View
23
Download
2
Category
Preview:
Citation preview
Lenovo Network
Application Guidefor Lenovo Cloud Network Operating System 10.6
Note: Before using this information and the product it supports, read the general information in the Safety information and Environmental Notices and User Guide documents on the Lenovo Documentation CD, and the Warranty Information document that comes with the product.
First Edition (December 2017)
© Copyright Lenovo 2017Portions © Copyright IBM Corporation 2014.
LIMITED AND RESTRICTED RIGHTS NOTICE: If data or software is delivered pursuant a General Services Administration “GSA” contract, use, reproduction, or disclosure is subject to restrictions set forth in Contract No. GS‐35F‐05925.
Lenovo and the Lenovo logo are trademarks of Lenovo in the United States, other countries, or both.
© Copyright Lenovo 2017 3
ContentsPreface . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Who Should Use This Guide . . . . . . . . . . . . . . . . . . . . . . .24Application Guide Overview . . . . . . . . . . . . . . . . . . . . . . .25Additional References . . . . . . . . . . . . . . . . . . . . . . . . . .28Typographic Conventions . . . . . . . . . . . . . . . . . . . . . . . .29
Part 1: Getting Started . . . . . . . . . . . . . . . . . . . . . . 31
Chapter 1. Using the Command Line Interface . . . . . . . . . . . . 33CLI Command Modes . . . . . . . . . . . . . . . . . . . . . . . . . .34Command Line Interface Shortcuts . . . . . . . . . . . . . . . . . . . .35
CLI List and Range Inputs . . . . . . . . . . . . . . . . . . . . . .35Command Abbreviation . . . . . . . . . . . . . . . . . . . . . . .35Tab Completion. . . . . . . . . . . . . . . . . . . . . . . . . . .35Line Editing . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
Command Aliases . . . . . . . . . . . . . . . . . . . . . . . . . . .37Defining Aliases . . . . . . . . . . . . . . . . . . . . . . . . . .37Removing Aliases . . . . . . . . . . . . . . . . . . . . . . . . . .37Displaying Aliases . . . . . . . . . . . . . . . . . . . . . . . . .37Rules for Using Aliases . . . . . . . . . . . . . . . . . . . . . . .37
Chapter 2. Switch Administration . . . . . . . . . . . . . . . . . 41Administration Interfaces . . . . . . . . . . . . . . . . . . . . . . . .42Industry Standard Command Line Interface . . . . . . . . . . . . . . . .43Establishing a Connection . . . . . . . . . . . . . . . . . . . . . . . .44
Using the Switch Management Interface . . . . . . . . . . . . . . . .44Other Ways to Manage the Switch Using IP. . . . . . . . . . . . . . .45Configuring a Switched Virtual Interface for Management . . . . . . . .45Using the Switch Ethernet Ports in Routed Port Mode for Management . .46Using Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . .47Using Secure Shell. . . . . . . . . . . . . . . . . . . . . . . . . .48
Using SSH with Password Authentication . . . . . . . . . . . . .48Using SSH with Server Key Authentication . . . . . . . . . . . . .49
Using Simple Network Management Protocol. . . . . . . . . . . . . .50Zero Touch Provisioning . . . . . . . . . . . . . . . . . . . . . . . .51
DHCP Discovery . . . . . . . . . . . . . . . . . . . . . . . . . .52ZTP Boot File . . . . . . . . . . . . . . . . . . . . . . . . . . . .53Forcedly Enabling or Disabling ZTP . . . . . . . . . . . . . . . . . .54
4 Application Guide for CNOS 10.6
DHCP IP Address Services . . . . . . . . . . . . . . . . . . . . . . . 55DHCP Client Configuration . . . . . . . . . . . . . . . . . . . . . 55DHCPv4 Hostname Configuration (Option 12) . . . . . . . . . . . . . 56DHCPv4 Syslog Server (Option 7). . . . . . . . . . . . . . . . . . . 56DHCPv4 NTP Server (Option 42) . . . . . . . . . . . . . . . . . . . 57DHCPv4 Vendor Class Identifier (Option 60) . . . . . . . . . . . . . . 57DHCPv4 Snooping . . . . . . . . . . . . . . . . . . . . . . . . . 58
Configure the DHCPv4 Snooping Binding Table . . . . . . . . . . 58Configure the DHCPv4 Snooping Syslog . . . . . . . . . . . . . . 59DHCP Snooping Limitations . . . . . . . . . . . . . . . . . . . 59
DHCP Relay Agent . . . . . . . . . . . . . . . . . . . . . . . . . 60DHCPv4 Option 82 . . . . . . . . . . . . . . . . . . . . . . . . . 61
