Lenovo RackSwitch G8272 Application Guide for …...Lenovo RackSwitch G8272 Application Guide For Lenovo Enterprise Network Operating System 8.4 Note: Before using this information

Lenovo RackSwitch G8272

Application GuideFor Lenovo Enterprise Network Operating System 8.4

Note: Before using this information and the product it supports, read the general information in the Safety information and Environmental Notices and User Guide documents on the Lenovo Documentation CD and the Warranty Information document that comes with the product.

Third Edition (October 2017)

© Copyright Lenovo 2017Portions © Copyright IBM Corporation 2014.

LIMITED AND RESTRICTED RIGHTS NOTICE: If data or software is delivered pursuant a General Services Administration “GSA” contract, use, reproduction, or disclosure is subject to restrictions set forth in Contract No. GS‐35F‐05925.

Lenovo and the Lenovo logo are trademarks of Lenovo in the United States, other countries, or both.

© Copyright Lenovo 2017 3

ContentsPreface . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Who Should Use This Guide . . . . . . . . . . . . . . . . . . . . . . .24What You’ll Find in This Guide . . . . . . . . . . . . . . . . . . . . . .25Additional References . . . . . . . . . . . . . . . . . . . . . . . . . .29Typographic Conventions . . . . . . . . . . . . . . . . . . . . . . . .30

Part 1: Getting Started . . . . . . . . . . . . . . . . . . . . . . 31

Chapter 1. Switch Administration . . . . . . . . . . . . . . . . . 33Administration Interfaces . . . . . . . . . . . . . . . . . . . . . . . .34

Command Line Interface . . . . . . . . . . . . . . . . . . . . . . .34Establishing a Connection . . . . . . . . . . . . . . . . . . . . . . . .35

Using the Switch Management Ports. . . . . . . . . . . . . . . . . .35Using the Switch Data Ports . . . . . . . . . . . . . . . . . . . . .36Using Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . .37Using Secure Shell. . . . . . . . . . . . . . . . . . . . . . . . . .37

Using SSH with Password Authentication . . . . . . . . . . . . .38Using SSH with Public Key Authentication . . . . . . . . . . . . .39

Using a Web Browser . . . . . . . . . . . . . . . . . . . . . . . .40Configuring HTTP Access to the BBI . . . . . . . . . . . . . . . .40Configuring HTTPS Access to the BBI . . . . . . . . . . . . . . .40Browser‐Based Interface Summary. . . . . . . . . . . . . . . . .41

Using Simple Network Management Protocol. . . . . . . . . . . . . .42BOOTP/DHCP Client IP Address Services . . . . . . . . . . . . . . . . .43

DHCP Host Name Configuration . . . . . . . . . . . . . . . . . . .43DHCP SYSLOG Server. . . . . . . . . . . . . . . . . . . . . . . .44Global BOOTP Relay Agent Configuration . . . . . . . . . . . . . . .44Domain‐Specific BOOTP Relay Agent Configuration. . . . . . . . . . .45DHCP Option 82 . . . . . . . . . . . . . . . . . . . . . . . . . .45DHCP Snooping . . . . . . . . . . . . . . . . . . . . . . . . . .45

Easy Connect Wizard . . . . . . . . . . . . . . . . . . . . . . . . . .47Configuring the Easy Connect Wizard . . . . . . . . . . . . . . . . .47

Basic System Mode Configuration Example . . . . . . . . . . . . .48Transparent Mode Configuration Example . . . . . . . . . . . . .48Redundant Mode Configuration Example . . . . . . . . . . . . .49

Switch Login Levels . . . . . . . . . . . . . . . . . . . . . . . . . . .51Setup vs. the Command Line . . . . . . . . . . . . . . . . . . . . . . .53Idle Disconnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54Boot Strict Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . .55

Acceptable Cipher Suites . . . . . . . . . . . . . . . . . . . . . . .58Configuring Strict Mode . . . . . . . . . . . . . . . . . . . . . . .59Configuring No‐Prompt Mode . . . . . . . . . . . . . . . . . . . .59SSL/TLS Version Limitation . . . . . . . . . . . . . . . . . . . . .59Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60

Chapter 2. Initial Setup. . . . . . . . . . . . . . . . . . . . . . 61Information Needed for Setup . . . . . . . . . . . . . . . . . . . . . .62

4 G8272 Application Guide for ENOS 8.4

Default Setup Options . . . . . . . . . . . . . . . . . . . . . . . . . 63Stopping and Restarting Setup Manually . . . . . . . . . . . . . . . . . 64

Stopping Setup . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Restarting Setup . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Setup Part 1: Basic System Configuration . . . . . . . . . . . . . . . . . 65Setup Part 2: Port Configuration . . . . . . . . . . . . . . . . . . . . . 67Setup Part 3: VLANs . . . . . . . . . . . . . . . . . . . . . . . . . . 69Setup Part 4: IP Configuration . . . . . . . . . . . . . . . . . . . . . . 70

IP Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Loopback Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . 71

