Esempio di configurazione NTP per switch Catalyst 6000 ad alta disponibilità
Sommario
Introduzione
In questo documento viene fornito un esempio di configurazione del protocollo NTP (Network Time Protocol) per uno switch Catalyst serie 6000 con supervisor engine ridondante e due schede Multilayer Switch Feature Card (MSFC) con sincronizzazione della configurazione abilitata.
Operazioni preliminari
Convenzioni
Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.
Prerequisiti
Non sono previsti prerequisiti specifici per questo documento.
Componenti usati
Il documento può essere consultato per tutte le versioni software o hardware.
Esempio di configurazione NTP per switch Catalyst 6000 ad alta disponibilità
La figura 1 mostra la topologia di rete per questa configurazione di esempio.
Figura 1: Topologia della rete
Nell'esempio viene mostrato un Catalyst 6509 con supervisor engine ridondante e MSFC. Questo è l'output del comando show module sullo switch:
Cat6000> (enable) show module
Mod Slot Ports Module-Type Model Sub Status
--- ---- ----- ------------------------- ------------------- --- --------
1 1 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes ok
15 1 1 Multilayer Switch Feature WS-F6K-MSFC no ok
2 2 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes standby
16 2 1 Multilayer Switch Feature WS-F6K-MSFC no ok
3 3 48 10/100BaseTX Ethernet WS-X6348-RJ-45 no ok
Mod Module-Name Serial-Num
--- ------------------- -----------
1 SAD04240E48
15 SAD042406UW
2 SAD042400YL
16 SAD042407KG
3 SAL04440WY6
Mod MAC-Address(es) Hw Fw Sw
--- -------------------------------------- ------ ---------- -----------------
1 00-30-7b-96-7c-5a to 00-30-7b-96-7c-5b 3.1 5.3(1) 5.5(7)
00-30-7b-96-7c-58 to 00-30-7b-96-7c-59
00-02-7e-02-a0-00 to 00-02-7e-02-a3-ff
15 00-d0-d3-a3-b6-a7 to 00-d0-d3-a3-b6-e6 1.4 12.1(6)E 12.1(6)E
2 00-d0-c0-cf-72-12 to 00-d0-c0-cf-72-13 3.1 5.3(1) 5.5(7)
00-d0-c0-cf-72-10 to 00-d0-c0-cf-72-11
16 00-d0-c0-cf-72-14 to 00-d0-c0-cf-72-53 1.4 12.1(6)E 12.1(6)E
3 00-03-6c-29-ba-b0 to 00-03-6c-29-ba-df 1.4 5.4(2) 5.5(7)
Mod Sub-Type Sub-Model Sub-Serial Sub-Hw
--- ----------------------- ------------------- ----------- ------
1 L3 Switching Engine WS-F6K-PFC SAD04240L70 1.1
2 L3 Switching Engine WS-F6K-PFC SAD04220KC5 1.1
Cat6000> (enable)
Nell'esempio, si supponga che questo Catalyst 6509 sia uno switch core della rete. I due MSFC nello switch funzioneranno come server NTP per altri router e switch nella rete (compreso il supervisor engine su questo switch).
Gli MSFC sincronizzeranno i propri orologi su un server NTP master situato in una subnet remota della rete. In pratica, potrebbe trattarsi di un server NTP locale privato o di un server NTP pubblico. In entrambi i casi, questo server sincronizza in genere l'ora con un altro orologio di strato inferiore, ad esempio un orologio atomico.
Sui due MSFC in questo esempio è abilitata la sincronizzazione della configurazione (config-sync). In questo modo la configurazione dell'MSFC designato viene sincronizzata automaticamente con quella dell'MSFC non designato. Per ulteriori informazioni sulla sincronizzazione della configurazione, vedere la sezione Informazioni correlate.
Di seguito è riportata la configurazione dell'MSFC 15 (l'MSFC indicato). La configurazione di MSFC16 è esattamente la stessa, con l'eccezione che per i comandi in cui è specificato il comando alt, MSFC16 utilizza il comando dopo la parola chiave alt. Ad esempio, il nome host di MSFC15 è MSFC15; il nome host di MSFC16 è MSFC16.
