Weblog

Q-in-Q

09.04.2025 · 5 Min. Lesezeit

VLAN Stacking

Die Ethernet-Technologie Q-in-Q, auch bekannt als 802.1ad oder VLAN Stacking, ist eine Erweiterung des IEEE 802.1Q-Standards, die entwickelt wurde, um die Skalierbarkeit von VLANs in Provider- und Carrier-Ethernet-Netzen zu verbessern.

Was ist Q-in-Q?

Sie ermöglicht es, mehrere VLAN-Tags in einem Ethernet-Frame zu verschachteln, wodurch eine Trennung zwischen Kunden- und Provider-VLANs erreicht wird. Diese Technik ist besonders in Metro-Ethernet-Umgebungen von Bedeutung, in denen viele Kunden mit jeweils eigenen VLAN-Strukturen über eine gemeinsame Infrastruktur verbunden werden müssen.

Historisch betrachtet entstand Q-in-Q Anfang der 2000er Jahre als Reaktion auf die zunehmende Nachfrage nach Ethernet-basierten WAN-Diensten. Der ursprüngliche 802.1Q-Standard erlaubte nur ein einzelnes VLAN-Tag pro Ethernet-Frame, was in großen Netzen mit vielen Kunden schnell an seine Grenzen stieß. Carrier wollten jedoch ihren Kunden ermöglichen, ihre eigenen VLAN-Strukturen beizubehalten, ohne dass diese mit den VLANs anderer Kunden oder des Providers kollidieren. Die Lösung bestand darin, ein zusätzliches VLAN-Tag - das sogenannte „Service VLAN“ oder „S-Tag“ - vor das bestehende Kunden-VLAN („Customer VLAN“ oder „C-Tag“) zu setzen. Dadurch entsteht eine Hierarchie, bei der der Provider das äußere Tag zur Steuerung des Datenverkehrs verwendet, während das innere Tag die Kundenstruktur abbildet.

Technisch gesehen wird beim Q-in-Q-Verfahren ein Ethernet-Frame, der bereits ein 802.1Q-Tag enthält, von einem Provider-Switch erneut getaggt. Das äußere Tag (S-Tag) verwendet typischerweise den EtherType 0x88a8, während das innere Tag (C-Tag) weiterhin den klassischen 0x8100 verwendet. Diese Unterscheidung ermöglicht es Netzwerkgeräten, die beiden Tags korrekt zu interpretieren und zu verarbeiten. Die maximale Anzahl verschachtelter Tags ist theoretisch nicht begrenzt, praktisch jedoch durch die MTU und die Fähigkeiten der Netzwerkhardware eingeschränkt.

Ein typisches Einsatzszenario für Q-in-Q ist die Bereitstellung von Layer-2-VPNs über ein Metro-Ethernet-Netz. Ein Provider kann jedem Kunden ein eigenes S-VLAN zuweisen und innerhalb dieses VLANs den gesamten VLAN-Raum des Kunden transportieren. Dadurch bleibt die VLAN-Konfiguration des Kunden vollständig erhalten, während der Provider die Kontrolle über die Weiterleitung und Segmentierung behält. Auch in Rechenzentren oder bei der Anbindung von Zweigstellen über Ethernet-Leased-Lines findet Q-in-Q Anwendung, insbesondere wenn Mandantenfähigkeit oder VLAN-Transparenz gefordert ist.

In der Praxis unterscheidet sich die Konfiguration von Q-in-Q je nach Hersteller. Bei Junos erfolgt die Konfiguration typischerweise über sogenannte „Flexible VLAN Tagging“-Interfaces.

Ein Beispiel für eine einfache Q-in-Q-Konfiguration auf einem Juniper-Switch könnte wie folgt aussehen:

set interfaces ge-0/0/1 unit 0 encapsulation flexible-ethernet-services
set interfaces ge-0/0/1 unit 0 vlan-tags outer 100 inner 200
set bridge-domains customer-vlan domain-type bridge
set bridge-domains customer-vlan vlan-id 200
set bridge-domains customer-vlan interface ge-0/0/1.0

Hierbei wird ein Interface so konfiguriert, dass es Frames mit zwei VLAN-Tags akzeptiert, wobei das äußere Tag (S-Tag) 100 und das innere Tag (C-Tag) 200 ist. Die Bridge-Domain sorgt für die Weiterleitung innerhalb des Kunden-VLANs.

Bei Cisco IOS ist die Konfiguration ähnlich, aber in der Syntax deutlich anders. Cisco verwendet den Begriff „Q-in-Q Tunneling“ und aktiviert diesen über das Kommando switchport mode dot1q-tunnel.

Ein Beispiel:

interface GigabitEthernet0/1
 switchport trunk encapsulation dot1q
 switchport mode dot1q-tunnel
 switchport access vlan 100

In diesem Fall wird das Interface in den Dot1Q-Tunnel-Modus versetzt, wodurch es eingehende Frames mit einem VLAN-Tag akzeptiert und ein zusätzliches S-Tag mit VLAN-ID 100 hinzufügt. Der Switch behandelt den gesamten Kundenverkehr als eine Einheit, ohne die inneren VLAN-Tags zu interpretieren.

