Le tunnel Dot1Q (q-in-q tunneling) est une technique généralement utilisée par les opérateur pour étendre les VLANs client à plusieurs endroits.
La méthode consiste en l’encapsulation du VLAN client dans un autre VLAN 802.1q. Cela implique par ailleurs d’augmenter la MTU a plus de 1500 sur le switch.
Petit exemple avec une topologie simple :
A gauche (SW1) avec le VLAN 10 de Paris que nous souhaitons étendre à Rennes.
SW1#sh run int fa1/1
interface FastEthernet1/1
description SW1 to SP1
switchport access vlan 10
end
SW1#sh run int vlan 10
interface vlan10
ip address 10.10.10.1 255.255.255.0
end
Ensuite, nous devons configurer l’interface du SP1 du client en mode q-in-q et assigner le metro-tag, ici le VLAN 510.
SP1#sh run int fa1/1
interface FastEthernet1/1
description SW1 to SW4 dot1q
switchport access vlan 510
!! Le VLAN 510 est le metro-tag.
switchport mode dot1q-tunnel
!! Il est possible de tunneller cdp, stp, and vtp également.
!! Ca n'est pas activé par défaut.
l2protocol-tunnel cdp
l2protocol-tunnel stp
l2protocol-tunnel vtp
no cdp enable
end
Maintenant, entre les interfaces opérateurs, il s’agit d’un trunk basique.
SP1#sh run int fa1/2
interface FastEthernet1/2
description connected to SP2
switchport trunk encapsulation dot1q
switchport mode trunk
end
SP2#sh run int fa1/2
interface FastEthernet1/1
description connected to SP1
switchport trunk encapsulation dot1q
switchport mode trunk
end
De l’autre côte, nous devons configurer l’équipement de l’opérateur avec le metro-tag 510.
SP2#sh run int fa1/3
interface FastEthernet1/3
description SW4 to SW1 dot1q
switchport access vlan 510
switchport mode dot1q-tunnel
l2protocol-tunnel cdp
l2protocol-tunnel stp
l2protocol-tunnel vtp
no cdp enable
end
Enfin, configurer l’équipement client sur le VLAN 10.
SW4#sh run int fa1/3
interface FastEthernet1/3
description connected to SP2
switchport access vlan 10
end
SW#sh run int vlan 10
interface vlan10
ip add 10.10.10.4 255.255.255.0
end
Regardons ce qu’il se passe lorsqu’on ping le SW4 depuis le SW1.
SW1#ping 10.10.10.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/10/12 ms
SW1#
Comme nous pouvons le constater, il apparait que le SW4 est directement connecté au SW1.
Réellement, le trafic du VLAN 10 est doublement taggué avec le VLAN 510.
Autrement dit, le VLAN 10 est encapsulé dans le VLAN 510 dans un tunnel q-in-q.
NB : Vous devrez passer à une MTU légèrement supérieure à 1500 sur le SP1 et le SP2 (nécessite un reboot). Sur le Cisco 3750s, la commande MTU fréquemment utilisée est « system mtu 1546 ».