Hướng dẫn cấu hình VLAN-VPN (QinQ) cho switch Layer 3 trong chế độ Controller bằng CLI Template

Hướng dẫn cấu hình VLAN-VPN (QinQ) cho switch Layer 3 trong chế độ Controller bằng CLI Template

 

Áp dụng cho: Omada SDN Controller v5.13.30.8 trở lên

Giới thiệu cấu hình VLAN-VPN (QinQ) cho switch Layer 3 trong chế độ Controller bằng CLI Template

VLAN-VPN là gì?

VLAN-VPN, còn gọi là QinQ, là một công nghệ VLAN lớp 2, thường được triển khai ở biên mạng của nhà cung cấp dịch vụ Internet (ISP). Khi sử dụng VLAN-VPN:

• Switch sẽ gắn thêm một VLAN TAG bên ngoài (outer tag) vào các gói tin được gửi từ mạng khách hàng (Customer Network) đến mạng ISP.
• Do đó, các gói tin khi đi qua mạng ISP sẽ mang 2 lớp VLAN tag (Double Tag / QinQ).
• Trên mạng ISP, gói tin sẽ được định tuyến dựa trên VLAN TAG bên ngoài (SVLAN – Service VLAN).
• VLAN bên trong (CVLAN – Customer VLAN) được coi là dữ liệu tải bên trong (payload) và không ảnh hưởng đến quá trình định tuyến.
• Khi đến đầu bên kia của ISP, switch sẽ gỡ bỏ VLAN TAG bên ngoài, giữ lại VLAN gốc, và chuyển tiếp về mạng nội bộ của khách hàng.

TP-Link hỗ trợ hai phương pháp triển khai VLAN-VPN:

1. VLAN-VPN (QinQ tiêu chuẩn)
   • VLAN tag bên ngoài sẽ được đặt theo PVID của cổng.
2. VLAN Mapping (gán lại VLAN)
   • VLAN tag bên ngoài có thể cấu hình linh hoạt thông qua ánh xạ VLAN của cổng UNI.

Trong chế độ Controller, bạn có thể dùng CLI Template để triển khai cả hai phương pháp trên.

1. Cấu hình VLAN-VPN (QinQ) cơ bản

1.1 Yêu cầu mạng

Một công ty có hai điểm (station), mỗi điểm có các máy tính thuộc VLAN 100 và VLAN 200 tương ứng.

• Nhà cung cấp ISP yêu cầu các gói tin đi qua mạng ISP phải thuộc VLAN 1050.
• ISP sử dụng định dạng TPID là 0x9100 (thường dùng cho SVLAN trong QinQ).
• Mục tiêu là: Cho phép 2 điểm này giao tiếp với nhau qua mạng ISP, sử dụng VLAN 1050 làm lớp tag bên ngoài, trong khi vẫn giữ nguyên VLAN nội bộ (100/200).

1.2 Sơ đồ cấu hình

Để đáp ứng yêu cầu rằng toàn bộ lưu lượng từ VLAN 100 và VLAN 200 phải được truyền thông qua VLAN 1050, người dùng có thể cấu hình VLAN-VPN cơ bản (QinQ) trên Switch 1 và Switch 2 nhằm cho phép các gói tin mang 2 lớp VLAN tag (double-tag), từ đó đảm bảo việc truyền thông giữa các trạm.

Quy trình cấu hình tổng quát như sau:

Trong hướng dẫn này, chúng tôi chỉ trình bày cấu hình trên Switch 1 và Switch 3, vì:

• Cấu hình của Switch 2 giống với Switch 1, và
• Cấu hình của Switch 4 giống với Switch 3.

 

 

 

 

1) Cấu hình VLAN 802.1Q trên Switch 1. Các thông số cấu hình được minh họa bên dưới:

	VLAN 100	VLAN 200	VLAN 1050	PVID
Port 1/0/1	-	-	Tagged	Keep the default value
Port 1/0/2	Tagged	Tagged	Untagged	1050

2) Cấu hình VLAN 802.1Q trên Switch 3. Các thông số cấu hình được minh họa bên dưới:

	VLAN 100	VLAN 200	PVID
Port 1/0/1	Untagged	-	100
Port 1/0/2	-	Untagged	200
Port 1/0/3	Tagged	Tagged	Keep the default value

3) Cấu hình VLAN-VPN trên Switch 1.
Đặt cổng 1/0/1 làm cổng NNI, và cổng 1/0/2 làm cổng UNI; cấu hình TPID là 0x9100.

1.3 Quy trình cấu hình VLAN:
Trên trang Settings -> Wired Networks -> LAN -> Networks, nhấp vào Create New LAN để tạo VLAN mới.

