تكوين أفضل الممارسات لمزامنة NTP في عمليات نشر SD-WAN

خيارات التنزيل

PDF (293.8 KB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub (81.9 KB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle) (68.2 KB)
عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة

تم التحديث:١٠ يناير ٢٠٢٦

معرّف المستند:225421

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

استكشاف الأخطاء وإصلاحها

المقدمة

يوضح هذا المستند كيف أن بروتوكول وقت الشبكة (NTP) يعد أمرا بالغ الأهمية للحفاظ على مزامنة الوقت بدقة عبر الأجهزة الموجودة في بنية SD-WAN.

الخلفية

بدون مزامنة الوقت المناسبة، قد تفشل العمليات الهامة مثل الاتصال الآمن والتحقق من صحة الشهادة والتسجيل. SD-WAN هو حل شبكة قائم على الشهادة وآمن ويستند إلى السياسات. تعد مزامنة الوقت باستخدام بروتوكول وقت الشبكة (NTP) قاعدة أساسية للحفاظ على تكامل بنية SD-WAN وأمنها ووظائفها.

المتطلبات الأساسية

المتطلبات

cisco يوصي أن يتلقى أنت معرفة من cisco برمجية يعرف مساحة شبكة واسعة (SDWAN) حل.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:

C8000V الإصدار 17.15.03a
vManage الإصدار 20.15.03.1

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

أهم الأسباب

تستخدم شبكة WAN الخاصة ببروتوكول SD ترخيصا رقميا لمصادقة الجهاز. تحتوي هذه الشهادات على تواريخ صلاحية من وانتهاء صلاحية. إذا كانت ساعة الجهاز غير دقيقة، يمكن أن تعتقد أن الشهادة إما منتهية الصلاحية أو غير صالحة بعد.

vbond-west# show orchestrator connections-history
         PEER     PEER     PEER             SITE        DOMAIN      PEER             PRIVATE  PEER             PUBLIC                                                     REPEAT               
INSTANCE TYPE     PROTOCOL SYSTEM IP        ID          ID          PRIVATE IP       PORT     PUBLIC IP        PORT    REMOTE COLOR     STATE             LOCAL/REMOTE    COUNT DOWNTIME       
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0        vmanage  dtls     10.1.1.7          101019      0           10.1.2.190       12646    192.168.2.190    12646   default          tear_down          CRTVERFL/CRTVERFL

Crtverfl - فشل التحقق من شهادة النظير

في هذه الحالة، حيث أن الوقت يقع خارج تاريخ صلاحية الشهادة، يفشل التحقق من حدوث خطأ في شهادة النظير.

تعتمد أنفاق DTLS/TLS بين موجه الحافة ووحدات التحكم على المصادقة المستندة إلى الشهادة. قد يتسبب عدم تطابق الوقت في حدوث حالات فشل في مصافحة الاتصال مما يؤدي إلى قطع اتصال التحكم.
تم ختم السجلات الموجودة على أجهزة ووحدات التحكم الطرفية بختم الوقت. إذا كان الوقت خارج نطاق المزامنة، فسوف تتم محاذاة السجلات الواردة من أجهزة مختلفة مما يجعل إرتباط الحدث واستكشاف الأخطاء وإصلاحها أمرا صعبا.
تعتمد أدوات مثل vAnalytics وأنظمة المراقبة الخارجية على الطوابع الزمنية الدقيقة لمراقبة إتفاقية مستوى الخدمة وتقارير الأداء والعلاقة المتبادلة بين الأحداث.

التكوين

يوضح هذا المستند كيفية تكوين NTP باستخدام قالب الميزات ومجموعات التكوين و CLI.

https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/system-interface/vedge-20-x/systems-interfaces-book/systems-interfaces.html#c-NTP-12298

https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/system-interface/ios-xe-17/systems-interfaces-book-xe-sdwan/m-02system-and-interfaces.html#ntp-server-cg

التكوين المرجعي

ضابط

system
 ntp
  keys
   authentication 1001 md5 $4$KXLzYT9k6M8zj4BgLEFXKw==
   authentication 1002 md5 $4$KXLzYTxk6M8zj4BgLEFXKw==
   authentication 1003 md5 $4$KXLzYT1k6M8zj4BgLEFXKw==
   trusted 1001 1002
  !
  server 192.168.15.243
   key     1001
   vpn     512
   version 4
  exit
  server 192.168.15.242
   key     1002
   vpn     512
   version 4
  exit
  server us.pool.ntp.org
   vpn     512
   version 4
  exit
 !
!

موجه Cisco Edge

cEdge_DC1_West_R01#show running-config | sec ntp
ntp server time.google.com prefer
ntp server pool.ntp.org

cEdge_DC1_West_R01#show sdwan running-config ntp 
ntp server pool.ntp.org version 4
ntp server time.google.com prefer version 4

If Mgmt VRF is used:
ntp server vrf Mgmt-intf pool.ntp.org version 4

ملاحظة: إذا تم إستخدام شبكة VPN 0 لتكوين NTP، فيجب السماح بخدمة NTP على واجهة النفق. إذا تم إستخدام مضيفي FQDN لخوادم NTP، فيجب أن يكون لدى الجهاز DNS تم تكوينه ليكون قادرا على حل FQDN إلى عنوان IP.

استكشاف الأخطاء وإصلاحها

يمكن إستخدام هذا المستند للتحقق من بروتوكول وقت الشبكة (NTP) وفهم المراحل المختلفة لمزامنة بروتوكول وقت الشبكة (NTP) لاستكشاف أخطاء وحدات التحكم وأجهزة الحافة وإصلاحها:

وحدات التحكم:
https://www.cisco.com/c/en/us/support/docs/routers/sd-wan/221015-understand-ntp-association-codes-in-sd-w.html

vEdge:

https://www.cisco.com/c/en/us/support/docs/routers/vedge-router/220330-troubleshoot-network-time-protocol-ntp.html

cEdge:
https://www.cisco.com/c/en/us/support/docs/ip/network-time-protocol-ntp/116161-trouble-ntp-00.html