Download Print this page

Lenovo RackSwitch G8264 Application Manual

For lenovo enterprise network operating system 8.4
Hide thumbs

Advertisement

Lenovo RackSwitch G8264
Application Guide
For Lenovo Enterprise Network Operating System 8.4

Advertisement

loading

  Summary of Contents for Lenovo RackSwitch G8264

  • Page 1 Lenovo RackSwitch G8264 Application Guide For Lenovo Enterprise Network Operating System 8.4...
  • Page 2 Note:  Before using this information and the product it supports, read the general information in the  Safety information and Environmental Notices and User Guide documents on the Lenovo Documentation CD  and the Warranty Information document that comes with the product. Second Edition (July 2017) © Copyright Lenovo 2017 Portions © Copyright IBM Corporation 2014. LIMITED AND RESTRICTED RIGHTS NOTICE: If data or software is delivered pursuant a General  Services Administration “GSA” contract, use, reproduction, or disclosure is subject to restrictions set  forth in Contract No. GS‐35F‐05925. Lenovo and the Lenovo logo are trademarks of Lenovo in the United States, other countries, or both.
  • Page 3: Table Of Contents

    DHCP SYSLOG Server.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .45 Global BOOTP Relay Agent Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .45 Domain‐Specific BOOTP Relay Agent Configuration.   .   .   .   .   .   .   .   .   .   .46 DHCP Option 82   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .46 DHCP Snooping   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .46 Easy Connect Wizard  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .48 Configuring the Easy Connect Wizard .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .48 Basic System Mode Configuration Example .   .   .   .   .   .   .   .   .   .   .   .   .49 Transparent Mode Configuration Example  .   .   .   .   .   .   .   .   .   .   .   .   .49 Redundant Mode Configuration Example    .   .   .   .   .   .   .   .   .   .   .   .   .50 Switch Login Levels .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .52 Administrator Password Recovery   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .54 Setup vs. the Command Line .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .56 Idle Disconnect .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .57 Boot Strict Mode   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .58 Acceptable Cipher Suites .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .61 Configuring Strict Mode  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .62 Configuring No‐Prompt Mode   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .62 SSL/TLS Version Limitation    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .62 Limitations .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .62 Scripting.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .64 © Copyright Lenovo 2017...
  • Page 4 Chapter 2. Initial Setup ..... 65 Information Needed for Setup  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 66 Default Setup Options    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 67 Setting the Management Interface Default IP Address .   .   .   .   .   .   .   .   .   .   .   . 68 Stopping and Restarting Setup Manually   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 69 Stopping Setup .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 69 Restarting Setup   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 69 Setup Part 1: Basic System Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .
  • Page 5 Chapter 5. Authentication & Authorization Protocols ..105 RADIUS Authentication and Authorization   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  106 How RADIUS Authentication Works   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  106 Configuring RADIUS on the Switch  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  106 RADIUS Authentication Features in Enterprise NOS .   .   .   .   .   .   .   .   .   .  108 Switch User Accounts  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  108 RADIUS Attributes for Enterprise NOS User Privileges    .   .   .   .   .   .   .   .  109 TACACS+ Authentication  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  110 How TACACS+ Authentication Works.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  110 TACACS+ Authentication Features in Enterprise NOS  .   .   .   .   .   .   .   .   .  111 Authorization .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  111 Accounting .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  112 Command Authorization and Logging .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  112 Configuring TACACS+ Authentication on the Switch   .   .   .   .   .   .   .   .   .  113 LDAP Authentication and Authorization    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  114 Configuring the LDAP Server.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  114 Configuring LDAP Authentication on the Switch  .   .   .   .   .   .   .   .   .   .   .  114 © Copyright Lenovo 2017 Contents...
  • Page 6 Chapter 6. 802.1X Port-Based Network Access Control ..117 Extensible Authentication Protocol over LAN   .   .   .   .   .   .   .   .   .   .   .   .   .   .   118 EAPoL Authentication Process .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   119 EAPoL Message Exchange .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   120 EAPoL Port States   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   121 Guest VLAN.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   121 Supported RADIUS Attributes .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   122 EAPoL Configuration Guidelines .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   124 Chapter 7. Access Control Lists....125 Summary of Packet Classifiers  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 7 Link Aggregation Control Protocol  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  180 Static LACP LAGs.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  181 LACP Port Modes .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  182 LACP Individual   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  182 LACP Minimum Links Option   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  183 Configuring LACP   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  184 Configurable LAG Hash Algorithm .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  185 Chapter 11. Spanning Tree Protocols....187 Spanning Tree Protocol Modes  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  188 Global STP Control  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  189 © Copyright Lenovo 2017 Contents...
  • Page 8 PVRST Mode    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   189 Port States  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   190 Bridge Protocol Data Units .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   190 How BPDU Works    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   190 Determining the Path for Forwarding BPDUs .   .   .   .   .   .   .   .   .   .   .   190 Simple STP Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   192 Per‐VLAN Spanning Tree Groups.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   194 Using Multiple STGs to Eliminate False Loops    .   .   .   .   .   .   .   .   .   .   194 VLANs and STG Assignment .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   196 Manually Assigning STGs   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   197 Guidelines for Creating VLANs .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   197 Rules for VLAN Tagged/Trunk Mode Ports.   .   .   .   .   .   .   .   .   .   .   .   197 Adding and Removing Ports from STGs  .   .   .   .   .   .   .   .   .   .   .   .   .   198 The Switch‐Centric Model   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   199 Configuring Multiple STGs    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   200 Rapid Spanning Tree Protocol  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 9 Chapter 15. OpenFlow ..... . 261 OpenFlow Overview   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  262 Switch Profiles  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  263 OpenFlow Versions .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  264 OpenFlow Instance  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  265 Flow Tables   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  266 Static Flows   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  268 Port Membership  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  270 FDB Aging and ECMP with OpenFlow.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  271 Static Flow Examples   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  271 Table‐Miss .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  274 Fail Secure Mode  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  275 Emergency Mode .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  276 © Copyright Lenovo 2017 Contents...
  • Page 10 OpenFlow Ports   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   278 OpenFlow Edge Ports  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   278 Link Aggregation .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   279 Data Path ID  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   280 sFlow Compatibility   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   281 OpenFlow Groups   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   282 Configuring OpenFlow  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   283 Configuration Example 1 ‐ OpenFlow Boot Profile  .   .   .   .   .   .   .   .   .   .   .   283 Configuration Example 2 ‐ Default Boot Profile  .   .   .   .   .   .   .   .   .   .   .   .   286 Feature Limitations .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   288 Chapter 16. Deployment Profiles ....289 Available Profiles.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 11 ..... . 341 VE Capacity  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  342 Defining Server Ports  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  342 VM Group Types .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  342 Local VM Groups .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  343 Distributed VM Groups  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  346 VM Profiles    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  346 Initializing a Distributed VM Group .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  347 Assigning Members .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  347 Synchronizing the Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  348 Removing Member VEs   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  348 VMcheck    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  349 Virtual Distributed Switch .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  351 Prerequisites  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  351 Guidelines  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  351 Migrating to vDS  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  352 Virtualization Management Servers .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  353 Assigning a vCenter .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  353 vCenter Scans    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  354 Deleting the vCenter.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  354 Exporting Profiles .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  355 VMware Operational Commands  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  355 © Copyright Lenovo 2017 Contents...
  • Page 12 Pre‐Provisioning VEs  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   356 VLAN Maps .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   357 VM Policy Bandwidth Control  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   358 VM Policy Bandwidth Control Commands .   .   .   .   .   .   .   .   .   .   .   .   .   .   358 Bandwidth Policies vs. Bandwidth Shaping    .   .   .   .   .   .   .   .   .   .   .   .   .   359 VMready Information Displays    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   360 Local VE Information  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   360 vCenter Hypervisor Hosts  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   361 vCenter VEs  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   362 vCenter VE Details   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   363 vCenter Switchport Mapping Details   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   363 VMready Configuration Example.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   364 Chapter 21. FCoE and CEE ....365 Fibre Channel over Ethernet  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 13 UFP vPort Mode    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  413 Tunnel Mode  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  413 802.1Q Trunk Mode  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  414 Access Mode   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  414 FCoE Mode .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  415 Auto‐VLAN Mode.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  415 UFP Bandwidth Provisioning    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  416 ETS Mode   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  416 UFP Strict Bandwidth Provisioning Mode   .   .   .   .   .   .   .   .   .   .   .   .   .   .  418 Using UFP with Other RackSwitch G8264 Features   .   .   .   .   .   .   .   .   .   .   .   .  419 Layer 2 Failover.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  419 Increased VLAN Limits   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  419 Private VLANs  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  419 VMReady   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  420 802.1Qbg.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  420 UFP Configuration Examples.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  421 Example 1: Access Mode .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  421 Example 2: Trunk Mode  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  422 Example 3: Auto‐VLAN Mode   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  424 Example 4: Tunnel Mode .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  424 Example 5: FCoE Mode   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  425 Example 6: Layer 2 Failover Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .  426 © Copyright Lenovo 2017 Contents...
  • Page 14 Part 5: IP Routing......429 Chapter 26. Basic IP Routing ....431 IP Routing Benefits .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 15 Chapter 32. Internet Group Management Protocol ..493 IGMP Terms .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  494 How IGMP Works   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  495 IGMP Capacity and Default Values  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  496 IGMP Snooping    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  498 IGMP Querier    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  498 Querier Election    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  498 IGMP Groups    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  499 IGMPv3 Snooping.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  499 IGMP Snooping Configuration Guidelines  .   .   .   .   .   .   .   .   .   .   .   .   .   .  501 IGMP Snooping Configuration Example  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  502 Advanced Configuration Example: IGMP Snooping  .   .   .   .   .   .   .   .   .   .  503 Prerequisites   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  504 Configuration .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  504 Troubleshooting IGMP Snooping  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  508 © Copyright Lenovo 2017 Contents...
  • Page 16 IGMP Relay  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   511 Configuration Guidelines   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   511 Configure IGMP Relay    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   512 Advanced Configuration Example: IGMP Relay    .   .   .   .   .   .   .   .   .   .   .   513 Prerequisites  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   513 Configuration.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   514 Troubleshooting IGMP Relay .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   517 Additional IGMP Features .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   520 FastLeave   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   520 IGMP Filtering  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   520 Configuring the Range .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   520 Configuring the Action    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   521 Configure IGMP Filtering    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   521 Static Multicast Router.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   521 Chapter 33. Multicast Listener Discovery ....523 MLD Terms  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 17 Host Routes for Load Balancing .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  567 Loopback Interfaces in OSPF  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  568 OSPF Features Not Supported in This Release.   .   .   .   .   .   .   .   .   .   .   .   .  568 OSPFv2 Configuration Examples  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  569 Example 1: Simple OSPF Domain  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  570 Example 2: Virtual Links .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  572 Configuring OSPF for a Virtual Link on Switch #1  .   .   .   .   .   .   .   .   .  572 Configuring OSPF for a Virtual Link on Switch #2  .   .   .   .   .   .   .   .   .  573 Other Virtual Link Options  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  575 Example 3: Summarizing Routes   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  576 Verifying OSPF Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  577 OSPFv3 Implementation in Enterprise NOS   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  578 OSPFv3 Differences from OSPFv2 .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  578 OSPFv3 Requires IPv6 Interfaces    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  578 OSPFv3 Uses Independent Command Paths    .   .   .   .   .   .   .   .   .   .   .  578 OSPFv3 Identifies Neighbors by Router ID  .   .   .   .   .   .   .   .   .   .   .   .  579 Other Internal Improvements  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  579 OSPFv3 Limitations  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  579 OSPFv3 Configuration Example.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  579 Neighbor Configuration Example  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  581 © Copyright Lenovo 2017 Contents...
  • Page 18 Chapter 36. Protocol Independent Multicast... . . 583 PIM Overview  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   584 Supported PIM Modes and Features   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   585 Basic PIM Settings   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   586 Globally Enabling or Disabling the PIM Feature.   .   .   .   .   .   .   .   .   .   .   .   586 Defining a PIM Network Component  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   586 Defining an IP Interface for PIM Use    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   586 PIM Neighbor Filters   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   587 Additional Sparse Mode Settings .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   589 Specifying the Rendezvous Point  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   589 Influencing the Designated Router Selection   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 19 Time‐to‐Live for Transmitted Information   .   .   .   .   .   .   .   .   .   .   .   .   .   .  632 Trap Notifications .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  632 Changing the LLDP Transmit State   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  633 Types of Information Transmitted .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  633 LLDP Receive Features   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  635 Types of Information Received  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  635 Viewing Remote Device Information    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  635 Time‐to‐Live for Received Information .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  637 LLDP Example Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  639 Chapter 41. Simple Network Management Protocol ..641 SNMP Version 1 & Version 2 .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  641 SNMP Version 3   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  642 © Copyright Lenovo 2017 Contents...
  • Page 20 Configuring SNMP Trap Hosts .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   644 SNMPv2 Trap Host Configuration    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   645 SNMPv3 Trap Host Configuration    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   646 SNMP MIBs  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   647 Switch Images and Configuration Files   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   655 Loading a New Switch Image    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   656 Loading a Saved Switch Configuration    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   656 Saving the Switch Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   657 Saving a Switch Dump    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   657 Chapter 42. Service Location Protocol ....659 Active DA Discovery  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 21 Trademarks   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  707 Important Notes   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  708 Recycling Information .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  709 Particulate Contamination  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  710 Telecommunication Regulatory Statement  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  711 Electronic Emission Notices   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  712 Federal Communications Commission (FCC) Statement   .   .   .   .   .   .   .   .  712 Industry Canada Class A Emission Compliance Statement  .   .   .   .   .   .   .  712 Avis de Conformité à la Réglementation dʹIndustrie Canada   .   .   .   .   .   .  712 Australia and New Zealand Class A Statement   .   .   .   .   .   .   .   .   .   .   .   .  712 European Union ‐ Compliance to the Electromagnetic Compatibility Directive Germany Class A Compliance Statement .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  713 Japan VCCI Class A Statement   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  714 Japan Electronics and Information Technology Industries Association  (JEITA) Statement .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  714 Korea Communications Commission (KCC) Statement .   .   .   .   .   .   .   .   .  715 Russia Electromagnetic Interference (EMI) Class A statement .   .   .   .   .   .   .   .  716 People’s Republic of China Class A electronic emission statement .   .   .   .   .   .  717 Taiwan Class A compliance statement .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  718 © Copyright Lenovo 2017 Contents...
  • Page 22 G8264 Application Guide for ENOS 8.4...
  • Page 23: Preface

    Preface This Application Guide describes how to configure and use the Lenovo Enterprise  Network Operating System 8.4 software on the Lenovo RackSwitch G8264 (referred  to as G8264 throughout this document). For documentation on installing the switch  physically, see the Installation Guide for your G8264. © Copyright Lenovo 2016...
  • Page 24: Who Should Use This Guide

    Who Should Use This Guide This guide is intended for network installers and system administrators engaged in  configuring and maintaining a network. The administrator should be familiar with  Ethernet concepts, IP addressing, Spanning Tree Protocol, and SNMP configuration  parameters. G8264 Application Guide for ENOS 8.4...
  • Page 25: What You'll Find In This Guide

    5, “Authentication & Authorization Protocols,” describes different  secure administration for remote administrators. This includes using Remote  Authentication Dial‐in User Service (RADIUS), as well as TACACS+ and LDAP.  Chapter 6, “802.1X Port‐Based Network Access Control,” describes how to  authenticate devices attached to a LAN port that has point‐to‐point connection  characteristics. This feature prevents access to ports that fail authentication and  authorization and provides security to ports of the G8264 that connect to blade  servers.  Chapter 7, “Access Control Lists,” describes how to use filters to permit or deny  specific types of traffic, based on a variety of source, destination, and packet  attributes.  Chapter 8, “Secure Input/Output Module,” describes which protocols can be  enabled. This feature allows secured traffic and secured authentication  management. Part 3: Switch Basics Chapter 9, “VLANs,” describes how to configure Virtual Local Area Networks   (VLANs) for creating separate network segments, including how to use VLAN  tagging for devices that use multiple VLANs. This chapter also describes  Protocol‐based VLANs, and Private VLANs.  Chapter 10, “Ports and Link Aggregation,” describes how to group multiple  physical ports together to aggregate the bandwidth between large‐scale network  devices. © Copyright Lenovo 2016 Preface...
  • Page 26  Chapter 12, “Virtual Link Aggregation Groups,” describes using Virtual Link  Aggregation Groups (VLAGs) to form LAGs spanning multiple VLAG‐capable  aggregator switches.  Chapter 11, “Spanning Tree Protocols,” discusses how Spanning Tree Protocol  (STP) configures the network so that the switch selects the most efficient path  when multiple paths exist. Covers Rapid Spanning Tree Protocol (RSTP),  Per‐VLAN Rapid Spanning Tree (PVRST), and Multiple Spanning Tree Protocol  (MSTP).  Chapter 13, “Quality of Service,” discusses Quality of Service (QoS) features,  including IP filtering using Access Control Lists (ACLs), Differentiated Services,  and IEEE 802.1p priority values.  Chapter 14, “Precision Time Protocol,” describes the configuration of PTP for  clock synchronization. Part 4: Advanced Switching Features  Chapter 15, “OpenFlow,” describes how to create an OpenFlow Switch instance  on the RackSwitch G8264.  Chapter 16, “Deployment Profiles,” describes how the G8264 can operate in  different modes for different deployment scenarios, adjusting switch capacity  levels to optimize performance for different types of networks.  Chapter 17, “Virtualization,” provides an overview of allocating resources  based on the logical needs of the data center, rather than on the strict, physical  nature of components. ...
  • Page 27 33, “Multicast Listener Discovery,” describes how Multicast Listener  Discovery (MLD) is used with IPv6 to support host users requests for multicast  data for a multicast group.  Chapter 34, “Border Gateway Protocol,” describes Border Gateway Protocol  (BGP) concepts and features supported in ENOS.  Chapter 35, “Open Shortest Path First,” describes key Open Shortest Path First  (OSPF) concepts and their implemented in ENOS, and provides examples of  how to configure your switch for OSPF support.  Chapter 36, “Protocol Independent Multicast,” describes how multicast routing  can be efficiently accomplished using the Protocol Independent Multicast (PIM)  feature. Part 6: High Availability Fundamentals  Chapter 37, “Basic Redundancy,” describes how the G8264 supports  redundancy through stacking, LAGs, and hotlinks.  Chapter 38, “Layer 2 Failover,” describes how the G8264 supports  high‐availability network topologies using Layer 2 Failover.  Chapter 39, “Virtual Router Redundancy Protocol,” describes how the G8264  supports high‐availability network topologies using Virtual Router Redundancy  Protocol (VRRP). © Copyright Lenovo 2016 Preface...
  • Page 28  (SLP) that allows the switch to provide dynamic directory services. Chapter 43, “NETCONF,” describes how to manage the G8264 using Network   Configuration Protocol (NETCONF), a mechanism based on the Extensible  Markup Language (XML). Part 8: Monitoring  Chapter 44, “Remote Monitoring,” describes how to configure the RMON agent  on the switch, so that the switch can exchange network monitoring data. Chapter 45, “sFlow, described how to use the embedded sFlow agent for   sampling network traffic and providing continuous monitoring information to a  central sFlow analyzer.  Chapter 46, “Port Mirroring,” discusses tools how copy selected port traffic to a  monitor port for network analysis. Part 9: Appendices Appendix A, “Glossary,” describes common terms and concepts used   throughout this guide. Appendix A, “Getting help and technical assistance,” provides details on where   to go for additional information about Lenovo and Lenovo products.  Appendix B, “Notices,” contains safety and environmental notices. G8264 Application Guide for ENOS 8.4...
  • Page 29: Additional References

    Additional References Additional information about installing and configuring the G8264 is available in  the following guides:  Lenovo RackSwitch G8264 Installation Guide Lenovo RackSwitch G8264 ISCLI Command Reference for Lenovo Enterprise Network   Operating System 8.4  Lenovo RackSwitch G8264 Release Notes for Lenovo Enterprise Network Operating  System 8.4 © Copyright Lenovo 2016 Preface...
  • Page 30: Typographic Conventions

    Typographic Conventions The following table describes the typographic styles used in this book. Table 1. Typographic Conventions Typeface or Meaning Example Symbol ABC123 This type is used for names of  View the readme.txt file. commands, files, and directories  used within the text. Main# It also depicts on‐screen computer  output and prompts. ABC123 Main# sys This bold type appears in  command examples. It shows text  that must be typed in exactly as  shown. <ABC123> This italicized type appears in  To establish a Telnet session,  command examples as a  enter: host# telnet <IP address> parameter placeholder. Replace  the indicated text with the  appropriate real name or value  when using the command. Do not  type the brackets. This also shows book titles,  Read your User’s Guide  special terms, or words to be  thoroughly.
  • Page 31: Part 1: Getting Started

    Part 1: Getting Started © Copyright Lenovo 2016...
  • Page 32 G8264 Application Guide for ENOS 8.4...
  • Page 33: Chapter 1. Switch Administration

    Chapter 1. Switch Administration Your RackSwitch G8264 (G8264) is ready to perform basic switching functions  right out of the box. Some of the more advanced features, however, require some  administrative configuration before they can be used effectively. The extensive Lenovo Enterprise Network Operating System switching software  included in the G8264 provides a variety of options for accessing the switch to  perform configuration, and to view switch information and statistics. This chapter discusses the various methods that can be used to administer the  switch. © Copyright Lenovo 2016...
  • Page 34: Administration Interfaces

    Enterprise NOS provides a variety of user‐interfaces for administration. These  interfaces vary in character and in the methods used to access them: some are  text‐based, and some are graphical; some are available by default, and some  require configuration; some can be accessed by local connection to the switch, and  others are accessed remotely using various client applications. For example,  administration can be performed using any of the following:  A built‐in, text‐based command‐line interface and menu system for access via  serial‐port connection or an optional Telnet or SSH session  The built‐in Browser‐Based Interface (BBI) available using a standard  web‐browser  SNMP support for access through network management software such as IBM  Director or HP OpenView The specific interface chosen for an administrative session depends on user  preferences, as well as the switch configuration and the available client tools. In all cases, administration requires that the switch hardware is properly installed  and turned on. (see the Lenovo RackSwitch G8264 Installation Guide). Command Line Interface The Industry Standard Command Line Interface (ISCLI) provides a simple, direct  method for switch administration. Using a basic terminal, you can issue  commands that allow you to view detailed information and statistics about the  switch, and to perform any necessary configuration and switch software  maintenance. You can establish a connection to the ISCLI in any of the following ways: Serial connection via the serial port on the G8264 (this option is always available)   Telnet connection over the network  SSH connection over the network G8264 Application Guide for ENOS 8.4...
  • Page 35: Establishing A Connection

