Dizajniran napredni mrežni operativni sistem CISCO NX-OS
Specifikacije proizvoda
- Protokol vremenske sinhronizacije: NTP (Network Time Protocol)
- Podrška: Cisco NX-OS
- Karakteristike: Konfiguracija NTP servera vremena, NTP odnosi među kolegama, sigurnosne karakteristike, podrška za virtuelizaciju
Upute za upotrebu proizvoda
Konfiguriranje NTP-a za vremensku sinkronizaciju
Prije sinhronizacije vašeg mrežnog uređaja s NTP serverima, razmotrite sljedeće smjernice:
- NTP uspoređuje vrijeme prijavljeno od strane različitih uređaja i izbjegava sinhronizaciju sa značajno različitim izvorima vremena.
- Ako ne možete da se povežete sa serverom stratum 1, koristite javne NTP servere dostupne na internetu za sinhronizaciju.
- Ako je pristup internetu ograničen, konfigurirajte postavke lokalnog vremena kao da su sinkronizirane putem NTP-a.
Stvaranje NTP vršnjačkih odnosa
Da biste odredili hostove koji opslužuju vrijeme za sinhronizaciju i osigurali tačno vrijeme u slučaju kvara servera:
- Kreirajte NTP ravnopravne odnose sa željenim hostovima.
- Koristite ograničenja zasnovana na listi pristupa ili šifrovane mehanizme provjere autentičnosti za poboljšanu sigurnost.
Distribucija NTP konfiguracije pomoću CFS-a
Cisco Fabric Services (CFS) omogućava distribuciju lokalnih NTP konfiguracija širom mreže. Slijedite ove korake:
- Omogućite CFS na svom uređaju da započnete zaključavanje cijele mreže na NTP konfiguraciji.
- Nakon promjena konfiguracije, ili ih odbacite ili izvršite da biste otpustili CFS zaključavanje.
Visoka dostupnost i podrška za virtuelizaciju
Osigurajte visoku dostupnost i podršku za virtuelizaciju za NTP tako što ćete:
- Konfigurisanje NTP peer-a za redundantnost u slučaju kvara servera.
- Prepoznavanje virtuelnih instanci usmjeravanja i prosljeđivanja (VRF) za NTP rad.
FAQ
- Preduvjeti i smjernice za konfiguriranje NTP-a
- Preduvjeti: Osigurajte mrežnu povezanost i pristup željenim NTP serverima.
- Smjernice: Koristite sigurnosne funkcije kao što su liste pristupa i autentifikacija za sigurnu sinhronizaciju vremena.
- Zadane postavke NTP-a
- NTP je podrazumevano omogućen za sve interfejse.
- NTP pasiv Omogućeno za formiranje asocijacija.
- NTP autentifikacija je podrazumevano onemogućena.
- NTP pristup Omogućen sa svim interfejsima.
- NTP server emitovanja Onemogućen kao podrazumevana postavka.
Informacije o NTP-u
- Network Time Protocol (NTP) sinkronizira doba dana između skupa distribuiranih servera vremena i klijenata tako da možete povezati događaje kada primate sistemske dnevnike i druge događaje specifične za vrijeme sa više mrežnih uređaja. NTP koristi User Datagram protokol (UDP) kao njegov transportni protokol. Sve NTP komunikacije koriste koordinirano univerzalno vrijeme (UTC).
- NTP server obično prima svoje vrijeme od autoritativnog izvora vremena, kao što je radio sat ili atomski sat priključen na server vremena, a zatim distribuira ovo vrijeme širom mreže. NTP je izuzetno efikasan; nije potrebno više od jednog paketa u minuti da bi se dvije mašine sinhronizovale na milisekunde jedna od druge.
- NTP koristi stratum da opiše udaljenost između mrežnog uređaja i autoritativnog izvora vremena:
- Stratum 1 server vremena je direktno vezan za autoritativni izvor vremena (kao što je radio ili atomski sat ili GPS izvor vremena).
- Stratum 2 NTP server prima svoje vrijeme preko NTP-a od servera vremena stratum 1.
- Prije sinhronizacije, NTP upoređuje vrijeme prijavljeno od nekoliko mrežnih uređaja i ne sinhronizuje se sa onim koji se značajno razlikuje, čak i ako je to sloj 1. Zato što Cisco NX-OS ne može da se poveže na radio ili atomski sat i da deluje kao stratum 1 servera, preporučujemo da koristite javne NTP servere dostupne na Internetu. Ako je mreža izolovana od Interneta, Cisco NX-OS vam omogućava da konfigurišete vreme kao da je sinhronizovano preko NTP-a, iako nije.
Napomena
Možete kreirati NTP ravnopravne odnose kako biste odredili hostove koji opslužuju vrijeme sa kojima želite da vaš mrežni uređaj razmotri sinhronizaciju i da zadržite točno vrijeme ako dođe do kvara servera. - Vrijeme koje se čuva na uređaju je kritičan resurs, pa vam toplo preporučujemo da koristite sigurnosne značajke NTP-a kako biste izbjegli slučajno ili zlonamjerno postavljanje pogrešnog vremena. Dostupna su dva mehanizma: shema ograničenja zasnovana na listi pristupa i mehanizam šifrirane provjere autentičnosti.
