校园网局域网网络架构调整（QinQ技术）

背景：校园网原本架构是所有流量经本地认证服务器进行认证后访问互联网，IP地址从本地DHCP服务器进行分配，AP的管理地址也是从本地DHCP服务器分配管理地址和网管平台进行互联，现需要把认证平台移除，业务的IP分配由运营商进行分配。需在本地核心交换机上使用QinQ技术把内部vlan往上透传，把原本使用NAT的出口改成二层透传。

技术实现：

1、核心使用QinQ取代以往NAT的出口

2、使用自环弥补没有端口混杂模式的短板

3、本地DHCP地址池只负责分配管理IP，删除核心交换机上原业务vlan的IP地址

4、上层交换机添加回程路由访问内部管理网段

原网络架构说明：

1、原网络中，业务vlan的网关地址和管理vlan的网关地址均在os6900核心交换机上。接入交换机把业务vlan以及AP的管理vlan通过trunk口往上透传，传到核心交换机上再由核心交换机转发DHCP报文发放业务和管理vlan的IP地址。

2、互联网流量主要通过默认路由指向认证服务器，再由认证服务器进行认证后使用NAT(网络地址转换)进行IP的转换进行和外部互联网的通信。

 

现网络架构说明：

1、最新的网络架构，由于业务vlan的IP分配也由运营商处的交换机进行分配，所以移除业务vlan的网关地址，以及本地DHCP服务器的业务vlan地址池，并把业务vlan的DHCP请求报文通过QinQ技术(也称为Stacking vlan、Doub vlan)进行封装后往上层进行透传，由运营商侧进行IP分配和上网认证。

2、由于认证和DHCP的服务都在运营商侧完成，所以最新网络架构的本地DHCP服务器仅保留AP管理段的地址池，用于AP和网管平台（ov2500），以及onu和管理平台(COCP和PCC5571)的相互通信。

3、由于设备不支持混杂端口模式（hybrid）,所以使用自环的模式进行管理vlan的内部透传，把1/1/32和1/1/42进行自连，在1/1/32口定义为uni接口，关联上行的svlan2506，创建一个sap id 和设置对应的svlan服务,然后添加相应的cvlan，然后把其他需要发放管理地址的端口也关联为对应的SAP，然后把1/1/42设置为trunk口，放行对应的管理vlan通过。通过自环技术达到内部透传管理vlan的目的。

 具体配置：

1、QINQ配置(不同厂商的命令有所差异)

//创建svlan，外层svlan为2506
ethernet-service svlan 2506

//给服务命名为School并和svlan关联
ethernet-service service-name School svlan 2506

//定义nni(network to network interface)端口，也就是上行口，封装外层打包往外送的端口
ethernet-service nni port 1/1/48

//把nni端口和svlan进行关联
ethernet-service svlan 2506 nni port 1/1/48

//定义一个SAP，id为2506和svlan名字关联
ethernet-service sap 2506 service-name School

//把uni(user network interface)端口和SAP关联起来
ethernet-service sap 2506 uni port 1/1/1-47

//把定义的cvlan(内部vlan)和SAP关联
ethernet-service sap 2506  cvlan 2600-2699

2、自环实现内部管理vlan的通信

//新创建一个服务名为“ap管理”的svlan配置
ethernet-service service-name "AP-MGMT" svlan 2506

//创建一个sap,id为2500,把“AP管理”与之关联
ethernet-service sap 2900 service-name "AP-MGMT"

//把cvlan和sap关联
ethernet-service sap 2900 cvlan 2500-2599

//把需要透传的vlan设置为到干道口1/1/42上，添加相应的vlan
vlan 2500-2599 members port 1/1/42 tagged
vlan 2900-2999 members port 1/1/42 tagged

//把1/1/36口都关联到sap上
ethernet-service sap 2900 uni port 1/1/36

//把其余有管理vlan透传的端口都关联到sap 2900上
ethernet-service sap 2900 uni port 1/1/1-35
ethernet-service sap 2900 uni port 1/1/37-45

接线如下图所示：

3、DHCP服务器把业务vlan地址池删除掉，核心交换机把业务vlan的IP地址删除。割接的时候就是因为有个步骤漏了这一步，导致vlan经过核心的时候转发给DHCP服务器，没有把DHCP请求报文往上透传，卡住了。。。太cao了。

4、最后就是内网管理段的问题，由于业务分配的IP地址使10段的，17位掩码，内网管理网段的都是172段的，所以二层无法互联，联系运营商那边写了条静态路由，所有通往172.31~172.32段的IP都指向本地核心交换机os6900的互联IP上。