Switch Login Levels . . . . . . . . . . . . . . . . . . . . . . . . . . 62Ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Ping Configurable Parameters . . . . . . . . . . . . . . . . . . . . 65Test Interruption . . . . . . . . . . . . . . . . . . . . . . . . 65Ping Count . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Ping Packet Interval . . . . . . . . . . . . . . . . . . . . . . . 65Ping Packet Size. . . . . . . . . . . . . . . . . . . . . . . . . 66Ping Source. . . . . . . . . . . . . . . . . . . . . . . . . . . 66Ping DF‐Bit . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Ping Timeout . . . . . . . . . . . . . . . . . . . . . . . . . . 67Ping VRF. . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Ping Interactive Mode . . . . . . . . . . . . . . . . . . . . . . 67
Traceroute. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Traceroute Configurable Parameters . . . . . . . . . . . . . . . . . 70
Test Interruption . . . . . . . . . . . . . . . . . . . . . . . . 70Traceroute Source . . . . . . . . . . . . . . . . . . . . . . . . 70Traceroute VRF . . . . . . . . . . . . . . . . . . . . . . . . . 70Traceroute Interactive Mode . . . . . . . . . . . . . . . . . . . 71
Network Time Protocol . . . . . . . . . . . . . . . . . . . . . . . . . 72NTP Synchronization Retry . . . . . . . . . . . . . . . . . . . . . 72NTP Client and Peer . . . . . . . . . . . . . . . . . . . . . . . . 73
NTP Authentication Field Encryption Key . . . . . . . . . . . . . 74NTP Polling Intervals . . . . . . . . . . . . . . . . . . . . . . 74NTP Preference . . . . . . . . . . . . . . . . . . . . . . . . . 75
Dynamic and Static NTP Servers . . . . . . . . . . . . . . . . . . . 75NTP Authentication . . . . . . . . . . . . . . . . . . . . . . . . . 75NTP Authentication Configuration Example . . . . . . . . . . . . . . 76
Domain Name Server Client . . . . . . . . . . . . . . . . . . . . . . . 77System Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Syslog Output . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Syslog Severity Levels . . . . . . . . . . . . . . . . . . . . . . . . 81Syslog Time Stamping . . . . . . . . . . . . . . . . . . . . . . . . 82Syslog Rate Limit . . . . . . . . . . . . . . . . . . . . . . . . . . 83Syslog User Action Logging . . . . . . . . . . . . . . . . . . . . . 83Syslog Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Console Logging Flood Control . . . . . . . . . . . . . . . . . . . . 85Duplicate Syslog Message Suppression . . . . . . . . . . . . . . . . 86Core Dump Information . . . . . . . . . . . . . . . . . . . . . . . 86
© Copyright Lenovo 2017 Contents 5
Idle Disconnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87Python Scripting . . . . . . . . . . . . . . . . . . . . . . . . . . . .88REST API Programming . . . . . . . . . . . . . . . . . . . . . . . . .89
Chapter 3. System License Keys . . . . . . . . . . . . . . . . . 91Obtaining License Keys . . . . . . . . . . . . . . . . . . . . . . . . .92Installing License Keys . . . . . . . . . . . . . . . . . . . . . . . . .93Uninstalling License Keys . . . . . . . . . . . . . . . . . . . . . . . .94Transferring License Keys . . . . . . . . . . . . . . . . . . . . . . . .95ONIE License Key . . . . . . . . . . . . . . . . . . . . . . . . . . .96
Chapter 4. Switch Software Management . . . . . . . . . . . . . . 97Installing New Software to Your Switch . . . . . . . . . . . . . . . . . .98
Installing System Images from a Remote Server . . . . . . . . . . . . .98Installing System Images from a USB Device . . . . . . . . . . . . . 100Installing U‐boot from a Remote Server . . . . . . . . . . . . . . . 101Installing U‐boot from a USB Device . . . . . . . . . . . . . . . . . 102
Selecting a Software Image to Run . . . . . . . . . . . . . . . . . . . 103Reloading the Switch . . . . . . . . . . . . . . . . . . . . . . . . . 104
Normal Reboot . . . . . . . . . . . . . . . . . . . . . . . . . . 104Scheduled Boot . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Copying Configuration Files . . . . . . . . . . . . . . . . . . . . . . 106Copy Configuration Files via a Remote Server . . . . . . . . . . . . 106Copy Configuration Files to a USB Device . . . . . . . . . . . . . . 107
Resetting the Switch to the Factory Defaults . . . . . . . . . . . . . . . 108Converting the Switch Software Image from CNOS to ENOS . . . . . . . . 109The NE10032/NE2572 GRUB Menu . . . . . . . . . . . . . . . . . . . 111NE10032/NE2572 Rescue Mode . . . . . . . . . . . . . . . . . . . . . 112The Boot Management Menu . . . . . . . . . . . . . . . . . . . . . . 113
