Lenovo RackSwitch G8264 Application Manual

Lenovo RackSwitch G8264 Application Manual

For lenovo enterprise network operating system 8.4
Hide thumbs Also See for RackSwitch G8264:
Table of Contents

Advertisement

Lenovo RackSwitch G8264
Application Guide
For Lenovo Enterprise Network Operating System 8.4

Advertisement

Table of Contents
loading

Summary of Contents for Lenovo RackSwitch G8264

  • Page 1 Lenovo RackSwitch G8264 Application Guide For Lenovo Enterprise Network Operating System 8.4...
  • Page 2 Note:  Before using this information and the product it supports, read the general information in the  Safety information and Environmental Notices and User Guide documents on the Lenovo Documentation CD  and the Warranty Information document that comes with the product. Second Edition (July 2017) © Copyright Lenovo 2017 Portions © Copyright IBM Corporation 2014. LIMITED AND RESTRICTED RIGHTS NOTICE: If data or software is delivered pursuant a General  Services Administration “GSA” contract, use, reproduction, or disclosure is subject to restrictions set  forth in Contract No. GS‐35F‐05925. Lenovo and the Lenovo logo are trademarks of Lenovo in the United States, other countries, or both.
  • Page 3: Table Of Contents

    DHCP SYSLOG Server.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .45 Global BOOTP Relay Agent Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .45 Domain‐Specific BOOTP Relay Agent Configuration.   .   .   .   .   .   .   .   .   .   .46 DHCP Option 82   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .46 DHCP Snooping   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .46 Easy Connect Wizard  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .48 Configuring the Easy Connect Wizard .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .48 Basic System Mode Configuration Example .   .   .   .   .   .   .   .   .   .   .   .   .49 Transparent Mode Configuration Example  .   .   .   .   .   .   .   .   .   .   .   .   .49 Redundant Mode Configuration Example    .   .   .   .   .   .   .   .   .   .   .   .   .50 Switch Login Levels .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .52 Administrator Password Recovery   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .54 Setup vs. the Command Line .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .56 Idle Disconnect .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .57 Boot Strict Mode   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .58 Acceptable Cipher Suites .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .61 Configuring Strict Mode  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .62 Configuring No‐Prompt Mode   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .62 SSL/TLS Version Limitation    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .62 Limitations .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .62 Scripting.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .64 © Copyright Lenovo 2017...
  • Page 4 Chapter 2. Initial Setup ..... 65 Information Needed for Setup  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 66 Default Setup Options    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 67 Setting the Management Interface Default IP Address .   .   .   .   .   .   .   .   .   .   .   . 68 Stopping and Restarting Setup Manually   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 69 Stopping Setup .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 69 Restarting Setup   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 69 Setup Part 1: Basic System Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .
  • Page 5 Chapter 5. Authentication & Authorization Protocols ..105 RADIUS Authentication and Authorization   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  106 How RADIUS Authentication Works   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  106 Configuring RADIUS on the Switch  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  106 RADIUS Authentication Features in Enterprise NOS .   .   .   .   .   .   .   .   .   .  108 Switch User Accounts  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  108 RADIUS Attributes for Enterprise NOS User Privileges    .   .   .   .   .   .   .   .  109 TACACS+ Authentication  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  110 How TACACS+ Authentication Works.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  110 TACACS+ Authentication Features in Enterprise NOS  .   .   .   .   .   .   .   .   .  111 Authorization .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  111 Accounting .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  112 Command Authorization and Logging .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  112 Configuring TACACS+ Authentication on the Switch   .   .   .   .   .   .   .   .   .  113 LDAP Authentication and Authorization    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  114 Configuring the LDAP Server.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  114 Configuring LDAP Authentication on the Switch  .   .   .   .   .   .   .   .   .   .   .  114 © Copyright Lenovo 2017 Contents...
  • Page 6 Chapter 6. 802.1X Port-Based Network Access Control ..117 Extensible Authentication Protocol over LAN   .   .   .   .   .   .   .   .   .   .   .   .   .   .   118 EAPoL Authentication Process .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   119 EAPoL Message Exchange .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   120 EAPoL Port States   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   121 Guest VLAN.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   121 Supported RADIUS Attributes .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   122 EAPoL Configuration Guidelines .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   124 Chapter 7. Access Control Lists....125 Summary of Packet Classifiers  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 7 Link Aggregation Control Protocol  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  180 Static LACP LAGs.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  181 LACP Port Modes .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  182 LACP Individual   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  182 LACP Minimum Links Option   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  183 Configuring LACP   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  184 Configurable LAG Hash Algorithm .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  185 Chapter 11. Spanning Tree Protocols....187 Spanning Tree Protocol Modes  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  188 Global STP Control  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  189 © Copyright Lenovo 2017 Contents...
  • Page 8 PVRST Mode    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   189 Port States  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   190 Bridge Protocol Data Units .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   190 How BPDU Works    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   190 Determining the Path for Forwarding BPDUs .   .   .   .   .   .   .   .   .   .   .   190 Simple STP Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   192 Per‐VLAN Spanning Tree Groups.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   194 Using Multiple STGs to Eliminate False Loops    .   .   .   .   .   .   .   .   .   .   194 VLANs and STG Assignment .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   196 Manually Assigning STGs   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   197 Guidelines for Creating VLANs .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   197 Rules for VLAN Tagged/Trunk Mode Ports.   .   .   .   .   .   .   .   .   .   .   .   197 Adding and Removing Ports from STGs  .   .   .   .   .   .   .   .   .   .   .   .   .   198 The Switch‐Centric Model   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   199 Configuring Multiple STGs    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   200 Rapid Spanning Tree Protocol  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 9 Chapter 15. OpenFlow ..... . 261 OpenFlow Overview   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  262 Switch Profiles  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  263 OpenFlow Versions .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  264 OpenFlow Instance  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  265 Flow Tables   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  266 Static Flows   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  268 Port Membership  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  270 FDB Aging and ECMP with OpenFlow.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  271 Static Flow Examples   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  271 Table‐Miss .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  274 Fail Secure Mode  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  275 Emergency Mode .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  276 © Copyright Lenovo 2017 Contents...
  • Page 10 OpenFlow Ports   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   278 OpenFlow Edge Ports  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   278 Link Aggregation .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   279 Data Path ID  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   280 sFlow Compatibility   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   281 OpenFlow Groups   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   282 Configuring OpenFlow  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   283 Configuration Example 1 ‐ OpenFlow Boot Profile  .   .   .   .   .   .   .   .   .   .   .   283 Configuration Example 2 ‐ Default Boot Profile  .   .   .   .   .   .   .   .   .   .   .   .   286 Feature Limitations .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   288 Chapter 16. Deployment Profiles ....289 Available Profiles.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 11 ..... . 341 VE Capacity  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  342 Defining Server Ports  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  342 VM Group Types .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  342 Local VM Groups .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  343 Distributed VM Groups  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  346 VM Profiles    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  346 Initializing a Distributed VM Group .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  347 Assigning Members .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  347 Synchronizing the Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  348 Removing Member VEs   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  348 VMcheck    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  349 Virtual Distributed Switch .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  351 Prerequisites  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  351 Guidelines  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  351 Migrating to vDS  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  352 Virtualization Management Servers .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  353 Assigning a vCenter .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  353 vCenter Scans    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  354 Deleting the vCenter.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  354 Exporting Profiles .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  355 VMware Operational Commands  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  355 © Copyright Lenovo 2017 Contents...
  • Page 12 Pre‐Provisioning VEs  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   356 VLAN Maps .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   357 VM Policy Bandwidth Control  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   358 VM Policy Bandwidth Control Commands .   .   .   .   .   .   .   .   .   .   .   .   .   .   358 Bandwidth Policies vs. Bandwidth Shaping    .   .   .   .   .   .   .   .   .   .   .   .   .   359 VMready Information Displays    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   360 Local VE Information  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   360 vCenter Hypervisor Hosts  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   361 vCenter VEs  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   362 vCenter VE Details   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   363 vCenter Switchport Mapping Details   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   363 VMready Configuration Example.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   364 Chapter 21. FCoE and CEE ....365 Fibre Channel over Ethernet  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 13 UFP vPort Mode    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  413 Tunnel Mode  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  413 802.1Q Trunk Mode  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  414 Access Mode   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  414 FCoE Mode .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  415 Auto‐VLAN Mode.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  415 UFP Bandwidth Provisioning    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  416 ETS Mode   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  416 UFP Strict Bandwidth Provisioning Mode   .   .   .   .   .   .   .   .   .   .   .   .   .   .  418 Using UFP with Other RackSwitch G8264 Features   .   .   .   .   .   .   .   .   .   .   .   .  419 Layer 2 Failover.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  419 Increased VLAN Limits   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  419 Private VLANs  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  419 VMReady   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  420 802.1Qbg.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  420 UFP Configuration Examples.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  421 Example 1: Access Mode .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  421 Example 2: Trunk Mode  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  422 Example 3: Auto‐VLAN Mode   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  424 Example 4: Tunnel Mode .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  424 Example 5: FCoE Mode   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  425 Example 6: Layer 2 Failover Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .  426 © Copyright Lenovo 2017 Contents...
  • Page 14 Part 5: IP Routing......429 Chapter 26. Basic IP Routing ....431 IP Routing Benefits .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 15 Chapter 32. Internet Group Management Protocol ..493 IGMP Terms .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  494 How IGMP Works   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  495 IGMP Capacity and Default Values  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  496 IGMP Snooping    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  498 IGMP Querier    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  498 Querier Election    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  498 IGMP Groups    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  499 IGMPv3 Snooping.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  499 IGMP Snooping Configuration Guidelines  .   .   .   .   .   .   .   .   .   .   .   .   .   .  501 IGMP Snooping Configuration Example  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  502 Advanced Configuration Example: IGMP Snooping  .   .   .   .   .   .   .   .   .   .  503 Prerequisites   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  504 Configuration .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  504 Troubleshooting IGMP Snooping  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  508 © Copyright Lenovo 2017 Contents...
  • Page 16 IGMP Relay  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   511 Configuration Guidelines   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   511 Configure IGMP Relay    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   512 Advanced Configuration Example: IGMP Relay    .   .   .   .   .   .   .   .   .   .   .   513 Prerequisites  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   513 Configuration.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   514 Troubleshooting IGMP Relay .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   517 Additional IGMP Features .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   520 FastLeave   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   520 IGMP Filtering  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   520 Configuring the Range .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   520 Configuring the Action    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   521 Configure IGMP Filtering    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   521 Static Multicast Router.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   521 Chapter 33. Multicast Listener Discovery ....523 MLD Terms  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 17 Host Routes for Load Balancing .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  567 Loopback Interfaces in OSPF  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  568 OSPF Features Not Supported in This Release.   .   .   .   .   .   .   .   .   .   .   .   .  568 OSPFv2 Configuration Examples  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  569 Example 1: Simple OSPF Domain  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  570 Example 2: Virtual Links .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  572 Configuring OSPF for a Virtual Link on Switch #1  .   .   .   .   .   .   .   .   .  572 Configuring OSPF for a Virtual Link on Switch #2  .   .   .   .   .   .   .   .   .  573 Other Virtual Link Options  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  575 Example 3: Summarizing Routes   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  576 Verifying OSPF Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  577 OSPFv3 Implementation in Enterprise NOS   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  578 OSPFv3 Differences from OSPFv2 .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  578 OSPFv3 Requires IPv6 Interfaces    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  578 OSPFv3 Uses Independent Command Paths    .   .   .   .   .   .   .   .   .   .   .  578 OSPFv3 Identifies Neighbors by Router ID  .   .   .   .   .   .   .   .   .   .   .   .  579 Other Internal Improvements  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  579 OSPFv3 Limitations  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  579 OSPFv3 Configuration Example.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  579 Neighbor Configuration Example  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  581 © Copyright Lenovo 2017 Contents...
  • Page 18 Chapter 36. Protocol Independent Multicast... . . 583 PIM Overview  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   584 Supported PIM Modes and Features   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   585 Basic PIM Settings   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   586 Globally Enabling or Disabling the PIM Feature.   .   .   .   .   .   .   .   .   .   .   .   586 Defining a PIM Network Component  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   586 Defining an IP Interface for PIM Use    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   586 PIM Neighbor Filters   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   587 Additional Sparse Mode Settings .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   589 Specifying the Rendezvous Point  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   589 Influencing the Designated Router Selection   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 19 Time‐to‐Live for Transmitted Information   .   .   .   .   .   .   .   .   .   .   .   .   .   .  632 Trap Notifications .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  632 Changing the LLDP Transmit State   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  633 Types of Information Transmitted .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  633 LLDP Receive Features   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  635 Types of Information Received  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  635 Viewing Remote Device Information    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  635 Time‐to‐Live for Received Information .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  637 LLDP Example Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  639 Chapter 41. Simple Network Management Protocol ..641 SNMP Version 1 & Version 2 .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  641 SNMP Version 3   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  642 © Copyright Lenovo 2017 Contents...
  • Page 20 Configuring SNMP Trap Hosts .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   644 SNMPv2 Trap Host Configuration    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   645 SNMPv3 Trap Host Configuration    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   646 SNMP MIBs  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   647 Switch Images and Configuration Files   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   655 Loading a New Switch Image    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   656 Loading a Saved Switch Configuration    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   656 Saving the Switch Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   657 Saving a Switch Dump    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   657 Chapter 42. Service Location Protocol ....659 Active DA Discovery  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 21 Trademarks   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  707 Important Notes   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  708 Recycling Information .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  709 Particulate Contamination  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  710 Telecommunication Regulatory Statement  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  711 Electronic Emission Notices   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  712 Federal Communications Commission (FCC) Statement   .   .   .   .   .   .   .   .  712 Industry Canada Class A Emission Compliance Statement  .   .   .   .   .   .   .  712 Avis de Conformité à la Réglementation dʹIndustrie Canada   .   .   .   .   .   .  712 Australia and New Zealand Class A Statement   .   .   .   .   .   .   .   .   .   .   .   .  712 European Union ‐ Compliance to the Electromagnetic Compatibility Directive Germany Class A Compliance Statement .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  713 Japan VCCI Class A Statement   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  714 Japan Electronics and Information Technology Industries Association  (JEITA) Statement .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  714 Korea Communications Commission (KCC) Statement .   .   .   .   .   .   .   .   .  715 Russia Electromagnetic Interference (EMI) Class A statement .   .   .   .   .   .   .   .  716 People’s Republic of China Class A electronic emission statement .   .   .   .   .   .  717 Taiwan Class A compliance statement .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  718 © Copyright Lenovo 2017 Contents...
  • Page 22 G8264 Application Guide for ENOS 8.4...
  • Page 23: Preface

