Распрацавана перадавая сеткавая аперацыйная сістэма CISCO NX-OS
Тэхнічныя характарыстыкі прадукту
- Пратакол сінхранізацыі часу: NTP (пратакол сеткавага часу)
- падтрымка: Cisco NX-OS
- Асаблівасці: Канфігурацыя сервера часу NTP, аднарангавыя адносіны NTP, функцыі бяспекі, падтрымка віртуалізацыі
Інструкцыя па ўжыванні прадукту
Настройка NTP для сінхранізацыі часу
Перш чым сінхранізаваць вашу сеткавую прыладу з серверамі NTP, улічыце наступныя рэкамендацыі:
- NTP параўноўвае час, які паведамляюць розныя прылады, і пазбягае сінхранізацыі са значна рознымі крыніцамі часу.
- Калі немагчыма падключыцца да сервера страты 1, выкарыстоўвайце для сінхранізацыі агульнадаступныя серверы NTP, даступныя ў Інтэрнэце.
- Калі доступ у Інтэрнэт абмежаваны, наладзьце налады мясцовага часу так, як быццам яны сінхранізуюцца праз NTP.
Стварэнне NTP Peer Relationships
Каб прызначыць хосты, якія абслугоўваюць час, для сінхранізацыі і забяспечыць дакладны час у выпадку збою сервера:
- Стварыце ўзаемаадносіны NTP з жаданымі хастамі.
- Выкарыстоўвайце абмежаванні на аснове спісаў доступу або зашыфраваныя механізмы аўтэнтыфікацыі для павышэння бяспекі.
Распаўсюджванне канфігурацыі NTP з дапамогай CFS
Cisco Fabric Services (CFS) дазваляе распаўсюджваць лакальныя канфігурацыі NTP па сетцы. Выканайце наступныя дзеянні:
- Уключыце CFS на прыладзе, каб ініцыяваць агульнасеткавую блакіроўку канфігурацыі NTP.
- Пасля змяненняў канфігурацыі адмяніце або зафіксуйце іх, каб зняць блакіроўку CFS.
Высокая даступнасць і падтрымка віртуалізацыі
Забяспечце высокую даступнасць і падтрымку віртуалізацыі для NTP шляхам:
- Наладжванне аднагодкаў NTP для рэзервавання ў выпадку збою сервера.
- Распазнаванне асобнікаў віртуальнай маршрутызацыі і пераадрасацыі (VRF) для працы NTP.
FAQ
- Перадумовы і рэкамендацыі па канфігурацыі NTP
- Перадумовы: Забяспечце падключэнне да сеткі і доступ да патрэбных сервераў NTP.
- Рэкамендацыі: Выкарыстоўвайце такія функцыі бяспекі, як спісы доступу і аўтэнтыфікацыя, для бяспечнай сінхранізацыі часу.
- Налады NTP па змаўчанні
- NTP уключаны для ўсіх інтэрфейсаў па змаўчанні.
- Пасіўны NTP Уключаны для стварэння асацыяцый.
- Аўтэнтыфікацыя NTP адключана па змаўчанні.
- NTP-доступ уключаны для ўсіх інтэрфейсаў.
- Вяшчальны сервер NTP адключаны па змаўчанні.
Інфармацыя аб NTP
- Пратакол сеткавага часу (NTP) сінхранізуе час паміж наборам размеркаваных сервераў часу і кліентаў, каб вы маглі суадносіць падзеі, калі вы атрымліваеце сістэмныя журналы і іншыя падзеі, звязаныя з часам, ад некалькіх сеткавых прылад. NTP выкарыстоўвае User Datagram Protocol (UDP) у якасці транспартнага пратакола. Усе сувязі NTP выкарыстоўваюць сусветны каардынаваны час (UTC).
- NTP-сервер звычайна атрымлівае свой час ад аўтарытэтнай крыніцы часу, напрыклад, радыёгадзінніка або атамнага гадзінніка, падлучанага да сервера часу, а затым размяркоўвае гэты час па сетцы. NTP надзвычай эфектыўны; не больш за адзін пакет у хвіліну неабходны для сінхранізацыі дзвюх машын з дакладнасцю да адной мілісекунды.
- NTP выкарыстоўвае пласт для апісання адлегласці паміж сеткавай прыладай і аўтарытэтнай крыніцай часу:
- Сервер часу страты 1 непасрэдна далучаны да аўтарытэтнай крыніцы часу (такой як радыё, атамны гадзіннік або крыніца часу GPS).
- Сервер NTP пласта 2 атрымлівае свой час праз NTP ад сервера часу пласта 1.
- Перад сінхранізацыяй NTP параўноўвае час, які паведамляецца некалькімі сеткавымі прыладамі, і не сінхранізуецца з той, якая значна адрозніваецца, нават калі гэта пласт 1. Паколькі Cisco NX-OS не можа падключыцца да радыё або атамнага гадзінніка і дзейнічаць як пласт 1 сервера, мы рэкамендуем вам выкарыстоўваць агульнадаступныя серверы NTP, даступныя ў Інтэрнэце. Калі сетка ізалявана ад Інтэрнэту, Cisco NX-OS дазваляе вам канфігураваць час так, быццам ён быў сінхранізаваны праз NTP, нават калі гэта не так.
Заўвага
Вы можаце стварыць аднарангавыя ўзаемаадносіны NTP, каб прызначыць хасты, якія абслугоўваюць час, з якімі ваша сеткавая прылада павінна разгледзець магчымасць сінхранізацыі, і каб захаваць дакладны час у выпадку збою сервера. - Час, які захоўваецца на прыладзе, з'яўляецца важным рэсурсам, таму мы настойліва рэкамендуем вам выкарыстоўваць функцыі бяспекі NTP, каб пазбегнуць выпадковага або зламыснага ўстанаўлення няправільнага часу. Даступныя два механізмы: схема абмежавання на аснове спісу доступу і механізм зашыфраванай аўтэнтыфікацыі.
