Lenovo ThinkSystem NE2552E Application Manual

Lenovo ThinkSystem NE2552E Application Manual

Flex switch lenovo enterprise network operating system 8.4
Hide thumbs Also See for ThinkSystem NE2552E:

Advertisement

Quick Links

Table of Contents
Lenovo ThinkSystem NE2552E Flex Switch
Application Guide
For Lenovo Enterprise Network Operating System 8.4

Advertisement

Table of Contents
loading

  Also See for Lenovo ThinkSystem NE2552E

  Summary of Contents for Lenovo ThinkSystem NE2552E

  • Page 1 Lenovo ThinkSystem NE2552E Flex Switch Application Guide For Lenovo Enterprise Network Operating System 8.4...
  • Page 2 Note:  Before using this information and the product it supports, read the general information in the  Safety information and Environmental Notices and User Guide documents on the Lenovo Documentation CD  and the Warranty Information document that comes with the product. Third Edition (August 2018) © Copyright Lenovo 2018 Portions © Copyright IBM Corporation 2014. LIMITED AND RESTRICTED RIGHTS NOTICE: If data or software is delivered pursuant a General  Services Administration “GSA” contract, use, reproduction, or disclosure is subject to restrictions set  forth in Contract No. GS‐35F‐05925. Lenovo and the Lenovo logo are trademarks of Lenovo in the United States, other countries, or both.
  • Page 3: Table Of Contents

    Browser‐Based Interface  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .31 Establishing a Connection  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .32 Using the Chassis Management Module  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .32 Factory‐Default vs. CMM‐Assigned IP Addresses  .   .   .   .   .   .   .   .   .   .32 Using Telnet  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .33 Using Secure Shell.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .33 Using SSH with Password Authentication    .   .   .   .   .   .   .   .   .   .   .   .   .34 Using SSH with Public Key Authentication  .   .   .   .   .   .   .   .   .   .   .   .   .34 Using a Web Browser   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .35 Configuring HTTP Access to the BBI .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .35 Configuring HTTPS Access to the BBI   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .36 BBI Summary .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .37 Using Simple Network Management Protocol.   .   .   .   .   .   .   .   .   .   .   .   .   .38 BOOTP/DHCP Client IP Address Services  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .39 Host Name Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .39 SYSLOG Server .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .40 DHCP Snooping   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .40 Easy Connect Wizard  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .41 Configuring the Easy Connect Wizard .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .41 Basic System Mode Configuration Example .   .   .   .   .   .   .   .   .   .   .   .   .42 Transparent Mode Configuration Example  .   .   .   .   .   .   .   .   .   .   .   .   .43 Redundant Mode Configuration Example    .   .   .   .   .   .   .   .   .   .   .   .   .44 Switch Login Levels .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .46 Administrator Password Recovery   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .48 Secure FTP.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .50 © Copyright Lenovo 2018...
  • Page 4 Boot Strict Mode  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 51 Acceptable Cipher Suites    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 54 Configuring Strict Mode .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 55 Limitations.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 55 Configuring No‐Prompt Mode .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 56 Chapter 2. Initial Setup ..... 57 Information Needed for Setup  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 58 Default Setup Options    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .
  • Page 5 Chapter 5. Authentication & Authorization Protocols ..99 RADIUS Authentication and Authorization   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  100 How RADIUS Authentication Works   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  100 Configuring RADIUS on the Switch  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  101 RADIUS Authentication Features in Lenovo ENOS   .   .   .   .   .   .   .   .   .   .  101 Switch User Accounts  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  102 RADIUS Attributes for Lenovo ENOS User Privileges  .   .   .   .   .   .   .   .   .  103 TACACS+ Authentication  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  104 How TACACS+ Authentication Works.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  104 TACACS+ Authentication Features in Lenovo ENOS    .   .   .   .   .   .   .   .   .  105 Authorization .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  105 Local Access   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  106 Accounting .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  106 Command Authorization and Logging .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  107 TACACS+ Password Change  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  109 Configuring TACACS+ Authentication on the Switch   .   .   .   .   .   .   .   .   .  109 LDAP Authentication and Authorization    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  110 Configuring the LDAP Server.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  110 Configuring LDAP Authentication on the Switch  .   .   .   .   .   .   .   .   .   .   .  111 © Copyright Lenovo 2018 Contents...
  • Page 6 Chapter 6. 802.1X Port-Based Network Access Control ..113 Extensible Authentication Protocol over LAN   .   .   .   .   .   .   .   .   .   .   .   .   .   .   114 EAPoL Authentication Process  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   115 EAPoL Message Exchange  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   116 EAPoL Port States    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   116 Guest VLAN.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   117 Supported RADIUS Attributes .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   118 EAPoL Configuration Guidelines .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   120 Chapter 7. Access Control Lists....121 Summary of Packet Classifiers  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 7 Chapter 10. Spanning Tree Protocols....173 Spanning Tree Protocol Modes  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  174 Global STP Control   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  174 PVRST Mode.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  175 Port States  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  175 Bridge Protocol Data Units .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  176 Determining the Path for Forwarding BPDUs  .   .   .   .   .   .   .   .   .   .   .  176 Bridge Priority   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  176 Port Priority    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  177 Root Guard .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  177 Loop Guard.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  177 Port Path Cost.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  178 Simple STP Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  178 Per‐VLAN Spanning Tree Groups .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  180 Using Multiple STGs to Eliminate False Loops.   .   .   .   .   .   .   .   .   .   .  180 VLAN and STG Assignment   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  181 Manually Assigning STGs    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  182 Guidelines for Creating VLANs  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  182 Rules for VLAN Tagged Ports .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  182 Adding and Removing Ports from STGs   .   .   .   .   .   .   .   .   .   .   .   .   .  183 Switch‐Centric Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  184 Configuring Multiple STGs .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  185 © Copyright Lenovo 2018 Contents...
  • Page 8 Rapid Spanning Tree Protocol  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   187 Port States  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   187 RSTP Configuration Guidelines .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   187 RSTP Configuration Example.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   188 Multiple Spanning Tree Protocol  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   189 MSTP Region.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   189 Common Internal Spanning Tree  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   189 MSTP Configuration Guidelines   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   190 MSTP Configuration Examples .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   190 MSTP Configuration Example 1 .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   190 MSTP Configuration Example 2 .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   191 Port Type and Link Type   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   193 Edge/Portfast Port    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   193 Link Type  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   193 Chapter 11. Virtual Link Aggregation Groups ... . 195 VLAG Capacities .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 9 Port Aggregation  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  250 Global FIP Snooping Settings .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  250 FIP Snooping for Specific Ports  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  251 FIPS LAG Support on Server Ports    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  251 Port FCF and ENode Detection  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  252 FCoE Connection Timeout  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  252 FCoE ACL Rules   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  252 FCoE VLANs .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  253 Viewing FIP Snooping Information   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  253 Operational Commands  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  254 FIP Snooping Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  255 Priority‐Based Flow Control  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  256 Global vs. Port‐by‐Port PFC Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .  257 PFC Configuration Example   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  258 Enhanced Transmission Selection .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  260 802.1p Priority Values  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  260 Priority Groups .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  261 PGID    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  261 Assigning Priority Values to a Priority Group .   .   .   .   .   .   .   .   .   .   .  262 Deleting a Priority Group.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  262 Allocating Bandwidth   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  262 Configuring ETS   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  264 © Copyright Lenovo 2018 Contents...
  • Page 10 Data Center Bridging Capability Exchange.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   266 DCBX Settings  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   266 Enabling and Disabling DCBX    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   267 Peer Configuration Negotiation .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   267 Configuring DCBX   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   268 FCoE Example Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   270 Chapter 16. Static Multicast ARP ....273 Configuring Static Multicast ARP.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   274 Configuration Example   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   274 Limitations   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 11 Supported Applications  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  334 IPv6 Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  336 Configuration Guidelines    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  336 IPv6 Configuration Examples .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  336 IPv6 Configuration Example 1.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  336 IPv6 Configuration Example 2.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  337 Chapter 23. Using IPsec with IPv6 ....339 IPsec Protocols  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  340 © Copyright Lenovo 2018 Contents...
  • Page 12 Using IPsec with the NE2552E  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   341 Setting up Authentication   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   342 Creating an IKEv2 Proposal    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   342 Importing an IKEv2 Digital Certificate .   .   .   .   .   .   .   .   .   .   .   .   .   .   343 Generating a Certificate Signing Request .   .   .   .   .   .   .   .   .   .   .   .   .   343 Generating an IKEv2 Digital Certificate    .   .   .   .   .   .   .   .   .   .   .   .   .   345 Enabling IKEv2 Preshared Key Authentication   .   .   .   .   .   .   .   .   .   .   346 Setting Up a Key Policy   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   346 Using a Manual Key Policy.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   348 Using a Dynamic Key Policy  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   350 Chapter 24. Routing Information Protocol ... . . 351 Distance Vector Protocol    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 13 Internal Versus External Routing   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  393 OSPFv2 Implementation in Lenovo ENOS  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  394 Configurable Parameters .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  394 Defining Areas  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  395 Assigning the Area Index .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  395 Using the Area ID to Assign the OSPF Area Number .   .   .   .   .   .   .   .  396 Attaching an Area to a Network .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  396 Interface Cost .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  397 Electing the Designated Router and Backup    .   .   .   .   .   .   .   .   .   .   .   .   .  397 Summarizing Routes    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  397 Default Routes   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  398 Virtual Links  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  399 Router ID    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  399 Authentication  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  400 Configuring Plain Text OSPF Passwords  .   .   .   .   .   .   .   .   .   .   .   .   .  401 Configuring MD5 Authentication   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  402 Host Routes for Load Balancing .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  403 Loopback Interfaces in OSPF  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  403 OSPF Features Not Supported    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  404 © Copyright Lenovo 2018 Contents...
  • Page 14 Example 1: Simple OSPF Domain .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   405 Example 2: Virtual Links .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   407 Configuring OSPF for a Virtual Link on Switch #1 .   .   .   .   .   .   .   .   .   407 Configuring OSPF for a Virtual Link on Switch #2 .   .   .   .   .   .   .   .   .   408 Other Virtual Link Options .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   410 Example 3: Summarizing Routes   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   410 Verifying OSPF Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   412 OSPFv3 Implementation in Lenovo ENOS .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   413 OSPFv3 Differences from OSPFv2.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   413 OSPFv3 Requires IPv6 Interfaces   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   413 OSPFv3 Uses Independent Command Paths   .   .   .   .   .   .   .   .   .   .   .   413 OSPFv3 Identifies Neighbors by Router ID  .   .   .   .   .   .   .   .   .   .   .   .   413 Other Internal Improvements .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   414 OSPFv3 Limitations .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   414 OSPFv3 Configuration Example    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   414 Neighbor Configuration Example  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 15 Part 7:. Network Management ....461 Chapter 33. Link Layer Discovery Protocol ... . . 463 LLDP Overview   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  464 © Copyright Lenovo 2018 Contents...
  • Page 16 Enabling or Disabling LLDP  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   465 Global LLDP Setting    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   465 Transmit and Receive Control   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   465 LLDP Transmit Features.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   466 Scheduled Interval   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   466 Minimum Interval    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   466 Time‐to‐Live for Transmitted Information  .   .   .   .   .   .   .   .   .   .   .   .   .   .   467 Trap Notifications    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   467 Changing the LLDP Transmit State  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   468 Types of Information Transmitted.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   469 LLDP Receive Features   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   471 Types of Information Received  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   471 Viewing Remote Device Information   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   471 Time‐to‐Live for Received Information    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   474 LLDP Example Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   475 Chapter 34. Simple Network Management Protocol..477 SNMP Version 1  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 17 Alarm Example 2   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  542 RMON Group 9–Events  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  543 Chapter 39. sFLOW ..... . . 545 sFlow Statistical Counters  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  545 sFlow Network Sampling   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  545 sFlow Example Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  546 © Copyright Lenovo 2018 Contents...
  • Page 18 Chapter 40. Port Mirroring ....547 Port Mirroring Behavior .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   548 Configuring Port Mirroring    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   548 Part 9:. Appendices ..... . . 549 Appendix A.
  • Page 19: Preface

