Zawartość ukrywać
1 CISCO NX-OS Zaawansowany system operacyjny sieciowy zaprojektowany
2 Specyfikacja produktu
3 Instrukcje użytkowania produktu
4 Często zadawane pytania
5 Informacje o NTP
6 NTP jako serwer czasu
7 Dystrybucja NTP za pomocą CFS
8 Menedżer zegara
9 Wysoka dostępność
10 Wsparcie wirtualizacji
11 Wymagania wstępne dla NTP
12 Wytyczne i ograniczenia dla NTP
13 Ustawienia domyślne
14 Konfiguracja NTP
15 Weryfikacja konfiguracji NTP
16 Konfiguracja Examples dla NTP
17 Dokumenty / Zasoby
17.1 Odniesienia
18 Powiązane posty

Logo CISCO

CISCO NX-OS Zaawansowany system operacyjny sieciowy zaprojektowany

CISCO-NX-OS-Advanced-Network-Operating-System-Designed-Product

Specyfikacja produktu

  • Protokół synchronizacji czasu: NTP (protokół czasu sieciowego)
  • Wsparcie: System operacyjny Cisco NX
  • Cechy: Konfiguracja serwera czasu NTP, relacje równorzędne NTP, funkcje bezpieczeństwa, obsługa wirtualizacji

Instrukcje użytkowania produktu

Konfigurowanie protokołu NTP w celu synchronizacji czasu
Przed synchronizacją urządzenia sieciowego z serwerami NTP należy wziąć pod uwagę następujące wskazówki:

  1. NTP porównuje czas raportowany przez różne urządzenia i unika synchronizacji ze znacząco różniącymi się źródłami czasu.
  2. Jeśli nie można nawiązać połączenia z serwerem stratum 1, w celu synchronizacji należy skorzystać z publicznych serwerów NTP dostępnych w Internecie.
  3. Jeżeli dostęp do Internetu jest ograniczony, skonfiguruj ustawienia czasu lokalnego tak, jakby były synchronizowane przez protokół NTP.

Tworzenie relacji równorzędnych NTP
Aby wyznaczyć hosty obsługujące czas na potrzeby synchronizacji i zapewnić dokładny czas w przypadku awarii serwera:

  • Utwórz relacje równorzędne NTP z wybranymi hostami.
  • Aby zwiększyć bezpieczeństwo, stosuj ograniczenia oparte na listach dostępu lub szyfrowane mechanizmy uwierzytelniania.

Dystrybucja konfiguracji NTP przy użyciu CFS
Cisco Fabric Services (CFS) umożliwia dystrybucję lokalnych konfiguracji NTP w sieci. Wykonaj następujące kroki:

  1. Włącz CFS na swoim urządzeniu, aby zainicjować blokadę konfiguracji NTP w całej sieci.
  2. Po wprowadzeniu zmian w konfiguracji należy je odrzucić lub zatwierdzić, aby zwolnić blokadę CFS.

Wysoka dostępność i obsługa wirtualizacji
Zapewnij wysoką dostępność i obsługę wirtualizacji dla protokołu NTP poprzez:

  • Konfigurowanie serwerów równorzędnych NTP w celu zapewnienia redundancji na wypadek awarii serwera.
  • Rozpoznawanie instancji wirtualnego routingu i przekazywania (VRF) na potrzeby operacji NTP.

Często zadawane pytania

  • Wymagania wstępne i wytyczne dotyczące konfiguracji protokołu NTP
    • Wymagania wstępne: Zapewnij łączność sieciową i dostęp do wybranych serwerów NTP.
    • Wytyczne: Użyj funkcji bezpieczeństwa, takich jak listy dostępu i uwierzytelnianie, aby zapewnić bezpieczną synchronizację czasu.
  • Domyślne ustawienia NTP
    • NTP jest domyślnie włączony dla wszystkich interfejsów.
    • NTP pasywny Włączony do tworzenia skojarzeń.
    • Uwierzytelnianie NTP jest domyślnie wyłączone.
    • Dostęp NTP włączony dla wszystkich interfejsów.
    • Serwer rozgłoszeniowy NTP domyślnie wyłączony.

Informacje o NTP

  • Protokół Network Time Protocol (NTP) synchronizuje czas dnia pomiędzy zestawem rozproszonych serwerów czasu i klientów, dzięki czemu możesz korelować zdarzenia, gdy otrzymujesz dzienniki systemowe i inne zdarzenia specyficzne dla czasu z wielu urządzeń sieciowych. NTP używa User Datagram Protocol (UDP) jako protokół transportowy. Wszystkie komunikaty NTP używają Coordinated Universal Time (UTC).
  • Serwer NTP zazwyczaj otrzymuje swój czas z autorytatywnego źródła czasu, takiego jak zegar radiowy lub zegar atomowy podłączony do serwera czasu, a następnie dystrybuuje ten czas w sieci. NTP jest niezwykle wydajny; nie potrzeba więcej niż jednego pakietu na minutę, aby zsynchronizować dwie maszyny z dokładnością do milisekundy.
  • Protokół NTP wykorzystuje warstwę do opisu odległości między urządzeniem sieciowym a autorytatywnym źródłem czasu:
    • Serwer czasu warstwy 1 jest bezpośrednio połączony z autorytatywnym źródłem czasu (takim jak zegar radiowy, atomowy lub źródło czasu GPS).
    • Serwer NTP warstwy 2 otrzymuje swój czas za pośrednictwem protokołu NTP od serwera czasu warstwy 1.
  • Przed synchronizacją NTP porównuje czas raportowany przez kilka urządzeń sieciowych i nie synchronizuje się z tym, który jest znacząco różny, nawet jeśli jest to stratum 1. Ponieważ Cisco NX-OS nie może połączyć się z radiem lub zegarem atomowym i działać jako serwer stratum 1, zalecamy korzystanie z publicznych serwerów NTP dostępnych w Internecie. Jeśli sieć jest odizolowana od Internetu, Cisco NX-OS umożliwia skonfigurowanie czasu tak, jakby był on synchronizowany przez NTP, nawet jeśli tak nie było.
    Notatka
    Możesz tworzyć relacje równorzędne NTP, aby wyznaczyć hosty obsługujące czas, z którymi Twoje urządzenie sieciowe ma się synchronizować, i podawać dokładny czas w przypadku awarii serwera.
  • Czas przechowywany na urządzeniu jest zasobem krytycznym, dlatego zdecydowanie zalecamy korzystanie z funkcji bezpieczeństwa NTP, aby uniknąć przypadkowego lub złośliwego ustawienia nieprawidłowego czasu. Dostępne są dwa mechanizmy: schemat ograniczeń oparty na liście dostępu i szyfrowany mechanizm uwierzytelniania.

