Download Print this page

Lenovo Flex System Fabric CN4093 Application Manual

How to configure and use the enterprise nos 8.4 software on the 10 gb converged scalable switch
Hide thumbs

Advertisement

Quick Links

Lenovo Flex System Fabric CN4093 10 Gb Converged Scalable Switch
Application Guide
For Lenovo Enterprise Network Operating System 8.4

Advertisement

loading

  Related Manuals for Lenovo Flex System Fabric CN4093

  Summary of Contents for Lenovo Flex System Fabric CN4093

  • Page 1 Lenovo Flex System Fabric CN4093 10 Gb Converged Scalable Switch Application Guide For Lenovo Enterprise Network Operating System 8.4...
  • Page 2 Note: Before using this information and the product it supports, read the general information in the Safety information and  Environmental Notices and User Guide documents on the Lenovo Documentation CD and the Warranty Information document that comes  with the product. Third Edition (July 2017) © Copyright Lenovo 2017 Portions © Copyright IBM Corporation 2014. LIMITED AND RESTRICTED RIGHTS NOTICE: If data or software is delivered pursuant a General Services  Administration “GSA” contract, use, reproduction, or disclosure is subject to restrictions set forth in Contract No.  GS‐35F‐05925. Lenovo and the Lenovo logo are trademarks of Lenovo in the United States, other countries, or both.
  • Page 3: Table Of Contents

    Browser‐Based Interface  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .31 Establishing a Connection  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .32 Using the Chassis Management Module  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .32 Factory‐Default vs. CMM‐Assigned IP Addresses  .   .   .   .   .   .   .   .   .   .32 Using Telnet  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .33 Using Secure Shell.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .33 Using SSH with Password Authentication    .   .   .   .   .   .   .   .   .   .   .   .   .35 Using SSH with Public Key Authentication  .   .   .   .   .   .   .   .   .   .   .   .   .35 Using a Web Browser   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .36 Configuring HTTP Access to the BBI .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .36 Configuring HTTPS Access to the BBI   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .37 BBI Summary .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .38 Using Simple Network Management Protocol.   .   .   .   .   .   .   .   .   .   .   .   .   .39 BOOTP/DHCP Client IP Address Services  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .40 Host Name Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .40 SYSLOG Server .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .41 DHCP Snooping   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .41 Easy Connect Wizard  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .42 Configuring the Easy Connect Wizard .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .42 Basic System Mode Configuration Example .   .   .   .   .   .   .   .   .   .   .   .   .43 Transparent Mode Configuration Example  .   .   .   .   .   .   .   .   .   .   .   .   .44 Redundant Mode Configuration Example    .   .   .   .   .   .   .   .   .   .   .   .   .45 Switch Login Levels .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .47 Administrator Password Recovery   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .49 Secure FTP.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .51 © Copyright Lenovo 2017...
  • Page 4 Boot Strict Mode  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 52 Acceptable Cipher Suites    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 55 Configuring Strict Mode .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 56 Limitations.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 56 Configuring No‐Prompt Mode .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 57 Chapter 2. Initial Setup ..... 59 Information Needed for Setup  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   . 60 Default Setup Options    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .
  • Page 5 Chapter 5. Authentication & Authorization Protocols ..99 RADIUS Authentication and Authorization   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  100 How RADIUS Authentication Works   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  100 Configuring RADIUS on the Switch  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  101 RADIUS Authentication Features in Enterprise NOS .   .   .   .   .   .   .   .   .   .  101 Switch User Accounts  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  102 RADIUS Attributes for Enterprise NOS User Privileges    .   .   .   .   .   .   .   .  103 TACACS+ Authentication  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  104 How TACACS+ Authentication Works.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  104 TACACS+ Authentication Features in Enterprise NOS  .   .   .   .   .   .   .   .   .  105 Authorization .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  105 Backdoor .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  106 Accounting .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  106 Command Authorization and Logging .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  107 TACACS+ Password Change  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  109 Configuring TACACS+ Authentication on the Switch   .   .   .   .   .   .   .   .   .  109 LDAP Authentication and Authorization    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  110 Configuring the LDAP Server.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  110 Configuring LDAP Authentication on the Switch  .   .   .   .   .   .   .   .   .   .   .  111 © Copyright Lenovo 2017 Contents...
  • Page 6 Chapter 6. 802.1X Port-Based Network Access Control ..113 Extensible Authentication Protocol over LAN   .   .   .   .   .   .   .   .   .   .   .   .   .   .   114 EAPoL Authentication Process  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   115 EAPoL Message Exchange  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   116 EAPoL Port States    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   116 Guest VLAN.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   117 Supported RADIUS Attributes .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   118 EAPoL Configuration Guidelines .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   120 Chapter 7. Access Control Lists....121 Summary of Packet Classifiers  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 7 Chapter 10. Spanning Tree Protocols....171 Spanning Tree Protocol Modes  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  172 Global STP Control   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  172 PVRST Mode.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  173 Port States  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  173 Bridge Protocol Data Units .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  174 Determining the Path for Forwarding BPDUs  .   .   .   .   .   .   .   .   .   .   .  174 Bridge Priority   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  174 Port Priority    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  175 Root Guard .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  175 Loop Guard.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  175 Port Path Cost.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  176 Simple STP Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  176 Per‐VLAN Spanning Tree Groups .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  178 Using Multiple STGs to Eliminate False Loops.   .   .   .   .   .   .   .   .   .   .  178 VLAN and STG Assignment   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  179 Manually Assigning STGs    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  180 Guidelines for Creating VLANs  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  180 Rules for VLAN Tagged Ports .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  180 Adding and Removing Ports from STGs   .   .   .   .   .   .   .   .   .   .   .   .   .  181 Switch‐Centric Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  182 Configuring Multiple STGs .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  183 © Copyright Lenovo 2017 Contents...
  • Page 8 Rapid Spanning Tree Protocol  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   185 Port States  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   185 RSTP Configuration Guidelines .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   185 RSTP Configuration Example.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   186 Multiple Spanning Tree Protocol  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   187 MSTP Region.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   187 Common Internal Spanning Tree  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   187 MSTP Configuration Guidelines   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   188 MSTP Configuration Examples .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   188 MSTP Configuration Example 1 .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   188 MSTP Configuration Example 2 .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   189 Port Type and Link Type   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   191 Edge/Portfast Port    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   191 Link Type  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   191 Chapter 11. Virtual Link Aggregation Groups ... . 193 VLAG Capacities .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 9 Configuring a Management IP Interface   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  243 Additional Master Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  244 Viewing Stack Connections .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  244 Binding Members to the Stack .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  245 Assigning a Stack Backup Switch   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  245 Managing a Stack .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  246 Connecting to Stack Switches via the Master   .   .   .   .   .   .   .   .   .   .   .   .   .  246 Rebooting Stacked Switches via the Master .   .   .   .   .   .   .   .   .   .   .   .   .   .  246 Rebooting Stacked Switches using the ISCLI    .   .   .   .   .   .   .   .   .   .   .  246 Rebooting Stacked Switches using the BBI    .   .   .   .   .   .   .   .   .   .   .   .  247 Upgrading Software in a Stack  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  248 New Hybrid Stack    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  248 Converting a EN4093R Stack to a Hybrid Stack  .   .   .   .   .   .   .   .   .   .   .   .  248 New Stack  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  248 Replacing or Removing Stacked Switches   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  249 Removing a Switch from the Stack.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  249 Installing the New Switch or Healing the Topology   .   .   .   .   .   .   .   .   .   .  249 Binding the New Switch to the Stack.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  251 Performing a Rolling Reload or Upgrade .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  252 Starting a Rolling Reload  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  252 Starting a Rolling Upgrade  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  252 Saving Syslog Messages  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  254 Flexible Port Mapping in Stacking    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  256 ISCLI Stacking Commands.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  258 © Copyright Lenovo 2017 Contents...
  • Page 10 Chapter 14. Virtualization ....259 Chapter 15. Virtual NICs ..... 261 vNIC IDs on the Switch  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 11 FCoE Example Configuration    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  326 Chapter 18. Fibre Channel ....329 Ethernet vs. Fibre Channel .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  330 Supported Switch Roles  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  331 NPV Gateway    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  331 Full‐Fabric FC/FCoE Switch    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  332 Limitations .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  332 © Copyright Lenovo 2017 Contents...
  • Page 12 Implementing Fibre Channel.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   333 Port Modes    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   333 Fibre Channel VLANs .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   334 Port Membership .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   334 Switching Mode   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   335 NPV Gateway   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   336 NPV Port Traffic Mapping  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   336 NPV Disruptive Load‐Balancing    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   336 Limitations .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   337 Full Fabric Mode  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   338 Full Fabric Zoning.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   338 Zones  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   338 E‐Ports.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   341 Optimized FCoE Traffic Flow .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   342 Storage Management Initiative Specification (SMI‐S)    .   .   .   .   .   .   .   .   .   343 Restrictions.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   343 Fibre Channel Configuration .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   344 Configuration Guidelines   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 13 BOOTP Relay Agent    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  399 BOOTP Relay Agent Configuration   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  399 Domain‐Specific BOOTP Relay Agent Configuration.   .   .   .   .   .   .   .   .   .  400 Dynamic Host Configuration Protocol .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  401 DHCP Relay Agent  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  401 DHCP Relay Agent Configuration.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  402 Chapter 24. Internet Protocol Version 6 ....403 IPv6 Limitations   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  404 IPv6 Address Format   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  405 © Copyright Lenovo 2017 Contents...
  • Page 14 IPv6 Address Types    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   406 Unicast Address   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   406 Multicast Address    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   406 Anycast Address  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   407 IPv6 Address Auto‐configuration.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   408 IPv6 Interfaces .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   409 Neighbor Discovery    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   410 Host vs. Router .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   411 Supported Applications .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   412 IPv6 Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   414 Configuration Guidelines   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   414 IPv6 Configuration Examples.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   414 IPv6 Configuration Example 1    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   414 IPv6 Configuration Example 2    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   415 Chapter 25. Using IPsec with IPv6 ....417 IPsec Protocols .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 15 Chapter 30. OSPF ......467 OSPFv2 Overview    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  467 Types of OSPF Areas    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  468 Types of OSPF Routing Devices .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  469 Neighbors and Adjacencies .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  470 The Link‐State Database  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  470 The Shortest Path First Tree    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  471 Internal Versus External Routing   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  471 © Copyright Lenovo 2017 Contents...
  • Page 16 OSPFv2 Implementation in Enterprise NOS   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   472 Configurable Parameters.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   472 Defining Areas  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   473 Assigning the Area Index    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   473 Using the Area ID to Assign the OSPF Area Number.   .   .   .   .   .   .   .   474 Attaching an Area to a Network.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   474 Interface Cost    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   475 Electing the Designated Router and Backup   .   .   .   .   .   .   .   .   .   .   .   .   .   475 Summarizing Routes   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   475 Default Routes  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   476 Virtual Links .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   477 Router ID   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   477 Authentication  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   478 Configuring Plain Text OSPF Passwords  .   .   .   .   .   .   .   .   .   .   .   .   .   479 Configuring MD5 Authentication  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   480 Host Routes for Load Balancing.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 17 Manual Monitor Example   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  522 Chapter 34. Virtual Router Redundancy Protocol ... 523 VRRP Overview   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  523 VRRP Components   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  524 Virtual Router.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  524 Virtual Router MAC Address  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  524 Owners and Renters  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  524 Master and Backup Virtual Router .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  524 Virtual Interface Router    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  525 VRRP Operation   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  525 Selecting the Master VRRP Router .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  525 © Copyright Lenovo 2017 Contents...
  • Page 18 Failover Methods.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   526 Active‐Active Redundancy .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   527 Hot‐Standby Redundancy  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   527 Virtual Router Group  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   528 Enterprise NOS Extensions to VRRP    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   529 Virtual Router Deployment Considerations   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   530 Assigning VRRP Virtual Router ID   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   530 Configuring the Switch for Tracking.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   530 High Availability Configurations .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   531 Active‐Active Configuration  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   531 Task 1: Configure CN4093 1    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   532 Task 2: Configure CN4093 2    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   533 Hot‐Standby Configuration    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   535 Task 1: Configure CN4093 1    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   536 Task 2: Configure CN4093 2    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   537 Part 7:.
  • Page 19 Part 8:. Monitoring ..... . . 595 Chapter 40. Remote Monitoring ....597 RMON Overview .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  597 RMON Group 1–Statistics  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  598 RMON Group 2–History.   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  599 History MIB Objects .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  599 Configuring RMON History   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  599 © Copyright Lenovo 2017 Contents...
  • Page 20 RMON Group 3–Alarms    .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   601 Alarm MIB Objects   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   601 Configuring RMON Alarms   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   601 Alarm Example 1  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   601 Alarm Example 2  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   602 RMON Group 9–Events .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   603 Chapter 41. sFLOW ..... . . 605 sFlow Statistical Counters  .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .  ...
  • Page 21: Preface

    Part 1: Getting Started This material is intended to help those new to Enterprise NOS products with the  basics of switch management. This part includes the following chapters:  Chapter 1, “Switch Administration,” describes how to access the CN4093 in  order to configure the switch and view switch information and statistics. This  chapter discusses a variety of manual administration interfaces, including local  management via the switch console, and remote administration via Telnet, a  web browser or via SNMP.  Chapter 2, “Initial Setup,” describes how to use the built‐in Setup utility to  perform first‐time configuration of the switch.  Chapter 3, “Switch Software Management,” describes how to update the N/OS  software operating on the switch. Part 2: Securing the Switch  Chapter 4, “Securing Administration,” describes methods for changing the  default switch passwords, using Secure Shell and Secure Copy for  administration connections, configuring end‐user access control, and placing  the switch in protected mode. Chapter 5, “Authentication & Authorization Protocols,” describes different   secure administration for remote administrators. This includes using Remote  Authentication Dial‐in User Service (RADIUS), as well as TACACS+ and LDAP. © Copyright Lenovo 2017...
  • Page 22: Part 4: Advanced Switching Features

    (STP) configures the network so that the switch selects the most efficient path  when multiple paths exist. Also includes the Rapid Spanning Tree Protocol  (RSTP), Per‐VLAN Rapid Spanning Tree Plus (PVRST+), and Multiple Spanning  Tree Protocol (MSTP) extensions to STP.  Chapter 11, “Virtual Link Aggregation Groups,” describes using Virtual Link  Aggregation Groups (vLAG) to form LAGs spanning multiple vLAG‐capable  aggregator switches.  Chapter 12, “Quality of Service,” discusses Quality of Service (QoS) features,  including IP filtering using Access Control Lists (ACLs), Differentiated Services,  and IEEE 802.1p priority values. Part 4: Advanced Switching Features  Chapter 13, “Stacking,” describes how to implement the stacking feature in the  Lenovo Flex System Fabric CN4093 10 Gb Converged Scalable Switch. Chapter 14, “Virtualization,” provides an overview of allocating resources   based on the logical needs of the data center, rather than on the strict, physical  nature of components.  Chapter 15, “Virtual NICs,” discusses using virtual NIC (vNIC) technology to  divide NICs into multiple logical, independent instances.  Chapter 16, “VMready,” discusses virtual machine (VM) support on the  CN4093. Chapter 17, “FCoE and CEE,” discusses using various Converged Enhanced   Ethernet (CEE) features such as Priority‐based Flow Control (PFC), Enhanced ...
  • Page 23: Part 5: Ip Routing

    27, “Internet Group Management Protocol,” describes how the  Enterprise NOS software implements IGMP Snooping or IGMP Relay to  conserve bandwidth in a multicast‐switching environment.  Chapter 28, “Multicast Listener Discovery,” describes how Multicast Listener  Discovery (MLD) is used with IPv6 to support host users requests for multicast  data for a multicast group.  Chapter 29, “Border Gateway Protocol,” describes Border Gateway Protocol  (BGP) concepts and features supported in Enterprise NOS.  Chapter 30, “OSPF,” describes key Open Shortest Path First (OSPF) concepts  and their implemented in Enterprise NOS, and provides examples of how to  configure your switch for OSPF support.  Chapter 31, “Protocol Independent Multicast,” describes how multicast routing  can be efficiently accomplished using the Protocol Independent Multicast (PIM)  feature. Part 6: High Availability Fundamentals  Chapter 32, “Basic Redundancy,” describes how the CN4093 supports  redundancy through aggregation and Hotlinks.   Chapter 33, “Layer 2 Failover,” describes how the CN4093 supports  high‐availability network topologies using Layer 2 Failover. © Copyright Lenovo 2017 Preface...
  • Page 24: Part 7: Network Management

     Chapter 34, “Virtual Router Redundancy Protocol,” describes how the CN4093  supports high‐availability network topologies using Virtual Router Redundancy  Protocol (VRRP). Part 7: Network Management Chapter 35, “Link Layer Discovery Protocol,” describes how Link Layer   Discovery Protocol helps neighboring network devices learn about each others’  ports and capabilities.  Chapter 36, “Simple Network Management Protocol,” describes how to  configure the switch for management through an SNMP client. Chapter 37, “Service Location Protocol,” describes the Service Location Protocol   (SLP) that allows the switch to provide dynamic directory services.  Chapter 38, “System License Keys,” describes how to manage Features on  Demand (FoD) licenses and how to allocate bandwidth between physical ports  within the installed licenses’ limitations. Part 8: Monitoring  Chapter 40, “Remote Monitoring,” describes how to configure the RMON agent  on the switch, so that the switch can exchange network monitoring data.  Chapter 41, “sFLOW, described how to use the embedded sFlow agent for  sampling network traffic and providing continuous monitoring information to a  central sFlow analyzer.  Chapter 42, “Port Mirroring,” discusses tools how copy selected port traffic to a ...
  • Page 25: Additional References

    Additional References Additional information about installing and configuring the CN4093 is available in  the following guides:  Lenovo Flex System Fabric CN4093 10 Gb Converged Scalable Switch Installation  Guide  Lenovo Flex System Fabric CN4093 10 Gb Converged Scalable Switch Command  Reference for Lenovo Network Operating System 8.4  Lenovo Network Browser‐Based Interface Quick Guide © Copyright Lenovo 2017 Preface...
  • Page 26: Typographic Conventions

    Typographic Conventions The following table describes the typographic styles used in this book. Table 1. Typographic Conventions Typeface or Meaning Example Symbol ABC123 This type is used for names of  View the readme.txt file. commands, files, and directories  used within the text. Main# It also depicts on‐screen computer  output and prompts. ABC123 Main# sys This bold type appears in  command examples. It shows text  that must be typed in exactly as  shown. <ABC123> This italicized type appears in  To establish a Telnet session,  command examples as a  enter: host# telnet <IP address> parameter placeholder. Replace  the indicated text with the  appropriate real name or value  when using the command. Do not  type the brackets. This also shows book titles,  Read your User’s Guide ...
  • Page 27: Part 1: Getting Started

    Part 1: Getting Started © Copyright Lenovo 2017...
  • Page 28 CN4093 Application Guide for N/OS 8.4...
  • Page 29: Chapter 1. Switch Administration

    Chapter 1. Switch Administration Your CN4093 10 Gb Converged Scalable Switch is ready to perform basic switching  functions right out of the box. Some of the more advanced features, however,  require some administrative configuration before they can be used effectively. The extensive Enterprise NOS switching software included in the CN4093  provides a variety of options for accessing the switch to perform configuration,  and to view switch information and statistics. This chapter discusses the various methods that can be used to administer the  switch. © Copyright Lenovo 2017...
  • Page 30: Administration Interfaces

     The Flex System chassis management module tools for general chassis  management  A built‐in, text‐based command‐line interface and menu system for access via  serial‐port connection or an optional Telnet or SSH session  The built‐in Browser‐Based Interface (BBI) available using a standard  web‐browser  SNMP support for access through network management software such as IBM  Director. The specific interface chosen for an administrative session depends on user  preferences, as well as the switch configuration and the available client tools. In all cases, administration requires that the switch hardware is properly installed  and turned on. (see the Lenovo Flex System Fabric CN4093 10 Gb Converged Scalable  Switch Installation Guide).  Chassis Management Module The CN4093 10 Gb Converged Scalable Switch is an integral subsystem within the  overall Lenovo Flex System. The Flex System chassis also includes a chassis  management module (CMM) as the central element for overall chassis  management and control. Using the tools available through the CMM, the  administrator can configure many of the CN4093 features and can also access other  CN4093 administration interfaces. For more information, see “Using the Chassis Management Module” on page Industry Standard Command Line Interface The Industry Standard Command Line Interface (ISCLI) provides a simple, direct  method for switch administration. Using a basic terminal, you can issue  commands that allow you to view detailed information and statistics about the  switch, and to perform any necessary configuration and switch software  maintenance. You can establish a connection to the CLI in any of the following ways: ...
  • Page 31: Browser-Based Interface

    Browser-Based Interface The Browser‐based Interface (BBI) provides access to the common configuration,  management and operation features of the CN4093 through your Web browser. For more information, refer to the Enterprise NOS BBI Quick Guide. © Copyright Lenovo 2017 Chapter 1: Switch Administration...
  • Page 32: Establishing A Connection

     Out‐of‐band Management Port 1: 192.168.50.50/24 Remote access using the network requires the accessing terminal to have a valid,  routable connection to the switch interface. The client IP address may be  configured manually, or an IPv4 address can be provided automatically through  the switch using a service such as DHCP or BOOTP relay (see “BOOTP/DHCP  Client IP Address Services” on page 40), or an IPv6 address can be obtained using  IPv6 stateless address configuration. Note: Throughout this manual, IP address is used in places where either an IPv4 or  IPv6 address is allowed. IPv4 addresses are entered in dotted‐decimal notation (for  example, 10.10.10.1), while IPv6 addresses are entered in hexadecimal notation (for  example, 2001:db8:85a3::8a2e:370:7334). In places where only one type of address is  allowed, IPv4 address or IPv6 address is specified. Using the Chassis Management Module The CN4093 is an integral subsystem within the overall Lenovo Flex System. The  Flex System chassis includes a chassis management module (CMM) as the central  element for overall chassis management and control. The CN4093 uses port 43 (MGT1) to communicate with the chassis management  module(s). Even when the CN4093 is in a factory default configuration, you can  use the 1Gb Ethernet port on each CMM to configure and manage the CN4093. For more information about using the chassis management module, see the Lenovo  Flex System Fabric CN4093 10 Gb Converged Scalable Switch Installation Guide.  Factory-Default vs. CMM-Assigned IP Addresses Each CN4093 must be assigned its own Internet Protocol version 4 (IPv4) address,  which is used for communication with an SNMP network manager or other  transmission control protocol/Internet Protocol (TCP/IP) applications (for example,  BOOTP or TFTP). The factory‐default IPv4 address is 10.90.90.x, where x is based  on the number of the bay into which the CN4093 is installed. For additional  information, see the Installation Guide. The chassis management module assigns an  IPv4 address of 192.168.70.1xx, where xx is also based on the number of the bay ...
  • Page 33: Using Telnet

    CN 4093(config)# [no] access telnet enable Once the switch is configured with an IP address and gateway, you can use Telnet  to access switch administration from any workstation connected to the  management network. To establish a Telnet connection with the switch, run the Telnet program on your  workstation and issue the following Telnet command:   telnet <switch IPv4 or IPv6 address> You will then be prompted to enter a password as explained “Switch Login Levels”  on page Two attempts are allowed to log in to the switch. After the second unsuccessful  attempt, the Telnet client is disconnected via TCP session closure.  Using Secure Shell Although a remote network administrator can manage the configuration of a  CN4093 via Telnet, this method does not provide a secure connection. The Secure  Shell (SSH) protocol enables you to securely log into another device over a network  to execute commands remotely. As a secure alternative to using Telnet to manage  switch configuration, SSH ensures that all data sent over the network is encrypted  and secure. The switch can do only one session of key/cipher generation at a time. Thus, a  SSH/SCP client will not be able to login if the switch is doing key generation at that  time. Similarly, the system will fail to do the key generation if a SSH/SCP client is  logging in at that time. The supported SSH encryption and authentication methods are listed below.  Server Host Authentication: Client RSA‐authenticates the switch when starting  each connection © Copyright Lenovo 2017 Chapter 1: Switch Administration...
  • Page 34  Key Exchange: ecdh‐sha2‐nistp521, ecdh‐sha2‐nistp384, ecdh‐sha2‐nistp256,  ecdh‐sha2‐nistp224, ecdh‐sha2‐nistp192, rsa2048‐sha256, rsa1024‐sha1,  diffie‐hellman‐group‐exchange‐sha256, diffie‐hellman‐group‐exchange‐sha1,  diffie‐hellman‐group14‐sha1, diffie‐hellman‐group1‐sha1  Encryption: aes128‐ctr, aes128‐cbc, rijndael128‐cbc, blowfish‐cbc,3des‐cbc,  arcfour256, arcfour128, arcfour  MAC: hmac‐sha1, hmac‐sha1‐96, hmac‐md5, hmac‐md5‐96  User Authentication: Local password authentication, RADIUS, TACACS+ CN4093 Application Guide for N/OS 8.4...
  • Page 35: Using Ssh With Password Authentication

    Port type ["DATA"/"MGT"]: mgt Address or name of remote host: 9.43.101.151 Source file name: 11.key Username of the public key: admin Confirm download operation (y/n) ? y Note: When prompted to input a username, a valid user account name must be  entered. If no username is entered, the key is stored on the switch, and can be  assigned to a user account later. Note: A user account can have up to 100 public keys set up on the switch. © Copyright Lenovo 2017 Chapter 1: Switch Administration...
  • Page 36: Using A Web Browser

    3. Configure a maximum number of 3 failed public key authentication attempts  before the system reverts to password‐based authentication: CN 4093(config)# ssh maxauthattempts 3 Once the public key is configured on the switch, the client can use SSH to login  from a system where the private key pair is set up: ssh <switch IP address> Using a Web Browser The switch provides a Browser‐Based Interface (BBI) for accessing the common  configuration, management and operation features of the CN4093 through your  Web browser. You can access the BBI directly from an open Web browser window. Enter the URL  using the IP address of the switch interface (for example, http://<IPv4 or IPv6  address>). When you first access the switch, you must enter the default username and  password: USERID; PASSW0RD (with a zero). You are required to change the  password after first login.  Configuring HTTP Access to the BBI By default, BBI access via HTTP is disabled on the switch. To enable or disable HTTP access to the switch BBI, use the following commands:     CN 4093(config)# access http enable (Enable HTTP access) ‐or‐ CN 4093(config)# no access http enable (Disable HTTP access) The default HTTP web server port to access the BBI is port 80. However, you can ...
  • Page 37: Configuring Https Access To The Bbi

