Download Print this page

Lenovo ThinkSystem NE2552E Application Manual

Flex switch lenovo enterprise network operating system 8.4
Hide thumbs

Advertisement

Quick Links

Lenovo ThinkSystem NE2552E Flex Switch
Application Guide
For Lenovo Enterprise Network Operating System 8.4

Advertisement

loading

  Also See for Lenovo ThinkSystem NE2552E

  Related Manuals for Lenovo ThinkSystem NE2552E

  Summary of Contents for Lenovo ThinkSystem NE2552E

  • Page 1 Lenovo ThinkSystem NE2552E Flex Switch Application Guide For Lenovo Enterprise Network Operating System 8.4...
  • Page 2 Note:  Before using this information and the product it supports, read the general information in the  Safety information and Environmental Notices and User Guide documents on the Lenovo Documentation CD  and the Warranty Information document that comes with the product. Third Edition (August 2018) © Copyright Lenovo 2018 Portions © Copyright IBM Corporation 2014. LIMITED AND RESTRICTED RIGHTS NOTICE: If data or software is delivered pursuant a General  Services Administration “GSA” contract, use, reproduction, or disclosure is subject to restrictions set  forth in Contract No. GS‐35F‐05925. Lenovo and the Lenovo logo are trademarks of Lenovo in the United States, other countries, or both.
  • Page 3: Table Of Contents

    Browser‐Based Interface  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .31 Establishing a Connection  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .32 Using the Chassis Management Module  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .32 Factory‐Default vs. CMM‐Assigned IP Addresses  .   .   .   .   .   .   .   .   .   .32 Using Telnet  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .33 Using Secure Shell.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .33 Using SSH with Password Authentication    .   .   .   .   .   .   .   .   .   .   .   .   .34 Using SSH with Public Key Authentication  .   .   .   .   .   .   .   .   .   .   .   .   .34 Using a Web Browser   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .35 Configuring HTTP Access to the BBI .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .35 Configuring HTTPS Access to the BBI   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .36 BBI Summary .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .37 Using Simple Network Management Protocol.   .   .   .   .   .   .   .   .   .   .   .   .   .38 BOOTP/DHCP Client IP Address Services  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .39 Host Name Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .39 SYSLOG Server .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .40 DHCP Snooping   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .40 Easy Connect Wizard  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .41 Configuring the Easy Connect Wizard .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .41 Basic System Mode Configuration Example .   .   .   .   .   .   .   .   .   .   .   .   .42 Transparent Mode Configuration Example  .   .   .   .   .   .   .   .   .   .   .   .   .43 Redundant Mode Configuration Example    .   .   .   .   .   .   .   .   .   .   .   .   .44 Switch Login Levels .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .46 Administrator Password Recovery   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .48 Secure FTP.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .50 © Copyright Lenovo 2018...
  • Page 4 Boot Strict Mode  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 51 Acceptable Cipher Suites    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 54 Configuring Strict Mode .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 55 Limitations.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 55 Configuring No‐Prompt Mode .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 56 Chapter 2. Initial Setup ..... 57 Information Needed for Setup  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 58 Default Setup Options    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .
  • Page 5 Chapter 5. Authentication & Authorization Protocols ..99 RADIUS Authentication and Authorization   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  100 How RADIUS Authentication Works   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  100 Configuring RADIUS on the Switch  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  101 RADIUS Authentication Features in Lenovo ENOS   .   .   .   .   .   .   .   .   .   .  101 Switch User Accounts  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  102 RADIUS Attributes for Lenovo ENOS User Privileges  .   .   .   .   .   .   .   .   .  103 TACACS+ Authentication  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  104 How TACACS+ Authentication Works.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  104 TACACS+ Authentication Features in Lenovo ENOS    .   .   .   .   .   .   .   .   .  105 Authorization .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  105 Local Access   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  106 Accounting .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  106 Command Authorization and Logging .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  107 TACACS+ Password Change  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  109 Configuring TACACS+ Authentication on the Switch   .   .   .   .   .   .   .   .   .  109 LDAP Authentication and Authorization    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  110 Configuring the LDAP Server.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  110 Configuring LDAP Authentication on the Switch  .   .   .   .   .   .   .   .   .   .   .  111 © Copyright Lenovo 2018 Contents...
  • Page 6 Chapter 6. 802.1X Port-Based Network Access Control ..113 Extensible Authentication Protocol over LAN   .   .   .   .   .   .   .   .   .   .   .   .   .   .   114 EAPoL Authentication Process  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   115 EAPoL Message Exchange  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   116 EAPoL Port States    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   116 Guest VLAN.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   117 Supported RADIUS Attributes .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   118 EAPoL Configuration Guidelines .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   120 Chapter 7. Access Control Lists....121 Summary of Packet Classifiers  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 7 Chapter 10. Spanning Tree Protocols....173 Spanning Tree Protocol Modes  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  174 Global STP Control   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  174 PVRST Mode.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  175 Port States  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  175 Bridge Protocol Data Units .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  176 Determining the Path for Forwarding BPDUs  .   .   .   .   .   .   .   .   .   .   .  176 Bridge Priority   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  176 Port Priority    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  177 Root Guard .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  177 Loop Guard.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  177 Port Path Cost.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  178 Simple STP Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  178 Per‐VLAN Spanning Tree Groups .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  180 Using Multiple STGs to Eliminate False Loops.   .   .   .   .   .   .   .   .   .   .  180 VLAN and STG Assignment   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  181 Manually Assigning STGs    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  182 Guidelines for Creating VLANs  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  182 Rules for VLAN Tagged Ports .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  182 Adding and Removing Ports from STGs   .   .   .   .   .   .   .   .   .   .   .   .   .  183 Switch‐Centric Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  184 Configuring Multiple STGs .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  185 © Copyright Lenovo 2018 Contents...
  • Page 8 Rapid Spanning Tree Protocol  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   187 Port States  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   187 RSTP Configuration Guidelines .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   187 RSTP Configuration Example.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   188 Multiple Spanning Tree Protocol  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   189 MSTP Region.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   189 Common Internal Spanning Tree  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   189 MSTP Configuration Guidelines   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   190 MSTP Configuration Examples .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   190 MSTP Configuration Example 1 .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   190 MSTP Configuration Example 2 .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   191 Port Type and Link Type   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   193 Edge/Portfast Port    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   193 Link Type  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   193 Chapter 11. Virtual Link Aggregation Groups ... . 195 VLAG Capacities .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 9 Port Aggregation  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  250 Global FIP Snooping Settings .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  250 FIP Snooping for Specific Ports  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  251 FIPS LAG Support on Server Ports    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  251 Port FCF and ENode Detection  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  252 FCoE Connection Timeout  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  252 FCoE ACL Rules   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  252 FCoE VLANs .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  253 Viewing FIP Snooping Information   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  253 Operational Commands  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  254 FIP Snooping Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  255 Priority‐Based Flow Control  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  256 Global vs. Port‐by‐Port PFC Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .  257 PFC Configuration Example   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  258 Enhanced Transmission Selection .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  260 802.1p Priority Values  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  260 Priority Groups .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  261 PGID    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  261 Assigning Priority Values to a Priority Group .   .   .   .   .   .   .   .   .   .   .  262 Deleting a Priority Group.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  262 Allocating Bandwidth   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  262 Configuring ETS   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  264 © Copyright Lenovo 2018 Contents...
  • Page 10 Data Center Bridging Capability Exchange.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   266 DCBX Settings  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   266 Enabling and Disabling DCBX    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   267 Peer Configuration Negotiation .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   267 Configuring DCBX   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   268 FCoE Example Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   270 Chapter 16. Static Multicast ARP ....273 Configuring Static Multicast ARP.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   274 Configuration Example   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   274 Limitations   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 11 Supported Applications  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  334 IPv6 Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  336 Configuration Guidelines    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  336 IPv6 Configuration Examples .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  336 IPv6 Configuration Example 1.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  336 IPv6 Configuration Example 2.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  337 Chapter 23. Using IPsec with IPv6 ....339 IPsec Protocols  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  340 © Copyright Lenovo 2018 Contents...
  • Page 12 Using IPsec with the NE2552E  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   341 Setting up Authentication   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   342 Creating an IKEv2 Proposal    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   342 Importing an IKEv2 Digital Certificate .   .   .   .   .   .   .   .   .   .   .   .   .   .   343 Generating a Certificate Signing Request .   .   .   .   .   .   .   .   .   .   .   .   .   343 Generating an IKEv2 Digital Certificate    .   .   .   .   .   .   .   .   .   .   .   .   .   345 Enabling IKEv2 Preshared Key Authentication   .   .   .   .   .   .   .   .   .   .   346 Setting Up a Key Policy   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   346 Using a Manual Key Policy.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   348 Using a Dynamic Key Policy  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   350 Chapter 24. Routing Information Protocol ... . . 351 Distance Vector Protocol    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 13 Internal Versus External Routing   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  393 OSPFv2 Implementation in Lenovo ENOS  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  394 Configurable Parameters .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  394 Defining Areas  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  395 Assigning the Area Index .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  395 Using the Area ID to Assign the OSPF Area Number .   .   .   .   .   .   .   .  396 Attaching an Area to a Network .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  396 Interface Cost .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  397 Electing the Designated Router and Backup    .   .   .   .   .   .   .   .   .   .   .   .   .  397 Summarizing Routes    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  397 Default Routes   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  398 Virtual Links  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  399 Router ID    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  399 Authentication  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  400 Configuring Plain Text OSPF Passwords  .   .   .   .   .   .   .   .   .   .   .   .   .  401 Configuring MD5 Authentication   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  402 Host Routes for Load Balancing .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  403 Loopback Interfaces in OSPF  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  403 OSPF Features Not Supported    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  404 © Copyright Lenovo 2018 Contents...
  • Page 14 Example 1: Simple OSPF Domain .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   405 Example 2: Virtual Links .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   407 Configuring OSPF for a Virtual Link on Switch #1 .   .   .   .   .   .   .   .   .   407 Configuring OSPF for a Virtual Link on Switch #2 .   .   .   .   .   .   .   .   .   408 Other Virtual Link Options .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   410 Example 3: Summarizing Routes   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   410 Verifying OSPF Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   412 OSPFv3 Implementation in Lenovo ENOS .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   413 OSPFv3 Differences from OSPFv2.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   413 OSPFv3 Requires IPv6 Interfaces   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   413 OSPFv3 Uses Independent Command Paths   .   .   .   .   .   .   .   .   .   .   .   413 OSPFv3 Identifies Neighbors by Router ID  .   .   .   .   .   .   .   .   .   .   .   .   413 Other Internal Improvements .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   414 OSPFv3 Limitations .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   414 OSPFv3 Configuration Example    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   414 Neighbor Configuration Example  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 15 Part 7:. Network Management ....461 Chapter 33. Link Layer Discovery Protocol ... . . 463 LLDP Overview   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  464 © Copyright Lenovo 2018 Contents...
  • Page 16 Enabling or Disabling LLDP  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   465 Global LLDP Setting    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   465 Transmit and Receive Control   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   465 LLDP Transmit Features.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   466 Scheduled Interval   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   466 Minimum Interval    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   466 Time‐to‐Live for Transmitted Information  .   .   .   .   .   .   .   .   .   .   .   .   .   .   467 Trap Notifications    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   467 Changing the LLDP Transmit State  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   468 Types of Information Transmitted.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   469 LLDP Receive Features   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   471 Types of Information Received  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   471 Viewing Remote Device Information   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   471 Time‐to‐Live for Received Information    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   474 LLDP Example Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   475 Chapter 34. Simple Network Management Protocol..477 SNMP Version 1  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 17 Alarm Example 2   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  542 RMON Group 9–Events  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  543 Chapter 39. sFLOW ..... . . 545 sFlow Statistical Counters  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  545 sFlow Network Sampling   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  545 sFlow Example Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  546 © Copyright Lenovo 2018 Contents...
  • Page 18 Chapter 40. Port Mirroring ....547 Port Mirroring Behavior .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   548 Configuring Port Mirroring    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   548 Part 9:. Appendices ..... . . 549 Appendix A.
  • Page 19: Preface

    Preface The Lenovo ThinkSystem NE2552E Flex Switch Application Guide describes how to  configure and use the Lenovo ENOS 8.4 software on the Lenovo ThinkSystem  NE2552E Flex Switch (referred to as NE2552E throughout this document). For documentation about installing the switch physically, see the Installation Guide  for your NE2552E. © Copyright Lenovo 2018...
  • Page 20: Who Should Use This Guide

    Who Should Use This Guide This guide is intended for network installers and system administrators engaged in  configuring and maintaining a network. The administrator should be familiar with  Ethernet concepts, IP addressing, Spanning Tree Protocol, and SNMP  configuration parameters. NE2552E Application Guide for ENOS 8.4...
  • Page 21: What You'll Find In This Guide

     Chapter 5, “Authentication & Authorization Protocols,” describes different  secure administration for remote administrators. This includes using Remote  Authentication Dial‐in User Service (RADIUS), as well as TACACS+ and LDAP.  Chapter 6, “802.1X Port‐Based Network Access Control,” describes how to  authenticate devices attached to a LAN port that has point‐to‐point connection  characteristics. This feature prevents access to ports that fail authentication and  authorization and provides security to ports of the NE2552E that connect to  blade servers.  Chapter 7, “Access Control Lists,” describes how to use filters to permit or deny  specific types of traffic, based on a variety of source, destination, and packet  attributes. Part 3: Switch Basics  Chapter 8, “VLANs,” describes how to configure Virtual Local Area Networks  (VLANs) for creating separate network segments, including how to use VLAN  tagging for devices that use multiple VLANs. This chapter also describes  Protocol‐based VLANs, and Private VLANs.  Chapter 9, “Ports and Link Aggregation (LAG),” describes how to group  multiple physical ports together to aggregate the bandwidth between  large‐scale network devices. © Copyright Lenovo 2018 Preface...
  • Page 22: Part 4: Advanced Switching Features

     Chapter 10, “Spanning Tree Protocols,” discusses how Spanning Tree Protocol  (STP) configures the network so that the switch selects the most efficient path  when multiple paths exist. Also includes the Rapid Spanning Tree Protocol  (RSTP), Per‐VLAN Rapid Spanning Tree Plus (PVRST+), and Multiple Spanning  Tree Protocol (MSTP) extensions to STP.  Chapter 11, “Virtual Link Aggregation Groups,” describes using Virtual Link  Aggregation Groups (vLAG) to form LAGs spanning multiple vLAG‐capable  aggregator switches.  Chapter 12, “Quality of Service,” discusses Quality of Service (QoS) features,  including IP filtering using Access Control Lists (ACLs), Differentiated Services,  and IEEE 802.1p priority values.  Chapter 13, “Precision Time Protocol,” describes the precision clock  synchronization protocol for networked measurement and control systems. Part 4: Advanced Switching Features  Chapter 14, “Virtualization,” provides an overview of allocating resources  based on the logical needs of the data center, rather than on the strict, physical  nature of components. Chapter 15, “Fibre Channel over Ethernet,” discusses using various Converged   Enhanced Ethernet (CEE) features such as Priority‐based Flow Control (PFC),  Enhanced Transmission Selection (ETS) and FIP Snooping for solutions such as  Fibre Channel over Ethernet (FCoE).  Chapter 16, “Static Multicast ARP,” discusses the configuration of a static ARP  entry with multicast MAC address for Microsoft’s Network Load Balancing ...
  • Page 23: Part 6: High Availability Fundamentals

    Chapter 30, “Basic Redundancy,” describes how the NE2552E supports   redundancy through aggregation and Hotlinks.  Chapter 31, “Layer 2 Failover,” describes how the NE2552E supports   high‐availability network topologies using Layer 2 Failover.  Chapter 32, “Virtual Router Redundancy Protocol,” describes how the NE2552E  supports high‐availability network topologies using Virtual Router Redundancy  Protocol (VRRP). Part 7: Network Management  Chapter 33, “Link Layer Discovery Protocol,” describes how Link Layer  Discovery Protocol helps neighboring network devices learn about each others’  ports and capabilities.  Chapter 34, “Simple Network Management Protocol,” describes how to  configure the switch for management through an SNMP client.  Chapter 35, “Service Location Protocol,” describes the Service Location Protocol  (SLP) that allows the switch to provide dynamic directory services.  Chapter 36, “NETCONF,” describes how to manage the G8264 using the  Network Configuration Protocol (NETCONF), a mechanism based on the  Extensible Markup Language (XML). © Copyright Lenovo 2018 Preface...
  • Page 24: Part 8: Monitoring

    Part 8: Monitoring  Chapter 38, “Remote Monitoring,” describes how to configure the RMON agent  on the switch, so that the switch can exchange network monitoring data.  Chapter 40, “Port Mirroring,” discusses tools how copy selected port traffic to a  monitor port for network analysis. Part 9: Appendices Appendix A, “Glossary,” describes common terms and concepts used   throughout this guide.  Appendix B, “Getting help and technical assistance,” describes how to get help.   Appendix C, “Notices,” provides trademark and other compliance information.  NE2552E Application Guide for ENOS 8.4...
  • Page 25: Additional References

    Additional References Additional information about installing and configuring the NE2552E is available  in the following guides:  Lenovo ThinkSystem NE2552E Flex Switch Installation Guide Lenovo ThinkSystem NE2552E Flex Switch Command Reference for Lenovo Network   Operating System 8.4 © Copyright Lenovo 2018 Preface...
  • Page 26: Typographic Conventions

    Typographic Conventions The following table describes the typographic styles used in this book. Table 1. Typographic Conventions Typeface or Meaning Example Symbol ABC123 This type is used for names of  View the readme.txt file. commands, files, and directories  used within the text. Main# It also depicts on‐screen computer  output and prompts. ABC123 Main# sys This bold type appears in  command examples. It shows text  that must be typed in exactly as  shown. <ABC123> This italicized type appears in  To establish a Telnet session,  command examples as a  enter: host# telnet <IP address> parameter placeholder. Replace  the indicated text with the  appropriate real name or value  when using the command. Do not  type the brackets. This also shows book titles,  Read your User’s Guide ...
  • Page 27: Part 1: Getting Started

    Part 1: Getting Started © Copyright Lenovo 2018...
  • Page 28 NE2552E Application Guide for ENOS 8.4...
  • Page 29: Chapter 1. Switch Administration

    Chapter 1. Switch Administration Your NE2552E Flex Switch is ready to perform basic switching functions right out  of the box. Some of the more advanced features, however, require some  administrative configuration before they can be used effectively. The extensive Lenovo ENOS switching software included in the NE2552E provides  a variety of options for accessing the switch to perform configuration, and to view  switch information and statistics. This chapter discusses the various methods that can be used to administer the  switch. © Copyright Lenovo 2018...
  • Page 30: Administration Interfaces

     The Flex System chassis management module tools for general chassis  management  A built‐in, text‐based command‐line interface and menu system for access via  serial‐port connection or an optional Telnet or SSH session  The built‐in Browser‐Based Interface (BBI) available using a standard  web‐browser  SNMP support for access through network management software such as IBM  Director. The specific interface chosen for an administrative session depends on user  preferences, as well as the switch configuration and the available client tools. In all cases, administration requires that the switch hardware is properly installed  and turned on. (see the Lenovo ThinkSystem NE2552E Flex Switch Installation Guide).  Chassis Management Module The NE2552E Flex Switch is an integral subsystem within the overall Lenovo Flex  System. The Flex System chassis also includes a chassis management module  (CMM) as the central element for overall chassis management and control. Using  the tools available through the CMM, the administrator can configure many of the  NE2552E features and can also access other NE2552E administration interfaces. For more information, see “Using the Chassis Management Module” on page Industry Standard Command Line Interface The Industry Standard Command Line Interface (ISCLI) provides a simple, direct  method for switch administration. Using a basic terminal, you can issue  commands that allow you to view detailed information and statistics about the  switch, and to perform any necessary configuration and switch software  maintenance. You can establish a connection to the CLI in any of the following ways:  Serial connection via the serial port on the NE2552E (this option is always avail‐...
  • Page 31: Browser-Based Interface

    Browser-Based Interface The Browser‐based Interface (BBI) provides access to the common configuration,  management and operation features of the NE2552E through your Web browser. © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 32: Establishing A Connection

    Establishing a Connection The factory default settings permit initial switch administration through the  built‐in serial port. Remote access using the network requires the accessing terminal to have a valid,  routable connection to the switch interface. The client IP address may be  configured manually, or an IPv4 address can be provided automatically through  the switch using a service such as DHCP (see “BOOTP/DHCP Client IP Address  Services” on page 39), or an IPv6 address can be obtained using IPv6 stateless  address configuration. Using the Chassis Management Module The NE2552E is an integral subsystem within the overall Lenovo Flex System. The  Flex System chassis includes a chassis management module (CMM) as the central  element for overall chassis management and control. The NE2552E uses MGT1to communicate with the chassis management module(s).  Even when the NE2552E is in a factory default configuration, you can use the 1Gb  Ethernet port on each CMM to configure and manage the NE2552E. For more information about using the chassis management module, see the Lenovo  ThinkSystem NE2552E Flex Switch Installation Guide.  Factory-Default vs. CMM-Assigned IP Addresses Each NE2552E must be assigned its own Internet Protocol version 4 (IPv4) address,  which is used for communication with an SNMP network manager or other  transmission control protocol/Internet Protocol (TCP/IP) applications (for example,  BOOTP or TFTP). The factory‐default IPv4 address is 10.90.90.x, where x is based  on the number of the bay into which the NE2552E is installed. For additional  information, see the Installation Guide. The chassis management module assigns an  IPv4 address of 192.168.70.1xx, where xx is also based on the number of the bay  into which each NE2552E is installed, as shown in the following table:   Table 2.
  • Page 33: Using Telnet

    Two attempts are allowed to log in to the switch. After the second unsuccessful  attempt, the Telnet client is disconnected via TCP session closure.  Using Secure Shell Although a remote network administrator can manage the configuration of a  NE2552E via Telnet, this method does not provide a secure connection. The Secure  Shell (SSH) protocol enables you to securely log into another device over a network  to execute commands remotely. As a secure alternative to using Telnet to manage  switch configuration, SSH ensures that all data sent over the network is encrypted  and secure. The switch can do only one session of key/cipher generation at a time. Thus, a  SSH/SCP client will not be able to login if the switch is doing key generation at that  time. Similarly, the system will fail to do the key generation if a SSH/SCP client is  logging in at that time. The supported SSH encryption and authentication methods are listed below.  Server Host Authentication: Client RSA‐authenticates the switch when starting  each connection  Key Exchange: ecdh‐sha2‐nistp521, ecdh‐sha2‐nistp384, ecdh‐sha2‐nistp256,  ecdh‐sha2‐nistp224, ecdh‐sha2‐nistp192, rsa2048‐sha256, rsa1024‐sha1,  diffie‐hellman‐group‐exchange‐sha256, diffie‐hellman‐group‐exchange‐sha1,  diffie‐hellman‐group14‐sha1, diffie‐hellman‐group1‐sha1  Encryption: aes128‐ctr, aes128‐cbc, rijndael128‐cbc, blowfish‐cbc,3des‐cbc,  arcfour256, arcfour128, arcfour MAC: hmac‐sha1, hmac‐sha1‐96, hmac‐md5, hmac‐md5‐96   User Authentication: Local password authentication, RADIUS, TACACS+ © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 34: Using Ssh With Password Authentication

    The following SSH clients have been tested: OpenSSH_5.1p1 Debian‐3ubuntu1   SecureCRT 5.0 (Van Dyke Technologies, Inc.)  Putty beta 0.60 Note: The Lenovo ENOS implementation of SSH supports version 2.0 and  supports SSH client version 2.0. Using SSH with Password Authentication By default, the SSH feature is enabled. For information about enabling and using  SSH for switch access, see “Secure Shell and Secure Copy” on page Once the IP parameters are configured and the SSH service is enabled, you can  access the command line interface using an SSH connection. To establish an SSH connection with the switch, run the SSH program on your  workstation by issuing the SSH command, followed by the switch IPv4 or IPv6  address: ssh <switch IP address> You will then be prompted to enter a password as explained “Switch Login Levels”  on page Using SSH with Public Key Authentication SSH can also be used for switch authentication based on asymmetric cryptography.  Public encryption keys can be uploaded on the switch and used to authenticate  incoming login attempts based on the clients’ private encryption key pairs. After a  predefined number of failed public key login attempts, the switch reverts to  password‐based authentication. To set up public key authentication: 1. Enable SSH: NE2552E(config)# ssh enable 2.
  • Page 35: Using A Web Browser

    Configuring HTTP Access to the BBI By default, BBI access via HTTP is disabled on the switch. To enable or disable HTTP access to the switch BBI, use the following commands:     NE2552E(config)# access http enable (Enable HTTP access) ‐or‐ NE2552E(config)# no access http enable (Disable HTTP access) The default HTTP web server port to access the BBI is port 80. However, you can  change the default Web server port with the following command:   NE2552E(config)# access http port <TCP port>  To access the BBI from a workstation, open a Web browser window and type in the  URL using the IP address of the switch interface (for example, http://<IPv4 or  IPv6 address>). © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 36: Configuring Https Access To The Bbi

     <name> Email (eg, email address) []: <email address> Confirm generating certificate? [y/n]: y Generating certificate. Please wait (approx 30 seconds) restarting SSL agent 4. Save the HTTPS certificate. The certificate is valid only until the switch is rebooted. To save the certificate so  that it is retained beyond reboot or power cycles, use the following command:  NE2552E(config)# access https save-certificate When a client (such as a web browser) connects to the switch, the client is asked to  accept the certificate and verify that the fields match what is expected. Once BBI  access is granted to the client, the BBI can be used as described in the Lenovo ENOS  BBI Quick Guide. NE2552E Application Guide for ENOS 8.4...
  • Page 37: Bbi Summary

    BBI Summary The BBI is organized at a high level as follows: Context buttons—These buttons allow you to select the type of action you wish to  perform. The Configuration button provides access to the configuration elements  for the entire switch. The Statistics button provides access to the switch statistics  and state information. The Dashboard button allows you to display the settings and  operating status of a variety of switch features. Navigation Window—This window provides a menu list of switch features and  functions:   System—this folder provides access to the configuration elements for the entire  switch.  Switch Ports—Configure each of the physical ports on the switch. Port‐Based Port Mirroring—Configure port mirroring behavior.   Layer 2—Configure Layer 2 features for the switch.  RMON Menu—Configure Remote Monitoring features for the switch.  Layer 3—Configure Layer 3 features for the switch.  QoS—Configure Quality of Service features for the switch. Access Control—Configure Access Control Lists to filter IP packets.  © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 38: Using Simple Network Management Protocol

    Using Simple Network Management Protocol Lenovo ENOS provides Simple Network Management Protocol (SNMP) version 1,  version 2, and version 3 support for access through any network management  software, such as IBM Director. Note: SNMP is disabled by default. However, if community strings are already  configured on the switch, any software update will leave SNMP enabled. To access the SNMP agent on the NE2552E, the read and write community strings  on the SNMP manager must be configured to match those on the switch.  The read and write community strings on the switch can be changed using the  following commands:  NE2552E(config)# snmp-server read-community <1‐32 characters> NE2552E(config)# snmp-server write-community <1‐32 characters> The SNMP manager can reach any of the IP interfaces on the switch. For the SNMP manager to receive the SNMPv1 traps sent out by the SNMP agent  on the switch, configure the trap host on the switch with the following commands:  NE2552E(config)# snmp-server trap-source <trap source IP interface> NE2552E(config)# snmp-server host <IPv4 address> <trap host community string> For more information on SNMP usage and configuration, see “Simple Network  Management Protocol” on page 477. NE2552E Application Guide for ENOS 8.4...
  • Page 39: Bootp/Dhcp Client Ip Address Services

    Unicast MAC layer message to the BOOTP/DHCP servers configured for the  client’s VLAN, or to the global BOOTP/DHCP servers if no domain‐specific  BOOTP/DHCP servers are configured for the client’s VLAN. The servers respond  to the switch with a Unicast reply that contains the IPv4 default gateway and the  IPv4 address for the client. The switch then forwards this reply back to the client. DHCP is described in RFC 2131, and the DHCP relay agent supported on the  NE2552E is described in RFC 1542. DHCP uses UDP as its transport protocol. The  client sends messages to the server on port 67 and the server sends messages to the  client on port 68. BOOTP and DHCP relay are collectively configured using the BOOTP commands  and menus on the NE2552E. Host Name Configuration The NE2552E supports DHCP host name configuration as described in RFC 2132,  option 12. DHCP host name configuration is enabled by default. Host name can be manually configured using the following command:  NE2552E(config)# hostname <name> If the host name is manually configured, the switch does not replace it with the  host name received from the DHCP server. After the host name is configured on the switch, if DHCP or DHCP host name  configuration is disabled, the switch retains the host name. The switch prompt displays the host name.  Host name configuration can be enabled/disabled using the following command:  NE2552E(config)# [no] system dhcp hostname © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 40: Syslog Server

    SYSLOG Server During switch startup, if the switch fails to get the configuration file, a message can  be recorded in the SYSLOG server. The NE2552E supports requesting of a SYSLOG server IP address from the DHCP  server as described in RFC 2132, option 7. DHCP SYSLOG server request option is  enabled by default. Manually configured SYSLOG server takes priority over DHCP SYSLOG server.  Up to two SYSLOG server addresses received from the DHCP server can be used.  The SYSLOG server can be learnt over a management port or a data port. Use the show logging command to view the SYSLOG server address. DHCP SYSLOG server address option can be enabled/disabled using the following  command:  NE2552E(config)# [no] system dhcp syslog DHCP Snooping DHCP snooping provides security by filtering untrusted DHCP packets and by  building and maintaining a DHCP snooping binding table.  An untrusted interface is a port that is configured to receive packets from outside  the network or firewall. A trusted interface receives packets only from within the  network. By default, all DHCP ports are untrusted. The DHCP snooping binding table contains the MAC address, IP address, lease  time, binding type, VLAN number, and port number that correspond to the local  untrusted interface on the switch; it does not contain information regarding hosts  interconnected with a trusted interface.  By default, DHCP snooping is disabled on all VLANs. You can enable DHCP  snooping on one or more VLANs. You must enable DHCP snooping globally. To  enable this feature, enter the following commands: NE2552E(config)# ip dhcp snooping vlan <vlan number(s)> NE2552E(config)# ip dhcp snooping Note: When you make a DHCP release from a client, the switch does not forward ...
  • Page 41: Easy Connect Wizard

