תוכנה מערכת הפעלה רשת מתקדמת של CISCO NX-OS
מפרט מוצר
- פרוטוקול סנכרון זמן: NTP (פרוטוקול זמן רשת)
- תְמִיכָה: Cisco NX-OS
- תכונות: תצורת שרת זמן NTP, יחסי עמיתים של NTP, תכונות אבטחה, תמיכה בווירטואליזציה
הוראות שימוש במוצר
הגדרת NTP עבור סינכרון זמן
לפני סנכרון התקן הרשת שלך עם שרתי NTP, שקול את ההנחיות הבאות:
- NTP משווה זמן המדווח על ידי מכשירים שונים ונמנע מסנכרון עם מקורות זמן שונים באופן משמעותי.
- אם אין אפשרות להתחבר לשרת שכבה 1, השתמש בשרתי NTP ציבוריים הזמינים באינטרנט לצורך סנכרון.
- אם הגישה לאינטרנט מוגבלת, הגדר את הגדרות הזמן המקומי כאילו היו מסונכרנות באמצעות NTP.
יצירת קשרי עמיתים ב-NTP
כדי לייעד מארחים המשרתים זמן לסנכרון ולהבטיח זמן מדויק במקרה של כשל בשרת:
- צור קשרי עמיתים של NTP עם מארחים רצויים.
- השתמש בהגבלות מבוססות רשימת גישה או במנגנוני אימות מוצפנים לאבטחה משופרת.
הפצת תצורת NTP באמצעות CFS
Cisco Fabric Services (CFS) מאפשר הפצת תצורות NTP מקומיות ברחבי הרשת. בצע את השלבים הבאים:
- הפעל CFS במכשיר שלך כדי להפעיל נעילה ברחבי הרשת בתצורת NTP.
- לאחר שינויי תצורה, בטל או התחייב לשחרר את נעילת ה-CFS.
זמינות גבוהה ותמיכה בווירטואליזציה
הבטח זמינות גבוהה ותמיכה בווירטואליזציה עבור NTP על ידי:
- הגדרת עמיתים של NTP עבור יתירות במקרה של כשל בשרת.
- זיהוי מופעי ניתוב והעברה וירטואליים (VRF) עבור פעולת NTP.
שאלות נפוצות
- תנאים מוקדמים והנחיות להגדרת NTP
- דרישות קדם: ודא קישוריות רשת וגישה לשרתי NTP רצויים.
- הנחיות: השתמש בתכונות אבטחה כמו רשימות גישה ואימות לסנכרון זמן בטוח.
- הגדרות ברירת מחדל של NTP
- NTP מופעל עבור כל הממשקים כברירת מחדל.
- NTP פסיבי מופעל ליצירת אסוציאציות.
- אימות NTP מושבת כברירת מחדל.
- גישת NTP מופעלת עם כל הממשקים.
- שרת שידור NTP מושבת כהגדרת ברירת מחדל.
מידע על NTP
- פרוטוקול זמן הרשת (NTP) מסנכרן את השעה ביום בין קבוצה של שרתי זמן מבוזרים ולקוחות, כך שתוכל לתאם אירועים כאשר אתה מקבל יומני מערכת ואירועים ספציפיים לזמן אחרים ממספר התקני רשת. NTP משתמש ב-User Datagפרוטוקול ram (UDP) כפרוטוקול התחבורה שלו. כל תקשורת NTP משתמשת בזמן אוניברסלי מתואם (UTC).
- שרת NTP בדרך כלל מקבל את הזמן שלו ממקור זמן סמכותי, כגון שעון רדיו או שעון אטומי המחובר לשרת זמן, ולאחר מכן מחלק את הזמן הזה ברחבי הרשת. NTP יעיל ביותר; אין צורך ביותר מחבילה אחת לדקה כדי לסנכרן שתי מכונות בטווח של אלפית שנייה אחת מהשנייה.
- NTP משתמש בשכבה כדי לתאר את המרחק בין התקן רשת למקור זמן סמכותי:
- שרת זמן שכבה 1 מחובר ישירות למקור זמן סמכותי (כגון רדיו או שעון אטומי או מקור זמן GPS).
- שרת NTP שכבה 2 מקבל את זמנו דרך NTP משרת זמן שכבה 1.
- לפני הסנכרון, NTP משווה את הזמן המדווח על ידי מספר התקני רשת ואינו מסתנכרן עם אחד ששונה באופן משמעותי, גם אם מדובר בשכבה 1. מכיוון ש-Cisco NX-OS לא יכולה להתחבר לרדיו או לשעון אטומי ולפעול כשכבה 1 שרת, אנו ממליצים להשתמש בשרתי NTP הציבוריים הזמינים באינטרנט. אם הרשת מבודדת מהאינטרנט, Cisco NX-OS מאפשרת לך להגדיר את הזמן כאילו היה מסונכרן דרך NTP, למרות שלא.
פֶּתֶק
אתה יכול ליצור קשרי NTP עמיתים כדי לייעד את המארחים המשרתים את הזמן שאתה רוצה שהתקן הרשת שלך ישקול לסנכרן איתם וכדי לשמור על זמן מדויק אם מתרחשת כשל בשרת. - הזמן שנשמר במכשיר הוא משאב קריטי, לכן אנו ממליצים בחום להשתמש בתכונות האבטחה של NTP כדי להימנע מהגדרה מקרית או זדונית של זמן שגוי. שני מנגנונים זמינים: סכימת הגבלה מבוססת רשימת גישה ומנגנון אימות מוצפן.