Using Loopback Interfaces for Source IP Addresses . . . . . . . . . 71Loopback Interface Limitations . . . . . . . . . . . . . . . . . . 72

Default Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . 72IP Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

Setup Part 5: Final Steps . . . . . . . . . . . . . . . . . . . . . . . . . 74Optional Setup for Telnet Support . . . . . . . . . . . . . . . . . . . . 75

Chapter 3. System License Keys . . . . . . . . . . . . . . . . . 77Obtaining License Keys . . . . . . . . . . . . . . . . . . . . . . . . . 78Installing License Keys . . . . . . . . . . . . . . . . . . . . . . . . . 79

Uninstalling License Keys . . . . . . . . . . . . . . . . . . . . . . 80Transferring License Keys . . . . . . . . . . . . . . . . . . . . . . 80

ONIE License Key . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Chapter 4. Switch Software Management . . . . . . . . . . . . . . 83Loading New Software to Your Switch . . . . . . . . . . . . . . . . . . 84

Loading Software via the ISCLI . . . . . . . . . . . . . . . . . . . . 84Loading Software via BBI . . . . . . . . . . . . . . . . . . . . . . 85USB Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

USB Boot. . . . . . . . . . . . . . . . . . . . . . . . . . . . 86USB Copy . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

The Boot Management Menu . . . . . . . . . . . . . . . . . . . . . . 88Recovering from a Failed Software Upgrade . . . . . . . . . . . . . . 89Recovering from a Failed Boot Image . . . . . . . . . . . . . . . . . 91ONIE Submenu. . . . . . . . . . . . . . . . . . . . . . . . . . . 93

ONIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Installing ONIE from a Remote Server . . . . . . . . . . . . . . . . . 94Installing ONIE from a USB Device . . . . . . . . . . . . . . . . . . 95Booting in ONIE Mode . . . . . . . . . . . . . . . . . . . . . . . 96

Booting in ONIE Install Mode. . . . . . . . . . . . . . . . . . . 96Booting in ONIE Uninstall Mode . . . . . . . . . . . . . . . . . 97Booting in ONIE Update Mode . . . . . . . . . . . . . . . . . . 97Booting in ONIE Rescue Mode . . . . . . . . . . . . . . . . . . 97

© Copyright Lenovo 2017 Contents 5

Part 2: Securing the Switch . . . . . . . . . . . . . . . . . . . . 99

Chapter 5. Securing Administration . . . . . . . . . . . . . . . .101Secure Shell and Secure Copy . . . . . . . . . . . . . . . . . . . . . 102

Configuring SSH/SCP Features on the Switch . . . . . . . . . . . . . 102To Enable or Disable the SSH Feature . . . . . . . . . . . . . . 102To Enable or Disable SCP Apply and Save . . . . . . . . . . . . 103

Configuring the SCP Administrator Password . . . . . . . . . . . . 103Using SSH and SCP Client Commands . . . . . . . . . . . . . . . . 103

To Log Into the Switch . . . . . . . . . . . . . . . . . . . . . 103To Copy the Switch Configuration File to the SCP Host . . . . . . . 103To Load a Switch Configuration File from the SCP Host . . . . . . 104To Apply and Save the Configuration . . . . . . . . . . . . . . 104To Copy the Switch Image and Boot Files to the SCP Host . . . . . 104To Load Switch Configuration Files from the SCP Host . . . . . . . 105

SSH and SCP Encryption of Management Messages . . . . . . . . . . 105Generating an RSA Host Key for SSH Access . . . . . . . . . . . . . 105SSH/SCP Integration with Radius Authentication . . . . . . . . . . . 106SSH/SCP Integration with TACACS+ Authentication . . . . . . . . . 106

End User Access Control. . . . . . . . . . . . . . . . . . . . . . . . 107Considerations for Configuring End User Accounts . . . . . . . . . . 107Strong Passwords . . . . . . . . . . . . . . . . . . . . . . . . . 107User Access Control . . . . . . . . . . . . . . . . . . . . . . . . 108

Setting up User IDs . . . . . . . . . . . . . . . . . . . . . . 108Defining a User’s Access Level . . . . . . . . . . . . . . . . . 108Validating a User’s Configuration . . . . . . . . . . . . . . . . 108Enabling or Disabling a User . . . . . . . . . . . . . . . . . . 108Locking Accounts . . . . . . . . . . . . . . . . . . . . . . . 108Re‐Enabling Locked Accounts. . . . . . . . . . . . . . . . . . 109

Listing Current Users . . . . . . . . . . . . . . . . . . . . . . . 109Logging into an End User Account . . . . . . . . . . . . . . . . . 109Password Fix‐Up Mode . . . . . . . . . . . . . . . . . . . . . . 109Maintenance Mode . . . . . . . . . . . . . . . . . . . . . . . . 110

Chapter 6. Authentication & Authorization Protocols . . . . . . . . . 111RADIUS Authentication and Authorization . . . . . . . . . . . . . . . 112

