Inhoud wegsteek
1 CISCO NX-OS gevorderde netwerkbedryfstelsel ontwerp
2 Produkspesifikasies
3 Produkgebruiksinstruksies
4 Gereelde vrae
5 Inligting oor NTP
6 NTP as tydbediener
7 Verspreiding van NTP met behulp van CFS
8 Klokbestuurder
9 Hoë beskikbaarheid
10 Virtualisering Ondersteuning
11 Voorvereistes vir NTP
12 Riglyne en beperkings vir NTP
13 Verstek instellings
14 Konfigureer NTP
15 Verifieer die NTP-konfigurasie
16 Konfigurasie Bvamples vir NTP
17 Dokumente / Hulpbronne
17.1 Verwysings
18 Verwante plasings

CISCO-logo

CISCO NX-OS gevorderde netwerkbedryfstelsel ontwerp

CISCO-NX-OS-Gevorderde-Netwerk-Bedryfstelsel-Ontwerp-produk

Produkspesifikasies

  • Tydsinkronisasieprotokol: NTP (Network Time Protocol)
  • Ondersteuning: Cisco NX-OS
  • Kenmerke: NTP-tydbedienerkonfigurasie, NTP-eweknieverhoudings, sekuriteitskenmerke, virtualisasieondersteuning

Produkgebruiksinstruksies

Konfigureer NTP vir tydsinchronisasie
Oorweeg die volgende riglyne voordat u u netwerktoestel met NTP-bedieners sinchroniseer:

  1. NTP vergelyk tyd wat deur verskeie toestelle gerapporteer word en vermy sinchronisering met aansienlik verskillende tydbronne.
  2. As u nie aan 'n stratum 1-bediener kan koppel nie, gebruik publieke NTP-bedieners wat op die internet beskikbaar is vir sinchronisasie.
  3. As internettoegang beperk is, stel plaaslike tydinstellings op asof dit deur NTP gesinchroniseer is.

Die skep van NTP-eweknie-verhoudings
Om tyddienende gashere vir sinchronisasie aan te wys en akkurate tyd te verseker in geval van bedienerfout:

  • Skep NTP-eweknieverhoudings met gewenste gashere.
  • Gebruik toegangslysgebaseerde beperkings of geënkripteerde verifikasiemeganismes vir verbeterde sekuriteit.

Verspreiding van NTP-konfigurasie met behulp van CFS
Cisco Fabric Services (CFS) laat die verspreiding van plaaslike NTP-konfigurasies oor die netwerk toe. Volg hierdie stappe:

  1. Aktiveer CFS op jou toestel om netwerkwye slot op NTP-konfigurasie te begin.
  2. Na konfigurasieveranderinge, gooi dit weg of verbind hulle om die CFS-slot vry te stel.

Ondersteuning vir hoë beskikbaarheid en virtualisasie
Verseker hoë beskikbaarheid en virtualisasie-ondersteuning vir NTP deur:

  • Konfigureer NTP-eweknieë vir oortolligheid in geval van bedienerfout.
  • Herken virtuele roetering en aanstuur (VRF) gevalle vir NTP-werking.

Gereelde vrae

  • Voorvereistes en riglyne vir die opstel van NTP
    • Voorvereistes: Verseker netwerkverbinding en toegang tot gewenste NTP-bedieners.
    • Riglyne: Gebruik sekuriteitskenmerke soos toegangslyste en verifikasie vir veilige tydsinchronisasie.
  • Standaard NTP-instellings
    • NTP is by verstek vir alle koppelvlakke geaktiveer.
    • NTP passief Geaktiveer vir die vorming van assosiasies.
    • NTP-verifikasie is by verstek gedeaktiveer.
    • NTP-toegang Geaktiveer met alle koppelvlakke.
    • NTP-uitsaaibediener Gedeaktiveer as verstekinstelling.

Inligting oor NTP

  • Die Network Time Protocol (NTP) sinchroniseer die tyd van die dag tussen 'n stel verspreide tydbedieners en kliënte sodat jy gebeure kan korreleer wanneer jy stelsellogboeke en ander tydspesifieke gebeurtenisse van verskeie netwerktoestelle ontvang. NTP gebruik die Gebruiker Datagram-protokol (UDP) as sy vervoerprotokol. Alle NTP-kommunikasie gebruik gekoördineerde universele tyd (UTC).
  • 'n NTP-bediener ontvang gewoonlik sy tyd van 'n gesaghebbende tydbron, soos 'n radiohorlosie of 'n atoomhorlosie wat aan 'n tydbediener gekoppel is, en versprei dan hierdie tyd oor die netwerk. NTP is uiters doeltreffend; nie meer as een pakkie per minuut is nodig om twee masjiene binne 'n millisekonde van mekaar te sinchroniseer nie.
  • NTP gebruik 'n stratum om die afstand tussen 'n netwerktoestel en 'n gesaghebbende tydbron te beskryf:
    • 'n Stratum 1-tydbediener is direk gekoppel aan 'n gesaghebbende tydbron (soos 'n radio- of atoomhorlosie of 'n GPS-tydbron).
    • 'n Stratum 2 NTP-bediener ontvang sy tyd deur NTP vanaf 'n stratum 1-tydbediener.
  • Voor sinchronisering vergelyk NTP die tyd wat deur verskeie netwerktoestelle gerapporteer word en sinchroniseer nie met een wat aansienlik verskil nie, selfs al is dit 'n stratum 1. Omdat Cisco NX-OS nie aan 'n radio- of atoomhorlosie kan koppel nie en as 'n stratum 1 kan optree bediener, beveel ons aan dat jy die publieke NTP-bedieners wat op die internet beskikbaar is, gebruik. As die netwerk van die internet geïsoleer is, stel Cisco NX-OS jou in staat om die tyd in te stel asof dit deur NTP gesinchroniseer is, al was dit nie.
    Let wel
    Jy kan NTP-eweknie-verhoudings skep om die tyddienende gashere aan te wys waarmee jy wil hê jou netwerktoestel moet oorweeg om mee te sinkroniseer en om akkurate tyd te hou as 'n bedienerfout plaasvind.
  • Die tyd wat op 'n toestel gehou word, is 'n kritieke hulpbron, daarom beveel ons sterk aan dat jy die sekuriteitskenmerke van NTP gebruik om die toevallige of kwaadwillige instelling van verkeerde tyd te vermy. Twee meganismes is beskikbaar: 'n toegangslys-gebaseerde beperkingskema en 'n geënkripteerde verifikasiemeganisme.