NTP כשרת זמן
מכשירים אחרים יכולים להגדיר אותו כשרת זמן. אתה יכול גם להגדיר את המכשיר לפעול כשרת NTP סמכותי, מה שיאפשר לו להפיץ זמן גם כאשר הוא לא מסונכרן למקור זמן חיצוני.
הפצת NTP באמצעות CFS
- Cisco Fabric Services (CFS) מפיץ את תצורת ה-NTP המקומית לכל מכשירי Cisco ברשת.
- לאחר הפעלת CFS במכשיר שלך, נעילה כלל-רשת מוחלת על NTP בכל פעם שתצורת NTP מופעלת. לאחר ביצוע השינויים בתצורת NTP, אתה יכול למחוק או לבצע אותם.
- בכל מקרה, נעילת ה-CFS משוחררת מאפליקציית NTP.
מנהל שעון
- שעונים הם משאבים שצריך לחלוק על פני תהליכים שונים.
- ייתכן שפועלים במערכת פרוטוקולי סנכרון זמן מרובים, כגון NTP ו-Precision Time Protocol (PTP).
זמינות גבוהה
- הפעלה מחדש ללא מצב נתמכת עבור NTP. לאחר אתחול מחדש או מעבר מפקח, התצורה הפועלת מוחלת.
- אתה יכול להגדיר עמיתים של NTP לספק יתירות במקרה ששרת NTP נכשל.
תמיכה בווירטואליזציה
NTP מזהה מופעי ניתוב והעברה וירטואליים (VRF). NTP משתמש בברירת המחדל של VRF אם לא תגדיר VRF ספציפי עבור שרת ה-NTP והעמית של NTP.
תנאים מוקדמים ל-NTP
ל-NTP יש את התנאים המוקדמים הבאים:
כדי להגדיר NTP, חייבת להיות לך קישוריות לשרת אחד לפחות שמפעיל NTP.
הנחיות ומגבלות עבור NTP
ל-NTP יש את הנחיות התצורה והמגבלות הבאות:
- הפקודה show ntp session status CLI אינה מציגה את זמן הפעולה האחרון stamp, הפעולה האחרונה, תוצאת הפעולה האחרונה והסיבה לכישלון הפעולה האחרונה.
- פונקציונליות שרת NTP נתמכת.
- כדאי שתהיה לך שיוך עמית למכשיר אחר רק כאשר אתה בטוח שהשעון שלך אמין (מה שאומר שאתה לקוח של שרת NTP אמין).
- עמית המוגדר לבד לוקח על עצמו את התפקיד של שרת ויש להשתמש בו כגיבוי. אם יש לך שני שרתים, תוכל להגדיר מספר התקנים שיצביעו על שרת אחד ושאר ההתקנים יצביעו על השרת השני. לאחר מכן תוכל להגדיר שיוך עמיתים בין שני שרתים אלה כדי ליצור תצורת NTP אמינה יותר.
- אם יש לך רק שרת אחד, עליך להגדיר את כל ההתקנים כלקוחות לשרת זה.
- אתה יכול להגדיר עד 64 ישויות NTP (שרתים ועמיתים).
- אם CFS מושבת עבור NTP, NTP אינו מפיץ שום תצורה ואינו מקבל הפצה מהתקנים אחרים ברשת.
- לאחר הפצת CFS מופעלת עבור NTP, הזנת פקודת תצורת NTP נועלת את הרשת עבור תצורת NTP עד להזנת פקודת commit. במהלך הנעילה, לא ניתן לבצע שינויים בתצורת ה-NTP על ידי כל מכשיר אחר ברשת מלבד המכשיר שיזם את הנעילה.
- אם אתה משתמש ב-CFS כדי להפיץ NTP, כל ההתקנים ברשת צריכים להגדיר את אותם VRFs כפי שאתה משתמש עבור NTP.
- אם תגדיר NTP ב-VRF, ודא ששרת ה-NTP והעמיתים יכולים להגיע זה לזה דרך ה-VRFs המוגדרים.
- עליך להפיץ באופן ידני מפתחות אימות NTP בשרת NTP ובמכשירי Cisco NX-OS ברחבי הרשת.
- אם אתה משתמש במתג כהתקן קצה וברצונך להשתמש ב-NTP, סיסקו ממליצה להשתמש בפקודה ntp access-group ולסנן את NTP רק למכשירי הקצה הנדרשים.
- אם המערכת הוגדרה עם הפקודות ntp פסיבי, ntp broadcast client, או ntp multicast client, כאשר NTP מקבל חבילה סימטרית פעילה, שידור או מרובת שידור נכנסת, היא יכולה להגדיר שיוך עמית חולף על מנת לסנכרן עם השולח .
פֶּתֶק
ודא שאתה מציין ntp authenticate לפני הפעלת כל אחת מהפקודות לעיל. אי ביצוע זה יאפשר למכשיר שלך להסתנכרן עם כל מכשיר ששולח את אחד מסוגי החבילות שלעיל, כולל מכשירים הנשלטים על ידי תוקף זדוני. - אם צוינה הפקודה ntp authenticate, כאשר מתקבלת חבילה סימטרית פעילה, שידור או ריבוי שידורים, המערכת לא מסתנכרנת עם העמית אלא אם כן החבילה נושאת את אחד ממפתחות האימות שצוינו בפקודת התצורה הגלובלית של מפתח מהימן של ntp.
- כדי למנוע סנכרון עם מארחי רשת לא מורשים, יש לציין את פקודת ntp authenticate בכל פעם שצוינה פקודת ntp פאסיבי, ntp broadcast client או ntp multicast client, אלא אם ננקטו אמצעים אחרים, כגון פקודת ntp access-group. למנוע ממארחים לא מורשים לתקשר עם שירות NTP במכשיר.
