trabajo de investigacion - q-inq - neithan
TRANSCRIPT
5/17/2018 Trabajo de Investigacion - Q-InQ - Neithan - slidepdf.com
http://slidepdf.com/reader/full/trabajo-de-investigacion-q-inq-neithan 1/15
UNIVERSIDAD LATINA DE COSTA RICA – SEDE HEREDIA
CONMUTACION Y ENRUTAMIENTO INTERMEDIOS
MAESTRÍA EN REDES Y TELEMÁTICA
802.1Q
Q-in-Q Tunneling
Profesor: Carlos Alfaro Briseño
Alumnos:
Neithan Rojas
Héctor Brenes
Malber
Luis Sibaja
Diciembre 2011 – IV Trimestre
5/17/2018 Trabajo de Investigacion - Q-InQ - Neithan - slidepdf.com
http://slidepdf.com/reader/full/trabajo-de-investigacion-q-inq-neithan 2/15
2
Índice
Objetivos ............................................................................................................................................. 3
Introducción ........................................................................................................................................ 4
1. 802.1 Q-in-Q: Descripción. .......................................................................................................... 5
2. Funcionamiento de Túneles Q-in-Q ............................................................................................ 7
3. Desactivación de Aprendizaje de MAC ....................................................................................... 9
4. Limitaciones de un Túnel Q-in-Q ................................................................................................. 9
5. Configuración Básica de Túnel 802.1Q-in-Q ............................................................................. 10
Conclusiones ..................................................................................................................................... 14
Fuentes de Consulta .......................................................................................................................... 15
5/17/2018 Trabajo de Investigacion - Q-InQ - Neithan - slidepdf.com
http://slidepdf.com/reader/full/trabajo-de-investigacion-q-inq-neithan 3/15
3
Objetivos
Objetivo General:
Conocer el concepto global de utilización
Objetivos Específicos:
1. Describir las características y operación del Estándar 802.1Q-in-Q dentro de una
red de un proveedor de servicios.
2. Conocer las principales limitaciones al momento de emplear túneles Q-in-Q
3. Presentar una topología simple donde se ejemplifique la configuración básica de
un túnel 802.1Q-in-Q así como capturas de Wireshark para demostrar el doble
etiquetado de paquetes.
5/17/2018 Trabajo de Investigacion - Q-InQ - Neithan - slidepdf.com
http://slidepdf.com/reader/full/trabajo-de-investigacion-q-inq-neithan 4/15
4
Introducción
Hoy en día es de uso común que muchos proveedores de servicio regionales o
internacionales quieran y pretendan ofrecer servicios de red LAN transparente que
preserve y brinde la posibilidad de extender las redes LAN virtuales (VLAN) de clientes
específicos desde una oficina a otra, así como de todos los privilegios de acceso y
características que se brindan en una red local, todo esto a través de una red MAN o
WAN.
De acuerdo con esta necesidad los proveedores de servicio han adoptado el estándar de
CISCO 802.1Q también conocido como CISCO 802.1Q-in-Q el cual brinda la posibilidad y el
soporte para crear túneles virtuales dentro de redes MAN y WAN desde un cliente a otro.
Siguiendo la línea de comprensión de la temática 802.1Q-in-Q se presentara a
continuación aspectos teóricos de las características y operación de este estándar así
como su principal uso mediante un ejemplo general.
5/17/2018 Trabajo de Investigacion - Q-InQ - Neithan - slidepdf.com
http://slidepdf.com/reader/full/trabajo-de-investigacion-q-inq-neithan 5/15
5
1. 802.1 Q-in-Q: Descripción.
De acuerdo con el modo de comprensión del concepto formulado el marco introductorio
se puede definir que el estándar CISCO 802.1Q habilita a los proveedores de servicio de un
medio para transportar de forma segura la totalidad de las VLAN de un cliente a través del
backbone de red MAN o WAN instalado haciendo uso únicamente de una VLAN como
identificador dentro de la red de transporte desde un punto A hasta un punto B.
