Tartalom elrejt
1 CISCO NX-OS fejlett hálózati operációs rendszert terveztek
2 Termékleírások
3 A termék használati útmutatója
4 GYIK
5 Információ az NTP-ről
6 NTP időkiszolgálóként
7 NTP terjesztése CFS használatával
8 Órakezelő
9 Magas rendelkezésre állás
10 Virtualizációs támogatás
11 Az NTP előfeltételei
12 Az NTP irányelvei és korlátozásai
13 Alapértelmezett beállítások
14 Az NTP konfigurálása
15 Az NTP konfiguráció ellenőrzése
16 Konfiguráció plamples az NTP-hez
17 Dokumentumok / Források
17.1 Hivatkozások
18 Kapcsolódó bejegyzések

CISCO logó

CISCO NX-OS fejlett hálózati operációs rendszert terveztek

CISCO-NX-OS-Advanced-Network-Operating-System-Designed-product

Termékleírások

  • Időszinkronizálási protokoll: NTP (Network Time Protocol)
  • Támogatás: Cisco NX-OS
  • Jellemzők: NTP időszerver konfiguráció, NTP peer kapcsolatok, biztonsági szolgáltatások, virtualizáció támogatása

A termék használati útmutatója

Az NTP beállítása az időszinkronizáláshoz
Mielőtt szinkronizálná hálózati eszközét az NTP-kiszolgálókkal, vegye figyelembe a következő irányelveket:

  1. Az NTP összehasonlítja a különböző eszközök által jelentett időt, és elkerüli a szinkronizálást jelentősen eltérő időforrásokkal.
  2. Ha nem tud csatlakozni az 1. réteg kiszolgálójához, használja az interneten elérhető nyilvános NTP-szervereket a szinkronizáláshoz.
  3. Ha az internet-hozzáférés korlátozott, konfigurálja a helyi időbeállításokat úgy, mintha az NTP-n keresztül szinkronizálná.

NTP Peer kapcsolatok létrehozása
Az időkiszolgáló gazdagépek szinkronizálásra való kijelölése és a pontos idő biztosítása szerverhiba esetén:

  • Hozzon létre NTP-társ kapcsolatokat a kívánt gazdagépekkel.
  • Használjon hozzáférési lista alapú korlátozásokat vagy titkosított hitelesítési mechanizmusokat a fokozott biztonság érdekében.

NTP konfiguráció elosztása CFS használatával
A Cisco Fabric Services (CFS) lehetővé teszi a helyi NTP-konfigurációk elosztását a hálózaton keresztül. Kövesse az alábbi lépéseket:

  1. Engedélyezze a CFS-t az eszközén, hogy a hálózat egészére kiterjedő zárolást kezdeményezzen az NTP-konfiguráción.
  2. A konfigurációs módosítások után dobja el, vagy hagyja jóvá a CFS-zár feloldásához.

Magas szintű rendelkezésre állás és virtualizációs támogatás
Biztosítsa az NTP magas szintű rendelkezésre állását és virtualizációs támogatását:

  • Az NTP-társak konfigurálása redundanciához szerverhiba esetén.
  • Virtuális útválasztási és továbbítási (VRF) példányok felismerése az NTP működéséhez.

GYIK

  • Előfeltételek és irányelvek az NTP konfigurálásához
    • Előfeltételek: Biztosítsa a hálózati kapcsolatot és a kívánt NTP-szerverekhez való hozzáférést.
    • Irányelvek: Használjon biztonsági funkciókat, például hozzáférési listákat és hitelesítést a biztonságos időszinkronizáláshoz.
  • Alapértelmezett NTP-beállítások
    • Az NTP alapértelmezés szerint minden interfészhez engedélyezett.
    • Passzív NTP Engedélyezett asszociációk létrehozásához.
    • NTP-hitelesítés alapértelmezés szerint ki van kapcsolva.
    • NTP hozzáférés engedélyezve minden interfésznél.
    • NTP broadcast szerver Alapértelmezett beállításként letiltva.

Információ az NTP-ről

  • A Network Time Protocol (NTP) szinkronizálja a napszakot az elosztott időkiszolgálók és kliensek között, így az eseményeket korrelálni tudja, amikor rendszernaplókat és egyéb időspecifikus eseményeket kap több hálózati eszköztől. Az NTP a Da felhasználót használjatagram Protocol (UDP) mint szállítási protokoll. Minden NTP-kommunikáció a koordinált világidőt (UTC) használja.
  • Az NTP-kiszolgáló általában egy mérvadó időforrástól kapja idejét, például egy rádióórától vagy egy időkiszolgálóhoz csatlakoztatott atomórától, majd ezt az időt szétosztja a hálózaton. Az NTP rendkívül hatékony; percenként legfeljebb egy csomagra van szükség két gép egy ezredmásodperces pontosságú szinkronizálásához.
  • Az NTP egy réteget használ a hálózati eszköz és a mérvadó időforrás közötti távolság leírására:
    • A réteg 1 időszerver közvetlenül egy mérvadó időforráshoz (például rádió- vagy atomórához vagy GPS-időforráshoz) csatlakozik.
    • A 2. rétegű NTP-kiszolgáló az idejét az NTP-n keresztül kapja az 1. rétegű szervertől.
  • Szinkronizálás előtt az NTP összehasonlítja a több hálózati eszköz által jelentett időt, és nem szinkronizál egy lényegesen eltérővel, még akkor sem, ha az 1. réteg. Mivel a Cisco NX-OS nem tud rádióhoz vagy atomórához csatlakozni, és rétegként működik 1 szerveren, javasoljuk, hogy használja az interneten elérhető nyilvános NTP-szervereket. Ha a hálózat el van szigetelve az internettől, a Cisco NX-OS lehetővé teszi, hogy úgy konfigurálja az időt, mintha NTP-n keresztül szinkronizálták volna, még akkor is, ha nem.
    Jegyzet
    Létrehozhat NTP-társ kapcsolatokat, hogy kijelölje azokat az időkiszolgáló gazdagépeket, amelyekkel a hálózati eszköznek fontolóra kell vennie a szinkronizálást, és hogy kiszolgálóhiba esetén pontos időt tartson.
  • Az eszközön tárolt idő kritikus erőforrás, ezért erősen javasoljuk, hogy használja az NTP biztonsági funkcióit, hogy elkerülje a véletlen vagy rosszindulatú helytelen időbeállítást. Két mechanizmus áll rendelkezésre: egy hozzáférési lista alapú korlátozási séma és egy titkosított hitelesítési mechanizmus.

