Download Print this page

Lenovo Flex System Fabric CN4093 Application Manual

10gb converged scalable switch
Hide thumbs

Advertisement

Lenovo Flex System Fabric CN4093 10Gb Converged Scalable 
Switch 
Application Guide
For Networking OS 8.2

Advertisement

loading

  Related Manuals for Lenovo Flex System Fabric CN4093

  Summary of Contents for Lenovo Flex System Fabric CN4093

  • Page 1 Lenovo Flex System Fabric CN4093 10Gb Converged Scalable  Switch  Application Guide For Networking OS 8.2...
  • Page 2 Note:  Before using this information and the product it supports, read the general information in the Safety information and  Environmental  Notices and User Guide documents on the Lenovo Documentation CD and the Warranty Information document that comes  with the product. First Edition (March 2015) © Copyright Lenovo 2015 Portions © Copyright IBM Corporation 2014. LIMITED AND RESTRICTED RIGHTS NOTICE: If data or software is delivered pursuant a General Services  Administration “GSA” contract, use, reproduction, or disclosure is subject to restrictions set forth in Contract No.  GS‐35F‐05925. Lenovo and the Lenovo logo are trademarks of Lenovo in the United States, other countries, or both.
  • Page 3: Table Of Contents

    Chapter 2. Initial Setup ..... . 47 Information Needed for Setup   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .47 Default Setup Options .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .48 Stopping and Restarting Setup Manually    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .48 Setup Part 1: Basic System Configuration    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .48 Setup Part 2: Port Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .50 Setup Part 3: VLANs   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .51 Setup Part 4: IP Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .52 IP Interfaces   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .52 Default Gateways .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .53 IP Routing  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .54 Setup Part 5: Final Steps .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .54 Optional Setup for Telnet Support    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .55 © Copyright Lenovo 2015...
  • Page 4 Chapter 3. Service Location Protocol ....57 Active DA Discovery   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 57 SLP Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 58 Chapter 4. System License Keys ....59 Obtaining Activation Keys .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .
  • Page 5 Chapter 9. VLANs ......111 VLANs Overview.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  112 VLANs and Port VLAN ID Numbers   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  113 VLAN Tagging/Trunk Mode .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  117 Ingress VLAN Tagging    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  120 Limitations  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  121 VLAN Topologies and Design Considerations   .   .   .   .   .   .   .   .   .   .   .   .   .   .  122 © Copyright Lenovo 2015 Contents...
  • Page 6 Protocol‐Based VLANs   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   125 Port‐Based vs. Protocol‐Based VLANs .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   125 PVLAN Priority Levels   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   126 PVLAN Tagging   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   126 PVLAN Configuration Guidelines    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   126 Configuring PVLAN   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   126 Private VLANs .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   128 Private VLAN Ports .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   128 Configuration Guidelines   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   129 Configuration Example   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   129 Chapter 10. Ports and Trunking ....131 Configuring Port Modes.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 7 Part 4:. Advanced Switching Features ....199 Chapter 14. Stacking ..... . 201 Stacking Overview   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  202 Stacking Requirements.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  202 Stacking Limitations .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  203 © Copyright Lenovo 2015 Contents...
  • Page 8 Stack Membership   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   204 The Master Switch   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   204 Splitting and Merging One Stack   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   204 Merging Independent Stacks  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   205 Backup Switch Selection .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   207 Master Failover .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   207 Master Recovery   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   207 No Backup .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   207 Stack Member Identification  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   208 Configuring a Stack.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   209 Configuration Overview .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   209 Best Configuration Practices  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   209 Stacking VLANs    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   210 Configuring Each Switch in a Stack  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   210 Configuring a Management IP Interface  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   211 Additional Master Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   212 Viewing Stack Connections .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   213 Binding Members to the Stack    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 9 Fibre Channel over Ethernet  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  262 The FCoE Topology  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  262 FCoE Requirements  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  263 Port Trunking .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  264 Converged Enhanced Ethernet  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  265 Turning CEE On or Off    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  265 Effects on Link Layer Discovery Protocol .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  265 Effects on 802.1p Quality of Service   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  266 Effects on Flow Control   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  267 FCoE Initialization Protocol Snooping .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  268 Global FIP Snooping Settings .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  268 FIP Snooping for Specific Ports  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  268 FIPS Trunk Support on Server Ports  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  268 Port FCF and ENode Detection  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  269 FCoE Connection Timeout  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  269 FCoE ACL Rules   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  270 Optimized FCoE Traffic Flow .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  270 FCoE VLANs .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  271 Viewing FIP Snooping Information   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  271 Operational Commands  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  272 FIP Snooping Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  272 © Copyright Lenovo 2015 Contents...
  • Page 10 Priority‐Based Flow Control  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   274 Global vs. Port‐by‐Port PFC Configuration .   .   .   .   .   .   .   .   .   .   .   .   .   .   275 PFC Configuration Example  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   276 Enhanced Transmission Selection.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   278 802.1p Priority Values .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   278 Priority Groups .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   279 PGID   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   279 Assigning Priority Values to a Priority Group .   .   .   .   .   .   .   .   .   .   .   280 Deleting a Priority Group    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   280 Allocating Bandwidth  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   281 Configuring ETS   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   282 Data Center Bridging Capability Exchange.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   284 DCBX Settings  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   284 Configuring DCBX   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   286 FCoE Example Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   288 Chapter 19. Fibre Channel ....291 Ethernet vs. Fibre Channel .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 11 Part 5:. IP Routing......349 Chapter 24. Basic IP Routing ....351 IP Routing Benefits  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  351 Routing Between IP Subnets  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  351 Subnet Routing Example .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  353 Using VLANs to Segregate Broadcast Domains  .   .   .   .   .   .   .   .   .   .   .   .  355 © Copyright Lenovo 2015 Contents...
  • Page 12 BOOTP Relay Agent   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   357 BOOTP Relay Agent Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   357 Domain‐Specific BOOTP Relay Agent Configuration    .   .   .   .   .   .   .   .   .   358 Dynamic Host Configuration Protocol.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   359 DHCP Relay Agent  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   359 DHCP Relay Agent Configuration    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   361 Chapter 25. Internet Protocol Version 6 ....363 IPv6 Limitations  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   364 IPv6 Address Format  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   365 IPv6 Address Types    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 13 Chapter 31. OSPF ......421 OSPFv2 Overview    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  422 Types of OSPF Areas    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  422 Types of OSPF Routing Devices .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  424 Neighbors and Adjacencies .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  424 The Link‐State Database  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  425 The Shortest Path First Tree    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  425 Internal Versus External Routing   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  425 © Copyright Lenovo 2015 Contents...
  • Page 14 OSPFv2 Implementation in Lenovo N/OS  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   427 Configurable Parameters.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   427 Defining Areas  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   427 Assigning the Area Index    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   428 Using the Area ID to Assign the OSPF Area Number.   .   .   .   .   .   .   .   428 Attaching an Area to a Network.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   429 Interface Cost    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   429 Electing the Designated Router and Backup   .   .   .   .   .   .   .   .   .   .   .   .   .   429 Summarizing Routes   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   430 Default Routes  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   430 Virtual Links .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   432 Router ID   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   433 Authentication  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   433 Configuring Plain Text OSPF Passwords  .   .   .   .   .   .   .   .   .   .   .   .   .   434 Configuring MD5 Authentication  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   434 Host Routes for Load Balancing.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   435 Loopback Interfaces in OSPF .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 15 Part 7:. Network Management ....487 Chapter 36. Link Layer Discovery Protocol ... . . 489 LLDP Overview   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  489 Enabling or Disabling LLDP  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  491 Global LLDP Setting .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  491 Transmit and Receive Control    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  491 © Copyright Lenovo 2015 Contents...
  • Page 16 LLDP Transmit Features.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   492 Scheduled Interval   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   492 Minimum Interval    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   492 Time‐to‐Live for Transmitted Information  .   .   .   .   .   .   .   .   .   .   .   .   .   .   493 Trap Notifications    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   493 Changing the LLDP Transmit State  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   494 Types of Information Transmitted.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   495 LLDP Receive Features   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   496 Types of Information Received  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   496 Viewing Remote Device Information   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   496 Time‐to‐Live for Received Information    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   498 LLDP Example Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   500 Chapter 37. Simple Network Management Protocol..501 SNMP Version 1  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 17 People’s Republic of China Class A electronic emission statement .   .   .   .   .   .  551 Taiwan Class A compliance statement .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  552 Index ......553 © Copyright Lenovo 2015 Contents...
  • Page 18 CN4093 Application Guide for N/OS 8.2...
  • Page 19: Preface

     Chapter 1, “Switch Administration,” describes how to access the CN4093 in  order to configure the switch and view switch information and statistics. This  chapter discusses a variety of manual administration interfaces, including local  management via the switch console, and remote administration via Telnet, a  web browser, or via SNMP.  Chapter 2, “Initial Setup,” describes how to use the built‐in Setup utility to  perform first‐time configuration of the switch.  Chapter 3, “Service Location Protocol,” describes the Service Location Protocol  (SLP) that allows the switch to provide dynamic directory services.  Chapter 4, “System License Keys,” describes how to manage Features on  Demand (FoD) licenses and how to allocate bandwidth between physical ports  within the installed licenses’ limitations. Part 2: Securing the Switch  Chapter 5, “Securing Administration,” describes methods for changing the  default switch passwords, using Secure Shell and Secure Copy for  administration connections, configuring end‐user access control, and placing  the switch in protected mode.  Chapter 6, “Authentication & Authorization Protocols,” describes different  secure administration for remote administrators. This includes using Remote  Authentication Dial‐in User Service (RADIUS), as well as TACACS+ and LDAP. © Copyright Lenovo 2015...
  • Page 20 (STP) configures the network so that the switch selects the most efficient path  when multiple paths exist. Also includes the Rapid Spanning Tree Protocol  (RSTP), Per‐VLAN Rapid Spanning Tree Plus (PVRST+), and Multiple Spanning  Tree Protocol (MSTP) extensions to STP.  Chapter 12, “Virtual Link Aggregation Groups,” describes using Virtual Link  Aggregation Groups (VLAG) to form trunks spanning multiple VLAG‐capable  aggregator switches.  Chapter 13, “Quality of Service,” discusses Quality of Service (QoS) features,  including IP filtering using Access Control Lists (ACLs), Differentiated Services,  and IEEE 802.1p priority values. Part 4: Advanced Switching Features  Chapter 14, “Stacking,” describes how to implement the stacking feature in the  Lenovo Flex System Fabric CN4093 10Gb Converged Scalable Switch.  Chapter 15, “Virtualization,” provides an overview of allocating resources   based on the logical needs of the data center, rather than on the strict, physical  nature of components.  Chapter 16, “Virtual NICs,” discusses using virtual NIC (vNIC) technology to  divide NICs into multiple logical, independent instances. Chapter 17, “VMready,” discusses virtual machine (VM) support on the   CN4093.  Chapter 18, “FCoE and CEE,” discusses using various Converged Enhanced  Ethernet (CEE) features such as Priority‐based Flow Control (PFC), Enhanced ...
  • Page 21 28, “Internet Group Management Protocol,” describes how the Lenovo  N/OS software implements IGMP Snooping or IGMP Relay to conserve  bandwidth in a multicast‐switching environment. Chapter 29, “Multicast Listener Discovery,” describes how Multicast Listener   Discovery (MLD) is used with IPv6 to support host users requests for multicast  data for a multicast group.  Chapter 30, “Border Gateway Protocol,” describes Border Gateway Protocol  (BGP) concepts and features supported in Lenovo N/OS. Chapter 31, “OSPF,” describes key Open Shortest Path First (OSPF) concepts   and their implemented in Lenovo N/OS, and provides examples of how to  configure your switch for OSPF support.  Chapter 32, “Protocol Independent Multicast,” describes how multicast routing  can be efficiently accomplished using the Protocol Independent Multicast (PIM)  feature. Part 6: High Availability Fundamentals  Chapter 33, “Basic Redundancy,” describes how the CN4093 supports  redundancy through trunking and Hotlinks.   Chapter 34, “Layer 2 Failover,” describes how the CN4093 supports  high‐availability network topologies using Layer 2 Failover. © Copyright Lenovo 2015 Preface...
  • Page 22: Additional References

    Chapter 39, “sFLOW, described how to use the embedded sFlow agent for  sampling network traffic and providing continuous monitoring information to a  central sFlow analyzer. Chapter 40, “Port Mirroring,” discusses tools how copy selected port traffic to a   monitor port for network analysis. Part 9: Appendices  Appendix A, “Glossary,” describes common terms and concepts used  throughout this guide.  Appendix B, “Getting help and technical assistance,” describes how to get help.   Appendix C, “Notices,” provides trademark and other compliance information.  Additional References Additional information about installing and configuring the CN4093 is available in  the following guides:  Lenovo Flex System Fabric CN4093 10Gb Converged Scalable Switch Installation  Guide  Lenovo N/OS Menu‐Based CLI Command Reference  Lenovo N/OS  ISCLI Command Reference   Lenovo N/OS  Browser‐Based Interface Quick Guide CN4093 Application Guide for N/OS 8.2...
  • Page 23: Typographic Conventions

    To establish a Telnet session,  command examples as a  enter: host# telnet <IP address> parameter placeholder. Replace  the indicated text with the  appropriate real name or value  when using the command. Do not  type the brackets. This also shows book titles,  Read your User’s Guide  special terms, or words to be  thoroughly. emphasized. host# ls [­a] Command items shown inside  brackets are optional and can be  used or excluded as the situation  demands. Do not type the  brackets. The vertical bar ( | ) is used in  host# set left|right command examples to separate  choices where multiple options  exist. Select only one of the listed  options. Do not type the vertical  bar. This block type depicts menus,  Click the Save button. AaBbCc123 buttons, and other controls that  appear in Web browsers and other  graphical interfaces. © Copyright Lenovo 2015 Preface...
  • Page 24 CN4093 Application Guide for N/OS 8.2...
  • Page 25: Part 1: Getting Started

    Part 1: Getting Started © Copyright Lenovo 2015...
  • Page 26 CN4093 Application Guide for N/OS 8.2...
  • Page 27: Chapter 1. Switch Administration

    Administration Interfaces The switch software provides a variety of user‐interfaces for administration. These  interfaces vary in character and in the methods used to access them: some are  text‐based, and some are graphical; some are available by default, and some  require configuration; some can be accessed by local connection to the switch, and  others are accessed remotely using various client applications. For example,  administration can be performed using any of the following: The Flex System chassis management module tools for general chassis   management  A built‐in, text‐based command‐line interface and menu system for access via  serial‐port connection or an optional Telnet or SSH session  The built‐in Browser‐Based Interface (BBI) available using a standard  web‐browser  SNMP support for access through network management software such as IBM  Director. The specific interface chosen for an administrative session depends on user  preferences, as well as the switch configuration and the available client tools. In all cases, administration requires that the switch hardware is properly installed  and turned on. (see the Lenovo Flex System Fabric CN4093 10Gb Converged Scalable  Switch Installation Guide).  Chassis Management Module The CN4093 10Gb Converged Scalable Switch is an integral subsystem within the  overall Lenovo Flex System. The Flex System chassis also includes a chassis  management module (CMM) as the central element for overall chassis  management and control. Using the tools available through the CMM, the  administrator can configure many of the CN4093 features and can also access other  CN4093 administration interfaces. For more information, see “Using the Chassis Management Module” on page © Copyright Lenovo 2015...
  • Page 28: Industry Standard Command Line Interface

    Industry Standard Command Line Interface The Industry Standard Command Line Interface (ISCLI) provides a simple, direct  method for switch administration. Using a basic terminal, you can issue  commands that allow you to view detailed information and statistics about the  switch, and to perform any necessary configuration and switch software  maintenance. You can establish a connection to the CLI in any of the following ways:  Serial connection via the serial port on the CN4093 (this option is always avail‐ able)  Telnet connection over the network  SSH connection over the network When you first access the switch, you must enter the default username and  password: USERID; PASSW0RD (with a zero). You are required to change the  password after first login.  Browser-Based Interface The Browser‐based Interface (BBI) provides access to the common configuration,  management and operation features of the CN4093 through your Web browser. For more information, refer to the Lenovo N/OS BBI Quick Guide. CN4093 Application Guide for N/OS 8.2...
  • Page 29: Establishing A Connection

    IPv4 Address Assigned by CMM  Bay 1 10.90.90.91 192.168.70.120  Bay 2 10.90.90.92 192.168.70.121  Bay 3 10.90.90.93 192.168.70.122  Bay 4 10.90.90.94 192.168.70.123 Note: CN4093s installed in Bay 1 and Bay 2 connect to server NICs 1 and 2, respectively. © Copyright Lenovo 2015 Chapter 1: Switch Administration...
  • Page 30: Using Telnet

    Using Telnet A Telnet connection offers the convenience of accessing the switch from a  workstation connected to the network. Telnet access provides the same options for  user and administrator access as those available through the console port. By default, Telnet access is disabled. Use the following commands (available on the  console only) to enable or disable Telnet access:  CN4093(config)# [no] access telnet enable Once the switch is configured with an IP address and gateway, you can use Telnet  to access switch administration from any workstation connected to the  management network. To establish a Telnet connection with the switch, run the Telnet program on your  workstation and issue the following Telnet command: telnet <switch IPv4 or IPv6 address>  You will then be prompted to enter a password as explained “Switch Login Levels”  on page Two attempts are allowed to log in to the switch. After the second unsuccessful  attempt, the Telnet client is disconnected via TCP session closure.  Using Secure Shell Although a remote network administrator can manage the configuration of a  CN4093 via Telnet, this method does not provide a secure connection. The Secure  Shell (SSH) protocol enables you to securely log into another device over a network  to execute commands remotely. As a secure alternative to using Telnet to manage  switch configuration, SSH ensures that all data sent over the network is encrypted  and secure. The switch can do only one session of key/cipher generation at a time. Thus, a  SSH/SCP client will not be able to login if the switch is doing key generation at that  time. Similarly, the system will fail to do the key generation if a SSH/SCP client is  logging in at that time. The supported SSH encryption and authentication methods are listed below.  Server Host Authentication: Client RSA‐authenticates the switch when starting  each connection  Key Exchange: ecdh‐sha2‐nistp521, ecdh‐sha2‐nistp384, ecdh‐sha2‐nistp256,  ecdh‐sha2‐nistp224, ecdh‐sha2‐nistp192, rsa2048‐sha256, rsa1024‐sha1,  diffie‐hellman‐group‐exchange‐sha256, diffie‐hellman‐group‐exchange‐sha1,  diffie‐hellman‐group14‐sha1, diffie‐hellman‐group1‐sha1 ...
  • Page 31  User Authentication: Local password authentication, RADIUS, TACACS+ The following SSH clients have been tested:  OpenSSH_5.1p1 Debian‐3ubuntu1  SecureCRT 5.0 (Van Dyke Technologies, Inc.)  Putty beta 0.60 Note: The Lenovo N/OS implementation of SSH supports version 2.0 and supports SSH client version 2.0. Using SSH with Password Authentication By default, the SSH feature is enabled. For information about enabling and using  SSH for switch access, see “Secure Shell and Secure Copy” on page Once the IP parameters are configured and the SSH service is enabled, you can  access the command line interface using an SSH connection. To establish an SSH connection with the switch, run the SSH program on your  workstation by issuing the SSH command, followed by the switch IPv4 or IPv6  address: # ssh <switch IP address> You will then be prompted to enter a password as explained “Switch Login Levels”  on page Using SSH with Public Key Authentication SSH can also be used for switch authentication based on asymmetric cryptography. ...
  • Page 32: Using A Web Browser

    Note: A user account can have up to 100 public keys set up on the switch. c. Configure a maximum number of 3 failed public key authentication attempts  before the system reverts to password‐based authentication: CN4093(config)# ssh maxauthattempts 3 Once the public key is configured on the switch, the client can use SSH to login  from a system where the private key pair is set up: # ssh <switch IP address> Using a Web Browser The switch provides a Browser‐Based Interface (BBI) for accessing the common  configuration, management and operation features of the CN4093 through your  Web browser. You can access the BBI directly from an open Web browser window. Enter the URL  using the IP address of the switch interface (for example, http://<IPv4 or IPv6  address>). When you first access the switch, you must enter the default username and  password: USERID; PASSW0RD (with a zero). You are required to change the  password after first login.  Configuring HTTP Access to the BBI By default, BBI access via HTTP is disabled on the switch. To enable or disable HTTP access to the switch BBI, use the following commands:     CN4093(config)# access http enable (Enable HTTP access) ‐or‐ CN4093(config)# no access http enable (Disable HTTP access) The default HTTP web server port to access the BBI is port 80. However, you can  change the default Web server port with the following command:   CN4093(config)# access http port <TCP port number>  To access the BBI from a workstation, open a Web browser window and type in the  URL using the IP address of the switch interface (for example, http://<IPv4 or  IPv6 address>).
  • Page 33: Configuring Https Access To The Bbi

    3. Generate the HTTPS certificate. Accessing the BBI via HTTPS requires that you generate a certificate to be used  during the key exchange. A default certificate is created the first time HTTPS is  enabled, but you can create a new certificate defining the information you want to  be used in the various fields.   CN4093(config)# access https generate­certificate Country Name (2 letter code) []: <country code> State or Province Name (full name) []: <state> Locality Name (eg, city) []: <city> Organization Name (eg, company) []: <company> Organizational Unit Name (eg, section) []: <org. unit> Common Name (eg, YOUR name) []:  <name> Email (eg, email address) []: <email address> Confirm generating certificate? [y/n]: y Generating certificate. Please wait (approx 30 seconds) restarting SSL agent 4. Save the HTTPS certificate. The certificate is valid only until the switch is rebooted. To save the certificate so  that it is retained beyond reboot or power cycles, use the following command:  CN4093(config)# access https save­certificate When a client (such as a web browser) connects to the switch, the client is asked to  accept the certificate and verify that the fields match what is expected. Once BBI  access is granted to the client, the BBI can be used as described in the Lenovo N/OS  BBI Quick Guide. © Copyright Lenovo 2015 Chapter 1: Switch Administration...
  • Page 34: Bbi Summary

    BBI Summary The BBI is organized at a high level as follows: Context buttons—These buttons allow you to select the type of action you wish to  perform. The Configuration button provides access to the configuration elements  for the entire switch. The Statistics button provides access to the switch statistics  and state information. The Dashboard button allows you to display the settings and  operating status of a variety of switch features. Navigation Window—This window provides a menu list of switch features and  functions:   System—this folder provides access to the configuration elements for the entire  switch.  Switch Ports—Configure each of the physical ports on the switch. Port‐Based Port Mirroring—Configure port mirroring behavior.   Layer 2—Configure Layer 2 features for the switch.  RMON Menu—Configure Remote Monitoring features for the switch.  Layer 3—Configure Layer 3 features for the switch.  QoS—Configure Quality of Service features for the switch. Access Control—Configure Access Control Lists to filter IP packets.   Virtualization – Configure VMready for virtual machine (VM) support. For information on using the BBI, refer to the Lenovo N/OS BBI Quick Guide. CN4093 Application Guide for N/OS 8.2...
  • Page 35: Using Simple Network Management Protocol

    Using Simple Network Management Protocol Lenovo N/OS provides Simple Network Management Protocol (SNMP) version 1,  version 2, and version 3 support for access through any network management  software, such as IBM Director. To access the SNMP agent on the CN4093, the read and write community strings  on the SNMP manager should be configured to match those on the switch.  The read and write community strings on the switch can be changed using the  following commands:  CN4093(config)# snmp­server read­community <1‐32 characters> ‐and‐ CN4093(config)# snmp­server write­community <1‐32 characters> The SNMP manager should be able to reach any one of the IP interfaces on the  switch. For the SNMP manager to receive the SNMPv1 traps sent out by the SNMP agent  on the switch, configure the trap host on the switch with the following commands:  CN4093(config)# snmp­server trap­source <trap source IP interface> CN4093(config)# snmp­server host <IPv4 address> <trap host community string> For more information on SNMP usage and configuration, see “Simple Network  Management Protocol” on page 501. © Copyright Lenovo 2015 Chapter 1: Switch Administration...
  • Page 36: Bootp/Dhcp Client Ip Address Services

    BOOTP/DHCP Client IP Address Services For remote switch administration, the client terminal device must have a valid IP  address on the same network as a switch interface. The IP address on the client  device may be configured manually, or obtained automatically using IPv6 stateless  address configuration, or an IPv4 address may obtained automatically via BOOTP  or DHCP relay as discussed below. The CN4093 can function as a relay agent for Bootstrap Protocol (BOOTP) or  DHCP. This allows clients to be assigned an IPv4 address for a finite lease period,  reassigning freed addresses later to other clients. Acting as a relay agent, the switch can forward a client’s IPv4 address request to up  to five BOOTP/DHCP servers. In addition to the five global BOOTP/DHCP servers,  up to five domain‐specific BOOTP/DHCP servers can be configured for each of up  to 10 VLANs. When a switch receives a BOOTP/DHCP request from a client seeking an IPv4  address, the switch acts as a proxy for the client. The request is forwarded as a UDP  Unicast MAC layer message to the BOOTP/DHCP servers configured for the  client’s VLAN, or to the global BOOTP/DHCP servers if no domain‐specific  BOOTP/DHCP servers are configured for the client’s VLAN. The servers respond  to the switch with a Unicast reply that contains the IPv4 default gateway and the  IPv4 address for the client. The switch then forwards this reply back to the client. DHCP is described in RFC 2131, and the DHCP relay agent supported on the  CN4093 is described in RFC 1542. DHCP uses UDP as its transport protocol. The  client sends messages to the server on port 67 and the server sends messages to the  client on port 68. BOOTP and DHCP relay are collectively configured using the BOOTP commands  and menus on the CN4093. Host Name Configuration The CN4093 supports DHCP host name configuration as described in RFC 2132,  option 12. DHCP host name configuration is enabled by default. Host name can be manually configured using the following command:  CN4093(config)# hostname <name> If the host name is manually configured, the switch does not replace it with the  host name received from the DHCP server.
  • Page 37: Syslog Server

    SYSLOG Server During switch startup, if the switch fails to get the configuration file, a message can  be recorded in the SYSLOG server. The CN4093 supports requesting of a SYSLOG server IP address from the DHCP  server as described in RFC 2132, option 7. DHCP SYSLOG server request option is  enabled by default. Manually configured SYSLOG server takes priority over DHCP SYSLOG server.  Up to two SYSLOG server addresses received from the DHCP server can be used.  The SYSLOG server can be learnt over a management port or a data port. Use the CN4093# show logging command to view the SYSLOG server address. DHCP SYSLOG server address option can be enabled/disabled using the following  command:  CN4093(config)# [no] system dhcp syslog © Copyright Lenovo 2015 Chapter 1: Switch Administration...
  • Page 38: Switch Login Levels

    Switch Login Levels To enable better switch management and user accountability, three levels or classes  of user access have been implemented on the CN4093. Levels of access to CLI, Web  management functions, and screens increase as needed to perform various switch  management tasks. Conceptually, access classes are defined as follows:   User interaction with the switch is completely passive—nothing can be changed  on the CN4093. Users may display information that has no security or privacy  implications, such as switch statistics and current operational state information.  Operators can only effect temporary changes on the CN4093. These changes will  be lost when the switch is rebooted/reset. Operators have access to the switch  management features used for daily switch operations. Because any changes an  operator makes are undone by a reset of the switch, operators cannot severely  impact switch operation.  Administrators are the only ones that may make permanent changes to the  switch configuration—changes that are persistent across a reboot/reset of the  switch. Administrators can access switch functions to configure and  troubleshoot problems on the CN4093. Because administrators can also make  temporary (operator‐level) changes as well, they must be aware of the  interactions between temporary and permanent changes. Access to switch functions is controlled through the use of unique user names and  passwords. Once you are connected to the switch via console, remote Telnet, or  SSH, you are prompted to enter a password. The default user names/password for  each access level are listed in the following table. Note: It is recommended that you change default switch passwords after initial configuration and as regularly as required under your network security policies.
  • Page 39 To disable admin account, use the command: CN4093(config)# no access user administrator­enable. Admin account can be disabled only if there is at least one user account enabled and configured with administrator privilege. © Copyright Lenovo 2015 Chapter 1: Switch Administration...
  • Page 40: Secure Ftp

    Secure FTP Lenovo N/OS supports Secure FTP (SFTP) to the switch. SFTP uses Secure Shell  (SSH) to transfer files. SFTP encrypts both commands and data, and prevents  passwords and sensitive information from being transmitted openly over the  network.  All file transfer commands include SFTP support along with FTP and TFTP  support. SFTP is available through the menu‐based CLI, ISCLI, BBI, and SNMP.  The following examples illustrate SFTP support for ISCLI commands:   CN4093# copy sftp {image1|image2|boot­image} [mgt­port|data­port]           (Copy software image from SFTP server to the switch) CN4093# copy sftp {ca­cert|host­cert|host­key} [mgt­port|data­port]           (Copy HTTPS certificate or host key from SFTP server to the switch) CN4093 Application Guide for N/OS 8.2...
  • Page 41: Boot Strict Mode

    Acceptable Protocols and Algorithms Protocol/Function Strict Mode Algorithm Compatibility Mode Algorithm BGP does not comply with NIST SP Acceptable 800-131A specification. When in strict mode, BGP is disabled. However, it can be enabled, if required. © Copyright Lenovo 2015 Chapter 1: Switch Administration...
  • Page 42 Table 4. Acceptable Protocols and Algorithms Protocol/Function Strict Mode Algorithm Compatibility Mode Algorithm Certificate RSA-2048 RSA 2048 Generation SHA-256 SHA 256 Certificate RSA 2048 or higher Acceptance SHA 224 or higher SHA, SHA2 HTTPS TLS 1.2 only TLS 1.0, 1.1, 1.2 “Acceptable Cipher Suites” on “Acceptable Cipher Suites”...
  • Page 43 ARCFOUR HMAC-SHA1 HMAC-SHA1 HMAC-SHA1-96 HMAC-SHA1-96 HMAC-MD5 HMAC-MD5-96 TACACS+ TACACS+ does not comply with NIST Acceptable SP 800-131A specification. When in strict mode, TACACS+ is disabled. However, it can be enabled, if required. © Copyright Lenovo 2015 Chapter 1: Switch Administration...
  • Page 44: Acceptable Cipher Suites

