この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の内容は、次のとおりです。
NTP の概要
ネットワーク タイム プロトコル(NTP)は、分散している一連のタイム サーバとクライアント間で 1 日の時間を同期させ、複数のネットワーク デバイスから受信するシステム ログや時間関連のイベントを相互に関連付けられるようにします。NTP ではトランスポート プロトコルとして、ユーザ データグラム プロトコル(UDP)を使用します。
すべての NTP 通信は UTC を使用します。
NTP サーバは通常、タイム サーバに接続されたラジオ クロックやアトミック クロックなどの正規の時刻源から時刻を受信し、ネットワークを介してこの時刻を配信します。NTP はきわめて効率的で、毎分 1 パケット以下で 2 台のマシンを相互に 1 ミリ秒以内に同期します。
NTP では層(stratum)を使用して、ネットワーク デバイスと正規の時刻源の距離を表します。
ストラタム 1 のタイム サーバは、信頼できる時刻源に直接接続されます(無線時計や原子時計または GPS 時刻源など)。
ストラタム 2 の NTP サーバは、ストラタム 1 のタイム サーバから NTP を使用して時刻を受信します。
同期の前に、NTP は複数のネットワーク サービスが報告した時刻を比較し、1 つの時刻が著しく異なる場合は、それが Stratum 1 であっても、同期しません。Cisco NX-OS は、無線時計や原子時計に接続できず、ストラタム 1 サーバとして動作することはできないため、インターネット上で利用できるパブリック NTP サーバを使用することを推奨します。ネットワークがインターネットから切り離されている場合、Cisco NX-OS では、NTP によって時刻が同期されていなくても、NTP で同期されているものとして時刻を設定できます。
(注) | NTP ピア関係を作成して、サーバで障害が発生した場合に、ネットワーク デバイスを同期させて、正確な時刻を維持するための時刻提供ホストを指定できます。 |
デバイス上の時刻は重要な情報であるため、NTP のセキュリティ機能を使用して、不正な時刻を誤って(または悪意を持って)設定できないように保護することを強く推奨します。その方法として、アクセス リストベースの制約方式と暗号化認証方式があります。
Cisco Nexus デバイスは NTP を使用して時刻を配信できます。
他のデバイスからタイム サーバとして設定できます。デバイスを正規の NTP サーバとして動作するよう設定し、外部の時刻源と同期していないときでも時刻を配信させることもできます。
Cisco Fabric Services(CFS)は、ローカル NTP コンフィギュレーションをネットワーク内のすべてのシスコ デバイスに配信します。
デバイス上で CFS をイネーブルにすると、NTP コンフィギュレーションが起動された場合には常に、ネットワーク全体のロックが NTP に適用されます。NTP コンフィギュレーションを変更した後で、これらの変更を破棄することもコミットすることもできます。
いずれの場合でも、CFS のロックはこのときに NTP アプリケーションから解放されます。
クロックはさまざまなプロセス間で共有する必要のあるリソースです。
NTP や高精度時間プロトコル(PTP)といった複数の時刻同期プロトコルがシステムで稼働している可能性があります。
クロック マネージャによってプロトコルおよびそのプロトコルが実行されている VDC を特定し、システム内のさまざまなクロックを制御することができます。プロトコルと VDC を指定すると、システム クロック更新が開始します。
NTP はステートレス リスタートをサポートします。リブート後またはスーパーバイザ スイッチオーバー後に、実行コンフィギュレーションが適用されます。
NTP ピアを設定すると、NTP サーバ障害の発生時に冗長性が得られます。
製品 | ライセンス要件 |
---|---|
Cisco NX-OS | NTP にはライセンスは不要です。ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
NTP の前提条件は、次のとおりです。
NTP に関する設定時の注意事項および制約事項は、次のとおりです。
Cisco NX-OS ソフトウェアは、NTP バージョン 4(NTPv4)をサポートします。
NTP サーバの機能は、 以降でサポートされています。
別のデバイスとの間にピア アソシエーションを設定できるのは、使用するクロックの信頼性が確実な場合(つまり、信頼できる NTP サーバのクライアントである場合)に限られます。
単独で設定したピアは、サーバの役割を担いますが、バックアップとして使用する必要があります。サーバが 2 台ある場合、いくつかのデバイスが一方のサーバに接続し、残りのデバイスが他方のサーバに接続するように設定できます。その後、2 台のサーバ間にピア アソシエーションを設定すると、信頼性の高い NTP 構成になります。
サーバが 1 台だけの場合は、すべてのデバイスをそのサーバのクライアントとして設定する必要があります。
設定できる NTP エンティティ(サーバおよびピア)は、最大 64 です。
NTP に対して CFS がディセーブルになっていると、その NTP からコンフィギュレーションは配信されず、ネットワーク内の他のデバイスからの配信も受け入れません。
NTP に対して CFS 配信をイネーブルにしても、commit コマンドを入力するまで、NTP コンフィギュレーション コマンドのエントリは NTP コンフィギュレーションに対してネットワークをロックします。ロック中は、ネットワーク内の(ロックを保持しているデバイス以外の)すべてのデバイスは NTP コンフィギュレーションを変更できません。
CFS を使用して NTP をディセーブルにする場合、ネットワーク内のすべてのデバイスは、NTP に対して使用するよう設定したものと同じ VRF を持っている必要があります。
VRF で NTP を設定する場合は、NTP サーバおよびピアが、設定された VRF を介して相互にアクセスできることを確認します。
ネットワーク全体の NTP サーバおよび Cisco NX-OS デバイスに、NTP 認証キーを手動で配信する必要があります。