NTP as tydbediener

Ander toestelle kan dit as 'n tydbediener opstel. U kan ook die toestel instel om as 'n gesaghebbende NTP-bediener op te tree, wat dit in staat stel om tyd te versprei selfs wanneer dit nie met 'n buite tydbron gesinchroniseer is nie.

Verspreiding van NTP met behulp van CFS

  • Cisco Fabric Services (CFS) versprei die plaaslike NTP-konfigurasie na alle Cisco-toestelle in die netwerk.
  • Nadat CFS op jou toestel geaktiveer is, word 'n netwerkwye slot op NTP toegepas wanneer 'n NTP-konfigurasie begin word. Nadat u die NTP-konfigurasieveranderinge aangebring het, kan u dit weggooi of pleeg.
  • In beide gevalle word die CFS-slot dan vrygestel van die NTP-toepassing.

Klokbestuurder

  • Horlosies is hulpbronne wat oor verskillende prosesse gedeel moet word.
  • Veelvuldige tydsinchronisasieprotokolle, soos NTP en Precision Time Protocol (PTP), kan in die stelsel loop.

Hoë beskikbaarheid

  • Staatlose herbeginsels word vir NTP ondersteun. Na 'n herlaai of 'n toesighouer-omskakeling, word die lopende konfigurasie toegepas.
  • U kan NTP-eweknieë instel om oortolligheid te verskaf ingeval 'n NTP-bediener misluk.

Virtualisering Ondersteuning

NTP herken virtuele roetering en aanstuur (VRF) gevalle. NTP gebruik die verstek VRF as jy nie 'n spesifieke VRF vir die NTP-bediener en NTP-eweknie konfigureer nie.

Voorvereistes vir NTP

NTP het die volgende voorvereistes:
Om NTP op te stel, moet jy konnektiwiteit hê met ten minste een bediener wat NTP gebruik.

Riglyne en beperkings vir NTP

NTP het die volgende konfigurasieriglyne en beperkings:

  • Die wys ntp sessie status CLI opdrag wys nie die laaste aksie tyd stamp, die laaste aksie, die laaste aksieresultaat en die rede vir die laaste aksiemislukking.
  • NTP-bedienerfunksies word ondersteun.
  • Jy moet 'n eweknie-assosiasie met 'n ander toestel hê slegs wanneer jy seker is dat jou klok betroubaar is (wat beteken dat jy 'n kliënt van 'n betroubare NTP-bediener is).
  • 'n Eweknie wat alleen gekonfigureer is, neem die rol van 'n bediener aan en moet as 'n rugsteun gebruik word. As jy twee bedieners het, kan jy verskeie toestelle instel om na een bediener te wys en die oorblywende toestelle om na die ander bediener te wys. U kan dan 'n eweknie-assosiasie tussen hierdie twee bedieners opstel om 'n meer betroubare NTP-konfigurasie te skep.
  • As jy net een bediener het, moet jy al die toestelle as kliënte vir daardie bediener opstel.
  • U kan tot 64 NTP-entiteite (bedieners en eweknieë) opstel.
  • As CFS vir NTP gedeaktiveer is, versprei NTP geen konfigurasie nie en aanvaar nie 'n verspreiding vanaf ander toestelle in die netwerk nie.
  • Nadat CFS-verspreiding vir NTP geaktiveer is, sluit die invoer van 'n NTP-konfigurasie-opdrag die netwerk vir NTP-konfigurasie totdat 'n commit-opdrag ingevoer word. Tydens die slot kan geen veranderinge aan die NTP-konfigurasie gemaak word deur enige ander toestel in die netwerk behalwe die toestel wat die slot geïnisieer het nie.
  • As jy CFS gebruik om NTP te versprei, moet alle toestelle in die netwerk dieselfde VRF's opgestel hê as wat jy vir NTP gebruik.
  • As jy NTP in 'n VRF konfigureer, maak seker dat die NTP-bediener en eweknieë mekaar kan bereik deur die gekonfigureerde VRF's.
  • Jy moet NTP-stawingsleutels met die hand op die NTP-bediener en Cisco NX-OS-toestelle oor die netwerk versprei.
  • As jy die skakelaar as 'n randtoestel gebruik en NTP wil gebruik, beveel Cisco aan om die ntp-toegangsgroepopdrag te gebruik en NTP net na die vereiste randtoestelle te filter.
  • As die stelsel gekonfigureer is met die ntp passiewe, ntp broadcast-kliënt of ntp multicast-kliënt-opdragte, wanneer NTP 'n inkomende simmetriese aktiewe, uitsaai- of multicast-pakkie ontvang, kan dit 'n kortstondige eweknie-assosiasie opstel om met die sender te sinchroniseer .
    Let wel
    Maak seker dat jy ntp authenticate spesifiseer voordat enige van die bogenoemde opdragte geaktiveer word. Versuim om dit te doen, sal jou toestel toelaat om te sinchroniseer met enige toestel wat een van die bogenoemde pakkietipes stuur, insluitend kwaadwillige aanvaller-beheerde toestelle.
  • As die ntp-verifikasie-opdrag gespesifiseer word, wanneer 'n simmetriese aktiewe, uitsaai- of multicast-pakkie ontvang word, sinchroniseer die stelsel nie met die eweknie nie, tensy die pakkie een van die verifikasiesleutels dra wat gespesifiseer is in die ntp-vertroude-sleutel globale konfigurasie-opdrag.
  • Om sinchronisasie met ongemagtigde netwerkgashere te voorkom, moet die ntp authenticate-opdrag gespesifiseer word enige tyd wat die ntp-passiewe, ntp-uitsaaikliënt- of ntp multicast-kliënt-opdrag gespesifiseer is, tensy ander maatreëls, soos die ntp-toegangsgroep-opdrag, geneem is om verhoed dat ongemagtigde gashere met die NTP-diens op die toestel kommunikeer.
  • Die ntp authenticate-opdrag verifieer nie eweknie-assosiasies wat via die ntp-bediener en ntp-eweknie-konfigurasie-opdragte gekonfigureer is nie. Om die ntp-bediener en ntp-eweknie-assosiasies te verifieer, spesifiseer die sleutelwoord.
  • Gebruik NTP-uitsaai- of multicast-assosiasies wanneer tydakkuraatheid en betroubaarheidsvereistes beskeie is, jou netwerk gelokaliseer is en die netwerk meer as 20 kliënte het. Ons beveel aan dat jy NTP-uitsaai- of multicast-assosiasies gebruik in netwerke wat beperkte bandwydte, stelselgeheue of SVE-hulpbronne het.
  • 'n Maksimum van vier ACL's kan vir 'n enkele NTP-toegangsgroep gekonfigureer word.
    Let wel Tyd akkuraatheid word marginaal verminder in NTP-uitsaaiverenigings omdat inligting net op een manier vloei.

