Navrženo pokročilý síťový operační systém CISCO NX-OS
Specifikace produktu
- Protokol synchronizace času: NTP (Network Time Protocol)
- Podpora: Cisco NX-OS
- Vlastnosti: Konfigurace časového serveru NTP, vzájemné vztahy NTP, bezpečnostní funkce, podpora virtualizace
Návod k použití produktu
Konfigurace NTP pro synchronizaci času
Před synchronizací vašeho síťového zařízení se servery NTP zvažte následující pokyny:
- NTP porovnává čas hlášený různými zařízeními a vyhýbá se synchronizaci s výrazně odlišnými zdroji času.
- Pokud se nemůžete připojit k serveru vrstvy 1, použijte pro synchronizaci veřejné servery NTP dostupné na internetu.
- Pokud je přístup k internetu omezen, nakonfigurujte nastavení místního času, jako by byl synchronizován přes NTP.
Vytváření NTP Peer Relationships
Chcete-li určit hostitele poskytující čas pro synchronizaci a zajistit přesný čas v případě selhání serveru:
- Vytvořte partnerské vztahy NTP s požadovanými hostiteli.
- Využijte omezení na základě přístupového seznamu nebo šifrované autentizační mechanismy pro lepší zabezpečení.
Distribuce konfigurace NTP pomocí CFS
Cisco Fabric Services (CFS) umožňuje distribuci místních konfigurací NTP po síti. Postupujte takto:
- Povolte na svém zařízení CFS pro aktivaci celosíťového uzamčení konfigurace NTP.
- Po změnách konfigurace je buď zahoďte nebo potvrďte, aby se uvolnil zámek CFS.
Vysoká dostupnost a podpora virtualizace
Zajistěte vysokou dostupnost a podporu virtualizace pro NTP:
- Konfigurace protějšků NTP pro redundanci v případě selhání serveru.
- Rozpoznávání instancí virtuálního směrování a předávání (VRF) pro provoz NTP.
FAQ
- Předpoklady a pokyny pro konfiguraci NTP
- Předpoklady: Zajistěte síťové připojení a přístup k požadovaným serverům NTP.
- Pokyny: Používejte funkce zabezpečení, jako jsou seznamy přístupů a ověřování, pro bezpečnou synchronizaci času.
- Výchozí nastavení NTP
- NTP ve výchozím nastavení povoleno pro všechna rozhraní.
- NTP pasivní Povoleno pro vytváření přidružení.
- Ověření NTP Ve výchozím nastavení zakázáno.
- Přístup NTP Povoleno u všech rozhraní.
- Server vysílání NTP Ve výchozím nastavení je zakázáno.
Informace o NTP
- Protokol NTP (Network Time Protocol) synchronizuje čas dne mezi sadou distribuovaných časových serverů a klientů, takže můžete korelovat události, když obdržíte systémové protokoly a další časově specifické události z více síťových zařízení. NTP používá User Datagram Protocol (UDP) jako jeho transportní protokol. Veškerá komunikace NTP používá koordinovaný světový čas (UTC).
- Server NTP obvykle přijímá svůj čas z autoritativního zdroje času, jako jsou rádiové hodiny nebo atomové hodiny připojené k časovému serveru, a poté tento čas distribuuje po síti. NTP je extrémně efektivní; ne více než jeden paket za minutu je nutný k synchronizaci dvou strojů s přesností na milisekundu od sebe navzájem.
- NTP používá vrstvu k popisu vzdálenosti mezi síťovým zařízením a autoritativním zdrojem času:
- Časový server vrstvy 1 je přímo připojen k autoritativnímu zdroji času (jako jsou rádiové nebo atomové hodiny nebo zdroj času GPS).
- Server vrstvy 2 NTP přijímá svůj čas prostřednictvím protokolu NTP z časového serveru vrstvy 1.
- Před synchronizací NTP porovnává čas hlášený několika síťovými zařízeními a nesynchronizuje se s jedním, který se výrazně liší, i když se jedná o vrstvu 1. Protože Cisco NX-OS se nemůže připojit k rádiu nebo atomovým hodinám a fungovat jako vrstva 1 serveru, doporučujeme používat veřejné NTP servery dostupné na internetu. Pokud je síť izolována od internetu, Cisco NX-OS vám umožňuje nakonfigurovat čas, jako by byl synchronizován přes NTP, i když tomu tak nebylo.
Poznámka
Můžete vytvořit partnerské vztahy NTP, abyste určili časově nenáročné hostitele, se kterými má vaše síťové zařízení zvážit synchronizaci, a uchovat přesný čas, pokud dojde k selhání serveru. - Čas uložený v zařízení je kritickým zdrojem, proto důrazně doporučujeme používat funkce zabezpečení NTP, abyste se vyhnuli náhodnému nebo škodlivému nastavení nesprávného času. K dispozici jsou dva mechanismy: schéma omezení založené na přístupovém seznamu a šifrovaný mechanismus ověřování.
