Exemplo de configuração de NTP para Switch de alta disponibilidade Catalyst 6000
Índice
Introdução
Este documento fornece uma configuração de exemplo do Network Time Protocol (NTP) para um switch da família Catalyst 6000 com os Supervisor Engines redundantes e os Multilayer Switch Feature Cards (MSFCs) duplas com a sincronização de configuração habilitada.
Antes de Começar
Convenções
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Pré-requisitos
Não existem requisitos específicos para este documento.
Componentes Utilizados
Este documento não se restringe a versões de software e hardware específicas.
Exemplo de configuração de NTP para Switch de alta disponibilidade Catalyst 6000
Figura 1 mostra a topologia de rede para este exemplo de configuração.
Figura 1: Topologia de rede
Este exemplo mostra um Catalyst 6509 com Engine de Redundant Supervisor e MSFC. Este é o comando show module output do interruptor:
Cat6000> (enable) show module
Mod Slot Ports Module-Type Model Sub Status
--- ---- ----- ------------------------- ------------------- --- --------
1 1 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes ok
15 1 1 Multilayer Switch Feature WS-F6K-MSFC no ok
2 2 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes standby
16 2 1 Multilayer Switch Feature WS-F6K-MSFC no ok
3 3 48 10/100BaseTX Ethernet WS-X6348-RJ-45 no ok
Mod Module-Name Serial-Num
--- ------------------- -----------
1 SAD04240E48
15 SAD042406UW
2 SAD042400YL
16 SAD042407KG
3 SAL04440WY6
Mod MAC-Address(es) Hw Fw Sw
--- -------------------------------------- ------ ---------- -----------------
1 00-30-7b-96-7c-5a to 00-30-7b-96-7c-5b 3.1 5.3(1) 5.5(7)
00-30-7b-96-7c-58 to 00-30-7b-96-7c-59
00-02-7e-02-a0-00 to 00-02-7e-02-a3-ff
15 00-d0-d3-a3-b6-a7 to 00-d0-d3-a3-b6-e6 1.4 12.1(6)E 12.1(6)E
2 00-d0-c0-cf-72-12 to 00-d0-c0-cf-72-13 3.1 5.3(1) 5.5(7)
00-d0-c0-cf-72-10 to 00-d0-c0-cf-72-11
16 00-d0-c0-cf-72-14 to 00-d0-c0-cf-72-53 1.4 12.1(6)E 12.1(6)E
3 00-03-6c-29-ba-b0 to 00-03-6c-29-ba-df 1.4 5.4(2) 5.5(7)
Mod Sub-Type Sub-Model Sub-Serial Sub-Hw
--- ----------------------- ------------------- ----------- ------
1 L3 Switching Engine WS-F6K-PFC SAD04240L70 1.1
2 L3 Switching Engine WS-F6K-PFC SAD04220KC5 1.1
Cat6000> (enable)
Neste exemplo, supõe que este Catalyst 6509 é um switch central na rede. O dual MSFCs no interruptor funcionará como servidores de NTP para o outro Roteadores e Switches na rede (que inclui o Supervisor Engine neste interruptor próprio).
Os MSFCs sincronizarão seus relógios com um servidor NTP mestre, localizado em uma sub-rede remota na rede. Na prática, esse pode ser um servidor NTP local privado ou um servidor NTP público. Em qualquer caso, esse servidor deve tipicamente sincronizar seu tempo com outro relógio de estrato mais baixo; por exemplo, um relógio atômico.
Os MSFCs duplos neste exemplo têm a sincronização de configuração (config-sync) ativada. Isso sincroniza automaticamente a configuração no MSFC designado para o MSFC não designado. Consulte a seção Informações Relacionadas para obter mais informações sobre config-sync.
Aqui está a configuração do MSFC15 (o MSFC designado). A configuração no MSFC16 é exatamente a mesma, exceto que, para os comandos em que o comando alt é especificado, o MSFC16 usa o comando após a palavra-chave alt. Por exemplo, o hostname do MSFC15 é MSFC15; o hostname do MSFC16 é MSFC16.