時刻の精度および信頼性要件が厳密ではない場合、NTP ブロードキャストまたはマルチキャスト アソシエーションを使用すると、ネットワークがローカル化され、ネットワークは 20 以上のクライアントを持ちます。帯域幅、システム メモリ、または CPU リソースが限られているネットワークでは NTP ブロードキャストまたはマルチキャスト アソシエーションの使用をお勧めします。
(注) | 情報の流れが一方向に限定されるため、NTP ブロードキャスト アソシエーションでは、時刻の精度がわずかに低下します。 |
次の表に、NTP パラメータのデフォルト設定を示します。
パラメータ | デフォルト |
---|---|
NTP |
イネーブル |
NTP 認証 |
ディセーブル |
NTP アクセス |
イネーブル |
NTP ロギング |
ディセーブル |
NTP の設定
正しい VDC 内にいることを確認します。VDC を変更するには、switchto vdc コマンドを使用します。
次に、NTP をディセーブルにする例を示します。
switch# configure terminal switch(config)# no feature ntp
デバイスを正規の NTP サーバとして動作するよう設定し、既存のタイム サーバと同期していないときでも時刻を配信させることができます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | [no] ntp master [stratum] | 正規の NTP サーバとしてデバイスを設定します。 NTP クライアントがこれらの時間を同期するのと別の階層レベルを指定できます。指定できる範囲は 1 ~ 15 です。 |
ステップ 3 | show running-config ntp | (任意) NTP コンフィギュレーションを表示します。 |
ステップ 4 | switch(config)# copy running-config startup-config | (任意)
リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。 |
次に、正規の NTP サーバとして Cisco NX-OS デバイスを別の階層レベルで設定する例を示します。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# ntp master 5
NTP サーバおよびピアを設定できます。
NTP サーバとそのピアの IP アドレスまたは DNS 名がわかっていることを確認します。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 | ||
ステップ 2 | switch(config)# [no] ntp server {ip-address | ipv6-address | dns-name} [keykey-id] [maxpollmax-poll] [minpollmin-poll] [prefer] [use-vrfvrf-name] |
1 つのサーバと 1 つのサーバ アソシエーションを形成します。 NTP サーバとの通信で使用するキーを設定するには、key キーワードを使用します。 key-id 引数の範囲は 1 ~ 65535 です。 ピアをポーリングする最大および最小の間隔を設定するには、maxpoll および minpoll キーワードを使用します。max-poll および min-poll 引数の範囲は 4 ~ 16 秒で、デフォルト値はそれぞれ 6 秒と 4 秒です。 デバイスに対して対象の NTP サーバを優先にするには、prefer keyword キーワードを使用します。 指定された VRF を介して通信するように NTP サーバを設定するには、use-vrf キーワードを使用します。 vrf-name 引数として、default、management、または大文字と小文字を区別した 32 文字までの任意の英数字の文字列を使用できます。
| ||
ステップ 3 | switch(config)# [no] ntp peer {ip-address | ipv6-address | dns-name} [keykey-id] [maxpollmax-poll] [minpollmin-poll] [prefer] [use-vrfvrf-name] |
1 つのピアと 1 つのピア アソシエーションを形成します。複数のピア アソシエーションを指定できます。 NTP ピアとの通信で使用するキーを設定するには、key キーワードを使用します。key-id 引数の範囲は 1 ~ 65535 です。 ピアをポーリングする最大および最小の間隔を設定するには、maxpoll および minpoll キーワードを使用します。max-poll および min-poll 引数の範囲は 4 ~ 17 秒で、デフォルト値はそれぞれ 6 秒と 4 秒です。 デバイスに対して対象の NTP ピアを優先にするには、prefer キーワードを使用します。 指定された VRF を介して通信するように NTP ピアを設定するには、use-vrf キーワードを使用します。vrf-name 引数として、default、management、または大文字と小文字を区別した 32 文字までの任意の英数字の文字列を使用できます。 | ||
ステップ 4 | switch(config)# show ntp peers | (任意)
設定されたサーバおよびピアを表示します。
| ||
ステップ 5 | switch(config)# copy running-config startup-config | (任意)
リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。 |
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# ntp server 2400::1 use-vrf default switch(config)# show ntp peers -------------------------------------------------- Peer IP Address Serv/Peer -------------------------------------------------- 2400::1 Server(configured) switch(config)# copy running-config startup-config [########################################] 100% switch(config)#show ntp peer-status Total Peers: 1 * - selected for sync, + - peer mode(active), --peer mode(passive), = -polled in client mode remote local st poll reach delay vrf -------------------------------------------------- *2400::1 :: 9 16 37 0.00122 default