NTP kao server vremena
Drugi uređaji ga mogu konfigurirati kao server vremena. Također možete konfigurirati uređaj da djeluje kao autoritativni NTP server, omogućavajući mu da distribuira vrijeme čak i kada nije sinkroniziran sa vanjskim izvorom vremena.
Distribucija NTP-a pomoću CFS-a
- Cisco Fabric Services (CFS) distribuira lokalnu NTP konfiguraciju svim Cisco uređajima u mreži.
- Nakon omogućavanja CFS-a na vašem uređaju, na NTP se primjenjuje zaključavanje cijele mreže kad god se pokrene NTP konfiguracija. Nakon što izvršite promjene konfiguracije NTP-a, možete ih odbaciti ili urezati.
- U oba slučaja, CFS zaključavanje se tada oslobađa iz NTP aplikacije.
Clock Manager
- Satovi su resursi koji se moraju dijeliti u različitim procesima.
- U sistemu može biti pokrenuto više protokola za sinhronizaciju vremena, kao što su NTP i Precision Time Protocol (PTP).
Visoka dostupnost
- Podržana su ponovna pokretanja bez stanja za NTP. Nakon ponovnog pokretanja ili prebacivanja supervizora, primjenjuje se konfiguracija koja radi.
- Možete da konfigurišete NTP peer da obezbedi redundantnost u slučaju kvara NTP servera.
Podrška za virtuelizaciju
NTP prepoznaje virtuelne instance usmjeravanja i prosljeđivanja (VRF). NTP koristi podrazumevani VRF ako ne konfigurišete određeni VRF za NTP server i NTP peer.
Preduvjeti za NTP
NTP ima sljedeće preduslove:
Da biste konfigurisali NTP, morate imati vezu sa najmanje jednim serverom koji pokreće NTP.
Smjernice i ograničenja za NTP
NTP ima sljedeće konfiguracijske smjernice i ograničenja:
- CLI naredba show ntp session status ne prikazuje vrijeme posljednje akcije stamp, posljednja akcija, posljednji rezultat akcije i razlog neuspjeha posljednje akcije.
- Podržana je funkcionalnost NTP servera.
- Trebali biste imati vršnjačku povezanost sa drugim uređajem samo kada ste sigurni da je vaš sat pouzdan (što znači da ste klijent pouzdanog NTP servera).
- Peer konfigurisan sam preuzima ulogu servera i trebalo bi da se koristi kao rezervna kopija. Ako imate dva servera, možete konfigurisati nekoliko uređaja da upućuju na jedan server, a preostale uređaje da upućuju na drugi server. Zatim možete konfigurirati ravnopravnu asocijaciju između ova dva poslužitelja kako biste stvorili pouzdaniju NTP konfiguraciju.
- Ako imate samo jedan server, trebali biste konfigurirati sve uređaje kao klijente tog servera.
- Možete konfigurirati do 64 NTP entiteta (servera i ravnopravnih uređaja).
- Ako je CFS onemogućen za NTP, NTP ne distribuira nikakvu konfiguraciju i ne prihvata distribuciju sa drugih uređaja u mreži.
- Nakon što je CFS distribucija omogućena za NTP, unos naredbe za NTP konfiguraciju zaključava mrežu za NTP konfiguraciju sve dok se ne unese komanda za urezivanje. Tokom zaključavanja, bilo koji drugi uređaj u mreži ne može napraviti promjene u NTP konfiguraciji osim uređaja koji je pokrenuo zaključavanje.
- Ako koristite CFS za distribuciju NTP-a, svi uređaji u mreži trebaju imati iste konfigurirane VRF-ove kao što koristite za NTP.
- Ako konfigurišete NTP u VRF-u, uverite se da NTP server i vršnjaci mogu da dođu jedni do drugih preko konfigurisanih VRF-ova.
- Morate ručno distribuirati NTP ključeve za autentifikaciju na NTP serveru i Cisco NX-OS uređajima širom mreže.
- Ako koristite prekidač kao rubni uređaj i želite da koristite NTP, Cisco preporučuje korištenje naredbe ntp access-group i filtriranje NTP-a samo na potrebne rubne uređaje.
- Ako je sistem konfigurisan sa naredbama ntp pasivni, ntp broadcast client ili ntp multicast client, kada NTP primi dolazni simetrični aktivni, broadcast ili multicast paket, može postaviti efemernu ravnopravnu asocijaciju kako bi se sinhronizirao s pošiljateljem .
Napomena
Uvjerite se da ste naveli ntp authenticate prije nego što omogućite bilo koju od gornjih naredbi. Ako to ne učinite, omogućit će se vašem uređaju da se sinhronizira sa bilo kojim uređajem koji šalje jedan od gore navedenih tipova paketa, uključujući zlonamjerne uređaje pod kontrolom napadača. - Ako je specificirana naredba ntp authenticate, kada se primi simetrični aktivni, emitirani ili višestruki paket, sistem se neće sinkronizirati s ravnopravnom osobom osim ako paket ne nosi jedan od ključeva za provjeru autentičnosti navedenih u globalnoj konfiguracijskoj naredbi ntp pouzdanog ključa.