How RADIUS Authentication Works . . . . . . . . . . . . . . . . 112Configuring RADIUS on the Switch . . . . . . . . . . . . . . . . . 112RADIUS Authentication Features in Enterprise NOS. . . . . . . . . . 114Switch User Accounts . . . . . . . . . . . . . . . . . . . . . . . 114RADIUS Attributes for Enterprise NOS User Privileges . . . . . . . . 115

TACACS+ Authentication . . . . . . . . . . . . . . . . . . . . . . . 116How TACACS+ Authentication Works. . . . . . . . . . . . . . . . 116TACACS+ Authentication Features in Enterprise NOS . . . . . . . . . 117

Authorization . . . . . . . . . . . . . . . . . . . . . . . . . 117Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . 118

Command Authorization and Logging. . . . . . . . . . . . . . . . 118TACACS+ Password Change . . . . . . . . . . . . . . . . . . . . 119Configuring TACACS+ Authentication on the Switch . . . . . . . . . 119


LDAP Authentication and Authorization . . . . . . . . . . . . . . . . 120Configuring the LDAP Server . . . . . . . . . . . . . . . . . . . 120Configuring LDAP Authentication on the Switch . . . . . . . . . . . 120

Chapter 7. 802.1X Port-Based Network Access Control . . . . . . . . 123Extensible Authentication Protocol over LAN . . . . . . . . . . . . . . 124EAPoL Authentication Process . . . . . . . . . . . . . . . . . . . . . 125EAPoL Message Exchange . . . . . . . . . . . . . . . . . . . . . . . 126EAPoL Port States . . . . . . . . . . . . . . . . . . . . . . . . . . 127Guest VLAN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Supported RADIUS Attributes . . . . . . . . . . . . . . . . . . . . . 128EAPoL Configuration Guidelines . . . . . . . . . . . . . . . . . . . . 130

Chapter 8. Access Control Lists. . . . . . . . . . . . . . . . . . 131Summary of Packet Classifiers . . . . . . . . . . . . . . . . . . . . . 132Summary of ACL Actions . . . . . . . . . . . . . . . . . . . . . . . 133Assigning Individual ACLs to a Port . . . . . . . . . . . . . . . . . . 134ACL Order of Precedence . . . . . . . . . . . . . . . . . . . . . . . 134ACL Metering and Re‐Marking . . . . . . . . . . . . . . . . . . . . 134

Metering. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Re‐Marking . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

ACL Port Mirroring. . . . . . . . . . . . . . . . . . . . . . . . . . 136Viewing ACL Statistics . . . . . . . . . . . . . . . . . . . . . . . . 136ACL Configuration Examples . . . . . . . . . . . . . . . . . . . . . 137

ACL Example 1. . . . . . . . . . . . . . . . . . . . . . . . . . 137ACL Example 2. . . . . . . . . . . . . . . . . . . . . . . . . . 137ACL Example 3. . . . . . . . . . . . . . . . . . . . . . . . . . 138ACL Example 4. . . . . . . . . . . . . . . . . . . . . . . . . . 138ACL Example 5. . . . . . . . . . . . . . . . . . . . . . . . . . 138

VLAN Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139Using Storm Control Filters . . . . . . . . . . . . . . . . . . . . . . 141

Chapter 9. Secure Input/Output Module . . . . . . . . . . . . . . 143SIOM Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 144Setting an SIOM Security Policy . . . . . . . . . . . . . . . . . . . . 145

Enabling and Disabling the SIOM . . . . . . . . . . . . . . . . . . 145Using Protocols With SIOM . . . . . . . . . . . . . . . . . . . . 145

Insecure Protocols . . . . . . . . . . . . . . . . . . . . . . . 145Secure Protocols . . . . . . . . . . . . . . . . . . . . . . . 146Insecure Protocols Unaffected by SIOM . . . . . . . . . . . . . 147

Implementing Secure LDAP (LDAPS) . . . . . . . . . . . . . . . . . . 148Enabling LDAPS . . . . . . . . . . . . . . . . . . . . . . . . . 148Disabling LDAPS . . . . . . . . . . . . . . . . . . . . . . . . . 149Syslogs and LDAPS . . . . . . . . . . . . . . . . . . . . . . . . 150

Using Cryptographic Mode . . . . . . . . . . . . . . . . . . . . . . 151

Part 3: Switch Basics . . . . . . . . . . . . . . . . . . . . . . 153

Chapter 10. VLANs . . . . . . . . . . . . . . . . . . . . . . . 155VLANs Overview . . . . . . . . . . . . . . . . . . . . . . . . . . 156


VLANs and Port VLAN ID Numbers . . . . . . . . . . . . . . . . . . 156VLAN Numbers . . . . . . . . . . . . . . . . . . . . . . . . . 156PVID/Native VLAN Numbers . . . . . . . . . . . . . . . . . . . 157

VLAN Tagging/Trunk Mode . . . . . . . . . . . . . . . . . . . . . . 158VLAN Topologies and Design Considerations . . . . . . . . . . . . . . 162