    Acceptable Cipher Suites The following cipher suites are acceptable (listed in the order of preference) when  the CN4093 10Gb Converged Scalable Switch is in compatibility mode:  Table 5. List of Acceptable Cipher Suites in Compatibility Mode Cipher ID Key  Authenticati Encryption MAC Cipher Name Exchan 0xC027 ECDHE AES_128_CB SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA2 0xC013 ECDHE AES_128_CB SHA1 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC012 ECDHE 3DES SHA1 SSL_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 0xC011 ECDHE SHA1 SSL_ECDHE_RSA_WITH_RC4_128_SHA 0x002F AES_128_CB SHA1 TLS_RSA_WITH_AES_128_CBC_SHA 0x003C AES_128_CB SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256 0x0005...
  • Page 45: Limitations

    When strict mode is enabled, you will see the following message:  Warning, security strict mode limits the cryptographic algorithms used by  secure protocols on this switch. Please see the documentation for full  details, and verify that peer devices support acceptable algorithms  before enabling this mode. The mode change will take effect after  reloading the switch and the configuration will be wiped during the  reload. System will enter security strict mode with default factory  configuration at next boot up.   Do you want SNMPV3 support old default users in strict mode (y/n)? For SNMPv3 default users, see “SNMP Version 3” on page 502. When strict mode is disabled, the following message is displayed:  Warning, disabling security strict mode. The mode change will take effect  after reloading the switch. You must reboot the switch for the boot strict mode enable/disable to take effect. Limitations In Lenovo N/OS 8.2, consider the following limitation/restrictions if you need to  operate the switch in boot strict mode:  Power ITEs and High‐Availability features do not comply with NIST SP  800‐131A specification. The CN4093 will not discover Platform agents/Common agents that are not in   strict mode. Web browsers that do not use TLS 1.2 cannot be used.   Limited functions of the switch managing Windows will be available. © Copyright Lenovo 2015 Chapter 1: Switch Administration...
  • Page 46 CN4093 Application Guide for N/OS 8.2...
  • Page 47: Chapter 2. Initial Setup

    To help with the initial process of configuring your switch, the Lenovo N/OS  software includes a Setup utility. The Setup utility prompts you step‐by‐step to  enter all the necessary information for basic configuration of the switch. Setup can be activated manually from the command line interface any time after  login: CN4093(config)# setup  Information Needed for Setup Setup requests the following information:  Basic system information Date & time  Whether to use Spanning Tree Group or not   Optional configuration for each port Speed, duplex, flow control, and negotiation mode (as appropriate)  Whether to use VLAN tagging or not (as appropriate)   Optional configuration for each VLAN Name of VLAN  Which ports are included in the VLAN   Optional configuration of IP parameters IP address/mask and VLAN for each IP interface  IP addresses for default gateway  Whether IP forwarding is enabled or not  © Copyright Lenovo 2015...
  • Page 48: Default Setup Options

    3. Enter the following command at the prompt:  CN4093(config)# setup Stopping and Restarting Setup Manually Stopping Setup To abort the Setup utility, press <Ctrl‐C> during any Setup question. When you  abort Setup, the system will prompt: Would you like to run from top again? [y/n] Enter n to abort Setup, or y to restart the Setup program at the beginning. Restarting Setup You can restart the Setup utility manually at any time by entering the following  command at the administrator prompt: CN4093(config)# setup Setup Part 1: Basic System Configuration When Setup is started, the system prompts: "Set Up" will walk you through the configuration of   System Date and Time, Spanning Tree, Port Speed/Mode,   VLANs, and IP interfaces. [type Ctrl­C to abort "Set Up"] 1. Enter y if you will be configuring VLANs. Otherwise enter n. If you decide not to configure VLANs during this session, you can configure them  later using the configuration menus, or by restarting the Setup facility. For more  information on configuring VLANs, see the Lenovo N/OS Application Guide.  Next, the Setup utility prompts you to input basic system information. CN4093 Application Guide for N/OS 8.2...
  • Page 49 3. Enter the month of the current system date at the prompt: System Date: Enter month [1]: Enter the month as a number from 1 to 12. To keep the current month, press  <Enter>. 4. Enter the day of the current date at the prompt: Enter day [3]: Enter the date as a number from 1 to 31. To keep the current day, press <Enter>. The system displays the date and time settings: System clock set to 18:55:36 Wed Jan 28, 2012. 5. Enter the hour of the current system time at the prompt: System Time: Enter hour in 24­hour format [18]: Enter the hour as a number from 00 to 23. To keep the current hour, press <Enter>. 6. Enter the minute of the current time at the prompt: Enter minutes [55]: Enter the minute as a number from 00 to 59. To keep the current minute, press  <Enter>. 7. Enter the seconds of the current time at the prompt: Enter seconds [37]: Enter the seconds as a number from 00 to 59. To keep the current second, press  <Enter>. The system then displays the date and time settings: System clock set to 8:55:36 Wed Jan 28, 2012. 8. Turn BOOTP on or off at the prompt:  BootP Option: Current BOOTP: disabled Enter new BOOTP [d/e]: © Copyright Lenovo 2015 Chapter 2: Initial Setup...
  • Page 50: Setup Part 2: Port Configuration

    Enter e to enable BOOTP, or enter d to disable BOOTP.  9. Turn Spanning Tree Protocol on or off at the prompt: Spanning Tree: Current Spanning Tree Group 1 setting: ON Turn Spanning Tree Group 1 OFF? [y/n] Enter y to turn off Spanning Tree, or enter n to leave Spanning Tree on. Setup Part 2: Port Configuration Note: When configuring port options for your switch, some prompts and options may be different. 1. Select whether you will configure VLANs and VLAN tagging for ports:   Port Config: Will you configure VLANs and Tagging/Trunk­mode for ports? [y/n] If you wish to change settings for VLANs, enter y, or enter n to skip VLAN  configuration.  Note: The sample screens that appear in this document might differ slightly from the screens displayed by your system.
  • Page 51: Setup Part 3: Vlans

    Setup Part 3: VLANs If you chose to skip VLANs configuration back in Part 2, skip to “Setup Part 4: IP  Configuration” on page 1. Select the VLAN to configure, or skip VLAN configuration at the prompt: VLAN Config: Enter VLAN number from 2 to 4094, NULL at end: If you wish to change settings for individual VLANs, enter the number of the  VLAN you wish to configure. To skip VLAN configuration, press <Enter> without  typing a VLAN number and go to “Setup Part 4: IP Configuration” on page 2. Enter the new VLAN name at the prompt: Current VLAN name: VLAN 2 Enter new VLAN name: Entering a new VLAN name is optional. To use the pending new VLAN name,  press <Enter>.  3. Enter the VLAN port numbers:  Define Ports in VLAN: Current VLAN 2:  empty Enter ports one per line, NULL at end: Enter each port, by port number, and confirm placement of the port into this  VLAN. When you are finished adding ports to this VLAN, press <Enter> without  specifying any port.  4. Configure Spanning Tree Group membership for the VLAN:  Spanning Tree Group membership: Enter new STG index [1­128](802.1d)/[1](RSTP)/[0­32](MSTP):  © Copyright Lenovo 2015 Chapter 2: Initial Setup...
  • Page 52: Setup Part 4: Ip Configuration

    5. The system prompts you to configure the next VLAN:  VLAN Config: Enter VLAN number from 2 to 4094, NULL at end: Repeat the steps in this section until all VLANs have been configured. When all  VLANs have been configured, press <Enter> without specifying any VLAN.  Setup Part 4: IP Configuration The system prompts for IPv4 parameters. Although the switch supports both IPv4 and IPv6 networks, the Setup utility  permits only IPv4 configuration. For IPv6 configuration, see “Internet Protocol  Version 6” on page 363.  IP Interfaces IP interfaces are used for defining the networks to which the switch belongs. Up to 128 IP interfaces can be configured on the CN4093 10Gb Converged Scalable  Switch (CN4093). The IP address assigned to each IP interface provides the switch  with an IP presence on your network. No two IP interfaces can be on the same IP  network. The interfaces can be used for connecting to the switch for remote  configuration, and for routing between subnets and VLANs (if used). Note: Interfaces125-128 is reserved for IPv4 switch management. 1. Select the IP interface to configure, or skip interface configuration at the prompt: IP Config: IP interfaces: Enter interface number: (1­128)  If you wish to configure individual IP interfaces, enter the number of the IP  interface you wish to configure. To skip IP interface configuration, press <Enter>  without typing an interface number and go to “Default Gateways” on page 53. ...
  • Page 53: Default Gateways

    Enable IP interface? [y/n] 6. The system prompts you to configure another interface: Enter interface number: (1­128)  Repeat the steps in this section until all IP interfaces have been configured. When  all interfaces have been configured, press <Enter> without specifying any interface  number. Default Gateways 1. At the prompt, select an IP default gateway for configuration, or skip default  gateway configuration: IP default gateways: Enter default gateway number: (1­3, 4)  Enter the number for the IP default gateway to be configured. To skip default  gateway configuration, press <Enter> without typing a gateway number and go to  “IP Routing” on page 2. At the prompt, enter the IPv4 address for the selected default gateway: Current IP address:     0.0.0.0 Enter new IP address: Enter the IPv4 address in dotted decimal notation, or press <Enter> without  specifying an address to accept the current setting. 3. At the prompt, enter y to enable the default gateway, or n to leave it disabled: Enable default gateway? [y/n] 4. The system prompts you to configure another default gateway: Enter default gateway number: (1­4)  Repeat the steps in this section until all default gateways have been configured.  When all default gateways have been configured, press <Enter> without specifying  any number.  © Copyright Lenovo 2015 Chapter 2: Initial Setup...
  • Page 54: Ip Routing

    IP Routing When IP interfaces are configured for the various IP subnets attached to your  switch, IP routing between them can be performed entirely within the switch. This  eliminates the need to send inter‐subnet communication to an external router  device. Routing on more complex networks, where subnets may not have a direct  presence on the CN4093, can be accomplished through configuring static routes or  by letting the switch learn routes dynamically. This part of the Setup program prompts you to configure the various routing  parameters. At the prompt, enable or disable forwarding for IP Routing: Enable IP forwarding? [y/n] Enter y to enable IP forwarding. To disable IP forwarding, enter n. To keep the  current setting, press <Enter>. Setup Part 5: Final Steps 1. When prompted, decide whether to restart Setup or continue: Would you like to run from top again? [y/n] Enter y to restart the Setup utility from the beginning, or n to continue. 2. When prompted, decide whether you wish to review the configuration changes: Review the changes made? [y/n] Enter y to review the changes made during this session of the Setup utility. Enter n  to continue without reviewing the changes. We recommend that you review the  changes. 3. Next, decide whether to apply the changes at the prompt: Apply the changes? [y/n] Enter y to apply the changes, or n to continue without applying. Changes are  normally applied. 4. At the prompt, decide whether to make the changes permanent: Save changes to flash? [y/n] Enter y to save the changes to flash. Enter n to continue without saving the  changes. Changes are normally saved at this point. 5. If you do not apply or save the changes, the system prompts whether to abort them: Abort all changes? [y/n] CN4093 Application Guide for N/OS 8.2...
  • Page 55: Optional Setup For Telnet Support

    “Changing the Switch Passwords” on page Optional Setup for Telnet Support Note: This step is optional. Perform this procedure only if you are planning on connecting to the CN4093 through a remote Telnet connection. 1. Telnet is enabled by default. To change the setting, use the following command:   CN4093(config)# no access telnet © Copyright Lenovo 2015 Chapter 2: Initial Setup...
  • Page 56 CN4093 Application Guide for N/OS 8.2...
  • Page 57: Chapter 3. Service Location Protocol

     Service Agent (SA) provides service registration and service advertisement. Note:  In this release, SA supports UA/DA on Linux with SLPv2 support.   Directory Agent (DA) collects service information from Service Agents to  provide a repository of service information in order to centralize it for efficient  access by User Agents. There can only be one Directory Agent present per given  host.  The Directory Agent acts as an intermediate tier in the SLP architecture, placed  between the User Agents and the Service Agents, so they communicate only with  the Directory Agent instead of with each other. This eliminates a large portion of  the multicast request or reply traffic on the network, and it protects the Service  Agents from being overwhelmed by too many service requests.  Services are described by the configuration of attributes associated with a type of  service. A User Agent can select an appropriate service by specifying the attributes  that it needs in a service request message. When service replies are returned, they  contain a Uniform Resource Locator (URL) pointing to the service desired, and  other information, such as server load, needed by the User Agent. Active DA Discovery When a Service Agent or User Agent initializes, it can perform Active Directory  Agent Discovery using a multicast service request and specifies the special,  reserved service type (service:directory-agent). Active DA Discovery is  achieved through the same mechanism as any other discovery using SLP.  The Directory Agent replies with unicast service replies, which provides the URLs  and attributes of the requested service. © Copyright Lenovo 2015 Chapter 3: Service Location Protocol...
  • Page 58: Slp Configuration

    SLP Configuration Use the following ISCLI commands to configure SLP for the switch:  Table 7. SLP ISCLI Commands Command Syntax and Usage [no] ip slp enable Enables or disables SLP on the switch.  Command mode: Global configuration [no] ip slp active-da-discovery enable Enables or disables Active DA Discovery.  Command mode: Global configuration ip slp active-da-discovery-start-wait-time <1‐10> Configures the wait time before starting Active DA Discovery, in seconds.  The default value is 3 seconds.  Command mode: Global configuration clear ip slp directory-agents Clears all Directory Agents learned by the switch.  Command mode: Global configuration show ip slp information Displays SLP information.  Command mode: All  show ip slp directory­agents  Displays Directory Agents learned by the switch. ...
  • Page 59: Chapter 4. System License Keys

    You can also use the website to review and manage licenses, and to obtain  additional help if required. Note: An IBM ID and password are required to log into the FoD website. If you do  not yet have an IBM ID, you can register at the website. Activation keys are provided as files that must be uploaded to the CN4093. To  acquire an activation key, use the FoD website to purchase an Authorization Code.  You will need to provide the unique ID (UID) of the specific CN4093 where the key  will be installed. The UID is the last 12 characters of the CN4093 serial number.  This serial number is located on the Part Number (PN) label and is also displayed  during successful login to the device. When available, download the activation key file from the FoD site. Installing Activation Keys Once FoD activation key files have been acquired, they must be installed on the  CN4093. The example below depicts use of the CN4093 Command Line Interface  (CLI), but other device interfaces (such as SNMP) may also be used. The CN4093 must be reset to activate any newly installed licenses. To install activation keys, complete the following steps: a. Log in to the CN4093. b. At the CLI prompt, enter the following commands: CN4093> enable CN4093# configure terminal CN4093(config)# software­key CN4093(config)# enakey addr <server IP address> keyfile <key filename> c. Follow the prompts to enter the appropriate parameters, including the file  transfer protocol and server parameters. © Copyright Lenovo 2015 Chapter 4: System License Keys...
  • Page 60: Transferring Activation Keys

    Note: Repeat the enakey command for any additional keys being installed. d. Once the key file has been uploaded to the CN4093, reset the device to activate  any newly installed licenses.: CN4093(config)# reload The system prompts you to confirm your request. Once confirmed, the system  will reboot with the new licenses. Transferring Activation Keys Licenses keys are based on the unique CN4093 device serial number and are  non‐transferable. In the event that the CN4093 must be replaced, a new activation key must be  acquired and installed. When the replacement is handled through Lenovo Service  and Support, your original license will be transferred to the serial number of the  replacement unit and you will be provided a new license key. Trial Keys Trial keys are license keys used for evaluation purposes, upgrading the number of  available ports for limited time. They are managed and obtained like regular  license keys, from the Lenovo System x Features on Demand (FoD) website: http://www.ibm.com/systems/x/fod/ Trial keys expire after a predefined number of days. 10 days before the expiration  date, the switch will begin to issue the following syslog messages: The software demo license for Upgrade1 will expire in 10 days. The switch  will automatically reset to the factory configuration after the license  expires. Please backup your configuration or enter a valid license key so  the configuration will not be lost. When the trial license expires, all features enabled by the key are disabled,  configuration files (active and backup) are deleted and the switch resets to the  factory configuration. To prevent this, either install a regular upgrade license to  overwrite the trial key, or manually remove the trial key and reset the switch. Once a trial key is installed, it cannot be reused. Flexible Port Mapping Flexible Port Mapping allows administrators to manually enable or disable specific  switch ports within the limitations of the installed licenses’ bandwidth. For instance, the FlexSystem may include two compute nodes and a single QSFP+ ...
  • Page 61 The total bandwidth required for this operation amounts to 80 Gbps (40 Gbps for  the four additional 10 Gbps internal ports and 40 Gbps for the additional external  QSFP+ port). The administrator decides to allocate this bandwidth by deactivating  6 internal and 2 external 10 Gbps ports. To implement the above scenario, follow these steps: a. Deactivate the ports required to clear the 80 Gbps required bandwidth: CN4093(config)# no boot port­map INTA9 CN4093(config)# no boot port­map INTA10 CN4093(config)# no boot port­map INTA11 CN4093(config)# no boot port­map INTA12 CN4093(config)# no boot port­map INTA13 CN4093(config)# no boot port­map INTA14 CN4093(config)# no boot port­map EXT9 CN4093(config)# no boot port­map EXT10 b. Activate the required ports: CN4093(config)# boot port­map INTB1 CN4093(config)# boot port­map INTC1 CN4093(config)# boot port­map INTB2 CN4093(config)# boot port­map INTC2 CN4093(config)# boot port­map EXT3 c. A reboot is required for the changes to take effect. CN4093(config)# reload Flexible Port Mapping is disabled if all available licenses are installed (all physical  ports are available). Removing a license key reverts the port mapping to the default settings for the  remaining licensing level. To manually revert the port mapping to the default  settings use the following command: CN4093(config)# default boot port­map © Copyright Lenovo 2015 Chapter 4: System License Keys...
  • Page 62 CN4093 Application Guide for N/OS 8.2...
  • Page 63: Part 2: Securing The Switch

    Part 2: Securing the Switch © Copyright Lenovo 2015...
  • Page 64 CN4093 Application Guide for N/OS 8.2...
  • Page 65: Chapter 5. Securing Administration

    To change the administrator password, you must login using the administrator  password.  Changing the Default Administrator Password The administrator has complete access to all menus, information, and  configuration commands, including the ability to change both the user and  administrator passwords. The default administrator account is USERID. The default password for the  administrator account is PASSW0RD (with a zero). To change the administrator  password, use the following procedure: 1. Connect to the switch and log in as the administrator.  2. Use the following command to change the administrator password: CN4093(config)# access user administrator­password <password> Changing the Default User Password The user login has limited control of the switch. Through a user account, you can  view switch information and statistics, but you can’t make configuration changes. The default password for the user account is user. This password can be changed  from the user account. The administrator can change all passwords, as shown in  the following procedure. 1. Connect to the switch and log in as the administrator.  2. Use the following command to change the user password: CN4093(config)# access user user­password <password> © Copyright Lenovo 2015...
  • Page 66: Secure Shell And Secure Copy

    SCP is typically used to copy files securely from one machine to another. SCP uses  SSH for encryption of data on the network. On a CN4093, SCP is used to download  and upload the switch configuration via secure channels. Although SSH and SCP are disabled by default, enabling and using these features  provides the following benefits:  Identifying the administrator using Name/Password  Authentication of remote administrators  Authorization of remote administrators  Determining the permitted actions and customizing service for individual  administrators  Encryption of management messages Encrypting messages between the remote administrator and switch   Secure copy support The Lenovo N/OS implementation of SSH supports both versions 1.5 and 2.0 and  supports SSH clients version 1.5 ‐ 2.x. The following SSH clients have been tested:   SSH 1.2.23 and SSH 1.2.27 for Linux (freeware)  SecureCRT 3.0.2 and SecureCRT 3.0.3 for Windows NT (Van Dyke Technologies,  Inc.)  F‐Secure SSH 1.1 for Windows (Data Fellows)  Putty SSH  Cygwin OpenSSH  Mac X OpenSSH  Solaris 8 OpenSSH  AxeSSH SSHPro ...
  • Page 67: To Enable Or Disable The Ssh Feature

    Note: The ­4 option (the default) specifies that an IPv4 switch address will be used. The ­6 option specifies IPv6. Example: >> ssh scpadmin@205.178.15.157 To Copy the Switch Configuration File to the SCP Host Syntax: >> scp [­4|­6] <username>@<switch IP address>:getcfg <local filename>  © Copyright Lenovo 2015 Chapter 5: Securing Administration...
  • Page 68: To Load A Switch Configuration File From The Scp Host

    Example: >> scp scpadmin@205.178.15.157:getcfg ad4.cfg To Load a Switch Configuration File from the SCP Host Syntax: >> scp [­4|­6] <local filename> <username>@<switch IP address>:putcfg Example: >> scp ad4.cfg scpadmin@205.178.15.157:putcfg To Apply and Save the Configuration When loading a configuration file to the switch, the apply and save commands  are still required, in order for the configuration commands to take effect. The  apply and save commands may be entered manually on the switch, or by using  SCP commands. Syntax: >> scp [­4|­6] <local filename> <username>@<switch IP address>:putcfg_apply >> scp [­4|­6] <local filename> <username>@<switch IP address>:putcfg_apply_save Example: >> scp ad4.cfg scpadmin@205.178.15.157:putcfg_apply >> scp ad4.cfg scpadmin@205.178.15.157:putcfg_apply_save  The CLI diff command is automatically executed at the end of putcfg to  notify the remote client of the difference between the new and the current  configurations. putcfg_apply runs the apply command after the putcfg is done.  putcfg_apply_save saves the new configuration to the flash after   putcfg_apply is done.
  • Page 69: To Load Switch Configuration Files From The Scp Host

    Thus, an SSH/SCP client will not be able to log in if the switch is performing key generation at that time. Also, key generation will fail if an SSH/SCP client is logging in at that time. © Copyright Lenovo 2015 Chapter 5: Securing Administration...
  • Page 70: Ssh/Scp Integration With Radius Authentication

    SSH/SCP Integration with RADIUS Authentication SSH/SCP is integrated with RADIUS authentication. After the RADIUS server is  enabled on the switch, all subsequent SSH authentication requests will be  redirected to the specified RADIUS servers for authentication. The redirection is  transparent to the SSH clients. SSH/SCP Integration with TACACS+ Authentication SSH/SCP is integrated with TACACS+ authentication. After the TACACS+ server is  enabled on the switch, all subsequent SSH authentication requests will be  redirected to the specified TACACS+ servers for authentication. The redirection is  transparent to the SSH clients. CN4093 Application Guide for N/OS 8.2...
  • Page 71: End User Access Control

     Passwords can be up to 128 characters in length for TACACS, RADIUS, Telnet,  SSH, Console, and Web access. Strong Passwords The administrator can require use of Strong Passwords for users to access the  CN4093. Strong Passwords enhance security because they make password  guessing more difficult. The following rules apply when Strong Passwords are enabled: Minimum length: 8 characters; maximum length: 64 characters   Must contain at least one uppercase alphabet Must contain at least one lowercase alphabet   Must contain at least one number Must contain at least one special character:   Supported special characters: ! “ # % & ‘ ( ) ; < = >> ? [\] * + , ‐ . / : ^ _ { | } ~  Cannot be same as the username  No consecutive four characters can be the same as in the old password When strong password is enabled, users can still access the switch using the old  password but will be advised to change to a strong password while attempting to  log in.  Strong password requirement can be enabled using the following command:  CN4093(config)# access user strong­password enable © Copyright Lenovo 2015 Chapter 5: Securing Administration...
  • Page 72: User Access Control Menu

    The administrator can choose the number of days allowed before each password  expires. When a strong password expires, the user is allowed to log in one last time  (last time) to change the password. A warning provides advance notice for users to  change the password. User Access Control Menu The end‐user access control commands allow you to configure end‐user accounts. Setting Up User IDs Up to 20 user IDs can be configured in the User ID menu. CN4093(config)# access user 1 name <1‐8 characters> CN4093(config)# access user 1 password Changing user1 password; validation required: Enter current admin password: <current administrator password> Enter new user1 password: <new user password> Re­enter new user1 password: <new user password> New user1 password accepted. Defining a User’s Access Level The end user is by default assigned to the user access level (also known as class of  service, or CoS). CoS for all user accounts have global access to all resources except  for User CoS, which has access to view only resources that the user owns. For more  information, see Table 8 on page To change the user’s level, enter the class of service   command: CN4093(config)# access user 1 level {user|operator|administrator} Validating a User’s Configuration CN4093# show access user uid 1 Enabling or Disabling a User An end user account must be enabled before the switch recognizes and permits ...
  • Page 73: Re-Enabling Locked Accounts

    Re-enabling Locked Accounts The administrator can re‐enable a locked account by reloading the switch or by  using the following command:  CN4093(config)# access user strong­password clear local user lockout  username <user name> However, the above command cannot be used to re‐enable an account disabled by  the administrator.  To re‐enable all locked accounts, use the following command:  CN4093(config)# access user strong­password clear local user lockout all © Copyright Lenovo 2015 Chapter 5: Securing Administration...
  • Page 74: Listing Current Users

    Listing Current Users The show access user   command displays defined user accounts and whether  or not each user is currently logged into the switch. CN4093# show access user Usernames: user     ­ Enabled ­ offline oper     ­ Disabled ­ offline admin    ­ Always Enabled ­ online 1 session Current User ID table: 1: name USERID  , ena, cos admin   , password valid, offline 2: name jane    , ena, cos user    , password valid, online 3: name john    , ena, cos user    , password valid, online Logging In to an End User Account Once an end user account is configured and enabled, the user can login to the  switch, using the username/password combination. The level of switch access is  determined by the Class of Service established for the end user account. Protected Mode Protected Mode settings allow the switch administrator to block the management  module from making configuration changes that affect switch operation. The  switch retains control over those functions.  The following management module functions are disabled when Protected Mode  is turned on:   External Ports: Enabled/Disabled  External management over all ports: Enabled/Disabled ...
  • Page 75: Stacking Mode

    Stacking Mode When the switch is in stacking mode, Protected Mode is automatically enabled for  three of the four Protected Mode functions, and the following module functions  are disabled:  External Ports (Enabled)  External management over all ports (Enabled)  Restore Factory Defaults Stack members and stack Master can get their IP addresses from the advanced  management module (AMM). Stack can be managed using external ports or using  the AMM management port. If required, the functionality of new static IP configuration can also be disabled by  turning off Protected Mode (CN4093(config)# no protected­mode) and  turning it back on (CN4093(config)# protected­mode enable). © Copyright Lenovo 2015 Chapter 5: Securing Administration...
  • Page 76 CN4093 Application Guide for N/OS 8.2...
  • Page 77: Chapter 6. Authentication & Authorization Protocols

    Chapter 6. Authentication & Authorization Protocols Secure switch management is needed for environments that perform significant  management functions across the Internet. The following are some of the functions  for secured IPv4 management and device access:  “RADIUS Authentication and Authorization” on page 78  “TACACS+ Authentication” on page 82  “LDAP Authentication and Authorization” on page 87 Note: Lenovo N/OS 8.2 does not support IPv6 for RADIUS, TACACS+, or LDAP. © Copyright Lenovo 2015...
  • Page 78: Radius Authentication And Authorization

    RADIUS Authentication and Authorization Lenovo N/OS supports the RADIUS (Remote Authentication Dial‐in User Service)  method to authenticate and authorize remote administrators for managing the  switch. This method is based on a client/server model. The Remote Access Server  (RAS)—the switch—is a client to the back‐end database server. A remote user (the  remote administrator) interacts only with the RAS, not the back‐end server and  database. RADIUS authentication consists of the following components:  A protocol with a frame format that utilizes UDP over IP (based on RFC 2138 and  2866) A centralized server that stores all the user authorization information   A client, in this case, the switch The CN4093—acting as the RADIUS client—communicates to the RADIUS server  to authenticate and authorize a remote administrator using the protocol definitions  specified in RFC 2138 and 2866. Transactions between the client and the RADIUS  server are authenticated using a shared key that is not sent over the network. In  addition, the remote administrator passwords are sent encrypted between the  RADIUS client (the switch) and the back‐end RADIUS server. How RADIUS Authentication Works 1. Remote administrator connects to the switch and provides user name and  password. 2. Using Authentication/Authorization protocol, the switch sends request to  authentication server. 3. Authentication server checks the request against the user ID database. 4. Using RADIUS protocol, the authentication server instructs the switch to grant or  deny administrative access. Configuring RADIUS on the Switch Use the following procedure to configure Radius authentication on your CN4093.
  • Page 79: Radius Authentication Features In Lenovo N/Os

    If you configure the RADIUS secret using any method other than through the console port, the secret may be transmitted over the network as clear text. 3. If desired, you may change the default UDP port number used to listen to RADIUS. The well‐known port for RADIUS is 1645. CN4093(config)# radius­server port <UDP port number> 4. Configure the number retry attempts for contacting the RADIUS server, and the  timeout period. CN4093(config)# radius­server retransmit 3 CN4093(config)# radius­server timeout 5 RADIUS Authentication Features in Lenovo N/OS Lenovo N/OS supports the following RADIUS authentication features:  Supports RADIUS client on the switch, based on the protocol definitions in RFC  2138 and RFC 2866.  Allows a RADIUS secret password of up to 32 characters.   Supports secondary authentication server so that when the primary authentication  server is unreachable, the switch can send client authentication requests to the ...
  • Page 80: Switch User Accounts