    1. Log onto the switch.  2. Enter Global Configuration mode.   RS G8264> enable RS G8264# configure terminal 3. Configure a management IP address and mask: RS G8264(config)# interface ip 128 RS G8264(config­ip­if)# ip address <management interface IPv4 address> RS G8264(config­ip­if)# ip netmask <IPv4 subnet mask> RS G8264(config­ip­if)# enable RS G8264(config­ip­if)# exit 4. Configure the appropriate default gateway. IP gateway 4 is required for IF 128.  RS G8264(config)# ip gateway 4 address <default gateway IPv4 address> RS G8264(config)# ip gateway 4 enable © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 36: Using The Switch Data Ports

    Once you configure a management IP address for your switch, you can connect to  a management port and use the Telnet program from an external management  station to access and control the switch. The management port provides out‐of‐band  management.  Using the Switch Data Ports You also can configure in‐band management through any of the switch data ports.  To allow in‐band management, use the following procedure:  1. Log on to the switch.  2. Enter IP interface mode.   RS G8264> enable RS G8264# configure terminal RS G8264(config)# interface ip <IP interface number> Note: Interface 128 is reserved for out‐of‐band management (see “Using the  Switch Management Ports” on page 35). 3. Configure the management IP interface/mask. IPv4:  RS G8264(config­ip­if)# ip address <management interface IPv4 address> RS G8264(config­ip­if)# ip netmask <IPv4 subnet mask> IPv6:  RS G8264(config­ip­if)# ipv6 address <management interface IPv6 address> RS G8264(config­ip­if)# ipv6 prefixlen <IPv6 prefix length> 4. Configure the VLAN, and enable the interface.  RS G8264(config­ip­if)# vlan 1 RS G8264(config­ip­if)# enable RS G8264(config­ip­if)# exit...
  • Page 37: Using Telnet

    SNMP‐based network management system or a Web browser. For more information, see the documents listed in “Additional References” on  page 29.  Using Telnet A Telnet connection offers the convenience of accessing the switch from a  workstation connected to the network. Telnet access provides the same options for  user and administrator access as those available through the console port. By default, Telnet access is enabled. Use the following commands to disable or  re‐enable Telnet access:   RS G8264(config)# [no] access telnet enable Once the switch is configured with an IP address and gateway, you can use Telnet  to access switch administration from any workstation connected to the  management network. To establish a Telnet connection with the switch, run the Telnet program on your  workstation and issue the following Telnet command: telnet <switch IPv4 or IPv6 address>  You will then be prompted to enter a password as explained “Switch Login Levels”  on page Two attempts are allowed to log in to the switch. After the second unsuccessful  attempt, the Telnet client is disconnected via TCP session closure. Using Secure Shell Although a remote network administrator can manage the configuration of a  G8264 via Telnet, this method does not provide a secure connection. The Secure  Shell (SSH) protocol enables you to securely log into another device over a network  © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 38: Using Ssh With Password Authentication

    The supported SSH encryption and authentication methods are:  Server Host Authentication: Client RSA‐authenticates the switch when starting  each connection  Key Exchange: ecdh‐sha2‐nistp521, ecdh‐sha2‐nistp384, ecdh‐sha2‐nistp256,  ecdh‐sha2‐nistp224, ecdh‐sha2‐nistp192, rsa2048‐sha256, rsa1024‐sha1,  diffie‐hellman‐group‐exchange‐sha256, diffie‐hellman‐group‐exchange‐sha1,  diffie‐hellman‐group14‐sha1, diffie‐hellman‐group1‐sha1  Encryption: aes128‐ctr, aes128‐cbc, rijndael128‐cbc, blowfish‐cbc,3des‐cbc,  arcfour256, arcfour128, arcfour  MAC: hmac‐sha1, hmac‐sha1‐96, hmac‐md5, hmac‐md5‐96 User Authentication: Local password authentication, public key authentication,   RADIUS, TACACS+ Lenovo Enterprise Network Operating System implements the SSH version 2.0  standard and is confirmed to work with SSH version 2.0‐compliant clients such as  the following:  OpenSSH_5.4p1 for Linux Secure CRT Version 5.0.2 (build 1021)   Putty SSH release 0.60  Using SSH with Password Authentication By default, the SSH feature is disabled. Once the IP parameters are configured and  the SSH service is enabled, you can access the command line interface using an  SSH connection. To establish an SSH connection with the switch, run the SSH program on your  workstation by issuing the SSH command, followed by the switch IPv4 or IPv6  address: # ssh <switch IP address> You will then be prompted to enter a password as explained “Switch Login Levels” ...
  • Page 39: Using Ssh With Public Key Authentication

    To set up public key authentication: 1. Enable SSH: RS G8264(config)# ssh enable 2. Import the public key file using SFTP or TFTP for the admin user account:: RS G8264(config)# copy {sftp|tftp} public­key Port type ["DATA"/"MGT"]: mgt Address or name of remote host: 9.43.101.151 Source file name: 11.key Username of the public key: admin Confirm download operation (y/n) ? y Notes: When prompted to input a username, a valid user account name must be   entered. If no username is entered, the key is stored on the switch, and can be  assigned to a user account later.  A user account can have up to 100 public keys set up on the switch. 3. Configure a maximum number of 3 failed public key authentication attempts  before the system reverts to password‐based authentication: RS G8264(config)# ssh maxauthattempts 3 Once the public key is configured on the switch, the client can use SSH to login  from a system where the private key pair is set up: # ssh <switch IP address> © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 40: Using A Web Browser

    Using a Web Browser The switch provides a Browser‐Based Interface (BBI) for accessing the common  configuration, management, and operation features of the G8264 through your  Web browser. By default, BBI access via HTTP is enabled on the switch. You can also access the BBI directly from an open Web browser window. Enter the  URL using the IP address of the switch interface (for example, http://<IPv4 or  IPv6 address>). Configuring HTTP Access to the BBI By default, BBI access via HTTP is enabled on the switch. To disable or re‐enable HTTP access to the switch BBI, use the following  commands: (Enable HTTP access) RS G8264(config)# access http enable ‐or‐ (Disable HTTP access) RS G8264(config)# no access http enable The default HTTP web server port to access the BBI is port 80. However, you can  change the default Web server port with the following command:   RS G8264(config)# access http port <TCP port number>  To access the BBI from a workstation, open a Web browser window and type in the  URL using the IP address of the switch interface (for example, http://<IPv4 or  IPv6 address>). Configuring HTTPS Access to the BBI The BBI can also be accessed via a secure HTTPS connection over management and ...
  • Page 41: Browser-Based Interface Summary

    Browser-Based Interface Summary The BBI is organized at a high level as follows: Context buttons—These buttons allow you to select the type of action you wish to  perform. The Configuration button provides access to the configuration elements  for the entire switch. The Statistics button provides access to the switch statistics  and state information. The Dashboard button allows you to display the settings and  operating status of a variety of switch features. Navigation Window—Provides a menu of switch features and functions:   System—Provides access to the configuration elements for the entire switch. Switch Ports—Configure each of the physical ports on the switch.   Port‐Based Port Mirroring—Configure port mirroring behavior. Layer 2—Configure Layer 2 features for the switch.   RMON Menu—Configure Remote Monitoring features for the switch. Layer 3—Configure Layer 3 features for the switch.   QoS—Configure Quality of Service features for the switch. Access Control—Configure Access Control Lists to filter IP packets.   CEEConfigure Converged Enhanced Ethernet (CEE). FCoEConfigure FibreChannel over Ethernet (FCoE).   Virtualization—Configure vNICs and VMready for virtual machines (VMs). © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 42  Dove Gateway – Configure Distributed Overlay Virtual Ethernet. G8264 Application Guide for ENOS 8.4...
  • Page 43: Using Simple Network Management Protocol

    RS G8264(config)# snmp­server read­community <1‐32 characters> ‐and‐ RS G8264(config)# snmp­server write­community <1‐32 characters> The SNMP manager must be able to reach any one of the IP interfaces on the  switch. For the SNMP manager to receive the SNMPv1 traps sent out by the SNMP agent  on the switch, configure the trap host on the switch with the following commands:   RS G8264(config)# snmp­server trap­source <trap source IP interface> RS G8264(config)# snmp­server host <IPv4 address> <trap host community string> To restrict SNMP access to specific IPv4 subnets, use the following commands: RS G8264(config)# access management­network <IPv4 address> <subnet mask> snmp­ro ‐and‐ RS G8264(config)# access management­network <IPv4 address> <subnet mask> snmp­rw For IPv6 networks, use: RS G8264(config)# access management­network6 <IPv6 address> <IPv6 prefix length>  snmp­ro ‐and‐ RS G8264(config)# access management­network6 <IPv6 address> <IPv6 prefix length>  snmp­rw Note: Subnets allowed for SNMP read‐only access must not overlap with subnets  allowed for SNMP read‐write access. For more information on SNMP usage and configuration, see Chapter 41, “Simple  Network Management Protocol.” © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 44: Bootp/Dhcp Client Ip Address Services

    BOOTP/DHCP Client IP Address Services For remote switch administration, the client terminal device must have a valid IP  address on the same network as a switch interface. The IP address on the client  device may be configured manually, or obtained automatically using IPv6 stateless  address configuration, or an IPv4 address may obtained automatically via BOOTP  or DHCP relay as discussed in the next section. The G8264 can function as a relay agent for Bootstrap Protocol (BOOTP) or DHCP.  This allows clients to be assigned an IPv4 address for a finite lease period,  reassigning freed addresses later to other clients. Acting as a relay agent, the switch can forward a client’s IPv4 address request to up  to five BOOTP/DHCP servers. In addition to the five global BOOTP/DHCP servers,  up to five domain‐specific BOOTP/DHCP servers can be configured for each of up  to 10 VLANs. When a switch receives a BOOTP/DHCP request from a client seeking an IPv4  address, the switch acts as a proxy for the client. The request is forwarded as a UDP  Unicast MAC layer message to the BOOTP/DHCP servers configured for the  client’s VLAN, or to the global BOOTP/DHCP servers if no domain‐specific  BOOTP/DHCP servers are configured for the client’s VLAN. The servers respond  to the switch with a Unicast reply that contains the IPv4 default gateway and the  IPv4 address for the client. The switch then forwards this reply back to the client. DHCP is described in RFC 2131, and the DHCP relay agent supported on the  G8264 is described in RFC 1542. DHCP uses UDP as its transport protocol. The  client sends messages to the server on port 67 and the server sends messages to the  client on port 68. BOOTP and DHCP relay are collectively configured using the BOOTP commands  and menus on the G8264. DHCP Host Name Configuration The G8264 supports DHCP host name configuration as described in RFC 2132,  option 12. DHCP host name configuration is enabled by default. Host name can be manually configured using the following command:  RS G8264(config)# hostname <name> If the host name is manually configured, the switch does not replace it with the ...
  • Page 45: Dhcp Syslog Server

    Global BOOTP Relay Agent Configuration To enable the G8264 to be a BOOTP (or DHCP) forwarder, enable the BOOTP relay  feature, configure up to four global BOOTP server IPv4 addresses on the switch,  and enable BOOTP relay on the interface(s) on which the client requests are  expected. Generally, it is best to configure BOOTP for the switch IP interface that is closest to  the client, so that the BOOTP server knows from which IPv4 subnet the newly  allocated IPv4 address will come. In the G8264 implementation, there are no primary or secondary BOOTP servers.  The client request is forwarded to all the global BOOTP servers configured on the  switch (if no domain‐specific servers are configured). The use of multiple servers  provides failover redundancy. However, no health checking is supported. 1. Use the following commands to configure global BOOTP relay servers:   RS G8264(config)# ip bootp­relay enable RS G8264(config)# ip bootp­relay server <1‐5> address <IPv4 address> 2. Enable BOOTP relay on the appropriate IP interfaces. BOOTP/DHCP Relay functionality may be assigned on a per‐interface basis using  the following commands:   RS G8264(config)# interface ip <interface number> RS G8264(config­ip­if)# relay RS G8264(config­ip­if)# exit © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 46: Domain-Specific Bootp Relay Agent Configuration

    Domain-Specific BOOTP Relay Agent Configuration Use the following commands to configure up to five domain‐specific BOOTP relay  agents for each of up to 10 VLANs:   RS G8264(config)# ip bootp­relay bcast­domain <1‐10> vlan <VLAN number> RS G8264(config)# ip bootp­relay bcast­domain <1‐10> server <1‐5> address  <IPv4 address> RS G8264(config)# ip bootp­relay bcast­domain <1‐10> enable As with global relay agent servers, domain‐specific BOOTP/DHCP functionality  may be assigned on a per‐interface basis (see Step 2 in page 45). DHCP Option 82 DHCP Option 82 provides a mechanism for generating IP addresses based on the  client device’s location in the network. When you enable the DHCP relay agent  option on the switch, it inserts the relay agent information option 82 in the packet,  and sends a unicast BOOTP request packet to the DHCP server. The DHCP server  uses the option 82 field to assign an IP address, and sends the packet, with the  original option 82 field included, back to the relay agent. DHCP relay agent strips  off the option 82 field in the packet and sends the packet to the DHCP client. Configuration of this feature is optional. The feature helps resolve several issues  where untrusted hosts access the network. See RFC 3046 for details. Use the following commands to configure DHCP Option 82: RS G8264(config)# ip bootp­relay information enable       (Enable Option 82) RS G8264(config)# ip bootp­relay enable                   (Enable DHCP relay) RS G8264(config)# ip bootp­relay server <1‐5> address <IP address> DHCP Snooping DHCP snooping provides security by filtering untrusted DHCP packets and by  building and maintaining a DHCP snooping binding table. This feature is ...
  • Page 47 Following is an example of DHCP snooping configuration, where the DHCP server  and client are in VLAN 100, and the server connects using port 24.  RS G8264(config)# ip dhcp snooping vlan 100 RS G8264(config)# ip dhcp snooping RS G8264(config)# interface port 24 RS G8264(config­if)# ip dhcp snooping trust(Optional; Set port as trusted) RS G8264(config­if)# ip dhcp snooping information option­insert (Optional; add DHCP option 82) RS G8264(config­if)# ip dhcp snooping limit rate 100  (Optional; Set DHCP packet rate) © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 48: Easy Connect Wizard

    Easy Connect Wizard Lenovo EasyConnect (EZC) is a feature designed to simplify switch configuration.  A set of predefined configurations can be applied on the switch via ISCLI. By  launching the EZC Wizard, you are prompted for a minimal set of input and the  tool automatically customizes the switch software. The EZC Wizard allows you to choose one of the following configuration modes: Basic System mode supports settings for hostname, static management port IP,   netmask, and gateway.  Transparent mode collects server and uplink port settings. vNIC groups are  used to define the loop free domains. Note: You can either accept the static defaults or enter a different port list for  uplink and/or server ports.  Redundant mode refers to VLAG settings. The EZC configuration will be applied immediately. Any existing configuration  will be deleted, the current active or running configuration will not be merged or  appended to the EZC configuration. For any custom settings that are not included in the predefined configuration sets,  the user has to do it manually. Notes:  EZC is not available in stacking mode.  To support scripting, the feature also has a single‐line format. For more  information, please refer to Lenovo Networking ISCLI Reference Guide. Configuring the Easy Connect Wizard To launch the EZC Wizard, use the following command:  RS G8264# easyconnect The wizard displays the available predefined configuration modes. You are  prompted to select one of the following options: ...
  • Page 49: Basic System Mode Configuration Example

            Gateway: 10.241.13.1 Confirm erasing current config to re­configure Easy Connect (yes/no)? Note: You can either accept the default values or enter new parameters. Transparent Mode Configuration Example This example shows the parameters available for configuration in Transparent  mode: RS G8264# #easyconnect  Configure Transparent mode (yes/no)? y Select Uplink Ports (Static Defaults:  17­24)?  The following Uplink ports will be enabled:         Uplink ports(1G/10G):  17­24 Select Server Ports (Static Defaults:  25­64)?  The following Server ports will be enabled:         Server ports(1G/10G):  25­64 Pending switch configuration:     Uplink Ports:    17­24     Server Ports:    25­64     Disabled Ports:  1,5,9,13 Confirm erasing current config to re­configure Easy Connect (yes/no)?  Notes:  If your selection for a port group contains ports of different mode or speed, the  selection is not valid and you are guided to either select other ports or change  the speed of the ports. You can either accept the static defaults or enter a different port list for uplink   and/or server ports. © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 50: Redundant Mode Configuration Example

    Redundant Mode Configuration Example This example shows the parameters available for configuration in Redundant  mode:  RS G8264# #easyconnect  Configure Switch Redundant mode (yes/no)? y Note: It is recommended to select Basic system configuration in order to  set the management IP address used for vLAG health check. Configure Basic system (yes/no)? y Configure this switch as vLAG Primary or Secondary Peer  (primary/secondary)? prim Select ISL Ports (Static Defaults:  1­16)?  The following ISL ports will be enabled:         ISL ports(40G)   :  1­16 Select vLAG TierID (Default: 101)?  Select management IP address (Current: 192.168.49.50)?  Enter management netmask (Current: 255.255.255.0)?  Select Peer IP address for vLAG healthcheck (Default: 1.1.1.2)?  Warning: vLAG healthcheck Peer IP is not reachable. Do you want to select another Peer IP (yes/no)? y Select Peer IP address for vLAG healthcheck (Default: 1.1.1.2)?  Warning: vLAG healthcheck Peer IP is not reachable. Do you want to select another Peer IP (yes/no)? n Select Uplink Ports (Static Defaults:  17­24)?  The following Uplink ports will be enabled:         Uplink ports(1G/10G):  17­24 Select Downlink Ports (Static Defaults:  25­64)?  The following Downlink ports will be enabled:         Downlink ports(1G/10G):  25­64 G8264 Application Guide for ENOS 8.4...
  • Page 51 Please enter "none" for no hostname. Enter hostname(Default: Primary VLAG)?  Please enter "none" for no gateway. Enter management gateway:(Default: 0.0.0.0)? Pending switch configuration:     vLAG switch type:   Primary     ISL Ports:          1­16     vLAG TierID:        101     vLAG Peer IP:       1.1.1.2     Uplink Ports:       17­24     Downlink Ports:     25­64     Disabled Ports:      empty     Hostname: Primary VLAG  Management interface:         IP:      192.168.49.50         Netmask: 255.255.255.0         Gateway: 0.0.0.0 Confirm erasing current config to re­configure Easy Connect (yes/no)?  Notes:   If your selection for a port group contains ports of different speed, the selection  is not valid, and you are guided to either select other ports or change the speed  of the ports.  All unused port are configured as shut down in the configuration dump.  You can either accept the static defaults or enter a different port list for ISL,  uplink, and/or downlink ports. © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 52: Switch Login Levels

    Switch Login Levels To enable better switch management and user accountability, three levels or classes  of user access have been implemented on the G8264. Levels of access to CLI, Web  management functions, and screens increase as needed to perform various switch  management tasks. Conceptually, access classes are defined as follows:   User interaction with the switch is completely passive—nothing can be changed  on the G8264. Users may display information that has no security or privacy  implications, such as switch statistics and current operational state information.  Operators can only effect temporary changes on the G8264. These changes will  be lost when the switch is rebooted/reset. Operators have access to the switch  management features used for daily switch operations. Because any changes an  operator makes are undone by a reset of the switch, operators cannot severely  impact switch operation.  Administrators are the only ones that may make permanent changes to the  switch configuration—changes that are persistent across a reboot/reset of the  switch. Administrators can access switch functions to configure and  troubleshoot problems on the G8264. Because administrators can also make  temporary (operator‐level) changes as well, they must be aware of the  interactions between temporary and permanent changes. Access to switch functions is controlled through the use of unique user names and  passwords. Once you are connected to the switch via console, remote Telnet, or  SSH, you are prompted to enter a password. The default user names/password for  each access level are listed in the following table. Note: It is recommended that you change the default switch passwords after initial  configuration and as regularly as required under your network security policies.   Table 2. User Access Levels ‐ Default Settings User Password Description and Tasks Performed Status Account user...
  • Page 53 Note: Access to each user level (except admin account) can be disabled by setting  the password to an empty value. To disable admin account, use the command  no access user administrator­enable. The Admin account can be disabled  only if there is at least one user account enabled and configured with administrator  privilege.  © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 54: Administrator Password Recovery

    Administrator Password Recovery You can follow these steps to reset the password of the admin user to the default  value: Note: Password recovery process involves reloading the switch. Make sure to save  any recent switch configuration changes before performing these steps. 1. Connect to the switch using the console port. 2. Reload the switch. 3. When the system displays Memory Test, press <Shift + B>. The Boot Management  menu appears: **** System Reset from boot iscli **** Disable the Transceivers ... Unmount the File System ... Unmounting filesystem Wait for umount to finish.Done Waiting for I2C Transactions to Finish ... U­Boot 2009.06 (Aug 21 2015 ­ 12:35:27) MPC83XX Reset Status: CPU: e300c4, MPC8378A, Rev: 2.1 at 792 MHz, CSB: 396 MHz Board: Networking OS RackSwitch G8052 I2C: ready DRAM: 1 GB Memory Test ..4. Select C ­ Change configuration block from the Boot menu by pressing C.  Then press f: Boot Menu Mode Platform: Rack Switch G8052 (version 0.0.0.1) FLASH: 256 MB PCIE0: Link Boot Management Menu         I ­ Change booting image         C ­ Change configuration block         R ­ Boot in recovery mode (xmodem download of images to recover ...
  • Page 55 Switch>ena Enable privilege granted. Switch#configure terminal Enter configuration commands, one per line. End with Ctrl/Z. Switch(config)#copy active­config running­config admin­pw­bypass Loading to current configuration. 8. Use the show run command to confirm the configuration is recovered. Set the new  admin and enable passwords. Save the running configuration to startup  configuration. Switch(config)#password Changing admin password; validation required: Enter current local admin password: Enter new admin password (max 64 characters): Re­enter new admin password: New admin password accepted. Password changed and applied, but not saved. Notifying administrator to save changes. Switch(config)#enable password ?   WORD The UNENCRYPTED (cleartext) 'enable' password Switch(config)#enable password admin1 Switch(config)#copy running­config startup­config Confirm saving to FLASH (y/n) ? y Copy running configuration to startup configuration Switch is currently set to use factory default config block on next boot. Do you want to change that to the active config block (y/n) ? y Next boot will use active config block. 9. Make sure the boot configuration‐block is active by using the show boot  configuration­block command. If it’s not active, change the boot  configuration‐block by executing the following command: Switch(config)#boot configuration­block active © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 56: Setup Vs. The Command Line

    Setup vs. the Command Line Once the administrator password is verified, you are given complete access to the  switch. If the switch is still set to its factory default configuration, you will need to  run Setup (see Chapter 2, “Initial Setup”), a utility designed to help you through  the first‐time configuration process. If the switch has already been configured, the  command line is displayed instead. G8264 Application Guide for ENOS 8.4...
  • Page 57: Idle Disconnect

