Lenovo Flex System Fabric CN4093 Application Manual

10gb converged scalable switch
Hide thumbs

Advertisement

Table of Contents
Lenovo Flex System Fabric CN4093 10Gb Converged Scalable 
Switch 
Application Guide
For Networking OS 8.2

Advertisement

Table of Contents
loading

  Related Manuals for Lenovo Flex System Fabric CN4093

  Summary of Contents for Lenovo Flex System Fabric CN4093

  • Page 1 Lenovo Flex System Fabric CN4093 10Gb Converged Scalable  Switch  Application Guide For Networking OS 8.2...
  • Page 2 Note:  Before using this information and the product it supports, read the general information in the Safety information and  Environmental  Notices and User Guide documents on the Lenovo Documentation CD and the Warranty Information document that comes  with the product. First Edition (March 2015) © Copyright Lenovo 2015 Portions © Copyright IBM Corporation 2014. LIMITED AND RESTRICTED RIGHTS NOTICE: If data or software is delivered pursuant a General Services  Administration “GSA” contract, use, reproduction, or disclosure is subject to restrictions set forth in Contract No.  GS‐35F‐05925. Lenovo and the Lenovo logo are trademarks of Lenovo in the United States, other countries, or both.
  • Page 3: Table Of Contents

    Chapter 2. Initial Setup ..... . 47 Information Needed for Setup   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .47 Default Setup Options .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .48 Stopping and Restarting Setup Manually    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .48 Setup Part 1: Basic System Configuration    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .48 Setup Part 2: Port Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .50 Setup Part 3: VLANs   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .51 Setup Part 4: IP Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .52 IP Interfaces   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .52 Default Gateways .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .53 IP Routing  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .54 Setup Part 5: Final Steps .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .54 Optional Setup for Telnet Support    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .55 © Copyright Lenovo 2015...
  • Page 4 Chapter 3. Service Location Protocol ....57 Active DA Discovery   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 57 SLP Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 58 Chapter 4. System License Keys ....59 Obtaining Activation Keys .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .
  • Page 5 Chapter 9. VLANs ......111 VLANs Overview.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  112 VLANs and Port VLAN ID Numbers   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  113 VLAN Tagging/Trunk Mode .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  117 Ingress VLAN Tagging    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  120 Limitations  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  121 VLAN Topologies and Design Considerations   .   .   .   .   .   .   .   .   .   .   .   .   .   .  122 © Copyright Lenovo 2015 Contents...
  • Page 6 Protocol‐Based VLANs   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   125 Port‐Based vs. Protocol‐Based VLANs .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   125 PVLAN Priority Levels   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   126 PVLAN Tagging   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   126 PVLAN Configuration Guidelines    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   126 Configuring PVLAN   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   126 Private VLANs .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   128 Private VLAN Ports .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   128 Configuration Guidelines   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   129 Configuration Example   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   129 Chapter 10. Ports and Trunking ....131 Configuring Port Modes.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 7 Part 4:. Advanced Switching Features ....199 Chapter 14. Stacking ..... . 201 Stacking Overview   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  202 Stacking Requirements.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  202 Stacking Limitations .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  203 © Copyright Lenovo 2015 Contents...
  • Page 8 Stack Membership   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   204 The Master Switch   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   204 Splitting and Merging One Stack   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   204 Merging Independent Stacks  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   205 Backup Switch Selection .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   207 Master Failover .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   207 Master Recovery   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   207 No Backup .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   207 Stack Member Identification  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   208 Configuring a Stack.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   209 Configuration Overview .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   209 Best Configuration Practices  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   209 Stacking VLANs    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   210 Configuring Each Switch in a Stack  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   210 Configuring a Management IP Interface  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   211 Additional Master Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   212 Viewing Stack Connections .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   213 Binding Members to the Stack    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 9 Fibre Channel over Ethernet  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  262 The FCoE Topology  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  262 FCoE Requirements  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  263 Port Trunking .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  264 Converged Enhanced Ethernet  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  265 Turning CEE On or Off    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  265 Effects on Link Layer Discovery Protocol .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  265 Effects on 802.1p Quality of Service   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  266 Effects on Flow Control   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  267 FCoE Initialization Protocol Snooping .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  268 Global FIP Snooping Settings .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  268 FIP Snooping for Specific Ports  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  268 FIPS Trunk Support on Server Ports  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  268 Port FCF and ENode Detection  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  269 FCoE Connection Timeout  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  269 FCoE ACL Rules   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  270 Optimized FCoE Traffic Flow .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  270 FCoE VLANs .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  271 Viewing FIP Snooping Information   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  271 Operational Commands  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  272 FIP Snooping Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  272 © Copyright Lenovo 2015 Contents...
  • Page 10 Priority‐Based Flow Control  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   274 Global vs. Port‐by‐Port PFC Configuration .   .   .   .   .   .   .   .   .   .   .   .   .   .   275 PFC Configuration Example  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   276 Enhanced Transmission Selection.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   278 802.1p Priority Values .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   278 Priority Groups .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   279 PGID   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   279 Assigning Priority Values to a Priority Group .   .   .   .   .   .   .   .   .   .   .   280 Deleting a Priority Group    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   280 Allocating Bandwidth  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   281 Configuring ETS   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   282 Data Center Bridging Capability Exchange.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   284 DCBX Settings  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   284 Configuring DCBX   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   286 FCoE Example Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   288 Chapter 19. Fibre Channel ....291 Ethernet vs. Fibre Channel .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 11 Part 5:. IP Routing......349 Chapter 24. Basic IP Routing ....351 IP Routing Benefits  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  351 Routing Between IP Subnets  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  351 Subnet Routing Example .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  353 Using VLANs to Segregate Broadcast Domains  .   .   .   .   .   .   .   .   .   .   .   .  355 © Copyright Lenovo 2015 Contents...
  • Page 12 BOOTP Relay Agent   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   357 BOOTP Relay Agent Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   357 Domain‐Specific BOOTP Relay Agent Configuration    .   .   .   .   .   .   .   .   .   358 Dynamic Host Configuration Protocol.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   359 DHCP Relay Agent  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   359 DHCP Relay Agent Configuration    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   361 Chapter 25. Internet Protocol Version 6 ....363 IPv6 Limitations  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   364 IPv6 Address Format  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   365 IPv6 Address Types    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 13 Chapter 31. OSPF ......421 OSPFv2 Overview    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  422 Types of OSPF Areas    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  422 Types of OSPF Routing Devices .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  424 Neighbors and Adjacencies .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  424 The Link‐State Database  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  425 The Shortest Path First Tree    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  425 Internal Versus External Routing   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  425 © Copyright Lenovo 2015 Contents...
  • Page 14 OSPFv2 Implementation in Lenovo N/OS  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   427 Configurable Parameters.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   427 Defining Areas  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   427 Assigning the Area Index    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   428 Using the Area ID to Assign the OSPF Area Number.   .   .   .   .   .   .   .   428 Attaching an Area to a Network.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   429 Interface Cost    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   429 Electing the Designated Router and Backup   .   .   .   .   .   .   .   .   .   .   .   .   .   429 Summarizing Routes   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   430 Default Routes  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   430 Virtual Links .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   432 Router ID   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   433 Authentication  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   433 Configuring Plain Text OSPF Passwords  .   .   .   .   .   .   .   .   .   .   .   .   .   434 Configuring MD5 Authentication  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   434 Host Routes for Load Balancing.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   435 Loopback Interfaces in OSPF .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 15 Part 7:. Network Management ....487 Chapter 36. Link Layer Discovery Protocol ... . . 489 LLDP Overview   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  489 Enabling or Disabling LLDP  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  491 Global LLDP Setting .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  491 Transmit and Receive Control    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  491 © Copyright Lenovo 2015 Contents...
  • Page 16 LLDP Transmit Features.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   492 Scheduled Interval   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   492 Minimum Interval    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   492 Time‐to‐Live for Transmitted Information  .   .   .   .   .   .   .   .   .   .   .   .   .   .   493 Trap Notifications    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   493 Changing the LLDP Transmit State  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   494 Types of Information Transmitted.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   495 LLDP Receive Features   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   496 Types of Information Received  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   496 Viewing Remote Device Information   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   496 Time‐to‐Live for Received Information    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   498 LLDP Example Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   500 Chapter 37. Simple Network Management Protocol..501 SNMP Version 1  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 17 People’s Republic of China Class A electronic emission statement .   .   .   .   .   .  551 Taiwan Class A compliance statement .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  552 Index ......553 © Copyright Lenovo 2015 Contents...
  • Page 18 CN4093 Application Guide for N/OS 8.2...
  • Page 19: Preface

     Chapter 1, “Switch Administration,” describes how to access the CN4093 in  order to configure the switch and view switch information and statistics. This  chapter discusses a variety of manual administration interfaces, including local  management via the switch console, and remote administration via Telnet, a  web browser, or via SNMP.  Chapter 2, “Initial Setup,” describes how to use the built‐in Setup utility to  perform first‐time configuration of the switch.  Chapter 3, “Service Location Protocol,” describes the Service Location Protocol  (SLP) that allows the switch to provide dynamic directory services.  Chapter 4, “System License Keys,” describes how to manage Features on  Demand (FoD) licenses and how to allocate bandwidth between physical ports  within the installed licenses’ limitations. Part 2: Securing the Switch  Chapter 5, “Securing Administration,” describes methods for changing the  default switch passwords, using Secure Shell and Secure Copy for  administration connections, configuring end‐user access control, and placing  the switch in protected mode.  Chapter 6, “Authentication & Authorization Protocols,” describes different  secure administration for remote administrators. This includes using Remote  Authentication Dial‐in User Service (RADIUS), as well as TACACS+ and LDAP. © Copyright Lenovo 2015...
  • Page 20 (STP) configures the network so that the switch selects the most efficient path  when multiple paths exist. Also includes the Rapid Spanning Tree Protocol  (RSTP), Per‐VLAN Rapid Spanning Tree Plus (PVRST+), and Multiple Spanning  Tree Protocol (MSTP) extensions to STP.  Chapter 12, “Virtual Link Aggregation Groups,” describes using Virtual Link  Aggregation Groups (VLAG) to form trunks spanning multiple VLAG‐capable  aggregator switches.  Chapter 13, “Quality of Service,” discusses Quality of Service (QoS) features,  including IP filtering using Access Control Lists (ACLs), Differentiated Services,  and IEEE 802.1p priority values. Part 4: Advanced Switching Features  Chapter 14, “Stacking,” describes how to implement the stacking feature in the  Lenovo Flex System Fabric CN4093 10Gb Converged Scalable Switch.  Chapter 15, “Virtualization,” provides an overview of allocating resources   based on the logical needs of the data center, rather than on the strict, physical  nature of components.  Chapter 16, “Virtual NICs,” discusses using virtual NIC (vNIC) technology to  divide NICs into multiple logical, independent instances. Chapter 17, “VMready,” discusses virtual machine (VM) support on the   CN4093.  Chapter 18, “FCoE and CEE,” discusses using various Converged Enhanced  Ethernet (CEE) features such as Priority‐based Flow Control (PFC), Enhanced ...
  • Page 21 28, “Internet Group Management Protocol,” describes how the Lenovo  N/OS software implements IGMP Snooping or IGMP Relay to conserve  bandwidth in a multicast‐switching environment. Chapter 29, “Multicast Listener Discovery,” describes how Multicast Listener   Discovery (MLD) is used with IPv6 to support host users requests for multicast  data for a multicast group.  Chapter 30, “Border Gateway Protocol,” describes Border Gateway Protocol  (BGP) concepts and features supported in Lenovo N/OS. Chapter 31, “OSPF,” describes key Open Shortest Path First (OSPF) concepts   and their implemented in Lenovo N/OS, and provides examples of how to  configure your switch for OSPF support.  Chapter 32, “Protocol Independent Multicast,” describes how multicast routing  can be efficiently accomplished using the Protocol Independent Multicast (PIM)  feature. Part 6: High Availability Fundamentals  Chapter 33, “Basic Redundancy,” describes how the CN4093 supports  redundancy through trunking and Hotlinks.   Chapter 34, “Layer 2 Failover,” describes how the CN4093 supports  high‐availability network topologies using Layer 2 Failover. © Copyright Lenovo 2015 Preface...
  • Page 22: Additional References