    Switch User Accounts The user accounts listed in Table 8 can be defined in the RADIUS server dictionary  file.  Table 8.  User Access Levels User Account Description and Tasks Performed Password user User The User has no direct responsibility for switch  management. He/she can view all switch status  information and statistics but cannot make any  configuration changes to the switch. oper Operator In addition to User capabilities, the Operator has  limited switch management access, including the  ability to make temporary, operational  configuration changes to some switch features, and  to reset switch ports (other than management  ports). PASSW0RD  Administrator The super‐user Administrator has complete access  to all menus, information, and configuration  (USERID) commands on the switch, including the ability to  change both the user and administrator passwords. CN4093 Application Guide for N/OS 8.2...
  • Page 81: Radius Attributes For Lenovo N/Os User Privileges

    RADIUS Attributes for Lenovo N/OS User Privileges When the user logs in, the switch authenticates his/her level of access by sending  the RADIUS access request, that is, the client authentication request, to the  RADIUS authentication server. If the remote user is successfully authenticated by the authentication server, the  switch will verify the privileges of the remote user and authorize the appropriate  access. The administrator has two options: to allow backdoor access via Telnet, SSH,  HTTP, or HTTPS; to allow secure backdoor access via console, Telnet, SSH, or BBI.  Secure backdoor provides access to the switch when the RADIUS servers cannot be  reached. The default CN4093 setting for backdoor and secure backdoor access is disabled.  Backdoor access is always enabled on the console port. Irrespective of backdoor being enabled or not, you can always access the switch via  the console port by using noradius as radius username. You can then enter the  username and password configured on the switch. If you are trying to connect via  SSH/Telnet/HTTP/HTTPS, there are two possibilities:   Backdoor is enabled: The switch acts like it is connecting via console.  Secure backdoor is enabled: You must enter the username: noradius. The switch  checks if RADIUS server is reachable. If it is reachable, then you must  authenticate via remote authentication server. Only if RADIUS server is not  reachable, you will be prompted for local user/password to be authenticated  against these local credentials. All user privileges, other than those assigned to the Administrator, have to be  defined in the RADIUS dictionary. RADIUS attribute 6 which is built into all  RADIUS servers defines the administrator. The file name of the dictionary is  RADIUS vendor‐dependent. The following RADIUS attributes are defined for  Lenovo N/OS user privileges levels:  Table 9. Lenovo N/OS‐proprietary Attributes for RADIUS User Name/Access...
  • Page 82: Tacacs+ Authentication

    TACACS+ Authentication Lenovo N/OS supports authentication, authorization, and accounting with  networks using the Cisco Systems TACACS+ protocol. The CN4093 functions as  the Network Access Server (NAS) by interacting with the remote client and  initiating authentication and authorization sessions with the TACACS+ access  server. The remote user is defined as someone requiring management access to the  CN4093 either through a data or management port. TACACS+ offers the following advantages over RADIUS:  TACACS+ uses TCP‐based connection‐oriented transport; whereas RADIUS is  UDP‐based. TCP offers a connection‐oriented transport, while UDP offers  best‐effort delivery. RADIUS requires additional programmable variables such  as re‐transmit attempts and time‐outs to compensate for best‐effort transport,  but it lacks the level of built‐in support that a TCP transport offers.  TACACS+ offers full packet encryption whereas RADIUS offers password‐only  encryption in authentication requests.  TACACS+ separates authentication, authorization and accounting. How TACACS+ Authentication Works TACACS+ works much in the same way as RADIUS authentication as described on  page 1. Remote administrator connects to the switch and provides user name and  password. 2. Using Authentication/Authorization protocol, the switch sends request to  authentication server. 3. Authentication server checks the request against the user ID database. 4. Using TACACS+ protocol, the authentication server instructs the switch to grant or  deny administrative access. During a session, if additional authorization checking is needed, the switch checks  with a TACACS+ server to determine if the user is granted permission to use a  particular command.
  • Page 83: Tacacs+ Authentication Features In Lenovo N/Os

    TACACS+ Authentication Features in Lenovo N/OS Authentication is the action of determining the identity of a user, and is generally  done when the user first attempts to log in to a device or gain access to its services.  Lenovo N/OS supports ASCII inbound login to the device. PAP, CHAP and ARAP  login methods, TACACS+ change password requests, and one‐time password  authentication are not supported. Authorization Authorization is the action of determining a user’s privileges on the device, and  usually takes place after authentication. The default mapping between TACACS+ authorization levels and Lenovo N/OS  management access levels is shown in Table 10. The authorization levels listed in  this table must be defined on the TACACS+ server.  Table 10.  Default TACACS+ Authorization Levels Lenovo N/OS User Access TACACS+ Level Level user oper admin (USERID) Alternate mapping between TACACS+ authorization levels and Lenovo N/OS  management access levels is shown in Table 11. Use the following command to use  the alternate TACACS+ authorization levels:     CN4093(config)# tacacs­server privilege­mapping Table 11.  Alternate TACACS+ Authorization Levels Lenovo N/OS User Access...
  • Page 84: Accounting

      disc‐cause Note: When using the Browser-Based Interface, the TACACS+ Accounting Stop records are sent only if the Quit button on the browser is clicked. Command Authorization and Logging When TACACS+ Command Authorization is enabled  (CN4093(config)# tacacs­server command­authorization), Lenovo  N/OS configuration commands are sent to the TACACS+ server for authorization.  When TACACS+ Command Logging is enabled  (CN4093(config)# tacacs­server command­logging), Lenovo N/OS  configuration commands are logged on the TACACS+ server. The following examples illustrate the format of Lenovo N/OS commands sent to  the TACACS+ server: authorization request, cmd=cfgtree, cmd­arg=/cfg/l3/if...
  • Page 85: Tacacs+ Password Change

    Configuring TACACS+ Authentication on the Switch 1. Configure the IPv4 addresses of the Primary and Secondary TACACS+ servers, and  enable TACACS authentication. CN4093(config)# tacacs­server primary­host 10.10.1.1(Enter primary server IPv4  address) CN4093(config)# tacacs­server primary­host mgt­port  CN4093(config)# tacacs­server secondary­host 10.10.1.1 (Enter secondary server IPv4 address) CN4093(config)# tacacs­server secondary­host data­port CN4093(config)# tacacs­server enable 2. Configure the TACACS+ secret and second secret. CN4093(config)# tacacs­server primary­host 10.10.1.1 key <1‐32 character secret> CN4093(config)# tacacs­server secondary­host 10.10.1.2 key  <1‐32 character secret> If you configure the TACACS+ secret using any method other than a direct console  connection, the secret may be transmitted over the network as clear text. 3. If desired, you may change the default TCP port number used to listen to  TACACS+. The well‐known port for TACACS+ is 49. CN4093(config)# tacacs­server port <TCP port number> © Copyright Lenovo 2015 Chapter 6: Authentication & Authorization Protocols...
  • Page 86 4. Configure the number of retry attempts, and the timeout period. CN4093(config)# tacacs­server retransmit 3 CN4093(config)# tacacs­server timeout 5  5. Configure custom privilege‐level mapping (optional). CN4093(config)# tacacs­server user­mapping 2 user CN4093(config)# tacacs­server user­mapping 3 user CN4093(config)# tacacs­server user­mapping 4 user CN4093(config)# tacacs­server user­mapping 5 oper CN4093 Application Guide for N/OS 8.2...
  • Page 87: Ldap Authentication And Authorization

     User Accounts: Use the uid attribute to define each individual user account. User Groups:  Use the members attribute in the groupOfNames object class to create the user  groups. The first word of the common name for each user group must be equal  to the user group names defined in the CN4093, as follows: admin (USERID)  oper  user  Configuring LDAP Authentication on the Switch 1. Turn LDAP authentication on, then configure the Primary and Secondary LDAP  servers. CN4093(config)# ldap­server primary­host 10.10.1.1 (Enter primary server IPv4  address) CN4093(config)# ldap­server primary­host 10.10.1.2  (Enter secondary server IPv4  address) 2. Configure the domain name. CN4093(config)# ldap­server domain <ou=people,dc=my‐domain,dc=com> © Copyright Lenovo 2015 Chapter 6: Authentication & Authorization Protocols...
  • Page 88 3. If desired, you may change the default TCP port number used to listen to LDAP. The well‐known port for LDAP is 389. CN4093(config)# ldap­server port <1‐65000> 4. Configure the number of retry attempts for contacting the LDAP server, and the  timeout period. CN4093(config)# ldap­server retransmit 3(server retries) CN4093(config)# ldap­server timeout 10 (Enter the timeout period in seconds) CN4093 Application Guide for N/OS 8.2...
  • Page 89: Chapter 7. 802.1X Port-Based Network Access Control

    Chapter 7. 802.1X Port-Based Network Access Control Port‐Based Network Access control provides a means of authenticating and  authorizing devices attached to a LAN port that has point‐to‐point connection  characteristics. It prevents access to ports that fail authentication and  authorization. This feature provides security to ports of the CN4093 10Gb  Converged Scalable Switch (CN4093) that connect to blade servers. The following topics are discussed in this section:  “Extensible Authentication Protocol over LAN” on page 90  “EAPoL Authentication Process” on page 91  “EAPoL Port States” on page 93 “Guest VLAN” on page 93   “Supported RADIUS Attributes” on page 94 “EAPoL Configuration Guidelines” on page 96  © Copyright Lenovo 2015...
  • Page 90: Extensible Authentication Protocol Over Lan

    Extensible Authentication Protocol over LAN Lenovo N/OS can provide user‐level security for its ports using the IEEE 802.1X  protocol, which is a more secure alternative to other methods of port‐based  network access control. Any device attached to an 802.1X‐enabled port that fails  authentication is prevented access to the network and denied services offered  through that port. The 802.1X standard describes port‐based network access control using Extensible  Authentication Protocol over LAN (EAPoL). EAPoL provides a means of  authenticating and authorizing devices attached to a LAN port that has  point‐to‐point connection characteristics and of preventing access to that port in  cases of authentication and authorization failures. EAPoL is a client‐server protocol that has the following components: Supplicant or Client   The Supplicant is a device that requests network access and provides the  required credentials (user name and password) to the Authenticator and the  Authenticator Server.  Authenticator  The Authenticator enforces authentication and controls access to the network.  The Authenticator grants network access based on the information provided by  the Supplicant and the response from the Authentication Server. The  Authenticator acts as an intermediary between the Supplicant and the  Authentication Server: requesting identity information from the client,  forwarding that information to the Authentication Server for validation,  relaying the server’s responses to the client, and authorizing network access  based on the results of the authentication exchange. The CN4093 acts as an  Authenticator.  Authentication Server The Authentication Server validates the credentials provided by the Supplicant  to determine if the Authenticator should grant access to the network. The  Authentication Server may be co‐located with the Authenticator. The CN4093  relies on external RADIUS servers for authentication. Upon a successful authentication of the client by the server, the 802.1X‐controlled  port transitions from unauthorized to authorized state, and the client is allowed ...
  • Page 91: Eapol Authentication Process

    802.1x Client Server EAPOL IBM Switch RADIUS-EAP Authenticator Ethernet (RADIUS Client) UDP/IP Port Unauthorized EAPOL-Start EAP-Request (Credentials) EAP-Response (Credentials) Radius-Access-Request Radius-Access-Challenge EAP-Request (Credentials) EAP-Response (Credentials) Radius-Access-Request Radius-Access-Accept EAP-Success Port Authorized © Copyright Lenovo 2015 Chapter 7: 802.1X Port-Based Network Access Control...
  • Page 92: Eapol Message Exchange

    EAPoL Message Exchange During authentication, EAPOL messages are exchanged between the client and the  CN4093 authenticator, while RADIUS‐EAP messages are exchanged between the  CN4093 authenticator and the RADIUS server. Authentication is initiated by one of the following methods:  The CN4093 authenticator sends an EAP‐Request/Identity packet to the client  The client sends an EAPOL‐Start frame to the CN4093 authenticator, which  responds with an EAP‐Request/Identity frame. The client confirms its identity by sending an EAP‐Response/Identity frame to the  CN4093 authenticator, which forwards the frame encapsulated in a RADIUS  packet to the server. The RADIUS authentication server chooses an EAP‐supported authentication  algorithm to verify the client’s identity, and sends an EAP‐Request packet to the  client via the CN4093 authenticator. The client then replies to the RADIUS server  with an EAP‐Response containing its credentials. Upon a successful authentication of the client by the server, the 802.1X‐controlled  port transitions from unauthorized to authorized state, and the client is allowed  full access to services through the controlled port. When the client later sends an  EAPOL‐Logoff message to the CN4093 authenticator, the port transitions from  authorized to unauthorized state. If a client that does not support 802.1X connects to an 802.1X‐controlled port, the  CN4093 authenticator requests the clientʹs identity when it detects a change in the  operational state of the port. The client does not respond to the request, and the  port remains in the unauthorized state. Note: When an 802.1X-enabled client connects to a port that is not 802.1X-controlled, the client initiates the authentication process by sending an EAPOL-Start frame.
  • Page 93: Eapol Port States

    While in this state the port discards all ingress and egress traffic except EAP  packets.  Authorized When the client is successfully authenticated, the port transitions to the  authorized state allowing all traffic to and from the client to flow normally.  Force Unauthorized You can configure this state that denies all access to the port.  Force Authorized You can configure this state that allows full access to the port. Guest VLAN The guest VLAN provides limited access to unauthenticated ports. The guest  VLAN can be configured using the following command: dot1x guest­vlan ? CN4093(config)#  Client ports that have not received an EAPOL response are placed into the Guest  VLAN, if one is configured on the switch. Once the port is authenticated, it is  moved from the Guest VLAN to its configured VLAN.  When Guest VLAN enabled, the following considerations apply while a port is in  the unauthenticated state:  The port is placed in the guest VLAN. The Port VLAN ID (PVID) is changed to the Guest VLAN ID.   Port tagging is disabled on the port. © Copyright Lenovo 2015 Chapter 7: 802.1X Port-Based Network Access Control...
  • Page 94: Supported Radius Attributes

    Supported RADIUS Attributes The 802.1X Authenticator relies on external RADIUS servers for authentication  with EAP. Table 12lists the RADIUS attributes that are supported as part of  RADIUS‐EAP authentication based on the guidelines specified in Annex D of the  802.1X standard and RFC 3580. Table 12. Support for RADIUS Attributes # Attribute Attribute Value 1 User‐Name The value of the Type‐Data field  0‐1 from the supplicant’s  EAP‐Response/Identity  message. If the Identity is  unknown (i.e. Type‐Data field is  zero bytes in length), this  attribute will have the same  value as the Calling‐Station‐Id. 4 NAS‐IP‐Address IPv4 address of the  authenticator used for Radius  communication. 5 NAS‐Port Port number of the  authenticator port to which the  supplicant is attached. 24 State Server‐specific value. This is  0‐1 0‐1 0‐1 sent unmodified back to the ...
  • Page 95 80 Message‐ Always present whenever an  Authenticator EAP‐Message attribute is also  included. Used to  integrity‐protect a packet.  87 NAS‐Port‐ID Name assigned to the  authenticator port, e.g.  Server1_Port3 Legend: RADIUS Packet Types: A‐R (Access‐Request), A‐A (Access‐Accept),  A‐C (Access‐Challenge), A‐R (Access‐Reject) RADIUS Attribute Support: This attribute MUST NOT be present in a packet.   Zero or more instances of this attribute MAY be present in a packet. 0‐1 Zero or one instance of this attribute MAY be present in a packet.   Exactly one instance of this attribute MUST be present in a packet.  One or more of these attributes MUST be present. © Copyright Lenovo 2015 Chapter 7: 802.1X Port-Based Network Access Control...
  • Page 96: Eapol Configuration Guidelines

    EAPoL Configuration Guidelines When configuring EAPoL, consider the following guidelines:  The 802.1X port‐based authentication is currently supported only in  point‐to‐point configurations, that is, with a single supplicant connected to an  802.1X‐enabled switch port.  When 802.1X is enabled, a port has to be in the authorized state before any other  Layer 2 feature can be operationally enabled. For example, the STG state of a  port is operationally disabled while the port is in the unauthorized state.  The 802.1X supplicant capability is not supported. Therefore, none of its ports  can successfully connect to an 802.1X‐enabled port of another device, such as  another switch, that acts as an authenticator, unless access control on the remote  port is disabled or is configured in forced‐authorized mode. For example, if a  CN4093 is connected to another CN4093, and if 802.1X is enabled on both  switches, the two connected ports must be configured in force‐authorized mode.  Unsupported 802.1X attributes include Service‐Type, Session‐Timeout, and  Termination‐Action.  RADIUS accounting service for 802.1X‐authenticated devices or users is not  currently supported.  Configuration changes performed using SNMP and the standard 802.1X MIB  will take effect immediately. CN4093 Application Guide for N/OS 8.2...
  • Page 97: Chapter 8. Access Control Lists

    Chapter 8. Access Control Lists Access Control Lists (ACLs) are filters that permit or deny traffic for security  purposes. They can also be used with QoS to classify and segment traffic in order  to provide different levels of service to different traffic types. Each filter defines the  conditions that must match for inclusion in the filter, and also the actions that are  performed when a match is made. Lenovo N/OS 8.2 supports the following ACLs:  IPv4 ACLs Up to 256 ACLs are supported for networks that use IPv4 addressing. IPv4  ACLs are configured using the following CLI menu:  CN4093(config)# access­control list <IPv4 ACL number> IPv6 ACLs  Up to 128 ACLs are supported for networks that use IPv6 addressing. IPv6  ACLs are configured using the following CLI menu:  CN4093(config)# access­control list6 <IPv6 ACL number>  Management ACLs Up to 128 MACLs are supported. ACLs for the different types of management  protocols (Telnet, HTTPS, etc.) provide greater granularity for securing  management traffic.  Management ACLs are configured using the following CLI menu:  CN4093(config)# access­control macl <MACL number>  VLAN Maps (VMaps) Up to 128 VLAN Maps are supported for attaching filters to VLANs rather than  ports. See “VLAN Maps” on page 106 for details.  CN4093(config)# access­control vmap <vmap  number> © Copyright Lenovo 2015...
  • Page 98: Summary Of Packet Classifiers

    Summary of Packet Classifiers ACLs allow you to classify packets according to a variety of content in the packet  header (such as the source address, destination address, source port number,  destination port number, and others). Once classified, packet flows can be  identified for more processing. Regular ACLs, and VMaps allow you to classify packets based on the following  packet attributes:  Ethernet header options (for regular ACLs and VMaps only) Source MAC address  Destination MAC address  VLAN number and mask  Ethernet type (ARP, IPv4, MPLS, RARP, etc.)  Ethernet Priority (the IEEE 802.1p Priority)   IPv4 header options (for regular ACLs and VMaps only) Source IPv4 address and subnet mask  Destination IPv4 address and subnet mask  Type of Service value  IP protocol number or name as shown in Table  Table 13. Well‐Known Protocol Types Number Protocol Name icmp igmp ospf vrrp CN4093 Application Guide for N/OS 8.2...
  • Page 99 Accounting gopher snmptrap hsrp TCP/UDP application destination port and mask as shown in Table 14.   TCP/UDP flag value as shown in Table 15.   Table 15. Well‐Known TCP flag values Flag Value 0x0020 0x0010 0x0008 0x0004 0x0002 0x0001  Packet format (for regular ACLs and VMaps only) Ethernet format (eth2, SNAP, LLC)  Ethernet tagging format  IP format (IPv4)   Egress port packets (for all ACLs) © Copyright Lenovo 2015 Chapter 8: Access Control Lists...
  • Page 100: Summary Of Acl Actions

    Summary of ACL Actions Once classified using ACLs, the identified packet flows can be processed  differently. For each ACL, an action can be assigned. The action determines how the  switch treats packets that match the classifiers assigned to the ACL. CN4093 ACL  actions include the following:  Pass or Drop the packet  Re‐mark the packet with a new DiffServ Code Point (DSCP)  Re‐mark the 802.1p field  Set the COS queue Assigning Individual ACLs to a Port Once you configure an ACL, you must assign the ACL to the appropriate ports.  Each port can accept multiple ACLs, and each ACL can be applied for multiple  ports. ACLs can be assigned individually, or in groups. To assign an individual ACL to a port, use the following  IP interface commands:   CN4093(config)# interface port <port> CN4093(config­if)# access­control list <IPv4 ACL number> CN4093(config­ip)# access­control list6 <IPv6 ACL number> When multiple ACLs are assigned to a port, higher‐priority ACLs are considered  first, and their action takes precedence over lower‐priority ACLs. ACL order of  precedence is discussed in the next section. To create and assign ACLs in groups, see “ACL Groups” on page 101. ACL Order of Precedence When multiple ACLs are assigned to a port, they are evaluated in numeric  sequence, based on the ACL number. Lower‐numbered ACLs take precedence  over higher‐numbered ACLs. For example, ACL 1 (if assigned to the port) is ...
  • Page 101: Acl Groups

    Order of Precedence” on page 100). All ACLs assigned to the port (whether individually assigned or part of an ACL Group) are considered as individual ACLs for the purposes of determining their order of precedence. © Copyright Lenovo 2015 Chapter 8: Access Control Lists...
  • Page 102: Assigning Acl Groups To A Port

    Assigning ACL Groups to a Port To assign an ACL Group to a port, use the following commands:   CN4093(config)# interface port <port number> CN4093(config­if)# access­control group <ACL group number> CN4093(config­if)# exit ACL Metering and Re-Marking You can define a profile for the aggregate traffic flowing through the switch by  configuring a QoS meter (if desired) and assigning ACLs to ports. Note: When you add ACLs to a port, make sure they are ordered correctly in terms of precedence (see “ACL Order of Precedence” on page 100).
  • Page 103: Acl Port Mirroring

    ACL Port Mirroring For regular ACLs and VMaps, packets that match an ACL on a specific port can be  mirrored to another switch port for network diagnosis and monitoring. The source port for the mirrored packets cannot be a portchannel, but may be a  member of a portchannel. The destination port to which packets are mirrored must be a physical port. If the ACL or VMap has an action (permit, drop, etc.) assigned, it cannot be used to  mirror packets for that ACL. Use the following commands to add mirroring to an ACL:  For regular ACLs:  CN4093(config)# access­control list <ACL number> mirror port <destination  port> The ACL must be also assigned to it target ports as usual (see “Assigning  Individual ACLs to a Port” on page 100, or “Assigning ACL Groups to a Port” on  page 102). For VMaps (see “VLAN Maps” on page 106):   CN4093(config)# access­control vmap <VMap number> mirror port <monitor  destination port> Viewing ACL Statistics ACL statistics display how many packets have “hit” (matched) each ACL. Use  ACL statistics to check filter performance or to debug the ACL filter configuration. You must enable statistics for each ACL that you wish to monitor:   CN4093(config)# access­control list <ACL number> statistics © Copyright Lenovo 2015 Chapter 8: Access Control Lists...
  • Page 104: Acl Configuration Examples

    ACL Configuration Examples ACL Example 1 Use this configuration to block traffic to a specific host. All traffic that ingresses on  port EXT1 is denied if it is destined for the host at IP address 100.10.1.1 1. Configure an Access Control List.    CN4093(config)# access­control list 1 ipv4 destination­ip­address  100.10.1.1 CN4093(config)# access­control list 1 action deny 2. Add ACL 1 to port EXT1.   CN4093(config)# interface port EXT1 CN4093(config­if)# access­control list 1 CN4093(config­if)# exit ACL Example 2 Use this configuration to block traffic from a network destined for a specific host  address. All traffic that ingresses in port EXT2 with source IP from class  100.10.1.0/24 and destination IP 200.20.2.2 is denied. 1. Configure an Access Control List.   CN4093(config)# access­control list 2 ipv4 source­ip­address 100.10.1.0  255.255.255.0 CN4093(config)# access­control list 2 ipv4 destination­ip­address  200.20.2.2 255.255.255.255 CN4093(config)# access­control list 2 action deny 2. Add ACL 2 to port EXT2.   CN4093(config)# interface port EXT2 CN4093(config­if)# access­control list 2 CN4093(config­if)# exit CN4093 Application Guide for N/OS 8.2...
  • Page 105 ACL Example 3 This configuration blocks traffic from a network that is destined for a specific  egress port. All traffic that ingresses port EXT1 from the network 100.10.1.0/24 and  is destined for port 3 is denied. 1. Configure an Access Control List.  CN4093(config)# access­control list 4 ipv4 source­ip­address 100.10.1.0  255.255.255.0 CN4093(config)# access­control list 4 egress­port 3 CN4093(config)# access­control list 4 action deny 2. Add ACL 4 to port EXT1.  CN4093(config)# interface port EXT1 CN4093(config­if)# access­control list 4 CN4093(config­if)# exit © Copyright Lenovo 2015 Chapter 8: Access Control Lists...
  • Page 106: Vlan Maps

    VLAN Maps A VLAN map (VMAP) is an ACL that can be assigned to a VLAN or VM group  rather than to a switch port as with regular ACLs. This is particularly useful in a  virtualized environment where traffic filtering and metering policies must follow  virtual machines (VMs) as they migrate between hypervisors. VMAPs are configured using the following ISCLI command path: CN4093(config)# access­control vmap <VMAP ID (1‐128)>   action         Set filter action   egress­port    Set to filter for packets egressing this port   ethernet       Ethernet header options   ipv4           IP version 4 header options   meter          ACL metering configuration   mirror         Mirror options   packet­format  Set to filter specific packet format types   re­mark        ACL re­mark configuration   statistics     Enable access control list statistics   tcp­udp        TCP and UDP filtering options The CN4093 supports up to 128 VMAPs. Individual VMAP filters are configured in the same fashion as regular ACLs,  except that VLANs cannot be specified as a filtering criteria (unnecessary, since the  VMAP are assigned to a specific VLAN or associated with a VM group VLAN). Once a VMAP filter is created, it can be assigned or removed using the following  configuration commands:  For a regular VLAN: CN4093(config)# vlan <VLAN ID> CN4093(config­vlan)# [no] vmap <VMap ID> [intports|extports]  For a VM group (see “VM Group Types” on page 242): CN4093(config)# [no] virt vmgroup <ID> vmap <VMap ID>  [intports|extports] Note: Each VMAP can be assigned to only one VLAN or VM group. However, each VLAN or VM group may have multiple VMAPs assigned to it.
  • Page 107 VMap Example In this example, EtherType 2 traffic from VLAN 3 server ports is mirrored to a  network monitor on port 4. CN4093(config)# access­control vmap 21 packet­format ethernet  ethernet­type2 CN4093(config)# access­control vmap 21 mirror port 4 CN4093(config)# access­control vmap 21 action permit CN4093(config)# vlan 3 CN4093(config­vlan)# vmap 21 intports © Copyright Lenovo 2015 Chapter 8: Access Control Lists...
  • Page 108: Management Acls

    Management ACLs Management ACLs (MACLs) filter inbound traffic i.e. traffic toward the CPU.  MACLs are applied switch‐wide. Traffic can be filtered based on the following:  IPv4 source address IPv4 destination address   IPv4 protocols  TCP/UDP destination or source port  Lower MACL numbers have higher priority. Up to 128 MACLs can be configured. Following is an example MACL configuration based on a destination IP address  and a TCP‐UDP destination port:    CN4093(config)# access­control macl 1 ipv4 destination­ip­address 1.1.1.1  255.255.255.0 CN4093(config)# access­control macl 1 tcp­udp destination­port 111 0xffff CN4093(config)# access­control macl 1 statistics CN4093(config)# access­control macl 1 action permit CN4093(config)# access­control macl 1 enable Use the following command to view the MACL configuration:  CN4093(config)# show access­control macl 1 MACL 1 profile : Enabled IPv4 - DST IP : 1.1.1.1/255.255.255.0 TCP/UDP - DST Port : 111/0xffff Action : Permit...
  • Page 109: Part 3: Switch Basics

    Part 3: Switch Basics This section discusses basic switching functions:  VLANs  Port Trunking  Spanning Tree Protocols (Spanning Tree Groups, Rapid Spanning Tree Protocol,  and Multiple Spanning Tree Protocol)  Quality of Service © Copyright Lenovo 2015...
  • Page 110 CN4093 Application Guide for N/OS 8.2...
  • Page 111: Chapter 9. Vlans

    “Using the Setup Utility” in the Lenovo N/OS 8.2 Command Reference). More comprehensive VLAN configuration can be done from the Command Line Interface (see “VLAN Configuration” as well as “Port Configuration” in the Lenovo N/OS 8.2 Command Reference). © Copyright Lenovo 2015...
  • Page 112: Vlans Overview

    VLANs Overview Setting up virtual LANs (VLANs) is a way to segment networks to increase  network flexibility without changing the physical network topology. With network  segmentation, each switch port connects to a segment that is a single broadcast  domain. When a switch port is configured to be a member of a VLAN, it is added  to a group of ports (workgroup) that belong to one broadcast domain. Ports are grouped into broadcast domains by assigning them to the same VLAN.  Frames received in one VLAN can only be forwarded within that VLAN, and  multicast, broadcast, and unknown unicast frames are flooded only to ports in the  same VLAN. The CN4093 automatically supports jumbo frames. This default cannot be  manually configured or disabled.  The CN4093 10Gb Converged Scalable Switch (CN4093) supports jumbo frames  with a Maximum Transmission Unit (MTU) of 9,216 bytes. Within each frame, 18  bytes are reserved for the Ethernet header and CRC trailer. The remaining space in  the frame (up to 9,198 bytes) comprise the packet, which includes the payload of  up to 9,000 bytes and any additional overhead, such as 802.1q or VLAN tags.  Jumbo frame support is automatic: it is enabled by default, requires no manual  configuration, and cannot be manually disabled. Note: Jumbo frames are not supported for traffic sent to switch management interfaces. CN4093 Application Guide for N/OS 8.2...
  • Page 113: Vlans And Port Vlan Id Numbers