Verstek instellings

Die volgende is die verstekinstellings vir NTP-parameters.

Parameters Verstek
NTP Geaktiveer vir alle koppelvlakke
NTP passief (wat NTP in staat stel om assosiasies te vorm) Geaktiveer
NTP-verifikasie Gestrem
NTP toegang Geaktiveer
NTP-toegangsgroep pas almal by Gestrem
NTP-uitsaaibediener Gestrem
NTP multicast-bediener Gestrem
NTP multicast kliënt Gestrem
NTP-registrasie Gestrem

Konfigureer NTP

Aktiveer of deaktiveer NTP op 'n koppelvlak
U kan NTP op 'n spesifieke koppelvlak aktiveer of deaktiveer. NTP is by verstek op alle koppelvlakke geaktiveer.

Prosedure

Bevel or Aksie Doel
Stap 1 skakel # konfigureer terminaal Gaan globale konfigurasiemodus in.
Stap 2 skakelaar (konfigurasie) # koppelvlak tipe gleuf/poort Gaan koppelvlakkonfigurasiemodus in.
Stap 3 skakel(config-if)# [nee] ntp deaktiveer {ip | ipv6} Deaktiveer NTP IPv4 of IPv6 op die gespesifiseerde koppelvlak.

Gebruik die nee vorm van hierdie opdrag om NTP op die koppelvlak te heraktiveer.
Stap 4 (Opsioneel) skakelaar(config-if)# kopieer running-config startup-config Stoor die verandering aanhoudend deur herselflaai en herbegin deur die lopende konfigurasie na die opstartkonfigurasie te kopieer.

Example
Die volgende example wys hoe om NTP op 'n koppelvlak te aktiveer of te deaktiveer:

  • skakelaar# konfigureer terminaal
  • switch (config) # koppelvlak ethernet 6/1
  • switch(config-if)# ntp deaktiveer ip
  • switch(config-if)# copy running-config startup-config

Die opstel van die toestel as 'n gesaghebbende NTP-bediener
U kan die toestel instel om as 'n gesaghebbende NTP-bediener op te tree, wat dit in staat stel om tyd te versprei selfs wanneer dit nie met 'n bestaande tydbediener gesinchroniseer is nie.

Prosedure

Bevel or Aksie Doel
Stap 1 skakel # konfigureer terminaal Gaan globale konfigurasiemodus in.
Bevel or Aksie Doel
Stap 1 skakel # konfigureer terminaal Gaan globale konfigurasiemodus in.

Example
Hierdie example wys hoe om die Cisco NX-OS-toestel op te stel as 'n gesaghebbende NTP-bediener met 'n ander stratumvlak:

  • skakelaar# konfigureer terminaal
  • Voer konfigurasiebevele in, een per reël. Eindig met CNTL/Z.
  • switch(config)# ntp master 5

Opstel van 'n NTP-bediener en eweknie
U kan 'n NTP-bediener en eweknie konfigureer.

Voordat jy begin
Maak seker dat jy die IP-adres of DNS-name van jou NTP-bediener en sy eweknieë ken.

Prosedure

Bevel or Aksie Doel
Stap 1 skakel # konfigureer terminaal Gaan globale konfigurasiemodus in.
Stap 2 skakel (konfigurasie) # [nee] ntp bediener {IP adres | ipv6-adres | dns-naam} [sleutel sleutel-ID] [maxpoll maksimum-peiling] [minpoll min-peiling] [verkies] [gebruik-vrf vrf-naam] Vorm 'n assosiasie met 'n bediener.