En este caso para brindar un descriptor dentro de la red del proveedor de servicio se
añade en el equipo de borde del cliente-proveedor una etiqueta en el trafico del cliente,
esta etiqueta asigna un numero único de identificación de VLAN según sea asignado a los
diferentes clientes, este identificador permite mantener el trafico de cada usuario
separado y principalmente de forma privada.
Esta identificación o marcado de paquetes de trafico de clientes permite enviar a lo largo
de la red de un proveedor de servicio hasta 4096 VLAN, todo esto a través de un único
puerto o túnel configurado para el cliente en especifico. Todas las VLAN de cliente que se
configuran para ser enviadas por el puerto túnel son transportadas de forma separada y
privada por una única VLAN de identificación del proveedor de servicio.
Lo antes mencionado hace referencia a que los proveedores de servicio no tienen que
asignar un identificador o VLAN ID para cada VLAN que los clientes quieran pasar a través
de la red, de lo contrario rápidamente un proveedor de servicio consumiría el total
permitido por la tecnología Ethernet 802.1Q que es de 4096 IDs de VLAN.
Partiendo de la descripción anterior podemos interpretar porque se le asigna el nombre
802.1Q-in-Q a esta tecnología de túnel: Este debido a que se encapsulan múltiples VLAN
802.1Q de clientes dentro de una única VLAN 802.1Q de un proveedor de servicio.
5/17/2018 Trabajo de Investigacion - Q-InQ - Neithan - slidepdf.com
http://slidepdf.com/reader/full/trabajo-de-investigacion-q-inq-neithan 6/15
6
Además se considera de gran importancia mencionar que al momento de que un
proveedor de servicios brinda el servicio de trasporte de VLAN de clientes via 802.1Q
tunneling demuestra a los clientes que posee una red enfocada de forma escalable al
ofrecimiento de servicios Ethernet de extremo a extremo, lo que permite no solo el tráfico
de datos de clientes sino que además habilita al cliente para el transporte de servicios en
capa 2 como lo son Spanning Tree, CDP (Cisco Discovery Protocol, VLAN Trunking Protocol,
entre otros).
En pocas palabras, Q-in-Q permite a un proveedor de servicio brindarle a los clientes
puertos de acceso que son mapeados a una VLAN dentro de la red de transporte,
permitiendo además que el usuario utilice un túnel dot1Q sin tener que preocuparse por
las colisiones generadas por los choques de VLAN ID.
Un puerto configurado para soportar 802.1Q tunneling es llamado o conocido como
tunnel port, este puerto está ubicado del lado del equipo del proveedor de servicios. EL
cliente únicamente debe configurar el puerto local de conexión hacia la red borde como
un puerto 802.1Q regular. Dentro de la nube de transporte del proveedor de servicios la
información de cliente se transporta como si fueran un enlace troncal entre puertos
dot1q. La imagen siguiente ilustra una forma simplificada de este comportamiento.
Figura No.1Comportamiento Simplificado 802.1Q-in-Q
Fuente: http://irwanp.wordpress.com/2008/06/23/qinq-8021q-tunneling-on-cisco-switches/
5/17/2018 Trabajo de Investigacion - Q-InQ - Neithan - slidepdf.com
http://slidepdf.com/reader/full/trabajo-de-investigacion-q-inq-neithan 7/15
7
2. Funcionamiento de Túneles Q-in-Q
Al momento de configurar y hacer uso de un túnel Q-in-Q, tal y como se ha definido un
paquete viaja desde una VLAN del cliente hacia una VLAN del proveedor de servicio,donde al momento de encapsularse dentro de la VLAN del proveedor de servicio los
paquetes son etiquetados según un numero de VLAN ID referente al estándar 802.1Q.
Este etiquetado adicional que se le realiza a los paquetes es usado para separar el tráfico
dentro de la VLAN de servicio definida (S-VLAN). La etiqueta original del paquete puesta
por el cliente permanece invariante y se transmite de forma transparente a lo largo de
toda la red de transporte del proveedor de servicios, al momento de entrar o salir de la
red del proveedor la etiqueta puesta por la S-VLAN es removida, dejando la información
del cliente tal y como se envío desde la oficina fuente.