    Preface This Application Guide describes how to configure and use the Lenovo Enterprise  Network Operating System 8.4 software on the Lenovo RackSwitch G8264 (referred  to as G8264 throughout this document). For documentation on installing the switch  physically, see the Installation Guide for your G8264. © Copyright Lenovo 2016...
  • Page 24: Who Should Use This Guide

    Who Should Use This Guide This guide is intended for network installers and system administrators engaged in  configuring and maintaining a network. The administrator should be familiar with  Ethernet concepts, IP addressing, Spanning Tree Protocol, and SNMP configuration  parameters. G8264 Application Guide for ENOS 8.4...
  • Page 25: What You'll Find In This Guide

    5, “Authentication & Authorization Protocols,” describes different  secure administration for remote administrators. This includes using Remote  Authentication Dial‐in User Service (RADIUS), as well as TACACS+ and LDAP.  Chapter 6, “802.1X Port‐Based Network Access Control,” describes how to  authenticate devices attached to a LAN port that has point‐to‐point connection  characteristics. This feature prevents access to ports that fail authentication and  authorization and provides security to ports of the G8264 that connect to blade  servers.  Chapter 7, “Access Control Lists,” describes how to use filters to permit or deny  specific types of traffic, based on a variety of source, destination, and packet  attributes.  Chapter 8, “Secure Input/Output Module,” describes which protocols can be  enabled. This feature allows secured traffic and secured authentication  management. Part 3: Switch Basics Chapter 9, “VLANs,” describes how to configure Virtual Local Area Networks   (VLANs) for creating separate network segments, including how to use VLAN  tagging for devices that use multiple VLANs. This chapter also describes  Protocol‐based VLANs, and Private VLANs.  Chapter 10, “Ports and Link Aggregation,” describes how to group multiple  physical ports together to aggregate the bandwidth between large‐scale network  devices. © Copyright Lenovo 2016 Preface...
  • Page 26  Chapter 12, “Virtual Link Aggregation Groups,” describes using Virtual Link  Aggregation Groups (VLAGs) to form LAGs spanning multiple VLAG‐capable  aggregator switches.  Chapter 11, “Spanning Tree Protocols,” discusses how Spanning Tree Protocol  (STP) configures the network so that the switch selects the most efficient path  when multiple paths exist. Covers Rapid Spanning Tree Protocol (RSTP),  Per‐VLAN Rapid Spanning Tree (PVRST), and Multiple Spanning Tree Protocol  (MSTP).  Chapter 13, “Quality of Service,” discusses Quality of Service (QoS) features,  including IP filtering using Access Control Lists (ACLs), Differentiated Services,  and IEEE 802.1p priority values.  Chapter 14, “Precision Time Protocol,” describes the configuration of PTP for  clock synchronization. Part 4: Advanced Switching Features  Chapter 15, “OpenFlow,” describes how to create an OpenFlow Switch instance  on the RackSwitch G8264.  Chapter 16, “Deployment Profiles,” describes how the G8264 can operate in  different modes for different deployment scenarios, adjusting switch capacity  levels to optimize performance for different types of networks.  Chapter 17, “Virtualization,” provides an overview of allocating resources  based on the logical needs of the data center, rather than on the strict, physical  nature of components. ...
  • Page 27 33, “Multicast Listener Discovery,” describes how Multicast Listener  Discovery (MLD) is used with IPv6 to support host users requests for multicast  data for a multicast group.  Chapter 34, “Border Gateway Protocol,” describes Border Gateway Protocol  (BGP) concepts and features supported in ENOS.  Chapter 35, “Open Shortest Path First,” describes key Open Shortest Path First  (OSPF) concepts and their implemented in ENOS, and provides examples of  how to configure your switch for OSPF support.  Chapter 36, “Protocol Independent Multicast,” describes how multicast routing  can be efficiently accomplished using the Protocol Independent Multicast (PIM)  feature. Part 6: High Availability Fundamentals  Chapter 37, “Basic Redundancy,” describes how the G8264 supports  redundancy through stacking, LAGs, and hotlinks.  Chapter 38, “Layer 2 Failover,” describes how the G8264 supports  high‐availability network topologies using Layer 2 Failover.  Chapter 39, “Virtual Router Redundancy Protocol,” describes how the G8264  supports high‐availability network topologies using Virtual Router Redundancy  Protocol (VRRP). © Copyright Lenovo 2016 Preface...
  • Page 28  (SLP) that allows the switch to provide dynamic directory services. Chapter 43, “NETCONF,” describes how to manage the G8264 using Network   Configuration Protocol (NETCONF), a mechanism based on the Extensible  Markup Language (XML). Part 8: Monitoring  Chapter 44, “Remote Monitoring,” describes how to configure the RMON agent  on the switch, so that the switch can exchange network monitoring data. Chapter 45, “sFlow, described how to use the embedded sFlow agent for   sampling network traffic and providing continuous monitoring information to a  central sFlow analyzer.  Chapter 46, “Port Mirroring,” discusses tools how copy selected port traffic to a  monitor port for network analysis. Part 9: Appendices Appendix A, “Glossary,” describes common terms and concepts used   throughout this guide. Appendix A, “Getting help and technical assistance,” provides details on where   to go for additional information about Lenovo and Lenovo products.  Appendix B, “Notices,” contains safety and environmental notices. G8264 Application Guide for ENOS 8.4...
  • Page 29: Additional References