Switching Between ENOS and CNOS Images Loaded on the G8272 . . . 114Boot Recovery Mode . . . . . . . . . . . . . . . . . . . . . . . 115Recovering from a Failed Image Upgrade using TFTP . . . . . . . . . 116Recovering from a Failed Image Upgrade using XModem Download . . 118Physical Presence . . . . . . . . . . . . . . . . . . . . . . . . . 119ONIE Submenu . . . . . . . . . . . . . . . . . . . . . . . . . . 120
ONIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
6 Application Guide for CNOS 10.6
Part 2: Securing the Switch . . . . . . . . . . . . . . . . . . . 123
Chapter 5. Securing Administration . . . . . . . . . . . . . . . . 125Secure Shell and Secure Copy . . . . . . . . . . . . . . . . . . . . . 126
SSH Encryption and Authentication . . . . . . . . . . . . . . . . . 126Generating RSA/DSA Host Key for SSH Access . . . . . . . . . . . . 127SSH Integration with TACACS+ Authentication . . . . . . . . . . . 127Configuring SSH on the Switch . . . . . . . . . . . . . . . . . . . 127Using SSH Client Commands. . . . . . . . . . . . . . . . . . . . 128Using Secure Copy . . . . . . . . . . . . . . . . . . . . . . . . 128
Copying a File Using SCP . . . . . . . . . . . . . . . . . . . 128Copying the Startup Configuration Using SCP . . . . . . . . . . 129Copying the Running Configuration Using SCP . . . . . . . . . . 129Copying Technical Support Files Using SCP . . . . . . . . . . . 129
End‐user Access Control . . . . . . . . . . . . . . . . . . . . . . . 130Considerations for Configuring End‐user Accounts . . . . . . . . . . 130Strong Passwords . . . . . . . . . . . . . . . . . . . . . . . . . 130User Access Control . . . . . . . . . . . . . . . . . . . . . . . . 131
Setting up Users . . . . . . . . . . . . . . . . . . . . . . . 131Defining a User’s Access Level . . . . . . . . . . . . . . . . . 132Deleting a User . . . . . . . . . . . . . . . . . . . . . . . . 132The Default User . . . . . . . . . . . . . . . . . . . . . . . 132Password History Checking . . . . . . . . . . . . . . . . . . 133Administrator Password Recovery . . . . . . . . . . . . . . . 134
Chapter 6. AAA Protocols . . . . . . . . . . . . . . . . . . . . 137RADIUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
RADIUS Basics . . . . . . . . . . . . . . . . . . . . . . . . . . 138How RADIUS Authentication Works . . . . . . . . . . . . . . . . 138RADIUS Authentication Features in Cloud NOS . . . . . . . . . . . 139Switch User Accounts . . . . . . . . . . . . . . . . . . . . . . . 139RADIUS Attributes for Cloud NOS User Privileges . . . . . . . . . . 139Configuring RADIUS on the Switch . . . . . . . . . . . . . . . . . 140
TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141TACACS+ Basics . . . . . . . . . . . . . . . . . . . . . . . . . 141How TACACS+ Authentication Works . . . . . . . . . . . . . . . 141TACACS+ Authentication Features in Cloud NOS. . . . . . . . . . . 142
Authorization. . . . . . . . . . . . . . . . . . . . . . . . . 142Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Configuring TACACS+ Authentication on the Switch . . . . . . . . . 143Lightweight Directory Access Protocol . . . . . . . . . . . . . . . . . 144
Configure an LDAP Profile. . . . . . . . . . . . . . . . . . . . . 144Create an LDAP Server Group . . . . . . . . . . . . . . . . . . . 147Configure Global LDAP Settings . . . . . . . . . . . . . . . . . . 147View LDAP Settings . . . . . . . . . . . . . . . . . . . . . . . 148
© Copyright Lenovo 2017 Contents 7
Authentication, Authorization, and Accounting. . . . . . . . . . . . . . 149AAA Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Group Lists . . . . . . . . . . . . . . . . . . . . . . . . . . 149Configuring AAA Groups . . . . . . . . . . . . . . . . . . . 150
Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . 151Configuring AAA Authentication . . . . . . . . . . . . . . . . . . 151Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . 153Configuring AAA Authorization . . . . . . . . . . . . . . . . . . 153Accounting. . . . . . . . . . . . . . . . . . . . . . . . . . . . 154Configuring AAA Accounting . . . . . . . . . . . . . . . . . . . 154
Public Key Infrastructure . . . . . . . . . . . . . . . . . . . . . . . 155PKI Components . . . . . . . . . . . . . . . . . . . . . . . . . 155Implementing a PKI System . . . . . . . . . . . . . . . . . . . . 156Removing PKI Components . . . . . . . . . . . . . . . . . . . . 157Viewing PKI Components . . . . . . . . . . . . . . . . . . . . . 158