Cuando un túnel Q-in-Q está habilitado, las interfaces troncales para el transporte de los
datos se consideran como parte de la red del proveedor de servicio, y las interfaces de
acceso se asocian como el punto de partida de cara al cliente. Una interfaz de acceso
puede recibir tanto tramas etiquetadas o sin etiquetar.
Un puerto troncal o interfaz troncal puede ser miembro de múltiples VLAN de servicio S-
VLAN, una VLAN de cliente (C-VLAN) puede ser mapeada a una VLAN de Servicio o
múltiples VLAN de cliente a una VLAN de servicio.
Al momento de emplear Q-in-Q se permite también poder etiquetar doblemente un
paquete, esto para lograr capa adicional de separación o agrupación de VLAN de cliente,
las VLAN de cliente y las VLAN de servicio son únicas.
5/17/2018 Trabajo de Investigacion - Q-InQ - Neithan - slidepdf.com
http://slidepdf.com/reader/full/trabajo-de-investigacion-q-inq-neithan 8/15
8
En la imagen siguiente se ilustra de forma más descriptica el funcionamiento de un túnel
Q-in-Q al momento de pasar paquetes de un cliente desde un sitio A hacia un sitio B
pasando por la red del proveedor de servicio. Además se puede apreciar la forma en que
dentro de la trama original proveniente del equipo del cliente se van agregando los
identificadores de VLAN local del cliente como de la VLAN de Servicio del proveedor
dentro de la Red.
Figura No.2Funcionamiento y encapsulado de Identificadores de VLAN 802.1Q-in-Q
Fuente: http://packetlife.net/blog/2010/jul/12/ieee-802-1q-tunneling/
5/17/2018 Trabajo de Investigacion - Q-InQ - Neithan - slidepdf.com
http://slidepdf.com/reader/full/trabajo-de-investigacion-q-inq-neithan 9/15
9
3. Desactivación de Aprendizaje de MAC
Empleando Q-in-Q, los paquetes de datos de un cliente desde que salen de la interfaz local
son transportados sin ningún cambio desde la fuente hasta la MAC de destino, para lograr
esto el proveedor de servicios debe aprender y conmutar gran cantidad de direcciones
MAC, y esta gran cantidad de direcciones aprendidas se reflejan y repercuten en un bajo
rendimiento del canal de transporte. Por tal razón, un administrador de red puede
deshabilitar el aprendizaje de direcciones MAC tanto a nivel de interfaz o bien a nivel de
VLAN.
Al momento de desactivar el aprendizaje de direcciones MAC en un puerto en especifico,
deshabilita el aprendizaje de todas las VLAN de las cuales el puerto es miembro. Cuando
se deshabilita el aprendizaje en la VLAN las direcciones MAC aprendidas son descartadas.
Cuando una interfaz de VLAN ruteada es asociada con un puerto o VLAN de Servicio donde
fue deshabilitado el aprendizaje de MAC, la ruta de los paquetes será resulta en capa 3 y
no en capa 2.
4. Limitaciones de un Túnel Q-in-Q
Una de las principales limitaciones ante el uso de túneles 802.1Q es que no se pueden
agregar etiquetas a los paquetes sin identificar de entrada al equipo de cliente, o bien
remover la etiqueta de VLAN de cliente hacia la dirección destino, todo esto dentro de la
red del proveedor de servicio.
Otro aspecto importante es que al momento de emplear Q-in-Q no existe nivel de
compatibilidad con IGMP u otras características de seguridad para los puertos de acceso.
5/17/2018 Trabajo de Investigacion - Q-InQ - Neithan - slidepdf.com
http://slidepdf.com/reader/full/trabajo-de-investigacion-q-inq-neithan 10/15
10
5. Configuración Básica de Túnel 802.1Q-in-Q
Teniendo pleno conocimiento de cómo trabaja un túnel Q-in-Q de acuerdo con los
apartados anteriores, se presenta una topología de configuración básica para un túnel Q-in-Q. Para el ejemplo se empleara la topología mostrada en la figura No.1. Los pasos de
configuración son realizados para los equipos de la red del proveedor de servicios.
