DNA 센터의 NTP 문제 해결

소개

이 문서에서는 Cisco DNAC(DNA Center)에서 NTP(Network Time Protocol) 문제를 해결하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

• 사용자는 Cisco DNA Center에 대한 CLI(Command Line Interface) 액세스 권한이 있어야 합니다.

• 이 절차를 수행하려면 자기터널식 SSH(Secure Socket Shell) 액세스 권한이 있어야 합니다.

  • 포트 2222에서 사용자 이름으로 maglev를 사용합니다.

• NTP 서버.
• NTP 프로토콜을 이해합니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.

• Cisco DNA Center 2.3.3
• Cisco DNA Center 2.3.5

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

시간 동기화는 멀티호스트 클러스터 전체에서 데이터 정확성과 처리 조정에 매우 중요합니다. 프로덕션 환경에 어플라이언스를 구축하기 전에 어플라이언스 시스템 클럭의 시간이 최신인지, 지정한 NTP 서버가 시간을 정확하게 유지하는지 확인하십시오. 어플라이언스를 ISE와 통합하려는 경우 ISE가 어플라이언스와 동일한 NTP 서버와 동기화되어 있는지도 확인해야 합니다.

프로덕션 구축의 경우 최소 3개의 NTP 서버를 구성하는 것이 좋습니다.

NTP 버전 4는 DNAC와의 통신에 UDP 포트 123을 사용합니다.

CIMC에서 NTP로 검증

1단계 - Enable Browser Access to Cisco Integrated Management Controller에서 설정한 Cisco IMC IP 주소, 사용자 ID 및 비밀번호를 사용하여 어플라이언스 Cisco IMC에 로그인합니다. 

2단계 - 다음과 같이 어플라이언스 하드웨어를 네트워크 관리에 사용하는 NTP(Network Time Protocol) 서버와 동기화합니다.

1. Cisco IMC GUI의 왼쪽 상단 모서리에서 Toggle Navigation(탐색 전환) 아이콘을 클릭합니다.
2. Cisco IMC 메뉴에서 Admin > Networking을 선택한 다음 NTP Setting 탭을 선택합니다.
3. NTP Enabled(NTP 활성화) 확인란이 선택되었는지 확인하고 번호가 매겨진 Server(서버) 필드에 최대 4개의 NTP 서버 호스트 이름 또는 주소를 입력합니다.
4. Cisco IMC는 항목을 확인한 다음 어플라이언스 하드웨어의 시간과 NTP 서버의 시간을 동기화하기 시작합니다.

CIMC NTP 구성 페이지

참고: Cisco IMC는 NTP 인증을 지원하지 않습니다.

DNAC에서 NTP 컨피그레이션을 검토합니다.

• DNAC에 구성된 NTP 서비스를 검토하고 NTP에 서버의 * 정보가 있는지 확인합니다
  • 최대 오프셋 값: 500
  • 최대 지터 값: 300

maglev@maglev-master:~$ ntpq -pn
remote             refid   st  t  when poll  reach  delay  offset  jitter
==============================================================================
*ntp.server.local  .GNSS.  2  u  823 1024    0    0.263    0.144   0.000
10.81.254.131      .GNSS.  1  u  835  1024   377   72.324  0.382   0.087

• 동기화된 시스템 클록이 timedatectl 명령과 동기화되었는지 확인합니다.

maglev@maglev-master:~$ timedatectl status
Local time: Thu 2023-09-28 20:27:13 UTC
Universal time: Thu 2023-09-28 20:27:13 UTC
RTC time: Thu 2023-09-28 20:27:13
Time zone: Etc/UTC (UTC, +0000)
System clock synchronized: yes
systemd-timesyncd.service active: no
RTC in local TZ: no

• NTP 서버가 ntp.conf 파일에 올바르게 구성되어 있는지 검토합니다.

maglev@maglev-master:~$ cat /etc/ntp.conf
#---------------------------------------------------------------------
# Modified by Maglev: Mon, 25 Sep 2023 21:04:04 UTC
# maglev-config 68913
#---------------------------------------------------------------------

tinker panic 0
driftfile /var/lib/ntp/ntp.drift
statsdir /var/log/ntpstats/
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
server 10.81.254.131 iburst
server ntp.server.local iburst
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery
restrict 127.0.0.1
restrict ::1
interface ignore 0.0.0.0
interface listen enterprise
interface listen management
interface listen internet
interface listen cluster

경고: ntp.conf 파일을 수정하지 마십시오.