    Note: The sample screens that appear in this document might differ slightly from the screens displayed by your system. Screen content varies based on the type of blade chassis unit that you are using and the firmware versions and options that are installed. © Copyright Lenovo 2015 Chapter 9: VLANs...
  • Page 114 PVID/Native VLAN Numbers Each port in the switch has a configurable default VLAN number, known as its  PVID. By default, the PVID for all non‐management ports is set to 1, which  correlates to the default VLAN ID. The PVID for each port can be configured to any  VLAN number between 1 and 4094. Use the following CLI commands to view PVIDs:  Port information:   CN4093# show interface information (or) CN4093# show interface trunk  Alias   Port Tag    Type    RMON Lrn Fld Openflow PVID     DESCRIPTION   VLAN(s)              Trk                                  NVLAN ­­­­­­­ ­­­­ ­­­ ­­­­­­­­­­ ­­­­ ­­­ ­­­ ­­­­­­­­ ­­­­­­  ­­­­­­­­­­­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­ INTA1   1     n  Internal    d    e   e      d    4094   INTA1           4094 INTA2   2     n  Internal    d    e   e      d       1   INTA2           INTA3   3     n  Internal    d    e   e      d       1   INTA3           INTA4   4     n  Internal    d    e   e      d       1   INTA4           INTA5   5     n  Internal    d    e   e      d       1   INTA5           INTA6   6     n  Internal    d    e   e      d       1   INTA6           INTA7   7     n  Internal    d    e   e      d       1   INTA7           INTA8   8     n  Internal    d    e   e      d       1   INTA8           INTA9   9     n  Internal    d    e   e      d       1   INTA9           CN4093 Application Guide for N/OS 8.2...
  • Page 115 Note: The sample output that appears in this document might differ slightly from that displayed by your system. Output varies based on the type of blade chassis unit that you are using and the firmware versions and options that are installed. © Copyright Lenovo 2015 Chapter 9: VLANs...
  • Page 116  Port Configuration: Access Mode Port CN4093(config)# interface port <port number> CN4093(config­if)# switchport access vlan <VLAN ID> For Trunk Mode Port CN4093(config)# interface port <port number> CN4093(config­if)# switchport trunk native vlan <VLAN ID> Each port on the switch can belong to one or more VLANs, and each VLAN can  have any number of switch ports in its membership. Any port that belongs to  multiple VLANs, however, must have VLAN tagging enabled (see “VLAN  Tagging/Trunk Mode” on page 117). CN4093 Application Guide for N/OS 8.2...
  • Page 117: Vlan Tagging/Trunk Mode

    Important terms used with the 802.1Q tagging feature are:  VLAN identifier (VID)—the 12‐bit portion of the VLAN tag in the frame header  that identifies an explicit VLAN.  Port VLAN identifier (PVID)—a classification mechanism that associates a port  with a specific VLAN. For example, a port with a PVID of 3 (PVID =3) assigns all  untagged frames received on this port to VLAN 3. Any untagged frames  received by the switch are classified with the PVID of the receiving port.  Tagged frame—a frame that carries VLAN tagging information in the header.  This VLAN tagging information is a 32‐bit field (VLAN tag) in the frame header  that identifies the frame as belonging to a specific VLAN. Untagged frames are  marked (tagged) with this classification as they leave the switch through a port  that is configured as a tagged port.  Untagged frame— a frame that does not carry any VLAN tagging information  in the frame header.  Untagged member—a port that has been configured as an untagged member of  a specific VLAN. When an untagged frame exits the switch through an  untagged member port, the frame header remains unchanged. When a tagged  frame exits the switch through an untagged member port, the tag is stripped  and the tagged frame is changed to an untagged frame.  Tagged member—a port that has been configured as a tagged member of a  specific VLAN. When an untagged frame exits the switch through a tagged  member port, the frame header is modified to include the 32‐bit tag associated  with the PVID. When a tagged frame exits the switch through a tagged member  port, the frame header remains unchanged (original VID remains). © Copyright Lenovo 2015 Chapter 9: VLANs...
  • Page 118 Figure 2. Default VLAN settings 802.1Q Switch VLAN 1 Port 1 Port 2 Port 3 Port 4 Port 5 Port 6 Port 7 PVID = 1 Data Incoming Outgoing untagged untagged packet Data packet (unchanged) By default: All ports are assigned PVID = 1 All external ports are untagged members of VLAN 1 All internal server ports are untagged members of VLAN 1 BS45010A...
  • Page 119 Port 3 Tagged member PVID = 2 of VLAN 2 Tagged packet 802.1Q Switch Data B efore Port 6 Port 7 Port 8 Untagged member of VLAN 2 As shown in Figure 6, the tagged packet remains unchanged as it leaves the switch  through port 5, which is configured as a tagged member of VLAN 2. However, the  tagged packet is stripped (untagged) as it leaves the switch through port 7, which  is configured as an untagged member of VLAN 2. © Copyright Lenovo 2015 Chapter 9: VLANs...
  • Page 120: Ingress Vlan Tagging

    Figure 6. 802.1Q tagging (after 802.1Q tag assignment) PVID = 2 Tagged member Port 1 Port 2 Port 3 of VLAN 2 802.1Q Switch Data Port 6 Port 7 Port 8 8100 Priority VID = 2 Untagged member CRC* (*Recalculated) of VLAN 2 16 bits 3 bits 1 bit 12 bits...
  • Page 121: Limitations

    Tag 1 After Before Port 6 Port 7 Port 8 Untagged member of VLAN 2 CRC* Data Tag 1 By default, ingress tagging is disabled. To enable ingress tagging on a port, use the  following commands:  CN4093(config)# interface port <number> CN4093(config­if)# tagpvid­ingress Limitations Ingress tagging cannot be configured with the following features/configurations:  vNIC ports  VMready ports  UFP ports  Management ports © Copyright Lenovo 2015 Chapter 9: VLANs...
  • Page 122: Vlan Topologies And Design Considerations

    VLAN Topologies and Design Considerations  By default, the Lenovo N/OS software is configured so that tagging is disabled on  all external ports and on all internal ports.  By default, the Lenovo N/OS software is configured so that all internal ports are  members of VLAN 1.  By default, the Lenovo N/OS software is configured so that the management port  is a member of the default management VLAN 4095.  Multiple management VLANs can be configured on the switch, in addition to the  default VLAN 4095, using the following commands:  CN4093(config)# vlan <x> CN4093(config­vlan)# management When using Spanning Tree, STG 2‐128 may contain only one VLAN unless   Multiple Spanning‐Tree Protocol (MSTP) mode is used. With MSTP mode,  STG 1 to 32 can include multiple VLANs. VLAN Configuration Rules VLANs operate according to specific configuration rules. When creating VLANs,  consider the following rules that determine how the configured VLAN reacts in  any network topology: All ports involved in trunking and port mirroring must have the same VLAN   configuration. If a port is on a trunk with a mirroring port, the VLAN configura‐ tion cannot be changed. For more information trunk groups, see “Configuring a  Static Port Trunk” on page 137.  If a port is configured for port mirroring, the port’s VLAN membership cannot be  changed. For more information on configuring port mirroring, see “Port Mir‐ roring” on page 531.
  • Page 123 Server #1 This server is a member of VLAN 3 and has presence in only one IP  subnet. The associated internal switch port is only a member of  VLAN 3, so tagging is disabled.  Server #2  This high‐use server needs to be accessed from all VLANs and IP  subnets. The server has a VLAN‐tagging adapter installed with  VLAN tagging turned on. The adapter is attached to one of the  internal switch ports, that is a member of VLANs 1, 2, and 3, and  has tagging enabled. Because of the VLAN tagging capabilities of  both the adapter and the switch, the server is able to communicate  on all three IP subnets in this network. Broadcast separation  between all three VLANs and subnets, however, is maintained. PCs #1 and  These PCs are attached to a shared media hub that is then  connected to the switch. They belong to VLAN 2 and are logically  in the same IP subnet as Server 2 and PC 5. The associated external  switch port has tagging disabled.  PC #3 A member of VLAN 1, this PC can only communicate with  Server 2 and PC 5. The associated external switch port has tagging  disabled.  © Copyright Lenovo 2015 Chapter 9: VLANs...
  • Page 124 Component Description PC #4  A member of VLAN 3, this PC can only communicate with  Server 1 and Server 2. The associated external switch port has  tagging disabled.  PC #5  A member of both VLAN 1 and VLAN 2, this PC has a  VLAN‐tagging Gigabit Ethernet adapter installed. It can  communicate with Server 2 and PC 3 via VLAN 1, and to Server 2,  PC 1 and PC 2 via VLAN 2. The associated external switch port is a  member of VLAN 1 and VLAN 2, and has tagging enabled.  Note: VLAN tagging is required only on ports that are connected to other CN4093s or on ports that connect to tag-capable end-stations, such as servers with VLAN-tagging adapters.
  • Page 125: Protocol-Based Vlans

    SNAP (Subnetwork Access Protocol)  LLC (Logical Link Control)   Ethernet type—consists of a 4‐digit (16 bit) hex value that defines the Ethernet  type. You can use common Ethernet protocol values, or define your own values.  Following are examples of common Ethernet protocol values: IPv4 = 0800  IPv6 = 86dd  ARP = 0806  Port-Based vs. Protocol-Based VLANs Each VLAN supports both port‐based and protocol‐based association, as follows:  The default VLAN configuration is port‐based. All data ports are members of  VLAN 1, with no PVLAN association.  When you add ports to a PVLAN, the ports become members of both the  port‐based VLAN and the PVLAN. For example, if you add port EXT1 to  PVLAN 1 on VLAN 2, the port also becomes a member of VLAN 2.  When you delete a PVLAN, it’s member ports remain members of the  port‐based VLAN. For example, if you delete PVLAN 1 from VLAN 2, port  EXT1 remains a member of VLAN 2.  When you delete a port from a VLAN, the port is deleted from all corresponding  PVLANs. © Copyright Lenovo 2015 Chapter 9: VLANs...
  • Page 126: Pvlan Priority Levels

    PVLAN Priority Levels You can assign each PVLAN a priority value of 0‐7, used for Quality of Service  (QoS). PVLAN priority takes precedence over a port’s configured priority level. If  no priority level is configured for the PVLAN (priority = 0), each port’s priority is  used (if configured). All member ports of a PVLAN have the same PVLAN priority level. PVLAN Tagging When PVLAN tagging is enabled, the switch tags frames that match the PVLAN  protocol. For more information about tagging, see “VLAN Tagging/Trunk Mode”  on page 117. Untagged ports must have PVLAN tagging disabled. Tagged ports can have  PVLAN tagging either enabled or disabled. PVLAN tagging has higher precedence than port‐based tagging. If a port is tag  enabled, and the port is a member of a PVLAN, the PVLAN tags egress frames that  match the PVLAN protocol. Use the tag‐pvlan command (vlan <x> protocol­vlan <x> tag­pvlan <x>)  to define the complete list of tag‐enabled ports in the PVLAN. Note that all ports  not included in the PVLAN tag list will have PVLAN tagging disabled. PVLAN Configuration Guidelines Consider the following guidelines when you configure protocol‐based VLANs:  Each port can support up to 16 VLAN protocols. The CN4093 can support up to 16 protocols simultaneously.   Each PVLAN must have at least one port assigned before it can be activated. The same port within a port‐based VLAN can belong to multiple PVLANs.   An untagged port can be a member of multiple PVLANs. A port cannot be a member of different VLANs with the same protocol   association.
  • Page 127 VLAN (PVID/Native VLAN), you will be asked to confirm changing the PVID to the current VLAN. 5. Enable the PVLAN. CN4093(config­vlan)# protocol­vlan 1 enable CN4093(config­vlan)# exit 6. Verify PVLAN operation. .       CN4093(config)# show vlan VLAN                Name                Status MGT           Ports ­­­­  ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­  ­­­­­­ ­­­  ­­­­­­­­­­­­­­­­­­­­­­­­­ 1     Default VLAN                      ena    dis  INTA2­EXT15 EXT19 2     VLAN 2                            ena    dis  INTA1 INTA2 Primary  Secondary  Type             Ports                  vPorts               ­­­­­­­  ­­­­­­­­­  ­­­­­­­­­­­­­­­  ­­­­­­­­­­­­­­­­­­­­­   ­­­­­­­­­­­­­­­­­­­­­ PVLAN  Protocol  FrameType  EtherType  Priority  Status       Ports ­­­­­  ­­­­­­­­  ­­­­­­­­­­­­­­­­­­­­  ­­­­­­­­  ­­­­­­   ­­­­­­­­­­­­­­­­­ 2      1         Ether2     0800       2         enabled   INTA1 INTA2 PVLAN      PVLAN­Tagged Ports ­­­­­   ­­­­­­­­­­­­­­­­­­­­­­­­­­­ none    none © Copyright Lenovo 2015 Chapter 9: VLANs...
  • Page 128: Private Vlans

    Private VLANs Private VLANs provide Layer 2 isolation between the ports within the same  broadcast domain. Private VLANs can control traffic within a VLAN domain, and  provide port‐based security for host servers.  Lenovo N/OS supports Private VLAN configuration as described in RFC 5517.  Use Private VLANs to partition a VLAN domain into sub‐domains. Each  sub‐domain is comprised of one primary VLAN and one secondary VLAN, as  follows:   Primary VLAN—carries unidirectional traffic downstream from promiscuous  ports. Each Private VLAN has only one primary VLAN. All ports in the Private  VLAN are members of the primary VLAN.   Secondary VLAN—Secondary VLANs are internal to a private VLAN domain,  and are defined as follows:  Isolated VLAN—carries unidirectional traffic upstream from the host servers   toward ports in the primary VLAN. Each Private VLAN can contain only one  Isolated VLAN. Community VLAN—carries upstream traffic from ports in the community   VLAN to other ports in the same community, and to ports in the primary  VLAN. Each Private VLAN can contain multiple community VLANs.  After you define the primary VLAN and one or more secondary VLANs, you map  the secondary VLAN(s) to the primary VLAN.  Private VLAN Ports Private VLAN ports are defined as follows:   Promiscuous—A promiscuous port is an external port that belongs to the  primary VLAN. The promiscuous port can communicate with all the interfaces,  including ports in the secondary VLANs (Isolated VLAN and Community  VLANs).  Isolated—An isolated port is a host port that belongs to an isolated VLAN. Each   isolated port has complete layer 2 separation from other ports within the same  private VLAN (including other isolated ports), except for the promiscuous  ports. ...
  • Page 129: Configuration Guidelines

     All VLANs that comprise the Private VLAN must belong to the same Spanning  Tree Group.  Configuration Example Follow this procedure to configure a Private VLAN.  1. Select a VLAN and define the Private VLAN type as primary.   CN4093(config)# vlan 700 CN4093(config­vlan)# private­vlan primary CN4093(config­vlan)# exit 2. Configure a promiscuous port for VLAN 700.    CN4093(config)# interface port 1 CN4093(config­if)# switchport mode private­vlan CN4093(config­if)# switchport private­vlan mapping 700 CN4093(config­if)# exit 3. Configure two secondary VLANs: isolated VLAN and community VLAN.   CN4093(config)# vlan 701 CN4093(config­vlan)# private­vlan isolated CN4093(config­vlan)# exit CN4093(config)# vlan 702 CN4093(config­vlan)# private­vlan community CN4093(config­vlan)# exit 4. Map secondary VLANs to primary VLAN.  CN4093(config)# vlan 700­702 CN4093(config­vlan)# stg 1 CN4093(config­vlan)# exit CN4093(config)# vlan 700 CN4093(config­vlan)# private­vlan association 701,702 CN4093(config­vlan)# exit © Copyright Lenovo 2015 Chapter 9: VLANs...
  • Page 130 5. Configure host ports for secondary VLANs.   CN4093(config)# interface port 2 CN4093(config­if)# switchport mode private­vlan CN4093(config­if)# switchport private­vlan host­association 700 701 CN4093(config­if)# exit CN4093(config)# interface port 3 CN4093(config­if)# switchport mode private­vlan CN4093(config­if)# switchport private­vlan host­association 700 702 CN4093(config­if)# exit 6. Verify the configuration.     CN4093(config)# show vlan private­vlan Primary  Secondary      Type                Ports ­­­­­­­  ­­­­­­­­­ ­­­­­­­­­­­­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ 700         701        isolated             1 2 700         702        community            1 3  CN4093 Application Guide for N/OS 8.2...
  • Page 131: Chapter 10. Ports And Trunking

    Chapter 10. Ports and Trunking Trunk groups can provide super‐bandwidth, multi‐link connections between the  CN4093 10Gb Converged Scalable Switch (CN4093) and other trunk‐capable  devices. A trunk group is a group of ports that act together, combining their  bandwidth to create a single, larger virtual link. This chapter provides  configuration background and examples for trunking multiple ports together:   “Configuring Port Modes” on page 132  “Configuring QSFP+ Ports” on page 134  “Trunking Overview” on page 135  “Static Trunks” on page 136 “Configurable Trunk Hash Algorithm” on page 139   “Link Aggregation Control Protocol” on page 141 © Copyright Lenovo 2015...
  • Page 132: Configuring Port Modes

    Configuring Port Modes The switch allows you to set the port mode. Select the port mode that fits your  network configuration.  Switch port modes are available based on the installation license.  The following port modes are available:   Base Port mode:  Fourteen 10Gb internal (1 port x 14 blade servers)  Eight 10Gb external    Upgrade 1 Port mode:  Twenty Eight 10Gb internal (2 ports x 14 blade servers)  Eight 10Gb external  Two 40Gb external    Upgrade 2 Port mode:  Forty Two 10Gb internal (3 ports x 14 Blade servers)  Fourteen 10Gb external  Two 40Gb external  Base Port mode is the default. To upgrade the port mode, you must obtain a  software license key.  The following command sequence is an example of how to upgrade the port mode  (e.g. switch SN Y010CM2CN058):   CN4093# software­key Enter hostname or IP address of SFTP/TFTP server: 9.44.143.105 Enter name of file on SFTP/TFTP server: ...
  • Page 133 INTA7   7     n  Internal    d    e   e     1   INTA7          1 INTA8   8     n  Internal    d    e   e     1   INTA8          1 INTA9   9     n  Internal    d    e   e     1   INTA9          1 EXT1    43    n  External    d    e   e     1   EXT1           1 EXT2    44    n  External    d    e   e     1   EXT2           1 EXT3    45    n  External    d    e   e     1   EXT3           1 EXT4    46    n  External    d    e   e     1   EXT4           1 EXT5    47    n  External    d    e   e     1   EXT5           1 EXT6    48    n  External    d    e   e     1   EXT6           1 EXT7    49    n  External    d    e   e     1   EXT7           1 EXT8    50    n  External    d    e   e     1   EXT8           1 EXT9    51    n  External    d    e   e     1   EXT9           1 EXT10   52    n  External    d    e   e     1   EXT10          1 EXT11   53    n  External    d    e   e     1   EXT11          1 EXT12   54    n  External    d    e   e     1   EXT12          1 EXT13   55    n  External    d    e   e     1   EXT13          1 EXT14   56    n  External    d    e   e     1   EXT14          1 EXT15   57    n  External    d    e   e     1   EXT15          1 EXT16   58    n  External    d    e   e     1   EXT16          1 EXT17   59    n  External    d    e   e     1   EXT17          1 EXT18   60    n  External    d    e   e     1   EXT18          1 EXT19   61    n  External    d    e   e     1   EXT19          1 EXT20   62    n  External    d    e   e     1   EXT20          1 EXT21   63    n  External    d    e   e     1   EXT21          1 EXT22   64    n  External    d    e   e     1   EXT22          1 EXTM    65    n  Mgmt        d    e   e  4095   EXTM           4095 MGT1    66    y  Mgmt        d    e   e  4095   MGT1           4095 * = PVID/Native­VLAN is tagged. # = PVID is ingress tagged. Trk  = Trunk mode NVLAN = Native­VLAN © Copyright Lenovo 2015 Chapter 10: Ports and Trunking...
  • Page 134: Configuring Qsfp+ Ports

    Configuring QSFP+ Ports QSFP+ ports support both 10GbE and 40GbE, as shown in Table 16.  Table 16. QSFP+ Port Numbering  Physical Port Number 40GbE mode 10GbE mode Port EXT3 Port EXT3 Ports EXT3‐EXT6 Port EXT7 Port EXT7 Ports EXT7‐EXT10 QSFP+ ports are available only when Upgrade 1 is installed (see “Configuring Port  Modes” on page 132).  The following procedure allows you to change the QSFP+ port mode.  1. Display the current port mode for the QSFP+ ports.  CN4093# show boot qsfp­port­modes QSFP ports booted configuration:   Port EXT3, EXT4, EXT5, EXT6 ­ 10G Mode   Port EXT7, EXT8, EXT9, EXT10 ­ 10G Mode QSFP ports saved configuration:   Port EXT3, EXT4, EXT5, EXT6 ­ 10G Mode   Port EXT7, EXT8, EXT9, EXT10 ­ 10G Mode 2. Change the port mode to 40GbE. Select the physical port number.   CN4093(config)# boot qsfp­40Gports ext3 3. Verify the change.    CN4093# show boot qsfp­port­modes QSFP ports booted configuration:   Port EXT3, EXT4, EXT5, EXT6 ­ 10G Mode   Port EXT7, EXT8, EXT9, EXT10 ­ 10G Mode QSFP ports saved configuration:   Port EXT3 ­ 40G Mode   Port EXT7, EXT8, EXT9, EXT10 ­ 10G Mode 4.
  • Page 135: Trunking Overview

    Trunking Overview When using port trunk groups between two switches, as shown in Figure 9, you  can create a virtual link between them, operating with combined throughput levels  that depends on how many physical ports are included. Two trunk types are available: static trunk groups (portchannel), and dynamic  LACP trunk groups. Up to 64 trunks of each type are supported, depending of the  number and type of available ports. Each trunk can include up to 16 member ports. Figure 9. Port Trunk Group  Switch 1 Switch 2 Aggregate Port Trunk Trunk groups are also useful for connecting a CN4093 to third‐party devices that  support link aggregation, such as Cisco routers and switches with EtherChannel  technology (not ISL trunking technology) and Sunʹs Quad Fast Ethernet Adapter.  Trunk Group technology is compatible with these devices when they are  configured manually. Trunk traffic is statistically distributed among the ports in a trunk group, based on  a variety of configurable options. Also, since each trunk group is comprised of multiple physical links, the trunk  group is inherently fault tolerant. As long as one connection between the switches  is available, the trunk remains active and statistical load balancing is maintained  whenever a port in a trunk group is lost or returned to service.  © Copyright Lenovo 2015 Chapter 10: Ports and Trunking...
  • Page 136: Static Trunks

    Static Trunks Before Configuring Static Trunks When you create and enable a static trunk, the trunk members (switch ports) take  on certain settings necessary for correct operation of the trunking feature. Before you configure your trunk, you must consider these settings, along with  specific configuration rules, as follows:  Read the configuration rules provided in the section, “Static Trunk Group  Configuration Rules” on page 136.” Determine which switch ports are to become trunk members (the specific ports   making up the trunk).  Ensure that the chosen switch ports are set to enabled.   Ensure all member ports in a trunk have the same VLAN configuration.  Consider how the existing Spanning Tree will react to the new trunk  configuration. See “Spanning Tree Protocols” on page 145 for configuration  guidelines. Consider how existing VLANs will be affected by the addition of a trunk.  Static Trunk Group Configuration Rules The trunking feature operates according to specific configuration rules. When  creating trunks, consider the following rules that determine how a trunk group  reacts in any network topology:  All trunks must originate from one network entity (a single device, or multiple  devices acting in a stack) and lead to one destination entity. For example, you  cannot combine links from two different servers into one trunk group. ...
  • Page 137: Configuring A Static Port Trunk

    Lenovo Blade Trunk 1: Ports EXT1, EXT2, and EXT3 Switch IBM Blade Chassis Prior to configuring each switch in the preceding example, you must connect to the  appropriate switch’s Command Line Interface (CLI) as the administrator. Note: For details about accessing and using any of the menu commands described in this example, see the Lenovo N/OS Command Reference. © Copyright Lenovo 2015 Chapter 10: Ports and Trunking...
  • Page 138 1. Connect the switch ports that will be members in the trunk group. 2. Configure the trunk using these steps on the CN4093: a. Define a trunk group. CN4093(config)# portchannel 1 port ext1,ext2,ext3  (Add port s to trunk group 1) CN4093(config)# portchannel 1 enable b. Verify the configuration.  CN4093(config)# show portchannel information Examine the resulting information. If any settings are incorrect, make  appropriate changes. 3. Repeat the process on the other switch. CN4093(config)# portchannel 3 port 2,12,22 CN4093(config)# portchannel 3 enable Trunk group 1 (on the CN4093) is now connected to trunk group 3 on the  Application Switch. Note: In this example, a CN4093 and an application switch are used. If a third-party device supporting link aggregation is used (such as Cisco routers and switches with EtherChannel technology or Sun's Quad Fast Ethernet Adapter), trunk groups on the third-party device should be configured manually.
  • Page 139: Configurable Trunk Hash Algorithm

    Note: At least one Layer 2 option must always be enabled; The smac and dmac options may not both be disabled at the same time.  For Layer 3 IPv4/IPv6 traffic, one of the following are permitted: Source IP address (sip)   CN4093(config)# portchannel thash l3thash l3­source­ip­address Destination IP address (dip)    CN4093(config)# portchannel thash l3thash l3­destination­ip­address Both source and destination IP address (enabled by default)  CN4093(config)# portchannel thash l3thash l3­source­destination­ip If Layer 2 hashing is preferred for Layer 3 traffic, disable the Layer 3 sip and  dip hashing options and enable the useL2 option: CN4093(config)# portchannel thash l3thash l3­use­l2­hash Layer 3 traffic will then use Layer 2 options for hashing. © Copyright Lenovo 2015 Chapter 10: Ports and Trunking...
  • Page 140  Ingress port number (disabled by default)   CN4093(config)# portchannel thash ingress  Layer 4 port information (disabled by default)   CN4093(config)# portchannel thash l4port When enabled, Layer 4 port information (TCP, UPD, etc.) is added to the hash if  available. The L4port option is ignored when Layer 4 information is not  included in the packet (such as for Layer 2 packets), or when the useL2 option is  enabled. Note: For MPLS packets, Layer 4 port information is excluded from the hash calculation. Instead, other IP fields are used, along with the first two MPLS labels. The CN4093 supports the following FCoE hashing options:  CN4093(config)# portchannel thash fcoe cntag­id CN4093(config)# portchannel thash fcoe destination­id CN4093(config)# portchannel thash fcoe fabric­id CN4093(config)# portchannel thash fcoe originator­id CN4093(config)# portchannel thash fcoe responder­id...
  • Page 141: Link Aggregation Control Protocol

    The CN4093 supports up to 64 LACP trunks, each with up to 16 ports. Note: LACP implementation in Lenovo N/OS does not support the Churn machine, an option used to detect if the port is operable within a bounded time period between the actor and the partner. Only the Marker Responder is implemented, and there is no marker protocol generator.
  • Page 142 To avoid the Actor switch ports (with the same admin key) from aggregating in  another trunk group, you can configure a trunk ID. Ports with the same admin key  (although with different LAG IDs) compete to get aggregated in a trunk group.  The LAG ID for the trunk group is decided based on the first port that is  aggregated in the group. Ports with this LAG ID get aggregated and the other ports  are placed in suspended mode. As per the configuration shown in Table 17, if port  38 gets aggregated first, then the LAG ID of port 38 would be the LAG ID of the  trunk. Port 40 would be placed in suspended mode. When in suspended mode, a  port transmits only LACP data units (LACPDUs) and discards all other traffic. A port may also be placed in suspended mode for the following reasons:  When LACP is configured on the port but it stops receiving LACPDUs from the  partner switch.  When the port has a different LAG ID because of the partner switch MAC being  different. For example: when a switch is connected to two partners. Trunk ID can be configured using the following command:  CN4093(config)# portchannel <65‐128> lacp key <adminkey of the LAG>  LACP provides for the controlled addition and removal of physical links for the  link aggregation. Each port in the CN4093 can have one of the following LACP modes. off (default)  The user can configure this port in to a regular static trunk group. active  The port is capable of forming an LACP trunk. This port sends LACPDU packets  to partner system ports. passive  The port is capable of forming an LACP trunk. This port only responds to the  LACPDU packets sent from an LACP active port. Each active LACP port transmits LACP data units (LACPDUs), while each passive  LACP port listens for LACPDUs. During LACP negotiation, the admin key is  exchanged. The LACP trunk group is enabled as long as the information matches  at both ends of the link. If the admin key value changes for a port at either end of  the link, that port’s association with the LACP trunk group is lost. If an LACP group member port is connected to a port that is in LACP off mode, the  LACP port will not be able to converge and the link goes down. When the system is initialized, all ports by default are in LACP off mode and are ...
  • Page 143: Lacp Individual

    Ports assigned with an LACP admin key are prevented by default from forming  individual links if they cannot join an LACP trunk group. To override this  behavior, use the following commands:   CN4093(config)# interface port <port no or range> CN4093(config­if)# no lacp suspend­individual This allows the selected ports to be treated as normal link‐up ports, which may  forward data traffic according to STP, Hot Links or other applications, if they do  not receive any LACPDUs. To configure the LACP individual setting for all the ports in a static LACP trunk,  use the following commands:   CN4093(config­if)# interface portchannel lacp <adminkey of the LAG> CN4093(config­if)# [no] lacp suspend­individual Note: By default, external ports are configured with lacp suspend-individual, while internal ports are configured with no lacp suspend-individual. © Copyright Lenovo 2015 Chapter 10: Ports and Trunking...
  • Page 144: Configuring Lacp