    Additional References Additional information about installing and configuring the G8264 is available in  the following guides:  Lenovo RackSwitch G8264 Installation Guide Lenovo RackSwitch G8264 ISCLI Command Reference for Lenovo Enterprise Network   Operating System 8.4  Lenovo RackSwitch G8264 Release Notes for Lenovo Enterprise Network Operating  System 8.4 © Copyright Lenovo 2016 Preface...
  • Page 30: Typographic Conventions

    Typographic Conventions The following table describes the typographic styles used in this book. Table 1. Typographic Conventions Typeface or Meaning Example Symbol ABC123 This type is used for names of  View the readme.txt file. commands, files, and directories  used within the text. Main# It also depicts on‐screen computer  output and prompts. ABC123 Main# sys This bold type appears in  command examples. It shows text  that must be typed in exactly as  shown. <ABC123> This italicized type appears in  To establish a Telnet session,  command examples as a  enter: host# telnet <IP address> parameter placeholder. Replace  the indicated text with the  appropriate real name or value  when using the command. Do not  type the brackets. This also shows book titles,  Read your User’s Guide  special terms, or words to be  thoroughly.
  • Page 31: Part 1: Getting Started

    Part 1: Getting Started © Copyright Lenovo 2016...
  • Page 32 G8264 Application Guide for ENOS 8.4...
  • Page 33: Chapter 1. Switch Administration

    Chapter 1. Switch Administration Your RackSwitch G8264 (G8264) is ready to perform basic switching functions  right out of the box. Some of the more advanced features, however, require some  administrative configuration before they can be used effectively. The extensive Lenovo Enterprise Network Operating System switching software  included in the G8264 provides a variety of options for accessing the switch to  perform configuration, and to view switch information and statistics. This chapter discusses the various methods that can be used to administer the  switch. © Copyright Lenovo 2016...
  • Page 34: Administration Interfaces

    Enterprise NOS provides a variety of user‐interfaces for administration. These  interfaces vary in character and in the methods used to access them: some are  text‐based, and some are graphical; some are available by default, and some  require configuration; some can be accessed by local connection to the switch, and  others are accessed remotely using various client applications. For example,  administration can be performed using any of the following:  A built‐in, text‐based command‐line interface and menu system for access via  serial‐port connection or an optional Telnet or SSH session  The built‐in Browser‐Based Interface (BBI) available using a standard  web‐browser  SNMP support for access through network management software such as IBM  Director or HP OpenView The specific interface chosen for an administrative session depends on user  preferences, as well as the switch configuration and the available client tools. In all cases, administration requires that the switch hardware is properly installed  and turned on. (see the Lenovo RackSwitch G8264 Installation Guide). Command Line Interface The Industry Standard Command Line Interface (ISCLI) provides a simple, direct  method for switch administration. Using a basic terminal, you can issue  commands that allow you to view detailed information and statistics about the  switch, and to perform any necessary configuration and switch software  maintenance. You can establish a connection to the ISCLI in any of the following ways: Serial connection via the serial port on the G8264 (this option is always available)   Telnet connection over the network  SSH connection over the network G8264 Application Guide for ENOS 8.4...
  • Page 35: Establishing A Connection

    1. Log onto the switch.  2. Enter Global Configuration mode.   RS G8264> enable RS G8264# configure terminal 3. Configure a management IP address and mask: RS G8264(config)# interface ip 128 RS G8264(config­ip­if)# ip address <management interface IPv4 address> RS G8264(config­ip­if)# ip netmask <IPv4 subnet mask> RS G8264(config­ip­if)# enable RS G8264(config­ip­if)# exit 4. Configure the appropriate default gateway. IP gateway 4 is required for IF 128.  RS G8264(config)# ip gateway 4 address <default gateway IPv4 address> RS G8264(config)# ip gateway 4 enable © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 36: Using The Switch Data Ports

    Once you configure a management IP address for your switch, you can connect to  a management port and use the Telnet program from an external management  station to access and control the switch. The management port provides out‐of‐band  management.  Using the Switch Data Ports You also can configure in‐band management through any of the switch data ports.  To allow in‐band management, use the following procedure:  1. Log on to the switch.  2. Enter IP interface mode.   RS G8264> enable RS G8264# configure terminal RS G8264(config)# interface ip <IP interface number> Note: Interface 128 is reserved for out‐of‐band management (see “Using the  Switch Management Ports” on page 35). 3. Configure the management IP interface/mask. IPv4:  RS G8264(config­ip­if)# ip address <management interface IPv4 address> RS G8264(config­ip­if)# ip netmask <IPv4 subnet mask> IPv6:  RS G8264(config­ip­if)# ipv6 address <management interface IPv6 address> RS G8264(config­ip­if)# ipv6 prefixlen <IPv6 prefix length> 4. Configure the VLAN, and enable the interface.  RS G8264(config­ip­if)# vlan 1 RS G8264(config­ip­if)# enable RS G8264(config­ip­if)# exit...
  • Page 37: Using Telnet

    SNMP‐based network management system or a Web browser. For more information, see the documents listed in “Additional References” on  page 29.  Using Telnet A Telnet connection offers the convenience of accessing the switch from a  workstation connected to the network. Telnet access provides the same options for  user and administrator access as those available through the console port. By default, Telnet access is enabled. Use the following commands to disable or  re‐enable Telnet access:   RS G8264(config)# [no] access telnet enable Once the switch is configured with an IP address and gateway, you can use Telnet  to access switch administration from any workstation connected to the  management network. To establish a Telnet connection with the switch, run the Telnet program on your  workstation and issue the following Telnet command: telnet <switch IPv4 or IPv6 address>  You will then be prompted to enter a password as explained “Switch Login Levels”  on page Two attempts are allowed to log in to the switch. After the second unsuccessful  attempt, the Telnet client is disconnected via TCP session closure. Using Secure Shell Although a remote network administrator can manage the configuration of a  G8264 via Telnet, this method does not provide a secure connection. The Secure  Shell (SSH) protocol enables you to securely log into another device over a network  © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 38: Using Ssh With Password Authentication

    The supported SSH encryption and authentication methods are:  Server Host Authentication: Client RSA‐authenticates the switch when starting  each connection  Key Exchange: ecdh‐sha2‐nistp521, ecdh‐sha2‐nistp384, ecdh‐sha2‐nistp256,  ecdh‐sha2‐nistp224, ecdh‐sha2‐nistp192, rsa2048‐sha256, rsa1024‐sha1,  diffie‐hellman‐group‐exchange‐sha256, diffie‐hellman‐group‐exchange‐sha1,  diffie‐hellman‐group14‐sha1, diffie‐hellman‐group1‐sha1  Encryption: aes128‐ctr, aes128‐cbc, rijndael128‐cbc, blowfish‐cbc,3des‐cbc,  arcfour256, arcfour128, arcfour  MAC: hmac‐sha1, hmac‐sha1‐96, hmac‐md5, hmac‐md5‐96 User Authentication: Local password authentication, public key authentication,   RADIUS, TACACS+ Lenovo Enterprise Network Operating System implements the SSH version 2.0  standard and is confirmed to work with SSH version 2.0‐compliant clients such as  the following:  OpenSSH_5.4p1 for Linux Secure CRT Version 5.0.2 (build 1021)   Putty SSH release 0.60  Using SSH with Password Authentication By default, the SSH feature is disabled. Once the IP parameters are configured and  the SSH service is enabled, you can access the command line interface using an  SSH connection. To establish an SSH connection with the switch, run the SSH program on your  workstation by issuing the SSH command, followed by the switch IPv4 or IPv6  address: # ssh <switch IP address> You will then be prompted to enter a password as explained “Switch Login Levels” ...
  • Page 39: Using Ssh With Public Key Authentication

