El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento proporciona una configuración de ejemplo de NTP (Network Time Protocol) para un switch de la familia Catalyst 6000 con Supervisor Engines de redundancia y Tarjetas de función del switch multicapa (MSFC) dobles que tienen habilitada la sincronización.
No hay requisitos previos específicos para este documento.
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
La figura 1 muestra la topología de red para esta configuración de ejemplo.
Este ejemplo muestra un Catalyst 6509 con motores supervisores redundantes y MSFC. Ésta es la salida del comando show module del switch:
Cat6000> (enable) show module Mod Slot Ports Module-Type Model Sub Status --- ---- ----- ------------------------- ------------------- --- -------- 1 1 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes ok 15 1 1 Multilayer Switch Feature WS-F6K-MSFC no ok 2 2 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes standby 16 2 1 Multilayer Switch Feature WS-F6K-MSFC no ok 3 3 48 10/100BaseTX Ethernet WS-X6348-RJ-45 no ok Mod Module-Name Serial-Num --- ------------------- ----------- 1 SAD04240E48 15 SAD042406UW 2 SAD042400YL 16 SAD042407KG 3 SAL04440WY6 Mod MAC-Address(es) Hw Fw Sw --- -------------------------------------- ------ ---------- ----------------- 1 00-30-7b-96-7c-5a to 00-30-7b-96-7c-5b 3.1 5.3(1) 5.5(7) 00-30-7b-96-7c-58 to 00-30-7b-96-7c-59 00-02-7e-02-a0-00 to 00-02-7e-02-a3-ff 15 00-d0-d3-a3-b6-a7 to 00-d0-d3-a3-b6-e6 1.4 12.1(6)E 12.1(6)E 2 00-d0-c0-cf-72-12 to 00-d0-c0-cf-72-13 3.1 5.3(1) 5.5(7) 00-d0-c0-cf-72-10 to 00-d0-c0-cf-72-11 16 00-d0-c0-cf-72-14 to 00-d0-c0-cf-72-53 1.4 12.1(6)E 12.1(6)E 3 00-03-6c-29-ba-b0 to 00-03-6c-29-ba-df 1.4 5.4(2) 5.5(7) Mod Sub-Type Sub-Model Sub-Serial Sub-Hw --- ----------------------- ------------------- ----------- ------ 1 L3 Switching Engine WS-F6K-PFC SAD04240L70 1.1 2 L3 Switching Engine WS-F6K-PFC SAD04220KC5 1.1 Cat6000> (enable)
En este ejemplo, suponga que este Catalyst 6509 es un switch de núcleo en la red. Las MSFC duales del switch funcionarán como servidores NTP para otros routers y switches de la red (incluido el motor supervisor de este mismo switch).
Los MSFC sincronizarán sus relojes con un servidor NTP maestro ubicado en una subred remota de la red. En la práctica, éste puede ser un servidor NTP local privado o un servidor NTP público. En cualquier caso, este servidor normalmente sincronizaría su hora con otro reloj de estrato más bajo, un reloj atómico.
Los MSFC dobles de este ejemplo poseen habilitada la sincronización de la configuración (config-sync). Esto sincroniza automáticamente la configuración en la MSFC designada con la MSFC no designada. Consulte la sección Información Relacionada para obtener más información acerca de config-sync.
Esta es la configuración de MSFC15 (MSFC designado) La configuración en MSFC16 es exactamente la misma, con la excepción de que para aquellos comandos en los que está especificado el comando alt, MSFC16 utiliza el comando luego de la palabra clave alt. Por ejemplo, el nombre de host de MSFC15 es MSFC15; el nombre de host de MSFC16 es MSFC16.