Gebruik die sleutel sleutelwoord om 'n sleutel op te stel wat gebruik moet word terwyl daar met die NTP-bediener gekommunikeer word.

Die reeks vir die sleutel-ID argument is van 1 tot 65535.

Gebruik die maxpoll en minpoll sleutelwoorde om die maksimum en minimum intervalle te konfigureer waarin 'n bediener gepeil moet word. Die reeks vir die maksimum-peiling en min-peiling argumente is van 4 tot

16 (opgestel as magte van 2, dus effektief 16 tot 65536 sekondes), en die verstekwaardes
is onderskeidelik 6 en 4 (maxpoll verstek = 64

sekondes, minpoll verstek = 16 sekondes).

Gebruik die sleutelwoord verkies om dit die voorkeur NTP-bediener vir die toestel te maak.

Gebruik die gebruik-vrf sleutelwoord om die NTP-bediener op te stel om oor die gespesifiseerde VRF te kommunikeer.

Die vrf-naam argument kan verstek, bestuur of enige hooflettersensitiewe alfanumeriese string tot 32 karakters wees.

Let wel                 As jy 'n sleutel opstel om te gebruik terwyl jy met die NTP-bediener kommunikeer, maak seker dat die sleutel as 'n vertroude sleutel op die toestel bestaan.
Stap 3 skakel (konfigurasie) # [nee] ntp eweknie {IP adres | ipv6-adres | dns-naam} [sleutel sleutel-ID] [maxpoll maksimum-peiling] [minpoll min-peiling] [verkies] [gebruik-vrf vrf-naam] Vorm 'n assosiasie met 'n eweknie. Jy kan verskeie eweknie-assosiasies spesifiseer.

Gebruik die sleutel sleutelwoord om 'n sleutel op te stel wat gebruik moet word terwyl daar met die NTP-eweknie gekommunikeer word. Die reeks vir die sleutel-ID argument is van 1 tot 65535.

Gebruik die maxpoll en minpoll sleutelwoorde om die maksimum en minimum intervalle te konfigureer waarin 'n bediener gepeil moet word. Die reeks vir die maksimum-peiling en min-peiling argumente is van 4 tot 17 (opgestel as magte van 2, dus effektief 16 tot 131072 sekondes), en die verstekwaardes is onderskeidelik 6 en 4 (maxpoll verstek = 64 sekondes, minpoll verstek = 16 sekondes).

Gebruik die verkies sleutelwoord om dit die voorkeur NTP-eweknie vir die toestel te maak.

Gebruik die gebruik-vrf sleutelwoord om die NTP-eweknie te konfigureer om oor die gespesifiseerde VRF te kommunikeer. Die vrf-naam argument kan wees verstek , bestuur , of enige hooflettersensitiewe alfanumeriese string tot 32 karakters.
Stap 4 (Opsioneel) skakelaar (config)# wys ntp eweknieë Vertoon die gekonfigureerde bediener en eweknieë.

Let wel                 'n Domeinnaam word slegs opgelos as u 'n DNS-bediener opgestel het.
Stap 5 (Opsioneel) skakelaar (config)# kopieer running-config startup-config Stoor die verandering aanhoudend deur herselflaai en herbegin deur die lopende konfigurasie na die opstartkonfigurasie te kopieer.

Konfigureer NTP-verifikasie
Jy kan die toestel instel om die tydbronne waarteen die plaaslike horlosie gesinchroniseer is, te verifieer. Wanneer jy NTP-stawing aktiveer, sinchroniseer die toestel slegs na 'n tydbron as die bron een van die verifikasiesleutels dra wat deur die ntp-vertroude-sleutel-opdrag gespesifiseer is. Die toestel laat val enige pakkies wat die verifikasiekontrole misluk en verhoed dat hulle die plaaslike horlosie opdateer. NTP-verifikasie is by verstek gedeaktiveer.

Voordat jy begin
Verifikasie vir NTP-bedieners en NTP-eweknieë word op 'n per-assosiasie-basis gekonfigureer deur die sleutelsleutelwoord op elke ntp-bediener en ntp-eweknie-opdrag te gebruik. Maak seker dat jy alle NTP-bediener- en eweknie-assosiasies gekonfigureer het met die verifikasiesleutels wat jy beplan om in hierdie prosedure te spesifiseer. Enige ntp-bediener of ntp-eweknie-opdragte wat nie die sleutelsleutelwoord spesifiseer nie, sal voortgaan om sonder verifikasie te werk.

Prosedure

Bevel or Aksie Doel
Stap 1 konfigureer terminaal

Example:

skakelaar# konfigureer terminaalskakelaar (config)#

 Gaan globale konfigurasiemodus in.
Stap 2 [nee] ntp-verifikasiesleutel nommer md5

md5-string

Example:

switch(config)# ntp-verifikasiesleutel

42 md5 'n NiceKey

 Definieer die verifikasiesleutels. Die toestel sinchroniseer nie met 'n tydbron nie, tensy die bron een van hierdie stawingsleutels het en die sleutelnommer gespesifiseer word deur die ntp betroubare sleutel nommer bevel.

Die reeks vir stawingsleutels is van 1 tot 65535. Vir die MD5-string kan jy tot agt alfanumeriese karakters invoer.
Stap 3 ntp bediener IP adres sleutel sleutel-ID

Example:

switch(config)# ntp-bediener 192.0.2.1 sleutel 1001

 Aktiveer stawing vir die gespesifiseerde NTP-bediener, wat 'n assosiasie met 'n bediener vorm.

