Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Lenovo Network
Application Guidefor Lenovo Cloud Network Operating System 10.10
Note: Before using this information and the product it supports, read the general information in the Safety information and Environmental Notices and User Guide documents on the Lenovo Documentation CD, and the Warranty Information document that comes with the product.
First Edition (April 2019)
© Copyright Lenovo 2019Portions © Copyright IBM Corporation 2014.
LIMITED AND RESTRICTED RIGHTS NOTICE: If data or software is delivered pursuant a General Services Administration “GSA” contract, use, reproduction, or disclosure is subject to restrictions set forth in Contract No. GS-35F-05925.
Lenovo and the Lenovo logo are trademarks of Lenovo in the United States, other countries, or both.
© Copyright Lenovo 2019 3
ContentsPreface . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Who Should Use This Guide . . . . . . . . . . . . . . . . . . . . . . .28Application Guide Overview . . . . . . . . . . . . . . . . . . . . . . .29Additional References . . . . . . . . . . . . . . . . . . . . . . . . . .33Typographic Conventions . . . . . . . . . . . . . . . . . . . . . . . .34
Part 1: Getting Started . . . . . . . . . . . . . . . . . . . . . . 35
Chapter 1. Using the Command Line Interface . . . . . . . . . . . . 37CLI Command Modes . . . . . . . . . . . . . . . . . . . . . . . . . .38Command Line Interface Shortcuts . . . . . . . . . . . . . . . . . . . .39
CLI List and Range Inputs . . . . . . . . . . . . . . . . . . . . . .39Command Abbreviation . . . . . . . . . . . . . . . . . . . . . . .39Tab Completion. . . . . . . . . . . . . . . . . . . . . . . . . . .39Line Editing . . . . . . . . . . . . . . . . . . . . . . . . . . . .40
Command Aliases . . . . . . . . . . . . . . . . . . . . . . . . . . .41Defining Aliases . . . . . . . . . . . . . . . . . . . . . . . . . .41Removing Aliases . . . . . . . . . . . . . . . . . . . . . . . . . .41Displaying Aliases . . . . . . . . . . . . . . . . . . . . . . . . .41Rules for Using Aliases . . . . . . . . . . . . . . . . . . . . . . .42
Chapter 2. Switch Administration . . . . . . . . . . . . . . . . . 45Administration Interfaces . . . . . . . . . . . . . . . . . . . . . . . .46Industry Standard Command Line Interface . . . . . . . . . . . . . . . .47Establishing a Connection . . . . . . . . . . . . . . . . . . . . . . . .48
Using the Serial Console Port . . . . . . . . . . . . . . . . . . . . .48Using the Switch Management Interface . . . . . . . . . . . . . . . .49Other Ways to Manage the Switch Using IP. . . . . . . . . . . . . . .50
Configuring a Switched Virtual Interface for Management . . . . . .50Using the Switch Ethernet Ports in Routed Port Mode for Management .51
Using Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . .52Using Secure Shell. . . . . . . . . . . . . . . . . . . . . . . . . .53
Using SSH with Password Authentication . . . . . . . . . . . . .53Using SSH with Server Key Authentication . . . . . . . . . . . . .54
Using Simple Network Management Protocol. . . . . . . . . . . . . .55Zero Touch Provisioning . . . . . . . . . . . . . . . . . . . . . . . .56
DHCP Discovery . . . . . . . . . . . . . . . . . . . . . . . . . .57ZTP Boot File . . . . . . . . . . . . . . . . . . . . . . . . . . . .58Forcedly Enabling or Disabling ZTP . . . . . . . . . . . . . . . . . .59
DHCP IP Address Services. . . . . . . . . . . . . . . . . . . . . . . .60DHCP Client Configuration . . . . . . . . . . . . . . . . . . . . .60DHCPv4 Hostname Configuration (Option 12) . . . . . . . . . . . . .61DHCPv4 Syslog Server (Option 7) . . . . . . . . . . . . . . . . . . .61DHCPv4 NTP Server (Option 42) . . . . . . . . . . . . . . . . . . .62DHCPv4 Vendor Class Identifier (Option 60) . . . . . . . . . . . . . .62
4 Application Guide for CNOS 10.10
DHCPv4 Snooping . . . . . . . . . . . . . . . . . . . . . . . . . 63Configure the DHCPv4 Snooping Binding Table . . . . . . . . . . 63Configure the DHCPv4 Snooping Syslog . . . . . . . . . . . . . . 64DHCP Snooping Limitations . . . . . . . . . . . . . . . . . . . 64
DHCP Relay Agent . . . . . . . . . . . . . . . . . . . . . . . . . 65DHCPv4 Option 82 . . . . . . . . . . . . . . . . . . . . . . . . . 66
Switch Login Levels . . . . . . . . . . . . . . . . . . . . . . . . . . 67Changing the Default Network Administrator Password . . . . . . . . . 69
Ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Ping Configurable Parameters . . . . . . . . . . . . . . . . . . . . 71
Test Interruption . . . . . . . . . . . . . . . . . . . . . . . . 71Ping Count . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Ping Packet Interval . . . . . . . . . . . . . . . . . . . . . . . 71Ping Packet Size. . . . . . . . . . . . . . . . . . . . . . . . . 72Ping Source. . . . . . . . . . . . . . . . . . . . . . . . . . . 72Ping DF-Bit . . . . . . . . . . . . . . . . . . . . . . . . . . . 72Ping Timeout . . . . . . . . . . . . . . . . . . . . . . . . . . 73Ping VRF. . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Ping Interactive Mode . . . . . . . . . . . . . . . . . . . . . . 73
Interactions with Other Features . . . . . . . . . . . . . . . . . . . 74Traceroute. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Traceroute Configurable Parameters . . . . . . . . . . . . . . . . . 76Test Interruption . . . . . . . . . . . . . . . . . . . . . . . . 76Traceroute Source . . . . . . . . . . . . . . . . . . . . . . . . 76Traceroute VRF . . . . . . . . . . . . . . . . . . . . . . . . . 76Traceroute Interactive Mode . . . . . . . . . . . . . . . . . . . 77
Network Time Protocol . . . . . . . . . . . . . . . . . . . . . . . . . 78NTP Synchronization Retry . . . . . . . . . . . . . . . . . . . . . 78NTP Client and Peer . . . . . . . . . . . . . . . . . . . . . . . . 79
NTP Authentication Field Encryption Key . . . . . . . . . . . . . 80NTP Polling Intervals . . . . . . . . . . . . . . . . . . . . . . 80NTP Preference . . . . . . . . . . . . . . . . . . . . . . . . . 81
Dynamic and Static NTP Servers . . . . . . . . . . . . . . . . . . . 81NTP Authentication . . . . . . . . . . . . . . . . . . . . . . . . . 81
NTP Authentication Configuration Example . . . . . . . . . . . . 82Configuring the Switch as a NTP Server . . . . . . . . . . . . . . . . 83
Domain Name Server Client . . . . . . . . . . . . . . . . . . . . . . . 84System Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Syslog Output . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Syslog Severity Levels . . . . . . . . . . . . . . . . . . . . . . . . 88Syslog Time Stamping . . . . . . . . . . . . . . . . . . . . . . . . 89Syslog Rate Limit . . . . . . . . . . . . . . . . . . . . . . . . . . 90User Action Logging . . . . . . . . . . . . . . . . . . . . . . . . 90Syslog Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Console Logging Flood Control . . . . . . . . . . . . . . . . . . . . 92Duplicate Syslog Message Suppression . . . . . . . . . . . . . . . . 92Core Dump Information . . . . . . . . . . . . . . . . . . . . . . . 93