- Da biste spriječili sinhronizaciju s neovlaštenim mrežnim hostovima, naredbu ntp authenticate treba specificirati svaki put kada je specificirana naredba ntp pasivni, ntp broadcast client ili ntp multicast klijent osim ako su poduzete druge mjere, kao što je komanda ntp pristupne grupe, spriječiti neovlaštene hostove da komuniciraju s NTP uslugom na uređaju.
- Naredba ntp authenticate ne provjerava autentičnost ravnopravnih asocijacija konfiguriranih preko ntp servera i naredbi konfiguracije ntp peer. Za provjeru autentičnosti ntp servera i ntp peer asocijacija, navedite ključnu riječ.
- Koristite NTP broadcast ili multicast asocijacije kada su zahtjevi za vremenskom preciznošću i pouzdanošću skromni, vaša mreža je lokalizirana i mreža ima više od 20 klijenata. Preporučujemo da koristite NTP broadcast ili multicast asocijacije u mrežama koje imaju ograničen propusni opseg, sistemsku memoriju ili resurse CPU-a.
- Maksimalno četiri ACL-a mogu se konfigurirati za jednu NTP pristupnu grupu.
Napomena Preciznost vremena je neznatno smanjena u NTP asocijacijama emitovanja jer informacije teku samo na jedan način.
Default Settings
Sljedeće su podrazumevane postavke za NTP parametre.
| Parameters | Default |
| NTP | Omogućeno za sve interfejse |
| NTP pasiv (omogućava NTP-u da formira asocijacije) | Omogućeno |
| NTP autentikacija | Onemogućeno |
| NTP pristup | Omogućeno |
| NTP pristupna grupa odgovara svima | Onemogućeno |
| NTP server za emitovanje | Onemogućeno |
| NTP multicast server | Onemogućeno |
| NTP multicast klijent | Onemogućeno |
| NTP logovanje | Onemogućeno |
Konfigurisanje NTP-a
Omogućavanje ili onemogućavanje NTP-a na sučelju
Možete omogućiti ili onemogućiti NTP na određenom interfejsu. NTP je podrazumevano omogućen na svim interfejsima.
Procedura
| Command or Akcija | Svrha | |
| Korak 1 | prekidač # konfigurirati terminal | Ulazi u način globalne konfiguracije. |
| Korak 2 | switch(config)# interfejs tip slot/port | Ulazi u način konfiguracije interfejsa. |
| Korak 3 | switch(config-if)# [ne] ntp disable {ip | ipv6} | Onemogućuje NTP IPv4 ili IPv6 na navedenom interfejsu.
Koristite br oblik ove komande da ponovo omogućite NTP na interfejsu. |
| Korak 4 | (Opciono) switch(config-if)# kopiraj run-config startup-config | Trajno čuva promjenu kroz ponovno pokretanje i ponovno pokretanje kopiranjem tekuće konfiguracije u konfiguraciju za pokretanje. |
Example
Sljedeći prample pokazuje kako omogućiti ili onemogućiti NTP na interfejsu:
- switch# konfiguracija terminala
- switch(config)# sučelje Ethernet 6/1
- switch(config-if)# ntp onemogući ip
- switch(config-if)# kopiraj run-config startup-config
Konfiguriranje uređaja kao ovlaštenog NTP servera
Možete konfigurirati uređaj da djeluje kao autoritativni NTP server, omogućavajući mu da distribuira vrijeme čak i kada nije sinkroniziran sa postojećim serverom vremena.
Procedura
| Command or Akcija | Svrha | |
| Korak 1 | prekidač # konfigurirati terminal | Ulazi u način globalne konfiguracije. |
| Command or Akcija | Svrha | |
| Korak 1 | prekidač # konfigurirati terminal | Ulazi u način globalne konfiguracije. |
Example
Ovaj exampLe pokazuje kako da konfigurišete Cisco NX-OS uređaj kao autoritativni NTP server sa različitim nivoom stratuma:
- switch# konfiguracija terminala
- Unesite konfiguracijske naredbe, jednu po redu. Završite sa CNTL/Z.
- switch(config)# ntp master 5
Konfiguriranje NTP servera i peer-a
Možete konfigurirati NTP server i peer.
Prije nego počnete
Uvjerite se da znate IP adresu ili DNS imena vašeg NTP servera i njegovih kolega.
Procedura
| Command or Akcija | Svrha | |
| Korak 1 | prekidač # konfigurirati terminal | Ulazi u način globalne konfiguracije. |
| Korak 2 | switch(config)# [br] ntp server {ip-adresa | ipv6-adresa | dns-name} [ključ ključ-id] [maxpoll max-poll] [minpoll min-poll] [preferirati] [use-vrf vrf-name] | Formira asocijaciju sa serverom.
