概要
このドキュメントは、冗長スーパーバイザ エンジンを備えた Catalyst 6000 ファミリ スイッチ、および同期設定を有効にした二重マルチレイヤ スイッチ機能カード(MSFC)にネットワーク タイム プロトコル(NTP)を設定する場合の例を示します。
はじめに
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
前提条件
このドキュメントに関しては個別の前提条件はありません。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
High Availability Catalyst 6000 スイッチのための NTP 設定例
図1に、この設定例のネットワークトポロジを示します。
図 1:Network Topology
この例は、冗長スーパーバイザエンジンとMSFCを搭載したCatalyst 6509を示しています。スイッチからのshow moduleコマンドの出力を次に示します。
Cat6000> (enable) show module
Mod Slot Ports Module-Type Model Sub Status
--- ---- ----- ------------------------- ------------------- --- --------
1 1 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes ok
15 1 1 Multilayer Switch Feature WS-F6K-MSFC no ok
2 2 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes standby
16 2 1 Multilayer Switch Feature WS-F6K-MSFC no ok
3 3 48 10/100BaseTX Ethernet WS-X6348-RJ-45 no ok
Mod Module-Name Serial-Num
--- ------------------- -----------
1 SAD04240E48
15 SAD042406UW
2 SAD042400YL
16 SAD042407KG
3 SAL04440WY6
Mod MAC-Address(es) Hw Fw Sw
--- -------------------------------------- ------ ---------- -----------------
1 00-30-7b-96-7c-5a to 00-30-7b-96-7c-5b 3.1 5.3(1) 5.5(7)
00-30-7b-96-7c-58 to 00-30-7b-96-7c-59
00-02-7e-02-a0-00 to 00-02-7e-02-a3-ff
15 00-d0-d3-a3-b6-a7 to 00-d0-d3-a3-b6-e6 1.4 12.1(6)E 12.1(6)E
2 00-d0-c0-cf-72-12 to 00-d0-c0-cf-72-13 3.1 5.3(1) 5.5(7)
00-d0-c0-cf-72-10 to 00-d0-c0-cf-72-11
16 00-d0-c0-cf-72-14 to 00-d0-c0-cf-72-53 1.4 12.1(6)E 12.1(6)E
3 00-03-6c-29-ba-b0 to 00-03-6c-29-ba-df 1.4 5.4(2) 5.5(7)
Mod Sub-Type Sub-Model Sub-Serial Sub-Hw
--- ----------------------- ------------------- ----------- ------
1 L3 Switching Engine WS-F6K-PFC SAD04240L70 1.1
2 L3 Switching Engine WS-F6K-PFC SAD04220KC5 1.1
Cat6000> (enable)
この例では、この Catalyst 6509 がネットワークのコア スイッチであると仮定します。スイッチの二重 MSFC が他のルータについては NTP サーバとして機能して、ネットワーク内ではスイッチとして機能します(このスイッチ自体にあるスーパーバイザ エンジンをむ)。
MSFC により、そのクロックは、ネットワーク内のリモート サブネットに位置するマスター NTP サーバと同期をとります。実際には、これはプライベートなローカル NTP サーバ、またはパブリック NTP サーバである場合があります。どちらの場合も、このサーバは一般的に、互いの原始時計などの下位層クロックに時間を同期させています。
この例の二重 MSFC では、同期設定(config-sync)が有効になっています。これに より自動的に、 指定 MSFC の設定は非指定 MSFC に同期します。config-sys の詳しい情報に関して は、関連情報を参照してください。
次に、MSFC15(指定 MSFC)の設定を示します。 MSFC16 の設定はこれとまったく同じで、例外は alt コマンドが指定されているコマンドについては、MSFC16 では alt キーワードの後のコマンドが使用されることです。たとえば、MSFC15のホスト名はMSFC15です。MSFC16のホスト名はMSFC16です。
version 12.1
no service pad
!
!--- Enable service timestamps datetime!
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
!
no service password-encryption
!
!
!--- Hostnames for the MSFCs.
hostname MSFC15 alt hostname MSFC16
!
boot system flash bootflash:c6msfc-jsv-mz.121-6.E.bin
enable password cisco
!
!
!Both MSFCs are in the PST timezone
clock timezone PST -8
!
!--- Both MSFCs will adjust the clock for Daylight Saving Time.
clock summer-time PDT recurring
!
!--- If connectivity to the NTP server is lost, the calendar is used.
!as an authoritative time source
clock calendar-valid
!
!
ip subnet-zero
!
!
no ip finger
ip domain-name corp.com
ip name-server 172.16.55.120
ip name-server 171.16.60.120
!
!
!config-sync is enabled
redundancy
high-availability
config-sync
!
!
!
!--- Each MSFC has a loopback0 interface in a different /30 subnet.
interface Loopback0
ip address 10.10.10.1 255.255.255.252 alt ip address 10.10.10.5 255.255.255.252
!
!
