High Availability Catalyst 6000 スイッチのための NTP 設定例
内容
概要
このドキュメントは、冗長スーパーバイザ エンジンを備えた Catalyst 6000 ファミリ スイッチ、および同期設定を有効にした二重マルチレイヤ スイッチ機能カード(MSFC)にネットワーク タイム プロトコル(NTP)を設定する場合の例を示します。
はじめに
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
前提条件
このドキュメントに関しては個別の前提条件はありません。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
High Availability Catalyst 6000 スイッチのための NTP 設定例
図1に、この設定例のネットワークトポロジを示します。
図 1:Network Topology
この例は、冗長スーパーバイザエンジンとMSFCを搭載したCatalyst 6509を示しています。スイッチからのshow moduleコマンドの出力を次に示します。
Cat6000> (enable) show module
Mod Slot Ports Module-Type Model Sub Status
--- ---- ----- ------------------------- ------------------- --- --------
1 1 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes ok
15 1 1 Multilayer Switch Feature WS-F6K-MSFC no ok
2 2 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes standby
16 2 1 Multilayer Switch Feature WS-F6K-MSFC no ok
3 3 48 10/100BaseTX Ethernet WS-X6348-RJ-45 no ok
Mod Module-Name Serial-Num
--- ------------------- -----------
1 SAD04240E48
15 SAD042406UW
2 SAD042400YL
16 SAD042407KG
3 SAL04440WY6
Mod MAC-Address(es) Hw Fw Sw
--- -------------------------------------- ------ ---------- -----------------
1 00-30-7b-96-7c-5a to 00-30-7b-96-7c-5b 3.1 5.3(1) 5.5(7)
00-30-7b-96-7c-58 to 00-30-7b-96-7c-59
00-02-7e-02-a0-00 to 00-02-7e-02-a3-ff
15 00-d0-d3-a3-b6-a7 to 00-d0-d3-a3-b6-e6 1.4 12.1(6)E 12.1(6)E
2 00-d0-c0-cf-72-12 to 00-d0-c0-cf-72-13 3.1 5.3(1) 5.5(7)
00-d0-c0-cf-72-10 to 00-d0-c0-cf-72-11
16 00-d0-c0-cf-72-14 to 00-d0-c0-cf-72-53 1.4 12.1(6)E 12.1(6)E
3 00-03-6c-29-ba-b0 to 00-03-6c-29-ba-df 1.4 5.4(2) 5.5(7)
Mod Sub-Type Sub-Model Sub-Serial Sub-Hw
--- ----------------------- ------------------- ----------- ------
1 L3 Switching Engine WS-F6K-PFC SAD04240L70 1.1
2 L3 Switching Engine WS-F6K-PFC SAD04220KC5 1.1
Cat6000> (enable)
この例では、この Catalyst 6509 がネットワークのコア スイッチであると仮定します。スイッチの二重 MSFC が他のルータについては NTP サーバとして機能して、ネットワーク内ではスイッチとして機能します(このスイッチ自体にあるスーパーバイザ エンジンをむ)。
MSFC により、そのクロックは、ネットワーク内のリモート サブネットに位置するマスター NTP サーバと同期をとります。実際には、これはプライベートなローカル NTP サーバ、またはパブリック NTP サーバである場合があります。どちらの場合も、このサーバは一般的に、互いの原始時計などの下位層クロックに時間を同期させています。
この例の二重 MSFC では、同期設定(config-sync)が有効になっています。これに より自動的に、 指定 MSFC の設定は非指定 MSFC に同期します。config-sys の詳しい情報に関して は、関連情報を参照してください。
次に、MSFC15(指定 MSFC)の設定を示します。 MSFC16 の設定はこれとまったく同じで、例外は alt コマンドが指定されているコマンドについては、MSFC16 では alt キーワードの後のコマンドが使用されることです。たとえば、MSFC15のホスト名はMSFC15です。MSFC16のホスト名はMSFC16です。
version 12.1 no service pad ! !--- Enable service timestamps datetime! service timestamps debug datetime msec localtime service timestamps log datetime msec localtime ! no service password-encryption ! ! !--- Hostnames for the MSFCs. hostname MSFC15 alt hostname MSFC16 ! boot system flash bootflash:c6msfc-jsv-mz.121-6.E.bin enable password cisco ! ! !Both MSFCs are in the PST timezone clock timezone PST -8 ! !--- Both MSFCs will adjust the clock for Daylight Saving Time. clock summer-time PDT recurring ! !--- If connectivity to the NTP server is lost, the calendar is used. !as an authoritative time source clock calendar-valid ! ! ip subnet-zero ! ! no ip finger ip domain-name corp.com ip name-server 172.16.55.120 ip name-server 171.16.60.120 ! ! !config-sync is enabled redundancy high-availability config-sync ! ! ! !--- Each MSFC has a loopback0 interface in a different /30 subnet. interface Loopback0 ip address 10.10.10.1 255.255.255.252 alt ip address 10.10.10.5 255.255.255.252 ! ! !