    Chapter 39, “sFLOW, described how to use the embedded sFlow agent for  sampling network traffic and providing continuous monitoring information to a  central sFlow analyzer. Chapter 40, “Port Mirroring,” discusses tools how copy selected port traffic to a   monitor port for network analysis. Part 9: Appendices  Appendix A, “Glossary,” describes common terms and concepts used  throughout this guide.  Appendix B, “Getting help and technical assistance,” describes how to get help.   Appendix C, “Notices,” provides trademark and other compliance information.  Additional References Additional information about installing and configuring the CN4093 is available in  the following guides:  Lenovo Flex System Fabric CN4093 10Gb Converged Scalable Switch Installation  Guide  Lenovo N/OS Menu‐Based CLI Command Reference  Lenovo N/OS  ISCLI Command Reference   Lenovo N/OS  Browser‐Based Interface Quick Guide CN4093 Application Guide for N/OS 8.2...
  • Page 23: Typographic Conventions

    To establish a Telnet session,  command examples as a  enter: host# telnet <IP address> parameter placeholder. Replace  the indicated text with the  appropriate real name or value  when using the command. Do not  type the brackets. This also shows book titles,  Read your User’s Guide  special terms, or words to be  thoroughly. emphasized. host# ls [­a] Command items shown inside  brackets are optional and can be  used or excluded as the situation  demands. Do not type the  brackets. The vertical bar ( | ) is used in  host# set left|right command examples to separate  choices where multiple options  exist. Select only one of the listed  options. Do not type the vertical  bar. This block type depicts menus,  Click the Save button. AaBbCc123 buttons, and other controls that  appear in Web browsers and other  graphical interfaces. © Copyright Lenovo 2015 Preface...
  • Page 24 CN4093 Application Guide for N/OS 8.2...
  • Page 25: Part 1: Getting Started

    Part 1: Getting Started © Copyright Lenovo 2015...
  • Page 26 CN4093 Application Guide for N/OS 8.2...
  • Page 27: Chapter 1. Switch Administration

    Administration Interfaces The switch software provides a variety of user‐interfaces for administration. These  interfaces vary in character and in the methods used to access them: some are  text‐based, and some are graphical; some are available by default, and some  require configuration; some can be accessed by local connection to the switch, and  others are accessed remotely using various client applications. For example,  administration can be performed using any of the following: The Flex System chassis management module tools for general chassis   management  A built‐in, text‐based command‐line interface and menu system for access via  serial‐port connection or an optional Telnet or SSH session  The built‐in Browser‐Based Interface (BBI) available using a standard  web‐browser  SNMP support for access through network management software such as IBM  Director. The specific interface chosen for an administrative session depends on user  preferences, as well as the switch configuration and the available client tools. In all cases, administration requires that the switch hardware is properly installed  and turned on. (see the Lenovo Flex System Fabric CN4093 10Gb Converged Scalable  Switch Installation Guide).  Chassis Management Module The CN4093 10Gb Converged Scalable Switch is an integral subsystem within the  overall Lenovo Flex System. The Flex System chassis also includes a chassis  management module (CMM) as the central element for overall chassis  management and control. Using the tools available through the CMM, the  administrator can configure many of the CN4093 features and can also access other  CN4093 administration interfaces. For more information, see “Using the Chassis Management Module” on page © Copyright Lenovo 2015...
  • Page 28: Industry Standard Command Line Interface

    Industry Standard Command Line Interface The Industry Standard Command Line Interface (ISCLI) provides a simple, direct  method for switch administration. Using a basic terminal, you can issue  commands that allow you to view detailed information and statistics about the  switch, and to perform any necessary configuration and switch software  maintenance. You can establish a connection to the CLI in any of the following ways:  Serial connection via the serial port on the CN4093 (this option is always avail‐ able)  Telnet connection over the network  SSH connection over the network When you first access the switch, you must enter the default username and  password: USERID; PASSW0RD (with a zero). You are required to change the  password after first login.  Browser-Based Interface The Browser‐based Interface (BBI) provides access to the common configuration,  management and operation features of the CN4093 through your Web browser. For more information, refer to the Lenovo N/OS BBI Quick Guide. CN4093 Application Guide for N/OS 8.2...
  • Page 29: Establishing A Connection

    IPv4 Address Assigned by CMM  Bay 1 10.90.90.91 192.168.70.120  Bay 2 10.90.90.92 192.168.70.121  Bay 3 10.90.90.93 192.168.70.122  Bay 4 10.90.90.94 192.168.70.123 Note: CN4093s installed in Bay 1 and Bay 2 connect to server NICs 1 and 2, respectively. © Copyright Lenovo 2015 Chapter 1: Switch Administration...
  • Page 30: Using Telnet

    Using Telnet A Telnet connection offers the convenience of accessing the switch from a  workstation connected to the network. Telnet access provides the same options for  user and administrator access as those available through the console port. By default, Telnet access is disabled. Use the following commands (available on the  console only) to enable or disable Telnet access:  CN4093(config)# [no] access telnet enable Once the switch is configured with an IP address and gateway, you can use Telnet  to access switch administration from any workstation connected to the  management network. To establish a Telnet connection with the switch, run the Telnet program on your  workstation and issue the following Telnet command: telnet <switch IPv4 or IPv6 address>  You will then be prompted to enter a password as explained “Switch Login Levels”  on page Two attempts are allowed to log in to the switch. After the second unsuccessful  attempt, the Telnet client is disconnected via TCP session closure.  Using Secure Shell Although a remote network administrator can manage the configuration of a  CN4093 via Telnet, this method does not provide a secure connection. The Secure  Shell (SSH) protocol enables you to securely log into another device over a network  to execute commands remotely. As a secure alternative to using Telnet to manage  switch configuration, SSH ensures that all data sent over the network is encrypted  and secure. The switch can do only one session of key/cipher generation at a time. Thus, a  SSH/SCP client will not be able to login if the switch is doing key generation at that  time. Similarly, the system will fail to do the key generation if a SSH/SCP client is  logging in at that time. The supported SSH encryption and authentication methods are listed below.  Server Host Authentication: Client RSA‐authenticates the switch when starting  each connection  Key Exchange: ecdh‐sha2‐nistp521, ecdh‐sha2‐nistp384, ecdh‐sha2‐nistp256,  ecdh‐sha2‐nistp224, ecdh‐sha2‐nistp192, rsa2048‐sha256, rsa1024‐sha1,  diffie‐hellman‐group‐exchange‐sha256, diffie‐hellman‐group‐exchange‐sha1,  diffie‐hellman‐group14‐sha1, diffie‐hellman‐group1‐sha1 ...
  • Page 31  User Authentication: Local password authentication, RADIUS, TACACS+ The following SSH clients have been tested:  OpenSSH_5.1p1 Debian‐3ubuntu1  SecureCRT 5.0 (Van Dyke Technologies, Inc.)  Putty beta 0.60 Note: The Lenovo N/OS implementation of SSH supports version 2.0 and supports SSH client version 2.0. Using SSH with Password Authentication By default, the SSH feature is enabled. For information about enabling and using  SSH for switch access, see “Secure Shell and Secure Copy” on page Once the IP parameters are configured and the SSH service is enabled, you can  access the command line interface using an SSH connection. To establish an SSH connection with the switch, run the SSH program on your  workstation by issuing the SSH command, followed by the switch IPv4 or IPv6  address: # ssh <switch IP address> You will then be prompted to enter a password as explained “Switch Login Levels”  on page Using SSH with Public Key Authentication SSH can also be used for switch authentication based on asymmetric cryptography. ...
  • Page 32: Using A Web Browser

    Note: A user account can have up to 100 public keys set up on the switch. c. Configure a maximum number of 3 failed public key authentication attempts  before the system reverts to password‐based authentication: CN4093(config)# ssh maxauthattempts 3 Once the public key is configured on the switch, the client can use SSH to login  from a system where the private key pair is set up: # ssh <switch IP address> Using a Web Browser The switch provides a Browser‐Based Interface (BBI) for accessing the common  configuration, management and operation features of the CN4093 through your  Web browser. You can access the BBI directly from an open Web browser window. Enter the URL  using the IP address of the switch interface (for example, http://<IPv4 or IPv6  address>). When you first access the switch, you must enter the default username and  password: USERID; PASSW0RD (with a zero). You are required to change the  password after first login.  Configuring HTTP Access to the BBI By default, BBI access via HTTP is disabled on the switch. To enable or disable HTTP access to the switch BBI, use the following commands:     CN4093(config)# access http enable (Enable HTTP access) ‐or‐ CN4093(config)# no access http enable (Disable HTTP access) The default HTTP web server port to access the BBI is port 80. However, you can  change the default Web server port with the following command:   CN4093(config)# access http port <TCP port number>  To access the BBI from a workstation, open a Web browser window and type in the  URL using the IP address of the switch interface (for example, http://<IPv4 or  IPv6 address>).
  • Page 33: Configuring Https Access To The Bbi

