أستكشاف أخطاء بروتوكول وقت الشبكة (NTP) وإصلاحها على vEdge

المقدمة

يوضح هذا المستند كيفية أستكشاف أخطاء بروتوكول وقت الشبكة (NTP) وإصلاحها باستخدام أوامر show ntp وأدوات التقاط الحزم على أنظمة vEdge الأساسية.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج أو طرز vEdge معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

أمثلة مشاكل NTP

يمكن أن يظهر فقد مزامنة NTP إلى vEdge بعدة طرق مختلفة، على سبيل المثال:

• وقت غير صحيح في إخراج show clock على الجهاز.
• الشهادات التي تعتبر غير صالحة بسبب وقت غير صحيح خارج نطاق الصلاحية.
• الطوابع الزمنية غير الصحيحة على السجلات.

أوامر عرض NTP

لبدء عملية عزل مشاكل NTP، يجب أن تفهم إستخدام الأوامر الأساسية والإخراج منها:

• عرض اقترانات NTP
• show ntp peer

يمكن العثور على مزيد من التفاصيل لأوامر محددة في "مرجع أوامر SD-WAN".

عرض اقترانات NTP

vedge1# show ntp associations

                                                           LAST              
IDX  ASSOCID  STATUS  CONF  REACHABILITY  AUTH  CONDITION  EVENT      COUNT  
-----------------------------------------------------------------------------
1    56368    8011    yes   no            none  reject     mobilize   1      
2    56369    911a    yes   yes           none  falsetick  sys_peer   1      
3    56370    9124    yes   yes           none  falsetick  reachable  2      

IDX	رقم الفهرس المحلي
أسوقيد	معرف الاقتران
الحالة	كلمة حالة النظير (في الصيغة السداسية العشرية)
كونف	التكوين (ثابت أو سريع الزوال)
قابلية الوصول	القابلية للوصول (نعم أو لا)
AUTH	المصادقة (موافق، نعم، سيئ، أو لا شيء)
الشرط	حالة التحديد
حدث	آخر حدث لهذا النظير
عدد	عدد الأحداث

عرض نظير NTP

vedge1# show ntp peer | tab

INDEX  REMOTE          REFID     ST  TYPE  WHEN  POLL  REACH  DELAY    OFFSET   JITTER  
----------------------------------------------------------------------------------------
1      192.168.18.201  .STEP.    16  u     37    1024  0      0.000    0.000    0.000   
2      x10.88.244.1    LOCAL(1)  2   u     7     64    377    108.481  140.642  20.278  
3      x172.18.108.15  .GPS.     1   u     66    64    377    130.407  -24883.  55.334  

فهرس	رقم الفهرس المحلي
عن بعد	عنوان خادم NTP
عاكس	المصدر الحالي للتشابك من النظير
سانت	طبقة يستخدم NTP مفهوم الاستراتيجية من أجل وصف مدى بعد الجهاز (في نقلات NTP) من مصدر زمني موثوق به. على سبيل المثال، خادم وقت Stratum 1 لديه ساعة ذرية أو راديو متصلة مباشرة به. إنه يرسل وقته إلى خادم وقت Stratum 2 من خلال NTP، وهكذا حتى الطبقة 16. يختار الجهاز الذي يشغل بروتوكول وقت الشبكة (NTP) تلقائيا الجهاز الذي يحتوي على أقل رقم إستراتيجية يمكنه الاتصال به واستخدام بروتوكول وقت الشبكة (NTP) كمصدر للوقت.
النوع	النوع
متى	يتم الإبلاغ عن الوقت منذ آخر حزمة NTP التي تم تلقيها من نظير في ثوان. يجب أن تكون هذه القيمة أقل من الفاصل الزمني للاستطلاع.
إستطلاع	فاصل الاستقصاء (بالثواني)
وصول	الوصول، كما هو محدد بواسطة قيمة ثمانية استنادا إلى آخر 8 إتصالات 377 (1 1 1 1 1 1) - كانت آخر 8 عناصر جيدة 376 (1 1 1 1 1 0) - آخر اتصال سيئ .... 177 (0 1 1 1 1 1) - كان الاتصال الأقدم سيئا، ولكنه كان جيدا منذ ذلك الحين وهكذا
تأخير	يتم الإبلاغ عن تأخر الذهاب والعودة إلى النظير بالمللي ثانية. لتعيين الساعة بشكل أكثر دقة، يتم أخذ هذا التأخير في الاعتبار عند تعيين وقت الساعة.
إزاحة	إزاحة (بالمللي ثانية) الإزاحة هي فرق وقت الساعة بين النظراء أو بين الأساسي والعميل. هذه القيمة هي التصحيح الذي يتم تطبيقه على ساعة عميل لمزامنتها. تشير القيمة الموجبة إلى أن ساعة الخادم أعلى. تشير القيمة السالبة إلى أن ساعة العميل أعلى.
رجفان	رجفان (بالمللي ثانية)