NTP як сервер часу
Іншыя прылады могуць наладзіць яго як сервер часу. Вы таксама можаце наладзіць прыладу ў якасці аўтарытэтнага NTP-сервера, дазваляючы ёй размяркоўваць час, нават калі яна не сінхранізавана са знешняй крыніцай часу.
Распаўсюджванне NTP з дапамогай CFS
- Cisco Fabric Services (CFS) распаўсюджвае лакальную канфігурацыю NTP на ўсе прылады Cisco ў сетцы.
- Пасля ўключэння CFS на вашай прыладзе блакіроўка ўсёй сеткі прымяняецца да NTP пры кожным запуску канфігурацыі NTP. Пасля ўнясення змяненняў у канфігурацыю NTP вы можаце іх адмяніць або прыняць.
- У любым выпадку блакіроўка CFS затым здымаецца з прыкладання NTP.
Менеджэр гадзін
- Гадзіннік - гэта рэсурсы, якія неабходна выкарыстоўваць для розных працэсаў.
- У сістэме можа працаваць некалькі пратаколаў сінхранізацыі часу, такіх як NTP і Precision Time Protocol (PTP).
Высокая даступнасць
- Для NTP падтрымліваюцца перазапускі без захавання стану. Пасля перазагрузкі або пераключэння супервізора прымяняецца запушчаная канфігурацыя.
- Вы можаце наладзіць вузлы NTP для забеспячэння надмернасці ў выпадку збою сервера NTP.
Падтрымка віртуалізацыі
NTP распазнае асобнікі віртуальнай маршрутызацыі і пераадрасацыі (VRF). NTP выкарыстоўвае VRF па змаўчанні, калі вы не наладзілі канкрэтны VRF для сервера NTP і партнёра NTP.
Перадумовы для NTP
NTP мае наступныя перадумовы:
Каб наладзіць NTP, вы павінны мець падключэнне хаця б да аднаго сервера, на якім працуе NTP.
Рэкамендацыі і абмежаванні для NTP
NTP мае наступныя рэкамендацыі і абмежаванні:
- Каманда CLI show ntp session status не паказвае час апошняга дзеяння stamp, апошняе дзеянне, вынік апошняга дзеяння і прычына няўдачы апошняга дзеяння.
- Функцыя NTP-сервера падтрымліваецца.
- Вы павінны мець аднарангавую асацыяцыю з іншай прыладай, толькі калі вы ўпэўнены, што ваш гадзіннік надзейны (гэта значыць, што вы з'яўляецеся кліентам надзейнага сервера NTP).
- Пір, сканфігураваны самастойна, бярэ на сябе ролю сервера і павінен выкарыстоўвацца ў якасці рэзервовага. Калі ў вас ёсць два сервера, вы можаце наладзіць некалькі прылад, каб яны паказвалі на адзін сервер, а астатнія прылады - на другі сервер. Затым вы можаце наладзіць аднарангавую сувязь паміж гэтымі двума серверамі, каб стварыць больш надзейную канфігурацыю NTP.
- Калі ў вас ёсць толькі адзін сервер, вы павінны наладзіць усе прылады ў якасці кліентаў для гэтага сервера.
- Вы можаце наладзіць да 64 аб'ектаў NTP (сервераў і піраў).
- Калі CFS адключаны для NTP, NTP не распаўсюджвае ніякай канфігурацыі і не прымае распаўсюджванне ад іншых прылад у сетцы.
- Пасля ўключэння распаўсюджвання CFS для NTP увод каманды канфігурацыі NTP блакуе сетку для канфігурацыі NTP, пакуль не будзе ўведзена каманда фіксацыі. Падчас блакіроўкі нельга ўносіць змены ў канфігурацыю NTP любой іншай прыладай у сетцы, акрамя прылады, якая ініцыявала блакіроўку.
- Калі вы выкарыстоўваеце CFS для распаўсюджвання NTP, усе прылады ў сетцы павінны мець тыя ж настроеныя VRF, што і для NTP.
- Калі вы наладжваеце NTP у VRF, пераканайцеся, што сервер NTP і аднарангавыя прылады могуць звязвацца адзін з адным праз наладжаныя VRF.
- Вы павінны ўручную размеркаваць ключы аўтэнтыфікацыі NTP на серверы NTP і прыладах Cisco NX-OS па ўсёй сетцы.
- Калі вы выкарыстоўваеце камутатар у якасці краявой прылады і жадаеце выкарыстоўваць NTP, Cisco рэкамендуе выкарыстоўваць каманду ntp access-group і фільтраваць NTP толькі да неабходных краявых прылад.
- Калі сістэма была сканфігуравана з камандамі ntp passive, ntp broadcast client або ntp multicast client, калі NTP атрымлівае ўваходны сіметрычны актыўны, шырокавяшчальны або шматадрасны пакет, ён можа наладзіць эфемерную асацыяцыю аднарангавага кліента для сінхранізацыі з адпраўніком .
Заўвага
Пераканайцеся, што вы ўказалі аўтэнтыфікацыю ntp, перш чым уключаць любую з вышэйпералічаных каманд. Калі гэтага не зрабіць, ваша прылада зможа сінхранізавацца з любой прыладай, якая адпраўляе адзін з вышэйзгаданых тыпаў пакетаў, у тым ліку з прыладамі, якімі кіруюць зламыснікі. - Калі ўказана каманда аўтэнтыфікацыі ntp, пры атрыманні сіметрычнага актыўнага, шырокавяшчальнага або шматадраснага пакета сістэма не сінхранізуецца з партнёрам, калі толькі пакет не нясе адзін з ключоў аўтэнтыфікацыі, указаных у камандзе глабальнай канфігурацыі даверанага ключа ntp.
