Navrhnutý pokročilý sieťový operačný systém CISCO NX-OS
Špecifikácie produktu
- Protokol synchronizácie času: NTP (Network Time Protocol)
- Podpora: Operačný systém Cisco NX
- Vlastnosti: Konfigurácia časového servera NTP, partnerské vzťahy NTP, bezpečnostné funkcie, podpora virtualizácie
Návod na použitie produktu
Konfigurácia NTP pre synchronizáciu času
Pred synchronizáciou sieťového zariadenia so servermi NTP zvážte nasledujúce pokyny:
- NTP porovnáva čas hlásený rôznymi zariadeniami a vyhýba sa synchronizácii s výrazne odlišnými zdrojmi času.
- Ak sa nemôžete pripojiť k serveru vrstvy 1, použite na synchronizáciu verejné servery NTP dostupné na internete.
- Ak je prístup na internet obmedzený, nakonfigurujte nastavenia miestneho času tak, ako keby boli synchronizované cez NTP.
Vytváranie partnerských vzťahov NTP
Ak chcete určiť hostiteľov poskytujúcich čas na synchronizáciu a zabezpečiť presný čas v prípade zlyhania servera:
- Vytvorte partnerské vzťahy NTP s požadovanými hostiteľmi.
- Využite obmedzenia založené na zozname prístupových práv alebo šifrované autentifikačné mechanizmy na zvýšenie bezpečnosti.
Distribúcia konfigurácie NTP pomocou CFS
Cisco Fabric Services (CFS) umožňuje distribúciu lokálnych konfigurácií NTP cez sieť. Postupujte podľa týchto krokov:
- Povoľte na svojom zariadení CFS, aby ste iniciovali celosieťové uzamknutie konfigurácie NTP.
- Po zmenách konfigurácie ich buď zahoďte alebo potvrďte, aby sa uvoľnil zámok CFS.
Vysoká dostupnosť a podpora virtualizácie
Zabezpečte vysokú dostupnosť a podporu virtualizácie pre NTP:
- Konfigurácia partnerov NTP pre redundanciu v prípade zlyhania servera.
- Rozpoznávanie inštancií virtuálneho smerovania a posielania (VRF) pre prevádzku NTP.
FAQ
- Predpoklady a pokyny pre konfiguráciu NTP
- Predpoklady: Zabezpečte sieťové pripojenie a prístup k požadovaným serverom NTP.
- Pokyny: Na bezpečnú synchronizáciu času používajte bezpečnostné funkcie, ako sú zoznamy prístupových práv a overovanie.
- Predvolené nastavenia NTP
- NTP predvolene povolené pre všetky rozhrania.
- NTP pasívne Povolené na vytváranie pridružení.
- Overenie NTP V predvolenom nastavení je vypnuté.
- Prístup NTP Povolený so všetkými rozhraniami.
- NTP broadcast server Predvolene vypnuté.
Informácie o NTP
- Network Time Protocol (NTP) synchronizuje čas dňa medzi množinou distribuovaných časových serverov a klientov, takže môžete korelovať udalosti, keď dostanete systémové protokoly a iné časovo špecifické udalosti z viacerých sieťových zariadení. NTP používa User Datagram Protocol (UDP) ako jeho transportný protokol. Všetky komunikácie NTP používajú koordinovaný svetový čas (UTC).
- Server NTP zvyčajne prijíma svoj čas z autoritatívneho zdroja času, ako sú rádiové hodiny alebo atómové hodiny pripojené k časovému serveru, a potom tento čas distribuuje cez sieť. NTP je mimoriadne efektívny; nie je potrebný viac ako jeden paket za minútu na synchronizáciu dvoch počítačov s presnosťou na milisekúndu.
- NTP používa vrstvu na opis vzdialenosti medzi sieťovým zariadením a autoritatívnym zdrojom času:
- Časový server vrstvy 1 je priamo pripojený k smerodajnému zdroju času (ako sú rádiové alebo atómové hodiny alebo zdroj času GPS).
- Server vrstvy 2 NTP prijíma svoj čas prostredníctvom protokolu NTP z časového servera vrstvy 1.
- Pred synchronizáciou NTP porovnáva čas hlásený niekoľkými sieťovými zariadeniami a nesynchronizuje sa s jedným, ktorý je výrazne odlišný, aj keď ide o vrstvu 1. Pretože Cisco NX-OS sa nemôže pripojiť k rádiu alebo atómovým hodinám a fungovať ako vrstva 1 server, odporúčame použiť verejné NTP servery dostupné na internete. Ak je sieť izolovaná od internetu, Cisco NX-OS vám umožňuje konfigurovať čas, ako keby bol synchronizovaný cez NTP, aj keď tomu tak nebolo.
Poznámka
Môžete vytvoriť partnerské vzťahy NTP, aby ste určili časovo nenáročných hostiteľov, s ktorými má vaše sieťové zariadenie zvážiť synchronizáciu, a zachovať presný čas v prípade zlyhania servera. - Čas uložený v zariadení je kritickým zdrojom, preto dôrazne odporúčame, aby ste používali funkcie zabezpečenia NTP, aby ste sa vyhli náhodnému alebo škodlivému nastaveniu nesprávneho času. K dispozícii sú dva mechanizmy: schéma obmedzení založená na prístupovom zozname a šifrovaný autentifikačný mechanizmus.