© Copyright Lenovo 2019 Contents 5
Login Banners . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94Idle Disconnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96Python Scripting . . . . . . . . . . . . . . . . . . . . . . . . . . . .97REST API Programming . . . . . . . . . . . . . . . . . . . . . . . . .98
Chapter 3. System License Keys . . . . . . . . . . . . . . . . . 99Obtaining License Keys . . . . . . . . . . . . . . . . . . . . . . . . 100Installing License Keys . . . . . . . . . . . . . . . . . . . . . . . . 101Uninstalling License Keys . . . . . . . . . . . . . . . . . . . . . . . 102Transferring License Keys . . . . . . . . . . . . . . . . . . . . . . . 103ONIE License Key . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Chapter 4. Switch Firmware Management . . . . . . . . . . . . . . 105Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106Installing New Firmware to Your Switch. . . . . . . . . . . . . . . . . 107
Installing CNOS and U-boot . . . . . . . . . . . . . . . . . . . . 108Installing Firmware from a Remote Server . . . . . . . . . . . . 108Installing Firmware from a USB Device. . . . . . . . . . . . . . 109
Installing only CNOS Images . . . . . . . . . . . . . . . . . . . . 110Installing CNOS Images from a Remote Server . . . . . . . . . . 110Installing CNOS Images from a USB Device . . . . . . . . . . . . 111
Installing only the U-boot File . . . . . . . . . . . . . . . . . . . 112Installing U-boot from a Remote Server. . . . . . . . . . . . . . 112Installing U-boot from a USB Device . . . . . . . . . . . . . . . 113
Selecting a Software Image to Run . . . . . . . . . . . . . . . . . . . 114Reloading the Switch . . . . . . . . . . . . . . . . . . . . . . . . . 115
Normal Reboot . . . . . . . . . . . . . . . . . . . . . . . . . . 115Scheduled Boot . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Copying Configuration Files . . . . . . . . . . . . . . . . . . . . . . 117Copy Configuration Files via a Remote Server . . . . . . . . . . . . 117Copy Configuration Files to a USB Device . . . . . . . . . . . . . . 118
Firmware Image Downgrade . . . . . . . . . . . . . . . . . . . . . . 119Resetting the Switch to the Factory Defaults . . . . . . . . . . . . . . . 120Converting the Switch Software Image from CNOS to ENOS . . . . . . . . 121The GRUB Menu . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Rescue Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . 124The Boot Management Menu . . . . . . . . . . . . . . . . . . . . . . 125
Switching Between ENOS and CNOS Images Loaded on the G8272 . . . 126Boot Recovery Mode . . . . . . . . . . . . . . . . . . . . . . . 127Recovering from a Failed Image Upgrade using TFTP . . . . . . . . . 128Physical Presence . . . . . . . . . . . . . . . . . . . . . . . . . 130ONIE Submenu . . . . . . . . . . . . . . . . . . . . . . . . . . 131
ONIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132Linux Shell Access . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Accessing the Linux Shell . . . . . . . . . . . . . . . . . . . . . 134Third-Party Application Removal . . . . . . . . . . . . . . . . . . 135
Using The CLI . . . . . . . . . . . . . . . . . . . . . . . . 135Using the GRUB Menu . . . . . . . . . . . . . . . . . . . . . 136
Updating BIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
6 Application Guide for CNOS 10.10
Part 2: Securing the Switch . . . . . . . . . . . . . . . . . . . 141
Chapter 5. Securing Administration . . . . . . . . . . . . . . . . 143Secure Shell and Secure Copy . . . . . . . . . . . . . . . . . . . . . 144
SSH Encryption and Authentication . . . . . . . . . . . . . . . . . 144Generating RSA/DSA Host Key for SSH Access . . . . . . . . . . . . 145SSH Integration with TACACS+ Authentication . . . . . . . . . . . 145Configuring SSH on the Switch . . . . . . . . . . . . . . . . . . . 145Using SSH Client Commands. . . . . . . . . . . . . . . . . . . . 146Using Secure Copy . . . . . . . . . . . . . . . . . . . . . . . . 147
Copying a File Using SCP . . . . . . . . . . . . . . . . . . . 147Copying the Startup Configuration Using SCP . . . . . . . . . . 147Copying the Running Configuration Using SCP . . . . . . . . . . 147Copying Technical Support Files Using SCP . . . . . . . . . . . 147
End-user Access Control . . . . . . . . . . . . . . . . . . . . . . . 148Considerations for Configuring End-user Accounts . . . . . . . . . . 148Strong Passwords . . . . . . . . . . . . . . . . . . . . . . . . . 148User Access Control . . . . . . . . . . . . . . . . . . . . . . . . 149
Setting up Users . . . . . . . . . . . . . . . . . . . . . . . 149Defining a User’s Access Level . . . . . . . . . . . . . . . . . 150Deleting a User . . . . . . . . . . . . . . . . . . . . . . . . 150The Default User . . . . . . . . . . . . . . . . . . . . . . . 150Password History Checking . . . . . . . . . . . . . . . . . . 151Administrator Password Recovery . . . . . . . . . . . . . . . 152
Chapter 6. AAA Protocols . . . . . . . . . . . . . . . . . . . . 155RADIUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
RADIUS Basics . . . . . . . . . . . . . . . . . . . . . . . . . . 156How RADIUS Authentication Works . . . . . . . . . . . . . . . . 156RADIUS Authentication Features in Cloud NOS . . . . . . . . . . . 157Switch User Accounts . . . . . . . . . . . . . . . . . . . . . . . 157RADIUS Attributes for Cloud NOS User Privileges . . . . . . . . . . 158Configuring RADIUS on the Switch . . . . . . . . . . . . . . . . . 158
TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159TACACS+ Basics . . . . . . . . . . . . . . . . . . . . . . . . . 159How TACACS+ Authentication Works . . . . . . . . . . . . . . . 159TACACS+ Authentication Features in Cloud NOS. . . . . . . . . . . 160
Authorization. . . . . . . . . . . . . . . . . . . . . . . . . 160Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Configuring TACACS+ Authentication on the Switch . . . . . . . . . 161Lightweight Directory Access Protocol . . . . . . . . . . . . . . . . . 162
Configure an LDAP Profile. . . . . . . . . . . . . . . . . . . . . 162Create an LDAP Server Group . . . . . . . . . . . . . . . . . . . 164Configure Global LDAP Settings . . . . . . . . . . . . . . . . . . 164View LDAP Settings . . . . . . . . . . . . . . . . . . . . . . . 165
© Copyright Lenovo 2019 Contents 7
Authentication, Authorization, and Accounting. . . . . . . . . . . . . . 166AAA Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Group Lists . . . . . . . . . . . . . . . . . . . . . . . . . . 166Configuring AAA Groups . . . . . . . . . . . . . . . . . . . 167
Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . 168Configuring AAA Authentication . . . . . . . . . . . . . . . . 168
Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . 170Configuring AAA Authorization . . . . . . . . . . . . . . . . 170
Accounting. . . . . . . . . . . . . . . . . . . . . . . . . . . . 171Configuring AAA Accounting. . . . . . . . . . . . . . . . . . 171
Chapter 7. Security Management . . . . . . . . . . . . . . . . . 173Public Key Infrastructure . . . . . . . . . . . . . . . . . . . . . . . 174
PKI Components . . . . . . . . . . . . . . . . . . . . . . . . . 174Implementing a PKI System . . . . . . . . . . . . . . . . . . . . 175Removing PKI Components . . . . . . . . . . . . . . . . . . . . 177Viewing PKI Components . . . . . . . . . . . . . . . . . . . . . 177PKI Credential Expiration Alert . . . . . . . . . . . . . . . . . . . 178Trust Point Check . . . . . . . . . . . . . . . . . . . . . . . . . 178Certificate Revocation List . . . . . . . . . . . . . . . . . . . . . 179
CRL Distribution Point Checking . . . . . . . . . . . . . . . . 181Subject Alternative Name . . . . . . . . . . . . . . . . . . . . . 182PKI Key Size . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
SSH Public Key Authentication . . . . . . . . . . . . . . . . . . . . . 184
Chapter 8. 802.1X Port-Based Authentication . . . . . . . . . . . . 187802.1X Authentication Overview . . . . . . . . . . . . . . . . . . . . 188
Authentication Process. . . . . . . . . . . . . . . . . . . . . . . 188802.1X Authentication Configuration . . . . . . . . . . . . . . . . . . 190
Host Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191Other 802.1X Authentication Settings . . . . . . . . . . . . . . . . . . 194
Quiet Period . . . . . . . . . . . . . . . . . . . . . . . . . . . 194Retransmission Period . . . . . . . . . . . . . . . . . . . . . . . 194Supplicant Timeout . . . . . . . . . . . . . . . . . . . . . . . . 194Reauthentication . . . . . . . . . . . . . . . . . . . . . . . . . 195MAC Authentication Bypass . . . . . . . . . . . . . . . . . . . . 195Error VLAN Assignment . . . . . . . . . . . . . . . . . . . . . . 196Dynamic VLAN Assignment . . . . . . . . . . . . . . . . . . . . 197Dynamic ACL Assignment . . . . . . . . . . . . . . . . . . . . . 198MAC Aging . . . . . . . . . . . . . . . . . . . . . . . . . . . 199802.1X Pass-through . . . . . . . . . . . . . . . . . . . . . . . . 199
802.1X Authentication and Other Protocols. . . . . . . . . . . . . . . . 200
Chapter 9. Access Control Lists . . . . . . . . . . . . . . . . . . 201Supported ACL Types. . . . . . . . . . . . . . . . . . . . . . . . . 202Summary of Packet Classifiers . . . . . . . . . . . . . . . . . . . . . 203Summary of ACL Actions . . . . . . . . . . . . . . . . . . . . . . . 205Configuring Port ACLs (PACLs) . . . . . . . . . . . . . . . . . . . . 206Configuring Router ACLs (RACLs) . . . . . . . . . . . . . . . . . . . 207Configuring VLAN ACLs (VACLs) . . . . . . . . . . . . . . . . . . . 208
8 Application Guide for CNOS 10.10
Configuring Management ACLs (MACLs) . . . . . . . . . . . . . . . . 210ACL Order of Precedence . . . . . . . . . . . . . . . . . . . . . . . 211Creating and Modifying ACLs . . . . . . . . . . . . . . . . . . . . . 213
Creating an IPv4 ACL . . . . . . . . . . . . . . . . . . . . . . . 214Removing an IPv4 ACL . . . . . . . . . . . . . . . . . . . . . . 214Resequencing an IPv4 ACL . . . . . . . . . . . . . . . . . . . . 215Creating a MAC ACL . . . . . . . . . . . . . . . . . . . . . . . 215Removing a MAC ACL . . . . . . . . . . . . . . . . . . . . . . 216Resequencing a MAC ACL . . . . . . . . . . . . . . . . . . . . . 216Creating an ARP ACL . . . . . . . . . . . . . . . . . . . . . . . 216Removing an ARP ACL . . . . . . . . . . . . . . . . . . . . . . 217Resequencing an ARP ACL . . . . . . . . . . . . . . . . . . . . 217Remarks and ACLs . . . . . . . . . . . . . . . . . . . . . . . . 218
Add ACL Remarks . . . . . . . . . . . . . . . . . . . . . . 218Remove ACL Remarks . . . . . . . . . . . . . . . . . . . . . 219View ACL Remarks . . . . . . . . . . . . . . . . . . . . . . 219
Viewing ACL Rule Statistics . . . . . . . . . . . . . . . . . . . . . . 220ACL Configuration Examples . . . . . . . . . . . . . . . . . . . . . 221
ACL Example 1 . . . . . . . . . . . . . . . . . . . . . . . . . . 221ACL Example 2 . . . . . . . . . . . . . . . . . . . . . . . . . . 221ACL Example 3 . . . . . . . . . . . . . . . . . . . . . . . . . . 222ACL Example 4 . . . . . . . . . . . . . . . . . . . . . . . . . . 222ACL Example 5 . . . . . . . . . . . . . . . . . . . . . . . . . . 223ACL Example 6 . . . . . . . . . . . . . . . . . . . . . . . . . . 223ACL Example 7 . . . . . . . . . . . . . . . . . . . . . . . . . . 224ACL Example 8 . . . . . . . . . . . . . . . . . . . . . . . . . . 224
ACL Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225Configure ACL Logging . . . . . . . . . . . . . . . . . . . . . . 225
Part 3: Switch Basics . . . . . . . . . . . . . . . . . . . . . . 229
Chapter 10. Interface Management . . . . . . . . . . . . . . . . 231Interface Management Overview . . . . . . . . . . . . . . . . . . . . 232Management Interface . . . . . . . . . . . . . . . . . . . . . . . . 233Physical Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
G8272 Physical Port Capabilities . . . . . . . . . . . . . . . . . . 234G8296 Physical Port Capabilities . . . . . . . . . . . . . . . . . . 235G8332 Physical Port Capabilities . . . . . . . . . . . . . . . . . . 235NE1032 Physical Port Capabilities. . . . . . . . . . . . . . . . . . 236NE1032T Physical Port Capabilities . . . . . . . . . . . . . . . . . 236NE1072T Physical Port Capabilities . . . . . . . . . . . . . . . . . 237NE2572 Physical Port Capabilities. . . . . . . . . . . . . . . . . . 237NE10032 Physical Port Capabilities . . . . . . . . . . . . . . . . . 238NE0152T Physical Port Capabilities . . . . . . . . . . . . . . . . . 239CLI Port Format . . . . . . . . . . . . . . . . . . . . . . . . . 240Port Breakout Configuration . . . . . . . . . . . . . . . . . . . . 242
Port Aggregation . . . . . . . . . . . . . . . . . . . . . . . . . . . 245Loopback Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . 247Switch Virtual Interfaces . . . . . . . . . . . . . . . . . . . . . . . 248
© Copyright Lenovo 2019 Contents 9
Basic Interface Configuration . . . . . . . . . . . . . . . . . . . . . . 249Forwarding Error Correction . . . . . . . . . . . . . . . . . . . . 252Interface Description . . . . . . . . . . . . . . . . . . . . . . . 253Interface Duplex . . . . . . . . . . . . . . . . . . . . . . . . . 253Interface MAC Address . . . . . . . . . . . . . . . . . . . . . . 254Interface Maximum Transmission Unit. . . . . . . . . . . . . . . . 254Interface Speed . . . . . . . . . . . . . . . . . . . . . . . . . . 257Flow Control . . . . . . . . . . . . . . . . . . . . . . . . . . . 259Storm Control . . . . . . . . . . . . . . . . . . . . . . . . . . 259Interface Shutdown . . . . . . . . . . . . . . . . . . . . . . . . 260