Gebruik die sleutel sleutelwoord om 'n sleutel op te stel wat gebruik moet word terwyl daar met die NTP-bediener gekommunikeer word. Die reeks vir die sleutel-ID argument is van 1 tot 65535.

Om verifikasie te vereis, die sleutel sleutelwoord gebruik moet word. Enige ntp bediener or ntp eweknie opdragte wat nie die sleutel sleutelwoord sal voortgaan om sonder verifikasie te werk.
Stap 4 (Opsioneel) wys ntp-verifikasiesleutels

Example:

switch(config)# wys ntp-verifikasiesleutels

 Vertoon die gekonfigureerde NTP-verifikasiesleutels.
Stap 5 [nee] ntp betroubare sleutel nommer

Example:

switch(config)# ntp betroubare sleutel 42

 Spesifiseer een of meer sleutels (gedefinieer in Stap 2) wat 'n ongekonfigureerde afstandsimmetriese, uitsaai- en multiuitsendingtydbron in sy NTP-pakkies moet verskaf sodat die toestel daarmee kan sinchroniseer. Die reeks vir betroubare sleutels is van 1 tot 65535.

Hierdie opdrag bied beskerming teen die per ongeluk sinchronisering van die toestel na 'n tydbron wat nie vertrou word nie.
Stap 6 (Opsioneel) wys ntp betroubare sleutels

Example:

switch(config)# wys ntp betroubare sleutels

 Vertoon die gekonfigureerde NTP-betroubare sleutels.
Stap 7 [nee] ntp verifieer

Example:

switch(config)# ntp verifieer

 Aktiveer of deaktiveer stawing vir ntp-passiewe, ntp-uitsaaikliënt en ntp-multiuitsending. NTP-verifikasie is by verstek gedeaktiveer.
Stap 8 (Opsioneel) wys ntp-verifikasiestatus

Example:

switch(config)# wys ntp-verifikasiestatus

 Vertoon die status van NTP-verifikasie.
Stap 9 (Opsioneel) kopieer running-config startup-config

Example:

switch(config)# copy running-config startup-config

 Kopieer die lopende konfigurasie na die opstartkonfigurasie.

Konfigureer NTP-toegangsbeperkings

  • Jy kan toegang tot NTP-dienste beheer deur toegangsgroepe te gebruik. Spesifiek, jy kan die tipe versoeke spesifiseer wat die toestel toelaat en die bedieners waarvandaan dit antwoorde aanvaar.
  • As jy geen toegangsgroepe instel nie, word NTP-toegang aan alle toestelle verleen. As jy enige toegangsgroepe instel, word NTP-toegang slegs verleen aan die afgeleë toestel wie se bron-IP-adres die toegangslyskriteria slaag.
  • Begin met Cisco NX-OS Release 7.0(3)I7(3), word toegangsgroepe volgens die volgende metode geëvalueer:
    • Sonder die pas-alle-sleutelwoord, word die pakkie teen die toegangsgroepe geëvalueer (in die volgorde hieronder genoem) totdat dit 'n permit kry. As 'n permit nie gevind word nie, word die pakkie laat val.
    • Met ooreenstemmende sleutelwoorde word die pakkie teen al die toegangsgroepe geëvalueer (in die volgorde hieronder genoem) en die aksie word geneem op grond van die laaste suksesvolle evaluering (die laaste toegangsgroep waar 'n ACL opgestel is).
  • Die kartering van die toegangsgroep na die tipe pakkie is soos volg:
    • eweknie- verwerk kliënt, simmetries aktief, simmetries passief, bedien, beheer en privaat pakkies (alle tipes)
    • bedien- verwerk kliënt-, beheer- en private pakkies
    • slegs dien- verwerk slegs kliëntpakkette
    • slegs navraag- slegs prosesbeheer en privaat pakkies
  • Die toegangsgroepe word in die volgende dalende volgorde geëvalueer:
    1. eweknie (alle pakkettipes)
    2. bedien (kliënt, beheer en privaat pakkies)
    3. slegs navraag (kliëntpakkette) of slegs navraag (beheer en privaat pakkies)

Prosedure

Bevel or Aksie Doel
Stap 1 skakel # konfigureer terminaal Gaan globale konfigurasiemodus in.
Stap 2 skakel (konfigurasie) # [nee] ntp toegang-groep pas-alles | {{eweknie | bedien | slegs dien | slegs navraag }toegang-lys-naam} Skep of verwyder 'n toegangsgroep om NTP-toegang te beheer en pas 'n basiese IP-toegangslys toe.

Die toegangsgroepopsies word in die volgende volgorde geskandeer, van die minste beperkend tot die mees beperkende. As NTP egter ooreenstem met 'n weier-ACL-reël in 'n gekonfigureerde eweknie, stop ACL-verwerking en gaan nie voort na die volgende toegangsgroepopsie nie.

• Die eweknie sleutelwoord stel die toestel in staat om tydversoeke en NTP-beheernavrae te ontvang en om homself te sinchroniseer met die bedieners wat in die toegangslys gespesifiseer word.

• Die bedien sleutelwoord stel die toestel in staat om tydversoeke en NTP-beheernavrae te ontvang vanaf die bedieners wat in die toegangslys gespesifiseer is, maar om homself nie met die gespesifiseerde bedieners te sinchroniseer nie.

• Die slegs dien sleutelwoord stel die toestel in staat om slegs tydversoeke te ontvang van bedieners wat in die toegangslys gespesifiseer is.

