QinQ - механизм, который описывает, как тегированный трафик может передаваться внутри уже тегированного 802.1Q трафика. Конфигурация обычно выполняется на портах, обращенных к клиенту.

Настройка базового QinQ заключается в включении режима access на порту с выбранным vlan — это будет s-vlan (service vlan) и добавлении команды dot1q-tunnel enable.
Настройка клиентского порта в access с дополнительным S-VLAN:

switch(config)#interface ethernet 1/0/5
switch(config)#switchport mode access
switch(config)#switchport access vlan 50
switch(config)#dot1q-tunnel enable

Эта конфигурация означает, что весь трафик, поступающий на порт, будет попадать в Vlan 50. Трафик,
который выходит из порта, будет иметь дополнительный тег vlan (из s-vlan).

Пример:

Весь трафик, полученный на портах 7 коммутаторов SW2 и SW3, будет иметь двойной тег (S-TAG = 200)

Настройка портов до ПК на коммутаторах SW1 и SW4:

vlan 100
interface ethernet 1/0/1
description PC
switchport access vlan 100

Настройка портов до коммутаторов SW2 и SW3 на коммутаторах SW1 и SW4:

interface ethernet 1/0/8
switchport switchport mode trunk  

\

Настройка портов 1/0/8 коммутаторов SW2 и SW3:

vlan 200
interface ethernet 1/0/8
switchport mode trunk
switchport trunk allowed vlan 200

В trunk между SW2 и SW3 необходимо разрешить только S-VLAN. C-VLAN добавлять не нужно.

Включение QinQ на портах 1/0/7 (до клиента) на коммутаторах SW1 и SW4:

interface ethernet 1/0/7
switchport access vlan 200
dot1q-tunnel enable

Аналогичная конфигурация SW3:
SW3(config)#vlan 200
SW3(config)#int ethernet 1/0/8
SW3(config-if-ethernet1/0/8)#switchport mode trunk
SW3(config-if-ethernet1/0/8)#switchport trunk allowed vlan 200
SW2(config-if-ethernet1/0/8)#int ethernet 1/0/7
SW2(config-if-ethernet1/0/7)#switchport access vlan 200
SW2(config-if-ethernet1/0/7)#dot1q-tunnel enable