    To set up public key authentication: 1. Enable SSH: RS G8264(config)# ssh enable 2. Import the public key file using SFTP or TFTP for the admin user account:: RS G8264(config)# copy {sftp|tftp} public­key Port type ["DATA"/"MGT"]: mgt Address or name of remote host: 9.43.101.151 Source file name: 11.key Username of the public key: admin Confirm download operation (y/n) ? y Notes: When prompted to input a username, a valid user account name must be   entered. If no username is entered, the key is stored on the switch, and can be  assigned to a user account later.  A user account can have up to 100 public keys set up on the switch. 3. Configure a maximum number of 3 failed public key authentication attempts  before the system reverts to password‐based authentication: RS G8264(config)# ssh maxauthattempts 3 Once the public key is configured on the switch, the client can use SSH to login  from a system where the private key pair is set up: # ssh <switch IP address> © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 40: Using A Web Browser

    Using a Web Browser The switch provides a Browser‐Based Interface (BBI) for accessing the common  configuration, management, and operation features of the G8264 through your  Web browser. By default, BBI access via HTTP is enabled on the switch. You can also access the BBI directly from an open Web browser window. Enter the  URL using the IP address of the switch interface (for example, http://<IPv4 or  IPv6 address>). Configuring HTTP Access to the BBI By default, BBI access via HTTP is enabled on the switch. To disable or re‐enable HTTP access to the switch BBI, use the following  commands: (Enable HTTP access) RS G8264(config)# access http enable ‐or‐ (Disable HTTP access) RS G8264(config)# no access http enable The default HTTP web server port to access the BBI is port 80. However, you can  change the default Web server port with the following command:   RS G8264(config)# access http port <TCP port number>  To access the BBI from a workstation, open a Web browser window and type in the  URL using the IP address of the switch interface (for example, http://<IPv4 or  IPv6 address>). Configuring HTTPS Access to the BBI The BBI can also be accessed via a secure HTTPS connection over management and ...
  • Page 41: Browser-Based Interface Summary

    Browser-Based Interface Summary The BBI is organized at a high level as follows: Context buttons—These buttons allow you to select the type of action you wish to  perform. The Configuration button provides access to the configuration elements  for the entire switch. The Statistics button provides access to the switch statistics  and state information. The Dashboard button allows you to display the settings and  operating status of a variety of switch features. Navigation Window—Provides a menu of switch features and functions:   System—Provides access to the configuration elements for the entire switch. Switch Ports—Configure each of the physical ports on the switch.   Port‐Based Port Mirroring—Configure port mirroring behavior. Layer 2—Configure Layer 2 features for the switch.   RMON Menu—Configure Remote Monitoring features for the switch. Layer 3—Configure Layer 3 features for the switch.   QoS—Configure Quality of Service features for the switch. Access Control—Configure Access Control Lists to filter IP packets.   CEEConfigure Converged Enhanced Ethernet (CEE). FCoEConfigure FibreChannel over Ethernet (FCoE).   Virtualization—Configure vNICs and VMready for virtual machines (VMs). © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 42  Dove Gateway – Configure Distributed Overlay Virtual Ethernet. G8264 Application Guide for ENOS 8.4...
  • Page 43: Using Simple Network Management Protocol

    RS G8264(config)# snmp­server read­community <1‐32 characters> ‐and‐ RS G8264(config)# snmp­server write­community <1‐32 characters> The SNMP manager must be able to reach any one of the IP interfaces on the  switch. For the SNMP manager to receive the SNMPv1 traps sent out by the SNMP agent  on the switch, configure the trap host on the switch with the following commands:   RS G8264(config)# snmp­server trap­source <trap source IP interface> RS G8264(config)# snmp­server host <IPv4 address> <trap host community string> To restrict SNMP access to specific IPv4 subnets, use the following commands: RS G8264(config)# access management­network <IPv4 address> <subnet mask> snmp­ro ‐and‐ RS G8264(config)# access management­network <IPv4 address> <subnet mask> snmp­rw For IPv6 networks, use: RS G8264(config)# access management­network6 <IPv6 address> <IPv6 prefix length>  snmp­ro ‐and‐ RS G8264(config)# access management­network6 <IPv6 address> <IPv6 prefix length>  snmp­rw Note: Subnets allowed for SNMP read‐only access must not overlap with subnets  allowed for SNMP read‐write access. For more information on SNMP usage and configuration, see Chapter 41, “Simple  Network Management Protocol.” © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 44: Bootp/Dhcp Client Ip Address Services

    BOOTP/DHCP Client IP Address Services For remote switch administration, the client terminal device must have a valid IP  address on the same network as a switch interface. The IP address on the client  device may be configured manually, or obtained automatically using IPv6 stateless  address configuration, or an IPv4 address may obtained automatically via BOOTP  or DHCP relay as discussed in the next section. The G8264 can function as a relay agent for Bootstrap Protocol (BOOTP) or DHCP.  This allows clients to be assigned an IPv4 address for a finite lease period,  reassigning freed addresses later to other clients. Acting as a relay agent, the switch can forward a client’s IPv4 address request to up  to five BOOTP/DHCP servers. In addition to the five global BOOTP/DHCP servers,  up to five domain‐specific BOOTP/DHCP servers can be configured for each of up  to 10 VLANs. When a switch receives a BOOTP/DHCP request from a client seeking an IPv4  address, the switch acts as a proxy for the client. The request is forwarded as a UDP  Unicast MAC layer message to the BOOTP/DHCP servers configured for the  client’s VLAN, or to the global BOOTP/DHCP servers if no domain‐specific  BOOTP/DHCP servers are configured for the client’s VLAN. The servers respond  to the switch with a Unicast reply that contains the IPv4 default gateway and the  IPv4 address for the client. The switch then forwards this reply back to the client. DHCP is described in RFC 2131, and the DHCP relay agent supported on the  G8264 is described in RFC 1542. DHCP uses UDP as its transport protocol. The  client sends messages to the server on port 67 and the server sends messages to the  client on port 68. BOOTP and DHCP relay are collectively configured using the BOOTP commands  and menus on the G8264. DHCP Host Name Configuration The G8264 supports DHCP host name configuration as described in RFC 2132,  option 12. DHCP host name configuration is enabled by default. Host name can be manually configured using the following command:  RS G8264(config)# hostname <name> If the host name is manually configured, the switch does not replace it with the ...
  • Page 45: Dhcp Syslog Server

    Global BOOTP Relay Agent Configuration To enable the G8264 to be a BOOTP (or DHCP) forwarder, enable the BOOTP relay  feature, configure up to four global BOOTP server IPv4 addresses on the switch,  and enable BOOTP relay on the interface(s) on which the client requests are  expected. Generally, it is best to configure BOOTP for the switch IP interface that is closest to  the client, so that the BOOTP server knows from which IPv4 subnet the newly  allocated IPv4 address will come. In the G8264 implementation, there are no primary or secondary BOOTP servers.  The client request is forwarded to all the global BOOTP servers configured on the  switch (if no domain‐specific servers are configured). The use of multiple servers  provides failover redundancy. However, no health checking is supported. 1. Use the following commands to configure global BOOTP relay servers:   RS G8264(config)# ip bootp­relay enable RS G8264(config)# ip bootp­relay server <1‐5> address <IPv4 address> 2. Enable BOOTP relay on the appropriate IP interfaces. BOOTP/DHCP Relay functionality may be assigned on a per‐interface basis using  the following commands:   RS G8264(config)# interface ip <interface number> RS G8264(config­ip­if)# relay RS G8264(config­ip­if)# exit © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 46: Domain-Specific Bootp Relay Agent Configuration