Koristite ključ ključnu riječ za konfiguriranje ključa koji će se koristiti tokom komunikacije sa NTP serverom. Raspon za ključ-id argument je od 1 do 65535. Koristite maxpoll i minpoll ključne riječi za konfiguriranje maksimalnih i minimalnih intervala u kojima će se ispitivati server. Raspon za max-poll i min-poll argumenti je od 4 do 16 (konfigurirano kao stepen 2, dakle efektivno 16 do 65536 sekundi), i zadane vrijednosti |
| su 6 i 4, respektivno (maxpoll zadano = 64
sekundi, minpoll podrazumevano = 16 sekundi). Koristite preferiraj ključnu riječ da ovo bude željeni NTP server za uređaj. Koristite use-vrf ključnu riječ za konfiguraciju NTP servera za komunikaciju preko specificiranog VRF-a. The vrf-name argument može biti zadani, upravljački ili bilo koji alfanumerički niz do 32 znaka osjetljiv na velika i mala slova. Napomena Ako konfigurirate ključ koji će se koristiti tokom komunikacije s NTP serverom, provjerite postoji li ključ kao pouzdan ključ na uređaju. |
||
| Korak 3 | switch(config)# [br] ntp peer {ip-adresa | ipv6-adresa | dns-name} [ključ ključ-id] [maxpoll max-poll] [minpoll min-poll] [preferirati] [use-vrf vrf-name] | Formira asocijaciju sa vršnjakom. Možete specificirati više asocijacija vršnjaka.
Koristite ključ ključna riječ za konfiguriranje ključa koji će se koristiti tijekom komunikacije s NTP ravnopravnim osobom. Raspon za ključ-id argument je od 1 do 65535. Koristite maxpoll i minpoll ključne riječi za konfiguriranje maksimalnih i minimalnih intervala u kojima će se ispitivati server. Raspon za max-poll i min-poll argumenti su od 4 do 17 (konfigurirano kao stepen 2, dakle efektivno 16 do 131072 sekundi), a zadane vrijednosti su 6 i 4, respektivno (maxpoll zadano = 64 sekunde, minpoll podrazumevano = 16 sekundi). Koristite preferirati ključnu riječ kako bi ovo bio preferirani NTP peer za uređaj. Koristite use-vrf ključnu riječ za konfiguriranje NTP peer-a za komunikaciju preko specificiranog VRF-a. The vrf-name argument može biti default , menadžment , ili bilo koji alfanumerički niz do 32 znaka koji razlikuje velika i mala slova. |
| Korak 4 | (Opcionalno) switch(config)# prikaži ntp peers | Prikazuje konfigurirani server i ravnopravne korisnike.
Napomena Ime domene se rješava samo kada imate konfiguriran DNS server. |
| Korak 5 | (Opcionalno) switch(config)# kopiraj run-config startup-config | Trajno čuva promjenu kroz ponovno pokretanje i ponovno pokretanje kopiranjem tekuće konfiguracije u konfiguraciju za pokretanje. |
Konfiguriranje NTP autentifikacije
Možete konfigurirati uređaj za provjeru autentičnosti izvora vremena na koje je sinkroniziran lokalni sat. Kada omogućite NTP autentifikaciju, uređaj se sinhronizuje sa izvorom vremena samo ako izvor nosi jedan od ključeva za provjeru autentičnosti specificiranih naredbom ntp trusted-key. Uređaj odbacuje sve pakete koji ne prođu provjeru autentičnosti i sprječava ih da ažuriraju lokalni sat. NTP autentifikacija je onemogućena prema zadanim postavkama.
Prije nego počnete
Provjera autentičnosti za NTP servere i NTP peer-ove je konfigurisana na osnovu asocijacije koristeći ključnu riječ na svakom ntp serveru i ntp peer komandi. Uvjerite se da ste konfigurirali sve NTP poslužitelje i ravnopravne asocijacije s ključevima za provjeru autentičnosti koje planirate navesti u ovoj proceduri. Bilo koji ntp server ili ntp peer naredbe koje ne specificiraju ključnu riječ nastavit će raditi bez provjere autentičnosti.
Procedura
| Command or Akcija | Svrha | |
| Korak 1 | konfigurirati terminal
Example: switch# konfiguriraj terminal switch(config)# |
Ulazi u način globalne konfiguracije. |
| Korak 2 | [br] ntp autentifikacijski ključ broj md5
md5-string Example: switch(config)# ntp autentifikacijski ključ 42 md5 aNiceKey |
Definira ključeve za autentifikaciju. Uređaj se ne sinhronizuje sa izvorom vremena osim ako izvor nema jedan od ovih ključeva za autentifikaciju i ako je broj ključa naveden od strane ntp pouzdani ključ broj komanda.
Raspon ključeva za autentifikaciju je od 1 do 65535. Za MD5 niz možete unijeti do osam alfanumeričkih znakova. |
| Korak 3 | ntp server ip-adresa ključ ključ-id
Example: switch(config)# ntp server 192.0.2.1 ključ 1001 |
Omogućava autentifikaciju za navedeni NTP server, formirajući asocijaciju sa serverom.