- הפקודה ntp authenticate אינה מאמתת אסוציאציות עמיתים המוגדרות דרך שרת ntp ופקודות תצורת ntp peer. כדי לאמת את שרת ntp ו-ntp עמיתים, ציין את מילת המפתח.
- השתמש ב-NTP שידור או ריבוי שידורים כאשר דרישות דיוק הזמן והאמינות צנועות, הרשת שלך מקומית ולרשת יש יותר מ-20 לקוחות. אנו ממליצים להשתמש בשידורי NTP או בשידורים מרובים ברשתות שיש להן רוחב פס מוגבל, זיכרון מערכת או משאבי CPU.
- ניתן להגדיר לכל היותר ארבעה ACL עבור קבוצת גישה אחת ל-NTP.
פֶּתֶק דיוק הזמן מופחת באופן שולי בשידורי NTP מכיוון שמידע זורם רק בכיוון אחד.
הגדרות ברירת מחדל
להלן הגדרות ברירת המחדל עבור פרמטרי NTP.
| פרמטרים | בְּרִירַת מֶחדָל |
| NTP | מופעל עבור כל הממשקים |
| NTP פסיבי (מאפשר ל-NTP ליצור אסוציאציות) | מופעל |
| אימות NTP | נָכֶה |
| גישת NTP | מופעל |
| קבוצת גישה ל-NTP תתאים לכולם | נָכֶה |
| שרת שידור NTP | נָכֶה |
| שרת Multicast NTP | נָכֶה |
| לקוח NTP multicast | נָכֶה |
| רישום NTP | נָכֶה |
הגדרת NTP
הפעלה או השבתה של NTP בממשק
אתה יכול להפעיל או להשבית NTP בממשק מסוים. NTP מופעל בכל הממשקים כברירת מחדל.
נוֹהָל
| פְּקוּדָה or פְּעוּלָה | מַטָרָה | |
| שלב 1 | החלף# להגדיר את המסוף | נכנס למצב תצורה גלובלית. |
| שלב 2 | switch(config)# מִמְשָׁק סוג חריץ/יציאה | נכנס למצב תצורת הממשק. |
| שלב 3 | switch(config-if)# [לא] ntp disable {ip | ipv6} | משבית את NTP IPv4 או IPv6 בממשק שצוין.
השתמש ב- לֹא צורה של פקודה זו כדי להפעיל מחדש NTP בממשק. |
| שלב 4 | (אופציונלי) switch(config-if)# העתק את run-config startup-config | שומר את השינוי בהתמדה באמצעות אתחולים והפעלות מחדש על ידי העתקת התצורה הפועלת לתצורת האתחול. |
Example
האקס הבאample מראה כיצד להפעיל או להשבית NTP בממשק:
- switch# להגדיר מסוף
- switch(config)# ממשק Ethernet 6/1
- switch(config-if)# ntp disable ip
- switch(config-if)# copy running-config startup-config
הגדרת ההתקן כשרת NTP סמכותי
אתה יכול להגדיר את המכשיר לפעול כשרת NTP סמכותי, מה שיאפשר לו להפיץ זמן גם כאשר הוא לא מסונכרן לשרת זמן קיים.
נוֹהָל
| פְּקוּדָה or פְּעוּלָה | מַטָרָה | |
| שלב 1 | החלף# להגדיר את המסוף | נכנס למצב תצורה גלובלית. |
| פְּקוּדָה or פְּעוּלָה | מַטָרָה | |
| שלב 1 | החלף# להגדיר את המסוף | נכנס למצב תצורה גלובלית. |
Example
האקסית הזוample מראה כיצד להגדיר את התקן Cisco NX-OS כשרת NTP סמכותי עם רמת שכבה אחרת:
- switch# להגדיר מסוף
- הזן פקודות תצורה, אחת בכל שורה. סיים עם CNTL/Z.
- switch(config)# ntp master 5
הגדרת שרת NTP ו-Per
אתה יכול להגדיר שרת NTP ועמית.
לפני שתתחיל
ודא שאתה יודע את כתובת ה-IP או שמות ה-DNS של שרת ה-NTP שלך ועמיתיו.
נוֹהָל
| פְּקוּדָה or פְּעוּלָה | מַטָרָה | |
| שלב 1 | החלף# להגדיר את המסוף | נכנס למצב תצורה גלובלית. |
| שלב 2 | switch(config)# [לֹא] שרת ntp {כתובת ה - IP | כתובת ipv6 | dns-name} [מַפְתֵחַ מפתח מזהה] [maxpoll מקסימום סקר] [minpoll סקר מינימלי] [לְהַעֲדִיף] [use-vrf שם vrf] | יוצר שיוך עם שרת.