Link-Flap Dampening . . . . . . . . . . . . . . . . . . . . . . . . . 261
Chapter 11. Forwarding Database . . . . . . . . . . . . . . . . . 263MAC Learning . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264Static MAC addresses . . . . . . . . . . . . . . . . . . . . . . . . . 265Aging Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266MAC-move Events . . . . . . . . . . . . . . . . . . . . . . . . . . 267MAC-move Loop Detection . . . . . . . . . . . . . . . . . . . . . . 268FIB Scalability . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Chapter 12. VLANs . . . . . . . . . . . . . . . . . . . . . . . 273VLAN Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 274VLAN Configuration . . . . . . . . . . . . . . . . . . . . . . . . . 275
Creating a VLAN . . . . . . . . . . . . . . . . . . . . . . . . . 276Deleting a VLAN . . . . . . . . . . . . . . . . . . . . . . . . . 277Configuring the State of a VLAN . . . . . . . . . . . . . . . . . . 277Configuring the Name of a VLAN . . . . . . . . . . . . . . . . . . 279Configuring a Switch Access Port . . . . . . . . . . . . . . . . . . 280
Configuring the Access VLAN . . . . . . . . . . . . . . . . . 280Configuring a Switch Trunk Port . . . . . . . . . . . . . . . . . . 281
Configuring the Allowed VLAN List . . . . . . . . . . . . . . . 281Configuring the Native VLAN . . . . . . . . . . . . . . . . . 283
Configuring Hybrid Switchport Mode . . . . . . . . . . . . . . . . 284Hybrid Switchport Mode Rules . . . . . . . . . . . . . . . . . 284Configuring a Hybrid Switchport . . . . . . . . . . . . . . . . 285
Reserved VLANs . . . . . . . . . . . . . . . . . . . . . . . . . . . 287Native VLAN Tagging Overview . . . . . . . . . . . . . . . . . . . . 288
Configuring Native VLAN Tagging . . . . . . . . . . . . . . . . . 289Port VLAN ID Ingress Tagging . . . . . . . . . . . . . . . . . . . . . 291IP Subnet VLAN Assignment. . . . . . . . . . . . . . . . . . . . . . 292IPMC Flooding . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294Private VLANs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
Private VLAN Ports . . . . . . . . . . . . . . . . . . . . . . . . 296Private VLAN Configuration Guidelines and Restrictions . . . . . . . 297Private VLAN Configuration Example . . . . . . . . . . . . . . . . 299
VLAN Topologies and Design Considerations . . . . . . . . . . . . . . 301Multiple VLANs with Trunk Mode Adapters . . . . . . . . . . . . . 301VLAN Configuration Example . . . . . . . . . . . . . . . . . . . 303
10 Application Guide for CNOS 10.10
Chapter 13. Ports and Link Aggregation . . . . . . . . . . . . . . 305Port Configuration Profiles . . . . . . . . . . . . . . . . . . . . . . 306
G8272 Port Configuration . . . . . . . . . . . . . . . . . . . . . 306G8296 Port Configuration . . . . . . . . . . . . . . . . . . . . . 307G8332 Port Configuration . . . . . . . . . . . . . . . . . . . . . 307NE1032 Port Configuration. . . . . . . . . . . . . . . . . . . . . 308NE1032T Port Configuration . . . . . . . . . . . . . . . . . . . . 308NE1072T Port Configuration . . . . . . . . . . . . . . . . . . . . 308NE10032 Port Configuration . . . . . . . . . . . . . . . . . . . . 309NE2572 Port Configuration. . . . . . . . . . . . . . . . . . . . . 309NE0152T Port Configuration . . . . . . . . . . . . . . . . . . . . 310
Aggregation Overview . . . . . . . . . . . . . . . . . . . . . . . . 311Creating a LAG. . . . . . . . . . . . . . . . . . . . . . . . . . 312
Static LAGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313Static LAG Configuration Rules. . . . . . . . . . . . . . . . . . . 313Configuring a Static LAG . . . . . . . . . . . . . . . . . . . . . 314
Static LAG Configuration Example . . . . . . . . . . . . . . . 315Link Aggregation Control Protocol . . . . . . . . . . . . . . . . . . . 317
Configuring LACP . . . . . . . . . . . . . . . . . . . . . . . . 317System Priority . . . . . . . . . . . . . . . . . . . . . . . . 318Port Priority . . . . . . . . . . . . . . . . . . . . . . . . . 318LACP Timeout . . . . . . . . . . . . . . . . . . . . . . . . 319LACP Individual . . . . . . . . . . . . . . . . . . . . . . . 319LACP Minimum Links . . . . . . . . . . . . . . . . . . . . . 320LACP Configuration Example . . . . . . . . . . . . . . . . . 321
LAG Hashing . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323LAG Hashing Configuration . . . . . . . . . . . . . . . . . . . . 325
Chapter 14. Spanning Tree Protocol . . . . . . . . . . . . . . . . 327STP Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328Bridge Protocol Data Units . . . . . . . . . . . . . . . . . . . . . . 329
Determining the Path for Forwarding BPDUs. . . . . . . . . . . . . 329BPDU Guard . . . . . . . . . . . . . . . . . . . . . . . . . 329BPDU Filter . . . . . . . . . . . . . . . . . . . . . . . . . 330Root Guard. . . . . . . . . . . . . . . . . . . . . . . . . . 330Loop Guard . . . . . . . . . . . . . . . . . . . . . . . . . 331Port Priority . . . . . . . . . . . . . . . . . . . . . . . . . 331Port Path Cost . . . . . . . . . . . . . . . . . . . . . . . . 332
Error Disable Recovery . . . . . . . . . . . . . . . . . . . . . . . . 333Port Type and Link Type . . . . . . . . . . . . . . . . . . . . . . . 334
Edge Port . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334Link Type . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
Rapid Per VLAN Spanning Tree Plus . . . . . . . . . . . . . . . . . . 335Rapid PVST+ Parameters . . . . . . . . . . . . . . . . . . . . . 336
Bridge Priority . . . . . . . . . . . . . . . . . . . . . . . . 336Port Priority . . . . . . . . . . . . . . . . . . . . . . . . . 336Port Path Cost . . . . . . . . . . . . . . . . . . . . . . . . 337Forward Delay . . . . . . . . . . . . . . . . . . . . . . . . 337Hello Timer . . . . . . . . . . . . . . . . . . . . . . . . . 337Maximum Age Interval . . . . . . . . . . . . . . . . . . . . 338
Rapid PVST+ Configuration . . . . . . . . . . . . . . . . . . . . . . 339
© Copyright Lenovo 2019 Contents 11
Multiple Spanning Tree Protocol . . . . . . . . . . . . . . . . . . . . 340Common Internal Spanning Tree . . . . . . . . . . . . . . . . . . 340Port States . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340MST Region . . . . . . . . . . . . . . . . . . . . . . . . . . . 341MSTP Parameters . . . . . . . . . . . . . . . . . . . . . . . . . 342