--- VLAN 1 is the management subnet, where the switch sc0 interface is located. interface Vlan1 description Network Management Subnet ip address 172.16.100.2 255.255.255.0 alt ip address 172.16.100.3 255.255.255.0 no ip redirects standby 1 priority 105 preempt alt standby 1 priority 100 preempt standby 1 ip 172.16.100.1 alt standby 1 ip 172.16.100.1 ! <VARIOUS VLAN INTERFACES NOT RELEVANT TO THIS EXAMPLE> ! router eigrp 10 network 10.0.0.0 network 172.0.0.0 network 172.0.0.0 0.255.255.255 no auto-summary eigrp log-neighbor-changes ! ip classless no ip http server ! ! ! line con 0 transport input none line vty 0 4 password cisco login transport input lat pad mop telnet rlogin udptn nasi ! ! !--- Each MSFC uses the IP address of the loopback0 interface as !--- the source IP for NTP packets. ntp source Loopback0 ! !--- The MSFCs will update the hardware calendar with the NTP time. ntp update-calendar ! !--- Both MSFCs are getting the time from 10.100.100.1. ntp server 10.100.100.1 ! end |
注:コマンドの中には alt キーワードをサポートせず、したがって config-sync と共に使用できないものがあります。たとえば ntp peer コマンドです。このコマンドで config-sync がサポートされれば、MSFC15 と MSFC16 は NTP 同位関係を確立できます。これがネットワークの要件である場合は、config-sync をディセーブルにして、手動で確実に、2 つの MSFC の設定を二重 MSFC システムの要件に合わせます。詳細は、「関連情報」の項を参照してください。
スーパーバイザ エンジンでは、sc0 管理インターフェース(172.16.100.100)は VLAN 1 に属します。スイッチのデフォルト ゲートウェイは、VLAN 1 インターフェース(172.16.100.1)上のホットスタンバイ ルータ プロトコル(HSRP)IP アドレスです。
スーパーバイザエンジンは、冗長性を確保するために2つのNTPサーバ(MSFC15およびMSFC16のloopback0インターフェイス)をポイントします。ネットワーク内の他のスイッチとルータも同じ設定になっています。
このように実装した場合の問題の 1 つは、スイッチ全体に障害が起きた場合ネット ワーク内の他のデバイスが同期しないということです。冗長性をもつための別の設定として、MSFC を NTP サーバとして設定しそれらを異な るシャーシにおけば、もし 1 台のシャーシに障害が起きても 他のシャーシが NTP サーバとして機能し続けます。
スイッチのNTP設定を次に示します。
#ntp # #NTP client mode is enabled set ntp client enable # #NTP server IP addresses (loopback0 interfaces on MSFC15 and MSFC16) set ntp server 10.10.10.1 set ntp server 10.10.10.5 # #Switch is in the PST timezone set timezone PST -8 0 # #Switch will adjust clock for Daylight Saving Time set summertime enable PDT set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60 |
NTP 認証の使用
NTP 認証により NTP 設定にセキュリティのレベルを追加できます。各デバイス上に、NTP キー ストリングを設定します。キーは MD5 ハッシュ法アルゴリズムを使用してコード化され、コード化されたキーが各 NTP パケットに渡されます。NTP パケット処理前に、受信デバイスにより、キーは設定キーに対してチェックされます。
これは、NTP認証コマンドが追加されたMSFC15(代表MSFC)の設定です。MSFC16 の設定もまったく同じです。
!--- The key string for NTP authentication key 10 is "ticktock" !--- (the key string is shown encrypted in the configuration) ntp authentication-key 10 md5 ticktock ! !--- Enables NTP authentication ntp authenticate ! !--- Makes NTP authentication key "10" a trusted key ntp trusted-key 10 ! ntp source Loopback0 ntp update-calendar ntp server 10.100.100.1 |
NTP認証が有効になっているスイッチのNTP設定を次に示します。
#ntp set ntp client enable # #Enables NTP authentication set ntp authentication enable # #The key string for NTP authentication key 10 is "ticktock" #(the key string is shown encrypted in the configuration) set ntp key 10 trusted md5 ticktock # #NTP server IP addresses, configured to use authentication key 10 set ntp server 10.10.10.1 key 10 set ntp server 10.10.10.5 key 10 # set timezone PST -8 0 set summertime enable PDT set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60 |
トラブルシューティング
クロックが同期されていない
NTPマスターがNTPクライアント要求を認証しない場合、クロックが同期されていない問題が発生します。このタイプの問題は、認証キーとパスワードがマスターエンドで設定されていない場合に発生する可能性があります。
このクロックの非同期は、show ntp statusおよびshow ntp association detailコマンドの出力で確認できます。
R2#show ntp status Clock is unsynchronized, stratum 16, no reference clock !--- Output suppressed.
上記のshowコマンドの出力からは、クロックは同期されていなく、クロックの同期が解除されます
R2#show ntp association detail 12.0.0.1 configured, insane, invalid, unsynced, stratum 16 !--- Output suppressed.
この出力から、insane, invalid, unsyncedは、クライアントとマスターのクロックの同期が解除されたことを確認します。
フィードバック