    Current configuration will be overwritten with auto configuration settings. The wizard can be canceled anytime by pressing Ctrl+C. Select which of the following features you want enabled: #Configure Basic system (yes/no)? #Configure Transparent mode (yes/no)? © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 42: Basic System Mode Configuration Example

    Basic System Mode Configuration Example This example shows the parameters available for configuration in Basic System  mode:     NE2552E# easyconnect Auto configures the switch into a set configuration based on the input provided. Current configuration will be overwritten with auto configuration settings. The wizard can be canceled anytime by pressing Ctrl+C. Select which of the following features you want enabled: Configure Transparent mode (yes/no)? n Configure Switch Redundant mode (yes/no)? n...
  • Page 43: Transparent Mode Configuration Example

    Configure Basic system (yes/no)? n Pending switch configuration: Uplink Ports: EXT1-EXT10,EXT11/1-EXT12/1,EXT12/2 Server Ports: INTA1-INTB14 Confirm erasing current config to re-configure Easy Connect (yes/no)? Notes:  If your selection for a port group contains ports of different mode or speed, the  selection is not valid and you are guided to either select other ports or change  the speed of the ports.  If your selection for an uplink port group contains ports of different mode or  speed, the selection is not valid and you are guided to select other ports. Server  ports can have ports of different mode or speed selected at the same time. You can either accept the static defaults or enter a different port list for uplink   and/or server ports. © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 44: Redundant Mode Configuration Example

    Redundant Mode Configuration Example This example shows the parameters available for configuration in Redundant  mode:   NE2552E# # easyconnect Auto configures the switch into a set configuration based on the input provided. Current configuration will be overwritten with auto configuration settings. The wizard can be canceled anytime by pressing Ctrl+C. Select which of the following features you want enabled: Configure Transparent mode (yes/no)? n Configure Switch Redundant mode (yes/no)? y...
  • Page 45 Notes:   If your selection for a port group contains ports of different speed, the selection  is not valid, and you are guided to either select other ports or change the speed  of the ports.  All external unused ports are configured in an uplink portchanels and all  internal ports are configured in vLAG portchannels.  You can either accept the static defaults or enter a different port list for ISL,  uplink, and/or downlink ports. © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 46: Switch Login Levels

    Switch Login Levels To enable better switch management and user accountability, three levels or classes  of user access have been implemented on the NE2552E. Levels of access to CLI,  Web management functions, and screens increase as needed to perform various  switch management tasks. Conceptually, access classes are defined as follows:   User interaction with the switch is completely passive—nothing can be changed  on the NE2552E. Users may display information that has no security or privacy  implications, such as switch statistics and current operational state information.  Operators can only effect temporary changes on the NE2552E. These changes  will be lost when the switch is rebooted/reset. Operators have access to the  switch management features used for daily switch operations. Because any  changes an operator makes are undone by a reset of the switch, operators cannot  severely impact switch operation.  Administrators are the only ones that may make permanent changes to the  switch configuration—changes that are persistent across a reboot/reset of the  switch. Administrators can access switch functions to configure and  troubleshoot problems on the NE2552E. Because administrators can also make  temporary (operator‐level) changes as well, they must be aware of the  interactions between temporary and permanent changes. Access to switch functions is controlled through the use of unique user names and  passwords. Once you are connected to the switch via console, remote Telnet, or  SSH, you are prompted to enter a password. The default user names/password for  each access level are listed in the following table. Note: It is recommended that you change default switch passwords after initial  configuration and as regularly as required under your network security policies.  For more information, see “Changing the Switch Passwords” on page Table 3. User Access Levels ‐ Default Settings User Password Description and Tasks Performed Status Account user...
  • Page 47 Note: Access to each user level (except admin account) can be disabled by setting  the password to an empty value. To disable admin account, use the command:  NE2552E(config)# no access user administrator-enable. Admin  account can be disabled only if there is at least one user account enabled and  configured with administrator privilege.  © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 48: Administrator Password Recovery

    Administrator Password Recovery Follow these steps to reset the password of the admin user to the default value: Note: Password recovery process involves reloading the switch. Make sure to save  any recent switch configuration changes before performing these steps. 1. Connect to the switch using the console port. 2. Reload the switch. 3. When the system displays Memory Test, press <Shift + B>. The Boot Management  menu displays: **** System Reset from boot iscli **** Disable the Transceivers ... Unmount the File System ... Unmounting filesystem Wait for umount to finish.Done Waiting for I2C Transactions to Finish ... U-Boot 2009.06 (Aug 21 2015 - 12:35:27) MPC83XX Reset Status: CPU: e300c4, MPC8378A, Rev: 2.1 at 792 MHz, CSB: 396 MHz...
  • Page 49 Switch is currently set to use factory default config block on next boot. Do you want to change that to the active config block (y/n) ? y Next boot will use active config block. 9. Make sure the boot configuration‐block is active. If it is not active, change the boot  configuration‐block with the following command: NE2552E(config)# boot configuration-block active © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 50: Secure Ftp

    Secure FTP Lenovo ENOS supports Secure FTP (SFTP) to the switch. SFTP uses Secure Shell  (SSH) to transfer files. SFTP encrypts both commands and data, and prevents  passwords and sensitive information from being transmitted openly over the  network.  All file transfer commands include SFTP support along with FTP and TFTP  support. SFTP is available through the menu‐based CLI, ISCLI, BBI, and SNMP.  The following examples illustrate SFTP support for ISCLI commands:   NE2552E# copy sftp {image1|image2|boot-image} [mgt-port|data-port] (Copy software image from SFTP server to the switch) NE2552E# copy sftp {ca-cert|host-cert|host-key} [mgt-port|data-port] (Copy HTTPS certificate or host key from SFTP server to the switch) NE2552E Application Guide for ENOS 8.4...
  • Page 51: Boot Strict Mode

    When in boot strict mode, the switch uses Secure Sockets Layer (SSL)/Transport  Layer Security (TLS) 1.2 protocols to ensure confidentiality of the data to and from  the switch.  By default, HTTP, Telnet, and SNMPv1 and SNMPv2 are disabled on the NE2552E. Before enabling strict mode, ensure the following:  The software version on all connected switches is Lenovo ENOS 8.4.  NIST Strict compliance is enabled on the Chassis Management Module.  The supported protocol versions and cryptographic cipher suites between  clients and servers are compatible. For example: if using SSH to connect to the  switch, ensure that the SSH client supports SSHv2 and a strong cipher suite that  is compliant with the NIST standard. Compliant Web server certificate is installed on the switch, if using BBI.   A new self‐signed certificate is generated for the switch  (NE2552E(config)# access https generate-certificate). The new  certificate is generated using 2048‐bit RSA key and SHA‐256 digest.  Protocols that are not NIST SP 800‐131A compliant must be disabled or not  used.  Only SSHv2 or higher is used. The current configuration, if any, must be saved in a location external to the   switch. When the switch reboots, both the startup and running configuration are  lost. © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 52  Only protocols/algorithms compliant with NIST SP 800‐131A specification are  used/enabled on the switch. Please see the NIST SP 800‐131A publication for  details. The following table lists the acceptable protocols and algorithms:  Table 4. Acceptable Protocols and Algorithms Protocol/Function Strict Mode Algorithm Compatibility Mode Algorithm BGP does not comply with NIST SP Acceptable 800-131A specification. When in strict mode, BGP is disabled. However, it can be enabled, if required. Certificate RSA-2048 RSA 2048 Generation SHA-256...
  • Page 53 ARCFOUR HMAC-SHA1 HMAC-SHA1 HMAC-SHA1-96 HMAC-SHA1-96 HMAC-MD5 HMAC-MD5-96 TACACS+ TACACS+ does not comply with NIST Acceptable SP 800-131A specification. When in strict mode, TACACS+ is disabled. However, it can be enabled, if required. © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 54: Acceptable Cipher Suites

    Acceptable Cipher Suites The following cipher suites are acceptable (listed in the order of preference) when  the NE2552E Flex Switch is in compatibility mode:  Table 5. List of Acceptable Cipher Suites in Compatibility Mode Cipher ID Key Authenticati Encryption Cipher Name Exchan 0xC027 ECDHE AES_128_CBC SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA2 0xC013 ECDHE AES_128_CBC SHA1 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC012 ECDHE 3DES SHA1 SSL_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 0xC011 ECDHE SHA1 SSL_ECDHE_RSA_WITH_RC4_128_SHA 0x002F AES_128_CBC SHA1 TLS_RSA_WITH_AES_128_CBC_SHA 0x003C AES_128_CBC SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256 0x0005...
  • Page 55: Configuring Strict Mode

    For SNMPv3 default users, see “SNMP Version 3” on page 479. When strict mode is disabled, the following message is displayed:  Warning, disabling security strict mode. The mode change will take effect after reloading the switch. You must reboot the switch for the boot strict mode enable/disable to take effect. Limitations In Lenovo ENOS 8.4, consider the following limitation/restrictions if you need to  operate the switch in boot strict mode:  Power ITEs and High‐Availability features do not comply with NIST SP  800‐131A specification.  The NE2552E will not discover Platform agents/Common agents that are not in  strict mode. Web browsers that do not use TLS 1.2 cannot be used.   Limited functions of the switch managing Windows will be available. © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 56: Configuring No-Prompt Mode

    Configuring No-Prompt Mode If you expect to administer the switch using SNSC or another browser‐based  interface, you need to turn off confirmation prompts. When CLI confirmation  prompts are disabled, the switch will choose the default answer. To accomplish  this, use one of the following commands:   NE2552E(config)# [no] prompting Note: This command will disable CLI confirmation prompts for current and future  sessions.   NE2552E(config)# [no] terminal dont-ask Note: This command will disable CLI confirmation prompts for the current  session only. It also takes precedence over the prompting command ‐ any settings  configured through the prompting command will be disregarded for the  duration of the current session. For more details, see the Lenovo ThinkSystem NE2552E Flex Switch Command  Reference for Lenovo ENOS 8.4. NE2552E Application Guide for ENOS 8.4...
  • Page 57: Chapter 2. Initial Setup

    Chapter 2. Initial Setup To help with the initial process of configuring your switch, the Lenovo ENOS  software includes a Setup utility. The Setup utility prompts you step‐by‐step to  enter all the necessary information for basic configuration of the switch. Setup can be activated manually from the command line interface any time after  login: NE2552E(config)# setup © Copyright Lenovo 2018...
  • Page 58: Information Needed For Setup

    Information Needed for Setup Setup requests the following information:  Basic system information Date & time  Whether to use Spanning Tree Group or not   Optional configuration for each port Speed, duplex, flow control, and negotiation mode (as appropriate)  Whether to use VLAN tagging or not (as appropriate)  Optional configuration for each VLAN  Name of VLAN  Which ports are included in the VLAN   Optional configuration of IP parameters IP address/mask and VLAN for each IP interface  IP addresses for default gateway  Whether IP forwarding is enabled or not  NE2552E Application Guide for ENOS 8.4...
  • Page 59: Default Setup Options

    Enter login username: Enter login password: 2. Enter USERID as the default administrator and PASSW0RD (with a zero) as the  default password. 3. Enter the following command at the prompt:  NE2552E(config)# setup Stopping Setup To abort the Setup utility, press <Ctrl+C> during any Setup question. When you  abort Setup, the system will prompt: Would you like to run from top again? [y/n] Enter n to abort Setup, or y to restart the Setup program at the beginning. Restarting Setup You can restart the Setup utility manually at any time by entering the following  command at the administrator prompt: NE2552E(config)# setup © Copyright Lenovo 2018 Chapter 2: Initial Setup...
  • Page 60: Setup Part 1: Basic System Configuration

    Setup Part 1: Basic System Configuration When Setup is started, the system prompts: "Set Up" will walk you through the configuration of System Date and Time, Spanning Tree, Port Speed/Mode, VLANs, and IP interfaces. [type Ctrl-C to abort "Set Up"] Next, the Setup utility prompts you to input basic system information. 1. Enter the year of the current date at the prompt: System Date: Enter year [2012]: Enter the four‐digits that represent the year. To keep the current year, press ...
  • Page 61 Enter the seconds as a number from 00 to 59. To keep the current second, press  <Enter>. The system then displays the date and time settings: System clock set to 8:55:36 Wed Jan 28, 2012. 7. Turn Spanning Tree Protocol on or off at the prompt: Spanning Tree: Current Spanning Tree Group 1 setting: ON Turn Spanning Tree Group 1 OFF? [y/n] Enter y to turn off Spanning Tree, or enter n to leave Spanning Tree on. © Copyright Lenovo 2018 Chapter 2: Initial Setup...
  • Page 62: Setup Part 2: Port Configuration

    Setup Part 2: Port Configuration Note: When configuring port options for your switch, some prompts and options  may be different.  1. Select whether you will configure VLANs and VLAN tagging for ports:   Port Config: Will you configure VLANs and Tagging/Trunk-mode for ports? [y/n] If you wish to change settings for VLANs, enter y or enter n to skip VLAN  configuration.  Note: The sample screens that appear in this document might differ slightly from  the screens displayed by your system. Screen content varies based on the type of  chassis unit that you are using and the firmware versions and options that are  installed. 2. Select the port to configure, or skip port configuration at the prompt: If you wish to change settings for individual ports, enter the number of the port  you wish to configure. To skip port configuration, press <Enter> without  specifying any port and go to “Setup Part 3: VLANs” on page 64.  3. Configure port flow parameters. The system prompts: Gig Link Configuration: Port Flow Control: Current Port EXT1 flow control setting: both...
  • Page 63 If you have selected to configure VLANs back in Part 1, the system prompts: Port Tagging/Trunk-mode config (Tagged/Trunk-mode port can be a member of multiple VLANs): Current Tagging/Trunk-mode support: disabled Enter new Tagging/Trunk-mode support [d/e]: Enter d to disable VLAN tagging for the port or enter e to enable VLAN tagging for  the port. To keep the current setting, press <Enter>. 6. The system prompts you to configure the next port:  Enter port (INTA1-INTB14, EXT1-EXT12/4): When you are through configuring ports, press <Enter> without specifying any  port. Otherwise, repeat the steps in this section. © Copyright Lenovo 2018 Chapter 2: Initial Setup...
  • Page 64: Setup Part 3: Vlans

    Setup Part 3: VLANs If you chose to skip VLANs configuration back in Part 2, skip to “Setup Part 4: IP  Configuration” on page 1. Select the VLAN to configure, or skip VLAN configuration at the prompt: VLAN Config: Enter VLAN number from 2 to 4094, NULL at end: If you wish to change settings for individual VLANs, enter the number of the  VLAN you wish to configure. To skip VLAN configuration, press <Enter> without  typing a VLAN number and go to “Setup Part 4: IP Configuration” on page 2. Enter the new VLAN name at the prompt: Current VLAN name: VLAN 2 Enter new VLAN name: Entering a new VLAN name is optional. To use the pending new VLAN name,  press <Enter>.  3. Enter the VLAN port numbers:  Define Ports in VLAN: Current VLAN 2: empty Enter ports one per line, NULL at end:...
  • Page 65: Setup Part 4: Ip Configuration

    2. For the specified IP interface, enter the IP address in IPv4 dotted decimal notation: Current IP address: 0.0.0.0 Enter new IP address: To keep the current setting, press <Enter>. 3. At the prompt, enter the IPv4 subnet mask in dotted decimal notation: Current subnet mask: 0.0.0.0 Enter new subnet mask: To keep the current setting, press <Enter>. 4. If configuring VLANs, specify a VLAN for the interface. This prompt appears if you selected to configure VLANs back in Part 1: Current VLAN: Enter new VLAN [2-4094]: Enter the number for the VLAN to which the interface belongs, or press <Enter>  without specifying a VLAN number to accept the current setting. © Copyright Lenovo 2018 Chapter 2: Initial Setup...
  • Page 66: Default Gateways

    5. At the prompt, enter y to enable the IP interface or n to leave it disabled: Enable IP interface? [y/n] 6. The system prompts you to configure another interface: Enter interface number: (1-125, 127) Repeat the steps in this section until all IP interfaces have been configured. When  all interfaces have been configured, press <Enter> without specifying any interface  number. Default Gateways 1. At the prompt, select an IP default gateway for configuration or skip default  gateway configuration: IP default gateways: Enter default IPv4 gateway number: (1-2, 3, 4) Enter the number for the IP default gateway to be configured. To skip default  gateway configuration, press <Enter> without typing a gateway number and go to  “IP Routing” on page 2. At the prompt, enter the IPv4 address for the selected default gateway: Current IP address: 0.0.0.0 Enter new IP address: Enter the IPv4 address in dotted decimal notation, or press <Enter> without ...
  • Page 67: Ip Routing

    IP Routing When IP interfaces are configured for the various IP subnets attached to your  switch, IP routing between them can be performed entirely within the switch. This  eliminates the need to send inter‐subnet communication to an external router  device. Routing on more complex networks, where subnets may not have a direct  presence on the NE2552E, can be accomplished through configuring static routes  or by letting the switch learn routes dynamically. This part of the Setup program prompts you to configure the various routing  parameters. At the prompt, enable or disable forwarding for IP Routing: Enable IP forwarding? [y/n] Enter y to enable IP forwarding. To disable IP forwarding, enter n. To keep the  current setting, press <Enter>. © Copyright Lenovo 2018 Chapter 2: Initial Setup...
  • Page 68: Setup Part 5: Final Steps

    Setup Part 5: Final Steps 1. When prompted, decide whether to restart Setup or continue: Would you like to run from top again? [y/n] Enter y to restart the Setup utility from the beginning or n to continue. 2. When prompted, decide whether you wish to review the configuration changes: Review the changes made? [y/n] Enter y to review the changes made during this session of the Setup utility. Enter n  to continue without reviewing the changes. We recommend that you review the  changes. 3. Next, decide whether to apply the changes at the prompt: Apply the changes? [y/n] Enter y to apply the changes or n to continue without applying. Changes are  normally applied. 4. At the prompt, decide whether to make the changes permanent: Save changes to flash? [y/n] Enter y to save the changes to flash. Enter n to continue without saving the ...
  • Page 69: Optional Setup For Telnet Support

    Optional Setup for Telnet Support Note: This step is optional. Perform this procedure only if you are planning on  connecting to the NE2552E through a remote Telnet connection. 1. Telnet is disabled by default. To change the setting, use the following command:   NE2552E(config)# access telnet enable © Copyright Lenovo 2018 Chapter 2: Initial Setup...
  • Page 70 NE2552E Application Guide for ENOS 8.4...
  • Page 71: Chapter 3. Switch Software Management

    CAUTION: Although the typical upgrade process is all that is necessary in most cases, upgrading from (or reverting to) some versions of Lenovo Enterprise Network Operating System requires special steps prior to or after the software installation process. Please be sure to follow all applicable instructions in the release notes document for the specific software release to ensure that your switch continues to operate as expected after installing new software.
  • Page 72: Loading New Software To Your Switch

    Loading New Software to Your Switch The NE2552E can store up to two different switch software images (called image1  and image2) as well as special boot software (called boot). When you load new  software, you must specify where it is placed: either into image1, image2 or  boot. For example, if your active image is currently loaded into image1, you would  probably load the new image software into image2. This lets you test the new  software and reload the original active image (stored in image1), if needed.  CAUTION: When you upgrade the switch software image, always load the new boot image  and the new software image before you reset the switch. If you do not load a new  boot image, your switch might not boot properly (To recover, see “Recover from a  Failed Image Upgrade using TFTP” on page 78 or “Recovering from a Failed  Image Upgrade using XModem Download” on page 81). To load a new software image to your switch, you will need the following:  The image and boot software loaded on an FTP, SFTP or TFTP server on your net‐ work. Note: Be sure to download both the new boot file and the new image file. The hostname or IP address of the FTP, SFTP or TFTP server  Note: The DNS parameters must be configured if specifying hostnames.  The name of the new software image or boot file When the software requirements are met, use one of the following procedures to  download the new software to your switch. You can use the ISCLI or the BBI to  download and activate new software. Loading Software via the ISCLI 1.
  • Page 73 6. The switch will prompt you to confirm your request. Once confirmed, the software will begin loading into the switch. 7. When loading is complete, use the following commands to enter Global  Configuration mode to select which software image (image1 or image2) you want  to run in switch memory for the next reboot:  Router# configure terminal Router(config)# boot image {image1|image2} The system will then verify which image is set to be loaded at the next reset:   Next boot will use switch software image1 instead of image2. 8. Reboot the switch to run the new software: Router(config)# reload The system prompts you to confirm your request. Once confirmed, the switch  will reboot to use the new software. © Copyright Lenovo 2018 Chapter 3: Switch Software Management...
  • Page 74: Loading Software Via Bbi

    Loading Software via BBI You can use the Browser‐Based Interface to load software onto the NE2552E. The  software image to load can reside in one of the following locations: FTP server   TFTP server SFTP server   Local computer After you log onto the BBI, perform the following steps to load a software image: 1. Click the Configure context tab in the toolbar. 2. In the Navigation Window, select System > Config/Image Control. The Switch Image and Configuration Management page appears. 3. If you are loading software from your computer (HTTP client), skip this step and  go to the next. Otherwise, if you are loading software from an FTP, SFTP, or TFTP  server, enter the server’s information in the FTP, SFTP, or TFTP Settings section. 4. In the Image Settings section, select the image version you want to replace (Image  for Transfer).   If you are loading software from an FTP, SFTP, or TFTP server, enter the file  name and click Get Image.  If you are loading software from your computer, click Browse.  In the File Upload Dialog, select the file and click OK. Then click Download via  Browser.  Once the image has loaded, the page refreshes to show the new software. NE2552E Application Guide for ENOS 8.4...
  • Page 75: Updating Software On Vlag Switches

     After Switch 1 comes up, vLAG HC will be up and vLAG mismatch will happen  with vLAG ports down (since it is still Secondary).  The traffic will still be forwarding via Switch 2 (the original Primary switch). 3. On Switch 2 (the original Primary switch), shut down all links ISL, vLAG links, and  vLAG HC. This is equivalent to powering off Switch 1 (the original Primary switch)  All the traffic will failover to Switch 1, which will assume the vLAG operation  role of Primary.  After all the links are up on Switch 1, there will be N‐S traffic loss of around ~70  seconds due to spanning trees reconverging. 4. Upgrade Switch 2 (the original Primary switch with the new ENOS image. Use  FTP, STFP, or TFTP to copy the new ENOS and boot images onto the switch. For  more details, see “Loading New Software to Your Switch” on page  After Switch 2 comes up, vLAG HC, ISL, and vLAG links will be up, and Switch  1 will assume the vLAG operation role of Secondary. All the traffic will now follow the hash and load balance settings between Switch   1 and Switch 1. There will be N‐S traffic loss of around ~0.05 seconds.  5. Change the operational role of the vLAG switches to match the final topology by  reloading Switch 1. There will be N‐S traffic loss of around ~0.102 seconds.  © Copyright Lenovo 2018 Chapter 3: Switch Software Management...
  • Page 76  Switch 2 will reassume the vLAG Primary role and Switch 1 will reassume the  vLAG Secondary role. 6. Make sure that Switch 2 is now the vLAG primary switch and Switch 1 is now the  vLAG secondary switch using the following command:   NE2552E> show vlag information NE2552E Application Guide for ENOS 8.4...
  • Page 77: The Boot Management Menu

    R - Boot in recovery mode (tftp and xmodem download of images to recover switch) Q - Reboot E - Exit Please choose your menu option: The Boot Management menu allows you to perform the following actions:  The Boot Management menu allows you to perform the following actions:  To change the booting image, press I and follow the screen prompts.  To change the configuration block, press C and follow the screen prompts.  To boot in recovery mode press R. For more details see “Boot Recovery Mode”  on page  To restart the boot process from the beginning, press Q. To exit the Boot Management menu, press E. The booting process continues.  © Copyright Lenovo 2018 Chapter 3: Switch Software Management...
  • Page 78: Boot Recovery Mode

    Boot Recovery Mode The Boot Recovery Mode allows you to recover from a failed software or boot  image upgrade using TFTP or XModem download. To enter Boot Recovery Mode you must select “Boot in recovery mode” option  from the Boot Management Menu by pressing R.   Entering Rescue Mode. Please select one of the following options: T) Configure networking and tftp download an image X) Use xmodem 1K to serial download an image P) Physical presence test (low security mode) F) Filesystem Menu I) Select which image to boot C) Select configuration block to use...
  • Page 79 7. Enter the network mask of the management port:   Netmask : 8. Enter the gateway of the management port:   Gateway : 9. Enter the IP address of the TFTP server:   Server addr: 10.Enter the filename of the image:   Image Filename: 11. If the file is a software image, enter an image number:   Install image as image 1 or 2 (hit return to just boot image): After the procedure is complete, the Recovery Mode menu will be re‐displayed. © Copyright Lenovo 2018 Chapter 3: Switch Software Management...
  • Page 80 Below is an example of a successful recovery procedure using TFTP:   Entering Rescue Mode. Please select one of the following options: T) Configure networking and tftp download an image X) Use xmodem 1K to serial download an image P) Physical presence test (low security mode) F) Filesystem Menu I) Select which image to boot C) Select configuration block to use R) Reboot E) Exit...
  • Page 81: Recovering From A Failed Image Upgrade Using Xmodem Download

    8. Select the image to download. Xmodem initiates the file transfer. When download  is complete, you are asked to change the Serial Port speed back to 9600 bps:   Change the baud rate back to 9600 bps, hit the <ENTER> key 9. Press <Enter> to start installing the image. If the file is a software image, enter the  image number:   Install image as image 1 or 2 (hit return to just boot image): © Copyright Lenovo 2018 Chapter 3: Switch Software Management...
  • Page 82: Physical Presence

    The image install will begin. After the procedure is complete, the Recovery Mode  menu will be re‐displayed.   Extracting images ... Do *NOT* power cycle the switch. Installing Root Filesystem: Image signature verified. 100% Installing Kernel: Image signature verified. 100% Installing Device Tree: Image signature verified. 100% Installing Boot Loader: 100% Updating install log. File image installed from xmodem at 18:06:02 on 13-3-2015 Please select one of the following options: T) Configure networking and tftp download an image...
  • Page 83 Hit a key to start the test. The blue location LED will blink a number of times.... How many times did the LED blink? 8. After entering the correct number, the Recovery Mode menu will re‐appear. To  install an unofficial image use one of the following procedures:  TFTP (for details, see page  XModem Download (for details, see page Note: You have three attempts to successfully complete the security test. After  three incorrect attempts, the switch will reboot. Note: After the test is completed, the switch will be put in low security mode. This  mode will allow you to install unofficial images on the switch. To revert to normal  security mode, you must reboot the switch or press P again in the Recovery Mode  menu. © Copyright Lenovo 2018 Chapter 3: Switch Software Management...
  • Page 84: Filesystem Menu

    Filesystem Menu The switch’s file system controls how data is stored and retrieved. To access the  Filesystem menu enter the Boot Recovery menu and select option F.   Please select one of the following options: F) Run filesystem check W) Wipe filesystem E) Exit Option? : The Filesystem menu allows you to perform the following actions:  To run a file system check, enter F. If there any errors detected, the switch repairs  them automatically.  To delete all firmware images and configuration files from the switch, enter W.  You are asked for confirmation. Enter y to confirm or n to cancel. To return to the Boot Management menu, enter E.  NE2552E Application Guide for ENOS 8.4...
  • Page 85: Part 2: Securing The Switch

    Part 2: Securing the Switch © Copyright Lenovo 2018...
  • Page 86 NE2552E Application Guide for ENOS 8.4...
  • Page 87: Chapter 4. Securing Administration

    Chapter 4. Securing Administration This chapter discusses different methods of securing local and remote  administration on the NE2552E Flex Switch (NE2552E):  “Changing the Switch Passwords” on page 88  “Secure Shell and Secure Copy” on page 89  “End User Access Control” on page 94  “Protected Mode” on page 97  “Maintenance Mode” on page 98 © Copyright Lenovo 2018...
  • Page 88: Changing The Switch Passwords

    Changing the Switch Passwords It is recommended that you change the administrator and user passwords after  initial configuration and as regularly as required under your network security  policies. To change the administrator password, you must login using the administrator  password.  Note: If you download user and password information to a switch running a  version of ENOS earlier than 8.4, or if you revert the switch to a version of ENOS  earlier than 8.4, your passwords will not be transferred because the encryption  algorithm changed. Changing the Default Administrator Password The administrator has complete access to all menus, information, and  configuration commands, including the ability to change both the user and  administrator passwords. The default administrator account is USERID. The default password for the  administrator account is PASSW0RD (with a zero). To change the administrator  password, use the following procedure: 1. Connect to the switch and log in as the administrator.  2. Use the following command to change the administrator password: NE2552E(config)# access user administrator-password <password> Changing the Default User Password The user login has limited control of the switch. Through a user account, you can  view switch information and statistics, but you can’t make configuration changes.
  • Page 89: Secure Shell And Secure Copy