DNAC에서 NTP 확인

• FQDN으로 NTP를 구성할 때 DNAC가 A 및 PTR 레코드를 확인할 수 있는지 확인합니다.

maglev@maglev-master:~$ nslookup
>set type=A
> ntp.server.local
Server: 10.0.0.53
Address: 10.0.0.53#53

Non-authoritative answer:
Name:  ntp.server.local
Address: 10.81.254.202


>set type=PTR
> 10.81.254.202
Server: 10.0.0.53
Address: 10.0.0.53#53

10.254.81.10.in-addr.arpa name =  ntp.server.local.

• ping을 통해 NTP에 연결할 수 있는지 확인합니다.

maglev@maglev-master:~$ ping ntp.server.local
PING ntp.server.local (10.81.254.202) 56(84) bytes of data.
64 bytes from ntp.server.local (10.81.254.202): icmp_seq=1 ttl=53 time=72.8 ms
64 bytes from ntp.server.local (10.81.254.202): icmp_seq=2 ttl=53 time=71.9 ms
64 bytes from ntp.server.local (10.81.254.202): icmp_seq=3 ttl=53 time=72.0 ms
^C
--- ntp.server.local ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 72.506/72.634/72.853/0.269 m

• 포트 123/UDP에서 NTP에 연결할 수 있는지 확인합니다.

maglev@maglev-master:~$ nc -zvu ntp.server.local 123
Connection to ntp.server.local 123 port [udp/ntp] succeeded!

• 패킷 캡처를 수행하고 NTP 통신이 동일한 버전 NTPv4에 있는지 확인합니다.

maglev@maglev-master:~$ sudo tcpdump -i any host ntp.server.local and port 123 --immediate-mode
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
20:19:23.967314 IP flink-web.ndp.svc.cluster.local.ntp > ntp.server.local.ntp: NTPv4, Client, length 48
20:19:23.967329 IP flink-web.ndp.svc.cluster.local.ntp > ntp.server.local.ntp: NTPv4, Client, length 48
20:19:24.040064 IP ntp.server.local.ntp > flink-web.ndp.svc.cluster.local.ntp: NTPv4, Server, length 48
20:19:24.040064 IP ntp.server.local.ntp > flink-web.ndp.svc.cluster.local.ntp: NTPv4, Server, length 48

• NTP 서비스가 활성 상태이고 실행 중인지 확인합니다.

maglev@maglev-master:~$ systemctl status ntp
* ntp.service - Network Time Service
Loaded: loaded (/lib/systemd/system/ntp.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2023-09-28 20:19:20 UTC; 22min ago
Docs: man:ntpd(8)
Process: 31746 ExecStart=/usr/lib/ntp/ntp-systemd-wrapper (code=exited, status=0/SUCCESS)
Main PID: 31781 (ntpd)
Tasks: 2 (limit: 13516)
CGroup: /system.slice/ntp.service
`-31781 /usr/sbin/ntpd -p /var/run/ntpd.pid -g -u 107:111

Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: restrict ::: KOD does nothing without LIMITED.
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listen and drop on 0 v6wildcard [::]:123
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listen normally on 1 lo 127.0.0.1:123
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listen normally on 2 management 10.88.244.151:123
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listen normally on 3 enterprise 192.168.31.2:123
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listen normally on 4 lo [::1]:123
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listen normally on 5 management [fe80::be26:c7ff:fe0c:82e6%5447]:123
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listen normally on 6 enterprise [fe80::b28b:cfff:fe6a:9e1c%5449]:123
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listen normally on 7 cluster [fe80::b28b:cfff:fe6a:9e1d%5450]:123
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listening on routing socket on fd #24 for interface updates

참고: 필요한 경우 sudo systemctl restart ntp 명령을 사용하여 NTP 서비스를 다시 시작할 수 있습니다. 이것은 아무런 영향도 미치지 않습니다.