NTP jako časový server
Ostatní zařízení jej mohou nakonfigurovat jako časový server. Zařízení můžete také nakonfigurovat tak, aby fungovalo jako autoritativní server NTP, což mu umožňuje distribuovat čas, i když není synchronizováno s vnějším zdrojem času.
Distribuce NTP pomocí CFS
- Cisco Fabric Services (CFS) distribuuje místní konfiguraci NTP do všech zařízení Cisco v síti.
- Po povolení CFS na vašem zařízení se na NTP použije celosíťový zámek při každém spuštění konfigurace NTP. Po provedení změn konfigurace NTP je můžete zrušit nebo potvrdit.
- V obou případech je zámek CFS uvolněn z aplikace NTP.
Správce hodin
- Hodiny jsou zdroje, které je třeba sdílet napříč různými procesy.
- V systému může být spuštěno více protokolů časové synchronizace, jako je NTP a Precision Time Protocol (PTP).
Vysoká dostupnost
- Pro NTP jsou podporovány bezstavové restarty. Po restartu nebo přepnutí supervizora se použije běžící konfigurace.
- Můžete nakonfigurovat partnery NTP tak, aby poskytovali redundanci v případě selhání serveru NTP.
Podpora virtualizace
NTP rozpoznává instance virtuálního směrování a předávání (VRF). NTP používá výchozí VRF, pokud nenakonfigurujete konkrétní VRF pro NTP server a NTP peer.
Předpoklady pro NTP
NTP má následující předpoklady:
Chcete-li nakonfigurovat NTP, musíte mít připojení k alespoň jednomu serveru, na kterém je spuštěn NTP.
Pokyny a omezení pro NTP
NTP má následující konfigurační pokyny a omezení:
- Příkaz show ntp session status CLI neukazuje čas poslední akce stamp, poslední akce, výsledek poslední akce a důvod selhání poslední akce.
- Funkce serveru NTP je podporována.
- Přidružení k jinému zařízení byste měli mít pouze v případě, že jste si jisti, že vaše hodiny jsou spolehlivé (což znamená, že jste klientem spolehlivého serveru NTP).
- Peer konfigurovaný samostatně přebírá roli serveru a měl by být používán jako záloha. Pokud máte dva servery, můžete nakonfigurovat několik zařízení tak, aby ukazovala na jeden server a zbývající zařízení směřovala na druhý server. Poté můžete nakonfigurovat přidružení mezi těmito dvěma servery a vytvořit tak spolehlivější konfiguraci NTP.
- Pokud máte pouze jeden server, měli byste všechna zařízení nakonfigurovat jako klienty tohoto serveru.
- Můžete nakonfigurovat až 64 entit NTP (servery a peery).
- Pokud je CFS pro NTP zakázáno, NTP nedistribuuje žádnou konfiguraci a nepřijímá distribuci z jiných zařízení v síti.
- Poté, co je pro NTP povolena distribuce CFS, zadání konfiguračního příkazu NTP uzamkne síť pro konfiguraci NTP, dokud není zadán příkaz commit. Během uzamčení nelze provádět žádné změny konfigurace NTP žádným jiným zařízením v síti kromě zařízení, které iniciovalo zámek.
- Pokud k distribuci NTP používáte CFS, všechna zařízení v síti by měla mít nakonfigurované stejné VRF, jaké používáte pro NTP.
- Pokud konfigurujete NTP ve VRF, zajistěte, aby se NTP server a kolegové mohli navzájem spojit prostřednictvím nakonfigurovaných VRF.
- Musíte ručně distribuovat ověřovací klíče NTP na serveru NTP a zařízeních Cisco NX-OS v síti.
- Pokud používáte přepínač jako okrajové zařízení a chcete používat NTP, Cisco doporučuje použít příkaz ntp access-group a filtrovat NTP pouze na požadovaná okrajová zařízení.
- Pokud byl systém nakonfigurován pomocí příkazů ntp pasivní, ntp broadcast client nebo ntp multicast klient, když NTP přijme příchozí symetrický aktivní, broadcast nebo multicast paket, může nastavit dočasnou partnerskou asociaci za účelem synchronizace s odesílatelem. .
Poznámka
Ujistěte se, že jste zadali ntp authenticate, než povolíte některý z výše uvedených příkazů. Pokud tak neučiníte, umožníte vašemu zařízení synchronizovat se s jakýmkoli zařízením, které odesílá jeden z výše uvedených typů paketů, včetně zařízení ovládaných škodlivými útočníky. - Pokud je zadán příkaz ntp authenticate, při přijetí symetrického aktivního, všesměrového nebo vícesměrového paketu se systém nesynchronizuje s peerem, pokud paket nenese jeden z ověřovacích klíčů zadaných v příkazu globální konfigurace důvěryhodného klíče ntp.
- Aby se zabránilo synchronizaci s neautorizovanými síťovými hostiteli, měl by být příkaz ntp authenticate zadán vždy, když byl zadán příkaz ntp pasivní, ntp broadcast client nebo ntp multicast klientský příkaz, pokud nebyla přijata jiná opatření, jako je například příkaz ntp access-group. zabránit neoprávněným hostitelům v komunikaci se službou NTP na zařízení.