     Determining the permitted actions and customizing service for individual  administrators  Encryption of management messages Encrypting messages between the remote administrator and switch   Secure copy support The Lenovo ENOS implementation of SSH supports both versions 1.5 and 2.0 and  supports SSH clients version 1.5 ‐ 2.x. The following SSH clients have been tested:   SSH 1.2.23 and SSH 1.2.27 for Linux (freeware)  SecureCRT 3.0.2 and SecureCRT 3.0.3 for Windows NT (Van Dyke Technologies,  Inc.)  F‐Secure SSH 1.1 for Windows (Data Fellows)  Putty SSH  Cygwin OpenSSH  Mac X OpenSSH  Solaris 8 OpenSSH  AxeSSH SSHPro  SSH Communications Vandyke SSH A  F‐Secure © Copyright Lenovo 2018 Chapter 4: Securing Administration...
  • Page 90: Configuring Ssh/Scp Features On The Switch

    Configuring SSH/SCP Features on the Switch SSH is enabled, while SCP is disabled by default. To change the setting, using the  following procedures. Note: To use SCP, you must first enable SSH. To Enable or Disable the SSH Feature Begin a Telnet session from the console port and enter the following commands: NE2552E(config)# ssh enable (Turn SSH on) NE2552E(config)# no ssh enable (Turn SSH off) To Enable or Disable SCP Enter the following command to enable or disable SCP: NE2552E(config)# [no] ssh scp-enable  Configuring the SCP Administrator Password To configure the SCP‐only administrator password, enter the following command ...
  • Page 91: To Copy The Switch Configuration File To The Scp Host

    >> scp [-4|-6] <local filename> <username>@<switch IP address>:putcfg_apply >> scp [-4|-6] <local filename> <username>@<switch IP address>:putcfg_apply_save Example: >> scp ad4.cfg scpadmin@205.178.15.157:putcfg_apply >> scp ad4.cfg scpadmin@205.178.15.157:putcfg_apply_save The CLI diff command is automatically executed at the end of putcfg to   notify the remote client of the difference between the new and the current  configurations. putcfg_apply runs the apply command after the putcfg is done.  putcfg_apply_save saves the new configuration to the flash after   putcfg_apply is done.  The putcfg_apply and putcfg_apply_save commands are provided  because extra apply and save commands are usually required after a putcfg;  however, an SCP session is not in an interactive mode. © Copyright Lenovo 2018 Chapter 4: Securing Administration...
  • Page 92: To Copy The Switch Image And Boot Files To The Scp Host

    To Copy the Switch Image and Boot Files to the SCP Host Syntax: >> scp [-4|-6] <username>@<switch IP address>:getimg1 <local filename>  >> scp [-4|-6] <username>@<switch IP address>:getimg2 <local filename>  >> scp [-4|-6] <username>@<switch IP address>:getboot <local filename>  Example: >> scp scpadmin@205.178.15.157:getimg1 6.1.0_os.img To Load Switch Configuration Files from the SCP Host Syntax: >>...
  • Page 93: Ssh And Scp Encryption Of Management Messages

    When the switch reboots, it will retrieve the host key from the FLASH memory.  Notes:  The switch will perform only one session of key/cipher generation at a time.  Thus, an SSH/SCP client will not be able to log in if the switch is performing key  generation at that time. Also, key generation will fail if an SSH/SCP client is  logging in at that time. Because the switch software only generates RSA keys, if there is already a   DSA‐based SSH key on the switch, this key will remain on the switch and not be  replaced until you  run the ssh generate-host key command to generate  an RSA key. SSH/SCP Integration with RADIUS Authentication SSH/SCP is integrated with RADIUS authentication. After the RADIUS server is  enabled on the switch, all subsequent SSH authentication requests will be  redirected to the specified RADIUS servers for authentication. The redirection is  transparent to the SSH clients. SSH/SCP Integration with TACACS+ Authentication SSH/SCP is integrated with TACACS+ authentication. After the TACACS+ server is  enabled on the switch, all subsequent SSH authentication requests will be  redirected to the specified TACACS+ servers for authentication. The redirection is  transparent to the SSH clients. © Copyright Lenovo 2018 Chapter 4: Securing Administration...
  • Page 94: End User Access Control

    End User Access Control Lenovo ENOS allows an administrator to define end user accounts that permit end  users to perform operation tasks via the switch CLI commands. Once end user  accounts are configured and enabled, the switch requires username/password  authentication. For example, an administrator can assign a user, who can then log into the switch  and perform operational commands (effective only until the next switch reboot). Considerations for Configuring End User Accounts A maximum of 20 user IDs are supported on the switch.   Lenovo ENOS supports end user support for Console, Telnet, BBI, and  SSHv1/v2 access to the switch.  If RADIUS authentication is used, the user password on the Radius server will  override the user password on the NE2552E. Also note that the password  change command modifies only the user switch password on the switch and has  no effect on the user password on the Radius server. Radius authentication and  user password cannot be used concurrently to access the switch.  Passwords can be up to 64 characters in length for Telnet, SSH, Console, and  Web access. Strong Passwords The administrator can require use of Strong Passwords for users to access the  NE2552E. Strong Passwords enhance security because they make password  guessing more difficult. The following rules apply when Strong Passwords are enabled: Minimum length: 8 characters; maximum length: 64 characters   Must contain at least one uppercase alphabet Must contain at least one lowercase alphabet...
  • Page 95: User Access Control Menu

    NE2552E# show access user uid 1 Enabling or Disabling a User An end user account must be enabled before the switch recognizes and permits  login under the account. Once enabled, the switch requires any user to enter both  username and password. NE2552E(config)# [no] access user 1 enable Locking Accounts To protect the switch from unauthorized access, the account lockout feature can be  enabled. By default, account lockout is disabled. To enable this feature, ensure the  strong password feature is enabled (See “Strong Passwords” on page 94). Then use  the following command:  NE2552E(config)# access user strong-password lockout After multiple failed login attempts, the switch locks the user account if lockout  has been enabled on the switch.  © Copyright Lenovo 2018 Chapter 4: Securing Administration...
  • Page 96: Re-Enabling Locked Accounts

    Re-enabling Locked Accounts The administrator can re‐enable a locked account by reloading the switch or by  using the following command:  NE2552E(config)# access user strong-password clear local user lockout username <user name> However, the above command cannot be used to re‐enable an account disabled by  the administrator.  To re‐enable all locked accounts, use the following command:  NE2552E(config)# access user strong-password clear local user lockout all Listing Current Users The show access user command displays defined user accounts and whether  or not each user is currently logged into the switch. NE2552E# show access user Usernames: user - Enabled - offline...
  • Page 97: Protected Mode

    Protected Mode Protected Mode settings allow the switch administrator to block the management  module from making configuration changes that affect switch operation. The  switch retains control over those functions.  The following management module functions are disabled when Protected Mode  is turned on:  External Ports: Enabled/Disabled   External management over all ports: Enabled/Disabled Restore Factory Defaults   New Static IP Configuration In this release, configuration of the functions listed above are restricted to the local  switch when you turn Protected Mode on. In future releases, individual control  over each function may be added. Note: Before you turn Protected Mode on, make sure that external management  (Telnet) access to one of the switch’s IP interfaces is enabled.  Use the following command to turn Protected Mode on:  NE2552E(config)# protected-mode enable If you lose access to the switch through the external ports, use the console port to  connect directly to the switch, and configure an IP interface with Telnet access. © Copyright Lenovo 2018 Chapter 4: Securing Administration...
  • Page 98: Maintenance Mode

    Maintenance Mode There are times when Lenovo support needs to access your switch in maintenance  mode. To enable this, enter the command: NE2552E(config)# maint-internal When prompted, enter the admin password. The Lenovo support person will then enter the maintenance mode password. This introduces a second level of administration authorization before the Lenovo  support representative enters the maintenance mode password, making the switch  more secure and available for enhanced debugging. NE2552E Application Guide for ENOS 8.4...
  • Page 99: Chapter 5. Authentication & Authorization Protocols

    Chapter 5. Authentication & Authorization Protocols Secure switch management is needed for environments that perform significant  management functions across the Internet. The following are some of the functions  for secured IPv4 management and device access:  “RADIUS Authentication and Authorization” on page 100  “TACACS+ Authentication” on page 104  “LDAP Authentication and Authorization” on page 110 Note: Lenovo ENOS 8.4 does not support IPv6 for RADIUS, TACACS+, or LDAP. © Copyright Lenovo 2018...
  • Page 100: Radius Authentication And Authorization

    RADIUS Authentication and Authorization Lenovo ENOS supports the RADIUS (Remote Authentication Dial‐in User Service)  method to authenticate and authorize remote administrators for managing the  switch. This method is based on a client/server model. The Remote Access Server  (RAS)—the switch—is a client to the back‐end database server. A remote user (the  remote administrator) interacts only with the RAS, not the back‐end server and  database. RADIUS authentication consists of the following components:  A protocol with a frame format that utilizes UDP over IP (based on RFC 2138  and 2866)  A centralized server that stores all the user authorization information A client, in this case, the switch  The NE2552E—acting as the RADIUS client—communicates to the RADIUS server  to authenticate and authorize a remote administrator using the protocol definitions  specified in RFC 2138 and 2866. Transactions between the client and the RADIUS  server are authenticated using a shared key that is not sent over the network. In  addition, the remote administrator passwords are sent encrypted between the  RADIUS client (the switch) and the back‐end RADIUS server. How RADIUS Authentication Works 1. Remote administrator connects to the switch and provides user name and  password. 2. Using Authentication/Authorization protocol, the switch sends request to  authentication server. 3. Authentication server checks the request against the user ID database. 4. Using RADIUS protocol, the authentication server instructs the switch to grant or  deny administrative access. NE2552E Application Guide for ENOS 8.4...
  • Page 101: Configuring Radius On The Switch

    NE2552E(config)# radius-server enable CAUTION: If you configure the RADIUS secret using any method other than through the  console port, the secret may be transmitted over the network as clear text. 3. If desired, you may change the default UDP port number used to listen to RADIUS. The well‐known port for RADIUS is 1645. NE2552E(config)# radius-server port <UDP port> 4. Configure the number retry attempts for contacting the RADIUS server, and the  timeout period. NE2552E(config)# radius-server retransmit 3 NE2552E(config)# radius-server timeout 5 RADIUS Authentication Features in Lenovo ENOS Lenovo ENOS supports the following RADIUS authentication features:  Supports RADIUS client on the switch, based on the protocol definitions in RFC  2138 and RFC 2866.  Allows a RADIUS secret password of up to 32 characters.   Supports secondary authentication server so that when the primary authentication  server is unreachable, the switch can send client authentication requests to the  secondary authentication server. Use the following command to show the ...
  • Page 102: Switch User Accounts

     Supports user‐configurable RADIUS server retry and time‐out values: Time‐out value = 1‐10 seconds  Retries = 1‐3  The switch will time out if it does not receive a response from the RADIUS  server within 1‐10 seconds. The switch automatically retries connecting to the  RADIUS server 1‐3 times before it declares the server down.   Supports user‐configurable RADIUS application port. The default is UDP port  1645. UDP port 1812, based on RFC 2138, is also supported.  Allows network administrator to define privileges for one or more specific users  to access the switch at the RADIUS user database. Switch User Accounts The user accounts listed in Table 7 can be defined in the RADIUS server dictionary  file.  Table 7.  User Access Levels User Account Description and Tasks Performed Password user User The User has no direct responsibility for switch  management. He/she can view all switch status  information and statistics but cannot make any  configuration changes to the switch. oper Operator In addition to User capabilities, the Operator has ...
  • Page 103: Radius Attributes For Lenovo Enos User Privileges

    RADIUS Attributes for Lenovo ENOS User Privileges When the user logs in, the switch authenticates his/her level of access by sending  the RADIUS access request, that is, the client authentication request, to the  RADIUS authentication server. If the remote user is successfully authenticated by the authentication server, the  switch will verify the privileges of the remote user and authorize the appropriate  access. The administrator has two options: to allow local access via Telnet, SSH,  HTTP, or HTTPS; to allow secure local access via console, Telnet, SSH, or BBI. Secure  local access provides access to the switch when the RADIUS servers cannot be  reached. The default NE2552E setting for local access and secure local access is disabled.  Local access is always enabled on the console port. Whether local access is enabled or not, you can always access the switch via the  console port by using noradius as the RADIUS username. You can then enter the  username and password configured on the switch. If you are trying to connect via  SSH/Telnet/HTTP/HTTPS, there are two possibilities:   Local access is enabled: The switch acts like it is connecting via console.  Secure local access is enabled: You must enter the username: noradius. The  switch checks if RADIUS server is reachable. If it is reachable, then you must  authenticate via remote authentication server. Only if RADIUS server is not  reachable, you will be prompted for local user/password to be authenticated  against these local credentials. All user privileges, other than those assigned to the Administrator, have to be  defined in the RADIUS dictionary. RADIUS attribute 6 which is built into all  RADIUS servers defines the administrator. The file name of the dictionary is  RADIUS vendor‐dependent. The following RADIUS attributes are defined for  Lenovo ENOS user privileges levels:  Table 8. Lenovo ENOS‐proprietary Attributes for RADIUS User Name/Access...
  • Page 104: Tacacs+ Authentication

    TACACS+ Authentication Lenovo ENOS supports authentication, authorization, and accounting with  networks using the Cisco Systems TACACS+ protocol. The NE2552E functions as  the Network Access Server (NAS) by interacting with the remote client and  initiating authentication and authorization sessions with the TACACS+ access  server. The remote user is defined as someone requiring management access to the  NE2552E either through a data or management port. TACACS+ offers the following advantages over RADIUS:  TACACS+ uses TCP‐based connection‐oriented transport; whereas RADIUS is  UDP‐based. TCP offers a connection‐oriented transport, while UDP offers  best‐effort delivery. RADIUS requires additional programmable variables such  as re‐transmit attempts and time‐outs to compensate for best‐effort transport,  but it lacks the level of built‐in support that a TCP transport offers.  TACACS+ offers full packet encryption whereas RADIUS offers password‐only  encryption in authentication requests.  TACACS+ separates authentication, authorization and accounting. How TACACS+ Authentication Works TACACS+ works much in the same way as RADIUS authentication as described on  page 100. 1. Remote administrator connects to the switch and provides user name and  password. 2. Using Authentication/Authorization protocol, the switch sends request to  authentication server. 3. Authentication server checks the request against the user ID database. 4. Using TACACS+ protocol, the authentication server instructs the switch to grant or  deny administrative access. During a session, if additional authorization checking is needed, the switch checks  with a TACACS+ server to determine if the user is granted permission to use a ...
  • Page 105: Tacacs+ Authentication Features In Lenovo Enos

    TACACS+ Authentication Features in Lenovo ENOS Authentication is the action of determining the identity of a user, and is generally  done when the user first attempts to log in to a device or gain access to its services.  Lenovo ENOS supports ASCII inbound login to the device. PAP, CHAP and ARAP  login methods, TACACS+ change password requests, and one‐time password  authentication are not supported. Authorization Authorization is the action of determining a user’s privileges on the device, and  usually takes place after authentication. The default mapping between TACACS+ authorization levels and Lenovo ENOS  management access levels is shown in Table 9. The authorization levels listed in  this table must be defined on the TACACS+ server.  Table 9.  Default TACACS+ Authorization Levels Lenovo ENOS User Access TACACS+ Level Level user oper admin (USERID) Alternate mapping between TACACS+ authorization levels and Lenovo ENOS  management access levels is shown in Table 10. Use the following command to use  the alternate TACACS+ authorization levels:     NE2552E(config)# tacacs-server privilege-mapping Table 10.
  • Page 106: Local Access

    Local Access The administrator has an option to allow local access via Telnet using the  command: NE2552E(config)# tacacs-server backdoor The default value for Telnet access is disabled. The administrator also can enable  secure local access to allow access if both the primary and the secondary TACACS+  servers fail to respond. The command for this is: NE2552E(config)# tacacs-server secure-backdoor Note: To obtain the TACACS+ local access password for your switch, contact your  Service and Support line. Accounting Accounting is the action of recording a userʹs activities on the device for the  purposes of billing and/or security. It follows the authentication and authorization  actions. If the authentication and authorization is not performed via TACACS+,  there are no TACACS+ accounting messages sent out. You can use TACACS+ to record and track software login access, configuration  changes, and interactive commands. The NE2552E supports the following TACACS+ accounting attributes: protocol (console/telnet/ssh/http)   start_time  stop_time  elapsed_time  disc‐cause Note: When using the Browser‐Based Interface, the TACACS+ Accounting Stop  records are sent only if the Quit button on the browser is clicked. NE2552E Application Guide for ENOS 8.4...
  • Page 107: Command Authorization And Logging

    The following rules apply to TACACS+ command authorization and logging:  Only commands from a Console, Telnet, or SSH connection are sent for authori‐ zation and logging. SNMP, BBI, or file‐copy commands (for example, TFTP or  sync) are not sent. Only leaf‐level commands are sent for authorization and logging. For example:  NE2552E(config)#  is not sent, but the following command is sent:    NE2552E(config)# tacacs-server command-logging  The full path of each command is sent for authorization and logging. For  example: NE2552E(config)# tacacs-server command-logging  Command arguments are not sent for authorization.   Only executed commands are logged.  Invalid commands are checked by Lenovo ENOS and are not sent for authoriza‐ tion or logging. © Copyright Lenovo 2018 Chapter 5: Authentication & Authorization Protocols...
  • Page 108  Authorization is performed on each leaf‐level command separately. If the user  issues multiple commands at once, each command is sent separately as a full  path.  Only the following global commands are sent for authorization and logging: diff  ping  revert  telnet  traceroute  NE2552E Application Guide for ENOS 8.4...
  • Page 109: Tacacs+ Password Change

    NE2552E(config)# tacacs-server retransmit 3 NE2552E(config)# tacacs-server timeout 5 5. Configure custom privilege‐level mapping (optional). NE2552E(config)# tacacs-server user-mapping 2 user NE2552E(config)# tacacs-server user-mapping 3 user NE2552E(config)# tacacs-server user-mapping 4 user NE2552E(config)# tacacs-server user-mapping 5 oper © Copyright Lenovo 2018 Chapter 5: Authentication & Authorization Protocols...
  • Page 110: Ldap Authentication And Authorization

    LDAP Authentication and Authorization Lenovo ENOS supports the LDAP (Lightweight Directory Access Protocol)  method to authenticate and authorize remote administrators to manage the switch.  LDAP is based on a client/server model. The switch acts as a client to the LDAP  server. A remote user (the remote administrator) interacts only with the switch, not  the back‐end server and database. LDAP authentication consists of the following components: A protocol with a frame format that utilizes TCP over IP   A centralized server that stores all the user authorization information A client, in this case, the switch  Each entry in the LDAP server is referenced by its Distinguished Name (DN). The  DN consists of the user‐account name concatenated with the LDAP domain name.  If the user‐account name is John, the following is an example DN: uid=John,ou=people,dc=domain,dc=com Configuring the LDAP Server NE2552E user groups and user accounts must reside within the same domain. On  the LDAP server, configure the domain to include NE2552E user groups and user  accounts, as follows:  User Accounts: Use the uid attribute to define each individual user account.  User Groups: Use the members attribute in the groupOfNames object class to create the user  groups. The first word of the common name for each user group must be equal  to the user group names defined in the NE2552E, as follows: admin (USERID)  oper ...
  • Page 111: Configuring Ldap Authentication On The Switch

    NE2552E(config)# ldap-server domain <ou=people,dc=my‐domain,dc=com> 3. If desired, you may change the default TCP port number used to listen to LDAP. The well‐known port for LDAP is 389. NE2552E(config)# ldap-server port <1‐65000> 4. Configure the number of retry attempts for contacting the LDAP server and the  timeout period. NE2552E(config)# ldap-server retransmit 3  (number of server retries) NE2552E(config)# ldap-server timeout 10  (enter the timeout period in seconds) 5. You may change the default LDAP attribute (uid) or add a custom attribute. For  instance, Microsoft’s Active Directory requires the cn (common name) attribute.   NE2552E(config)# ldap-server attribute username <1‐128 alpha‐numeric characters> © Copyright Lenovo 2018 Chapter 5: Authentication & Authorization Protocols...
  • Page 112 NE2552E Application Guide for ENOS 8.4...
  • Page 113: Chapter 6. 802.1X Port-Based Network Access Control

    Chapter 6. 802.1X Port-Based Network Access Control Port‐Based Network Access control provides a means of authenticating and  authorizing devices attached to a LAN port that has point‐to‐point connection  characteristics. It prevents access to ports that fail authentication and  authorization. This feature provides security to ports of the NE2552E Flex Switch  (NE2552E) that connect to blade servers. The following topics are discussed in this section:  “Extensible Authentication Protocol over LAN” on page 114  “EAPoL Authentication Process” on page 115  “EAPoL Port States” on page 116  “Guest VLAN” on page 117  “Supported RADIUS Attributes” on page 118  “EAPoL Configuration Guidelines” on page 120 © Copyright Lenovo 2018...
  • Page 114: Extensible Authentication Protocol Over Lan

    Extensible Authentication Protocol over LAN Lenovo ENOS can provide user‐level security for its ports using the IEEE 802.1X  protocol, which is a more secure alternative to other methods of port‐based  network access control. Any device attached to an 802.1X‐enabled port that fails  authentication is prevented access to the network and denied services offered  through that port. The 802.1X standard describes port‐based network access control using Extensible  Authentication Protocol over LAN (EAPoL). EAPoL provides a means of  authenticating and authorizing devices attached to a LAN port that has  point‐to‐point connection characteristics and of preventing access to that port in  cases of authentication and authorization failures. EAPoL is a client‐server protocol that has the following components: Supplicant or Client   The Supplicant is a device that requests network access and provides the  required credentials (user name and password) to the Authenticator and the  Authenticator Server.  Authenticator  The Authenticator enforces authentication and controls access to the network.  The Authenticator grants network access based on the information provided by  the Supplicant and the response from the Authentication Server. The  Authenticator acts as an intermediary between the Supplicant and the  Authentication Server: requesting identity information from the client,  forwarding that information to the Authentication Server for validation,  relaying the server’s responses to the client, and authorizing network access  based on the results of the authentication exchange. The NE2552E acts as an  Authenticator.  Authentication Server The Authentication Server validates the credentials provided by the Supplicant  to determine if the Authenticator should grant access to the network. The  Authentication Server may be co‐located with the Authenticator. The NE2552E  relies on external RADIUS servers for authentication. Upon a successful authentication of the client by the server, the 802.1X‐controlled  port transitions from unauthorized to authorized state, and the client is allowed ...
  • Page 115: Eapol Authentication Process

    802.1x Client Server EAPOL IBM Switch RADIUS-EAP Authenticator Ethernet (RADIUS Client) UDP/IP Port Unauthorized EAPOL-Start EAP-Request (Credentials) EAP-Response (Credentials) Radius-Access-Request Radius-Access-Challenge EAP-Request (Credentials) EAP-Response (Credentials) Radius-Access-Request Radius-Access-Accept EAP-Success Port Authorized © Copyright Lenovo 2018 Chapter 6: 802.1X Port-Based Network Access Control...
  • Page 116: Eapol Message Exchange

    EAPoL Message Exchange During authentication, EAPOL messages are exchanged between the client and the  NE2552E authenticator, while RADIUS‐EAP messages are exchanged between the  NE2552E authenticator and the RADIUS server. Authentication is initiated by one of the following methods:  The NE2552E authenticator sends an EAP‐Request/Identity packet to the client  The client sends an EAPOL‐Start frame to the NE2552E authenticator, which  responds with an EAP‐Request/Identity frame. The client confirms its identity by sending an EAP‐Response/Identity frame to the  NE2552E authenticator, which forwards the frame encapsulated in a RADIUS  packet to the server. The RADIUS authentication server chooses an EAP‐supported authentication  algorithm to verify the client’s identity, and sends an EAP‐Request packet to the  client via the NE2552E authenticator. The client then replies to the RADIUS server  with an EAP‐Response containing its credentials. Upon a successful authentication of the client by the server, the 802.1X‐controlled  port transitions from unauthorized to authorized state, and the client is allowed  full access to services through the controlled port. When the client later sends an  EAPOL‐Logoff message to the NE2552E authenticator, the port transitions from  authorized to unauthorized state. If a client that does not support 802.1X connects to an 802.1X‐controlled port, the  NE2552E authenticator requests the clientʹs identity when it detects a change in the  operational state of the port. The client does not respond to the request, and the  port remains in the unauthorized state. Note: When an 802.1X‐enabled client connects to a port that is not  802.1X‐controlled, the client initiates the authentication process by sending an  EAPOL‐Start frame. When no response is received, the client retransmits the  request for a fixed number of times. If no response is received, the client assumes  the port is in authorized state, and begins sending frames, even if the port is  unauthorized. EAPoL Port States The state of the port determines whether the client is granted access to the network,  as follows: ...
  • Page 117: Guest Vlan

    Guest VLAN The guest VLAN provides limited access to unauthenticated ports. The guest  VLAN can be configured using the following command:   NE2552E(config)# dot1x guest-vlan ? Client ports that have not received an EAPOL response are placed into the Guest  VLAN, if one is configured on the switch. Once the port is authenticated, it is  moved from the Guest VLAN to its configured VLAN.  When Guest VLAN enabled, the following considerations apply while a port is in  the unauthenticated state:  The port is placed in the guest VLAN. The Port VLAN ID (PVID) is changed to the Guest VLAN ID.   Port tagging is disabled on the port. © Copyright Lenovo 2018 Chapter 6: 802.1X Port-Based Network Access Control...
  • Page 118: Supported Radius Attributes

    Supported RADIUS Attributes The 802.1X Authenticator relies on external RADIUS servers for authentication  with EAP. Table 11lists the RADIUS attributes that are supported as part of  RADIUS‐EAP authentication based on the guidelines specified in Annex D of the  802.1X standard and RFC 3580. Table 11. Support for RADIUS Attributes # Attribute Attribute Value 1 User‐Name The value of the Type‐Data field  0‐1 from the supplicant’s  EAP‐Response/Identity  message. If the Identity is  unknown (i.e. Type‐Data field is  zero bytes in length), this  attribute will have the same  value as the Calling‐Station‐Id. 4 NAS‐IP‐Address IPv4 address of the  authenticator used for Radius  communication. 5 NAS‐Port Port number of the  authenticator port to which the  supplicant is attached. 24 State Server‐specific value. This is  0‐1 0‐1 0‐1 sent unmodified back to the ...
  • Page 119 80 Message‐ Always present whenever an  Authenticator EAP‐Message attribute is also  included. Used to  integrity‐protect a packet.  87 NAS‐Port‐ID Name assigned to the  authenticator port, e.g.  Server1_Port3 Legend: RADIUS Packet Types: A‐R (Access‐Request), A‐A (Access‐Accept),  A‐C (Access‐Challenge), A‐R (Access‐Reject) RADIUS Attribute Support: This attribute MUST NOT be present in a packet.   Zero or more instances of this attribute MAY be present in a packet. 0‐1 Zero or one instance of this attribute MAY be present in a packet.   Exactly one instance of this attribute MUST be present in a packet.  One or more of these attributes MUST be present. © Copyright Lenovo 2018 Chapter 6: 802.1X Port-Based Network Access Control...
  • Page 120: Eapol Configuration Guidelines

    EAPoL Configuration Guidelines When configuring EAPoL, consider the following guidelines:  The 802.1X port‐based authentication is currently supported only in  point‐to‐point configurations, that is, with a single supplicant connected to an  802.1X‐enabled switch port.  When 802.1X is enabled, a port has to be in the authorized state before any other  Layer 2 feature can be operationally enabled. For example, the STG state of a  port is operationally disabled while the port is in the unauthorized state.  The 802.1X supplicant capability is not supported. Therefore, none of its ports  can successfully connect to an 802.1X‐enabled port of another device, such as  another switch, that acts as an authenticator, unless access control on the remote  port is disabled or is configured in forced‐authorized mode. For example, if a  NE2552E is connected to another NE2552E, and if 802.1X is enabled on both  switches, the two connected ports must be configured in force‐authorized mode.  Unsupported 802.1X attributes include Service‐Type, Session‐Timeout, and  Termination‐Action.  RADIUS accounting service for 802.1X‐authenticated devices or users is not  currently supported.  Configuration changes performed using SNMP and the standard 802.1X MIB  will take effect immediately. NE2552E Application Guide for ENOS 8.4...
  • Page 121: Chapter 7. Access Control Lists

    Chapter 7. Access Control Lists Access Control Lists (ACLs) are filters that permit or deny traffic for security  purposes. They can also be used with QoS to classify and segment traffic in order  to provide different levels of service to different traffic types. Each filter defines the  conditions that must match for inclusion in the filter, and also the actions that are  performed when a match is made. Lenovo ENOS 8.4 supports the following ACLs:  IPv4 ACLs Up to 256 ACLs are supported for networks that use IPv4 addressing. IPv4  ACLs are configured using the following CLI menu:  NE2552E(config)# access-control list <IPv4 ACL number> IPv6 ACLs  Up to 256 ACLs are supported for networks that use IPv6 addressing. IPv6  ACLs are configured using the following CLI menu:  NE2552E(config)# access-control list6 <IPv6 ACL number>  Management ACLs Up to 128 MACLs are supported. ACLs for the different types of management  protocols (Telnet, HTTPS, etc.) provide greater granularity for securing  management traffic.  Management ACLs are configured using the following command:  NE2552E(config)# access-control macl <MACL number> © Copyright Lenovo 2018...
  • Page 122: Summary Of Packet Classifiers