- Каб прадухіліць сінхранізацыю з несанкцыянаванымі сеткавымі вузламі, каманда ntp authenticate павінна ўказвацца кожны раз, калі ўказваецца каманда ntp passive, ntp broadcast client або ntp multicast client, калі не былі прынятыя іншыя меры, такія як каманда ntp access-group. прадухіліць сувязь несанкцыянаваных хастоў са службай NTP на прыладзе.
- Каманда аўтэнтыфікацыі ntp не аўтэнтыфікуе асацыяцыі аднарангавых узроўняў, наладжаных праз сервер ntp і каманды канфігурацыі аднарангавага NTP. Для аўтэнтыфікацыі сервера ntp і асацыяцый аднарангавых ntp укажыце ключавое слова key.
- Выкарыстоўвайце шырокавяшчальныя або шматадрасныя асацыяцыі NTP, калі патрабаванні да дакладнасці часу і надзейнасці сціплыя, ваша сетка лакалізаваная і ў сетцы больш за 20 кліентаў. Мы рэкамендуем вам выкарыстоўваць шырокавяшчальныя або шматадрасныя асацыяцыі NTP у сетках з абмежаванай прапускной здольнасцю, сістэмнай памяццю або рэсурсамі ЦП.
- Для адной групы доступу NTP можна наладзіць максімум чатыры ACL.
Заўвага Дакладнасць часу нязначна зніжаецца ў асацыяцыях трансляцыі NTP, таму што інфармацыя паступае толькі ў адзін бок.
Налады па змаўчанні
Ніжэй прыведзены налады па змаўчанні для параметраў NTP.
| Параметры | Па змаўчанні |
| NTP | Уключана для ўсіх інтэрфейсаў |
| Пасіўны NTP (дазваляе NTP ствараць асацыяцыі) | Уключаны |
| Аўтэнтыфікацыя NTP | Інваліды |
| NTP доступ | Уключаны |
| Група доступу NTP адпавядае ўсім | Інваліды |
| Сервер трансляцыі NTP | Інваліды |
| Шматадрасны сервер NTP | Інваліды |
| Шматадрасны кліент NTP | Інваліды |
| Журнал NTP | Інваліды |
Налада NTP
Уключэнне або адключэнне NTP на інтэрфейсе
Вы можаце ўключыць або адключыць NTP на пэўным інтэрфейсе. NTP па змаўчанні ўключаны на ўсіх інтэрфейсах.
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | перамыкач # наладзіць тэрмінал | Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 2 | пераключальнік (канфігурацыя) # інтэрфейс тып слот/порт | Уваходзіць у рэжым канфігурацыі інтэрфейсу. |
| Крок 3 | пераключальнік (канфігурацыя-калі) # [не] ntp адключыць {ip | ipv6} | Адключае NTP IPv4 або IPv6 на ўказаным інтэрфейсе.
Выкарыстоўвайце няма форма гэтай каманды для паўторнага ўключэння NTP на інтэрфейсе. |
| Крок 4 | (Неабавязкова) пераключальнік (канфігурацыя-калі)# скапіяваць run-config startup-config | Пастаянна захоўвае змены праз перазагрузкі і перазагрузкі шляхам капіравання запушчанай канфігурацыі ў канфігурацыю запуску. |
Example
Наступны выпрample паказвае, як уключыць або адключыць NTP на інтэрфейсе:
- перамыкач# наладзіць тэрмінал
- камутатар(канфігурацыя)# інтэрфейс Ethernet 6/1
- камутатар(канфігурацыя-калі)# ntp адключыць IP
- пераключальнік (канфігурацыя-калі) # копія запушчанай канфігурацыі запуску-канфіг
Настройка прылады як аўтарытэтнага сервера NTP
Вы можаце наладзіць прыладу так, каб яна дзейнічала як аўтарытэтны сервер NTP, дазваляючы ёй размяркоўваць час, нават калі яна не сінхранізавана з існуючым серверам часу.
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | перамыкач # наладзіць тэрмінал | Пераходзіць у рэжым глабальнай канфігурацыі. |
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | перамыкач # наладзіць тэрмінал | Пераходзіць у рэжым глабальнай канфігурацыі. |
Example
Гэты былыample паказвае, як наладзіць прыладу Cisco NX-OS як аўтарытэтны NTP-сервер з іншым узроўнем пласта:
- перамыкач# наладзіць тэрмінал
- Увядзіце каманды канфігурацыі, па адной у радку. У канцы CNTL/Z.
- камутатар (канфігурацыя) # ntp master 5
Настройка NTP-сервера і піра
Вы можаце наладзіць NTP-сервер і пір.
Перш чым пачаць
Пераканайцеся, што вы ведаеце IP-адрас або DNS-імёны вашага NTP-сервера і яго аналагаў.
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | перамыкач # наладзіць тэрмінал | Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 2 | пераключальнік (канфігурацыя) # [няма] Сервер ntp {IP-адрас | ipv6-адрас | dns-імя} [ключ ідэнтыфікатар ключа] [maxpoll макс-апытанне] [minpoll мін-апытанне] [аддаю перавагу] [выкарыстоўваць-VRF vrf-імя] | Стварае сувязь з серверам.