    Email (eg, email address) []: <email address> Confirm generating certificate? [y/n]: y Generating certificate. Please wait (approx 30 seconds) restarting SSL agent 4. Save the HTTPS certificate. The certificate is valid only until the switch is rebooted. To save the certificate so  that it is retained beyond reboot or power cycles, use the following command:  CN 4093(config)# access https save-certificate When a client (such as a web browser) connects to the switch, the client is asked to  accept the certificate and verify that the fields match what is expected. Once BBI  access is granted to the client, the BBI can be used as described in the Enterprise  NOS BBI Quick Guide. © Copyright Lenovo 2017 Chapter 1: Switch Administration...
  • Page 38: Bbi Summary

    BBI Summary The BBI is organized at a high level as follows: Context buttons—These buttons allow you to select the type of action you wish to  perform. The Configuration button provides access to the configuration elements  for the entire switch. The Statistics button provides access to the switch statistics  and state information. The Dashboard button allows you to display the settings and  operating status of a variety of switch features. Navigation Window—This window provides a menu list of switch features and  functions:   System—this folder provides access to the configuration elements for the entire  switch.  Switch Ports—Configure each of the physical ports on the switch. Port‐Based Port Mirroring—Configure port mirroring behavior.   Layer 2—Configure Layer 2 features for the switch.  RMON Menu—Configure Remote Monitoring features for the switch.  Layer 3—Configure Layer 3 features for the switch.  QoS—Configure Quality of Service features for the switch. Access Control—Configure Access Control Lists to filter IP packets.   Virtualization – Configure VMready for virtual machine (VM) support. For information on using the BBI, refer to the Enterprise NOS BBI Quick Guide. CN4093 Application Guide for N/OS 8.4...
  • Page 39: Using Simple Network Management Protocol

    To access the SNMP agent on the CN4093, the read and write community strings  on the SNMP manager should be configured to match those on the switch.  The read and write community strings on the switch can be changed using the  following commands:  CN 4093(config)# snmp-server read-community <1‐32 characters> CN 4093(config)# snmp-server write-community <1‐32 characters> The SNMP manager should be able to reach any one of the IP interfaces on the  switch. For the SNMP manager to receive the SNMPv1 traps sent out by the SNMP agent  on the switch, configure the trap host on the switch with the following commands:  CN 4093(config)# snmp-server trap-source <trap source IP interface> CN 4093(config)# snmp-server host <IPv4 address> <trap host community string> For more information on SNMP usage and configuration, see “Simple Network  Management Protocol” on page 555. © Copyright Lenovo 2017 Chapter 1: Switch Administration...
  • Page 40: Bootp/Dhcp Client Ip Address Services

    BOOTP/DHCP Client IP Address Services For remote switch administration, the client terminal device must have a valid IP  address on the same network as a switch interface. The IP address on the client  device may be configured manually, or obtained automatically using IPv6 stateless  address configuration, or an IPv4 address may obtained automatically via BOOTP  or DHCP relay as discussed below. The CN4093 can function as a relay agent for Bootstrap Protocol (BOOTP) or  DHCP. This allows clients to be assigned an IPv4 address for a finite lease period,  reassigning freed addresses later to other clients. Acting as a relay agent, the switch can forward a client’s IPv4 address request to up  to five BOOTP/DHCP servers. In addition to the five global BOOTP/DHCP servers,  up to five domain‐specific BOOTP/DHCP servers can be configured for each of up  to 10 VLANs. When a switch receives a BOOTP/DHCP request from a client seeking an IPv4  address, the switch acts as a proxy for the client. The request is forwarded as a UDP  Unicast MAC layer message to the BOOTP/DHCP servers configured for the  client’s VLAN, or to the global BOOTP/DHCP servers if no domain‐specific  BOOTP/DHCP servers are configured for the client’s VLAN. The servers respond  to the switch with a Unicast reply that contains the IPv4 default gateway and the  IPv4 address for the client. The switch then forwards this reply back to the client. DHCP is described in RFC 2131, and the DHCP relay agent supported on the  CN4093 is described in RFC 1542. DHCP uses UDP as its transport protocol. The  client sends messages to the server on port 67 and the server sends messages to the  client on port 68. BOOTP and DHCP relay are collectively configured using the BOOTP commands  and menus on the CN4093. Host Name Configuration The CN4093 supports DHCP host name configuration as described in RFC 2132,  option 12. DHCP host name configuration is enabled by default. Host name can be manually configured using the following command:  CN 4093(config)# hostname <name> If the host name is manually configured, the switch does not replace it with the ...
  • Page 41: Syslog Server

    An untrusted interface is a port that is configured to receive packets from outside  the network or firewall. A trusted interface receives packets only from within the  network. By default, all DHCP ports are untrusted. The DHCP snooping binding table contains the MAC address, IP address, lease  time, binding type, VLAN number, and port number that correspond to the local  untrusted interface on the switch; it does not contain information regarding hosts  interconnected with a trusted interface.  By default, DHCP snooping is disabled on all VLANs. You can enable DHCP  snooping on one or more VLANs. You must enable DHCP snooping globally. To  enable this feature, enter the following commands: CN 4093(config)# ip dhcp snooping vlan <vlan number(s)> CN 4093(config)# ip dhcp snooping Note: When you make a DHCP release from a client, the switch does not forward  the Unicast DHCP release packet to the server, the entry is not removed from the  DHCP snooping binding table, and the counter for Received Request packets does  not increase even though the release packet does arrive at the switch. If you want the DHCP Renew/Release packet to be forwarded to the server and the  corresponding entry removed from the DHCP snooping binding table, configure  an interface IP address with the sam subnet in the same VLAN. © Copyright Lenovo 2017 Chapter 1: Switch Administration...
  • Page 42: Easy Connect Wizard

    Easy Connect Wizard Lenovo EasyConnect (EZC) is a feature designed to simplify switch configuration.  A set of predefined configurations can be applied on the switch via ISCLI. By  launching the EZC Wizard, you are prompted for a minimal set of input and the  tool automatically customizes the switch software. The EZC Wizard allows you to choose one of the following configuration modes: Basic System mode supports settings for hostname, static management port IP,   netmask, and gateway.  Transparent mode collects server and uplink port settings. vNIC groups are  used to define the loop free domains. Note: You can either accept the static defaults or enter a different port list for  uplink and/or server ports.  Redundant mode refers to VLAG settings. The EZC configuration will be applied immediately. Any existing configuration  will be deleted, the current active or running configuration will not be merged or  appended to the EZC configuration. For any custom settings that are not included in the predefined configuration sets,  the user has to do it manually. Notes:  EZC is not available in stacking mode.  To support scripting, the feature also has a single‐line format. For more  information, please refer to Lenovo Networking ISCLI Reference Guide. Note: To support scripting, the feature also has a single‐line format. For more  information, please refer to Lenovo Networking ISCLI Reference Guide. Configuring the Easy Connect Wizard To launch the EZC Wizard, use the following command:  CN 4093# easyconnect The wizard displays the available predefined configuration modes. You are ...
  • Page 43: Basic System Mode Configuration Example

    Please enter "dhcp" for dhcp IP. Select management IP address (Current: 10.241.13.32)? Enter management netmask(Current: 255.255.255.128)? Enter management gateway:(Current: 10.241.13.1)? Pending switch port configuration: Hostname: host Management interface: Port: 10.241.13.32 Netmask: 255.255.255.128 Gateway: 10.241.13.1 Note: You can either accept the default values or enter new parameters. © Copyright Lenovo 2017 Chapter 1: Switch Administration...
  • Page 44: Transparent Mode Configuration Example

    Transparent Mode Configuration Example This example shows the parameters available for configuration in Transparent  mode: CN 4093# # easyconnect Configure Transparent mode (yes/no)? y Select Uplink Ports (Static Defaults: 17-24)? The following Uplink ports will be enabled: Uplink ports(1G/10G): 17-24 Select Server Ports (Static Defaults: 25-64)? The following Server ports will be enabled: Server ports(1G/10G): 25-64 Pending switch configuration:...
  • Page 45: Redundant Mode Configuration Example

    TierID: vLAG Peer IP: 1.1.1.2 Uplink Ports: Downlink Ports: Disabled Ports: empty Hostname: Primary VLAG Management interface: 192.168.49.50 Netmask: 255.255.255.0 Gateway: 0.0.0.0 Confirm erasing current config to re-configure Easy Connect (yes/no)? © Copyright Lenovo 2017 Chapter 1: Switch Administration...
  • Page 46 Notes:   If your selection for a port group contains ports of different speed, the selection  is not valid, and you are guided to either select other ports or change the speed  of the ports.  All unused port are configured as shut down in the configuration dump. You can either accept the static defaults or enter a different port list for ISL,   uplink, and/or downlink ports. CN4093 Application Guide for N/OS 8.4...
  • Page 47: Switch Login Levels

    Table 3. User Access Levels ‐ Default Settings User Password Description and Tasks Performed Status Account user user The User has no direct responsibility for  Disabled switch management. He or she can view all  switch status information and statistics, but  cannot make any configuration changes to  the switch. oper oper The Operator manages all functions of the  Disabled switch. The Operator can reset ports, except  the management ports. admin admin  The Administrator has complete access to all  Enabled menus, information and configuration  commands on the CN4093, including the  ability to change both the user and  administrator passwords. © Copyright Lenovo 2017 Chapter 1: Switch Administration...
  • Page 48 Note: Access to each user level (except admin account) can be disabled by setting  the password to an empty value. To disable admin account, use the command:  CN 4093(config)# no access user administrator-enable. Admin  account can be disabled only if there is at least one user account enabled and  configured with administrator privilege.  CN4093 Application Guide for N/OS 8.4...
  • Page 49: Administrator Password Recovery

    R - Boot in recovery mode (xmodem download of images to recover switch) Q - Reboot E - Exit Please choose your menu option: c Currently using active configuration block Enter configuration block: a, b or f (active, backup or factory): f © Copyright Lenovo 2017 Chapter 1: Switch Administration...
  • Page 50 5. Enter Q to reboot the switch: Boot Management Menu I - Change booting image C - Change configuration block R - Boot in recovery mode (xmodem download of images to recover switch) Q - Reboot E - Exit Please choose your menu option: q Resetting the board.
  • Page 51: Secure Ftp

    Secure FTP Enterprise NOS supports Secure FTP (SFTP) to the switch. SFTP uses Secure Shell  (SSH) to transfer files. SFTP encrypts both commands and data, and prevents  passwords and sensitive information from being transmitted openly over the  network.  All file transfer commands include SFTP support along with FTP and TFTP  support. SFTP is available through the menu‐based CLI, ISCLI, BBI, and SNMP.  The following examples illustrate SFTP support for ISCLI commands:   CN 4093# copy sftp {image1|image2|boot-image} [mgt-port|data-port] (Copy software image from SFTP server to the switch) CN 4093# copy sftp {ca-cert|host-cert|host-key} [mgt-port|data-port] (Copy HTTPS certificate or host key from SFTP server to the switch) © Copyright Lenovo 2017 Chapter 1: Switch Administration...
  • Page 52: Boot Strict Mode

    Boot Strict Mode The implementations specified in this section are compliant with National Institute  of Standards and Technology (NIST) Special Publication (SP) 800‐131A. The CN4093 10 Gb Converged Scalable Switch can operate in two boot modes:  Compatibility mode (default): This is the default switch boot mode. This mode  may use algorithms and key lengths that may not be allowed/acceptable by  NIST SP 800‐131A specification. This mode is useful in maintaining  compatibility with previous releases and in environments that have lesser data  security requirements.  Strict mode: Encryption algorithms, protocols, and key lengths in strict mode  are compliant with NIST SP 800‐131A specification. When in boot strict mode, the switch uses Secure Sockets Layer (SSL)/Transport  Layer Security (TLS) 1.2 protocols to ensure confidentiality of the data to and from  the switch.  By default, HTTP, Telnet, and SNMPv1 and SNMPv2 are disabled on the CN4093. Before enabling strict mode, ensure the following:  The software version on all connected switches is Enterprise NOS 8.4.  NIST Strict compliance is enabled on the Chassis Management Module.  The supported protocol versions and cryptographic cipher suites between  clients and servers are compatible. For example: if using SSH to connect to the  switch, ensure that the SSH client supports SSHv2 and a strong cipher suite that  is compliant with the NIST standard. Compliant Web server certificate is installed on the switch, if using BBI.   A new self‐signed certificate is generated for the switch  (CN 4093(config)# access https generate-certificate). The new  certificate is generated using 2048‐bit RSA key and SHA‐256 digest.  Protocols that are not NIST SP 800‐131A compliant must be disabled or not ...
  • Page 53 Secure NTP does not comply with Acceptable NIST SP 800-131A specification. When in strict mode, secure NTP is dis- abled. However, it can be enabled, if required. SHA-256 or higher RSA/DSA 2048 or higher © Copyright Lenovo 2017 Chapter 1: Switch Administration...
  • Page 54 Table 4. Acceptable Protocols and Algorithms Protocol/Function Strict Mode Algorithm Compatibility Mode Algorithm SNMP SNMPv3 only SNMPv1, SNMPv2, SNMPv3 AES-128-CFB-128/SHA1 DES/MD5, AES-128-CFB-128/SHA1 Note: Following algorithms are accept- able if you choose to support old SNMPv3 factory default users: AES-128-CFB/SHA1 DES/MD5 AES-128-CFB-128/SHA1 SSH/SFTP Host Key SSH-RSA SSH-RSA Key Exchange...
  • Page 55: Acceptable Cipher Suites

    AES_128_CBC SHA1 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC012 ECDHE 3DES SHA1 SSL_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 0x0033 AES-128_CBC SHA1 TLS_DHE_RSA_WITH_AES_128_CBC_SHA 0x0067 AES_128_CBC SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 0x0016 3DES SHA1 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA 0x002F AES_128_CBC SHA1 TLS_RSA_WITH_AES_128_CBC_SHA 0x003C AES_128_CBC SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256 0x000A 3DES SHA1 SSL_RSA_WITH_3DES_EDE_CBC_SHA © Copyright Lenovo 2017 Chapter 1: Switch Administration...
  • Page 56: Configuring Strict Mode

    Configuring Strict Mode To change the switch mode to boot strict mode, use the following command:  CN 4093(config)# [no] boot strict enable When strict mode is enabled, you will see the following message:  Warning, security strict mode limits the cryptographic algorithms used by secure protocols on this switch. Please see the documentation for full details, and verify that peer devices support acceptable algorithms before enabling this mode.
  • Page 57: Configuring No-Prompt Mode

    Configuring No-Prompt Mode If you expect to administer the switch using SNSC or another browser‐based  interface, you need to turn off confirmation prompts. When CLI confirmation  prompts are disabled, the switch will choose the default answer. To accomplish  this, use one of the following commands:   CN 4093(config)# [no] prompting Note: This command will disable CLI confirmation prompts for current and future  sessions.   CN 4093(config)# [no] terminal dont-ask Note: This command will disable CLI confirmation prompts for the current  session only. It also takes precedence over the prompting command ‐ any settings  configured through the prompting command will be disregarded for the  duration of the current session. For more details, see the Lenovo Flex System Fabric CN4093 10 Gb Converged Scalable  Switch Command Reference for Enterprise NOS 8.4. © Copyright Lenovo 2017 Chapter 1: Switch Administration...
  • Page 58 CN4093 Application Guide for N/OS 8.4...
  • Page 59: Chapter 2. Initial Setup

    Chapter 2. Initial Setup To help with the initial process of configuring your switch, the Enterprise NOS  software includes a Setup utility. The Setup utility prompts you step‐by‐step to  enter all the necessary information for basic configuration of the switch. Setup can be activated manually from the command line interface any time after  login: CN 4093(config)# setup © Copyright Lenovo 2017...
  • Page 60: Information Needed For Setup

    Information Needed for Setup Setup requests the following information:  Basic system information Date & time  Whether to use Spanning Tree Group or not   Optional configuration for each port Speed, duplex, flow control, and negotiation mode (as appropriate)  Whether to use VLAN tagging or not (as appropriate)  Optional configuration for each VLAN  Name of VLAN  Which ports are included in the VLAN   Optional configuration of IP parameters IP address/mask and VLAN for each IP interface  IP addresses for default gateway  Whether IP forwarding is enabled or not  CN4093 Application Guide for N/OS 8.4...
  • Page 61: Default Setup Options

    Enter login password: 2. Enter USERID as the default administrator and PASSW0RD (with a zero) as the  default password. 3. Enter the following command at the prompt:  CN 4093(config)# setup Stopping Setup To abort the Setup utility, press <Ctrl+C> during any Setup question. When you  abort Setup, the system will prompt: Would you like to run from top again? [y/n] Enter n to abort Setup, or y to restart the Setup program at the beginning. Restarting Setup You can restart the Setup utility manually at any time by entering the following  command at the administrator prompt: CN 4093(config)# setup © Copyright Lenovo 2017 Chapter 2: Initial Setup...
  • Page 62: Setup Part 1: Basic System Configuration

    Setup Part 1: Basic System Configuration When Setup is started, the system prompts: "Set Up" will walk you through the configuration of System Date and Time, Spanning Tree, Port Speed/Mode, VLANs, and IP interfaces. [type Ctrl-C to abort "Set Up"] 1. Enter y if you will be configuring VLANs. Otherwise enter n. If you decide not to configure VLANs during this session, you can configure them  later using the configuration menus, or by restarting the Setup facility. For more  information on configuring VLANs, see the Enterprise NOS Application Guide.  Next, the Setup utility prompts you to input basic system information. 2.
  • Page 63 System clock set to 8:55:36 Wed Jan 28, 2012. 8. Turn BOOTP on or off at the prompt:  BootP Option: Current BOOTP: disabled Enter new BOOTP [d/e]: Enter e to enable BOOTP, or enter d to disable BOOTP.  9. Turn Spanning Tree Protocol on or off at the prompt: Spanning Tree: Current Spanning Tree Group 1 setting: ON Turn Spanning Tree Group 1 OFF? [y/n] Enter y to turn off Spanning Tree, or enter n to leave Spanning Tree on. © Copyright Lenovo 2017 Chapter 2: Initial Setup...
  • Page 64: Setup Part 2: Port Configuration

    Setup Part 2: Port Configuration Note: When configuring port options for your switch, some prompts and options  may be different.  1. Select whether you will configure VLANs and VLAN tagging for ports:   Port Config: Will you configure VLANs and Tagging/Trunk-mode for ports? [y/n] If you wish to change settings for VLANs, enter y or enter n to skip VLAN  configuration.  Note: The sample screens that appear in this document might differ slightly from  the screens displayed by your system. Screen content varies based on the type of  chassis unit that you are using and the firmware versions and options that are  installed. 2. Select the port to configure, or skip port configuration at the prompt: If you wish to change settings for individual ports, enter the number of the port  you wish to configure. To skip port configuration, press <Enter> without  specifying any port and go to “Setup Part 3: VLANs” on page 66.  3. Configure Gigabit Ethernet port flow parameters. The system prompts: Gig Link Configuration: Port Flow Control: Current Port EXT1 flow control setting: both...
  • Page 65 If you have selected to configure VLANs back in Part 1, the system prompts: Port Tagging/Trunk-mode config (Tagged/Trunk-mode port can be a member of multiple VLANs): Current Tagging/Trunk-mode support: disabled Enter new Tagging/Trunk-mode support [d/e]: Enter d to disable VLAN tagging for the port or enter e to enable VLAN tagging for  the port. To keep the current setting, press <Enter>. 6. The system prompts you to configure the next port:  Enter port (INTA1-C14, EXT1-22): When you are through configuring ports, press <Enter> without specifying any  port. Otherwise, repeat the steps in this section. © Copyright Lenovo 2017 Chapter 2: Initial Setup...
  • Page 66: Setup Part 3: Vlans

    Setup Part 3: VLANs If you chose to skip VLANs configuration back in Part 2, skip to “Setup Part 4: IP  Configuration” on page 1. Select the VLAN to configure, or skip VLAN configuration at the prompt: VLAN Config: Enter VLAN number from 2 to 4094, NULL at end: If you wish to change settings for individual VLANs, enter the number of the  VLAN you wish to configure. To skip VLAN configuration, press <Enter> without  typing a VLAN number and go to “Setup Part 4: IP Configuration” on page 2. Enter the new VLAN name at the prompt: Current VLAN name: VLAN 2 Enter new VLAN name: Entering a new VLAN name is optional. To use the pending new VLAN name,  press <Enter>.  3. Enter the VLAN port numbers:  Define Ports in VLAN: Current VLAN 2: empty Enter ports one per line, NULL at end:...
  • Page 67: Setup Part 4: Ip Configuration

    2. For the specified IP interface, enter the IP address in IPv4 dotted decimal notation: Current IP address: 0.0.0.0 Enter new IP address: To keep the current setting, press <Enter>. 3. At the prompt, enter the IPv4 subnet mask in dotted decimal notation: Current subnet mask: 0.0.0.0 Enter new subnet mask: To keep the current setting, press <Enter>. 4. If configuring VLANs, specify a VLAN for the interface. This prompt appears if you selected to configure VLANs back in Part 1: Current VLAN: Enter new VLAN [1-4094]: Enter the number for the VLAN to which the interface belongs, or press <Enter>  without specifying a VLAN number to accept the current setting. © Copyright Lenovo 2017 Chapter 2: Initial Setup...
  • Page 68: Default Gateways

    5. At the prompt, enter y to enable the IP interface or n to leave it disabled: Enable IP interface? [y/n] 6. The system prompts you to configure another interface: Enter interface number: (1-128) Repeat the steps in this section until all IP interfaces have been configured. When  all interfaces have been configured, press <Enter> without specifying any interface  number. Default Gateways 1. At the prompt, select an IP default gateway for configuration or skip default  gateway configuration: IP default gateways: Enter default gateway number: (1-3, 4) Enter the number for the IP default gateway to be configured. To skip default  gateway configuration, press <Enter> without typing a gateway number and go to  “IP Routing” on page 2. At the prompt, enter the IPv4 address for the selected default gateway: Current IP address: 0.0.0.0 Enter new IP address: Enter the IPv4 address in dotted decimal notation, or press <Enter> without ...
  • Page 69: Ip Routing

    IP Routing When IP interfaces are configured for the various IP subnets attached to your  switch, IP routing between them can be performed entirely within the switch. This  eliminates the need to send inter‐subnet communication to an external router  device. Routing on more complex networks, where subnets may not have a direct  presence on the CN4093, can be accomplished through configuring static routes or  by letting the switch learn routes dynamically. This part of the Setup program prompts you to configure the various routing  parameters. At the prompt, enable or disable forwarding for IP Routing: Enable IP forwarding? [y/n] Enter y to enable IP forwarding. To disable IP forwarding, enter n. To keep the  current setting, press <Enter>. © Copyright Lenovo 2017 Chapter 2: Initial Setup...
  • Page 70: Setup Part 5: Final Steps

    Setup Part 5: Final Steps 1. When prompted, decide whether to restart Setup or continue: Would you like to run from top again? [y/n] Enter y to restart the Setup utility from the beginning or n to continue. 2. When prompted, decide whether you wish to review the configuration changes: Review the changes made? [y/n] Enter y to review the changes made during this session of the Setup utility. Enter n  to continue without reviewing the changes. We recommend that you review the  changes. 3. Next, decide whether to apply the changes at the prompt: Apply the changes? [y/n] Enter y to apply the changes or n to continue without applying. Changes are  normally applied. 4. At the prompt, decide whether to make the changes permanent: Save changes to flash? [y/n] Enter y to save the changes to flash. Enter n to continue without saving the ...
  • Page 71: Optional Setup For Telnet Support

    Optional Setup for Telnet Support Note: This step is optional. Perform this procedure only if you are planning on  connecting to the CN4093 through a remote Telnet connection. 1. Telnet is enabled by default. To change the setting, use the following command:   CN 4093(config)# no access telnet © Copyright Lenovo 2017 Chapter 2: Initial Setup...
  • Page 72 CN4093 Application Guide for N/OS 8.4...
  • Page 73: Chapter 3. Switch Software Management

    CAUTION: Although the typical upgrade process is all that is necessary in most cases, upgrading from (or reverting to) some versions of Lenovo Enterprise Network Operating System requires special steps prior to or after the software installation process. Please be sure to follow all applicable instructions in the release notes document for the specific software release to ensure that your switch continues to operate as expected after installing new software.
  • Page 74: Loading New Software To Your Switch

    Loading New Software to Your Switch The CN4093 can store up to two different switch software images (called image1  and image2) as well as special boot software (called boot). When you load new  software, you must specify where it is placed: either into image1, image2 or  boot. For example, if your active image is currently loaded into image1, you would  probably load the new image software into image2. This lets you test the new  software and reload the original active image (stored in image1), if needed.  CAUTION: When you upgrade the switch software image, always load the new boot image  and the new software image before you reset the switch. If you do not load a new  boot image, your switch might not boot properly (To recover, see “Recover from a  Failed Image Upgrade using TFTP” on page 80 or “Recovering from a Failed  Image Upgrade using XModem Download” on page 82). To load a new software image to your switch, you will need the following:  The image and boot software loaded on an FTP, SFTP or TFTP server on your net‐ work. Note: Be sure to download both the new boot file and the new image file. The hostname or IP address of the FTP, SFTP or TFTP server  Note: The DNS parameters must be configured if specifying hostnames.  The name of the new software image or boot file When the software requirements are met, use one of the following procedures to  download the new software to your switch. You can use the ISCLI or the BBI to  download and activate new software. Loading Software via the ISCLI 1.
  • Page 75: Loading Software Via Bbi

    FTP server  TFTP server  SFTP server  Local computer After you log onto the BBI, perform the following steps to load a software image: 1. Click the Configure context tab in the toolbar. 2. In the Navigation Window, select System > Config/Image Control. The Switch Image and Configuration Management page appears. 3. If you are loading software from your computer (HTTP client), skip this step and  go to the next. Otherwise, if you are loading software from an FTP, SFTP, or TFTP  server, enter the server’s information in the FTP, SFTP, or TFTP Settings section. 4. In the Image Settings section, select the image version you want to replace (Image  for Transfer).   If you are loading software from an FTP, SFTP, or TFTP server, enter the file  name and click Get Image.   If you are loading software from your computer, click Browse. In the File Upload Dialog, select the file and click OK. Then click Download via  Browser.  Once the image has loaded, the page refreshes to show the new software. © Copyright Lenovo 2017 Chapter 3: Switch Software Management...
  • Page 76: Updating Software On Vlag Switches