    Domain-Specific BOOTP Relay Agent Configuration Use the following commands to configure up to five domain‐specific BOOTP relay  agents for each of up to 10 VLANs:   RS G8264(config)# ip bootp­relay bcast­domain <1‐10> vlan <VLAN number> RS G8264(config)# ip bootp­relay bcast­domain <1‐10> server <1‐5> address  <IPv4 address> RS G8264(config)# ip bootp­relay bcast­domain <1‐10> enable As with global relay agent servers, domain‐specific BOOTP/DHCP functionality  may be assigned on a per‐interface basis (see Step 2 in page 45). DHCP Option 82 DHCP Option 82 provides a mechanism for generating IP addresses based on the  client device’s location in the network. When you enable the DHCP relay agent  option on the switch, it inserts the relay agent information option 82 in the packet,  and sends a unicast BOOTP request packet to the DHCP server. The DHCP server  uses the option 82 field to assign an IP address, and sends the packet, with the  original option 82 field included, back to the relay agent. DHCP relay agent strips  off the option 82 field in the packet and sends the packet to the DHCP client. Configuration of this feature is optional. The feature helps resolve several issues  where untrusted hosts access the network. See RFC 3046 for details. Use the following commands to configure DHCP Option 82: RS G8264(config)# ip bootp­relay information enable       (Enable Option 82) RS G8264(config)# ip bootp­relay enable                   (Enable DHCP relay) RS G8264(config)# ip bootp­relay server <1‐5> address <IP address> DHCP Snooping DHCP snooping provides security by filtering untrusted DHCP packets and by  building and maintaining a DHCP snooping binding table. This feature is ...
  • Page 47 Following is an example of DHCP snooping configuration, where the DHCP server  and client are in VLAN 100, and the server connects using port 24.  RS G8264(config)# ip dhcp snooping vlan 100 RS G8264(config)# ip dhcp snooping RS G8264(config)# interface port 24 RS G8264(config­if)# ip dhcp snooping trust(Optional; Set port as trusted) RS G8264(config­if)# ip dhcp snooping information option­insert (Optional; add DHCP option 82) RS G8264(config­if)# ip dhcp snooping limit rate 100  (Optional; Set DHCP packet rate) © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 48: Easy Connect Wizard

    Easy Connect Wizard Lenovo EasyConnect (EZC) is a feature designed to simplify switch configuration.  A set of predefined configurations can be applied on the switch via ISCLI. By  launching the EZC Wizard, you are prompted for a minimal set of input and the  tool automatically customizes the switch software. The EZC Wizard allows you to choose one of the following configuration modes: Basic System mode supports settings for hostname, static management port IP,   netmask, and gateway.  Transparent mode collects server and uplink port settings. vNIC groups are  used to define the loop free domains. Note: You can either accept the static defaults or enter a different port list for  uplink and/or server ports.  Redundant mode refers to VLAG settings. The EZC configuration will be applied immediately. Any existing configuration  will be deleted, the current active or running configuration will not be merged or  appended to the EZC configuration. For any custom settings that are not included in the predefined configuration sets,  the user has to do it manually. Notes:  EZC is not available in stacking mode.  To support scripting, the feature also has a single‐line format. For more  information, please refer to Lenovo Networking ISCLI Reference Guide. Configuring the Easy Connect Wizard To launch the EZC Wizard, use the following command:  RS G8264# easyconnect The wizard displays the available predefined configuration modes. You are  prompted to select one of the following options: ...
  • Page 49: Basic System Mode Configuration Example

            Gateway: 10.241.13.1 Confirm erasing current config to re­configure Easy Connect (yes/no)? Note: You can either accept the default values or enter new parameters. Transparent Mode Configuration Example This example shows the parameters available for configuration in Transparent  mode: RS G8264# #easyconnect  Configure Transparent mode (yes/no)? y Select Uplink Ports (Static Defaults:  17­24)?  The following Uplink ports will be enabled:         Uplink ports(1G/10G):  17­24 Select Server Ports (Static Defaults:  25­64)?  The following Server ports will be enabled:         Server ports(1G/10G):  25­64 Pending switch configuration:     Uplink Ports:    17­24     Server Ports:    25­64     Disabled Ports:  1,5,9,13 Confirm erasing current config to re­configure Easy Connect (yes/no)?  Notes:  If your selection for a port group contains ports of different mode or speed, the  selection is not valid and you are guided to either select other ports or change  the speed of the ports. You can either accept the static defaults or enter a different port list for uplink   and/or server ports. © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 50: Redundant Mode Configuration Example

    Redundant Mode Configuration Example This example shows the parameters available for configuration in Redundant  mode:  RS G8264# #easyconnect  Configure Switch Redundant mode (yes/no)? y Note: It is recommended to select Basic system configuration in order to  set the management IP address used for vLAG health check. Configure Basic system (yes/no)? y Configure this switch as vLAG Primary or Secondary Peer  (primary/secondary)? prim Select ISL Ports (Static Defaults:  1­16)?  The following ISL ports will be enabled:         ISL ports(40G)   :  1­16 Select vLAG TierID (Default: 101)?  Select management IP address (Current: 192.168.49.50)?  Enter management netmask (Current: 255.255.255.0)?  Select Peer IP address for vLAG healthcheck (Default: 1.1.1.2)?  Warning: vLAG healthcheck Peer IP is not reachable. Do you want to select another Peer IP (yes/no)? y Select Peer IP address for vLAG healthcheck (Default: 1.1.1.2)?  Warning: vLAG healthcheck Peer IP is not reachable. Do you want to select another Peer IP (yes/no)? n Select Uplink Ports (Static Defaults:  17­24)?  The following Uplink ports will be enabled:         Uplink ports(1G/10G):  17­24 Select Downlink Ports (Static Defaults:  25­64)?  The following Downlink ports will be enabled:         Downlink ports(1G/10G):  25­64 G8264 Application Guide for ENOS 8.4...
  • Page 51 Please enter "none" for no hostname. Enter hostname(Default: Primary VLAG)?  Please enter "none" for no gateway. Enter management gateway:(Default: 0.0.0.0)? Pending switch configuration:     vLAG switch type:   Primary     ISL Ports:          1­16     vLAG TierID:        101     vLAG Peer IP:       1.1.1.2     Uplink Ports:       17­24     Downlink Ports:     25­64     Disabled Ports:      empty     Hostname: Primary VLAG  Management interface:         IP:      192.168.49.50         Netmask: 255.255.255.0         Gateway: 0.0.0.0 Confirm erasing current config to re­configure Easy Connect (yes/no)?  Notes:   If your selection for a port group contains ports of different speed, the selection  is not valid, and you are guided to either select other ports or change the speed  of the ports.  All unused port are configured as shut down in the configuration dump.  You can either accept the static defaults or enter a different port list for ISL,  uplink, and/or downlink ports. © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 52: Switch Login Levels

    Switch Login Levels To enable better switch management and user accountability, three levels or classes  of user access have been implemented on the G8264. Levels of access to CLI, Web  management functions, and screens increase as needed to perform various switch  management tasks. Conceptually, access classes are defined as follows:   User interaction with the switch is completely passive—nothing can be changed  on the G8264. Users may display information that has no security or privacy  implications, such as switch statistics and current operational state information.  Operators can only effect temporary changes on the G8264. These changes will  be lost when the switch is rebooted/reset. Operators have access to the switch  management features used for daily switch operations. Because any changes an  operator makes are undone by a reset of the switch, operators cannot severely  impact switch operation.  Administrators are the only ones that may make permanent changes to the  switch configuration—changes that are persistent across a reboot/reset of the  switch. Administrators can access switch functions to configure and  troubleshoot problems on the G8264. Because administrators can also make  temporary (operator‐level) changes as well, they must be aware of the  interactions between temporary and permanent changes. Access to switch functions is controlled through the use of unique user names and  passwords. Once you are connected to the switch via console, remote Telnet, or  SSH, you are prompted to enter a password. The default user names/password for  each access level are listed in the following table. Note: It is recommended that you change the default switch passwords after initial  configuration and as regularly as required under your network security policies.   Table 2. User Access Levels ‐ Default Settings User Password Description and Tasks Performed Status Account user...
  • Page 53 Note: Access to each user level (except admin account) can be disabled by setting  the password to an empty value. To disable admin account, use the command  no access user administrator­enable. The Admin account can be disabled  only if there is at least one user account enabled and configured with administrator  privilege.  © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 54: Administrator Password Recovery

    Administrator Password Recovery You can follow these steps to reset the password of the admin user to the default  value: Note: Password recovery process involves reloading the switch. Make sure to save  any recent switch configuration changes before performing these steps. 1. Connect to the switch using the console port. 2. Reload the switch. 3. When the system displays Memory Test, press <Shift + B>. The Boot Management  menu appears: **** System Reset from boot iscli **** Disable the Transceivers ... Unmount the File System ... Unmounting filesystem Wait for umount to finish.Done Waiting for I2C Transactions to Finish ... U­Boot 2009.06 (Aug 21 2015 ­ 12:35:27) MPC83XX Reset Status: CPU: e300c4, MPC8378A, Rev: 2.1 at 792 MHz, CSB: 396 MHz Board: Networking OS RackSwitch G8052 I2C: ready DRAM: 1 GB Memory Test ..4. Select C ­ Change configuration block from the Boot menu by pressing C.  Then press f: Boot Menu Mode Platform: Rack Switch G8052 (version 0.0.0.1) FLASH: 256 MB PCIE0: Link Boot Management Menu         I ­ Change booting image         C ­ Change configuration block         R ­ Boot in recovery mode (xmodem download of images to recover ...
  • Page 55 Switch>ena Enable privilege granted. Switch#configure terminal Enter configuration commands, one per line. End with Ctrl/Z. Switch(config)#copy active­config running­config admin­pw­bypass Loading to current configuration. 8. Use the show run command to confirm the configuration is recovered. Set the new  admin and enable passwords. Save the running configuration to startup  configuration. Switch(config)#password Changing admin password; validation required: Enter current local admin password: Enter new admin password (max 64 characters): Re­enter new admin password: New admin password accepted. Password changed and applied, but not saved. Notifying administrator to save changes. Switch(config)#enable password ?   WORD The UNENCRYPTED (cleartext) 'enable' password Switch(config)#enable password admin1 Switch(config)#copy running­config startup­config Confirm saving to FLASH (y/n) ? y Copy running configuration to startup configuration Switch is currently set to use factory default config block on next boot. Do you want to change that to the active config block (y/n) ? y Next boot will use active config block. 9. Make sure the boot configuration‐block is active by using the show boot  configuration­block command. If it’s not active, change the boot  configuration‐block by executing the following command: Switch(config)#boot configuration­block active © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 56: Setup Vs. The Command Line