    Idle Disconnect By default, the switch will disconnect your Telnet session after 10 minutes of  inactivity. This function is controlled by the idle timeout parameter, which can be  set from 0 to 60 minutes, where 0 means the session will never timeout. Use the following command to set the idle timeout value:  RS G8264(config)# system idle <0‐60> © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 58: Boot Strict Mode

    Boot Strict Mode The implementations specified in this section are compliant with National Institute  of Standards and Technology (NIST) Special Publication (SP) 800‐131A. The RackSwitch G8264 can operate in two boot modes:  Compatibility mode (default): This is the default switch boot mode. This mode  may use algorithms and key lengths that may not be allowed/acceptable by  NIST SP 800‐131A specification. This mode is useful in maintaining  compatibility with previous releases and in environments that have lesser data  security requirements.  Strict mode: Encryption algorithms, protocols, and key lengths in strict mode  are compliant with NIST SP 800‐131A specification. When in boot strict mode, the switch uses Secure Sockets Layer (SSL)/Transport  Layer Security (TLS) 1.2 protocols to ensure confidentiality of the data to and from  the switch.  Before enabling strict mode, ensure the following:  The software version on all connected switches is Enterprise NOS 8.4. The supported protocol versions and cryptographic cipher suites between   clients and servers are compatible. For example: if using SSH to connect to the  switch, ensure that the SSH client supports SSHv2 and a strong cipher suite that  is compliant with the NIST standard.  Compliant Web server certificate is installed on the switch, if using BBI. A new self‐signed certificate is generated for the switch   (RS G8264(config)# access https generate­certificate). The  new certificate is generated using 2048‐bit RSA key and SHA‐256 digest.  Protocols that are not NIST SP 800‐131A compliant must be disabled or not  used.  Only SSHv2 or higher is used.  The current configuration, if any, is saved in a location external to the switch. ...
  • Page 59 RADIUS does not comply with  Acceptable NIST SP 800‐131A specification.  When in strict mode, RADIUS is dis‐ abled. However, it can be enabled, if  required. Random Number  NIST SP 800‐90A AES CTR DRBG NIST SP 800‐90A AES CTR  Generator DRBG Secure NTP Secure NTP does not comply with  Acceptable NIST SP 800‐131A specification.  When in strict mode, secure NTP is  disabled. However, it can be  enabled, if required. SHA‐256 or higher RSA/DSA 2048 or higher SNMP SNMPv3 only SNMPv1, SNMPv2, SNMPv3 AES‐128‐CFB‐128/SHA1 DES/MD5,  AES‐128‐CFB‐128/SHA1 Note: Following algorithms are  acceptable if you choose to support  old SNMPv3 factory default users: AES‐128‐CFB/SHA1 DES/MD5 AES‐128‐CFB‐128/SHA1 © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 60 Table 3. Acceptable Protocols and Algorithms (continued) Protocol/Function Strict Mode Algorithm Compatibility Mode Algorithm SSH/SFTP  Host Key SSH‐RSA SSH‐RSA Key Exchange ECDH‐SHA2‐NISTP521 ECDH‐SHA2‐NISTP521 ECDH‐SHA2‐NISTP384 ECDH‐SHA2‐NISTP384 ECDH‐SHA2‐NISTP256 ECDH‐SHA2‐NISTP256 ECDH‐SHA2‐NISTP224 ECDH‐SHA2‐NISTP224 RSA2048‐SHA256 ECDH‐SHA2‐NISTP192 DIFFIE‐HELLMAN‐GROUP‐EXCH RSA2048‐SHA256 ANGE‐SHA256 RSA1024‐SHA1 DIFFIE‐HELLMAN‐GROUP‐EXCH DIFFIE‐HELLMAN‐GROUP‐EX ANGE‐SHA1 CHANGE‐SHA256 DIFFIE‐HELLMAN‐GROUP‐EX CHANGE‐SHA1 DIFFIE‐HELLMAN‐GROUP14‐S DIFFIE‐HELLMAN‐GROUP1‐S Encryption AES128‐CTR AES128‐CTR AES128‐CBC AES128‐CBC 3DES‐CBC...
  • Page 61: Acceptable Cipher Suites

    AES_128_ SHA1 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC012 ECDHE 3DES SHA1 SSL_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 0x0033 AES­128_ SHA1 TLS_DHE_RSA_WITH_AES_128_CBC_SHA 0x0067 AES_128_ SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 0x0016 3DES SHA1 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA 0x002F AES_128_ SHA1 TLS_RSA_WITH_AES_128_CBC_SHA 0x003C AES_128_ SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256 0x000A 3DES SHA1 SSL_RSA_WITH_3DES_EDE_CBC_SHA © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 62: Configuring Strict Mode

    Configuring Strict Mode To change the switch mode to boot strict mode, use the following command:  RS G8264(config)# [no] boot strict enable When strict mode is enabled, you will see the following message:  Warning, security strict mode limits the cryptographic algorithms used by  secure protocols on this switch. Please see the documentation for full  details, and verify that peer devices support acceptable algorithms  before enabling this mode. The mode change will take effect after  reloading the switch and the configuration will be wiped during the  reload. System will enter security strict mode with default factory  configuration at next boot up.   Do you want SNMPV3 support old default users in strict mode (y/n)? For SNMPv3 default users, see “SNMP Version 3” on page 642. When strict mode is disabled, the following message is displayed:  Warning, disabling security strict mode. The mode change will take effect  after reloading the switch. You must reboot the switch for the boot strict mode enable/disable to take effect. Configuring No-Prompt Mode If you expect to administer the switch using SNSC or another browser‐based  interface, you need to turn off confirmation prompts. To accomplish this, use the  command:  RS G8264(config)# [no] terminal dont­ask In no‐prompt mode, confirmation prompts are disabled for this and future  sessions. SSL/TLS Version Limitation Each of the following successive encryption protocol versions provide more  security and less compatibility: SSLv3, TLS1.0, TLS1.1, TLS1.2. When negotiating  the encryption protocol during the SSL handshake, the switch will accept, by  default, the latest (and most secure) protocol version supported by the client  equipment. To enforce a minimal level of security acceptable for the connections,  use the following command: RS G8264(config)# ssl minimum­version {ssl|tls10|tls11|tls12} Limitations In Enterprise NOS 8.4, consider the following limitation/restrictions if you need to ...
  • Page 63  Power ITEs and High‐Availability features do not comply with NIST SP  800‐131A specification.  The G8264 will not discover Platform agents/Common agents that are not in  strict mode. Web browsers that do not use TLS 1.2 cannot be used.   Limited functions of the switch managing Windows will be available. © Copyright Lenovo 2016 Chapter 1: Switch Administration...
  • Page 64: Scripting

    Scripting You can create and execute local Python script on switches to create small  programs that allow the switch to automatically provision itself, perform fault  monitoring, upgrade the image files, or auto‐generate configuration file. You can  use local scripts as a key part of your auto‐provisioning solutions. You can also  manage scripts on the Lenovo RackSwitch G8264. You can implement version control systems, automatically generate alerts, create  custom logging tools, and automate management of network devices. Using  Python scripts, you can perform many functions that can be performed through  the CLI. In addition to configuration, you can notify users by sending email or  updating the SYSLOG.  See the Lenovo Enterprise Network Operating System Python Programming Guide for the  Lenovo RackSwitch G8264 for details on how to create and execute Python scripts.  G8264 Application Guide for ENOS 8.4...
  • Page 65: Chapter 2. Initial Setup

    Chapter 2. Initial Setup To help with the initial process of configuring your switch, the Lenovo Enterprise  Network Operating System software includes a Setup utility. The Setup utility  prompts you step‐by‐step to enter all the necessary information for basic  configuration of the switch. Setup can be activated manually from the command line interface any time after  login. © Copyright Lenovo 2016...
  • Page 66: Information Needed For Setup

    Information Needed for Setup Setup requests the following information:  Basic system information Date & time  Whether to use Spanning Tree Group or not   Optional configuration for each port Speed, duplex, flow control, and negotiation mode (as appropriate)  Whether to use VLAN trunk mode/tagging or not (as appropriate)  Optional configuration for each VLAN  Name of VLAN  Which ports are included in the VLAN   Optional configuration of IP parameters IP address/mask and VLAN for each IP interface  IP addresses for default gateway  Whether IP forwarding is enabled or not  G8264 Application Guide for ENOS 8.4...
  • Page 67: Default Setup Options

    Default Setup Options You need to run the Setup utility to change the factory default settings. To  accomplish this: 1. Connect to the switch. After connecting, the login prompt appears. Enter Password: 2. Enter admin as the default administrator password. 3. Start the Setup utility: RS G8264# setup Follow the instructions provided by the Setup utility. © Copyright Lenovo 2016 Chapter 2: Initial Setup...
  • Page 68: Setting The Management Interface Default Ip Address

    Setting the Management Interface Default IP Address To facilitate switch boot up, the in‐band and out‐of‐band management interfaces  are configured with factory default IP addresses. These are as follows:  VLAN 1/ Interface 1: 192.168.49.50/24 Out‐of‐band Management Port 1: 192.168.50.50/24  If you configure static IP addresses or if DHCP/BOOTP addresses are assigned to  these interfaces, the factory default IP addresses will not be applied. By default,  DHCP and BOOTP are enabled on the management interfaces. If you add interface 1 to another VLAN and do not configure any IP address, the  factory default IP address will be automatically assigned to the interface.  We recommend that you disable the factory default IP address configuration after  the switch boot up and configuration is complete. Use the following command:   RS G8264(config)# no system default-ip [data|mgt] G8264 Application Guide for ENOS 8.4...
  • Page 69: Stopping And Restarting Setup Manually

    Stopping and Restarting Setup Manually Follow these instructions to manually stop and start the Setup utility. Stopping Setup To abort the Setup utility, press <Ctrl‐C> during any Setup question. When you  abort Setup, the system will prompt: Would you like to run from top again? [y/n] Enter n to abort Setup, or y to restart the Setup program at the beginning. Restarting Setup You can restart the Setup utility manually at any time by entering the following  command at the administrator prompt: RS G8264(config)# setup © Copyright Lenovo 2016 Chapter 2: Initial Setup...
  • Page 70: Setup Part 1: Basic System Configuration

    Setup Part 1: Basic System Configuration When Setup is started, the system prompts: "Set Up" will walk you through the configuration of   System Date and Time, Spanning Tree, Port Speed/Mode,   VLANs, and IP interfaces. [type Ctrl­C to abort "Set Up"] 1. Enter y if you will be configuring VLANs. Otherwise enter n. If you decide not to configure VLANs during this session, you can configure them  later using the configuration menus, or by restarting the Setup facility. For more  information on configuring VLANs, see the Lenovo Enterprise Network Operating  System Application Guide.  Next, the Setup utility prompts you to input basic system information. 2. Enter the year of the current date at the prompt: System Date: Enter year [2009]: Enter the four‐digits that represent the year. To keep the current year, press  <Enter>. 3. Enter the month of the current system date at the prompt: System Date: Enter month [1]: Enter the month as a number from 1 to 12. To keep the current month, press  <Enter>. 4. Enter the day of the current date at the prompt: Enter day [3]: Enter the date as a number from 1 to 31. To keep the current day, press <Enter>. The system displays the date and time settings: System clock set to 18:55:36 Wed Jan 28, 2009. 5. Enter the hour of the current system time at the prompt: System Time: Enter hour in 24­hour format [18]: Enter the hour as a number from 00 to 23. To keep the current hour, press <Enter>.
  • Page 71 Enter the minute as a number from 00 to 59. To keep the current minute, press  <Enter>. 7. Enter the seconds of the current time at the prompt: Enter seconds [37]: Enter the seconds as a number from 00 to 59. To keep the current second, press  <Enter>. The system then displays the date and time settings: System clock set to 8:55:36 Wed Jan 28, 2009. 8. Turn Spanning Tree Protocol on or off at the prompt: Spanning Tree: Current Spanning Tree Group 1 setting: ON Turn Spanning Tree Group 1 OFF? [y/n] Enter y to turn off Spanning Tree, or enter n to leave Spanning Tree on. © Copyright Lenovo 2016 Chapter 2: Initial Setup...
  • Page 72: Setup Part 2: Port Configuration

    Setup Part 2: Port Configuration Note: When configuring port options for your switch, some prompts and options  may be different.  1. Select whether you will configure VLANs and VLAN trunk mode/tagging for  ports:   Port Config: Will you configure VLANs and VLAN Tagging/Trunk­Mode for ports? [y/n] If you wish to change settings for VLANs, enter y, or enter n to skip VLAN  configuration.  Note: The sample screens that appear in this document might differ slightly from  the screens displayed by your system. Screen content varies based on the firmware  versions and options that are installed. 2. Select the port to configure, or skip port configuration at the prompt:  If you wish to change settings for individual ports, enter the number of the port  you wish to configure. To skip port configuration, press <Enter> without specifying  any port and go to “Setup Part 3: VLANs” on page 74.  3. Configure Gigabit Ethernet port flow parameters. The system prompts: Gig Link Configuration: Port Flow Control: Current Port EXT1 flow control setting:    both Enter new value ["rx"/"tx"/"both"/"none"]: Enter rx to enable receive flow control, tx for transmit flow control, both to  enable both, or none to turn flow control off for the port. To keep the current  setting, press <Enter>. 4. Configure Gigabit Ethernet port autonegotiation mode.  If you selected a port that has a Gigabit Ethernet connector, the system prompts: Port Auto Negotiation: Current Port autonegotiation:         on Enter new value ["on"/"off"]: Enter on to enable port autonegotiation, off to disable it, or press <Enter> to keep ...
  • Page 73 Enter d to disable VLAN trunk mode/tagging for the port or enter e to enable  VLAN tagging for the port. To keep the current setting, press <Enter>. 6. The system prompts you to configure the next port:  Enter port (1­64): When you are through configuring ports, press <Enter> without specifying any  port. Otherwise, repeat the steps in this section. © Copyright Lenovo 2016 Chapter 2: Initial Setup...
  • Page 74: Setup Part 3: Vlans

    Setup Part 3: VLANs If you chose to skip VLANs configuration back in Part 2, skip to “Setup Part 4: IP  Configuration” on page 1. Select the VLAN to configure, or skip VLAN configuration at the prompt: VLAN Config: Enter VLAN number from 2 to 4094, NULL at end: If you wish to change settings for individual VLANs, enter the number of the  VLAN you wish to configure. To skip VLAN configuration, press <Enter> without  typing a VLAN number and go to “Setup Part 4: IP Configuration” on page 2. Enter the new VLAN name at the prompt: Current VLAN name: VLAN 2 Enter new VLAN name: Entering a new VLAN name is optional. To use the pending new VLAN name,  press <Enter>.  3. Enter the VLAN port numbers:  Define Ports in VLAN: Current VLAN 2:  empty Enter ports one per line, NULL at end: Enter each port, by port number or port alias, and confirm placement of the port  into this VLAN. When you are finished adding ports to this VLAN, press <Enter>  without specifying any port.  4. Configure Spanning Tree Group membership for the VLAN:  Spanning Tree Group membership: Enter new Spanning Tree Group index [1­255]: 5. The system prompts you to configure the next VLAN:  VLAN Config: Enter VLAN number from 2 to 4094, NULL at end: Repeat the steps in this section until all VLANs have been configured. When all  VLANs have been configured, press <Enter> without specifying any VLAN.  G8264 Application Guide for ENOS 8.4...
  • Page 75: Setup Part 4: Ip Configuration

    Up to 126 IP interfaces can be configured on the RackSwitch G8264 (G8264). The IP  address assigned to each IP interface provides the switch with an IP presence on  your network. No two IP interfaces can be on the same IP network. The interfaces  can be used for connecting to the switch for remote configuration, and for routing  between subnets and VLANs (if used). Note: IP interface 128 is reserved for out‐of‐band switch management. 1. Select the IP interface to configure, or skip interface configuration at the prompt: IP Config: IP interfaces: Enter interface number: (1­126)  If you wish to configure individual IP interfaces, enter the number of the IP  interface you wish to configure. To skip IP interface configuration, press <Enter>  without typing an interface number and go to “Default Gateways” on page 77.  2. For the specified IP interface, enter the IP address in IPv4 dotted decimal notation: Current IP address:     0.0.0.0 Enter new IP address: To keep the current setting, press <Enter>. 3. At the prompt, enter the IPv4 subnet mask in dotted decimal notation: Current subnet mask:            0.0.0.0 Enter new subnet mask: To keep the current setting, press <Enter>.If configuring VLANs, specify a VLAN  for the interface. The following prompt appears if you selected to configure VLANs back in Part 1: Current VLAN:     1 Enter new VLAN [1­4094]: Enter the number for the VLAN to which the interface belongs, or press <Enter>  without specifying a VLAN number to accept the current setting. © Copyright Lenovo 2016 Chapter 2: Initial Setup...
  • Page 76: Loopback Interfaces

    4. At the prompt, enter y to enable the IP interface, or n to leave it disabled: Enable IP interface? [y/n] 5. The system prompts you to configure another interface: Enter interface number: (1­126)  Repeat the steps in this section until all IP interfaces have been configured. When  all interfaces have been configured, press <Enter> without specifying any interface  number. Loopback Interfaces A loopback interface provides an IP address, but is not otherwise associated with a  physical port or network entity. Essentially, it is a virtual interface that is perceived  as being “always available” for higher‐layer protocols to use and advertise to the  network, regardless of other connectivity. Loopback interfaces improve switch access, increase reliability, security, and  provide greater flexibility in Layer 3 network designs. They can be used for many  different purposes, but are most commonly for management IP addresses, router  IDs for various protocols, and persistent peer IDs for neighbor relationships. In Enterprise NOS 8.4, loopback interfaces have been expanded for use with  routing protocols such as OSPF, PIM, and BGP. Loopback interfaces can also be  specified as the source IP address for syslog, SNMP, RADIUS, TACACS+, NTP, and  router IDs. Loopback interfaces must be configured before they can be used in other features.  Up to five loopback interfaces are currently supported. They can be configured  using the following commands: RS G8264(config)# interface loopback <1‐5> RS G8264(config­ip­loopback)# [no] ip address <IPv4 address> <mask> enable RS G8264(config­ip­loopback)# exit Using Loopback Interfaces for Source IP Addresses The switch can use loopback interfaces to set the source IP addresses for a variety  of protocols. This assists in server security, as the server for each protocol can be ...
  • Page 77: Loopback Interface Limitations

    Loopback interfaces cannot be assigned to a VLAN. Default Gateways To set up a default gateway: 1. At the prompt, select an IP default gateway for configuration, or skip default  gateway configuration: IP default gateways: Enter default gateway number: (1­4)  Enter the number for the IP default gateway to be configured. To skip default  gateway configuration, press <Enter> without typing a gateway number and go to  “IP Routing” on page 2. At the prompt, enter the IPv4 address for the selected default gateway: Current IP address:     0.0.0.0 Enter new IP address: Enter the IPv4 address in dotted decimal notation, or press <Enter> without  specifying an address to accept the current setting. 3. At the prompt, enter y to enable the default gateway, or n to leave it disabled: Enable default gateway? [y/n] 4. The system prompts you to configure another default gateway: Enter default gateway number: (1­4)  Repeat the steps in this section until all default gateways have been configured.  When all default gateways have been configured, press <Enter> without specifying  any number.  IP Routing When IP interfaces are configured for the various IP subnets attached to your  switch, IP routing between them can be performed entirely within the switch. This  eliminates the need to send inter‐subnet communication to an external router  © Copyright Lenovo 2016 Chapter 2: Initial Setup...
  • Page 78 device. Routing on more complex networks, where subnets may not have a direct  presence on the G8264, can be accomplished through configuring static routes or  by letting the switch learn routes dynamically. This part of the Setup program prompts you to configure the various routing  parameters. At the prompt, enable or disable forwarding for IP Routing: Enable IP forwarding? [y/n] Enter y to enable IP forwarding. To disable IP forwarding, enter n. To keep the  current setting, press <Enter>. G8264 Application Guide for ENOS 8.4...
  • Page 79: Setup Part 5: Final Steps

    Setup Part 5: Final Steps 1. When prompted, decide whether to restart Setup or continue: Would you like to run from top again? [y/n] Enter y to restart the Setup utility from the beginning, or n to continue. 2. When prompted, decide whether you wish to review the configuration changes: Review the changes made? [y/n] Enter y to review the changes made during this session of the Setup utility. Enter n  to continue without reviewing the changes. We recommend that you review the  changes. 3. Next, decide whether to apply the changes at the prompt: Apply the changes? [y/n] Enter y to apply the changes, or n to continue without applying. Changes are  normally applied. 4. At the prompt, decide whether to make the changes permanent: Save changes to flash? [y/n] Enter y to save the changes to flash. Enter n to continue without saving the  changes. Changes are normally saved at this point. 5. If you do not apply or save the changes, the system prompts whether to abort them: Abort all changes? [y/n] Enter y to discard the changes. Enter n to return to the “Apply the changes?”  prompt. Note: After initial configuration is complete, it is recommended that you change  the default passwords. © Copyright Lenovo 2016 Chapter 2: Initial Setup...
  • Page 80: Optional Setup For Telnet Support

    Optional Setup for Telnet Support Note: This step is optional. Perform this procedure only if you are planning on  connecting to the G8264 through a remote Telnet connection. Telnet is enabled by default. To change the setting, use the following command:   RS G8264(config)# no access telnet  G8264 Application Guide for ENOS 8.4...
  • Page 81: Chapter 3. Switch Software Management

    Chapter 3. Switch Software Management The switch software image is the executable code running on the G8264. A version  of the image comes pre‐installed on the device. As new versions of the image are  released, you can upgrade the software running on your switch. To get the latest  version of software supported for your G8264, go to the following website: http://www.lenovo.com/support/ To determine the software version currently used on the switch, use the following  switch command:    RS G8264# show boot The typical upgrade process for the software image consists of the following steps:  Load a new software image and boot image onto an FTP, SFTP or TFTP server on  your network. Transfer the new images to your switch.    Specify the new software image as the one which will be loaded into switch  memory the next time a switch reset occurs.  Reset the switch. For instructions on the typical upgrade process using the ENOS ISCLI, USB, or BBI,  see “Loading New Software to Your Switch” on page CAUTION: Although the typical upgrade process is all that is necessary in most cases,  upgrading from (or reverting to) some versions of Lenovo Enterprise Network  Operating System requires special steps prior to or after the software installation  process. Please be sure to follow all applicable instructions in the release notes  document for the specific software release to ensure that your switch continues to  operate as expected after installing new software. © Copyright Lenovo 2016...
  • Page 82: Loading New Software To Your Switch