    Preface The Lenovo ThinkSystem NE2552E Flex Switch Application Guide describes how to  configure and use the Lenovo ENOS 8.4 software on the Lenovo ThinkSystem  NE2552E Flex Switch (referred to as NE2552E throughout this document). For documentation about installing the switch physically, see the Installation Guide  for your NE2552E. © Copyright Lenovo 2018...
  • Page 20: Who Should Use This Guide

    Who Should Use This Guide This guide is intended for network installers and system administrators engaged in  configuring and maintaining a network. The administrator should be familiar with  Ethernet concepts, IP addressing, Spanning Tree Protocol, and SNMP  configuration parameters. NE2552E Application Guide for ENOS 8.4...
  • Page 21: What You'll Find In This Guide

     Chapter 5, “Authentication & Authorization Protocols,” describes different  secure administration for remote administrators. This includes using Remote  Authentication Dial‐in User Service (RADIUS), as well as TACACS+ and LDAP.  Chapter 6, “802.1X Port‐Based Network Access Control,” describes how to  authenticate devices attached to a LAN port that has point‐to‐point connection  characteristics. This feature prevents access to ports that fail authentication and  authorization and provides security to ports of the NE2552E that connect to  blade servers.  Chapter 7, “Access Control Lists,” describes how to use filters to permit or deny  specific types of traffic, based on a variety of source, destination, and packet  attributes. Part 3: Switch Basics  Chapter 8, “VLANs,” describes how to configure Virtual Local Area Networks  (VLANs) for creating separate network segments, including how to use VLAN  tagging for devices that use multiple VLANs. This chapter also describes  Protocol‐based VLANs, and Private VLANs.  Chapter 9, “Ports and Link Aggregation (LAG),” describes how to group  multiple physical ports together to aggregate the bandwidth between  large‐scale network devices. © Copyright Lenovo 2018 Preface...
  • Page 22: Part 4: Advanced Switching Features

     Chapter 10, “Spanning Tree Protocols,” discusses how Spanning Tree Protocol  (STP) configures the network so that the switch selects the most efficient path  when multiple paths exist. Also includes the Rapid Spanning Tree Protocol  (RSTP), Per‐VLAN Rapid Spanning Tree Plus (PVRST+), and Multiple Spanning  Tree Protocol (MSTP) extensions to STP.  Chapter 11, “Virtual Link Aggregation Groups,” describes using Virtual Link  Aggregation Groups (vLAG) to form LAGs spanning multiple vLAG‐capable  aggregator switches.  Chapter 12, “Quality of Service,” discusses Quality of Service (QoS) features,  including IP filtering using Access Control Lists (ACLs), Differentiated Services,  and IEEE 802.1p priority values.  Chapter 13, “Precision Time Protocol,” describes the precision clock  synchronization protocol for networked measurement and control systems. Part 4: Advanced Switching Features  Chapter 14, “Virtualization,” provides an overview of allocating resources  based on the logical needs of the data center, rather than on the strict, physical  nature of components. Chapter 15, “Fibre Channel over Ethernet,” discusses using various Converged   Enhanced Ethernet (CEE) features such as Priority‐based Flow Control (PFC),  Enhanced Transmission Selection (ETS) and FIP Snooping for solutions such as  Fibre Channel over Ethernet (FCoE).  Chapter 16, “Static Multicast ARP,” discusses the configuration of a static ARP  entry with multicast MAC address for Microsoft’s Network Load Balancing ...
  • Page 23: Part 6: High Availability Fundamentals

    Chapter 30, “Basic Redundancy,” describes how the NE2552E supports   redundancy through aggregation and Hotlinks.  Chapter 31, “Layer 2 Failover,” describes how the NE2552E supports   high‐availability network topologies using Layer 2 Failover.  Chapter 32, “Virtual Router Redundancy Protocol,” describes how the NE2552E  supports high‐availability network topologies using Virtual Router Redundancy  Protocol (VRRP). Part 7: Network Management  Chapter 33, “Link Layer Discovery Protocol,” describes how Link Layer  Discovery Protocol helps neighboring network devices learn about each others’  ports and capabilities.  Chapter 34, “Simple Network Management Protocol,” describes how to  configure the switch for management through an SNMP client.  Chapter 35, “Service Location Protocol,” describes the Service Location Protocol  (SLP) that allows the switch to provide dynamic directory services.  Chapter 36, “NETCONF,” describes how to manage the G8264 using the  Network Configuration Protocol (NETCONF), a mechanism based on the  Extensible Markup Language (XML). © Copyright Lenovo 2018 Preface...
  • Page 24: Part 8: Monitoring

    Part 8: Monitoring  Chapter 38, “Remote Monitoring,” describes how to configure the RMON agent  on the switch, so that the switch can exchange network monitoring data.  Chapter 40, “Port Mirroring,” discusses tools how copy selected port traffic to a  monitor port for network analysis. Part 9: Appendices Appendix A, “Glossary,” describes common terms and concepts used   throughout this guide.  Appendix B, “Getting help and technical assistance,” describes how to get help.   Appendix C, “Notices,” provides trademark and other compliance information.  NE2552E Application Guide for ENOS 8.4...
  • Page 25: Additional References

    Additional References Additional information about installing and configuring the NE2552E is available  in the following guides:  Lenovo ThinkSystem NE2552E Flex Switch Installation Guide Lenovo ThinkSystem NE2552E Flex Switch Command Reference for Lenovo Network   Operating System 8.4 © Copyright Lenovo 2018 Preface...
  • Page 26: Typographic Conventions

    Typographic Conventions The following table describes the typographic styles used in this book. Table 1. Typographic Conventions Typeface or Meaning Example Symbol ABC123 This type is used for names of  View the readme.txt file. commands, files, and directories  used within the text. Main# It also depicts on‐screen computer  output and prompts. ABC123 Main# sys This bold type appears in  command examples. It shows text  that must be typed in exactly as  shown. <ABC123> This italicized type appears in  To establish a Telnet session,  command examples as a  enter: host# telnet <IP address> parameter placeholder. Replace  the indicated text with the  appropriate real name or value  when using the command. Do not  type the brackets. This also shows book titles,  Read your User’s Guide ...
  • Page 27: Part 1: Getting Started

    Part 1: Getting Started © Copyright Lenovo 2018...
  • Page 28 NE2552E Application Guide for ENOS 8.4...
  • Page 29: Chapter 1. Switch Administration

    Chapter 1. Switch Administration Your NE2552E Flex Switch is ready to perform basic switching functions right out  of the box. Some of the more advanced features, however, require some  administrative configuration before they can be used effectively. The extensive Lenovo ENOS switching software included in the NE2552E provides  a variety of options for accessing the switch to perform configuration, and to view  switch information and statistics. This chapter discusses the various methods that can be used to administer the  switch. © Copyright Lenovo 2018...
  • Page 30: Administration Interfaces

