NTP の概要
ここでは、次の内容について説明します。
• 「NTP の概要」
• 「CFS を使用した NTP の配信」
• 「ハイ アベイラビリティ」
• 「仮想化サポート」
NTP の概要
NTP は、分散している一連のタイム サーバとクライアント間で 1 日の時間を同期させ、複数のネットワーク デバイスから受信するシステム ログや時間関連のイベントを相互に関連付けられるようにします。NTP は、User Datagram Protocol(UDP; ユーザ データグラム プロトコル)をトランスポート プロトコルとして、標準 Universal Time Coordinated(UTC: 協定世界時)を使用します。
NTP サーバは通常、タイム サーバに接続されたラジオ クロックやアトミック クロックなどのソースから時刻を受信し、ネットワークを介してこの時刻を配信します。NTP はきわめて効率的です。毎分 1 パケットだけで、2 台のマシンが相互に 1 ミリ秒以内で同期します。
NTP では層(stratum)を使用して、ネットワーク デバイスと正規の時刻源の距離を表します。
• Stratum 1 タイム サーバは正規の時刻源(アトミック クロックなど)に直接接続されています。
• Stratum 2 NTP サーバは、Stratum 1 NTP サーバから NTP を使用して時刻を受信します。
同期の前に、NTP は複数のネットワーク サービスが報告した時刻を比較し、1 つの時刻が著しく異なる場合は、それが Stratum 1 であっても、同期しません。
Cisco NX-OS は、ラジオクロックまたはアトミック クロックに接続できず、Stratum 1 サーバとして動作することはできないため、インターネット上で利用できるパブリック NTP サーバを使用することを推奨します。
ネットワークがインターネットから切り離されている場合、Cisco NX-OS では、NTP によって時刻が同期されていなくても、NTP で同期されているものとして時刻を設定できます。その後、NTP を使用して、そのデバイスに他のネットワーク デバイスを同期させることができます。
(注) NTP ピア関係を作成して、サーバで障害が発生した場合に、ネットワーク デバイスを同期させて、正確な時刻を維持するための時刻提供ホストを指定できます。
CFS を使用した NTP の配信
Cisco Fabric Services(CFS)は、ローカル NTP コンフィギュレーションをネットワーク内のすべてのシスコ デバイスに配信します。デバイス上で CFS をイネーブルにすると、NTP コンフィギュレーションが起動された場合には常に、ネットワーク全体のロックが NTP に適用されます。NTP コンフィギュレーションを変更した後で、これらの変更を破棄することもコミットすることもできます。いずれの場合でも、CFS のロックはこのときに NTP アプリケーションから解放されます。
CFS の詳細については、「CFS の設定」を参照してください。
ハイ アベイラビリティ
NTP のステートレス リスタートがサポートされています。リブート後またはスーパーバイザ スイッチオーバー後に、実行コンフィギュレーションが適用されます。ハイ アベイラビリティの詳細については、『 Cisco Nexus 7000 Series NX-OS High Availability and Redundancy Guide, Release 5.x 』を参照してください。
NTP ピアを設定すると、NTP サーバ障害の発生時に冗長性が得られます。
仮想化サポート
プラットフォーム全体で、1 インスタンスの NTP がサポートされています。NTP はデフォルト VDC で設定する必要があります。別の VDC を指定しない限り、自動的にデフォルト VDC が使用されます。VDC の詳細については、『 Cisco Nexus 7000 Series NX-OS Virtual Device Context Configuration Guide, Release 5.x 』を参照してください。
NTP は Virtual Routing and Forwarding(VRF)インスタンスを認識します。NTP サーバおよび NTP ピアに対して特定の VRF を設定していない場合、NTP はデフォルトの VRF を使用します。VRF の詳細については、『 Cisco Nexus 7000 Series NX-OS Unicast Routing Configuration Guide, Release 5.x 』を参照してください。
注意事項および制約事項
NTP に関する設定時の注意事項および制約事項は、次のとおりです。
• 別のデバイスとの間にピア アソシエーションを設定できるのは、使用するクロックの信頼性が確実な場合(信頼できる NTP サーバのクライアントである場合)に限られます。
• 単独で設定したピアは、サーバの役割を担いますが、バックアップとして使用する必要があります。サーバが 2 台ある場合、いくつかのデバイスが一方のサーバに接続し、残りのデバイスが他方のサーバに接続するように設定できます。その後、2 台のサーバ間にピア アソシエーションを設定すると、信頼性の高い NTP 構成になります。
• サーバが 1 台だけの場合は、すべてのデバイスをそのサーバのクライアントとして設定する必要があります。
• 設定できる NTP エンティティ(サーバおよびピア)は、最大 64 です。
• NTP に対して CFS がディセーブルになっていると、その NTP からコンフィギュレーションは配信されず、ネットワーク内の他のデバイスからの配信も受け取られません。