NTP ako časový server
Ostatné zariadenia ho môžu nakonfigurovať ako časový server. Môžete tiež nakonfigurovať zariadenie tak, aby fungovalo ako autoritatívny server NTP, čo mu umožňuje distribuovať čas, aj keď nie je synchronizované s vonkajším zdrojom času.
Distribúcia NTP pomocou CFS
- Cisco Fabric Services (CFS) distribuuje lokálnu konfiguráciu NTP do všetkých zariadení Cisco v sieti.
- Po povolení CFS na vašom zariadení sa pri každom spustení konfigurácie NTP na NTP použije celosieťový zámok. Po vykonaní zmien konfigurácie NTP ich môžete zrušiť alebo potvrdiť.
- V oboch prípadoch sa zámok CFS uvoľní z aplikácie NTP.
Správca hodín
- Hodiny sú zdroje, ktoré je potrebné zdieľať medzi rôznymi procesmi.
- V systéme môže byť spustených viacero protokolov časovej synchronizácie, ako napríklad NTP a Precision Time Protocol (PTP).
Vysoká dostupnosť
- NTP podporuje bezstavové reštarty. Po reštarte alebo prepnutí supervízora sa použije spustená konfigurácia.
- Partnerov NTP môžete nakonfigurovať tak, aby poskytovali redundanciu v prípade zlyhania servera NTP.
Podpora virtualizácie
NTP rozpoznáva inštancie virtuálneho smerovania a preposielania (VRF). NTP používa predvolené VRF, ak nenakonfigurujete špecifický VRF pre NTP server a NTP partnera.
Predpoklady pre NTP
NTP má nasledujúce predpoklady:
Ak chcete nakonfigurovať NTP, musíte mať pripojenie aspoň k jednému serveru, na ktorom je spustený NTP.
Pokyny a obmedzenia pre NTP
NTP má nasledujúce konfiguračné pokyny a obmedzenia:
- Príkaz show ntp session status CLI neukazuje čas poslednej akcie stamp, posledná akcia, výsledok poslednej akcie a dôvod zlyhania poslednej akcie.
- Funkcia servera NTP je podporovaná.
- Mali by ste mať partnerské spojenie s iným zariadením iba vtedy, keď ste si istí, že vaše hodiny sú spoľahlivé (čo znamená, že ste klientom spoľahlivého servera NTP).
- Peer nakonfigurovaný samostatne preberá úlohu servera a mal by byť použitý ako záloha. Ak máte dva servery, môžete nakonfigurovať niekoľko zariadení tak, aby ukazovali na jeden server a zvyšné zariadenia smerovali na druhý server. Potom môžete nakonfigurovať partnerské spojenie medzi týmito dvoma servermi, aby ste vytvorili spoľahlivejšiu konfiguráciu NTP.
- Ak máte iba jeden server, mali by ste nakonfigurovať všetky zariadenia ako klientov pre tento server.
- Môžete nakonfigurovať až 64 entít NTP (servery a peer).
- Ak je CFS pre NTP zakázané, NTP nedistribuuje žiadnu konfiguráciu a neakceptuje distribúciu z iných zariadení v sieti.
- Po povolení distribúcie CFS pre NTP zadanie konfiguračného príkazu NTP uzamkne sieť pre konfiguráciu NTP, kým sa nezadá príkaz odovzdať. Počas uzamknutia nie je možné vykonať žiadne zmeny v konfigurácii NTP iným zariadením v sieti okrem zariadenia, ktoré spustilo uzamknutie.
- Ak na distribúciu NTP používate CFS, všetky zariadenia v sieti by mali mať nakonfigurované rovnaké VRF, aké používate pre NTP.
- Ak konfigurujete NTP vo VRF, uistite sa, že server NTP a partneri sa môžu navzájom spojiť prostredníctvom nakonfigurovaných VRF.
- Overovacie kľúče NTP na serveri NTP a zariadeniach Cisco NX-OS musíte distribuovať manuálne cez sieť.
- Ak používate prepínač ako okrajové zariadenie a chcete použiť NTP, spoločnosť Cisco odporúča použiť príkaz ntp access-group a filtrovať NTP len na požadované okrajové zariadenia.
- Ak bol systém nakonfigurovaný pomocou príkazov ntp pasívny, ntp broadcast client alebo ntp multicast klient, keď NTP prijme prichádzajúci symetrický aktívny, broadcast alebo multicast paket, môže nastaviť efemérne partnerské spojenie, aby sa synchronizoval s odosielateľom .
Poznámka
Pred povolením ktoréhokoľvek z vyššie uvedených príkazov sa uistite, že ste zadali ntp authenticate. Ak tak neurobíte, vášmu zariadeniu umožníte synchronizáciu s akýmkoľvek zariadením, ktoré odosiela jeden z vyššie uvedených typov paketov, vrátane zariadení kontrolovaných škodlivými útočníkmi. - Ak je zadaný príkaz ntp authenticate, keď je prijatý symetrický aktívny, broadcast alebo multicast paket, systém sa nesynchronizuje s peerom, pokiaľ paket nenesie jeden z autentifikačných kľúčov špecifikovaných v príkaze globálnej konfigurácie dôveryhodného kľúča ntp.