    Updating Software on vLAG Switches When updating the software and boot images for switches configured with vLAG,  first: Make sure that the spanning tree root switch is not one of the vLAG switches   Shut down of ports should done under the port configuration Follow the shut down order of the ports  a. ISL links b. vLAG links c. vLAG health check (MGT port) Then follow this procedure to update the software on vLAG switches: 1. On Switch 2 (the original Secondary switch), shut down all links ISL, vLAG links,  and vLAG HC. This is equivalent to powering off Switch 2.  All the traffic will failover to Switch 1 (the original Primary switch.).  After the shutdown of links on Switch 2, there will be N‐S traffic loss of around  ~0.16 seconds. 2. Upgrade Switch 2 with the new image. Use FTP, STFP, or TFTP to copy the new  ENOS and boot images onto the switch. For more details, see “Loading New  Software to Your Switch” on page  After Switch 2 comes up, vLAG HC will be up and vLAG mismatch will happen  with vLAG ports down (since it is still Secondary).  The traffic will still be forwarding via Switch 1 (the original Primary switch). 3. On Switch 1 (the original Primary switch), shut down all links ISL, vLAG links, and  vLAG HC. This is equivalent to powering off Switch 1 (the original Primary switch) ...
  • Page 77  Switch 1 will reassume the vLAG Primary role and Switch 2 will reassume the  vLAG Secondary role. 6. Make sure that Switch 1 is now the vLAG primary switch and Switch 2 is now the  vLAG secondary switch using the following command:   CN 4093> show vlag information © Copyright Lenovo 2017 Chapter 3: Switch Software Management...
  • Page 78: The Boot Management Menu

    The Boot Management Menu The Boot Management menu allows you to switch the software image, reset the  switch to factory defaults, or to recover from a failed software download.  You can interrupt the boot process and enter the Boot Management menu from the  serial console port. When the system displays Memory Test, press <Shift+B>. The  Boot Management menu appears.   Boot Management Menu I - Change booting image C - Change configuration block R - Boot in recovery mode (tftp and xmodem download of images to recover switch) Q - Reboot E - Exit Please choose your menu option: The Boot Management menu allows you to perform the following actions: ...
  • Page 79: Boot Recovery Mode

    X) Use xmodem 1K to serial download an image P) Physical presence (low security mode) R) Reboot E) Exit Option? : The Boot Recovery Mode menu allows you to perform the following actions: To recover from a failed software or boot image upgrade using TFTP, press T   and follow the screen prompts. For more details, see “Recover from a Failed  Image Upgrade using TFTP” on page  To recover from a failed software or boot image upgrade using XModem  download, press X and follow the screen prompts. For more details, see  “Recovering from a Failed Image Upgrade using XModem Download” on  page  To enable the loading of an unofficial image, press P and follow the screen  prompts. For more details, see “Physical Presence” on page  To restart the boot process from the beginning, press R.  To exit Boot Recovery Mode menu, press E. The boot process continues. © Copyright Lenovo 2017 Chapter 3: Switch Software Management...
  • Page 80: Recover From A Failed Image Upgrade Using Tftp

    Recover from a Failed Image Upgrade using TFTP Use the following procedure to recover from a failed image upgrade using TFTP: 1. Connect a PC to the console port of the switch. 2. Open a terminal emulator program that supports Telnet protocol (for example,  HyperTerminal, SecureCRT or PuTTY) and input the proper host name (IP  address) and port to connect to the console port of the switch. 3. Boot the switch and access the Boot Management menu by pressing <Shift+B>  while the Memory Test is in progress and the dots are being displayed. 4. Enter Boot Recovery Mode by pressing R. The Recovery Mode menu will appear. 5. To start the recovery process using TFTP, press T. The following message will  appear:   Performing TFTP rescue. Please answer the following questions (enter 'q' to quit): 6. Enter the IP address of the management port:   IP addr : 7.
  • Page 81 Please select one of the following options: T) Configure networking and tftp download an image X) Use xmodem 1K to serial download an image P) Physical presence (low security mode) R) Reboot E) Exit Option? : © Copyright Lenovo 2017 Chapter 3: Switch Software Management...
  • Page 82: Recovering From A Failed Image Upgrade Using Xmodem Download

    Recovering from a Failed Image Upgrade using XModem Download Use the following procedure to recover from a failed image upgrade. 1. Connect a PC to the serial port of the switch. 2. Open a terminal emulator program that supports Xmodem download (for  example, HyperTerminal, SecureCRT or PuTTY) and select the following serial  port characteristics: Speed: 9600 bps  Data Bits: 8  Stop Bits: 1  Parity: None  Flow Control: None  3. Boot the switch and access the Boot Management menu by pressing <Shift+B>  while the Memory Test is in progress and the dots are being displayed. 4. Enter Boot Recovery Mode by pressing R. The Recovery Mode menu will appear. 5. Press X for Xmodem download. You will see the following display:   Running xmodem rescue..6. When you see the following message, change the Serial Port speed to 115200 bps:   Change the baud rate to 115200 bps and hit the <ENTER> key before initiating the download.
  • Page 83 Please select one of the following options: T) Configure networking and tftp download an image X) Use xmodem 1K to serial download an image P) Physical presence (low security mode) R) Reboot E) Exit Option? : Boot image recovery is complete. © Copyright Lenovo 2017 Chapter 3: Switch Software Management...
  • Page 84: Physical Presence

    Physical Presence Use the following procedure to enable the installation of unofficial images on the  switch: 1. Connect a PC to the console port of the switch. 2. Open a terminal emulator program that supports Telnet protocol (for example,  HyperTerminal, SecureCRT or PuTTY) and input the proper host name (IP  address) and port to connect to the console port of the switch. 3. Boot the switch and access the Boot Management menu by pressing <Shift+B>  while the Memory Test is in progress and the dots are being displayed. 4. Enter Boot Recovery Mode by pressing R. The Recovery Mode menu will appear. 5. To begin the Physical Presence procedure, press P. The following warning message  will appear:   WARNING: the following test is used to determine physical presence and if completed will put the switch in low security mode. 6. You will be prompted for confirmation:   Do you wish to continue y/n? 7.
  • Page 85: Part 2: Securing The Switch

    Part 2: Securing the Switch © Copyright Lenovo 2017...
  • Page 86 CN4093 Application Guide for N/OS 8.4...
  • Page 87: Chapter 4. Securing Administration

    Chapter 4. Securing Administration This chapter discusses different methods of securing local and remote  administration on the CN4093 10 Gb Converged Scalable Switch (CN4093):  “Changing the Switch Passwords” on page 88  “Secure Shell and Secure Copy” on page 89  “End User Access Control” on page 94  “Protected Mode” on page 97 © Copyright Lenovo 2017...
  • Page 88: Changing The Switch Passwords

    Changing the Switch Passwords It is recommended that you change the administrator and user passwords after  initial configuration and as regularly as required under your network security  policies. To change the administrator password, you must login using the administrator  password.  Note: If you download user and password information to a switch running a  version of ENOS earlier than 8.4, or if you revert the switch to a version of ENOS  earlier than 8.4, your passwords will not be transferred because the encryption  algorithm changed. Changing the Default Administrator Password The administrator has complete access to all menus, information, and  configuration commands, including the ability to change both the user and  administrator passwords. The default administrator account is USERID. The default password for the  administrator account is PASSW0RD (with a zero). To change the administrator  password, use the following procedure: 1. Connect to the switch and log in as the administrator.  2. Use the following command to change the administrator password: CN 4093(config)# access user administrator-password <password> Changing the Default User Password The user login has limited control of the switch. Through a user account, you can ...
  • Page 89: Secure Shell And Secure Copy

     Determining the permitted actions and customizing service for individual  administrators  Encryption of management messages Encrypting messages between the remote administrator and switch   Secure copy support The Enterprise NOS implementation of SSH supports both versions 1.5 and 2.0 and  supports SSH clients version 1.5 ‐ 2.x. The following SSH clients have been tested:   SSH 1.2.23 and SSH 1.2.27 for Linux (freeware)  SecureCRT 3.0.2 and SecureCRT 3.0.3 for Windows NT (Van Dyke Technologies,  Inc.)  F‐Secure SSH 1.1 for Windows (Data Fellows)  Putty SSH  Cygwin OpenSSH  Mac X OpenSSH  Solaris 8 OpenSSH  AxeSSH SSHPro  SSH Communications Vandyke SSH A  F‐Secure © Copyright Lenovo 2017 Chapter 4: Securing Administration...
  • Page 90: Configuring Ssh/Scp Features On The Switch

    Configuring SSH/SCP Features on the Switch SSH and SCP are disabled by default. To change the setting, using the following  procedures. Note: To use SCP, you must first enable SSH. To Enable or Disable the SSH Feature Begin a Telnet session from the console port and enter the following commands: CN 4093(config)# ssh enable (Turn SSH on) CN 4093(config)# no ssh enable (Turn SSH off) To Enable or Disable SCP Enter the following command to enable or disable SCP: CN 4093(config)# [no] ssh scp-enable  Configuring the SCP Administrator Password To configure the SCP‐only administrator password, enter the following command ...
  • Page 91: To Copy The Switch Configuration File To The Scp Host

    >> scp [-4|-6] <local filename> <username>@<switch IP address>:putcfg_apply >> scp [-4|-6] <local filename> <username>@<switch IP address>:putcfg_apply_save Example: >> scp ad4.cfg scpadmin@205.178.15.157:putcfg_apply >> scp ad4.cfg scpadmin@205.178.15.157:putcfg_apply_save The CLI diff command is automatically executed at the end of putcfg to   notify the remote client of the difference between the new and the current  configurations. putcfg_apply runs the apply command after the putcfg is done.  putcfg_apply_save saves the new configuration to the flash after   putcfg_apply is done.  The putcfg_apply and putcfg_apply_save commands are provided  because extra apply and save commands are usually required after a putcfg;  however, an SCP session is not in an interactive mode. © Copyright Lenovo 2017 Chapter 4: Securing Administration...
  • Page 92: To Copy The Switch Image And Boot Files To The Scp Host

    To Copy the Switch Image and Boot Files to the SCP Host Syntax: >> scp [-4|-6] <username>@<switch IP address>:getimg1 <local filename>  >> scp [-4|-6] <username>@<switch IP address>:getimg2 <local filename>  >> scp [-4|-6] <username>@<switch IP address>:getboot <local filename>  Example: >> scp scpadmin@205.178.15.157:getimg1 6.1.0_os.img To Load Switch Configuration Files from the SCP Host Syntax: >>...
  • Page 93: Ssh And Scp Encryption Of Management Messages

    To configure RSA host key, first connect to the CN4093 through the console port  (commands are not available via external Telnet connection), and enter the  following command to generate it manually.   CN 4093(config)# ssh generate-host-key (Generates the host key) When the switch reboots, it will retrieve the host key from the FLASH memory.  Note: The switch will perform only one session of key/cipher generation at a time.  Thus, an SSH/SCP client will not be able to log in if the switch is performing key  generation at that time. Also, key generation will fail if an SSH/SCP client is  logging in at that time. SSH/SCP Integration with RADIUS Authentication SSH/SCP is integrated with RADIUS authentication. After the RADIUS server is  enabled on the switch, all subsequent SSH authentication requests will be  redirected to the specified RADIUS servers for authentication. The redirection is  transparent to the SSH clients. SSH/SCP Integration with TACACS+ Authentication SSH/SCP is integrated with TACACS+ authentication. After the TACACS+ server is  enabled on the switch, all subsequent SSH authentication requests will be  redirected to the specified TACACS+ servers for authentication. The redirection is  transparent to the SSH clients. © Copyright Lenovo 2017 Chapter 4: Securing Administration...
  • Page 94: End User Access Control

    End User Access Control Enterprise NOS allows an administrator to define end user accounts that permit  end users to perform operation tasks via the switch CLI commands. Once end user  accounts are configured and enabled, the switch requires username/password  authentication. For example, an administrator can assign a user, who can then log into the switch  and perform operational commands (effective only until the next switch reboot). Considerations for Configuring End User Accounts A maximum of 20 user IDs are supported on the switch.   Enterprise NOS supports end user support for Console, Telnet, BBI, and  SSHv1/v2 access to the switch.  If RADIUS authentication is used, the user password on the Radius server will  override the user password on the CN4093. Also note that the password change  command modifies only the user switch password on the switch and has no  effect on the user password on the Radius server. Radius authentication and  user password cannot be used concurrently to access the switch.  Passwords can be up to 64 characters in length for Telnet, SSH, Console, and  Web access. Strong Passwords The administrator can require use of Strong Passwords for users to access the  CN4093. Strong Passwords enhance security because they make password  guessing more difficult. The following rules apply when Strong Passwords are enabled: Minimum length: 8 characters; maximum length: 64 characters   Must contain at least one uppercase alphabet Must contain at least one lowercase alphabet ...
  • Page 95: User Access Control Menu

    CN 4093# show access user uid 1 Enabling or Disabling a User An end user account must be enabled before the switch recognizes and permits  login under the account. Once enabled, the switch requires any user to enter both  username and password. CN 4093(config)# [no] access user 1 enable Locking Accounts To protect the switch from unauthorized access, the account lockout feature can be  enabled. By default, account lockout is disabled. To enable this feature, ensure the  strong password feature is enabled (See “Strong Passwords” on page 94). Then use  the following command:  CN 4093(config)# access user strong-password lockout After multiple failed login attempts, the switch locks the user account if lockout  has been enabled on the switch.  © Copyright Lenovo 2017 Chapter 4: Securing Administration...
  • Page 96: Re-Enabling Locked Accounts

    Re-enabling Locked Accounts The administrator can re‐enable a locked account by reloading the switch or by  using the following command:  CN 4093(config)# access user strong-password clear local user lockout username <user name> However, the above command cannot be used to re‐enable an account disabled by  the administrator.  To re‐enable all locked accounts, use the following command:  CN 4093(config)# access user strong-password clear local user lockout all Listing Current Users The show access user command displays defined user accounts and whether  or not each user is currently logged into the switch. CN 4093# show access user Usernames: user - Enabled - offline...
  • Page 97: Protected Mode

    Note: Before you turn Protected Mode on, make sure that external management  (Telnet) access to one of the switch’s IP interfaces is enabled.  Use the following command to turn Protected Mode on:  CN 4093(config)# protected-mode enable If you lose access to the switch through the external ports, use the console port to  connect directly to the switch, and configure an IP interface with Telnet access. Stacking Mode When the switch is in stacking mode, Protected Mode is automatically enabled for  three of the four Protected Mode functions, and the following module functions  are disabled:  External Ports (Enabled)  External management over all ports (Enabled)  Restore Factory Defaults Stack members and stack Master can get their IP addresses from the advanced  management module (AMM). Stack can be managed using external ports or using  the AMM management port. If required, the functionality of new static IP configuration can also be disabled by  turning off Protected Mode (CN 4093(config)# no protected-mode enable) and turning it back on (CN 4093(config)# protected-mode enable). © Copyright Lenovo 2017 Chapter 4: Securing Administration...
  • Page 98 CN4093 Application Guide for N/OS 8.4...
  • Page 99: Chapter 5. Authentication & Authorization Protocols

    Chapter 5. Authentication & Authorization Protocols Secure switch management is needed for environments that perform significant  management functions across the Internet. The following are some of the functions  for secured IPv4 management and device access:  “RADIUS Authentication and Authorization” on page 100  “TACACS+ Authentication” on page 104  “LDAP Authentication and Authorization” on page 110 Note: Enterprise NOS 8.4 does not support IPv6 for RADIUS, TACACS+, or LDAP. © Copyright Lenovo 2017...
  • Page 100: Radius Authentication And Authorization

    RADIUS Authentication and Authorization Enterprise NOS supports the RADIUS (Remote Authentication Dial‐in User  Service) method to authenticate and authorize remote administrators for  managing the switch. This method is based on a client/server model. The Remote  Access Server (RAS)—the switch—is a client to the back‐end database server. A  remote user (the remote administrator) interacts only with the RAS, not the  back‐end server and database. RADIUS authentication consists of the following components:  A protocol with a frame format that utilizes UDP over IP (based on RFC 2138  and 2866)  A centralized server that stores all the user authorization information A client, in this case, the switch  The CN4093—acting as the RADIUS client—communicates to the RADIUS server  to authenticate and authorize a remote administrator using the protocol definitions  specified in RFC 2138 and 2866. Transactions between the client and the RADIUS  server are authenticated using a shared key that is not sent over the network. In  addition, the remote administrator passwords are sent encrypted between the  RADIUS client (the switch) and the back‐end RADIUS server. How RADIUS Authentication Works 1. Remote administrator connects to the switch and provides user name and  password. 2. Using Authentication/Authorization protocol, the switch sends request to  authentication server. 3. Authentication server checks the request against the user ID database. 4. Using RADIUS protocol, the authentication server instructs the switch to grant or  deny administrative access. CN4093 Application Guide for N/OS 8.4...
  • Page 101: Configuring Radius On The Switch

    CN 4093(config)# radius-server retransmit 3 CN 4093(config)# radius-server timeout 5 RADIUS Authentication Features in Enterprise NOS Enterprise NOS supports the following RADIUS authentication features:  Supports RADIUS client on the switch, based on the protocol definitions in RFC  2138 and RFC 2866.  Allows a RADIUS secret password of up to 32 characters.   Supports secondary authentication server so that when the primary authentication  server is unreachable, the switch can send client authentication requests to the  secondary authentication server. Use the following command to show the  currently active RADIUS authentication server:  CN 4093# show radius-server © Copyright Lenovo 2017 Chapter 5: Authentication & Authorization Protocols...
  • Page 102: Switch User Accounts

     Supports user‐configurable RADIUS server retry and time‐out values: Time‐out value = 1‐10 seconds  Retries = 1‐3  The switch will time out if it does not receive a response from the RADIUS  server within 1‐10 seconds. The switch automatically retries connecting to the  RADIUS server 1‐3 times before it declares the server down.   Supports user‐configurable RADIUS application port. The default is UDP port  1645. UDP port 1812, based on RFC 2138, is also supported.  Allows network administrator to define privileges for one or more specific users  to access the switch at the RADIUS user database. Switch User Accounts The user accounts listed in Table 7 can be defined in the RADIUS server dictionary  file.  Table 7.  User Access Levels User Account Description and Tasks Performed Password user User The User has no direct responsibility for switch  management. He/she can view all switch status  information and statistics but cannot make any  configuration changes to the switch. oper Operator In addition to User capabilities, the Operator has ...
  • Page 103: Radius Attributes For Enterprise Nos User Privileges

    Irrespective of backdoor being enabled or not, you can always access the switch via  the console port by using noradius as radius username. You can then enter the  username and password configured on the switch. If you are trying to connect via  SSH/Telnet/HTTP/HTTPS, there are two possibilities:   Backdoor is enabled: The switch acts like it is connecting via console.  Secure backdoor is enabled: You must enter the username: noradius. The  switch checks if RADIUS server is reachable. If it is reachable, then you must  authenticate via remote authentication server. Only if RADIUS server is not  reachable, you will be prompted for local user/password to be authenticated  against these local credentials. All user privileges, other than those assigned to the Administrator, have to be  defined in the RADIUS dictionary. RADIUS attribute 6 which is built into all  RADIUS servers defines the administrator. The file name of the dictionary is  RADIUS vendor‐dependent. The following RADIUS attributes are defined for  Enterprise NOS user privileges levels:  Table 8. Enterprise NOS‐proprietary Attributes for RADIUS User Name/Access User-Service-Type Value User Vendor‐supplied Operator Vendor‐supplied Administrator (USERID) Vendor‐supplied © Copyright Lenovo 2017 Chapter 5: Authentication & Authorization Protocols...
  • Page 104: Tacacs+ Authentication

    TACACS+ Authentication Enterprise NOS supports authentication, authorization, and accounting with  networks using the Cisco Systems TACACS+ protocol. The CN4093 functions as  the Network Access Server (NAS) by interacting with the remote client and  initiating authentication and authorization sessions with the TACACS+ access  server. The remote user is defined as someone requiring management access to the  CN4093 either through a data or management port. TACACS+ offers the following advantages over RADIUS:  TACACS+ uses TCP‐based connection‐oriented transport; whereas RADIUS is  UDP‐based. TCP offers a connection‐oriented transport, while UDP offers  best‐effort delivery. RADIUS requires additional programmable variables such  as re‐transmit attempts and time‐outs to compensate for best‐effort transport,  but it lacks the level of built‐in support that a TCP transport offers.  TACACS+ offers full packet encryption whereas RADIUS offers password‐only  encryption in authentication requests.  TACACS+ separates authentication, authorization and accounting. How TACACS+ Authentication Works TACACS+ works much in the same way as RADIUS authentication as described on  page 100. 1. Remote administrator connects to the switch and provides user name and  password. 2. Using Authentication/Authorization protocol, the switch sends request to  authentication server. 3. Authentication server checks the request against the user ID database. 4. Using TACACS+ protocol, the authentication server instructs the switch to grant or  deny administrative access. During a session, if additional authorization checking is needed, the switch checks  with a TACACS+ server to determine if the user is granted permission to use a  particular command.f CN4093 Application Guide for N/OS 8.4...
  • Page 105: Tacacs+ Authentication Features In Enterprise Nos

    CN 4093(config)# tacacs-server privilege-mapping Table 10.  Alternate TACACS+ Authorization Levels Enterprise NOS User Access TACACS+ Level Level user 0–1 oper 6–8 admin (USERID) 14–15 You can customize the mapping between TACACS+ privilege levels and CN4093  management access levels. Use the following command to manually map each  TACACS+ privilege level (0‐15) to a corresponding CN4093 management access  level:  CN 4093(config)# tacacs-server user-mapping If the remote user is successfully authenticated by the authentication server, the  switch verifies the privileges of the remote user and authorizes the appropriate  access.  © Copyright Lenovo 2017 Chapter 5: Authentication & Authorization Protocols...
  • Page 106: Backdoor

    Backdoor The administrator has an option to allow backdoor access via Telnet using the  command: CN 4093(config)# tacacs-server backdoor The default value for Telnet access is disabled. The administrator also can enable  secure backdoor to allow access if both the primary and the secondary TACACS+  servers fail to respond. The command for this is: CN 4093(config)# tacacs-server secure-backdoor Note: To obtain the TACACS+ backdoor password for your switch, contact your  Service and Support line. Accounting Accounting is the action of recording a userʹs activities on the device for the  purposes of billing and/or security. It follows the authentication and authorization  actions. If the authentication and authorization is not performed via TACACS+,  there are no TACACS+ accounting messages sent out. You can use TACACS+ to record and track software login access, configuration  changes, and interactive commands. The CN4093 supports the following TACACS+ accounting attributes: protocol (console/telnet/ssh/http)   start_time  stop_time  elapsed_time  disc‐cause Note: When using the Browser‐Based Interface, the TACACS+ Accounting Stop  records are sent only if the Quit button on the browser is clicked. CN4093 Application Guide for N/OS 8.4...
  • Page 107: Command Authorization And Logging

    The following rules apply to TACACS+ command authorization and logging:  Only commands from a Console, Telnet, or SSH connection are sent for authori‐ zation and logging. SNMP, BBI, or file‐copy commands (for example, TFTP or  sync) are not sent. Only leaf‐level commands are sent for authorization and logging. For example:  CN 4093(config)#  is not sent, but the following command is sent:    CN 4093(config)# tacacs-server command-logging  The full path of each command is sent for authorization and logging. For  example: CN 4093(config)# tacacs-server command-logging  Command arguments are not sent for authorization.   Only executed commands are logged.  Invalid commands are checked by Enterprise NOS and are not sent for authori‐ zation or logging. © Copyright Lenovo 2017 Chapter 5: Authentication & Authorization Protocols...
  • Page 108  Authorization is performed on each leaf‐level command separately. If the user  issues multiple commands at once, each command is sent separately as a full  path.  Only the following global commands are sent for authorization and logging: diff  ping  revert  telnet  traceroute  CN4093 Application Guide for N/OS 8.4...
  • Page 109: Tacacs+ Password Change

    CN 4093(config)# tacacs-server timeout 5 5. Configure custom privilege‐level mapping (optional). CN 4093(config)# tacacs-server user-mapping 2 user CN 4093(config)# tacacs-server user-mapping 3 user CN 4093(config)# tacacs-server user-mapping 4 user CN 4093(config)# tacacs-server user-mapping 5 oper © Copyright Lenovo 2017 Chapter 5: Authentication & Authorization Protocols...
  • Page 110: Ldap Authentication And Authorization

    LDAP Authentication and Authorization Enterprise NOS supports the LDAP (Lightweight Directory Access Protocol)  method to authenticate and authorize remote administrators to manage the switch.  LDAP is based on a client/server model. The switch acts as a client to the LDAP  server. A remote user (the remote administrator) interacts only with the switch, not  the back‐end server and database. LDAP authentication consists of the following components: A protocol with a frame format that utilizes TCP over IP   A centralized server that stores all the user authorization information A client, in this case, the switch  Each entry in the LDAP server is referenced by its Distinguished Name (DN). The  DN consists of the user‐account name concatenated with the LDAP domain name.  If the user‐account name is John, the following is an example DN: uid=John,ou=people,dc=domain,dc=com Configuring the LDAP Server CN4093 user groups and user accounts must reside within the same domain. On  the LDAP server, configure the domain to include CN4093 user groups and user  accounts, as follows:  User Accounts: Use the uid attribute to define each individual user account.  User Groups: Use the members attribute in the groupOfNames object class to create the user  groups. The first word of the common name for each user group must be equal  to the user group names defined in the CN4093, as follows: admin (USERID)  oper  user ...
  • Page 111: Configuring Ldap Authentication On The Switch

    3. If desired, you may change the default TCP port number used to listen to LDAP. The well‐known port for LDAP is 389. CN 4093(config)# ldap-server port <1‐65000> 4. Configure the number of retry attempts for contacting the LDAP server and the  timeout period. CN 4093(config)# ldap-server retransmit 3  (number of server retries) CN 4093(config)# ldap-server timeout 10  (enter the timeout period in seconds) 5. You may change the default LDAP attribute (uid) or add a custom attribute. For  instance, Microsoft’s Active Directory requires the cn (common name) attribute.   CN 4093(config)# ldap-server attribute username <1‐128 alpha‐numeric characters> © Copyright Lenovo 2017 Chapter 5: Authentication & Authorization Protocols...
  • Page 112 CN4093 Application Guide for N/OS 8.4...
  • Page 113: Chapter 6. 802.1X Port-Based Network Access Control