    Setup vs. the Command Line Once the administrator password is verified, you are given complete access to the  switch. If the switch is still set to its factory default configuration, you will need to  run Setup (see Chapter 2, “Initial Setup”), a utility designed to help you through  the first‐time configuration process. If the switch has already been configured, the  command line is displayed instead. G8264 Application Guide for ENOS 8.4...
  • Page 57: Idle Disconnect

    Idle Disconnect By default, the switch will disconnect your Telnet session after 10 minutes of  inactivity. This function is controlled by the idle timeout parameter, which can be  set from 0 to 60 minutes, where 0 means the session will never timeout. Use the following command to set the idle timeout value:  RS G8264(config)# system idle <0‐60> © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 58: Boot Strict Mode

    Boot Strict Mode The implementations specified in this section are compliant with National Institute  of Standards and Technology (NIST) Special Publication (SP) 800‐131A. The RackSwitch G8264 can operate in two boot modes:  Compatibility mode (default): This is the default switch boot mode. This mode  may use algorithms and key lengths that may not be allowed/acceptable by  NIST SP 800‐131A specification. This mode is useful in maintaining  compatibility with previous releases and in environments that have lesser data  security requirements.  Strict mode: Encryption algorithms, protocols, and key lengths in strict mode  are compliant with NIST SP 800‐131A specification. When in boot strict mode, the switch uses Secure Sockets Layer (SSL)/Transport  Layer Security (TLS) 1.2 protocols to ensure confidentiality of the data to and from  the switch.  Before enabling strict mode, ensure the following:  The software version on all connected switches is Enterprise NOS 8.4. The supported protocol versions and cryptographic cipher suites between   clients and servers are compatible. For example: if using SSH to connect to the  switch, ensure that the SSH client supports SSHv2 and a strong cipher suite that  is compliant with the NIST standard.  Compliant Web server certificate is installed on the switch, if using BBI. A new self‐signed certificate is generated for the switch   (RS G8264(config)# access https generate­certificate). The  new certificate is generated using 2048‐bit RSA key and SHA‐256 digest.  Protocols that are not NIST SP 800‐131A compliant must be disabled or not  used.  Only SSHv2 or higher is used.  The current configuration, if any, is saved in a location external to the switch. ...
  • Page 59 RADIUS does not comply with  Acceptable NIST SP 800‐131A specification.  When in strict mode, RADIUS is dis‐ abled. However, it can be enabled, if  required. Random Number  NIST SP 800‐90A AES CTR DRBG NIST SP 800‐90A AES CTR  Generator DRBG Secure NTP Secure NTP does not comply with  Acceptable NIST SP 800‐131A specification.  When in strict mode, secure NTP is  disabled. However, it can be  enabled, if required. SHA‐256 or higher RSA/DSA 2048 or higher SNMP SNMPv3 only SNMPv1, SNMPv2, SNMPv3 AES‐128‐CFB‐128/SHA1 DES/MD5,  AES‐128‐CFB‐128/SHA1 Note: Following algorithms are  acceptable if you choose to support  old SNMPv3 factory default users: AES‐128‐CFB/SHA1 DES/MD5 AES‐128‐CFB‐128/SHA1 © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 60 Table 3. Acceptable Protocols and Algorithms (continued) Protocol/Function Strict Mode Algorithm Compatibility Mode Algorithm SSH/SFTP  Host Key SSH‐RSA SSH‐RSA Key Exchange ECDH‐SHA2‐NISTP521 ECDH‐SHA2‐NISTP521 ECDH‐SHA2‐NISTP384 ECDH‐SHA2‐NISTP384 ECDH‐SHA2‐NISTP256 ECDH‐SHA2‐NISTP256 ECDH‐SHA2‐NISTP224 ECDH‐SHA2‐NISTP224 RSA2048‐SHA256 ECDH‐SHA2‐NISTP192 DIFFIE‐HELLMAN‐GROUP‐EXCH RSA2048‐SHA256 ANGE‐SHA256 RSA1024‐SHA1 DIFFIE‐HELLMAN‐GROUP‐EXCH DIFFIE‐HELLMAN‐GROUP‐EX ANGE‐SHA1 CHANGE‐SHA256 DIFFIE‐HELLMAN‐GROUP‐EX CHANGE‐SHA1 DIFFIE‐HELLMAN‐GROUP14‐S DIFFIE‐HELLMAN‐GROUP1‐S Encryption AES128‐CTR AES128‐CTR AES128‐CBC AES128‐CBC 3DES‐CBC...
  • Page 61: Acceptable Cipher Suites

    AES_128_ SHA1 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC012 ECDHE 3DES SHA1 SSL_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 0x0033 AES­128_ SHA1 TLS_DHE_RSA_WITH_AES_128_CBC_SHA 0x0067 AES_128_ SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 0x0016 3DES SHA1 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA 0x002F AES_128_ SHA1 TLS_RSA_WITH_AES_128_CBC_SHA 0x003C AES_128_ SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256 0x000A 3DES SHA1 SSL_RSA_WITH_3DES_EDE_CBC_SHA © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 62: Configuring Strict Mode

    Configuring Strict Mode To change the switch mode to boot strict mode, use the following command:  RS G8264(config)# [no] boot strict enable When strict mode is enabled, you will see the following message:  Warning, security strict mode limits the cryptographic algorithms used by  secure protocols on this switch. Please see the documentation for full  details, and verify that peer devices support acceptable algorithms  before enabling this mode. The mode change will take effect after  reloading the switch and the configuration will be wiped during the  reload. System will enter security strict mode with default factory  configuration at next boot up.   Do you want SNMPV3 support old default users in strict mode (y/n)? For SNMPv3 default users, see “SNMP Version 3” on page 642. When strict mode is disabled, the following message is displayed:  Warning, disabling security strict mode. The mode change will take effect  after reloading the switch. You must reboot the switch for the boot strict mode enable/disable to take effect. Configuring No-Prompt Mode If you expect to administer the switch using SNSC or another browser‐based  interface, you need to turn off confirmation prompts. To accomplish this, use the  command:  RS G8264(config)# [no] terminal dont­ask In no‐prompt mode, confirmation prompts are disabled for this and future  sessions. SSL/TLS Version Limitation Each of the following successive encryption protocol versions provide more  security and less compatibility: SSLv3, TLS1.0, TLS1.1, TLS1.2. When negotiating  the encryption protocol during the SSL handshake, the switch will accept, by  default, the latest (and most secure) protocol version supported by the client  equipment. To enforce a minimal level of security acceptable for the connections,  use the following command: RS G8264(config)# ssl minimum­version {ssl|tls10|tls11|tls12} Limitations In Enterprise NOS 8.4, consider the following limitation/restrictions if you need to ...
  • Page 63  Power ITEs and High‐Availability features do not comply with NIST SP  800‐131A specification.  The G8264 will not discover Platform agents/Common agents that are not in  strict mode. Web browsers that do not use TLS 1.2 cannot be used.   Limited functions of the switch managing Windows will be available. © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 64: Scripting

    Scripting You can create and execute local Python script on switches to create small  programs that allow the switch to automatically provision itself, perform fault  monitoring, upgrade the image files, or auto‐generate configuration file. You can  use local scripts as a key part of your auto‐provisioning solutions. You can also  manage scripts on the Lenovo RackSwitch G8264. You can implement version control systems, automatically generate alerts, create  custom logging tools, and automate management of network devices. Using  Python scripts, you can perform many functions that can be performed through  the CLI. In addition to configuration, you can notify users by sending email or  updating the SYSLOG.  See the Lenovo Enterprise Network Operating System Python Programming Guide for the  Lenovo RackSwitch G8264 for details on how to create and execute Python scripts.  G8264 Application Guide for ENOS 8.4...
  • Page 65: Chapter 2. Initial Setup

    Chapter 2. Initial Setup To help with the initial process of configuring your switch, the Lenovo Enterprise  Network Operating System software includes a Setup utility. The Setup utility  prompts you step‐by‐step to enter all the necessary information for basic  configuration of the switch. Setup can be activated manually from the command line interface any time after  login. © Copyright Lenovo 2016...
  • Page 66: Information Needed For Setup

