簡介
本文檔介紹如何瞭解SD-WAN控制器上的NTP關聯狀態代碼。
必要條件
- 必須允許NTP服務在所有控制器的VPN 0隧道介面內部使用allow-service ntp。如果不允許該服務,請使用此過程將其啟用。
config t
vpn 0
!
interface eth1
tunnel-interface
allow-service ntp
!
commit
- 所有控制器也必須配置NTP。請參考正式文檔,以通過CLI或vManage模板配置NTP。
- 重疊中的所有控制器和所有節點必須配置同一個NTP伺服器,才能具有相同的日期/小時。不同的日期/小時設定可能導致控制連線建立中出現問題。
採用元件
本檔案是根據以下軟體和硬體版本所編制:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
SD-WAN控制器可以與網路時間協定(NTP)伺服器關聯,以實現網路時鐘同步。NTP建立在使用者資料包協定(UDP)埠13上,該埠提供無連線傳輸方法。
在Viptela OS中,show ntp associations命令在連線過程中顯示不同的代碼,提供有關同步所在階段的資訊。可用於瞭解狀態或排除潛在問題。
問題
NTP關聯狀態可以顯示不同的值,有助於找到NTP問題的根本原因,但仍需要人工可讀的解釋。
場景1:NTP連線已成功建立,代碼為961a。
vBond1# show ntp associations
LAST
IDX ASSOCID STATUS CONF REACHABILITY AUTH CONDITION EVENT COUNT
-----------------------------------------------------------------------------
1 42171 961a yes yes none sys.peer reachable 1
場景2:未建立NTP連線,代碼為8023。
vManage# show ntp associations
LAST
IDX ASSOCID STATUS CONF REACHABILITY AUTH CONDITION EVENT COUNT
----------------------------------------------------------------------------
1 14598 8023 yes no none reject mobilize 1
解決方案
代碼解釋
利用從場景1和2獲得的這些代碼,可以將資訊轉換為人類可讀的資訊。
- 解碼第一個位元組:
- 場景1:從獲得的代碼961a,第一個位元組9表示10+80(在ntp.conf中可訪問和配置)。
- 場景2:從獲得的代碼8023中,第一個位元組8表示已配置NTP伺服器,但無法訪問。
代碼 |
消息 |
說明 |
08 |
bcst |
廣播關聯 |
10 |
reach |
主機可訪問 |
20 |
authenb |
已啟用身份驗證 |
40 |
驗證 |
確定 |
80 |
設定 |
持久關聯 |
- 解碼第二個位元組:
- 場景1:從獲得的代碼961a中,第二個位元組6表示它是系統對等體。
- 場景2:從獲得的代碼8023中,第二個位元組0表示被丟棄為無效。
代碼 |
消息 |
T |
說明 |
0 |
sel_reject |
|
被放棄為無效(TEST10-TEST13) |
1 |
sel_falsetick |
X |
交集演算法丟棄 |
2 |
sel_excess |
. |
被表溢位丟棄(未使用) |
3 |
sel_outlyer |
- |
被群集演算法丟棄 |
4 |
sel_candidate |
+ |
包括在組合演算法中 |
5 |
sel_backup |
# |
備份(多於tos maxclock源) |
6 |
sel_sys.peer |
* |
系統對等體 |
7 |
sel_pps.peer |
o |
PPS對等體(當首選對等體有效時) |
- 解碼第三和第四位元組:第三位元組是第四位元組發生的次數。
- 場景1:從獲得的代碼961a中,第三個和第四個位元組1a意味著裝置已經成為系統對等體一次。
- 場景2:從獲得的代碼8023中,第三個和第四個位元組23表示將NTP配置為不可訪問、被丟棄為無效,並且已經兩次嘗試訪問它,但沒有成功。
代碼 |
消息 |
說明 |
01 |
動員 |
聯盟動員 |
02 |
退伍 |
已退伍協會 |
03 |
無法連線 |
伺服器無法連線 |
04 |
可訪問 |
伺服器可訪問 |
05 |
重新啟動 |
關聯重啟 |
06 |
no_reply |
未找到伺服器(ntpdate模式) |
07 |
rate_exceeded |
超出速率(接吻代碼RATE) |
08 |
access_denied |
拒絕訪問(KISS代碼DENY) |
09 |
leap_armed |
從伺服器LI代碼中武裝跳躍 |
0a |
sys_peer |
成為系統對等體 |
0b |
clock_event |
請參閱時鐘狀態字 |
0c |
bad_auth |
驗證失敗 |
0d |
爆米花 |
爆米花穗抑制器 |
0e |
interleave_mode |
進入交織模式 |
0f |
interleave_error |
交織錯誤(已恢復) |
結論
- 案例1中的代碼961a表示:
- NTP伺服器可訪問,並在ntp.conf(位元組9)中配置。
- 它是對等系統(位元組6)。
- 曾經成為系統對等體(位元組1和位元組a)。
- 案例2中的代碼8023表示:
- 已配置NTP伺服器,但無法訪問它(位元組8)。
- 這表示它被丟棄為無效(位元組0)。
- 這表示已將NTP配置為「無法訪問」、「被丟棄為無效」,並且曾兩次嘗試訪問該協定,但均未成功。(位元組2和位元組3)。
有用的命令
除了show ntp associations,這些命令還可用於NTP故障排除。
- show ntp peer:顯示有關Cisco SD-WAN軟體正在與其時鐘同步的NTP對等體的資訊。
- tcpdump測試: Tcpdump測試可用於確認控制器與NTP伺服器之間是否正在傳送和接收資料包。