version 12.1 no service pad ! !--- Enable service timestamps datetime! service timestamps debug datetime msec localtime service timestamps log datetime msec localtime ! no service password-encryption ! ! !--- Hostnames for the MSFCs. hostname MSFC15 alt hostname MSFC16 ! boot system flash bootflash:c6msfc-jsv-mz.121-6.E.bin enable password cisco ! ! !Both MSFCs are in the PST timezone clock timezone PST -8 ! !--- Both MSFCs will adjust the clock for Daylight Saving Time. clock summer-time PDT recurring ! !--- If connectivity to the NTP server is lost, the calendar is used. !as an authoritative time source clock calendar-valid ! ! ip subnet-zero ! ! no ip finger ip domain-name corp.com ip name-server 172.16.55.120 ip name-server 171.16.60.120 ! ! !config-sync is enabled redundancy high-availability config-sync ! ! ! !--- Each MSFC has a loopback0 interface in a different /30 subnet. interface Loopback0 ip address 10.10.10.1 255.255.255.252 alt ip address 10.10.10.5 255.255.255.252 ! ! !--- VLAN 1 is the management subnet, where the switch sc0 interface is located. interface Vlan1 description Network Management Subnet ip address 172.16.100.2 255.255.255.0 alt ip address 172.16.100.3 255.255.255.0 no ip redirects standby 1 priority 105 preempt alt standby 1 priority 100 preempt standby 1 ip 172.16.100.1 alt standby 1 ip 172.16.100.1 ! <VARIOUS VLAN INTERFACES NOT RELEVANT TO THIS EXAMPLE> ! router eigrp 10 network 10.0.0.0 network 172.0.0.0 network 172.0.0.0 0.255.255.255 no auto-summary eigrp log-neighbor-changes ! ip classless no ip http server ! ! ! line con 0 transport input none line vty 0 4 password cisco login transport input lat pad mop telnet rlogin udptn nasi ! ! !--- Each MSFC uses the IP address of the loopback0 interface as !--- the source IP for NTP packets. ntp source Loopback0 ! !--- The MSFCs will update the hardware calendar with the NTP time. ntp update-calendar ! !--- Both MSFCs are getting the time from 10.100.100.1. ntp server 10.100.100.1 ! end |
Nota: alcuni comandi non supportano la parola chiave alt e non possono quindi essere utilizzati con config-sync. Un esempio è il comando ntp peer. Il supporto della sincronizzazione della configurazione per questo comando consente a MSFC15 e MSFC16 di stabilire una relazione peer NTP. Se si tratta di un requisito della rete, è possibile disabilitare la sincronizzazione della configurazione e verificare manualmente che le configurazioni sui due MSFC soddisfino i requisiti dei sistemi con doppio MSFC. Per ulteriori informazioni, vedere la sezione Informazioni correlate.
Sul supervisor engine, l'interfaccia di gestione sc0 (172.16.100.100) appartiene alla VLAN 1. Il gateway predefinito per lo switch è l'indirizzo IP del protocollo del router in standby (HSRP) sulla VLAN 1 (172.16.100.1)
Il supervisor engine punta a due server NTP per la ridondanza, le interfacce loopback0 su MSFC15 e MSFC16. Altri switch e router della rete sono configurati in modo da fare lo stesso.
Uno svantaggio di questa implementazione è che se l'intero switch si guasta, gli altri dispositivi nella rete non sono sincronizzati. Una configurazione alternativa per la ridondanza prevede MSFC in chassis diversi configurati come server NTP, in modo che se uno chassis si guasta, l'altro continua a funzionare come server NTP.
Questa è la configurazione NTP dello switch:
#ntp # #NTP client mode is enabled set ntp client enable # #NTP server IP addresses (loopback0 interfaces on MSFC15 and MSFC16) set ntp server 10.10.10.1 set ntp server 10.10.10.5 # #Switch is in the PST timezone set timezone PST -8 0 # #Switch will adjust clock for Daylight Saving Time set summertime enable PDT set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60 |
Uso dell'autenticazione NTP
L'autenticazione NTP aggiunge un livello di sicurezza alla configurazione NTP. È possibile configurare una stringa di chiave NTP su ciascun dispositivo. La chiave viene crittografata utilizzando un algoritmo di hashing MD5 (Message Digest 5) e la chiave crittografata viene passata in ogni pacchetto NTP. Prima di elaborare un pacchetto NTP, la chiave viene confrontata con la chiave configurata sul dispositivo ricevente.
Questa è la configurazione di MSFC15 (l'MSFC designato) con i comandi di autenticazione NTP aggiunti. La configurazione di MSFC16 è esattamente la stessa.
!--- The key string for NTP authentication key 10 is "ticktock" !--- (the key string is shown encrypted in the configuration) ntp authentication-key 10 md5 ticktock ! !--- Enables NTP authentication ntp authenticate ! !--- Makes NTP authentication key "10" a trusted key ntp trusted-key 10 ! ntp source Loopback0 ntp update-calendar ntp server 10.100.100.1 |
Questa è la configurazione NTP sullo switch con l'autenticazione NTP abilitata:
#ntp set ntp client enable # #Enables NTP authentication set ntp authentication enable # #The key string for NTP authentication key 10 is "ticktock" #(the key string is shown encrypted in the configuration) set ntp key 10 trusted md5 ticktock # #NTP server IP addresses, configured to use authentication key 10 set ntp server 10.10.10.1 key 10 set ntp server 10.10.10.5 key 10 # set timezone PST -8 0 set summertime enable PDT set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60 |
Risoluzione dei problemi
Orologio non sincronizzato
Il problema dell'orologio non sincronizzato si verifica quando il dispositivo master NTP non autentica la richiesta del client NTP. Questo tipo di problema può verificarsi quando la chiave di autenticazione e la password non sono configurate sull'estremità master.
Questa sincronizzazione dell'orologio può essere confermata con l'output del comando show ntp status e show ntp association detail.
R2#show ntp status Clock is unsynchronized, stratum 16, no reference clock !--- Output suppressed.
Dall'output del comando show precedente, l'orologio non è sincronizzato e nessun orologio di riferimento conferma la sincronizzazione dell'orologio
R2#show ntp association detail 12.0.0.1 configured, insane, invalid, unsynced, stratum 16 !--- Output suppressed.
Da questo output, folle, non valido, non sincronizzato conferma la sincronizzazione dell'orologio del client con il master.
Feedback