Hop Count . . . . . . . . . . . . . . . . . . . . . . . . . . 342Forward Delay . . . . . . . . . . . . . . . . . . . . . . . . 342Hello Timer. . . . . . . . . . . . . . . . . . . . . . . . . . 343Maximum Age Interval. . . . . . . . . . . . . . . . . . . . . 343Bridge Priority . . . . . . . . . . . . . . . . . . . . . . . . 343Port Priority . . . . . . . . . . . . . . . . . . . . . . . . . 344Port Path Cost. . . . . . . . . . . . . . . . . . . . . . . . . 344
MSTP Configuration . . . . . . . . . . . . . . . . . . . . . . . . . 345MSTP Configuration Example . . . . . . . . . . . . . . . . . . . 345
Chapter 15. Virtual Link Aggregation Groups . . . . . . . . . . . . 347vLAG Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 348vLAG Capacities . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
vLAG Benefits . . . . . . . . . . . . . . . . . . . . . . . . . . 350vLAG Synchronization Mechanism . . . . . . . . . . . . . . . . . 351vLAG System MAC . . . . . . . . . . . . . . . . . . . . . . . . 351vLAG and LACP Individual . . . . . . . . . . . . . . . . . . . . 352vLAG and LACP System Priority . . . . . . . . . . . . . . . . . . 352FDB Synchronization . . . . . . . . . . . . . . . . . . . . . . . 352vLAG and STP . . . . . . . . . . . . . . . . . . . . . . . . . . 353vLAG and VRRP . . . . . . . . . . . . . . . . . . . . . . . . . 354
vLAG VRRP Passive Mode (Half Active-Active) . . . . . . . . . . 354vLAG VRRP Active Mode (Full Active-Active) . . . . . . . . . . 355
vLAG LACP Misconfigurations or Cabling Errors . . . . . . . . . . . 355vLAG Configuration Consistency Check . . . . . . . . . . . . . . . 355vLAG and IGMP Snooping . . . . . . . . . . . . . . . . . . . . . 358
Multicast Router Synchronization . . . . . . . . . . . . . . . . 358IGMP Groups Synchronization . . . . . . . . . . . . . . . . . 358IGMP Querier Synchronization . . . . . . . . . . . . . . . . . 358
vLAG Peer Gateway. . . . . . . . . . . . . . . . . . . . . . . . 359vLAGs versus regular LAGs . . . . . . . . . . . . . . . . . . . . . . 360Configuring vLAGs . . . . . . . . . . . . . . . . . . . . . . . . . . 361
vLAG ISL . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362vLAG Role Election . . . . . . . . . . . . . . . . . . . . . . . . 362vLAG Instance . . . . . . . . . . . . . . . . . . . . . . . . . . 363FDB Refresh . . . . . . . . . . . . . . . . . . . . . . . . . . . 364vLAG Tier ID . . . . . . . . . . . . . . . . . . . . . . . . . . . 364vLAG Startup Delay . . . . . . . . . . . . . . . . . . . . . . . . 364vLAG Auto-recovery . . . . . . . . . . . . . . . . . . . . . . . 365
Health Check. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366Basic Health Check Configuration Example. . . . . . . . . . . . . . 367vLAG Orphan Ports . . . . . . . . . . . . . . . . . . . . . . . . 368SVI Shutdown . . . . . . . . . . . . . . . . . . . . . . . . . . 368
12 Application Guide for CNOS 10.10
Basic vLAG Configuration Example. . . . . . . . . . . . . . . . . . . 370Configuring the ISL . . . . . . . . . . . . . . . . . . . . . . . . 371Configuring the vLAG. . . . . . . . . . . . . . . . . . . . . . . 372
vLAG Configuration - VLANs Mapped to a MST Instance . . . . . . . . . 373Configuring the ISL . . . . . . . . . . . . . . . . . . . . . . . . 373Configuring the vLAG. . . . . . . . . . . . . . . . . . . . . . . 374
Configuring vLAGs in Multiple Layers . . . . . . . . . . . . . . . . . 375Task 1: Configure Layer 2/3 Border Region . . . . . . . . . . . . . . 375
Configure Border Router 1 . . . . . . . . . . . . . . . . . . . 375Configure Border Router 2 . . . . . . . . . . . . . . . . . . . 376
Task 2: Configure switches in the Layer 2 region . . . . . . . . . . . 376Configuring Switch A . . . . . . . . . . . . . . . . . . . . . 376Configuring Switch B . . . . . . . . . . . . . . . . . . . . . 377Configuring Switches C and D . . . . . . . . . . . . . . . . . 379Configuring Switch E . . . . . . . . . . . . . . . . . . . . . 380Configuring Switch F . . . . . . . . . . . . . . . . . . . . . 381
Chapter 16. Quality of Service . . . . . . . . . . . . . . . . . . 383QoS Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384Class Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
QoS Classification Types. . . . . . . . . . . . . . . . . . . . . . 385Using ACL Filters . . . . . . . . . . . . . . . . . . . . . . . 385Summary of QoS Actions. . . . . . . . . . . . . . . . . . . . 386Using Class of Service Filters . . . . . . . . . . . . . . . . . . 386Using 802.1p Priority to Provide QoS . . . . . . . . . . . . . . 386Using DiffServ Code Point (DSCP) Filters . . . . . . . . . . . . 387Using TCP/UDP Port Filters . . . . . . . . . . . . . . . . . . 389Using Precedence Filters . . . . . . . . . . . . . . . . . . . . 390Using Protocol Filters . . . . . . . . . . . . . . . . . . . . . 390
Queuing Classification Types. . . . . . . . . . . . . . . . . . . . 391Class Map Configuration Examples . . . . . . . . . . . . . . . . . 391
QoS Class Map Configuration Example . . . . . . . . . . . . . 391Queueing Class Map Configuration Example . . . . . . . . . . . 392
Policy Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393Ingress Policing. . . . . . . . . . . . . . . . . . . . . . . . . . 393
Defining Single-Rate and Dual-Rate Policers . . . . . . . . . . . 393Marking . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Queuing Policing . . . . . . . . . . . . . . . . . . . . . . . . . 395Bandwidth . . . . . . . . . . . . . . . . . . . . . . . . . . 395Shaping . . . . . . . . . . . . . . . . . . . . . . . . . . . 395Priority . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Policy Map Configuration Examples . . . . . . . . . . . . . . . . 396QoS Policy Map Configuration Example . . . . . . . . . . . . . 396Queuing Policy Map Configuration Example . . . . . . . . . . . 396
Control Plane Protection . . . . . . . . . . . . . . . . . . . . . . . 398Control Plane Configuration Examples . . . . . . . . . . . . . . . 399
WRED . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401Explicit Congestion Notification . . . . . . . . . . . . . . . . . . 401Configuring WRED . . . . . . . . . . . . . . . . . . . . . . . . 402WRED Configuration Example . . . . . . . . . . . . . . . . . . . 402WRED Limitations . . . . . . . . . . . . . . . . . . . . . . . . 403
© Copyright Lenovo 2019 Contents 13
Interface Service Policy . . . . . . . . . . . . . . . . . . . . . . . . 404Apply an Interface Service Policy . . . . . . . . . . . . . . . . . . 404Interface Service Policy Limitations . . . . . . . . . . . . . . . . . 404
Microburst Detection . . . . . . . . . . . . . . . . . . . . . . . . . 405
Chapter 17. Converged Enhanced Ethernet . . . . . . . . . . . . .407Converged Enhanced Ethernet . . . . . . . . . . . . . . . . . . . . . 409
Enabling and Disabling CEE . . . . . . . . . . . . . . . . . . . . 409Effects on Link Layer Discovery Protocol . . . . . . . . . . . . . . . 410Effects on 802.1p Quality of Service . . . . . . . . . . . . . . . . . 410Effects on Flow Control . . . . . . . . . . . . . . . . . . . . . . 411