    Summary of Packet Classifiers ACLs allow you to classify packets according to a variety of content in the packet  header (such as the source address, destination address, source port number,  destination port number, and others). Once classified, packet flows can be  identified for more processing. Regular ACLs allow you to classify packets based on the following packet  attributes:  Ethernet header options (for regular ACLs and VMaps only) Source MAC address  Destination MAC address  VLAN number and mask  Ethernet type (ARP, IPv4, MPLS, RARP, etc.)  Ethernet Priority (the IEEE 802.1p Priority)   IPv4 header options (for regular ACLs and VMaps only) Source IPv4 address and subnet mask  Destination IPv4 address and subnet mask  Type of Service value  IP protocol number or name as shown in Table  Table 12. Well‐Known Protocol Types Number Protocol Name icmp igmp ospf vrrp NE2552E Application Guide for ENOS 8.4...
  • Page 123 1985 hsrp gopher snmptrap TCP/UDP application destination port and mask as shown in Table  TCP/UDP flag value as shown in Table 14.   Table 14. Well‐Known TCP flag values Flag Value 0x0020 0x0010 0x0008 0x0004 0x0002 0x0001  Packet format (for regular ACLs and VMaps only) Ethernet format (eth2, SNAP, LLC)  Ethernet tagging format  IP format (IPv4)   Egress port packets (for all ACLs) © Copyright Lenovo 2018 Chapter 7: Access Control Lists...
  • Page 124: Summary Of Acl Actions

    Summary of ACL Actions Once classified using ACLs, the identified packet flows can be processed  differently. For each ACL, an action can be assigned. The action determines how the  switch treats packets that match the classifiers assigned to the ACL. NE2552E ACL  actions include the following:  Pass or Drop the packet  Re‐mark the packet with a new DiffServ Code Point (DSCP)  Re‐mark the 802.1p field  Set the COS queue Assigning Individual ACLs to a Port Once you configure an ACL, you must assign the ACL to the appropriate ports.  Each port can accept multiple ACLs, and each ACL can be applied for multiple  ports. ACLs can be assigned individually, or in groups. To assign an individual ACL to a port, use the following IP interface commands:   NE2552E(config)# interface port <port> NE2552E(config-if)# access-control list <IPv4 ACL number> When multiple ACLs are assigned to a port, higher‐priority ACLs are considered  first, and their action takes precedence over lower‐priority ACLs. ACL order of  precedence is discussed in the next section. To create and assign ACLs in groups, see “ACL Groups” on page 125. ACL Order of Precedence When multiple ACLs are assigned to a port, they are evaluated in numeric ...
  • Page 125: Acl Groups

    Action = deny ACL 3: Priority = 7 DIP = 10.10.10.3 (255.255.255.0) Action = permit ACL Groups organize ACLs into traffic profiles that can be more easily assigned  to ports. The NE2552E supports up to 256 ACL Groups. Note: ACL Groups are used for convenience in assigning multiple ACLs to ports.  ACL Groups have no effect on the order in which ACLs are applied (see “ACL  Order of Precedence” on page 124). All ACLs assigned to the port (whether  individually assigned or part of an ACL Group) are considered as individual ACLs  for the purposes of determining their order of precedence. Assigning ACL Groups to a Port To assign an ACL Group to a port, use the following commands:   NE2552E(config)# interface port <port> NE2552E(config-if)# access-control group <ACL group number> NE2552E(config-if)# exit © Copyright Lenovo 2018 Chapter 7: Access Control Lists...
  • Page 126: Acl Metering And Re-Marking

    ACL Metering and Re-Marking You can define a profile for the aggregate traffic flowing through the switch by  configuring a QoS meter (if desired) and assigning ACLs to ports. Note: When you add ACLs to a port, make sure they are ordered correctly in terms  of precedence (see “ACL Order of Precedence” on page 124). Actions taken by an ACL are called In‐Profile actions. You can configure additional  In‐Profile and Out‐of‐Profile actions on a port. Data traffic can be metered, and  re‐marked to ensure that the traffic flow provides certain levels of service in terms  of bandwidth for different types of network traffic. Metering QoS metering provides different levels of service to data streams through  user‐configurable parameters. A meter is used to measure the traffic stream against  a traffic profile which you create. Thus, creating meters yields In‐Profile and  Out‐of‐Profile traffic for each ACL, as follows:  In‐Profile–If there is no meter configured or if the packet conforms to the meter,  the packet is classified as In‐Profile.  Out‐of‐Profile–If a meter is configured and the packet does not conform to the  meter (exceeds the committed rate or maximum burst rate of the meter), the  packet is classified as Out‐of‐Profile. Using meters, you set a Committed Rate in Kbps (1000 bits per second in each  Kbps). All traffic within this Committed Rate is In‐Profile. Additionally, you can  set a Maximum Burst Size that specifies an allowed data burst larger than the  Committed Rate for a brief period. These parameters define the In‐Profile traffic. Meters keep the sorted packets within certain parameters. You can configure a  meter on an ACL, and perform actions on metered traffic, such as packet  re‐marking. Re-Marking Re‐marking allows for the treatment of packets to be reset based on new network  specifications or desired levels of service. You can configure the ACL to re‐mark a  packet as follows:  Change the DSCP value of a packet, used to specify the service level that traffic  should receive. ...
  • Page 127: Acl Port Mirroring

    NE2552E(config)# access-control list <ACL number> statistics ACL Logging ACLs are generally used to enhance port security. Traffic that matches the  characteristics (source addresses, destination addresses, packet type, etc.) specified  by the ACLs on specific ports is subject to the actions (chiefly permit or deny)  defined by those ACLs. Although switch statistics show the number of times  particular ACLs are matched, the ACL logging feature can provide additional  insight into actual traffic patterns on the switch, providing packet details in the  system log for network debugging or security purposes. Enabling ACL Logging By default, ACL logging is disabled. Enable or disable ACL logging on a per‐ACL  basis as follows: NE2552E(config)# [no] access-control list <IPv4 ACL number> log NE2552E(config)# [no] access-control list6 <IPv6 ACL number> log © Copyright Lenovo 2018 Chapter 7: Access Control Lists...
  • Page 128: Logged Information

    Logged Information When ACL logging is enabled on any particular ACL, the switch will collect  information about packets that match the ACL. The information collected depends  on the ACL type:  For IP‐based ACLs, information is collected regarding Source IP address  Destination IP address  TCP/UDP port number  ACL action  Number of packets logged  For example: Aug 21 15:30:43 TA_22 NOTICE ACL-LOG: %IP-NEW Src IP: 40.0.0.8, Dst IP: 40.0.0.1, Src Intf: EXT5, ACL: list 10, Action: deny, Hit-count: 1 ...
  • Page 129: Acl Logging Limitations

    To configure the maximum number of log entries cached in the software, use the  following command: NE2552E(config)# logging ip access-list cache entries <1‐100000> To configure the number of log messages generated and sent after the initial match,  in numbers of packets, use the following command: NE2552E(config)# logging ip access-list cache threshold <0‐1000000> ACL Logging Limitations ACL logging reserves packet queue 1 for internal use. Features that allow  remapping packet queues (such as CoPP) may not behave as expected if other  packet flows are reconfigured to use queue 1. © Copyright Lenovo 2018 Chapter 7: Access Control Lists...
  • Page 130: Acl Configuration Examples

    ACL Configuration Examples ACL Example 1 Use this configuration to block traffic to a specific host. All traffic that ingresses on  port EXT1 is denied if it is destined for the host at IP address 100.10.1.1. 1. Configure an Access Control List.   NE2552E(config)# access-control list 1 ipv4 destination-ip-address 100.10.1.1 NE2552E(config)# access-control list 1 action deny 2. Add ACL 1 to port EXT1.   NE2552E(config)# interface port EXT1 NE2552E(config-if)# access-control list 1 NE2552E(config-if)# exit ACL Example 2 Use this configuration to block traffic from a network destined for a specific host  address. All traffic that ingresses in port EXT2 with source IP from class  100.10.1.0/24 and destination IP 200.20.2.2 is denied.
  • Page 131: Acl Example 3

    NE2552E(config)# access-control list 4 ipv4 source-ip-address 100.10.1.0 255.255.255.0 NE2552E(config)# access-control list 4 egress-port 3 NE2552E(config)# access-control list 4 action deny 2. Add ACL 4 to port EXT1.  NE2552E(config)# interface port EXT1 NE2552E(config-if)# access-control list 4 NE2552E(config-if)# exit © Copyright Lenovo 2018 Chapter 7: Access Control Lists...
  • Page 132: Management Acls

    Management ACLs Management ACLs (MACLs) filter inbound traffic (traffic heading toward the  CPU). MACLs are applied switch‐wide. Traffic can be filtered based on the  following:  IPv4 source address  IPv4 destination address  IPv4 protocols   TCP/UDP destination or source port Lower MACL numbers have higher priority. Up to 128 MACLs can be configured. Following is an example MACL configuration based on a destination IP address  and a TCP‐UDP destination port:    NE2552E(config)# access-control macl 1 ipv4 destination-ip-address 1.1.1.1 255.255.255.0 NE2552E(config)# access-control macl 1 tcp-udp destination-port 111 0xffff NE2552E(config)# access-control macl 1 statistics NE2552E(config)# access-control macl 1 action permit NE2552E(config)# access-control macl 1 enable Use the following command to view the MACL configuration:  ...
  • Page 133: Part 3: Switch Basics

    Part 3: Switch Basics This section discusses basic switching functions:  VLANs  Port Aggregation  Spanning Tree Protocols (Spanning Tree Groups, Rapid Spanning Tree Protocol  and Multiple Spanning Tree Protocol)  Quality of Service © Copyright Lenovo 2018...
  • Page 134 NE2552E Application Guide for ENOS 8.4...
  • Page 135: Chapter 8. Vlans

    Chapter 8. VLANs This chapter describes network design and topology considerations for using  Virtual Local Area Networks (VLANs). VLANs are commonly used to split up  groups of network users into manageable broadcast domains, to create logical  segmentation of workgroups, and to enforce security policies among logical  segments. The following topics are discussed in this chapter:  “VLANs and Port VLAN ID Numbers” on page 137  “VLAN Tagging/Trunk Mode” on page 140  “VLAN Topologies and Design Considerations” on page 145  “Protocol‐Based VLANs” on page 148 “Private VLANs” on page 151  Note: Basic VLANs can be configured during initial switch configuration (see  “Using the Setup Utility” in the NE2552E Lenovo ENOS 8.4 Command Reference).  More comprehensive VLAN configuration can be done from the Command Line  Interface (see “VLAN Configuration” as well as “Port Configuration” in the  NE2552E Lenovo ENOS 8.4 Command Reference). © Copyright Lenovo 2018...
  • Page 136: Vlans Overview

    VLANs Overview Setting up virtual LANs (VLANs) is a way to segment networks to increase  network flexibility without changing the physical network topology. With network  segmentation, each switch port connects to a segment that is a single broadcast  domain. When a switch port is configured to be a member of a VLAN, it is added  to a group of ports (workgroup) that belong to one broadcast domain. Ports are grouped into broadcast domains by assigning them to the same VLAN.  Frames received in one VLAN can only be forwarded within that VLAN, and  multicast, broadcast, and unknown unicast frames are flooded only to ports in the  same VLAN. The NE2552E automatically supports jumbo frames. This default cannot be  manually configured or disabled.  The NE2552E Flex Switch (NE2552E) supports jumbo frames with a Maximum  Transmission Unit (MTU) of 9,216 bytes. Within each frame, 18 bytes are reserved  for the Ethernet header and CRC trailer. The remaining space in the frame (up to  9,198 bytes) comprise the packet, which includes the payload of up to 9,000 bytes  and any additional overhead, such as 802.1q or VLAN tags. Jumbo frame support  is automatic: it is enabled by default, requires no manual configuration, and cannot  be manually disabled. Note: Jumbo frames are not supported for traffic sent to switch management  interfaces. NE2552E Application Guide for ENOS 8.4...
  • Page 137: Vlans And Port Vlan Id Numbers

    Default VLAN INTA2-INTB14 EXT9/1-EXT12/4 VLAN 10 EXT5-EXT12/4 VLAN 20 EXT3 EXT4 VLAN 40 empty VLAN 60 EXT1 VLAN 80 INTA1 EXT1 EXT2 EXT5-EXT12/4 4095 Mgmt VLAN EXTM MGT1 Note: The sample screens that appear in this document might differ slightly from  the screens displayed by your system. Screen content varies based on the type of  blade chassis unit that you are using and the firmware versions and options that  are installed. © Copyright Lenovo 2018 Chapter 8: VLANs...
  • Page 138: Pvid/Native Vlan Numbers

    PVID/Native VLAN Numbers Each port in the switch has a configurable default VLAN number, known as its  PVID. By default, the PVID for all non‐management ports is set to 1, which  correlates to the default VLAN ID. The PVID for each port can be configured to any  VLAN number between 1 and 4094. Use the following CLI commands to view PVIDs:  Port information:      NE2552E# show interface information (or) NE2552E# show interface trunk Port Tag RMON Lrn Fld tis tes PVID DESCRIPTION VLAN(s) NVLAN ------- --- ---- --- --- --- --- ------ -------------- ---------------- INTA1 INTA1 INTA2...
  • Page 139  Port Configuration: Access mode port:    NE2552E(config)# interface port <portr> NE2552E(config-if)# switchport access vlan <VLAN ID> Trunk mode port:    NE2552E(config)# interface port <port> NE2552E(config-if)# switchport trunk native vlan <VLAN ID> Each port on the switch can belong to one or more VLANs, and each VLAN can  have any number of switch ports in its membership. Any port that belongs to  multiple VLANs, however, must have VLAN tagging enabled (see “VLAN  Tagging/Trunk Mode” on page 140). © Copyright Lenovo 2018 Chapter 8: VLANs...
  • Page 140: Vlan Tagging/Trunk Mode

    VLAN Tagging/Trunk Mode Lenovo ENOS software supports 802.1Q VLAN tagging, providing  standards‐based VLAN support for Ethernet systems. Tagging places the VLAN identifier in the frame header of a packet, allowing each  port to belong to multiple VLANs. When you add a port to multiple VLANs, you  also must enable tagging on that port. Since tagging fundamentally changes the format of frames transmitted on a tagged  port, you must carefully plan network designs to prevent tagged frames from  being transmitted to devices that do not support 802.1Q VLAN tags, or devices  where tagging is not enabled. Important terms used with the 802.1Q tagging feature are:  VLAN identifier (VID)—the 12‐bit portion of the VLAN tag in the frame header  that identifies an explicit VLAN.  Port VLAN identifier (PVID)—a classification mechanism that associates a port  with a specific VLAN. For example, a port with a PVID of 3 (PVID =3) assigns all  untagged frames received on this port to VLAN 3. Any untagged frames  received by the switch are classified with the PVID of the receiving port.  Tagged frame—a frame that carries VLAN tagging information in the header.  This VLAN tagging information is a 32‐bit field (VLAN tag) in the frame header  that identifies the frame as belonging to a specific VLAN. Untagged frames are  marked (tagged) with this classification as they leave the switch through a port  that is configured as a tagged port.  Untagged frame— a frame that does not carry any VLAN tagging information  in the frame header.  Untagged member—a port that has been configured as an untagged member of  a specific VLAN. When an untagged frame exits the switch through an  untagged member port, the frame header remains unchanged. When a tagged  frame exits the switch through an untagged member port, the tag is stripped  and the tagged frame is changed to an untagged frame.  Tagged member—a port that has been configured as a tagged member of a  specific VLAN. When an untagged frame exits the switch through a tagged  member port, the frame header is modified to include the 32‐bit tag associated ...
  • Page 141 Port 1 Port 2 Port 3 Tagged member PVID = 2 of VLAN 2 Untagged packet 802.1Q Switch Data B efore Port 6 Port 7 Port 8 Untagged member of VLAN 2 BS45011A © Copyright Lenovo 2018 Chapter 8: VLANs...
  • Page 142 As shown in Figure 4, the untagged packet is marked (tagged) as it leaves the  switch through port 5, which is configured as a tagged member of VLAN 2. The  untagged packet remains unchanged as it leaves the switch through port 7, which  is configured as an untagged member of VLAN 2. Figure 4. 802.1Q tagging (after port‐based VLAN assignment) Tagged member PVID = 2 Port 1 Port 2 Port 3 of VLAN 2 802.1Q Switch CRC* Data (*Recalculated) Port 6 Port 7 Port 8 8100 Priority VID = 2 Untagged memeber of VLAN 2 16 bits 3 bits...
  • Page 143 16 bits 3 bits 1 bit 12 bits Data After Outgoing untagged packet changed (tag removed) Priority - User_priority - Canonical format indicator - VLAN identifier BS45014A Note: Setting the configuration to factory default (NE2552E(config)# boot configuration-block factory) will reset all non‐management ports to  VLAN 1. © Copyright Lenovo 2018 Chapter 8: VLANs...
  • Page 144: Ingress Vlan Tagging

    Ingress VLAN Tagging Tagging can be enabled on an ingress port. When a packet is received on an ingress  port, and if ingress tagging is enabled on the port, a VLAN tag with the port PVID  is inserted into the packet as the outer VLAN tag. Depending on the egress port  setting (tagged or untagged), the outer tag of the packet is retained or removed  when it leaves the egress port. Ingress VLAN tagging is used to tunnel packets through a public domain without  altering the original 802.1Q status. When ingress tagging is enabled on a port, all packets, whether untagged or  tagged, will be tagged again. As shown in Figure 7, when tagging is enabled on the  egress port, the outer tag of the packet is retained when it leaves the egress port. If  tagging is disabled on the egress port, the outer tag of the packet is removed when  it leaves the egress port. Figure 7. 802.1Q tagging (after ingress tagging assignment)  Untagged packet received on ingress port 802.1Q Switch Port 1 Port 2 Port 3 Tagg PVID = 2 of V Untagged packet CRC* Data Data...
  • Page 145: Vlan Topologies And Design Considerations

    Multiple management VLANs can be configured on the switch, in addition to the  default VLAN 4095, using the following commands:  NE2552E(config)# vlan <VLAN ID (3‐4094)> NE2552E(config-vlan)# management When using Spanning Tree, STG 2‐128/256 may contain only one VLAN unless   Multiple Spanning‐Tree Protocol (MSTP) mode is used. With MSTP mode,  STG 1 to 32 can include multiple VLANs. VLAN Configuration Rules VLANs operate according to specific configuration rules. When creating VLANs,  consider the following rules that determine how the configured VLAN reacts in  any network topology:  All ports involved in aggregation and port mirroring must have the same VLAN  configuration. If a port is on a LAG with a mirroring port, the VLAN configura‐ tion cannot be changed. For more information about aggregation, see  “Configuring a Static LAG” on page 165.  If a port is configured for port mirroring, the port’s VLAN membership cannot be  changed. For more information on configuring port mirroring, see “Port Mirroring” on page 547.  Management VLANs must contain the management port, and can include one or  more internal ports (INTx). External ports (EXTx) cannot be members of any  management VLAN. © Copyright Lenovo 2018 Chapter 8: VLANs...
  • Page 146: Example: Multiple Vlans With Tagging Adapters

    Example: Multiple VLANs with Tagging Adapters Figure 8. Multiple VLANs with VLAN‐Tagged Gigabit Adapters Server #1 Server #2 VLAN #3 VLAN #1, 2, 3 Switch Module Switch Module Shared Media Gigabit/Tagged adapter PC #1 PC #2 PC #3 PC #4 PC #5 VLAN #2 VLAN #2 VLAN #1 VLAN #3 VLAN #1 &...
  • Page 147 Component Description PC #4  A member of VLAN 3, this PC can only communicate with  Server 1 and Server 2. The associated external switch port has  tagging disabled.  PC #5  A member of both VLAN 1 and VLAN 2, this PC has a  VLAN‐tagging Gigabit Ethernet adapter installed. It can  communicate with Server 2 and PC 3 via VLAN 1, and to Server 2,  PC 1 and PC 2 via VLAN 2. The associated external switch port is a  member of VLAN 1 and VLAN 2, and has tagging enabled.  Note: VLAN tagging is required only on ports that are connected to other  NE2552Es or on ports that connect to tag‐capable end‐stations, such as servers with  VLAN‐tagging adapters. © Copyright Lenovo 2018 Chapter 8: VLANs...
  • Page 148: Protocol-Based Vlans

    Protocol-Based VLANs Protocol‐based VLANs (PVLANs) allow you to segment network traffic according  to the network protocols in use. Traffic for supported network protocols can be  confined to a particular port‐based VLAN. You can give different priority levels to  traffic generated by different network protocols. With PVLAN, the switch classifies incoming packets by Ethernet protocol of the  packets, not by the configuration of the ingress port. When an untagged or  priority‐tagged frame arrives at an ingress port, the protocol information carried in  the frame is used to determine a VLAN to which the frame belongs. If a frame’s  protocol is not recognized as a pre‐defined PVLAN type, the ingress port’s PVID is  assigned to the frame. When a tagged frame arrives, the VLAN ID in the frame’s  tag is used. Each VLAN can contain up to eight different PVLANs. You can configure separate  PVLANs on different VLANs, with each PVLAN segmenting traffic for the same  protocol type. For example, you can configure PVLAN 1 on VLAN 2 to segment  IPv4 traffic, and PVLAN 8 on VLAN 100 to segment IPv4 traffic. To define a PVLAN on a VLAN, configure a PVLAN number (1‐8) and specify the  frame type and the Ethernet type of the PVLAN protocol. You must assign at least  one port to the PVLAN before it can function. Define the PVLAN frame type and  Ethernet type as follows: Frame type—consists of one of the following values:  Ether2 (Ethernet II)  SNAP (Subnetwork Access Protocol)  LLC (Logical Link Control)   Ethernet type—consists of a 4‐digit (16 bit) hex value that defines the Ethernet  type. You can use common Ethernet protocol values, or define your own values.  Following are examples of common Ethernet protocol values: IPv4 = 0800  IPv6 = 86dd  ARP = 0806  Port-Based vs. Protocol-Based VLANs Each VLAN supports both port‐based and protocol‐based association, as follows: ...
  • Page 149: Pvlan Priority Levels

    140. Untagged ports must have PVLAN tagging disabled. Tagged ports can have  PVLAN tagging either enabled or disabled. PVLAN tagging has higher precedence than port‐based tagging. If a port is tag  enabled, and the port is a member of a PVLAN, the PVLAN tags egress frames that  match the PVLAN protocol. Use the tag‐pvlan command (vlan <x> protocol-vlan <x> tag-pvlan <x>)  to define the complete list of tag‐enabled ports in the PVLAN. Note that all ports  not included in the PVLAN tag list will have PVLAN tagging disabled. PVLAN Configuration Guidelines Consider the following guidelines when you configure protocol‐based VLANs:  Each port can support up to 8 VLAN protocols. The NE2552E can support up to 16 protocols simultaneously.   Each PVLAN must have at least one port assigned before it can be activated. The same port within a port‐based VLAN can belong to multiple PVLANs.   An untagged port can be a member of multiple PVLANs. A port cannot be a member of different VLANs with the same protocol   association. © Copyright Lenovo 2018 Chapter 8: VLANs...
  • Page 150: Configuring Pvlan

    Configuring PVLAN Follow this procedure to configure a Protocol‐based VLAN (PVLAN). 1. Configure VLAN tagging/trunk mode for ports. NE2552E(config)# interface port ext1,ext2 NE2552E(config-if)# switchport mode trunk NE2552E(config-if)# exit 2. Create a VLAN and define the protocol type(s) supported by the VLAN. NE2552E(config)# vlan 2 NE2552E(config-vlan)# protocol-vlan 1 frame-type ether2 0800 3. Configure the priority value for the protocol. NE2552E(config-vlan)# protocol-vlan 1 priority 2 4. Add member ports for this PVLAN. NE2552E(config-vlan)# protocol-vlan 1 member ext1,ext2 Note: If VLAN tagging is turned on and the port being added to the VLAN has a ...
  • Page 151: Private Vlans

     toward ports in the primary VLAN. Each Private VLAN can contain only one  Isolated VLAN. Community VLAN—carries upstream traffic from ports in the community   VLAN to other ports in the same community, and to ports in the primary  VLAN. Each Private VLAN can contain multiple community VLANs.  After you define the primary VLAN and one or more secondary VLANs, you map  the secondary VLAN(s) to the primary VLAN.  Private VLAN Ports Private VLAN ports are defined as follows:   Promiscuous—A promiscuous port is a port that belongs to the primary VLAN.  The promiscuous port can communicate with all the interfaces, including ports  in the secondary VLANs (Isolated VLAN and Community VLANs).   Isolated—An isolated port is a host port that belongs to an isolated VLAN. Each  isolated port has complete layer 2 separation from other ports within the same  private VLAN (including other isolated ports), except for the promiscuous  ports.  Traffic sent to an isolated port is blocked by the Private VLAN, except the   traffic from promiscuous ports.  Traffic received from an isolated port is forwarded only to promiscuous ports.    Community—A community port is a host port that belongs to a community  VLAN. Community ports can communicate with other ports in the same  community VLAN, and with promiscuous ports. These interfaces are isolated at  layer 2 from all other interfaces in other communities and from isolated ports  within the Private VLAN. © Copyright Lenovo 2018 Chapter 8: VLANs...
  • Page 152: Configuration Guidelines

    Configuration Guidelines The following guidelines apply when configuring Private VLANs:   Management VLANs cannot be Private VLANs. Management ports cannot be  members of a Private VLAN.  The default VLAN 1 cannot be a Private VLAN. IGMP Snooping must be disabled on Private VLANs.   All VLANs that comprise the Private VLAN must belong to the same Spanning  Tree Group.  A VLAN pair is a primary VLAN and one associated secondary VLAN (isolated  or community). The maximum number of VLAN pairs per port is 16. Configuration Example Follow this procedure to configure a Private VLAN.  1. Select a VLAN and define the Private VLAN type as primary.   NE2552E(config)# vlan 700 NE2552E(config-vlan)# private-vlan primary NE2552E(config-vlan)# exit 2. Configure a promiscuous port for VLAN 700.    NE2552E(config)# interface port 1 NE2552E(config-if)# switchport mode private-vlan NE2552E(config-if)# switchport private-vlan mapping 700 NE2552E(config-if)# exit 3.
  • Page 153 NE2552E(config-if)# exit NE2552E(config)# interface port 3 NE2552E(config-if)# switchport mode private-vlan NE2552E(config-if)# switchport private-vlan host-association 700 702 NE2552E(config-if)# exit 6. Verify the configuration.   NE2552E(config)# show vlan private-vlan Primary Secondary Type Ports ------- --------- --------------- --------------------------------- isolated community © Copyright Lenovo 2018 Chapter 8: VLANs...
  • Page 154 NE2552E Application Guide for ENOS 8.4...
  • Page 155: Chapter 9. Ports And Link Aggregation (Lag)

    Chapter 9. Ports and Link Aggregation (LAG) LAGs can provide super‐bandwidth, multi‐link connections between the NE2552E  Flex Switch (NE2552E) and other LAG‐capable devices. A LAG is a group of ports  that act together, combining their bandwidth to create a single, larger virtual link.  This chapter provides configuration background and examples for aggregating  multiple ports together:   “Configuring Port Modes” on page 156  “Configuring QSFP28 Ports” on page 160  “Aggregation Overview” on page 163  “Static LAGs” on page 164 “Configurable LAG Hash Algorithm” on page 167   “Link Aggregation Control Protocol” on page 169 © Copyright Lenovo 2018...
  • Page 156: Configuring Port Modes

    Configuring Port Modes The switch allows you to set the port mode. Select the port mode that fits your  network configuration. The NE2552E provides support for the following:  A combination of either 28x10G/25G or 14x50G ports internally.  8x10G/25G SFP28 ports that can be configured as 2x100G ports.  4x100G QSFP28 ports, and 10/100/1000 Base‐T management port externally. The  100G ports are capable of 1x40G configuration and 4x10G/25G, or 2x50G  breakout configurations. To configure the port modes, use the following command:  speed NE2552E(config-if)# {10000|25000|40000|50000|100000|auto} The following speed combinations are allowed on the internal ports: INTA1 INTB1 INTA2 INTB2 auto auto auto auto auto auto auto auto Note: Prior to setting the speed to auto, make sure to enable auto‐negotiation on  the ports. The following speed combinations are allowed on the external SFP ports: EXT1 EXT2 EXT3 EXT4 100G NE2552E Application Guide for ENOS 8.4...
  • Page 157: Considerations For Configuring Port Modes

    8.4.6/8.4.7 Command 8.4.8 Command translation boot port-mode 10Gports speed 10000 boot port-mode 25Gports speed 25000 boot port-mode 40Gports speed 40000 boot port-mode 50Gports speed 50000 boot port-mode 100Gports speed 100000 © Copyright Lenovo 2018 Chapter 9: Ports and Link Aggregation (LAG)
  • Page 158 Use the following commands to verify the port configuration:     NE2552E(config)# show interface information Port Tag RMON Lrn Fld tis tes PVID DESCRIPTION VLAN(s) NVLAN INTA1 INTA1 INTA2 INTA2 INTA3 INTA3 INTA4 INTA4 INTA5 INTA5 INTA6 INTA6 INTA7 INTA7 INTA8 INTA8 INTA9 INTA9 INTA10 INTA10 INTA11 INTA11 INTA12 INTA12 INTA13 INTA13 INTA14...
  • Page 159 EXT12/2 full* auto down EXT12/2 EXT12/3 full* auto down EXT12/3 EXT12/4 full* auto down EXT12/4 EXTM full EXTM MGT1 full MGT1 * = value set by configuration; not autonegotiated. © Copyright Lenovo 2018 Chapter 9: Ports and Link Aggregation (LAG)
  • Page 160: Configuring Qsfp28 Ports