NTP időkiszolgálóként

Más eszközök időszerverként konfigurálhatják. Az eszközt úgy is beállíthatja, hogy hiteles NTP-kiszolgálóként működjön, lehetővé téve az idő elosztását még akkor is, ha nincs szinkronizálva külső időforrással.

NTP terjesztése CFS használatával

  • A Cisco Fabric Services (CFS) elosztja a helyi NTP-konfigurációt a hálózat összes Cisco-eszközéhez.
  • Miután engedélyezte a CFS-t az eszközön, az egész hálózatra kiterjedő zárolást alkalmaznak az NTP-re, amikor elindul egy NTP-konfiguráció. Az NTP-konfiguráció módosításainak elvégzése után elveheti vagy véglegesítheti azokat.
  • Mindkét esetben a CFS-zárolás feloldódik az NTP-alkalmazásból.

Órakezelő

  • Az órák olyan erőforrások, amelyeket meg kell osztani a különböző folyamatok között.
  • Lehetséges, hogy több időszinkronizálási protokoll, például az NTP és a Precision Time Protocol (PTP) fut a rendszerben.

Magas rendelkezésre állás

  • Az állapot nélküli újraindítások támogatottak az NTP esetén. Újraindítás vagy felügyeleti váltás után a futó konfiguráció kerül alkalmazásra.
  • Beállíthatja az NTP-társakat, hogy redundanciát biztosítsanak egy NTP-kiszolgáló meghibásodása esetén.

Virtualizációs támogatás

Az NTP felismeri a virtuális útválasztási és továbbítási (VRF) példányokat. Az NTP az alapértelmezett VRF-et használja, ha nem konfigurál egy adott VRF-et az NTP-kiszolgálóhoz és az NTP-társhoz.

Az NTP előfeltételei

Az NTP a következő előfeltételekkel rendelkezik:
Az NTP konfigurálásához csatlakoznia kell legalább egy NTP-t futtató szerverhez.

Az NTP irányelvei és korlátozásai

Az NTP a következő konfigurációs irányelvekkel és korlátozásokkal rendelkezik:

  • A show ntp session status CLI parancs nem mutatja az utolsó műveleti időt stamp, az utolsó művelet, az utolsó művelet eredménye és az utolsó művelet sikertelenségének oka.
  • Az NTP-kiszolgáló funkciói támogatottak.
  • Csak akkor érdemes társtársítást létrehozni egy másik eszközzel, ha biztos abban, hogy órája megbízható (ami azt jelenti, hogy Ön egy megbízható NTP-szerver kliense).
  • Az egyedül konfigurált társ kiszolgáló szerepét tölti be, és tartalékként kell használni. Ha két szervere van, beállíthat több eszközt úgy, hogy az egyik kiszolgálóra mutasson, a többi eszköz pedig a másik kiszolgálóra mutasson. Ezután konfigurálhat egyenrangú társítást a két kiszolgáló között, hogy megbízhatóbb NTP-konfigurációt hozzon létre.
  • Ha csak egy szervere van, akkor az összes eszközt kliensként kell beállítania a szerverhez.
  • Legfeljebb 64 NTP-entitást konfigurálhat (szervert és társat).
  • Ha a CFS le van tiltva az NTP-hez, az NTP nem terjeszt semmilyen konfigurációt, és nem fogad el terjesztést a hálózat más eszközeiről.
  • Miután a CFS-terjesztés engedélyezve van az NTP-hez, az NTP-konfigurációs parancs bevitele zárolja a hálózatot az NTP-konfigurációhoz mindaddig, amíg meg nem adják a véglegesítési parancsot. A zárolás alatt a hálózat egyetlen más eszköze sem módosíthatja az NTP-konfigurációt, kivéve a zárolást kezdeményező eszközt.
  • Ha CFS-t használ az NTP terjesztésére, akkor a hálózat összes eszközén ugyanazokat a VRF-eket kell beállítani, mint az NTP-hez.
  • Ha az NTP-t VRF-ben konfigurálja, győződjön meg arról, hogy az NTP-kiszolgáló és a társak elérhetik egymást a konfigurált VRF-eken keresztül.
  • Manuálisan kell elosztania az NTP-hitelesítési kulcsokat az NTP-kiszolgálón és a Cisco NX-OS-eszközökön a hálózaton keresztül.
  • Ha a kapcsolót szélső eszközként használja, és NTP-t szeretne használni, a Cisco azt javasolja, hogy használja az ntp access-group parancsot, és csak a szükséges peremeszközökre szűrje az NTP-t.
  • Ha a rendszer ntp passzív, ntp broadcast kliens vagy ntp multicast kliens parancsokkal van konfigurálva, amikor az NTP bejövő szimmetrikus aktív, broadcast vagy multicast csomagot kap, akkor átmeneti társtársítást tud létrehozni a feladóval való szinkronizálás érdekében. .
    Jegyzet
    A fenti parancsok bármelyikének engedélyezése előtt győződjön meg arról, hogy megadta az ntp hitelesítést. Ennek elmulasztása esetén eszköze szinkronizálni tud minden olyan eszközzel, amely a fenti csomagtípusok valamelyikét küldi, beleértve a rosszindulatú támadók által vezérelt eszközöket is.
  • Ha az ntp authenticate parancs meg van adva, akkor szimmetrikus aktív, broadcast vagy multicast csomag fogadásakor a rendszer nem szinkronizál a partnerrel, hacsak a csomag nem hordozza az ntp megbízható kulcs globális konfigurációs parancsában meghatározott hitelesítési kulcsok egyikét.
  • A jogosulatlan hálózati gazdagépekkel való szinkronizálás elkerülése érdekében az ntp hitelesítési parancsot minden alkalommal meg kell adni, amikor az ntp passzív, ntp broadcast kliens vagy ntp multicast kliens parancsot adják meg, kivéve, ha más intézkedéseket, például az ntp access-group parancsot tettek. megakadályozza, hogy illetéktelen gazdagépek kommunikáljanak az eszköz NTP-szolgáltatásával.
  • Az ntp authenticate parancs nem hitelesíti az ntp szerveren és az ntp peer konfigurációs parancsokon keresztül konfigurált társtársításokat. Az ntp szerver és az ntp társtársítások hitelesítéséhez adja meg a kulcsszót.
  • Használjon NTP broadcast vagy multicast asszociációkat, ha az időpontossági és megbízhatósági követelmények szerények, a hálózat lokalizált, és a hálózatnak több mint 20 kliense van. Javasoljuk, hogy NTP-szórással vagy csoportos küldéssel társításokat használjon korlátozott sávszélességgel, rendszermemóriával vagy CPU-erőforrásokkal rendelkező hálózatokban.
  • Egyetlen NTP hozzáférési csoporthoz legfeljebb négy ACL konfigurálható.
    Jegyzet Az időpontosság kismértékben csökken az NTP műsorszórási asszociációkban, mivel az információ csak egy irányba áramlik.