Chapter 7. Access Control Lists . . . . . . . . . . . . . . . . . . 161Supported ACL Types. . . . . . . . . . . . . . . . . . . . . . . . . 162Summary of Packet Classifiers . . . . . . . . . . . . . . . . . . . . . 163Summary of ACL Actions . . . . . . . . . . . . . . . . . . . . . . . 165Configuring Port ACLs (PACLs) . . . . . . . . . . . . . . . . . . . . 166Configuring Router ACLs (RACLs) . . . . . . . . . . . . . . . . . . . 167Configuring VLAN ACLs (VACLs) . . . . . . . . . . . . . . . . . . . 169ACL Order of Precedence . . . . . . . . . . . . . . . . . . . . . . . 171Creating and Modifying ACLs . . . . . . . . . . . . . . . . . . . . . 172
Creating an IPv4 ACL . . . . . . . . . . . . . . . . . . . . . . . 173Removing an IPv4 ACL . . . . . . . . . . . . . . . . . . . . . . 173Resequencing an IPv4 ACL . . . . . . . . . . . . . . . . . . . . . 173Creating a MAC ACL . . . . . . . . . . . . . . . . . . . . . . . 174Removing a MAC ACL . . . . . . . . . . . . . . . . . . . . . . 174Resequencing a MAC ACL . . . . . . . . . . . . . . . . . . . . . 175Creating an ARP ACL . . . . . . . . . . . . . . . . . . . . . . . 175Removing an ARP ACL . . . . . . . . . . . . . . . . . . . . . . 176Resequencing an ARP ACL. . . . . . . . . . . . . . . . . . . . . 176Remarks and ACLs . . . . . . . . . . . . . . . . . . . . . . . . 176
Add ACL Remarks . . . . . . . . . . . . . . . . . . . . . . 177Remove ACL Remarks . . . . . . . . . . . . . . . . . . . . . 177View ACL Remarks . . . . . . . . . . . . . . . . . . . . . . 178
Viewing ACL Rule Statistics . . . . . . . . . . . . . . . . . . . . . . 179ACL Configuration Examples . . . . . . . . . . . . . . . . . . . . . 180
ACL Example 1 . . . . . . . . . . . . . . . . . . . . . . . . . . 180ACL Example 2 . . . . . . . . . . . . . . . . . . . . . . . . . . 180ACL Example 3 . . . . . . . . . . . . . . . . . . . . . . . . . . 181ACL Example 4 . . . . . . . . . . . . . . . . . . . . . . . . . . 181ACL Example 5 . . . . . . . . . . . . . . . . . . . . . . . . . . 182ACL Example 6 . . . . . . . . . . . . . . . . . . . . . . . . . . 182
ACL Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183Configure ACL Logging . . . . . . . . . . . . . . . . . . . . . . 183
8 Application Guide for CNOS 10.6
Part 3: Switch Basics . . . . . . . . . . . . . . . . . . . . . . 185
Chapter 8. Interface Management . . . . . . . . . . . . . . . . . 187Interface Management Overview . . . . . . . . . . . . . . . . . . . . 188Management Interface . . . . . . . . . . . . . . . . . . . . . . . . 189
Virtual Routing and Forwarding . . . . . . . . . . . . . . . . . . 190Physical Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
G8272 Physical Port Capabilities . . . . . . . . . . . . . . . . . . 191G8296 Physical Port Capabilities . . . . . . . . . . . . . . . . . . 192G8332 Physical Port Capabilities . . . . . . . . . . . . . . . . . . 192NE1072T Physical Port Capabilities . . . . . . . . . . . . . . . . . 193NE1032T Physical Port Capabilities . . . . . . . . . . . . . . . . . 193NE1032 Physical Port Capabilities. . . . . . . . . . . . . . . . . . 194NE2572 Physical Capabilities . . . . . . . . . . . . . . . . . . . . 195NE10032 Physical Capabilities . . . . . . . . . . . . . . . . . . . 196CLI Port Format . . . . . . . . . . . . . . . . . . . . . . . . . 197
Port Aggregation . . . . . . . . . . . . . . . . . . . . . . . . . . . 200Loopback Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . 201Switch Virtual Interfaces . . . . . . . . . . . . . . . . . . . . . . . 202Basic Interface Configuration . . . . . . . . . . . . . . . . . . . . . 203
Forwarding Error Correction . . . . . . . . . . . . . . . . . . . . 206Interface Description . . . . . . . . . . . . . . . . . . . . . . . 207Interface Duplex . . . . . . . . . . . . . . . . . . . . . . . . . 207Interface MAC Address . . . . . . . . . . . . . . . . . . . . . . 208Interface Maximum Transmission Unit . . . . . . . . . . . . . . . 208Interface Shutdown . . . . . . . . . . . . . . . . . . . . . . . . 209Interface Speed . . . . . . . . . . . . . . . . . . . . . . . . . . 209Flow Control . . . . . . . . . . . . . . . . . . . . . . . . . . . 210Storm Control . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Chapter 9. Forwarding Database . . . . . . . . . . . . . . . . . 213MAC Learning . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214Static MAC addresses . . . . . . . . . . . . . . . . . . . . . . . . . 215Aging Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Chapter 10. VLANs . . . . . . . . . . . . . . . . . . . . . . . 217VLAN Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 218VLAN Configuration . . . . . . . . . . . . . . . . . . . . . . . . . 219