השתמש ב- מַפְתֵחַ מילת מפתח כדי להגדיר מפתח לשימוש בעת תקשורת עם שרת NTP. הטווח עבור מפתח מזהה הארגומנט הוא מ-1 עד 65535. השתמש ב- maxpoll ו minpoll מילות מפתח כדי להגדיר את המרווחים המקסימליים והמינימליים שבהם יש לסקר שרת. הטווח עבור מקסימום סקר ו סקר מינימלי הטיעונים הוא מ-4 עד 16 (מוגדר כחזקה של 2, כך למעשה 16 עד 65536 שניות), וערכי ברירת המחדל |
| הם 6 ו-4, בהתאמה (maxpoll ברירת מחדל = 64
שניות, minpoll ברירת מחדל = 16 שניות). השתמש ב- מעדיף מילת מפתח כדי להפוך את זה לשרת ה-NTP המועדף עבור המכשיר. השתמש ב- use-vrf מילת מפתח כדי להגדיר את שרת ה-NTP לתקשר באמצעות ה-VRF שצוין. ה שם vrf ארגומנט יכול להיות ברירת מחדל, ניהול או כל מחרוזת אלפאנומרית תלוית רישיות, עד 32 תווים. פֶּתֶק אם תגדיר מפתח לשימוש תוך כדי תקשורת עם שרת NTP, ודא שהמפתח קיים כמפתח מהימן במכשיר. |
||
| שלב 3 | switch(config)# [לֹא] ntp peer {כתובת ה - IP | כתובת ipv6 | dns-name} [מַפְתֵחַ מפתח מזהה] [maxpoll מקסימום סקר] [minpoll סקר מינימלי] [לְהַעֲדִיף] [use-vrf שם vrf] | יוצרת אסוציאציה עם עמית. אתה יכול לציין אסוציאציות מרובות של עמיתים.
השתמש ב- מַפְתֵחַ מילת מפתח כדי להגדיר מפתח לשימוש בעת תקשורת עם עמית NTP. הטווח עבור מפתח מזהה הארגומנט הוא מ-1 עד 65535. השתמש ב- maxpoll ו minpoll מילות מפתח כדי להגדיר את המרווחים המקסימליים והמינימליים שבהם יש לסקר שרת. הטווח עבור מקסימום סקר ו סקר מינימלי הארגומנטים הם מ-4 עד 17 (מוגדרים בחזקות 2, כך שלמעשה 16 עד 131072 שניות), וערכי ברירת המחדל הם 6 ו-4, בהתאמה (maxpoll ברירת מחדל = 64 שניות, minpoll ברירת מחדל = 16 שניות). השתמש ב- לְהַעֲדִיף מילת מפתח כדי להפוך את זה לעמית ה-NTP המועדפת עבור המכשיר. השתמש ב- use-vrf מילת מפתח כדי להגדיר את עמית ה-NTP לתקשר באמצעות ה-VRF שצוין. ה שם vrf טיעון יכול להיות בְּרִירַת מֶחדָל , הַנהָלָה , או כל מחרוזת אלפאנומרית תלוית רישיות של עד 32 תווים. |
| שלב 4 | (אופציונלי) switch(config)# הצג עמיתים ל-ntp | מציג את השרת והעמיתים שהוגדרו.
פֶּתֶק שם דומיין נפתר רק כאשר יש לך שרת DNS מוגדר. |
| שלב 5 | (אופציונלי) switch(config)# העתק את run-config startup-config | שומר את השינוי בהתמדה באמצעות אתחולים והפעלות מחדש על ידי העתקת התצורה הפועלת לתצורת האתחול. |
הגדרת אימות NTP
ניתן להגדיר את המכשיר לאימות מקורות הזמן אליהם מסונכרן השעון המקומי. כאשר אתה מפעיל אימות NTP, המכשיר מסתנכרן למקור זמן רק אם המקור נושא אחד ממפתחות האימות שצוינו בפקודת המפתח המהימן ntp. המכשיר מפיל את כל החבילות שנכשלות בבדיקת האימות ומונע מהן לעדכן את השעון המקומי. אימות NTP מושבת כברירת מחדל.
לפני שתתחיל
אימות עבור שרתי NTP ו-NTP עמיתים מוגדר על בסיס לכל שיוך באמצעות מילת המפתח המפתח בכל שרת ntp ופקודת ntp peer. ודא שהגדרת את כל שרת ה-NTP והשיוכים של עמיתים עם מפתחות האימות שאתה מתכנן לציין בהליך זה. כל שרת ntp או ntp peercommands שאינם מציינים את מילת המפתח ימשיכו לפעול ללא אימות.
נוֹהָל
| פְּקוּדָה or פְּעוּלָה | מַטָרָה | |
| שלב 1 | להגדיר את המסוף
Exampעל: switch# הגדר מתג מסוף (config)# |
נכנס למצב תצורה גלובלית. |
| שלב 2 | [לֹא] מפתח אימות ntp מִספָּר md5
מחרוזת md5 Exampעל: switch(config)# מפתח אימות ntp 42 md5 aNiceKey |
מגדיר את מפתחות האימות. המכשיר אינו מסתנכרן למקור זמן אלא אם כן למקור יש אחד ממפתחות האימות הללו ומספר המפתח מצוין על ידי ntp Trusted-key מִספָּר פְּקוּדָה.
הטווח עבור מפתחות אימות הוא מ-1 עד 65535. עבור מחרוזת MD5, ניתן להזין עד שמונה תווים אלפאנומריים. |
| שלב 3 | שרת ntp כתובת ה - IP מַפְתֵחַ מפתח מזהה
Exampעל: switch(config)# שרת ntp 192.0.2.1 מפתח 1001 |
מאפשר אימות עבור שרת NTP שצוין, ויוצר שיוך עם שרת.