Alapértelmezett beállítások

A következők az NTP-paraméterek alapértelmezett beállításai.

Paraméterek Alapértelmezett
NTP Minden interfészhez engedélyezve
Passzív NTP (lehetővé teszi az NTP-nek asszociációk létrehozását) Engedélyezve
NTP hitelesítés Letiltva
NTP hozzáférés Engedélyezve
Az NTP hozzáférési csoport megfelel az összesnek Letiltva
NTP broadcast szerver Letiltva
NTP multicast szerver Letiltva
NTP multicast kliens Letiltva
NTP naplózás Letiltva

Az NTP konfigurálása

Az NTP engedélyezése vagy letiltása interfészen
Egy adott felületen engedélyezheti vagy letilthatja az NTP-t. Az NTP alapértelmezés szerint minden interfészen engedélyezve van.

Eljárás

Parancs or Akció Cél
1. lépés kapcsoló# konfigurálja a terminált Belép a globális konfigurációs módba.
2. lépés switch(config)# felület típusú slot/port Belép az interfész konfigurációs módba.
3. lépés switch(config-if)# [no] ntp letiltása {ip | ipv6} Letiltja az NTP IPv4-et vagy IPv6-ot a megadott interfészen.

Használja a nem ennek a parancsnak a formája az NTP újraengedélyezéséhez az interfészen.
4. lépés (Opcionális) switch(config-if)# másolja a running-config startup-config Folyamatosan menti a változást az újraindítások és újraindítások révén, a futó konfigurációt az indítási konfigurációba másolva.

Example
A következő plample mutatja, hogyan lehet engedélyezni vagy letiltani az NTP-t egy interfészen:

  • switch# configure terminál
  • switch(config)# interfész ethernet 6/1
  • switch(config-if)# ntp letiltja az ip-t
  • switch(config-if)# copy running-config startup-config

Az eszköz konfigurálása hiteles NTP-kiszolgálóként
Az eszközt beállíthatja úgy, hogy hiteles NTP-kiszolgálóként működjön, lehetővé téve az idő elosztását még akkor is, ha nincs szinkronizálva egy meglévő időkiszolgálóval.

Eljárás

Parancs or Akció Cél
1. lépés kapcsoló# konfigurálja a terminált Belép a globális konfigurációs módba.
Parancs or Akció Cél
1. lépés kapcsoló# konfigurálja a terminált Belép a globális konfigurációs módba.

Example
Ez az example mutatja, hogyan kell a Cisco NX-OS eszközt hiteles NTP-kiszolgálóként konfigurálni, eltérő rétegszinttel:

  • switch# configure terminál
  • Adja meg a konfigurációs parancsokat, soronként egyet. Vége a CNTL/Z-vel.
  • switch(config)# ntp master 5

NTP-kiszolgáló és egyenrangú konfigurálása
Beállíthat egy NTP-kiszolgálót és egyenrangú partnert.

Mielőtt elkezdené
Győződjön meg arról, hogy ismeri az NTP-kiszolgáló és társaik IP-címét vagy DNS-nevét.

Eljárás

Parancs or Akció Cél
1. lépés kapcsoló# konfigurálja a terminált Belép a globális konfigurációs módba.
2. lépés switch(config)# [nem] ntp szerver {IP-cím | ipv6-cím | DNS-név} [kulcsfontosságú kulcs-azonosító] [maxpoll max-poll] [minpoll min-poll] [inkább] [use-vrf vrf-név] Társulást hoz létre egy szerverrel.