Creating a VLAN . . . . . . . . . . . . . . . . . . . . . . . . . 220Deleting a VLAN . . . . . . . . . . . . . . . . . . . . . . . . . 221Configuring the State of a VLAN . . . . . . . . . . . . . . . . . . 221Reserved VLANs . . . . . . . . . . . . . . . . . . . . . . . . . 223Configuring the Name of a VLAN . . . . . . . . . . . . . . . . . 224Configuring a Switch Access Port . . . . . . . . . . . . . . . . . . 225Configuring the Access VLAN . . . . . . . . . . . . . . . . . . . 225Configuring a Switch Trunk Port . . . . . . . . . . . . . . . . . . 226
Configuring the Allowed VLAN List. . . . . . . . . . . . . . . 226Configuring the Native VLAN . . . . . . . . . . . . . . . . . 228
Native VLAN Tagging . . . . . . . . . . . . . . . . . . . . . . . . 229Configuring Native VLAN Tagging. . . . . . . . . . . . . . . . . . . 231
© Copyright Lenovo 2017 Contents 9
Port VLAN ID Ingress Tagging . . . . . . . . . . . . . . . . . . . . . 233IP Subnet VLAN Assignment. . . . . . . . . . . . . . . . . . . . . . 234IPMC Flooding . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236Hybrid Bridge‐Port Mode . . . . . . . . . . . . . . . . . . . . . . . 237
Hybrid Bridge‐Port Mode Rules. . . . . . . . . . . . . . . . . . . 237Configuring a Hybrid Bridge‐Port . . . . . . . . . . . . . . . . . . 238
VLAN Topologies and Design Considerations . . . . . . . . . . . . . . 240Multiple VLANs with Trunk Mode Adapters . . . . . . . . . . . . . 240VLAN Configuration Example . . . . . . . . . . . . . . . . . . . 242
Chapter 11. Ports and Link Aggregation . . . . . . . . . . . . . . 243Port Configuration Profiles. . . . . . . . . . . . . . . . . . . . . . . 244
G8272 Port Configuration . . . . . . . . . . . . . . . . . . . . . 244G8296 Port Configuration . . . . . . . . . . . . . . . . . . . . . 247G8332 Port Configuration . . . . . . . . . . . . . . . . . . . . . 249NE1072T Port Configuration . . . . . . . . . . . . . . . . . . . . 252NE1032T Port Configuration . . . . . . . . . . . . . . . . . . . . 254NE1032 Port Configuration . . . . . . . . . . . . . . . . . . . . . 254NE2572 Port Configuration . . . . . . . . . . . . . . . . . . . . . 254NE10032 Port Configuration . . . . . . . . . . . . . . . . . . . . 257
Aggregation Overview . . . . . . . . . . . . . . . . . . . . . . . . 260Creating a LAG . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Static LAGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262Static LAG Configuration Rules . . . . . . . . . . . . . . . . . . . 262Configuring a Static LAG . . . . . . . . . . . . . . . . . . . . . 263
Link Aggregation Control Protocol . . . . . . . . . . . . . . . . . . . 266Configuring LACP . . . . . . . . . . . . . . . . . . . . . . . . 266
System Priority . . . . . . . . . . . . . . . . . . . . . . . . 267Port Priority . . . . . . . . . . . . . . . . . . . . . . . . . 267LACP Timeout . . . . . . . . . . . . . . . . . . . . . . . . 268LACP Individual . . . . . . . . . . . . . . . . . . . . . . . 268LACP Minimum Links . . . . . . . . . . . . . . . . . . . . . 269LACP Configuration Example. . . . . . . . . . . . . . . . . . 270
LAG Hashing . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272LAG Hashing Configuration . . . . . . . . . . . . . . . . . . . . 274
Chapter 12. Spanning Tree Protocol . . . . . . . . . . . . . . . . 277STP Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278Bridge Protocol Data Units . . . . . . . . . . . . . . . . . . . . . . . 279
Determining the Path for Forwarding BPDUs . . . . . . . . . . . . . 279BPDU Guard . . . . . . . . . . . . . . . . . . . . . . . . . 279BPDU Filter. . . . . . . . . . . . . . . . . . . . . . . . . . 280Root Guard . . . . . . . . . . . . . . . . . . . . . . . . . . 280Loop Guard. . . . . . . . . . . . . . . . . . . . . . . . . . 281Port Priority . . . . . . . . . . . . . . . . . . . . . . . . . 281Port Path Cost. . . . . . . . . . . . . . . . . . . . . . . . . 282
Error Disable Recovery . . . . . . . . . . . . . . . . . . . . . . . . 283Port Type and Link Type . . . . . . . . . . . . . . . . . . . . . . . 284
Edge Port . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284Link Type . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