Ein wichtiger Aspekt beim Einsatz von Q-in-Q ist die MTU-Anpassung. Da jedes zusätzliche VLAN-Tag 4 Byte zum Ethernet-Frame hinzufügt, muss die MTU entsprechend erhöht werden, um Fragmentierung oder Paketverluste zu vermeiden. Viele Carrier setzen daher eine MTU von mindestens 1526 Byte oder höher ein.

Vorteile von Q-in-Q

Ein zentraler Vorteil ist die Skalierbarkeit. Während der klassische 802.1Q-Standard nur 4096 VLANs erlaubt, ermöglicht Q-in-Q eine hierarchische Struktur, bei der jeder Kunde seine eigenen 4096 VLANs innerhalb eines Provider-VLANs nutzen kann. Das ist besonders in Metro-Ethernet-Umgebungen mit vielen Kunden essenziell.

Ein weiterer Vorteil ist die VLAN-Transparenz. Kunden können ihre VLAN-Struktur beibehalten, ohne dass der Provider diese interpretieren oder anpassen muss. Das reduziert Konfigurationsaufwand und Fehlerquellen auf beiden Seiten.

Auch die Mandantenfähigkeit wird durch Q-in-Q verbessert. Mehrere Kunden können über dieselbe physische Infrastruktur getrennt voneinander betrieben werden, ohne dass ihre Datenströme sich vermischen. Das ist besonders wichtig für Service Provider, die Layer-2-VPNs oder Ethernet-Leased-Lines anbieten.

Nicht zuletzt erlaubt Q-in-Q eine einfache Integration in bestehende Netzwerke. Da es auf dem etablierten 802.1Q-Standard aufbaut, ist es mit vielen Geräten kompatibel und erfordert keine grundlegenden Änderungen an der Netzwerkinfrastruktur.

Nachteile von Q-in-Q

Trotz der Vorteile bringt Q-in-Q auch einige Herausforderungen mit sich. Ein wesentlicher Nachteil ist die erhöhte Komplexität. Die Konfiguration und Fehlersuche in einem Q-in-Q-Netzwerk ist anspruchsvoller, da zwei VLAN-Ebenen berücksichtigt werden müssen.

Ein weiterer Punkt ist die MTU-Problematik. Durch das zusätzliche VLAN-Tag vergrößert sich der Ethernet-Frame, was zu Fragmentierung oder Paketverlust führen kann, wenn die MTU nicht entsprechend angepasst wird. Nicht alle Geräte unterstützen Jumbo Frames oder flexible MTU-Einstellungen.

Auch die Sicherheitsaspekte sind zu beachten. Wenn ein Kunde absichtlich oder versehentlich Frames mit manipulierten VLAN-Tags einspeist, kann dies zu VLAN-Hopping oder anderen Angriffen führen. Daher ist eine sorgfältige Filterung und Validierung der VLAN-Tags notwendig.

Zudem ist die Hardwareunterstützung nicht universell. Besonders ältere Switches oder einfache Layer-2-Geräte unterstützen kein doppeltes Tagging oder verarbeiten es fehlerhaft. Das kann zu unerwartetem Verhalten führen.

Q-in-Q in der Praxis

In der praktischen Umsetzung wird Q-in-Q meist an den Edge-Switches eines Provider-Netzes konfiguriert. Diese sogenannten „Provider Edge“ (PE)-Geräte markieren eingehende Frames mit einem zusätzlichen S-Tag, das den Kunden identifiziert. Der restliche Provider-Backbone behandelt den Verkehr dann ausschließlich anhand dieses äußeren Tags.

Ein typischer Ablauf sieht so aus: Ein Kunde sendet einen Ethernet-Frame mit einem VLAN-Tag (z. B. VLAN 10). Der PE-Switch empfängt diesen Frame und fügt ein weiteres VLAN-Tag hinzu (z. B. VLAN 1000). Der Frame wird nun mit zwei VLAN-Tags durch das Provider-Netz transportiert. Am Ziel-PE wird das äußere Tag entfernt, und der Frame wird dem Kunden mit dem ursprünglichen VLAN-Tag übergeben.

In vielen Fällen wird zusätzlich eine MAC-Learning-Bridge-Domain verwendet, um die Weiterleitung innerhalb des Provider-Netzes zu ermöglichen. Alternativ kann auch eine statische Konfiguration oder MPLS-basiertes Transportverfahren zum Einsatz kommen, wenn Q-in-Q mit anderen Technologien kombiniert wird.

In der Fehlerdiagnose ist es wichtig, Tools wie show vlan, monitor traffic, tcpdump oder SPANSessions zu nutzen, um die verschachtelten Tags sichtbar zu machen. Viele Switches bieten auch spezielle Filterregeln oder ACLs, um Frames mit bestimmten S- oder C-Tags gezielt zu analysieren oder zu blockieren.

Zusammenfassend lässt sich sagen, dass Q-in-Q eine elegante und effiziente Methode darstellt, um VLAN-Transparenz und Mandantenfähigkeit in großen Ethernet-Netzen zu realisieren. Sie ist ein zentrales Werkzeug im Werkzeugkasten von Netzwerktechnikern, die mit Carrier-Ethernet, Metro-Netzen oder komplexen Layer-2-Topologien arbeiten.