Használja a kulcsfontosságú kulcsszó az NTP-kiszolgálóval való kommunikáció során használandó kulcs konfigurálásához.

A tartomány a kulcs-azonosító Az argumentum 1 és 65535 között van.

Használja a maxpoll és minpoll kulcsszavak a szerver lekérdezésének maximális és minimális intervallumának beállításához. A tartomány a max-poll és min-poll argumentum 4-től

16 (2-es hatványként konfigurálva, tehát gyakorlatilag 16-65536 másodperc), és az alapértelmezett értékek
6, illetve 4 (maxpoll alapértelmezett = 64

másodperc, minpoll alapértelmezett = 16 másodperc).

Használja a inkább kulcsszót hogy ez legyen az eszköz preferált NTP-kiszolgálója.

Használja a use-vrf kulcsszó az NTP-kiszolgáló konfigurálásához, hogy a megadott VRF-en keresztül kommunikáljon.

A vrf-név Az argumentum lehet alapértelmezett, felügyeleti vagy bármilyen, legfeljebb 32 karakter hosszúságú alfanumerikus karakterlánc.

Jegyzet                 Ha az NTP-kiszolgálóval való kommunikáció során használandó kulcsot konfigurál, győződjön meg arról, hogy a kulcs megbízható kulcsként létezik az eszközön.
3. lépés switch(config)# [nem] ntp peer {IP-cím | ipv6-cím | DNS-név} [kulcsfontosságú kulcs-azonosító] [maxpoll max-poll] [minpoll min-poll] [inkább] [use-vrf vrf-név] Társulást alakít ki társával. Több társtársítást is megadhat.

Használja a kulcsfontosságú kulcsszó az NTP-társsal való kommunikáció során használandó kulcs konfigurálásához. A tartomány a kulcs-azonosító Az argumentum 1 és 65535 között van.

Használja a maxpoll és minpoll kulcsszavak a szerver lekérdezésének maximális és minimális intervallumának beállításához. A tartomány a max-poll és min-poll Az argumentumok értéke 4 és 17 között van (2-es hatványként van beállítva, tehát gyakorlatilag 16 és 131072 másodperc között van), az alapértelmezett értékek pedig 6 és 4 (maxpoll alapértelmezett = 64 másodperc, minpoll alapértelmezett = 16 másodperc).

Használja a inkább kulcsszót, hogy ez legyen az eszköz preferált NTP-társa.

Használja a use-vrf kulcsszó az NTP-társ konfigurálásához, hogy a megadott VRF-en keresztül kommunikáljon. Az vrf-név érv lehet alapértelmezett , menedzsment , vagy bármilyen, legfeljebb 32 karakter hosszúságú alfanumerikus karakterlánc.
4. lépés (Opcionális) kapcsoló (config)# mutasd meg az ntp társakat Megjeleníti a konfigurált szervert és a társakat.

Jegyzet                 A tartománynév feloldása csak akkor történik meg, ha be van állítva DNS-kiszolgáló.
5. lépés (Opcionális) kapcsoló (config)# másolja a running-config startup-config Folyamatosan menti a változást az újraindítások és újraindítások révén, a futó konfigurációt az indítási konfigurációba másolva.

Az NTP-hitelesítés konfigurálása
Beállíthatja az eszközt, hogy hitelesítse azokat az időforrásokat, amelyekhez a helyi óra szinkronizálva van. Ha engedélyezi az NTP-hitelesítést, az eszköz csak akkor szinkronizál egy időforrással, ha a forrás az ntp trusted-key parancsban meghatározott hitelesítési kulcsok egyikét hordozza. Az eszköz eldob minden olyan csomagot, amely sikertelen a hitelesítési ellenőrzésen, és megakadályozza, hogy frissítsék a helyi órát. Az NTP-hitelesítés alapértelmezés szerint le van tiltva.

Mielőtt elkezdené
Az NTP-kiszolgálók és az NTP-társak hitelesítése társításonkénti alapon történik az egyes ntp-kiszolgálók és ntp-társ parancsok kulcsszavainak használatával. Győződjön meg arról, hogy az összes NTP-kiszolgáló és társtársítást azokkal a hitelesítési kulcsokkal konfigurálta, amelyeket ebben az eljárásban kíván megadni. Minden olyan ntp szerver vagy ntp peerparancs, amely nem adja meg a kulcsszót, hitelesítés nélkül is tovább működik.

Eljárás

Parancs or Akció Cél
1. lépés konfigurálja a terminált

Example:

kapcsoló# konfigurálás terminálkapcsoló(konfig)#

 Belép a globális konfigurációs módba.
2. lépés [nem] ntp hitelesítési kulcs szám md5

md5-string

Example:

switch(config)# ntp hitelesítési kulcs

42 md5 aNiceKey

 Meghatározza a hitelesítési kulcsokat. Az eszköz nem szinkronizál időforrással, kivéve, ha a forrás rendelkezik ezen hitelesítési kulcsok egyikével, és a kulcsszámot a ntp megbízható kulcs szám parancs.

A hitelesítési kulcsok tartománya 1 és 65535 között van. Az MD5 karakterlánchoz legfeljebb nyolc alfanumerikus karaktert adhat meg.
3. lépés ntp szerver IP-cím kulcsfontosságú kulcs-azonosító

Example:

switch(config)# ntp szerver 192.0.2.1 kulcs 1001

 Engedélyezi a megadott NTP-kiszolgáló hitelesítését, társítást hozva létre a szerverrel.