השתמש ב- מַפְתֵחַ מילת מפתח כדי להגדיר מפתח לשימוש בעת תקשורת עם שרת NTP. הטווח עבור מפתח מזהה הארגומנט הוא מ-1 עד 65535. כדי לדרוש אימות, ה מַפְתֵחַ יש להשתמש במילת מפתח. כל שרת ntp or ntp peer פקודות שאינן מציינות את מַפְתֵחַ מילת המפתח תמשיך לפעול ללא אימות. |
| שלב 4 | (אופציונלי) הצג מפתחות אימות ntp
Exampעל: switch(config)# הצג מפתחות אימות ntp |
מציג את מפתחות אימות ה-NTP המוגדרים. |
| שלב 5 | [לֹא] ntp Trusted-key מִספָּר
Exampעל: switch(config)# ntp Trusted-key 42 |
מציין מפתח אחד או יותר (מוגדר בשלב 2) שמקור זמן סימטרי, שידור ושידור מרחוק לא מוגדר חייב לספק בחבילות ה-NTP שלו כדי שהמכשיר יסנכרן אליו. הטווח עבור מפתחות מהימנים הוא מ-1 עד 65535.
פקודה זו מספקת הגנה מפני סנכרון בטעות של המכשיר למקור זמן שאינו מהימן. |
| שלב 6 | (אופציונלי) הצג מפתחות מהימנים של ntp
Exampעל: switch(config)# הצג מפתחות מהימנים של ntp |
מציג את מפתחות ה-NTP המהימנים המוגדרים. |
| שלב 7 | [לֹא] ntp לאמת
Exampעל: switch(config)# ntp אימות |
מפעיל או משבית אימות עבור ntp פסיבי, לקוח שידור ntp ו-ntp multicast. אימות NTP מושבת כברירת מחדל. |
| שלב 8 | (אופציונלי) הצג מצב אימות ntp
Exampעל: switch(config)# הצג מצב אימות ntp |
מציג את המצב של אימות NTP. |
| שלב 9 | (אופציונלי) לְהַעְתִיק running-config startup-config
Exampעל: switch(config)# copy running-config startup-config |
מעתיק את התצורה הפועלת לתצורת האתחול. |
הגדרת הגבלות גישה ל-NTP
- אתה יכול לשלוט בגישה לשירותי NTP באמצעות קבוצות גישה. באופן ספציפי, ניתן לציין את סוגי הבקשות שהמכשיר מאפשר ואת השרתים מהם הוא מקבל תגובות.
- אם לא תגדיר קבוצות גישה כלשהן, גישת NTP מוענקת לכל המכשירים. אם תגדיר קבוצות גישה כלשהן, גישת NTP ניתנת רק למכשיר המרוחק שכתובת ה-IP של המקור שלו עומדת בקריטריונים של רשימת הגישה.
- החל מגרסה 7.0(3)I7(3) של Cisco NX-OS, קבוצות גישה מוערכות בשיטה הבאה:
- ללא מילת המפתח המתאימה לכל, החבילה מוערכת מול קבוצות הגישה (בסדר המוזכר להלן) עד שתמצא היתר. אם לא נמצא היתר, החבילה נשמטת.
- עם מילת מפתח מתאימה לכל, החבילה מוערכת מול כל קבוצות הגישה (בסדר המוזכר להלן) והפעולה מתבצעת על סמך ההערכה המוצלחת האחרונה (קבוצת הגישה האחרונה שבה מוגדר ACL).
- המיפוי של קבוצת הגישה לסוג החבילה הוא כדלקמן:
- לְהָצִיץ- לקוח תהליך, אקטיבי סימטרי, פסיבי סימטרי, הגשה, בקרה ומנות פרטיות (כל הסוגים)
- לְשָׁרֵת- עיבוד לקוח, בקרה ומנות פרטיות
- להגשה בלבד-לעבד מנות לקוח בלבד
- שאילתה בלבד-בקרת תהליכים וחבילות פרטיות בלבד
- קבוצות הגישה מוערכות בסדר יורד הבא:
- עמית (כל סוגי החבילות)
- לשרת (לקוח, בקרה ומנות פרטיות)
- שאילתה בלבד (מנות לקוח) או שאילתה בלבד (בקרה ומנות פרטיות)
נוֹהָל
| פְּקוּדָה or פְּעוּלָה | מַטָרָה | |
| שלב 1 | החלף# להגדיר את המסוף | נכנס למצב תצורה גלובלית. |
| שלב 2 | switch(config)# [לֹא] ntp access-group match-all | {{לְהָצִיץ | לְשָׁרֵת | להגשה בלבד | שאילתה בלבד }שם רשימת גישה} | יוצר או מסיר קבוצת גישה כדי לשלוט בגישת NTP ומחיל רשימת גישה בסיסית ל-IP.
