NTP-Beispielkonfiguration für einen Catalyst 6000-Switch mit Verfügbarkeit
Inhalt
Einführung
Dieses Dokument enthält ein Beispiel für eine NTP-Konfiguration (Network Time Protocol) für einen Catalyst Switch der Serie 6000 mit redundanten Supervisor Engines und Dual Multilayer Switch Feature Cards (MSFCs) mit aktivierter Konfigurationssynchronisierung.
Vorbereitungen
Konventionen
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
Voraussetzungen
Es sind keine besonderen Voraussetzungen erforderlich, um den Inhalt dieses Dokuments nachzuvollziehen.
Verwendete Komponenten
Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.
NTP-Beispielkonfiguration für einen Catalyst 6000-Switch mit hoher Verfügbarkeit
Abbildung 1 zeigt die Netzwerktopologie für diese Beispielkonfiguration.
Abbildung 1: Netzwerktopologie
Dieses Beispiel zeigt einen Catalyst 6509 mit redundanten Supervisor Engines und MSFCs. Dies ist die Ausgabe des Befehls show module vom Switch:
Cat6000> (enable) show module
Mod Slot Ports Module-Type Model Sub Status
--- ---- ----- ------------------------- ------------------- --- --------
1 1 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes ok
15 1 1 Multilayer Switch Feature WS-F6K-MSFC no ok
2 2 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes standby
16 2 1 Multilayer Switch Feature WS-F6K-MSFC no ok
3 3 48 10/100BaseTX Ethernet WS-X6348-RJ-45 no ok
Mod Module-Name Serial-Num
--- ------------------- -----------
1 SAD04240E48
15 SAD042406UW
2 SAD042400YL
16 SAD042407KG
3 SAL04440WY6
Mod MAC-Address(es) Hw Fw Sw
--- -------------------------------------- ------ ---------- -----------------
1 00-30-7b-96-7c-5a to 00-30-7b-96-7c-5b 3.1 5.3(1) 5.5(7)
00-30-7b-96-7c-58 to 00-30-7b-96-7c-59
00-02-7e-02-a0-00 to 00-02-7e-02-a3-ff
15 00-d0-d3-a3-b6-a7 to 00-d0-d3-a3-b6-e6 1.4 12.1(6)E 12.1(6)E
2 00-d0-c0-cf-72-12 to 00-d0-c0-cf-72-13 3.1 5.3(1) 5.5(7)
00-d0-c0-cf-72-10 to 00-d0-c0-cf-72-11
16 00-d0-c0-cf-72-14 to 00-d0-c0-cf-72-53 1.4 12.1(6)E 12.1(6)E
3 00-03-6c-29-ba-b0 to 00-03-6c-29-ba-df 1.4 5.4(2) 5.5(7)
Mod Sub-Type Sub-Model Sub-Serial Sub-Hw
--- ----------------------- ------------------- ----------- ------
1 L3 Switching Engine WS-F6K-PFC SAD04240L70 1.1
2 L3 Switching Engine WS-F6K-PFC SAD04220KC5 1.1
Cat6000> (enable)
In diesem Beispiel nehmen Sie an, dass der Catalyst 6509 ein Core-Switch im Netzwerk ist. Die dualen MSFCs im Switch fungieren als NTP-Server für andere Router und Switches im Netzwerk (einschließlich der Supervisor Engine auf diesem Switch selbst).
Die MSFCs synchronisieren ihre Uhren mit einem Master-NTP-Server, der sich in einem Remote-Subnetz im Netzwerk befindet. In der Praxis kann es sich um einen privaten lokalen NTP-Server oder einen öffentlichen NTP-Server handeln. In beiden Fällen synchronisiert dieser Server seine Uhrzeit normalerweise mit einer anderen, niedrigeren Stratum-Uhr, z. B. einer Atomuhr.