Használja a kulcsfontosságú kulcsszó az NTP-kiszolgálóval való kommunikáció során használandó kulcs konfigurálásához. A tartomány a kulcs-azonosító Az argumentum 1 és 65535 között van.

A hitelesítés megköveteléséhez a kulcsfontosságú kulcsszót kell használni. Bármi ntp szerver or ntp peer parancsok, amelyek nem adják meg a kulcsfontosságú kulcsszó hitelesítés nélkül is működni fog.
4. lépés (Választható) mutasd meg az ntp hitelesítési kulcsokat

Example:

switch(config)# ntp hitelesítési kulcsok megjelenítése

 Megjeleníti a konfigurált NTP hitelesítési kulcsokat.
5. lépés [nem] ntp megbízható kulcs szám

Example:

switch(config)# ntp megbízható kulcs 42

 Meghatároz egy vagy több kulcsot (a 2. lépésben meghatározott), amelyeket egy konfigurálatlan távoli szimmetrikus, broadcast és multicast időforrásnak biztosítania kell az NTP-csomagjaiban ahhoz, hogy az eszköz szinkronizálni tudjon vele. A megbízható kulcsok tartománya 1 és 65535 között van.

Ez a parancs védelmet nyújt az eszköz véletlenül nem megbízható időforrással történő szinkronizálása ellen.
6. lépés (Választható) ntp megbízható kulcsok megjelenítése

Example:

switch(config)# ntp megbízható kulcsok megjelenítése

 Megjeleníti a konfigurált megbízható NTP-kulcsokat.
7. lépés [nem] ntp hitelesítés

Example:

switch(config)# ntp hitelesítés

 Engedélyezi vagy letiltja az ntp passzív, ntp broadcast kliens és ntp csoportos küldés hitelesítését. Az NTP-hitelesítés alapértelmezés szerint le van tiltva.
8. lépés (Választható) ntp hitelesítési állapot megjelenítése

Example:

switch(config)# ntp hitelesítési állapot megjelenítése

 Megjeleníti az NTP-hitelesítés állapotát.
9. lépés (Választható) másolat running-config startup-config

Example:

switch(config)# másolás running-config startup-config

 A futó konfigurációt az indítási konfigurációba másolja.

Az NTP hozzáférési korlátozások konfigurálása

  • Az NTP-szolgáltatásokhoz való hozzáférést hozzáférési csoportok használatával szabályozhatja. Pontosabban megadhatja, hogy az eszköz milyen típusú kéréseket engedélyez, és mely kiszolgálóktól fogadja a válaszokat.
  • Ha nem konfigurál egyetlen hozzáférési csoportot sem, az NTP hozzáférést minden eszköz megkapja. Ha bármilyen hozzáférési csoportot konfigurál, az NTP-hozzáférést csak az a távoli eszköz kapja meg, amelynek forrás IP-címe megfelel a hozzáférési lista feltételeinek.
  • A Cisco NX-OS 7.0(3)I7(3) kiadásától kezdve a hozzáférési csoportok kiértékelése a következő módszerrel történik:
    • A match-all kulcsszó nélkül a csomag kiértékelésre kerül a hozzáférési csoportokhoz képest (az alább említett sorrendben), amíg engedélyt nem talál. Ha nem talál engedélyt, a csomag eldobásra kerül.
    • A match-all kulcsszó esetén a csomag kiértékeli az összes hozzáférési csoportot (az alább említett sorrendben), és a művelet az utolsó sikeres kiértékelés alapján történik (az utolsó hozzáférési csoport, ahol ACL van konfigurálva).
  • A hozzáférési csoport hozzárendelése a csomag típusához a következő:
    • egyenrangú– Process kliens, szimmetrikus aktív, szimmetrikus passzív, kiszolgálás, vezérlés és privát csomagok (minden típus)
    • szolgál– kliens, vezérlő és privát csomagok feldolgozása
    • csak kiszolgálás– csak az ügyfélcsomagokat dolgozza fel
    • csak lekérdezés– csak folyamatvezérlés és privát csomagok
  • A hozzáférési csoportok értékelése a következő csökkenő sorrendben történik:
    1. peer (minden csomagtípus)
    2. kiszolgálás (kliens, vezérlő és privát csomagok)
    3. csak lekérdezés (kliens csomagok) vagy csak lekérdezés (vezérlő és privát csomagok)

Eljárás

Parancs or Akció Cél
1. lépés kapcsoló# konfigurálja a terminált Belép a globális konfigurációs módba.
2. lépés switch(config)# [nem] ntp access-group match-all | {{egyenrangú | szolgál | csak kiszolgálás | csak lekérdezés }hozzáférési listanév} Létrehoz vagy eltávolít egy hozzáférési csoportot az NTP-hozzáférés szabályozásához, és alkalmaz egy alapvető IP-hozzáférési listát.

A hozzáférési csoport beállításait a rendszer a következő sorrendben vizsgálja, a legkevésbé korlátozótól a leginkább korlátozóig. Ha azonban az NTP megfelel egy megtagadó ACL-szabálynak egy konfigurált partnerben, az ACL-feldolgozás leáll, és nem folytatódik a következő hozzáférési csoport opcióval.

• A egyenrangú A kulcsszó lehetővé teszi az eszköz számára, hogy fogadja az időkéréseket és az NTP-vezérlő lekérdezéseket, és szinkronizálja magát a hozzáférési listában megadott szerverekkel.

• A szolgál A kulcsszó lehetővé teszi, hogy az eszköz időkéréseket és NTP-vezérlő lekérdezéseket fogadjon a hozzáférési listában megadott szerverekről, de nem szinkronizálja magát a megadott szerverekkel.