    Information Needed for Setup Setup requests the following information:  Basic system information Date & time  Whether to use Spanning Tree Group or not   Optional configuration for each port Speed, duplex, flow control, and negotiation mode (as appropriate)  Whether to use VLAN trunk mode/tagging or not (as appropriate)  Optional configuration for each VLAN  Name of VLAN  Which ports are included in the VLAN   Optional configuration of IP parameters IP address/mask and VLAN for each IP interface  IP addresses for default gateway  Whether IP forwarding is enabled or not  G8264 Application Guide for ENOS 8.4...
  • Page 67: Default Setup Options

    Default Setup Options You need to run the Setup utility to change the factory default settings. To  accomplish this: 1. Connect to the switch. After connecting, the login prompt appears. Enter Password: 2. Enter admin as the default administrator password. 3. Start the Setup utility: RS G8264# setup Follow the instructions provided by the Setup utility. © Copyright Lenovo 2016 Chapter 2: Initial Setup...
  • Page 68: Setting The Management Interface Default Ip Address

    Setting the Management Interface Default IP Address To facilitate switch boot up, the in‐band and out‐of‐band management interfaces  are configured with factory default IP addresses. These are as follows:  VLAN 1/ Interface 1: 192.168.49.50/24 Out‐of‐band Management Port 1: 192.168.50.50/24  If you configure static IP addresses or if DHCP/BOOTP addresses are assigned to  these interfaces, the factory default IP addresses will not be applied. By default,  DHCP and BOOTP are enabled on the management interfaces. If you add interface 1 to another VLAN and do not configure any IP address, the  factory default IP address will be automatically assigned to the interface.  We recommend that you disable the factory default IP address configuration after  the switch boot up and configuration is complete. Use the following command:   RS G8264(config)# no system default-ip [data|mgt] G8264 Application Guide for ENOS 8.4...
  • Page 69: Stopping And Restarting Setup Manually

    Stopping and Restarting Setup Manually Follow these instructions to manually stop and start the Setup utility. Stopping Setup To abort the Setup utility, press <Ctrl‐C> during any Setup question. When you  abort Setup, the system will prompt: Would you like to run from top again? [y/n] Enter n to abort Setup, or y to restart the Setup program at the beginning. Restarting Setup You can restart the Setup utility manually at any time by entering the following  command at the administrator prompt: RS G8264(config)# setup © Copyright Lenovo 2016 Chapter 2: Initial Setup...
  • Page 70: Setup Part 1: Basic System Configuration

    Setup Part 1: Basic System Configuration When Setup is started, the system prompts: "Set Up" will walk you through the configuration of   System Date and Time, Spanning Tree, Port Speed/Mode,   VLANs, and IP interfaces. [type Ctrl­C to abort "Set Up"] 1. Enter y if you will be configuring VLANs. Otherwise enter n. If you decide not to configure VLANs during this session, you can configure them  later using the configuration menus, or by restarting the Setup facility. For more  information on configuring VLANs, see the Lenovo Enterprise Network Operating  System Application Guide.  Next, the Setup utility prompts you to input basic system information. 2. Enter the year of the current date at the prompt: System Date: Enter year [2009]: Enter the four‐digits that represent the year. To keep the current year, press  <Enter>. 3. Enter the month of the current system date at the prompt: System Date: Enter month [1]: Enter the month as a number from 1 to 12. To keep the current month, press  <Enter>. 4. Enter the day of the current date at the prompt: Enter day [3]: Enter the date as a number from 1 to 31. To keep the current day, press <Enter>. The system displays the date and time settings: System clock set to 18:55:36 Wed Jan 28, 2009. 5. Enter the hour of the current system time at the prompt: System Time: Enter hour in 24­hour format [18]: Enter the hour as a number from 00 to 23. To keep the current hour, press <Enter>.
  • Page 71 Enter the minute as a number from 00 to 59. To keep the current minute, press  <Enter>. 7. Enter the seconds of the current time at the prompt: Enter seconds [37]: Enter the seconds as a number from 00 to 59. To keep the current second, press  <Enter>. The system then displays the date and time settings: System clock set to 8:55:36 Wed Jan 28, 2009. 8. Turn Spanning Tree Protocol on or off at the prompt: Spanning Tree: Current Spanning Tree Group 1 setting: ON Turn Spanning Tree Group 1 OFF? [y/n] Enter y to turn off Spanning Tree, or enter n to leave Spanning Tree on. © Copyright Lenovo 2016 Chapter 2: Initial Setup...
  • Page 72: Setup Part 2: Port Configuration

    Setup Part 2: Port Configuration Note: When configuring port options for your switch, some prompts and options  may be different.  1. Select whether you will configure VLANs and VLAN trunk mode/tagging for  ports:   Port Config: Will you configure VLANs and VLAN Tagging/Trunk­Mode for ports? [y/n] If you wish to change settings for VLANs, enter y, or enter n to skip VLAN  configuration.  Note: The sample screens that appear in this document might differ slightly from  the screens displayed by your system. Screen content varies based on the firmware  versions and options that are installed. 2. Select the port to configure, or skip port configuration at the prompt:  If you wish to change settings for individual ports, enter the number of the port  you wish to configure. To skip port configuration, press <Enter> without specifying  any port and go to “Setup Part 3: VLANs” on page 74.  3. Configure Gigabit Ethernet port flow parameters. The system prompts: Gig Link Configuration: Port Flow Control: Current Port EXT1 flow control setting:    both Enter new value ["rx"/"tx"/"both"/"none"]: Enter rx to enable receive flow control, tx for transmit flow control, both to  enable both, or none to turn flow control off for the port. To keep the current  setting, press <Enter>. 4. Configure Gigabit Ethernet port autonegotiation mode.  If you selected a port that has a Gigabit Ethernet connector, the system prompts: Port Auto Negotiation: Current Port autonegotiation:         on Enter new value ["on"/"off"]: Enter on to enable port autonegotiation, off to disable it, or press <Enter> to keep ...
  • Page 73 Enter d to disable VLAN trunk mode/tagging for the port or enter e to enable  VLAN tagging for the port. To keep the current setting, press <Enter>. 6. The system prompts you to configure the next port:  Enter port (1­64): When you are through configuring ports, press <Enter> without specifying any  port. Otherwise, repeat the steps in this section. © Copyright Lenovo 2016 Chapter 2: Initial Setup...
  • Page 74: Setup Part 3: Vlans

    Setup Part 3: VLANs If you chose to skip VLANs configuration back in Part 2, skip to “Setup Part 4: IP  Configuration” on page 1. Select the VLAN to configure, or skip VLAN configuration at the prompt: VLAN Config: Enter VLAN number from 2 to 4094, NULL at end: If you wish to change settings for individual VLANs, enter the number of the  VLAN you wish to configure. To skip VLAN configuration, press <Enter> without  typing a VLAN number and go to “Setup Part 4: IP Configuration” on page 2. Enter the new VLAN name at the prompt: Current VLAN name: VLAN 2 Enter new VLAN name: Entering a new VLAN name is optional. To use the pending new VLAN name,  press <Enter>.  3. Enter the VLAN port numbers:  Define Ports in VLAN: Current VLAN 2:  empty Enter ports one per line, NULL at end: Enter each port, by port number or port alias, and confirm placement of the port  into this VLAN. When you are finished adding ports to this VLAN, press <Enter>  without specifying any port.  4. Configure Spanning Tree Group membership for the VLAN:  Spanning Tree Group membership: Enter new Spanning Tree Group index [1­255]: 5. The system prompts you to configure the next VLAN:  VLAN Config: Enter VLAN number from 2 to 4094, NULL at end: Repeat the steps in this section until all VLANs have been configured. When all  VLANs have been configured, press <Enter> without specifying any VLAN.  G8264 Application Guide for ENOS 8.4...
  • Page 75: Setup Part 4: Ip Configuration

    Up to 126 IP interfaces can be configured on the RackSwitch G8264 (G8264). The IP  address assigned to each IP interface provides the switch with an IP presence on  your network. No two IP interfaces can be on the same IP network. The interfaces  can be used for connecting to the switch for remote configuration, and for routing  between subnets and VLANs (if used). Note: IP interface 128 is reserved for out‐of‐band switch management. 1. Select the IP interface to configure, or skip interface configuration at the prompt: IP Config: IP interfaces: Enter interface number: (1­126)  If you wish to configure individual IP interfaces, enter the number of the IP  interface you wish to configure. To skip IP interface configuration, press <Enter>  without typing an interface number and go to “Default Gateways” on page 77.  2. For the specified IP interface, enter the IP address in IPv4 dotted decimal notation: Current IP address:     0.0.0.0 Enter new IP address: To keep the current setting, press <Enter>. 3. At the prompt, enter the IPv4 subnet mask in dotted decimal notation: Current subnet mask:            0.0.0.0 Enter new subnet mask: To keep the current setting, press <Enter>.If configuring VLANs, specify a VLAN  for the interface. The following prompt appears if you selected to configure VLANs back in Part 1: Current VLAN:     1 Enter new VLAN [1­4094]: Enter the number for the VLAN to which the interface belongs, or press <Enter>  without specifying a VLAN number to accept the current setting. © Copyright Lenovo 2016 Chapter 2: Initial Setup...
  • Page 76: Loopback Interfaces