    Configuring LACP Use the following procedure to configure LACP for ports 7, 8, and 9 to participate  in a single link aggregation.  1. Configure port parameters. All ports that participate in the LACP trunk group  must have the same settings, including VLAN membership.  2. Select the port range and define the admin key. Only ports with the same admin  key can form an LACP trunk group.   CN4093(config)# interface port 7­9 CN4093(config­if)# lacp key 100 3. Set the LACP mode.   CN4093(config­if)# lacp mode active CN4093(config­if)# exit 4. Optionally allow member ports to individually participate in normal data traffic if  no LACPDUs are received. CN4093(config­if)# no lacp suspend­individual CN4093(config­if)# exit 5. Set the link aggregation as static, by associating it with trunk ID 65: CN4093(config­if)# portchannel 65 lacp key 100 CN4093 Application Guide for N/OS 8.2...
  • Page 145: Chapter 11. Spanning Tree Protocols

    “Port Type and Link Type” on page 164  Spanning Tree Protocol Modes Lenovo N/OS 8.2 supports the following STP modes:  Rapid Spanning Tree Protocol (RSTP) IEEE 802.1D (2004) RSTP allows devices to detect and eliminate logical loops in  a bridged or switched network. When multiple paths exist, STP configures the  network so that only the most efficient path is used. If that path fails, STP  automatically configures the best alternative active path on the network in order  to sustain network operations. RSTP is an enhanced version of IEEE 802.1D  (1998) STP, providing more rapid convergence of the Spanning Tree network  path states on STG 1. See “Rapid Spanning Tree Protocol” on page 158 for details.  Per‐VLAN Rapid Spanning Tree (PVRST+) PVRST mode is based on RSTP to provide rapid Spanning Tree convergence, but  supports instances of Spanning Tree, allowing one STG per VLAN. PVRST  mode is compatible with Cisco R‐PVST/R‐PVST+ mode. PVRST is the default Spanning Tree mode on the CN4093. See “PVSRT Mode”  on page 146 for details.  Multiple Spanning Tree Protocol (MSTP) IEEE 802.1Q (2003) MSTP provides both rapid convergence and load balancing  in a VLAN environment. MSTP allows multiple STGs, with multiple VLANs in  each. See “Multiple Spanning Tree Protocol” on page 160 for details. © Copyright Lenovo 2015...
  • Page 146: Global Stp Control

    (Globally disable Spanning Tree) Spanning Tree can be re‐enabled by specifying the STP mode:  CN4093(config)# spanning­tree mode {pvrst|rstp|mst} PVSRT Mode Note: Per-VLAN Rapid Spanning Tree (PVRST) is enabled by default on the CN4093. Using STP, network devices detect and eliminate logical loops in a bridged or  switched network. When multiple paths exist, Spanning Tree configures the  network so that a switch uses only the most efficient path. If that path fails,  Spanning Tree automatically sets up another active path on the network to sustain  network operations. Lenovo N/OS PVRST mode is based on IEEE 802.1w RSTP. Like RSTP, PVRST  mode provides rapid Spanning Tree convergence. However, PVRST mode is  enhanced for multiple instances of Spanning Tree. In PVRST mode, each VLAN  may be automatically or manually assigned to one of 127 available STGs, with each  STG acting as an independent, simultaneous instance of STP. PVRST uses IEEE  802.1Q tagging to differentiate STP BPDUs and is compatible with Cisco  R‐PVST/R‐PVST+ modes. The relationship between ports, trunk groups, VLANs, and Spanning Trees is  shown in Table Table 18. Ports, Trunk Groups, and VLANs Switch Element...
  • Page 147: Port States

    If STP is globally enabled, for ports where STP is turned off, inbound BPDUs will instead be discarded. Determining the Path for Forwarding BPDUs When determining which port to use for forwarding and which port to block, the  CN4093 uses information in the BPDU, including each bridge ID. A technique  based on the “lowest root cost” is then computed to determine the most efficient  path for forwarding. Bridge Priority The bridge priority parameter controls which bridge on the network is the STG  root bridge. To make one switch become the root bridge, configure the bridge  priority lower than all other switches and bridges on your network. The lower the  value, the higher the bridge priority. Use the following command to configure the  bridge priority:   <x> CN4093(config)# spanning­tree stp   bridge priority <0‐65535> © Copyright Lenovo 2015 Chapter 11: Spanning Tree Protocols...
  • Page 148 Port Priority The port priority helps determine which bridge port becomes the root port or the  designated port. The case for the root port is when two switches are connected  using a minimum of two links with the same path‐cost. The case for the designated  port is in a network topology that has multiple bridge ports with the same  path‐cost connected to a single segment, the port with the lowest port priority  becomes the designated port for the segment.  Use the following commands to configure the port priority:  CN4093(config)# interface port <x> CN4093(config­if)# spanning­tree stp <STG> priority <port priority> where priority value is a number from 0 to 240, in increments of 16 (such as 0, 16, 32,  and so on). If the specified priority value is not evenly divisible by 16, the value will  be automatically rounded down to the nearest valid increment whenever manually  changed in the configuration.  Root Guard The root guard feature provides a way to enforce the root bridge placement in the  network. It keeps a new device from becoming root and thereby forcing STP  re‐convergence. If a root‐guard enabled port detects a root device, that port will be  placed in a blocked state. You can configure the root guard at the port level using the following commands: CN4093(config)# interface port <port number> CN4093(config­if)# spanning­tree guard root The default state is none (disabled).  Loop Guard In general, STP resolves redundant network topologies into loop‐free topologies.  The loop guard feature performs additional checking to detect loops that might not  be found using Spanning Tree. STP loop guard ensures that a non‐designated port  does not become a designated port. To globally enable loop guard, enter the following command: CN4093(config)# spanning­tree loopguard Note: The global loop guard command will be effective on a port only if the port-level loop guard command is set to default as shown below: CN4093(config­if)# spanning­tree guard loop none To enable loop guard at the port level, enter the following command:...
  • Page 149: Simple Stp Configuration

    Use the following command to modify the port path cost:    CN4093(config)# interface port <port number> CN4093(config­if)# spanning­tree stp <STG> path­cost <path cost value>  CN4093(config­if)# exit The port path cost can be a value from 1 to 200000000. Specify 0 for automatic path  cost. Simple STP Configuration Figure 11 depicts a simple topology using a switch‐to‐switch link between two  switches (via either external ports or internal Inter‐Switch Links).  Figure 11. Spanning Tree Blocking a Switch‐to‐Switch Link  Enterprise Routing Switches Switch 1 Switch 2 Blocks Link Server Server Server Server © Copyright Lenovo 2015 Chapter 11: Spanning Tree Protocols...
  • Page 150 To prevent a network loop among the switches, STP must block one of the links  between them. In this case, it is desired that STP block the link between the blade  switches, and not one of the CN4093 uplinks or the Enterprise switch trunk. During operation, if one CN4093 experiences an uplink failure, STP will activate  the switch‐to‐switch link so that server traffic on the affected CN4093 may pass  through to the active uplink on the other CN4093, as shown in Figure Figure 12. Spanning Tree Restoring the Switch‐to‐Switch Link  Enterprise Uplink Routing Failure Switches Switch 1 Switch 2 Restores Link Server Server Server Server In this example, port 10 on each switch is used for the switch‐to‐switch link. To  ensure that the CN4093 switch‐to‐switch link is blocked during normal operation,  the port path cost is set to a higher value than other paths in the network. To  configure the port path cost on the switch‐to‐switch links in this example, use the  following commands on each switch.   CN4093(config)# interface port 10 CN4093(config­if)# spanning­tree stp 1 path­cost 60000 CN4093(config­if)# exit CN4093 Application Guide for N/OS 8.2...
  • Page 151: Per-Vlan Spanning Tree Groups

    Loop is active is active Application Switch Application Switch With a single Spanning Tree, Using multiple STGs, one link becomes blocked. both links may be active. In the second network, the problem of improper link blocking is resolved when the  VLANs are placed into different Spanning Tree Groups (STGs). Since each STG has  its own independent instance of Spanning Tree, each STG is responsible only for  the loops within its own VLAN. This eliminates the false loop, and allows both  VLANs to forward packets between the switches at the same time. © Copyright Lenovo 2015 Chapter 11: Spanning Tree Protocols...
  • Page 152: Vlan And Stg Assignment

    VLAN and STG Assignment In PVRST mode, up to 128 STGs are supported. Ports cannot be added directly to  an STG. Instead, ports must be added as members of a VLAN, and the VLAN must  then be assigned to the STG.  STG 1 is the default STG. Although VLANs can be added to or deleted from  default STG 1, the STG itself cannot be deleted from the system. By default, STG 1  is enabled and includes VLAN 1, which by default includes all switch ports (except  for management VLANs and management ports). STG 128 is reserved for switch management. By default, STG 128 is disabled, but  includes management VLAN 4095 and the management ports. By default, all other STGs (STG 2 through 127) are enabled, though they initially  include no member VLANs. VLANs must be assigned to STGs. By default, this is  done automatically using VLAN Automatic STG Assignment (VASA), though it  can also be done manually (see “Manually Assigning STGs” on page 153). When VASA is enabled (as by default), each time a new VLAN is configured, the  switch will automatically assign that new VLAN to its own STG. Conversely, when  a VLAN is deleted, if its STG is not associated with any other VLAN, the STG is  returned to the available pool. The specific STG number to which the VLAN is assigned is based on the VLAN  number itself. For low VLAN numbers (1 through 127), the switch will attempt to  assign the VLAN to its matching STG number. For higher numbered VLANs, the  STG assignment is based on a simple modulus calculation; the attempted STG  number will “wrap around,” starting back at the top of STG list each time the end  of the list is reached. However, if the attempted STG is already in use, the switch  will select the next available STG. If an empty STG is not available when creating a  new VLAN, the VLAN is automatically assigned to default STG 1. If ports are tagged, each tagged port sends out a special BPDU containing the  tagged information. Also, when a tagged port belongs to more than one STG, the  egress BPDUs are tagged to distinguish the BPDUs of one STG from those of  another STG. VASA is enabled by default, but can be disabled or re‐enabled using the following  command:   CN4093(config)# [no] spanning­tree stg­auto If VASA is disabled, when you create a new VLAN, that VLAN automatically  belongs to default STG 1. To place the VLAN in a different STG, assign it manually. VASA applies only to PVRST mode and is ignored in RSTP and MSTP modes. CN4093 Application Guide for N/OS 8.2...
  • Page 153: Manually Assigning Stgs

    Guidelines for Creating VLANs  When you create a new VLAN, if VASA is enabled (the default), that VLAN is  automatically assigned its own STG. If VASA is disabled, the VLAN  automatically belongs to STG 1, the default STG. To place the VLAN in a  different STG, see “Manually Assigning STGs” on page 153. The VLAN is  automatically removed from its old STG before being placed into the new STG.  Each VLANs must be contained within a single STG; a VLAN cannot span  multiple STGs. By confining VLANs within a single STG, you avoid problems  with Spanning Tree blocking ports and causing a loss of connectivity within the  VLAN. When a VLAN spans multiple switches, it is recommended that the  VLAN remain within the same STG (be assigned the same STG ID) across all the  switches.  If ports are tagged, all trunked ports can belong to multiple STGs.  A port cannot be directly added to an STG. The port must first be added to a  VLAN, and that VLAN added to the desired STG. Rules for VLAN Tagged Ports  Tagged ports can belong to more than one STG, but untagged ports can belong  to only one STG. When a tagged port belongs to more than one STG, the egress BPDUs are tagged   to distinguish the BPDUs of one STG from those of another STG. © Copyright Lenovo 2015 Chapter 11: Spanning Tree Protocols...
  • Page 154: Adding And Removing Ports From Stgs

    Adding and Removing Ports from STGs  When you add a port to a VLAN that belongs to an STG, the port is also added  to that STG. However, if the port you are adding is an untagged port and is  already a member of another STG, that port will be removed from its current  STG and added to the new STG. An untagged port cannot belong to more that  one STG. For example: Assume that VLAN 1 belongs to STG 1, and that port 1 is untagged  and does not belong to any STG. When you add port 1 to VLAN 1, port 1 will  automatically become part of STG 1. However, if port 5 is untagged and is a member of VLAN 3 in STG 2, then  adding port 5 to VLAN 1 in STG 1 will not automatically add the port to STG 1.  Instead, the switch will prompt you to decide whether to change the PVID from  3 to 1: "Port 5 is an UNTAGGED/Access Mode port and its current PVID/Native  VLAN is 3. Confirm changing PVID/Native VLAn from 3 to 1 [y/n]:" y  When you remove a port from VLAN that belongs to an STG, that port will also  be removed from the STG. However, if that port belongs to another VLAN in the  same STG, the port remains in the STG. As an example, assume that port 2 belongs to only VLAN 2, and that VLAN 2  belongs to STG 2. When you remove port 2 from VLAN 2, the port is moved to  default VLAN 1 and is removed from STG 2. However, if port 2 belongs to both VLAN 1 and VLAN 2, and both VLANs  belong to STG 1, removing port 2 from VLAN 2 does not remove port 2 from  STG 1, because the port is still a member of VLAN 1, which is still a member of  STG 1.  An STG cannot be deleted, only disabled. If you disable the STG while it still  contains VLAN members, Spanning Tree will be off on all ports belonging to  that VLAN. The relationship between port, trunk groups, VLANs, and Spanning Trees is  shown in Table 18 on page 146.
  • Page 155: Configuring Multiple Stgs

    VLAN 1 on ports 1 and 2. Switch C receives the BPDU on port 2, and Switch D  receives the BPDU on port 1. Because there is a network loop between the  switches in VLAN 1, either Switch D will block port 8 or Switch C will block  port 1, depending on the information provided in the BPDU.  VLAN 2 Participation Switch B, the root bridge, generates a BPDU for STG 2 from port 8. Switch A  receives this BPDU on port 17, which is assigned to VLAN 2, STG 2. Because  switch B has no additional ports participating in STG 2, this BPDU is not  forwarded to any additional ports and Switch B remains the designated root. VLAN 3 Participation  For VLAN 3, Switch A or Switch C may be the root bridge. If Switch A is the root  bridge for VLAN 3, STG 3, then Switch A transmits the BPDU from port 18.  Switch C receives this BPDU on port 8 and is identified as participating in  VLAN 3, STG 3. Since Switch C has no additional ports participating in STG 3,  this BPDU is not forwarded to any additional ports and Switch A remains the  designated root. Configuring Multiple STGs This configuration shows how to configure the three instances of STGs on the  switches A, B, C, and D illustrated in Figure 14 on page 154. Because VASA is enabled by default, each new VLAN is automatically assigned its  own STG. However, for this configuration example, some VLANs are explicitly  reassigned to other STGs. © Copyright Lenovo 2015 Chapter 11: Spanning Tree Protocols...
  • Page 156 1. Set the Spanning Tree mode on each switch to PVRST.  CN4093(config)# spanning­tree mode pvrst Note: PVRST is the default mode on the CN4093. This step is not required unless the STP mode has been previously changed, and is shown here merely as an example of manual configuration. 2. Configure the following on Switch A: 3. Enable VLAN 2 and VLAN 3.  CN4093(config)# vlan 2 CN4093(config­vlan)# exit CN4093(config)# vlan 3...
  • Page 157 5. Configure the following on application switch C: Add port 8 to VLAN 3. Ports 1 and 2 are by default in VLAN 1 assigned to STG 1.   CN4093(config)# vlan 3 CN4093(config­vlan)# stg 3 CN4093(config­vlan)# exit CN4093(config)# interface port 8 CN4093(config­if)# switchport mode trunk CN4093(config­if)# exit If VASA is disabled, enter the following command: CN4093(config)# spanning­tree stp 3 vlan 3 VLAN 3 is automatically removed from STG 1. By default VLAN 1 remains in STG  Switch D does not require any special configuration for multiple Spanning Trees.  Switch D uses default STG 1 only. © Copyright Lenovo 2015 Chapter 11: Spanning Tree Protocols...
  • Page 158: Rapid Spanning Tree Protocol

    Rapid Spanning Tree Protocol RSTP provides rapid convergence of the Spanning Tree and provides the fast  re‐configuration critical for networks carrying delay‐sensitive traffic such as voice  and video. RSTP significantly reduces the time to reconfigure the active topology  of the network when changes occur to the physical topology or its configuration  parameters. RSTP reduces the bridged‐LAN topology to a single Spanning Tree. RSTP was originally defined in IEEE 802.1w (2001) and was later incorporated into  IEEE 802.1D (2004), superseding the original STP standard. RSTP parameters apply only to Spanning Tree Group (STG) 1. The PVRST mode  STGs 2‐128 are not used when the switch is placed in RSTP mode. RSTP is compatible with devices that run IEEE 802.1D (1998) Spanning Tree  Protocol. If the switch detects IEEE 802.1D (1998) BPDUs, it responds with IEEE  802.1D (1998)‐compatible data units. RSTP is not compatible with Per‐VLAN  Rapid Spanning Tree (PVRST) protocol.  Note: In RSTP mode, Spanning Tree for the management ports is turned off by default. Port States RSTP port state controls are the same as for PVRST: discarding, learning, and  forwarding. Due to the sequence involved in these STP states, considerable delays may occur  while paths are being resolved. To mitigate delays, ports defined as edge ports  (“Port Type and Link Type” on page 164) may bypass the discarding and ...
  • Page 159 4. Configure port parameters:  CN4093(config)# interface port 3 CN4093(config­if)# spanning­tree stp 1 priority 240 CN4093(config­if)# spanning­tree stp 1 path­cost 500 CN4093(config­if)# no spanning­tree stp 1 enable CN4093(config­if)# exit © Copyright Lenovo 2015 Chapter 11: Spanning Tree Protocols...
  • Page 160: Multiple Spanning Tree Protocol

    Multiple Spanning Tree Protocol Multiple Spanning Tree Protocol (MSTP) extends Rapid Spanning Tree Protocol  (RSTP), allowing multiple Spanning Tree Groups (STGs) which may each include  multiple VLANs. MSTP was originally defined in IEEE 802.1s (2002) and was later  included in IEEE 802.1Q (2003). In MSTP mode, the CN4093 supports up to 32 instances of Spanning Tree,  corresponding to STGs 1‐32, with each STG acting as an independent,  simultaneous instance of STP. MSTP allows frames assigned to different VLANs to follow separate paths, with  each path based on an independent Spanning Tree instance. This approach  provides multiple forwarding paths for data traffic, thereby enabling  load‐balancing, and reducing the number of Spanning Tree instances required to  support a large number of VLANs. Due to Spanning Tree’s sequence of discarding, learning, and forwarding, lengthy  delays may occur while paths are being resolved. Ports defined as edge ports (“Port  Type and Link Type” on page 164) bypass the Discarding and Learning states, and  enter directly into the Forwarding state. Note: In MSTP mode, Spanning Tree for the management ports is turned off by default. MSTP Region A group of interconnected bridges that share the same attributes is called an MST ...
  • Page 161: Mstp Configuration Guidelines

     4095 to the CIST. When MSTP is turned off, the switch moves VLAN 4095 from  the CIST to Spanning Tree Group 128.  When you enable MSTP, you must configure the Region Name. A default  version number of 0 is configured automatically. Each bridge in the region must have the same name, version number, and VLAN   mapping. MSTP Configuration Examples Example 1 This section provides steps to configure MSTP on the CN4093. 1. Configure port and VLAN membership on the switch. 2. Configure Multiple Spanning Tree region parameters and set the mode to MSTP.  CN4093(config)# spanning­tree mst configuration(Enter MST configuration mode) CN4093(config­mst)# name <name> (Define the Region name) CN4093(config­mst)# revision 100        (Define the Revision level) CN4093(config­mst)# exit CN4093(config)# spanning­tree mode mst (Set mode to Multiple Spanning Trees)  3. Map VLANs to MSTP instances:  CN4093(config)# spanning­tree mst configuration(Enter MST configuration mode) CN4093(config­mst)# instance <instance ID> vlan  <vlan number or range> © Copyright Lenovo 2015 Chapter 11: Spanning Tree Protocols...
  • Page 162 MSTP Configuration Example 2 This configuration shows how to configure MSTP Groups on the switch, as shown  in Figure 15.  Figure 15. Implementing Multiple Spanning Tree Groups  Enterprise Enterprise Routing Switch Routing Switch MSTP Group 1 MSTP Group 2 Root Root Passing VLAN 1 Blocking VLAN 1 Blocking VLAN 2 Passing VLAN 2 Server 1 Server 2 Server 3 Server 4 VLAN 1...
  • Page 163 3. Map VLANs to MSTP instances:  CN4093(config)# spanning­tree mst configuration CN4093(config­mst)# instance 1 vlan 1 CN4093(config­mst)# instance 2 vlan 2 4. Configure port membership and define the STGs for VLAN 2. Add server ports 3,  4, and 5 to VLAN 2. Add uplink ports 19 and 20 to VLAN 2. Assign VLAN 2 to STG  2.   CN4093(config)# interface port 3,4,5,19,20 CN4093(config­if)# switchport access vlan 2 CN4093(config­if)# exit Note: Each STG is enabled by default. © Copyright Lenovo 2015 Chapter 11: Spanning Tree Protocols...
  • Page 164: Port Type And Link Type

    Port Type and Link Type Edge/Portfast Port A port that does not connect to a bridge is called an edge port. Since edge ports are  assumed to be connected to non‐STP devices (such as directly to hosts or servers),  they are placed in the forwarding state as soon as the link is up. Internal ports  (INTx) should be configured as edge ports. Edge ports send BPDUs to upstream STP devices like normal STP ports, but should  not receive BPDUs. If a port with edge enabled does receive a BPDU, it  immediately begins working as a normal (non‐edge) port, and participates fully in  Spanning Tree. Use the following commands to define or clear a port as an edge port:     CN4093(config)# interface port <port> CN4093(config­if)# [no] spanning­tree portfast CN4093(config­if)# exit Link Type The link type determines how the port behaves in regard to Rapid Spanning Tree.  Use the following commands to define the link type for the port:   CN4093(config)# interface port <port> CN4093(config­if)# [no] spanning­tree link­type <type> CN4093(config­if)# exit where type corresponds to the duplex mode of the port, as follows:  A full‐duplex link to another device (point‐to‐point) shared  A half‐duplex link is a shared segment and can contain more  than one device. auto  The switch dynamically configures the link type. Note: Any STP port in full-duplex mode can be manually configured as a shared port when connected to a non-STP-aware shared device (such as a typical Layer 2 switch) used to interconnect multiple STP-aware devices.
  • Page 165: Chapter 12. Virtual Link Aggregation Groups

    Peers Layer STP blocks Links remain implicit loops VLAGs active Access Layer Servers As shown in the example, a switch in the access layer may be connected to more  than one switch in the aggregation layer to provide for network redundancy.  Typically, Spanning Tree Protocol (PVRST, or MSTP—see “Spanning Tree  Protocols” on page 145) is used to prevent broadcast loops, blocking redundant  uplink paths. This has the unwanted consequence of reducing the available  bandwidth between the layers by as much as 50%. In addition, STP may be slow to  resolve topology changes that occur during a link failure, and can result in  considerable MAC address flooding. Using Virtual Link Aggregation Groups (VLAGs), the redundant uplinks remain  active, utilizing all available bandwidth. Two switches are paired into VLAG peers, and act as a single virtual entity for the  purpose of establishing a multi‐port trunk. Ports from both peers can be grouped  into a VLAG and connected to the same LAG‐capable target device. From the  perspective of the target device, the ports connected to the VLAG peers appear to  be a single trunk connecting to a single logical device. The target device uses the  configured Tier ID to identify the VLAG peers as this single logical device. It is  important that you use a unique Tier ID for each VLAG pair you configure. The  VLAG‐capable switches synchronize their logical view of the access layer port  structure and internally prevent implicit loops. The VLAG topology also responds  more quickly to link failure and does not result in unnecessary MAC flooding. VLAGs are also useful in multi‐layer environments for both uplink and downlink  redundancy to any regular LAG‐capable device. For example: © Copyright Lenovo 2015...
  • Page 166 Figure 17. VLAG Application with Multiple Layers Layer 2/3 Border LACP-capable Routers Trunk Trunk VLAG 5 VLAG 6 Layer 2 Region VLAG with multiple levels Peers C Trunk VLAG 3 VLAG 3 VLAG 4 VLAG VLAG Peers A Peers B VLAG 1 VLAG 2 Trunk Trunk LACP-capable...
  • Page 167 In addition, when used with VRRP, VLAGs can provide seamless active‐active  failover for network links. For exampleVLAG Application with VRRP: VLAG Peers VRRP VRRP VLAG Master Backup Active Server Traffic Flows Note: VLAG is not compatible with UFP vPorts on the same ports." © Copyright Lenovo 2015 Chapter 12: Virtual Link Aggregation Groups...
  • Page 168: Vlag Capacities

    VLAG Capacities Servers or switches that connect to the VLAG peers using a multi‐port VLAG are  considered VLAG clients. VLAG clients are not required to be VLAG‐capable. The  ports participating in the VLAG are configured as regular port trunks on the  VLAG client end. On the VLAG peers, the VLAGs are configured similarly to regular port trunks,  using many of the same features and rules. See “Ports and Trunking” on page 131  for general information concerning all port trunks. Each VLAG begins as a regular port trunk on each VLAG‐peer switch. The VLAG  may be either a static trunk group (portchannel) or dynamic LACP trunk group,  and consumes one slot from the overall port trunk capacity pool. The trunk type  must match that used on VLAG client devices. Additional configuration is then  required to implement the VLAG on both VLAG peer switches. You may configure up to 64 trunk groups on the switch, with all types (regular or  VLAG, static or LACP) sharing the same pool.  The maximum number of configurable VLAG instances is as follows: With STP off: Maximum of 31 VLAG instances   With STP on: PVRST/MSTP with one VLAG instance per VLAN/STG: Maximum of 31   VLAG instances PVRST/MSTP with one VLAG instance belonging to multiple   VLANs/STGs: Maximum of 20 VLAG instances Note: VLAG is not supported in RSTP mode. Each trunk type can contain up to 16 member ports, depending on the port type  and availability. VLAGs versus Port Trunks Though similar to regular port trunks in many regards, VLAGs differ from regular  port trunks in a number of important ways: A VLAG can consist of multiple ports on two VLAG peers, which are connected   to one logical client device such as a server, switch, or another VLAG device.
  • Page 169  Routing over VLAGs is not supported. However, IP forwarding between  subnets served by VLAGs can be accomplished using VRRP.  VLAGs are configured using additional commands.  It is recommended that end‐devices connected to VLAG switches use NICs with  dual‐homing. This increases traffic efficiency, reduces ISL load, and provides  faster link failover. © Copyright Lenovo 2015 Chapter 12: Virtual Link Aggregation Groups...
  • Page 170: Configuring Vlags

    Configuring VLAGs When configuring VLAG or making changes to your VLAG configuration,  consider the following VLAG behavior:  When adding a static Mrouter on VLAG links, ensure that you also add it on the  ISL link to avoid VLAG link failure. If the VLAG link fails, traffic cannot be  recovered through the ISL. Also, make sure you add the same static entry on the  peer VLAG switch for VLAG ports. When you enable VLAG on the switch, if a MSTP region mismatch is detected   with the VLAG peer, the ISL will shut down. In such a scenario, correct the  region on the VLAG peer and manually enable the ISL.  If you have enabled VLAG on the switch, and you need to change the STP mode,  ensure that you first disable VLAG and then change the STP mode. When VLAG is enabled, you may see two root ports on the secondary VLAG   switch. One of these will be the actual root port for the secondary VLAG switch  and the other will be a root port synced with the primary VLAG switch.  The LACP key used must be unique for each VLAG in the entire topology.   The STG to VLAN mapping on both VLAG peers must be identical. The following parameters must be identically configured on the VLAG ports of  both the VLAG peers:  VLANs Native VLAN tagging   Native VLAN/PVID  STP mode   BPDU Guard setting STP port setting   MAC aging timers Static MAC entries ...
  • Page 171: Basic Vlag Configuration

    VLAN 100 Client Switch Client Switch In this example, each client switch is connected to both VLAG peers. On each client  switch, the ports connecting to the VLAG peers are configured as a dynamic LACP  port trunk. The VLAG peer switches share a dedicated ISL for synchronizing  VLAG information. On the individual VLAG peers, each port leading to a specific  client switch (and part of the client switch’s port trunk) is configured as a VLAG. In the following example configuration, only the configuration for VLAG 1 on  VLAG Peer 1 is shown. VLAG Peer 2 and all other VLAGs are configured in a  similar fashion. Configure the ISL The ISL connecting the VLAG peers is shared by all their VLAGs. The ISL needs to  be configured only once on each VLAG peer. 1. Configure STP if required. Use PVRST or MSTP mode only: CN4093(config)# spanning­tree mode pvrst 2. Configure the ISL ports and place them into a portchannel (dynamic or static): CN4093(config)# interface port 1­2 CN4093(config­if)# switchport mode trunk CN4093(config­if)# lacp mode active CN4093(config­if)# lacp key 200 CN4093(config­if)# exit CN4093(config)# vlag isl adminkey 200 © Copyright Lenovo 2015 Chapter 12: Virtual Link Aggregation Groups...
  • Page 172 Note: a. In this case, a dynamic trunk group is shown. A static trunk (portchannel)  could be configured instead. b. ISL ports and VLAG ports must be members of the same VLANs. 3. Configure VLAG Tier ID. This is used to identify the VLAG switch in a multi‐tier  environment.   CN4093(config)# vlag tier­id 10 4. Configure the ISL for the VLAG peer. Make sure you configure the VLAG peer (VLAG Peer 2) using the same ISL trunk  type (dynamic or static), the same VLAN, and the same STP mode and tier ID used  on VLAG Peer 1. Configure the VLAG 1. Configure the VLAN for VLAG 1 ports. Once the VLAN s ready, the ISL ports are  automatically added to it. CN4093(config)# vlan 100 CN4093(config­vlan)# exit CN4093(config)# interface port 8 CN4093(config­if)# switchport mode trunk CN4093(config­if)# exit Note: In MSTP mode, VLANs are automatically mapped to CIST. 2. Place the VLAG 1 port(s) in a port trunk group: CN4093(config)# interface port 8 CN4093(config­if)# lacp mode active CN4093(config­if)# lacp key 1000 CN4093(config­if)# exit 3.
  • Page 173: Vlag Configuration - Vlans Mapped To Msti