- Příkaz ntp authenticate neověřuje přidružení peer nakonfigurovaných pomocí příkazů pro konfiguraci serveru ntp a ntp peer. Chcete-li ověřit přidružení serveru ntp a rovnocenného partnera ntp, zadejte klíčové slovo key.
- Použijte NTP broadcast nebo multicast asociace, když jsou požadavky na přesnost a spolehlivost skromné, vaše síť je lokalizovaná a síť má více než 20 klientů. V sítích s omezenou šířkou pásma, systémovou pamětí nebo prostředky CPU doporučujeme používat přidružení vysílání NTP nebo vícesměrového vysílání.
- Pro jednu přístupovou skupinu NTP lze nakonfigurovat maximálně čtyři ACL.
Poznámka Přesnost času je v asociacích vysílání NTP nepatrně snížena, protože informace proudí pouze jedním směrem.
Výchozí nastavení
Níže jsou uvedena výchozí nastavení parametrů NTP.
| Parametry | Výchozí |
| NTP | Povoleno pro všechna rozhraní |
| NTP pasivní (umožňující NTP vytvářet asociace) | Povoleno |
| NTP ověřování | Zakázáno |
| NTP přístup | Povoleno |
| Přístupová skupina NTP odpovídá všem | Zakázáno |
| NTP vysílací server | Zakázáno |
| NTP multicast server | Zakázáno |
| NTP multicast klient | Zakázáno |
| NTP protokolování | Zakázáno |
Konfigurace NTP
Povolení nebo zakázání NTP na rozhraní
NTP můžete povolit nebo zakázat na konkrétním rozhraní. NTP je standardně povoleno na všech rozhraních.
Postup
| Příkaz or Akce | Účel | |
| Krok 1 | přepínač# nakonfigurovat terminál | Vstoupí do režimu globální konfigurace. |
| Krok 2 | switch(config)# rozhraní typ slot/port | Vstoupí do režimu konfigurace rozhraní. |
| Krok 3 | switch(config-if)# [ne] zakázat ntp {ip | ipv6} | Zakáže NTP IPv4 nebo IPv6 na zadaném rozhraní.
Použijte žádný formuláře tohoto příkazu pro opětovné povolení NTP na rozhraní. |
| Krok 4 | (Volitelné) switch(config-if)# zkopírujte running-config startup-config | Trvale uloží změnu prostřednictvím restartování a restartování zkopírováním běžící konfigurace do spouštěcí konfigurace. |
Example
Následující example ukazuje, jak povolit nebo zakázat NTP na rozhraní:
- switch# konfigurovat terminál
- switch(config)# rozhraní ethernet 6/1
- switch(config-if)# ntp zakázat ip
- switch(config-if)# copy running-config startup-config
Konfigurace zařízení jako autoritativního serveru NTP
Zařízení můžete nakonfigurovat tak, aby fungovalo jako autoritativní server NTP a umožnilo mu distribuovat čas, i když není synchronizováno s existujícím časovým serverem.
Postup
| Příkaz or Akce | Účel | |
| Krok 1 | přepínač# nakonfigurovat terminál | Vstoupí do režimu globální konfigurace. |
| Příkaz or Akce | Účel | |
| Krok 1 | přepínač# nakonfigurovat terminál | Vstoupí do režimu globální konfigurace. |
Example
Tento example ukazuje, jak nakonfigurovat zařízení Cisco NX-OS jako autoritativní server NTP s jinou úrovní vrstvy:
- switch# konfigurovat terminál
- Zadejte konfigurační příkazy, jeden na řádek. Konec CNTL/Z.
- switch(config)# ntp master 5
Konfigurace NTP serveru a Peer
Můžete nakonfigurovat NTP server a peer.
Než začnete
Ujistěte se, že znáte IP adresu nebo názvy DNS vašeho NTP serveru a jeho protějšků.
Postup
| Příkaz or Akce | Účel | |
| Krok 1 | přepínač# nakonfigurovat terminál | Vstoupí do režimu globální konfigurace. |
| Krok 2 | switch(config)# [žádný] ntp server {IP adresa | ipv6-adresa | název dns} [klíč ID klíče] [maxpoll max-poll] [minpoll min-anketa] [preferovat] [use-vrf vrf-name] | Vytvoří spojení se serverem.