Выкарыстоўвайце ключ ключавое слова, каб наладзіць ключ, які будзе выкарыстоўвацца падчас сувязі з серверам NTP. Асартымент для ст ідэнтыфікатар ключа аргумент ад 1 да 65535. Выкарыстоўвайце maxpoll і minpoll ключавыя словы для канфігурацыі максімальнага і мінімальнага інтэрвалаў для апытання сервера. Асартымент для ст макс-апытанне і мін-апытанне аргументаў складае ад 4 да 16 (настроены як ступені 2, таму эфектыўна ад 16 да 65536 секунд) і значэнні па змаўчанні |
| роўныя 6 і 4 адпаведна (maxpoll па змаўчанні = 64
секунд, minpoll па змаўчанні = 16 секунд). Выкарыстоўвайце аддаю перавагу ключавое слова каб зрабіць гэта пераважным серверам NTP для прылады. Выкарыстоўвайце выкарыстоўваць-VRF ключавое слова для наладжвання NTP-сервера для сувязі праз паказаны VRF. The vrf-імя Аргументам можа быць стандартны, кіраўнічы або любы літарна-лічбавы радок з улікам рэгістра даўжынёй да 32 сімвалаў. Заўвага Калі вы наладжваеце ключ для выкарыстання падчас сувязі з серверам NTP, пераканайцеся, што ключ існуе ў якасці даверанага ключа на прыладзе. |
||
| Крок 3 | пераключальнік (канфігурацыя) # [няма] ntp аднарангавы {IP-адрас | ipv6-адрас | dns-імя} [ключ ідэнтыфікатар ключа] [maxpoll макс-апытанне] [minpoll мін-апытанне] [аддаю перавагу] [выкарыстоўваць-VRF vrf-імя] | Утварае асацыяцыю з равеснікам. Вы можаце ўказаць некалькі асацыяцый аднагодкаў.
Выкарыстоўвайце ключ ключавое слова для канфігурацыі ключа, які будзе выкарыстоўвацца падчас сувязі з партнёрам NTP. Асартымент для ст ідэнтыфікатар ключа аргумент ад 1 да 65535. Выкарыстоўвайце maxpoll і minpoll ключавыя словы для канфігурацыі максімальнага і мінімальнага інтэрвалаў для апытання сервера. Асартымент для ст макс-апытанне і мін-апытанне аргументы складаюць ад 4 да 17 (канфігуруюцца як ступені 2, таму эфектыўна ад 16 да 131072 секунд), а значэнні па змаўчанні 6 і 4 адпаведна (maxpoll па змаўчанні = 64 секунды, minpoll па змаўчанні = 16 секунд). Выкарыстоўвайце аддаю перавагу ключавое слова, каб зрабіць гэта пераважным партнёрам NTP для прылады. Выкарыстоўвайце выкарыстоўваць-VRF ключавое слова, каб наладзіць партнёр NTP для сувязі праз паказаны VRF. The vrf-імя аргумент можа быць па змаўчанні , кіравання , або любы літарна-лічбавы радок з улікам рэгістра да 32 сімвалаў. |
| Крок 4 | (Неабавязкова) перамыкач (канфігурацыя)# паказаць аднагодкі ntp | Адлюстроўвае настроены сервер і піры.
Заўвага Даменнае імя вырашаецца толькі тады, калі ў вас настроены сервер DNS. |
| Крок 5 | (Неабавязкова) перамыкач (канфігурацыя)# скапіяваць run-config startup-config | Пастаянна захоўвае змены праз перазагрузкі і перазагрузкі шляхам капіравання запушчанай канфігурацыі ў канфігурацыю запуску. |
Настройка аўтэнтыфікацыі NTP
Вы можаце наладзіць прыладу для аўтэнтыфікацыі крыніц часу, з якімі сінхранізуюцца лакальныя гадзіны. Калі вы ўключыце аўтэнтыфікацыю NTP, прылада сінхранізуецца з крыніцай часу, толькі калі крыніца нясе адзін з ключоў аўтэнтыфікацыі, вызначаных камандай ntp trusted-key. Прылада адкідвае ўсе пакеты, якія не прайшлі праверку аўтэнтыфікацыі, і не дазваляе ім абнаўляць лакальны гадзіннік. Аўтэнтыфікацыя NTP адключана па змаўчанні.
Перш чым пачаць
Аўтэнтыфікацыя для NTP-сервераў і NTP-піраў наладжваецца для кожнай асацыяцыі з выкарыстаннем ключавога слова key на кожным ntp-серверы і камандзе ntp peer. Пераканайцеся, што вы сканфігуравалі ўсе NTP-серверы і аднарангавыя сувязі з ключамі аўтэнтыфікацыі, якія вы плануеце ўказаць у гэтай працэдуры. Любы сервер ntp або аднарангавыя каманды ntp, якія не вызначаюць ключавое слова, будуць працягваць працаваць без аўтэнтыфікацыі.
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | наладзіць тэрмінал
Exampль: камутатар# канфігураваць тэрмінальны перамыкач(канфігурацыя)# |
Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 2 | [няма] Ключ аўтэнтыфікацыі ntp лік md5
md5-радок Exampль: камутатар(канфігурацыя)# ключ аўтэнтыфікацыі ntp 42 md5 aNiceKey |
Вызначае ключы аўтэнтыфікацыі. Прылада не сінхранізуецца з крыніцай часу, калі крыніца не мае адзін з гэтых ключоў аўтэнтыфікацыі і нумар ключа не вызначаецца Давераны ключ ntp лік загадваць.
Дыяпазон для ключоў аўтэнтыфікацыі складае ад 1 да 65535. Для радка MD5 вы можаце ўвесці да васьмі літарна-лічбавых сімвалаў. |
| Крок 3 | Сервер ntp IP-адрас ключ ідэнтыфікатар ключа
Exampль: камутатар (канфігурацыя) # сервер ntp 192.0.2.1 ключ 1001 |
Уключае аўтэнтыфікацыю для вызначанага NTP-сервера, ствараючы сувязь з серверам.