    Loading New Software to Your Switch The G8264 can store up to two different switch software images (called image1  and image2) as well as special boot software (called boot). When you load new  software, you must specify where it is placed: either into image1, image2, or  boot.  For example, if your active image is currently loaded into image1, you would  probably load the new image software into image2. This lets you test the new  software and reload the original active image (stored in image1), if needed.  CAUTION: When you upgrade the switch software image, always load the new boot image  and the new software image before you reset the switch. If you do not load a new  boot image, your switch might not boot properly (To recover, see “Recovering  from a Failed Software Upgrade” on page 88).  To load a new software image to your switch, you will need the following:  The image and boot software loaded on an FTP, SFTP or TFTP server on your net‐ work. Note: Be sure to download both the new boot file and the new image file.  The hostname or IP address of the FTP, SFTP or TFTP server Note: The DNS parameters must be configured if specifying hostnames. The name of the new system image.  When the software requirements are met, use one of the following procedures to  download the new software to your switch. You can use the ISCLI, USB, or the BBI  to download and activate new software. Loading Software via the ISCLI 1. In Privileged EXEC mode, enter the following command:   Router# copy {tftp|ftp|sftp} {image1|image2|boot­image} 2.
  • Page 83 5. The switch will prompt you to confirm your request. Once confirmed, the software will begin loading into the switch. 6. When loading is complete, use the following commands to enter Global  Configuration mode to select which software image (image1 or image2) you want  to run in switch memory for the next reboot:  configure terminal Router# boot image {image1|image2}  Router(config)# The system will then verify which image is set to be loaded at the next reset:     Next boot will use switch software image1 instead of image2. 7. Reboot the switch to run the new software: reload Router(config)#  The system prompts you to confirm your request. Once confirmed, the switch  will reboot to use the new software. © Copyright Lenovo 2016 Chapter 3: Switch Software Management...
  • Page 84: Loading Software Via Bbi

    Loading Software via BBI You can use the Browser‐Based Interface to load software onto the G8264. The  software image to load can reside in one of the following locations:  FTP server   TFTP server SFTP server   Local computer After you log onto the BBI, perform the following steps to load a software image:  1. Click the Configure context tab in the toolbar.  2. In the Navigation Window, select System > Config/Image Control.  The Switch Image and Configuration Management page appears. 3. If you are loading software from your computer (HTTP client), skip this step and  go to the next. Otherwise, if you are loading software from an FTP, SFTP, or TFTP  server, enter the server’s information in the FTP, SFTP, or TFTP Settings section. 4. In the Image Settings section, select the image version you want to replace (Image  for Transfer).   If you are loading software from an FTP, SFTP, or TFTP server, enter the file  name and click Get Image.  If you are loading software from your computer, click Browse.   In the File Upload Dialog, select the file and click OK. Then click Download via Browser.  Once the image has loaded, the page refreshes to show the new software. G8264 Application Guide for ENOS 8.4...
  • Page 85: Updating Software On Vlag Switches

    5. Shutdown all ports except the ISL ports and the health check port on Switch 2. Note: Do not save this configuration. 6. Reload Switch 2. Switch 1 will assume the vLAG primary role. Once Switch 2 has  rebooted, it will assume its initial role as the secondary vLAG switch. Note: Make sure that Switch 1 is now the vLAG primary switch and Switch 2 is  now the vLAG secondary switch. 7. Verify that all the vLAG clients have converged using the following command:   RS G8264> show vlag information USB Options You can insert a USB drive into the USB port on the G8264 and use it to work with  switch image and configuration files. You can boot the switch using files located on  the USB drive, or copy files to and from the USB drive. Note: USB options are not available in stacking mode. To safely remove the USB drive, first use the following command to un‐mount the  USB file system:  system usb­eject Command mode: Global configuration USB Boot USB Boot allows you to boot the switch with a software image file, boot file, or  configuration file that resides on a USB drive inserted into the USB port. Use the  following command to enable or disable USB Boot:  [no] boot usbboot enable © Copyright Lenovo 2016 Chapter 3: Switch Software Management...
  • Page 86 Command mode: Global configuration When enabled, when the switch is reset/reloaded, it checks the USB port. If a USB  drive is inserted into the port, the switch checks the root directory on the USB drive  for software and image files. If a valid file is present, the switch loads the file and  boots using the file.  Note: The following file types are supported: FAT32, NTFS (read‐only), EXT2, and  EXT3.  The following list describes the valid file names, and describes the switch behavior  when it recognizes them. The file names must be exactly as shown, or the switch  will not recognize them.  RSG8264_Boot.img  The switch replaces the current boot image with the new image, and boots with  the new image. RSG8264_OS.img  The switch boots with the new software image. The existing images are not  affected.  RSG8264_replace1_OS.img  The switch replaces the current software image1 with the new image, and boots  with the new image. RSG8264_replace1_OS.img takes precedence over  RSG8264_OS.img. RSG8264_replace2_OS.img  The switch replaces the current software image2 with the new image, and boots  with the new image. RSG8264_replace2_OS.img takes precedence over  RSG8264_OS.img. RSG8264.cfg  The switch boots with the new configuration file. The existing configuration files  (active and backup) are not affected.  RSG8264_replace.cfg  The switch replaces the active configuration file with the new file, and boots  with the new file. This file takes precedence over any other configuration files  that may be present on the USB drive.  If more than one valid file is present, the switch loads all valid files and boots with  them. For example, you may simultaneously load a new boot file, image file, and  configuration file from the USB drive. ...
  • Page 87: Usb Copy

    USB Copy If a USB drive is inserted into the USB port, you can copy files from the switch to  the USB drive, or from the USB drive to the switch. USB Copy is available only for  software image 1 and the active configuration.  Copy to USB Use the following command to copy a file from the switch to the USB drive  (Privileged EXEC mode):  usbcopy tousb <filename> {boot|image1|active|syslog|crashdump} In this example, the active configuration file is copied to a directory on the USB  drive:  G8264(config)# usbcopy tousb a_folder/myconfig.cfg active Copy from USB Use the following command to copy a file from the USB drive to the switch:  usbcopy fromusb <filename> {boot|image1|active} In this example, the active configuration file is copied from a directory on the USB  drive:  G8264(config)# usbcopy fromusb a_folder/myconfig.cfg active The new file replaces the current file.  Note: Do not use two consecutive dot characters ( .. ). Do not use a slash character  ( / )  to begin a filename.  © Copyright Lenovo 2016 Chapter 3: Switch Software Management...
  • Page 88: The Boot Management Menu

    The Boot Management Menu The Boot Management menu allows you to switch the software image, reset the  switch to factory defaults, or to recover from a failed software download.  You can interrupt the boot process and enter the Boot Management menu from the  serial console port. When the system displays Memory Test, press <Shift B>. The  Boot Management menu appears.   Resetting the System ... Memory Test ........ Boot Management Menu I ­ Change booting image C ­ Change configuration block R ­ Boot in recovery mode (tftp and xmodem download of images to recover  switch) Q ­ Reboot E ­ Exit Please choose your menu option:  Current boot image is 1. Enter image to boot: 1 or 2: 2 Booting from image 2 The Boot Management menu allows you to perform the following actions:  To change the booting image, press I and follow the screen prompts.    To change the configuration block, press C, and follow the screen prompts.  To perform a TFTP/XModem download, press R and follow the screen prompts.   To reboot the switch, press Q. The booting process restarts. To exit the Boot Management menu, press E. The booting process continues.   Recovering from a Failed Software Upgrade Use the following procedure to recover from a failed software upgrade.  1.
  • Page 89 3. To access the Boot Management menu you must interrupt the boot process from  the Console port. Boot the G8264, and when the system begins displaying Memory  Test progress (a series of dots), press <Shift B>. The boot managment menu  appears:   Resetting the System ... Memory Test ........ Boot Management Menu I ­ Change booting image C ­ Change configuration block R ­ Boot in recovery mode (tftp and xmodem download of images to recover  switch) Q ­ Reboot E ­ Exit Please choose your menu option: 4. Select R for Boot in recovery mode. The following appears:   Entering Rescue Mode. Please select one of the following options:         T) Configure networking and tftp download an image         X) Use xmodem 1K to serial download an image         R) Reboot         E) Exit  If you choose option X (Xmodem serial download), go to Step  If you choose option T (TFTP download), go to Step © Copyright Lenovo 2016 Chapter 3: Switch Software Management...
  • Page 90 5. Xmodem download: When you see the following message, change the Serial Port  characteristics to 115200 bps:   Change the baud rate to 115200 bps and hit the <ENTER> key before initiating the download. a. Press <Enter> to set the system into download accept mode. When the readiness  meter displays (a series of “C” characters), start XModem on your terminal  emulator.  b. When you see the following message, change the Serial Port characteristics to  9600 bps:  Change the baud rate back to 9600 bps, hit the <ESC> key. c. When you see the following prompt, enter the image number where you want to  install the new software and press <Enter>:  Install image as image 1 or 2 (hit return to just boot image): 1 d. The following message is displayed when the image download is complete.  Continue to step 7.  Entering Rescue Mode. Please select one of the following options:         T) Configure networking and tftp download an image         X) Use xmodem 1K to serial download an image         R) Reboot         E) Exit Option?: G8264 Application Guide for ENOS 8.4...
  • Page 91: Recovering From A Failed Boot Image

    T) Configure networking and tftp download an image X) Use xmodem 1K to serial download an image R) Reboot E) Exit 7. Image recovery is complete. Perform one of the following steps:  Press r to reboot the switch. Press e to exit the Boot Management menu   Press the Escape key (<Esc>) to re‐display the Boot Management menu. Recovering from a Failed Boot Image Use the following procedure to recover from a failed boot image upgrade. 1. Connect a PC to the serial port of the switch. 2. Open a terminal emulator program that supports Xmodem download (for  example, HyperTerminal, CRT, PuTTY) and select the following serial port  characteristics:  Speed: 9600 bps  Data Bits: 8  Stop Bits: 1 © Copyright Lenovo 2016 Chapter 3: Switch Software Management...
  • Page 92  Parity: None  Flow Control: None 3. Boot the switch and access the Boot Management menu by pressing <Shift B>  while the Memory Test is in progress and the dots are being displayed. 4. Select X for Xmodem download. The following appears:  Perform xmodem download To download an image use 1K Xmodem at 115200 bps. 5. When you see the following message, change the Serial Port characteristics to  115200 bps:  Change the baud rate to 115200 bps and hit the <ENTER> key before initiating the download. a. Press <Enter> to set the system into download accept mode. When the readiness  meter displays (a series of “C” characters), start Xmodem on your terminal  emulator.You will see a display similar to the following:  Extracting images ... Do *NOT* power cycle the switch. **** RAMDISK **** Un­Protected 38 sectors Erasing Flash......... done Erased 38 sectors Writing to Flash...9..8..7..6..5..4..3..2..1..done Protected 38 sectors **** KERNEL **** Un­Protected 24 sectors Erasing Flash...... done Erased 24 sectors Writing to Flash...9..8..7..6..5..4..3..2..1..b. When you see the following message, change the Serial Port characteristics to  9600 bps:  Change the baud rate back to 9600 bps, hit the <ESC> key. Boot image recovery is complete. G8264 Application Guide for ENOS 8.4...
  • Page 93: Part 2: Securing The Switch

    Part 2: Securing the Switch © Copyright Lenovo 2016...
  • Page 94 G8264 Application Guide for ENOS 8.4...
  • Page 95: Chapter 4. Securing Administration

    Chapter 4. Securing Administration Secure switch management is needed for environments that perform significant  management functions across the Internet. Common functions for secured  management are described in the following sections:   “Secure Shell and Secure Copy” on page 96  “End User Access Control” on page 101 Note: SNMP read and write functions are enabled by default. For best security  practices, if SNMP is not needed for your network, it is recommended that you  disable these functions prior to connecting the switch to the network (see  Chapter 41, “Simple Network Management Protocol). © Copyright Lenovo 2016...
  • Page 96: Secure Shell And Secure Copy

    Identifying the administrator using Name/Password  Authentication of remote administrators  Authorization of remote administrators  Determining the permitted actions and customizing service for individual  administrators  Encryption of management messages Encrypting messages between the remote administrator and switch   Secure copy support Lenovo Enterprise Network Operating System implements the SSH version 2.0  standard and is confirmed to work with SSH version 2.0‐compliant clients such as  the following:  OpenSSH_5.4p1 for Linux  Secure CRT Version 5.0.2 (build 1021)  Putty SSH release 0.60  Configuring SSH/SCP Features on the Switch SSH and SCP features are disabled by default. To change the SSH/SCP settings,  using the following procedures. Note: To use SCP, you must first enable SSH. To Enable or Disable the SSH Feature Begin a Telnet session from the console port and enter the following command:...
  • Page 97: To Enable Or Disable Scp Apply And Save

    Using SSH and SCP Client Commands This section shows the format for using some client commands. The following  examples use 205.178.15.157 as the IP address of a sample switch. To Log Into the Switch Syntax: >> ssh [­4|­6] <switch IP address> ‐or‐ >> ssh [­4|­6] <login name>@<switch IP address> Note: The ­4 option (the default) specifies that an IPv4 switch address will be  used. The ­6 option specifies IPv6. Example: >> ssh scpadmin@205.178.15.157 To Copy the Switch Configuration File to the SCP Host Syntax: >> scp [­4|­6] <username>@<switch IP address>:getcfg <local filename>  Example: >> scp scpadmin@205.178.15.157:getcfg ad4.cfg © Copyright Lenovo 2016 Chapter 4: Securing Administration...
  • Page 98: To Load A Switch Configuration File From The Scp Host

    To Load a Switch Configuration File from the SCP Host Syntax: >> scp [­4|­6] <local filename> <username>@<switch IP address>:putcfg Example: >> scp ad4.cfg scpadmin@205.178.15.157:putcfg To Apply and Save the Configuration When loading a configuration file to the switch, the apply and save commands  are still required for the configuration commands to take effect. The apply and  save commands may be entered manually on the switch, or by using SCP  commands. Syntax: >> scp [­4|­6] <local filename> <username>@<switch IP address>:putcfg_apply >> scp [­4|­6] <local filename> <username>@<switch IP address>:putcfg_apply_save Example: >> scp ad4.cfg scpadmin@205.178.15.157:putcfg_apply >> scp ad4.cfg scpadmin@205.178.15.157:putcfg_apply_save  The CLI diff command is automatically executed at the end of putcfg to  notify the remote client of the difference between the new and the current  configurations. putcfg_apply runs the apply command after the putcfg is done.  putcfg_apply_save saves the new configuration to the flash after   putcfg_apply is done.  The putcfg_apply and putcfg_apply_save commands are provided ...
  • Page 99: To Load Switch Configuration Files From The Scp Host

     User Authentication: Local password authentication, RADIUS Generating RSA Host Key for SSH Access To support the SSH host feature, an RSA host key is required. The host key is 2048  bits and is used to identify the G8264. To configure RSA host key, first connect to the G8264 through the console port  (commands are not available via external Telnet connection), and enter the  following command to generate it manually. RS G8264(config)# ssh generate­host­key When the switch reboots, it will retrieve the host key from the FLASH memory. Note: The switch will perform only one session of key/cipher generation at a time.  Thus, an SSH/SCP client will not be able to log in if the switch is performing key  generation at that time. Also, key generation will fail if an SSH/SCP client is  logging in at that time. SSH/SCP Integration with Radius Authentication SSH/SCP is integrated with RADIUS authentication. After the RADIUS server is  enabled on the switch, all subsequent SSH authentication requests will be  redirected to the specified RADIUS servers for authentication. The redirection is  transparent to the SSH clients. © Copyright Lenovo 2016 Chapter 4: Securing Administration...
  • Page 100: Ssh/Scp Integration With Tacacs+ Authentication

    SSH/SCP Integration with TACACS+ Authentication SSH/SCP is integrated with TACACS+ authentication. After the TACACS+ server is  enabled on the switch, all subsequent SSH authentication requests will be  redirected to the specified TACACS+ servers for authentication. The redirection is  transparent to the SSH clients. G8264 Application Guide for ENOS 8.4...
  • Page 101: End User Access Control

     override the user password on the G8264. Also note that the password change  command only modifies only the user password on the switch and has no effect  on the user password on the Radius server. Radius authentication and user  password cannot be used concurrently to access the switch.   Passwords for end users can be up to 128 characters in length for TACACS,  RADIUS, Telnet, SSH, Console, and Web access. Strong Passwords The administrator can require use of Strong Passwords for users to access the  G8264. Strong Passwords enhance security because they make password guessing  more difficult. The following rules apply when Strong Passwords are enabled:  Minimum length: 8 characters; maximum length: 64 characters  Must contain at least one uppercase alphabet  Must contain at least one lowercase alphabet  Must contain at least one number  Must contain at least one special character:  Supported special characters: ! “ # % & ‘ ( ) ; < = >> ? [\] * + , ‐ . / : ^ _ { | } ~  Cannot be same as the username When strong password is enabled, users can still access the switch using the old  password but will be advised to change to a strong password at log‐in.  Strong password requirement can be enabled using the following command:  RS G8264(config)# access user strong­password enable © Copyright Lenovo 2016 Chapter 4: Securing Administration...
  • Page 102: User Access Control

    The administrator can choose the number of days allowed before each password  expires. When a strong password expires, the user is allowed to log in one last time  (last time) to change the password. A warning provides advance notice for users to  change the password. User Access Control The end‐user access control commands allow you to configure end‐user accounts. Setting up User IDs Up to 20 user IDs can be configured. Use the following commands to define any  user name and set the user password at the resulting prompts:   RS G8264(config)# access user 1 name <1‐64 characters> RS G8264(config)# access user 1 password Changing user1 password; validation required: Enter current admin password: <current administrator password> Enter new user1 password: <new user password> Re­enter new user1 password: <new user password> New user1 password accepted.  Defining a User’s Access Level The end user is by default assigned to the user access level (also known as class of  service, or COS). COS for all user accounts have global access to all resources  except for User COS, which has access to view only resources that the user owns.  For more information, see Table 8 on page 111. To change the user’s level, select one of the following options:  RS G8264(config)# access user 1 level {user|operator|administrator}  Validating a User’s Configuration show access user uid 1 RS G8264# ...
  • Page 103: Re-Enabling Locked Accounts

    However, the above command cannot be used to re‐enable an account disabled by  the administrator.  To re‐enable all locked accounts, use the following command:  RS G8264(config)# access user strong­password clear local user lockout  Listing Current Users The following command displays defined user accounts and whether or not each  user is currently logged into the switch.  RS G8264# show access user Usernames: user     ­ Enabled ­ offline oper     ­ Disabled ­ offline admin    ­ Always Enabled ­ online 1 session Current User ID table: 1: name jane  , ena, cos user    , password valid, online 1 session 2: name john  , ena, cos user    , password valid, online 2 sessions Logging into an End User Account Once an end user account is configured and enabled, the user can login to the  switch using the username/password combination. The level of switch access is  determined by the COS established for the end user account.  © Copyright Lenovo 2016 Chapter 4: Securing Administration...
  • Page 104 G8264 Application Guide for ENOS 8.4...
  • Page 105: Chapter 5. Authentication & Authorization Protocols

    Chapter 5. Authentication & Authorization Protocols Secure switch management is needed for environments that perform significant  management functions across the Internet. The following are some of the functions  for secured IPv4 management and device access:  “RADIUS Authentication and Authorization” on page 106  “TACACS+ Authentication” on page 110  “LDAP Authentication and Authorization” on page 114 Note: Lenovo Enterprise Network Operating System 8.4 does not support IPv6 for  RADIUS, TACACS+ or LDAP. © Copyright Lenovo 2016...
  • Page 106: Radius Authentication And Authorization

    RADIUS Authentication and Authorization Enterprise NOS supports the RADIUS (Remote Authentication Dial‐in User  Service) method to authenticate and authorize remote administrators for  managing the switch. This method is based on a client/server model. The Remote  Access Server (RAS)—the switch—is a client to the back‐end database server. A  remote user (the remote administrator) interacts only with the RAS, not the  back‐end server and database.  RADIUS authentication consists of the following components:  A protocol with a frame format that utilizes UDP over IP (based on RFC 2138 and  2866) A centralized server that stores all the user authorization information   A client: in this case, the switch The G8264—acting as the RADIUS client—communicates to the RADIUS server to  authenticate and authorize a remote administrator using the protocol definitions  specified in RFC 2138 and 2866. Transactions between the client and the RADIUS  server are authenticated using a shared key that is not sent over the network. In  addition, the remote administrator passwords are sent encrypted between the  RADIUS client (the switch) and the back‐end RADIUS server. How RADIUS Authentication Works The RADIUS authentication process follows these steps: 1. A remote administrator connects to the switch and provides a user name and  password. 2. Using Authentication/Authorization protocol, the switch sends request to  authentication server. 3. The authentication server checks the request against the user ID database. 4. Using RADIUS protocol, the authentication server instructs the switch to grant or  deny administrative access. Configuring RADIUS on the Switch Use the following procedure to configure Radius authentication on your switch. ...
  • Page 107 2. Configure the RADIUS secret.   RS G8264(config)# radius­server primary­host 10.10.1.1 key  <1‐32 character secret> RS G8264(config)# radius­server secondary­host 10.10.1.2 key  <1‐32 character secret> 3. If desired, you may change the default UDP port number used to listen to RADIUS.  The well‐known port for RADIUS is 1812.  RS G8264(config)# radius­server port <UDP port number> 4. Configure the number retry attempts for contacting the RADIUS server, and the  timeout period.  RS G8264(config)# radius­server retransmit 3 RS G8264(config)# radius­server timeout 5 © Copyright Lenovo 2016 Chapter 5: Authentication & Authorization Protocols...
  • Page 108: Radius Authentication Features In Enterprise Nos

    RADIUS Authentication Features in Enterprise NOS ENOS supports the following RADIUS authentication features:  Supports RADIUS client on the switch, based on the protocol definitions in RFC  2138 and RFC 2866.  Allows RADIUS secret password up to 32 bytes and less than 16 octets. Supports secondary authentication server so that when the primary authentication   server is unreachable, the switch can send client authentication requests to the  secondary authentication server. Use the following command to show the  currently active RADIUS authentication server:     RS G8264# show radius­server  Supports user‐configurable RADIUS server retry and time‐out values: Time‐out value = 1‐10 seconds  Retries = 1‐3  The switch will time out if it does not receive a response from the RADIUS  server in 1‐3 retries. The switch will also automatically retry connecting to the  RADIUS server before it declares the server down. Supports user‐configurable RADIUS application port. The default is   1812/UDP‐based on RFC 2138. Port 1645 is also supported.  Allows network administrator to define privileges for one or more specific users  to access the switch at the RADIUS user database. Switch User Accounts The user accounts listed in Table 6 can be defined in the RADIUS server dictionary  file.   Table 6.
  • Page 109: Radius Attributes For Enterprise Nos User Privileges