أستكشاف أخطاء NTP وإصلاحها باستخدام أدوات vManage والتقاط الحزم

التحقق من الخروج باستخدام تدفقات المحاكاة على vManage

1. أختر لوحة معلومات جهاز الشبكة من خلال شاشة > الشبكة
2. أختر vEdge القابل للتطبيق.
3. انقر فوق خيار أستكشاف الأخطاء وإصلاحها، يتبعه محاكاة التدفقات.
4. حدد شبكة VPN المصدر والواجهة من الإسقاط، وقم بتعيين عنوان IP للوجهة، وقم بتعيين التطبيق ك NTP.
5. انقر محاكاة.

وهذا يعطي سلوك إعادة التوجيه المتوقع لحركة مرور NTP من vEdge.

تجميع TCPDump من vEdge

عندما تجتاز حركة مرور NTP مستوى التحكم في VEdge، يمكن التقاطها عبر TCPdump.  ستحتاج حالة المطابقة إلى إستخدام منفذ UDP القياسي 123 للتصفية لحركة مرور NTP بشكل خاص.

خيارات TCPDUMP VPN 0 "المنفذ 123"

vedge1# tcpdump interface ge0/0 options "dst port 123"
tcpdump -p -i ge0_0 -s 128 dst port 123 in VPN 0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ge0_0, link-type EN10MB (Ethernet), capture size 128 bytes
19:05:44.364567 IP 192.168.19.55.ntp > 10.88.244.1.ntp: NTPv4, Client, length 48
19:05:44.454385 IP 10.88.244.1.ntp > 192.168.19.55.ntp: NTPv4, Server, length 48
19:05:45.364579 IP 192.168.19.55.ntp > 172.18.108.15.ntp: NTPv4, Client, length 48
19:05:45.373547 IP 172.18.108.15.ntp > 192.168.19.55.ntp: NTPv4, Server, length 48
19:06:52.364470 IP 192.168.19.55.ntp > 10.88.244.1.ntp: NTPv4, Client, length 48
19:06:52.549536 IP 10.88.244.1.ntp > 192.168.19.55.ntp: NTPv4, Server, length 48
19:06:54.364486 IP 192.168.19.55.ntp > 172.18.108.15.ntp: NTPv4, Client, length 48
19:06:54.375065 IP 172.18.108.15.ntp > 192.168.19.55.ntp: NTPv4, Server, length 48

قم بإضافة علامة -V لفك الطوابع الزمنية من داخل حزم NTP.

خيارات TCPDUMP vpn 0 "المنفذ dst 123 -v"