• A csak kiszolgálás kulcsszó lehetővé teszi, hogy az eszköz csak időkéréseket fogadjon a hozzáférési listában megadott szerverektől.

• A csak lekérdezés kulcsszó lehetővé teszi, hogy az eszköz csak NTP-vezérlő lekérdezéseket fogadjon a hozzáférési listában megadott szerverekről.

• A egyezés minden kulcsszó lehetővé teszi a hozzáférési csoport opcióinak ellenőrzését a következő sorrendben, a legkevésbé korlátozótól a leginkább korlátozóig: peer, service, service-only, query-only. Ha a bejövő csomag nem egyezik a peer access ACL-jével
csoport, akkor a szolgáltatás hozzáférési csoporthoz kerül

feldolgozni. Ha a csomag nem egyezik a kiszolgálási hozzáférési csoport ACL-jével, akkor a csak kiszolgálási hozzáférési csoporthoz kerül, és így tovább.

Jegyzet                 A egyezés minden A kulcsszó a Cisco NX-OS 7.0(3)I6(1) kiadásától kezdve érhető el.
3. lépés switch(config)# ntp hozzáférési csoportok megjelenítése (Opcionális) Megjeleníti az NTP hozzáférési csoport konfigurációját.
4. lépés (Opcionális) kapcsoló (config)# másolja a running-config startup-config Folyamatosan menti a változást az újraindítások és újraindítások révén, a futó konfigurációt az indítási konfigurációba másolva.

Example
Ez az example megmutatja, hogyan konfigurálhatja az eszközt úgy, hogy lehetővé tegye az „accesslist1” hozzáférési csoportból származó partnerrel való szinkronizálást:

CISCO-NX-OS-Advanced-Network-Operating-System-Designed-fig-3

Az NTP-forrás IP-címének konfigurálása
Az NTP beállítja az összes NTP-csomag forrás IP-címét annak az interfésznek a címe alapján, amelyen keresztül az NTP-csomagokat küldi. Beállíthatja az NTP-t egy adott forrás IP-cím használatára.

Eljárás

Parancs or Akció Cél
1. lépés kapcsoló# konfigurálja a terminált Belép a globális konfigurációs módba.
2. lépés [nem] ntp forrás IP-cím Beállítja az összes NTP-csomag forrás IP-címét. Az IP-cím lehet IPv4 vagy IPv6 formátumban.

Example
Ez az example megmutatja, hogyan kell konfigurálni a 192.0.2.2 NTP-forrás IP-címét.

  • switch# configure terminál
  • switch(config)# ntp forrás 192.0.2.2

Az NTP-forrás interfész konfigurálása
Beállíthatja az NTP-t egy adott interfész használatára.

Eljárás

Parancs or Akció Cél
1. lépés kapcsoló# konfigurálja a terminált Belép a globális konfigurációs módba.
2. lépés [nem] ntp forrás-interfész felület Az összes NTP-csomag forrásfelületét konfigurálja. A következő lista a következő érvényes értékeit tartalmazza felület.

• Ethernet

• loopback

• mgmt

• port-csatorna

• vlan

Example
Ez az example mutatja, hogyan kell konfigurálni az NTP-forrás interfészét:

  • switch# configure terminál
  • switch(config)# ntp forrás-interfész ethernet

NTP Broadcast Server konfigurálása
Egy interfészen konfigurálhat egy NTP IPv4 broadcast szervert. Az eszköz ezután rendszeres időközönként broadcast csomagokat küld ezen az interfészen keresztül. Az ügyfélnek nem kell választ küldenie.

Eljárás

Parancs or Akció Cél
1. lépés kapcsoló# konfigurálja a terminált Belép a globális konfigurációs módba.
2. lépés switch(config)# felület típusú slot/port Belép az interfész konfigurációs módba.
3. lépés switch(config-if)# [nincs] ntp adás [rendeltetési hely IP-cím] [kulcsfontosságú kulcs-azonosító] [verziószám] Engedélyezi az NTP IPv4 broadcast szervert a megadott interfészen.

•  rendeltetési hely IP-cím— Beállítja a szórási cél IP-címét.

•  kulcsfontosságú kulcs-azonosító— Beállítja a szórási hitelesítési kulcs számát. A tartomány 1 és 65535 között van.

•  verziószám– Az NTP verzió konfigurálása. A tartomány 2 és 4 között van.
4. lépés switch(config-if)# kijárat Kilép az interfész konfigurációs módból.
5. lépés (Opcionális) kapcsoló (config)# [nincs] ntp broadcast késleltetés késleltetés Beállítja a becsült sugárzási oda-vissza késést mikroszekundumban. A tartomány 1 és 999999 XNUMX között van.
6. lépés (Opcionális) kapcsoló (config)# másolja a running-config startup-config Folyamatosan menti a változást az újraindítások és újraindítások révén, a futó konfigurációt az indítási konfigurációba másolva.

Example
Ez az example mutatja, hogyan kell konfigurálni egy NTP broadcast szervert:

  • switch# configure terminál
  • switch(config)# interfész ethernet 6/1
  • switch(config-if)# ntp broadcast cél 192.0.2.10 switch(config-if)# exit
  • switch(config)# ntp broadcast késleltetés 100
  • switch(config)# másolás running-config startup-config

NTP Multicast szerver konfigurálása
Egy interfészen konfigurálhat egy NTP IPv4 vagy IPv6 multicast szervert. Az eszköz ezután rendszeres időközönként multicast csomagokat küld ezen az interfészen keresztül.

