Voorzichtig NTP-configuratie voor Catalyst 6000 Switch met hoge beschikbaarheid
Inhoud
Inleiding
Dit document biedt een voorbeeld van Network Time Protocol (NTP)-configuratie voor een Catalyst 6000 familieswitch met redundante Supervisor Engine, en dual Multilayer Switch functiekaarten (MSFC’s) met configuratie-synchronisatie ingeschakeld.
Voordat u begint
Conventies
Voorwaarden
Er zijn geen specifieke voorwaarden van toepassing op dit document.
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
Voorbeeld NTP-configuratie voor Catalyst 6000 Switch met hoge beschikbaarheid
Afbeelding 1 toont de netwerktopologie voor deze voorbeeldconfiguratie.
Afbeelding 1: Netwerktopologie
Dit voorbeeld toont Catalyst 6509 met redundante Supervisor motoren en MSFCs. Dit is de opdrachtoutput van de show module van de switch:
Cat6000> (enable) show module
Mod Slot Ports Module-Type Model Sub Status
--- ---- ----- ------------------------- ------------------- --- --------
1 1 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes ok
15 1 1 Multilayer Switch Feature WS-F6K-MSFC no ok
2 2 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes standby
16 2 1 Multilayer Switch Feature WS-F6K-MSFC no ok
3 3 48 10/100BaseTX Ethernet WS-X6348-RJ-45 no ok
Mod Module-Name Serial-Num
--- ------------------- -----------
1 SAD04240E48
15 SAD042406UW
2 SAD042400YL
16 SAD042407KG
3 SAL04440WY6
Mod MAC-Address(es) Hw Fw Sw
--- -------------------------------------- ------ ---------- -----------------
1 00-30-7b-96-7c-5a to 00-30-7b-96-7c-5b 3.1 5.3(1) 5.5(7)
00-30-7b-96-7c-58 to 00-30-7b-96-7c-59
00-02-7e-02-a0-00 to 00-02-7e-02-a3-ff
15 00-d0-d3-a3-b6-a7 to 00-d0-d3-a3-b6-e6 1.4 12.1(6)E 12.1(6)E
2 00-d0-c0-cf-72-12 to 00-d0-c0-cf-72-13 3.1 5.3(1) 5.5(7)
00-d0-c0-cf-72-10 to 00-d0-c0-cf-72-11
16 00-d0-c0-cf-72-14 to 00-d0-c0-cf-72-53 1.4 12.1(6)E 12.1(6)E
3 00-03-6c-29-ba-b0 to 00-03-6c-29-ba-df 1.4 5.4(2) 5.5(7)
Mod Sub-Type Sub-Model Sub-Serial Sub-Hw
--- ----------------------- ------------------- ----------- ------
1 L3 Switching Engine WS-F6K-PFC SAD04240L70 1.1
2 L3 Switching Engine WS-F6K-PFC SAD04220KC5 1.1
Cat6000> (enable)
In dit voorbeeld, neem aan dat dit Catalyst 6509 een kern switch in het netwerk is. De dubbele MSFC's in de switch zullen als NTP-servers functioneren voor andere routers en switches in het netwerk (inclusief de Supervisor Engine op deze switch zelf).
De MSFCs zullen hun klokken aan een meester NTP server synchroniseren die in een ver subnet in het netwerk gelegen is. In praktijk, zou dit een privé lokale NTP server, of een openbare NTP server kunnen zijn. In beide gevallen zou deze server zijn tijd doorgaans synchroniseren met een andere, lagere stratumkloktijd, zoals een atoomkloktijd.
De dubbele MSFCs in dit voorbeeld hebben configuratie synchronisatie (configuratie-sync) ingeschakeld. Dit synchroniseert automatisch de configuratie op de aangewezen MSFC aan de niet-aangewezen MSFC. Zie de Verwante sectie van Informatie voor meer informatie over configuratie-sync.
Hier is de configuratie van MSFC15 (de aangewezen MSFC). De configuratie op MSFC16 is precies het zelfde, met uitzondering dat voor die opdrachten waar de alt opdracht wordt gespecificeerd, MSFC16 de opdracht na het alt sleutelwoord gebruikt. Bijvoorbeeld, de hostname van MSFC15 is MSFC15; de hostnaam van MSFC16 is MSFC16.