אפשרויות קבוצת הגישה נסרקות בסדר הבא, מהפחות מגבילה למגבילה ביותר. עם זאת, אם NTP תואם כלל דחיית ACL בעמית מוגדר, עיבוד ACL נעצר ולא ממשיך לאפשרות קבוצת הגישה הבאה. • ה לְהָצִיץ מילת מפתח מאפשרת למכשיר לקבל בקשות זמן ושאילתות בקרת NTP ולסנכרן את עצמו עם השרתים המצוינים ברשימת הגישה. • ה לְשָׁרֵת מילת מפתח מאפשרת למכשיר לקבל בקשות זמן ושאילתות בקרת NTP מהשרתים שצוינו ברשימת הגישה אך לא לסנכרן את עצמו עם השרתים שצוינו. • ה להגשה בלבד מילת מפתח מאפשרת למכשיר לקבל רק בקשות זמן משרתים שצוינו ברשימת הגישה. • ה שאילתה בלבד מילת מפתח מאפשרת למכשיר לקבל שאילתות בקרת NTP בלבד מהשרתים שצוינו ברשימת הגישה. • ה להתאים הכל מילת מפתח מאפשרת לסרוק את אפשרויות קבוצת הגישה בסדר הבא, מהפחות מגביל למגביל ביותר: עמית, הגשה, הגשה בלבד, שאילתה בלבד. אם החבילה הנכנסת אינה תואמת ל-ACL בגישת עמיתים |
| הקבוצה, היא עוברת לקבוצת הגישה לשרת
להיות מעובד. אם החבילה אינה תואמת ל-ACL בקבוצת הגישה לשרת, היא עוברת לקבוצת הגישה לשרת בלבד, וכן הלאה. פֶּתֶק ה להתאים הכל מילת המפתח זמינה החל מגרסה 7.0(3)I6(1) של Cisco NX-OS. |
||
| שלב 3 | switch(config)# הצג קבוצות גישה ל-ntp | (אופציונלי) מציג את תצורת קבוצת הגישה של NTP. |
| שלב 4 | (אופציונלי) switch(config)# העתק את run-config startup-config | שומר את השינוי בהתמדה באמצעות אתחולים והפעלות מחדש על ידי העתקת התצורה הפועלת לתצורת האתחול. |
Example
האקסית הזוample מראה כיצד להגדיר את המכשיר כך שיאפשר לו להסתנכרן עם עמית מקבוצת הגישה "accesslist1":
הגדרת כתובת ה-IP של מקור NTP
NTP מגדיר את כתובת ה-IP המקור עבור כל מנות ה-NTP בהתבסס על כתובת הממשק שדרכו נשלחות מנות ה-NTP. אתה יכול להגדיר את NTP להשתמש בכתובת IP מקור ספציפית.
נוֹהָל
| פְּקוּדָה or פְּעוּלָה | מַטָרָה | |
| שלב 1 | החלף# להגדיר את המסוף | נכנס למצב תצורה גלובלית. |
| שלב 2 | [לֹא] מקור ntp כתובת ה - IP | מגדיר את כתובת ה-IP המקור עבור כל מנות ה-NTP. ה כתובת ה - IP יכול להיות בפורמט IPv4 או IPv6. |
Example
האקסית הזוample מראה כיצד להגדיר כתובת IP מקור NTP של 192.0.2.2.
- switch# להגדיר מסוף
- switch(config)# מקור ntp 192.0.2.2
הגדרת ממשק מקור NTP
אתה יכול להגדיר את NTP לשימוש בממשק ספציפי.
נוֹהָל
| פְּקוּדָה or פְּעוּלָה | מַטָרָה | |
| שלב 1 | החלף# להגדיר את המסוף | נכנס למצב תצורה גלובלית. |
| שלב 2 | [לֹא] ממשק מקור ntp מִמְשָׁק | מגדיר את ממשק המקור עבור כל מנות ה-NTP. הרשימה הבאה מכילה את הערכים החוקיים עבור מִמְשָׁק.
• Ethernet • loopback • mgmt • נמל-ערוץ • vlan |
Example
האקסית הזוample מראה כיצד להגדיר את ממשק מקור NTP:
- switch# להגדיר מסוף
- switch(config)# ntp source-interface Ethernet
הגדרת שרת שידור NTP
אתה יכול להגדיר שרת שידור NTP IPv4 על ממשק. לאחר מכן, המכשיר שולח מנות שידור דרך ממשק זה מעת לעת. הלקוח אינו נדרש לשלוח תגובה.
נוֹהָל
| פְּקוּדָה or פְּעוּלָה | מַטָרָה | |
| שלב 1 | החלף# להגדיר את המסוף | נכנס למצב תצורה גלובלית. |
| שלב 2 | switch(config)# מִמְשָׁק סוג חריץ/יציאה | נכנס למצב תצורת הממשק. |
| שלב 3 | switch(config-if)# [אין] שידור ntp [יַעַד כתובת ה - IP] [מַפְתֵחַ מפתח מזהה] [מספר גרסה] | מאפשר שרת שידור NTP IPv4 בממשק שצוין.
• יַעַד כתובת ה - IP-מגדיר את כתובת ה-IP של יעד השידור. • מַפְתֵחַ מפתח מזהה—מגדיר את מספר מפתח האימות של השידור. הטווח הוא בין 1 ל-65535. • מספר גרסה-מגדיר את גרסת ה-NTP. הטווח הוא בין 2 ל-4. |
| שלב 4 | switch(config-if)# יְצִיאָה | יוצא ממצב תצורת הממשק. |
| שלב 5 | (אופציונלי) switch(config)# [לא] ntp broadcast delay לְעַכֵּב | מגדיר את העיכוב המשוער של השידור הלוך ושוב במיקרו-שניות. הטווח הוא בין 1 ל-999999. |
| שלב 6 | (אופציונלי) switch(config)# העתק את run-config startup-config | שומר את השינוי בהתמדה באמצעות אתחולים והפעלות מחדש על ידי העתקת התצורה הפועלת לתצורת האתחול. |
Example
האקסית הזוample מראה כיצד להגדיר שרת שידור NTP:
- switch# להגדיר מסוף
- switch(config)# ממשק Ethernet 6/1
- switch(config-if)# יעד שידור ntp 192.0.2.10 switch(config-if)# exit
- switch(config)# ntp broadcastdelay 100
- switch(config)# copy running-config startup-config
הגדרת שרת NTP Multicast
אתה יכול להגדיר שרת NTP IPv4 או IPv6 multicast על ממשק. לאחר מכן, המכשיר שולח מנות ריבוי שידור דרך ממשק זה מעת לעת.