Eljárás

Parancs or Akció Cél
1. lépés kapcsoló# konfigurálja a terminált Belép a globális konfigurációs módba.
2. lépés switch(config)# felület típusú slot/port Belép az interfész konfigurációs módba.
3. lépés switch(config-if)# [nincs] ntp multicast [ipv4-cím | ipv6-cím] [kulcsfontosságú kulcs-azonosító] [ttl érték] [verziószám] Engedélyezi az NTP IPv4 vagy IPv6 multicast szervert a megadott interfészen.

•  ipv4-cím or ipv6-cím— Multicast IPv4 vagy IPv6 cím.
•  kulcsfontosságú kulcs-azonosító— Beállítja az adást

hitelesítési kulcs száma. A tartomány 1 és 65535 között van.

•  ttl érték– A csoportos küldési csomagok élettartama. A tartomány 1 és 255 között van.

•  változat szám-NTP verzió. A tartomány 2 és 4 között van.
4. lépés (Opcionális) switch(config-if)# másolja a running-config startup-config Folyamatosan menti a változást az újraindítások és újraindítások révén, a futó konfigurációt az indítási konfigurációba másolva.

Example
Ez az example mutatja, hogyan kell beállítani egy Ethernet interfészt NTP multicast csomagok küldésére:

  • switch# configure terminál
  • switch(config)# interfész ethernet 2/2
  • switch(config-if)# ntp multicast FF02::1:FF0E:8C6C
  • switch(config-if)# copy running-config startup-config

NTP Multicast Client konfigurálása
Egy interfészen konfigurálhat egy NTP multicast klienst. Az eszköz ezután meghallgatja az NTP csoportos üzeneteket, és elveti azokat az üzeneteket, amelyek olyan interfészről érkeznek, amelyhez nincs konfigurálva a csoportos küldés.

Eljárás

Parancs or Akció Cél
1. lépés kapcsoló# konfigurálja a terminált Belép a globális konfigurációs módba.
2. lépés switch(config)# felület típusú slot/port Belép az interfész konfigurációs módba.
3. lépés switch(config-if)# [no] ntp multicast kliens [ipv4-cím | ipv6-cím] Lehetővé teszi a megadott interfész számára az NTP csoportos küldési csomagok fogadását.
4. lépés (Opcionális) switch(config-if)# másolja a running-config startup-config Folyamatosan menti a változást az újraindítások és újraindítások révén, a futó konfigurációt az indítási konfigurációba másolva.

Example
Ez az example mutatja, hogyan kell beállítani egy Ethernet interfészt NTP multicast csomagok fogadására:

  • switch# configure terminál
  • switch(config)# interfész ethernet 2/3
  • switch(config-if)# ntp multicast kliens FF02::1:FF0E:8C6C
  • switch(config-if)# copy running-config startup-config

Az NTP naplózás konfigurálása
Beállíthatja az NTP-naplózást a jelentős NTP-eseményeket tartalmazó rendszernaplók létrehozásához. Az NTP naplózás alapértelmezés szerint le van tiltva.

Eljárás

Parancs or Akció Cél
1. lépés kapcsoló# konfigurálja a terminált Belép a globális konfigurációs módba.
2. lépés switch(config)# [nem] ntp naplózás Engedélyezi vagy letiltja a rendszernaplók létrehozását jelentős NTP-események esetén. Az NTP naplózás alapértelmezés szerint le van tiltva.
3. lépés (Opcionális) kapcsoló (config)# mutasd meg az ntp naplózási állapotát Megjeleníti az NTP naplózás konfigurációs állapotát.
4. lépés (Opcionális) kapcsoló (config)# másolja a running-config startup-config Folyamatosan menti a változást az újraindítások és újraindítások révén, a futó konfigurációt az indítási konfigurációba másolva.

Example
A következő plample bemutatja, hogyan engedélyezheti az NTP-naplózást, hogy jelentős NTP-eseményeket tartalmazó rendszernaplókat generáljon:

  • switch# configure terminál
  • switch(config)# ntp naplózás
  • switch(config)# másolás running-config startup-config [##################################### ###] 100%
  • switch(config)#

A CFS-terjesztés engedélyezése az NTP-hez
Engedélyezheti az NTP CFS-terjesztését, hogy az NTP-konfigurációt más CFS-kompatibilis eszközökre is eloszthassa.

Mielőtt elkezdené
Győződjön meg arról, hogy engedélyezte a CFS-terjesztést az eszközön.

Eljárás

Parancs or Akció Cél
1. lépés kapcsoló# konfigurálja a terminált Belép a globális konfigurációs módba.
2. lépés switch(config)# [nem] ntp terjeszteni Engedélyezi vagy letiltja az eszköz számára a CFS-en keresztül terjesztett NTP-konfigurációs frissítések fogadását.
3. lépés (Opcionális) kapcsoló (config)# ntp állapot megjelenítése Megjeleníti az NTP CFS terjesztési állapotát.
4. lépés (Opcionális) kapcsoló (config)# másolja a running-config startup-config Folyamatosan menti a változást az újraindítások és újraindítások révén, a futó konfigurációt az indítási konfigurációba másolva.

Example
Ez az exampLemutatja, hogyan engedélyezheti az eszköz számára az NTP konfigurációs frissítések fogadását CFS-en keresztül:

  • switch# configure terminál
  • switch(config)# ntp terjesztés
  • switch(config)# másolás running-config startup-config

NTP konfigurációs módosítások végrehajtása
Amikor végrehajtja az NTP konfigurációs módosításait, a hatályos adatbázist felülírják a függőben lévő adatbázis konfigurációs módosításai, és a hálózat összes eszköze ugyanazt a konfigurációt kapja.