    Configuring QSFP28 Ports The supported 4x100G QSFP28 ports are capable of 1x40G configuration and  4x10G/25G, or 2x50G breakout configurations,  as shown in Table 15.  Table 15. QSFP28 Port Numbering  QSFP28  40GbE/ 50GbE 10GbE/ Port Group 100GbE  mode 25GbE mode mode Port EXT9 Port  Ports EXT9/1, EXT9/3 Ports EXT9/1‐EXT9/4 EXT9/1 Port EXT10 Port  Ports EXT10/1, EXT10/3 Ports EXT10/1‐EXT10/4 EXT10/1 Port EXT11 Port  Ports EXT11/1, EXT11/3 Ports EXT11/1‐EXT11/4 EXT11/1 Port EXT12 Port  Ports EXT12/1, EXT12/3 Ports EXT12/1‐EXT12/4 EXT12/1 Note: By default, QSFP28 ports are configured as 25 Gb/s ports. NE2552E Application Guide for ENOS 8.4...
  • Page 161: Configuring Sfp Ports

    Configuring SFP Ports The supported 8x10G/25G SFP28 ports are capable of 2x100G ports configuration,  as shown in Table 16.  Table 16. SFP Port Numbering  SFP Port Group 100GbE mode 10GbE / 25GbE mode EXT1 EXT1 EXT1‐EXT4 EXT5 EXT5 EXT5‐EXT8 © Copyright Lenovo 2018 Chapter 9: Ports and Link Aggregation (LAG)
  • Page 162: Forwarding Error Correction

    Forwarding Error Correction The NE2572 switch supports forwarding error correction (FEC). Note: By default, this option is disabled on internal ports and set to auto on  external ports. To configure FEC, enter:   NE2552E(config-if)# fec {auto|cl74|cl91|off} where:   Parameter Description auto Enables and configures FEC automatically based on the port  speed for interfaces configured with 25 Gb/s, 40Gb/s, 50 Gb/s  or 100 Gb/s. cl74 Enables FEC with clause 74 for interfaces configured with 25  Gb/s, 40Gb/s, 50 Gb/s or 100 Gb/s port speeds. cl91 Enables FEC with clause 91 for interfaces configured with 25  Gb/s, 40 Gb/s, 50 Gb/s or 100 Gb/s port speeds. Disables FEC on the interface. NE2552E Application Guide for ENOS 8.4...
  • Page 163: Aggregation Overview

    Aggregation Overview When using LAGs between two switches, as shown in Figure 9, you can create a  virtual link between them, operating with combined throughput levels that  depends on how many physical ports are included. Two types of aggregation are available: static LAGs and dynamic Link  Aggregation Control Protocol (LACP) LAGs. Up to 52 LAGs of each type are  supported, depending of the number and type of available ports. Each LAG can  include up to 24 member ports. Figure 9. Link Aggregation Group (LAG)  Switch 1 Switch 2 LAGs are also useful for connecting a NE2552E to third‐party devices that support  link aggregation, such as Cisco routers and switches with EtherChannel  technology (not ISL aggregation technology) and Sunʹs Quad Fast Ethernet  Adapter. Static LAG technology is compatible with these devices when they are  configured manually. LAG traffic is statistically distributed among the ports in a LAG, based on a variety  of configurable options. Also, since each LAG is comprised of multiple physical links, the LAG is inherently  fault tolerant. As long as one connection between the switches is available, the  LAG remains active and statistical load balancing is maintained whenever a port in  the LAG is lost or returned to service.  © Copyright Lenovo 2018 Chapter 9: Ports and Link Aggregation (LAG)
  • Page 164: Static Lags

    Static LAGs When you create and enable a static LAG, the LAG members (switch ports) take on  certain settings necessary for correct operation of the aggregation feature. Before Configuring Static LAGs Before you configure your LAG, you must consider these settings, along with  specific configuration rules, as follows:  Read the configuration rules provided in the section, “Static LAG Configuration  Rules” on page 164.” Determine which switch ports are to become LAG members (the specific ports   making up the LAG).  Ensure that the chosen switch ports are set to enabled.  Ensure all member ports in a LAG have the same VLAN configuration.  Consider how the existing Spanning Tree will react to the new LAG  configuration. See “Spanning Tree Protocols” on page 173 for configuration  guidelines. Consider how existing VLANs will be affected by the addition of a LAG.  Static LAG Configuration Rules The aggregation feature operates according to specific configuration rules. When  creating LAGs, consider the following rules that determine how a LAG reacts in  any network topology:  All LAGs must originate from one network entity (a single device or multiple  devices acting in a stack) and lead to one destination entity. For example, you  cannot combine links from two different servers into one LAG.  Any physical switch port can belong to only one LAG.
  • Page 165: Configuring A Static Lag

    Configuring a Static LAG In the following example, three ports are aggregated between two switches. Figure 10. LAG Configuration Example Application Switch Application Switch LAG 3: Ports 2, 12, and 22 Lenovo Blade LAG 1: Ports EXT1, EXT2, and EXT3 Switch Lenovo Blade Chassis Prior to configuring each switch in the preceding example, you must connect to the  appropriate switch’s Command Line Interface (CLI) as the administrator. Note: For details about accessing and using any of the menu commands described  in this example, see the Lenovo ENOS Command Reference. © Copyright Lenovo 2018...
  • Page 166 1. Connect the switch ports that will be members in the LAG. 2. Configure the LAG using these steps on the NE2552E: a. Define a LAG. NE2552E(config)# portchannel 1 port ext1,ext2,ext3 (Add ports to LAG 1) NE2552E(config)# portchannel 1 enable b. Verify the configuration.   NE2552E(config)# show portchannel information Examine the resulting information. If any settings are incorrect, make  appropriate changes. 3. Repeat the process on the other switch. NE2552E(config)# portchannel 3 port 2,12,22 NE2552E(config)# portchannel 3 enable LAG 1 (on the NE2552E) is now connected to LAG 3 on the Application Switch. Note: In this example, a NE2552E and an application switch are used. If a  third‐party device supporting link aggregation is used (such as Cisco routers and  switches with EtherChannel technology or Sunʹs Quad Fast Ethernet Adapter),  LAGs on the third‐party device should be configured manually. Connection ...
  • Page 167: Configurable Lag Hash Algorithm

    For Layer 3 IPv4/IPv6 traffic, one of the following are permitted: Source IP address (sip)   NE2552E(config)# portchannel thash l3thash l3-source-ip-address Destination IP address (dip)   NE2552E(config)# portchannel thash l3thash l3-destination-ip-address Both source and destination IP address (enabled by default)  NE2552E(config)# portchannel thash l3thash l3-source-destination-ip If Layer 2 hashing is preferred for Layer 3 traffic, disable the Layer 3 sip and  dip hashing options and enable the useL2 option: NE2552E(config)# portchannel thash l3thash l3-use-l2-hash © Copyright Lenovo 2018 Chapter 9: Ports and Link Aggregation (LAG)
  • Page 168 Layer 3 traffic will then use Layer 2 options for hashing.  Ingress port number (disabled by default)   NE2552E(config)# portchannel thash ingress Layer 4 port information (disabled by default)    NE2552E(config)# portchannel thash l4port When enabled, Layer 4 port information (TCP, UPD, etc.) is added to the hash if  available. The L4port option is ignored when Layer 4 information is not  included in the packet (such as for Layer 2 packets) or when the useL2 option is  enabled. Note: For MPLS packets, Layer 4 port information is excluded from the hash  calculation. Instead, other IP fields are used, along with the first two MPLS labels. NE2552E Application Guide for ENOS 8.4...
  • Page 169: Link Aggregation Control Protocol

    Admin key: a port’s admin key is an integer value (1 ‐ 65535) that you can  configure in the CLI. Each NE2552E port that participates in the same LACP  LAG must have the same admin key value. The admin key is locally significant,  which means the partner switch does not need to use the same admin key value. For example, consider two switches, an Actor (the NE2552E) and a Partner  (another switch), as shown in Table Table 17. Actor vs. Partner LACP configuration Actor Switch Partner Switch 1 Port 38 (admin key = 100) Port 1 (admin key = 50) Port 39 (admin key = 100) Port 2 (admin key = 50) Port 40 (admin key = 100) Port 3 (admin key = 70) In the configuration shown in Table 17, Actor switch ports 38 and 39 aggregate to  form an LACP LAG with Partner switch ports 1 and 2. Only ports with the same  LAG ID are aggregated in the LAG. Actor switch port 40 is not aggregated in the  LAG because it has a different LAG ID. Switch ports configured with the same  admin key on the Actor switch but have a different LAG ID (due to Partner switch  admin key configuration or due to partner switch MAC address being different)  can be aggregated in another LAG i.e. Actor switch port 40 can be aggregated in  another LAG with ports that have the same LAG ID as port 40.  © Copyright Lenovo 2018 Chapter 9: Ports and Link Aggregation (LAG)
  • Page 170: Lacp Modes

    To avoid the Actor switch ports (with the same admin key) from aggregating in  another LAG, you can configure a LAG ID. Ports with the same admin key  (although with different LAG IDs) compete to get aggregated in a LAG. The LAG  ID for the LAG is decided based on the first port that is aggregated in the LAG.  Ports with this LAG ID get aggregated and the other ports are placed in  suspended mode. As per the configuration shown in Table 17, if port 38 gets  aggregated first, then the LAG ID of port 38 would be the LAG ID of the LAG. Port  40 would be placed in suspended mode. When in suspended mode, a port  transmits only LACP data units (LACPDUs) and discards all other traffic. A port may also be placed in suspended mode for the following reasons:  When LACP is configured on the port but it stops receiving LACPDUs from the  partner switch.  When the port has a different LAG ID because of the partner switch MAC being  different. For example: when a switch is connected to two partners. LAG ID can be configured using the following command:  NE2552E(config)# portchannel <53‐104> lacp key <adminkey of the LAG>  LACP provides for the controlled addition and removal of physical links for the  link aggregation. LACP Modes Each port in the NE2552E can have one of the following LACP modes. off (default)  The user can configure this port in to a regular static LAG. active  The port is capable of forming a LACP LAG. This port sends LACPDU packets  to partner system ports. passive  The port is capable of forming a LACP LAG. This port only responds to the  LACPDU packets sent from a LACP active port. Each active LACP port transmits LACP data units (LACPDUs), while each passive ...
  • Page 171: Lacp Individual

    NE2552E(config)# interface port <port> NE2552E(config-if)# no lacp suspend-individual This allows the selected ports to be treated as normal link‐up ports, which may  forward data traffic according to STP, Hot Links or other applications, if they do  not receive any LACPDUs. To configure the LACP individual setting for all the ports in a static LACP LAG,  use the following commands:   NE2552E(config-if)# interface portchannel lacp <LAG admin key> NE2552E(config-if)# [no] lacp suspend-individual Note: By default, ports are configured as below: external ports with lacp suspend-individual  internal ports with no lacp suspend-individual  © Copyright Lenovo 2018 Chapter 9: Ports and Link Aggregation (LAG)
  • Page 172: Configuring Lacp

    Configuring LACP Use the following procedure to configure LACP for ports INTA1 and INTA2 to  participate in a single link aggregation.  1. Configure port parameters. All ports that participate in the LACP LAG must have  the same settings, including VLAN membership.  2. Select the port range and define the admin key. Only ports with the same admin  key can form a LACP LAG.   NE2552E(config)# interface port inta1-inta2 NE2552E(config-if)# lacp key 100 3. Set the LACP mode.   NE2552E(config-if)# lacp mode active NE2552E(config-if)# exit 4. Optionally allow member ports to individually participate in normal data traffic if  no LACPDUs are received. NE2552E(config-if)# no lacp suspend-individual NE2552E(config-if)# exit 5. Set the link aggregation as static, by associating it with LAG ID 65:   NE2552E(config-if)# portchannel 65 lacp key 100 NE2552E Application Guide for ENOS 8.4...
  • Page 173: Chapter 10. Spanning Tree Protocols

    Chapter 10. Spanning Tree Protocols When multiple paths exist between two points on a network, Spanning Tree  Protocol (STP), or one of its enhanced variants, can prevent broadcast loops and  ensure that the NE2552E Flex Switch (NE2552E) uses only the most efficient  network path. This chapter covers the following topics:  “Spanning Tree Protocol Modes” on page 174  “Global STP Control” on page 174  “PVRST Mode” on page 175  “Rapid Spanning Tree Protocol” on page 187  “Multiple Spanning Tree Protocol” on page 189 “Port Type and Link Type” on page 193  © Copyright Lenovo 2018...
  • Page 174: Spanning Tree Protocol Modes

    Spanning Tree Protocol Modes Lenovo ENOS 8.4 supports the following STP modes:  Rapid Spanning Tree Protocol (RSTP) IEEE 802.1D (2004) RSTP allows devices to detect and eliminate logical loops in  a bridged or switched network. When multiple paths exist, STP configures the  network so that only the most efficient path is used. If that path fails, STP  automatically configures the best alternative active path on the network in order  to sustain network operations. RSTP is an enhanced version of IEEE 802.1D  (1998) STP, providing more rapid convergence of the Spanning Tree network  path states on STG 1. See “Rapid Spanning Tree Protocol” on page 187 for details.  Per‐VLAN Rapid Spanning Tree (PVRST+) PVRST mode is based on RSTP to provide rapid Spanning Tree convergence, but  supports instances of Spanning Tree, allowing one STG per VLAN. PVRST  mode is compatible with Cisco R‐PVST/R‐PVST+ mode. PVRST is the default Spanning Tree mode on the NE2552E. See “PVRST Mode”  on page 175 for details.  Multiple Spanning Tree Protocol (MSTP) IEEE 802.1Q (2003) MSTP provides both rapid convergence and load balancing  in a VLAN environment. MSTP allows multiple STGs, with multiple VLANs in  each. See “Multiple Spanning Tree Protocol” on page 189 for details. Global STP Control By default, the Spanning Tree feature is globally enabled on the switch, and is set  for PVRST mode. Spanning Tree (and thus any currently configured STP mode)  can be globally disabled or re‐enabled using the following commands:   (Globally disable Spanning Tree) NE2552E(config)# spanning-tree mode disable Spanning Tree can be re‐enabled by specifying the STP mode: ...
  • Page 175: Pvrst Mode

    IEEE 802.1Q tagging to differentiate STP BPDUs and is compatible with Cisco  R‐PVST/R‐PVST+ modes. The relationship between ports, LAGs, VLANs and Spanning Trees is shown in  Table Table 18. Ports, LAGs and VLANs Switch Element Belongs To Port LAG or one or more VLANs One or more VLANs VLAN (non‐default)  PVRST: One VLAN per STG  RSTP: All VLANs are in STG 1 MSTP: Multiple VLANs per STG  Port States The port state controls the forwarding and learning processes of Spanning Tree. In  PVRST, the port state has been consolidated to the following: discarding,  learning or forwarding. Due to the sequence involved in these STP states, considerable delays may occur  while paths are being resolved. To mitigate delays, ports defined as edge ports  (“Port Type and Link Type” on page 193) may bypass the discarding and  learning states, and enter directly into the forwarding state. © Copyright Lenovo 2018 Chapter 10: Spanning Tree Protocols...
  • Page 176: Bridge Protocol Data Units

    Bridge Protocol Data Units To create a Spanning Tree, the switch generates a configuration Bridge Protocol  Data Unit (BPDU), which it then forwards out of its ports. All switches in the Layer  2 network participating in the Spanning Tree gather information about other  switches in the network through an exchange of BPDUs. A bridge sends BPDU packets at a configurable regular interval (2 seconds by  default). The BPDU is used to establish a path, much like a hello packet in IP  routing. BPDUs contain information about the transmitting bridge and its ports,  including bridge MAC addresses, bridge priority, port priority, and path cost. If the  ports are tagged, each port sends out a special BPDU containing the tagged  information. The generic action of a switch on receiving a BPDU is to compare the received  BPDU to its own BPDU that it will transmit. If the priority of the received BPDU is  better than its own priority, it will replace its BPDU with the received BPDU. Then,  the switch adds its own bridge ID number and increments the path cost of the  BPDU. The switch uses this information to block any necessary ports. Note: If STP is globally disabled, BPDUs from external devices will transit the  switch transparently. If STP is globally enabled, for ports where STP is turned off,  inbound BPDUs will instead be discarded. Determining the Path for Forwarding BPDUs When determining which port to use for forwarding and which port to block, the  NE2552E uses information in the BPDU, including each bridge ID. A technique  based on the “lowest root cost” is then computed to determine the most efficient  path for forwarding. Bridge Priority The bridge priority parameter controls which bridge on the network is the STG  root bridge. To make one switch become the root bridge, configure the bridge  priority lower than all other switches and bridges on your network. The lower the  value, the higher the bridge priority. Use the following command to configure the  bridge priority:   NE2552E(config)# spanning-tree stp <STP instance or range>...
  • Page 177: Port Priority

    NE2552E(config-if)# spanning-tree guard root The default state is none (disabled).  Loop Guard In general, STP resolves redundant network topologies into loop‐free topologies.  The loop guard feature performs additional checking to detect loops that might not  be found using Spanning Tree. STP loop guard ensures that a non‐designated port  does not become a designated port. To globally enable loop guard, enter the following command:   NE2552E(config)# spanning-tree loopguard Note: The global loop guard command will be effective on a port only if the  port‐level loop guard command is set to default as shown below: NE2552E(config-if)# spanning-tree guard loop none To enable loop guard at the port level, enter the following command:   NE2552E(config)# interface port <port> NE2552E(config-if)# spanning-tree guard loop The default state is “none”, i.e. disabled. © Copyright Lenovo 2018 Chapter 10: Spanning Tree Protocols...
  • Page 178: Port Path Cost

    Port Path Cost The port path cost assigns lower values to high‐bandwidth ports, such as 10  Gigabit Ethernet, to encourage their use. The cost of a port also depends on  whether the port operates at full‐duplex (lower cost) or half‐duplex (higher cost).  For example, if a 100‐Mbps (Fast Ethernet) link has a “cost” of 10 in half‐duplex  mode, it will have a cost of 5 in full‐duplex mode. The objective is to use the fastest  links so that the route with the lowest cost is chosen. A value of 0 (the default)  indicates that the default cost will be computed for an auto‐negotiated link or LAG  speed. Use the following command to modify the port path cost:   NE2552E(config)# interface port <port> NE2552E(config-if)# spanning-tree stp <STP instance or range> path-cost <path cost  value>  NE2552E(config-if)# exit The port path cost can be a value from 1 to 200000000. Specify 0 for automatic path  cost. Simple STP Configuration Figure 11 depicts a simple topology using a switch‐to‐switch link between two  switches (via either external ports or internal Inter‐Switch Links).  Figure 11. Spanning Tree Blocking a Switch‐to‐Switch Link  Enterprise Routing Switches Switch 1 Switch 2 Blocks Link Server...
  • Page 179 Uplink Routing Failure Switches Switch 1 Switch 2 Restores Link Server Server Server Server In this example, port EXT1 on each switch is used for the switch‐to‐switch link. To  ensure that the NE2552E switch‐to‐switch link is blocked during normal operation,  the port path cost is set to a higher value than other paths in the network. To  configure the port path cost on the switch‐to‐switch links in this example, use the  following commands on each switch.   NE2552E(config)# interface port EXT1 NE2552E(config-if)# spanning-tree stp 1 path-cost 60000 NE2552E(config-if)# exit © Copyright Lenovo 2018 Chapter 10: Spanning Tree Protocols...
  • Page 180: Per-Vlan Spanning Tree Groups

    Per-VLAN Spanning Tree Groups PVRST mode supports a maximum of 128/256 STGs, with each STG acting as an  independent, simultaneous instance of STP. Multiple STGs provide multiple data paths which can be used for load‐balancing  and redundancy. To enable load balancing between two NE2552Es using multiple  STGs, configure each path with a different VLAN and then assign each VLAN to a  separate STG. Since each STG is independent, they each send their own IEEE  802.1Q tagged Bridge Protocol Data Units (BPDUs). Each STG behaves as a bridge group and forms a loop‐free topology. The default  STG 1 may contain multiple VLANs (typically until they can be assigned to  another STG). STGs 2‐128/256 may contain only one VLAN each. Using Multiple STGs to Eliminate False Loops Figure 13 shows a simple example of why multiple STGs are needed. In the figure,  two ports on a NE2552E are connected to two ports on an application switch. Each  of the links is configured for a different VLAN, preventing a network loop.  However, in the first network, since a single instance of Spanning Tree is running  on all the ports of the NE2552E, a physical loop is assumed to exist, and one of the  VLANs is blocked, impacting connectivity even though no actual loop exists. Figure 13. Using Multiple Instances of Spanning Tree Group Switch 1 Switch 2 STG 1 STG 2 False VLAN 1 VLAN 30...
  • Page 181: Vlan And Stg Assignment

    By default, all other STGs (STG 2 through 127/255) are enabled, though they  initially include no member VLANs. VLANs must be assigned to STGs. By default,  this is done automatically using VLAN Automatic STG Assignment (VASA),  though it can also be done manually (see “Manually Assigning STGs” on  page 182). When VASA is enabled (as by default), each time a new VLAN is configured, the  switch will automatically assign that new VLAN to its own STG. Conversely, when  a VLAN is deleted, if its STG is not associated with any other VLAN, the STG is  returned to the available pool. The specific STG number to which the VLAN is assigned is based on the VLAN  number itself. For low VLAN numbers (1 through 127/255), the switch will attempt  to assign the VLAN to its matching STG number. For higher numbered VLANs,  the STG assignment is based on a simple modulus calculation; the attempted STG  number will “wrap around,” starting back at the top of STG list each time the end  of the list is reached. However, if the attempted STG is already in use, the switch  will select the next available STG. If an empty STG is not available when creating a  new VLAN, the VLAN is automatically assigned to default STG 1. If ports are tagged, each tagged port sends out a special BPDU containing the  tagged information. Also, when a tagged port belongs to more than one STG, the  egress BPDUs are tagged to distinguish the BPDUs of one STG from those of  another STG. VASA is enabled by default, but can be disabled or re‐enabled using the following  command:   NE2552E(config)# [no] spanning-tree stg-auto If VASA is disabled, when you create a new VLAN, that VLAN automatically  belongs to default STG 1. To place the VLAN in a different STG, assign it manually. VASA applies only to PVRST mode and is ignored in RSTP and MSTP modes. © Copyright Lenovo 2018 Chapter 10: Spanning Tree Protocols...
  • Page 182: Manually Assigning Stgs

    Manually Assigning STGs The administrator may manually assign VLANs to specific STGs, whether or not  VASA is enabled. If no VLANs exist (other than default VLAN 1), see “Guidelines for Creating  VLANs” on page 182 for information about creating VLANs and assigning ports to  them. 2. Assign the VLAN to an STG using one of the following methods: From the global configuration mode:    NE2552E(config)# spanning-tree stp <STP instance or range> vlan <VLAN>  Or from within the VLAN configuration mode:  NE2552E(config)# vlan <VLAN number> NE2552E(config-vlan)# stg <STG number> NE2552E(config-vlan)# exit When a VLAN is assigned to a new STG, the VLAN is automatically removed from  its prior STG. Note: For proper operation with switches that use Cisco PVST+, it is  recommended that you create a separate STG for each VLAN. Guidelines for Creating VLANs  When you create a new VLAN, if VASA is enabled (the default), that VLAN is  automatically assigned its own STG. If VASA is disabled, the VLAN ...
  • Page 183: Adding And Removing Ports From Stgs

    VLAN is 3. Confirm changing PVID/Native VLAn from 3 to 1 [y/n]:" y  When you remove a port from VLAN that belongs to an STG, that port will also  be removed from the STG. However, if that port belongs to another VLAN in the  same STG, the port remains in the STG. As an example, assume that port 2 belongs to only VLAN 2, and that VLAN 2  belongs to STG 2. When you remove port 2 from VLAN 2, the port is moved to  default VLAN 1 and is removed from STG 2. However, if port 2 belongs to both VLAN 1 and VLAN 2, and both VLANs  belong to STG 1, removing port 2 from VLAN 2 does not remove port 2 from  STG 1, because the port is still a member of VLAN 1, which is still a member of  STG 1.  An STG cannot be deleted, only disabled. If you disable the STG while it still  contains VLAN members, Spanning Tree will be off on all ports belonging to  that VLAN. The relationship between port, LAGs, VLANs and Spanning Trees is shown in  Table 18 on page 175. © Copyright Lenovo 2018 Chapter 10: Spanning Tree Protocols...
  • Page 184: Switch-Centric Configuration

    Switch-Centric Configuration PVRST is switch‐centric: STGs are enforced only on the switch where they are  configured. The STG ID is not transmitted in the Spanning Tree BPDU. Each  Spanning Tree decision is based entirely on the configuration of the particular  switch. For example, in Figure 14, though VLAN 2 is shared by the Switch A and Switch B,  each switch is responsible for the proper configuration of its own ports, VLANs,  and STGs. Switch A identifies its own port 17 as part of VLAN 2 on STG 2, and the  Switch B identifies its own port 8 as part of VLAN 2 on STG 2. Figure 14. Implementing Multiple Spanning Tree Groups Chassis Application Switch A Switch B STG 2 VLAN 2 STG 3 VLAN 3 STG 1 VLAN 1 Application Application Switch C Switch D The VLAN participation for each Spanning Tree Group in Figure 14 on page 184 is ...
  • Page 185: Configuring Multiple Stgs

    NE2552E(config)# vlan 2 NE2552E(config-vlan)# stg 2 NE2552E(config-vlan)# exit NE2552E(config)# interface port 8 NE2552E(config-if)# switchport mode trunk NE2552E(config-if)# exit If VASA is disabled, enter the following command: NE2552E(config)# spanning-tree stp 2 vlan 2 © Copyright Lenovo 2018 Chapter 10: Spanning Tree Protocols...
  • Page 186 VLAN 2 is automatically removed from STG 1. By default VLAN 1 remains in STG 1. 4. Configure the following on application switch C: Add port 8 to VLAN 3. Ports 1 and 2 are by default in VLAN 1 assigned to STG 1.   NE2552E(config)# vlan 3 NE2552E(config-vlan)# stg 3 NE2552E(config-vlan)# exit NE2552E(config)# interface port 8 NE2552E(config-if)# switchport mode trunk NE2552E(config-if)# exit If VASA is disabled, enter the following command: NE2552E(config)# spanning-tree stp 3 vlan 3 VLAN 3 is automatically removed from STG 1. By default VLAN 1 remains in STG 1. Switch D does not require any special configuration for multiple Spanning Trees.  Switch D uses default STG 1 only.
  • Page 187: Rapid Spanning Tree Protocol

    IEEE 802.1D (2004), superseding the original STP standard. RSTP parameters apply only to Spanning Tree Group (STG) 1. The PVRST mode  STGs 2‐128/256 are not used when the switch is placed in RSTP mode.RSTP is  compatible with devices that run IEEE 802.1D (1998) Spanning Tree Protocol. If the  switch detects IEEE 802.1D (1998) BPDUs, it responds with IEEE 802.1D  (1998)‐compatible data units. RSTP is not compatible with Per‐VLAN Rapid  Spanning Tree (PVRST) protocol.  Note: In RSTP mode, Spanning Tree for the management ports is turned off by  default. Port States RSTP port state controls are the same as for PVRST: discarding, learning and  forwarding. Due to the sequence involved in these STP states, considerable delays may occur  while paths are being resolved. To mitigate delays, ports defined as edge ports  (“Port Type and Link Type” on page 193) may bypass the discarding and  learning states, and enter directly into the forwarding state. RSTP Configuration Guidelines This section provides important information about configuring RSTP. When RSTP  is turned on, the following occurs:  STP parameters apply only to STG 1.  Only STG 1 is available. All other STGs are turned off.  All VLANs, including management VLANs, are moved to STG 1. © Copyright Lenovo 2018 Chapter 10: Spanning Tree Protocols...
  • Page 188: Rstp Configuration Example

    RSTP Configuration Example This section provides steps to configure RSTP. 1. Configure port and VLAN membership on the switch. 2. Set the Spanning Tree mode to Rapid Spanning Tree.   NE2552E(config)# spanning-tree mode rstp 3. Configure RSTP parameters.   NE2552E(config)# spanning-tree stp 1 bridge priority 8192 NE2552E(config)# spanning-tree stp 1 bridge hello-time 5 NE2552E(config)# spanning-tree stp 1 bridge forward-delay 20 NE2552E(config)# spanning-tree stp 1 bridge maximum-age 30 NE2552E(config)# no spanning-tree stp 1 enable 4.
  • Page 189: Multiple Spanning Tree Protocol

    Type and Link Type” on page 193) bypass the Discarding and Learning states, and  enter directly into the Forwarding state. Note: In MSTP mode, Spanning Tree for the management ports is turned off by  default. MSTP Region A group of interconnected bridges that share the same attributes is called an MST  region. Each bridge within the region must share the following attributes:  Alphanumeric name Revision number   VLAN‐to STG mapping scheme MSTP provides rapid re‐configuration, scalability and control due to the support  of regions, and multiple Spanning‐Tree instances support within each region. Common Internal Spanning Tree The Common Internal Spanning Tree (CIST) provides a common form of Spanning  Tree Protocol, with one Spanning‐Tree instance that can be used throughout the  MSTP region. CIST allows the switch to interoperate with legacy equipment,  including devices that run IEEE 802.1D (1998) STP. CIST allows the MSTP region to act as a virtual bridge to other bridges outside of  the region, and provides a single Spanning‐Tree instance to interact with them. CIST port configuration includes Hello time, Edge port enable/disable, and Link  Type. These parameters do not affect Spanning Tree Groups 1–32. They apply only  when the CIST is used. © Copyright Lenovo 2018 Chapter 10: Spanning Tree Protocols...
  • Page 190: Mstp Configuration Guidelines