Priority-Based Flow Control . . . . . . . . . . . . . . . . . . . . . . 413PFC Configuration . . . . . . . . . . . . . . . . . . . . . . . . 413PFC Configuration Example . . . . . . . . . . . . . . . . . . . . 415
Enhanced Transmission Selection . . . . . . . . . . . . . . . . . . . . 416802.1p Priority Values . . . . . . . . . . . . . . . . . . . . . . . 416Priority Groups . . . . . . . . . . . . . . . . . . . . . . . . . . 417
PGID . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417Assigning Priority Values to a Priority Group . . . . . . . . . . . 418Allocating Bandwidth . . . . . . . . . . . . . . . . . . . . . 418
Configuring ETS . . . . . . . . . . . . . . . . . . . . . . . . . 420Data Center Bridging Capability Exchange . . . . . . . . . . . . . . . . 422
DCBX Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . 422DCBX Settings . . . . . . . . . . . . . . . . . . . . . . . . . . 422
Enabling and Disabling DCBX . . . . . . . . . . . . . . . . . 423Peer Configuration Negotiation . . . . . . . . . . . . . . . . . 423
Configuring DCBX . . . . . . . . . . . . . . . . . . . . . . . . 424RoCE and iSCSI . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
RoCE Requirements . . . . . . . . . . . . . . . . . . . . . . . . 425CEE Configuration Examples. . . . . . . . . . . . . . . . . . . . . . 426
CEE Example 1 . . . . . . . . . . . . . . . . . . . . . . . . . . 426CEE Example 2 . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Fibre Channel over Ethernet . . . . . . . . . . . . . . . . . . . . . . 429FCoE Topology . . . . . . . . . . . . . . . . . . . . . . . . . . 429FCoE Initialization Protocol Snooping . . . . . . . . . . . . . . . . 431
FIPS Settings . . . . . . . . . . . . . . . . . . . . . . . . . 431FIP Snooping Settings for Switch Ports . . . . . . . . . . . . . . 432Port FCF and ENode Detection . . . . . . . . . . . . . . . . . 432Per VLAN FIP Snooping . . . . . . . . . . . . . . . . . . . . 434
FCoE ACL Rules . . . . . . . . . . . . . . . . . . . . . . . . . 435FCoE over LAG connected to a FCF . . . . . . . . . . . . . . . . . 436
ACLs on LAG . . . . . . . . . . . . . . . . . . . . . . . . . 436FCoE over LAG connected to a Server . . . . . . . . . . . . . . . . 437FCoE LAG Hash . . . . . . . . . . . . . . . . . . . . . . . . . 438FIP Snooping Configuration Examples . . . . . . . . . . . . . . . . 439
FIP Snooping Global Configuration Example . . . . . . . . . . . 439FIP Snooping Per VLAN Configuration Example . . . . . . . . . 440
14 Application Guide for CNOS 10.10
Part 4: Advanced Switching Features . . . . . . . . . . . . . . . 441
Chapter 18. Unified Fabric Port . . . . . . . . . . . . . . . . . . 443Virtual Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
vPort-S-Tag Mapping . . . . . . . . . . . . . . . . . . . . . . . 445vPort-VLAN Mapping. . . . . . . . . . . . . . . . . . . . . . . 445UFP vPort Modes . . . . . . . . . . . . . . . . . . . . . . . . . 446
Tunnel Mode . . . . . . . . . . . . . . . . . . . . . . . . . 446802.1Q Trunk Mode . . . . . . . . . . . . . . . . . . . . . . 447Access Mode . . . . . . . . . . . . . . . . . . . . . . . . . 448FCoE Mode. . . . . . . . . . . . . . . . . . . . . . . . . . 448
Default VLAN tagging . . . . . . . . . . . . . . . . . . . . . . 448UFP Bandwidth Provisioning . . . . . . . . . . . . . . . . . . . . . 449
Strict Bandwidth Provisioning Mode . . . . . . . . . . . . . . . . 449ETS Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450
UFP Configuration Examples . . . . . . . . . . . . . . . . . . . . . 451Example 1: Tunnel Mode . . . . . . . . . . . . . . . . . . . . . 451Example 2: Trunk Mode . . . . . . . . . . . . . . . . . . . . . . 452Example 3: Access Mode . . . . . . . . . . . . . . . . . . . . . . 453Example 4: FCoE Mode . . . . . . . . . . . . . . . . . . . . . . 454Example 5: SBP Mode . . . . . . . . . . . . . . . . . . . . . . . 455Example 6: ETS Mode . . . . . . . . . . . . . . . . . . . . . . . 456Example 7: UFP and Layer 2 Failover . . . . . . . . . . . . . . . . 457
UFP Limitations and Restrictions . . . . . . . . . . . . . . . . . . . . 458
Part 5: IP Routing. . . . . . . . . . . . . . . . . . . . . . . . 459
Chapter 19. Basic IP Routing . . . . . . . . . . . . . . . . . . . 461IP Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
Direct and Indirect Routing . . . . . . . . . . . . . . . . . . . . 463Static Routing . . . . . . . . . . . . . . . . . . . . . . . . . . 463IPv4 Next-hop Health Check . . . . . . . . . . . . . . . . . . . . 464Dynamic Routing . . . . . . . . . . . . . . . . . . . . . . . . . 464Default Gateway . . . . . . . . . . . . . . . . . . . . . . . . . 465
Virtual Routing and Forwarding . . . . . . . . . . . . . . . . . . . . 466Routing Information Base . . . . . . . . . . . . . . . . . . . . . . . 470Bidirectional Forwarding Detection . . . . . . . . . . . . . . . . . . . 471
BFD Asynchronous Mode . . . . . . . . . . . . . . . . . . . . . 472BFD Echo Mode . . . . . . . . . . . . . . . . . . . . . . . . . 472BFD Peer Support. . . . . . . . . . . . . . . . . . . . . . . . . 473BFD Static Routes . . . . . . . . . . . . . . . . . . . . . . . . . 473BFD Authentication . . . . . . . . . . . . . . . . . . . . . . . . 474Generalized TTL Security Mechanism . . . . . . . . . . . . . . . . 475BFD and BGP . . . . . . . . . . . . . . . . . . . . . . . . . . 475BFD and OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Routing Between IP Subnets . . . . . . . . . . . . . . . . . . . . . . 476Example of Subnet Routing . . . . . . . . . . . . . . . . . . . . 477Using VLANs to Segregate Broadcast Domains . . . . . . . . . . . . 478
Configuration Example . . . . . . . . . . . . . . . . . . . . 478
© Copyright Lenovo 2019 Contents 15
Network Address Translation . . . . . . . . . . . . . . . . . . . . . 481Static NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
Network Address Port Translation. . . . . . . . . . . . . . . . 483ECMP Routes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484
RIB Support for ECMP Routes . . . . . . . . . . . . . . . . . . . 484ECMP Hashing . . . . . . . . . . . . . . . . . . . . . . . . . . 484Configuring ECMP Static Routes . . . . . . . . . . . . . . . . . . 486Weighted ECMP Routes . . . . . . . . . . . . . . . . . . . . . . 486
Requirements for Weighted ECMP. . . . . . . . . . . . . . . . 486Configure Weighted ECMP . . . . . . . . . . . . . . . . . . . 487
Dynamic Host Configuration Protocol . . . . . . . . . . . . . . . . . . 488Internet Control Message Protocol . . . . . . . . . . . . . . . . . . . 489
ICMP Redirects . . . . . . . . . . . . . . . . . . . . . . . . . . 490ICMP Port Unreachable . . . . . . . . . . . . . . . . . . . . . . 490ICMP Unreachable (except Port) . . . . . . . . . . . . . . . . . . 490
