はじめに
このドキュメントでは、Nexus 9000プラットフォームがネットワークタイムプロトコル(NTP)サーバとクライアントの両方として動作するための簡単な設定と検証について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Nexus NX-OS ソフトウェア
- ネットワークタイムプロトコル(NTP)。
使用するコンポーネント
このドキュメントの情報は、NXOSバージョン10.2(5)を搭載したCisco Nexus 9000に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
NTPは、ネットワーク内の一連のデバイスの時刻を同期して、 複数のネットワークデバイスからシステムログやその他の時間固有のイベントを受信した場合に、イベントを関連付けます。
ネットワーク図
コンフィギュレーション
ステップ 1:NTPを有効にします。
feature ntp
ステップ 2:クロックプロトコルをNTPに設定します。
clock protocol ntp
ステップ 3:NexusをNTPクライアントおよびサーバとして定義します。
警告:このプロトコルは、サーバからクライアントにパケットが交換された後でも、同期に数分かかる場合があります。
注:ストラタムの概念は、マシンと正規の時刻源との間の距離(NTPホップ単位)を示すためにNTPで採用されています。この値は、コマンド「ntp master <stratum>」を使用してNexusでNTPサーバを有効にするときに設定できます。
N9K-1# show running-config ntp
ntp source 10.0.0.1
ntp master 1
N9K-2# show running-config ntp
ntp server 10.0.0.1 use-vrf default
ntp source 10.0.0.2
ntp master 8
N9K-3# show running-config ntp
ntp server 172.16.0.1 use-vrf default
ntp source 172.16.0.2
確認
注:たとえば、検証はN9K-2のみに重点を置いています。これは、NTPサーバとクライアントの役割を同時に実行しているためです。
1.クロックがNTPプロトコルで設定されていることを確認します。
N9K-2# show clock
12:32:51.528 UTC Thu Sep 28 2023
Time source is NTP <<<<<
2. NTPサーバとNexus IPがリストされていることを確認します。
注:IPアドレス127.127.1.0のエントリは、Nexusがそれ自体と同期していることを示すローカルIPであり、NTPサーバのロールの一部としてローカルに生成された基準クロックソースを表します。
N9K-2# show ntp peers
--------------------------------------------------
Peer IP Address Serv/Peer
--------------------------------------------------
10.0.0.1 Server (configured)
127.127.1.0 Server (configured) <<<
3.設定されているNTPサーバが同期対象として選択されていることを確認します。
注:ストラタム(st)16は、サーバが信頼できる時刻源に現在同期されておらず、同期するように選択されないことを示します。Cisco NX-OSリリース10.1(1)以降では、13以下のストラタムのみ同期できます。
N9K-2# show ntp peer-status
Total peers : 2
* - selected for sync, + - peer mode(active),
- - peer mode(passive), = - polled in client mode
remote local st poll reach delay vrf
-----------------------------------------------------------------------------------------------------------------------
=127.127.1.0 10.0.0.2 8 16 0 0.00000
*10.0.0.1 10.0.0.2 2 32 377 0.00107default <<< server selected for sync (*)
4. NTPパケットが受信され、サーバに送信されることを確認します。
注:コマンド「show ntp statistics peer ipaddr <ntp-server>」は、NTPクライアントに対してのみ機能します。カウンタにデフォルト以外の値がある場合は、「clear ntp statistics all-peers」コマンドを使用してクリアできます。
N9K-2# show ntp statistics peer ipaddr 10.0.0.1
remote host: 10.0.0.1
local interface: 10.0.0.2
time last received: 28s
time until next send: 5s
reachability change: 876s
packets sent: 58 <<<<<
packets received: 58 <<<<<
bad authentication: 0
bogus origin: 0
duplicate: 0
bad dispersion: 0
bad reference time: 0
candidate order: 6
双方向NTPパケットフローのパケットキャプチャ例:
N9K-2# ethanalyzer local interface inband display-filter ntp limit-captured-frames 0
Capturing on 'ps-inb'
4 2024-01-01 03:23:47.900233043 172.16.0.2 → 172.16.0.1 NTP 90 NTP Version 4, client
2 5 2024-01-01 03:23:47.900863464 172.16.0.1 → 172.16.0.2 NTP 90 NTP Version 4, server
6 2024-01-01 03:23:52.926382561 10.0.0.2 → 10.0.0.1 NTP 90 NTP Version 4, client
4 7 2024-01-01 03:23:52.927169592 10.0.0.1 → 10.0.0.2 NTP 90 NTP Version 4, server
5. NexusからNTPクライアントに送信されるパケットを検索し、設定されたNTPサーバを参照として使用して確認します。
N9K-2# ethanalyzer local interface inband display-filter ntp limit-captured-frames 0 detail
Capturing on 'ps-inb'
...
6. ELAMを実行して、パケットがスーパーバイザ(COPP)リダイレクトACLの統計情報に正しく割り当てられているかどうかを確認します。
注:NTPトラフィックはCPUにパントする必要があるため、sup_hitフラグが設定されています。
N9K-2# debug platform internal tah elam
N9K-2(TAH-elam)# trigger init
Slot 1: param values: start asic 0, start slice 0, lu-a2d 1, in-select 6, out-select
N9K-2(TAH-elam-insel6)# reset
N9K-2(TAH-elam-insel6)# set outer ipv4 next-protocol 17 packet-len 76 src_ip 10.0.0.1 dst_ip 10.0.0.2
N9K-2(TAH-elam-insel6)# start
N9K-2(TAH-elam-insel6)# report
SUGARBOWL ELAM REPORT SUMMARY
slot - 1, asic - 0, slice - 0
============================
Incoming Interface: Eth1/48
Src Idx : 0xbd, Src BD : 4147
Outgoing Interface Info: dmod 0, dpid 0
Dst Idx : 0x5bf, Dst BD : 4147
Packet Type: IPv4
Dst MAC address: D4:77:98:2B:4C:87
Src MAC address: D4:77:98:2B:43:27
Sup hit: 1, Sup Idx: 2753 <<<<< packet punt identifier, use below CLI to resolve its meaning
Dst IPv4 address: 10.0.0.2
Src IPv4 address: 10.0.0.1
Ver = 4, DSCP = 0, Don't Fragment = 0
Proto = 17, TTL = 255, More Fragments = 0
Hdr len = 20, Pkt len = 76, Checksum = 0xae26
L4 Protocol : 17
UDP Dst Port : 123
UDP Src Port : 123
Drop Info:
----------
LUA:
LUB:
LUC:
LUD:
Final Drops:
vntag:
vntag_valid : 0
vntag_vir : 0
vntag_svif : 0
ELAM not triggered yet on slot - 1, asic - 0, slice - 1
N9K-2(TAH-elam-insel6)# show system internal access-list sup-redirect-stats | i 2753
2753 copp-system-p-acl-ntp 462 <<<<< correct ACL assigned
関連情報
Cisco Nexus 9000シリーズNX-OSシステム管理設定ガイド、リリース10.2(x)