• Die slegs navraag sleutelwoord stel die toestel in staat om slegs NTP-beheernavrae te ontvang vanaf die bedieners wat in die toegangslys gespesifiseer is.

• Die pas-alles sleutelwoord stel die toegangsgroepopsies in staat om in die volgende volgorde geskandeer te word, van die minste beperkend tot die mees beperkende: eweknie, bedien, dien-alleen, navraag-alleen. As die inkomende pakkie nie ooreenstem met die ACL in die portuurtoegang nie
groep, gaan dit na die dientoegangsgroep na

verwerk word. As die pakkie nie ooreenstem met die ACL in die dienstoegangsgroep nie, gaan dit na die slegs-bedientoegangsgroep, ensovoorts.

Let wel                 Die pas-alles sleutelwoord is beskikbaar vanaf Cisco NX-OS Release 7.0(3)I6(1).
Stap 3 skakelaar (konfigurasie) # wys ntp-toegangsgroepe (Opsioneel) Vertoon die NTP-toegangsgroepkonfigurasie.
Stap 4 (Opsioneel) skakelaar (config)# kopieer running-config startup-config Stoor die verandering aanhoudend deur herselflaai en herbegin deur die lopende konfigurasie na die opstartkonfigurasie te kopieer.

Example
Hierdie example wys hoe om die toestel op te stel sodat dit met 'n eweknie van toegangsgroep "toegangslys1" kan sinchroniseer:

CISCO-NX-OS-Gevorderde-Netwerk-Bedryfstelsel-Ontwerp-fig-3

Konfigureer die NTP-bron IP-adres
NTP stel die bron-IP-adres vir alle NTP-pakkies gebaseer op die adres van die koppelvlak waardeur die NTP-pakkies gestuur word. U kan NTP instel om 'n spesifieke bron-IP-adres te gebruik.

Prosedure

Bevel or Aksie Doel
Stap 1 skakel # konfigureer terminaal Gaan globale konfigurasiemodus in.
Stap 2 [nee] ntp bron IP adres Stel die bron-IP-adres vir alle NTP-pakkies op. Die IP adres kan in IPv4- of IPv6-formaat wees.

Example
Hierdie example wys hoe om 'n NTP-bron IP-adres van 192.0.2.2 op te stel.

  • skakelaar# konfigureer terminaal
  • switch(config)# ntp bron 192.0.2.2

Konfigureer die NTP-bronkoppelvlak
U kan NTP instel om 'n spesifieke koppelvlak te gebruik.

Prosedure

Bevel or Aksie Doel
Stap 1 skakel # konfigureer terminaal Gaan globale konfigurasiemodus in.
Stap 2 [nee] ntp bron-koppelvlak koppelvlak Stel die bronkoppelvlak vir alle NTP-pakkies op. Die volgende lys bevat die geldige waardes vir koppelvlak.

• ethernet

• teruglus

• mgmt

• hawe-kanaal

• vlan

Example
Hierdie example wys hoe om die NTP-bronkoppelvlak op te stel:

  • skakelaar# konfigureer terminaal
  • switch (config) # ntp bron-koppelvlak ethernet

Konfigureer 'n NTP-uitsaaibediener
U kan 'n NTP IPv4-uitsaaibediener op 'n koppelvlak konfigureer. Die toestel stuur dan periodiek uitsaaipakkies deur daardie koppelvlak. Die kliënt hoef nie 'n antwoord te stuur nie.

Prosedure

Bevel or Aksie Doel
Stap 1 skakel # konfigureer terminaal Gaan globale konfigurasiemodus in.
Stap 2 skakelaar (konfigurasie) # koppelvlak tipe gleuf/poort Gaan koppelvlakkonfigurasiemodus in.
Stap 3 skakel(config-if)# [geen] ntp-uitsending [bestemming IP adres] [sleutel sleutel-ID] [weergawe nommer] Aktiveer 'n NTP IPv4-uitsaaibediener op die gespesifiseerde koppelvlak.

•  bestemming IP adres-Konfigureer die uitsaaibestemmings-IP-adres.

•  sleutel sleutel-ID—Konfigureer die uitsendingstawingsleutelnommer. Die reeks is van 1 tot 65535.

•  weergawe nommer- Stel die NTP-weergawe op. Die reeks is van 2 tot 4.
Stap 4 skakel(config-if)# uitgang Verlaat koppelvlakkonfigurasiemodus.
Stap 5 (Opsioneel) skakelaar (config)# [geen] ntp uitsaaivertraging vertraging Konfigureer die geskatte uitsending heen-en terugreis vertraging in mikrosekondes. Die reeks is van 1 tot 999999.
Stap 6 (Opsioneel) skakelaar (config)# kopieer running-config startup-config Stoor die verandering aanhoudend deur herselflaai en herbegin deur die lopende konfigurasie na die opstartkonfigurasie te kopieer.

Example
Hierdie example wys hoe om 'n NTP-uitsaaibediener op te stel:

  • skakelaar# konfigureer terminaal
  • switch (config) # koppelvlak ethernet 6/1
  • skakel(config-if)# ntp-uitsaaibestemming 192.0.2.10 skakel(config-if)# uitgang
  • switch (config) # ntp uitsaaivertraging 100
  • switch(config)# copy running-config startup-config

Konfigureer 'n NTP Multicast-bediener
Jy kan 'n NTP IPv4 of IPv6 multicast-bediener op 'n koppelvlak konfigureer. Die toestel stuur dan periodiek multicast-pakkies deur daardie koppelvlak.