    Chapter 6. 802.1X Port-Based Network Access Control Port‐Based Network Access control provides a means of authenticating and  authorizing devices attached to a LAN port that has point‐to‐point connection  characteristics. It prevents access to ports that fail authentication and  authorization. This feature provides security to ports of the CN4093 10 Gb  Converged Scalable Switch (CN4093) that connect to blade servers. The following topics are discussed in this section:  “Extensible Authentication Protocol over LAN” on page 114  “EAPoL Authentication Process” on page 115  “EAPoL Port States” on page 116  “Guest VLAN” on page 117  “Supported RADIUS Attributes” on page 118  “EAPoL Configuration Guidelines” on page 120 © Copyright Lenovo 2017...
  • Page 114: Extensible Authentication Protocol Over Lan

    Extensible Authentication Protocol over LAN Enterprise NOS can provide user‐level security for its ports using the IEEE 802.1X  protocol, which is a more secure alternative to other methods of port‐based  network access control. Any device attached to an 802.1X‐enabled port that fails  authentication is prevented access to the network and denied services offered  through that port. The 802.1X standard describes port‐based network access control using Extensible  Authentication Protocol over LAN (EAPoL). EAPoL provides a means of  authenticating and authorizing devices attached to a LAN port that has  point‐to‐point connection characteristics and of preventing access to that port in  cases of authentication and authorization failures. EAPoL is a client‐server protocol that has the following components: Supplicant or Client   The Supplicant is a device that requests network access and provides the  required credentials (user name and password) to the Authenticator and the  Authenticator Server.  Authenticator  The Authenticator enforces authentication and controls access to the network.  The Authenticator grants network access based on the information provided by  the Supplicant and the response from the Authentication Server. The  Authenticator acts as an intermediary between the Supplicant and the  Authentication Server: requesting identity information from the client,  forwarding that information to the Authentication Server for validation,  relaying the server’s responses to the client, and authorizing network access  based on the results of the authentication exchange. The CN4093 acts as an  Authenticator.  Authentication Server The Authentication Server validates the credentials provided by the Supplicant  to determine if the Authenticator should grant access to the network. The  Authentication Server may be co‐located with the Authenticator. The CN4093  relies on external RADIUS servers for authentication. Upon a successful authentication of the client by the server, the 802.1X‐controlled  port transitions from unauthorized to authorized state, and the client is allowed  full access to services through the port. When the client sends an EAP‐Logoff ...
  • Page 115: Eapol Authentication Process

    802.1x Client Server EAPOL IBM Switch RADIUS-EAP Authenticator Ethernet (RADIUS Client) UDP/IP Port Unauthorized EAPOL-Start EAP-Request (Credentials) EAP-Response (Credentials) Radius-Access-Request Radius-Access-Challenge EAP-Request (Credentials) EAP-Response (Credentials) Radius-Access-Request Radius-Access-Accept EAP-Success Port Authorized © Copyright Lenovo 2017 Chapter 6: 802.1X Port-Based Network Access Control...
  • Page 116: Eapol Message Exchange

    EAPoL Message Exchange During authentication, EAPOL messages are exchanged between the client and the  CN4093 authenticator, while RADIUS‐EAP messages are exchanged between the  CN4093 authenticator and the RADIUS server. Authentication is initiated by one of the following methods:  The CN4093 authenticator sends an EAP‐Request/Identity packet to the client  The client sends an EAPOL‐Start frame to the CN4093 authenticator, which  responds with an EAP‐Request/Identity frame. The client confirms its identity by sending an EAP‐Response/Identity frame to the  CN4093 authenticator, which forwards the frame encapsulated in a RADIUS  packet to the server. The RADIUS authentication server chooses an EAP‐supported authentication  algorithm to verify the client’s identity, and sends an EAP‐Request packet to the  client via the CN4093 authenticator. The client then replies to the RADIUS server  with an EAP‐Response containing its credentials. Upon a successful authentication of the client by the server, the 802.1X‐controlled  port transitions from unauthorized to authorized state, and the client is allowed  full access to services through the controlled port. When the client later sends an  EAPOL‐Logoff message to the CN4093 authenticator, the port transitions from  authorized to unauthorized state. If a client that does not support 802.1X connects to an 802.1X‐controlled port, the  CN4093 authenticator requests the clientʹs identity when it detects a change in the  operational state of the port. The client does not respond to the request, and the  port remains in the unauthorized state. Note: When an 802.1X‐enabled client connects to a port that is not  802.1X‐controlled, the client initiates the authentication process by sending an  EAPOL‐Start frame. When no response is received, the client retransmits the  request for a fixed number of times. If no response is received, the client assumes  the port is in authorized state, and begins sending frames, even if the port is  unauthorized. EAPoL Port States The state of the port determines whether the client is granted access to the network,  as follows: ...
  • Page 117: Guest Vlan

    Guest VLAN The guest VLAN provides limited access to unauthenticated ports. The guest  VLAN can be configured using the following command:   CN 4093(config)# dot1x guest-vlan ? Client ports that have not received an EAPOL response are placed into the Guest  VLAN, if one is configured on the switch. Once the port is authenticated, it is  moved from the Guest VLAN to its configured VLAN.  When Guest VLAN enabled, the following considerations apply while a port is in  the unauthenticated state:  The port is placed in the guest VLAN. The Port VLAN ID (PVID) is changed to the Guest VLAN ID.   Port tagging is disabled on the port. © Copyright Lenovo 2017 Chapter 6: 802.1X Port-Based Network Access Control...
  • Page 118: Supported Radius Attributes

    Supported RADIUS Attributes The 802.1X Authenticator relies on external RADIUS servers for authentication  with EAP. Table 11lists the RADIUS attributes that are supported as part of  RADIUS‐EAP authentication based on the guidelines specified in Annex D of the  802.1X standard and RFC 3580. Table 11. Support for RADIUS Attributes # Attribute Attribute Value 1 User‐Name The value of the Type‐Data field  0‐1 from the supplicant’s  EAP‐Response/Identity  message. If the Identity is  unknown (i.e. Type‐Data field is  zero bytes in length), this  attribute will have the same  value as the Calling‐Station‐Id. 4 NAS‐IP‐Address IPv4 address of the  authenticator used for Radius  communication. 5 NAS‐Port Port number of the  authenticator port to which the  supplicant is attached. 24 State Server‐specific value. This is  0‐1 0‐1 0‐1 sent unmodified back to the ...
  • Page 119 80 Message‐ Always present whenever an  Authenticator EAP‐Message attribute is also  included. Used to  integrity‐protect a packet.  87 NAS‐Port‐ID Name assigned to the  authenticator port, e.g.  Server1_Port3 Legend: RADIUS Packet Types: A‐R (Access‐Request), A‐A (Access‐Accept),  A‐C (Access‐Challenge), A‐R (Access‐Reject) RADIUS Attribute Support: This attribute MUST NOT be present in a packet.   Zero or more instances of this attribute MAY be present in a packet. 0‐1 Zero or one instance of this attribute MAY be present in a packet.   Exactly one instance of this attribute MUST be present in a packet.  One or more of these attributes MUST be present. © Copyright Lenovo 2017 Chapter 6: 802.1X Port-Based Network Access Control...
  • Page 120: Eapol Configuration Guidelines

    EAPoL Configuration Guidelines When configuring EAPoL, consider the following guidelines:  The 802.1X port‐based authentication is currently supported only in  point‐to‐point configurations, that is, with a single supplicant connected to an  802.1X‐enabled switch port.  When 802.1X is enabled, a port has to be in the authorized state before any other  Layer 2 feature can be operationally enabled. For example, the STG state of a  port is operationally disabled while the port is in the unauthorized state.  The 802.1X supplicant capability is not supported. Therefore, none of its ports  can successfully connect to an 802.1X‐enabled port of another device, such as  another switch, that acts as an authenticator, unless access control on the remote  port is disabled or is configured in forced‐authorized mode. For example, if a  CN4093 is connected to another CN4093, and if 802.1X is enabled on both  switches, the two connected ports must be configured in force‐authorized mode.  Unsupported 802.1X attributes include Service‐Type, Session‐Timeout, and  Termination‐Action.  RADIUS accounting service for 802.1X‐authenticated devices or users is not  currently supported.  Configuration changes performed using SNMP and the standard 802.1X MIB  will take effect immediately. CN4093 Application Guide for N/OS 8.4...
  • Page 121: Chapter 7. Access Control Lists

    ACLs are configured using the following CLI menu:  CN 4093(config)# access-control list <IPv4 ACL number> IPv6 ACLs  Up to 128 ACLs are supported for networks that use IPv6 addressing. IPv6  ACLs are configured using the following CLI menu:  CN 4093(config)# access-control list6 <IPv6 ACL number>  Management ACLs Up to 128 MACLs are supported. ACLs for the different types of management  protocols (Telnet, HTTPS, etc.) provide greater granularity for securing  management traffic.  Management ACLs are configured using the following command:  CN 4093(config)# access-control macl <MACL number>  VLAN Maps (VMaps) Up to 128 VLAN Maps are supported for attaching filters to VLANs rather than  ports. See “VLAN Maps” on page 132 for details.  CN 4093(config)# access-control vmap <vmap  number> © Copyright Lenovo 2017...
  • Page 122: Summary Of Packet Classifiers

    Summary of Packet Classifiers ACLs allow you to classify packets according to a variety of content in the packet  header (such as the source address, destination address, source port number,  destination port number, and others). Once classified, packet flows can be  identified for more processing. Regular ACLs, and VMaps allow you to classify packets based on the following  packet attributes:  Ethernet header options (for regular ACLs and VMaps only) Source MAC address  Destination MAC address  VLAN number and mask  Ethernet type (ARP, IPv4, MPLS, RARP, etc.)  Ethernet Priority (the IEEE 802.1p Priority)   IPv4 header options (for regular ACLs and VMaps only) Source IPv4 address and subnet mask  Destination IPv4 address and subnet mask  Type of Service value  IP protocol number or name as shown in Table  Table 12. Well‐Known Protocol Types Number Protocol Name icmp igmp ospf vrrp CN4093 Application Guide for N/OS 8.4...
  • Page 123 1985 hsrp gopher snmptrap TCP/UDP application destination port and mask as shown in Table  TCP/UDP flag value as shown in Table 14.   Table 14. Well‐Known TCP flag values Flag Value 0x0020 0x0010 0x0008 0x0004 0x0002 0x0001  Packet format (for regular ACLs and VMaps only) Ethernet format (eth2, SNAP, LLC)  Ethernet tagging format  IP format (IPv4)   Egress port packets (for all ACLs) © Copyright Lenovo 2017 Chapter 7: Access Control Lists...
  • Page 124: Summary Of Acl Actions

    Summary of ACL Actions Once classified using ACLs, the identified packet flows can be processed  differently. For each ACL, an action can be assigned. The action determines how the  switch treats packets that match the classifiers assigned to the ACL. CN4093 ACL  actions include the following:  Pass or Drop the packet  Re‐mark the packet with a new DiffServ Code Point (DSCP)  Re‐mark the 802.1p field  Set the COS queue Assigning Individual ACLs to a Port Once you configure an ACL, you must assign the ACL to the appropriate ports.  Each port can accept multiple ACLs, and each ACL can be applied for multiple  ports. ACLs can be assigned individually, or in groups. To assign an individual ACL to a port, use the following IP interface commands:   CN 4093(config)# interface port <port> CN 4093(config-if)# access-control list <IPv4 ACL number> CN 4093(config-ip)# access-control list6 <IPv6 ACL number> When multiple ACLs are assigned to a port, higher‐priority ACLs are considered ...
  • Page 125: Acl Groups

    DIP = 10.10.10.3 (255.255.255.0) Action = permit ACL Groups organize ACLs into traffic profiles that can be more easily assigned  to ports. The CN4093 supports up to 256 ACL Groups. Note: ACL Groups are used for convenience in assigning multiple ACLs to ports.  ACL Groups have no effect on the order in which ACLs are applied (see “ACL  Order of Precedence” on page 124). All ACLs assigned to the port (whether  individually assigned or part of an ACL Group) are considered as individual ACLs  for the purposes of determining their order of precedence. Assigning ACL Groups to a Port To assign an ACL Group to a port, use the following commands:   CN 4093(config)# interface port <port number> CN 4093(config-if)# access-control group <ACL group number> CN 4093(config-if)# exit © Copyright Lenovo 2017 Chapter 7: Access Control Lists...
  • Page 126: Acl Metering And Re-Marking

    ACL Metering and Re-Marking You can define a profile for the aggregate traffic flowing through the switch by  configuring a QoS meter (if desired) and assigning ACLs to ports. Note: When you add ACLs to a port, make sure they are ordered correctly in terms  of precedence (see “ACL Order of Precedence” on page 124). Actions taken by an ACL are called In‐Profile actions. You can configure additional  In‐Profile and Out‐of‐Profile actions on a port. Data traffic can be metered, and  re‐marked to ensure that the traffic flow provides certain levels of service in terms  of bandwidth for different types of network traffic. Metering QoS metering provides different levels of service to data streams through  user‐configurable parameters. A meter is used to measure the traffic stream against  a traffic profile which you create. Thus, creating meters yields In‐Profile and  Out‐of‐Profile traffic for each ACL, as follows:  In‐Profile–If there is no meter configured or if the packet conforms to the meter,  the packet is classified as In‐Profile.  Out‐of‐Profile–If a meter is configured and the packet does not conform to the  meter (exceeds the committed rate or maximum burst rate of the meter), the  packet is classified as Out‐of‐Profile. Using meters, you set a Committed Rate in Kbps (1000 bits per second in each  Kbps). All traffic within this Committed Rate is In‐Profile. Additionally, you can  set a Maximum Burst Size that specifies an allowed data burst larger than the  Committed Rate for a brief period. These parameters define the In‐Profile traffic. Meters keep the sorted packets within certain parameters. You can configure a  meter on an ACL, and perform actions on metered traffic, such as packet  re‐marking. Re-Marking Re‐marking allows for the treatment of packets to be reset based on new network  specifications or desired levels of service. You can configure the ACL to re‐mark a  packet as follows:  Change the DSCP value of a packet, used to specify the service level that traffic  should receive. ...
  • Page 127: Acl Port Mirroring

    CN 4093(config)# access-control list <ACL number> mirror port <destination  port> The ACL must be also assigned to it target ports as usual (see “Assigning  Individual ACLs to a Port” on page 124, or “Assigning ACL Groups to a Port” on  page 125). For VMaps (see “VLAN Maps” on page 132):    CN 4093(config)# access-control vmap <VMap number> mirror port <monitor  destination port> Viewing ACL Statistics ACL statistics display how many packets have “hit” (matched) each ACL. Use  ACL statistics to check filter performance or to debug the ACL filter configuration. You must enable statistics for each ACL that you wish to monitor:   CN 4093(config)# access-control list <ACL number> statistics © Copyright Lenovo 2017 Chapter 7: Access Control Lists...
  • Page 128: Acl Logging

    ACL Logging ACLs are generally used to enhance port security. Traffic that matches the  characteristics (source addresses, destination addresses, packet type, etc.) specified  by the ACLs on specific ports is subject to the actions (chiefly permit or deny)  defined by those ACLs. Although switch statistics show the number of times  particular ACLs are matched, the ACL logging feature can provide additional  insight into actual traffic patterns on the switch, providing packet details in the  system log for network debugging or security purposes. Enabling ACL Logging By default, ACL logging is disabled. Enable or disable ACL logging on a per‐ACL  basis as follows: CN 4093(config)# [no] access-control list <IPv4 ACL number> log CN 4093(config)# [no] access-control list6 <IPv6 ACL number> log Logged Information When ACL logging is enabled on any particular ACL, the switch will collect  information about packets that match the ACL. The information collected depends  on the ACL type:  For IP‐based ACLs, information is collected regarding Source IP address  Destination IP address  TCP/UDP port number ...
  • Page 129: Rate Limiting Behavior

    CN 4093(config)# access-control log rate-limit <1‐1000> Where the limit is specified in packets per second. Log Interval For each log‐enabled ACL, the first packet that matches the ACL initiates an  immediate message in the system log. Beyond that, additional matches are subject  to the log interval. By default, the switch will buffer ACL log messages for a period  of 300 seconds. At the end of that interval, all messages in the buffer are written to  the system log. The global interval value can be changed as follows: CN 4093(config)# access-control log interval <5‐600> Where the interval rate is specified in seconds. In any given interval, packets that have identical log information are condensed  into a single message. However, the packet count shown in the ACL log message  represents only the logged messages, which due to rate‐limiting, may be  significantly less than the number of packets actually matched by the ACL. Also, the switch is limited to 64 different ACL log messages in any interval. Once  the threshold is reached, the oldest message will be discarded in favor of the new  message, and an overflow message will be added to the system log. ACL Logging Limitations ACL logging reserves packet queue 1 for internal use. Features that allow  remapping packet queues (such as CoPP) may not behave as expected if other  packet flows are reconfigured to use queue 1. © Copyright Lenovo 2017 Chapter 7: Access Control Lists...
  • Page 130: Acl Configuration Examples

    ACL Configuration Examples ACL Example 1 Use this configuration to block traffic to a specific host. All traffic that ingresses on  port EXT1 is denied if it is destined for the host at IP address 100.10.1.1. 1. Configure an Access Control List.   CN 4093(config)# access-control list 1 ipv4 destination-ip-address 100.10.1.1 CN 4093(config)# access-control list 1 action deny 2. Add ACL 1 to port EXT1.   CN 4093(config)# interface port EXT1 CN 4093(config-if)# access-control list 1 CN 4093(config-if)# exit ACL Example 2 Use this configuration to block traffic from a network destined for a specific host ...
  • Page 131: Acl Example 3

    CN 4093(config)# access-control list 4 ipv4 source-ip-address 100.10.1.0 255.255.255.0 CN 4093(config)# access-control list 4 egress-port 3 CN 4093(config)# access-control list 4 action deny 2. Add ACL 4 to port EXT1.  CN 4093(config)# interface port EXT1 CN 4093(config-if)# access-control list 4 CN 4093(config-if)# exit © Copyright Lenovo 2017 Chapter 7: Access Control Lists...
  • Page 132: Vlan Maps

    VLAN Maps A VLAN map (VMAP) is an ACL that can be assigned to a VLAN or VM group  rather than to a switch port as with regular ACLs. This is particularly useful in a  virtualized environment where traffic filtering and metering policies must follow  virtual machines (VMs) as they migrate between hypervisors. VMAPs are configured using the following ISCLI command path: CN 4093(config)# access-control vmap <VMAP ID (1‐128)> action Set filter action egress-port Set to filter for packets egressing this port ethernet Ethernet header options ipv4 IP version 4 header options meter ACL metering configuration mirror Mirror options packet-format Set to filter specific packet format types...
  • Page 133: Vmap Example

    CN 4093(config)# access-control vmap 21 packet-format ethernet ethernet-type2 CN 4093(config)# access-control vmap 21 mirror port 4 CN 4093(config)# access-control vmap 21 action permit CN 4093(config)# vlan 3 CN 4093(config-vlan)# vmap 21 intports © Copyright Lenovo 2017 Chapter 7: Access Control Lists...
  • Page 134: Management Acls

    Management ACLs Management ACLs (MACLs) filter inbound traffic (traffic heading toward the  CPU). MACLs are applied switch‐wide. Traffic can be filtered based on the  following:  IPv4 source address  IPv4 destination address  IPv4 protocols   TCP/UDP destination or source port Lower MACL numbers have higher priority. Up to 128 MACLs can be configured. Following is an example MACL configuration based on a destination IP address  and a TCP‐UDP destination port:    CN 4093(config)# access-control macl 1 ipv4 destination-ip-address 1.1.1.1 255.255.255.0 CN 4093(config)# access-control macl 1 tcp-udp destination-port 111 0xffff CN 4093(config)# access-control macl 1 statistics CN 4093(config)# access-control macl 1 action permit CN 4093(config)# access-control macl 1 enable Use the following command to view the MACL configuration:  ...
  • Page 135: Part 3: Switch Basics

    Part 3: Switch Basics This section discusses basic switching functions:  VLANs  Port Aggregation  Spanning Tree Protocols (Spanning Tree Groups, Rapid Spanning Tree Protocol  and Multiple Spanning Tree Protocol)  Quality of Service © Copyright Lenovo 2017...
  • Page 136 CN4093 Application Guide for N/OS 8.4...
  • Page 137: Chapter 8. Vlans

    Chapter 8. VLANs This chapter describes network design and topology considerations for using  Virtual Local Area Networks (VLANs). VLANs are commonly used to split up  groups of network users into manageable broadcast domains, to create logical  segmentation of workgroups, and to enforce security policies among logical  segments. The following topics are discussed in this chapter:  “VLANs and Port VLAN ID Numbers” on page 139  “VLAN Tagging/Trunk Mode” on page 142  “VLAN Topologies and Design Considerations” on page 147  “Protocol‐Based VLANs” on page 150 “Private VLANs” on page 153  Note: Basic VLANs can be configured during initial switch configuration (see  “Using the Setup Utility” in the CN4093 Enterprise NOS 8.4 Command Reference).  More comprehensive VLAN configuration can be done from the Command Line  Interface (see “VLAN Configuration” as well as “Port Configuration” in the  CN4093 Enterprise NOS 8.4 Command Reference). © Copyright Lenovo 2017...
  • Page 138: Vlans Overview

    VLANs Overview Setting up virtual LANs (VLANs) is a way to segment networks to increase  network flexibility without changing the physical network topology. With network  segmentation, each switch port connects to a segment that is a single broadcast  domain. When a switch port is configured to be a member of a VLAN, it is added  to a group of ports (workgroup) that belong to one broadcast domain. Ports are grouped into broadcast domains by assigning them to the same VLAN.  Frames received in one VLAN can only be forwarded within that VLAN, and  multicast, broadcast, and unknown unicast frames are flooded only to ports in the  same VLAN. The CN4093 automatically supports jumbo frames. This default cannot be  manually configured or disabled.  The CN4093 10 Gb Converged Scalable Switch (CN4093) supports jumbo frames  with a Maximum Transmission Unit (MTU) of 9,216 bytes. Within each frame, 18  bytes are reserved for the Ethernet header and CRC trailer. The remaining space in  the frame (up to 9,198 bytes) comprise the packet, which includes the payload of  up to 9,000 bytes and any additional overhead, such as 802.1q or VLAN tags.  Jumbo frame support is automatic: it is enabled by default, requires no manual  configuration, and cannot be manually disabled. Note: Jumbo frames are not supported for traffic sent to switch management  interfaces. CN4093 Application Guide for N/OS 8.4...
  • Page 139: Vlans And Port Vlan Id Numbers

    --------------------------- ------ --- ------------------------- Default VLAN INTA1-EXT22 VLAN 200 empty VLAN 300 empty 4095 Mgmt VLAN EXTM MGT1 Primary Secondary Type Ports vPorts ------- --------- --------------- --------------------- --------- Note: The sample screens that appear in this document might differ slightly from  the screens displayed by your system. Screen content varies based on the type of  blade chassis unit that you are using and the firmware versions and options that  are installed. © Copyright Lenovo 2017 Chapter 8: VLANs...
  • Page 140: Pvid/Native Vlan Numbers

    PVID/Native VLAN Numbers Each port in the switch has a configurable default VLAN number, known as its  PVID. By default, the PVID for all non‐management ports is set to 1, which  correlates to the default VLAN ID. The PVID for each port can be configured to any  VLAN number between 1 and 4094. Use the following CLI commands to view PVIDs:  Port information:      CN 4093# show interface information (or) CN 4093# show interface trunk Alias Port Tag Type RMON Lrn Fld PVID DESCRIPTION VLAN(s) NVLAN ------- ---- --- ---------- ---- --- --- ------ -------------- ------ INTA1 Internal 4094...
  • Page 141 Port Configuration: Access mode port:    CN 4093(config)# interface port <port number> CN 4093(config-if)# switchport access vlan <VLAN ID> Trunk mode port:    CN 4093(config)# interface port <port number> CN 4093(config-if)# switchport trunk native vlan <VLAN ID> Each port on the switch can belong to one or more VLANs, and each VLAN can  have any number of switch ports in its membership. Any port that belongs to  multiple VLANs, however, must have VLAN tagging enabled (see “VLAN  Tagging/Trunk Mode” on page 142). © Copyright Lenovo 2017 Chapter 8: VLANs...
  • Page 142: Vlan Tagging/Trunk Mode

    VLAN Tagging/Trunk Mode Enterprise NOS software supports 802.1Q VLAN tagging, providing  standards‐based VLAN support for Ethernet systems. Tagging places the VLAN identifier in the frame header of a packet, allowing each  port to belong to multiple VLANs. When you add a port to multiple VLANs, you  also must enable tagging on that port. Since tagging fundamentally changes the format of frames transmitted on a tagged  port, you must carefully plan network designs to prevent tagged frames from  being transmitted to devices that do not support 802.1Q VLAN tags, or devices  where tagging is not enabled. Important terms used with the 802.1Q tagging feature are:  VLAN identifier (VID)—the 12‐bit portion of the VLAN tag in the frame header  that identifies an explicit VLAN.  Port VLAN identifier (PVID)—a classification mechanism that associates a port  with a specific VLAN. For example, a port with a PVID of 3 (PVID =3) assigns all  untagged frames received on this port to VLAN 3. Any untagged frames  received by the switch are classified with the PVID of the receiving port.  Tagged frame—a frame that carries VLAN tagging information in the header.  This VLAN tagging information is a 32‐bit field (VLAN tag) in the frame header  that identifies the frame as belonging to a specific VLAN. Untagged frames are  marked (tagged) with this classification as they leave the switch through a port  that is configured as a tagged port.  Untagged frame— a frame that does not carry any VLAN tagging information  in the frame header.  Untagged member—a port that has been configured as an untagged member of  a specific VLAN. When an untagged frame exits the switch through an  untagged member port, the frame header remains unchanged. When a tagged  frame exits the switch through an untagged member port, the tag is stripped  and the tagged frame is changed to an untagged frame.  Tagged member—a port that has been configured as a tagged member of a  specific VLAN. When an untagged frame exits the switch through a tagged  member port, the frame header is modified to include the 32‐bit tag associated  with the PVID. When a tagged frame exits the switch through a tagged member ...
  • Page 143 Port 1 Port 2 Port 3 Tagged member PVID = 2 of VLAN 2 Untagged packet 802.1Q Switch Data B efore Port 6 Port 7 Port 8 Untagged member of VLAN 2 BS45011A © Copyright Lenovo 2017 Chapter 8: VLANs...
  • Page 144 As shown in Figure 4, the untagged packet is marked (tagged) as it leaves the  switch through port 5, which is configured as a tagged member of VLAN 2. The  untagged packet remains unchanged as it leaves the switch through port 7, which  is configured as an untagged member of VLAN 2. Figure 4. 802.1Q tagging (after port‐based VLAN assignment) Tagged member PVID = 2 Port 1 Port 2 Port 3 of VLAN 2 802.1Q Switch CRC* Data (*Recalculated) Port 6 Port 7 Port 8 8100 Priority VID = 2 Untagged memeber of VLAN 2 16 bits 3 bits...
  • Page 145 16 bits 3 bits 1 bit 12 bits Data After Outgoing untagged packet changed (tag removed) Priority - User_priority - Canonical format indicator - VLAN identifier BS45014A Note: Setting the configuration to factory default (CN 4093(config)# boot configuration-block factory) will reset all non‐management ports to  VLAN 1. © Copyright Lenovo 2017 Chapter 8: VLANs...
  • Page 146: Ingress Vlan Tagging