- Aby sa predišlo synchronizácii s neautorizovanými sieťovými hostiteľmi, príkaz ntp authenticate by sa mal zadať vždy, keď bol zadaný príkaz ntp pasívny, ntp broadcast client alebo ntp multicast klient, pokiaľ neboli prijaté iné opatrenia, ako je napríklad príkaz ntp access-group. zabrániť neoprávneným hostiteľom v komunikácii so službou NTP na zariadení.
- Príkaz ntp authenticate neoveruje partnerské priradenia nakonfigurované prostredníctvom servera ntp a príkazov konfigurácie rovnocenných partnerov ntp. Ak chcete autentifikovať ntp server a partnerské asociácie ntp, zadajte kľúčové kľúčové slovo.
- Použite NTP broadcast alebo multicast asociácie, keď sú požiadavky na presnosť a spoľahlivosť skromné, vaša sieť je lokalizovaná a sieť má viac ako 20 klientov. Odporúčame, aby ste používali NTP broadcast alebo multicast asociácie v sieťach, ktoré majú obmedzenú šírku pásma, systémovú pamäť alebo prostriedky CPU.
- Pre jednu prístupovú skupinu NTP možno nakonfigurovať maximálne štyri ACL.
Poznámka Časová presnosť je v asociáciách vysielania NTP mierne znížená, pretože informácie prúdia iba jedným smerom.
Predvolené nastavenia
Nasledujú predvolené nastavenia parametrov NTP.
| Parametre | Predvolené |
| NTP | Povolené pre všetky rozhrania |
| NTP pasívne (umožňujúce NTP vytvárať asociácie) | Povolené |
| NTP overenie | Zakázané |
| NTP prístup | Povolené |
| Prístupová skupina NTP zodpovedá všetkým | Zakázané |
| NTP vysielací server | Zakázané |
| NTP multicast server | Zakázané |
| NTP multicast klient | Zakázané |
| NTP protokolovanie | Zakázané |
Konfigurácia NTP
Povolenie alebo zakázanie NTP na rozhraní
NTP môžete povoliť alebo zakázať na konkrétnom rozhraní. NTP je štandardne povolené na všetkých rozhraniach.
Postup
| Príkaz or Akcia | Účel | |
| Krok 1 | prepínač # konfigurovať terminál | Vstúpi do režimu globálnej konfigurácie. |
| Krok 2 | switch(config)# rozhranie typu slot/port | Vstúpi do režimu konfigurácie rozhrania. |
| Krok 3 | switch(config-if)# [nie] ntp vypnúť {ip | ipv6} | Zakáže NTP IPv4 alebo IPv6 na zadanom rozhraní.
Použite č formulár tohto príkazu na opätovné zapnutie NTP na rozhraní. |
| Krok 4 | (Voliteľné) switch (config-if)# skopírujte running-config startup-config | Natrvalo uloží zmenu prostredníctvom reštartov a reštartuje skopírovaním spustenej konfigurácie do spúšťacej konfigurácie. |
Example
Nasledujúce example ukazuje, ako povoliť alebo zakázať NTP na rozhraní:
- switch# konfigurovať terminál
- switch(config)# rozhranie ethernet 6/1
- switch(config-if)# ntp vypnúť ip
- switch(config-if)# copy running-config startup-config
Konfigurácia zariadenia ako autoritatívneho servera NTP
Zariadenie môžete nakonfigurovať tak, aby fungovalo ako autoritatívny server NTP, čo mu umožňuje distribuovať čas, aj keď nie je synchronizované s existujúcim časovým serverom.
Postup
| Príkaz or Akcia | Účel | |
| Krok 1 | prepínač # konfigurovať terminál | Vstúpi do režimu globálnej konfigurácie. |
| Príkaz or Akcia | Účel | |
| Krok 1 | prepínač # konfigurovať terminál | Vstúpi do režimu globálnej konfigurácie. |
Example
Tento example ukazuje, ako nakonfigurovať zariadenie Cisco NX-OS ako autoritatívny server NTP s inou úrovňou vrstvy:
- switch# konfigurovať terminál
- Zadajte konfiguračné príkazy, jeden na riadok. Koniec na CNTL/Z.
- switch(config)# ntp master 5
Konfigurácia servera NTP a peer
Môžete nakonfigurovať NTP server a peer.
Skôr ako začnete
Uistite sa, že poznáte IP adresu alebo názvy DNS svojho servera NTP a jeho rovesníkov.
Postup
| Príkaz or Akcia | Účel | |
| Krok 1 | prepínač # konfigurovať terminál | Vstúpi do režimu globálnej konfigurácie. |
| Krok 2 | switch(config)# [č] ntp server {IP adresa | ipv6-adresa | názov dns} [kľúč kľúč-id] [maxpoll max-poll] [minpoll min-anketa] [preferovať] [use-vrf vrf-name] | Vytvára spojenie so serverom.