• NTP に対して CFS 配信をイネーブルにしても、 commit コマンドを入力するまで、NTP コンフィギュレーション コマンドのエントリは NTP コンフィギュレーションに対してネットワークをロックします。ロック中は、ネットワーク内の(ロックを保持しているデバイス以外の)すべてのデバイスは NTP コンフィギュレーションを変更できません。
• CFS を使用して NTP をディセーブルにする場合、ネットワーク内のすべてのデバイスは、NTP に対して使用するよう設定したものと同じ VRF を持っている必要があります。
• VRF で NTP を設定する場合は、NTP サーバおよびピアが、設定された VRF を介して相互にアクセスできることを確認します。
• ネットワーク全体の NTP サーバおよび Cisco NX-OS デバイスに、NTP 認証キーを手動で配信する必要があります。
NTP の設定
ここでは、次の内容について説明します。
• 「NTP プロトコルのイネーブルまたはディセーブル」
• 「NTP サーバおよびピアの設定」
• 「NTP 認証の設定」
• 「NTP アクセス制限の設定」
• 「NTP ソース IP アドレスの設定」
• 「NTP ソース インターフェイスの設定」
• 「NTP ロギングの設定」
• 「NTP 用の CFS 配信のイネーブル」
• 「NTP コンフィギュレーション変更のコミット」
• 「NTP コンフィギュレーション変更の破棄」
• 「CFS セッション ロックの解放」
(注) この機能の Cisco NX-OS コマンドは、Cisco IOS のコマンドとは異なる場合があるので注意してください。
NTP プロトコルのイネーブルまたはディセーブル
NTP をイネーブルまたはディセーブルにできます。NTP はデフォルトでイネーブルです。NTP をディセーブルにしてから、もう一度イネーブルにできます。
操作の前に
正しい VDC を使用していることを確認します。VDC の変更は switchto vdc コマンドを使用します。
手順の概要
1. config t
2. [no] ntp enable
3. show ntp status
4. copy running-config startup-config
手順の詳細
|
|
|
ステップ 1 |
config t 例: switch# config t Enter configuration commands, one per line. End with CNTL/Z. switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
[no] ntp enable 例: switch(config)# ntp enable |
デバイスで NTP プロトコルをイネーブルまたはディセーブルにします。NTP はデフォルトでイネーブルです。 |
ステップ 3 |
show ntp status 例: switch(config)# show ntp status Distribution : Enabled Last operational state: Fabric Locked |
(任意)NTP アプリケーションのステータスを表示します。 |
ステップ 4 |
copy running-config startup-config 例:
switch(config)# copy running-config startup-config
|
(任意)リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。 |
NTP をディセーブルにする例を示します。
switch# config t
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)# no ntp enable
NTP サーバおよびピアの設定
NTP サーバおよびピアを設定できます。
操作の前に
正しい VDC を使用していることを確認します。VDC の変更は switchto vdc コマンドを使用します。
NTP サーバとそのピアの IP アドレスまたは DNS 名がわかっていることを確認します。
CFS を使用して他のデバイスに NTP コンフィギュレーションを配信する場合は、次を完了している必要があります。
– 「CFS 配信の設定」を使用して、CFS 配信をイネーブルにする
– 「NTP 用の CFS 配信のイネーブル」を使用して、NTP 用に CFS をイネーブルにする
手順の概要
1. config t
2. [no] ntp server { ip-address | ipv6-address | dns-name } [ key key-id ] [ maxpoll max-poll ] [ minpoll min-poll ] [ prefer ] [ use-vrf vrf-name ]
3. [no] ntp peer { ip-address | ipv6-address | dns-name } [ key key-id ] [ maxpoll max-poll ] [ minpoll min-poll ] [ prefer ] [ use-vrf vrf-name ]
4. show ntp peers
5. copy running-config startup-config
手順の詳細
|
|
|
ステップ 1 |
config t 例: switch# config t Enter configuration commands, one per line. End with CNTL/Z. switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
[no] ntp server {ip-address | ipv6-address | dns-name} [ key key-id ] [ maxpoll max-poll ] [ minpoll min-poll ] [ prefer ] [ use-vrf vrf-name ] 例: switch(config)# ntp server 192.0.2.10 |
