IEEE 802.1Q là chuẩn được thiết kế cho việc gán nhãn VLAN. 4 bytes tiêu đề sẽ được thêm vào khung IEEE802.3 tiêu chuẩn và được gọi là nhãn VLAN. Hình vẽ 2-15 minh họa các trường của nhãn VLAN.
SVTH: Phan Dũng Vy Trang 41 Đối với Ethernet, trường Ethernet Type luôn có giá trị 8100H, trường CFI luôn bằng 0. Hai trường quan trọng nhất là VLAN ID có độ dài 12 bit cho phép nhận dạng 4096 VLANs và trường User Priority có độ dài 3 bit.
Đối với mạng doanh nghiệp, các VLAN được dùng để giới hạn lưu lượng mạng nội bộ. Các khung Ethernet của mạng nội bộ sẽ được nhận dạng và ưu tiên qua các trường VLAN ID và User Priority. Thuật ngữ CE-VLAN ID được dùng để nhận dạng VLAN ID trong khung dịch vụ của khách hàng. Nhãn CE-VLAN để nhận dạng nhãn VLAN trong khung dịch vụ của khách hàng.
Như ta thấy 802.1Q có giới hạn về số lượng VLAN có thể nhận dạng được là 4096, không có sự phân biệt rõ ràng giữa mạng của nhà ung cấp và mạng của khách hàng ( không có đánh địa chỉ và VLAN ID riêng) vì thế không đảm bảo an ninh mạng. Để khắc phục vấn đề này gười ta sử dụng Q-in- Q (viết tắt của 802.1Q-in-802.1Q) hay 802.1ad. Trong Q-in-Q nhà cung cấpdichj vụ sẽ thêm một VLAN ID hay còn gọi là P-VLAN vào khung IEEE 802.1Q của khách hàng như minh họa dưới đây.
SVTH: Phan Dũng Vy Trang 42 Nhãn P-VLAN được thêm vào sau địa chỉ MAC nguồn. Nhãn P-VLAN bao gồm P-VLAN ID của nhà cung cấp dịch vụ gồm 12 bit hỗ trợ 4096 giá trị, trường P-VLAN CoS gồm 3 bit cung cấp 8 lớp dịch vụ cho mỗi P-VLAN ID. Ttrường Provider Ethernet Type thường dùng giá trị khác 8100h để chỉ ra nhãn P-VLAN này không phải là nhãn IEEE802.1Q VLAN tiêu chuẩn, trường P-CFI thường bằng 0. Nhãn P-VLAN được sử dụng để nhận dạng dịch vụ.
Nhãn C-VLAN sẽ không bị tác động tới bởi nhà cung cấp. Sau dây là một số đặc điểm cả khả năng của Q-in-Q.
+ Quản lý VLAN khách hàng: Nhà cung cấp sử dụng một P-VLAN
cho mỗi dịch vụ. Nhà cung cấp sẽ ánh xạ C-VLAN ID của khách hàng vào một dịch vụ được nhận dạng bởi một P-VLAN ID. Như vậy C- VLAN ID sẽ được giữ nguyên, khách hàng có thể tự do lựa chọn C- VLAN ID và C-VLAN CoS.
Hình 2-17. Nhãn P-VLAN được thêm vào khung dịch vụ của khách hàng
+ Học địa chỉ MAC và phân chia địa chỉ MAC giữa nhà cung cáp
SVTH: Phan Dũng Vy Trang 43 chia nào giữa các địa chỉ MAC của nhà cung cấp và khách hàng. Vì vậy khi sử dụng Q-in-Q cho dịch vụ E-LAN, thiết bị chuyển mạch của nhà cung cấp phải học toàn bộ các địa chỉ MA trong mạng không phân biệt của nhà cung cấp hay của khách hàng. Do đó làm cho mạng của nhà cung cấp trở thành một mạng lớn như hình vẽ.