NTP jako serwer czasu

Inne urządzenia mogą skonfigurować go jako serwer czasu. Możesz również skonfigurować urządzenie, aby działało jako autorytatywny serwer NTP, umożliwiając mu dystrybucję czasu nawet wtedy, gdy nie jest zsynchronizowane z zewnętrznym źródłem czasu.

Dystrybucja NTP za pomocą CFS

  • Usługa Cisco Fabric Services (CFS) dystrybuuje lokalną konfigurację NTP do wszystkich urządzeń Cisco w sieci.
  • Po włączeniu CFS na urządzeniu blokada sieciowa jest stosowana do NTP za każdym razem, gdy uruchamiana jest konfiguracja NTP. Po wprowadzeniu zmian w konfiguracji NTP możesz je odrzucić lub zatwierdzić.
  • W obu przypadkach blokada CFS zostaje zwolniona z aplikacji NTP.

Menedżer zegara

  • Zegary to zasoby, które muszą być współdzielone przez różne procesy.
  • W systemie mogą być uruchomione różne protokoły synchronizacji czasu, np. NTP i Precision Time Protocol (PTP).

Wysoka dostępność

  • Bezstanowe ponowne uruchomienia są obsługiwane dla NTP. Po ponownym uruchomieniu lub przełączeniu nadzorcy, stosowana jest bieżąca konfiguracja.
  • Można skonfigurować równorzędne serwery NTP w celu zapewnienia redundancji na wypadek awarii serwera NTP.

Wsparcie wirtualizacji

NTP rozpoznaje wystąpienia wirtualnego routingu i przekazywania (VRF). NTP używa domyślnego VRF, jeśli nie skonfigurujesz określonego VRF dla serwera NTP i równorzędnego urządzenia NTP.

Wymagania wstępne dla NTP

NTP ma następujące wymagania wstępne:
Aby skonfigurować protokół NTP, musisz mieć połączenie z co najmniej jednym serwerem obsługującym protokół NTP.

Wytyczne i ograniczenia dla NTP

Następujące wytyczne i ograniczenia konfiguracji protokołu NTP:

  • Polecenie CLI „show ntp session status” nie pokazuje czasu ostatniej akcjiamp, ostatnia czynność, wynik ostatniej czynności i przyczyna niepowodzenia ostatniej czynności.
  • Obsługiwana jest funkcjonalność serwera NTP.
  • Powiązanie równorzędne z innym urządzeniem należy nawiązywać tylko wtedy, gdy masz pewność, że Twój zegar jest niezawodny (co oznacza, że ​​jesteś klientem niezawodnego serwera NTP).
  • Peer skonfigurowany samodzielnie przejmuje rolę serwera i powinien być używany jako zapasowy. Jeśli masz dwa serwery, możesz skonfigurować kilka urządzeń tak, aby wskazywały na jeden serwer, a pozostałe urządzenia tak, aby wskazywały na drugi serwer. Następnie możesz skonfigurować skojarzenie peer między tymi dwoma serwerami, aby utworzyć bardziej niezawodną konfigurację NTP.
  • Jeśli posiadasz tylko jeden serwer, powinieneś skonfigurować wszystkie urządzenia jako klientów tego serwera.
  • Można skonfigurować maksymalnie 64 jednostki NTP (serwery i równorzędne urządzenia).
  • Jeśli CFS jest wyłączony dla protokołu NTP, protokół NTP nie dystrybuuje żadnej konfiguracji i nie akceptuje dystrybucji z innych urządzeń w sieci.
  • Po włączeniu dystrybucji CFS dla NTP, wprowadzenie polecenia konfiguracji NTP blokuje sieć dla konfiguracji NTP do momentu wprowadzenia polecenia commit. Podczas blokady żadne inne urządzenie w sieci nie może wprowadzać żadnych zmian w konfiguracji NTP, z wyjątkiem urządzenia, które zainicjowało blokadę.
  • Jeżeli do dystrybucji protokołu NTP używasz protokołu CFS, wszystkie urządzenia w sieci powinny mieć skonfigurowane takie same karty VRF, jakie używasz do dystrybucji protokołu NTP.
  • Jeśli skonfigurujesz protokół NTP w systemie VRF, upewnij się, że serwer NTP i komputery równorzędne mogą się ze sobą komunikować za pośrednictwem skonfigurowanych systemów VRF.
  • Klucze uwierzytelniania NTP należy ręcznie rozpowszechnić na serwerze NTP i urządzeniach Cisco NX-OS w ​​sieci.
  • Jeśli używasz przełącznika jako urządzenia brzegowego i chcesz używać protokołu NTP, firma Cisco zaleca użycie polecenia ntp access-group i filtrowanie protokołu NTP tylko do wymaganych urządzeń brzegowych.
  • Jeżeli w systemie skonfigurowano polecenia ntp passive, ntp broadcast client lub ntp multicast client, to po odebraniu przez protokół NTP symetrycznego pakietu aktywnego, rozgłoszeniowego lub multicastowego, może on ustanowić tymczasowe skojarzenie równorzędne w celu synchronizacji z nadawcą.
    Notatka
    Upewnij się, że określiłeś ntp authenticate przed włączeniem któregokolwiek z powyższych poleceń. Niewykonanie tego spowoduje, że Twoje urządzenie będzie mogło synchronizować się z dowolnym urządzeniem wysyłającym jeden z powyższych typów pakietów, w tym ze złośliwymi urządzeniami kontrolowanymi przez atakujących.
  • Jeżeli określono polecenie ntp authenticate, to po odebraniu symetrycznego pakietu aktywnego, rozgłoszeniowego lub wielokierunkowego system nie synchronizuje się z komputerem równorzędnym, chyba że pakiet zawiera jeden z kluczy uwierzytelniających określonych w poleceniu konfiguracji globalnej ntp trusted-key.
  • Aby zapobiec synchronizacji z nieautoryzowanymi hostami sieciowymi, polecenie ntp authenticate należy określić za każdym razem, gdy zostanie określone polecenie ntp passive, ntp broadcast client lub ntp multicast client, chyba że podjęto inne środki, takie jak polecenie ntp access-group, w celu uniemożliwienia nieautoryzowanym hostom komunikacji z usługą NTP na urządzeniu.
  • Polecenie ntp authenticate nie uwierzytelnia skojarzeń równorzędnych skonfigurowanych za pomocą poleceń konfiguracji serwera ntp i ntp peer. Aby uwierzytelnić skojarzenia serwera ntp i równorzędnych ntp, należy określić słowo kluczowe key.
  • Użyj powiązań rozgłoszeniowych lub multicastowych NTP, gdy wymagania dotyczące dokładności czasu i niezawodności są skromne, sieć jest zlokalizowana i ma ponad 20 klientów. Zalecamy używanie powiązań rozgłoszeniowych lub multicastowych NTP w sieciach o ograniczonej przepustowości, pamięci systemowej lub zasobach procesora.
  • Dla jednej grupy dostępu NTP można skonfigurować maksymalnie cztery listy ACL.
    Notatka Dokładność czasu jest nieznacznie obniżona w przypadku afiliacji rozgłoszeniowych NTP, ponieważ informacje przepływają tylko w jedną stronę.