Выкарыстоўвайце ключ ключавое слова, каб наладзіць ключ, які будзе выкарыстоўвацца падчас сувязі з серверам NTP. Асартымент для ст ідэнтыфікатар ключа аргумент ад 1 да 65535. Каб патрабаваць аўтэнтыфікацыі, the ключ неабходна выкарыстоўваць ключавое слова. Любая Сервер ntp or ntp аднарангавы каманды, якія не вызначаюць ключ ключавое слова будзе працягваць працаваць без аўтэнтыфікацыі. |
| Крок 4 | (неабавязкова) паказаць ключы аўтэнтыфікацыі ntp
Exampль: пераключальнік (канфігурацыя) # паказаць ключы аўтэнтыфікацыі ntp |
Адлюстроўвае настроеныя ключы аўтэнтыфікацыі NTP. |
| Крок 5 | [няма] Давераны ключ ntp лік
Exampль: камутатар (канфігурацыя) # ntp trusted-key 42 |
Вызначае адзін або некалькі ключоў (вызначаных на этапе 2), якія ненастроеная аддаленая сіметрычная, шырокавяшчальная і шматадрасная крыніца часу павінна даць у сваіх NTP-пакетах, каб прылада магла з ёй сінхранізавацца. Дыяпазон давераных ключоў ад 1 да 65535.
Гэтая каманда забяспечвае абарону ад выпадковай сінхранізацыі прылады з крыніцай часу, якой не давяраюць. |
| Крок 6 | (неабавязкова) паказаць давераныя ключы ntp
Exampль: пераключальнік (канфігурацыя) # паказаць давераныя ключы ntp |
Адлюстроўвае настроеныя давераныя ключы NTP. |
| Крок 7 | [няма] Аўтэнтыфікацыя ntp
Exampль: камутатар (канфігурацыя) # аўтэнтыфікацыя ntp |
Уключае або выключае аўтэнтыфікацыю для ntp passive, ntp broadcast client і ntp multicast. Аўтэнтыфікацыя NTP адключана па змаўчанні. |
| Крок 8 | (неабавязкова) паказаць статус аўтэнтыфікацыі ntp
Exampль: пераключальнік (канфігурацыя) # паказаць статус аўтэнтыфікацыі ntp |
Адлюстроўвае стан аўтэнтыфікацыі NTP. |
| Крок 9 | (неабавязкова) копія run-config канфігурацыя запуску
Exampль: камутатар(канфігурацыя)# капіраванне запушчанай канфігурацыі канфігурацыі запуску |
Капіруе запушчаную канфігурацыю ў канфігурацыю запуску. |
Настройка абмежаванняў доступу NTP
- Вы можаце кантраляваць доступ да службаў NTP з дапамогай груп доступу. У прыватнасці, вы можаце вызначыць тыпы запытаў, якія дазваляе прылада, і серверы, ад якіх яна прымае адказы.
- Калі вы не наладзілі групы доступу, доступ па NTP будзе прадастаўлены ўсім прыладам. Калі вы наладжваеце якія-небудзь групы доступу, доступ па NTP прадастаўляецца толькі аддаленай прыладзе, чый зыходны IP-адрас адпавядае крытэрам спісу доступу.
- Пачынаючы з версіі Cisco NX-OS 7.0(3)I7(3), групы доступу ацэньваюцца наступным метадам:
- Без ключавога слова match-all пакет ацэньваецца па групах доступу (у парадку, указаным ніжэй), пакуль не знойдзе дазвол. Калі дазвол не знойдзены, пакет скідаецца.
- З дапамогай ключавога слова match-all пакет ацэньваецца па ўсіх групах доступу (у парадку, указаным ніжэй), і дзеянне выконваецца на падставе апошняй паспяховай ацэнкі (апошняя група доступу, у якой настроены ACL).
- Суаднясенне групы доступу з тыпам пакета выглядае наступным чынам:
- равеснік— кліенцкія працэсы, сіметрычныя актыўныя, сіметрычныя пасіўныя, абслугоўваючыя, кантрольныя і прыватныя пакеты (усе тыпы)
- служыць—апрацоўваць кліенцкія, кантрольныя і прыватныя пакеты
- толькі для абслугоўвання—апрацоўваць толькі кліенцкія пакеты
- толькі запыт— толькі кантроль працэсаў і прыватныя пакеты
- Групы доступу ацэньваюцца ў наступным парадку змяншэння:
- аднарангавы (усе тыпы пакетаў)
- абслугоўваць (кліенцкія, кантрольныя і прыватныя пакеты)
- толькі запыт (кліенцкія пакеты) або толькі запыт (кантрольныя і прыватныя пакеты)
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | перамыкач # наладзіць тэрмінал | Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 2 | пераключальнік (канфігурацыя) # [няма] Супадзенне ўсіх груп доступу ntp | {{равеснік | служыць | толькі для абслугоўвання | толькі запыт }назва спісу доступу} | Стварае або выдаляе групу доступу для кантролю доступу па NTP і прымяняе базавы спіс доступу IP.