Koristite ključ ključnu riječ za konfiguriranje ključa koji će se koristiti tokom komunikacije sa NTP serverom. Raspon za ključ-id argument je od 1 do 65535. Za traženje autentifikacije, ključ ključna riječ se mora koristiti. Bilo koji ntp server or ntp peer naredbe koje ne specificiraju ključ ključna riječ će nastaviti da radi bez autentifikacije. |
| Korak 4 | (Neobavezno) prikaži ntp autentifikacijske ključeve
Example: switch(config)# prikaži ntp autentifikacijske ključeve |
Prikazuje konfigurirane NTP ključeve za autentifikaciju. |
| Korak 5 | [br] ntp pouzdani ključ broj
Example: switch(config)# ntp pouzdani ključ 42 |
Određuje jedan ili više ključeva (definiranih u koraku 2) koje nekonfigurirani udaljeni simetrični, emitirani i multicast vremenski izvor mora osigurati u svojim NTP paketima kako bi se uređaj sinhronizirao s njim. Raspon za pouzdane ključeve je od 1 do 65535.
Ova naredba pruža zaštitu od slučajnog sinhroniziranja uređaja sa izvorom vremena kojem se ne vjeruje. |
| Korak 6 | (Neobavezno) prikaži ntp pouzdane ključeve
Example: switch(config)# pokazuje ntp pouzdane ključeve |
Prikazuje konfigurirane NTP pouzdane ključeve. |
| Korak 7 | [br] ntp authenticate
Example: switch(config)# ntp autentifikacija |
Omogućava ili onemogućuje autentifikaciju za ntp pasivni, ntp broadcast klijent i ntp multicast. NTP autentifikacija je onemogućena prema zadanim postavkama. |
| Korak 8 | (Neobavezno) prikaži ntp authentication-status
Example: switch(config)# prikaži ntp authentication-status |
Prikazuje status NTP autentifikacije. |
| Korak 9 | (Neobavezno) kopija run-config startup-config
Example: switch(config)# kopiraj run-config startup-config |
Kopira tekuću konfiguraciju u konfiguraciju za pokretanje. |
Konfiguriranje ograničenja NTP pristupa
- Možete kontrolirati pristup NTP uslugama korištenjem pristupnih grupa. Konkretno, možete odrediti vrste zahtjeva koje uređaj dozvoljava i servere s kojih prihvata odgovore.
- Ako ne konfigurišete nijednu pristupnu grupu, NTP pristup se odobrava svim uređajima. Ako konfigurišete bilo koju pristupnu grupu, NTP pristup se odobrava samo udaljenom uređaju čija izvorna IP adresa prolazi kriterijume liste pristupa.
- Počevši od Cisco NX-OS izdanja 7.0(3)I7(3), pristupne grupe se procjenjuju na sljedeći način:
- Bez ključne riječi match-all, paket se procjenjuje prema pristupnim grupama (po redoslijedu navedenom u nastavku) dok ne pronađe dozvolu. Ako se dozvola ne pronađe, paket se odbacuje.
- Uz ključnu riječ match-all, paket se procjenjuje prema svim pristupnim grupama (po redoslijedu koji je dolje naveden) i akcija se poduzima na osnovu posljednje uspješne evaluacije (posljednja pristupna grupa u kojoj je konfiguriran ACL).
- Mapiranje pristupne grupe u tip paketa je kako slijedi:
- peer—procesni klijent, simetrični aktivni, simetrični pasivni, servisni, kontrolni i privatni paketi (svi tipovi)
- služiti—obradite klijentske, kontrolne i privatne pakete
- samo za serviranje—obraditi samo klijentske pakete
- samo za upite—kontrola procesa i samo privatni paketi
- Grupe pristupa se procjenjuju u sljedećem opadajućem redoslijedu:
- peer (sve vrste paketa)
- posluživanje (klijentski, kontrolni i privatni paketi)
- samo upit (klijentski paketi) ili samo upit (kontrolni i privatni paketi)
Procedura
| Command or Akcija | Svrha | |
| Korak 1 | prekidač # konfigurirati terminal | Ulazi u način globalne konfiguracije. |
| Korak 2 | switch(config)# [br] ntp pristupna grupa odgovara svim | {{peer | služiti | samo za serviranje | samo za upite }ime-pristupne liste} | Kreira ili uklanja pristupnu grupu za kontrolu NTP pristupa i primjenjuje osnovnu IP pristupnu listu.