נוֹהָל
| פְּקוּדָה or פְּעוּלָה | מַטָרָה | |
| שלב 1 | החלף# להגדיר את המסוף | נכנס למצב תצורה גלובלית. |
| שלב 2 | switch(config)# מִמְשָׁק סוג חריץ/יציאה | נכנס למצב תצורת הממשק. |
| שלב 3 | switch(config-if)# [לא] ntp multicast [כתובת ipv4 | כתובת ipv6] [מַפְתֵחַ מפתח מזהה] [ערך ttl] [מספר גרסה] | מאפשר שרת NTP IPv4 או IPv6 multicast בממשק שצוין.
• כתובת ipv4 or כתובת ipv6— כתובת IPv4 או IPv6 לשידור רב. |
| • מַפְתֵחַ מפתח מזהה-מגדיר את השידור
מספר מפתח אימות. הטווח הוא בין 1 ל-65535. • ערך ttl- ערך זמן חיים של חבילות השידור המרובות. הטווח הוא בין 1 ל-255. • גִרְסָה מִספָּר-גרסת NTP. הטווח הוא בין 2 ל-4. |
||
| שלב 4 | (אופציונלי) switch(config-if)# העתק את run-config startup-config | שומר את השינוי בהתמדה באמצעות אתחולים והפעלות מחדש על ידי העתקת התצורה הפועלת לתצורת האתחול. |
Example
האקסית הזוample מראה כיצד להגדיר ממשק Ethernet לשליחת מנות NTP Multicast:
- switch# להגדיר מסוף
- switch(config)# ממשק Ethernet 2/2
- switch(config-if)# ntp multicast FF02::1:FF0E:8C6C
- switch(config-if)# copy running-config startup-config
הגדרת לקוח NTP Multicast
אתה יכול להגדיר לקוח NTP multicast על ממשק. לאחר מכן, המכשיר מאזין להודעות Multicast של NTP ומשליך את כל ההודעות המגיעות מממשק שעבורו לא הוגדרה Multicast.
נוֹהָל
| פְּקוּדָה or פְּעוּלָה | מַטָרָה | |
| שלב 1 | החלף# להגדיר את המסוף | נכנס למצב תצורה גלובלית. |
| שלב 2 | switch(config)# מִמְשָׁק סוג חריץ/יציאה | נכנס למצב תצורת הממשק. |
| שלב 3 | switch(config-if)# [אין] לקוח ntp multicast [כתובת ipv4 | כתובת ipv6] | מאפשר לממשק שצוין לקבל מנות NTP multicast. |
| שלב 4 | (אופציונלי) switch(config-if)# העתק את run-config startup-config | שומר את השינוי בהתמדה באמצעות אתחולים והפעלות מחדש על ידי העתקת התצורה הפועלת לתצורת האתחול. |
Example
האקסית הזוample מראה כיצד להגדיר ממשק Ethernet לקבלת מנות NTP Multicast:
- switch# להגדיר מסוף
- switch(config)# ממשק Ethernet 2/3
- switch(config-if)# לקוח ntp multicast FF02::1:FF0E:8C6C
- switch(config-if)# copy running-config startup-config
הגדרת רישום NTP
אתה יכול להגדיר רישום NTP כדי ליצור יומני מערכת עם אירועי NTP משמעותיים. רישום NTP מושבת כברירת מחדל.
נוֹהָל
| פְּקוּדָה or פְּעוּלָה | מַטָרָה | |
| שלב 1 | החלף# להגדיר את המסוף | נכנס למצב תצורה גלובלית. |
| שלב 2 | switch(config)# [לֹא] רישום ntp | מאפשר או משבית יצירת יומני מערכת עם אירועי NTP משמעותיים. רישום NTP מושבת כברירת מחדל. |
| שלב 3 | (אופציונלי) switch(config)# הצג סטטוס רישום של ntp | מציג את מצב תצורת רישום ה-NTP. |
| שלב 4 | (אופציונלי) switch(config)# העתק את run-config startup-config | שומר את השינוי בהתמדה באמצעות אתחולים והפעלות מחדש על ידי העתקת התצורה הפועלת לתצורת האתחול. |
Example
האקס הבאample מראה כיצד לאפשר רישום NTP כדי ליצור יומני מערכת עם אירועי NTP משמעותיים:
- switch# להגדיר מסוף
- switch(config)# ntp רישום
- switch(config)# copy running-config startup-config [#################################### ###] 100%
- switch(config)#
הפעלת הפצת CFS עבור NTP
אתה יכול להפעיל הפצת CFS עבור NTP כדי להפיץ את תצורת NTP להתקנים אחרים התומכים ב-CFS.
לפני שתתחיל
ודא שהפעלת הפצת CFS עבור המכשיר.
נוֹהָל
| פְּקוּדָה or פְּעוּלָה | מַטָרָה | |
| שלב 1 | החלף# להגדיר את המסוף | נכנס למצב תצורה גלובלית. |
| שלב 2 | switch(config)# [לֹא] ntp להפיץ | מפעיל או משבית את המכשיר לקבל עדכוני תצורת NTP המופצים באמצעות CFS. |
| שלב 3 | (אופציונלי) switch(config)# הצג סטטוס ntp | מציג את מצב ההפצה של NTP CFS. |
| שלב 4 | (אופציונלי) switch(config)# העתק את run-config startup-config | שומר את השינוי בהתמדה באמצעות אתחולים והפעלות מחדש על ידי העתקת התצורה הפועלת לתצורת האתחול. |
Example
האקסית הזוample מראה כיצד לאפשר למכשיר לקבל עדכוני תצורת NTP דרך CFS:
- switch# להגדיר מסוף
- switch(config)# ntp distribute
- switch(config)# copy running-config startup-config
ביצוע שינויים בתצורת NTP
כאשר אתה מבצע את שינויי תצורת ה-NTP, מסד הנתונים האפקטיבי מוחלף על ידי שינויי התצורה במסד הנתונים הממתינים וכל המכשירים ברשת מקבלים את אותה תצורה.
