VLAN VPN

VLAN VPN简介

VLAN VPN原理介绍

VPN（Virtual Private Network，虚拟私有网络）是近年来随着Internet 的广泛应用而迅速发展起来的一种新技术，用以实现在公用网络上构建私人专用网络。通过在客户端或运营商接入端对用户报文进行特殊处理，使公网设备可以为用户报文建立专用的传输隧道，保证数据的安全。

VLAN-VPN 是一种简单、灵活的二层VPN 隧道技术，它通过在运营商接入端为用户的私网报文封装外层VLAN Tag，使报文携带两层VLAN Tag 穿越运营商的骨干网络（公网）。在公网中，报文只根据外层VLAN Tag（即公网VLAN Tag）进行传输，用户的私网VLAN Tag 则当作报文中的数据部分来进行传输。

相对于基于 MPLS 的二层VPN，VLAN-VPN具有如下特点：

为用户提供了一种更为简单的二层 VPN 隧道。不需要在公网上配置自动学习的信令协议，可以通过简单的手工配置实现。

VLAN-VPN主要可以解决以下问题：

缓解日益紧缺的公网 VLAN ID 资源问题。用户可以规划自己的私网 VLAN ID，不会导致和公网VLAN ID 冲突。为小型城域网或企业网提供一种较为简单的二层 VPN 解决方案。相对于基于 MPLS的二层VPN，VLAN-VPN具有如下特点：为用户提供了一种更为简单的二层 VPN 隧道。不需要在公网上配置自动学习的信令协议，可以通过简单的手工配置实现。

VLAN VPN实现方式（QinQ）

在开启端口的 VLAN-VPN 功能后，当该端口接收报文时，无论报文是否带有VLAN Tag，交换机都会为该报文封装本端口缺省VLAN的VLAN Tag，并将源MAC地址学习到缺省VLAN 的MAC地址表中。因此，在接收报文时：

如果原报文是已经带有 VLAN Tag 的报文，在进入交换机后将成为带有双层Tag 的报文；如果原报文是不带 VLAN Tag 的报文，在进入交换机后将成为带有端口缺省VLANTag 的报文