10 Application Guide for CNOS 10.6
Rapid Per VLAN Spanning Tree Plus . . . . . . . . . . . . . . . . . . 285Rapid PVST+ Parameters . . . . . . . . . . . . . . . . . . . . . 286
Bridge Priority . . . . . . . . . . . . . . . . . . . . . . . . 286Port Priority . . . . . . . . . . . . . . . . . . . . . . . . . 286Port Path Cost . . . . . . . . . . . . . . . . . . . . . . . . 287Forward Delay . . . . . . . . . . . . . . . . . . . . . . . . 287Hello Timer . . . . . . . . . . . . . . . . . . . . . . . . . 287Maximum Age Interval . . . . . . . . . . . . . . . . . . . . 288
Rapid PVST+ Configuration . . . . . . . . . . . . . . . . . . . . . . 289Multiple Spanning Tree Protocol . . . . . . . . . . . . . . . . . . . . 290
Common Internal Spanning Tree . . . . . . . . . . . . . . . . . . 290Port States . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290MST Region . . . . . . . . . . . . . . . . . . . . . . . . . . . 291MSTP Parameters . . . . . . . . . . . . . . . . . . . . . . . . . 291
Hop Count . . . . . . . . . . . . . . . . . . . . . . . . . . 292Forward Delay . . . . . . . . . . . . . . . . . . . . . . . . 292Hello Timer . . . . . . . . . . . . . . . . . . . . . . . . . 293Maximum Age Interval . . . . . . . . . . . . . . . . . . . . 293Bridge Priority . . . . . . . . . . . . . . . . . . . . . . . . 293Port Priority . . . . . . . . . . . . . . . . . . . . . . . . . 294Port Path Cost . . . . . . . . . . . . . . . . . . . . . . . . 294
MSTP Configuration . . . . . . . . . . . . . . . . . . . . . . . . . 295MSTP Configuration Example . . . . . . . . . . . . . . . . . . . 295
Chapter 13. Virtual Link Aggregation Groups . . . . . . . . . . . . 297vLAG Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 298vLAG Capacities . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
vLAG Benefits . . . . . . . . . . . . . . . . . . . . . . . . . . 300vLAG Synchronization Mechanism . . . . . . . . . . . . . . . . . 301vLAG System MAC . . . . . . . . . . . . . . . . . . . . . . . . 301vLAG and LACP Individual . . . . . . . . . . . . . . . . . . . . 302vLAG and LACP System Priority . . . . . . . . . . . . . . . . . . 302vLAG LACP Misconfigurations or Cabling Errors . . . . . . . . . . . 302FDB Synchronization . . . . . . . . . . . . . . . . . . . . . . . 303vLAG and STP . . . . . . . . . . . . . . . . . . . . . . . . . . 304vLAG and VRRP . . . . . . . . . . . . . . . . . . . . . . . . . 305
vLAG VRRP Passive Mode (Half Active‐Active). . . . . . . . . . 305vLAG VRRP Active Mode (Full Active‐Active) . . . . . . . . . . 305
vLAG Configuration Consistency Check . . . . . . . . . . . . . . . 306vLAG and IGMP Snooping. . . . . . . . . . . . . . . . . . . . . 308
Multicast Router Synchronization . . . . . . . . . . . . . . . . 308IGMP Groups Synchronization . . . . . . . . . . . . . . . . . 308IGMP Querier Synchronization . . . . . . . . . . . . . . . . . 308
vLAG Peer Gateway . . . . . . . . . . . . . . . . . . . . . . . 309vLAGs versus regular LAGs . . . . . . . . . . . . . . . . . . . . . . 310
© Copyright Lenovo 2017 Contents 11
Configuring vLAGs . . . . . . . . . . . . . . . . . . . . . . . . . . 311vLAG ISL . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312vLAG Role Election . . . . . . . . . . . . . . . . . . . . . . . . 312vLAG Instance . . . . . . . . . . . . . . . . . . . . . . . . . . 313FDB Refresh . . . . . . . . . . . . . . . . . . . . . . . . . . . 314vLAG Tier ID . . . . . . . . . . . . . . . . . . . . . . . . . . . 314vLAG Startup Delay . . . . . . . . . . . . . . . . . . . . . . . . 314vLAG Auto‐recovery . . . . . . . . . . . . . . . . . . . . . . . 315
Health Check. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316Basic Health Check Configuration Example. . . . . . . . . . . . . . 317
Basic vLAG Configuration Example . . . . . . . . . . . . . . . . . . . 318Configuring the ISL . . . . . . . . . . . . . . . . . . . . . . . . 318Configuring the vLAG . . . . . . . . . . . . . . . . . . . . . . . 320
vLAG Configuration ‐ VLANs Mapped to a MST Instance . . . . . . . . . 321Configuring the ISL . . . . . . . . . . . . . . . . . . . . . . . . 321Configuring the vLAG . . . . . . . . . . . . . . . . . . . . . . . 322
Configuring vLAGs in Multiple Layers . . . . . . . . . . . . . . . . . 323Task 1: Configure Layer 2/3 Border Region . . . . . . . . . . . . . . 323
Configure Border Router 1 . . . . . . . . . . . . . . . . . . . 323Configure Border Router 2 . . . . . . . . . . . . . . . . . . . 324