     The Flex System chassis management module tools for general chassis  management  A built‐in, text‐based command‐line interface and menu system for access via  serial‐port connection or an optional Telnet or SSH session  The built‐in Browser‐Based Interface (BBI) available using a standard  web‐browser  SNMP support for access through network management software such as IBM  Director. The specific interface chosen for an administrative session depends on user  preferences, as well as the switch configuration and the available client tools. In all cases, administration requires that the switch hardware is properly installed  and turned on. (see the Lenovo ThinkSystem NE2552E Flex Switch Installation Guide).  Chassis Management Module The NE2552E Flex Switch is an integral subsystem within the overall Lenovo Flex  System. The Flex System chassis also includes a chassis management module  (CMM) as the central element for overall chassis management and control. Using  the tools available through the CMM, the administrator can configure many of the  NE2552E features and can also access other NE2552E administration interfaces. For more information, see “Using the Chassis Management Module” on page Industry Standard Command Line Interface The Industry Standard Command Line Interface (ISCLI) provides a simple, direct  method for switch administration. Using a basic terminal, you can issue  commands that allow you to view detailed information and statistics about the  switch, and to perform any necessary configuration and switch software  maintenance. You can establish a connection to the CLI in any of the following ways:  Serial connection via the serial port on the NE2552E (this option is always avail‐...
  • Page 31: Browser-Based Interface

    Browser-Based Interface The Browser‐based Interface (BBI) provides access to the common configuration,  management and operation features of the NE2552E through your Web browser. © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 32: Establishing A Connection

    Establishing a Connection The factory default settings permit initial switch administration through the  built‐in serial port. Remote access using the network requires the accessing terminal to have a valid,  routable connection to the switch interface. The client IP address may be  configured manually, or an IPv4 address can be provided automatically through  the switch using a service such as DHCP (see “BOOTP/DHCP Client IP Address  Services” on page 39), or an IPv6 address can be obtained using IPv6 stateless  address configuration. Using the Chassis Management Module The NE2552E is an integral subsystem within the overall Lenovo Flex System. The  Flex System chassis includes a chassis management module (CMM) as the central  element for overall chassis management and control. The NE2552E uses MGT1to communicate with the chassis management module(s).  Even when the NE2552E is in a factory default configuration, you can use the 1Gb  Ethernet port on each CMM to configure and manage the NE2552E. For more information about using the chassis management module, see the Lenovo  ThinkSystem NE2552E Flex Switch Installation Guide.  Factory-Default vs. CMM-Assigned IP Addresses Each NE2552E must be assigned its own Internet Protocol version 4 (IPv4) address,  which is used for communication with an SNMP network manager or other  transmission control protocol/Internet Protocol (TCP/IP) applications (for example,  BOOTP or TFTP). The factory‐default IPv4 address is 10.90.90.x, where x is based  on the number of the bay into which the NE2552E is installed. For additional  information, see the Installation Guide. The chassis management module assigns an  IPv4 address of 192.168.70.1xx, where xx is also based on the number of the bay  into which each NE2552E is installed, as shown in the following table:   Table 2.
  • Page 33: Using Telnet

    Two attempts are allowed to log in to the switch. After the second unsuccessful  attempt, the Telnet client is disconnected via TCP session closure.  Using Secure Shell Although a remote network administrator can manage the configuration of a  NE2552E via Telnet, this method does not provide a secure connection. The Secure  Shell (SSH) protocol enables you to securely log into another device over a network  to execute commands remotely. As a secure alternative to using Telnet to manage  switch configuration, SSH ensures that all data sent over the network is encrypted  and secure. The switch can do only one session of key/cipher generation at a time. Thus, a  SSH/SCP client will not be able to login if the switch is doing key generation at that  time. Similarly, the system will fail to do the key generation if a SSH/SCP client is  logging in at that time. The supported SSH encryption and authentication methods are listed below.  Server Host Authentication: Client RSA‐authenticates the switch when starting  each connection  Key Exchange: ecdh‐sha2‐nistp521, ecdh‐sha2‐nistp384, ecdh‐sha2‐nistp256,  ecdh‐sha2‐nistp224, ecdh‐sha2‐nistp192, rsa2048‐sha256, rsa1024‐sha1,  diffie‐hellman‐group‐exchange‐sha256, diffie‐hellman‐group‐exchange‐sha1,  diffie‐hellman‐group14‐sha1, diffie‐hellman‐group1‐sha1  Encryption: aes128‐ctr, aes128‐cbc, rijndael128‐cbc, blowfish‐cbc,3des‐cbc,  arcfour256, arcfour128, arcfour MAC: hmac‐sha1, hmac‐sha1‐96, hmac‐md5, hmac‐md5‐96   User Authentication: Local password authentication, RADIUS, TACACS+ © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 34: Using Ssh With Password Authentication

    The following SSH clients have been tested: OpenSSH_5.1p1 Debian‐3ubuntu1   SecureCRT 5.0 (Van Dyke Technologies, Inc.)  Putty beta 0.60 Note: The Lenovo ENOS implementation of SSH supports version 2.0 and  supports SSH client version 2.0. Using SSH with Password Authentication By default, the SSH feature is enabled. For information about enabling and using  SSH for switch access, see “Secure Shell and Secure Copy” on page Once the IP parameters are configured and the SSH service is enabled, you can  access the command line interface using an SSH connection. To establish an SSH connection with the switch, run the SSH program on your  workstation by issuing the SSH command, followed by the switch IPv4 or IPv6  address: ssh <switch IP address> You will then be prompted to enter a password as explained “Switch Login Levels”  on page Using SSH with Public Key Authentication SSH can also be used for switch authentication based on asymmetric cryptography.  Public encryption keys can be uploaded on the switch and used to authenticate  incoming login attempts based on the clients’ private encryption key pairs. After a  predefined number of failed public key login attempts, the switch reverts to  password‐based authentication. To set up public key authentication: 1. Enable SSH: NE2552E(config)# ssh enable 2.
  • Page 35: Using A Web Browser

    Configuring HTTP Access to the BBI By default, BBI access via HTTP is disabled on the switch. To enable or disable HTTP access to the switch BBI, use the following commands:     NE2552E(config)# access http enable (Enable HTTP access) ‐or‐ NE2552E(config)# no access http enable (Disable HTTP access) The default HTTP web server port to access the BBI is port 80. However, you can  change the default Web server port with the following command:   NE2552E(config)# access http port <TCP port>  To access the BBI from a workstation, open a Web browser window and type in the  URL using the IP address of the switch interface (for example, http://<IPv4 or  IPv6 address>). © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 36: Configuring Https Access To The Bbi

     <name> Email (eg, email address) []: <email address> Confirm generating certificate? [y/n]: y Generating certificate. Please wait (approx 30 seconds) restarting SSL agent 4. Save the HTTPS certificate. The certificate is valid only until the switch is rebooted. To save the certificate so  that it is retained beyond reboot or power cycles, use the following command:  NE2552E(config)# access https save-certificate When a client (such as a web browser) connects to the switch, the client is asked to  accept the certificate and verify that the fields match what is expected. Once BBI  access is granted to the client, the BBI can be used as described in the Lenovo ENOS  BBI Quick Guide. NE2552E Application Guide for ENOS 8.4...
  • Page 37: Bbi Summary

    BBI Summary The BBI is organized at a high level as follows: Context buttons—These buttons allow you to select the type of action you wish to  perform. The Configuration button provides access to the configuration elements  for the entire switch. The Statistics button provides access to the switch statistics  and state information. The Dashboard button allows you to display the settings and  operating status of a variety of switch features. Navigation Window—This window provides a menu list of switch features and  functions:   System—this folder provides access to the configuration elements for the entire  switch.  Switch Ports—Configure each of the physical ports on the switch. Port‐Based Port Mirroring—Configure port mirroring behavior.   Layer 2—Configure Layer 2 features for the switch.  RMON Menu—Configure Remote Monitoring features for the switch.  Layer 3—Configure Layer 3 features for the switch.  QoS—Configure Quality of Service features for the switch. Access Control—Configure Access Control Lists to filter IP packets.  © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 38: Using Simple Network Management Protocol

    Using Simple Network Management Protocol Lenovo ENOS provides Simple Network Management Protocol (SNMP) version 1,  version 2, and version 3 support for access through any network management  software, such as IBM Director. Note: SNMP is disabled by default. However, if community strings are already  configured on the switch, any software update will leave SNMP enabled. To access the SNMP agent on the NE2552E, the read and write community strings  on the SNMP manager must be configured to match those on the switch.  The read and write community strings on the switch can be changed using the  following commands:  NE2552E(config)# snmp-server read-community <1‐32 characters> NE2552E(config)# snmp-server write-community <1‐32 characters> The SNMP manager can reach any of the IP interfaces on the switch. For the SNMP manager to receive the SNMPv1 traps sent out by the SNMP agent  on the switch, configure the trap host on the switch with the following commands:  NE2552E(config)# snmp-server trap-source <trap source IP interface> NE2552E(config)# snmp-server host <IPv4 address> <trap host community string> For more information on SNMP usage and configuration, see “Simple Network  Management Protocol” on page 477. NE2552E Application Guide for ENOS 8.4...
  • Page 39: Bootp/Dhcp Client Ip Address Services

    Unicast MAC layer message to the BOOTP/DHCP servers configured for the  client’s VLAN, or to the global BOOTP/DHCP servers if no domain‐specific  BOOTP/DHCP servers are configured for the client’s VLAN. The servers respond  to the switch with a Unicast reply that contains the IPv4 default gateway and the  IPv4 address for the client. The switch then forwards this reply back to the client. DHCP is described in RFC 2131, and the DHCP relay agent supported on the  NE2552E is described in RFC 1542. DHCP uses UDP as its transport protocol. The  client sends messages to the server on port 67 and the server sends messages to the  client on port 68. BOOTP and DHCP relay are collectively configured using the BOOTP commands  and menus on the NE2552E. Host Name Configuration The NE2552E supports DHCP host name configuration as described in RFC 2132,  option 12. DHCP host name configuration is enabled by default. Host name can be manually configured using the following command:  NE2552E(config)# hostname <name> If the host name is manually configured, the switch does not replace it with the  host name received from the DHCP server. After the host name is configured on the switch, if DHCP or DHCP host name  configuration is disabled, the switch retains the host name. The switch prompt displays the host name.  Host name configuration can be enabled/disabled using the following command:  NE2552E(config)# [no] system dhcp hostname © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 40: Syslog Server