    MSTP Configuration Guidelines This section provides important information about configuring Multiple Spanning  Tree Groups: When MSTP is turned on, the switch automatically moves management VLAN   4095 to the CIST. When MSTP is turned off, the switch moves VLAN 4095 from  the CIST to Spanning Tree Group 128/256.  When you enable MSTP, you must configure the Region Name. A default  version number of 0 is configured automatically. Each bridge in the region must have the same name, version number and VLAN   mapping. MSTP Configuration Examples MSTP Configuration Example 1 This section provides steps to configure MSTP on the NE2552E. 1. Configure port and VLAN membership on the switch. 2. Configure Multiple Spanning Tree region parameters and set the mode to MSTP.  NE2552E(config)# spanning-tree mst configuration   (Enter MST configuration mode) NE2552E(config-mst)# name <name>                              (Define the Region name) NE2552E(config-mst)# revision 100                                       (Define the Revision level) NE2552E(config-mst)# exit NE2552E(config)# spanning-tree mode mst                 (Set mode to Multiple Spanning Trees) 3.
  • Page 191: Mstp Configuration Example 2

    Routing switches.    NE2552E(config)# interface port 19,20 NE2552E(config-if)# switchport mode trunk NE2552E(config-if)# exit 2. Configure MSTP: Spanning Tree mode, region name, and version.    NE2552E(config)# spanning-tree mst configuration NE2552E(config-mst)# name MyRegion (Define the Region name) NE2552E(config-mst)# revision 100 (Define the Revision level) NE2552E(config-mst)# exit NE2552E(config)# spanning-tree mode mst         (Set mode to Multiple Spanning Trees) © Copyright Lenovo 2018 Chapter 10: Spanning Tree Protocols...
  • Page 192 3. Map VLANs to MSTP instances:  NE2552E(config)# spanning-tree mst configuration NE2552E(config-mst)# instance 1 vlan 1 NE2552E(config-mst)# instance 2 vlan 2 4. Configure port membership and define the STGs for VLAN 2. Add server ports 3, 4  and 5 to VLAN 2. Add uplink ports 19 and 20 to VLAN 2. Assign VLAN 2 to STG 2.  NE2552E(config)# interface port 3,4,5,19,20 NE2552E(config-if)# switchport access vlan 2 NE2552E(config-if)# exit Note: Each STG is enabled by default. NE2552E Application Guide for ENOS 8.4...
  • Page 193: Port Type And Link Type

    NE2552E(config-if)# exit Link Type The link type determines how the port behaves in regard to Rapid Spanning Tree.  Use the following commands to define the link type for the port:   NE2552E(config)# interface port <port> NE2552E(config-if)# [no] spanning-tree link-type <type> NE2552E(config-if)# exit where type corresponds to the duplex mode of the port, as follows:  A full‐duplex link to another device (point‐to‐point) shared  A half‐duplex link is a shared segment and can contain more  than one device. auto  The switch dynamically configures the link type. Note:   Any STP port in full‐duplex mode can be manually configured as a shared  port when connected to a non‐STP‐aware shared device (such as a typical  Layer 2 switch) used to interconnect multiple STP‐aware devices. © Copyright Lenovo 2018 Chapter 10: Spanning Tree Protocols...
  • Page 194 NE2552E Application Guide for ENOS 8.4...
  • Page 195: Chapter 11. Virtual Link Aggregation Groups

    Peers Layer STP blocks Links remain VLAGs implicit loops active Access Layer Servers As shown in the example, a switch in the access layer may be connected to more  than one switch in the aggregation layer to provide for network redundancy.  Typically, Spanning Tree Protocol (RSTP, PVRST, or MSTP—see “Spanning Tree  Protocols” on page 173) is used to prevent broadcast loops, blocking redundant  uplink paths. This has the unwanted consequence of reducing the available  bandwidth between the layers by as much as 50%. In addition, STP may be slow to  resolve topology changes that occur during a link failure, and can result in  considerable MAC address flooding. Using Virtual Link Aggregation Groups (VLAGs), the redundant uplinks remain  active, utilizing all available bandwidth. Two switches are paired into VLAG peers, and act as a single virtual entity for the  purpose of establishing a multi‐port aggregation. Ports from both peers can be  grouped into a VLAG and connected to the same LAG‐capable target device. From  the perspective of the target device, the ports connected to the VLAG peers appear  to be a single LAG connecting to a single logical device. The target device uses the  configured Tier ID to identify the VLAG peers as this single logical device. It is  important that you use a unique Tier ID for each VLAG pair you configure. The  VLAG‐capable switches synchronize their logical view of the access layer port  structure and internally prevent implicit loops. The VLAG topology also responds  more quickly to link failure and does not result in unnecessary MAC flooding. VLAGs are also useful in multi‐layer environments for both uplink and downlink  redundancy to any regular LAG‐capable device. For example: © Copyright Lenovo 2018...
  • Page 196 Figure 17. VLAG Application with Multiple Layers Layer 2/3 Border LACP-capable Routers VLAG 5 VLAG 6 Layer 2 Region VLAG with multiple levels Peers C VLAG 3 VLAG 3 VLAG 4 VLAG VLAG Peers A Peers B VLAG 1 VLAG 2 LACP-capable Switch LACP-capable Server Servers Wherever ports from both peered switches are aggregated to another device, the ...
  • Page 197 In addition, when used with VRRP, VLAGs can provide seamless active‐active  failover for network links. For example: Figure 18. VLAG Application with VRRP VLAG Peers VRRP VRRP VLAG Master Backup Note: VLAG is not compatible with UFP vPorts on the same ports. © Copyright Lenovo 2018 Chapter 11: Virtual Link Aggregation Groups...
  • Page 198: Vlag Capacities

    VLAG Capacities Servers or switches that connect to the VLAG peers using a multi‐port VLAG are  considered VLAG clients. VLAG clients are not required to be VLAG‐capable. The  ports participating in the VLAG are configured as regular port LAGs on the VLAG  client end. On the VLAG peers, the VLAGs are configured similarly to regular port LAGs,  using many of the same features and rules. See “Ports and Link Aggregation  (LAG)” on page 155 for general information concerning all port LAGs. Each VLAG begins as a regular port LAG on each VLAG‐peer switch. The VLAG  may be either a static LAG (portchannel) or dynamic LACP LAG and consumes  one slot from the overall port LAG capacity pool. The type of aggregation must  match that used on VLAG client devices. Additional configuration is then required  to implement the VLAG on both VLAG peer switches. You may configure up to 52 LAGs on the switch, with all types (regular or VLAG,  static or LACP) sharing the same pool. The maximum number of configurable VLAG instances is as follows: With STP off: Maximum of 31 VLAG instances   With STP on: PVRST/MSTP with one VLAG instance per VLAN/STG: Maximum of 31   VLAG instances PVRST/MSTP with one VLAG instance belonging to multiple   VLANs/STGs: Maximum of 20 VLAG instances Note: VLAG is not supported in RSTP mode. Each type of aggregation can contain up to 32 member ports, depending on the  port type and availability. NE2552E Application Guide for ENOS 8.4...
  • Page 199: Vlags Versus Port Lags

     A VLAG can consist of multiple ports on two VLAG peers, which are connected  to one logical client device such as a server, switch or another VLAG device.  The participating ports on the client device are configured as a regular port  LAG.  The VLAG peers must be the same model and run the same software version.  VLAG peers require a dedicated inter‐switch link (ISL) for synchronization. The  ports used to create the ISL must have the following properties: ISL ports must have VLAN tagging turned on.  ISL ports must be configured for all VLAG VLANs.  ISL ports must be placed into a regular port LAG (dynamic or static).  A minimum of two ports on each switch are recommended for ISL use.  Dynamic routing protocols, such as OSPF, cannot terminate on VLAGs.   Routing over VLAGs is not supported. However, IP forwarding between  subnets served by VLAGs can be accomplished using VRRP.  VLAGs are configured using additional commands.  It is recommended that end‐devices connected to VLAG switches use NICs with  dual‐homing. This increases traffic efficiency, reduces ISL load and provides  faster link failover. © Copyright Lenovo 2018 Chapter 11: Virtual Link Aggregation Groups...
  • Page 200: Configuring Vlags

    Configuring VLAGs When configuring VLAG or making changes to your VLAG configuration,  consider the following VLAG behavior:  When adding a static Mrouter on VLAG links, ensure that you also add it on the  ISL link to avoid VLAG link failure. If the VLAG link fails, traffic cannot be  recovered through the ISL. Also, make sure you add the same static entry on the  peer VLAG switch for VLAG ports. When you enable VLAG on the switch, if a MSTP region mismatch is detected   with the VLAG peer, the ISL will shut down. In such a scenario, correct the  region on the VLAG peer and manually enable the ISL.  If you have enabled VLAG on the switch, and you need to change the STP mode,  ensure that you first disable VLAG and then change the STP mode. When VLAG is enabled, you may see two root ports on the secondary VLAG   switch. One of these will be the actual root port for the secondary VLAG switch  and the other will be a root port synced with the primary VLAG switch.  The LACP key used must be unique for each VLAG in the entire topology.   The STG to VLAN mapping on both VLAG peers must be identical. The following parameters must be identically configured on the VLAG ports of  both the VLAG peers:  VLANs Native VLAN tagging   Native VLAN/PVID  STP mode   BPDU Guard setting STP port setting   MAC aging timers Static MAC entries ...
  • Page 201: Basic Vlag Configuration

    Mgmt IP: 10.10.10.2/24 LACP 200 VLAN 4094 VLAG 1 VLAG 2 LACP 1000 LACP 2000 VLAN 100 VLAN 100 Client Switch Client Switch In this example, each client switch is connected to both VLAG peers. On each client  switch, the ports connecting to the VLAG peers are configured as a dynamic LACP  port LAG. The VLAG peer switches share a dedicated ISL for synchronizing VLAG  information. On the individual VLAG peers, each port leading to a specific client  switch (and part of the client switch’s port LAG) is configured as a VLAG. In the following example configuration, only the configuration for VLAG 1 on  VLAG Peer 1 is shown. VLAG Peer 2 and all other VLAGs are configured in a  similar fashion. © Copyright Lenovo 2018 Chapter 11: Virtual Link Aggregation Groups...
  • Page 202: Configure The Isl

    Configure the ISL The ISL connecting the VLAG peers is shared by all their VLAGs. The ISL needs to  be configured only once on each VLAG peer. 1. Configure STP if required. Use PVRST or MSTP mode only: NE2552E(config)# spanning-tree mode pvrst 2. Configure the ISL ports and place them into a LAG (dynamic or static): NE2552E(config)# interface port 1-2 NE2552E(config-if)# switchport mode trunk NE2552E(config-if)# lacp mode active NE2552E(config-if)# lacp key 200 NE2552E(config-if)# exit NE2552E(config)# vlag isl adminkey 200 Notes:  In this case, a dynamic LAG is shown. A static LAG (portchannel) could be  configured instead. ISL ports and VLAG ports must be members of the same VLANs.
  • Page 203: Configure The Vlag

    NE2552E(config-if)# lacp mode active NE2552E(config-if)# lacp key 1000 NE2552E(config-if)# exit 3. Assign the LAG to the VLAG: NE2552E(config)# vlag adminkey 1000 enable 4. Continue by configuring all required VLAGs on VLAG Peer 1 and then repeat the  configuration for VLAG Peer 2. For each corresponding VLAG on the peer, the port LAG type (dynamic or static),  the port’s VLAN, and STP mode and ID must be the same as on VLAG Peer 1. 5. Enable VLAG globally. NE2552E(config)# vlag enable 6. Verify the completed configuration: NE2552E(config)# show vlag information © Copyright Lenovo 2018 Chapter 11: Virtual Link Aggregation Groups...
  • Page 204: Vlag Configuration - Vlans Mapped To Msti

    VLAG Configuration - VLANs Mapped to MSTI Follow the steps in this section to configure VLAG in environments where the STP  mode is MSTP and no previous VLAG was configured. Configure the ISL The ISL connecting the VLAG peers is shared by all their VLAGs. The ISL needs to  be configured only once on each VLAG peer. Ensure you have the same region  name, revision and VLAN‐to‐STG mapping on both VLAG switches. 1. Configure STP: NE2552E(config)# spanning-tree mode mst 2. Configure the ISL ports and place them into a portchannel (dynamic or static): NE2552E(config)# interface port 1-2 NE2552E(config-if)# switchport mode trunk NE2552E(config-if)# lacp mode active NE2552E(config-if)# lacp key 200 NE2552E(config-if)# exit NE2552E(config)# vlag isl adminkey 200 Note: a.
  • Page 205: Configure The Vlag

    NE2552E(config-if)# lacp mode active NE2552E(config-if)# lacp key 1000 NE2552E(config-if)# exit NE2552E(config)# vlag adminkey 1000 enable 4. Enable VLAG: NE2552E(config)# vlag enable 5. Continue by configuring all required VLAGs on VLAG Peer 1, and then follow the  steps for configuring VLAG Peer 2. For each corresponding VLAG on the peer, the port LAG type (dynamic or static),  the port’s VLAN and STP mode and ID must be the same as on VLAG Peer 1. 6. Verify the completed configuration: NE2552E# show vlag information © Copyright Lenovo 2018 Chapter 11: Virtual Link Aggregation Groups...
  • Page 206: Configuring Health Check

    Configuring Health Check We strongly recommend that you configure the NE2552E to check the health status  of its VLAG peer. Although the operational status of the VLAG peer is generally  determined via the ISL connection, configuring a network health check provides  an alternate means to check peer status in case the ISL links fail. Use an  independent link between the VLAG switches to configure health check.  Note: Configuring health check on an ISL VLAN interface or on a VLAG data port  may impact the accuracy of the health check status. 1. Configure a management interface for the switch.  Note: If the switch does not have a dedicated management interface, configure a  VLAN for the health check interface. The health check interface can be configured  with an IPv4 or IPv6 address: NE2552E(config)# interface ip 127 NE2552E(config-ip-if)# ip address 10.10.10.1 255.255.255.0 NE2552E(config-ip-if)# enable NE2552E(config-ip-if)# exit Note: Configure a similar interface on VLAG Peer 2. For example, use IP address  10.10.10.2. 2. Specify the IPv4 or IPv6 address of the VLAG Peer: NE2552E(config)# vlag hlthchk peer-ip 10.10.10.2 Note: For VLAG Peer 2, the management interface would be configured as ...
  • Page 207: Vlags With Vrrp

    NE2552E(config)# router ospf NE2552E(config-router-ospf)# area 1 area-id 0.0.0.1 NE2552E(config-router-ospf)# enable NE2552E(config-router-ospf)# exit Although OSPF is used in this example, static routing could also be deployed. For  more information, see “OSPF” on page 389 or “Basic IP Routing” on page 315. 3. Configure a server‐facing interface. NE2552E(config)# interface ip 3 NE2552E(config-ip-if)# ip address 10.0.1.10 255.255.255.0 NE2552E(config-ip-if)# vlan 100 NE2552E(config-ip-if)# exit © Copyright Lenovo 2018 Chapter 11: Virtual Link Aggregation Groups...
  • Page 208 4. Turn on VRRP and configure the Virtual Interface Router. NE2552E(config)# router vrrp NE2552E(config-vrrp)# enable NE2552E(config-vrrp)# virtual-router 1 virtual-router-id 1 NE2552E(config-vrrp)# virtual-router 1 interface 3 NE2552E(config-vrrp)# virtual-router 1 address 10.0.1.100 NE2552E(config-vrrp)# virtual-router 1 enable 5. Set the priority of Virtual Router 1 to 101, so that it becomes the Master. NE2552E(config-vrrp)# virtual-router 1 priority 101 NE2552E(config-vrrp)# exit 6. Configure the ISL ports and place them into a port LAG: NE2552E(config)# interface port 4-5 NE2552E(config-if)# switchport mode trunk NE2552E(config-if)# lacp mode active NE2552E(config-if)# lacp key 2000...
  • Page 209 NE2552E(config-if)# lacp mode active NE2552E(config-if)# lacp key 1200 NE2552E(config-if)# exit 12. Assign the LAGs to the VLAGs: NE2552E(config)# vlag adminkey 1000 enable NE2552E(config)# vlag adminkey 1100 enable NE2552E(config)# vlag adminkey 1200 enable 13. Verify the completed configuration: NE2552E(config)# show vlag © Copyright Lenovo 2018 Chapter 11: Virtual Link Aggregation Groups...
  • Page 210: Configure Vlag Peer 2

    Configure VLAG Peer 2 The VLAG peer (VLAG Peer 2) must be configured using the same ISL aggregation  type (dynamic or static), the same VLAN and the same STP mode and Tier ID used  on VLAG Switch 1. For each corresponding VLAG on the peer, the port LAG type (dynamic or static),  VLAN and STP mode and ID must be the same as on VLAG Switch 1. 1. Configure VLAG tier ID and enable VLAG globally.  NE2552E(config)# vlag tier-id 10 NE2552E(config)# vlag enable 2. Configure appropriate routing. NE2552E(config)# router ospf NE2552E(config-router-ospf)# area 1 area-id 0.0.0.1 NE2552E(config-router-ospf)# enable NE2552E(config-router-ospf)# exit Although OSPF is used in this example, static routing could also be deployed. 3. Configure a server‐facing interface. NE2552E(config)# interface ip 3 NE2552E(config-ip-if)# ip address 10.0.1.11 255.255.255.0 NE2552E(config-ip-if)# vlan 100 NE2552E(config-ip-if)# exit 4.
  • Page 211 NE2552E(config-ip-if)# ip ospf enable NE2552E(config-ip-if)# exit NE2552E(config)# interface ip 2 NE2552E(config-ip-if)# ip address 172.1.4.12 255.255.255.0 NE2552E(config-ip-if)# vlan 40 NE2552E(config-ip-if)# enable NE2552E(config-ip-if)# ip ospf area 1 NE2552E(config-ip-if)# ip ospf enable NE2552E(config-ip-if)# exit © Copyright Lenovo 2018 Chapter 11: Virtual Link Aggregation Groups...
  • Page 212 10. Place the VLAG port(s) in their port LAGs:   NE2552E(config)# interface port 10 NE2552E(config-if)# lacp mode active NE2552E(config-if)# lacp key 1000 NE2552E(config-if)# exit NE2552E(config)# interface port 11 NE2552E(config-if)# lacp mode active NE2552E(config-if)# lacp key 1100 NE2552E(config-if)# exit NE2552E(config)# interface port 12 NE2552E(config-if)# lacp mode active NE2552E(config-if)# lacp key 1200 NE2552E(config-if)# exit 11.
  • Page 213: Two-Tier Vlags With Vrrp

    Two-tier vLAGs with VRRP vLAG Active‐Active VRRP makes the secondary vLAG switch route Layer 3  traffic, thus reducing routing latency. If it is used in a two‐tier vLAG environment,  there may be two VRRP master switches for one VRRP domain and their role will  constantly flap. To prevent such occurrences, there are two vLAG VRRP modes: 1. vLAG VRRP Active (Full Active‐Active) mode In active mode, Layer 3 traffic is forwarded in all vLAG related VRRP domains.  To enable vLAG VRRP active mode on a switch, use the following command:   NE2552E(config)# vlag vrrp active Note: This is the default vLAG VRRP mode. 2. vLAG VRRP Passive (Half Active‐Active) mode In passive mode, Layer 3 traffic is forwarded in a vLAG related VRRP domain  only if either the switch or its peer virtual router is the VRRP master. To enable  vLAG VRRP passive mode on a switch, use the following command:   NE2552E(config)# no vlag vrrp active To verify the currently configured vLAG VRRP mode you can use the following  command:   NE2552E(config)# show vlag vrrp © Copyright Lenovo 2018 Chapter 11: Virtual Link Aggregation Groups...
  • Page 214: Vlag Peer Gateway

    vLAG Peer Gateway vLAG Peer Gateway allows a vLAG switch to act as the active gateway for packets  that are addressed to the router MAC address of the vLAG peer. The feature  enables local forwarding of such packets without crossing the ISL trunk, therefore  improving ISL usage and avoiding potential traffic loss. To make it functional, vLAG Peer Gateway must be configured on both vLAG peer  switches. By default, the feature is disabled. To enable it, use the following command:   NE2552E(config)# vlag peer-gateway Use the no form of the command to disable vLAG Peer Gateway. To display information about the current vLAG Peer Gateway settings, use the  following commands:   NE2552E(config)# show vlag NE2552E(config)# show vlag peer-gateway NE2552E Application Guide for ENOS 8.4...
  • Page 215: Configuring Vlags In Multiple Layers

    NE2552E(config)# interface port 1,2 NE2552E(config-if)# lacp key 100 NE2552E(config-if)# lacp mode active NE2552E(config-if)# exit Repeat these steps for the second border switch. Configure Switches in the Layer 2 Region Consider the following:  ISL ports on switches A and B ‐ ports 1, 2  Ports connecting to Layer 2/3 ‐ ports 5, 6  Ports on switches A and B connecting to switches C and D: ports 10, 11  Ports on switch B connecting to switch E: ports 15, 16  Ports on switch B connecting to switch F: ports 17, 18 © Copyright Lenovo 2018 Chapter 11: Virtual Link Aggregation Groups...
  • Page 216 1. Configure VLAG tier ID and enable VLAG globally.  NE2552E(config)# vlag tier-id 10 NE2552E(config)# vlag enable 2. Configure ISL ports on Switch A.  NE2552E(config)# interface port 1,2 NE2552E(config-if)# switchport mode trunk NE2552E(config-if)# lacp key 200 NE2552E(config-if)# lacp mode active NE2552E(config-if)# exit NE2552E(config)# vlag isl adminkey 200 NE2552E(config-vlan)# exit 3. Configure port on Switch A connecting to Layer 2/3 router 1.  NE2552E(config)# vlan 10 VLAN number 10 with name “VLAN 10”...
  • Page 217 C and D. 6. Configure ports on Switch B connecting to downstream switches E and F.  NE2552E(config)# vlan 30 NE2552E(config-vlan)# exit NE2552E(config)# interface port 15-18 NE2552E(config-if)# switchport mode trunk NE2552E(config-if)# lacp key 700 NE2552E(config-if)# lacp mode active NE2552E(config-if)# exit 7. Configure ISL between switches C and D, and between E and F as shown in Step 1. 8. Configure the Switch G as shown in Step 2. © Copyright Lenovo 2018 Chapter 11: Virtual Link Aggregation Groups...
  • Page 218 NE2552E Application Guide for ENOS 8.4...
  • Page 219: Chapter 12. Quality Of Service

    QoS helps you allocate guaranteed bandwidth to critical applications, and limit  bandwidth for less critical applications. Applications such as video and voice must  have a certain amount of bandwidth to work correctly; using QoS, you can provide  that bandwidth when necessary. Also, you can put a high priority on applications  that are sensitive to timing out or those that cannot tolerate delay, assigning that  traffic to a high‐priority queue. By assigning QoS levels to traffic flows on your network, you can ensure that  network resources are allocated where they are needed most. QoS features allow  you to prioritize network traffic, thereby providing better service for selected  applications. Figure 22 on page 219 shows the basic QoS model used by the NE2552E Flex  Switch. Figure 22. QoS Model Ingress Ports Meter Perform Queue and Egress Classify Actions Schedule Packets Traffic Drop/Pass/ Filter Meter Re-Mark Queue The NE2552E uses the Differentiated Services (DiffServ) architecture to provide  QoS functions. DiffServ is described in IETF RFC 2474 and RFC 2475. © Copyright Lenovo 2018...
  • Page 220 With DiffServ, you can establish policies for directing traffic. A policy is a  traffic‐controlling mechanism that monitors the characteristics of the traffic (for  example, its source, destination, and protocol) and performs a controlling action on  the traffic when certain characteristics are matched. The NE2552E can classify traffic by reading the DiffServ Code Point (DSCP) or  IEEE 802.1p priority value, or by using filters to match specific criteria. When  network traffic attributes match those specified in a traffic pattern, the policy  instructs the NE2552E to perform specified actions on each packet that passes  through it. The packets are assigned to different Class of Service (COS) queues and  scheduled for transmission. The basic NE2552E QoS model works as follows:  Classify traffic: Read DSCP  Read 802.1p Priority  Match ACL filter parameters   Meter traffic: Define bandwidth and burst parameters  Select actions to perform on in‐profile and out‐of‐profile traffic  Perform actions:  Drop packets  Pass packets  Mark DSCP or 802.1p Priority  Set COS queue (with or without re‐marking)  Queue and schedule traffic:  Place packets in one of the available COS queues  Schedule transmission based on the COS queue weight ...
  • Page 221: Using Acl Filters

    Packet format—Ethernet format, tagging format, IPv4, IPv6  Egress port For ACL details, see “Access Control Lists” on page 121. Summary of ACL Actions Actions determine how the traffic is treated. The NE2552E QoS actions include the  following:  Pass or Drop the packet  Re‐mark the packet with a new DiffServ Code Point (DSCP)  Re‐mark the 802.1p field  Set the COS queue ACL Metering and Re-Marking You can define a profile for the aggregate traffic flowing through the NE2552E by  configuring a QoS meter (if desired) and assigning ACL Groups to ports. When  you add ACL Groups to a port, make sure they are ordered correctly in terms of  precedence. Actions taken by an ACL are called In‐Profile actions. You can configure additional  In‐Profile and Out‐of‐Profile actions on a port. Data traffic can be metered, and  re‐marked to ensure that the traffic flow provides certain levels of service in terms  of bandwidth for different types of network traffic. © Copyright Lenovo 2018 Chapter 12: Quality of Service...
  • Page 222: Metering

    Metering QoS metering provides different levels of service to data streams through  user‐configurable parameters. A meter is used to measure the traffic stream against  a traffic profile which you create. Thus, creating meters yields In‐Profile and  Out‐of‐Profile traffic for each ACL, as follows:  In‐Profile–If there is no meter configured or if the packet conforms to the meter,  the packet is classified as In‐Profile. Out‐of‐Profile–If a meter is configured and the packet does not conform to the   meter (exceeds the committed rate or maximum burst rate of the meter), the  packet is classified as Out‐of‐Profile. Note: Metering is not supported for IPv6 ACLs. All traffic matching an IPv6 ACL  is considered in‐profile for re‐marking purposes. Using meters, you set a Committed Rate in Kbps (1000 bits per second in each  Kbps). All traffic within this Committed Rate is In‐Profile. Additionally, you can  set a Maximum Burst Size that specifies an allowed data burst larger than the  Committed Rate for a brief period. These parameters define the In‐Profile traffic. Meters keep the sorted packets within certain parameters. You can configure a  meter on an ACL, and perform actions on metered traffic, such as packet  re‐marking. Re-Marking Re‐marking allows for the treatment of packets to be reset based on new network  specifications or desired levels of service. You can configure the ACL to re‐mark a  packet as follows: Change the DSCP value of a packet, used to specify the service level traffic   should receive.  Change the 802.1p priority of a packet. NE2552E Application Guide for ENOS 8.4...
  • Page 223: Using Dscp Values To Provide Qos

    Differentiated Services Concepts To differentiate between traffic flows, packets can be classified by their DSCP  value. The Differentiated Services (DS) field in the IP header is an octet, and the  first six bits, called the DS Code Point (DSCP), can provide QoS functions. Each  packet carries its own QoS state in the DSCP. There are 64 possible DSCP values  (0‐63). Figure 23. Layer 3 IPv4 Packet Version Length Offset Proto Data Length Differentiated Services Code Point (DSCP) unused The NE2552E can perform the following actions to the DSCP:  Read the DSCP value of ingress packets  Re‐mark the DSCP value to a new value  Map the DSCP value to an 802.1p priority Once the DSCP value is marked, the NE2552E can use it to direct traffic  prioritization. © Copyright Lenovo 2018 Chapter 12: Quality of Service...
  • Page 224: Per-Hop Behavior

    Per-Hop Behavior The DSCP value determines the Per Hop Behavior (PHB) of each packet. The PHB  is the forwarding treatment given to packets at each hop. QoS policies are built by  applying a set of rules to packets, based on the DSCP value, as they hop through  the network. The NE2552E default settings are based on the following standard PHBs, as  defined in the IEEE standards:  Expedited Forwarding (EF)—This PHB has the highest egress priority and  lowest drop precedence level. EF traffic is forwarded ahead of all other traffic. EF  PHB is described in RFC 2598.  Assured Forwarding (AF)—This PHB contains four service levels, each with a  different drop precedence, as shown below. Routers use drop precedence to  determine which packets to discard last when the network becomes congested.  AF PHB is described in RFC 2597. Drop Precedence Class 1 Class 2 Class 3 Class 4 AF11 AF21 AF31 AF41 (DSCP 10) (DSCP 18) (DSCP 26) (DSCP 34) Medium AF12 AF22 AF32 AF42 (DSCP 12) (DSCP 20) (DSCP 28)
  • Page 225: Qos Levels

    The NE2552E can re‐mark the DSCP value of ingress packets to a new value, and  set the 802.1p priority value, based on the DSCP value. You can view the settings  by using the following command: NE2552E(config)# show qos dscp Current DSCP Remarking Configuration: OFF DSCP New DSCP New 802.1p Prio -------- -------- --------------- Use the following command to turn on DSCP re‐marking globally:   NE2552E(config)# qos dscp re-marking Then you must enable DSCP re‐marking on any port that you wish to perform this  function. Note: If an ACL meter is configured for DSCP re‐marking, the meter function  takes precedence over QoS re‐marking. © Copyright Lenovo 2018 Chapter 12: Quality of Service...
  • Page 226: Dscp Re-Marking Configuration Example 1