Task 2: Configure switches in the Layer 2 region . . . . . . . . . . . 324Configuring Switch A . . . . . . . . . . . . . . . . . . . . . 324Configuring Switch B . . . . . . . . . . . . . . . . . . . . . 325Configuring Switches C and D . . . . . . . . . . . . . . . . . 327Configuring Switch E . . . . . . . . . . . . . . . . . . . . . 328Configuring Switch F . . . . . . . . . . . . . . . . . . . . . 329
Chapter 14. Quality of Service. . . . . . . . . . . . . . . . . . . 331QoS Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332Class Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
QoS Classification Types . . . . . . . . . . . . . . . . . . . . . . 333Using ACL Filters . . . . . . . . . . . . . . . . . . . . . . . 333Summary of QoS Actions . . . . . . . . . . . . . . . . . . . . 334Using Class of Service Filters . . . . . . . . . . . . . . . . . . 334Using 802.1p Priority to Provide QoS. . . . . . . . . . . . . . . 334Using DiffServ Code Point (DSCP) Filters . . . . . . . . . . . . . 335Using TCP/UDP Port Filters. . . . . . . . . . . . . . . . . . . 337Using Precedence Filters . . . . . . . . . . . . . . . . . . . . 338Using Protocol Filters . . . . . . . . . . . . . . . . . . . . . 338
Queuing Classification Types . . . . . . . . . . . . . . . . . . . . 339Class Map Configuration Examples . . . . . . . . . . . . . . . . . 339
QoS Class Map Configuration Example. . . . . . . . . . . . . . 339Queueing Class Map Configuration Example . . . . . . . . . . . 340
12 Application Guide for CNOS 10.6
Policy Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341Ingress Policing. . . . . . . . . . . . . . . . . . . . . . . . . . 341
Defining Single‐Rate and Dual‐Rate Policers . . . . . . . . . . . 341Marking . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Queuing Policing . . . . . . . . . . . . . . . . . . . . . . . . . 343Bandwidth . . . . . . . . . . . . . . . . . . . . . . . . . . 343Shaping . . . . . . . . . . . . . . . . . . . . . . . . . . . 343Priority . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Policy Map Configuration Examples . . . . . . . . . . . . . . . . 344QoS Policy Map Configuration Example . . . . . . . . . . . . . 344Queuing Policy Map Configuration Example . . . . . . . . . . . 345
Control Plane Protection . . . . . . . . . . . . . . . . . . . . . . . 346Control Plane Configuration Examples . . . . . . . . . . . . . . . 347
WRED . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349Configuring WRED . . . . . . . . . . . . . . . . . . . . . . . . 349WRED Configuration Example . . . . . . . . . . . . . . . . . . . 349
Interface Service Policy . . . . . . . . . . . . . . . . . . . . . . . . 351Apply an Interface Service Policy . . . . . . . . . . . . . . . . . . 351Interface Service Policy Limitations . . . . . . . . . . . . . . . . . 351
Microburst Detection . . . . . . . . . . . . . . . . . . . . . . . . . 352
Chapter 15. CEE . . . . . . . . . . . . . . . . . . . . . . . . 353RoCE and iSCSI . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
RoCE Requirements . . . . . . . . . . . . . . . . . . . . . . . . 354Converged Enhanced Ethernet . . . . . . . . . . . . . . . . . . . . . 355
Turning CEE On or Off . . . . . . . . . . . . . . . . . . . . . . 355Effects on Link Layer Discovery Protocol. . . . . . . . . . . . . . . 356Effects on 802.1p Quality of Service . . . . . . . . . . . . . . . . . 356Effects on Flow Control . . . . . . . . . . . . . . . . . . . . . . 357
Priority‐Based Flow Control . . . . . . . . . . . . . . . . . . . . . . 358PFC Configuration . . . . . . . . . . . . . . . . . . . . . . . . 358PFC Configuration Example . . . . . . . . . . . . . . . . . . . . 359
Enhanced Transmission Selection. . . . . . . . . . . . . . . . . . . . 361802.1p Priority Values . . . . . . . . . . . . . . . . . . . . . . . 361Priority Groups. . . . . . . . . . . . . . . . . . . . . . . . . . 362
PGID . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362Assigning Priority Values to a Priority Group . . . . . . . . . . . 363Allocating Bandwidth . . . . . . . . . . . . . . . . . . . . . 363
Configuring ETS . . . . . . . . . . . . . . . . . . . . . . . . . 364Data Center Bridging Capability Exchange. . . . . . . . . . . . . . . . 367
DCBX Modes. . . . . . . . . . . . . . . . . . . . . . . . . . . 367DCBX Settings . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Enabling and Disabling DCBX . . . . . . . . . . . . . . . . . 368Peer Configuration Negotiation . . . . . . . . . . . . . . . . . 368