    SYSLOG Server During switch startup, if the switch fails to get the configuration file, a message can  be recorded in the SYSLOG server. The NE2552E supports requesting of a SYSLOG server IP address from the DHCP  server as described in RFC 2132, option 7. DHCP SYSLOG server request option is  enabled by default. Manually configured SYSLOG server takes priority over DHCP SYSLOG server.  Up to two SYSLOG server addresses received from the DHCP server can be used.  The SYSLOG server can be learnt over a management port or a data port. Use the show logging command to view the SYSLOG server address. DHCP SYSLOG server address option can be enabled/disabled using the following  command:  NE2552E(config)# [no] system dhcp syslog DHCP Snooping DHCP snooping provides security by filtering untrusted DHCP packets and by  building and maintaining a DHCP snooping binding table.  An untrusted interface is a port that is configured to receive packets from outside  the network or firewall. A trusted interface receives packets only from within the  network. By default, all DHCP ports are untrusted. The DHCP snooping binding table contains the MAC address, IP address, lease  time, binding type, VLAN number, and port number that correspond to the local  untrusted interface on the switch; it does not contain information regarding hosts  interconnected with a trusted interface.  By default, DHCP snooping is disabled on all VLANs. You can enable DHCP  snooping on one or more VLANs. You must enable DHCP snooping globally. To  enable this feature, enter the following commands: NE2552E(config)# ip dhcp snooping vlan <vlan number(s)> NE2552E(config)# ip dhcp snooping Note: When you make a DHCP release from a client, the switch does not forward ...
  • Page 41: Easy Connect Wizard

    Current configuration will be overwritten with auto configuration settings. The wizard can be canceled anytime by pressing Ctrl+C. Select which of the following features you want enabled: #Configure Basic system (yes/no)? #Configure Transparent mode (yes/no)? © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 42: Basic System Mode Configuration Example

    Basic System Mode Configuration Example This example shows the parameters available for configuration in Basic System  mode:     NE2552E# easyconnect Auto configures the switch into a set configuration based on the input provided. Current configuration will be overwritten with auto configuration settings. The wizard can be canceled anytime by pressing Ctrl+C. Select which of the following features you want enabled: Configure Transparent mode (yes/no)? n Configure Switch Redundant mode (yes/no)? n...
  • Page 43: Transparent Mode Configuration Example

    Configure Basic system (yes/no)? n Pending switch configuration: Uplink Ports: EXT1-EXT10,EXT11/1-EXT12/1,EXT12/2 Server Ports: INTA1-INTB14 Confirm erasing current config to re-configure Easy Connect (yes/no)? Notes:  If your selection for a port group contains ports of different mode or speed, the  selection is not valid and you are guided to either select other ports or change  the speed of the ports.  If your selection for an uplink port group contains ports of different mode or  speed, the selection is not valid and you are guided to select other ports. Server  ports can have ports of different mode or speed selected at the same time. You can either accept the static defaults or enter a different port list for uplink   and/or server ports. © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 44: Redundant Mode Configuration Example

    Redundant Mode Configuration Example This example shows the parameters available for configuration in Redundant  mode:   NE2552E# # easyconnect Auto configures the switch into a set configuration based on the input provided. Current configuration will be overwritten with auto configuration settings. The wizard can be canceled anytime by pressing Ctrl+C. Select which of the following features you want enabled: Configure Transparent mode (yes/no)? n Configure Switch Redundant mode (yes/no)? y...
  • Page 45 Notes:   If your selection for a port group contains ports of different speed, the selection  is not valid, and you are guided to either select other ports or change the speed  of the ports.  All external unused ports are configured in an uplink portchanels and all  internal ports are configured in vLAG portchannels.  You can either accept the static defaults or enter a different port list for ISL,  uplink, and/or downlink ports. © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 46: Switch Login Levels

    Switch Login Levels To enable better switch management and user accountability, three levels or classes  of user access have been implemented on the NE2552E. Levels of access to CLI,  Web management functions, and screens increase as needed to perform various  switch management tasks. Conceptually, access classes are defined as follows:   User interaction with the switch is completely passive—nothing can be changed  on the NE2552E. Users may display information that has no security or privacy  implications, such as switch statistics and current operational state information.  Operators can only effect temporary changes on the NE2552E. These changes  will be lost when the switch is rebooted/reset. Operators have access to the  switch management features used for daily switch operations. Because any  changes an operator makes are undone by a reset of the switch, operators cannot  severely impact switch operation.  Administrators are the only ones that may make permanent changes to the  switch configuration—changes that are persistent across a reboot/reset of the  switch. Administrators can access switch functions to configure and  troubleshoot problems on the NE2552E. Because administrators can also make  temporary (operator‐level) changes as well, they must be aware of the  interactions between temporary and permanent changes. Access to switch functions is controlled through the use of unique user names and  passwords. Once you are connected to the switch via console, remote Telnet, or  SSH, you are prompted to enter a password. The default user names/password for  each access level are listed in the following table. Note: It is recommended that you change default switch passwords after initial  configuration and as regularly as required under your network security policies.  For more information, see “Changing the Switch Passwords” on page Table 3. User Access Levels ‐ Default Settings User Password Description and Tasks Performed Status Account user...
  • Page 47 Note: Access to each user level (except admin account) can be disabled by setting  the password to an empty value. To disable admin account, use the command:  NE2552E(config)# no access user administrator-enable. Admin  account can be disabled only if there is at least one user account enabled and  configured with administrator privilege.  © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 48: Administrator Password Recovery

    Administrator Password Recovery Follow these steps to reset the password of the admin user to the default value: Note: Password recovery process involves reloading the switch. Make sure to save  any recent switch configuration changes before performing these steps. 1. Connect to the switch using the console port. 2. Reload the switch. 3. When the system displays Memory Test, press <Shift + B>. The Boot Management  menu displays: **** System Reset from boot iscli **** Disable the Transceivers ... Unmount the File System ... Unmounting filesystem Wait for umount to finish.Done Waiting for I2C Transactions to Finish ... U-Boot 2009.06 (Aug 21 2015 - 12:35:27) MPC83XX Reset Status: CPU: e300c4, MPC8378A, Rev: 2.1 at 792 MHz, CSB: 396 MHz...
  • Page 49 Switch is currently set to use factory default config block on next boot. Do you want to change that to the active config block (y/n) ? y Next boot will use active config block. 9. Make sure the boot configuration‐block is active. If it is not active, change the boot  configuration‐block with the following command: NE2552E(config)# boot configuration-block active © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 50: Secure Ftp

    Secure FTP Lenovo ENOS supports Secure FTP (SFTP) to the switch. SFTP uses Secure Shell  (SSH) to transfer files. SFTP encrypts both commands and data, and prevents  passwords and sensitive information from being transmitted openly over the  network.  All file transfer commands include SFTP support along with FTP and TFTP  support. SFTP is available through the menu‐based CLI, ISCLI, BBI, and SNMP.  The following examples illustrate SFTP support for ISCLI commands:   NE2552E# copy sftp {image1|image2|boot-image} [mgt-port|data-port] (Copy software image from SFTP server to the switch) NE2552E# copy sftp {ca-cert|host-cert|host-key} [mgt-port|data-port] (Copy HTTPS certificate or host key from SFTP server to the switch) NE2552E Application Guide for ENOS 8.4...
  • Page 51: Boot Strict Mode

    When in boot strict mode, the switch uses Secure Sockets Layer (SSL)/Transport  Layer Security (TLS) 1.2 protocols to ensure confidentiality of the data to and from  the switch.  By default, HTTP, Telnet, and SNMPv1 and SNMPv2 are disabled on the NE2552E. Before enabling strict mode, ensure the following:  The software version on all connected switches is Lenovo ENOS 8.4.  NIST Strict compliance is enabled on the Chassis Management Module.  The supported protocol versions and cryptographic cipher suites between  clients and servers are compatible. For example: if using SSH to connect to the  switch, ensure that the SSH client supports SSHv2 and a strong cipher suite that  is compliant with the NIST standard. Compliant Web server certificate is installed on the switch, if using BBI.   A new self‐signed certificate is generated for the switch  (NE2552E(config)# access https generate-certificate). The new  certificate is generated using 2048‐bit RSA key and SHA‐256 digest.  Protocols that are not NIST SP 800‐131A compliant must be disabled or not  used.  Only SSHv2 or higher is used. The current configuration, if any, must be saved in a location external to the   switch. When the switch reboots, both the startup and running configuration are  lost. © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 52  Only protocols/algorithms compliant with NIST SP 800‐131A specification are  used/enabled on the switch. Please see the NIST SP 800‐131A publication for  details. The following table lists the acceptable protocols and algorithms:  Table 4. Acceptable Protocols and Algorithms Protocol/Function Strict Mode Algorithm Compatibility Mode Algorithm BGP does not comply with NIST SP Acceptable 800-131A specification. When in strict mode, BGP is disabled. However, it can be enabled, if required. Certificate RSA-2048 RSA 2048 Generation SHA-256...
  • Page 53 ARCFOUR HMAC-SHA1 HMAC-SHA1 HMAC-SHA1-96 HMAC-SHA1-96 HMAC-MD5 HMAC-MD5-96 TACACS+ TACACS+ does not comply with NIST Acceptable SP 800-131A specification. When in strict mode, TACACS+ is disabled. However, it can be enabled, if required. © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 54: Acceptable Cipher Suites