Figura No.3Topología Ejemplo para Configuración de túnel 802.1Q-in-Q
Fuente: http://irwanp.wordpress.com/2008/06/23/qinq-8021q-tunneling-on-cisco-switches/
Paso 1:
Antes iniciar con la configuración del túnel, se debe verificar que todos los Switches que
forman parte de la red suporten un MTU (maximun transmission unit) recomendado de
1504 bytes.
Se puede observar el tamaño del MTU haciendo uso del comando: Show system mtu. Para
hacer un cambio en el tamaño del MTU se debe hacer uso del comando system mtu xxx,
pero debemos recordar que para que esto surta efecto se deberá reiniciar el equipo.
5/17/2018 Trabajo de Investigacion - Q-InQ - Neithan - slidepdf.com
http://slidepdf.com/reader/full/trabajo-de-investigacion-q-inq-neithan 11/15
11
Paso 2:
Luego de la verificación o reconfiguración del MTU se debe configurar el enlace troncal
para el transporte de las VLAN de los clientes A y B, para los cuales se han asignado las
VLAN de servicio 118 y 209 respectivamente.
Para lo anterior se debe configurar un enlace troncal 802.1Q en ambos switches del
proveedor de servicios, la última línea de configuración indica la restricción del enlace
troncal para que únicamente permita el paso de las VLAN 118 y 209
Paso 3:
En este paso se debe configurar la interfaz que será la frontera de conexión con el cliente,
para este caso se debe asignar cada interfaz a una VLAN especifica y su modo de
operación en dot1q según el túnel creado.
Además se debe habilitar el protocolo de túnel de capa 2 para lograr llevar de forma
transparente CDP y otros protocolos de capa 2 entre los equipos terminales del cliente
CPEs.
5/17/2018 Trabajo de Investigacion - Q-InQ - Neithan - slidepdf.com
http://slidepdf.com/reader/full/trabajo-de-investigacion-q-inq-neithan 12/15
12
Paso 4:
Hasta este punto ya el enlace troncal está configurado, por lo tanto se debe realizar una
revisión de todas las interfaces que se configuraron como túnel 802.1Q
Con la configuración realizada el túnel 802.1Q esta complete, cada VLAN de cliente tiene
una conectividad de A hacia B completamente transparente.
La imagen siguiente representa una captura tomada con Wireshark y muestra como un
paquete ping del cliente es doblemente etiquetada dentro de dos encabezados 802.1Q a
todo lo largo de la red de transporte del proveedor de servicios. Cabe señalar que todo el
trafico de cliente sin etiquetar, como por ejemplo el trafico a través de la VLAN 1 nativa es
etiquetada una vez por el proveedor de servicios.
5/17/2018 Trabajo de Investigacion - Q-InQ - Neithan - slidepdf.com
http://slidepdf.com/reader/full/trabajo-de-investigacion-q-inq-neithan 13/15
13
Figura No.4Captura de Wireshark para doble etiquetado de VLAN 10 dentro de VLAN 118
Fuente: http://irwanp.wordpress.com/2008/06/23/qinq-8021q-tunneling-on-cisco-switches/
Figura No.5Captura de Wireshark para doble etiquetado de VLAN 20 dentro de VLAN 209
Fuente: http://irwanp.wordpress.com/2008/06/23/qinq-8021q-tunneling-on-cisco-switches/
5/17/2018 Trabajo de Investigacion - Q-InQ - Neithan - slidepdf.com
http://slidepdf.com/reader/full/trabajo-de-investigacion-q-inq-neithan 14/15
14
Conclusiones
5/17/2018 Trabajo de Investigacion - Q-InQ - Neithan - slidepdf.com
http://slidepdf.com/reader/full/trabajo-de-investigacion-q-inq-neithan 15/15
15
Fuentes de Consulta
http://www.networkur.com/q-in-q-tunnel-configuration/
http://www.juniper.net/techpubs/en_US/junos9.5/topics/concept/qinq-tunneling-
ex-series.html
http://irwanp.wordpress.com/2008/06/23/qinq-8021q-tunneling-on-cisco-
switches/
http://ccnprecertification.com/2004/03/17/8021q-tunneling/