Ustawienia domyślne

Poniżej przedstawiono domyślne ustawienia parametrów NTP.

Parametry Domyślny
NTP Włączone dla wszystkich interfejsów
NTP pasywny (umożliwiający NTP tworzenie skojarzeń) Włączony
Uwierzytelnianie NTP Wyłączony
Dostęp NTP Włączony
Grupa dostępu NTP pasuje do wszystkich Wyłączony
Serwer rozgłoszeniowy NTP Wyłączony
Serwer multicast NTP Wyłączony
Klient multicast NTP Wyłączony
Rejestrowanie NTP Wyłączony

Konfiguracja NTP

Włączanie i wyłączanie protokołu NTP na interfejsie
Możesz włączyć lub wyłączyć NTP na konkretnym interfejsie. NTP jest domyślnie włączony na wszystkich interfejsach.

Procedura

Rozkaz or Działanie Zamiar
Krok 1 przełącznik# skonfiguruj terminal Przechodzi do trybu konfiguracji globalnej.
Krok 2 przełącznik (konfiguracja) # interfejs wpisz gniazdo/port Wejście w tryb konfiguracji interfejsu.
Krok 3 switch(konfiguracja-jeśli)# [nie] ntp wyłączony {ipv6} Wyłącza protokół NTP IPv4 lub IPv6 na określonym interfejsie.

Użyj NIE Użyj tej komendy, aby ponownie włączyć NTP na interfejsie.
Krok 4 (Opcjonalnie) przełącznik (config-if)# kopiuj bieżącą konfigurację konfiguracja startowa Trwale zapisuje zmiany poprzez ponowne uruchamianie i ponowne uruchamianie, kopiując bieżącą konfigurację do konfiguracji początkowej.

Example
Następujący example pokazuje jak włączyć lub wyłączyć NTP na interfejsie:

  • przełącz # skonfiguruj terminal
  • switch(config)# interfejs ethernet 6/1
  • switch(config-if)# ntp wyłącz ip
  • switch(config-if)# skopiuj running-config startup-config

Konfigurowanie urządzenia jako autorytatywnego serwera NTP
Urządzenie można skonfigurować tak, aby działało jako autorytatywny serwer NTP, dzięki czemu będzie mogło dystrybuować czas nawet wtedy, gdy nie jest zsynchronizowane z istniejącym serwerem czasu.

Procedura

Rozkaz or Działanie Zamiar
Krok 1 przełącznik# skonfiguruj terminal Przechodzi do trybu konfiguracji globalnej.
Rozkaz or Działanie Zamiar
Krok 1 przełącznik# skonfiguruj terminal Przechodzi do trybu konfiguracji globalnej.

Example
Ten byłyamppokazuje, jak skonfigurować urządzenie Cisco NX-OS jako autorytatywny serwer NTP z innym poziomem stratum:

  • przełącz # skonfiguruj terminal
  • Wprowadź polecenia konfiguracyjne, po jednym w wierszu. Zakończ za pomocą CNTL/Z.
  • przełącznik(konfiguracja)# ntp master 5

Konfigurowanie serwera NTP i równorzędnego urządzenia
Można skonfigurować serwer NTP i równorzędny komputer.

Zanim zaczniesz
Upewnij się, że znasz adres IP lub nazwy DNS swojego serwera NTP i jego odpowiedników.

Procedura

Rozkaz or Działanie Zamiar
Krok 1 przełącznik# skonfiguruj terminal Przechodzi do trybu konfiguracji globalnej.
Krok 2 przełącznik(konfiguracja)# [NIE] serwer ntp {adres IP | adres IPv6 | nazwa-dns} [klawisz klucz-id] [makspoll max-ankieta] [min.ankieta min-sondaż] [woleć] [użyj-vrf nazwa-vrf] Nawiązuje połączenie z serwerem.