    Acceptable Cipher Suites The following cipher suites are acceptable (listed in the order of preference) when  the NE2552E Flex Switch is in compatibility mode:  Table 5. List of Acceptable Cipher Suites in Compatibility Mode Cipher ID Key Authenticati Encryption Cipher Name Exchan 0xC027 ECDHE AES_128_CBC SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA2 0xC013 ECDHE AES_128_CBC SHA1 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC012 ECDHE 3DES SHA1 SSL_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 0xC011 ECDHE SHA1 SSL_ECDHE_RSA_WITH_RC4_128_SHA 0x002F AES_128_CBC SHA1 TLS_RSA_WITH_AES_128_CBC_SHA 0x003C AES_128_CBC SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256 0x0005...
  • Page 55: Configuring Strict Mode

    For SNMPv3 default users, see “SNMP Version 3” on page 479. When strict mode is disabled, the following message is displayed:  Warning, disabling security strict mode. The mode change will take effect after reloading the switch. You must reboot the switch for the boot strict mode enable/disable to take effect. Limitations In Lenovo ENOS 8.4, consider the following limitation/restrictions if you need to  operate the switch in boot strict mode:  Power ITEs and High‐Availability features do not comply with NIST SP  800‐131A specification.  The NE2552E will not discover Platform agents/Common agents that are not in  strict mode. Web browsers that do not use TLS 1.2 cannot be used.   Limited functions of the switch managing Windows will be available. © Copyright Lenovo 2018 Chapter 1: Switch Administration...
  • Page 56: Configuring No-Prompt Mode

    Configuring No-Prompt Mode If you expect to administer the switch using SNSC or another browser‐based  interface, you need to turn off confirmation prompts. When CLI confirmation  prompts are disabled, the switch will choose the default answer. To accomplish  this, use one of the following commands:   NE2552E(config)# [no] prompting Note: This command will disable CLI confirmation prompts for current and future  sessions.   NE2552E(config)# [no] terminal dont-ask Note: This command will disable CLI confirmation prompts for the current  session only. It also takes precedence over the prompting command ‐ any settings  configured through the prompting command will be disregarded for the  duration of the current session. For more details, see the Lenovo ThinkSystem NE2552E Flex Switch Command  Reference for Lenovo ENOS 8.4. NE2552E Application Guide for ENOS 8.4...
  • Page 57: Chapter 2. Initial Setup

    Chapter 2. Initial Setup To help with the initial process of configuring your switch, the Lenovo ENOS  software includes a Setup utility. The Setup utility prompts you step‐by‐step to  enter all the necessary information for basic configuration of the switch. Setup can be activated manually from the command line interface any time after  login: NE2552E(config)# setup © Copyright Lenovo 2018...
  • Page 58: Information Needed For Setup

    Information Needed for Setup Setup requests the following information:  Basic system information Date & time  Whether to use Spanning Tree Group or not   Optional configuration for each port Speed, duplex, flow control, and negotiation mode (as appropriate)  Whether to use VLAN tagging or not (as appropriate)  Optional configuration for each VLAN  Name of VLAN  Which ports are included in the VLAN   Optional configuration of IP parameters IP address/mask and VLAN for each IP interface  IP addresses for default gateway  Whether IP forwarding is enabled or not  NE2552E Application Guide for ENOS 8.4...
  • Page 59: Default Setup Options

    Enter login username: Enter login password: 2. Enter USERID as the default administrator and PASSW0RD (with a zero) as the  default password. 3. Enter the following command at the prompt:  NE2552E(config)# setup Stopping Setup To abort the Setup utility, press <Ctrl+C> during any Setup question. When you  abort Setup, the system will prompt: Would you like to run from top again? [y/n] Enter n to abort Setup, or y to restart the Setup program at the beginning. Restarting Setup You can restart the Setup utility manually at any time by entering the following  command at the administrator prompt: NE2552E(config)# setup © Copyright Lenovo 2018 Chapter 2: Initial Setup...
  • Page 60: Setup Part 1: Basic System Configuration

    Setup Part 1: Basic System Configuration When Setup is started, the system prompts: "Set Up" will walk you through the configuration of System Date and Time, Spanning Tree, Port Speed/Mode, VLANs, and IP interfaces. [type Ctrl-C to abort "Set Up"] Next, the Setup utility prompts you to input basic system information. 1. Enter the year of the current date at the prompt: System Date: Enter year [2012]: Enter the four‐digits that represent the year. To keep the current year, press ...
  • Page 61 Enter the seconds as a number from 00 to 59. To keep the current second, press  <Enter>. The system then displays the date and time settings: System clock set to 8:55:36 Wed Jan 28, 2012. 7. Turn Spanning Tree Protocol on or off at the prompt: Spanning Tree: Current Spanning Tree Group 1 setting: ON Turn Spanning Tree Group 1 OFF? [y/n] Enter y to turn off Spanning Tree, or enter n to leave Spanning Tree on. © Copyright Lenovo 2018 Chapter 2: Initial Setup...
  • Page 62: Setup Part 2: Port Configuration

    Setup Part 2: Port Configuration Note: When configuring port options for your switch, some prompts and options  may be different.  1. Select whether you will configure VLANs and VLAN tagging for ports:   Port Config: Will you configure VLANs and Tagging/Trunk-mode for ports? [y/n] If you wish to change settings for VLANs, enter y or enter n to skip VLAN  configuration.  Note: The sample screens that appear in this document might differ slightly from  the screens displayed by your system. Screen content varies based on the type of  chassis unit that you are using and the firmware versions and options that are  installed. 2. Select the port to configure, or skip port configuration at the prompt: If you wish to change settings for individual ports, enter the number of the port  you wish to configure. To skip port configuration, press <Enter> without  specifying any port and go to “Setup Part 3: VLANs” on page 64.  3. Configure port flow parameters. The system prompts: Gig Link Configuration: Port Flow Control: Current Port EXT1 flow control setting: both...
  • Page 63 If you have selected to configure VLANs back in Part 1, the system prompts: Port Tagging/Trunk-mode config (Tagged/Trunk-mode port can be a member of multiple VLANs): Current Tagging/Trunk-mode support: disabled Enter new Tagging/Trunk-mode support [d/e]: Enter d to disable VLAN tagging for the port or enter e to enable VLAN tagging for  the port. To keep the current setting, press <Enter>. 6. The system prompts you to configure the next port:  Enter port (INTA1-INTB14, EXT1-EXT12/4): When you are through configuring ports, press <Enter> without specifying any  port. Otherwise, repeat the steps in this section. © Copyright Lenovo 2018 Chapter 2: Initial Setup...
  • Page 64: Setup Part 3: Vlans

    Setup Part 3: VLANs If you chose to skip VLANs configuration back in Part 2, skip to “Setup Part 4: IP  Configuration” on page 1. Select the VLAN to configure, or skip VLAN configuration at the prompt: VLAN Config: Enter VLAN number from 2 to 4094, NULL at end: If you wish to change settings for individual VLANs, enter the number of the  VLAN you wish to configure. To skip VLAN configuration, press <Enter> without  typing a VLAN number and go to “Setup Part 4: IP Configuration” on page 2. Enter the new VLAN name at the prompt: Current VLAN name: VLAN 2 Enter new VLAN name: Entering a new VLAN name is optional. To use the pending new VLAN name,  press <Enter>.  3. Enter the VLAN port numbers:  Define Ports in VLAN: Current VLAN 2: empty Enter ports one per line, NULL at end:...
  • Page 65: Setup Part 4: Ip Configuration

    2. For the specified IP interface, enter the IP address in IPv4 dotted decimal notation: Current IP address: 0.0.0.0 Enter new IP address: To keep the current setting, press <Enter>. 3. At the prompt, enter the IPv4 subnet mask in dotted decimal notation: Current subnet mask: 0.0.0.0 Enter new subnet mask: To keep the current setting, press <Enter>. 4. If configuring VLANs, specify a VLAN for the interface. This prompt appears if you selected to configure VLANs back in Part 1: Current VLAN: Enter new VLAN [2-4094]: Enter the number for the VLAN to which the interface belongs, or press <Enter>  without specifying a VLAN number to accept the current setting. © Copyright Lenovo 2018 Chapter 2: Initial Setup...
  • Page 66: Default Gateways

    5. At the prompt, enter y to enable the IP interface or n to leave it disabled: Enable IP interface? [y/n] 6. The system prompts you to configure another interface: Enter interface number: (1-125, 127) Repeat the steps in this section until all IP interfaces have been configured. When  all interfaces have been configured, press <Enter> without specifying any interface  number. Default Gateways 1. At the prompt, select an IP default gateway for configuration or skip default  gateway configuration: IP default gateways: Enter default IPv4 gateway number: (1-2, 3, 4) Enter the number for the IP default gateway to be configured. To skip default  gateway configuration, press <Enter> without typing a gateway number and go to  “IP Routing” on page 2. At the prompt, enter the IPv4 address for the selected default gateway: Current IP address: 0.0.0.0 Enter new IP address: Enter the IPv4 address in dotted decimal notation, or press <Enter> without ...
  • Page 67: Ip Routing

    IP Routing When IP interfaces are configured for the various IP subnets attached to your  switch, IP routing between them can be performed entirely within the switch. This  eliminates the need to send inter‐subnet communication to an external router  device. Routing on more complex networks, where subnets may not have a direct  presence on the NE2552E, can be accomplished through configuring static routes  or by letting the switch learn routes dynamically. This part of the Setup program prompts you to configure the various routing  parameters. At the prompt, enable or disable forwarding for IP Routing: Enable IP forwarding? [y/n] Enter y to enable IP forwarding. To disable IP forwarding, enter n. To keep the  current setting, press <Enter>. © Copyright Lenovo 2018 Chapter 2: Initial Setup...
  • Page 68: Setup Part 5: Final Steps