Bei den beiden MSFCs in diesem Beispiel ist die Konfigurationssynchronisierung (config-sync) aktiviert. Dadurch wird die Konfiguration auf der festgelegten MSFC automatisch mit der nicht festgelegten MSFC synchronisiert. Weitere Informationen zur Konfigurationssynchronisierung finden Sie im Abschnitt Zugehörige Informationen.
Hier ist die Konfiguration von MSFC15 (die designierte MSFC). Die Konfiguration für MSFC16 ist identisch, mit der Ausnahme, dass MSFC16 für Befehle, für die der alt-Befehl angegeben ist, den Befehl nach dem alt-Schlüsselwort verwendet. Beispielsweise lautet der Hostname von MSFC15 MSFC15. Der Hostname von MSFC16 lautet MSFC16.
version 12.1 no service pad ! !--- Enable service timestamps datetime! service timestamps debug datetime msec localtime service timestamps log datetime msec localtime ! no service password-encryption ! ! !--- Hostnames for the MSFCs. hostname MSFC15 alt hostname MSFC16 ! boot system flash bootflash:c6msfc-jsv-mz.121-6.E.bin enable password cisco ! ! !Both MSFCs are in the PST timezone clock timezone PST -8 ! !--- Both MSFCs will adjust the clock for Daylight Saving Time. clock summer-time PDT recurring ! !--- If connectivity to the NTP server is lost, the calendar is used. !as an authoritative time source clock calendar-valid ! ! ip subnet-zero ! ! no ip finger ip domain-name corp.com ip name-server 172.16.55.120 ip name-server 171.16.60.120 ! ! !config-sync is enabled redundancy high-availability config-sync ! ! ! !--- Each MSFC has a loopback0 interface in a different /30 subnet. interface Loopback0 ip address 10.10.10.1 255.255.255.252 alt ip address 10.10.10.5 255.255.255.252 ! ! !--- VLAN 1 is the management subnet, where the switch sc0 interface is located. interface Vlan1 description Network Management Subnet ip address 172.16.100.2 255.255.255.0 alt ip address 172.16.100.3 255.255.255.0 no ip redirects standby 1 priority 105 preempt alt standby 1 priority 100 preempt standby 1 ip 172.16.100.1 alt standby 1 ip 172.16.100.1 ! <VARIOUS VLAN INTERFACES NOT RELEVANT TO THIS EXAMPLE> ! router eigrp 10 network 10.0.0.0 network 172.0.0.0 network 172.0.0.0 0.255.255.255 no auto-summary eigrp log-neighbor-changes ! ip classless no ip http server ! ! ! line con 0 transport input none line vty 0 4 password cisco login transport input lat pad mop telnet rlogin udptn nasi ! ! !--- Each MSFC uses the IP address of the loopback0 interface as !--- the source IP for NTP packets. ntp source Loopback0 ! !--- The MSFCs will update the hardware calendar with the NTP time. ntp update-calendar ! !--- Both MSFCs are getting the time from 10.100.100.1. ntp server 10.100.100.1 ! end |
Hinweis: Einige Befehle unterstützen das alt-Schlüsselwort nicht und können daher nicht mit config-sync verwendet werden. Ein Beispiel hierfür ist der Befehl ntp peer. Durch die Unterstützung der Konfigurationssynchronisierung für diesen Befehl kann MSFC15 und MSFC16 eine NTP-Peer-Beziehung aufbauen. Wenn dies in Ihrem Netzwerk erforderlich ist, können Sie die Konfig-Synchronisierung deaktivieren und manuell sicherstellen, dass die Konfigurationen der beiden MSFCs die Anforderungen für duale MSFC-Systeme erfüllen. Weitere Informationen finden Sie im Abschnitt Zugehörige Informationen.
Auf der Supervisor Engine gehört die sc0-Verwaltungsschnittstelle (172.16.100.100) zu VLAN 1. Das Standard-Gateway für den Switch ist die HSRP-IP-Adresse (Hot Standby Router Protocol) an der VLAN 1-Schnittstelle (172.16.100.1).