Użyj klawisz Słowo kluczowe umożliwiające skonfigurowanie klucza, który będzie używany podczas komunikacji z serwerem NTP.

Zakres dla klucz-id argument wynosi od 1 do 65535.

Użyj makspoll I min.ankieta słowa kluczowe do skonfigurowania maksymalnych i minimalnych interwałów, w których ma być przeprowadzane sondowanie serwera. Zakres dla max-ankieta I min-sondaż argumenty są od 4 do

16 (skonfigurowane jako potęgi liczby 2, więc efektywnie od 16 do 65536 sekund) i wartości domyślne
wynoszą odpowiednio 6 i 4 (makspoll domyślna = 64

towary drugiej jakości, min.ankieta domyślnie = 16 sekund).

Użyj preferuj słowo kluczowe aby uczynić go preferowanym serwerem NTP dla urządzenia.

Użyj użyj-vrf Słowo kluczowe umożliwiające skonfigurowanie serwera NTP do komunikacji poprzez określony VRF.

Ten nazwa-vrf argumentem może być wartość domyślna, zarządzanie lub dowolny ciąg alfanumeryczny (z uwzględnieniem wielkości liter) o długości do 32 znaków.

Notatka                 Jeśli skonfigurujesz klucz, który będzie używany podczas komunikacji z serwerem NTP, upewnij się, że klucz ten jest kluczem zaufanym na urządzeniu.
Krok 3 przełącznik(konfiguracja)# [NIE] rówieśnik ntp {adres IP | adres IPv6 | nazwa-dns} [klawisz klucz-id] [makspoll max-ankieta] [min.ankieta min-sondaż] [woleć] [użyj-vrf nazwa-vrf] Tworzy skojarzenie z peerem. Można określić wiele skojarzeń peerów.

Użyj klawisz słowo kluczowe do skonfigurowania klucza, który ma być używany podczas komunikacji z rówieśnikiem NTP. Zakres dla klucz-id argument wynosi od 1 do 65535.

Użyj makspoll I min.ankieta słowa kluczowe do skonfigurowania maksymalnych i minimalnych interwałów, w których ma być przeprowadzane sondowanie serwera. Zakres dla max-ankieta I min-sondaż argumenty mieszczą się w przedziale od 4 do 17 (skonfigurowane jako potęgi liczby 2, co w praktyce oznacza od 16 do 131072 sekund), a wartości domyślne wynoszą odpowiednio 6 i 4 (makspoll domyślnie = 64 sekundy, min.ankieta domyślnie = 16 sekund).

Użyj woleć słowo kluczowe, aby uczynić go preferowanym partnerem NTP dla urządzenia.

Użyj użyj-vrf słowo kluczowe do skonfigurowania równorzędnego NTP do komunikacji przez określony VRF. nazwa-vrf argument może być domyślny , kierownictwo lub dowolny ciąg alfanumeryczny (z uwzględnieniem wielkości liter) o długości do 32 znaków.
Krok 4 (Opcjonalnie) przełącz (konfiguracja)# pokaż rówieśników ntp Wyświetla skonfigurowany serwer i urządzenia równorzędne.

Notatka                 Nazwa domeny zostanie rozwiązana tylko wtedy, gdy skonfigurowano serwer DNS.
Krok 5 (Opcjonalnie) przełącz (konfiguracja)# kopiuj bieżącą konfigurację konfiguracja startowa Trwale zapisuje zmiany poprzez ponowne uruchamianie i ponowne uruchamianie, kopiując bieżącą konfigurację do konfiguracji początkowej.

Konfigurowanie uwierzytelniania NTP
Możesz skonfigurować urządzenie tak, aby uwierzytelniało źródła czasu, z którymi synchronizowany jest zegar lokalny. Po włączeniu uwierzytelniania NTP urządzenie synchronizuje się ze źródłem czasu tylko wtedy, gdy źródło to zawiera jeden z kluczy uwierzytelniania określonych przez polecenie ntp trusted-key. Urządzenie odrzuca wszystkie pakiety, które nie przejdą kontroli uwierzytelniania i uniemożliwia im aktualizację zegara lokalnego. Uwierzytelnianie NTP jest domyślnie wyłączone.

Zanim zaczniesz
Uwierzytelnianie serwerów NTP i równorzędnych urządzeń NTP jest konfigurowane na podstawie skojarzenia przy użyciu słowa kluczowego key w każdym poleceniu serwera ntp i ntp peer. Upewnij się, że skonfigurowałeś wszystkie skojarzenia serwerów NTP i równorzędnych urządzeń NTP przy użyciu kluczy uwierzytelniania, które planujesz określić w tej procedurze. Wszystkie polecenia serwera ntp lub równorzędnych urządzeń NTP, które nie określają słowa kluczowego key, będą nadal działać bez uwierzytelniania.

Procedura

Rozkaz or Działanie Zamiar
Krok 1 skonfiguruj terminal

Exampna:

switch# skonfiguruj terminal switch(config)#

 Przechodzi do trybu konfiguracji globalnej.
Krok 2 [NIE] klucz uwierzytelniania ntp numer md5

ciąg znaków md5

Exampna:

switch(config)# klucz-uwierzytelniania-ntp

42 md5 aNiceKey

 Definiuje klucze uwierzytelniania. Urządzenie nie synchronizuje się ze źródłem czasu, chyba że źródło ma jeden z tych kluczy uwierzytelniania, a numer klucza jest określony przez ntp zaufany klucz numer rozkaz.

Zakres kluczy uwierzytelniających wynosi od 1 do 65535. W przypadku ciągu MD5 można wprowadzić maksymalnie osiem znaków alfanumerycznych.
Krok 3 serwer ntp adres IP klawisz klucz-id

Exampna:

przełącznik(konfiguracja)# serwer ntp 192.0.2.1 klucz 1001

 Włącza uwierzytelnianie dla określonego serwera NTP, tworząc skojarzenie z serwerem.