Configuring DCBX . . . . . . . . . . . . . . . . . . . . . . . . 369CEE Configuration Examples . . . . . . . . . . . . . . . . . . . . . 370
CEE Example 1 . . . . . . . . . . . . . . . . . . . . . . . . . . 370CEE Example 2 . . . . . . . . . . . . . . . . . . . . . . . . . . 371
© Copyright Lenovo 2017 Contents 13
Chapter 16. Secure Mode. . . . . . . . . . . . . . . . . . . . . 373Secure Mode Overview . . . . . . . . . . . . . . . . . . . . . . . . 374Using Protocols With Secure Mode . . . . . . . . . . . . . . . . . . . 375
Insecure Protocols . . . . . . . . . . . . . . . . . . . . . . . . . 375Secure Protocols . . . . . . . . . . . . . . . . . . . . . . . . . 375Insecure Protocols Unaffected by Secure Mode . . . . . . . . . . . . 377
Enabling and Disabling Secure Mode . . . . . . . . . . . . . . . . . . 378
Part 4: IP Routing . . . . . . . . . . . . . . . . . . . . . . . . 379
Chapter 17. Basic IP Routing . . . . . . . . . . . . . . . . . . . 381IP Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Direct and Indirect Routing. . . . . . . . . . . . . . . . . . . . . 383Static Routing . . . . . . . . . . . . . . . . . . . . . . . . . . 383Dynamic Routing . . . . . . . . . . . . . . . . . . . . . . . . . 384Default Gateway . . . . . . . . . . . . . . . . . . . . . . . . . 384Virtual Routing and Forwarding . . . . . . . . . . . . . . . . . . 385
Routing Information Base . . . . . . . . . . . . . . . . . . . . . . . 386Bidirectional Forwarding Detection . . . . . . . . . . . . . . . . . . . 387
BFD Asynchronous Mode . . . . . . . . . . . . . . . . . . . . . 388BFD Echo Mode. . . . . . . . . . . . . . . . . . . . . . . . . . 388BFD Peer Support . . . . . . . . . . . . . . . . . . . . . . . . . 389BFD Static Routes . . . . . . . . . . . . . . . . . . . . . . . . . 389BFD Authentication . . . . . . . . . . . . . . . . . . . . . . . . 390Generalized TTL Security Mechanism . . . . . . . . . . . . . . . . 391BFD and BGP. . . . . . . . . . . . . . . . . . . . . . . . . . . 391BFD and OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Routing Between IP Subnets . . . . . . . . . . . . . . . . . . . . . . 392Example of Subnet Routing. . . . . . . . . . . . . . . . . . . . . 393Using VLANs to Segregate Broadcast Domains . . . . . . . . . . . . 394
Configuration Example. . . . . . . . . . . . . . . . . . . . . 394ECMP Static Routes . . . . . . . . . . . . . . . . . . . . . . . . . . 397
RIB Support for ECMP Routes . . . . . . . . . . . . . . . . . . . 397ECMP Hashing . . . . . . . . . . . . . . . . . . . . . . . . . . 397Configuring ECMP Static Routes . . . . . . . . . . . . . . . . . . 398
Weighted ECMP Routes . . . . . . . . . . . . . . . . . . . . . . . . 399Requirements for Weighted ECMP . . . . . . . . . . . . . . . . . 399Configure Weighted ECMP. . . . . . . . . . . . . . . . . . . . . 399
Dynamic Host Configuration Protocol . . . . . . . . . . . . . . . . . . 401Internet Control Message Protocol . . . . . . . . . . . . . . . . . . . 402
ICMP Redirects . . . . . . . . . . . . . . . . . . . . . . . . . . 403ICMP Port Unreachable . . . . . . . . . . . . . . . . . . . . . . 403ICMP Unreachable (except Port) . . . . . . . . . . . . . . . . . . 403
Chapter 18. Routed Ports. . . . . . . . . . . . . . . . . . . . . 405Routed Ports Overview . . . . . . . . . . . . . . . . . . . . . . . . 406Configuring a Routed Port . . . . . . . . . . . . . . . . . . . . . . . 408
Configuring OSPF on Routed Ports . . . . . . . . . . . . . . . . . 409OSPF Configuration Example . . . . . . . . . . . . . . . . . . 409
14 Application Guide for CNOS 10.6
Chapter 19. Address Resolution Protocol. . . . . . . . . . . . . . 411ARP Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412ARP Aging Timer . . . . . . . . . . . . . . . . . . . . . . . . . . 413ARP Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . 414Static ARP Entries . . . . . . . . . . . . . . . . . . . . . . . . . . 415
Static ARP Configuration Example . . . . . . . . . . . . . . . . . 415ARP Entry States . . . . . . . . . . . . . . . . . . . . . . . . . . . 416ARP Table Refresh . . . . . . . . . . . . . . . . . . . . . . . . . . 417Proxy ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
Proxy ARP Limitations . . . . . . . . . . . . . . . . . . . . . . 418Configure Proxy ARP . . . . . . . . . .
Recommended