!--- VLAN 1 is the management subnet, where the switch sc0 interface is located.
interface Vlan1
description Network Management Subnet
ip address 172.16.100.2 255.255.255.0 alt ip address 172.16.100.3 255.255.255.0
no ip redirects
standby 1 priority 105 preempt alt standby 1 priority 100 preempt
standby 1 ip 172.16.100.1 alt standby 1 ip 172.16.100.1
!
<VARIOUS VLAN INTERFACES NOT RELEVANT TO THIS EXAMPLE>
!
router eigrp 10
network 10.0.0.0
network 172.0.0.0
network 172.0.0.0 0.255.255.255
no auto-summary
eigrp log-neighbor-changes
!
ip classless
no ip http server
!
!
!
line con 0
transport input none
line vty 0 4
password cisco
login
transport input lat pad mop telnet rlogin udptn nasi
!
!
!--- Each MSFC uses the IP address of the loopback0 interface as !--- the source IP for NTP packets.
ntp source Loopback0
!
!--- The MSFCs will update the hardware calendar with the NTP time.
ntp update-calendar
!
!--- Both MSFCs are getting the time from 10.100.100.1.
ntp server 10.100.100.1
!
end |
注:コマンドの中には alt キーワードをサポートせず、したがって config-sync と共に使用できないものがあります。たとえば ntp peer コマンドです。このコマンドで config-sync がサポートされれば、MSFC15 と MSFC16 は NTP 同位関係を確立できます。これがネットワークの要件である場合は、config-sync をディセーブルにして、手動で確実に、2 つの MSFC の設定を二重 MSFC システムの要件に合わせます。詳細は、「関連情報」の項を参照してください。
スーパーバイザ エンジンでは、sc0 管理インターフェース(172.16.100.100)は VLAN 1 に属します。スイッチのデフォルト ゲートウェイは、VLAN 1 インターフェース(172.16.100.1)上のホットスタンバイ ルータ プロトコル(HSRP)IP アドレスです。
スーパーバイザエンジンは、冗長性を確保するために2つのNTPサーバ(MSFC15およびMSFC16のloopback0インターフェイス)をポイントします。ネットワーク内の他のスイッチとルータも同じ設定になっています。
このように実装した場合の問題の 1 つは、スイッチ全体に障害が起きた場合ネット ワーク内の他のデバイスが同期しないということです。冗長性をもつための別の設定として、MSFC を NTP サーバとして設定しそれらを異な るシャーシにおけば、もし 1 台のシャーシに障害が起きても 他のシャーシが NTP サーバとして機能し続けます。
スイッチのNTP設定を次に示します。
#ntp
#
#NTP client mode is enabled
set ntp client enable
#
#NTP server IP addresses (loopback0 interfaces on MSFC15 and MSFC16)
set ntp server 10.10.10.1
set ntp server 10.10.10.5
#
#Switch is in the PST timezone
set timezone PST -8 0
#
#Switch will adjust clock for Daylight Saving Time
set summertime enable PDT
set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60 |
NTP 認証の使用
NTP 認証により NTP 設定にセキュリティのレベルを追加できます。各デバイス上に、NTP キー ストリングを設定します。キーは MD5 ハッシュ法アルゴリズムを使用してコード化され、コード化されたキーが各 NTP パケットに渡されます。NTP パケット処理前に、受信デバイスにより、キーは設定キーに対してチェックされます。
これは、NTP認証コマンドが追加されたMSFC15(代表MSFC)の設定です。MSFC16 の設定もまったく同じです。
!--- The key string for NTP authentication key 10 is "ticktock"
!--- (the key string is shown encrypted in the configuration)
ntp authentication-key 10 md5 ticktock
!
!--- Enables NTP authentication
ntp authenticate
!
!--- Makes NTP authentication key "10" a trusted key
ntp trusted-key 10
!
ntp source Loopback0
ntp update-calendar
ntp server 10.100.100.1 |
NTP認証が有効になっているスイッチのNTP設定を次に示します。
#ntp
set ntp client enable
#
#Enables NTP authentication
set ntp authentication enable
#
#The key string for NTP authentication key 10 is "ticktock"
#(the key string is shown encrypted in the configuration)
set ntp key 10 trusted md5 ticktock
#
#NTP server IP addresses, configured to use authentication key 10
set ntp server 10.10.10.1 key 10
set ntp server 10.10.10.5 key 10
#
set timezone PST -8 0
set summertime enable PDT
set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60 |
トラブルシューティング
クロックが同期されていない
NTPマスターがNTPクライアント要求を認証しない場合、クロックが同期されていない問題が発生します。このタイプの問題は、認証キーとパスワードがマスターエンドで設定されていない場合に発生する可能性があります。
このクロックの非同期は、show ntp statusおよびshow ntp association detailコマンドの出力で確認できます。
R2#show ntp status
Clock is unsynchronized, stratum 16, no reference clock
!--- Output suppressed.
上記のshowコマンドの出力からは、クロックは同期されていなく、クロックの同期が解除されます
R2#show ntp association detail
12.0.0.1 configured, insane, invalid, unsynced, stratum 16
!--- Output suppressed.
この出力から、insane, invalid, unsyncedは、クライアントとマスターのクロックの同期が解除されたことを確認します。
関連情報