Použite kľúč kľúčové slovo na konfiguráciu kľúča, ktorý sa má použiť pri komunikácii so serverom NTP. Rozsah pre kľúč-id argument je od 1 do 65535. Použite maxpoll a minpoll kľúčové slová na konfiguráciu maximálnych a minimálnych intervalov, v ktorých sa má server dotazovať. Rozsah pre max-poll a min-anketa argumenty sú od 4 do 16 (konfigurované ako mocniny 2, teda efektívne 16 až 65536 sekúnd) a predvolené hodnoty |
| sú 6 a 4 (maxpoll predvolená hodnota = 64
sekundy, minpoll predvolená hodnota = 16 sekúnd). Použite uprednostniť kľúčové slovo aby sa tento server stal preferovaným serverom NTP pre zariadenie. Použite use-vrf kľúčové slovo na konfiguráciu servera NTP na komunikáciu cez zadaný VRF. The vrf-name Argument môže byť predvolený, riadiaci alebo ľubovoľný alfanumerický reťazec, v ktorom sa rozlišujú malé a veľké písmená, do 32 znakov. Poznámka Ak nakonfigurujete kľúč, ktorý sa má použiť počas komunikácie so serverom NTP, uistite sa, že kľúč v zariadení existuje ako dôveryhodný. |
||
| Krok 3 | switch(config)# [č] ntp peer {IP adresa | ipv6-adresa | názov dns} [kľúč kľúč-id] [maxpoll max-poll] [minpoll min-anketa] [preferovať] [use-vrf vrf-name] | Vytvára asociáciu s rovesníkom. Môžete zadať viacero partnerských pridružení.
Použite kľúč kľúčové slovo na konfiguráciu kľúča, ktorý sa má použiť pri komunikácii s partnerom NTP. Rozsah pre kľúč-id argument je od 1 do 65535. Použite maxpoll a minpoll kľúčové slová na konfiguráciu maximálnych a minimálnych intervalov, v ktorých sa má server dotazovať. Rozsah pre max-poll a min-anketa argumenty sú od 4 do 17 (konfigurované ako mocniny 2, teda efektívne 16 až 131072 sekúnd) a predvolené hodnoty sú 6 a 4 (maxpoll predvolená hodnota = 64 sekúnd, minpoll predvolená hodnota = 16 sekúnd). Použite preferovať kľúčové slovo, aby sa z neho stal preferovaný partner NTP pre zariadenie. Použite use-vrf kľúčové slovo na konfiguráciu partnera NTP na komunikáciu cez zadaný VRF. The vrf-name argument môže byť predvolená , manažment , alebo akýkoľvek alfanumerický reťazec, v ktorom sa rozlišujú malé a veľké písmená, do 32 znakov. |
| Krok 4 | (Voliteľné) switch(config)# zobraziť kolegov z ntp | Zobrazuje nakonfigurovaný server a partnerov.
Poznámka Názov domény sa vyrieši iba vtedy, keď máte nakonfigurovaný server DNS. |
| Krok 5 | (Voliteľné) switch(config)# skopírujte running-config startup-config | Natrvalo uloží zmenu prostredníctvom reštartov a reštartuje skopírovaním spustenej konfigurácie do spúšťacej konfigurácie. |
Konfigurácia overenia NTP
Zariadenie môžete nakonfigurovať na overenie zdrojov času, s ktorými sa synchronizujú miestne hodiny. Keď povolíte autentifikáciu NTP, zariadenie sa synchronizuje so zdrojom času, iba ak zdroj nesie jeden z autentifikačných kľúčov špecifikovaných príkazom ntp trusted-key. Zariadenie zahodí všetky pakety, ktoré neprejdú kontrolou autentifikácie, a zabráni im aktualizovať miestne hodiny. Overenie NTP je predvolene vypnuté.
Skôr ako začnete
Autentifikácia pre servery NTP a partnerov NTP sa konfiguruje na základe jednotlivých asociácií pomocou kľúčového slova key na každom serveri ntp a príkaze peer ntp. Uistite sa, že ste nakonfigurovali všetky NTP servery a partnerské priradenia pomocou autentifikačných kľúčov, ktoré plánujete zadať v tomto postupe. Akýkoľvek ntp server alebo ntp peercommand, ktoré nešpecifikujú kľúčové kľúčové slovo, budú naďalej fungovať bez autentifikácie.
Postup
| Príkaz or Akcia | Účel | |
| Krok 1 | konfigurovať terminál
Example: switch# configure terminal switch(config)# |
Vstúpi do režimu globálnej konfigurácie. |
| Krok 2 | [č] ntp autentifikačný kľúč číslo md5
md5-reťazec Example: switch(config)# ntp autentifikačný kľúč 42 md5 aNiceKey |
Definuje autentifikačné kľúče. Zariadenie sa nesynchronizuje so zdrojom času, pokiaľ zdroj nemá jeden z týchto autentifikačných kľúčov a číslo kľúča nie je špecifikované dôveryhodný kľúč ntp číslo príkaz.
Rozsah pre autentifikačné kľúče je od 1 do 65535. Pre reťazec MD5 môžete zadať až osem alfanumerických znakov. |
| Krok 3 | ntp server IP adresa kľúč kľúč-id
Example: switch(config)# ntp server 192.0.2.1 kľúč 1001 |
Povolí autentifikáciu pre zadaný server NTP, čím sa vytvorí spojenie so serverom.
Použite kľúč kľúčové slovo na konfiguráciu kľúča, ktorý sa má použiť pri komunikácii so serverom NTP. Rozsah pre kľúč-id argument je od 1 do 65535. Ak chcete vyžadovať overenie, kľúč musí byť použité kľúčové slovo. akýkoľvek ntp server or ntp peer príkazy, ktoré nešpecifikujú kľúč kľúčové slovo bude naďalej fungovať bez overenia. |
| Krok 4 | (Voliteľné) zobraziť ntp autentifikačné kľúče
Example: switch(config)# zobrazí ntp autentifikačné kľúče |
Zobrazuje nakonfigurované overovacie kľúče NTP. |
| Krok 5 | [č] dôveryhodný kľúč ntp číslo
Example: switch(config)# dôveryhodný kľúč ntp 42 |
Určuje jeden alebo viac kľúčov (definovaných v kroku 2), ktoré musí poskytnúť nenakonfigurovaný vzdialený zdroj symetrického, vysielacieho a multicastového času vo svojich paketoch NTP, aby sa s ním zariadenie synchronizovalo. Rozsah dôveryhodných kľúčov je od 1 do 65535.