    Ingress VLAN Tagging Tagging can be enabled on an ingress port. When a packet is received on an ingress  port, and if ingress tagging is enabled on the port, a VLAN tag with the port PVID  is inserted into the packet as the outer VLAN tag. Depending on the egress port  setting (tagged or untagged), the outer tag of the packet is retained or removed  when it leaves the egress port. Ingress VLAN tagging is used to tunnel packets through a public domain without  altering the original 802.1Q status. When ingress tagging is enabled on a port, all packets, whether untagged or  tagged, will be tagged again. As shown in Figure 7, when tagging is enabled on the  egress port, the outer tag of the packet is retained when it leaves the egress port. If  tagging is disabled on the egress port, the outer tag of the packet is removed when  it leaves the egress port. Figure 7. 802.1Q tagging (after ingress tagging assignment)  Untagged packet received on ingress port 802.1Q Switch Port 1 Port 2 Port 3 Tagged member PVID = 2 of VLAN 2 Untagged packet CRC* Data...
  • Page 147: Vlan Topologies And Design Considerations

    CN 4093(config)# vlan <VLAN ID (1‐4094)> CN 4093(config-vlan)# management When using Spanning Tree, STG 2‐128 may contain only one VLAN unless   Multiple Spanning‐Tree Protocol (MSTP) mode is used. With MSTP mode,  STG 1 to 32 can include multiple VLANs. VLAN Configuration Rules VLANs operate according to specific configuration rules. When creating VLANs,  consider the following rules that determine how the configured VLAN reacts in  any network topology:  All ports involved in aggregation and port mirroring must have the same VLAN  configuration. If a port is on a LAG with a mirroring port, the VLAN configura‐ tion cannot be changed. For more information about aggregation, see  “Configuring a Static LAG” on page 163.  If a port is configured for port mirroring, the port’s VLAN membership cannot be  changed. For more information on configuring port mirroring, see “Port Mirroring” on page 607.  Management VLANs must contain the management port, and can include one or  more internal ports (INTx). External ports (EXTx) cannot be members of any  management VLAN. © Copyright Lenovo 2017 Chapter 8: VLANs...
  • Page 148: Example: Multiple Vlans With Tagging Adapters

    Example: Multiple VLANs with Tagging Adapters Figure 8. Multiple VLANs with VLAN‐Tagged Gigabit Adapters Server #1 Server #2 VLAN #3 VLAN #1, 2, 3 Switch Module Switch Module Shared Media Gigabit/Tagged adapter PC #1 PC #2 PC #3 PC #4 PC #5 VLAN #2 VLAN #2 VLAN #1 VLAN #3 VLAN #1 &...
  • Page 149 Component Description PC #4  A member of VLAN 3, this PC can only communicate with  Server 1 and Server 2. The associated external switch port has  tagging disabled.  PC #5  A member of both VLAN 1 and VLAN 2, this PC has a  VLAN‐tagging Gigabit Ethernet adapter installed. It can  communicate with Server 2 and PC 3 via VLAN 1, and to Server 2,  PC 1 and PC 2 via VLAN 2. The associated external switch port is a  member of VLAN 1 and VLAN 2, and has tagging enabled.  Note: VLAN tagging is required only on ports that are connected to other  CN4093s or on ports that connect to tag‐capable end‐stations, such as servers with  VLAN‐tagging adapters. © Copyright Lenovo 2017 Chapter 8: VLANs...
  • Page 150: Protocol-Based Vlans

    Protocol-Based VLANs Protocol‐based VLANs (PVLANs) allow you to segment network traffic according  to the network protocols in use. Traffic for supported network protocols can be  confined to a particular port‐based VLAN. You can give different priority levels to  traffic generated by different network protocols. With PVLAN, the switch classifies incoming packets by Ethernet protocol of the  packets, not by the configuration of the ingress port. When an untagged or  priority‐tagged frame arrives at an ingress port, the protocol information carried in  the frame is used to determine a VLAN to which the frame belongs. If a frame’s  protocol is not recognized as a pre‐defined PVLAN type, the ingress port’s PVID is  assigned to the frame. When a tagged frame arrives, the VLAN ID in the frame’s  tag is used. Each VLAN can contain up to eight different PVLANs. You can configure separate  PVLANs on different VLANs, with each PVLAN segmenting traffic for the same  protocol type. For example, you can configure PVLAN 1 on VLAN 2 to segment  IPv4 traffic, and PVLAN 8 on VLAN 100 to segment IPv4 traffic. To define a PVLAN on a VLAN, configure a PVLAN number (1‐8) and specify the  frame type and the Ethernet type of the PVLAN protocol. You must assign at least  one port to the PVLAN before it can function. Define the PVLAN frame type and  Ethernet type as follows: Frame type—consists of one of the following values:  Ether2 (Ethernet II)  SNAP (Subnetwork Access Protocol)  LLC (Logical Link Control)   Ethernet type—consists of a 4‐digit (16 bit) hex value that defines the Ethernet  type. You can use common Ethernet protocol values, or define your own values.  Following are examples of common Ethernet protocol values: IPv4 = 0800  IPv6 = 86dd  ARP = 0806  Port-Based vs. Protocol-Based VLANs Each VLAN supports both port‐based and protocol‐based association, as follows: ...
  • Page 151: Pvlan Priority Levels

    142. Untagged ports must have PVLAN tagging disabled. Tagged ports can have  PVLAN tagging either enabled or disabled. PVLAN tagging has higher precedence than port‐based tagging. If a port is tag  enabled, and the port is a member of a PVLAN, the PVLAN tags egress frames that  match the PVLAN protocol. Use the tag‐pvlan command (vlan <x> protocol-vlan <x> tag-pvlan <x>)  to define the complete list of tag‐enabled ports in the PVLAN. Note that all ports  not included in the PVLAN tag list will have PVLAN tagging disabled. PVLAN Configuration Guidelines Consider the following guidelines when you configure protocol‐based VLANs:  Each port can support up to 8 VLAN protocols. The CN4093 can support up to 16 protocols simultaneously.   Each PVLAN must have at least one port assigned before it can be activated. The same port within a port‐based VLAN can belong to multiple PVLANs.   An untagged port can be a member of multiple PVLANs. A port cannot be a member of different VLANs with the same protocol   association. © Copyright Lenovo 2017 Chapter 8: VLANs...
  • Page 152: Configuring Pvlan

    Configuring PVLAN Follow this procedure to configure a Protocol‐based VLAN (PVLAN). 1. Configure VLAN tagging/trunk mode for ports. CN 4093(config)# interface port 1,2 CN 4093(config-if)# switchport mode trunk CN 4093(config-if)# exit 2. Create a VLAN and define the protocol type(s) supported by the VLAN. CN 4093(config)# vlan 2 CN 4093(config-vlan)# protocol-vlan 1 frame-type ether2 0800 3. Configure the priority value for the protocol. CN 4093(config-vlan)# protocol-vlan 1 priority 2 4. Add member ports for this PVLAN. CN 4093(config-vlan)# protocol-vlan 1 member 1,2 Note: If VLAN tagging is turned on and the port being added to the VLAN has a ...
  • Page 153: Private Vlans

     toward ports in the primary VLAN. Each Private VLAN can contain only one  Isolated VLAN. Community VLAN—carries upstream traffic from ports in the community   VLAN to other ports in the same community, and to ports in the primary  VLAN. Each Private VLAN can contain multiple community VLANs.  After you define the primary VLAN and one or more secondary VLANs, you map  the secondary VLAN(s) to the primary VLAN.  Private VLAN Ports Private VLAN ports are defined as follows:   Promiscuous—A promiscuous port is a port that belongs to the primary VLAN.  The promiscuous port can communicate with all the interfaces, including ports  in the secondary VLANs (Isolated VLAN and Community VLANs).   Isolated—An isolated port is a host port that belongs to an isolated VLAN. Each  isolated port has complete layer 2 separation from other ports within the same  private VLAN (including other isolated ports), except for the promiscuous  ports.  Traffic sent to an isolated port is blocked by the Private VLAN, except the   traffic from promiscuous ports.  Traffic received from an isolated port is forwarded only to promiscuous ports.    Community—A community port is a host port that belongs to a community  VLAN. Community ports can communicate with other ports in the same  community VLAN, and with promiscuous ports. These interfaces are isolated at  layer 2 from all other interfaces in other communities and from isolated ports  within the Private VLAN. © Copyright Lenovo 2017 Chapter 8: VLANs...
  • Page 154: Configuration Guidelines

    Configuration Guidelines The following guidelines apply when configuring Private VLANs:   Management VLANs cannot be Private VLANs. Management ports cannot be  members of a Private VLAN.  The default VLAN 1 cannot be a Private VLAN. IGMP Snooping must be disabled on Private VLANs.   All VLANs that comprise the Private VLAN must belong to the same Spanning  Tree Group.  A VLAN pair is a primary VLAN and one associated secondary VLAN (isolated  or community). The maximum number of VLAN pairs per port is 16. Configuration Example Follow this procedure to configure a Private VLAN.  1. Select a VLAN and define the Private VLAN type as primary.   CN 4093(config)# vlan 700 CN 4093(config-vlan)# private-vlan primary CN 4093(config-vlan)# exit 2. Configure a promiscuous port for VLAN 700.    CN 4093(config)# interface port 1 CN 4093(config-if)# switchport mode private-vlan CN 4093(config-if)# switchport private-vlan mapping 700 CN 4093(config-if)# exit 3.
  • Page 155 CN 4093(config)# interface port 3 CN 4093(config-if)# switchport mode private-vlan CN 4093(config-if)# switchport private-vlan host-association 700 702 CN 4093(config-if)# exit 6. Verify the configuration.   CN 4093(config)# show vlan private-vlan Primary Secondary Type Ports ------- --------- --------------- --------------------------------- isolated community © Copyright Lenovo 2017 Chapter 8: VLANs...
  • Page 156 CN4093 Application Guide for N/OS 8.4...
  • Page 157: Chapter 9. Ports And Link Aggregation (Lag)

    Chapter 9. Ports and Link Aggregation (LAG) LAGs can provide super‐bandwidth, multi‐link connections between the CN4093  10 Gb Converged Scalable Switch (CN4093) and other LAG‐capable devices. A  LAG is a group of ports that act together, combining their bandwidth to create a  single, larger virtual link. This chapter provides configuration background and  examples for aggregating multiple ports together:   “Configuring Port Modes” on page 158  “Configuring QSFP+ Ports” on page 160  “Aggregation Overview” on page 161  “Static LAGs” on page 162 “Configurable LAG Hash Algorithm” on page 165   “Link Aggregation Control Protocol” on page 167 © Copyright Lenovo 2017...
  • Page 158: Configuring Port Modes

    Configuring Port Modes The switch allows you to set the port mode. Select the port mode that fits your  network configuration. Switch port modes are available based on the installation license.  The following port modes are available:  Base Port mode:   Fourteen 10Gb internal (1 port x 14 blade servers)  Eight 10Gb external   Upgrade 1 Port mode:   Twenty Eight 10Gb internal (2 ports x 14 blade servers)  Eight 10Gb external  Two 40Gb external   Upgrade 2 Port mode:   Forty Two 10Gb internal (3 ports x 14 Blade servers)  Fourteen 10Gb external  Two 40Gb external  Base Port mode is the default. To upgrade the port mode, you must obtain a  software license key.  The following command sequence is an example of how to upgrade the port mode  (e.g. switch SN Y010CM2CN058):   CN 4093# software-key Enter hostname or IP address of SFTP/TFTP server: 9.44.143.105 Enter name of file on SFTP/TFTP server: ibm_fod_0019_Y010CM2CN058_anyos_noarch.key...
  • Page 159 External EXT22 EXTM Mgmt 4095 EXTM 4095 MGT1 Mgmt 4095 MGT1 4095 * = PVID/Native-VLAN is tagged. # = PVID is ingress tagged. = Trunk mode NVLAN = Native-VLAN © Copyright Lenovo 2017 Chapter 9: Ports and Link Aggregation (LAG)
  • Page 160: Configuring Qsfp+ Ports

    Configuring QSFP+ Ports QSFP+ ports support both 10GbE and 40GbE, as shown in Table 15.  Table 15. QSFP+ Port Numbering  Physical Port Number 40GbE mode 10GbE mode Port EXT3 Port EXT3 Ports EXT3‐EXT6 Port EXT7 Port EXT7 Ports EXT7‐EXT10 QSFP+ ports are available only when Upgrade 1 is installed (see “Configuring Port  Modes” on page 158).  The following procedure allows you to change the QSFP+ port mode.  1. Display the current port mode for the QSFP+ ports.      CN 4093# show boot qsfp-port-modes QSFP ports booted configuration: Port EXT3, EXT4, EXT5, EXT6 - 10G Mode Port EXT7, EXT8, EXT9, EXT10 - 10G Mode QSFP ports saved configuration: Port EXT3, EXT4, EXT5, EXT6 - 10G Mode...
  • Page 161: Aggregation Overview

    Aggregation Overview When using LAGs between two switches, as shown in Figure 9, you can create a  virtual link between them, operating with combined throughput levels that  depends on how many physical ports are included. Two types of aggregation are available: static LAGs and dynamic Link  Aggregation Control Protocol (LACP) LAGs. Up to 52 LAGs of each type are  supported, depending of the number and type of available ports. Each LAG can  include up to 24 member ports. Figure 9. Link Aggregation Group (LAG)  Switch 1 Switch 2 LAGs are also useful for connecting a CN4093 to third‐party devices that support  link aggregation, such as Cisco routers and switches with EtherChannel  technology (not ISL aggregation technology) and Sunʹs Quad Fast Ethernet  Adapter. Static LAG technology is compatible with these devices when they are  configured manually. LAG traffic is statistically distributed among the ports in a LAG, based on a variety  of configurable options. Also, since each LAG is comprised of multiple physical links, the LAG is inherently  fault tolerant. As long as one connection between the switches is available, the  LAG remains active and statistical load balancing is maintained whenever a port in  the LAG is lost or returned to service.  © Copyright Lenovo 2017 Chapter 9: Ports and Link Aggregation (LAG)
  • Page 162: Static Lags

    Static LAGs When you create and enable a static LAG, the LAG members (switch ports) take on  certain settings necessary for correct operation of the aggregation feature. Before Configuring Static LAGs Before you configure your LAG, you must consider these settings, along with  specific configuration rules, as follows:  Read the configuration rules provided in the section, “Static LAG Configuration  Rules” on page 162.” Determine which switch ports are to become LAG members (the specific ports   making up the LAG).  Ensure that the chosen switch ports are set to enabled.  Ensure all member ports in a LAG have the same VLAN configuration.  Consider how the existing Spanning Tree will react to the new LAG  configuration. See “Spanning Tree Protocols” on page 171 for configuration  guidelines. Consider how existing VLANs will be affected by the addition of a LAG.  Static LAG Configuration Rules The aggregation feature operates according to specific configuration rules. When  creating LAGs, consider the following rules that determine how a LAG reacts in  any network topology:  All LAGs must originate from one network entity (a single device or multiple  devices acting in a stack) and lead to one destination entity. For example, you  cannot combine links from two different servers into one LAG.  Any physical switch port can belong to only one LAG.
  • Page 163: Configuring A Static Lag

     flow control). Configuring a Static LAG In the following example, three ports are aggregated between two switches. Figure 10. LAG Configuration Example Application Switch Application Switch LAG 3: Ports 2, 12, and 22 Lenovo Blade LAG 1: Ports EXT1, EXT2, and EXT3 Switch Lenovo Blade Chassis Prior to configuring each switch in the preceding example, you must connect to the  appropriate switch’s Command Line Interface (CLI) as the administrator. Note: For details about accessing and using any of the menu commands described  in this example, see the Enterprise NOS Command Reference. © Copyright Lenovo 2017...
  • Page 164 1. Connect the switch ports that will be members in the LAG. 2. Configure the LAG using these steps on the CN4093: a. Define a LAG. CN 4093(config)# portchannel 1 port ext1,ext2,ext3 (Add ports to LAG 1) CN 4093(config)# portchannel 1 enable b. Verify the configuration.   CN 4093(config)# show portchannel information Examine the resulting information. If any settings are incorrect, make  appropriate changes. 3. Repeat the process on the other switch. CN 4093(config)# portchannel 3 port 2,12,22 CN 4093(config)# portchannel 3 enable LAG 1 (on the CN4093) is now connected to LAG 3 on the Application Switch.
  • Page 165: Configurable Lag Hash Algorithm

    CN 4093(config)# portchannel thash l3thash l3-source-ip-address Destination IP address (dip)   CN 4093(config)# portchannel thash l3thash l3-destination-ip-address Both source and destination IP address (enabled by default)  CN4093(config)# portchannel thash l3thash l3-source-destination-ip If Layer 2 hashing is preferred for Layer 3 traffic, disable the Layer 3 sip and  dip hashing options and enable the useL2 option: CN 4093(config)# portchannel thash l3thash l3-use-l2-hash © Copyright Lenovo 2017 Chapter 9: Ports and Link Aggregation (LAG)
  • Page 166 Layer 3 traffic will then use Layer 2 options for hashing.  Ingress port number (disabled by default)   CN 4093(config)# portchannel thash ingress Layer 4 port information (disabled by default)    CN 4093(config)# portchannel thash l4port When enabled, Layer 4 port information (TCP, UPD, etc.) is added to the hash if  available. The L4port option is ignored when Layer 4 information is not  included in the packet (such as for Layer 2 packets) or when the useL2 option is  enabled. Note: For MPLS packets, Layer 4 port information is excluded from the hash  calculation. Instead, other IP fields are used, along with the first two MPLS labels. The CN4093 supports the following FCoE hashing options:  CN 4093(config)# portchannel thash fcoe cntag-id CN 4093(config)# portchannel thash fcoe destination-id CN 4093(config)# portchannel thash fcoe fabric-id CN 4093(config)# portchannel thash fcoe originator-id CN 4093(config)# portchannel thash fcoe responder-id CN 4093(config)# portchannel thash fcoe source-id...
  • Page 167: Link Aggregation Control Protocol

    Admin key: a port’s admin key is an integer value (1 ‐ 65535) that you can  configure in the CLI. Each CN4093 port that participates in the same LACP LAG  must have the same admin key value. The admin key is locally significant, which  means the partner switch does not need to use the same admin key value. For example, consider two switches, an Actor (the CN4093) and a Partner (another  switch), as shown in Table Table 16. Actor vs. Partner LACP configuration Actor Switch Partner Switch 1 Port 38 (admin key = 100) Port 1 (admin key = 50) Port 39 (admin key = 100) Port 2 (admin key = 50) Port 40 (admin key = 100) Port 3 (admin key = 70) In the configuration shown in Table 16, Actor switch ports 38 and 39 aggregate to  form an LACP LAG with Partner switch ports 1 and 2. Only ports with the same  LAG ID are aggregated in the LAG. Actor switch port 40 is not aggregated in the  LAG because it has a different LAG ID. Switch ports configured with the same  admin key on the Actor switch but have a different LAG ID (due to Partner switch  admin key configuration or due to partner switch MAC address being different)  can be aggregated in another LAG i.e. Actor switch port 40 can be aggregated in  another LAG with ports that have the same LAG ID as port 40.  © Copyright Lenovo 2017 Chapter 9: Ports and Link Aggregation (LAG)
  • Page 168: Lacp Modes

    To avoid the Actor switch ports (with the same admin key) from aggregating in  another LAG, you can configure a LAG ID. Ports with the same admin key  (although with different LAG IDs) compete to get aggregated in a LAG. The LAG  ID for the LAG is decided based on the first port that is aggregated in the LAG.  Ports with this LAG ID get aggregated and the other ports are placed in  suspended mode. As per the configuration shown in Table 16, if port 38 gets  aggregated first, then the LAG ID of port 38 would be the LAG ID of the LAG. Port  40 would be placed in suspended mode. When in suspended mode, a port  transmits only LACP data units (LACPDUs) and discards all other traffic. A port may also be placed in suspended mode for the following reasons:  When LACP is configured on the port but it stops receiving LACPDUs from the  partner switch.  When the port has a different LAG ID because of the partner switch MAC being  different. For example: when a switch is connected to two partners. LAG ID can be configured using the following command:  CN 4093(config)# portchannel <65‐128> lacp key <adminkey of the LAG>  LACP provides for the controlled addition and removal of physical links for the  link aggregation. LACP Modes Each port in the CN4093 can have one of the following LACP modes. off (default)  The user can configure this port in to a regular static LAG. active  The port is capable of forming a LACP LAG. This port sends LACPDU packets  to partner system ports. passive  The port is capable of forming a LACP LAG. This port only responds to the  LACPDU packets sent from a LACP active port.
  • Page 169: Lacp Individual

    CN 4093(config-if)# no lacp suspend-individual This allows the selected ports to be treated as normal link‐up ports, which may  forward data traffic according to STP, Hot Links or other applications, if they do  not receive any LACPDUs. To configure the LACP individual setting for all the ports in a static LACP LAG,  use the following commands:   CN 4093(config-if)# interface portchannel lacp <LAG admin key> CN 4093(config-if)# [no] lacp suspend-individual Note: By default, ports are configured as below: external ports with lacp suspend-individual  internal ports with no lacp suspend-individual  © Copyright Lenovo 2017 Chapter 9: Ports and Link Aggregation (LAG)
  • Page 170: Configuring Lacp

    Configuring LACP Use the following procedure to configure LACP for ports 7, 8 and 9 to participate  in a single link aggregation.  1. Configure port parameters. All ports that participate in the LACP LAG must have  the same settings, including VLAN membership.  2. Select the port range and define the admin key. Only ports with the same admin  key can form a LACP LAG.   CN 4093(config)# interface port 7-9 CN 4093(config-if)# lacp key 100 3. Set the LACP mode.   CN 4093(config-if)# lacp mode active CN 4093(config-if)# exit 4. Optionally allow member ports to individually participate in normal data traffic if  no LACPDUs are received. CN 4093(config-if)# no lacp suspend-individual CN 4093(config-if)# exit 5.
  • Page 171: Chapter 10. Spanning Tree Protocols

    Chapter 10. Spanning Tree Protocols When multiple paths exist between two points on a network, Spanning Tree  Protocol (STP), or one of its enhanced variants, can prevent broadcast loops and  ensure that the CN4093 10 Gb Converged Scalable Switch (CN4093) uses only the  most efficient network path. This chapter covers the following topics:  “Spanning Tree Protocol Modes” on page 172  “Global STP Control” on page 172  “PVRST Mode” on page 173  “Rapid Spanning Tree Protocol” on page 185  “Multiple Spanning Tree Protocol” on page 187 “Port Type and Link Type” on page 191  © Copyright Lenovo 2017...
  • Page 172: Spanning Tree Protocol Modes

    Spanning Tree Protocol Modes Enterprise NOS 8.4 supports the following STP modes:  Rapid Spanning Tree Protocol (RSTP) IEEE 802.1D (2004) RSTP allows devices to detect and eliminate logical loops in  a bridged or switched network. When multiple paths exist, STP configures the  network so that only the most efficient path is used. If that path fails, STP  automatically configures the best alternative active path on the network in order  to sustain network operations. RSTP is an enhanced version of IEEE 802.1D  (1998) STP, providing more rapid convergence of the Spanning Tree network  path states on STG 1. See “Rapid Spanning Tree Protocol” on page 185 for details.  Per‐VLAN Rapid Spanning Tree (PVRST+) PVRST mode is based on RSTP to provide rapid Spanning Tree convergence, but  supports instances of Spanning Tree, allowing one STG per VLAN. PVRST  mode is compatible with Cisco R‐PVST/R‐PVST+ mode. PVRST is the default Spanning Tree mode on the CN4093. See “PVRST Mode”  on page 173 for details.  Multiple Spanning Tree Protocol (MSTP) IEEE 802.1Q (2003) MSTP provides both rapid convergence and load balancing  in a VLAN environment. MSTP allows multiple STGs, with multiple VLANs in  each. See “Multiple Spanning Tree Protocol” on page 187 for details. Global STP Control By default, the Spanning Tree feature is globally enabled on the switch, and is set  for PVRST mode. Spanning Tree (and thus any currently configured STP mode)  can be globally disabled or re‐enabled using the following commands:   (Globally disable Spanning Tree) CN 4093(config)# spanning-tree mode disable Spanning Tree can be re‐enabled by specifying the STP mode: ...
  • Page 173: Pvrst Mode

    802.1Q tagging to differentiate STP BPDUs and is compatible with Cisco  R‐PVST/R‐PVST+ modes. The relationship between ports, LAGs, VLANs and Spanning Trees is shown in  Table Table 17. Ports, LAGs and VLANs Switch Element Belongs To Port LAG or one or more VLANs One or more VLANs VLAN (non‐default)  PVRST: One VLAN per STG  RSTP: All VLANs are in STG 1 MSTP: Multiple VLANs per STG  Port States The port state controls the forwarding and learning processes of Spanning Tree. In  PVRST, the port state has been consolidated to the following: discarding,  learning or forwarding. Due to the sequence involved in these STP states, considerable delays may occur  while paths are being resolved. To mitigate delays, ports defined as edge ports  (“Port Type and Link Type” on page 191) may bypass the discarding and  learning states, and enter directly into the forwarding state. © Copyright Lenovo 2017 Chapter 10: Spanning Tree Protocols...
  • Page 174: Bridge Protocol Data Units

