تكوين أفضل الممارسات لمزامنة NTP في عمليات نشر SD-WAN
المقدمة
يوضح هذا المستند كيف أن بروتوكول وقت الشبكة (NTP) يعد أمرا بالغ الأهمية للحفاظ على مزامنة الوقت بدقة عبر الأجهزة الموجودة في بنية SD-WAN.
الخلفية
بدون مزامنة الوقت المناسبة، قد تفشل العمليات الهامة مثل الاتصال الآمن والتحقق من صحة الشهادة والتسجيل. SD-WAN هو حل شبكة قائم على الشهادة وآمن ويستند إلى السياسات. تعد مزامنة الوقت باستخدام بروتوكول وقت الشبكة (NTP) قاعدة أساسية للحفاظ على تكامل بنية SD-WAN وأمنها ووظائفها.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة من cisco برمجية يعرف مساحة شبكة واسعة (SDWAN) حل.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:
- C8000V الإصدار 17.15.03a
- vManage الإصدار 20.15.03.1
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
أهم الأسباب
- تستخدم شبكة WAN الخاصة ببروتوكول SD ترخيصا رقميا لمصادقة الجهاز. تحتوي هذه الشهادات على تواريخ صلاحية من وانتهاء صلاحية. إذا كانت ساعة الجهاز غير دقيقة، يمكن أن تعتقد أن الشهادة إما منتهية الصلاحية أو غير صالحة بعد.
vbond-west# show orchestrator connections-history PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE LOCAL/REMOTE COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vmanage dtls 10.1.1.7 101019 0 10.1.2.190 12646 192.168.2.190 12646 default tear_down CRTVERFL/CRTVERFL
Crtverfl - فشل التحقق من شهادة النظير
في هذه الحالة، حيث أن الوقت يقع خارج تاريخ صلاحية الشهادة، يفشل التحقق من حدوث خطأ في شهادة النظير. - تعتمد أنفاق DTLS/TLS بين موجه الحافة ووحدات التحكم على المصادقة المستندة إلى الشهادة. قد يتسبب عدم تطابق الوقت في حدوث حالات فشل في مصافحة الاتصال مما يؤدي إلى قطع اتصال التحكم.
- تم ختم السجلات الموجودة على أجهزة ووحدات التحكم الطرفية بختم الوقت. إذا كان الوقت خارج نطاق المزامنة، فسوف تتم محاذاة السجلات الواردة من أجهزة مختلفة مما يجعل إرتباط الحدث واستكشاف الأخطاء وإصلاحها أمرا صعبا.
- تعتمد أدوات مثل vAnalytics وأنظمة المراقبة الخارجية على الطوابع الزمنية الدقيقة لمراقبة إتفاقية مستوى الخدمة وتقارير الأداء والعلاقة المتبادلة بين الأحداث.
التكوين
يوضح هذا المستند كيفية تكوين NTP باستخدام قالب الميزات ومجموعات التكوين و CLI.
التكوين المرجعي
ضابط
system
ntp
keys
authentication 1001 md5 $4$KXLzYT9k6M8zj4BgLEFXKw==
authentication 1002 md5 $4$KXLzYTxk6M8zj4BgLEFXKw==
authentication 1003 md5 $4$KXLzYT1k6M8zj4BgLEFXKw==
trusted 1001 1002
!
server 192.168.15.243
key 1001
vpn 512
version 4
exit
server 192.168.15.242
key 1002
vpn 512
version 4
exit
server us.pool.ntp.org
vpn 512
version 4
exit
!
!موجه Cisco Edge
cEdge_DC1_West_R01#show running-config | sec ntp
ntp server time.google.com prefer
ntp server pool.ntp.org
cEdge_DC1_West_R01#show sdwan running-config ntp
ntp server pool.ntp.org version 4
ntp server time.google.com prefer version 4
If Mgmt VRF is used:
ntp server vrf Mgmt-intf pool.ntp.org version 4
ملاحظة: إذا تم إستخدام شبكة VPN 0 لتكوين NTP، فيجب السماح بخدمة NTP على واجهة النفق. إذا تم إستخدام مضيفي FQDN لخوادم NTP، فيجب أن يكون لدى الجهاز DNS تم تكوينه ليكون قادرا على حل FQDN إلى عنوان IP.
استكشاف الأخطاء وإصلاحها
يمكن إستخدام هذا المستند للتحقق من بروتوكول وقت الشبكة (NTP) وفهم المراحل المختلفة لمزامنة بروتوكول وقت الشبكة (NTP) لاستكشاف أخطاء وحدات التحكم وأجهزة الحافة وإصلاحها:
وحدات التحكم:
https://www.cisco.com/c/en/us/support/docs/routers/sd-wan/221015-understand-ntp-association-codes-in-sd-w.html
vEdge:
cEdge:
https://www.cisco.com/c/en/us/support/docs/ip/network-time-protocol-ntp/116161-trouble-ntp-00.html
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
13-Jan-2026
|
الإصدار الأولي |
التعليقات