Použijte klíč klíčové slovo pro konfiguraci klíče, který se má použít při komunikaci se serverem NTP. Rozsah pro ID klíče argument je od 1 do 65535. Použijte maxpoll a minpoll klíčová slova pro konfiguraci maximálních a minimálních intervalů, ve kterých se má server dotazovat. Rozsah pro max-poll a min-anketa argumenty jsou od 4 do 16 (nakonfigurováno jako mocniny 2, tedy efektivně 16 až 65536 sekund) a výchozí hodnoty |
| jsou 6 a 4 (maxpoll výchozí = 64
sekundy, minpoll výchozí = 16 sekund). Použijte preferujte klíčové slovo aby se z něj stal preferovaný server NTP pro zařízení. Použijte use-vrf klíčové slovo pro konfiguraci serveru NTP pro komunikaci přes zadaný VRF. The vrf-name argument může být výchozí, management nebo jakýkoli alfanumerický řetězec citlivý na velká a malá písmena až do 32 znaků. Poznámka Pokud nakonfigurujete klíč, který se má používat při komunikaci se serverem NTP, ujistěte se, že klíč v zařízení existuje jako důvěryhodný. |
||
| Krok 3 | switch(config)# [žádný] ntp peer {IP adresa | ipv6-adresa | název dns} [klíč ID klíče] [maxpoll max-poll] [minpoll min-anketa] [preferovat] [use-vrf vrf-name] | Vytváří asociaci s vrstevníkem. Můžete zadat více partnerských přidružení.
Použijte klíč klíčové slovo pro konfiguraci klíče, který má být použit při komunikaci s NTP peerem. Rozsah pro ID klíče argument je od 1 do 65535. Použijte maxpoll a minpoll klíčová slova pro konfiguraci maximálních a minimálních intervalů, ve kterých se má server dotazovat. Rozsah pro max-poll a min-anketa argumenty jsou od 4 do 17 (nakonfigurovány jako mocniny 2, tedy efektivně 16 až 131072 sekund) a výchozí hodnoty jsou 6 a 4 (maxpoll výchozí = 64 sekund, minpoll výchozí = 16 sekund). Použijte preferovat klíčové slovo, aby se z něj stal preferovaný partner NTP pro zařízení. Použijte use-vrf klíčové slovo pro konfiguraci partnera NTP pro komunikaci přes zadaný VRF. The vrf-name argument může být výchozí , řízení , nebo jakýkoli alfanumerický řetězec citlivý na velká a malá písmena až do 32 znaků. |
| Krok 4 | (Volitelné) switch(config)# zobrazit vrstevníky ntp | Zobrazuje nakonfigurovaný server a partnery.
Poznámka Název domény se přeloží pouze v případě, že máte nakonfigurovaný server DNS. |
| Krok 5 | (Volitelné) switch(config)# zkopírujte running-config startup-config | Trvale uloží změnu prostřednictvím restartování a restartování zkopírováním běžící konfigurace do spouštěcí konfigurace. |
Konfigurace ověřování NTP
Zařízení můžete nakonfigurovat tak, aby ověřovalo zdroje času, se kterými jsou synchronizovány místní hodiny. Když povolíte ověřování NTP, zařízení se synchronizuje se zdrojem času pouze v případě, že zdroj nese jeden z ověřovacích klíčů zadaných příkazem ntp trusted-key. Zařízení zahodí všechny pakety, které neprojdou kontrolou ověření, a zabrání jim aktualizovat místní hodiny. Ověřování NTP je ve výchozím nastavení zakázáno.
Než začnete
Autentizace pro NTP servery a NTP peer se konfiguruje na základě jednotlivých asociací pomocí klíčového slova key na každém ntp serveru a příkazu ntp peer. Ujistěte se, že jste nakonfigurovali všechna přidružení serveru NTP a peer s ověřovacími klíči, které plánujete zadat v tomto postupu. Jakýkoli server ntp nebo peercommand ntp, které neurčují klíčové slovo key, budou nadále fungovat bez ověření.
Postup
| Příkaz or Akce | Účel | |
| Krok 1 | nakonfigurovat terminál
Exampten: switch# konfigurace terminálu switch(config)# |
Vstoupí do režimu globální konfigurace. |
| Krok 2 | [žádný] autentizační klíč ntp číslo md5
md5-řetězec Exampten: switch(config)# ntp autentizační-klíč 42 md5 aNiceKey |
Definuje autentizační klíče. Zařízení se nesynchronizuje se zdrojem času, pokud zdroj nemá jeden z těchto ověřovacích klíčů a číslo klíče není určeno důvěryhodný klíč ntp číslo příkaz.
Rozsah ověřovacích klíčů je od 1 do 65535. Pro řetězec MD5 můžete zadat až osm alfanumerických znaků. |
| Krok 3 | ntp server IP adresa klíč ID klíče
Exampten: switch(config)# ntp server 192.0.2.1 klíč 1001 |
Povolí ověření pro zadaný server NTP a vytvoří přidružení k serveru.
Použijte klíč klíčové slovo pro konfiguraci klíče, který se má použít při komunikaci se serverem NTP. Rozsah pro ID klíče argument je od 1 do 65535. Chcete-li vyžadovat ověření, klíč musí být použito klíčové slovo. Žádný ntp server or ntp peer příkazy, které neurčují klíč klíčové slovo bude nadále fungovat bez ověření. |
| Krok 4 | (Volitelný) zobrazit autentizační klíče ntp
Exampten: switch(config)# zobrazí autentizační klíče ntp |
Zobrazuje nakonfigurované ověřovací klíče NTP. |
| Krok 5 | [žádný] důvěryhodný klíč ntp číslo
Exampten: switch(config)# důvěryhodný klíč ntp 42 |
Určuje jeden nebo více klíčů (definovaných v kroku 2), které musí ve svých paketech NTP poskytnout nekonfigurovaný vzdálený zdroj symetrického, vysílacího a vícesměrového času, aby se s ním zařízení synchronizovalo. Rozsah důvěryhodných klíčů je od 1 do 65535.