vedge1# tcpdump interface ge0/0 options "dst port 123 -n -v"
tcpdump -p -i ge0_0 -s 128 dst port 123 -n -v in VPN 0
tcpdump: listening on ge0_0, link-type EN10MB (Ethernet), capture size 128 bytes
19:10:13.364515 IP (tos 0xb8, ttl 64, id 62640, offset 0, flags [DF], proto UDP (17), length 76)
    192.168.19.55.123 > 192.168.18.201.123: NTPv4, length 48
        Client, Leap indicator: clock unsynchronized (192), Stratum 3 (secondary reference), poll 6 (64s), precision -24
        Root Delay: 0.103881, Root dispersion: 1.073425, Reference-ID: 10.88.244.1
          Reference Timestamp:  3889015198.468340729 (2023/03/28 17:59:58)
          Originator Timestamp: 3889019320.559000091 (2023/03/28 19:08:40)
          Receive Timestamp:    3889019348.377538353 (2023/03/28 19:09:08)
          Transmit Timestamp:   3889019413.364485614 (2023/03/28 19:10:13)
            Originator - Receive Timestamp:  +27.818538262
            Originator - Transmit Timestamp: +92.805485523
19:10:13.365092 IP (tos 0xc0, ttl 255, id 7977, offset 0, flags [none], proto UDP (17), length 76)
    192.168.18.201.123 > 192.168.19.55.123: NTPv4, length 48
        Server, Leap indicator:  (0), Stratum 8 (secondary reference), poll 6 (64s), precision -10
        Root Delay: 0.000000, Root dispersion: 0.002166, Reference-ID: 127.127.1.1
          Reference Timestamp:  3889019384.881000144 (2023/03/28 19:09:44)
          Originator Timestamp: 3889019413.364485614 (2023/03/28 19:10:13)
          Receive Timestamp:    3889019385.557000091 (2023/03/28 19:09:45)
          Transmit Timestamp:   3889019385.557000091 (2023/03/28 19:09:45)
            Originator - Receive Timestamp:  -27.807485523
            Originator - Transmit Timestamp: -27.807485523

تنفيذ التقاط Wireshark من vManage

إذا تم تمكين التقاط الحزم من vManage، يمكن أيضا التقاط حركة مرور NTP بهذه الطريقة مباشرة إلى ملف يمكن قراءته بواسطة Wireshark.

1. أختر لوحة معلومات جهاز الشبكة من خلال شاشة > الشبكة
2. أختر vEdge القابل للتطبيق.
3. انقر فوق خيار أستكشاف الأخطاء وإصلاحها، يتبعه التقاط الحزمة.
4. أخترت VPN 0 وال خارجي قارن من القائمة ميلان إلى جانب.
5. انقر فوق عامل تصفية حركة مرور البيانات. هنا أنت يستطيع عينت غاية ميناء 123 وإن رغب، غاية نادل خاص.  

   ملاحظة: يلتقط عامل التصفية حسب عنوان IP الحزم في إتجاه واحد فقط، حيث أن عامل تصفية IP حسب المصدر أو الوجهة.  لأن الغاية طبقة 4 ميناء 123 في كلا إتجاه، مرشح بالميناء فقط أن على قبض حركة مرور ثنائي إتجاه.

6. انقر على بدء.

يتصل vManage الآن ب vEdge لتجميع التقاط حزمة إما لمدة 5 دقائق أو حتى يملأ المخزن المؤقت سعة 5 ميجابايت، أيهما يأتي أولا. وبمجرد الاكتمال، يمكن تنزيل هذا الالتقاط للمراجعة.

مشاكل NTP المشتركة

حزم NTP غير مستلمة

تظهر عمليات التقاط الحزم الحزم الصادرة التي تم إرسالها إلى الخادم (الخوادم) الذي تم تكوينه، ولكن لم يتم إستلام أية ردود.

vedge1# tcpdump interface ge0/0 options "dst 192.168.18.201 && dst port 123 -n"
tcpdump -p -i ge0_0 -s 128 dst 192.168.18.201 && dst port 123 -n in VPN 0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ge0_0, link-type EN10MB (Ethernet), capture size 128 bytes
14:24:49.364507 IP 192.168.19.55.123 > 192.168.18.201.123: NTPv4, Client, length 48
14:25:55.364534 IP 192.168.19.55.123 > 192.168.18.201.123: NTPv4, Client, length 48
14:27:00.364521 IP 192.168.19.55.123 > 192.168.18.201.123: NTPv4, Client, length 48
^C
3 packets captured
3 packets received by filter
0 packets dropped by kernel

بمجرد تأكيد عدم إستلام حزم NTP، يمكنك:

• تحقق من تكوين NTP بشكل صحيح.
• إن يجتاز حركة مرور نفق في VPN 0، تأكدت allow-service ntp أو allow-service all يكون مكنت تحت ال tunnel-interface.
• تحقق من حظر NTP بواسطة قائمة الوصول أو جهاز وسيط.
• تحقق من مشاكل التوجيه بين مصدر NTP والوجهة.