version 12.1 no service pad ! !--- Enable service timestamps datetime! service timestamps debug datetime msec localtime service timestamps log datetime msec localtime ! no service password-encryption ! ! !--- Hostnames for the MSFCs. hostname MSFC15 alt hostname MSFC16 ! boot system flash bootflash:c6msfc-jsv-mz.121-6.E.bin enable password cisco ! ! !Both MSFCs are in the PST timezone clock timezone PST -8 ! !--- Both MSFCs will adjust the clock for Daylight Saving Time. clock summer-time PDT recurring ! !--- If connectivity to the NTP server is lost, the calendar is used. !as an authoritative time source clock calendar-valid ! ! ip subnet-zero ! ! no ip finger ip domain-name corp.com ip name-server 172.16.55.120 ip name-server 171.16.60.120 ! ! !config-sync is enabled redundancy high-availability config-sync ! ! ! !--- Each MSFC has a loopback0 interface in a different /30 subnet. interface Loopback0 ip address 10.10.10.1 255.255.255.252 alt ip address 10.10.10.5 255.255.255.252 ! ! !--- VLAN 1 is the management subnet, where the switch sc0 interface is located. interface Vlan1 description Network Management Subnet ip address 172.16.100.2 255.255.255.0 alt ip address 172.16.100.3 255.255.255.0 no ip redirects standby 1 priority 105 preempt alt standby 1 priority 100 preempt standby 1 ip 172.16.100.1 alt standby 1 ip 172.16.100.1 ! <VARIOUS VLAN INTERFACES NOT RELEVANT TO THIS EXAMPLE> ! router eigrp 10 network 10.0.0.0 network 172.0.0.0 network 172.0.0.0 0.255.255.255 no auto-summary eigrp log-neighbor-changes ! ip classless no ip http server ! ! ! line con 0 transport input none line vty 0 4 password cisco login transport input lat pad mop telnet rlogin udptn nasi ! ! !--- Each MSFC uses the IP address of the loopback0 interface as !--- the source IP for NTP packets. ntp source Loopback0 ! !--- The MSFCs will update the hardware calendar with the NTP time. ntp update-calendar ! !--- Both MSFCs are getting the time from 10.100.100.1. ntp server 10.100.100.1 ! end |
Nota: Alguns comandos não apoiam as palavras-chave de ALT, e não podem consequentemente ser usados com configuração-sincronização. Um exemplo é o comando ntp peer. o apoio Configuração-sincronização para este comando permitiria que o MSFC15 e o MSFC16 estabelecessem um relacionamento NTP peer. Se esse é um requisito na rede, você pode desativar config-sync e manualmente garantir que as configurações nos dois MSFCs atendam aos requisitos para os sistemas MSFC duais. Consulte a seção Informações Relacionadas para obter mais informações.
No Supervisor Engine, a interface de gerenciamento sc0 (172.16.100.100) pertence ao VLAN1. O gateway padrão para o interruptor é o endereço IP de Um ou Mais Servidores Cisco ICM NT do Hot Standby Router Protocol (HSRP) na relação VLAN1 (172.16.100.1)
O Supervisor Engine aponta para os dois servidores NTP para redundância, as interfaces loopback0 em MSFC15 e MSFC16. O outro Switches e Roteadores na rede são configurados para fazer o mesmos.
Uma desvantagem desta aplicação é que se o interruptor inteiro falha, os outros dispositivos na rede se tornam não-sincronizados. Uma configuração alternada para a Redundância teria MSFC nos chassis diferentes configurados como servidores de NTP, de modo que se um chassi falha, a outro continuasse a funcionar como o servidor de NTP.
Esta é a configuração de NTP no interruptor:
#ntp # #NTP client mode is enabled set ntp client enable # #NTP server IP addresses (loopback0 interfaces on MSFC15 and MSFC16) set ntp server 10.10.10.1 set ntp server 10.10.10.5 # #Switch is in the PST timezone set timezone PST -8 0 # #Switch will adjust clock for Daylight Saving Time set summertime enable PDT set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60 |
Usando a autenticação NTP
A autenticação NTP adiciona um nível de segurança à sua configuração NTP. Configure uma série de chave de NTP em cada dispositivo. A chave é criptografada com um algoritmo de hashing de Message Digest 5 (MD5), e a chave criptografada é passada em cada pacote NTP. Para que um pacote NTP seja processado, a chave é verificada com base na chave configurada no dispositivo receptor.
Esta é a configuração de MSFC15 (o MSFC designado) com os comandos added ntp authentication. A configuração no MSFC16 é exatamente a mesma.
!--- The key string for NTP authentication key 10 is "ticktock" !--- (the key string is shown encrypted in the configuration) ntp authentication-key 10 md5 ticktock ! !--- Enables NTP authentication ntp authenticate ! !--- Makes NTP authentication key "10" a trusted key ntp trusted-key 10 ! ntp source Loopback0 ntp update-calendar ntp server 10.100.100.1 |
Isto é a configuração de NTP no interruptor com a autenticação de NTP permitida:
#ntp set ntp client enable # #Enables NTP authentication set ntp authentication enable # #The key string for NTP authentication key 10 is "ticktock" #(the key string is shown encrypted in the configuration) set ntp key 10 trusted md5 ticktock # #NTP server IP addresses, configured to use authentication key 10 set ntp server 10.10.10.1 key 10 set ntp server 10.10.10.5 key 10 # set timezone PST -8 0 set summertime enable PDT set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60 |
Troubleshooting
O pulso de disparo é não-sincronizado
O pulso de disparo é edição não-sincronizado ocorre quando o mestre NTP não autentica o pedido do cliente de NTP. Este tipo de edição pode ocorrer quando a chave de autenticação e a senha não são configuradas na extremidade mestra.
Este unsynchronization do pulso de disparo pode ser confirmado com a saída dos comandos detail da associação NTP do estado e da mostra NTP da mostra.
R2#show ntp status Clock is unsynchronized, stratum 16, no reference clock !--- Output suppressed.
Do show command output (resultado do comando show) precedente, o pulso de disparo é não-sincronizado e nenhum relógio de referência confirma o unsynchronization do pulso de disparo
R2#show ntp association detail 12.0.0.1 configured, insane, invalid, unsynced, stratum 16 !--- Output suppressed.
Desta saída, insano, inválido, unsynced confirma o unsynchronization do pulso de disparo do cliente com o mestre.
Informações Relacionadas
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)