Opcije pristupne grupe se skeniraju sljedećim redoslijedom, od najmanje restriktivnih do najrestriktivnijih. Međutim, ako se NTP podudara sa pravilom zabrane ACL-a u konfiguriranom ravnopravnom uređaju, ACL obrada se zaustavlja i ne nastavlja na sljedeću opciju grupe pristupa. • The peer ključna reč omogućava uređaju da prima vremenske zahteve i NTP kontrolne upite i da se sinhronizuje sa serverima navedenim na listi pristupa. • The služiti ključna riječ omogućava uređaju da prima zahtjeve za vrijeme i NTP kontrolne upite sa servera navedenih u pristupnoj listi, ali ne i da se sinhronizuje sa navedenim serverima. • The samo za serviranje ključna riječ omogućava uređaju da prima samo vremenske zahtjeve od servera navedenih u pristupnoj listi. • The samo za upite ključna riječ omogućava uređaju da prima samo NTP kontrolne upite od servera navedenih u pristupnoj listi. • The match-all ključna riječ omogućava skeniranje opcija pristupne grupe sljedećim redoslijedom, od najmanje restriktivnih do najrestriktivnijih: ravnopravni, posluživanje, samo posluživanje, samo upit. Ako dolazni paket ne odgovara ACL-u u ravnopravnom pristupu |
| grupe, ide u grupu pristupa servisu
biti obrađen. Ako paket ne odgovara ACL-u u grupi pristupa servisu, ide u pristupnu grupu samo za serviranje i tako dalje. Napomena The match-all ključna reč je dostupna počevši od Cisco NX-OS izdanja 7.0(3)I6(1). |
||
| Korak 3 | switch(config)# prikaži ntp pristupne grupe | (Opcionalno) Prikazuje konfiguraciju NTP pristupne grupe. |
| Korak 4 | (Opcionalno) switch(config)# kopiraj run-config startup-config | Trajno čuva promjenu kroz ponovno pokretanje i ponovno pokretanje kopiranjem tekuće konfiguracije u konfiguraciju za pokretanje. |
Example
Ovaj example pokazuje kako konfigurirati uređaj tako da mu se omogući sinkronizacija sa vršnjakom iz pristupne grupe “accesslist1”:
Konfiguriranje NTP izvorne IP adrese
NTP postavlja izvornu IP adresu za sve NTP pakete na osnovu adrese interfejsa preko kojeg se NTP paketi šalju. Možete konfigurirati NTP da koristi određenu izvornu IP adresu.
Procedura
| Command or Akcija | Svrha | |
| Korak 1 | prekidač # konfigurirati terminal | Ulazi u način globalne konfiguracije. |
| Korak 2 | [br] ntp izvor ip-adresa | Konfiguriše izvornu IP adresu za sve NTP pakete. The ip-adresa može biti u IPv4 ili IPv6 formatu. |
Example
Ovaj example pokazuje kako da konfigurišete NTP izvornu IP adresu 192.0.2.2.
- switch# konfiguracija terminala
- switch(config)# ntp izvor 192.0.2.2
Konfiguriranje NTP izvornog sučelja
Možete konfigurirati NTP da koristi određeno sučelje.
Procedura
| Command or Akcija | Svrha | |
| Korak 1 | prekidač # konfigurirati terminal | Ulazi u način globalne konfiguracije. |
| Korak 2 | [br] ntp izvorni interfejs interfejs | Konfiguriše izvorni interfejs za sve NTP pakete. Sljedeća lista sadrži važeće vrijednosti za interfejs.
• Ethernet • povratna petlja • upravljanje • port-kanal • vlan |
Example
Ovaj example pokazuje kako da konfigurišete NTP izvorni interfejs:
- switch# konfiguracija terminala
- switch(config)# ntp izvorni interfejs ethernet
Konfiguriranje NTP Broadcast servera
Možete da konfigurišete NTP IPv4 server emitovanja na interfejsu. Uređaj zatim povremeno šalje pakete emitovanja kroz taj interfejs. Klijent nije dužan da pošalje odgovor.
Procedura
| Command or Akcija | Svrha | |
| Korak 1 | prekidač # konfigurirati terminal | Ulazi u način globalne konfiguracije. |
| Korak 2 | switch(config)# interfejs tip slot/port | Ulazi u način konfiguracije interfejsa. |
| Korak 3 | switch(config-if)# [ne] ntp emitovanje [odredište ip-adresa] [ključ ključ-id] [broj verzije] | Omogućava NTP IPv4 server za emitovanje na navedenom interfejsu.
• odredište ip-adresa—Konfiguriše IP adresu odredišta za emitovanje. • ključ ključ-id—Konfiguriše broj ključa za autentifikaciju emitovanja. Raspon je od 1 do 65535. • broj verzije—Konfiguriše NTP verziju. Raspon je od 2 do 4. |
| Korak 4 | switch(config-if)# izlaz | Izlazi iz moda konfiguracije interfejsa. |
| Korak 5 | (Opcionalno) switch(config)# [ne] ntp odgoda emitiranja kašnjenje | Konfigurira procijenjeno kašnjenje u krugu emitiranja u mikrosekundama. Raspon je od 1 do 999999. |
| Korak 6 | (Opcionalno) switch(config)# kopiraj run-config startup-config | Trajno čuva promjenu kroz ponovno pokretanje i ponovno pokretanje kopiranjem tekuće konfiguracije u konfiguraciju za pokretanje. |
Example
Ovaj example pokazuje kako da konfigurišete NTP server za emitovanje:
- switch# konfiguracija terminala
- switch(config)# sučelje Ethernet 6/1
- switch(config-if)# ntp odredište emitovanja 192.0.2.10 switch(config-if)# izlaz
- switch(config)# ntp broadcastdelay 100
- switch(config)# kopiraj run-config startup-config
Konfiguriranje NTP Multicast servera
Možete da konfigurišete NTP IPv4 ili IPv6 multicast server na interfejsu. Uređaj zatim periodično šalje multicast pakete kroz taj interfejs.
Procedura
| Command or Akcija | Svrha | |
| Korak 1 | prekidač # konfigurirati terminal | Ulazi u način globalne konfiguracije. |
| Korak 2 | switch(config)# interfejs tip slot/port | Ulazi u način konfiguracije interfejsa. |
| Korak 3 | switch(config-if)# [ne] ntp multicast [ipv4-adresa | ipv6-adresa] [ključ ključ-id] [ttl vrijednost] [broj verzije] | Omogućuje NTP IPv4 ili IPv6 multicast server na navedenom interfejsu.
