Auf einen Nenner gebracht ist Q-in-Q Tunneling eine Technik, die häufig von Metro-Ethernet-Anbietern, Service-Providern oder grösseren Energieversorger verwendet wird, um Daten von verschiedene Kunden, wichtigen Anwendungen oder grösseren Anlageteilen über die eigene Infrastruktur übertragen zu können. 802.1Q (oder dot1q) Tunneling ist auf den ersten Blick ziemlich einfach: Der Provider versieht alle Datenpakete, die er von einem Kunden, einer Anlage oder einer Anwendung mit einem eindeutigen VLAN-Tag erhält, mit einem zusätzlichen 802.1Q-VLAN Tag. Durch die Verwendung unterschiedlicher VLAN-Tags kann der Provider somit den Datenverkehr von verschiedenen Kunden, Anwendungen oder Anlagen getrennt und transparent durch sein Netzwerk übertragen, ohne dass die originalen VLAN-Tags verloren gehen. Einer der Vorteile dieser Lösung besteht darin, dass sie einfach zu implementieren ist, keine exotische Hardware benötigt wird und keine Routing-Protokolle zwischen dem Dienstanbieter und dem Kunden ausgeführt werden müssen (im Gegensatz zu MPLS VPN). Aus der Sicht des Kunden ist es so, als ob seine Standorte direkt auf Layer 2 verbunden wären.
Ein Q-in-Q VLAN- Tunnel gemäss IEEE 802.1ad ermöglicht es einem Service Provider (zum Beispiel einem Energieversorger), den Datenverkehr verschiedener Kunden oder verschiedener Anwendungen in seiner Infrastruktur logisch zu trennen und gleichzeitig dem Kunden durch Hinzufügen eines zweiten 802.1Q-Tags zu einem bereits getaggten Rahmen VLANs für den internen Gebrauch zur Verfügung zu stellen. Oder anders gesagt: Der Service Provider kann pro Kunde oder pro Anwendung ein separates VLAN verwenden, selbst wenn dieser selber mehrere VLANs über das Provider-Netzwerk übertragen will. Die Kunden-VLAN ID bleibt erhalten und der Verkehr von verschiedenen Kunden wird auf dem Provider-Netzwerk durch die verschiedenen Provider-VLANs logisch getrennt. Dies erlaubt auch überlappende VLAN IDs verschiedener Kunden oder Anwendungen, da diese im Provider-Netzwerk logisch getrennt werden.
In einem Rechenzentren zum Beispiel können Q-in-Q-Tunneling und VLAN- Translation verwendet werden, um Kundenverkehr innerhalb eines einzelnen Standorts zu isolieren oder um Kundenverkehrsströme zwischen Cloud-Rechenzentren an verschiedenen geografischen Standorten zu ermöglichen. Somit ist Q-in-Q-Tunneling dann nützlich, wenn verschiedene Kunden oder Anwendungen über sich überschneidende VLAN-IDs verfügen, da dem 802.1Q (dot1Q)-VLAN-Tag des Kunden (C-VLAN) das Service-VLAN (S-VLAN)-Tag des Providers vorangestellt wird.
Wenn beim Q-in-Q-Tunneling ein Paket von einem Kunden-VLAN (C-VLAN) zum VLAN des Service Providers weitergeleitet wird, wird dem Paket ein kundenspezifisches 802.1Q-Tag hinzugefügt. Dieses zusätzliche Tag wird verwendet, damit der Service Provider seinen gesamten Datenverkehr in verschiedene dienstanbieterdefinierte Service-VLANs (S-VLANs) auftrennen kann. Das ursprüngliche Kunden-802.1Q-Tag des Pakets bleibt erhalten und wird transparent über das Netzwerk des Service Providers übertragen. Wenn das Paket das S-VLAN des Service Providers verlässt, wird das zusätzliche VLAN-Tag wieder entfernt.
Wenn Q-in-Q-Tunneling aktiviert ist, wird davon ausgegangen, dass die Trunk Interfaces Teil des Netzwerks des Service Providers sind. Bei Access Interfaces wird davon ausgegangen, dass sie kundenorientiert sind und sowohl markierte als auch nicht markierte Frames akzeptieren. Bei modernen Switches können dieselbe Schnittstelle als S-VLAN/NNI-Schnittstelle und als C-VLAN/UNI-Schnittstelle konfiguriert werden. Das bedeutet, dass dieselbe physische Schnittstelle gleichzeitig Single- und Double-Tagged-Frames übertragen kann. Dadurch erhält man maximale Flexibilität in der Netzwerktopologie und kann alle Schnittstellen optimal nutzen. Je nach Schnittstellenkonfiguration muss man möglicherweise den MTU-Wert an einem Trunk- oder Zugangsport anpassen, um die 4 Bytes aufzunehmen, die für das durch Q-in-Q-Tunneling hinzugefügte Tag verwendet wird.
Eine Schnittstelle kann selbstverständlich Mitglied in mehreren S-VLANs sein. Mann kann ein C-VLAN auf ein S-VLAN (1:1) oder mehrere C-VLANs auf ein S-VLAN (N:1) abbilden. Die Pakete sind dabei doppelt markiert, um eine zusätzliche Ebene der Trennung oder Bündelung von C-VLANs zu ermöglichen. C-VLAN- und S-VLAN-Tags sind immer eindeutig; So kann man z. B. sowohl ein C-VLAN 101 als auch ein S-VLAN 101 haben. Meistens kann kann die Menge der akzeptierten Kunden-Tags auf einen Bereich von Tags oder auf diskrete Werte beschränken.
Q-in-Q-Tunneling beeinflusst keine Class-of-Service (CoS)-Werte, die in einem C-VLAN konfiguriert sind. Diese Einstellungen werden im C-VLAN-Tag beibehalten und können verwendet werden, nachdem ein Paket ein S-VLAN verlassen hat. CoS-Werte werden aber nicht von C-VLAN-Tags in S-VLAN-Tags kopiert.
Damit eine Schnittstelle unmarkierte Pakete senden und empfangen kann, muss ein natives VLAN für eine physische Schnittstelle angeben werden. Wenn die Schnittstelle ein unmarkiertes Paket empfängt, fügt sie dem Paket im C-VLAN-Feld die VLAN-ID des nativen VLANs hinzu, fügt auch das S-VLAN-Tag hinzu (so dass das Paket doppelt markiert ist) und sendet das neu markierte Paket an die abgebildete Schnittstelle.
Geroutete VLAN-Schnittstellen (RVIs) werden in Q-in-Q-VLANs unterstützt. Pakete, die auf einer RVI ankommen, die Q-in-Q VLANs verwendet, werden geroutet, unabhängig davon, ob das Paket einfach oder doppelt markiert ist. Die abgehenden gerouteten Pakete enthalten nur beim Verlassen einer Trunk-Schnittstelle ein S-VLAN-Tag; beim Verlassen einer Zugriffsschnittstelle verlassen die Pakete die Schnittstelle ungetaggt.
Falls Sie einen Anwendungsfall für IEEE802.1ad (Q-in-Q) in einer industriellen Netzwerk- Infrastruktur kennen, setzten Sie sich unbedingt mit uns in Verbindung. Wir sind sehr interessiert daran, zusammen mit den Entwicklungsabteilungen unserer Hersteller dieses Thema für industrielle Anwendungen, zum Beispiel in Netzwerken grosser Energieversorger, weiterzubringen.