    3. Generate the HTTPS certificate. Accessing the BBI via HTTPS requires that you generate a certificate to be used  during the key exchange. A default certificate is created the first time HTTPS is  enabled, but you can create a new certificate defining the information you want to  be used in the various fields.   CN4093(config)# access https generate­certificate Country Name (2 letter code) []: <country code> State or Province Name (full name) []: <state> Locality Name (eg, city) []: <city> Organization Name (eg, company) []: <company> Organizational Unit Name (eg, section) []: <org. unit> Common Name (eg, YOUR name) []:  <name> Email (eg, email address) []: <email address> Confirm generating certificate? [y/n]: y Generating certificate. Please wait (approx 30 seconds) restarting SSL agent 4. Save the HTTPS certificate. The certificate is valid only until the switch is rebooted. To save the certificate so  that it is retained beyond reboot or power cycles, use the following command:  CN4093(config)# access https save­certificate When a client (such as a web browser) connects to the switch, the client is asked to  accept the certificate and verify that the fields match what is expected. Once BBI  access is granted to the client, the BBI can be used as described in the Lenovo N/OS  BBI Quick Guide. © Copyright Lenovo 2015 Chapter 1: Switch Administration...
  • Page 34: Bbi Summary

    BBI Summary The BBI is organized at a high level as follows: Context buttons—These buttons allow you to select the type of action you wish to  perform. The Configuration button provides access to the configuration elements  for the entire switch. The Statistics button provides access to the switch statistics  and state information. The Dashboard button allows you to display the settings and  operating status of a variety of switch features. Navigation Window—This window provides a menu list of switch features and  functions:   System—this folder provides access to the configuration elements for the entire  switch.  Switch Ports—Configure each of the physical ports on the switch. Port‐Based Port Mirroring—Configure port mirroring behavior.   Layer 2—Configure Layer 2 features for the switch.  RMON Menu—Configure Remote Monitoring features for the switch.  Layer 3—Configure Layer 3 features for the switch.  QoS—Configure Quality of Service features for the switch. Access Control—Configure Access Control Lists to filter IP packets.   Virtualization – Configure VMready for virtual machine (VM) support. For information on using the BBI, refer to the Lenovo N/OS BBI Quick Guide. CN4093 Application Guide for N/OS 8.2...
  • Page 35: Using Simple Network Management Protocol

    Using Simple Network Management Protocol Lenovo N/OS provides Simple Network Management Protocol (SNMP) version 1,  version 2, and version 3 support for access through any network management  software, such as IBM Director. To access the SNMP agent on the CN4093, the read and write community strings  on the SNMP manager should be configured to match those on the switch.  The read and write community strings on the switch can be changed using the  following commands:  CN4093(config)# snmp­server read­community <1‐32 characters> ‐and‐ CN4093(config)# snmp­server write­community <1‐32 characters> The SNMP manager should be able to reach any one of the IP interfaces on the  switch. For the SNMP manager to receive the SNMPv1 traps sent out by the SNMP agent  on the switch, configure the trap host on the switch with the following commands:  CN4093(config)# snmp­server trap­source <trap source IP interface> CN4093(config)# snmp­server host <IPv4 address> <trap host community string> For more information on SNMP usage and configuration, see “Simple Network  Management Protocol” on page 501. © Copyright Lenovo 2015 Chapter 1: Switch Administration...
  • Page 36: Bootp/Dhcp Client Ip Address Services

    BOOTP/DHCP Client IP Address Services For remote switch administration, the client terminal device must have a valid IP  address on the same network as a switch interface. The IP address on the client  device may be configured manually, or obtained automatically using IPv6 stateless  address configuration, or an IPv4 address may obtained automatically via BOOTP  or DHCP relay as discussed below. The CN4093 can function as a relay agent for Bootstrap Protocol (BOOTP) or  DHCP. This allows clients to be assigned an IPv4 address for a finite lease period,  reassigning freed addresses later to other clients. Acting as a relay agent, the switch can forward a client’s IPv4 address request to up  to five BOOTP/DHCP servers. In addition to the five global BOOTP/DHCP servers,  up to five domain‐specific BOOTP/DHCP servers can be configured for each of up  to 10 VLANs. When a switch receives a BOOTP/DHCP request from a client seeking an IPv4  address, the switch acts as a proxy for the client. The request is forwarded as a UDP  Unicast MAC layer message to the BOOTP/DHCP servers configured for the  client’s VLAN, or to the global BOOTP/DHCP servers if no domain‐specific  BOOTP/DHCP servers are configured for the client’s VLAN. The servers respond  to the switch with a Unicast reply that contains the IPv4 default gateway and the  IPv4 address for the client. The switch then forwards this reply back to the client. DHCP is described in RFC 2131, and the DHCP relay agent supported on the  CN4093 is described in RFC 1542. DHCP uses UDP as its transport protocol. The  client sends messages to the server on port 67 and the server sends messages to the  client on port 68. BOOTP and DHCP relay are collectively configured using the BOOTP commands  and menus on the CN4093. Host Name Configuration The CN4093 supports DHCP host name configuration as described in RFC 2132,  option 12. DHCP host name configuration is enabled by default. Host name can be manually configured using the following command:  CN4093(config)# hostname <name> If the host name is manually configured, the switch does not replace it with the  host name received from the DHCP server.
  • Page 37: Syslog Server

    SYSLOG Server During switch startup, if the switch fails to get the configuration file, a message can  be recorded in the SYSLOG server. The CN4093 supports requesting of a SYSLOG server IP address from the DHCP  server as described in RFC 2132, option 7. DHCP SYSLOG server request option is  enabled by default. Manually configured SYSLOG server takes priority over DHCP SYSLOG server.  Up to two SYSLOG server addresses received from the DHCP server can be used.  The SYSLOG server can be learnt over a management port or a data port. Use the CN4093# show logging command to view the SYSLOG server address. DHCP SYSLOG server address option can be enabled/disabled using the following  command:  CN4093(config)# [no] system dhcp syslog © Copyright Lenovo 2015 Chapter 1: Switch Administration...
  • Page 38: Switch Login Levels

    Switch Login Levels To enable better switch management and user accountability, three levels or classes  of user access have been implemented on the CN4093. Levels of access to CLI, Web  management functions, and screens increase as needed to perform various switch  management tasks. Conceptually, access classes are defined as follows:   User interaction with the switch is completely passive—nothing can be changed  on the CN4093. Users may display information that has no security or privacy  implications, such as switch statistics and current operational state information.  Operators can only effect temporary changes on the CN4093. These changes will  be lost when the switch is rebooted/reset. Operators have access to the switch  management features used for daily switch operations. Because any changes an  operator makes are undone by a reset of the switch, operators cannot severely  impact switch operation.  Administrators are the only ones that may make permanent changes to the  switch configuration—changes that are persistent across a reboot/reset of the  switch. Administrators can access switch functions to configure and  troubleshoot problems on the CN4093. Because administrators can also make  temporary (operator‐level) changes as well, they must be aware of the  interactions between temporary and permanent changes. Access to switch functions is controlled through the use of unique user names and  passwords. Once you are connected to the switch via console, remote Telnet, or  SSH, you are prompted to enter a password. The default user names/password for  each access level are listed in the following table. Note: It is recommended that you change default switch passwords after initial configuration and as regularly as required under your network security policies.
  • Page 39 To disable admin account, use the command: CN4093(config)# no access user administrator­enable. Admin account can be disabled only if there is at least one user account enabled and configured with administrator privilege. © Copyright Lenovo 2015 Chapter 1: Switch Administration...
  • Page 40: Secure Ftp

    Secure FTP Lenovo N/OS supports Secure FTP (SFTP) to the switch. SFTP uses Secure Shell  (SSH) to transfer files. SFTP encrypts both commands and data, and prevents  passwords and sensitive information from being transmitted openly over the  network.  All file transfer commands include SFTP support along with FTP and TFTP  support. SFTP is available through the menu‐based CLI, ISCLI, BBI, and SNMP.  The following examples illustrate SFTP support for ISCLI commands:   CN4093# copy sftp {image1|image2|boot­image} [mgt­port|data­port]           (Copy software image from SFTP server to the switch) CN4093# copy sftp {ca­cert|host­cert|host­key} [mgt­port|data­port]           (Copy HTTPS certificate or host key from SFTP server to the switch) CN4093 Application Guide for N/OS 8.2...
  • Page 41: Boot Strict Mode

    Acceptable Protocols and Algorithms Protocol/Function Strict Mode Algorithm Compatibility Mode Algorithm BGP does not comply with NIST SP Acceptable 800-131A specification. When in strict mode, BGP is disabled. However, it can be enabled, if required. © Copyright Lenovo 2015 Chapter 1: Switch Administration...
  • Page 42 Table 4. Acceptable Protocols and Algorithms Protocol/Function Strict Mode Algorithm Compatibility Mode Algorithm Certificate RSA-2048 RSA 2048 Generation SHA-256 SHA 256 Certificate RSA 2048 or higher Acceptance SHA 224 or higher SHA, SHA2 HTTPS TLS 1.2 only TLS 1.0, 1.1, 1.2 “Acceptable Cipher Suites” on “Acceptable Cipher Suites”...
  • Page 43 ARCFOUR HMAC-SHA1 HMAC-SHA1 HMAC-SHA1-96 HMAC-SHA1-96 HMAC-MD5 HMAC-MD5-96 TACACS+ TACACS+ does not comply with NIST Acceptable SP 800-131A specification. When in strict mode, TACACS+ is disabled. However, it can be enabled, if required. © Copyright Lenovo 2015 Chapter 1: Switch Administration...
  • Page 44: Acceptable Cipher Suites

    Acceptable Cipher Suites The following cipher suites are acceptable (listed in the order of preference) when  the CN4093 10Gb Converged Scalable Switch is in compatibility mode:  Table 5. List of Acceptable Cipher Suites in Compatibility Mode Cipher ID Key  Authenticati Encryption MAC Cipher Name Exchan 0xC027 ECDHE AES_128_CB SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA2 0xC013 ECDHE AES_128_CB SHA1 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC012 ECDHE 3DES SHA1 SSL_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 0xC011 ECDHE SHA1 SSL_ECDHE_RSA_WITH_RC4_128_SHA 0x002F AES_128_CB SHA1 TLS_RSA_WITH_AES_128_CBC_SHA 0x003C AES_128_CB SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256 0x0005...
  • Page 45: Limitations

    When strict mode is enabled, you will see the following message:  Warning, security strict mode limits the cryptographic algorithms used by  secure protocols on this switch. Please see the documentation for full  details, and verify that peer devices support acceptable algorithms  before enabling this mode. The mode change will take effect after  reloading the switch and the configuration will be wiped during the  reload. System will enter security strict mode with default factory  configuration at next boot up.   Do you want SNMPV3 support old default users in strict mode (y/n)? For SNMPv3 default users, see “SNMP Version 3” on page 502. When strict mode is disabled, the following message is displayed:  Warning, disabling security strict mode. The mode change will take effect  after reloading the switch. You must reboot the switch for the boot strict mode enable/disable to take effect. Limitations In Lenovo N/OS 8.2, consider the following limitation/restrictions if you need to  operate the switch in boot strict mode:  Power ITEs and High‐Availability features do not comply with NIST SP  800‐131A specification. The CN4093 will not discover Platform agents/Common agents that are not in   strict mode. Web browsers that do not use TLS 1.2 cannot be used.   Limited functions of the switch managing Windows will be available. © Copyright Lenovo 2015 Chapter 1: Switch Administration...
  • Page 46 CN4093 Application Guide for N/OS 8.2...
  • Page 47: Chapter 2. Initial Setup