Użyj klawisz słowo kluczowe do skonfigurowania klucza, który ma być używany podczas komunikacji z serwerem NTP. Zakres dla klucz-id argument wynosi od 1 do 65535.

Aby wymagać uwierzytelnienia, klawisz musi być użyte słowo kluczowe. serwer ntp or rówieśnik ntp polecenia, które nie określają klawisz Słowo kluczowe będzie nadal działać bez uwierzytelnienia.
Krok 4 (Fakultatywny) pokaż klucze uwierzytelniania ntp

Exampna:

switch(config)# pokaż klucze uwierzytelniania ntp

 Wyświetla skonfigurowane klucze uwierzytelniania NTP.
Krok 5 [NIE] ntp zaufany klucz numer

Exampna:

przełącznik(konfiguracja)# ntp zaufany-klucz 42

 Określa jeden lub więcej kluczy (zdefiniowanych w kroku 2), które nieskonfigurowane zdalne źródło czasu symetrycznego, rozgłoszeniowego i multicastowego musi dostarczyć w swoich pakietach NTP, aby urządzenie mogło się z nim zsynchronizować. Zakres zaufanych kluczy wynosi od 1 do 65535.

Polecenie to zapewnia ochronę przed przypadkową synchronizacją urządzenia ze źródłem czasu, któremu nie można zaufać.
Krok 6 (Fakultatywny) pokaż zaufane klucze ntp

Exampna:

switch(config)# pokaż zaufane klucze ntp

 Wyświetla skonfigurowane zaufane klucze NTP.
Krok 7 [NIE] uwierzytelnianie ntp

Exampna:

switch(config)# uwierzytelnianie ntp

 Włącza lub wyłącza uwierzytelnianie dla ntp passive, ntp broadcast client i ntp multicast. Uwierzytelnianie NTP jest domyślnie wyłączone.
Krok 8 (Fakultatywny) pokaż status uwierzytelniania ntp

Exampna:

switch(config)# pokaż status uwierzytelniania ntp

 Wyświetla status uwierzytelniania NTP.
Krok 9 (Fakultatywny) kopia konfiguracja-bieżąca konfiguracja startowa

Exampna:

switch(config)# kopiuj running-config startup-config

 Kopiuje bieżącą konfigurację do konfiguracji startowej.

Konfigurowanie ograniczeń dostępu NTP

  • Możesz kontrolować dostęp do usług NTP, używając grup dostępu. Konkretnie, możesz określić typy żądań, na które zezwala urządzenie, i serwery, z których akceptuje odpowiedzi.
  • Jeśli nie skonfigurujesz żadnych grup dostępu, dostęp NTP zostanie przyznany wszystkim urządzeniom. Jeśli skonfigurujesz jakiekolwiek grupy dostępu, dostęp NTP zostanie przyznany tylko zdalnemu urządzeniu, którego źródłowy adres IP spełnia kryteria listy dostępu.
  • Począwszy od wydania Cisco NX-OS 7.0(3)I7(3) grupy dostępu są oceniane w następujący sposób:
    • Bez słowa kluczowego match-all pakiet jest oceniany w odniesieniu do grup dostępu (w kolejności podanej poniżej), aż znajdzie zezwolenie. Jeśli zezwolenie nie zostanie znalezione, pakiet jest odrzucany.
    • W przypadku słowa kluczowego match-all pakiet jest oceniany w odniesieniu do wszystkich grup dostępu (w kolejności podanej poniżej), a działanie jest podejmowane na podstawie ostatniej pomyślnej oceny (ostatniej grupy dostępu, dla której skonfigurowano listę ACL).
  • Mapowanie grupy dostępu na typ pakietu wygląda następująco:
    • rówieśnik—klient procesowy, symetryczny aktywny, symetryczny pasywny, obsługa, kontrola i pakiety prywatne (wszystkie typy)
    • podawać—przetwarzaj pakiety klienta, kontroli i prywatne
    • tylko do serwowania—przetwarzaj tylko pakiety klienckie
    • tylko zapytanie—tylko kontrola procesów i pakiety prywatne
  • Grupy dostępu są oceniane w następującej kolejności malejącej:
    1. peer (wszystkie typy pakietów)
    2. obsługiwać (pakiety klienta, kontroli i prywatne)
    3. tylko zapytanie (pakiety klienta) lub tylko zapytanie (pakiety kontrolne i prywatne)

Procedura

Rozkaz or Działanie Zamiar
Krok 1 przełącznik# skonfiguruj terminal Przechodzi do trybu konfiguracji globalnej.
Krok 2 przełącznik(konfiguracja)# [NIE] grupa dostępu ntp dopasuj-wszystko | {{rówieśnik | podawać | tylko do serwowania | tylko zapytanie }nazwa-listy-dostępu} Tworzy lub usuwa grupę dostępu kontrolującą dostęp NTP i stosuje podstawową listę dostępu IP.

Opcje grupy dostępu są skanowane w następującej kolejności, od najmniej restrykcyjnej do najbardziej restrykcyjnej. Jednak jeśli NTP pasuje do reguły odmowy ACL w skonfigurowanym równorzędnym urządzeniu, przetwarzanie ACL zostaje zatrzymane i nie jest kontynuowane do następnej opcji grupy dostępu.

rówieśnik Słowo kluczowe umożliwia urządzeniu odbieranie żądań czasu i zapytań sterujących NTP oraz synchronizację z serwerami określonymi na liście dostępu.

podawać Słowo kluczowe umożliwia urządzeniu odbieranie żądań czasu i zapytań sterujących NTP z serwerów określonych na liście dostępu, ale nie pozwala mu na synchronizację z określonymi serwerami.

tylko do serwowania Słowo kluczowe umożliwia urządzeniu odbieranie wyłącznie żądań czasu z serwerów określonych na liście dostępu.

tylko zapytanie Słowo kluczowe umożliwia urządzeniu odbieranie wyłącznie zapytań sterujących NTP z serwerów określonych na liście dostępu.

pasuje do wszystkiego słowo kluczowe umożliwia skanowanie opcji grupy dostępu w następującej kolejności, od najmniej restrykcyjnej do najbardziej restrykcyjnej: peer, serve, serve-only, query-only. Jeśli przychodzący pakiet nie pasuje do listy ACL w peer access
grupa, trafia do grupy dostępu serwisowego

zostać przetworzony. Jeśli pakiet nie pasuje do listy ACL w grupie dostępu obsługującego, trafia do grupy dostępu obsługującego tylko obsługę itd.

