Introduction
Ce document fournit un exemple de configuration du Protocole d'Heure Réseau (NTP) pour un commutateur de la gamme Catalyst 6000 avec des moteurs de superviseur redondants et des cartes de commutation multicouche (MSFC) doubles dont la synchronisation de configuration est activée.
Avant de commencer
Conventions
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Conditions préalables
Aucune condition préalable spécifique n'est requise pour ce document.
Components Used
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
Exemple de configuration NTP pour commutateur Catalyst 6000 de haute disponibilité
La figure 1 montre la topologie du réseau pour cet exemple de configuration.
Figure 1 : Topologie du réseau
Cet exemple montre un Catalyst 6509 avec des moteurs de superviseur redondants et des MSFC. Voici le résultat de la commande show module du commutateur :
Cat6000> (enable) show module
Mod Slot Ports Module-Type Model Sub Status
--- ---- ----- ------------------------- ------------------- --- --------
1 1 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes ok
15 1 1 Multilayer Switch Feature WS-F6K-MSFC no ok
2 2 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes standby
16 2 1 Multilayer Switch Feature WS-F6K-MSFC no ok
3 3 48 10/100BaseTX Ethernet WS-X6348-RJ-45 no ok
Mod Module-Name Serial-Num
--- ------------------- -----------
1 SAD04240E48
15 SAD042406UW
2 SAD042400YL
16 SAD042407KG
3 SAL04440WY6
Mod MAC-Address(es) Hw Fw Sw
--- -------------------------------------- ------ ---------- -----------------
1 00-30-7b-96-7c-5a to 00-30-7b-96-7c-5b 3.1 5.3(1) 5.5(7)
00-30-7b-96-7c-58 to 00-30-7b-96-7c-59
00-02-7e-02-a0-00 to 00-02-7e-02-a3-ff
15 00-d0-d3-a3-b6-a7 to 00-d0-d3-a3-b6-e6 1.4 12.1(6)E 12.1(6)E
2 00-d0-c0-cf-72-12 to 00-d0-c0-cf-72-13 3.1 5.3(1) 5.5(7)
00-d0-c0-cf-72-10 to 00-d0-c0-cf-72-11
16 00-d0-c0-cf-72-14 to 00-d0-c0-cf-72-53 1.4 12.1(6)E 12.1(6)E
3 00-03-6c-29-ba-b0 to 00-03-6c-29-ba-df 1.4 5.4(2) 5.5(7)
Mod Sub-Type Sub-Model Sub-Serial Sub-Hw
--- ----------------------- ------------------- ----------- ------
1 L3 Switching Engine WS-F6K-PFC SAD04240L70 1.1
2 L3 Switching Engine WS-F6K-PFC SAD04220KC5 1.1
Cat6000> (enable)
Dans cet exemple, supposons que ce Catalyst 6509 est un commutateur de base dans le réseau. Les MSFC doubles dans le commutateur fonctionneront en tant que serveurs NTP pour d'autres routeurs et commutateurs du réseau (y compris le moteur de superviseur sur ce commutateur lui-même).
Les MSFC synchroniseront leurs horloges sur un serveur NTP principal situé sur un sous-réseau distant du réseau. Dans la pratique, il pourrait s'agir d'un serveur NTP local privé ou d'un serveur NTP public. Dans l'un ou l'autre cas, ce serveur synchronise généralement son temps avec celui d'une autre horloge de strate inférieure, telle qu'une horloge atomique.
Dans cet exemple, la synchronisation de configuration (config-sync) est activée pour les MSFC doubles. Cela synchronise automatiquement la configuration sur la MSFC indiquée avec la MSFC non désignée. Consultez la section Informations connexes pour plus d'informations sur config-sync.
Voici la configuration de MSFC15 (la MSFC indiquée). La configuration sur MSFC16 est identique, sauf que pour les commandes où alt est spécifié, MSFC16 utilise la commande après le mot clé alt. Par exemple, le nom d'hôte de MSFC15 est MSFC15 ; le nom d'hôte de MSFC16 est MSFC16.
version 12.1
no service pad
!
!--- Enable service timestamps datetime!
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
!
no service password-encryption
!
!
!--- Hostnames for the MSFCs.
hostname MSFC15 alt hostname MSFC16
!
boot system flash bootflash:c6msfc-jsv-mz.121-6.E.bin
enable password cisco
!
!
!Both MSFCs are in the PST timezone
clock timezone PST -8
!
!--- Both MSFCs will adjust the clock for Daylight Saving Time.
clock summer-time PDT recurring
!
!--- If connectivity to the NTP server is lost, the calendar is used.
!as an authoritative time source
clock calendar-valid
!
!
ip subnet-zero
!
!
no ip finger
ip domain-name corp.com
ip name-server 172.16.55.120
ip name-server 171.16.60.120
!
!
!config-sync is enabled
redundancy
high-availability
config-sync
!
!
!
!--- Each MSFC has a loopback0 interface in a different /30 subnet.
interface Loopback0
ip address 10.10.10.1 255.255.255.252 alt ip address 10.10.10.5 255.255.255.252
!
!