サーバとのアソシエーションを作成します。 NTP サーバとの通信で使用するキーを設定するには、 key キーワードを使用します。 key-id 引数の範囲は 1 ~ 65535 です。 ピアをポーリングする最大および最小の間隔を設定するには、 maxpoll および minpoll キーワードを使用します。 max-poll および min-poll 引数の範囲は 4 ~ 16 秒で、デフォルト値はそれぞれ 6 秒と 4 秒です。 デバイスに対して対象の NTP サーバを優先にするには、 prefer キーワードを使用します。 指定された VRF を介して通信するよう NTP サーバを設定するには、 use-vrf キーワードを使用します。 vrf-name 引数として、 default 、 management 、または大文字と小文字を区別した 32 文字までの任意の文字列を使用できます。 (注) NTP サーバとの通信で使用するキーを設定する場合は、そのキーが、デバイス上の信頼できるキーとして存在していることを確認してください。信頼できるキーの詳細については、「NTP 認証の設定」を参照してください。 |
ステップ 3 |
[no] ntp peer {ip-address | ipv6-address | dns-name} [ key key-id ] [ maxpoll max-poll ] [ minpoll min-poll ] [ prefer ] [ use-vrf vrf-name ] 例: switch(config)# ntp peer 2001:0db8::4101 |
ピアとのアソシエーションを作成します。複数のピア アソシエーションを指定できます。 NPT ピアとの通信で使用するキーを設定するには、 key キーワードを使用します。 key-id 引数の範囲は 1 ~ 65535 です。 ピアをポーリングする最大および最小の間隔を設定するには、 maxpoll および minpoll キーワードを使用します。 max-poll および min-poll 引数の範囲は 4 ~ 17 秒で、デフォルト値はそれぞれ 6 秒と 4 秒です。 デバイスに対して対象の NTP ピアを優先にするには、 prefer キーワードを使用します。 指定された VRF を介して通信するよう NTP ピアを設定するには、 use-vrf キーワードを使用します。 vrf-name 引数として、 default 、 management 、または大文字と小文字を区別した 32 文字までの任意の文字列を使用できます。 |
ステップ 4 |
show ntp peers 例: switch(config)# show ntp peers |
(任意)設定済みのサーバおよびピアを表示します。 (注) ドメイン名が解決されるのは、DNS サーバが設定されている場合だけです。 |
ステップ 5 |
copy running-config startup-config 例:
switch(config)# copy running-config startup-config
|
(任意)リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。 |
NTP サーバおよびピアを設定する例を示します。
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)# ntp server 192.0.2.10 key 10 use-vrf Red
switch(config)# ntp peer 2001:0db8::4101 prefer use-vrf Red
switch(config)# show ntp peers
--------------------------------------------------
Peer IP Address Serv/Peer
--------------------------------------------------
2001:0db8::4101 Peer (configured)
192.0.2.10 Server (configured)
switch(config)# copy running-config startup-config
[########################################] 100%
switch(config)#
NTP 認証の設定
ローカル ロックを同期させる時刻源を認証するようデバイスを設定できます。NTP 認証をイネーブルにすると、 ntp trusted-key コマンドによって指定されたいずれかの認証キーを時刻源が保持している場合のみ、デバイスはその時刻源と同期します。デバイスは、認証チェックに失敗したすべてのパケットをドロップし、それらのパケットでローカル クロックがアップデートされないようにします。NTP 認証はデフォルトでディセーブルになっています。
操作の前に
この手順で指定する予定の認証キーによって、NTP サーバが設定されていることを確認します。詳細については、「NTP サーバおよびピアの設定」を参照してください。
正しい VDC を使用していることを確認します。VDC の変更は switchto vdc コマンドを使用します。
手順の概要
1. config t
2. [no] ntp authentication-key number md5 md5-string
3. show ntp authentication-keys
4. [no] ntp trusted-key number
5. show ntp trusted-keys
6. [no] ntp authenticate