Chapter 20. Routed Ports. . . . . . . . . . . . . . . . . . . . . 491Routed Ports Overview . . . . . . . . . . . . . . . . . . . . . . . . 492802.1Q Encapsulation . . . . . . . . . . . . . . . . . . . . . . . . . 494Configuring a Routed Port . . . . . . . . . . . . . . . . . . . . . . . 495
Configuring OSPF on Routed Ports . . . . . . . . . . . . . . . . . 496OSPF Configuration Example . . . . . . . . . . . . . . . . . . 496
Chapter 21. Address Resolution Protocol . . . . . . . . . . . . . . 497ARP Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498ARP Aging Timer. . . . . . . . . . . . . . . . . . . . . . . . . . . 499ARP Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500Static ARP Entries . . . . . . . . . . . . . . . . . . . . . . . . . . 501
Static ARP Configuration Example . . . . . . . . . . . . . . . . . 501ARP Entry States . . . . . . . . . . . . . . . . . . . . . . . . . . . 502ARP Table Refresh . . . . . . . . . . . . . . . . . . . . . . . . . . 503Proxy ARP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
Proxy ARP Limitations . . . . . . . . . . . . . . . . . . . . . . 504Configure Proxy ARP . . . . . . . . . . . . . . . . . . . . . . . 504
Chapter 22. Internet Protocol Version 6 . . . . . . . . . . . . . . . 505IPv6 Address Format . . . . . . . . . . . . . . . . . . . . . . . . . 506IPv6 Address Types . . . . . . . . . . . . . . . . . . . . . . . . . . 507
Unicast Address . . . . . . . . . . . . . . . . . . . . . . . . . 507Multicast. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507Anycast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
IPv6 Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509Neighbor Discovery. . . . . . . . . . . . . . . . . . . . . . . . . . 510
Neighbor Discovery Overview . . . . . . . . . . . . . . . . . . . 510Router Nodes. . . . . . . . . . . . . . . . . . . . . . . . . . . 511Neighbor Table Threshold . . . . . . . . . . . . . . . . . . . . . 511
Supported Applications . . . . . . . . . . . . . . . . . . . . . . . . 512
16 Application Guide for CNOS 10.10
IPv6 Configuration Examples . . . . . . . . . . . . . . . . . . . . . 513IPv6 Example 1 . . . . . . . . . . . . . . . . . . . . . . . . . . 513IPv6 Example 2 . . . . . . . . . . . . . . . . . . . . . . . . . . 513
IPv6 Configuration Considerations and Limitations . . . . . . . . . . . . 514
Chapter 23. Internet Group Management Protocol . . . . . . . . . . 515IGMP Terms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516How IGMP Works . . . . . . . . . . . . . . . . . . . . . . . . . . 517IGMP Capacity and Default Values . . . . . . . . . . . . . . . . . . . 519IGMP Snooping . . . . . . . . . . . . . . . . . . . . . . . . . . . 520
IGMPv3 Snooping . . . . . . . . . . . . . . . . . . . . . . . . 521Spanning Tree Topology Change . . . . . . . . . . . . . . . . . . 521IGMP Querier . . . . . . . . . . . . . . . . . . . . . . . . . . 522
Querier Election. . . . . . . . . . . . . . . . . . . . . . . . 522Multicast Router Discovery . . . . . . . . . . . . . . . . . . . . 524IGMP Query Messages . . . . . . . . . . . . . . . . . . . . . . 525IGMP Groups . . . . . . . . . . . . . . . . . . . . . . . . . . 525IGMP Snooping Configuration Guidelines . . . . . . . . . . . . . . 527
IGMP Snooping Configuration Example . . . . . . . . . . . . . . . . . 528Advanced IGMP Snooping Configuration Example . . . . . . . . . . . . 530
Prerequisites . . . . . . . . . . . . . . . . . . . . . . . . . . . 531IGMP Configuration . . . . . . . . . . . . . . . . . . . . . . . 531
Switch A Configuration . . . . . . . . . . . . . . . . . . . . 531Switch B Configuration . . . . . . . . . . . . . . . . . . . . 532Switch C Configuration . . . . . . . . . . . . . . . . . . . . 533
Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . 534Additional IGMP Features . . . . . . . . . . . . . . . . . . . . . . . 537
Report Suppression . . . . . . . . . . . . . . . . . . . . . . . . 537Fast Leave . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538Static Multicast Router. . . . . . . . . . . . . . . . . . . . . . . 539Robustness Variable. . . . . . . . . . . . . . . . . . . . . . . . 539
Chapter 24. Secure Mode . . . . . . . . . . . . . . . . . . . . 541Secure Mode Overview . . . . . . . . . . . . . . . . . . . . . . . . 542Using Protocols With Secure Mode . . . . . . . . . . . . . . . . . . . 543
Insecure Protocols . . . . . . . . . . . . . . . . . . . . . . . . 543Secure Protocols . . . . . . . . . . . . . . . . . . . . . . . . . 543Insecure Protocols Unaffected by Secure Mode . . . . . . . . . . . . 545
Enabling and Disabling Secure Mode . . . . . . . . . . . . . . . . . . 546
Chapter 25. Border Gateway Protocol . . . . . . . . . . . . . . . 547BGP Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548Internal Routing Versus External Routing . . . . . . . . . . . . . . . . 549Route Reflector. . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
Route Reflection Configuration Example . . . . . . . . . . . . . . . 552Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . 553
Forming BGP Peer Routers . . . . . . . . . . . . . . . . . . . . . . 554BGP Peers and Dynamic Peers . . . . . . . . . . . . . . . . . . . 554
Static Peers . . . . . . . . . . . . . . . . . . . . . . . . . . 554Dynamic Peers . . . . . . . . . . . . . . . . . . . . . . . . 555
© Copyright Lenovo 2019 Contents 17
Loopback Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . 556What is a Route Map? . . . . . . . . . . . . . . . . . . . . . . . . . 557
Next Hop Peer IP Address . . . . . . . . . . . . . . . . . . . . . 558Incoming and Outgoing Route Maps . . . . . . . . . . . . . . . . 558Precedence . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558Configuration Overview . . . . . . . . . . . . . . . . . . . . . . 559
Aggregating Routes . . . . . . . . . . . . . . . . . . . . . . . . . . 560Redistributing Routes . . . . . . . . . . . . . . . . . . . . . . . . . 561BGP Communities . . . . . . . . . . . . . . . . . . . . . . . . . . 563
BGP Community . . . . . . . . . . . . . . . . . . . . . . . . . 564BGP Extended Community . . . . . . . . . . . . . . . . . . . . . 565BGP Confederation . . . . . . . . . . . . . . . . . . . . . . . . 566
BGP Path Attributes. . . . . . . . . . . . . . . . . . . . . . . . . . 567Well-Known Mandatory . . . . . . . . . . . . . . . . . . . . . . 567Well-Known Discretionary . . . . . . . . . . . . . . . . . . . . . 567Optional Transitive . . . . . . . . . . . . . . . . . . . . . . . . 567Optional Non-Transitive . . . . . . . . . . . . . . . . . . . . . . 568
Best Path Selection Logic. . . . . . . . . . . . . . . . . . . . . . . . 569BGP Best Path Selection . . . . . . . . . . . . . . . . . . . . . . 569BGP Weight . . . . . . . . . . . . . . . . . . . . . . . . . . . 570Local Preference . . . . . . . . . . . . . . . . . . . . . . . . . 570Metric (Multi-Exit Discriminator) Attribute . . . . . . . . . . . . . . 570Next Hop . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571BGP ECMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571Best Path Selection Tuning . . . . . . . . . . . . . . . . . . . . . 572