Tento príkaz poskytuje ochranu pred náhodnou synchronizáciou zariadenia so zdrojom času, ktorý nie je dôveryhodný. |
| Krok 6 | (Voliteľné) zobraziť dôveryhodné kľúče ntp
Example: switch(config)# show ntp trusted-keys |
Zobrazuje nakonfigurované dôveryhodné kľúče NTP. |
| Krok 7 | [č] overiť ntp
Example: switch(config)# overenie ntp |
Povolí alebo zakáže autentifikáciu pre pasívne ntp, vysielacieho klienta ntp a ntp multicast. Overenie NTP je predvolene vypnuté. |
| Krok 8 | (Voliteľné) zobraziť stav overenia ntp
Example: switch(config)# show ntp authentication-status |
Zobrazuje stav overenia NTP. |
| Krok 9 | (Voliteľné) kopírovať running-config startup-config
Example: switch(config)# copy running-config startup-config |
Skopíruje spustenú konfiguráciu do spúšťacej konfigurácie. |
Konfigurácia obmedzení prístupu NTP
- Prístup k službám NTP môžete ovládať pomocou skupín prístupu. Konkrétne môžete zadať typy požiadaviek, ktoré zariadenie povoľuje, a servery, z ktorých prijíma odpovede.
- Ak nenakonfigurujete žiadne prístupové skupiny, prístup NTP bude udelený všetkým zariadeniam. Ak nakonfigurujete akékoľvek prístupové skupiny, prístup NTP sa udelí iba vzdialenému zariadeniu, ktorého zdrojová adresa IP spĺňa kritériá zoznamu prístupových práv.
- Počnúc verziou Cisco NX-OS Release 7.0(3)I7(3) sa prístupové skupiny hodnotia nasledujúcim spôsobom:
- Bez kľúčového slova match-all bude paket hodnotený voči prístupovým skupinám (v poradí uvedenom nižšie), kým nenájde povolenie. Ak sa povolenie nenájde, paket sa zahodí.
- S kľúčovým slovom match-all sa paket vyhodnotí voči všetkým prístupovým skupinám (v poradí uvedenom nižšie) a akcia sa vykoná na základe posledného úspešného vyhodnotenia (posledná prístupová skupina, kde je nakonfigurovaný ACL).
- Mapovanie prístupovej skupiny na typ paketu je nasledovné:
- peer— spracovávať klientske, symetrické aktívne, symetrické pasívne, obsluhované, kontrolné a súkromné pakety (všetky typy)
- slúžiť—spracovanie klientskych, riadiacich a súkromných paketov
- len na podávanie—spracovať len klientske pakety
- len dotaz—riadenie procesu a len súkromné pakety
- Prístupové skupiny sa vyhodnocujú v nasledujúcom zostupnom poradí:
- peer (všetky typy paketov)
- slúžiť (klientske, kontrolné a súkromné pakety)
- len dotaz (klientske pakety) alebo dotaz iba (kontrolné a súkromné pakety)
Postup
| Príkaz or Akcia | Účel | |
| Krok 1 | prepínač # konfigurovať terminál | Vstúpi do režimu globálnej konfigurácie. |
| Krok 2 | switch(config)# [č] ntp access-group match-all | {{peer | slúžiť | len na podávanie | len dotaz }názov-zoznamu prístupu} | Vytvorí alebo odstráni prístupovú skupinu na riadenie prístupu NTP a použije základný zoznam prístupových práv IP.
Možnosti prístupovej skupiny sa skenujú v nasledujúcom poradí, od najmenej obmedzujúcich po najviac obmedzujúce. Ak sa však NTP zhoduje s pravidlom odmietnutia ACL v nakonfigurovanom peer, spracovanie ACL sa zastaví a nepokračuje k ďalšej voľbe prístupovej skupiny. • The peer Kľúčové slovo umožňuje zariadeniu prijímať časové požiadavky a riadiace dotazy NTP a synchronizovať sa so servermi uvedenými v zozname prístupových práv. • The slúžiť Kľúčové slovo umožňuje zariadeniu prijímať časové požiadavky a riadiace dotazy NTP zo serverov špecifikovaných v zozname prístupových práv, ale nesynchronizovať sa so špecifikovanými servermi. • The len na podávanie kľúčové slovo umožňuje zariadeniu prijímať iba časové požiadavky zo serverov uvedených v zozname prístupových práv. • The len dotaz kľúčové slovo umožňuje zariadeniu prijímať iba riadiace dotazy NTP zo serverov uvedených v zozname prístupových práv. • The zápas-všetko Kľúčové slovo umožňuje skenovať voľby prístupovej skupiny v nasledujúcom poradí, od najmenej obmedzujúcich po najviac obmedzujúce: peer, serve, serve-only, query-only. Ak sa prichádzajúci paket nezhoduje s ACL v partnerskom prístupe |
| skupine, prejde do skupiny prístupu k obsluhovaniu
byť spracované. Ak sa paket nezhoduje s ACL v skupine prístupu na obsluhu, prejde do skupiny prístupu iba na obsluhu atď. Poznámka The zápas-všetko Kľúčové slovo je dostupné od verzie Cisco NX-OS Release 7.0(3)I6(1). |
||
| Krok 3 | switch(config)# zobraziť prístupové skupiny ntp | (Voliteľné) Zobrazuje konfiguráciu prístupovej skupiny NTP. |
| Krok 4 | (Voliteľné) switch(config)# skopírujte running-config startup-config | Natrvalo uloží zmenu prostredníctvom reštartov a reštartuje skopírovaním spustenej konfigurácie do spúšťacej konfigurácie. |
Example
Tento example ukazuje, ako nakonfigurovať zariadenie, aby sa mu umožnila synchronizácia s peerom z prístupovej skupiny „accesslist1“:
Konfigurácia zdrojovej IP adresy NTP
NTP nastavuje zdrojovú IP adresu pre všetky NTP pakety na základe adresy rozhrania, cez ktoré sú NTP pakety odosielané. NTP môžete nakonfigurovať tak, aby používal špecifickú zdrojovú IP adresu.