Tento příkaz poskytuje ochranu před náhodnou synchronizací zařízení se zdrojem času, který není důvěryhodný. |
| Krok 6 | (Volitelný) zobrazit důvěryhodné klíče ntp
Exampten: switch(config)# show ntp trusted-keys |
Zobrazuje nakonfigurované důvěryhodné klíče NTP. |
| Krok 7 | [žádný] ověřit ntp
Exampten: switch(config)# ntp autentizovat |
Povolí nebo zakáže ověřování pro pasivní ntp, vysílací klient ntp a vícesměrové vysílání ntp. Ověřování NTP je ve výchozím nastavení zakázáno. |
| Krok 8 | (Volitelný) zobrazit stav autentizace ntp
Exampten: switch(config)# show ntp authentication-status |
Zobrazuje stav ověřování NTP. |
| Krok 9 | (Volitelný) kopie running-config startup-config
Exampten: switch(config)# copy running-config startup-config |
Zkopíruje běžící konfiguraci do spouštěcí konfigurace. |
Konfigurace omezení přístupu NTP
- Přístup ke službám NTP můžete řídit pomocí skupin přístupu. Konkrétně můžete určit typy požadavků, které zařízení povoluje, a servery, ze kterých přijímá odpovědi.
- Pokud nenakonfigurujete žádné přístupové skupiny, přístup NTP bude udělen všem zařízením. Pokud nakonfigurujete jakoukoli přístupovou skupinu, bude přístup NTP udělen pouze vzdálenému zařízení, jehož zdrojová IP adresa splňuje kritéria přístupového seznamu.
- Počínaje verzí Cisco NX-OS Release 7.0(3)I7(3) jsou přístupové skupiny vyhodnocovány následujícím způsobem:
- Bez klíčového slova match-all bude paket hodnocen proti přístupovým skupinám (v pořadí uvedeném níže), dokud nenajde povolení. Pokud povolení není nalezeno, paket je zahozen.
- S klíčovým slovem match-all se paket vyhodnotí proti všem přístupovým skupinám (v pořadí uvedeném níže) a akce se provede na základě posledního úspěšného vyhodnocení (poslední přístupová skupina, kde je nakonfigurován ACL).
- Mapování přístupové skupiny na typ paketu je následující:
- peer—zpracovat klientské, symetrické aktivní, symetrické pasivní, obsluhované, kontrolní a privátní pakety (všechny typy)
- sloužit—zpracovat klientské, kontrolní a soukromé pakety
- pouze pro podávání—zpracovat pouze klientské pakety
- pouze dotaz—pouze řízení procesu a soukromé pakety
- Přístupové skupiny se vyhodnocují v následujícím sestupném pořadí:
- peer (všechny typy paketů)
- obsluhovat (klientské, kontrolní a soukromé pakety)
- dotaz pouze (klientské pakety) nebo dotaz pouze (kontrolní a soukromé pakety)
Postup
| Příkaz or Akce | Účel | |
| Krok 1 | přepínač# nakonfigurovat terminál | Vstoupí do režimu globální konfigurace. |
| Krok 2 | switch(config)# [žádný] ntp access-group match-all | {{peer | sloužit | pouze pro podávání | pouze dotaz }název-seznamu přístupu} | Vytvoří nebo odebere přístupovou skupinu pro řízení přístupu NTP a aplikuje základní seznam IP přístupů.
Možnosti přístupových skupin jsou skenovány v následujícím pořadí, od nejméně omezujících po nejvíce omezující. Pokud však NTP odpovídá pravidlu odmítnutí ACL v nakonfigurovaném peeru, zpracování ACL se zastaví a nepokračuje k další volbě přístupové skupiny. • The peer Klíčové slovo umožňuje zařízení přijímat časové požadavky a řídicí dotazy NTP a synchronizovat se se servery uvedenými v přístupovém seznamu. • The sloužit klíčové slovo umožňuje zařízení přijímat časové požadavky a řídicí dotazy NTP ze serverů uvedených v seznamu přístupů, ale nesynchronizovat se se zadanými servery. • The pouze pro podávání klíčové slovo umožňuje zařízení přijímat pouze časové požadavky ze serverů uvedených v přístupovém seznamu. • The pouze dotaz klíčové slovo umožňuje zařízení přijímat pouze řídicí dotazy NTP ze serverů uvedených v přístupovém seznamu. • The zápas-vše klíčové slovo umožňuje skenovat možnosti přístupové skupiny v následujícím pořadí, od nejméně omezujících po nejvíce omezující: peer, serve, server-only, query-only. Pokud příchozí paket neodpovídá ACL v peer přístupu |
| skupině, přejde do skupiny přístupu k obsluze
být zpracovány. Pokud paket neodpovídá ACL v přístupové skupině pro obsluhu, přejde do skupiny přístupu pouze pro obsluhu atd. Poznámka The zápas-vše Klíčové slovo je k dispozici od verze Cisco NX-OS Release 7.0(3)I6(1). |
||
| Krok 3 | switch(config)# zobrazit přístupové skupiny ntp | (Volitelné) Zobrazuje konfiguraci přístupové skupiny NTP. |
| Krok 4 | (Volitelné) switch(config)# zkopírujte running-config startup-config | Trvale uloží změnu prostřednictvím restartování a restartování zkopírováním běžící konfigurace do spouštěcí konfigurace. |
Example
Tento example ukazuje, jak nakonfigurovat zařízení, aby se mohlo synchronizovat s peerem z přístupové skupiny „accesslist1“:
Konfigurace zdrojové IP adresy NTP
NTP nastavuje zdrojovou IP adresu pro všechny pakety NTP na základě adresy rozhraní, přes které jsou pakety NTP odesílány. NTP můžete nakonfigurovat tak, aby používal konkrétní zdrojovou IP adresu.