    Configure the ISL The ISL connecting the VLAG peers is shared by all their VLAGs. The ISL needs to  be configured only once on each VLAG peer. Ensure you have the same region  name, revision and VLAN‐to‐STG mapping on both VLAG switches. 1. Configure STP: CN4093(config)# spanning­tree mode mst 2. Configure the ISL ports and place them into a portchannel (dynamic or static): CN4093(config)# interface port 1­2 CN4093(config­if)# switchport mode trunk CN4093(config­if)# lacp mode active CN4093(config­if)# lacp key 200 CN4093(config­if)# exit CN4093(config)# vlag isl adminkey 200 Note: a. In this case, a dynamic trunk group is shown. A static trunk (portchannel)  could be configured instead. b. ISL ports and VLAG ports must be members of the same VLANs. 3. Configure VLAG Tier ID. This is used to identify the VLAG switch in a multi‐tier  environment.   CN4093(config)# vlag tier­id 10 4. Configure the ISL for the VLAG peer. Make sure you configure the VLAG peer (VLAG Peer 2) using the same ISL trunk  type (dynamic or static), the same VLAN for vLAG ports and vLAG ISL ports, and  the same STP mode and tier ID used on VLAG Peer 1. © Copyright Lenovo 2015 Chapter 12: Virtual Link Aggregation Groups...
  • Page 174: Configuring Health Check

    Configure the VLAG 1. Configure the VLAN for VLAG 1 ports. Once the VLAN s ready, the ISL ports are  automatically added to it.  CN4093(config)# vlan 100 CN4093(config­vlan)# exit CN4093(config)# interface port 8 CN4093(config­if)# switchport mode trunk CN4093(config­if)# exit 2. Map the VLAN to an MSTI.  CN4093(config)# spanning­tree mst configuration CN4093(config­mst)# instance 1 vlan 100 3. Place the VLAG 1 port(s) in a trunk group (static or dynamic) and assign it to the  VLAG: CN4093(config)# interface port 8 CN4093(config­if)# lacp mode active CN4093(config­if)# lacp key 1000 CN4093(config­if)# exit CN4093(config)# vlag adminkey 1000 enable 4. Enable VLAG: CN4093(config)# vlag enable 5. Continue by configuring all required VLAGs on VLAG Peer 1, and then follow the  steps for configuring VLAG Peer 2. For each corresponding VLAG on the peer, the port trunk type (dynamic or static),  the port’s VLAN, and STP mode and ID must be the same as on VLAG Peer 1. 6. Verify the completed configuration: CN4093# show vlag information Configuring Health Check We strongly recommend that you configure the CN4093 to check the health status  of its VLAG peer. Although the operational status of the VLAG peer is generally  determined via the ISL connection, configuring a network health check provides  an alternate means to check peer status in case the ISL links fail. Use an ...
  • Page 175 2. Specify the IPv4 or IPv6 address of the VLAG Peer: CN4093(config)# vlag hlthchk peer­ip 10.10.10.2 Note: For VLAG Peer 2, the management interface would be configured as 10.10.10.2, and the health check would be configured for 10.10.10.1, pointing back to VLAG Peer 1. © Copyright Lenovo 2015 Chapter 12: Virtual Link Aggregation Groups...
  • Page 176: Vlags With Vrrp

    VLAGs with VRRP Note: In a multi-layer environment, configure VRRP separately for each layer. We recommend that you configure VRRP only on the tier with uplinks. See “Configuring VLAGs in Multiple Layers” on page 181. VRRP (see “Virtual Router Redundancy Protocol” on page 471) can be used in  conjunction with VLAGs and LACP‐capable devices to provide seamless  redundancy. Figure 19. Active‐Active Configuration using VRRP and VLAGs VRRP Master Server 1 VLAG Peer 1...
  • Page 177 Note: In this case, a dynamic trunk group is shown. A static trunk (portchannel) could be configured instead. 7. Configure the upstream ports. CN4093(config)# interface port 1 CN4093(config­if)# switchport access vlan 10 CN4093(config­if)# exit CN4093(config)# interface port 2 CN4093(config­if)# switchport access vlan 20 CN4093(config­if)# exit 8. Configure the server ports. CN4093(config)# interface port 10 CN4093(config­if)# switchport access vlan 100 CN4093(config­if)# exit CN4093(config)# interface port 11 CN4093(config­if)# switchport access vlan 100 CN4093(config­if)# exit CN4093(config)# interface port 12 CN4093(config­if)# switchport access vlan 100 CN4093(config­if)# exit © Copyright Lenovo 2015 Chapter 12: Virtual Link Aggregation Groups...
  • Page 178 9. Configure all VLANs including VLANs for the VLAGs.   CN4093(config)# vlan 10 CN4093(config­vlan)# exit CN4093(config)# interface port 1 CN4093(config­if)# switchport mode trunk CN4093(config­if)# exit CN4093(config)# vlan 20 CN4093(config­vlan)# exit CN4093(config)# interface port 2 CN4093(config­if)# switchport mode trunk CN4093(config­if)# exit CN4093(config)# vlan 100 CN4093(config­vlan)# exit CN4093(config)# interface port 4­5, 10­12 CN4093(config­if)# switchport mode trunk CN4093(config­if)# exit 10. Configure Internet‐facing interfaces. CN4093(config)# interface ip 1 CN4093(config­ip­if)# ip address 172.1.1.10 255.255.255.0 CN4093(config­ip­if)# vlan 10 CN4093(config­ip­if)# enable CN4093(config­ip­if)# ip ospf area 1 CN4093(config­ip­if)# ip ospf enable CN4093(config­ip­if)# exit CN4093(config)# interface ip 2 CN4093(config­ip­if)# ip address 172.1.3.10 255.255.255.0 CN4093(config­ip­if)# vlan 20 CN4093(config­ip­if)# enable CN4093(config­ip­if)# ip ospf area 1 CN4093(config­ip­if)# ip ospf enable CN4093(config­ip­if)# exit 11. Place the VLAG port(s) in their port trunk groups. CN4093(config)# interface port 10 CN4093(config­if)# lacp mode active CN4093(config­if)# lacp key 1000 CN4093(config­if)# exit CN4093(config)# interface port 11 CN4093(config­if)# lacp mode active CN4093(config­if)# lacp key 1100 CN4093(config­if)# exit...
  • Page 179 CN4093(config)# vlag tier­id 10 CN4093(config)# vlag enable 2. Configure appropriate routing. CN4093(config)# router ospf CN4093(config­router­ospf)# area 1 area­id 0.0.0.1 CN4093(config­router­ospf)# enable CN4093(config­router­ospf)# exit Although OSPF is used in this example, static routing could also be deployed. 3. Configure a server‐facing interface. CN4093(config)# interface ip 3 CN4093(config­ip­if)# ip address 10.0.1.11 255.255.255.0 CN4093(config­ip­if)# vlan 100 CN4093(config­ip­if)# exit 4. Turn on VRRP and configure the Virtual Interface Router. CN4093(config)# router vrrp CN4093(config­vrrp)# enable CN4093(config­vrrp)# virtual­router 1 virtual­router­id 1 CN4093(config­vrrp)# virtual­router 1 interface 3 CN4093(config­vrrp)# virtual­router 1 address 10.0.1.100 CN4093(config­vrrp)# virtual­router 1 enable 5. Configure the ISL ports and place them into a port trunk group: CN4093(config)# interface port 4­5 CN4093(config­if)# switchport mode trunk CN4093(config­if)# lacp mode active CN4093(config­if)# lacp key 2000 CN4093(config­if)# exit © Copyright Lenovo 2015 Chapter 12: Virtual Link Aggregation Groups...
  • Page 180 6. Configure the upstream ports. CN4093(config)# interface port 1 CN4093(config­if)# switchport access vlan 30 CN4093(config­if)# exit CN4093(config)# interface port 2 CN4093(config­if)# switchport access vlan 40 CN4093(config­if)# exit 7. Configure the server ports. CN4093(config)# interface port 10 CN4093(config­if)# switchport access vlan 100 CN4093(config­if)# exit CN4093(config)# interface port 11 CN4093(config­if)# switchport access vlan 100 CN4093(config­if)# exit CN4093(config)# interface port 12 CN4093(config­if)# switchport access vlan 100 CN4093(config­if)# exit 8. Configure all VLANs including VLANs for the VLAGs.  CN4093(config)# vlan 30 CN4093(config­vlan)# exit CN4093(config)# interface port 1 CN4093(config­if)# switchport mode trunk CN4093(config­if)# exit CN4093(config)# vlan 40 CN4093(config­vlan)# exit CN4093(config)# interface port 2 CN4093(config­if)# switchport mode trunk CN4093(config­if)# exit CN4093(config)# vlan 100 CN4093(config­vlan)# exit CN4093(config)# interface port 4­5,10­12 CN4093(config­if)# switchport mode trunk CN4093(config­if)# exit 9. Configure Internet‐facing interfaces. CN4093(config)# interface ip 1 CN4093(config­ip­if)# ip address 172.1.2.11 255.255.255.0 CN4093(config­ip­if)# vlan 30 CN4093(config­ip­if)# enable CN4093(config­ip­if)# ip ospf area 1...
  • Page 181: Configuring Vlags In Multiple Layers

    VLAG VLAG Peers A Switch C Switch D Switch E Switch F Peers B VLAG 1 VLAG 2 Trunk Trunk LACP-capable Switch Switch G LACP-capable Server Servers Figure 20 shows an example of VLAG being used in a multi‐layer environment.  Following are the configuration steps for the topology.  © Copyright Lenovo 2015 Chapter 12: Virtual Link Aggregation Groups...
  • Page 182 Task 1: Configure Layer 2/3 border switches. Configure ports on border switch as follows:   CN4093(config)# interface port 1,2 CN4093(config­if)# lacp key 100 CN4093(config­if)# lacp mode active CN4093(config­if)# exit Repeat these steps for the second border switch. Task 2: Configure switches in the Layer 2 region. Consider the following:  ISL ports on switches A and B ‐ ports 1, 2  Ports connecting to Layer 2/3 ‐ ports 5, 6  Ports on switches A and B connecting to switches C and D: ports 10, 11  Ports on switch B connecting to switch E: ports 15, 16  Ports on switch B connecting to switch F: ports 17, 18 1. Configure VLAG tier ID and enable VLAG globally.  CN4093(config)# vlag tier­id 10 CN4093(config)# vlag enable 2. Configure ISL ports on Switch A.  CN4093(config)# interface port 1,2 CN4093(config­if)# switchport mode trunk CN4093(config­if)# lacp key 200 CN4093(config­if)# lacp mode active...
  • Page 183 CN4093(config­if)# lacp key 500 CN4093(config­if)# lacp mode active CN4093(config­if)# exit CN4093(config)# vlag adminkey 500 enable Repeat these steps on Switch B for ports connecting to Layer 2/3 router 2. 5. Configure ports on Switch A connecting to downstream VLAG switches C and D.  CN4093(config)# vlan 20 CN4093(config­vlan)# exit CN4093(config)# interface port 10,11 CN4093(config­if)# switchport mode trunk CN4093(config­if)# lacp key 600 CN4093(config­if)# lacp mode active CN4093(config­if)# exit CN4093(config)# vlag adminkey 600 enable Repeat these steps on Switch B for ports connecting to downstream VLAG switch  C and D. 6. Configure ports on Switch B connecting to downstream switches E and F.  CN4093(config)# vlan 30 CN4093(config­vlan)# exit CN4093(config)# interface port 15­18 CN4093(config­if)# switchport mode trunk CN4093(config­if)# lacp key 700 CN4093(config­if)# lacp mode active CN4093(config­if)# exit 7. Configure ISL between switches C and D, and between E and F as shown in Step 1. 8. Configure the Switch G as shown in Step 2. © Copyright Lenovo 2015 Chapter 12: Virtual Link Aggregation Groups...
  • Page 184 CN4093 Application Guide for N/OS 8.2...
  • Page 185: Chapter 13. Quality Of Service

    By assigning QoS levels to traffic flows on your network, you can ensure that  network resources are allocated where they are needed most. QoS features allow  you to prioritize network traffic, thereby providing better service for selected  applications. Figure 21 on page 185 shows the basic QoS model used by the CN4093 10Gb  Converged Scalable Switch (CN4093). Figure 21. QoS Model Ingress Ports Meter Perform Queue and Egress Classify Packets Traffic Actions Schedule Drop/Pass/ Filter Meter Re-Mark Queue The CN4093 uses the Differentiated Services (DiffServ) architecture to provide QoS  functions. DiffServ is described in IETF RFC 2474 and RFC 2475. With DiffServ, you can establish policies for directing traffic. A policy is a  traffic‐controlling mechanism that monitors the characteristics of the traffic (for  example, its source, destination, and protocol) and performs a controlling action on  the traffic when certain characteristics are matched. © Copyright Lenovo 2015...
  • Page 186 The CN4093 can classify traffic by reading the DiffServ Code Point (DSCP) or IEEE  802.1p priority value, or by using filters to match specific criteria. When network  traffic attributes match those specified in a traffic pattern, the policy instructs the  CN4093 to perform specified actions on each packet that passes through it. The  packets are assigned to different Class of Service (COS) queues and scheduled for  transmission. The basic CN4093 QoS model works as follows:  Classify traffic: Read DSCP  Read 802.1p Priority  Match ACL filter parameters   Meter traffic: Define bandwidth and burst parameters  Select actions to perform on in‐profile and out‐of‐profile traffic  Perform actions:  Drop packets  Pass packets  Mark DSCP or 802.1p Priority  Set COS queue (with or without re‐marking)  Queue and schedule traffic:  Place packets in one of the available COS queues  Schedule transmission based on the COS queue weight  CN4093 Application Guide for N/OS 8.2...
  • Page 187: Using Acl Filters

     Packet format—Ethernet format, tagging format, IPv4, IPv6 Egress port  For ACL details, see “Access Control Lists” on page Summary of ACL Actions Actions determine how the traffic is treated. The CN4093 QoS actions include the  following:  Pass or Drop the packet Re‐mark the packet with a new DiffServ Code Point (DSCP)   Re‐mark the 802.1p field  Set the COS queue ACL Metering and Re-Marking You can define a profile for the aggregate traffic flowing through the CN4093 by  configuring a QoS meter (if desired) and assigning ACL Groups to ports. When  you add ACL Groups to a port, make sure they are ordered correctly in terms of  precedence. Actions taken by an ACL are called In‐Profile actions. You can configure additional  In‐Profile and Out‐of‐Profile actions on a port. Data traffic can be metered, and  re‐marked to ensure that the traffic flow provides certain levels of service in terms  of bandwidth for different types of network traffic. © Copyright Lenovo 2015 Chapter 13: Quality of Service...
  • Page 188: Metering

    Metering QoS metering provides different levels of service to data streams through  user‐configurable parameters. A meter is used to measure the traffic stream against  a traffic profile which you create. Thus, creating meters yields In‐Profile and  Out‐of‐Profile traffic for each ACL, as follows:  In‐Profile–If there is no meter configured or if the packet conforms to the meter,  the packet is classified as In‐Profile. Out‐of‐Profile–If a meter is configured and the packet does not conform to the   meter (exceeds the committed rate or maximum burst rate of the meter), the  packet is classified as Out‐of‐Profile. Note: Metering is not supported for IPv6 ACLs. All traffic matching an IPv6 ACL is considered in-profile for re-marking purposes. Using meters, you set a Committed Rate in Kbps (1000 bits per second in each  Kbps). All traffic within this Committed Rate is In‐Profile. Additionally, you can  set a Maximum Burst Size that specifies an allowed data burst larger than the  Committed Rate for a brief period. These parameters define the In‐Profile traffic. Meters keep the sorted packets within certain parameters. You can configure a  meter on an ACL, and perform actions on metered traffic, such as packet  re‐marking. Re-Marking Re‐marking allows for the treatment of packets to be reset based on new network ...
  • Page 189: Using Dscp Values To Provide Qos

    Differentiated Services Concepts To differentiate between traffic flows, packets can be classified by their DSCP  value. The Differentiated Services (DS) field in the IP header is an octet, and the  first six bits, called the DS Code Point (DSCP), can provide QoS functions. Each  packet carries its own QoS state in the DSCP. There are 64 possible DSCP values  (0‐63). Figure 22. Layer 3 IPv4 Packet Version Offset Length Proto Data Length unused Differentiated Services Code Point (DSCP) The CN4093 can perform the following actions to the DSCP:  Read the DSCP value of ingress packets  Re‐mark the DSCP value to a new value  Map the DSCP value to an 802.1p priority Once the DSCP value is marked, the CN4093 can use it to direct traffic  prioritization. © Copyright Lenovo 2015 Chapter 13: Quality of Service...
  • Page 190: Per-Hop Behavior

    Per-Hop Behavior The DSCP value determines the Per Hop Behavior (PHB) of each packet. The PHB  is the forwarding treatment given to packets at each hop. QoS policies are built by  applying a set of rules to packets, based on the DSCP value, as they hop through  the network. The CN4093 default settings are based on the following standard PHBs, as defined  in the IEEE standards:  Expedited Forwarding (EF)—This PHB has the highest egress priority and  lowest drop precedence level. EF traffic is forwarded ahead of all other traffic. EF  PHB is described in RFC 2598.  Assured Forwarding (AF)—This PHB contains four service levels, each with a  different drop precedence, as shown below. Routers use drop precedence to  determine which packets to discard last when the network becomes congested.  AF PHB is described in RFC 2597. Drop Precedence Class 1 Class 2 Class 3 Class 4 AF11 (DSCP  AF21 (DSCP  AF31 (DSCP  AF41 (DSCP  Medium AF12 (DSCP  AF22 (DSCP  AF32 (DSCP  AF42 (DSCP  High AF13 (DSCP  AF23 (DSCP  AF33 (DSCP  AF43 (DSCP ...
  • Page 191: Qos Levels

    DSCP Re-Marking and Mapping DSCP Re-Marking Overview The CN4093 can re‐mark the DSCP value of ingress packets to a new value, and set  the 802.1p priority value, based on the DSCP value. You can view the settings by  using the following command: CN4093(config)# show qos dscp Current DSCP Remarking Configuration: OFF DSCP    New DSCP New 802.1p Prio ­­­­­­­­ ­­­­­­­­ ­­­­­­­­­­­­­­­     0         0          0     1         1          0    51        51          0    52        52          0    53        53          0    54        54          0    55        55          0    56        56          7    57        57          0    58        58          0    59        59          0    60        60          0    61        61          0    62        62          0    63        63          0 © Copyright Lenovo 2015 Chapter 13: Quality of Service...
  • Page 192: Dscp Re-Marking Configuration Example

    Use the following command to turn on DSCP re‐marking globally:   CN4093(config)# qos dscp re­marking Then you must enable DSCP re‐marking on any port that you wish to perform this  function. Note: If an ACL meter is configured for DSCP re-marking, the meter function takes precedence over QoS re-marking. DSCP Re-Marking Configuration Example Example 1 The following example includes the basic steps for re‐marking DSCP value and  mapping DSCP value to 802.1p. 1. Turn DSCP re‐marking on globally, and define the DSCP‐DSCP‐802.1p mapping.  You can use the default mapping.   CN4093(config)# qos dscp re­marking CN4093(config)# qos dscp dscp­mapping <DSCP value (0‐63)> <new value> CN4093(config)# qos dscp dot1p­mapping <DSCP value (0‐63)> <802.1p value> 2. Enable DSCP re‐marking on a port. CN4093(config)# interface port 1 CN4093(config­if)# qos dscp re­marking CN4093(config­if)# exit Example 2 The following example assigns strict priority to VoIP traffic and a lower priority to ...
  • Page 193 4. Enable DSCP re‐marking globally.  CN4093(config)# qos dscp re­marking 5. Assign the DSCP re‐mark value. CN4093(config)# qos dscp dscp­mapping 40 9 CN4093(config)# qos dscp dscp­mapping 46 9 6. Assign strict priority to VoIP COS queue. CN4093(config)# qos transmit­queue weight­cos 7 0 7. Map priority value to COS queue for non‐VoIP traffic. CN4093(config)# qos transmit­queue mapping 1 1 8. Assign weight to the non‐VoIP COS queue. CN4093(config)# qos transmit­queue weight­cos 1 2 © Copyright Lenovo 2015 Chapter 13: Quality of Service...
  • Page 194: Using 802.1P Priorities To Provide Qos

    Using 802.1p Priorities to Provide QoS 802.1p Overview Lenovo N/OS provides Quality of Service functions based on the priority bits in a  packet’s VLAN header. (The priority bits are defined by the 802.1p standard within  the IEEE 802.1q VLAN header.) The 802.1p bits, if present in the packet, specify the  priority that should be given to packets during forwarding. Packets with a  numerically higher (non‐zero) priority are given forwarding preference over  packets with lower priority bit value. The IEEE 802.1p standard uses eight levels of priority (0‐7). Priority 7 is assigned to  highest priority network traffic, such as OSPF or RIP routing table updates,  priorities 5‐6 are assigned to delay‐sensitive applications such as voice and video,  and lower priorities are assigned to standard applications. A value of 0 (zero)  indicates a “best effort” traffic prioritization, and this is the default when traffic  priority has not been configured on your network. The CN4093 can filter packets  based on the 802.1p values, and it can assign or overwrite the 802.1p value in the  packet. Figure 23. Layer 2 802.1q/802.1p VLAN Tagged Packet DMAC SMAC E Type Data Preamble Priority VLAN Identifier (VID) Ingress packets receive a priority value, as follows:  Tagged packets—CN4093 reads the 802.1p priority in the VLAN tag.  Untagged packets—CN4093 tags the packet and assigns an 802.1p priority, ...
  • Page 195: Queuing And Scheduling

    Note: Use caution when assigning strict scheduling to queues. Heavy traffic in queues assigned with a weight of 0 can starve lower priority queues. For a scheduling method that uses a weighted deficit round‐robin (WDRR)  algorithm, distributing packets with an awareness of packet size, see “Enhanced  Transmission Selection” on page 309. © Copyright Lenovo 2015 Chapter 13: Quality of Service...
  • Page 196: Control Plane Protection

    Control Plane Protection Control plane receives packets that are required for the internal protocol state  machines. This type of traffic is usually received at low rate. However, in some  situations such as DOS attacks, the switch may receive this traffic at a high rate. If  the control plane protocols are unable to process the high rate of traffic, the switch  may become unstable. The control plane receives packets that are channeled through protocol‐specific  packet queues. Multiple protocols can be channeled through a common packet  queue. However, one protocol cannot be channeled through multiple packet  queues. These packet queues are applicable only to the packets received by the  software and does not impact the regular switching or routing traffic. Packet queue  with a higher number has higher priority. You can configure the bandwidth for each packet queue. Protocols that share a  packet queue will also share the bandwidth. The following commands configure the control plane protection (CoPP) feature: CN4093(config)# qos protocol­packet­control packet­queue­map <0‐47>   <protocol>          (Configure a queue for a protocol) CN4093(config)# qos protocol­packet­control rate­limit­packet­queue <0‐47>  <1‐10000>              (Set the bandwidth for the queue,                                                      in packets per second) CN4093 Application Guide for N/OS 8.2...
  • Page 197: Packet Drop Logging

    Packet Drop Logging Packet drop logging allows you to monitor network deficiencies by generating  syslog messages for packet drops in the CPU queues. By default, the switch will  generate such messages once every 30 minutes, specifying the type of traffic, queue  data rate and queue number on which the drops occurred, such as: Apr 19 11:27:35 172.31.37.200 NOTICE Protocol control discards: ARP Broadcast packets are received at rate higher than 200pps, hence are discarded on queue 5. To enable or disable packet drop logging, use the following commands: CN4093(config)# [no] logging pdrop enable You can adjust the logging interval between 0 and 30 minutes using the following  command:   CN4093(config)# logging pdrop interval <0­30> Setting the logging interval to 0 will log packet drops immediately (with up to 1  second delay), and will ignore further drops on the same queue during the next 2  minutes. Setting the logging interval to a greater value (1 – 30 minutes), regularly displays  packet drop information at the designated time intervals. Once the packet drops  stop, or if new packet drops are encountered only within 2 minutes after a syslog  message, the switch does not display any more messages. © Copyright Lenovo 2015 Chapter 13: Quality of Service...
  • Page 198 CN4093 Application Guide for N/OS 8.2...
  • Page 199: Part 4:. Advanced Switching Features

    Part 4: Advanced Switch- ing Features © Copyright Lenovo 2015...
  • Page 200 CN4093 Application Guide for N/OS 8.2...
  • Page 201: Chapter 14. Stacking

    Chapter 14. Stacking This chapter describes how to implement the stacking feature in the Lenovo Flex  System Fabric CN4093 10Gb Converged Scalable Switch. The following concepts  are covered:  “Stacking Overview” on page 202  “Stack Membership” on page 204  “Configuring a Stack” on page 209  “Managing a Stack” on page 214  “Replacing or Removing Stacked Switches” on page 217  “Replacing or Removing Stacked Switches” on page 217  “ISCLI Stacking Commands” on page 219 © Copyright Lenovo 2015...
  • Page 202: Stacking Overview

    Stacking Overview A hybrid stack is a group of eight switches: two CN4093 10Gb Converged Scalable  Switches and six EN4093R 10Gb Scalable Switches. A stack can also be formed with  just two CN4093 10Gb Converged Scalable Switches. A stack has the following properties, regardless of the number of switches  included: The network views the stack as a single entity.   The stack can be accessed and managed as a whole using standard switch IP  interfaces configured with IPv4 addresses.  Once the stacking links have been established (see the next section), the number  of ports available in a stack equals the total number of remaining ports of all the  switches that are part of the stack. Stacking Requirements Before Lenovo N/OS switches can form a stack, they must meet the following  requirements:  Switches in a hybrid stack must be of the model CN4093 10Gb Converged  Scalable Switch or EN4093R 10Gb Scalable Switch. In a hybrid stack, the EN4093R switches cannot act as Backup switches. You   must use only the CN4093 10Gb Converged Scalable switches as the Master  switch and Backup switch.   In a hybrid stack, only two CN4093 10Gb Converged Scalable switches can be  grouped with the EN4093R switches.  Each switch must be installed with N/ OS, version 8.2. Please see “Upgrading   Software in a Stack” on page 216. The recommended stacking topology is a bidirectional ring (see Figure 24 on   page 211). To achieve this, two 10Gb or two 40 Gb Ethernet ports on each switch  must be reserved for stacking. By default, 10Gb Ethernet ports EXT1 and EXT2 ...
  • Page 203: Stacking Limitations

    Static Multicast Routes  Switch Partition (SPAR)  Uni‐Directional Link Detection (UDLD)  Virtual Router Redundancy Protocol (VRRP) Virtual Link Aggregation Groups (VLAG)   Secure audit logging Note: In stacking mode, switch menus and command for unsupported features may be unavailable, or may have no effect on switch operation. © Copyright Lenovo 2015 Chapter 14: Stacking...
  • Page 204: Stack Membership

    Stack Membership A stack contains up to  switches, interconnected by a stack trunk in a local ring  topology (see Figure 24 on page 211). With this topology, only a single stack link  failure is allowed. An operational stack must contain one Master and one or more Members, as  follows:  Master  One switch controls the operation of the stack and is called the Master. The  Master provides a single point to manage the stack. A stack must have one and  only one Master. The firmware image, configuration information, and run‐time  data are maintained by the Master and pushed to each switch in the stack as  necessary.  Member  Member switches provide additional port capacity to the stack. Members  receive configuration changes, run‐time information, and software updates  from the Master.  Backup One member switch can be designated as a Backup to the Master. The Backup  takes over control of the stack if the Master fails. Configuration information and  run‐time data are synchronized with the Master. The Master Switch An operational stack can have only one active Master at any given time. In a  normal stack configuration, one switch is configured as a Master and all others are  configured as Members. When adding new switches to an existing stack, the administrator must explicitly  configure each new switch for its intended role as a Master (only when replacing a  previous Master) or as a Member. All stack configuration procedures in this  chapter depict proper role specification. However, although uncommon, there are scenarios in which a stack may  temporarily have more than one Master switch. If this occurs, one Master switch  will automatically be chosen as the active Master for the entire stack. The selection  process is designed to promote stable, predictable stack operation and minimize  stack reboots and other disruptions.
  • Page 205: Merging Independent Stacks

    Note: Do not merge hybrid stacks if the total number of CN4093 switches exceeds two units. Although all switches which are configured for stacking and joined by stacking  links are recognized as potential stack participants by any operational Master  switches, they are not brought into operation within the stack until explicitly  assigned (or “bound”) to a specific Master switch. Consider two independent stacks, Stack A and Stack B, which are merged into one  stacking topology. The stacks will behave independently until the switches in  Stack B are bound to Master A (or vice versa). In this example, once the Stack B  switches are bound to Master A, Master A will automatically reconfigure them to  operate as Stack A Members, regardless of their original status within Stack B. © Copyright Lenovo 2015 Chapter 14: Stacking...
  • Page 206 However, for purposes of future Backup selection, reconfigured Masters retain  their identity as configured Masters, even though they otherwise act as Members.  In case the configured Master goes down and the Backup takes over as the new  Master, these reconfigured Masters become the new Backup. When the original  configured Master of the stack boots up again, it acts as a Member. This is one way  to have multiple backups in a stack. CN4093 Application Guide for N/OS 8.2...
  • Page 207: Backup Switch Selection