Postup
| Príkaz or Akcia | Účel | |
| Krok 1 | prepínač # konfigurovať terminál | Vstúpi do režimu globálnej konfigurácie. |
| Krok 2 | [č] zdroj ntp IP adresa | Konfiguruje zdrojovú IP adresu pre všetky pakety NTP. The IP adresa môže byť vo formáte IPv4 alebo IPv6. |
Example
Tento example ukazuje, ako nakonfigurovať zdrojovú IP adresu NTP 192.0.2.2.
- switch# konfigurovať terminál
- switch(config)# zdroj ntp 192.0.2.2
Konfigurácia zdrojového rozhrania NTP
NTP môžete nakonfigurovať na používanie špecifického rozhrania.
Postup
| Príkaz or Akcia | Účel | |
| Krok 1 | prepínač # konfigurovať terminál | Vstúpi do režimu globálnej konfigurácie. |
| Krok 2 | [č] zdrojové rozhranie ntp rozhranie | Konfiguruje zdrojové rozhranie pre všetky pakety NTP. Nasledujúci zoznam obsahuje platné hodnoty pre rozhranie.
• ethernet • spätná slučka • mgmt • port-kanál • vlan |
Example
Tento example ukazuje, ako nakonfigurovať zdrojové rozhranie NTP:
- switch# konfigurovať terminál
- switch(config)# ntp zdrojové rozhranie ethernet
Konfigurácia servera vysielania NTP
Na rozhraní môžete nakonfigurovať server vysielania NTP IPv4. Zariadenie potom pravidelne posiela vysielacie pakety cez toto rozhranie. Klient nie je povinný zaslať odpoveď.
Postup
| Príkaz or Akcia | Účel | |
| Krok 1 | prepínač # konfigurovať terminál | Vstúpi do režimu globálnej konfigurácie. |
| Krok 2 | switch(config)# rozhranie typu slot/port | Vstúpi do režimu konfigurácie rozhrania. |
| Krok 3 | switch(config-if)# [nie] vysielanie ntp [cieľ IP adresa] [kľúč kľúč-id] [číslo verzie] | Povolí vysielací server NTP IPv4 na zadanom rozhraní.
• cieľ IP adresa– Konfiguruje cieľovú IP adresu vysielania. • kľúč kľúč-id– Konfiguruje číslo vysielacieho autentifikačného kľúča. Rozsah je od 1 do 65535. • číslo verzie— Konfiguruje verziu NTP. Rozsah je od 2 do 4. |
| Krok 4 | switch(config-if)# VÝCHOD | Ukončí režim konfigurácie rozhrania. |
| Krok 5 | (Voliteľné) switch(config)# [nie] oneskorenie vysielania ntp meškanie | Konfiguruje odhadované oneskorenie vysielania v mikrosekundách. Rozsah je od 1 do 999999. |
| Krok 6 | (Voliteľné) switch(config)# skopírujte running-config startup-config | Natrvalo uloží zmenu prostredníctvom reštartov a reštartuje skopírovaním spustenej konfigurácie do spúšťacej konfigurácie. |
Example
Tento example ukazuje, ako nakonfigurovať vysielací server NTP:
- switch# konfigurovať terminál
- switch(config)# rozhranie ethernet 6/1
- switch(config-if)# ntp broadcast destination 192.0.2.10 switch(config-if)# exit
- switch(config)# ntp broadcastdelay 100
- switch(config)# copy running-config startup-config
Konfigurácia servera NTP Multicast Server
Na rozhraní môžete nakonfigurovať server NTP IPv4 alebo IPv6 multicast. Zariadenie potom pravidelne posiela multicast pakety cez toto rozhranie.
Postup
| Príkaz or Akcia | Účel | |
| Krok 1 | prepínač # konfigurovať terminál | Vstúpi do režimu globálnej konfigurácie. |
| Krok 2 | switch(config)# rozhranie typu slot/port | Vstúpi do režimu konfigurácie rozhrania. |
| Krok 3 | switch(config-if)# [nie] ntp multicast [ipv4-adresa | ipv6-adresa] [kľúč kľúč-id] [hodnota ttl] [číslo verzie] | Povolí server NTP IPv4 alebo IPv6 multicast na zadanom rozhraní.