version 12.1 no service pad ! !--- Enable service timestamps datetime! service timestamps debug datetime msec localtime service timestamps log datetime msec localtime ! no service password-encryption ! ! !--- Hostnames for the MSFCs. hostname MSFC15 alt hostname MSFC16 ! boot system flash bootflash:c6msfc-jsv-mz.121-6.E.bin enable password cisco ! ! !Both MSFCs are in the PST timezone clock timezone PST -8 ! !--- Both MSFCs will adjust the clock for Daylight Saving Time. clock summer-time PDT recurring ! !--- If connectivity to the NTP server is lost, the calendar is used. !as an authoritative time source clock calendar-valid ! ! ip subnet-zero ! ! no ip finger ip domain-name corp.com ip name-server 172.16.55.120 ip name-server 171.16.60.120 ! ! !config-sync is enabled redundancy high-availability config-sync ! ! ! !--- Each MSFC has a loopback0 interface in a different /30 subnet. interface Loopback0 ip address 10.10.10.1 255.255.255.252 alt ip address 10.10.10.5 255.255.255.252 ! ! !--- VLAN 1 is the management subnet, where the switch sc0 interface is located. interface Vlan1 description Network Management Subnet ip address 172.16.100.2 255.255.255.0 alt ip address 172.16.100.3 255.255.255.0 no ip redirects standby 1 priority 105 preempt alt standby 1 priority 100 preempt standby 1 ip 172.16.100.1 alt standby 1 ip 172.16.100.1 ! <VARIOUS VLAN INTERFACES NOT RELEVANT TO THIS EXAMPLE> ! router eigrp 10 network 10.0.0.0 network 172.0.0.0 network 172.0.0.0 0.255.255.255 no auto-summary eigrp log-neighbor-changes ! ip classless no ip http server ! ! ! line con 0 transport input none line vty 0 4 password cisco login transport input lat pad mop telnet rlogin udptn nasi ! ! !--- Each MSFC uses the IP address of the loopback0 interface as !--- the source IP for NTP packets. ntp source Loopback0 ! !--- The MSFCs will update the hardware calendar with the NTP time. ntp update-calendar ! !--- Both MSFCs are getting the time from 10.100.100.1. ntp server 10.100.100.1 ! end |
Opmerking: Sommige opdrachten ondersteunen het alt sleutelwoord niet en kunnen daarom niet met de sync-sync worden gebruikt. Een voorbeeld is de ntp peer opdracht. Ondersteuning van configuratie-sync voor deze opdracht zou MSFC15 en MSFC16 in staat stellen om een NTP-peer-relatie op te zetten. Als dit in uw netwerk een vereiste is, kunt u configuratie-sync's uitschakelen en handmatig garanderen dat de configuraties op de twee MSFC's voldoen aan de vereisten voor dubbele MSFC-systemen. Zie het gedeelte Verwante informatie voor meer informatie.
Op de Supervisor Engine, behoort de sc0 beheerinterface (172.16.100.100) tot VLAN 1. De standaardgateway voor de switch is het HSRP (Hot Standby Router Protocol) IP-adres op de VLAN 1 interface (172.16.100.1)
De Supervisor Engine wijst op twee NTP-servers voor redundantie, de loopback0-interfaces op MSFC15 en MSFC16. Andere switches en routers in het netwerk zijn geconfigureerd om hetzelfde te doen.
Een nadeel van deze implementatie is dat als de gehele switch faalt, andere apparaten in het netwerk unsynchroon worden. Een alternatieve configuratie voor redundantie zou MSFC's in verschillende chassis hebben geconfigureerd als NTP-servers, zodat als een chassis faalt, de andere als NTP-server blijft functioneren.
Dit is de NTP-configuratie op de switch:
#ntp # #NTP client mode is enabled set ntp client enable # #NTP server IP addresses (loopback0 interfaces on MSFC15 and MSFC16) set ntp server 10.10.10.1 set ntp server 10.10.10.5 # #Switch is in the PST timezone set timezone PST -8 0 # #Switch will adjust clock for Daylight Saving Time set summertime enable PDT set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60 |
NTP-verificatie gebruiken
NTP-verificatie voegt een beveiligingsniveau toe aan uw NTP-configuratie. U vormt een NTP-reekscode op elk apparaat. De toets wordt versleuteld met een hashingalgoritme van Message Digest 5 (MD5), en de versleutelde sleutel wordt doorgegeven in elk NTP-pakket. Voordat een NTP-pakket wordt verwerkt, wordt de toets gecontroleerd met de geconfigureerde toets op het ontvangende apparaat.
Dit is de configuratie van MSFC15 (de aangewezen MSFC) met de toegevoegde NTP-verificatieopdrachten. De configuratie op MSFC16 is precies hetzelfde.
!--- The key string for NTP authentication key 10 is "ticktock" !--- (the key string is shown encrypted in the configuration) ntp authentication-key 10 md5 ticktock ! !--- Enables NTP authentication ntp authenticate ! !--- Makes NTP authentication key "10" a trusted key ntp trusted-key 10 ! ntp source Loopback0 ntp update-calendar ntp server 10.100.100.1 |
Dit is de NTP-configuratie op de switch met NTP-verificatie ingeschakeld:
#ntp set ntp client enable # #Enables NTP authentication set ntp authentication enable # #The key string for NTP authentication key 10 is "ticktock" #(the key string is shown encrypted in the configuration) set ntp key 10 trusted md5 ticktock # #NTP server IP addresses, configured to use authentication key 10 set ntp server 10.10.10.1 key 10 set ntp server 10.10.10.5 key 10 # set timezone PST -8 0 set summertime enable PDT set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60 |
Probleemoplossing
Kloktijd is niet-gesynchroniseerd
De kloktijd is niet-gesynchroniseerd en doet zich voor wanneer de NTP-master het NTP-clientverzoek niet echt bevestigt. Dit type probleem kan voorkomen wanneer de authenticatiesleutel en het wachtwoord niet op het hoofdeinde zijn ingesteld.
Deze klokonsynchronisatie kan worden bevestigd met de uitvoer van de NTP-status van de show en de opdrachten van de ntp-associatie tonen.
R2#show ntp status Clock is unsynchronized, stratum 16, no reference clock !--- Output suppressed.
Vanuit de vorige opdrachtoutput van de show, is de klok niet gesynchroniseerd en zonder referentieklok bevestig de synchronisatie-kloktijd
R2#show ntp association detail 12.0.0.1 configured, insane, invalid, unsynced, stratum 16 !--- Output suppressed.
Van deze uitvoer, krankzinnig, ongeldig, ongesynchroon bevestigt de klokunsynchronisatie van client met de master.
Gerelateerde informatie
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)