    To help with the initial process of configuring your switch, the Lenovo N/OS  software includes a Setup utility. The Setup utility prompts you step‐by‐step to  enter all the necessary information for basic configuration of the switch. Setup can be activated manually from the command line interface any time after  login: CN4093(config)# setup  Information Needed for Setup Setup requests the following information:  Basic system information Date & time  Whether to use Spanning Tree Group or not   Optional configuration for each port Speed, duplex, flow control, and negotiation mode (as appropriate)  Whether to use VLAN tagging or not (as appropriate)   Optional configuration for each VLAN Name of VLAN  Which ports are included in the VLAN   Optional configuration of IP parameters IP address/mask and VLAN for each IP interface  IP addresses for default gateway  Whether IP forwarding is enabled or not  © Copyright Lenovo 2015...
  • Page 48: Default Setup Options

    3. Enter the following command at the prompt:  CN4093(config)# setup Stopping and Restarting Setup Manually Stopping Setup To abort the Setup utility, press <Ctrl‐C> during any Setup question. When you  abort Setup, the system will prompt: Would you like to run from top again? [y/n] Enter n to abort Setup, or y to restart the Setup program at the beginning. Restarting Setup You can restart the Setup utility manually at any time by entering the following  command at the administrator prompt: CN4093(config)# setup Setup Part 1: Basic System Configuration When Setup is started, the system prompts: "Set Up" will walk you through the configuration of   System Date and Time, Spanning Tree, Port Speed/Mode,   VLANs, and IP interfaces. [type Ctrl­C to abort "Set Up"] 1. Enter y if you will be configuring VLANs. Otherwise enter n. If you decide not to configure VLANs during this session, you can configure them  later using the configuration menus, or by restarting the Setup facility. For more  information on configuring VLANs, see the Lenovo N/OS Application Guide.  Next, the Setup utility prompts you to input basic system information. CN4093 Application Guide for N/OS 8.2...
  • Page 49 3. Enter the month of the current system date at the prompt: System Date: Enter month [1]: Enter the month as a number from 1 to 12. To keep the current month, press  <Enter>. 4. Enter the day of the current date at the prompt: Enter day [3]: Enter the date as a number from 1 to 31. To keep the current day, press <Enter>. The system displays the date and time settings: System clock set to 18:55:36 Wed Jan 28, 2012. 5. Enter the hour of the current system time at the prompt: System Time: Enter hour in 24­hour format [18]: Enter the hour as a number from 00 to 23. To keep the current hour, press <Enter>. 6. Enter the minute of the current time at the prompt: Enter minutes [55]: Enter the minute as a number from 00 to 59. To keep the current minute, press  <Enter>. 7. Enter the seconds of the current time at the prompt: Enter seconds [37]: Enter the seconds as a number from 00 to 59. To keep the current second, press  <Enter>. The system then displays the date and time settings: System clock set to 8:55:36 Wed Jan 28, 2012. 8. Turn BOOTP on or off at the prompt:  BootP Option: Current BOOTP: disabled Enter new BOOTP [d/e]: © Copyright Lenovo 2015 Chapter 2: Initial Setup...
  • Page 50: Setup Part 2: Port Configuration

    Enter e to enable BOOTP, or enter d to disable BOOTP.  9. Turn Spanning Tree Protocol on or off at the prompt: Spanning Tree: Current Spanning Tree Group 1 setting: ON Turn Spanning Tree Group 1 OFF? [y/n] Enter y to turn off Spanning Tree, or enter n to leave Spanning Tree on. Setup Part 2: Port Configuration Note: When configuring port options for your switch, some prompts and options may be different. 1. Select whether you will configure VLANs and VLAN tagging for ports:   Port Config: Will you configure VLANs and Tagging/Trunk­mode for ports? [y/n] If you wish to change settings for VLANs, enter y, or enter n to skip VLAN  configuration.  Note: The sample screens that appear in this document might differ slightly from the screens displayed by your system.
  • Page 51: Setup Part 3: Vlans

    Setup Part 3: VLANs If you chose to skip VLANs configuration back in Part 2, skip to “Setup Part 4: IP  Configuration” on page 1. Select the VLAN to configure, or skip VLAN configuration at the prompt: VLAN Config: Enter VLAN number from 2 to 4094, NULL at end: If you wish to change settings for individual VLANs, enter the number of the  VLAN you wish to configure. To skip VLAN configuration, press <Enter> without  typing a VLAN number and go to “Setup Part 4: IP Configuration” on page 2. Enter the new VLAN name at the prompt: Current VLAN name: VLAN 2 Enter new VLAN name: Entering a new VLAN name is optional. To use the pending new VLAN name,  press <Enter>.  3. Enter the VLAN port numbers:  Define Ports in VLAN: Current VLAN 2:  empty Enter ports one per line, NULL at end: Enter each port, by port number, and confirm placement of the port into this  VLAN. When you are finished adding ports to this VLAN, press <Enter> without  specifying any port.  4. Configure Spanning Tree Group membership for the VLAN:  Spanning Tree Group membership: Enter new STG index [1­128](802.1d)/[1](RSTP)/[0­32](MSTP):  © Copyright Lenovo 2015 Chapter 2: Initial Setup...
  • Page 52: Setup Part 4: Ip Configuration

    5. The system prompts you to configure the next VLAN:  VLAN Config: Enter VLAN number from 2 to 4094, NULL at end: Repeat the steps in this section until all VLANs have been configured. When all  VLANs have been configured, press <Enter> without specifying any VLAN.  Setup Part 4: IP Configuration The system prompts for IPv4 parameters. Although the switch supports both IPv4 and IPv6 networks, the Setup utility  permits only IPv4 configuration. For IPv6 configuration, see “Internet Protocol  Version 6” on page 363.  IP Interfaces IP interfaces are used for defining the networks to which the switch belongs. Up to 128 IP interfaces can be configured on the CN4093 10Gb Converged Scalable  Switch (CN4093). The IP address assigned to each IP interface provides the switch  with an IP presence on your network. No two IP interfaces can be on the same IP  network. The interfaces can be used for connecting to the switch for remote  configuration, and for routing between subnets and VLANs (if used). Note: Interfaces125-128 is reserved for IPv4 switch management. 1. Select the IP interface to configure, or skip interface configuration at the prompt: IP Config: IP interfaces: Enter interface number: (1­128)  If you wish to configure individual IP interfaces, enter the number of the IP  interface you wish to configure. To skip IP interface configuration, press <Enter>  without typing an interface number and go to “Default Gateways” on page 53. ...
  • Page 53: Default Gateways

    Enable IP interface? [y/n] 6. The system prompts you to configure another interface: Enter interface number: (1­128)  Repeat the steps in this section until all IP interfaces have been configured. When  all interfaces have been configured, press <Enter> without specifying any interface  number. Default Gateways 1. At the prompt, select an IP default gateway for configuration, or skip default  gateway configuration: IP default gateways: Enter default gateway number: (1­3, 4)  Enter the number for the IP default gateway to be configured. To skip default  gateway configuration, press <Enter> without typing a gateway number and go to  “IP Routing” on page 2. At the prompt, enter the IPv4 address for the selected default gateway: Current IP address:     0.0.0.0 Enter new IP address: Enter the IPv4 address in dotted decimal notation, or press <Enter> without  specifying an address to accept the current setting. 3. At the prompt, enter y to enable the default gateway, or n to leave it disabled: Enable default gateway? [y/n] 4. The system prompts you to configure another default gateway: Enter default gateway number: (1­4)  Repeat the steps in this section until all default gateways have been configured.  When all default gateways have been configured, press <Enter> without specifying  any number.  © Copyright Lenovo 2015 Chapter 2: Initial Setup...
  • Page 54: Ip Routing

    IP Routing When IP interfaces are configured for the various IP subnets attached to your  switch, IP routing between them can be performed entirely within the switch. This  eliminates the need to send inter‐subnet communication to an external router  device. Routing on more complex networks, where subnets may not have a direct  presence on the CN4093, can be accomplished through configuring static routes or  by letting the switch learn routes dynamically. This part of the Setup program prompts you to configure the various routing  parameters. At the prompt, enable or disable forwarding for IP Routing: Enable IP forwarding? [y/n] Enter y to enable IP forwarding. To disable IP forwarding, enter n. To keep the  current setting, press <Enter>. Setup Part 5: Final Steps 1. When prompted, decide whether to restart Setup or continue: Would you like to run from top again? [y/n] Enter y to restart the Setup utility from the beginning, or n to continue. 2. When prompted, decide whether you wish to review the configuration changes: Review the changes made? [y/n] Enter y to review the changes made during this session of the Setup utility. Enter n  to continue without reviewing the changes. We recommend that you review the  changes. 3. Next, decide whether to apply the changes at the prompt: Apply the changes? [y/n] Enter y to apply the changes, or n to continue without applying. Changes are  normally applied. 4. At the prompt, decide whether to make the changes permanent: Save changes to flash? [y/n] Enter y to save the changes to flash. Enter n to continue without saving the  changes. Changes are normally saved at this point. 5. If you do not apply or save the changes, the system prompts whether to abort them: Abort all changes? [y/n] CN4093 Application Guide for N/OS 8.2...
  • Page 55: Optional Setup For Telnet Support

    “Changing the Switch Passwords” on page Optional Setup for Telnet Support Note: This step is optional. Perform this procedure only if you are planning on connecting to the CN4093 through a remote Telnet connection. 1. Telnet is enabled by default. To change the setting, use the following command:   CN4093(config)# no access telnet © Copyright Lenovo 2015 Chapter 2: Initial Setup...
  • Page 56 CN4093 Application Guide for N/OS 8.2...
  • Page 57: Chapter 3. Service Location Protocol

     Service Agent (SA) provides service registration and service advertisement. Note:  In this release, SA supports UA/DA on Linux with SLPv2 support.   Directory Agent (DA) collects service information from Service Agents to  provide a repository of service information in order to centralize it for efficient  access by User Agents. There can only be one Directory Agent present per given  host.  The Directory Agent acts as an intermediate tier in the SLP architecture, placed  between the User Agents and the Service Agents, so they communicate only with  the Directory Agent instead of with each other. This eliminates a large portion of  the multicast request or reply traffic on the network, and it protects the Service  Agents from being overwhelmed by too many service requests.  Services are described by the configuration of attributes associated with a type of  service. A User Agent can select an appropriate service by specifying the attributes  that it needs in a service request message. When service replies are returned, they  contain a Uniform Resource Locator (URL) pointing to the service desired, and  other information, such as server load, needed by the User Agent. Active DA Discovery When a Service Agent or User Agent initializes, it can perform Active Directory  Agent Discovery using a multicast service request and specifies the special,  reserved service type (service:directory-agent). Active DA Discovery is  achieved through the same mechanism as any other discovery using SLP.  The Directory Agent replies with unicast service replies, which provides the URLs  and attributes of the requested service. © Copyright Lenovo 2015 Chapter 3: Service Location Protocol...
  • Page 58: Slp Configuration