    DSCP Re-Marking Configuration Example 1 The following example includes the basic steps for re‐marking DSCP value and  mapping DSCP value to 802.1p. 1. Turn DSCP re‐marking on globally, and define the DSCP‐DSCP‐802.1p mapping.  You can use the default mapping.   NE2552E(config)# qos dscp re-marking NE2552E(config)# qos dscp dscp-mapping <DSCP value (0‐63)> <new value> NE2552E(config)# qos dscp dot1p-mapping <DSCP value (0‐63)> <802.1p value> 2. Enable DSCP re‐marking on a port. NE2552E(config)# interface port 1 NE2552E(config-if)# qos dscp re-marking NE2552E(config-if)# exit DSCP Re-Marking Configuration Example 2 The following example assigns strict priority to VoIP traffic and a lower priority to ...
  • Page 227 6. Assign strict priority to VoIP COS queue. NE2552E(config)# qos transmit-queue weight-cos 7 0 7. Map priority value to COS queue for non‐VoIP traffic. NE2552E(config)# qos transmit-queue mapping 1 1 8. Assign weight to the non‐VoIP COS queue. NE2552E(config)# qos transmit-queue weight-cos 1 2 © Copyright Lenovo 2018 Chapter 12: Quality of Service...
  • Page 228: Using 802.1P Priorities To Provide Qos

    Using 802.1p Priorities to Provide QoS Lenovo ENOS provides Quality of Service functions based on the priority bits in a  packet’s VLAN header. (The priority bits are defined by the 802.1p standard within  the IEEE 802.1q VLAN header.) The 802.1p bits, if present in the packet, specify the  priority that should be given to packets during forwarding. Packets with a  numerically higher (non‐zero) priority are given forwarding preference over  packets with lower priority bit value. The IEEE 802.1p standard uses eight levels of priority (0‐7). Priority 7 is assigned to  highest priority network traffic, such as OSPF or RIP routing table updates,  priorities 5‐6 are assigned to delay‐sensitive applications such as voice and video,  and lower priorities are assigned to standard applications. A value of 0 (zero)  indicates a “best effort” traffic prioritization, and this is the default when traffic  priority has not been configured on your network. The NE2552E can filter packets  based on the 802.1p values, and it can assign or overwrite the 802.1p value in the  packet. Figure 24. Layer 2 802.1q/802.1p VLAN Tagged Packet DMAC SMAC E Type Data Preamble Priority VLAN Identifier (VID) Ingress packets receive a priority value, as follows:  Tagged packets—NE2552E reads the 802.1p priority in the VLAN tag.  Untagged packets—NE2552E tags the packet and assigns an 802.1p priority,  based on the port’s default priority. Egress packets are placed in a COS queue based on the priority value, and ...
  • Page 229: Queuing And Scheduling

    NE2552E(config)# qos transmit-queue mapping <priority value (0‐7)> <COS queue (0‐7)> To set the COS queue scheduling weight, use the following command. NE2552E(config)# qos transmit-queue weight-cos <COSq number> <COSq weight (0‐15)> The scheduling weight can be set from 0 to 15. Weight values from 1 to 15 set the  queue to use weighted round‐robin (WRR) scheduling, which distributes larger  numbers of packets to queues with the highest weight values. For distribution  purposes, each packet is counted the same, regardless of the packet’s size.  A scheduling weight of 0 (zero) indicates strict priority. Traffic in strict priority  queue has precedence over other all queues. If more than one queue is assigned a  weight of 0, the strict queue with highest queue number will be served first. Once  all traffic in strict queues is delivered, any remaining bandwidth will be allocated  to the WRR queues, divided according to their weight values. Note: Use caution when assigning strict scheduling to queues. Heavy traffic in  queues assigned with a weight of 0 can starve lower priority queues. For a scheduling method that uses a weighted deficit round‐robin (WDRR)  algorithm, distributing packets with an awareness of packet size, see “Enhanced  Transmission Selection” on page 260. © Copyright Lenovo 2018 Chapter 12: Quality of Service...
  • Page 230: Control Plane Protection

    Control Plane Protection Control plane receives packets that are required for the internal protocol state  machines. This type of traffic is usually received at low rate. However, in some  situations such as DOS attacks, the switch may receive this traffic at a high rate. If  the control plane protocols are unable to process the high rate of traffic, the switch  may become unstable. The control plane receives packets that are channeled through protocol‐specific  packet queues. Multiple protocols can be channeled through a common packet  queue. However, one protocol cannot be channeled through multiple packet  queues. These packet queues are applicable only to the packets received by the  software and does not impact the regular switching or routing traffic. Packet queue  with a higher number has higher priority. You can configure the bandwidth for each packet queue. Protocols that share a  packet queue will also share the bandwidth. The following commands configure the control plane protection (CoPP) feature: Configure a queue for a protocol: NE2552E(config)# qos protocol-packet-control packet-queue-map <0‐47>  <protocol> Set the bandwidth for the queue, in packets per second: NE2552E(config)# qos protocol-packet-control rate-limit-packet-queue <0‐47> <1‐10000>...
  • Page 231: Packet Drop Logging

    Broadcast packets are received at rate higher than 200pps, hence are discarded on queue 5. To enable or disable packet drop logging, use the following commands: NE2552E(config)# [no] logging pdrop enable You can adjust the logging interval between 0 and 30 minutes using the following  command: NE2552E(config)# logging pdrop interval <0-30> Setting the logging interval to 0 will log packet drops immediately (with up to 1  second delay), and will ignore further drops on the same queue during the next 2  minutes. Setting the logging interval to a greater value (1 – 30 minutes), regularly displays  packet drop information at the designated time intervals. Once the packet drops  stop, or if new packet drops are encountered only within 2 minutes after a syslog  message, the switch does not display any more messages. © Copyright Lenovo 2018 Chapter 12: Quality of Service...
  • Page 232: Microburst Detection

    Microburst Detection Microbursts are short peaks in data traffic that manifest as a sudden increase in the  number of data packets transmitted over a specific millisecond‐level time frame,  potentially overwhelming network buffers. Microburst detection allows users to  analyze and mitigate microburst‐related incidents, thus preventing network  congestion. Microburst Detection is disabled by default. To enable it, use the following  command:   NE2552E(config)# microburst enable To disable microburst detection, use the following command:   NE2552E(config)# no microburst enable To configure the polling interval (in milliseconds) used by microburst detection to  evaluate traffic burst:   NE2552E(config)# microburst interval <2‐10000> To see the current microburst state, use the following command:   NE2552E# show microburst microburst-status Below is a basic configuration example for Microburst Detection. 1. Enter Configuration mode and enable Microburst Detection, choosing a threshold  value:   NE2552E(config)# microburst enable NE2552E(config)# microburst port-threshold ext4 10000 2.
  • Page 233 NORMAL EXT7 NORMAL EXT8 NORMAL EXT9/1 NORMAL EXT9/2 NORMAL EXT9/3 NORMAL EXT9/4 NORMAL EXT10 NORMAL EXT11/1 NORMAL EXT11/2 NORMAL EXT11/3 NORMAL EXT11/4 NORMAL EXT12/1 NORMAL EXT12/2 NORMAL EXT12/3 NORMAL EXT12/4 NORMAL © Copyright Lenovo 2018 Chapter 12: Quality of Service...
  • Page 234 NE2552E Application Guide for ENOS 8.4...
  • Page 235: Chapter 13. Precision Time Protocol

    Ethernet‐based networks.  Transparent clock: A transparent clock listens for PTP packets and adjusts the  correction field in the PTP event packets as they pass the PTP device. Lenovo ThinkSystem NE2552E Flex Switch supports the configuration of ordinary  clock and transparent clock. It cannot be a master clock as the switch does not  participate in the master clock selection process.  Note: Lenovo ENOS does not support IPv6 for PTP. By default, PTP version 2 is installed on the switch but is globally disabled. Use the  following command to globally enable PTP:  NE2552E(config)# ptp {ordinary|transparent} enable PTP is configured on switch ports. In case of LAG ports, the PTP configuration  must be the same on all ports participating in the same LAG. The switch uses only  one port from a LAG (typically the one used by a multicast protocol) to forward  PTP packets.  By default, PTP is enabled on all the switch ports. To disable PTP on a port, use the  following commands:  NE2552E(config)# interface port <port> NE2552E(config-if)# no ptp Note: PTP cannot be enabled on management ports. © Copyright Lenovo 2018 Chapter 13: Precision Time Protocol...
  • Page 236: Ordinary Clock Mode

    PTP packets have a Control Plane Protection (CoPP) queue of 36. You cannot  change this CoPP priority. However, you can modify the PTP queue rate using the  following command:  NE2552E(config)# qos protocol-packet-control rate-limit-packet-queue <0‐47> <1‐10000> Ordinary Clock Mode When the NE2552E Flex Switch is configured as an ordinary clock, it synchronizes  its clock with the master clock. If the NE2552E does not detect a master clock, it will  not synchronize its clock with any other device. In this mode, the NE2552E’s clock  cannot be modified manually or using another time protocol such as Network  Time Protocol (NTP).  As an ordinary clock, the NE2552E synchronizes with a single PTP domain. The  switch uses a delay‐request mechanism to synchronize with the master clock. The  switch uses a source IP address for the packets it generates. You can create a  loopback interface for this purpose. By default, the switch uses the lowest interface  in the VLAN from which the sync messages are received. To assign a loopback  interface, use the following command:  NE2552E(config)# ip ptp source-interface loopback <interface number> Note: If there are no interfaces on the switch that belong to the VLAN from which  the sync messages are received, then the ordinary clock will not function. An error  message will be generated. You can view this message using the following  command:   NE2552E# show ptp Transparent Clock Mode When the NE2552E is configured as a transparent clock, its time can be set ...
  • Page 237: Tracing Ptp Packets

    General Messages: Announce,  follow‐up, delay response, peer delay  response follow‐up, management Viewing PTP Information The following table includes commands for viewing PTP information:  Table 21. PTP Information Commands Command Description NE2552E(config)# show ptp Displays global PTP information NE2552E(config)# show Displays port information including  interface port <port number> port‐specific PTP information NE2552E(config)# show ptp Displays ingress and egress PTP  counters counters © Copyright Lenovo 2018 Chapter 13: Precision Time Protocol...
  • Page 238 NE2552E Application Guide for ENOS 8.4...
  • Page 239: Part 4: Advanced Switching Features

    Part 4: Advanced Switching Features © Copyright Lenovo 2018...
  • Page 240 NE2552E Application Guide for ENOS 8.4...
  • Page 241: Chapter 14. Virtualization

    Chapter 14. Virtualization Virtualization allows resources to be allocated in a fluid manner based on the  logical needs of the data center, rather than on the strict, physical nature of  components. The following virtualization features are included in Lenovo ENOS  8.4 on the NE2552E Flex Switch (NE2552E):  Virtual Local Area Networks (VLANs) VLANs are commonly used to split groups of networks into manageable  broadcast domains, create logical segmentation of workgroups, and to enforce  security policies among logical network segments. For details on this feature, see “VLANs” on page 135.  Port aggregation A port LAG pools multiple physical switch ports into a single, high‐bandwidth  logical link to other devices. In addition to aggregating capacity, LAGs provides  link redundancy. For details on this feature, see “Ports and Link Aggregation (LAG)” on page 155.  Virtual Link Aggregation Groups (VLAGs) With VLAGs, two switches can act as a single logical device for the purpose of  establishing port LAGs. Active LAG links from one device can lead to both  VLAG peer switches, providing enhanced redundancy, including active‐active  VRRP configuration. For details on this feature, see “Virtual Link Aggregation Groups” on page 195  Unified Fabric Port (UFP) An architecture that logically subdivides a high‐speed physical link connecting  to a server NIC or to a Converged Network Adapter (CNA). UFP provides a  switch fabric component to control the NIC. For details on this feature, see “Unified Fabric Port” on page 285. Lenovo ENOS virtualization features provide a highly‐flexible framework for  allocating and managing switch resources. © Copyright Lenovo 2018...
  • Page 242 NE2552E Application Guide for ENOS 8.4...
  • Page 243: Chapter 15. Fibre Channel Over Ethernet

    Chapter 15. Fibre Channel over Ethernet Fibre Channel over Ethernet (FCoE) is an effort to converge two of the different  physical networks in today’s data centers. It allows Fibre Channel traffic (such as  that commonly used in Storage Area Networks, or SANs) to be transported  without loss over 10Gb Ethernet links (typically used for high‐speed Local Area  Networks, or LANs). This provides an evolutionary approach toward network  consolidation, allowing Fibre Channel equipment and tools to be retained, while  leveraging cheap, ubiquitous Ethernet networks for growth. With server virtualization, servers capable of hosting both Fibre Channel and  Ethernet applications will provide advantages in server efficiency, particularly as  FCoE‐enabled network adapters provide consolidated SAN and LAN traffic  capabilities. The Lenovo ThinkSystem NE2552E Flex Switch with Lenovo ENOS 8.4 software is  compliant with the INCITS T11.3, FC‐BB‐5 FCoE specification, supporting up to  2048 FCoE connections. Note: The NE2552E supports up to 2048 FCoE login sessions. © Copyright Lenovo 2018...
  • Page 244: The Fcoe Topology

    Figure 25. A Mixed Fibre Channel and FCoE Network        FCoE Fibre 802.1p Priority & Usage EXT4 INTA1 Channel 3 FCoE Applications Switch 802.1p Priority & Usage INTA2 EXT5 Business-Critical LAN Lenovo Chassis Servers In Figure 25 on page 244, the Fibre Channel network is connected to the FCoE  network through an FCoE Forwarder (FCF) bridge. The FCF acts as a Fibre  Channel gateway to and from the multi‐hop FCoE network. For the FCoE portion of the network, the FCF is connected to the FCoE‐enabled  NE2552E, which is internally connected to a blade server (running Fibre Channel  applications) through an FCoE‐enabled Converged Network Adapter (CNA)  known in Fibre Channel as an Ethernet Node (ENode). Note: The figure also shows a non‐FCoE LAN server connected to the NE2552E  using a CNA. This allows the LAN server to take advantage of some CEE features  that are useful even outside of an FCoE environment.
  • Page 245: Fcoe Requirements

    FCoE Requirements The following are required for implementing FCoE using the Lenovo ThinkSystem  NE2552E Flex Switch (NE2552E) with ENOS 8.4 software:  The NE2552E must be connected to the Fibre Channel network through an FCF  such as a Lenovo RackSwitch G2864CS or a CN4093 10Gb Converged Scalable  Switch.  For each NE2552E port participating in FCoE, the connected server must use the  supported Converged Network Adapter (CNA) and have the FCoE license  enabled (if applicable) on the CNA.  CEE must be turned on (see “Turning CEE On or Off” on page 246). When CEE  is on, the DCBX, PFC, and ETS features are enabled and configured with default  FCoE settings. These features may be reconfigured, but must remain enabled in  order for FCoE to function.  FIP snooping must be turned on (see “FCoE Initialization Protocol Snooping” on  page 249). When FIP snooping is turned on, the feature is enabled on all ports by  default. The administrator can disable FIP snooping on individual ports that do  not require FCoE, but FIP snooping must remain enabled on all FCoE ports for  FCoE to function.  An FCOE VLAN must always be set as tagged and never set as a native VLAN. © Copyright Lenovo 2018 Chapter 15: Fibre Channel over Ethernet...
  • Page 246: Converged Enhanced Ethernet

    Converged Enhanced Ethernet Converged Enhanced Ethernet (CEE) refers to a set of IEEE standards designed to  allow different physical networks with different data handling requirements to be  converged together, simplifying management, increasing efficiency and  utilization, and leveraging legacy investments without sacrificing evolutionary  growth. CEE standards were developed primarily to enable Fibre Channel traffic to be  carried over Ethernet networks. This required enhancing the existing Ethernet  standards to make them lossless on a per‐priority traffic basis, and to provide a  mechanism to carry converged (LAN/SAN/IPC) traffic on a single physical link.  Although CEE standards were designed with FCoE in mind, they are not limited to  FCoE installations. CEE features can be utilized in traditional LAN (non‐FCoE)  networks to provide lossless guarantees on a per‐priority basis, and to provide  efficient bandwidth allocation based on application needs. Turning CEE On or Off By default on the NE2552E, CEE is turned off. To turn CEE on or off, use the  following CLI commands: NE2552E(config)# [no] cee enable For an example, see “FIP Snooping Configuration” on page 255.  CAUTION: Turning CEE on and applying the configuration will automatically change some  802.1p QoS and 802.3x standard flow control settings on the NE2552E. Read the  following material carefully to determine whether you will need to take action to  reconfigure expected settings. It is recommended that you backup your configuration prior to turning CEE on.  Viewing the file will allow you to manually re‐create the equivalent  configuration once CEE is turned on, and will also allow you to recover your  prior configuration if you need to turn CEE off. Effects on Link Layer Discovery Protocol When CEE is turned on, Link Layer Discovery Protocol (LLDP) is automatically ...
  • Page 247: Effects On 802.1P Quality Of Service

    ETS Configuration With CEE Off (default) With CEE On Priority COSq Weight Priority COSq PGID When CEE is on, the default ETS configuration also allocates a portion of link  bandwidth to each PGID as shown in Table Table 23. Default ETS Bandwidth Allocation PGID Typical Use Bandwidth Latency‐sensitive LAN If the prior, non‐CEE configuration used 802.1p priority values for different  purposes, or does not expect bandwidth allocation as shown in Table 23 on  page 247, when CEE is turned on, the administrator should reconfigure ETS  settings as appropriate. © Copyright Lenovo 2018 Chapter 15: Fibre Channel over Ethernet...
  • Page 248: Effects On Flow Control

    Effects on Flow Control When CEE is off (the default), 802.3x standard flow control is enabled on all switch  ports by default. When CEE is turned on, standard flow control is disabled on all ports, and in its  place, PFC (see “Priority‐Based Flow Control” on page 256) is enabled on all ports  for 802.1p priority value 3. This default is chosen because priority value 3 is  commonly used to identify FCoE traffic in a CEE environment and must be  guaranteed lossless behavior. PFC is disabled for all other priority values. It is recommend that a configuration backup be made prior to turning CEE on or off.  Viewing the configuration file will allow the administrator to manually re‐create the  equivalent configuration under the new CEE mode, and will also allow for the  recovery of the prior configuration if necessary. When CEE is on, PFC can be enabled only on priority value 3 and one other  priority. If flow control is required on additional priorities on any given port,  consider using standard flow control on that port, so that regardless of which  priority traffic becomes congested, a flow control frame is generated. RoCE and iSCSI RDMA over Converged Ethernet (RoCE) allows remote direct memory access  (RDMA) over an Ethernet network. RoCE provides direct memory to memory  transfers at the application level without involving the host CPU. Both the  transport processing and the memory translation and placement are performed by  hardware resulting in dramatically lower latency and higher performance. There  are two RoCE versions, RoCEv1 and RoCEv2: RoCEv1 is an Ethernet link layer  protocol and hence allows communication between any two hosts in the same  Ethernet broadcast domain, while RoCEv2 is designed to allow lossless traffic in  the layer 3 network environment. Internet Small Computer System Interface (iSCSI) is an Internet Protocol (IP)‐based  storage networking standard for linking data storage facilities. It provides  block‐level access to storage devices by carrying SCSI commands over a TCP/IP  network. iSCSI takes a popular high‐performance local storage bus and emulates it  over a wide range of networks, creating a storage area network (SAN). Unlike  some SAN protocols, iSCSI requires no dedicated cabling; it can be run over  existing IP infrastructure. As a result, iSCSI is often seen as a low‐cost alternative to  Fibre Channel. RoCE Requirements The following are required for implementing RoCE using the switches with ENOS ...
  • Page 249: Fcoe Initialization Protocol Snooping

    In case of LAG, FIP traffic from a particular FCF can be received by any member  port on which the FCF was detected. FIP Snooping Requirements The following are required for implementing the FIP snooping bridge feature: The NE2552E must be connected to the Fibre Channel network through a FCF   such as a Lenovo Rackswitch G8264CS, a Lenovo CN4093 10Gb Converged Scalable  Switch or a Cisco Nexus 5000 Series Switch.  For each NE2552E switch port participating in FCoE, the connected server must  use a FCoE‐licensed Converged Network Adapter (CNA) and must have the  FCoE license enabled (if applicable) on the CNA.  CEE must be turned on (see “Turning CEE On or Off” on page 246). When CEE  is on, the DCBX, PFC and ETS features are enabled and configured with default  FCoE settings. These features may be reconfigured, but must remain enabled for  FCoE to function.  FIP snooping must be turned on (see “Global FIP Snooping Settings” on  page 250). When FIP snooping is turned on, the feature is enabled on all ports by  default. The administrator can disable FIP snooping on individual ports that do  not require FCoE, but FIP snooping must remain enabled on all FCoE ports for  FCoE to function. © Copyright Lenovo 2018 Chapter 15: Fibre Channel over Ethernet...
  • Page 250: Port Aggregation

    Port Aggregation Lenovo ENOS 8.4 supports port aggregation for FCoE connections. Link  Aggregation (LAGs) can be used for separate FCoE traffic, or for Ethernet and  FCoE traffic. The ports can be grouped as static LAGs or dynamic LACP LAGs. Normal aggregation operations such as creating or enabling a LAG, and adding or  removing member ports can be performed. When a port is added to a LAG, FCFs  previously detected on the port will be deleted. The deleted FCF may be relearned  later. However, this may cause flickering in the network traffic. It is recommended  that any LAG changes are made prior to live FCoE traffic. Priority‐based Flow Control (PFC) and Data Center Bridging (DCBX) are  configured on a per‐port basis. Each port in a LAG must have the same ETS, PFC  and DCBX configuration. When a port ceases to be a LAG member, its  configuration does not change. Note: If the ports chosen to be part of a certain LAG do not have the same PFC,  ETS or DCBX configurations, the switch will display an error. Global FIP Snooping Settings By default, the FIP snooping feature is turned off for the NE2552E. The following  commands are used to turn the feature on or off: NE2552E(config)# [no] fcoe fips enable Note: FIP snooping requires CEE to be turned on (see “Turning CEE On or Off” on  page 246). When FIP snooping is on, port participation may be configured on a port‐by‐port  basis. When FIP snooping is off, all FCoE‐related ACLs generated by the feature are  removed from all switch ports.  FIP snooping configuration must be the same on all member ports in a LAG. If the  configuration of a member port is changed, an error message, similar to the  following, will be displayed.  “FAIL: Trunk x FIP Snooping port y and port z need to have the same fips config.“...
  • Page 251: Fip Snooping For Specific Ports

    FIPS LAG Support on Server Ports FIPS LAG Support allows FCoE and Ethernet traffic to co‐exist within the same  LAGs (ports). By default, FCoE servers (CNA/HBA) do not support aggregation,  while Ethernet (NIC/CNA) are aggregation capable. Due to this incompatibility on  FCoE capable servers, the FCoE traffic is generated on separate (exclusive) ports  whenever Ethernet adapters need to be consolidated into a LAG. FIPS LAG Support allows FCoE traffic and traditional Ethernet traffic to use the  same ports for traffic by pinning each destination FCoE Enode‐MAC to a static  switch port within the LAG. This is due to each server port within a LAG expecting  FCoE traffic with a destination ‐ MAC as its Enode‐MAC to arrive on the same port  within the LAG from the switch (i.e. FCoE traffic with a destination Enode‐MAC is  always expected to traverse the link with that Enode‐MAC). Initially, any incoming  FIP packets are snooped by the switch and if the Enode‐MAC is new (previously  undiscovered) and source port is part of a LAG, then a static Enode‐MAC entry is  installed within the switch. Any unicast (FIP) response then onward is transmitted  using the assigned port within the LAG and not any other port. Thus, FCoE traffic  then strictly transmits across only the assigned port (within the LAG) for each  Enode. Similarly, any VN‐Port MACs are pinned on a port by port basis within a  LAG. Regular (non‐FCoE) Ethernet traffic will continue to operate across the LAG  normally (using any of the links based on balancing algorithm). This feature is automatically activated upon server‐port LAG mode detection by  FIPS. Note: FCoE Fips must be enabled on FSB/FCF switch. © Copyright Lenovo 2018 Chapter 15: Fibre Channel over Ethernet...
  • Page 252: Port Fcf And Enode Detection

    Port FCF and ENode Detection When FIP snooping is enabled on a port, the port is placed in FCF auto‐detect  mode by default. In this mode, the port assumes connection to an ENode unless  FIP packets show the port is connected to an FCF. Ports can also be specifically configured as to whether automatic FCF detection  should be used, or whether the port is connected to an FCF or ENode: NE2552E(config)# fcoe fips port <port alias, number, list, or range> fcf-mode {auto|on|off} When FCF mode is on, the port is assumed to be connected to a trusted FCF, and  only ACLs appropriate to FCFs will be installed on the port. When off, the port is  assumed to be connected to an ENode, and only ACLs appropriate to ENodes will  be installed. When the mode is changed (either through manual configuration or as  a result of automatic detection), the appropriate ACLs are automatically added,  removed, or changed to reflect the new FCF or ENode connection. FCoE Connection Timeout FCoE‐related ACLs and VLANs are added, changed, and removed as FCoE device  connection and disconnection are discovered. In addition, the administrator can  enable or disable automatic removal of ACLs for FCFs and other FCoE connections  that timeout (fail or are disconnected) without FIP notification. By default, automatic removal of ACLs upon timeout is enabled. To change this  function, use the following CLI command: NE2552E(config)# [no] fcoe fips timeout-acl FCoE ACL Rules When FIP Snooping is enabled on a port, the switch automatically installs the ...
  • Page 253: Fcoe Vlans

    FIP Snooping on port ext4: This port has been detected to be an FCF port. FIPS ACLs configured on this port: Ethertype 0x8914, action permit. dmac 00:00:18:01:00:XX, Ethertype 0x8914, action permit. © Copyright Lenovo 2018 Chapter 15: Fibre Channel over Ethernet...
  • Page 254: Operational Commands

    For each ACL, the required traffic criteria are listed, along with the action taken  (permit or deny) for matching traffic. ACLs are listed in order of precedence and  evaluated in the order shown. The administrator can also view other FCoE information: NE2552E# show fcoe fips fcf (Show all detected FCFs) NE2552E# show fcoe fips fcoe (Show all FCoE connections) Operational Commands The administrator may use the operational commands to delete FIP‐related entries  from the switch. To delete a specific FCF entry and all associated ACLs from the switch, use the  following command: NE2552E# no fcoe fips fcf <FCF MAC address> [<VLAN number>] NE2552E Application Guide for ENOS 8.4...
  • Page 255: Fip Snooping Configuration

    NE2552E(config-if)# exit (Exit port configuration mode) Note: Placing ports into the VLAN after tagging is enabled helps to ensure that  their port VLAN ID (PVID) is not accidentally changed. 6. (Set by default) Enable FIP snooping on FCoE ports, and set the desired FCF mode: NE2552E(config)# fcoe fips port INTA1 enable   (Enable FIPS on FCoE ports) NE2552E(config)# fcoe fips port INTA1 fcf-mode off   (Set as ENode connection) NE2552E(config)# fcoe fips port EXT4 fcf-mode on   (Set as FCF connection) 7. Save the configuration. © Copyright Lenovo 2018 Chapter 15: Fibre Channel over Ethernet...
  • Page 256: Priority-Based Flow Control

    Priority-Based Flow Control Priority‐based Flow Control (PFC) is defined in IEEE 802.1Qbb. PFC extends the  IEEE 802.3x standard flow control mechanism. Under standard flow control, when  a port becomes busy, the switch manages congestion by pausing all the traffic on  the port, regardless of the traffic type. PFC provides more granular flow control,  allowing the switch to pause specified types of traffic on the port, while other  traffic on the port continues. PFC pauses traffic based on 802.1p priority values in the VLAN tag. The  administrator can assign different priority values to different types of traffic and  then enable PFC for up to two specific priority values: priority value 3, and one  other. The configuration can be applied on a port‐by‐port basis, or globally for all  ports on the switch. Then, when traffic congestion occurs on a port (caused when  ingress traffic exceeds internal buffer thresholds), only traffic with priority values  where PFC is enabled is paused. Traffic with priority values where PFC is disabled  proceeds without interruption but may be subject to loss if port ingress buffers  become full. Although PFC is useful for a variety of applications, it is required for FCoE  implementation where storage (SAN) and networking (LAN) traffic are converged  on the same Ethernet links. Typical LAN traffic tolerates Ethernet packet loss that  can occur from congestion or other factors, but SAN traffic must be lossless and  requires flow control. For FCoE, standard flow control would pause both SAN and LAN traffic during  congestion. While this approach would limit SAN traffic loss, it could degrade the  performance of some LAN applications that expect to handle congestion by  dropping traffic. PFC resolves these FCoE flow control issues. Different types of  SAN and LAN traffic can be assigned different IEEE 802.1p priority values. PFC  can then be enabled for priority values that represent SAN and LAN traffic that  must be paused during congestion, and disabled for priority values that represent  LAN traffic that is more loss‐tolerant. PFC requires CEE to be turned on (“Turning CEE On or Off” on page 246). When  CEE is turned on, PFC is enabled on priority value 3 by default. Optionally, the  administrator can also enable PFC on one other priority value, providing lossless  handling for another traffic type, such as for a business‐critical LAN application. Note: For any given port, only one flow control method can be implemented at  any given time: either PFC or standard IEEE 802.3x flow control. NE2552E Application Guide for ENOS 8.4...
  • Page 257: Global Vs. Port-By-Port Pfc Configuration