     Backdoor is enabled: The switch acts like it is connecting via console. Secure backdoor is enabled: You must enter the username: noradius. The switch   checks if RADIUS server is reachable. If it is reachable, then you must  authenticate via remote authentication server. Only if RADIUS server is not  reachable, you will be prompted for local user/password to be authenticated  against these local credentials. All user privileges, other than those assigned to the Administrator, have to be  defined in the RADIUS dictionary. RADIUS attribute 6 which is built into all  RADIUS servers defines the administrator. The file name of the dictionary is  RADIUS vendor‐dependent. The following RADIUS attributes are defined for  G8264 user privileges levels:  Table 7. Enterprise NOS‐proprietary Attributes for RADIUS User Name/Access User-Service-Type Value User Vendor‐supplied Operator Vendor‐supplied Admin Vendor‐supplied  6 © Copyright Lenovo 2016 Chapter 5: Authentication & Authorization Protocols...
  • Page 110: Tacacs+ Authentication

    TACACS+ Authentication ENOS supports authentication and authorization with networks using the Cisco  Systems TACACS+ protocol. The G8264 functions as the Network Access Server  (NAS) by interacting with the remote client and initiating authentication and  authorization sessions with the TACACS+ access server. The remote user is defined  as someone requiring management access to the G8264 either through a data port  or management port.  TACACS+ offers the following advantages over RADIUS:   TACACS+ uses TCP‐based connection‐oriented transport; whereas RADIUS is  UDP‐based. TCP offers a connection‐oriented transport, while UDP offers  best‐effort delivery. RADIUS requires additional programmable variables such  as re‐transmit attempts and time‐outs to compensate for best‐effort transport,  but it lacks the level of built‐in support that a TCP transport offers.  TACACS+ offers full packet encryption whereas RADIUS offers password‐only  encryption in authentication requests.  TACACS+ separates authentication, authorization and accounting. How TACACS+ Authentication Works TACACS+ works much in the same way as RADIUS authentication as described on  page 106. 1. Remote administrator connects to the switch and provides user name and  password. 2. Using Authentication/Authorization protocol, the switch sends request to  authentication server. 3. Authentication server checks the request against the user ID database. 4. Using TACACS+ protocol, the authentication server instructs the switch to grant or  deny administrative access. During a session, if additional authorization checking is needed, the switch checks  with a TACACS+ server to determine if the user is granted permission to use a  particular command. ...
  • Page 111: Tacacs+ Authentication Features In Enterprise Nos

    9. Use the following command to set  the alternate TACACS+ authorization levels.  RS G8264(config)# tacacs­server privilege­mapping Table 9.  Alternate TACACS+ Authorization Levels ENOS User Access Level TACACS+ level user 0 ‐ 1 oper 6 ‐ 8 admin 14 ‐ 15 If the remote user is successfully authenticated by the authentication server, the  switch verifies the privileges of the remote user and authorizes the appropriate  access. The administrator has an option to allow secure backdoor access via  Telnet/SSH. Secure backdoor provides switch access when the TACACS+ servers  cannot be reached. You always can access the switch via the console port, by using  notacacs and the administrator password, whether secure backdoor is enabled  or not.  Note: To obtain the TACACS+ backdoor password for your G8264, contact  Technical Support.  © Copyright Lenovo 2016 Chapter 5: Authentication & Authorization Protocols...
  • Page 112: Accounting

    Accounting Accounting is the action of recording a userʹs activities on the device for the  purposes of billing and/or security. It follows the authentication and authorization  actions. If the authentication and authorization is not performed via TACACS+,  there are no TACACS+ accounting messages sent out. You can use TACACS+ to record and track software login access, configuration  changes, and interactive commands.  The G8264 supports the following TACACS+ accounting attributes:   protocol (console/Telnet/SSH/HTTP/HTTPS)  start_time  stop_time  elapsed_time  disc_cause Note: When using the Browser‐Based Interface, the TACACS+ Accounting Stop  records are sent only if the Logout button on the browser is clicked.  Command Authorization and Logging When TACACS+ Command Authorization is enabled, ENOS configuration  commands are sent to the TACACS+ server for authorization. Use the following  command to enable TACACS+ Command Authorization:  RS G8264(config)# tacacs­server command­authorization When TACACS+ Command Logging is enabled, ENOS configuration commands  are logged on the TACACS+ server. Use the following command to enable  TACACS+ Command Logging:  RS G8264(config)# tacacs­server command­logging The following examples illustrate the format of ENOS commands sent to the  TACACS+ server:   authorization request, cmd=shell, cmd­arg=interface ip accounting request, cmd=shell, cmd­arg=interface ip authorization request, cmd=shell, cmd­arg=enable accounting request, cmd=shell, cmd­arg=enable G8264 Application Guide for ENOS 8.4...
  • Page 113: Configuring Tacacs+ Authentication On The Switch

    Note: You can use a configured loopback address as the source address so the  TACACS+ server accepts requests only from the expected loopback address block.  Use the following command to specify the loopback interface: RS G8264(config)# ip tacacs source­interface loopback <1‐5> 2. Configure the TACACS+ secret and second secret.   RS G8264(config)# tacacs­server primary­host 10.10.1.1 key  <1‐32 character secret> RS G8264(config)# tacacs­server secondary­host 10.10.1.2 key  <1‐32 character secret> 3. If desired, you may change the default TCP port number used to listen to  TACACS+.  The well‐known port for TACACS+ is 49.   RS G8264(config)# tacacs­server port <TCP port number> 4. Configure the number of retry attempts, and the timeout period.  RS G8264(config)# tacacs­server retransmit 3 RS G8264(config)# tacacs­server timeout 5  © Copyright Lenovo 2016 Chapter 5: Authentication & Authorization Protocols...
  • Page 114: Ldap Authentication And Authorization

    LDAP Authentication and Authorization ENOS supports the LDAP (Lightweight Directory Access Protocol) method to  authenticate and authorize remote administrators to manage the switch. LDAP is  based on a client/server model. The switch acts as a client to the LDAP server. A  remote user (the remote administrator) interacts only with the switch, not the  back‐end server and database. LDAP authentication consists of the following components: A protocol with a frame format that utilizes TCP over IP   A centralized server that stores all the user authorization information A client: in this case, the switch  Each entry in the LDAP server is referenced by its Distinguished Name (DN). The  DN consists of the user‐account name concatenated with the LDAP domain name.  If the user‐account name is John, the following is an example DN: uid=John,ou=people,dc=domain,dc=com Configuring the LDAP Server G8264 user groups and user accounts must reside within the same domain. On the  LDAP server, configure the domain to include G8264 user groups and user  accounts, as follows: User Accounts:  Use the uid attribute to define each individual user account. If a custom attribute  is used to define individual users, it must also be configured on the switch. User Groups:  Use the members attribute in the groupOfNames object class to create the user  groups. The first word of the common name for each user group must be equal  to the user group names defined in the G8264, as follows: admin  oper  user ...
  • Page 115 The well‐known port for LDAP is 389. RS G8264(config)# ldap­server port <1‐65000> 4. Configure the number of retry attempts for contacting the LDAP server, and the  timeout period. RS G8264(config)# ldap­server retransmit 3 RS G8264(config)# ldap­server timeout 10  5. You may change the default LDAP attribute (uid) or add a custom attribute. For  instance, Microsoft’s Active Directory requires the cn attribute. RS G8264(config)# ldap­server attribute username <128 alpha‐numeric characters> © Copyright Lenovo 2016 Chapter 5: Authentication & Authorization Protocols...
  • Page 116 G8264 Application Guide for ENOS 8.4...
  • Page 117: Chapter 6. 802.1X Port-Based Network Access Control

    Chapter 6. 802.1X Port-Based Network Access Control Port‐Based Network Access control provides a means of authenticating and  authorizing devices attached to a LAN port that has point‐to‐point connection  characteristics. It prevents access to ports that fail authentication and  authorization. This feature provides security to ports of the RackSwitch G8264  (G8264) that connect to blade servers. The following topics are discussed in this section:  “Extensible Authentication Protocol over LAN” on page 118  “EAPoL Authentication Process” on page 119  “EAPoL Port States” on page 121  “Guest VLAN” on page 121  “Supported RADIUS Attributes” on page 122  “EAPoL Configuration Guidelines” on page 124 © Copyright Lenovo 2016...
  • Page 118: Extensible Authentication Protocol Over Lan

    Extensible Authentication Protocol over LAN Lenovo Enterprise Network Operating System can provide user‐level security for  its ports using the IEEE 802.1X protocol, which is a more secure alternative to other  methods of port‐based network access control. Any device attached to an  802.1X‐enabled port that fails authentication is prevented access to the network  and denied services offered through that port. The 802.1X standard describes port‐based network access control using Extensible  Authentication Protocol over LAN (EAPoL). EAPoL provides a means of  authenticating and authorizing devices attached to a LAN port that has  point‐to‐point connection characteristics and of preventing access to that port in  cases of authentication and authorization failures. EAPoL is a client‐server protocol that has the following components: Supplicant or Client   The Supplicant is a device that requests network access and provides the  required credentials (user name and password) to the Authenticator and the  Authenticator Server.  Authenticator  The Authenticator enforces authentication and controls access to the network.  The Authenticator grants network access based on the information provided by  the Supplicant and the response from the Authentication Server. The  Authenticator acts as an intermediary between the Supplicant and the  Authentication Server: requesting identity information from the client,  forwarding that information to the Authentication Server for validation,  relaying the server’s responses to the client, and authorizing network access  based on the results of the authentication exchange. The G8264 acts as an  Authenticator.  Authentication Server The Authentication Server validates the credentials provided by the Supplicant  to determine if the Authenticator ought to grant access to the network. The  Authentication Server may be co‐located with the Authenticator. The G8264  relies on external RADIUS servers for authentication. Upon a successful authentication of the client by the server, the 802.1X‐controlled  port transitions from unauthorized to authorized state, and the client is allowed ...
  • Page 119: Eapol Authentication Process

    802.1x Client Server EAPOL Lenovo Switch RADIUS-EAP Authenticator Ethernet (RADIUS Client) UDP/IP Port Unauthorized EAPOL-Start EAP-Request (Credentials) EAP-Response (Credentials) Radius-Access-Request Radius-Access-Challenge EAP-Request (Credentials) EAP-Response (Credentials) Radius-Access-Request Radius-Access-Accept EAP-Success Port Authorized © Copyright Lenovo 2016 Chapter 6: 802.1X Port-Based Network Access Control...
  • Page 120: Eapol Message Exchange

    EAPoL Message Exchange During authentication, EAPOL messages are exchanged between the client and the  G8264 authenticator, while RADIUS‐EAP messages are exchanged between the  G8264 authenticator and the RADIUS server. Authentication is initiated by one of the following methods:  The G8264 authenticator sends an EAP‐Request/Identity packet to the client  The client sends an EAPOL‐Start frame to the G8264 authenticator, which  responds with an EAP‐Request/Identity frame. The client confirms its identity by sending an EAP‐Response/Identity frame to the  G8264 authenticator, which forwards the frame encapsulated in a RADIUS packet  to the server. The RADIUS authentication server chooses an EAP‐supported authentication  algorithm to verify the client’s identity, and sends an EAP‐Request packet to the  client via the G8264 authenticator. The client then replies to the RADIUS server  with an EAP‐Response containing its credentials. Upon a successful authentication of the client by the server, the 802.1X‐controlled  port transitions from unauthorized to authorized state, and the client is allowed  full access to services through the controlled port. When the client later sends an  EAPOL‐Logoff message to the G8264 authenticator, the port transitions from  authorized to unauthorized state. If a client that does not support 802.1X connects to an 802.1X‐controlled port, the  G8264 authenticator requests the clientʹs identity when it detects a change in the  operational state of the port. The client does not respond to the request, and the  port remains in the unauthorized state. Note: When an 802.1X‐enabled client connects to a port that is not  802.1X‐controlled, the client initiates the authentication process by sending an  EAPOL‐Start frame. When no response is received, the client retransmits the  request for a fixed number of times. If no response is received, the client assumes  the port is in authorized state, and begins sending frames, even if the port is  unauthorized. G8264 Application Guide for ENOS 8.4...
  • Page 121: Eapol Port States

    When the client is successfully authenticated, the port transitions to the  authorized state allowing all traffic to and from the client to flow normally.  Force Unauthorized You can configure this state that denies all access to the port.  Force Authorized You can configure this state that allows full access to the port. Use the 802.1X global configuration commands (dot1x) to configure 802.1X  authentication for all ports in the switch. Use the 802.1X port commands to  configure a single port. Guest VLAN The guest VLAN provides limited access to unauthenticated ports. The guest  VLAN can be configured using the following commands: dot1x guest­vlan ? RS G8264(config)#  Client ports that have not received an EAPOL response are placed into the Guest  VLAN, if one is configured on the switch. Once the port is authenticated, it is  moved from the Guest VLAN to its configured VLAN.  When Guest VLAN enabled, the following considerations apply while a port is in  the unauthenticated state:  The port is placed in the guest VLAN.  The Port VLAN ID (PVID) is changed to the Guest VLAN ID.  Port tagging is disabled on the port. © Copyright Lenovo 2016 Chapter 6: 802.1X Port-Based Network Access Control...
  • Page 122: Supported Radius Attributes

    Supported RADIUS Attributes The 802.1X Authenticator relies on external RADIUS servers for authentication  with EAP. Table 10 lists the RADIUS attributes that are supported as part of  RADIUS‐EAP authentication based on the guidelines specified in Annex D of the  802.1X standard and RFC 3580. Table 10. Support for RADIUS Attributes # Attribute Attribute Value A-R A-A A-C A-R 1 User‐Name The value of the Type‐Data field  0‐1 from the supplicant’s  EAP‐Response/ Identity message.  If the Identity is unknown (for  example, Type‐Data field is zero  bytes in length), this attribute will  have the same value as the  Calling‐Station‐Id. 4 NAS‐IP‐Address IPv4 address of the authenticator  used for Radius communication. 5 NAS‐Port Port number of the authenticator  port to which the supplicant is  attached. 24 State Server‐specific value. This is sent ...
  • Page 123 80 Message‐ Always present whenever an  Authenticator EAP‐Message attribute is also  included. Used to  integrity‐protect a packet.  87 NAS‐Port‐ID Name assigned to the  authenticator port, e.g.  Server1_Port3 Legend: RADIUS Packet Types: A‐R (Access‐Request), A‐A (Access‐Accept),  A‐C (Access‐Challenge), A‐R (Access‐Reject) RADIUS Attribute Support:  This attribute MUST NOT be present in a packet. Zero or more instances of this attribute MAY be present in a packet.   0‐1 Zero or one instance of this attribute MAY be present in a packet. Exactly one instance of this attribute MUST be present in a packet.   One or more of these attributes MUST be present. © Copyright Lenovo 2016 Chapter 6: 802.1X Port-Based Network Access Control...
  • Page 124: Eapol Configuration Guidelines

    EAPoL Configuration Guidelines When configuring EAPoL, consider the following guidelines:  The 802.1X port‐based authentication is currently supported only in  point‐to‐point configurations, that is, with a single supplicant connected to an  802.1X‐enabled switch port.  When 802.1X is enabled, a port has to be in the authorized state before any other  Layer 2 feature can be operationally enabled. For example, the STG state of a  port is operationally disabled while the port is in the unauthorized state.  The 802.1X supplicant capability is not supported. Therefore, none of its ports  can successfully connect to an 802.1X‐enabled port of another device, such as  another switch, that acts as an authenticator, unless access control on the remote  port is disabled or is configured in forced‐authorized mode. For example, if a  G8264 is connected to another G8264, and if 802.1X is enabled on both switches,  the two connected ports must be configured in force‐authorized mode.  Unsupported 802.1X attributes include Service‐Type, Session‐Timeout, and  Termination‐Action.  RADIUS accounting service for 802.1X‐authenticated devices or users is not  currently supported.  Configuration changes performed using SNMP and the standard 802.1X MIB  will take effect immediately. G8264 Application Guide for ENOS 8.4...
  • Page 125: Chapter 7. Access Control Lists

    Chapter 7. Access Control Lists Access Control Lists (ACLs) are filters that permit or deny traffic for security  purposes. They can also be used with QoS to classify and segment traffic to  provide different levels of service to different traffic types. Each filter defines the  conditions that must match for inclusion in the filter, and also the actions that are  performed when a match is made. Lenovo Enterprise Network Operating System 8.4 supports the following ACLs:  IPv4 ACLs Up to 256 ACLs are supported for networks that use IPv4 addressing. IPv4  ACLs are configured using the following ISCLI command path: RS G8264(config)# access­control list <IPv4 ACL number> ? IPv6 ACLs  Up to 128 ACLs are supported for networks that use IPv6 addressing. IPv6  ACLs are configured using the following ISCLI command path: RS G8264(config)# access­control list6 <IPv6 ACL number> ? Note: ACLs are not supported with IPv6 in Stacking mode. VLAN Maps (VMaps)  Up to 128 VLAN Maps are supported for attaching filters to VLANs rather than  ports. See “VLAN Maps” on page 136 for details. Management ACLs (MACLs)  Up to 256 MACLs are supported for filtering traffic toward CPU. MACLs are  configured using the following ISCLI command path:  RS G8264(config)# access­control macl <MACL number> ? © Copyright Lenovo 2016...
  • Page 126: Summary Of Packet Classifiers

    Summary of Packet Classifiers ACLs allow you to classify packets according to a variety of content in the packet  header (such as the source address, destination address, source port number,  destination port number, and others). Once classified, packet flows can be  identified for more processing. IPv4 ACLs, IPv6 ACLs, and VMaps allow you to classify packets based on the  following packet attributes: Ethernet header options (for IPv4 ACLs and VMaps only)  Source MAC address  Destination MAC address  VLAN number and mask  Ethernet type (ARP, IP, IPv6, MPLS, RARP, etc.)  Ethernet Priority (the IEEE 802.1p Priority)  IPv4 header options (for IPv4 ACLs and VMaps only)  Source IPv4 address and subnet mask  Destination IPv4 address and subnet mask  Type of Service value  IP protocol number or name as shown in Table  Table 11. Well‐Known Protocol Types Number Protocol Name icmp igmp ospf vrrp IPv6 header options (for IPv6 ACLs only)
  • Page 127: Summary Of Acl Actions

    0x0004 0x0002 0x0001  Packet format (for IPv4 ACLs and VMaps only) Ethernet format (eth2, SNAP, LLC)  Ethernet tagging format  IP format (IPv4, IPv6)   Egress port packets (for all ACLs) Summary of ACL Actions Once classified using ACLs, the identified packet flows can be processed  differently. For each ACL, an action can be assigned. The action determines how the  switch treats packets that match the classifiers assigned to the ACL. G8264 ACL  actions include the following:  Pass or Drop the packet  Redirect the packet Re‐mark the packet with a new DiffServ Code Point (DSCP)   Re‐mark the 802.1p field  Set the COS queue © Copyright Lenovo 2016 Chapter 7: Access Control Lists...
  • Page 128: Assigning Individual Acls To A Port

    Assigning Individual ACLs to a Port Once you configure an ACL, you must assign the ACL to the appropriate ports.  Each port can accept multiple ACLs, and each ACL can be applied for multiple  ports. ACLs can be assigned individually. To assign an individual ACLs to a port, use the following IP Interface Mode  commands:   RS G8264(config)# interface port <port> RS G8264(config­if)# access­control list <IPv4 ACL number> RS G8264(config­if)# access­control list6 <IPv6 ACL number> When multiple ACLs are assigned to a port, higher‐priority ACLs are considered  first, and their action takes precedence over lower‐priority ACLs. ACL order of  precedence is discussed in the next section. ACL Order of Precedence When multiple ACLs are assigned to a port, they are evaluated in numeric  sequence, based on the ACL number. Lower‐numbered ACLs take precedence  over higher‐numbered ACLs. For example, ACL 1 (if assigned to the port) is  evaluated first and has top priority. If multiple ACLs match the port traffic, only the action of the one with the lowest  ACL number is applied. The others are ignored. If no assigned ACL matches the port traffic, no ACL action is applied. ACL Metering and Re-Marking You can define a profile for the aggregate traffic flowing through the G8264 by  configuring a QoS meter (if desired) and assigning ACLs to ports. Note: When you add ACLs to a port, make sure they are ordered correctly in terms  of precedence (see “ACL Order of Precedence” on page 128).
  • Page 129: Metering

    Metering QoS metering provides different levels of service to data streams through  user‐configurable parameters. A meter is used to measure the traffic stream against  a traffic profile which you create. Thus, creating meters yields In‐Profile and  Out‐of‐Profile traffic for each ACL, as follows:  In‐Profile—If there is no meter configured or if the packet conforms to the  meter, the packet is classified as In‐Profile.  Out‐of‐Profile—If a meter is configured and the packet does not conform to the  meter (exceeds the committed rate or maximum burst rate of the meter), the  packet is classified as Out‐of‐Profile. Using meters, you set a Committed Rate in Kbps (in multiples of 64 Mbps). All  traffic within this Committed Rate is in‐profile. Additionally, you can set a  Maximum Burst Size that specifies an allowed data burst larger than the  Committed Rate for a brief period. These parameters define the In‐Profile traffic. Meters keep the sorted packets within certain parameters. You can configure a  meter on an ACL, and perform actions on metered traffic, such as packet  re‐marking. Re-Marking Re‐marking allows for the treatment of packets to be reset based on new network  specifications or desired levels of service. You can configure the ACL to re‐mark a  packet as follows:  Change the DSCP value of a packet, used to specify the service level that traffic  receives.  Change the 802.1p priority of a packet. © Copyright Lenovo 2016 Chapter 7: Access Control Lists...
  • Page 130: Acl Port Mirroring

    ACL Port Mirroring For IPv4 ACLs and VMaps, packets that match the filter can be mirrored to another  switch port for network diagnosis and monitoring. The source port for the mirrored packets cannot be a portchannel, but may be a  member of a portchannel. The destination port to which packets are mirrored must be a physical port. The action (permit, drop, etc.) of the ACL or VMap must be configured before  assigning it to a port. Use the following commands to add mirroring to an ACL:  For IPv4 ACLs:  RS G8264(config)# access­control list <ACL number> mirror port <destination  port> The ACL must be also assigned to it target ports as usual (see “Assigning  Individual ACLs to a Port” on page 128).  For VMaps (see “VLAN Maps” on page 136):  RS G8264(config)# access­control vmap <VMap number> mirror port <monitor  destination port> See the configuration example on page 137. Viewing ACL Statistics ACL statistics display how many packets have “hit” (matched) each ACL. Use  ACL statistics to check filter performance or to debug the ACL filter configuration. You must enable statistics for each ACL that you wish to monitor:   RS G8264(config)# access­control list <ACL number> statistics G8264 Application Guide for ENOS 8.4...
  • Page 131: Acl Logging