    CN4093(config)# no stack backup ‐or‐ CN4093(config)# stack backup <csnum 1‐8>  A new Master assumes operation as active Master in the stack, and uses its own  configured Backup settings.  The active Master is rebooted with the boot configuration set to factory defaults  (clearing the Backup setting). Master Failover When the Master switch is present, it controls the operation of the stack and  pushes configuration information to the other switches in the stack. If the active  Master fails, then the designated Backup (if one is defined in the Master’s  configuration) becomes the new acting Master and the stack continues to operate  normally. Master Recovery If the prior Master recovers in a functioning stack where the Backup has assumed  stack control, the prior Master does not reassert itself as the stack Master. Instead,  the prior Master will assume a role as a secondary Backup to avoid further stack  disruption. Upon stack reboot, the Master and Backup will resume their regular roles. No Backup If a Backup is not configured on the active Master, or the specified Backup is not  operating, then if the active Master fails, the stack will reboot without an active  Master. When a group of stacked switches are rebooted without an active Master present,  the switches are considered to be isolated. All isolated switches in the stack are  placed in a WAITING state until a Master appears. During this WAITING period, all  the network ports of these Member switches are placed into operator‐disabled  state. Without the Master, a stack cannot respond correctly to networking events. © Copyright Lenovo 2015 Chapter 14: Stacking...
  • Page 208: Stack Member Identification

    Stack Member Identification Each switch in the stack has two numeric identifiers, as follows:   Attached Switch Number (asnum) An asnum is automatically assigned by the Master switch, based on each  Member switch’s physical connection in relation to the Master. The asnum is  mainly used as an internal ID by the Master switch and is not user‐configurable. Configured Switch Number (csnum):  The csnum is the logical switch ID assigned by the stack administrator. The  csnum is used in most stacking‐related configuration commands and switch  information output. It is also used as a port prefix to distinguish the relationship  between the ports on different switches in the stack. It is recommended that asnum 1 and csnum 1 be used for identifying the Master  switch. By default, csnum 1 is assigned to the Master. If csnum 1 is not available,  the lowest available csnum is assigned to the Master. CN4093 Application Guide for N/OS 8.2...
  • Page 209: Configuring A Stack

    Configure the same stacking VLAN for all switches in the stack.  Configure the desired stacking interlinks.  Bind Member switches to the Master.  Assign a Backup switch. These tasks are covered in detail in the following sections. Best Configuration Practices The following are guidelines for building an effective switch stack:  Always connect the stack switches in a complete ring topology (see Figure 24 on  page 211).  Avoid disrupting the stack connections unnecessarily while the stack is in  operation.  For enhanced redundancy when creating port trunks, include ports from  different stack members in the trunks.  Avoid altering the stack asnum and csnum definitions unnecessarily while the  stack is in operation. When in stacking mode, the highest QoS priority queue is reserved for internal   stacking requirements. Therefore, only seven priority queues will be available  for regular QoS use. Configure only as many QoS levels as necessary. This allows the best use of   packet buffers. © Copyright Lenovo 2015 Chapter 14: Stacking...
  • Page 210: Stacking Vlans

     Before configuring the stack: Identify the VLAN to be used as the stacking VLAN.   Save the current configuration to an external device. The port numbering will   change once stacking is enabled. Use the saved configuration to reassign  ports/interfaces as per the new port numbering scheme. Once a stack is  configured, port numbers are displayed throughout the BBI using the csnum  to identify the switch, followed by the switch port number. For example:  Stacking VLANs VLAN 4090 is the default VLAN reserved for internal traffic on stacking ports. Note: Do not use VLAN 4090 for any purpose other than internal stacking traffic. Configuring Each Switch in a Stack To configure each switch for stacking, connect to the internal management IP  interface for each switch (assigned by the management system) and use the ISCLI  to perform the following steps. Note: IPv6 is not supported in stacking mode. IP interfaces must use IPv4 addressing for proper stack configuration.
  • Page 211: Configuring A Management Ip Interface

    Configuring a Management IP Interface Each switch in a stack can be configured with the external management IP interface  (127). The switch’s MAC address must be associated with the management IP  interface. This interface can be used for connecting to and managing the switch  externally. Follow the steps below:     CN4093(config)# interface ip 127 CN4093(config­ip­if)# mac <switch MAC address> ip address <IPv4 address> <subnet  mask> enable CN4093(config­ip­if)# exit CN4093(config)# ip gateway 3 mac <switch MAC address> address <gateway IPv4  address> enable © Copyright Lenovo 2015 Chapter 14: Stacking...
  • Page 212: Additional Master Configuration

    To provide continuous Management IP reachability in the event of a Master node  failover, an additional floating Management IP address can be set up on the  management interface. The floating Management IP address will be used by the  backup switch when taking over management from the failed master node. To  configure the floating Management IP address, use the following command: CN4093(config­if)# floating ip address <IPv4 address> <subnet mask> Note: The Management IP and floating Management IP addresses on the master switch, as well as the Management IP address on the backup switch, must be in the same subnet. Note: In case of a stack split, the floating IP cannot be used anymore due to duplicate IP address issue.
  • Page 213: Viewing Stack Connections

    Backup switch: csnum              ­ 1 MAC                ­ 74:99:75:21:8d:00 UUID               ­ 534c8ca1605846299148305adc9a1f6d Bay Number         ­ 4 Configured Switches: ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ csnum           UUID                     Bay      MAC             asnum ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ C1     534c8ca1605846299148305adc9a1f6d   4   74:99:75:21:8d:00    A5 C2     98c587636548429aba5010f8c62d4e27   3   74:99:75:21:8c:00    A1 C3     534c8ca1605846299148305adc9a1f6d   1   00:00:00:00:00:00 C4     25b884f3c75341e7a0a6417d8602180b   4   08:17:f4:84:34:00    A2 C5     98c587636548429aba5010f8c62d4e27   4   34:40:b5:73:8a:00    A3 C6     534c8ca1605846299148305adc9a1f6d   3   74:99:75:1c:68:00    A4 C7     25b884f3c75341e7a0a6417d8602180b   3   00:00:00:00:00:00 Attached Switches in Stack: ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ ­­­­­­­­­­ asnum           UUID                   Bay     MAC        csnum   State Type   ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ ­­­­­­­­­­ A1   98c587636548429aba5010f8c62d4e27  3 74:99:75:21:8c:00  C2  IN_STACK CN4093 A2   25b884f3c75341e7a0a6417d8602180b  4 08:17:f4:84:34:00  C4 IN_STACK EN4093R A3   98c587636548429aba5010f8c62d4e27  4 34:40:b5:73:8a:00  C5 IN_STACK EN4093R A4   534c8ca1605846299148305adc9a1f6d  3 74:99:75:1c:68:00  C6 IN_STACK EN4093R A5   534c8ca1605846299148305adc9a1f6d  4 74:99:75:21:8d:00  C1 IN_STACK CN4093 © Copyright Lenovo 2015 Chapter 14: Stacking...
  • Page 214: Binding Members To The Stack

    Binding Members to the Stack You can bind Member switches to a stack csnum using either their asnum or  chassis UUID and bay number :    CN4093(config)# stack switch­number <csnum> universal­unic­id  <chassis UUID> CN4093(config)# stack switch­number <csnum> bay <bay number (1‐4)> ‐or‐  CN4093(config)# stack switch­number <csnum> bind <asnum  (1‐16)> To remove a Member switch, execute the following command:    CN4093(config)# no stack switch­number <csnum> Assigning a Stack Backup Switch To define a Member switch as a Backup (optional) which will assume the Master  role if the Master switch fails, execute the following command:   CN4093(config)# stack backup <csnum> Managing a Stack The stack is managed primarily through the Master switch. The Master switch then  pushes configuration changes and run‐time information to the Member switches.  Use Telnet or the Browser‐Based Interface (BBI) to access the Master, as follows:   Use the management IP address assigned to the Master by the management  system.  On any switch in the stack, connect to any port that is not part of an active trunk  and is a member of a VLAN. To access the stack, use the IP address of any IP  interface that is member of the VLAN. Rebooting Stacked Switches using the ISCLI The administrator can reboot individual switches in the stack, or the entire stack ...
  • Page 215 The Configure > System > Config/Image Control window allows the  administrator to perform a reboot of individual switches in the stack, or the entire  stack. The following table describes the stacking Reboot buttons.  Table 20. Stacking Boot Management buttons Field Description Reboot Stack Performs a software reboot/reset of all switches in the stack.  The software image specified in the Image To Boot drop‐down  list becomes the active image.  Reboot Master Performs a software reboot/reset of the Master switch. The  software image specified in the Image To Boot drop‐down list  becomes the active image.  Reboot Switches Performs a reboot/reset on selected switches in the stack. Select  one or more switches in the drop‐down list, and click Reboot  Switches. The software image specified in the Image To Boot  drop‐down list becomes the active image.  The Update Image/Cfg section of the window applies to the Master. When a new  software image or configuration file is loaded, the file first loads onto the Master,  and the Master pushes the file to all other switches in the stack, placing it in the  same software or configuration bank as that on the Master. For example, if the new  image is loaded into image 1 on the Master switch, the Master will push the same  firmware to image 1 on each Member switch. © Copyright Lenovo 2015 Chapter 14: Stacking...
  • Page 216: Upgrading Software In A Stack

    Upgrading Software in a Stack New Hybrid Stack Use the following procedure to install software on switches that will be used to  form a hybrid stack (two CN4093 and up to six EN4093R switches):  1. Install N/ OS version 8.2 on each switch and reload the switch.  Configure the switches to form a stack. See “Configuring a Stack” on page 209. 3. Reload the switches to establish the stack. Converting a EN4093R Stack to a Hybrid Stack Use the following procedure to install software on a stack of EN4093R switches  that will be combined with CN4093 switches to form a hybrid stack (up to two  CN4093 and up to six EN4093R switches):  1. Install N/ OS version 8.2 on the Master EN4093R switch. 2. Install N/ OS version 8.2 on each CN4093 switch. 3. Reload the switches. 4. Configure stacking on the CN4093 switch(es). The CN4093 must be configured as  the Master of the hybrid stack. Reload the switch(es) to establish the stack.  New Stack Use the following procedure to install software on two CN4093 switches that will  be used to form a stack: 1.
  • Page 217: Replacing Or Removing Stacked Switches

    2. If removing a Master switch, make sure that a Backup switch exists in the stack,  then turn off the Master switch. This will force the Backup switch to assume Master operations for the stack. 3. Remove the stack link cables from the old switch only. 4. Disconnect all network cables from the old switch only. 5. Remove the old switch. Installing the New Switch or Healing the Topology If using a ring topology, but not installing a new switch for the one removed, close  the ring by connecting the open stack links together, essentially bypassing the  removed switch. Otherwise, if replacing the removed switch with a new unit, use the following  procedure: Make sure the new switch meets the stacking requirements on page 202. 2. Place the new switch in its determined place according to the CN4093 10Gb  Converged Scalable Switch Installation Guide. 3. Connect to the ISCLI of the new switch (not the stack interface) 4. Enable stacking:   CN4093(config)# boot stack enable © Copyright Lenovo 2015 Chapter 14: Stacking...
  • Page 218: Binding The New Switch To The Stack

    5. Set the stacking mode. By default, each switch is set to Member mode. However, if the incoming switch  has been used in another stacking configuration, it may be necessary to ensure the  proper mode is set.  If replacing a Member or Backup switch:   CN4093(config)# boot stack mode member  If replacing a Master switch:    CN4093(config)# boot stack mode master 6. Configure the stacking VLAN on the new switch, or use the default setting. Although any VLAN may be defined for stack traffic, it is highly recommended  that the default, VLAN 4090, be reserved for stacking, as shown in the following  command.   CN4093(config)# boot stack vlan 4090 7. Designate the stacking links. Use the following command to specify the links to be used in the stacking trunk:   CN4093(config)# boot stack higig­trunk <list of external port s> 8. Attach the required stack link cables to the designated stack links on the new  switch. 9. Attach the desired network cables to the new switch. 10. Reboot the new switch:   CN4093(config)# reload When the new switch boots, it will join the existing stack. Wait for this process to  complete. Binding the New Switch to the Stack 1. Log in to the stack interface. Note: If replacing the Master switch, be sure to log in to the stack interface (hosted temporarily on the Backup switch) rather than logging in directly to the newly installed Master.
  • Page 219: Iscli Stacking Commands

     show boot stack <asnum>|master|backup|all  show stack attached­switches  show stack backup  show stack dynamic  show stack link  show stack name  show stack path­map [<csnum>]  show stack push­status  show stack switch  show stack switch­number [<csnum>]  show stack version  stack backup <csnum>  stack name <word>  stack switch­number <csnum> bind <asnum>  stack switch­number <csnum> universal­unic­id <uuid> bay <Slot   ID> © Copyright Lenovo 2015 Chapter 14: Stacking...
  • Page 220 CN4093 Application Guide for N/OS 8.2...
  • Page 221: Chapter 15. Virtualization

    For details on this feature, see “Ports and Trunking” on page 131.  Virtual Network Interface Card (vNIC) support Some NICs, such as the Emulex Virtual Fabric Adapter, can virtualize NIC  resources, presenting multiple virtual NICs to the server’s OS or hypervisor.  Each vNIC appears as a regular, independent NIC with some portion of the  physical NIC’s overall bandwidth. N/ OS 8.2 supports up to four vNICs over  each internal switch port. For details on this feature, see “Virtual NICs” on page 223.  Virtual Link Aggregation (VLAGs) With VLAGs, two switches can act as a single logical device for the purpose of  establishing port trunking. Active trunk links from one device can lead to both  VLAG peer switches, providing enhanced redundancy, including active‐active  VRRP configuration. For details on this feature, see “Virtual Link Aggregation Groups” on page 165  VMready The switch’s VMready software makes it virtualization aware. Servers that run  hypervisor software with multiple instances of one or more operating systems  can present each as an independent virtual machine (VM). With VMready, the  switch automatically discovers virtual machines (VMs) connected to switch. For details on this feature, see “VMready” on page 241. Edge Virtual Bridging (QBG)  The 802.1Qbg/Edge Virtual Bridging (EVB) is an emerging IEEE standard for  allowing networks to become virtual machine (VM)‐aware. EVB bridges the gap  between physical and virtual network resources. For details on this feature, see “Edge Virtual Bridging” on page 311. © Copyright Lenovo 2015...
  • Page 222  Unified Fabric Port (UFP) An architecture that logically subdivides a high‐speed physical link connecting  to a server NIC or to a Converged Network Adapter (CNA). UFP provides a  switch fabric component to control the NIC. For details on this feature, see “Unified Fabric Port” on page 323. Lenovo N/OS virtualization features provide a highly‐flexible framework for  allocating and managing switch resources. CN4093 Application Guide for N/OS 8.2...
  • Page 223: Chapter 16. Virtual Nics

    10 Gbps Link with VNIC Hypervisor Multiple Virtual Pipes Lenovo VNIC Switch 2 VNIC INTA1 VNIC VNIC A CN4093 with Lenovo N/OS 8.2 supports the Emulex Virtual Fabric Adapter  (VFA) 2‐port 10Gb LOM and Emulex Virtual Fabric Adapter (Fabric Mezz) for  Lenovo Flex System to provide the following vNIC features: Up to four vNICs are supported on each internal switch port.   Each vNIC can accommodate one of the following traffic types: regular  Ethernet, iSCSI, or Fibre Channel over Ethernet (FCoE).  vNICs with traffic of the same type can be grouped together, along with regular  internal ports, external uplink ports, and trunk groups, to define vNIC groups  for enforcing communication boundaries.  In the case of a failure on the external uplink ports associated with a vNIC  group, the switch can signal affected vNICs for failover while permitting other  vNICs to continue operation.  Each vNIC can be allocated a symmetric percentage of the 10Gbps bandwidth  on the link (from NIC to switch, and from switch to NIC).  The CN4093 can be used as the single point of vNIC configuration. © Copyright Lenovo 2015...
  • Page 224: Vnic Ids

    By default, vNICs are disabled. The administrator can enable vNICs and configure  vNIC features on the switch using the standard management options such as the  Lenovo N/OS CLI, the ISCLI, and the Browser‐based Interface (BBI).  To enable the vNIC feature on the switch, use the following command on the vNIC  Configuration Menu: CN4093(config)# vnic enable Note: The Emulex Virtual Fabric Adapter for Lenovo Flex System can also operate in Physical NIC (PNIC) mode, in which case vNIC features are non-applicable. vNIC IDs vNIC IDs on the Switch Lenovo N/OS 8.2 supports up to four vNICs attached to each internal switch port.  Each vNIC is provided its own independent virtual pipe on the port.
  • Page 225: Vnic Interface Names On The Server

    Emulex Virtual Fabric Adapter (Fabric Mezz), when replacing the LOM card:    Table 22. vNIC ID Correlation PCIe NIC Port Switch Slot vNIC vNIC ID Function ID Pipe First ASIC Bay 1 INTAx.1 Bay 1 INTAx.2 Bay 1 INTAx.3 Bay 1 INTAx.4 Bay 2 INTAx.1 Bay 2 INTAx.2 Bay 2 INTAx.3 Bay 2 INTAx.4 © Copyright Lenovo 2015 Chapter 16: Virtual NICs...
  • Page 226 Table 23. vNIC ID Correlation PCIe NIC Port Switch Slot vNIC vNIC ID Function ID Pipe Second ASIC Bay 1 INTBx.1 Bay 1 INTBx.2 Bay 1 INTBx.3 Bay 1 INTBx.4 Bay 2 INTBx.1 Bay 2 INTBx.2 Bay 2 INTBx.3 Bay 2 INTBx.4 For  Emulex Virtual Fabric Adapter (Fabric Mezz), when adding it with the LOM  Card:     Table 24. vNIC ID Correlation PCIe NIC Port Switch Slot vNIC vNIC ID...
  • Page 227 Table 25. vNIC ID Correlation PCIe NIC Port Switch Slot vNIC vNIC ID Function ID Pipe Bay 3 INTBx.4 Bay 4 INTBx.1 Bay 4 INTBx.2 Bay 4 INTBx.3 Bay 4 INTBx.4 In this, the x in the vNIC ID represents the internal switch port and its  corresponding server node of the vNIC pipe. Each physical NIC port is connected  to a different switch bay in the blade chassis. © Copyright Lenovo 2015 Chapter 16: Virtual NICs...
  • Page 228: Vnic Uplink Modes

    vNIC Uplink Modes The switch supports two modes for configuring the vNIC uplinks: dedicated mode  and shared mode. The default is the dedicated mode. To enable the shared mode,  enter the following command: CN4093(config)# vnic uplink­share In the dedicated mode, only one vNIC group is assigned to an uplink port. This  port can be a regular port or a trunk port. The NIC places an outer tag on the vNIC  group packets. This outer tag contains the vNIC group VLAN. The uplink NIC  strips off the outer tag before sending out the packet. For details, see “vNIC  Groups in Dedicated Mode” on page 232. In the shared mode, multiple vNIC groups can be assigned to an uplink port. This  port can be a regular port or a trunk port. The vNIC groups share the uplink. You  may assign a few vNIC groups to share an uplink and the other vNIC groups to  have a single uplink each. In either case, the switch still operates in shared mode.  As in the dedicated mode, the NIC places an outer tag on the vNIC group packets.  This outer tag contains the vNIC group VLAN. The uplink NIC does not strip off  the outer tag. The vNIC group tag defines the regular VLAN for the packet.This  behavior is particularly useful in cases where the downstream server does not set  any tag. Effectively, each vNIC group is a VLAN, which you can assign by  configuring the VLAN to the vNIC group. You must enable the tag configuration  on the uplink port. For details, see “vNIC Groups in Shared Mode” on page 232. CN4093 Application Guide for N/OS 8.2...
  • Page 229 Do not add a port or trunk to mul‐ Can add a port or trunk to multiple  tiple vNIC groups that are  vNIC groups that are enabled. enabled. Do not configure additional  Can configure additional VLANs on  VLANs on the uplink ports. the uplink ports. An uplink port can only be in one  An uplink port can be in multiple  STG. STGs. When you add a port to a vNIC  When you add a port to a vNIC  group, STP is automatically dis‐ group, STP is automatically disabled. abled.  When you remove a port from a  When you remove a port from a vNIC  vNIC group, STP is automatically  group, STP is automatically reset to  reset to factory default. factory default. Failover An uplink up/event can trigger  An uplink up/event can trigger the  the failover state change only of  failover state change of multiple vNIC  one vNIC group. groups. © Copyright Lenovo 2015 Chapter 16: Virtual NICs...
  • Page 230: Vnic Bandwidth Metering

    Bandwidth Metering Lenovo N/OS 8.2 supports bandwidth metering for vNIC traffic. By default, each  of the four vNICs on any given port is allowed an equal share (25%) of NIC  capacity when enabled. However, you may configure the percentage of available  switch port bandwidth permitted to each vNIC. vNIC bandwidth can be configured as a value from 1 to 100, with each unit  representing 1% (or 100Mbps) of the 10Gbps link. By default, each vNICs enabled  on a port is assigned 25 units (equal to 25% of the link, or 2.5Gbps). When traffic  from the switch to the vNIC reaches its assigned bandwidth limit, the switch will  drop packets egressing to the affected vNIC.  Note: Bandwidth metering drops excess packets when configured limits are reached. Consider using the ETS feature in applications where packet loss is not desirable (see “Enhanced Transmission Selection” on page 309).
  • Page 231: Vnic Groups

     group. Only one individual external port, one static trunk, or one dynamic trunk  (consisting of multiple external ports) may be added to any given vNIC group.  In dedicated mode, for any internal ports, external port, or port trunk group  connected to regular (non‐vNIC) devices: These elements can be placed in only one vNIC group (they cannot be   members of multiple vNIC groups). Once added to a vNIC group, the PVID for the element is automatically set to   use the vNIC group VLAN number, and PVID tagging on the element is  automatically disabled.  By default, STP is disabled on any external port added to a vNIC group. STP can  be re‐enabled on the port if desired.  Because regular, inner VLAN IDs are ignored by the switch for traffic in vNIC  groups, following rules and restrictions apply: The inner VLAN tag may specify any VLAN ID in the full, supported range   (1 to 4095) and may even duplicate outer vNIC group VLAN IDs. However,  in the shared mode, inner VLAN tag and the vNIC group VLAN ID should be  the same. Per‐VLAN IGMP snooping is not supported in vNIC groups.  The inner VLAN tag is not processed in any way in vNIC groups: The inner   tag cannot be stripped or added on port egress, is not used to restrict  multicast traffic, is not matched against ACL filters, and does not influence  Layer 3 switching. © Copyright Lenovo 2015 Chapter 16: Virtual NICs...
  • Page 232 Groups in Dedicated Mode The vNIC group VLAN ID is placed on all vNIC group packets as an “outer” tag.  As shown in Figure 26, the outer vNIC group VLAN ID is placed on the packet in  addition to any regular VLAN tag assigned by the network, server, or hypervisor.  The outer vNIC group VLAN is used only between the CN4093 and the NIC. Figure 26. Outer and Inner VLAN Tags vNIC-Capable Server Ports with Lenovo Switch Ports without vNICs vNICs OS/Hypervisor Regular NIC attached outer Switching uses outer tag; Switch strips VLAN ID vNIC group VLAN ID...
  • Page 233 Outer tag sets vNIC; Ignores regular VLAN outer tag NIC strips outer tag Inbound Packet Within the CN4093, all Layer 2 switching for packets within a vNIC group is based  on the outer vNIC group VLAN. The CN4093 does not consider the regular, inner  VLAN ID (if any) for any VLAN‐specific operation. The outer vNIC group VLAN is not removed by the switch before the packet  egresses any internal port or external uplink port. For untagged packets sent by the  server, the uplink NIC uses this outer tag to switch the packet to destined VLAN. The shared mode is useful is cases where the multiple vNIC groups need to share  an uplink port. The vNIC group tag defines the user VLAN. Following is an use  case: An ESX server is presented with eight vNICs (four from bay 7 and four from bay 9)  used with four virtual switches of the ESX host and with no tagged port groups. A  pair of odd/even vNICs is placed within each virtual switch. On the CN4093, four  vNIC groups are created and the desired VLAN for each vNIC group is  configured. For example, if vNIC group 1 on the CN4093 has four interfaces: 1.1,  2.1, 3.1, 4.1. vNIC group 1 is configured with VLAN 10. Packets coming from any  VM connecting with the virtual switch that VMNIC 2 and 3 (vNIC 1.1, 2.1, 3.1, and  4.1 on bay 7 and bay 9) will be assigned with VLAN 10. These packets go out the  uplink with VLAN 10 tag. The upstream switch sends these packets to the desired  destination on VLAN 10. © Copyright Lenovo 2015 Chapter 16: Virtual NICs...
  • Page 234: Vnic Teaming Failover

    Teaming Failover For NIC failover in a non‐virtualized environment, when a service group’s external  uplink ports fail or are disconnected, the switch disables the affected group’s  internal ports, causing the server to failover to the backup NIC and switch. However, in a virtualized environment, disabling the affected internal ports would  disrupt all vNIC pipes on those ports, not just those that have lost their external  uplinks (see Figure 28). Figure 28. Regular Failover in a Virtualized Environment Primary Lenovo Lenovo Switch Servers Virtual Hypervisor Pipes VNIC vSwitch VNIC VNIC VNIC VM 1 VNIC Group 1 VM 2 EXT1 INTA1 VNIC VNIC VNIC VNIC VNIC...
  • Page 235 VM 4 EXT2 INTA2 VNIC VNIC VNIC VNIC Hypervisor Upon EXT1 link failure, the switch informs the server hypervisor To Backup for failover on affected VNICs only Switch By default, vNIC Teaming Failover is disabled on each vNIC group, but can be  enabled or disabled independently for each vNIC group using the following  commands: CN4093(config)# vnic vnicgroup <group number> CN4093(vnic­group­config)# failover © Copyright Lenovo 2015 Chapter 16: Virtual NICs...
  • Page 236: Vnic Configuration Example

    Configuration Example Consider the following example configuration of vNICs for regular Ethernet  traffic: Figure 30. Multiple vNIC Groups Lenovo Switch 1 Lenovo Servers VNIC VNIC VNIC OS or EXT1 VNIC INTA1 Hypervisor VNIC VNIC To Switch 2 VNIC VNIC Group 1 VNIC VNIC VLAN 1000 VNIC VNIC OS or VNIC...
  • Page 237 CN4093(vnic­group­config)# exit CN4093(config)# vnic vnicgroup 2 CN4093(vnic­group­config)# vlan 1774 CN4093(vnic­group­config)# member INTA1.2 CN4093(vnic­group­config)# member INTA2.2 CN4093(vnic­group­config)# member INTA3.2 vNIC 3.2 is not enabled. Confirm enabling vNIC3.2 [y/n]: y CN4093(vnic­group­config)# port INTA5 CN4093(vnic­group­config)# trunk 1 CN4093(vnic­group­config)# failover CN4093(vnic­group­config)# enable CN4093(vnic­group­config)# exit Once VLAN 1000 and 1774 are configured for vNIC groups, they will not be  available for regular configuration. Note: vNICs are not supported simultaneously on the same switch ports as VMready. © Copyright Lenovo 2015 Chapter 16: Virtual NICs...
  • Page 238: Vnics For Iscsi On Emulex Virtual Fabric Adapter

    Emulex Virtual Fabric Adapter The N/ OS vNIC feature works with standard network applications like iSCSI as  previously described. However, the Emulex Virtual Fabric Adapter for Lenovo  Flex System expects iSCSI traffic to occur only on a single vNIC pipe. When using  the Emulex Adapter 2, only vNIC pipe 2 may participate in iSCSI. To configure the switch for this solution, iSCSI traffic should be placed in its own  vNIC group, comprised of the external uplink port leading to the iSCSI target, and  the related <port>.2 vNIC pipes connected to the participating servers. For  example: 1. Enable the vNIC feature on the switch. CN4093 # vnic enable 2. Configure the virtual pipes for the iSCSI vNICs attached to each internal port: CN4093(config)# vnic port INTA1 index 2 (Select vNIC 2 on the server port) CN4093(vnic_config)# enable  (Enable the vNIC pipe) CN4093(vnic_config)# exit CN4093(config)# vnic port INTA2 index 2(Select vNIC 2 on the server port) CN4093(vnic_config)# enable  (Enable the vNIC pipe) CN4093(vnic_config)# exit CN4093(config)# vnic port INTA3 index 2(Select vNIC 2 on the server port) CN4093(vnic_config)# enable  (Enable the vNIC pipe) CN4093(vnic_config)# exit Note: vNICs are not supported simultaneously on the same switch ports as VMready.
  • Page 239: Vnics For Fcoe Using The Emulex Vfa

    1. The following steps are required as part of the regular FCoE configuration (see  “FIP Snooping Configuration” on page 304): a. Disable the FIP Snooping automatic VLAN creation. b. Disable FIP Snooping on all external ports not used for FCoE. FIP snooping  should be enabled only on ports connected to an FCF or ENode. c. Turn on CEE and FIP Snooping. d. Manually configure the FCoE ports and VLAN: enable VLAN tagging on all  FCoE ports, and place FCoE ports into a supported VLAN. When CEE is turned on and the regular FCoE configuration is complete, FCoE  traffic will be automatically assigned to PFC priority 3, and be initially allocated  50% of port bandwidth via ETS. The following steps are specific to vNIC configuration. 2. On the NIC, ensure that FCoE traffic occurs on vNIC pipe 2 only. Refer to your  Emulex VFA documentation for details. 3. On the switch, enable the vNIC feature. CN4093 # vnic enable 4. (Optional) For additional security, set the desired operation mode for FCoE ports: CN4093(config)# fcoe fips port INT1 fcf­mode off (Select ENode port; Set as ENode connection) CN4093(config)# fcoe fips port EXT4 fcf­mode on (Select FCF port; Set as FCF connection) No additional configuration for vNIC pipes or vNIC groups is required for FCoE.  However, for other networks connected to the switch, appropriate vNIC pipes and  vNIC groups should be configured as normal, if desired. © Copyright Lenovo 2015 Chapter 16: Virtual NICs...
  • Page 240 CN4093 Application Guide for N/OS 8.2...
  • Page 241: Chapter 17. Vmready