!--- VLAN 1 is the management subnet, where the switch sc0 interface is located.
interface Vlan1
description Network Management Subnet
ip address 172.16.100.2 255.255.255.0 alt ip address 172.16.100.3 255.255.255.0
no ip redirects
standby 1 priority 105 preempt alt standby 1 priority 100 preempt
standby 1 ip 172.16.100.1 alt standby 1 ip 172.16.100.1
!
<VARIOUS VLAN INTERFACES NOT RELEVANT TO THIS EXAMPLE>
!
router eigrp 10
network 10.0.0.0
network 172.0.0.0
network 172.0.0.0 0.255.255.255
no auto-summary
eigrp log-neighbor-changes
!
ip classless
no ip http server
!
!
!
line con 0
transport input none
line vty 0 4
password cisco
login
transport input lat pad mop telnet rlogin udptn nasi
!
!
!--- Each MSFC uses the IP address of the loopback0 interface as !--- the source IP for NTP packets.
ntp source Loopback0
!
!--- The MSFCs will update the hardware calendar with the NTP time.
ntp update-calendar
!
!--- Both MSFCs are getting the time from 10.100.100.1.
ntp server 10.100.100.1
!
end |
Remarque : certaines commandes ne prennent pas en charge le mot clé alt et ne peuvent donc pas être utilisées avec config-sync. La commande ntp peer en est un exemple. La prise en charge de config-sync pour cette commande permettrait à MSFC15 et à MSFC16 d'établir une relation d'homologues NTP. Si c'est une condition requise dans votre réseau, vous pouvez désactiver config-sync et vous assurer manuellement que les configurations sur les deux MSFC répondent aux exigences des systèmes MSFC doubles. Consultez la section Informations connexes pour obtenir plus d'informations.
Sur le moteur de superviseur, l'interface de gestion sc0 (172.16.100.100) appartient au VLAN 1. La passerelle par défaut pour le commutateur est l'adresse IP Hot Standby Router Protocol (HSRP) sur l'interface VLAN 1 (172.16.100.1)
Le moteur de superviseur pointe sur deux serveurs NTP pour la redondance, les interfaces loopback0 sur MSFC15 et MSFC16. D'autres commutateurs et routeurs du réseau sont configurés pour effectuer la même chose.
Cette implémentation présente un inconvénient : si l'intégralité du commutateur échoue, d'autres périphériques du réseau deviennent non synchronisés. Une autre configuration de redondance consisterait à placer des MSFC dans différent châssis configurés comme serveurs NTP, de sorte que si un châssis échoue, l'autre continue à fonctionner en tant que serveur NTP.
Voici la configuration NTP sur le commutateur :
#ntp
#
#NTP client mode is enabled
set ntp client enable
#
#NTP server IP addresses (loopback0 interfaces on MSFC15 and MSFC16)
set ntp server 10.10.10.1
set ntp server 10.10.10.5
#
#Switch is in the PST timezone
set timezone PST -8 0
#
#Switch will adjust clock for Daylight Saving Time
set summertime enable PDT
set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60 |
Utilisation de l'authentification NTP
L'authentification NTP ajoute un niveau de sécurité à votre configuration. Vous configurez une chaîne de clés NTP sur chaque périphérique. La clé est chiffrée à l'aide d'un algorithme de hachage Message Digest 5 (MD5) et la clé chiffrée est transmise dans chaque paquet NTP. Avant qu'un paquet NTP soit traité, la clé est comparée à la clé configurée sur le périphérique de réception.
Voici la configuration de MSFC15 (la MSFC indiquée) avec les commandes d'authentification NTP. La configuration sur MSFC16 est strictement identique.
!--- The key string for NTP authentication key 10 is "ticktock"
!--- (the key string is shown encrypted in the configuration)
ntp authentication-key 10 md5 ticktock
!
!--- Enables NTP authentication
ntp authenticate
!
!--- Makes NTP authentication key "10" a trusted key
ntp trusted-key 10
!
ntp source Loopback0
ntp update-calendar
ntp server 10.100.100.1 |
Voici la configuration NTP sur le commutateur avec l'authentification NTP activée :
#ntp
set ntp client enable
#
#Enables NTP authentication
set ntp authentication enable
#
#The key string for NTP authentication key 10 is "ticktock"
#(the key string is shown encrypted in the configuration)
set ntp key 10 trusted md5 ticktock
#
#NTP server IP addresses, configured to use authentication key 10
set ntp server 10.10.10.1 key 10
set ntp server 10.10.10.5 key 10
#
set timezone PST -8 0
set summertime enable PDT
set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60 |
Dépannage
L'horloge n'est pas synchronisée
La non-synchronisation de l'horloge est un problème qui se produit quand le NTP principal n'authentifie pas la requête du client NTP. Ce type de problème peut se produire quand la clé d'authentification et le mot de passe ne sont pas configurés sur l'extrémité principale.
Cette non-synchronisation de l'horloge peut être vérifiée à l'aide des commandes show ntp status et show ntp association detail.
R2#show ntp status
Clock is unsynchronized, stratum 16, no reference clock
!--- Output suppressed.
D'après le résultat de la commande show précédente, Clock is unsynchronized et no reference clock confirment la non-synchronisation de l'horloge
R2#show ntp association detail
12.0.0.1 configured, insane, invalid, unsynced, stratum 16
!--- Output suppressed.
D'après ce résultat, insane, invalid, unsynced confirment la non-synchronisation du client avec le serveur principal.
Informations connexes