    Destination IP address  TCP/UDP port number  ACL action  Number of packets logged  For example: Sep 27  4:20:28 DUT3 NOTICE  ACL­LOG: %IP ACCESS LOG: list  ACL­IP­12­IN denied tcp 1.1.1.1 (0) ­> 200.0.1.2 (0), 150  packets.  For MAC‐based ACLs, information is collected regarding Source MAC address  Source IP address  Destination IP address  TCP/UDP port number  ACL action  Number of packets logged  For example: Sep 27  4:25:38 DUT3 NOTICE  ACL­LOG: %MAC ACCESS LOG: list  ACL­MAC­12­IN permitted tcp 1.1.1.2 (0) (12,  00:ff:d7:66:74:62) ­> 200.0.1.2 (0) (00:18:73:ee:a7:c6), 32  packets. © Copyright Lenovo 2016 Chapter 7: Access Control Lists...
  • Page 132: Rate Limiting Behavior

    Rate Limiting Behavior Because ACL logging can be CPU‐intensive, logging is rate‐limited. By default, the  switch will log only 10 matching packets per second. This pool is shared by all  log‐enabled ACLs. The global rate limit can be changed as follows: RS G8264(config)# access­control log rate­limit <1‐1000> Where the limit is specified in packets per second. Log Interval For each log‐enabled ACL, the first packet that matches the ACL initiates an  immediate message in the system log. Beyond that, additional matches are subject  to the log interval. By default, the switch will buffer ACL log messages for a period  of 300 seconds. At the end of that interval, all messages in the buffer are written to  the system log. The global interval value can be changed as follows: RS G8264(config)# access­control log interval <5‐600> Where the interval rate is specified in seconds. In any given interval, packets that have identical log information are condensed  into a single message. However, the packet count shown in the ACL log message  represents only the logged messages, which due to rate‐limiting, may be  significantly less than the number of packets actually matched by the ACL. Also, the switch is limited to 64 different ACL log messages in any interval. Once  the threshold is reached, the oldest message will be discarded in favor of the new  message, and an overflow message will be added to the system log. ACL Logging Limitations ACL logging reserves packet queue 1 for internal use. Features that allow  remapping packet queues (such as CoPP) may not behave as expected if other  packet flows are reconfigured to use queue 1. G8264 Application Guide for ENOS 8.4...
  • Page 133: Acl Configuration Examples

    2. Add ACL 1 to port 1.   RS G8264(config)# interface port 1 RS G8264(config­if)# access­control list 1 RS G8264(config­if)# exit ACL Example 2 Use this configuration to block traffic from a network destined for a specific host  address. All traffic that ingresses in port 2 with source IP from class 100.10.1.0/24  and destination IP 200.20.2.2 is denied. 1. Configure an Access Control List.   RS G8264(config)# access­control list 2 ipv4 source­ip­address 100.10.1.0  255.255.255.0 RS G8264(config)# access­control list 2 ipv4 destination­ip­address  200.20.2.2 255.255.255.255 RS G8264(config)# access­control list 2 action deny 2. Add ACL 2 to port 2.   RS G8264(config)# interface port 2 RS G8264(config­if)# access­control list 2 RS G8264(config­if)# exit © Copyright Lenovo 2016 Chapter 7: Access Control Lists...
  • Page 134: Acl Example 3

    ACL Example 3 Use this configuration to block traffic from a specific IPv6 source address. All  traffic that ingresses in port 2 with source IP from class 2001:0:0:5:0:0:0:2/128 is  denied. 1. Configure an Access Control List.   RS G8264(config)# access­control list6 3 ipv6 source­address  2001:0:0:5:0:0:0:2 128 RS G8264(config)# access­control list6 3 action deny 2. Add ACL 2 to port 2.   RS G8264(config)# interface port 2 RS G8264(config­if)# access­control list6 3 RS G8264(config­if)# exit ACL Example 4 Use this configuration to deny all ARP packets that ingress a port. 1. Configure an Access Control List.  RS G8264(config)# access­control list 2 ethernet ethernet­type arp RS G8264(config)# access­control list 2 action deny 2. Add ACL 2 to port EXT2.  RS G8264(config)# interface port 2 RS G8264(config­if)# access­control list 2 RS G8264(config­if)# exit ACL Example 5 Use the following configuration to permit access to hosts with destination MAC ...
  • Page 135: Acl Example 6

    ACL Example 6 This configuration blocks traffic from a network that is destined for a specific  egress port. All traffic that ingresses port 1 from the network 100.10.1.0/24 and is  destined for port 3 is denied. 1. Configure an Access Control List.  RS G8264(config)# access­control list 4 ipv4 source­ip­address 100.10.1.0  255.255.255.0 RS G8264(config)# access­control list 4 egress­port 3 RS G8264(config)# access­control list 4 action deny 2. Add ACL 4 to port 1.  RS G8264(config)# interface port 1 RS G8264(config­if)# access­control list 4 RS G8264(config­if)# exit © Copyright Lenovo 2016 Chapter 7: Access Control Lists...
  • Page 136: Vlan Maps

    VLAN Maps A VLAN map (VMap) is an ACL that can be assigned to a VLAN or VM group  rather than to a switch port as with IPv4 ACLs. This is particularly useful in a  virtualized environment where traffic filtering and metering policies must follow  virtual machines (VMs) as they migrate between hypervisors. Note: VLAN maps for VM groups are not supported simultaneously on the same  ports as vNICs (see Chapter 19, “Virtual NICs”). The G8264 supports up to 128 VMaps. Individual VMap filters are configured in the same fashion as IPv4 ACLs, except  that VLANs cannot be specified as a filtering criteria (unnecessary, since the VMap  are assigned to a specific VLAN or associated with a VM group VLAN). VMaps are configured using the following ISCLI configuration command path: RS G8264(config)# access­control vmap <VMap ID> ?   action         Set filter action   egress­port    Set to filter for packets egressing this port   ethernet       Ethernet header options   ipv4           IP version 4 header options   meter          ACL metering configuration   mirror         Mirror options   packet­format  Set to filter specific packet format types   re­mark        ACL re­mark configuration   statistics     Enable access control list statistics   tcp­udp        TCP and UDP filtering options Once a VMap filter is created, it can be assigned or removed using the following  configuration commands:  For regular VLAN, use config‐vlan mode: RS G8264(config)# vlan <VLAN ID> RS G8264(config­vlan)# [no] vmap <VMap ID> [serverports|  non­serverports]  For a VM group (see “VM Group Types” on page 342), use the global  configuration mode: RS G8264(config)# [no] virt vmgroup <ID> vmap <VMap ID> ...
  • Page 137 VMap Example In this example, EtherType 2 traffic from VLAN 3 server ports is mirrored to a  network monitor on port 4. RS G8264(config)# access­control vmap 21 packet­format ethernet  ethernet­type2 RS G8264(config)# access­control vmap 21 mirror port 4 RS G8264(config)# access­control vmap 21 action permit RS G8264(config)# vlan 3 RS G8264(config­vlan)# vmap 21 serverports © Copyright Lenovo 2016 Chapter 7: Access Control Lists...
  • Page 138: Management Acls

    Management ACLs Management ACLs (MACLs) filter inbound traffic i.e. traffic toward the CPU.  MACLs are applied switch‐wide. Traffic can be filtered based on the following:  IPv4 source address IPv4 destination address   IPv4 protocols  TCP/UDP destination or source port  Lower MACL numbers have higher priority. Following is an example MACL configuration based on a destination IP address  and a TCP‐UDP destination port:    RS G8264(config)# access­control macl 1 ipv4 destination­ip­address  1.1.1.1 255.255.255.0 RS G8264(config)# access­control macl 1 tcp­udp destination­port 111  0xffff RS G8264(config)# access­control macl 1 statistics RS G8264(config)# access­control macl 1 action permit RS G8264(config)# access­control macl 1 enable Use the following command to view the MACL configuration:  RS G8264(config)# show access­control macl 1 MACL 1 profile : Enabled IPv4 - DST IP : 1.1.1.1/255.255.255.0 TCP/UDP - DST Port...
  • Page 139: Using Storm Control Filters

    The G8264 provides filters that can limit the number of the following packet types  transmitted by switch ports:   Broadcast packets  Multicast packets  Unknown unicast packets (destination lookup failure) Unicast packets whose destination MAC address is not in the Forwarding  Database are unknown unicasts. When an unknown unicast is encountered, the  switch handles it like a broadcast packet and floods it to all other ports in the  VLAN (broadcast domain). A high rate of unknown unicast traffic can have the  same negative effects as a broadcast storm.  Configure broadcast filters on each port that requires broadcast storm control. Set a  threshold that defines the total number of broadcast packets transmitted  (0‐2097151), in packets per second. When the threshold is reached, no more packets  of the specified type are transmitted. To filter broadcast packets on a port, use the following commands:  RS G8264(config)# interface port 1 RS G8264(config­if)# storm­control broadcast level rate <packets per second> To filter multicast packets on a port, use the following commands:  RS G8264(config­if)# storm­control multicast level rate <packets per second> To filter unknown unicast packets on a port, use the following commands:  RS G8264(config­if)# storm­control unicast level rate <packets per second> RS G8264(config­if)# exit © Copyright Lenovo 2016 Chapter 7: Access Control Lists...
  • Page 140 G8264 Application Guide for ENOS 8.4...
  • Page 141: Chapter 8. Secure Input/Output Module

    Chapter 8. Secure Input/Output Module The Secure Input/Output Module (SIOM) enables you to determine which  protocols can be enabled. The SIOM only allows secured traffic and secured  authentication management. The following topics are discussed in this chapter: “SIOM Overview” on page 142   “Setting an SIOM Security Policy” on page 143 “Implementing Secure LDAP (LDAPS)” on page 146   “Using Cryptographic Mode” on page 149 © Copyright Lenovo 2016...
  • Page 142: Siom Overview

    SIOM Overview A security policy is a set of rules to be enforced on the switch software. The SIOM  contains the following sub‐features:  A Security Policy that can be enforced on the switch software  A Secure LDAP (LDAPS) implementation in addition to the current the LDAP  feature Note: SIOM is supported in stacking mode. G8264 Application Guide for ENOS 8.4...
  • Page 143: Setting An Siom Security Policy

    RS G8264(config)# boot security­policy secure­mode Note: The switch will remain in Legacy Mode until you reboot.  To disable Secure Mode on the G8264, enter: RS G8264(config)# boot security­policy legacy­mode Note: The switch will remain in Secure Mode until you reboot.  To display the running security policy, enter: RS G8264(config)# show boot security­policy Note:  In stacking mode, the Master and the Backup switches control the security  policy. Using Protocols With SIOM Some protocols can be used with SIOM. This section explains which protocols can  and cannot operate with SIOM on the RackSwitch G8264. Insecure Protocols When you are in Secure Mode, the following protocols are deemed “insecure” and  are disabled:  HTTP  LDAP Client   SNMPv1 © Copyright Lenovo 2016 Chapter 8: Secure Input/Output Module...
  • Page 144: Secure Protocols

     SNMPv2  Telnet (server and client)  FTP (server and client)  Radius (client  TACACS+ (client)  TFTP Server Except for the TFTP server, these protocols cannot be enabled when the switch is  operating in Secure Mode because the commands to enable or disable them  disappear with SIOM enabled. The following protocols, although deemed “insecure” by SIOM, are enabled by  default and can be disabled.  DHCP client   SysLog Note: Service Location Protocol (SLP) Discovery is also deemed “insecure” but is  unaffected by Secure Mode. SLP has the same default settings as in Legacy Mode.  If you can enable or disable SLP in Legacy Mode, you can enable or disable it the  same way in Secure Mode. The following supported protocols are not enabled by default but can always be  enabled in Secure Mode.  DNS Resolution  TFTP client (for signed items only, such as switch images) The following protocols, although deemed “insecure” and allowed by SIOM, are  not supported by the G8264:   SMTP MIME   TCP command in secure mode (Port 6090) DHCPv6 client ...
  • Page 145: Insecure Protocols Unaffected By Siom

    S/MIME  SNMPv3 Manager  TCP command secure mode (Port 6091) Insecure Protocols Unaffected by SIOM The following protocols are deemed “insecure” but can be enabled in all Security  Policy Modes: Ping   Ping IPv6 Traceroute   Traceroute IPv6 TFTP IPv6   SNMPv3 IPv6 bootp  Notes:  Telnet IPv6 and TFTP IPv6 are disabled in Secure Mode. TFTP IPv6 is allowed in Secure Mode for signed image transfers only.  © Copyright Lenovo 2016 Chapter 8: Secure Input/Output Module...
  • Page 146: Implementing Secure Ldap (Ldaps)

    Implementing Secure LDAP (LDAPS) Lightweight Directory Access Protocol (LDAP) is a protocol for accessing  distributed directory information services over a network. Enterprise NOS uses  LDAP for authentication and authorization. With an LDAP client enabled, the  switch will authenticate a user and determine the user’s privilege level by checking  with one or more directory servers instead of a local database of users. This  prevents customers from having to configure local user accounts on multiple  switches; they can maintain a centralized directory instead.  As part of the SIOM, you can implement Secure Lightweight Directory Access  Protocol (LDAPS) in addition to standard LDAP. Enabling LDAPS LDAPS is disabled by default. To enable LDAPS: 1. Turn LDAP authentication on:   RS G8264(config)# ldap­server enable 2. Enable LDAP Enhanced Mode: RS G8264(config)# ldap­server mode enhanced This changes the ldap­server subcommands to support LDAPS. 3. Configure the IPv4 addresses of each LDAP server. Specify the interface port  (optional).   RS G8264(config)# ldap­server host {1­4} <IP address or hostname> mgta­port 4. You may change the default TCP port number used to listen to LDAPS (optional). The well‐known port for LDAP is 636. RS G8264(config)# ldap­server port <1‐65000> 5. Configure the Security Mode: RS G8264(config)# ldap­server security {clear|ldaps|mutual|starttls} where: Parameter Description clear...
  • Page 147: Disabling Ldaps

    RS G8264(config)# ldap­server attribute group <search attribute> If no group search attribute is specified, the default is memberOf. 10. Configure the login permissions attribute: RS G8264(config)# ldap­server attribute login­permission <attribute> Note: If no login permissions attribute is configured, LDAP client will not  function. 11. Configure the group filter attribute (optional): RS G8264(config)# ldap­server group­filter <filter attributes separated by comma> Note: The group filter string must contain no whitespace. If no group filter attribute is configured, no groups will be filtered and all groups  will be considered in any search. 12. Enable DNS server verification: RS G8264(config)# ldap­server srv Disabling LDAPS To disable LDAPS, enter: RS G8264(config)# ldap­server security clear RS G8264(config)# ldap­server mode legacy For information about using LDAP in Legacy Mode, see “LDAP Authentication  and Authorization” on page 114. © Copyright Lenovo 2016 Chapter 8: Secure Input/Output Module...
  • Page 148: Syslogs And Ldaps

    Syslogs and LDAPS Syslogs are required for the following error conditions: Password change required on first login  Password expired  Username or password invalid  Account temporarily locked  Unknown/no reason given  G8264 Application Guide for ENOS 8.4...
  • Page 149: Using Cryptographic Mode

    Using Cryptographic Mode The RackSwitch G8264 is able to change between Cryptographic Compatibility  Mode and NIST SP 800‐131a Cryptographic Mode. In Cryptographic Mode,  encryption key lengths must comply with NIST SP 800‐131a minimum  requirements; only compliant encryption algorithms are allowed. To enable Cryptographic Mode: Note: You may want to save your configuration before enabling Cryptographic  Mode, as this process will wipe out your configuration. 1. Set the boot mode: RS G8264(config)# boot strict enable 2. Reboot the switch. 3. Verify that the switch is operating in Cryptographic Mode: RS G8264# show boot strict Current strict settings: Strict Mode                         : enabled Old default Snmpv3 accounts support : no Strict settings saved: Strict Mode                         : enabled Old default Snmpv3 accounts support : no © Copyright Lenovo 2016 Chapter 8: Secure Input/Output Module...
  • Page 150 G8264 Application Guide for ENOS 8.4...
  • Page 151: Part 3: Switch Basics

    Part 3: Switch Basics This section discusses basic switching functions:  VLANs  Port Aggregation  Spanning Tree Protocols (Spanning Tree Groups, Rapid Spanning Tree Protocol,  and Multiple Spanning Tree Protocol)  Virtual Link Aggregation Groups  Quality of Service © Copyright Lenovo 2016...
  • Page 152 G8264 Application Guide for ENOS 8.4...
  • Page 153: Chapter 9. Vlans

    Chapter 9. VLANs This chapter describes network design and topology considerations for using  Virtual Local Area Networks (VLANs). VLANs commonly are used to split up  groups of network users into manageable broadcast domains, to create logical  segmentation of workgroups, and to enforce security policies among logical  segments. The following topics are discussed in this chapter:   “VLANs and Port VLAN ID Numbers” on page 154  “VLAN Tagging/Trunk Mode” on page 156  “VLAN Topologies and Design Considerations” on page 161 This section discusses how you can connect users and segments to a host that  supports many logical segments or subnets by using the flexibility of the  multiple VLAN system.  “Protocol‐Based VLANs” on page 166 “Private VLANs” on page 169  Note: VLANs can be configured from the Command Line Interface (see “VLAN  Configuration” as well as “Port Configuration” in the Command Reference).  © Copyright Lenovo 2016...
  • Page 154: Vlans Overview

    VLANs Overview Setting up virtual LANs (VLANs) is a way to segment networks to increase  network flexibility without changing the physical network topology. With network  segmentation, each switch port connects to a segment that is a single broadcast  domain. When a switch port is configured to be a member of a VLAN, it is added  to a group of ports (workgroup) that belong to one broadcast domain. Ports are grouped into broadcast domains by assigning them to the same VLAN.  Frames received in one VLAN can only be forwarded within that VLAN, and  multicast, broadcast, and unknown unicast frames are flooded only to ports in the  same VLAN. The RackSwitch G8264 (G8264) supports jumbo frames with a Maximum  Transmission Unit (MTU) of 9,216 bytes. Within each frame, 18 bytes are reserved  for the Ethernet header and CRC trailer. The remaining space in the frame  comprise the packet, which includes the payload and any additional overhead,  such as 802.1q or VLAN tags. Jumbo frame support is automatic: it is enabled by  default, requires no manual configuration, and cannot be manually disabled.  VLANs and Port VLAN ID Numbers VLAN Numbers The G8264 supports up to 4095 VLANs per switch. Each can be identified with any  number between 1 and 4094. VLAN 1 is the default VLAN for the data ports.  VLAN 4095 is used by the management network, which includes the management  port.  Use the following command to view VLAN information:          RS G8264# show vlan VLAN            Name            Status            Ports ­­­­  ­­­­­­­­­­­­­­­­­­­­­­­­  ­­­­­­  ­­­­­­­­­­­­­­­­­­­­­­­­­ 1     Default VLAN              ena      1­64 2     VLAN 2                    dis      empty 4095  Mgmt VLAN                 ena      MGMT G8264 Application Guide for ENOS 8.4...
  • Page 155: Pvid/Native Vlan Numbers

    RS G8264# show interface trunk  Alias   Port Tag    Type    RMON Lrn Fld Openflow PVID     DESCRIPTION   VLAN(s)              Trk                                  NVLAN ­­­­­­­ ­­­­ ­­­ ­­­­­­­­­­ ­­­­ ­­­ ­­­ ­­­­­­­­ ­­­­­­ ­­­­­­­­­­­­­­  ­­­­­­­­­­­­­­­­­­­­­­­­ 1       1     n  External    d    e   e      d       1                  1 2       2     n  External    d    e   e      d       1                  1 3       3     n  External    d    e   e      d       1                  1 4       4     y  External    d    e   e      d       1                  1 64      64    n  External    d    e   e      d       1                  1 MGT     65    n  Mgmt        d    e   e      d    4095                   4095 * = PVID/Native­VLAN is tagged. # = PVID is ingress tagged. Trk  = Trunk mode NVLAN = Native­VLAN Use the following command to set the port PVID/Native VLAN:  Access Mode Port RS G8264(config)# interface port <port number> RS G8264(config­if)# switchport access vlan <VLAN ID> For Trunk Mode Port RS G8264(config)# interface port <port number> RS G8264(config­if)# switchport trunk native vlan <VLAN ID> Each port on the switch can belong to one or more VLANs, and each VLAN can  have any number of switch ports in its membership. Any port that belongs to  multiple VLANs, however, must have VLAN tagging/trunk mode enabled (see  “VLAN Tagging/Trunk Mode” on page 156).  © Copyright Lenovo 2016 Chapter 9: VLANs...
  • Page 156: Vlan Tagging/Trunk Mode

    VLAN Tagging/Trunk Mode Lenovo Enterprise Network Operating System software supports 802.1Q VLAN  tagging, providing standards‐based VLAN support for Ethernet systems. Tagging places the VLAN identifier in the frame header of a packet, allowing each  port to belong to multiple VLANs. When you add a port to multiple VLANs, you  also must enable tagging on that port.  Since tagging fundamentally changes the format of frames transmitted on a tagged  port, you must carefully plan network designs to prevent tagged frames from  being transmitted to devices that do not support 802.1Q VLAN tags, or devices  where tagging is not enabled.  Important terms used with the 802.1Q tagging feature are:  VLAN identifier (VID)—the 12‐bit portion of the VLAN tag in the frame header  that identifies an explicit VLAN.   Port VLAN identifier (PVID)—a classification mechanism that associates a port  with a specific VLAN. For example, a port with a PVID of 3 (PVID =3) assigns all  untagged frames received on this port to VLAN 3. Any untagged frames  received by the switch are classified with the PVID of the receiving port.   Tagged frame—a frame that carries VLAN tagging information in the header.  This VLAN tagging information is a 32‐bit field (VLAN tag) in the frame header  that identifies the frame as belonging to a specific VLAN. Untagged frames are  marked (tagged) with this classification as they leave the switch through a port  that is configured as a tagged port. Untagged frame— a frame that does not carry any VLAN tagging information   in the frame header. Untagged member—a port that has been configured as an untagged member of   a specific VLAN. When an untagged frame exits the switch through an  untagged member port, the frame header remains unchanged. When a tagged  frame exits the switch through an untagged member port, the tag is stripped  and the tagged frame is changed to an untagged frame.  Tagged member—a port that has been configured as a tagged member of a  specific VLAN. When an untagged frame exits the switch through a tagged  member port, the frame header is modified to include the 32‐bit tag associated ...
  • Page 157 Figure 3. Port‐based VLAN assignment Port 1 Port 2 Port 3 Tagged member PVID = 2 of VLAN 2 Untagged packet 802.1Q Switch Data Before Port 6 Port 7 Port 8 Untagged member of VLAN 2 © Copyright Lenovo 2016 Chapter 9: VLANs...
  • Page 158 As shown in Figure 4, the untagged packet is marked (tagged) as it leaves the  switch through port 5, which is configured as a tagged member of VLAN 2. The  untagged packet remains unchanged as it leaves the switch through port 7, which  is configured as an untagged member of VLAN 2. Figure 4. 802.1Q tagging (after port‐based VLAN assignment)    Tagged member PVID = 2 Port 1 Port 2 Port 3 of VLAN 2 802.1Q Switch CRC* Data (*Recalculated) Port 6 Port 7 Port 8 8100 Priority VID = 2 Untagged memeber of VLAN 2 16 bits 3 bits...
  • Page 159: Ingress Vlan Tagging