Thực hiện các thao tác sau để tạo VLAN 100.

Ask ChatGPT

Tạo VLAN 200 và VLAN 1050 theo cách tương tự.

1.4 Cấu hình Hồ sơ Cổng (Port Profile)
Trên trang Cài đặt -> Mạng có dây -> LAN -> Hồ sơ (Profile), tạo các hồ sơ cổng khác nhau và thiết lập các thông số VLAN 802.1Q khác nhau. Sau khi áp dụng hồ sơ cho một cổng, bạn có thể thay đổi cấu hình VLAN của cổng đó.

Tạo một Hồ sơ NNI, trong đó Mạng gốc (Native Network) và Mạng không gắn thẻ (Untagged Networks) giữ nguyên là VLAN mặc định 1, và chọn VLAN 1050 cho phần Mạng có gắn thẻ (Tagged Networks).

Tạo một Hồ sơ UNI, trong đó:

• Mạng gốc (Native Network) và Mạng không gắn thẻ (Untagged Networks) được thay đổi thành VLAN 1050
• Mạng có gắn thẻ (Tagged Networks) được thay đổi thành VLAN 100 và VLAN 200.

Trên trang Devices → Device List, nhấn vào Switch1.
Tại trang Ports trong cửa sổ cấu hình riêng hiển thị bên phải, nhấn nút Edit bên phải Port1 để thay đổi Profile của cổng này sang NNI Profile.

Sử dụng phương pháp tương tự, thực hiện các thay đổi sau:

• Switch2: đổi Port1 sang NNI Profile
• Switch1 và Switch2: đổi Port2 sang UNI Profile
• Switch3 và Switch4:
  • đổi Port1 sang profile VLAN100
  • đổi Port2 sang profile VLAN200

1.5 Cấu hình VLAN-VPN

Hiện tại, Omada Controller chưa hỗ trợ cấu hình VLAN-VPN thông qua giao diện GUI, nhưng bạn có thể cấu hình bằng CLI Template.

Hãy sao chép các dòng lệnh CLI sau:

#

dot1q-tunnel

#

interface gigabitEthernet 1/0/1

switchport dot1q-tunnel mode nni

switchport dot1q-tunnel tpid 9100

#

interface gigabitEthernet 1/0/2

switchport dot1q-tunnel mode uni

#

Ghi chú: Ký tự # ở dòng đầu tiên và dòng cuối cùng bắt buộc phải được sao chép đầy đủ, vì đây là yêu cầu định dạng của hệ thống để nhận diện đúng đoạn cấu hình CLI.

Thao tác tiếp theo:

Trên Omada Controller, vào menu:

Settings → CLI Configuration → Device CLI

Tại đây, nhấn vào nút Create New Device CLI Profile để tạo một mẫu cấu hình thiết bị mới, sau đó dán đoạn CLI đã sao chép vào ô cấu hình. Sau khi lưu, bạn có thể áp dụng mẫu này cho các switch cần cấu hình VLAN-VPN (QinQ).

Nhập Tên (Name) và Mô tả (Description) cho hồ sơ CLI, sau đó dán đoạn lệnh CLI vừa sao chép vào ô CLI input, rồi nhấn Next (Tiếp theo) để tiếp tục.

Trong ví dụ này, cấu hình của switch1 và switch2 là giống nhau. Do đó, bạn có thể chọn cả hai switch cùng lúc để áp dụng CLI template vừa tạo.

Tuy nhiên, nếu số hiệu cổng NNI và UNI của hai switch khác nhau, bạn cần tạo các mẫu CLI (CLI template) riêng biệt phù hợp với từng thiết bị, rồi áp dụng tương ứng.

Sau khi chọn thiết bị cần cấu hình, nhấn Apply để gửi cấu hình VLAN-VPN (QinQ) đến các thiết bị đó.

1.6 Xóa cấu hình VLAN-VPN
Khác với cấu hình qua giao diện đồ họa (GUI) của Omada Controller, nếu bạn xóa CLI template đã tạo ở bước trước, controller sẽ không tự động gửi lệnh để gỡ bỏ cấu hình VLAN-VPN khỏi thiết bị.

Nếu bạn muốn xóa cấu hình VLAN-VPN đã cấu hình, bạn cần:

• Tạo một CLI template mới sử dụng các lệnh CLI để xóa cấu hình.
• Gửi CLI template này đến switch1 và switch2 để thực thi việc xóa.

#

no dot1q-tunnel

#

interface gigabitEthernet 1/0/1

no switchport dot1q-tunnel mode

#

interface gigabitEthernet 1/0/2

no switchport dot1q-tunnel mode

#

Sau khi cấu hình bị xóa, trên trang Settings → CLI Configuration → Device CLI, hãy xóa hai mẫu CLI dùng để thêm VLAN-VPN và xóa VLAN-VPN trước đó.