Параметры групы доступу скануюцца ў наступным парадку, ад найменш абмежавальнага да найбольш абмежавальнага. Аднак, калі NTP супадае з правілам забараніць ACL у сканфігураваным партнёры, апрацоўка ACL спыняецца і не пераходзіць да наступнага параметра групы доступу. • равеснік ключавое слова дазваляе прыладзе атрымліваць запыты часу і кантрольныя запыты NTP і сінхранізаваць сябе з серверамі, указанымі ў спісе доступу. • служыць ключавое слова дазваляе прыладзе атрымліваць запыты часу і кантрольныя запыты NTP ад сервераў, указаных у спісе доступу, але не сінхранізаваць сябе з указанымі серверамі. • толькі для абслугоўвання ключавое слова дазваляе прыладзе атрымліваць толькі запыты часу ад сервераў, указаных у спісе доступу. • толькі запыт ключавое слова дазваляе прыладзе атрымліваць толькі кантрольныя запыты NTP ад сервераў, указаных у спісе доступу. • матч-усё ключавое слова дазваляе сканаваць параметры групы доступу ў наступным парадку, ад найменш абмежавальнага да найбольш абмежавальнага: аднарангавы, абслугоўванне, толькі абслугоўванне, толькі запыт. Калі ўваходны пакет не супадае з ACL у аднарангавым доступе |
| група, яна пераходзіць да групы доступу да абслугоўвання
быць апрацаваны. Калі пакет не адпавядае ACL у групе доступу да абслугоўвання, ён пераходзіць у групу доступу толькі для абслугоўвання і гэтак далей. Заўвага The матч-усё ключавое слова даступна, пачынаючы з версіі Cisco NX-OS 7.0(3)I6(1). |
||
| Крок 3 | пераключальнік (канфігурацыя) # паказаць групы доступу ntp | (Неабавязкова) Адлюстроўвае канфігурацыю групы доступу NTP. |
| Крок 4 | (Неабавязкова) перамыкач (канфігурацыя)# скапіяваць run-config startup-config | Пастаянна захоўвае змены праз перазагрузкі і перазагрузкі шляхам капіравання запушчанай канфігурацыі ў канфігурацыю запуску. |
Example
Гэты былыample паказвае, як наладзіць прыладу, каб яна магла сінхранізавацца з партнёрам з групы доступу «accesslist1»:
Настройка зыходнага IP-адраса NTP
NTP усталёўвае зыходны IP-адрас для ўсіх пакетаў NTP на аснове адраса інтэрфейсу, праз які адпраўляюцца пакеты NTP. Вы можаце наладзіць NTP на выкарыстанне пэўнага зыходнага IP-адраса.
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | перамыкач # наладзіць тэрмінал | Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 2 | [няма] Крыніца ntp IP-адрас | Наладжвае зыходны IP-адрас для ўсіх пакетаў NTP. The IP-адрас можа быць у фармаце IPv4 або IPv6. |
Example
Гэты былыample паказвае, як наладзіць зыходны IP-адрас NTP 192.0.2.2.
- перамыкач# наладзіць тэрмінал
- камутатар (канфігурацыя) # крыніца ntp 192.0.2.2
Настройка зыходнага інтэрфейсу NTP
Вы можаце наладзіць NTP на выкарыстанне пэўнага інтэрфейсу.
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | перамыкач # наладзіць тэрмінал | Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 2 | [няма] Зыходны інтэрфейс ntp інтэрфейс | Наладжвае зыходны інтэрфейс для ўсіх пакетаў NTP. Наступны спіс утрымлівае дапушчальныя значэнні для інтэрфейс.
• ethernet • петлевая • кіраванне • порт-канал • vlan |
Example
Гэты былыample паказвае, як наладзіць зыходны інтэрфейс NTP:
- перамыкач# наладзіць тэрмінал
- камутатар (канфігурацыя) # ntp зыходны інтэрфейс Ethernet
Настройка NTP Broadcast Server
Вы можаце наладзіць сервер вяшчання NTP IPv4 на інтэрфейсе. Затым прылада перыядычна адпраўляе шырокавяшчальныя пакеты праз гэты інтэрфейс. Ад кліента не патрабуецца адпраўляць адказ.
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | перамыкач # наладзіць тэрмінал | Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 2 | пераключальнік (канфігурацыя) # інтэрфейс тып слот/порт | Уваходзіць у рэжым канфігурацыі інтэрфейсу. |
| Крок 3 | пераключальнік (канфігурацыя-калі) # [няма] трансляцыі ntp [прызначэння IP-адрас] [ключ ідэнтыфікатар ключа] [нумар версіі] | Уключае сервер вяшчання NTP IPv4 на ўказаным інтэрфейсе.
• прызначэння IP-адрас— Наладжвае IP-адрас прызначэння трансляцыі. • ключ ідэнтыфікатар ключа— Наладжвае нумар ключа аўтэнтыфікацыі трансляцыі. Дыяпазон ад 1 да 65535. • нумар версіі— Наладжвае версію NTP. Дыяпазон ад 2 да 4. |
| Крок 4 | пераключальнік (канфігурацыя-калі) # выхад | Выходзіць з рэжыму канфігурацыі інтэрфейсу. |
| Крок 5 | (Неабавязкова) перамыкач (канфігурацыя)# [не] затрымка перадачы ntp затрымка | Наладжвае прыблізную затрымку трансляцыі ў абодва бакі ў мікрасекундах. Дыяпазон ад 1 да 999999. |
| Крок 6 | (Неабавязкова) перамыкач (канфігурацыя)# скапіяваць run-config startup-config | Пастаянна захоўвае змены праз перазагрузкі і перазагрузкі шляхам капіравання запушчанай канфігурацыі ў канфігурацыю запуску. |
Example
Гэты былыample паказвае, як наладзіць сервер вяшчання NTP:
- перамыкач# наладзіць тэрмінал
- камутатар(канфігурацыя)# інтэрфейс Ethernet 6/1
- switch(config-if)# пункт прызначэння трансляцыі ntp 192.0.2.10 switch(config-if)# выхад
- камутатар (канфігурацыя) # ntp broadcastdelay 100
- камутатар(канфігурацыя)# капіраванне запушчанай канфігурацыі канфігурацыі запуску
Настройка NTP Multicast сервера
Вы можаце наладзіць шматадрасны сервер NTP IPv4 або IPv6 на інтэрфейсе. Затым прылада перыядычна адпраўляе шматадрасныя пакеты праз гэты інтэрфейс.