    Virtualization is used to allocate server resources based on logical needs, rather  than on strict physical structure. With appropriate hardware and software support,  servers can be virtualized to host multiple instances of operating systems, known  as virtual machines (VMs). Each VM has its own presence on the network and runs  its own service applications. Software known as a hypervisor manages the various virtual entities (VEs) that  reside on the host server: VMs, virtual switches, and so on. Depending on the  virtualization solution, a virtualization management server may be used to  configure and manage multiple hypervisors across the network. With some  solutions, VMs can even migrate between host hypervisors, moving to different  physical hosts while maintaining their virtual identity and services. The Lenovo N/OS 8.2 VMready feature supports up to4096 VEs in a virtualized  data center environment. The switch automatically discovers the VEs attached to  switch ports, and distinguishes between regular VMs, Service Console Interfaces,  ® and Kernel/Management Interfaces in a VMware  environment. VEs may be placed into VM groups on the switch to define communication  boundaries: VEs in the same VM group may communicate with each other, while  VEs in different groups may not. VM groups also allow for configuring group‐level  settings such as virtualization policies and ACLs. The administrator can also pre‐provision VEs by adding their MAC addresses (or  their IPv4 address or VM name in a VMware environment) to a VM group. When a  VE with a pre‐provisioned MAC address becomes connected to the switch, the  switch will automatically apply the appropriate group membership configuration. The CN4093 with VMready also detects the migration of VEs across different  ™ hypervisors. As VEs move, the CN4093 NMotion  feature automatically moves  the appropriate network configuration as well. NMotion gives the switch the  ability to maintain assigned group membership and associated policies, even when  a VE moves to a different port on the switch. VMready also works with VMware Virtual Center (vCenter) management  software. Connecting with a vCenter allows the CN4093 to collect information  about more distant VEs, synchronize switch and VE configuration, and extend  migration properties. © Copyright Lenovo 2015...
  • Page 242: Ve Capacity

    VE Capacity When VMready is enabled, the switch will automatically discover VEs that reside  in hypervisors directly connected on the switch ports. Lenovo N/OS 8.2 supports  up to 4096 VEs. Once this limit is reached, the switch will reject additional VEs. Note: In rare situations, the switch may reject new VEs prior to reaching the supported limit. This can occur when the internal hash corresponding to the new VE is already in use. If this occurs, change the MAC address of the VE and retry the operation.
  • Page 243  key: Add LACP trunks to the group.  optflood: Enable optimized flooding to allow sending unregistered IPMC to   the Mrouter ports without having any packet loss during the learning period;  This option is disabled by default; When optflood is enabled, the flood and cpu  settings are ignored. port: Add switch server ports or switch uplink ports to the group. Note that   VM groups and vNICs (see “Virtual NICs” on page 223) are not supported  simultaneously on the same port. portchannel: Add static port trunks to the group.  profile: The profile options are not applicable to local VM groups. Only   distributed VM groups may use VM profiles (see “VM Profiles” on page 245). stg: The group may be assigned to a Spanning‐Tree group for broadcast loop   control (see“Spanning Tree Protocols” on page 145). tag: Enable VLAN tagging for the VM group. If the VM group contains ports   which also exist in other VM groups, enable tagging in both VM groups. validate: Set validate mode for the group.  vlan: Each VM group must have a unique VLAN number. This is required for   local VM groups. If one is not explicitly configured, the switch will  automatically assign the next unconfigured VLAN when a VE or port is added  to the VM group. © Copyright Lenovo 2015 Chapter 17: VMready...
  • Page 244: Distributed Vm Groups

    vmap: Each VM group may optionally be assigned a VLAN‐based ACL (see   “VLAN Maps” on page 254). vm: Add VMs.  VMs and other VEs are primarily specified by MAC address. They can also be  specified by UUID or by the index number as shown in various VMready  information output (see “VMready Information Displays” on page 256). vport: Add a virtual port.  Add a virtual port to the group. Distributed VM Groups Distributed VM groups allow configuration profiles to be synchronized between  the CN4093 and associated hypervisors and VEs. This allows VE configuration to  be centralized, and provides for more reliable VE migration across hypervisors. Using distributed VM groups requires a virtualization management server. The  management server acts as a central point of access to configure and maintain  multiple hypervisors and their VEs (VMs, virtual switches, and so on). The CN4093 must connect to a virtualization management server before  distributed VM groups can be used. The switch uses this connection to collect  configuration information about associated VEs, and can also automatically push  configuration profiles to the virtualization management server, which in turn  configures the hypervisors and VEs. See “Virtualization Management Servers” on  page 251 for more information. CN4093 Application Guide for N/OS 8.2...
  • Page 245: Vm Profiles

    VLAN, VMs, or port members). Any VM group number currently configured for a local VM group (see “Local VM Groups” on page 242) cannot be converted and must be deleted before it can be used for a distributed VM group. © Copyright Lenovo 2015 Chapter 17: VMready...
  • Page 246: Assigning Members

    Assigning Members VMs, ports, and trunks may be added to the distributed VM group only after the  VM profile is assigned. Group members are added, pre‐provisioned, or removed  from distributed VM groups in the same manner as with local VM groups (“Local  VM Groups” on page 242), with the following exceptions:  VMs: VMs and other VEs are not required to be local. Any VE known by the  virtualization management server can be part of a distributed VM group.  The VM group vlan option (see page 243) cannot be used with distributed VM  groups. For distributed VM groups, the VLAN is assigned in the VM profile. Synchronizing the Configuration When the configuration for a distributed VM group is modified, the switch  updates the assigned virtualization management server. The management server  then distributes changes to the appropriate hypervisors. For VM membership changes, hypervisors modify their internal virtual switch  port groups, adding or removing internal port memberships to enforce the  boundaries defined by the distributed VM groups. Virtual switch port groups  created in this fashion can be identified in the virtual management server by the  name of the VM profile, formatted as follows:  Lenovo_<VM profile name> (or) Lenovo_<VM profile name>_<index number> (for vDS profiles) Using the VM Group command path  (CN4093(config)# virt vmgroup <x> vm) to add a server host interface to a  distributed VM group does not create a new port group on the virtual switch or  move the host. Instead, because the host interface already has its own virtual  switch port group on the hypervisor, the VM profile settings are applied to its  existing port group. Note: When applying the distributed VM group configuration, the virtualization management server and associated hypervisors must take appropriate actions.
  • Page 247: Vmcheck

    The VMcheck solution addresses these security concerns by validating the MAC  addresses assigned to VMs. The switch periodically sends hello messages on server  ports. These messages include the switch identifier and port number. The hypervisor  listens to these messages on physical NICs and stores the information, which can be  retrieved using the VMware Infrastructure Application Programming Interface (VI  API). This information is used to validate VM MAC addresses. Two modes of  validation are available: Basic and Advanced. Use the following command to select the validation mode or to disable validation:    CN4093(config)# [no] virt vmgroup <VM group number> validate  {basic|advanced} Basic Validation This mode provides port‐based validation by identifying the port used by a  hypervisor. It is suitable for environments in which MAC reassignment or  duplication cannot occur. The switch, using the hello message information, identifies a hypervisor port. If the  hypervisor port is found in the hello message information, it is deemed to be a  trusted port. Basic validation should be enabled when:  A VM is added to a VM group, and the MAC address of the VM interface is in  the Layer 2 table of the switch.  A VM interface that belongs to a VM group experiences a “source miss” i.e. is  not able to learn new MAC address.  A trusted port goes down. Port validation must be performed to ensure that the  port does not get connected to an untrusted source when it comes back up. Use the following command to set the action to be performed if the switch is  unable to validate the VM MAC address:    CN4093(config)# virt vmcheck action basic {log|link} log ­ generates a log link ­ disables the port © Copyright Lenovo 2015 Chapter 17: VMready...
  • Page 248 Advanced Validation This mode provides VM‐based validation by mapping a switch port to a VM MAC  address. It is suitable for environments in which spoofing, MAC reassignment, or  MAC duplication is possible. When the switch receives frames from a VM, it first validates the VM interface  based on the VM MAC address, VM Universally Unique Identifier (UUID), Switch  port, and Switch ID available in the hello message information. Only if all the four  parameters are matched, the VM MAC address is considered valid. In advanced validation mode, if the VM MAC address validation fails, an ACL can  be created to drop the traffic received from the VM MAC address on the switch  port. Use the following command to specify the number of ACLs to be used for  dropping traffic:     CN4093(config)# virt vmcheck acls max <1‐256> Use the following command to set the action to be performed if the switch is  unable to validate the VM MAC address:    CN4093(config)# virt vmcheck action advanced {log|link|acl} Following are the other VMcheck commands:     Table 27. VMcheck Commands Command Description CN4093(config)# virt vmware hello {ena| Hello messages setting:  hport <port number>|haddr|htimer} enable/add  port/advertise this IP  address in the hello  messages instead of the  default management IP  address/set the timer to  send the hello messages CN4093(config)# no virt vmware hello  Disable hello  {enable|hport <port number>} messages/remove port CN4093(config)# [no] virt vmcheck  Mark a port as trusted;  trust <port number or range> Use the no form of the ...
  • Page 249: Virtual Distributed Switch

    Note: vDS works with ESX 4.0 or higher versions. To add a vDS, use the command:  CN4093# virt vmware dvswitch add <datacenter name> <dvSwitch name>  [<dvSwitch‐version>] Prerequisites Before adding a vDS on the CN4093, ensure the following: VMware vCenter is fully installed and configured and includes a “bladevm”   administration account and a valid SSL certificate.  A virtual distributed switch instance has been created on the vCenter. The vDS  version must be higher or the same as the hypervisor version on the hosts.  At least two hypervisors are configured.  Guidelines Before migrating VMs to a vDS, consider the following: At any one time, a VM NIC can be associated with only one virtual switch: to the   hypervisor’s virtual switch, or to the vDS. Management connection to the server must be ensured during the migration.   The connection is via the Service Console or the Kernel/Management Interface.  The vDS configuration and migration can be viewed in vCenter at the following  locations: vDS: Home> Inventory > Networking  vDS Hosts: Home > Inventory > Networking > vDS > Hosts  Note: These changes will not be displayed in the running configuration on the  CN4093.  © Copyright Lenovo 2015 Chapter 17: VMready...
  • Page 250: Migrating To Vds

    Migrating to vDS You can migrate VMs to the vDS using vCenter. The migration may also be  accomplished using the operational commands on the CN4093 available in the  following CLI menus:  For VMware vDS operations:     CN4093# virt vmware dvswitch ?  add           Add a dvSwitch to a DataCenter addhost       Add a host to a dvSwitch adduplnk      Add a physical NIC to dvSwitch uplink ports del           Remove a dvSwitch from a DataCenter remhost       Remove a host from a dvSwitch remuplnk      Remove a physical NIC from dvSwitch uplink ports For VMware distributed port group operations:  CN4093# virt vmware dpg ? add           Add a port group to a dvSwitch del           Delete a port group from a dvSwitch update        Update a port group on a dvSwitch vmac          Change a VM NIC's port group CN4093 Application Guide for N/OS 8.2...
  • Page 251: Virtualization Management Servers

    The noauth option causes to the switch to ignores SSL certificate authentication.  This is required when no authoritative SSL certificate is installed on the vCenter. Note: By default, the vCenter includes only a self-signed SSL certificate. If using the default certificate, the noauth option is required. Once the vCenter configuration has been applied on the switch, the CN4093 will  connect to the vCenter to collect VE information. vCenter Scans Once the vCenter is assigned, the switch will periodically scan the vCenter to  collect basic information about all the VEs in the datacenter, and more detailed  information about the local VEs that the switch has discovered attached to its own  ports. © Copyright Lenovo 2015 Chapter 17: VMready...
  • Page 252: Deleting The Vcenter

    The switch completes a vCenter scan approximately every two minutes. Any major  changes made through the vCenter may take up to two minutes to be reflected on  the switch. However, you can force an immediate scan of the vCenter by using one  of the following ISCLI privileged EXEC commands: CN4093# virt vmware scan (Scan the vCenter) ‐or‐ CN4093# show virt vm ­v ­r (Scan vCenter and display result) Deleting the vCenter To detach the vCenter from the switch, use the following configuration command: CN4093(config)# no virt vmware vcspec Note: Without a valid vCenter assigned on the switch, any VE configuration changes must be manually synchronized. Deleting the assigned vCenter prevents synchronizing the configuration between  the CN4093 and VEs. VEs already operating in distributed VM groups will  continue to function as configured, but any changes made to any VM profile or  distributed VM group on the switch will affect only switch operation; changes on  the switch will not be reflected in the vCenter or on the VEs. Likewise, any changes  made to VE configuration on the vCenter will no longer be reflected on the switch. Exporting Profiles VM profiles for discovered VEs in distributed VM groups are automatically  synchronized with the virtual management server and the appropriate ...
  • Page 253: Vmware Operational Commands

    VMware Operational Commands The CN4093 may be used as a central point of configuration for VMware virtual  switches and port groups using the VMware operational menu, available with the  following ISCLI privileged EXEC commands:   CN4093# virt vmware ?  Distributed port group operations dvswitch  VMWare dvSwitch operations  export  Create or update a vm profile on one host  Add a port group to a host scan  Perform a VM Agent scan operation now updpg  Update a port group on a host vmacpg  Change a vnic's port group  Add a vswitch to a host Pre-Provisioning VEs VEs may be manually added to VM groups in advance of being detected on the  switch ports. By pre‐provisioning the MAC address of VEs that are not yet active,  the switch will be able to later recognize the VE when it becomes active on a switch  port, and immediately assign the proper VM group properties without further  configuration. Undiscovered VEs are added to or removed from VM groups using the following  configuration commands: CN4093(config)# [no] virt vmgroup <VM group number> vm <VE MAC address> For the pre‐provisioning of undiscovered VEs, a MAC address is required. Other  identifying properties, such as IPv4 address or VM name permitted for known  VEs, cannot be used for pre‐provisioning. © Copyright Lenovo 2015 Chapter 17: VMready...
  • Page 254: Vlan Maps

    97). In a virtualized environment, VMAPs allow you to  create traffic filtering and metering policies that are associated with a VM group  VLAN, allowing filters to follow VMs as they migrate between hypervisors. VMAPs are configured using the following ISCLI configuration command path: CN4093(config)# access­control vmap <VMAP ID> ?   action         Set filter action   egress­port    Set to filter for packets egressing this port   ethernet       Ethernet header options   ipv4           IP version 4 header options   meter          ACL metering configuration   packet­format  Set to filter specific packet format types   re­mark        ACL re­mark configuration   statistics     Enable access control list statistics   tcp­udp        TCP and UDP filtering options Lenovo N/OS 8.2 supports up to 128 VMAPs. Individual VMAP filters are  configured in the same fashion as regular ACLs, except that VLANs cannot be  specified as a filtering criteria (unnecessary, since VMAPs are assigned to a specific  VLAN or associated with a VM group VLAN). Once a VMAP filter is created, it can be assigned or removed using the following  commands:  For regular VLANs, use config‐vlan mode: CN4093(config)# vlan <VLAN ID> CN4093(config­vlan)# [no] vmap <VMAP ID> [intports| extports]  For a VM group, use the global configuration mode: CN4093(config)# [no] virt vmgroup <ID> vmap <VMAP ID>  [intports|extports] Note: Each VMAP can be assigned to only one VLAN or VM group. However, each VLAN or VM group may have multiple VMAPs assigned to it.
  • Page 255: Vm Policy Bandwidth Control

    VM Policy Bandwidth Control Commands VM Policy Bandwidth Control can be configured using the following configuration  commands: CN4093(config)# virt vmpolicy vmbwidth <VM MAC>|<index>|<UUID>|  <IPv4 address>|<name> ? (Set the VM to switch rate) txrate <committed rate> <burst> [<ACL number>] (Set the VM received bandwidth) rxrate <committed rate> <burst>  (Enable bandwidth control) bwctrl Bandwidth allocation can be defined either for transmit (TX) traffic or receive (RX)  traffic. Because bandwidth allocation is specified from the perspective of the VE,  the switch command for TX Rate Control (txrate) sets the data rate to be sent  from the VM to the switch, and the RX Rate Control (rxrate) sets the data rate to  be received by the VM from the switch. The committed rate is specified in multiples of 64 kbps, from 64 to 40,000,000. The  maximum burst rate is specified as 32, 64, 128, 256, 1024, 2048, or 4096 kb. If both  the committed rate and burst are set to 0, bandwidth control in that direction (TX  or RX) will be disabled. When txrate is specified, the switch automatically selects an available ACL for  internal use with bandwidth control. Optionally, if automatic ACL selection is not  desired, a specific ACL may be selected. If there are no unassigned ACLs available,  txrate cannot be configured. © Copyright Lenovo 2015 Chapter 17: VMready...
  • Page 256: Bandwidth Policies Vs. Bandwidth Shaping

    Bandwidth Policies vs. Bandwidth Shaping VM Profile Bandwidth Shaping differs from VM Policy Bandwidth Control. VM Profile Bandwidth Shaping (see “VM Profiles” on page 245) is configured per  VM group and is enforced on the server by a virtual switch in the hypervisor.  Shaping is unidirectional and limits traffic transmitted from the virtual switch to  the CN4093. Shaping is performed prior to transmit VM Policy Bandwidth  Control. If the egress traffic for a virtual switch port group exceeds shaping  parameters, the traffic is dropped by the virtual switch in the hypervisor. Shaping  uses server CPU resources, but prevents extra traffic from consuming bandwidth  between the server and the CN4093. VM Policy Bandwidth Control is configured per VE, and can be set independently  for transmit and receive traffic. Bandwidth policies are enforced by the CN4093.  VE traffic that exceeds configured levels is dropped by the switch upon ingress (for  txrate) or before egress (for rxrate). Setting txrate uses ACL resources on the  switch. Bandwidth shaping and bandwidth policies can be used separately or in concert. VMready Information Displays The CN4093 can be used to display a variety of VMready information. Note: Some displays depict information collected from scans of a VMware vCenter and may not be available without a valid vCenter. If a vCenter is assigned (see “Assigning a vCenter”...
  • Page 257  5     00:50:56:9c:00:c8  quark                 4          vSwitch0        172.16.46.25       @172.16.46.10       0             Corp  6     00:50:56:9c:29:29  particle              3          vSwitch0        172.16.46.35       @172.16.46.50       0             VM Network  7     00:50:56:9c:47:fd  nucleus               3          vSwitch0        172.16.46.45       @172.16.46.50       0             Finance ­­ 12 of 12 entries printed * indicates VMware ESX Service Console Interface + indicates VMware ESX/ESXi VMkernel or Management Interface To view additional detail regarding any specific VE, see “vCenter VE Details” on  page 259). vCenter Hypervisor Hosts If a vCenter is available, the following ISCLI privileged EXEC command displays  the name and UUID of all VMware hosts, providing an essential overview of the  data center: CN4093# show virt vmware hosts UUID                                  Name(s), IP Address ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ 00a42681­d0e5­5910­a0bf­bd23bd3f7800  172.16.41.30 002e063c­153c­dd11­8b32­a78dd1909a00  172.16.46.10 00f1fe30­143c­dd11­84f2­a8ba2cd7ae00  172.16.44.50 0018938e­143c­dd11­9f7a­d8defa4b8300  172.16.46.20 © Copyright Lenovo 2015 Chapter 17: VMready...
  • Page 258 Using the following command, the administrator can view more detailed vCenter  host information, including a list of virtual switches and their port groups, as well  as details for all associated VEs: CN4093# show virt vmware showhost {<UUID>|<IPv4 address>|<host name>} Vswitches available on the host:               vSwitch0 Port Groups and their Vswitches on the host:               BNT_Default                   vSwitch0               VM Network                    vSwitch0               Service Console               vSwitch0               VMkernel                      vSwitch0 ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ MAC Address         00:50:56:9c:21:2f Port                4 Type                Virtual Machine VM vCenter Name     halibut VM OS hostname      localhost.localdomain VM IP Address       172.16.46.15 VM UUID             001c41f3­ccd8­94bb­1b94­6b94b03b9200 Current VM Host     172.16.46.10 Vswitch             vSwitch0 Port Group          BNT_Default VLAN ID             0 vCenter VEs If a vCenter is available, the following ISCLI privileged EXEC command displays a  list of all known VEs: CN4093# show virt vmware vms UUID                                  Name(s), IP Address ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ 001cdf1d­863a­fa5e­58c0­d197ed3e3300  30vm1 001c1fba­5483­863f­de04­4953b5caa700  VM90 001c0441­c9ed­184c­7030­d6a6bc9b4d00  VM91 001cc06e­393b­a36b­2da9­c71098d9a700  vm_new 001c6384­f764­983c­83e3­e94fc78f2c00  sturgeon 001c7434­6bf9­52bd­c48c­a410da0c2300 ...
  • Page 259: Vmready Configuration Example

    Port Group          BNT_Default VLAN ID             0 VMready Configuration Example This example has the following characteristics:  A VMware vCenter is fully installed and configured prior to VMready configura‐ tion and includes a “bladevm” administration account and a valid SSL certifi‐ cate. The distributed VM group model is used.   The VM profile named “Finance” is configured for VLAN 30, and specifies  NIC‐to‐switch bandwidth shaping for 1Mbps average bandwidth, 2MB bursts,  and 3Mbps maximum bandwidth.  The VM group includes four discovered VMs on internal switch ports INT1A  and INT2A, and one static trunk (previously configured) that includes external  ports EXT2 and EXT2. 1. Enable the VMready feature. CN4093(config)# virt enable 2. Specify the VMware vCenter IPv4 address. CN4093(config)# virt vmware vmware vcspec 172.16.100.1 bladevm When prompted, enter the user password that the switch must use for access to the  vCenter. 3. Create the VM profile. CN4093(config)# virt vmprofile Finance CN4093(config)# virt vmprofile edit Finance vlan 30 CN4093(config)# virt vmprofile edit Finance shaping 1000 2000 3000 © Copyright Lenovo 2015 Chapter 17: VMready...
  • Page 260 4. Define the VM group. CN4093(config)# virt vmgroup 1 profile Finance CN4093(config)# virt vmgroup 1 vm arctic CN4093(config)# virt vmgroup 1 vm monster CN4093(config)# virt vmgroup 1 vm sierra CN4093(config)# virt vmgroup 1 vm 00:50:56:4f:f2:00 CN4093(config)# virt vmgroup 1 portchannel 1 When VMs are added, the internal server ports on which they appear are  automatically added to the VM group. In this example, there is no need to  manually add ports EXT1 and EXT2. 5. If necessary, enable VLAN tagging for the VM group: CN4093(config)# virt vmgroup 1 tag Note: If the VM group contains ports which also exist in other VM groups, tagging should be enabled in both VM groups. In this example configuration, no ports exist in more than VM group.
  • Page 261: Chapter 18. Fcoe And Cee

     “Converged Enhanced Ethernet” on page 265 Converged Enhanced Ethernet (CEE) refers to a set of IEEE standards developed  primarily to enable FCoE, requiring enhancing the existing Ethernet standards  to make them lossless on a per‐priority traffic basis, and providing a mechanism  to carry converged (LAN/SAN/IPC) traffic on a single physical link. CEE  features can also be utilized in traditional LAN (non‐FCoE) networks to provide  lossless guarantees on a per‐priority basis, and to provide efficient bandwidth  allocation. “Priority‐Based Flow Control” on page 274  Priority‐Based Flow Control (PFC) extends 802.3x standard flow control to  allow the switch to pause traffic based on the 802.1p priority value in each  packet’s VLAN tag. PFC is vital for FCoE environments, where SAN traffic  must remain lossless and must be paused during congestion, while LAN  traffic on the same links is delivered with “best effort” characteristics. “Enhanced Transmission Selection” on page 278  Enhanced Transmission Selection (ETS) provides a method for allocating link  bandwidth based on the 802.1p priority value in each packet’s VLAN tag.  Using ETS, different types of traffic (such as LAN, SAN, and management)  that are sensitive to different handling criteria can be configured either for  specific bandwidth characteristics, low‐latency, or best‐effort transmission,  despite sharing converged links as in an FCoE environment. “Data Center Bridging Capability Exchange” on page 284  Data Center Bridging Capability Exchange Protocol (DCBX) allows  neighboring network devices to exchange information about their  capabilities. This is used between CEE‐capable devices for the purpose of  discovering their peers, negotiating peer configurations, and detecting  misconfigurations. © Copyright Lenovo 2015...
  • Page 262: Fibre Channel Over Ethernet

    Figure 31. A Mixed Fibre Channel and FCoE Network   FCoE Fibre 802.1p Priority & Usage EXT22 INTA1 Channel 3 FCoE Applications Switch 802.1p Priority & Usage Ethernet INTA2 EXT1 Business-Critical LAN Lenovo Chassis Servers In Figure 31 on page 262, the FCoE network is connected to the Fibre Channel  network through an FCoE Forwarder (FCF). The FCF acts as a Fibre Channel  gateway to and from the multi‐hop FCoE network. A full‐fabric FC/FCoE switch or  a Fibre Channel Node Port Virtualized (NPV) switch may perform the FCF  function. Although it may be possible to use an external FCF device, this chapter  focuses on using the built‐in Fibre Channel features of the CN4093 itself. CN4093 Application Guide for N/OS 8.2...
  • Page 263: Fcoe Requirements

    FCoE Requirements The following are required for implementing FCoE using the Lenovo Flex System  Fabric CN4093 10Gb Converged Scalable Switch (CN4093) with N/ OS 8.2  software:  The CN4093 must be connected to the Fibre Channel network using the switch’s  built‐in Fibre Channel features (see “Fibre Channel” on page 291), or an external  FCF device such as another CN4093 switch or a Cisco Nexus 5000 Series Switch.  For each CN4093 internal port participating in FCoE, the connected blade server  must use the supported FCoE CNA. Emulex Virtual Fabric Adapters (VFAs) for  Lenovo Flex System, which includes vNIC support, is currently a supported.  For each CN4093 internal port participating in FCoE, the connected blade server  must include the appropriate FCoE licenses installed, as obtained using the  Lenovo website Features on Demand (FoD) service. Contact your sales represen‐ tative for more information on obtaining server feature licenses. CEE must be turned on (see “Turning CEE On or Off” on page 265). When CEE is   on, the DCBX, PFC, and ETS features are enabled and configured with default  FCoE settings. These features may be reconfigured, but must remain enabled in  order for FCoE to function. FIP snooping must be turned on (see “FCoE Initialization Protocol Snooping” on   page 268). When FIP snooping is turned on, the feature is enabled on all ports by  default. The administrator can disable FIP snooping on individual ports that do  not require FCoE, but FIP snooping must remain enabled on all FCoE ports in  order for FCoE to function. © Copyright Lenovo 2015 Chapter 18: FCoE and CEE...
  • Page 264: Port Trunking

    Port Trunking Lenovo N/OS 8.2 supports port trunking for FCoE connections. The Link  Aggregation (LAG) can be used for separate FCoE traffic, or for Ethernet and FCoE  traffic. FCoE and Ethernet traffic can co‐exist within the same trunk (ports). By  default, FCoE servers (CNA/HBA) do not support trunk, while Ethernet  (NIC/CNA) are trunk capable.  Uplink ports, connected to the FCF, can be grouped as static or dynamic trunks. Internal ports cannot be grouped as trunks. Normal trunk operations such as creating/enabling the trunk, and  adding/removing member ports can be performed. When a port is added to a  trunk group, FCFs previously detected on the port will be deleted. The deleted FCF  may be relearned later. However, this may cause flickering in the network traffic.  Priority‐based Flow Control (PFC), and Data Center Bridging Exchange (DCBX)  are configured on a per‐port basis. Each port in a trunk must have the same PFC,  and DCBX configuration. When a port ceases to be the trunk group member, its  configuration does not change. CN4093 Application Guide for N/OS 8.2...
  • Page 265: Converged Enhanced Ethernet

    Although CEE standards were designed with FCoE in mind, they are not limited to  FCoE installations. CEE features can be utilized in traditional LAN (non‐FCoE)  networks to provide lossless guarantees on a per‐priority basis, and to provide  efficient bandwidth allocation based on application needs. Turning CEE On or Off By default on the CN4093, CEE is turned off. To turn CEE on or off, use the  following ISCLI configuration mode commands: CN4093(config)# [no] cee enable CAUTION: Turning CEE on will automatically change some 802.1p QoS and 802.3x standard  flow control settings on the CN4093. Read the following material carefully to  determine whether you will need to take action to reconfigure expected settings. It is recommended that you backup your configuration prior to turning CEE on.  Viewing the file will allow you to manually re‐create the equivalent  configuration once CEE is turned on, and will also allow you to recover your  prior configuration if you need to turn CEE off. Effects on Link Layer Discovery Protocol When CEE is turned on, Link Layer Discovery Protocol (LLDP) is automatically  turned on and enabled for receiving and transmitting DCBX information. LLDP  cannot be turned off while CEE is turned on. © Copyright Lenovo 2015 Chapter 18: FCoE and CEE...
  • Page 266: Effects On 802.1P Quality Of Service

    Effects on 802.1p Quality of Service While CEE is off (the default), the CN4093 allows 802.1p priority values to be used  for Quality of Service (QoS) configuration (see “Quality of Service” on page 185).  802.1p QoS default settings are shown in Table 28 on page 266, but can be changed  by th