Prosedure

Bevel or Aksie Doel
Stap 1 skakel # konfigureer terminaal Gaan globale konfigurasiemodus in.
Stap 2 skakelaar (konfigurasie) # koppelvlak tipe gleuf/poort Gaan koppelvlakkonfigurasiemodus in.
Stap 3 skakel(config-if)# [geen] ntp multicast [ipv4-adres | ipv6-adres] [sleutel sleutel-ID] [ttl waarde] [weergawe nommer] Aktiveer 'n NTP IPv4 of IPv6 multicast-bediener op die gespesifiseerde koppelvlak.

•  ipv4-adres or ipv6-adres- Multicast IPv4- of IPv6-adres.
•  sleutel sleutel-ID- Stel die uitsending op

stawingsleutelnommer. Die reeks is van 1 tot 65535.

•  ttl waarde— Tyd-tot-lewendige waarde van die multicast-pakkies. Die reeks is van 1 tot 255.

•  weergawe nommer-NTP weergawe. Die reeks is van 2 tot 4.
Stap 4 (Opsioneel) skakelaar(config-if)# kopieer running-config startup-config Stoor die verandering aanhoudend deur herselflaai en herbegin deur die lopende konfigurasie na die opstartkonfigurasie te kopieer.

Example
Hierdie example wys hoe om 'n Ethernet-koppelvlak op te stel om NTP-multicast-pakkies te stuur:

  • skakelaar# konfigureer terminaal
  • switch (config) # koppelvlak ethernet 2/2
  • switch(config-if)# ntp multicast FF02::1:FF0E:8C6C
  • switch(config-if)# copy running-config startup-config

Konfigureer 'n NTP Multicast-kliënt
Jy kan 'n NTP multicast-kliënt op 'n koppelvlak konfigureer. Die toestel luister dan na NTP multicast-boodskappe en gooi enige boodskappe weg wat van 'n koppelvlak kom waarvoor multicast nie opgestel is nie.

Prosedure

Bevel or Aksie Doel
Stap 1 skakel # konfigureer terminaal Gaan globale konfigurasiemodus in.
Stap 2 skakelaar (konfigurasie) # koppelvlak tipe gleuf/poort Gaan koppelvlakkonfigurasiemodus in.
Stap 3 skakel(config-if)# [geen] ntp multicast-kliënt [ipv4-adres | ipv6-adres] Stel die gespesifiseerde koppelvlak in staat om NTP multicast-pakkies te ontvang.
Stap 4 (Opsioneel) skakelaar(config-if)# kopieer running-config startup-config Stoor die verandering aanhoudend deur herselflaai en herbegin deur die lopende konfigurasie na die opstartkonfigurasie te kopieer.

Example
Hierdie example wys hoe om 'n Ethernet-koppelvlak op te stel om NTP-multicast-pakkies te ontvang:

  • skakelaar# konfigureer terminaal
  • switch (config) # koppelvlak ethernet 2/3
  • switch(config-if)# ntp multicast-kliënt FF02::1:FF0E:8C6C
  • switch(config-if)# copy running-config startup-config

Konfigureer NTP-logboek
U kan NTP-registrasie instel om stelsellogboeke met beduidende NTP-gebeurtenisse te genereer. NTP-aantekening is by verstek gedeaktiveer.

Prosedure

Bevel or Aksie Doel
Stap 1 skakel # konfigureer terminaal Gaan globale konfigurasiemodus in.
Stap 2 skakel (konfigurasie) # [nee] ntp aanteken Aktiveer of deaktiveer stelsellogboeke wat gegenereer word met beduidende NTP-gebeurtenisse. NTP-aantekening is by verstek gedeaktiveer.
Stap 3 (Opsioneel) skakelaar (config)# wys ntp-aantekenstatus Vertoon die NTP-aantekeningkonfigurasiestatus.
Stap 4 (Opsioneel) skakelaar (config)# kopieer running-config startup-config Stoor die verandering aanhoudend deur herselflaai en herbegin deur die lopende konfigurasie na die opstartkonfigurasie te kopieer.

Example
Die volgende example wys hoe om NTP-aantekening te aktiveer om stelsellogboeke met beduidende NTP-gebeurtenisse te genereer:

  • skakelaar# konfigureer terminaal
  • switch(config)# ntp logging
  • switch(config)# copy running-config startup-config [#################################### ###] 100%
  • skakelaar (konfigurasie) #

Aktiveer CFS-verspreiding vir NTP
U kan CFS-verspreiding vir NTP aktiveer om die NTP-konfigurasie na ander CFS-geaktiveerde toestelle te versprei.

Voordat jy begin
Maak seker dat jy CFS-verspreiding vir die toestel geaktiveer het.

Prosedure

Bevel or Aksie Doel
Stap 1 skakel # konfigureer terminaal Gaan globale konfigurasiemodus in.
Stap 2 skakel (konfigurasie) # [nee] ntp versprei Aktiveer of deaktiveer die toestel om NTP-konfigurasieopdaterings te ontvang wat deur CFS versprei word.
Stap 3 (Opsioneel) skakelaar (config)# wys ntp status Vertoon die NTP CFS verspreiding status.
Stap 4 (Opsioneel) skakelaar (config)# kopieer running-config startup-config Stoor die verandering aanhoudend deur herselflaai en herbegin deur die lopende konfigurasie na die opstartkonfigurasie te kopieer.

