Dot1q-tunneling - это технология инкапсуляции трафика в новый тег без изменения уже имеющихся.  C(lient)-Tag это трафик, приходящий на интерфейс инкапсуляции, который необходимо инкапсулировать в S(ervice)-Tag и передать через наложенную Ethernet-сеть, что бы на выходе из неё предоставить трафик таким, каким он был на входе. Данная технология снискала популярность у операторов связи, позволяя обойти ограничение стандарта 802.1q в максимальное количество VLAN, увеличивая число тегов в 4096 раз!

Технологию dot1q-tunneling предпочтительней всего использовать на устройствах коммутации уровня доступа или агрегации, так как они обладают более широким набором опции для тонкой настройки. Ярким примером служат устройства компании Eltex серии MES2300-xx/MES3300-xx/MES3500I-xx/MES5312/MES53xxA/MES5300-xx/MES5305-48/MES5310-48/MES5400-xx/MES5410-48/MES5500-32 и MES14xx, MES24xx, MES3400-xx, MES37хх. 

Маршрутизаторы серии ESR поддерживают функционал dot1q-tunneling, но их настройка между линейкой устройств с аппаратной и программной коммутацией отличается. В данном примере будет рассмотрен алгоритм настройки для устройств моделей ESR-1000 / 1200 / 1500(11) / 1700, имеющих аппаратный чип коммутации.

Задача:

На маршрутизаторе ESR-1000 интерфейсе Gi 1/0/1 принять клиентский трафик с разными C-Tag VLAN(100, 200 , 300), инкапсулировать в S-Tag VLAN 4000 и отправить в Trunk через интерфейс Gi 1/0/2.

Схема:

Решение:

Создадим VLAN, который будет выступать в качестве S-Tag:

esr# configure 
esr(config)# vlan 4000
esr(config-vlan)# exit

Настроим входящий интерфейс gigabitethernet 1/0/1, на который будет поступать трафик с C-Tag  VLAN. Для этого необходимо указать S-Tag VLAN 4000 как PVID для снятия метки исходящего из интерфейса трафика и как untagged  для назначения VLAN к входящему трафика. Команда switchport dot1q ethertype egress stag 802.1ad позволяет сохранять имеющиеся VLAN C-Tag и назначать на входящий трафик S-Tag метку:

esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)#   mode switchport
esr(config-if-gi)#   switchport forbidden default-vlan
esr(config-if-gi)#   switchport general pvid 4000
esr(config-if-gi)#   switchport dot1q ethertype egress stag 802.1ad
esr(config-if-gi)#   switchport general allowed vlan add 4000 untagged
esr(config-if-gi)# exit

И настроим исходящий интерфейс gigabitethernet 1/0/2 для передачи трафика с C-Tag и S-Tag  VLAN:

esr(config)# interface gigabitethernet 1/0/2
esr(config-if-gi)#   mode switchport
esr(config-if-gi)#   switchport forbidden default-vlan
esr(config-if-gi)#   switchport general allowed vlan add 4000 tagged
esr(config-if-gi)# end

Применим и сохраним выполненные изменения:

esr# commit
esr# confirm

Проверка:

На моделях ESR-1000 / 1200 / 1500(11) /1700 командой monitor <inteface_name> невозможно выполнить запись дампа трафика на интерфейсах в режиме switchport (будет пустой вывод) ввиду особенности реализации этого модельного ряда. 
В связи с этим единственный способ проверки работы функционала на маршрутизаторе это выполнить проверку изучения MAC-адресов в S-Tag VLAN командой show mac address-table vlan <VLAN-ID> :

esr# show mac address-table vlan 4000
VID     MAC Address          Interface                        Type      
-----   ------------------   ------------------------------   -------   
4000    a8:f9:4b:00:00:10    gigabitethernet 1/0/1            Dynamic   
4000    a8:f9:4b:00:00:30    gigabitethernet 1/0/1            Dynamic   
4000    a8:f9:4b:00:00:20    gigabitethernet 1/0/1            Dynamic   
4000    e4:5a:d4:00:00:33    gigabitethernet 1/0/2            Dynamic   
4000    e4:5a:d4:00:00:22    gigabitethernet 1/0/2            Dynamic   
4000    e4:5a:d4:00:00:11    gigabitethernet 1/0/2            Dynamic