     PFC is not restricted to CEE and FCoE networks. In any LAN where traffic is  separated into different priorities, PFC can be enabled on priority values for  loss‐sensitive traffic. If all ports have the same priority definitions and utilize the  same PFC strategy, PFC can be globally configured. If you want to enable PFC on a priority, do one of the following:  Create a separate priority group (see “Priority Groups” on page 261).  Move the priority to an existing priority group in which PFC is turned on. Since there are separate COS queue and ETS configurations, creating a distinct  priority group is preferred. When configuring ETS and PFC on the switch, perform ETS configuration before  performing PFC configuration. If two priorities are enabled on a port, the switch sends PFC frames for both  priorities, even if only traffic tagged with one of the priorities is being received on  that port. Note: When using global PFC configuration in conjunction with the ETS feature  (see “Enhanced Transmission Selection” on page 260), ensure that only  pause‐tolerant traffic (such as lossless FCoE traffic) is assigned priority values  where PFC is enabled. Pausing other types of traffic can have adverse effects on  LAN applications that expect uninterrupted traffic flow and tolerate dropping  packets during congestion. Use PFC globally only if all priority values assigned for  lossless traffic on one or more ports does not carry loss‐tolerant traffic on other  ports. © Copyright Lenovo 2018 Chapter 15: Fibre Channel over Ethernet...
  • Page 258: Pfc Configuration Example

    PFC Configuration Example Note: DCBX may be configured to permit sharing or learning PFC configuration  with or from external devices. This example assumes that PFC configuration is  being performed manually. See “Data Center Bridging Capability Exchange” on  page 266 for more information on DCBX. This example is consistent with the network shown in Figure 25 on page 244. In  this example, the following topology is used. Table 24. Port‐Based PFC Configuration Switch 802.1p Usage Priority Port Setting EXT5 0‐2 Disabled (not used) Enabled Business‐critical LAN Enabled others (not used) Disabled FCoE (to FCF bridge) Enabled others (not used) Disabled INT1 FCoE Enabled others (not used) Disabled...
  • Page 259 NE2552E(config)# cee port INTA2 pfc priority 4 description "Critical LAN" NE2552E(config)# cee port EXT5 pfc priority 4 enable   ( LAN priority) NE2552E(config)# cee port EXT5 pfc priority 4 description "Critical LAN" 4. Save the configuration. © Copyright Lenovo 2018 Chapter 15: Fibre Channel over Ethernet...
  • Page 260: Enhanced Transmission Selection

    Enhanced Transmission Selection Enhanced Transmission Selection (ETS) is defined in IEEE 802.1Qaz. ETS provides  a method for allocating port bandwidth based on 802.1p priority values in the  VLAN tag. Using ETS, different amounts of link bandwidth can specified for  different traffic types (such as for LAN, SAN, and management). ETS is an essential component in a CEE environment that carries different types of  traffic, each of which is sensitive to different handling criteria, such as Storage Area  Networks (SANs) that are sensitive to packet loss, and LAN applications that may  be latency‐sensitive. In a single converged link, such as when implementing FCoE,  ETS allows SAN and LAN traffic to coexist without imposing contrary handling  requirements upon each other. The ETS feature requires CEE to be turned on (see “Turning CEE On or Off” on  page 246). 802.1p Priority Values Under the 802.1p standard, there are eight available priority values, with values  numbered 0 through 7, which can be placed in the priority field of the 802.1Q  VLAN tag: 16 bits 3 bits 12 bits Tag Protocol ID (0x8100) Priority C VLAN ID 15 16 Servers and other network devices may be configured to assign different priority  values to packets belonging to different traffic types (such as SAN and LAN). ETS uses the assigned 802.1p priority values to identify different traffic types. The ...
  • Page 261: Priority Groups

    For ETS use, each 801.2p priority value is assigned to a priority group which can  then be allocated a specific portion of available link bandwidth. To configure a  priority group, the following is required:  CEE must be turned on (“Turning CEE On or Off” on page 246) for the ETS  feature to function.  A priority group must be assigned a priority group ID (PGID), one or more  802.1p priority values, and allocated link bandwidth greater than 0%. PGID Each priority group is identified with number (0 through 7, and 15) known as the  PGID. PGID 0 through 7 may each be assigned a portion of the switch’s available  bandwidth. PGID 8 through 14 are reserved as per the 802.1Qaz ETS standard. PGID 15 is a strict priority group. It is generally used for critical traffic, such as  network management. Any traffic with priority values assigned to PGID 15 is  permitted as much bandwidth as required, up to the maximum available on the  switch. After serving PGID 15, any remaining link bandwidth is shared among the  other groups, divided according to the configured bandwidth allocation settings. All 802.1p priority values assigned to a particular PGID should have similar traffic  handling requirements. For example, PFC‐enabled traffic should not be grouped  with non‐PFC traffic. Also, traffic of the same general type should be assigned to  the same PGID. Splitting one type of traffic into multiple 802.1p priorities, and then  assigning those priorities to different PGIDs may result in unexpected network  behavior. Each 802.1p priority value may be assigned to only one PGID. However, each  PGID may include multiple priority values. Up to eight PGIDs may be configured  at any given time. © Copyright Lenovo 2018 Chapter 15: Fibre Channel over Ethernet...
  • Page 262: Assigning Priority Values To A Priority Group

    Assigning Priority Values to a Priority Group Each priority group may be configured from its corresponding ETS Priority Group,  available using the following command: NE2552E(config)# cee global ets priority-group pgid <group number (0‐7, or 15)> priority <priority list> where priority list is one or more 802.1p priority values (with each separated by a  space). For example, to assign priority values 0 through 2: NE2552E(config)# cee global ets priority-group pgid <group number (0‐7, or 15)> priority 0,1,2 Note: Within any specific PGID, the PFC settings (see “Priority‐Based Flow  Control” on page 256) should be the same (enabled or disabled) for all priority  values within the group. PFC can be enabled only on priority value 3 and one other  priority. If the PFC setting is inconsistent within a PGID, a warning message is  reported when attempting to apply the configuration. When assigning priority values to a PGID, the specified priority value will be  automatically removed from its old group and assigned to the new group when  the configuration is applied. Each priority value must be assigned to a PGID. Priority values may not be deleted  or unassigned. To remove a priority value from a PGID, it must be moved to ...
  • Page 263  Any PGID assigned one or more priority values must have a bandwidth allocation  greater than 0%.  Total bandwidth allocation for groups 0 through 7 must equal exactly 100%.  Increasing or reducing the bandwidth allocation of any PGID also requires  adjusting the allocation of other PGIDs to compensate. If these conditions are not met, the switch will report an error when applying the  configuration. Notes:  Actual bandwidth used by any specific PGID may vary from configured values  by up to 10% of the available bandwidth in accordance with 802.1Qaz ETS  standard. For example, a setting of 10% may be served anywhere from 0% to  20% of the available bandwidth at any given time. Unlimited Bandwidth for PGID 15 PGID 15 is permitted unlimited bandwidth and is generally intended for critical  traffic (such as switch management). Traffic in this group is given highest priority  and is served before the traffic in any other priority group. If PGID 15 has low traffic levels, most of the switch’s bandwidth will be available to  serve priority groups 0 through 7. However, if PGID 15 consumes a larger part of  the switch’s total bandwidth, the amount available to the other groups is reduced. Note: Consider traffic load when assigning priority values to PGID 15. Heavy  traffic in this group may restrict the bandwidth available to other groups. © Copyright Lenovo 2018 Chapter 15: Fibre Channel over Ethernet...
  • Page 264: Configuring Ets

    Configuring ETS Consider an example consistent with that used for port‐based PFC configuration  (on page 258): Table 25. ETS Configuration Priority Usage PGID Bandwidth LAN (best effort delivery) LAN (best effort delivery) LAN (best effort delivery) SAN (Fibre Channel over Ethernet, with PFC) Business Critical LAN (lossless Ethernet, with  PFC) Latency‐sensitive LAN Latency‐sensitive LAN Network Management (strict) unlimited The example shown in Table 25 is only slightly different than the default  configuration shown in Figure 26 on page 260. In this example, latency‐sensitive  LAN traffic (802.1p priority 5 through 6) are moved from priority group 2 to  priority group 3. This leaves Business Critical LAN traffic (802.1p priority 4) in  priority group 2 by itself. Also, a new group for network management traffic has  been assigned. Finally, the bandwidth allocation for priority groups 1, 2, and 3 are  revised. Note: DCBX may be configured to permit sharing or learning PFC configuration  with or from external devices. This example assumes that PFC configuration is  being performed manually. See “Data Center Bridging Capability Exchange” on  page 266 for more information on DCBX. NE2552E Application Guide for ENOS 8.4...
  • Page 265 10 pgid 1 bandwidth 20 pgid 2 bandwidth 30 pgid 3 bandwidth 40 (Configure link bandwidth restriction) 3. Configure the strict priority group with a description (optional) and a list of 802.1p  priority values: NE2552E(config)# cee global ets priority-group pgid 15 priority 7 NE2552E(config)# cee global ets priority-group pgid 15 description "Network Management" Note: Priority group 15 is permitted unlimited bandwidth. As such, the  commands for priority group 15 do not include bandwidth allocation. 4. Save the configuration. © Copyright Lenovo 2018 Chapter 15: Fibre Channel over Ethernet...
  • Page 266: Data Center Bridging Capability Exchange

    Data Center Bridging Capability Exchange Data Center Bridging Capability Exchange (DCBX) protocol is a vital element of  CEE. DCBX allows peer CEE devices to exchange information about their  advanced capabilities. Using DCBX, neighboring network devices discover their  peers, negotiate peer configurations, and detect misconfigurations. DCBX provides two main functions on the NE2552E: Peer information exchange  The switch uses DCBX to exchange information with connected CEE devices.  For normal operation of any FCoE implementation on the NE2552E, DCBX must  remain enabled on all ports participating in FCoE.  Peer configuration negotiation DCBX also allows CEE devices to negotiate with each other for the purpose of  automatically configuring advanced CEE features such as PFC, ETS and (for  some CNAs) FIP. The administrator can determine which CEE feature settings  on the switch are communicated to and matched by CEE neighbors, and also  which CEE feature settings on the switch may be configured by neighbor  requirements. The DCBX feature requires CEE to be turned on (see “Turning CEE On or Off” on  page 246). DCBX Settings When CEE is turned on, DCBX is enabled for peer information exchange on all  ports. For configuration negotiation, the following default settings are configured:  Application Protocol: FCoE and FIP snooping is set for traffic with 802.1p  priority 3  PFC: Enabled on 802.1p priority 3  Priority group 0 includes priority values 0 through 2, with bandwidth   allocation of 10% Priority group 1 includes priority value 3, with bandwidth allocation of 50% ...
  • Page 267: Enabling And Disabling Dcbx

    The willing flag Set this flag when required by the remote CEE peer for a particular feature as  part of DCBX signaling and support. Although some devices may also expect  this flag to indicate that the switch will accept overrides on feature settings, the  NE2552E retains its configured settings. As a result, the administrator should  configure the feature settings on the switch to match those expected by the  remote CEE peer. These flags are available for the following CEE features: Application Protocol  DCBX exchanges information regarding FCoE and FIP snooping, including the  802.1p priority value used for FCoE traffic. The advertise flag is set or reset  using the following command: NE2552E(config)# [no] cee port <port> dcbx app_proto advertise The willing flag is set or reset using the following command: NE2552E(config)# [no] cee port <port> dcbx app_proto willing © Copyright Lenovo 2018 Chapter 15: Fibre Channel over Ethernet...
  • Page 268: Configuring Dcbx

     DCBX exchanges information regarding whether PFC is enabled or disabled on  the port. The advertise flag is set or reset using the following command: NE2552E(config)# [no] cee port <port> dcbx pfc advertise The willing flag is set or reset using the following command: NE2552E(config)# [no] cee port <port> dcbx pfc willing  DCBX exchanges information regarding ETS priority groups, including their  802.1p priority members and bandwidth allocation percentages. The  advertise flag is set or reset using the following command: NE2552E(config)# [no] cee port <port> dcbx ets advertise The willing flag is set or reset using the following command: NE2552E(config)# [no] cee port <port> dcbx ets willing Configuring DCBX Consider an example consistent Figure  on page 244 and used with the previous ...
  • Page 269 NE2552E(config)# cee port EXT5 dcbx enable NE2552E(config)# cee port EXT5 dcbx ets advertise NE2552E(config)# cee port EXT5 dcbx pfc advertise 4. Disable DCBX for each non‐CEE port as appropriate: NE2552E(config)# no cee port INTA3,INTA4-EXT11 enable 5. Save the configuration. © Copyright Lenovo 2018 Chapter 15: Fibre Channel over Ethernet...
  • Page 270: Fcoe Example Configuration

    802.1p Priority & Usage EXT4 INTA1 Channel 3 FCoE Applications Switch 802.1p Priority & Usage INTA2 EXT5 Business-Critical LAN Lenovo Chassis Servers In Figure 27 on page 270, the Fibre Channel network is connected to the FCoE  network through an FCF bridge on port. The FCoE‐enabled NE2552E is internally  connected to a blade server (ENode) through an FCoE‐enabled CNA on port INT1. 1. Turn global FIP snooping on: NE2552E(config)# fcoe fips enable 2. Disable FIP snooping on all non‐FCoE external ports: NE2552E(config)# no fcoe fips port EXT5-EXT10 enable 3.
  • Page 271 10 pgid 1 bandwidth 20 pgid 2 bandwidth 30 pgid 3 bandwidth 40 (Configure link bandwidth restriction) Note: Do not place PFC‐enabled traffic queues and non‐PFC traffic queues in the  same priority group, as this may result in unexpected network behavior. 10. Configure the strict priority group: NE2552E(config)# cee global ets priority-group pgid 15 priority 7 NE2552E(config)# cee global ets priority-group pgid 15 description "Network Management" © Copyright Lenovo 2018 Chapter 15: Fibre Channel over Ethernet...
  • Page 272 11. Enable desired DCBX configuration negotiation on FCoE ports: NE2552E(config)# cee port INTA1,EXT4 dcbx enable NE2552E(config)# cee port INTA1,EXT4 dcbx app_proto advertise NE2552E(config)# cee port INTA1.EXT4 dcbx ets advertise NE2552E(config)# cee port INTA1,EXT4 dcbx pfc advertise 12. Enable desired DCBX advertisements on other CEE ports: NE2552E(config)# cee port INTA2,EXT5 dcbx enable NE2552E(config)# cee port INTA2,EXT5 dcbx ets advertise NE2552E(config)# cee port INTA2,EXT5 dcbx pfc advertise 13.
  • Page 273: Chapter 16. Static Multicast Arp

    Chapter 16. Static Multicast ARP The Microsoft Windows operating system includes the Network Load Balancing  (NLB) technology that helps to balance incoming IP traffic among multi‐node  clusters. In multicast mode, NLB uses a shared multicast MAC address with a  unicast IP address. Since the address resolution protocol (ARP) can map an IP  address to only one MAC address, port, and VLAN, the packet reaches only one of  the servers (the one attached to the port on which the ARP was learnt). To avoid the ARP resolution, you must create a static ARP entry with multicast  MAC address. You must also specify the list of ports through which the multicast  packet must be sent out from the gateway or Layer 2/Layer 3 node. With these configurations, a packet with a unicast IPv4 destination address and  multicast MAC address can be sent out as per the multicast MAC address  configuration. NLB maps the unicast IP address and multicast MAC address as  follows: Cluster multicast MAC address: 03‐BF‐W‐X‐Y‐Z; where W.X.Y.Z is the cluster  unicast IP address. You must configure the static multicast ARP entry only at the Layer 2/Layer 3 or  Router node, and not at the Layer 2‐only node. Lenovo ENOS supports a maximum of 20 static multicast ARP entries. Note: If you use the ACL profile or IPMC‐OPT profile, an ACL entry is consumed  for each Static Multicast ARP entry that you configure. Hence, you can configure a  maximum of 256 ACL and multicast MAC entries together.The ACL entries have a  higher priority. In the default profile, the number of static multicast ARP entries  that you configure does not affect the total number of ACL entries. © Copyright Lenovo 2018 Chapter 16: Static Multicast ARP...
  • Page 274: Configuring Static Multicast Arp

    Configuring Static Multicast ARP To configure multicast MAC ARP, you must perform the following steps:  Configure the static multicast forwarding database (FDB) entry: Since there is no  port list specified for static multicast ARP, and the associated MAC address is  multicast, you must specify a static multicast FDB entry for the cluster MAC  address to limit the multicast domain. If there is no static multicast FDB entry  defined for the cluster MAC address, traffic will not be forwarded. Use the  following command:   NE2552E(config)# mac-address-table multicast <cluster MAC address> <port(s)> Configure the static multicast ARP entry: Multicast ARP static entries should be   configured without specifying the list of ports to be used. Use the following  command:    NE2552E(config)# ip arp <destination unicast IP address> <destination multicast MAC  address> vlan <cluster VLAN number> Configuration Example Consider the following example: Cluster unicast IP address: 10.10.10.42   Cluster multicast MAC address: 03:bf:0a:0a:0a:2a  Cluster VLAN: 42   List of individual or port LAGs to which traffic should be forwarded: 54 and 56 Following are the steps to configure the static multicast ARP based on the given  example: 1.
  • Page 275 --------------- ----------------- ---- ---- 10.10.10.42 03:bf:0a:0a:0a:2a Total number of arp entries : 2 IP address Flags MAC address VLAN Age Port --------------- ----- ----------------- ---- --- ---- 10.10.10.1 fc:cf:62:9d:74:00 10.10.10.42 03:bf:0a:0a:0a:2a © Copyright Lenovo 2018 Chapter 16: Static Multicast ARP...
  • Page 276: Limitations

    Limitations  You must configure the ARP only in the Layer 2/Layer 3 node or the router node  but not in the Layer 2‐only node. Lenovo ENOS cannot validate if the node is  Layer 2‐only.   The packet is always forwarded to all the ports as specified in the Multicast  MAC address configuration. If VLAN membership changes for the ports, you  must update this static multicast MAC entry. If not, the ports, whose  membership has changed, will report discards.  ACLs take precedence over static multicast ARP. If an ACL is configured to  match and permit ingress of unicast traffic, the traffic will be forwarded based  on the ACL rule, and the static multicast ARP will be ignored.  NE2552E Application Guide for ENOS 8.4...
  • Page 277: Chapter 17. Dhcp Snooping

    Chapter 17. DHCP Snooping DHCP snooping provides security by filtering untrusted DHCP packets and by  building and maintaining a DHCP snooping binding table. This feature is  applicable only to IPv4 and only works in non‐stacking mode. An untrusted interface is a port that is configured to receive packets from outside  the network or firewall. A trusted interface receives packets only from within the  network. By default, all DHCP ports are untrusted. The DHCP snooping binding table contains the MAC address, IP address, lease  time, binding type, VLAN number, and port number that correspond to the local  untrusted interface on the switch; it does not contain information regarding hosts  interconnected with a trusted interface.  By default, DHCP snooping is disabled on all VLANs. You can enable DHCP  snooping on one or more VLANs. You must enable DHCP snooping globally. To  enable this feature, enter the following commands: NE2552E(config)# ip dhcp snooping vlan <vlan number(s)> NE2552E(config)# ip dhcp snooping Note: When you make a DHCP release from a client, the switch does not forward  the Unicast DHCP release packet to the server, the entry is not removed from the  DHCP snooping binding table, and the counter for Received Request packets does  not increase even though the release packet does arrive at the switch. If you want the DHCP Renew/Release packet to be forwarded to the server and the  corresponding entry removed from the DHCP snooping binding table, configure  an interface IP address with the same subnet in the same VLAN. © Copyright Lenovo 2018...
  • Page 278 NE2552E Application Guide for ENOS 8.4...
  • Page 279: Chapter 18. Dynamic Arp Inspection

    MAC address MC as the destination MAC address for traffic intended for Host B.  Host C then intercepts that traffic. Because Host C knows the true MAC addresses  associated with Host B, it forwards the intercepted traffic to that host by using the  correct MAC address as the destination, keeping the appearance of regular  behavior. Figure 28. ARP Cache Poisoning Host A Host B (IA, MA) (IB, MB) Host C (man-in-the-middle) (IC, MC) Understanding DAI Dynamic ARP Inspection is a security feature that lets the switch intercept and  examine all ARP request and response packets in a subnet, discarding those  packets with invalid IP to MAC address bindings. This capability protects the  network from man‐in‐the‐middle attacks. A switch on which ARP Inspection is configured does the following:  Intercepts all ARP requests and responses on untrusted ports. Verifies that each of these intercepted packets has a valid IP/MAC/VLAN/port   binding before updating the local ARP cache or before forwarding the packet to  the appropriate destination. © Copyright Lenovo 2018...
  • Page 280: Interface Trust States And Network Security

     Drops invalid ARP packets and sends a syslog message with details about each  dropped packet. DAI determines the validity of an ARP packet based on valid IP‐to‐MAC address  bindings stored in a trusted database, the DHCP snooping binding database. This  database is built by DHCP snooping if DHCP snooping is enabled on the VLANs  and on the switch. As shown in Figure 29, if the ARP packet is received on a  trusted interface, the switch forwards the packet without any checks. On untrusted  interfaces, the switch forwards the packet only if it is valid. For hosts with statically configured IP addresses, static DHCP snooping binding  entries can be configured with a big lease time. Figure 29. Dynamic ARP inspection at work Valid Packets Packets Packets DHCP Snooping/ Binding Invalid Packet Interface Trust States and Network Security DAI associates a trust state with each interface on the switch. In a typical network configuration, you configure all switch ports connected to host  ports as untrusted and configure all switch ports connected to switches as trusted.  With this configuration, all ARP packets entering the network from a given switch  bypass the security check.  The trust state configuration should be done carefully: configuring interfaces as  untrusted when they should be trusted can result in a loss of connectivity. In Figure 30, assume that both Switch A and Switch B are running DAI on the  VLAN that includes Host 1 and Host 2. If Host 1 and Host 2 acquire their IP  addresses from the DHCP server connected to Switch A, only Switch A has the ...
  • Page 281 Port 1 Port 2 Port 2 Port 3 Port 3 Host 1 Host 2 If Switch A is not running DAI, Host 1 can easily poison the ARP caches of Switch  B and Host 2, if the link between the switches is configured as trusted. This  condition can occur even though Switch B is running DAI. The best option for the setup from Figure 30 is to have DAI running on both  switches and to have the link between the switches configured as trusted. In cases in which some switches in a VLAN run DAI and other switches do not,  configure the interfaces connecting such switches as untrusted. However, to  validate the bindings of packets from switches where DAI is not configured,  configure static DHCP snooping binding entries on the switch running DAI. When  you cannot determine such bindings, isolate switches running DAI at Layer 3 from  switches not running DAI. DAI ensures that hosts (on untrusted interfaces) connected to a switch running  DAI do not poison the ARP caches of other hosts in the network. However, DAI  does not prevent hosts in other portions of the network connected through a  trusted interface from poisoning the caches of the hosts that are connected to a  switch running DAI. © Copyright Lenovo 2018 Chapter 18: Dynamic ARP Inspection...
  • Page 282: Dai Configuration Guidelines And Restrictions

    DAI Configuration Guidelines and Restrictions When configuring DAI, follow these guidelines and restrictions:  DAI is an ingress security feature; it does not perform any egress checking.  DAI is not effective for hosts connected to switches that do not support DAI or  that do not have this feature enabled. Because man‐in‐the‐middle attacks are  limited to a single Layer 2 broadcast domain, separate the domain with DAI  checks from the one with no checking. This action secures the ARP caches of  hosts in the domain enabled for DAI.  DAI depends on the entries in the DHCP snooping binding database to verify  IP‐to‐MAC address bindings in incoming ARP requests and ARP responses.  For non‐DHCP environments, for each static IP address add a static DHCP  Snooping binding entry with the biggest lease time in order not to expire.  Ports belonging to a port‐channel must have the same trust state. DAI Configuration Example Following is the configuration for the example in Figure SwitchA(config)# ip arp inspection vlan 2 SwitchA(config)# interface port 1-2 SwitchA(config-if)# ip arp inspection trust SwitchA(config-if)# exit SwitchA(config)# interface port 3 SwitchA(config-if)# no ip arp inspection trust...
  • Page 283 SwitchA# show ip arp inspection interfaces Interface Trust State --------- ----------- Trusted Trusted Untrusted Untrusted When Host 1 tries to send an ARP with an IP address of 1.1.1.3 that is not present in  the DHCP Binding table, the packet is dropped and an error message similar to the  following is logged:  “Dec 16 21:00:10 192.168.49.50 NOTICE ARP-Inspection: Invalid ARP Request on port 3, VLAN 2 ([00:02:00:02:00:02/1.1.1.3/00:00:00:00:00:00/1.1.1.4])” © Copyright Lenovo 2018 Chapter 18: Dynamic ARP Inspection...
  • Page 284 NE2552E Application Guide for ENOS 8.4...
  • Page 285: Chapter 19. Unified Fabric Port

    NIC Port Switch Port vPort Switch VNIC vPort OS or Hypervisor VNIC vPort vPort VNIC The UFP protocol has the following operation categories:  Channel Initialization: The server NIC and the switch port negotiate the number   of channels and establish channel identifiers. Each UFP channel has a data  component and a control component. The two components have the same UFP  channel ID.   Channel Control: For an established channel, the switch can modify  configurable channel properties by sending a control message on the UFP  channel. While the channel ID is the same for the control and data components,  the destination MAC address of the control message frame is a well‐known  address 01-80-C2-00-00-03.   Discovery Capability: UFP can discover other ports that are UFP enabled. Once  you enable UFP, you can check the information statistics for established  channels. © Copyright Lenovo 2018 Chapter 19: Unified Fabric Port...
  • Page 286: Ufp Considerations

    UFP Considerations The following limitations apply when configuring UFP:   FCoE must be configured only on vPort 2 of the physical NIC for Emulex CNA  and on vPort 1 of the physical NIC for Qlogic CNA. For Qlogic Jawa CNA, FCoE  must be configured on vPort 2.  VLANs that have member vPorts configured in trunk or access modes cannot  have member vPorts configured in tunnel mode or FCoE.  vPorts on a physical port must be members of separate VLANs.  VLANs 4002‐4009 are reserved for outer tagging.  A UFP‐enabled port with no vPorts configured cannot belong to the same  VLAN as a UFP‐enabled port that has vPorts configured in trunk, access modes. UFP bandwidth is guaranteed lossless only for unicast traffic.   UFP vPorts support up to 1024 VLANs in trunk mode on the switch in  standalone mode.   When CEE is turned on, FCoE vPort must be used for lossless priority traffic. For  loss‐tolerant priority traffic, a non‐FCoE UFP vPort must be used. The lossless  property of FCoE vPort is not guaranteed, if lossless and loss‐tolerant traffic are  combined. When the vPort is enabled and the channel link state is up, the system does not   support changing vPort VLAN type from private/non‐private to  non‐private/private. A maximum of eight vPorts can be configured for each physical switch port.   QoS Enhanced Transmission Selection (ETS) mode must be enabled when  configuring more than four vPorts of a physical switch port. For more details  about ETS mode, check page 290.  If QoS ETS mode is used, a FCoE vPort must be configured with priority 3.  UFP vPorts cannot be aggregated to form a LAG/vLAG client.
  • Page 287: Virtual Ports Modes

    S‐tag). vPort-VLAN Mapping In local domain data path type, the switch and server identify the vPort and vNIC  by the port and VLAN tag in the incoming and outgoing packets. Because no two  vPorts carry traffic for the same VLAN, the port‐and‐VLAN combination must be  uniquely mapped to a vPort.  UFP vPort Mode The UFP mode is configured based on the type of switching domain (single VLAN  or multiple VLANs) where the vPort is connected.   Use local domain data path types for trunk or access mode.   Use pass‐through domain data path types for tunnel mode. In tunnel mode, a  vPort can belong to only one VLAN. Use the following command to configure UFP vPort mode:  NE2552E(config)# ufp port <num> vport <num> NE2552E(config_ufp_vport)# network mode {access|trunk|tunnel|fcoe} Notes:  Default mode is tunnel. © Copyright Lenovo 2018 Chapter 19: Unified Fabric Port...
  • Page 288: Tunnel Mode

    Use tunnel mode to send all VM data traffic to an upstream switch, for Layer 2 or  Layer 3 processing, in one domain. In such cases, the UFP port or vPort must be in  tunnel mode and the upstream switch port must be in 802.1Q trunk mode. Note: Two vPorts on a physical port cannot be members of the same VLAN.  Figure 32. Packet pass‐through in Tunnel Mode Server vNICs vPorts Lenovo Switch Ports without vNICs OS/Hypervisor Regular NIC attaches UFP Switching uses outer tag; Switch strips VLAN ID Channel VLAN ID Ignores regular VLAN outer tag...
  • Page 289: Access Mode

    Access Mode In access mode, a vPort carries packets with inner tags that belong to one VLAN.  The vPort is associated with the VLAN defined by the command:  NE2552E(config_ufp_vport)# network default-vlan <2‐4094> Note: VLANs 4002‐4009 are reserved for outer tagging. FCoE Mode FCoE traffic is carried by a vPort. The server‐side endpoint of this virtual port will  be represented through a FC vHBA. Setting a virtual port in FCoE mode will  enable Priority‐based Flow Control (PFC) on the physical port. A vPort configured in FCoE mode can only be attached to a Fibre Channel (FC)  VLAN. A vPort in FCoE mode operates as a local domain data path type with  packets being single tagged. © Copyright Lenovo 2018 Chapter 19: Unified Fabric Port...
  • Page 290: Ufp Bandwidth Provisioning

    UFP Bandwidth Provisioning UFP provides two modes of bandwidth provisioning for vPort: Enhanced  Transmission Selection (ETS) mode and Strict Bandwidth Provisioning mode.  Enhanced Transmission Selection mode Enhanced Transmission Selection (ETS) mode of bandwidth provisioning is useful  when an end‐to‐end QoS framework for the entire data center, with bandwidth  provi