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | перамыкач # наладзіць тэрмінал | Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 2 | пераключальнік (канфігурацыя) # інтэрфейс тып слот/порт | Уваходзіць у рэжым канфігурацыі інтэрфейсу. |
| Крок 3 | пераключальнік (канфігурацыя-калі) # [не] шматадрасная перадача ntp [ipv4-адрас | ipv6-адрас] [ключ ідэнтыфікатар ключа] [значэнне ttl] [нумар версіі] | Уключае шматадрасны сервер NTP IPv4 або IPv6 на ўказаным інтэрфейсе.
• ipv4-адрас or ipv6-адрас— Шматадрасны адрас IPv4 або IPv6. |
| • ключ ідэнтыфікатар ключа— Наладжвае трансляцыю
нумар ключа аўтэнтыфікацыі. Дыяпазон ад 1 да 65535. • значэнне ttl— Значэнне часу жыцця шматадрасных пакетаў. Дыяпазон ад 1 да 255. • версія лік— версія NTP. Дыяпазон ад 2 да 4. |
||
| Крок 4 | (Неабавязкова) пераключальнік (канфігурацыя-калі)# скапіяваць run-config startup-config | Пастаянна захоўвае змены праз перазагрузкі і перазагрузкі шляхам капіравання запушчанай канфігурацыі ў канфігурацыю запуску. |
Example
Гэты былыample паказвае, як наладзіць інтэрфейс Ethernet для адпраўкі шматадрасных пакетаў NTP:
- перамыкач# наладзіць тэрмінал
- камутатар(канфігурацыя)# інтэрфейс Ethernet 2/2
- камутатар (канфігурацыя-калі) # ntp шматадрасная перадача FF02::1:FF0E:8C6C
- пераключальнік (канфігурацыя-калі) # копія запушчанай канфігурацыі запуску-канфіг
Настройка шматадраснага кліента NTP
Вы можаце наладзіць шматадрасны кліент NTP на інтэрфейсе. Затым прылада праслухоўвае шматадрасныя паведамленні NTP і адхіляе любыя паведамленні, якія прыходзяць з інтэрфейсу, для якога не наладжана шматадрасная перадача.
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | перамыкач # наладзіць тэрмінал | Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 2 | пераключальнік (канфігурацыя) # інтэрфейс тып слот/порт | Уваходзіць у рэжым канфігурацыі інтэрфейсу. |
| Крок 3 | пераключальнік (канфігурацыя-калі) # [не] шматадрасны кліент ntp [ipv4-адрас | ipv6-адрас] | Дазваляе ўказанаму інтэрфейсу атрымліваць шматадрасныя пакеты NTP. |
| Крок 4 | (Неабавязкова) пераключальнік (канфігурацыя-калі)# скапіяваць run-config startup-config | Пастаянна захоўвае змены праз перазагрузкі і перазагрузкі шляхам капіравання запушчанай канфігурацыі ў канфігурацыю запуску. |
Example
Гэты былыample паказвае, як наладзіць інтэрфейс Ethernet для атрымання шматадрасных пакетаў NTP:
- перамыкач# наладзіць тэрмінал
- камутатар(канфігурацыя)# інтэрфейс Ethernet 2/3
- камутатар (канфігурацыя-калі) # шматадрасны кліент ntp FF02::1:FF0E:8C6C
- пераключальнік (канфігурацыя-калі) # копія запушчанай канфігурацыі запуску-канфіг
Наладжванне NTP Logging
Вы можаце наладзіць журнал NTP, каб ствараць сістэмныя журналы са значнымі падзеямі NTP. Журнал NTP адключаны па змаўчанні.
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | перамыкач # наладзіць тэрмінал | Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 2 | пераключальнік (канфігурацыя) # [няма] Вядзенне часопіса ntp | Уключае або адключае стварэнне сістэмных журналаў са значнымі падзеямі NTP. Журнал NTP адключаны па змаўчанні. |
| Крок 3 | (Неабавязкова) перамыкач (канфігурацыя)# паказаць статус запісу ntp | Адлюстроўвае стан канфігурацыі запісу NTP. |
| Крок 4 | (Неабавязкова) перамыкач (канфігурацыя)# скапіяваць run-config startup-config | Пастаянна захоўвае змены праз перазагрузкі і перазагрузкі шляхам капіравання запушчанай канфігурацыі ў канфігурацыю запуску. |
Example
Наступны выпрample паказвае, як уключыць запіс NTP, каб ствараць сістэмныя журналы са значнымі падзеямі NTP:
- перамыкач# наладзіць тэрмінал
- камутатар (канфігурацыя) # запіс NTP
- камутатар (канфігурацыя) # копія канфігурацыі запуску канфігурацыі запуску [####################################### ###] 100%
- пераключальнік (канфігурацыя) #
Уключэнне дыстрыбутыва CFS для NTP
Вы можаце ўключыць распаўсюджванне CFS для NTP, каб распаўсюджваць канфігурацыю NTP на іншыя прылады з падтрымкай CFS.
Перш чым пачаць
Пераканайцеся, што вы ўключылі распаўсюджванне CFS для прылады.
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | перамыкач # наладзіць тэрмінал | Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 2 | пераключальнік (канфігурацыя) # [няма] Распаўсюджваць ntp | Уключае або адключае прылада для атрымання абнаўленняў канфігурацыі NTP, якія распаўсюджваюцца праз CFS. |
| Крок 3 | (Неабавязкова) перамыкач (канфігурацыя)# паказаць статус ntp | Адлюстроўвае стан размеркавання NTP CFS. |
| Крок 4 | (Неабавязкова) перамыкач (канфігурацыя)# скапіяваць run-config startup-config | Пастаянна захоўвае змены праз перазагрузкі і перазагрузкі шляхам капіравання запушчанай канфігурацыі ў канфігурацыю запуску. |
Example
Гэты былыample паказвае, як дазволіць прыладзе атрымліваць абнаўленні канфігурацыі NTP праз CFS:
- перамыкач# наладзіць тэрмінал
- камутатар (канфігурацыя) # ntp distribute
- камутатар(канфігурацыя)# капіраванне запушчанай канфігурацыі канфігурацыі запуску
Унясенне змяненняў канфігурацыі NTP
Калі вы прымаеце змены канфігурацыі NTP, дзеючая база дадзеных перазапісваецца зменамі канфігурацыі ў чакаючай базе дадзеных, і ўсе прылады ў сетцы атрымліваюць аднолькавую канфігурацыю.