נוֹהָל
| פְּקוּדָה or פְּעוּלָה | מַטָרָה | |
| שלב 1 | החלף# להגדיר את המסוף | נכנס למצב תצורה גלובלית. |
| שלב 2 | switch(config)# ntp commit | מפיץ את שינויי תצורת ה-NTP לכל התקני Cisco NX-OS ברשת ומשחרר את נעילת ה-CFS. פקודה זו מחליפה את מסד הנתונים האפקטיבי עם השינויים שבוצעו במסד הנתונים הממתין. |
ביטול שינויים בתצורת NTP
לאחר ביצוע שינויי התצורה, תוכל לבחור למחוק את השינויים במקום לבצע אותם. אם תבטל את השינויים, Cisco NX-OS תסיר את השינויים הממתינים במסד הנתונים ותשחרר את נעילת ה-CFS.
נוֹהָל
| פְּקוּדָה or פְּעוּלָה | מַטָרָה | |
| שלב 1 | החלף# להגדיר את המסוף | נכנס למצב תצורה גלובלית. |
| שלב 2 | switch(config)# ntp לבטל | מבטל את שינויי תצורת ה-NTP במסד הנתונים הממתינים ומשחרר את נעילת ה-CFS. השתמש בפקודה זו במכשיר שבו התחלת את תצורת ה-NTP. |
שחרור נעילת ההפעלה של CFS
אם ביצעת תצורת NTP ושכחת לשחרר את הנעילה על ידי ביצוע או ביטול השינויים, אתה או מנהל אחר יכול לשחרר את הנעילה מכל מכשיר ברשת. פעולה זו גם מבטלת שינויים ממתינים במסד הנתונים.
נוֹהָל
| פְּקוּדָה or פְּעוּלָה | מַטָרָה | |
| שלב 1 | החלף# להגדיר את המסוף | נכנס למצב תצורה גלובלית. |
| שלב 2 | switch(config)# סשן ntp ברור | מבטל את שינויי תצורת ה-NTP במסד הנתונים הממתינים ומשחרר את נעילת ה-CFS. |
אימות תצורת NTP
| פְּקוּדָה | מַטָרָה |
| הצג קבוצות גישה ל-ntp | מציג את תצורת קבוצת הגישה של NTP. |
| הצג מפתחות אימות ntp | מציג את מפתחות אימות ה-NTP המוגדרים. |
| הצג מצב אימות ntp | מציג את המצב של אימות NTP. |
| הצג סטטוס רישום של ntp | מציג את מצב רישום ה-NTP. |
| הצג סטטוס עמיתים של ntp | מציג את המצב עבור כל שרתי ה-NTP והעמיתים. |
| הצג ntp peer | מציג את כל עמיתי ה-NTP. |
| הצג ntp בהמתנה | מציג את מסד הנתונים הזמני של CFS עבור NTP. |
| הצג ntp pending-diff | מציג את ההבדל בין מסד הנתונים של CFS הממתין לבין תצורת ה-NTP הנוכחית. |
| הצג ntp rts-update | מציג את מצב עדכון ה-RTS. |
| הצג סטטוס הפעלה של ntp | מציג את המידע על הפצת NTP CFS. |
| הצג מקור ntp | מציג את כתובת ה-IP של מקור NTP שהוגדרה. |
| הצג ממשק מקור ntp | מציג את ממשק מקור ה-NTP המוגדר. |
| הצג סטטיסטיקות ntp {io | מְקוֹמִי | זֵכֶר | לְהָצִיץ
{ipaddr {ipv4-addr} | שֵׁם שם עמית}} |
מציג את הנתונים הסטטיסטיים של NTP. |
| הצג סטטוס ntp | מציג את מצב ההפצה של NTP CFS. |
| הצג מפתחות מהימנים של ntp | מציג את מפתחות ה-NTP המהימנים המוגדרים. |
| הצג ntp עם ריצה-config | מציג מידע NTP. |
תצורה לדוגמהamples עבור NTP
תצורה לדוגמהamples עבור NTP
- האקסית הזוample מראה כיצד להגדיר שרת NTP ועמית, להפעיל אימות NTP, להפעיל רישום NTP ולאחר מכן לשמור את תצורת האתחול כך שהיא תישמר במהלך אתחול מחדש והפעלות מחדש:
- האקסית הזוample מציג תצורת קבוצת גישה של NTP עם ההגבלות הבאות:
- הגבלות עמיתים מוחלות על כתובות IP העומדות בקריטריונים של רשימת הגישה בשם "עמית-acl".
- הגבלות הגשה מוחלות על כתובות IP שעומדות בקריטריונים של רשימת הגישה בשם "serve-acl".
- הגבלות להגשה בלבד מוחלות על כתובות IP העומדות בקריטריונים של רשימת הגישה בשם "serve-only-acl".
- הגבלות לשאילתה בלבד מוחלות על כתובות IP שעומדות בקריטריונים של רשימת הגישה בשם "שאילתה בלבד-acl".
מסמכים / משאבים
 |
תוכנה מערכת הפעלה רשת מתקדמת של CISCO NX-OS [pdfמדריך למשתמש NX-OS מערכת הפעלה רשת מתקדמת מעוצבת, NX-OS, מערכת הפעלה רשת מתקדמת מעוצבת, מערכת הפעלה ברשת תוכננה, מערכת הפעלה מעוצבת, מעוצבת מערכת, מעוצבת |