7. show ntp authentication-status
8. copy running-config startup-config
手順の詳細
|
|
|
ステップ 1 |
config t 例: switch# config t Enter configuration commands, one per line. End with CNTL/Z. switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
[no] ntp authentication-key number md5 md5-string switch(config)# ntp authentication-key 42 md5 aNiceKey |
認証キーを定義します。デバイスが時刻源と同期するのは、時刻源がこれらの認証キーのいずれかを持ち、 ntp trusted-key number コマンドによってキー番号が指定されている場合だけです。 認証キーの範囲は 1 ~ 65535 です。MD5 文字列の場合は、最大 8 文字の英数字を指定できます。 |
ステップ 3 |
show ntp authentication-keys 例: switch(config)# show ntp authentication-keys |
(任意)設定済みの NPT 認証キーを表示します。 |
ステップ 4 |
[no] ntp trusted-key number 例: switch(config)# ntp trusted-key 42 |
1 つ以上のキー(ステップ 2で定義されているもの)を指定します。デバイスが時刻源と同期するために、時刻源はこのキーを NTP パケット内に提供する必要があります。信頼できるキーの範囲は 1 ~ 65535 です。 このコマンドにより、デバイスが、信頼されていない時刻源と誤って同期する、ということが防止されます。 |
ステップ 5 |
show ntp trusted-keys 例: switch(config)# show ntp trusted-keys |
(任意)設定済みの NTP の信頼されているキーを表示します。 |
ステップ 6 |
[ no ] ntp authenticate 例: switch(config)# ntp authenticate |
NTP 認証機能をイネーブルまたはディセーブルにします。NTP 認証はデフォルトでディセーブルになっています。 |
ステップ 7 |
show ntp authentication-status 例: switch(config)# show ntp authentication-status |
(任意)NTP 認証の状況を表示します。 |
ステップ 8 |
copy running-config startup-config 例:
switch(config)# copy running-config startup-config
|
(任意)リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。 |
次に、NTP パケット内で認証キー 42 を提示している時刻源とだけ同期するようデバイスを設定する例を示します。
switch# config t
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)# ntp authentication-key 42 md5 aNiceKey
switch(config)# ntp trusted-key 42
switch(config)# ntp authenticate
switch(config)# copy running-config startup-config
[########################################] 100%
switch(config)#
NTP アクセス制限の設定
アクセス グループを使用して、NTP サービスへのアクセスを制御できます。具体的には、デバイスを許可する要求のタイプ、およびデバイスが応答を受け取るピアを指定できます。
アクセス グループを設定しない場合は、すべてのデバイスに NTP アクセス権が付与されます。何らかのアクセス グループを設定した場合は、ソース IP アドレスがアクセス リストの基準をパスしたリモート デバイスに対してだけ、NTP アクセス権が付与されます。
操作の前に
正しい VDC を使用していることを確認します。VDC の変更は switchto vdc コマンドを使用します。
手順の概要
1. config t
2. [no] ntp access-group peer access-list-name
3. show ntp access-groups
4. copy running-config startup-config
手順の詳細
|
|
|
ステップ 1 |
config t 例: switch# config t Enter configuration commands, one per line. End with CNTL/Z. switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
[no] ntp access-group peer access-list-name 例: switch(config)# ntp access-group peer accesslist1 |
NTP のアクセスを制御し、基本の IP アクセス リストを適用するためのアクセス グループを作成または削除します。 peer キーワードにより、時刻要求および NTP 制御クエリが可能になり、Cisco NX-OS デバイスは、IP アドレスがアクセス リストの基準をパスしたリモート デバイスとだけ同期が許可されます。 |