Notatka                 Ten pasuje do wszystkiego Słowo kluczowe jest dostępne od wydania Cisco NX-OS 7.0(3)I6(1).
Krok 3 przełącznik (konfiguracja) # pokaż grupy dostępu ntp (Opcjonalnie) Wyświetla konfigurację grupy dostępu NTP.
Krok 4 (Opcjonalnie) przełącz (konfiguracja)# kopiuj bieżącą konfigurację konfiguracja startowa Trwale zapisuje zmiany poprzez ponowne uruchamianie i ponowne uruchamianie, kopiując bieżącą konfigurację do konfiguracji początkowej.

Example
Ten byłyample pokazuje jak skonfigurować urządzenie, aby umożliwić mu synchronizację z peerem z grupy dostępu „accesslist1”:

CISCO-NX-OS-Advanced-Network-Operating-System-Designed-fig-3

Konfigurowanie adresu IP źródłowego NTP
NTP ustawia adres IP źródłowy dla wszystkich pakietów NTP na podstawie adresu interfejsu, przez który wysyłane są pakiety NTP. Możesz skonfigurować NTP, aby używał określonego adresu IP źródłowego.

Procedura

Rozkaz or Działanie Zamiar
Krok 1 przełącznik# skonfiguruj terminal Przechodzi do trybu konfiguracji globalnej.
Krok 2 [NIE] źródło ntp adres IP Konfiguruje adres IP źródłowy dla wszystkich pakietów NTP. adres IP może być w formacie IPv4 lub IPv6.

Example
Ten byłyamppokazuje jak skonfigurować adres IP źródłowy NTP 192.0.2.2.

  • przełącz # skonfiguruj terminal
  • przełącznik(konfiguracja)# źródło ntp 192.0.2.2

Konfigurowanie interfejsu źródłowego NTP
Można skonfigurować protokół NTP tak, aby używał określonego interfejsu.

Procedura

Rozkaz or Działanie Zamiar
Krok 1 przełącznik# skonfiguruj terminal Przechodzi do trybu konfiguracji globalnej.
Krok 2 [NIE] ntp interfejs źródłowy interfejs Konfiguruje interfejs źródłowy dla wszystkich pakietów NTP. Poniższa lista zawiera prawidłowe wartości dla interfejs.

• ethernet

• pętla zwrotna

• zarządzanie

• kanał portowy

• sieć VLAN

Example
Ten byłyample pokazuje jak skonfigurować interfejs źródłowy NTP:

  • przełącz # skonfiguruj terminal
  • switch(config)# ntp źródłowy interfejs ethernet

Konfigurowanie serwera rozgłoszeniowego NTP
Możesz skonfigurować serwer rozgłoszeniowy NTP IPv4 na interfejsie. Następnie urządzenie okresowo wysyła pakiety rozgłoszeniowe przez ten interfejs. Klient nie musi wysyłać odpowiedzi.

Procedura

Rozkaz or Działanie Zamiar
Krok 1 przełącznik# skonfiguruj terminal Przechodzi do trybu konfiguracji globalnej.
Krok 2 przełącznik (konfiguracja) # interfejs wpisz gniazdo/port Wejście w tryb konfiguracji interfejsu.
Krok 3 switch(konfiguracja-jeśli)# [nie] transmisja ntp [miejsce docelowe adres IP] [klawisz klucz-id] [numer wersji] Włącza serwer rozgłoszeniowy NTP IPv4 na określonym interfejsie.

•  miejsce docelowe adres IP—Konfiguruje adres IP docelowy transmisji.

•  klawisz klucz-id—Konfiguruje numer klucza uwierzytelniania rozgłoszeniowego. Zakres wynosi od 1 do 65535.

•  numer wersji—Konfiguruje wersję NTP. Zakres wynosi od 2 do 4.
Krok 4 switch(konfiguracja-jeśli)# Wyjście Wychodzi z trybu konfiguracji interfejsu.
Krok 5 (Opcjonalnie) przełącz (konfiguracja)# [nie] opóźnienie transmisji ntp opóźnienie Konfiguruje szacowane opóźnienie transmisji w mikrosekundach. Zakres wynosi od 1 do 999999.
Krok 6 (Opcjonalnie) przełącz (konfiguracja)# kopiuj bieżącą konfigurację konfiguracja startowa Trwale zapisuje zmiany poprzez ponowne uruchamianie i ponowne uruchamianie, kopiując bieżącą konfigurację do konfiguracji początkowej.

Example
Ten byłyample pokazuje jak skonfigurować serwer rozgłoszeniowy NTP:

  • przełącz # skonfiguruj terminal
  • switch(config)# interfejs ethernet 6/1
  • switch(config-if)# miejsce docelowe transmisji ntp 192.0.2.10 switch(config-if)# wyjście
  • przełącznik(konfiguracja)# ntp broadcastdelay 100
  • switch(config)# kopiuj running-config startup-config

Konfigurowanie serwera NTP Multicast
Możesz skonfigurować serwer multicast NTP IPv4 lub IPv6 na interfejsie. Następnie urządzenie okresowo wysyła pakiety multicast przez ten interfejs.