 

 

2. VLAN-VPN linh hoạt (Flexible QinQ)

2.1 Yêu cầu mạng

Một công ty có hai chi nhánh, trong đó các máy tính thuộc VLAN 100 và VLAN 200 tương ứng.
Mạng ISP sử dụng VLAN 1050 và VLAN 1060, với TPID là 0x9100.

Cần đảm bảo rằng:

• Lưu lượng từ VLAN 100 được truyền qua VLAN 1050
• Lưu lượng từ VLAN 200 được truyền qua VLAN 1060

2.2 Phương án cấu hình

Để đáp ứng yêu cầu rằng lưu lượng từ VLAN 100 và VLAN 200 phải đi qua hai VLAN ISP khác nhau, người dùng có thể cấu hình Flexible VLAN-VPN trên Switch 1 và Switch 2 để:

• Ánh xạ VLAN 100 → VLAN 1050
• Ánh xạ VLAN 200 → VLAN 1060

=> Các gói tin từ VLAN 100 và 200 sẽ lần lượt được truyền đi với VLAN ngoài tương ứng là 1050 và 1060.

Lưu ý: Trong hướng dẫn này, chỉ trình bày cấu hình trên Switch 1 và Switch 3.
Cấu hình trên Switch 2 giống với Switch 1, và Switch 4 giống với Switch 3.

1) Cấu hình VLAN 802.1Q trên Switch 1

Các thông số VLAN như sau:

	VLAN 100	VLAN 200	VLAN 1050	VLAN1060	PVID
Port 1/0/1	-	-	Tagged	Tagged	Giữ nguyên giá trị mặc định
Port 1/0/2	Tagged	Tagged	Untagged	Untagged	Giữ nguyên giá trị mặc định

2) Configure 802.1Q VLAN on Switch 3. The parameters are shown below:

	VLAN 100	VLAN 200	PVID
Port 1/0/1	Untagged	-	100
Port 1/0/2	-	Untagged	200
Port 1/0/3	Tagged	Tagged	Giữ nguyên giá trị mặc định

3) Cấu hình VLAN-VPN trên Switch 1:
Thiết lập cổng 1/0/1 làm cổng NNI, và cổng 1/0/2 làm cổng UNI; cấu hình TPID là 0x9100; ánh xạ VLAN 100 sang VLAN 1050 và VLAN 200 sang VLAN 1060.

2.3 Tạo VLAN và cấu hình Hồ sơ cổng (Port profiles)

Vui lòng tham khảo hướng dẫn tạo VLAN và hồ sơ cổng trong phần VLAN-VPN cơ bản.

2.4 Quy trình cấu hình VLAN-MAPPING

Hiện tại, Controller không hỗ trợ cấu hình VLAN-VPN thông qua giao diện GUI, nhưng có thể cấu hình thông qua mẫu CLI.

Câu lệnh CLI như sau:

#

dot1q-tunnel

dot1q-tunnel mapping

#

interface gigabitEthernet 1/0/1

switchport dot1q-tunnel mode nni

switchport dot1q-tunnel tpid 9100

#

interface gigabitEthernet 1/0/2

switchport dot1q-tunnel mode uni

switchport dot1q-tunnel mapping 100 1050

switchport dot1q-tunnel mapping 200 1060

#

Để biết chi tiết về cách tạo mẫu CLI và áp dụng các mẫu CLI này, vui lòng tham khảo phần VLAN-VPN cơ bản đã đề cập ở trên.

2.5 Xóa cấu hình

Khác với cấu hình GUI của Controller, nếu bạn xóa mẫu CLI đã tạo trước đó, Controller sẽ không gửi lệnh xóa cấu hình VLAN Mapping.
Nếu bạn muốn xóa cấu hình VLAN Mapping ở trên, bạn cần tạo một mẫu CLI mới sử dụng các lệnh CLI xóa như bên dưới, và áp dụng nó cho switch1 và switch2.

#

no dot1q-tunnel

no dot1q-tunnel mapping

#

interface gigabitEthernet 1/0/1

no switchport dot1q-tunnel mode

#

interface gigabitEthernet 1/0/2

no switchport dot1q-tunnel mapping

no switchport dot1q-tunnel mode

#

Sau khi cấu hình được xóa, truy cập Settings -> CLI Configuration -> Device CLI, và xóa hai mẫu CLI đã dùng để thêm VLAN Mapping và xóa VLAN Mapping.

Để biết thêm thông tin chi tiết về tính năng VLAN-VPN và các lệnh CLI, vui lòng tham khảo CLI Guide và User Guide.