    Outgoing untagged packet changed (tag removed) Priority - User_priority - Canonical format indicator - VLAN identifier BS45014A Ingress VLAN Tagging Tagging can be enabled on an ingress port. When a packet is received on an ingress  port, and if ingress tagging is enabled on the port, a VLAN tag with the port PVID  is inserted into the packet as the outer VLAN tag. Depending on the egress port  setting (tagged or untagged), the outer tag of the packet is retained or removed  when it leaves the egress port. Ingress VLAN tagging is used to tunnel packets through a public domain without  altering the original 802.1Q status. When ingress tagging is enabled on a port, all packets, whether untagged or  tagged, will be tagged again. As shown in Figure 7, when tagging is enabled on the  egress port, the outer tag of the packet is retained when it leaves the egress port. If  tagging is disabled on the egress port, the outer tag of the packet is removed when  it leaves the egress port. © Copyright Lenovo 2016 Chapter 9: VLANs...
  • Page 160: Limitations

    Figure 7. 802.1Q tagging (after ingress tagging assignment)  Untagged packet received on ingress port 802.1Q Switch Port 1 Port 2 Port 3 Tagged member PVID = 2 of VLAN 2 Untagged packet CRC* Data CRC* Data Data After Before Port 6 Port 7 Port 8 Untagged member of VLAN 2 Data...
  • Page 161: Vlan Topologies And Design Considerations

    VLAN Topologies and Design Considerations Note the following when working with VLAN topologies:  By default, the G8264 software is configured so that tagging/trunk mode is  disabled on all ports.  By default, the G8264 software is configured so that all data ports are members   of VLAN 1.   By default, the Enterprise NOS software is configured so that the management  port is a member of VLAN 4095 (the management VLAN).   STG 256 is reserved for switch management.   When using Spanning Tree, STG 2‐256 may contain only one VLAN unless  Multiple Spanning‐Tree Protocol (MSTP) mode is used. With MSTP mode, STG  1 to 32 can include multiple VLANs.   All ports involved in both aggregation and port mirroring must have the same  VLAN configuration. If a port is on a LAG with a mirroring port, the VLAN  configuration cannot be changed. For more information about aggregation, see  Chapter 10, “Ports and Link Aggregation” and Chapter 46, “Port Mirroring.” © Copyright Lenovo 2016 Chapter 9: VLANs...
  • Page 162: Multiple Vlans With Tagging/Trunk Mode Adapters

    Multiple VLANs with Tagging/Trunk Mode Adapters Figure 8 illustrates a network topology described in Note: on page 163 and the  configuration example on page page 165.  Figure 8. Multiple VLANs with VLAN‐Tagged Gigabit Adapters  Enterprise Enterprise Routing Switch Routing Switch Server 1 Server 2 Server 3 Server 4 Server 5 VLAN 1 VLAN 1 VLAN 2 VLAN 3 VLAN 1, 2 The features of this VLAN are described in the following table.   ...
  • Page 163 1, Server 2,  switches and Server 5 via VLAN 1. They can communicate with  Server 3 and Server 5 via VLAN 2. They can communicate  with Server 4 via VLAN 3. Tagging/trunk mode on switch  ports is enabled.  Note: VLAN tagging/trunk mode is required only on ports that are connected to  other switches or on ports that connect to tag‐capable end‐stations, such as servers  with VLAN‐tagging/trunk mode adapters.  To configure a specific VLAN on a trunk port, the following conditions must be  met: The port must be in trunk mode.   The VLAN must be in the trunk’s allowed VLAN range. By default, the range  includes all VLANs.  The VLAN must be un‐reserved.  The VLAN must be created. The order in which these conditions are met is not relevant. However, all  conditions must be met collectively. When all the conditions are met, the VLAN is  enabled on the port. If one of the conditions is broken, the VLAN is disabled. © Copyright Lenovo 2016 Chapter 9: VLANs...
  • Page 164 If a port’s native VLAN is a private VLAN and its allowed VLAN range contains  only invalid VLANs (either reserved VLANs or VLANs the port cannot belong to),  removing the private VLAN mapping from the port will add the port to default  VLAN and add the default VLAN to the allowed VLAN range. When setting up multiple VLANs, ports configured in private VLAN mode are not  added to private VLANs unless the private VLANs are also configured for those  ports. G8264 Application Guide for ENOS 8.4...
  • Page 165: Vlan Configuration Example

    RS G8264(config­if)# switchport mode trunk RS G8264(config­if)# switchport trunk allowed vlans 1,2 RS G8264(config­if)# exit 2. Enable tagging/trunk mode on uplink ports that support multiple VLANs.   RS G8264(config)# interface port 19 RS G8264(config­if)# switchport mode trunk RS G8264(config­if)# switchport trunk allowed vlan add 2,3 RS G8264(config­if)# exit RS G8264(config)# interface port 20 RS G8264(config­if)# switchport mode trunk RS G8264(config­if)# switchport trunk allowed vlan add 2,3 RS G8264(config­if)# exit 3. Configure server ports that belong to a single VLAN.  RS G8264(config)# interface port 4 RS G8264(config­if)# switchport access vlan 2 RS G8264(config­if)# exit By default, all ports are members of VLAN 1, so configure only those ports that  belong to other VLANs.  © Copyright Lenovo 2016 Chapter 9: VLANs...
  • Page 166: Protocol-Based Vlans

    Protocol-Based VLANs Protocol‐based VLANs (PVLANs) allow you to segment network traffic according  to the network protocols in use. Traffic for supported network protocols can be  confined to a particular port‐based VLAN. You can give different priority levels to  traffic generated by different network protocols. With PVLAN, the switch classifies incoming packets by Ethernet protocol of the  packets, not by the configuration of the ingress port. When an untagged or  priority‐tagged frame arrives at an ingress port, the protocol information carried in  the frame is used to determine a VLAN to which the frame belongs. If a frame’s  protocol is not recognized as a pre‐defined PVLAN type, the ingress port’s PVID is  assigned to the frame. When a tagged frame arrives, the VLAN ID in the frame’s  tag is used. Each VLAN can contain up to eight different PVLANs. You can configure separate  PVLANs on different VLANs, with each PVLAN segmenting traffic for the same  protocol type. For example, you can configure PVLAN 1 on VLAN 2 to segment  IPv4 traffic, and PVLAN 8 on VLAN 100 to segment IPv4 traffic. To define a PVLAN on a VLAN, configure a PVLAN number (1‐8) and specify the  frame type and the Ethernet type of the PVLAN protocol. You must assign at least  one port to the PVLAN before it can function. Define the PVLAN frame type and  Ethernet type as follows: Frame type—consists of one of the following values:  Ether2 (Ethernet II)  SNAP (Subnetwork Access Protocol)  LLC (Logical Link Control)   Ethernet type—consists of a 4‐digit (16 bit) hex value that defines the Ethernet  type. You can use common Ethernet protocol values, or define your own values.  Following are examples of common Ethernet protocol values: IPv4 = 0800  IPv6 = 86dd  ARP = 0806  Port-Based vs. Protocol-Based VLANs Each VLAN supports both port‐based and protocol‐based association, as follows: ...
  • Page 167: Pvlan Priority Levels

    PVLAN Tagging/Trunk Mode When PVLAN tagging is enabled, the switch tags frames that match the PVLAN  protocol. For more information about tagging, see “VLAN Tagging/Trunk Mode”  on page 156. Untagged ports must have PVLAN tagging disabled. Tagged ports can have  PVLAN tagging either enabled or disabled. PVLAN tagging has higher precedence than port‐based tagging. If a port is  tagging/trunk mode enabled, and the port is a member of a PVLAN, the PVLAN  tags egress frames that match the PVLAN protocol. Use the tag list command (protocol­vlan <x> tag­pvlan) to define the  complete list of tag‐enabled ports in the PVLAN. Note that all ports not included in  the PVLAN tag list will have PVLAN tagging disabled. PVLAN Configuration Guidelines Consider the following guidelines when you configure protocol‐based VLANs:  Each port can support up to 16 VLAN protocols. The G8264 can support up to 16 protocols simultaneously.   Each PVLAN must have at least one port assigned before it can be activated. The same port within a port‐based VLAN can belong to multiple PVLANs.   An untagged port can be a member of multiple PVLANs. A port cannot be a member of different VLANs with the same protocol   association. © Copyright Lenovo 2016 Chapter 9: VLANs...
  • Page 168: Configuring Pvlan

    Configuring PVLAN Follow this procedure to configure a Protocol‐based VLAN (PVLAN). 1. Configure VLAN tagging/trunk mode for ports. RS G8264(config)# interface port 1, 2 RS G8264(config­if)# switchport mode trunk RS G8264(config­if)# exit 2. Create a VLAN and define the protocol type(s) supported by the VLAN. RS G8264(config)# vlan 2 RS G8264(config­vlan)# protocol­vlan 1 frame­type ether2 0800 3. Configure the priority value for the protocol. RS G8264(config­vlan)# protocol­vlan 1 priority 2 4. Add member ports for this PVLAN. RS G8264(config­vlan)# protocol­vlan 1 member 1, 2 Note: If VLAN tagging is turned on and the port being added to the VLAN has a  different default VLAN (PVID/Native VLAN), you will be asked to confirm  changing the PVID to the current VLAN. 5. Enable the PVLAN. RS G8264(config­vlan)# protocol­vlan 1 enable RS G8264(config­vlan)# exit 6. Verify PVLAN operation.   RS G8264(config)# show vlan VLAN            Name            Status            Ports ­­­­ ...
  • Page 169: Private Vlans

     toward ports in the primary VLAN. Each Private VLAN configuration can  contain only one isolated VLAN.  Community VLAN—carries upstream traffic from ports in the community   VLAN to other ports in the same community, and to ports in the primary  VLAN. Each Private VLAN configuration can contain multiple community  VLANs.  After you define the primary VLAN and one or more secondary VLANs, you map  the secondary VLAN(s) to the primary VLAN.  Private VLAN Ports Private VLAN ports are defined as follows:   Promiscuous—A promiscuous port is a port that belongs to the primary VLAN.  The promiscuous port can communicate with all the interfaces, including ports  in the secondary VLANs (Isolated VLAN and Community VLANs).  Isolated—An isolated port is a host port that belongs to an isolated VLAN. Each  isolated port has complete layer 2 separation from other ports within the same  private VLAN (including other isolated ports), except for the promiscuous ports.  Traffic sent to an isolated port is blocked by the Private VLAN, except the   traffic from promiscuous ports.  Traffic received from an isolated port is forwarded only to promiscuous ports.   Community—A community port is a host port that belongs to a community   VLAN. Community ports can communicate with other ports in the same com‐ munity VLAN, and with promiscuous ports. These interfaces are isolated at layer  2 from all other interfaces in other communities and from isolated ports within  the Private VLAN. © Copyright Lenovo 2016 Chapter 9: VLANs...
  • Page 170: Configuration Guidelines

    Configuration Guidelines The following guidelines apply when configuring Private VLANs:   Management VLANs cannot be Private VLANs. Management ports cannot be  members of a Private VLAN.   The default VLAN 1 cannot be a Private VLAN.  IGMP Snooping must be disabled on Private VLANs.   All VLANs that comprise the Private VLAN must belong to the same Spanning  Tree Group.   A VLAN pair consists of a primary VLAN and one associated secondary VLAN  (isolated or community). The maximum number of VLAN pairs per port is 16. Configuration Example Follow this procedure to configure a Private VLAN.  1. Select a VLAN and define the Private VLAN type as primary.   RS G8264(config)# vlan 700 RS G8264(config­vlan)# private­vlan primary RS G8264(config­vlan)# exit 2. Configure a promiscuous port for VLAN 700.   RS G8264(config)# interface port 1 RS G8264(config­if)# switchport mode private­vlan RS G8264(config­if)# switchport private­vlan mapping 700 RS G8264(config­if)# exit 3. Configure two secondary VLANs: isolated VLAN and community VLAN.   RS G8264(config)# vlan 701 RS G8264(config­vlan)# private­vlan isolated RS G8264(config­vlan)# exit RS G8264(config)# vlan 702...
  • Page 171 5. Configure host ports for secondary VLANs.   RS G8264(config)# interface port 2 RS G8264(config­if)# switchport mode private­vlan RS G8264(config­if)# switchport private­vlan host­association 700 701 RS G8264(config­if)# exit RS G8264(config)# interface port 3 RS G8264(config­if)# switchport mode private­vlan RS G8264(config­if)# switchport private­vlan host­association 700 702 RS G8264(config­if)# exit 6. Verify the configuration.       RS G8264(config)# show vlan private­vlan Primary  Secondary      Type                Ports ­­­­­­­  ­­­­­­­­­ ­­­­­­­­­­­­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ 700         701        isolated             1 2 700         702        community            1 3  © Copyright Lenovo 2016 Chapter 9: VLANs...
  • Page 172 G8264 Application Guide for ENOS 8.4...
  • Page 173: Chapter 10. Ports And Link Aggregation

    Chapter 10. Ports and Link Aggregation Link Aggregation (LAG) groups can provide super‐bandwidth, multi‐link  connections between the G8264 and other LAG‐capable devices. A LAG is a group  of ports that act together, combining their bandwidth to create a single, larger  virtual link. This chapter provides configuration background and examples for  aggregating multiple ports together:   “Configuring QSFP+ Ports” on page 174  “Aggregation Overview” on page 176”  “Configuring a Static LAG” on page 178  “Configurable LAG Hash Algorithm” on page 185 “Link Aggregation Control Protocol” on page 180  © Copyright Lenovo 2016...
  • Page 174: Configuring Qsfp+ Ports

    Configuring QSFP+ Ports QSFP+ ports support both 10GbE and 40GbE, as shown in Table 15.  Table 15. QSFP+ Port Numbering Physical Port Number 40GbE mode 10GbE mode Port 1 Port 1 Ports 1-4 Port 5 Port 5 Ports 5-8 Port 9 Port 9 Ports 9-12 Port 13 Port 13 Ports 13-16 Use the following procedure to change the QSFP+ port mode.  1.
  • Page 175 Use the ‘no’ form of the command to reset a port to 10GbE mode.     RS G8264(config)# no boot qsfp­40Gports <port number or a range of ports>  © Copyright Lenovo 2016 Chapter 10: Ports and Link Aggregation...
  • Page 176: Aggregation Overview

    Aggregation Overview When using LAGs between two switches, as shown in Figure 9, you can create a  virtual link between the switches, operating with combined throughput levels that  depends on how many physical ports are included. Each G8264 supports up to 64 LAGs in stand‐alone (non‐stacking) mode, or 64  LAGs in stacking mode. Two LAG types are available: static LAGs (portchannel),  and dynamic Link Aggregation Control Protocol (LACP) LAGs. Each type can  contain up to 32 member ports, depending on the port type and availability. Figure 9. Port LAG Switch 1 Switch 2 LAGs are also useful for connecting a G8264 to third‐party devices that support  link aggregation, such as Cisco routers and switches with EtherChannel  technology (not ISL aggregation technology) and Sunʹs Quad Fast Ethernet  Adapter. LAG technology is compatible with these devices when they are  configured manually. LAG traffic is statistically distributed among the ports in a LAG, based on a variety  of configurable options. Also, since each LAG is comprised of multiple physical links, the LAG is inherently  fault tolerant. As long as one connection between the switches is available, the  trunk remains active and statistical load balancing is maintained whenever a port  in a LAG is lost or returned to service.  G8264 Application Guide for ENOS 8.4...
  • Page 177: Static Lags

    VLAGs (see Chapter 12, “Virtual Link Aggregation Groups). In such cases, links  in a LAG are allowed to connect to multiple physical devices because they act as  one logical device. Any physical switch port can belong to only one LAG.  ® ®  Aggregation from third‐party devices must comply with Cisco  EtherChannel   technology. All ports in a LAG must have the same link configuration (speed, duplex, flow   control), the same VLAN properties, and the same Spanning Tree, storm control,  and ACL configuration. It is recommended that the ports in a LAG be members  of the same VLAN.  Each LAG inherits its port configuration (speed, flow control, tagging) from the  first member port. As additional ports are added to the LAG, their settings must  be changed to match the LAG configuration.   When a port leaves a LAG, its configuration parameters are retained.   You cannot configure a LAG member as a monitor port in a port‐mirroring con‐ figuration.  LAGs cannot be monitored by a monitor port; however, LAG members can be  monitored. © Copyright Lenovo 2016 Chapter 10: Ports and Link Aggregation...
  • Page 178: Configuring A Static Lag

    LAG 3 LAG 3 combines Ports 2, 9, and 16 LAG 1 combines Ports 1, 11, and 18 LAG 1 Prior to configuring each switch in this example, you must connect to the  appropriate switches as the administrator. Note: For details about accessing and using any of the commands described in this  example, see the Lenovo RackSwitch G8264 ISCLI Reference. 1. Follow these steps on the G8264:  a. Define a LAG. RS G8264(config)# portchannel 3 port 2,9,16 RS G8264(config)# portchannel 3 enable b. Verify the configuration. # show portchannel information Examine the resulting information. If any settings are incorrect, make appropriate  changes. 2. Repeat the process on the other switch.
  • Page 179 4. Examine the aggregation information on each switch. # show portchannel information PortChannel 3: Enabled Protocol—Static port state:   2: STG  1 forwarding   9: STG  1 forwarding  16: STG  1 forwarding Information about each port in each configured LAG is displayed. Make sure that  LAGs consist of the expected ports and that each port is in the expected state. The following restrictions apply:      Any physical switch port can belong to only one LAG.  Up to 32 ports can belong to the same LAG.  All ports in static LAGs must be have the same link configuration (speed, duplex,  flow control).  ® ®  Aggregation with third‐party devices must comply with Cisco  EtherChannel   technology. © Copyright Lenovo 2016 Chapter 10: Ports and Link Aggregation...
  • Page 180: Link Aggregation Control Protocol

    Link Aggregation Control Protocol Link Aggregation Control Protocol (LACP) is an IEEE 802.3ad standard for  grouping several physical ports into one logical port (known as a Link  Aggregation group) with any device that supports the standard. Please refer to  IEEE 802.3ad‐2002 for a full description of the standard.  The 802.3ad standard allows standard Ethernet links to form a single Layer 2 link  using Link Aggregation Control Protocol (LACP). Link aggregation is a method of  grouping physical link segments of the same media type and speed in full duplex,  and treating them as if they were part of a single, logical link segment. If a link in  an LACP LAG fails, traffic is reassigned dynamically to the remaining link(s) of the  dynamic LAG.  Note: LACP implementation in the Lenovo Enterprise Network Operating System  does not support the Churn machine, an option used to detect if the port is  operable within a bounded time period between the actor and the partner. Only the  Marker Responder is implemented, and there is no marker protocol generator.  A port’s Link Aggregation Identifier (LAG ID) determines how the port can be  aggregated. The Link Aggregation ID (LAG ID) is constructed mainly from the  partner switch’s system ID and the port’s admin key, as follows:   System ID: an integer value based on the partner switch’s MAC address and the  system priority assigned in the CLI.   Admin key: a port’s Admin key is an integer value (1‐65535) that you can  configure in the CLI. Each switch port that participates in the same LACP LAG  must have the same admin key value. The Admin key is local significant, which  means the partner switch does not need to use the same Admin key value.  For example, consider two switches, an Actor (the G8264) and a Partner (another  switch), as shown in Table Table 16. Actor vs. Partner LACP configuration Actor Switch Partner Switch LACP LAG Port 7 (admin key = 100)
  • Page 181: Static Lacp Lags

    Static LACP LAGs To prevent switch ports with the same admin key from forming multiple LAGs,  you can configure the LACP LAG as static. In a static LACP LAG, ports with the  same admin key, but with different LAG IDs, compete to get aggregated in a LAG.  The LAG ID for the LAG is decided based on the first port that is aggregated in the  group. Ports with this LAG ID get aggregated and the other ports are placed in  suspended mode. As per the configuration shown in Table 16 on page 180, if port  7 gets aggregated first, then the LAG ID of port 7 would be the LAG ID of the LAG.  Port 8 will join the LAG while ports 9 and 10 would be placed in suspended mode.  When in suspended mode, a port transmits only LACP data units (LACPDUs) and  discards all other traffic. A port may also be placed in suspended mode for the following reasons:  When LACP is configured on the port but it stops receiving LACPDUs from the  partner switch.  When the port has a different LAG ID because of the partner switch MAC or  port LACP key being different. For example: when a switch is connected to two  partners. Static LACP LAGs are configured by associating the LACP admin key to a  portchannel ID within a dedicated LACP portchannel group range:  RS G8264(config)# portchannel  lacp key <adminkey of the LAG>  A single LAG can have a maximum of 32 active ports at a given time. © Copyright Lenovo 2016 Chapter 10: Ports and Link Aggregation...
  • Page 182: Lacp Port Modes

    LACP Port Modes Up to 64 ports can be assigned to a single LAG, but only 32 ports can actively  participate in the LAG at a given time.Each port on the switch can have one of the  following LACP modes.  off (default) You can configure this port into a regular static LAG.  active  The port is capable of forming an LACP LAG. This port sends LACPDU packets  to partner system ports.  passive  The port is capable of forming an LACP LAG. This port only responds to the  LACPDU packets sent from an LACP active port. Each active LACP port transmits LACP data units (LACPDUs), while each passive  LACP port listens for LACPDUs. During LACP negotiation, the admin key is  exchanged. The LACP LAG is enabled as long as the information matches at both  ends of the link. If the admin key value changes for a port at either end of the link,  that port’s association with the LACP LAG is lost.  When the system is initialized, all ports by default are in LACP off mode and are  assigned unique admin keys. To make a group of ports aggregable, you assign them  all the same admin key. You must set the port’s LACP mode to active to activate  LACP negotiation. You can set other port’s LACP mode to passive to reduce the  amount of LACPDU traffic at the initial LAG‐forming stage.  Use the following command to check whether the ports are aggregated:   RS G8264 # show lacp information  Notes:  If you configure LACP on ports with 802.1X network access control, make sure  the ports on both sides of the connection are properly configured for both LACP  and 802.1X. IEEE 802.1x and LACP cannot both be enabled on port 1.  LACP Individual Ports with LACP enabled (active or passive) are prevented by default from ...
  • Page 183: Lacp Minimum Links Option