• ipv4-adresa or ipv6-adresa— Multicast IPv4 ili IPv6 adresa. |
| • ključ ključ-id—Konfiguriše emitovanje
broj ključa za autentifikaciju. Raspon je od 1 do 65535. • ttl vrijednost—Vrijeme trajanja višestrukih paketa. Raspon je od 1 do 255. • verzija broj—NTP verzija. Raspon je od 2 do 4. |
||
| Korak 4 | (Opciono) switch(config-if)# kopiraj run-config startup-config | Trajno čuva promjenu kroz ponovno pokretanje i ponovno pokretanje kopiranjem tekuće konfiguracije u konfiguraciju za pokretanje. |
Example
Ovaj example pokazuje kako konfigurirati Ethernet sučelje za slanje NTP multicast paketa:
- switch# konfiguracija terminala
- switch(config)# sučelje Ethernet 2/2
- switch(config-if)# ntp multicast FF02::1:FF0E:8C6C
- switch(config-if)# kopiraj run-config startup-config
Konfiguriranje NTP Multicast klijenta
Možete konfigurirati NTP multicast klijenta na sučelju. Uređaj zatim sluša NTP multicast poruke i odbacuje sve poruke koje dolaze sa sučelja za koje nije konfigurisano multicast.
Procedura
| Command or Akcija | Svrha | |
| Korak 1 | prekidač # konfigurirati terminal | Ulazi u način globalne konfiguracije. |
| Korak 2 | switch(config)# interfejs tip slot/port | Ulazi u način konfiguracije interfejsa. |
| Korak 3 | switch(config-if)# [ne] ntp multicast klijent [ipv4-adresa | ipv6-adresa] | Omogućava navedenom sučelju za primanje NTP multicast paketa. |
| Korak 4 | (Opciono) switch(config-if)# kopiraj run-config startup-config | Trajno čuva promjenu kroz ponovno pokretanje i ponovno pokretanje kopiranjem tekuće konfiguracije u konfiguraciju za pokretanje. |
Example
Ovaj example pokazuje kako konfigurirati Ethernet sučelje za primanje NTP multicast paketa:
- switch# konfiguracija terminala
- switch(config)# sučelje Ethernet 2/3
- switch(config-if)# ntp multicast klijent FF02::1:FF0E:8C6C
- switch(config-if)# kopiraj run-config startup-config
Konfiguriranje NTP logiranja
Možete konfigurirati NTP evidenciju kako biste generirali sistemske dnevnike sa značajnim NTP događajima. NTP evidencija je podrazumevano onemogućena.
Procedura
| Command or Akcija | Svrha | |
| Korak 1 | prekidač # konfigurirati terminal | Ulazi u način globalne konfiguracije. |
| Korak 2 | switch(config)# [br] ntp logging | Omogućava ili onemogućuje generiranje sistemskih dnevnika sa značajnim NTP događajima. NTP evidencija je podrazumevano onemogućena. |
| Korak 3 | (Opcionalno) switch(config)# prikaži ntp logging-status | Prikazuje status konfiguracije NTP evidencije. |
| Korak 4 | (Opcionalno) switch(config)# kopiraj run-config startup-config | Trajno čuva promjenu kroz ponovno pokretanje i ponovno pokretanje kopiranjem tekuće konfiguracije u konfiguraciju za pokretanje. |
Example
Sljedeći prample pokazuje kako omogućiti NTP evidentiranje kako bi se generirali sistemski dnevniki sa značajnim NTP događajima:
- switch# konfiguracija terminala
- switch(config)# ntp logiranje
- switch(config)# kopiraj run-config startup-config [###################################### ###] 100%
- switch(config)#
Omogućavanje CFS distribucije za NTP
Možete omogućiti CFS distribuciju za NTP kako biste distribuirali NTP konfiguraciju na druge uređaje na kojima je omogućen CFS.
Prije nego počnete
Provjerite jeste li omogućili CFS distribuciju za uređaj.
Procedura
| Command or Akcija | Svrha | |
| Korak 1 | prekidač # konfigurirati terminal | Ulazi u način globalne konfiguracije. |
| Korak 2 | switch(config)# [br] ntp distribuirati | Omogućava ili onemogućuje uređaj da prima ažuriranja NTP konfiguracije koja se distribuiraju putem CFS-a. |
| Korak 3 | (Opcionalno) switch(config)# prikaži ntp status | Prikazuje status NTP CFS distribucije. |
| Korak 4 | (Opcionalno) switch(config)# kopiraj run-config startup-config | Trajno čuva promjenu kroz ponovno pokretanje i ponovno pokretanje kopiranjem tekuće konfiguracije u konfiguraciju za pokretanje. |
Example
Ovaj example pokazuje kako omogućiti uređaju da prima ažuriranja NTP konfiguracije putem CFS-a:
- switch# konfiguracija terminala
- switch(config)# ntp distribuirati
- switch(config)# kopiraj run-config startup-config
Unošenje izmjena NTP konfiguracije
Kada unesete promjene konfiguracije NTP-a, efektivna baza podataka je prepisana promjenama konfiguracije u bazi podataka na čekanju i svi uređaji u mreži primaju istu konfiguraciju.