Postup
| Příkaz or Akce | Účel | |
| Krok 1 | přepínač# nakonfigurovat terminál | Vstoupí do režimu globální konfigurace. |
| Krok 2 | [žádný] zdroj ntp IP adresa | Konfiguruje zdrojovou IP adresu pro všechny pakety NTP. The IP adresa může být ve formátu IPv4 nebo IPv6. |
Example
Tento exampTento soubor ukazuje, jak nakonfigurovat zdrojovou IP adresu NTP 192.0.2.2.
- switch# konfigurovat terminál
- switch(config)# zdroj ntp 192.0.2.2
Konfigurace zdrojového rozhraní NTP
NTP můžete nakonfigurovat tak, aby používal specifické rozhraní.
Postup
| Příkaz or Akce | Účel | |
| Krok 1 | přepínač# nakonfigurovat terminál | Vstoupí do režimu globální konfigurace. |
| Krok 2 | [žádný] ntp zdrojové rozhraní rozhraní | Konfiguruje zdrojové rozhraní pro všechny pakety NTP. Následující seznam obsahuje platné hodnoty pro rozhraní.
• ethernet • zpětná smyčka • mgmt • port-channel • vlan |
Example
Tento example ukazuje, jak nakonfigurovat zdrojové rozhraní NTP:
- switch# konfigurovat terminál
- switch(config)# ntp zdrojové rozhraní ethernet
Konfigurace vysílacího serveru NTP
Na rozhraní můžete nakonfigurovat server vysílání NTP IPv4. Zařízení pak prostřednictvím tohoto rozhraní pravidelně odesílá pakety všesměrového vysílání. Klient není povinen zasílat odpověď.
Postup
| Příkaz or Akce | Účel | |
| Krok 1 | přepínač# nakonfigurovat terminál | Vstoupí do režimu globální konfigurace. |
| Krok 2 | switch(config)# rozhraní typ slot/port | Vstoupí do režimu konfigurace rozhraní. |
| Krok 3 | switch(config-if)# [ne] ntp vysílání [cíl IP adresa] [klíč ID klíče] [číslo verze] | Povolí vysílací server NTP IPv4 na zadaném rozhraní.
• cíl IP adresa—Konfiguruje cílovou IP adresu vysílání. • klíč ID klíče—Konfiguruje číslo ověřovacího klíče pro vysílání. Rozsah je od 1 do 65535. • číslo verze—Konfiguruje verzi NTP. Rozsah je od 2 do 4. |
| Krok 4 | switch(config-if)# výstup | Ukončí režim konfigurace rozhraní. |
| Krok 5 | (Volitelné) switch(config)# [ne] zpoždění vysílání ntp zpoždění | Konfiguruje odhadované zpáteční zpoždění vysílání v mikrosekundách. Rozsah je od 1 do 999999. |
| Krok 6 | (Volitelné) switch(config)# zkopírujte running-config startup-config | Trvale uloží změnu prostřednictvím restartování a restartování zkopírováním běžící konfigurace do spouštěcí konfigurace. |
Example
Tento example ukazuje, jak nakonfigurovat vysílací server NTP:
- switch# konfigurovat terminál
- switch(config)# rozhraní ethernet 6/1
- switch(config-if)# ntp broadcast destination 192.0.2.10 switch(config-if)# exit
- switch(config)# ntp broadcastdelay 100
- switch(config)# copy running-config startup-config
Konfigurace serveru NTP Multicast Server
Na rozhraní můžete nakonfigurovat server vícesměrového vysílání NTP IPv4 nebo IPv6. Zařízení pak prostřednictvím tohoto rozhraní pravidelně odesílá pakety vícesměrového vysílání.
Postup
| Příkaz or Akce | Účel | |
| Krok 1 | přepínač# nakonfigurovat terminál | Vstoupí do režimu globální konfigurace. |
| Krok 2 | switch(config)# rozhraní typ slot/port | Vstoupí do režimu konfigurace rozhraní. |
| Krok 3 | switch(config-if)# [ne] ntp multicast [ipv4-adresa | ipv6-adresa] [klíč ID klíče] [hodnota ttl] [číslo verze] | Povolí server vícesměrového vysílání NTP IPv4 nebo IPv6 na zadaném rozhraní.
