瞭解SD-WAN控制器中的NTP關聯代碼
簡介
本文檔介紹如何瞭解SD-WAN控制器上的NTP關聯狀態代碼。
必要條件
- 所有控制器的VPN 0隧道介面內部必須允許NTP服務allow-service ntp。如果該服務不被允許,請使用此程式來啟用它。
config t
vpn 0
!
interface eth1
tunnel-interface
allow-service ntp
!
commit
- 所有控制器也必須配置NTP。請參考正式文檔,透過CLI或vManage模板配置NTP。
- 重疊中的所有控制器和所有節點必須配置同一個NTP伺服器,以便擁有相同的日期/小時。不同的日期/小時設定可能導致建立控制連線時出現問題。
注意:有關NTP配置,請參閱使用Cisco Vmanage配置NTP伺服器並使用CLI配置NTP。
註:有關控制連線建立問題的其他參考,請參閱SD-WAN控制連線故障排除。
採用元件
本檔案根據這些軟體和硬體版本:
- SD-WAN控制器版本20.9.3
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
SD-WAN控制器可以與網路時間協定(NTP)伺服器關聯,以實現網路時鐘同步。NTP建立在使用者資料包協定(UDP)埠13之上,可提供無連線傳輸方法。
在Viptela OS中,show ntp associations命令在連線進程中顯示不同的代碼,此代碼提供關於同步所處階段的資訊。可用於瞭解狀態或排除潛在問題。
問題
NTP關聯狀態可以顯示不同的值,這些值有助於找出NTP問題的根本原因,但仍需要人類可讀的解釋。
場景1:NTP連線已成功建立,代碼為961a。
vBond1# show ntp associations
LAST
IDX ASSOCID STATUS CONF REACHABILITY AUTH CONDITION EVENT COUNT
-----------------------------------------------------------------------------
1 42171 961a yes yes none sys.peer reachable 1
場景2:未建立NTP連線,代碼為8023。
vManage# show ntp associations
LAST
IDX ASSOCID STATUS CONF REACHABILITY AUTH CONDITION EVENT COUNT
----------------------------------------------------------------------------
1 14598 8023 yes no none reject mobilize 1
解決方案
代碼解釋
透過從場景1和2中獲得的這些代碼,可以將資訊轉換為人類可讀的資訊。
- 解碼第一個位元組:
- 場景1:從獲得的代碼961a中,第一個位元組9表示10+80(可到達並在ntp.conf中配置)。
- 場景2:從獲得的代碼8023中,第一個位元組8表示NTP伺服器已配置但無法訪問。
| 代碼 | 訊息 | 說明 |
| 08 | bcst | 廣播關聯 |
| 10 | reach | 主機可訪問 |
| 20 | authenb | 已啟用驗證 |
| 40 | 驗證 | 確定 |
| 80 | 設定 | 持續關聯 |
- 解碼第二個位元組:
- 場景1:從獲得的代碼961a中,第二個位元組6表示它是系統對等體。
- 場景2:從獲得的代碼8023中,第二個位元組0表示被丟棄為無效。
| 代碼 | 訊息 | T | 說明 |
| 0 | sel_reject | 已捨棄為無效(TEST10-TEST13) | |
| 1 | sel_falsetick | X | 交集演算法丟棄 |
| 2 | sel_excess | . | 被資料表溢位捨棄(未使用) |
| 3 | sel_outlyer | - | 被群集演算法丟棄 |
| 4 | sel_candidate | + | 包含於組合演演算法中 |
| 5 | sel_backup | # | 備份(超過tos maxclock源) |
| 6 | sel_sys.peer | * | 系統對等體 |
| 7 | sel_pps.peer | o | PPS對等體(當首選對等體有效時) |
- 解碼第三和第四位元組:第三位元組是第四位元組發生的次數。
- 場景1:從獲得的代碼961a來看,第三和第四位元組1a意味著該裝置曾經成為系統對等裝置。
- 場景2:從獲取的代碼8023來看,第三和第四位元組23意味著NTP已配置、不可訪問、被丟棄為無效,並且已兩次嘗試訪問它,但沒有成功。
| 代碼 | 訊息 | 說明 |
| 01 | 動員 | 關聯已移動 |
| 02 | 復原 | 已退伍的協會 |
| 03 | 無法連線 | 伺服器無法連線 |
| 04 | 可連線 | 伺服器可連線 |
| 05 | 重新啟動 | 關聯重新啟動 |
| 06 | no_reply | 找不到伺服器(ntpdate模式) |
| 07 | 超出速率 | 超出速率(接吻代碼RATE) |
| 08 | access_denied | 拒絕存取(接吻代碼DENY) |
| 09 | leap_armed | 從伺服器LI程式碼啟動leap |
| 0a | sys_peer | 成為系統對等體 |
| 0b | clock_event | 請參閱clock status word |
| 0c | bad_auth | 驗證失敗 |
| 0天 | 爆米花 | 爆米花穗抑制器 |
| 0e | interleave_mode | 進入交織模式 |
| 0f | interleave_error | 交織錯誤(已恢復) |
注意:有關NTP關聯代碼的更多參考,請參閱RFC5905。
結論
- 案例1的代碼961a表示:
- NTP伺服器可以在ntp.conf(位元組9)中訪問和配置。
- 它是系統對等體(位元組6)。
- 曾經成為系統對等體(位元組1和位元組a)。
- 案例2的代碼8023表示:
- 已配置NTP伺服器,但無法訪問(位元組8)。
- 這表示已放棄為無效(位元組0)。
- 這意味著NTP已配置、不可訪問、被丟棄為無效,並且已兩次嘗試訪問它,但沒有成功。(位元組2和位元組3)。
有用的命令
除show ntp associations外,這些命令還可用於NTP故障排除。
- show ntp peer:顯示Cisco SD-WAN軟體與其時鐘同步的NTP對等體的相關資訊。
- tcpdump test: Tcpdump test可用於確認控制器與NTP伺服器之間是否正在傳送和接收資料包。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
03-Oct-2023 |
初始版本 |
意見