    Bridge Protocol Data Units To create a Spanning Tree, the switch generates a configuration Bridge Protocol  Data Unit (BPDU), which it then forwards out of its ports. All switches in the Layer  2 network participating in the Spanning Tree gather information about other  switches in the network through an exchange of BPDUs. A bridge sends BPDU packets at a configurable regular interval (2 seconds by  default). The BPDU is used to establish a path, much like a hello packet in IP  routing. BPDUs contain information about the transmitting bridge and its ports,  including bridge MAC addresses, bridge priority, port priority, and path cost. If the  ports are tagged, each port sends out a special BPDU containing the tagged  information. The generic action of a switch on receiving a BPDU is to compare the received  BPDU to its own BPDU that it will transmit. If the priority of the received BPDU is  better than its own priority, it will replace its BPDU with the received BPDU. Then,  the switch adds its own bridge ID number and increments the path cost of the  BPDU. The switch uses this information to block any necessary ports. Note: If STP is globally disabled, BPDUs from external devices will transit the  switch transparently. If STP is globally enabled, for ports where STP is turned off,  inbound BPDUs will instead be discarded. Determining the Path for Forwarding BPDUs When determining which port to use for forwarding and which port to block, the  CN4093 uses information in the BPDU, including each bridge ID. A technique  based on the “lowest root cost” is then computed to determine the most efficient  path for forwarding. Bridge Priority The bridge priority parameter controls which bridge on the network is the STG  root bridge. To make one switch become the root bridge, configure the bridge  priority lower than all other switches and bridges on your network. The lower the  value, the higher the bridge priority. Use the following command to configure the  bridge priority:   CN 4093(config)# spanning-tree stp <1‐128>...
  • Page 175: Port Priority

    Loop Guard In general, STP resolves redundant network topologies into loop‐free topologies.  The loop guard feature performs additional checking to detect loops that might not  be found using Spanning Tree. STP loop guard ensures that a non‐designated port  does not become a designated port. To globally enable loop guard, enter the following command:   CN 4093(config)# spanning-tree loopguard Note: The global loop guard command will be effective on a port only if the  port‐level loop guard command is set to default as shown below: CN 4093(config-if)# spanning-tree guard loop none To enable loop guard at the port level, enter the following command:   CN 4093(config)# interface port <port alias or number> CN 4093(config-if)# spanning-tree guard loop The default state is “none”, i.e. disabled. © Copyright Lenovo 2017 Chapter 10: Spanning Tree Protocols...
  • Page 176: Port Path Cost

    Port Path Cost The port path cost assigns lower values to high‐bandwidth ports, such as 10  Gigabit Ethernet, to encourage their use. The cost of a port also depends on  whether the port operates at full‐duplex (lower cost) or half‐duplex (higher cost).  For example, if a 100‐Mbps (Fast Ethernet) link has a “cost” of 10 in half‐duplex  mode, it will have a cost of 5 in full‐duplex mode. The objective is to use the fastest  links so that the route with the lowest cost is chosen. A value of 0 (the default)  indicates that the default cost will be computed for an auto‐negotiated link or LAG  speed. Use the following command to modify the port path cost:   CN 4093(config)# interface port <port alias or number> CN 4093(config-if)# spanning-tree stp <1‐128> path-cost <path cost value>  CN 4093(config-if)# exit The port path cost can be a value from 1 to 200000000. Specify 0 for automatic path  cost. Simple STP Configuration Figure 11 depicts a simple topology using a switch‐to‐switch link between two  switches (via either external ports or internal Inter‐Switch Links).  Figure 11. Spanning Tree Blocking a Switch‐to‐Switch Link  Enterprise Routing Switches Switch 1 Switch 2...
  • Page 177 Switches Switch 1 Switch 2 Restores Link Server Server Server Server In this example, port 10 on each switch is used for the switch‐to‐switch link. To  ensure that the CN4093 switch‐to‐switch link is blocked during normal operation,  the port path cost is set to a higher value than other paths in the network. To  configure the port path cost on the switch‐to‐switch links in this example, use the  following commands on each switch.   CN 4093(config)# interface port 10 CN 4093(config-if)# spanning-tree stp 1 path-cost 60000 CN 4093(config-if)# exit © Copyright Lenovo 2017 Chapter 10: Spanning Tree Protocols...
  • Page 178: Per-Vlan Spanning Tree Groups

    Per-VLAN Spanning Tree Groups PVRST mode supports a maximum of 128 STGs, with each STG acting as an  independent, simultaneous instance of STP. Multiple STGs provide multiple data paths which can be used for load‐balancing  and redundancy. To enable load balancing between two CN4093s using multiple  STGs, configure each path with a different VLAN and then assign each VLAN to a  separate STG. Since each STG is independent, they each send their own IEEE  802.1Q tagged Bridge Protocol Data Units (BPDUs). Each STG behaves as a bridge group and forms a loop‐free topology. The default  STG 1 may contain multiple VLANs (typically until they can be assigned to  another STG). STGs 2‐128 may contain only one VLAN each. Using Multiple STGs to Eliminate False Loops Figure 13 shows a simple example of why multiple STGs are needed. In the figure,  two ports on a CN4093 are connected to two ports on an application switch. Each  of the links is configured for a different VLAN, preventing a network loop.  However, in the first network, since a single instance of Spanning Tree is running  on all the ports of the CN4093, a physical loop is assumed to exist, and one of the  VLANs is blocked, impacting connectivity even though no actual loop exists. Figure 13. Using Multiple Instances of Spanning Tree Group Switch 1 Switch 2 STG 1 STG 2 False VLAN 1 VLAN 30...
  • Page 179: Vlan And Stg Assignment

    By default, all other STGs (STG 2 through 127) are enabled, though they initially  include no member VLANs. VLANs must be assigned to STGs. By default, this is  done automatically using VLAN Automatic STG Assignment (VASA), though it  can also be done manually (see “Manually Assigning STGs” on page 180). When VASA is enabled (as by default), each time a new VLAN is configured, the  switch will automatically assign that new VLAN to its own STG. Conversely, when  a VLAN is deleted, if its STG is not associated with any other VLAN, the STG is  returned to the available pool. The specific STG number to which the VLAN is assigned is based on the VLAN  number itself. For low VLAN numbers (1 through 127), the switch will attempt to  assign the VLAN to its matching STG number. For higher numbered VLANs, the  STG assignment is based on a simple modulus calculation; the attempted STG  number will “wrap around,” starting back at the top of STG list each time the end  of the list is reached. However, if the attempted STG is already in use, the switch  will select the next available STG. If an empty STG is not available when creating a  new VLAN, the VLAN is automatically assigned to default STG 1. If ports are tagged, each tagged port sends out a special BPDU containing the  tagged information. Also, when a tagged port belongs to more than one STG, the  egress BPDUs are tagged to distinguish the BPDUs of one STG from those of  another STG. VASA is enabled by default, but can be disabled or re‐enabled using the following  command:   CN 4093(config)# [no] spanning-tree stg-auto If VASA is disabled, when you create a new VLAN, that VLAN automatically  belongs to default STG 1. To place the VLAN in a different STG, assign it manually. VASA applies only to PVRST mode and is ignored in RSTP and MSTP modes. © Copyright Lenovo 2017 Chapter 10: Spanning Tree Protocols...
  • Page 180: Manually Assigning Stgs

    Manually Assigning STGs The administrator may manually assign VLANs to specific STGs, whether or not  VASA is enabled. If no VLANs exist (other than default VLAN 1), see “Guidelines for Creating  VLANs” on page 180 for information about creating VLANs and assigning ports to  them. 2. Assign the VLAN to an STG using one of the following methods: From the global configuration mode:    CN 4093(config)# spanning-tree stp <1‐128> vlan <VLAN>  Or from within the VLAN configuration mode:  CN 4093(config)# vlan <VLAN number> CN 4093(config-vlan)# stg <STG number> CN 4093(config-vlan)# exit When a VLAN is assigned to a new STG, the VLAN is automatically removed from  its prior STG. Note: For proper operation with switches that use Cisco PVST+, it is  recommended that you create a separate STG for each VLAN. Guidelines for Creating VLANs ...
  • Page 181: Adding And Removing Ports From Stgs

    VLAN is 3. Confirm changing PVID/Native VLAn from 3 to 1 [y/n]:" y  When you remove a port from VLAN that belongs to an STG, that port will also  be removed from the STG. However, if that port belongs to another VLAN in the  same STG, the port remains in the STG. As an example, assume that port 2 belongs to only VLAN 2, and that VLAN 2  belongs to STG 2. When you remove port 2 from VLAN 2, the port is moved to  default VLAN 1 and is removed from STG 2. However, if port 2 belongs to both VLAN 1 and VLAN 2, and both VLANs  belong to STG 1, removing port 2 from VLAN 2 does not remove port 2 from  STG 1, because the port is still a member of VLAN 1, which is still a member of  STG 1.  An STG cannot be deleted, only disabled. If you disable the STG while it still  contains VLAN members, Spanning Tree will be off on all ports belonging to  that VLAN. The relationship between port, LAGs, VLANs and Spanning Trees is shown in  Table 17 on page 173. © Copyright Lenovo 2017 Chapter 10: Spanning Tree Protocols...
  • Page 182: Switch-Centric Configuration

    Switch-Centric Configuration PVRST is switch‐centric: STGs are enforced only on the switch where they are  configured. The STG ID is not transmitted in the Spanning Tree BPDU. Each  Spanning Tree decision is based entirely on the configuration of the particular  switch. For example, in Figure 14, though VLAN 2 is shared by the Switch A and Switch B,  each switch is responsible for the proper configuration of its own ports, VLANs,  and STGs. Switch A identifies its own port 17 as part of VLAN 2 on STG 2, and the  Switch B identifies its own port 8 as part of VLAN 2 on STG 2. Figure 14. Implementing Multiple Spanning Tree Groups Chassis Application Switch A Switch B STG 2 VLAN 2 STG 3 VLAN 3 STG 1 VLAN 1 Application Application Switch C Switch D The VLAN participation for each Spanning Tree Group in Figure 14 on page 182 is ...
  • Page 183: Configuring Multiple Stgs

    CN 4093(config-vlan)# exit CN 4093(config)# interface port 8 CN 4093(config-if)# switchport mode trunk CN 4093(config-if)# exit If VASA is disabled, enter the following command: CN 4093(config)# spanning-tree stp 2 vlan 2 © Copyright Lenovo 2017 Chapter 10: Spanning Tree Protocols...
  • Page 184 VLAN 2 is automatically removed from STG 1. By default VLAN 1 remains in STG 1. 4. Configure the following on application switch C: Add port 8 to VLAN 3. Ports 1 and 2 are by default in VLAN 1 assigned to STG 1.   CN 4093(config)# vlan 3 CN 4093(config-vlan)# stg 3 CN 4093(config-vlan)# exit CN 4093(config)# interface port 8 CN 4093(config-if)# switchport mode trunk CN 4093(config-if)# exit If VASA is disabled, enter the following command: CN 4093(config)# spanning-tree stp 3 vlan 3 VLAN 3 is automatically removed from STG 1. By default VLAN 1 remains in STG 1.
  • Page 185: Rapid Spanning Tree Protocol

    IEEE 802.1D (2004), superseding the original STP standard. RSTP parameters apply only to Spanning Tree Group (STG) 1. The PVRST mode  STGs 2‐128 are not used when the switch is placed in RSTP mode.RSTP is  compatible with devices that run IEEE 802.1D (1998) Spanning Tree Protocol. If the  switch detects IEEE 802.1D (1998) BPDUs, it responds with IEEE 802.1D  (1998)‐compatible data units. RSTP is not compatible with Per‐VLAN Rapid  Spanning Tree (PVRST) protocol.  Note: In RSTP mode, Spanning Tree for the management ports is turned off by  default. Port States RSTP port state controls are the same as for PVRST: discarding, learning and  forwarding. Due to the sequence involved in these STP states, considerable delays may occur  while paths are being resolved. To mitigate delays, ports defined as edge ports  (“Port Type and Link Type” on page 191) may bypass the discarding and  learning states, and enter directly into the forwarding state. RSTP Configuration Guidelines This section provides important information about configuring RSTP. When RSTP  is turned on, the following occurs:  STP parameters apply only to STG 1.  Only STG 1 is available. All other STGs are turned off.  All VLANs, including management VLANs, are moved to STG 1. © Copyright Lenovo 2017 Chapter 10: Spanning Tree Protocols...
  • Page 186: Rstp Configuration Example

    RSTP Configuration Example This section provides steps to configure RSTP. 1. Configure port and VLAN membership on the switch. 2. Set the Spanning Tree mode to Rapid Spanning Tree.   CN 4093(config)# spanning-tree mode rstp 3. Configure RSTP parameters.   CN 4093(config)# spanning-tree stp 1 bridge priority 8192 CN 4093(config)# spanning-tree stp 1 bridge hello-time 5 CN 4093(config)# spanning-tree stp 1 bridge forward-delay 20 CN 4093(config)# spanning-tree stp 1 bridge maximum-age 30 CN 4093(config)# no spanning-tree stp 1 enable 4.
  • Page 187: Multiple Spanning Tree Protocol

    Type and Link Type” on page 191) bypass the Discarding and Learning states, and  enter directly into the Forwarding state. Note: In MSTP mode, Spanning Tree for the management ports is turned off by  default. MSTP Region A group of interconnected bridges that share the same attributes is called an MST  region. Each bridge within the region must share the following attributes:  Alphanumeric name Revision number   VLAN‐to STG mapping scheme MSTP provides rapid re‐configuration, scalability and control due to the support  of regions, and multiple Spanning‐Tree instances support within each region. Common Internal Spanning Tree The Common Internal Spanning Tree (CIST) provides a common form of Spanning  Tree Protocol, with one Spanning‐Tree instance that can be used throughout the  MSTP region. CIST allows the switch to interoperate with legacy equipment,  including devices that run IEEE 802.1D (1998) STP. CIST allows the MSTP region to act as a virtual bridge to other bridges outside of  the region, and provides a single Spanning‐Tree instance to interact with them. CIST port configuration includes Hello time, Edge port enable/disable, and Link  Type. These parameters do not affect Spanning Tree Groups 1–32. They apply only  when the CIST is used. © Copyright Lenovo 2017 Chapter 10: Spanning Tree Protocols...
  • Page 188: Mstp Configuration Guidelines

    MSTP Configuration Guidelines This section provides important information about configuring Multiple Spanning  Tree Groups: When MSTP is turned on, the switch automatically moves management VLAN   4095 to the CIST. When MSTP is turned off, the switch moves VLAN 4095 from  the CIST to Spanning Tree Group 128.  When you enable MSTP, you must configure the Region Name. A default  version number of 0 is configured automatically. Each bridge in the region must have the same name, version number and VLAN   mapping. MSTP Configuration Examples MSTP Configuration Example 1 This section provides steps to configure MSTP on the CN4093. 1. Configure port and VLAN membership on the switch. 2. Configure Multiple Spanning Tree region parameters and set the mode to MSTP.  CN 4093(config)# spanning-tree mst configuration   (Enter MST configuration mode) CN 4093(config-mst)# name <name>                              (Define the Region name) CN 4093(config-mst)# revision 100                                       (Define the Revision level) CN 4093(config-mst)# exit CN 4093(config)# spanning-tree mode mst                 (Set mode to Multiple Spanning Trees) 3.
  • Page 189: Mstp Configuration Example 2

    CN 4093(config-if)# switchport mode trunk CN 4093(config-if)# exit 2. Configure MSTP: Spanning Tree mode, region name, and version.    CN 4093(config)# spanning-tree mst configuration CN 4093(config-mst)# name MyRegion (Define the Region name) CN 4093(config-mst)# revision 100 (Define the Revision level) CN 4093(config-mst)# exit CN 4093(config)# spanning-tree mode mst         (Set mode to Multiple Spanning Trees) © Copyright Lenovo 2017 Chapter 10: Spanning Tree Protocols...
  • Page 190 3. Map VLANs to MSTP instances:  CN 4093(config)# spanning-tree mst configuration CN 4093(config-mst)# instance 1 vlan 1 CN 4093(config-mst)# instance 2 vlan 2 4. Configure port membership and define the STGs for VLAN 2. Add server ports 3, 4  and 5 to VLAN 2. Add uplink ports 19 and 20 to VLAN 2. Assign VLAN 2 to STG 2.  CN 4093(config)# interface port 3,4,5,19,20 CN 4093(config-if)# switchport access vlan 2 CN 4093(config-if)# exit Note: Each STG is enabled by default. CN4093 Application Guide for N/OS 8.4...
  • Page 191: Port Type And Link Type

    Link Type The link type determines how the port behaves in regard to Rapid Spanning Tree.  Use the following commands to define the link type for the port:   CN 4093(config)# interface port <port> CN 4093(config-if)# [no] spanning-tree link-type <type> CN 4093(config-if)# exit where type corresponds to the duplex mode of the port, as follows:  A full‐duplex link to another device (point‐to‐point) shared  A half‐duplex link is a shared segment and can contain more  than one device. auto  The switch dynamically configures the link type. Note:   Any STP port in full‐duplex mode can be manually configured as a shared  port when connected to a non‐STP‐aware shared device (such as a typical  Layer 2 switch) used to interconnect multiple STP‐aware devices. © Copyright Lenovo 2017 Chapter 10: Spanning Tree Protocols...
  • Page 192 CN4093 Application Guide for N/OS 8.4...
  • Page 193: Chapter 11. Virtual Link Aggregation Groups

    Peers Layer STP blocks Links remain VLAGs implicit loops active Access Layer Servers As shown in the example, a switch in the access layer may be connected to more  than one switch in the aggregation layer to provide for network redundancy.  Typically, Spanning Tree Protocol (RSTP, PVRST, or MSTP—see “Spanning Tree  Protocols” on page 171) is used to prevent broadcast loops, blocking redundant  uplink paths. This has the unwanted consequence of reducing the available  bandwidth between the layers by as much as 50%. In addition, STP may be slow to  resolve topology changes that occur during a link failure, and can result in  considerable MAC address flooding. Using Virtual Link Aggregation Groups (VLAGs), the redundant uplinks remain  active, utilizing all available bandwidth. Two switches are paired into VLAG peers, and act as a single virtual entity for the  purpose of establishing a multi‐port aggregation. Ports from both peers can be  grouped into a VLAG and connected to the same LAG‐capable target device. From  the perspective of the target device, the ports connected to the VLAG peers appear  to be a single LAG connecting to a single logical device. The target device uses the  configured Tier ID to identify the VLAG peers as this single logical device. It is  important that you use a unique Tier ID for each VLAG pair you configure. The  VLAG‐capable switches synchronize their logical view of the access layer port  structure and internally prevent implicit loops. The VLAG topology also responds  more quickly to link failure and does not result in unnecessary MAC flooding. VLAGs are also useful in multi‐layer environments for both uplink and downlink  redundancy to any regular LAG‐capable device. For example: © Copyright Lenovo 2017...
  • Page 194 Figure 17. VLAG Application with Multiple Layers Layer 2/3 Border LACP-capable Routers VLAG 5 VLAG 6 Layer 2 Region VLAG with multiple levels Peers C VLAG 3 VLAG 3 VLAG 4 VLAG VLAG Peers A Peers B VLAG 1 VLAG 2 LACP-capable Switch LACP-capable Server Servers Wherever ports from both peered switches are aggregated to another device, the ...
  • Page 195 In addition, when used with VRRP, VLAGs can provide seamless active‐active  failover for network links. For example: Figure 18. VLAG Application with VRRP VLAG Peers VRRP VRRP VLAG Master Backup Active Server Traffic Flows Note: VLAG is not compatible with UFP vPorts on the same ports. © Copyright Lenovo 2017 Chapter 11: Virtual Link Aggregation Groups...
  • Page 196: Vlag Capacities

    VLAG Capacities Servers or switches that connect to the VLAG peers using a multi‐port VLAG are  considered VLAG clients. VLAG clients are not required to be VLAG‐capable. The  ports participating in the VLAG are configured as regular port LAGs on the VLAG  client end. On the VLAG peers, the VLAGs are configured similarly to regular port LAGs,  using many of the same features and rules. See “Ports and Link Aggregation  (LAG)” on page 157 for general information concerning all port LAGs. Each VLAG begins as a regular port LAG on each VLAG‐peer switch. The VLAG  may be either a static LAG (portchannel) or dynamic LACP LAG and consumes  one slot from the overall port LAG capacity pool. The type of aggregation must  match that used on VLAG client devices. Additional configuration is then required  to implement the VLAG on both VLAG peer switches. You may configure up to 52 LAGs on the switch, with all types (regular or VLAG,  static or LACP) sharing the same pool. The maximum number of configurable VLAG instances is as follows: With STP off: Maximum of 31 VLAG instances   With STP on: PVRST/MSTP with one VLAG instance per VLAN/STG: Maximum of 31   VLAG instances PVRST/MSTP with one VLAG instance belonging to multiple   VLANs/STGs: Maximum of 20 VLAG instances Note: VLAG is not supported in RSTP mode. Each type of aggregation can contain up to 24 member ports, depending on the  port type and availability. CN4093 Application Guide for N/OS 8.4...
  • Page 197: Vlags Versus Port Lags

     A VLAG can consist of multiple ports on two VLAG peers, which are connected  to one logical client device such as a server, switch or another VLAG device.  The participating ports on the client device are configured as a regular port  LAG.  The VLAG peers must be the same model and run the same software version.  VLAG peers require a dedicated inter‐switch link (ISL) for synchronization. The  ports used to create the ISL must have the following properties: ISL ports must have VLAN tagging turned on.  ISL ports must be configured for all VLAG VLANs.  ISL ports must be placed into a regular port LAG (dynamic or static).  A minimum of two ports on each switch are recommended for ISL use.  Dynamic routing protocols, such as OSPF, cannot terminate on VLAGs.   Routing over VLAGs is not supported. However, IP forwarding between  subnets served by VLAGs can be accomplished using VRRP.  VLAGs are configured using additional commands.  It is recommended that end‐devices connected to VLAG switches use NICs with  dual‐homing. This increases traffic efficiency, reduces ISL load and provides  faster link failover. © Copyright Lenovo 2017 Chapter 11: Virtual Link Aggregation Groups...
  • Page 198: Configuring Vlags

    Configuring VLAGs When configuring VLAG or making changes to your VLAG configuration,  consider the following VLAG behavior:  When adding a static Mrouter on VLAG links, ensure that you also add it on the  ISL link to avoid VLAG link failure. If the VLAG link fails, traffic cannot be  recovered through the ISL. Also, make sure you add the same static entry on the  peer VLAG switch for VLAG ports. When you enable VLAG on the switch, if a MSTP region mismatch is detected   with the VLAG peer, the ISL will shut down. In such a scenario, correct the  region on the VLAG peer and manually enable the ISL.  If you have enabled VLAG on the switch, and you need to change the STP mode,  ensure that you first disable VLAG and then change the STP mode. When VLAG is enabled, you may see two root ports on the secondary VLAG   switch. One of these will be the actual root port for the secondary VLAG switch  and the other will be a root port synced with the primary VLAG switch.  The LACP key used must be unique for each VLAG in the entire topology.   The STG to VLAN mapping on both VLAG peers must be identical. The following parameters must be identically configured on the VLAG ports of  both the VLAG peers:  VLANs Native VLAN tagging   Native VLAN/PVID  STP mode   BPDU Guard setting STP port setting   MAC aging timers Static MAC entries ...
  • Page 199: Basic Vlag Configuration

    Mgmt IP: 10.10.10.2/24 LACP 200 VLAN 4094 VLAG 1 VLAG 2 LACP 1000 LACP 2000 VLAN 100 VLAN 100 Client Switch Client Switch In this example, each client switch is connected to both VLAG peers. On each client  switch, the ports connecting to the VLAG peers are configured as a dynamic LACP  port LAG. The VLAG peer switches share a dedicated ISL for synchronizing VLAG  information. On the individual VLAG peers, each port leading to a specific client  switch (and part of the client switch’s port LAG) is configured as a VLAG. In the following example configuration, only the configuration for VLAG 1 on  VLAG Peer 1 is shown. VLAG Peer 2 and all other VLAGs are configured in a  similar fashion. © Copyright Lenovo 2017 Chapter 11: Virtual Link Aggregation Groups...
  • Page 200: Configure The Isl

    Configure the ISL The ISL connecting the VLAG peers is shared by all their VLAGs. The ISL needs to  be configured only once on each VLAG peer. 1. Configure STP if required. Use PVRST or MSTP mode only: CN 4093(config)# spanning-tree mode pvrst 2. Configure the ISL ports and place them into a LAG (dynamic or static): CN 4093(config)# interface port 1-2 CN 4093(config-if)# switchport mode trunk CN 4093(config-if)# lacp mode active CN 4093(config-if)# lacp key 200 CN 4093(config-if)# exit CN 4093(config)# vlag isl adminkey 200 Notes: ...
  • Page 201: Configure The Vlag

    CN 4093(config-if)# lacp key 1000 CN 4093(config-if)# exit 3. Assign the LAG to the VLAG: CN 4093(config)# vlag adminkey 1000 enable 4. Continue by configuring all required VLAGs on VLAG Peer 1 and then repeat the  configuration for VLAG Peer 2. For each corresponding VLAG on the peer, the port LAG type (dynamic or static),  the port’s VLAN, and STP mode and ID must be the same as on VLAG Peer 1. 5. Enable VLAG globally. CN 4093(config)# vlag enable 6. Verify the completed configuration: CN 4093(config)# show vlag information © Copyright Lenovo 2017 Chapter 11: Virtual Link Aggregation Groups...
  • Page 202: Vlag Configuration - Vlans Mapped To Msti

    VLAG Configuration - VLANs Mapped to MSTI Follow the steps in this section to configure VLAG in environments where the STP  mode is MSTP and no previous VLAG was configured. Configure the ISL The ISL connecting the VLAG peers is shared by all their VLAGs. The ISL needs to  be configured only once on each VLAG peer. Ensure you have the same region  name, revision and VLAN‐to‐STG mapping on both VLAG switches. 1. Configure STP: CN 4093(config)# spanning-tree mode mst 2. Configure the ISL ports and place them into a portchannel (dynamic or static): CN 4093(config)# interface port 1-2 CN 4093(config-if)# switchport mode trunk CN 4093(config-if)# lacp mode active CN 4093(config-if)# lacp key 200 CN 4093(config-if)# exit CN 4093(config)# vlag isl adminkey 200 Note:...
  • Page 203: Configure The Vlag

    CN 4093(config-if)# lacp key 1000 CN 4093(config-if)# exit CN 4093(config)# vlag adminkey 1000 enable 4. Enable VLAG: CN 4093(config)# vlag enable 5. Continue by configuring all required VLAGs on VLAG Peer 1, and then follow the  steps for configuring VLAG Peer 2. For each corresponding VLAG on the peer, the port LAG type (dynamic or static),  the port’s VLAN and STP mode and ID must be the same as on VLAG Peer 1. 6. Verify the completed configuration: CN 4093# show vlag information © Copyright Lenovo 2017 Chapter 11: Virtual Link Aggregation Groups...
  • Page 204: Configuring Health Check