    Setup Part 5: Final Steps 1. When prompted, decide whether to restart Setup or continue: Would you like to run from top again? [y/n] Enter y to restart the Setup utility from the beginning or n to continue. 2. When prompted, decide whether you wish to review the configuration changes: Review the changes made? [y/n] Enter y to review the changes made during this session of the Setup utility. Enter n  to continue without reviewing the changes. We recommend that you review the  changes. 3. Next, decide whether to apply the changes at the prompt: Apply the changes? [y/n] Enter y to apply the changes or n to continue without applying. Changes are  normally applied. 4. At the prompt, decide whether to make the changes permanent: Save changes to flash? [y/n] Enter y to save the changes to flash. Enter n to continue without saving the ...
  • Page 69: Optional Setup For Telnet Support

    Optional Setup for Telnet Support Note: This step is optional. Perform this procedure only if you are planning on  connecting to the NE2552E through a remote Telnet connection. 1. Telnet is disabled by default. To change the setting, use the following command:   NE2552E(config)# access telnet enable © Copyright Lenovo 2018 Chapter 2: Initial Setup...
  • Page 70 NE2552E Application Guide for ENOS 8.4...
  • Page 71: Chapter 3. Switch Software Management

    CAUTION: Although the typical upgrade process is all that is necessary in most cases, upgrading from (or reverting to) some versions of Lenovo Enterprise Network Operating System requires special steps prior to or after the software installation process. Please be sure to follow all applicable instructions in the release notes document for the specific software release to ensure that your switch continues to operate as expected after installing new software.
  • Page 72: Loading New Software To Your Switch

    Loading New Software to Your Switch The NE2552E can store up to two different switch software images (called image1  and image2) as well as special boot software (called boot). When you load new  software, you must specify where it is placed: either into image1, image2 or  boot. For example, if your active image is currently loaded into image1, you would  probably load the new image software into image2. This lets you test the new  software and reload the original active image (stored in image1), if needed.  CAUTION: When you upgrade the switch software image, always load the new boot image  and the new software image before you reset the switch. If you do not load a new  boot image, your switch might not boot properly (To recover, see “Recover from a  Failed Image Upgrade using TFTP” on page 78 or “Recovering from a Failed  Image Upgrade using XModem Download” on page 81). To load a new software image to your switch, you will need the following:  The image and boot software loaded on an FTP, SFTP or TFTP server on your net‐ work. Note: Be sure to download both the new boot file and the new image file. The hostname or IP address of the FTP, SFTP or TFTP server  Note: The DNS parameters must be configured if specifying hostnames.  The name of the new software image or boot file When the software requirements are met, use one of the following procedures to  download the new software to your switch. You can use the ISCLI or the BBI to  download and activate new software. Loading Software via the ISCLI 1.
  • Page 73 6. The switch will prompt you to confirm your request. Once confirmed, the software will begin loading into the switch. 7. When loading is complete, use the following commands to enter Global  Configuration mode to select which software image (image1 or image2) you want  to run in switch memory for the next reboot:  Router# configure terminal Router(config)# boot image {image1|image2} The system will then verify which image is set to be loaded at the next reset:   Next boot will use switch software image1 instead of image2. 8. Reboot the switch to run the new software: Router(config)# reload The system prompts you to confirm your request. Once confirmed, the switch  will reboot to use the new software. © Copyright Lenovo 2018 Chapter 3: Switch Software Management...
  • Page 74: Loading Software Via Bbi

    Loading Software via BBI You can use the Browser‐Based Interface to load software onto the NE2552E. The  software image to load can reside in one of the following locations: FTP server   TFTP server SFTP server   Local computer After you log onto the BBI, perform the following steps to load a software image: 1. Click the Configure context tab in the toolbar. 2. In the Navigation Window, select System > Config/Image Control. The Switch Image and Configuration Management page appears. 3. If you are loading software from your computer (HTTP client), skip this step and  go to the next. Otherwise, if you are loading software from an FTP, SFTP, or TFTP  server, enter the server’s information in the FTP, SFTP, or TFTP Settings section. 4. In the Image Settings section, select the image version you want to replace (Image  for Transfer).   If you are loading software from an FTP, SFTP, or TFTP server, enter the file  name and click Get Image.  If you are loading software from your computer, click Browse.  In the File Upload Dialog, select the file and click OK. Then click Download via  Browser.  Once the image has loaded, the page refreshes to show the new software. NE2552E Application Guide for ENOS 8.4...
  • Page 75: Updating Software On Vlag Switches

     After Switch 1 comes up, vLAG HC will be up and vLAG mismatch will happen  with vLAG ports down (since it is still Secondary).  The traffic will still be forwarding via Switch 2 (the original Primary switch). 3. On Switch 2 (the original Primary switch), shut down all links ISL, vLAG links, and  vLAG HC. This is equivalent to powering off Switch 1 (the original Primary switch)  All the traffic will failover to Switch 1, which will assume the vLAG operation  role of Primary.  After all the links are up on Switch 1, there will be N‐S traffic loss of around ~70  seconds due to spanning trees reconverging. 4. Upgrade Switch 2 (the original Primary switch with the new ENOS image. Use  FTP, STFP, or TFTP to copy the new ENOS and boot images onto the switch. For  more details, see “Loading New Software to Your Switch” on page  After Switch 2 comes up, vLAG HC, ISL, and vLAG links will be up, and Switch  1 will assume the vLAG operation role of Secondary. All the traffic will now follow the hash and load balance settings between Switch   1 and Switch 1. There will be N‐S traffic loss of around ~0.05 seconds.  5. Change the operational role of the vLAG switches to match the final topology by  reloading Switch 1. There will be N‐S traffic loss of around ~0.102 seconds.  © Copyright Lenovo 2018 Chapter 3: Switch Software Management...
  • Page 76  Switch 2 will reassume the vLAG Primary role and Switch 1 will reassume the  vLAG Secondary role. 6. Make sure that Switch 2 is now the vLAG primary switch and Switch 1 is now the  vLAG secondary switch using the following command:   NE2552E> show vlag information NE2552E Application Guide for ENOS 8.4...
  • Page 77: The Boot Management Menu

    R - Boot in recovery mode (tftp and xmodem download of images to recover switch) Q - Reboot E - Exit Please choose your menu option: The Boot Management menu allows you to perform the following actions:  The Boot Management menu allows you to perform the following actions:  To change the booting image, press I and follow the screen prompts.  To change the configuration block, press C and follow the screen prompts.  To boot in recovery mode press R. For more details see “Boot Recovery Mode”  on page  To restart the boot process from the beginning, press Q. To exit the Boot Management menu, press E. The booting process continues.  © Copyright Lenovo 2018 Chapter 3: Switch Software Management...
  • Page 78: Boot Recovery Mode

    Boot Recovery Mode The Boot Recovery Mode allows you to recover from a failed software or boot  image upgrade using TFTP or XModem download. To enter Boot Recovery Mode you must select “Boot in recovery mode” option  from the Boot Management Menu by pressing R.   Entering Rescue Mode. Please select one of the following options: T) Configure networking and tftp download an image X) Use xmodem 1K to serial download an image P) Physical presence test (low security mode) F) Filesystem Menu I) Select which image to boot C) Select configuration block to use...
  • Page 79 7. Enter the network mask of the management port:   Netmask : 8. Enter the gateway of the management port:   Gateway : 9. Enter the IP address of the TFTP server:   Server addr: 10.Enter the filename of the image:   Image Filename: 11. If the file is a software image, enter an image number:   Install image as image 1 or 2 (hit return to just boot image): After the procedure is complete, the Recovery Mode menu will be re‐displayed. © Copyright Lenovo 2018 Chapter 3: Switch Software Management...
  • Page 80 Below is an example of a successful recovery procedure using TFTP:   Entering Rescue Mode. Please select one of the following options: T) Configure networking and tftp download an image X) Use xmodem 1K to serial download an image P) Physical presence test (low security mode) F) Filesystem Menu I) Select which image to boot C) Select configuration block to use R) Reboot E) Exit...
  • Page 81: Recovering From A Failed Image Upgrade Using Xmodem Download

    8. Select the image to download. Xmodem initiates the file transfer. When download  is complete, you are asked to change the Serial Port speed back to 9600 bps:   Change the baud rate back to 9600 bps, hit the <ENTER> key 9. Press <Enter> to start installing the image. If the file is a software image, enter the  image number:   Install image as image 1 or 2 (hit return to just boot image): © Copyright Lenovo 2018 Chapter 3: Switch Software Management...
  • Page 82: Physical Presence

    The image install will begin. After the procedure is complete, the Recovery Mode  menu will be re‐displayed.   Extracting images ... Do *NOT* power cycle the switch. Installing Root Filesystem: Image signature verified. 100% Installing Kernel: Image signature verified. 100% Installing Device Tree: Image signature verified. 100% Installing Boot Loader: 100% Updating install log. File image installed from xmodem at 18:06:02 on 13-3-2015 Please select one of the following options: T) Configure networking and tftp download an image...
  • Page 83 Hit a key to start the test. The blue location LED will blink a number of times.... How many times did the LED blink? 8. After entering the correct number, the Recovery Mode menu will re‐appear. To  install an unofficial image use one of the following procedures:  TFTP (for details, see page  XModem Download (for details, see page Note: You have three attempts to successfully complete the security test. After  three incorrect attempts, the switch will reboot. Note: After the test is completed, the switch will be put in low security mode. This  mode will allow you to install unofficial images on the switch. To revert to normal  security mode, you must reboot the switch or press P again in the Recovery Mode  menu. © Copyright Lenovo 2018 Chapter 3: Switch Software Management...
  • Page 84: Filesystem Menu

    Filesystem Menu The switch’s file system controls how data is stored and retrieved. To access the  Filesystem menu enter the Boot Recovery menu and select option F.   Please select one of the following options: F) Run filesystem check W) Wipe filesystem E) Exit Option? : The Filesystem menu allows you to perform the following actions:  To run a file system check, enter F. If there any errors detected, the switch repairs  them automatically.  To delete all firmware images and configuration files from the switch, enter W.  You are asked for confirmation. Enter y to confirm or n to cancel. To return to the Boot Management menu, enter E.  NE2552E Application Guide for ENOS 8.4...
  • Page 85: Part 2: Securing The Switch