• ipv4-adresa or ipv6-adresa— Multicast IPv4 alebo IPv6 adresa. |
| • kľúč kľúč-id– Konfiguruje vysielanie
číslo autentifikačného kľúča. Rozsah je od 1 do 65535. • hodnota ttl—Hodnota životnosti paketov multicast. Rozsah je od 1 do 255. • verzia číslo- verzia NTP. Rozsah je od 2 do 4. |
||
| Krok 4 | (Voliteľné) switch (config-if)# skopírujte running-config startup-config | Natrvalo uloží zmenu prostredníctvom reštartov a reštartuje skopírovaním spustenej konfigurácie do spúšťacej konfigurácie. |
Example
Tento example ukazuje, ako nakonfigurovať ethernetové rozhranie na odosielanie paketov NTP multicast:
- switch# konfigurovať terminál
- switch(config)# rozhranie ethernet 2/2
- switch(config-if)# ntp multicast FF02::1:FF0E:8C6C
- switch(config-if)# copy running-config startup-config
Konfigurácia klienta NTP Multicast
Klienta NTP multicast môžete nakonfigurovať na rozhraní. Zariadenie potom počúva správy NTP multicast a zahodí všetky správy, ktoré prichádzajú z rozhrania, pre ktoré nie je multicast nakonfigurovaný.
Postup
| Príkaz or Akcia | Účel | |
| Krok 1 | prepínač # konfigurovať terminál | Vstúpi do režimu globálnej konfigurácie. |
| Krok 2 | switch(config)# rozhranie typu slot/port | Vstúpi do režimu konfigurácie rozhrania. |
| Krok 3 | switch(config-if)# [nie] ntp multicast klient [ipv4-adresa | ipv6-adresa] | Umožňuje určenému rozhraniu prijímať pakety multicast NTP. |
| Krok 4 | (Voliteľné) switch (config-if)# skopírujte running-config startup-config | Natrvalo uloží zmenu prostredníctvom reštartov a reštartuje skopírovaním spustenej konfigurácie do spúšťacej konfigurácie. |
Example
Tento example ukazuje, ako nakonfigurovať ethernetové rozhranie na príjem paketov multicast NTP:
- switch# konfigurovať terminál
- switch(config)# rozhranie ethernet 2/3
- switch(config-if)# ntp multicast klient FF02::1:FF0E:8C6C
- switch(config-if)# copy running-config startup-config
Konfigurácia protokolovania NTP
Môžete nakonfigurovať protokolovanie NTP, aby ste mohli generovať systémové protokoly s významnými udalosťami NTP. Protokolovanie NTP je predvolene vypnuté.
Postup
| Príkaz or Akcia | Účel | |
| Krok 1 | prepínač # konfigurovať terminál | Vstúpi do režimu globálnej konfigurácie. |
| Krok 2 | switch(config)# [č] protokolovanie ntp | Povolí alebo zakáže generovanie systémových protokolov s významnými udalosťami NTP. Protokolovanie NTP je predvolene vypnuté. |
| Krok 3 | (Voliteľné) switch(config)# zobraziť stav protokolovania ntp | Zobrazuje stav konfigurácie protokolovania NTP. |
| Krok 4 | (Voliteľné) switch(config)# skopírujte running-config startup-config | Natrvalo uloží zmenu prostredníctvom reštartov a reštartuje skopírovaním spustenej konfigurácie do spúšťacej konfigurácie. |
Example
Nasledujúce example ukazuje, ako povoliť protokolovanie NTP na generovanie systémových protokolov s významnými udalosťami NTP:
- switch# konfigurovať terminál
- switch(config)# protokolovanie ntp
- switch(config)# copy running-config startup-config [##################################### ###] 100 %
- switch(config)#
Povolenie distribúcie CFS pre NTP
Môžete povoliť distribúciu CFS pre NTP, aby ste mohli distribuovať konfiguráciu NTP do iných zariadení s podporou CFS.
Skôr ako začnete
Uistite sa, že ste pre zariadenie povolili distribúciu CFS.
Postup
| Príkaz or Akcia | Účel | |
| Krok 1 | prepínač # konfigurovať terminál | Vstúpi do režimu globálnej konfigurácie. |
| Krok 2 | switch(config)# [č] ntp distribuovať | Povolí alebo zakáže zariadeniu prijímať aktualizácie konfigurácie NTP, ktoré sú distribuované prostredníctvom CFS. |
| Krok 3 | (Voliteľné) switch(config)# zobraziť stav ntp | Zobrazuje stav distribúcie NTP CFS. |
| Krok 4 | (Voliteľné) switch(config)# skopírujte running-config startup-config | Natrvalo uloží zmenu prostredníctvom reštartov a reštartuje skopírovaním spustenej konfigurácie do spúšťacej konfigurácie. |
Example
Tento example ukazuje, ako povoliť zariadeniu prijímať aktualizácie konfigurácie NTP cez CFS:
- switch# konfigurovať terminál
- switch(config)# ntp distribute
- switch(config)# copy running-config startup-config
Potvrdenie zmien konfigurácie NTP
Keď potvrdíte zmeny konfigurácie NTP, účinná databáza sa prepíše zmenami konfigurácie v databáze čakajúcich na spracovanie a všetky zariadenia v sieti dostanú rovnakú konfiguráciu.