    Configuring Health Check We strongly recommend that you configure the CN4093 to check the health status  of its VLAG peer. Although the operational status of the VLAG peer is generally  determined via the ISL connection, configuring a network health check provides  an alternate means to check peer status in case the ISL links fail. Use an  independent link between the VLAG switches to configure health check.  Note: Configuring health check on an ISL VLAN interface or on a VLAG data port  may impact the accuracy of the health check status. 1. Configure a management interface for the switch.  Note: If the switch does not have a dedicated management interface, configure a  VLAN for the health check interface. The health check interface can be configured  with an IPv4 or IPv6 address: CN 4093(config)# interface ip 127 CN 4093(config-ip-if)# ip address 10.10.10.1 255.255.255.0 CN 4093(config-ip-if)# enable CN 4093(config-ip-if)# exit Note: Configure a similar interface on VLAG Peer 2. For example, use IP address  10.10.10.2. 2. Specify the IPv4 or IPv6 address of the VLAG Peer: CN 4093(config)# vlag hlthchk peer-ip 10.10.10.2 Note: For VLAG Peer 2, the management interface would be configured as ...
  • Page 205: Vlags With Vrrp

    CN 4093(config-router-ospf)# enable CN 4093(config-router-ospf)# exit Although OSPF is used in this example, static routing could also be deployed. For  more information, see “OSPF” on page 467 or “Basic IP Routing” on page 393. 3. Configure a server‐facing interface. CN 4093(config)# interface ip 3 CN 4093(config-ip-if)# ip address 10.0.1.10 255.255.255.0 CN 4093(config-ip-if)# vlan 100 CN 4093(config-ip-if)# exit © Copyright Lenovo 2017 Chapter 11: Virtual Link Aggregation Groups...
  • Page 206 4. Turn on VRRP and configure the Virtual Interface Router. CN 4093(config)# router vrrp CN 4093(config-vrrp)# enable CN 4093(config-vrrp)# virtual-router 1 virtual-router-id 1 CN 4093(config-vrrp)# virtual-router 1 interface 3 CN 4093(config-vrrp)# virtual-router 1 address 10.0.1.100 CN 4093(config-vrrp)# virtual-router 1 enable 5. Set the priority of Virtual Router 1 to 101, so that it becomes the Master. CN 4093(config-vrrp)# virtual-router 1 priority 101 CN 4093(config-vrrp)# exit 6.
  • Page 207 CN 4093(config-if)# lacp key 1200 CN 4093(config-if)# exit 12. Assign the LAGs to the VLAGs: CN 4093(config)# vlag adminkey 1000 enable CN 4093(config)# vlag adminkey 1100 enable CN 4093(config)# vlag adminkey 1200 enable 13. Verify the completed configuration: CN 4093(config)# show vlag © Copyright Lenovo 2017 Chapter 11: Virtual Link Aggregation Groups...
  • Page 208: Configure Vlag Peer 2

    Configure VLAG Peer 2 The VLAG peer (VLAG Peer 2) must be configured using the same ISL aggregation  type (dynamic or static), the same VLAN and the same STP mode and Tier ID used  on VLAG Switch 1. For each corresponding VLAG on the peer, the port LAG type (dynamic or static),  VLAN and STP mode and ID must be the same as on VLAG Switch 1. 1. Configure VLAG tier ID and enable VLAG globally.  CN 4093(config)# vlag tier-id 10 CN 4093(config)# vlag enable 2. Configure appropriate routing. CN 4093(config)# router ospf CN 4093(config-router-ospf)# area 1 area-id 0.0.0.1 CN 4093(config-router-ospf)# enable CN 4093(config-router-ospf)# exit Although OSPF is used in this example, static routing could also be deployed. 3. Configure a server‐facing interface. CN 4093(config)# interface ip 3 CN 4093(config-ip-if)# ip address 10.0.1.11 255.255.255.0 CN 4093(config-ip-if)# vlan 100...
  • Page 209 CN 4093(config)# interface ip 2 CN 4093(config-ip-if)# ip address 172.1.4.12 255.255.255.0 CN 4093(config-ip-if)# vlan 40 CN 4093(config-ip-if)# enable CN 4093(config-ip-if)# ip ospf area 1 CN 4093(config-ip-if)# ip ospf enable CN 4093(config-ip-if)# exit © Copyright Lenovo 2017 Chapter 11: Virtual Link Aggregation Groups...
  • Page 210 10. Place the VLAG port(s) in their port LAGs:   CN 4093(config)# interface port 10 CN 4093(config-if)# lacp mode active CN 4093(config-if)# lacp key 1000 CN 4093(config-if)# exit CN 4093(config)# interface port 11 CN 4093(config-if)# lacp mode active CN 4093(config-if)# lacp key 1100 CN 4093(config-if)# exit CN 4093(config)# interface port 12 CN 4093(config-if)# lacp mode active CN 4093(config-if)# lacp key 1200 CN 4093(config-if)# exit...
  • Page 211: Two-Tier Vlags With Vrrp

    1. vLAG VRRP Active (Full Active‐Active) mode In active mode, Layer 3 traffic is forwarded in all vLAG related VRRP domains.  To enable vLAG VRRP active mode on a switch, use the following command:   CN 4093(config)# vlag vrrp active Note: This is the default vLAG VRRP mode. 2. vLAG VRRP Passive (Half Active‐Active) mode In passive mode, Layer 3 traffic is forwarded in a vLAG related VRRP domain  only if either the switch or its peer virtual router is the VRRP master. To enable  vLAG VRRP passive mode on a switch, use the following command:   CN 4093(config)# no vlag vrrp active To verify the currently configured vLAG VRRP mode you can use the following  command:   CN 4093(config)# show vlag vrrp © Copyright Lenovo 2017 Chapter 11: Virtual Link Aggregation Groups...
  • Page 212: Configuring Vlags In Multiple Layers

    Configuring VLAGs in Multiple Layers Figure 21 shows an example of VLAG being used in a multi‐layer environment.  Following are the configuration steps for the topology. Figure 21. VLAG in Multiple Layers Layer 2/3 Border LACP-capable Routers VLAG 5 VLAG 6 Layer 2 Region VLAG with multiple levels Peers C Switch A Switch B VLAG 3 VLAG 3 VLAG 4 VLAG VLAG Peers A Switch C...
  • Page 213 CN 4093(config-if)# switchport mode trunk CN 4093(config-if)# exit CN 4093(config)# interface port 6 CN 4093(config-if)# lacp key 500 CN 4093(config-if)# lacp mode active CN 4093(config-if)# exit CN 4093(config)# vlag adminkey 500 enable Repeat these steps on Switch B for ports connecting to Layer 2/3 router 2. © Copyright Lenovo 2017 Chapter 11: Virtual Link Aggregation Groups...
  • Page 214 5. Configure ports on Switch A connecting to downstream VLAG switches C and D.  CN 4093(config)# vlan 20 CN 4093(config-vlan)# exit CN 4093(config)# interface port 10,11 CN 4093(config-if)# switchport mode trunk CN 4093(config-if)# lacp key 600 CN 4093(config-if)# lacp mode active CN 4093(config-if)# exit CN 4093(config)# vlag adminkey 600 enable Repeat these steps on Switch B for ports connecting to downstream VLAG switch  C and D. 6.
  • Page 215: Chapter 12. Quality Of Service

    By assigning QoS levels to traffic flows on your network, you can ensure that  network resources are allocated where they are needed most. QoS features allow  you to prioritize network traffic, thereby providing better service for selected  applications. Figure 22 on page 215 shows the basic QoS model used by the CN4093 10 Gb  Converged Scalable Switch. Figure 22. QoS Model Ports Perform Queue and Egress Ingress Classify Meter Actions Schedule Packets Traffic Drop/Pass/ Filter Meter Re-Mark Queue The CN4093 uses the Differentiated Services (DiffServ) architecture to provide QoS  functions. DiffServ is described in IETF RFC 2474 and RFC 2475. With DiffServ, you can establish policies for directing traffic. A policy is a  traffic‐controlling mechanism that monitors the characteristics of the traffic (for  example, its source, destination, and protocol) and performs a controlling action on  the traffic when certain characteristics are matched. © Copyright Lenovo 2017...
  • Page 216 The CN4093 can classify traffic by reading the DiffServ Code Point (DSCP) or IEEE  802.1p priority value, or by using filters to match specific criteria. When network  traffic attributes match those specified in a traffic pattern, the policy instructs the  CN4093 to perform specified actions on each packet that passes through it. The  packets are assigned to different Class of Service (COS) queues and scheduled for  transmission. The basic CN4093 QoS model works as follows:  Classify traffic: Read DSCP  Read 802.1p Priority  Match ACL filter parameters   Meter traffic: Define bandwidth and burst parameters  Select actions to perform on in‐profile and out‐of‐profile traffic  Perform actions:  Drop packets  Pass packets  Mark DSCP or 802.1p Priority  Set COS queue (with or without re‐marking)  Queue and schedule traffic:  Place packets in one of the available COS queues  Schedule transmission based on the COS queue weight  CN4093 Application Guide for N/OS 8.4...
  • Page 217: Using Acl Filters

    Packet format—Ethernet format, tagging format, IPv4, IPv6  Egress port For ACL details, see “Access Control Lists” on page 121. Summary of ACL Actions Actions determine how the traffic is treated. The CN4093 QoS actions include the  following:  Pass or Drop the packet  Re‐mark the packet with a new DiffServ Code Point (DSCP)  Re‐mark the 802.1p field  Set the COS queue ACL Metering and Re-Marking You can define a profile for the aggregate traffic flowing through the CN4093 by  configuring a QoS meter (if desired) and assigning ACL Groups to ports. When  you add ACL Groups to a port, make sure they are ordered correctly in terms of  precedence. Actions taken by an ACL are called In‐Profile actions. You can configure additional  In‐Profile and Out‐of‐Profile actions on a port. Data traffic can be metered, and  re‐marked to ensure that the traffic flow provides certain levels of service in terms  of bandwidth for different types of network traffic. © Copyright Lenovo 2017 Chapter 12: Quality of Service...
  • Page 218: Metering

    Metering QoS metering provides different levels of service to data streams through  user‐configurable parameters. A meter is used to measure the traffic stream against  a traffic profile which you create. Thus, creating meters yields In‐Profile and  Out‐of‐Profile traffic for each ACL, as follows:  In‐Profile–If there is no meter configured or if the packet conforms to the meter,  the packet is classified as In‐Profile. Out‐of‐Profile–If a meter is configured and the packet does not conform to the   meter (exceeds the committed rate or maximum burst rate of the meter), the  packet is classified as Out‐of‐Profile. Note: Metering is not supported for IPv6 ACLs. All traffic matching an IPv6 ACL  is considered in‐profile for re‐marking purposes. Using meters, you set a Committed Rate in Kbps (1000 bits per second in each  Kbps). All traffic within this Committed Rate is In‐Profile. Additionally, you can  set a Maximum Burst Size that specifies an allowed data burst larger than the  Committed Rate for a brief period. These parameters define the In‐Profile traffic. Meters keep the sorted packets within certain parameters. You can configure a  meter on an ACL, and perform actions on metered traffic, such as packet  re‐marking. Re-Marking Re‐marking allows for the treatment of packets to be reset based on new network  specifications or desired levels of service. You can configure the ACL to re‐mark a  packet as follows: Change the DSCP value of a packet, used to specify the service level traffic   should receive.  Change the 802.1p priority of a packet. CN4093 Application Guide for N/OS 8.4...
  • Page 219: Using Dscp Values To Provide Qos

    Differentiated Services Concepts To differentiate between traffic flows, packets can be classified by their DSCP  value. The Differentiated Services (DS) field in the IP header is an octet, and the  first six bits, called the DS Code Point (DSCP), can provide QoS functions. Each  packet carries its own QoS state in the DSCP. There are 64 possible DSCP values  (0‐63). Figure 23. Layer 3 IPv4 Packet Version Length Offset Proto Data Length Differentiated Services Code Point (DSCP) unused The CN4093 can perform the following actions to the DSCP:  Read the DSCP value of ingress packets  Re‐mark the DSCP value to a new value  Map the DSCP value to an 802.1p priority Once the DSCP value is marked, the CN4093 can use it to direct traffic  prioritization. © Copyright Lenovo 2017 Chapter 12: Quality of Service...
  • Page 220: Per-Hop Behavior

    Per-Hop Behavior The DSCP value determines the Per Hop Behavior (PHB) of each packet. The PHB  is the forwarding treatment given to packets at each hop. QoS policies are built by  applying a set of rules to packets, based on the DSCP value, as they hop through  the network. The CN4093 default settings are based on the following standard PHBs, as defined  in the IEEE standards:  Expedited Forwarding (EF)—This PHB has the highest egress priority and  lowest drop precedence level. EF traffic is forwarded ahead of all other traffic. EF  PHB is described in RFC 2598.  Assured Forwarding (AF)—This PHB contains four service levels, each with a  different drop precedence, as shown below. Routers use drop precedence to  determine which packets to discard last when the network becomes congested.  AF PHB is described in RFC 2597. Drop Precedence Class 1 Class 2 Class 3 Class 4 AF11 AF21 AF31 AF41 (DSCP 10) (DSCP 18) (DSCP 26) (DSCP 34) Medium AF12 AF22 AF32 AF42 (DSCP 12) (DSCP 20) (DSCP 28)
  • Page 221: Qos Levels

    CN 4093(config)# show qos dscp Current DSCP Remarking Configuration: OFF DSCP New DSCP New 802.1p Prio -------- -------- --------------- Use the following command to turn on DSCP re‐marking globally:   CN 4093(config)# qos dscp re-marking Then you must enable DSCP re‐marking on any port that you wish to perform this  function. Note: If an ACL meter is configured for DSCP re‐marking, the meter function  takes precedence over QoS re‐marking. © Copyright Lenovo 2017 Chapter 12: Quality of Service...
  • Page 222: Dscp Re-Marking Configuration Example 1

    DSCP Re-Marking Configuration Example 1 The following example includes the basic steps for re‐marking DSCP value and  mapping DSCP value to 802.1p. 1. Turn DSCP re‐marking on globally, and define the DSCP‐DSCP‐802.1p mapping.  You can use the default mapping.   CN 4093(config)# qos dscp re-marking CN 4093(config)# qos dscp dscp-mapping <DSCP value (0‐63)> <new value> CN 4093(config)# qos dscp dot1p-mapping <DSCP value (0‐63)> <802.1p value> 2. Enable DSCP re‐marking on a port. CN 4093(config)# interface port 1 CN 4093(config-if)# qos dscp re-marking CN 4093(config-if)# exit DSCP Re-Marking Configuration Example 2 The following example assigns strict priority to VoIP traffic and a lower priority to ...
  • Page 223 6. Assign strict priority to VoIP COS queue. CN 4093(config)# qos transmit-queue weight-cos 7 0 7. Map priority value to COS queue for non‐VoIP traffic. CN 4093(config)# qos transmit-queue mapping 1 1 8. Assign weight to the non‐VoIP COS queue. CN 4093(config)# qos transmit-queue weight-cos 1 2 © Copyright Lenovo 2017 Chapter 12: Quality of Service...
  • Page 224: Using 802.1P Priorities To Provide Qos

    Using 802.1p Priorities to Provide QoS Enterprise NOS provides Quality of Service functions based on the priority bits in  a packet’s VLAN header. (The priority bits are defined by the 802.1p standard  within the IEEE 802.1q VLAN header.) The 802.1p bits, if present in the packet,  specify the priority that should be given to packets during forwarding. Packets  with a numerically higher (non‐zero) priority are given forwarding preference  over packets with lower priority bit value. The IEEE 802.1p standard uses eight levels of priority (0‐7). Priority 7 is assigned to  highest priority network traffic, such as OSPF or RIP routing table updates,  priorities 5‐6 are assigned to delay‐sensitive applications such as voice and video,  and lower priorities are assigned to standard applications. A value of 0 (zero)  indicates a “best effort” traffic prioritization, and this is the default when traffic  priority has not been configured on your network. The CN4093 can filter packets  based on the 802.1p values, and it can assign or overwrite the 802.1p value in the  packet. Figure 24. Layer 2 802.1q/802.1p VLAN Tagged Packet DMAC SMAC E Type Data Preamble Priority VLAN Identifier (VID) Ingress packets receive a priority value, as follows:  Tagged packets—CN4093 reads the 802.1p priority in the VLAN tag.  Untagged packets—CN4093 tags the packet and assigns an 802.1p priority,  based on the port’s default priority. Egress packets are placed in a COS queue based on the priority value, and  scheduled for transmission based on the scheduling weight of the COS queue.
  • Page 225: Queuing And Scheduling

    CN 4093(config)# qos transmit-queue mapping <priority value (0‐7)> <COS queue (0‐7)> To set the COS queue scheduling weight, use the following command. CN 4093(config)# qos transmit-queue weight-cos <COSq number> <COSq weight (0‐15)> The scheduling weight can be set from 0 to 15. Weight values from 1 to 15 set the  queue to use weighted round‐robin (WRR) scheduling, which distributes larger  numbers of packets to queues with the highest weight values. For distribution  purposes, each packet is counted the same, regardless of the packet’s size.  A scheduling weight of 0 (zero) indicates strict priority. Traffic in strict priority  queue has precedence over other all queues. If more than one queue is assigned a  weight of 0, the strict queue with highest queue number will be served first. Once  all traffic in strict queues is delivered, any remaining bandwidth will be allocated  to the WRR queues, divided according to their weight values. Note: Use caution when assigning strict scheduling to queues. Heavy traffic in  queues assigned with a weight of 0 can starve lower priority queues. For a scheduling method that uses a weighted deficit round‐robin (WDRR)  algorithm, distributing packets with an awareness of packet size, see “Enhanced  Transmission Selection” on page 352. © Copyright Lenovo 2017 Chapter 12: Quality of Service...
  • Page 226: Control Plane Protection

    Control Plane Protection Control plane receives packets that are required for the internal protocol state  machines. This type of traffic is usually received at low rate. However, in some  situations such as DOS attacks, the switch may receive this traffic at a high rate. If  the control plane protocols are unable to process the high rate of traffic, the switch  may become unstable. The control plane receives packets that are channeled through protocol‐specific  packet queues. Multiple protocols can be channeled through a common packet  queue. However, one protocol cannot be channeled through multiple packet  queues. These packet queues are applicable only to the packets received by the  software and does not impact the regular switching or routing traffic. Packet queue  with a higher number has higher priority. You can configure the bandwidth for each packet queue. Protocols that share a  packet queue will also share the bandwidth. The following commands configure the control plane protection (CoPP) feature: Configure a queue for a protocol: CN 4093(config)# qos protocol-packet-control packet-queue-map <0‐47>  <protocol> Set the bandwidth for the queue, in packets per second: CN 4093(config)# qos protocol-packet-control rate-limit-packet-queue <0‐47> <1‐10000>...
  • Page 227: Packet Drop Logging

    Broadcast packets are received at rate higher than 200pps, hence are discarded on queue 5. To enable or disable packet drop logging, use the following commands: CN 4093(config)# [no] logging pdrop enable You can adjust the logging interval between 0 and 30 minutes using the following  command: CN 4093(config)# logging pdrop interval <0-30> Setting the logging interval to 0 will log packet drops immediately (with up to 1  second delay), and will ignore further drops on the same queue during the next 2  minutes. Setting the logging interval to a greater value (1 – 30 minutes), regularly displays  packet drop information at the designated time intervals. Once the packet drops  stop, or if new packet drops are encountered only within 2 minutes after a syslog  message, the switch does not display any more messages. © Copyright Lenovo 2017 Chapter 12: Quality of Service...
  • Page 228 CN4093 Application Guide for N/OS 8.4...
  • Page 229: Part 4: Advanced Switching Features

    Part 4: Advanced Switching Features © Copyright Lenovo 2017...
  • Page 230 CN4093 Application Guide for N/OS 8.4...
  • Page 231: Chapter 13. Stacking

    Chapter 13. Stacking This chapter describes how to implement the stacking feature in the Lenovo Flex  System Fabric CN4093 10 Gb Converged Scalable Switch. The following concepts  are covered:  “Stacking Overview” on page 232  “Stack Membership” on page 235  “Configuring a Stack” on page 240  “Managing a Stack” on page 246  “Upgrading Software in a Stack” on page 248  “Replacing or Removing Stacked Switches” on page 249  “ISCLI Stacking Commands” on page 258 © Copyright Lenovo 2017...
  • Page 232: Stacking Overview

    Stacking Overview A hybrid stack is a group of eight switches: two CN4093 10 Gb Converged Scalable  Switches and six EN4093R 10Gb Scalable Switches. A stack can also be formed with  just two CN4093 10 Gb Converged Scalable Switches. A stack has the following properties, regardless of the number of switches  included: The network views the stack as a single entity.   The stack can be accessed and managed as a whole using standard switch IP  interfaces configured with IPv4 addresses.  The CLI for Individual Member switches is available via the Master switch serial  console or using remote Telnet/SSH access to the Master.  Once the stacking links have been established (see the next section), the number  of ports available in a stack equals the total number of remaining ports of all the  switches that are part of the stack.  The number of available IP interfaces, VLANs, LAGs, LAG Links and other  switch attributes are not aggregated among the switches in a stack. The totals for  the stack as a whole are the same as for any single switch configured in  stand‐alone mode. A maximum of 4095 VLANs are supported in stand‐alone  mode, and a maximum of 1024 VLANs are supported in stacking mode. CN4093 Application Guide for N/OS 8.4...
  • Page 233: Stacking Requirements

     the stack LAG, you must first set the LACP port mode to off  (CN 4093(config-if)# lacp mode off).  The cables used for connecting the switches in a stack carry low‐level,  inter‐switch communications as well as cross‐stack data traffic critical to shared  switching functions. Always maintain the stability of stack links to avoid  internal stack reconfiguration.  Stacking Limitations The CN4093 with ENOS 8.4 can operate in one of two modes:  Default mode, which is the regular stand‐alone (or non‐stacked) mode.  Stacking mode, in which multiple physical switches aggregate functions as a  single switching device. When in stacking mode, the following stand‐alone features are not supported:  Border Gateway Protocol (BGP) Ethernet Operation, Administration and Maintenance (OAM)   Internet Group Management Protocol version 3 (IGMPv3) Internet Group Management Protocol (IGMP) Querier   Internet Group Management Protocol (IGMP) Relay Internet Key Exchange version 2 (IKEv2)  © Copyright Lenovo 2017 Chapter 13: Stacking...
  • Page 234  IP Security (IPsec)  Internet Protocol version 6 (IPv6)  Loopback Interfaces  MAC address notification  Multicast Listener Discovery (MLD)  Network Configuration (NETCONF) Protocol  Open Shortest Path First (OSPF) Open Shortest Path First version 3 (OSPFv3)   Port flood blocking Protocol‐based VLANs   Router IDs Route maps   Routing Information Protocol (RIP) sFlow port monitoring   Spanning Tree Protocol (STP) Root Guard and Loop Guard Static MAC address adding   Static Multicast Routes Storm control   Switch Partition (SPAR) Uni‐Directional Link Detection (UDLD)  ...
  • Page 235: Stack Membership

    Master  One switch controls the operation of the stack and is called the Master. The  Master provides a single point to manage the stack. A stack must have one and  only one Master. The firmware image, configuration information, and run‐time  data are maintained by the Master and pushed to each switch in the stack as  necessary.  Member  Member switches provide additional port capacity to the stack. Members  receive configuration changes, run‐time information, and software updates  from the Master.  Backup One member switch can be designated as a Backup to the Master. The Backup  takes over control of the stack if the Master fails. Configuration information and  run‐time data are synchronized with the Master. The Master Switch An operational stack can have only one active Master at any given time. In a  normal stack configuration, one switch is configured as a Master and all others are  configured as Members. When adding new switches to an existing stack, the administrator must explicitly  configure each new switch for its intended role as a Master (only when replacing a  previous Master) or as a Member. All stack configuration procedures in this  chapter depict proper role specification. However, there are scenarios when the two stacks (each having a Master switch)  are interconnected through stacking links. When this occurs, one Master switch  will automatically be chosen as the active Master for the entire stack. The selection  process is designed to promote stable, predictable stack operation and minimize  stack reboots and other disruptions. © Copyright Lenovo 2017 Chapter 13: Stacking...
  • Page 236: Splitting And Merging One Stack

    Splitting and Merging One Stack If stack links or Member switches fail, any Member which cannot access either the  Master or Backup is considered isolated and will not process network traffic (see  “No Backup” on page 239). Members which have access to a Master or Backup (or  both), despite other link or Member failures, will continue to operate as part of  their active stack. A Member that is isolated due to link failure resets itself. After it  is up, if the link failure still exits, the Member stays in isolated state keeping all its  data links disabled. Only the management and stacking links are enabled. If the  Member was not configured when it went to isolated state, the Master pushes the  configuration when the Member joins back the stack. If multiple stack links or stack Member switches fail, thereby separating the Master  and Backup into separate sub‐stacks, the Backup automatically becomes an active  Master for the partial stack in which it resides. Later, if the topology failures are  corrected, the partial stacks will merge, and the two active Masters will come into  contact. In this scenario, if both the (original) Master and the Backup (acting as Master) are  in operation when the merger occurs, the original Master will reassert its role as  active Master for the entire stack. If any configuration elements were changed and  applied on the Backup during the time it acted as Master (and forwarded to its  connected Members), the Backup and its affected Members will reboot and will be  reconfigured by the returning Master before resuming their regular roles. Note: When the Backup becomes a Master, if NTP is enabled from the CMM,  configuration changes are made to the Backup (acting as Master) by the CMM.  Therefore, in the event of a subsequent merger, the aforementioned reboot and  reconfiguration of the Backup and its affected Members will occur. However, if the original Master switch is disrupted (powered down or in the  process of rebooting) when it is reconnected with the active stack, the Backup  (acting as Master) will retain its acting Master status to avoid disruption to the  functioning stack. The deferring Master will temporarily assume a role as Backup. If both the Master and Backup are rebooted, all member switches in the stack will  also reboot. When the switches resume operation, they will assume their originally  configured roles. If, while the stack is still split, the Backup (acting as Master) is explicitly  reconfigured to become a regular Master, then when the split stacks are finally  merged, the Master with the lowest MAC address will become the new active ...
  • Page 237: Merging Independent Stacks