• ipv4-adresa or ipv6-adresa— Multicast IPv4 nebo IPv6 adresa. |
| • klíč ID klíče—Konfiguruje vysílání
číslo autentizačního klíče. Rozsah je od 1 do 65535. • hodnota ttl—Hodnota doby trvání multicastových paketů. Rozsah je od 1 do 255. • verze číslo— Verze NTP. Rozsah je od 2 do 4. |
||
| Krok 4 | (Volitelné) switch(config-if)# zkopírujte running-config startup-config | Trvale uloží změnu prostřednictvím restartování a restartování zkopírováním běžící konfigurace do spouštěcí konfigurace. |
Example
Tento example ukazuje, jak nakonfigurovat rozhraní Ethernet pro odesílání paketů NTP multicast:
- switch# konfigurovat terminál
- switch(config)# rozhraní ethernet 2/2
- switch(config-if)# ntp multicast FF02::1:FF0E:8C6C
- switch(config-if)# copy running-config startup-config
Konfigurace klienta NTP Multicast
Klienta vícesměrového vysílání NTP můžete nakonfigurovat na rozhraní. Zařízení poté naslouchá zprávám vícesměrového vysílání NTP a zahazuje všechny zprávy, které přicházejí z rozhraní, pro které není vícesměrové vysílání nakonfigurováno.
Postup
| Příkaz or Akce | Účel | |
| Krok 1 | přepínač# nakonfigurovat terminál | Vstoupí do režimu globální konfigurace. |
| Krok 2 | switch(config)# rozhraní typ slot/port | Vstoupí do režimu konfigurace rozhraní. |
| Krok 3 | switch(config-if)# [ne] ntp multicast klient [ipv4-adresa | ipv6-adresa] | Umožňuje určenému rozhraní přijímat pakety vícesměrového vysílání NTP. |
| Krok 4 | (Volitelné) switch(config-if)# zkopírujte running-config startup-config | Trvale uloží změnu prostřednictvím restartování a restartování zkopírováním běžící konfigurace do spouštěcí konfigurace. |
Example
Tento example ukazuje, jak nakonfigurovat ethernetové rozhraní pro příjem NTP multicast paketů:
- switch# konfigurovat terminál
- switch(config)# rozhraní ethernet 2/3
- switch(config-if)# ntp multicastový klient FF02::1:FF0E:8C6C
- switch(config-if)# copy running-config startup-config
Konfigurace protokolování NTP
Můžete nakonfigurovat protokolování NTP za účelem generování systémových protokolů s významnými událostmi NTP. Protokolování NTP je ve výchozím nastavení zakázáno.
Postup
| Příkaz or Akce | Účel | |
| Krok 1 | přepínač# nakonfigurovat terminál | Vstoupí do režimu globální konfigurace. |
| Krok 2 | switch(config)# [žádný] protokolování ntp | Povolí nebo zakáže generování systémových protokolů s významnými událostmi NTP. Protokolování NTP je ve výchozím nastavení zakázáno. |
| Krok 3 | (Volitelné) switch(config)# zobrazit stav protokolování ntp | Zobrazuje stav konfigurace protokolování NTP. |
| Krok 4 | (Volitelné) switch(config)# zkopírujte running-config startup-config | Trvale uloží změnu prostřednictvím restartování a restartování zkopírováním běžící konfigurace do spouštěcí konfigurace. |
Example
Následující example ukazuje, jak povolit protokolování NTP za účelem generování systémových protokolů s významnými událostmi NTP:
- switch# konfigurovat terminál
- switch(config)# protokolování ntp
- switch(config)# copy running-config startup-config [##################################### ###] 100 %
- switch(config)#
Povolení distribuce CFS pro NTP
Můžete povolit distribuci CFS pro NTP, abyste mohli distribuovat konfiguraci NTP na další zařízení s podporou CFS.
Než začnete
Ujistěte se, že jste pro zařízení povolili distribuci CFS.
Postup
| Příkaz or Akce | Účel | |
| Krok 1 | přepínač# nakonfigurovat terminál | Vstoupí do režimu globální konfigurace. |
| Krok 2 | switch(config)# [žádný] ntp distribuovat | Povolí nebo zakáže zařízení přijímat aktualizace konfigurace NTP, které jsou distribuovány prostřednictvím CFS. |
| Krok 3 | (Volitelné) switch(config)# zobrazit stav ntp | Zobrazuje stav distribuce NTP CFS. |
| Krok 4 | (Volitelné) switch(config)# zkopírujte running-config startup-config | Trvale uloží změnu prostřednictvím restartování a restartování zkopírováním běžící konfigurace do spouštěcí konfigurace. |
Example
Tento example ukazuje, jak povolit zařízení přijímat aktualizace konfigurace NTP prostřednictvím CFS:
- switch# konfigurovat terminál
- switch(config)# ntp distribute
- switch(config)# copy running-config startup-config
Potvrzení změn konfigurace NTP
Když potvrdíte změny konfigurace NTP, účinná databáze se přepíše změnami konfigurace v databázi čekajících na vyřízení a všechna zařízení v síti obdrží stejnou konfiguraci.