    Part 2: Securing the Switch © Copyright Lenovo 2018...
  • Page 86 NE2552E Application Guide for ENOS 8.4...
  • Page 87: Chapter 4. Securing Administration

    Chapter 4. Securing Administration This chapter discusses different methods of securing local and remote  administration on the NE2552E Flex Switch (NE2552E):  “Changing the Switch Passwords” on page 88  “Secure Shell and Secure Copy” on page 89  “End User Access Control” on page 94  “Protected Mode” on page 97  “Maintenance Mode” on page 98 © Copyright Lenovo 2018...
  • Page 88: Changing The Switch Passwords

    Changing the Switch Passwords It is recommended that you change the administrator and user passwords after  initial configuration and as regularly as required under your network security  policies. To change the administrator password, you must login using the administrator  password.  Note: If you download user and password information to a switch running a  version of ENOS earlier than 8.4, or if you revert the switch to a version of ENOS  earlier than 8.4, your passwords will not be transferred because the encryption  algorithm changed. Changing the Default Administrator Password The administrator has complete access to all menus, information, and  configuration commands, including the ability to change both the user and  administrator passwords. The default administrator account is USERID. The default password for the  administrator account is PASSW0RD (with a zero). To change the administrator  password, use the following procedure: 1. Connect to the switch and log in as the administrator.  2. Use the following command to change the administrator password: NE2552E(config)# access user administrator-password <password> Changing the Default User Password The user login has limited control of the switch. Through a user account, you can  view switch information and statistics, but you can’t make configuration changes.
  • Page 89: Secure Shell And Secure Copy

     Determining the permitted actions and customizing service for individual  administrators  Encryption of management messages Encrypting messages between the remote administrator and switch   Secure copy support The Lenovo ENOS implementation of SSH supports both versions 1.5 and 2.0 and  supports SSH clients version 1.5 ‐ 2.x. The following SSH clients have been tested:   SSH 1.2.23 and SSH 1.2.27 for Linux (freeware)  SecureCRT 3.0.2 and SecureCRT 3.0.3 for Windows NT (Van Dyke Technologies,  Inc.)  F‐Secure SSH 1.1 for Windows (Data Fellows)  Putty SSH  Cygwin OpenSSH  Mac X OpenSSH  Solaris 8 OpenSSH  AxeSSH SSHPro  SSH Communications Vandyke SSH A  F‐Secure © Copyright Lenovo 2018 Chapter 4: Securing Administration...
  • Page 90: Configuring Ssh/Scp Features On The Switch

    Configuring SSH/SCP Features on the Switch SSH is enabled, while SCP is disabled by default. To change the setting, using the  following procedures. Note: To use SCP, you must first enable SSH. To Enable or Disable the SSH Feature Begin a Telnet session from the console port and enter the following commands: NE2552E(config)# ssh enable (Turn SSH on) NE2552E(config)# no ssh enable (Turn SSH off) To Enable or Disable SCP Enter the following command to enable or disable SCP: NE2552E(config)# [no] ssh scp-enable  Configuring the SCP Administrator Password To configure the SCP‐only administrator password, enter the following command ...
  • Page 91: To Copy The Switch Configuration File To The Scp Host

    >> scp [-4|-6] <local filename> <username>@<switch IP address>:putcfg_apply >> scp [-4|-6] <local filename> <username>@<switch IP address>:putcfg_apply_save Example: >> scp ad4.cfg scpadmin@205.178.15.157:putcfg_apply >> scp ad4.cfg scpadmin@205.178.15.157:putcfg_apply_save The CLI diff command is automatically executed at the end of putcfg to   notify the remote client of the difference between the new and the current  configurations. putcfg_apply runs the apply command after the putcfg is done.  putcfg_apply_save saves the new configuration to the flash after   putcfg_apply is done.  The putcfg_apply and putcfg_apply_save commands are provided  because extra apply and save commands are usually required after a putcfg;  however, an SCP session is not in an interactive mode. © Copyright Lenovo 2018 Chapter 4: Securing Administration...
  • Page 92: To Copy The Switch Image And Boot Files To The Scp Host

    To Copy the Switch Image and Boot Files to the SCP Host Syntax: >> scp [-4|-6] <username>@<switch IP address>:getimg1 <local filename>  >> scp [-4|-6] <username>@<switch IP address>:getimg2 <local filename>  >> scp [-4|-6] <username>@<switch IP address>:getboot <local filename>  Example: >> scp scpadmin@205.178.15.157:getimg1 6.1.0_os.img To Load Switch Configuration Files from the SCP Host Syntax: >>...
  • Page 93: Ssh And Scp Encryption Of Management Messages

    When the switch reboots, it will retrieve the host key from the FLASH memory.  Notes:  The switch will perform only one session of key/cipher generation at a time.  Thus, an SSH/SCP client will not be able to log in if the switch is performing key  generation at that time. Also, key generation will fail if an SSH/SCP client is  logging in at that time. Because the switch software only generates RSA keys, if there is already a   DSA‐based SSH key on the switch, this key will remain on the switch and not be  replaced until you  run the ssh generate-host key command to generate  an RSA key. SSH/SCP Integration with RADIUS Authentication SSH/SCP is integrated with RADIUS authentication. After the RADIUS server is  enabled on the switch, all subsequent SSH authentication requests will be  redirected to the specified RADIUS servers for authentication. The redirection is  transparent to the SSH clients. SSH/SCP Integration with TACACS+ Authentication SSH/SCP is integrated with TACACS+ authentication. After the TACACS+ server is  enabled on the switch, all subsequent SSH authentication requests will be  redirected to the specified TACACS+ servers for authentication. The redirection is  transparent to the SSH clients. © Copyright Lenovo 2018 Chapter 4: Securing Administration...
  • Page 94: End User Access Control

    End User Access Control Lenovo ENOS allows an administrator to define end user accounts that permit end  users to perform operation tasks via the switch CLI commands. Once end user  accounts are configured and enabled, the switch requires username/password  authentication. For example, an administrator can assign a user, who can then log into the switch  and perform operational commands (effective only until the next switch reboot). Considerations for Configuring End User Accounts A maximum of 20 user IDs are supported on the switch.   Lenovo ENOS supports end user support for Console, Telnet, BBI, and  SSHv1/v2 access to the switch.  If RADIUS authentication is used, the user password on the Radius server will  override the user password on the NE2552E. Also note that the password  change command modifies only the user switch password on the switch and has  no effect on the user password on the Radius server. Radius authentication and  user password cannot be used concurrently to access the switch.  Passwords can be up to 64 characters in length for Telnet, SSH, Console, and  Web access. Strong Passwords The administrator can require use of Strong Passwords for users to access the  NE2552E. Strong Passwords enhance security because they make password  guessing more difficult. The following rules apply when Strong Passwords are enabled: Minimum length: 8 characters; maximum length: 64 characters   Must contain at least one uppercase alphabet Must contain at least one lowercase alphabet...
  • Page 95: User Access Control Menu

    NE2552E# show access user uid 1 Enabling or Disabling a User An end user account must be enabled before the switch recognizes and permits  login under the account. Once enabled, the switch requires any user to enter both  username and password. NE2552E(config)# [no] access user 1 enable Locking Accounts To protect the switch from unauthorized access, the account lockout feature can be  enabled. By default, account lockout is disabled. To enable this feature, ensure the  strong password feature is enabled (See “Strong Passwords” on page 94). Then use  the following command:  NE2552E(config)# access user strong-password lockout After multiple failed login attempts, the switch locks the user account if lockout  has been enabled on the switch.  © Copyright Lenovo 2018 Chapter 4: Securing Administration...
  • Page 96: Re-Enabling Locked Accounts

    Re-enabling Locked Accounts The administrator can re‐enable a locked account by reloading the switch or by  using the following command:  NE2552E(config)# access user strong-password clear local user lockout username <user name> However, the above command cannot be used to re‐enable an account disabled by  the administrator.  To re‐enable all locked accounts, use the following command:  NE2552E(config)# access user strong-password clear local user lockout all Listing Current Users The show access user command displays defined user accounts and whether  or not each user is currently logged into the switch. NE2552E# show access user Usernames: user - Enabled - offline...
  • Page 97: Protected Mode

    Protected Mode Protected Mode settings allow the switch administrator to block the management  module from making configuration changes that affect switch operation. The  switch retains control over those functions.  The following management module functions are disabled when Protected Mode  is turned on:  External Ports: Enabled/Disabled   External management over all ports: Enabled/Disabled Restore Factory Defaults   New Static IP Configuration In this release, configuration of the functions listed above are restricted to the local  switch when you turn Protected Mode on. In future releases, individual control  over each function may be added. Note: Before you turn Protected Mode on, make sure that external management  (Telnet) access to one of the switch’s IP interfaces is enabled.  Use the following command to turn Protected Mode on:  NE2552E(config)# protected-mode enable If you lose access to the switch through the external ports, use the console port to  connect directly to the switch, and configure an IP interface with Telnet access. © Copyright Lenovo 2018 Chapter 4: Securing Administration...
  • Page 98: Maintenance Mode

    Maintenance Mode There are times when Lenovo support needs to access your switch in maintenance  mode. To enable this, enter the command: NE2552E(config)# maint-internal When prompted, enter the admin password. The Lenovo support person will then enter the maintenance mode password. This introduces a second level of administration authorization before the Lenovo  support representative enters the maintenance mode password, making the switch  more secure and available for enhanced debugging. NE2552E Application Guide for ENOS 8.4...
  • Page 99: Chapter 5. Authentication & Authorization Protocols