Example
Hierdie example wys hoe om die toestel in staat te stel om NTP-konfigurasieopdaterings deur CFS te ontvang:

  • skakelaar# konfigureer terminaal
  • switch(config)# ntp versprei
  • switch(config)# copy running-config startup-config

Bewerk NTP-konfigurasieveranderinge
Wanneer jy die NTP-konfigurasieveranderinge aanbring, word die effektiewe databasis oorskryf deur die konfigurasieveranderinge in die hangende databasis en al die toestelle in die netwerk ontvang dieselfde konfigurasie.

Prosedure

Bevel or Aksie Doel
Stap 1 skakel # konfigureer terminaal Gaan globale konfigurasiemodus in.
Stap 2 skakelaar (konfigurasie) # ntp pleeg Versprei die NTP-konfigurasieveranderinge na alle Cisco NX-OS-toestelle in die netwerk en stel die CFS-slot vry. Hierdie opdrag oorskryf die effektiewe databasis met die veranderinge wat aan die hangende databasis gemaak is.

Gooi NTP-konfigurasieveranderings weg
Nadat u die konfigurasieveranderinge aangebring het, kan u kies om die veranderinge weg te gooi in plaas daarvan om dit toe te pas. As jy die veranderinge weggooi, verwyder Cisco NX-OS die hangende databasisveranderinge en stel die CFS-slot vry.

Prosedure

Bevel or Aksie Doel
Stap 1 skakel # konfigureer terminaal Gaan globale konfigurasiemodus in.
Stap 2 skakelaar (konfigurasie) # ntp aborteer Gooi die NTP-konfigurasieveranderinge in die hangende databasis weg en stel die CFS-slot vry. Gebruik hierdie opdrag op die toestel waar jy die NTP-konfigurasie begin het.

Die vrystelling van die CFS-sessieslot
As jy 'n NTP-konfigurasie uitgevoer het en vergeet het om die slot los te maak deur die veranderinge óf te bewerk óf weg te gooi, kan jy of 'n ander administrateur die slot van enige toestel in die netwerk losmaak. Hierdie aksie gooi ook hangende databasisveranderings weg.

Prosedure

Bevel or Aksie Doel
Stap 1 skakel # konfigureer terminaal Gaan globale konfigurasiemodus in.
Stap 2 skakelaar (konfigurasie) # duidelike ntp-sessie Gooi die NTP-konfigurasieveranderinge in die hangende databasis weg en stel die CFS-slot vry.

Verifieer die NTP-konfigurasie

Bevel Doel
wys ntp-toegangsgroepe Vertoon die NTP-toegangsgroepkonfigurasie.
wys ntp-verifikasiesleutels Vertoon die gekonfigureerde NTP-verifikasiesleutels.
wys ntp-verifikasiestatus Vertoon die status van NTP-verifikasie.
wys ntp-aantekenstatus Vertoon die NTP-logstatus.
wys ntp eweknie-status Vertoon die status vir alle NTP-bedieners en eweknieë.
wys ntp eweknie Wys al die NTP-eweknieë.
wys ntp hangende Vertoon die tydelike CFS-databasis vir NTP.
wys ntp hangende-verskil Wys die verskil tussen die hangende CFS-databasis en die huidige NTP-konfigurasie.
wys ntp rts-opdatering Vertoon die RTS-opdateringstatus.
wys ntp sessie status Vertoon die NTP CFS verspreiding sessie inligting.
wys ntp-bron Vertoon die gekonfigureerde NTP-bron IP-adres.
wys ntp-bronkoppelvlak Vertoon die gekonfigureerde NTP-bronkoppelvlak.
wys ntp-statistieke {io | plaaslike | geheue | eweknie

{ipaddr {ipv4-addr} | naam eweknie-naam}}

 Vertoon die NTP-statistieke.
wys ntp status Vertoon die NTP CFS verspreiding status.
wys ntp betroubare sleutels Vertoon die gekonfigureerde NTP-betroubare sleutels.
wys running-config ntp Vertoon NTP-inligting.

Konfigurasie Bvamples vir NTP

Konfigurasie Bvamples vir NTP

  • Hierdie example wys hoe om 'n NTP-bediener en eweknie te konfigureer, NTP-verifikasie te aktiveer, NTP-registrasie te aktiveer en dan die opstartkonfigurasie te stoor sodat dit gestoor word oor herselflaai en herbegin:CISCO-NX-OS-Gevorderde-Netwerk-Bedryfstelsel-Ontwerp-fig-1
  • Hierdie example wys 'n NTP-toegangsgroepkonfigurasie met die volgende beperkings:
    • Eweknie-beperkings word toegepas op IP-adresse wat voldoen aan die kriteria van die toegangslys genaamd "peer-acl."
    • Bedienbeperkings word toegepas op IP-adresse wat voldoen aan die kriteria van die toegangslys genaamd "serve-acl."
    • Bedien-alleen-beperkings word toegepas op IP-adresse wat voldoen aan die kriteria van die toegangslys genaamd "bedien-alleen-acl."
    • Slegs navraag-beperkings word toegepas op IP-adresse wat voldoen aan die kriteria van die toegangslys genaamd "slegs navraag-acl."CISCO-NX-OS-Gevorderde-Netwerk-Bedryfstelsel-Ontwerp-fig-2

Dokumente / Hulpbronne

CISCO NX-OS gevorderde netwerkbedryfstelsel ontwerp [pdf] Gebruikersgids
NX-OS gevorderde netwerkbedryfstelsel ontwerp, NX-OS, gevorderde netwerkbedryfstelsel ontwerp, netwerkbedryfstelsel ontwerp, bedryfstelsel ontwerp, stelsel ontwerp, ontwerp

Verwysings

Verwante plasings

Los 'n opmerking

Jou e-posadres sal nie gepubliseer word nie. Vereiste velde is gemerk *