ローカル ロックを同期させる時刻源を認証するようデバイスを設定できます。NTP 認証をイネーブルにすると、ntp trusted-key コマンドによって指定されたいずれかの認証キーを時刻源が保持している場合のみ、デバイスはその時刻源と同期します。デバイスは、認証チェックに失敗したすべてのパケットをドロップし、それらのパケットでローカル クロックがアップデートされないようにします。NTP 認証はデフォルトでディセーブルになっています。
NTP サーバと NTP ピアの認証は、各 ntp server および ntp peer コマンドで key キーワードを使用して、アソシエーションごとに設定します。この手順で指定する予定の認証キーによって、すべての NTP サーバおよびピア アソシエーションが設定されていることを確認します。key キーワードを指定しない ntp server または ntp peer コマンドは、認証なしで引き続き動作します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# [no] ntp authentication-keynumbermd5md5-string |
認証キーを定義します。デバイスが時刻源と同期するのは、時刻源がこれらの認証キーのいずれかを持ち、ntp trusted-keynumber コマンドによってキー番号が指定されている場合だけです。 Cisco NX-OS は、MD5 ストリングで最大 15 文字の英数字をサポートしています。 |
ステップ 3 | switch(config)# show ntp authentication-keys | (任意)
設定済みの NTP 認証キーを表示します。 |
ステップ 4 | switch(config)# [no] ntp trusted-keynumber |
1 つ以上のキー(ステップ 2 で定義されているもの)を指定します。デバイスが時刻源と同期するために、時刻源はこのキーを NTP パケット内に提供する必要があります。Trusted Key の範囲は 1 ~ 65535 です。 このコマンドにより、デバイスが、信頼されていない時刻源と誤って同期する、ということが防止されます。 |
ステップ 5 | switch(config)# show ntp trusted-keys | (任意)
設定済みの NTP の信頼されているキーを表示します。 |
ステップ 6 | switch(config)# [no] ntp authenticate |
NTP 認証機能をイネーブルまたはディセーブルにします。NTP 認証はデフォルトでディセーブルになっています。 |
ステップ 7 | switch(config)# show ntp authentication-status | (任意)
NTP 認証の状況を表示します。 |
ステップ 8 | switch(config)# copy running-config startup-config | (任意)
リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。 |
次に、NTP パケット内で認証キー 42 を提示している時刻源とだけ同期するようデバイスを設定する例を示します。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# ntp authentication-key 42 md5 aNiceKey switch(config)# ntp server 10.1.1.1 key 42 switch(config)# ntp trusted-key 42 switch(config)# ntp authenticate switch(config)# copy running-config startup-config [########################################] 100% switch(config)#
アクセス グループを使用して、NTP サービスへのアクセスを制御できます。具体的には、デバイスを許可する要求のタイプ、およびデバイスが応答を受け取るサーバを指定できます。
アクセス グループを設定しない場合は、すべてのデバイスに NTP アクセス権が付与されます。何らかのアクセス グループを設定した場合は、ソース IP アドレスがアクセス リストの基準をパスしたリモート デバイスに対してだけ、NTP アクセス権が付与されます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# [no] ntp access-group {peer | serve | serve-only | query-only} access-list-name | NTP のアクセスを制御し、基本の IP アクセス リストを適用するためのアクセス グループを作成または削除します。 アクセス グループのオプションは、次の順序で制限の緩いものから厳しいものへとスキャンされます。ただし、ピアに設定された拒否 ACL ルールに NTP が一致した場合、ACL 処理は停止し、次のアクセス グループ オプションへと継続しません。 |
ステップ 3 | switch(config)# show ntp access-groups | (任意)NTP アクセス グループのコンフィギュレーションを表示します。 |
ステップ 4 | switch(config)# copy running-config startup-config | (任意)
リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。 |
次に、アクセス グループ「accesslist1」からピアと同期できるようデバイスを設定する例を示します。