version 12.1 no service pad ! !--- Enable service timestamps datetime! service timestamps debug datetime msec localtime service timestamps log datetime msec localtime ! no service password-encryption ! ! !--- Hostnames for the MSFCs. hostname MSFC15 alt hostname MSFC16 ! boot system flash bootflash:c6msfc-jsv-mz.121-6.E.bin enable password cisco ! ! !Both MSFCs are in the PST timezone clock timezone PST -8 ! !--- Both MSFCs will adjust the clock for Daylight Saving Time. clock summer-time PDT recurring ! !--- If connectivity to the NTP server is lost, the calendar is used. !as an authoritative time source clock calendar-valid ! ! ip subnet-zero ! ! no ip finger ip domain-name corp.com ip name-server 172.16.55.120 ip name-server 171.16.60.120 ! ! !config-sync is enabled redundancy high-availability config-sync ! ! ! !--- Each MSFC has a loopback0 interface in a different /30 subnet. interface Loopback0 ip address 10.10.10.1 255.255.255.252 alt ip address 10.10.10.5 255.255.255.252 ! ! !--- VLAN 1 is the management subnet, where the switch sc0 interface is located. interface Vlan1 description Network Management Subnet ip address 172.16.100.2 255.255.255.0 alt ip address 172.16.100.3 255.255.255.0 no ip redirects standby 1 priority 105 preempt alt standby 1 priority 100 preempt standby 1 ip 172.16.100.1 alt standby 1 ip 172.16.100.1 ! <VARIOUS VLAN INTERFACES NOT RELEVANT TO THIS EXAMPLE> ! router eigrp 10 network 10.0.0.0 network 172.0.0.0 network 172.0.0.0 0.255.255.255 no auto-summary eigrp log-neighbor-changes ! ip classless no ip http server ! ! ! line con 0 transport input none line vty 0 4 password cisco login transport input lat pad mop telnet rlogin udptn nasi ! ! !--- Each MSFC uses the IP address of the loopback0 interface as !--- the source IP for NTP packets. ntp source Loopback0 ! !--- The MSFCs will update the hardware calendar with the NTP time. ntp update-calendar ! !--- Both MSFCs are getting the time from 10.100.100.1. ntp server 10.100.100.1 ! end |
Nota: Algunos comandos no admiten la palabra clave alt y, por lo tanto, no se pueden utilizar con config-sync. Un ejemplo es el comando ntp peer. El soporte de config-sync para este comando permitiría que MSFC15 y MSFC16 establezcan una relación de peer NTP. Si es el requisito en su red, puede deshabilitar config-sync y asegurarse manualmente que las configuraciones de las dos MSFC cumplen con los requisitos para sistemas de MSFC duales. Vea la sección Información Relacionada para obtener más información.
En el motor supervisor, la interfaz de administración sc0 (172.16.100.100) pertenece a la VLAN 1. El gateway predeterminado para el switch es la dirección IP del protocolo de router en espera en caliente (HSRP) en la interfaz VLAN 1 (172.16.100.1)
El motor supervisor señala a dos servidores NTP para redundancia, las interfaces loopback0 en MSFC15 y MSFC16. Otros switches y routers en la red están configurados para hacer lo mismo.
Una de las desventajas de esta instrumentación es que, si falla todo el switch, se desincronizan otros dispositivos conectados a la red. Una configuración alternativa para la redundancia tendría MSFC en diferentes chasis configurados como servidores NTP, de modo que si un chasis falla, el otro continúa funcionando como el servidor NTP.
Esta es la configuración NTP en el switch:
#ntp # #NTP client mode is enabled set ntp client enable # #NTP server IP addresses (loopback0 interfaces on MSFC15 and MSFC16) set ntp server 10.10.10.1 set ntp server 10.10.10.5 # #Switch is in the PST timezone set timezone PST -8 0 # #Switch will adjust clock for Daylight Saving Time set summertime enable PDT set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60 |
La autenticación de NTP agrega un nivel de seguridad a su configuración de NTP. Configura una cadena de clave de NTP en cada dispositivo. La clave se encripta mediante el algoritmo de troceo del resumen de mensaje 5 (MD5) y la clave encriptada se pasa a cada paquete NTP. Antes de que se procese un paquete NTP, la clave se compara con la que está configurada en el dispositivo receptor.
Ésta es la configuración de MSFC15 (la MSFC designada) con los comandos de autenticación NTP agregados. En MSFC16, la configuración es exactamente igual.
!--- The key string for NTP authentication key 10 is "ticktock" !--- (the key string is shown encrypted in the configuration) ntp authentication-key 10 md5 ticktock ! !--- Enables NTP authentication ntp authenticate ! !--- Makes NTP authentication key "10" a trusted key ntp trusted-key 10 ! ntp source Loopback0 ntp update-calendar ntp server 10.100.100.1 |
Esta es la configuración NTP en el switch con la autenticación NTP habilitada:
#ntp set ntp client enable # #Enables NTP authentication set ntp authentication enable # #The key string for NTP authentication key 10 is "ticktock" #(the key string is shown encrypted in the configuration) set ntp key 10 trusted md5 ticktock # #NTP server IP addresses, configured to use authentication key 10 set ntp server 10.10.10.1 key 10 set ntp server 10.10.10.5 key 10 # set timezone PST -8 0 set summertime enable PDT set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60 |
El problema del reloj no sincronizado ocurre cuando el maestro NTP no autentica la solicitud del cliente NTP. Este tipo de problema puede ocurrir cuando la clave de autenticación y la contraseña no están configuradas en el extremo principal.
Esta dessincronización del reloj se puede confirmar con la salida de los comandos show ntp status y show ntp association detail.
R2#show ntp status Clock is unsynchronized, stratum 16, no reference clock !--- Output suppressed.
A partir del resultado anterior del comando show, el reloj no está sincronizado y no hay reloj de referencia confirma la dessincronización del reloj
R2#show ntp association detail 12.0.0.1 configured, insane, invalid, unsynced, stratum 16 !--- Output suppressed.
A partir de este resultado, demente, inválido, no sincronizado confirma la dessincronización del reloj del cliente con el maestro.