ステップ 3 |
show ntp access-groups 例: switch(config)# show ntp access-groups |
(任意)NTP アクセス グループのコンフィギュレーションを表示します。 |
ステップ 4 |
copy running-config startup-config 例:
switch(config)# copy running-config startup-config
|
(任意)リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。 |
次に、アクセス グループ「accesslist1」からピアと同期できるようデバイスを設定する例を示します。
switch# config t
switch(config)# ntp access-group peer accesslist1
switch(config)# show ntp access-groups
Access List Type
-----------------------------
accesslist1 Peer
switch(config)# copy running-config startup-config
[########################################] 100%
switch(config)#
NTP ソース IP アドレスの設定
NTP は、NTP パケットが送信されたインターフェイスのアドレスに基づいて、すべての NTP パケットにソース IP アドレスを設定します。特定のソース IP アドレスを使用するよう NTP を設定できます。
NTP ソース IP アドレスを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
[no] ntp source ip-address 例 : switch(config)# ntp source 192.0.2.1 |
すべての NTP パケットにソース IP アドレスを設定します。 ip-address には IPv4 または IPv6 形式を使用できます。 |
NTP ソース インターフェイスの設定
特定のインターフェイスを使用するよう NTP を設定できます。
NTP ソース インターフェイスを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
[no] ntp source-interface interface 例 : switch(config)# ntp source-interface ethernet 2/1 |
すべての NTP パケットに対してソースインターフェイスを設定します。サポートされているインターフェイスのリストを表示するには、 ? キーワードを使用します。 |
NTP ロギングの設定
重要な NTP イベントでシステム ログを生成するよう、NTP ロギングを設定できます。NTP ロギングはデフォルトでディセーブルになっています。
操作の前に
正しい VDC を使用していることを確認します。VDC の変更は switchto vdc コマンドを使用します。
手順の概要
1. config t
2. [no] ntp logging
3. show ntp logging-status
4. copy running-config startup-config
手順の詳細
|
|
|
ステップ 1 |
config t 例: switch# config t Enter configuration commands, one per line. End with CNTL/Z. switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
[no] ntp logging 例: switch(config)# ntp logging |
重要な NTP イベントでシステム ログを生成することをイネーブルまたはディセーブルにします。NTP ロギングはデフォルトでディセーブルになっています。 |
ステップ 3 |
show ntp logging-status 例: switch(config)# show ntp logging-status |
(任意)NTP ロギングのコンフィギュレーション状況を表示します。 |
ステップ 4 |
copy running-config startup-config 例:
switch(config)# copy running-config startup-config
|
(任意)リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。 |
次に、重要な NTP イベントによってシステム ログを生成するよう、NTP ロギングをイネーブルにする例を示します。
switch# config t
switch(config)# ntp logging
switch(config)# copy running-config startup-config
[########################################] 100%
switch(config)#
NTP 用の CFS 配信のイネーブル
NTP コンフィギュレーションを他の CFS 対応デバイスに配信するために、NTP 用の CFS 配信をイネーブルにできます。
操作の前に
「CFS 配信の設定」を使用して、デバイスに対する CFS 配信がイネーブルになっていることを確認します。
手順の概要
1. config t
2. [no] ntp distribute
3. show ntp status
4. copy running-config startup-config
手順の詳細
|
|