Procedura

Rozkaz or Działanie Zamiar
Krok 1 przełącznik# skonfiguruj terminal Przechodzi do trybu konfiguracji globalnej.
Krok 2 przełącznik (konfiguracja) # interfejs wpisz gniazdo/port Wejście w tryb konfiguracji interfejsu.
Krok 3 switch(konfiguracja-jeśli)# [nie] ntp multicast [adres IPv4 | adres IPv6] [klawisz klucz-id] [wartość ttl] [numer wersji] Włącza serwer multicast NTP IPv4 lub IPv6 na określonym interfejsie.

•  adres IPv4 or adres IPv6— Adres multicastowy IPv4 lub IPv6.
•  klawisz klucz-id—Konfiguruje transmisję

numer klucza uwierzytelniania. Zakres wynosi od 1 do 65535.

•  wartość ttl—Wartość czasu życia pakietów multicast. Zakres wynosi od 1 do 255.

•  wersja numer—wersja NTP. Zakres od 2 do 4.
Krok 4 (Opcjonalnie) przełącznik (config-if)# kopiuj bieżącą konfigurację konfiguracja startowa Trwale zapisuje zmiany poprzez ponowne uruchamianie i ponowne uruchamianie, kopiując bieżącą konfigurację do konfiguracji początkowej.

Example
Ten byłyample pokazuje jak skonfigurować interfejs Ethernet do wysyłania pakietów multicast NTP:

  • przełącz # skonfiguruj terminal
  • switch(config)# interfejs ethernet 2/2
  • przełącznik(config-if)# ntp multicast FF02::1:FF0E:8C6C
  • switch(config-if)# skopiuj running-config startup-config

Konfigurowanie klienta NTP Multicast
Możesz skonfigurować klienta NTP multicast na interfejsie. Następnie urządzenie nasłuchuje komunikatów NTP multicast i odrzuca wszystkie komunikaty pochodzące z interfejsu, dla którego multicast nie jest skonfigurowany.

Procedura

Rozkaz or Działanie Zamiar
Krok 1 przełącznik# skonfiguruj terminal Przechodzi do trybu konfiguracji globalnej.
Krok 2 przełącznik (konfiguracja) # interfejs wpisz gniazdo/port Wejście w tryb konfiguracji interfejsu.
Krok 3 switch(konfiguracja-jeśli)# [nie] klient multicast ntp [adres IPv4 | adres IPv6] Włącza określony interfejs do odbierania pakietów multicast NTP.
Krok 4 (Opcjonalnie) przełącznik (config-if)# kopiuj bieżącą konfigurację konfiguracja startowa Trwale zapisuje zmiany poprzez ponowne uruchamianie i ponowne uruchamianie, kopiując bieżącą konfigurację do konfiguracji początkowej.

Example
Ten byłyample pokazuje jak skonfigurować interfejs Ethernet do odbioru pakietów multicast NTP:

  • przełącz # skonfiguruj terminal
  • switch(config)# interfejs ethernet 2/3
  • przełącznik(config-if)# klient multicast ntp FF02::1:FF0E:8C6C
  • switch(config-if)# skopiuj running-config startup-config

Konfigurowanie rejestrowania NTP
Możesz skonfigurować rejestrowanie NTP, aby generować dzienniki systemowe ze znaczącymi zdarzeniami NTP. Rejestrowanie NTP jest domyślnie wyłączone.

Procedura

Rozkaz or Działanie Zamiar
Krok 1 przełącznik# skonfiguruj terminal Przechodzi do trybu konfiguracji globalnej.
Krok 2 przełącznik(konfiguracja)# [NIE] rejestrowanie ntp Włącza lub wyłącza generowanie dzienników systemowych przy istotnych zdarzeniach NTP. Rejestrowanie NTP jest domyślnie wyłączone.
Krok 3 (Opcjonalnie) przełącz (konfiguracja)# pokaż status rejestrowania ntp Wyświetla status konfiguracji rejestrowania NTP.
Krok 4 (Opcjonalnie) przełącz (konfiguracja)# kopiuj bieżącą konfigurację konfiguracja startowa Trwale zapisuje zmiany poprzez ponowne uruchamianie i ponowne uruchamianie, kopiując bieżącą konfigurację do konfiguracji początkowej.

Example
Następujący example pokazuje jak włączyć rejestrowanie NTP w celu generowania dzienników systemowych zawierających istotne zdarzenia NTP:

  • przełącz # skonfiguruj terminal
  • switch(config)# rejestrowanie ntp
  • switch(config)# kopiuj bieżącą-konfigurację konfiguracja-uruchomieniowa [##########################################] 100%
  • przełącznik (konfiguracja) #

Włączanie dystrybucji CFS dla NTP
Można włączyć dystrybucję CFS dla NTP w celu dystrybucji konfiguracji NTP do innych urządzeń obsługujących CFS.

Zanim zaczniesz
Upewnij się, że włączono dystrybucję CFS dla urządzenia.

Procedura

Rozkaz or Działanie Zamiar
Krok 1 przełącznik# skonfiguruj terminal Przechodzi do trybu konfiguracji globalnej.
Krok 2 przełącznik(konfiguracja)# [NIE] dystrybucja ntp Włącza lub wyłącza możliwość odbierania przez urządzenie aktualizacji konfiguracji NTP rozpowszechnianych za pośrednictwem CFS.
Krok 3 (Opcjonalnie) przełącz (konfiguracja)# pokaż status ntp Wyświetla status dystrybucji NTP CFS.
Krok 4 (Opcjonalnie) przełącz (konfiguracja)# kopiuj bieżącą konfigurację konfiguracja startowa Trwale zapisuje zmiany poprzez ponowne uruchamianie i ponowne uruchamianie, kopiując bieżącą konfigurację do konfiguracji początkowej.