Multiple VLANs with Tagging/Trunk Mode Adapters . . . . . . . . . 162VLAN Configuration Example . . . . . . . . . . . . . . . . . . . 165

Protocol‐Based VLANs . . . . . . . . . . . . . . . . . . . . . . . . 166Port‐Based vs. Protocol‐Based VLANs . . . . . . . . . . . . . . . . 166PVLAN Priority Levels . . . . . . . . . . . . . . . . . . . . . . 167PVLAN Tagging/Trunk Mode . . . . . . . . . . . . . . . . . . . 167PVLAN Configuration Guidelines . . . . . . . . . . . . . . . . . . 167Configuring PVLAN . . . . . . . . . . . . . . . . . . . . . . . 168

Private VLANs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169Private VLAN Ports . . . . . . . . . . . . . . . . . . . . . . . . 169Configuration Guidelines . . . . . . . . . . . . . . . . . . . . . 170Configuration Example . . . . . . . . . . . . . . . . . . . . . . 170

Chapter 11. Ports and Link Aggregation . . . . . . . . . . . . . . 173Configuring QSFP+ Ports . . . . . . . . . . . . . . . . . . . . . . . 174Aggregation Overview . . . . . . . . . . . . . . . . . . . . . . . . 176Static LAGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

Static LAG Requirements . . . . . . . . . . . . . . . . . . . . . 177Static Aggregation Configuration Rules . . . . . . . . . . . . . . . 177Configuring a Static LAG . . . . . . . . . . . . . . . . . . . . . 178

Link Aggregation Control Protocol . . . . . . . . . . . . . . . . . . . 180Static LACP LAGs. . . . . . . . . . . . . . . . . . . . . . . . . 181LACP Port Modes . . . . . . . . . . . . . . . . . . . . . . . . . 181LACP Individual . . . . . . . . . . . . . . . . . . . . . . . . . 182LACP Minimum Links Option . . . . . . . . . . . . . . . . . . . 182Configuring LACP . . . . . . . . . . . . . . . . . . . . . . . . 183

Configurable LAG Hash Algorithm . . . . . . . . . . . . . . . . . . . 184

Chapter 12. Virtual Link Aggregation Groups . . . . . . . . . . . . 187VLAG Capacities . . . . . . . . . . . . . . . . . . . . . . . . . . . 190VLAGs versus Port LAGs . . . . . . . . . . . . . . . . . . . . . . . 191


Configuring VLAGs . . . . . . . . . . . . . . . . . . . . . . . . . 192Basic VLAG Configuration . . . . . . . . . . . . . . . . . . . . . 193

Configuring the ISL . . . . . . . . . . . . . . . . . . . . . . 193Configuring the VLAG. . . . . . . . . . . . . . . . . . . . . 194VLAG Configuration ‐ VLANs Mapped to MSTI . . . . . . . . . 195Configuring Health Check . . . . . . . . . . . . . . . . . . . 198

VLAGs with VRRP . . . . . . . . . . . . . . . . . . . . . . . . 198Task 1: Configure VLAG Peer 1 . . . . . . . . . . . . . . . . . 199Task 2: Configure VLAG Peer 2 . . . . . . . . . . . . . . . . . 201

Two‐tier vLAGs with VRRP . . . . . . . . . . . . . . . . . . . . 205vLAG Peer Gateway . . . . . . . . . . . . . . . . . . . . . . . 206FDB Refresh . . . . . . . . . . . . . . . . . . . . . . . . . . . 207Configuring VLAGs in Multiple Layers . . . . . . . . . . . . . . . 207

Task 1: Configure Layer 2/3 border switches. . . . . . . . . . . . 207Task 2: Configure switches in the Layer 2 region. . . . . . . . . . 208

VLAG with PIM . . . . . . . . . . . . . . . . . . . . . . . . . . . 210Traffic Forwarding . . . . . . . . . . . . . . . . . . . . . . . . 210Health Check. . . . . . . . . . . . . . . . . . . . . . . . . . . 211

Chapter 13. Spanning Tree Protocols . . . . . . . . . . . . . . . 213Spanning Tree Protocol Modes . . . . . . . . . . . . . . . . . . . . . 214Global STP Control . . . . . . . . . . . . . . . . . . . . . . . . . . 215PVRST Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

Port States . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216Bridge Protocol Data Units . . . . . . . . . . . . . . . . . . . . . 216

How BPDU Works . . . . . . . . . . . . . . . . . . . . . . 216Determining the Path for Forwarding BPDUs . . . . . . . . . . . 216

Simple STP Configuration . . . . . . . . . . . . . . . . . . . . . 218Per‐VLAN Spanning Tree Groups. . . . . . . . . . . . . . . . . . 220

Using Multiple STGs to Eliminate False Loops . . . . . . . . . . 220VLANs and STG Assignment . . . . . . . . . . . . . . . . . . 221Manually Assigning STGs . . . . . . . . . . . . . . . . . . . 222Guidelines for Creating VLANs . . . . . . . . . . . . . . . . . 222Rules for VLAN Tagged/Trunk Mode Ports. . . . . . . . . . . . 222Adding and Removing Ports from STGs . . . . . . . . . . . . . 223The Switch‐Centric Model . . . . . . . . . . . . . . . . . . . 224

Configuring Multiple STGs . . . . . . . . . . . . . . . . . . . . 225Rapid Spanning Tree Protocol . . . . . . . . . . . . . . . . . . . . . 227

Port States . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227RSTP Configuration Guidelines. . . . . . . . . . . . . . . . . . . 227RSTP Configuration Example. . . . . . . . . . . . . . . . . . . . 228

Multiple Spanning Tree Protocol . . . . . . . . . . . . . . . . . . . . 229MSTP Region. . . . . . . . . . . . . . . . . . . . . . . . . . . 229Common Internal Spanning Tree . . . . . . . . . . . . . . . . . . 229MSTP Configuration Guidelines . . . . . . . . . . . . . . . . . . 230MSTP Configuration Examples . . . . . . . . . . . . . . . . . . . 230

MSTP Example 1 . . . . . . . . . . . . . . . . . . . . . . . 230MSTP Example 2 . . . . . . . . . . . . . . . . . . . . . . . 231


Port Type and Link Type . . . . . . . . . . . . . . . . . . . . . . . 233Edge/Portfast Port. . . . . . . . . . . . . . . . . . . . . . . . . 233Link Type . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

Chapter 14. Quality of Service. . . . . . . . . . . . . . . . . . . 235QoS Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236Using ACL Filters. . . . . . . . . . . . . . . . . . . . . . . . . . . 237

Summary of ACL Actions . . . . . . . . . . . . . . . . . . . . . 237ACL Metering and Re‐Marking . . . . . . . . . . . . . . . . . . . 238

Metering . . . . . . . . . . . . . . . . . . . . . . . . . . . 238Re‐Marking . . . . . . . . . . . . . . . . . . . . . . . . . . 238

Using DSCP Values to Provide QoS . . . . . . . . . . . . . . . . . . . 239Differentiated Services Concepts . . . . . . . . . . . . . . . . . . 239Per Hop Behavior . . . . . . . . . . . . . . . . . . . . . . . . . 241QoS Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242DSCP Re‐Marking and Mapping . . . . . . . . . . . . . . . . . . 242DSCP Re‐Marking Configuration Examples . . . . . . . . . . . . . 243

DSCP Re‐Marking Configuration Example 1 . . . . . . . . . . . 243DSCP Re‐Marking Configuration Example 2 . . . . . . . . . . . 243

Using 802.1p Priority to Provide QoS . . . . . . . . . . . . . . . . . . 245Queuing and Scheduling . . . . . . . . . . . . . . . . . . . . . . . 246Control Plane Protection . . . . . . . . . . . . . . . . . . . . . . . . 246WRED with ECN . . . . . . . . . . . . . . . . . . . . . . . . . . . 247

How WRED/ECN work together . . . . . . . . . . . . . . . . . . 247Configuring WRED/ECN. . . . . . . . . . . . . . . . . . . . . . 248WRED/ECN Configuration Example. . . . . . . . . . . . . . . . . 249

Configure Global Profile for WRED . . . . . . . . . . . . . . . 249Configure Port‐level Profile for WRED . . . . . . . . . . . . . . 249Configure Global Profile for ECN . . . . . . . . . . . . . . . . 250Configure Port‐level Profile for ECN . . . . . . . . . . . . . . . 251Verify WRED/ECN . . . . . . . . . . . . . . . . . . . . . . 251

Chapter 15. Precision Time Protocol . . . . . . . . . . . . . . . . 253Ordinary Clock Mode . . . . . . . . . . . . . . . . . . . . . . . . . 255Transparent Clock Mode. . . . . . . . . . . . . . . . . . . . . . . . 255Tracing PTP Packets . . . . . . . . . . . . . . . . . . . . . . . . . 256Viewing PTP Information . . . . . . . . . . . . . . . . . . . . . . . 256

Part 4: Advanced Switching Features. . . . . . . . . . . . . . . . 257

Chapter 16. OpenFlow . . . . . . . . . . . . . . . . . . . . . . 259OpenFlow Overview . . . . . . . . . . . . . . . . . . . . . . . . . 260Switch Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261OpenFlow Versions . . . . . . . . . . . . . . . . . . . . . . . . . . 262OpenFlow Instance . . . . . . . . . . . . . . . . . . . . . . . . . . 263Flow Tables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264Static Flows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266

Port Membership . . . . . . . . . . . . . . . . . . . . . . . . . 268FDB Aging and ECMP with OpenFlow. . . . . . . . . . . . . . . . 269Static Flow Examples . . . . . . . . . . . . . . . . . . . . . . . 269


Table‐Miss. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272Fail Secure Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . 273Emergency Mode. . . . . . . . . . . . . . . . . . . . . . . . . . . 274OpenFlow Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . 276

OpenFlow Edge Ports . . . . . . . . . . . . . . . . . . . . . . . 276Link Aggregation . . . . . . . . . . . . . . . . . . . . . . . . . 277Data Path ID . . . . . . . . . . . . . . . . . . . . . . . . . . . 278

sFlow Compatibility . . . . . . . . . . . . . . . . . . . . . . . . . 279OpenFlow Groups . . . . . . . . . . . . . . . . . . . . . . . . . . 280Configuring OpenFlow . . . . . . . . . . . . . . . . . . . . . . . . 281

Configuration Example 1 ‐ OpenFlow Boot Profile . . . . . . . . . . . 281Configuration Example 2 ‐ Default Boot Profile . . . . . . . . . . . . 284

Feature Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . 286

Chapter 17. Deployment Profiles . . . . . . . . . . . . . . . . . 287Available Profiles. . . . . . . . . . . . . . . . . . . . . . . . . . . 288Selecting Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . 289Automatic Configuration Changes . . . . . . . . . . . . . . . . . . . 290

Chapter 18. Virtualization . . . . . . . . . . . . . . . . . . . . 291

Chapter 19. VMready . . . . . . . . . . . . . . . . . . . . . . 293VE Capacity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294Defining Server Ports . . . . . . . . . . . . . . . . . . . . . . . . . 294VM Group Types . . . . . . . . . . . . . . . . . . . . . . . . . . . 294Local VM Groups . . . . . . . . . . . . . . . . . . . . . . . . . . 295Distributed VM Groups . . . . . . . . . . . . . . . . . . . . . . . . 297

VM Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . 297Initializing a Distributed VM Group. . . . . . . . . . . . . . . . . 298Assigning Members . . . . . . . . . . . . . . . . . . . . . . . . 298Synchronizing the Configuration . . . . . . . . . . . . . . . . . . 299Removing Member VEs . . . . . . . . . . . . . . . . . . . . . . 299

VMcheck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300Virtual Distributed Switch . . . . . . . . . . . . . . . . . . . . . . . 302

Prerequisites . . . . . . . . . . . . . . . . . . . . . . . . . . . 302Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302Migrating to vDS . . . . . . . . . . . . . . . . . . . . . . . . . 303

Virtualization Management Servers . . . . . . . . . . . . . . . . . . . 304Assigning a vCenter. . . . . . . . . . . . . . . . . . . . . . . . 304vCenter Scans . . . . . . . . . . . . . . . . . . . . . . . . . . 305Deleting the vCenter . . . . . . . . . . . . . . . . . . . . . . . 305Exporting Profiles. . . . . . . . . . . . . . . . . . . . . . . . . 306VMware Operational Commands . . . . . . . . . . . . . . . . . . 306

Pre‐Provisioning VEs . . . . . . . . . . . . . . . . . . . . . . . . . 307VLAN Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308VM Policy Bandwidth Control . . . . . . . . . . . . . . . . . . . . . 309

VM Policy Bandwidth Control Commands . . . . . . . . . . . . . . 309Bandwidth Policies vs. Bandwidth Shaping . . . . . . . . . . . . . 310


VMready Information Displays . . . . . . . . . . . . . . . . . . . . . 311Local VE Information . . . . . . . . . . . . . . . . . . . . . . . 311vCenter Hypervisor Hosts . . . . . . . . . . . . . . . . . . . . . 312vCenter VEs . . . . . . . . . . . . . . . . . . . . . . . . . . . 313vCenter VE Details . . . . . . . . . . . . . . . . . . . . . . . . 314vCenter Switchport Mapping Details . . . . . . . . . . . . . . . . 314

VMready Configuration Example . . . . . . . . . . . . . . . . . . . . 315

Chapter 20. Network Virtualization Gateway . . . . . . . . . . . . . 317NSX Manager . . . . . . . . . . . . . . . . . . . . . . . . . 318NSX Controller . . . . . . . . . . . . . . . . . . . . . . . . 318NSX Edge . . . . . . . . . . . . . . . . . . . . . . . . . . 318NSX vSwitch . . . . . . . . . . . . . . . . . . . . . . . . . 318

NSX Tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . 319VXLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320Lenovo VXLAN Gateway . . . . . . . . . . . . . . . . . . . . . . . 322VXLAN ACL Filtering. . . . . . . . . . . . . . . . . . . . . . . . . 325

VXLAN Gateway Topologies . . . . . . . . . . . . . . . . . . . . 326VXLAN Tunnels over Layer 3 Routed Network . . . . . . . . . . 326Directly Attached VXLAN Tunnel with a Layer 2 Network . . . . . 326Physical Servers on Layer 2 Switches . . . . . . . . . . . . . . . 327VXLAN Tunnels through a Layer 2 Network (Not Supported). . . . 327

VXLAN Gateway Configuration Example . . . . . . . . . . . . . . 328

Chapter 21. FCoE and CEE . . . . . . . . . . . . . . . . . . . . 331Fibre Channel over Ethernet . . . . . . . . . . . . . . . . . . . . . . 332

The FCoE Topology . . . . . . . . . . . . . . . . . . . . . . . . 332FCoE Requirements . . . . . . . . . . . . . . . . . . . . . . . . 333FCoE Forwarder . . . . . . . . . . . . . . . . . . . . . . . . . 333

Configuring FCF . . . . . . . . . . . . . . . . . . . . . . . 333Fibre Channel Services . . . . . . . . . . . . . . . . . . . . . 334FCF VLAN Configuration . . . . . . . . . . . . . . . . . . . 334Full Fabric Zoning . . . . . . . . . . . . . . . . . . . . . . . 334Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335Zonesets . . . . . . . . . . . . . . . . . . . . . . . . . . . 335Defining Zoning. . . . . . . . . . . . . . . . . . . . . . . . 336Scalability . . . . . . . . . . . . . . . . . . . . . . . . . . 337Changing the Active Zoneset . . . . . . . . . . . . . . . . . . 337Port Requirements . . . . . . . . . . . . . . . . . . . . . . . 338Port Aggregation . . . . . . . . . . . . . . . . . . . . . . . 338

Converged Enhanced Ethernet . . . . . . . . . . . . . . . . . . . . . 339Turning CEE On or Off . . . . . . . . . . . . . . . . . . . . . . 339Effects on Link Layer Discovery Protocol . . . . . . . . . . . . . . . 339Effects on 802.1p Quality of Service . . . . . . . . . . . . . . . . . 340Effects on Flow Control . . . . . . . . . . . . . . . . . . . . . . 341


FCoE Initialization Protocol Snooping . . . . . . . . . . . . . . . . . . 342Global FIP Snooping Settings . . . . . . . . . . . . . . . . . . . . 342FIP Snooping for Specific Ports . . . . . . . . . . . . . . . . . . . 342Port FCF and ENode Detection . . . . . . . . . . . . . . . . . . . 343FCoE Connection Timeout . . . . . . . . . . . . . . . . . . . . . 343FCoE ACL Rules . . . . . . . . . . . . . . . . . . . . . . . . . 343FCoE VLANs. . . . . . . . . . . . . . . . . . . . . . . . . . . 344Viewing FIP Snooping Information . . . . . . . . . . . . . . . . . 344Operational Commands . . . . . . . . . . . . . . . . . . . . . . 345FIP Snooping Configuration . . . . . . . . . . . . . . . . . . . . 345

FCoE Forwarder . . . . . . . . . . . . . . . . . . . . . . . . . . . 347Configuring FCF . . . . . . . . . . . . . . . . . . . . . . . . . 347Fibre Channel Services . . . . . . . . . . . . . . . . . . . . . . 347FCF VLAN Configuration . . . . . . . . . . . . . . . . . . . . . 348Full Fabric Zoning . . . . . . . . . . . . . . . . . . . . . . . . 348Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349Zonesets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349Defining and Activating Zoning . . . . . . . . . . . . . . . . . . 350Changing the Active Zoneset . . . . . . . . . . . . . . . . . . . . 351FCF Scalability . . . . . . . . . . . . . . . . . . . . . . . . . . 352

Priority‐Based Flow Control . . . . . . . . . . . . . . . . . . . . . . 353Global Configuration . . . . . . . . . . . . . . . . . . . . . . . 354PFC Configuration Example . . . . . . . . . . . . . . . . . . . . 355

Enhanced Transmission Selection. . . . . . . . . . . . . . . . . . . . 356802.1p Priority Values . . . . . . . . . . . . . . . . . . . . . . . 356Priority Groups. . . . . . . . . . . . . . . . . . . . . . . . . . 357

PGID . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357Assigning Priority Values to a Priority Group . . . . . . . . . . . 358Deleting a Priority Group . . . . . . . . . . . . . . . . . . . 358Allocating Bandwidth . . . . . . . . . . . . . . . . . . . . . 358

Configuring ETS . . . . . . . . . . . . . . . . . . . . . . . . . 359Data Center Bridging Capability Exchange. . . . . . . . . . . . . . . . 363

DCBX Settings . . . . . . . . . . . . . . . . . . . . . . . . . . 363Enabling and Disabling DCBX . . . . . . . . . . . . . . . . . 364Peer Configuration Negotiation . . . . . . . . . . . . . . . . . 364

Configuring DCBX . . . . . . . . . . . . . . . . . . . . . . . . 365

Chapter 22. Edge Virtual Bridging . . . . . . . . . . . . . . . . . 367EVB Operations Overview. . . . . . . . . . . . . . . . . . . . . . . 368

VSIDB Synchronization . . . . . . . . . . . . . . . . . . . . . . 368VLAN Behavior . . . . . . . . . . . . . . . . . . . . . . . . . 369Deleting a VLAN . . . . . . . . . . . . . . . . . . . . . . . . . 369Manual Reflective Relay . . . . . . . . . . . . . . . . . . . . . . 369VSIDB ‐ IPv6 Support . . . . . . . . . . . . . . . . . . . . . . . 370

EVB Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . 371Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373Unsupported features . . . . . . . . . . . . . . . . . . . . . . . . . 373


Chapter 23. Static Multicast ARP . . . . . . . . . . . . . . . . . 375Configuring Static Multicast ARP . . . . . . . . . . . . . . . . . . . . 376

Configuration Example . . . . . . . . . . . . . . . . . . . . . . 376Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378

Chapter 24. Dynamic ARP Inspection. . . . . . . . . . . . . . . . 379Understanding ARP Spoofing Attacks . . . . . . . . . . . . . . . . 379Understanding DAI . . . . . . . . . . . . . . . . . . . . . . . . 379Interface Trust States and Network Security . . . . . . . . . . . . . 380

DAI Configuration Guidelines and Restrictions . . . . . . . . . . . . . . 382DAI Configuration Example . . . . . . . . . . . . . . . . . . . . 382

Chapter 25. Unified Fabric Port . . . . . . . . . . . . . . . . . . 385UFP Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . 386Virtual Ports Modes. . . . . . . . . . . . . . . . . . . . . . . . . . 387

vPort‐S‐Tag Mapping . . . . . . . . . . . . . . . . . . . . . 387vPort‐VLAN Mapping . . . . . . . . . . . . . . . . . . . . . 387UFP vPort Mode . . . . . . . . . . . . . . . . . . . . . . . 387Tunnel Mode . . . . . . . . . . . . . . . . . . . . . . . . . 387802.1Q Trunk Mode . . . . . . . . . . . . . . . . . . . . . . 388Access Mode . . . . . . . . . . . . . . . . . . . . . . . . . 388FCoE Mode . . . . . . . . . . . . . . . . . . . . . . . . . . 389Auto‐VLAN Mode. . . . . . . . . . . . . . . . . . . . . . . 389

UFP Bandwidth Provisioning . . . . . . . . . . . . . . . . . . . . . 390ETS Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390UFP Strict Bandwidth Provisioning Mode . . . . . . . . . . . . . . 392

Using UFP with Other RackSwitch G8272 Features . . . . . . . . . . . . 393Layer 2 Failover. . . . . . . . . . . . . . . . . . . . . . . . . . 393Increased VLAN Limits . . . . . . . . . . . . . . . . . . . . . . 393Private VLANs . . . . . . . . . . . . . . . . . . . . . . . . . . 393VMReady . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394802.1Qbg. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394

UFP Configuration Examples. . . . . . . . . . . . . . . . . . . . . . 395Example 1: Access Mode . . . . . . . . . . . . . . . . . . . . . . 395Example 2: Trunk Mode . . . . . . . . . . . . . . . . . . . . . . 396Example 3: Auto‐VLAN Mode . . . . . . . . . . . . . . . . . . . 398Example 4: Tunnel Mode. . . . . . . . . . . . . . . . . . . . . . 398Example 5: FCoE Mode . . . . . . . . . . . . . . . . . . . . . . 399Example 6: Layer 2 Failover Configuration . . . . . . . . . . . . . . 401

Part 5: IP Routing . . . . . . . . . . . . . . . . . . . . . . . . 403

Chapter 26. Basic IP Routing . . . . . . . . . . . . . . . . . . . 405IP Routing Benefits . . . . . . . . . . . . . . . . . . . . . . . . . . 406Routing Between IP Subnets . . . . . . . . . . . . . . . . . . . . . . 406Example of Subnet Routing . . . . . . . . . . . . . . . . . . . . . . 407

Using VLANs to Segregate Broadcast Domains . . . . . . . . . . . . 408Configuration Example . . . . . . . . . . . . . . . . . . . . . . 408

ARP ‐ Local Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . 411


Network Address Translation . . . . . . . . . . . . . . . . . . . . . 412Static NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413

Unidirectional NAT Translation. . . . . . . . . . . . . . . . . 414Network Address Port Translation . . . . . . . . . . . . . . . 414

Dynamic NAT . . . . . . . . . . . . . . . . . . . . . . . . . . 414NAT Proxy ARP . . . . . . . . . . . . . . . . . . . . . . . . . 415Global NAT Settings . . . . . . . . . . . . . . . . . . . . . . . 415Scaling and Limitations . . . . . . . . . . . . . . . . . . . . . . 416

ECMP Static Routes. . . . . . . . . . . . . . . . . . . . . . . . . . 417ECMP Route Hashing . . . . . . . . . . . . . . . . . . . . . . . 417Configuring ECMP Static Routes . . . . . . . . . . . . . . . . . . 418

Dynamic Host Configuration Protocol. . . . . . . . . . . . . . . . . . 419DHCP Relay Agent . . . . . . . . . . . . . . . . . . . . . . . . . . 420

Chapter 27. Policy-Based Routing . . . . . . . . . . . . . . . . . 421PBR Policies and ACLs . . . . . . . . . . . . . . . . . . . . . . . . 422Applying PBR ACLs . . . . . . . . . . . . . . . . . . . . . . . . . 42

Documents

Lenovo RackSwitch G8272 Application Guide for …...Lenovo RackSwitch G8272 Application Guide For Lenovo Enterprise Network Operating System 8.4 Note: Before using this information