Procedura
| Command or Akcija | Svrha | |
| Korak 1 | prekidač # konfigurirati terminal | Ulazi u način globalne konfiguracije. |
| Korak 2 | switch(config)# ntp urezivanje | Distribuira promjene konfiguracije NTP-a na sve Cisco NX-OS uređaje u mreži i oslobađa CFS zaključavanje. Ova komanda zamenjuje efektivnu bazu podataka sa promenama napravljenim u bazi podataka na čekanju. |
Odbacivanje promjena NTP konfiguracije
Nakon što izvršite promjene u konfiguraciji, možete odabrati da odbacite promjene umjesto da ih urezujete. Ako odbacite promjene, Cisco NX-OS uklanja promjene baze podataka na čekanju i oslobađa CFS zaključavanje.
Procedura
| Command or Akcija | Svrha | |
| Korak 1 | prekidač # konfigurirati terminal | Ulazi u način globalne konfiguracije. |
| Korak 2 | switch(config)# ntp abort | Odbacuje promjene NTP konfiguracije u bazi podataka na čekanju i oslobađa CFS zaključavanje. Koristite ovu naredbu na uređaju na kojem ste pokrenuli NTP konfiguraciju. |
Otpuštanje zaključavanja CFS sesije
Ako ste izvršili NTP konfiguraciju i zaboravili ste otključati zaključavanje bilo urezivanje ili odbacivanje promjena, vi ili drugi administrator možete otpustiti zaključavanje sa bilo kojeg uređaja na mreži. Ova akcija također odbacuje promjene baze podataka na čekanju.
Procedura
| Command or Akcija | Svrha | |
| Korak 1 | prekidač # konfigurirati terminal | Ulazi u način globalne konfiguracije. |
| Korak 2 | switch(config)# očisti ntp sesiju | Odbacuje promjene NTP konfiguracije u bazi podataka na čekanju i oslobađa CFS zaključavanje. |
Provjera NTP konfiguracije
| Command | Svrha |
| prikaži ntp pristupne grupe | Prikazuje konfiguraciju NTP pristupne grupe. |
| prikaži ntp autentifikacijske ključeve | Prikazuje konfigurirane NTP ključeve za autentifikaciju. |
| prikaži ntp authentication-status | Prikazuje status NTP autentifikacije. |
| prikaži ntp logging-status | Prikazuje status NTP evidencije. |
| prikaži ntp peer-status | Prikazuje status za sve NTP servere i peerove. |
| prikaži ntp peer | Prikazuje sve NTP peerove. |
| prikaži ntp na čekanju | Prikazuje privremenu CFS bazu podataka za NTP. |
| show ntp pending-diff | Prikazuje razliku između CFS baze podataka na čekanju i trenutne NTP konfiguracije. |
| prikaži ntp rts-ažuriranje | Prikazuje status ažuriranja RTS-a. |
| prikaži status ntp sesije | Prikazuje informacije o sesiji distribucije NTP CFS. |
| prikaži ntp izvor | Prikazuje konfiguriranu NTP izvornu IP adresu. |
| prikaži ntp izvorni interfejs | Prikazuje konfigurirani NTP izvorni interfejs. |
| prikaži ntp statistiku {io | lokalni | memorija | peer
{ipaddr {ipv4-addr} | ime peer-name}} |
Prikazuje NTP statistiku. |
| prikaži ntp status | Prikazuje status NTP CFS distribucije. |
| prikaži ntp pouzdane ključeve | Prikazuje konfigurirane NTP pouzdane ključeve. |
| show running-config ntp | Prikazuje NTP informacije. |
Konfiguracija pramples za NTP
Konfiguracija pramples za NTP
- Ovaj example pokazuje kako da konfigurišete NTP server i peer, omogućite NTP autentifikaciju, omogućite NTP logovanje, a zatim sačuvate konfiguraciju pokretanja tako da bude sačuvana nakon ponovnog pokretanja i restartovanja:
- Ovaj example prikazuje konfiguraciju NTP pristupne grupe sa sljedećim ograničenjima:
- Ograničenja ravnopravnih korisnika se primjenjuju na IP adrese koje prolaze kriterije pristupne liste pod nazivom “peer-acl”.
- Ograničenja posluživanja se primjenjuju na IP adrese koje prolaze kriterije pristupne liste pod nazivom "serve-acl".
- Ograničenja samo za posluživanje se primjenjuju na IP adrese koje prolaze kriterije pristupne liste pod nazivom "serve-only-acl".
- Ograničenja samo upita primjenjuju se na IP adrese koje prolaze kriterije pristupne liste pod nazivom “query-only-acl”.
Dokumenti / Resursi
 |
Dizajniran napredni mrežni operativni sistem CISCO NX-OS [pdf] Korisnički priručnik NX-OS Dizajniran napredni mrežni operativni sistem, NX-OS, Dizajniran napredni mrežni operativni sistem, Dizajniran mrežni operativni sistem, Dizajniran operativni sistem, Dizajniran sistem, Dizajniran |