    LACP Minimum Links Option For dynamic LAGs that require a guaranteed amount of bandwidth to be  considered useful, you can specify the minimum number of links for the LAG. If  the specified minimum number of ports is not available, the LAG link will not be  established. If an active LACP LAG loses one or more component links, the LAG  will be placed in the down state if the number of links falls to less than the specified  minimum. By default, the minimum number of links is 1, meaning that LACP  LAGs will remain operational as long as at least one link is available. The LACP minimum links setting can be configured as follows:  Interface (port) configuration mode: RS G8264(config)# interface port <port number or range> RS G8264(config­if)# port­channel min­links <minimum links> RS G8264(config­if)# exit Portchannel configuration mode:  RS G8264(config)# interface portchannel lacp <LACP key> RS G8264(config­PortChannel)# port­channel min­links <minimum links> RS G8264(config­if)# exit © Copyright Lenovo 2016 Chapter 10: Ports and Link Aggregation...
  • Page 184: Configuring Lacp

    Configuring LACP Use the following procedure to configure LACP for ports 7, 8, 9 and 10 to  participate in link aggregation.  1. Configure port parameters. All ports that participate in the LACP LAG must have  the same settings, including VLAN membership.  2. Select the port range and define the admin key. Only ports with the same admin  key can form an LACP LAG.   RS G8264(config)# interface port 7­10 RS G8264(config­if)# lacp key 100 3. Set the LACP mode.   RS G8264(config­if)# lacp mode active 4. Optionally allow member ports to individually participate in normal data traffic if  no LACPDUs are received. RS G8264(config­if)# no lacp suspend­individual RS G8264(config­if)# exit 5. Set the link aggregation as static, by associating it with LAG ID 65: RS G8264(config)# portchannel 65 lacp key 100 G8264 Application Guide for ENOS 8.4...
  • Page 185: Configurable Lag Hash Algorithm

    RS G8264(config)# portchannel thash l2thash l2­destination­mac­address  Layer 2 source and destination MAC address:    RS G8264(config)# portchannel thash l2thash l2­source­destination­mac Layer 3 IPv4/IPv6 source IP address:     RS G8264(config)# portchannel thash l3thash l3­source­ip­address Layer 3 IPv4/IPv6 destination IP address:      RS G8264(config)# portchannel thash l3thash l3­destination­ip­address  Layer 3 source and destination IPv4/IPv6 address (the default):     RS G8264(config)# portchannel thash l3thash l3­source­destination­ip  Layer 2 hash configuration:  RS G8264(config)# portchannel thash l3thash l3­use­l2­hash  Layer 4 port hash   RS G8264(config)# portchannel thash l4port Ingress port hash    RS G8264(config)# portchannel thash ingress © Copyright Lenovo 2016 Chapter 10: Ports and Link Aggregation...
  • Page 186 G8264 Application Guide for ENOS 8.4...
  • Page 187: Chapter 11. Spanning Tree Protocols

    Chapter 11. Spanning Tree Protocols When multiple paths exist between two points on a network, Spanning Tree  Protocol (STP), or one of its enhanced variants, can prevent broadcast loops and  ensure that the RackSwitch G8264 uses only the most efficient network path. This chapter covers the following topics: “Spanning Tree Protocol Modes” on page 188   “Global STP Control” on page 189 “PVRST Mode” on page 189   “Rapid Spanning Tree Protocol” on page 202 “Multiple Spanning Tree Protocol” on page 204   “Port Type and Link Type” on page 208 © Copyright Lenovo 2016...
  • Page 188: Spanning Tree Protocol Modes

    Spanning Tree Protocol Modes Lenovo Enterprise Network Operating System 8.4 supports the following STP  modes:  Rapid Spanning Tree Protocol (RSTP) IEEE 802.1D (2004) RSTP allows devices to detect and eliminate logical loops in  a bridged or switched network. When multiple paths exist, STP configures the  network so that only the most efficient path is used. If that path fails, STP  automatically configures the best alternative active path on the network to  sustain network operations. RSTP is an enhanced version of IEEE 802.1D (1998)  STP, providing more rapid convergence of the Spanning Tree network path  states on STG 1. See “Rapid Spanning Tree Protocol” on page 202 for details.  Per‐VLAN Rapid Spanning Tree (PVRST) PVRST mode is based on RSTP to provide rapid Spanning Tree convergence, but  supports instances of Spanning Tree, allowing one STG per VLAN. PVRST  mode is compatible with Cisco R‐PVST/R‐PVST+ mode. PVRST is the default Spanning Tree mode on the G8264. See “PVRST Mode” on  page 189 for details. Multiple Spanning Tree Protocol (MSTP)  IEEE 802.1Q (2003) MSTP provides both rapid convergence and load balancing  in a VLAN environment. MSTP allows multiple STGs, with multiple VLANs in  each. See “Multiple Spanning Tree Protocol” on page 204 for details. G8264 Application Guide for ENOS 8.4...
  • Page 189: Global Stp Control

    G8264. Using STP, network devices detect and eliminate logical loops in a bridged or  switched network. When multiple paths exist, Spanning Tree configures the  network so that a switch uses only the most efficient path. If that path fails,  Spanning Tree automatically sets up another active path on the network to sustain  network operations. ENOS PVRST mode is based on IEEE 802.1w RSTP. Like RSTP, PVRST mode  provides rapid Spanning Tree convergence. However, PVRST mode is enhanced  for multiple instances of Spanning Tree. In PVRST mode, each VLAN may be  automatically or manually assigned to one of 255 available STGs. Each STG acts as  an independent, simultaneous instance of STP. PVRST uses IEEE 802.1Q tagging to  differentiate STP BPDUs and is compatible with Cisco R‐PVST/R‐PVST+ modes. The relationship between ports, LAGs, VLANs, and Spanning Trees is shown in  Table Table 17. Ports, LAGs, and VLANs Switch Element Belongs To Port LAG or one or more VLANs One or more VLANs VLAN (non‐default)  PVRST: One VLAN per STG  RSTP: All VLANs are in STG 1  MSTP: Multiple VLANs per STG © Copyright Lenovo 2016 Chapter 11: Spanning Tree Protocols...
  • Page 190: Port States

    Port States The port state controls the forwarding and learning processes of Spanning Tree. In  PVRST, the port state has been consolidated to the following: discarding,  learning, and forwarding. Due to the sequence involved in these STP states, considerable delays may occur  while paths are being resolved. To mitigate delays, ports defined as edge ports  (“Port Type and Link Type” on page 208) may bypass the discarding and  learning states, and enter directly into the forwarding state. Bridge Protocol Data Units To create a Spanning Tree, the switch generates a configuration Bridge Protocol  Data Unit (BPDU), which it then forwards out of its ports. All switches in the Layer  2 network participating in the Spanning Tree gather information about other  switches in the network through an exchange of BPDUs. How BPDU Works A bridge sends BPDU packets at a configurable regular interval (2 seconds by  default). The BPDU is used to establish a path, much like a hello packet in IP  routing. BPDUs contain information about the transmitting bridge and its ports,  including bridge MAC addresses, bridge priority, port priority, and path cost. If the  ports are in trunk mode/tagged, each port sends out a special BPDU containing the  tagged information. The generic action of a switch on receiving a BPDU is to compare the received  BPDU to its own BPDU that it will transmit. If the priority of the received BPDU is  better than its own priority, it will replace its BPDU with the received BPDU. Then,  the switch adds its own bridge ID number and increments the path cost of the  BPDU. The switch uses this information to block any necessary ports. Note: If STP is globally disabled, BPDUs from external devices will transit the  switch transparently. If STP is globally enabled, for ports where STP is turned off,  inbound BPDUs will instead be discarded. Determining the Path for Forwarding BPDUs When determining which port to use for forwarding and which port to block, the ...
  • Page 191 You can configure the root guard at the port level using the following commands: RS G8264(config)# interface port <port number> RS G8264(config­if)# spanning­tree guard root The default state is “none”, i.e. disabled. Loop Guard In general, STP resolves redundant network topologies into loop‐free topologies.  The loop guard feature performs additional checking to detect loops that might not  be found using Spanning Tree. STP loop guard ensures that a non‐designated port  does not become a designated port. To globally enable loop guard, enter the following command: RS G8264(config)# spanning­tree loopguard Note: The global loop guard command will be effective on a port only if the  port‐level loop guard command is set to default as shown below: RS G8264(config)# interface port <port number> RS G8264(config­if)# no spanning­tree guard To enable loop guard at the port level, enter the following command: RS G8264(config)# interface port <port number> RS G8264(config­if)# spanning­tree guard loop The default state is “none” (disabled). © Copyright Lenovo 2016 Chapter 11: Spanning Tree Protocols...
  • Page 192: Simple Stp Configuration

    RS G8264(config­if)# spanning­tree stp <STG number or range> path­cost <path cost  value>  RS G8264(config­if)# exit The port path cost can be a value from 1 to 200000000. Specify 0 for automatic path  cost. Simple STP Configuration Figure 11 depicts a simple topology using a switch‐to‐switch link between two  G8264 1 and 2.  Figure 11. Spanning Tree Blocking a Switch‐to‐Switch Link  Enterprise Routing Switches Switch 1 Switch 2 Blocks Link Server Server Server Server To prevent a network loop among the switches, STP must block one of the links  between them. In this case, it is desired that STP block the link between the Lenovo  switches, and not one of the G8264 uplinks or the Enterprise switch LAG. During operation, if one G8264 experiences an uplink failure, STP will activate the  Lenovo switch‐to‐switch link so that server traffic on the affected G8264 may pass  through to the active uplink on the other G8264, as shown in Figure G8264 Application Guide for ENOS 8.4...
  • Page 193 Figure 12. Spanning Tree Restoring the Switch‐to‐Switch Link  Enterprise Uplink Routing Failure Switches Switch 1 Switch 2 Restores Link Server Server Server Server In this example, port 10 on each G8264 is used for the switch‐to‐switch link. To  ensure that the G8264 switch‐to‐switch link is blocked during normal operation,  the port path cost is set to a higher value than other paths in the network. To  configure the port path cost on the switch‐to‐switch links in this example, use the  following commands on each G8264.     RS G8264(config)# interface port 10 RS G8264(config­if)# spanning­tree stp 1 path­cost 60000 RS G8264(config­if)# exit © Copyright Lenovo 2016 Chapter 11: Spanning Tree Protocols...
  • Page 194: Per-Vlan Spanning Tree Groups

    Per-VLAN Spanning Tree Groups PVRST mode supports a maximum of 256 STGs, with each STG acting as an  independent, simultaneous instance of STP. STG 256 can only be used for  management traffic. Notes:  By default, a maximum number of 128 STGs is supported. To upgrade the value  to 256, configure the switch accordingly and reboot. Make sure the PVRST  switches are both booted with 128 STGs profile or 256 STGs profile.  For optimal performance, it is recommended to stay within a maximum of 10  interfaces or aggregated links (including vLAGs) with 4K MAC table entries  when deploying 256 STP groups. Multiple STGs provide multiple data paths which can be used for load‐balancing  and redundancy. To enable load balancing between two G8264s using multiple  STGs, configure each path with a different VLAN and then assign each VLAN to a  separate STG. Since each STG is independent, they each send their own IEEE  802.1Q tagged Bridge Protocol Data Units (BPDUs). Each STG behaves as a bridge group and forms a loop‐free topology. The default  STG 1 may contain multiple VLANs (typically until they can be assigned to  another STG). STGs 2‐256 may contain only one VLAN each. Using Multiple STGs to Eliminate False Loops Figure 13 shows a simple example of why multiple STGs are needed. In the figure,  two ports on a G8264 are connected to two ports on an application switch. Each of  the links is configured for a different VLAN, preventing a network loop. However,  in the first network, since a single instance of Spanning Tree is running on all the  ports of the G8264, a physical loop is assumed to exist, and one of the VLANs is  blocked, impacting connectivity even though no actual loop exists. Figure 13. Using Multiple Instances of Spanning Tree Group Switch 1 Switch 2 STG 1...
  • Page 195 In the second network, the problem of improper link blocking is resolved when the  VLANs are placed into different Spanning Tree Groups (STGs). Since each STG has  its own independent instance of Spanning Tree, each STG is responsible only for  the loops within its own VLAN. This eliminates the false loop, and allows both  VLANs to forward packets between the switches at the same time. © Copyright Lenovo 2016 Chapter 11: Spanning Tree Protocols...
  • Page 196: Vlans And Stg Assignment

    VLANs and STG Assignment In PVRST mode, up to 256 STGs are supported. Ports cannot be added directly to  an STG. Instead, ports must be added as members of a VLAN, and the VLAN must  then be assigned to the STG.  STG 1 is the default STG. Although VLANs can be added to or deleted from  default STG 1, the STG itself cannot be deleted from the system. By default, STG 1  is enabled and includes VLAN 1, which by default includes all switch ports (except  for management VLANs and management ports) STG 256 is reserved for switch management. By default, STG 256 is disabled, but  includes management VLAN 4095 and the management port. By default, all other STGs (STG 2 through 255) are enabled, though they initially  include no member VLANs. VLANs must be assigned to STGs. By default, this is  done automatically using VLAN Automatic STG Assignment (VASA), though it  can also be done manually (see “Manually Assigning STGs” on page 197. When VASA is enabled (as by default), each time a new VLAN is configured, the  switch will automatically assign that new VLAN to its own STG. Conversely, when  a VLAN is deleted, if its STG is not associated with any other VLAN, the STG is  returned to the available pool. The specific STG number to which the VLAN is assigned is based on the VLAN  number itself. For low VLAN numbers (1 through 255), the switch will attempt to  assign the VLAN to its matching STG number. For higher numbered VLANs, the  STG assignment is based on a simple modulus calculation; the attempted STG  number will “wrap around,” starting back at the top of STG list each time the end  of the list is reached. However, if the attempted STG is already in use, the switch  will select the next available STG. If an empty STG is not available when creating a  new VLAN, the VLAN is automatically assigned to default STG 1. If ports are tagged, each tagged port sends out a special BPDU containing the  tagged information. Also, when a tagged port belongs to more than one STG, the  egress BPDUs are tagged to distinguish the BPDUs of one STG from those of  another STG. VASA is enabled by default, but can be disabled or re‐enabled using the following  commands:     RS G8264(config)# [no] spanning­tree stg­auto If VASA is disabled, when you create a new VLAN, that VLAN automatically  belongs to default STG 1. To place the VLAN in a different STG, assign it manually. VASA applies only to PVRST mode and is ignored in RSTP and MSTP modes.
  • Page 197: Manually Assigning Stgs

    197. The VLAN is  automatically removed from its old STG before being placed into the new STG.  Each VLANs must be contained within a single STG; a VLAN cannot span  multiple STGs. By confining VLANs within a single STG, you avoid problems  with Spanning Tree blocking ports and causing a loss of connectivity within the  VLAN. When a VLAN spans multiple switches, it is recommended that the  VLAN remain within the same STG (be assigned the same STG ID) across all the  switches.  If ports are tagged, all aggregated ports can belong to multiple STGs.  A port cannot be directly added to an STG. The port must first be added to a  VLAN, and that VLAN added to the desired STG. Rules for VLAN Tagged/Trunk Mode Ports The following rules apply to VLAN tagged ports:  Tagged/trunk mode ports can belong to more than one STG, but  untagged/access mode ports can belong to only one STG.  When a tagged/trunk mode port belongs to more than one STG, the egress  BPDUs are tagged to distinguish the BPDUs of one STG from those of another  STG. © Copyright Lenovo 2016 Chapter 11: Spanning Tree Protocols...
  • Page 198: Adding And Removing Ports From Stgs

    Adding and Removing Ports from STGs The following rules apply when you add ports to or remove ports from STGs: When you add a port to a VLAN that belongs to an STG, the port is also added   to that STG. However, if the port you are adding is an untagged port and is  already a member of another STG, that port will be removed from its current  STG and added to the new STG. An untagged port cannot belong to more than  one STG. For example: Assume that VLAN 1 belongs to STG 1, and that port 1 is untagged  and does not belong to any STG. When you add port 1 to VLAN 1, port 1 will  automatically become part of STG 1. However, if port 5 is untagged and is a member of VLAN 3 in STG 2, then  adding port 5 to VLAN 1 in STG 1 will change the port PVID from 3 to 1:  "Port 5 is an UNTAGGED/Access Mode port and its PVID/Native­VLAN  changed from 3 to 1. When you remove a port from VLAN that belongs to an STG, that port will also   be removed from the STG. However, if that port belongs to another VLAN in the  same STG, the port remains in the STG. As an example, assume that port 2 belongs to only VLAN 2, and that VLAN 2  belongs to STG 2. When you remove port 2 from VLAN 2, the port is moved to  default VLAN 1 and is removed from STG 2. However, if port 2 belongs to both VLAN 1 and VLAN 2, and both VLANs  belong to STG 1, removing port 2 from VLAN 2 does not remove port 2 from  STG 1 because the port is still a member of VLAN 1, which is still a member of  STG 1.  An STG cannot be deleted, only disabled. If you disable the STG while it still  contains VLAN members, Spanning Tree will be off on all ports belonging to  that VLAN. The relationship between port, LAGs, VLANs, and Spanning Trees is shown in  Table 17 on page 189. G8264 Application Guide for ENOS 8.4...
  • Page 199: The Switch-Centric Model

    Application Switch C Switch D The VLAN participation for each Spanning Tree Group in Figure 14 on page 199 is  as follows: VLAN 1 Participation  Assuming Switch B to be the root bridge, Switch B transmits the BPDU for STG  1 on ports 1 and 2. Switch C receives the BPDU on port 2, and Switch D receives  the BPDU on port 1. Because there is a network loop between the switches in  VLAN 1, either Switch D will block port 8 or Switch C will block port 1,  depending on the information provided in the BPDU.  VLAN 2 Participation Switch B, the root bridge, generates a BPDU for STG 2 from port 8. Switch A  receives this BPDU on port 17, which is assigned to VLAN 2, STG 2. Because  switch B has no additional ports participating in STG 2, this BPDU is not  forwarded to any additional ports and Switch B remains the designated root.  VLAN 3 Participation For VLAN 3, Switch A or Switch C may be the root bridge. If Switch A is the root  bridge for VLAN 3, STG 3, then Switch A transmits the BPDU from port 18.  Switch C receives this BPDU on port 8 and is identified as participating in  VLAN 3, STG 3. Since Switch C has no additional ports participating in STG 3,  this BPDU is not forwarded to any additional ports and Switch A remains the  designated root. © Copyright Lenovo 2016 Chapter 11: Spanning Tree Protocols...
  • Page 200: Configuring Multiple Stgs

    Configuring Multiple STGs This configuration shows how to configure the three instances of STGs on the  switches A, B, C, and D illustrated in Figure 14 on page 199. Because VASA is enabled by default, each new VLAN is automatically assigned its  own STG.  1. Set the Spanning Tree mode on each switch to PVRST.    RS G8264(config)# spanning­tree mode pvrst Note: PVRST is the default mode on the G8264. This step is not required unless the  STP mode has been previously changed, and is shown here merely as an example  of manual configuration. 2. Configure the following on Switch A: a. Enable VLAN 2 and VLAN 3.  RS G8264(config)# vlan 2 RS G8264(config­vlan)# exit RS G8264(config)# vlan 3 RS G8264(config­vlan)# exit If VASA is disabled, enter the following commands: RS G8264(config)# spanning­tree stp 2 vlan 2 RS G8264(config)# spanning­tree stp 3 vlan 3 b. Add port 17 to VLAN 2, port 18 to VLAN 3.    RS G8264(config)# interface port 17 RS G8264(config­if)# switchport mode trunk RS G8264(config­if)# switchport trunk allowed vlan 2 RS G8264(config­if)# exit RS G8264(config)# interface port 18...
  • Page 201 RS G8264(config)# spanning­tree stp 2 vlan 2 b. VLAN 2 is automatically removed from STG 1. By default VLAN 1 remains in  STG 1. 4. Configure the following on application switch C: a. Add port 8 to VLAN 3. Ports 1 and 2 are by default in VLAN 1 assigned to STG  1.   RS G8264(config)# vlan 3 RS G8264(config­vlan)# exit RS G8264(config)# interface port 8 RS G8264(config­if)# switchport mode trunk RS G8264(config­if)# switchport trunk allowed vlan 3 RS G8264(config­if)# exit If VASA is disabled, enter the following command: RS G8264(config)# spanning­tree stp 3 vlan 3 b. VLAN 3 is automatically removed from STG 1. By default VLAN 1 remains in  STG 1. 5. Switch D does not require any special configuration for multiple Spanning Trees.  Switch D uses default STG 1 only. © Copyright Lenovo 2016 Chapter 11: Spanning Tree Protocols...
  • Page 202: Rapid Spanning Tree Protocol

    Rapid Spanning Tree Protocol RSTP provides rapid convergence of the Spanning Tree and provides the fast  re‐configuration critical for networks carrying delay‐sensitive traffic such as voice  and video. RSTP significantly reduces the time to reconfigure the active topology  of the network when changes occur to the physical topology or its configuration  parameters. RSTP reduces the bridged‐LAN topology to a single Spanning Tree. RSTP was originally defined in IEEE 802.1w (2001) and was later incorporated into  IEEE 802.1D (2004), superseding the original STP standard. RSTP parameters apply only to Spanning Tree Group (STG) 1. The PVRST mode  STGs 2‐256 are not used when the switch is placed in RSTP mode. RSTP is compatible with devices that run IEEE 802.1D (1998) Spanning Tree  Protocol. If the switch detects IEEE 802.1D (1998) BPDUs, it responds with IEEE  802.1D (1998)‐compatible data units. RSTP is not compatible with Per‐VLAN  Rapid Spanning Tree (PVRST) protocol.  Port States RSTP port state controls are the same as for PVRST: discarding, learning, and  forwarding. Due to the sequence involved in these STP states, considerable delays may occur  while paths are being resolved. To mitigate delays, ports defined as edge/portfast  ports (“Port Type and Link Type” on page 208) may bypass the discarding and  learning states, and enter directly into the forwarding state. RSTP Configuration Guidelines This section provides important information about configuring RSTP. When RSTP  is turned on, the following occurs:  STP parameters apply only to STG 1.  Only STG 1 is available. All other STGs are turned off.  All VLANs, including management VLANs, are moved to STG 1. G8264 Application Guide for ENOS 8.4...
  • Page 203: Rstp Configuration Example

    4. Configure port parameters:  RS G8264(config)# interface port 3 RS G8264(config-if)# spanning-tree stp 1 priority 240 RS G8264(config-if)# spanning-tree stp 1 path-cost 500 RS G8264(config-if)# no spanning-tree stp 1 enable RS G8264(config-if)# exit © Copyright Lenovo 2016 Chapter 11: Spanning Tree Protocols...
  • Page 204: Multiple Spanning Tree Protocol

    Multiple Spanning Tree Protocol Multiple Spanning Tree Protocol (MSTP) extends Rapid Spanning Tree Protocol  (RSTP), allowing multiple Spanning Tree Groups (STGs) which may each include  multiple VLANs. MSTP was originally defined in IEEE 802.1s (2002) and was later  included in IEEE 802.1Q (2003). In MSTP mode, the G8264 supports up to 32 instanc