DNAC에서 NTP 문제 해결

• maglev_config_wizard.log 파일을 검토합니다.

• 다음 발췌문은 DNAC가 NTP 서버와 통신하고 동기화하는 것을 보여줍니다.

maglev@maglev-master:~$ cat /var/log/maglev_config_wizard.log | grep -i ntp
| 2023-09-28 00:47:32,790 | DEBUG | 25344 | MainThread | 140017254479680 | root | ansible.py:495 | changed: [localhost] => {"changed": true, "cmd": "/opt/maglev/bin/check_ntp.sh 500 299", "delta": "0:00:00.018699", "end": "2023-09-28 00:47:32.764617", "rc": 0, "start": "2023-09-28 00:47:32.745918", "stderr": "", "stderr_lines": [], "stdout": "PASSED", "stdout_lines": ["PASSED"]}
| 2023-09-28 00:47:33,068 | DEBUG | 25344 | MainThread | 140017254479680 | root | ansible.py:495 | ok: [localhost] => {"ansible_facts": {"ntp_sync_check": "PASSED"}, "changed": false}
"msg": "Check NTP limit PASSED"

changed: [localhost] => {"changed": true, "cmd": "/opt/maglev/bin/check_ntp.sh 500 299", "delta": "0:00:00.018699", "end": "2023-09-28 00:47:32.764617", "rc": 0, "start": "2023-09-28 00:47:32.745918", "stderr": "", "stderr_lines": [], "stdout": "PASSED", "stdout_lines": ["PASSED"]}
ok: [localhost] => {"ansible_facts": {"ntp_sync_check": "PASSED"}, "changed": false}
"msg": "Check NTP limit PASSED"

• 다음 발췌문은 NTP가 동기화되지 않았거나 통신 문제가 있는 경우 오류를 표시합니다.

maglev@maglev-master:~$ cat /var/log/maglev_config_wizard.log | grep -i ntp
| 2023-07-19 02:36:41,396 | INFO | 76230 | MainThread | 140599082059584 | root | certs.py:142 | renew_certs : Check NTP limits |
| 2023-07-19 02:36:41,703 | DEBUG | 76230 | MainThread | 140599082059584 | root | ansible.py:495 | changed: [localhost] => {"changed": true, "cmd": "/opt/maglev/bin/check_ntp.sh 500 299", "delta": "0:00:00.014850", "end": "2023-07-19 02:36:41.679386", "rc": 0, "start": "2023-07-19 02:36:41.664536", "stderr": "", "stderr_lines": [], "stdout": "WARNING: Could not get Offset or Jitter from ntp peer", "stdout_lines": ["WARNING: Could not get Offset or Jitter from ntp peer"]}
| 2023-07-19 02:36:41,960 | DEBUG | 76230 | MainThread | 140599082059584 | root | ansible.py:495 | ok: [localhost] => {"ansible_facts": {"ntp_sync_check": "WARNING: Could not get Offset or Jitter from ntp peer"}, "changed": false}
"msg": "Check NTP limit WARNING: Could not get Offset or Jitter from ntp peer"
| 2023-07-19 02:36:42,635 | INFO | 76230 | MainThread | 140599082059584 | root | certs.py:142 | renew_certs : Fail if NTP not synched |
TASK [renew_certs : Check NTP limits] ******************************************

maglev@maglev-master:~$ cat /var/log/maglev_config_wizard.log | grep -i ntp
| 2023-09-12 18:21:29,564 | ERROR | 82110 | MainThread | 139737866331968 | maglev_config_wizard.managers.ntp.NtpManager | ntp.py:52 | Unable to sync with time server 10.88.14.200 |
| 2023-09-12 18:21:34,569 | ERROR | 82110 | MainThread | 139737866331968 | maglev_config_wizard.managers.ntp.NtpManager | ntp.py:164 | Unable to configure NTP after 2 attempts |

• NTP 서버를 변경해야 하는 경우 sudo maglev-config update 명령을 사용하십시오.

주의: NTP를 변경하면 DNAC의 서비스가 다시 시작됩니다.

관련 정보

• Cisco 기술 지원 및 다운로드