switch# configure terminal switch(config)# ntp access-group peer accesslist1 switch(config)# show ntp access-groups Access List Type ----------------------------- accesslist1 Peer switch(config)# copy running-config startup-config [########################################] 100% switch(config)#
NTP は、NTP パケットが送信されたインターフェイスのアドレスに基づいて、すべての NTP パケットにソース IP アドレスを設定します。特定のソース IP アドレスを使用するよう NTP を設定できます。
コマンドまたはアクション | 目的 |
---|
次に、NTP ソース IP アドレスに 192.0.2.2 を設定する例を示します。
switch# configure terminal switch(config)# ntp source 192.0.2.2
特定のインターフェイスを使用するよう NTP を設定できます。
コマンドまたはアクション | 目的 |
---|
次に、NTP 送信元インターフェイスを設定する例を示します。
switch# configure terminal switch(config)# ntp source-interface ethernet
重要な NTP イベントでシステム ログを生成するよう、NTP ロギングを設定できます。NTP ロギングはデフォルトでディセーブルになっています。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# [no] ntp logging |
重要な NTP イベントでシステム ログを生成することをイネーブルまたはディセーブルにします。NTP ロギングはデフォルトでディセーブルになっています。 |
ステップ 3 | switch(config)# show ntp logging-status | (任意)
NTP ロギングのコンフィギュレーション状況を表示します。 |
ステップ 4 | switch(config)# copy running-config startup-config | (任意)
リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。 |
次に、重要な NTP イベントによってシステム ログを生成するよう、NTP ロギングをイネーブルにする例を示します。
switch# configure terminal switch(config)# ntp logging switch(config)# copy running-config startup-config [########################################] 100% switch(config)#
NTP コンフィギュレーションを他の CFS 対応デバイスに配信するために、NTP 用の CFS 配信をイネーブルにできます。
デバイスの CFS 配信をイネーブルにしていることを確認します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# [no] ntp distribute |
CFS を介して配信される NTP コンフィギュレーションのアップデートをデバイスが受信することを、イネーブルまたはディセーブルにします。 |
ステップ 3 | switch(config)# show ntp status | (任意)
NTP CFS の配信状況を表示します。 |
ステップ 4 | switch(config)# copy running-config startup-config | (任意)
リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。 |
次に、デバイスが CFS を介して NTP 設定の更新を受信できるようにする例を示します。
switch# configure terminal switch(config)# ntp distribute switch(config)# copy running-config startup-config
NTP コンフィギュレーションの変更をコミットすると、保留データベースのコンフィギュレーション変更によって有効なデータベースが上書きされ、ネットワーク内のすべてのデバイスが同じコンフィギュレーションを受け取ります。
コマンドまたはアクション | 目的 |
---|
コンフィギュレーション変更の後で、これらの変更をコミットせずに、破棄するよう選択することもできます。変更を破棄すると、Cisco NX-OS によって保留データベースの変更が削除され、CFS ロックが解放されます。
コマンドまたはアクション | 目的 |
---|
NTP コンフィギュレーションを実行したが、変更をコミットまたは破棄してロックを解放し忘れた場合は、自分で、または他の管理者がネットワーク内の任意のデバイスからロックを解放できます。また、この操作では、保留データベースの変更が破棄されます。
コマンドまたはアクション | 目的 |
---|
コマンド | 目的 |
---|---|
show ntp access-groups |
NTP アクセス グループのコンフィギュレーションを表示します。 |
show ntp authentication-keys |
設定済みの NTP 認証キーを表示します。 |
show ntp authentication-status |
NTP 認証の状況を表示します。 |
show ntp internal |
内部の NTP 情報を表示します。 |
show ntp logging-status |
NTP のロギング状況を表示します。 |
show ntp peer-status |
すべての NTP サーバおよびピアのステータスを表示します。 |
show ntp peer |
すべての NTP ピアを表示します。 |
show ntp pending |
NTP 用の一時 CFS データベースを表示します。 |
show ntp pending-diff |
保留 CFS データベースと現行の NTP コンフィギュレーションの差異を表示します。 |