    SLP Configuration Use the following ISCLI commands to configure SLP for the switch:  Table 7. SLP ISCLI Commands Command Syntax and Usage [no] ip slp enable Enables or disables SLP on the switch.  Command mode: Global configuration [no] ip slp active-da-discovery enable Enables or disables Active DA Discovery.  Command mode: Global configuration ip slp active-da-discovery-start-wait-time <1‐10> Configures the wait time before starting Active DA Discovery, in seconds.  The default value is 3 seconds.  Command mode: Global configuration clear ip slp directory-agents Clears all Directory Agents learned by the switch.  Command mode: Global configuration show ip slp information Displays SLP information.  Command mode: All  show ip slp directory­agents  Displays Directory Agents learned by the switch. ...
  • Page 59: Chapter 4. System License Keys

    You can also use the website to review and manage licenses, and to obtain  additional help if required. Note: An IBM ID and password are required to log into the FoD website. If you do  not yet have an IBM ID, you can register at the website. Activation keys are provided as files that must be uploaded to the CN4093. To  acquire an activation key, use the FoD website to purchase an Authorization Code.  You will need to provide the unique ID (UID) of the specific CN4093 where the key  will be installed. The UID is the last 12 characters of the CN4093 serial number.  This serial number is located on the Part Number (PN) label and is also displayed  during successful login to the device. When available, download the activation key file from the FoD site. Installing Activation Keys Once FoD activation key files have been acquired, they must be installed on the  CN4093. The example below depicts use of the CN4093 Command Line Interface  (CLI), but other device interfaces (such as SNMP) may also be used. The CN4093 must be reset to activate any newly installed licenses. To install activation keys, complete the following steps: a. Log in to the CN4093. b. At the CLI prompt, enter the following commands: CN4093> enable CN4093# configure terminal CN4093(config)# software­key CN4093(config)# enakey addr <server IP address> keyfile <key filename> c. Follow the prompts to enter the appropriate parameters, including the file  transfer protocol and server parameters. © Copyright Lenovo 2015 Chapter 4: System License Keys...
  • Page 60: Transferring Activation Keys

    Note: Repeat the enakey command for any additional keys being installed. d. Once the key file has been uploaded to the CN4093, reset the device to activate  any newly installed licenses.: CN4093(config)# reload The system prompts you to confirm your request. Once confirmed, the system  will reboot with the new licenses. Transferring Activation Keys Licenses keys are based on the unique CN4093 device serial number and are  non‐transferable. In the event that the CN4093 must be replaced, a new activation key must be  acquired and installed. When the replacement is handled through Lenovo Service  and Support, your original license will be transferred to the serial number of the  replacement unit and you will be provided a new license key. Trial Keys Trial keys are license keys used for evaluation purposes, upgrading the number of  available ports for limited time. They are managed and obtained like regular  license keys, from the Lenovo System x Features on Demand (FoD) website: http://www.ibm.com/systems/x/fod/ Trial keys expire after a predefined number of days. 10 days before the expiration  date, the switch will begin to issue the following syslog messages: The software demo license for Upgrade1 will expire in 10 days. The switch  will automatically reset to the factory configuration after the license  expires. Please backup your configuration or enter a valid license key so  the configuration will not be lost. When the trial license expires, all features enabled by the key are disabled,  configuration files (active and backup) are deleted and the switch resets to the  factory configuration. To prevent this, either install a regular upgrade license to  overwrite the trial key, or manually remove the trial key and reset the switch. Once a trial key is installed, it cannot be reused. Flexible Port Mapping Flexible Port Mapping allows administrators to manually enable or disable specific  switch ports within the limitations of the installed licenses’ bandwidth. For instance, the FlexSystem may include two compute nodes and a single QSFP+ ...
  • Page 61 The total bandwidth required for this operation amounts to 80 Gbps (40 Gbps for  the four additional 10 Gbps internal ports and 40 Gbps for the additional external  QSFP+ port). The administrator decides to allocate this bandwidth by deactivating  6 internal and 2 external 10 Gbps ports. To implement the above scenario, follow these steps: a. Deactivate the ports required to clear the 80 Gbps required bandwidth: CN4093(config)# no boot port­map INTA9 CN4093(config)# no boot port­map INTA10 CN4093(config)# no boot port­map INTA11 CN4093(config)# no boot port­map INTA12 CN4093(config)# no boot port­map INTA13 CN4093(config)# no boot port­map INTA14 CN4093(config)# no boot port­map EXT9 CN4093(config)# no boot port­map EXT10 b. Activate the required ports: CN4093(config)# boot port­map INTB1 CN4093(config)# boot port­map INTC1 CN4093(config)# boot port­map INTB2 CN4093(config)# boot port­map INTC2 CN4093(config)# boot port­map EXT3 c. A reboot is required for the changes to take effect. CN4093(config)# reload Flexible Port Mapping is disabled if all available licenses are installed (all physical  ports are available). Removing a license key reverts the port mapping to the default settings for the  remaining licensing level. To manually revert the port mapping to the default  settings use the following command: CN4093(config)# default boot port­map © Copyright Lenovo 2015 Chapter 4: System License Keys...
  • Page 62 CN4093 Application Guide for N/OS 8.2...
  • Page 63: Part 2: Securing The Switch

    Part 2: Securing the Switch © Copyright Lenovo 2015...
  • Page 64 CN4093 Application Guide for N/OS 8.2...
  • Page 65: Chapter 5. Securing Administration

    To change the administrator password, you must login using the administrator  password.  Changing the Default Administrator Password The administrator has complete access to all menus, information, and  configuration commands, including the ability to change both the user and  administrator passwords. The default administrator account is USERID. The default password for the  administrator account is PASSW0RD (with a zero). To change the administrator  password, use the following procedure: 1. Connect to the switch and log in as the administrator.  2. Use the following command to change the administrator password: CN4093(config)# access user administrator­password <password> Changing the Default User Password The user login has limited control of the switch. Through a user account, you can  view switch information and statistics, but you can’t make configuration changes. The default password for the user account is user. This password can be changed  from the user account. The administrator can change all passwords, as shown in  the following procedure. 1. Connect to the switch and log in as the administrator.  2. Use the following command to change the user password: CN4093(config)# access user user­password <password> © Copyright Lenovo 2015...
  • Page 66: Secure Shell And Secure Copy

    SCP is typically used to copy files securely from one machine to another. SCP uses  SSH for encryption of data on the network. On a CN4093, SCP is used to download  and upload the switch configuration via secure channels. Although SSH and SCP are disabled by default, enabling and using these features  provides the following benefits:  Identifying the administrator using Name/Password  Authentication of remote administrators  Authorization of remote administrators  Determining the permitted actions and customizing service for individual  administrators  Encryption of management messages Encrypting messages between the remote administrator and switch   Secure copy support The Lenovo N/OS implementation of SSH supports both versions 1.5 and 2.0 and  supports SSH clients version 1.5 ‐ 2.x. The following SSH clients have been tested:   SSH 1.2.23 and SSH 1.2.27 for Linux (freeware)  SecureCRT 3.0.2 and SecureCRT 3.0.3 for Windows NT (Van Dyke Technologies,  Inc.)  F‐Secure SSH 1.1 for Windows (Data Fellows)  Putty SSH  Cygwin OpenSSH  Mac X OpenSSH  Solaris 8 OpenSSH  AxeSSH SSHPro ...
  • Page 67: To Enable Or Disable The Ssh Feature

    Note: The ­4 option (the default) specifies that an IPv4 switch address will be used. The ­6 option specifies IPv6. Example: >> ssh scpadmin@205.178.15.157 To Copy the Switch Configuration File to the SCP Host Syntax: >> scp [­4|­6] <username>@<switch IP address>:getcfg <local filename>  © Copyright Lenovo 2015 Chapter 5: Securing Administration...
  • Page 68: To Load A Switch Configuration File From The Scp Host

    Example: >> scp scpadmin@205.178.15.157:getcfg ad4.cfg To Load a Switch Configuration File from the SCP Host Syntax: >> scp [­4|­6] <local filename> <username>@<switch IP address>:putcfg Example: >> scp ad4.cfg scpadmin@205.178.15.157:putcfg To Apply and Save the Configuration When loading a configuration file to the switch, the apply and save commands  are still required, in order for the configuration commands to take effect. The  apply and save commands may be entered manually on the switch, or by using  SCP commands. Syntax: >> scp [­4|­6] <local filename> <username>@<switch IP address>:putcfg_apply >> scp [­4|­6] <local filename> <username>@<switch IP address>:putcfg_apply_save Example: >> scp ad4.cfg scpadmin@205.178.15.157:putcfg_apply >> scp ad4.cfg scpadmin@205.178.15.157:putcfg_apply_save  The CLI diff command is automatically executed at the end of putcfg to  notify the remote client of the difference between the new and the current  configurations. putcfg_apply runs the apply command after the putcfg is done.  putcfg_apply_save saves the new configuration to the flash after   putcfg_apply is done.
  • Page 69: To Load Switch Configuration Files From The Scp Host

    Thus, an SSH/SCP client will not be able to log in if the switch is performing key generation at that time. Also, key generation will fail if an SSH/SCP client is logging in at that time. © Copyright Lenovo 2015 Chapter 5: Securing Administration...
  • Page 70: Ssh/Scp Integration With Radius Authentication

    SSH/SCP Integration with RADIUS Authentication SSH/SCP is integrated with RADIUS authentication. After the RADIUS server is  enabled on the switch, all subsequent SSH authentication requests will be  redirected to the specified RADIUS servers for authentication. The redirection is  transparent to the SSH clients. SSH/SCP Integration with TACACS+ Authentication SSH/SCP is integrated with TACACS+ authentication. After the TACACS+ server is  enabled on the switch, all subsequent SSH authentication requests will be  redirected to the specified TACACS+ servers for authentication. The redirection is  transparent to the SSH clients. CN4093 Application Guide for N/OS 8.2...
  • Page 71: End User Access Control