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | перамыкач # наладзіць тэрмінал | Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 2 | пераключальнік (канфігурацыя) # ntp фіксацыя | Распаўсюджвае змены канфігурацыі NTP на ўсе прылады Cisco NX-OS у сетцы і здымае блакіроўку CFS. Гэтая каманда перазапісвае дзейсную базу дадзеных зменамі, унесенымі ў базу дадзеных, якая чакае выканання. |
Адмена змяненняў канфігурацыі NTP
Пасля ўнясення змяненняў у канфігурацыю вы можаце адмовіцца ад змяненняў замест іх фіксацыі. Калі вы адхіляеце змены, Cisco NX-OS выдаляе незавершаныя змены базы дадзеных і здымае блакіроўку CFS.
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | перамыкач # наладзіць тэрмінал | Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 2 | пераключальнік (канфігурацыя) # ntp перапыніць | Адхіляе змены канфігурацыі NTP у чакаючай базе дадзеных і здымае блакіроўку CFS. Выкарыстоўвайце гэту каманду на прыладзе, дзе вы пачалі канфігурацыю NTP. |
Зняцце блакіроўкі сесіі CFS
Калі вы выканалі канфігурацыю NTP і забыліся зняць блакіроўку, зрабіўшы або адмяніўшы змены, вы або іншы адміністратар можаце зняць блакіроўку з любой прылады ў сетцы. Гэта дзеянне таксама адхіляе незавершаныя змены базы дадзеных.
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | перамыкач # наладзіць тэрмінал | Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 2 | пераключальнік (канфігурацыя) # ачысціць сеанс ntp | Адхіляе змены канфігурацыі NTP у чакаючай базе дадзеных і здымае блакіроўку CFS. |
Праверка канфігурацыі NTP
| Камандаванне | Прызначэнне |
| паказаць групы доступу ntp | Адлюстроўвае канфігурацыю групы доступу NTP. |
| паказаць ключы аўтэнтыфікацыі ntp | Адлюстроўвае настроеныя ключы аўтэнтыфікацыі NTP. |
| паказаць статус аўтэнтыфікацыі ntp | Адлюстроўвае стан аўтэнтыфікацыі NTP. |
| паказаць статус запісу ntp | Адлюстроўвае стан запісу NTP. |
| паказаць статус аднагодкаў ntp | Адлюстроўвае стан усіх NTP-сервераў і піраў. |
| паказаць аднарангавы ntp | Адлюстроўвае ўсе партнёры NTP. |
| паказаць ntp у чаканні | Адлюстроўвае часовую базу дадзеных CFS для NTP. |
| паказаць ntp pending-diff | Адлюстроўвае розніцу паміж чакаючай базай дадзеных CFS і бягучай канфігурацыяй NTP. |
| паказаць абнаўленне ntp rts | Адлюстроўвае стан абнаўлення RTS. |
| паказаць стан сесіі ntp | Адлюстроўвае інфармацыю аб сеансе размеркавання NTP CFS. |
| паказаць крыніцу ntp | Адлюстроўвае настроены зыходны IP-адрас NTP. |
| паказаць зыходны інтэрфейс ntp | Адлюстроўвае настроены зыходны інтэрфейс NTP. |
| паказаць статыстыку ntp {io | мясцовыя | памяць | равеснік
{ipaddr {ipv4-адрас} | імя равеснік-імя}} |
Адлюстроўвае статыстыку NTP. |
| паказаць статус ntp | Адлюстроўвае стан размеркавання NTP CFS. |
| паказаць давераныя ключы ntp | Адлюстроўвае настроеныя давераныя ключы NTP. |
| паказаць запушчаную канфігурацыю ntp | Адлюстроўвае інфармацыю NTP. |
Канфігурацыя Exampфайлы для NTP
Канфігурацыя Exampфайлы для NTP
- Гэты былыample паказвае, як наладзіць NTP-сервер і аднарангавы вузел, уключыць аўтэнтыфікацыю NTP, уключыць запіс NTP, а затым захаваць канфігурацыю запуску, каб яна захоўвалася пры перазагрузках і перазагрузках:
- Гэты былыample паказвае канфігурацыю групы доступу NTP з наступнымі абмежаваннямі:
- Абмежаванні аднарангавых прымяняюцца да IP-адрасоў, якія адпавядаюць крытэрам спісу доступу пад назвай «peer-acl».
- Абмежаванні абслугоўвання прымяняюцца да IP-адрасоў, якія адпавядаюць крытэрам спіса доступу пад назвай «serve-acl».
- Абмежаванні толькі для абслугоўвання прымяняюцца да IP-адрасоў, якія адпавядаюць крытэрам спіса доступу пад назвай «serve-only-acl».
- Абмежаванні толькі для запытаў прымяняюцца да IP-адрасоў, якія адпавядаюць крытэрам спісу доступу пад назвай «толькі для запытаў-acl».
Дакументы / Рэсурсы
 |
Распрацавана перадавая сеткавая аперацыйная сістэма CISCO NX-OS [pdfКіраўніцтва карыстальніка Распрацавана пашыраная сеткавая аперацыйная сістэма NX-OS, распрацавана NX-OS, распрацавана пашыраная сеткавая аперацыйная сістэма, распрацавана сеткавая аперацыйная сістэма, распрацавана аперацыйная сістэма, распрацавана сістэма, распрацавана |