Eljárás

Parancs or Akció Cél
1. lépés kapcsoló# konfigurálja a terminált Belép a globális konfigurációs módba.
2. lépés switch(config)# ntp commit Elosztja az NTP konfigurációs módosításait a hálózat összes Cisco NX-OS eszközére, és feloldja a CFS zárolást. Ez a parancs felülírja a hatályos adatbázist a függőben lévő adatbázis módosításaival.

Az NTP konfigurációs módosításainak elvetése
A konfigurációs módosítások elvégzése után dönthet úgy, hogy elveti a változtatásokat a véglegesítés helyett. Ha elveti a változtatásokat, a Cisco NX-OS eltávolítja a függőben lévő adatbázis-módosításokat, és feloldja a CFS-zárolást.

Eljárás

Parancs or Akció Cél
1. lépés kapcsoló# konfigurálja a terminált Belép a globális konfigurációs módba.
2. lépés switch(config)# ntp megszakítás Elveti a függőben lévő adatbázisban lévő NTP-konfiguráció módosításait, és feloldja a CFS-zárolást. Használja ezt a parancsot azon az eszközön, amelyen elindította az NTP konfigurációt.

A CFS Session Lock feloldása
Ha NTP-konfigurációt hajtott végre, és elfelejtette feloldani a zárolást a változtatások végrehajtásával vagy elvetésével, Ön vagy egy másik rendszergazda feloldhatja a zárolást a hálózat bármely eszközéről. Ez a művelet a függőben lévő adatbázis-módosításokat is elveti.

Eljárás

Parancs or Akció Cél
1. lépés kapcsoló# konfigurálja a terminált Belép a globális konfigurációs módba.
2. lépés switch(config)# ntp munkamenet törlése Elveti a függőben lévő adatbázisban lévő NTP-konfiguráció módosításait, és feloldja a CFS-zárolást.

Az NTP konfiguráció ellenőrzése

Parancs Cél
ntp hozzáférési csoportok megjelenítése Megjeleníti az NTP hozzáférési csoport konfigurációját.
mutasd meg az ntp hitelesítési kulcsokat Megjeleníti a konfigurált NTP hitelesítési kulcsokat.
ntp hitelesítési állapot megjelenítése Megjeleníti az NTP-hitelesítés állapotát.
mutasd meg az ntp naplózási állapotát Megjeleníti az NTP naplózási állapotát.
mutasd meg az ntp peer-státust Megjeleníti az összes NTP-kiszolgáló és partner állapotát.
ntp peer megjelenítése Megjeleníti az összes NTP-társat.
ntp megjelenítése függőben Megjeleníti az ideiglenes CFS-adatbázist az NTP-hez.
show ntp pending-diff Megjeleníti a különbséget a függőben lévő CFS-adatbázis és az aktuális NTP-konfiguráció között.
mutasd meg az ntp rts-update-t Megjeleníti az RTS frissítés állapotát.
ntp munkamenet állapotának megjelenítése Megjeleníti az NTP CFS terjesztési munkamenet adatait.
mutasd meg az ntp forrást Megjeleníti a konfigurált NTP-forrás IP-címét.
ntp forrás-interfész megjelenítése Megjeleníti a konfigurált NTP-forrás interfészt.
ntp statisztikák megjelenítése {io | helyi | memória | egyenrangú

{ipaddr {ipv4-addr} | név társnév}}

 Megjeleníti az NTP statisztikát.
ntp állapot megjelenítése Megjeleníti az NTP CFS terjesztési állapotát.
ntp megbízható kulcsok megjelenítése Megjeleníti a konfigurált megbízható NTP-kulcsokat.
show running-config ntp Megjeleníti az NTP információkat.

Konfiguráció plamples az NTP-hez

Konfiguráció plamples az NTP-hez

  • Ez az exampA le mutatja, hogyan kell konfigurálni egy NTP-kiszolgálót és társprogramot, engedélyezni az NTP-hitelesítést, engedélyezni az NTP-naplózást, majd elmenteni az indítási konfigurációt, hogy az újraindításkor és újraindításkor mentve legyen:CISCO-NX-OS-Advanced-Network-Operating-System-Designed-fig-1
  • Ez az exampA le egy NTP hozzáférési csoport konfigurációt mutat a következő korlátozásokkal:
    • Peer korlátozások vonatkoznak azokra az IP-címekre, amelyek megfelelnek a „peer-acl” hozzáférési lista feltételeinek.
    • Kiszolgálási korlátozások vonatkoznak azokra az IP-címekre, amelyek megfelelnek a „serve-acl” hozzáférési lista feltételeinek.
    • Csak kiszolgálási korlátozások vonatkoznak azokra az IP-címekre, amelyek megfelelnek a „serve-only-acl” elnevezésű hozzáférési lista feltételeinek.
    • Csak lekérdezésre vonatkozó korlátozások vonatkoznak azokra az IP-címekre, amelyek megfelelnek a „csak lekérdezés-acl” elnevezésű hozzáférési lista feltételeinek.CISCO-NX-OS-Advanced-Network-Operating-System-Designed-fig-2

Dokumentumok / Források

CISCO NX-OS fejlett hálózati operációs rendszert terveztek [pdf] Felhasználói útmutató
NX-OS fejlett hálózati operációs rendszer tervezve, NX-OS, fejlett hálózati operációs rendszer tervezve, hálózati operációs rendszer tervezve, operációs rendszer tervezve, rendszer tervezett, tervezve

Hivatkozások

Kapcsolódó bejegyzések

Hagyj megjegyzést

E-mail címét nem tesszük közzé. A kötelező mezők meg vannak jelölve *