BGP Features and Functions . . . . . . . . . . . . . . . . . . . . . . 574AS-Path Filter . . . . . . . . . . . . . . . . . . . . . . . . . . 574BGP Capability Code . . . . . . . . . . . . . . . . . . . . . . . 574Administrative Distance . . . . . . . . . . . . . . . . . . . . . . 574TTL-Security Check . . . . . . . . . . . . . . . . . . . . . . . . 575Local-AS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575BGP Authentication . . . . . . . . . . . . . . . . . . . . . . . . 576Originate Default Route . . . . . . . . . . . . . . . . . . . . . . 576IP Prefix-List Filter . . . . . . . . . . . . . . . . . . . . . . . . 577Dynamic Capability . . . . . . . . . . . . . . . . . . . . . . . . 578BGP Graceful Restart . . . . . . . . . . . . . . . . . . . . . . . 578BGP Damping . . . . . . . . . . . . . . . . . . . . . . . . . . 579Soft Reconfiguration Inbound. . . . . . . . . . . . . . . . . . . . 580BGP Route Refresh . . . . . . . . . . . . . . . . . . . . . . . . 580BGP Multiple Address Families . . . . . . . . . . . . . . . . . . . 581BGP and BFD. . . . . . . . . . . . . . . . . . . . . . . . . . . 581BGP Next Hop Tracking . . . . . . . . . . . . . . . . . . . . . . 582BGP Tuning . . . . . . . . . . . . . . . . . . . . . . . . . . . 582
BGP Failover Configuration . . . . . . . . . . . . . . . . . . . . . . 583Default Redistribution and Route Aggregation Example . . . . . . . . . . 585
18 Application Guide for CNOS 10.10
Designing a Clos Network Using BGP. . . . . . . . . . . . . . . . . . 587Clos Network BGP Configuration Example. . . . . . . . . . . . . . 588
Configure Fabric Switch SF1 . . . . . . . . . . . . . . . . . . 589Configure Spine Switch SP11 . . . . . . . . . . . . . . . . . . 591Configure Leaf Switch LP11 . . . . . . . . . . . . . . . . . . 593
BGP Unnumbered . . . . . . . . . . . . . . . . . . . . . . . . . . 595Configure BGP Unnumbered . . . . . . . . . . . . . . . . . . . . 596BGP Unnumbered and BFD . . . . . . . . . . . . . . . . . . . . 597
Configure BGP Unnumbered BFD . . . . . . . . . . . . . . . . 597BGP Unnumbered Limitations . . . . . . . . . . . . . . . . . . . 598
Differentiated Services and BGP . . . . . . . . . . . . . . . . . . . . 599Commands for Using DS with BGP . . . . . . . . . . . . . . . . . 600DS with BGP Example . . . . . . . . . . . . . . . . . . . . . . . 600
BGP and VRF . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601Configuring a BGP VRF Instance . . . . . . . . . . . . . . . . . . 601
Chapter 26. Open Shortest Path First . . . . . . . . . . . . . . . 605OSPFv2 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . 606
Types of OSPF Areas . . . . . . . . . . . . . . . . . . . . . . . 606Types of OSPF Routing Devices. . . . . . . . . . . . . . . . . . . 607Neighbors and Adjacencies . . . . . . . . . . . . . . . . . . . . 608The Link-State Database . . . . . . . . . . . . . . . . . . . . . . 608The Shortest Path First Tree . . . . . . . . . . . . . . . . . . . . 609Internal Versus External Routing . . . . . . . . . . . . . . . . . . 609
OSPFv2 Implementation in Cloud NOS . . . . . . . . . . . . . . . . . 610Configurable Parameters. . . . . . . . . . . . . . . . . . . . . . 610Defining Areas . . . . . . . . . . . . . . . . . . . . . . . . . . 611
Using the Area ID to Assign the OSPF Area Number. . . . . . . . 611Attaching an Area to a Network. . . . . . . . . . . . . . . . . 612
Interface Cost . . . . . . . . . . . . . . . . . . . . . . . . . . 612Electing the Designated Router and Backup . . . . . . . . . . . . . 612Summarizing Routes . . . . . . . . . . . . . . . . . . . . . . . 613Default Routes . . . . . . . . . . . . . . . . . . . . . . . . . . 613Virtual Links . . . . . . . . . . . . . . . . . . . . . . . . . . . 615Router ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . 616
Configuring Plain Text OSPF Passwords . . . . . . . . . . . . . 617Configuring MD5 Authentication . . . . . . . . . . . . . . . . 618Configuring SHA-256 Authentication . . . . . . . . . . . . . . 618
Loopback Interfaces in OSPF . . . . . . . . . . . . . . . . . . . . 619Graceful Restart Helper . . . . . . . . . . . . . . . . . . . . . . 619OSPF and BFD . . . . . . . . . . . . . . . . . . . . . . . . . . 619OSPFv2 and VRF . . . . . . . . . . . . . . . . . . . . . . . . . 620
OSPFv2 Configuration Examples . . . . . . . . . . . . . . . . . . . . 621Example 1: Simple OSPF Domain . . . . . . . . . . . . . . . . . . 621Example 2: Virtual Links . . . . . . . . . . . . . . . . . . . . . . 623
Configuring OSPF for a Virtual Link on Switch 1 . . . . . . . . . 623Configuring OSPF for a Virtual Link on Switch 2 . . . . . . . . . 624Other Virtual Link Options . . . . . . . . . . . . . . . . . . . 625
© Copyright Lenovo 2019 Contents 19
Example 3: Summarizing Routes . . . . . . . . . . . . . . . . . . 625Example 4: Creating Multiple OSPF Instances . . . . . . . . . . . . . 627Verifying OSPF Configuration . . . . . . . . . . . . . . . . . . . 628
Chapter 27. Route Maps for Routing Protocols . . . . . . . . . . . . 629Route Maps Overview. . . . . . . . . . . . . . . . . . . . . . . . . 630Permit and Deny Rules . . . . . . . . . . . . . . . . . . . . . . . . 631Match and Set Clauses. . . . . . . . . . . . . . . . . . . . . . . . . 632Route Maps Configuration Example. . . . . . . . . . . . . . . . . . . 634
Chapter 28. Policy-Based Routing . . . . . . . . . . . . . . . . . 635Route Maps and Access Control Lists for PBR . . . . . . . . . . . . . . 636Configuring Route Maps . . . . . . . . . . . . . . . . . . . . . . . 637
Match Clauses . . . . . . . . . . . . . . . . . . . . . . . . . . 637Set Clauses . . . . . . . . . . . . . . . . . . . . . . . . . . . . 637Configuring Route Maps Guidelines . . . . . . . . . . . . . . . . . 637ACL Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . 638
Permit Route Map Sequence . . . . . . . . . . . . . . . . . . 638Deny Route Map Sequence . . . . . . . . . . . . . . . . . . . 638Packets not Matching ACL . . . . . . . . . . . . . . . . . . . 638
Configuring Health Check . . . . . . . . . . . . . . . . . . . . . . . 639Example PBR Configuration . . . . . . . . . . . . . . . . . . . . . . 640Configuring PBR with other Features . . . . . . . . . . . . . . . . . . 643PBR Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . 644
Part 6: High Availability Fundamentals . . . . . . . . . . . . . . . 645
Chapter 29. Basic Redundancy . . . . . . . . . . . . . . . . . . 647Aggregating for Link Redundancy . . . . . . . . . . . . . . . . . . . 648Virtual Link Aggregation . . . . . . . . . . . . . . . . . . .