрес (192.168.0.2:2210) проецируются на внешний адрес (1.1.1.2:8801). Любой пакет посланный с 192.168.0.2:2210 будет послан через 1.1.1.2:8801. Пакет с любого порта внешнего хоста, посланный на адрес 1.1.1.2:8801 будет отправлен на 192.168.0.2:2210 только в случае, если 192.168.0.2:2210 предварительно посылал пакет на этот внешний хост.

Port-Restricted cone NAT

Внутренний адрес (192.168.0.2:2210) проецируются на внешний адрес (1.1.1.2:8801). Любой пакет посланный с 192.168.0.2:2210 будет послан через 1.1.1.2:8801. Внешний хост (1.1.1.30:1234) модет послать пакет на 192.168.0.2:2210 через 1.1.1.2:8801 только в случае если ранее 192.168.0.2:2210 слал пакет на 1.1.1.30:1234

Symmetric NAT

Каждый пакет с определенного внутреннего IP адреса:порта на определенный внешний IP адрес:порт будет иметь после трансляции уникальный внешний адрес порт. Соответственно, пакет с одного и того-же внутреннего адреса:порта, но посланный на другой внешний хост или порт после трансляции будет иметь другой внешний адрес-порт. Внешние хосты могут послать обратный пакет только на те хосты:порты откуда они получили пакеты.

Symmetric NAT

Еще одна, часто встречающаяся особенность NAT, так называемый port preservation, такой гибрид Port-Restricted и Symmetric NAT, будет рассмотрен в другой статье.