    Chapter 5. Authentication & Authorization Protocols Secure switch management is needed for environments that perform significant  management functions across the Internet. The following are some of the functions  for secured IPv4 management and device access:  “RADIUS Authentication and Authorization” on page 100  “TACACS+ Authentication” on page 104  “LDAP Authentication and Authorization” on page 110 Note: Lenovo ENOS 8.4 does not support IPv6 for RADIUS, TACACS+, or LDAP. © Copyright Lenovo 2018...
  • Page 100: Radius Authentication And Authorization

    RADIUS Authentication and Authorization Lenovo ENOS supports the RADIUS (Remote Authentication Dial‐in User Service)  method to authenticate and authorize remote administrators for managing the  switch. This method is based on a client/server model. The Remote Access Server  (RAS)—the switch—is a client to the back‐end database server. A remote user (the  remote administrator) interacts only with the RAS, not the back‐end server and  database. RADIUS authentication consists of the following components:  A protocol with a frame format that utilizes UDP over IP (based on RFC 2138  and 2866)  A centralized server that stores all the user authorization information A client, in this case, the switch  The NE2552E—acting as the RADIUS client—communicates to the RADIUS server  to authenticate and authorize a remote administrator using the protocol definitions  specified in RFC 2138 and 2866. Transactions between the client and the RADIUS  server are authenticated using a shared key that is not sent over the network. In  addition, the remote administrator passwords are sent encrypted between the  RADIUS client (the switch) and the back‐end RADIUS server. How RADIUS Authentication Works 1. Remote administrator connects to the switch and provides user name and  password. 2. Using Authentication/Authorization protocol, the switch sends request to  authentication server. 3. Authentication server checks the request against the user ID database. 4. Using RADIUS protocol, the authentication server instructs the switch to grant or  deny administrative access. NE2552E Application Guide for ENOS 8.4...
  • Page 101: Configuring Radius On The Switch

    NE2552E(config)# radius-server enable CAUTION: If you configure the RADIUS secret using any method other than through the  console port, the secret may be transmitted over the network as clear text. 3. If desired, you may change the default UDP port number used to listen to RADIUS. The well‐known port for RADIUS is 1645. NE2552E(config)# radius-server port <UDP port> 4. Configure the number retry attempts for contacting the RADIUS server, and the  timeout period. NE2552E(config)# radius-server retransmit 3 NE2552E(config)# radius-server timeout 5 RADIUS Authentication Features in Lenovo ENOS Lenovo ENOS supports the following RADIUS authentication features:  Supports RADIUS client on the switch, based on the protocol definitions in RFC  2138 and RFC 2866.  Allows a RADIUS secret password of up to 32 characters.   Supports secondary authentication server so that when the primary authentication  server is unreachable, the switch can send client authentication requests to the  secondary authentication server. Use the following command to show the ...
  • Page 102: Switch User Accounts

     Supports user‐configurable RADIUS server retry and time‐out values: Time‐out value = 1‐10 seconds  Retries = 1‐3  The switch will time out if it does not receive a response from the RADIUS  server within 1‐10 seconds. The switch automatically retries connecting to the  RADIUS server 1‐3 times before it declares the server down.   Supports user‐configurable RADIUS application port. The default is UDP port  1645. UDP port 1812, based on RFC 2138, is also supported.  Allows network administrator to define privileges for one or more specific users  to access the switch at the RADIUS user database. Switch User Accounts The user accounts listed in Table 7 can be defined in the RADIUS server dictionary  file.  Table 7.  User Access Levels User Account Description and Tasks Performed Password user User The User has no direct responsibility for switch  management. He/she can view all switch status  information and statistics but cannot make any  configuration changes to the switch. oper Operator In addition to User capabilities, the Operator has ...
  • Page 103: Radius Attributes For Lenovo Enos User Privileges

    RADIUS Attributes for Lenovo ENOS User Privileges When the user logs in, the switch authenticates his/her level of access by sending  the RADIUS access request, that is, the client authentication request, to the  RADIUS authentication server. If the remote user is successfully authenticated by the authentication server, the  switch will verify the privileges of the remote user and authorize the appropriate  access. The administrator has two options: to allow local access via Telnet, SSH,  HTTP, or HTTPS; to allow secure local access via console, Telnet, SSH, or BBI. Secure  local access provides access to the switch when the RADIUS servers cannot be  reached. The default NE2552E setting for local access and secure local access is disabled.  Local access is always enabled on the console port. Whether local access is enabled or not, you can always access the switch via the  console port by using noradius as the RADIUS username. You can then enter the  username and password configured on the switch. If you are trying to connect via  SSH/Telnet/HTTP/HTTPS, there are two possibilities:   Local access is enabled: The switch acts like it is connecting via console.  Secure local access is enabled: You must enter the username: noradius. The  switch checks if RADIUS server is reachable. If it is reachable, then you must  authenticate via remote authentication server. Only if RADIUS server is not  reachable, you will be prompted for local user/password to be authenticated  against these local credentials. All user privileges, other than those assigned to the Administrator, have to be  defined in the RADIUS dictionary. RADIUS attribute 6 which is built into all  RADIUS servers defines the administrator. The file name of the dictionary is  RADIUS vendor‐dependent. The following RADIUS attributes are defined for  Lenovo ENOS user privileges levels:  Table 8. Lenovo ENOS‐proprietary Attributes for RADIUS User Name/Access...
  • Page 104: Tacacs+ Authentication

    TACACS+ Authentication Lenovo ENOS supports authentication, authorization, and accounting with  networks using the Cisco Systems TACACS+ protocol. The NE2552E functions as  the Network Access Server (NAS) by interacting with the remote client and  initiating authentication and authorization sessions with the TACACS+ access  server. The remote user is defined as someone requiring management access to the  NE2552E either through a data or management port. TACACS+ offers the following advantages over RADIUS:  TACACS+ uses TCP‐based connection‐oriented transport; whereas RADIUS is  UDP‐based. TCP offers a connection‐oriented transport, while UDP offers  best‐effort delivery. RADIUS requires additional programmable variables such  as re‐transmit attempts and time‐outs to compensate for best‐effort transport,  but it lacks the level of built‐in support that a TCP transport offers.  TACACS+ offers full packet encryption whereas RADIUS offers password‐only  encryption in authentication requests.  TACACS+ separates authentication, authorization and accounting. How TACACS+ Authentication Works TACACS+ works much in the same way as RADIUS authentication as described on  page 100. 1. Remote administrator connects to the switch and provides user name and  password. 2. Using Authentication/Authorization protocol, the switch sends request to  authentication server. 3. Authentication server checks the request against the user ID database. 4. Using TACACS+ protocol, the authentication server instructs the switch to grant or  deny administrative access. During a session, if additional authorization checking is needed, the switch checks  with a TACACS+ server to determine if the user is granted permission to use a ...
  • Page 105: Tacacs+ Authentication Features In Lenovo Enos

    TACACS+ Authentication Features in Lenovo ENOS Authentication is the action of determining the identity of a user, and is generally  done when the user first attempts to log in to a device or gain access to its services.  Lenovo ENOS supports ASCII inbound login to the device. PAP, CHAP and ARAP  login methods, TACACS+ change password requests, and one‐time password  authentication are not supported. Authorization Authorization is the action of determining a user’s privileges on the device, and  usually takes place after authentication. The default mapping between TACACS+ authorization levels and Lenovo ENOS  management access levels is shown in Table 9. The authorization levels listed in  this table must be defined on the TACACS+ server.  Table 9.  Default TACACS+ Authorization Levels Lenovo ENOS User Access TACACS+ Level Level user oper admin (USERID) Alternate mapping between TACACS+ authorization levels and Lenovo ENOS  management access levels is shown in Table 10. Use the following command to use  the alternate TACACS+ authorization levels:     NE2552E(config)# tacacs-server privilege-mapping Table 10.
  • Page 106: Local Access

    Local Access The administrator has an option to allow local access via Telnet using the  command: NE2552E(config)# tacacs-server backdoor The default value for Telnet access is disabled. The administrator also can enable  secure local access to allow access if both the primary and the secondary TACACS+  servers fail to respond. The command for this is: NE2552E(config)# tacacs-server secure-backdoor Note: To obtain the TACACS+ local access password for your switch, contact your  Service and Support line. Accounting Accounting is the action of recording a userʹs activities on the device for the  purposes of billing and/or security. It follows the authentication and authorization  actions. If the authentication and authorization is not performed via TACACS+,  there are no TACACS+ accounting messages sent out. You can use TACACS+ to record and track software login access, configuration  changes, and interactive commands. The NE2552E supports the following TACACS+ accounting attributes: protocol (console/telnet/ssh/http)   start_time  stop_time  elapsed_time  disc‐cause Note: When using the Browser‐Based Interface, the TACACS+ Accounting Stop  records are sent only if the Quit button on the browser is clicked. NE2552E Application Guide for ENOS 8.4...
  • Page 107: Command Authorization And Logging

    The following rules apply to TACACS+ command authorization and logging:  Only commands from a Console, Telnet, or SSH connection are sent for authori‐ zation and logging. SNMP, BBI, or file‐copy commands (for example, TFTP or  sync) are not sent. Only leaf‐level commands are sent for authorization and logging. For example:  NE2552E(config)#  is not sent, but the following command is sent:    NE2552E(config)# tacacs-server command-logging  The full path of each command is sent for authorization and logging. For  example: NE2552E(config)# tacacs-server command-logging  Command arguments are not sent for authorization.   Only executed commands are logged.  Invalid commands are checked by Lenovo ENOS and are not sent for authoriza‐ tion or logging. © Copyright Lenovo 2018 Chapter 5: Authentication & Authorization Protocols...
  • Page 108  Authorization is performed on each leaf‐level command separately. If the user  issues multiple commands at once, each command is sent separately as a full  path.  Only the foll