فقدان التشابك

يمكن أن يؤدي فقد التشابك إلى حدوث قيمة التشتيت و/أو التأخير للخادم عالية جدا.  تشير القيم العالية إلى أن الحزم تستغرق وقتا طويلا جدا للوصول إلى العميل من الخادم/النظير في إشارة إلى جذر الساعة.  لذلك لا يمكن للجهاز المحلي أن يثق بدقة الوقت الموجود في الحزمة، لأنه لا يعرف كم من الوقت استغرق وصول الحزمة.

إذا كان هناك إرتباط محتقن في المسار الذي يسبب التخزين المؤقت، فسيتم تأخير الحزم كلما وصلت إلى عميل NTP.

إذا تعرضت لفقد في التراص، يجب أن تتحقق من الروابط:

• هل هناك إزدحام/اشتراك زائد في المسار؟
• هل تمت ملاحظة الحزم التي تم إسقاطها؟
• هل هناك تشفير مشمول؟

يمكن أن تشير قيمة الوصول في عرض نظير NTP إلى فقد حركة مرور NTP.  إذا كانت القيمة أقل من 377، يتم إستلام الحزم بشكل متقطع ويخرج العميل من المزامنة.

تم تعيين الساعة على الجهاز يدويا

يمكن تجاوز قيم الساعة التي تم تعلمها من NTP من خلال الأمر set clock.  عندما يحدث ذلك، فإن قيم الإزاحة لكل الأقران تتزايد بشكل ملحوظ.

vedge1# show ntp peer | tab

INDEX  REMOTE           REFID     ST  TYPE  WHEN  POLL  REACH  DELAY    OFFSET   JITTER  
-----------------------------------------------------------------------------------------
1      x10.88.244.1     LOCAL(1)  2   u     40    64    1      293.339  -539686  88.035  
2      x172.18.108.15   .GPS.     1   u     39    64    1      30.408   -539686  8.768   
3      x192.168.18.201  LOCAL(1)  8   u     38    64    1      5.743    -539686  2.435   

تظهر إلتقاطات المطوية أيضا أن الطوابع الزمنية المرجعية والطوابع الزمنية للمنشئ لا تتحاذى.

vedge1# tcpdump interface ge0/0 options "src 192.168.18.201 && dst port 123 -n -v"
tcpdump -p -i ge0_0 -s 128 src 192.168.18.201 && dst port 123 -n -v in VPN 0
tcpdump: listening on ge0_0, link-type EN10MB (Ethernet), capture size 128 bytes
00:01:28.156796 IP (tos 0xc0, ttl 255, id 8542, offset 0, flags [none], proto UDP (17), length 76)
    192.168.18.201.123 > 192.168.19.55.123: NTPv4, length 48
        Server, Leap indicator:  (0), Stratum 8 (secondary reference), poll 6 (64s), precision -10
        Root Delay: 0.000000, Root dispersion: 0.002365, Reference-ID: 127.127.1.1
          Reference Timestamp:  3889091263.881000144 (2023/03/29 15:07:43)
          Originator Timestamp: 133810392.155976055 (2040/05/05 00:01:28)
          Receive Timestamp:    3889091277.586000096 (2023/03/29 15:07:57)
          Transmit Timestamp:   3889091277.586000096 (2023/03/29 15:07:57)
            Originator - Receive Timestamp:  -539686410.569975959
            Originator - Transmit Timestamp: -539686410.569975959
^C
1 packet captured
1 packet received by filter
0 packets dropped by kernel

لإجبار VEdge على إستئناف تفضيل بروتوكول وقت الشبكة (NTP) كمصدر الوقت الخاص به، قم بحذف التكوين الموجود ضمن بروتوكول وقت الشبكة (NTP) والتزامه وإعادة إضافته وإعادته.

المراجع والمعلومات ذات الصلة

• أستكشاف أخطاء NTP وإصلاحها وتصحيح أخطائها (أجهزة Cisco IOS)
• مرجع أوامر SD-WAN من Cisco
• التحقق من حالة NTP باستخدام الأمر show ntp associations