show ntp rts-update |
RTS アップデートの状況を表示します。 |
show ntp session status |
NTP CFS 配信セッションの情報を表示します。 |
show ntp source |
設定済みの NTP ソース IP アドレスを表示します。 |
show ntp source-interface |
設定済みの NTP ソース インターフェイスを表示します。 |
show ntp statistics {io | local | memory | peer {ipaddr {ipv4-addr} | name peer-name}} |
NTP 統計情報を表示します。 |
show ntp status |
NTP CFS の配信状況を表示します。 |
show ntp trusted-keys |
設定済みの NTP の信頼されているキーを表示します。 |
show running-config ntp |
NTP 情報を表示します。 |
次に、NTP サーバおよびピアを設定し、NTP 認証をイネーブルにして、NTP ロギングをイネーブルにした後で、そのスタートアップの設定を保存し、リブートとリスタートを通して保存されるようにする例を示します。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# ntp server 192.0.2.105 key 42 switch(config)# ntp peer 192.0.2.105 switch(config)# show ntp peers -------------------------------------------------- Peer IP Address Serv/Peer -------------------------------------------------- 192.0.2.100 Peer (configured) 192.0.2.105 Server (configured) switch(config)# ntp authentication-key 42 md5 aNiceKey switch(config)# show ntp authentication-keys ----------------------------- Auth key MD5 String ----------------------------- 42 aNicekey switch(config)# ntp trusted-key 42 switch(config)# show ntp trusted-keys Trusted Keys: 42 switch(config)# ntp authenticate switch(config)# show ntp authentication-status Authentication enabled. switch(config)# ntp logging switch(config)# show ntp logging NTP logging enabled. switch(config)# copy running-config startup-config [########################################] 100% switch(config)#
次に、以下の制約事項のある NTP アクセス グループの設定の例を示します。
peer の制約事項は、「peer-acl」というアクセス リストの条件を満たす IP アドレスに適用されます。
serve の制約事項は、「serve-acl」というアクセス リストの条件を満たす IP アドレスに適用されます。
serve-only の制約事項は、「serve-only-acl」というアクセス リストの条件を満たす IP アドレスに適用されます。
query-only の制約事項は、「query-only-acl」というアクセス リストの条件を満たす IP アドレスに適用されます。
switch# configure terminal switch(config)# ntp peer 10.1.1.1 switch(config)# ntp peer 10.2.2.2 switch(config)# ntp peer 10.3.3.3 switch(config)# ntp peer 10.4.4.4 switch(config)# ntp peer 10.5.5.5 switch(config)# ntp peer 10.6.6.6 switch(config)# ntp peer 10.7.7.7 switch(config)# ntp peer 10.8.8.8 switch(config)# ntp access-group peer peer-acl switch(config)# ntp access-group serve serve-acl switch(config)# ntp access-group serve-only serve-only-acl switch(config)# ntp access-group query-only query-only-acl switch(config)# ip access-list peer-acl switch(config-acl)# 10 permit ip host 10.1.1.1 any switch(config-acl)# 20 permit ip host 10.8.8.8 any switch(config)# ip access-list serve-acl switch(config-acl)# 10 permit ip host 10.4.4.4 any switch(config-acl)# 20 permit ip host 10.5.5.5 any switch(config)# ip access-list serve-only-acl switch(config-acl)# 10 permit ip host 10.6.6.6 any switch(config-acl)# 20 permit ip host 10.7.7.7 any switch(config)# ip access-list query-only-acl switch(config-acl)# 10 permit ip host 10.2.2.2 any switch(config-acl)# 20 permit ip host 10.3.3.3 any