    4. At the prompt, enter y to enable the IP interface, or n to leave it disabled: Enable IP interface? [y/n] 5. The system prompts you to configure another interface: Enter interface number: (1­126)  Repeat the steps in this section until all IP interfaces have been configured. When  all interfaces have been configured, press <Enter> without specifying any interface  number. Loopback Interfaces A loopback interface provides an IP address, but is not otherwise associated with a  physical port or network entity. Essentially, it is a virtual interface that is perceived  as being “always available” for higher‐layer protocols to use and advertise to the  network, regardless of other connectivity. Loopback interfaces improve switch access, increase reliability, security, and  provide greater flexibility in Layer 3 network designs. They can be used for many  different purposes, but are most commonly for management IP addresses, router  IDs for various protocols, and persistent peer IDs for neighbor relationships. In Enterprise NOS 8.4, loopback interfaces have been expanded for use with  routing protocols such as OSPF, PIM, and BGP. Loopback interfaces can also be  specified as the source IP address for syslog, SNMP, RADIUS, TACACS+, NTP, and  router IDs. Loopback interfaces must be configured before they can be used in other features.  Up to five loopback interfaces are currently supported. They can be configured  using the following commands: RS G8264(config)# interface loopback <1‐5> RS G8264(config­ip­loopback)# [no] ip address <IPv4 address> <mask> enable RS G8264(config­ip­loopback)# exit Using Loopback Interfaces for Source IP Addresses The switch can use loopback interfaces to set the source IP addresses for a variety  of protocols. This assists in server security, as the server for each protocol can be ...
  • Page 77: Loopback Interface Limitations

    Loopback interfaces cannot be assigned to a VLAN. Default Gateways To set up a default gateway: 1. At the prompt, select an IP default gateway for configuration, or skip default  gateway configuration: IP default gateways: Enter default gateway number: (1­4)  Enter the number for the IP default gateway to be configured. To skip default  gateway configuration, press <Enter> without typing a gateway number and go to  “IP Routing” on page 2. At the prompt, enter the IPv4 address for the selected default gateway: Current IP address:     0.0.0.0 Enter new IP address: Enter the IPv4 address in dotted decimal notation, or press <Enter> without  specifying an address to accept the current setting. 3. At the prompt, enter y to enable the default gateway, or n to leave it disabled: Enable default gateway? [y/n] 4. The system prompts you to configure another default gateway: Enter default gateway number: (1­4)  Repeat the steps in this section until all default gateways have been configured.  When all default gateways have been configured, press <Enter> without specifying  any number.  IP Routing When IP interfaces are configured for the various IP subnets attached to your  switch, IP routing between them can be performed entirely within the switch. This  eliminates the need to send inter‐subnet communication to an external router  © Copyright Lenovo 2016 Chapter 2: Initial Setup...
  • Page 78 device. Routing on more complex networks, where subnets may not have a direct  presence on the G8264, can be accomplished through configuring static routes or  by letting the switch learn routes dynamically. This part of the Setup program prompts you to configure the various routing  parameters. At the prompt, enable or disable forwarding for IP Routing: Enable IP forwarding? [y/n] Enter y to enable IP forwarding. To disable IP forwarding, enter n. To keep the  current setting, press <Enter>. G8264 Application Guide for ENOS 8.4...
  • Page 79: Setup Part 5: Final Steps

    Setup Part 5: Final Steps 1. When prompted, decide whether to restart Setup or continue: Would you like to run from top again? [y/n] Enter y to restart the Setup utility from the beginning, or n to continue. 2. When prompted, decide whether you wish to review the configuration changes: Review the changes made? [y/n] Enter y to review the changes made during this session of the Setup utility. Enter n  to continue without reviewing the changes. We recommend that you review the  changes. 3. Next, decide whether to apply the changes at the prompt: Apply the changes? [y/n] Enter y to apply the changes, or n to continue without applying. Changes are  normally applied. 4. At the prompt, decide whether to make the changes permanent: Save changes to flash? [y/n] Enter y to save the changes to flash. Enter n to continue without saving the  changes. Changes are normally saved at this point. 5. If you do not apply or save the changes, the system prompts whether to abort them: Abort all changes? [y/n] Enter y to discard the changes. Enter n to return to the “Apply the changes?”  prompt. Note: After initial configuration is complete, it is recommended that you change  the default passwords. © Copyright Lenovo 2016 Chapter 2: Initial Setup...
  • Page 80: Optional Setup For Telnet Support

    Optional Setup for Telnet Support Note: This step is optional. Perform this procedure only if you are planning on  connecting to the G8264 through a remote Telnet connection. Telnet is enabled by default. To change the setting, use the following command:   RS G8264(config)# no access telnet  G8264 Application Guide for ENOS 8.4...
  • Page 81: Chapter 3. Switch Software Management

    Chapter 3. Switch Software Management The switch software image is the executable code running on the G8264. A version  of the image comes pre‐installed on the device. As new versions of the image are  released, you can upgrade the software running on your switch. To get the latest  version of software supported for your G8264, go to the following website: http://www.lenovo.com/support/ To determine the software version currently used on the switch, use the following  switch command:    RS G8264# show boot The typical upgrade process for the software image consists of the following steps:  Load a new software image and boot image onto an FTP, SFTP or TFTP server on  your network. Transfer the new images to your switch.    Specify the new software image as the one which will be loaded into switch  memory the next time a switch reset occurs.  Reset the switch. For instructions on the typical upgrade process using the ENOS ISCLI, USB, or BBI,  see “Loading New Software to Your Switch” on page CAUTION: Although the typical upgrade process is all that is necessary in most cases,  upgrading from (or reverting to) some versions of Lenovo Enterprise Network  Operating System requires special steps prior to or after the software installation  process. Please be sure to follow all applicable instructions in the release notes  document for the specific software release to ensure that your switch continues to  operate as expected after installing new software. © Copyright Lenovo 2016...
  • Page 82: Loading New Software To Your Switch

    Loading New Software to Your Switch The G8264 can store up to two different switch software images (called image1  and image2) as well as special boot software (called boot). When you load new  software, you must specify where it is placed: either into image1, image2, or  boot.  For example, if your active image is currently loaded into image1, you would  probably load the new image software into image2. This lets you test the new  software and reload the original active image (stored in image1), if needed.  CAUTION: When you upgrade the switch software image, always load the new boot image  and the new software image before you reset the switch. If you do not load a new  boot image, your switch might not boot properly (To recover, see “Recovering  from a Failed Software Upgrade” on page 88).  To load a new software image to your switch, you will need the following:  The image and boot software loaded on an FTP, SFTP or TFTP server on your net‐ work. Note: Be sure to download both the new boot file and the new image file.  The hostname or IP address of the FTP, SFTP or TFTP server Note: The DNS parameters must be configured if specifying hostnames. The name of the new system image.  When the software requirements are met, use one of the following procedures to  download the new software to your switch. You can use the ISCLI, USB, or the BBI  to download and activate new software. Loading Software via the ISCLI 1. In Privileged EXEC mode, enter the following command:   Router# copy {tftp|ftp|sftp} {image1|image2|boot­image} 2.
  • Page 83 5. The switch will prompt you to confirm your request. Once confirmed, the software will begin loading into the switch. 6. When loading is complete, use the following commands to enter Global  Configuration mode to select which software image (image1 or image2) you want  to run in switch memory for the next reboot:  configure terminal Router# boot image {image1|image2}  Router(config)# The system will then verify which image is set to be loaded at the next reset:     Next boot will use switch software image1 instead of image2. 7. Reboot the switch to run the new software: reload Router(config)#  The system prompts you to confirm your request. Once confirmed, the switch  will reboot to use the new software. © Copyright Lenovo 2016 Chapter 3: Switch Software Management...
  • Page 84: Loading Software Via Bbi

    Loading Software via BBI You can use the Browser‐Based Interface to load software onto the G8264. The  software image to load can reside in one of the following locations:  FTP server   TFTP server SFTP server   Local computer After you log onto the BBI, perform the following steps to load a software image:  1. Click the Configure context tab in the toolbar.  2. In the Navigation Window, select System > Config/Image Control.  The Switch Image and Configuration Management page appears. 3. If you are loading software from your computer (HTTP client), skip this step and  go to the next. Otherwise, if you are loading software from an FTP, SFTP, or TFTP  server, enter the server’s information in the FTP, SFTP, or TFTP Settings section. 4. In the Image Settings section, select the image version you want to replace (Image  for Transfer).   If you are loading software from an FTP, SFTP, or TFTP server, enter the file  name and click Get Image.  If you are loading software from your computer, click Browse.   In the File Upload Dialog, select the file and click OK. Then click Download via Browser.  Once the image has loaded, the page refreshes to show the new software. G8264 Application Guide for ENOS 8.4...
  • Page 85: Updating Software On Vlag Switches

    5. Shutdown all ports except the ISL ports and the health check port