    Since up to 16 units can be attached to a stack, a merge between two 8 unit stack  can be performed. The user will then have to choose which units will remain in the  final stack and which will be eliminated, since only 8 of them can forward  networking traffic, the rest having the data links disabled. Note: Do not merge hybrid stacks if the total number of CN4093 switches exceeds  two units. Although all switches which are configured for stacking and joined by stacking  links are recognized as potential stack participants by any operational Master  switches, they are not brought into operation within the stack until explicitly  assigned (or “bound”) to a specific Master switch. Consider two independent stacks, Stack A and Stack B, which are merged into one  stacking topology. The stacks will behave independently until the switches in  Stack B are bound to Master A (or vice versa). In this example, once the Stack B  switches are bound to Master A, Master A will automatically reconfigure them to  operate as Stack A Members, regardless of their original status within Stack B. However, for purposes of future Backup selection, reconfigured Masters retain  their identity as configured Masters, even though they otherwise act as Members.  In case the configured Master goes down and the Backup takes over as the new  Master, these reconfigured Masters become the new Backup. When the original  configured Master of the stack boots up again, it acts as a Member. This is one way  to have multiple backups in a stack. © Copyright Lenovo 2017 Chapter 13: Stacking...
  • Page 238: Backup Switch Selection

    Backup Switch Selection An operational stack can have one optional Backup at any given time. Only the  Backup specified in the active Master’s configuration is eligible to take over current  stack control when the Master is rebooted or fails. The Master automatically  synchronizes configuration settings with the specified Backup to facilitate the  transfer of control functions. The Backup retains its status until one of the following occurs: The Backup switch is deleted using the following command from the Master:    CN 4093(config)# no stack backup  The Backup switch is changed using the following command from the Master:   CN 4093(config)# stack backup <csnum 1‐8> Note: This will replace the current Backup switch with the configured switch  specified through its csnum. Even if the new Backup switch is not  attached to the stack when issuing the command, the current Backup  switch will loose its role. When the configured switch is attached, the  command will take effect and the switch will become the Backup. A new Master assumes operation as active Master in the stack and uses its own   configured Backup settings.  The active Master is rebooted with the boot configuration set to factory defaults  (clearing the Backup setting). Master Failover When the Master switch is present, it controls the operation of the stack and  pushes configuration information to the other switches in the stack. If the active  Master fails, then the designated Backup (if one is defined in the Master’s  configuration) becomes the new acting Master and the stack continues to operate ...
  • Page 239: No Backup

    No Backup If a Backup is not configured on the active Master, or the specified Backup is not  operating, then if the active Master fails, the stack will reboot without an active  Master. When a group of stacked switches are rebooted without an active Master present,  the switches are considered to be isolated. All isolated switches in the stack are  placed in a INIT state until a Master appears. During this INIT period, all the  network ports of these Member switches are placed into operator‐disabled state.  Without the Master, a stack cannot respond correctly to networking events. Stack Member Identification Each switch in the stack has two numeric identifiers, as follows:   Attached Switch Number (asnum) An asnum is automatically assigned by the Master switch, based on each  Member switch’s physical connection in relation to the Master. The asnum is  mainly used as an internal ID by the Master switch and is not user‐configurable.  Configured Switch Number (csnum): The csnum is the logical switch ID assigned by the stack administrator. The  csnum is used in most stacking‐related configuration commands and switch  information output. It is also used as a port prefix to distinguish the relationship  between the ports on different switches in the stack. It is recommended that asnum 1 and csnum 1 be used for identifying the Master  switch. By default, csnum 1 is assigned to the Master. If csnum 1 is not available,  the lowest available csnum is assigned to the Master. © Copyright Lenovo 2017 Chapter 13: Stacking...
  • Page 240: Configuring A Stack

    Configuring a Stack When stacking mode is enabled on the switch, the configuration is reset to factory  default and the port numbering changes. When a switch mode is changed from stand‐alone to stack or from stack to  stand‐alone, the active and backup configuration will be erased. We recommended  that you save the configuration to an external device before changing the switch  mode. Configuration Overview This section provides procedures for creating a stack of switches. The high‐level  procedure is as follows:  Configure the stack settings to be available after the next reboot:  Choose one Master switch for the entire stack.  Set all stack switches to stacking mode.  Configure the same stacking VLAN for all switches in the stack.  Configure the desired stacking interlinks.  Reboot the stack switches.   Configure the stack after the reboot: Bind Member switches to the Master.  Assign a Backup switch.  These tasks are covered in detail in the following sections. Best Configuration Practices The following are guidelines for building an effective switch stack:  Always connect the stack switches in a complete ring topology (see Figure 25 on  page 242).
  • Page 241: Stacking Vlans

    1. On each switch, enable stacking:  CN 4093(config)# boot stack enable 2. On each switch, set the stacking membership mode. By default, each switch is set to Member mode. However, one switch must be set to  Master mode. Use the following command on only the designated Master switch:   CN 4093(config)# boot stack mode master Note: If any Member switches are incorrectly set to Master mode, use the mode  member option to set them back to Member mode. 3. On each switch, configure the stacking VLAN (or use the default setting). Although any VLAN (except VLAN 1) may be defined for stack traffic, it is highly  recommended that the default, VLAN 4090 as shown in the following example, be  reserved for stacking.    CN 4093(config)# boot stack vlan 4090 4. On each switch, designate the stacking links. © Copyright Lenovo 2017 Chapter 13: Stacking...
  • Page 242 If using the 2 x 40Gb ports as stacking links, first convert the 40Gb ports from their  default 4x10Gb mode of operation to 40Gb mode. See: “Configuring QSFP+ Ports”  on page 160.  Use the following command to specify the links to be used in the stacking LAG:   CN 4093(config)# boot stack higig-trunk <list of port names or aliases> Note: Ports configured as Server ports for use with VMready cannot be designated  as stacking links. 5. On each switch, perform a reboot:   CN 4093(config)# reload 6. Physically connect the stack LAGs. To create the recommended topology, attach the two designated stacking links in a  bidirectional ring. As shown in Figure 25, connect each switch in turn to the next,  starting with the Master switch. To complete the ring, connect the last Member  switch back to the Master. Figure 25. Example of Stacking Connections Master Switch Member Switches Switch connected in bidirectional Member ring topology Switch Member Switch...
  • Page 243: Configuring A Management Ip Interface

    CN 4093(config-ip-if)# exit CN 4093(config)# ip gateway 3 mac <switch MAC address> address <gateway IPv4  address> enable To provide continuous Management IP reachability in the event of a Master node  failover, an additional floating Management IP address can be set up on the  management interface. The floating Management IP address will be used by the  backup switch when taking over management from the failed master node. To  configure the floating Management IP address, use the following command: CN 4093(config-if)# floating ip address <IPv4 address> <subnet mask> Note: The Management IP and floating Management IP addresses on the master  switch, as well as the Management IP address on the backup switch, must be in the  same subnet. Note: In case of a stack split, the floating IP cannot be used anymore due to  duplicate IP address issue. © Copyright Lenovo 2017 Chapter 13: Stacking...
  • Page 244: Additional Master Configuration

    Additional Master Configuration Once the stack links are connected, access the internal management IP interface of  the Master switch (assigned by the management system) and complete the  configuration. Viewing Stack Connections To view information about the switches in a stack, execute the following command:   CN 4093(config)# show stack switch Stack name: STK Local switch: csnum - 74:99:75:21:8c:00 UUID - 98c587636548429aba5010f8c62d4e27 Bay Number Switch Type - 14 (CN4093) Chassis Type - 6 (Flex Enterprise) Switch Mode (cfg) - Member (backup) Priority - 245...
  • Page 245: Binding Members To The Stack

    CN 4093(config)# stack switch-number <csnum> bind <asnum (1‐16)> To remove a Member switch, execute the following command:   CN 4093(config)# no stack switch-number <csnum> To bind all units of a stack, use the command:   CN 4093(config)# stack bind The stack bind command automatically assigns switch numbers to all attached  switches in the stack that do not yet have a number assigned. Assigning a Stack Backup Switch To define a Member switch as a Backup (optional) which will assume the Master  role if the Master switch fails, execute the following command:   CN 4093(config)# stack backup <csnum> ‐or‐  CN 4093(config)# stack bind © Copyright Lenovo 2017 Chapter 13: Stacking...
  • Page 246: Managing A Stack

    Managing a Stack The stack is managed primarily through the Master switch. The Master switch then  pushes configuration changes and run‐time information to the Member switches.  Use Telnet or the Browser‐Based Interface (BBI) to access the Master, as follows:   Use the management IP address assigned to the Master by the management  system.  On any switch in the stack, connect to any port that is not part of an active LAG  and is a member of a VLAN. To access the stack, use the IP address of any IP  interface that is member of the VLAN. Connecting to Stack Switches via the Master From the Master switch, you can connect to any other switch in the stack directly  from the ISCLI using the following command:   CN 4093# connect <asnum (1‐16)> Rebooting Stacked Switches via the Master Rebooting Stacked Switches using the ISCLI The administrator can reboot individual switches in the stack, or the entire stack  using the following commands:  CN 4093(config)# reload                         (Reboot all switches in the stack) CN 4093(config)# reload master...
  • Page 247: Rebooting Stacked Switches Using The Bbi

    The Configure > System > Config/Image Control window allows the  administrator to perform a reboot of individual switches in the stack, or the entire  stack. The following table describes the stacking Reboot buttons.  Table 19. Stacking Boot Management buttons Field Description Reboot Stack Performs a software reboot/reset of all switches in the stack.  The software image specified in the Image To Boot drop‐down  list becomes the active image.  Reboot Master Performs a software reboot/reset of the Master switch. The  software image specified in the Image To Boot drop‐down list  becomes the active image.  Reboot Switches Performs a reboot/reset on selected switches in the stack. Select  one or more switches in the drop‐down list, and click Reboot  Switches. The software image specified in the Image To Boot  drop‐down list becomes the active image.  The Update Image/Cfg section of the window applies to the Master. When a new  software image or configuration file is loaded, the file first loads onto the Master,  and the Master pushes the file to all other switches in the stack, placing it in the  same software or configuration bank as that on the Master. For example, if the new  image is loaded into image 1 on the Master switch, the Master will push the same  firmware to image 1 on each Member switch. © Copyright Lenovo 2017 Chapter 13: Stacking...
  • Page 248: Upgrading Software In A Stack

    Upgrading Software in a Stack New Hybrid Stack Use the following procedure to install software on switches that will be used to  form a hybrid stack (two CN4093 and up to six EN4093R switches):  1. Install ENOS version 8.4 on each switch and reload the switch.  Configure the switches to form a stack. See “Configuring a Stack” on page 240. 3. Reload the switches to establish the stack. Converting a EN4093R Stack to a Hybrid Stack Use the following procedure to install software on a stack of EN4093R switches  that will be combined with CN4093 switches to form a hybrid stack (up to two  CN4093 and up to six EN4093R switches):  1. Install ENOS version 8.4 on the Master EN4093R switch. 2. Install ENOS version 8.4 on each CN4093 switch. 3. Reload the switches. 4. Configure stacking on the CN4093 switch(es). The CN4093 must be configured as  the Master of the hybrid stack. Reload the switch(es) to establish the stack.  New Stack Use the following procedure to install software on two CN4093 switches that will  be used to form a stack: 1.
  • Page 249: Replacing Or Removing Stacked Switches

    3. Remove the stack link cables from the old switch only. 4. Disconnect all network cables from the old switch only. 5. Remove the old switch. Installing the New Switch or Healing the Topology If using a ring topology, but not installing a new switch for the one removed, close  the ring by connecting the open stack links together, essentially bypassing the  removed switch. Otherwise, if replacing the removed switch with a new unit, use the following  procedure: Make sure the new switch meets the stacking requirements on page 233. 2. Place the new switch in its determined place according to the CN4093 10 Gb  Converged Scalable Switch Installation Guide. 3. Connect to the ISCLI of the new switch (not the stack interface) 4. Enable stacking:   CN 4093(config)# boot stack enable © Copyright Lenovo 2017 Chapter 13: Stacking...
  • Page 250 5. Set the stacking mode. By default, each switch is set to Member mode. However, if the incoming switch  has been used in another stacking configuration, it may be necessary to ensure the  proper mode is set.  If replacing a Member or Backup switch:   CN 4093(config)# boot stack mode member  If replacing a Master switch:    CN 4093(config)# boot stack mode master 6. Configure the stacking VLAN on the new switch, or use the default setting. Although any VLAN may be defined for stack traffic, it is highly recommended  that the default, VLAN 4090, be reserved for stacking, as shown in the following  command.   CN 4093(config)# boot stack vlan 4090 7. Designate the stacking links. Use the following command to specify the links to be used in the stacking LAG:   CN 4093(config)# boot stack higig-trunk <list of external port s> 8.
  • Page 251: Binding The New Switch To The Stack

    Note: If replacing the Master switch, be sure to log in to the stack interface (hosted  temporarily on the Backup switch) rather than logging in directly to the newly  installed Master. 2. From the stack interface, assign the csnum for the new switch. You can bind Member switches to a stack csnum using either the new switch’s  asnum or MAC address:   CN 4093(config)# stack switch-number <csnum> universal-unic-id <uuid> bay <Slot ID> ‐or‐ CN 4093(config)# stack switch-number <csnum> bind <asnum> ‐or‐ CN 4093(config)# stack bind Note: If replacing the Master switch, the Master will not assume control from the  Backup unless the Backup is rebooted or fails. © Copyright Lenovo 2017 Chapter 13: Stacking...
  • Page 252: Performing A Rolling Reload Or Upgrade

    Performing a Rolling Reload or Upgrade You can perform a sequential reload or upgrade, otherwise known as a staggered  or rolling reload or upgrade, to avoid the need for an overall outage. With a rolling  reload or upgrade, some of the hardware stays up at all times. This approach differs from the traditional image upgrade that requires manual  image downloads and install to individual switches, which then requires the entire  logical switch reboot. After the firmware is copied to all members of the stack, the rolling reload or  upgrade process automatically reboots all switches sequentially in the following  order:  Backup switch Master switch   Configured stack members, from lowest to highest csnum Attached but not configured stack members, from lowest to highest asnum  During the rolling firmware reload or upgrade process, there will be continuous  connectivity to the upstream network. From the point of view of the stack, it is as  though a series of switch and uplink failures are occurring. When the design is  cabled and configured properly, the environment redirects traffic. For detailed instructions on upgrading and rebooting, see Chapter 3, “Switch  Software Management“. Starting a Rolling Reload To start a rolling reload, use the command:   CN 4093(config)# reload staggered [delay <delay>] where delay is an integer from 2 to 20 representing the time delay in minutes ...
  • Page 253 To upgrade both the boot and the firmware images: 1. Load the boot image with a non‐staggered copy:   CN 4093(config)# copy {tftp|ftp|sftp} boot-image {address <IP address>} {filename <image filename>} 2. Load the firmware image with a staggered copy:   CN 4093(config)# copy {tftp|ftp|sftp} {image1|image2} {address <IP address>} {filename <image filename>} staggered-upgrade [delay <2‐20 minutes>] © Copyright Lenovo 2017 Chapter 13: Stacking...
  • Page 254: Saving Syslog Messages

    Saving Syslog Messages By default, syslog messages on each member of a stack are saved to flash memory  on that stack member. You may want to preserve stacking‐related errors. To  accomplish this, in console mode, use the following command:   CN 4093(config)# [no] logging log stacking The master switch can display the syslog messages originated on any stack  member as long as the specified stack element is currently an active member of the  stack using the command:   CN 4093(config)# show logging [swn <configured‐switch‐number>] [messages| |reverse|severity <0‐7>] where:   <configured‐switch‐number> The configured switch number. If no number is  supplied, the command applies to the master  switch. messages shows last 2000 syslog messages. reverse shows syslog information in reverse priority  order. severity <0‐7> shows messages of a specific severity level. For example, to retrieve the last 2000 syslog messages of severity 4 or greater from  switch 3, enter: CN 4093(config)# show logging swn 3 severity 4 To retrieve the contents of the log files stored on flash on a specified switch in the ...
  • Page 255 CN 4093(config)# logging host <host instance> {address <IPv4 address>|address6 <IPv6 address>|facility <facility (0‐7)>|severity <severity (0‐7)>} where:   <host instance> The host instance; either 1 or 2. <IPv4 address> The IPv4 address of the host being logged. <IPv6 address> The IPv6 address of the host being logged. <facility (0‐7)> The facility (0‐7) of the logs being written to  external syslog servers. <severity (0‐7)> The severity (0‐7) of the logs being written to  external syslog servers. To enable console output of syslog messages, use the command:   CN 4093(config)# logging console severity <severity (0‐7)> where <severity> configures the severity of logs to be sent to the console. To configure the severity of syslogs written to flash, use the command:   CN 4093(config)# logging buffer severity <severity (0‐7)> where <severity> configures the severity of logs to be written to flash. © Copyright Lenovo 2017 Chapter 13: Stacking...
  • Page 256: Flexible Port Mapping In Stacking

    Flexible Port Mapping in Stacking Flexible Port Mapping allows administrators to manually enable or disable specific  switch ports within the limitations of the installed licenses’ bandwidth. For details,  see “Flexible Port Mapping” on page 580. In stacking, there are no overall bandwidth restrictions. Instead, each switch in the  stack that supports licensing has bandwidth restrictions determined by its license  level. Commands associated with flexible port mapping can only be run from the master  switch in the stack and can have an additional parameter: [no] boot port-map <csnum:port number or range>  Adds or removes ports of a stack switch to/from the port map by specifying the  switch’s configured number and port number or range of ports. For example:   CN 4093(config)# boot port-map 3:12 Adds port number 12 of stack configured switch number 3 to the port map. default boot port-map [<csnum>]  Resets the port map configuration to the default settings for the whole stack. If a  configured switch number is specified, the command will reset the port map  configuration only for the selected stack switch. CN4093 Application Guide for N/OS 8.4...
  • Page 257 3:21 3:22 3:23 3:24 3:25 3:26 3:27 3:28 3:29 3:30 3:31 3:32 3:33 3:34 3:35 3:36 3:37 3:38 3:39 3:40 3:41 3:42 3:43 3:44 3:45 3:49 3:53 3:54 3:55 3:56 3:57 3:58 3:59 3:60 3:61 3:62 3:63 3:64 Unmapped ports: © Copyright Lenovo 2017 Chapter 13: Stacking...
  • Page 258: Iscli Stacking Commands

    ISCLI Stacking Commands Stacking‐related ISCLI commands are listed here. For details on specific  commands, see the CN4093 10 Gb Converged Scalable Switch Command Reference. [no] boot stack enable  boot stack higig-trunk <port alias or number>  boot stack mode {master|member} [<asnum>|master|backup|all]  boot stack push-image {boot-image|image1|image2} <asnum>  boot stack vlan <VLAN ID>  connect <asnum>  copy log [swn <switch number>] stfp ...
  • Page 259: Chapter 14. Virtualization

    For details on this feature, see “Ports and Link Aggregation (LAG)” on page 157.  Virtual Network Interface Card (vNIC) support Some NICs, such as the Emulex Virtual Fabric Adapter, can virtualize NIC  resources, presenting multiple virtual NICs to the server’s OS or hypervisor.  Each vNIC appears as a regular, independent NIC with some portion of the  physical NIC’s overall bandwidth. ENOS 8.4 supports up to four vNICs over  each internal switch port. For details on this feature, see “Virtual NICs” on page 261.  Virtual Link Aggregation Groups (VLAGs) With VLAGs, two switches can act as a single logical device for the purpose of  establishing port LAGs. Active LAG links from one device can lead to both  VLAG peer switches, providing enhanced redundancy, including active‐active  VRRP configuration. For details on this feature, see “Virtual Link Aggregation Groups” on page 193  VMready The switch’s VMready software makes it virtualization aware. Servers that run  hypervisor software with multiple instances of one or more operating systems  can present each as an independent virtual machine (VM). With VMready, the  switch automatically discovers virtual machines (VMs) connected to switch. For details on this feature, see “VMready” on page 279. Edge Virtual Bridging (QBG)  The 802.1Qbg/Edge Virtual Bridging (EVB) is an emerging IEEE standard for  allowing networks to become virtual machine (VM)‐aware. EVB bridges the gap  between physical and virtual network resources. For details on this feature, see “Edge Virtual Bridging” on page 349. © Copyright Lenovo 2017...
  • Page 260  Unified Fabric Port (UFP) An architecture that logically subdivides a high‐speed physical link connecting  to a server NIC or to a Converged Network Adapter (CNA). UFP provides a  switch fabric component to control the NIC. For details on this feature, see “Unified Fabric Port” on page 361. Enterprise NOS virtualization features provide a highly‐flexible framework for  allocating and managing switch resources. CN4093 Application Guide for N/OS 8.4...
  • Page 261: Chapter 15. Virtual Nics

    10 Gbps Link with VNIC Hypervisor Multiple Virtual Pipes Lenovo VNIC Switch 2 VNIC INTA1 VNIC VNIC A CN4093 with Enterprise NOS 8.4 supports the Emulex Virtual Fabric Adapter  (VFA) 2‐port 10Gb LOM and Emulex Virtual Fabric Adapter (Fabric Mezz) for  Lenovo Flex System to provide the following vNIC features: Up to four vNICs are supported on each internal switch port.   Each vNIC can accommodate one of the following traffic types: regular  Ethernet, iSCSI or Fibre Channel over Ethernet (FCoE).  vNICs with traffic of the same type can be grouped together, along with regular  internal ports, external uplink ports and LAGs, to define vNIC groups for  enforcing communication boundaries.  In the case of a failure on the external uplink ports associated with a vNIC  group, the switch can signal affected vNICs for failover while permitting other  vNICs to continue operation.  Each vNIC can be allocated a symmetric percentage of the 10Gbps bandwidth  on the link (from NIC to switch, and from switch to NIC).  The CN4093 can be used as the single point of vNIC configuration. © Copyright Lenovo 2017...
  • Page 262: Vnic Ids On The Switch

    The following restriction applies to vNICs:  vNICs are not supported simultaneously with VM groups (see “VMready” on  page 279) on the same switch ports. By default, vNICs are disabled. The administrator can enable vNICs and configure  vNIC features on the switch using the standard management options such as the  Enterprise NOS CLI, the ISCLI, and the Browser‐based Interface (BBI).  To enable the vNIC feature on the switch, use the following command on the vNIC  Configuration Menu: CN 4093(config)# vnic enable Note: The Emulex Virtual Fabric Adapter for Lenovo Flex System can also operate  in Physical NIC (PNIC) mode, in which case vNIC features are non‐applicable. vNIC IDs on the Switch Enterprise NOS 8.4 supports up to four vNICs attached to each internal switch  port. Each vNIC is provided its own independent virtual pipe on the port. On stand‐alone (non‐stacked) switches, each vNIC is identified by port and vNIC  number: <port number or alias>.<vNIC pipe number (1‐4)> For example: INTA1.1, INTA1.2, INTA1.3, and INTA1.4 represent the vNICs on port INTA1. INTA2.1, INTA2.2, INTA2.3, and INTA2.4 represent the vNICs on port INTA2,  etc. These vNIC IDs are used when adding vNICs to vNIC groups, and are shown in  some configuration and information displays. Whenever switches are stacked, the switch csnum ID is also required: <switch csnum>:<port number or alias>.<vNIC pipe number (1‐4)> For example: 2:INTA2.3 refers to port INTA2, vNIC 3, switch number 2. Note: The configuration examples in this chapter depict stand‐alone (non‐stacked)  port and vNIC designations. ...
  • Page 263: Vnic Interface Names On The Server

    Emulex Virtual Fabric Adapter (Fabric Mezz), when replacing the LOM card:    Table 21. vNIC ID Correlation PCIe NIC Port Switch Slot vNIC vNIC ID Function ID Pipe First ASIC Bay 1 INTAx.1 Bay 1 INTAx.2 Bay 1 INTAx.3 Bay 1 INTAx.4 Bay 2 INTAx.1 Bay 2 INTAx.2 Bay 2 INTAx.3 Bay 2 INTAx.4 © Copyright Lenovo 2017 Chapter 15: Virtual NICs...
  • Page 264 Table 22. vNIC ID Correlation PCIe NIC Port Switch Slot vNIC vNIC ID Function ID Pipe Second ASIC Bay 1 INTBx.1 Bay 1 INTBx.2 Bay 1 INTBx.3 Bay 1 INTBx.4 Bay 2 INTBx.1 Bay 2 INTBx.2 Bay 2 INTBx.3 Bay 2 INTBx.4 For  Emulex Virtual Fabric Adapter (Fabric Mezz), when adding it with the LOM  Card:     Table 23. vNIC ID Correlation PCIe NIC Port Switch Slot vNIC vNIC ID...
  • Page 265 Table 24. vNIC ID Correlation PCIe NIC Port Switch Slot vNIC vNIC ID Function ID Pipe Bay 3 INTBx.4 Bay 4 INTBx.1 Bay 4 INTBx.2 Bay 4 INTBx.3 Bay 4 INTBx.4 In this, the x in the vNIC ID represents the internal switch port and its  corresponding server node of the vNIC pipe. Each physical NIC port is connected  to a different switch bay in the blade chassis. © Copyright Lenovo 2017 Chapter 15: Virtual NICs...
  • Page 266: Vnic Uplink Modes

    vNIC Uplink Modes The switch supports two modes for configuring the vNIC uplinks: dedicated mode  and shared mode. The default is the dedicated mode. To enable the shared mode,  enter the following command: CN 4093(config)# vnic uplink-share In the dedicated mode, only one vNIC group is assigned to an uplink port. This  port can be a regular port or a LAG port. The NIC places an outer tag on the vNIC  group packets. This outer tag contains the vNIC group VLAN. The uplink NIC  strips off the outer tag before sending out the packet. For details, see “vNIC  Groups in Dedicated Mode” on page 270. In the shared mode, multiple vNIC groups can be assigned to an uplink port. This  port can be a regular port or a LAG port. The vNIC groups share the uplink. You  may assign a few vNIC groups to share an uplink and the other vNIC groups to  have a single uplink each. In either case, the switch still operates in shared mode.  As in the dedicated mode, the NIC places an outer tag on the vNIC group packets.  This outer tag contains the vNIC group VLAN. The uplink NIC does not strip off  the outer tag. The vNIC group tag defines the regular VLAN for the packet.This  behavior is particularly useful in cases where the downstream server does not set  any tag. Effectively, each vNIC group is a VLAN, which you can assign by  configuring the VLAN to the vNIC group. You must enable the tag configuration  on the uplink port. For details, see “vNIC Groups in Shared Mode” on