Postup
| Príkaz or Akcia | Účel | |
| Krok 1 | prepínač # konfigurovať terminál | Vstúpi do režimu globálnej konfigurácie. |
| Krok 2 | switch(config)# ntp commit | Distribuuje zmeny konfigurácie NTP do všetkých zariadení Cisco NX-OS v sieti a uvoľňuje zámok CFS. Tento príkaz prepíše účinnú databázu zmenami vykonanými v čakajúcej databáze. |
Zahodenie zmien konfigurácie NTP
Po vykonaní zmien konfigurácie sa môžete rozhodnúť, že zmeny namiesto potvrdenia zrušíte. Ak zmeny zahodíte, Cisco NX-OS odstráni čakajúce zmeny databázy a uvoľní zámok CFS.
Postup
| Príkaz or Akcia | Účel | |
| Krok 1 | prepínač # konfigurovať terminál | Vstúpi do režimu globálnej konfigurácie. |
| Krok 2 | switch(config)# ntp prerušiť | Zahodí zmeny konfigurácie NTP v databáze čakajúcich na spracovanie a uvoľní zámok CFS. Tento príkaz použite na zariadení, kde ste spustili konfiguráciu NTP. |
Uvoľnenie zámku relácie CFS
Ak ste vykonali konfiguráciu NTP a zabudli ste uvoľniť zámok potvrdením alebo zrušením zmien, vy alebo iný správca môžete uvoľniť zámok z akéhokoľvek zariadenia v sieti. Táto akcia tiež zruší čakajúce zmeny databázy.
Postup
| Príkaz or Akcia | Účel | |
| Krok 1 | prepínač # konfigurovať terminál | Vstúpi do režimu globálnej konfigurácie. |
| Krok 2 | switch(config)# vymazať reláciu ntp | Zahodí zmeny konfigurácie NTP v databáze čakajúcich na spracovanie a uvoľní zámok CFS. |
Overenie konfigurácie NTP
| Príkaz | Účel |
| zobraziť prístupové skupiny ntp | Zobrazuje konfiguráciu prístupovej skupiny NTP. |
| zobraziť ntp autentifikačné kľúče | Zobrazuje nakonfigurované overovacie kľúče NTP. |
| zobraziť stav overenia ntp | Zobrazuje stav overenia NTP. |
| zobraziť stav protokolovania ntp | Zobrazuje stav protokolovania NTP. |
| zobraziť stav rovnocenného partnera ntp | Zobrazuje stav všetkých serverov NTP a partnerov. |
| zobraziť ntp peer | Zobrazuje všetkých partnerov NTP. |
| zobraziť čakajúce ntp | Zobrazí dočasnú databázu CFS pre NTP. |
| zobraziť ntp čakajúce-rozdiel | Zobrazuje rozdiel medzi čakajúcou databázou CFS a aktuálnou konfiguráciou NTP. |
| zobraziť ntp rts-update | Zobrazuje stav aktualizácie RTS. |
| zobraziť stav relácie ntp | Zobrazuje informácie o relácii distribúcie NTP CFS. |
| zobraziť zdroj ntp | Zobrazuje nakonfigurovanú zdrojovú IP adresu NTP. |
| zobraziť zdrojové rozhranie ntp | Zobrazuje nakonfigurované rozhranie zdroja NTP. |
| zobraziť štatistiku ntp {io | miestne | pamäť | peer
{ipaddr {ipv4-addr} | meno peer-name}} |
Zobrazuje štatistiku NTP. |
| zobraziť stav ntp | Zobrazuje stav distribúcie NTP CFS. |
| zobraziť dôveryhodné kľúče ntp | Zobrazuje nakonfigurované dôveryhodné kľúče NTP. |
| show running-config ntp | Zobrazuje informácie NTP. |
Konfigurácia Napramples pre NTP
Konfigurácia Napramples pre NTP
- Tento example ukazuje, ako nakonfigurovať NTP server a peer, povoliť autentifikáciu NTP, povoliť protokolovanie NTP a potom uložiť konfiguráciu spustenia, aby sa uložila pri reštartoch a reštartoch:
- Tento example zobrazuje konfiguráciu prístupovej skupiny NTP s nasledujúcimi obmedzeniami:
- Peer obmedzenia sa aplikujú na IP adresy, ktoré spĺňajú kritériá zoznamu prístupových práv s názvom „peer-acl“.
- Obmedzenia poskytovania sa aplikujú na adresy IP, ktoré spĺňajú kritériá zoznamu prístupových práv s názvom „serve-acl“.
- Obmedzenia len na poskytovanie sa vzťahujú na adresy IP, ktoré spĺňajú kritériá zoznamu prístupových práv s názvom „serve-only-acl“.
- Obmedzenia týkajúce sa iba dotazov sa vzťahujú na adresy IP, ktoré spĺňajú kritériá zoznamu prístupových práv s názvom „query-only-acl“.
Dokumenty / zdroje
 |
Navrhnutý pokročilý sieťový operačný systém CISCO NX-OS [pdf] Používateľská príručka Navrhnutý pokročilý sieťový operačný systém NX-OS, NX-OS, navrhnutý pokročilý sieťový operačný systém, navrhnutý sieťový operačný systém, navrhnutý operačný systém, navrhnutý systém, navrhnutý |