     Passwords can be up to 128 characters in length for TACACS, RADIUS, Telnet,  SSH, Console, and Web access. Strong Passwords The administrator can require use of Strong Passwords for users to access the  CN4093. Strong Passwords enhance security because they make password  guessing more difficult. The following rules apply when Strong Passwords are enabled: Minimum length: 8 characters; maximum length: 64 characters   Must contain at least one uppercase alphabet Must contain at least one lowercase alphabet   Must contain at least one number Must contain at least one special character:   Supported special characters: ! “ # % & ‘ ( ) ; < = >> ? [\] * + , ‐ . / : ^ _ { | } ~  Cannot be same as the username  No consecutive four characters can be the same as in the old password When strong password is enabled, users can still access the switch using the old  password but will be advised to change to a strong password while attempting to  log in.  Strong password requirement can be enabled using the following command:  CN4093(config)# access user strong­password enable © Copyright Lenovo 2015 Chapter 5: Securing Administration...
  • Page 72: User Access Control Menu

    The administrator can choose the number of days allowed before each password  expires. When a strong password expires, the user is allowed to log in one last time  (last time) to change the password. A warning provides advance notice for users to  change the password. User Access Control Menu The end‐user access control commands allow you to configure end‐user accounts. Setting Up User IDs Up to 20 user IDs can be configured in the User ID menu. CN4093(config)# access user 1 name <1‐8 characters> CN4093(config)# access user 1 password Changing user1 password; validation required: Enter current admin password: <current administrator password> Enter new user1 password: <new user password> Re­enter new user1 password: <new user password> New user1 password accepted. Defining a User’s Access Level The end user is by default assigned to the user access level (also known as class of  service, or CoS). CoS for all user accounts have global access to all resources except  for User CoS, which has access to view only resources that the user owns. For more  information, see Table 8 on page To change the user’s level, enter the class of service   command: CN4093(config)# access user 1 level {user|operator|administrator} Validating a User’s Configuration CN4093# show access user uid 1 Enabling or Disabling a User An end user account must be enabled before the switch recognizes and permits ...
  • Page 73: Re-Enabling Locked Accounts

    Re-enabling Locked Accounts The administrator can re‐enable a locked account by reloading the switch or by  using the following command:  CN4093(config)# access user strong­password clear local user lockout  username <user name> However, the above command cannot be used to re‐enable an account disabled by  the administrator.  To re‐enable all locked accounts, use the following command:  CN4093(config)# access user strong­password clear local user lockout all © Copyright Lenovo 2015 Chapter 5: Securing Administration...
  • Page 74: Listing Current Users

    Listing Current Users The show access user   command displays defined user accounts and whether  or not each user is currently logged into the switch. CN4093# show access user Usernames: user     ­ Enabled ­ offline oper     ­ Disabled ­ offline admin    ­ Always Enabled ­ online 1 session Current User ID table: 1: name USERID  , ena, cos admin   , password valid, offline 2: name jane    , ena, cos user    , password valid, online 3: name john    , ena, cos user    , password valid, online Logging In to an End User Account Once an end user account is configured and enabled, the user can login to the  switch, using the username/password combination. The level of switch access is  determined by the Class of Service established for the end user account. Protected Mode Protected Mode settings allow the switch administrator to block the management  module from making configuration changes that affect switch operation. The  switch retains control over those functions.  The following management module functions are disabled when Protected Mode  is turned on:   External Ports: Enabled/Disabled  External management over all ports: Enabled/Disabled ...
  • Page 75: Stacking Mode

    Stacking Mode When the switch is in stacking mode, Protected Mode is automatically enabled for  three of the four Protected Mode functions, and the following module functions  are disabled:  External Ports (Enabled)  External management over all ports (Enabled)  Restore Factory Defaults Stack members and stack Master can get their IP addresses from the advanced  management module (AMM). Stack can be managed using external ports or using  the AMM management port. If required, the functionality of new static IP configuration can also be disabled by  turning off Protected Mode (CN4093(config)# no protected­mode) and  turning it back on (CN4093(config)# protected­mode enable). © Copyright Lenovo 2015 Chapter 5: Securing Administration...
  • Page 76 CN4093 Application Guide for N/OS 8.2...
  • Page 77: Chapter 6. Authentication & Authorization Protocols

    Chapter 6. Authentication & Authorization Protocols Secure switch management is needed for environments that perform significant  management functions across the Internet. The following are some of the functions  for secured IPv4 management and device access:  “RADIUS Authentication and Authorization” on page 78  “TACACS+ Authentication” on page 82  “LDAP Authentication and Authorization” on page 87 Note: Lenovo N/OS 8.2 does not support IPv6 for RADIUS, TACACS+, or LDAP. © Copyright Lenovo 2015...
  • Page 78: Radius Authentication And Authorization

    RADIUS Authentication and Authorization Lenovo N/OS supports the RADIUS (Remote Authentication Dial‐in User Service)  method to authenticate and authorize remote administrators for managing the  switch. This method is based on a client/server model. The Remote Access Server  (RAS)—the switch—is a client to the back‐end database server. A remote user (the  remote administrator) interacts only with the RAS, not the back‐end server and  database. RADIUS authentication consists of the following components:  A protocol with a frame format that utilizes UDP over IP (based on RFC 2138 and  2866) A centralized server that stores all the user authorization information   A client, in this case, the switch The CN4093—acting as the RADIUS client—communicates to the RADIUS server  to authenticate and authorize a remote administrator using the protocol definitions  specified in RFC 2138 and 2866. Transactions between the client and the RADIUS  server are authenticated using a shared key that is not sent over the network. In  addition, the remote administrator passwords are sent encrypted between the  RADIUS client (the switch) and the back‐end RADIUS server. How RADIUS Authentication Works 1. Remote administrator connects to the switch and provides user name and  password. 2. Using Authentication/Authorization protocol, the switch sends request to  authentication server. 3. Authentication server checks the request against the user ID database. 4. Using RADIUS protocol, the authentication server instructs the switch to grant or  deny administrative access. Configuring RADIUS on the Switch Use the following procedure to configure Radius authentication on your CN4093.
  • Page 79: Radius Authentication Features In Lenovo N/Os

    If you configure the RADIUS secret using any method other than through the console port, the secret may be transmitted over the network as clear text. 3. If desired, you may change the default UDP port number used to listen to RADIUS. The well‐known port for RADIUS is 1645. CN4093(config)# radius­server port <UDP port number> 4. Configure the number retry attempts for contacting the RADIUS server, and the  timeout period. CN4093(config)# radius­server retransmit 3 CN4093(config)# radius­server timeout 5 RADIUS Authentication Features in Lenovo N/OS Lenovo N/OS supports the following RADIUS authentication features:  Supports RADIUS client on the switch, based on the protocol definitions in RFC  2138 and RFC 2866.  Allows a RADIUS secret password of up to 32 characters.   Supports secondary authentication server so that when the primary authentication  server is unreachable, the switch can send client authentication requests to the ...
  • Page 80: Switch User Accounts

    Switch User Accounts The user accounts listed in Table 8 can be defined in the RADIUS server dictionary  file.  Table 8.  User Access Levels User Account Description and Tasks Performed Password user User The User has no direct responsibility for switch  management. He/she can view all switch status  information and statistics but cannot make any  configuration changes to the switch. oper Operator In addition to User capabilities, the Operator has  limited switch management access, including the  ability to make temporary, operational  configuration changes to some switch features, and  to reset switch ports (other than management  ports). PASSW0RD  Administrator The super‐user Administrator has complete access  to all menus, information, and configuration  (USERID) commands on the switch, including the ability to  change both the user and administrator passwords. CN4093 Application Guide for N/OS 8.2...
  • Page 81: Radius Attributes For Lenovo N/Os User Privileges

    RADIUS Attributes for Lenovo N/OS User Privileges When the user logs in, the switch authenticates his/her level of access by sending  the RADIUS access request, that is, the client authentication request, to the  RADIUS authentication server. If the remote user is successfully authenticated by the authentication server, the  switch will verify the privileges of the remote user and authorize the appropriate  access. The administrator has two options: to allow backdoor access via Telnet, SSH,  HTTP, or HTTPS; to allow secure backdoor access via console, Telnet, SSH, or BBI.  Secure backdoor provides access to the switch when the RADIUS servers cannot be  reached. The default CN4093 setting for backdoor and secure backdoor access is disabled.  Backdoor access is always enabled on the console port. Irrespective of backdoor being enabled or not, you can always access the switch via  the console port by using noradius as radius username. You can then enter the  username and password configured on the switch. If you are trying to connect via  SSH/Telnet/HTTP/HTTPS, there are two possibilities:   Backdoor is enabled: The switch acts like it is connecting via console.  Secure backdoor is enabled: You must enter the username: noradius. The switch  checks if RADIUS server is reachable. If it is reachable, then you must  authenticate via remote authentication server. Only if RADIUS server is not  reachable, you will be prompted for local user/password to be authenticated  against these local credentials. All user privileges, other than those assigned to the Administrator, have to be  defined in the RADIUS dictionary. RADIUS attribute 6 which is built into all  RADIUS servers defines the administrator. The file name of the dictionary is  RADIUS vendor‐dependent. The following RADIUS attributes are defined for  Lenovo N/OS user privileges levels:  Table 9. Lenovo N/OS‐proprietary Attributes for RADIUS User Name/Access...
  • Page 82: Tacacs+ Authentication

    TACACS+ Authentication Lenovo N/OS supports authentication, authorization, and accounting with  networks using the Cisco Systems TACACS+ protocol. The CN4093 functions as  the Network Access Server (NAS) by interacting with the remote client and  initiating authentication and authorization sessions with the TACACS+ access  server. The remote user is defined as someone requiring management access to the  CN4093 either through a data or management port. TACACS+ offers the following advantages over RADIUS:  TACACS+ uses TCP‐based connection‐oriented transport; whereas RADIUS is  UDP‐based. TCP offers a connection‐oriented transport, while UDP offers  best‐effort delivery. RADIUS requires additional programmable variables such  as re‐transmit attempts and time‐outs to compensate for best‐effort transport,  but it lacks the level of built‐in support that a TCP transport offers.  TACACS+ offers full packet encryption whereas RADIUS offers password‐only  encryption in authentication requests.  TACACS+ separates authentication, authorization and accounting. How TACACS+ Authentication Works TACACS+ works much in the same way as RADIUS authentication as described on  page 1. Remote administrator connects to the switch and provides user name and  password. 2. Using Authentication/Authorization protocol, the switch sends request to  authentication server. 3. Authentication server checks the request against the user ID database. 4. Using TACACS+ protocol, the authentication server instructs the switch to grant or  deny administrative access. During a session, if additional authorization checking is needed, the switch checks  with a TACACS+ server to determine if the user is granted permission to use a  particular command.
  • Page 83: Tacacs+ Authentication Features In Lenovo N/Os

    TACACS+ Authentication Features in Lenovo N/OS Authentication is the action of determining the identity of a user, and is generally  done when the user first attempts to log in to a device or gain access to its services.  Lenovo N/OS supports ASCII inbound login to the device. PAP, CHAP and ARAP  login methods, TACACS+ change password requests, and one‐time password  authentication are not supported. Authorization Authorization is the action of determining a user’s privileges on the device, and  usually takes place after authentication. The default mapping between TACACS+ authorization levels and Lenovo N/OS  management access levels is shown in Table 10. The authorization levels listed in  this table must be defined on the TACACS+ server.  Table 10.  Default TACACS+ Authorization Levels Lenovo N/OS User Access TACACS+ Level Level user oper admin (USERID) Alternate mapping between TACACS+ authorization levels and Lenovo N/OS  management access levels is shown in Table 11. Use the following command to use  the alternate TACACS+ authorization levels:     CN4093(config)# tacacs­server privilege­mapping Table 11.  Alternate TACACS+ Authorization Levels Lenovo N/OS User Access...
  • Page 84: Accounting

      disc‐cause Note: When using the Browser-Based Interface, the TACACS+ Accounting Stop records are sent only if the Quit button on the browser is clicked. Command Authorization and Logging When TACACS+ Command Authorization is enabled  (CN4093(config)# tacacs­server command­authorization), Lenovo  N/OS configuration commands are sent to the TACACS+ server for authorization.  When TACACS+ Command Logging is enabled  (CN4093(config)# tacacs­server command­logging), Lenovo N/OS  configuration commands are logged on the TACACS+ server. The following examples illustrate the format of Lenovo N/OS commands sent to  the TACACS+ server: authorization request, cmd=cfgtree, cmd­arg=/cfg/l3/if...
  • Page 85: Tacacs+ Password Change

    Configuring TACACS+ Authentication on the Switch 1. Configure the IPv4 addresses of the Primary and Secondary TACACS+ servers, and  enable TACACS authentication. CN4093(config)# tacacs­server primary­host 10.10.1.1(Enter primary server IPv4  address) CN4093(config)# tacacs­server primary­host mgt­port  CN4093(config)# tacacs­server secondary­host 10.10.1.1 (Enter secondary server IPv4 address) CN4093(config)# tacacs­server secondary­host data­port CN4093(config)# tacacs­server enable 2. Configure the TACACS+ secret and second secret. CN4093(config)# tacacs­server primary­host 10.10.1.1 key <1‐32 character secret> CN4093(config)# tacacs­server secondary­host 10.10.1.2 key  <1‐32 character secret> If you configure the TACACS+ secret using any method other than a direct console  connection, the secret may be transmitted over the network as clear text. 3. If desired, you may change the default TCP port number used to listen to  TACACS+. The well‐known port for TACACS+ is 49. CN4093(config)# tacacs­server port <TCP port number> © Copyright Lenovo 2015 Chapter 6: Authentication & Authorization Protocols...
  • Page 86 4. Configure the number of retry attempts, and the timeout period. CN4093(config)# tacacs­server retransmit 3 CN4093(config)# tacacs­server timeout 5  5. Configure custom privilege‐level mapping (optional). CN4093(config)# tacacs­server user­mapping 2 user CN4093(config)# tacacs­server user­mapping 3 user CN4093(config)# tacacs­server user­mapping 4 user CN4093(config)# tacacs­server user­mapping 5 oper CN4093 Application Guide for N/OS 8.2...
  • Page 87: Ldap Authentication And Authorization

     User Accounts: Use the uid attribute to define each individual user account. User Groups:  Use the members attribute in the groupOfNames object class to create the user  groups. The first word of the common name for each user group must be equal  to the user group names defined in the CN4093, as follows: admin (USERID)  oper  user  Configuring LDAP Authentication on the Switch 1. Turn LDAP authentication on, then configure the Primary and Secondary LDAP  servers. CN4093(config)# ldap­server primary­host 10.10.1.1 (Enter primary server IPv4  address) CN4093(config)# ldap­server primary­host 10.10.1.2  (Enter secondary server IPv4  address) 2. Configure the domain name. CN4093(config)# ldap­server domain <ou=people,dc=my‐domain,dc=com> © Copyright Lenovo 2015 Chapter 6: Authentication & Authorization Protocols...
  • Page 88 3. If desired, you may change the default TCP port number used to listen to LDAP. The well‐known port for LDAP is 389. CN4093(config)# ldap­server port <1‐65000> 4. Configure the number of retry attempts for contacting the LDAP server, and the  timeout period. CN4093(config)# ldap­server retransmit 3(server retries) CN4093(config)# ldap­server timeout 10 (Enter the timeout period in seconds) CN4093 Application Guide for N/OS 8.2...
  • Page 89: Chapter 7. 802.1X Port-Based Network Access Control

    Chapter 7. 802.1X Port-Based Network Access Control Port‐Based Network Access control provides a means of authenticating and  authorizing devices attached to a LAN port that has point‐to‐point connection  characteristics. It prevents access to ports that fail authentication and  authorization. This feature provides security to ports of the CN4093 10Gb  Converged Scalable Switch (CN4093) that connect to blade servers. The following topics are discussed in this section:  “Extensible Authentication Protocol over LAN” on page 90  “EAPoL Authentication Process” on page 91  “EAPoL Port States” on page 93 “Guest VLAN” on page 93   “Supported RADIUS Attributes” on page 94 “EAPoL Configuration Guidelines” on page 96  © Copyright Lenovo 2015...
  • Page 90: Extensible Authentication Protocol Over Lan

    Extensible Authentication Protocol over LAN Lenovo N/OS can provide user‐level security for its ports using the IEEE 802.1X  protocol, which is a more secure alternative to other methods of port‐based  network access control. Any device attached to an 802.1X‐enabled port that fails  authentication is prevented access to the network and denied services offered  through that port. The 802.1X standard describes port‐based network access control using Extensible  Authentication Protocol over LAN (EAPoL). EAPoL provides a means of  authenticating and authorizing devices attached to a LAN port that has  point‐to‐point connection characteristics and of preventing access to that port in  cases of authentication and authorization failures. EAPoL is a client‐server protocol that has the following components: Supplicant or Client   The Supplicant is a device that requests network access and provides the  required credentials (user name and password) to the Authenticator and the  Authenticator Server.  Authenticator  The Authenticator enforces authentication and controls access to the network.  The Authenticator grants network access based on the information provided by  the Supplicant and the response from the Authentication Server. The  Authenticator acts as an intermediary between the Supplicant and the  Authentication Server: requesting identity information from the client,  forwarding that information to the Authentication Server for validation,  relaying the server’s responses to the client, and authorizing network access  based on the results of the authentication exchange. The CN4093 acts as an  Authenticator.  Authentication Server The Authentication Server validates the credentials provided by the Supplicant  to determine if the Authenticator should grant access to the network. The  Authentication Server may be co‐located with the Authenticator. The CN4093  relies on external RADIUS servers for authentication. Upon a successful authentication of the client by the server, the 802.1X‐controlled  port transitions from unauthorized to authorized state, and the client is allowed ...
  • Page 91: Eapol Authentication Process

    802.1x Client Server EAPOL IBM Switch RADIUS-EAP Authenticator Ethernet (RADIUS Client) UDP/IP Port Unauthorized EAPOL-Start EAP-Request (Credentials) EAP-Response (Credentials) Radius-Access-Request Radius-Access-Challenge EAP-Request (Credentials) EAP-Response (Credentials) Radius-Access-Request Radius-Access-Accept EAP-Success Port Authorized © Copyright Lenovo 2015 Chapter 7: 802.1X Port-Based Network Access Control...
  • Page 92: Eapol Message Exchange

    EAPoL Message Exchange During authentication, EAPOL messages are exchanged between the client and the  CN4093 authenticator, while RADIUS‐EAP messages are exchanged between the  CN4093 authenticator and the RADIUS server. Authentication is initiated by one of the following methods:  The CN4093 authenticator sends an EAP‐Request/Identity packet to the client  The client sends an EAPOL‐Start frame to the CN4093 authenticator, which  responds with an EAP‐Request/Identity frame. The client confirms its identity by sending an EAP‐Response/Identity frame to the  CN4093 authenticator, which forwards the frame encapsulated in a RADIUS  packet to the server. The RADIUS authentication server chooses an EAP‐supported authentication  algorithm to verify the client’s identity, and sends an EAP‐Request packet to the  client via the CN4093 authenticator. The client then replies to the RADIUS server  with an EAP‐Response containing its credentials. Upon a successful authentication of the client by the server, the 802.1X‐controlled  port transitions from unauthorized to authorized state, and the client is allowed  full access to services through the controlled port. When the client later sends an  EAPOL‐Logoff message to the CN4093 authenticator, the port transitions from  authorized to unauthorized state. If a client that does not support 802.1X connects to an 802.1X‐controlled port, the  CN4093 authenticator requests the clientʹs identity when it detects a change in the  operational state of the port. The client does not respond to the request, and the  port remains in the unauthorized state. Note: When an 802.1X-enabled client connects to a port that is not 802.1X-controlled, the client initiates the authentication process by sending an EAPOL-Start frame.
  • Page 93: Eapol Port States

    While in this state the port discards all ingress and egress traffic except EAP  packets.  Authorized When the client is successfully authenticated, the port transitions to the  authorized state allowing all traffic to and from the client to flow normally.  Force Unauthorized You can configure this state that denies all access to the port.  Force Authorized You can configure this state that allows full access to the port. Guest VLAN The guest VLAN provides limited access to unauthenticated ports. The guest  VLAN can be configured using the following command: dot1x guest­vlan ? CN4093(config)#  Client ports that have not received an EAPOL response are placed into the Guest  VLAN, if one is configured on the switch. Once the port is authenticated, it is  moved from the Guest VLAN to its configured VLAN.  When Guest VLAN enabled, the following considerations apply while a port is in  the unauthenticated state:  The port is placed in the guest VLAN. The Port VLAN ID (PVID) is changed to the Guest VLAN ID.   Port tagging is disabled on the port. © Copyright Lenovo 2015 Chapter 7: 802.1X Port-Based Network Access Control...
  • Page 94: Supported Radius Attributes

    Supported RADIUS Attributes The 802.1X Authenticator relies on external RADIUS servers for authentication  with EAP. Table 12lists the RADIUS attributes that are supported as part of  RADIUS‐EAP authentication based on the guidelines specified in Annex D of the  802.1X standard and RFC 3580. Table 12. Support for RADIUS Attributes # Attribute Attribute Value 1 User‐Name The value of the Type‐Data field  0‐1 from the supplicant’s  EAP‐Response/Identity  message. If the Identity is  unknown (i.e. Type‐Data field is  zero bytes in length), this  attribute will have the same  value as the Calling‐Station‐Id. 4 NAS‐IP‐Address IPv4 address of the  authenticator used for Radius  communication. 5 NAS‐Port Port number of the  authenticator port to which the  supplicant is attached. 24 State Server‐specific value. This is  0‐1 0‐1 0‐1 sent unmodified back to the ...
  • Page 95 80 Message‐ Always present whenever an  Authenticator EAP‐Message attribute is also  included. Used to  integrity‐protect a packet.  87 NAS‐Port‐ID Name assigned to the  authenticator port, e.g.  Server1_Port3 Legend: RADIUS Packet Types: A‐R (Access‐Request), A‐A (Access‐Accept),  A‐C (Access‐Challenge), A‐R (Access‐Reject) RADIUS Attribute Support: This attribute MUST NOT be present in a packet.   Zero or more instances of this attribute MAY be present in a packet. 0‐1 Zero or one instance of this attribute MAY be present in a packet.   Exactly one instance of this attribute MUST be present in a packet.  One or more of these attributes MUST be present. © Copyright Lenovo 2015 Chapter 7: 802.1X Port-Based Network Access Control...
  • Page 96: Eapol Configuration Guidelines