Postup
| Příkaz or Akce | Účel | |
| Krok 1 | přepínač# nakonfigurovat terminál | Vstoupí do režimu globální konfigurace. |
| Krok 2 | switch(config)# ntp commit | Distribuuje změny konfigurace NTP na všechna zařízení Cisco NX-OS v síti a uvolňuje zámek CFS. Tento příkaz přepíše skutečnou databázi změnami provedenými v čekající databázi. |
Zahození změn konfigurace NTP
Po provedení změn konfigurace se můžete rozhodnout, že změny místo potvrzení zrušíte. Pokud změny zahodíte, Cisco NX-OS odstraní nevyřízené změny databáze a uvolní zámek CFS.
Postup
| Příkaz or Akce | Účel | |
| Krok 1 | přepínač# nakonfigurovat terminál | Vstoupí do režimu globální konfigurace. |
| Krok 2 | switch(config)# ntp přerušit | Zahodí změny konfigurace NTP v nevyřízené databázi a uvolní zámek CFS. Použijte tento příkaz na zařízení, kde jste spustili konfiguraci NTP. |
Uvolnění zámku relace CFS
Pokud jste provedli konfiguraci NTP a zapomněli jste uvolnit zámek potvrzením nebo zrušením změn, můžete vy nebo jiný správce uvolnit zámek z libovolného zařízení v síti. Tato akce také zruší nevyřízené změny databáze.
Postup
| Příkaz or Akce | Účel | |
| Krok 1 | přepínač# nakonfigurovat terminál | Vstoupí do režimu globální konfigurace. |
| Krok 2 | switch(config)# vymazat ntp relaci | Zahodí změny konfigurace NTP v nevyřízené databázi a uvolní zámek CFS. |
Ověření konfigurace NTP
| Příkaz | Účel |
| zobrazit přístupové skupiny ntp | Zobrazuje konfiguraci přístupové skupiny NTP. |
| zobrazit autentizační klíče ntp | Zobrazuje nakonfigurované ověřovací klíče NTP. |
| zobrazit stav autentizace ntp | Zobrazuje stav ověřování NTP. |
| zobrazit stav protokolování ntp | Zobrazuje stav protokolování NTP. |
| zobrazit ntp peer-status | Zobrazuje stav všech serverů NTP a protějšků. |
| zobrazit ntp peer | Zobrazí všechny partnery NTP. |
| zobrazit čekající ntp | Zobrazí dočasnou databázi CFS pro NTP. |
| zobrazit ntp čekající-rozdíl | Zobrazuje rozdíl mezi nevyřízenou databází CFS a aktuální konfigurací NTP. |
| zobrazit ntp rts-update | Zobrazuje stav aktualizace RTS. |
| zobrazit stav relace ntp | Zobrazuje informace o relaci distribuce NTP CFS. |
| zobrazit zdroj ntp | Zobrazuje nakonfigurovanou zdrojovou IP adresu NTP. |
| zobrazit zdrojové rozhraní ntp | Zobrazuje nakonfigurované zdrojové rozhraní NTP. |
| zobrazit statistiky ntp {io | místní | paměť | peer
{ipaddr {ipv4-addr} | jméno peer-name}} |
Zobrazí statistiku NTP. |
| zobrazit stav ntp | Zobrazuje stav distribuce NTP CFS. |
| zobrazit důvěryhodné klíče ntp | Zobrazuje nakonfigurované důvěryhodné klíče NTP. |
| zobrazit running-config ntp | Zobrazí informace NTP. |
Konfigurace Přamples pro NTP
Konfigurace Přamples pro NTP
- Tento exampTento soubor ukazuje, jak nakonfigurovat NTP server a peer, povolit ověřování NTP, povolit protokolování NTP a poté uložit konfiguraci spouštění, aby byla uložena po restartu a restartu:
- Tento exampsoubor zobrazuje konfiguraci přístupové skupiny NTP s následujícími omezeními:
- Na IP adresy, které splňují kritéria přístupového seznamu s názvem „peer-acl“, se použijí peer omezení.
- Omezení poskytování se vztahují na adresy IP, které splňují kritéria přístupového seznamu s názvem „serve-acl“.
- Omezení pouze pro poskytování se vztahují na adresy IP, které splňují kritéria přístupového seznamu s názvem „serve-only-acl“.
- Na IP adresy, které splňují kritéria přístupového seznamu s názvem „query-only-acl“, se vztahují omezení pouze pro dotazy.
Dokumenty / zdroje
 |
Navrženo pokročilý síťový operační systém CISCO NX-OS [pdfUživatelská příručka Navržen pokročilý síťový operační systém NX-OS, NX-OS, pokročilý síťový operační systém navržen, síťový operační systém navržen, operační systém navržen, systém navržen, navržen |