|
ステップ 1 |
config t 例: switch# config t Enter configuration commands, one per line. End with CNTL/Z. switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
[no] ntp distribute 例: switch(config)# ntp distribute |
CFS を介して配信される NTP コンフィギュレーションのアップデートをデバイスが受信することを、イネーブルまたはディセーブルにします。 |
ステップ 3 |
show ntp status 例: switch(config)# show ntp status |
(任意)NTP CFS の配信状況を表示します。 |
ステップ 4 |
copy running-config startup-config 例:
switch(config)# copy running-config startup-config
|
(任意)リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。 |
NTP コンフィギュレーション変更のコミット
NTP コンフィギュレーションの変更をコミットすると、保留データベースのコンフィギュレーション変更によって有効なデータベースが上書きされ、ネットワーク内のすべてのデバイスが同じコンフィギュレーションを受け取ります。
NTP コンフィギュレーションの変更をコミットするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
ntp commit 例 : switch(config)# ntp commit |
ネットワーク内のすべての Cisco NX-OS デバイスに NTP コンフィギュレーションの変更を配信し、CFS ロックを解放します。このコマンドは、保留データベースに対して行われた変更によって、有効なデータベースを上書きします。 |
NTP コンフィギュレーション変更の破棄
コンフィギュレーション変更の後で、これらの変更をコミットせずに、破棄するよう選択することもできます。変更を破棄すると、Cisco NX-OS によって保留データベースの変更が削除され、CFS ロックが解放されます。
NTP コンフィギュレーションの変更を破棄するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
ntp abort 例 : switch(config)# ntp abort |
保留データベースで NTP コンフィギュレーションの変更を破棄して、CFS ロックを解放します。このコマンドは、NTP コンフィギュレーションを起動したデバイスで使用します。 |
CFS セッション ロックの解放
NTP コンフィギュレーションを実行したが、変更をコミットまたは破棄してロックを解放し忘れた場合は、自分で、または他の管理者がネットワーク内の任意のデバイスからロックを解放できます。また、この操作では、保留データベースの変更が破棄されます。
任意のデバイスからセッション ロックを解放し、保留データベースの変更を破棄するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
clear ntp session 例 : switch(config)# clear ntp session |
保留データベースで NTP コンフィギュレーションの変更を破棄して、CFS ロックを解放します。 |
NTP のコンフィギュレーション例
次に、NTP サーバおよびピアを設定し、NTP 認証をイネーブルにして、NTP ロギングをイネーブルにした後で、その設定をスタートアップに保存し、リブートとリスタートを通して保存されるようにする例を示します。
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)# ntp server 192.0.2.105 key 42
switch(config)# ntp peer 2001:0db8::4101
switch(config)# show ntp peers
--------------------------------------------------
Peer IP Address Serv/Peer
--------------------------------------------------
2001:db8::4101 Peer (configured)
192.0.2.105 Server (configured)
switch(config)# ntp authentication-key 42 md5 aNiceKey
switch(config)# show ntp authentication-keys
-----------------------------
Auth key MD5 String
-----------------------------
42 aNicekey
switch(config)# ntp trusted-key 42
switch(config)# show ntp trusted-keys
switch(config)# ntp authenticate
switch(config)# show ntp authentication-status
switch(config)# ntp logging
switch(config)# show ntp logging
switch(config)# copy running-config startup-config
[########################################] 100%