    EAPoL Configuration Guidelines When configuring EAPoL, consider the following guidelines:  The 802.1X port‐based authentication is currently supported only in  point‐to‐point configurations, that is, with a single supplicant connected to an  802.1X‐enabled switch port.  When 802.1X is enabled, a port has to be in the authorized state before any other  Layer 2 feature can be operationally enabled. For example, the STG state of a  port is operationally disabled while the port is in the unauthorized state.  The 802.1X supplicant capability is not supported. Therefore, none of its ports  can successfully connect to an 802.1X‐enabled port of another device, such as  another switch, that acts as an authenticator, unless access control on the remote  port is disabled or is configured in forced‐authorized mode. For example, if a  CN4093 is connected to another CN4093, and if 802.1X is enabled on both  switches, the two connected ports must be configured in force‐authorized mode.  Unsupported 802.1X attributes include Service‐Type, Session‐Timeout, and  Termination‐Action.  RADIUS accounting service for 802.1X‐authenticated devices or users is not  currently supported.  Configuration changes performed using SNMP and the standard 802.1X MIB  will take effect immediately. CN4093 Application Guide for N/OS 8.2...
  • Page 97: Chapter 8. Access Control Lists

    Chapter 8. Access Control Lists Access Control Lists (ACLs) are filters that permit or deny traffic for security  purposes. They can also be used with QoS to classify and segment traffic in order  to provide different levels of service to different traffic types. Each filter defines the  conditions that must match for inclusion in the filter, and also the actions that are  performed when a match is made. Lenovo N/OS 8.2 supports the following ACLs:  IPv4 ACLs Up to 256 ACLs are supported for networks that use IPv4 addressing. IPv4  ACLs are configured using the following CLI menu:  CN4093(config)# access­control list <IPv4 ACL number> IPv6 ACLs  Up to 128 ACLs are supported for networks that use IPv6 addressing. IPv6  ACLs are configured using the following CLI menu:  CN4093(config)# access­control list6 <IPv6 ACL number>  Management ACLs Up to 128 MACLs are supported. ACLs for the different types of management  protocols (Telnet, HTTPS, etc.) provide greater granularity for securing  management traffic.  Management ACLs are configured using the following CLI menu:  CN4093(config)# access­control macl <MACL number>  VLAN Maps (VMaps) Up to 128 VLAN Maps are supported for attaching filters to VLANs rather than  ports. See “VLAN Maps” on page 106 for details.  CN4093(config)# access­control vmap <vmap  number> © Copyright Lenovo 2015...
  • Page 98: Summary Of Packet Classifiers

    Summary of Packet Classifiers ACLs allow you to classify packets according to a variety of content in the packet  header (such as the source address, destination address, source port number,  destination port number, and others). Once classified, packet flows can be  identified for more processing. Regular ACLs, and VMaps allow you to classify packets based on the following  packet attributes:  Ethernet header options (for regular ACLs and VMaps only) Source MAC address  Destination MAC address  VLAN number and mask  Ethernet type (ARP, IPv4, MPLS, RARP, etc.)  Ethernet Priority (the IEEE 802.1p Priority)   IPv4 header options (for regular ACLs and VMaps only) Source IPv4 address and subnet mask  Destination IPv4 address and subnet mask  Type of Service value  IP protocol number or name as shown in Table  Table 13. Well‐Known Protocol Types Number Protocol Name icmp igmp ospf vrrp CN4093 Application Guide for N/OS 8.2...
  • Page 99 Accounting gopher snmptrap hsrp TCP/UDP application destination port and mask as shown in Table 14.   TCP/UDP flag value as shown in Table 15.   Table 15. Well‐Known TCP flag values Flag Value 0x0020 0x0010 0x0008 0x0004 0x0002 0x0001  Packet format (for regular ACLs and VMaps only) Ethernet format (eth2, SNAP, LLC)  Ethernet tagging format  IP format (IPv4)   Egress port packets (for all ACLs) © Copyright Lenovo 2015 Chapter 8: Access Control Lists...
  • Page 100: Summary Of Acl Actions

    Summary of ACL Actions Once classified using ACLs, the identified packet flows can be processed  differently. For each ACL, an action can be assigned. The action determines how the  switch treats packets that match the classifiers assigned to the ACL. CN4093 ACL  actions include the following:  Pass or Drop the packet  Re‐mark the packet with a new DiffServ Code Point (DSCP)  Re‐mark the 802.1p field  Set the COS queue Assigning Individual ACLs to a Port Once you configure an ACL, you must assign the ACL to the appropriate ports.  Each port can accept multiple ACLs, and each ACL can be applied for multiple  ports. ACLs can be assigned individually, or in groups. To assign an individual ACL to a port, use the following  IP interface commands:   CN4093(config)# interface port <port> CN4093(config­if)# access­control list <IPv4 ACL number> CN4093(config­ip)# access­control list6 <IPv6 ACL number> When multiple ACLs are assigned to a port, higher‐priority ACLs are considered  first, and their action takes precedence over lower‐priority ACLs. ACL order of  precedence is discussed in the next section. To create and assign ACLs in groups, see “ACL Groups” on page 101. ACL Order of Precedence When multiple ACLs are assigned to a port, they are evaluated in numeric  sequence, based on the ACL number. Lower‐numbered ACLs take precedence  over higher‐numbered ACLs. For example, ACL 1 (if assigned to the port) is ...
  • Page 101: Acl Groups

    Order of Precedence” on page 100). All ACLs assigned to the port (whether individually assigned or part of an ACL Group) are considered as individual ACLs for the purposes of determining their order of precedence. © Copyright Lenovo 2015 Chapter 8: Access Control Lists...
  • Page 102: Assigning Acl Groups To A Port

    Assigning ACL Groups to a Port To assign an ACL Group to a port, use the following commands:   CN4093(config)# interface port <port number> CN4093(config­if)# access­control group <ACL group number> CN4093(config­if)# exit ACL Metering and Re-Marking You can define a profile for the aggregate traffic flowing through the switch by  configuring a QoS meter (if desired) and assigning ACLs to ports. Note: When you add ACLs to a port, make sure they are ordered correctly in terms of precedence (see “ACL Order of Precedence” on page 100).
  • Page 103: Acl Port Mirroring

    ACL Port Mirroring For regular ACLs and VMaps, packets that match an ACL on a specific port can be  mirrored to another switch port for network diagnosis and monitoring. The source port for the mirrored packets cannot be a portchannel, but may be a  member of a portchannel. The destination port to which packets are mirrored must be a physical port. If the ACL or VMap has an action (permit, drop, etc.) assigned, it cannot be used to  mirror packets for that ACL. Use the following commands to add mirroring to an ACL:  For regular ACLs:  CN4093(config)# access­control list <ACL number> mirror port <destination  port> The ACL must be also assigned to it target ports as usual (see “Assigning  Individual ACLs to a Port” on page 100, or “Assigning ACL Groups to a Port” on  page 102). For VMaps (see “VLAN Maps” on page 106):   CN4093(config)# access­control vmap <VMap number> mirror port <monitor  destination port> Viewing ACL Statistics ACL statistics display how many packets have “hit” (matched) each ACL. Use  ACL statistics to check filter performance or to debug the ACL filter configuration. You must enable statistics for each ACL that you wish to monitor:   CN4093(config)# access­control list <ACL number> statistics © Copyright Lenovo 2015 Chapter 8: Access Control Lists...
  • Page 104: Acl Configuration Examples

    ACL Configuration Examples ACL Example 1 Use this configuration to block traffic to a specific host. All traffic that ingresses on  port EXT1 is denied if it is destined for the host at IP address 100.10.1.1 1. Configure an Access Control List.    CN4093(config)# access­control list 1 ipv4 destination­ip­address  100.10.1.1 CN4093(config)# access­control list 1 action deny 2. Add ACL 1 to port EXT1.   CN4093(config)# interface port EXT1 CN4093(config­if)# access­control list 1 CN4093(config­if)# exit ACL Example 2 Use this configuration to block traffic from a network destined for a specific host  address. All traffic that ingresses in port EXT2 with source IP from class  100.10.1.0/24 and destination IP 200.20.2.2 is denied. 1. Configure an Access Control List.   CN4093(config)# access­control list 2 ipv4 source­ip­address 100.10.1.0  255.255.255.0 CN4093(config)# access­control list 2 ipv4 destination­ip­address  200.20.2.2 255.255.255.255 CN4093(config)# access­control list 2 action deny 2. Add ACL 2 to port EXT2.   CN4093(config)# interface port EXT2 CN4093(config­if)# access­control list 2 CN4093(config­if)# exit CN4093 Application Guide for N/OS 8.2...
  • Page 105 ACL Example 3 This configuration blocks traffic from a network that is destined for a specific  egress port. All traffic that ingresses port EXT1 from the network 100.10.1.0/24 and  is destined for port 3 is denied. 1. Configure an Access Control List.  CN4093(config)# access­control list 4 ipv4 source­ip­address 100.10.1.0  255.255.255.0 CN4093(config)# access­control list 4 egress­port 3 CN4093(config)# access­control list 4 action deny 2. Add ACL 4 to port EXT1.  CN4093(config)# interface port EXT1 CN4093(config­if)# access­control list 4 CN4093(config­if)# exit © Copyright Lenovo 2015 Chapter 8: Access Control Lists...
  • Page 106: Vlan Maps

    VLAN Maps A VLAN map (VMAP) is an ACL that can be assigned to a VLAN or VM group  rather than to a switch port as with regular ACLs. This is particularly useful in a  virtualized environment where traffic filtering and metering policies must follow  virtual machines (VMs) as they migrate between hypervisors. VMAPs are configured using the following ISCLI command path: CN4093(config)# access­control vmap <VMAP ID (1‐128)>   action         Set filter action   egress­port    Set to filter for packets egressing this port   ethernet       Ethernet header options   ipv4           IP version 4 header options   meter          ACL metering configuration   mirror         Mirror options   packet­format  Set to filter specific packet format types   re­mark        ACL re­mark configuration   statistics     Enable access control list statistics   tcp­udp        TCP and UDP filtering options The CN4093 supports up to 128 VMAPs. Individual VMAP filters are configured in the same fashion as regular ACLs,  except