Example
Ten byłyample pokazuje jak włączyć w urządzeniu możliwość odbierania aktualizacji konfiguracji NTP przez CFS:

  • przełącz # skonfiguruj terminal
  • przełącznik(konfiguracja)# ntp dystrybucja
  • switch(config)# kopiuj running-config startup-config

Zatwierdzanie zmian konfiguracji NTP
Po zatwierdzeniu zmian konfiguracji NTP obowiązująca baza danych zostanie nadpisana zmianami konfiguracji w oczekującej bazie danych, a wszystkie urządzenia w sieci otrzymają tę samą konfigurację.

Procedura

Rozkaz or Działanie Zamiar
Krok 1 przełącznik# skonfiguruj terminal Przechodzi do trybu konfiguracji globalnej.
Krok 2 przełącznik (konfiguracja) # zatwierdzenie ntp Dystrybuuje zmiany konfiguracji NTP do wszystkich urządzeń Cisco NX-OS w ​​sieci i zwalnia blokadę CFS. To polecenie nadpisuje obowiązującą bazę danych zmianami wprowadzonymi do oczekującej bazy danych.

Odrzucanie zmian konfiguracji NTP
Po wprowadzeniu zmian konfiguracji możesz wybrać opcję odrzucenia zmian zamiast ich zatwierdzenia. Jeśli odrzucisz zmiany, Cisco NX-OS usunie oczekujące zmiany bazy danych i zwolni blokadę CFS.

Procedura

Rozkaz or Działanie Zamiar
Krok 1 przełącznik# skonfiguruj terminal Przechodzi do trybu konfiguracji globalnej.
Krok 2 przełącznik (konfiguracja) # przerwanie ntp Odrzuca zmiany konfiguracji NTP w oczekującej bazie danych i zwalnia blokadę CFS. Użyj tego polecenia na urządzeniu, na którym uruchomiłeś konfigurację NTP.

Zwalnianie blokady sesji CFS
Jeśli wykonałeś konfigurację NTP i zapomniałeś zwolnić blokadę, zatwierdzając lub odrzucając zmiany, Ty lub inny administrator możecie zwolnić blokadę z dowolnego urządzenia w sieci. Ta czynność odrzuca również oczekujące zmiany w bazie danych.

Procedura

Rozkaz or Działanie Zamiar
Krok 1 przełącznik# skonfiguruj terminal Przechodzi do trybu konfiguracji globalnej.
Krok 2 przełącznik (konfiguracja) # wyczyść sesję ntp Odrzuca zmiany konfiguracji NTP w oczekującej bazie danych i zwalnia blokadę CFS.

Weryfikacja konfiguracji NTP

Rozkaz Zamiar
pokaż grupy dostępu ntp Wyświetla konfigurację grupy dostępu NTP.
pokaż klucze uwierzytelniania ntp Wyświetla skonfigurowane klucze uwierzytelniania NTP.
pokaż status uwierzytelniania ntp Wyświetla status uwierzytelniania NTP.
pokaż status rejestrowania ntp Wyświetla status rejestrowania NTP.
pokaż status peera ntp Wyświetla status wszystkich serwerów NTP i ich odpowiedników.
pokaż rówieśnika ntp Wyświetla wszystkie urządzenia równorzędne NTP.
pokaż oczekujący ntp Wyświetla tymczasową bazę danych CFS dla protokołu NTP.
pokaż ntp pending-diff Wyświetla różnicę między oczekującą bazą danych CFS i bieżącą konfiguracją NTP.
pokaż ntp rts-update Wyświetla status aktualizacji RTS.
pokaż status sesji ntp Wyświetla informacje o sesji dystrybucyjnej NTP CFS.
pokaż źródło ntp Wyświetla skonfigurowany adres IP źródłowy NTP.
pokaż źródłowy interfejs ntp Wyświetla skonfigurowany interfejs źródłowy NTP.
pokaż statystyki ntp {io | lokalny | pamięć | rówieśnik

{ipaddr {adres IPv4} | nazwa imię-rówieśnika}}

 Wyświetla statystyki NTP.
pokaż status ntp Wyświetla status dystrybucji NTP CFS.
pokaż zaufane klucze ntp Wyświetla skonfigurowane zaufane klucze NTP.
pokaż bieżącą konfigurację ntp Wyświetla informacje NTP.

Konfiguracja Examples dla NTP

Konfiguracja Examples dla NTP

  • Ten byłyamppokazuje, jak skonfigurować serwer NTP i równorzędny komputer, włączyć uwierzytelnianie NTP, włączyć rejestrowanie NTP, a następnie zapisać konfigurację startową, aby była ona zachowywana po ponownym uruchomieniu i ponownym uruchomieniu:CISCO-NX-OS-Advanced-Network-Operating-System-Designed-fig-1
  • Ten byłyample przedstawia konfigurację grupy dostępu NTP z następującymi ograniczeniami:
    • Ograniczenia równorzędne są stosowane do adresów IP, które spełniają kryteria listy dostępu o nazwie „peer-acl”.
    • Ograniczenia usługi są stosowane do adresów IP, które spełniają kryteria listy dostępu o nazwie „serve-acl”.
    • Ograniczenia dotyczące wyłącznie obsługi są stosowane do adresów IP, które spełniają kryteria listy dostępu o nazwie „serve-only-acl”.
    • Ograniczenia dotyczące wyłącznie zapytań są stosowane do adresów IP, które spełniają kryteria listy dostępu o nazwie „query-only-acl”.CISCO-NX-OS-Advanced-Network-Operating-System-Designed-fig-2

Dokumenty / Zasoby

CISCO NX-OS Zaawansowany system operacyjny sieciowy zaprojektowany [plik PDF] Instrukcja użytkownika
NX-OS Zaawansowany sieciowy system operacyjny zaprojektowany, NX-OS, Zaawansowany sieciowy system operacyjny zaprojektowany, Sieciowy system operacyjny zaprojektowany, System operacyjny zaprojektowany, System zaprojektowany, Zaprojektowany

Odniesienia

Powiązane posty

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *