瞭解SD-WAN控制器中的NTP關聯代碼
簡介
本文檔介紹如何瞭解SD-WAN控制器上的NTP關聯狀態代碼。
必要條件
- 必須允許NTP服務在所有控制器的VPN 0隧道介面內部使用allow-service ntp。如果不允許該服務,請使用此過程將其啟用。
config t
vpn 0
!
interface eth1
tunnel-interface
allow-service ntp
!
commit
- 所有控制器也必須配置NTP。請參考正式文檔,以通過CLI或vManage模板配置NTP。
- 重疊中的所有控制器和所有節點必須配置同一個NTP伺服器,才能具有相同的日期/小時。不同的日期/小時設定可能導致控制連線建立中出現問題。
註:有關NTP配置,請參閱使用Cisco Vmanage配置NTP伺服器和使用CLI配置NTP。
注意:有關控制連線建立問題的其他參考,請參閱排除SD-WAN控制連線故障。
採用元件
本檔案是根據以下軟體和硬體版本所編制:
- SD-WAN控制器版本20.9.3
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
SD-WAN控制器可以與網路時間協定(NTP)伺服器關聯,以實現網路時鐘同步。NTP建立在使用者資料包協定(UDP)埠13上,該埠提供無連線傳輸方法。
在Viptela OS中,show ntp associations命令在連線過程中顯示不同的代碼,提供有關同步所在階段的資訊。可用於瞭解狀態或排除潛在問題。
問題
NTP關聯狀態可以顯示不同的值,有助於找到NTP問題的根本原因,但仍需要人工可讀的解釋。
場景1:NTP連線已成功建立,代碼為961a。
vBond1# show ntp associations
LAST
IDX ASSOCID STATUS CONF REACHABILITY AUTH CONDITION EVENT COUNT
-----------------------------------------------------------------------------
1 42171 961a yes yes none sys.peer reachable 1
場景2:未建立NTP連線,代碼為8023。
vManage# show ntp associations
LAST
IDX ASSOCID STATUS CONF REACHABILITY AUTH CONDITION EVENT COUNT
----------------------------------------------------------------------------
1 14598 8023 yes no none reject mobilize 1
解決方案
代碼解釋
利用從場景1和2獲得的這些代碼,可以將資訊轉換為人類可讀的資訊。
- 解碼第一個位元組:
- 場景1:從獲得的代碼961a,第一個位元組9表示10+80(在ntp.conf中可訪問和配置)。
- 場景2:從獲得的代碼8023中,第一個位元組8表示已配置NTP伺服器,但無法訪問。
| 代碼 | 消息 | 說明 |
| 08 | bcst | 廣播關聯 |
| 10 | reach | 主機可訪問 |
| 20 | authenb | 已啟用身份驗證 |
| 40 | 驗證 | 確定 |
| 80 | 設定 | 持久關聯 |
- 解碼第二個位元組:
- 場景1:從獲得的代碼961a中,第二個位元組6表示它是系統對等體。
- 場景2:從獲得的代碼8023中,第二個位元組0表示被丟棄為無效。
| 代碼 | 消息 | T | 說明 |
| 0 | sel_reject | 被放棄為無效(TEST10-TEST13) | |
| 1 | sel_falsetick | X | 交集演算法丟棄 |
| 2 | sel_excess | . | 被表溢位丟棄(未使用) |
| 3 | sel_outlyer | - | 被群集演算法丟棄 |
| 4 | sel_candidate | + | 包括在組合演算法中 |
| 5 | sel_backup | # | 備份(多於tos maxclock源) |
| 6 | sel_sys.peer | * | 系統對等體 |
| 7 | sel_pps.peer | o | PPS對等體(當首選對等體有效時) |
- 解碼第三和第四位元組:第三位元組是第四位元組發生的次數。
- 場景1:從獲得的代碼961a中,第三個和第四個位元組1a意味著裝置已經成為系統對等體一次。
- 場景2:從獲得的代碼8023中,第三個和第四個位元組23表示將NTP配置為不可訪問、被丟棄為無效,並且已經兩次嘗試訪問它,但沒有成功。
| 代碼 | 消息 | 說明 |
| 01 | 動員 | 聯盟動員 |
| 02 | 退伍 | 已退伍協會 |
| 03 | 無法連線 | 伺服器無法連線 |
| 04 | 可訪問 | 伺服器可訪問 |
| 05 | 重新啟動 | 關聯重啟 |
| 06 | no_reply | 未找到伺服器(ntpdate模式) |
| 07 | rate_exceeded | 超出速率(接吻代碼RATE) |
| 08 | access_denied | 拒絕訪問(KISS代碼DENY) |
| 09 | leap_armed | 從伺服器LI代碼中武裝跳躍 |
| 0a | sys_peer | 成為系統對等體 |
| 0b | clock_event | 請參閱時鐘狀態字 |
| 0c | bad_auth | 驗證失敗 |
| 0d | 爆米花 | 爆米花穗抑制器 |
| 0e | interleave_mode | 進入交織模式 |
| 0f | interleave_error | 交織錯誤(已恢復) |
註:有關NTP關聯代碼的更多參考,請參閱RFC5905。
結論
- 案例1中的代碼961a表示:
- NTP伺服器可訪問,並在ntp.conf(位元組9)中配置。
- 它是對等系統(位元組6)。
- 曾經成為系統對等體(位元組1和位元組a)。
- 案例2中的代碼8023表示:
- 已配置NTP伺服器,但無法訪問它(位元組8)。
- 這表示它被丟棄為無效(位元組0)。
- 這表示已將NTP配置為「無法訪問」、「被丟棄為無效」,並且曾兩次嘗試訪問該協定,但均未成功。(位元組2和位元組3)。
有用的命令
除了show ntp associations,這些命令還可用於NTP故障排除。
- show ntp peer:顯示有關Cisco SD-WAN軟體正在與其時鐘同步的NTP對等體的資訊。
- tcpdump測試: Tcpdump測試可用於確認控制器與NTP伺服器之間是否正在傳送和接收資料包。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
03-Oct-2023 |
初始版本 |
意見