Die Supervisor Engine verweist aus Redundanzgründen auf zwei NTP-Server, die Loopback0-Schnittstellen auf MSFC15 und MSFC16. Andere Switches und Router im Netzwerk sind so konfiguriert, dass sie dasselbe tun.
Ein Nachteil dieser Implementierung besteht darin, dass andere Geräte im Netzwerk beim Ausfall des gesamten Switches nicht synchronisiert sind. Bei einer alternativen Redundanzkonfiguration würden MSFCs in verschiedenen Chassis als NTP-Server konfiguriert, sodass bei Ausfall eines Chassis das andere weiterhin als NTP-Server fungiert.
Dies ist die NTP-Konfiguration auf dem Switch:
#ntp # #NTP client mode is enabled set ntp client enable # #NTP server IP addresses (loopback0 interfaces on MSFC15 and MSFC16) set ntp server 10.10.10.1 set ntp server 10.10.10.5 # #Switch is in the PST timezone set timezone PST -8 0 # #Switch will adjust clock for Daylight Saving Time set summertime enable PDT set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60 |
NTP-Authentifizierung verwenden
Durch die NTP-Authentifizierung wird Ihrer NTP-Konfiguration ein Sicherheitsniveau hinzugefügt. Auf jedem Gerät wird eine NTP-Schlüsselzeichenfolge konfiguriert. Der Schlüssel wird mit einem MD5-Hashing-Algorithmus (Message Digest 5) verschlüsselt, und der verschlüsselte Schlüssel wird in jedem NTP-Paket übergeben. Bevor ein NTP-Paket verarbeitet wird, wird der Schlüssel mit dem konfigurierten Schlüssel auf dem empfangenden Gerät abgeglichen.
Dies ist die Konfiguration von MSFC15 (der designierten MSFC) mit den hinzugefügten NTP-Authentifizierungsbefehlen. Die Konfiguration für MSFC16 ist identisch.
!--- The key string for NTP authentication key 10 is "ticktock" !--- (the key string is shown encrypted in the configuration) ntp authentication-key 10 md5 ticktock ! !--- Enables NTP authentication ntp authenticate ! !--- Makes NTP authentication key "10" a trusted key ntp trusted-key 10 ! ntp source Loopback0 ntp update-calendar ntp server 10.100.100.1 |
Dies ist die NTP-Konfiguration auf dem Switch mit aktivierter NTP-Authentifizierung:
#ntp set ntp client enable # #Enables NTP authentication set ntp authentication enable # #The key string for NTP authentication key 10 is "ticktock" #(the key string is shown encrypted in the configuration) set ntp key 10 trusted md5 ticktock # #NTP server IP addresses, configured to use authentication key 10 set ntp server 10.10.10.1 key 10 set ntp server 10.10.10.5 key 10 # set timezone PST -8 0 set summertime enable PDT set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60 |
Fehlerbehebung
Uhr ist nicht synchronisiert
Das Problem mit der Uhrzeit ist nicht synchronisiert, wenn der NTP-Master die NTP-Clientanforderung nicht authentifiziert. Dieses Problem kann auftreten, wenn der Authentifizierungsschlüssel und das Kennwort nicht auf dem Master-Ende konfiguriert sind.
Diese Uhrenentsynchronisierung kann mit der Ausgabe des show ntp status und der Befehle ntp zuordnungsdetails bestätigt werden.
R2#show ntp status Clock is unsynchronized, stratum 16, no reference clock !--- Output suppressed.
Aus der vorherigen Ausgabe des Befehls show ist die Uhr nicht synchronisiert und keine Referenzuhr bestätigt die Uhrentsynchronisierung.
R2#show ntp association detail 12.0.0.1 configured, insane, invalid, unsynced, stratum 16 !--- Output suppressed.
Aus dieser Ausgabe bestätigt der wahnsinnige, ungültige, nicht synchronisierte Client die Uhrentsynchronisierung zwischen Client und Master.
Zugehörige Informationen
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)